Hallo Michael,
On 18.03.2015 13:13, Michael Niedermair wrote: > Hallo Oliver, > >>> Interessieren würde mich dabei folgendes: >>> - Kaskadieren von Routern? >> >> Anwendungsfall? > > - ein Router im Keller (reicht wegen zu viel Stahl nicht in den ersten > Stock) > - ein Router im ersten Stock > - und noch einer im Dach für Sonderfälle > Mit Kaskadieren meine ich nicht, dass die Router nicht über WLAN > gekoppelt sind, sondern über LAN verbunden sind. Das ist etwas, woran ich mich auch schon versucht habe. Die schnellste Verbindung über mehrere Router ist wohl einfach der, das alle Router die gleiche SSID haben (Kanal weiß ich nicht) + die gleiche Verschlüsselungsart+PSK und per Kabel mit einem "Zentralrechner" verbunden sind, der das DHCP für alle macht (wichtig: Der Adressbereich des DHCP darf nicht die IP-Adessen der Router beinhalten!). Dann sucht sich der Rechner automatisch den Router mit der stärksten Verbindung raus. Noch besser wäre es, wenn der Verschlüsselungsarbeit auf den leistungsstarken Zentralrechner verlagert wird, da die benötigte Rechenleistung dafür nicht unerheblich ist. Dafür könnte man z.B. die Wlan-Router unverschlüsselt arbeiten lassen und die eigentliche Leitung über ein VPN verschlüsseln. Das muss natürlich dann auf jedem Nutzerrechner entsprechend eingerichtet werden. OpenVPN gibts übrigens auch für Android und iPhone :-). Dann natürlich alle Ports sperren außer den des VPN-Servers und das WLan Netz in einen anderen Adressraum legen als das kabelgebundene :-D Wenn es doch eine Wireless-Verschlüsslung sein soll, kann man auch das Radius-Feature vom hostapd nutzen und jeder client-mac ein separates Passwort zuordnen (und dann jedes IP-Paket entsprechend markieren für die anderen Firewalls ;-)). Oder Du wickelst die Authentifierung gleich mit ab über den Kerberos von Deinem Samba4-AD-DC. Es gibt also viele Wege zum Ziel. >>> tcpdump, wireshark, ... >> >> Geht! Es gibt ein Paketsystem (ipkg-Pakete), mit dem man derartige >> Pakete auf dem Router installieren kann. > > Hast Du da eine Liste oder so, was hier sinnvoll ist? Ich denke, tcpdump und wireshark (die Shell-Variante) sind sinnvoll. Mehr kenn ich jetzt auch nicht. > >>> - transparenter Proxy >> >> Würde sicherlich gehen, stellt sich nur die Frage der Performance auf so >> einem kleinen Kistl. Da würde ich dann doch eher einen etwas potenteren >> Server zwischenschalten für so etwas. > > Mir geht es hier nur um die Umleitung, der Proxy ist auf einer großen > Kiste. Das ist eine schlichte iptables-Regel: iptables -t nat -A PREROUTING -j DNAT --dport 80 --to-destination <ip-address[:port]> Sollte im Router kein Problem sein. Wobei es vermutlich sinnvoller ist, diese Regel auf dem Proxy-Rechner (mit je einer Nic zu Lan und zum Wan) zu setzen, wo eh alle Pakete durch müssen. Es sei denn, Dein Proxy ist mit nur einer Nic angeschlossen wie alle anderen und der DSL-Router, dann musst Du es natürlich im WLAN-Router forcieren. Oder Du setzt als default-Route die Proxy-IP. Aber da kommen wir dann langsam in die schmutzigen Bereiche .. Gruß Oliver -- Abmelden und Archiv: https://lists.frodev.org/mailman/listinfo/opensourcetreffen-discuss Tipps zu Listenmails: http://wiki.documentfoundation.org/Netiquette/de Alle E-Mails an diese Liste werden unlöschbar öffentlich archiviert
