使用兩個 Router 的設定方式 – Guest Network

[anti-both]

現 在 很 多 新 Router 都 有 所 謂 的 Guest Network 功 能 ,究 竟 什 麼 是 Guest Network 呢 ?Guest Network 一 般 是 指 在 一 個 公 司 /家 居 的 整 體 網 絡 裡 面 的 一 個 部 分 ,而 該 部 分 的 網 絡 只 容 許 有 Internet 連 線 ,但 是 卻 不 容 許 連 線 到 公 司 /家 居 內 聯 網 ( intranet ) 的 部 分 。這 樣 既 可 以 容 許 客 人 使 用 互 聯 網 ,又 避 免 了 外 人 接 觸 到 公 司 /家 居 的 私 人 資 訊 。更 重 要 的 是 ,客 人 的 電 腦 /裝 置 不 是 我 們 可 以 控 制 的 ,有 沒 有 病 毒 我 們 根 本 不 會 知 道 。Guest Network 就 可 以 有 效 防 止 外 來 電 腦 /裝 置 在 我 們 的 電 腦 網 絡 裡 面 播 毒 ,又 或 者 別 人 通 過 外 來 電 腦 /裝 置 的 漏 洞 來 入 侵 我 們 的 網 絡 。

Guest Network Settings

Guest Network Settings

現 時 Router 的 Guest Network 功 能 ,大 多 都 是 純 粹 指 Guest WiFi Network,至 於 有 線 方 面 ,是 沒 有 所 謂 的 Guest 連 線 的 。當 你 啟 動 了 Guest Network 功 能 之 後 ,你 的 Router 使 會 多 了 另 一 個 WiFi SSID。有 些 公 司 的 產 品 可 以 自 由 設 定 Guest WiFi 的 SSID,有 些 公 司 卻 不 可 以 ( 例 如 在 某 些 產 品 中 ,你 原 來 的 SSID 是 abcde,那 Guest Network 就 預 設 一 定 是 abcde_guest )。

該 兩 個 不 同 的 SSID 就 代 表 了 兩 個 獨 立 的 部 分 。用 回 你 原 本 的 SSID 連 線 ,你 就 可 以 連 線 到 你 公 司 /家 居 的 所 有 裝 置 ( 例 如 printer、server、電 視 、network media player 等 等 )。如 果 連 線 到 Guest Network 的 SSID 的 話 ,就 只 可 以 連 線 到 互 聯 網 ,所 有 其 他 裝 置 都 通 通 連 不 上 。

有 一 點 需 要 特 別 注 意 ,雖 然 Guest Network 不 容 易 入 侵 你 的 網 絡 ,但 絕 不 代 表 你 就 可 以 不 用 密 碼 ,或 用 超 簡 單 的 密 碼 。因 為 別 人 單 單 使 用 你 的 Router 來 連 線 互 聯 網 ,也 可 以 進 行 犯 罪 活 動 的 ,例 如 散 播 病 毒 、散 播 流 言 、發 動 駭 客 攻 擊 、通 過 互 聯 網 行 騙 等 等 ,當 警 察 通 過 你 的 IP 查 到 你 的 地 址 的 時 候 ,你 就 會 十 分 麻 煩 了 。所 以 ,Guest Network 一 樣 要 用 最 高 級 的 加 密 法 ( WPA2 + AES ) 和 強 密 碼 來 保 護 。

Guest Network 看 來 真 是 十 分 好 用 ,但 如 果 我 們 的 Router 本 身 不 支 援 又 如 何 辦 呢 ?其 實 即 使 任 何 兩 台 家 居 Router,不 用 更 改 firmware 就 可 以 設 定 成 Guest Network 的 了 ,設 定 方 式 更 是 非 常 的 簡 單 。


Main Router
WAN: 按 照 你 的 寬 頻 服 務 來 設 定
LAN: 192.168.0.1/255.255.255.0
DHCP Server: Enabled
WiFi SSID: Guest_Network
WiFi Security: WPA2 + AES
WiFi Password: Abcd1234abcD

2nd Router
WAN: Dynamic IP / Automatic Configuration - DHCP (兩 者 是 一 樣 意 思 的 )
LAN: 192.168.1.1/255.255.255.0
DHCP Server: Enabled
WiFi SSID: Home_Network
WiFi Security: WPA2 + AES
WiFi Password: Defg9876defG

至 於 接 線 方 面 ,Main Router 的 WAN port 就 接 到 你 的 寬 頻 服 務 供 應 商 。而 2nd Router 的 WAN port 就 接 到 Main Router 的 其 中 一 個 LAN port。至 於 你 公 司 /家 居 的 所 有 電 腦 和 裝 置 ,都 要 連 接 到 2nd Router 的 LAN port。

要 注 意 的 是 ,Main Router 的 WiFi 就 是 Guest Network ( 其 實 main router 的 LAN port 也 是 的 ),2nd Router 的 WiFi 才 是 main WiFi。

整 個 2nd Router 的 網 絡 ,才 是 你 公 司 /家 居 的 主 要 網 絡 。所 有 的 Guest 連 線 ,就 是 連 接 到 main router 的 連 線 ,都 是 在 2nd router 的 外 面 的 ( WAN side ),所 以 他 們 是 不 能 連 線 到 你 的 2nd router 裡 面 的 ( LAN side )。

在 坊 間 見 到 很 多 朋 友 都 把 Main Router 設 定 為 主 要 網 絡 ,2nd Router 設 定 為 Guest Network。其 實 這 是 一 個 常 見 的 錯 誤 ,因 為 如 果 你 沒 有 另 外 設 定 好 firewall rules,2nd router 連 線 的 裝 置 是 可 以 見 到 Main Router 的 所 有 裝 置 的 ,只 要 他 們 知 道 你 Main Router 的 IP Range ( private IP 就 那 幾 組 ,有 多 難 估 ? )。其 實 讀 者 們 可 以 自 己 試 試 ,從 2nd router ( 192.168.1.x ) 的 裝 置 去 Ping Main Router ( 192.168.0.x )的 裝 置 ,那 都 是 可 以 成 功 的 ,而 相 反 方 向 ,卻 是 不 行 的 ( 就 是 由 192.168.0.x 是 Ping 不 通 192.168.1.x 的 )。所 以 大 家 可 以 自 行 判 斷 ,究 竟 把 主 要 網 絡 接 到 Main Router 還 是 2nd Router 比 較 好 。

如 果 有 需 要 做 port forwarding 的 朋 友 ,2nd router 的 WAN 就 要 設 定 為 Fix IP。例 如 你 開 了 pptp VPN server (192.168.1.10) 要 用 port 1723 ,其 實 只 要 把 port 1723 forward 兩 次 就 可 以 了 。第 一 次 ,先 由 main router 把 port 1723 forward 到 2nd router,再 由 2nd router 把 port 1723  forward 到 pptp server。

Main Router
其 他 同 上
Port Forwarding: port 1723 to 192.168.0.2

2nd Router
WAN:
-- Fix IP 192.168.0.2/255.255.255.0
-- Gateway 192.168.0.1
-- DNS 按 你 的 寬 頻 服 務 設 定
其 他 同 上
Port Forwarding: port 1723 to 192.168.1.10

最 後 ,這 個 Guest Network 的 設 定 法 ,是 不 同 於 AP 的 。AP 是 用 於 擴 大 WiFi 的 接 收 範 圍 ,Main Router 和 AP (2nd router) 是 屬 於 同 一 個 網 絡 的 。Guest Network 卻 是 與 擴 大 接 收 範 圍 完 全 無 關 的 ,大 家 別 要 混 淆 了 。

而 因 為 Guest Network 與 接 收 範 圍 無 關 ,所 以 亦 沒 有 說 兩 個 router 要 如 何 擺 位 的 問 題 ,兩 者 就 算 擺 在 一 起 也 是 可 以 的 。但 如 果 兩 者 WiFi 接 收 範 圍 重 疊 的 話 ,兩 者 就 要 盡 量 選 分 開 的 Channel,例 如 1 & 7、6 & 13、1 & 13,以 免 訊 號 互 相 干 擾 。

ctleung張先生,男性,肖龍。
職業:I.T. Consultant
簡介:不好好讀書;七尺差五寸,手長過膝,雙耳垂肩;性寬和,寡言語,喜怒不形於色。據說少時曾斬白蛇於鳳凰山下……

This entry was posted in Computer & Network and tagged , , , . Bookmark the permalink.

17 Responses to 使用兩個 Router 的設定方式 – Guest Network

  1. soi says:

    我英文不好.怕表達錯誤.
    你好,想請教一下老師.
    如果在main router LAN上的某個host , 手動把IP改成192.168.1.200
    會PING通 2nd router 的 network嗎?

    • C.T. Leung says:

      當然不會喇….

      以 2nd Router 的角度來看,192.168.0.0/24 就是外面 ( Wan side,就像 internet ),而 192.168.1.0/24 就是裡面 ( LAN side, 就像 intranet )。你的意思就是,只要我在 internet 手動把我的 ip 改成是你家裡用的 ip ,我就能從 internet 經過你家的 router 來 ping 通你家裡的電腦麼?

      這很明顯是不可能的吧。

  2. shatam says:

    如不需要port forward, 是否不用assign fixed IP 給2nd router, 另外2nd router 的gateway 及 DNS 是否不用設定? thanks.

    • C.T. Leung says:

      我例子中,2nd router 用的就是 dynamic ip 呀…. 哈哈哈。不過,fix ip 絕對不是只有做 port forwarding 才用的,別混淆了。而如果你的 2nd router 的 WAN side 是設定成 DHCP / Dynamic IP,那當然就不用人手去設定喇,因為兩者都會由 1st router 的 DHCP server 派給你。

      但你不用去手動設定,卻不等於這兩者的值可以是「null」。如果你 2nd router 是手動設定 fixed IP,那當然你也必須要相應的手動設定 default gateway 和 DNS。不然的話,你 2nd router 就上不了網了。default gateway 和 DNS 都是網路組成的必要成份,是不可或缺的。

  3. Louise says:

    你好, 我有兩個小米的Miwifi, 可以這樣做嗎?

    • C.T. Leung says:

      當然可以。但小米的路由器實在是有點爛 ( 純粹個人偏見 ),我不只不建議,我更是強烈反對別人用的。所以你就別追問 how 了。

  4. ?? says:

    你好,我是 2nd router 做無線repeater,然後在windows里看不到main router里的電腦。問題是,我卻連不上 2nd router,反而連上了main router的設置。因此找到了你的網站。

    只是按照你的說法,你把main router做成guest設備後,你在 2nd router上不就沒有優先權了嗎?我覺得隱患也不少啊?

    • C.T. Leung says:

      Dear 藏頭露尾先生:

      首先,你知唔知道自己講緊乜?Guest Network 同 repeater mode 根本完全是兩回事。你 2nd router 設定為 repeater,就根本唔可能是我介紹的 Guest Network。更何況,你自己上面說你連你自己的 2nd router 都連不上 ( 我強忍著沒笑 ) !!!!!!!

      你講的「優先權」,我亦係完全唔知你講乜,你講緊 QoS ?但同樣地,我這篇文提都無提過 QoS ,也沒有討論過任何 router / network 的 priority 的設定問題。而事實上,按照我的設定,根本就沒有任何「優先」可言。接駁 main router 的設備沒有優先,接駁 2nd router 的設備也沒有延後。不要把你自己幻想出來的東西當成是事實。

      你覺得「隱患不少」,在我看來純粹是因為你「唔單止唔識,仲要扮識」。我上面介紹的這個設定方法當然唔係「宇宙最強」、「天下無敵」,只有無讀過書既人才會有這些荒謬想法。但你形容的「隱患」麼?恐怕更是子虛烏有,妖言惑眾。

      ( 我知你唔明,所以我重申一次 ) 我這篇教學的內容是用兩隻原本唔具備 guest network 功能的平價家用 router,來模擬某些 router 上面有的 guest network 功能。如果有任何錯誤,歡迎指導。我個人很相信直理是越辯越明的。

  5. ?? says:

    我不知道你為何會以似奚落/對質的方式回應我,我覺得我的話完全就是無挑釁的提問。既然你不願替我解答,那我就談談我自己的鄙見。

    1.我幾時說我設成repeater 就是guest network?我說我是因此事找到你這網站。

    2. 默認情況下main router是不是以先到先得的方式分配網絡?就算理想狀態下,main router能把資源平分給2nd router 以及guests,你的2nd router不管再快都會比main router ping的慢,而你的main network也只是1/(guests+1)/main devices。你之前沒提到QoS,我也沒提到QoS,所以你為何要現在說QoS?我說的優先權就是無視這些事後,我作為main 網的2nd router 會因為repeater 設置變慢。

    3. 好了,說隱患問題,我就不提main router是否是放在你接觸不到而客人接觸的到的物理問題(接待室和辦公室)。也不提連上main router的客人是否能進入main router做設置。我在main router 上確實看不到2nd router裡的電腦,但是我確實可以無聊的對2nd router 進行ping攻擊。

    依我鄙見,如果把main router作為主要網絡,然後在guest network的2nd router上屏蔽192.186.0.x就可以了。

    • C.T. Leung says:

      在香港,一個言論自由的地方,如果連可笑的事都唔可以笑,就實在是太恐怖了。你不會就是傳說之中的 big brother 吧?哈哈哈。你返去 X X 應該會有不俗的發展。河蟹雖然和味,但很抱歉,香港人係唔食既。

      1. 你在之前質問的,就是我介紹的這個 guest network 設定方法,Repeater 也是你自己提的,沒有關係你提來作什麼?真是不可理喻。

      2. 你自己也懂得「先到先得」,那這就是沒有「優先」了,怎麼可能是接 2nd router 的使用者的優先權被降低了?ping time 變慢,就是優先權降低了,你的水平也真是令人震驚 ( 但你現在當然會說兩者沒關係,但我還是那句話,沒關係你提來幹嗎? )。「先到先得」絕對不是 main router 有優先權,更不是 main router 會佔用所有頻寬。如果你想改變「先到先得」這種公平的狀況,就必須在 router 上啟動和設定好 QoS。在 router 設定這個 context 裡面,QoS 就是 priority,priority 就是 QoS,你當然會說你的「優先權」是更高級,更優先於 QoS 的,但這沒關係,只是我沒法子而已….( 一笑 )。

      3. 你說按我的接法,Guest 可以發動攻擊,這當然是真的。但你似乎是在暗示,按照你的接法,Guest 就「完全不可能」發動攻擊?這當然是錯得利害。事實上,任何設定方法的 Guest 也可能發生攻擊,對不?只是你的設定方法,攻擊者是在防火牆 / router 內部發動攻擊;而我的設定方法,攻擊者是在防火牆 / router 外面發動攻擊。那一個更安全,留給讀者自己判斷吧。

      我說了,真理是越辯越明的。你為了爭勝,可以夾硬指鹿為馬,巔倒是非 ( 因為我明知你知,呵呵 )。我實在覺得你… 是香港之光,宇宙的未來就靠晒你一個人了。

  6. Ken says:

    您好, 先謝謝您的分享! 想請教你一些問題:

    1. 是否連上2nd Router就可以上網和連接到內部電腦及裝置; 而連上1st Router就只可以連上網而已?

    2. 本人的情況是想買一個NAS,家人透個同一個WIFI SSID,既可以上網,又可以自動把手機相片上傳到NAS儲存。但本人想把NAS盡量跟外界斷絕,以防給HACKER攻擊並鎖上檔案後勒索。請問你這個方法是否可以應用到我家中的這個安排呢?

    3. 是否一定要用兩個ROUTER才做到,如果我買一個新款的ROUTER,會否也可以做到同一個效果呢?

    不好意思,問題多了一點,煩請賜答,謝謝。

    KEN

    • C.T. Leung says:

      1. 唔係。比如說,你開啟了 synology 的 quick connect 功能,連 port forwarding 都唔駛做,外面就能連上你的 NAS 了。你自己都講了,你只會「盡量」把 NAS 跟外界斷絕,即係唔係「完全」斷絕啦。既然你自己都留了「路」給外界,那 1st router 的人當然同樣可以經由同樣的路去連接你的 NAS 了。重點係你整體的定都要「正確」,而唔係其中一環設定正確。

      2. NAS 有 NAS 的保安設定,網絡有網絡自己的保安設定。你想保護好 NAS,唔去做 NAS 的保安設定,只專注於網絡的保安設定,是本末倒置。這個站也有 NAS 保安的文章,我剛剛去重讀了一下,基本上沒什麼問題,你去讀讀吧。

      3. 這篇係講 Guest Network 既。你上面 1, 2, 3 點,通通都無提過會有 guest 呢樣野出現係你屋企,又何必去設定 Guest Network 呢?我上面介紹的 Guest Network 設定,目的絕對不是加強保安。你只用一隻 router + NAS,只要兩者設定皆正確,係同用兩隻 router + NAS 一樣咁安全。多增加一隻 router 並不會令你的網絡更加安全。當然,現在坊間三四百蚊的 router 就會內建有 Guest Network 功能了,但同樣地,這些 Guest Network 的設定,並不會降低你的 NAS 被 Hack 的風險。

      所以結論係,Guest Network 還 Guest Network,網絡保安還網絡保安,NAS 保安還 NAS 保安。我承認三者有少量重疊,但如果硬是以為做好了一樣,另外兩樣就唔駛做,這絕對是錯誤的。

  7. philip man says:

    從 2nd router ( 192.168.1.x ) 的 裝 置 去 Ping Main Router ( 192.168.0.x )的 裝 置 ,那 都 是 可 以 成 功 的 ,而 相 反 方 向 ,卻 是 不 行 的 ( 就 是 由 192.168.0.x 是 Ping 不 通 192.168.1.x 的 )。>>唔明,不同SUBNET為何會PING到??

    • C.T. Leung says:

      這跟 router 裡面的 firewall rules 有關。如果唔明,你自己去 ping 下 google.com,你夠同佢部 server 唔同 subnet 啦,咪一樣 ping 得通……

  8. Young sing kwan says:

    請指教本人:

    在router 的 firewall 怎樣設定才能 從 Main Router (192.168.0.x) 的裝置去 ping 2nd router (192.168.1.x) ?

    • C.T. Leung says:

      一般家用 router,WAN side 就是 internet,LAN side 就是自己家裡。你的要求,就是想 internet 能夠 ping 通你家裡的裝置。這當然是不容許的,也是非常危險的。

      理論上,你需要設定兩樣野….

      1. Main Router 要加條 route,大概就是目的地 192.168.1.x 要指去 2nd router 的 WAN side 的 IP。這是因為當 192.168.0.x 的電腦 ping 的時候,packet 要找得著去目的地的路徑才行。如果沒有這條 route,很可能 ping 的 packet 就會自動出左去 internet 了。

      2. 2nd Router firewall 應該要 allow WAN side 去 LAN side 的 ICMP 協定 ( 家用 router 的 firewall 未必有得咁 set,WAN side / LAN side 可能要你自己設定 IP range,看機器而定 )。

  9. Young Sing Kwan says:

    多謝解答

Leave a Reply

Your email address will not be published. Required fields are marked *