Nachsitzen 2.0 oder Fragen zur Public-Spot Nutzung.

Pengiun · Beitrag von **Pengiun** » 10 Apr 2009, 14:05

Hallo,

ich hab im Moment einen L54 mit PublicSpot Option am laufen, das ganze will ich die nächsten Tage um 2 weiter APs erweitern, ebenfalls L54a. Gleiche SSID aber andere Kanäle, zwecks Roaming und um einen grösseren Bereich abzudecken.

Bevor ich das vermurkse wollte ich mal die Meinung der Experten hören, ob es so geht wie ich es plane;=)

Hier mal meine aktuelle Konfig.

LC1711]----A----[Squid-PC]-----B----[L-54a]

Auf dem L54 ist die Public-Spot Option installiert, die Hotspot-Nutzer werden im Moment über Lanconfig direkt im 54a gepflegt.

Auf dem Squid-PC läuft neben dem Proxy auch ein Syslogserver sowie ein Indianer für die Benutzerdefinierten Seiten für die Public-Spot Anmeldeseiten.

Der LC1711 ist via getaggtem LAN einmal direkt mit dem Squid-PC verbunden (A) und über einen zweiten LAN-Port auch direkt in Segment (B) verbunden. Am dritten Lan-Port des 1711 hängt das eigentliche Intranet. Via Firewall-Regeln, kann ich aus dem Intranet direkt auf den Squid-PC zugreifen als auch den L54 administrieren, Voucherdruck etc.

Bis hier läuft alles prima.

Frage 1.

Ins Netzsegment B sollen 2 weitere AP´s. Versteht ich das richtig dass die auch die PublicSpot Option brauchen? Oder kann ich da irgendwie drum rum mogeln;=) ???

Bisher kenne ich nur 2 Varianten.

Im 1711 eine PS-Option gebunden auf´s Lan-Interface setzten. Will ich aber nicht machen - da im Segment A auch Kisten Sitzen die keinen PS-Option benutzen sollen. Und dazwischen ist ja auch noch der Proxy-PC.

Oder die neuen AP ebenfalls mit PS-Opt ausstatten. Auf dem vorhandenen L54 den Radius aktivieren und die PS-Usertabelle für den Radius freigeben. Die beiden neuen AP´s nutzen dann zur Authenifizierung als Radius-Client indirekt die Nutzertabelle des vorhandenen AP´s.

Keine Dritte Variante ? Quasi dass die neuen AP´s die PS-Option auf dem vorhandenen AP mitbenutzen? Auch auf das Risiko hin - dass wenn der eine AP absemmelt die beiden anderen Ap´s keine Anmeldeseiten mehr haben.

In der Config gibt es doch die Möglichkeit die PS-Option auch auf LAN-1 zu binden und nicht nur auf WLAN-1. Oder ist das für was anderes ?

Frage 2.

Ich schnall es nicht mit den Zertifikaten;=) Im Moment hab ich die Public-Spot Anmeldeseiten auf http eingestellt. Hab also keine Verschlüsselung via SSL für die Logindaten bei der Hotspot-Anmeldung.

Imho könnte jeder der den Wlan-Verkehr mitschneidet die Anmeldedaten im Klartext lesen;=) ned so gut.

Daher hab ich mir mit XCA ein eigenes Zertifkat gebastelt, kann die Datei auch via Webconfig auf den AP laden. Nur wo zum Teufel bring ich der Kiste bei das Zertifikat auch für die SSL Verschlüsselung zu benutzen ?

Imho landet es ja im Lancom ja nur im Dateisystem. Aber Irgendwie fehlt mit jetzt der Weg der Zuordnung :=(

Und kann man hochgeladene Zertifikate auch wieder löschen, oder geht das nur via Resettaster ?

Dass das selbstgestrickte Zertifikat auch eine Warnung auslöst weiss ich, ich finde das aber tolerierbar. Im Default Modus kommen aber noch viel mehr Warnungen da das Lancom-Zertifikat ja gar nicht zu meiner Geräte Konfig passt. Mir geht hier imho nur drum, die Login-Daten des Hotspot-Systemes vor neugierigen Blicken zu schützen.

Irgendwelche Meinungen oder Tips ?

bis dahin - wünsche ich Euch frohe Ostern;=)

alf29 · Beitrag von **alf29** » 10 Apr 2009, 14:55

Moin,

Ins Netzsegment B sollen 2 weitere AP´s. Versteht ich das richtig dass die auch die PublicSpot Option brauchen? Oder kann ich da irgendwie drum rum mogeln;=) ???

Nicht so recht, dafür hat ein einfacher L-54 zu wenige Schnittstellen. Bei einem L54dual könnte
man einfach Public Spot aufs zweite LAN binden und dort die beiden neuen L-54 ohne Option
anschließen. Man könnte natürlich die L-54 per Point-2-Point an das erste L-54 anbinden und
Public Spot auf P2P-1-... binden - aber ob man das alleine dafür machen will, muß jeder selber
entscheiden. Die drei APs müssen dann z.B. alle auf dem gleichen Kanal laufen.

Im 1711 eine PS-Option gebunden auf´s Lan-Interface setzten.

Für ein 1711 gibt es gar keine Public Spot Option...

Oder die neuen AP ebenfalls mit PS-Opt ausstatten. Auf dem vorhandenen L54 den Radius aktivieren und die PS-Usertabelle für den Radius freigeben. Die beiden neuen AP´s nutzen dann zur Authenifizierung als Radius-Client indirekt die Nutzertabelle des vorhandenen AP´s.

Das geht natürlich, kostet aber mehr Geld (nämlich zwei Optionen...)

In der Config gibt es doch die Möglichkeit die PS-Option auch auf LAN-1 zu binden

Das kannst Du tun, aber das LAN ist dann als Verbindung zum PC nicht mehr verfügbar...und dann
geht dieser Aufbau nicht mehr.

Nur wo zum Teufel bring ich der Kiste bei das Zertifikat auch für die SSL Verschlüsselung zu benutzen ?

Du legtst das Zertifikat als SSL-Zertifikat und den dazu passenden privaten (RSA-)Schlüssel als
SSL-privater-Schlüssel ab. Dann benutzt die WEBconfig automatisch dieses Zertifikat, und die
Anmeldeseiten sind Teil der WEBconfig.

Und kann man hochgeladene Zertifikate auch wieder löschen, oder geht das nur via Resettaster ?

Per CLI oder WEBconfig-LCOS-Menübaum ins Verzeichnis Status->Dateisystem->Inhalt gehen.
Dort kann man die Dateien 'ssl_...' einzeln löschen.

Dass das selbstgestrickte Zertifikat auch eine Warnung auslöst weiss ich, ich finde das aber tolerierbar. Im Default Modus kommen aber noch viel mehr Warnungen da das Lancom-Zertifikat ja gar nicht zu meiner Geräte Konfig passt.

Ab LCOS 7.64 enthält die WEBconfig eine Automatik, bei der automatisch zum angefragten
Hostnamen bzw. IP-Adresse ein temporäres Zertifikat mit dem passenden Subject bildet. Damit
bekommt man nicht mehr die Warnung, daß Hostname und Subject im Zertifikat nicht mehr
zusammenpassen. Wer will, kann dann einmal das LANCOM-(Root)-Zertifikat im Browser importieren
und ist die Warnungen ganz los...

Mir geht hier imho nur drum, die Login-Daten des Hotspot-Systemes vor neugierigen Blicken zu schützen.

Naja, Verschlüsselung ohne passende Authentifizierung ist so eine Sache (Stichwort 'man in the
middle'). Aber das weißt Du sicher.

Ebenso frohe Ostern

Alfred

Pengiun · Beitrag von **Pengiun** » 10 Apr 2009, 18:32

Hallo Alf,

Nicht so recht, dafür hat ein einfacher L-54 zu wenige Schnittstellen. Bei einem L54dual könnte
man einfach Public Spot aufs zweite LAN binden und dort die beiden neuen L-54 ohne Option
anschließen. Man könnte natürlich die L-54 per Point-2-Point an das erste L-54 anbinden und
Public Spot auf P2P-1-... binden - aber ob man das alleine dafür machen will, muß jeder selber
entscheiden. Die drei APs müssen dann z.B. alle auf dem gleichen Kanal laufen.

OK - ich seh schon - nehme ich lieber 2 einfache L54 mit Option und bin dafür flexibel wenn mal einer futsch geht. Einer ist dann halt der Chef via integriertem Radius. Und die Konfig ist schön austauschbar.

Das mit dem gleichen Kanal geht in meiner Situation eh nicht, die Ap haben alle den gleichen Installationsstandort jede mit einer eigenen Sektorantennen - denke mal da ist es besser wenn die Kanäle gut auseinander sind;=)

Per CLI oder WEBconfig-LCOS-Menübaum ins Verzeichnis Status->Dateisystem->Inhalt gehen.
Dort kann man die Dateien 'ssl_...' einzeln löschen.

Danke, habs gefunden. Dann geb ich mir jetzt nochmal ne Runde.

Naja, Verschlüsselung ohne passende Authentifizierung ist so eine Sache (Stichwort 'man in the
middle'). Aber das weißt Du sicher.

Da, wo das steht, da gibts keinen "man in the middle";=) - die Leute sind schon voll auf damit beschäftigt ein unverschlüsseltes LAN zu connecten;=) Man muss es aber ja auch nicht zu einfach machen.