Changes between Version 48 and Version 49 of WikiStart

Timestamp:

May 9, 2013, 12:04:34 PM (12 years ago)

Author:

walter

Comment:

--

WikiStart

@@ -115 +115 @@
 }}}
 
-For deploying huge quantity (batch(es)) of AP's the following settings are general but some may differ among !AccesPoints like: multiSSID,ipadress(wired/wireless),wifichannel,band(a/bg),hostname,etc. In the following config files those parts that makes the uniqueness will be commented in the following style "#! <---" so its easier to identify and customize. Use the files from the backup you just made as a template for your own custom config, since the example config files which will follow after this paragraph are hardware-type/image specific! That means that my config files are specific for the Ubiquiti bullet2m hp 2,4ghz b/g, and for instance will not work on linksys broadcom based AP hardware (because wifi interfaces are configured using different names and parameters)! So only copy/paste change the needed parts, that differ with your templates!
+For deploying huge quantity (batch(es)) of AP's most of the following settings are general but some may differ among !AccesPoints like: multiSSID, ipadress(wired/wireless), wifichannel, band(a/bg), hostname, etc. In the following example config files those parts that needs to be customized will be commented in the following style "#! <---" so its easier to identify and customize. Use the files from the backup you just made as a template for your own custom config, since the example config files which will follow after this paragraph are hardware-type/image specific! That means that my example config files are specific for the Ubiquiti bullet2m hp 2,4ghz b/g, and for instance will not work on linksys broadcom based AP hardware (because wifi interfaces are configured using different names and parameters)! So only copy/paste change the needed parts, that differ with your templates! Remember the AP can be configured as internal nat or bridge for the wlgst-bridge multiSSID!
 
 {{{
@@ -352 +352 @@
 #!Add this interface if you internally NAT/Route the 2nd multiSSID instead of bridge <---
 #!config interface wlgst
-#!      option ifname   wlgst
-#!      option type     bridge
+#!      #option ifname  wlgst
+#!      #option type    bridge
 #!      option proto    static
 #!      option ipaddr   192.168.5.1
@@ -380 +380 @@
         option hwmode   11bg #when using 5ghz vs 2,4ghz '11na' must be set! <--- 
         option htmode   HT20
-#       option isolate  1 #! TODO test <---
         list ht_capab   SHORT-GI-40
         list ht_capab   TX-STBC
@@ -397 +396 @@
         option server   192.168.4.1 #! Location of radius-server/proxy behind the tunnel 1812/1813 <---
         option key      somesecret #! Radius client password to connect to the radiusserver <---
+        option isolate  1 #! wifi clients cannot connect to each other <---
 
 config wifi-iface
@@ -537 +537 @@
 }}}
 
-Setup openvpn key/certificates/config for the AP, skip to section 3.2 of this howto. When you have a *.tar file with keys&config for your individual unique AP comeback and continue.
+Setup openvpn key/certificates/config for the AP, skip to section 3.2 of this howto when you don't have a *.tar file with keys&config for your individual unique AP, comeback if you have a *.tar and continue.
 
 {{{
@@ -548 +548 @@
 }}}
 
-Finnaly use ssh again to configure final settings
+Finally use ssh again to configure final settings
 {{{
 ssh root@192.168.1.20
+
+##TODO check all execute writes on uploaded scripts!
 
 ## enable openvpn
@@ -576 +578 @@
 De huidige 5.5.4 Ubiquiti AirOS software maakt het mogelijk het AP direct als radius "client" te laten fungeren. Dit is handig voor snel testen of uitrollen van inpandige afgeschermde infrastructuur waarbij het encrypten van het radius en internet verkeer via openvpn niet nodig is! Het is zo eenvoudig dat je enkel na het resetten van het apparaat, hem als normaal AP configureert(vergeet AirMax niet uit te zetten!) dan geef je bij Wireless security geen WPA2-"PSK" maar juist WPA2-"EAP" op. Direct verschijnt er een optie om een Authenticating/Accounting radius server/proxy op te geven met IP:PORT:SECRET, wanneer deze ingevuld worden is er direct al een werkend wpa2 enterprise AP oftwel eduroam hotspot! TODO Verdere setup met NAT/Bridging/VLAN is wel aan te bevelen maar moet nog uitgezocht worden.
 
-=== 2 setup Radius-!Server/Proxy  & gateway ===
-Moet nog uitgezocht / getest worden, zie oud voorbeeld!!! Wel kan ik specifieke veranderingen van config bestanden en opties/parameters toevoegen aan de huidige setup! zoals openvpn server settings /usr/local/etc/rc.d opstart bestanden en parameters etc. 
+=== 2 setup "Radius-!Server/Proxy  & gateway" ===
+De rol van deze machine is het centraal afhandelen/doorzetten van het radius verkeer van verschillende eduroam AP's uit het wireless Leiden netwerk, daarnaast functioneert deze machine als internet gateway/concentrator van diezelfde eduroam AP's. De verbinding(en) tussen de eduroam AP's en deze centrale machine worden met openvpn tunnels over het wirelessleiden netwerk tot stand gebracht. De plaatsing van deze machine komt het meest tot z'n recht op een locatie waar al het eduroam gerelateerde internetverkeer een daarvoor aangewezen internet verbinding van een educatie isp in kan surfnet in dit geval. De surfnet aansluiting van Universiteit Leiden in de Pieterskerk zal op deze plek prima schikken! 
 
 ==== 2.1a Install FreeBSD 8.3 and services ====
-TODO voltooid, oude handleiding geupdate maar zeer gebrekkig en functioneerd nog niet waarschijn firewall rules...
-
-==== 2.1b Install debian 6 wheezy/squeeze and services ====
-TODO Inmiddels is er een op debian 6 wheezy gebasseerde release nagebouwd, deze werkte tijdelijk en moet nog uitgeschreven worden.
-download netiso mini.iso dd usb stick
-#tasksel > ssh server + base tools?
-#postinstall
+Ligt een kant en klare FREEBSD 8.3 disk klaar hoe verder te configureren?
+
+==== 2.1b Install debian 6 wheezy and services ====
+Als hardware gebruiken we een via-epia m met twee bedraade netwerk interfaces. Voor het OS debian 7 wheezy i386 via een minimale install met SSH server en standaard tools die daarna word uitgebouwd en geconfigureerd. Installeer eerst debian op betreffende machine, download hiervoor de cd/usb image, plaats deze op usbstick en start de installatie. Opmerking, onthoud dat de machine tijdens de installatie en daarna toegang tot internet nodig heeft om alle pakketten te installeren!
+
+{{{
+## prepare install media
+# download mini.iso
+wget http://ftp.nl.debian.org/debian/dists/wheezy/main/installer-i386/current/images/netboot/mini.iso
+# put image on usb stick
+sudo dd if=mini.iso of=/dev/sdstick
+}}}
+
+Boot de usb-stick en kies tijdens de installatie onder "tasksel" de twee opties "SSH server" en "Standard system utilities", na de installatie de volgende software en config inregelen. Log na de installatie in op de machine.
+
+{{{
+## postinstall
+cd /etc
+cp rc.local rc.local.ori
+nano rc.local #put before exit0
+        setterm -blength 0 #kills annoying pc speaker!!!
+
+## vergroot bash_history
+nano /root/.bashrc
+        export HISTFILESIZE=10000
+
+## update/install packages
 apt-get update
-apt-get install subversion openvpn isc-dhcp-server freeradius
-
-Voornamelijk de config van raddb helemaal ombouwen omdat alle parameters voor FREEBSD zijn! dan nog een iptable edit doen en dan deed die het???
-
-=== 3 setup certnode ===
-Voor het functioneren van openvpn waaronder beveiligen en herkennen van server en unieke clients word easy-rsa gebruikt. Het idee is om op een vertrouwde permanente machine "certnode" eenmalig een blijvende opzet te maken met een openvpn "server" certificate voor de "radius-server/proxy", waarvan weer afgeleide client certificaten voor de verschillende accesspoints gemaakt kan worden. Het eerste gebeurt eenmalig en zal lokaal op de certnode bewaart moeten blijven. Het tweede gebeurt iedere keer wanneer er een "eduroam" AP bij komt aan het WirelessLeiden netwerk. Het generieke server certificaat + openvpn settings zal eenmalig van de certnode op de radius-server/proxy geplaatst moeten worden. De unieke client certificaten en config moeten voor ieder nieuwe/extra "eduroam" AP apart op de certnode aangemaakt worden en eenmalig per uniek AP geconfigureerd! Hierdoor zijn de eduroam AP's individueel te volgen en te beheren om toegang tot the radius-server/proxy te ontzeggen.
+apt-get install subversion openvpn freeradius isc-dhcp-server syslog-ng
+
+## backup original config files/folders
+cp -r openvpn openvpn.ori
+cp -r freeradius freeradius.ori
+#rm -r freeradius/*  #--depth-empty svn?
+cp -r dhcp dhcp.ori
+cp -r syslog-ng syslog-ng.ori
+
+## setup network interfaces
+nano /etc/network/interfaces
+}}}
+
+#example code# /etc/network/interfaces
+{{{
+#The loopback network interface
+auto lo
+iface lo inet dhcp
+
+# The primary network interface to internet
+allow-hotplug eth0
+iface eth0 inet dhcp
+
+# The secondary network to Wireless Leiden
+allow-hotplug eth1
+iface eth1 inet static
+        address 172.17.169.67 #! afhankelijk waar deze machine in het netwerk geplaatst word <---
+        netmask 255.255.255.0
+#       network
+#       broadcast
+#       gateway
+
+# The openvpn interface
+allow-hotplug tap0
+iface tap0 inet static
+        address 192.168.4.1
+        netmask 255.255.255.0 #! groter subnet voor veel clients? <---
+}}}
+Continue setting up freeradius, only 3 config files really need to be edited. See following 3 example config files.
+
+#example code# /etc/freeradius/clients.conf
+{{{
+#q&d test externe clients van uu surfnet
+client 131.211.0.0/16 {
+  secret    = testsecret
+  shortname = testsecret
+}
+
+#clients van het openvpn netwerk
+client 192.168.4.0/24 {
+  secret    = testsecret
+  shortname = testsecret
+}
+
+#test client direct zonder openvpn
+client 172.17.169.66 {
+  secret    = testsecret
+  shortname = testsecret
+}
+}}}
+
+#example code# /etc/freeradius/radius.conf
+{{{
+prefix = /usr
+exec_prefix = /usr
+sysconfdir = /etc
+localstatedir = /var
+sbindir = ${exec_prefix}/sbin
+logdir = /var/log/freeradius
+raddbdir = /etc/freeradius
+radacctdir = ${logdir}/radacct
+name = freeradius
+confdir = ${raddbdir}
+run_dir = ${localstatedir}/run/${name}
+db_dir = ${raddbdir}
+libdir = /usr/lib/freeradius
+pidfile = ${run_dir}/${name}.pid
+user = freerad
+group = freerad
+max_request_time = 30
+cleanup_delay = 5
+max_requests = 4096
+listen {
+        type = auth
+        ipaddr = *
+        port = 0
+}
+#listen {
+#       ipaddr = *
+#       port = 0
+#       type = acct
+#}
+hostname_lookups = no
+allow_core_dumps = yes
+regular_expressions     = yes
+extended_expressions    = yes
+log {
+        destination = files
+        file = ${logdir}/radius.log
+        syslog_facility = daemon
+        stripped_names = no
+        auth = yes
+        auth_badpass = no
+        auth_goodpass = yes
+}
+checkrad = ${sbindir}/checkrad
+security {
+        max_attributes = 200
+        reject_delay = 1
+        status_server = yes
+}
+$INCLUDE ${raddbdir}/clients.conf
+$INCLUDE ${raddbdir}/sites-enabled/default
+thread pool {
+        start_servers = 5
+        max_servers = 32
+        min_spare_servers = 3
+        max_spare_servers = 10
+        max_requests_per_server = 0
+}
+modules {
+        $INCLUDE ${raddbdir}/eap.conf
+        $INCLUDE ${raddbdir}/modules/preprocess
+        $INCLUDE ${raddbdir}/modules/mschap
+        $INCLUDE ${raddbdir}/modules/chap
+        $INCLUDE ${raddbdir}/modules/digest
+        $INCLUDE ${raddbdir}/modules/files
+        $INCLUDE ${raddbdir}/modules/expiration
+        $INCLUDE ${raddbdir}/modules/logintime
+        $INCLUDE ${raddbdir}/modules/pap
+        $INCLUDE ${raddbdir}/modules/unix
+        $INCLUDE ${raddbdir}/modules/acct_unique
+        $INCLUDE ${raddbdir}/modules/detail
+        $INCLUDE ${raddbdir}/modules/radutmp
+        $INCLUDE ${raddbdir}/modules/exec
+        $INCLUDE ${raddbdir}/modules/realm
+
+}
+proxy_requests  = yes
+$INCLUDE ${raddbdir}/proxy.conf
+}}}
+
+#example code# /etc/freeradius/proxy.conf
+{{{
+realm DEFAULT {
+        authhost =  radius.showcase.surfnet.nl:1812
+        accthost =  radius.showcase.surfnet.nl:1813
+        secret = foutjebedankt
+        nostrip
+}
+}}}
+
+Continue setting up isc-dhcp-server. Besides editing the conf file, the service also needs to be removed from its default boot routine because it start to early before its openvpn interface is online.
+#example code# /etc/dhcp/dhcpd.conf
+{{{
+option domain-name "eduroam.org";
+option domain-name-servers 8.8.8.8;
+default-lease-time 600;
+max-lease-time 7200;
+subnet 192.168.4.0 netmask 255.255.255.0 {
+        range 192.168.4.100 192.168.4.150;
+        option routers 192.168.4.1;
+}
+}}}
+Remove isc-dhcp-server from its normal startup instance!
+{{{
+update-rc.d isc-dhcp-server disable
+}}}
+
+Continue setting up openvpn. Remember that the openvpn server needs:'openvpn.conf'(setting), 'up.sh' (script that will initiate the isc-dhcp-server as soon as the openvpn tap0 interface is available) and offcourse server-certificate files(created in part 3.1 of this howto)!
+
+#example code# /etc/openvpn/openvpn.conf
+{{{
+port 1194 
+proto tcp #udp
+dev tap0
+ca /etc/openvpn/ca.crt
+cert /etc/openvpn/eduradprox.crt
+key /etc/openvpn/eduradprox.key
+dh /etc/openvpn/dh1024.pem
+server-bridge 192.168.3.1 255.255.255.0 192.168.3.100 192.168.3.150
+mode server
+persist-key
+persist-tun
+verb 4
+log /var/log/openvpn.log
+script-security 2
+up /usr/local/etc/openvpn/up.sh
+#duplicate-cn
+status /var/db/openvpn-status.log
+keepalive 10 180
+}}}
+adjust key/crt ip-tcplocation
+
+#example code# /etc/openvpn/up.sh
+{{{TODO
+}}}
+
+Copy the following server/eduradprox files made on the certnode /etc/openvpn/ to the openvpn server directory.
+{{{
+cp eduradprox.key eduradprox.crt ca.crt dh1024.pem /etc/openvpn/
+}}}
+
+Voor het routen van het internet naar de openvpn clients moeten de volgende firewall rules toegepast worden.
+{{{
+## nat opzetten voor second eth1 en openvpn dan?
+cat /proc/sys/net/ipv4/ip_forward
+echo "1" > /proc/sys/net/ipv4/ip_forward
+
+## firewall masq script TODO permanent maken?
+#!/bin/sh
+/sbin/iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE
+/sbin/iptables -A FORWARD -i eth0 -o eth1 -m state --state RELATED,ESTABLISHED -j ACCEPT
+/sbin/iptables -A FORWARD -i eth1 -o eth0 -j ACCEPT
+/sbin/iptables -A FORWARD -i eth0 -o tap0 -m state --state RELATED,ESTABLISHED -j ACCEPT
+/sbin/iptables -A FORWARD -i tap0 -o eth0 -j ACCEPT
+}}}
+
+
+nalopen debian, zodra hostap/freeradius aan de gang gaan dat kapt de openvpn er mee tevens geen routing op 192.168.4.1? 10/100 duplex!!!
+
+*Na reboot moet de firewall nog aan!Q&D
+
+*isc-dhcp-server na reboot start te vroeg en werkt niet! 
+huidige foutieve bootorder:
+networking(kan tap0 niet starten want geen openvpn, dus hotplug)
+freeradius
+isc-dhcp-server(kan niet starten want kan geen 192.168.4.1 vinden want tap0 is er niet
+openvpn (als laatst)
+
+
+=== 3 "Certnode" ===
+Voor het functioneren van openvpn waaronder beveiligen en herkennen van server en unieke clients word easy-rsa gebruikt. Het idee is om op een vertrouwde permanente machine "certnode" eenmalig een blijvende opzet te maken met een openvpn "server" certificate voor de "radius-server/proxy", waarvan weer afgeleide client certificaten voor de verschillende accesspoints gemaakt kan worden. Het eerste gebeurt eenmalig en zal lokaal op de certnode bewaart moeten blijven. Het tweede gebeurt iedere keer wanneer er een "eduroam" AP bij komt aan het WirelessLeiden netwerk. Het generieke server certificaat + openvpn settings zal eenmalig van de certnode op de radius-server/proxy geplaatst moeten worden. De unieke client certificaten en config moeten voor ieder nieuwe/extra "eduroam" AP apart op de certnode aangemaakt worden en eenmalig per uniek AP geconfigureerd! Hierdoor zijn de eduroam AP's individueel te volgen en te beheren om toegang tot the radius-server/proxy te ontzeggen. Het opzetten van de certnode word bij stap 3.1 behandeld, het aanmaken van client certifcaten bij 3.2. Let op, leden van Wireless Leiden kunnen de eerste twee stappen overslaan aangezien zij de certnode "sunfire" moeten gebruiken (mits deze geconfigureerd is) en kunnen direct naar stap 3.3. 
 
 ==== 3.1 install openvpn easy-rsa ====
@@ -643 +892 @@
 }}}
 
-#example code# /usr/local/bin/eduroam-client-openvpn-cert
+#example code# /usr/local/bin/eduroam-ap-openvpn-client
 {{{
 #!/bin/sh
 # put me in /usr/local/bin
-# use me as sudo me apname
+# use me as sudo file nameofnewap
 
 FROMBASE=./keys
@@ -692 +941 @@
 {{{
 ## flag executable
-sudo chmod +x /usr/local/bin/eduroam-client-openvpn-cert
+sudo chmod +x /usr/local/bin/eduroam-ap-openvpn-client
 
 ## fix /etc/openvpn/easy-rsa-/keys/packages permissions?
@@ -725 +974 @@
 sudo /usr/local/bin/eduroam-client-openvpn-cert $unique-ap-name
 }}}
+
+==== 3.3 certnode sunfire ====
+
+
 
 = Old HOWTO =
@@ -947 +1200 @@
 
 TODO:
-3 de handleiding van de "certnode" creeert natuurlijk een openvpn server op de certnode zelf, nog testen of je openvpn kan verwijderen en de easy-rsa bestande ergens anders kan plaatsten?
-
-sunfire FIXEN?
-Kan inloggen via public ssh key op sunny/sunfire.wleiden.net kan daarinderdaad het script starten maar vervolgens kan deze niks vinden. Lijkt erop dat de oude server certificaten niet aanwezig zijn en er kunnen dan geen afgeleide client certifcaten gemaakt worden tevens missen er config bestanden, dus alles moet opnieuw? Hoe maak ik dit lokaal na?
-Namaken: https://help.ubuntu.com/community/OpenVPN
-
-Daarna kan je easyrsa "client" certificate aanmaken, enige opmerking daar is dat je KEY_CN=client voor het commando plaatst anders database error. Nu in de oude trend kun je het eduroam-cert script aanpassen en benodigde (geupdate)config bestanden in map key's plaatsen en daarin een map met packages aanmaken. Wanneer je dan het script draait maakt die inderdaad een tar bestand met alle instellingen.
-TODO Verzin leuke manier om dit in een batch workflow voor veel AP's clients in te passen... denken we vanuit dit concept met tar bestand of moeten we iets maken dat meteen meedere parameters zoals multiSSID ip-adres hostname wifichannel etc meeneemt op basis van MAC adres? Nog uitzoeken welk deel er naar de server moet 4 bestanden ca dh1024 server.crt/key?
-
-geen down.sh script voor openvpn server en client?
-
-Veiligheid aspect, radius authenticatie over zelfde tunnels als de clients... isolation tussen openvpn clients de AP's zelf is actief maar isolate van de wireless users op de client nog teste? 
+
+1.1
+openwrt country code setting?
+nanostation 5ghz /etc/config/wireless
+        11na
+        channel 32-140
+scripted easy password for quick flash and hashed new password in config file for permanent config?
 
 TFTP without 15sec pen reset 
@@ -967 +1215 @@
 /etc/config/dhcp disable rebinding de bovenste
 /etc/rc.local sleep 5 ntpd -q -p pool.ntp.wleiden.net 
+
+3
+de handleiding van de "certnode" creeert natuurlijk een openvpn server op de certnode zelf, nog testen of je openvpn kan verwijderen en de easy-rsa bestande ergens anders kan plaatsten?
+
+sunfire FIXEN?
+Kan inloggen via public ssh key op sunny/sunfire.wleiden.net kan daarinderdaad het script starten maar vervolgens kan deze niks vinden. Lijkt erop dat de oude server certificaten niet aanwezig zijn en er kunnen dan geen afgeleide client certifcaten gemaakt worden tevens missen er config bestanden, dus alles moet opnieuw? Hoe maak ik dit lokaal na?
+Namaken: https://help.ubuntu.com/community/OpenVPN
+
+Daarna kan je easyrsa "client" certificate aanmaken, enige opmerking daar is dat je KEY_CN=client voor het commando plaatst anders database error. Nu in de oude trend kun je het eduroam-cert script aanpassen en benodigde (geupdate)config bestanden in map key's plaatsen en daarin een map met packages aanmaken. Wanneer je dan het script draait maakt die inderdaad een tar bestand met alle instellingen.
+TODO Verzin leuke manier om dit in een batch workflow voor veel AP's clients in te passen... denken we vanuit dit concept met tar bestand of moeten we iets maken dat meteen meedere parameters zoals multiSSID ip-adres hostname wifichannel etc meeneemt op basis van MAC adres? Nog uitzoeken welk deel er naar de server moet 4 bestanden ca dh1024 server.crt/key?
+
+
+1/2 openvpn
+geen down.sh script voor server en client?
+
+Veiligheid aspect, radius authenticatie over zelfde tunnels als de clients... isolation tussen openvpn clients de AP's zelf is actief maar isolate van de wireless users op de client nog teste? 
+
 
 Proxy
@@ -973 +1238 @@
 uitzoeken radiusd paramter
 client to client ping???
-
-nanostation 5ghz openwrt dif image
-/etc/config/wireless
-11na
-channel 32-140
-systemname
-dhcp
-
-wlan channels voor 5ghz ?