taki_net: (gagarin)
taki_net ([personal profile] taki_net) wrote2013-10-17 12:35 am
  • Add Memory
  • Share This Entry

Вопрос сисадминам про вайфай

Народ, у нас такая проблема. По школе висят вайфай точки (они именно сконфигурированы как точки доступа, не роутеры, хотя такая конфигурация тоже возможна). Числом примерно 6.

Число легальных пользователей - около 50, но пароль (ключ wpa) быстро утекает, школота же, ложно понятое чувство товарищества. И их становятся сотни. После чего сеть ложится.

А смена пароля, с оповещением всех легальных, занимает два-три дня. А потом за пару дней все утекает.

И т.д.

Есть идеи?

Народ, решения, требующие более 1 чел-часа в неделю на поддержку - вне наших возможностей; рассматриваются только ПРОСТЫЕ решения

Page 1 of 3

Threaded | Top-Level Comments Only

[identity profile] dragon-ru.livejournal.com 2013-10-16 08:38 pm (UTC)(link)
Вводить пароль на принесенный комп, чтобы сам пользователь его не знал?
elentin: (goblet)

[personal profile] elentin 2013-10-16 08:43 pm (UTC)(link)
кейлоггеры же. у школоты :)

(не, ничего смешного - я помню, с каким восторгом мне автомобильный инструктор рассказывал, как поставил на свою винду - и так прикольно, представляешь? - пароли всей семьи узнавать)
Edited 2013-10-16 20:46 (UTC)
elentin: (goblet)

[personal profile] elentin 2013-10-16 08:44 pm (UTC)(link)
А гвоздями к мак-адресам прибивать выдаваемые динамические адреса?

В последнее время это даже довольно тупые SOHO-роутеры умеют, не думаю, что в школе висит что-то тупее.
(small office-home office сегмент рынка, так это называется)
Edited 2013-10-16 20:45 (UTC)

[identity profile] a7sharp9.livejournal.com 2013-10-16 08:44 pm (UTC)(link)
На роутере фильтровать DHCP clients по MAC address.

[identity profile] a7sharp9.livejournal.com 2013-10-16 08:45 pm (UTC)(link)
Хотя нет, начнут спуфить.

[identity profile] teabushmanmike.livejournal.com 2013-10-16 08:45 pm (UTC)(link)
Выдавать интернет только специальным мак-адресам.

[identity profile] marknn.livejournal.com 2013-10-16 08:49 pm (UTC)(link)
ввести мак-адреса всех легальных пользователей. Например, пусть по почте пошлют. И никого другого не пускать.

А по хорошему, конечно нужно сконфигуровать аuthnetication service и либо держать на каждом компьютере сертификат, либо пользоваться wpa-enterprise

[identity profile] oude-rus.livejournal.com 2013-10-16 08:50 pm (UTC)(link)
одна школота школотее другой?
я бы посоветовал сделать доступ для всех.

[identity profile] konj-v-paljto.livejournal.com 2013-10-16 08:50 pm (UTC)(link)
Фильтрация по макам же. не?
ppk_ptichkin: (Default)

[personal profile] ppk_ptichkin 2013-10-16 08:52 pm (UTC)(link)
А кто легальные пользователи?

[identity profile] fortness90.myopenid.com (from livejournal.com) 2013-10-16 08:56 pm (UTC)(link)
Советско-провайдерский метод:поставить доступ к инету через VPN/прокси раздать школоте индивидуальные логины/пароли.
elentin: (goblet)

[personal profile] elentin 2013-10-16 08:57 pm (UTC)(link)
выше в комментариях есть и чуть более удачный ответ, но первая мысль, как видно, у всех похожа :)

[identity profile] konj-v-paljto.livejournal.com 2013-10-16 08:58 pm (UTC)(link)
учителя, очевидно же

[identity profile] konj-v-paljto.livejournal.com 2013-10-16 08:59 pm (UTC)(link)
школоте вайфай вообще не положен. тупо мощности не хватает.

[identity profile] konj-v-paljto.livejournal.com 2013-10-16 09:01 pm (UTC)(link)
алсо, нереальный, но более конструктивный, КМК, вариант.

поставить столько точек и такой аплинк, чтобы со школотой хватало.
Сделать сетку для школоло и сетку для учителей.
Если есть задача "чтобы с уроков не лазали" - то школьную сетку во время уроков этосамое, кроме, например, библиотеки.
ppk_ptichkin: (Default)

[personal profile] ppk_ptichkin 2013-10-16 09:13 pm (UTC)(link)
Тогда почему эти пароли узнают школьники?

[identity profile] taki-net.livejournal.com 2013-10-16 09:15 pm (UTC)(link)
Многие компы показывают введенный пароль.

[identity profile] konj-v-paljto.livejournal.com 2013-10-16 09:15 pm (UTC)(link)
Думаю, что friendly fraud, но не уверен.
Слишком большое число легальных пользователей. Слишком большое число точек пересечения.

[identity profile] taki-net.livejournal.com 2013-10-16 09:17 pm (UTC)(link)
Через DHCP?

Так и чем это помогает? Во-первых, это значит занять столько адресов, сколько легальных пользователей (что не есть хорошо, хотя ПОКА не фатально), а главное - это никак не помогает от прописывания стат. адреса на устройстве.

[identity profile] taki-net.livejournal.com 2013-10-16 09:18 pm (UTC)(link)
Какой именно ресурс? Дьявол в деталях. Если ip-адреса, они их хавают статически.

[identity profile] taki-net.livejournal.com 2013-10-16 09:19 pm (UTC)(link)
Сорри, на 500 пользователей ОДНОВЕМЕННО? Это значит менять всю архитектуру сети.
ppk_ptichkin: (Default)

[personal profile] ppk_ptichkin 2013-10-16 09:19 pm (UTC)(link)
Здесь, по-моему, лучше сначала узнать, а потом думать.

[identity profile] konj-v-paljto.livejournal.com 2013-10-16 09:19 pm (UTC)(link)
Просто белый список маков, которым дают айпишник, любой свободный, без назначения взаимно однозначного соответствия. Не?

[identity profile] taki-net.livejournal.com 2013-10-16 09:20 pm (UTC)(link)
На DHCP - не получается. Хавают статику - все знают в каком сегменте.

[identity profile] taki-net.livejournal.com 2013-10-16 09:21 pm (UTC)(link)
Нет шанса, что ученики НИКОГДА не получат доступ ни к одному учительскому айфону или компу. Особенно учитывая, что среди учеников есть дети учителей.
Threaded | Top-Level Comments Only

Page 1 of 3