La red (cableada) a la que me estoy conectando utiliza TLS tunelizado para autenticar clientes.
Me pregunto si es posible conseguir un enrutador que pueda:
- NAT/firewall una red local cableada a la red segura.
- Comparta la conexión segura de forma inalámbrica (separada de la red "local"), pero obligue a los clientes a autenticarse ellos mismos, en lugar de que el enrutador se autentique
Probablemente mi terminología esté un poco equivocada, no he trabajado mucho en networking antes.
EDITAR: RE: autenticación, es una red universitaria; Sin autenticarse, parecerá estar encerrado en un jardín amurallado que proporciona información sobre cómo configurar la autenticación:
- habilitar la seguridad 802.1X
- seleccione "TLS tunelizado" como método de seguridad
- seleccione un certificado de seguridad
- configure la "autenticación interna" en PAP (en Ubuntu, este es el valor predeterminado, así que supongo que suele ser estándar)
- Ingrese los datos de inicio de sesión de nuestra red.
Después de pensarlo, supongo que debería ser posible siempre y cuando el enrutador no intente autenticarse en la red universitaria.
Respuesta1
Compré el WZR-HP-300NH y hoy he estado jugando con él. Después de probarlo e investigar un poco, parece que lo que quería hacer no es posible.
Respuesta2
Creo que para resolver adecuadamente este problema es necesario comprender hasta cierto punto cómo funcionan realmente estos sistemas para poder descubrir qué está fallando, y entonces sabremos en qué punto debemos crear una solución alternativa, será un un poco largo, así que si es necesario puedes saltar hasta el final. Usted dice que desea que sus computadoras se autentiquen mientras el enrutador está haciendo NAT, así que comencemos. En primer lugar, cuando una computadora conectada correctamente accede a datos en Internet, envía una solicitud con su propia dirección de Protocolo de Internet y la del host remoto que tiene la información, salta de un enrutador a otro para llegar allí y luego El host envía una respuesta con su dirección y la de su computadora que obtuvo de la solicitud, los enrutadores la envían entre redes hasta que regresa a la suya y bammo, recibió correo o cualquier otra cosa que estuviera tratando de hacer. Las direcciones IP deben ser únicas en todo Internet o no hay forma de saber qué datos van a dónde. para mostrar por qué imagina que te hiciste amigo de alguien que conoces que vive en algún lugar de los EE. UU. y te invitó a venir a verlo, te dice que vive en Grenville pero no te da ninguna indicación de en qué estado se encuentra, ya que los 50 estados tienen un ciudad llamada Grenville en ellos sin obtener otra información, no hay forma de encontrar al tipo sin visitar todos los estados, lo cual es muy costoso, debe agregar el nombre del estado para hacerlo único y poder encontrar qué parte del condado en el que se encuentra. Aquí está el problema: la mayoría de las personas que obtienen una conexión a Internet solo tienen una dirección IP en Internet pero tienen varios dispositivos conectados al mismo tiempo. ¿Cómo funciona esto? Traducción de Direcciones de Red. Aquí es donde su enrutador actúa como intermediario entre todos sus dispositivos e Internet en general, enviando las solicitudes que sus computadoras realizan en su nombre para que Internet solo vea una IP que la de su enrutador. Pero para que esto funcione, todas las solicitudes que se envían desde el enrutador deben tener la dirección IP del enrutador como dirección de retorno, no su computadora. ya que en realidad solo el enrutador está conectado a las otras redes, no a su computadora. Entonces, el enrutador cambia el campo "De" en la solicitud antes de transmitirla para que regrese al enrutador, y luego el enrutador envía la respuesta a la computadora. la forma en que se mantiene separado dónde va la respuesta es usando números de puerto, similares a los números de puerto en un apartamento, cuando cambia el campo "de" también como una "respuesta en el puerto X" y luego conoce el siguiente grupo de datos llega al puerto x es la respuesta a la solicitud que hizo su computadora y luego cambia la dirección de destino de la IP del enrutador a la IP de su computadora y también cambia el puerto al que su computadora dijo que respondiera. y lo envía de vuelta a su computadora.
Ahora bien, esto significa que para que el enrutador haga NAT y no sea un espectador, es la parte que realmente hace todo el trabajo pesado entre su red local e Internet, por lo que es imposible que cualquier enrutador sea pasivo mientras hace NAT por definición. Es por eso que el enrutador debe poder autenticarse en la conexión a Internet antes de poder realizar NAT.
Mi idea sobre cómo solucionar todo este desastre, especialmente porque parece que los enrutadores estándar no pueden realizar el tipo de autenticación que requiere la red de su campus, sería conseguir una computadora barata con dos tarjetas de red. (Una forma fácil de agregar la segunda sería con una tarjeta USB Ethernet; es posible que deba realizar un pedido en línea o ir a una tienda de electrónica para encontrarla, ya que no desea una tarjeta USB inalámbrica para esto) y luego usar la conexión a Internet de Windows. compartir integrado directamente en el sistema operativo u obtener algún otro programa, haga que su computadora realice una conexión NAT de la tarjeta uno a la tarjeta dos, luego conecte una aplicación o cambie a la tarjeta dos y listo.
Respuesta3
Por lo que tengo entendido, requiere un punto de acceso inalámbrico.
Pueden autenticarse de forma inalámbrica con otro enrutador inalámbrico.
(No creo que los enrutadores inalámbricos puedan hacerlo)
(Nota: creo que un punto de acceso inalámbrico y un puente inalámbrico son lo mismo).
Me equivoqué en esa nota. Quizás sea que un punto de acceso inalámbrico es como un conmutador inalámbrico.