Indice del forum www.zeroshell.net
Distribuzione Linux ZeroShell
 
 FAQFAQ   CercaCerca  GruppiGruppi   RegistratiRegistrati 
 ProfiloProfilo  Log inLog in   Messaggi privatiMessaggi privati 

Access point su vlan

 
Nuovo argomento   Rispondi    Indice del forum -> ZeroShell
Precedente :: Successivo  
Autore Messaggio
claudioV



Registrato: 17/02/14 21:13
Messaggi: 84

MessaggioInviato: Mer Feb 18, 2015 9:25 pm    Oggetto: Access point su vlan Rispondi citando

Buona sera,
attualmente nella mia LAN ho configurato una serie di AP in radius con ZS senza CP. Funziona perfettamente tutto ma per questioni di sicurezza ed efficienza vorrei creare un Vlan 2 dove mettere solo gli AP e permettergli di collegarsi al radius di ZS, navigare su internet, non collegarsi al resto della LAN e in futuro attivare il CP con zerotruth solo sulla vlan 2. Senza però modificare tutti gli altri dispositivi della lan compreso le rispettive porte negli switch.
Ho messo lo schema "semplificato" di quello che vorrei fare:



come mostrato nello schema dovrei impostare le porte (rosa) 1 e 2 degli switch, collegate agli AP come untagged sotto la vlan2; lasciare le porte dalla 3 alla 46 sotto la vlan 1 di default e impostare le porte (verdi) 47 e 48 come tagged sotto la vlan1.
In ZS dovrei creare nell'interfaccia eth00 una vlan 2 (wifi) che essendo collegata alla porta 48 tagged dovrebbe ricevere sia i frame taggati della vlan2 che quelli non taggati.
In realta ho inziato da subito a creare la vlan2 su ZS poi sullo switch B ho impostato la porta 48 come tagged e mi sono dovuto fermare perchè nessun PC o altro dispositivo riusciva a uscire su internet.
Qualcuno sarebbe così cortese da dirmi dove sbaglio?
Top
Profilo Invia messaggio privato
redfive



Registrato: 26/06/09 22:21
Messaggi: 748

MessaggioInviato: Mer Feb 18, 2015 10:05 pm    Oggetto: Rispondi citando

Le definizioni di 'trunk' non sono uguali per tutti gli switch, alcuni intendono una cosa, altri ... altre, poi con i cisco, ad esempio, sui catalyst tutte le vlan possono, di default, essere trasportate dai trunk, mentre sulla serie Sx-300, vanno dichiarate come 'allowed', altrimenti non le trasporta.
A grandi linee, dovresti avere le porte 47-48 untagged vlan1, tagged vlan2, le altre porte access vlanX (1 o 2, a seconda di cosa andrà collegato).
P.S. su Zs, se vuoi evitare dei log 'fastidiosi' tagga anche la eth00.1 e la porta 48 del primo switch, quello connesso a ZS, la setti come tagged vlan1 e tagged vlan2.
Se gli AP supportano 802.1q con multi SSID, non sarebbe una cattiva idea creare una rete di management per gli APs su vlan dedicata, diversa dalla rete (vlan) dei clients, dove abilitare, se previsto dagli APs, il client-isolation.
ciao
Top
Profilo Invia messaggio privato
claudioV



Registrato: 17/02/14 21:13
Messaggi: 84

MessaggioInviato: Mer Feb 18, 2015 10:48 pm    Oggetto: Rispondi citando

grazie redfive,
gli switch purtroppo non sono i catalyst, ma più economici dlink smart dgs-1210, domani provo come hai detto con la porta 48, ma non ho capito una cosa: dovrei eliminare eth00 (192.168.1.254) e creare eth00.1 (192.168.1.254)? Ho letto di alcuni tuoi post sul problema dei log, ma non avevo capito bene se così facendo posso lasciare nelle porte degli switch non collegate agli AP la vlan 1 di default.

Citazione:
Se gli AP supportano 802.1q con multi SSID, non sarebbe una cattiva idea creare una rete di management per gli APs su vlan dedicata, diversa dalla rete (vlan) dei clients, dove abilitare, se previsto dagli APs, il client-isolation.

Si, gli AP supportano 802.1q con multi SSID (dlink dap-2553) e mi piacerebbe anche fare le vlan direttamente sugli AP, (se ci riesco o meglio se qualcuno mi aiuta).
Il "client-isolation"? non so da dove iniziare...
grazie e ciao
Top
Profilo Invia messaggio privato
claudioV



Registrato: 17/02/14 21:13
Messaggi: 84

MessaggioInviato: Gio Feb 19, 2015 8:11 pm    Oggetto: Rispondi citando

Salve a tutti, vi aggiorno:
su ZS ho creato 2 Vlan (eth00.1 e eth00.2) sullo switch nella porta che va su ZS ho taggato sia la vlan 1 che 2 su tutti gli switch nelle porte di uplink (porte che collegano 2 switch tra di loro) ho impostato la vlan1 come non taggata e la vlan2 come taggata.
Per provare il tutto, in un PC desktop ho cambiato ip e subnet mettendolo sulla classe della vlan2, la corrispondente porta nello switch l'ho tolta dalla vlan1 e l'ho messa come untagged della vlan2.
Provo e funziona tutto perfettamente, anche troppo poichè il pc della vlan2 vede anche le risorse di rete della vlan1. Allora vado sul firewall di ZS e faccio un drop tra vlan2 e vlan1 inserisco solo un eccezione per un server che deve essere visto da entrambe le vreti, attivo il captive portal sulla vlan2.
Riassumendo su quel PC di test riesco a navigare dopo essermi loggato sul CP, non vedo nulla sull'altra rete ad eccezione di quel server che volevo fosse visibile su entrambe; in tutti gli altri PC della vlan1 invece sembra che non sia cambiato nulla, come dovrebbe essere.

Non ho ancora messo mani agli AP perchè volevo seguire il suggerimento di redfive cioè fare le vlan direttamente sul multi ssid.
Potreste essere così gentili da dirmi se come ho pensato è corretto?
L'interfaccia LAN dello switch la metto sia sulla vlan1 che sulla vlan2 in entrambi i casi come tagged, idem faccio per la porta corrispondente dello switch a cui è attacato l'AP, poi creo un ssid che metto sulla vlan1 e un altro sulla vlan2 entrambi come untagged. Corretto?
Top
Profilo Invia messaggio privato
redfive



Registrato: 26/06/09 22:21
Messaggi: 748

MessaggioInviato: Gio Feb 19, 2015 9:02 pm    Oggetto: Rispondi citando

A grandi linee direi di si, i SSID vanno 'mappati' sulle rispettive vlan, controlla che gli APs accettino il management anche con tag (alcuni lo vogliono esplicitamente untagged).
Già che ci sei... potresti creare un altra vlan , e usarla per il management dei dispositivi (tutti i dispositivi avranno un ip appartenente a tale network), es. vlan 1 management (192.168.11.1/xx) vlan2 trusted (192.168.12.1/xx) vlan3 guests (192.168.13.1/xx).
Tutti i dispositivi (switches, APs ..), inteso come management, apparterranno alla vlan1, tutti i pc della lan interna alla vlan2, e saranno collegati a porte unatgged vlan2, tale vlan è anche mappata su un SSID (Trusted ?), dove può essere usata WPA2 Entrprise, chi si associerà a tale SSID sarà nello stesso dominio di L2 della lan interna, la vlan3 è mappata sul SSID Guests, poi da ZS , con regole fw permetti/neghi, da e per, ciò che vuoi...
ciao
Top
Profilo Invia messaggio privato
claudioV



Registrato: 17/02/14 21:13
Messaggi: 84

MessaggioInviato: Mar Mar 17, 2015 4:19 pm    Oggetto: Rispondi citando

Buona giornata,
Dopo quasi un mese oggi mi sono rimesso a lavorare sulle vlan sui multi-ssid, (sono stato fermo che ho dovuto risolvere altri problemi).

La mia attuale situazione è: fisicamente circa quella che si vede nella figura del primo post, quindi con porte di uplink tra switch-switch e tra switch-AP untag per vlan1 e tagged per vlan2, come suggerito da "redfive" tagged sia per vlan1 che per vlan2 tra switch e zeroshell.
Ho solo utenti con radius attivo, e senza captive portal e negli access point un solo SSID chiamato "trust" che appartine (per ora) alla vlan1 nativa.
Tutti si connettono con notebook, tablet e smartphone di qualunque O.S. senza problemi dopo essersi loggati.

Prova di oggi... ho creato un secondo SSID diciamo "guest" con le seguenti impostazioni nell'access point:
- porta LAN => vlan1 untag, vlan2 tagged, pvid = 1
- ssid trust => vlan1 untag, vlan2 not member, pvid = 1
- ssid guest => vlan1 not member, vlan2 untag (ho corretto), pvid = 2

Gli utenti che continuano a loggarsi sul ssid trust (vlan1) riescono tranquillamente come prima con tutti i dispositivi.
Gli stessi utenti che poi provano a loggarsi sul ssid guest (vlan2) riescono solo se sono notebook windows 8. Mi spiego meglio, con un notebook windows 8 cerco di collegarmi a guest, mi chiede user e pass, li inserisco, mi chiede di accettare il certificato, accetto e dopo 1 secondo sono connesso. Ho provato anche ad attivare il captive portal solo su interfaccia vlan2 e dopo il login mi richiede nuovamente user e pass non appena apro il browser; tutto perfetto mi fa anche l'accounting.
Il problema è che funziona solo con windows 8, ho provato con tablet android, smartphone samsung, Iphone, nokia lumia con wp8 ma nulla da fare. Appena con uno smartphone tento di collegarmi, dopo user e pass mi chiede il certificato, accetto, ma sta per 30 secondi a tentare di connettersi e dopo mi dice connessione fallita.
Sia con captive portal attivo che disattivato, sia con ZS che con zerotruth.
Ovviamente ho due range DHCP uno per vlan1 e uno per vlan2.
Ogni utente ha sia kerberos 5 che radius entrambi flaggati ma in corrispondenza di RADIUS (VLAN ___) non ho inserito nulla.
Guardando show request in radius mi dice anche che l'utente è autenticato correttamente <<Login OK: [pinco.pallino] (from client AP1 port 0 via TLS tunnel)>>
Ho anche provato ad abilitare il captive portale da zerotruth e creare l'utente da zerotruth, ma nulla di diverso.

Visto che in questo forum siete super espertoni potreste cortesemente dirmi dove sbaglio?
Vi ringrazio

Claudio
Top
Profilo Invia messaggio privato
claudioV



Registrato: 17/02/14 21:13
Messaggi: 84

MessaggioInviato: Mer Mar 18, 2015 5:56 pm    Oggetto: Rispondi citando

Ho capito che sul ssid della vlan 2 non funziona il dhcp, windows8 andava perché era impostato ip statico. Come mai?
Top
Profilo Invia messaggio privato
claudioV



Registrato: 17/02/14 21:13
Messaggi: 84

MessaggioInviato: Mar Mar 24, 2015 9:24 am    Oggetto: Rispondi citando

AIUTOOO!!!
vi prego aiutatemi, è da giorni ormai che faccio prove e non riesco a risolvere il problema.
Se metto sulla Vlan 2 un PC cablato funziona tutto, il DHCP di zeroshell gli assegna l'IP (ovviamente della vlan2) e il captive Portal si attiva.

Ma se provo a configurare un Access Point con 2 ssid uno sulla nativa chiamato "default" e uno sulla vlan2 chiamato "guest" purtroppo il DHCP non gli assegna l'IP, è come se non riconoscesse il TAG assegnato dall'access point.

La mia rete è come dalla figura:



Se faccio una prova a mettere sulla vlan2 il PC sulla porta 3 dello switch A funziona tutto. Ma se metto l'AP1 (o AP2) con il multi-ssid non funziona.
Lo switch A è configurato così:



mentre l'access point l'ho configurato così:




Il ssid primary è quello "Trust" collegato con il radius di ZS senza CP e il dhcp funziona perfettamente assegnando l'IP.
Il problema è S-1 che è il secondo ssid "guest" che se provo a connettermi con qualunque dispositivo mobile 9 volte su 10 non assegna l'IP.


ha scritto:
A grandi linee direi di si, i SSID vanno 'mappati' sulle rispettive vlan, controlla che gli APs accettino il management anche con tag (alcuni lo vogliono esplicitamente untagged).
Già che ci sei... potresti creare un altra vlan , e usarla per il management dei dispositivi (tutti i dispositivi avranno un ip appartenente a tale network), es. vlan 1 management (192.168.11.1/xx) vlan2 trusted (192.168.12.1/xx) vlan3 guests (192.168.13.1/xx).
Tutti i dispositivi (switches, APs ..), inteso come management, apparterranno alla vlan1, tutti i pc della lan interna alla vlan2, e saranno collegati a porte unatgged vlan2, tale vlan è anche mappata su un SSID (Trusted ?), dove può essere usata WPA2 Entrprise, chi si associerà a tale SSID sarà nello stesso dominio di L2 della lan interna, la vlan3 è mappata sul SSID Guests, poi da ZS , con regole fw permetti/neghi, da e per, ciò che vuoi...
ciao


il mio obiettivo finale è proprio come mi ma suggerito redfive ma non riesco con questo cavolo di access point, ne ho provato 5 di access point, ma nulla.

Ringrazio in anticipo tutti quelli che mi daranno anche un piccolo aiuto.

Ciao
Claudio
Top
Profilo Invia messaggio privato
Mostra prima i messaggi di:   
Nuovo argomento   Rispondi    Indice del forum -> ZeroShell Tutti i fusi orari sono GMT + 1 ora
Pagina 1 di 1

 
Vai a:  
Non puoi inserire nuovi argomenti
Non puoi rispondere a nessun argomento
Non puoi modificare i tuoi messaggi
Non puoi cancellare i tuoi messaggi
Non puoi votare nei sondaggi


Powered by phpBB © 2001, 2005 phpBB Group
phpbb.it