Changes between Version 43 and Version 44 of WikiStart

Timestamp:

May 5, 2013, 1:15:22 PM (13 years ago)

Author:

walter

Comment:

--

WikiStart

@@ -42 +42 @@
 6. internet?
 
+Wat niet behandeld gaat worden is het aanmaken van een user database/list voor de radius server, aangezien alle users extern via proxy geauthenticeerd worden en niet intern!
+
 Met deze middelen en een compleet voor zover mogelijk lineaire stap voor stap handleiding is een plug en play exploitatie van eduroam toegangspunten waar dan ook binnen het Wireless Leiden netwerk snel en eenvoudig te realiseren. Voor het opleveren van veel AP's (batches) met unieke instelligen zal er uiteindelijk een configuratie script volgen waarmee op basis van het MAC-adres van het AP een aantal unieke parameters meegegeven kunnen worden voor de configuratie: MultiSSID, hostname, kanaal, ipadres(bedraad/draadloos), etc... vergeet de unieke openvpn client certificaten niet, tevens zouden er per AP unieke client gegevens om met de radius-proxy/server te communiceren gemaakt kunnen worden.
 
-Door het gebruik van het opensource software [http://www.openwrt.org OpenWRT], [http://www.freebsd.org FREEBSD] en gerelateerde software projecten, is deze setup niet gelimiteerd aan een enkel merk en of type hardware. Een kleine aanpassing aan de configuratie bestanden zou een vereiste kunnen zijn voordat het op ander hardware platvorm werkt. Deze handleiding zal overigens alleen toegespitst zijn op Ubiquiti AP's zoals Bullet m2 HP/ Nano station/loco m2 en via-epia-m/alixboard als radiusproxy/server & gateway. Als uitgangssituatie om deze handleiding uit te voeren word ubuntu 12.04LTS AMD64 gebruikt!  
+Door het gebruik van het opensource software [http://www.openwrt.org OpenWRT], [http://www.freebsd.org FREEBSD] en gerelateerde software projecten, is deze setup niet gelimiteerd aan een enkel merk en of type hardware. Een kleine aanpassing aan de configuratie bestanden zou een vereiste kunnen zijn voordat het op ander hardware platvorm werkt. Deze handleiding zal overigens alleen toegespitst zijn op Ubiquiti AP's zoals Bullet m2 HP/ Nano station/loco m2 en via-epia-m/alixboard als radiusproxy/server & gateway. Als uitgangssituatie om deze handleiding uit te voeren word ubuntu 12.04LTS AMD64 gebruikt!
 
 === 1 setup eduroam !AccessPoints ===
@@ -114 +116 @@
 }}}
 
-For deploying huge quantity (batch(es)) of AP's the following settings are general but some may differ among !AccesPoints like: multiSSID,ipadress(wired/wireless),wifichannel,band(a/bg),hostname,etc. In the following config files those parts that makes the uniqueness will be coloured so its easier to identify and customize. Use the files from the backup you just made as a template, since the example config files which will follow after this paragraph are hardware-type/image specific! That means that my config files are specific for the Ubiquiti bullet2m hp, and for instance will not work on linksys broadcom based AP hardware(because wifi interfaces are configured using different names and parameters)! So only copy/paste change the needed parts, that differ with your templates!
+For deploying huge quantity (batch(es)) of AP's the following settings are general but some may differ among !AccesPoints like: multiSSID,ipadress(wired/wireless),wifichannel,band(a/bg),hostname,etc. In the following config files those parts that makes the uniqueness will be commented in the following style "#! <---" so its easier to identify and customize. Use the files from the backup you just made as a template for your own custom config, since the example config files which will follow after this paragraph are hardware-type/image specific! That means that my config files are specific for the Ubiquiti bullet2m hp 2,4ghz b/g, and for instance will not work on linksys broadcom based AP hardware (because wifi interfaces are configured using different names and parameters)! So only copy/paste change the needed parts, that differ with your templates!
 
 {{{
@@ -131 +133 @@
         option filterwin2k      0  # enable for dial on demand
         option localise_queries 1
-        option rebind_protection 1  # disable if upstream must serve RFC1918 addresses
+        option rebind_protection 1  #! disable if upstream must serve RFC1918 addresses <--- change to 0 if local dns for wan won't work
         option rebind_localhost 1  # enable for RBL checking and similar services
         #list rebind_domain example.lan  # whitelist RFC1918 responses for domains
@@ -148 +150 @@
         #list bogusnxdomain     '64.94.110.11'
 
-config dhcp lan
+config dhcp lan #! I doubt this one is even used... <---
         option interface        lan
         option start    100
@@ -158 +160 @@
         option ignore   1
 
-#comment!
-#config dhcp wlgst
-#        option interface        wlgst
-#        option start   5
-#       option limit    252
-#       option leasetime        1h
+#!Add extra dhcp-server for multiSSID hotspot if not bridging <--- 
+#!config dhcp wlgst
+#!        option interface        wlgst
+#!        option start  5
+#!      option limit    252
+#!      option leasetime        1h
 }}}
 
@@ -185 +187 @@
 config zone
         option name             wan
-        option network          'eth0' #change to wan
+        option network          'wan' #!was eth0 <---
         option input            REJECT
         option output           ACCEPT 
@@ -192 +194 @@
         option mtu_fix          1
 
-# Allow multissid wlgst accespoint
-#config zone
-#       option name             wlgst
-#       option input            REJECT
-#       option forward          REJECT
-#       option output           ACCEPT
-
-# Changing wan > eth0 made all these rules active!
-# Therefor no ssh access anymore from wan and lans is not available
+#! Allow multiSSID wlgst zone if not bridging <---
+#!config zone
+#!      option name             wlgst
+#!      option input            REJECT
+#!      option forward          REJECT
+#!      option output           ACCEPT
+
+# Changing eth0 > wan made all these rules active!
 # Allow SSH
 config rule
@@ -212 +213 @@
         option dest             wan
 
-# Allow wlgst to internet wan
-#config forwarding
-#       option src      wlgst
-#       option dest     wan
-
-# Allow wlgst  -> Router 
-# Client DNS queries ordinate from dynamic UDP ports (>1023) 
-#config         rule 
-#       option src              wlgst 
-#       option dest_port        53 
-#       option proto            tcpudp 
-#       option target           ACCEPT
-
-# Allow wlgst DHCP -> Router 
-# DHCP communication uses UDP ports 67-68 
-#config         rule 
-#       option src      wlgst 
-#       option src_port 67-68 
-#       option dest_port        67-68 
-#       option proto    udp 
-#       option target   ACCEPT
+#! Allow multiSSID wlgst to internet on wan <---
+#!config        forwarding
+#!      option src      wlgst
+#!      option dest     wan
+
+#! Allow multiSSID wlgst to DNS <---
+#! Client DNS queries ordinate from dynamic UDP ports (>1023) 
+#!config        rule 
+#!      option src              wlgst 
+#!      option dest_port        53 
+#!      option proto            tcpudp 
+#!      option target           ACCEPT
+
+#! Allow multiSSID wlgst to DHCP -> Router <---
+#! DHCP communication uses UDP ports 67-68 
+#!config        rule 
+#!      option src      wlgst 
+#!      option src_port 67-68 
+#!      option dest_port        67-68 
+#!      option proto    udp 
+#!      option target   ACCEPT
 
 # We need to accept udp packets on port 68,
@@ -314 +315 @@
         option netmask  255.0.0.0
 
-config interface eth0 #wan applies firewall rules
+#!this interface is wired to the Wireless Leiden infrastructure!
+config interface wan #!interface name wan vs eth0 applies firewall rules <---
         option ifname   eth0
-#       option type     bridge
-        option proto    static
-#       option proto    dhcp
-        option ipaddr   172.16.6.13
-        option netmask  255.255.255.248
-        option gateway  172.16.6.9
-        option dns      172.16.6.9      
+        option type     bridge #! use bridge to forward DHCP,DNS,captive portal,etc from WirelessLeiden node to 2nd multiSSID <--- 
+#       option proto    static #! Unique ip settings! <---
+        option proto    dhcp
+#       option ipaddr   172.16.6.13
+#       option netmask  255.255.255.248
+#       option gateway  172.16.6.9
+#       option dns      172.16.6.9      
         
 config interface lan
@@ -328 +330 @@
         option type     bridge
 
-#config interface wlgst
-#       option ifname   wlgst
-#       option type     bridge
-#       option proto    static
-#       option ipaddr   192.168.5.1
-#       option netmask  255.255.255.0
-}}}
+#!Add this interface if you NAT/Route the 2nd multiSSID internal <---
+#!config interface wlgst
+#!      option ifname   wlgst
+#!      option type     bridge
+#!      option proto    static
+#!      option ipaddr   192.168.5.1
+#!      option netmask  255.255.255.0
+}}}
+
 #/etc/config/system
 {{{
 config  system
-        option  hostname  eduroam-bullet #!Unique!
-        option  timezone  CET-1CEST,M3.5.0,M10.5.0/3
+        option  hostname  eduroam-bullet #!Unique name! <---
+        option  timezone  CET-1CEST,M3.5.0,M10.5.0/3 #!correct timezone <---
 
 config  timeserver ntp
-        list server     0.openwrt.pool.ntp.org
+        list server     pool.ntp.wleiden.net #! <---
         list server     1.openwrt.pool.ntp.org
         list server     2.openwrt.pool.ntp.org
@@ -352 +356 @@
 config wifi-device  radio0
         option type     mac80211
-        option channel  5
+        option channel  5 #! Unique channels must be set for multiple AP's at one site! <---
         option macaddr  MACADDRESS
-        option hwmode   11g
+        option hwmode   11bg #when using 5ghz vs 2,4ghz '11na' must be set! <--- 
         option htmode   HT20
         list ht_capab   SHORT-GI-40
@@ -361 +365 @@
         list ht_capab   DSSS_CCK-40
 
+#! this interface is bridged to the vpn tunnel!
+#! option server/key are credentials for radius client 
 config wifi-iface
         option device   radio0
@@ -368 +374 @@
         option ssid     eduroam
         option encryption wpa2
-        option server   192.168.4.1
-        option key      somesecret
+        option server   192.168.4.1 #! Location of radius-server/proxy behind the tunnel 1812/1813 <---
+        option key      somesecret #! Radius client password to connect to the radiusserver <---
 
 config wifi-iface
         option device   radio0
-        option network  wan #wlgst
-        option bridge   br-wan
+        option network  wan #! use 'wlgst' when not bridging <---
+        option bridge   br-wan #! comment this if using 'wlgst'!
         option mode     ap
-        option ssid     ap.haaswijk.wleiden.test
+        option ssid     ap.wlgst-bridge.wleiden.test #! Unique 2nd/virtual multiSSID! <---
         option encryption none
 }}}
@@ -408 +414 @@
 PID=/var/run/sysntpd.pid
 
+#! werkt niet achter een nat see dns binding, dirty fix /etc/rc.local ? <---
 GATEWAY=$(netstat -rn | awk '/(0.0.0.0.*G)/ { print $2 }')
 MAINSER="172.16.4.46"
@@ -445 +452 @@
 iptables -I FORWARD -o tap+ -j ACCEPT
 
-iptables -I INPUT -i br-lan -j ACCEPT   #br+ 
-iptables -I FORWARD -i br-lan -j ACCEPT #br+
-iptables -I OUTPUT -o br-lan -j ACCEPT  #br+
-iptables -I FORWARD -o br-lan -j ACCEPT #br+
+iptables -I INPUT -i br-lan -j ACCEPT   #! old 'br+' wildcard was to general? 
+iptables -I FORWARD -i br-lan -j ACCEPT 
+iptables -I OUTPUT -o br-lan -j ACCEPT  
+iptables -I FORWARD -o br-lan -j ACCEPT 
 
 iptables -t nat -A POSTROUTING -o br-lan -j MASQUERADE
@@ -457 +464 @@
 ::sysinit:/etc/init.d/rcS S boot
 ::shutdown:/etc/init.d/rcS K stop
-#tts/0::askfirst:/bin/ash --login
+#tts/0::askfirst:/bin/ash --login #!richard commented these 3...
 #ttyS0::askfirst:/bin/ash --login
 #tty1::askfirst:/bin/ash --login
@@ -466 +473 @@
 # Put your custom commands here that should be executed once
 # the system init finished. By default this file does nothing.
+#! This fixed the entropy not enough error for wpa/openvpn key? <---
 if [ -L "/dev/random" ];
 then
@@ -475 +483 @@
 fi
 /bin/sleep 5
+#! This fixed date&time to resolve behind nat? <---
 /usr/sbin/ntpd -q -p pool.ntp.wleiden.net
 exit 0
@@ -500 +509 @@
 while [ true ]; do
   if [ -z "$(pid)" ]; then
-    ifconfig br-wan | grep -q inet\  || udhcpc #eth0
+    ifconfig br-wan | grep -q inet\  || udhcpc #! use 'eth0' in nat-wlgst multiSSID mode! <---
     /etc/init.d/sysntpd start > /dev/null
     /usr/sbin/openvpn $@
@@ -509 +518 @@
 
 ##TODO openvpn key/certificates
-Skip to section 3 of this howto and when you have a tar file with keys comeback ;-)
+Skip to section 3 of this howto, when you have a *.tar file with keys&config comeback ;-)
 
 # upload openvpn config and keys (keys.tar)
@@ -562 +571 @@
 Kan inloggen via public ssh key op sunny/sunfire.wleiden.net kan daarinderdaad het script starten maar vervolgens kan deze niks vinden. Lijkt erop dat de oude server certificaten niet aanwezig zijn en er kunnen dan geen afgeleide client certifcaten gemaakt worden tevens missen er config bestanden, dus alles moet opnieuw? Hoe maak ik dit lokaal na?
 Namaken: https://help.ubuntu.com/community/OpenVPN
-Een easyrsa "server" certificate aanmaken, in de handleiding i.p.v. admin group die ontbreekt sudo kiezen. Tevens locatie van het cn bestand fixen met symlink!
+Een easyrsa "server" certificate aanmaken, in de handleiding i.p.v. "admin" group die ontbreekt "sudo" kiezen. Tevens locatie van het cn bestand fixen met symlink!