Trennung eines Multi-SSID-WLAN

Ich versuche, mein Heimnetzwerk zu aktualisieren, indem ich auf Gigabit und 802.11n aktualisiere und mehrere APs hinzufüge. Ich möchte aber auch die Sicherheit aktualisieren. Derzeit habe ich WPA (1) personal mit einem Passwort, da ich einige Geräte habe, die WPA2 oder sogar AES nicht verarbeiten können. Ich möchte das Netzwerk zwischen einem WPA2-Enterprise-Segment (mit RADIUS) und einem unsicheren Segment aufteilen, das ratenbeschränkt und eingeschränkt ist und das die Generierung eines Codes durch einen "sicheren" Benutzer erfordert. Die alten Geräte werden auf die Whitelist gesetzt und in das Netzwerk verschoben, in dem sie ihre gerätespezifischen Anforderungen stellen dürfen (so dass MAC-Spoofing nicht funktioniert).

Ich mache mir keine Sorgen um das Zeug. Ich mache mir Sorgen, dass beide SSIDs auf demselben Gerät angezeigt werden und die Broadcast-Domänen getrennt werden. Ich weiß, dass ich dazu ein VLAN benötige, aber verwaltete Switches sind ... nicht im Budget enthalten.

Hier ist die Frage: Ich möchte die beiden WLANs getrennt halten. Ich kann die APs so einrichten, dass jede SSID mit einem anderen VLAN gekennzeichnet wird. Kann ich die Broadcast-Domänen jedoch trennen, ohne dass Switches explizit VLANs verarbeiten? Wenn nicht, was würde passieren - würde das Netzwerk so funktionieren, als ob beide SSIDs mit demselben Segment verbunden wären, oder würde es überhaupt nicht funktionieren? Wenn dies nicht funktioniert, gibt es eine Möglichkeit, einen der SSID-Datenströme an meinen Linux-Server / -Router zu "tunneln", um den gleichen Effekt zu erzielen?

Mehr Informationen -

Ich habe die APs noch nicht gekauft, aber ich hatte vor, einen zu kaufen, der DD-WRT oder OpenWrt oder ähnliches (Linux-basiert) ausführen kann. Sie würden über nicht verwaltete Gigabit-Switches verbunden sein. Leider habe ich keine Hausanschlüsse zu einem Kabelschrank (was dies einfach machen würde!), da dies eine "Nachrüst" -Installation in einem alten Haus war. Mein Server kann mit VLANs umgehen, und die Switches sollten getaggte Pakete weiterleiten, aber keine Diskriminierung aufgrund ihres Inhalts vornehmen (richtig?)

networking wireless-networking vlan

— Robert
quelle

Mehr Info. Was ist der AP (läuft auf ihm Linux?)? Wie ist es mit Ihrem Linux Server / Router verbunden? Verfügt Ihr Linux-Server / Router über eine Netzwerkkarte, die VLANs verarbeiten kann?

— BatchyX

Ist es nicht möglich, Ihre Broadcast-Domains einfach in separate Subnetze zu stellen? Ist 192.168.1.0/24 Ihr "interner" Datenverkehr und 192.168.2.0/24 der "ungesicherte" Teil? Dann erlauben Sie Ihrem Server, zwischen den beiden zu routen, wie Sie es für richtig halten? Dies setzt voraus, dass Ihre APs mehrere SSIDs zulassen (von denen ich annehme, dass sie dies tun).

— Lee Harrison

@LeeHarrison Danke, das ist eine großartige Idee und würde auf jeden Fall mit meiner Ausrüstung funktionieren. Gut, dass ich kein professioneller Netzwerkadministrator bin, weil mir das nicht in den Sinn gekommen ist! Gibt es jedoch eine Möglichkeit zu verhindern, dass ein Benutzer aus diesem Subnetz "herauskommt"? Könnte sich ein Benutzer nicht einfach eine 192.168.1.0/24-Adresse geben und sich im "geschützten" Subnetz befinden, oder könnte der AP dies verhindern?

— Robert

Ich bin nicht ganz sicher, ich habe noch nie ein solches Setup ausprobiert. Ich würde denken, dass wenn der Benutzer mit dem "ungesicherten" Netzwerk verbunden wäre und seine IP ändern würde, der Datenverkehr nicht weitergeleitet würde, da das Standard-Gateway nicht korrekt wäre (da es nicht von DHCP bezogen wurde). Möglicherweise reicht es also aus, eine zufällige IP-Adresse für Ihr AP-Gateway zu wählen, um die meisten Benutzer davon abzuhalten, sie zu erraten. Wenn sie sich korrekt am AP anmelden, füllt DHCP das Gateway für sie aus. Dies ist eine äußerst unsichere Methode, aber wenn es für den Heimgebrauch (und billig!) Ist, ist es wahrscheinlich ausreichend.

— Lee Harrison

Antworten:

Es gibt einige Router, die das tun, was Sie wollen.

Sie können VLANs und mehrere SSIDs erstellen. AFAIK, der Billion 7800N- Router, den ich verwende, kann das recht gut.

Möglicherweise können Sie dies mit einem der besseren WLAN-Repeater / Extender von Edimax tun. Der von mir verwendete EW-7416APN Edimax-Repeater kann dies auf jeden Fall, obwohl er nur jede SSID einer VLAN-ID zuordnen kann, das VLAN selbst nicht erstellen / konfigurieren kann und nur einen einzigen Ethernet-Port hat.

— Julian Knight
quelle

Am besten richten Sie dazu ein VPN (OpenVPN oder PPTP sollten funktionieren) und eine Brücke zwischen dem virtuellen AP und dem Router ein. Dadurch wird der "ungesicherte" Datenverkehr isoliert und auf einer neuen Schnittstelle auf dem Router / Server angezeigt, wo ich ihn nach Belieben weiterleiten und die Firewall-Regeln entsprechend festlegen kann.

Es scheint, als würde ein VLAN ohne einen verwalteten Switch nicht funktionieren. Meine Switches sind insofern "VLAN-fähig", als sie gekennzeichnete Frames unverändert weitergeben, aber selbst keine Kennzeichnung oder Partitionierung vornehmen. Soweit ich weiß, ist dies erforderlich, damit die beiden LANs auf einer physischen Verbindung ordnungsgemäß voneinander getrennt werden können.

Dies ist das Tutorial, das ich verwende: http://www.dd-wrt.com/wiki/index.php/OpenVPN_on_Dedicated_Wireless_Access_Point_%28VAP%29

Ich teste dies jetzt mit meinem einen vorhandenen AP. Wenn es funktioniert, kaufe ich neue und versuche es mit einem Multi-AP-Setup. Ich bin nicht zu 100% sicher, wie das VPN von mehreren APs aus funktioniert, aber ich denke, dass sie alle auf dem Server unter dem gleichen iface ausgeführt werden. Im schlimmsten Fall kann ich nur die virtuellen Schnittstellen auf dem Server überbrücken. Auf diese Weise kann ich RADIUS über die MAC-Adresse auf der "ungesicherten" Benutzeroberfläche ausführen und ein Skript für eine kleine Webanwendung erstellen, mit der ein Secure-Net-Benutzer einen Gast vorübergehend "authentifizieren" kann. Es wird sehr glatt.

— Robert
quelle