Как организовать открытый WiFi доступ
-
Даже не знаю что тут сказать. Без пересмотра топологии сети поставленных задач невозможно достигнуть. Так как в любом случае тут все открыто. У себя для открытого доступа я использую Capative Portal (пфСенс стоит между модемом и точкой доступа как выделенный роутер) с системой временных ваучеров (одноразовый код).
-
Хм, DIR-615 (не советовал бы его, уж лучше Tp-Link 941ND или DIR-620 c wive-ng внутри), перевести в режим просто AP. Адреса будет раздавать pf по DHCP. В правилах fw на pf-е для wi-fi клиентов разрешить только определенные порты (открытый доступ он такой открытый :) ) . Я бы оставил только 53 tcp\udp, 80\tcp, 43\udp и icmp, ну и для почты , если надо, хотя я бы 25-ый не открывал (вирусня часто его для рассылок спама исп-ет) - вместо него 465-ый. И еще бы ограничил кол-во сессий с одного IP. Закрыть внутреннюю сетку от этих товарищей правилами fw плюс ограничить скорость Limiter-ом .
Или, проще, сменить dir-615 на роутер с шейпером и фаером. И не заморачиваться. Тот же TP-LINK 941ND подойдет.
-
Даже не знаю что тут сказать. Без пересмотра топологии сети поставленных задач невозможно достигнуть. Так как в любом случае тут все открыто. У себя для открытого доступа я использую Capative Portal (пфСенс стоит между модемом и точкой доступа как выделенный роутер) с системой временных ваучеров (одноразовый код).
Ну, я в принципе примерно похожую схему пытаюсь делать. Разница только в том, что Dir-615 будет соединяться с pf через vpn-клиента, таким образом эмулируя как бы отдельную сеть. Для этого собственно VPN и задумывается. Т.е. вайфаевские пакеты с dir615 будут поступать по vpn только в pf и никуда больше, хотя физически одна ethernet сеть.
Вопрос, как конкретно настраивать это в pf. Т.е. сколько делать интерфесов?
Один WAN или несколько (каких?)? И как тогда внутри определять VPN сеть со своим DHCP, чтобы к ней подключался dir-615? -
Идеальным вариантом было бы организовать VLANы но для этого необходимо соответствующие активное оборудование.
Интерфейса достаточно одного, МПД для ВПНа поднимает отдельный интерфейс. -
Даже не знаю что тут сказать. Без пересмотра топологии сети поставленных задач невозможно достигнуть. Так как в любом случае тут все открыто. У себя для открытого доступа я использую Capative Portal (пфСенс стоит между модемом и точкой доступа как выделенный роутер) с системой временных ваучеров (одноразовый код).
Ну, я в принципе примерно похожую схему пытаюсь делать. Разница только в том, что Dir-615 будет соединяться с pf через vpn-клиента, таким образом эмулируя как бы отдельную сеть. Для этого собственно VPN и задумывается. Т.е. вайфаевские пакеты с dir615 будут поступать по vpn только в pf и никуда больше, хотя физически одна ethernet сеть.
Вопрос, как конкретно настраивать это в pf. Т.е. сколько делать интерфесов?
Один WAN или несколько (каких?)? И как тогда внутри определять VPN сеть со своим DHCP, чтобы к ней подключался dir-615?ADSL-модем в каком режиме - мост или сам сессию поднимает? У вас же все уст-ва в ОДНОЙ подсети с ОДНИМ подключением к интернету. Тогда на кой ляд городить впн-канал для дир-615? Зачем это надо? Самую простую схему для ви-фи клиентов я описал в пред. своём сообщение.
Вообщем, опишите все ньюансы - помогут. -
Даже не знаю что тут сказать. Без пересмотра топологии сети поставленных задач невозможно достигнуть. Так как в любом случае тут все открыто. У себя для открытого доступа я использую Capative Portal (пфСенс стоит между модемом и точкой доступа как выделенный роутер) с системой временных ваучеров (одноразовый код).
Ну, я в принципе примерно похожую схему пытаюсь делать. Разница только в том, что Dir-615 будет соединяться с pf через vpn-клиента, таким образом эмулируя как бы отдельную сеть. Для этого собственно VPN и задумывается. Т.е. вайфаевские пакеты с dir615 будут поступать по vpn только в pf и никуда больше, хотя физически одна ethernet сеть.
Вопрос, как конкретно настраивать это в pf. Т.е. сколько делать интерфесов?
Один WAN или несколько (каких?)? И как тогда внутри определять VPN сеть со своим DHCP, чтобы к ней подключался dir-615?ADSL-модем в каком режиме - мост или сам сессию поднимает? У вас же все уст-ва в ОДНОЙ подсети с ОДНИМ подключением к интернету. Тогда на кой ляд городить впн-канал для дир-615? Зачем это надо? Самую простую схему для ви-фи клиентов я описал в пред. своём сообщение.
Вообщем, опишите все ньюансы - помогут.Сессию с провайдером? Да, после включения сам коннкетиться и все устанавливает. Сам переконнекчивается, если надо. PPPoE протокол. На нам же сконфигурирован DHCP на локалку 192.168.1.0/24.
Да, еще забыл добавить. DIR-615 версии C2, т.е. на него можно устаналвивать кастомерские прошивки, если такая необходимость будет. Я пока не пробовал.
VPN для того, чтобы гарантированно изолировать локалку от внешнего трафика. Можно, конечно, просто поставить PF как дефолтовый гейтвэй на DIR615. Но меня несколько настораживает хождение внешних пакетов в локалке.
Т.е. схема такая: в DIR615 я настраиваю VPN клинта, так чтобы он сразу сессию устанавливал VPN линк с PF и работал только через него (т.е. обозначаю PPTP как способ подключения к интернет).
Далее, DHCP будет использоваться от PF, не с DIR 615.
Далее, PF будет фильтровать что нужно и роутить трафик на DSL модем. Причем, важно, он будет отфильтровывать трафик на 192.168.1.0/24 (кроме гейтвэя), гарантируя тем самым недоступность локальных ресурсов.
Вопрос: как это конфигурировать в PF? Пожалуйста, если можно, поподробнее. А то теорию поверхностно то я понимаю, а вот в конкретной имплементации не уверен.
Спасибо. -
Я бы вначале проверил работает ли схема без пф.
Т.е. у DIR просто получить wan по DHCP и попробовать подключить беспроводных клиентов.
Т.е мы получаем один NAT через другой. К сожалению, это не на всем оборудовании работает.
В том, что пакеты будут ходить по локалке, нет ничего страшного.
Потом на DIR ставим DD-WRT и получаем captiv portal. Лучше даже вначале поставить DD-WRT, а потом проверить.
Стоит еще иметь в виду, что на устройствах только около 4000 сессий, которые убьют 15 человек с торентами. -
Я бы вначале проверил работает ли схема без пф.
Т.е. у DIR просто получить wan по DHCP и попробовать подключить беспроводных клиентов.
Т.е мы получаем один NAT через другой. К сожалению, это не на всем оборудовании работает.
В том, что пакеты будут ходить по локалке, нет ничего страшного.
Потом на DIR ставим DD-WRT и получаем captiv portal. Лучше даже вначале поставить DD-WRT, а потом проверить.
Стоит еще иметь в виду, что на устройствах только около 4000 сессий, которые убьют 15 человек с торентами.Так идея в том, чтобы NAT на Dir-615 не задейстовать, а адреса для WiFi подключений раздавались бы от DHCP, который на PF.
-
Тогда придется Nat делать на пф, или настраивать для клиентов через vpn шлюз в удаленной сети (адрес модема).
К беспроводным длинкам я бы тоже относился с большим подозрением, уж больно они капризные (мне только DAP серия понравилась).
Сложность системы в итоге получается сильно большой. Не будет она стабильно работать. -
Тогда придется Nat делать на пф, или настраивать для клиентов через vpn шлюз в удаленной сети (адрес модема).
К беспроводным длинкам я бы тоже относился с большим подозрением, уж больно они капризные (мне только DAP серия понравилась).
Сложность системы в итоге получается сильно большой. Не будет она стабильно работать.Я думаю просто прописать в PF роутинг из VPN на модем. Фишка в том, что в PF можно отфильтровать адреса локальной сети сразу, оставив только адрес гейта.
Насчет надежности работы - не знаю, у меня DIR-615 два года работал без выключения, на родной заводской прошивке. Я поэтому особо и не задумывался об апдейте на кастомерскую.
В принципе, для моего решение перепрошивать и не надо. Вот если вместо VPN между DIR615 и PF строить VLAN - тогда да.
