Что такое встроенная точка доступа в роутере

На этой вкладке вы можете изменить режим работы точки доступа. В большинстве случаев вы можете оставить режим по умолчанию Access Point
(Точка доступа). Вы можете пожелать изменить режим работы точки доступа, если захотите использовать ее в качестве беспроводного репитера для расширения зоны действия вашей беспроводной сети. Также вы захотите изменить режим работы точки доступа если будете использовать ее в качестве беспроводного моста, например, вы можете использовать две точки доступа в режиме беспроводного моста для соединения двух проводных сетей, находящихся в двух разных зданиях.

Важно:

Для режимов AP Client и Wireless Bridge (Беспроводной мост), удаленная точка доступа также должна быть модели WAP54G. Для режима беспроводного репитера удаленным беспроводным мостом должна быть вторая точка доступа WAP54G или роутер WRT54G.

AP Mode

Точка доступа может работать в четырех режимах: Access Point
(Точка доступа), AP Client
(Беспроводной клиент), Wireless Repeater
(Беспроводной репитер) и Wireless Bridge
(Беспроводной мост). Для режимов Репитер и Мост убедитесь, что идентификатор сети, канал и настройки безопасности совпадают с настройками других беспроводных точек доступа и устройств.

LAN MAC Address

Здесь показан МАС адрес точки доступа.

Access Point.
Этот режим установлен по умолчанию. В этом режиме производится подключение ваших беспроводных компьютеров к проводной сети. В большинстве случаев в каких-либо настройках нет необходимости.

AP Client.
В этом режиме точка доступа способна поддерживать соединение с одной удаленной точкой доступа в пределах зоны действия сети. Эта опция работает только в случае использования второй WAP54G.

Этот режим позволяет точке доступа работать в качестве беспроводного клиента. В нем нельзя соединяться с другими беспроводными клиентами напрямую. Отдельная сеть, подключенная через точку доступа в режиме AP Client может быть связана беспроводным мостом с удаленной точкой доступа.

Для использования этого режима, выберите AP Client и введите LAN MAC адрес удаленной точки доступа в поле Remote Access Point»s LAN MAC Address
. Если вы не знаете этого адреса, кликните по кнопке Site Survey.

Сейчас беспроводная сеть WiFi используется практически для всех устройств: ноутбуки, мобильные телефоны, нетбуки, КПК. Эта технология делает для нас более удобным и быстрым доступ к сети Интернет. Многие провайдеры сейчас предлагают WiFi доступ в Интернет. Для того чтобы воспользоваться технологией беспроводного доступа, Вам нужно использовать роутер или точку доступа. Оба эти устройства используют WiFi канал и предназначены для обеспечения радиопокрытия (режим AP), но, тем не менее, они между собой принципиально отличаются. Хотя роутер может работать в режиме точки доступа и имеет более широкие функции, чем просто точка доступа. Режим роутера определяется его настройкой. По умолчанию в роутере выбран режим точки доступа и есть много инструкций, как настроить роутер как точку доступа.

Так в чем же отличие беспроводного роутера от точки доступа? Это отличие определяется возможностями устройства и визуальным отличием. Точка доступа является по функциям практически радиоудлинителем кабеля. Вы просто передаете сигнал от кабеля провайдера на компьютер. Это дает Вам возможность использовать беспроводное соединение с интернетом Вашего компьютера. Если Вы пользуетесь точкой доступа, то Вам придется в настройках протокола tcp/ip ставить провайдерские настройки, и подключить к такому устройству более одного ноутбука достаточно сложно. Ведь для второго ноутбука придется использовать другой ip адрес. А такое устройство, как беспроводной роутер является роутером, в который уже встроена точка доступа. С его помощью Вы уже можете создать у себя дома сеть и подключить без проблем несколько устройств.

Кроме того, использование точки доступа, само по себе, не сможет обеспечить Вам защиту от сетевых вторжений. В этом случае, для защиты, Вам придется использовать возможности файрвола на своем компьютере. В роутере Вы сможете настроить защиту от сетевых атак. Из некоторых достоинств использования точки доступа можно отметить то, что настраивать перенаправление портов для торрентов и dc настраивать не придется. Стандартная точка доступа обеспечивает прием сигнала в радиусе 200-250 метров, если на пути сигнала не будет препятствий, снижающих мощность сигнала (бетонные стены, железные конструкции).

Если сравнивать визуально роутер и точку доступа, то можно отметить, что точка доступа оборудована только одним Ethernet-портом, а у стандартных роутеров их пять (четыре LAN порта и один WAN-порт).

Как правило, WAN-порт отделен от остальных и в него подключается сетевой кабель от провайдера. На передней панели роутера обычно установлены световые индикаторы, сигнализирующие о подключении кабеля в тот или иной порт. В LAN порты подключаются посредством витой пары клиенты Вашей локальной сети, созданной роутером.

У точек доступа заводскими настройками по умолчанию отключен DHCP-сервер, и поэтому для соединения с ней по WiFi или по Ethernet необходимо присвоить ей статический IP-адрес. С помощью Ethernet-порта точка доступа может подключаться по протоколу Static IP либо DHCP. Вам обязательно нужно знать, какой протокол подключения установил ваш провайдер.

WiFi роутеры более функциональны в этом отношении. Они могут поддерживать кроме обычных протоколов Static IP, DHCP еще и VPN-соединение с протоколами PPPoE, PPTP, L2TP.

Часто можно услышать, что WiFi роутеры называют еще маршрутизаторами и шлюзами. При своей работе роутеры работают как шлюз доступа к сети интернет, ведь они соединяют несколько сетей (WAN, LAN, WLAN) и устанавливаются как раз на стыке. Эту возможность, соединять несколько сетей, дает протокол трансляции NAT. Точки доступа этой функцией не обладают. Используя протокол NAT, роутер может преобразовать IP-адрес, получаемый от провайдера, в локальные IP-адреса порядка 192.168.0.0-192.168.255.255. Пользуясь роутером Вы можете, через один контракт с провайдером, подключить одновременно еще несколько клиентов на канал. Таким образом, провайдер может обойтись меньшим количеством IP-адресов, а Вы можете подключать несколько клиентов на канал.

Из всего сказанного, можно заключить, что WiFi роутер обладает большим количеством возможностей применения и соответственно более универсален. С его помощью Вы можете построить домашнюю или небольшую офисную сеть. Точки доступа обладают более широким функционалом по настройке сети. Их использование оправдано в создании больших сетей на значительной площади помещений.

Режимы работы роутера

Устройство роутера позволяет использовать его в разных режимах работы (точка доступа, мост, репитер, клиент).

Роутер как точка доступа

Режим роутер wi fi точка доступа является основным для работы WiFi оборудования и называется – AP (Access Point). Роутер, в режиме точки доступа, создает зону радиопокрытия вокруг себя на определенном расстоянии, определяемом выходной мощностью сигнала. Все устройства, находящиеся в пределах этой зоны и способные работать как AP-client (WiFi адаптеры и отдельные модели точек доступа) могут быть подключены к сети WiFi.

Таким образом, wifi роутер точка доступа используется для подключения к сети WiFi и этот режим в роутерах выставлен по умолчанию.

Роутер в режиме клиента

В основном режиме AP-client доступен только для WiFi роутеров. Отдельные модели точек доступа тоже оснащены такой функциональностью и могут работать в этом режиме. В этом режиме роутер позволяет компьютер или другие устройства подключать к WiFi сети. Например, если Вы интернет получаете по радиоканалу, а потом он уже раздается по кабелю на стационарные компьютеры.

Роутер – режим моста

В этом режиме можно по радиоканалу соединить два удаленных сегмента сети Ethernet, если в определенных местах Вы не можете провести проводное соединение или просто не хочется прокладывать кабель. Когда Вы соедините две точки доступа соединением типа мост (bridge), то сеть, образованная ими будет невидимой. Эта возможность во многом повышает защиту Вашей сети от подключения со стороны.

Настройка роутера мост требует, чтобы SSID, канал и тип шифрования этих устройств совпадали.

Настройка роутера в режиме моста

Чтобы настроить роутер в режиме моста Вам нужно сначала сменить пароль на роутере, настроить Wi-Fi. А потом зайти в настройки роутера и открыть меню SETUP и выбрать Network Setting. В открывшемся окне нужно выставить режим Wan Port Mode в режим Bridge Mode(мост).

Такое же по функциональности подключение можно создать, если

составить схему из двух устройств. С одной стороны должно быть устройство, работающее в режиме AP, а с другой стороны подключена точка доступа, которая работает в режиме AP-client.

Это подключение может обеспечить очень хорошую производительность. Единственным недостатком здесь будет то, что SSID сети транслируется в эфир, лишая Вашу сеть свойства невидимости.

Роутер в режиме репитера

Очень часто возникает ситуация, когда нужно расширить зону доступа сети. Есть много вариантов для решения этой задачи, среди которых и использование роутера как репитера (Repeater).

В этом режиме роутер работает как усилитель сигнала основного роутера. Роутер, настроенный в режиме репитера, принимает сигнал и соответственно передает его дальше, увеличивая тем самым радиус приема. В таком режиме для получения наилучших результатов нужно расположить репитер, роутер wifi посередине, на одном расстоянии от основного роутера (или точки доступа) и Вашим компьютером.

Чем отличается маршрутизатор от точки доступа WiFi

Режимы работы точки доступа.

Access Point Mode
(Точка доступа) — Режим Access Point
предназначен для беспроводного подключения к точке доступа портативных
компьютеров, настольных ПК и PDA. Беспроводные клиенты могут обращаться к
точке доступа только в режиме Access Point.

Access Point Client / Wireless Client Mode
(Беспроводной
клиент) — Режим AP Client или Wireless Client позволяет точке доступа
стать беспроводным клиентом другой точки доступа. По существу, в данном
режиме точка доступа выполняет функции беспроводного сетевого адаптера.
Вы можете использовать данный режим для обмена данными между двумя
точками доступа. Обмен данными между беспроводной платой и точкой
доступа в режиме Access Point Client / Wireless Client Mode невозможен.

Point-to-Point / Wireless Bridge
(Беспроводной мост
point-to-point) — Режим Point-to-Point / Wireless Bridge позволяет
беспроводной точке обмениваться данными с другой точкой доступа,
поддерживающей режим беспроводного моста point-to-point. Однако имейте в
виду, что большинство производителей используют свои собственные
оригинальные настройки для активации режима беспроводного моста в точке
доступа. Обычно данный режим используется для беспроводного соединения
аппаратуры в двух разных зданиях.

Беспроводные клиенты не могут обмениваться данными с точкой доступа в этом режиме.

Point-to-Multipoint / Multi-point Bridge
(Беспроводной мост
point-to-multipoint) — Режим Point-to-Multi-point / Multi-point Bridge
аналогичен режиму Point-to-point / Wireless Bridge с той лишь разницей,
что допускает использование более двух точек доступа. Беспроводные
клиенты также не могут обмениваться данными с точкой доступа в этом
режиме.

Repeater Mode
(Репитер) —
Функционируя в режиме беспроводного репитера, точка доступа расширяет
диапазон действия беспроводной сети посредством повтора сигнала
удаленной точки доступа. Для того чтобы точка доступа могла выполнять
функции беспроводного расширителя радиуса действия другой точки доступа,
в её конфигурации необходимо указать Ethernet MAC-адрес удаленной точки
доступа. В данном режиме беспроводные клиенты могут обмениваться
данными с точкой доступа.

WDS
(Wireless Distribution System) —
позволяет одновременно подключать беспроводных клиентов к точкам,
работающим в режимах Bridge (мост точка-точка) или Multipoint Bridge
(мост точка-много точек), однако при этом уменьшается скорость работы.

Все точки доступа и беспроводные маршрутизаторы, продаваемые в
настоящее время, легко конфигурируются через web-интерфейс, для чего
необходимо при первом подключении их к Вашей сети обратиться через
web-браузер по определённому IP-адресу, указанному в документации к
устройству. (В некоторых случаях потребуются специальные настройки
протокола TCP/IP на компьютере, используемом для конфигурирования точки
доступа или маршрутизатора, также указанные в документации)

Эта программа создана с целью облегчить создание точки доступа WiFi на основе Hostapd и DNSMASQ.

Возможности программы

Создание точки доступа в пару кликов.

Поддержка WAP3 (WPA-PSK+WPA2).

Поддержка скрытых сетей.

Готовые настройки по-умолчанию.

Поддержка 802.11 b/g/n.

Язык интерфейса: русский и английский.

Отображение статистики (трафик, клиенты).

В данный момент актуальна версия 1.1

Установка программы

$ sudo apt-add-repository ppa:ekozincew/ppa
$ sudo apt-get update
$ sudo apt-get install wifi-hostapd-ap

Настройка программы

У меня заработало с такими параметрами:

Также в настройках DNSMASQ»a выберите правильный интерфейс подключения к интернету, иначе у вас его не будет.

Проблемы с Network Manager

Обнаружилось, что довольно часто Network Manager мешает нормальному запуску программной точки доступа. Есть два варианта решения данной проблемы:
1) отключить Network Manager, как это сделать описано ниже в этой статье
2) запретить ему управлять WI-FI модулем. Дя этого потребуется добавить в конфигурационный файл /etc/NetworkManager/NetworkManager.conf следующие строки:

Unmanaged-devices=mac:<здесь пишем MAC-адрес нашего wi-fi модуля>

После этого выполняем

Restart network-manager

Теперь NetworkManager не управляет wi-fi модулем и не мешает нормально работать hostapd

Старый способ

Работоспособность руководства проверена на Ubuntu Server 9.10 i386 и Ubuntu Desktop 9.10 i386. При условии поддержки оборудования более старыми ядрами должно работать и на более ранних версиях.

Краткое описание руководства

В данном руководстве объясняется, как организовать программный Wi-Fi-роутер на основе Wi-Fi адаптера и компьютера под управлением Ubuntu. Все действия описаны для CLI интерфейса и подходят к воспроизведению на серверной версии дистрибутива. Если вы используете desktop версию с GUI — просто выполняйте все в терминале. Подразумевается, что вы имеете уже настроенное интернет-соединение , доступ к которому вы хотите предоставить некой локальной сети, в которую входят клиенты подключенные как через ethernet (проводная сеть), так и через Wi-Fi .

Прежде чем начать

Внимательно прочитайте этот раздел, прежде чем начнете настраивать ваш роутер.

Совместимость оборудования

Другие интерфейсы

Перед началом настройки, убедитесь, что все остальные сетевые интерфейсы подключены и работают нормально. Если вы еще не настроили интерфейс, отвечающий за интернет соединение — самое время сделать это сейчас. Более подробно про настройку сетевых интерфейсов можно почитать .

Скорость передачи данных

Реальная скорость передачи данных по каналу WiFi значительно отличается от заявленных производителем, кроме того- чем больше устройств работает на одной точке доступа- тем меньше пропускная способность (канал делится на количество клиентов). Ниже приведена таблица, отображающая технические характеристики различных протоколов передачи данных интерфейса WiFi, для одного
устройства.

Протокол	Используемая частота	Максимальная теоретическая скорость	Типичная скорость на практике	Дальность связи в помещении	Дальность связи на открытой местности
802.11b	2.4ГГц	11Мбит/сек	0.4Мбайт/сек	38	140
802.11a	5ГГц	54Мбит/сек	2.3Мбайт/сек	35	120
802.11g	2.4ГГц	54Мбит/сек	1.9Мбайт/сек	38	140
802.11n	2.4ГГц,5ГГц	600Мбит/сек	7.4Мбайт/сек	70	250

Установка необходимых пакетов и обновление

Для настройки нам понадобятся утилиты для работы с беспроводным сетевым оборудованием wireless-tools (которые скорее всего уже установлены в вашей системе), утилиты для работы с сетевым мостом bridge-utils , собственно сам демон ТД hostapd , какой нибудь DHCP сервер (я предпочитаю dnsmasq , т.к. он одновременно может выступать как DNS -форвардер и как DHCP сервер, и к тому же, обладает удобным и хорошо комментированным файлом настройки). Обязательно стоит обновить систему, т.к. скорее всего в комплекте обновления будет новое linux ядро, а с каждой новой версией ядра вы получаете и новые версии драйверов, что может заметно расширить возможности вашего адаптера.
Обновляем систему:

Sudo apt-get update
sudo apt-get upgrade

Затем перезагружаемся:

Sudo shutdown -r now

Sudo reboot

И ставим необходимые пакеты:

Sudo apt-get install wireless-tools bridge-utils hostapd dnsmasq

Настройка интерфейсов

Все инструкции в интернете, к которым я обращался в процессе написания этой статьи требуют сначала настроить сетевые интерфейсы — т.е. перевести Wi-Fi адаптер в режим точки доступа, соединить его со свободным Ethernet адаптером в мост и поднять эти интерфейсы до того, как запустится hostapd, т.е. прописать все необходимое в /etc/network/interfaces, однако, из комментариев в hostapd.conf следует, что он сам переводит беспроводной адаптер в режим ТД, и сам поднимает соединение-мост. Как правильно делать — я не знаю, однако описанный ниже способ проверен на работоспособность на двух различных конфигурациях и все хорошо работает. Мне к сожалению, не довелось настраивать ТД на основе драйверов madwifi , которые несколько специфичны в настройке. В любом случае — эта статья в wiki разделе, если вы обладаете бОльшей информацией на эту тему — пожалуйста, не проходите мимо…

Настройка беспроводного интерфейса

Прежде всего вам нужно перевести беспроводной адаптер в режим точки доступа. В зависимости от драйвера вам нужно попробовать несколько способов. В принципе — адаптер переводится в режим ТД командой:

Sudo iwconfig wlan0 mode Master

Где wlan0
— имя вашего беспроводного интерфейса.
Однако, в некоторых случаях, этот способ не сработает, тогда вам нужно сначала «удалить» старый интерфейс и «создать» новый, с режимом ТД. Для этого вам понадобится утилита iw установить которую можно например так:

Sudo iw dev wlan0 del
sudo iw phy phy0 interface add wlan0 type __ap

Где wlan0
— имя вашего интерфейса. Обратите внимание на конец второй строчки приведенной команды — _ _ a p — перед символами ap два символа подчеркивания
.
Если у вас madwifi перевод адаптера в режим ТД выглядит так:

Sudo wlanconfig ath0 destroy
sudo wlanconfig ath0 create wlandev wifi0 wlanmode ap
sudo iwconfig wlan0 mode Master

В любом случае, после этих действий, команда iwconfig , запущенная без параметров, должна выдать примерно следующее:

Wlan0 IEEE 802.11bg Mode:Master Frequency:2.462 GHz
Tx-Power=20 dBm Retry long limit:7 RTS thr:off
Fragment thr:off Power Management:off Link Quality:0
Signal level:0 Noise level:0 Rx invalid nwid:0
Rx invalid crypt:0 Rx invalid frag:0 Tx excessive
retries:0 Invalid misc:0 Missed beacon:0

Обратите внимание на значение Mode:Master
— это значит, что адаптер работает в режиме точки доступа.
Для закрепления результата необходимо внести изменения в файл /etc/network/interfaces и добавить настройки вашего беспроводного интерфейса:

Iface wlan0 inet manual
pre-up iw dev wlan0 del
pre-up iw phy phy0 interface add wlan0 type __ap

Настройка моста

Для того, чтобы объединить вашу проводную локальную сеть с беспроводной в одну — вам нужно создать сетевой мост между ними. Таким образом вы сможете подключать компьютеры-клиенты к общей сети как через Wi-Fi, так и через обычный Ethernet .
Для этого вам нужно отредактировать файл /etc/network/interfaces и внести в него следующие настройки:

Iface br0 inet static
address 192.168.0.1
network 192.168.0.0
netmask 255.255.255.0
broadcast 192.168.0.255
bridge_ports eth1 wlan0

Где: br0
— имя интерфейса-моста, eth1
— интерфейс, «смотрящий» в локальную сеть, wlan0
— беспроводной интерфейс, а самой локальной сети назначается адресация 192.168.0.0/24
.
Стоит заметить, что интерфейс eth1
не нужно дополнительно описывать в файле interfaces , т.к. ifupdown разберется с ним автоматически, при включении интерфейса br0
.

Итоговый interfaces

В итоге, после всех приведенных выше манипуляций вы должны были получить файл /etc/network/interfaces примерно такого содержания:

# This file describes the network interfaces available on your system
# and how to activate them. For more information, see interfaces(5).
# loopback-интерфейс
auto lo
iface lo inet loopback
# Интернет-интерфейс. Он подключен к провайдеру.
auto eth0
iface eth0 inet static
address 192.168.254.35
netmask 255.255.255.0
gateway 192.168.254.1
auto wlan0 br0
# Беспроводной интерфейс
iface wlan0 inet manual
pre-up iw dev wlan0 del
pre-up iw phy phy0 interface add wlan0 type __ap
# Мост.
iface br0 inet static
address 192.168.0.1
network 192.168.0.0
netmask 255.255.255.0
broadcast 192.168.0.255
bridge_ports eth1 wlan0

Теперь вы можете перезапустить сеть командой:

Sudo /etc/init.d/networking restart

И посмотреть, что из этого получилось при помощи ifconfig . Если вы нигде не ошиблись — вы увидите все свои интерфейсы, в том числе не описанный в interfaces eth1
и br0
. Для просмотра информации о сетевом мосте можно использовать:

Настройка hostapd

Теперь, когда все подготовительные действия выполнены нужно настроить собственно точку доступа — hostapd . Основной файл настроек hostapd — /etc/hostapd/hostapd.conf . Лучше сразу создать его резервную копию, т.к. сам файл содержит большое количество подробных комментариев о настройке, и в случае, если вы что-то удалите — вы всегда сможете обратиться к оригиналу:

Sudo cp /etc/hostapd/hostapd.conf /etc/hostapd/hostapd.conf.original

Файл hostapd.conf содержит в себе список опций, которые принимают то или иное значения и все вместе влияют на конфигурацию hostapd . Каждая опция снабжена достаточно подробным комментарием . Вот некоторые основные опции:

Параметр	Описание	Значение по умолчанию
interface	Устройство точки доступа. Т.е. то сетевое устройство, которое является Wi-Fi адаптером. Например, wlan0 или, например, ath0 в случае madwifi.	n/a
bridge	Если используются madwifi, atheros, или nl80211 — может быть использован дополнительный параметр — bridge. С его помощью можно сказать hostapd что используемый интерфейс включен в сетевой мост. Если параметр не задан — драйверы автоматически определят интерфейс моста.	n/a
driver	Тип драйвера. (hostap/wired/madwifi/test/none/nl80211/bsd). nl80211 для всех «Linux mac80211 drivers». madwifi для madwifi (кто бы мог подумать?) Если задать none — hostapd будет работать как выделенный RADIUS сервер, не управляя каким либо интерфейсом.	hostap
logger_syslog logger_syslog_level logger_stdout logger_stdout_level	Опции журналирования. Два метода вывода сообщений: syslog и stdout (последний полезен только в случае простого запуска hostapd — не в режиме демона). Возможные значения : -1 = все модули. 0 = IEEE 802.11 1 = IEEE 802.1X 2 = RADIUS 3 = WPA 4 = driver interface 5 = IAPP 6 = MLME Уровни журналов : 0 = verbose debugging 1 = debugging 2 = informational messages 3 = notification 4 = warning	logger_syslog=-1 logger_syslog_level=2 logger_stdout=-1 logger_stdout_level=2
ssid	SSID (имя точки доступа)	test
country_code	Country code (ISO /IEC 3166-1). Используется для установки региональных ограничений. Задает страну, в которой работает точка доступа. В зависимости от выбранной страны может влиять на количество и номера доспупных каналов и мощность сигнала.	US
ieee80211d	Включить IEEE 802.11d (Интернациональные роуминговые расширения (2001)). В зависимости от параметра country_code задает список доступных каналов и устанавливает мощность сигнала на основе ограничений, действующих в этой стране.	0 = выключено
hw_mode	Режим работы. (a = IEEE 802.11a, b = IEEE 802.11b, g = IEEE 802.11g)	b
channel	Номер канала (IEEE 802.11). Стоит заметить, что некоторые драйверы (например madwifi) не используют это значение из hostapd и в таком случае канал должен быть задан отдельно через утилиту iwconfig.	0, т.е. не задан
macaddr_acl accept_mac_file deny_mac_file	Аутентификация на основе MAC адресов клиентских станций. Cтоит заметить, что подобный вид аутентификации требует драйвер, использующий hostapd для управления обработки кадров, т.е. это может быть использовано с driver=hostap или driver=nl80211, но не с driver=madwifi. 0 = принимать клиента, если его нет в «черном списке» 1 = отклонять клиента, если его нет в «белом списке» 2 = использовать внешний RADIUS сервер. (черные/белые списки обрабатываются первыми). Черные/белые списки читаются из отдельных файлов (которые содержат MAC адреса — по одному на строку). Необходимо указывать абсолютный путь.	macaddr_acl=0 accept_mac_file=/etc/hostapd.accept deny_mac_file=/etc/hostapd.deny
auth_algs	IEEE 802.11 описывает 2 алгоритма аутентификации. hostapd может работать с обоими. «Открытая система» (Open system authentication) должна быть использована с IEEE 802.1X. Значения: 0 = Open System Authentication 1 = Shared Key Authentication (требуется WEP)	3
ignore_broadcast_ssid	Посылать пустое поле SSID в широковещательных сообщениях и игнорировать запросы от клиентов, запрашивающие имя ТД. Т.е. то, что в Wi-Fi роутерах называется «скрывать точку доступа» — клиент должен знать SSID для соединения. 1 = посылать пустой (length=0) SSID и игнорировать probe запросы на имя ТД. 2 = очистить SSID (ASCII 0), но сохранить оригинальную длину поля (требуется для некоторых клиентов, которые не поддерживают пустой SSID) и игнорировать probe запросы.	выключено (0)
ap_max_inactivity	Лимит неактивности клиентской станции. Если клиент ничего не передает в течение времени, указанном в ap_max_inactivity (секунды), посылается пустой дата-фрейм клиенту с целью проверки «А доступен ли он еще?» (Например, клиент мог покинуть зону покрытия ТД). Если на запрос на было ответа (ACK), станция клиента отключается (сначала деассоциируется, затем деаутентифицируется). Эта функция используется для очистки таблицы активных станций от старых («мертвых») записей.	300 (т.е., 5 минут)
wpa	Опции WPA. Указание этого параметра требуется чтобы заставить ТД требовать от клиентов WPA аутентификации. (WPA-PSK или WPA-RADIUS/EAP). Для WPA-PSK, нужно указать wpa_psk или wpa_passphrase и включить WPA-PSK в wpa_key_mgmt. Для WPA-RADIUS/EAP, дожен быть настроен ieee8021x (без динамических WEP ключей), должен быть сконфигурирован RADIUS сервер и включено WPA-EAP в wpa_key_mgmt. Возможные значения: 0 = без WPA/WPA2 (не рекомендуется) 1 = WPA (не рекомендуется) 2 = IEEE 802.11i/RSN (WPA2) — на сегодня безопаснее всего. 3 = разрешена как WPA, так и WPA2 аутентификация	1
wpa_psk wpa_passphrase wpa_psk_file	Ключи WPA для WPA-PSK. Могут быть заданы как 256-битным ключем в шестнадцатиричном формате (64 hex digits), так и в виде wpa_psk (в виде ASCII фразы 8..63 символа). В полседнем случае фраза будет сконвертирована в PSK, при этом используется SSID, таким образом, PSK меняется каждый раз когда меняется SSID. Дополнительно, есть возможность счтывать WPA PSK из файла, содержащего список MAC адресов и PSK (по паре MAC — PSK на строку). Таким образом можно настроить несколько PSK. Нужно указывать абсолютный путь до файла с ключами.	n/a n/a /etc/hostapd.wpa_psk
wpa_key_mgmt	Список принимаемых алгоритмов управления ключами. (WPA-PSK, WPA-EAP, или оба). Записи разделются проблами. Можно использовать WPA-PSK-SHA256 и WPA-EAP-SHA256 для# более стойких алгоритмов, основанных на SHA256.	WPA-PSK WPA-EAP
wpa_pairwise rsn_pairwise	Набор принимаемых алгоритмов шифрования. Разделенный пробелами список алгоритмов: CCMP = AES in Counter mode with CBC-MAC [ RFC 3610, IEEE 802.11i/D7.0] TKIP = Temporal Key Integrity Protocol	Парные алгоритмы шифрования для WPA (v1) (по умолчанию: TKIP) wpa_pairwise=TKIP CCMP Парные алгоритмы шифрования для RSN/WPA2 (по умолчанию: используется значение wpa_pairwise) rsn_pairwise=CCMP

Пример конфигурационных файлов для точки доступа со скрытым SSID и авторизацией WPA2 на основе MAC адресов клиентских станций:
hostapd.conf

Interface=wlan0
bridge=br0
driver=nl80211
hw_mode=g
channel=11
logger_syslog=-1
logger_syslog_level=2
logger_stdout=-1
logger_stdout_level=2
debug=0
dump_file=/tmp/hostapd.dump
ctrl_interface=/var/run/hostapd
ctrl_interface_group=0
ssid=Ubuntu
ignore_broadcast_ssid=1
auth_algs=3
eapol_key_index_workaround=0
eap_server=0
wpa=3
wpa_psk_file=/etc/hostapd/wpa_psk
wpa_key_mgmt=WPA-PSK
rsn_pairwise=CCMP

/etc/hostapd/wpa_psk

# Мой ноут:
00:0A:1B:2C:3D:4E my_big_secret
# Все остальные:
00:00:00:00:00:00 secret_password_for_everyone
# А удобно, правда?

Теперь, когда мы настроили hostapd самое время установить его на автоматический запуск при загрузке системы. Для этого нужно отредактировать файл /etc/default/hostapd и изменить закомментированные строки на:

RUN_DAEMON=»yes»
DAEMON_CONF=»/etc/hostapd/hostapd.conf»

Настройка общего доступа

После перезагрузки компьютера мы сможем «увидеть» свою точку доступа, однако вряд ли сможем подключиться к ней, т.к. нам пока никто не может раздать сетевые параметры и доступ к интернету. Поэтому необходимо выпонить ряд общих действий, не связанных в принципе с Wi-Fi, но необходимых для разделения одного интернет-канала на несколько компьютеров.

Настройка iptables и ip форвардинга

В GNU/Linux в общем и в Ubuntu в частности присутствует замечательный программный файерволл, работающий на уровне ядра операционной системы — Netfilter . Существует утилита, под названием iptables , служащая для управления netfilr»ом и позволяющая достаточно тонко настроить правила проходжения пакетов через шлюз. Более подробно см. в соответствующей статье (скоро будет). Для настройки фаерволла в нашем случае нужно создать скрипт, например, в /etc/firewall/iptables и вставить в него следующий текст:

#! /bin/sh

#

#######################

# Настройка интерфейсов

#######################

# Internet (Поменяйте на ваш интернет-интерфейс)

Inet_Interface
=»eth0″

# Lan (поменяйте на ваш интерфейс сетевого моста)

Lan_Interface
=»br0″

# Lo (локальный интефейс — петля)

Lo_Interface
=»lo»

# Описываем путь до iptables

IPT
=»/sbin/iptables»

# Очищаем текущие правила (если вдруг есть какие-то правила)

$IPT
-F

$IPT
-t
nat -F

$IPT
-t
mangle -F

$IPT
-X

$IPT
-t
nat -X

$IPT
-t
mangle -X

# Задаем политики по умолчанию

$IPT
-P
INPUT DROP
$IPT
-P
FORWARD DROP
$IPT
-P
OUTPUT DROP
# Создаем цепочку для обработки неправильных пакетов.

# bad_packets

$IPT
-N
bad_packets
$IPT
-A
bad_packets -p
tcp —tcp-flags
SYN,ACK SYN,ACK \
-m
state —state
NEW -j
REJECT —reject-with
tcp-reset
$IPT
-A
bad_packets -p
tcp !
—syn
-m
state —state
NEW \
-j
LOG —log-prefix
«New not syn:»

$IPT
-A
bad_packets -p
tcp !
—syn
-m
state —state
NEW -j
DROP
# Создаем цепочку для обработки входящих (из интернета) tcp соединений.

# tcp_p

$IPT
-N
tcp_p
# Чтобы, например, разрешить подключаться к нашему шлюзу из интернета по ssh:

##ssh=»22″

##ssh_ip_allowed=»0/0″

##$IPT -A tcp_p -p tcp -s $ssh_ip_allowed —dport $ssh -j ACCEPT

$IPT
-A
tcp_p -p
tcp -s
0
/
0
-j
DROP
# Создаем цепочку для обработки входящих (из интернета) udp соединений.

# udp_p

$IPT
-N
udp_p
$IPT
-A
udp_p -p
udp -s
0
/
0
-j
DROP
# Создаем цепочку для обработки входящих (из интернета) icmp соединений.

# icmp_p

$IPT
-N
icmp_p
# Разрешаем «пинговать» наш шлюз из интернета:

$IPT
-A
icmp_p -p
icmp -s
0
/
0
—icmp-type
8
-j
ACCEPT
$IPT
-A
icmp_p -p
icmp -s
0
/
0
—icmp-type
11
-j
ACCEPT
$IPT
-A
icmp_p -p
icmp -s
0
/
0
-j
DROP
# Цепочка INPUT

$IPT
-A
INPUT -p
tcp -j
bad_packets
$IPT
-A
INPUT -p
all -i
$Lan_Interface
-j
ACCEPT
$IPT
-A
INPUT -p
all -i
$Lo_Interface
-j
ACCEPT
$IPT
-A
INPUT -p
all -i
$Inet_Interface
-m
state —state
\
ESTABLISHED,RELATED -j
ACCEPT
$IPT
-A
INPUT -p
tcp -i
$Inet_Interface
-j
tcp_p
$IPT
-A
INPUT -p
udp -i
$Inet_Interface
-j
udp_p
$IPT
-A
INPUT -p
icmp -i
$Inet_Interface
-j
icmp_p
# Цепочка FORWARD

$IPT
-A
FORWARD -p
tcp -j
bad_packets
$IPT
-A
FORWARD -p
all -i
$Lan_Interface
-j
ACCEPT
$IPT
-A
FORWARD -p
all -i
$Lo_Interface
-j
ACCEPT
$IPT
-A
FORWARD -p
all -i
$Inet_Interface
-m
state \
—state
ESTABLISHED,RELATED -j
ACCEPT
# Цепочка OUTPUT

$IPT
-A
OUTPUT -p
tcp -j
bad_packets
$IPT
-A
OUTPUT -p
all -o
$Inet_Interface
-j
ACCEPT
$IPT
-A
OUTPUT -p
all -o
$Lan_Interface
-j
ACCEPT
$IPT
-A
OUTPUT -p
all -o
$Lo_Interface
-j
ACCEPT
# Цепочка POSTROUTING (таблица nat)

$IPT
-t
nat -A
POSTROUTING -o
$Inet_Interface
-j
MASQUERADE
# Включаем перенаправление ipv4.

echo
«1»
>
/
proc/
sys/
net/
ipv4/
ip_forward
echo
«Firewall started»

exit
0

Sudo chmod +x /etc/firewall/iptables

И установить его на автоматический запуск при инициализации сетевых служб:

Sudo ln -s /etc/firewall/iptables /etc/network/if-up.d/firewall

Настройка dnsmasq

Теперь осталось только настроить DHCP сервер для автоматической выдачи IP адресов клиентам и форвардинг DNS запросов из нашей сети (чтобы не пришлось прописывать DNS адреса на каждой машине, а можно было пользоваться локальным адресом шлюза в качестве DNS сервера). Для этой цели замечательно подходит dnsmasq . Нужно открыть файл его конфигурации — /etc/dnsmasq.conf и поменять параметры:

# Не обрабатывать адреса не содержашие доменной части.
domain-needed
# Не перенаправлять адреса, ведущие в немаршрутизируемое адресное пространство.
bogus-priv
# Ограничить работу dnsmasq определенным интерфейсом
interface=br0
# Включить DHCP сервер и задать диапазон назначаемых адресов.
dhcp-range=192.168.0.10,192.168.0.255,12h

Теперь можно перезагрузить шлюз и попытаться соединиться с ним по Wi-Fi или через Ethernet. Если по какой-то причине что-то не работает — внимательно перечитайте руководство и поищите ошибки в ваших конфигурационных файлах. Не забудьте, что если вы используете скрытый SSID вашей точки доступа — она не будет отображаться в списке доступных беспроводных сетей на машинах клиентов — в этом случае вам необходимо вручную указать SSID при подключении.

для этого вам нужно открыть этот файл для редактирования с правами суперпользователя, например так sudo nano /etc/network/interfaces
, вместо nano вы можете использовать ваш любимый текстовый редактор, после внесения изменений нужно их сохранить. Более подробно про nano см. man nano .