Dnia wtorek, 9 maja 2006 00:56, s@wek napisał:

> Po pierwsze zeby podlaczyc sie do AP nie musisz miec IP bo przeciez AP lub

> server za nim moze przydzielac adresy IP.

> AP moze byc przezroczyste czyli medium transmisji tak jak kabel w LAN.

> Druga sprawa to olej te MAC adresy i zrob PPPoE + FreeRadius ale LOGIN i

> HASLO. Na radiusie ustawiasz zeby tylko 1 user mogl byc zalogowany na danym

> hasle i po sprawie. A jak w piszesz na interface do userow czyli np eth1 ip

> 0.0.0.0 to juz ci chodzi tylko pppoe.

> Zamiast PAP uzyj CHAP zeby to przechwycic trzeba uzyc dekryptora i troszke

> sie pobawic oczywiscie mozesz uzyc ms-chap v2 ale mysle nie ma co

> komplikowac. Nawet jak lewy gosc przechwyci jakims cudem haslo lub pojdzie

> do goscia i wykradnie mu z kompa to i tak tylko 1 osoba bedzie korzystala z

> neta i jesli prawdziwy user sie zglosi ze nie moze sie zalogowac to

> poprostu zmienisz mu haslo.

Fakt przyznaje, ale juz sie dzis czegos nauczylem.

Mam pppoe i to z obsluga ms-chap w wersjii drugiej

/etc/ppp/pppoe-server-options

mtu 1472

mru 1472

+chap

-pap

ms-dns 194.204.159.1

ms-dns 194.204.152.34

require-mschap-v2

lcp-echo-interval 10

lcp-echo-failure 20

jak widac u gory tak mi dzial bezblednie.

Jesli zas chodzi o Free radiusa to szczerze mowiac mam male doswidczenie ale z tego co zauwazylem free radius jak haslo przyjmuje MAC adres, a mi chodzi o to zeby gosc nie wszedl mi do sieci i nie zaczal skanowac calej sieci.

Darek posunal mi doby pomysl - dolozyc karte eth2 a do niej podlaczyc AP i userzy autentykuja (jesli tak to mozna nazwac) sie po pppoe na eth2 wtdy mam odseparowanego Access Pointa od calej sieci - gosc jak sie wlamie to zobaczy tylko co najwyzej serwer ale nie bedzie mial hasla i loginu wiec nie zobaczy pozostalych kompow w sieci a tym bardziej nie bedzie mial internetu, mi bardziej jednak zelzy na userach i ich bezpieczenstwie wiec to jest chyba dobre rozwiazanie. Dokladnie nei wiem tylko jak rozwiazac adresacje w pppoe i jak ustawic routing poniewaz HTB dziele lacze ale on dziala na interfejsie eth1 czyli tam gdzie beda podlaczeni userzy po kablu a raptem ma ich osmiu.

--

Czarek