V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
V2EX 提问指南
kurtrossel
V2EX  ›  问与答

亲戚来访,如何设置安全独立的无线连接?

  •  
  •   kurtrossel · 2016-08-30 15:39:55 +08:00 · 5668 次点击
    这是一个创建于 3007 天前的主题,其中的信息可能已经有所发展或是发生改变。
    亲戚来家中住一段时间,手机是安卓系统,装过多种 wifi 万能钥匙之类的软件。我准备将这类软件删除,但很久不用安卓系统,不知道能不能全找到并且清理干净。

    网络环境:
    光纤入户,软路由 openwrt 加石像鬼,无线 wndr4300 刷 openwrt ,目前的无线连接方式是 MAC 地址白名单。
    以前完全没有考虑过这种情况出现,所以 NAS 共享设置也特别简单。

    不知道使用访客网络是否能解决问题,如果手机软件偷偷做热点或者共享网络怎么办?
    第 1 条附言  ·  2016-08-30 22:36:19 +08:00
    为自己的机智点个赞,虽然一开始并不想这么做——把闲置的 iPhone 5s 给亲戚登录微信和访问网络,等哪天有空把安卓恢复出厂一次,然后再加入访客网络......

    再次感谢各位的集思广益

    以后家里来客人不发愁啦~
    30 条回复    2016-09-01 09:22:50 +08:00
    wireless
        1
    wireless  
       2016-08-30 16:04:02 +08:00 via Android   ❤️ 1
    随便找个闲置路由给他用好了
    kurtrossel
        2
    kurtrossel  
    OP
       2016-08-30 16:05:36 +08:00
    @wireless
    哈哈哈哈哈,不连网线那种么
    wireless
        3
    wireless  
       2016-08-30 16:07:06 +08:00 via Android
    @kurtrossel 妈的这都什么亲戚啊😂
    wireless
        4
    wireless  
       2016-08-30 16:09:07 +08:00 via Android   ❤️ 1
    @kurtrossel 不过你可以用路由设置无线中继给他
    Stupitch
        5
    Stupitch  
       2016-08-30 16:17:01 +08:00   ❤️ 1
    我一般都是弄个主路由只负责提供网络,然后我把一个 openwrt 路由当客户端中继,在这个路由上挂 NAS ,跟主路由完全隔离,等于同时存在两个局域网
    Stupitch
        6
    Stupitch  
       2016-08-30 16:31:47 +08:00   ❤️ 1
    你主路由搞个自带访客模式的路由器,一劳永逸,除了固件升级其他都不需要管它,只管折腾附属路由器好了。最好买能带动多台设备的,毕竟是主路由器,其他花哨的功能可有可无,没有才好,顶多带个 QOS 。
    kurtrossel
        7
    kurtrossel  
    OP
       2016-08-30 16:33:21 +08:00
    @wireless
    @Stupitch
    我对网络不是很懂,所有设置都是依葫芦画瓢照着各种教程来的,如果把目前的网络设定推倒重来,时间精力都不允许。闲置的路由倒是有,如果使用中继的方法就能够将其隔离,那是再好不过的了。当然,如果有类似访客网络之类的方案能解决问题,那就更好了。
    lneoi
        8
    lneoi  
       2016-08-30 16:37:12 +08:00   ❤️ 1
    现在新一些的路由器似乎都带访客模式。就是万一一样是用 wifi 万能密码接入,无线还是会被人使用,如果改了访客模式的 wifi 密码,下次又得输入一遍。
    有闲置路由就弄个闲置路由,人来了 插上用 走了拔掉 也很不错。
    kurtrossel
        9
    kurtrossel  
    OP
       2016-08-30 16:39:09 +08:00
    @lneoi
    嗯嗯,我也是这么想的,但亲戚会住较长一段时间,所以改密码拔线什么的似乎作用不大。
    不知道有什么好方案
    hack
        10
    hack  
       2016-08-30 16:42:25 +08:00   ❤️ 1
    guest 网络开出来就行了
    longear
        11
    longear  
       2016-08-30 16:46:34 +08:00   ❤️ 1
    OpenWRT 系的固件都可以添加多个 SSID 吧,最多能添加多少个不知道,我试过 3 个是可以的。就在 WIFI 页面里,加密措施和 MAC 地址黑白名单都是独立的。
    just1
        12
    just1  
       2016-08-30 16:49:08 +08:00   ❤️ 1
    新的路由都自带访客网络(与主网络隔离的)吧,访客网络经常改密码就好了
    Stupitch
        13
    Stupitch  
       2016-08-30 16:55:31 +08:00   ❤️ 1
    @lneoi 被蹭就被蹭了呗,访客一走改密码就行了,跟你说的插拔路由器不是一回事?反正都不能保证访客在时不被蹭网。访客模式本身也可以针对性限速,所以也不用怕蹭网占网速,怕的是蹭的人太多影响性能,但是可以用 MAC 绑定解决。
    terence4444
        14
    terence4444  
       2016-08-30 16:57:09 +08:00 via iPhone   ❤️ 1
    openwrt 新建一个 ssid 我就是这么干的 平时关掉,有客人来打开
    terence4444
        15
    terence4444  
       2016-08-30 16:57:44 +08:00 via iPhone
    @Stupitch 改密码毕竟麻烦,每个设备都要改一遍
    cnZary
        16
    cnZary  
       2016-08-30 16:59:21 +08:00   ❤️ 1
    开一个 guest 的 ssid 然后设置为不广播
    loading
        17
    loading  
       2016-08-30 17:00:04 +08:00 via Android   ❤️ 1
    访客模式
    kurtrossel
        18
    kurtrossel  
    OP
       2016-08-30 17:01:53 +08:00
    @Stupitch
    不完全是怕占带宽,大不了限速呗。最主要是怕蹭着网做违法的事情......
    zcl0621
        19
    zcl0621  
       2016-08-30 17:02:53 +08:00   ❤️ 1
    楼主怕内网被黑?
    loading
        20
    loading  
       2016-08-30 17:05:10 +08:00 via Android   ❤️ 1
    其实最方便就是买一个 tplink 的小 ap ,设置另外一个 ssid ,来客人才临时开一下。
    也就几十块。
    如果你现在的路由没有访客模式,这样比升级主路由划算。
    jasontse
        21
    jasontse  
       2016-08-30 17:26:40 +08:00 via iPad   ❤️ 1
    假设 wndr4300 插在软路由的 eth1 上。
    软路由:
    新建接口 guest ,设备自定义 eth1.3 ,静态地址 192.168.2.1 ,防火墙区域新建 guest 。
    防火墙在 guest 区域后面勾选 IP 动态伪装和 MSS 钳制。

    wndr4300:
    添加 vlan id 3 ,在相应端口上选择关联( tagging )。
    新建接口 guest ,设备选择 eth0.3 ,钩上创建桥接,静态地址 192.168.2.2 ,防火墙区域新建 guest 。
    添加无线 SSID ,桥接到 br-guest 。

    大概就这样吧
    tylerdurden
        22
    tylerdurden  
       2016-08-30 17:33:38 +08:00   ❤️ 1
    妈的,和妹子聊天聊的太多,瞄一眼还以为楼主大姨妈来了。。。
    Stupitch
        23
    Stupitch  
       2016-08-30 17:38:14 +08:00   ❤️ 1
    @terence4444 访客模式本来就是给访客用的,访客下次来再输一遍不是很正常的事情吗?
    Stupitch
        24
    Stupitch  
       2016-08-30 17:38:52 +08:00   ❤️ 1
    @longear 楼主主要怕 NAS 和其他设备的安全问题,楼主只想给访客上网的功能
    kurtrossel
        25
    kurtrossel  
    OP
       2016-08-30 17:42:51 +08:00
    @zcl0621
    是啊, NAS 上有家庭照片。另外,如果被人蹭网做坏事也不好啊

    @jasontse
    太感谢了!我回去看看能不能这么搞,感觉打开了未知世界的大门......
    不过貌似好复杂, MSS 钳制完全没听说过

    @tylerdurden
    妹子如果总提这事儿的话,比发好人卡还婉转......
    Stupitch
        26
    Stupitch  
       2016-08-30 17:45:48 +08:00   ❤️ 1
    @kurtrossel 虽然重新部署麻烦,但是问题的关键在于如何阻止第三方成员进入你的 NAS 内容,即便更换 SSID 乃至网段,最后只要连上你的路由的,还是会访问你的 NAS 。如果放弃了重新部署的念头,那么我觉得可以暂时给 NAS 搞一个密码,然后让访客直接连入网络,反正他也进不了NAS。密码分享出去也无所谓,大不了 MAC 绑定限制一下。等访客走后,先更换无线密码,再解除 NAS 密码,一切就 OK 了,恢复如初。
    caonan
        27
    caonan  
       2016-08-30 17:59:19 +08:00   ❤️ 1
    小米的访客网络是通过微信好友来做验证的,很好的解决了这个问题。
    qooweds
        28
    qooweds  
       2016-08-30 18:25:58 +08:00   ❤️ 1
    如果访客网络是否自动修改密码的话,还是比较方便的。比如“前缀+当天日期”
    iry232
        29
    iry232  
       2016-09-01 07:18:22 +08:00 via iPhone   ❤️ 1
    内网隔离
    kurtrossel
        30
    kurtrossel  
    OP
       2016-09-01 09:22:50 +08:00
    @iry232
    请问你是指内网多网段互相隔离?搜了一下都是说内外网隔离的。
    如果涉及到 VLAN ,以我的水平,找不到现成教程的话完全搞不定......
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   1069 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 26ms · UTC 19:22 · PVG 03:22 · LAX 11:22 · JFK 14:22
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.