Multi SSID: вторая, третья, ... беспроводная сеть

[Vlad]

забыл отписаться правила не стирал, просто добавил 1 строку на вкладку скрипта фаервола:

Код: Выделить всё

iptables -A INPUT -i br1 --dport 139 -j DROP

шара больше не отображается в сети br1

[Котяр]

С Новым Годом Всех, уважаемые участники форума! Желаю вам всего наилучшего в этом году!
Спасибо Влад, за наводку на тему, а так же переводы прошивок! Молодец!. 2 недели мучился с DD-WRT, там фаерволл глючный, никак и ни при каких правилах не пускал br1 в интернет, то есть в гостевой сети не было интернета.
В итоге поставил томато v082 и все поднял за 10 минут + 20 минут разбирался с шейпером и правилами iptables. Благо опыта набрался мучаясь с dd-wrt. Линуксом не владею, но опыт юзания немного есть.

В общем все сделал по предложенному тобой мануалу, только адреса подсетей у меня другие.
В общем решил проблемы с доступом подсетей друг к другу и ограничил гостевую сеть от всего....вроде бы.

Вкратце:
Поднял все по инструкции (сменив br-1 на br-0 в "brctl addif br1 wl0.1"), только поменял сначала местами DHCP гостевую сделал br-0 домашнюю сеть br-1. Затем в настройках VLAN создал пустой VID №3, сделал из VID №1 LAN(br-1), а пустой VID №3 сделал LAN(br-0), ниже подцепил WLAN к br-1. ВСЕ это делается для безпроблемной и удобной работы с шейпером (он ведь работает только с br-0). В общем я просто сделал домашнюю сеть br-1, а гостевую br-0.

Прописал в меж.сетевой экран следующие скрипты:

# Make sure br1 has access to the internet:
iptables -I INPUT -i br1 -m state --state NEW -j logaccept
iptables -I FORWARD -i br1 -o $wanif -m state --state NEW -j ACCEPT

# Keep the two wireless networks from talking to each other:
iptables -I FORWARD -i br0 -o br1 -j logdrop
iptables -I FORWARD -i br1 -o br0 -j logdrop

# Keep br1 from accessing the router:
iptables -I INPUT -i br0 -p tcp --dport telnet -j REJECT --reject-with tcp-reset
iptables -I INPUT -i br0 -p tcp --dport ssh -j REJECT --reject-with tcp-reset
iptables -I INPUT -i br0 -p tcp --dport www -j REJECT --reject-with tcp-reset
iptables -I INPUT -i br0 -p tcp --dport https -j REJECT --reject-with tcp-reset

И все.
Сети друг-друга не видят, br-0 (гостевая) не видит ничего и не может никак управлять роутером.
Могу сделать мануал с картинками, если необходимо и подробными объяснениями.

PS!
Так же есть команда для фаервола:
tc qdisc add dev br1 root tbf rate 2048kbit latency 1s burst 10240
Я толком не разобрался что она значит, но она шейпит входящий трафик. Исходящий она не шейпит.
Если с этим разобраться, то можно ещё проще, внести незначительные изменения в твой мануал и все будет тип-топ.

[Vlad]

Хорошо дополнил, я тоже как то подумывал сделать br0 гостевой )

С картинками было бы интересней

[Котяр]

Как создать еще одну Wi-Fi сеть на примере роутера Asus RT-N16 (Tomato 1.28.0000 MIPSR2-082V K26 USB AIO)
С полной изоляцией подсетей друг от друга.

1. Идем на вкладку Утилиты-Системные команды (или через ssh) даем команду

Код: Выделить всё

nvram get wl0_corerev

смотрим какое число вам выдало в ответ, если цифра меньше 9 - увы можете дальше не читать не получится мультисид, на N16 выдает цифру 17, все ОК.

2. Сохраняем все свои настройки конфигурации роутера в файл на компьютер, на всякий случай.

3. Идем на вкладку Основные Настройки-Cеть и добавляем новую подсеть\мост br3:

В столбце мост выставляем br3, указываем нужный диапазон адресов и маски, жмем ОК. Теперь, нужно поменять метки br0 и br3. Делается это легко, на br0 ставим метку br1, а на br3 ставим метку br0, у нас выходит br0 и br1. Теперь вышло то, что имеем на скриншоте. Домашняя сеть - br1, гостевая сеть - br0. Это все делаем для работы встроенного в прошивку шейпера.
Да и не забудте поставить галочку dhcp в обеих подсетях и Сохранить. Роутер может перегрузиться или сменить адрес, по этому будьте внимательны при формировании подсетей. Если на него не удается зайти, можно отключить на компьютере сетевой интерфейс и снова его задействовать (ПКМ на сетевом подключении-Отключить, затем сразу Подключить). У меня так и выходит, потому что при смене мостов, роутер не стал обновлять IP компьютера, интернет работал, а вот на роутер зайти не удавалось. В примере роутер доступен по двум адресам 192.168.0.1 и 192.168.0.129.

3. Идем в Расширенные настройки - VLAN и добавляем новую vlan3-VID №3 во столбце мост выставляем "НЕТ". (на случай устранения каких то проблем или подстройки можно какой-либо из свободных LAN портов на роутере переместить на vlan3, у меня все порты заняты), затем в столбце мост VID №1 выставяем LAN1(br), а VID №3 выставляем LAN(br0).
И чуть пониже, Мост WLAN к выставляем к LAN1. Ведь теперь LAN1 наша сеть+Wi-Fi, а LAN - гостевая, только Wi-Fi выходит примерно так:

не забываем нажать на кнопку Сохранить. Роутер перезагрузится.

4. После загрузки роутера....ПКМ на сетевом подключении-Отключить, затем сразу Подключить.

5. Опять идем на страничку Утилиты-Системные команды и вставляем следующее:

1-й вариант - сеть без шифрования (открытая):

Код: Выделить всё

nvram set wl0_vifs='wl0.1'           
nvram set wl0.1_ifname='wl0.1'       
nvram set wl0.1_bss_enabled='1'      
nvram set wl0.1_ssid='EDPo - napTu9I }|{yJIukoB u BopoB (uMXO)' 
nvram set wl0.1_closed='0'          
nvram set wl0.1_mode='ap'
nvram commit
 

где EDPo - 'napTu9I }|{yJIukoB u BopoB (uMXO)' - название сети.

2-й вариант с шифрованием wpa2-personal:

Код: Выделить всё

nvram set wl0_vifs='wl0.1'
nvram set wl0.1_ssid='Pa6oTau - He cMoTpu nopHo'
nvram set wl0.1_wpa_psk='parol'
nvram set wl0.1_bss_enabled='1'
nvram set wl0.1_mode='ap'
nvram set wl0.1_security_mode='wpa2_personal'
nvram set wl0.1_crypto='aes'
nvram set wl0.1_wpa_gtk_rekey='3600'
nvram set wl0.1_akm='psk2'
nvram set wl0.1_auth_mode='none'
nvram set wl0.1_closed='0'
nvram set nas_alternate='1'
nvram commit

Где "parol" - пароль для доступа к сети, кстати винда подразумевает пароль wpa не менее 8 символов, так что меньше не ставьте - не подключитесь.
А "Pa6oTau - He cMoTpu nopHo" - название сети.

Выполняем одну из этих партий команд, эти команды сохранят параметры новой сети в nvram.

6. Идем на вкладку Администрирование-Скрипты на последней закладке (wan) вставляем следующее:

Код: Выделить всё

ifconfig wl0.1 hw ether 47:5С:79:34:CA:63
ifconfig wl0.1 up
wl -a wl0.1 bssid 47:5С:79:34:CA:63
brctl addif br0 wl0.1

где 47:5С:79:34:CA:63 - придуманный уникальный MAC-адрес новой wi-fi подсети.

Опять же не забываем Сохранить и перезагружаем роутер.

7. Ждем загрузки роутера, появится новая wi-fi сеть с доступом в интернет.

Подключаемся каким-либо устройством к гостевой сети, проверяем из какой подсети IP выдан (должен быть из br0), если все верно и интернет работает, продолжаем.

8. Опять идем на вкладку Администрирование-Скрипты на закладку (Меж. экран) вставляем следующее:

Код: Выделить всё

# Make sure br0 has access to the internet:
iptables -I INPUT -i br0 -m state --state NEW -j logaccept
iptables -I FORWARD -i br0 -o $wanif -m state --state NEW -j ACCEPT

# Keep the two wireless networks from talking to each other:
iptables -I FORWARD -i br0 -o br1 -j logdrop
iptables -I FORWARD -i br1 -o br0 -j logdrop

# Keep br1 from accessing the router:
iptables -I INPUT -i br0 -p tcp --dport telnet -j REJECT --reject-with tcp-reset
iptables -I INPUT -i br0 -p tcp --dport ssh -j REJECT --reject-with tcp-reset
iptables -I INPUT -i br0 -p tcp --dport www -j REJECT --reject-with tcp-reset
iptables -I INPUT -i br0 -p tcp --dport https -j REJECT --reject-with tcp-reset

9. Сохраняем, перезагружаем роутер и подключаемся к гостевой сети, и пробуем зайти на роутер или на другой IP из домашней подсети.

Последние скрипты в п.8 для фаервола, они запрещают трафик между подсетями и доступ из гостевой подсети к роутеру. Так же можно настраивать ограничения скорости трафика на гостевую сеть, то есть на br0. Там все делается легко, думаю несложно разобраться.


Если есть какие-то дополнения или иные решения...пожалуйста, внесем исправления!

[Avasnik]

Всем привет!
Прошу помощи по сабжу. Настраиваю свежекупленный Нетгир 3500Л, работающий под последней прошивкой от Тостмана, взятой с его сайта. Проделал шаги с 1 до 6; проблема в том, что по вафле к новой сетке подключиться невозможно. Пробовал проводом (к влану подключил 4 порт): так работает корректно, адрес выдался из правильной сетки. Подскажите пожалуйста, куда копать. Параметры вай-фая заводил по второму варианту, с шифрованием; изначально пробовал выставить шифрование впа-пск (задача именно в этом, так как к этой сети будет коннектиться старенький КПК под винмобайл, который не умеет впа2 и аес), потом сделал настройки точно такие же, как у Котяр.

Ещё один вопрос: параметры вай-фая, сохранённые в нврам, как можно удалить (думаю попробовать сделать открытую сеть и попробовать коннект к ней)? Назначить им просто пустые значения?

В процессе разбирательства нашёл ещё одну инструкцию по мульти-ссид вот здесь: http://code.google.com/p/tomato-sdhc-vlan/wiki/ExperimentalMultiSSID. После прочтения траблшута проверил мак-адреса, они были разные, я их сделал одинаковыми. Не помогло.

UPDATE:
Заработало! После того, как выставил ещё один параметр в нврам:

Код: Выделить всё

nvram set wl0.1_radio='1' 

[Nolik]

Привет всем, никто не сталкивался с такой проблемой?

Сети видно, но подключается только к основной... к гостевой - unable join (( куда копать?

[Nolik]

Ну продолжим с Multi SSId...

Делаем все по инструкции Котяры )) Ставим открытую сеть... не пашет...

Читаем инструкцию http://code.google.com/p/tomato-sdhc-vl ... lMultiSSID

Делаем команды

Код: Выделить всё

ifconfig wl0.1
wl -i wl0.1 bssid

Mac адреса отличаются... Беру mac из wl меняю его у wl0.1, wifi поднимается )

Вставляем адрес из

Код: Выделить всё

wl -i wl0.1 bssid

в Адм > Скрипты > WAN

Код: Выделить всё

ifconfig wl0.1 hw ether ---адрес из wl -i wl0.1 bssid ---
ifconfig wl0.1 up
....
....

открытая сеть поднимается и работает ))

Пару вопросов и наблюдений:

Сеть вбита как в мануале с маской 255.255.255.128, то есть разделили сеть на две подсети в одном адресном диапазоне.

Смотрю мониторинг подключений, везде фигурирует интерфейс br0, а адреса соответственно и из обычной и из гостевой сети, но все показываются как br0. Это глюк или так и должно быть? То есть br1 как то не фигурирует как-то (клиенты wifi все, по сети не пробовал... роутер уехал пока)

На днях возьму новый, буду пробовать дальше...

WAP так и не удалось запустить (( не соединяет в сеть, попробую еще WEP...

[Avasnik]

Коллега, сдаётся мне, что тему можно закрывать...
В последней версии прошивки от тостмана (1.28.7495 от 28 января с.г.) мульти-ссид уже присутствует на уровне прошивки. Первоисточник здесь: http://www.4shared.com/dir/v1BuINP3/Toastman_Builds.html
Удачи!

[Nolik]

Avasnik, это на 82v прошивке? У меня там все работает, кроме описанных глюков выше... и не удалось завести в гостевой WPA, надо было WEP попробовать хотя бы.. что то руки не дошли ((

Буду шить от тостмана, надеюсь все заработает...

[Котяр]

Я затестил. Пока поднять не смог 2-ую сеть wi-fi. Пробую дальше. Ошибка вылазит - The field "wl_auth" is invalid. Please report this problem.
Делаю второй вай-фай открытый. Получилось в общем. Лучше сначала создать wpa2, сохранить и т.д. А потом уже Security - Disable выставить.
Прошивка - tomato-K26USB-1.28.7495MIPSR2-Toastman-VLAN-RT-BETA-Ext. Она бэткой идет. Видимо не все прилажено как надо еще.
Bandwidth Limiter - QOS так и не режет судя по всему скорость на brХ отличные от 0. Только br0.
Nolik, да br0 и br1 там перепутаны везде выходят. Но по факту все работает как и должно.