Domowa sieć dla gości

W dzisiejszych czasach WiFi to podstawa funkcjonowania każdego człowieka. Nic więc dziwnego, że przychodząc w odwiedziny bądź przyjmując gości pod swój dach, często dzielimy się swoim hasłem do domowej sieci. Ma to niestety swoje minusy:

  1. udostępniamy nasze hasło,
  2. wraz z dostępem do naszego routera, niejednokrotnie dajemy dostęp do wszystkiego co w domowej sieci się znajduje (zasoby na NFSie, dlna, sharowane zdjęcia),
  3. dajemy równe uprawnienia gościom jak nam samym – dostęp do wszystkich usług, na wszystkich portach.

Dlatego warto rozważyć utworzenie specjalnej sieci, którą odizolujemy od naszej prywatnej i będziemy mogli ją ograniczyć w pewnym zakresie. Załóżmy zatem, że chcemy stworzyć dodatkową wirtualną sieć wifi, o osobnym SSID, z innym hasłem i ograniczeniami w dostępie do wewnętrznej sieci. Aby tego dokonać tworzymy najpierw mostek dla osobnej sieci (Basic > Network):

Network LAN Settings

Podając inny IP Address mam pewność, że obie sieci nie będą widzieć siebie na wzajem, dodatkowo zakładam, że nie chcę mieć podłączonych jednocześnie więcej niż 10 dodatkowych urządzeń, stąd IP Range mieści się w przedziale 10.10.11.2 – 11. Mając zdefiniowany bridge (br1), tworzymy wirtualny LAN (Advanced > VLAN), korzystający z niego:

VLAN Settings

Pora na wirtualną sieć WiFi, która będzie korzystała z VLANu – LAN1 (br1), w zakładce Advanced > Virtual Wireless:

Virtual Wireless Setup

Przechodzimy teraz do zakładki zgodnej z nazwą utworzonego wcześniej interfejsu (w tym przypadku wl0.1) i konfigurujemy SSID, hasło, rodzaj szyfrowania:

Virtual Wireless Settings 2

W tym momencie zapisujemy ustawienia i po chwili nasza sieć powinna być już widoczna dla wszystkich.

Ciekawym rozwiązaniem, jakie oferuje TomatoUSB jest jeszcze ustawienie sobie Captive Portal, które umożliwi wyświetlenie na przykład takiej strony zaraz po przyłączeniu się kogoś do sieci:

Guest WiFi Splash

W chwili obecnej można jedynie ustawić statyczną stronę z akcją Accept, która umożliwi dostęp do Internetu, natomiast pracuję nad rozwiązaniem, które będzie działało na zasadzie płatnego dostępu do sieci – konieczność podania loginu i hasła, aby można było przejść dalej. Jak na razie tworzę parser tablicy iptables, który będzie pierwszym etapem wspomnianego rozwiązania…