Denne siden er arkivert, og kan inneholde utdatert, gammel eller feil informasjon.

Hvordan sette opp WLAN for ISFiT

Hvorfor ISFiT-WLAN

Hensikten med å lage et eget WLAN for ISFiT, framfor å bare åpne Samfundet-WLANet, er å øke kapasiteten til nettet. Siden vanlig Samfundet-WLAN ikke bruker NATing, har det ikke kapasitet til flere klienter enn det har IPv4-adresser til, som er omtrent 500. Det har hendt at vi har gått tom for IPv4-adresser til Samfundet-WLANet under ISFiT. Derfor er det lurt å lage et eget åpent WLAN for ISFiT, som benytter seg av NATing, og derfor har plass til flere klienter (omtrent 1000 hvis man følger denne guiden).

Hvordan ISFiT-WLAN

IP-adresser

Velg først IP-adressene som skal brukes til WLANet. Sjekk IPv6 for et ledig IPv6-område (i 2019 brukte vi 2001:67c:29f4:2::1/64). Ettersom NATing skal brukes, kreves både et internt og et eksternt IPv4-område. Sjekk IP-adresseplan for dette (i 2019 brukte vi 193.35.53.0/24 eksternt og 172.17.0.0/22 internt).

Lage VLAN

Det må lages et VLAN som WLANet skal være på. Sjekk VLAN for eksisterende VLAN, og velg en VLAN-ID som ikke brukes (i 2019 brukte vi 16). Deretter må VLANet legges til i konfigurasjonen til toppti og merete. Dette gjøres slik:

Velg et passende navn til VLANet (f. eks. isfitwlan)

På begge switchene, gjør følgende: SSH til switchen, og gjør kommandoene "conf t", "vlan <VLAN-ID>", "name <navnet til VLANet>" og "exit" i denne rekkefølgen (husk også å kjøre "write" til slutt).

VLANet må også legges i en MST-instans (se MST for hva dette er). Du kan nok bruke det samme som Samfundet-WLANet, se VLAN. Deretter må et interface for VLANet legges til på altersex. Dette kan gjøres ved å legge til følgende i fila /etc/network/interfaces på altersex:

iface eth0.<VLAN-ID> inet static                                  
        address <andre adresse i intern-IPv4-området>
        netmask <nettmasken til IPv4-området>                                                                      
iface eth0.<VLAN-ID> inet6 static                                     
        address <andre adresse i IPv6-området>
        netmask <nettmasken til IPv6-området>

Aktiver deretter interfacet ved å kjøre sudo ifup eth0.<VLAN-ID> på altersex.

Ruting i merete

Det må settes opp ruting på merete slik at trafikk til de eksterne IP-adressene vi har valgt blir sendt til altersex sin IP-adresse. Dette gjøres ved å lage en statisk rute med "ip route" og "ipv6 route" i kommandolinjefjeset på merete.

Iptables på altersex

Det må skrives litt regler for WLANet. Disse reglene eksisterer i /usr/local/sbin/iptables-setup, og kan legges til ved å redigere fila med et tekstredigeringsprogram.

Først må det lages regler for hva av innkomende trafikk som skal godkjennes. Vi ønsker det samme som på Samfundet-WLANet, så det er bare å kopiere linjene som handler om WLAN og begynner på "iptables -A INPUT" og endre interface, ip-adresse og nettmaske så de handler om ISFiT-WLANet (her skal de interne IPv4-adressene brukes).

Dersom WLANet er åpent (se WLAN for hvordan man åpner WLANet), trenger man ingen FORWARD-regler. Dersom du ønsker å ha Samfundet-WLANet er lukket samtidig som ISFiT-WLANet er åpent, må du legge til noen FORWARD-regler for dette.

I tillegg må det legges til en regel som gjør NATing, dvs. oversetter de interne IPv4-adressene til de eksterne. Legg til følgende linje under INPUT-reglene:

iptables -t nat -A POSTROUTING -s <internt IPv4-subnett> -j SNAT –to-source <fjerde ekstern IPv4-adresse>-<nest-siste ekstern IPv4-adresse>

Til slutt, kjør sudo /usr/local/sbin/iptables-setup

Radvd

Deretter må det legges til litt konfigurasjon i /etc/radvd.conf på altersex. Dette kan gjøres ved å kopiere konfigurasjonen til Samfundet-WLANet (står under interface eth0.15) og deretter endre VLAN-ID, IPv6-adresser og nettmaske til det du har valgt for ISFiT-WLANet. Kjør deretter sudo systemctl restart radvd.

DHCP og dhcrelay

Deretter må DHCP konfigureres, og dette gjøres i /etc/dhcp/dhcpd.conf på cirkus. Konfigurasjonsfilen er lagret i git, så husk å committe endringene dine (se git) når du er ferdig. Dersom konfigurasjonen fra tidligere ISFiT-WLAN ligger igjen som kommentar, er det bare å gjøre det til ikke-kommentar (IP-adresser må endres dersom du har valg andre enn det som har blitt brukt før). Hvis ikke, vil nok konfigurasjonen til ISFiT-WLANet ligne en del på den til Samfundet-WLANet. Etter du har konfigurert ferdig, restart DHCP med sudo service isc-dhcp-server restart (på cirkus).

Etter dette, kjør sudo systemctl restart icp-dhcp-relay på altersex for å restarte dhcprelay.

Litt ruting

For at altersex skal godta pakker som sendes til de eksterne IPv4-adressene du har valgt, kjør sudo ip route add <eksternt IPv4-subnett> dev lo på altersex.

For at cirkus svarer på DHCP til altersex, kjør sudo ip route add <internt IPv4-subnett> via <altersex sin IPv4-adresse> på cirkus.

merkdem

For å få et fungerende WLAN, gjenstår bare litt konfigurasjon i GUIet til merkdem. Dette kan nås på merkdem.samfundet.no.

Først, lag et interface for VLANet og sett VLAN Identifier til VLAN-IDen du har valgt, IP Adress til den tredje IP-adressen i det interne IPv4-området du har valgt, Netmask til nettmasken til det interne IPv4-området og Gateway til den andre IPv4-adressen i det interne IPv4-området (det du satte i interfaces på altersex. Ellers kan alle instillingene være likt VLANet som Samfundet-WLANet er på.

Deretter, lag et nytt WLAN. Sett Profile Name og SSID til noe fornuftig, for eksempel "ISFiT". Sett Interface og Multicast Interface lik interfacet du nettop lagde. Ellers kan alle instillingene være likt Samfundet-WLANet.

Til slutt, legg til WLANet du nettop lagde i AP-gruppen "Samfundet".

allow-recursion

For at man kan gjøre DNS-oppslag på ISFiT-WLANet, legg til linja:

access-control: <internt IPv4-subnett> allow

under server: i /etc/unbound/unbound.conf.d/allow-recursion.conf på altersex.

Lenker: Start