www.zeroshell.net

[SAngeli]

Salve,
Possiedo un router CISCO dove ho creato una VLAN per utilizzarla per il servizio di Access Point.
Quindi ho una presa Ethernet disponibile per poterci colelgare un dispositivo in merito.

Devo comprendere che hardware utilizzare per poter offrire ai miei clienti il servizio di accesso ad Internet via Wi-Fi, per navigare con un Web browser, leggere la posta elettronica e altro.

A primo acchitto, avevo pensato di utilizzare un prodotto della Zyxel chiamato Wireless Hot Spot Gateway ( http://www.zyxel.it/web/product_family_detail.php?PC1indexflag=20040520161256&CategoryGroupNo=4E14C850-478D-4204-8C85-2994C9552426 ) ma non voglio spendere €700.

Ho poi visto che ZeroShell dovrebbe essere il prodotto che fa per me.
Intendo utilizzare, se possibile, un vecchio PC acquistando una interfaccia Ethernet Wi-fi che sia però compatibile con la distribuzione di ZeroShell per poter installare il driver sotto Linux.

Ho quindi pensato di formulare qualche domanda. Magari qualche utente esperot può gentilmente aiutarmi.

1) Va bene se per il momento utilizzo un vecchio PC, acquisto una scheda di rete Wi-fi e installo ZeroShell?

2) Come gestirei la questione degli account dei clienti?
Ovviamente gli utenti vanno e vengono. Quindi devo essere capace di poter creare e cancellare gli utenti.

3) Quando un cliente si connette alla rete Wi-fi, l'unica cosa che vede è una pagina Web dove richiede di immettere Nome Utente e Password.
Alla corretta validazione fino a quando non fa il logout può usufruire dell'accesso ad Internet.

4) Ovviamente queste operazioni dovrebbero essere loggate, in base alla legge Pisanu. Come?

Può gentilmente qualche uno aiutarmi a trovare la giusta strada?

Grazie tante.
Spiro

[Francesco Steno]

[SAngeli]

Grazie Francesco per aver risposto.

Alcune altre considerazioni.

ovviamente per le schede di rete ne servono due, di cui la prima per poter effettuare il collegamento tra il router e il PC con ZeroShell. La seconda che è quella Wi-fi.

Domanda:
E se invece facessi girare ZeroShell da una macchina virtuale?
Questo mi risolverebbe il problema del PC.
Per quanto riguarda il dispositivo Wi-fi invece compro un semplice Access Point da €60 della Linksys e lo natto con Cisco che lo vede ZeroShell.

Potrebbe funzionare? Questo credo sia carino per il momento.
Così posso anche nattare alcune prese fisiche RJ-45 per Internet via cavo.

Per il link dove citi che ci sono molte risorse. quale è questo link?

Grazie,
Spiro

[Francesco Steno]

[SAngeli]

Ciao,

ti chiarisco quello che ho spiegato sotto.

Visto che alla fine dovrei dare il servizio di accesso ad Internet sia via Cavo che Wi-fi, ho pensato di impostare il mio pensiero in un'altro modo e volevo sapere se poteva andare.

Dove ho bisogno di Wi-fi installo un prodotto tipo questo:
- Linksys Access Point ( http://www.linksysbycisco.com/IT/it/products/WAP54G )

Dove invece ho il cavo Ethernet Cat 6 finisce comunque sullo switch.

Poi, introduco un sempliec PC con due NIC e ci installo ZeroShell.

Poi, con il mio router e i miei switch faccio si che tutti questi dispositivi si vedano con ZeroShell e non possano fare null'altro che accedere al PC dove vi è installato l'applicativo.

Sarà poi ZeroShell a gestire il tutto.

Questo intendevo dire.

Potrebbe andare bene così?

Grazie,
Spiro

[SAngeli]

... chi mi puo cortesemente rispondere in merito?

Grazie,
Spiro

[Francesco Steno]

si che puoi farlo.... se capito bene vuoi mettere la macchina con ZeroShell direttamente su uno switch utilizzando una sua NIC, e poi l'altra NIC la colleghi ad un gateway/modem che ti porta all'esterno, dico bene ?

[SAngeli]

No,

io intendo questo metodo dove PC1 e PC2 sono anche loro guest per Internet ma invece di avere Wi-fi hanno RJ-45.
L'access point qui viene inteso solo per il Wi-fi
L'access point in generale invece include sia il Wi-fi che il cavo (come PC1 e PC2)

Volevo sapere se ZeroShell lavora tassativamente ed unicamente sulla sua NIC in uscita dal server o se invece no. Perche questa domanda?
Semplicemente perchè non sempre si hanno delle infrastrutture dove tutti i cavi della rete convogliano in un unico punto ed in un unico switch.
Avvalendosi di switch layer 5 o fino a layer 5 (ad esempio), credo ma non sono sicuro, si possono indirizzare determinate porte degli switch a comportarsi in uno specifico modo e permettere a ZeroShell di vedere tutto ciò che comprende l'access point. Poi, magari, la NIC in uscita dal server di ZeroShell è dove attualmente si naviga su Internet per l'intero Access point.

Grazie,
Spiro

[Francesco Steno]

[SAngeli]

Ciao Francesco,

si, ho le idee un pochino confuse in quanto no ho grande esperienza con queste cose, in specifico.

Rispondo alle tue domande.

1) Attualmente ho un Cisco Router 877 al quale ho creato 2 VLAN. La prima VLAN è aziendale e comprende le prime tre interfacce su quattro. La seconda VLAN è invece dedicata per Access Point e vede solo l'interfaccia3, quindi se stessa.

2) Non ho ancora acquistato tutti gli switch in quanto mi servono 72 porte e gli switch li devo acquistare Managed e devo decidere di che layer.
Attualmente ho uno switch HP da 24 porte serie 1800 ma non è configurato.
Tutto è temporaneo fino a quando ho le risorse per fare gli acquisti definitivi.

3) Al momento ho solo 72 cavi CAT6 che arrivano tutti nella sala CED che verranno tutti intestati e collegati tutti ai futuri switch. Alcuni di questi 72 cavi collegano alla sala CED altri switch dislocati su piccoli quadri periferici alla struttura ai cuali vengono connessi altri dispositivi Ethernet tipo PC, Stampanti, un dispositivo Access Point della Linksys o Zyxel (credo) che offre esclusivamente connettività Wi-fi di cui parlavo prima.

4) Access Point = non ho associato una corretta definizione. Volevo solo distinguere il dispositivo Wi-fi dalle prese RJ-45 nei vari locali dove la gente può collegare direttamente con il cavo Ethernet il proprio PC

5) Chiarisco il concetto delle NIC e ZeroShell.
Usualmente un programma di firewall e più, come ZeroShell, deve avere minimo 2 NIC, ossia la prima in entrata dove riceve Internet. La seconda NIC in uscita dove fa passare tutto quello che è permesso e blocca il resto.
Così io ho inteso il sistema.

Ora, la mia lacuna sta nel spiegare questo concetto. Provo con un esempio:
Prendo un PC, installo ZeroShell, lo collego alla interfaccai3 del router Cisco 877 che equivale alla seconda VLAN del router.
Ora il PC è connesso alla LAN ed accede ad Internet.
Collego un piccolo switch a 7 porte alla seconda NIC del PC e ci collego tutto quello che voglio. Qualsiasi dispositivo collegato a questo piccolo switch potra navigare su Internet e sulla LAN secondo le regole create da ZeroShell.

La mia difficoltà invece stà nel comprendere quando il piccolo switch da 7 porte nel mio caso equivale nel concetto a diversi switches distribuiti nella mia infrastruttura dove magare 70% dei dispositivi è collegato allo stesso fisico switch dove è collegato il PC di ZeroShell da cui attinge la connettività ad Internet.

Quindi, provo a riformulare la domanda:
Può funzionare ZeroShell se ad esempio tutti i dispositivi sono connessi ad un unico switch, il PC di ZeroShell è collegato a questo stesso dispositivo e l'unica NIC collegata del PC di ZeroShell è la prima visto che non ho nulla da collegare alla seconda NIC del PC?

Spero che in questo modo ho spiegato meglio la mia domanda.


Mi scuso se ci metto tanto a capire le cose.

Grazie,
Spiro

[NdK]

Beh, se non hai problemi di banda puoi gestire il tutto con le VLAN ed una sola NIC per ZS...

In pratica gli AP saranno tutti su una VLAN (la 2). Sullo switch principale puoi dedicargli N porte o una sola a cui colleghi uno switch unmanaged -- in ogni caso su quesa/e porta/e la VLAN 2 esce 'untagged' e la 1 'forbidden' (altrimenti se un utente è sveglio, aggira ZS senza problemi).
La porta a cui colleghi ZS sarà invece configurata per offrire le due VLAN tagged (e magari droppare tutto il traffico untagged, che non fa mai male). ZS avrà quindi due eth virtuali (ETH00.1 ed ETH00.2) corrispondenti alle due VLAN ed assimilabili a NIC diverse.
Il resto è solo questione di policy del firewall di ZS (che, di default, è un po' troppo permissivo IMVHO...).

Come sempre consiglio di non usare il captive portal per connessioni wifi, ma di basarsi sull'autenticazione RADIUS con WPA-Enterprise, così da evitare "buchi di autenticazione".

[NdK]

Dimenticavo. Se già fai logging per il resto della rete (per il decaduto decreto Pisanu) e vuoi equiparare gli utenti wifi a quelli cablati, puoi semplificare ulteriormente e prendere switch "stupidi" (ed usare comunque ZS con una sola sk di rete).

In pratica usi ZS solo come autenticatore per RADIUS (e provider di credenziali), così che venga loggato chi si collega e che indirizzo riceve, poi il logging del traffico che genera va a finire insieme a quello del resto degli utenti e ti devi preoccupare di un solo NAT invece di due.

Così non ti servono configurazioni "strane" di VLAN, ma gli utenti wifi hanno libero accesso alla tua rete interna (dopo essersi autenticati) senza possibilità di filtraggio, come se fossero collegati via cavo.

[SAngeli]

Grazie NdK per le tue preziose risposte.

Le leggo attentamente e cerco di rifletterci sopra.

Tutti i miei swtich saranno in gigabit quindi non credo che avrò problemi di banda.
Potrebbe aiutare se dedicassi uno switch a 24 porte, come l'attuale HP procurve 1800 unmanaged collegando tutto quello che è cablato per AP e poi lo interfacciassi al PC di ZeroShell, così da rendere locale al PC il traffico pertinente al AP?

Grazie per ora.
Spiro

[NdK]

Se nella tua situazione ha senso, va benissimo

Quindi avresti tutti gli AP (max 23) che si collegano al procurve 1800 e la porta di uplink che va alla ETH01 di ZS. La ETH00 di ZS invece andrebbe al centro stella. Tieni presente che in questa modalità ZS deve essere in grado di analizzare tutto il traffico dei client collegati agli AP, quindi serve una macchina potenzialmente "cicciosa", soprattutto se usi L7 filtering.
Poi puoi decidere se fare o meno NAT. Se non lo fai "consumi" indirizzi della rete principale ma ti semplifichi la vita col logging.

[SAngeli]

grazie NdK per avermi risposto.

Ora devo solo fare delle prove e vedere/capire.

Il mio più grande problema è che non avendo molto tempo a disposizione da dedicare e conoscenze accurate in merito non me la sento di affrontare questo progetto.

Come posso trovare un rpofessionista che è capace di implementare questo progetto senza che mi debba costare un occhio della testa?

Per ora ringrazio tutti per le risposte.
Spiro

[NdK]

Mi sa che se esponi qui i tuoi dubbi, trovi chi ti risponde gratuitamente Ed intanto impari cose nuove (mica vorrai chiamare qualcuno ogni volta che qualcosa non va come vorresti, vero?).

Le cose importanti da sapere sono:
- il range di indirizzi che usi (o, meglio, tutta la topologia della tua rete)
- se hai già un server DHCP sulla rete, il range di indirizzi assegnati
- a cosa devono accedere (e a cosa no) gli utenti wifi
- se hai già un server RADIUS o un DB degli utenti
- se hai già un logger per ottemperare all'ex-Pisanu

BYtE!