hallo michael, >> mindestens 40 mails wegen coova etc stehn noch auf meiner ungelesen >> liste. ich komme momentan mal wieder nicht nach :) > *lach* ... aber nicht alles meine, oder?? :) nein, betrifft die mailingliste allgemein ;-)
>> die gute nachricht: den kann man steuern. >> die schlechte nachricht: den kann man steuern. >> :-) > Ja ... ich sehe schon: Es *ist* kompliziert ... Aber ist es wirklich > *SO* kompliziert wie du schreibst?? ich fürchte ja. wobei das garnicht SO kompliziert ist, wie es sich anhört. man muss nur die ganzen gundlegenden sachen "nebenbei" beachten. > Mittlerweile habe ich diese eMail entdeckt: > http://www.chillispot.org/chilliforum/topic425-chillispot-configuration-chilli-dhcp-range.html > > Würde das nicht schon reichen? Es ist natürlich so, dass ein Client, der ähm, das ist genau das, was ich schrieb. ich habe nur den radiusseitigen teil beschrieben. in dem thread dort steht die chilli seite. und - natürlich muss man für die statischen adressen macauth einrichten. sonst haben sie keinen zugang zum netz. > sich selbst einfach eine feste IP vergibt (bei mir der Unifi-Controller > (VM)) in dem "violetten" Netz nichts kann/darf (wäre ja auch zu einfach > gewesen). Von daher muss das schon der Coovachilli übernehmen. Ich habe > die Optionen noch nicht ausprobiert ... und nach deiner letzten Mail > vergeht mir auch allmählich die Lust :) wenn die statischen ipler aus dem lansegment rauskommen sollen, muss das ganze über chili laufen. wenn es dir genügt, den dingern lediglich eine subnetzweite statische ip zu verpassen, könntest du einen zweiten dhcp ins netz hängen, der ausschließlich die statischen ips vergibt und sich ansonsten raushält. beim chili musst du dann nur die dhcp range anpassen. > Allerdings hat man schon ein paar Probleme mit dem Controller, wenn man > den ständig auf DHCP läßt!? mFi hat vorhin schon wieder die Verbindung > verloren.... ich habe mich mit dem unifi zeug nicht befasst, aber wozu braucht man auch den controller, wenn man die dinger sowieso nur als dumme accesspoints für chili benutzt? du betreibst sie ja nicht als eigenständige nas... > Dann aber noch etwas: Ich habe eine eMail erhalten, mit der Meldung, > dass 172.11.0.0 keine privaten IPs sind sondern aus dem öffentlichen > Pool stammen, was zu Problemen führen kann! Ich habe allerdings an der > Grundkonfiguration daaaamals nichts geändert, sondern alles so > übernommen, wie es hier steht: > https://www.linuxmuster.net/wiki/dokumentation:addons:linuxmuster-chillispot:konfiguration > Ist da ein Fehler in der Beschreibung? Oder setzt der CoovaChilli --> > IPFire die 172.11er Adressen erfolgreich selbst auf 172.16.16.x um, so > dass das nach außen nichts macht??? die mail hätte von mir sein können:-) ich denke, ich hatte das damals bereits einmal angesprochen und der maintainer wollte das subnetz und die anleitung ändern. vielleicht hast du es vor dieser änderung installiert? es ist korrekt, daß man das 172.11er netz nicht privat nutzen darf. zur privaten nutzung sind lediglich die adressen zwischen 172.16 und 172.32 erlaubt. das hat lange zeit nichts ausgemacht, da der rest des 172er netzes nicht benutzt wurde. das ist seit über nem jahr allerdings anders. das segment 172.0 bis 172.16 gehört zwar immernoch at&t, aber die vermieten das evtl weiter. kritisch wird es bei 172.32 bis 172.64. das gehört namlich t-mobile und das wird kräftig benutzt. dahinter wird es wieder unkritischer, da der rest in einige kleinere netze verteilt ist, die zum großteil für dynamische vergabe benutzt werden (zb time warner cable internet)... das benutzen öffentlicher bereiche hat eben nebenwirkungen. das beginnt bei nameservern und routing und endet bei nicht erreichbaren webseiten. aus deinem chilli netz sind dann nämlich keine ips aus dem 172.11er bereich abrufbar. evtl auch nicht aus deinem restlichen lan, falls das nat dort durcheinander kommt. es kann sein, daß das jahrelang niemand bemerkt, aber auch, daß du dir n appelkörbsche suchst, weil du seltsame fehler im netz hast, weil der externe server ne 172er ip hat... >> chilli ist ein radius nas. das zuweisen er festen ip geschieht also über >> den raduis server. > Ich habe bereits erfolglos ganz /etc/ nach allen möglichen Buzzwords > durchsucht... > Es wird offenbar fast alles über /etc/chilli/config eingestellt?!? ja. die chilli seite wird komplett über die config gesteuert. das ist in dem zitierten thread nach überfliegen recht gut erklärt. >> du lässt das netzsegment wie es ist. >> du beschneidest den dhcp pool, sodass er zb nur adressen bis 250 vergibt. > Das habe ich schon gemacht: dhcpstart=100 > läßt den DHCP-Bereich erfolgreich erst ab .100 beginnen! > Ich dachte, dass ich evtl Glück haben kann, wenn ich nun sowas einbaue wie: > # 30 statische Adressen von 172.11.0.1 bis .30 -- > # keine Überlappung mit dynip?? > HS_STATIP=172.11.0.0/27 nein. das sagt dem chilli nur, daß es für diese adressen die framed ip response des radius servers auswertet und zulässt. > Wie gesagt -- ausprobiert habe ich das noch nicht ... zumal dann ja im > Prinzip auch ein findiger Client/Schüler eine dieser festen IPs > übernehmen könnte und sich so Zugang "erschleichen" könnte??!? > Wenn dieser Ansatz also nix taugt, sag' Bescheid :) das ist korrekt. das ist aber nicht wegen der statischen ip, sondern wegen dem nötigen mac auth so. deshalb halte ich macauth im chilli nicht für gut... wenn jemand die mac eines macauth gerätes hat, diese in seiner wlan karte einträgt und sich ins netz hängt, kriegt er ne ip und sofortigen zugriff aufs internet. mac auth eben... >> bei deinem mehr als üppigen pool von 65000 gleichzeitigen clients, >> kannst du ihm auch gerne ein ganzes c netz spendieren :) > Wie gesagt: Vgl. Anleitung im linuxmuster-Wiki! > Da steht 172.11.0.0 voreingestellt... daher nochmal die Frage: Fehler??? ja. >> du führst eine neue radius gruppe ein, in der du den service type auf >> framed-user setzt. > .... puh, das ist mir zu kompliziert.... not now :) wie gesagt. die basis radius config für chilli ist recht einfach. es sind aber beliebig komplizierte erweiterungen möglich. radius auth ist ein sehr komplexes professionelles system. zb. erhälst du auch bei deinem dsl zugang deine zugangsconfig von nem radiusserver... jonny _______________________________________________ linuxmuster-user mailing list [email protected] https://mail.lehrerpost.de/mailman/listinfo/linuxmuster-user
