Eduroam Admin

From NMS
Revision as of 14:34, 26 February 2008 by Vokac (Talk | contribs) (Konfigurace)

Jump to: navigation, search

Stránka pro administrátory a správce sítě na FJFI. Základní informace lze nalézt na FJFI stránkách Eduroamu.

Konfigurace RADIUS serverů

Základní informace lze nalézt na oficiálních stránkách českéhé Eduroamu. Konfigurace je prakticky totožná s uvedenou až na drobné úpravy na základě informací z eduroam-admin konference. Konfigurace by měla být v souladu s Českou eduroam politikou.

Uživatelské účty jsou/budou ve Windows AD, která obsahuje účty všech studentů/zaměstnanců/spolupracovníků FJFI (včetně klientů Terezy). Pro účely Eduroamu bylo rozšířeno schema AD o několik atributů:

Atributy Eduroam Schematu
atribut typ účel
fnspeEduroamPassword Octet String heslo pro přístup do Eduroam
fnspeEduroamDisabled Boolean Eduroam účet zablokován/povolen
fnspeEduroamLocal Boolean přístup jen v rámci fjfi.cvut.cz realm
fnspeEduroamExpire Interval datum expirace Eduroam účtu

Při úspěšné autentizaci uživatele je pomocí samostatného skriptu uložena do databáze síťových zařízení registrovaných na FJFI informace o uživatelském jméně a MAC adrese autentizovaného zařízení.


Rozmístění AP

Na následujících plánech je rozmístění AP pro plné pokrytí FJFI WiFi signálem. Součástí jsou i informace o použitých kanálech (pouze 2.4GHz pásmo) a antenách.

Břehovka

http://kmlinux.fjfi.cvut.cz/~vokac/activities/2007/wifi-plan/brehovka-final/

Trojanka

http://kmlinux.fjfi.cvut.cz/~vokac/activities/2007/wifi-plan/trojanka-final/

Konfigurace AP/sítě

V Trojance eduroam (po)běží na odděleném segmentu 147.32.11.0/24 na samostatné VLAN 11. Z technických důvodů je totiž potřeba oddělit autentizovaný přístup od běžného anonymního přístupu. Vzhledem k tomu, že po přihlášení uživatele do Eduroamu je automaticky uložena jeho identita, není potřeba dále požadovat po uživateli povinnou registraci síťového zařízení.


ASUS wl500g Deluxe

Instalace OpenWRT Whiterussian 0.9

Měl by umožňovat práci s VLAN (minimálně 1-16), ale je ptřebo to ještě otestovat. Pro OpenWRT whiterussian 0.9 se jedná o následující nastavení nvram 

ifup_interfaces=lan wifi
lan_dns=147.32.9.4 147.32.1.20
lan_gateway=172.16.1.1
lan_ifname=vlan0
lan_ifnames=vlan0
lan_ipaddr=172.16.1.150
lan_netmask=255.255.255.0
lan_proto=static
vlan0hwname=et0
vlan0ports=0 1 2 3 4 5*
vlan11hwname=et0
vlan11ports=0t 5
wifi_ifname=br0
wifi_ifnames=vlan11 eth1
wifi_ipaddr=147.32.11.5
wifi_netmask=255.255.255.0
wifi_proto=static

Ke konfiguarci RADIUSu lze využí web rozhraní nebo se da přímo zapsat do nvram 

wl0_radius_ipaddr=147.32.9.3
#wl0_radius_ipaddr=147.32.5.45
wl0_radius_key=secret_z_konfigurace_freeradiusu
wl0_radius_port=1812
  • jaké IP pro LAN x WIFI rozhraní pro komunikaci s RADIUS serverem?
  • při startu se v této verzi OpenWRT automaticky doplní další (nevhodné) konfigurace
  • při problémech s flashováním firmware je dobré vyzkoušet flashování následujících firmware
    • wl500g-clear-nvram.trx
    • wl500g-recover.trx
    • openwrt-brcm-2.4-jffs2-4MB.trx
    • v případě, že problémy přetrvají je možné ještě vyzkoušet oficiální firmware - WL500gx_1.9.6.0_EN.trx
    • pro vyčístění nvram se dá použít mtd -r nvram erase
    • pro upgrade by mělo fungovat mtd -r write /tmp/image.trx linux


Instalace OpenWRT Kamikaze 7.09

Z neznámého důvodu mi na OpenWRT Kamikaze nechodí WPA2, takže zatím používám v konfiguracích jen WPA. Narozdíl od Whiterussian (poslední verze 0.9) tato nová verze OpenWRT netrpí problémy s multicastem (když se v síti objevil multicast přesno, tak Whiterussian přestával být dostupný přes IP, což mělo za následek výpadky komunikace s RADIUS servery). 

ssh open.wrt.device.ip
cd /tmp
wget http://downloads.openwrt.org/kamikaze/7.09/brcm-2.4/openwrt-brcm-2.4-squashfs.trx
mtd -r write /tmp/openwrt-brcm-2.4-squashfs.trx linux
# reboot
telnet 192.168.1.1
passwd
ipkg remove dnsmasq
#/etc/init.d/dnsmasq disable     # if you don't want to remove dnsmasq package
#/etc/init.d/firewall disable    # required(?) for VLAN/bridges for wl500g
cd /etc/config
vim network # change IP address and add "gateway" and "dns"
# reboot
ssh open.wrt.device.ip
ipkg update
ipkg install wlc wl snmpd matrixtunnel nas ntpclient zlib
ipkg install http://downloads.x-wrt.org/xwrt/kamikaze/7.09/brcm-2.4/webif_latest.ipk
ipkg install libopenssl openssl-util # tohle je při instalaci webif v konfliktu

Konfigurace

  • /etc/config/network
#### VLAN configuration 
config switch eth0
       option vlan0    "0 1 2 3 4 5*"
       option vlan11   "0t 5"
       option vlan12   "0t 5"

#### Loopback configuration
config interface loopback
       option ifname   "lo"
       option proto    static
       option ipaddr   127.0.0.1
       option netmask  255.0.0.0

#### LAN configuration
config interface lan
       option type     bridge
       option ifname   "eth0.0"
       option proto    static
       option ipaddr   147.32.7.x
       option netmask  255.255.254.0
       option gateway  147.32.6.1
       option dns "147.32.9.4 147.32.1.20"

#### Eduroam VLAN configuration
config interface lan11
       option type     bridge
       option ifname   "eth0.11"
       option proto    none

#### WiFiFJFI VLAN configuration
config interface lan12
       option type     bridge
       option ifname   "eth0.12"
       option proto    none
  • /etc/config/wireless
#### global AP configuration
config wifi-device  wl0
       option type     broadcom
       option channel  4

#### SSID Eduroam configuration (only first SSID is broadcasted)
#config wifi-iface
#      option device   wl0
#      option network  lan11
#      option mode     ap
#      option ssid     eduroam
#      option encryption wpa
#      option key "secret_z_konfigurace_freeradiusu"
#      option server 147.32.9.3
#      option port 1812

#### SSID WiFiFJFI configuration (only first SSID is broadcasted)
config wifi-iface
        option device   wl0
        option network  lan12
        option mode     ap
        option ssid     wififjfi
        option encryption none
  • /etc/snmp/snmpd.patch
--- snmpd.conf  2008-02-26 14:27:37.000000000 +0100
+++ snmpd.conf.new  2008-02-26 14:27:30.000000000 +0100
@@ -1,4 +1,6 @@
 com2sec  local      localhost        public
+com2sec  local      147.32.6.2       public
+com2sec  local      147.32.9.0/26    public
 group   localrw        v1            local
 group   localrw        v2c           local
 group   localrw        usm           local

ASUS wl500g

Lze konfigurovat VLANy zvlášť pro LAN (eth0) a WAN (eth1), ale neumí vytvářet různé VLANy pro jednotlivé porty na interním switch tj. na LAN1-LAN4.

Upgrade

V restrore módu si načte IP z nvram narozdíl od wl500gx, takže nemusí mít nutně adresu 192.168.1.1. K resetu na "defaultní" hodnoty by měl asi sloužit firmware wl500g-clear-nvram.trx: 

# tftp 192.168.1.1
tftp> binary
tftp> trace
tftp> get ASUSSPACELINKx01\x01\xa8\xc0 /dev/null

# tftp 192.168.1.1
tftp> binary
tftp> trace
tftp> put openwrt.trx ASUSSPACELINK

nebo také (tohle mi posledně nějak nezafungovalo): 

mtd -r write /tmp/image.trx linux

POZOR: při současné konfiguraci nelze provádět upgrade remote. Uplink je totiž ve WAN portu, který bude po upgrade v defaultní konfiguraci nedostupný.

Instalace OpenWRT Kamikaze 7.09

Instalace se neliší od Asus wl500g Deluxe, jen je potřeba vypnout firewall (možná?). 

/etc/init.d/firewall disable

Konfigurace OpenWRT Kamikaze 7.09

Vzhledem k neexistující podpoře VLAN na interním switch se musí konfigurovat odlišným způsobem než Deluxe verze. Nejprve je dobré udělat bridge přes všechny porty, aby WAN i LAN byly na default VLAN ve své funkci ekvivalentní. Pak je potřeba vytvořit VLAN pro wifi síť a přibrigovat k ní wl0.

  • /etc/config/wireless
config wifi-device  wl0
       option type     broadcom
       option channel  4
       # REMOVE THIS LINE TO ENABLE WIFI:
       #option disabled 1

config wifi-iface
       option device   wl0
       option network  wifi
       option mode     ap
       option ssid     wififjfi
       option encryption none
  • /etc/config/network
#### VLAN configuration
config switch eth0
       option vlan0    "0 1 2 3 4 5*"
#      option vlan11   "0t 5"
#      option vlan12   "0t 5"

#### Loopback configuration
config interface loopback
       option ifname   "lo"
       option proto    static
       option ipaddr   127.0.0.1
       option netmask  255.0.0.0

#### LAN configuration
config interface lan
       option type     bridge
       option ifname   "eth0 eth1"
       option proto    static
       option ipaddr   147.32.6.82
       option netmask  255.255.254.0
       option gateway  147.32.6.1
       option dns      "147.32.9.4 147.32.1.20"

#### wififjfi configuration
config interface wifi
       option type     bridge
       option ifname   "br-lan.12"

#### VLAN wififjfi configuration
config interface lan12
       option ifname   "br-lan.12"

Planet WAP-4000

Chová se nějak divně (nestabilně, klienty sice ověří - v log souborech je OK - ale některé nepustí dál) - nutné odzkoušet a asi půjde pryč... Nemá vůbec potuchy o VLAN, takže se k němu musí dotáhnout netagovaná VLAN 11

Planet WDAP-2000PE

Při nastaveném WPA zabezpečení mají někteří klienti problém s komunikací (nepomohl ani upgrade na nejnovější firmware). Open a WEP zabezpečení fuguje i s ověřováním přes RADIUS bezproblémů, ale je nepoužitelné vzhledem k požadavku odlišné konfigurace klienta.

MikroTik Routerboard

Bezprobémové nastavení VLAN, více SSID, různé zabezpečení, více radius serverů, ...

Bohužel na notebooku s wireless kartou BCM4306 nechodí proti tomuto AP TKIP zabezpečení, ale jen CCMP (vyzkoušeny dvě "různé" mini-PCI karty na AP - R52, CM10). Zatím bylo AP překonfigurovano tak, aby vůbec neinzerovalo podporu TKIP.

CISCO Aironet 1242

Bezproblémové nastavení

  • nelze definovat více SSID pro jednu VLAN (každé musí být ve vlastní VLAN)
  • IP adresu získávají od DHCP (zatím)
ssh admin@ap-tjn-xxx.fjfi.cvut.cz
copy scp://user@server.fjfi.cvut.cz//home/user/config.txt startup-config
reload
Retrieved from "https://nms.fjfi.cvut.cz/wiki/index.php?title=Eduroam_Admin&oldid=2457"