【Openwrt】如何添加访客网络并与主网络隔离超详细教程

已于 2024-08-08 10:14:07 修改
阅读量1.2k 收藏 10
点赞数 25
分类专栏: OpenWrt 文章标签: 网络 嵌入式硬件 linux 物联网 网络安全
于 2024-08-07 14:59:07 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_46394311/article/details/140953938
版权

目录

前言

许多家用路由器都有访客网络的功能。开启后能额外发射SSID,连上的设备只能上网,不能和其他SSID和有线网络的设备通讯(不能电视投屏)。非常适合家里来人做客的场景使用。
Openwrt作为一个强大的网络嵌入式设备系统,自然也支持此功能(许多品牌路由器系统就是基于Openwrt魔改的)。
本文教你如何一步步在原生Openwrt上实现此功能。

注:本文使用的openwrt设备为MT798x芯片平台。其他芯片平台设备略有差异,但是不大。请根据实际情况自行变通。

新建访客网桥

首先,我们需要添加一个网桥设备,用来将需要加入访客的网络设备(WiFi接口 或者 有线网口)组合在一起,使其都在同一个局域网下。
页面路径:网络-接口-设备标签页
在这里插入图片描述
添加新设备
在这里插入图片描述
其他选项和标签页空着就行,保持默认
保存设置,现在应该多了一个网桥设备
在这里插入图片描述

新建访客网络接口

现在,我们已经创建好了访客网络的网桥设备。
接下来,需要创建访客网络接口,并将创建的网桥设备绑定到接口上。

接口是用来配置网络信息的,例如IP地址、是否开启DHCP服务。以及作为防火墙规则的控制区域。

页面路径:网络-接口-接口标签页
在这里插入图片描述
在这里插入图片描述
创建好接口后,在新增的接口上选择编辑进入详细设置:

在这里插入图片描述
在这里插入图片描述
在这里插入图片描述
在这里插入图片描述
DHCP服务器的 高级设置 IPV6设置 保持默认即可(如需禁用IPV6,可以将IPV6中三个选项都改成 已禁用
设置好后保存并应用。

新建访客防火墙区域

作为访客网络,我们当然希望加入的设备仅仅可以上网而已。不希望他们能登录管理页面或者与主人网络设备通讯(比如电视投屏,访问NAS等)。
因此需要创建一个新的防火墙区域,来制定通信规则。
在这里插入图片描述
在这里插入图片描述
IP动态伪装 不可勾选(只有WAN口才需要勾选)
其他配置选项卡请保持默认即可。

访客防火墙通信规则添加

添加完访客防火墙区域后,默认是阻断所有的来自路由器的数据包
这会导致一个问题:设备连接上访客网络后,获取不到IP地址(因为IP分配数据包是从路由器发出来的,此时也被防火墙拦截了)
因此我们需要添加额外的放行规则,允许访客网络的设备获取DHCP数据包,和向路由器请求DNS解析(默认DNS是路由器自己)
在这里插入图片描述
添加DNS请求允许规则
在这里插入图片描述
添加DHCP请求允许规则
在这里插入图片描述
设置完成后如下图所示
在这里插入图片描述
防火墙区域设置完成后,还需要将访客接口绑定到防火墙区域上。
在这里插入图片描述
到此,访客网络的所有设置就完成了,接下来就是添加具体的网络设备到访客网络中去。

无线网络新建访客SSID,并绑定访客接口

注:不同的无线芯片设备,无线设置界面都有所不同,教程不可能覆盖所有的型号平台。如有出入请自行查找!
在这里插入图片描述
根据需要,添加2.4G或者5G的SSID,也可以都添加。
具体的WiFi配置,根据自己需要设置。我这里标明一下重要的设置项
在这里插入图片描述
Openwrt中,WiFi的接口都只能在这里绑定到具体的接口上。在新建网络接口那一步,是不能选择无线接口绑定的。

在这里插入图片描述

设置后保存,到这里就全部设置完成了。

手机连接配置的WiFi名称,应该能获取到网络接口中设置的IP段地址。能正常上网,但无法访问或者ping通其他网段的设备。

有线网口加入访客网络

一般访客网络都是作用在无线WiFi上。如果需要将指定的有线网口也加入访客网络,请在此处配置
在这里插入图片描述
注:部分型号设备可能没有配置DSA支持(比如我这台),是使用交换机VLAN来分割网口WAN、LAN区域的,此类设备如需配置,需要在交换机页面添加一个VLAN划分
在这里插入图片描述

绕过流量代理(可选)

对于开启了特殊功能插件的设备,访客网络的流量也是会被处理分流的。
如果不希望访客网络的流量也被处理,请在插件功能页面添加自定义规则。

##排序在上的规则优先生效,如添加(去除规则前的#号):
##IP段:192.168.1.2-192.168.1.200 直连
- SRC-IP-CIDR,192.168.XX.1/24,DIRECT

SRC-IP-CIDR 代表源IP,以上规则即为:来自192.168.XX.X的数据包一律直连

谱尼300
关注
  • 25
    点赞
  • 10
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
openwrt/linux路由器访客网络禁止访问WebUI但可以访问外网功能实现
wgl307293845的博客
06-30 2056
需求描述 客户需要,访客wifi不能访问路由的webui,但是连接到访客wifi的设备可以正常上网 需求分析 只需要过滤从访客wifi到路由webui的数据包即可,可以利用ebtables实现 ebtables指令介绍 # ebtables Usage: ebtables -[ADI] chain rule-specification [options] ebtables -P chain target ebtables -[LFZ] [chain] ebtabl...
OpenWrt设置访客网络Guest Wi-Fi
weixin_34138377的博客
01-08 2113
参考 https://wiki.openwrt.org/doc/recipes/guest-wlan-webinterface 1. 在2.4GHz Wireless Controller下, 创建访客WiFi 在编辑界面中, Channel选择与现有网络不同编号,Advanced Settings都保持默认 ESSID设置一个易于辨认的名称, 例如OpenWrt-Guest, Mode选择Acc...
【日常折腾】如何在Openwrt上实现不同SSID数据走不同的网口?
最新发布
2301_79715162的博客
07-24 346
2.【SSID2】为访客专用网络,走【192.168.124.X】,子路由自己的网段,受到子路由ACL规则限制无法和上级网络中的【192.168.1.X】设备连接,提高内网安全。如果路由器能够为每一个SSID定义不同的数据走向,可以在复杂网络任务中,节约很多购买设备的资金和降低维护难度。1.【SSID1】为无线监控摄像头专用,硬盘录像机兼容性较差,跨网段会有BUG。需要直接和上一级路由网络【192.168.1.X】直接连接,只需借道子路由,一、打开OPENWRT中 右侧的【网络】-【无线】
使用openwrt设置Guest Wifi网络
boliang319的专栏
11-14 1万+
一下脚本在openwrt路由器上创建一个SSID为Guest-WIFI的访客网络
25-Openwrt 访客网络添加
Creator_Ly的博客
06-14 1605
网络访客网络相互隔离
OpenWRT添加自定义(新)机型1
08-08
以下是一份详细教程,以MT7620A开发板为例,介绍如何在OpenWRT添加自定义机型。 首先,你需要找到适合你开发板的不死UBoot,例如H大的Breed系列。通过编程器将UBoot写入Flash,然后测试网口是否能被电脑正确...
Openwrt 网络设置 指南
07-09
### OpenWrt网络设置指南 #### 一、网络配置文件介绍 OpenWrt中的网络配置要通过`/etc/config/network`文件实现。该文件用于管理交换芯片VLAN、网络接口及路由配置。对于网络管理员来说,熟悉并掌握该文件的编辑...
OpenWrt为平台,在无线路由器操作系统添加新的网络平台
07-07
最后,以 OpenWrt为平台,设计实现了适用于特定环境的无线传感器网络路由协议HITSENET,并对HITSENET路由模块进行了全面测试,测试结果说明HITSENET实现完全符合设计目标。   本课题的工作成功地在无线...
openwrt pawsswall+smartdns详细图文教程
08-05
后 pawsswall+smartdns 的 OP 旁路由系统
openwrt网络设置向导,x86适用
01-03
兼容18以后的版本,推荐使用最新版,上传到tmp后使用opkg命令即可安装。如果不会安装可参见meijinmeng.cn
OpenWrt_wifi设置教程
03-06
OpenWrt_wifi设置教程 无线路由器使用教程 很好的学习资料 可以收藏
OpenWrt路由器无线中继、桥接、信号放大、访客网络的实现方案
热门推荐
lvshaorong的博客
11-21 20万+
在使用无线路由器的过程中,最长见的是直接把路由器挂载光猫后面拨号,然后分出wifi给其他设备供其上网。但是在一些情况下往往会有特殊的需求,比如有可能路由器不采用有线接入,而使用无线接入。有可能我们用这个路由器只是放大一下其他路由器的信号。也许我们想蹭邻居家或者CMCC的信号,也许我们的路由器只是拿来当网卡用给不能使用wifi的台式机连接wifi,也许路由器想要挂个USB网卡实现远距离中继
OpenWrt实现无线客户端之间的隔离
hunningtu的博客
10-08 4820
有些网络环境中可能为了安全方便考虑,不希望连上同一个无线路由器的无线客户端之间可以互相通信,需要让他们之间无法直接通信,达到互相隔离的效果,我们可以通过手动修改配置文件的方式达到这样的目的。 只要修改/etc/config/wireless配置文件,在wifi-iface配置段的适当位置添加: option isolate 1 即可实现wifi用户之间互相隔离的效果。
OpenWrt Vlan间路由
dream52的专栏
02-20 2790
OpenWrt Vlan间路由
OpenWrt Web GUI WIFI 设置/显示配置的 简单分析
redparrot2008的博客
05-18 5992
WIFI 技术从WIFI5 发展的 WIFI 6, 高通的QSDK 从SPF1 已经release SPF11.1 版本。当客户设置用WEB 页面配置wifi 工作的模式的时候,会发发现模式一直设置的不正确。做为高通AE 工程师,我们通常会建议客户使用uci 进行wifi 配置。但是web 设置的问题一直没有修正。 刚好有点时间抽空了解openwrt /qsdk的web 设置框架,修正了了这个设置显示问题。 1.LUCI 目前OPENWRT的显示采用 luci 架构,Luci 框架内基于 lua +
OpenWrt网络配置详解
zhouwu_linux的专栏
03-05 1万+
OpenWrt网络配置的方法,以及总结开发过程中的实例
【路由器】OpenWrt 配置使用
乐园
10-23 5万+
在校园网环境下发现 WAN 口默认能自动获取到 IPv6 地址(但是 /128 的地址),并且在路由器上测试也能正常访问 IPv6 网站,但是局域网内的设备不能正常访问 IPv6 网站,于是选择 NAT6 的方式来解决。很多学校校园网通常采用锐捷认证,并且限制了用户账号的登陆数量,但是我们可以通过在路由器上进行锐捷认证来接入校园网,之后连接路由器的所有设备都会直接接入校园网而不需要认证了。使用 Samba 来共享的设备可以在 Windows 的文件资源管理器中挂载,使用起来和本地磁盘一样(在局域网内)
openwrt系统下划分vlan来隔离端口
opkg list
01-03 1万+
组网环境: 预想结果: 实际配置: 用到的原理:
openwrt 访客网络
10-06
OpenWrt 访客网络是指在 OpenWrt 路由器上设置的一种特殊网络,它可以为访客提供访问互联网的功能,同时保持访客网络隔离,不会对网络造成安全隐患。通过创建一个名为“guest”或类似的接口,将其与一个特定的无线网络连接起来,可以为访客提供独立的无线访问点。访客通过连接到这个访客网络可以获得互联网访问权限,但无法访问网络中的设备。 为了设置 OpenWrt 访客网络,你需要按照以下步骤进行操作: 1. 在 OpenWrt 路由器的管理界面中,导航到“网络”->“接口”。 2. 点击“添加新接口”按钮,并设置一个名称,如“guest”。 3. 在“物理设置”部分,选择与访客网络相关的无线接口,并将其设置为“无线模式”。 4. 在“防火墙设置”部分,选择“能访问无线网络的设备 (for CAPTIVE PORTAL)”。 5. 在“接口配置”部分,选择“客户端”作为网络协议,并选择一个现有的无线网络作为上级网络。 6. 点击“保存&应用”按钮,完成设置。 请注意,具体的设置步骤可能因 OpenWrt 版本而有所不同。为了确保准确性,建议你参考官方文档或特定版本的用户手册。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值