Hallo,
Daniel Lord
wrote on 18.07.2006 20:57:56:
Hi,
On Mon, 17 Jul 2006, age@ifak-system.com wrote:
ok, ich fang mal ganz von vorne an. Ich habe hier einen WLAN-AP stehen der über eine extra Netzwerkkarte am Router angeschlossen ist.
gut.
Ich kann den Netzwerkverkehr also gut über die Firewall kontrollieren.
nein.
relativ meinte ich, ich kann zumindestens den Verkehr komplett verbieten und nur bestimmte Ports freischalten.
Mitarbeiter sollen nun über das WLAN auch auf interne Rechner zugreifen können.
Also
habe ich OpenVPN installiert. Funktioniert auch wunderbar.
gut. (nur mit VPN o.Ä. kannst du den Netzwerkverkehr über deine Firewall kontrollieren)
was hat vpn mit dem kontrollieren des Netzwerkverkehrs über die Firewall zu tun? Das "einzigste" was VPN macht ist doch Verschlüsselung und Authorisation der User. Bestimmte Ports zulassen kann ich auch ohne VPN und (mal ganz wei ausgeholt) wirklich kontrollieren kann ich Ihn nur über squid. Oder? Ok, mit VPN weiß ich das der Netzwerkverkehr auch von einem vertrauenswürden Client kommt.
Besucher sollen aber auch die Möglichkeit bekommen, über das WLAN (und nur darüber) ins Internet zu kommen.
onetime Passwörter verwenden. => kleines shellscript das gegen trigger von aussen von einer dedizierten IP (Ethernet/besser Konsole) ein passwort ausspuckt und dieses freischält (passwd wrapper) z.B. in der art:
PS="`mimencode /dev/urandom | dd bs=1 count=8`"
damit ist dein PW erzeugt.
Usernamen z.B. guest-stunde-minute-sekunde damit dein squid auth modul füttern (muss nicht dein regulärer auth modul sein)
täglich 24:00 läuft ein cronjob, der mit einem zweiten script alle user guest* löscht. Oder bei verwendung eines zweiten auth moduls einfach die passwortdatei leert.
interessante Idee, mal sehen was ich daraus basteln kann.....
Da ich das Internet über die Firewall nicht einfach freischalten wollte und über Squid dann auch noch kontrollieren kann, das der Besucher nicht alles kann, dachte ich an Squid mit Authorisation. Aber für den Fall das jemand auf dem Netzwerk mithört, kann er ja sehr einfach Benutzernamen und Passwort mitlesen (habs selbst probiert).
klar. Das verhinderst du wie schon gesagt nur über verschlüsselte netze oder eine anderweitige "eigenbau anmeldung". Was allerdings meisst daran scheitert, dass $USER keine lust hat sich zuerst per ssh anzumelden, dann strg+alt+recht zu drücken, danach zweimal in den sessel zu pupen und sich dann im internet einzuloggen..
deswegen hatte ich ja an squid gedacht um vpn usw zu vermeiden. Wenn es möglich wäre die Verbindung zum Squid zu verschlüsseln, wäre ja auch alles kein Problem.
Bei VPN bzw ssh sehe ich die Schwierigkeit, auf dem Router den Netzwerkverkehr so zu kontrollieren das der Besucher nicht in das interne Netzwerk kann.
zweites VPN interface anlegen und gäste dagegen authentifizieren. routing/nat entsprechend anpassen. Hm, ich glaub ich ziehe Squid mit Einmal-Passwörtern vor (auch den Besuchern zu liebe)
Mit freundlichen Grüßen Andreas Gegner -- Um die Liste abzubestellen, schicken Sie eine Mail an: suse-linux-unsubscribe@suse.com Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: suse-linux-help@suse.com