середа, 1 червня 2011 р.

Очумелые ручки: multiple ssid на одном soho wifi роутере

Имеем Linksys WRT610N v1. Хочется обеспечить в офисе wifi. Но не просто wifi, а 2 wifi: один для сотрудников, со сторогой аутентификакией, доступом ко всем внутренним ресурсам и в локалку, второй для гостей/клиентов/etc , с авторизацией по ключу, с доступом только в интернет. Опционально хотелось бы еще и иметь возможность использовать все 5 GigabitEthernet портов как свич для локалки.
Железка, к счастью, уже поддерживается альтернативными прошивками, в частности DD-WRT:
http://dd-wrt.com/wiki/index.php/Linksys_WRT610N
Поэтому первым делом просто перепрошиваем её прямо через родной вебинтерфейс правильной прошивкой. Та, которая в статье-описании железки рекомендуется как первая, слишком древняя, а та, что рекомендуется на dd-wrt.com при выборе модели, у меня просто глючила. Вот эта у меня прошилась и работает нормально: ftp://ftp.dd-wrt.com/others/eko/V24_TNG/svn16403/dd-wrt.v24-16403_big-wrt610n.bin
Далее следует настроить роутер в режим просто AP со свичем. Про vlan-ы в подобных железках:
http://dd-wrt.com/wiki/index.php/Default_Configuration_Overview
Особенности конфигурирования vlan-ов на этой железке:
http://www.dd-wrt.com/phpBB2/viewtopic.php?p=481340&highlight=#481340
Бридж всех портов & wi-fi ap:
http://dd-wrt.com/wiki/index.php/Wireless_Access_Point
Настраиваем всё по этой инструкции за исключением пункта "Assign WAN Port to Switch". Дело в том, что в этих железках по умолчанию lan порты включены в vlan1, wan порт включен в vlan2, а при установке этой галочки делается software bridge между vlan1 & vlan2 и трафик ходит через процессор. Поэтому пункт не трогаем, а после настройки заходим на железку по telnet (login root не зависимо от того, какой там username задавался при начальном конфигурировании, пароль такой же, как на веб) и через nvram включаем wan порт тоже в vlan1, только с тегом. vlan2 через тот же nvram тоже разрешаем на cpu и на wan порту тегироанным - он нам пригодится для второго wlan.
Далее настраиваем multiple wlan-s:
http://dd-wrt.com/wiki/index.php/Multiple_WLANs
Второй wlan через вебинтерфейс объединяем в бридж с vlan2.
Настраиваем 2 wlan интерфейса так, как нам нужно. Теперь клиенты при подключении к разным wlan , могут проходить разные типы аутентификации (у меня настроено на "публичной" сети wpa-psk, на внутренней сети wpa-enterprise c freeradius на сервере) и будут попадать в разные vlan-ы, "internet" порт используется как аплинк, все 4 ethernet порта можно использовать для подключения компьютеров в локалку