This translation is older than the original page and might be outdated. See what has changed.

Гостьова Wi-Fi мережа на dump AP через LuCI

Гостьова Wi-Fi мережа забезпечує доступ до Інтернету для недовірених Wi-Fi пристроїв, ізолюючи їх від інших пристроїв вашої основної мережі.

Цей посібник створює нову гостьову мережу і використовує правила брандмауера та маскарадинг для її ізоляції.

Це зручна альтернатива налаштувати через інтерфейс LuCI Базового налаштування гостьового Wi-Fi і Додаткових налаштувань гостьової Wi-Fi (через командний рядок).

Ця інструкція передбачає, що OpenWrt вже налаштований як бездротова точка доступу (так звана dumb AP).
Процедуру можна знайти тут: Створення dumb AP через LuCI.

Цей посібник створює гостьову WLAN у підмережі 192.168.2.xxx, передбачається, що основна приватна LAN / WLAN — це 192.168.1.xxx.

1. Додайте новий пристрій і новий інтерфейс

Перш ніж створити точку доступу Guest_WiFi, необхідно створити повний інтерфейс, який буде використовуватися.
Починаємо зі створення нового пристрою (це порожній міст), щоб мати чистий окремий пристрій для нового інтерфейсу.
Хоча міст не є обов’язковим, він допомагає уникнути проблем і дозволяє правильно запустити інтерфейс.

Початкова точка

Перейдіть у Network > Interfaces
Як зазначено раніше, передбачається, що у вас вже налаштована робоча dump AP.
Це означає, що IP-адреса LAN інтерфейсу OpenWrt dumb AP належить до тієї ж підмережі, що й головний маршрутизатор, і не конфліктує з іншими пристроями в мережі.
Зазвичай це означає, що його адреса — не 192.168.1.1 (вона вже зайнята головним маршрутизатором).
Якщо ваш dumb AP налаштований як DHCP-клієнт, адреса призначається головним маршрутизатором.
Якщо ви строго дотримувались цієї інструкції — Налаштування dumb AP через LuCI — з фіксованою IP-адресою, то найімовірніше, ваша адреса dumb AP — 192.168.1.2.

Тепер відкрийте вкладку “Devices”, щоб почати конфігурацію гостьової мережі.

Натисніть “Add device configuration...”

Оберіть тип пристрою “Bridge Device”
Назвіть його “br-guest”
Не вибирайте жодного з “Bridge ports”
Встановіть прапорець “Bring up empty bridge”

Список пристроїв має виглядати ось так. Натисніть “Save”.
Тепер поверніться до вкладки “Interfaces”, щоб використати новостворений пристрій.

Натисніть “Add new interface”

Встановіть параметри як на скріншоті, натисніть “Create interface”

Присвойте новому інтерфейсу статичну IP-адресу.
У цьому прикладі — 192.168.2.1
IP-адреса та підмережа мають бути відмінними від LAN.
LAN у цьому прикладі — це 192.168.1.0/24 (192.168.1.1 - 192.168.1.254),
тому для GUEST інтерфейсу використовується 192.168.2.1 з маскою підмережі 255.255.255.0 (тобто 192.168.2.0/24).

Поле шлюзу (gateway) залиште порожнім. Сірим текстом може бути показана 192.168.1.1 — адреса головного маршрутизатора.

Перейдіть у вкладку DHCP server”

Увімкніть DHCP-сервер для гостьової мережі, натиснувши “Set up DHCP server”

Можна залишити всі налаштування за замовчуванням.
Натисніть “Save” і “Save and Apply”.

Зверніть увагу: гостьова мережа використовує LAN мережу як upstream.
Тому потрібно переконатися, що LAN інтерфейс на dumb AP налаштований коректно.
LAN повинен мати щонайменше два параметри: “Standard Gateway” і DNS server”, щоб мати змогу маршрутизувати трафік гостьової мережі.

Гарна новина — якщо dumb AP використовує DHCP, ці параметри задаються автоматично.
Якщо ж конфігурація LAN зроблена вручну, необхідно переконатися, що шлюз і DNS встановлені.

Якщо ви використовуєте DHCP, можна пропустити наступні 3 скріншоти та перейти до розділу про брандмауер.

Перейдіть на вкладку “Interfaces”, знайдіть інтерфейс LAN і натисніть “Edit”

У вкладці “General Settings” переконайтеся, що встановлений правильний шлюз — 192.168.1.1 (за замовчуванням OpenWrt).

У вкладці “Advanced Settings” перевірте, чи вказано робочий DNS.
“Custom DNS servers” має бути або 192.168.1.1 (головний роутер), або публічний DNS (наприклад, 1.1.1.1).

Натисніть “Save”, вас поверне до списку інтерфейсів.

Натисніть “Save and Apply”, якщо є незбережені зміни.
Ви створили новий інтерфейс зі статичною IP-адресою, увімкненим DHCP-сервером та порожнім мостом як пристроєм.
Ви також переконалися, що у мережі “LAN” задано шлюз за замовчуванням і DNS-сервер. Чудово!

Тепер створимо зону брандмауера для нового інтерфейсу.
Натисніть “Edit” поруч з інтерфейсом “guest”.

На вкладці “Firewall” створіть нову зону з назвою “guest”
Натисніть “Save”.
Інтерфейс готовий, йому призначена окрема зона брандмауера.
Перейдімо до налаштування цієї зони брандмауера.

2. Брандмауер – Частина 1

Після того як ви натиснули “Save and Apply” у розділі Interfaces,
перейдіть у Network → Firewall, знайдіть зону “guest” і натисніть “Edit”.

Налаштуйте параметри для зони guest так:
- Input: REJECT
- Output: ACCEPT
- Forward: REJECT
- Allow forward from destination zones: lan

Натисніть “Save and Apply”

Після того як ви увімкнули маскарадинг (masquerading) для зони LAN,
екран має виглядати як на скріншоті вище.

Фактично на цьому етапі гостьова мережа вже налаштована.
У наступному кроці додамо правила трафіку, щоб ізолювати гостьову мережу від LAN.

3. Брандмауер – Частина 2: правила трафіку

Тепер перейдіть на вкладку “Traffic rules” у налаштуваннях брандмауера та додайте такі три правила:

- Allow DHCP з гостьової мережі до маршрутизатора

- Allow DNS з гостьової мережі до маршрутизатора

- Блокувати весь трафік з зони guest до пристроїв у зоні LAN

Усе готово для додавання гостьової Wi-Fi мережі.
Перейдіть до Network → Wireless для фінального кроку.

4. Додайте нову Wi-Fi мережу та прив’яжіть до інтерфейсу "guest"

Додайте нову бездротову мережу, натиснувши “Add” біля radio0 або radio1.
У цьому прикладі використовується radio1

Виберіть SSID для гостьової Wi-Fi мережі, наприклад Guest_WiFi
Прив’яжіть її до інтерфейсу guest, створеного на кроці 1.
Безпека (пароль) у цьому посібнику не змінюється — але ви, ймовірно, захочете її додати.
Натисніть “Save”

Натисніть “Save and Apply”

ГОТОВО. Усі необхідні кроки для створення ізольованої гостьової мережі на тупій точці доступу виконані.

5. Додатково / Пояснення

Ми створили новий інтерфейс на основі віртуального пристрою (порожнього мосту), підключили до нього точку доступу (WLAN).
Гостьова мережа має власну IP-підмережу, DHCP-сервер, зону брандмауера — все окремо від основної мережі LAN.

Трафік з Guest_WiFi маршрутизується до головного маршрутизатора.
З точки зору головного маршрутизатора, увесь гостьовий трафік приходить від IP-адреси LAN інтерфейсу dumb AP — це працює завдяки маскарадингу.

Без нього головний маршрутизатор не знає, як повернути відповіді назад.
А без правил брандмауера, гість міг би отримати доступ до пристроїв в LAN.

Додатково:
У режимі dumb AP можна повністю видалити зону WAN та відповідні правила брандмауера.
Все виглядає чистіше.

Цей скріншот демонструє, як виглядає брандмауер без слідів WAN-зони у сценарії dumbAP + Guest.

І огляд інтерфейсів — з іншими IP, ніж стандартні в OpenWrt.

У порівнянні з типовою інсталяцією OpenWrt:
“Гість” діє подібно до LAN — має власну IP-підмережу, DHCP, і пересилає трафік до вищестоящої зони. Але тепер upstream-зоною є LAN, а не WAN.
LAN, своєю чергою, діє як WAN: приймає трафік від Guest і маскує його.
Реальний доступ до Інтернету надає головний маршрутизатор, який виступає як шлюз і DNS для клієнтів dumbAP, включно з гостьовою Wi-Fi.

6. Усунення несправностей

У правилі Guest_DHCP, у полі порт призначення, спробуйте вибрати порт 67 або 68

This website uses cookies. By using the website, you agree with storing cookies on your computer. Also you acknowledge that you have read and understand our Privacy Policy. If you do not agree leave the website.More information about cookies
  • Last modified: 2025/06/06 14:31
  • by vazaz