(Проводная) сеть, к которой я подключаюсь, использует туннелированный TLS для аутентификации клиентов.
Мне интересно, возможно ли приобрести маршрутизатор, который может:
- NAT/брандмауэр локальной проводной сети для защищенной сети.
- Предоставьте доступ к защищенному беспроводному соединению (отдельно от «локальной» сети), но заставьте клиентов проходить аутентификацию самостоятельно, а не через маршрутизатор.
Моя терминология, возможно, немного неверна, поскольку я раньше не занимался сетевым взаимодействием.
EDIT: RE: аутентификация, это университетская сеть; без аутентификации вы, похоже, заперты в огороженном саду, который предоставляет информацию о настройке аутентификации:
- включить безопасность 802.1X
- выберите «Туннелированный TLS» в качестве метода безопасности
- выберите сертификат безопасности
- установите «внутреннюю аутентификацию» на PAP (в Ubuntu это значение по умолчанию, поэтому я предполагаю, что оно обычно стандартное)
- введите данные для входа в нашу сеть
Обдумав это в уме, я предполагаю, что это возможно, если маршрутизатор не пытается аутентифицироваться в сети университета?
решение1
Я купил WZR-HP-300NH и сегодня с ним повозился. После того, как я повозился с ним и провел небольшое исследование, то, что я хотел сделать, похоже, невозможно.
решение2
Я думаю, чтобы правильно решить эту проблему, вам нужно в какой-то степени понять, как эти системы на самом деле работают, чтобы выяснить, что дает сбой, и тогда мы узнаем, в какой момент нам нужно создать обходной путь, это будет немного длинно, так что если вам нужно, вы можете пропустить это до конца. Вы говорите, что хотите, чтобы ваши компьютеры аутентифицировались, пока маршрутизатор выполняет NAT, так что давайте начнем. Во-первых, когда правильно подключенный компьютер получает доступ к данным в Интернете, он отправляет запрос со своим собственным адресом IP и адресом удаленного хоста, у которого есть информация, он переходит от одного маршрутизатора к другому, чтобы добраться туда, а затем хост отправляет ответ со своим адресом и адресом для вашего компьютера, который он получил из запроса, маршрутизаторы отправляют его между сетями, пока он не вернется к вам, и бац, вы получили почту или что-то еще, что вы пытаетесь сделать. IP-адреса должны быть уникальными во всем Интернете, иначе нет способа узнать, какие данные куда идут. чтобы показать почему представьте, что вы подружились с кем-то, кто, как вы знаете, живет где-то в США, и он пригласил вас к себе в гости, он говорит вам, что живет в Гренвилле, но не дает никаких указаний о том, в каком штате он находится, так как во всех 50 штатах есть город под названием Гренвилл, без получения какой-либо другой информации нет способа найти этого парня, кроме как посетить все штаты, что очень затратно, вам нужно добавить название штата, чтобы сделать его уникальным, чтобы вы могли найти, в какой части округа он находится. Теперь вот в чем подвох: большинство людей, которые подключаются к Интернету, имеют только один IP-адрес в Интернете, но у них одновременно подключено несколько устройств. как это работает? Трансляция сетевых адресов. это когда ваш маршрутизатор выступает в качестве посредника между всеми вашими устройствами и Интернетом в целом, отправляя запросы, которые ваши компьютеры делают от их имени, таким образом, Интернет видит только один IP-адрес вашего маршрутизатора. Но чтобы это работало, все запросы, отправляемые с маршрутизатора, должны иметь IP-адрес маршрутизатора в качестве обратного адреса, а не вашего компьютера. поскольку на самом деле это только маршрутизатор, который подключен к другим сетям, а не ваш компьютер. Таким образом, маршрутизатор изменяет поле «От» в запросе перед его ретрансляцией, чтобы он вернулся на маршрутизатор, а затем маршрутизатор отправляет ответ обратно на компьютер. способ, которым он разделяет, какой ответ идет куда, использует номера портов, похожие на номера портов в квартире, когда он изменяет поле «От», это также как «ответ на порт X», а затем знает, что следующий пакет данных, который он получает на порту X, является ответом на запрос, сделанный вашим компьютером, а затем изменяет адрес с IP маршрутизатора на IP вашего компьютера, также изменяет порт на тот, на который ваш компьютер сказал отвечать. и отправляет его обратно на ваш компьютер.
Теперь это означает, что для того, чтобы маршрутизатор выполнял NAT, а не был сторонним наблюдателем, именно эта часть фактически выполняет всю тяжелую работу между вашей локальной сетью и Интернетом, поэтому по определению невозможно, чтобы какой-либо маршрутизатор был пассивным, выполняя NAT. Вот почему маршрутизатор должен иметь возможность аутентифицировать себя в интернет-соединении, прежде чем он сможет выполнить NAT.
Моя идея, как исправить всю эту неразбериху, особенно учитывая, что обычные готовые маршрутизаторы не могут выполнять ту аутентификацию, которая требуется для вашей университетской сети, заключается в том, чтобы купить дешевый компьютер с двумя сетевыми картами (легче всего добавить вторую сетевую карту с помощью USB-карты Ethernet, которую вам, возможно, придется заказать в Интернете или сходить в магазин электроники, чтобы найти ее, поскольку вам не нужна беспроводная USB-карта для этого), а затем использовать функцию общего доступа к интернет-подключению Windows, встроенную прямо в ОС, или скачать какую-нибудь другую программу, чтобы ваш компьютер преобразовал NAT для соединения с первой карты на вторую, затем подключить точку доступа или коммутатор ко второй карте, и все готово.
решение3
Насколько я понимаю, для этого требуется беспроводная точка доступа.
Они могут проходить беспроводную аутентификацию с помощью другого беспроводного маршрутизатора.
(Я не думаю, что беспроводные маршрутизаторы могут это сделать)
(Примечание: я думаю, что беспроводная точка доступа и беспроводной мост — это одно и то же).
Я неправильно понял эту заметку. Может быть, беспроводная точка доступа похожа на беспроводной коммутатор.