Wi-Fi をゲストと共有するのは礼儀正しい行為ですが、それはゲストに LAN 全体への広くオープンなアクセスを提供したいという意味ではありません。ルーターをデュアル SSID に設定し、ゲスト用に別の (安全な) アクセス ポイントを作成する方法を説明しますので、読み続けてください。
なぜこれをやりたいのか?
ホーム ネットワークにデュアル アクセス ポイント (AP) を設定する必要があるのには、非常に実用的な理由がいくつかあります。
最も多くの人にとって最も実用的なアプリケーションとなる理由は、単にホーム ネットワークを隔離して、プライベートにしておきたいものにゲストがアクセスできないようにすることです。ほぼすべての家庭用 Wi-Fi アクセス ポイント/ルーターのデフォルト設定では、単一のワイヤレス アクセス ポイントを使用し、その AP へのアクセスを許可されたユーザーには、イーサネット経由で AP に直接配線されているかのようにネットワークへのアクセスが許可されます。
言い換えれば、友人、隣人、ゲストなどに Wi-Fi AP のパスワードを教えると、ネットワーク プリンタ、ネットワーク上のオープン共有、ネットワーク上のセキュリティで保護されていないデバイスへのアクセスも許可したことになります。等々。単に電子メールをチェックしたり、オンラインでゲームをプレイさせたかっただけかもしれませんが、内部ネットワーク上のどこにでもローミングする自由を与えてしまったのです。
私たちの大多数は確かに友人に悪意のあるハッカーを持っていませんが、だからといって、ゲストが自分の居場所(フェンスの無料インターネットアクセス側)に留まるようにネットワークを設定することが賢明ではないという意味ではありません。彼らがいない場所(フェンスのホームサーバー/個人共有側)には行くことができません。
2 つの SSID で AP を実行するもう 1 つの実際的な理由は、ゲスト AP が移動できる場所だけでなく、いつ移動できるかを制限できることです。たとえば、あなたが親であり、子供がコンピュータで食事をするのにどれくらい遅くまで起きていられるかを制限したい場合は、コンピュータやタブレットなどをセカンダリ AP に置き、サブ AP 全体のインターネット アクセスに制限を設定することができます。 -SSID は、たとえば午後 9 時以降です。
私が必要なものは何?
今日のチュートリアルは、DD-WRT 互換ルーターを使用してデュアル SSID を実現することに焦点を当てています。そのため、次のものが必要になります。
- 適切なハードウェア リビジョンを備えた DD-WRT 互換ルーター 1 台 (確認方法を説明します)
- 上記ルータに DD-WRT のコピーが 1 つインストールされている
これは、ホーム ネットワークにデュアル SSID を設定する唯一の方法ではありません。 SSID は、ユビキタスな Linksys WRT54G シリーズ ワイヤレス ルーターから実行します。古いルーターにカスタム ファームウェアをフラッシュしたり、追加の構成手順を実行したりする手間を省きたい場合は、代わりに次のようにすることができます。
- など、すぐに使用できるデュアル SSID をサポートする新しいルーターを購入します。
- 2 台目のワイヤレス ルーターを購入し、スタンドアロン アクセス ポイントとして構成します。
デュアル SSID をサポートするルーターをすでに所有している場合を除き (その場合は、このチュートリアルをスキップして、デバイスのマニュアルを読むだけで済みます)、これらのオプションは両方とも、余分なお金を費やす必要があるという点で理想的とは言えません。 2 番目のオプションでは、プライマリ AP に干渉したり重複したりしないようにセカンダリ AP を設定するなど、追加の設定をたくさん行います。
これらすべてを考慮すると、私たちはすでに所有していたハードウェア (Linksys WRT54G シリーズ ワイヤレス ルーター) を使用し、現金の出費や追加の Wi-Fi ネットワーク調整を省略できて、とても満足でした。
私のルーターが互換性があることを確認するにはどうすればよいですか?
このチュートリアルを成功させるには、確認する必要がある重要な互換性要素が 2 つあります。最初の最も基本的なことは、特定のルーターが DD-WRT をサポートしているかどうかを確認することです。ここから DD-WRT wiki のルーター データベース にアクセスして確認できます。
ルーターが DD-WRT と互換性があることが確認できたら、ルーターのチップのリビジョン番号を確認する必要があります。たとえば、非常に古い Linksys ルーターをお持ちの場合、それはあらゆる点で完璧な保守可能なルーターである可能性がありますが、チップがデュアル SSID をサポートしていない可能性があります (そのため、チュートリアルと根本的に互換性がありません)。
ルーターのリビジョン番号に関しては、2 つの程度の互換性があります。一部のルータは複数の SSID を使用できますが、SSID を個別の完全に一意のアクセス ポイント (SSID ごとに一意の MAC アドレスなど) に分割することはできません。状況によっては、これにより、一部の Wi-Fi デバイスでどの SSID (両方の MAC アドレスが同じであるため) を使用する必要があるか混乱するため、問題が発生する可能性があります。残念ながら、ネットワーク上でどのデバイスが誤動作するかを予測する方法はありません。そのため、個別の SSID をサポートしていないデバイスを使用していることがわかった場合は、このチュートリアルで概説されている手法を避けることを完全にお勧めできません。
リビジョン番号は、Google 検索でルーターの特定のモデルを検索し、情報ラベル (通常はルーターの下側にあります) に印刷されているバージョン番号を確認することで確認できますが、この手法は信頼できないことがわかっています (ラベル誤って適用される可能性がある、オンラインに掲載されているモデルと製造日に関する情報が不正確である可能性があるなど)。
ルーター内のチップのリビジョン番号を確認する最も信頼できる方法は、実際にルーターをポーリングして確認することです。これを行うには、次の手順を実行する必要があります。 Telnet クライアント (PuTTY などの多目的プログラムまたは基本的な Windows Telnet コマンド) を開き、ルーターの IP アドレス (例: 192.168.1.1) に Telnet 接続します。管理者のログイン名とパスワードを使用してルーターにログインします (一部のルーターでは、ルーター上の Web ベースの管理ポータルにログインするために「admin」と「mypassword」を入力しても、「root」と入力する必要がある場合があることに注意してください) Telnet 経由でログインする場合は「」と「mypassword」を使用します)。
ルーターにログインしたら、プロンプトで次のコマンドを入力します。
nvram show|grep corerev
これにより、ルーターのチップのコア リビジョン番号が次の形式で返されます。
wl0_corerev=9
wl_corerev=
上記の出力が意味するのは、ルーターには 1 つの無線 (wl0、wl1 はない) があり、その無線チップのコア リビジョンは 9 であるということです。出力をどのように解釈しますか?リビジョン番号は、ガイドとの関係で次のことを意味します。
- 0 ~ 4 ルーターは複数の SSID (一意の識別子またはその他) をサポートしていません。
- 5-8 ルーターは複数の SSID をサポートします (ただし、一意の識別子はサポートしません)。
- 9+ ルーターは複数の SSID (一意の識別子付き) をサポートします
上記のコマンド出力からわかるように、幸運でした。当社のルーターのチップは、一意の識別子を持つ複数の SSID をサポートする最も低いリビジョンです。
ルーターが複数の SSID をサポートできると判断したら、DD-WRT をインストールする必要があります。ルーターに DD-WRT が同梱されているか、すでにインストールされている場合は、素晴らしいことです。まだインストールしていない場合は、DD-WRT Web サイトから適切なバージョンをダウンロードし、チュートリアル「 DD-WRT でホーム ルーターをスーパーパワーのルーターに変える」に 従うことをお勧めします。
チュートリアルに加えて、広範で優れたメンテナンスが行われている DD-WRT wiki の価値を強調することはできません。特定のルーターと、そこに新しいファームウェアをフラッシュするためのベスト プラクティスを読んでください。
複数の SSID に対する DD-WRT の構成
互換性のあるルーターがあり、それに DD-WRT をフラッシュしました。次に、2 番目の SSID の設定を開始します。常に有線接続経由で新しいファームウェアをフラッシュする必要があるのと同様に、変更によってワイヤレス コンピューターがネットワークから切断されないようにするために、有線接続経由でワイヤレス設定を作業することを強くお勧めします。
イーサネット経由でルーターに接続されているコンピューターで Web ブラウザーを開きます。デフォルトのルーター IP (通常は 198.168.1.1) に移動します。 DD-WRT インターフェイス内で、[ワイヤレス] -> [基本設定] に移動します (上のスクリーンショットを参照)。既存の Wi-Fi AP の SSID が「HTG_Office」であることがわかります。
ページの下部の「仮想インターフェイス」セクションで、「追加」ボタンをクリックします。以前は空だった「仮想インターフェイス」セクションが展開され、次の事前設定されたエントリが表示されます。
この仮想インターフェイスは、既存の無線チップに便乗しています (新しいエントリのタイトルにある wl0.1 に注目してください)。 SSID の省略表現でもこれが示されており、デフォルト SSID の末尾の「vap」は仮想アクセス ポイントを表します。新しい仮想インターフェイスの下の残りのエントリを分析してみましょう。
SSID は任意の名前に変更できます。既存の命名規則に従って (そしてゲストの負担を軽減するために)、SSID をデフォルトから「HTG_Guest」に変更します。メインの Wi-Fi AP が「HTG_Office」であることを思い出してください。
ワイヤレス SSID ブロードキャストを有効のままにします。多くの古いコンピュータや Wi-Fi 対応デバイスは、シークレット SSID をあまり適切に使用できないだけでなく、非表示のゲスト ネットワークはあまり魅力的でも有用なゲスト ネットワークでもありません。
AP 分離は、お客様の裁量で有効または無効にするセキュリティ設定です。 AP 分離を有効にすると、ゲスト Wi-Fi ネットワーク上のすべてのクライアントが相互に完全に分離されます。セキュリティの観点から見ると、これは悪意のあるユーザーが他のユーザーのクライアントを覗き見するのを防ぐため、優れています。ただし、これは企業ネットワークや公共のホットスポットにとってはより大きな問題です。実際には、これは、姪と甥が外出し、ニンテンドー DS ユニットで Wi-Fi にリンクされたゲームをプレイしたい場合でも、DS ユニットがお互いに認識できないことを意味します。ほとんどの家庭および小規模オフィスのアプリケーションでは、AP を分離する理由はほとんどありません。
ネットワーク構成の非ブリッジ/ブリッジ オプションは、Wi-Fi AP が物理ネットワークにブリッジされるかどうかを示します。これは直観に反していますが、「ブリッジ」に設定したままにする必要があります。リンク解除プロセスをルーターのファームウェアに(やや不器用に)処理させるのではなく、手動ですべてを自分たちで解除し、よりクリーンで安定した結果を得るつもりです。
SSID を変更して設定を確認したら、[保存] をクリックします。
次に、[ワイヤレス] -> [ワイヤレス セキュリティ] に移動します。
デフォルトでは、2 番目の AP にはセキュリティはありません。テスト用に一時的にそのままにしておくことができます (私たちは最後まで開いたままにしました)。テスト デバイスにパスワードを入力する手間を省きます。ただし、永続的に開いたままにすることはお勧めしません。この時点で開いたままにするかどうかに関係なく、前のセクションとこのセクションの両方で行った変更を有効にするには、「保存」をクリックしてから「設定を適用」をクリックする必要があります。変更が有効になるまでに最大 2 分かかる場合がありますので、しばらくお待ちください。
ここで、近くの Wi-Fi デバイスがプライマリ AP とセカンダリ AP の両方を認識できることを確認します。スマートフォンで Wi-Fi インターフェースを開くと、すぐに確認できる優れた方法です。 Android スマートフォンの Wi-Fi 設定ページのビューは次のとおりです。
ルーターにさらにいくつかの変更を加える必要があるため、まだセカンダリ AP に接続できませんが、両方がリストに表示されるのは常に便利です。
次のステップでは、ゲスト Wi-Fi デバイスに一意の IP アドレス範囲を割り当てることで、ネットワーク上の SSID を分離するプロセスを開始します。
[セットアップ] -> [ネットワーク] に移動します。 「ブリッジ」セクションで、「追加」ボタンをクリックします。
まず、最初のスロットを「br1」に変更し、残りの値は同じのままにします。上記の IP/サブネット エントリはまだ表示されません。 「設定を適用」をクリックします。新しいブリッジは [ブリッジ] セクションにあり、[IP] セクションと [サブネット] セクションが利用可能になります。 IP アドレスを通常のネットワークの IP から 1 つの値に設定します (たとえば、プライマリ ネットワークは 192.168.1.1 なので、この値を 192.168.2.1 にします)。サブネット マスクを 255.255.255.0 に設定します。ページ下部にある「設定を適用」を再度クリックします。
ゲストネットワークをブリッジに割り当てる
注: この部分を指摘し、チュートリアルに追加する手順を教えてくれた読者の Joel に感謝します。
「ブリッジに割り当て」で「追加」をクリックします。最初のドロップダウンから作成した新しいブリッジを選択し、「wl0.1」インターフェイスとペアリングします。
次に、「保存」をクリックして「設定を適用」をクリックします。
変更が適用されたら、もう一度ページの一番下までスクロールして、「DHCPD」セクションを表示します。 「追加」をクリックします。最初のスロットを「br1」に切り替えます。残りの設定は同じままにしておきます (下のスクリーンショットを参照)。
もう一度「設定を適用」をクリックします。 「セットアップ -> ネットワーク」ページのタスクをすべて完了したら、接続と DHCP の割り当てに進むことができます。
注: デュアル SSID 用に設定している Wi-Fi AP が別のデバイスに便乗している場合 (例: 自宅またはオフィスに 2 台の Wi-Fi ルーターがあり、カバレッジを拡張し、もう 1 台はゲスト SSID を設定している場合)はチェーンの 2 番目です) サービス セクションで DHCP を設定する必要があります。これがあなたの設定のようであれば、「サービス -> サービス」セクションに移動してください。
サービス セクションでは、ルーターがゲスト ネットワークに接続しているデバイスに動的 IP アドレスを適切に割り当てるように、DNSMasq セクションに少しコードを追加する必要があります。 DNSMasq セクションを下にスクロールします。 [追加の DNSMasq オプション] ボックスに、次のコードを貼り付けます (各行の機能を説明する # コメントを除く)。
# Enables DHCP on br1
interface =br1
# Set the default gateway for br1 clients
dhcp-option=br1,3,192.168.2.1
# Set the DHCP range and default lease time of 24 hours for br1 clients
dhcp-range=br1,192.168.2.100,192.168.2.150,255.255.255.0,24h# Enables DHCP on br1
interface =br1
# Set the default gateway for br1 clients
dhcp-option=br1,3,192.168.2.1
# Set the DHCP range and default lease time of 24 hours for br1 clients
dhcp-range=br1,192.168.2.100,192.168.2.150,255.255.255.0,24h
ページ下部の「設定を適用」をクリックします。
テクニック 1 を使用した場合でも、テクニック 2 を使用した場合でも、新しいゲスト SSID に接続するまで数分間待ちます。ゲスト SSID に接続する場合は、IP アドレスを確認してください。上記で指定した範囲内の IP が必要です。繰り返しますが、スマートフォンを使用して以下を確認すると便利です。
すべてが良さそうです。セカンダリ AP は適切な範囲で動的 IP を割り当てており、インターネットに接続できるようになります。ここでメモしておきますが、大成功です。
ただし、唯一の問題は、セカンダリ AP が依然としてプライマリ ネットワークのリソースにアクセスできることです。これは、ネットワークに接続されたすべてのプリンター、ネットワーク共有などが引き続き表示されることを意味します (今すぐテストでき、セカンダリ AP 上のプライマリ ネットワークからネットワーク共有を見つけてみてください)。
セカンダリ AP 上のゲストがこれらにアクセスできるようにしたい場合 (そして、ゲストの帯域幅やインターネットの使用を許可する時間を制限するなど、他のデュアル SSID タスクを実行できるようにチュートリアルに従っている場合)、効果的には次のようになります。チュートリアルで完了しました。
ほとんどの人は、ゲストがネットワークを覗くのを防ぎ、Facebook や電子メールに固執するようにゲストを誘導したいと考えていると思います。その場合は、物理ネットワークからセカンダリ AP のリンクを解除してプロセスを完了する必要があります。
「管理」 -> 「コマンド」に移動します。 「コマンド シェル」というラベルの付いた領域が表示されます。次のコマンドを # コメント行を除いて編集可能領域に貼り付けます。
#Removes guest access to physical network
iptables -I FORWARD -i br1 -o br0 -m state --state NEW -j DROP
iptables -I FORWARD -i br0 -o br1 -m state --state NEW -j DROP
#Removes guest access to the router's config GUI/ports
iptables -I INPUT -i br1 -p tcp --dport telnet -j REJECT --reject- with tcp-reset
iptables -I INPUT -i br1 -p tcp --dport ssh -j REJECT --reject- with tcp-reset
iptables -I INPUT -i br1 -p tcp --dport www -j REJECT --reject- with tcp-reset
iptables -I INPUT -i br1 -p tcp --dport https -j REJECT --reject- with tcp-reset#Removes guest access to physical network
iptables -I FORWARD -i br1 -o br0 -m state --state NEW -j DROP
iptables -I FORWARD -i br0 -o br1 -m state --state NEW -j DROP
#Removes guest access to the router's config GUI/ports
iptables -I INPUT -i br1 -p tcp --dport telnet -j REJECT --reject- with tcp-reset
iptables -I INPUT -i br1 -p tcp --dport ssh -j REJECT --reject- with tcp-reset
iptables -I INPUT -i br1 -p tcp --dport www -j REJECT --reject- with tcp-reset
iptables -I INPUT -i br1 -p tcp --dport https -j REJECT --reject- with tcp-reset
「ファイアウォールを保存」をクリックし、ルーターを再起動します。
これらの追加のファイアウォール ルールは、2 つのブリッジ (プライベート ネットワークとパブリック/ゲスト ネットワーク) 上のすべての通信を単純に停止し、ゲスト ネットワーク上のクライアントと、ホスト上の Telnet、SSH、または Web サーバー ポート間の通信を拒否します。 (したがって、ルーターの設定ファイルへのアクセスをまったく制限します)。
コマンド シェルと起動、シャットダウン、およびファイアウォール スクリプトの使用について説明します。まず、IPTABLES コマンドが順番に処理されます。個々の行の順序を変更すると、結果が大きく変わる可能性があります。次に、DD-WRT でサポートされているルーターは数十あり、特定のルーターや構成によっては、上記の IPTABLES コマンドを微調整する必要がある場合があります。このスクリプトは私たちのルーターで機能し、タスクを実行するために最も広範かつ単純なコマンドを使用しているため、ほとんどのルーターで機能するはずです。そうでない場合は、 DD-WRT ディスカッション フォーラム で特定のルーター モデルを検索し、他のユーザーが同じ問題を経験していないかどうかを確認することを強くお勧めします。
この時点で構成は完了し、デュアル SSID とその実行に伴うすべての利点を楽しむ準備が整いました。ゲスト パスワードを簡単に発行 (および任意に変更) したり、ゲスト ネットワークの QoS ルールを設定したり、プライマリ ネットワークにまったく影響を与えない方法でゲスト ネットワークを変更および制限したりすることができます。
