Changes between Version 42 and Version 43 of WikiStart

Timestamp:

May 3, 2013, 11:22:40 PM (12 years ago)

Author:

walter

Comment:

--

WikiStart

@@ -29 +29 @@
 *Ontwikkelaars van Wireless Leiden zelf kunnen de roaming eigenschap van deze infrastuctuur alleen gebruiken, testen en ontwikkelen wanneer ze beschikken over een geldig accountsnaam en wachtwoord dat geleverd is door een aan eduroam/surf foundation gelieerde identity provider. Als voorbeeld Universiteit Leiden of Hogeschool Leiden. Wel zou er voor hen via een interne identity provider van Wireless Leiden zelf een account gemaakt kunnen worden, maar omdat deze niet centraal gekoppeld is werkt dit niet wanneer ontwikkelaars van het Wireless Leiden eduroam netwerk naar het Universiteits eduroam overgaan. Het Universiteits eduroam netwerk kan namelijk via de centrale server niet bij de onbekende Wireless Leiden interne identity provider komen en zal deze mensen niet op zijn netwerk toelaten. Hiermee word direct duidelijk dat een wederzijdse samenwerking nodig is om het onbegrensde karakter eduroam(ing) te laten werken en beschermen! Een andere mogelijkheid zou het aanvragen van een test-account bij de surf foundation zijn. 
 
-= NEW HOWTO =
 == technische en organisatorische benodigdheden ==
 
@@ -35 +34 @@
 1. "!AccesPoints" meerdere (types) die als "eduroam" multiSSID hotspot zullen fungeren via OpenWRT.
 2. "Radius-!Server/Proxy & gateway" een enkele centraal gepositioneerde server via FREEBSD. 
-De verbinding tussen deze twee typen installaties word via OpenVPN tunnels beveiligd en geencrypt opgezet waardoor het mogelijk onveilige karakter van het open Wireless Leiden netwerk vervalt. Naast deze hardware matige en software matige eisen zijn er nog vier andere organisatorische eisen nodig waaronder:
+De AP's kunnen vrij en verspreid door de stad op de Wireless Leiden infrastructuur aangekoppeld worden, bij voorkeur direct op een node! De Radius-!Server/Proxy & gateway kan het best bij een onderwijs instelling geplaatst worden waar deze enerzijds gekoppeld is aan een internet gateway en anderzijds aan de infrastructuur van Wireless Leiden. De verbinding tussen deze twee typen installaties word via OpenVPN tunnels beveiligd en geencrypt opgezet waardoor het mogelijk onveilige karakter van het open Wireless Leiden netwerk vervalt. Naast deze hardware matige en software matige eisen zijn er nog vier andere organisatorische eisen nodig waaronder:
 1. toegang/inlog-gegevens tot de centrale eduroam/surfnet/surf-foundation identityprovider koppel server.
 2. ip whitelisting voor toegang tot die server.
@@ -43 +42 @@
 6. internet?
 
-Met deze middelen en een compleet voor zover mogelijk lineaire stap voor stap handleiding is een plug en play exploitatie van eduroam toegangspunten waar dan ook binnen het Wireless Leiden netwerk snel en eenvoudig te realiseren. Voor het opleveren van veel AP's (batches) met unieke instelligen zal er uiteindelijk een configuratie script volgen waarmee op basis van het MAC-adres van het AP een aantal unieke parameters meegegeven kunnen worden voor de configuratie: MultiSSIDname, hostname, kanaal, ipadres(bedraad/draadloos), etc... vergeet de unieke openvpn client certificaten niet, tevens zouden er per AP unieke client gegevens om met de radius-proxy/server te communiceren gemaakt kunnen worden.
+Met deze middelen en een compleet voor zover mogelijk lineaire stap voor stap handleiding is een plug en play exploitatie van eduroam toegangspunten waar dan ook binnen het Wireless Leiden netwerk snel en eenvoudig te realiseren. Voor het opleveren van veel AP's (batches) met unieke instelligen zal er uiteindelijk een configuratie script volgen waarmee op basis van het MAC-adres van het AP een aantal unieke parameters meegegeven kunnen worden voor de configuratie: MultiSSID, hostname, kanaal, ipadres(bedraad/draadloos), etc... vergeet de unieke openvpn client certificaten niet, tevens zouden er per AP unieke client gegevens om met de radius-proxy/server te communiceren gemaakt kunnen worden.
 
 Door het gebruik van het opensource software [http://www.openwrt.org OpenWRT], [http://www.freebsd.org FREEBSD] en gerelateerde software projecten, is deze setup niet gelimiteerd aan een enkel merk en of type hardware. Een kleine aanpassing aan de configuratie bestanden zou een vereiste kunnen zijn voordat het op ander hardware platvorm werkt. Deze handleiding zal overigens alleen toegespitst zijn op Ubiquiti AP's zoals Bullet m2 HP/ Nano station/loco m2 en via-epia-m/alixboard als radiusproxy/server & gateway. Als uitgangssituatie om deze handleiding uit te voeren word ubuntu 12.04LTS AMD64 gebruikt!  
@@ -51 +50 @@
 Met deze flexibele fundering is het doel om accesspoints die maar in sumiere opzichten van elkaar te verschillen zo gemakkelijk en snel mogelijk in grote hoeveelheden geautomatiseerd te kunnen configureren. Het verschil tussen de accesspoints komt deels uit hoek van beveiliging, deels uit de hoek van locatie en natuurlijk de toepassing. Als een enkel accesspoint gehackt is kan deze los van de andere accesspoint toegang tot de radius proxy ontzegt worden (door zijn openvpn sleutel in te trekken) daardoor zijn de andere accesspoints nog operationeel. Als toepassing is het handig dat het eduroam accesspoint op de burcht in Leiden als multi-SSID "ap.burcht.wleiden.net" heet en de eduroam accesspoint bij de Hortus Botanicus als multi-SSID "ap.hortusbotanicus.wleiden.net". Als toepassing kan het wenselijk zijn kleine / goedkopere AP's te monteren op plaatsen waar grote AP's met losse sector antennes niet mogelijk zijn en natuurlijk niet te vergeten de beschikbare wifi kanalen 1,6,11. Voor ieder AP zullen unieke openvpn certifacten gebruikt worden. Deze voorbeelden duiden erop dat er toch kleine specifieke wijzigingen tussen de !AccessPoints configuratie bestanden wenselijk zijn. 
 
-In tegenstelling tot de oude handleiding(onderaan deze pagina) word momenteel gebruik gemaakt van een fixed OpenWRT releases waaronder Backfire 10.03.1 of zelfs Atitude Adjustment 12.0.9 final. Dit niet alleen omdat het bouwen van een custombuild onnodig is geworden omdat "openvpn" inmiddels als pakket direct gebruiksklaar en beschikbaar is voor de 10.03.1 / 12.09 releases. Maar vooral omdat compileren van een openwrt build omgeving en image erg veel tijd, moeite en veel variabelen introduceert in een al/nog experimentele infrastructuur. Met fixed releases kan in minder dan 5 minuten direct een werkend accesspoint prototype gerealiseerd worden en dat zelfs voor verschillende type accesspoints (mits daar openwrt images voor zijn)! Wel zou via custom gecompileerde releases het geheugen gebruik en processor belasting geoptimaliseerd kunnen worden door het weglaten van ongebruikte pakketten. Update, inmiddels is het ook al direct mogelijk om via AirOS software dat standaard al op Ubiquiti AP's aanwezig is een wpa2 enterprise met radius client functie maken (enkel openvpn ontbreekt)!
-
-Het !AccessPoint zal met multiSSID ingesteld worden en bridged al het internet verkeer van de beveiligde "eduroam" SSID naar een externe router en het verkeer van de open "ap.voorbeeld.wleiden.net" SSID via interne NAT/routing of via een bridge. TODO Deze laatste zou ook direct moeten bridgen naar de eth0/wan interface, maar daarvoor zijn momenteel de firewall regels te generiek en word deze extra bridge geblokkeerd door de br+ wildcard en moet br-lan worden??? De eth0 interface met eigen ip word br-wan met eigen ip... hierdoor kan openvpn/rest de boel niet meer begrijpen? Het is waarschijnlijk de interface aanduiding in iopenvpn KLOPT? Wanneer dit lukt dan bridged deze bedraad het verkeer naar een Wireless Leiden node die een eigen Captive Portal en router/gateway draait hiermee kan de NAT/Routing en bijbehorende aanpassingen van het AP op de schop!
+In tegenstelling tot de oude handleiding(onderaan deze pagina) word momenteel gebruik gemaakt van een "fixed" OpenWRT releases waaronder Backfire 10.03.1 of zelfs Atitude Adjustment 12.0.9 final. Dit niet alleen omdat het bouwen van een custombuild onnodig is geworden omdat "openvpn" inmiddels als pakket direct gebruiksklaar en beschikbaar is voor de 10.03.1 / 12.09 releases. Maar vooral omdat compileren van een openwrt image & build omgeving erg veel tijd, moeite en veel variabelen introduceert in een al/nog experimentele infrastructuur. Met fixed releases kan in minder dan 5 minuten direct een werkend accesspoint prototype gerealiseerd worden en dat zelfs voor verschillende type accesspoints (mits daar openwrt images voor zijn)! Wel zou via custom gecompileerde releases het geheugen gebruik en processor belasting geoptimaliseerd kunnen worden door het weglaten van ongebruikte pakketten. Update, inmiddels is het ook al direct mogelijk om via AirOS software dat standaard al op Ubiquiti AP's aanwezig is een wpa2 enterprise met radius client functie maken (enkel openvpn ontbreekt)!
+
+Het !AccessPoint zal met multiSSID ingesteld worden en bridged al het wireless verkeer van de beveiligde "eduroam" SSID via een openvpn tunnel naar de "radius-server/proxy & gateway". Het wireless verkeer van de open "ap.voorbeeld.wleiden.net" SSID kan via interne NAT/routing afgehandeld worden of via een bridge direct een Wireless Leiden node in die reeds met captive portal en juiste routing is ingericht. TODO Deze laatste zou ook direct moeten bridgen naar de eth0/wan interface, maar daarvoor zijn momenteel de firewall(/etc/firewall /etc/config/firewall) regels te generiek en word deze extra bridge geblokkeerd door de br+ wildcard en moet br-lan worden??? De eth0 interface met eigen ip word br-wan met eigen ip... hierdoor kan openvpn/rest de boel niet meer begrijpen? Het is waarschijnlijk de interface aanduiding in iopenvpn KLOPT? Wanneer dit lukt dan bridged deze bedraad het verkeer naar een Wireless Leiden node die een eigen Captive Portal en router/gateway draait hiermee kan de NAT/Routing en bijbehorende aanpassingen van het AP op de schop!
 
 ==== 1.2a fixed OpenWRT release ====
 
-The following shell commands will first locally download the OpenWRT "Backfire" image and its packages, than flash the image, configure its packages, backup original config files so you must use them as actual template config files for your own custom setup! TODO Instead of the Backfire 10.03.1 release, Attitude Adjustment 12.09 can be used, just change the download links according to your needs for release and hardware image!
+The following shell commands will first locally download the OpenWRT "Backfire" image and its packages, than flash the image, configure its packages, backup original config files so you must use them as actual template config files for your own custom setup! TODO Instead of the Backfire 10.03.1 release, Attitude Adjustment 12.09 can be used, just change the download links according to your needs!
 
 {{{
@@ -159 +158 @@
         option ignore   1
 
-config dhcp wlgst
-        option interface        wlgst
-        option start    5
-        option limit    252
-        option leasetime        1h
+#comment!
+#config dhcp wlgst
+#        option interface        wlgst
+#        option start   5
+#       option limit    252
+#       option leasetime        1h
 }}}
 
@@ -185 +185 @@
 config zone
         option name             wan
-        option network          'eth0'
+        option network          'eth0' #change to wan
         option input            REJECT
         option output           ACCEPT 
@@ -192 +192 @@
         option mtu_fix          1
 
-# Allow multiple ssid accespoint
-config zone
-        option name             wlgst
-        option input            REJECT
-        option forward          REJECT
-        option output           ACCEPT
+# Allow multissid wlgst accespoint
+#config zone
+#       option name             wlgst
+#       option input            REJECT
+#       option forward          REJECT
+#       option output           ACCEPT
 
 # Changing wan > eth0 made all these rules active!
@@ -212 +212 @@
         option dest             wan
 
-# Allow wlgst to internet wan/eth0?
-config  forwarding
-        option src      wlgst
-        option dest     wan
+# Allow wlgst to internet wan
+#config forwarding
+#       option src      wlgst
+#       option dest     wan
 
 # Allow wlgst  -> Router 
 # Client DNS queries ordinate from dynamic UDP ports (>1023) 
-config  rule 
-        option src              wlgst 
-        option dest_port        53 
-        option proto            tcpudp 
-        option target           ACCEPT
-
-# Allow DHCP Guest -> Router 
+#config         rule 
+#       option src              wlgst 
+#       option dest_port        53 
+#       option proto            tcpudp 
+#       option target           ACCEPT
+
+# Allow wlgst DHCP -> Router 
 # DHCP communication uses UDP ports 67-68 
-config  rule 
-        option src      wlgst 
-        option src_port 67-68 
-        option dest_port        67-68 
-        option proto    udp 
-        option target   ACCEPT
+#config         rule 
+#       option src      wlgst 
+#       option src_port 67-68 
+#       option dest_port        67-68 
+#       option proto    udp 
+#       option target   ACCEPT
 
 # We need to accept udp packets on port 68,
@@ -314 +314 @@
         option netmask  255.0.0.0
 
-config interface eth0
+config interface eth0 #wan applies firewall rules
         option ifname   eth0
 #       option type     bridge
         option proto    static
+#       option proto    dhcp
         option ipaddr   172.16.6.13
         option netmask  255.255.255.248
@@ -327 +328 @@
         option type     bridge
 
-config interface wlgst
+#config interface wlgst
 #       option ifname   wlgst
 #       option type     bridge
-        option proto    static
-        option ipaddr   192.168.5.1
-        option netmask  255.255.255.0
+#       option proto    static
+#       option ipaddr   192.168.5.1
+#       option netmask  255.255.255.0
 }}}
 #/etc/config/system
 {{{
 config  system
-        option  hostname  eduroam-bullet
+        option  hostname  eduroam-bullet #!Unique!
         option  timezone  CET-1CEST,M3.5.0,M10.5.0/3
 
@@ -372 +373 @@
 config wifi-iface
         option device   radio0
-        option network  wlgst
+        option network  wan #wlgst
+        option bridge   br-wan
         option mode     ap
         option ssid     ap.haaswijk.wleiden.test
@@ -443 +445 @@
 iptables -I FORWARD -o tap+ -j ACCEPT
 
-iptables -I INPUT -i br+ -j ACCEPT
-iptables -I FORWARD -i br+ -j ACCEPT
-iptables -I OUTPUT -o br+ -j ACCEPT
-iptables -I FORWARD -o br+ -j ACCEPT
+iptables -I INPUT -i br-lan -j ACCEPT   #br+ 
+iptables -I FORWARD -i br-lan -j ACCEPT #br+
+iptables -I OUTPUT -o br-lan -j ACCEPT  #br+
+iptables -I FORWARD -o br-lan -j ACCEPT #br+
 
 iptables -t nat -A POSTROUTING -o br-lan -j MASQUERADE
@@ -479 +481 @@
 The following files need to be created but are common on all ap's that are used for this setup.
 
-#/sbin/wifi-update
+#/sbin/wifi-update TODO TEST!!!
 {{{
 #!/bin/sh
@@ -498 +500 @@
 while [ true ]; do
   if [ -z "$(pid)" ]; then
-    ifconfig eth0 | grep -q inet\  || udhcpc
+    ifconfig br-wan | grep -q inet\  || udhcpc #eth0
     /etc/init.d/sysntpd start > /dev/null
     /usr/sbin/openvpn $@
@@ -507 +509 @@
 
 ##TODO openvpn key/certificates
+Skip to section 3 of this howto and when you have a tar file with keys comeback ;-)
+
 # upload openvpn config and keys (keys.tar)
 # run this script from local pc shell
@@ -512 +516 @@
 
 ## install config files to correct location
-# only network and system may be specific
+# 
 scp -r customize/ root@192.168.1.100:/
 
@@ -537 +541 @@
 
 ==== 1.2b "quick&dirty" Ubiquiti AirOS ====
-De huidige 5.5.4 Ubiquiti AirOS software maakt het mogelijk het AP direct als radius "client" te laten fungeren. Dit is handig voor snel testen of uitrollen van inpandige afgeschermde infrastructuur waarbij het encrypten van het radius en internet verkeer via openvpn niet nodig is! Het is zo eenvoudig dat je enkel na het resetten van het apparaat, hem als normaal AP configureert(vergeet AirMax niet uit te zetten!) dan geef je bij Wireless security geen WPA2-"PSK" maar "EAP" op. Direct verschijnt er een optie om een Authenticating radius server/proxy op te geven met IP:PORT:secret wanneer deze ingevuld worden is er direct al een werkend wpa2 enterprise AP oftwel eduroam! Verdere setup met NAT/Bridging/VLAN is wel aan te beleven maar moet nog uitgezocht worden.
-
-=== 2 setup !Radius-Server/Proxy  & gateway ===
+De huidige 5.5.4 Ubiquiti AirOS software maakt het mogelijk het AP direct als radius "client" te laten fungeren. Dit is handig voor snel testen of uitrollen van inpandige afgeschermde infrastructuur waarbij het encrypten van het radius en internet verkeer via openvpn niet nodig is! Het is zo eenvoudig dat je enkel na het resetten van het apparaat, hem als normaal AP configureert(vergeet AirMax niet uit te zetten!) dan geef je bij Wireless security geen WPA2-"PSK" maar "EAP" op. Direct verschijnt er een optie om een Authenticating radius server/proxy op te geven met IP:PORT:secret wanneer deze ingevuld worden is er direct al een werkend wpa2 enterprise AP oftwel eduroam! Verdere setup met NAT/Bridging/VLAN is wel aan te bevelen maar moet nog uitgezocht worden.
+
+=== 2 setup Radius-!Server/Proxy  & gateway ===
 Moet nog uitgezocht / getest worden, zie oud voorbeeld!!! Wel kan ik specifieke veranderingen van config bestanden en opties/parameters toevoegen aan de huidige setup! zoals openvpn server settings /usr/local/etc/rc.d opstart bestanden en parameters etc. 
 
@@ -545 +549 @@
 TODO voltooid, oude handleiding geupdate maar zeer gebrekkig en functioneerd nog niet waarschijn firewall rules...
 
-==== 2.1b Install debian 6 wheezy and services ====
+==== 2.1b Install debian 6 wheezy/squeeze and services ====
 TODO Inmiddels is er een op debian 6 wheezy gebasseerde release nagebouwd, deze werkte tijdelijk en moet nog uitgeschreven worden.
+download netiso mini.iso dd usb stick
+#tasksel > ssh server + normal tools?
+#postinstall
+apt-get update
+apt-get install subversion openvpn isc-dhcp-server freeradius
+
+Voornamelijk de config van raddb helemaal ombouwen omdat alle parameters voor FREEBSD zijn! dan nog een iptable edit doen en dan deed die het???
 
 === 3 certnode sunfire uitzoeken ===
-Kan inloggen via public ssh keynop sunfire.wleiden.net kan daarinderdaad het script starten maar vervolgens kan deze niks vinden. Hoe maak ik dit lokaal na?
-sudo eduroam-cert "ap-hostname"
-ping sunny.wleiden.net / 172.16.4.46
-Heeft huub destijds uitgevoerd! Waar en hoe dat plaatsvind is nog onduidelijk
+Kan inloggen via public ssh key op sunny/sunfire.wleiden.net kan daarinderdaad het script starten maar vervolgens kan deze niks vinden. Lijkt erop dat de oude server certificaten niet aanwezig zijn en er kunnen dan geen afgeleide client certifcaten gemaakt worden tevens missen er config bestanden, dus alles moet opnieuw? Hoe maak ik dit lokaal na?
+Namaken: https://help.ubuntu.com/community/OpenVPN
+Een easyrsa "server" certificate aanmaken, in de handleiding i.p.v. admin group die ontbreekt sudo kiezen. Tevens locatie van het cn bestand fixen met symlink!
+
+
+Daarna kan je easyrsa "client" certificate aanmaken, enige opmerking daar is dat je KEY_CN=client voor het commando plaatst anders database error. Nu in de oude trend kun je het eduroam-cert script aanpassen en benodigde (geupdate)config bestanden in map key's plaatsen en daarin een map met packages aanmaken. Wanneer je dan het script draait maakt die inderdaad een tar bestand met alle instellingen.
+
+TODO Verzin leuke manier om dit in een batch workflow voor veel AP's clients in te passen... denken we vanuit dit concept met tar bestand of moeten we iets maken dat meteen meedere parameters zoals multiSSID ip-adres hostname wifichannel etc meeneemt op basis van MAC adres? Nog uitzoeken welk deel er naar de server moet 4 bestanden ca dh1024 server.crt/key?
 
 = Old HOWTO =