Пользователь
0,0
рейтинг
17 января 2012 в 14:49

Администрирование → Как объединить две Wi-Fi сети, или работа роутера в режимах repeater и repeater bridge из песочницы

Доброго времени суток.

В моем доме пока нет возможности подключить интернет. Если вывесить Wi-Fi адаптер за окно можно поймать несколько сетей кафе с бесплатным интернетом. Однако хочется чтобы Интернет был по всей квартире. Можно из Wi-Fi роутера сделать репитер, но тогда домашняя сеть оказывается открытой для других. В результате копаний Интернета и бесед на форуме было найдено решение как брать Интернет из открытой беспроводной сети и раздавать его в закрытой сети с шифрованием.


Всё началось с покупки легендарного ASUS WL500g Premium второй редакции (V2).
Вначале я установил прошивку Олега от энтузиастов. Решил попробовать подключить свой wi-fi адаптер к роутеру (благо 2 usb на нем). Обсуждение на форуме Олеговской прошивки натолкнуло на идею что можно использовать прошивку OpenWRT в которой есть возможно добавления виртуальных адаптеров. То есть, физический беспроводной адаптер подключаем к открытой сети с Интернетом (назовем ее CafeAP) и раздавать этот Интернет в закрытой домашней сети (HomeAP). Я начал копать, и наткнулся на сообщение что в DD-WRT это можно просто сделать. Отлично. С выбором прошивки я определился теперь ставим.

Это достаточно тривиальная задача и вполне доступно ее решение описано здесь, так что не буду тратить символы.
Только ни в коем случае не ставьте SP1 прошивку – она не поддерживает то что нам нужно.
Установил я DD-WRT v24-sp2 (08/07/10) mega (благо 8мб флеш-памяти позволяют; тем у кого флеш-памяти на роутере меньше придется ставить standart). Дальше начались копания по DD-WRT WIKI. Она очень богата, но… только если вы способны читать английский. Русская вики пока почти бесполезна.

Repeater или берем интернет из Wi-Fi сети кафе


Алгоритм действий после установки прошивки такой (мой роутер изъясняется на английском поэтому и инструкция на нем).
1. Сделайте 30/30/30
2. Подключите к роутеру кабель (можно без провода, для чего есть открытая беспроводная сеть под названием dd-wrt). Зайдите на него набрав в браузере 192.168.1.1. Вас попросят сменить логин и пароль — сделайте это.
Во вкладке Wireless -> Basic Settings:
— Wireless mode: выставите режим «Repeater»
— Wireless Network mode: установите такую же как на CafeAP. Хотя возможно и не обязательно я оставил смешанный режим (mixed) и все прекрасно работает
— Wireless Network Name (SSID): SSID сети к которой мы подключаемся (в моем случае это «CafeAP»)
Сохраните нажав Save.
Добавьте виртуальный адаптер нажав кнопочку Add
— Введите имя отличное от сети к которой подключаемся (в моем случае HomeAP)
Save
(Советуют применять изменения, нажатием Apply Settings, после заполнения каждой страницы, а не после того как вы заполнили все).
3. Wireless -> Wireless Security:
Physical Interface wl0:
Здесь вам надо будет ввести настройки защиты сети. Если вы подключаетесь к открытой сети кафе ничего менять не нужно. Если к зашифрованной сети, то вам нужно будет выбрать алгоритм шифрования, который она использует, и ввести пароль
Save
Virtual Interface wl0.1:
А это ваша сеть (HomeAP). Я выбрал WPA2 Personal, tkip + aes и ввел пароль
Примечание: В инструкции пишут, что если используется шифрование есть на обеих сети, и на обеих разное, то может не работать. Попробуйте в таком случае настройки шифрования сделать одинаковыми.
Save
4. Вкладка Setup -> Basic Setup:
Network Setup:
Здесь нужно указать настройки подсети нашего роутера.
Например: если подсеть точки доступа, к которой мы подключаемся (CafeAP), имеет вид 192.168.1.x, то адрес роутера должен быть 192.168.2.1 (я поставил 192.168.77.1)
Save
5. Вкладка Security:
Снимите все галочки в секции «Block WAN Request» (исключая Filter Multicast), а затем выключите SPI firewall (Я параноик — я не выключал. Все вроде работает.)
Save
6. Вкладка Administration:
Измените то что посчитаете нужным. Я например сделал, чтобы страница статистики неавторизированным пользователям не показывалась (Enable info site меняем на disable)
Нажимаем Apply Settings
Затем Reboot Router

Теперь если все указано правильно, то роутер обретет WAN IP (см. справа в углу; он должен быть отличным от 0.0.0.0), а вы — доступ в интернет.

Если вам захочется подключиться к другой сети, то можно зайти в вкладку Status -> Wireless. В самом низу нужно найти кнопку Site Survey. Откроется окошко в котором можно увидеть список сетей. Кнопка Refresh – обновит список. Выбираете понравившуюся и нажимаете Join. Роутер скажет, что он успешно подключился к выбранной сети и перенесет нас на вкладку Wireless. Вам останется поменять настройки как вы это делали в пунктах 2-3, нажать Apply Settings и вы подключены к другой сети.

Repeater Bridge или подключиться к сети друга


Инструкция c Repeater подойдет, если мы подключаемся к недоверенным сетям. А если мы хотим подключиться, например, к сети друга (FriendAP), то нужно использовать режим Repeater Bridge
image
При этом мы будем иметь полный доступ к ресурсам сети друга (включая принтеры), а он к ресурсам нашей.
Для этого нам нужно выполнить следующие действий
1. Восстановите Factory Defaults (Administration -> Factory Defaults) на вашем роутере
2. Сделайте роутеру 30-30-30
3. Подключитесь к роутеру по проводной или беспроводной сети и зайдите на него.
Вкладка Wireless -> Basic Settings tab
Physical Interface Section
— Wireless Mode: Repeater Bridge
— Wireless Network Mode: оставьте mixed или установите как у FriendAP-роутера
— Wireless Network Name(SSID): такой же как сеть друга — FriendAP
— Wireless SSID Broadcast: Enable
— Network Configuration: Bridged
Save
Virtual Interfaces Section
— Add
— Wireless Network Name(SSID): SSID отличный от FriendAP (HomeAP)
— Wireless SSID Broadcast: если выставите Disable то сеть будет скрытая
— AP Isolation: Disable
— Network Configuration: Bridged
Save
4. Вкладка Wireless -> Wireless Security tab
Physical Interface Section
— Security Mode: Такой же как у FriendAP (говорят, что DD-WRT работает в подобном режиме, только если на FriendAP wep или WPA2AES)
— WPA Algorithms: такой же как у FriendAP
— WPA Shared Key: так же как и FriendAP
— Key Renewal Interval (in seconds): оставьте как есть
Virtual Interfaces Section
— Security Mode: лучше всего WPA2
— WPA Algorithms: я поставил tkip + aes
— WPA Shared Key: выдумайте пароль
— Key Renewal Interval (in seconds): оставьте как есть
Save
5. Вкладка Setup -> Basic Setup tab
— Connection Type: Disabled
— Поменяйте галочку STP на Disabled (Если оставить Enabled это может создать проблемы с соединением)
— IP Address: 192.168.1.2 (В случае если FriendAP-роутер имеет IP 192.168.1.1)
— Mask: 255.255.255.0 (В случае если такая маска сети у FriendAP)
— Gateway: 192.168.1.1 (В случае если FriendAP-роутер имеет IP 192.168.1.1)
— DHCP Server: Disable
— Local DNS: 192.168.1.1 (В случае если FriendAP-роутер имеет IP 192.168.1.1)
— Assign WAN Port to Switch: Если хотите использовать WAN-порт как обычный LAN — ставьте галочку
Save
— Если применили изменения, зайдите снова на роутер по новому адресу 192.168.1.2
6. Setup -> Advanced Routing tab
— Operating mode поменяйте на «Router»
Save
7. Services
— Отключите сервис Dnsmasq
Save
8. Security -> Firewall tab
— Снимите везде галочки кроме Filter Multicast
— Отключите SPI firewall
Примените изменения и перезагрузите роутер (Administration -> Reboot router)

После этих действий вы должны иметь доступ к сети FriendAP так, как будто вы подключены к ней напрямую.

Ссылки:


wl500g.info
Перепрошивка_WL-500W_на_DD-WRT_в_картинках
Repeater
Repeater Bridge
Василий @ShiawasenaHoshi
карма
9,0
рейтинг 0,0
Реклама помогает поддерживать и развивать наши сервисы

Подробнее
Спецпроект

Самое читаемое Администрирование

Комментарии (35)

  • +4
    Вообще repeater это плохо. Очень уж сильно он снижает производительность, причем не только того, кто подключен через него, но и сети от которой вы кормитесь — тоже. Так как он работает на той же частоте, что и родительская сеть, при пересылке через него он занимает частоту дважды — при приеме и при передаче. Т.е. снижает пропускную способность вдвое. А безопасность, кстати, в данном случае равна безопасности той открытой сети через которую пойдут ваши данные. В общем любой в радиусе действия CafeAP без какого либо труда получит ваши данные. Так что все это зря.
    • 0
      Данные посланные в интернет — да. Они пойдут через открытую сеть и их можно отловить. А те которые внутри моей подсети (у меня там шара есть)? Разве они будут светится?
      • 0
        В пределах вашей шифрованной сети — не будут светиться, да. А вот все ваши пароли от сайтов/почты/аськи можно поснифать очень и очень легко.
        Я так как-то поснифал данные из сети, которая была километрах в 5-ти от меня. Вот пренебрег народ безопасностью. Я не из злого умысла, мне просто интересно было. Вытянул потом адрес электронной почты из какого-то письма со спамом и на него отправил сообщение о такой неприятной возможности. А кто-то может и просто сменить пароли… Не пренебрегайте этим.
        • 0
          > А вот все ваши пароли от сайтов/почты/аськи можно поснифать очень и очень легко.

          Во-первых не все, а те которые передаются в виде, уязвимом для атаки MiM. Еcли вы еще не используете ssl/tls, то это ваше дело.
          Во-вторых публичная сеть не более опасна чем любая недоверенная среда передачи данных.
          В-третьих, данная схема все таки обеспечивает защиту в виде прикрытия внутреннего периметра, просто человек похоже не знает как это принято называть.
          • 0
            >>а те которые передаются в виде, уязвимом для атаки MiM
            Я всегда думал, что MiM (это тот который MITM?) это в случае когда тот самый, который посередине — видоизменяет сообщения. Возможно просто прослушка тоже сюда относится, не силен в терминологии.

            >>Еcли вы еще не используете ssl/tls, то это ваше дело.
            Много кто не использует ssl. И да, это, конечно, мое дело.

            >>публичная сеть не более опасна чем любая недоверенная среда передачи данных
            Опасность открытой сети заключается в том, что кто угодно находящийся в непосредственной близости от этой сети может совершенно свободно и абсолютно незаметно получить ваши данные. Не останется никаких ни логов, ни следов доступа к этой самой среде передачи. Просто человек с ноутбуком в кафе получит ваши данные и все. Именно об этом я и говорю.
            И еще мне кажется, что как раз от этого автор защититься и хотел.
            • 0
              Я хотел защитить только данные витающие в пределах моей подсети. И я действительно незнал как это принято называть.
              Те данные которые передаются в интернет меня не сильно волнуют, так как я только торрентом пользовался и еще пару раз в i2p заходил.
              Кстати, а ведь gmail работает через https. Разве его нельзя использовать в такой ситуации?
    • 0
      Если поверх поднять шифрованный VPN, то вполне себе ничего ;)
      • 0
        Вряд ли это повлияет на положение вещей с пропускной способностью. :)
        • 0
          Я только за безопасность. Поснифать просто ничего не получится. Про тормоза согласен.
          • 0
            а мне 4мбит/с вполне хватало (:
    • 0
      По поводу скорости. Изначально была идея подключить к роутеру usb Wi-Fi адаптер TP-Link WN722N, чтобы он был соединен с CafeAP и был в bridge с WAN роутера. Потом я от этой идеи отказался в виду большого количества трудностей и остановился на идее с виртуальным адаптером.
      В теории ASUS WL500gP может обеспечить подключение usb wi-fi но как это реализовать?
  • 0
    Эх. Я вот такую девайсину нечаянно убил. Дважды. Первый раз не выдержал 30/30/30 — ребутнул где-то в середине перепрошивки. Перемучачками завёл её в режим аварийной перепрошивки, восстановил, зашил DD-WRT снова. Работала без проблем долго, потом решил поднять там туннель. Туннель поднял, всё работало. А потом как-то полез менять настройки DNS. Поменял, нажал сохранить — и всё сдохло. Сколько не игрался с перемычками с тех пор — ничего не помогало. Так и лежит на полочке :(
    • 0
      И моя померла. Негарантийно отремонтировать этот аппарат в СНГ невозможно, подтвердил сам Asus. Выбросить жалко. Тоже на полке валяется. Куда бы ее на запчасти сбыть..)
  • 0
    Не совсем понял, как общаются между собой устройства подключенные к репитеру — напрямую через репитер или через удалённую точку доступа?

    Пример: На одном конце квартиры точка доступа (роутер) и подключенные к нему проводами комп и NAS, на другом — медиаплеер играющий контент с компа и NAS-a, подключен к роутеру по WiFi. Днём играет хорошо, вечером начинаются тормоза — в зоне видимости больше двух десятков сетей, эфир забит. Думаю переставить NAS к медиаплееру и подключить их проводом к вайфай-репитеру.
    Собственно, вопрос: будут они (медиаплеер и NAS) общаться между собой напрямую по проводу (так как к репитеру они будут подключены проводами) или связь будет идти через вайфай-роутер (т.е. репитер — это просто тупо «удлинитель»?
    • 0
      Если сделаете как в первой части (подключаемся к CafeAP) то медиаплеер и NAS будут общаться напрямую. Они будут в пределах одной подсети
      Если как во второй части (про FriendAP) то функция DHCP будет лежать на роутере, который «на-одном-конце-квартиры», но скорость, возможно, будет как по проводу. Попробуйте.
  • 0
    «Можно из Wi-Fi роутера сделать репитер, но тогда домашняя сеть оказывается открытой для других. „


    А почему нельзя настроить ваш роутер в режиме клиента? Он будет ловить бесплатный wi-fi, но подключиться к нему можно будет только с помощью ключа который вы установите. Вот к примеру обычный ТП-линк с этой функцией справляется на ура. По ссылке пример настроек: www.tp-link.com/simulator/TL-WR743ND/Index.htm (раздел “Quick Setup» / AP Client Router — WISP Client Router)
    • 0
      Если открытая сеть будет восприниматься как подключенная через WAN, а моя личная сеть будет отдельная и со своим паролем, то да — это то, что мне было нужно, и здорово что TP-Link это реализовали.
      Режимы client и client bridge в DD-WRT исключают возможность создать свою отдельную беспроводную сеть.
      • 0
        Да именно так и будет. Я как раз недавно таким образом и настроил. Этот роутер даже сам определяет в процессе настройки список доступных сетей. Остается только подсоединиться и настроить. Один нюанс айпишник вашего роутера должен совпадать с айпишником раздающего роутера. А в настройках вашего роутера уже ставите необходимое шифрование и ключ. Настройка — минут 10.
        • 0
          Преклоняюсь перед TP-Link — без установки DD-WRT (Open-WRT, но там мне показалось намного сложнее) подобное на моем роутере (и предполагаю, что на многих других) организовать нельзя.
        • 0
          Попробовал сделать таким образом, и вдруг понял, что в списке DHCP-клиентов моего роутера значится неизвестный клиент, точно не из моей сети.
    • 0
      Именно так, что сам не раз делал уже на практике.
  • 0
    В результате копаний Интернета и бесед на форуме было найдено решение как брать Интернет из открытой беспроводной сети и раздавать его в закрытой сети с шифрованием.

    Зачем все это?
    Вы же теряете скорость на роутере со всеми этими параноидальными защитами.
    Вот зачем Вам подминать ссид?
    Вы что, не знаете свои мак-адреса?

    Можно ведь сделать открытую сеть, без ссида, с доступом только определенных маков и имен девайсов.
    Пусть снифают на здоровье-то…
    • +1
      Что мешает мне, злоумышленнику, подслушать МАС, и когда он выключит свой комп, подключиться к его сети?
      • 0
        И?
        Какой Вам толк от работающего роутера с залоченной админкой?
        Вам же снифать нужно трафик.
        А его нет, т.к. девайс выключен.

        А когда включен — повторюсь еще разок — гмейл и стим (это самые стремные сервисы) работают по хттпс.

        Поюзаете на халяву инет?
        Да ради Бога.

        Просто тема, имхо, немного жлобская.
        Как заюзать фришный вайфай и при этом окопаться шифрами в своем огороде.
        Вам будет не странен тот факт, на той стороне можно слушать Вас так же?

        Если, конечно, не поднят впн.
        • 0
          У меня в домашней сети не один комп, а еще NAS с медиасервером, на которые я не хочу пускать кого попало. Это раз.
          Через любой халявный wifi можно подключаться с любыми преступными целями, ответственность понесет владелец точки доступа. Это два.
          • 0
            Ну НАС ведь можно настроить и на авторизацию по юзеру.
            Самба ведь есть.

            А насчет прикола с ответственностью — я не знаю как там в РФ, но в Украине такого бреда нет.
            Никто бы не ставил ни фри, ни платный вай-фай, ни в кафе, кинотеатрах и прочая.

            Т.к. работаю в такой сфере, которая предоставляет народу доступ к сети и у нас случались взломы, покупка и прочая. Обеп реагирует довольно быстро, но к нам претензий нет, т.к. мы лишь дали возможность подключиться.

            Работаем уже почти 10 лет — и ни разу толком не было серьезных наездов.
            А по Вашей схеме Макдональдс и кинотеатры уже давно бы убрали сеть — так дешевле.
            • 0
              Да, на всех внутренних сервисах должна быть аутентификация, хотя это и затрудняет их использование. Но что мешает ломать эту систему неспеша, когда доступ уже есть, например, тем же брутфорсом?

              В кафе настроена регистрация подключающихся к беспроводной сети, они могут доказать, что это сделал кто-то из их клиентов. А у домашних пользователей есть такое?
              • 0
                Зачем сливать карму, если я все равно буду стоят на своем?
                Что за народ…
                • 0
                  Простите, товарищ, при всем желании у меня недостаточно своей кармы, чтобы портить чужую.
                  • +1
                    Да не к Вам лично.
                    В этом, к сожадлению, — весь ХАбр.
  • +1
    MAC адреса легко изменяются на оборудовании.

    ИМХО это похоже на веру в то, что наличие госномера на авто защити авто от угона.
    • 0
      Так никто ж не спорит.
      У меня в доме 16 сетей. ± 2.
      Найдите среди них мою. Та, что в хайде. И также найдите устройство, которое к нему коннектится.
      С учетом того, что доступ к незабвенному линксису врт54гл (админке) идет только по хттпс и только по кабелю.
      А когда найдете — выципите что-то интересное, с учетом того, что гмейл и стим работают по хттпс.

      Вот эта повсевместная параноя иногда бесит. До мозга костей.

  • 0
    Лучше пользоваться client bridge, пропускная способность канала ввиду явных физических особенностей вайфая. А ноуты по кабелю цеплять. У самого так был проброшен канал. Единственный непонятный факт был обноружен — все клиенты, которые были за роутером, который находился в качетстве client bridge, видны для тех, кто за роутером точкой как адреса с одним маком.
    • 0
      И по этой же причине не работает DHCP на первой ТД (CafeAP) и приходится поднимать его внутри своей сети. Почему? Потому что устройство — маршрутизатор, а не мост, работает на третьем уровне полностью.
  • 0
    Спасибо. Очень пригодилась.

Только зарегистрированные пользователи могут оставлять комментарии. Войдите, пожалуйста.