A rede (com fio) à qual estou me conectando usa TLS em túnel para autenticar clientes.
Gostaria de saber se é possível obter um roteador que possa:
- NAT/firewall uma rede local com fio para a rede segura.
- Compartilhe a conexão segura sem fio (segregada da rede "local"), mas force os clientes a se autenticarem, em vez da autenticação do roteador
Minha terminologia provavelmente está um pouco errada, não fiz muito networking antes.
EDIT: RE: autenticação, é uma rede universitária; Sem autenticação, você parece estar trancado em um jardim murado que fornece informações sobre como configurar a autenticação:
- ativar a segurança 802.1X
- selecione "TLS com túnel" como método de segurança
- selecione um certificado de segurança
- defina "autenticação interna" como PAP (no Ubuntu este é o padrão, então presumo que geralmente seja padrão)
- insira nossos detalhes de login de rede
Depois de pensar nisso, acho que deveria ser possível, desde que o roteador não tente se autenticar na rede uni.
Responder1
Comprei o WZR-HP-300NH e estou brincando com ele hoje. Depois de brincar com isso e fazer um pouco de pesquisa, parece que o que eu queria fazer não é possível.
Responder2
Acho que para resolver esse problema adequadamente, você precisa entender como esses sistemas realmente funcionam até certo ponto, a fim de descobrir o que está falhando, e então saberemos em que ponto precisamos criar uma solução alternativa. um pouco longo, então se precisar, você pode pular para o final. Você está dizendo que deseja que seus computadores sejam autenticados enquanto o roteador está fazendo NAT, então vamos começar. primeiro, quando um computador conectado corretamente vai acessar dados na internet, ele envia uma solicitação com seu próprio endereço de protocolo da Internet e o do host remoto que contém as informações, ele pula de um roteador para outro para chegar lá e então o host envia uma resposta com seu endereço e aquele para o seu computador que recebeu da solicitação que os roteadores enviam entre redes até que ele volte para o seu e bammo você recebeu e-mail ou qualquer outra coisa que você esteja tentando fazer. Os endereços IP devem ser exclusivos em toda a Internet ou não há como saber quais dados vão para onde. para mostrar por que imagine que você fez amizade com alguém que você conhece que mora em algum lugar dos EUA e ele convidou você para ir vê-lo, ele diz que mora em Grenville, mas não dá nenhuma indicação de em que estado ele se encontra, já que todos os 50 estados têm um cidade chamada Grenville neles sem obter outras informações, não há como encontrar o cara sem visitar todos os estados, o que é muito caro, você precisa adicionar o nome do estado para torná-lo único, para que você possa descobrir qual parte do condado em que ele está. Agora, aqui está o problema: a maioria das pessoas que obtêm uma conexão com a Internet tem apenas um endereço IP na Internet, mas têm vários dispositivos ligados ao mesmo tempo. Como é que isso funciona? Tradução do Endereço da Rede. é aqui que o seu roteador atua como intermediário entre todos os seus dispositivos e a internet em geral, enviando as solicitações que seus computadores fazem em seu nome para que a internet veja apenas um ip do seu roteador. Mas para que isso funcione, todas as solicitações enviadas para fora do roteador devem ter o endereço IP do roteador como endereço de retorno e não o seu computador. na verdade, é apenas o roteador que está conectado a outras redes, não ao seu computador. Portanto, o roteador altera o campo "De" na solicitação antes de retransmiti-la, para que ela retorne ao roteador e, em seguida, o roteador envie a resposta de volta ao computador. a maneira como ele mantém separado qual resposta vai para onde está usando números de porta, semelhante aos números de porta em um apartamento, quando está alterando o campo "de" também como uma "resposta na porta X" e então conhece o próximo grupo de dados ele entra na porta x é a resposta à solicitação que seu computador fez e depois muda o endereço to do ip do roteador para o ip do seu computador e também muda a porta para aquela que seu computador disse para responder. e envia de volta para o seu computador.
Agora, isso significa que, para que o roteador faça NAT e não seja um espectador, é a parte que está realmente fazendo todo o trabalho pesado entre sua rede local e a Internet, de modo que é impossível para qualquer roteador ser passivo enquanto está fazendo NAT por definição. é por isso que o roteador deve ser capaz de se autenticar na conexão com a Internet antes de poder fazer o NAT.
Minha idéia de como consertar toda a bagunça, especialmente porque parece que os roteadores comuns não podem fazer o tipo de autenticação necessária para a rede do seu campus, seria conseguir um computador barato com duas placas de rede. (a maneira fácil de adicionar o segundo seria com uma placa USB Ethernet, você pode ter que fazer o pedido on-line ou ir a uma loja de eletrônicos para encontrá-la, pois você não quer uma placa USB sem fio para isso) e, em seguida, usar a conexão com a Internet do Windows compartilhamento embutido no sistema operacional ou obtenha algum outro programa, faça com que seu computador NAT faça a conexão do cartão um para o cartão dois, em seguida, conecte um ap ou troque para o cartão dois e pronto.
Responder3
Pelo que entendi, requer um ponto de acesso sem fio
Eles podem autenticar sem fio com outro roteador sem fio.
(Não acho que roteadores sem fio possam fazer isso)
(Nota: acho que um ponto de acesso sem fio e uma ponte sem fio são a mesma coisa).
Eu entendi essa nota errada. Talvez seja porque um ponto de acesso sem fio é como um switch sem fio.