[Techinfo] Hálózati megosztás alhálózatok között

[Karmacsi Gábor]

Valóban ez is egy teljesen valid nézőpont, amit mérlegelni érdemes!

A nagy szívfájdalmam, csak annyi, hogy itt van egy drágán kiépített
hálózat, ami nem sok mindenben támogatja az intézmény működését és
próbálnám valamire használni :)

Nagyon örülök neki, hogy kiépítették a wifi hálózatot és minden terembe
felszereltek egy AP-t, amivel biztosított a lefedettség, de az problémás,
hogy alapesetben ezeken csak a GUEST_VENDEG és az eduroam használható. Arra
tök jó, ha érkezik valaki, akinek gyorsan internetet kell biztosítanom, de
az alap konfigurációban arra pl. már nem használható, ha valaki jön
vizsgáztatni akkor a saját gépéről már egy hálózati nyomtatót is tudjon
használni, vagy arra, hogy az intézmény belső működését támogassa. Ahhoz
viszont össze kéne nyitnom a szegmenseket, amivel viszont az általad
felvázolt probléma jön elő.

Így viszont marad a régi felállás: párhuzamosan üzemel két wifi hálózat. A
sajátunk, ami tökéletesen működik több SSID-vel, megfelelő korlátozásokkal,
tanulói voucher-ekkel, bejelentkező portállal, de aminél egy-egy helyen van
holt tér (több AP-ra sajnos már nem kaptam pénzt). És van a drága pénzen
kiépített profi menedzselhető hálózat, aminek tökéletes lefedettsége van,
de nem tudok érdemben semmit konfigurálni rajta (nem tudom menedzselni).
A megoldás szerintem az lenne, amit a saját TP-Link Omada hálózatunk is
tökéletesen kezel: lehetne felvenni új SSID-t és be lehetne állítani, hogy
az egyes SSID-ken futó hálózatok közül melyik a vendéghálózat és azokon
VLAN-al szeparálná egymástól klienseket. De ezt ugye nem tudom beállítani a
Dashboardon, pedig az eszközök tudnák kezelni...

Egyébként semmi "érzékeny" tartalom nincs megosztva és ami van az sem úgy,
hogy bárki hozzáférhet. Egyelőre egy terv csak, de ennek fényében még
mérlegelem.

Köszönöm!

Gyulai László Tue, 14 Sep 2021 01:28:43 -0700

Én ezt biztos nem csinálnám.
> Az eduroam wifi hálózat az gyakorlatilag egy internet felől nyitott
> hálózat. Azaz kb. bárki, aki a világon generált bármelyik eduroam
> azonosítóhoz hozzájut, az fel tud lépni nálatok is. Ez azt jelenti, hogy ha
> kitennéd oda a megosztásaidat, az azt jelenti, hogy kiraktad a netre a
> belső hálózatodat. Én még a nyomtatókat is neccesnek érzem, én azt se
> tenném ki a netre, különösen mostanság amikor mindenki a nyomtatási
> sebezhetőségeken pörög. Be kell lőni egy rendes vpn szervert, és aki a
> wifiről akar támadni, az vpn-en keresztül hálózatozzon és nyomtasson.
> Szerintem nem véletlenül vannak tiltva azok a portok, mint ahogy a pptp vpn
> is tiltva van. Bár ha semmi olyan adat nincs azon a hálózaton, ami nem gond
> ha másokhoz kerül vagy eltűnik, akkor próbálkozhatsz a kifü-nél, hátha
> hajlandók kitenni a hálózatodat a netre (azaz az eduroam wifire).


-- 
Karmacsi Gábor
--------- következő rész ---------
Egy csatolt HTML állomány át lett konvertálva...
URL: <https://listserv.niif.hu/pipermail/techinfo/attachments/20210914/72b74a27/attachment-0001.htm>