[Invizible]

hab zurzeit ein wlan netzwerk mit 5 pcs, auf allen einheitlich xp pro installiert,

so sieht das ganze mal aus:



natürlich nach oben offen, ip werden fixe vergeben und über einen dns kommt man ins internet.

ich hab schon AirSnare runter geladen allerdings kommt da immer wenn ich die Netgear Karte auswähle der Error -2147220982

AirSnare FAQ sagte:

Q: I'm getting runtime error '-2147220982 (8004020a)' procedure packetsethwfilter failed. error code= 0. What is this?

A: Basically AirSnare is running into problems putting the card into promiscuous mode. This is common on multimode cards, Cisco Cards, USB cards and a few others. Basically the card isn't compatible with AirSnare.

PC1: NETGEAR WG311v3 802.11g Wireless PCI Adapter
PC2 - PC4: ZyDAS IEEE 802.11g Wireless LAN - USB
PC5: weis grad net

dann hab ich noch Ethereal welches aber irgendwie nicht live arbeitet, dH es wird zuerst kontrolliert und erst mit dem klick auf Stop wird aufgelistet was wo passiert ist.

Gibt es ein Programm was sich mit meiner WLAN karte verträgt und so arbeitet damit ich live sehe wenn zB. jemand mit einem programm auf internet zugreift, natürlich möchte ich auch sehen welches programm bzw. auf welcher seite er gerade surft

danke schon mal

Dieser Beitrag wurde von Invizible bearbeitet: 25. Dezember 2005 - 19:40

[puppet]

Ist es also korrekt das du keinen Zugriffspunkt verwendest sondern dein WLAN im Ad-hoc Modus betreibst? Ich hoffe doch du verwendest dann auch WPA2, aber das ist ein anderes Thema.

Was wird denn nun an PC3-PC5 für Hardware verwendet? Mit deiner WG311v3 hast ja nicht gerade die beste Wahl für solch ein Vorhaben gewählt. Da wäre selbst die WG311T oder WAG311 besser geeignet gewesen (weil Atheros Chipset, dieser kann mit entsprechenden Treibern sogar unter Windows ohne Probleme den Monitor Mode).

"Basically AirSnare is running into problems putting the card into promiscuous mode." -> Hast du in Ethereal auch den Haken bei "Capture packets in promiscuous mode" entfernt? Wenn nicht kann dies genau zu besagtem Ergebnis führen wenn die Karte oder der Treiber nicht in der Lage ist in den Promiscuous Mode zu schalten. Wobei das ohne Promiscuous Mode auch nicht viel Sinn macht, da du ja dann nicht alle Pakete erhältst, es sei denn du machst am PC1 soetwas halbherziges ohne Authentifizierung wie ICS betreibst könnte das für dein Vorhaben natürlich ausreichen, da ja alle Pakete die ins Internet sollen deinen Rechner passieren müssen.

Wobei du in deinem WLAN ohne Benutzerauthentifizierung natürlich nicht sicherstellen kannst, ob der angegebene Client der da gerade im Internet surft (z.B. mit MAC DE-AD-CA-FE-BA-BE) auch wirklich dieser ist, den MAC Spoofing ist ja heut zu Tage kein Problem mehr (gerade wenn du soetwas wie WEP verwendest ).
Also solltest du dir mal gedanken über vernünftige Access-Point Hardware machen. Und welche die WPA2 mit Authentifizierung anbieten haben meist auch einen URL-Filter enthalten und auch Späße wie Traffic-Monitoring/Debugging usw.

Dieser Beitrag wurde von puppet bearbeitet: 26. Dezember 2005 - 10:04

[Invizible]

Zitat

Ist es also korrekt das du keinen Zugriffspunkt verwendest sondern dein WLAN im Ad-hoc Modus betreibst? Ich hoffe doch du verwendest dann auch WPA2, aber das ist ein anderes Thema.

Ad-hoc Ja, WPA2 Nein

Zitat

Was wird denn nun an PC3-PC5 für Hardware verwendet? Mit deiner WG311v3 hast ja nicht gerade die beste Wahl für solch ein Vorhaben gewählt. Da wäre selbst die WG311T oder WAG311 besser geeignet gewesen (weil Atheros Chipset, dieser kann mit entsprechenden Treibern sogar unter Windows ohne Probleme den Monitor Mode).

Hardware: ZyDAS IEEE 802.11g Wireless LAN (USB)
später werde ich sicher Karten kaufen, aber es dient nur mal zum Testen.

Zitat

"Basically AirSnare is running into problems putting the card into promiscuous mode." -> Hast du in Ethereal auch den Haken bei "Capture packets in promiscuous mode" entfernt? Wenn nicht kann dies genau zu besagtem Ergebnis führen wenn die Karte oder der Treiber nicht in der Lage ist in den Promiscuous Mode zu schalten. Wobei das ohne Promiscuous Mode auch nicht viel Sinn macht, da du ja dann nicht alle Pakete erhältst, es sei denn du machst am PC1 soetwas halbherziges ohne Authentifizierung wie ICS betreibst könnte das für dein Vorhaben natürlich ausreichen, da ja alle Pakete die ins Internet sollen deinen Rechner passieren müssen.

Ist entfernt

Und tatsächlich mach ich sowas halbherziges ohne Authentifizierung - gedenke es aber zu ändern

Zitat

Wobei du in deinem WLAN ohne Benutzerauthentifizierung natürlich nicht sicherstellen kannst, ob der angegebene Client der da gerade im Internet surft (z.B. mit MAC DE-AD-CA-FE-BA-BE) auch wirklich dieser ist, den MAC Spoofing ist ja heut zu Tage kein Problem mehr (gerade wenn du soetwas wie WEP verwendest laugh.gif ).

Vor Spoofing brauch ich hier keine Angst haben - ich wohne am A*** der Welt hier gibts noch Leute dennen ein PC nichts sagt

Zitat

Also solltest du dir mal gedanken über vernünftige Access-Point Hardware machen. Und welche die WPA2 mit Authentifizierung anbieten haben meist auch einen URL-Filter enthalten und auch Späße wie Traffic-Monitoring/Debugging usw.

Was wäre des zB? Und wie würde das dann mit dem Internet (ADSL) Zusammenarbeiten, oder würde es dann ein gewöhnlicher WLAN Router auch tun?

Wenn wir grad dabei sind: Für meine PC2 bis PC4 such ich dann noch vernünftige WLAN Karten - also was gäbe es da?

[puppet]

Zitat (Invizible: 26.12.2005, 11:18)

Ad-hoc Ja, WPA2 Nein

Dann solltest du dir über WPA2 gedanken machen, am besten gleich mal aktuelle Treiber laden und schauen ob die WPA2 können. Man weiß ja auch nie wer mal vorbei fährt

Zitat (Invizible: 26.12.2005, 11:18)

Hardware: ZyDAS IEEE 802.11g Wireless LAN (USB)

Hast du Informationen zum Chipsatz (am besten mal mit Everest o.ä. schauen)?

Zitat (Invizible: 26.12.2005, 11:18)

Ist entfernt

Hat es was gebracht (im Sinne der Live Capture)?

Zitat (Invizible: 26.12.2005, 11:18)

Und tatsächlich mach ich sowas halbherziges ohne Authentifizierung - gedenke es aber zu ändern

Sehr schön.

Zitat (Invizible: 26.12.2005, 11:18)

Was wäre des zB? Und wie würde das dann mit dem Internet (ADSL) Zusammenarbeiten, oder würde es dann ein gewöhnlicher WLAN Router auch tun?

Die meisten WLAN Router bieten als Authentifizierung für WLAN nur PreSharedKeys an, was ja nicht gerade die beste Möglichkeit zur Zugangskontrolle ist. Aber wenn du WPA/WPA2 nutzt ist das ja auch (vorerst) ausreichend. Weiteres Problem dürften mangelende Protokoll- und Filterfunktionen sein. Du könntest auch einfach einen normalen Access Point nehmen und dir einen kleinen "Router" zusammenbauen mit Linux oder *BSD (diese kleinen Compaq ThinClients sind da schon ausreichend) und einfach einen Proxy benutzen. Dann z.B. einfach mit Linux netfilter/iptables die Kommunikation der Ports 80, 8080 usw. transparent über den Proxy rauszwingen und alle anderen Ports nach außen nur bei Bedarf (und wenn mgl. nur für bestimmte Ziel-IPs) raus lassen. Wenn du dann einmal dabei bist kannst du dir gleich noch einen Authentifizierungsserver installieren der für die WLAN und Internetzugangsauthentifizerung zuständig ist.
Ansonsten gibt es jetzt noch die Cisco Router der 800er Serie auch mit WLAN -> Cisco 870 Series (der 876W oder 877W wäre da für dich sicher von interesse).

Zitat (Invizible: 26.12.2005, 11:18)

Wenn wir grad dabei sind: Für meine PC2 bis PC4 such ich dann noch vernünftige WLAN Karten - also was gäbe es da?

Meine Empfehlung ist aber nicht unbedingt was für kleine Geldbeutel (oder du hast entsprechend günstige Quellen). Ansonsten kannst du hier ein bisschen in der Suchmaske rumklicken, da sollte sich ja auch schnell was finden.

Dieser Beitrag wurde von puppet bearbeitet: 26. Dezember 2005 - 11:57

[Invizible]

Zitat

Dann solltest du dir über WPA2 gedanken machen, am besten gleich mal aktuelle Treiber laden und schauen ob die WPA2 können. Man weiß ja auch nie wer mal vorbei fährt rolleyes.gif

Treiber hab ich die aktuellsten, WPA2 wird nicht unterstützt, das einzige was ich auswählen kann ist:
Offen (Deaktiviert, WEP),
Gemeinsam Verwendet (Deaktiviert, WEP) und
WPA-None (AES und TKIP --> Begriffe sagen mir nix )

Zitat

Hast du Informationen zum Chipsatz (am besten mal mit Everest o.ä. schauen)?

Everest und TuneUp geben keine Informationen.

Zitat

Hat es was gebracht (im Sinne der Live Capture)?

Nein

Zitat

Die meisten WLAN Router bieten als Authentifizierung für WLAN nur PreSharedKeys an, was ja nicht gerade die beste Möglichkeit zur Zugangskontrolle ist. Aber wenn du WPA/WPA2 nutzt ist das ja auch (vorerst) ausreichend. Weiteres Problem dürften mangelende Protokoll- und Filterfunktionen sein. Du könntest auch einfach einen normalen Access Point nehmen und dir einen kleinen "Router" zusammenbauen mit Linux oder *BSD (diese kleinen Compaq ThinClients sind da schon ausreichend) und einfach einen Proxy benutzen. Dann z.B. einfachmit Linux netfilter/iptables die Kommunikation der Ports 80, 8080 usw. transparent über den Proxy rauszwingen und alle anderen Ports nach außen nur bei Bedarf (und wenn mgl. nur für bestimmte Ziel-IPs) raus lassen. Wenn du dann einmal dabei bist kannst du dir gleich noch einen Authentifizierungsserver installieren der für die WLAN und Internetzugangsauthentifizerung zuständig ist.
Ansonsten gibt es jetzt noch die Cisco Router der 800er Serie auch mit WLAN -> Cisco 870 Series (der 876W oder 877W wäre da für dich sicher von interesse).

zu viele Fremdwörter in zu wenig Text

Ich kann das Wort "einfach" nicht mit Linux in verbindung bringen
Da bleib ich lieber bei Windows - ist mir einfacher und schneller

PC Hardware hab ich genung um einen "Router" zusammen bauen.
Was für ein Betriebssystem? Win2003 Server oder tuts XP Pro auch noch? - ich denke schon.

---

Ich denke langsam versteh ich wie ich das regeln sollte:

ist das so? Nur bei der Verschlüsselung und Authentifizierung hab ich noch keine Ahnung, aber das ist dann wohl auch eine Frage der Hardware.

[puppet]

Also wenn du weiterhin Ad-hoc benutzt musst du dir WPA2-fähige Hardware kaufen, da WPA(1) mit Ad-hoc nicht funtkioniert. Wenn du dann aber einen Access Point nutzt reicht auch WPA(1). Du musst dich dann nur entscheiden ob du einen Preshared-Key benutzt (also ein Schlüssel/Passwort was du im Access Point sowie bei allen Clients eingibst, der PSK sollte möglichst lang sein und aus zufällig gewählten ASCII-Zeichen bestehen - also nicht nur a-z, A-Z und 0-9 und mind. 16 Zeichen) oder Username/Password/Certificate Authentifizierung benutzt (was vom Client (Treiber/WLAN Config-Tool, bei Cisco und Atheros-Geräten kein Problem) und Access Point unterstützt wird, dazu benötigst du dann aber noch einen Authentifizierungsserver (die Serversoftware dafür kann auch auf dem Router-PC laufen, da gibt es genug Software für Windows und Linux/*BSD)).
Also: Beim WLAN benötigst du entweder WPA/WPA2-PSK (wenig Installationsauffwand, einfache Umsetzung, wird heut zu Tage eigentlich von jeder modernen Hardware unterstützt) oder WPA/WPA2 mit Authentifizierung (höherer Installationsaufwand, komplexere Umsetzung, die meisten Home-Geräte unterstützen dies nicht). Für letzteres solltest du dir aber unbedingt Kenntnisse über Netzwerke und Authentifizierung/EAP aneigenen.

Dann zur Zugangskontrolle fürs Internet:
Das ist mit Linux/*BSD viel einfacher als unter Windows. Dafür gibt es bei Linux/*BSD ja schon vorgefertige Distributionen, wie z.B. m0n0wall (FreeBSD), SmoothWall (Linux 2.4) und IPCop (Linux 2.4) um mal ein paar (verbreitete) Beispiele zu nennen (Foren- und Google-Suche sollten da wesentlich mehr Distributionen finden).
Bei m0n0 ist das genannte kein Probielm, einfach das Captive-Portal aktivieren und entsprechend konfigurieren (bietet auch die Möglichkeit der Authentifizierung gegen einen RADIUS-Server - was du ja mit WPA-Authentifizierung kombinieren kannst), schon ist über die normalen HTTP-Ports kein Internetzugang mehr ohne Authentifizierung mehr möglich. Über den integrierten Paketfilter kannst du die anderen Ports einfach auf deny stellen. m0n0wall kannst du mit entsprechender Hardware (z.B. WRAP) auch gleich als Access Point einsetzen.
Bei den meisten vorgefertigten Linux-Distributionen wird Squid mitgeliefert, darüber kannst du ähnlich wie bei m0n0 auch deine Authentifizierung machen und auch alle HTTP-Anfragen über den Proxy "rauszwingen", ist meist aber nur durch Installation von ein oder zwei zusätzlichen "Add-Ons" möglich (Adv. Proxy, URL Filter, Full Firewall Control o.ä.). Ausreichende Protokoll- und Statistikfunktionen für WLAN/Internet-An/Abmeldung sowie WLAN/Internet-Nutzung sind bei den meisten (und hier genannten) Distris vorhanden. Weiterhin kannst du dir ja auch mal ZoneCD anschauen.
Wenn du dies mit Windows realisieren willst ist der Aufwand wesentlich höher.

Dieser Beitrag wurde von puppet bearbeitet: 26. Dezember 2005 - 15:28

[Invizible]

auf alle fälle mal danke

werde schaun wie ich das umsetzte

squid läuft in der schule und das funktioniert wunderbar

vlt setz ich sowas auch mal um

danke