Создание домашней сети: Как настроить домашнюю сеть с роутером в виндовс 10

Содержание

Создание домашней сети на базе устройств MikroTik: Часть 1 — asp24.ru

Предлагаю Вам рассмотреть изучение работы на хорошем примере домашнего использования роутеров и маршрутизаторов MikroTik.

Мы построим с Вами единую локальную сеть на разных устройствах и с разными провайдерами. Установим систему мониторинга Dude и сможем настраивать и следить за оборудованием из любого места, где есть интернет.

С чего весь замес:
Переехал я как-то от родителей, а мой ПК с медиа-сервером Plex, уехал вместе со мной. Домашние любят смотреть фильмы, соответственно нужно было «удлинить» мою локальную сеть на две квартиры между которыми порядка 90 км.
Для организации этой задачи я соответственно выбрал роутеры фирмы MikroTik.
1. hAP ac (RB962UiGS-5HacT2HnT) «Не путать с hAP ac Lite!!!»
2. hEX (RB750Gr3)
Оба роутера достаточно мощные. Именно на их примере я буду приводить пример построения сети.

Давайте посмотрим, что из себя представляет первая модель роутера:

1. hAP ac (RB962UiGS-5HacT2HnT)

Так выглядит сам роутер, с других сторон ничего нет

Блок диаграмма разводки

Давайте взглянем на его технические характеристики:
— Частота процессора 720 Мгц.
— Количество ядер процессора 1.
— Диапазон входящего напряжения 11-57В.
— Уровень лицензии 4.
— Коэффициенты усиления антенн 2,5 дБи (2.4 ГГц) / 2 дБи (5 ГГц)
— Беспроводная сеть на 2.4 ГГц реализована с помощью модуля, встроенного непосредственно в процессор Qualcomm QCA9558 802.11 b/g/n с поддержкой MIMO 3×3:3
— Беспроводная сеть на 5 ГГц реализована на отдельном чипе Qualcomm QCA9880. Количество каналов также равно трем, т.е. используется конфигурация MIMO 3×3:3
— Используется USB 2.0
— Доступно 128 Мб оперативной памяти
— 16 Мб флеш-памяти. Честно говоря ожидал тут увидеть побольше места. 16 Мб как-то маловато…
— Поддерживается PoE In, а также PoE Out, на первом и последнем порту соответственно. Прошу заметить, уровень энергопотребления данной модели при максимуме нагрузки составляет 17 Вт. Для примера стандартные порты MikroTik PoE Out рассчитаны на 12 Вт(24В 0,5А). Будьте внимательны!

— 5 гигабитных портов RJ-45 и один слот SFP.

В работе

Теперь перейдем ко второй модели
Прошу сразу заметить, роутер без Wi-Fi модулей. Позже расскажу почему именно так.
2. RB750Gr3

Достаточно компактная модель

В случае объединения портов на свиче, между процессором и портами шина будет иметь пропускную способность в 1 Гбит

Если же порты не объединять, порты eth2/eth4/eth4 будут подключены к ЦП гигабитной шиной, оставшиеся eth3/eth5 будут иметь независимую шину в 1 Гбит

— Процессор MediaTek (Ralink) MT7621A Dual-Core / 2 х 880 МГц. Данный процессор работает по 2 потока на ядро, соответственно Вы видите 4 CPU в системе.
— Архитектура MIPS1004Kc (1004KEc)
— Диапазон входящего напряжения 8-30В.
— Уровень лицензии 4.
— Доступно 256 Мб оперативной памяти (DDR3(L) SDRAM объемом 2 Гбит)

— 16 Мб флеш-памяти (Winbond 25Q128FVSG). Опять??? Немного непонятна политика компании. Благо есть слот под SD карту и USB 2.0 порт!
— Слот под SD карту!
— Используется USB 2.0
— Поддержка аппаратного ускорения шифрования.
— 5 гигабитных портов RJ-45
— Поддерживается только PoE In

Давайте определим, что нам необходимо сделать:
1. Подключить hAP ac к интернету. (У провайдера был заказан Публичный статический IP)
2. Подключить hEX к интернету. (Без статического IP)
3. Настроить защищенное соединение между роутерами
4. Настроить общение клиентов, подключенных к нашим роутерам между собой, как будто все они находятся в одной подсети.

Плюс, нам необходимо иметь на каждом роутере свой DHCP сервер. Это важно, чтобы, если на одном из роутеров пропал интернет, локальные устройства не потеряли сетевые адреса и чтобы «ходили» в интернет только через свой роутер. Так, мы снизим нагрузку на туннель.

Давайте построим схему реализации:
Если что-то Вам покажется не знакомым не пугайтесь, по ходу дела я буду рассказывать, что и для чего необходимо.

На первый взгляд ничего сложного быть не должно

В кратце разберем, что и как.
Сами модели роутеров могут быть не только именно эти, подобную схему можно организовать и на другом оборудовании MikroTik.
Но я выбрал именно эти модели. У Вас возможно будет что-то другое. Основной принцип настройки не изменится т.к. операционная система идентична.
Тут мы активируем OpenVPN сервер на роутере hAP ac и создаем клиентское OpenVPN подключение к OpenVPN серверу.

Опытные пользователи могут со мной не согласиться, мол, «Зачем тут OpenVPN? Будет достаточно PPTP или L2TP…»
OpenVPN я выбрал за его надежность. PPTP или L2TP почему-то у меня периодически «отваливался» и приходилось на hAP ac его переподключать. А вот OpenVPN работает до сих пор без единой запинки.

Пусть даже микротик и поддерживает OpenVPN исключительно по TCP протоколу(Ждем 7 версии RoS с OpenVPN по UDP).

После этого поверх адресов 172.16.10.1 и 172.16.10.2 поднимаем EoIP туннель.
Преимущество этих типов туннелей в том, что их можно добавлять в сетевой мост.

И снова да ))) OpenVPN интерфейсы в режиме Ethernet также можно добавлять в мост, но тут я столкнулся с еще одним подводным камнем. При отключении интерфейса на одной из сторон, на другой стороне переставал работать сетевой мост. Соответственно клиенты другого роутера не могли выходить в интернет, да и вообще как-то оперировать локальной сетью(они ведь получают IP по DHCP).
С EoIP такого нет.

Почему RB750Gr3? Все просто, он поддерживает такую вещь, как DUDE сервер и стоит не дорого. Что это и с чем его кушать Вы можете ознакомиться на оф сайте MikroTik, в следующих статьях разберем, что с ним делать:
The DUDE
Еще к RB750Gr3 подключена точка доступа в виде роутера

ASUS RT-AC66U. Он был базовым роутером, до момента моего переезда. Теперь будет работать на Wi-Fi =)

Полагаю Вам уже должно быть интересно )
Ведь судя по схеме мы можем уйти от задания маршрутов и просто построить локальную сеть на большом удалении локальных зон друг от друга. Для дома или дома+дачи такая схема в самый раз.
Еще мы сможем добавлять другие зоны к общей локальной сети аналогичным методом. Например дачу с IP камерами для наблюдения, гараж с бесперебойным блоком питания и также IP камерами.
Думаю диапазона в 254 адреса будет достаточно для такой организации(Если нужно больше, можно использовать другую маску подсети 255.255.0.0).

Благодарю за внимание!!!
Дальше, настройка роутера hAP ac
Если у Вас есть вопросы или полезные комментарии прошу не стесняться =)

Источник

Основы создания домашней сети | Персональный компьютер от А до Я

В этой статье мы рассмотрим всё, что необходимо для создания домашней сети.

Содержание:

  1. Общая информация
  2. Сетевые технологии
  3. Необходимое оборудование

Общая информация

Многообразие оборудования для домашней сети может осложнить выбор при покупке. Прежде чем решить, какое оборудование приобрести, необходимо выбрать тип сетевой технологии (способа, которым компьютеры подключаются и обмениваются друг с другом данными в сети). Данный раздел содержит описание и сравнение наиболее распространенных сетевых технологий, а также списки необходимого для каждой из них оборудования.

Наверх

Сетевые технологии

Наиболее распространенными сетевыми технологиями являются беспроводная технология, Ethernet, HomePNA и Powerline. При выборе сетевой технологии учитываются расположение компьютеров и желаемая скорость сети. Стоимость этих технологий приблизительно одинакова. Эти технологии сравниваются в этой статье.

Наверх

Беспроводная технология

Для обмена данными между компьютерами в беспроводной сети используются радиоволны. Наиболее распространенными стандартами беспроводных сетей являются 802.11b, 802.11g и 802.11a. Новый стандарт 802.11n становится все более популярным.

Скорость

  • 802.11b: максимальная скорость передачи данных составляет 11 мегабит в секунду (Мбит/с). Загрузка фотографии размером 10 мегабайт (МБ) из Интернета в оптимальных условиях займет 7 секунд.
  • 802.11g: максимальная скорость передачи данных составляет 54 Мбит/с. Загрузка фотографии размером 10 мегабайт (МБ) из Интернета в оптимальных условиях займет 1,5 секунды.
  • 802.11a: максимальная скорость передачи данных составляет 54 Мбит/с. Загрузка фотографии размером 10 мегабайт (МБ) из Интернета в оптимальных условиях займет 1,5 секунды.
  • 802.11n: в зависимости от количества потоков данных, которое поддерживает оборудование, стандарт 802.11n теоретически может передавать данные со скоростью 150 Мбит/с, 300 Мбит/с, 450 Мбит/с и 600 Мбит/с.

Примечание

    • Указанное время загрузки файла подразумевает идеальные условия. Они не всегда достижимы при обычных обстоятельствах из-за различия оборудования, веб-серверов, сети, трафика и т. д.

Положительные стороны

  • Компьютеры легко перемещать, поскольку кабели не используются.
  • Установка беспроводных сетей обычно легче, чем установка сетей Ethernet.

Недостатки

  • Беспроводные сети зачастую медленнее трех других технологий.
  • На качество работы беспроводных сетей могут повлиять стены, большие металлические объекты и трубы. Кроме того, многие беспроводные телефоны и микроволновые печи при использовании могут создавать помехи.
  • Обычно скорость передачи данных в беспроводных сетях примерно в два раза ниже, чем оцененная в почти идеальных условиях.

Наверх

Ethernet

Для обмена данными между компьютерами в сети Ethernet используются Ethernet-кабели.

Скорость

В зависимости от используемого кабеля скорость передачи данных в сетях Ethernet составляет 10, 100 или 1000 Мбит/с. Наиболее быстрым является Gigabit Ethernet, скорость передачи данных которого составляет до 1 гигабита в секунду (1000 Мбит/с).
Например, загрузка фотографии размером 10 мегабайт (МБ) может занимать при оптимальных условиях связи около 8 секунд в сети со скоростью 10 Мбит/с и менее 1 секунды в сети со скоростью 100 Мбит/с.

Положительные стороны

  • Сети Ethernet недорогие и быстрые.

Недостатки

  • Ethernet-кабели должны быть протянуты между каждым компьютером и концентратором, коммутатором или маршрутизатором, что может занять много времени. Кроме того, могут возникнуть сложности при прокладывании кабеля, если компьютеры находятся в разных комнатах.

Наверх

Powerline

Для обмена данными между компьютерами в сети Powerline используются кабели домашних электрических линий.

Скорость

Сеть Powerline может передавать данные со скоростью до 200 Мбит/с.
Например, в сети Powerline загрузка фотографии размером 10 мегабайт (МБ) из Интернета в оптимальных условиях занимает меньше секунды.

Положительные стороны

  • Технология Powerline использует существующие электрические провода.
  • Для соединения более двух компьютеров в сети Powerline не нужны концентраторы или коммутаторы.

Недостатки

  • Необходима электрическая розетка в каждой комнате, где будет расположен компьютер.
  • На сети Powerline могут влиять помехи и «шум» электролинии.

Наверх

Необходимое оборудование

Существует несколько видов оборудования, используемого в домашних сетях:

  • Сетевые адаптеры. Эти адаптеры (также называемые сетевыми интерфейсными платами (NIC)) подключают компьютеры к сети, чтобы те могли обмениваться данными. Сетевой адаптер можно подключить к порту USB или Ethernet на компьютере или установить внутри компьютера в свободное гнездо расширения PCI.

  • Сетевые концентраторы и коммутаторы. Концентраторы и коммутаторы подключают два или более компьютеров к сети Ethernet. Коммутатор стоит чуть дороже концентратора, но он быстрее работает.

  • Маршрутизаторы и точки доступа. Маршрутизаторы соединяют компьютеры и сети друг с другом (например, с помощью маршрутизатора можно подключить домашнюю сеть к Интернету). Маршрутизаторы также позволяют нескольким компьютерам использовать одно подключение к Интернету. Маршрутизаторы могут быть проводными или беспроводными. Необходимости в использовании маршрутизатора в проводной сети нет, но рекомендуется его применять при общем подключении к Интернету. Точки доступа превращают проводные сети Ethernet в беспроводные. Для совместного подключения к Интернету через беспроводную сеть необходим беспроводной маршрутизатор.

  • Модемы. Модемы в компьютерах используются для передачи и получения информации через телефонные или кабельные линии. Для подключения к Интернету нужен модем. Некоторые поставщики кабельного телевидения предоставляют кабельный модем — бесплатно или за деньги — при заказе кабельного интернет-подключения. Также доступны устройства, сочетающие функции модема и маршрутизатора.

  • Сетевые кабели (Ethernet, HomePNA и Powerline). Сетевые кабели соединяют компьютеры друг с другом или с соответствующим оборудованием, таким как концентраторы, коммутаторы и внешние сетевые адаптеры. Адаптеры HomePNA и Powerline обычно внешние и подключаются к компьютеру с помощью кабелей Ethernet или USB (в зависимости от типа адаптера).

В следующей таблице перечислено оборудование, необходимое для каждого типа сетевых технологий.

Технология

Оборудование

Количество

Беспроводной адаптер

Адаптер беспроводной сети

Один для каждого компьютера в сети (обычно они встроены в ноутбуки)

 

Точка доступа или беспроводный маршрутизатор (рекомендуется)

Один

Ethernet

Сетевой адаптер Ethernet

Один для каждого компьютера в сети (обычно они встроены в настольные компьютеры)

 

Концентратор или коммутатор Ethernet (необходим только при подключении более двух компьютеров и совместном подключении к Интернету)

Один (лучше всего использовать концентратор или коммутатор 10/100/1000, имеющий достаточное количество портов для подключения всех компьютеров к сети)

 

Маршрутизатор Ethernet (необходим только при подключении более двух компьютеров и совместном подключении к Интернету)

Один (может потребоваться дополнительный концентратор или коммутатор, если у маршрутизатора недостаточно портов для всех компьютеров)

 

Ethernet-кабель

Один для каждого компьютера, подключаемого к сетевому концентратору или коммутатору (рекомендуются кабели 10/100/1000 категории 6, но их использование необязательно)

 

Кроссировочный кабель (необходим только при прямом соединении двух компьютеров, без помощи концентратора, коммутатора или маршрутизатора)

Один

HomePNA

Адаптер HomePNA

По одному для каждого компьютера в сети

 

Маршрутизатор Ethernet

Один, если нужен общий доступ к Интернету

 

Телефонные кабели

По одному для каждого компьютера в сети (используйте стандартный телефонный кабель, чтобы подключить компьютеры к телефонным розеткам)

Powerline

Сетевой адаптер Powerline

По одному для каждого компьютера в сети

 

Маршрутизатор Ethernet

Один, если нужен общий доступ к Интернету

 

Электрическая проводка в доме

По одной электрической розетке для каждого компьютера в сети

Рекомендуется проверить, какие сетевые адаптеры установлены на компьютерах (если они установлены). Можно использовать технологию, для которой имеется большая часть оборудования, либо обновить оборудование. Сочетание различных технологий может быть лучшим вариантом. Например, многие используют беспроводной маршрутизатор, используемый для проводных Ethernet-подключений настольных компьютеров и беспроводных подключений ноутбуков.

Наверх

Источник: справочная документация Windows

Домашняя группа в Windows 8.1

Начиная с операционной системы Windows 7, появилась функция Домашняя группа, существенно облегчающая процесс настройки. По сути, настроить общий доступ к файлам и принтерам можно за несколько минут, и то большую часть времени вы затратите на переход от одного компьютера к другому и на ввод пароля домашней группы.

Чтобы все работало как следует, на всех компьютерах вашей сети должны быть установлены Windows 7, Windows 8 или Windows 8.1. С Windows 7 могут возникнуть проблемы — если у вас версии Начальная или Домашняя базовая, то вы не можете создать домашнюю группу, а только присоединиться к имеющейся.

Однако, зная нашу тягу к экономии, вполне может оказаться, что все компьютеры работают под управлением Домашней базовой. В этом случае выручит Windows 8, Windows 8.1 в которой пока нет таких ограничений.

Откройте панель управления, нажав сочетание клавиш + X, в появившемся контекстном меню выберите Панель управления.

В панели управления выберите Домашняя группа.

Откроется окно Домашняя группа. Если ваш компьютер подключен к общедоступной сети, то чтобы создать домашнюю группу или присоединиться к ней, необходимо установить для расположения компьютера в сети значение Частная.

Нажмите Изменение расположения в сети.

Появится панель Сети, с предложением найти в сети компьютеры, устройства, нажимаем Да.

Окно Домашняя группа изменится, как показано на скриншоте ниже, нажмите кнопку Создать домашнюю группу.

В открывшемся окне нажмите кнопку Далее.

После этого выберите ресурсы, которые вы хотите предоставить в общий доступ, нажмите кнопку Далее.

Далее вы увидите пароль подключения к домашней группе.

Пароль нужно будет ввести на каждом компьютере вашей домашней сети. Чтобы не запоминать такой сложный пароль, нажмите ссылку Напечатать пароль и инструкции.

Откроется окно с паролем и краткими инструкциями по настройке каждого компьютера, нажмите кнопку Печать этой страницы.

С такой памяткой настраивать компьютеры домашней сети станет намного удобнее. После этого вернитесь в окно домашней группы и нажмите кнопку Готово.

Собственно, на этом и все. Инструкции у вас распечатаны, осталось только подойди к каждому компьютеру и выполнить все так, как написано в памятке.

Для изменения параметров домашней группы снова вернитесь в окно Панель управления ➱ Домашняя группа. После подключения к домашней группе окно Домашняя группа будет выглядеть как показано ниже на скриншоте.

Три самые полезные команды этого окна:
Изменить ресурсы, к которым вы предоставляете доступ в домашней группе — позволяет изменить общие ресурсы этого компьютера без перенастройки домашней группы;
Показать или распечатать пароль домашней группы — позволяет распечатать пароль, если вы его забыли и потеряли памятку;

Изменить пароль — позволяет сменить пароль домашней группы. Помните, что в этом случае нужно будет перенастроить остальные компьютеры домашней сети.

Чтобы удалить домашнюю группу, в окне Домашняя группа нажимаем Выйти из домашней группы..

Появится диалоговое окно Выйти из домашней группы, выбираем Выход из домашней группы.

Появится окно с информацией о том что Вы успешно вышли из домашней группы, нажимаем кнопку Готово.

Нажимаем кнопку Закрыть.

Создание домашней группы в интерфейсе ModernUI/Metro

Все изменения домашней группы производимые в интерфейсе ModernUI/Metro автоматически изменяются и в классическом интерфейсе, и наоборот.

Нажмите сочетание клавиш + C или переместите курсор мыши в верхний правый или нижний углы экрана чтобы открыть панель Charms Bar, и нажмите Параметры.

Далее нажимаем Изменение параметров компьютера.

В открывшемся окне Параметры компьютера выбираем Сеть.

В открывшемся окне Сеть выбираем Домашняя группа.

В окне Сеть | Домашняя группа нажимаем кнопку Создать.

Домашняя группа создана, теперь выбираем какие папки мы отдадим в общий доступ, передвигая соответствующие переключатели.

Пароль для доступа к домашней группе находится ниже в том же окне.

Чтобы удалить домашнюю группу, в окне Сеть | Домашняя группа нажимаем кнопку Покинуть.

Все, домашняя группа удалена, можете создавать новую.

Создание домашней сети — ppt скачать

Презентация на тему: » Создание домашней сети» — Транскрипт:

1 Создание домашней сети
Ян Рэмси C of E School GCSE ICT Развлеки меня Создание домашней сети

2 Стартер: в доме Джейми теперь есть широкополосное соединение.К нему подключен один компьютер. Как вы думаете, какие проблемы это может создать для него и его семьи? Введите свой ответ здесь: Они могут подраться из-за компьютера.

3 Цели урока: К концу этого урока вы сможете:
перечислить преимущества создания сети описать различия между кабельными сетями и сетями Wi-Fi объяснить преимущества кабельных сетей и сетей Wi-Fi объяснить роль маршрутизатора в сеть.

4 Пять преимуществ домашней сети для семьи
Преимущества домашней сети Джейми провел небольшое исследование и обнаружил, что его семье необходимо настроить локальную сеть (LAN). Это соединит все компьютеры в доме, так что все смогут использовать одно и то же подключение к Интернету (широкополосное соединение). Вам нужно узнать о преимуществах нетворкинга, чтобы Джейми смог убедить свою семью.Используйте один из этих двух веб-сайтов, чтобы помочь вам Преимущества сети или Построение домашней сети Пять преимуществ для семьи домашней сети Совместное использование файлов Многопользовательские игры Домашние развлечения Совместное использование принтеров Интернет Телефонная служба

5 Ethernet Ethernet (иногда называемый IEEE 802.3) представляет собой набор программных и аппаратных правил или протоколов для соединения компьютеров друг с другом для формирования локальной сети. Впервые он был разработан в 1973 году и много раз модифицировался и улучшался.Ethernet определяет способы, которыми компьютеры «разговаривают» друг с другом, но они могут быть соединены друг с другом двумя способами: кабелем и беспроводным способом. Кабели Ethernet, подключенные к интернет-коммутатору

6 Кабель Ethernet Кабель Ethernet — это оригинальный метод подключения компьютеров. Современный кабель часто называют Cat5 или Cat5e — это стандарты, которые показывают, что это высококачественный кабель. Кабель подключается к сетевым картам компьютера (NIC) с помощью разъемов, подобных тем, которые соединяют телефоны.Раньше это были отдельные карты Ethernet, но в настоящее время они встроены в материнскую плату компьютера. Карты Ethernet обеспечивают следующие скорости передачи: Базовая — до 10 Мб (10 мегабит в секунду) — сейчас практически не используется. Быстрая — до 100 Мб. Гигабитная — 1000 Мб (1 миллиард бит в секунду). Ethernet-кабель и порт

7 Беспроводные сети Ethernet Wi-Fi позволяют компьютерам обмениваться данными по радио или микроволнам, если в них установлены беспроводные сетевые карты.Скорости передачи варьируются в зависимости от типов карт от 11 Мб до 54 Мб. На беспроводную передачу могут влиять бытовые приборы, такие как микроволновые печи и беспроводные телефоны, и даже стены и потолки. Производительность Wi-Fi зависит от расстояния, поэтому скорость падает по мере удаления компьютера от передатчика. На него также сильно влияет количество устройств, использующих беспроводную локальную сеть. Wi-Fi роутер

8 IP-адреса Какой бы метод ни использовался, для подключения к ADSL или кабельному модему необходим маршрутизатор.Интернет-провайдер выдал семье Джейми IP-адрес, который можно использовать извне в Интернете, но каждому компьютеру в доме потребуется внутренний IP-адрес, чтобы они могли общаться друг с другом. Маршрутизатор назначает каждому компьютеру внутренний IP-адрес, поэтому он «знает», куда отправлять веб-страницы, которые каждый из них просматривает. Большинство маршрутизаторов в продаже имеют как беспроводное, так и кабельное соединение, поэтому возможна смешанная кабельная/беспроводная сеть. Пример смешанной кабельной/беспроводной сети

9 Преимущества кабельной сети Преимущества беспроводной сети
Преимущества и недостатки Каковы преимущества и недостатки кабельных и беспроводных сетей? Используйте задание 3.12 в качестве класса, чтобы узнать больше, а затем заполните таблицу ниже. Преимущества кабельной сети Преимущества беспроводной сети Лучшая безопасность Простота использования 10Mb-100Mb (быстрее) Дешевле Отсутствие помех Можно использовать в любом месте в радиусе действия маршрутизатора. Лучше для онлайн-игр. Нет проводов повсюду. Джейми решил, что ему нужна проводная сеть, так как она лучше подходит для игр через Интернет. Скорость соединения лучше, и меньше вероятность потери соединения в середине игры.

10 Рекомендации Какой тип сети вы бы порекомендовали Джейми и его семье? Возможны следующие варианты: Полностью проводной Полностью беспроводной Комбинированный кабельный и беспроводной Для Джейми и его семьи я бы порекомендовал смешанный кабельный и беспроводной. Мои причины для этого таковы: Джейми было бы лучше с кабелем, так как он играет в игры, поэтому они не будут лагать и не будут мешать. Остальная часть его семьи может пользоваться Wi-Fi, и это не заставит компьютер Джейми тормозить, так как у него есть кабель.Кроме того, если бы у всей семьи было кабельное, это было бы довольно дорого, поэтому, если кабель есть только в одной комнате, этого не будет. Wi-Fi не дорогой, так что семья будет в порядке.

11 Семья Джейми решила взломать смешанную сеть
Семья Джейми решила взломать смешанную сеть. Джейми будет иметь маршрутизатор в своей спальне и использовать кабельное соединение, в то время как остальные члены семьи будут использовать доступ к Wi-Fi по всему дому.

12 Безопасность Беспроводные сети менее безопасны, чем проводные. Когда вы пытаетесь подключиться к своей собственной беспроводной сети, вы, вероятно, можете видеть все остальные на вашей улице. Шифрование — в целях безопасности данные переводятся в секретный код в соответствии с набором правил в специальном «ключе». Чтобы преобразовать данные обратно в обычный текст, получатель также должен иметь ключ. Точно так же другие смогут видеть вашу сеть и, если она не защищена, они смогут использовать ваше интернет-соединение для игр и загрузки файлов.На некоторых интернет-сайтах есть списки так называемых «горячих точек», где есть незащищенные сети в домах и офисах, где можно получить бесплатный доступ в интернет. Самое главное — сменить пароль по умолчанию на роутере. Большинство из них идут с «admin» по умолчанию. Тогда любой может легко подключиться к нему и изменить настройки. Вы также должны настроить шифрование, которое шифрует данные в вашей сети. Обычно это одна из настроек вашего маршрутизатора. Наиболее распространенным типом является WEP (эквивалентная защита проводных сетей), в котором используется 62- или 128-битное шифрование, но более широкое распространение получают более безопасные WAR-PSK (протокол беспроводных приложений — предварительный общий ключ) и WAP2.

13 Экзаменационный вопрос Пропускная способность определяет объем данных, проходящих через соединение, а задержка определяет скорость потока. Игры связаны с передачей больших объемов (объемов) данных, поэтому пропускная способность важна. Игры также требуют высокой скорости потока, что делает задержку важной. Для хорошего игрового процесса жизненно важны широкая полоса пропускания и низкая задержка. «Пропускная способность и задержка интернет-соединения являются важными факторами при игре в онлайн-игры.Объясните, почему оба важны. Примечание. Задержка измеряет скорость соединения и выражается в миллисекундах. (Чем меньше времени это занимает, тем больше скорость соединения).

14 Проверка знаний Выполните проверку знаний 3.6, чтобы проверить свои знания о сетях. Пуск Программы ICT Edexcel GCSE Active Teach – Студент Нажмите на бинокль в верхней части страницы Нажмите на выбор – найдите раскрывающееся меню ресурса Выберите – Модуль Модуль 1 Глава 3 Проверка знаний 3.6 Играть


Как легко создать проводную домашнюю сеть — слабые решения Wi-Fi

В домах с большим количеством интернет-пользователей и более высокими требованиями к пропускной способности может быть предпочтительнее установить проводное подключение Ethernet к нескольким или всем комнатам, чтобы каждый мог извлечь максимально возможную пропускную способность из своего интернет-пакета для игр, потоковой передачи и загрузки. Какие существуют способы сделать это?

Конечно, существует старомодный способ самостоятельной работы по прокладке сетевых кабелей от маршрутизатора во все комнаты дома, что может потребовать прокладки кабелей через стены, потолок или окна и вверх по лестнице.Это обеспечит наилучшее соединение, но может быть утомительным, дорогостоящим, трудоемким и грязным, поэтому мы также рассмотрим альтернативный вариант адаптеров Powerline как гораздо более простой, а иногда и более дешевый способ получить тот же результат.

Нет никаких сомнений в том, что в некоторых домах Wi-Fi прекрасно справляется со своей задачей, предоставляя каждому пользователю пропускную способность и скорость отклика, необходимые им для любых действий в сети. Однако в других домах Wi-Fi может отставать, а глухие точки в больших или старых домах могут, например, затруднить потоковую передачу и игры.

В этих случаях проводное соединение, безусловно, предпочтительнее для получения максимально надежного соединения с маршрутизатором. Давайте посмотрим на различные способы, которыми мы можем расширить проводные соединения во все части дома ниже.

Старомодный способ – проложить кабели Ethernet в каждой комнате дома

Это самый очевидный и самый эффективный способ, но, очевидно, он требует больше всего времени, поскольку вам нужно просто протянуть кабели Ethernet в каждую комнату в вашем доме, где вы хотите провести проводное соединение.

Это, несомненно, обеспечит самое сильное, самое надежное соединение и максимальную пропускную способность в каждой комнате, что особенно поможет загрузчикам, стримерам и геймерам. Существуют огромные различия между домами, но в некоторых случаях проводное соединение может быть намного быстрее, чем беспроводное, устраняя проблемы с задержкой и буферизацией и позволяя загружать фильмы и другие файлы намного быстрее.

Мы не будем подробно останавливаться на этом, так как это самый известный и хорошо изученный метод создания проводной домашней сети.В Интернете есть множество руководств о том, как сделать это с точки зрения DIY, и мы приведем ссылки на некоторые из них ниже:

Руководства по созданию проводной кабельной сети Ethernet в вашем доме:

В приведенном выше видеоролике также представлен отличный краткий обзор общего процесса прокладки кабелей Ethernet через ваш дом для обеспечения проводных соединений в разные комнаты. Процесс почти такой же, как установка новой розетки, поэтому, если у вас есть электрик или разнорабочий, возможно, они смогут сделать это за вас.

В основном это включает в себя сверление отверстий в стенах на каждом конце и прокладку кабелей Ethernet через полости в стенах, которые обычно пусты, следя за тем, чтобы держаться на расстоянии от электрических кабелей, поскольку они могут улавливать помехи.

На более низком уровне это может включать прокладку кабелей вдоль стен и вверх по лестнице, для чего вам потребуются различные инструменты и дополнительные приспособления для обжима и фиксации кабеля Ethernet, чтобы он выглядел аккуратно на любой поверхности, по которой он перемещается.См. статью Lifehacker, указанную выше, для получения полной информации о необходимых инструментах и ​​их приблизительной стоимости.

Вот некоторые соображения, если вы собираетесь использовать этот метод создания проводной сети:

  • Вам понадобится высококачественный Ethernet-кабель категории 5e или 6, чтобы обеспечить наилучшие скорости (до гигабита) и гарантировать работу в будущем при любом увеличении доступной пропускной способности. Нажмите на ссылку, чтобы проверить на Amazon.
  • Если у вас действительно много устройств и вы хотите подключить каждое из них, вам могут понадобиться дополнительные коммутаторы с большим количеством портов, поскольку большинство маршрутизаторов содержат только четыре порта Ethernet.Посмотрите на Amazon коммутаторы Ethernet с 8 портами, 16 портами или 24 портами, если вы действительно хотите добавить много устройств в свою проводную сеть.
  • Это может быть довольно грязная и трудоемкая работа, и для ее правильного выполнения потребуются дрели, винты, обжимные инструменты, пилы и другие инструменты. Если вы наймете кого-то, чтобы сделать это, то работа может быть дорогой, в зависимости от того, сколько комнат вы хотите пропустить через провода.
  • Также могут быть неприглядными дыры в стене или кабели, проходящие через дом, даже если они привязаны
  • См. наш второй вариант адаптеров Powerline как более простой и иногда более дешевый вариант

Адаптеры Powerline как более простой вариант

Если все это звучит слишком долго и бездельничает (или вторая половинка отказывается это допустить!), то возможен более простой вариант, дающий тот же результат.Используя адаптеры Powerline, можно создать проводные точки доступа в Интернет в каждой комнате, в которой вы нуждаетесь, используя существующую электрическую проводку дома.

Адаптеры Powerline

состоят из пары вилок адаптера, одна из которых вставлена ​​и подключена к маршрутизатору, а другая вставлена ​​и подключена к вашему устройству. Затем две вилки связываются через медную электропроводку дома, обеспечивая надежное проводное интернет-соединение с устройством, где бы оно ни находилось в доме.

Адаптер TP Link TL-PA 4010 Kit Nano Powerline Adapter

Модель TP Link Nano TL-PA4010 Kit — это модель начального уровня, самая продаваемая модель адаптера Powerline с одним Ethernet-портом и без сквозного подключения.Нажмите здесь, чтобы посмотреть на Amazon. Он обеспечит надежное проводное соединение Ethernet с вашим маршрутизатором, используя существующую электрическую проводку вашего дома. См. наш полный обзор продукта и нашу страницу адаптеров Powerline. В нашей сравнительной таблице продуктов сравниваются все модели проводных и беспроводных адаптеров Powerline по возможностям и функциональности.

 

Это отличное решение для домашней сети, и, что особенно важно в контексте этой статьи, представляют собой самонастраивающиеся устройства, не требующие возни и не требующие самостоятельной сборки .Вы просто подключаете два адаптера, соединяете их при необходимости (в большинстве случаев они соединяются автоматически), и тогда у вас есть проводное соединение в любом месте дома.

Это дает вам все преимущества проводного соединения по сравнению с Wi-Fi с точки зрения качества и стабильности соединения, а также возможность извлечь максимальную пропускную способность из вашего интернет-пакета даже на некотором расстоянии от маршрутизатора. Вы также избегаете перегрузки сети, которая может возникнуть из-за Wi-Fi.См. нашу полную статью о преимуществах проводных подключений по сравнению с беспроводными.

Добавление дополнительных адаптеров для получения большего количества точек доступа по всему дому очень просто, и одно огромное преимущество по сравнению с прямой прокладкой кабелей Ethernet заключается в том, что провода почти не тянутся, поскольку (скрытая) электрическая проводка в доме выполняет большую часть работы.

Вам просто нужны небольшие кабели Ethernet на каждом конце для подключения адаптеров к маршрутизатору и устройствам; нет необходимости в каких-либо других кабелях, проходящих через стены или вверх по лестнице.Адаптеры Powerline, как правило, поставляются парами, поэтому покупка двух комплектов даст вам три точки доступа для дома, а три комплекта — пять точек доступа.

С точки зрения силы и качества сигнала адаптеры Powerline часто очень хорошо сочетаются с Wi-Fi, обеспечивая соединение почти такое же сильное, как если бы вы использовали Ethernet напрямую. Время от времени они склонны к потере сигнала и ненадежности, но обычно это сводится к проблемам с электропроводкой или схемой в доме.См. наши статьи здесь и здесь для решения проблем и устранения неполадок с адаптерами Powerline.

С выпуском моделей адаптеров Powerline нового поколения, способных передавать больше данных и лучше отфильтровывать шумы и помехи, проблемы, с которыми люди сталкиваются с адаптерами Powerline, имеют тенденцию к уменьшению, и в большинстве домов они будут работать нормально и обеспечивать очень сильное, надежный сигнал по всему дому для игр, потоковой передачи и загрузки.

Если у вас есть какие-либо сомнения, возможно, стоит сначала приобрести и протестировать только один набор адаптеров, убедиться, что они нормально работают в разных комнатах дома, а затем приобрести дополнительные наборы, если вы впечатлены результатами и хотите расширить их до создать сеть Powerline для проводных точек доступа в нескольких комнатах.В большинстве случаев проблем быть не должно, особенно в новых домах.

Если вам нужно простое, относительно дешевое и беспроблемное решение для создания проводной домашней сети, не требующее сверления отверстий в стенах и других громоздких работ, то адаптеры Powerline стоит рассмотреть как альтернативу домашнему сетевому решению для прокладки кабеля Ethernet. напрямую.

Некоторые рекомендации по использованию адаптеров Powerline:

  • Лучше всего они работают с хорошо обслуживаемой высококачественной электропроводкой.Изношенная или старая проводка может плохо передавать сигнал. В большинстве современных и полусовременных домов вам будет хорошо
  • Они будут работать только в цепях, охватываемых одним и тем же расходомером или каналом. Опять же, в большинстве домов это так, и с вами все будет в порядке, но будьте осторожны с пристройками, расширениями и т. д., которые могут занимать отдельные метры. В этом случае адаптер Powerline не будет работать.
  • Адаптеры Powerline
  • могут создавать помехи для некоторых электрических устройств с высоким энергопотреблением; Держите их подальше от такого рода приборов, как правило, решает любые проблемы.
  • В целом, в подавляющем большинстве случаев адаптеры Powerline обеспечивают такой же хороший или почти такой же хороший сигнал, как если бы вы были подключены непосредственно к маршрутизатору, и являются отличным решением для домашней сети для тех, кто ищет проводные точки доступа по всему дому.
  • Дополнительные адаптеры Powerline можно легко добавить к разным розеткам в доме, чтобы сформировать сеть Powerline из 3, 4 или более адаптеров, обеспечивающих точки доступа по всему дому. Смотрите нашу статью об этом.

См. нашу страницу, посвященную адаптерам Powerline, для выбора производителей и моделей.

Основы создания собственной сети умного дома

Основы создания собственной сети умного дома

Вы, наверное, слышали о шумихе вокруг сети умного дома и задаетесь вопросом, что она может сделать для вашего дома.Может быть, вы подумываете превратить свой дом в технически подкованное гнездышко, но не знаете, с чего начать — тогда это руководство для вас.

Ниже приведены основы создания сети умного дома, чтобы вы могли ориентироваться в умной терминологии, базовом построении умного дома и многочисленных настройках. Если это прямо ваш переулок, продолжайте читать.

Понимание Умного дома

Представьте, как вы просыпаетесь от аромата свежего кофе, когда свет выключается всякий раз, когда кто-то выходит из комнаты, или что ваш дом имеет идеальную температуру, когда вы возвращаетесь домой.«Умный дом» означает, что различные гаджеты, техника и системы в доме связаны между собой.

Более того, все они беспрепятственно общаются друг с другом и с вами. С другой стороны, «умная сеть» предлагает вам контроль над работой, программированием и автоматизацией подключенных устройств в зависимости от ваших потребностей.

Понимание домашней автоматизации

Этот термин используется для обозначения предметов в вашем доме, которые можно запрограммировать на автоматическую работу без вашего участия.Некоторые из них включают в себя простые гаджеты, такие как автоматические диммеры и таймеры вентиляторов.

Последние обновления, такие как лучшие IP-камеры домашней безопасности и стиральные машины, предлагают больше возможностей домашней автоматизации. Хотя основная цель — практическое использование, развлечение, не забывайте, что у вас также есть много причин подумать о домашней безопасности. На самом деле, недавний бум домашних технологий практически увеличил возможности практически до бесконечности. Другие устройства, которые вы можете включить в свою сеть умного дома и управлять ими через смартфон, включают:

·         Телевизоры

·         Кухонные приборы

·         Лампы, двери и выключатели

·         Видео- и аудиотехника

Как устройства обмениваются данными

В основе создания собственной экосистемы умного дома лежит обеспечение того, чтобы все устройства использовали один и тот же протокол связи.Другими словами, все ваши устройства должны говорить на одном языке. Общие протоколы связи домашней автоматизации:

·         Bluetooth

Самый распространенный протокол связи, используемый большинством беспроводных устройств и требующий минимальной мощности для работы. Его лучше всего использовать в одной комнате из-за его ограниченного радиуса действия.

·         Wi-Fi

Один из самых популярных протоколов, в котором вы используете беспроводной маршрутизатор для подключения к устройствам через мобильные приложения. Однако, если к маршрутизатору подключено много устройств — планшеты, телефоны, ноутбуки и телевизоры — у вас могут возникнуть проблемы с пропускной способностью.

·         Инфракрасный

Обеспечивает одностороннюю связь между пультами дистанционного управления и такими устройствами, как телевизор, домашний кинотеатр или кондиционер.

·         Z-wave, Zigbee

Альтернативы Bluetooth и Wi-Fi с большей дальностью действия и меньшим энергопотреблением. Однако для этих протоколов требуется центральный концентратор для подключения к Интернету.

Требуются сетевые устройства

Понимание домашней сети чаще всего затруднено, потому что большинство событий не видны.Кроме того, сложнее понять, как работает Wi-Fi, когда физически не видишь, что происходит. Вот почему вы должны начать с просмотра той части вашей сети, которую вы видите, — сетевых устройств.

Домашние сетевые устройства включают в себя физические коробки и кабели, необходимые для настройки и работы вашей сети. Общее название этих физических устройств — аппаратное обеспечение.

Доступно сетевое оборудование различных размеров, форм и функций. Вот наиболее распространенные сетевые устройства, которые вам понадобятся для создания умной домашней сети:

.

·         Шлюз

Это устройство действует как мост, соединяющий две отдельные сети.Например, в вашем доме маршрутизатор является шлюзом, обеспечивающим соединение между сетью вашего широкополосного провайдера и вашей личной сетью.

·         Беспроводная точка доступа (WAP)

Устройство, используемое для создания сети Wi-Fi из проводной сети.

·         Сетевой коммутатор

Используется для подключения нескольких проводных устройств к вашей сети. Однако у вас меньше шансов найти его дома из-за популярности беспроводного Интернета. Тем не менее, он по-прежнему используется в сложных сетевых настройках умного дома и бизнес-средах.

·         Кабели Ethernet

Они являются основными для проводных сетей и используются для подключения маршрутизатора к Интернет-соединению.

·         Маршрутизатор

Это устройство является сердцем вашей домашней сети, которое передает трафик туда и обратно между вашими устройствами и Интернетом.

·         Удлинители Wi-Fi

Если вы живете в большом доме или у вас есть перебои с Wi-Fi, вы можете использовать удлинитель для расширения зоны действия вашей беспроводной сети.

·         Устройство брандмауэра

Это аппаратное обеспечение, которое подключается к маршрутизатору и блокирует вредоносный трафик, такой как вредоносное ПО, от доступа к вашей домашней сети.

Сборка вашей умной домашней сети

Теперь, когда вы понимаете, как взаимодействуют умные бытовые приборы и устройства, необходимые для создания вашей домашней сети, вам по-прежнему нужен важный компонент. Вам нужно средство, которое объединяет все ваши интеллектуальные устройства для более удобного и беспрепятственного общения.К счастью, мир технологий может предложить две альтернативы.

1. Смарт-хабы

Смарт-хаб — это шлюз, принимающий подключения со всех устройств в сети умного дома, даже разных производителей и использующих разные протоколы связи. Объединение различных сигналов от ваших интеллектуальных устройств позволяет легко управлять каждым устройством с помощью единого интерфейса.

С хабом для умного дома вы можете выйти за рамки простого ручного взаимодействия. Концентратор позволяет настроить устройства таким образом, чтобы они обнаруживали определенные ситуации и реагировали на них.Например, датчик освещенности задернет шторы или выключит свет, как только обнаружит сильный солнечный свет.

2. Виртуальные домашние помощники

На рынке вы найдете множество интеллектуальных динамиков с голосовым управлением. Такие модули с голосовым управлением могут выполнять простые задачи, такие как чтение новостей, воспроизведение музыки, ответы на телефонные звонки и даже проверка погоды.

После интеграции в сеть «умного дома» виртуальные домашние помощники превращают автоматизацию «умного дома» в реальность.Некоторые сторонние устройства, доступные на рынке, включают:

·         Amazon Alexa

·         Главная страница Google

·         Комплект Apple Home

·         Белкин WeMo

·         Лутрон

С чего начать?

К счастью, создание собственной сети умного дома не означает, что вам нужно полностью пересмотреть все свои гаджеты. Вместо этого начните с малого, выбрав место общего пользования, чтобы техника была легко доступна для всех членов вашей семьи.Затем посмотрите на устройства, которые вы используете ежедневно, и посмотрите, как они могут дополнить вашу повседневную жизнь.

Руководство по безопасности: WPA2-Enterprise в домашней сети


    Тим Лиско
  • Безопасность
Требуемое программное/аппаратное обеспечение:
  • FreeBSD 8.1 — Моя любимая операционная система unix и ОС, используемые в следующем посте.
  • FreeRADIUS — Доступен через дерево портов FreeBSD по адресу: /usr/ports/net/freeradius2/
  • OpenSSL — Стандартно доступен через установку FreeBSD; однако убедитесь, что вы работаете с самой последней версией, поскольку OpenSSL имеет некоторые проблемы с безопасностью.
  • Маршрутизатор и/или точка доступа, поддерживающая серверы RADIUS и WPA2-Enterprise. DD-WRT — отличная сторонняя прошивка, которая будет использоваться в этом примере.

Приведенное ниже руководство из 12 шагов представляет все, что вам нужно, чтобы получить действующий экземпляр сети, защищенной WPA2-Enterprise, у себя дома или в малом бизнесе. Учебник проведет вас через создание сертификата, развертывание, настройку FreeRADIUS, вашей точки доступа/маршрутизатора и ваших клиентов. Я настоятельно рекомендую вам прочитать документацию, предоставляемую как OpenSSL, так и FreeRADIUS, особенно в отношении файлов конфигурации. Документация предоставит вам более полное представление о пакетах программного обеспечения и спасет жизнь при устранении неполадок.Всегда РТФМ. Наконец, я бы посоветовал вам прочитать об инфраструктуре открытых ключей и цифровых сертификатах, чтобы убедиться, что вы точно понимаете, что здесь делается правильно, и какие короткие пути были приняты. Я проведу вас через создание сертификата, развертывание, настройку FreeRADIUS, Точка доступа/маршрутизатор и ваши клиенты. Я настоятельно рекомендую вам прочитать документацию, предоставляемую как OpenSSL, так и FreeRADIUS, особенно в отношении файлов конфигурации. Документация предоставит вам более полное представление о пакетах программного обеспечения и спасет жизнь при устранении неполадок.Всегда РТФМ. Наконец, я бы посоветовал вам прочитать об инфраструктуре открытых ключей и цифровых сертификатах, чтобы убедиться, что вы точно понимаете, что здесь делается правильно, и какие короткие пути были приняты.

Пожалуйста, используйте индекс ниже, чтобы быстро перемещаться по документу, если вы ищете подробности по конкретному шагу:

Шаг 1: Создание центра сертификации
Шаг 2: Создание нового сертификата центра сертификации
Шаг 3: Создание сервера RADIUS сертификат
Шаг 4: Создание клиентских сертификатов
Шаг 5: Подписание всех клиентских сертификатов
Шаг 6: Экспорт сертификатов для Windows и Mac
Шаг 7: Установка и настройка FreeRADIUS
Шаг 8: Проверка конфигурации сервера
Шаг 9: Настройка беспроводной точки доступа
Шаг 10. Развертывание сертификатов на клиентских устройствах
Шаг 11. Настройка беспроводного клиента (подробные инструкции для Windows XP SP3 ниже)
Шаг 12. Настройка FreeRADIUS для запуска при загрузке
Терминология
Подведение итогов : Создание центра сертификации

1.1 Создайте каталоги, необходимые для OpenSSL и FreeRADIUS:


/bin/mkdir /etc/certstore
/bin/mkdir /etc/certstore/CA
/bin/mkdir /etc/certstore/CA/private
/bin /mkdir /etc/certstore/certs
/bin/mkdir /etc/certstore/crl
/bin/mkdir /etc/certstore/private
/bin/mkdir /etc/certstore/newcerts
/bin/mkdir /etc/certstore /export
/bin/mkdir /etc/wireless
/bin/mkdir /etc/wireless/certs
/bin/mkdir /etc/wireless/certs/clients
/bin/mkdir /etc/wireless/certs/server
  • certstore/CA — это каталог нашего центра сертификации.
  • certstore/CA/private для закрытого ключа нашего центра сертификации.
  • Каталог certstore/certs, в котором будут размещены сертификаты нашего сервера.
  • Каталог certstore/newcerts — это место, куда OpenSSL помещает созданные сертификаты в формате PEM (незашифрованном) и в форме cert_serial_number.pem (например, 100001.pem). OpenSSL нужен этот каталог, поэтому мы его создаем.
  • certstore/crl — это место, где находится наш список отзыва сертификатов.
  • certstore/private — это каталог, в котором находятся наши закрытые ключи.
  • certstore/newcerts — это каталог, в который мы будем помещать вновь созданные сертификаты и запросы.
  • certstore/newcerts — это каталог, в который мы будем помещать экспортированные ключи в формате PCKS#12. Отдельные функциональные возможности сервера)
  • wireless/certs/clients — это то место, где мы будем хранить наши клиентские сертификаты.
  • wireless/certs/server — это место, где будут храниться учетные данные сервера.

Убедитесь, что вы установили ограничительные разрешения для всех ваших закрытых ключей, чтобы их мог прочитать только пользователь root или пользователь, с правами которого работает сервер.Если кто-то украдет ваши закрытые ключи, все станет совсем плохо.

1.2 Убедитесь, что каталог защищен для доступа только root:


/bin/chmod -R 0700 /etc/certstore

Разрешения Объяснение: 0700 = Чтение, запись, выполнение только для владельца (root)


04
4 Создайте базу данных для отслеживания каждого подписанного сертификата. Файл «serial» отслеживает подписанные сертификаты.


/bin/echo ‘100001’ >/etc/certstore/serial
/usr/bin/touch /etc/certstore/certindex.txt

1.4 Отредактируйте openssl.cnf в соответствии с вашими потребностями
################################# ############
# Файл конфигурации OpenSSL
# Версия 1.0
# [email protected]
# 23 октября 2010 г.
################# ##############################

# Установить рабочий каталог.

dir = /etc/certstore

[ ca ]
default_ca = CA_default

[ CA_default ]
серийный номер = $dir/serial
база данных = $dir/certindex.txt
new_certs_dir = $dir/certs
certificate = $dir/CA/cacert.pem
private_key = $dir/CA/private/cakey.pem
default_days = 365 #2 года = 730, 3 года = 1095 4 года = 1460 5 лет = 1825
default_md = sha1
preserve = no
email_in_dn = no
nameopt = default_ca
setopt = default_ca
Политика = policy_match

[Policy_match

[Policy_match]
Countryname = Match
STOUNTORPROVINGENAME = Match
Организация пользователя = Match
Commentname = указан адрес электронной почты
= o ptional

[req]
default_bits = 1024 # Размер ключей
default_keyfile = key.pem # имя сгенерированного ключа
default_md = sha1 # алгоритм дайджеста сообщения 23 октября 2010 г. изменен на SHA1
string_mask = nombstr # разрешенные символы
disabled_name = req_distinguished_name
req_extensions = v3_req

[ req_distinguished_name ]
# Variable name ———————- ————————— ——-
0.organizationName = название организации (компании)
organizationUnitName = название организационной единицы (департамент, отдел)
emailAddress = адрес электронной почты
emailAddress_max = 40
localityName = название населенного пункта (город, район)
stateOrProvinceName = название штата или провинции (полное название)
countryName = Название страны (двухбуквенный код)
countryName_min = 2
countryName_max = 2
commonName = Обычное имя (имя хоста, IP или ваше имя)
commonName_max = 64

# Значения по умолчанию для вышеуказанного, для согласованности и меньшего количества ввода.
# Имя переменной Значение
#———————— ——————
0.organizationName_default = Awesome Wifi #IP-адрес или имя вашего сервера RADIUS

[ v3_ca ]
basicConstraints = CA:TRUE
subjectKeyIdentifier = hash
authorKeyIdentifier = keyid:always, issuer:always

[ v3_req ]
basicConstraints = hasey90ifier subjectKeyIdentifier = CA:FALSE 90 ################################################### ###############################


1.5 Создайте файл xpextensions
Файл xpextensions содержит коды идентификаторов объектов расширенного использования ключа (OID), которые необходимы для того, чтобы сгенерированные OpenSSL сертификаты работали с продуктами Microsoft. Создайте файл и добавьте следующее содержимое:

[ xpclient_ext ]
extendedKeyUsage = 1.3.6.1.5.5.7.3.2

[ xpserver_ext ]
extendedKeyUsage = 1.3.6.1.5.5.7.3.1

8


4: Убедитесь, что ограничительные разрешения вашего файла конфигурации:


/bin/chmod 0600 /etc/certstore/openssl.cnf

Разрешения Объяснение: 0600 = чтение/запись только для владельца (root)


Шаг 2: Создание нового сертификата центра сертификации

Создание собственной пары ключей центра сертификации позволит вам создать и подписать свой собственный сервер и клиентские сертификаты. Поскольку это внутренняя сеть, нам не нужно заботиться о наличии сертификата в опубликованном списке доверенных корневых органов. Позже в развертывании мы будем использовать наши собственные созданные сертификаты и добавлять их в хранилище сертификатов доверенного корневого центра для клиентов Windows.

Убедитесь, что эти команды выполняются в каталоге /etc/certstore.

2.1 Генерация сертификата ЦС и пары ключей


openssl req -new -x509 -extensions v3_ca -keyout CA/private/cakey.pem -out CA/cacert.pem -days 3650 -config ./openssl. cnf
Примечание. Для параметра «-days» установлено значение 3650, это означает, что срок действия сертификата ЦС составляет 10 лет. Это потому, что я ленив и принимаю риск безопасности, который он представляет.

ВАЖНО: Здесь вы должны начать отслеживать пароли для каждого из этих файлов.Предлагаю создать файл на съемном носителе. Однако имейте в виду, что это создает угрозу безопасности. Я бы также предложил использовать генератор случайных паролей, который включает строчные и прописные буквы, специальные символы и цифры. Опять же, это для вашей домашней сети, поэтому вам не нужны 128-символьные пароли, но они точно не повредят. Однако каждый раз, когда вам нужно будет подписать новый сертификат, вам понадобится этот пароль.

2.2. Защитите только что созданный закрытый ключ:


/bin/chmod 0400 /etc/certstore/CA/private/cakey.pem

Разрешения Объяснение: 0400 = Только для чтения владельцем

2.3 Экспорт вашего ключа ЦС для развертывания
Эти ключи будут использоваться для ваших клиентских компьютеров, они должны иметь доступ к ключу ЦС, как если бы они были доверенными CA, например VeriSign и т. д.


openssl x509 -in CA/private/cacert.pem -outform DER -out export/AwesomeCA.der


1 Запрос на подпись сервера:


openssl req -new -nodes -keyout newcerts/radius_key.pem -out newcerts/radius_req.pem -days 1825 -config openssl.cnf

7
Sign Radius Server8 Certificate

openssl ca -config ./openssl.cnf -out newcerts/radius_cert.pem -extensions xpserver_ext -extfile ./xpextensions -infiles newcerts/radius_req.pem


Введите пароль. Подтвердите действие подписи.

3.3 Скопируйте пару ключей сервера и ключ CA в /etc/wireless/certs/server


cp /etc/certstore/newcerts/radius_cert.pem /etc/wireless/certs/server
cp /etc/certstore/newcerts/radius_key.pem /etc/wireless/certs/server
cp /etc/certstore/CA/cacert.pem /etc/wireless/certs/server


Шаг 4. Создание клиентских сертификатов

Это важный шаг. Проведите инвентаризацию устройств, которые будут подключаться через вашу беспроводную сеть. Убедитесь, что каждое устройство под вашим контролем имеет уникальный сертификат. Я также делаю служебные сертификаты для будущего использования и несколько гостевых сертификатов.Например:

  • XPLaptop1
  • XPLaptop2
  • XPLaptop3
  • XPLaptop4
  • XPLaptop5
  • Android1
  • Android2
  • AppleIOS1
  • AppleIOS2
  • GuestKey1
  • GuestKey2
  • GuestKeyOSX1

инвестирую время, чтобы сделать эти ключи заранее и сохраните их на USB-накопителе (kingston datatraveler, iron key или другом зашифрованном USB-накопителе) или на CD-R для будущего использования. Легче выкопать съемный носитель, чем точно помнить, как сделать ключ, если вы не делаете это регулярно.Примечание. Убедитесь, что поле «Общее имя» изменено по умолчанию. Общие имена должны быть уникальными для конкретного ключа, например XPLaptop1. Следите за используемыми общими именами.

Вам нужно будет создать пароль PEM для каждого из них, выберите что-нибудь надежное. Сохраните этот пароль PEM в файле.


openssl req -new -keyout newcerts/XPLaptop1_key.pem -out newcerts/XPLaptop1_req.pem -days 1825 -config ./openssl.cnf
ОБНОВЛЕНИЕ 14.11.2013: Я опубликовал сценарий, который значительно помочь с изготовлением большого количества ключей.См. сообщение по адресу http://www.privacywonk.net/2013/11/openssl-key-and-certificate-signing-requests-csr-generation-script.php


. Шаг 5. Подпишите все клиентские сертификаты
.

Для каждого сгенерированного сертификата необходимо подписать его ключом ЦС.

5.1 Для сертификатов Windows используйте следующую команду:


openssl ca -config ./openssl.cnf -out newcerts/XPLaptop1_cert.pem -extensions xpclient_ext -extfile ./xpextensions -infiles new1certs_re.ap.XPLPEM


5.2 Для клиентов Mac OSX используют следующую команду:



7


OpenSSL CA -CONFIG ./OpenssSL.cnf -out newcerts / gestosx1_cert.pem -infiles newcerts / gestosx1_req.pem

5.3 Копировать клиента сертификаты (открытый ключ) в FreeRADIUS CertStore: /etc/wireless/certs/clients


cp /etc/certstore/newcerts/*_cert.pem /etc/wireless/certs/clients


Шаг 6: Экспорт сертификатов для Windows и Mac

Для экспорта сертификатов для совместимости с Microsoft рекомендуется использовать стандарты шифрования с открытым ключом (PKCS) 12.PKCS#12 определяет формат файла, обычно используемый для хранения закрытых ключей X.509 с соответствующими сертификатами открытого ключа, защищенный симметричным ключом на основе пароля. Когда вы будете готовы переместить эти файлы на съемный носитель, просто загрузите все содержимое /etc/certstore/export.


openssl pkcs12 -export -in newcerts/XPLaptop_cert.pem -inkey newcerts/XPLaptop_key.pem -out export/XPLaptop_cert.p12 -clcerts

Примечание об экспорте паролей. В идеале вы должны разрешить каждому пользователю выбирать свой пароль.Однако это, как правило, позволяет людям выбирать ужасно слабые пароли, тем самым ставя под угрозу сертификат и делая его уязвимым для атак грубой силы. Сертификаты X.509 объединяют пары открытого и закрытого ключей в один двоичный файл, экспортный пароль будет контролировать доступ к области закрытого ключа. Выберите что-нибудь случайное и надежное, как вы делали это для пароля PEM.


Шаг 7: Установка и настройка FreeRADIUS

7.1 — Настройка параметров Диффи-Хеллмана и случайного файла


cd /etc/wireless/
openssl dhparam -check —

Выходные данные команды:
Генерация параметров DH, 1024-битное безопасное простое число, генератор 5
Это займет много времени
………….+…….+…………………+……. …………………………………………. …………..
……………………………….. …+………….+……………+..+..+.+…….. ….+………….+…..
…………………… ………+……+……………..+…………. …………………..+…….+………
+…….++ *++***++***++***++***++* (и на экране больше этого)
Параметры DH кажутся в порядке.


dd if=/dev/urandom of=random count=2

Вывод команды:
2+0 записей в
2+0 записей на выходе
1024 байт передано в 0.000078 секунд (13134457 байт/сек)


/usr/sbin/chown freeradius:freeradius /etc/wireless/dh
/usr/sbin/chown freeradius:freeradius /etc/wireless/random

/bin/chmod 0600 /etc /wireless/dh
/bin/chmod 0600 /etc/wireless/random

Разрешения Объяснение: Мы выбрали файл dh, чтобы гарантировать, что freeradius может получить к нему доступ для использования в обмене DH. Затем мы модифицируем его так, чтобы права на запись были удалены у любых других пользователей. o = другие «-w» = удалить права на запись.

Файл «dh», созданный openssl, представляет собой файл параметров Диффи-Хеллмана. Он используется FreeRADIUS для согласования сеансовых ключей TLS. Файл Random, созданный программой «dd», используется для случайных данных в операциях TLS.

7.2 Настройка eap.conf


##################################### ###########################
# eap.conf — Конфигурация для WiFi EAP-TLS (и других типов)
# Версия 1.0
# 23 октября 2010 г.
# [email protected]сеть
################################################# #################

eap {
default_eap_type = tls
timer_expire = 60
ignore_unknown_eap_types = нет
cisco_accounting_username_bug = нет
max_sessions = 4096
{#t TL 9 ETL


certdir = /etc/wireless/certs/clients #client cert directory

#private_key_password = #Запрос пароля для закрытых ключей (если установлен)
private_key_file = /etc/wireless/certs/server/radius_key.pem
certificate_file = /etc /беспроводная/сертификаты/сервер/radius_cert.pem

# Файл доверенного корневого ЦС
CA_file = /etc/wireless/certs/server/cacert.pem

# Файл параметров Диффи-Хеллмана; используется freeradius для согласования сеансовых ключей TLS
dh_file = /etc/wireless/dh

# Случайный файл битового потока, который также используется в операциях TLS: «DEFAULT» #man 1 шифры, слабый соус
cipher_list = «HIGH» #force high… все еще может быть слабым соусом для окон (3DES).

} #close TLS config
########################################## ########
#
#!!!!! ПРЕДУПРЕЖДЕНИЕ по совместимости с Windows!!!!!
#
############################################### ###
#
# Если вы видите, что сервер отправляет Access-Challenge,
#, а клиент больше не отправляет Access-Request,
#, то
#
# СТОП!
#
# Сертификат сервера должен иметь специальный OID
#, иначе клиенты Microsoft будут молча
# завершаться ошибкой.Подробнее см. в файле «scripts/xpextensions»
# и на следующей странице:
#
# http://support.microsoft.com/kb/814394/en-us
#
# Дополнительные сведения о проблемах с Windows XP SP2 см. см.:
#
# http://support.microsoft.com/kb/885453/en-us
#
#
# Если по-прежнему не работает, и вы используете Samba,
# вы можете столкнуться ошибка самбы. См.:
#
# https://bugzilla.samba.org/show_bug.cgi?id=6563
#
# Обратите внимание, что мы не обязательно согласны с их
# объяснением… но исправление работает.
#
############################################### ###
} #close eap configuration

7.3 Configure Clients.conf


########################################################### ###########################################################################
# client.conf — директивы конфигурации клиента 1.0
# 23 октября 2010 г.
# [email protected]
################################### ##############################

client localhost {
ipaddr = 127.0.0.1
secret = testing123
require_message_authenticator = no
nastype = other # localhost обычно не является NAS…
} #close localhost

client 10.0.1.1 { #Это должен быть IP-адрес или имя хоста вашего Точка доступа/маршрутизатор
secret = <<Ваш секретный пароль, общий для точки доступа и RADIUS. Остерегайтесь специальных символов>>
shortname = <<Имя вашей сети SSID>>
nastype = other #подходящий тип NAS для беспроводной точки доступа
} #close WiFi

7.4 Настройка radius.conf


######################################### ########################
# client.conf — файл конфигурации сервера FreeRADIUS.
# Версия 1.0
# 23 октября 2010 г.
# [email protected]
################################## ################################
#
# Прочтите «man radiusd» перед редактированием этого файла. См. раздел
# под названием ОТЛАДКА. В нем описывается метод, с помощью которого вы можете быстро
# получить нужную конфигурацию, не сталкиваясь с
# проблемами.
#
# Запустите сервер в режиме отладки и ПРОЧИТАЙТЕ вывод.
#
# $ radiusd -X
#
####################################### ##########################

префикс = /usr/local
exec_prefix = ${префикс}
sysconfdir = ${префикс}/etc
localstatedir = /var
sbindir = ${exec_prefix}/sbin
logdir = /var/log
raddbdir = ${sysconfdir}/raddb
radacctdir = ${logdir}/radacct

# имя работающего сервера. См. также параметр командной строки «-n».
name = radiusd

# Расположение файлов конфигурации и логов.
confdir = ${raddbdir}
run_dir = ${localstatedir}/run/${name}

# Должно быть ${localstatedir}/lib/radiusd
db_dir = ${raddbdir}

#
# libdir: Где чтобы найти модули rlm_*.
libdir = /usr/local/lib/freeradius-2.1.9

# pidfile: Где разместить PID сервера RADIUS.
pidfile = ${run_dir}/${name}.pid

# пользователь/группа: имя (или #номер) пользователя/группы, от имени которого будет выполняться radiusd.
#
user = freeradius
group = freeradius

# max_request_time: Максимальное время (в секундах) для обработки запроса.
max_request_time = 10

# cleanup_delay: время ожидания (в секундах) перед очисткой ответа, отправленного на NAS.
cleanup_delay = 5

# max_requests: Максимальное количество запросов, которые
# отслеживает сервер. Это должно быть 256, умноженное на количество клиентов.
# например. При 20 клиентах это число должно быть 5120.
max_requests = 5120

# listen: заставить сервер прослушивать определенный IP-адрес и отправлять
# ответы с этого адреса. Эта директива наиболее полезна для хостов
# с несколькими IP-адресами на одном интерфейсе.

listen {
type = auth
ipaddr = 10.0.1.75
# 0 означает «использовать /etc/services для соответствующего порта»
# порт тоже.
#
listen {
type = acct
ipaddr = 10.0.1.75
port = 0
}

hostname_lookups = no
allow_core_dumps = no #включить только для отладки # ЖУРНАЛ #####################################
#
# Раздел журнала. Различные элементы конфигурации «log_*»
# в конечном итоге будут перемещены сюда.
#
log {
destination = files
file = ${logdir}/radius.log
syslog_facility = daemon
# для первоначальных целей отладки все нижеперечисленное установлено в yes.Это обеспечит подробные файлы журналов для обеспечения бесперебойной работы. Как только это установлено, все они могут быть изменены на нет.
stripped_names = yes
auth = yes
auth_badpass = yes
auth_goodpass = yes

}

# Программа для проверки параллелизма.
checkrad = ${sbindir}/checkrad

################# НАСТРОЙКА БЕЗОПАСНОСТИ #################### ################
# На сервере может быть несколько методов атаки. Этот
# раздел содержит элементы конфигурации, которые минимизируют влияние
# этих атак
#
безопасность {
max_attributes = 200 #значение по умолчанию
reject_delay = 1
status_server = yes
}

######### ######## НАСТРОЙКА ПРОКСИ ####################################
# proxy_requests: Включает или выключает проксирование запросов RADIUS.
proxy_requests = no
#$INCLUDE proxy.conf

################# НАСТРОЙКА КЛИЕНТА ################### ##################
# Конфигурация клиента определяется в «clients.conf».

$INCLUDE client.conf

################# КОНФИГУРАЦИЯ ПУЛА ПОТОКОВ ###################### ###############
# Пул потоков — это долгоживущая группа потоков, которые
# по очереди обрабатывают любые входящие запросы.
thread pool {
start_servers = 5
max_servers = 32
min_spare_servers = 3
max_spare_servers = 10
max_requests_per_server = 0
}

# MODULE CONFIGURATION
#
#

#
# После определения модулей здесь они могут называться по имени,
# в других разделах этого файла конфигурации.
#
modules {
# $INCLUDE ${confdir}/modules/
$INCLUDE ${confdir}/modules/exec
$INCLUDE ${confdir}/modules/expr
$INCLUDE ${confdir}/modules/expiration
$INCLUDE ${confdir}/modules/logintime
$INCLUDE ${confdir}/modules/preprocess
$INCLUDE ${confdir}/modules/acct_unique
$INCLUDE ${confdir}/modules/realm
$INCLUDE ${confdir} /modules/detail
$INCLUDE ${confdir}/modules/attr_filter
$INCLUDE ${confdir}/modules/radutmp

# Расширяемый протокол аутентификации
$INCLUDE eap.conf
}

# Создание экземпляра
#
создание экземпляра {
#
# Разрешает выполнение внешних сценариев.
# Вся командная строка (и вывод) должны умещаться в 253 байта.
#
# напр. Framed-Pool = `%{exec:/bin/echo foo}`
exec

#
# Модуль выражения не выполняет авторизацию,
# аутентификацию или учет. Он выполняет только динамический
# перевод в форме:
#
# Session-Timeout = `%{expr:2 + 3}`
#
# Таким образом, модуль должен быть создан, но НЕ МОЖЕТ быть
# перечисленным в любом другой раздел.См. ‘doc/rlm_expr’ для
# дополнительной информации.
#
expr
# daily #default…
истечение срока действия
logintime
}

################################ ########################################
#
# Политики, которые можно применять в несколько мест перечислены
# по всему миру.
$INCLUDE policy.conf

########################################## #############################
#
# Загрузить виртуальные серверы.
$INCLUDE с поддержкой сайтов/
######################################### #############################

Примечание. Директивы для регистрации разделенных имен, хороших и плохих паролей создают подробные файлы журнала.Они полезны для целей отладки; однако журналы могут выдать важную информацию. Ниже приведен пример файла журнала, созданного при включении всех этих директив:


Вт, 26 октября, 21:53:47 2010 : Auth: Login OK: [YourCertsCommonName1/] (от клиента YourAP/Router, порт 60 cli 0088dbc207e6 )
Среда, 27 октября, 05:09:30 2010 : Аутентификация: Логин в порядке: [YourCertsCommonName2/] (от клиента Ваш/маршрутизатор, порт 42 cli 00516f9b3176) /] (из порта клиента Boomsquad 46 cli f09defea03fa4)
Пн, 25 октября, 02:14:15 2010: Ошибка: чтение предупреждения TLS: фатальный: неизвестно CA
, Пн, 25 октября, 02:14:15 2010: Ошибка: TLS_accept: сбой в SSLv3 чтение сертификата клиента A
Пн, 25 октября, 02:14:15 2010: Ошибка: rlm_eap: Ошибка SSL: 14094418: Подпрограммы SSL: SSL3_READ_BYTES: tlsv1, предупреждение неизвестно, ca
, Пн, 25 октября, 02:14:15 2010: Ошибка: SSL: SSL_read сбой внутри TLS (-1), сбой сеанса TLS.

7.5 Обновление /usr/local/etc/raddb/sites-available/default
Этот файл управляет модулями аутентификации, авторизации и учета, доступными для FreeRADIUS. Мы хотим заблокировать это только для EAP.


################################################ #################
# сайты доступны/по умолчанию — сайты/файлы аутентификации FreeRADIUS по умолчанию.
# Версия 1.0
# 23 октября 2010 г.
# [email protected]
################################## ################################

# Авторизация.Сначала предварительно обработайте (файлы подсказок и групп поиска),
#, затем области и, наконец, просмотрите файл «users».
#
# Порядок модулей области определяет порядок, в котором
# мы пытаемся найти подходящую область.
#
# Убедитесь *убедитесь*, что ‘preprocess’ предшествует какой-либо сфере, если вам
# нужно настроить подсказки для удаленного сервера RADIUS request, и превращая их в более стандартные атрибуты
#.
#
# Он обрабатывает файлы ‘raddb/hints’ и
# ‘raddb/huntgroups’.
preprocess
#
# Этот модуль обеспечивает аутентификацию EAP-MD5, EAP-TLS и EAP-LEAP
#.
#
# Он также устанавливает атрибут EAP-Type в списке атрибутов запроса
# на тип EAP из пакета.
#
# Начиная с версии 2.0 модуль EAP возвращает «ok» на этапе авторизации
# для TTLS и PEAP. В 1.x здесь никогда не возвращалось «ok», поэтому
# это изменение совместимо со старыми конфигурациями.
#
# В приведенном ниже примере используется отработка отказа модуля, чтобы избежать запроса всех
# следующих модулей, если модуль EAP возвращает «ok».
# Таким образом, ваши серверы LDAP и/или SQL не будут опрашиваться
# для множества пакетов, которые передаются туда и обратно для настройки TTLS
# или PEAP. Таким образом, нагрузка на эти серверы будет снижена.
#
eap {
ok = return
}

#
} #end authorize

# Аутентификация.
#
#
# В этом разделе указано, какие модули доступны для аутентификации.
authentication {
eap
} #end authentication

# Предварительный учет. Решите, какой тип учета использовать.
#
preacct {
preprocess
acct_unique
suffix
} #close preacct

# Учет. Зарегистрируйте учетные данные.
#
Accounting {
Detail

# Отфильтровать атрибуты из ответа Accounting.
attr_filter.accounting_response
} #закрыть учет

# База данных сеанса, используемая для проверки одновременного использования.С этим справится либо модуль radutmp
#, либо модуль rlm_sql.
# Модуль rlm_sql *намного* быстрее
session {
radutmp
} #close session

# Пост-аутентификация
# Как только мы ЗНАЕМ, что пользователь прошел аутентификацию, мы можем предпринять
# дополнительных шагов.
post-auth {
exec
Post-Auth-Type REJECT {
attr_filter.access_reject
} #close reject
} #close post auth

и certstore от посторонних глаз…


chown -R freeradius:freeradius /usr/local/etc/raddb/
chmod -R 0700 /usr/local/etc/raddb/
chmod 0400 /usr/local/etc/raddb/*.conf

chown -R freeradius:freeradius /etc/wireless
chmod -R 0700 /etc/wireless/certs
chmod 0400 /etc/wireless/certs/server/*.pem
chmod 0400 /etc/wireless/certs/clients/*. pem

Разрешения Объяснение: Каталоги должны иметь права доступа 0700 (только для чтения, записи и выполнения), чтобы сервер FreeRADIUS мог выполнять их; однако, поскольку файлы конфигурации и сертификаты не изменяются сервером, они могут быть заблокированы до 0400 (только для чтения).


Шаг 8. Проверьте конфигурацию сервера

8.1 Проверьте файлы конфигурации текст. Вы вообще не должны видеть никаких предупреждений или сообщений об ошибках. В идеале, это должно заканчиваться чем-то вроде:


Прослушивание адреса аутентификации 10.0.1.75 порт 1812
Прослушивание адреса учета 10.0.1.75 порт 1813
Прослушивание командного файла /var/run/radiusd/radiusd.sock
Готов к обработке запросов.

Нажмите здесь, чтобы увидеть полный вывод отладки успешного запуска.

Если вы видите какие-либо ошибки, просмотрите свои файлы конфигурации, RTFM, нажмите Google или оставьте мне комментарий, и я попытаюсь диагностировать.

После успешного запуска и выявления возможных проблем с конфигурацией отключите все работающие серверы (Ctrl-C) и перезапустите следующим образом:


/usr/local/sbin/radiusd -X -f > ~root/ радиус.отладка.log.txt

Перейдите в новое окно терминала и выполните следующую команду:


/usr/bin/tail -f ~root/radius.debug.log.txt

Это позволит вам просмотреть журнал в режиме реального времени, а также сохранить копию для последующего просмотра. По мере того, как мы продвигаемся к настройке наших точек доступа и клиентов (запрашивающих), мы можем отслеживать, правильно ли точка доступа передает трафик на сервер FreeRADIUS, использует ли клиент (запрашивающий) правильный сертификат и т. д.

8.2 Тестирование FreeRADIUS
Если вы хотите потратить время на проведение надлежащего тестирования, я бы предложил очень подробную методологию тестирования EAP-TLS, представленную в журнале Free Software Magazine: HOWTO: Инкрементальная настройка сервера FreeRADIUS для аутентификации EAP. В частности, «Шаг 4. Полный цикл с EAP-TLS, EAP-TTLS и PEAP».

Будет совершенно очевидно, работает ли конфигурация, представленная в этом руководстве, или нет. Тем не менее, хорошее тестирование всегда приветствуется!


Шаг 9. Настройка беспроводной точки доступа

Надеюсь, мы не потратили много времени только на то, чтобы узнать, что ваш маршрутизатор не поддерживает аутентификацию WPA2-Enterprise.Мой домашний маршрутизатор Cisco/Linksys не поддерживал его из коробки, но поддерживает DD-WRT, стороннюю прошивку.

Вот скриншот. Настройка очень проста:


Шаг 10. Размещение сертификатов на клиентских устройствах

Загрузите экспортированные сертификаты на USB-накопитель или запишите на CD-R. Если вы решили установить случайный пароль вместо паролей, предоставленных пользователем, убедитесь, что у вас есть список, который вы можете копировать и вставлять во время установки. Это не очень высокий уровень безопасности, но упрощает развертывание.Опять же, это ваша домашняя сеть, а не секретная сеть.

10.1 Установите сертификат центра сертификации

Дважды щелкните файл .DER, который мы создали ранее (AwesomeCA.der). Появится следующий экран:

Нажмите кнопку «Установить».

Это приведет вас к экрану, предлагающему выбрать хранилище сертификатов.

Выберите второй переключатель «Поместить все сертификаты в следующее хранилище» и нажмите «Обзор».

Выберите из списка хранилище «Доверенные корневые центры сертификации».Нажмите «ОК».

Нажмите «Далее»

Вам будет предложено с предупреждением системы безопасности. Щелкните здесь, чтобы получить снимок экрана (слишком большой для отображения на веб-странице). Нажмите Да.

10.2 Установка клиентских сертификатов

Дважды щелкните файл .p12, который мы создали ранее.

Щелкните Далее.

На экране будет проверено местоположение ключа, который вы хотите импортировать.

Щелкните Далее.

Введите пароль для экспорта сертификата. Это позволит Windows успешно импортировать сертификат.

Щелкните Далее. Windows сообщит вам, что сертификат был успешно импортирован.

Шаг 11: Настройка беспроводного клиента (подробные инструкции для Windows XP SP3 только ниже)

Настройте новую беспроводную сеть. Выберите WPA2 с шифрованием AES

Перейдите на вкладку «Аутентификация». Обязательно выберите «Смарт-карта или другой сертификат». Щелкните Свойства.

Прокрутите список, чтобы найти и выбрать имя центра сертификации. Нажмите «ОК».

Инструкции для iPhone (PDF)
Инструкции для MAC OSX (PDF)
Apple 802.1x Технический документ по аутентификации (руководство для предприятий) (PDF)
Установка сертификатов на Android 4.3 или более поздней версии


Шаг 12. Настройте FreeRADIUS для запуска при загрузке

Если ваши клиенты успешно подключились, уничтожьте все экземпляры RADIUS, которые вы можете запустить через командную строку (например, упоминание сервера отладки на шаге 8).

12.1 Добавьте Radius в rc.conf, чтобы FreeRADIUS запускался при загрузке.


/bin/echo radiusd_enable=»YES» >> /etc/rc.conf

12.2 Запустите сервер через скрипт rc.d.


/usr/local/etc/rc.d/radiusd start

Терминология
Протокол аутентификации, авторизации и учета (AAA):

Аутентификация, где аутентификация относится к процессу аутентификации аутентифицируется, как правило, путем предоставления свидетельства того, что он содержит определенную цифровую идентификацию, такую ​​как идентификатор и соответствующие учетные данные.Цифровые сертификаты, созданные в этом руководстве, представляют собой тип учетных данных.

Авторизация — определяет, уполномочен ли конкретный объект выполнять заданную деятельность, обычно вход в приложение или службу

Учет — отслеживание потребления сетевых ресурсов пользователями.

Запрашивающий — объект на одном конце сегмента локальной сети «точка-точка», который пытается пройти аутентификацию с помощью аутентификатора, подключенного к другому концу этой линии связи.На практике соискатель представляет собой программное приложение, установленное на компьютере конечного пользователя
. Пользователь вызывает просителя и отправляет учетные данные
для подключения компьютера к защищенной сети. Если аутентификация
прошла успешно, аутентификатор обычно позволяет компьютеру
подключиться к сети. конец этой ссылки.На практике аутентификатор обычно представляет собой сетевой коммутатор или беспроводную точку доступа/маршрутизатор, который служит точкой подключения для компьютеров, присоединяющихся к сети.

Сервер аутентификации — серверы, предоставляющие услуги аутентификации пользователям или другим системам через сеть. Удаленно размещенные пользователи и другие серверы аутентифицируются на таком сервере и получают криптографические билеты. Затем эти билеты обмениваются друг с другом для подтверждения личности. На практике и применительно к использованию в этом посте FreeRADIUS.

Служба удаленной аутентификации пользователей с телефонным подключением (RADIUS) — сетевой протокол, который обеспечивает централизованное управление аутентификацией, авторизацией и учетом (AAA) для компьютеров при подключении и использовании сетевой службы.


Суммирование

Хотя содержание этого поста поможет вам внедрить надежную защиту беспроводной сети, это не полное решение для обеспечения безопасности. На самом деле, как я отметил в посте, мой способ обработки ключей и связанных с ними фраз-паролей представляет угрозу безопасности.Защита и управление вашими ключами имеет решающее значение для обеспечения безопасности сети.

Убедитесь, что вы заблокировали компьютер FreeBSD, на котором размещен центр сертификации и сервер FreeRADIUS.

Если у вас есть частые гости, использующие вашу сеть, я бы предложил создать для них отдельную виртуальную беспроводную локальную сеть вместо предоставления им доступа на основе сертификата.

Примечание о поддержке центра сертификации. Это раздражает. Если вы ожидаете какого-либо уровня текучести вашей пользовательской базы, ухода сотрудников, частых гостей и т. д.Я настоятельно рекомендую потратить время на автоматизацию процесса генерации сертификатов. Есть много инструментов, которые могут помочь в этом. Например, TinyCA.

Наконец, я надеюсь, что сообщение было полезным и что вы смогли успешно воспроизвести развертывание WPA2. Я знаю, что в посте было несколько необъяснимых мест, если у вас есть какие-либо вопросы, пожалуйста, обращайтесь.


Журнал обновлений

  1. 14.11.2013 — Добавлен сценарий для создания сертификатов OpenSSL — http://www.privacywonk.net/2013/11/openssl-key-and-certificate-signing-requests-csr-generation-script.

Добавить комментарий

Ваш адрес email не будет опубликован.