Domande da niubbo assoluto

tiri

Salve Forum.

Da anni amministro una rete Windows based con un Server di Dominio basato su Win 2003 Server. Hardware HP con scheda di rete a 4 porte.

tutte le postazioni sono Win based e connesse tramite cavo e IP fissi e NON HANNO esigenze di collegamenti wireless

Sia il servizio di DNS che di DHCP li svolge il Server HP.

Perchè DHCP se ho IP fissi? perchè per gli ospiti con portatili o i vari relatori, facciamo usare la Lan per navigare o stampare, quindi ho attivato DHCP per un ristretto range di indirizzi assegnati dinamicamente.

sono presenti due connettività ADSL: una in fibra ottica con router in comodato d'uso, blindatissimo; l'altra TELECOM servita da un router D-link  DSL-2740B che fa da router wired e anche wireless.

tutta sta roba sta SU UN SOLO SEGMENTO IP…..si, capito bene. Non ho mai avuto esigenze (o paranoie) di firewall troppo spinti o DMZ. Quindi tutto sta dal 192.168.1.1 (server) al 192.168.1.254 (ROUTERS COMPRESI)

Arriviamo al dunque: ora nasce l'esigenza di rendere disponibile le connessioni Wireless per favorire la navigazione internet di relatori o consulenti che ne facciano richiesta. sino ad oggi fornivo la password della SSID e poi la cambiavo. ma ora vorrei attivare un hot spot con captive portal e vouchers a tempo.

l'accesso wireless lo fornisce il router d-link che ora è settato con protezione WPA2 ed ha indirizzo 192.168.1.10 ed è collegato alla rete tramite un ottimo switch Zyxel 1910.

Ho preso un vecchio Dell P4 1GbRam ed ho installato pfSense. chiramente ha una sola scheda di rete a cui ho dato un indirizzo ip libero (192.168.1.7).
Nella configurazione delle Interfaces  ho settato come gateway il mio router d-link e attivato un po di cose (captive portal) seguendo le guide trovate on line.

ma se dal mio smartphone provo a connettermi wireless, basta dare la WPA2 del SSID e la navigazione comincia senza che captive portal intervenga.

Capisco che i settaggi da fare siano tanti e impossibile capire al primo colpo cosa non va.... MA.... chi mi spazza via un pò di nebbia?

inannzitutto è necessario avere 2 schede di rete sul pc di pfsense? devo sdoppiare la rete il lan-wan?

grazie a chi accenderà una luce

Francesco

se ti connetti in wireless, finisci sul dlink e da lì vai su internet, quindi non passi dal capitve portal, che non puo' controllarti.

Affinchè il tutto funzioni, bisogna che pfsense con il captive portal sia passaggio obbligato per chi si connette in wireless.

Si potrebbe pensare una topologia di questo tipo:

la macchina pfsense deve avere due interfacce, una connessa verso il gateway (d-link) e l'altra connessa ad un access point wireless. Su quest'ultima deve essere applicato il captive portal.
In tal modo chi si connette in wireless, passa prima dall'access-point, poi dal captive portal (che impone le sue policy) e poi va su internet passando dal d-link.

Francesco

tiri

ok. quindi devo cambaire macchina e fornirla di due SK e un access point.

Apparentemente non ci sarebbero problemi. la macchina ce l'ho. l'access point pure. un d-link 2100.

Ma il problema successivo sarebbe la struttura 'fisica' della rete. disposta su 4 piani di edificio storico. infatti ora, per chi si sifermava al primo piano facevo accedere tramite router con wirless, al 4° piano tramite access point.

Se usassi l'access point collegato alla macchina con CP, avrei segnale disponibile per 2 piani al massimo. quindi dovrei usare un Extender per replicare il segnale dell'access point. funzionerebbe comunque?

in buona sostanza il Wireless nativo del Router, lo posso solo usare per collegare macchine o stampanti o dispositivi "residenziali". per chi va e viene, non c'è storia, giusto?

grazie del suggerimento. attendo ancora un paio di giorni per vedere se escono altre idee o soluzioni alternative, poi decido

Francesco

Con l'extender dovrebbe funzionare. Certo a mio parere sarebbe meglio se tutti gli access point dei vari piani finissero via cavo sull'interfaccia di rete di pfsense su cui attivi il captive portal.
Un altro consiglio che ti posso dare, disabilita il dhcp sugli access point e poni il servizio dhcp sull'interfaccia di pfsense su cui attivi il captive portal. In tal modo ti trovi la gestione del dhcp centralizzata per tutti i dispositivi wireless che sono sotto il controllo del captive portal.

Sappi che con il captive portal c'è anche la possibilità di fare delle eccezioni, cioè di far passare determinati device senza chiedere alcuna autenticazione  (per quegli utenti interni, che non sono ospiti…)

tiri

cosa intendi che tutti gli AP finissero via cavo sulla SK di Captive? essendo su vari piani vengono concentrati su gli Switch Zyxel.
o intendi di fare un collegamento FISICO DIRETTO via cavo direttamente ad un Hub collegato solo ed esclusivamente alla Sk di rete della macchinacon CP?
Se intendi questo, è impensabile per me tirare un cavo diretto dal 4° piano ad un punto preciso dove posizionerò la macchina con CP.

mi risulta più semplice due AP con due macchine indipendenti e due CP portal differenti.

Però continuo a pensare che DEBBA esistere una soluzione, previa aggiustamenti di segmenti IP o altro, per piazzare la macchina con CP e farla lavorare, come si farebbe per un Server. o sbaglio?

tiri

ahhhh… giusto DHCP  ::)

avevo capito che il dhcp dell'AP andasse disabilitato per poter fare operare la macchin PfSense. ma che conflitto si potrebbe generare con il DHCP (che non posso escludere!) attivo sul Server Windows?

ruio

Suggerisco la seguente soluzione, anche se ho letto che potresti avere problemi con il cablaggio:
-Separazione fisica/tramite VLAN della futura rete wireless da quella attualmente in uso
-Tutti gli AP collegati (fisicamente o con VLAN) all'interfaccia LAN di pfsense
-L'interfaccia WAN di pfsense la colleghi al tuo router attuale
-CP su interfaccia LAN
-Tutti i servizi gestiti da pfSense
-Eviteri l'extender a meno che non sia strettamente necessario. Marca degli apparati wireless: Mikrotik o Ubiquiti

Non riesco a capire perchè vuoi fare due CP portal differenti. Inoltre non confondere il funzionamento del CP con quello di un qualsiasi servizio di un server. Quando un host si collega e deve navigare su internet passa per il gateway.

Francesco

..intendevo dire che è bene che tutti gli AP si trovassero su una LAN a loro dedicata, (reale o una VLAN creata appositamente come suggerisce RUIO) e che su quella LAN ci fosse collegata anche l'interfaccia di rete di pfsense su cui attivi il captive portal.
In tal modo hai una LAN dedicata completamente agli apparati wireless che per poter uscire devono passare obbligatoriamente dal captive portal di pfsense. La macchina con pfsense ruoterà i pacchetti verso il router di Internet (che sarà connesso sull'interfaccia WAN di pfsense).

Non so se esista una soluzione in cui si possa usare il captive portal come un server normale. Nota che il captive portal più che un servizio è un controllo ed in quanto tale deve trovarsi su una zona di passaggio obbligato, è come una dogana e non come una stazione di servizio.

tiri

penso siate stati entrambi chiari. creare una vlan su un ramo ip completamente diverso dalla Lan wired, su cui piazzo AP vari e macchina PfSense che reindirizzerà i pacchetti vlan verso il gateway.

Una cosa del genere l'ho già realizzata agendo solo sul DHCP dell' AccessPoint e "aprendo" la Subnet Mask nella configurazione dell'indirizzo IP del Gateway e dell'AP

Lan e AP sono sul ramo 192.168.1.xxx mentre gli IP assegnati ai client wireless sono 192.168.0.100/150. la subnet 255.255.0.0 permette la navigazione ma non l'uso delle risorse di rete


ruio

Occhio che VLAN != "aprire" la subnet mask.

Inoltre non riesco a capire a cosa ti serva:
LAN pfSense: 192.168.2.1
AP 192.168.2.2 -> .2.5
DHCP: 192.168.2.50 -> 200

Regole del firewall: Permetti DNS, HTTP e se vuoi essere buono HTTPS.

Interfaccia di amministrazione di pfSense e di AP permesse solo da 192.168.2.6 con controllo del MAC per il tuo PC.

Se proprio vogliamo fare gli splendidi, VLAN per la gestione degli apparati a te riservata.

tiri

@ruio:

Occhio che VLAN != "aprire" la subnet mask.

Inoltre non riesco a capire a cosa ti serva:
LAN pfSense: 192.168.2.1
AP 192.168.2.2 -> .2.5
DHCP: 192.168.2.50 -> 200

Regole del firewall: Permetti DNS, HTTP e se vuoi essere buono HTTPS.

Interfaccia di amministrazione di pfSense e di AP permesse solo da 192.168.2.6 con controllo del MAC per il tuo PC.

Se proprio vogliamo fare gli splendidi, VLAN per la gestione degli apparati a te riservata.

azzz… mi sono perso. non ho capito la tua risposta, scusami. sono una frana... :-[

ruio

Cosa non hai capito? Ti ho dato una traccia per la progettazione della rete e occhio che quando parliamo di VLAN non stiamo parlando di usare netmask strane.

tiri

@ruio:

Cosa non hai capito? Ti ho dato una traccia per la progettazione della rete e occhio che quando parliamo di VLAN non stiamo parlando di usare netmask strane.

ahhh ora mi è chiaro. ok, grazie :D

ma il concetto di sdoppiare la mia Lan fisica in due o più vlan l'ho capito. pensavo di riuscire ad evitarlo, ma ho capito che non si riesca a fare.

il mio esempio è lo screenshot del mio AP attuale dove, invece di utilizzare una vlan, ho creato una sottorete usando il CIDR. Le due sottoreti (wired e wireless) sono disgiunte ma riescono ad usare lo stesso gataway.
perchè mi parli di netmask strane? :o  il metodo CIDR non mi sembra una aberrazione

ruio

Perchè la sicurezza della rete risiede sul fatto che uno non si cambi l'indirizzo IP del computer, non mi sembra proprio una base solida.

tiri

@ruio:

Perchè la sicurezza della rete risiede sul fatto che uno non si cambi l'indirizzo IP del computer, non mi sembra proprio una base solida.

ok. non insisto, anche se non capisco CHI debba (e come) cambiarsi l'indirizzo IP assegnato da un DHCP.