Changes between Version 56 and Version 57 of WikiStart


Ignore:
Timestamp:
May 10, 2013, 12:50:39 PM (12 years ago)
Author:
walter
Comment:

--

Legend:

Unmodified
Added
Removed
Modified

  • WikiStart

    v56 v57  
    3232*Ontwikkelaars van Wireless Leiden zelf kunnen de roaming eigenschap van deze infrastuctuur alleen gebruiken, testen en ontwikkelen wanneer ze beschikken over een geldig eduroam accounts -naam en -wachtwoord. Dit dient geleverd te zijn door een aan eduroam/surf foundation gelieerde identity provider. Als voorbeeld beschikken studenten/scholieren en mederwerkers van Universiteit Leiden of Hogeschool Leiden hierover. Het aanvragen van een eduroam test-account voor een ontwikkelaar van wireless-leiden bij de Surffoundation behoort tot de mogelijkheden.
    3333
    34 == technische en organisatorische benodigdheden ==
     34== Benodigdheden waaronder technisch en organisatorisch? ==
    3535Voor het aanbieden van de eduroam infrastructuur op het Wireless Leiden netwerk is gekozen voor twee verschillende type installaties met idem verschillende functionaliteit namelijk:
    36361. "!AccesPoints" meerdere (types) die als "eduroam" multiSSID hotspot zullen fungeren met OpenWRT/Airos.
     
    10201020We willen nu een test doen met een prototype. Hiervoor is een openvpn-server geinstalleerd in het kantoor van Prof. Katzy, verbonden aan NodePlantsoen2, met een verbinding naar een authenticatieserver van Surfnet. De resultaten van dit project worden hier gerapporteerd.
    10211021
    1022 == B. Configureren van Bullet2HP als Eduroam accesspoint ==
     1022Configureren van benodigde apparatuur
    10231023
    10241024De procedure is als volgt:
     
    10271027 - aanmaken individuele vpn info
    10281028 - upload deze info naar bullet (dus niet openwrt opnieuw bouwen)
    1029 
    1030 === B.1 Opzetten van een host machine voor OpenWRT-images ===
     1029 - bouw een keer een "!RadiusServer/Proxy"
     1030
     1031=== B Opzetten van een host machine voor OpenWRT-images ===
    10311032
    10321033De hostmachine is een PC met Ubuntu 11.10 waarbij de packages subversion, build-essential, flex, gettext, libz-dev, gawk, ncurses, libncurses5-dev en ncurses-term en tftp.
     
    10551056}}}
    10561057
    1057 === B.2 upload custom OpenWRT-images naar bullet ===
     1058==== B.1 upload custom OpenWRT-images naar bullet ====
    10581059Volgende stappen nog niet getest
    10591060 6. A. If you have a fresh new Air OS install you can upload the following image to
     
    10881089 7. Default password: Edur0@m
    10891090
    1090 === B.4 upload individuele openvpn info naar iedere bullet ===
     1091==== B.2 aanmaken individuele vpn info voor iedere bullet ====
    10911092 8. Creating unique vpn info:
    10921093
     
    11231124         to a network reachable the bullet locally
    11241125
    1125 === B.3 aanmaken individuele vpn info voor iedere bullet ===
     1126==== B.3 upload individuele openvpn info naar iedere bullet ====
    11261127      6. untar it:
    11271128{{{
     
    12311232TODO:
    12321233
    1233 1.1
     12341.1a
    12341235openwrt country code setting?
    12351236nanostation 5ghz /etc/config/wireless
     
    12381239scripted easy password for quick flash and hashed new password in config file for permanent config?
    12391240
     1241TFTP scripted
    12401242TFTP without 15sec pen reset
    12411243        default AIROS reboot into tftp mode parameter 5.5.4 mtd cat /proc/mtd
    12421244
    1243 In dhcp mode achter een nat router werkt sysntpd niet meer,
    1244 #/etc/config/network dhcp + peerdns
    1245 /etc/config/dhcp disable rebinding de bovenste
    1246 /etc/rc.local sleep 5 ntpd -q -p pool.ntp.wleiden.net
    1247 
    1248 3
    1249 de handleiding van de "certnode" creeert natuurlijk een openvpn server op de certnode zelf, nog testen of je openvpn kan verwijderen en de easy-rsa bestande ergens anders kan plaatsten?
    1250 
    1251 Kan inloggen via public ssh key op sunny/sunfire.wleiden.net kan daarinderdaad het script starten maar vervolgens kan deze niks vinden. Lijkt erop dat de oude server certificaten niet aanwezig zijn en er kunnen dan geen afgeleide client certifcaten gemaakt worden tevens missen er config bestanden, dus alles moet opnieuw? Hoe maak ik dit lokaal na?
    1252 Namaken: https://help.ubuntu.com/community/OpenVPN
    1253 
    1254 Daarna kan je easyrsa "client" certificate aanmaken, enige opmerking daar is dat je KEY_CN=client voor het commando plaatst anders database error. Nu in de oude trend kun je het eduroam-cert script aanpassen en benodigde (geupdate)config bestanden in map key's plaatsen en daarin een map met packages aanmaken. Wanneer je dan het script draait maakt die inderdaad een tar bestand met alle instellingen.
    12551245TODO Verzin leuke manier om dit in een batch workflow voor veel AP's clients in te passen... denken we vanuit dit concept met tar bestand of moeten we iets maken dat meteen meedere parameters zoals multiSSID ip-adres hostname wifichannel etc meeneemt op basis van MAC adres? Nog uitzoeken welk deel er naar de server moet 4 bestanden ca dh1024 server.crt/key?
    1256 
    12571246
    125812471/2 openvpn
    12591248geen down.sh script voor server en client?
    12601249
    1261 Veiligheid aspect, radius authenticatie over zelfde tunnels als de clients... isolation tussen openvpn clients de AP's zelf is actief maar isolate van de wireless users op de client nog teste?
    1262 
     1250Veiligheid aspect, VLAN/ radius authenticatie over zelfde tunnels als de clients... isolation tussen openvpn clients de AP's zelf is actief maar isolate van de wireless users op de client nog teste?
    12631251
    12641252Proxy