rete wifi nel mio albergo, proxy, normativa etc....

[tekko]

non sono un esperto informatico ma mi piacerebbe provare a fare le cose da solo.

Entrando nel dettaglio, ecco come vorrei fare la rete:

-2 AP per piano, su 3 piani
-tutti gli AP sono collegati con cavo ethernet ad uno switch
-switch collegato al server (server con 2 schede di rete, vero? è d'obbligo?)
-server collegato al modem



Uploaded with ImageShack.us

Come hardware pensavo di usare tutta roba tp-link:

AP: wa801nd o wa901nd

SWITCH: SF1016d

Server: ho un fisso non usato, con un processore AMD da 1,5 Ghz, 1 giga di ram, basta?

MODEM: TD8840T

_____________________________

CONFIGURAZIONE RETE

metto sotto la configurazione ,con gli IP, inoltre:

1- Tutti gli AP possono avere la stessa ssid sul wifi?
2- essendoci il server lascio wifi aperto, o meglio mettere anche una password wpa ?

3- il server DEVE avere 2 schede di rete?

4-anche se al momento la normativa non prevede piu l'obbligo di loggare ne registrare nulla, per stare tranquillo io lo voglio fare.
cioè il server mi deve fare un log con scritto, iplocale, mac address, cosa ha visitato ed a che ora.

come server con captive portal vorrei usare zeroshell.
opensource e mi pare molto famoso, quindi penso si troveranno molte guide ed esempi. Zero shell gestisce tutto? dhcp, accessi, log, banda ad ogni utente, black list di siti da non vedere, bloccare il p2p..... etc... ????

per ora mi fermo qui, penso possa bastare !!

grazie 1000
marco



Uploaded with ImageShack.us [/quote]

[Paul92]

Ciao,

ti consiglio innanzitutto i tp-link 801, che bastano e avanzano,

per zeroshell va benissimo, ha proprio la funzione di captive portal, perdici un po' di tempo a fare varie prove e capire come bloccare il traffico, limitare la banda, tenere i log, bloccare siti e domini ecc, non è difficilissimo, ci vuole solo un attimo di tempo,

ti consiglio anche di dare un'occhiata a zerotruth, una "espansione" di zeroshell dedicata proprio al captive portal,

il server va benissimo, anzi per zeroshell è anche esagerato

non sarebbe d'obbligo avere le 2 schede di rete, potresti gestirla con delle Vlan, ma diventa complicato poi, meglio 2 schede separate, diventa anche di più facile utilizzo

[Wolfhwk]

Quote:

Originariamente inviato da tekko

1- Tutti gli AP possono avere la stessa ssid sul wifi?
2- essendoci il server lascio wifi aperto, o meglio mettere anche una password wpa ?

3- il server DEVE avere 2 schede di rete?

4-anche se al momento la normativa non prevede piu l'obbligo di loggare ne registrare nulla, per stare tranquillo io lo voglio fare.
cioè il server mi deve fare un log con scritto, iplocale, mac address, cosa ha visitato ed a che ora.

1. Stesso SSID.

2. Abilita la crittografia e l'autenticazione tramite WPA2-AES Personal. Se usi server radius di zeroshell, vai di WPA2-AES enterprise.

3. Sarebbe logico averne due, dato che il traffico downstream/upstream è da elaborare tramite il server.

Dato che si tratta di un albergo, imposta sugli AP anche l' access point isolation.

[tekko]

Quote:

Originariamente inviato da Wolfhwk

2. Abilita la crittografia e l'autenticazione tramite WPA2-AES Personal. Se usi server radius di zeroshell, vai di WPA2-AES enterprise.

perchè avere sia la wpa2 sul wifi che l'accesso con password sul server? (domanda da ognorante)

ecco, sarei arrivato anche al server radius di zeroshell, però non ho ben capito a cosa serva......

Quote:

Dato che si tratta di un albergo, imposta sugli AP anche l' access point isolation.

ok!

grazie

[Wolfhwk]

Quote:

Originariamente inviato da tekko

perchè avere sia la wpa2 sul wifi che l'accesso con password sul server? (domanda da ognorante)

ecco, sarei arrivato anche al server radius di zeroshell, però non ho ben capito a cosa serva......

L' accesso con password su server è autenticazione e basta. Per essere pignoli, autenticazione piuttosto insicura se non c'è di mezzo radius con EAP/802.1X.

WPA2-AES crittografa i dati dei clienti e li autentica tramite una pre shared key (la passphrase WPA appunto). Radius, tramite EAP, autentica i clienti in modo estremamente sicuro (es. EAP-FAST, EAP-TLS) o media sicurezza (PEAP), creando una comunicazione criptata con il client(in cui avviene l'autenticazione reciproca) e generando le chiavi di sessione per la crittografia.

La crittografia se la gestisce l'access point e se c'è solo il PSK (pre shared key) si occupa anche di autenticare i client.

Spero di essere stato chiaro.

[tekko]

Quote:

Originariamente inviato da Wolfhwk

L' accesso con password su server è autenticazione e basta. Per essere pignoli, autenticazione piuttosto insicura se non c'è di mezzo radius con EAP/802.1X.

WPA2-AES crittografa i dati dei clienti e li autentica tramite una pre shared key (la passphrase WPA appunto). Radius, tramite EAP, autentica i clienti in modo estremamente sicuro (es. EAP-FAST, EAP-TLS) o media sicurezza (PEAP), creando una comunicazione criptata con il client(in cui avviene l'autenticazione reciproca) e generando le chiavi di sessione per la crittografia.

La crittografia se la gestisce l'access point e se c'è solo il PSK (pre shared key) si occupa anche di autenticare i client.

Spero di essere stato chiaro.

il problema non è la tua chiarezza, che non metto in dubbio, ma la mia ignoranza in materia non mi permette di capire....

quindi: l'accesso al server mi permette di identificare l'utente, e quindi avere un log un cui so che:
utente1, pass:xyz
ha fatto accesso alle 14.31 del 9 set 2013
e ha visitato questi siti.

invece la chiave WAP2-AES del wifi (e quindi degli ap) mi "cripta" i dati.

in conclusione WAP2-AES + Radius-EAP ho il massimo della sicurezza.

L'utilizzatore (i clienti dell'albergo) facendo accesso al WIFI dovranno:

1- inserire la password del wifi
2- loggarsi sul server con user "cliente1" e pass "asdafasd"

giusto??

[Wolfhwk]

Con WPA2-AES + EAP hai il massimo della sicurezza, ma la combinazione è usata solo a livello aziendale. In un albergo, il log è per ip/mac address e si preferisce lasciare WPA2 con crittografia AES e autenticazione a livello di access point PSK (pre-shared key).

Nel radius ti tocca creare gli utenti ogni volta e i dispositivi dei clienti devono supportare la tipologia di EAP configurata con Radius.

O gli utenti radius di zeroshell li creano i receptionist per ogni cliente (captive portal hotspot), dandogli username e password radius e password PSK del WPA, oppure va trovato il modo di chiedere la registrazione( stile freccia rossa).

Male male esistono anche i Voucher (codici) di durata temporale definita dalla reception.

[Wolfhwk]

Con zerotruth puoi richiedere anche la registrazione a quanto vedo.

http://www.zerotruth.net/

[tekko]

ti dico come avevo intenzione di fare:

io ho un residence, i clienti mi cambiano in genere una volta a settimana.
il sabato o la domenica.

volevo creare dei talloncini con scritto:

password wifi "pippofranco" (uguale in tutto il residence)
Utente= appartamento1
pass = password1

quindi il cliente che accende il, o i se ne ha 2, computer nel suo appartamento quando si collega al wifi gli chiede la password e lui mette "pippofranco".

poi apre il browser e mette :
Utente= appartamento1
pass = password1

ok?

per fare questo quale è la miglior, ed a questo punto meno complicata maniera per l'utente, di impostare il tutto?

ap wifi con WPA2-AES

il server-zeroshell impostato come? a quanto ho capito senza il radius....

grazie davvero!!

[Wolfhwk]

Quote:

Originariamente inviato da tekko

per fare questo quale è la miglior, ed a questo punto meno complicata maniera per l'utente, di impostare il tutto?

ap wifi con WPA2-AES

il server-zeroshell impostato come? a quanto ho capito senza il radius....

grazie davvero!!

Secondo me gli dai solo una password, la WPA2-AES a livello di access points. Tutti gli access points con stessa password e stesso SSID, per il roaming.
Zeroshell non lo usi per autenticare a questo punto. Lo usi come firewall, proxy, logging, monitoring etc.
Questa è la via meno complicata per l'utente.

[tekko]

Quote:

Originariamente inviato da Wolfhwk

Secondo me gli dai solo una password, la WPA2-AES a livello di access points. Tutti gli access points con stessa password e stesso SSID, per il roaming.
Zeroshell non lo usi per autenticare a questo punto. Lo usi come firewall, proxy, logging, monitoring etc.
Questa è la via meno complicata per l'utente.

la mia prima idea era infatti questa!

pero nel log mi ritrovo:

ip locale
mac address
siti visitati.........

giusto?

e questo mi dovrebbe bastare, a livello "legale" se succede qualcosa..... no ??

[Wolfhwk]

Quote:

Originariamente inviato da tekko

la mia prima idea era infatti questa!

pero nel log mi ritrovo:

ip locale
mac address
siti visitati.........

giusto?

e questo mi dovrebbe bastare, a livello "legale" se succede qualcosa..... no ??

A me chiesero solo il log dei mac address e ip visitati. Mac address che in teoria è unico universalmente parlando (lasciando stare lo spoofing e altro).
Poi se vuoi essere sicuro, tiri su il radius di zeroshell, arriva il cliente, gli fai tu un account in base a nome/cognome con password + la WPA2.

[tekko]

Quote:

Originariamente inviato da Wolfhwk

A me chiesero solo il log dei mac address e ip visitati. Mac address che in teoria è unico universalmente parlando (lasciando stare lo spoofing e altro).
Poi se vuoi essere sicuro, tiri su il radius di zeroshell, arriva il cliente, gli fai tu un account in base a nome/cognome con password + la WPA2.

ok

adesso devo provare un po con zeroshell....

una cosa non mi è chiara:

i vari AP devo essere configurati con il gateway impostato con l' ip del modem (192.168.1.1) oppure con l' ip del server??

grazie

ps: hai un messaggio privato.

[Wolfhwk]

Quote:

Originariamente inviato da tekko

i vari AP devo essere configurati con il gateway impostato con l' ip del modem (192.168.1.1) oppure con l' ip del server??

grazie

ps: hai un messaggio privato.

Ip del server. In uscita, lui prende in consegna il traffico e lo instrada verso il modem/router.

[tekko]

Quote:

Originariamente inviato da Wolfhwk

Ip del server. In uscita, lui prende in consegna il traffico e lo instrada verso il modem/router.

quindi secondo il mio schema 192.168.1.3
cioè l' ip della scheda di rete del server in entrata.



Uploaded with ImageShack.us

[Wolfhwk]

Io farei due sottoreti separate.
es. i client 172.16.1.0/24
es. p2p router - server 192.168.1.0/24 (o meglio 192.168.1.0/30).

[tekko]

Quote:

Originariamente inviato da Wolfhwk

Io farei due sottoreti separate.
es. i client 172.16.1.0/24
es. p2p router - server 192.168.1.0/24 (o meglio 192.168.1.0/30).

per client intendi gli AP ??

una configurazione cosi?



Uploaded with ImageShack.us

[Wolfhwk]

Esattamente. I client sono gli utenti che si collegheranno agli ap, ottenendo dal server dhcp i parametri necessari alla connessione.

[tekko]

ma se uso il modem-router (che ha ip 192.168.1.1) come DHCP,
riesce ad assegnare ai client IP tipo : 172.16.1.101 ..... etc.... come in figura?



Uploaded with ImageShack.us

[Wolfhwk]

No, il DHCP per la rete 172.16 lo fa il server zeroshell.

Il router sta sulla sua 192.168.1.0/24 con DHCP disabilitato.