OpenWrt路由器通过LuCI界面实现Guest SSID功能

转自：

http://blog.ltns.info/linux/guest_ssid_over_openwrt_router/

之前尝试过 Tomato路由器设置VLAN实现Guest SSID功能，最近把手上的无线路由器换成了 Netgear WNDR4300 并刷上了第三方的 OpenWrt固件，然后根据 OpenWrt官网教程 通过Web管理界面 LuCI 的设置来实现 Guest SSID功能。

因为 OpenWrt官方固件没有用足 WNDR4300路由器的 128M Nand Flash，所以我刷的是 这里 某网友编译的 OpenWrt Barrier Breaker 14.07固件，已集成 LuCI Web管理界面和一些基本的软件，（除内核补丁之外）其他软件都可以后续自行安装，同时也方便日后的软件升级。

1. 首先从菜单进入 Network > Wifi 界面，点击右上角的 Add按钮，进入新建无线网络的参数设置页面

2. 再进入 Network > Interfaces 界面，会发现多了一个叫 guest的网络（步骤1里创建的），点击右侧的 Edit按钮进入相应的设置页面

按下图完成静态ip设置后，点击 Physical Settings

在物理设置页面检查一下默认绑定的接口是否步骤1新建的无线网络，然后切换到 Firewall Settings

在防火墙设置页面，创建对应的防火墙区域，然后点击 Save & Apply保存并应用。

3. 进入 Network > Firewall 界面，会发现多了一个叫 guest的防火墙区域，点击右侧的 Edit按钮进行修改（允许从 guest区域访问 wan区域），修改完成并保存退出后的效果如下图所示

从上图可以看到默认禁止从 guest区域访问路由器本身（Input框为reject），现在切换到 Traffic Rules页面去加入规则，然后点击该规则右侧的 Edit按钮进行修改（Destination zone指向 Device，即，允许从 guest区域访问路由器，该规则的优先级高于上图中的默认设置）

所需的两条防火墙规则（允许从 guest区域分别访问路由器的 TCP+UDP 53端口和 UDP 67-68端口，以实现DNS和DHCP）添加并修改完成后如下图所示，然后点击 Save & Apply按钮

到这里就完成了设置，在 Network > Wifi 界面可以看到两个 SSID（WNDR4300是双频路由器，所以原有的SSID有两个频段）

现在来访客人可以通过单独的 Guest SSID无线上网了，同时无法访问路由器本身（除了步骤3防火墙规则允许的端口）和路由器原有的内网，这样就实现了原有的内网和 Guest Network之间的安全隔离。

另外，OpenWrt路由器上 Guest SSID不会被主SSID的 MAC地址过滤功能影响，相比 Tomato路由器这算是一个优点了。

参考文章
http://wiki.openwrt.org/doc/recipes/guest-wlan-webinterface