Re: Interne Firewall mit Zugang für IEEE 802.11
Urs Traenkner wrote:
Björn Meier wrote:
So, nun sollen aber die Wireless-Geräte - welche hauptsächlich Gäste
sind - in das DMZ-subnet. Geplant hierbei ist, dass auf der firewall
ein transparenter Proxy läuft, der gegen NTLM (selbstterminierender
Gast-account in der Domäne) authentifiziert. Leider geht proxy_auth
nicht im transparent mode.
Ich brauche aber eine Authentifizierungsmöglichkeit. Denn es soll so
einfach wie möglich für unsere Gäste sein. D.h. es gibt kein wep, wpa
oder so.
WPA/WPA2 sind so schwierig nun nicht. Man sucht sich das Funknetz,
tippert das Passwort ein und die Bude laeuft. Offen willst Du WLAN
wohl eher nicht laufen lassen?
Doch will ich. Wie jeder Hotspot auch. D. h. du kommst zwar so in das
DMZ-Subnet aber alles andere kannst du nur gegen Authentifizierung nutzen.
Eine Authentifizierung kriegst Du nunmal nur ueber Zertifikate oder
Passwortgedoens.
Ich wuerde den AP an der Stelle einfach ueber WPA/WPA2 und Passwort
(eins fuer alle) laufen lassen, dem Ding ein eigenes Subnet +
Netzwerkkarte im entspr. Rechner spendieren und den Rest ueber
iptables loesen. Ausser natuerlich, ich habe hier was grundliegend
falsch verstanden (bspw., dass jeder, der drahtlos reinkommt, als Gast
verstanden wird und keine Trennung braucht - wenn dem nicht so ist,
kommst Du an einer vernuenftigen Authentifizierung so oder so nicht
vorbei, das laeuft letztendlich auf Zertifikate raus).
Nur so als Idee. Vielleicht geht's ja auch noch viel eleganter, das
erzaehlen Dir dann andere Leute :)
Gruss Urs...
Wie gesagt, so einfach wie möglich. Da fallen Zertifikate raus. Die
Anmeldung muss definitiv ohne administrativen Aufwand von statten gehen.
WPA und Konsorten ist deswegen unsinnig, da ich es nach jedem Gast das
Kennwort ändern muss, sonst nützt mir das Kennwort gar nichts. Deswegen
offener WLAN zugang und Dienste gegen NTLM-Authentifizierung, da ich
hier sicherstellen kann, dass die Gastzugänge von der Zentrale so
angelegt werden können, dass diese von selbst ablaufen.
Gruß,
Björn
Reply to: