在 OpenWrt 建立一個訪客專用的無線網路

訪客網路，顧名思義就是給訪客使用的網路連線，多數情況均指無線網路，功能較完善的無線分享器，通常會這樣的功能。

在以往，支援無線網路的裝置，通常只在筆記型電腦上看到，但隨著科技進步，電視、冰箱、手機、平板電腦……等裝置，都已經內建了無線網路功能。

訪客網路功能，不外乎就是為了方便他人，臨時網路的需求。可能會使用較簡單的密碼，甚至是不需要密碼即可使用。如果我們的無線分享器有這樣的功能，我會比較建議將這個功能打開。

會建議打開訪客網路功能，主要原因是保護我們區域網路的裝置，以及分享器本身。

這樣來說，沒有開啟訪客網路，代表要將我們目前的無線網路密碼提供給別人，依照我們的習性，這密碼很可能和我們其他網路服務的密碼，有一些相似性，這是不是就代表我們的密碼可能被破解？

除此之外，這也代表訪客的裝置，會與我們其他的裝置，同處於相同的區域網路，在這樣的情況下，若其他的裝置有分享一些檔案，也就代表訪客也能存取我們其他裝置的檔案，若以公司行號而言，也就代表訪客是有可能可以存取公司內部的文件。

以無線分享器來講，後端裝置能不能上網，其中也和「閘道」有關，通常「閘道」指的就是無線分享器本身的 IP，而無線分享器的設定通常都可以利用網頁進行設定，也就是說若我們知道無線分享器本身的 IP，我們就可以利用這組 IP 看到無線分享器的設定登入畫面，如果沒有特別修改管理者的帳號或密碼，就很可能讓別人以預設的帳號密碼登入無線分享器進行惡搞。

總結來說，具有訪客網路功能的無線分享器，建議將之開啟，主要原因就是為了「安全性」。

我的分享器後來自己刷了 OpenWrt，預設情況只提供非常基本的有線及無線網路，簡單來說，就是沒有訪客網路功能，但因為 OpenWrt 擁有非常高的彈性及自訂功能，所以我們可以自己透過設定，建置一個訪客網路。

利用 OpenWrt 建置訪客網路，我們先規納幾個要點：

1. 建構訪客專用的 SSID
2. 建構訪客專用的區域網路
3. 設定防火牆

1. 建構訪客專用的 SSID

1. 進到無線網路頁面後，按「Add」新增一個 SSID
   
2. 進入後，拉到最下面，在 ESSID 中填入訪客網路專用的名稱，我是直接取名為「GuestAP」，同時我沒有設定密碼，需要設定密碼的話，可以在「Wireless Security」中設定。在 Network 這裡，新建一個訪客專用的區域網路，我將之取名為「guest_lan」，這裡能使用英文的大小寫、數字以及下底線「_」，最後再「Save & Apply」
   

2. 建構訪客專用的區域網路

1. 進到網路介面的頁面後，會看到多出了「GUEST_LAN」，這是我們剛剛在第一部份設定的「guest_lan」，我們要編輯一下這個介面的細節，點「Edit」
   
2. 先把 Protocol 切換成「Static Address」，再按「Switch protocol」
   
3. 在 IPv4 address 這裡，輸入這個介面的 IP，我是輸入「192.168.24.254/29」，這是網路的另一種表示法，已經包含了子網路遮罩，也就是圖中的 「IPv4 netmask」，紅字的部份很重要，一定不能和你現在區網一樣。
   例如：你現在區網是 192.168.1.123，那麼紅字部份，就一定要用 2-254 的數字。
   如果，你不知怎麼填，「IPv4 address」就用一般的 IP 寫法，然後再在「IPv4 netmask」選擇一般常用的「255.255.255.0」
   
4. 設好之後，再切換到「Firewall Settings」，為這個訪客專用的區域網路建立一個防火牆集區，防火牆集區的名稱我設定為「Guest_Zone」
   
5. 防火牆集區設好之後，就要幫訪客網路設定 DHCP 伺服器，按一下「Setup DHCP Server」
   
6. 預設情況，會配發 51 組的 IP，可以自行調整或保留預設值，「Leasetime」，簡單來說就是 IP 的有效時間，預設應該是「12h」，12 小時的意思，我是設定為「2h」，也就是 2 小時，2 小時後 IP 會失效，但通常裝置會再重新取得 IP，最後再「Save & Apply」
   

3. 設定防火牆

1. 進到防火牆後，編輯我們剛剛新建的防火牆集區「Guest_Zone」
   
2. 先將「Input」和「Forward」設定為「reject」，「Output」設定為「accept」，再把頁面往下拉，在「Allow forward to destination zones」這裡，勾選「WAN_Zone」，最後再「Save & Apply」
   
3. 最後設定完成，應該會長得像這樣
   
4. 再切換到「Traffic Rules」，並新增防火牆規則，因為我們要讓訪客裝置以 DHCP 的方式自動取得 IP，所以要讓訪客裝置可以存取 DHCP 服務，有幾個部份是必須要設定的：
   • Name，就指防火牆的規則名稱
   • Restrict to address family，套用到 IPv4 或 IPv6，或兩者，可維持預設值
   • Protocol，通訊協定，DHCP 一般均採 UDP
   • Source zone，指的是哪一個來源防火牆集區，這裡要設定為訪客網路的防火牆集區，也就是「Guest_Zone」
   • Destination zone，則是指目標的防火牆集區，這裡選擇為「Device (input)」
   • Destination port，設定目標的連接埠，DHCP 需要兩個連接埠 67 及 68，因為它們是連續的連接埠，所以可以設為「67-68」，就是指 67 ~ 68 埠，我則是採各別指定的方式，各連接埠以空格做分隔，也就是「67 68」
   • Action，則是指處理的方式，因為我們要放行，所以要選擇為「accept」
     
5. 另外一個要新增的規則是 DNS 服務，DNS 的規則設定與 DHCP 一樣，只有幾個地方不同：
   • Name
   • Protocol，通訊協定改採「TCP+UDP」
   • Destination prot，則設定為「53」
     
6. 總共新增了 2 條訪客網路的防火牆規則，它們應該會長得像這樣
   

上述部份，都設定好之後，再以手機、平板電腦或筆記型電腦，掃描 SSID，應該就會看到我們新建的訪客網路。