Indice del forum www.zeroshell.net
Distribuzione Linux ZeroShell
 
 FAQFAQ   CercaCerca  GruppiGruppi   RegistratiRegistrati 
 ProfiloProfilo  Log inLog in   Messaggi privatiMessaggi privati 

captive portal su vlan

 
Nuovo argomento   Rispondi    Indice del forum -> ZeroShell
Precedente :: Successivo  
Autore Messaggio
dux74



Registrato: 14/09/07 16:55
Messaggi: 32

MessaggioInviato: Ven Set 14, 2007 5:09 pm    Oggetto: captive portal su vlan Rispondi citando

Ciao a tutti,ed un enorme grazie a fulvio che mi ha salvato la vita.
vi espongo il mio problema:
ho 3 vlan su switch evoluto con classi di rete 192.168.100.0/24,192.168.110.0/24 e 192.168.120.0/24.
Ognuna delle tre vlan ha una porta sullo switch collegata ad un'altro switch (questa volta semplice e senza nessuna regola) che è a sua volta collegato a ZS su ETH01 che è nattata su ETH00(collegata ad internet
La domanda è: come faccio ad autenticare tutte e tre le vlan e a farle navigare?
Premetto che fino ad ora sono riuscito a far navigare una vlan alla volta,mentre le altre due non vedevano più ZS.
Grazie a tutti per i futuri aiuti.
Top
Profilo Invia messaggio privato
dux74



Registrato: 14/09/07 16:55
Messaggi: 32

MessaggioInviato: Lun Set 17, 2007 7:52 am    Oggetto: problema vlan Rispondi citando

Scusate se insisto,ma non riesco a risolvere;
cerco di chiarire il problema:come faccio se la richiesta al firewall avviene dalla vlan 192.168.100.x a far rispondere zeroshell con un indirizzo valido,tipo 192.168.100.75,e ad un'altra vlan con un altro indirizzo?
Ovviamente, se la rete interna che risponde non ha un indirizzo della stessa classe,lo switch blocca i pacchetti;
ho provato a creare più vlan in zeroshell,con stessa classe d'indirizzo e stesso vip,ma con esito negativo.
Grazie a tutti coloro che proveranno a darmi una soluzione.
Top
Profilo Invia messaggio privato
fulvio
Site Admin


Registrato: 01/11/06 17:45
Messaggi: 1521

MessaggioInviato: Lun Set 17, 2007 10:19 pm    Oggetto: Rispondi citando

Se sulla ETH1 crei le 3 VLAN 802.1q e per ognuna aggiungi un IP della relativa subnets otterai che il box Zeroshell farà da router per le 3 sottoreti. E' ovvio che tutti i client devono avere Zeroshell come default gateway.
Se ho capito bene fin qui avevi risolto.
Purtroppo però, con le attuali release, Zeroshell può attivare il captive portal solo su di un'interfaccia per volta (o VLAN nel tuo caso).
Ciò ti impedisce di ottenere il risultato da te voluto, cioè di autenticate tutte 3 le VLAN contemporaneamente.

Mi vengono in mente due soluzioni:

- La prima, che sarebbe preferibile, ma che richiede che lo switch che tu dici evoluto sia anche un layer 3 switch (cioè abbia anche capacità di routing), consiste nel delegare il routing delle 3 subnet a tale switch il cui default gateway è poi Zeroshell con captive portal attivo. Dovrai perciò creare sullo switch una quarta VLAN, meglio non taggata 802.1q, composta da un'unica porta a cui ci colleghi Zeroshell.
Il risultato è che gli host delle tre VLAN comunicano tra di loro senza bisogno di autenticazione, ma l'accesso ad Internet viene protetto dal Captive Portal.

- La seconda soluzione prevede che tra il gateway Zeroshell e il tuo switch partizionato in VLAN ci sia un altro router (un altro Zeroshell va bene). Anche in questo caso tale router deve avere come default gateway lo ZeroShell con Captive Portal.

Saluti
Fulvio

PS: mentre scrivevo le due possibili soluzioni mi sono reso conto che mi sfuggiva un particolare del tuo setup che ora mi appare anomalo. Leggi il post successivo per avere la conseguente soluzione.
Top
Profilo Invia messaggio privato
fulvio
Site Admin


Registrato: 01/11/06 17:45
Messaggi: 1521

MessaggioInviato: Lun Set 17, 2007 10:57 pm    Oggetto: Rispondi citando

Probabilmente, le tue 3 VLAN sono semplicemente port based (cioè la suddivisione avviene solo in base alla porta fisica sullo switch). Quindi tu non usi assolutamente il VLAN trunking 802.1q in cui una porta può appartenere contemporaneamente a diverse VLAN, ma i pacchetti vengono distinti in base ad un tag (il VLAN ID da 1 a 4094).
La cosa appare anomala, poiché prima suddividi la tua LAN in Virtual LAN (cioè segmenti distinti che non comunicano tra di loro a livello 2), ma poi, collegando le tre VLAN ad uno switch senza VLAN ottieni il risultato di riunirle nuovamente in Layer 2. In altre parole il tuo switch partizionato in VLAN si comporterà come se non lo fosse, con in più lo svantaggio che se due host appartenenti a VLAN diverse devono comunicare, lo faranno non direttamente attraverso la Switch Fabric, ma tramite l'altro switch. Ciò ti comporta notevoli perdite di banda se più host appartenti a VLAN distinte comunicano contemporaneamente tra loro.

A questo punto, dopo questa premessa arriviamo alla soluzione.

Visto che la tua suddivisione in Virtual LAN è solo apparente, e comunque non ti darebbe alcun vantagio in termini di sicurezza, rimuovila del tutto. Metti cioè tutte le porte dello switch in un'unica VLAN.
Su di una porta qualsiasi dello switch collega la ETH01 del router Zeroshell. Poi aggiungi all'interfaccia ETH01 3 indirizzi di rete (non devi più creare le VLAN), uno per ogni subnet. Tali indirizzi saranno poi i default gateway delle tre subnet.
Questa tecnica, che consiste nell'aggiungere su di un unico segmento ethernet più subnet IP, su molti switch/router prende il nome di MULTINET.
A questo punto non ti rimane che attivare il captive portal sulla ETH01 in routed mode.
Nota che hai risparmiato il secondo switch, quello che paradossalmente riuniva le tre VLAN divise dal primo. Hai anche risparmiato 2 porte sullo switch, visto che te ne basta una per colegare Zeroshell.

Ricordati pero', che se configuri il dhcp server di Zeroshell su tutte tre le subnet, almeno per due di esse dovrai vincolare l'assegnazione dell'IP al MAC address. Questo è ovvio visto che hai un unico segmento data link su cui il traffico broadcast di livello 2 si propagherà su tuute le porte.

Saluti
Fulvio
Top
Profilo Invia messaggio privato
dux74



Registrato: 14/09/07 16:55
Messaggi: 32

MessaggioInviato: Mar Set 18, 2007 3:10 pm    Oggetto: Rispondi citando

Ciao Fulvio, e grazie della tua disponibilità.
Il problema l'ho risolto con vari tentativi ieri mattina, anche se non ho ben capito come.
In pratica ho dato alla ETH01, rete interna collegata allo switch piccolo che è a sua volta collegato con tre porte allo switch con le tre vlan in oggetto,quattro indirizzi ip:191.168.254.254,192.168.100.254,192.168.110.254 e 192.168.120.254.
Ora quando ci si autentica,a rispondere è il primo ip e basta inserire un qualsiasi classe di indirizzo sull'ETH01,per far funzionare una determinata lan.
Quello che non ho capito è perchè inserendo come primo indirizzo uno appartenente ad una determinata vlan, quindi uno degl'ultimi tre succitati,si potevano autenticare solo indirizzi appartenenti a quella classe di indirizzi,anche se il pc era collegato ad un altra vlan,o qualsiasi altro al di fuori delle classi appartenenti alle altre due vlan.
In pratica,mettendo come primo indirizzo 192.168.100.254,e a seguire quelli delle altre due vlan ed altri,gli indirizzi esclusi erano solo 192.168.110.x e 192.168.120.x in qualsiasi vlan io mi collegassi.
Grazie tante comunque e saluti.
Top
Profilo Invia messaggio privato
Leviatano



Registrato: 20/09/07 17:23
Messaggi: 17

MessaggioInviato: Gio Set 20, 2007 6:17 pm    Oggetto: Rispondi citando

A dire il vero e l'esperienza su Cisco mi ha insegnato molto, questo tipo di problema, come diceva giustamente Fulvio, non è un problema ip bensì un problema a livello 2. Se sullo switch che guarda il server zeroshell non è abilitato il trunking con l'altro switch, non sarà in alcun modo possibile il traffico di vlan multiple (multiple vlan traffic) tra i due apparati. Occorre configurare una porta in dot1q per far sì che il traffico appartenente a più vlan venga gestito dagli switch. Cisco utilizza, per far questo, anche l' ISL trunking un protocollo proprietario a mio avviso più semplice da gestire rispetto al dot1q. le Vlan hanno un sistema di tagging del frame che serve proprio per far sì che vengano contraddistinte dai frame appartenenti non solo alla vlan nativa dello switch in genere sempre la numero 1, ma anche dalle altre vlan, per questo motivo le vlan non potevano navigare. sarebbe stato interessante capire se riuscivi a pingare il server oppure no.
Ad ogni modo io avrei semplicemente configurato delle subinterface sulla eth1 da dove avrei gestito il traffico proveninte da più subnet diverse. spero di esserti stato utile anche se hai già risolto, a presto.


Lev
Top
Profilo Invia messaggio privato
ilNebbioso



Registrato: 31/03/09 01:36
Messaggi: 49

MessaggioInviato: Mar Mar 31, 2009 2:19 pm    Oggetto: Rispondi citando

Fulvio,
puoi per favore dare un dettaglio particolareggiato su questa configurazione per far si che possa avere n-VLAN, Captive Portal e ovviamente il logging completo di chi visita che cosa? Al netto del captive portal sotto le VLAN funziona tutto...!

Grazie!

fulvio ha scritto:
- La seconda soluzione prevede che tra il gateway Zeroshell e il tuo switch partizionato in VLAN ci sia un altro router (un altro Zeroshell va bene). Anche in questo caso tale router deve avere come default gateway lo ZeroShell con Captive Portal.
Top
Profilo Invia messaggio privato
Mostra prima i messaggi di:   
Nuovo argomento   Rispondi    Indice del forum -> ZeroShell Tutti i fusi orari sono GMT + 1 ora
Pagina 1 di 1

 
Vai a:  
Non puoi inserire nuovi argomenti
Non puoi rispondere a nessun argomento
Non puoi modificare i tuoi messaggi
Non puoi cancellare i tuoi messaggi
Non puoi votare nei sondaggi


Powered by phpBB © 2001, 2005 phpBB Group
phpbb.it