大きなコンクリートの建物内に、それぞれ 80 平方メートルのオープン スペース フロアが 3 つあり、それらを同じワイヤレス ネットワークでカバーしたいと考えています。また、すべてのフロアにイーサネット ケーブルも敷設しています。
要件は次のとおりです。
- 社内(従業員と呼びましょう)デバイス(有線ラップトップ、DVR、サーバー)が同じネットワークの一部となり、お互いに認識できるようにしたい。可能であればワイヤレスでも、そうでない場合はケーブルだけで
- 訪問者にワイヤレスインターネットアクセスを提供し、さまざまなアクセスポイント/ワイヤレスルーター間をシームレスに移動できるようにしたいと考えています。そのため、接続の中断を最小限に抑えた、信頼性の高いWi-Fi接続を訪問者に提供したいと考えています。
- 無線LANホットスポットスクリプトをインストールして、無線LAN訪問者がFacebookのチェックインによって無線ネットワークにアクセスできるようにします。スクリプトはFBWLAN、必要なウィフィドッグルーターにインストールする必要があります。このため、ルーターにはオープンWRTファームウェア。また、拡張された構成オプションと、アドブロッカーなどの可能性を考えると、ストックファームウェアよりも OpenWRT を優先します。PHP ホットスポット スクリプトは、認証を管理するためにクライアント MAC に依存しているため、アドレスは変更されずに Fbwlan PHP スクリプトをホストするサードパーティ サーバーに送信する必要があります。
我々が提案する解決策は、各フロアに1台のルーターを設置し、これらをケーブルで4台目のメインルーターに接続し、DHCPサーバーとして動作させることです。3台の「スレーブ」ルーターは同じ構成になります。つまり、DHCPは無効、静的IPが関連付けられている(もちろん異なる)、同じSSID、同じパスワード/キー、同じ暗号化 (WPA2-PSK)、そして無線ネットワークと有線ネットワークの間に何らかのブリッジが必要です。どこかで読んだのですが、帯域幅の重複を避けるために、各ルーターに異なる離れたチャネル(1、6、11)を設定する方が賢明です。Wifidogもこれらの各ルーターにインストールされます。これらの設定はすべてOpenWRTでサポートされているので、4つのルーターすべてに最新バージョン(カオスカーマー 15.05) です。
アップデート: Wi-Fi キャプティブ ポータルではパスワードと暗号化が必要になるため、パスワードと暗号化は必要ありません。
私は4個買うつもりだったTP-Link TL-WR1043NDルーターは比較的安価です(1台あたり約50ドル)。同じハードウェアを使用すると、このセットアップを構成する際の成功率が向上します。これは古いルーターですが、自宅にはすでにTL-WR1043ND(ハードウェアv2)があり、OpenWRTのインストールと構成に問題はありませんでした。(バリアブレイカー)は接続性が良好で、Wi-Fi 信号の損失もないので、予算の制約がある中でこれが私の最初の選択肢でした。
まだインターネット接続はありませんが、高速光ファイバー、1000 Mbps 接続になります。ISP はおそらく独自の光ファイバー対応ルーターを導入するでしょうが、おそらく Huawei ブランドで、構成オプションが少なく、MAC ベースの IP リースなどがないことから、メイン ルーターとして使用する予定はありません。そのため、メインの TPLink ルーターを LAN ポートの 1 つに接続する予定です。
また、管理されていない16ポートギガビットスイッチ(TP-Link TL-SG1016) を使用して、ケーブル接続されたデバイス用のすべての RJ-45 壁取り付けソケットを配線します。
したがって、全体的なセットアップは次のようになります: ISP ルーター -> メイン TPLink ルーター -> 管理されていないスイッチ (ケーブル接続、内部クライアントはここに有線接続) -> スレーブ ワイヤレス ルーター -> Wi-Fi クライアント (訪問者)。
リピーター構成、エクステンダー、WDS については聞いたことがありますが、ネットワークにあまり詳しくないので、それらについてはあまり知りません。
私の質問は、これが私たちの要件を満たす適切なハードウェア設定であるかどうかです。
機器を購入するかどうかの決定に助けが必要です。ブランドではなく、AP、エクステンダー、ルーターなどのタイプについて教えてください。
答え1
私が思う最大の問題は、キャプティブ ポータルとリンク層暗号化 (WEP、WPA、WPA2) を同時に実行できないのではないかということです。問題は、リンク層暗号化スキームではリンクを使用する前にリンク層認証が必要であり、キャプティブ ポータル認証は機能するリンクを必要とする上位層の認証であることです。つまり、WPA2-PSK パスワードを入力していないと、キャプティブ ポータル認証 Web ページを読み込むことができません。
ただし、訪問者が WPA2-PSK ネットワーク パスワードを尋ねて入力し、その後キャプティブ ポータルによって Facebook チェックインを強制されることを気にしない場合は除きます。
訪問者のトラフィックをリンク層で保護しないままにしておくことに抵抗がなければ、従業員用に WPA2-PSK 暗号化を使用した別の SSID を公開することもできます。ただし、この設定は、「従業員」ネットワークに PS3、プロジェクター、DVR などがあり、「訪問者」ネットワークがファイアウォールで遮断され、インターネットへのアクセスのみを提供している場合にのみ、セキュリティ上意味を持ちます。
WPA-PSK は使用しないでください。802.11n および 802.11ac のデータ レートには WPA2/AES-CCMP が必要です。したがって、WPA2-PSK を使用してください。すべての WPA/TKIP を無効にしてください。純粋な WPA2/AES が必要です。WPA/TKIP は、12 年前からごく少数のデバイスでのみ実際に役立っていました。WPA/TKIP が 2002 年頃に登場した頃には、WPA2/AES はすでにそのすぐ後に登場しており、WPA/TKIP を実行できるデバイスはごくわずかでしたが、WPA2/AES を実行できるようにアップグレードされることはありませんでした。TKIP を有効にしたままにしておくと、状況が複雑になり、マルチキャスト暗号がユニキャスト暗号と異なる場合に問題が発生するバグのある実装が明らかになります。
2.4GHz のみにしないでください。デュアルバンドと 802.11ac を同時に使用してください。93 ドルの TP-Link Archer C7 v2 がよいでしょう (v2 を入手してください。v1 の無線は OpenWrt の 802.11ac ではサポートされません)。インターネット接続に対応できるワイヤレスも必要です。さらに、デュアルバンドでは容量が大幅に増加します。
キャプティブ ポータルの認証スキームを確認してください。提案されたネットワークと関連するキャプティブ ポータル ツールをざっと読んだところ、提案された設定では、集中型のキャプティブ ポータルを使用するのではなく、各ルーターが独自のキャプティブ ポータルとして機能するため、ユーザーは AP 間を移動するたびに Facebook に再度チェックインしなければならない可能性があります。
チャネル プランニングでは、重複しないチャネルを常に設定してください。2.4GHz 帯域では、20MHz 幅のチャネル 1、6、11 を使用する必要があります。20MHz チャネルの制限により、2.4GHz AP は 40MHz 幅のチャネルでのみ機能する 450Mbps の速度を提供できなくなります。代わりに、217Mbps に制限されます (ほとんどのクライアントは 3 ストリーム無線を備えていないため、ほとんどのクライアントは 144Mbps または 72Mbps しか実行できません)。
ネットワーク上で NAT を実行し、DHCP サーバーとして機能するデバイスが 1 つだけあることを確認してください。スレーブ AP が、有線ネットワークとワイヤレス クライアント間のトラフィックをブリッジするように設定されていることを確認してください。また、セキュリティ上の理由から、すべての有線デバイスが接続されている「従業員」ネットワークから「訪問者」SSID を分離するために、ルーターに直接接続する別の VLAN にブリッジされていることを確認する必要もあるでしょう。