Wifi autentizace

[Dan Lukes]

On 10/31/12 07:58, Miroslav Prýmek:
> stojim pred problemem pokryti stredni instituce Wifi signalem.

Oni se snad vsichni vsude docista zblaznili. A najednou ...

> hlavni je spis jednoduchost pouziti, bezproblemovost konfigurace na ruznych OS
>   * melo by byt na slusne urovni zajisteno, aby sit nebyla uzita
> neopravnenymi uzivateli

Tyto dva pozadavky jsou proti sobe. Protoze prvni problem s neprilis 
zdatnymi uzivateli je v prihlasovacich udajich. Kratky a jednoduchy 
heslo ti zanedlouho nekdo prolomi, dlouhy a slozity zase budou mit 
problemy zadavat. A to na nekterejch konfiguracich ho musi zadavat 
pokazde, protoze pri nekterych konfiguracich se neuklada.

Ale tohle s FreeBSD nesouvisi.

> trochu obavu z kombinace W98+WPA+WDS+Radius. Co jsem se tak dival,

A ony uz mely W98 vestaveneho autentizacniho klienta pro WiFi ? Ja mel 
dojem, ze na tech to resil vyrobce kazde bezdratove sitove karty 
samostatne. Takze pokud nevis co za karty na tech W98 budou mit, 
nedokazes o tom rict nic. Ale problematika W98 sem az tak nepatri.

> Druha moznost, ktera by v dane situaci byla asi pro uzivatele daleko
> prijemnejsi, by bylo klasicke reseni pres webovou autentizaci - pri

O slusne fungujicim hotovem nastroji nevim, vim o nekom, co si potrebne 
skripty udelal sam. Ono o zas az tak slozite neni. Nejslozitejsi je 
vymyslet kdy ho vlastne chces odhlasit.

> Bylo by fajn, kdyby se dal delat aspon zakladni shaping, aby wifi klienti neomezovali kritictejsi provoz. To by predpokladam melo jit hladce bez vetsich
> problemu (firewall PF).
> Je to tak?

Pokud si omezeni nastavis na "obou stranach" tak ano. Klienti ale 
malokdy zahlcuji sit pakety, ktere odesilaji (i kdy zi to se muze stat). 
Spis si objednaji velka data "z venku" a sit ti zahlcuji ta. Omezovat to 
pochopitelne musis driv, nez ti to tvoji siti projde. Nema smysl nechat 
nejdriv data projit siti a teprve na konci je zahodit.

A to samozrejme plati i pro linku, kterou to mas cele pripojene nekam. 
Spatne reseni nechat tou linkou protekat video do uzivatelova torrentu, 
v podstate to ucpat, ale na tvem konci ty pakety, kterym se podari 
projit zahazovat shapingem ...

> Taky predpokladam, ze rozhazovani VLANs nebude mit meritelny vliv na
> rychlost/latenci neotagovaneho provozu.

Pravdepodobne.

> Nerad bych se rozhodl pro nejake reseni, ktere by se az v provozu
> ukazalo jako neprakticke

Tak pokud se ti to povede a vyse recene bude platit jeste za dva roky, 
jsme ochoten to klasifikovat jako regulerni zazrak. To budou klienti s 
horsi antenou, kteri v nekterych mistech kde by si to prali nebudou mit 
signal. Takze by bylo treba AP zesilit. Jina zarizeni, s lepsi antenou 
ale spatnou implementaci ovladacu ve stejnem miste uvidi signal vic nez 
jednoho AP, budou mezi nimi poskakovat a protoze kazdy handover znamena 
vypadek, budou efektivne stale ve vypadku, bez schopnosti datoev 
komunikace (a jeste budou zatezovat auettnizacni server). Takze by bylo 
treba signal nekterych AP spise zeslabit. Krome notebooku se zahy objevi 
nekdo, nejlepe nekterej ze sefu, se smart telefonem ci nejakym super 
cool tabletem, kterej ale bude mit velice omezenou mnozinu 
autentizacnich protokolu, ktere zna.


Takovejch siti "pro par predem danejch znamejch nekritickejch klientu" 
uz jsem videl (presneji receno, jak znacne se pozadavky zmenily jen par 
mesicu po te, co to zacalo fungovat) ...

Ale tohle s FreeBSD taky nesouvisi ...

Tak hodne stesti ;-)

Dan