Maxivuk je napisao(la):
Dakle da pojasnim sta hocu.
Trenutno imam LAN ethernet mrezu kroz koju je internet podeljen obicnom maskaradom, klijentski racunari imaju fixne IP adrese. Veza se ostvaruje preko LAN kartica. Za izlazak na internet nije potrebna nikakva autentifikacija, tako da nemam uvid u to ko trosi . Naime problem je ako dolazi do namerne zloupotrebe i uzimanja tudje IP adrese.
Zato hocu da uvedem radius server i autentifikaciju kao kod PPP provajdera, tako da se internet moze koristiti samo sa odgovarajucim username-om i password-om.
Ali radius ne moze da radi direktno preko etnerneta nego mi treba PPPoE konekcija.
Dakle pitanje je kako da klijenti koriste PPPoE? Da li mi treba PPPoE server?
Da li je neophodan neki dodatni hardware-ski element da bi sve to radilo?
Resenje Radius + pppoe je preslikavanje onoga sto rade internet dsl provajderi. Mislim da to nije najbolje resenje u tvom slucaju - zasto bi radio jos jednu enkapsulaciju/dekapsulaciju paketa i tako opterecivao i klijente i taj suse server? Inace radius server nije vezan za ppp tj pppoe, radice autentifikaciju i preko TCP/IP - mozda te je zbunilo to sto provajderi zbog sigurnosti i brzine stavljaju radius server na posebnu masinu koja odgovara na upite pristigle sa modemskih koncentratora.
Cini mi se da je najbolje resenje koriscenje OpenBSD-a i njegovih firewall mogucnosti preko pf-a (pandan linuxovom iptables-u) i authpf-a.Authpf je i napisan u cilju pravljenja autentifikacionih gejtveja. Jedini problem je to sto je ovo izvodljivo na openbsd-u a ne na suse-u, jer iptables-i nemaju ovu mogucnost out-of-the-box vec je potrebno dovijati se na razlicite nacine. Detalji na
http://www.public.asu.edu/~hondaman/obsd/2/unug-fw-with-kirt_files/frame.htm
Jedan od pristupa 'kako napraviti linux gejtvej sa autentifikacijom' moze biti koriscenje dante-a -
http://www.inet.no/dante/ . Dante za razliku od iptables-a koji radi na lejerima 2 i 3 radi u aplikativnom lejeru, i uz to mogu da mu pristupaju samo socks klijenti (sto znaci da ces morati posebno da podesavas klijentske racunare
). Sve u svemu, nesto sto podseca na MS ISA server.
Drugi pristup jeste koriscenje algoritma za dizanje linux wireless gateway-a sa nekom vrstom autentifikacije. Postoji odlican dokument na
http://www.linux.org/docs/ldp/howto/Authentication-Gateway-HOWTO . Koristi se dhcp, netfilter,iptables, LDAP za autentifikaciju i nocatauth za dinamicko dodavanje/brisanje firewall pravila. Btw, nocatatuh ne mora da koristi iskljucivo LDAP, moguc je rad i sa radiusom, lokalnim userima na linux masini itd. Klijenti se autentifikuju ili preko web interfejsa ili tako sto drze otvorenu ssh sesiju ka gejtveju. Ja ovo nisam radio u wired, ali u wireless mrezama jesam; sa wireless klijentima sve radi savrseno. U principu trebalo bi da bude dovoljno promeniti config fajlove tako da umesto da gadjaju wireless gadjaju ethernet karticu, i sve ce biti ok.
Treci nacin je koriscenje MikroTik-a (ili neke druge specijalne linux distribucije). Sve gorenavedeno iz tacke 2 mikrotik ima vec ugradjeno i lepo sredjeno za pocetak rada - potrebno je samo podesiti parametre kao sto su IP brojevi, pool dhcp servera itd. Autentifikaciju moze da radi sa lokalnim user-ima koje kreiras na njemu ili se pak oslanja na spoljni radius server.Kapiram da ti ni ovo resenje ne odgovara, jer se mikrotik placa nekih 80-ak dolara a uz to iskljucuje koriscenje SuSe-a.
E sad jos ostaje pracenje logova, tj statistika. Ovo je izgleda najlaksi deo jer se preko mrtg-a (spominjao sam ga u prethodnom postu) dobijaju statistike saobracaja na bilo kom mreznom interfejsu; odrazumeva se da ces SuSe postaviti iza postojeceg rutera kojim si povezan na internet a ispred ostatka lan-a
Smorih
Poz.
