hotspot security

Wireless

Csinálnom kellene egy WiFi hotspotot egy AP-val, amit tud dual-band-et (2.4 GHz G, 5 GHz N), és egy full hozzáférésű SSID mellett lehet vele olyan vendégeknek szóló SSID-t is csinálni, ahol a kliensek nem férhetnek hozzá a helyi hálóhoz, csak az internethez. Nézegettem a manualokat, általában tudnak ezek a cuccok izolációt, de ez azt jelenti, hogy SSID-k között és/vagy SSID-n belül a wireless klienseket izolálja egymástól, de nekem nem ez kell. Ugye itt már network layer csomagnézegetés kell, nem elég a link layer. Van olyan AP, ami ezt alapból tudja egy gombnyomásra, vagy valami olyan okos routert vegyek, amiben általános érvényű TCP/IP tűzfal van, és állítsak kimenő szabályokat?

  • 8045 megtekintés

( sabe v | 2012. 02. 24., p – 12:48 )

Okos router (openwrt capable) VLAN-okkal?
ha több SSID-t akarsz, akkor Atheros chipsetes router kell, de fixme, régen foglalkoztam ezzel a témával.

( janoszen v | 2012. 02. 24., p – 12:53 )

Ha nem akarsz vele sokat szivni, vegyel ket routert es kesz.

Egy bolti polcról szeretnék egy AP-t levenni. Egy kisebb cég nem annyira kicsi infrastruktúrájába kellene illeszteni az eszközt, a 2 uplink biztosítása nagyobb szívás, akkor inkább AP-n tűzfalazok kézzel. Csak arra gondoltam, hogy az SSID isolation-re szokás checkboxot csinálni, talán van erre is ilyen kő egyszerű megoldás.

--
joco voltam szevasz

( wpeople v | 2012. 02. 24., p – 18:36 )

mikrotik. 2 kártyával (mondjuk RB433).
még a hotspot is benne van - pár klikk és tudsz limiteket is csinálni (pl 1 mac 4óra access/nap, etc)

( mr shadow v | 2012. 02. 24., p – 19:47 )

én megpróbáltam dd-wrt alatt a multiple ssid-t, ám a routinggal még gondom van..
valami trükk kéne hogy el tudjam választani a két hálót
--
"'The time has come,' the Walrus said"

( csilee | 2012. 02. 24., p – 23:08 )

szerintem is mikrotik
de lehet elég lenne az új 751U-2HnD-es router, igaz az csak 2,4ghz de az b/g/n (esetleg rádugni egy egyszerű 5g-s eszközt az egyik lanra)

( Snitt v | 2012. 02. 25., szo – 21:18 )

de eleve minek beengedni a belsohaloba az apt? vpn koncentrator van, nem? akkor meg kiteszed netre az embereket, es aki akar valamit, az bevpnezik.

( creed23 v | 2012. 02. 25., szo – 22:20 )

Szia!

Az Ubiquiti Unifi az 5giga kivétel mindent tud, de lesz belőle pro változat, az dual bandes lesz. (Nálam is így van a cucc, van egy Guest AP amin csak böngészni lehet és egy WPA-val védett ahol nyitott portok vannak)

( Finder | 2012. 02. 25., szo – 22:43 )

Es azzal a klasszikus megoldassal mi a gond, hogy egy AP van, egy SSID-vel, de alapbol csak az Internet es egy VPN szerver fele latnak ki a kliensek? Akinek kell a teljes halozat, annak ott a VPN, a tobbieknek meg van net.

AP-t meghagyod routernek. Beallitod, hogy NAT-oljon a wifi kliensek es az intranet kozott. Intraneten adsz neki IP-t egy kulon tartomanybol. Routeren beallitod, hogy az uj AP es az Intranet tartomanyai kozott ne legyen routolas. (Itt lehet, hogy meg kell majd adnod egy + szabalyt a VPN fele is, hogy azt a szervert azert elerjek.) Orulsz.
Persze ez csak akkor fog menni ha normalis router van.
A lenyeg az az, hogy az AP levalasztja a wifis cuccokat az intranetes L2 halozatodrol, igy nem tudnak tetszoleges IP-t felvenni vagy belenezni az ottani broadcastokba, a router meg levalasztja oket az L3-rol is. Igy mehetnek az Internet fele, de mast nem latnak. Mindezt VLAN-ok, vagy router bovites (+1 interface) nelkul.

Csak elmélet, de működhet (attól függ, hogy a switchek továbbítják e az 1522 byte-os csomagokat).

Veszel egy VLAN-t tudó AP-t. Elmeséled neki, hogy az egyik SSID-re kapcsolódó klienseket a 3-as id-vel rendelkező VLAN-ba pakolja.

A routeren beállítod a 3-as VLAN-t, a többi kliens marad a natív VLAN-on.

( jaci | 2012. 02. 26., v – 08:56 )

Nálam mikrotik van (de lehetne más is) virtual AP a vendégeknek külön SSID-val, külön IP tartománnyal.
Tiltva a két tartomány közötti forgalom.