Настройка гостевой сети Wifi на роутере OpenWRT

Задача:

Настроить гостевую сеть Wifi на роутере OpenWRT, запретить доступ в другие локальные сети роутера, ограничить веб-интерфейс OpenWRT для клиентов гостевой сети.

---------------------------------------------------------------

Настраивать буду на роутере купленном в Китае, за относительно небольшие деньги

• Model – Zbtlink ZBT-WR8305RT
• Architecture – MediaTek MT7620N ver:2 eco:6
• Firmware Version – OpenWrt 19.07.3 r11063-85e04e9f46 / LuCI openwrt-19.07 branch git-20.136.49537-fb2f363
• Kernel Version – 4.14.180

Заходим в главном меню: “Network > Wireless” , если у вас русский интерфейс то “Сеть” -> “Интерфейсы”. Добавляем новую беспроводную сеть при помощи клавиши “Add”

Указываем имя сети. На против “Wireless network is enabled” должно быть “Disable”. Это означает что сеть активна. Параметр “Network” пока оставляем как есть, немного позже мы создадим отдельный интерфейс.

Переходим во вкладку “Wireless Security” и настраиваем согласно картинки:

• Encryption – для лучшей безопасности, выбираем “WPA2-PSK (strong security)”. Если не понятно какие устройства будет подключаться, то выбирайте “WPA-PSK/WPA2-PSK Mixed Mode (medium security)”
• Key – указываем пароль, для доступа к сети WiFi

WPA2 регламентируется стандартом IEEE 802.11i (июнь 2004 года) в котором реализовано CCMP и шифрование AES, из-за чего является более защищённым чем WPA.

В правом верхнем углу нажимаем ссылку “Unsaved Changes: 5”, число 5 означает количество изменённых параметров. В открывшемся окне “Configuration / Changes”, можно увидеть изменяемый конфиг и параметры. Нажимаем “Save & Apply”

Переходим во вкладку “Network > Interafces” и добавляем новый интерфейс “Add new interface…”

Указываем имя “GUEST” и привязываем к гостевой сети wifi. Жмём “Create interface”.

• Name – GUEST (название сети)
• Protocol – Static address (у нас будет статический IP-адрес)
• Interface – Wireless Network: Master “OpenWRT_Guest”. Ищем в списке сеть по имени указанному в настройках WiFi

Настраиваем сеть для созданного гостевого интерфейса. Вы можете использовать мои настройки или придумать свою сеть.

• IPv4 address – 192.168.224.1
• IPv4 netmask – 255.255.255.0
• IPv4 gateway – настраивается автоматически, конечно вы можете указать адрес шлюза отличный от стандартного. Допустим у вас два интернет провайдера и первого вы используете для себя, а второго для себя и для гостей.
• IPv4 broadcast – настраивается автоматически в зависимости от указанного вами ip-адреса, в нашем случае 192.168.224.225

Переходим во вкладку “DHCP Server” и нажимаем “Setup DHCP Server”

Настраиваем диапазон адресов и срок аренды адреса:

• Start – Минимальный адрес аренды, с какого адреса DHCP сервер начинаем выдавать адреса
• Limit – Максимальный IP-адреc, до какого максимального адреса будут выдаваться адреса сервером
• Lease time – на какой период по времени будет резервироваться адрес, для гостевой сети можно ставить минимальное значение. Мне кажется два часа для гостевой сети будет самое то.

Нажимаем “Save” и примеряем настройки при помощи “Unsaved Changes” в правой верхней части экрана

Теперь необходимо вернуться в настройки Wifi и добавить к беспроводной сети созданный только что интерфейс.

Настраиваем фаервол: “Network > Firewall”. Кнопка “Add”

Настраиваем зону “Guest”

• Name – Guest – Имя создаваемой зоны
• Input – reject – отклонять все входящие пакеты
• Output – accept – разрешать все изходящие
• Forward – reject – отклонять все пересылаемые пакеты
• Covered networks – Guest – применяем правила для гостевой сети
• Allow forward to destination zones: WAN(wan wan6) разрешить пересылать пакеты на внешний интерфейс
• Allow forward from source zones: LAN разрешить пересылаемые пакеты из локальной сети. Так мы разрешаем доступ из локальной сети в гостевую сеть. Но доступ из гостевой сети в локальную будет заблокирован.

Должно получиться как на картинке ниже. Проверяем какие настройки у нас для интернет трафика, кликаем на против “WAN” кнопку “Edit”

Открыв настройки исходящего трафика проверяем, что трафик из гостевой сети в интернет, будет также подлежать маскарадингу. Гостевая сеть автоматически добавилась в правило для исходящего трафика.

Переходим во вкладку “Traffic Rules” и добавляем правило клавишей “Add”

Разрешаем входящие DNS запросы из гостевой зоны

Разрешаем запросы к DHCP серверу

Troubleshooting по OpenWRT

После сохранения настроек я столкнулся с двумя ошибками:

• DCHP сервер не выдавал адрес – я попробовал вначале создать интерфейс а потом уже настроить wifi. Просто поменял порядок настройки и всё заработало.
• Подключились к сети, получили ip-адресс, но интернета нет – проверяем маску сети, если забыли указать она по умолчанию 32. Также смотрим настройки межсетевого экрана (firewall)

Конфигурационные файлы

Как вы заметили в процессе настройки, нам периодически необходимо подтвердить изменения

По сути это команды консоли которые выполнятся для применения сделанных нами изменений.

# /etc/config/network
uci set network.Guest=interface
uci set network.Guest.ifname='wlan0-1'
uci set network.Guest.proto='static'
uci set network.Guest.netmask='255.255.255.0'
uci set network.Guest.broadcast='192.168.224.225'
uci set network.Guest.ipaddr='192.168.224.1'
uci set network.Guest.gateway='192.168.224.1'

Если авторизоваться на маршрутизаторе, можно посмотреть хелп по команде