woensdag 24 september 2014 20:31

Acties:
  • 0 Henk 'm!
  • Chrisiesmit93
  • Registratie: Februari 2009
  • Laatst online: 11-09 19:27

Chrisiesmit93

Topicstarter
Hallo allemaal,

kan iemand mij misschien helpen met het volgende scenario?

Ik probeer als (ICT) student zijnde internet (via WiFi) te verdelen onder een paar mede studenten van de flat waarin ik woon. Nu is dit natuurlijk niet moeilijk om uit te voeren, maar ik wil dat elke ingelogd student zijn "eigen netwerk" heeft (dus geen AP isolation).

Mijn idee is om een firewall (pfSense?) neer te zetten waarop elke gebruiker zich dient te identificeren door middel van een captive portal (eventueel met active directory / radius ondersteuning). Indien een gebruiker succesvol ingelogd is, krijgt deze een eigen vlan / netwerk toegewezen.

Bovenstaande wil ik werkend maken met behulp van onder andere 2x TP-Link TL-WR1043ND v2 (OpenWRT)

Is mijn idee mogelijk zonder dat ik dure routers en/of software moet kopen? (het liefst gratis) >:)

woensdag 24 september 2014 20:50

Acties:
  • 0 Henk 'm!
  • plizz
  • Registratie: Juni 2009
  • Laatst online: 21:57

plizz

Denk dat private vlan een mogelijk oplossing is voor jou. 1 VLAN en toch zien ze elkaar niet. Geen idee of OpenWRT zo'n feature heeft.

woensdag 24 september 2014 21:31

Acties:
  • 0 Henk 'm!
  • Chrisiesmit93
  • Registratie: Februari 2009
  • Laatst online: 11-09 19:27

Chrisiesmit93

Topicstarter
Denk dat private vlan zelfde is als AP isolation, hierbij zie je elkaar niet inderdaad ;)

Wat mij een mooie oplossing lijkt is dat mensen die meerdere devices op 1 account geregistreerd hebben wel onderling tussen de devices kunnen communiceren, maar niet bij andere users hun devices kunnen komen.

woensdag 24 september 2014 23:29

Acties:
  • 0 Henk 'm!
  • Thralas
  • Registratie: December 2002
  • Laatst online: 22:48

Thralas

Je hebt een idee, dus ik neem aan dat je al onderzocht hebt of de software die je voorstelt (OpenWRT en pfSense) dat ondersteunt?
Chrisiesmit93 schreef op woensdag 24 september 2014 @ 20:31:
Is mijn idee mogelijk zonder dat ik dure routers en/of software moet kopen? (het liefst gratis) >:)
Je hebt niet verteld welke hardware je al hebt.

Toch alvast wat inhoudelijke puntjes:
- Captive portals zijn vooral interessant als je geen link-layer security kunt toepassen (open WiFi). In dit geval wil je juist ook isolatie op linkniveau, dus dan zou ik captive portals vergeten en WPA-802.1x gebruiken.
- Volgens mij heet de feature die je daarbij zoekt 'dynamic VLAN assignment'.
- Hoeveel gebruikers betreft het? Als het er niet zoveel zijn kun je eventueel alles statisch configureren, of zelfs losse WPA2-PSK-netwerken gebruiken (al is dat laatste wat minder handig met meerdere APs)
- Waarom is het zo'n probleem als iedereen in hetzelfde netwerk zit? Zou in de gemiddelde huishoudelijke situatie niet echt een issue moeten zijn.

donderdag 25 september 2014 08:57

Acties:
  • 0 Henk 'm!
  • Chrisiesmit93
  • Registratie: Februari 2009
  • Laatst online: 11-09 19:27

Chrisiesmit93

Topicstarter
Bedankt voor de reactie!

op het gebied van hardware komt er waarschijnlijk een ESXi server waarop pfSense virtueel gaat draaien.
De "LAN interface" van de firewall gaat via een switch (Netgear Prosafe Gigabit Plus GS108E) richting 2x de TL-WR1043ND v2 (<- komen heel misschien nog andere exemplaren voor).

Op het gebied van Captive Portal heb je inderdaad gelijk, ik kan inderdaad beter 802.1X gebruiken aangezien hierbij "dynamic VLAN assignment" eventueel kan werken samen met de TP-links.

In eerste instantie gaat hem om ~6 studenten, maar als het goed gaat werken en het WiFi signaal komt ver genoeg (en ook nog stabiele snelheid), dan willen we waarschijnlijk gaan uitbreiden naar 10-15 studenten.

Losse netwerken zou ook kunnen, maar mij lijkt het persoonlijk mooier om 1 "authenticated netwerk" te maken waar je makkelijk op kan inloggen + ik houd wel van een uitdaging (mits het überhaupt mogelijk is...) :P

Het feit dat ik gescheiden netwerken wil gebruiken is mede "omdat het kan", maar ook zodat studenten niet bij anderen hun apparaten kunnen komen (zoals receiver, tv, pc, laptops, tablets, enz). Ik weet dat je met firewalls een hoop kan oplossen en dicht timmeren, maar dat werkt bij apparaten zoals tv's en receivers niet ;)

donderdag 25 september 2014 10:18

Acties:
  • 0 Henk 'm!
  • Thralas
  • Registratie: December 2002
  • Laatst online: 22:48

Thralas

Ja, als het uitbreidbaar moet zijn zou ik zeker niet rommelen met statische configuratie. Het enige probleem met 802.1x blijft dat je ongetwijfeld nog een device tegenkomt dat het niet ondersteunt.

Als je toch een ESXi-box hebt dan kan er ongetwijfeld nog wel een VM'etje bij. In dat geval: PacketFence al bekeken? Heb er geen ervaring mee, maar het lijkt alsof dat wel eens zou kunnen zijn wat je zoekt.

Ten aanzien van 802.1x-problematiek, ik weet dat er vendors van dure WiFi-hardware zijn die een per-user PSK voor WPA-PSK ondersteunen. hostapd kan dat als het goed is ook. Klinkt als een goede optie om het 'simpel' te houden voor gebruikers, alleen weet ik niet of dat dan nog wel compatible is met PacketFence e.d.

donderdag 25 september 2014 15:22

Acties:
  • 0 Henk 'm!
  • dion_b
  • Registratie: September 2000
  • Laatst online: 22:55

dion_b

Moderator Harde Waren

say Baah

Meh, 802.1x support is toch redelijk algemeen. Ik zou geen extra moeite doen voor de corner cases en gewoon aan medebewoners laten weten dat hun devices 802.1x moeten supporten, zo niet dat ze zelf een AP mogen ophangen voor eigen legacy meuk.

Oslik blyat! Oslik!

donderdag 25 september 2014 16:44

Acties:
  • 0 Henk 'm!
  • Thralas
  • Registratie: December 2002
  • Laatst online: 22:48

Thralas

Je bracht me aan het twijfelen - ik heb even Gegoogled. Zie slide 21 van deze presentatie uit Maart 2014. En deze willekeurige lijst.

Als alle gangbare consoles en Chromecast/AppleTV/printers nog steeds geen 802.1X doen dan zijn dat geen corner cases/legacy meuk vrees ik. Niet in een thuisomgeving, that is.

donderdag 25 september 2014 17:47

Acties:
  • 0 Henk 'm!
  • Chrisiesmit93
  • Registratie: Februari 2009
  • Laatst online: 11-09 19:27

Chrisiesmit93

Topicstarter
hmm, dat is wel ff een minpuntje van de consoles inderdaad!
Misschien apart netwerk hiervoor maken ofzo, maar ff een oplossing bedenken...

@Thralas: PacketFence ziet er goed uit, zal mij hierin eens gaan verdiepen!

Zal van het weekend eens proberen te prutsen of ik het een en ander werkend kan maken (test omgeving) :)
Indien jullie nog verdere tips & tricks hebben, hoor ik het graag! :9
Pagina: 1
Reageer

Apple iPhone 16e LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2025 Hosting door TrueFullstaq