wifi kollégiumban - hogyan?

Wireless

Kollégiumban szeretnék wifi-t biztosítani diákoknak. Kis intézmény, max 30 kliens lenne.
Eddig az volt a véleményem, hogy "wifit soha", de internet hozzáférést talán mégis jó lenne adni a diákoknak, tanároknak. Transzparens squid-re gondoltam (NAT nem lenne) és az intézmény belső hálózatához sem férnének hozzá.
Ha valakinek lenne javaslata, esetleg tapasztalata hasonló helyzetben, kérem ossza meg velem.
Milyen AP-t? Milyen titkosítást? MAC szűrés az lenne mindenképp.

  • 4319 megtekintés

( bambano | 2010. 08. 15., v – 00:44 )

a transzparens squid kb. semmire sem jó szerintem.
ap-nak vagy mikrotik vagy szabvány pc.
meg agyalj azon, hogyan fogod azonosítani a felhasználókat, hogyan fogod lenyomozni, ha valaki disznóságot csinált és kopogtat a rendőrség, hogyan oldod meg a sávszélesség szabályozását, a vírusok visszafogását, meg ilyenek.

nekem van cisco ap-m is, szerintem annyira nem jó, mint amennyibe kerül.

lehetnek olyan jogos igények, amik nem biztos, hogy átmennek egy squiden.
egy koliban szerintem jogos igény lehet a tanulmányi rendszer elérése, a tanszékek szervereinek elérése, egy imap/pop3, egy ssh kifelé.

squidnek akkor van értelme, ha kevés a kifelé menő sávszélesség és azon kell spórolni. egyéb dologra én nem használnám, csak bonyolítja az életet.

azonosítani meg vagy wifis vagy pppoe-s eszközökkel javaslom.

OFF
Én ezt az ukrán csaj = jó csaj dolgot soha sem értettem. Volt "szerencsém" ukrajna egyik nagyobb városában 2 évig a szovjet katonaként megfigyelni őket.
Szerintem átlagban nem szebbnek mit Európában bárhol. Nem lehet, hogy a jó csajok Ukrajnából nyugat felé indultak / indulnak szerencsét próbálni?

Az igény az lehet, hogy jogos, de bármilyen portot kinyitsz, azon torrentezni (vagy más hasonló rendszert használni) fognak.
Tapasztalat, csak a fenti portok voltak nyitva, és a 22 -es porton ment a fájlmegosztás, amikor kinyomoztam a bűnöst nem is igazán volt tisztában azzal mit csinált.
Félreértések elkerülése végett nem vagyok egy "jogvédő", de már cseszegették a főiskolát a kiadók, fájlmegosztás miatt.
Én is próbálkozom kollégiumban WiFi-vel. Én fogtam egy régi mini (ha van hely, nem kell mininek lennie) PC-t és bele egy master módba kapcsolható WiFi kártyát, hostapd-n keresztül menne az azonosítás. Sajnos a Windows 2008-as szerverekkel még nem sikerült szót érteni, meg egyenlőre jegelve is van a dolog.

A feltöltési irány korlátozása csak korlátozza, de nem akadályozza meg a fájlcserét. Egy esetleges kiadói "reklamációnál" a megosztás sebessége szerintem lényegtelen, a megosztás ténye miatt fognak reklamálni.
Ezenfelül mint említettem nem vagyok jogvédő aktivista, nem tesz boldoggá, ha megtorolhatom a hasonló eseteket. Inkább megakadályoznám. Ez nem egy műszaki főiskola, néhány hallgatónak halvány lila sejtelme sincs arról, mi van a gépén.

( pinyo_villany | 2010. 08. 15., v – 00:51 )

mi uzemeltetunk ilyet:

ezek a kulcsszavak:

* radius server
* wrt54gl
* wpa2-eap
* mac cim

nalunk 1000-res letszamu koleszban van 20 AP es teljesen le tudtuk fedni vele az epuletet, igaz nem mindenki hasznalja a wifit
___
info

a wrt54gl-t milyen firmware-rel használod?

a gyári linksys firmware nálam kiesett, mert LAN-ra csak maximum "C" osztályú netmaskot lehet beállítani, nálunk meg annál nagyobb tartomány szükséges. most dd-wrt van.

az a bajunk, hogy igen gyakran nem tudnak egyes XP-s kliensek csatlakozni. (miközben mások meg igen)

azt mondja, hogy "várakozat a hálózat felkészülésére", és nem történik semmi.

ha ilyenkor újraindítom az accesspointban a radius servicet, akkor utána jó. aztán egyszer csak megint nem.

openradius, dd-wrt, wpa2, peap, mschap-v2.

tomato van rajtuk, radius es wpa probelma miatt dd-wrt kiesett

konkretan azt csinalta a dd-wrt, hogy a feluleten azt mutatta, hogy wpa2 van beallitva, de a valosagban meg nem huzta fel a cryptot, es igy nem kellett.
dd-wrt-s beallitasokkal szoptam egy hetet, hogy jo legyen, es mukodjon az egesz, mig tomatoval kb ket perc volt megcsinalni a tokeletes megoldast.
___
info

( Jason v | 2010. 08. 15., v – 10:55 )

Tehát wifi-n _kizárólag_ internetet akarsz adni?
Mindenkinek, vagy azt is azonosítással?
Korlátozni akarod-e őket?

Beraksz egy wifi routert, ezzel nyugodtan nat-olhatsz, a wan port mehet a transzparens proxyra, vagy olyan portba, amit kiengedsz netre, de belülre nem (ez switch/router függő).
Azonosításnál a wifi eszközre radius szervert kell belőni (goto http://hup.hu/node/91445#comment-1094781).

--
"SzAM-7 -es, tudjátok amivel a Mirage-okat szokták lelőni" - Robi.

> Tehát wifi-n _kizárólag_ internetet akarsz adni?
Csak Internetet. Persze a DMZ-ben lévő gépeket (publikus webserver, webmail-szerver) valahogy elérnék helyi hálón keresztül.

> Mindenkinek, vagy azt is azonosítással?
Eddig úgy gondoltam, hogy a felhasználókat nem, csak a mobil eszközöket azonosítanám. Regisztrálni kellene őket. Nem tudom, hogy ez mennyire általános. Biztonságos?
Hogy csinálják ezt ott, ahol jól és biztonságosan megy?
AP-ket vennék (egy 50*50 m körfolyosóra hány kell?), de inkább meglévő eszközöket használnék, szűkös a keret. (kb. 0)
Radiussal nincs tapasztalatom. (most kaptam egy Cisco AS5350-et, amit esetleg itt is használni lehetne)
Inkább a szolgáltatások köre legyen kisebb, de kevés adminisztráció. Pl. honnan látom, ha az egyik AP nem működik?

> Korlátozni akarod-e őket?
A squid korlátozna. Egy gépnek vagy 50 kilobyte/sec, nem több.

Nem ismerem a külföldi szabályozást, de nem hiszek benne, hogy mobil eszköz perelhető lenne. Azt kell azonosítanod és úgy, ahogy a hatóságok elvárják. Minden nyomozás (és biztos vagyok benne, hogy ez határoktól független) úgyis először nálad landol és neked kell a további lépésekhez az adatot megadni.

sztem laptopra az a legegyszerubb (a te oldaladrol), ha mac szures van, s regisztralni kell azt.
itt ugy van, hogy neptunos loginnal elerni egy oldalt, ahol fel lehet vinni egy mac-et, s onnantol az a mac tud csatlakozni wifire, s nevesitve is van.
hogy ezt milyen cuccokkal hoztak ossze, azt nemtom.

--
"SzAM-7 -es, tudjátok amivel a Mirage-okat szokták lelőni" - Robi.

( ibenny v | 2010. 08. 15., v – 19:38 )

Azert csunya dolog lenne letiltani a koleszos diakokat a torrentrol.

Nálunk nem tudom, hogy van megoldva, de van is és nincs is egyszerre. :)
Akarom mondani, pl ubuntu/bármi hasonló iso-t tudok tölteni torrenten, de semmi mást.(ami amúgy se lenne legális)

Szerintem valami tracker-alapú szűrés lehet, de nem tudom. Amúgy nekem személy szerint nem is hiányzik a torrent, cserébe van marha gyors korlátlan netem a koliban.

( oykawa | 2010. 08. 15., v – 20:13 )

Szerintem a DD-WRT elég lesz! (VPN-es verzió persze!)

Én amit állítanék az:

A wifi-n:
WPA2-PSK
AP izoláció

Alap:
Ip-cím tartománynál megadni, hogy egy bizonyos tartományba osszon csak!
Pl.: 10.0.0.1-10.0.0.30 (kiosztott cím 30db) 255.255.255.128-al
Pl.: A routert magát a 10.0.0.126-ra!

VPN-nél:
PPTP felhasználóazonosításra!
Ip-cím tartományt megadni! (Csak a PPTP)
Pl.: 10.0.0.31-10.0.0.60 (kiosztott cím 30db) 255.255.255.128-al

A hozzáférés-korlátozásnál pedig letiltani az alap kiosztott címeken (10.0.0.1-10.0.0.30) netet kapjanak, a többit az AP izoláció megoldja!

A 30 gépes hálózatnak elég egy /25-ös hálózat! (255.255.255.128) még a duplázás lehetőségét beleszámolva is! (126 cím - a router)

Persze ez egy routerre (AP-ra levetítve!)

Oykawa Hirohito

( matula99 | 2010. 08. 27., p – 18:54 )

Két kölcsön D-Link DAP-1150-el és 1160-al kísérletezem. Az egyiket Repeater Mode-ban. Érdekes, hogy így az AP MAC címével megy a kliens. A tűzfal nem engedte át, amikor a repeater-re váltott mert az IP-t és a MAC-et is ellenőriztem.
Asus WL-320gP-t használ valaki? Leírások alapján talán az egész épületet is ellátná(?).
Egy AP hány klienset képes kezelni reálisan? Ez függ a titkosítás módjától? Most WPA2 van.

Transparens proxy mégsem lesz, nem megy vele a https. NAT-ot sem akarok. Marad a hagyományos: meg kell adni a böngészőben az IP-t meg a portot. Aki Internetezni akar, az tegyen meg ennyit.

Proxy autconfig-ot csinálni rém egyszerű, és pl. az xp-n az ie alapból így van beállítva. Win7-en nem tudom, mert azt mostanában nem telepítettem, de gyanítom, hogy dettó. Ez szerintem az esetek nagy többségében (az user nem nyúl a beállításokhoz) megfelelő. Ha meg már hozzányúlt, akkor úgyis tudja, hogy hol van.

Elhiszem, hogy egyszerű, de én vagy öt órát vacakoltam most vele.
Tele van az Internet kérdésekkel és megoldási javaslatokkal ezzel kapcsolatban, de majdnem feladtam. Végül ez segített: http://www.mithrandir.hu/doc/book/node81.html
Néha az az érzésem, hogy különböző verziók konfigurációs állományai keverednek a howto-kban és a fejekben is.
Aki szakértője a témának, árulja már el nekem, hogy hogyan lehet dhcp nélkül automatikus proxy beállítást csinálni?

felhajítod a proxy.pac fájlt egy belső webszerverre, aztán blokkolod a kifelé irányuló http-forgalmat, és csak a squid-et engeded ki. Előtte meg kihirdeted, hogy a böngészéshez a http://foo.bar.baz/proxy.pac URL-t kell megadni. aztán aki beállítja a proxypac-ot, annak fog menni, aki meg nem, annak nem.