Гостевой Wi-Fi на простой беспроводной точке доступа с помощью LuCI

Настройка гостевого Wi-Fi обеспечит доступ в Интернет для ненадежных устройств Wi-Fi, изолируя их от других устройств в вашей основной сети.

В этом руководстве мы создадим новую гостевую сеть и используем правила безопасности брандмауэра и маскировку, чтобы изолировать ее.

Это руководство представляет собой удобную для пользователя альтернативу LuCI (веб-интерфейсу) Guest Wi-Fi basics и Guest Wi-Fi extras (командной строки).

Будем создавать гостевую беспроводную WAN сеть в 192.168.2.xxx, и предполагаем что частная локальная LAN / WLAN по умолчанию присутствует на 192.168.1.xxx.

Прежде чем мы создадим точку доступа Guest_WiFi, мы собираемся создать интерфейс, который будет использовать этот Wi-Fi.
Мы начинаем с создания нового устройства (это пустой мост!), чтобы иметь чистое пустое устройство для нового интерфейса, который мы создадим позже.
Мост не является необходимым на 100%, но помогает избежать других проблем и помогает запустить новый интерфейс без ошибок.

Перейдите в раздел Сеть>Интерфейсы (Network>Interfaces)
Как указывалось ранее, предполагается, что у вас уже есть работающая конфигурация dumb AP.
Это означает, что IP-адрес вашей локальной сети OpenWRT dumb AP находится в той же подсети, что и ваш основной маршрутизатор, и что его адрес не конфликтует ни с какими другими устройствами в сети.
Часто это означает, что этот адрес отличается от 192.168.1.1, который обычно уже используется вашим основным маршрутизатором.
Если вы настроите локальный интерфейс dumb AP в качестве DHCP-клиента, это будет выполняться главным маршрутизатором/DHCP-сервером
Если вы строго следовали этому руководству - Wi-Fi Extender/Repeater with Bridged AP over Ethernet (не dhcp, а версия со статическим ip), ваш обычный IP-адрес точки доступа, скорее всего, 192.168.1.2

Перейдите на вкладку “Устнойства” (Devices), для настройки первого шага вашего Гостевого (GUEST) WiFi.

Нажмите “Добавить конфигурацию устройства...” (“Add device configuration...”)

Выберите тип устройства “Мост” (“Bridge Device”)
Имя устройства любое, например “br-guest”
НЕ выбирайте ничего в поле “Порты” (“Bridge ports”)
и выберите “Активировать пустой мост” (“Bring up empty bridge”)

Список ваших устройств должен выглядеть следующим образом. Сохраните его.
Перейдите на вкладку “Интерфейсы” и воспользуемся нашим новым устройством

Нажмите “Добавить новый интерфейст...” (“Add new interface”)

Установите параметры в соответствии со снимком экрана и выберите “Создать интерфейс” (“create interface”)

Присвойте новому интерфейсу новый статический IP-адрес.
В данном примере это значение равно 192.168.2.1
IP-адрес и подсеть ДОЛЖНЫ отличаться от вашей локальной сети.
Здесь локальная сеть находится в 192.168.1.0/24 (192.168.1.1 - 192.168.1.254),
мы будем использовать для гостевого интерфейса адрес 192.168.2.1 с маской подсети IPv4 255.255.255.0 (это подсеть 192.168.2.0/24).

Оставьте шлюз нетронутым/пустым. На скриншоте серым цветом выделен адрес 192.168.1.1, который является адресом основного маршрутизатора, как предполагается в этой статье.

Теперь выберите вкладку “DHCP-сервер” (“DHCP Server”)

Включите DHCP-сервер для ГОСТЕВОЙ сети, нажав кнопку “Настроить DHCP-сервер” (“Set Up DHCP Server”).

Вам не нужно здесь изменять настройки.
Нажмите “Сохранить” (“Save”) и “Применить” (“Save & Apply”) на странице интерфейса

Обратите внимание, что ваша ГОСТЕВАЯ сеть использует локальную сеть в качестве своей вышестоящей сети
Поэтому нам необходимо проверить и/или убедиться, что локальная сеть на вашем dumb AP настроена правильно
В локальной сети на вашем dumb AP необходимо правильно настроить по крайней мере два параметра, чтобы иметь возможность увеличить объем вашего гостевого трафика, а именно “Стандартный шлюз” (“Standard Gateway”) и “DNS-сервер” (“DNS Server”) локальной сети.
Хорошая новость заключается в том, что если вы настроили свой dumb AP в качестве DHCP-клиента, эти два параметра уже установлены автоматически.

Если вы настроили свою удаленную точку доступа вручную, вам необходимо убедиться, что установлены стандартный шлюз локальной сети и DNS-сервер локальной сети.
Вы можете пропустить изменения / проверки (следующие три скриншота) в локальной сети, если у вас нет доступа к точке доступа в качестве DHCP-клиента, и продолжить в разделе брандмауэра этого руководства.

Перейдите на страницу “Интерфейсы” (“Interfaces”), найдите свой интерфейс локальной сети и нажмите “Редактировать” (“Edit”), чтобы отредактировать свой интерфейс локальной сети

Выберите вкладку “Основные настройки” (“General”) на странице конфигурации локальной сети
Убедитесь, что в графе “IPv4-адрес шлюза” (“Standard Gateway”) указан ваш стандартный шлюз.
Если нет - вставьте 192.168.1.1 как “Стандартный шлюз” (“Standard Gateway”) (стандартный OpenWRT).

Выберите вкладку “Расширенные настройки” (“Advanced Settings”).
Убедитесь, что настроен рабочий DNS.
В разделе “Использовать собственные DNS-серверы” (“Custom DNS server”) должен отображаться DNS-сервер в вашей системе, стандарт OpenWRT - 192.168.1.1, ваш основной маршрутизатор.
→ Любой общедоступный DNS-сервер, подобный 1.1.1.1, также будет работать, но вы ДОЛЖНЫ настроить один DNS-сервер для вашей гостевой сети.

Нажмите “Сохранить” (“save”), и вы вернетесь на страницу обзора “Интерфейса” (“Interface”).

Нажимаем “Применить” (“Save & Apply”) если есть несохраненные изменения.
Вы создали новый интерфейс со статическим IP-адресом, включили гостевой DHCP-сервер и установили за ним пустой мост в качестве устройства.
Вы также убедились, что в вашей вышестоящей сети “LAN” настроены “Стандартный шлюз” и “DNS-сервер”.
Отлично!

Давайте теперь также создадим зону брандмауэра для нашего нового интерфейса
Нажмите “редактировать” (“edit”) рядом с вашим “guest” интерфейсом и снова настроим интерфейс.

Создайте новую зону брандмауэра под названием “guest” на вкладке “Настройки межсетевого экрана” (“Firewall”) страницы настройки вашего интерфейса.
Нажмите “Сохранить” (“Save”)
Ваш интерфейс для гостевого трафика готов, в него добавлена собственная зона брандмауэра.
Давайте перейдем к разделу брандмауэра вашего маршрутизатора, чтобы настроить эту новую зону брандмауэра, которую мы только что создали.

После того, как вы “Сохранили и применили” все настройки в разделе интерфейса,
перейдите в меню LuCI в “Сеть→Межсетевой экран” (“Network → Firewall Settings”) и отредактируйте зону “guest” брандмауэра, которую вы только что создали.

Задайте для зоны “guest” следующий параметр:
Источник “Input” для ОТКЛОНЯТЬ (“REJECT”), Исходящий трафик “Output” для ПРИНИМАТЬ (“ACCEPT”) и Внутризональная пересылка “Foward” ОТКЛОНЯТЬ (“REJECT”).
Разрешить перенаправление в 'зоны назначения' (Allow forward to destination zone): `lan`.
Нажмите “Сохранить” (“Save & Apply”).

После включите “Маскарадинг IPv4” (“masquerading”) для вашей локальной сети,
ваш экран должен выглядеть так, как показано на скриншоте выше
В принципе, вы завершили настройку гостевой сети.

В следующем разделе мы настроим правило брандмауэра для изоляции гостевой (GUEST) сети от локальной сети.

Перейдите на вкладку “Правила для трафика” внутри “Межсетевой экран” (“Firewall” → “Traffic Rules”) и добавьте следующие три правила:

Разрешите DHCP-трафик от ваших гостей к вашему маршрутизатору (“guest_DHCP”)

Разрешите DNS-трафик от ваших гостей к вашему маршрутизатору (“quast_DNS”)

Блокировка трафика, поступающий из “гостевой” (“guest”) зоны, если гость хочет подключиться к сетевым устройствам в вашей зоне “LAN” (“Block_Guest_from_Lan”).

Все готово для добавления “гостевой беспроводной сети” в вашу конфигурацию
Перейдите в раздел “Сеть → Беспроводная связь” (“Network → Wireless”), чтобы выполнить заключительную часть

Добавьте новую беспроводную радиостанцию, используя кнопку “Добавить” (“Add”) на radio0 или radio1
В этом примере мы будем использовать radio1

Выберите ESSID для вашей беспроводной гостевой сети.
В этом руководстве мы используем Guest_WiFi
одключите ваш Guest_WiFi к интерфейсу “guest”, который мы создали на шаге 1
В этом руководстве мы не меняем настройки безопасности беспроводной сети (= настройка пароля Wi-Fi) - возможно, вам следует это сделать ;)
нажмите кнопку “сохранить” (“save”)

Нажимаем “Применить” (“Save & Apply”)

ВСЕ ГОТОВО. Предприняты все необходимые шаги для создания изолированной гостевой сети в “простой точке беспроводного доступа”.
Если вам интересно, как все работает и как сделать настройки еще более четкими (с устранением всех следов WAN), читайте дальше.

Мы создали новый интерфейс на основе нового виртуального устройства (empty bridge) и подключили к нему точку доступа WLAN. Новый (гостевой WiFi) интерфейс имеет собственную службу DHCP / отдельные IP-адреса, зону брандмауэра, которые отличаются от тех, что используются в сегменте локальной сети
Трафик из сети Guest_WiFI направляется на вышестоящий шлюз (основной маршрутизатор), и этот маршрутизатор подключается к Интернету.

С точки зрения основного маршрутизатора, весь гостевой трафик, по-видимому, поступает с IP-адреса удаленной точки доступа в локальной сети, что возможно благодаря опции “маскировка” (“masquerading”) в зоне брандмауэра локальной сети.
Без этого вышестоящий маршрутизатор не знал бы, как подключиться к сети. Без трех правил брандмауэра и параметра “отклонить” гостевые пользователи могли бы попытаться получить доступ к маршрутизатору AccessPoint и всем другим устройствам в локальной сети.

Необязательно / ДОПОЛНИТЕЛЬНО:
В режиме dumb AP можно удалить настройки зоны WAN и брандмауэра WAN, так как WAN не используется в режиме dumb AP. Все выглядит немного “чище”, если вы также выберете это дополнение.
Панель управления брандмауэром будет выглядеть следующим образом:

Этот снимок экрана (на котором устранены все следы WAN) проясняет, что на самом деле происходит в разделе брандмауэра в dumbAP + Guest szenario.

а обзор интерфейса выглядит примерно так (пожалуйста, обратите внимание, что используемые IP-адреса / сети на скриншоте отличаются от стандарта OpenWRT).

По сравнению со стандартной установкой OpenWRT,
“Гость” ведет себя немного как локальная сеть в стандарте OpenWRT, со своим собственным IP-пространством / DHCP и перенаправляет свой трафик в свою зону восходящей сети. Но зона восходящей сети теперь является LAN, а не WAN
и
Локальная сеть выполняет роль глобальной сети (по сравнению со стандартной установкой OpenWRT), получая перенаправленный трафик от гостя, включая маскировку этого трафика
Роль глобальной сети выполняет другой маршрутизатор с реальным доступом к глобальной сети, который предоставляет свой DHCP и стандартный шлюз и брандмауэр клиентам локальной сети dumbAP, а также выступает в качестве стандартного шлюза / DNS-сервера / основного брандмауэра для гостевого Wi-Fi.

В правиле для трафика Guest_DHCP в поле порт назначения попробуйте выбрать порт 67 или 68