2 Router in einem Netz ? Routing by LINUX AND LINKSYS

[Valdez]

debian sind (router)
eth0 - hängt am kabelmodem, ip via dhcp
eth1 - netzinterne karte die andere clienten via switch und manuelle ip zuweisung ins internet bringt

einfaches 4 port switch DLINK

wlanrouter (hängt an der eth1, statisch eingetragene ip) LINKSYS WRT54GC



also folgendes problem


ich hab zuhause einen linux rechner (debian sid) der gleichzeitig als router funktioniert. (iptables)
sprich eth0 ist die verbindung zum internet (kabelmodem) und eth1 fahrt an eine switch an der ein windows rechner
als client hängt. restlichen plätze sind frei. windows rechner kommt ins internet indem ich die eth1 vom linuxrechner
als gateway nutze welches mich auf eth1 durchroutet. (manuelle ip zuweisung win rechner)

alles schön und gut.

jetzt habe ich einen laptop mit wlan (asphire one) geschenkt bekommen und zusätzlich einen wlanrouter. -> nur damit ich zuhause frei mit dem laptop herumlaufen kann.

diesen wlan-router (linksys) habe ich jetzt nun an einen freien stecker auf der switch die via eth1 vom linuxrechner
ins internet durchgeroutet ist.
die clienten die sich via wlan an dem router verbinden bekommen eine ip zugewießen
aber das problem ist -> die wlan clienten bekommen als gateway die ip adresse vom wlanrouter. (192.168.1.1)
daweil hat der linux gateway (der tatsächlich als router arbeitet) also eth1 auch 192.168.1.1 .... welches natürlich im
gleichen netz hängt
das problem ist

wenn sich ein wlan client am router anmeldet bekommt es automatisch als gateway die netzinterne ip vom wlanrouter selbst,
zugewießen. wenn ich eth1 vom linuxrechner (pc welches letzendlich als router funktioniert und dessen funktion ich so belassen
werde) auf die gleiche ändere als wie die ip vom wlanrouter (was eine voraussetzung dafür das die wlan clienten die richtige
gateway ip zugewiesen bekommen (ip vom linux-eth1 und nicht die vom wlanrouter)) dann gibt es eine ip adressen konflikt.

tja ...

jetzt muss beim wlan nachdem ich eine ip addi zugewiesen bekommen hab vom wlanrouter den gateway manuell nachbessern

ich bin aber überzeugt das es auch anders gehen muss

vielen dank im voraus für eure hilfe =)

[Lord_Carlos]

Ich würde die "router" Funktion vom wlan router ausstellen, also das er wie ein switch einfach das Netz weiterleitet.
Und dann stellst du halt ip und gateway, wie bei deinen anderen Rechnern auch, manuell auf deinem Lappy ein.

[Duff]

Du kannst doch normalerweise auch an dem Router die IP und die DAten, die per DHCP an die Clients gesendet werden sollen, ändern.

Ich habe z.B. einen WRT54G von linksys, den ich bei mir ohne größere Probleme ins eine ähnliche Netzwerktopologie einbinden konnte.

[ckoepp]

Ich würde den Linksys als einzigen Router nehmen und dort das WLAN in ein Subnetz packen und das LAN ebenfalls in ein gesondertes Subnetz stecken. WLAN und LAN sollte klar definierte Verbindungen haben, schließlich ist es selbst mit WPA2 nicht unmöglich in ein Netz zu kommen und bei entsprechendem Traffic ist es sogar recht flott möglich.
Physikalisch getrennt sind beide Netze eh und intern kannst du mit VLANs arbeiten - so läuft das auch in großen Netzwerken.

Der Linksys mit OpenWRT (oder einer alternativen Firmware) reicht für dein Szenario vollkommen aus und verbraucht sogar noch viel weniger Strom als dein derzeitiger Router. Mal ganz davon abgeshen welche Ressourcenverschwendung es ist den PC da "rumdümpeln" zu lassen - da lässt sich auch sinnvolleres mit der Hardware anfangen
Mit einem Mehrfachstecker (mit integrietem Schalter) kannst du den Linksys einfach mal abschalten wenn du keinen Computer im Netz hast. Mach ich auch so, ist eine super Sache und spart mir jährlich über 50 Euro
Green-IT ist in und wer wenn nicht wir Linux'er sollte Vorreiter in Sachen globaler Verantwortung sein?

[Lord_Carlos]

...schließlich ist es selbst mit WPA2 nicht unmöglich in ein Netz zu kommen und bei entsprechendem Traffic ist es sogar recht flott möglich.

Das hat mit den Traffic eher wenig bis gar nichts zu tun. Mann muss blos einen sogenannten handskake mitsniffen der entsteht wenn sich ein client mit dem router verbindet. Darauf macht man dann eine Dictionary / Bruteforce Attacke. Mit einem AMD 4x 2.6 Ghz CPU Schaft man ~ 2000 keys/sec und mit einer neuen Nvidia Graka ~ 10.000 keys/sec.
Wenn man ein PW in lower case mit 10 Buchstaben hat und einer Geschwindigkeit von 12.000 keys /sec rechnet dauert es immer noch 379 Jahre. Finde ich persönlich nicht so schnell, aber das ist ja Ansichtssache.

[ckoepp]

...schließlich ist es selbst mit WPA2 nicht unmöglich in ein Netz zu kommen und bei entsprechendem Traffic ist es sogar recht flott möglich.

Das hat mit den Traffic eher wenig bis gar nichts zu tun. Mann muss blos einen sogenannten handskake mitsniffen der entsteht wenn sich ein client mit dem router verbindet. Darauf macht man dann eine Dictionary / Bruteforce Attacke. Mit einem AMD 4x 2.6 Ghz CPU Schaft man ~ 2000 keys/sec und mit einer neuen Nvidia Graka ~ 10.000 keys/sec.

Ohne jetzt zu tief in die Details einsteigen zu wollen: so einfach ist es bei WLAN allgemein eben nicht mehr (schön wärs - dann hätten viele Leute ruhigere Nächte). Du brauch viele Verbindungsaufbau-Daten und "normale" Verkehrsdaten um testen zu können ob ein Schlüssel funktioniert oder nicht. Daher merkst du ja auch unter WPA2 wenn jemand versucht reinzukommen - die Verbindung bricht ab bzw. die Datenrate geht in den Keller - es werden Pakete eingeschleust die, die Verbindung direkt am WLAN-Accesspoint zurücksetzen. Durch die unsaubere Implementierung der Geschichten und schlicht mathematischen Problemen der Algorithmen, können von vorneherein einige Möglichkeiten ausgeschlossen werden - unter WEP kommt es daher auch zu Ergebnissen nach wenigen Minuten (bei entsprechendem Traffic). Das gibts inzwischen doch auch auf jedem LinuxTag zu sehen...
Es ist bei weitem nicht so, dass alle Möglichkeiten durchprobiert werden müssten - im Gegenteil, die meisten können ausgeschlossen werden.

Die Leute von der TU Dresden (aircrack-ng) haben das alles im Detail veröffentlicht
Wenn Du das für sicher hälst, dann bist Du auf dem Holzweg. Nicht umsonst wird an neuen Verfahren gearbeitet.

[Lord_Carlos]

Es ist bei weitem nicht so, dass alle Möglichkeiten durchprobiert werden müssten - im Gegenteil, die meisten können ausgeschlossen werden.

Sprichst du hier von tkip-tun? Damit kann man pro Minute 1 unverschlüsseltes byte vom WPA/WPA2 netz bekommen. Wenn man glück hat kann man dann nach ~ 17 Minuten selber ein paar Pakete injizieren. z.B. ARP oder DNS pakete ... aber mit tkip-tun bekommt man nicht den key, kann nicht über die Leitung surfen!

Die Leute von der TU Dresden (aircrack-ng) haben das alles im Detail veröffentlicht
Wenn Du das für sicher hälst, dann bist Du auf dem Holzweg. Nicht umsonst wird an neuen Verfahren gearbeitet.

Ja ich halte WPA2 für sicher, tkip-tun ist jetzt für "normale" user nicht so gefährlich.

edit: Deswegen wäre ein eigenes subnet für das wlan unnötig meiner Ansicht nach.

[Valdez]

Ich würde die "router" Funktion vom wlan router ausstellen, also das er wie ein switch einfach das Netz weiterleitet.
Und dann stellst du halt ip und gateway, wie bei deinen anderen Rechnern auch, manuell auf deinem Lappy ein.

ja das hab ich bereits aber der schönheitsfehler hierbei ist das ich dann allen womit ich mich ins wlan verbinde clienten manuell ips
und gateway vergeben muss. das hm naja =) wäre schöner wenn ich eine ip und die richtige ip vom gateway zugeteilt bekommen würde
damit ich "voll automatisch" via wlan ins internet komme.

ein gedanke der mich noch beschäftigt.
wlan router hat 4 ports (netzintern) und eine wlan antenne
und einen port für (wie beschriftet) internet. normalerweise hat man ja hier das modem stecken welches das wlan selbst dann mit
internet versorgt. wie gewöhnlich beim kabel modem das es dhcp addis gibt.

ich trageim interface vom wlanrouter (internet-port-interface) eine manuelle ip ein da ich ja an meinem linux router hänge sozusagen.
da kann ich eben auch eine gateway eintragen was ich auch mache (wie schon paarmal erwähnt eht1 vom linux router) .
dann fahre ich von einem der 4 ports zu der switch welche vom linux router (eth1) versorgt wird.

eigentlich müsste ich das netzwerkkabel aber doch beim internet port vom wlan router einstecken. und so müsste es doch
funktionieren dann. die clienten die sich am wlanrouter anmelden bekommen dann eine ip vom wlanrouter zugewiesen und auch
wenn sie als gateway den vom wlanrouter (und nicht den vom eigentlichen eth1) eingetragen bekommen, dadurch dass der wlanrouter selbst mit internet über das internetport versorgt wird müsste es ja klappen ... eigentlich oder ?

blos warum funkts nich ?

ich werds nochmal probieren

vielen dank für die große anteilnahme

lg faruk

[Lord_Carlos]

also ich persönlich würde das so machen:
Auf deinem Server einfach einen dhcpd einrichten. So das jeder Rechner der sich an dein eth1 anschließt eine automatische IP bekommt + Internet. Wenn du dann die routerfunktion vom wlan Router deaktivierst bekommen die auch eine ip von eth1. Und alle Rechner sind im selben Subnetz und können sich untereinander erreichen.

Ein dhcpd einzurichten ist nicht so schwierig, da kann ich dir auch bei helfen wenn du willst.

[omgwtfbbq]

Durch die unsaubere Implementierung der Geschichten und schlicht mathematischen Problemen der Algorithmen, können von vorneherein einige Möglichkeiten ausgeschlossen werden - unter WEP kommt es daher auch zu Ergebnissen nach wenigen Minuten (bei entsprechendem Traffic).

Grober Unfug! Da gibts keine "mathematischen Probleme", und da wird auch nix "ausgeschlossen" - die bisherigen, möglichen Angriffe basieren lediglich auf der Tatsache, dass vom Server an potentielle und neue Clients gesendete Challenges auch als gültige Antwort für zukünftige verwendet werden können - schon ist man authentifiziert
http://de.wikipedia.org/wiki/Wired_Equivalent_Privacy

WPA2 zu knacken ist unmöglich, die dafür benötigte Zeitspanne bei einer Berechnungsgeschwindigkeit von 10000 keys/sec ist grösser als das (bekannte) Alter des Universums!, und daran wird sich auch nix mehr ändern. Dieselben Behauptungen ("da gibts mathematische Schwächen", "Design-Fehler") hört man sehr oft von Scriptkiddies (damit meine ich nicht zwingend dich!), die vor kurzem zum allerersten Mal eine Bruteforce-Programm gesehen und getestet haben --- Aussichtsloses Unterfangen, sofern keine immensen Sicherheitslücken wie bei WEP vorhanden sind ist es zur Lebzeit eines Menschen und ohne Supercomputing-Ressourcen faktisch unmöglich, eine Verschlüsselung, deren "Stärke" grösser gleich 64 Bit ist zu knacken.

Wenn du weisst wie dies Wunder gehen soll - wieso weihst du dann nicht uns und den Rest der Welt ein? Ich kann dir einen Nobelpreis für Informatik und angewandte Mathematik garantieren! Ach? Geht doch nicht? Zufällig keine Zeit? Du musst dich nicht beweisen? Dachte ich mir. Also behaupte auch bitte nicht so etwas, vielen Dank. Nebenbei: Frohe Weihnachten.

[Valdez]

also ich persönlich würde das so machen:
Auf deinem Server einfach einen dhcpd einrichten. So das jeder Rechner der sich an dein eth1 anschließt eine automatische IP bekommt + Internet. Wenn du dann die routerfunktion vom wlan Router deaktivierst bekommen die auch eine ip von eth1. Und alle Rechner sind im selben Subnetz und können sich untereinander erreichen.

Ein dhcpd einzurichten ist nicht so schwierig, da kann ich dir auch bei helfen wenn du willst.

ja das hört sich danach an als ob ich genau das brauche

eth1 mit dhcp einrichten wird wohl nicht einfach

dhclient eth1 bedeuten denk ich mal


vielen herzlichen dank für die bemühungen
ich weiß gar nich was ich sagen soll *gg*

thx

[habakug]

Hallo!

Aussichtsloses Unterfangen, sofern keine immensen Sicherheitslücken wie bei WEP vorhanden sind ist es zur Lebzeit eines Menschen und ohne Supercomputing-Ressourcen faktisch unmöglich, eine Verschlüsselung, deren "Stärke" grösser gleich 64 Bit ist zu knacken.

Da bist du mal wieder nicht ganz auf dem laufenden. Mit Hilfe einer modernen Grafikkarte sieht das ganbz anders aus [1] [2]:

Given a cost of 1.300 US $ for a box with CUDA-capable hardware and decent storage (15 billion PMKs require about 600gb) this solution costs less than 3.000 US $ to succeed in 7 days. Not only are we about 660 times faster - we are still about 400 times more cost-effective. If we focus on the two most common network names - cracking only 24 out of 30 networks but maximizing the value of the precomputed data - we are more than 1.300 times faster and even 800 times more cost-effective than what was thought of when WPA was designed.
In order to increase the chance to succeed in the above scenario from 50% to 99% a six-fold increase in computational power and cost is required; that is still less than 20.000 US$ (compared to around 8 million US$ on traditional hardware) which is well within the reach of most people - not even speaking of groups, corporations or governments.

Mit deinen Behauptungen solltest du dich etwas zurückhalten, zumal du in keiner Weise belegst, wo du deine Informationen beziehst. (Möglicherweise aus deiner PC-Welt Sammlung der letzten 15 Jahre?)

Gruß, habakug

[1] http://pyrit.wordpress.com/the-twilight ... ed-access/
[2] http://code.google.com/p/pyrit/

[Valdez]

also ich persönlich würde das so machen:
Auf deinem Server einfach einen dhcpd einrichten. So das jeder Rechner der sich an dein eth1 anschließt eine automatische IP bekommt + Internet. Wenn du dann die routerfunktion vom wlan Router deaktivierst bekommen die auch eine ip von eth1. Und alle Rechner sind im selben Subnetz und können sich untereinander erreichen.

Ein dhcpd einzurichten ist nicht so schwierig, da kann ich dir auch bei helfen wenn du willst.

yeah ich habs ))

geil ... also ich hab mir dhcpd-3 server installiert auf dem linux rechner und es konfiguriert (wobei ich muss sagen das ich ehrlich gesagt nicht mal genau weiß was ich da konfiguriert habe - nach der anleitung http://www.kabelverhau.ch/elwms/de_dienste.php)

und den wlanrouter hab ich auf gateway gestellt und den dhcp dienst dort ausgeschalten (dhcp für clienten die sich am wlanrouter anmelden).
jetzt vergibt linux dhcpd3 - eth1 dhcp addressen mit der richtigen gateway und nachdem ich die richtige dns eingetragen hatte
muss jetzt keiner meiner wlan clienten manuell die das richtige gateway eintragen weils automatisch passiert

vielen dank für eure tips, als nächstes gehts darum wlan netz zu sichern bzw eventl ein gratis gast konto einrichten )

thx nochmal für eure hilfe, wär wohl aufgemissen sonst

*verneig*

[omgwtfbbq]

we are more than 1.300 times faster and even 800 times more cost-effective

Wenn dir bei diesen Zahlen kein Licht aufgeht bist du selbst schuld
Die Herren sind also im Petaflop-Bereich und führen derzeit die Liste der schnellsten Supercomputer an? Ich glaube nicht, denn das US-Militär würde Interesse anmelden

Zum Thema "woher hab ich das" :
http://www.wardriving-forum.de
http://de.wikipedia.org/wiki/Wired_Equivalent_Privacy
http://de.wikipedia.org/wiki/Wpa2
http://csrc.nist.gov/publications/fips/ ... ps-197.pdf
http://meinhirn.de

Aber ich will es den superintelligenten 1337-H4xx0rn einmal vorrechnen, wir sind ja schliesslich nicht so:

Zeichensatz AES-Key: 2^8. Key-Länge: 128 o. 192 o. 256 Bit. Da ich spontan nicht weiss welche Keylänge bei WPA2 verwendet wird (Nein, keine Lust nachzugucken) gehe ich mal vom einfachsten aus: 128
3.402823669·10^38 mögliche Keys, als Formel habe ich verwendet: f(x):=2^8^16/x/60/60/24/365 ,um die Anzahl der benötigten Jahre in Abhängigkeit von den Keys/s anzuzeigen.

mehr als 4*10^29 Keys/s. Na den PC möchte ich aber gerne mal sehen!


In einigen Jahrzehnten vielleicht ... wenn man weiterhin von einer Verdopplung der Rechenleistung alle 6 Monate ausgehen kann.

[habakug]

Hallo!

Es geht hier doch gar nicht um AES. Das müßte so ein Spezialist, wie du, doch wissen [1].

Beide Versionen von WPA unterstützen TKIP, aber TKIP ist, genauso wie z. B. AES, ein Verschlüsselungsalgorithmus. Ein solcher Algorithmus kommt erst nach der Authentifizierung zum Schutz der gesendeten Daten ins Spiel.
Der eigentliche Ansatzpunkt von EDPR liegt jedoch davor, nämlich wenn Client und Access Point die Verbindung beim sogenannten „handshake“ aufbauen. Das dabei benutzte Protokoll ist für WPA-PSK immer dasselbe, nämlich PBKDF2. In solchen Fällen ermöglicht es EDPR Administratoren, das WPA-Paßwort und somit den Zugang zum eigenen Netz wiederherzustellen, unabhängig davon, welches Verschlüsselungsprotokoll nach der Verbindung mit dem Access Point benutzt wird.

In einem Heimnetzwerk wird man selten auf einen Radius-Server treffen, der Zertifikate ausgibt, hier kommt doch WPA-PSK zum Einsatz. Ansätze wie das "Distributed Password Recovery" scheinen jetzt die Rechenleistung zu erbringen, von der man bisher glaubte das sie "normalen" Menschen nicht zur Verfügung stände.

Gruß, habakug

[1] http://www.heise.de/security/Verbessert ... ung/117199

[omgwtfbbq]

Alles Klärchen, jetzt wird er beleidigend. Dachte ich mir.

[1] http://www.heise.de/security/Verbessert ... ung/117199

100 mal schneller? Hihi ... ich schweige jetzt einmal. Tip: Klarer Menschenverstand & das kleine Einmaleins.
Viel Spass beim Trollen und assoziieren, Herr Freud.

[Duff]

Also wenn ich es richtig verstanden habe, sollte der Einsatz eines Radius-Servers schon deutlich mehr Sicherheit zur WPA2-Verschlüsselung geben.

[Lord_Carlos]

Also wenn ich es richtig verstanden habe, sollte der Einsatz eines Radius-Servers schon deutlich mehr Sicherheit zur WPA2-Verschlüsselung geben.

Jetzt nicht mehr Entweder das ist schon in aircrack drinne oder es kommt noch, aber es gibt eine Attacke wo du ein fake AP mit fake radius server erstellst.

[Duff]

Aha, dann ist der Einsatz eines Radius-Server ja nur noch für die Abrechnung und die Dauer interessant und nicht mehr für die Authentifizierung. Schade, dann werde ich diesen wohl nicht mehr für meinen AP konfigurieren müssen.