Changes between Version 41 and Version 42 of WikiStart


Ignore:
Timestamp:
May 3, 2013, 12:43:16 AM (12 years ago)
Author:
walter
Comment:

--

Legend:

Unmodified
Added
Removed
Modified

  • WikiStart

    v41 v42  
    38381. toegang/inlog-gegevens tot de centrale eduroam/surfnet/surf-foundation identityprovider koppel server.
    39392. ip whitelisting voor toegang tot die server.
    40 3. inlog/account/"USER"-gegevens voor gebruikers van een aan eduroam gelieerde onderwijsinstelling.
    41 4. certnode die het creeeren van certificaten en config bestanden voor "openvpn" faciliteert.
     403. certnode die het creeeren van certificaten en config bestanden voor "openvpn" faciliteert.
     414. inlog/account/"USER"-gegevens voor gebruikers van een aan eduroam gelieerde onderwijsinstelling.
    42425. build/test/flash-machines voor config en firmware (ssh scp sshpass telnet etc)
    43436. internet?
     44
    4445Met deze middelen en een compleet voor zover mogelijk lineaire stap voor stap handleiding is een plug en play exploitatie van eduroam toegangspunten waar dan ook binnen het Wireless Leiden netwerk snel en eenvoudig te realiseren. Voor het opleveren van veel AP's (batches) met unieke instelligen zal er uiteindelijk een configuratie script volgen waarmee op basis van het MAC-adres van het AP een aantal unieke parameters meegegeven kunnen worden voor de configuratie: MultiSSIDname, hostname, kanaal, ipadres(bedraad/draadloos), etc... vergeet de unieke openvpn client certificaten niet, tevens zouden er per AP unieke client gegevens om met de radius-proxy/server te communiceren gemaakt kunnen worden.
    4546
     
    5253In tegenstelling tot de oude handleiding(onderaan deze pagina) word momenteel gebruik gemaakt van een fixed OpenWRT releases waaronder Backfire 10.03.1 of zelfs Atitude Adjustment 12.0.9 final. Dit niet alleen omdat het bouwen van een custombuild onnodig is geworden omdat "openvpn" inmiddels als pakket direct gebruiksklaar en beschikbaar is voor de 10.03.1 / 12.09 releases. Maar vooral omdat compileren van een openwrt build omgeving en image erg veel tijd, moeite en veel variabelen introduceert in een al/nog experimentele infrastructuur. Met fixed releases kan in minder dan 5 minuten direct een werkend accesspoint prototype gerealiseerd worden en dat zelfs voor verschillende type accesspoints (mits daar openwrt images voor zijn)! Wel zou via custom gecompileerde releases het geheugen gebruik en processor belasting geoptimaliseerd kunnen worden door het weglaten van ongebruikte pakketten. Update, inmiddels is het ook al direct mogelijk om via AirOS software dat standaard al op Ubiquiti AP's aanwezig is een wpa2 enterprise met radius client functie maken (enkel openvpn ontbreekt)!
    5354
    54 Het !AccessPoint zal met multiSSID ingesteld worden en bridged al het internet verkeer van de beveiligde "eduroam" SSID naar een externe router en het verkeer van de open "ap.voorbeeld.wleiden.net" SSID via interne NAT/routing. TODO Deze laatste zou ook direct moeten bridgen naar de eth0/wan interface, maar daarvoor zijn momenteel de firewall regels te generiek??? en word deze extra bridge geblokkeerd door de br+ wildcard??? De eth0 interface met eigen ip word br-eth0 met eigen ip... hierdoor kan openvpn/rest de boel niet meer begrijpen? Wanneer dit lukt dan bridged deze bedraad het verkeer naar een Wireless Leiden node die een eigen Captive Portal en router/gateway draait hiermee kan de NAT/Routing en bijbehorende aanpassingen van het AP op de schop!
     55Het !AccessPoint zal met multiSSID ingesteld worden en bridged al het internet verkeer van de beveiligde "eduroam" SSID naar een externe router en het verkeer van de open "ap.voorbeeld.wleiden.net" SSID via interne NAT/routing of via een bridge. TODO Deze laatste zou ook direct moeten bridgen naar de eth0/wan interface, maar daarvoor zijn momenteel de firewall regels te generiek en word deze extra bridge geblokkeerd door de br+ wildcard en moet br-lan worden??? De eth0 interface met eigen ip word br-wan met eigen ip... hierdoor kan openvpn/rest de boel niet meer begrijpen? Het is waarschijnlijk de interface aanduiding in iopenvpn KLOPT? Wanneer dit lukt dan bridged deze bedraad het verkeer naar een Wireless Leiden node die een eigen Captive Portal en router/gateway draait hiermee kan de NAT/Routing en bijbehorende aanpassingen van het AP op de schop!
    5556
    5657==== 1.2a fixed OpenWRT release ====
     
    538539De huidige 5.5.4 Ubiquiti AirOS software maakt het mogelijk het AP direct als radius "client" te laten fungeren. Dit is handig voor snel testen of uitrollen van inpandige afgeschermde infrastructuur waarbij het encrypten van het radius en internet verkeer via openvpn niet nodig is! Het is zo eenvoudig dat je enkel na het resetten van het apparaat, hem als normaal AP configureert(vergeet AirMax niet uit te zetten!) dan geef je bij Wireless security geen WPA2-"PSK" maar "EAP" op. Direct verschijnt er een optie om een Authenticating radius server/proxy op te geven met IP:PORT:secret wanneer deze ingevuld worden is er direct al een werkend wpa2 enterprise AP oftwel eduroam! Verdere setup met NAT/Bridging/VLAN is wel aan te beleven maar moet nog uitgezocht worden.
    539540
    540 === 2 setup RadiusServer/Proxy  & gateway ===
     541=== 2 setup !Radius-Server/Proxy  & gateway ===
    541542Moet nog uitgezocht / getest worden, zie oud voorbeeld!!! Wel kan ik specifieke veranderingen van config bestanden en opties/parameters toevoegen aan de huidige setup! zoals openvpn server settings /usr/local/etc/rc.d opstart bestanden en parameters etc.
    542543
    543 ==== 2.1 Install FreeBSD 8.3 and services ====
     544==== 2.1a Install FreeBSD 8.3 and services ====
    544545TODO voltooid, oude handleiding geupdate maar zeer gebrekkig en functioneerd nog niet waarschijn firewall rules...
    545546
    546 ==== 2.2 Install debian 6 wheezy and services ====
     547==== 2.1b Install debian 6 wheezy and services ====
    547548TODO Inmiddels is er een op debian 6 wheezy gebasseerde release nagebouwd, deze werkte tijdelijk en moet nog uitgeschreven worden.
    548549
    549 === certnode sunfire uitzoeken ===
     550=== 3 certnode sunfire uitzoeken ===
     551Kan inloggen via public ssh keynop sunfire.wleiden.net kan daarinderdaad het script starten maar vervolgens kan deze niks vinden. Hoe maak ik dit lokaal na?
     552sudo eduroam-cert "ap-hostname"
    550553ping sunny.wleiden.net / 172.16.4.46
    551554Heeft huub destijds uitgevoerd! Waar en hoe dat plaatsvind is nog onduidelijk
     
    774777TODO:
    775778
    776 TODO
     779Veiligheid aspect, radius authenticatie over zelf tunnels als de clients...
     780
    777781TFTP without 15sec pen reset
    778782        default AIROS reboot into tftp mode parameter 5.5.4 mtd cat /proc/mtd