Indice del forum www.zeroshell.net
Distribuzione Linux ZeroShell
 
 FAQFAQ   CercaCerca  GruppiGruppi   RegistratiRegistrati 
 ProfiloProfilo  Log inLog in   Messaggi privatiMessaggi privati 

Radius questo sconosciuto ...

 
Nuovo argomento   Rispondi    Indice del forum -> ZeroShell
Precedente :: Successivo  
Autore Messaggio
dadomn



Registrato: 01/02/09 23:01
Messaggi: 12

MessaggioInviato: Mer Ago 17, 2011 12:20 am    Oggetto: Radius questo sconosciuto ... Rispondi citando

Buona sera (notte) a tutti, da alcuni giorni sto cercando di capirci qlk nella questione zeroshell radius server e affini ... ma con scarsi risultati.

Premesso che sto cercando di realizzare una struttura ove 3 punti distinti della città (in cui sono presenti connessioni adsl) e dove andrò a mettere degli AP vengano autenticati da un unico captive portal zeroshell (di modo che gli user e le psw valgano in tutti e 3 i punti) in una quarta posizione (ovviamente anch'essa collegata ad internet) come dovrei proceder? come devo configurare zeroshell (passo per passo plz) e gli AP?

Inoltre la mia domanda è: dopo che gli utenti saranno autenticati sul server, userebbero poi la connessione presente in locale per navigare in internet giusto?

vi prego aiutatemi .. non ne vengo piu fuori!!!


grazie in anticipo
Diego
Top
Profilo Invia messaggio privato
fulvio
Site Admin


Registrato: 01/11/06 17:45
Messaggi: 1558

MessaggioInviato: Mer Ago 17, 2011 2:35 pm    Oggetto: Rispondi citando

La soluzione piu' semplice consiste nel configurare i diversi captive portal come client (proxy) di uno stesso radius server. In altre parole, su ogni captive portal, devi aggiungere un dominio (supponiamo test.com) con autenticazione RADIUS. Poi aggiungi tale dominio nella proxy list indicando l'IP del server RADIUS che deve autenticare e il suo shared secret.

Il server radius, dovra' avere come local domain test.com ed avere nella lista dei client gli IP e lo shared secret di ogni router che fa da captive portal.

Gli AP in genere quando si utilizza l'accesso mediante captive portal devono essere lasciati in modalita' open cioe' senza nessuna protezione.

Cosi' facendo avrai un'autenticazione Radius centralizzata, mentre il traffico fluira' localmente sulle ADSL.

Saluti
Fulvio
Top
Profilo Invia messaggio privato
dadomn



Registrato: 01/02/09 23:01
Messaggi: 12

MessaggioInviato: Gio Ago 18, 2011 5:31 pm    Oggetto: Ci provo Rispondi citando

Diciamo che cosi su due piedi ho capito poco, faccio qualche prova e poi al limite disturbo ancora!! Smile grazie in anticipo
Top
Profilo Invia messaggio privato
fulvio
Site Admin


Registrato: 01/11/06 17:45
Messaggi: 1558

MessaggioInviato: Ven Ago 19, 2011 12:05 am    Oggetto: Rispondi citando

Infatti e' piu' difficile a dirsi che a farsi.

Ciao
Fulvio
Top
Profilo Invia messaggio privato
dadomn



Registrato: 01/02/09 23:01
Messaggi: 12

MessaggioInviato: Sab Ago 20, 2011 9:28 am    Oggetto: Rispondi citando

Ok .. con uno zeroshell davanti e un paio di ap davanti ho capito un po meglio il tuo messaggio ma non mi è chiara una cosa, per fare quello che dicevi, mi serve uno zeroshell locale in ogni punto con un ap open che consenta la connessione. Giusto o ho capito male?

non sarebbe possibile mettere solo l'ap/router nei punti dislocati che si autentichi sullo zs remoto?
Top
Profilo Invia messaggio privato
fulvio
Site Admin


Registrato: 01/11/06 17:45
Messaggi: 1558

MessaggioInviato: Sab Ago 20, 2011 9:39 am    Oggetto: Rispondi citando

Si per ogni area devi mettere un gateway Zeroshell con il captive portal abilitato e con autenticazione verso il RADIUS centrale. Con AP che supportino OpenVPN, tipo quelli che hanno il firmware OpenWRT puoi invece stabilire una conessione diretta con lo Zeroshell remoto e far gestire il traffico a questo. In tal caso non dovresti predisporre un gateway Zeroshell in ogni area, ma avresti lo svantaggio di dover convoliare tutta la banda sulla sede in cui c'e' l'unico Zeroshell. Potrai poi decidere se le varie aree siano in routing oppure facenti parte di una unica LAN (virtuale) con lo stesso layer 2 mettendo tutte le VPN in bridge.

Saluti
Fulvio
Top
Profilo Invia messaggio privato
dadomn



Registrato: 01/02/09 23:01
Messaggi: 12

MessaggioInviato: Sab Ago 20, 2011 9:49 am    Oggetto: Rispondi citando

Hai colto nel segno, stavo giusto giocando con un router con DDWRT. QUindi se non ho capito male o creo uno zeroshell locale per ogni punto che autentica sul server centrale e allora ho la possibilità (una volta autenticato) di far navigare ogni punto con l'adsl residente, oppure posso creare una sorta di rete virtuale che però per la navigazione inflazionerebbe l'adsl centrale... soprattutto in un ottica di centinaia di operatori connessi ... (non sfruttando quindi la banda locale ma sempre quella remota...

un casino Smile !

E non esiste un modo di mettere giu un router ddwrt con la wan connessa ad una adsl che faccia autenticazione radius su un server remoto e una volta fatta autenticazione consenta l'accesso ad internet tramite l'adsl locale?

o in alternativa quale soluzione suggerisci per la realizzazione di un piccolo dispositivo embedded da abbinare al router locale in ogni punto (soluzione migliore in termini di dimensioni, costi e prestazioni).

Grazie anticipatamente fulvio.
se riusciamo a fare quel che intendo, una cena è il minimo che ti possa offrire!! Smile
Top
Profilo Invia messaggio privato
fulvio
Site Admin


Registrato: 01/11/06 17:45
Messaggi: 1558

MessaggioInviato: Sab Ago 20, 2011 10:50 am    Oggetto: Rispondi citando

L'unico modo che mi viene in mente e' di abbandonare l'idea di sfruttare il captive portal e invece autenticare gli utenti mediante WPA/WPA2 Enterprise. Qualsiasi access point ormai puo' autenticare mediante 802.1x verso un server RADIUS. Tieni conto che ti funzionerebbe anche l'accounting del server RADIUS di Zeroshell. La contropartita e' che gli utenti devono essere esperti abbastanza da configurare il loro supplicant per autenticare con 802.1x. Avresti anche il vantaggio che le connessioni sono cifrate al livello 2.

Saluti
Fulvio
Top
Profilo Invia messaggio privato
Mostra prima i messaggi di:   
Nuovo argomento   Rispondi    Indice del forum -> ZeroShell Tutti i fusi orari sono GMT + 1 ora
Pagina 1 di 1

 
Vai a:  
Non puoi inserire nuovi argomenti
Non puoi rispondere a nessun argomento
Non puoi modificare i tuoi messaggi
Non puoi cancellare i tuoi messaggi
Non puoi votare nei sondaggi


Powered by phpBB © 2001, 2005 phpBB Group
phpbb.it