Cómo habilitar un punto de acceso de invitado en su red inalámbrica

Compartir su Wi-Fi con los invitados es lo más educado que puede hacer, pero eso no significa que desee darles acceso abierto a toda su LAN. Siga leyendo mientras le mostramos cómo configurar su enrutador para SSID duales y crear un punto de acceso separado (y seguro) para sus invitados.

Compartir su Wi-Fi con los invitados es lo más educado que puede hacer, pero eso no significa que desee darles acceso abierto a toda su LAN. Siga leyendo mientras le mostramos cómo configurar su enrutador para SSID duales y crear un punto de acceso separado (y seguro) para sus invitados.

¿Por qué quiero hacer esto?

Hay varias razones muy prácticas para querer configurar su red doméstica para que tenga puntos de acceso dual (AP).

La razón con la aplicación más práctica para la mayor cantidad de personas es simplemente aislar su red doméstica para que los invitados no puedan acceder a las cosas que desean mantener en privado. La configuración predeterminada para casi todos los enrutadores/puntos de acceso Wi-Fi domésticos es usar un único punto de acceso inalámbrico y cualquier persona autorizada para acceder a ese AP tiene acceso a la red como si estuviera conectada directamente al AP a través de Ethernet.

En otras palabras, si le da a su amigo, vecino, invitado de la casa o quien la contraseña de su AP Wi-Fi, también le ha dado acceso a su impresora de red, cualquier recurso compartido abierto en su red , dispositivos no seguros en su red, etc. Es posible que solo haya querido dejar que revisen su correo electrónico o jueguen un juego en línea, pero les ha dado la libertad de moverse en cualquier lugar que deseen en su red interna.

Ahora, si bien la mayoría de nosotros ciertamente no tenemos piratas informáticos maliciosos para amigos, eso no significa que no sea prudente configurar nuestras redes para que los huéspedes se queden donde pertenecen (en el lado de la valla de acceso gratuito a Internet) no puede ir a donde no lo hacen (en el servidor doméstico/lado personal de la cerca).

Otra razón práctica para ejecutar un AP con dos SSID es la capacidad de restringir no solo dónde puede ir el AP invitado, sino cuándo. Si usted es un padre, por ejemplo, que quiere restringir qué tan tarde puede estar su hijo durmiendo en la computadora, puede poner su computadora, tableta, etc. en el AP secundario y establecer restricciones en el acceso a Internet para todo el sub -SSID después de, digamos, las 9 p.m.

¿Qué necesito?

Nuestro tutorial de hoy se centra en el uso de un enrutador compatible con DD-WRT para lograr SSID duales. Como tal, necesitará las siguientes cosas:

  • 1 enrutador compatible DD-WRT con una revisión de hardware adecuada (le mostraremos cómo verificar)
  • 1 copia instalada de DD-WRT en dicho enrutador

Esta no es la única forma de configurar SSID duales para su red doméstica. Vamos a ejecutar nuestros SSID del omnipresente enrutador inalámbrico de la serie Linksys WRT54G. Si no desea pasar por la molestia de actualizar el firmware personalizado en su antiguo enrutador y realizar los pasos de configuración adicionales, puede:

  • Compre un enrutador más nuevo que admita SSID duales desde el primer momento, como el ASUS RT-N66U.
  • Compre un segundo enrutador inalámbrico y configúrelo como un punto de acceso independiente.

A menos que ya tenga un enrutador que admita SSID duales (en cuyo caso, puede omitir este tutorial y simplemente leer el manual de su dispositivo), ambas opciones son menos que ideales, ya que tiene que gastar dinero extra y, en el caso de la segunda opción, realice un montón de configuraciones adicionales, incluida la configuración del AP secundario para que no interfiera o se superponga con su AP primario.

En vista de todo eso, estábamos más que felices de usar el hardware que ya teníamos (el enrutador inalámbrico de la serie Linksys WRT54G) y omitir el desembolso de efectivo y ajustes adicionales de la red Wi-Fi.

¿Cómo sé que mi enrutador es compatible?

Hay dos elementos críticos de compatibilidad que debe verificar para tener éxito con este tutorial. El primero, y el más elemental, es verificar que su enrutador particular tenga soporte DD-WRT. Puede visitar la base de datos de enrutadores de la wiki DD-WRT aquí para verificar.

Una vez que haya establecido que su enrutador es compatible con DD-WRT, debemos verificar el número de revisión del chip de su enrutador. Si tiene un enrutador Linksys realmente antiguo, por ejemplo, podría ser un enrutador reparable perfectamente en todos los sentidos, pero el chip puede no ser compatible con SSID duales (lo que lo hace fundamentalmente incompatible con el tutorial).

Hay dos grados de compatibilidad con respecto al número de revisión del enrutador. Algunos enrutadores pueden hacer múltiples SSID, pero no pueden dividir los SSID en puntos de acceso únicos y distintos (por ejemplo, una dirección MAC única para cada SSID). En algunas situaciones, esto puede causar problemas con algunos dispositivos Wi-Fi, ya que se confunden en cuanto a qué SSID (ya que ambos tienen la misma dirección MAC) que deberían usar.Lamentablemente, no hay forma de predecir qué dispositivos se comportarán mal en su red, por lo que no podemos recomendarle que evite la técnica descrita en este tutorial si descubre que tiene un dispositivo que no admite SSID discretos.

Puede verificar el número de revisión realizando una búsqueda en Google del modelo específico de su enrutador junto con el número de versión impreso en la etiqueta de información (generalmente se encuentra en la parte inferior del enrutador), pero hemos encontrado que esta técnica no es confiable (etiquetas puede ser mal aplicado, la información publicada en línea sobre el modelo y la fecha de fabricación puede ser inexacta, etc.)

La forma más confiable de verificar el número de revisión del chip dentro de su enrutador es sondear el enrutador para averiguarlo. Para hacerlo, debe realizar los siguientes pasos. Abra un cliente telnet (ya sea un programa multipropósito como PuTTY o el comando básico Telnet de Windows) y haga telnet a la dirección IP de su enrutador (por ejemplo, 192.168.1.1). Inicie sesión en el enrutador utilizando su nombre de usuario y contraseña de administrador (tenga en cuenta que para algunos enrutadores, incluso si escribe «admin» y «mypassword» para iniciar sesión en el portal de administración basado en web en el enrutador, es posible que tenga que escribir «root» «Y» mypassword «para iniciar sesión a través de telnet).

Una vez que haya iniciado sesión en el enrutador, escriba el siguiente comando en el indicador:

nvram show | grep corerev

Esto devolverá el número de revisión central de los chips en su enrutador en el siguiente formato:

wl0_corerev = 9
wl_corerev =

Lo que significa la salida anterior es que nuestro enrutador tiene una radio (wl0, no hay wl1) y que la revisión central de ese chip de radio es 9. ¿Cómo interpreta la salida? El número de revisión, en relación con nuestra guía, significa lo siguiente:

  • 0-4 El enrutador no admite múltiples SSID (con identificadores únicos o no)
  • 5-8 El enrutador admite múltiples SSID (pero no con identificadores únicos)
  • 9+ El enrutador admite múltiples SSID (con identificadores únicos)

Como puede ver en nuestro comando de salida anterior, tuvimos suerte. El chip de nuestro enrutador es la revisión más baja que admite múltiples SSID con identificadores únicos.

Una vez que haya determinado que su enrutador puede admitir múltiples SSID, deberá instalar DD-WRT. Si su enrutador se envió con DD-WRT o ya lo instaló, fantástico. Si aún no lo ha instalado, le recomendamos que descargue la versión adecuada del sitio web DD-WRT y siga nuestro tutorial: Convierta su enrutador doméstico en un enrutador súper alimentado con DD-WRT.

Además de nuestro tutorial, no podemos enfatizar el valor de la wiki DD-WRT extensa y excelentemente mantenida. Lea sobre su enrutador particular y las mejores prácticas para actualizar un nuevo firmware allí.

Configuración de DD-WRT para múltiples SSID

Tiene un enrutador compatible, ha actualizado DD-WRT, ahora es el momento de comenzar a configurar ese segundo SSID. Al igual que siempre debe actualizar el nuevo firmware a través de una conexión por cable, recomendamos encarecidamente trabajar en su configuración inalámbrica a través de una conexión por cable para que los cambios no obliguen a su computadora inalámbrica a desconectarse de la red.

Abra su navegador web en una computadora conectada al enrutador a través de Ethernet. Navegue a la dirección IP predeterminada del enrutador (generalmente 198.168.1.1). Dentro de la interfaz DD-WRT, navegue a Inalámbrico -> Configuración básica (como se ve en la captura de pantalla anterior). Puede ver que nuestro AP Wi-Fi existente tiene el SSID «HTG_Office».

En la parte inferior de la página, en la sección «Interfaces virtuales», haga clic en el botón Agregar. La sección «Interfaces virtuales» previamente vacía se expandirá con esta entrada prepoblada:

Esta interfaz virtual está integrada en su chip de radio existente (tenga en cuenta el wl0.1 en el título de la nueva entrada). Incluso la taquigrafía en el SSID indica esto, el «vap» al final del SSID predeterminado significa Punto de acceso virtual. Desglosemos el resto de las entradas en la nueva interfaz virtual.

Puede cambiar el nombre del SSID a lo que quiera. De acuerdo con nuestra convención de nomenclatura existente (y para facilitarles la vida a nuestros invitados) vamos a cambiar el SSID de forma predeterminada a «HTG_Guest»; recuerde que nuestro AP Wi-Fi principal es «HTG_Office».

Deje la transmisión inalámbrica SSID habilitada. No solo muchas computadoras antiguas y dispositivos habilitados para Wi-Fi no funcionan muy bien con SSID secretos, sino que una red de invitados oculta no es una red de invitados muy atractiva/útil.

AP Isolation es una configuración de seguridad que dejaremos a su discreción para habilitar o deshabilitar. Si habilita AP Isolation, todos los clientes de su red Wi-Fi de invitado estarán totalmente aislados unos de otros. Desde el punto de vista de la seguridad, esto es excelente, ya que evita que un usuario malintencionado moleste a los clientes de otros usuarios.Sin embargo, eso es más preocupante para las redes corporativas y los puntos de acceso públicos. Hablando en términos prácticos, eso también significa que si tu sobrina y sobrino han terminado y quieren jugar un juego vinculado a Wi-Fi en sus unidades Nintendo DS, sus unidades DS no podrán verse. En la mayoría de las aplicaciones domésticas y de oficina pequeña, hay pocas razones para aislar los AP.

La opción Unbridged/Bridged en Network Configuration se refiere a si el AP Wi-Fi se conectará o no a la red física. Por contradictorio que sea, debe dejarlo configurado en Bridged. En lugar de dejar que el firmware del enrutador maneje (de manera bastante torpe) el proceso de desvinculación, vamos a destrabar manualmente todo nosotros mismos con un resultado más limpio y estable.

Una vez que haya cambiado su SSID y revisado la configuración, haga clic en Guardar.

Luego navegue a Inalámbrico -> Seguridad inalámbrica:

Por defecto no hay seguridad en el segundo AP. Puede dejarlo temporalmente como tal para fines de prueba (dejamos el nuestro abierto hasta el final) para evitar que ingrese la contraseña en sus dispositivos de prueba. Sin embargo, no recomendamos dejarlo permanentemente abierto. Ya sea que opte por dejarlo abierto o no en este momento, debe hacer clic en Guardar y luego en Aplicar configuración para que los cambios que hicimos tanto en la sección anterior como en esta surtan efecto. Sea paciente, puede tomar hasta 2 minutos para que los cambios surtan efecto.

Ahora es un buen momento para confirmar que los dispositivos Wi-Fi cercanos pueden ver los AP primarios y secundarios. Abrir la interfaz Wi-Fi en un teléfono inteligente es una excelente manera de verificar rápidamente. Aquí está la vista desde la página de configuración de Wi-Fi de nuestro teléfono Android:

Todavía no podemos conectarnos al AP secundario, ya que necesitamos hacer algunos cambios más en el enrutador, pero siempre es bueno verlos a ambos en la lista.

El siguiente paso es comenzar el proceso de separar los SSID en la red mediante la asignación de un rango único de direcciones IP a los dispositivos Wi-Fi invitados.

Vaya a Configuración -> Redes. En la sección «Puente», haga clic en el botón Agregar.

Primero, cambie la ranura inicial a «br1», deje el resto de los valores iguales. Todavía no podrá ver la entrada de IP/Subred que se ve arriba. Haga clic en «Aplicar configuración». El nuevo puente estará en la sección Bridging con las secciones IP y Subred disponibles. Establezca la dirección IP en un valor fuera de la IP de su red regular (por ejemplo, su red principal es 192.168.1.1, por lo tanto, establezca este valor en 192.168.2.1). Establezca la máscara de subred en 255.255.255.0. Haga clic en «Aplicar configuración» en la parte inferior de la página nuevamente.

Asignar red de invitados al puente

Nota: gracias al lector Joel por señalar esta parte y darnos las instrucciones para agregar al tutorial.

En «Asignar a puente», haga clic en «Agregar». Seleccione el nuevo puente que creó desde el primer menú desplegable y vincúlelo con la interfaz «wl0.1».

Ahora haga clic en «Guardar» y «Aplicar configuración».

Después de aplicar los cambios, desplácese hasta la parte inferior de la página una vez más hasta la sección DHCPD. Haga clic en «Agregar». Cambie la primera ranura a «br1». Deje el resto de la configuración igual (como se ve en la captura de pantalla a continuación).

Haga clic en «Aplicar configuración» una vez más. Una vez que haya terminado todas las tareas en la página Configuración -> Redes, debería estar listo para la conectividad y la asignación de DHCP.

Nota: Si el AP Wi-Fi que está configurando para SSID duales está respaldado en otro dispositivo (por ejemplo, tiene dos enrutadores Wi-Fi en su hogar u oficina para extender su cobertura y el que está configurando el SSID invitado) on es # 2 en la cadena) necesitará configurar el DHCP en la sección Servicios. Si esto suena como su configuración, es hora de navegar a la sección Servicios -> Servicios.

En la sección de servicios, necesitamos agregar un poco de código a la sección DNSMasq para que el enrutador asigne adecuadamente las direcciones IP dinámicas a los dispositivos que se conectan a la red de invitados. Desplácese hacia abajo en la sección DNSMasq. En el cuadro «Opciones adicionales de DNSMasq», pegue el siguiente código (menos los # comentarios que explican la funcionalidad de cada línea):

# Habilita DHCP en br1
interfaz = br1
# Establecer la puerta de enlace predeterminada para clientes br1
Opción dhcp = br1,3,192.168.2.1
# Establezca el rango de DHCP y el tiempo de arrendamiento predeterminado de 24 horas para clientes br1
dhcp-range = br1,192.168.2.100,192.168.2.150,255.255.255.0,24h

Haga clic en «Aplicar configuración» en la parte inferior de la página.

Ya sea que haya utilizado la técnica uno o dos, espere unos minutos para conectarse a su nuevo SSID invitado. Cuando se conecte al SSID invitado, verifique su dirección IP. Debe tener una IP dentro del rango que especificamos con lo anterior.Nuevamente, es útil usar su teléfono inteligente para verificar:

Todo se ve bien. El AP secundario está asignando IP dinámicas en un rango apropiado, podemos acceder a Internet; estamos haciendo una nota aquí, un gran éxito.

Sin embargo, el único problema es que el AP secundario todavía tiene acceso a los recursos de la red primaria. Esto significa que todas las impresoras en red, recursos compartidos de red y demás aún están visibles (puede probarlo ahora, intente encontrar un recurso compartido de red desde su red primaria en el AP secundario).

Si quiere invitados en el AP secundario para tener acceso a estas cosas (y está siguiendo junto con el tutorial para que pueda hacer otras tareas de SSID dual como restringir el ancho de banda del invitado o los horarios en que se les permite usar el Internet), entonces ya ha terminado con el tutorial.

Imaginamos que a la mayoría de ustedes les gustaría evitar que sus invitados hurguen en su red y gentilmente los obliguen a quedarse en Facebook y correo electrónico. En ese caso, debemos finalizar el proceso al desvincular el AP secundario de la red física.

Vaya a Administración -> Comandos. Verá un área denominada «Shell de comandos». Pegue los siguientes comandos, sin las # líneas de comentario, en el área editable:

# Elimina el acceso de invitado a la red física
iptables -I FORWARD -i br1 -o br0 -m state --state NEW -j DROP
iptables -I FORWARD -i br0 -o br1 -m state --state NEW -j DROP
# Elimina el acceso de invitado a la interfaz gráfica de usuario/puertos del router
iptables -I INPUT -i br1 -p tcp --dport telnet -j REJECT --reject-with tcp-reset
iptables -I INPUT -i br1 -p tcp --dport ssh -j REJECT --reject-with tcp-reset
iptables -I INPUT -i br1 -p tcp --dport www -j REJECT --reject-with tcp-reset
iptables -I INPUT -i br1 -p tcp --dport https -j REJECT --reject-with tcp-reset

Haga clic en «Guardar firewall» y reinicie su enrutador.

Estas reglas de cortafuegos adicionales simplemente evitan que todo en los dos puentes (la red privada y la red pública/invitada) hablen, así como rechazan cualquier contacto entre un cliente en la red invitada y los puertos telnet, SSH o servidor web en el enrutador (lo que les impide intentar acceder a los archivos de configuración del enrutador).

Una palabra sobre el uso del shell de comandos y los scripts de inicio, apagado y firewall. Primero, los comandos IPTABLES se procesan en orden. Cambiar el orden de las líneas individuales puede cambiar significativamente el resultado. En segundo lugar, hay docenas y docenas de enrutadores compatibles con DD-WRT y, dependiendo de su enrutador específico y su configuración, es posible que deba modificar los comandos IPTABLES anteriores. El script funcionó para nuestro enrutador y utiliza los comandos más amplios y simples posibles para realizar la tarea, por lo que debería funcionar para la mayoría de los enrutadores. Si no es así, le recomendamos encarecidamente que busque su modelo de enrutador específico en los foros de debate DD-WRT y vea si otros usuarios han experimentado los mismos problemas que usted.

En este punto, ya ha terminado con la configuración y está listo para disfrutar de SSID duales y todos los beneficios que conlleva ejecutarlos. Puede proporcionar fácilmente una contraseña de invitado (y cambiarla a voluntad), configurar reglas de QoS para la red de invitados y, de lo contrario, modificar y restringir la red de invitados de manera que no afecte a su red principal en lo más mínimo.

Rate article
labsfabs.com
Add a comment