[linux] Re: DHCP servers en ip ranges...

Daniel von Asmuth asmuth op bakunin.xs4all.nl
Vr Jul 23 14:43:10 CEST 2010


Aldus schreef Robin van Leeuwen op Fri, Jul 23, 2010 at 12:25:58PM +0200:
> Hello group,
> Ik zit met het volgende probleempje,
> 
> Ik heb een netwerk waarbij er vaste computers zijn aangesloten met een wired
> netwerk.
> Daarnaast zijn er medewerkers die een laptop meenemen en die hebben wireless
> netwerk.
> Ook zijn er studenten die een laptop meenemen, of op een van de vaste
> computers werken.
> 
> Nu dient het als volgt te zijn: medewerkers hebben een vrije toegang tot het
> netwerk, studenten
> moeten verbinding maken via een proxy server.
> 
> Voor de vaste clients (alle XP) zijn er twee login accounts 'medewerker' en
> 'student' en op
> basis daarvan wordt al dan niet een proxy server ingesteld.

Doe je de authenticatie via de studentenadministratie? Als je één
account hebt voor alle studenten is dat niet erg veilig.

Bovenstaande is al niet helemaal duidelijk: als de PC's op het bedrade netwerk
zijn aangesloten en zowel studenten als medewerkers kunnen inloggen, hoe
maak je dan het onderscheid? Waar mogen die studenten dan precies wel
of niet bij kunnen? Als de medewerkers een direkte route hebben, dan
kunnen de studenten die toch ook invoeren?

Suggestie: gebruik een tunnel of VPN dat selectief toegang tot het
niet-openbare netwerk geeft. 
 
> Maar nu hoe maak ik onderscheid tussen de wireless clients van studenten en
> medewerkers.
> Tot deze laptops heb ik geen toegang.

Het klinkt als vloeken in de kerk, maar:
als je gebruikers Windows (TM) gebruiken, dan kun je een Domain
Controller opzetten en ze verplichten daarop in te loggen; dan heb je
wel toegang tot de laptops der gebruikers die de draad kwijt zijn.

> Dus ik had het volgende idee. Twee wirless netwerken eentje ssid
> 'wlan-medewerker' eentje
> ssid 'wlan-studenten'. Als deze IP adressen toewijzen in een bepaalde range
> zeg:
> studenten .50 tot .100 en medewerkers .101 tot .150 kan ik op basis van
> IP-adres onderscheid
> maken of iemand direct toegang krijgt of een proxy moet gebruiken.
> 
> Maar nu... De vaste clients krijgen een IP adres van een Linux dhcp
> server.  Als ik daarnaast
> twee wireless routers heb die met een eigen DHCP server IP ranges gaan
> toewijzen gaat
> dit niet werken omdat er dan drie DHCP servers op het netwerk zitten en het
> dus niet te
> voorspellen is van welke dhcp-server een client een ip adres gaat krijgen.

Dat hangt er natuurlijk enigszins van af wat de mogelijkheden van de
access points zijn. Een mogelijkheid is dat je access points een
ingebouwde DHCP server hebben die IP adressen uitdeelt over het
draadloze netwerk en uiteraard niet op de ethernet poort(en). Je kunt
ook een goed access point hebben dat meerdere netwerk SSIDs
ondersteunt.

Mijn DHCP daemon kent een user-class optie, maar daar weet ik verder
niets van....

> Dus de vraag is: Kan een linux dhcp-server onderscheid maken tussen clients
> die wired
> connected zijn, via wlan-medewerkers connected zijn of die via
> wlan-studenten connected
> zijn, zodat ik ze op basis daarvan een IP uit een bepaalde range kan geven?

Natuurlijk kan dat: je sluit het bedrade netwerk aan op de ene ethernet
poort van de Linux server en de access points elk op aparte poorten. Je
maakt het onderscheid dan op basis van de interface. 

> IP adressen toewijzen op basis van MAC address zal niet gaan lukken omdat
> het verloop van
> studenten, en ook medewerkers (het is een stichting met veel vrijwilligers)
> groot is en dus
> die meegebrachte laptops vaak veranderen.
> 

Het is inderdaad mogelijk om netwerk-toegang te regelen met je Linux
server op basis van het User Account: kijk maar eens naar:
http://www.faqs.org/docs/Linux-HOWTO/Authentication-Gateway-HOWTO.html

Met vriendelijke groet,



Daniel von Asmuth.

-- 
		All true information in this message is freely redistributable
		Any lies are strictly protected by copyright



More information about the Linux mailing list