Hallo,
wie sieht das eigentlich im adhoc modus aus? (ohne AP) Kann ich da auch den Zugang mit MAC-Adressenfilter und mit WEP beschränken oder funktioniert das nur mit einem AP? Oder könnte man stattdessen VPN(PPTP/IPSEC) verwenden? Wie müsste man die beiden Rechner konfigurieren, bzw. die Desktopfirewalls? Hat jemand sowas schon ausprobiert bzw. Infos darüber? , würd mich über jeden Tipp freuen.
Heimnetzwerke - WIFI, LAN, Router und Co 16.538 Themen, 81.400 Beiträge
ipsec ist eigentlich der einzig vernuenftige weg das zu machen, vor allem deshalb weil sie wep verschluesselung nicht viel taugt. 800.11 mit ipsec ist keine grosse sachen, sofern man ein os hat das das kann - also im fall von windows eben w2k oder xp. wenn die beteiligten rechner in einer active directory domain sind muss man eigentlich nur eine domain weite policy im ad einstellen, die sich darum kuemmert das alles per ipsec verschluesselt wird. hat man keine ad domaine sondern einfach nur zwei rechner, dann kann man beim windows ip sec eingenen gemeinsamen schluessel verwenden und die kommunkation von ipsec mit diesem schluessel verschluesseln lassen.
max adressfiltermoeglichkeiten kenne ich in diesem zusammenhang keine, zumindest keine mit bordmitteln. (ausnahme: mat hat einen ad controller und verwendet dhcp, dann kann der dhcp server die ip vergabe auf mac ebene eischraenken.)
pptp bzw. vpn geht natuerlich auch, ist aber zumindest momentan (unter windows) ehere schwierig zu haben, denn dann braucht man in irgend einer art eine infrasturktur die das besorgt, und das bedeutet das man auf jeden fall eine ad controller _und_ einen radius server alternativ einen ias server braucht.
in windows xp sp1 wird eine erweitrung drin sein (peap) mit der sowas vermutlich leichter zu haben ist, allerdings habe ich das noch nie wirklich richtig testen koennen.
WM_HOPETHISHELPS
thomas woelfer
Hallo,
thx für die schnelle Antwort.
Also ich dachte da eher an eine Lösung mit Linux, sorry mein Fehler, ich habe es wohl nicht genau genau genug formuliert.
Ich dachte daran eine eigene Kiste als vpn Server laufenzulassen (vgl. www.fli4l.de), in der dann eine Wlankarte und eine normale netzwerkkarte als Verbindung zum restlichen Lan (bei mir 2pcs am hub) steckt. Die vpn (PPTP) Verbindung zwischen dem Laptop und der linuxkiste ist ja dann so weit ich weiß mit 128bit verschlüsselt. Oder lieg ich da falsch bzw ist da ein Unterschied zwischen PPTP und ipsec (bzw. FreeS/wan)? Ich denke problematisch ist dann nur, wie ich dann der linuxkiste (2.2.19ner Kernel, packetfilter (ipchains)) beibringen soll nur vpn packete zu akzeptieren (evtl diese dann auch nur noch von dem laptop) bzw den laptop (win98/2k mit zone alarm) dazuzubringen nur vpn packete von der linuxbox anzunehemen. Also alles andere verbieten außer das vpn protokoll.
Aber wie macht man das?
Noch ne Frage zu dem macfilter bzw. DHPC-Server:
Wenn aber jetz jemand seinen Wlan-NIC mit einer festen IP konfiguriert, kann er doch in mein Netz auch ohne eine ip von einem DHCP server bekommen zu haben, wenn ich es nicht so absichere, dass man nur mit vpn "durchkommt", oder täusch ich mich da?
ZU PPTP/VPN unter windows:
als clinets kann ich doch alle Versionen von Windows verwenden (auch für win98 version1 und win95 gibts ein vpn/pptp update) und als server könnte man wenn man nicht wie ich linux verwenden möchte, win2k prof (nur 1 Verbindung möglich, aber im diesen Fall ausreichend) oder ja auch win2k server bzw advanced server verwenden, oder hab ich da was falsch verstanden?
zu XP sp1:
klingt interessant, aber ich hab irgendwie noch eine Aversion gegen XP und will ich mir es aus Kostengründen und wegen der "tollen" Marketingstrategie von M$ nicht oder zumindes in nicht allzu naher Zukunft zulegen.
Vielen Dank für die Mühe schon mal im Vorraus
zunaechst mal ist es _ganz_ _sicher_ eine gute idee eine firewall/router zwischen dem lan und dem funknetz zu haben - egal wie. deine vorstellung da ein fli4l dazwischen zu tun ist sicherlich in die richtige richtung gedacht. was die verschluesselung per linux pptp dann da tut kann ich nicht sagen; das weiss vielleicht jemand im linux bereich. die frage die da wichtig ist ist dabei die, ob die verwendete verschluesselung auch fuer den funknetzubereich sinnvoll ist oder nicht - pptp ist ja eigentlich dafuer nie gedacht gewesen, es stellt sich also die frage was da passiert wenn ein dritter beliebig viele pakete einsammeln kann. ich _vermute_ das auch hier die antwort die sein wird, das das eigentlich nur mit einem raduis server und ike wirklich sicher zu machen ist... wie gesagt: eine vermutung.
die ipchains problematik ist dabei aber nicht anders als sonstwo auch, das hat mit dem 800.11 nichts zu tun. prinzipiell hast du da immer drei probleme die man nicht ducheinander bringen darf:
-
- verschluesselung der per 800.11 uebertragenen pakete (z.b. mit ipsec + wep)
- authentifizierung des per funk angeschlossenen rechners (z.b. mit radius oder sonstwie)
- abblocken von dritten die es sonstwie schaffen auf den accesspoint _oder_ den per funk erreichbaren client zu kommen. (firewall problematik und zwar vor und hinter dem gateway fuers funknetz.)
wg. des dhcp servers: nein, dass kann er bei einem ad server nicht, wenn man das richtig macht. der ad server laesst _nur_ rechner ins netz die als ad mitglieder angemeldet sind. (per guid, schlecht zu faelschen.) ausserdem kann man im ad noch sicherstellen das nur ein 'passender' ip bereich verwendet werden kann und der wird _nur_ vom dhcp server verteilt. das laeuft darauf hinaus, das man entweder vom dhcp server eine adresse bekommt (weil man im ad drinsteht) oder eben nicht. lange rede kurzer sinn: mit der kombination aus ad controller inkl. dhcp server unter exklusiver festlegung von mac adressen fuer zulaessige dhcp clients ist die sache m.e. dicht; zumindest formal und unter ignorieren der tatsache das man natuerlich auch immer angriffe befuerchten muss an die man nicht gedacht hat :))
pptp/vpn unter windows: sicherlich kannst du alle clients verwenden wenn du pptp mache willst - nur wie gesagt denke ich das pptp da ohne internet key exchange (ike) und ipsec einfach nicht sicher genug ist, denn es geht ja _auch_ darum das die daten nicht einfach eingesammelt werden koennen. wie gesagt, kann mich taeuschen - wenn du mehr lernst: lass es mich wissen. :)
WM_FYI
thomas woelfer
Hallo,
ok nachmal Danke für deine Antwort, dann werd ich mich mal in einschlägigen linux ngs umhören. Ich schick dir dann meine Ergebnisse per mail.