手把手教你配置ImmortalWrt/OpenWrt中的“访客网络”,实现访客安全使用Wi-Fi。
0. 前言
随着Wi-Fi无线网络技术、产品和应用的普及和发展,越来越多的家庭和公共场所都需要为客人提供互联网接入服务。如果直接将私有的无线Wi-Fi密码共享出去,一来会有隐私暴露,客人手机可能有Wi-Fi共享软件、木马、病毒等,造成Wi-Fi密码泄露和病毒在内部网络的传播。二来可能会有安全隐患,客人的手机、电脑等终端直接接入内网,存在内网路由器、电脑等被攻击的风险。如何既能提供给客人便捷的互联网接入服务,同时又保证安全是一个现实的问题。
幸运的是,目前很多的中高端Wi-Fi无线路由器都内置、或者可以配置访客网络功能,方便我们对访客使用Wi-Fi进行安全管理。接下来我们就用ImmortalWrt/OpenWrt系统来演示如何在无线路由器系统中配置访客网络,从而实现对访客网络的管理。
1) IP地址规划
配置访客网络之前,我们先进行网络IP地址的规划:
内部网络(私有网络)ip地址:192.168.6.0/24
访客网络ip地址:192.168.4.0/24
接入点SSID名称为:Guest-2.4G/Guest-5G
2) 大概的步骤
配置访客网络需要下述几个步骤:
创建访客网络无线Wi-Fi 接入点–> 设置访客网络接口及DHCP –> 配置防火墙 –> 设置防火墙安全措施。
下面一步一步进行。
1. 创建访客网络无线Wi-Fi接入点接口SSID、密码。
从浏览器登录入OpenWrt后台, 点击 “网络” –> “无线”, 分别对应添加2.4G和5G访客网络接入点。如下所示:
进入2.4G访客无线网络接口设置页面, 记住自动生成的2.4G无线接口名字Ra1,后面会用到。设置SSID为“Guest-2.4G”,认证模式选WPA2PSK,设置一个可以公开出去的Wi-Fi密码1234567890,勾选“启用AP隔离”,其他保持默认,应用&保存,退出。
同样的,进入5G访客无线网络接口设置页面, 记住自动生成的5G无线接口名字Rai1,后面也会用到。设置SSID为“Guest-5G”,认证模式选WPA2PSK,设置一个可以公开出去的Wi-Fi密码1234567890,勾选“启用AP隔离”,其他保持默认,应用&保存,退出。
保存返回无线主页面,确认创建的无线接口名字和SSID名字正确。
2. 配置访客网络接口、IP地址和启用DHCP服务:
进入 网络——接口——添加新接口
进入“创建新接口”页面,新接口名称:Guest,新接口的协议选“静态地址”,勾选“在多个接口上创建桥接”,勾选接口列表里的ra1和rai1(就是上一步骤里创建的无线接口名字),提交进入下一步。
接口——GUEST——基本设置页面,协议选静态地址,IPv4地址用事先规划好的192.168.4.1,字网掩码255.255.255.0,网关192.168.4.1,自定义DNS服务器填入宽带运营商提供的DNS服务器IP地址。
高级设置页面,勾选“开机自动运行”、“使用内置的IPv6管理”、“强制链路”这3项,其他保持默认
物理设置页面,勾选“桥接接口”、“开启STP”,接口列表里勾选“ra1”、“rai1”
配置完上面的一般配置后,拉到底部,点击“配置DHCP服务器”进入
DHCP服务器——基本设置,开始地址、客户数量、租期根据需要设置。
DHCP服务器——高级设置,勾选“动态DHCP”,其他不填。
DHCP服务器——IPv6设置,路由通告服务、DHCPv6服务、NDP代理均为混合模式,DHCPv6模式为“无状态+有准确无误”,保存应用,返回到接口总览。进入下一步骤。
3. 配置防火墙:
为了实现访客网络上网,还需要配置防火墙。
防火墙——常规设置,拉到底部,点“添加”
防火墙——常规设置,名称guest,入站数据:拒绝,出站数据:接受,转发:拒绝。如果访客终端不能上网,请尝试将这3项调整为“接受”。涵盖的网络:勾选guest接口。
端口触发标签,允许转发到 目标区域,勾选wan+wan6,保存&应用,返回上一级。
区域标签,确认配置结果如下图,保存&应用。
进入下一步,配置流量规则
4. 配置防火墙安全策略:
防火墙安全设置我们需要配置如下几点:
1)允许访客网络访问路由器的53端口实现dns查询;
2)允许访客网络访问路由器的67-68端口实现dhcp请求;
3)禁止访客网络访问内部网络的其他终端;
4)禁止访客网络访问路由器的端口: 21(FTP)、22(SSH)、23(Telnet)、 80(HTTP)、 443(HTTPS)、 137-139(网络共享和旧版的SMB服务)、445(新版的SMB服务)、455(勒索病毒常用的端口),如还有其他安全需要求自行设置。
A、创建第一条规则,允许访客网络访问路由器的53端口实现dns查询;
点击“网络”——>“防火墙” ——>“通信规则”选项卡,
名称输入”Allow DNS Queries for Guest”, 端口数字输入53, 点击添加, 进入流量规则编辑页面,创建第一条规则。
流量规则编辑页面,参照下图设置好,保存&应用返回,完成第一条规则的创建。
B、同样操作创建第二条规则,允许访客网络访问路由器的67-68端口实现dhcp请求;。
C、创建第三条规则,禁止访客网络访问内部网络的其他终端;
D、创建第四条规则,禁止访客网络访问路由器的端口: 21(FTP)、22(SSH)、23(Telnet)、 80(HTTP)、 443(HTTPS)、 137-139(网络共享和旧版的SMB服务)、445(新版的SMB服务)、455(勒索病毒常用的端口),如还有其他安全需要求的参照自行设置。
5. 结论
1)经过上述步骤, 访客网络应该就能使用,并且和内部网络进行了隔离。
2)访客网络不能访问路由器的telnet、ssh、FTP、网络共享、web管理页面等,也在一定程度上避免了勒索病毒的传播。
3)如果路由器上安装了$$(不可描述)等, 需要在$$中将guest添加为local区域。
蓝光资源网 » 手把手教你配置ImmortalWrt/OpenWrt中的“访客网络”,实现访客安全使用Wi-Fi。
