Changes between Version 63 and Version 64 of WikiStart


Ignore:
Timestamp:
May 21, 2013, 2:20:22 PM (11 years ago)
Author:
walter
Comment:

--

Legend:

Unmodified
Added
Removed
Modified

  • WikiStart

    v63 v64  
    3535Voor het aanbieden van de eduroam infrastructuur op het Wireless Leiden netwerk is gekozen voor twee verschillende type installaties met idem verschillende functionaliteit namelijk:
    36361. "!AccesPoints" meerdere (types) die als "eduroam" multiSSID hotspot zullen fungeren met OpenWRT/Airos.
    37 2. "Radius-!Server/Proxy & gateway" een enkele centraal gepositioneerde server met DEBIAN/FREEBSD.
     372. "Radius-!Server/Proxy & gateway" een enkele centraal gepositioneerde server met DEBIAN of FREEBSD.
    3838De AP's kunnen vrij en verspreid door de stad op de Wireless Leiden infrastructuur aangekoppeld worden, bij voorkeur direct op een node van Wireless Leiden! De "Radius-!Server/Proxy & gateway" kan het best bij een onderwijs instelling geplaatst worden waar deze enerzijds gekoppeld is aan een internet gateway en anderzijds aan de infrastructuur van Wireless Leiden. De verbinding tussen deze twee typen installaties word via OpenVPN tunnels beveiligd en geencrypt opgezet waardoor het mogelijk onveilige karakter van het open Wireless Leiden netwerk vervalt. Naast de twee eerder genoemde type installaties zijn er nog een vijftal organisatorische eisen waaronder:
    3939A. toegang/inlog-gegevens tot de centrale eduroam/surfnet/surf-foundation identity-provider radiusproxy.
     
    5050Voor het opleveren van veel AP's (batches) met unieke instelligen zal er uiteindelijk een configuratie script volgen waarmee op basis van het MAC-adres van het AP een aantal unieke parameters meegegeven kunnen worden voor de configuratie: MultiSSID, hostname, kanaal, ipadres(bedraad/draadloos), etc... vergeet de unieke openvpn client certificaten niet, tevens zouden er per AP unieke client gegevens om met de radius-proxy/server te communiceren gemaakt kunnen worden.
    5151
    52 Door het gebruik van het opensource software [http://www.openwrt.org OpenWRT], [http://www.freebsd.org FREEBSD]/[http://www.debian.org Debian] en gerelateerde software projecten (isc-dhcp-server/freeradius/openvpn/, is deze setup niet gelimiteerd aan een enkel merk en of type hardware. Een kleine aanpassing aan de configuratie bestanden zou een vereiste kunnen zijn voordat het op ander hardware platvorm werkt. Deze handleiding zal overigens alleen toegespitst zijn op Ubiquiti AP's zoals Bullet m2 HP/ Nano station/loco m2 en via-epia-m/alixboard als radiusproxy/server & gateway. Als uitgangssituatie om deze handleiding uit te voeren word ubuntu 12.04LTS AMD64 gebruikt!
     52Door het gebruik van het opensource software [http://www.openwrt.org OpenWRT], [http://www.freebsd.org FREEBSD]/[http://www.debian.org Debian] en gerelateerde software projecten (isc-dhcp-server/freeradius/openvpn/syslog-ng), is deze setup niet gelimiteerd aan een enkel merk en of type hardware. Een kleine aanpassing aan de configuratie bestanden zou een vereiste kunnen zijn voordat het op ander hardware platvorm werkt. Deze handleiding zal overigens alleen toegespitst zijn op Ubiquiti AP's zoals Bullet m2 HP/ Nano station/loco m2 en via-epia-m/alixboard als radiusproxy/server & gateway. Als uitgangssituatie om deze handleiding uit te voeren word ubuntu 12.04LTS AMD64 gebruikt!
    5353
    5454*Wat niet behandeld gaat worden is het aanmaken van een user-database/list voor de radius server, aangezien alle users extern via proxy geauthenticeerd worden en niet intern want Wireless Leiden is geen eduroam identityprovider!
     
    5656=== 1 setup eduroam !AccessPoints ===
    5757==== 1.1 hardware & software ====
    58 Het !AccessPoint zal met multiSSID ingesteld worden en bridged al het wireless verkeer van de beveiligde SSID "eduroam" SSID via een openvpn tunnel naar de "radius-server/proxy & gateway". Het wireless verkeer van de tweede virtuele open SSID "ap.wlgst-bridge.wleiden.net" zal in de voorbeeld configuratie "1.2a" via bridging direct een Wireless Leiden node ingaan die reeds zelf al met DHCP, DNS, routing en natuurlijk captive portal is uitgerust. Voor de configuratie zonder bridging van het tweede virtuele SSID, maar met een eigen interne nat/routing word in 1.2b de wijzigingen t.o.v. 1.2a doorgegeven. In 1.2c word uitgelegd hoe je direct op AirOS zelf een eduroam hotspot kan realiseren.
     58Het !AccessPoint zal met multiSSID ingesteld worden en bridged al het wireless verkeer van de beveiligde SSID "eduroam" SSID via een openvpn tunnel naar de "radius-server/proxy & gateway". Het wireless verkeer van de tweede virtuele open SSID "ap.wlgst-bridge.wleiden.net" zal in het volgende configuratie voorbeeld "1.2a" via bridging direct een Wireless Leiden node ingaan die reeds zelf al met DHCP, DNS, routing en natuurlijk captive portal is uitgerust. Voor de configuratie zonder bridging van het tweede virtuele SSID, maar met een eigen interne nat/routing word in 1.2b de wijzigingen t.o.v. 1.2a aangegeven. In 1.2c word uitgelegd hoe je direct op AirOS zelf een eduroam hotspot kan realiseren.
    5959
    6060In tegenstelling tot de oude handleiding(onderaan deze pagina) word momenteel gebruik gemaakt van een "fixed" OpenWRT releases waaronder Backfire 10.03.1 of zelfs Atitude Adjustment 12.0.9 final. Dit niet alleen omdat het bouwen van een custombuild onnodig is geworden omdat "openvpn" inmiddels als pakket direct gebruiksklaar en beschikbaar is voor de 10.03.1 en 12.09 releases. Maar vooral omdat compileren van een openwrt image & build omgeving erg veel tijd, moeite en veel variabelen introduceert in een al/nog experimentele infrastructuur. Met fixed releases kan in minder dan 5 minuten direct een werkend accesspoint prototype gerealiseerd worden en dat zelfs voor verschillende type architecturen accesspoints (arm/mips/x86/etc, mits daar openwrt images voor zijn)! Wel zou via custom gecompileerde releases het geheugen gebruik en processor belasting geoptimaliseerd kunnen worden door het weglaten van ongebruikte pakketten. *Update, inmiddels is het ook al direct mogelijk om via AirOS software dat standaard al op Ubiquiti AP's aanwezig een "eduroam" hotspot met wpa2 enterprise en radiusclient functie te maken (enkel openvpn ontbreekt)!
     
    369369config wifi-iface
    370370        option device   radio0
    371         option network  wan #! use 'wlgst' when not bridging <---
    372         option bridge   br-wan #! comment this if using 'wlgst'!
     371        option network  wan #! this is for bridging <---
     372        option bridge   br-wan #! this is for bridging <---
    373373        option mode     ap
    374374        option ssid     ap.wlgst-bridge.wleiden.test #! Unique 2nd/virtual multiSSID! <---
     
    580580==== 1.2b fixed Openwrt release nat/routed ====
    581581Use these configuration examples as a replacement to the examples from the previous 1.2a configuration to replace bridging by internal nat/routing for the second virtual open SSID "ap.wlgst-bridge.wleiden.net".
    582 
    583582
    584583#example code# /etc/config/dhcp
     
    796795        option ipaddr   192.168.5.1
    797796        option netmask  255.255.255.0
     797}}}
     798
     799#example code# /etc/config/wireless
     800{{{
     801config wifi-device  radio0 #! names and config parameters are different for wifi architectures, ar71xx,brcm47xx,x86,etc <---
     802        option type     mac80211
     803        option channel  5 #! Unique channels must be set since multiple AP's at one site differs 1,6,11! <---
     804        option macaddr  MACADDRESS # this will be set by another script, leave it alone!!! <---
     805        option hwmode   11ng #when using 5ghz vs 2,4ghz '11na' must be set! <---
     806        option htmode   HT20
     807        list ht_capab   SHORT-GI-40
     808        list ht_capab   TX-STBC
     809        list ht_capab   RX-STBC1
     810        list ht_capab   DSSS_CCK-40
     811
     812#! this interface is bridged to the vpn tunnel!
     813#! option server/key are credentials for radius client
     814config wifi-iface
     815        option device   radio0
     816        option network  lan
     817        option bridge   br-lan
     818        option mode     ap
     819        option ssid     eduroam #! its all about this one!!!<---
     820        option encryption wpa2
     821        option server   192.168.4.1 #! Location of radius-server/proxy behind the tunnel 1812/1813 <---
     822        option key      testsecret #! Radius client password to connect to the radiusserver <---
     823        option isolate  1 #! wifi clients cannot connect to each other <---
     824
     825config wifi-iface
     826        option device   radio0
     827        option network  wlgst #! use 'wlgst' for nat <---
     828        option mode     ap
     829        option ssid     ap.wlgst-bridge.wleiden.test #! Unique 2nd/virtual multiSSID! <---
     830        option encryption none
    798831}}}
    799832