аутентификация локальных клиентов 802.1X
-
Внутри ОДНОЙ сети (локально) еще и опенвпн?! Да небось с сертификатами на каждого? Не ищем легких путей? Как говорит один мой знакомый:" Презерватив,изолента,презерватив,изолента - никакого секса! ;D"
Тогда почему бы этих отдельных вообще во VLAN не позапихивать? Если есть оборудование, конечно. -
вы задачу читали?
вытянуть сертификат, при его защите (хоть и не большой) - более сложно чем предложенный вами ррое рртр пароль…- не надо что бы юзер что то вводил.
-
вы задачу читали?
вытянуть сертификат, при его защите (хоть и не большой) - более сложно чем предложенный вами ррое рртр пароль…- не надо что бы юзер что то вводил.
1. Читал. У вас там что ВСЕ юзеры как минимум CCNA ? Все знают КАК и ЧЕМ снифать трафик ? А главное снифать-то надо на ШЛЮЗЕ, чтобы вытащить пароль. Или у вас до сих пор ХАБЫ стоят.
2. Если уже решили как и чем это сделать и люди предложили уже все возможные варианты, то чего ждете ?
-
напомню - надо что бы юзер ничего дополнительно не вводил, следовательно рртр или ррое пас должен быть сохранен локально, для данного юзера. - софта его показывающего данный пас - более чем.
при старте топика я написал - оптимальное решение в сторону 802.1X и радиуса…
опенвпн (как сервис) заюзаю если не получится оптимальный вариант. -
Просмотрел 802.1x - работает пониже уровня IP, в принципе должен/может использоваться свичом для конкретного порта. Как в эту картину pfSense думаешь вписать? все правила работают на уровне IP.
-
hostapd- вот такая зраза есть под линух, что то еще встречал + модуль для iptables - под фрю ничего толкового пока не нахожу…потому и топик поднял...
-
hostapd- вот такая зраза есть под линух, что то еще встречал + модуль для iptables - под фрю ничего толкового пока не нахожу…потому и топик поднял...
Кто сказал что под Фрю hostapd нет (или это "однофамилец" ??? ?) ? Как минимум :
1. http://habrahabr.ru/blogs/bsdelniki/72158/#habracut
2. http://forum.lissyara.su/viewtopic.php?f=4&t=11707
3. http://brainstorm.name/archives/33
4. Google -
нет, мак легко подделать, у меня на ноуте - даже инду ребутить не надо…
какое оборудование используется в конторе, имеется ввиду сетевая активка?
-
нет, мак легко подделать, у меня на ноуте - даже инду ребутить не надо…
какое оборудование используется в конторе, имеется ввиду сетевая активка?
вопрос в том -что оборудование тут врядли поможет.
это распределенная вайфай сеть, по нвшим филиалам, которой пользуются гости, в т.ч. и продвинутые ИТшники (кстати, всех с прошедшим :) ), которым подделать мак- не проблема, сеть - огромная, более 200 вайфай точек…
ставить на них всех умную активку, с данным протоколом- дорого... заставлять некоторых руководителей вводить логин\пас - тоже не очень удобно...а привязать их ип к маку- бесполезно.. причина выше... -
если гости да еще и вайфай, то портлокинг отпадает, который я хотел придложить
нужно какие-то умные вайфайки, либо разграничение по вланам с урезанием прав или что-то в этом духе
-
так я и об єтом думаю :), пока проще и умнее чем сервис опенвпн - ничего не придумал :)
