Changes between Version 46 and Version 47 of WikiStart

Timestamp:

May 6, 2013, 11:58:15 AM (13 years ago)

Author:

walter

Comment:

--

WikiStart

@@ -1 +1 @@
 = eduroam via Wireless Leiden =
-
 Het doel van dit project is het ontwikkelen en testen van een prototype accesspoint (en achterliggende infrastructuur) dat het mogelijk maakt: studenten (onderzoekers, docenten en overige medewerkers van een educatieve-instelling) "veilig" toegang tot het internet te bieden door naadloze integratie van [http://www.eduroam.org eduroam] op het "open" netwerk van Wireless Leiden. De betekenis van de eduroam roaming-infrastructuur laat zich in het hieronder volgende voorbeeld ophelderen!
 
 == Wat is eduroam? ==
-
 Onderwijsinstelling 'X' wil al zijn studenten eenvoudig op hun "beveiligde en gesloten" draadloze netwerk aansluiten om hen toegang tot internet en printen te verschaffen. Dit draadloze netwerk dat met vele toegangspunten (AP=!AccessPoints / Hotpots) door het hele complex dekkend is, word ''wel'' met ''een enkele generieke'' naam "X-netwerk" aangelegd, maar ''niet'' met ''een enkel generiek'' wachtwoord! De onderwijsinstelling heeft al zijn leden al geregistreerd in een personendatabase en heeft voor ieder herleidbaar persoon namelijk al een ''unieke'' accountnaam en wachtwoord aangemaakt. Door de authenticatie en autorisatie tot het "gesloten en beveiligde" draadloze netwerk via de inloggegevens uit de personendatabase te laten verlopen, weet ieder lid direct zijn eigen wachtwoord om direct toegang tot het draadloze netwerk te krijgen. Daarnaast weet de instelling een mogelijk wachtwoord lek te herleiden tot een uniek persoon.
 
@@ -19 +17 @@
 
 == Betrokkenheid van Wireless Leiden? ==
-
-TODO geschiedenis toevoegen?
+TODO korte geschiedenis nog toevoegen!
 
 De betekenis en werkwijze van eduroam voor dit Wireless Leiden project is vanuit een "aanbieders" perspectief. Daarbij zal voornamelijk de onderliggende technische werking van de infrastructuur om eduroam accesspoints (voor gebruikers) te realiseren ter sprake komen.  
@@ -148 +145 @@
 }}}
 
-#/etc/config/dhcp
+#example code#/etc/config/dhcp
 {{{
 config dnsmasq
@@ -190 +187 @@
 }}}
 
-#/etc/config/firewall
+#example code#/etc/config/firewall
 {{{
 config defaults
@@ -327 +324 @@
 }}}
 
-#/etc/config/network
+#example code#/etc/config/network
 {{{
 # Copyright (C) 2006 OpenWrt.org
@@ -362 +359 @@
 }}}
 
-#/etc/config/system
+#example code#/etc/config/system
 {{{
 config  system
@@ -375 +372 @@
 }}}
 
-#/etc/config/wireless
+#example code#/etc/config/wireless
 {{{
 config wifi-device  radio0 #! names and config parameters are different for wifi architectures, ar71xx,brcm47xx,x86,etc <---
@@ -409 +406 @@
 }}}
 
-#/etc/init.d/openvpn
+#example code#/etc/init.d/openvpn
 {{{
 #!/bin/sh /etc/rc.common
@@ -427 +424 @@
 }}}
 
-#/etc/init.d/sysntpd
+#example code#/etc/init.d/sysntpd
 {{{
 #!/bin/sh /etc/rc.common
@@ -463 +460 @@
 }}}
 
-#/etc/firewall.user
+#example code#/etc/firewall.user
 {{{
 # This file is interpreted as shell script.
@@ -483 +480 @@
 }}}
 
-#/etc/inittab
+#example code#/etc/inittab
 {{{
 ::sysinit:/etc/init.d/rcS S boot
@@ -492 +489 @@
 }}}
 
-#/etc/rc.local
+#example code#/etc/rc.local
 {{{
 # Put your custom commands here that should be executed once
@@ -512 +509 @@
 
 
-#/sbin/wifi-update #test create yourself
+#example code#/sbin/wifi-update
 {{{
 #!/bin/sh
@@ -521 +518 @@
 }}}
 
-#/usr/sbin/iopenvpn #create yourself
+#example code#/usr/sbin/iopenvpn
 {{{
 #!/bin/sh
@@ -539 +536 @@
 }}}
 
-Setup openvpn key/certificates/config for the AP, Skip to section 3 of this howto, when you have a *.tar file with keys&config comeback ;-)
+Setup openvpn key/certificates/config for the AP, skip to section 3.2 of this howto. When you have a *.tar file with keys&config for your individual unique AP comeback and continue.
 
 {{{
@@ -558 +555 @@
 chmod +x /etc/openvpn/up.sh
 /etc/init.d/openvpn enable
-
-
 
 ## activate wifi to add MACadress to /etc/config/wireless file
@@ -589 +584 @@
 TODO Inmiddels is er een op debian 6 wheezy gebasseerde release nagebouwd, deze werkte tijdelijk en moet nog uitgeschreven worden.
 download netiso mini.iso dd usb stick
-#tasksel > ssh server + normal tools?
+#tasksel > ssh server + base tools?
 #postinstall
 apt-get update
@@ -596 +591 @@
 Voornamelijk de config van raddb helemaal ombouwen omdat alle parameters voor FREEBSD zijn! dan nog een iptable edit doen en dan deed die het???
 
-=== 3 certnode ===
-Voor het functioneren van openvpn waaronder beveiligen en herkennen van server en unieke clients word easy-rsa gebruikt. Het idee is om op een vertrouwde permanente machine "certnode" een permanente opzet te maken waar een openvpn server certificate voor de radius-server/proxy word aangemaakt, dat weer de basis zal vormen voor client certificaten voor de verschillende accesspoints. Het eerste gebeurt eenmalig en zal lokaal op de certnode bewaart moeten blijven, het tweede gebeurt per op te leveren unieke AP waar er meerdere van zullen zijn. Het server certificaat + openvpn settings zal eenmalig van de certnode op de radius-server/proxy geplaatst worden. De unieke client certificaten worden "per AP" eenmalig op de certnode aangemaakt en vervolgens eenmalig per uniek AP geflashed! Hierdoor zijn de AP's individueel te volgen en te beheren om toegang tot the radius-server/proxy te ontzeggen.
-
-Kan inloggen via public ssh key op sunny/sunfire.wleiden.net kan daarinderdaad het script starten maar vervolgens kan deze niks vinden. Lijkt erop dat de oude server certificaten niet aanwezig zijn en er kunnen dan geen afgeleide client certifcaten gemaakt worden tevens missen er config bestanden, dus alles moet opnieuw? Hoe maak ik dit lokaal na?
-Namaken: https://help.ubuntu.com/community/OpenVPN
-Een easyrsa "server" certificate aanmaken, in de handleiding i.p.v. "admin" group die ontbreekt "sudo" kiezen. Tevens locatie van het cn bestand fixen met symlink!
-Daarna kan je easyrsa "client" certificate aanmaken, enige opmerking daar is dat je KEY_CN=client voor het commando plaatst anders database error. Nu in de oude trend kun je het eduroam-cert script aanpassen en benodigde (geupdate)config bestanden in map key's plaatsen en daarin een map met packages aanmaken. Wanneer je dan het script draait maakt die inderdaad een tar bestand met alle instellingen.
-TODO Verzin leuke manier om dit in een batch workflow voor veel AP's clients in te passen... denken we vanuit dit concept met tar bestand of moeten we iets maken dat meteen meedere parameters zoals multiSSID ip-adres hostname wifichannel etc meeneemt op basis van MAC adres? Nog uitzoeken welk deel er naar de server moet 4 bestanden ca dh1024 server.crt/key?
-
-#/etc/openvpn/easy-rsa/keys/client.conf
+=== 3 setup certnode ===
+Voor het functioneren van openvpn waaronder beveiligen en herkennen van server en unieke clients word easy-rsa gebruikt. Het idee is om op een vertrouwde permanente machine "certnode" eenmalig een blijvende opzet te maken met een openvpn "server" certificate voor de "radius-server/proxy", waarvan weer afgeleide client certificaten voor de verschillende accesspoints gemaakt kan worden. Het eerste gebeurt eenmalig en zal lokaal op de certnode bewaart moeten blijven. Het tweede gebeurt iedere keer wanneer er een "eduroam" AP bij komt aan het WirelessLeiden netwerk. Het generieke server certificaat + openvpn settings zal eenmalig van de certnode op de radius-server/proxy geplaatst moeten worden. De unieke client certificaten en config moeten voor ieder nieuwe/extra "eduroam" AP apart op de certnode aangemaakt worden en eenmalig per uniek AP geconfigureerd! Hierdoor zijn de eduroam AP's individueel te volgen en te beheren om toegang tot the radius-server/proxy te ontzeggen.
+
+==== 3.1 install openvpn easy-rsa ====
+Op een ubuntu 12.04LTS installatie of livecd moet je het easy-rsa pakket dat met "openvpn" komt installeren. Opmerking, houd er rekening mee dat wanneer dit op een livecd gedraait word natuurlijk het permanente karakter verloren gaat! De inhoud van de /etc/openvpn map moet dan natuurlijk bewaard worden anders zal er per livecd sessie, opnieuw server certificaten gegenereerd moeten worden waardoor de afgeleide client certificaten en key's met de server certifcaten uit eerdere/oudere livecd sessie natuurlijk incompatible zijn! TODO Wellicht komt er een aanpassing van dit script zodat die direct voor verschillende users op sunfire zelf functioneert!
+
+Setup openvpn easy-rsa certnode
+{{{
+## install openvpn in ubuntu 12.04
+sudo apt-get install openvpn
+
+## copy easy-rsa files for use
+sudo mkdir -p /etc/openvpn/easy-rsa/keys/packages
+sudo cp -r /usr/share/doc/openvpn/examples/easy-rsa/2.0/* /etc/openvpn/easy-rsa/
+
+## setup openvpn easy-rsa "server"
+# edit the end of the vars file to reflect the example code 
+sudo nano /etc/openvpn/easy-rsa/vars
+}}}
+
+#example code#/etc/openvpn/easy-rsa/vars
+{{{
+export KEY_COUNTRY="NL"
+export KEY_PROVINCE="ZH"
+export KEY_CITY="Leiden"
+export KEY_ORG="Stichting Wireless Leiden"
+export KEY_EMAIL="$me@wirelessleiden.nl"
+}}}
+
+Continue setup
+{{{
+## continue setup openvpn easy-rsa "server"
+cd /etc/openvpn/easy-rsa/
+sudo chown -R root:sudo
+sudo chmod g+w . #include the dot "."
+source ./vars
+./clean-all
+./build-dh
+sudo ln -s openssl-1.0.0.cnf openssl.cnf
+./pkitool --initca
+./pkitool --server $servername/eduradprox
+
+## create and copy server keys for usage
+cd keys
+openvpn --genkey --secret ta.key #tls key goed genoeg???
+sudo cp eduradprox.crt eduradprox.key ca.crt dh1024.pem ta.key ../../ #kopieer ze natuurlijk naar de radius-server/proxy die instap 2 gemaakt is!
+
+## setup script for easy client certificate/key genereting individuel AP's
+sudo touch /usr/local/bin/eduroam-openvpn-client-cert
+}}}
+
+#example code#/usr/local/bin/eduroam-client-openvpn-cert
+{{{
+#!/bin/sh
+# put me in /usr/local/bin
+# use me as sudo me apname
+
+FROMBASE=./keys
+TOBASE=./keys/packages
+COMMON=$1
+TAR=$TOBASE/$COMMON.tar
+USER=$SUDO_USER
+CLIENT=client
+
+if [ ! $1 ]; then
+  echo "no name for AP  given"
+  exit 1
+fi 
+
+if [ ! -f $TAR ]; then
+
+  cd /etc/openvpn/easy-rsa
+
+  . ./vars
+  KEY_CN=$COMMON ./pkitool $COMMON
+
+  mv $FROMBASE/$COMMON.key $FROMBASE/$CLIENT.key
+  mv $FROMBASE/$COMMON.crt $FROMBASE/$CLIENT.crt
+
+  tar -cf $TAR \
+  $FROMBASE/ca.crt \
+  $FROMBASE/$CLIENT.key \
+  $FROMBASE/$CLIENT.crt \
+  $FROMBASE/client.conf \
+  $FROMBASE/up.sh
+
+  cp $TAR /home/$USER/$COMMON.tar
+  chown $USER /home/$USER/$COMMON.tar
+  
+else
+
+  echo "$TAR was already created"
+  exit 1
+
+fi
+}}}
+
+Continue setup
+{{{
+## flag executable
+sudo chmod +x /usr/local/bin/eduroam-client-openvpn-cert
+
+## fix /etc/openvpn/easy-rsa-/keys/packages permissions?
+
+## setup openvpn client config see example
+sudo touch /etc/openvpn/easy-rsa/keys/client.conf
+}}}
+
+#example code#/etc/openvpn/easy-rsa/keys/client.conf
 {{{
 client
 dev tap0
-proto tcp #! for flappering/instable routing on W.L. use TCP instead of udp <---
+proto tcp #! for flappering/instable routing on W.L. use tcp instead of udp <---
 remote 172.17.169.67 53 #! location of openvpn server(radius-server/proxy & gateway) on the WireLessLeiden network! <---
 resolv-retry infinite
@@ -621 +715 @@
 up /etc/openvpn/up.sh
 script-security 2
-keepalive 10 180 #! these settings keep the tunnel alive on the W.L. network<---
-}}}
-
-# /usr/local/bin/eduroam-client-openvpn-cert
-{{{
-#!/bin/sh
-
-# put me in /usr/local/bin
-
-FROMBASE=./keys
-TOBASE=./keys/packages
-COMMON=$1
-TAR=$TOBASE/$COMMON.tar
-USER=$SUDO_USER
-CLIENT=client
-
-if [ ! $1 ]; then
-  echo "no common name given"
-  exit 1
-fi 
-
-if [ ! -f $TAR ]; then
-
-  cd /etc/openvpn/easy-rsa
-
-  . ./vars
-  KEY_CN=$COMMON ./pkitool $COMMON
-
-  mv $FROMBASE/$COMMON.key $FROMBASE/$CLIENT.key
-  mv $FROMBASE/$COMMON.crt $FROMBASE/$CLIENT.crt
-
-  tar -cf $TAR \
-  $FROMBASE/ca.crt \
-  $FROMBASE/$CLIENT.key \
-  $FROMBASE/$CLIENT.crt \
-  $FROMBASE/client.conf \
-  $FROMBASE/up.sh
-
-  cp $TAR /home/$USER/$COMMON.tar
-  chown $USER /home/$USER/$COMMON.tar
-  
-else
-
-  echo "$TAR was already created"
-  exit 1
-
-fi
-}}}
-
+keepalive 10 180 #! these settings keep the tunnel alive on the W.L. network <---
+}}}
+
+==== 3.2 certnode client ====
+The permanent and single setup instance for the openvpn "certnode" is done! When adding new/extra "eduroam" AP's to the network, generate a *.tar with unique set of keys/config for each AP with the following command, it ends up in the ~/ user home folder!
+{{{
+## replace $unique-ap-name with the name of your AP
+sudo /usr/local/bin/eduroam-client-openvpn-cert $unique-ap-name
+}}}
 
 = Old HOWTO =
@@ -894 +948 @@
 TODO:
 
+
+sunfire FIXEN?
+Kan inloggen via public ssh key op sunny/sunfire.wleiden.net kan daarinderdaad het script starten maar vervolgens kan deze niks vinden. Lijkt erop dat de oude server certificaten niet aanwezig zijn en er kunnen dan geen afgeleide client certifcaten gemaakt worden tevens missen er config bestanden, dus alles moet opnieuw? Hoe maak ik dit lokaal na?
+Namaken: https://help.ubuntu.com/community/OpenVPN
+
+Daarna kan je easyrsa "client" certificate aanmaken, enige opmerking daar is dat je KEY_CN=client voor het commando plaatst anders database error. Nu in de oude trend kun je het eduroam-cert script aanpassen en benodigde (geupdate)config bestanden in map key's plaatsen en daarin een map met packages aanmaken. Wanneer je dan het script draait maakt die inderdaad een tar bestand met alle instellingen.
+TODO Verzin leuke manier om dit in een batch workflow voor veel AP's clients in te passen... denken we vanuit dit concept met tar bestand of moeten we iets maken dat meteen meedere parameters zoals multiSSID ip-adres hostname wifichannel etc meeneemt op basis van MAC adres? Nog uitzoeken welk deel er naar de server moet 4 bestanden ca dh1024 server.crt/key?
+
+geen down script?
+
 Veiligheid aspect, radius authenticatie over zelf tunnels als de clients...