Re: Interne Firewall mit Zugang für IEEE 802.11
Am 26. Mai 2009 13:39 schrieb Bjoern Petsch <wudo@servicelink.de>:
> Am Tue, 26 May 2009 09:16:00 +0200
> schrieb Björn Meier <bjoern.meier@googlemail.com>:
>
>> Hi,
> jo hier auch "Hi",
Guten Tag verehrte Damen und Herren (Klingt hoffentlich besser *ggg*)
>
> ....
>> zwei Netzkarten sind drin, das routing funktioniert. FWbuilder
>> (Ich muss für meinen Mäuseschubser-Kollegen, dass verständlich
>> abbilden) als Firewall-Generator funktioniert auch prima.
>
> Du hast mein Mitgefuehl
es ist erstaunlich wie "eingeschränkt" man trotz MCSE Schein sein kann.
>>
>> So, nun sollen aber die Wireless-Geräte - welche hauptsächlich Gäste
>> sind - in das DMZ-subnet. Geplant hierbei ist, dass auf der firewall
>> ein transparenter Proxy läuft, der gegen NTLM (selbstterminierender
>> Gast-account in der Domäne) authentifiziert. Leider geht proxy_auth
>> nicht im transparent mode.
>
> Stimmt.
> Wie waere es, hier anzusetzen? Es gibt ja noch den Weg ueber WPAD.
> http://de.wikipedia.org/wiki/Web_Proxy_Autodiscovery_Protocol
> WPAD ist zwar per se unsicher, aber das betrifft ja die Clients, das
> sind ja eh' "nur" Gaeste, die muessen sich selbst um ihre Sicherheit
> kuemmern?
> Wenn Du mit Deinem lokalen DNS einem Rechner den Namen WPAD gibst,
> sollte der lokale Browser den erstmal befragen (in Form eines Webseiten
> abrufes) wo er denn den Proxy findet. IMHO war das der default im IE
> Verhaelt sich der Browser nichgt wie erwartet, gibts gar nichts (oder
> nur internes Netz, je nach Gusto)
>
> Dann ist der Proxy nicht mehr transparent und Du kannst ganz
> konventionell proxy_auth=ntlm machen.
>
> Ferner wuerde mir noch der Weg ueber eine eigene (zwangs)Webseite
> einfallen, auf der man sich Authentifiziert die dann das entsprechende
> Routing freischalten oder so aehnlich
WPAD ist nur bedingt sinnvoll, wenn Gäste die automat6ische Suche
deaktiviert haben ist essig.
Als Tipp: der Wpad-Server kann bei DHCP mit der Option 251 (Glaub ich)
übergeben werden.
Diese Zwangswebseite nennt sich ja "Captive Portal". Da finde ich
leider keine Pakete (oder Beschreibungen) für Lenny.
> Oder ich habe die Fragestellung voellig falsch verstanden....
>>
>> Ich brauche aber eine Authentifizierungsmöglichkeit. Denn es soll so
>> einfach wie möglich für unsere Gäste sein. D.h. es gibt kein wep, wpa
>> oder so. RADIUS funktioniert leider auch nur mit Zertifikaten. Ich
>> habe keine Möglichkeit gefunden, freeradius dazu zu bewegen NUR
>> MSCHAP2 anzubieten, was wohl auch nicht im Sinne des Protokolls ist.
>
> Ich glaube Radius waere in dem Fall auch mit Kanonen auf spatzen
> geschossen. bzw: von welchen Dimensionen reden wir denn hier?
Radius wäre in dem Fall sinnig, dass ich die Domänen Authentifizierung
dann wieder woanders einsetze und der Proxy transparent bleiben kann.
>>
>> Meine letzte Möglichkeit, die mir noch einfällt, wäre ein captive
>> portal. Da ich aber nur Debian-Pakete von Lenny nutzen möchte, kommt
>> chilispot wohl nicht in Frage, zumal ich nicht sicher bin, ob es ein
>> captive portal mit NTLM Authentifizierung gibt.
>>
>> Könnt ihr mir irgendwelche Vorschläge geben?
> jo, erledigt und abgehakt :-P
jo. Nice Try. Next! *ggg*
>>
>> Danke schon mal im Vorraus.
>>
>> Gruß,
>> Björn
>>
>>
> Auch gruss,
> auch bjoern :-D
Schon ein herrlicher Name *g*
Gruß,
Björn
--
To boldly go where no man has gone before ... I'll wait there with
touristinformation
Reply to: