我连接的(有线)网络使用隧道 TLS 来验证客户端。
我想知道是否有可能得到一个可以执行以下操作的路由器:
- 将本地有线网络通过 NAT/防火墙连接至安全网络。
- 以无线方式共享安全连接(与“本地”网络隔离),但强制客户端进行自我身份验证,而不是路由器进行身份验证
我的术语可能有点不对,我之前没有做过太多的社交活动。
编辑:回复:身份验证,这是一个大学网络;如果没有经过身份验证,您似乎被锁定在一个围墙花园中,该花园提供有关设置身份验证的信息:
- 启用 802.1X 安全
- 选择“隧道 TLS”作为安全方法
- 选择安全证书
- 将“内部身份验证”设置为 PAP(在 ubuntu 上这是默认设置,所以我认为它通常是标准的)
- 输入我们的网络登录详细信息
经过深思熟虑后,我猜测只要路由器不尝试对 uni 网络进行身份验证,这应该是可能的?
答案1
我买了 WZR-HP-300NH,今天一直在摆弄它。摆弄了一会儿并做了一些研究后,似乎我想做的事情是不可能实现的。
答案2
我认为,为了正确解决这个问题,您需要在某种程度上了解这些系统的实际工作方式,以便找出问题所在,然后我们就知道什么时候需要创建一个解决方案,这会有点长,所以如果一定要这样做,您可以跳到最后。您说您希望在路由器执行 NAT 时让您的计算机进行身份验证,那么让我们开始吧。首先,当正确连接的计算机访问互联网上的数据时,它会发出一个请求,其中包含它自己的 Internet 协议地址和具有该信息的远程主机的地址,它从一个路由器跳到另一个路由器,然后主机发出一个回复,其中包含它的地址和它从请求中获得的您的计算机的地址,路由器将其发送到网络之间,直到它回到您的计算机,然后您收到邮件或您正在尝试执行的其他操作。整个互联网上的 IP 地址必须是唯一的,否则无法确定哪些数据发送到哪里。为了说明原因,想象一下你和一个住在美国某个地方的人交了朋友,他邀请你去看他,他告诉你他住在格伦维尔,但没有告诉你他住在哪个州,因为所有 50 个州都有一个叫格伦维尔的城市,如果不获取其他信息,就无法找到这个人,除非访问所有州,而这太昂贵了,你需要添加州名以使其唯一,这样你才能找到他所在的县的哪个部分。现在这里有一个问题,大多数获得互联网连接的人在互联网上只有一个 ip 地址,但他们同时打开了多个设备。这是如何工作的?网络地址转换。这就是你的路由器充当你所有设备和互联网之间的中间人的地方,发送你的电脑代表它们发出的请求,因此互联网只能看到一个 ip,即你的路由器。但要使它工作,从路由器发出的所有请求都必须将路由器的 ip 地址作为返回地址,而不是你的电脑。因为实际上只有路由器连接到其他网络,而不是你的电脑。因此,路由器在中继请求之前会更改请求中的“发件人”字段,以便将其返回到路由器,然后路由器将答复发送回计算机。它使用端口号(类似于公寓的端口号)来区分答复的去向,当它更改“发件人”字段时,它也会将其作为“端口 X 上的答复”,然后知道它在端口 x 上获得的下一堆数据是对您的计算机发出的请求的答复,然后将地址从路由器 ip 更改为您的计算机的 ip,还将端口更改为您的计算机要答复的端口。并将其发送回您的计算机。
现在,这意味着为了让路由器执行 NAT,它不是旁观者,而是实际上在本地网络和互联网之间完成所有繁重工作的部分,因此根据定义,任何路由器在执行 NAT 时都不可能处于被动状态。这就是为什么路由器在执行 NAT 之前必须能够向互联网连接验证自身身份。
我对如何解决整个烂摊子的想法是,特别是因为这听起来像普通的现成的路由器无法完成校园网络所需的那种身份验证,那就是买一台装有两张网卡的便宜电脑。(添加第二个网卡的简单方法是使用 USB 以太网卡,您可能需要在线订购或去电子商店找到它,因为您不想要无线 USB 卡),然后使用内置在操作系统中的 Windows 互联网连接共享,或获取其他程序让您的计算机将连接从卡一到卡二进行 NAT,然后将 ap 或交换机插入卡二,就可以了。
答案3
据我所知,它需要一个无线接入点
他们可以与另一个无线路由器进行无线身份验证。
(我不认为无线路由器可以做到这一点)
(注意 - 我认为无线接入点和无线网桥是同一回事)。
我搞错了。也许无线接入点就像无线交换机。