Lägga till WLAN till befintligt LAN

Diskussion kring säkerhet och nätverk.
Post Reply
dot
Posts: 272
Joined: 17 June 2004, 18:54
Location: Värmdö
Contact:

Lägga till WLAN till befintligt LAN

Post by dot » 13 February 2008, 15:05

Har i dagsläget ett fungerande LAN bestående av en router (slackware
12-server) ansluten till ISP/WAN (modem) via eth0 och ansluten till LAN
(switch) via eth1.

Routern delar ut adresser till datorerna på lanet, vissa har statiskt IP,
vissa har inte. Nätet består till 60-80% av WinXP-datorer, men även
Linux och Win98 förekommer. Har inget centralt login på LAN:et idag.

Nu skulle jag vilja komplettera nätverket med WLAN-åtkomst.

Vad jag förstår räcker det med en trådlös accesspunkt ansluten till routern
via ett tredje nätverkskort (eth2). Sen låter jag routern dela ut även på
eth2, kanske en annan IP-serie än LAN dock (192.168.2.[...] tänkte jag).

Men vad gör man sen? Hur får man till säkerheten?

kratz
Posts: 1121
Joined: 9 May 2005, 17:21
Location: ~/Högsby
Contact:

Post by kratz » 13 February 2008, 15:20

Varför ska du ha en annan ipserie i wlanet, än den du har i lanet?
Bara stäng av brandvägg, dhcpserver mm. från accesspunkten så kommer routerns dhcpserver ge ipadresser genom wlanet. Vissa ap har tom. ett alternativ i konfigurationen i stil med "Use strictly as accesspoint", som gör dessa inställningar automatiskt.

Säkerhet? Kör wpa-kryptering med stark passphrase och broadcasta inte SSID så är wlanet hyffsat säkert. Vissa ap har tillochmed stöd för att låsa åtkomst till macadresser, så ingen som inte har en godkänd macadress kan koppla upp sig, men det känns lite väl overkill.
Välkommen till http://archlinux.se !

dot
Posts: 272
Joined: 17 June 2004, 18:54
Location: Värmdö
Contact:

Post by dot » 13 February 2008, 16:10

Så accesspunkter har inbyggda brandväggar?
Trodde de var "korkade" bryggor bara. Är ny på WLAN.

Kan köra samma IP-serie på WLAN:et också, tänkte bara att
det kunde vara klokt att ha en andra serie för att kunna
se vilka som kom från LAN och vilka som kom från WLAN.

Kryptering, passphrase och att stänga av SSID-broadcast = ställs
det in i accesspunkten?


Låsa till särskilda mac-adresser kan vara ett alternativ, fast
har hört att folk fejkar även mac för att ta sig in...?

(Har inget emot egentligen att säkra via mac annars, har ändå ingen
strid ström av folk, ska bara ha det för att surfa trådlöst ...)

kratz
Posts: 1121
Joined: 9 May 2005, 17:21
Location: ~/Högsby
Contact:

Post by kratz » 13 February 2008, 16:29

dot wrote:Så accesspunkter har inbyggda brandväggar?
Trodde de var "korkade" bryggor bara. Är ny på WLAN.

Kan köra samma IP-serie på WLAN:et också, tänkte bara att
det kunde vara klokt att ha en andra serie för att kunna
se vilka som kom från LAN och vilka som kom från WLAN.

Kryptering, passphrase och att stänga av SSID-broadcast = ställs
det in i accesspunkten?


Låsa till särskilda mac-adresser kan vara ett alternativ, fast
har hört att folk fejkar även mac för att ta sig in...?

(Har inget emot egentligen att säkra via mac annars, har ändå ingen
strid ström av folk, ska bara ha det för att surfa trådlöst ...)
Det är ju sant att det blir ju lättare att se vilka som sitter på det trådlösa om man har separata nät, men däremot blir det mer jobb med att sätta upp routing mellan näten för att tex. domäner, arbetsgrupper mm. ska fungera korrekt.

Kryptering, SSID mm. ställs i accsesspunkten, ja.

Visst kan man byta mac-adress till en som finns inlagd som godkänd, men det förutsätter ju att den personen vet vilka macadresser som ligger inlagda, och om det nu skulle vara så att personen i fråga fick tag på en godkänd macadress så skulle han ju likförbannat behöva knäcka en wpa-kryptering OCH lista ut vilket SSID nätet har.
Jag tror att de människor som klarar av att hacka sig in i ett sådant nät är svårräknade och måsste vara JÄVLIGT motiverade och tro att de ska kunna plocka ut miljardbelopp.
Välkommen till http://archlinux.se !

dot
Posts: 272
Joined: 17 June 2004, 18:54
Location: Värmdö
Contact:

Post by dot » 13 February 2008, 16:57

Okej, tänkte inte på konfigureringsstrulen med olika ip-serier.
Kör på samma serie då isåfall, vill att arbetsgrupper ska funka
smärtfritt.

Skulle ju kunna köra två arbetsgrupper, en för WLAN o en för LAN.

Hanteringen av Mac-adresser sköts väl av routern ändå? Eller är det
är det i accesspunkten också?

I dagsläget ställer jag in statiska ip-adresser via mac i dnsmasq-configen.
Gör man nåt liknande för att begränsa till mac-adresser?

Har hört att 3com inte är lika bra på WLAN som på LAN, har du nåt
accesspunkt-märke att rekommendera/varna för ?

kratz
Posts: 1121
Joined: 9 May 2005, 17:21
Location: ~/Högsby
Contact:

Post by kratz » 13 February 2008, 17:58

dot wrote:Okej, tänkte inte på konfigureringsstrulen med olika ip-serier.
Kör på samma serie då isåfall, vill att arbetsgrupper ska funka
smärtfritt.

Skulle ju kunna köra två arbetsgrupper, en för WLAN o en för LAN.

Hanteringen av Mac-adresser sköts väl av routern ändå? Eller är det
är det i accesspunkten också?

I dagsläget ställer jag in statiska ip-adresser via mac i dnsmasq-configen.
Gör man nåt liknande för att begränsa till mac-adresser?

Har hört att 3com inte är lika bra på WLAN som på LAN, har du nåt
accesspunkt-märke att rekommendera/varna för ?
Ja, det enklaste bör vara att sköta godkända datorer via tex. RSA-nycklar i routern om accesspunkten inte har inbyggt stöd för låsning till macadresser.
Kör du en linuxburk som brandvägg med iptables?

Mina erfarenheter av 3com är riktigt dåliga faktiskt; instabila uppkopplingar och dålig räckvidd mm.
Linksys, belkin och netgear är bäst imho.
Välkommen till http://archlinux.se !

User avatar
Vampis
Posts: 936
Joined: 30 December 2004, 12:19
Location: Kållered
Contact:

Post by Vampis » 13 February 2008, 18:49

Cisco

kratz
Posts: 1121
Joined: 9 May 2005, 17:21
Location: ~/Högsby
Contact:

Post by kratz » 13 February 2008, 19:26

Vampis wrote:Cisco
Iofs. sant:)
Välkommen till http://archlinux.se !

User avatar
Emil.s
Posts: 4366
Joined: 24 May 2005, 22:22
Location: Hedemora/Dalarna
Contact:

Post by Emil.s » 13 February 2008, 20:11

kratz wrote:
Vampis wrote:Cisco
Iofs. sant:)
Men smakar det så kostar det. 8)

Men som sagt, köp en AP av ett välkänt märke, köp WPA2 kryptering och koppla den direkt till switchen. Klart!

WPA2 krytering knäcker man inte hur mycket man än vill. Finns FÅ datorer här på planeten som klarar det inom en rimlig tid...
Innan ni postar: Läs FAQen
När ni postar:
Posta i Rätt forum! Och skriv/formulera dig rätt

dot
Posts: 272
Joined: 17 June 2004, 18:54
Location: Värmdö
Contact:

Post by dot » 13 February 2008, 20:48

En WPA2-accesspunkt rakt in i switchen (inte routern) så kan man börja surfa direkt (förutsatt att man klyddar lite i AP:n) ?

kratz
Posts: 1121
Joined: 9 May 2005, 17:21
Location: ~/Högsby
Contact:

Post by kratz » 13 February 2008, 22:31

dot wrote:En WPA2-accesspunkt rakt in i switchen (inte routern) så kan man börja surfa direkt (förutsatt att man klyddar lite i AP:n) ?
Ja, precis.
Det brukar vara lite man måsste göra även på de mest användarvänliga om man vill ha det i tex. ett företagsnätverk.
Om du kör den i switchen och kopplar bort brandväggen och dhcp så kommer det fungera precis som det övriga nätverket:)
De flesta moderna accesspunkter har stöd för wpa2.
Välkommen till http://archlinux.se !

Mikael Nyberg
Posts: 38
Joined: 26 March 2003, 09:53
Location: Huddinge

Post by Mikael Nyberg » 15 February 2008, 08:42

Du har inte sagt något hur många trådlösa klienter du skall ha och hur stort område som skall täckas. Om det är hög trafik kan det bli problem alla klienter skall dela en trådlöskanal. Risken är att en klient nära accesspunkten tar all bandbredd och övriga längre bort får dålig förbindelse

kratz
Posts: 1121
Joined: 9 May 2005, 17:21
Location: ~/Högsby
Contact:

Post by kratz » 15 February 2008, 09:05

Mikael Nyberg wrote:Du har inte sagt något hur många trådlösa klienter du skall ha och hur stort område som skall täckas. Om det är hög trafik kan det bli problem alla klienter skall dela en trådlöskanal. Risken är att en klient nära accesspunkten tar all bandbredd och övriga längre bort får dålig förbindelse
Det finns många accesspungter som kan sända på flera kanaler samtidigt.
Häromdagen satt jag med en ZyXEL som sände på 10 kanaler.
De flesta accesspunkter av finare modell klarar av det vad jag vet, men jag kan ju självklart ha fel.
Välkommen till http://archlinux.se !

ErikW
Posts: 82
Joined: 13 June 2003, 21:38

Post by ErikW » 15 February 2008, 16:04

kratz wrote:
Mikael Nyberg wrote:Du har inte sagt något hur många trådlösa klienter du skall ha och hur stort område som skall täckas. Om det är hög trafik kan det bli problem alla klienter skall dela en trådlöskanal. Risken är att en klient nära accesspunkten tar all bandbredd och övriga längre bort får dålig förbindelse
Det finns många accesspungter som kan sända på flera kanaler samtidigt.
Häromdagen satt jag med en ZyXEL som sände på 10 kanaler.
De flesta accesspunkter av finare modell klarar av det vad jag vet, men jag kan ju självklart ha fel.
Det är bara 802.11N (standard nästan färdigställd) som kan sända på flera kanaler. Det är en stor anledning till att du kan komma upp i mycket högre hastigheter. Kör man 802.11B/G så gör man klokast i att välja en av kanalerna 1,6,11 då dessa kanaler inte överlappar varandra. Titta efter vad grannarna kör...

Post Reply