Ahoj, stojim pred problemem pokryti stredni instituce Wifi signalem.
Popis prostredi: * nejmensi mozna konfigurace, ktera pokryje vsechny budovy predpoklada 6 AP, z toho minimalne jedno pripojene pres WDS. * wifi sit pobezi fyzicky po stejnych kabelech jako vnitrni sit instituce, oddeleni pomoci VLAN * HW AP: Mikrotik RB751G-2HnD * sit bude jen pro zname klienty, kterych zatim nebude moc (do desiti), pozdeji bude pocet asi narustat * klienti jsou starsi lidi s vlastnimi laptopy - tezko predpokladat nejaky konkretni OS, spis se asi muze stat, ze se objevi i nejaka obstarozni W98 apod. * klienti nebudou schopni si nic moc sami nastavovat * nastesti ale bude mnozina klientu pomerne stabilni - pri nejhorsim bych jim to mohl nastavit ja, ale byl bych rad, kdybych se tomu mohl vyhnout * nejedna se teda o klasicky hotspot, spis o nahradu za kabelovou sit pro "ne-kriticke" klienty * vykon a spolehlivost nejsou primarni kriteria, hlavni je spis jednoduchost pouziti, bezproblemovost konfigurace na ruznych OS * melo by byt na slusne urovni zajisteno, aby sit nebyla uzita neopravnenymi uzivateli * standardni sifrovani wifi provozu (nejaka varianta WPA) * nejaky accounting, sledovani provozu apod. vyhodou (to si kdyztak nejak dobastlim sam, to neni kriticke) Problemy, u kterych si zatim nejsem uplne jisty resenim: 1. Autentizace Idealni backend by pro me z hlediska spravy byl OpenLDAP/FreeBSD. Pouzivam firewall PF. Resim hlavne, jak v dane situaci nejlip vyresit komunikaci s klienty. Nabizi se pouzit bud specializovanou technologii (Radius), ale mam trochu obavu z kombinace W98+WPA+WDS+Radius. Co jsem se tak dival, informace jsou ruzne - od "na Mikrotiku vubec nepodporovano" az po "ok funguje" - nejak se v tom nemuzu zorientovat a pomohlo by mi, jestli s tim nekdo mate zkusenosti... Druha moznost, ktera by v dane situaci byla asi pro uzivatele daleko prijemnejsi, by bylo klasicke reseni pres webovou autentizaci - pri pripojeni noveho klienta vsechna spojeni zakazat, krome spojeni na port 80 - ta presmerovat na autentizacni stranku. Po uspesne autentizaci klientovi povolit normalni komunikaci na firewallu (podle MAC nebo IP). Je na to pro FreeBSD nejaky slusne udelany a slusne fungujici nastroj, nebo je lepsi si to zprovoznit ve vlastni rezii? Mate nejake zkusenosti? Tahle moznost je ale blba v tom, ze by neslo (?) wifi provoz sifrovat. Nebo to jde nejak zaridit? (napr. ze by si po autentizaci klient mohl stahnou nejaky skript pro konfiguraci WPA - neco jako automaticka konfigurace proxy pres PAC... neexistuje nahodou neco takoveho?) 2. VLANy Rozhozeni VLAN bude probihat na FreeBSD serveru stylem dev0 = wifi (tag X), dev1 = vsechno ostatni (neotagovany provoz). Bylo by fajn, kdyby se dal delat aspon zakladni shaping, aby wifi klienti neomezovali kritictejsi provoz. To by predpokladam melo jit hladce bez vetsich problemu (firewall PF). Je to tak? Taky predpokladam, ze rozhazovani VLANs nebude mit meritelny vliv na rychlost/latenci neotagovaneho provozu. (tj. nebude rozdil oproti soucasne situaci, kdy se VLANy nepouzivaji a vse bezi normalne pres zarizeni sitovky - em0). Nerad bych se rozhodl pro nejake reseni, ktere by se az v provozu ukazalo jako neprakticke, takze se obracim na vas s prosbou o nasmerovani na reseni, se kterym mate dobre zkusenosti. Ty casti dotazu, ktere jsou OT (Mikrotik, WDS, WPA...) asi mozna radeji mimo konferu. Diky moc za jakekoliv vase rady a zkusenosti, mejte se hezky Mirek -- FreeBSD mailing list ([email protected]) http://www.freebsd.cz/listserv/listinfo/users-l
