Domande da niubbo assoluto

tiri

cosa intendi che tutti gli AP finissero via cavo sulla SK di Captive? essendo su vari piani vengono concentrati su gli Switch Zyxel.
o intendi di fare un collegamento FISICO DIRETTO via cavo direttamente ad un Hub collegato solo ed esclusivamente alla Sk di rete della macchinacon CP?
Se intendi questo, è impensabile per me tirare un cavo diretto dal 4° piano ad un punto preciso dove posizionerò la macchina con CP.

mi risulta più semplice due AP con due macchine indipendenti e due CP portal differenti.

Però continuo a pensare che DEBBA esistere una soluzione, previa aggiustamenti di segmenti IP o altro, per piazzare la macchina con CP e farla lavorare, come si farebbe per un Server. o sbaglio?

tiri

ahhhh… giusto DHCP ::)

avevo capito che il dhcp dell'AP andasse disabilitato per poter fare operare la macchin PfSense. ma che conflitto si potrebbe generare con il DHCP (che non posso escludere!) attivo sul Server Windows?

ruio

Suggerisco la seguente soluzione, anche se ho letto che potresti avere problemi con il cablaggio:
-Separazione fisica/tramite VLAN della futura rete wireless da quella attualmente in uso
-Tutti gli AP collegati (fisicamente o con VLAN) all'interfaccia LAN di pfsense
-L'interfaccia WAN di pfsense la colleghi al tuo router attuale
-CP su interfaccia LAN
-Tutti i servizi gestiti da pfSense
-Eviteri l'extender a meno che non sia strettamente necessario. Marca degli apparati wireless: Mikrotik o Ubiquiti

Non riesco a capire perchè vuoi fare due CP portal differenti. Inoltre non confondere il funzionamento del CP con quello di un qualsiasi servizio di un server. Quando un host si collega e deve navigare su internet passa per il gateway.

Francesco

..intendevo dire che è bene che tutti gli AP si trovassero su una LAN a loro dedicata, (reale o una VLAN creata appositamente come suggerisce RUIO) e che su quella LAN ci fosse collegata anche l'interfaccia di rete di pfsense su cui attivi il captive portal.
In tal modo hai una LAN dedicata completamente agli apparati wireless che per poter uscire devono passare obbligatoriamente dal captive portal di pfsense. La macchina con pfsense ruoterà i pacchetti verso il router di Internet (che sarà connesso sull'interfaccia WAN di pfsense).

Non so se esista una soluzione in cui si possa usare il captive portal come un server normale. Nota che il captive portal più che un servizio è un controllo ed in quanto tale deve trovarsi su una zona di passaggio obbligato, è come una dogana e non come una stazione di servizio.

tiri

penso siate stati entrambi chiari. creare una vlan su un ramo ip completamente diverso dalla Lan wired, su cui piazzo AP vari e macchina PfSense che reindirizzerà i pacchetti vlan verso il gateway.

Una cosa del genere l'ho già realizzata agendo solo sul DHCP dell' AccessPoint e "aprendo" la Subnet Mask nella configurazione dell'indirizzo IP del Gateway e dell'AP

Lan e AP sono sul ramo 192.168.1.xxx mentre gli IP assegnati ai client wireless sono 192.168.0.100/150. la subnet 255.255.0.0 permette la navigazione ma non l'uso delle risorse di rete

![dhcp ap dlink.jpg](/public/imported_attachments/1/dhcp ap dlink.jpg)
![dhcp ap dlink.jpg_thumb](/public/imported_attachments/1/dhcp ap dlink.jpg_thumb)

ruio

Occhio che VLAN != "aprire" la subnet mask.

Inoltre non riesco a capire a cosa ti serva:
LAN pfSense: 192.168.2.1
AP 192.168.2.2 -> .2.5
DHCP: 192.168.2.50 -> 200

Regole del firewall: Permetti DNS, HTTP e se vuoi essere buono HTTPS.

Interfaccia di amministrazione di pfSense e di AP permesse solo da 192.168.2.6 con controllo del MAC per il tuo PC.

Se proprio vogliamo fare gli splendidi, VLAN per la gestione degli apparati a te riservata.

tiri

@ruio:

Occhio che VLAN != "aprire" la subnet mask.

Inoltre non riesco a capire a cosa ti serva:
LAN pfSense: 192.168.2.1
AP 192.168.2.2 -> .2.5
DHCP: 192.168.2.50 -> 200

Regole del firewall: Permetti DNS, HTTP e se vuoi essere buono HTTPS.

Interfaccia di amministrazione di pfSense e di AP permesse solo da 192.168.2.6 con controllo del MAC per il tuo PC.

Se proprio vogliamo fare gli splendidi, VLAN per la gestione degli apparati a te riservata.

azzz… mi sono perso. non ho capito la tua risposta, scusami. sono una frana... :-[

ruio

Cosa non hai capito? Ti ho dato una traccia per la progettazione della rete e occhio che quando parliamo di VLAN non stiamo parlando di usare netmask strane.

tiri

@ruio:

Cosa non hai capito? Ti ho dato una traccia per la progettazione della rete e occhio che quando parliamo di VLAN non stiamo parlando di usare netmask strane.

ahhh ora mi è chiaro. ok, grazie :D

ma il concetto di sdoppiare la mia Lan fisica in due o più vlan l'ho capito. pensavo di riuscire ad evitarlo, ma ho capito che non si riesca a fare.

il mio esempio è lo screenshot del mio AP attuale dove, invece di utilizzare una vlan, ho creato una sottorete usando il CIDR. Le due sottoreti (wired e wireless) sono disgiunte ma riescono ad usare lo stesso gataway.
perchè mi parli di netmask strane? :o il metodo CIDR non mi sembra una aberrazione

ruio

Perchè la sicurezza della rete risiede sul fatto che uno non si cambi l'indirizzo IP del computer, non mi sembra proprio una base solida.

tiri

@ruio:

Perchè la sicurezza della rete risiede sul fatto che uno non si cambi l'indirizzo IP del computer, non mi sembra proprio una base solida.

ok. non insisto, anche se non capisco CHI debba (e come) cambiarsi l'indirizzo IP assegnato da un DHCP.