Changes between Version 62 and Version 63 of WikiStart

Timestamp:

May 21, 2013, 2:11:10 PM (12 years ago)

Author:

walter

Comment:

--

WikiStart

@@ -50 +50 @@
 Voor het opleveren van veel AP's (batches) met unieke instelligen zal er uiteindelijk een configuratie script volgen waarmee op basis van het MAC-adres van het AP een aantal unieke parameters meegegeven kunnen worden voor de configuratie: MultiSSID, hostname, kanaal, ipadres(bedraad/draadloos), etc... vergeet de unieke openvpn client certificaten niet, tevens zouden er per AP unieke client gegevens om met de radius-proxy/server te communiceren gemaakt kunnen worden.
 
-Door het gebruik van het opensource software [http://www.openwrt.org OpenWRT], [http://www.freebsd.org FREEBSD]/[http://www.debian.org Debian] en gerelateerde software projecten (isc-, is deze setup niet gelimiteerd aan een enkel merk en of type hardware. Een kleine aanpassing aan de configuratie bestanden zou een vereiste kunnen zijn voordat het op ander hardware platvorm werkt. Deze handleiding zal overigens alleen toegespitst zijn op Ubiquiti AP's zoals Bullet m2 HP/ Nano station/loco m2 en via-epia-m/alixboard als radiusproxy/server & gateway. Als uitgangssituatie om deze handleiding uit te voeren word ubuntu 12.04LTS AMD64 gebruikt!
+Door het gebruik van het opensource software [http://www.openwrt.org OpenWRT], [http://www.freebsd.org FREEBSD]/[http://www.debian.org Debian] en gerelateerde software projecten (isc-dhcp-server/freeradius/openvpn/, is deze setup niet gelimiteerd aan een enkel merk en of type hardware. Een kleine aanpassing aan de configuratie bestanden zou een vereiste kunnen zijn voordat het op ander hardware platvorm werkt. Deze handleiding zal overigens alleen toegespitst zijn op Ubiquiti AP's zoals Bullet m2 HP/ Nano station/loco m2 en via-epia-m/alixboard als radiusproxy/server & gateway. Als uitgangssituatie om deze handleiding uit te voeren word ubuntu 12.04LTS AMD64 gebruikt!
 
 *Wat niet behandeld gaat worden is het aanmaken van een user-database/list voor de radius server, aangezien alle users extern via proxy geauthenticeerd worden en niet intern want Wireless Leiden is geen eduroam identityprovider!
@@ -56 +56 @@
 === 1 setup eduroam !AccessPoints ===
 ==== 1.1 hardware & software ====
-Het !AccessPoint zal met multiSSID ingesteld worden en bridged al het wireless verkeer van de beveiligde "eduroam" SSID via een openvpn tunnel naar de "radius-server/proxy & gateway". Het wireless verkeer van de open "ap.wlgst-bridge.wleiden.net" SSID kan via interne NAT/routing afgehandeld worden of via een bridge direct een Wireless Leiden node in die reeds met DHCP, DNS, routing en captive portal is uitgerust.
+Het !AccessPoint zal met multiSSID ingesteld worden en bridged al het wireless verkeer van de beveiligde SSID "eduroam" SSID via een openvpn tunnel naar de "radius-server/proxy & gateway". Het wireless verkeer van de tweede virtuele open SSID "ap.wlgst-bridge.wleiden.net" zal in de voorbeeld configuratie "1.2a" via bridging direct een Wireless Leiden node ingaan die reeds zelf al met DHCP, DNS, routing en natuurlijk captive portal is uitgerust. Voor de configuratie zonder bridging van het tweede virtuele SSID, maar met een eigen interne nat/routing word in 1.2b de wijzigingen t.o.v. 1.2a doorgegeven. In 1.2c word uitgelegd hoe je direct op AirOS zelf een eduroam hotspot kan realiseren.
 
 In tegenstelling tot de oude handleiding(onderaan deze pagina) word momenteel gebruik gemaakt van een "fixed" OpenWRT releases waaronder Backfire 10.03.1 of zelfs Atitude Adjustment 12.0.9 final. Dit niet alleen omdat het bouwen van een custombuild onnodig is geworden omdat "openvpn" inmiddels als pakket direct gebruiksklaar en beschikbaar is voor de 10.03.1 en 12.09 releases. Maar vooral omdat compileren van een openwrt image & build omgeving erg veel tijd, moeite en veel variabelen introduceert in een al/nog experimentele infrastructuur. Met fixed releases kan in minder dan 5 minuten direct een werkend accesspoint prototype gerealiseerd worden en dat zelfs voor verschillende type architecturen accesspoints (arm/mips/x86/etc, mits daar openwrt images voor zijn)! Wel zou via custom gecompileerde releases het geheugen gebruik en processor belasting geoptimaliseerd kunnen worden door het weglaten van ongebruikte pakketten. *Update, inmiddels is het ook al direct mogelijk om via AirOS software dat standaard al op Ubiquiti AP's aanwezig een "eduroam" hotspot met wpa2 enterprise en radiusclient functie te maken (enkel openvpn ontbreekt)!
@@ -62 +62 @@
 Met deze flexibele fundering is het doel om accesspoints die maar in sumiere opzichten van elkaar hoeven te verschillen zo gemakkelijk en snel mogelijk in grote hoeveelheden geautomatiseerd te kunnen configureren. Het verschil tussen de accesspoints komt deels uit hoek van beveiliging, deels uit de hoek van locatie en natuurlijk de toepassing. Als een enkel accesspoint gehackt is kan deze los van de andere accesspoint toegang tot de radius proxy ontzegt worden, (door zijn openvpn sleutel in te trekken) daardoor zijn de andere accesspoints nog operationeel. Als toepassing is het handig dat het eduroam accesspoint op de burcht in Leiden als multi-SSID "ap.burcht.wleiden.net" heet en de eduroam accesspoint bij de Hortus Botanicus als multi-SSID "ap.hortusbotanicus.wleiden.net". Als toepassing kan het wenselijk zijn kleine / goedkopere AP's te monteren op plaatsen waar grote AP's met losse sector antennes niet mogelijk zijn en natuurlijk niet te vergeten de beschikbare wifi kanalen 1,6,11. Voor ieder AP zullen unieke openvpn certifacten gebruikt worden. Deze voorbeelden duiden erop dat er toch kleine specifieke wijzigingen tussen de !AccessPoints configuratie bestanden wenselijk zijn. Samengevat, er zal eerst handmatig een work-template opgezet worden waarmee een eduroam AP ingericht kan worden. Dit vormt dan de generieke basis voor een gescripte en automatische configuratie van veel AP's tegelijk die onderling kleine specifieke aanpassingen kunnen bevatten.
 
-==== 1.2a fixed OpenWRT release ====
+==== 1.2a fixed OpenWRT release bridged ====
 The following shell commands will first locally download the OpenWRT "Backfire" image and its packages, than flash the image, configure its packages, backup original config files so you must use them as a work-template for your own custom deployment! This work-template will form the generic base of a possible batch configure/deploy script to allow huge amount of AP's to be configured in one instance, with each little specific customisations. Instead of the Backfire 10.03.1 release also Attitude Adjustment 12.09 can be used, just change the download links for the image and packages you need!
 
@@ -161 +161 @@
         option filterwin2k      0  # enable for dial on demand
         option localise_queries 1
-        option rebind_protection 1  #! disable if upstream must serve RFC1918 addresses #change to 0 if local dns "wleiden.net" won't resolve <---
+        option rebind_protection 1  #! change to 0 if local dns "wleiden.net" won't resolve <---
         option rebind_localhost 1  # enable for RBL checking and similar services
         #list rebind_domain example.lan  # whitelist RFC1918 responses for domains
@@ -178 +178 @@
         #list bogusnxdomain     '64.94.110.11'
 
-config dhcp lan #! I doubt this one is even used... <---
+config dhcp lan 
         option interface        lan
-        option ignore   1
+        option ignore   1 #! I doubt this one is even used... <---
 #!      option start    100
 #!      option limit    150
@@ -188 +188 @@
         option interface        wan
         option ignore   1
-
-#!Add extra dhcp-server for multiSSID hotspot if not bridging <--- 
-#!config dhcp wlgst
-#!        option interface        wlgst
-#!        option start  5
-#!      option limit    252
-#!      option leasetime        1h
 }}}
 
@@ -216 +209 @@
 config zone
         option name             wan
-        option network          'wan' #!was eth0 <---
+        option network          'wan' #!was eth0 for bullet <---
         option input            REJECT
         option output           ACCEPT 
@@ -223 +216 @@
         option mtu_fix          1
 
-#! Allow multiSSID wlgst zone if not bridging <---
-#!config zone
-#!      option name             wlgst
-#!      option input            REJECT
-#!      option forward          REJECT
-#!      option output           ACCEPT
-
-# Changing eth0 > wan made all these rules active!
-# Allow SSH
+#! Allow SSH <---
 config rule
         option src              wan
@@ -241 +226 @@
         option src              lan
         option dest             wan
-
-#! Allow multiSSID wlgst to internet on wan <---
-#!config        forwarding
-#!      option src      wlgst
-#!      option dest     wan
-
-#! Allow multiSSID wlgst to DNS <---
-#! Client DNS queries ordinate from dynamic UDP ports (>1023) 
-#!config        rule 
-#!      option src              wlgst 
-#!      option dest_port        53 
-#!      option proto            tcpudp 
-#!      option target           ACCEPT
-
-#! Allow multiSSID wlgst to DHCP -> Router <---
-#! DHCP communication uses UDP ports 67-68 
-#!config        rule 
-#!      option src      wlgst 
-#!      option src_port 67-68 
-#!      option dest_port        67-68 
-#!      option proto    udp 
-#!      option target   ACCEPT
 
 # We need to accept udp packets on port 68,
@@ -359 +322 @@
         option ifname   wlan0
         option type     bridge
-#       option proto    dhcp #!TODO by this the AP's also get a real dhcp lease from the server, mac prefix range?
-        
-
-#!Add this interface if you internally NAT/Route the 2nd multiSSID instead of bridge <---
-#!config interface wlgst
-#!      #option ifname  wlgst
-#!      #option type    bridge
-#!      option proto    static
-#!      option ipaddr   192.168.5.1
-#!      option netmask  255.255.255.0
+#!       option proto    dhcp #!This makes the AP openvpn interface get a dhcp lease 
+#!       option gateway  0.0.0.0 #!This fixes that the default route of the AP alters to the one supplied by the eduradprox, wont work on all devices?!         
 }}}
 
@@ -552 +507 @@
 while [ true ]; do
   if [ -z "$(pid)" ]; then
-    ifconfig br-wan | grep -q inet\  || udhcpc #! use 'eth0' in nat-wlgst multiSSID mode! <---
+    ifconfig br-wan | grep -q inet\  || udhcpc #! use eth0 if interface wan not a bridge, reason still not understood! <---
     /etc/init.d/sysntpd start > /dev/null
     /usr/sbin/openvpn $@
@@ -566 +521 @@
 #TODO don't understand how ip of AP for the tunnel is created/assigned?
 #Multiple AP devices work, but may conflict with dhcplease range of wireless clients?
-#remove ${IP} and add proto dhcp to lan /etc/config/network
+#remove ${IP} in here and uncomment proto dhcp to lan see /etc/config/network
 
 FROM=3
@@ -589 +544 @@
 chmod +x customize/usr/sbin/iopenvpn
 chmod +x customize/sbin/wifi-update
+chmod +x customize/sbin/openvpn-update
 chmod +x customize/etc/init.d/sysntpd
 chmod +x customize/etc/init.d/openvpn
@@ -622 +578 @@
 }}}
 
-==== 1.2b default Ubiquiti AirOS ====
+==== 1.2b fixed Openwrt release nat/routed ====
+Use these configuration examples as a replacement to the examples from the previous 1.2a configuration to replace bridging by internal nat/routing for the second virtual open SSID "ap.wlgst-bridge.wleiden.net".
+
+
+#example code# /etc/config/dhcp
+{{{
+config dnsmasq
+        option domainneeded     1
+        option boguspriv        1
+        option filterwin2k      0  # enable for dial on demand
+        option localise_queries 1
+        option rebind_protection 1  #! change to 0 if local dns "wleiden.net" won't resolve <---
+        option rebind_localhost 1  # enable for RBL checking and similar services
+        #list rebind_domain example.lan  # whitelist RFC1918 responses for domains
+        option local    '/lan/'
+        option domain   'lan'
+        option expandhosts      1
+        option nonegcache       0
+        option authoritative    1
+        option readethers       1
+        option leasefile        '/tmp/dhcp.leases'
+        option resolvfile       '/tmp/resolv.conf.auto'
+        #list server            '/mycompany.local/1.2.3.4'
+        #option nonwildcard     1
+        #list interface         br-lan
+        #list notinterface      lo
+        #list bogusnxdomain     '64.94.110.11'
+
+config dhcp lan 
+        option interface        lan
+        option ignore   1 #! I doubt this one is even used... <---
+#!      option start    100
+#!      option limit    150
+#!      option leasetime        12h
+
+config dhcp wan
+        option interface        wan
+        option ignore   1
+
+#! Add extra dhcp-server for multiSSID hotspot when using nat <--- 
+config dhcp wlgst
+        option interface        wlgst
+        option start    5
+        option limit    252
+        option leasetime        1h
+}}}
+
+#example code# /etc/config/firewall
+{{{
+config defaults
+        option syn_flood        1
+        option input            ACCEPT
+        option output           ACCEPT 
+        option forward          REJECT
+# Uncomment this line to disable ipv6 rules
+#       option disable_ipv6     1
+
+config zone
+        option name             lan
+        option network          'lan'
+        option input            ACCEPT 
+        option output           ACCEPT 
+        option forward          REJECT
+
+config zone
+        option name             wan
+        option network          'wan' #!was eth0 for bullet <---
+        option input            REJECT
+        option output           ACCEPT 
+        option forward          REJECT
+        option masq             1 
+        option mtu_fix          1
+
+#! Allow SSH <---
+config rule
+        option src              wan
+        option proto            tcp
+        option dest_port        ssh
+        option target           ACCEPT
+
+config forwarding
+        option src              lan
+        option dest             wan
+
+#! Allow multiSSID wlgst zone if not bridging <---
+config zone
+        option name             wlgst
+        option input            REJECT
+        option forward          REJECT
+        option output           ACCEPT
+
+#! Allow multiSSID wlgst to internet on wan <---
+config  forwarding
+        option src      wlgst
+        option dest     wan
+
+#! Allow multiSSID wlgst to DNS <---
+#! Client DNS queries ordinate from dynamic UDP ports (>1023) 
+config  rule 
+        option src              wlgst 
+        option dest_port        53 
+        option proto            tcpudp 
+        option target           ACCEPT
+
+#! Allow multiSSID wlgst to DHCP -> Router <---
+#! DHCP communication uses UDP ports 67-68 
+config  rule 
+        option src      wlgst 
+        option src_port 67-68 
+        option dest_port        67-68 
+        option proto    udp 
+        option target   ACCEPT
+
+# We need to accept udp packets on port 68,
+# see https://dev.openwrt.org/ticket/4108
+config rule
+        option name             Allow-DHCP-Renew
+        option src              wan
+        option proto            udp
+        option dest_port        68
+        option target           ACCEPT
+        option family           ipv4
+
+# Allow IPv4 ping
+config rule
+        option name             Allow-Ping
+        option src              wan
+        option proto            icmp
+        option icmp_type        echo-request
+        option family           ipv4
+        option target           ACCEPT
+
+# Allow DHCPv6 replies
+# see https://dev.openwrt.org/ticket/10381
+config rule
+        option name             Allow-DHCPv6
+        option src              wan
+        option proto            udp
+        option src_ip           fe80::/10
+        option src_port         547
+        option dest_ip          fe80::/10
+        option dest_port        546
+        option family           ipv6
+        option target           ACCEPT
+
+# Allow essential incoming IPv6 ICMP traffic
+config rule
+        option name             Allow-ICMPv6-Input
+        option src              wan
+        option proto    icmp
+        list icmp_type          echo-request
+        list icmp_type          destination-unreachable
+        list icmp_type          packet-too-big
+        list icmp_type          time-exceeded
+        list icmp_type          bad-header
+        list icmp_type          unknown-header-type
+        list icmp_type          router-solicitation
+        list icmp_type          neighbour-solicitation
+        option limit            1000/sec
+        option family           ipv6
+        option target           ACCEPT
+
+# Allow essential forwarded IPv6 ICMP traffic
+config rule                                   
+        option name             Allow-ICMPv6-Forward
+        option src              wan
+        option dest             *
+        option proto            icmp
+        list icmp_type          echo-request
+        list icmp_type          destination-unreachable
+        list icmp_type          packet-too-big
+        list icmp_type          time-exceeded
+        list icmp_type          bad-header
+        list icmp_type          unknown-header-type
+        option limit            1000/sec
+        option family           ipv6
+        option target           ACCEPT
+
+# include a file with users custom iptables rules
+config include
+        option path /etc/firewall.user
+}}}
+
+#example code# /etc/config/network
+{{{
+# Copyright (C) 2006 OpenWrt.org
+
+config interface loopback
+        option ifname   lo
+        option proto    static
+        option ipaddr   127.0.0.1
+        option netmask  255.0.0.0
+
+#!this interface is wired to the Wireless Leiden infrastructure!
+config interface wan #!interface name wan vs eth0 applies /etc/config/firewall rules <---
+        option ifname   eth0
+        option type     bridge #! use bridge to forward DHCP,DNS,captive portal,etc from Wireless Leiden node to 2nd multiSSID <--- 
+        option proto    dhcp
+#       option peerdns  172.16.6.9 #! if dhcp is used, local dns wleiden.net resolve fix?<---
+#       option proto    static #! Unique static ip vs dhcp! <---
+#       option ipaddr   172.16.6.13 #! Unique ip settings differ! <---
+#       option netmask  255.255.255.248 #! Unique ip settings differ! <---
+#       option gateway  172.16.6.9 #! Unique ip settings differ! <--- 
+#       option dns      172.16.6.9 #! Unique ip settings differ! <--- do you run your own dns server? otherwise 8.8.8.8  
+        
+config interface lan
+        option ifname   wlan0
+        option type     bridge
+#!       option proto    dhcp #!This makes the AP openvpn interface get a real dhcp lease
+#!       option gateway  0.0.0.0 #!This fixes that the default route of the AP alters to the one supplied by the eduradprox, wont work on all devices?!         
+
+#!Add this interface if you internally NAT/Route the 2nd multiSSID <---
+config interface wlgst
+        #option ifname  wlgst
+        #option type    bridge
+        option proto    static
+        option ipaddr   192.168.5.1
+        option netmask  255.255.255.0
+}}}
+
+==== 1.2c default Ubiquiti AirOS ====
 De huidige 5.5.4 Ubiquiti AirOS software maakt het mogelijk het AP direct als radius "client" te laten fungeren. Dit is handig voor snel testen of uitrollen van inpandige afgeschermde infrastructuur waarbij het encrypten van het radius en internet verkeer via openvpn niet nodig is! Het is zo eenvoudig dat je enkel na het resetten van het apparaat, hem als normaal AP configureert(vergeet Airmax niet uit te zetten!) dan geef je bij Wireless security geen WPA2-"PSK" maar juist WPA2-"EAP" op. Direct verschijnt er een optie om een Authenticating/Accounting radius server/proxy op te geven met IP:PORT:SECRET, wanneer deze ingevuld worden is er direct al een werkend wpa2 enterprise AP oftwel eduroam hotspot! Verder is 'ntpclient' handig indien tijdsverschil te groot word om certificaat geldigheid te checken. Het remote sysloggen werkt ook. TODO SNMP client Verdere setup met NAT/Bridging/VLAN is wel aan te bevelen maar moet nog uitgezocht worden.
 
@@ -643 +819 @@
 
 Boot the usb-stick with the debian installation and pay attention to the devicename of the internal harddisk you are installing debian onto, aka "/dev/sdb". During "tasksel" choose "SSH server" and "Standard system utilities". When reaching the end of the installation,  mind that "Grub2" might install to the usb-stick /dev/sda while while the debian install is on /dev/sdb, therefor you have to manually install Grub to /dev/sdb otherwise install might fail. After the install (postinstall) the following packages freeradius, isc-dhcp-server, openvpn and syslog-ng will be installed and configured. To finish local nat/routing and firewall rules are needed and completing openvpn setup needs keys/certifactes made in 3 certnode of this howto.
-
-
 
 {{{
@@ -1108 +1282 @@
 keepalive 10 180 #! these settings keep the tunnel alive on the W.L. network <---
 #! run /bin/openvpnupdate update before uncommenting lladdress
-#! lladdress MACADDRESS #! overides random MAC adress of the br-lan interface for controlled dhcp lease! <---
+#! lladdr MACADDRESS #! overides random MAC adress of the br-lan interface for controlled dhcp lease! <---
 
 }}}
@@ -1349 +1523 @@
 
 TODO:
+iptables uitzoeken en lease time for eduroam wireless clients i.v.t. ap's aanpassen dan test klaar!!!
+
+configuratie 1.1a bridge/nat opdelen, gemengde examples is namelijk rommelig
+
 1.1a
 openwrt country code setting?
@@ -1402 +1580 @@
 
 Radius request lijken te worden gecached gebeurt dat op proxy met freeradius of in het ap met hostap?
-
+HOSTAPd op de accesspoints blijft caches bewaren!!! Force Reathorization
+ 
 V