Skapa useraccounts på ett LAN, ett för varje användare

Kan du få ner det till 4st per AP så är det BETYDLIGT bättre än 6. Om du inte måste stödja 802.11b så se till att sätta APs i g/n only. Det motverkar till viss del att ha många SSIDs.

Varför inte bara ha ett helt vanligt WLAN med användare som kan logga in?

Det är inga konstigheter alls att bara släppa in dem som har användarnamn och lösenord. Jag ser inte riktigt ditt problem heller?

Varför skall varje dator ha unika inlogg etc, kan inte alla bara få ett lösenord sen är det bra så, datorerna är ju fortfarande unika!

Finns två aspekter av det. En captive portal lösning (d.v.s. layer 3 authentisering) kommer att placera dina användare på ett gemensamt layer 2 nät där dom har möjlighet att se varandras trafik via en sniffer. Normalt sett skyddar du inte layer 2 med någon kryptering men även om du gör så med ett PSK t.ex. kommer möjligheten att dekryptera andras trafik ändå finnas där då alla använder samma PSK. Men relativt simpel lösning att implementera då den inte kräver någon komplicerad konfiguration av klienterna.

En 802.1X baserad PEAP lösning låter som den bästa lösningen. Den kräver att accesspunkterna stödjer 802.1X Enterprise vilket dom absolut flesta gör idag. Du kommer behöva en central punkt att lagra användarkontona på, t.ex. en AD domän. Utöver det behöver du en radius server såsom OpenRadius, FreeRadius eller den inbyggda i Microsoft servrarna (NPS eller IAS beroende på 2003 eller 2008/2012). Med en sådan lösning kommer användarna INTE att kunna se varandras trafik. Detta är en traditionell enterprise lösning men den går bra att implementera mot dom flesta hemma accesspunkterna också det enda du inte får då är vettig roaming. Borde vara teoretiskt möjligt att skapa en SAMBA domän för kontohanteringen om det är för dyrt att köpa in en Windows licens.

Näst bästa lösningen är att implementera en per-user PSK lösning, men den kräver en lösning som stödjer detta vilket så vitt jag vet bara tidigare nämnda tillverkare gör, känns lite för dyrt. Den stora fördelen är enklare klientkonfigurering och du uppnår också att användarna inte kan dekryptera varandras trafik.

För val av accesspunkter så borde nästan vad som helst fungera, förutsatt att du inte förväntar dig seamless roaming.. är det ett krav och du fortfarande har en tight budget så titta på UniFi lösningen.

Att sätta upp fler än 1 SSID är inte något du vill göra btw..

Det fungerar inte att ha en "billig" router i varje lägenhet som personen får nyckel till. Sen ha en router som delar inkommande anslutning till alla dessa routrar? Fast då kanske det blir en AP i varje lägenhet?

Jag hade kört captive portal. Vilket ger ett personligt konto för access till internet. I teorin ska det fungera på alla enheter som har webbläsare, sedan kanske inte en krysslåda reder ut och skicka användaren direkt till inloggningen, men då får man göra det manuellt och skriva adressen till routern i webbläsaren.

I pfsense/m0n0wall kan man justera om en session får vara oändlig, vilket vi i detta fallet vill. Riktigt irriterande att bli utkastad mitt i ett spel. Sedan finns idle-timeout, när enheten varit avstängd. Den kan man sätta på två dagar tex. Då slipper man krånglet på med lösenord om man använder sin konsoll regelbundet och likaså i dator och telefon.

Sedan minns nog en del firesheep. I ett okrypterat nätverk kan man lyssna på trafiken mycket lätt. Man kanske ska fundera på att köra wpa kryptering med en simpel nyckel. Kanske samma som ssid't, för det kräver ändå en avkryptering vilket försvårar.

Förslagsvis sätter man upp en PEAP lösning mot ett WPA2 krypterat nät, och ett öppet captive portal authentiserat nät parallellt så att användarna kan nyttja båda. Båda två använder givetvis samma konto-backend.