non sono un esperto informatico ma mi piacerebbe provare a fare le cose da solo.

Entrando nel dettaglio, ecco come vorrei fare la rete:

-2 AP per piano, su 3 piani
-tutti gli AP sono collegati con cavo ethernet ad uno switch
-switch collegato al server (server con 2 schede di rete, vero? è d'obbligo?)
-server collegato al modem

http://img268.imageshack.us/img268/156/w3b.bmp (http://imageshack.us/photo/my-images/268/w3b.bmp/)

Uploaded with ImageShack.us (http://imageshack.us)

Come hardware pensavo di usare tutta roba tp-link:

AP: wa801nd o wa901nd

SWITCH: SF1016d

Server: ho un fisso non usato, con un processore AMD da 1,5 Ghz, 1 giga di ram, basta?

MODEM: TD8840T

_____________________________

CONFIGURAZIONE RETE

metto sotto la configurazione ,con gli IP, inoltre:

1- Tutti gli AP possono avere la stessa ssid sul wifi?
2- essendoci il server lascio wifi aperto, o meglio mettere anche una password wpa ?

3- il server DEVE avere 2 schede di rete?

4-anche se al momento la normativa non prevede piu l'obbligo di loggare ne registrare nulla, per stare tranquillo io lo voglio fare.
cioè il server mi deve fare un log con scritto, iplocale, mac address, cosa ha visitato ed a che ora.

come server con captive portal vorrei usare zeroshell.
opensource e mi pare molto famoso, quindi penso si troveranno molte guide ed esempi. Zero shell gestisce tutto? dhcp, accessi, log, banda ad ogni utente, black list di siti da non vedere, bloccare il p2p..... etc... ????

per ora mi fermo qui, penso possa bastare !!

grazie 1000
marco

http://img838.imageshack.us/img838/4026/zy97.png (http://imageshack.us/photo/my-images/838/zy97.png/)

Uploaded with ImageShack.us (http://imageshack.us) [/QUOTE]

Ciao,

ti consiglio innanzitutto i tp-link 801, che bastano e avanzano,

per zeroshell va benissimo, ha proprio la funzione di captive portal, perdici un po' di tempo a fare varie prove e capire come bloccare il traffico, limitare la banda, tenere i log, bloccare siti e domini ecc, non è difficilissimo, ci vuole solo un attimo di tempo,

ti consiglio anche di dare un'occhiata a zerotruth, una "espansione" di zeroshell dedicata proprio al captive portal,

il server va benissimo, anzi per zeroshell è anche esagerato :D

non sarebbe d'obbligo avere le 2 schede di rete, potresti gestirla con delle Vlan, ma diventa complicato poi, meglio 2 schede separate, diventa anche di più facile utilizzo

1- Tutti gli AP possono avere la stessa ssid sul wifi?
2- essendoci il server lascio wifi aperto, o meglio mettere anche una password wpa ?

3- il server DEVE avere 2 schede di rete?

4-anche se al momento la normativa non prevede piu l'obbligo di loggare ne registrare nulla, per stare tranquillo io lo voglio fare.
cioè il server mi deve fare un log con scritto, iplocale, mac address, cosa ha visitato ed a che ora.


1. Stesso SSID.

2. Abilita la crittografia e l'autenticazione tramite WPA2-AES Personal. Se usi server radius di zeroshell, vai di WPA2-AES enterprise.

3. Sarebbe logico averne due, dato che il traffico downstream/upstream è da elaborare tramite il server.

Dato che si tratta di un albergo, imposta sugli AP anche l' access point isolation.

2. Abilita la crittografia e l'autenticazione tramite WPA2-AES Personal. Se usi server radius di zeroshell, vai di WPA2-AES enterprise.



perchè avere sia la wpa2 sul wifi che l'accesso con password sul server? (domanda da ognorante)

ecco, sarei arrivato anche al server radius di zeroshell, però non ho ben capito a cosa serva......



Dato che si tratta di un albergo, imposta sugli AP anche l' access point isolation.


ok!

grazie

perchè avere sia la wpa2 sul wifi che l'accesso con password sul server? (domanda da ognorante)

ecco, sarei arrivato anche al server radius di zeroshell, però non ho ben capito a cosa serva......


L' accesso con password su server è autenticazione e basta. Per essere pignoli, autenticazione piuttosto insicura se non c'è di mezzo radius con EAP/802.1X.

WPA2-AES crittografa i dati dei clienti e li autentica tramite una pre shared key (la passphrase WPA appunto). Radius, tramite EAP, autentica i clienti in modo estremamente sicuro (es. EAP-FAST, EAP-TLS) o media sicurezza (PEAP), creando una comunicazione criptata con il client(in cui avviene l'autenticazione reciproca) e generando le chiavi di sessione per la crittografia.

La crittografia se la gestisce l'access point e se c'è solo il PSK (pre shared key) si occupa anche di autenticare i client.

Spero di essere stato chiaro.

L' accesso con password su server è autenticazione e basta. Per essere pignoli, autenticazione piuttosto insicura se non c'è di mezzo radius con EAP/802.1X.

WPA2-AES crittografa i dati dei clienti e li autentica tramite una pre shared key (la passphrase WPA appunto). Radius, tramite EAP, autentica i clienti in modo estremamente sicuro (es. EAP-FAST, EAP-TLS) o media sicurezza (PEAP), creando una comunicazione criptata con il client(in cui avviene l'autenticazione reciproca) e generando le chiavi di sessione per la crittografia.

La crittografia se la gestisce l'access point e se c'è solo il PSK (pre shared key) si occupa anche di autenticare i client.

Spero di essere stato chiaro.


il problema non è la tua chiarezza, che non metto in dubbio, ma la mia ignoranza in materia non mi permette di capire....

quindi: l'accesso al server mi permette di identificare l'utente, e quindi avere un log un cui so che:
utente1, pass:xyz
ha fatto accesso alle 14.31 del 9 set 2013
e ha visitato questi siti.

invece la chiave WAP2-AES del wifi (e quindi degli ap) mi "cripta" i dati.

in conclusione WAP2-AES + Radius-EAP ho il massimo della sicurezza.

L'utilizzatore (i clienti dell'albergo) facendo accesso al WIFI dovranno:

1- inserire la password del wifi
2- loggarsi sul server con user "cliente1" e pass "asdafasd"

giusto??

Con WPA2-AES + EAP hai il massimo della sicurezza, ma la combinazione è usata solo a livello aziendale. In un albergo, il log è per ip/mac address e si preferisce lasciare WPA2 con crittografia AES e autenticazione a livello di access point PSK (pre-shared key).

Nel radius ti tocca creare gli utenti ogni volta e i dispositivi dei clienti devono supportare la tipologia di EAP configurata con Radius.

O gli utenti radius di zeroshell li creano i receptionist per ogni cliente (captive portal hotspot), dandogli username e password radius e password PSK del WPA, oppure va trovato il modo di chiedere la registrazione( stile freccia rossa).

Male male esistono anche i Voucher (codici) di durata temporale definita dalla reception.

Con zerotruth puoi richiedere anche la registrazione a quanto vedo.

http://www.zerotruth.net/

ti dico come avevo intenzione di fare:

io ho un residence, i clienti mi cambiano in genere una volta a settimana.
il sabato o la domenica.

volevo creare dei talloncini con scritto:

password wifi "pippofranco" (uguale in tutto il residence)
Utente= appartamento1
pass = password1

quindi il cliente che accende il, o i se ne ha 2, computer nel suo appartamento quando si collega al wifi gli chiede la password e lui mette "pippofranco".

poi apre il browser e mette :
Utente= appartamento1
pass = password1

ok?

per fare questo quale è la miglior, ed a questo punto meno complicata maniera per l'utente, di impostare il tutto?

ap wifi con WPA2-AES

il server-zeroshell impostato come? a quanto ho capito senza il radius....

grazie davvero!!

per fare questo quale è la miglior, ed a questo punto meno complicata maniera per l'utente, di impostare il tutto?

ap wifi con WPA2-AES

il server-zeroshell impostato come? a quanto ho capito senza il radius....

grazie davvero!!

Secondo me gli dai solo una password, la WPA2-AES a livello di access points. Tutti gli access points con stessa password e stesso SSID, per il roaming.
Zeroshell non lo usi per autenticare a questo punto. Lo usi come firewall, proxy, logging, monitoring etc.
Questa è la via meno complicata per l'utente.

Secondo me gli dai solo una password, la WPA2-AES a livello di access points. Tutti gli access points con stessa password e stesso SSID, per il roaming.
Zeroshell non lo usi per autenticare a questo punto. Lo usi come firewall, proxy, logging, monitoring etc.
Questa è la via meno complicata per l'utente.

la mia prima idea era infatti questa!

pero nel log mi ritrovo:

ip locale
mac address
siti visitati.........

giusto?

e questo mi dovrebbe bastare, a livello "legale" se succede qualcosa..... no ??

la mia prima idea era infatti questa!

pero nel log mi ritrovo:

ip locale
mac address
siti visitati.........

giusto?

e questo mi dovrebbe bastare, a livello "legale" se succede qualcosa..... no ??

A me chiesero solo il log dei mac address e ip visitati. Mac address che in teoria è unico universalmente parlando (lasciando stare lo spoofing e altro).
Poi se vuoi essere sicuro, tiri su il radius di zeroshell, arriva il cliente, gli fai tu un account in base a nome/cognome con password + la WPA2.

A me chiesero solo il log dei mac address e ip visitati. Mac address che in teoria è unico universalmente parlando (lasciando stare lo spoofing e altro).
Poi se vuoi essere sicuro, tiri su il radius di zeroshell, arriva il cliente, gli fai tu un account in base a nome/cognome con password + la WPA2.

ok

adesso devo provare un po con zeroshell....

una cosa non mi è chiara:

i vari AP devo essere configurati con il gateway impostato con l' ip del modem (192.168.1.1) oppure con l' ip del server??

grazie

ps: hai un messaggio privato.

i vari AP devo essere configurati con il gateway impostato con l' ip del modem (192.168.1.1) oppure con l' ip del server??

grazie

ps: hai un messaggio privato.

Ip del server. In uscita, lui prende in consegna il traffico e lo instrada verso il modem/router.

Ip del server. In uscita, lui prende in consegna il traffico e lo instrada verso il modem/router.

quindi secondo il mio schema 192.168.1.3
cioè l' ip della scheda di rete del server in entrata.

http://img838.imageshack.us/img838/4026/zy97.png (http://imageshack.us/photo/my-images/838/zy97.png/)

Uploaded with ImageShack.us (http://imageshack.us)

Io farei due sottoreti separate.
es. i client 172.16.1.0/24
es. p2p router - server 192.168.1.0/24 (o meglio 192.168.1.0/30).

Io farei due sottoreti separate.
es. i client 172.16.1.0/24
es. p2p router - server 192.168.1.0/24 (o meglio 192.168.1.0/30).

per client intendi gli AP ??

una configurazione cosi?

http://img32.imageshack.us/img32/5641/7r0.bmp (http://imageshack.us/photo/my-images/32/7r0.bmp/)

Uploaded with ImageShack.us (http://imageshack.us)

Esattamente. I client sono gli utenti che si collegheranno agli ap, ottenendo dal server dhcp i parametri necessari alla connessione.

ma se uso il modem-router (che ha ip 192.168.1.1) come DHCP,
riesce ad assegnare ai client IP tipo : 172.16.1.101 ..... etc.... come in figura?

http://img692.imageshack.us/img692/4104/tbhg.png (http://imageshack.us/photo/my-images/692/tbhg.png/)

Uploaded with ImageShack.us (http://imageshack.us)

No, il DHCP per la rete 172.16 lo fa il server zeroshell.

Il router sta sulla sua 192.168.1.0/24 con DHCP disabilitato.

No, il DHCP per la rete 172.16 lo fa il server zeroshell.

Il router sta sulla sua 192.168.1.0/24 con DHCP disabilitato.

immaginavo....

ma quale è il vantaggio di fare 2 sottoreti?

immaginavo....

ma quale è il vantaggio di fare 2 sottoreti?

I vantaggi sono innumerevoli tra cui di sicurezza, routing, gestione, amministrazione, efficienza e chi più ne ha più ne metta.

I vantaggi sono innumerevoli tra cui di sicurezza, routing, gestione, amministrazione, efficienza e chi più ne ha più ne metta.

ma un eventuale pc connesso sul modem
con ip 192.168.1.10 (o 172.16.1.20 ????) vedrebbe i vari AP 172.16.1.*** ??
Cioè digitando nel browser di questo pc 172.16.1.12 entrerei nella pagina di
configurazione di tale AP?

grazie

http://img703.imageshack.us/img703/6270/05w8.png (http://imageshack.us/photo/my-images/703/05w8.png/)

Uploaded with ImageShack.us (http://imageshack.us)

Cioè digitando nel browser di questo pc 172.16.1.12 entrerei nella pagina di
configurazione di tale AP?


Ci arrivi da zeroshell. Invece per arrivarci da remoto devi fare un portforwarding sul router per arrivare allo zeroshell.

adesso ho le idee piu chiare,
ed ho un po di materiale per fare qualche prova reale.

scrivero poi quello che viene fuori, e chiederò se ho dei dubbi,

grazie

Poi se agli AP ci vuoi arrivare tramite altra macchina (come nel grafico), devi impostare una route statica.

Secondo me gli dai solo una password, la WPA2-AES a livello di access points. Tutti gli access points con stessa password e stesso SSID, per il roaming.

Non ho capito però se questa password rimarrà sempre la stessa.

La cambia quando vuole su tutti gli ap.
Questo è un problema che per esempio io non mi pongo, dato che con gli Ubiquiti Unifi uso il controller software, mentre con i Cisco/Netgear dispongo del controller hardware.
Per cambiare password WPA2 a 10? 100? 1000? access points mi basta inserirla una volta sola. :D

Non ho capito però se questa password rimarrà sempre la stessa.

la password la cambierò ogni tanto, posso cambiarla anche spesso, ci vuole poco.

Ci arrivi da zeroshell. Invece per arrivarci da remoto devi fare un portforwarding sul router per arrivare allo zeroshell.

qui sono confuso!!

voglio usare il servizio di no-ip dentro il modem per avere un indirizzo ip fisso.

ammettendo che il mio ip fisso sia "residence.no-ip.it"

da remoto cosa devo digitare nel browser per entrare nel modem?
e cosa digitare per entrare nel zeroshell?
poi entrato in zeroshell posso gestire anche i vari AP??

grazie

qui sono confuso!!

voglio usare il servizio di no-ip dentro il modem per avere un indirizzo ip fisso.

ammettendo che il mio ip fisso sia "residence.no-ip.it"

da remoto cosa devo digitare nel browser per entrare nel modem?
e cosa digitare per entrare nel zeroshell?
poi entrato in zeroshell posso gestire anche i vari AP??

grazie

Complicato :asd:

Dovresti montare zeroshell su VBox su un Debian magari, poi installare VNC Server.
Da router portforward su porta 22 server, poi tunnel ssh da terminale remoto.
Te lo dico, io generalmente implemento i sistemi wireless con dei controller hw/sw, e dunque è davvero raro che usi soluzioni non proprietarie.
Quindi studiati il tutto e fai delle prove.
Qui su tunnel ssh.
http://www.raspberrypi.org/phpBB3/viewtopic.php?f=63&t=24378

Complicato :asd:

Dovresti montare zeroshell su VBox su un Debian magari, poi installare VNC Server.
Da router portforward su porta 22 server, poi tunnel ssh da terminale remoto.
Te lo dico, io generalmente implemento i sistemi wireless con dei controller hw/sw, e dunque è davvero raro che usi soluzioni non proprietarie.
Quindi studiati il tutto e fai delle prove.
Qui su tunnel ssh.
http://www.raspberrypi.org/phpBB3/viewtopic.php?f=63&t=24378

qui andiamo un po nel complicato per me.....

adesso iniziero ad installare zero shell ed a provarlo sulla mia connessione di casa per vedere di impararci un po....

ciao

si comincia male.....

il computer che volevo usare, è morto....

dovendone cercare un altro, cosa mi consigliato come minimo per stare tranquillo di

cpu:
ram:
hd:

?????


grazie

Credo un qualunque pc che rispetti requisiti minimi di almeno windows xp vada bene.

mi inserisco nella discussione per chiedervi: e nel caso di un albergo che abbia già le prese RJ45 a muro in ogni stanza?:D

quale soluzione implementereste?

mi inserisco nella discussione per chiedervi: e nel caso di un albergo che abbia già le prese RJ45 a muro in ogni stanza?:D

quale soluzione implementereste?

This.

http://i41.tinypic.com/2v0yj35.jpg

Esattamente quello a cui pensavo!!:sofico:

Il mio dubbio rimane circa la "gestione"...

Ho visto una simile soluzione by ZyXel che dovrebbe permettere (mediante il suo programma) di tenere sotto controllo le singole camere (i punti di accesso in esse installati) accendendo/spegnendo a seconda della presenza del cliente.

A me interesserebbe (più che questa feature) l'avere un'apparecchiatura che mi permetta di:
- associare il traffico al cliente (esempio stampando lo "scontrino" da consegnare al cliente con i suoi dati di autenticazione);
- impostare le varie limitazioni (quantità di banda, tipo di traffico, etc...).
- isolare i vari clienti (immagino separando le varie stanze in altrettante VLAN, giusto?)

Esiste una soluzione "chiavi-in-mano" ?:D

(come forse avrete capito ho le idee un po' confuse in materia)

This. Handlink WG604 (anche il 602 è ok).

http://i40.tinypic.com/2agvon6.jpg



PS. Questo prodotto e gli access point a muro sono un' accoppiata micidiale. Configurati a decine e decine personalmente.