Роутеры: общие вопросы

[Kin]

Тема создана с целью задать общие технические вопросы по роутерам независимо от провайдера

Чур я первый!

Итак: имеем офис на 10 стационарных компов с разведённой сетью через роутер. Возникла необходимость создания возможности для приходящих ноутов включать в эту же сетку через WiFi. Как я понимаю, два роутера (вайфай включаем в проводной) не комильфо, а покупать переходники на все машины тоже не сильно хочется. Вопрос: как в существующую проводную локалку добавить WiFi точку доступа без капитального технического перестраивания сети?

[Lord of rings]

а почему "не комильфо" в свич, к которому подключены компьютеры и роутер, включить еще и точку доступа.... да, router и access point - это несколько разные вещи по принципу работы. Хотя 40уёвый роутер может быть и точкой доступа (вай-фай).

Для разных приходящих нотиков хорошо было бы чтобы точка доступа имела радиус-сервер для аутентификации. Встроенный (есть такие Зюхели) или внешний...

[Grizli]

Для разных приходящих нотиков хорошо было бы чтобы точка доступа имела радиус-сервер для аутентификации. Встроенный (есть такие Зюхели) или внешний...

Да, да и прикрутить EAP-TLS авторизацию, чтобы даже свои мучались.


Если попробовать мыслить логично, то прикупить готовое решение на 10+ портов изернет + вифи практически нереально. Следовательно, необходимо будет объединить 16+ портов изернет свитч + АП.

[Kin]

Гризли
АП?

[densen2002]

Вопрос: как в существующую проводную локалку добавить WiFi точку доступа без капитального технического перестраивания сети?

Купить точку доступа (не роутер с вифи) и включить в локалку.

Длинковские щас дешевле грибов.


Автоизация?

Второй вариант - поставить роутер с вайфай Драйтек Вигор 2910VG.

Он умеет терминировать ВПН поверх ви-фи на встроенный ВПН сервер и не пускать юзеров без ВПН в локалку. Безопасность беспроводной сети резко повышается. Даже если взломать сам ви-фи, то трафик юзеров все равно шифрован и доступ в локалку будет невозможен.

[Lord of rings]

http://zyxel.ru/content/catalogue/smb/wi-fi/ap/257

[maxx™]

Да, да и прикрутить EAP-TLS авторизацию, чтобы даже свои мучались.

С чего это свои мучаться будут?

Он умеет терминировать ВПН поверх ви-фи на встроенный ВПН сервер и не пускать юзеров без ВПН в локалку. Безопасность беспроводной сети резко повышается. Даже если взломать сам ви-фи, то трафик юзеров все равно шифрован и доступ в локалку будет невозможен.

В исходном вопросе вообще не ставилась задача про безопасность и неизвестно какой роутер. При наличии гостевых компов по вайфай ИМХО лучше всего делать так:
Разделить эзернет и вайфай в разные vlan, а на роутере уже строить куда и кому ходить.
Если роутер такого не умеет, компы между собой работают с использованием ipsec. Оно незаметно и не требует юзеров никаких действий по поднятию. Гостевые же компы смогут воспользоваться разве что инетом и не смогут получить доступ в локалку. ТАм куда нужен доступ гостепым компам настраиваются соответствующие политики ipsec.

[Grizli]

С чего это свои мучаться будут?

Ну все красиво и просто только в теории.
Я попробую донести до вас сам процесс.
1) Необходимо установить и настроить радиус сервер
2) Необходимо нагенерить сертификатов для клиентов и для сервера
Надеюсь понятно, что клиентские сертификаты должны быть разные, потому как после увольнения какого-либо сотрудника сертификат необходимо отозвать или пункт 2+ повторить.
3) Необходимо на каждую рабочую станцию установить сертификат и произвести необходимые настройки для подключения к AP
Ха, а ведь это не все. Это всеголишь авторизация. А траффик между клиентами и AP открыт.

Варианты? Ага, будем крутить еще шифрование с ipsec. Правильно, самое логичное, заюзать тот же сертификат, потому как опять же увольнение сотрудника и придется перенастраивать всю сеть.

Супер. Имеем, хорошо защищенную и надежную сеть.

Блин, фигня вышла. В офисе 192.168/16 сеть и у директора дома такая же. В офисе у директора на нотике все работает, дома нет. После легкого почухивания теменной области становится понятно, что это из-за ipsec.

Ах, да теперь главное не потерять самоподписный сертификат и уволится до того, как начнут умирать от старости клиентские сертификаты.

Кучу разных мелочей вроде того что ipsec и eap-tls далеко не всеми виндами поддерживается и т.п я опустил

[maxx™]

Ну все красиво и просто только в теории.
Я попробую донести до вас сам процесс.

Тем не менее на практике у нас все работает. Подключаешься и в зависимости от того кто залогинился на комп выдается ip из соответствующей подсетки. Например логинюсь я - получаю ip где открыт nat, логинится другой юзер - получает ip из его сетки.
В общем Вы какой-то ужас рассказываете, на практике все работает.

[Grizli]

Ну почему же ужас. Все как есть.
А ипы выдает дхцп сервер. И может их раздавать индивидуально на основании маков. Скажу больше, с помощью дхцп сервера, можно засовывать пользователей в разные виланы.

[maxx™]

Ну почему же ужас. Все как есть.
А ипы выдает дхцп сервер. И может их раздавать индивидуально на основании маков. Скажу больше, с помощью дхцп сервера, можно засовывать пользователей в разные виланы.

Пользователи засовываются в разные вланы при помощи свичей (точек доступа с поддержкой dot1q (802.1q)) , которые берут информацию о влане от радиус сервера. А DHCP тупо раздает адреса по запросу из соответствующего влана.

[Tucha]

Наворотили вагон и маленькую тележку =) А нужно ли это никто не спросил.

[maxx™]

Наворотили вагон и маленькую тележку =) А нужно ли это никто не спросил.

Так топик стартер техзадание не правильно составил. Вот и решили ему посоветовать безопасную защищеную сеть.

[Cashtane]

можете рассказать что надо купить и сделать чтобы:

поставить вай фай в квартире - главное то - чтобы скорость была ограничена. получается так

имеем 2 ноута
оба лазим по инету
ругаца не хотим
поэтому надо чтобы на каждый компьютер была выделена скорость и не больше. например хотим 2 мегабита купить и по мегабиту чтобы он раздавал нам..
сам я в этом ни бум бум

спасибо заранее

[Lord of rings]

Не знаю делают ли шейпинг роутеры-мыльницы.... может проще договориться, чтобы не ругаться???

[Kaiser_Wilhelm_II]

Дешевые роутеры такого точно не умеют. Так что, или платить больше, или делать роутер из старенького компа, или договариваться.

[denisxxxl]

ВОПРОС:

есть 2 нотика с вайфаем и интернет у одного из них кабельный.

Какой роутер посоветуете для раздачи троим интернета по wifi (расстояние ноутбуков до роутера 10-20м.) и необходимо ли брать какие-то настройки у провайдера или можно все поставить вручную?

[Tucha]

Любой роутер подойдет, главное чтобы работал нормально. Если у Вас пакет безлимитный, то важен только МАК адрес сетевой карты, того компьютера на котором настроен интернет(во замутил)) ) Если модем подключен через USB, то прийдется еще дозваниваться в тех. поддержку и просить, чтобы они у себя в биллинге прописали ваш МАК.

[Lexxx]

Если модем подключен через USB, то прийдется еще дозваниваться в тех. поддержку и просить, чтобы они у себя в биллинге прописали ваш МАК.

При чем тут МАК? Топик посвящен общим вопросам по роутерам. Далеко не все провы привязываются к МАКу клиента...

[denisxxxl]

При чем тут МАК? Топик посвящен общим вопросам по роутерам. Далеко не все провы привязываются к МАКу клиента...

Тогда возникает вопрос: как это узнать? Привязан по мак-адресу или нет!