Topic: coovachilli e l'utente che può tutto...

[deep-leviathan]

Ciao a tutti, ho finalmente installato coovachilli come hot-spot,
ora posso far navigare gli utenti loggati tramite la pagina di autenticazione di chilli su internet, ma questi utenti sono comunque interdetti dal poter accedere direttamente ai servizi di SME.

Ho visto sulla pagina del contrib che esiste un comando che può abilitare ad alcuni servizi.

Ora chiedo, esiste  un comando che possa abilitare l'utente "pippo" ad accedere completamente ai servizi di SME ( alle ibay, al faxserver, a horde, ecc ecc ) come se questo, pur essendo loggato attraverso l' autenticazione di chilli, fosse appartenente alla lan ?

[deep-leviathan]

nessuna risposta ? Possibile che non ci sia soluzione?

allora, sulla guida del contrib si legge che :

"db configuration setprop chilli AllowedServices sshd,openvpn-bridge"   ecc ecc

si abilitano i servizi che interessano. Ora, ci sarà qualcosa tipo

"db configuration setprop chilli AllowedServices all " o un comando del genere che abiliti tutto

dai, spremete le meningi...

[nicolatiana]

Prova direttamente qui: http://www.coova.org/forum/19 se trovi qualche informazione in più.
A buon senso CoovaChili nasce per dare l'accesso Wifi controllato in ambienti "pubblici" (ed eventualmente a pagamento) non per gestirlo "aziendalmente" in maniera diretta: per fare questo hai la passphrase quando crei la connessione wLan e per i portatili aziendali ne hai d'avanzo (di lì in poi è la security del server/rete che si occupa di cosa può fare o non fare il pc).
Dopo che ti sei autenticato su CC non sei in una condizione tanto diversa dall'esserti autenticato su un servizio di Webmail, quindi non sei effettivamente autenticato sul sistema.
Comunque una volta connesso via CC potresti architettare qualche cosa via VPN ma qui passo la palla . . . L'accesso a Horde e/o a servizi web comunque dovrebbe funzionare.
Peraltro

db configuration setprop chilli AllowedServices sshd,openvpn-bridge

non esclude che tu possa abilitare qualunque servizio.
 
Saluti
 
Nicola

[Stefano]

nessuna risposta ? Possibile che non ci sia soluzione?

allora, sulla guida del contrib si legge che :

"db configuration setprop chilli AllowedServices sshd,openvpn-bridge"   ecc ecc

si abilitano i servizi che interessano. Ora, ci sarà qualcosa tipo

"db configuration setprop chilli AllowedServices all " o un comando del genere che abiliti tutto

dai, spremete le meningi...

Perdonami ma.. hai letto che c'è quel comando.. hai provato ad abilitare un altro servizio (es. samba)?
se si, come? cosa hai ottenuto?
se no, perchè?

ti aspetti che ci sia qualcuno che usa CC e che vada a modificare la sua rete per fare un esperimento per te?

[deep-leviathan]

Ciao e grazie per le risposte.

In realtà ho provato quel comando in tutte le variabili ma non ho avuto mai risultati che mi aspettavo. Per esempio ho abilitato tramite quel comando il servizio samba, in modo da avere l'accesso ai files degli utenti, ma non funziona, quindi, da grande inesperto che sono, pensavo fosse per qulche errore che commettevo io.
 Il problema è che il server in questione è presso un cliente che ha un agriturismo in cui non esiste cablaggio. Va tutto via wireless quindi ok il CC per i clienti, ma anche amministratore/titolare/segretaria hanno bisogno di accedere via wifi al server per i vari servizi ( fax, posta, samba per i backup ecc ). Ora, siccome implementai tutto a suo tempo tramite ripetitori wifi dislocati un pò ovunque, e sarebbe buona cosa utilizzare questa rete wifi anche per i servizi di amministrazione.
Avevo anche pensato di attaccare un altro AP alla lan delle SME, e far usare agli amministratori direttamente questa, tramite pass su AP senza passare da CC, ma dovrei implementare tutta una seconda foresta di AP e ripetitori vari per arrivare agli uffici....
non posso farlo
Vediamo se mi viene in mente qualcosaltro...
grazie comunque per l'interessamento

[Stefano]

ciao

per cortesia, ci dai una descrizione dettagliata della tua rete, del tuo setup di SME, delle tue necessità?

perchè magari ci sono alternative..
mettiti in verbose mode, please.

[deep-leviathan]

scusa la domanda.... cosa vuol dire verbose mode ?

Allora, sme 8 server and gateway, hylafax installato con modem seriale sulla COM, lato wan 192.168.16.50 con gateway 192.168.16.1 (router alice), lato lan 192.168.0.1 con dhcp attivato.
Niente controllo di dominio. Terza scheda di rete con coovachilli che fa da hot-spot sulla canonica classe 10.1.0.1
Installato anche fetchmail per il recupero di alcuni account esterni.

Ibay con i dati dell'amministrazione. Il tutto però raggiungibile solo tramite wireless.

Da qui la necessita' di poter far raggiungere il server fax e le ibay per i dati e i backup da alcuni utenti amministratori, il tutto via wifi non potendo mettere cavi. Quindi, se la wifi è gestita totalmente da CC il traffico passa per intero sulla eth2 cioè quella destinata anche all' hot-spot dei clienti...
spero di essere stato esaustivo
grazie per l'aiuto

[Stefano]

scusa la domanda.... cosa vuol dire verbose mode ?

anche senza saperlo, lo sei stato
esaustivo e non reticente..

Allora, sme 8 server and gateway, hylafax installato con modem seriale sulla COM, lato wan 192.168.16.50 con gateway 192.168.16.1 (router alice), lato lan 192.168.0.1 con dhcp attivato.
Niente controllo di dominio. Terza scheda di rete con coovachilli che fa da hot-spot sulla canonica classe 10.1.0.1
Installato anche fetchmail per il recupero di alcuni account esterni.

Ibay con i dati dell'amministrazione. Il tutto però raggiungibile solo tramite wireless.

Da qui la necessita' di poter far raggiungere il server fax e le ibay per i dati e i backup da alcuni utenti amministratori, il tutto via wifi non potendo mettere cavi. Quindi, se la wifi è gestita totalmente da CC il traffico passa per intero sulla eth2 cioè quella destinata anche all' hot-spot dei clienti...
spero di essere stato esaustivo
grazie per l'aiuto

le macchine che devono accedere alla parte "privata", sono sparse per il territorio o cosa?
perchè se sono localizzate allora puoi estendere solo parzialmente la lan con un AP

comunque, hai aggiunto (ammesso che sia possibile) il range di eth2 tra quelle considerate "buone"?

infine, io opterei per una soluzione diversa.. userei il captive portal di un m0n0wall sul quale fare delle regole ad hoc.. in altre parole, SME in server only e davanti a lui, a gestire wan e wifi (e relative regole) un m0n0wall con 3 interfacce di rete..

sono certo che funzioni come desideri tu..
inoltre per il captive portal puoi stampare i ticket con i codici

[deep-leviathan]

In effetti in origine avevo messo pfsense che svolgeva egregiamente il lavoro di hotspot con captive portal, + un fax analogico e un NAS x i dati. Avevo pensato di sostituire il tutto con uno SME che con i suoi servizi avrebbe sostituito tutta la ferraglia precedente, ma mi sono imbattuto in questo problema. Dunque consigli 2 macchine: firewall x hot spot e SME x il resto... Mmmmmmh... e se le virtualizzassi dentro un unica macchina? Purtroppo però dovrei farlo dentro un hyper-v, è l'unica con la quale ho esperienza di virtualizzazione...
Se vi viene in mente qualcosa suggerite
Intanto grazie a tutti

[Stefano]

direi che se conosci quello, usa quello...
ma prima fai delle prove, certamente non puoi fare esperimenti dal cliente

tienici informati

[nicolatiana]

Butto lì (non lo ho mai fatto, per ora sono fermo alla progettazione di razzi interplanetari . . . .  ): configurare sul server SME OpenVpn (http://wiki.contribs.org/OpenVPN_Bridge) e sui client "amministrativi" il client OpenVpn (http://wiki.contribs.org/OpenVPN_Bridge#Windows) per collegarti in tunnel sulla rete LAN (magari in avvio automatico alla accensione del PC).
Se quadra, mantieni comunque in vita solo una macchina come volevi; resta da vedere quanta "instabilità" (leggi "casino") possano generare gli utenti nell'uso corrente.
 
Nicola

[deep-leviathan]

Azz.... Potrebbe funzionare! I client che dovrebbero collegarsi sono 3. Mi pare di aver installato qualche anno fa openvpn come servizio su macchine con xp, quindi si avviavano in automatico. Potrebbe essere conveniente provare...prima di imbastire un window$ server 2010 con hyper-v

[Danysoft]

Se ti può essere utile, come soluzione a basso costo con un ferro unico, a casa ho funzionante da circa 1 anno, un HP microserver (8gb Ram, 4 hd e 3Sch rete) con vmware esxi installato e 4 VM: Vm1 Pfsense, Vm2 Sme, Vm3 Openfiler e Vm4 un xp per emule.

Su pfsense oltre alle solite cose, è configurato openvpn client per un collegamento fisso con l'ufficio e un Openvpn server per i collegamenti quando sono in giro. La vpn con l'ufficio è attiva da allora e non è mai caduta, nonostante diversi attentati di mia moglie che accende di tutto facendo saltare la luce. Sfrutto l'ups di più a casa che in ufficio.

In ufficio abbiamo una situazione analoga ma su un server decisamente più serio.

[deep-leviathan]

conosco bene gli hp microserver, ne ho alcuni con installato freenas e endin presso alcuni clienti e vanno veramente bene, puoi farci davvero tutto. Non è mal la tua situazione, l'unico problema è vmware esxi che non ho mai visto/usato/installato. E' un sistema operativo a se stante o va installato sopra a qulcosaltro? E' free ? Facile da installare e gestire ? Scusami per tutte queste domande ma mi sai aprendo una possibiltà nuova..... grazie

[Stefano]

rispetto ad un windows qualsiasi cosa è più facile..

e si, la esxi è gratuita (leggi bene la licenza però)
altrimenti puoi guardare a proxmox