[Ninux-Calabria] [Hacklab-Cosenza] CI e supernetting

[Giuseppe De Marco]

Il giorno 08 febbraio 2014 16:23, Vincenzo Pirrone <linuspax a gmail.com> ha
scritto:
>
> > Pertanto niente default gateway per supernetting, per stabilire un
> > collegamento layer2 con uno o più nodi e sfruttare la possibilità di
> > usare un default gateway sarà doveroso impiegare dei tunnels.
>
> Aggiungo anche che è possibile annunciare un default gateway con gli
> Hna4 di olsr (la subnet da annunciare è 0.0.0.0/0), in questo caso il
> gateway è pubblico e non c'è bisogno di usare tunnel.
>

in questo caso ipotizziamo che VerdeBinario, Interninux, Cerisano e
Capizzanux annuncino in hna4 0.0.0.0.

Ogni nodo routerebbe verso il gateway calcolato da olsr con la metrica
migliore.
Mentre tramite tunnels un nodo può selezionarsi il gateway.

Ad un nodo può apparire lo splash di Interninux in un momento e in seguito
quello di VerdeBinario.
Con il tunnel invece sai da dove routi, mettiamola così.


> Secondo me è meglio criptato, ricordiamoci che su ninux è facile
> sniffare il traffico, senza contare la presenza di eventuali nodi
> malevoli. Inoltre credo che l'overhead sia trascurabile.
>
> >
> > Io penso che si possa dare la possibilità agli utenti di scegliere.
>
> Assolutamente si
>

Ok, ma chi non usa tunnel non può scegliere da quale gateway uscire, tutti
i nodi associati ad un AP in ClientIsolation sfrutteranno il gateway del
tp-link del supernodo (AP) e tutti i router delle sottoreti avranno la
metrica calcolata attraverso l'AP. E' tutto solo layer3 e l'AP è il super
router di tutti i nodi e le loro sottoreti.

Possiamo dire che chi si collega plug-n-play esce dal primo gateway
elaborato da OLSR, diciamo il migliore di 3. Ndo-cojo-cojo in pieno stile
mesh.

Chi invece fà il tunnel può selezionare il proprio gateway di fiducia.



> >     MA se l'utente deve fare un tunnel o avviare una applicazione per
> >     crearsene uno (tipo openVPN e soci), non basterebbe questo a
> >     definire una forma di autenticazione ?
>
> Si, tra l'altro uno può crearsi un tunnel dal proprio PC da qualunque
> punto della rete verso la sua lan.
> Però il captive portal è più user-friendly e incorpora anche contenuto
> informativo. Credo che l'utilizzo del captive portal si sposi bene coi
> gateway pubblici sopracitati (dovrebbe funzionare giusto?)
>

Solo per traffico non SSL, proxy trasparente su porta 80 verso 80 e altre
in chiaro.
Ogni gateway fà REDIRECT sulla 3128 dove espone lo splash/captive portal.
L'utente il primo che trova usa, non può scegliere, questo è molto mesh :)
-------------- parte successiva --------------
Un allegato HTML è stato rimosso...
URL: <http://ml.ninux.org/pipermail/calabria/attachments/20140208/39cbd7a5/attachment.htm>