Indice del forum www.zeroshell.net
Distribuzione Linux ZeroShell
 
 FAQFAQ   CercaCerca  GruppiGruppi   RegistratiRegistrati 
 ProfiloProfilo  Log inLog in   Messaggi privatiMessaggi privati 

VLAN, ACCESS POINT, NO SWITCH

 
Nuovo argomento   Rispondi    Indice del forum -> ZeroShell
Precedente :: Successivo  
Autore Messaggio
digilor



Registrato: 13/10/12 10:04
Messaggi: 2

MessaggioInviato: Sab Ott 13, 2012 10:34 am    Oggetto: VLAN, ACCESS POINT, NO SWITCH Rispondi citando

Salve,
premetto che non ho alcuna esperienza di VLAN.
Ho una rete configurata in questo modo:
1. vari switch di piano non gestiti
2. vari Access point collegati a questi switch, stesso SSID, stessa password WPA, supporto SSID con VLAN
3. unico segmento di rete 192.168.1.x
4. alcuni file server presenti in questo segmento di rete
5. firewall generale 192.168.1.254
6. nessuna possibilità di ricablaggio o sostituzione SWITCH

In questa configurazione ho il problema di non avere un sistema di autenticazione centralizzato e non posso implementare RADIUS per i client Wireless (eccessivà complessita di configurazione per i client XP).

L'obiettivo che ho è di centalizzare l'autenticazione degli utenti tramite Captive Portal.
Volendo semplificare al massimo la configurazione dei client vorrei togliere completamente la protezione sugli stessi e demandare tutto al CP.

Il prpblema è che non potendo avere retie separate fisicamente da gestire poi con varie interfaccie sul firewall avrei la situazione di avere una rete completamente libera per l'accesso alle risorse interne e solo il traffico internet sarebbe controllato da CP.

Avrei pensato all'utilizzo delle VLAN: taggo il SID Wirless e definisco anche una VLAN su una ETH di ZS. Ma la teoria non mi supporta.... Il pacchetto taggato sull'access point riesce ad "arrivare a vari switch di distanza" e raggiungere l'interfaccia di ZS taggata nello stesso modo?
Premettendo che non ho alcuna possibilità di agire sugli switch, questa soluzione non dovrebbe essere posibile.
Me lo confermate?
Avete soluzioni alternative?

Grazie
Top
Profilo Invia messaggio privato
fulvio
Site Admin


Registrato: 01/11/06 17:45
Messaggi: 1558

MessaggioInviato: Sab Ott 13, 2012 1:10 pm    Oggetto: Rispondi citando

I pacchetti ethernet taggati con 802.1q semplicemente hanno un header con 4 byte in piu'. Di questi 4 byte, 12 bit sono utilizzati per memorizzare il VID (il tag appunto). Gli switch che supportano 802.1q, sono in grado di smistare il traffico sulle porte appartenenti ad una data VLAN proprio guardando a questi 4 byte. Gli switch che non supportano 802.1q o non programmati con trunk, semplicemente forwardano i pacchetti cosi' come sono, non rimuovendo i 4 byte. Così, con molta probabilità, se i tuoi switch si comportano come detto, potrai taggare una porta di Zeroshell ed applicare a questa il captive portal. Il SSID collegato a tale VLAN verranno cosi' protetti con autenticazione web, mentre gli host su cavo avranno accesso libero.

Saluti
Top
Profilo Invia messaggio privato
digilor



Registrato: 13/10/12 10:04
Messaggi: 2

MessaggioInviato: Lun Ott 15, 2012 8:27 pm    Oggetto: Rispondi citando

Ti ringrazio per la risposta e per il chiarimento.
Ho effettuato delle prove ed in effetti tutto funziona a meraviglia.
Ho dovuto tuttavia usare una macchina fisica per installare ZEROSHELL perchè installandolo su una VM di Hyper-V non c'è verso di far passare il pacchetto TAGGATO. Su vari forum consigliano di editare il registro di windows e di disabilitare il VLAN Filtering ma anche questa modifica non ha sortito alcun effetto. Idee?
Ho notato che in SETUP->NETWORK su ETH00 mi da la voce "No link detected" (su ZEROSHELL in HYPER-V) anche se poi la ETH0 è comunque raggiungibile. Sapresti spiegarmi il perchè?

Grazie
Top
Profilo Invia messaggio privato
Mostra prima i messaggi di:   
Nuovo argomento   Rispondi    Indice del forum -> ZeroShell Tutti i fusi orari sono GMT + 1 ora
Pagina 1 di 1

 
Vai a:  
Non puoi inserire nuovi argomenti
Non puoi rispondere a nessun argomento
Non puoi modificare i tuoi messaggi
Non puoi cancellare i tuoi messaggi
Non puoi votare nei sondaggi


Powered by phpBB © 2001, 2005 phpBB Group
phpbb.it