pat2004 Skrevet 16. januar 2008 Del Skrevet 16. januar 2008 Hei! Håper virkelig noen gidder å sette seg inn i denne: Har tenkt å sette opp et trådløst reservenettverk på jobben, ved siden av nettet vi har fra vår outsourcingsbedrift fra før, i tilfelle dette skulle gå ned. Da kan vi svitsje over til det andre umiddelbart... Linja jeg går ut ifra er en ADSL-linje levert av Telenor på 8 Mbit. Den kommer inn via et Thomson ST546 routermmodem. Herfra har jeg koblet den til en programmerbar svitsj type Linksys SRW208MP, som jeg har latt stå plain uten å programmere videre. Jeg har også kjøpt inn 6 stk Linksys WAP4400N som er POE-baserte aksesspunkt(ap) som får strømmen gjennom nettkablene fra svitsjen. Aksesspunktene skal settes opp på veggene rundt i lokalet. Min erfaring med Linksys er bra, men kun privat. Dvs jeg kjøpte en WRT54GS router til å bruke hjemme en gang. Jeg fikk aldri trådløs med WEP til å funke på denne, det sto bare "begrenset eller ingen forbindelse osv". Derfor kjørte jeg i begynnelsen et åpent nettverk men gikk fort over til mac-adresse-filtrering. Dette fungerte utmerket, merkelig nok. Det må ha vært noe rart med WEP-innstillingene, uten at jeg vet hva galt jeg gjorde. Men nå gjelder det jobben og jeg må løse dette problemet. Jeg får faktisk samme problem med WEP på aksesspunktene som jeg gjorde på routeren hjemme. Jeg gjør som følger: Setter opp NIC på laptopen med fast ip-adresse: 192.168.1.246, sub: 3x255 og 0, gateway: 192.168.1.245(som er adressa til aksesspunktet jeg prøver å sette opp). Videre kobler jeg laptopen til aksesspunktet med kabel, setter inn 192.168.1.245 i url'en og får tilgang. Så går jeg rett til Wireless og security, setter network mode til mixed, forandrer SSID til et sammenhengende navn på 9 bokstaver, setter wireless channel til Auto og enabler SSID-broadcast. Videre går jeg til security mode, setter den til wep. Har videre default transmit key på 1, setter wep-encryption på 128-bits 26 hex-digits, skriver inn en passphrase på 13 bokstaver og genererer key utfra det jeg skrev på passphrasen. Network authentication er satt til shared key, men er åpen for andre forslag(open). Deretter save settings. Under hele denne prosessen har ap'en en statisk adresse, altså 192.168.1.245. Det jeg nå må gjøre for at den skal fungere med resten av nettverket er å sette den til å motta adresse fra routermodemet, altså DHCP. Her kommer første problemet: Med en gang jeg velger save settings nå kommer det opp en hvit skjerm med teksten "system restarting, please wait". Deretter mister jeg forbindelsen til ap'en, sikkert fordi den nå muligens har mottatt en dhcp-adresse. Men ap'en står fremdeles og viser denne meldingen om restart. Hvor lenge skal den gjøre det? Hvis den nå har kommet seg videre i gang, hvordan kan jeg vite dette når den ikke forteller meg noe? Hadde jeg visst den nye ip-adressen den KANSKJE har fått kunne jeg logget meg på den m uligens og sjekket ting, men det vet jeg nå ikke... Nå tar jeg videre sjansen på å disconnecte kabelen og prøve trådløst. Ap'en er altså koblet til svitsjen og jeg går utfra(høres teit ut) at den har fått ip-adresse. Jeg søker etter trådløse nett og får opp oversikten med nettene, også det jeg har satt opp på ap'en. Så skal jeg koble meg til og får spørsmål om nøkkel. Jeg skriver inn min 13-sifrede(tall og bokstaver) nøkkel som var passphrasen jeg brukte på ap'en. Prøver også både open og shared key på network authentication på laptopen. Maskinen venter deretter på adresse men får aldri noe. Jeg kommer ikke på nett trådløst(limited or no connectivity). Er dette fordi ap'en fremdeles står med statisk adresse? OK, jeg prøver å logge på med kabel på ap'en igjen. Da kommer jeg plutselig ikke inn, muligens fordi ap'en har fått en dhcp-adresse. Da vil jo ikke den gamle gateway-adressen funke. Men hvordan vet jeg hvilken status ap'en har nå?? Jeg resetter ap'en og setter det trådløse nettverket til åpent og med statisk adresse både på ap'en og på det trådløse kortet. Da funker det trådløst plutselig, er på nett men det er ikke sånn jeg skal ha det! Jeg må kjøre kjøre DHCP og wep-sikkerhet! Hva gjør jeg galt? Håper noen kan se ut fra det jeg har skrevet hva som er galt... Er kjempetakknemlig for svar Lenke til kommentar
enden Skrevet 16. januar 2008 Del Skrevet 16. januar 2008 To tanker: 1. Hvorfor i huleste lar du nettverksutstyr få dynamisk IP? Når man setter opp et DHCP-scope lar man alltid en blokk være ledig til slikt. Dermed har man adresser som er ledige for fast IP (gjerne nederste x antall. Det samme gjør man for servere og printere også. Jeg lar normalt DHCP dele ut fra 100 og opp så lenge det ikke er behov for større adresserom til DHCP-klienter). Du kjører sikkert med standard DHCP-scope fra ruteren, som er hele segmentet. Dette kan du endre om du vil. Det er mer oversiktelig å holde DHCP langt unna IP-er som er reservert enttverk og annet utstyr. Uansett vil ikke ruteren tildele en adresse som er satt fast på en enhet fra før. Dermed er det ikke noe problem å gi nettverksutstyret fast IP slik man skal. 2. Hvorfor kjører du wep-kryptering? Er det mye spesielle klienter i nettverket? WPA eller sterkere er absolutt å anbefale. Når det gjelder oppkoblingen kjenner jeg ikke Linksys godt nok til å påpeke hva du gjør feil. Det jeg kan fortelle deg er at du faktisk er koblet til det trådløse nettet, og at radiokommunikasjonen tilsynelatende fungerer. Meldingen om begrenset tilgang er standardmeldingen du får når PC-en ikke har fått noen IP fra DHCP. Dette kan du verifisere ved å se om du har fått "tildelt" IP 169.xxx.xx.xxx. I så fall er det Windows selv som har gitt deg en p2p-IP fordi den ikke hadde noe annet fornuftig valg. Forsøk å sette fast IP på PC-en, og jeg tipper du har tilgang til nett. Særlig mer hjelp nå så må jeg fakturere deg Lenke til kommentar
pat2004 Skrevet 17. januar 2008 Forfatter Del Skrevet 17. januar 2008 (endret) Hehe, "hvorfor i huleste.." Sorry, da! 1. Nei, jeg tenkte litt feil på den saken. Siden den ikke har noen innebygd DHCP-server tenkte jeg at den måtte få adressen fra router. Dessuten at den hadde statisk ip til å begynne med for å kunne konfigureres. Men det er riktig som du sier at slike komponenter skal ha fast ip. Dessuten bør en starte scopet litt lengre ut slik at en kan begynne med de faste ip'ene først. PÅ thomson-modemet var det faktisk satt av som default 32 blokker som en kan bruke til statisk. Dermed registrerte jeg 6 adresser her inne og satte tilsvarende adresser som statiske på ap'ene. Videre satte jeg gatewayen til routeren også på ap'ene og dynamisk adresse på det trådløse nettvekskortet. 2. Når det gjelder WEP på trådløst er dette faktisk noe vi har brukt på det vanlige nettverket i to år. 200 ansatte her er vant til det, så der for tenkte jeg at det måtte jeg fortsette med. Men...Linksys-ap'en er litt sær. Enten er det en bug eller så er de sære i forhold til andre routere og ap'er. Velger du WEP så kan du faktisk ikke sette en vanlig lesbar nøkkel, du kan kun sette hex med 13 eller 26 tegn osv... Merkelige greier. Så jeg gikk faktisk over til WPA da det ikke var noe problem. Dessuten er det ikke noe problem for folk at det er WPA istedet. De trenger bare å tenke på nøkkelen. Så dette funket utmerket. Laptopen fikk DCHP-adresse av routeren, og routeren reserverte en statisk adresse til ap'en. Saken er løst!! Hjertelig takk for all hjelp! Endret 17. januar 2008 av pat2004 Lenke til kommentar
enden Skrevet 17. januar 2008 Del Skrevet 17. januar 2008 Var redd jeg måtte legge masse ressurser ned i å overtale deg bort fra WEP. Som du sier er det svært liten forskjell sett fra brukerne Bra det løste seg da. Det er i slike situasjoner det er ekstra gøy med forum Lenke til kommentar
pat2004 Skrevet 18. januar 2008 Forfatter Del Skrevet 18. januar 2008 Var redd jeg måtte legge masse ressurser ned i å overtale deg bort fra WEP. Som du sier er det svært liten forskjell sett fra brukerne Bra det løste seg da. Det er i slike situasjoner det er ekstra gøy med forum Ja, ikke sant. Lærer mye av dette her. Var bra svar og kritikk du kom med. Hjalp på avgjørelsene... Lenke til kommentar
tyldum Skrevet 18. januar 2008 Del Skrevet 18. januar 2008 Preshared-key (enten du kjører WPA eller WEP) gir dårlig sikkerhet. WEP knekkes iløpet av minutter, mens WPA kan gjøres relativt trygg med en god nøkkel ettersom den foreløpig bare kan knekkes med dictionary-angrep. Det største problemet ditt er vel det at nøkkelen garantert havner på avveie iløpet av en uke. Du burde absolutt se på en løsning med RADIUS-autentisering (802.1x), hvorpå hver enkelt klient må logge seg på med sitt eget brukernavn og passord, helst integrert med AD e.l. så brukerne kan bruke samme passord som de ellers bruker. Lenke til kommentar
Fungus Skrevet 19. januar 2008 Del Skrevet 19. januar 2008 jepp., sikreste og beste er helt klart radius.. nå har brukerne 1 stk brukernavn og passord på AD, og 1 ekstra passord på wlan.. og er du skikkelig uheldig, har de ett ekstra brukernavn og passord og forholde seg til på vpn også . gjennomgående radius gjør at man klarer seg med 1 brukernavn og passord, og dermed kan man øke kvaliteten på det passordet ... 8 tegn, store/små/særtegn bokstaver, huske siste 10 brukte.. Mulig mange er uenig med meg, men jeg mener at om man har ett SKIKKELIG passord.. F.eks " dt3/%W3P " så kan man ha det minst 3x så lenge, som passordet " Andersen " , " Password " , " R3t4rD " eller ligende Lenke til kommentar
tyldum Skrevet 19. januar 2008 Del Skrevet 19. januar 2008 Hva som er et godt passord er avhengig av et par ting. Det ene er at brukeren må kunne memorisere det, det andre avhenger om det du beskytter er sårbart for crack eller dictionary-angrep. WEP kan knekkes. Hvor bra passordet er har forsåvidt ingen betydning. Et 'godt' passord vil ta litt lenger å knekke, men vi snakker fortsatt om minutter. WPA kan ikke knekkes, men er sårbar for offline dictionary-angrep. Her vil et godt passord faktisk kunne gjøre nettet sikkert. Men når 'alle' ansatte kjenner passordet vil det lekke ut... Lenke til kommentar
Darth Kjell Skrevet 12. februar 2008 Del Skrevet 12. februar 2008 Slik jeg ser det, kan man sette på WEP hvis det eneste man vil er at andre trådløsklienter i området ikke automatisk skal kobble seg til ditt nettverk. Som sikkerhet er det elendig. Jeg synes IKKE at alt for kompliserte passord er med på å bedre sikkerheten. Hvis brukerne dine klarer å huske et komplisert passord er det greit. Det siste du vil ha er at passordet er så komplisert at folk skriver det ned på en post-it-lapp og klistrer det til laptopen sin. Lenke til kommentar
tyldum Skrevet 12. februar 2008 Del Skrevet 12. februar 2008 Hvor ofte taster de inn WPA-nøkkelen? Lenke til kommentar
Darth Kjell Skrevet 12. februar 2008 Del Skrevet 12. februar 2008 Hvor ofte taster de inn WPA-nøkkelen? Det er utrolig hva folk skriver ned. Kanskje de får bruk for den en gang i framtiden tenker de ofte. Lenke til kommentar
Anbefalte innlegg
Opprett en konto eller logg inn for å kommentere
Du må være et medlem for å kunne skrive en kommentar
Opprett konto
Det er enkelt å melde seg inn for å starte en ny konto!
Start en kontoLogg inn
Har du allerede en konto? Logg inn her.
Logg inn nå