Changes between Version 40 and Version 41 of WikiStart


Ignore:
Timestamp:
May 2, 2013, 11:52:24 PM (12 years ago)
Author:
walter
Comment:

--

Legend:

Unmodified
Added
Removed
Modified

  • WikiStart

    v40 v41  
    3030
    3131= NEW HOWTO =
    32 == technische mogelijkheden ==
    33 
    34 ubiquiti nano/bullet/etc AP's as wpa2 enterpise radius clients with stock AIROS or Openwrt(multi ssid & openvpntunneling)
    35 
    36  
    37 Het aanbieden van een "eduroam" compatible infrastructuur dat overeenkomt met een wpa2 enterprise wireless netwerk met radius setup over een open/onafhankelijk netwerk. Dit veelal gautomatiseerd zodat het configureren van vele AP's en een "Radius-Proxy/Server en Gatway" via enkele scripts in dag delen voltooid kan worden.
    38 
    3932== technische en organisatorische benodigdheden ==
    4033
    4134Voor het aanbieden van de eduroam infrastructuur op het Wireless Leiden netwerk is gekozen voor twee verschillende type installaties met idem verschillende functionaliteit namelijk:
    42 1. "AccesPoints" meerdere (verschillende) types die als "eduroam" hotspot zullen fungeren met als basis OpenWRT.
    43 2. "Radius-Server/Proxy & gateway" een enkele centraal gepositioneerde server met als basis FREEBSD.
    44 De verbinding tussen deze twee typen installaties word via OpenVPN tunnels beveiligd en geencrypt opgezet waardoor het mogelijk onveilige karakter van het open WirelessLeiden netwerk vervalt. Naast deze hardware matige en software matige eisen zijn er nog vier andere organisatorische eisen nodig waaronder:
     351. "!AccesPoints" meerdere (types) die als "eduroam" multiSSID hotspot zullen fungeren via OpenWRT.
     362. "Radius-!Server/Proxy & gateway" een enkele centraal gepositioneerde server via FREEBSD.
     37De verbinding tussen deze twee typen installaties word via OpenVPN tunnels beveiligd en geencrypt opgezet waardoor het mogelijk onveilige karakter van het open Wireless Leiden netwerk vervalt. Naast deze hardware matige en software matige eisen zijn er nog vier andere organisatorische eisen nodig waaronder:
    45381. toegang/inlog-gegevens tot de centrale eduroam/surfnet/surf-foundation identityprovider koppel server.
    46392. ip whitelisting voor toegang tot die server.
     
    49425. build/test/flash-machines voor config en firmware (ssh scp sshpass telnet etc)
    50436. internet?
    51 Met deze middelen en een compleet voor zover mogelijk lineaire stap voor stap handleiding is een plug en play exploitatie van eduroam toegangspunten waar dan ook binnen het Wireless Leiden netwerk snel en eenvoudig te realiseren. Voor het opleveren van veel AP's (bacthes) met verschillende instellingen zal er uiteindelijk een configuratie script volgen waarmee op basis van het MAC-adres van het AP een aantal unieke parameters meegegeven kunnen worden voor de configuratie zoals: MultiSSID, hostname, kanaal, ipadres(bedraad/draadloos), etc...
    52 
    53 Door het gebruik van het opensource software RouterOS [http://www.openwrt.org OpenWRT], [http:/www.freebsd.org FREEBSD] en gerelateerde software projecten, is deze setup niet gelimiteerd aan een enkel merk en of type hardware. Een kleine aanpassing aan de configuratie bestanden zou een vereiste kunnen zijn voordat het op ander hardware platvorm werkt. Deze handleiding zal overigens alleen toegespitst zijn op Ubiquiti AP's zoals Bullet m2 HP/ Nano station/loco m2 en via-epia-m/alixboard als radiusproxy/server & gateway. Als uitgangssituatie om deze handleiding uit te voeren word ubuntu 12.04LTS AMD64 gebruikt! 
     44Met deze middelen en een compleet voor zover mogelijk lineaire stap voor stap handleiding is een plug en play exploitatie van eduroam toegangspunten waar dan ook binnen het Wireless Leiden netwerk snel en eenvoudig te realiseren. Voor het opleveren van veel AP's (batches) met unieke instelligen zal er uiteindelijk een configuratie script volgen waarmee op basis van het MAC-adres van het AP een aantal unieke parameters meegegeven kunnen worden voor de configuratie: MultiSSIDname, hostname, kanaal, ipadres(bedraad/draadloos), etc... vergeet de unieke openvpn client certificaten niet, tevens zouden er per AP unieke client gegevens om met de radius-proxy/server te communiceren gemaakt kunnen worden.
     45
     46Door het gebruik van het opensource software [http://www.openwrt.org OpenWRT], [http://www.freebsd.org FREEBSD] en gerelateerde software projecten, is deze setup niet gelimiteerd aan een enkel merk en of type hardware. Een kleine aanpassing aan de configuratie bestanden zou een vereiste kunnen zijn voordat het op ander hardware platvorm werkt. Deze handleiding zal overigens alleen toegespitst zijn op Ubiquiti AP's zoals Bullet m2 HP/ Nano station/loco m2 en via-epia-m/alixboard als radiusproxy/server & gateway. Als uitgangssituatie om deze handleiding uit te voeren word ubuntu 12.04LTS AMD64 gebruikt! 
    5447
    5548=== 1 setup eduroam !AccessPoints ===
    5649==== 1.1 hardware & software ====
    57 Met deze flexibele fundering is het doel om accesspoints die maar in sumiere opzichten van elkaar te verschillen zo gemakkelijk en snel mogelijk in grote hoeveelheden geautomatiseerd te kunnen configureren. Het verschil tussen de accesspoints komt deels uit hoek van beveiliging, deels uit de hoek van locatie en natuurlijk de toepassing. Als een enkel accesspoint gehackt is kan deze los van de andere accesspoint toegang tot de radius proxy ontzegt worden (door zijn openvpn sleutel in te trekken) daardoor zijn de andere accesspoints nog operationeel. Als toepassing is het handig dat het eduroam accesspoint op de burcht in Leiden als multi-SSID "ap.burcht.wleiden.net" heet en de eduroam accesspoint bij de Hortus Botanicus als multi-SSID "ap.hortusbotanicus.wleiden.net". Als toepassing kan het wenselijk zijn kleine / goedkopere AP's te monteren op plaatsen waar grote AP's met losse sector antennes niet mogelijk zijn en natuurlijk niet te vergeten de beschikbare wifi kanalen 1,6,11. Deze voorbeelden duiden erop dat er toch kleine specifieke wijzigingen tussen de !AccessPoints configuratie bestanden wenselijk zijn.
     50Met deze flexibele fundering is het doel om accesspoints die maar in sumiere opzichten van elkaar te verschillen zo gemakkelijk en snel mogelijk in grote hoeveelheden geautomatiseerd te kunnen configureren. Het verschil tussen de accesspoints komt deels uit hoek van beveiliging, deels uit de hoek van locatie en natuurlijk de toepassing. Als een enkel accesspoint gehackt is kan deze los van de andere accesspoint toegang tot de radius proxy ontzegt worden (door zijn openvpn sleutel in te trekken) daardoor zijn de andere accesspoints nog operationeel. Als toepassing is het handig dat het eduroam accesspoint op de burcht in Leiden als multi-SSID "ap.burcht.wleiden.net" heet en de eduroam accesspoint bij de Hortus Botanicus als multi-SSID "ap.hortusbotanicus.wleiden.net". Als toepassing kan het wenselijk zijn kleine / goedkopere AP's te monteren op plaatsen waar grote AP's met losse sector antennes niet mogelijk zijn en natuurlijk niet te vergeten de beschikbare wifi kanalen 1,6,11. Voor ieder AP zullen unieke openvpn certifacten gebruikt worden. Deze voorbeelden duiden erop dat er toch kleine specifieke wijzigingen tussen de !AccessPoints configuratie bestanden wenselijk zijn.
    5851
    5952In tegenstelling tot de oude handleiding(onderaan deze pagina) word momenteel gebruik gemaakt van een fixed OpenWRT releases waaronder Backfire 10.03.1 of zelfs Atitude Adjustment 12.0.9 final. Dit niet alleen omdat het bouwen van een custombuild onnodig is geworden omdat "openvpn" inmiddels als pakket direct gebruiksklaar en beschikbaar is voor de 10.03.1 / 12.09 releases. Maar vooral omdat compileren van een openwrt build omgeving en image erg veel tijd, moeite en veel variabelen introduceert in een al/nog experimentele infrastructuur. Met fixed releases kan in minder dan 5 minuten direct een werkend accesspoint prototype gerealiseerd worden en dat zelfs voor verschillende type accesspoints (mits daar openwrt images voor zijn)! Wel zou via custom gecompileerde releases het geheugen gebruik en processor belasting geoptimaliseerd kunnen worden door het weglaten van ongebruikte pakketten. Update, inmiddels is het ook al direct mogelijk om via AirOS software dat standaard al op Ubiquiti AP's aanwezig is een wpa2 enterprise met radius client functie maken (enkel openvpn ontbreekt)!
    6053
    61 Het AccessPoint zal met multiSSID ingesteld worden en bridged al het internet verkeer van de beveiligde "eduroam" SSID naar een externe router en het verkeer van de open "ap.voorbeeld.wleiden.net" SSID via een interne NAT/routing. TODO Deze laatste zou ook direct moeten bridgen naar de eth0/wan interface, maar daarvoor zijn momenteel de firewall regels te generiek en word deze extra bridge geblokkeerd door de br* wildcard. Wanneer dit lukt dan bridged deze het verkeer een Wireless Leiden node in met eigen Captive Portal setup!
    62 
    63 ==== 1.2a fixed release OpenWRT based ====
    64 
    65 Via de volgende shell commands zal de software "Backfire" en de configuratie in de AP's geplaatst worden, eerst lokaal alles laden en vervolgens flashen, installeren, backuppen en configureren:
     54Het !AccessPoint zal met multiSSID ingesteld worden en bridged al het internet verkeer van de beveiligde "eduroam" SSID naar een externe router en het verkeer van de open "ap.voorbeeld.wleiden.net" SSID via interne NAT/routing. TODO Deze laatste zou ook direct moeten bridgen naar de eth0/wan interface, maar daarvoor zijn momenteel de firewall regels te generiek??? en word deze extra bridge geblokkeerd door de br+ wildcard??? De eth0 interface met eigen ip word br-eth0 met eigen ip... hierdoor kan openvpn/rest de boel niet meer begrijpen? Wanneer dit lukt dan bridged deze bedraad het verkeer naar een Wireless Leiden node die een eigen Captive Portal en router/gateway draait hiermee kan de NAT/Routing en bijbehorende aanpassingen van het AP op de schop!
     55
     56==== 1.2a fixed OpenWRT release ====
     57
     58The following shell commands will first locally download the OpenWRT "Backfire" image and its packages, than flash the image, configure its packages, backup original config files so you must use them as actual template config files for your own custom setup! TODO Instead of the Backfire 10.03.1 release, Attitude Adjustment 12.09 can be used, just change the download links according to your needs for release and hardware image!
    6659
    6760{{{
     
    8982wget http://downloads.openwrt.org/backfire/10.03.1/ar71xx/packages/nano_2.2.6-1_ar71xx.ipk -P packages/
    9083wget http://downloads.openwrt.org/backfire/10.03.1/ar71xx/packages/libncurses_5.7-2_ar71xx.ipk -P packages/
    91 }}}
    92 {{{
     84
    9385### flash firmware
    9486# put Ubiquiti device in tftp recover mode
     
    117109ssh root@192.168.1.20 "opkg remove wpad-mini;install /tmp/packages/*.ipk;exit"
    118110
    119 ## use scp to backup current config files to local pc
     111## use scp to backup current config files to local pc for use as template
    120112mkdir backup
    121113scp -r root@192.168.1.20:/etc backup/
    122114}}}
    123 For deploying huge quantity (batch(es)) of AP's the following settings are general but some may differ among AccesPoints like: multiSSID,ipadress(wired/wireless),wifichannel,band(a/bg),hostname,etc. In the following config files those parts that makes the uniqueness will be coloured so its easier to identify and customize. Use the files from the backup you just made as a template, since the example config files which will follow after this paragraph are hardware-type/image specific! That means that my config files are specific for the Ubiquiti bullet2m hp, and for instance will not work on linksys broadcom based AP hardware(because wifi interfaces are configured using different names and parameters)! So only copy/paste change the needed parts, that differ with your templates!
    124 #create folder structure to put customized config files!
    125 {{{
     115
     116For deploying huge quantity (batch(es)) of AP's the following settings are general but some may differ among !AccesPoints like: multiSSID,ipadress(wired/wireless),wifichannel,band(a/bg),hostname,etc. In the following config files those parts that makes the uniqueness will be coloured so its easier to identify and customize. Use the files from the backup you just made as a template, since the example config files which will follow after this paragraph are hardware-type/image specific! That means that my config files are specific for the Ubiquiti bullet2m hp, and for instance will not work on linksys broadcom based AP hardware(because wifi interfaces are configured using different names and parameters)! So only copy/paste change the needed parts, that differ with your templates!
     117
     118{{{
     119## create folder structure for customized config files!
    126120mkdir -p customize/etc/config
    127121mkdir -p customize/etc/init.d
    128 mkdir -p custom/sbin
    129 mkdir -p custom/usr/sbin
    130 }}}
     122mkdir -p customize/sbin
     123mkdir -p customize/usr/sbin
     124}}}
     125
    131126#/etc/config/dhcp
    132127{{{
     
    170165}}}
    171166
    172 {{{
    173167#/etc/config/firewall
    174168{{{
     
    482476}}}
    483477
    484 The following files probably won't exist, but are common on all ap's that are used for this setup.
     478The following files need to be created but are common on all ap's that are used for this setup.
     479
    485480#/sbin/wifi-update
    486481{{{
     
    491486/bin/sed -i "s/MACADDRESS/$MAC/g" /etc/config/wireless
    492487}}}
     488
    493489#/usr/sbin/iopenvpn
    494490{{{
     
    509505}}}
    510506
    511 ##TODO
    512 ssh root@192.168.1.1
    513 vi /etc/config/network #correct settings
    514 vi /etc/config/system  #correct timezone
    515 vi /etc/init.d/sysntpd #MAINSER/peers/gateway start stop enable?
    516 reboot;exit
    517 
    518 ssh root192.168.1.1
    519 # check date
    520 date
    521 
     507##TODO openvpn key/certificates
    522508# upload openvpn config and keys (keys.tar)
    523509# run this script from local pc shell
    524510sh upload
    525511
    526 # fix permission on file
    527 /etc/openvpn/up.sh #heeft geen chmod +x flag ;-)
    528 
    529 # check / correct following in /etc /sbin /usr/sbin
     512## install config files to correct location
     513# only network and system may be specific
     514scp -r customize/ root@192.168.1.100:/
     515
     516## use ssh to configure final settings
     517ssh root@192.168.1.20
     518
     519## openvpn specific config
     520chmod +x /etc/openvpn/up.sh
     521/etc/init.d/openvpn enable
     522
     523## activate wifi to add macadress to config file
     524/sbin/wifi stop
     525#/sbin/wifi start
     526#/bin/sleep 5
     527/sbin/wifi detect
     528/bin/sleep 10
     529chmod +x /sbin/wifi-update
     530/sbin/wifi-update
     531#/bin/sleep 5
     532# check / correct following in chmod+x /etc /sbin /usr/sbin
    530533reboot;exit
    531534
    532 # if it won't work try
    533 ssh root@bullet
    534 wifi
    535 wifi-update
    536 reboot;exit
    537 # the end :-D
    538 
    539 }}}
    540 
    541 ==== 1.2b quick&dirty Ubiquiti AirOS based ====
     535}}}
     536
     537==== 1.2b "quick&dirty" Ubiquiti AirOS ====
    542538De huidige 5.5.4 Ubiquiti AirOS software maakt het mogelijk het AP direct als radius "client" te laten fungeren. Dit is handig voor snel testen of uitrollen van inpandige afgeschermde infrastructuur waarbij het encrypten van het radius en internet verkeer via openvpn niet nodig is! Het is zo eenvoudig dat je enkel na het resetten van het apparaat, hem als normaal AP configureert(vergeet AirMax niet uit te zetten!) dan geef je bij Wireless security geen WPA2-"PSK" maar "EAP" op. Direct verschijnt er een optie om een Authenticating radius server/proxy op te geven met IP:PORT:secret wanneer deze ingevuld worden is er direct al een werkend wpa2 enterprise AP oftwel eduroam! Verdere setup met NAT/Bridging/VLAN is wel aan te beleven maar moet nog uitgezocht worden.
    543539