Cómo habilitar un punto de acceso de invitado en su red inalámbrica
Compartir tu Wi-Fi con los invitados es algo amable de hacer, pero eso no significa que desees darles un acceso abierto a toda tu LAN. Siga leyendo mientras le mostramos cómo configurar su enrutador para SSID duales y crear un punto de acceso separado (y seguro) para sus invitados.
¿Por qué quiero hacer esto??
Hay varias razones muy prácticas para querer configurar su red doméstica para tener puntos de acceso dual (AP).
La razón con la aplicación más práctica para la mayor cantidad de personas es simplemente aislar su red doméstica para que los huéspedes no puedan acceder a las cosas que desea que permanezcan privadas. La configuración predeterminada para casi todos los puntos de acceso / enrutador Wi-Fi domésticos es utilizar un único punto de acceso inalámbrico y cualquier persona autorizada para acceder a ese AP tiene acceso a la red como si estuviera conectada directamente al AP a través de Ethernet.
En otras palabras, si le da a su amigo, vecino, huésped de la casa o quien la contraseña de su punto de acceso Wi-Fi, también les ha dado acceso a su impresora de red, a cualquier recurso compartido abierto en su red, a dispositivos no seguros en su red, etc. Es posible que solo haya querido permitirles que revisen su correo electrónico o jueguen un juego en línea, pero les ha dado la libertad de moverse en cualquier lugar que quieran en su red interna..
Ahora, aunque la mayoría de nosotros no tenemos piratas informáticos maliciosos para los amigos, eso no significa que no sea prudente configurar nuestras redes para que los huéspedes se queden donde pertenecen (en el lado de acceso gratuito a Internet) y no pueden ir a donde no lo hacen (en el lado del servidor / recursos compartidos personales de la valla).
Otra razón práctica para ejecutar un AP con dos SSID es la capacidad de no solo restringir dónde puede ir el AP invitado, sino cuándo. Si usted es un padre, por ejemplo, que quiere restringir la tardanza en que su hijo puede quedarse dormido en la computadora, puede colocar su computadora, tableta, etc. en el punto de acceso secundario y establecer restricciones de acceso a Internet para todo el submarino. -SID después de, digamos, 9PM.
Qué necesito?
Nuestro tutorial de hoy se centra en el uso de un enrutador compatible con DD-WRT para lograr SSID duales. Como tal necesitarás las siguientes cosas:
- 1 enrutador compatible con DD-WRT con una revisión de hardware adecuada (le mostraremos cómo verificar)
- 1 copia instalada de DD-WRT en dicho enrutador
Esta no es la única forma de configurar SSID duales para su red doméstica. Vamos a ejecutar nuestros SSID desde el ubicuo enrutador inalámbrico de la serie WRT54G de Linksys. Si no quiere pasar por la molestia de actualizar el firmware personalizado en su antiguo enrutador y realizar los pasos de configuración adicionales, podría:
- Adquiera un enrutador más nuevo que admita SSID duales desde el primer momento, como el ASUS RT-N66U.
- Compre un segundo enrutador inalámbrico y configúrelo como un punto de acceso independiente.
A menos que ya tenga un enrutador que admita SSID duales (en cuyo caso puede omitir este tutorial y simplemente leer el manual de su dispositivo), estas dos opciones no son ideales porque tiene que gastar dinero extra y, en el caso de la segunda opción, hacer un montón de configuraciones adicionales, incluida la configuración del AP secundario para que no interfiera y / o se superponga con su AP primario.
En vista de todo eso, nos complació mucho más usar el hardware que ya teníamos (el enrutador inalámbrico de la serie WRT54G de Linksys) y omitir el desembolso de efectivo y los ajustes adicionales de la red Wi-Fi.
¿Cómo sé que mi enrutador es compatible??
Hay dos elementos críticos de compatibilidad que debe verificar para tener éxito con este tutorial. La primera, y la más elemental, es verificar que su enrutador particular sea compatible con DD-WRT. Puede visitar la base de datos de enrutadores DD-WRT wiki aquí para consultar.
Una vez que haya establecido que su enrutador es compatible con DD-WRT, debemos verificar el número de revisión del chip de su enrutador. Si tiene un enrutador Linksys realmente viejo, por ejemplo, podría ser un enrutador que se pueda reparar perfectamente en todos los sentidos, pero es posible que el chip no admita SSID duales (lo que lo hace fundamentalmente incompatible con el tutorial).
Hay dos grados de compatibilidad con respecto al número de revisión del enrutador. Algunos enrutadores pueden hacer múltiples SSID pero no pueden dividir los SSID en distintos puntos de acceso absolutamente únicos (por ejemplo, una dirección MAC única para cada SSID). En algunas situaciones, esto puede causar problemas con algunos dispositivos Wi-Fi, ya que se confunden en cuanto a qué SSID (ya que ambos tienen la misma dirección MAC) deben usar. Desafortunadamente, no hay manera de predecir qué dispositivos se comportarán mal en su red, por lo que no podemos recomendar que evite la técnica descrita en este tutorial si descubre que tiene un dispositivo que no admite SSID discretos..
Puede verificar el número de revisión realizando una búsqueda en Google para el modelo específico de su enrutador junto con el número de versión impreso en la etiqueta de información (que generalmente se encuentra en la parte inferior del enrutador), pero esta técnica no es confiable (las etiquetas se puede aplicar mal, la información publicada en línea con respecto al modelo y la fecha de fabricación puede ser inexacta, etc.)
La forma más confiable de verificar el número de revisión del chip dentro de su enrutador es en realidad encuestar al enrutador para averiguarlo. Para hacerlo necesita realizar los siguientes pasos. Abra un cliente de telnet (ya sea un programa de propósitos múltiples como PuTTY o el comando básico de Telnet de Windows) y telnet a la dirección IP de su enrutador (por ejemplo, 192.168.1.1). Inicie sesión en el enrutador con su nombre de usuario y contraseña de administrador (tenga en cuenta que para algunos enrutadores, incluso si escribe "admin" y "mypassword" para iniciar sesión en el portal de administración basado en web en el enrutador, es posible que tenga que escribir "root" ”Y“ mypassword ”para iniciar sesión a través de telnet).
Una vez que haya iniciado sesión en el enrutador, escriba el siguiente comando en el indicador:
nvram show | grep corerev
Esto devolverá el número de revisión central de los chips en su enrutador en el siguiente formato:
wl0_corerev = 9
wl_corerev =
Lo que significa la salida anterior es que nuestro enrutador tiene una radio (wl0, no hay wl1) y que la revisión del núcleo de ese chip de radio es 9. ¿Cómo interpreta la salida? El número de revisión, en relación con nuestra guía, significa lo siguiente:
- 0-4 El enrutador no admite varios SSID (con identificadores únicos o de otro tipo)
- 5-8 El enrutador admite varios SSID (pero no con identificadores únicos)
- 9+ El enrutador admite varios SSID (con identificadores únicos)
Como se puede ver en nuestra salida de comando anterior, tuvimos suerte. El chip de nuestro enrutador es la revisión más baja que admite múltiples SSID con identificadores únicos.
Una vez que haya determinado que su enrutador puede admitir múltiples SSID, necesitará instalar DD-WRT. Si su enrutador se envió con DD-WRT o ya lo instaló, fantástico. Si aún no lo ha instalado, le recomendamos que descargue la versión adecuada del sitio web de DD-WRT y siga con nuestro tutorial: Convierta su enrutador doméstico en un enrutador súper potente con DD-WRT.
Además de nuestro tutorial, no podemos enfatizar el valor de la extensa y excelente wiki de DD-WRT. Lea sobre su enrutador en particular y las mejores prácticas para incluir un nuevo firmware allí..
Configurando DD-WRT para múltiples SSIDs
Tiene un enrutador compatible, le ha transmitido DD-WRT, ahora es el momento de comenzar a configurar ese segundo SSID. Al igual que siempre debe actualizar el nuevo firmware a través de una conexión por cable, le recomendamos encarecidamente que trabaje en su configuración inalámbrica a través de una conexión por cable para que los cambios no obliguen a su computadora inalámbrica a abandonar la red..
Abra su navegador web en una computadora conectada al enrutador a través de Ethernet. Navegue a la IP del enrutador por defecto (típicamente 198.168.1.1). Dentro de la interfaz DD-WRT, navegue a Inalámbrico -> Configuración básica (como se ve en la captura de pantalla anterior). Puede ver que nuestro Wi-Fi AP existente tiene el SSID "HTG_Office".
En la parte inferior de la página, en la sección "Interfaces virtuales", haga clic en el botón Agregar. La sección "Interfaces virtuales" previamente vacía se expandirá con esta entrada prepopulada:
Esta interfaz virtual se lleva a cuestas a su chip de radio existente (note el wl0.1 en el título de la nueva entrada). Incluso la abreviatura en el SSID indica esto, el "vap" al final del SSID predeterminado significa punto de acceso virtual. Analicemos el resto de las entradas en la nueva interfaz virtual..
Puedes cambiar el nombre del SSID a lo que quieras. De acuerdo con nuestra convención de nomenclatura existente (y para facilitarle la vida a nuestros huéspedes), vamos a cambiar el SSID del valor predeterminado a "HTG_Guest". Recuerde que nuestro principal punto de acceso Wi-Fi es "HTG_Office".
Deje habilitada la transmisión SSID inalámbrica. No solo las computadoras antiguas y los dispositivos habilitados para Wi-Fi no funcionan muy bien con los SSID secretos, sino que una red de invitados oculta no es una red de invitados muy útil y atractiva..
El aislamiento de AP es una configuración de seguridad que dejaremos a su discreción para habilitar o deshabilitar. Si habilita el aislamiento de AP, cada cliente en su red Wi-Fi de invitado estará totalmente aislado el uno del otro. Desde el punto de vista de la seguridad, esto es excelente, ya que evita que un usuario malintencionado se acerque a los clientes de otros usuarios. Sin embargo, eso es más preocupante para las redes corporativas y los puntos de acceso públicos. Hablando en términos prácticos, eso también significa que si su sobrina y su sobrino han terminado y quieren jugar a un juego con conexión Wi-Fi en sus unidades Nintendo DS, sus unidades DS no podrán verse entre sí. En la mayoría de las aplicaciones domésticas y de oficina pequeña, hay pocas razones para aislar los puntos de acceso.
La opción Sin puente / Puente en la configuración de red se refiere a si el punto de acceso Wi-Fi se conectará o no a la red física. Por contraintuitivo que sea, debe dejarlo configurado en Puente. En lugar de dejar que el firmware del enrutador maneje (de manera torpe) el proceso de desvinculación, vamos a deshacer todo manualmente con un resultado más limpio y estable..
Una vez que haya cambiado su SSID y haya revisado la configuración, haga clic en Guardar.
A continuación, navegue a Inalámbrico -> Seguridad inalámbrica:
Por defecto no hay seguridad en el segundo AP. Puede dejarlo como tal temporalmente para propósitos de prueba (dejamos el nuestro abierto hasta el final) para evitar ingresar la contraseña en sus dispositivos de prueba. Sin embargo, no recomendamos dejarlo permanentemente abierto. Ya sea que opte por dejarlo abierto o no en este punto, debe hacer clic en Guardar y luego en Aplicar configuración para los cambios que hicimos tanto en la sección anterior como en esta para que surta efecto. Sea paciente, puede tomar hasta 2 minutos para que los cambios surtan efecto..
Ahora es un buen momento para confirmar que los dispositivos Wi-Fi cercanos pueden ver los puntos de acceso primarios y secundarios. Abrir la interfaz de Wi-Fi en un teléfono inteligente es una excelente manera de verificar rápidamente. Aquí está la vista desde la página de configuración de Wi-Fi de nuestro teléfono Android:
Todavía no podemos conectarnos al punto de acceso secundario, ya que necesitamos hacer algunos cambios más en el enrutador, pero siempre es bueno verlos en la lista..
El siguiente paso es comenzar el proceso de separación de los SSID en la red asignando un rango único de direcciones IP a los dispositivos Wi-Fi invitados.
Vaya a Configuración -> Redes. En la sección "Bridging", haga clic en el botón Agregar.
Primero, cambie la ranura inicial a "br1", deje el resto de los valores iguales. Aún no podrá ver la entrada de IP / subred vista anteriormente. Haga clic en "Aplicar configuración". El nuevo puente estará en la sección Puente con las secciones de IP y subred disponibles. Establece la dirección IP a un valor de la IP de tu red normal (por ejemplo, tu red principal es 192.168.1.1, así que haz este valor 192.168.2.1). Establezca la máscara de subred en 255.255.255.0. Haga clic en "Aplicar configuración" en la parte inferior de la página de nuevo.
Asignar red de invitado a puente
Nota: gracias al lector Joel por señalar esta parte y darnos las instrucciones para agregar al tutorial.
Debajo de "Asignar a Bridge" haga clic en "Agregar". Seleccione el nuevo puente que ha creado en el primer menú desplegable y empareje con la interfaz "wl0.1".
Ahora haga clic en "Guardar" y "Aplicar configuración".
Después de aplicar los cambios, desplácese hasta la parte inferior de la página a la sección DHCPD. Haga clic en "Añadir". Cambia la primera ranura a "br1". Deje el resto de la configuración igual (como se ve en la captura de pantalla a continuación).
Haga clic en "Aplicar configuración" una vez más. Una vez que haya terminado todas las tareas en la página Configuración -> Red, debería estar listo para la conectividad y la asignación de DHCP.
Nota: si el punto de acceso Wi-Fi que está configurando para los SSID duales está respaldado por otro dispositivo (por ejemplo, tiene dos enrutadores Wi-Fi en su casa u oficina para ampliar su cobertura y la que está configurando el SSID del invitado) el # 2 en la cadena) deberá configurar el DHCP en la sección Servicios. Si esto suena como su configuración, es hora de navegar a la sección Servicios -> Servicios.
En la sección de servicios, necesitamos agregar un poco de código a la sección DNSMasq para que el enrutador asigne correctamente las direcciones IP dinámicas a los dispositivos que se conectan a la red invitada. Desplácese hacia abajo en la sección DNSMasq. En el cuadro "Opciones de DNSMasq adicionales", pegue el siguiente código (menos los # comentarios que explican la funcionalidad de cada línea):
# Habilita DHCP en br1
interfaz = br1
# Establecer la puerta de enlace predeterminada para los clientes br1
dhcp-option = br1,3,192.168.2.1
# Establezca el rango DHCP y el tiempo de concesión predeterminado de 24 horas para los clientes br1
dhcp-range = br1,192.168.2.100,192.168.2.150,255.255.255.0,24h
Haga clic en "Aplicar configuración" en la parte inferior de la página.
Ya sea que haya usado la técnica uno o dos, espere unos minutos para conectarse a su nuevo SSID invitado. Cuando se conecte al SSID invitado, verifique su dirección IP. Debe tener una IP dentro del rango que especificamos con lo anterior. De nuevo, es útil usar tu teléfono inteligente para verificar:
Todo se ve bien. El punto de acceso secundario está asignando direcciones IP dinámicas en un rango apropiado, podemos acceder a Internet. Estamos haciendo una nota aquí, un gran éxito.
Sin embargo, el único problema es que el AP secundario todavía tiene acceso a los recursos de la red primaria. Esto significa que todas las impresoras en red, las redes compartidas y demás aún están visibles (puede probarlo ahora, intente encontrar una red compartida desde su red primaria en el AP secundario).
Si tu querer los invitados en el punto de acceso secundario para tener acceso a estas cosas (y lo siguen junto con el tutorial para que pueda realizar otras tareas de doble SSID, como restringir el ancho de banda de los invitados o los tiempos en que pueden usar Internet), entonces ya ha terminado la tutorial.
Imaginamos que a la mayoría de ustedes les gustaría evitar que sus invitados hurguen en su red y los guíen suavemente para que se adhieran a Facebook y al correo electrónico. En ese caso, necesitamos finalizar el proceso desvinculando el AP secundario de la red física.
Vaya a Administración -> Comandos. Verás un área etiquetada como "Shell de Comando". Pegue los siguientes comandos, sin las # líneas de comentario, en el área editable:
#Elimina el acceso de invitados a la red física
iptables -I ADELANTE -i br1 -o br0 -m estado --estado NUEVO -j DROP
iptables -I ADELANTE -i br0 -o br1 -m estado --estado NUEVO -j DROP
#Elimina el acceso de invitado a la configuración de la GUI / puertos del enrutador
iptables -I INPUT -i br1 -p tcp --dport telnet -j REJECT --reject-with tcp-reset
iptables -I INPUT -i br1 -p tcp --dport ssh -j REJECT --reject-with tcp-reset
iptables -I INPUT -i br1 -p tcp --dport www -j REJECT --reject-with tcp-reset
iptables -I INPUT -i br1 -p tcp --dport https -j REJECT --reject-with tcp-reset
Haga clic en "Guardar Firewall" y reinicie su enrutador.
Estas reglas de cortafuegos adicionales simplemente evitan que los dos puentes (la red privada y la red pública / invitada) hablen, y rechazan cualquier contacto entre un cliente en la red invitada y los puertos de telnet, SSH o servidor web en el enrutador (lo que les impide acceder a los archivos de configuración del enrutador).
Una palabra sobre el uso del shell de comandos y los scripts de inicio, cierre y firewall. Primero, los comandos de IPTABLES se procesan en orden. Cambiar el orden de las líneas individuales puede cambiar significativamente el resultado. En segundo lugar, hay docenas de docenas de enrutadores compatibles con DD-WRT y, dependiendo de su enrutador específico y de la configuración, es posible que necesite modificar los comandos de IPTABLES anteriores. La secuencia de comandos funcionó para nuestro enrutador y utiliza los comandos más amplios y simples posibles para realizar la tarea, por lo que debería funcionar para la mayoría de los enrutadores. Si no es así, le recomendamos encarecidamente que busque su modelo de enrutador específico en los foros de discusión de DD-WRT y vea si otros usuarios han experimentado los mismos problemas que usted..
En este punto, ya ha terminado con la configuración y está listo para disfrutar de SSID duales y todos los beneficios que vienen con su ejecución. Puede dar fácilmente una contraseña de invitado (y cambiarla a voluntad), configurar reglas de QoS para la red de invitados y, de lo contrario, modificar y restringir la red de invitados de manera que no afecte a su red principal en lo más mínimo..