admin管理员组文章数量:1591209
目录
- 前言
- 新建访客网桥
- 新建访客网络接口
- 新建访客防火墙区域
- 访客防火墙通信规则添加
- 无线网络新建访客SSID,并绑定访客接口
- 有线网口加入访客网络
- 绕过流量代理(可选)
前言
许多家用路由器都有访客网络的功能。开启后能额外发射SSID,连上的设备只能上网,不能和其他SSID和有线网络的设备通讯(不能电视投屏)。非常适合家里来人做客的场景使用。
Openwrt作为一个强大的网络嵌入式设备系统,自然也支持此功能(许多品牌路由器系统就是基于Openwrt魔改的)。
本文教你如何一步步在原生Openwrt上实现此功能。
注:本文使用的openwrt设备为MT798x芯片平台。其他芯片平台设备略有差异,但是不大。请根据实际情况自行变通。
新建访客网桥
首先,我们需要添加一个网桥设备,用来将需要加入访客的网络设备(WiFi接口 或者 有线网口)组合在一起,使其都在同一个局域网下。
页面路径:网络-接口-设备标签页
添加新设备
其他选项和标签页空着就行,保持默认
保存设置,现在应该多了一个网桥设备
新建访客网络接口
现在,我们已经创建好了访客网络的网桥设备。
接下来,需要创建访客网络接口,并将创建的网桥设备绑定到接口上。
接口是用来配置网络信息的,例如IP地址、是否开启DHCP服务。以及作为防火墙规则的控制区域。
页面路径:网络-接口-接口标签页
创建好接口后,在新增的接口上选择编辑进入详细设置:
DHCP服务器的 高级设置 IPV6设置 保持默认即可(如需禁用IPV6,可以将IPV6中三个选项都改成 已禁用)
设置好后保存并应用。
新建访客防火墙区域
作为访客网络,我们当然希望加入的设备仅仅可以上网而已。不希望他们能登录管理页面或者与主人网络设备通讯(比如电视投屏,访问NAS等)。
因此需要创建一个新的防火墙区域,来制定通信规则。
IP动态伪装 不可勾选(只有WAN口才需要勾选)
其他配置选项卡请保持默认即可。
访客防火墙通信规则添加
添加完访客防火墙区域后,默认是阻断所有的来自路由器的数据包。
这会导致一个问题:设备连接上访客网络后,获取不到IP地址(因为IP分配数据包是从路由器发出来的,此时也被防火墙拦截了)
因此我们需要添加额外的放行规则,允许访客网络的设备获取DHCP数据包,和向路由器请求DNS解析(默认DNS是路由器自己)
添加DNS请求允许规则
添加DHCP请求允许规则
设置完成后如下图所示
防火墙区域设置完成后,还需要将访客接口绑定到防火墙区域上。
到此,访客网络的所有设置就完成了,接下来就是添加具体的网络设备到访客网络中去。
无线网络新建访客SSID,并绑定访客接口
注:不同的无线芯片设备,无线设置界面都有所不同,教程不可能覆盖所有的型号平台。如有出入请自行查找!
根据需要,添加2.4G或者5G的SSID,也可以都添加。
具体的WiFi配置,根据自己需要设置。我这里标明一下重要的设置项
Openwrt中,WiFi的接口都只能在这里绑定到具体的接口上。在新建网络接口那一步,是不能选择无线接口绑定的。
设置后保存,到这里就全部设置完成了。
手机连接配置的WiFi名称,应该能获取到网络接口中设置的IP段地址。能正常上网,但无法访问或者ping通其他网段的设备。
有线网口加入访客网络
一般访客网络都是作用在无线WiFi上。如果需要将指定的有线网口也加入访客网络,请在此处配置
注:部分型号设备可能没有配置DSA支持(比如我这台),是使用交换机VLAN来分割网口WAN、LAN区域的,此类设备如需配置,需要在交换机页面添加一个VLAN划分
绕过流量代理(可选)
对于开启了特殊功能插件的设备,访客网络的流量也是会被处理分流的。
如果不希望访客网络的流量也被处理,请在插件功能页面添加自定义规则。
##排序在上的规则优先生效,如添加(去除规则前的#号):
##IP段:192.168.1.2-192.168.1.200 直连
- SRC-IP-CIDR,192.168.XX.1/24,DIRECT
SRC-IP-CIDR 代表源IP,以上规则即为:来自192.168.XX.X的数据包一律直连
版权声明:本文标题:【Openwrt】如何添加访客网络并与主网络隔离超详细教程 内容由热心网友自发贡献,该文观点仅代表作者本人, 转载请联系作者并注明出处:https://m.elefans.com/dianzi/1728116261a1146032.html, 本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌抄袭侵权/违法违规的内容,一经查实,本站将立刻删除。
发表评论