Hejsa
(undskyld topposting)
Som jeg tolker det du skriver så encrypter du forbindelsen mellem AP og
Server-NIC.
Det jeg ville gøre var at putte en sw-VPN client på alle Wave-LAN PC'ere, og
opsætte Server-NIC til kun at modtage IPSEC traffik.
På denne måde er du sikker på at det kun er kendte clients der er på gennem
din server.
Noget user auth ville også være på sin plads i samme forbindelse.
HTH
Martin Bilgrav
"Niels Callesøe" <pfy@nntp.dk> wrote in message
news:Xns94DCA9204E1F8k5j6h4jk3@62.243.74.163...
> Jeg forsøger stadig at få nogle maskiner på netværket over en usikker
> forbindelse[0]. Sidste gang jeg skrev et indlæg om det, fik jeg
> anbefalet at anskaffe et ekstra NIC, så det har jeg nu gjort.
>
> Jeg har et netværk der nu ser således ud[1]:
>
> (internet sky)
> |
> |
> 62.242.21.9/30
> [router, SS5781]
> 192.168.1.1/24
> |
> |---------- 192.168.1.200(dc0)[server, FreeBSD4.9]
> | 192.168.3.1/30(xl0)
> | |
> | 192.168.3.2/30
> | [wireless access point, NQ-9000]
> | 192.168.2.1/24
> 192.168.1.10-100 |
> | 192.168.2.10-100
> [et antal workstations] |
> [et antal wireless workstations]
>
>
> FreeBSD maskinen er konfigureret til at route trafik mellem sine
> interfaces, og det virker som sådan også fint nok[2]. Maskiner på
> wireless-benet kan fint forbinde til internet og til serveren.
>
> Det jeg gerne vil opnå er, at sikre forbindelsen mellem wireless-
> klienterne og FreeBSD maskinen således at jeg ikke behøver stole på
> hverken access point eller trafik i luften (der pt. er WEP-krypteret).
>
> Jeg har så forestillet mig at køre IPsec/transport mellem klienterne og
> serveren, men andre forslag modtages gerne[3].
>
> Desværre kan jeg ikke finde noget dokumentation der dækker præcis det
> jeg gerne vil. I den dokumentation jeg har kunne finde, kan jeg
> konstatere at jeg skal have compilet kernen med understøttelse for
> IPsec (done), jeg skal have installeret racoon for at kunne snakke med
> Windows maskiner (done) og jeg skal have defineret nogle regler for
> hvilken trafik der skal IPsec-krypteres. Og det er her kæden hopper af.
> Jeg har forsøgt med:
>
> setkey -c << EOF
> spdadd 192.168.3.1/32 192.168.3.2/32 any -P out ipsec
> esp/transport/192.168.3.1-192.168.3.2/require;
> spdadd 192.168.3.2/32 192.168.3.1/32 any -P in ipsec
> esp/transport/192.168.3.2-192.168.3.1/require;
> EOF
>
> Men det forhindrer så vidt jeg kan se kun trafik der faktisk ender på
> addressen 192.168.3.1. Dvs, med ovenstående kan jeg ikke længere pinge
> 192.168.3.1 fra en wireless klient, men jeg kan sagtens nå internettet
> stadigvæk (og pinge 192.168.1.200 i øvrigt).
>
> Da jeg ikke helt kan gennemskue hvad jeg skal gribe eller gøre i
> herfra, ville jeg blive meget taknemmelig hvis nogen kunne komme med et
> forslag til en løsning, eller måske endda et konfigurationsforslag til
> setkey.
>
> Jeg har sat FUT dk.edb.system.unix, men følger alle tre grupper, så
> svar gerne i den mest relevante gruppe ifht. svaret.
>
>
>
> [0]: Wireless, men det burde være underordnet[4].
> [1]: $ ifconfig
> dc0: flags=8843<UP,BROADCAST,RUNNING,SIMPLEX,MULTICAST> mtu 1500
> inet 192.168.1.200 netmask 0xffffff00 broadcast 192.168.1.255
> ether 00:50:bf:9c:07:f2
> media: Ethernet autoselect (100baseTX <full-duplex>)
> status: active
> xl0: flags=8943<UP,BROADCAST,RUNNING,SIMPLEX,MULTICAST> mtu 1500
> options=3<rxcsum,txcsum>
> inet 192.168.3.1 netmask 0xfffffffc broadcast 192.168.3.3
> ether 00:04:76:a1:e5:a5
> media: Ethernet autoselect (100baseTX <full-duplex>)
> status: active
> [2]: Efter jeg fik fortalt routeren hvor den skulle putte retur-trafik
> hen.
> [3]: Jeg har overvejet en proxy-løsning, ala Hotspot, hvis alt andet
> fejler.
> [4]: Derfor har jeg ikke postet til wireless-gruppen, den del virker
> fint.
>
> --
> Niels Callesøe - dk pfy
> pfy[at]nntp.dk -
http://www.pcpower.dk/disclaimer.php
> Bogus virus warnings are spam. Reject them using Postfix:
>
http://www.t29.dk/antiantivirus.txt