首页 > Linux, OpenWrt > OpenWrt路由器通过LuCI界面实现Guest SSID功能

OpenWrt路由器通过LuCI界面实现Guest SSID功能

2015年1月22日 LTNS     访问次数 330 发表评论 阅读评论

之前尝试过 Tomato路由器设置VLAN实现Guest SSID功能,最近把手上的无线路由器换成了 Netgear WNDR4300 并刷上了第三方的 OpenWrt固件,然后根据 OpenWrt官网教程 通过Web管理界面 LuCI 的设置来实现 Guest SSID功能。

因为 OpenWrt官方固件没有用足 WNDR4300路由器的 128M Nand Flash,所以我刷的是 这里 某网友编译的 OpenWrt Barrier Breaker 14.07固件,已集成 LuCI Web管理界面和一些基本的软件,(除内核补丁之外)其他软件都可以后续自行安装,同时也方便日后的软件升级。

1. 首先从菜单进入 Network > Wifi 界面,点击右上角的 Add按钮,进入新建无线网络的参数设置页面
Add Wirelss Network

 
2. 再进入 Network > Interfaces 界面,会发现多了一个叫 guest的网络(步骤1里创建的),点击右侧的 Edit按钮进入相应的设置页面
Guest Interface

按下图完成静态ip设置后,点击 Physical Settings
Guest Interface_General Setup

在物理设置页面检查一下默认绑定的接口是否步骤1新建的无线网络,然后切换到 Firewall Settings
Guest Interface_Physical Settings

在防火墙设置页面,创建对应的防火墙区域,然后点击 Save & Apply保存并应用。
Guest Interface_Firewall Settings

 
3. 进入 Network > Firewall 界面,会发现多了一个叫 guest的防火墙区域,点击右侧的 Edit按钮进行修改(允许从 guest区域访问 wan区域),修改完成并保存退出后的效果如下图所示
Firewall_Zone Settings

从上图可以看到默认禁止从 guest区域访问路由器本身(Input框为reject),现在切换到 Traffic Rules页面去加入规则,然后点击该规则右侧的 Edit按钮进行修改(Destination zone指向 Device,即,允许从 guest区域访问路由器,该规则的优先级高于上图中的默认设置)
Firewall_Traffic Rules Input

所需的两条防火墙规则(允许从 guest区域分别访问路由器的 TCP+UDP 53端口和 UDP 67-68端口,以实现DNS和DHCP)添加并修改完成后如下图所示,然后点击 Save & Apply按钮
Firewall_Traffic Rules

 
到这里就完成了设置,在 Network > Wifi 界面可以看到两个 SSID(WNDR4300是双频路由器,所以原有的SSID有两个频段)
openwrt_wireless_overview

现在来访客人可以通过单独的 Guest SSID无线上网了,同时无法访问路由器本身(除了步骤3防火墙规则允许的端口)和路由器原有的内网,这样就实现了原有的内网和 Guest Network之间的安全隔离。

另外,OpenWrt路由器上 Guest SSID不会被主SSID的 MAC地址过滤功能影响,相比 Tomato路由器这算是一个优点了。

 
 
参考文章
http://wiki.openwrt.org/doc/recipes/guest-wlan-webinterface

 

分类: Linux, OpenWrt 标签: , , , , ,
  1. Cy
    2016年1月27日02:22 | #1

    很好的教程 谢谢

  2. recurse
    2016年6月7日14:23 | #2

    如果同时也要用shadowsocks该怎样设置?我的LAN是172.16.0.255,Guest是192.168.1.255,用以上设置方法,也装了shadowsocks。问题是LAN的机器能用shadowsocks访问google,Guest的机器用不到shadowsocks访问不到google。不知道是不是因为shadowsocks的运行只针对LAN,有没有方法让Guest也能用shadowsocks。

  3. LTNS
    2016年6月10日06:28 | #3

    @recurse
    我这里ss对lan和guest网段的机子都有效,请检查一下后者比如dns的设置吧。

  4. Yun
    2017年1月9日22:37 | #4

    太厉害了,一次成功,大神啊!

  5. gulu
    2017年3月29日10:45 | #5

    如果让op做二级路由通过proto-relay无线桥接上级路由,ip地址也是通过上级进行分配,请问这样能否实现访客网络?按照你的教程无法获取ip,手动指定了ip也无法联网.如果可以实现还请指教下,谢谢

  6. LTNS
    2017年4月3日00:19 | #6

    @gulu
    如果你的意思是二级路由器关闭了自身的DHCP Server,其原有内网侧用户的ip由上级路由器的DHCP Server来分配,那么接入二级路由器的访客确实没法获得ip,手工分配也没用。

    可以在设置proto-relay时跟LAN接口(原有的内网)解绑,改为绑定guest网络,但这样的话二级路由器原有内网侧的设备就没法由上级路由器的DHCP Server来分配ip了。

    如果接入二级路由器的原有内网侧用户和访客都想上网,那最好还是把二级路由器作为无线客户端(只绑定WAN接口)接入上级路由器吧,二级路由器的DHCP Server不用关闭。当然这样的话接入二级路由器的访客也能访问上级路由器的内网了,如果介意的这一点的话那可能需要折腾tagged vlan了,以便上级路由器通过识别来自二级路由器的数据包以阻止访客访问自身的内网,这个我没折腾过。

  7. gulu
    2017年4月3日12:20 | #7

    @LTNS
    感谢回复,看来原需求不变要用访客网络只能加设备了

  1. 2015年2月22日23:18 | #1
31 + 9 = (必填)