Indice del forum www.zeroshell.net
Distribuzione Linux ZeroShell
 
 FAQFAQ   CercaCerca  GruppiGruppi   RegistratiRegistrati 
 ProfiloProfilo  Log inLog in   Messaggi privatiMessaggi privati 

Accesso 802.1x a SSID diversi

 
Nuovo argomento   Rispondi    Indice del forum -> RADIUS 802.1x e Captive Portal
Precedente :: Successivo  
Autore Messaggio
gciacci



Registrato: 03/08/09 12:20
Messaggi: 107

MessaggioInviato: Dom Gen 17, 2016 7:43 pm    Oggetto: Accesso 802.1x a SSID diversi Rispondi citando

Ciao a tutti,
ho la necessità di creare due reti wireless distinte per studenti e docenti, in modo tale che gli studenti non possano accedere alla rete principale (con NAS e stampanti) ma solo navigare una volta autenticati.
Ho predisposto il server RADIUS ed abilitato gli studneti all'autenticazione solo sulla VLAN 10, ma alla fine mi sono accorto che le WLAN interne attivabili tramite APU con scheda aetheros non gestiscono le VLAN.
Ho messo uno switch managed con porte tagged sulla VLAN 10 ed a valle un AP semplice e così riesco a far accedere gli studenti al loro SSID ma non a quello principale.
Mi piacerebbe evitare questa complicazione e fare tutto con la APU, qualcuno ha mai fatto delle configurazioni del genere?
Grazie per l'aiuto
Top
Profilo Invia messaggio privato
redfive



Registrato: 26/06/09 22:21
Messaggi: 777

MessaggioInviato: Lun Gen 18, 2016 8:05 pm    Oggetto: Rispondi citando

I 2 SSIDs dovrebbero già appartenere 2 'reti distinte' per ZS, se fai tutto su apu, dovrebbe essere sufficiente creare qualche regola firewall per evitare il forwarding tra un interfaccia logica (associata al SSID) e l'altra....
ciao
Top
Profilo Invia messaggio privato
gciacci



Registrato: 03/08/09 12:20
Messaggi: 107

MessaggioInviato: Mar Gen 19, 2016 9:41 am    Oggetto: Rispondi citando

I due SSID appartengono a reti diverse, ma gli utenti possono autenticarsi su entrambe. Ho messo l'abilitazione solo alla VLAN 10 per gli studenti, ma non riesco a specificare la VLAN sulle interfacce WLAN00 e WLAN01, mentre è facile farlo sulle ETH0X
Top
Profilo Invia messaggio privato
redfive



Registrato: 26/06/09 22:21
Messaggi: 777

MessaggioInviato: Mar Gen 19, 2016 1:19 pm    Oggetto: Rispondi citando

Ok, capito .... se usi wpa2 entrprise per i docenti (quindi senza ulteriore auth. CP) e wpa2/psk + CP per gli studenti,, quando crei gli utenti puoi dichiarare quale metodo possono utilizzare autenticarsi, es solo kerberos 5per gli studenti e kerberos 5 + CP per i docenti, in questo modo gli studenti non potranno autenticarsi sul SSID che utilizza wpa2 enterprise, ma una volta associati ed autenticati sull'altro (via PSK) dovranno inserire le credenziali per navigare (mentre i docenti, potranno utilizzare tutti e 2 i SSIDs).
Le interfacce wlan non possono trasmettere frames taggati come le ethernet (cioè, possono e lo fanno anche, ma con altre finalità), i clients non li 'capirebbero', ma anche non è necessario che siano a conoscenza di appartenere ad una determinata vlan ....
Altrimenti , ci sono APs che supportano il dynamic vlan assignment utilizzando un unico SSID, i clients che si autenticano, in base alla loro config. in ZS, vengono associati alla 'propria'vlan (quella dichiarata nella config. del client).
ciao
Top
Profilo Invia messaggio privato
Mostra prima i messaggi di:   
Nuovo argomento   Rispondi    Indice del forum -> RADIUS 802.1x e Captive Portal Tutti i fusi orari sono GMT + 1 ora
Pagina 1 di 1

 
Vai a:  
Non puoi inserire nuovi argomenti
Non puoi rispondere a nessun argomento
Non puoi modificare i tuoi messaggi
Non puoi cancellare i tuoi messaggi
Non puoi votare nei sondaggi


Powered by phpBB © 2001, 2005 phpBB Group
phpbb.it