Re: Interne Firewall mit Zugang für IEEE 802.11

To: debian-user-german@lists.debian.org
Subject: Re: Interne Firewall mit Zugang für IEEE 802.11
From: Bjoern Petsch <wudo@servicelink.de>
Date: Tue, 26 May 2009 13:39:27 +0200
Message-id: <[🔎] 20090526133927.4ffc9001@servicelink.de>
References: <[🔎] 4A1B9730.5000300@googlemail.com>

Am Tue, 26 May 2009 09:16:00 +0200
schrieb Björn Meier <bjoern.meier@googlemail.com>:

> Hi,
jo hier auch "Hi",

....
> zwei  Netzkarten  sind drin, das routing funktioniert.  FWbuilder
> (Ich muss für meinen Mäuseschubser-Kollegen, dass verständlich
> abbilden) als Firewall-Generator funktioniert auch prima.

Du hast mein Mitgefuehl

>  
> So, nun sollen aber die Wireless-Geräte - welche hauptsächlich Gäste 
> sind - in das DMZ-subnet. Geplant hierbei ist, dass auf der firewall
> ein transparenter Proxy läuft, der gegen NTLM (selbstterminierender 
> Gast-account in der Domäne) authentifiziert. Leider geht proxy_auth 
> nicht im transparent mode.

Stimmt. 
Wie waere es, hier anzusetzen? Es gibt ja noch den Weg ueber WPAD.
http://de.wikipedia.org/wiki/Web_Proxy_Autodiscovery_Protocol
WPAD ist zwar per se unsicher, aber das betrifft ja die Clients, das
sind ja eh' "nur" Gaeste, die muessen sich selbst um ihre Sicherheit
kuemmern?
Wenn Du mit Deinem lokalen DNS einem Rechner den Namen WPAD gibst, 
sollte der lokale Browser den erstmal befragen (in Form eines Webseiten
abrufes) wo er denn den Proxy findet. IMHO war das der default im IE
Verhaelt sich der Browser nichgt wie erwartet, gibts gar nichts (oder
nur internes Netz, je nach Gusto)

Dann ist der Proxy nicht mehr transparent und Du kannst ganz
konventionell proxy_auth=ntlm machen. 

Ferner wuerde mir noch der Weg ueber eine eigene (zwangs)Webseite
einfallen, auf der man sich Authentifiziert die dann das entsprechende
Routing freischalten oder so aehnlich

Oder ich habe die Fragestellung voellig falsch verstanden....
> 
> Ich brauche aber eine Authentifizierungsmöglichkeit. Denn es soll so 
> einfach wie möglich für unsere Gäste sein. D.h. es gibt kein wep, wpa 
> oder so. RADIUS funktioniert leider auch nur mit Zertifikaten. Ich
> habe keine Möglichkeit gefunden, freeradius dazu zu bewegen NUR
> MSCHAP2 anzubieten, was wohl auch nicht im Sinne des Protokolls ist.

Ich glaube Radius waere in dem Fall auch mit Kanonen auf spatzen
geschossen. bzw: von welchen Dimensionen reden wir denn hier?

> 
> Meine letzte Möglichkeit, die mir noch einfällt, wäre ein captive 
> portal. Da ich aber nur Debian-Pakete von Lenny nutzen möchte, kommt 
> chilispot wohl nicht in Frage, zumal ich nicht sicher bin, ob es ein 
> captive portal mit NTLM Authentifizierung gibt.
> 
> Könnt ihr mir irgendwelche Vorschläge geben?
jo, erledigt und abgehakt :-P

> 
> Danke schon mal im Vorraus.
> 
> Gruß,
> Björn
> 
> 
Auch gruss, 
auch bjoern :-D

Reply to:

Follow-Ups:
- Re: Interne Firewall mit Zugang für IEEE 802.11
  - From: Bjoern Meier <bjoern.meier@googlemail.com>

References:
- Interne Firewall mit Zugang für IEEE 802.11
  - From: Björn Meier <bjoern.meier@googlemail.com>

Prev by Date: [Gelöst]: SD-Karte wird nicht erkannt
Next by Date: Re: USB-WLAN-Stick (US54SE) aktivieren?
Previous by thread: Re: Interne Firewall mit Zugang für IEEE 802.11
Next by thread: Re: Interne Firewall mit Zugang für IEEE 802.11
Index(es):
- Date
- Thread