Changes between Version 45 and Version 46 of WikiStart

Timestamp:

May 5, 2013, 3:05:20 PM (12 years ago)

Author:

walter

Comment:

--

WikiStart

@@ -19 +19 @@
 
 == Betrokkenheid van Wireless Leiden? ==
+
+TODO geschiedenis toevoegen?
 
 De betekenis en werkwijze van eduroam voor dit Wireless Leiden project is vanuit een "aanbieders" perspectief. Daarbij zal voornamelijk de onderliggende technische werking van de infrastructuur om eduroam accesspoints (voor gebruikers) te realiseren ter sprake komen.  
@@ -24 +26 @@
 Als partieel serviceprovider koppelt Wireless Leiden eduroam gebruikers automatisch en beveiligd door aan de daarvoor aangewezen (onderwijs)netwerken. Een onderwijsinstelling vervult vaak meerdere rollen binnen het eduroam project inclusief internet-gateway, maar Wireless Leiden beperkt zich puur tot de ondersteunende koppeling en integratie van deze diensten.
 
-Het unieke aan dit project is niet het scheiden van de identity/service provider eigenschap, maar de integratie van de verdeelde diensten over het onafhankelijk en "open" netwerk van Wireless Leiden dat zich buiten deur huisvest.
+Het unieke aan dit project is niet het scheiden van de identity/service provider eigenschap, maar de integratie van de verdeelde diensten over het onafhankelijk en "open" netwerk van Wireless Leiden dat zich buiten de deur huisvest.
 Dit maakt het exploiteren van eduroam draadloze dekking via het Wireless Leiden netwerk in publieke ruimte niet alleen eenvoudig, flexibel en betaalbaar maar kan dat zelfs op stadsniveau! De huidige implementatie is een win-win situatie voor betrokken partijen, door de huidige multi SSID techniek neemt zowel de dekking van het eduroam netwerk van een (sponserende) onderwijsinstelling als het netwerk van Wireless Leiden toe. Dit in tegenstelling tot de vaak beperkt inpandige exploitatie door onderwijsinstellingen van hun eigen geisoleerde fysieke en gesloten infrastructuur, die zich gemakkelijk door het graven/leggen van dure kabelverbindingen laat uitstellen of zelfs afstellen.
 
@@ -91 +93 @@
 # when blinking red/green the reset button can be released
 # the device is now in tftp mode
-# todo get in tftp without reset button... but via triggering mtd?
-
-## use / install tftpclient utility to flash the openwrt image
+# todo get in tftp without reset button... via triggering mtd in AirOS?
+
+## use tftpclient utility to flash the openwrt image
 tftp 192.168.1.20
         binary
@@ -120 +122 @@
 {{{
 ## create folder structure for customized config files!
+mkdir -p customize/etc/openvpn
 mkdir -p customize/etc/config
 mkdir -p customize/etc/init.d
 mkdir -p customize/sbin
 mkdir -p customize/usr/sbin
+
+##copy/make files to use as template!
+cp backup/etc/config/dhcp customize/etc/config/
+cp backup/etc/config/firewall customize/etc/config/
+cp backup/etc/config/network customize/etc/config/
+cp backup/etc/config/system customize/etc/config/
+cp backup/etc/config/wireless customize/etc/config/
+
+cp backup/etc/init.d/openvpn customize/etc/config/
+cp backup/etc/init.d/sysntpd customize/etc/config/
+
+cp backup/etc/firewall.user customize/etc/config/
+cp backup/etc/inittab customize/etc/config/
+cp backup/etc/rc.local customize/etc/config/
+
+touch customize/etc/sbin/wifi-update
+touch customize/usr/sbin/iopenvpn
+
+## adjust your template files using the following examples!
 }}}
 
@@ -133 +155 @@
         option filterwin2k      0  # enable for dial on demand
         option localise_queries 1
-        option rebind_protection 1  #! disable if upstream must serve RFC1918 addresses <--- change to 0 if local dns for wan won't work
+        option rebind_protection 1  #! disable if upstream must serve RFC1918 addresses <--- change to 0 if local dns "wleiden.net" won't resolve
         option rebind_localhost 1  # enable for RBL checking and similar services
         #list rebind_domain example.lan  # whitelist RFC1918 responses for domains
@@ -316 +338 @@
 
 #!this interface is wired to the Wireless Leiden infrastructure!
-config interface wan #!interface name wan vs eth0 applies firewall rules <---
+config interface wan #!interface name wan vs eth0 applies /etc/config/firewall rules <---
         option ifname   eth0
         option type     bridge #! use bridge to forward DHCP,DNS,captive portal,etc from WirelessLeiden node to 2nd multiSSID <--- 
-#       option proto    static #! Unique ip settings! <---
         option proto    dhcp
-#       option ipaddr   172.16.6.13
-#       option netmask  255.255.255.248
-#       option gateway  172.16.6.9
-#       option dns      172.16.6.9      
+        option peerdns  172.16.6.9 #! if dhcp is used, local dns wleiden.net resolve fix?<---
+#       option proto    static #! Unique static ip vs dhcp! <---
+#       option ipaddr   172.16.6.13 #! Unique ip settings differ! <---
+#       option netmask  255.255.255.248 #! Unique ip settings differ! <---
+#       option gateway  172.16.6.9 #! Unique ip settings differ! <---
+#       option dns      172.16.6.9 #! Unique ip settings differ! <---    
         
 config interface lan
@@ -330 +353 @@
         option type     bridge
 
-#!Add this interface if you NAT/Route the 2nd multiSSID internal <---
+#!Add this interface if you internally NAT/Route the 2nd multiSSID instead of bridge <---
 #!config interface wlgst
 #!      option ifname   wlgst
@@ -342 +365 @@
 {{{
 config  system
-        option  hostname  eduroam-bullet #!Unique name! <---
-        option  timezone  CET-1CEST,M3.5.0,M10.5.0/3 #!correct timezone <---
+        option  hostname  eduroam-bullet #!Unique name differ! <---
+        option  timezone  CET-1CEST,M3.5.0,M10.5.0/3 #!correct timezone Amsterdam Netherlands <---
 
 config  timeserver ntp
-        list server     pool.ntp.wleiden.net #! <---
+        list server     pool.ntp.wleiden.net #! WirelessLeiden local ntp server <---
         list server     1.openwrt.pool.ntp.org
         list server     2.openwrt.pool.ntp.org
@@ -354 +377 @@
 #/etc/config/wireless
 {{{
-config wifi-device  radio0
-        option type     mac80211
-        option channel  5 #! Unique channels must be set for multiple AP's at one site! <---
-        option macaddr  MACADDRESS
+config wifi-device  radio0 #! names and config parameters are different for wifi architectures, ar71xx,brcm47xx,x86,etc <---
+        option type     mac80211 
+        option channel  5 #! Unique channels must be set since multiple AP's at one site differs 1,6,11! <---
+        option macaddr  MACADDRESS # this will be set by another script, leave it alone!!! <---
         option hwmode   11bg #when using 5ghz vs 2,4ghz '11na' must be set! <--- 
         option htmode   HT20
@@ -372 +395 @@
         option bridge   br-lan
         option mode     ap
-        option ssid     eduroam
+        option ssid     eduroam #! its all about this one!!!<---
         option encryption wpa2
         option server   192.168.4.1 #! Location of radius-server/proxy behind the tunnel 1812/1813 <---
@@ -488 +511 @@
 }}}
 
-The following files need to be created but are common on all ap's that are used for this setup.
-
-#/sbin/wifi-update TODO TEST!!!
+
+#/sbin/wifi-update #test create yourself
 {{{
 #!/bin/sh
@@ -499 +521 @@
 }}}
 
-#/usr/sbin/iopenvpn
+#/usr/sbin/iopenvpn #create yourself
 {{{
 #!/bin/sh
@@ -517 +539 @@
 }}}
 
-##TODO openvpn key/certificates
-Skip to section 3 of this howto, when you have a *.tar file with keys&config comeback ;-)
-
-# upload openvpn config and keys (keys.tar)
+Setup openvpn key/certificates/config for the AP, Skip to section 3 of this howto, when you have a *.tar file with keys&config comeback ;-)
+
+{{{
+## put openvpn config and keys in customize folder!
 tar -xf $nameofyour.tar
-cp keys/* etc/openvpn/ 
-
-## install config files to correct location
-# 
+cp keys/* customize/etc/openvpn/
+
+## copy/install customized template to AP 
 scp -r customize/ root@192.168.1.100:/
-
-## use ssh to configure final settings
+}}}
+
+Finnaly use ssh again to configure final settings
+{{{
 ssh root@192.168.1.20
 
-## openvpn specific config
+## enable openvpn
+chmod +x /usr/sbin/iopenvpn
 chmod +x /etc/openvpn/up.sh
 /etc/init.d/openvpn enable
 
-## activate wifi to add macadress to config file
+
+
+## activate wifi to add MACadress to /etc/config/wireless file
 /sbin/wifi stop
 #/sbin/wifi start
@@ -547 +573 @@
 reboot;exit
 
+## done
+#check your working "eduroam" accesspoint!
 }}}
 
@@ -568 +596 @@
 Voornamelijk de config van raddb helemaal ombouwen omdat alle parameters voor FREEBSD zijn! dan nog een iptable edit doen en dan deed die het???
 
-=== 3 certnode sunfire uitzoeken ===
+=== 3 certnode ===
+Voor het functioneren van openvpn waaronder beveiligen en herkennen van server en unieke clients word easy-rsa gebruikt. Het idee is om op een vertrouwde permanente machine "certnode" een permanente opzet te maken waar een openvpn server certificate voor de radius-server/proxy word aangemaakt, dat weer de basis zal vormen voor client certificaten voor de verschillende accesspoints. Het eerste gebeurt eenmalig en zal lokaal op de certnode bewaart moeten blijven, het tweede gebeurt per op te leveren unieke AP waar er meerdere van zullen zijn. Het server certificaat + openvpn settings zal eenmalig van de certnode op de radius-server/proxy geplaatst worden. De unieke client certificaten worden "per AP" eenmalig op de certnode aangemaakt en vervolgens eenmalig per uniek AP geflashed! Hierdoor zijn de AP's individueel te volgen en te beheren om toegang tot the radius-server/proxy te ontzeggen.
+
 Kan inloggen via public ssh key op sunny/sunfire.wleiden.net kan daarinderdaad het script starten maar vervolgens kan deze niks vinden. Lijkt erop dat de oude server certificaten niet aanwezig zijn en er kunnen dan geen afgeleide client certifcaten gemaakt worden tevens missen er config bestanden, dus alles moet opnieuw? Hoe maak ik dit lokaal na?
 Namaken: https://help.ubuntu.com/community/OpenVPN
 Een easyrsa "server" certificate aanmaken, in de handleiding i.p.v. "admin" group die ontbreekt "sudo" kiezen. Tevens locatie van het cn bestand fixen met symlink!
-
-
 Daarna kan je easyrsa "client" certificate aanmaken, enige opmerking daar is dat je KEY_CN=client voor het commando plaatst anders database error. Nu in de oude trend kun je het eduroam-cert script aanpassen en benodigde (geupdate)config bestanden in map key's plaatsen en daarin een map met packages aanmaken. Wanneer je dan het script draait maakt die inderdaad een tar bestand met alle instellingen.
-
 TODO Verzin leuke manier om dit in een batch workflow voor veel AP's clients in te passen... denken we vanuit dit concept met tar bestand of moeten we iets maken dat meteen meedere parameters zoals multiSSID ip-adres hostname wifichannel etc meeneemt op basis van MAC adres? Nog uitzoeken welk deel er naar de server moet 4 bestanden ca dh1024 server.crt/key?
+
+#/etc/openvpn/easy-rsa/keys/client.conf
+{{{
+client
+dev tap0
+proto tcp #! for flappering/instable routing on W.L. use TCP instead of udp <---
+remote 172.17.169.67 53 #! location of openvpn server(radius-server/proxy & gateway) on the WireLessLeiden network! <---
+resolv-retry infinite
+persist-key
+persist-tun
+ca /etc/openvpn/ca.crt
+cert /etc/openvpn/client.crt
+key /etc/openvpn/client.key
+verb 3
+log /var/log/openvpn.log
+up /etc/openvpn/up.sh
+script-security 2
+keepalive 10 180 #! these settings keep the tunnel alive on the W.L. network<---
+}}}
+
+# /usr/local/bin/eduroam-client-openvpn-cert
+{{{
+#!/bin/sh
+
+# put me in /usr/local/bin
+
+FROMBASE=./keys
+TOBASE=./keys/packages
+COMMON=$1
+TAR=$TOBASE/$COMMON.tar
+USER=$SUDO_USER
+CLIENT=client
+
+if [ ! $1 ]; then
+  echo "no common name given"
+  exit 1
+fi 
+
+if [ ! -f $TAR ]; then
+
+  cd /etc/openvpn/easy-rsa
+
+  . ./vars
+  KEY_CN=$COMMON ./pkitool $COMMON
+
+  mv $FROMBASE/$COMMON.key $FROMBASE/$CLIENT.key
+  mv $FROMBASE/$COMMON.crt $FROMBASE/$CLIENT.crt
+
+  tar -cf $TAR \
+  $FROMBASE/ca.crt \
+  $FROMBASE/$CLIENT.key \
+  $FROMBASE/$CLIENT.crt \
+  $FROMBASE/client.conf \
+  $FROMBASE/up.sh
+
+  cp $TAR /home/$USER/$COMMON.tar
+  chown $USER /home/$USER/$COMMON.tar
+  
+else
+
+  echo "$TAR was already created"
+  exit 1
+
+fi
+}}}
+
 
 = Old HOWTO =