Sitat #559
22:34:36 <Berge> Er bildet fra oddkk før eller etter boot?
22:34:41 <Yngve> Berge: etter
22:34:41 <kolden> Berge: før
-- Yngve og kolden er nyttige, #itk 2018-11-06

Powered by Debian Valid XHTML 1.1 Studentersamfundet i Trondhjem

WLAN

November 2002 begynte man å sette opp trådløst nettverk på Samfundet, basert på standard 802.11-utstyr. August 2014 kjøpte vi trådløskontroller, og oktober 2014 hadde vi fjernet alle APer som var for gamle til å stå på den. I 2021 fikk vi donert "nye" APer fra HVIKT (Helse Vest IKT) av typen Cisco Air-Cap3702I, og byttet ut alle de gamle APene med disse.

Kanalplan og sendestyrke styres av kontrolleren. Nettene 193.35.54.0/23 og 2001:67c:29f4:1::/64 rutes av merete.

Det har også tidligere vært satt opp trådløst nett på Samfundet – selv om dette ikke lenger er i drift, kan det ha historisk interesse, så den gamle dokumentasjonen på dette er fortsatt tilgjengelig. Det har dessuten vært mye endringer i WLAN-oppsettet; gammel informasjon ligger historisk i wikinoden.

Normal drift

All trafikk går først innom kontrolleren som CAPWAP-pakker, som behandler dem, dekapsulerer dem og kjører dem ut igjen på VLAN 15.

Det finnes to ESSIDer; Samfundet, som er ukryptert og åpent, samt et eksperimentelt 802.1x-autentisert (og -kryptert) ESSID, Samfundet.1x.

ESSID Samfundet

ESSIDen Samfundet er ukryptert og åpen; det er bare å koble seg til. DHCPv4 kommer via cirkus; merete ruter og kjører dhcrelay (for å sende DHCPv4-pakkene videre til cirkus) .

802.1x (også kjent som WPA2 Enterprise)

ESSIDen Samfundet.1x krever kryptering. Brukeren kan fritt velge brukernavn og passord, vi godtar alt da nettet uansett er åpent. Kontrolleren snakker RADIUS med cirkus, som kjører FreeRADIUS. Autentisering med TTLS-PAP skjer i to stadier: Først oppretter klienten en TLS-sikret forbindelse med RADIUS-tjeneren, hvor klienten kan kontrollere sertifikatet til tjeneren. Deretter gjøres PAP-autentisering inne i den krypterte forbindelsen (såkalt inner tunnel). På denne måte slipper både klient og tjener å stole på aksesspunkter, kontroller og annen telematikk. PAP er en simpel klartekstprotokoll for sending av passord, men siden kommunikasjonskanalen er sikret, går det helt fint.

FreeRADIUS linker inn en svært enkel perlmodul som godtar alle kombinasjoner av brukernavn og passord.

Klientstøtten for TTLS-PAP er litt variabel, se WPA2Enterprise for klientstøtte for forskjellige 802.1x-metoder. TTLS-PAP er valgt fordi det er den eneste metoden som både gir akseptabel støtte i klienter og hindrer at vi må lagre klartekstpassord (som vi ikke gjør) eller ustede X.509-sertifikater til alle klientene. Windows 7 er det eneste relevante OSet som ikke støtter TTLS-PAP ut av boksen (men det finnes tredjepartsprogramvare med støtte, for eksempel Intels WLAN-drivere).

CA for SSL til EAP

Linux-/iOS-/macOS-/Android-klienter

Siden disse klientene ikke har noen liste over CAer de stoler på for 802.1x, er det ikke noe poeng at RADIUS gir dem sertifikater i RADIUS signert av en annen utsteder; i praksis må vi shippe CA-sertifikat til klienten uansett. Derfor har 802.1x-oppsettet en egen CA i cirkus:/root/samfundet-wpa2-ca/. CAen brukes på følgende vis for å lage nye sertifikater:

cirkus:~# cd /root/samfundet-wpa2-ca/
cirkus:~/samfundet-wpa2-ca# mkdir $(date +%Y-%m-%d)
cirkus:~/samfundet-wpa2-ca/2014-09-21# openssl genrsa -out freeradius.key.pem 4096
cirkus:~/samfundet-wpa2-ca/2014-09-21# openssl req -sha256 -new -key freeradius.key.pem -out freeradius.csr.pem -config ../openssl.cnf 
[Godta standardsvarene]
cirkus:~/samfundet-wpa2-ca/2014-09-21# cd ..
cirkus:~/samfundet-wpa2-ca# openssl ca -keyfile CA/samfundet-wpa2-ca.key.pem -cert CA/samfundet-wpa2-ca.pem -in $(date +%Y-%m-%d)/freeradius.csr.pem -out $(date +%Y-%m-%d)/freeradius.cert.pem -config openssl.cnf

Nøkkelen og sertifikatet refereres til i FreeRADIUS-konfigurasjonen. Ved fornying av freeradius-sertifikat må freeradius.cert.pem og freeradius.key.pem kopieres til /etc/freeradius/3.0/certs/. sertifikatsets gyldighet kan sjekkes med check-x509-expiry /path/to/certificate.

Windows-klienter

Siden Windows ikke klarer å begrense et CA-sertifikat til EAP-bruk, vil et privat CA-sertifikat måtte installeres globalt. Dette er dårlig stil, så vi bruker heller Let's Encrypt for Windows-klienter. RADIUS klarer ikke å presentere begge sertifikatene samtidig, så vi misbruker heller feltet Anonymous Identity til å fortelle RADIUS hvilket sertifikat som skal presenteres. Årsaken til at vi ikke bruker Let's Encrypt for andre klienter enn Windows, er at dette vil kreve rekonfigurering av nåværende klienter, samt at vi ikke har kontroll over hva som skjer med Let's Encrypt sin CA.

For å utstede LE-sertifikater bruker vi en dns-01-challenge, se Let's Encrypt. Dette blir gjort av en cronjobb på cirkus.

Internt oppsett

Aksesspunktene på Samfundet er koblet i PoE-switchen georg.

Oppsett for hvordan koble et nytt aksesspunkt til kontrolleren finnes i noden CAPWAP.

Hvordan utvikle

  1. Start med en utsjekk av koden fra /home/cassarossa/itk/felles/git/wlan
  2. Legg til din utsjekk i /etc/apache2/sites-enabled/wlan.samfundet.no* på cirkus, Alias /dev/bruker /home/cassarossa/itk/bruke/sti/til/wlan/koden/web
  3. Besøk dev instansen din på http://wlan.samfundet.no/dev/bruker

Lenker: Start, farger, isfit-wlan, nettverk, pst, servere, til nye itkere, utdatert dokumentasjon, vlan

Epost: itk@samfundet.no | Telefon: 992 15 925 | Sist endret: 2023-12-16 10:40 | Revisjon: 274 (historie, blame) | Totalt: 1886 kB | Rediger