Verschlüsselung im WLAN

[sascha]

Hi, ich würde gerne folgendes erreichen. Mein WLAN-Accesspoint steht seit Jahren offen, ist also unverschlüsselt, und ich biete dort auf meinem FTP-Server an, debian über wlan upzudaten (ist ein mirror für die i386-Distribution, eventuell denk ich auch mal darüber nach, noch andere zu spiegeln), sowie auch Wikipedia-DVD, OpenOffice.org für Windows etc. runterzuladen. Ich habe auch Jahre lang das Internet offen über das WLAN zugänglich gelassen, so dass quasi jeder Passant mit Laptop rein konnte (wurde auch viel genutzt). Ärger habe ich bisher nicht bekommen, die WLAN-User haben sich bisher alle recht moderat verhalten, bis auf 2, die ich per MAC-Filtering ausgesperrt habe (ich weiss, dass das ein sehr unsicheres Verfahren ist, aber bei den beiden hats offenbar gereicht). Nun würde ich gerne dies erreichen: Das WLAN bleibt offen, bildet also zusammen mit den LAN-Anschlüssen ein öffentlich zugängliches Subnetz, auf das jeder zugreifen kann (192.168.96.0/24). Internet-Zugang kriegen aber nur noch von mir zuvor authorisierte Leute (allerdings ganz unkommerziell, müssen also nix bezahlen), und ich dachte, dies über OpenVPN zu tun. Ich habe mir das so vorgestellt, dass in Zukunft ein LAN (VPN, 192.168.97.0/24; engere Subnetzmaske wäre aber wohl auch ok) im LAN (öffentlich, 192.168.96.0/24) existieren soll. Ein einheitlicher Preshared-Key soll nicht Verwendung finden, weil ich auf diese Weise gleich ausklammern will, dass die User sich gegenseitig belauschen. Ich hab mich auch ein bißchen eingelesen, ich nehme an, dass ich da ein TAP-Device nehmen sollte, und die Clients alle im --tls-client-Modus, und den WLAN-Accesspoint, als Zentrum dieser Stern-Topologie, im --tls-server-Modus laufen lassen sollte. Ich will aber nicht nur, dass die User einen Tunnel zwischen ihrem Rechner und dem WLAN-Accesspoint/Internet aufbauen können, mit dem sie von ihrem Rechner aus über das VPN auf den Accesspoint zugreifen können, sondern, dass das ganze 192.168.97.0-Subnetz ein VPN ist, also dass es auch möglich ist, dass ein User mit der Adresse 192.168.97.x auf den FTP-Server eines Users mit der Adresse 192.168.97.y zugreifen kann. Am besten sollte auch noch Samba/cifs über dieses VPN laufen. Kann ich auch die IP-Adressen in dem VPN über DHCP vergeben lassen? Also dass die DHCP-Requests und DHCP-Offers für das 97er Subnetz ebenfalls über VPN verschickt werden? Kennt jemand ein gutes Tutorial? Und habe ich das im openvpn-Manual richtig verstanden, dass, wenn das überhaupt möglich ist, es nur möglich ist, wenn alle Clients in dem VPN-Netz unter Linux laufen, weil der TAP-Treiber von Windows dafür nicht kompetent genug ist?

Außerdem frage ich mich, ob da VPN überhaupt die richtige Wahl ist; ich meine, könnte man dieses Verschlüsselungsvorhaben eventuell besser und einfacher über LDAP oder Kerberos (<-- zu den beiden suche ich auch noch Tutorials) erreichen?

WPA2 möchte ich nicht nehmen; dann ist das Netz ja nicht mehr offen.

Fragen über Fragen

Man kann natürlich jetzt in Frage stellen, ob man so eine Frage nicht besser in einem Informatik-Forum stellen sollte, aber ich hab mir jedacht, kolja und Nagarjuna sind ja hier, die wissen sowas ja sicher.
_________________
"There is no justice, no righteousness in your religions. I awoke from that dream long ago. The reality of this world is that strength rules. Those who aren't willing to push, are simply going to get run over." - Madae

[Misterfritz]

ein grund, mich auf das gute alte kabel zu verlassen, war unter anderem die sicherheit. wlan ist ja wunderbar für leute, die nix wichtiges mit ihren rechnern machen. ich persönlich ziehe die kabellösung vor, solange keine einfach praktikable lösung dieselbe sicherheit bietet, wie ein netzwerkkabel.
wlan ist für mich sowieso eine für privatleute nur propagierte sache, damit sich die leutz neue hardware zulegen.
_________________
I'm tapping in the dusternis

[sascha]

So, hat sich erledigt. Auf http://openvpn.net/howto.html gibt es ein ganz hervorragendes Tutorial; nachdem ich das nun gelesen habe, ist es mir relativ problemlos gelungen, mein Vorhaben in die Tat umzusetzen. War noch nicht mal allzu schwierig, allerdings viel Tipp- und noch mehr Lesearbeit. Der Zugriff auf filehares im LAN ist jetzt auch so geregelt, dass ftp- und cifs-Server im LAN so eingerichtet werden können, dass sie nur über das VPN erreicht werden können, also sie über das LAN weder sichtbar sind, noch über das LAN auf sie zugegriffen werden kann. Gleiches gilt für den Internet-Gateway, der ist jetzt nur noch über das VPN zu erreichen; und wenn man keinen Schlüssel fürs VPN hat, kommt man halt nicht rein. Bei der symmetrischen Verschlüsselung habe ich mich allerdings aus Performance-Gründen gegen AES-256 und stattdessen für Blowfish mit Cipher-Block-Chaining entschieden. Als asymmetrischer Schlüssel findet RSA-2048 Verwendung; mal sehen, ob der Accesspoint das auf Dauer durchhält.