 |
|
|
|
  |
LANCOM-Forum.de Foren-Übersicht » LANCOM Wireless: LC 3850 UMTS, LC 3050, LC 3550, L-54ag, L-54g, IAP-54 OAP-54, OAP-54-1, C-54g, C-54ag, OAC-54-1 und L-54dual |
Gehe zu Seite Zurück 1, 2 |
| Autor |
Nachricht |
mapamann
Anmeldungsdatum: 27.08.2007
Beiträge: 21
|
 Verfasst am:
Mo 19 Jul, 2010 13:26 |
  |
|
| alf29 hat folgendes geschrieben:
|
Eventuell bekommst Du das mit der Firewall hingebogen,
dazu müßtest Du auf den APs aber routen und nicht bridgen -
womit wiederum das transparente Roaming flöten geht.
Das macht man besser zentral auf dem Gateway.
Gruß Alfred
|
Hi,
wollte irgendwie doch nochmal diesen Ansatz verfolgen.
Hast du nich doch nen kleinen Tip diesbezüglich für mich? Muss ja theoretisch nen Grund geben, wieso der Vorschlag kam.
Hab bis jetzt probiert und eine Regel in der FW erstellt, die für alle verbundenen Stationen eine SYSLOG Meldung auswirft, wenn diese etwas machen.
Weis nur nicht, ob das so der rechte weg ist.
Gruß
Stefan |
|
|
     |
|
Guest
|
| Verfasst am:
|
|
|
|
|
|
Pengiun
Anmeldungsdatum: 11.07.2006
Beiträge: 86
|
| Verfasst am:
Di 27 Jul, 2010 16:17 |
|
|
Hallo,
sorry für die etwas verspätete Antwort.
Wenn Du das Ding so richtig Dich machen willst;=) dann würde ich einen IPCOP davor setzten. Squid ist da on Board und man kann dort den Squid mit diversen Gemeinheiten erweitern. Unter anderem gibt es da auch ein P2P Blocker. Das Ding nennt sich Layer7 Filter und besteht aus mehreren Teilen. Ich benutzen den zwar nicht, aber der scheint als Content Filter zu arbeiten und den Inhalt der Pakete zu analysieren. Die gängigen Download-Client lassen sich damit wohl ausschalten oder besser extrem Ausbremsen so dass es einfach keinen Spas macht;=)
Der IPCOP hat halt den Vorteil dass man den Squid via Webfrontend konfigurieren kann. Die Loglevel sind frei einstellbar. Wenn man beobachten will was die Leute so alles treiben, ich meine manche Gemeinheiten sieht man erst wenn man den Traffic sieht - dann ist zur Erkennung das System ne tolle Sache.
Was bein der Lösung von Nachteil ist, man kann auf dem Ding keinen Webdienst anbieten, also um z.B. eigene Loginseiten zu hosten. Da kommt dann immer der Spruch, keine Dienste direkt auf der Firewall;=)
Du kannst den Cop ja auch zum austesten nehmen und dann wenns läuft Dir einfach mal ansehen was er alles im squid.conf eingetragen hat. Der Cop nutzt aber kein Debian, sondern so eine abgespeckte Mini-Ditri.
Pengiun |
_________________
Pengiun |
|
|
|
backslash
Moderator
Anmeldungsdatum: 08.11.2004
Beiträge: 4467
Wohnort: Aachen
|
| Verfasst am:
Di 27 Jul, 2010 16:46 |
|
|
Hi mapamann
| Zitat:
|
Hab bis jetzt probiert und eine Regel in der FW erstellt, die für alle verbundenen Stationen eine SYSLOG Meldung auswirft, wenn diese etwas machen.
Weis nur nicht, ob das so der rechte weg ist.
|
ganau das ist der rechte Weg. Wenn du dabei als Trigger "0 Pakete absolut" eingetragen hast, wird damit jede Session zu ihrem Beginn geloggt. Wenn du z.B. Zugriffe auf nicht reagierende Server ausfiltern willst, dann kannst du den Trigger auch höher stellen und die Syslog-Meldung z.B. erst nach dem 10. Paket schicken.
Gruß
Backslash |
|
|
|
|
stefanbunzel
Anmeldungsdatum: 03.02.2006
Beiträge: 584
Wohnort: Jauernick-Buschbach bei Görlitz
|
| Verfasst am:
Di 26 Okt, 2010 09:14 |
|
|
Hallo LANCOM,
ich habe bei mir inzwischen auch einen Radius-Server (Free-Radius) im Netz und möchte damit insbesondere die von den Usern verwendeten IP-Adressen (mit und ohne DHCP) für weitere DIP-Regeln erfassen.
Warum können die Lancom's nur WLAN-Clients per Radius melden? Bei mir wäre auch die Erfassung der LAN-User erfoderlich.
Ich glaube, dass diese Funktion schon öfter gewünscht wurde aber nach wie vor noch nicht implementiert wurde?
Gibt es einen Trick, wie ich auch LAN-User an einen Radius-Server übermitteln kann?
Stefan |
_________________
7100VPN, mehrfach: 1722, 1711, 1721, 1823, R800+, ES-2126, 1811, 322agn, 321agn, 315agn, 310agn, L-54dual, L-54a(g), PS-Option, 7011, 821, 3050, 3850, IL-2, IL-11
VDSL50, 5 x DSL-16.000, 2 x IPCop, Ipoque PRX-1100 / PRX-20
>370 Haushalte WLAN-DSL |
|
 |
|
alf29
Moderator
Anmeldungsdatum: 07.11.2004
Beiträge: 4409
Wohnort: Aachen
|
| Verfasst am:
Di 26 Okt, 2010 09:24 |
|
|
Moin,
| Zitat:
|
Warum können die Lancom's nur WLAN-Clients per Radius melden? Bei mir wäre auch die Erfassung der LAN-User erfoderlich.
|
unter anderem weil es im LAN kein Äquivalent zur
WLAN-Stationstabelle gibt? Im WLAN gibt es eine
definierte An- und Abmeldeprozedur, womit man pro
Client ( = MAC-Adresse) den Status genau nachhalten
kann, unter anderem wann eine Session beginnt und
wann sie endet. Im LAN hat man das alles nicht, LAN-
Stationen schicken einfach Pakete und Abmelden tun
sie sich auch nicht, ein Session-Ende bekommt man
bestenfalls per Idle-Timeout mit. Mit 802.1x auf den
Ethernet könnte sich das ändern, aber das ist noch
Zukunftsmusik...
| Zitat:
|
Ich glaube, dass diese Funktion schon öfter gewünscht wurde aber nach wie vor noch nicht implementiert wurde?
|
Also ich bin ziemlich sicher, daß ich diesen Wunsch hier zum
ersten Mal höre...
| Zitat:
|
Gibt es einen Trick, wie ich auch LAN-User an einen Radius-Server übermitteln kann?
|
Mit der nächsten LCOS-Release (vermutlich 8.30, irgendwann
im Frühjahr) wird es im Public-Spot eine MAC-Adressliste
geben, d.h. man kann bestimmte MAC-Adressen an einen
Benutzer binden und automatisch freigeben. Damit kann man
dann das Accounting in der Public-Spot-Option nutzen.
Gruß Alfred |
|
|
|
|
|
|
|
|
LANCOM-Forum.de Foren-Übersicht » LANCOM Wireless: LC 3850 UMTS, LC 3050, LC 3550, L-54ag, L-54g, IAP-54 OAP-54, OAP-54-1, C-54g, C-54ag, OAC-54-1 und L-54dual |
Gehe zu Seite Zurück 1, 2 |
|
| |
|
|
