跳到主要内容

访客网络

如果直接将家中的无线 wifi 密码共享出去, 可能会带来安全隐患, 客人手机可能有 wifi 共享软件, 木马、病毒等, 造成家中 wifi 密码泄露。 所以我们需要既能提供给客人 internet 网络接入, 同时又保证安全的解决方案。

IP地址规划

创建访客网络之前, 我们先进行网络IP地址的规划。通常内网IP地址段有如下:

10.0.0.0/8
100.64.0.0/10 (运营商使用的内网地址)
172.16.0.0/12
192.168.0.0/16

一般家庭用的内网IP地址通常集中于 192.168.0.0/16 网段, 因此我们选择访客网络为192网段, 具体选择的网段为: 192.168.10.1/24, 接入点名称为: home-guest

配置步骤

实现访客网络需要下述几个步骤: 创建访客网络wifi接入点AP --> 设置访客网络接口及DHCP --> 配置防火墙 --> 设置防火墙安全规则。 下面一步一步进行。

1. 创建访客网络AP接入点

从浏览器页面进入OpenWrt系统, 点击 “网络” --> “无线”, 添加访客网络(可以对2.4H/5G频段进行添加)。如下所示:

进入创建页面,设置 SSID 为 "home-guest", 在所属网络处,下拉列表框选择创建, 创建网络 “guest”, 其它的 wifi 设置 (例如密码等) 自行设置。

然后点“保存并应用”。 此时在 “网络”-->“接口”处, 生成了名为“guest”的网络。然后配置它的 IP 地址和 DHCP 功能。 点击 “网络”-->“接口”, 选择 "GUEST", 选择 “编辑”,设置:

# 常规设置
协议: 静态地址
设备: 无线网络 Master "home-guest"
IP 地址: 192.168.10.1
子网掩码为: 255.255.255.0

# 高级设置
开机自动运行: on
强制链路: on

# DHCP 服务器
DHCP服务: 启用

在 "防火墙设置" 菜单, 创建/分配防火墙区域为 "guest"

2.防火墙设置

点击 "网络" -> "防火墙" 配置, 创建guest区域, 配置如下:

入站: 拒绝
出站: 接受
转发: 拒绝 (如果不能上网,请调整为 “接受”)
涵盖的网络: guest
允许转发到目标区域: wan

3. 安全规则

我们需要配置如下几点:

  • 允许访客网络访问路由器的53端口实现dns查询
  • 允许访客网络访问路由器的67-68端口实现dhcp请求
  • 禁止访客网络访问家庭局域网。
  • 禁止访客网络访问路由器的管理端口: 22(SSH), 80(HTTP), 443(HTTPS),其它的例如 samba/ftp 请自行设置。

点击 "网络" -> "防火墙", "通信规则" 选项卡, 添加以下几条规则:

规则名称协议源区域源端口目标区域目标端口动作
Allow Guest DNSTCP+UDPguest任意设备(输入)53接受
Allow Guest DHCP RequestUDPguest67-68设备(输入)67-68接受
Disable Local LAN任意guest任意lan任意丢弃
Disable Access GatewayTCP+UDPguest任意设备(输入)22 80 443拒绝

经过上述步骤设置后,访客网络应该就能使用,并且和本地家庭网络进行了隔离。 访客网络不能访问路由器的ssh, web管理页面。