Changes between Version 57 and Version 58 of WikiStart
- Timestamp:
- May 10, 2013, 7:50:19 PM (12 years ago)
Legend:
- Unmodified
- Added
- Removed
- Modified
-
WikiStart
v57 v58 50 50 Voor het opleveren van veel AP's (batches) met unieke instelligen zal er uiteindelijk een configuratie script volgen waarmee op basis van het MAC-adres van het AP een aantal unieke parameters meegegeven kunnen worden voor de configuratie: MultiSSID, hostname, kanaal, ipadres(bedraad/draadloos), etc... vergeet de unieke openvpn client certificaten niet, tevens zouden er per AP unieke client gegevens om met de radius-proxy/server te communiceren gemaakt kunnen worden. 51 51 52 Door het gebruik van het opensource software [http://www.openwrt.org OpenWRT], [http://www.freebsd.org FREEBSD] en gerelateerde software projecten, is deze setup niet gelimiteerd aan een enkel merk en of type hardware. Een kleine aanpassing aan de configuratie bestanden zou een vereiste kunnen zijn voordat het op ander hardware platvorm werkt. Deze handleiding zal overigens alleen toegespitst zijn op Ubiquiti AP's zoals Bullet m2 HP/ Nano station/loco m2 en via-epia-m/alixboard als radiusproxy/server & gateway. Als uitgangssituatie om deze handleiding uit te voeren word ubuntu 12.04LTS AMD64 gebruikt!52 Door het gebruik van het opensource software [http://www.openwrt.org OpenWRT], [http://www.freebsd.org FREEBSD]/[http://www.debian.org Debian] en gerelateerde software projecten (isc-, is deze setup niet gelimiteerd aan een enkel merk en of type hardware. Een kleine aanpassing aan de configuratie bestanden zou een vereiste kunnen zijn voordat het op ander hardware platvorm werkt. Deze handleiding zal overigens alleen toegespitst zijn op Ubiquiti AP's zoals Bullet m2 HP/ Nano station/loco m2 en via-epia-m/alixboard als radiusproxy/server & gateway. Als uitgangssituatie om deze handleiding uit te voeren word ubuntu 12.04LTS AMD64 gebruikt! 53 53 54 54 *Wat niet behandeld gaat worden is het aanmaken van een user-database/list voor de radius server, aangezien alle users extern via proxy geauthenticeerd worden en niet intern want Wireless Leiden is geen eduroam identityprovider! … … 371 371 option hostname eduroam-bullet #!Unique name differ! <--- 372 372 option timezone CET-1CEST,M3.5.0,M10.5.0/3 #!correct timezone Amsterdam Netherlands <--- 373 option log_ip 192.168.4.100 #! destination of syslog-ng server <--- 374 option log_port 514 373 375 374 376 config timeserver ntp … … 585 587 586 588 ==== 1.2b default Ubiquiti AirOS ==== 587 De huidige 5.5.4 Ubiquiti AirOS software maakt het mogelijk het AP direct als radius "client" te laten fungeren. Dit is handig voor snel testen of uitrollen van inpandige afgeschermde infrastructuur waarbij het encrypten van het radius en internet verkeer via openvpn niet nodig is! Het is zo eenvoudig dat je enkel na het resetten van het apparaat, hem als normaal AP configureert(vergeet Airmax niet uit te zetten!) dan geef je bij Wireless security geen WPA2-"PSK" maar juist WPA2-"EAP" op. Direct verschijnt er een optie om een Authenticating/Accounting radius server/proxy op te geven met IP:PORT:SECRET, wanneer deze ingevuld worden is er direct al een werkend wpa2 enterprise AP oftwel eduroam hotspot! TODOVerdere setup met NAT/Bridging/VLAN is wel aan te bevelen maar moet nog uitgezocht worden.589 De huidige 5.5.4 Ubiquiti AirOS software maakt het mogelijk het AP direct als radius "client" te laten fungeren. Dit is handig voor snel testen of uitrollen van inpandige afgeschermde infrastructuur waarbij het encrypten van het radius en internet verkeer via openvpn niet nodig is! Het is zo eenvoudig dat je enkel na het resetten van het apparaat, hem als normaal AP configureert(vergeet Airmax niet uit te zetten!) dan geef je bij Wireless security geen WPA2-"PSK" maar juist WPA2-"EAP" op. Direct verschijnt er een optie om een Authenticating/Accounting radius server/proxy op te geven met IP:PORT:SECRET, wanneer deze ingevuld worden is er direct al een werkend wpa2 enterprise AP oftwel eduroam hotspot! Verder is 'ntpclient' handig indien tijdsverschil te groot word om certificaat geldigheid te checken. Het remote sysloggen werkt ook. TODO SNMP client Verdere setup met NAT/Bridging/VLAN is wel aan te bevelen maar moet nog uitgezocht worden. 588 590 589 591 === 2 setup "Radius-!Server/Proxy & gateway" === … … 830 832 }}} 831 833 832 The allow routing and function as a local gateway/concentrator for the openvpn clients the following config must be set once. 834 Setup syslog-ng, this will sort remote log files by hostname and day! 835 836 #example code# /etc/syslog-ng/conf.d/00load-remote.conf 837 {{{ 838 source s_net { udp(); }; 839 destination df_remote { file("/var/log/remote-log/AP$HOST/$DAY$MONTH$YEAR.log" owner(root) group(adm) perm(0600) create_dirs(yes) dir_perm(0700)); }; 840 log { source(s_net); destination(df_remote); }; 841 }}} 842 843 To allow nat/routing and function as a local gateway/concentrator for the tunneld traffic from eduroam accesspoints (openvpn clients) the following config must be set once. 833 844 {{{ 834 845 ## Allows forwarding … … 850 861 /sbin/iptables -A FORWARD -i tap0 -o eth0 -j ACCEPT 851 862 }}} 852 TODO firewall rules Lokaal netwerk nog afschermen!!! zodat eduroam alleen internet op kan en niet netwerk van anywi/katzy/radiusverkeer 853 854 Setup syslog-ng it still needs to customize some conf files to filter and sort all incoming logs! 855 856 #example code# /etc/syslog-ng/syslog-ng.conf 857 {{{ 858 DEFAULT / no need to edit? 859 }}} 860 861 #example code# /etc/syslog-ng/conf.d/00load-remote.conf 862 {{{ 863 source s_net { udp(); }; 864 destination df_remote { file("/var/log/remote.log"); }; 865 log { source(s_net); destination(df_remote); }; 866 }}} 863 864 TODO firewall rules Lokaal netwerk nog afschermen!!! zodat eduroam alleen internet op kan en niet netwerk van anywi/katzy/radiusverkeer, wellicht bepaalde porten filteren eduroamcookbook? 867 865 868 866 === 3 certnode & easy-rsa === … … 1231 1229 1232 1230 TODO: 1233 1234 1231 1.1a 1235 1232 openwrt country code setting? … … 1238 1235 channel 32-140 1239 1236 scripted easy password for quick flash and hashed new password in config file for permanent config? 1237 dnsmasq klaagt over niet kunnen verwerken van dhcp-request op de br-lan 1240 1238 1241 1239 TFTP scripted … … 1255 1253 uitzoeken radiusd paramter 1256 1254 client to client ping??? 1255 1256 2.1b 1257 radius-server/proxy bij katzy opnieuw opzetten en configureren 1258 1259 test draaien met meerdere AP's verspreid over het wireless leiden netwerk 1260 1261 syslog op openwrt aanzetten en testen, werkt? 1262 syslog op airos aanzetten en testen, werkt?
