Indice del forum www.zeroshell.net
Distribuzione Linux ZeroShell
 
 FAQFAQ   CercaCerca  GruppiGruppi   RegistratiRegistrati 
 ProfiloProfilo  Log inLog in   Messaggi privatiMessaggi privati 

Wifi zone partendo da "zero"

 
Nuovo argomento   Rispondi    Indice del forum -> ZeroShell
Precedente :: Successivo  
Autore Messaggio
marco988



Registrato: 27/03/10 08:07
Messaggi: 8

MessaggioInviato: Sab Mar 27, 2010 8:13 am    Oggetto: Wifi zone partendo da "zero" Rispondi citando

Buongiorno a tutti!
Intanto voglio farvi i complimenti per il prodotto e per l'assistenza che ne viene fornita, e come seconda cosa ho qualche bella domanda:
HO bisogno di creare una wifi zone nel circolo sprtivo che frequento, e dopo aver letto tutto sul CP mi è rimasto qualche piccolo dubbio.
Avrei bisogno che le cose funzionassero così: Arriva il Sig. Mario Rossi alla segreteria chiedendo la connessione wifi, qualcuno si collega al cp e aggiunge Mario.Rossi (es.), quindi il Sig. Mario può connettersi alla rete, immettere i suoi dati nella pagina di login, ottenere una password, e navigare.
Mentre se arriva il primo sconosciuto che accende il portatile e vuole connettersi, immette il suo nome e cognome ma non ottiene nessuna pass.
Penso sia possibile fare uan cosa del genere giusto?
Ora mi affido a voi per qualsiasi cose Very Happy
Grazie
Top
Profilo Invia messaggio privato
NdK



Registrato: 27/01/10 12:36
Messaggi: 506

MessaggioInviato: Sab Mar 27, 2010 4:25 pm    Oggetto: Rispondi citando

Lo dico per l'ultima volta: non usate il cp per il wifi: usate WPA con autenticazione RADIUS.

Poi, al momento della registrazione, la password la si fa inserire all'utente (così anche l'operatore non la conosce).
Top
Profilo Invia messaggio privato
marco988



Registrato: 27/03/10 08:07
Messaggi: 8

MessaggioInviato: Sab Mar 27, 2010 8:14 pm    Oggetto: Rispondi citando

NdK ha scritto:
Lo dico per l'ultima volta: non usate il cp per il wifi: usate WPA con autenticazione RADIUS.

Poi, al momento della registrazione, la password la si fa inserire all'utente (così anche l'operatore non la conosce).

sisi quello l'avevo letto anche in altre discussioni Wink
Grazie comunque
Top
Profilo Invia messaggio privato
NdK



Registrato: 27/01/10 12:36
Messaggi: 506

MessaggioInviato: Sab Mar 27, 2010 8:36 pm    Oggetto: Rispondi citando

Scusa, rileggendo mi sono accorto di essere stato un tantino brusco... Non era mia intenzione, ma se ne è discusso parecchio ed ogni 2-3 giorni arriva qualcuno che vorrebbe usare il CP sul wireless... Almeno leggessero perché non conviene... Poi ognuno può farsi del male come gli pare...

Molto meglio tenere fuori i malintenzionati fin dal principio, almeno non ti "rubano" tanta banda.
Top
Profilo Invia messaggio privato
marco988



Registrato: 27/03/10 08:07
Messaggi: 8

MessaggioInviato: Sab Mar 27, 2010 9:23 pm    Oggetto: Rispondi citando

Si beh certo Very Happy
io dovrei riuscire a fare questa cosa spendendo il meno possibile (strano!)
e vorrei evitare di dover prendere un router che supporti vlan dato che ne hanno già uno a rack.
Ho sia il serverino per il CP e 2 accespoint, mi manca il modo per usarli tra di loro..
Quindi il consiglio è un server radius per le autenticazioni che poi manda tutto sul wifi..?
Top
Profilo Invia messaggio privato
NdK



Registrato: 27/01/10 12:36
Messaggi: 506

MessaggioInviato: Sab Mar 27, 2010 11:34 pm    Oggetto: Rispondi citando

Beh, per quel che devi fare, le VLAN non servono...
ZS, nel tuo caso, non serve neppure che abbia due schede di rete (a meno che non ti servano per sfruttare altre funzioni).
Devi solo configurare il RADIUS server, inserire l'indirizzo degli AP e le relative password, ed inserire negli AP l'indirizzo del server e la password RADIUS (NON metterle tutte uguali!).

Fin quando l'utente non si autentica, rimane "tagliato fuori" dalla rete.
Top
Profilo Invia messaggio privato
Simo89



Registrato: 17/03/10 00:23
Messaggi: 12

MessaggioInviato: Dom Mar 28, 2010 1:31 am    Oggetto: Rispondi citando

ti seguo anche io che devo fare una cosa simile Wink

seguiamo insieme i consiglio del saggio ndk Cool
Top
Profilo Invia messaggio privato
marco988



Registrato: 27/03/10 08:07
Messaggi: 8

MessaggioInviato: Dom Mar 28, 2010 7:59 am    Oggetto: Rispondi citando

mmmhh..
credo mi sfugga qualcosa, o forse mi sono dimenticato di spiegare la topologia di rete che ho adesso Mr. Green
Ho una rete cablata che serve i pc della palestra, della piscina ecc...
io pensavo di fare così:
su un cavo che arriva dallo switch generale attacco una nic del CP, e sull'altra un piccolo hub su quale attaccherò 2 AP.
Scusa la mia ignoranza NdK, ma perchè non avrei bisogno di 2 nic?
Top
Profilo Invia messaggio privato
NdK



Registrato: 27/01/10 12:36
Messaggi: 506

MessaggioInviato: Dom Mar 28, 2010 1:11 pm    Oggetto: Rispondi citando

marco988 ha scritto:
su un cavo che arriva dallo switch generale attacco una nic del CP, e sull'altra un piccolo hub su quale attaccherò 2 AP.
Scusa la mia ignoranza NdK, ma perchè non avrei bisogno di 2 nic?

Questo se volessi usare il CP. Se invece usi RADIUS, puoi mettere gli AP sullo switch generale, come anche la ETH00 di ZS. Fin quando un client wifi non è autenticato, è come se fosse disconnesso dalla rete.

Il problema è che, in questo modo, la sicurezza è leggermente inferiore, dato che i client autenticati è come se fossero attaccati direttamente sullo switch principale (a meno che gli AP non possano fare anche da firewall e permettere ai client solo connessioni verso il gateway e ZS). La cosa può essere o meno accettabile.

Se non lo fosse, allora si tornerebbe alla topologia a cui avevi pensato.
Top
Profilo Invia messaggio privato
franco



Registrato: 30/04/09 17:06
Messaggi: 425

MessaggioInviato: Dom Mar 28, 2010 7:09 pm    Oggetto: Rispondi citando

scusami ndk ma sono nuovo ho una rete wifi con 10 utenti che si connettono tramite cp. a me sembra che vada tutto bene, ma tu dici che è poco sicuro.
mi dici dove trovo i post mer implemetare il sistema che dici tu con wpa e radius.

grazie per l'aiuto.
Top
Profilo Invia messaggio privato
marco988



Registrato: 27/03/10 08:07
Messaggi: 8

MessaggioInviato: Dom Mar 28, 2010 7:22 pm    Oggetto: Rispondi citando

NdK ha scritto:
marco988 ha scritto:
su un cavo che arriva dallo switch generale attacco una nic del CP, e sull'altra un piccolo hub su quale attaccherò 2 AP.
Scusa la mia ignoranza NdK, ma perchè non avrei bisogno di 2 nic?

Questo se volessi usare il CP. Se invece usi RADIUS, puoi mettere gli AP sullo switch generale, come anche la ETH00 di ZS. Fin quando un client wifi non è autenticato, è come se fosse disconnesso dalla rete.

Il problema è che, in questo modo, la sicurezza è leggermente inferiore, dato che i client autenticati è come se fossero attaccati direttamente sullo switch principale (a meno che gli AP non possano fare anche da firewall e permettere ai client solo connessioni verso il gateway e ZS). La cosa può essere o meno accettabile.

Se non lo fosse, allora si tornerebbe alla topologia a cui avevi pensato.

Quindi se ho capito bene, questa è la prima implementazione a cui avevo pensato io


mentre questa è quella che mi consgli tu..


Ho sbagliato qualcosa?
La prima, a mio modestissimo parere, apparte una nic in più mi sembra + sicura (come dicevi anche tu).
Top
Profilo Invia messaggio privato
NdK



Registrato: 27/01/10 12:36
Messaggi: 506

MessaggioInviato: Lun Mar 29, 2010 7:25 am    Oggetto: Rispondi citando

Si, sicuramente quella che avevi pensato è più sicura perché ti permette di isolare molto bene gli accessi wireless da quelli cablati. Ma, per alcune situazioni, potrebbe essere una complicazione extra inutile (magari perché l'unica regola sul firewall sarebbe "permetti tutto verso tutti").
Inoltre, se avessi già un modem/router con 2 porte indipendenti, potrebbe gestire lui il routing tra le due reti.

Insomma, dipende da che esigenze hai... Smile
Top
Profilo Invia messaggio privato
marco988



Registrato: 27/03/10 08:07
Messaggi: 8

MessaggioInviato: Lun Mar 29, 2010 7:53 am    Oggetto: Rispondi citando

Considera che ho a disposizione una rete già cablata e funzionante (anche se la sala apparati ha più cavi intrecciati che altro).
A me servirebbe una cosa relativamente "tranquilla", non troppo difficile da configurare e che semplicemente mi dia la possibilità di avere un database con gli account degli utenti permessi a navigare..
Il problema è che la rete già presente non ho idea di come sia stata implementata.
Soprattutto mi hanno chiesto una cosa econimica, quindi non posso lavorarci sopra troppe ore Rolling Eyes
Top
Profilo Invia messaggio privato
NdK



Registrato: 27/01/10 12:36
Messaggi: 506

MessaggioInviato: Lun Mar 29, 2010 11:13 am    Oggetto: Rispondi citando

Allora vai con la soluzione che avevi prospettato.
Potresti anche usare un PC con tre schede di rete , se hai solo due AP... così risparmi l'hub ed una presa.
Se poi non volessero stendere ulteriori cavi per gli AP, puoi valutare soluzioni basate su tecnologia powerline (usano la rete elettrica anche per i dati) -- in questo caso, però, assicurati di aver impostato le chiavi di cifratura sugli apparati powerline. Ci sono dei begli AP in powerline che hanno solo l'alimentazione (che porta anche dati) e l'antenna. Per un esempio (non l'ho mai provato... giusto per darti un'idea di come si può presentare l'articolo...) vedi http://reviews.cnet.com/bridges/netgear-wgxb102/4505-3304_7-31119874.html?tag=also
Top
Profilo Invia messaggio privato
marco988



Registrato: 27/03/10 08:07
Messaggi: 8

MessaggioInviato: Lun Mar 29, 2010 12:04 pm    Oggetto: Rispondi citando

Si conosco questa tecnologia ma ha alcune limitazioni a quello che ho notato..
Su reti elettriche con molte deviazioni, spine e su reti un po' vecchie, tende a non funzionare molto bene... parlo comunque per quello che ho potuto vedere io.
Ma comunque il cablaggio non è un problema, me la vedo poi sul momento.
Il problema è riuscire ad avere l'autenticazione quando ci si collega all' AP.
Oggi vado sul porto a vedere un po' la cosa ma credo che opteò per la prima.
CP mi serve anche come server DHCP e spero di non avere problemi nella configurazione.
ma una volta configurato, come funziona l'accounting?
Top
Profilo Invia messaggio privato
NdK



Registrato: 27/01/10 12:36
Messaggi: 506

MessaggioInviato: Lun Mar 29, 2010 12:18 pm    Oggetto: Rispondi citando

Sorry ma mi era sfuggito il post.

franco ha scritto:
scusami ndk ma sono nuovo ho una rete wifi con 10 utenti che si connettono tramite cp. a me sembra che vada tutto bene, ma tu dici che è poco sicuro.
mi dici dove trovo i post mer implemetare il sistema che dici tu con wpa e radius.

grazie per l'aiuto.

Il problema è che tutte le connessioni sono in chiaro, quindi un attaccante potrebbe raccogliere molti dati (anche sensibili) semplicemente standosene in ascolto.

Se invece usi WPA-Enterprise, le connessioni radio sono criptate e l'unico modo per potersi agganciare alla rete è avere credenziali valide. Un'ulteriore misura può essere l'attivazione della "client isolation" sugli AP: in pratica ogni client potrà dialogare esclusivamente con il gateway, come se fosse l'unico sulla rete.
Non so se con più AP l'isolamento sia mantenuto, ma credo di si.

Un ottimo articolo è http://www.renatomorano.net/?p=400 e quello che ti serve lo trovi alla sezione "Abilitazione del RADIUS SERVER e del servizio di PROXY RADIUS".

Se servono altri chiarimenti chiedi pure!
Top
Profilo Invia messaggio privato
NdK



Registrato: 27/01/10 12:36
Messaggi: 506

MessaggioInviato: Lun Mar 29, 2010 12:23 pm    Oggetto: Rispondi citando

marco988 ha scritto:
Si conosco questa tecnologia ma ha alcune limitazioni a quello che ho notato..
Su reti elettriche con molte deviazioni, spine e su reti un po' vecchie, tende a non funzionare molto bene... parlo comunque per quello che ho potuto vedere io.
Ma comunque il cablaggio non è un problema, me la vedo poi sul momento.

Ok. Era solo un'idea. Io li ho provati su un cavo interrato di circa 150m e riuscivano a connettersi, anche se con prestazioni non eccelse.

marco988 ha scritto:
Il problema è riuscire ad avere l'autenticazione quando ci si collega all' AP.
Oggi vado sul porto a vedere un po' la cosa ma credo che opteò per la prima.
CP mi serve anche come server DHCP e spero di non avere problemi nella configurazione.
ma una volta configurato, come funziona l'accounting?

Crei degli utenti nell'interfaccia di ZS e quelli si autenticano. Il dominio è sempre quello di ZS, a meno che sulla rete non abbiate già altri server RADIUS.
Il captive portal non c'entra nulla col DHCP, quindi credo volessi dire ZS. La configurazione è banale. E a seconda del range di indirizzi che configuri può fare da server contemporaneamente per più interfacce.
Top
Profilo Invia messaggio privato
marco988



Registrato: 27/03/10 08:07
Messaggi: 8

MessaggioInviato: Lun Mar 29, 2010 12:59 pm    Oggetto: Rispondi citando

NdK ha scritto:

Crei degli utenti nell'interfaccia di ZS e quelli si autenticano.

Quà potrebbe arrivare il primo problema: quindi ogni volta che voglio inserire un utente devo connettermi a ZS e crearlo?
NdK ha scritto:

Il dominio è sempre quello di ZS, a meno che sulla rete non abbiate già altri server RADIUS.

Spero non ce ne siano, ma in quel caso non posso impostare l'ip di quello che mi interessa?
NdK ha scritto:

Il captive portal non c'entra nulla col DHCP, quindi credo volessi dire ZS. La configurazione è banale. E a seconda del range di indirizzi che configuri può fare da server contemporaneamente per più interfacce.

Si mi sono sbagliato sorry Confused
Top
Profilo Invia messaggio privato
NdK



Registrato: 27/01/10 12:36
Messaggi: 506

MessaggioInviato: Lun Mar 29, 2010 2:29 pm    Oggetto: Rispondi citando

marco988 ha scritto:
NdK ha scritto:

Crei degli utenti nell'interfaccia di ZS e quelli si autenticano.

Quà potrebbe arrivare il primo problema: quindi ogni volta che voglio inserire un utente devo connettermi a ZS e crearlo?

Purtroppo si. A meno che, appunto, non abbiate altri server RADIUS in giro. Forse è possibile farlo fare anche ad Active Directory, nel caso sia in uso e l'amministratore lo permetta. Altrimenti serve un'altra macchina che faccia da "ponte" (serve installare e configurare Samba, che in ZS non c'è).

marco988 ha scritto:
NdK ha scritto:

Il dominio è sempre quello di ZS, a meno che sulla rete non abbiate già altri server RADIUS.

Spero non ce ne siano, ma in quel caso non posso impostare l'ip di quello che mi interessa?

Certamente. I RADIUS non vanno in conflitto. Nel client e nel server devono venire indicati un indirizzo IP (del server per il client, del client per il server) ed un segreto condiviso, quindi se dall'altra parte non c'è chi ci si aspetta l'autenticazione fallisce.

marco988 ha scritto:
NdK ha scritto:

Il captive portal non c'entra nulla col DHCP, quindi credo volessi dire ZS. La configurazione è banale. E a seconda del range di indirizzi che configuri può fare da server contemporaneamente per più interfacce.

Si mi sono sbagliato sorry Confused

Capita Smile
Top
Profilo Invia messaggio privato
Mostra prima i messaggi di:   
Nuovo argomento   Rispondi    Indice del forum -> ZeroShell Tutti i fusi orari sono GMT + 1 ora
Pagina 1 di 1

 
Vai a:  
Non puoi inserire nuovi argomenti
Non puoi rispondere a nessun argomento
Non puoi modificare i tuoi messaggi
Non puoi cancellare i tuoi messaggi
Non puoi votare nei sondaggi


Powered by phpBB © 2001, 2005 phpBB Group
phpbb.it