WLAN Setup

ผมกำลังจะติดตั้ง Wireless lan ให้กับที่ทำงาน ก็เลยหยิบ Access Point ก้บ Wlan USB adapter ยี่ห้อ SENAO ที่เพิ่งได้มาออกมาทดลองใช้งาน กะว่าจะให้ผู้ใช้ authentication กับ radius server ที่คงต้อง set ขึ้นมาใหม่ ที่คิดไว้ตอนแรกก็ไม่น่าจะยุ่งยากอะไร requirement ก็น่าจะมีตามนี้
– แยก network ออกเป็นคนละ plain กับ wire lan
– Access Point 802.11g (+ 802.1x, hide SSID)
– wireless lan USB adapter 802.11b (แบบมีเสาหนวดกุ้ง รับได้ไกลขึ้น)
– LINUX Radius server (www.freeradius.org)
– ใช้ WPA security

พอผมสำรวจดูอุปกรณ์ที่ได้มาก็พบว่า USB adapter ไม่ support WPA มีแต่ WEP แค่นั้น นอกจากนี้ก็ยังไม่ support 802.1x ด้วย (เอ้า!) พบว่าเป็นความผิดพลาดครั้งใหญ่ในการออกสเปกเลย ส่วน Access Point รุ่นนี้ของ SENAO เมื่อเทียบกับ Acess Point ของ SMC ในรุ่นที่มีใกล้เคียงกันพบว่า SMC มีลูกเล่นมากกว่าเยอะเลย ทำให้ชักไม่แน่ใจว่า AP ของ SENAO จะเวิร์คขนาดไหนนอกจากส่งสัญญานได้แรงกว่าเท่านั้น

คิดไปคิดมาทำให้ไม่แน่ใจว่าปัจจุบันอุปกรณ์ที่ใช้งาน WLAN ได้มันจะมีสักกี่เจ้าที่สนับสนุน WPA อย่างมากก็คงเป็น WEP ซึ่งก็โดน break ไปเรียบร้อยแล้ว เอาน่ะใช้ WEP ก็ยงดีกว่าไม่มีอะไรให้ใช้เลย แล้วถ้าหากไม่สนับสนุน 802.1x อีกด้วยล่ะ คราวนี้ก็คงใช้กันไม่ได้เลย สุดท้ายก็คงต้องใช้แต่ MAC Address ซึ่งก็ spoof ได้อีก เอ้า! และแล้วก็มีปัญหาอีกเพราะเจ้า AP ของ SENAO ก็รับ MAC Address ได้แค่ 25 อันเท่านั้น

ผมก็เลยได้ไอเดียจะทำ MAC Address filtering โดยใช้ LINUX ทำเป็น gateway ของ WLAN แล้วใช้ iptables นี่แหละเป็นตัว filter MAC Address และแจก fixed IP ตาม MAC Address ส่วนเรื่องของการทำ authentication ก็ใช้ของ Squid proxy sever นี่แหละ redirect ให้ web traffic ผ่าน squid ให้เป็น transparent proxy

สรุปแล้ว requirement ตอนนี้ก็เหลือแค่
– แยก network ออกเป็นคนละ plain กับ wire lan
– Access Point 802.11g (+ hide SSID)
– wireless lan USB adapter 802.11b (แบบมีเสาหนวดกุ้ง รับได้ไกลขึ้น)
– LINUX gateway + transparent proxy with authentication (PAM)+ DHCP
– ใช้ WEP security

คิดไปคิดมาก็อาจมีปัญหาตามมาอีก เพราะพอใช้ LINUX เป็น gateway อาจจะทำให้ WLAN user ไม่สามารถ login เข้าโดเมนของ windows ได้อีก (แต่ปัญหานี้เกิดขึ้นนานแล้ว สมัยใช้ LINUX ทำเป็น gateway ของเครือข่าย) ยังไงก็ตามคิดว่าน่าจะมีทางแก้ไขได้

ปัญหาที่จะตามมาคือเรื่องของการจัดการ เพราะ user จะมีการหมุนเวียนเปลี่ยนไปในแต่ละปี user ที่ออกไปจะระบบแล้วหน่วยงานต้นสังกัดก็จะต้องมาให้ admin ทราบด้วยเพื่อที่จะลบ account ออกจากระบบ และเพื่อป้องกันความผิดพลาดจาก admin ที่มักจะงานล้นจนเผลอเรอ ก็คงต้องตั้งให้ password มีการ expire ในแต่ละปี … จะวุ่นวายไปรึเปล่าเนี่ย

แล้วจะแยกกลุ่มของ user ได้ยังไง อย่างเช่น ป.ตรีกับ ป.โท ถ้าป.ตรีก็อาจจะง่ายเพราะส่วนใหญ่ก็จะจบตามระยะเวลาที่กำหนด พอหมดปีการศึกษาก็ลบ/ล็อค account เลย

2 Comments

  1. mr.wichit thakon 29 October 2006
  2. wichit 14 March 2008

Leave a Reply

Your email address will not be published. Required fields are marked *