szia,
gondolom az teljesen ki van zarva, hogy a mar meglevo access pointok sugarozzanak egy masik SSID-t, ami egy masik VLAN-ban landol, amit szeparaltal kezelsz? mert ez volna az idealis megoldas. nulladik megkozelitesben ezert azt javaslom, ha most nem ilyenek az AP-k, akkor 1) a jovoben mar csak dual SSID-s, VLAN kepes eszkozoket vegyel, illetve jovobeli fejlesztesnel ilyesmi is legyen szempont. Gondolom a mogottes vezetekes halozat vlan kepes, tehat azzal gond nincs.
Na de nezzuk, mit lehet kihozni abbol ami most van. A tplinket mostanaban ugyis szereti mindenki: TL-WR710N szerintem a baratod. Ezzel ket modon tudnam elkepzelni a megvalositast, az egyik kevesbe jo, de trivialis, a masik szerintem a lehetosegekhez kepest optimalis de tobbet kell kuzdeni az implementacios szakaszban.
ha az egyszerubb, kevesbe jo megoldast akarod, akkor gyarilag is kepes az eszkoz arra, hogy wifi wan-t hasznaljon es sajat wifi-n tovabb ossza mint vendeg wifi. a problema nem ez, hanem utana elkulonitetten kezelni az eles halozattol. Nyilvan oszthatsz neki statikus cimet dhcp-bol, de barhogy igyekszel, valamit mindig fog latni a halozatbol. Minel hamarabb at kellene mennie az adatfolyamnak egy routing hop-on, ami lehet tuzfal vagy barmi, ahol lehet konrollalni, mihez fer hozza. Tehat a halozatod egeszet kell neked megvizsgalnod, hogy mihez ferhet igy hozza, mihez nem. Ha van kozel egy tuzfal a wifi vegzodesnel, akkor csak a tobbi wifis kliens forgalmat lathatja, ha akarja. Nem szep, de meg mindig jobb, mintha mindent. Ha nincs tuzfal, akkor minden mason egyedileg kell szabalyozni, hogy a vele egy halozatban levo X ip cim ne erhesse el. Hibalehetosegekkel tarkitott es rogos ut. Pontos implementaciot csak a halozatod ismereteben lehetne javasolni.
A foolproof megoldas ebben a kornyezetben egy openwrt-re frissites lenne, ez a tplink tamogatja. Miutan ez megvan, en tennek ra egy openvpn-t, es az iskolaban kineveznek egy openvpn szervert, belso hasznalatra. bootolas utan az eszkoz azonnal, amint netet kap, felepiti a vpn kapcsolatot es default route-kent be is allitja sajat maganak. ergo minden forgalom ami a vendeg wifi eszkozon athalad automatikusan tunnelezesre kerul es kibukkan az openvpn szervereden - meg mindig az iskola halozataon belul. Ezen a ponton viszont tudod szurni, egyeszeruen es egyertelmuen. A rendszer skalazhato, lehet tobb ilyen tplink dobozod, mindegyik sajat openvpn tunnellel, egyedileg tudod szabalyozni melyik mihez ferhet hozza. Lehet jobban vendeg halozat es kevesbe vendeg halozat.
Ami pedig a legjobb a masodik megoldasban, hogy a vendegek szamara az egesz teljesen transzparens, semmit nem vesznek eszre belole, te pedig nyugodtan alhatsz.
udv adam _______________________________________________ Techinfo mailing list Techinfo@lista.sulinet.hu Fel- és leiratkozás: http://lista.sulinet.hu/mailman/listinfo/techinfo Illemtan: http://www.szag.hu/illemtan.html Ügyfélszolgálat FAQ: http://sulinet.niif.hu/
