Changes between Version 39 and Version 40 of WikiStart

Timestamp:

May 2, 2013, 10:00:32 PM (12 years ago)

Author:

walter

Comment:

WannnerEenWoordMetHoofdLettersAanElkaarZit dan moet er ! voor anders denkt dat het een wiki link is... nu uitzoek om in 'code'stukken te kleuren/arceren

WikiStart

@@ -5 +5 @@
 == Wat is eduroam? ==
 
-Onderwijsinstelling 'X' wil al zijn studenten eenvoudig op hun "beveiligde en gesloten" draadloze netwerk aansluiten om hen toegang tot internet en printen te verschaffen. Dit draadloze netwerk dat met vele toegangspunten (AP=AccessPoints / Hotpots) door het hele complex dekkend is, word ''wel'' met ''een enkele generieke'' naam "X-netwerk" aangelegd, maar ''niet'' met ''een enkel generiek'' wachtwoord! De onderwijsinstelling heeft al zijn leden al geregistreerd in een personendatabase en heeft voor ieder herleidbaar persoon namelijk al een ''unieke'' accountnaam en wachtwoord aangemaakt. Door de authenticatie en autorisatie tot het "gesloten en beveiligde" draadloze netwerk via de inloggegevens uit de personendatabase te laten verlopen, weet ieder lid direct zijn eigen wachtwoord om direct toegang tot het draadloze netwerk te krijgen. Daarnaast weet de instelling een mogelijk wachtwoord lek te herleiden tot een uniek persoon.
+Onderwijsinstelling 'X' wil al zijn studenten eenvoudig op hun "beveiligde en gesloten" draadloze netwerk aansluiten om hen toegang tot internet en printen te verschaffen. Dit draadloze netwerk dat met vele toegangspunten (AP=!AccessPoints / Hotpots) door het hele complex dekkend is, word ''wel'' met ''een enkele generieke'' naam "X-netwerk" aangelegd, maar ''niet'' met ''een enkel generiek'' wachtwoord! De onderwijsinstelling heeft al zijn leden al geregistreerd in een personendatabase en heeft voor ieder herleidbaar persoon namelijk al een ''unieke'' accountnaam en wachtwoord aangemaakt. Door de authenticatie en autorisatie tot het "gesloten en beveiligde" draadloze netwerk via de inloggegevens uit de personendatabase te laten verlopen, weet ieder lid direct zijn eigen wachtwoord om direct toegang tot het draadloze netwerk te krijgen. Daarnaast weet de instelling een mogelijk wachtwoord lek te herleiden tot een uniek persoon.
 
 In de gebruikelijke situatie wanneer een student van onderwijsinstelling X vanuit de kantine het eigen beveiligde en gesloten draadloze netwerk "X-netwerk" op wil, dan configureert deze eenmalig zijn laptop (tablet en of telefoon) en gebruikt hiervoor de voor hem of haar al bekende unieke inloggegevens. Iedere volgende keer wanneer deze student binnen het eigen complex wil werken (of loopt) is zijn apparaat automatisch verbonden met hetzelfde draadloze "X-netwerk" (al dan niet via een andere toegangspunt vanuit collegezaal of bibliotheek). Dit verschijnsel waarbij het apparaat van de gebruiker, zonder dat hij of zij het opmerkt automatisch van toegangspunt naar toegangspunt verspringt, bereikbaar en bruikbaar blijft word "roaming" genoemd.
@@ -40 +40 @@
 
 Voor het aanbieden van de eduroam infrastructuur op het Wireless Leiden netwerk is gekozen voor twee verschillende type installaties met idem verschillende functionaliteit namelijk:
-1. "!AccesPoints" meerdere (verschillende) types die als "eduroam" hotspot zullen fungeren met als basis OpenWRT.
+1. "AccesPoints" meerdere (verschillende) types die als "eduroam" hotspot zullen fungeren met als basis OpenWRT.
 2. "Radius-Server/Proxy & gateway" een enkele centraal gepositioneerde server met als basis FREEBSD. 
 De verbinding tussen deze twee typen installaties word via OpenVPN tunnels beveiligd en geencrypt opgezet waardoor het mogelijk onveilige karakter van het open WirelessLeiden netwerk vervalt. Naast deze hardware matige en software matige eisen zijn er nog vier andere organisatorische eisen nodig waaronder:
@@ -49 +49 @@
 5. build/test/flash-machines voor config en firmware (ssh scp sshpass telnet etc)
 6. internet?
-Met deze middelen en een complete voor zover mogelijk lineaire stap voor stap handleiding (die nu gaat volgen) is een plug en play exploitatie van eduroam toegangspunten waar dan ook binnen het Wireless Leiden netwerk snel en eenvoudig te realiseren. Door het gebruik van het opensource software RouterOS [http://www.openwrt.org OpenWRT], [http:/www.freebsd.org FREEBSD] en gerelateerde software projecten, is deze setup niet gelimiteerd aan een enkel merk en of type hardware. Een kleine aanpassing aan de configuratie bestanden zou een vereiste kunnen zijn voordat het op ander hardware platvorm werkt. Deze handleiding zal overigens alleen gespitst zijn op Ubiquity AP's zoals Bullet m2HP/Nano station/loco m2 en via-epia-m/alixboard als radiusproxy/server & gateway. Als uitgangssituatie om deze handleiding te uit te voeren word ubuntu 12.04LTS AMD64 gebruikt!  
-
-=== 1 setup eduroam AccessPoints ===
+Met deze middelen en een compleet voor zover mogelijk lineaire stap voor stap handleiding is een plug en play exploitatie van eduroam toegangspunten waar dan ook binnen het Wireless Leiden netwerk snel en eenvoudig te realiseren. Voor het opleveren van veel AP's (bacthes) met verschillende instellingen zal er uiteindelijk een configuratie script volgen waarmee op basis van het MAC-adres van het AP een aantal unieke parameters meegegeven kunnen worden voor de configuratie zoals: MultiSSID, hostname, kanaal, ipadres(bedraad/draadloos), etc... 
+
+Door het gebruik van het opensource software RouterOS [http://www.openwrt.org OpenWRT], [http:/www.freebsd.org FREEBSD] en gerelateerde software projecten, is deze setup niet gelimiteerd aan een enkel merk en of type hardware. Een kleine aanpassing aan de configuratie bestanden zou een vereiste kunnen zijn voordat het op ander hardware platvorm werkt. Deze handleiding zal overigens alleen toegespitst zijn op Ubiquiti AP's zoals Bullet m2 HP/ Nano station/loco m2 en via-epia-m/alixboard als radiusproxy/server & gateway. Als uitgangssituatie om deze handleiding uit te voeren word ubuntu 12.04LTS AMD64 gebruikt!  
+
+=== 1 setup eduroam !AccessPoints ===
 ==== 1.1 hardware & software ====
-Met deze flexibele fundering is het doel om accesspoints die maar in sumiere opzichten van elkaar te verschillen zo gemakkelijk en snel mogelijk in grote hoeveelheden geautomatiseerd te kunnen configureren. Het verschil tussen de accesspoints komt deels uit hoek van beveiliging, deels uit de hoek van locatie en natuurlijk de toepassing. Als een enkel accesspoint gehackt is kan deze los van de andere accesspoint toegang tot de radius proxy ontzegt worden (door zijn openvpn sleutel in te trekken) daardoor zijn de andere accesspoints nog operationeel. Als toepassing is het handig dat het eduroam accesspoint op de burcht in Leiden als multi SSID "ap.burcht.wleiden.net" heet en de eduroam accesspoint bij de HortusBotanicus als multi SSID "ap.hortusbotanicus.wleiden.net". Als toepassing kan het wenselijk zijn kleine / goedkopere AP's te monteren op plaatsen waar grote AP's met losse sector antennes niet mogelijk zijn en natuurlijk niet te vergeten de beschikbare wifi kanalen 1,6,11. Deze voorbeelden duiden erop dat er toch kleine specifieke wijzigingen tussen de AccessPoints configuratie bestanden wenselijk zijn.
-
-In tegenstelling tot de oude handleiding(onderaan deze pagina) word momenteel gebruik gemaakt van een fixed OpenWRT releases waaronder Backfire 10.03.1 of zelfs Atitude Adjustment 12.0.9 final. Dit niet alleen omdat het bouwen van een custombuild onnodig is geworden omdat "openvpn" inmiddels als pakket direct gebruiksklaar en beschikbaar is voor de 10.03.1 / 12.09 releases. Maar vooral omdat compileren van een openwrt build omgeving en image erg veel tijd, moeite en veel variabelen introduceert in een al experimentele infrastructuur. Met fixed releases kan in minder dan 5 minuten direct een werkend accesspoint prototype gerealiseerd worden en dat zelf voor verschillende type accesspoints(mits daar openwrt images voor zijn)! Wel zou via custom gecompileerde releases het geheugen gebruik en processor belasting geoptimaliseerd kunnen worden door het weglaten van ongebruikte pakketten. Update, inmiddels is het ook al mogelijk om direct via de default AirOS software dat op de Ubiquiti AP's al aanwezig is een dergelijke opstelling te maken(enkel openvpn ontbreekt)! 
+Met deze flexibele fundering is het doel om accesspoints die maar in sumiere opzichten van elkaar te verschillen zo gemakkelijk en snel mogelijk in grote hoeveelheden geautomatiseerd te kunnen configureren. Het verschil tussen de accesspoints komt deels uit hoek van beveiliging, deels uit de hoek van locatie en natuurlijk de toepassing. Als een enkel accesspoint gehackt is kan deze los van de andere accesspoint toegang tot de radius proxy ontzegt worden (door zijn openvpn sleutel in te trekken) daardoor zijn de andere accesspoints nog operationeel. Als toepassing is het handig dat het eduroam accesspoint op de burcht in Leiden als multi-SSID "ap.burcht.wleiden.net" heet en de eduroam accesspoint bij de Hortus Botanicus als multi-SSID "ap.hortusbotanicus.wleiden.net". Als toepassing kan het wenselijk zijn kleine / goedkopere AP's te monteren op plaatsen waar grote AP's met losse sector antennes niet mogelijk zijn en natuurlijk niet te vergeten de beschikbare wifi kanalen 1,6,11. Deze voorbeelden duiden erop dat er toch kleine specifieke wijzigingen tussen de !AccessPoints configuratie bestanden wenselijk zijn.
+
+In tegenstelling tot de oude handleiding(onderaan deze pagina) word momenteel gebruik gemaakt van een fixed OpenWRT releases waaronder Backfire 10.03.1 of zelfs Atitude Adjustment 12.0.9 final. Dit niet alleen omdat het bouwen van een custombuild onnodig is geworden omdat "openvpn" inmiddels als pakket direct gebruiksklaar en beschikbaar is voor de 10.03.1 / 12.09 releases. Maar vooral omdat compileren van een openwrt build omgeving en image erg veel tijd, moeite en veel variabelen introduceert in een al/nog experimentele infrastructuur. Met fixed releases kan in minder dan 5 minuten direct een werkend accesspoint prototype gerealiseerd worden en dat zelfs voor verschillende type accesspoints (mits daar openwrt images voor zijn)! Wel zou via custom gecompileerde releases het geheugen gebruik en processor belasting geoptimaliseerd kunnen worden door het weglaten van ongebruikte pakketten. Update, inmiddels is het ook al direct mogelijk om via AirOS software dat standaard al op Ubiquiti AP's aanwezig is een wpa2 enterprise met radius client functie maken (enkel openvpn ontbreekt)!
+
+Het AccessPoint zal met multiSSID ingesteld worden en bridged al het internet verkeer van de beveiligde "eduroam" SSID naar een externe router en het verkeer van de open "ap.voorbeeld.wleiden.net" SSID via een interne NAT/routing. TODO Deze laatste zou ook direct moeten bridgen naar de eth0/wan interface, maar daarvoor zijn momenteel de firewall regels te generiek en word deze extra bridge geblokkeerd door de br* wildcard. Wanneer dit lukt dan bridged deze het verkeer een Wireless Leiden node in met eigen Captive Portal setup!
 
 ==== 1.2a fixed release OpenWRT based ====
 
-Via de volgende shell commands zal de software "Backfire" en de configuratie in de AP's geplaatst worden, eerst lokaal alles laden en vervolgens flashen en installeren en configureren:
+Via de volgende shell commands zal de software "Backfire" en de configuratie in de AP's geplaatst worden, eerst lokaal alles laden en vervolgens flashen, installeren, backuppen en configureren:
 
 {{{
@@ -71 +75 @@
 ### openwrt bullet packages
 mkdir packages
-cd packages
 
 ## download wpad since included wpad-mini does not support EAP!
-wget http://downloads.openwrt.org/backfire/10.03.1/ar71xx/packages/wpad_20111103-2_ar71xx.ipk
+wget http://downloads.openwrt.org/backfire/10.03.1/ar71xx/packages/wpad_20111103-2_ar71xx.ipk -P packages/
 
 ## download openvpn packages
-wget http://downloads.openwrt.org/backfire/10.03.1/ar71xx/packages/openvpn_2.1.4-3_ar71xx.ipk
-wget http://downloads.openwrt.org/backfire/10.03.1/ar71xx/packages/kmod-tun_2.6.32.27-1_ar71xx.ipk
-wget http://downloads.openwrt.org/backfire/10.03.1/ar71xx/packages/libopenssl_0.9.8r-1_ar71xx.ipk
-wget http://downloads.openwrt.org/backfire/10.03.1/ar71xx/packages/zlib_1.2.3-5_ar71xx.ipk
-wget http://downloads.openwrt.org/backfire/10.03.1/ar71xx/packages/liblzo_2.04-1_ar71xx.ipk
+wget http://downloads.openwrt.org/backfire/10.03.1/ar71xx/packages/openvpn_2.1.4-3_ar71xx.ipk -P packages/
+wget http://downloads.openwrt.org/backfire/10.03.1/ar71xx/packages/kmod-tun_2.6.32.27-1_ar71xx.ipk -P packages/
+wget http://downloads.openwrt.org/backfire/10.03.1/ar71xx/packages/libopenssl_0.9.8r-1_ar71xx.ipk -P packages/
+wget http://downloads.openwrt.org/backfire/10.03.1/ar71xx/packages/zlib_1.2.3-5_ar71xx.ipk -P packages/
+wget http://downloads.openwrt.org/backfire/10.03.1/ar71xx/packages/liblzo_2.04-1_ar71xx.ipk -P packages/
 
 # download optional packages
-wget http://downloads.openwrt.org/backfire/10.03.1/ar71xx/packages/nano_2.2.6-1_ar71xx.ipk
-wget http://downloads.openwrt.org/backfire/10.03.1/ar71xx/packages/libncurses_5.7-2_ar71xx.ipk
+wget http://downloads.openwrt.org/backfire/10.03.1/ar71xx/packages/nano_2.2.6-1_ar71xx.ipk -P packages/
+wget http://downloads.openwrt.org/backfire/10.03.1/ar71xx/packages/libncurses_5.7-2_ar71xx.ipk -P packages/
 }}}
 {{{
@@ -100 +103 @@
         binary
         trace
-        put ../openwrt-ar71xx-ubnt-bullet-m-squashfs-factory.bin
+        put openwrt-ar71xx-ubnt-bullet-m-squashfs-factory.bin
         quit
 
@@ -115 +118 @@
 
 ## use scp to backup current config files to local pc
-scp -r root@192.168.1.20:/etc .#inclode the dot '.' at the end!
-}}}
-Settings that differ among AccesPoints like multiSSID,ipadress,wifichannel,hostname,etc are coloured! 
-{{{
-## only a couple of files needs editing/configuring this will be done locally
+mkdir backup
+scp -r root@192.168.1.20:/etc backup/
+}}}
+For deploying huge quantity (batch(es)) of AP's the following settings are general but some may differ among AccesPoints like: multiSSID,ipadress(wired/wireless),wifichannel,band(a/bg),hostname,etc. In the following config files those parts that makes the uniqueness will be coloured so its easier to identify and customize. Use the files from the backup you just made as a template, since the example config files which will follow after this paragraph are hardware-type/image specific! That means that my config files are specific for the Ubiquiti bullet2m hp, and for instance will not work on linksys broadcom based AP hardware(because wifi interfaces are configured using different names and parameters)! So only copy/paste change the needed parts, that differ with your templates!
+#create folder structure to put customized config files!
+{{{
+mkdir -p customize/etc/config
+mkdir -p customize/etc/init.d
+mkdir -p custom/sbin
+mkdir -p custom/usr/sbin
+}}} 
 #/etc/config/dhcp
+{{{
+config dnsmasq
+        option domainneeded     1
+        option boguspriv        1
+        option filterwin2k      0  # enable for dial on demand
+        option localise_queries 1
+        option rebind_protection 1  # disable if upstream must serve RFC1918 addresses
+        option rebind_localhost 1  # enable for RBL checking and similar services
+        #list rebind_domain example.lan  # whitelist RFC1918 responses for domains
+        option local    '/lan/'
+        option domain   'lan'
+        option expandhosts      1
+        option nonegcache       0
+        option authoritative    1
+        option readethers       1
+        option leasefile        '/tmp/dhcp.leases'
+        option resolvfile       '/tmp/resolv.conf.auto'
+        #list server            '/mycompany.local/1.2.3.4'
+        #option nonwildcard     1
+        #list interface         br-lan
+        #list notinterface      lo
+        #list bogusnxdomain     '64.94.110.11'
+
+config dhcp lan
+        option interface        lan
+        option start    100
+        option limit    150
+        option leasetime        12h
+
+config dhcp wan
+        option interface        wan
+        option ignore   1
+
+config dhcp wlgst
+        option interface        wlgst
+        option start    5
+        option limit    252
+        option leasetime        1h
+}}}
+
+{{{
 #/etc/config/firewall
+{{{
+config defaults
+        option syn_flood        1
+        option input            ACCEPT
+        option output           ACCEPT 
+        option forward          REJECT
+# Uncomment this line to disable ipv6 rules
+#       option disable_ipv6     1
+
+config zone
+        option name             lan
+        option network          'lan'
+        option input            ACCEPT 
+        option output           ACCEPT 
+        option forward          REJECT
+
+config zone
+        option name             wan
+        option network          'eth0'
+        option input            REJECT
+        option output           ACCEPT 
+        option forward          REJECT
+        option masq             1 
+        option mtu_fix          1
+
+# Allow multiple ssid accespoint
+config zone
+        option name             wlgst
+        option input            REJECT
+        option forward          REJECT
+        option output           ACCEPT
+
+# Changing wan > eth0 made all these rules active!
+# Therefor no ssh access anymore from wan and lans is not available
+# Allow SSH
+config rule
+        option src              wan
+        option proto            tcp
+        option dest_port        ssh
+        option target           ACCEPT
+
+config forwarding
+        option src              lan
+        option dest             wan
+
+# Allow wlgst to internet wan/eth0?
+config  forwarding
+        option src      wlgst
+        option dest     wan
+
+# Allow wlgst  -> Router 
+# Client DNS queries ordinate from dynamic UDP ports (>1023) 
+config  rule 
+        option src              wlgst 
+        option dest_port        53 
+        option proto            tcpudp 
+        option target           ACCEPT
+
+# Allow DHCP Guest -> Router 
+# DHCP communication uses UDP ports 67-68 
+config  rule 
+        option src      wlgst 
+        option src_port 67-68 
+        option dest_port        67-68 
+        option proto    udp 
+        option target   ACCEPT
+
+# We need to accept udp packets on port 68,
+# see https://dev.openwrt.org/ticket/4108
+config rule
+        option name             Allow-DHCP-Renew
+        option src              wan
+        option proto            udp
+        option dest_port        68
+        option target           ACCEPT
+        option family           ipv4
+
+# Allow IPv4 ping
+config rule
+        option name             Allow-Ping
+        option src              wan
+        option proto            icmp
+        option icmp_type        echo-request
+        option family           ipv4
+        option target           ACCEPT
+
+# Allow DHCPv6 replies
+# see https://dev.openwrt.org/ticket/10381
+config rule
+        option name             Allow-DHCPv6
+        option src              wan
+        option proto            udp
+        option src_ip           fe80::/10
+        option src_port         547
+        option dest_ip          fe80::/10
+        option dest_port        546
+        option family           ipv6
+        option target           ACCEPT
+
+# Allow essential incoming IPv6 ICMP traffic
+config rule
+        option name             Allow-ICMPv6-Input
+        option src              wan
+        option proto    icmp
+        list icmp_type          echo-request
+        list icmp_type          destination-unreachable
+        list icmp_type          packet-too-big
+        list icmp_type          time-exceeded
+        list icmp_type          bad-header
+        list icmp_type          unknown-header-type
+        list icmp_type          router-solicitation
+        list icmp_type          neighbour-solicitation
+        option limit            1000/sec
+        option family           ipv6
+        option target           ACCEPT
+
+# Allow essential forwarded IPv6 ICMP traffic
+config rule                                   
+        option name             Allow-ICMPv6-Forward
+        option src              wan
+        option dest             *
+        option proto            icmp
+        list icmp_type          echo-request
+        list icmp_type          destination-unreachable
+        list icmp_type          packet-too-big
+        list icmp_type          time-exceeded
+        list icmp_type          bad-header
+        list icmp_type          unknown-header-type
+        option limit            1000/sec
+        option family           ipv6
+        option target           ACCEPT
+
+# include a file with users custom iptables rules
+config include
+        option path /etc/firewall.user
+}}}
+
 #/etc/config/network
+{{{
+# Copyright (C) 2006 OpenWrt.org
+
+config interface loopback
+        option ifname   lo
+        option proto    static
+        option ipaddr   127.0.0.1
+        option netmask  255.0.0.0
+
+config interface eth0
+        option ifname   eth0
+#       option type     bridge
+        option proto    static
+        option ipaddr   172.16.6.13
+        option netmask  255.255.255.248
+        option gateway  172.16.6.9
+        option dns      172.16.6.9      
+        
+config interface lan
+        option ifname   wlan0
+        option type     bridge
+
+config interface wlgst
+#       option ifname   wlgst
+#       option type     bridge
+        option proto    static
+        option ipaddr   192.168.5.1
+        option netmask  255.255.255.0
+}}}
 #/etc/config/system
+{{{
+config  system
+        option  hostname  eduroam-bullet
+        option  timezone  CET-1CEST,M3.5.0,M10.5.0/3
+
+config  timeserver ntp
+        list server     0.openwrt.pool.ntp.org
+        list server     1.openwrt.pool.ntp.org
+        list server     2.openwrt.pool.ntp.org
+        list server     3.openwrt.pool.ntp.org
+}}}
+
 #/etc/config/wireless
+{{{
+config wifi-device  radio0
+        option type     mac80211
+        option channel  5
+        option macaddr  MACADDRESS
+        option hwmode   11g
+        option htmode   HT20
+        list ht_capab   SHORT-GI-40
+        list ht_capab   TX-STBC
+        list ht_capab   RX-STBC1
+        list ht_capab   DSSS_CCK-40
+
+config wifi-iface
+        option device   radio0
+        option network  lan
+        option bridge   br-lan
+        option mode     ap
+        option ssid     eduroam
+        option encryption wpa2
+        option server   192.168.4.1
+        option key      somesecret
+
+config wifi-iface
+        option device   radio0
+        option network  wlgst
+        option mode     ap
+        option ssid     ap.haaswijk.wleiden.test
+        option encryption none
+}}}
 
 #/etc/init.d/openvpn
+{{{
+#!/bin/sh /etc/rc.common
+
+CONFIG=/etc/openvpn/client.conf
+ACTION=$1
+START=99
+
+f_start() {
+  /usr/sbin/iopenvpn --config ${CONFIG} --daemon &
+  echo ${START}
+}
+
+case $ACTION in
+  *)    f_start ;;
+esac
+}}}
+
 #/etc/init.d/sysntpd
+{{{
+#!/bin/sh /etc/rc.common
+# Copyright (C) 2011 OpenWrt.org
+
+START=98
+
+BIN=/usr/sbin/ntpd
+PID=/var/run/sysntpd.pid
+
+GATEWAY=$(netstat -rn | awk '/(0.0.0.0.*G)/ { print $2 }')
+MAINSER="172.16.4.46"
+
+peers="$GATEWAY"
+
+start() {
+        [ -x $BIN ] || exit 0
+
+        if [ -n "$peers" ]; then
+                local peer
+                local args="-n"
+                for peer in $peers; do
+                        append args "-p $peer"
+                done
+
+                start-stop-daemon -x $BIN -m -p $PID -b -S -- $args
+        fi
+}
+
+stop() {
+        service_kill ${BIN##*/} $PID
+        rm -f $PID
+}
+}}}
 
 #/etc/firewall.user
+{{{
+# This file is interpreted as shell script.
+# Put your custom iptables rules here, they will
+# be executed with each firewall (re-)start.
+
+
+iptables -I INPUT -i tap+ -j ACCEPT
+iptables -I FORWARD -i tap+ -j ACCEPT
+iptables -I OUTPUT -o tap+ -j ACCEPT
+iptables -I FORWARD -o tap+ -j ACCEPT
+
+iptables -I INPUT -i br+ -j ACCEPT
+iptables -I FORWARD -i br+ -j ACCEPT
+iptables -I OUTPUT -o br+ -j ACCEPT
+iptables -I FORWARD -o br+ -j ACCEPT
+
+iptables -t nat -A POSTROUTING -o br-lan -j MASQUERADE
+}}}
+
 #/etc/inittab
+{{{
+::sysinit:/etc/init.d/rcS S boot
+::shutdown:/etc/init.d/rcS K stop
+#tts/0::askfirst:/bin/ash --login
+#ttyS0::askfirst:/bin/ash --login
+#tty1::askfirst:/bin/ash --login
+}}}
+
 #/etc/rc.local
-
+{{{
+# Put your custom commands here that should be executed once
+# the system init finished. By default this file does nothing.
+if [ -L "/dev/random" ];
+then
+        echo 'Random-Link already OK'
+else
+        echo 'Random-Link not existing, creating,...'
+        rm -f /dev/random 2> /dev/null
+        ln -s /dev/urandom /dev/random
+fi
+/bin/sleep 5
+/usr/sbin/ntpd -q -p pool.ntp.wleiden.net
+exit 0
+}}}
+
+The following files probably won't exist, but are common on all ap's that are used for this setup.
 #/sbin/wifi-update
+{{{
+#!/bin/sh
+
+MAC=$(/sbin/wifi detect | /usr/bin/awk '/macaddr/ { print $3 }')
+
+/bin/sed -i "s/MACADDRESS/$MAC/g" /etc/config/wireless
+}}}
 #/usr/sbin/iopenvpn
+{{{
+#!/bin/sh
+
+pid() {
+  echo $(ps | awk '/\/usr\/sbin\/openvpn/ { print $5 }')
+}
+ 
+while [ true ]; do
+  if [ -z "$(pid)" ]; then
+    ifconfig eth0 | grep -q inet\  || udhcpc
+    /etc/init.d/sysntpd start > /dev/null
+    /usr/sbin/openvpn $@
+  fi
+  sleep 10
+done
+}}}
 
 ##TODO
@@ -163 +536 @@
 reboot;exit
 # the end :-D
+
 }}}
 
@@ -169 +543 @@
 
 === 2 setup RadiusServer/Proxy  & gateway ===
-Moet nog uitgezocht / getest worden, zie oud voorbeeld!!! Wel kan ik specifieke veranderingen van config bestanden en opties/parameters toevoegen aan de huidige setup! zoals openvpn server settings etc opstart bestanden en parameters. 
+Moet nog uitgezocht / getest worden, zie oud voorbeeld!!! Wel kan ik specifieke veranderingen van config bestanden en opties/parameters toevoegen aan de huidige setup! zoals openvpn server settings /usr/local/etc/rc.d opstart bestanden en parameters etc. 
 
 ==== 2.1 Install FreeBSD 8.3 and services ====
@@ -188 +562 @@
  - het afstudeerverslag van Richard (technisch is er een andere oplossing ontwikkeld, maar de algemene aanpak wordt hierin beschreven): http://svn.wirelessleiden.nl/svn/projects/802.1x/afstudeerproject_2008/afstudeerverslag.pdf
  - na het afstudeerverslag van Richard zijn enkele studenten bezig geweest een technische oplossing te ontwikkelen, onder andere met steun van Stichting NLnet: http://www.cugar.org, http://nlnet.nl/project/cugar/ en externe begeleiders
- - parallel is een wat andere oplossing ontwikkeld door Richard, als vrijwilliger van Wireless Leiden op basis van [http://www.ubiquity.com Ubiquity] hardware (bullet2HP).
+ - parallel is een wat andere oplossing ontwikkeld door Richard, als vrijwilliger van Wireless Leiden op basis van [http://www.ubiquiti.com Ubiquiti] hardware (bullet2HP).
 
 We willen nu een test doen met een prototype. Hiervoor is een openvpn-server geinstalleerd in het kantoor van Prof. Katzy, verbonden aan NodePlantsoen2, met een verbinding naar een authenticatieserver van Surfnet. De resultaten van dit project worden hier gerapporteerd.
@@ -427 +801 @@
 
 wlan channels voor 5ghz ?
-HoofdLetterLink