访客网络
如果直接将家中的无线 wifi 密码共享出去, 可能会带来安全隐患, 客人手机可能有 wifi 共享软件, 木马、病毒等, 造成家中 wifi 密码泄露。 所以我们需要既能提供给客人 internet 网络接入, 同时又保证安全的解决方案。
IP地址规划
创建访客网络之前, 我们先进行网络IP地址的规划。通常内网IP地址段有如下:
10.0.0.0/8
100.64.0.0/10 (运营商使用的内网地址)
172.16.0.0/12
192.168.0.0/16
一般家庭用的内网IP地址通常集中于 192.168.0.0/16 网段, 因此我们选择访客网络为192网段, 具体选择的网段为: 192.168.10.1/24, 接入点名称为: home-guest
配置步骤
实现访客网络需要下述几个步骤: 创建访客网络wifi接入点AP --> 设置访客网络接口及DHCP --> 配置防火墙 --> 设置防火墙安全规则。 下面一步一步进行。
1. 创建访客网络AP接入点
从浏览器页面进入OpenWrt系统, 点击 “网络” --> “无线”, 添加访客网络(可以对2.4H/5G频段进行添加)。如下所示:
进入创建页面,设置 SSID 为 "home-guest", 在所属网络处,下拉列表框选择创建, 创建网络 “guest”, 其它的 wifi 设置 (例如密码等) 自行设置。
然后点“保存并应用”。 此时在 “网络”-->“接口”处, 生成了名为“guest”的网络。然后配置它的 IP 地址和 DHCP 功能。 点击 “网络”-->“接口”, 选择 "GUEST", 选择 “编辑”,设置:
# 常规设置
协议: 静态地址
设备: 无线网络 Master "home-guest"
IP 地址: 192.168.10.1
子网掩码为: 255.255.255.0
# 高级设置
开机自动运行: on
强制链路: on
# DHCP 服务器
DHCP服务: 启用
在 "防火墙设置" 菜单, 创建/分配防火墙区域为 "guest"
2.防火墙设置
点击 "网络" -> "防火墙" 配置, 创建guest区域, 配置如下:
入站: 拒绝
出站: 接受
转发: 拒绝 (如果不能上网,请调整为 “接受”)
涵盖的网络: guest
允许转发到目标区域: wan
3. 安全规则
我们需要配置如下几点:
- 允许访客网络访问路由器的53端口实现dns查询
- 允许访客网络访问路由器的67-68端口实现dhcp请求
- 禁止访客网络访问家庭局域网。
- 禁止访客网络访问路由器的管理端口: 22(SSH), 80(HTTP), 443(HTTPS),其它的例如 samba/ftp 请自行设置。
点击 "网络" -> "防火墙", "通信规则" 选项卡, 添加以下几条规则:
规则名称 | 协议 | 源区域 | 源端口 | 目标区域 | 目标端口 | 动作 |
---|---|---|---|---|---|---|
Allow Guest DNS | TCP+UDP | guest | 任意 | 设备(输入) | 53 | 接受 |
Allow Guest DHCP Request | UDP | guest | 67-68 | 设备(输入) | 67-68 | 接受 |
Disable Local LAN | 任意 | guest | 任意 | lan | 任意 | 丢弃 |
Disable Access Gateway | TCP+UDP | guest | 任意 | 设备(输入) | 22 80 443 | 拒绝 |
经过上述步骤设置后,访客网络应该就能使用,并且和本地家庭网络进行了隔离。 访客网络不能访问路由器的ssh, web管理页面。