On 10/31/12 07:58, Miroslav Prýmek:
stojim pred problemem pokryti stredni instituce Wifi signalem.
Oni se snad vsichni vsude docista zblaznili. A najednou ...
hlavni je spis jednoduchost pouziti, bezproblemovost konfigurace na ruznych OS * melo by byt na slusne urovni zajisteno, aby sit nebyla uzita neopravnenymi uzivateli
Tyto dva pozadavky jsou proti sobe. Protoze prvni problem s neprilis zdatnymi uzivateli je v prihlasovacich udajich. Kratky a jednoduchy heslo ti zanedlouho nekdo prolomi, dlouhy a slozity zase budou mit problemy zadavat. A to na nekterejch konfiguracich ho musi zadavat pokazde, protoze pri nekterych konfiguracich se neuklada.
Ale tohle s FreeBSD nesouvisi.
trochu obavu z kombinace W98+WPA+WDS+Radius. Co jsem se tak dival,
A ony uz mely W98 vestaveneho autentizacniho klienta pro WiFi ? Ja mel dojem, ze na tech to resil vyrobce kazde bezdratove sitove karty samostatne. Takze pokud nevis co za karty na tech W98 budou mit, nedokazes o tom rict nic. Ale problematika W98 sem az tak nepatri.
Druha moznost, ktera by v dane situaci byla asi pro uzivatele daleko prijemnejsi, by bylo klasicke reseni pres webovou autentizaci - pri
O slusne fungujicim hotovem nastroji nevim, vim o nekom, co si potrebne skripty udelal sam. Ono o zas az tak slozite neni. Nejslozitejsi je vymyslet kdy ho vlastne chces odhlasit.
Bylo by fajn, kdyby se dal delat aspon zakladni shaping, aby wifi klienti neomezovali kritictejsi provoz. To by predpokladam melo jit hladce bez vetsich problemu (firewall PF). Je to tak?
Pokud si omezeni nastavis na "obou stranach" tak ano. Klienti ale malokdy zahlcuji sit pakety, ktere odesilaji (i kdy zi to se muze stat). Spis si objednaji velka data "z venku" a sit ti zahlcuji ta. Omezovat to pochopitelne musis driv, nez ti to tvoji siti projde. Nema smysl nechat nejdriv data projit siti a teprve na konci je zahodit.
A to samozrejme plati i pro linku, kterou to mas cele pripojene nekam. Spatne reseni nechat tou linkou protekat video do uzivatelova torrentu, v podstate to ucpat, ale na tvem konci ty pakety, kterym se podari projit zahazovat shapingem ...
Taky predpokladam, ze rozhazovani VLANs nebude mit meritelny vliv na rychlost/latenci neotagovaneho provozu.
Pravdepodobne.
Nerad bych se rozhodl pro nejake reseni, ktere by se az v provozu ukazalo jako neprakticke
Tak pokud se ti to povede a vyse recene bude platit jeste za dva roky, jsme ochoten to klasifikovat jako regulerni zazrak. To budou klienti s horsi antenou, kteri v nekterych mistech kde by si to prali nebudou mit signal. Takze by bylo treba AP zesilit. Jina zarizeni, s lepsi antenou ale spatnou implementaci ovladacu ve stejnem miste uvidi signal vic nez jednoho AP, budou mezi nimi poskakovat a protoze kazdy handover znamena vypadek, budou efektivne stale ve vypadku, bez schopnosti datoev komunikace (a jeste budou zatezovat auettnizacni server). Takze by bylo treba signal nekterych AP spise zeslabit. Krome notebooku se zahy objevi nekdo, nejlepe nekterej ze sefu, se smart telefonem ci nejakym super cool tabletem, kterej ale bude mit velice omezenou mnozinu autentizacnich protokolu, ktere zna.
Takovejch siti "pro par predem danejch znamejch nekritickejch klientu" uz jsem videl (presneji receno, jak znacne se pozadavky zmenily jen par mesicu po te, co to zacalo fungovat) ...
Ale tohle s FreeBSD taky nesouvisi ... Tak hodne stesti ;-) Dan -- FreeBSD mailing list ([email protected]) http://www.freebsd.cz/listserv/listinfo/users-l
