Připojení pro členy czelanetu z jakéhokoli AP

[vaclavd]

Chci udělat aby se v celém czelantu mohli členové napojit na jakoukoli Wifi.
- Využiju k tomu user managera, což je Radius server, který se dodává s Mikrotikem.
- Na koncových routerech se nebude nic měnit, jen tam přidám možnost použít Radius.
- Na jednom serveru si udělám user manager a načtu do něho všechny MAC z databáze Macguarda
- Přes tento server a tyto MAC se budou ověřovat access listy na Wifi a lidi do Hotspotu, pokud tato informace není již jako dosud statická na routeru
- možná, že udělám virtuální AP pro putovní klienty, MAC se budou ověřovat jen přes Radius, k diskuzi
- IP adresy pro putovní klienty můžu buď NATovat, nebo tam vyhradím nějakou síť pro virtuální AP, k diskuzi
- na user managera potřebuju Mikrotik level 6 (Routerboard RB1000), protože ten má má unlimited počet lidi pro user manager, zatím bych to mohl dát k Samsonovi, pokud bude souhlasit
- konfigurace jsem otestoval, user managera, virtuální AP, Hotspot
- k diskuzi jak přiřazovat IP adresy, zda virtuální AP nebo ne atd.
- nasadím to zatím v Jiřině, kde to bude fungovat všude, kde je Mikrotik, tj. od kolejí až k Sedlčánkám mimo Požárů a Mikaela (tam je czela debian), po diskuzi
- podmínkou nasazení je Mikrotik na koncových routerech a autentizace přes Hotspot na Mikrotiku
/---
wifi ssid jirina.czela.net pro statické členy, ověření lokální
| jirinavirt.czela.net pro ostatní, ověření Radius (user manager)
| MAC access listy pro Wifi ověření přes user managera
----------|
|Koncovy |Hotspot : statický uživatel 00:11:22:33:44:55 + Radius (Mikrotik user manager)
|router |
|---------|
|
| net
|
|---------|
|User |uživatel v user manageru 00:12:34:56:78:90
|manager |slouží 1. autentikují se MAC jako access listy pro Wifi
|Radius | 2. autentikace MAC pro Hotspot
|---------|
Mikrotik level 6 RB1000
\---

příspěvek upravil vaclavd: 04.11.2008 23:18:38

[honyo]

Hezky!

Nechces ten radius rovnou pouzit pro overovani standartnich clenu?

[vojtech.lorenc]

Super!
De to pouzit i na routry s debianem?

[vaclavd]

honyo napsal(a):
Hezky!

Nechces ten radius rovnou pouzit pro overovani standartnich clenu?

To není problém, daly by se i třeba přiřazovat IP adresy pro DHCP. Výhoda systému, který máme teď je že informace o povolených MAC a přiřazení do DHCP se kopíruje na router, takže nepotřebuje spojení, navíc je to už implementováno. Udělat to jako nadstavbu systému, který máme teď je jednoduché, zaškrtnu povolit Radius, pokud je informace lokální, vezme se lokálně, jinak se jede přes Radius. Já přidám všude navíc ještě virtuální AP, aby bylo jednotné SSID na všech AP se stejným WPA klíčem na steném kanálu, jako stávající AP, takže u mně budu mít SSID vaclavd.czela.net a hotspot.czela.net (nebo něco jiného, co si zvolíme), hotspot.czela.net bude i ja ostatních AP.
Abych nemusel do Radius serveru kopírovat všechny MAC, nakopíruju tam asi jen ty, které si do komentáře v Netadminu zadají nějaké klíčové slovo, např. #HOTSPOT#, nebo se to může dát pak do databáze, jako další položka přenosné zařízení ano/ne.


příspěvek upravil vaclavd: 05.11.2008 08:53:27

[vaclavd]

KaEl napsal(a):
Super!
De to pouzit i na routry s debianem?

Bohužel ne, funguje to jen na Mikrotiku. Buď by se musel router vyměnit za Routerbord, který má Mikrotik v sobě, nebo by se na PC musel dát Mikrotik, jak to má třeba Jiřina nebo Bílý vrch.

[naj.satah]

vaclavd napsal(a):

KaEl napsal(a):
Super!
De to pouzit i na routry s debianem?

Bohužel ne, funguje to jen na Mikrotiku. Buď by se musel router vyměnit za Routerbord, který má Mikrotik v sobě, nebo by se na PC musel dát Mikrotik, jak to má třeba Jiřina nebo Bílý vrch.

A v tu chvili jsem ja proti. Jsou tu starsi AP ktere naprosto bezproblemu funguji a ty je chces predelat? Pozary tu funguji uz X let a bezi stabilne na debianu, vysilaci karty jsou XI-626 a uptime routeru je pul roku. S tebou se pak neco stane a jediny kdo to ted umi vyvinout jsi TY a jen TY.

Nevim jestli je teda Bily Vrch dobry priklad. Liska neumi do hloubky spravovat ani linux ani mikrotik ale ma tam klikaci mikrotik protoze je to vic pro neznale a jakmile ma problem tak stejne vola tobe.

Zastavam nazor ze admin si musi umet sve node kompletne spravovat a to jak po HW strance pak po SW. Dokovad neudelas skoleni tak jsem a budu proti mikrotiku.

[vaclavd]

Naj Satah napsal(a):

vaclavd napsal(a):

KaEl napsal(a):
Super!
De to pouzit i na routry s debianem?

Bohužel ne, funguje to jen na Mikrotiku. Buď by se musel router vyměnit za Routerbord, který má Mikrotik v sobě, nebo by se na PC musel dát Mikrotik, jak to má třeba Jiřina nebo Bílý vrch.

A v tu chvili jsem ja proti. Jsou tu starsi AP ktere naprosto bezproblemu funguji a ty je chces predelat? Pozary tu funguji uz X let a bezi stabilne na debianu, vysilaci karty jsou XI-626 a uptime routeru je pul roku. S tebou se pak neco stane a jediny kdo to ted umi vyvinout jsi TY a jen TY.

Nevim jestli je teda Bily Vrch dobry priklad. Liska neumi do hloubky spravovat ani linux ani mikrotik ale ma tam klikaci mikrotik protoze je to vic pro neznale a jakmile ma problem tak stejne vola tobe.

Zastavam nazor ze admin si musi umet sve node kompletne spravovat a to jak po HW strance pak po SW. Dokovad neudelas skoleni tak jsem a budu proti mikrotiku.

Mě lidi nevolají, protože jim to funguje bez vážnějších problémů, pokud mi volají, tak to jsou obvykle obecné problémy, jak mají něco nastavit v netadminu nebo proč jim to nefunguje(když nemají zaplaceno), jak se vlastně mají připojit k Mikrotiku, protože už zapomněli heslo a pod. Pokud si chceš hrát se **SVÝM** routerem hraj si, ale já s mými adminy máme našich asi **15** **CZELANETÍCH** routerů pro routování a ne na hraní. Já nic nevyvíjím, používám standardní funkce a technologie které jsou součástí Mikrotiku. Kdo bude mít Mikrotik, ten může mít Wifi přístup pro všechny členy czelanetu. Ty si měj **SVUJ** czela debian. U Lísky to bude funguvat tak, jak to fungovalo doteď, nebude o tom ani vědět. http://www.czela.net/forum/showthread.php?threadid=2418&page=7

[honyo]

Naj Satah napsal(a):

A v tu chvili jsem ja proti. Jsou tu starsi AP ktere naprosto bezproblemu funguji a ty je chces predelat? Pozary tu funguji uz X let a bezi stabilne na debianu, vysilaci karty jsou XI-626 a uptime routeru je pul roku. S tebou se pak neco stane a jediny kdo to ted umi vyvinout jsi TY a jen TY.

Nevim jestli je teda Bily Vrch dobry priklad. Liska neumi do hloubky spravovat ani linux ani mikrotik ale ma tam klikaci mikrotik protoze je to vic pro neznale a jakmile ma problem tak stejne vola tobe.

Zastavam nazor ze admin si musi umet sve node kompletne spravovat a to jak po HW strance pak po SW. Dokovad neudelas skoleni tak jsem a budu proti mikrotiku.

Karty XI626 po x letech odchazi. priklad nadrazi a ted nehwest. Takze stejne prejdes na mikrotik i kdyby jen jako vysilaci AP a pak to budes routovat debianem.

[vojtech.lorenc]

todle vlakno je o "Připojení pro členy czelanetu z jakéhokoli AP"
ne o tom jaka platforma je lepsi.
Hele a existuje nejakej program kterej by se dal nasadit na debiana. Bylo by to fajn sednout do hospy ci parku a zaserfovat si : )

[vaclavd]

KaEl napsal(a):
todle vlakno je o "Připojení pro členy czelanetu z jakéhokoli AP"
ne o tom jaka platforma je lepsi.
Hele a existuje nejakej program kterej by se dal nasadit na debiana. Bylo by to fajn sednout do hospy ci parku a zaserfovat si : )

To by se musel kompletně předělat Macguard, který je naimplementován na czela debianu a spolehlivě funguje. Není žádná sranda něco dostat do spolehlivého provozu, i já občas najdu nějakou chybu v mých skriptech pro Mikrotik, i když teď už to bylo asi rok bez chyb a ani jsem na to nesáhl. Uvidíme, jak to bude fungovat v Jiřině, spíše bych potřeboval aby se k tomu kompetentní lidi vyjádřili, aby to co dělám nebylo v rozporu třeba s Chmelovými kontolami IP adres.