wlan-funktek

wlana hier ja offensichtlich Profis unterwegs sind, möchte ich mal eine
> Frage stellen: Wenn ein ungesichertes WLAN private IP-Adressen
> verwendet (also ein 10.x.x.x Netz)
Warum nehmen alle immer ein 10.0.0.0/8-Netz? 192.168.0.0/24 ist doch
viel übersichtlicher und für 99,9% aller Anwendungen ausreichend.
Naja …
Und um Mißverständnissen vorzubeugen - ja, ich weiß was CIDR ist … > und ein Internetzugang (der
> Intranetzugang ist ungehindert möglich!) nur über einen VPN Client
> möglich ist, der über ein Schnittstelle in diesem internen Netz
> meinen Rechner ins Internet verbindet, welches Sicherheitsproblem mit
> WLAN gibts dann noch?
Ähm, ich weiß nicht, ob ich Dich richtig verstehe. Du hast ein
privates Netz 10.0.0.0/8, in dem sich die WLAN-Clients befinden. Du
hast einen Access-Point oder einen anderen Router (z. B. mit Linux),
der die Clients ins Internet läßt und die benötigten VPN-Protokolle
für Deinen Client freischalten kann. Und Du hast auf Deinem
Client-Rechner einen VPN-Client, wie z. B. FreeSWAN (IPSec) laufen,
mit dem Du Dich z. B. mit dem Router verbindest, der dann die Pakete
weiter ins Internet schickt. In diesem Fall gäbe es für Dich und alle
anderen keinerlei Probleme. Das wird auch oft so gemacht.
> Die User werden alle mit persönlichem Kennwort, welches über die
> sichere VPN Verbindung geht, authentifiziert, wenn sie ins Internet
> einsteigen. Wenn ich Zugang zu einem Hotspot kriege, wird mir
> automatisch eine interne Adresse zugewiesen, nach extern komme ich
> erst über das VPN zum Provider meiner Wahl - mit dem ich einen
> Vertrag haben muss.
Das mit dem VPN ist schon OK so - sollte funktionieren.
> Sowas müsste doch zuverlässig funktionieren, oder? Die VPN Verbindung
> selbst arbeitet ja verschlüsselt, oder etwa nicht?
Klar ginge das. Ich kenne z. B. eine Hochschule, die das genau so
macht, wobei es sein kann, daß für die IPs keine internen Adressen
sondern öffentliche verwendet werden - aber das ist vom Prinzip her
eigentlich egal. Masquerading könnte aber in der Praxis schon noch
ein paar Probleme aufwerfen. Sollte aber eigentlich nicht unlösbar
sein.
Die Lösungen, die ich bis jetzt gesehen habe, basierten alle auf
IPSec. Einmal mit FreeSWAN, andererseits aber meistens (leider) mit
dem proprietären Cisco-Client für VPNs, der wohl nur bedingt mit
FreeSWAN kompatibel ist, aber auch mit IPSec arbeitet.
Gruß