Howtos aktualisieren und Router mit 3 NICS

MIKQ

Active Member
So nachdem nun die Pflicht erledigt ist versuche ich mich an der Kür und habe eine dritte drahtlose Netzwerkkarte/WLAN/Wireless (rum0) als AP (Access Point) für das interne Netz eingerichtet.

Flugs eine bridge erstellt:
Code:
bridgename.bridge0:
add xl0
add rum0
up

Code:
wpa-psk
abgearbeitet.

Wpa2 scheint zu funtionieren.
Hostname.xl0 sieht so aus:
Code:
inet 192.168.0.4 255.255.255.0 NONE

In hostname.rum0 steht:
Code:
wpa wpapsk 0x12345 nwid MeinTollerName mediaopt hostap
up

Ifconfig gibt aus:
Code:
lo0: flags=8049<UP,LOOPBACK,RUNNING,MULTICAST> mtu 33204
        groups: lo
        inet 127.0.0.1 netmask 0xff000000
        inet6 ::1 prefixlen 128
        inet6 fe80::1%lo0 prefixlen 64 scopeid 0x4
fxp0: flags=8843<UP,BROADCAST,RUNNING,SIMPLEX,MULTICAST> mtu 1500
        lladdr 00:30:05:21:32:96
        media: Ethernet autoselect (100baseTX full-duplex)
        status: active
        inet6 fe80::230:5ff:fe21:3296%fxp0 prefixlen 64 scopeid 0x1
xl0: flags=8943<UP,BROADCAST,RUNNING,PROMISC,SIMPLEX,MULTICAST> mtu 1500
        lladdr 00:50:04:6b:37:bd
        media: Ethernet autoselect (100baseTX full-duplex)
        status: active
        inet 192.168.0.4 netmask 0xffffff00 broadcast 192.168.0.255
        inet6 fe80::250:4ff:fe6b:37bd%xl0 prefixlen 64 scopeid 0x2
enc0: flags=0<> mtu 1536
rum0: flags=8943<UP,BROADCAST,RUNNING,PROMISC,SIMPLEX,MULTICAST> mtu 1500
        lladdr 00:1e:58:fe:74:4f
        groups: wlan
        media: IEEE802.11 autoselect hostap
        status: active
        ieee80211: nwid MeinTollerName chan 2 bssid 00:1e:58:fe:74:4f wpapsk 0x12345 wpaprotos wpa1,wpa2 wpaakms psk,802.1x wpaciphers tkip,ccmp wpagroupcipher tkip 100dBm
        inet6 fe80::21e:58ff:fefe:744f%rum0 prefixlen 64 scopeid 0x5
bridge0: flags=41<UP,RUNNING> mtu 1500
        groups: bridge
tun0: flags=8051<UP,POINTOPOINT,RUNNING,MULTICAST> mtu 1454
        groups: tun egress
        inet 84.44.184.164 --> 213.196.239.106 netmask 0xffffffff
pflog0: flags=141<UP,RUNNING,PROMISC> mtu 33204
        groups: pflog
Wie kann ich feststellen dass meine Firewall auch wirklich alle Pakete für beide Interfaces filtert?


Ist diese Konfiguration sicher genug für den Hausgebrauch?
Wenn ja würde ich sie dem Wiki: http://wiki.bsdforen.de/howto/dsl-router hinzufügen.
Oder gibt es Verbesserungsvorschläge/Sicherheitslücken?

Grüße
MIKQ
 
Stells einfach rein, sofern die Konfig funktioniert. Es handelt sich ja nicht um eine desaströse pf.conf die kontrolliert werden muss.
Bei WPA kannst ja noch dazuschreiben, dass es nicht alle Treiber unterstützen. Für mein ath im Netbook gibts z.B. einen Kernel Panic mit WPA bei der Suche nach einem Netz.
Hier handelt es sich zwar um einen AP der selbst ja keine WLANS sucht, aber als Hinweis wärs ganz gut.
 
Aus reiner Neugier... welches Netbook?

Dir ist aber klar, dass WPA (Version 1) von allen WLAN-Adaptern unterstützt wird, die WEP können? WPA2 können auch die meisten. Ich habe allerdings eine Karte (11b), die WPA2 nicht kann. Die liegt jetzt aber in der Altzeugkiste.

Was ich damit sagen will: das ist ein Bug und das Argument "manche Karten unterstützen es nicht" gilt hier nicht.

@MIKQ:
Mit tcpdump auf pflog0 kannst Du sehen, was das Paketfilter wegschmeißt.
 
Aus reiner Neugier... welches Netbook?

Dir ist aber klar, dass WPA (Version 1) von allen WLAN-Adaptern unterstützt wird, die WEP können? WPA2 können auch die meisten. Ich habe allerdings eine Karte (11b), die WPA2 nicht kann. Die liegt jetzt aber in der Altzeugkiste.

Was ich damit sagen will: das ist ein Bug und das Argument "manche Karten unterstützen es nicht" gilt hier nicht.
Ok, ich und meine Aussagen die ich immer in die Threads ergiesse.... Ist unabhängig von der Verschlüsselung, habs auch nochmal ohne Verschlüsselung getestet, hier auch ein Bugreport:
http://cvs.openbsd.org/cgi-bin/query-pr-wrapper?full=yes&numbers=5946
Da ist von einem Thinkpad die rede, habe im Samsung nc10 den allergleichen Chip.
 
Thinkpads haben eben Intel-WLAN-Karten drin und die sind eben grottenschlecht. Diese Probleme kenne ich (insbesonder beim wpi-Treiber auf FreeBSD) und noch viel mehr (hängt sich einfach irgendwann weg, so dass es kein Netz mehr gibt). Ich ersetze die Karten immer und dann sind nicht nur die Probleme weg, sondern der Empfang um Magnituden besser.
 
Stimmt, mit wpa hängt sich die wpi auch immer wieder auf, aber das habe ich bisher wpa_supplicant zugeschrieben, denn wenn ich den neu starte geht es wieder.
 
Ich glaube (wenn ich mich noch richtig erinnere), dass man im "associated"-Status keinen Scan starten sollte. Das überlebt der Treiber nicht. Erstmal Verbindung abbrechen, dann scannen und wpa_supplicant wieder starten, beziehungsweise ganzes Netzgedönse mit "/etc/rc.d/netif restart" am besten. Gilt für FreeBSD, aber ist vielleicht verwandt.
 
Zurück
Oben