Делаем софтовую точку доступа (Soft AP) [Инструкция]

[CoolAller]

Инструкция предназначена для debian-based дистрибутивов, но без проблем работает и на других.

Нам понадобится hostapd — собственно для раздачи wi-fi, dnsmasq — для раздачи ip-адресов и notify-send (libnotify-bin) — для оповещений. iptables на данный момент доступен из коробки.

Устанавливаем hostapd:

Код: [Выделить]

sudo aptitude install hostapdОстанавливаем его:
Если используется Systemd, останавливаем командой:

Код: [Выделить]

sudo systemctl stop hostapdЕсли используется Sysvinit, останавливаем командой:

Код: [Выделить]

sudo service hostapd stop
В файле /etc/default/hostapd раскомментируем и исправляем строку:

Код: [Выделить]

DAEMON_CONF="/etc/hostapd/hostapd.conf"
Создаем и редактируем файл /etc/hostapd/hostapd.conf

Код: [Выделить]

interface=wlan0
driver=nl80211
ssid=Internet
hw_mode=g
ieee80211n=1   #(для включения режима n, не отменяет необходимость предыдущей строки hw_mode=g. Если не планируется использование режима n, то строку ieee80211n не пишем)
channel=6   #(в режиме n 2.4GHz доступны 3 неперекрывающихся канала: 1, 6, 11)
wpa=2
wpa_passphrase=12345678  #(пароль естественно заменить на свой)
wpa_key_mgmt=WPA-PSK
wpa_pairwise=TKIP
rsn_pairwise=CCMP
auth_algs=1
macaddr_acl=0
Не забудьте убрать из конфига мои коменты, так как hostapd не будет работать с ними.
В общем-то тут все просто — имя точки доступа, пароль, канал, на котором будет работать и драйвер.
Под спойлером ниже приведено краткое описание и дополнительные опции:

Spoiler: показать

driver=nl80211 - так называется тип драйвера относящийся к типу mac80211. В таблице можно посмотреть что подходит под этот тип. (Чипсеты ralink подходят).
macaddr_acl=0 - точка принимает всех клиентов, если их mac адресов нет в "черном списке". Файл "черного списка" в файле /etc/hostapd.deny. Также файл можно переопределить в конфиге переменной deny_mac_file=/etc/имя_файла. Если указать macaddr_acl=1, то будем отклонять каждого клиента кто не задан в файле accept_mac_file=/etc/hostapd.accept.
ssid=Internet - имя точки доступа.
channel=6 - тут обратите особое внимание на канал n, на частоте 2.4ГГц всего 3 основных канала - 1,6 и 11.
hw_mode=g - режим работы точки в IEEE 802.11g. Обязательно указывать даже при стандарте N, если не указать, то по умолчанию будет использоваться IEEE 802.11b.
ieee80211n=1 - указывает стандарт N нашей точки.
wmm_enabled=1 - режим приоритета мультимедиа трафика.
auth_algs=1 - определяем, что нашей wifi точке будет требоваться аутентификация по ключу. Если указать 0, то будет открытая точка доступа.
ignore_broadcast_ssid=0 - SSID сети виден всем, 1 - скрывать.
wpa=2 - опции WPA шифрования. При значении 2 можно использовать, только WPA2, если wpa=3 - то WPA или WPA2.
wpa_passphrase=password_wifi_key - наша парольная фраза
wpa_key_mgmt=WPA-PSK - принимаемые алгоритмы управления ключами шифрования. Можно задавать WPA-PSK WPA-EAP одновременно.
wpa_pairwise=CCMP TKIP - принимаемые парные алгоритмы шифрования для RSN/WPA(v1).
rsn_pairwise=CCMP - принимаемые парные алгоритмы шифрования для RSN/WPA2 rsn_pairwise=CCMP
(CCMP — протокол шифрования 802.11i созданный для замены TKIP, обязательного протокола шифрования в WPA и WEP, как более надёжный вариант. CCMP является обязательной частью стандарта WPA2, и необязательной частью стандарта WPA.)

Совет:

Spoiler: показать

При выборе канала для вашей точки досупа, выбирайте наименее забитые каналы и каналы где присутствует наибольшее отрицательное dBm. Более детально можно прочитать здесь.
Для выбора канала, окружающие ваc сети можно посмотреть командой:

Код: [Выделить]

sudo iw dev wlan0 scanИли воспользоваться программой LinSSID (доступна для Debian x64)

Устанавливаем dnsmasq:

Код: [Выделить]

sudo aptitude install dnsmasqОстанавливаем его:
Если используется Systemd, то останавливаем командой:

Код: [Выделить]

sudo systemctl stop dnsmasqЕсли используется Sysvinit:

Код: [Выделить]

sudo service dnsmasq stop
dnsmasq хорош тем, что в нем все есть и он прост для настройки. Открываем файл конфигурации /etc/dnsmasq.conf и вписываем в него строки:

Код: [Выделить]

interface=wlan0
dhcp-range=192.168.2.2,192.168.2.100,12h
Тут все крайне просто, но если нужно, можно добавить альтернативный dns сервер, а также можно хосты принудительно направлять на 127.0.0.1, тем самым блокируя их. Подробности в справке man dnsmasq. Еще один момент, обязательно адреса dhcp-range должны быть в одной сети с wlan0. если Вы по каким-либо соображениям в скрипте запуска не будете принудительно менять ip адрес для wlan0, то укажите тут пул такой же, как в wlan0. Например дома есть роутер с адресом 192.168.1.1 и сеть 192.168.1.0/24, то dhcp-range нужно указать в пределах этого пространства, а также, чтобы он не пересекался с пулом адресов, выдаваемых dhcp-сервером роутера. Мы пойдем путем по-проще и сами укажем другую подсеть.

Теперь отключим автозагрузку демонов:
Если используется Systemd:

Код: [Выделить]

sudo systemctl disable hostapd
sudo systemctl disable dnsmasqЕсли используется Sysvinit:

Код: [Выделить]

sudo update-rc.d hostapd disable
sudo update-rc.d dnsmasq disable
Ко всему этому осталось только включать/отключать роутинг и добавлять/удалять правило из iptables (скрипт ниже)

Код: [Выделить]

sysctl net.ipv4.ip_forward=1
iptables -t nat -A POSTROUTING -o ppp0 -j MASQUERADE
Для решения проблемы с PMTU (Веб браузеры связываются, но просто висят без пересылки данных и т.д.) разработчики iptables предусмотрели специальную опцию и для ее активации можно в терминале выполнить:

Код: [Выделить]

iptables -t mangle -A FORWARD -p tcp --tcp-flags SYN,RST SYN -j TCPMSS --clamp-mss-to-pmtuИ можно попытаться сохранить: service iptables save (но возможно слетит после перезагрузки, поэтому я добавил эту команду в скрипт инициализации wifi-ap, чтобы не городить еще один скрипт в автозагрузке)

То есть делать это удобнее с помощью одного скрипта wifi-ap:
UPD:

Spoiler: показать

В последних версиях Network Manager появилась неприятная особенность, он монопольно захватывает управление WiFi адаптером и не передает управление hostapd при этом устройства будут видеть ваш SSID, но не смогут подключаться к вашей Soft AP, поэтому пришлось добавить в скрипт остановку и последующий запуск NM после завершения использования Soft AP (это никак не сказывается на работе уже установленных соединений с помощью NM). Если ситуация изменится, то эти строки (systemctl stop network-manager/service network-manager stop и systemctl start network-manager/service network-manager start) можно будет удалить.

Если используется Systemd, то скрипт будет выглядеть следующим образом:

Код: [Выделить]

#!/bin/bash
#script to start/stop hostapd, dnsmasq, add/remove iptables rule

set -e
exec 3>&1
exec 2>&1 >> /tmp/wifi-ap

function print_help(){
    echo "Start/Stop Software Access Point"
    echo
    echo "Usage `basename $0` options..."
    echo "wifi-ap on to start Software AP"
    echo "wifi-ap off to stop Software AP"
    echo
    echo "log-file - /tmp/wifi-ap"
    echo
}
if [ $# = 0 ]; then
    print_help >&3
        exit 0
fi

if [ $1 = on ]; then
        systemctl stop network-manager
        ifconfig wlan0 192.168.2.1
        systemctl start dnsmasq
        sysctl net.ipv4.ip_forward=1
        iptables -t nat -A POSTROUTING -o ppp0 -j MASQUERADE
        iptables -t mangle -A FORWARD -p tcp --tcp-flags SYN,RST SYN -j TCPMSS --clamp-mss-to-pmtu
        systemctl start hostapd
        notify-send --expire-time=4000 "Software Access Point" "<b>start</b>"
    exit 0
fi

if [ $1 = off ]; then
        systemctl stop dnsmasq
        systemctl stop hostapd
        ifconfig wlan0 192.168.1.4
        sysctl net.ipv4.ip_forward=0
        iptables -D POSTROUTING -t nat -o ppp0 -j MASQUERADE
        systemctl start network-manager
        notify-send --expire-time=4000 "Software Access Point" "<b>stop</b>"
    exit 0
fi

Если используется Sysvinit, то скрипт будет выглядеть следующим образом:

Код: [Выделить]

#!/bin/bash
#script to start/stop hostapd, dnsmasq, add/remove iptables rule

set -e
exec 3>&1
exec 2>&1 >> /tmp/wifi-ap

function print_help(){
    echo "Start/Stop Software Access Point"
    echo
    echo "Usage `basename $0` options..."
    echo "wifi-ap on to start Software AP"
    echo "wifi-ap off to stop Software AP"
    echo
    echo "log-file - /tmp/wifi-ap"
    echo
}
if [ $# = 0 ]; then
    print_help >&3
        exit 0
fi

if [ $1 = on ]; then
        service network-manager stop
        ifconfig wlan0 192.168.2.1
        service dnsmasq start
        sysctl net.ipv4.ip_forward=1
        iptables -t nat -A POSTROUTING -o ppp0 -j MASQUERADE
        iptables -t mangle -A FORWARD -p tcp --tcp-flags SYN,RST SYN -j TCPMSS --clamp-mss-to-pmtu
        service hostapd start
        notify-send --expire-time=4000 "Software Access Point" "<b>start</b>"
    exit 0
fi

if [ $1 = off ]; then
        service dnsmasq stop
        service hostapd stop
        ifconfig wlan0 192.168.1.4
        sysctl net.ipv4.ip_forward=0
        iptables -D POSTROUTING -t nat -o ppp0 -j MASQUERADE
        service network-manager start
        notify-send --expire-time=4000 "Software Access Point" "<b>stop</b>"
    exit 0
fi
Сохраняем скрипт в текстовом редакторе и разрешаем выполнение:

Код: [Выделить]

chmod +x wifi-ap
Чтобы каждый раз не указывать местоположение данного скрипта, а запускать командой из терминала, его можно поместить в /usr/bin/ или в /usr/local/bin/

Скрипт принимает 2 параметра, on и off. Вы легко можете подкорректировать его под себя и, если нужно, заменить интерфейс ppp0 на eth0 (или другой, на Ваше усмотрение).

PS. Команду запускать с Root правами, т.е. через sudo:

Код: [Выделить]

sudo wifi-ap on
sudo wifi-ap off
Приятного использования.

[vic5710]

CoolAller, попробовал ваш мануал-УМВР. респект и уважуха

[Malaheenee]

При всем уважении к автору - копипаст. Не рассмотрены: автоматический выбор канала (hostapd); блокировка рекламы (dnsmasq); закрытие доступа к сети извне (iptables); интеграция в эту цепочку прокси-сервера (squid); удаленный контроль (ssh); поднятие AP кнопкой включения wi-fi (acpid).. При этом чтобы за этой машиной мог работать пользователь.
[ot]Ничего личного, просто надоели бесконечные мега-инструкции, передираемые авторами без раздумий и чтения официальной документации.[/ot]

[CoolAller]

Malaheenee, ничего личного, дайте ссылку на ресурс откуда копипаст, только сначала проверьте ее работоспособность и я уберу эту. Пользователь вполне может работать за машиной по этой инструкции, мне неизвестны ваши затруднения. Вы так же можете дописать что-то стоящее к настоящей инструкции, если посчитаете, что это изменит пользовательский опыт в лучшую сторону.
PS. Помоему блокировка рекламы; интеграция в эту цепочку прокси-сервера и т.д. в данную тему "Создание Soft AP" вообще не входит. Удачного вам дня 

[Palzuncoff]

все получилось, сетка поднялась, но к ней невозможно подключится, пишет неверный пароль, пароли проверял.

[CoolAller]

Palzuncoff, значит что-то не сделали, смотрите внимательнее, только что сам проверил, все работает. Если вы копировали раньше эту инструкцию, то я ее обновил и внес коментарии, сейчас она находится в актуальном состоянии. Читайте UPD.

[endru]

Этот раздел для обсуждения темы, а не для решения проблем.
Palzuncoff, при проблемах, создавайте отдельную тему.

[Mit]

привет. взял дешевый адаптер на чипе реалтек 8187. можно с ним организовать точку доступа??

[CoolAller]

Mit, из сводной таблицы по wireless chipsets видим: AP/Master mode rtl8187 - not working yet. Там вроде две модификации с буквой B и без нее. По-моему просто rtl8187 не поддерживает этот режим в принципе, по крайней мере там написано: AP (Master) mode: unsupported. Если же у вас другая модификация (в подробности не вдавался) и вы уверены, что Master mode все же поддерживается, то можно попробовать скомпилировать драйвера с сайта производителя. Если нужен донгл с поддержкой Master Mode, то лучше озадачится этим вопросом перед покупкой и выбирать или Ralink или Atheros предварительно изучив спецификации, поддержка чипсетов Realtek в linux оставляет желать лучшего.

[CoolAller]

Может кому поможет, недавно настраивал Soft AP на донгле с чипом Realtec - RTL8188, использовал взятый с github патченый hostapd RTL8188-hostapd-master и драйвер rtl8188eu-master.