Netgate Discussion Forum
    • Categories
    • Recent
    • Tags
    • Popular
    • Users
    • Search
    • Register
    • Login

    аутентификация локальных клиентов 802.1X

    Scheduled Pinned Locked Moved Russian
    18 Posts 5 Posters 6.2k Views
    Loading More Posts
    • Oldest to Newest
    • Newest to Oldest
    • Most Votes
    Reply
    • Reply as topic
    Log in to reply
    This topic has been deleted. Only users with topic management privileges can see it.
    • A
      alexandrnew
      last edited by

      он не поможет когда нужен нат…
      да и не хотелось бы что бы юзер лишний логин\пасс вводил

      1 Reply Last reply Reply Quote 0
      • werterW
        werter
        last edited by

        Тогда только pptp, pppoe . Больше никак.

        1 Reply Last reply Reply Quote 0
        • A
          alexandrnew
          last edited by

          @werter:

          Тогда только pptp, pppoe . Больше никак.

          я бы так не был уверен :)
          тем более pptp, pppoe -не лучший вариант… уж на такой случай я бы делал таки опенвпн

          1 Reply Last reply Reply Quote 0
          • werterW
            werter
            last edited by

            Внутри ОДНОЙ сети (локально) еще и опенвпн?! Да небось с сертификатами на каждого? Не ищем легких путей? Как говорит один мой знакомый:" Презерватив,изолента,презерватив,изолента - никакого секса!  ;D"
            Тогда почему бы этих отдельных вообще во VLAN не позапихивать? Если есть оборудование, конечно.

            1 Reply Last reply Reply Quote 0
            • A
              alexandrnew
              last edited by

              вы задачу читали?
              вытянуть сертификат, при его защите (хоть и не большой) - более сложно чем предложенный вами ррое рртр пароль…

              • не надо что бы юзер что то вводил.
              1 Reply Last reply Reply Quote 0
              • werterW
                werter
                last edited by

                @alexandrnew:

                вы задачу читали?
                вытянуть сертификат, при его защите (хоть и не большой) - более сложно чем предложенный вами ррое рртр пароль…

                • не надо что бы юзер что то вводил.

                1. Читал. У вас там что ВСЕ юзеры как минимум CCNA ? Все знают КАК и ЧЕМ снифать трафик ? А главное снифать-то надо на ШЛЮЗЕ, чтобы вытащить пароль. Или у вас до сих пор ХАБЫ стоят.

                2. Если уже решили как и чем это сделать и люди предложили уже все возможные варианты, то чего ждете ?

                1 Reply Last reply Reply Quote 0
                • A
                  alexandrnew
                  last edited by

                  напомню - надо что бы юзер ничего дополнительно не вводил, следовательно рртр или ррое пас должен быть сохранен локально, для данного юзера.  - софта его показывающего данный пас - более чем.

                  при старте топика я написал - оптимальное решение в сторону 802.1X  и радиуса…
                  опенвпн (как сервис) заюзаю если не получится оптимальный вариант.

                  1 Reply Last reply Reply Quote 0
                  • E
                    Eugene
                    last edited by

                    Просмотрел 802.1x - работает пониже уровня IP, в принципе должен/может использоваться свичом для конкретного порта. Как в эту картину pfSense думаешь вписать? все правила работают на уровне IP.

                    http://ru.doc.pfsense.org

                    1 Reply Last reply Reply Quote 0
                    • A
                      alexandrnew
                      last edited by

                      hostapd- вот такая зраза есть под линух, что то еще встречал + модуль для iptables - под фрю ничего толкового пока не нахожу…потому и топик поднял...

                      1 Reply Last reply Reply Quote 0
                      • werterW
                        werter
                        last edited by

                        @alexandrnew:

                        hostapd- вот такая зраза есть под линух, что то еще встречал + модуль для iptables - под фрю ничего толкового пока не нахожу…потому и топик поднял...

                        Кто сказал что под Фрю hostapd нет (или это "однофамилец"  ??? ?) ? Как минимум :

                        1. http://habrahabr.ru/blogs/bsdelniki/72158/#habracut
                        2. http://forum.lissyara.su/viewtopic.php?f=4&t=11707
                        3. http://brainstorm.name/archives/33
                        4. Google

                        1 Reply Last reply Reply Quote 0
                        • Z
                          zar0ku1
                          last edited by

                          @alexandrnew:

                          нет, мак легко подделать, у меня на ноуте - даже инду ребутить не надо…

                          какое оборудование используется в конторе, имеется ввиду сетевая активка?

                          закрывайте темы, если ответ на ваш вопрос полон.
                          если схема сложная - не поленитесь ее нарисовать

                          1 Reply Last reply Reply Quote 0
                          • A
                            alexandrnew
                            last edited by

                            @zar0ku1:

                            @alexandrnew:

                            нет, мак легко подделать, у меня на ноуте - даже инду ребутить не надо…

                            какое оборудование используется в конторе, имеется ввиду сетевая активка?

                            вопрос в том -что оборудование тут врядли поможет.
                            это распределенная вайфай сеть, по нвшим филиалам, которой пользуются гости, в т.ч. и продвинутые ИТшники (кстати, всех с прошедшим :) ), которым подделать мак- не проблема, сеть - огромная, более 200 вайфай точек…
                            ставить на них всех умную активку, с данным протоколом- дорого... заставлять некоторых руководителей вводить логин\пас - тоже не очень удобно...а привязать их ип к маку- бесполезно.. причина выше...

                            1 Reply Last reply Reply Quote 0
                            • Z
                              zar0ku1
                              last edited by

                              если гости да еще и вайфай, то портлокинг отпадает, который я хотел придложить

                              нужно какие-то умные вайфайки, либо разграничение по вланам с урезанием прав или что-то в этом духе

                              закрывайте темы, если ответ на ваш вопрос полон.
                              если схема сложная - не поленитесь ее нарисовать

                              1 Reply Last reply Reply Quote 0
                              • A
                                alexandrnew
                                last edited by

                                так я и об єтом думаю :), пока проще и умнее чем сервис опенвпн - ничего не придумал :)

                                1 Reply Last reply Reply Quote 0
                                • First post
                                  Last post
                                Copyright 2025 Rubicon Communications LLC (Netgate). All rights reserved.