Wifi autentizace

[Miroslav Prýmek]

Ahoj,

stojim pred problemem pokryti stredni instituce Wifi signalem.

Popis prostredi:
 * nejmensi mozna konfigurace, ktera pokryje vsechny budovy
predpoklada 6 AP, z toho minimalne jedno pripojene pres WDS.
 * wifi sit pobezi fyzicky po stejnych kabelech jako vnitrni sit
instituce, oddeleni pomoci VLAN
 * HW AP: Mikrotik RB751G-2HnD
 * sit bude jen pro zname klienty, kterych zatim nebude moc (do
desiti), pozdeji bude pocet asi narustat
 * klienti jsou starsi lidi s vlastnimi laptopy - tezko predpokladat
nejaky konkretni OS, spis se asi muze stat, ze se objevi i nejaka
obstarozni W98 apod.
 * klienti nebudou schopni si nic moc sami nastavovat
 * nastesti ale bude mnozina klientu pomerne stabilni - pri nejhorsim
bych jim to mohl nastavit ja, ale byl bych rad, kdybych se tomu mohl
vyhnout
 * nejedna se teda o klasicky hotspot, spis o nahradu za kabelovou sit
pro "ne-kriticke" klienty
 * vykon a spolehlivost nejsou primarni kriteria, hlavni je spis
jednoduchost pouziti, bezproblemovost konfigurace na ruznych OS
 * melo by byt na slusne urovni zajisteno, aby sit nebyla uzita
neopravnenymi uzivateli
 * standardni sifrovani wifi provozu (nejaka varianta WPA)
 * nejaky accounting, sledovani provozu apod. vyhodou (to si kdyztak
nejak dobastlim sam, to neni kriticke)

Problemy, u kterych si zatim nejsem uplne jisty resenim:

1. Autentizace
Idealni backend by pro me z hlediska spravy byl OpenLDAP/FreeBSD.
Pouzivam firewall PF. Resim hlavne, jak v dane situaci nejlip vyresit
komunikaci s klienty.
Nabizi se pouzit bud specializovanou technologii (Radius), ale mam
trochu obavu z kombinace W98+WPA+WDS+Radius. Co jsem se tak dival,
informace
jsou ruzne - od "na Mikrotiku vubec nepodporovano" az po "ok funguje"
- nejak se v tom nemuzu zorientovat a pomohlo by mi, jestli s tim
nekdo mate
zkusenosti...
Druha moznost, ktera by v dane situaci byla asi pro uzivatele daleko
prijemnejsi, by bylo klasicke reseni pres webovou autentizaci - pri
pripojeni noveho
klienta vsechna spojeni zakazat, krome spojeni na port 80 - ta
presmerovat na autentizacni stranku. Po uspesne autentizaci klientovi
povolit normalni
komunikaci na firewallu (podle MAC nebo IP). Je na to pro FreeBSD
nejaky slusne udelany a slusne fungujici nastroj, nebo je lepsi si to
zprovoznit ve
vlastni rezii? Mate nejake zkusenosti?
Tahle moznost je ale blba v tom, ze by neslo (?) wifi provoz sifrovat.
Nebo to jde nejak zaridit? (napr. ze by si po autentizaci klient mohl
stahnou nejaky
skript pro konfiguraci WPA - neco jako automaticka konfigurace proxy
pres PAC... neexistuje nahodou neco takoveho?)

2. VLANy
Rozhozeni VLAN bude probihat na FreeBSD serveru stylem dev0 = wifi
(tag X), dev1 = vsechno ostatni (neotagovany provoz). Bylo by fajn,
kdyby se
dal delat aspon zakladni shaping, aby wifi klienti neomezovali
kritictejsi provoz. To by predpokladam melo jit hladce bez vetsich
problemu (firewall PF).
Je to tak?
Taky predpokladam, ze rozhazovani VLANs nebude mit meritelny vliv na
rychlost/latenci neotagovaneho provozu. (tj. nebude rozdil oproti
soucasne situaci, kdy se VLANy nepouzivaji a vse bezi normalne pres
zarizeni sitovky - em0).


Nerad bych se rozhodl pro nejake reseni, ktere by se az v provozu
ukazalo jako neprakticke, takze se obracim na vas s prosbou o
nasmerovani na
reseni, se kterym mate dobre zkusenosti. Ty casti dotazu, ktere jsou
OT (Mikrotik, WDS, WPA...) asi mozna radeji mimo konferu.

Diky moc za jakekoliv vase rady a zkusenosti,

mejte se hezky

Mirek