---

Hejsa!

Jeg sidder og forsøger at få liv i en lidt speciel router (måske )

Opstillingen ser sådan ud:

eth0/ppp0: forbindelse via pppoe til isp
eth1: forbindelse til lan
eth2: forbindelse til bl.a. et par accesspoints.

eth0/ppp0/eth1 skal køre som en ganske almindelig NAT-router.

Fælles for de to usikre interfaces eth0 og eth1:
- vpn forbindelse eth1 til udvalgte brugere
- ssh-login til routeren skal tillades

eth2 skal være isoleret fra, med følgende undtagleser:
- der skal uddeles IP'er via dhcp til brugerne på access-pointene
- efter validering af klienterne/brugerne skal der kunne gives
enten...
   - www/pop/smtp adgang
   - fuld net-adgang
   men kun med begrænset båndbrede fx 64/64 eller 128/128

Har haft en to-benet opstilling kørende på både e-smith og
clakconnect, men e-smithen er efter min mening alt for tung a danse
med pga dens scrpit-konfigurering. CC 2.0 gik død fordi jeg forsøgte
at opdaterede den til FC1. Grafisk config er da meget sødt, men jeg
foretrækker webmin eller text-mode.

Nu der store spørgsmål:
Hvilken distro ville overstående setup være nemmest at implementere
med?

--
Venlig hilsen / Best regards
   Henning Wangerin
Skoletoften 9, Blans
DK - 6400 Soenderborg
Tlf. 36948694 via www.musimi.dk - VoIP til det danske folk

---

"Henning Petersen Wangerin" <henning.petersen+040426@hpc.dk> skrev i en
meddelelse news:iot6909bfbnkgll883257lec5g9d0ciqus@4ax.com...
> Hejsa!
>
> Jeg sidder og forsøger at få liv i en lidt speciel router (måske )
>
> Opstillingen ser sådan ud:
>
> eth0/ppp0: forbindelse via pppoe til isp
> eth1: forbindelse til lan
> eth2: forbindelse til bl.a. et par accesspoints.

Det er der jo ikke det helt specielle i.

> eth0/ppp0/eth1 skal køre som en ganske almindelig NAT-router.

Fint, det er jo lige et job for iptables =)

> Fælles for de to usikre interfaces eth0 og eth1:
> - vpn forbindelse eth1 til udvalgte brugere
> - ssh-login til routeren skal tillades

Altså udefra (eth0) og så en bruger får adgang til det interne netværk
(eth1) ikke?

> eth2 skal være isoleret fra, med følgende undtagleser:
> - der skal uddeles IP'er via dhcp til brugerne på access-pointene
> - efter validering af klienterne/brugerne skal der kunne gives
> enten...
> - www/pop/smtp adgang
> - fuld net-adgang
> men kun med begrænset båndbrede fx 64/64 eller 128/128

Dette skulle kunne gøres med NoCat uden det helt store besvær.
(www.nocat.org)

> Har haft en to-benet opstilling kørende på både e-smith og
> clakconnect, men e-smithen er efter min mening alt for tung a danse
> med pga dens scrpit-konfigurering. CC 2.0 gik død fordi jeg forsøgte
> at opdaterede den til FC1. Grafisk config er da meget sødt, men jeg
> foretrækker webmin eller text-mode.

Det er nu også det rareste..

> Nu der store spørgsmål:
> Hvilken distro ville overstående setup være nemmest at implementere
> med?

Helt ærligt jeg tror bare jeg ville bruge en standart Debain boks, med
iptables, no-cat og noget vpn software..

--
Esben

---

"Esben Laursen" <hyber@nospam.hyber.dk> wrote:

>
> "Henning Petersen Wangerin" <henning.petersen+040426@hpc.dk> skrev i en
> meddelelse news:iot6909bfbnkgll883257lec5g9d0ciqus@4ax.com...
> > eth0/ppp0: forbindelse via pppoe til isp
> > eth1: forbindelse til lan
> > eth2: forbindelse til bl.a. et par accesspoints.
>
> Det er der jo ikke det helt specielle i.

Måske ikke alligevel.

Jeg vil bl.a. bruge eth2 til at kunne køre et eller flere hotspots,
hvor jeg skal ha lidt styr på hvem der bruger det

> > eth0/ppp0/eth1 skal køre som en ganske almindelig NAT-router.
>
> Fint, det er jo lige et job for iptables =)
>
> > Fælles for de to usikre interfaces eth0 og eth1:
> > - vpn forbindelse eth1 til udvalgte brugere
> > - ssh-login til routeren skal tillades
>
> Altså udefra (eth0) og så en bruger får adgang til det interne netværk
> (eth1) ikke?

Jo både fra eth0/ppp0(ISP) og fra eth2(WLAN) skal der kunne laves
vpn-forbindelse ind på mit lokalnet (eth1)
Min egen bærbar skal også køre trådløst via ap'erne, og jeg skal
selvfølgelig har adgang til det samme som jeg har fra min normale
arbejdsstationer.

> > eth2 skal være isoleret fra, med følgende undtagleser:
> > - der skal uddeles IP'er via dhcp til brugerne på access-pointene
> > - efter validering af klienterne/brugerne skal der kunne gives
> > enten...
> > - www/pop/smtp adgang
> > - fuld net-adgang
> > men kun med begrænset båndbrede fx 64/64 eller 128/128
>
> Dette skulle kunne gøres med NoCat uden det helt store besvær.
> (www.nocat.org)

Hvordan virker den? Har du nogle erfaringer? Er det sådan et dyr hvor
alt www blive omdirigeret til en loginside indtil der er godkendt en
bruger på udstyret?

Hvordan gør man det så med fx en trådløs wifi-telefon? der er der jo
ikke en browser til at kunne validere over

> > Nu der store spørgsmål:
> > Hvilken distro ville overstående setup være nemmest at implementere
> > med?
>
> Helt ærligt jeg tror bare jeg ville bruge en standart Debain boks, med
> iptables, no-cat og noget vpn software..

Jeg har rodet lidt med en FC1, men den vil meget gerne installere over
1Gb, og det synes jeg er lidt meget til en router, omend jeg også har
tilføjet apache og postfix


--
Venlig hilsen / Best regards
   Henning Wangerin
Skoletoften 9, Blans
DK - 6400 Soenderborg
Tlf. 36948694 via www.musimi.dk - VoIP til det danske folk

---

"Henning Petersen Wangerin" <henning.petersen+040426@hpc.dk> skrev i en
meddelelse news:kju7909596hkhhlhntha6dkh3f8h92sdol@4ax.com...
> "Esben Laursen" <hyber@nospam.hyber.dk> wrote:

<snip>

> >
> > > Fælles for de to usikre interfaces eth0 og eth1:
> > > - vpn forbindelse eth1 til udvalgte brugere
> > > - ssh-login til routeren skal tillades
> >
> > Altså udefra (eth0) og så en bruger får adgang til det interne netværk
> > (eth1) ikke?
>
> Jo både fra eth0/ppp0(ISP) og fra eth2(WLAN) skal der kunne laves
> vpn-forbindelse ind på mit lokalnet (eth1)
> Min egen bærbar skal også køre trådløst via ap'erne, og jeg skal
> selvfølgelig har adgang til det samme som jeg har fra min normale
> arbejdsstationer.

Det er der jo ingen problemer i, du skal bare vælge om du vil køre IPSec,
PPTP eller noget helt andet.
Jeg har haft gode erfaringer med pptp, da den er nem at konfigurere måde på
server og klient side, dog er den overhovedet ikke nær så sikker som IPSec.
I gennem den senere tid har jeg været ved at kikke lidt på FreeS/Wan eller
den nye gren openswan.org, hvilket jeg mener er noget mere venlig med hensyn
til windows brugere, NAT traversal og andre gode patche. =)

> > > eth2 skal være isoleret fra, med følgende undtagleser:
> > > - der skal uddeles IP'er via dhcp til brugerne på access-pointene
> > > - efter validering af klienterne/brugerne skal der kunne gives
> > > enten...
> > > - www/pop/smtp adgang
> > > - fuld net-adgang
> > > men kun med begrænset båndbrede fx 64/64 eller 128/128
> >
> > Dette skulle kunne gøres med NoCat uden det helt store besvær.
> > (www.nocat.org)
>
> Hvordan virker den? Har du nogle erfaringer? Er det sådan et dyr hvor
> alt www blive omdirigeret til en loginside indtil der er godkendt en
> bruger på udstyret?
>
> Hvordan gør man det så med fx en trådløs wifi-telefon? der er der jo
> ikke en browser til at kunne validere over

Det skulle da være mærkelig hvis der ikke er mulighed for at godkende pr.
MAC adr. Jeg har dog ikke selv haft den installeret endnu, men kun læst
nogle artikler om den i Linux Magazine. Det jeg har forstået den kan er som
du selv siger, viderestille/blokere alt traffik indtil brugeren er
valideret.

> > > Nu der store spørgsmål:
> > > Hvilken distro ville overstående setup være nemmest at implementere
> > > med?
> >
> > Helt ærligt jeg tror bare jeg ville bruge en standart Debain boks, med
> > iptables, no-cat og noget vpn software..
>
> Jeg har rodet lidt med en FC1, men den vil meget gerne installere over
> 1Gb, og det synes jeg er lidt meget til en router, omend jeg også har
> tilføjet apache og postfix
>

Jeg mener en base installation af debian fylder et par hundrede megs, uden
at du må hænge mig op på det... Den kan dog gøres noget mindre hvis man
gidder arbejde i det..

Hygge

Esben

---

Der er kun et at sige: http://m0n0.ch/wall/

Hvis den altså har det du skal bruge.

Den nyeste beta, har dhcp på alle interfaces, wifi, vpn, trafficshaping, mac
spoofing, ubegrænsede antal nics kun begrænset af antal PCI porte, osv.

Den kan køre fra et CF kort, evt. på en Soekris eller stationær med en
IDE->CF adaptor.

Det er den fedeste router distribution pt.

/FAF

"Esben Laursen" <hyber@nospam.hyber.dk> skrev i en meddelelse
news:Ah8lc.2037$_l5.1500@news.get2net.dk...
>
> "Henning Petersen Wangerin" <henning.petersen+040426@hpc.dk> skrev i en
> meddelelse news:kju7909596hkhhlhntha6dkh3f8h92sdol@4ax.com...
> > "Esben Laursen" <hyber@nospam.hyber.dk> wrote:
>
> <snip>
>
> > >
> > > > Fælles for de to usikre interfaces eth0 og eth1:
> > > > - vpn forbindelse eth1 til udvalgte brugere
> > > > - ssh-login til routeren skal tillades
> > >
> > > Altså udefra (eth0) og så en bruger får adgang til det interne netværk
> > > (eth1) ikke?
> >
> > Jo både fra eth0/ppp0(ISP) og fra eth2(WLAN) skal der kunne laves
> > vpn-forbindelse ind på mit lokalnet (eth1)
> > Min egen bærbar skal også køre trådløst via ap'erne, og jeg skal
> > selvfølgelig har adgang til det samme som jeg har fra min normale
> > arbejdsstationer.
>
> Det er der jo ingen problemer i, du skal bare vælge om du vil køre IPSec,
> PPTP eller noget helt andet.
> Jeg har haft gode erfaringer med pptp, da den er nem at konfigurere måde
på
> server og klient side, dog er den overhovedet ikke nær så sikker som
IPSec.
> I gennem den senere tid har jeg været ved at kikke lidt på FreeS/Wan eller
> den nye gren openswan.org, hvilket jeg mener er noget mere venlig med
hensyn
> til windows brugere, NAT traversal og andre gode patche. =)
>
> > > > eth2 skal være isoleret fra, med følgende undtagleser:
> > > > - der skal uddeles IP'er via dhcp til brugerne på access-pointene
> > > > - efter validering af klienterne/brugerne skal der kunne gives
> > > > enten...
> > > > - www/pop/smtp adgang
> > > > - fuld net-adgang
> > > > men kun med begrænset båndbrede fx 64/64 eller 128/128
> > >
> > > Dette skulle kunne gøres med NoCat uden det helt store besvær.
> > > (www.nocat.org)
> >
> > Hvordan virker den? Har du nogle erfaringer? Er det sådan et dyr hvor
> > alt www blive omdirigeret til en loginside indtil der er godkendt en
> > bruger på udstyret?
> >
> > Hvordan gør man det så med fx en trådløs wifi-telefon? der er der jo
> > ikke en browser til at kunne validere over
>
> Det skulle da være mærkelig hvis der ikke er mulighed for at godkende pr.
> MAC adr. Jeg har dog ikke selv haft den installeret endnu, men kun læst
> nogle artikler om den i Linux Magazine. Det jeg har forstået den kan er
som
> du selv siger, viderestille/blokere alt traffik indtil brugeren er
> valideret.
>
> > > > Nu der store spørgsmål:
> > > > Hvilken distro ville overstående setup være nemmest at implementere
> > > > med?
> > >
> > > Helt ærligt jeg tror bare jeg ville bruge en standart Debain boks, med
> > > iptables, no-cat og noget vpn software..
> >
> > Jeg har rodet lidt med en FC1, men den vil meget gerne installere over
> > 1Gb, og det synes jeg er lidt meget til en router, omend jeg også har
> > tilføjet apache og postfix
> >
>
> Jeg mener en base installation af debian fylder et par hundrede megs, uden
> at du må hænge mig op på det... Den kan dog gøres noget mindre hvis man
> gidder arbejde i det..
>
> Hygge
>
> Esben
>
>