IP для админ. доступа к AP?

[AlKov]

Есть "абонентская" подсеть, например 172.16.0.0/24, которую необходимо пробросить по WI-FI на несколько "абонентских" АР. Для этого создаю "базовую" АР (режим P2MP), подключенную к роутеру через сетевую с IP 172.16.0.254 и конфигурирую "абонентские" АР (режим P2P), прописываю соотв. МАС-и на каждой ТД. Все вроде бы понятно и работает, НО! IP самим ТД назначаю из той же подсети, чего очень бы не хотелось, т.к. в этом случае любой "юный хакер" будет иметь возможность "пошарить" в АР и после некоторых усилий получить админский доступ к АР.. :( Отсюда вопрос: возможно ли назначить самим АР IP из другой подсети и как к ним "попасть" в этом случае? Ну к "базовой" АР, например, я смогу попасть по ethernet через тот же роутер (хотя тоже непонятно, как увидеть устройство с IP 192.168.10.1, например, подключенное к ehternet карте с IP 172.16.0.254 ??). И второе - как в этом случае админить абонентские АР, к которым доступ будет только со стороны WI-FI??

 

Извиняюсь за сумбурное описание проблемы, но пока в голове такой же хаос... :(

 

P.S. Все AP - DWL-2100AP.

[Elmo]

Вы все усложняете. Потому и попали в хаос. Выберите для точек подсесть с фиктивным IP например 192.168.12.0/24. Для всех задайте Gateway адрес своего маршрутизатора (то есть на маршрутизаторе поднимите IP из сети 192.168.12.0/24). Так вы будете как вы сказали - админить Ваши точки. Клиентские IP вставьте как хотите. На маршрутизаторе - на том же интерфейсе что 192.168.0.12/24 поднимайте 172.16.0.254/24. AP "прозрачные" все будет работать.

 

P.S. что касается защиты AP от постороннего вторжения, то смена IP не поможет. Я бы сказал ничего не помешает снифать сеть и захватить ваш пароль. На 2100 нет ssh, только telnet.

 

Может я описал не самый удобный вариант, но по моему это ближе к тому что бы хотите делать.

[AlKov]

... На маршрутизаторе - на том же интерфейсе что 192.168.0.12/24 поднимайте 172.16.0.254/24. AP "прозрачные" все будет работать.

Т.е. Вы имеете ввиду на интерфейсе роутера 192.168.0.12 поднять сабинтерфейс 172.16.0.254? Так?

А удаленным ТД назначать IP также из подсети 192.168.0.0/24 ?

P.S. что касается защиты AP от постороннего вторжения, то смена IP не поможет. Я бы сказал ничего не помешает снифать сеть и захватить ваш пароль. На 2100 нет ssh, только telnet.

Ну почему же не защитит? Я же могу на роутере и на удаленных ТД акцесс-листом открыть доступ только с одного определенного (админского) IP, машины сервера, например, которая постоянно в он-лайн. В этом случае злоумышленник даже зная логин/пароль и этот "админский" IP не сможет зайти на ТД, т.к. создаст конфликт по IP в сети. Или я ошибаюсь?

[user_anonymous]

Ошибаетесь.

[AlKov]

user_anonymousх., а поподробнее - ошибаюсь в чем? Где останется лазейка?

[Elmo]

user_anonymousх., а поподробнее - ошибаюсь в чем? Где останется лазейка?

 

Я Вам советую немного читать литературу, потом взяться за дело. Может и советами можете построить сеть, но как Вы собираетесь обслужить сеть?

[user_anonymous]

user_anonymousх., а поподробнее - ошибаюсь в чем? Где останется лазейка?

Вообще, если сеть работает нормально, то все правильно, в ваших рассуждениях нет ошибки. Но дело в том, что атакующий может предпринять ряд мер к тому, чтобы сеть работать нормально перестала. Подробности можно посмотреть тут: http://rus-linux.net/MyLDP/BOOKS/ATTACK/toc.html

[AlKov]

user_anonymousх., а поподробнее - ошибаюсь в чем? Где останется лазейка?

 

Я Вам советую немного читать литературу, потом взяться за дело. Может и советами можете построить сеть, но как Вы собираетесь обслужить сеть?

Гм.. Вообще-то уже как 3-й год только этим и занимаюсь. ;) Правда "проводными медными" сетями. Просто потребовался "беспроводной сегмент"... И литературу, включая несколько форумов по WI-FI почитал. Но в WI-FI, конечно, еще "чайник". :)

А за предыдущий ответ спасибо! Ну никак не укладывалось в голове, что мост (АР) может еще иметь собственный IP из другой подсети. Непривычно как-то звучит. :) Практически так и предполагал делать, но на всякий случай для подстраховки решил послушать стороннее мнение - не люблю часто на грабли наступать. ;)

В принципе по теме все понятно. Но вопросов, конечно, еще немало. Именно в плане безопасности и администрирования ТД. Ну это отдельная тема и для начала покурю доки и форумы в этом направлении.

Возможно и сам разберусь. ;)

[Elmo]

Ну никак не укладывалось в голове, что мост (АР) может еще иметь собственный IP из другой подсети.

 

Тут ничего сверхъестественного нету. У вас 2100 . В режиме клиента 2100 работает как arp-proxy, в режиме P2P source bridge. В общем случае они работают как мост они не имеют дело с IP уровнем. А мост может иметь и свой собственный IP адрес. И вовсе не обязательно чтобы точки имели IP из подсвети своих клиентов, так как они мосты(я имею в веду конкретно 2100 и точки такого класса) а не маршрутизаторы.