redfive ha scritto:Usr e pwd ti vengono richiesti se usi WPA2 enterprise, se usi WPA2 PSK ti verrà richiesta solo la passphrase/password/PSK, ed una volta associato, la pagina del CP deve apparire come con una rete aperta (ovvero, intercetta le richieste sulle porte 80/443).
Mi sto perdendo di nuovo.
Comprendo le ragioni di sicurezza, ma non posso ulteriormente complicare la vita (ad es.) agli ospiti di una struttura alberghiera costringendoli ad immettere una password WPA2 PSK prima ancora del CP. Ho provato tale impostazione, funziona, andrà bene in certi contesti (scuole o uffici) ma sul "residenziale" non la vedo sempre proponibile.
Ad ogni modo, ho scoperto una "feature" curiosa nella 5.3.1-alpha:
la check-box Enable RADIUS assigned VLAN, che appare solo se si seleziona WPA Enterprise sotto Security e diventa invisibile con qualsiasi altra opzione,
mantiene la propria impostazione anche se invisibile.
Almeno così appare da questa schermata:
Poi, capita la ragione del "/32" prima dell'ip della macchina su cui gira il CP, ho impostato il Guest Control" proprio come da te indicato...
...e la connessione avviene perfettamente.
Anche le verifiche via SSH che suggerisci...
redfive ha scritto:prima vedi a quale interfaccia athX è associato il Guest SSID
- Codice: Seleziona tutto
iwconfig
e poi dai
- Codice: Seleziona tutto
ebtables -t nat -L GUESTIN
...hanno funzionato come previsto:
- Codice: Seleziona tutto
BZ.v3.7.5# ebtables -t nat -L GUESTIN
Bridge table: nat
Bridge chain: GUESTIN, entries: 8, policy: ACCEPT
-p IPv4 --ip-dst 192.168.5.1 -j ACCEPT
-p IPv4 --pkttype-type broadcast --ip-proto udp --ip-sport 68 --ip-dport 67 -j ACCEPT
-p ARP --arp-op Request -j ACCEPT
-p IPv4 --ip-proto udp --ip-dport 53 -j GUEST_DNS
-p IPv6 -j DROP
--pkttype-type broadcast -j DROP
-p IPv4 --ip-proto tcp --ip-dport 443 -j CAPTIVE_PORTAL
-p IPv4 --ip-dst 224.0.0.0/4 -j DROP
BZ.v3.7.5#
Quello che ancora non funziona è l'assegnazione della VLAN specifica per ogni utente, visto che chiunque si colleghi si becca un ip di default, ovvero, nel mio caso, nel range 192.168.5.x.
Solo che questo ho paura che si risolva lato ZS e che quindi si finirebbe per essere un tantinello O.T.
Che si fa, ci si sposta nuovamente sull'altro forum?