Eduroam Admin
Stránka pro administrátory a správce sítě na FJFI. Základní informace lze nalézt na FJFI stránkách Eduroamu.
Contents
Konfigurace RADIUS serverů
Základní informace lze nalézt na oficiálních stránkách českéhé Eduroamu. Konfigurace je prakticky totožná s uvedenou až na drobné úpravy na základě informací z eduroam-admin konference. Konfigurace by měla být v souladu s Českou eduroam politikou.
Uživatelské účty jsou/budou ve Windows AD, která obsahuje účty všech studentů/zaměstnanců/spolupracovníků FJFI (včetně klientů Terezy). Pro účely Eduroamu bylo rozšířeno schema AD o několik atributů:
| atribut | typ | účel |
|---|---|---|
| fnspeEduroamPassword | Octet String | heslo pro přístup do Eduroam |
| fnspeEduroamDisabled | Boolean | Eduroam účet zablokován/povolen |
| fnspeEduroamLocal | Boolean | přístup jen v rámci fjfi.cvut.cz realm |
| fnspeEduroamExpire | Interval | datum expirace Eduroam účtu |
Při úspěšné autentizaci uživatele je pomocí samostatného skriptu uložena do databáze síťových zařízení registrovaných na FJFI informace o uživatelském jméně a MAC adrese autentizovaného zařízení.
Rozmístění AP
Na následujících plánech je rozmístění AP pro plné pokrytí FJFI WiFi signálem. Součástí jsou i informace o použitých kanálech (pouze 2.4GHz pásmo) a antenách.
Břehovka
http://kmlinux.fjfi.cvut.cz/~vokac/activities/2007/wifi-plan/brehovka-final/
Trojanka
http://kmlinux.fjfi.cvut.cz/~vokac/activities/2007/wifi-plan/trojanka-final/
Konfigurace AP/sítě
V Trojance eduroam (po)běží na odděleném segmentu 147.32.11.0/24 na samostatné VLAN 11. Z technických důvodů je totiž potřeba oddělit autentizovaný přístup od běžného anonymního přístupu. Vzhledem k tomu, že po přihlášení uživatele do Eduroamu je automaticky uložena jeho identita, není potřeba dále požadovat po uživateli povinnou registraci síťového zařízení.
ASUS wl500g Deluxe
Instalace OpenWRT Whiterussian 0.9
Měl by umožňovat práci s VLAN (minimálně 1-16), ale je ptřebo to ještě otestovat. Pro OpenWRT whiterussian 0.9 se jedná o následující nastavení nvram
ifup_interfaces=lan wifi lan_dns=147.32.9.4 147.32.1.20 lan_gateway=172.16.1.1 lan_ifname=vlan0 lan_ifnames=vlan0 lan_ipaddr=172.16.1.150 lan_netmask=255.255.255.0 lan_proto=static vlan0hwname=et0 vlan0ports=0 1 2 3 4 5* vlan11hwname=et0 vlan11ports=0t 5 wifi_ifname=br0 wifi_ifnames=vlan11 eth1 wifi_ipaddr=147.32.11.5 wifi_netmask=255.255.255.0 wifi_proto=static
Ke konfiguarci RADIUSu lze využí web rozhraní nebo se da přímo zapsat do nvram
wl0_radius_ipaddr=147.32.9.3 #wl0_radius_ipaddr=147.32.5.45 wl0_radius_key=secret_z_konfigurace_freeradiusu wl0_radius_port=1812
- jaké IP pro LAN x WIFI rozhraní pro komunikaci s RADIUS serverem?
- při startu se v této verzi OpenWRT automaticky doplní další (nevhodné) konfigurace
- při problémech s flashováním firmware je dobré vyzkoušet flashování následujících firmware
- wl500g-clear-nvram.trx
- wl500g-recover.trx
- openwrt-brcm-2.4-jffs2-4MB.trx
- v případě, že problémy přetrvají je možné ještě vyzkoušet oficiální firmware - WL500gx_1.9.6.0_EN.trx
- pro vyčístění nvram se dá použít mtd -r nvram erase
- pro upgrade by mělo fungovat mtd -r write /tmp/image.trx linux
Instalace OpenWRT Kamikaze 7.09
Z neznámého důvodu mi na OpenWRT Kamikaze nechodí WPA2, takže zatím používám v konfiguracích jen WPA. Narozdíl od Whiterussian (poslední verze 0.9) tato nová verze OpenWRT netrpí problémy s multicastem (když se v síti objevil multicast přesno, tak Whiterussian přestával být dostupný přes IP, což mělo za následek výpadky komunikace s RADIUS servery).
ssh open.wrt.device.ip cd /tmp wget http://downloads.openwrt.org/kamikaze/7.09/brcm-2.4/openwrt-brcm-2.4-squashfs.trx mtd -r write /tmp/openwrt-brcm-2.4-squashfs.trx linux # reboot telnet 192.168.1.1 passwd ipkg remove dnsmasq #/etc/init.d/dnsmasq disable # if you don't want to remove dnsmasq package #/etc/init.d/firewall disable # required(?) for VLAN/bridges for wl500g cd /etc/config vim network # change IP address and add "gateway" and "dns" # reboot ssh open.wrt.device.ip ipkg update ipkg install wlc wl snmpd matrixtunnel nas ntpclient zlib ipkg install http://downloads.x-wrt.org/xwrt/kamikaze/7.09/brcm-2.4/webif_latest.ipk ipkg install libopenssl openssl-util # tohle je při instalaci webif v konfliktu cd /etc/rc.d ln -s /etc/init.d/snmpd S50snmpd
Konfigurace
- /etc/config/network
#### VLAN configuration
config switch eth0
option vlan0 "0 1 2 3 4 5*"
option vlan11 "0t 5"
option vlan12 "0t 5"
#### Loopback configuration
config interface loopback
option ifname "lo"
option proto static
option ipaddr 127.0.0.1
option netmask 255.0.0.0
#### LAN configuration
config interface lan
option type bridge
option ifname "eth0.0"
option proto static
option ipaddr 147.32.7.x
option netmask 255.255.254.0
option gateway 147.32.6.1
option dns "147.32.9.4 147.32.1.20"
#### Eduroam VLAN configuration
config interface lan11
option type bridge
option ifname "eth0.11"
option proto none
#### WiFiFJFI VLAN configuration
config interface lan12
option type bridge
option ifname "eth0.12"
option proto none
- /etc/config/wireless
#### global AP configuration
config wifi-device wl0
option type broadcom
option channel 4
#### SSID Eduroam configuration (only first SSID is broadcasted)
#config wifi-iface
# option device wl0
# option network lan11
# option mode ap
# option ssid eduroam
# option encryption wpa
# option key "secret_z_konfigurace_freeradiusu"
# option server 147.32.9.3
# option port 1812
#### SSID WiFiFJFI configuration (only first SSID is broadcasted)
config wifi-iface
option device wl0
option network lan12
option mode ap
option ssid wififjfi
option encryption none
- /etc/snmp/snmpd.patch
--- snmpd.conf 2008-02-26 14:27:37.000000000 +0100 +++ snmpd.conf.new 2008-02-26 14:27:30.000000000 +0100 @@ -1,4 +1,6 @@ com2sec local localhost public +com2sec local 147.32.6.2 public +com2sec local 147.32.9.0/26 public group localrw v1 local group localrw v2c local group localrw usm local
Instalace OpenWRT Kamikaze 8.09.2
Další info viz. Instalace OpenWRT Kamikaze 7.09
ssh open.wrt.device.ip cd /tmp wget http://kamikaze.openwrt.org/8.09.2/brcm-2.4/openwrt-brcm-2.4-squashfs.trx mtd -r write /tmp/openwrt-brcm-2.4-squashfs.trx linux # reboot telnet 192.168.1.1 passwd opkg remove dnsmasq cd /etc/config vim network # change IP address and add "gateway" and "dns" # reboot ssh open.wrt.device.ip opkg update opkg install wlc wl snmpd-static cd /etc/rc.d ln -s ../init.d/snmpd S99snmpd # enable snmp rm -f S50httpd # disable http
Konfigurace
- /etc/config/network
#### VLAN configuration config switch eth0 option vlan0 "0 1 2 3 4 5*" option vlan13 "0t 5" option vlan15 "0t 5" #### Loopback configuration config interface loopback option ifname "lo" option proto static option ipaddr 127.0.0.1 option netmask 255.0.0.0 #### LAN configuration config interface lan option type bridge option ifname "eth0.0" option proto static option ipaddr 147.32.7.13 option netmask 255.255.254.0 option gateway 147.32.6.1 option dns "147.32.9.4 147.32.1.20" #### Eduroam VLAN configuration config interface lan13 option type bridge option ifname "eth0.13" option proto none #### WiFiFJFI VLAN configuration config interface lan15 option type bridge option ifname "eth0.15" option proto none
- /etc/config/wireless
config 'wifi-device' 'wl0' option 'type' 'broadcom' option 'channel' '4' #### SSID Eduroam configuration (only first SSID is broadcasted) #config wifi-iface # option device wl0 # option network lan13 # option mode ap # option ssid eduroam # option encryption wpa # option key "secret_z_konfigurace_freeradiusu" # option server 147.32.9.3 # option port 1812 #### SSID WiFiFJFI configuration (only first SSID is broadcasted) config 'wifi-iface' option 'device' 'wl0' option 'network' 'lan15' option 'mode' 'ap' option 'ssid' 'wififjfi' option 'encryption' 'none'
- /etc/config/snmpd (add/replace at the beginning of the file)
config com2sec public0 option secname ro option source localhost option community public config com2sec public1 option secname ro option source 147.32.6.2 option community public config com2sec public2 option secname ro option source 147.32.9.0/26 option community public
ASUS wl500g
Lze konfigurovat VLANy zvlášť pro LAN (eth0) a WAN (eth1), ale neumí vytvářet různé VLANy pro jednotlivé porty na interním switch tj. na LAN1-LAN4.
Upgrade
V restrore módu si načte IP z nvram narozdíl od wl500gx, takže nemusí mít nutně adresu 192.168.1.1. K resetu na "defaultní" hodnoty by měl asi sloužit firmware wl500g-clear-nvram.trx:
# tftp 192.168.1.1 tftp> binary tftp> trace tftp> get ASUSSPACELINKx01\x01\xa8\xc0 /dev/null # tftp 192.168.1.1 tftp> binary tftp> trace tftp> put openwrt.trx ASUSSPACELINK
nebo také (tohle mi posledně nějak nezafungovalo):
mtd -r write /tmp/image.trx linux
POZOR: při současné konfiguraci nelze provádět upgrade remote. Uplink je totiž ve WAN portu, který bude po upgrade v defaultní konfiguraci nedostupný.
Instalace OpenWRT Kamikaze 7.09
Instalace se neliší od Asus wl500g Deluxe, jen je potřeba vypnout firewall (možná?).
/etc/init.d/firewall disable
Konfigurace OpenWRT Kamikaze 7.09
Vzhledem k neexistující podpoře VLAN na interním switch se musí konfigurovat odlišným způsobem než Deluxe verze. Nejprve je dobré udělat bridge přes všechny porty, aby WAN i LAN byly na default VLAN ve své funkci ekvivalentní. Pak je potřeba vytvořit VLAN pro wifi síť a přibrigovat k ní wl0.
- /etc/config/wireless
config wifi-device wl0
option type broadcom
option channel 4
# REMOVE THIS LINE TO ENABLE WIFI:
#option disabled 1
config wifi-iface
option device wl0
option network wifi
option mode ap
option ssid wififjfi
option encryption none
- /etc/config/network
#### VLAN configuration
config switch eth0
option vlan0 "0 1 2 3 4 5*"
# option vlan11 "0t 5"
# option vlan12 "0t 5"
#### Loopback configuration
config interface loopback
option ifname "lo"
option proto static
option ipaddr 127.0.0.1
option netmask 255.0.0.0
#### LAN configuration
config interface lan
option type bridge
option ifname "eth0 eth1"
option proto static
option ipaddr 147.32.6.82
option netmask 255.255.254.0
option gateway 147.32.6.1
option dns "147.32.9.4 147.32.1.20"
#### wififjfi configuration
config interface wifi
option type bridge
option ifname "br-lan.12"
#### VLAN wififjfi configuration
config interface lan12
option ifname "br-lan.12"
Planet WAP-4000
Chová se nějak divně (nestabilně, klienty sice ověří - v log souborech je OK - ale některé nepustí dál) - nutné odzkoušet a asi půjde pryč... Nemá vůbec potuchy o VLAN, takže se k němu musí dotáhnout netagovaná VLAN 11
Planet WDAP-2000PE
Při nastaveném WPA zabezpečení mají někteří klienti problém s komunikací (nepomohl ani upgrade na nejnovější firmware). Open a WEP zabezpečení fuguje i s ověřováním přes RADIUS bezproblémů, ale je nepoužitelné vzhledem k požadavku odlišné konfigurace klienta.
MikroTik Routerboard
Bezprobémové nastavení VLAN, více SSID, různé zabezpečení, více radius serverů, ...
Bohužel na notebooku s wireless kartou BCM4306 nechodí proti tomuto AP TKIP zabezpečení, ale jen CCMP (vyzkoušeny dvě "různé" mini-PCI karty na AP - R52, CM10). Zatím bylo AP překonfigurovano tak, aby vůbec neinzerovalo podporu TKIP.
CISCO Aironet 1242
Bezproblémové nastavení
- nelze definovat více SSID pro jednu VLAN (každé musí být ve vlastní VLAN)
- IP adresu získávají od DHCP (zatím)
ssh admin@ap-tjn-xxx.fjfi.cvut.cz copy scp://user@server.fjfi.cvut.cz//home/user/config.txt startup-config reload
