Trådlöst nätverk?

[vedeldaren]

Jag har ett trådlöst nätverk som funkar bra och jag kör detta krypterat.

Nu vill jag låta en "gäst" ansluta sig till nätverket och bara komma åt Internet,
hur gör man för att ge gästen ett tillfälligt lösenord?
Jag vill ju inte lämna ut mitt admin lösenord.
Finns det något program för detta, man har ju detta ofta på hotell och liknande?

Jag kör med D-link och Norton 2008.

 

[Norell]

Troligen kan du inte ha två separata krypteringslösen - kolla manualen eller inställningarna i routern.

Men annars kan väl du fylla i lösenordet i gästens dator när denne kommer, det blir väl bara asterisker eller punkter i den rutan man skriver in det i (vet ej i vista dock)

 

[andersmc]

Jag har ett trådlöst nätverk som funkar bra och jag kör detta krypterat.

Nu vill jag låta en "gäst" ansluta sig till nätverket och bara komma åt Internet,
hur gör man för att ge gästen ett tillfälligt lösenord?
Jag vill ju inte lämna ut mitt admin lösenord.
Finns det något program för detta, man har ju detta ofta på hotell och liknande?

Jag kör med D-link och Norton 2008.

Du blandar inte ihop lösenordet för att administrera routern med lösenordet för själva anslutningen till nätverket? För du behöver ju som sagt inte lämna ut något lösenord. Du fyller bara i det i gästens dator.
Sen kan du säkerligen ställa in vilka MAC-adresser som ska ha tillgång till nätverket. Om du inte vill byta lösenord när gästen "är klar" så kan du åtminstone ta bort hans MAC-adress från listan med tillåtna adresser.

 

[lars_stefan_axelsson]

Du blandar inte ihop lösenordet för att administrera routern med lösenordet för själva anslutningen till nätverket? För du behöver ju som sagt inte lämna ut något lösenord. Du fyller bara i det i gästens dator.
Sen kan du säkerligen ställa in vilka MAC-adresser som ska ha tillgång till nätverket. Om du inte vill byta lösenord när gästen "är klar" så kan du åtminstone ta bort hans MAC-adress från listan med tillåtna adresser.

Ja, precis, admin-lösenordet är strikt skiljt från de krypteringsnycklar ("lösenord") som man behöver för att ansluta sig till accesspunkten. De lösningar för publik access man har använder typiskt inte kryptering över radiosnittet, eftersom det inte ger den som driver nätet så mycket, det bättrar framförallt på säkerheten användarna emellan, eller mellan de som får använda och de som inte får göra det, dessutom är det krångligt att administrera. Så man blockerar typiskt användarnas access i en gateway efter radiogränssnittet (innan "internet"). Man kan ganska enkelt sätta upp en liknande lösning hemma, byggd på exv. någon linux-burk och lämplig programvara, men det är *kraftig* overkill... Byt krypteringsnyckel innan du släpper in gästen (de flesta accesspunkter kan ha flera definerade; det är bara att byta emellan dem).

Sedan skall det påpekas att MAC-filtrering har *mycket* begränsat säkerhetsvärde när det gäller WLAN; dvs det kanske stoppar äldre släktingar, men alla under 40 kan trivialt gå runt det. (Det finns nämligen ingen WLAN-hårdvara som har MAC-adressen mer permanent lagrad, utan samtliga laddar ner den från drivrutinen, det är alltså trivialt att sniffa fram de som används och byta till ett sådant).

 

[Norell]

Jovisst kan man göra det hur krångligt som helst med servrar osv. men räcker det inte att vedeldaren knappar in krypteringsnyckeln i sin väns dator?

Det är ju inte direkt någon hall-fånge det handlar om och skulle vännen komma åter igen är han säkert lika välkommen att använda vedeldarens nätverk igen?

Men jag kan ha fel!

 

[pefo]

Problemet ligger väl snarast i att 'gästen' enbart skall komma ut på internet utan att det interna nätverket exponeras. Kan bli lite knepigt med en enkel router där det inte går att styra trafiken speciellt mycket.

 

[it-snubben]

Man kan enkelt skapa sig ett gästnät (eller en DMZ, demilitariserad zon) genom att använda 2 st billiga routrar efter varandra.

På den router som sitter "närmast" internet ansluts din vanliga router samt gästen. Detta får till effekt att gästen kan komma ut på nätet men inte in till ditt eget nät vilket alltså ger önskat resultat.

Dvs:
Internet -> Router ->Gästnät -> Router -> Internt nät

 

[lars_stefan_axelsson]

Jovisst kan man göra det hur krångligt som helst med servrar osv. men räcker det inte att vedeldaren knappar in krypteringsnyckeln i sin väns dator?

Det är ju inte direkt någon hall-fånge det handlar om och skulle vännen komma åter igen är han säkert lika välkommen att använda vedeldarens nätverk igen?

Men jag kan ha fel!

Jo, det var ju i stort sett det jag sa ("kraftig overkill"). Dock ingen större idé att knappa in det åt vännen; eftersom den nyckeln inte är "hemlig" för användaren (lite beroende på applikation så ser han nyckeln i klartext ändå.) Så bättre är att bara skriva upp den på en lapp. Och om man då vill tidbegränsa giltighetstiden så får man byta nyckel antingen innan eller efter.

Själv så delar jag bara ut den utan byte; min WLAN-accesspunkt är ändå bara på när jag behöver den (och då går den på timer så att den stängs av automatiskt). De jag släpper in i mitt hem kan jag också släppa in på mitt nätverk.

 

[lars_stefan_axelsson]

Man kan enkelt skapa sig ett gästnät (eller en DMZ, demilitariserad zon) genom att använda 2 st billiga routrar efter varandra.

Ah, jag fick just en 1996-flashback...

 

[it-snubben]

Hoppas att du överlevde flashbacken och inte måste besöka terapeut eller nåt

Det är en enkel och billig lösning som ger önskat resultat. Vedeldaren hade ju som ett krav att gästen bara ska komma åt internet. Vilket får mig att tro att "gästen" nog blir lite mer långvarig än tillfälligt besök. Typ dela lina med grannen eller nåt sånt.

 

[lars_stefan_axelsson]

Hoppas att du överlevde flashbacken och inte måste besöka terapeut eller nåt

Det är en enkel och billig lösning som ger önskat resultat. Vedeldaren hade ju som ett krav att gästen bara ska komma åt internet. Vilket får mig att tro att "gästen" nog blir lite mer långvarig än tillfälligt besök. Typ dela lina med grannen eller nåt sånt.

Så länge som vi håller oss på nittiotalet så skall jag nog klara mig. ;-)

Om användningsfallet är mera långvarig delning med någon man inte står lika nära så kommer ju saken i ett litet annat läge, då får man titta mer specifikt på hotet. I det fallet så skulle jag vara mer rädd för att "grannen" gör något på internet som inte uppskattas av lagens långa arm; det kan bli både dyrt (fildelning) och tråkigt (barnporr). Det hotet skulle IMHO överskugga de flesta andra.

Sedan finns det ju andra situationer, det är väl främst om man är rädd att smittas av virus som en DMZ skulle hjälpa bäst ("om du låter din kompis stoppa in sin dator i ditt nätverk så sticker du också in alla andra datorer på alla andra nätverk som kompisen stuckit in sin i, eller nått...)

Om man är rädd för mer direkta angrepp av grannen mot en själv, så är trådlöst ev. problematiskt (kör man WPA2 eller dylikt så vet jag inte om att det går att knäcka i dagsläget, men det gör ju inte alla).

Nej, man landar nog i det gamla vanliga; låt gästerna ansluta sig till *grannens* nätverk istället för ditt eget; det är typiskt utan kryptering, du får inga problem med att polisen slår in din dörr och du slipper krångliga konfigurationer.

 

[vedeldaren]

Grejen är att vi hyr ut en stuga veckovis och har funkar inga andra lösningar än fast uppkoppling ( dvs inget mobilnät ).

Vissa hyresgäster har då med sig en bärbar och ser då att det råkar finnas ett trådlöst nätverk.

Svårt att veta om man vågar släppa in folk på ens nätverk när dom hyr í en vecka,
man känner ju inte dom och vet ju inte om dom har antivirusprogram mm.

 

[it-snubben]

I vilket fall som helst så släpper jag inte heller in andras datorer på mitt nät hur som helst. Därför tycker jag att en så pass enkel, billig och underhållsfri hårdvarulösning är bra, om man behöver dela upp sitt nät av någon anledning och samtidigt hålla det billigt.

EDIT:
Ah, vedeldaren, du hann svara medans jag skrev.

Om du vill erbjuda tjänsten att koppla upp sig så funkar detta alldeles utmärkt. Om bägge routrarna har trådlöst i sig så kan du ge dem passphrasen till den närmast internet vilket då ger dem internetaccess men du skyddas av router nr 2 precis som vanligt.

Du bör också betänka om du vill göra detta med hänsyn till olagligheter typ dem som lars_stefan skrev om ovan.

Dessutom så delar ni på bandbredden vilket kan ge dig själv oönskade effekter.

 

[AoR]

Hejsan!

Har du kikat på Belkin N1 Vision.
En trådlös router med gästinloggning. Har för mig jag sett dden funktionen hos andra routrar men minns inte vilken :/

/Roger

 

[lars_stefan_axelsson]

Dessutom så delar ni på bandbredden vilket kan ge dig själv oönskade effekter.

Ja ett (iofs mindre) problem här är att du antagligen inte får dela din anslutning med andra; titta i ditt avtal. Det blir snabbt en juridisk fråga (vad är "dela", "andra" osv), men risken att bli av med sin anslutning om operatören börjar bråka är större. Dvs om någon gör något de inte borde, och de godtar "det var inte jag"; så kommer "då bröt du mot avtalet - klick" som ett brev på posten.

Det skall påpekas att risken för att åka dit på det här är minimal (träffas av blixen liten), särsk. jämfört med mycket annat, men man skall ändå ha med det i planen. Risken påverkas av vilken operatör du har, den är relativt sett mycket större med Telia än med Bahnhof.

Om du inte hittar lösningar med "gästlogin" eller bygger en äkta DMZ och delar din trådlösa access, så finns ju också lösningen att hänga dit en extra trådlös AP, innan din egen brandvägg (detta förutsätter att du kan ansluta flera datorer till din anslutning, typiskt kan man sätta upp fem eller så). En dylik router kan fås billigt. Pss så har du då ett helt eget "gästnät" När du konfar så se till att de inte krockar radiomässigt, dvs lägg en på den lägsta kanalen och den andra på den högsta (eller välj "clear channel" eller dylikt). Även om det finns många kanaler så är det bara tre frekvensband som inte har något överlapp. Om du konfar kryptering på det så kan du bara sätta upp en lapp i stugan med nyckeln och låta det bero (kanske byta varje år eller så).