Das (kabelgebundene) Netzwerk, mit dem ich mich verbinde, verwendet getunneltes TLS zur Authentifizierung von Clients.
Ich frage mich, ob es möglich ist, einen Router zu bekommen, der Folgendes kann:
- NAT/Firewall: Ein lokales, kabelgebundenes Netzwerk zum gesicherten Netzwerk.
- Teilen Sie die gesicherte Verbindung drahtlos (getrennt vom „lokalen“ Netzwerk), aber zwingen Sie die Clients, sich selbst zu authentifizieren, anstatt den Router zu authentifizieren
Meine Terminologie ist wahrscheinlich etwas daneben, ich habe bisher nicht viel Erfahrung mit Netzwerken.
BEARBEITEN: AW: Authentifizierung, es handelt sich um ein Universitätsnetzwerk. Ohne Authentifizierung scheinen Sie in einem ummauerten Garten eingeschlossen zu sein, der Informationen zum Einrichten der Authentifizierung bereitstellt:
- 802.1X-Sicherheit aktivieren
- Wählen Sie als Sicherheitsmethode „Tunnelled TLS“
- Wählen Sie ein Sicherheitszertifikat aus
- Stellen Sie die „innere Authentifizierung“ auf PAP ein (unter Ubuntu ist dies die Vorgabe, daher gehe ich davon aus, dass es normalerweise Standard ist).
- Geben Sie unsere Netzwerk-Anmeldedaten ein
Nachdem ich es in Gedanken durchgegangen bin, nehme ich an, dass es möglich sein sollte, solange der Router nicht versucht, sich beim Uni-Netzwerk zu authentifizieren?
Antwort1
Ich habe den WZR-HP-300NH gekauft und heute ein bisschen damit herumgespielt. Nachdem ich ein bisschen damit herumgespielt und recherchiert habe, scheint es, als wäre das, was ich machen wollte, nicht möglich.
Antwort2
Ich denke, um dieses Problem richtig zu lösen, muss man bis zu einem gewissen Grad verstehen, wie diese Systeme tatsächlich funktionieren, um herauszufinden, was nicht funktioniert. Dann wissen wir, an welchem Punkt wir einen Workaround schaffen müssen. Es wird ein bisschen lang, also können Sie wenn nötig direkt zum Ende springen. Sie sagen, Sie möchten, dass Ihr Computer authentifiziert wird, während der Router NAT durchführt, also fangen wir an. Als Erstes sendet ein ordnungsgemäß verbundener Computer, wenn er auf Daten im Internet zugreifen will, eine Anfrage mit seiner eigenen IP-Adresse und der des Remote-Hosts, der die Informationen hat. Er springt von einem Router zum anderen, um dorthin zu gelangen, und dann sendet der Host eine Antwort mit seiner Adresse und der Adresse Ihres Computers, die er aus der Anfrage erhalten hat. Die Router senden sie zwischen Netzwerken, bis sie wieder bei Ihrem ankommt, und zack, haben Sie E-Mail oder was auch immer Sie versucht haben zu tun. Die IP-Adressen müssen im gesamten Internet eindeutig sein, sonst gibt es keine Möglichkeit festzustellen, welche Daten wohin gehen. Um zu zeigen, warum, stellen Sie sich vor, Sie haben sich mit jemandem angefreundet, von dem Sie wissen, dass er irgendwo in den USA lebt, und er hat Sie eingeladen, ihn zu besuchen. Er sagt Ihnen, dass er in Grenville lebt, gibt Ihnen aber keinen Hinweis darauf, in welchem Bundesstaat er ist, da es in allen 50 Bundesstaaten eine Stadt namens Grenville gibt. Ohne weitere Informationen gibt es keine Möglichkeit, den Mann zu finden, ohne alle Bundesstaaten zu besuchen, was viel zu kostspielig ist. Sie müssen den Bundesstaatsnamen hinzufügen, um ihn eindeutig zu machen, damit Sie herausfinden können, in welchem Teil des Landkreises er ist. Jetzt ist hier der Haken: Die meisten Leute, die eine Internetverbindung haben, haben nur eine IP-Adresse im Internet, aber sie haben mehrere Geräte gleichzeitig eingeschaltet. Wie funktioniert das? Netzwerkadressübersetzung. Dabei fungiert Ihr Router als Vermittler zwischen all Ihren Geräten und dem Internet im Allgemeinen und sendet die Anfragen, die Ihre Computer in ihrem Namen stellen, sodass das Internet nur eine IP sieht, die Ihres Routers. Damit dies jedoch funktioniert, müssen alle Anfragen, die vom Router gesendet werden, die IP-Adresse des Routers als Rücksendeadresse haben, nicht die Ihres Computers. Denn in Wirklichkeit ist nur der Router mit den anderen Netzwerken verbunden, nicht Ihr Computer. Der Router ändert also das Feld „Von“ der Anfrage, bevor er sie weiterleitet, sodass sie wieder beim Router ankommt. Anschließend sendet der Router die Antwort an den Computer zurück. Er trennt, welche Antwort wohin geht, indem er Portnummern verwendet, ähnlich den Portnummern einer Wohnung. Wenn er das Feld „Von“ ändert, ändert er gleichzeitig auch „Antwort auf Port X“ und weiß dann, dass die nächsten Daten, die er auf Port X erhält, die Antwort auf die Anfrage Ihres Computers sind. Dann ändert er die Empfängeradresse von der IP des Routers in die IP Ihres Computers und ändert auch den Port auf den, von dem Ihr Computer angegeben hat, dass er antworten soll. Und er sendet es an Ihren Computer zurück.
Dies bedeutet, dass der Router NAT ausführen kann und nicht ein unbeteiligter Teilnehmer, sondern der Teil ist, der tatsächlich die ganze Arbeit zwischen Ihrem lokalen Netzwerk und dem Internet erledigt. Daher ist es für einen Router per Definition unmöglich, passiv zu sein, während er NAT ausführt. Aus diesem Grund muss sich der Router gegenüber der Internetverbindung authentifizieren können, bevor er NAT ausführen kann.
Meine Idee, wie sich das ganze Durcheinander beheben ließe, insbesondere, weil es so klingt, als könnten die handelsüblichen Router die Art von Authentifizierung, die für Ihr Campus-Netzwerk erforderlich ist, nicht durchführen, wäre, sich einen billigen Computer mit zwei Netzwerkkarten zu besorgen. (Eine zweite Karte ließe sich einfach mit einer USB-Ethernet-Karte hinzufügen, die Sie möglicherweise online bestellen oder in einem Elektronikgeschäft besorgen müssen, da Sie hierfür keine drahtlose USB-Karte benötigen.) Verwenden Sie dann die direkt in das Betriebssystem integrierte Internetverbindungsfreigabe von Windows oder holen Sie sich ein anderes Programm, lassen Sie Ihren Computer die Verbindung per NAT von Karte eins zu Karte zwei herstellen, stecken Sie dann einen AP oder Switch in Karte zwei und los geht‘s.
Antwort3
So wie ich das verstehe, ist ein Wireless Access Point erforderlich.
Sie können sich drahtlos bei einem anderen WLAN-Router authentifizieren.
(Ich glaube nicht, dass WLAN-Router das können)
(Hinweis: Ich glaube, ein Wireless Access Point und eine Wireless Bridge sind dasselbe.)
Das habe ich falsch verstanden. Vielleicht liegt es daran, dass ein drahtloser Zugangspunkt wie ein drahtloser Schalter ist.