在 OpenWrt 建立一個訪客專用的無線網路

訪客網路,顧名思義就是給訪客使用的網路連線,多數情況均指無線網路,功能較完善的無線分享器,通常會這樣的功能。

在以往,支援無線網路的裝置,通常只在筆記型電腦上看到,但隨著科技進步,電視、冰箱、手機、平板電腦……等裝置,都已經內建了無線網路功能。

訪客網路功能,不外乎就是為了方便他人,臨時網路的需求。可能會使用較簡單的密碼,甚至是不需要密碼即可使用。如果我們的無線分享器有這樣的功能,我會比較建議將這個功能打開。

會建議打開訪客網路功能,主要原因是保護我們區域網路的裝置,以及分享器本身。

這樣來說,沒有開啟訪客網路,代表要將我們目前的無線網路密碼提供給別人,依照我們的習性,這密碼很可能和我們其他網路服務的密碼,有一些相似性,這是不是就代表我們的密碼可能被破解?

除此之外,這也代表訪客的裝置,會與我們其他的裝置,同處於相同的區域網路,在這樣的情況下,若其他的裝置有分享一些檔案,也就代表訪客也能存取我們其他裝置的檔案,若以公司行號而言,也就代表訪客是有可能可以存取公司內部的文件。

以無線分享器來講,後端裝置能不能上網,其中也和「閘道」有關,通常「閘道」指的就是無線分享器本身的 IP,而無線分享器的設定通常都可以利用網頁進行設定,也就是說若我們知道無線分享器本身的 IP,我們就可以利用這組 IP 看到無線分享器的設定登入畫面,如果沒有特別修改管理者的帳號或密碼,就很可能讓別人以預設的帳號密碼登入無線分享器進行惡搞。

總結來說,具有訪客網路功能的無線分享器,建議將之開啟,主要原因就是為了「安全性」。

我的分享器後來自己刷了 OpenWrt,預設情況只提供非常基本的有線及無線網路,簡單來說,就是沒有訪客網路功能,但因為 OpenWrt 擁有非常高的彈性及自訂功能,所以我們可以自己透過設定,建置一個訪客網路。

利用 OpenWrt 建置訪客網路,我們先規納幾個要點:

  1. 建構訪客專用的 SSID
  2. 建構訪客專用的區域網路
  3. 設定防火牆

1. 建構訪客專用的 SSID

  1. 進到無線網路頁面後,按「Add」新增一個 SSID
  2. 進入後,拉到最下面,在 ESSID 中填入訪客網路專用的名稱,我是直接取名為「GuestAP」,同時我沒有設定密碼,需要設定密碼的話,可以在「Wireless Security」中設定。在 Network 這裡,新建一個訪客專用的區域網路,我將之取名為「guest_lan」,這裡能使用英文的大小寫、數字以及下底線「_」,最後再「Save & Apply」

2. 建構訪客專用的區域網路

  1. 進到網路介面的頁面後,會看到多出了「GUEST_LAN」,這是我們剛剛在第一部份設定的「guest_lan」,我們要編輯一下這個介面的細節,點「Edit」
  2. 先把 Protocol 切換成「Static Address」,再按「Switch protocol」
  3. 在 IPv4 address 這裡,輸入這個介面的 IP,我是輸入「192.168.24.254/29」,這是網路的另一種表示法,已經包含了子網路遮罩,也就是圖中的 「IPv4 netmask」,紅字的部份很重要,一定不能和你現在區網一樣。
    例如:你現在區網是 192.168.1.123,那麼紅字部份,就一定要用 2-254 的數字。
    如果,你不知怎麼填,「IPv4 address」就用一般的 IP 寫法,然後再在「IPv4 netmask」選擇一般常用的「255.255.255.0」
  4. 設好之後,再切換到「Firewall Settings」,為這個訪客專用的區域網路建立一個防火牆集區,防火牆集區的名稱我設定為「Guest_Zone」
  5. 防火牆集區設好之後,就要幫訪客網路設定 DHCP 伺服器,按一下「Setup DHCP Server」
  6. 預設情況,會配發 51 組的 IP,可以自行調整或保留預設值,「Leasetime」,簡單來說就是 IP 的有效時間,預設應該是「12h」,12 小時的意思,我是設定為「2h」,也就是 2 小時,2 小時後 IP 會失效,但通常裝置會再重新取得 IP,最後再「Save & Apply」

3. 設定防火牆

  1. 進到防火牆後,編輯我們剛剛新建的防火牆集區「Guest_Zone」
  2. 先將「Input」和「Forward」設定為「reject」,「Output」設定為「accept」,再把頁面往下拉,在「Allow forward to destination zones」這裡,勾選「WAN_Zone」,最後再「Save & Apply」
  3. 最後設定完成,應該會長得像這樣
  4. 再切換到「Traffic Rules」,並新增防火牆規則,因為我們要讓訪客裝置以 DHCP 的方式自動取得 IP,所以要讓訪客裝置可以存取 DHCP 服務,有幾個部份是必須要設定的:
    • Name,就指防火牆的規則名稱
    • Restrict to address family,套用到 IPv4 或 IPv6,或兩者,可維持預設值
    • Protocol,通訊協定,DHCP 一般均採 UDP
    • Source zone,指的是哪一個來源防火牆集區,這裡要設定為訪客網路的防火牆集區,也就是「Guest_Zone」
    • Destination zone,則是指目標的防火牆集區,這裡選擇為「Device (input)」
    • Destination port,設定目標的連接埠,DHCP 需要兩個連接埠 67 及 68,因為它們是連續的連接埠,所以可以設為「67-68」,就是指 67 ~ 68 埠,我則是採各別指定的方式,各連接埠以空格做分隔,也就是「67 68」
    • Action,則是指處理的方式,因為我們要放行,所以要選擇為「accept」
  5. 另外一個要新增的規則是 DNS 服務,DNS 的規則設定與 DHCP 一樣,只有幾個地方不同:
    • Name
    • Protocol,通訊協定改採「TCP+UDP」
    • Destination prot,則設定為「53」
  6. 總共新增了 2 條訪客網路的防火牆規則,它們應該會長得像這樣

上述部份,都設定好之後,再以手機、平板電腦或筆記型電腦,掃描 SSID,應該就會看到我們新建的訪客網路。

發佈留言

發佈留言必須填寫的電子郵件地址不會公開。 必填欄位標示為 *

這個網站採用 Google reCAPTCHA 保護機制,這項服務遵循 Google 隱私權政策服務條款