OpenWRT Dynamic VLAN

3

Estou configurando um AP sem fio com o OpenWRT para oferecer suporte a vlan dinâmicas, fornecidas por um servidor RADIUS.

Eu encontrei um guia no OpenWRT.org que eu segui e com algumas pesquisas extras Eu estou quase lá. A única coisa que não funciona é a atribuição dinâmica de vlan. E não consigo descobrir o porquê.

Estou executando o 15.05 caos mais calmo em um TP-link Archer C7 no modo 'ap'. O firewall e o DHCP estão desativados, uma vez que são fornecidos pela rede.

Eu posso autenticar com o servidor RADIUS e fazer login na rede interna e na rede de convidados, se eu fizer a ponte manualmente entre o SSID e a VLAN desejada. VLANs dinâmicas não estão funcionando embora. O FreeRadius está transmitindo corretamente o Tipo de Túnel, Tipo de Meio de Túnel e ID de Grupo Privado de Túnel; como verificado com wireshark. Não tenho certeza, mas acho que pode ter algo a ver com o hostapd não ter as configurações corretas.

Qualquer ajuda seria muito apreciada

Meu / etc / config / wireless tem a seguinte aparência:

config wifi-iface
    option device   'radio1'
    option mode     'ap'
    option ssid     'WTD_Test_Rad'
    option encryption 'wpa2'
    option server   '172.16.20.105'
    option key      'RadiusSecret'
    option dynamic_vlan '2'
    option vlan_tagged_interface 'eth1'
    option vlan_naming 0
    option vlan_bridge 'br-vlan'

mas não consigo encontrar essas configurações de vlan no arquivo de configuração do hostapd: /var/run/hostapd-phy1.conf

interface=wlan1
ctrl_interface=/var/run/hostapd
disassoc_low_ack=1
preamble=1
wmm_enabled=1
ignore_broadcast_ssid=0
uapsd_advertisement_enabled=1
auth_server_addr=172.16.20.105
auth_server_port=1812
auth_server_shared_secret=RadiusSecret@WalkingTheDog
eapol_key_index_workaround=1
ieee8021x=1
auth_algs=1
wpa=2
wpa_pairwise=CCMP
ssid=WTD_Test_Rad
wpa_key_mgmt=WPA-EAP
okc=0
disable_pmksa_caching=1
bssid=60:e3:27:58:3a:8d

O hostapd -dd mostra o recebimento dos AVPs corretos, mas não parece se importar com nada disso.

wlan1: RADIUS Received 195 bytes from RADIUS server
wlan1: RADIUS Received RADIUS message
RADIUS message: code=2 (Access-Accept) identifier=79 length=195
   Attribute 79 (EAP-Message) length=6
      Value: 03f50004
   Attribute 80 (Message-Authenticator) length=18
      Value: d544a5f47ae84b9716fd76fb447a54e7
   Attribute 1 (User-Name) length=10
      Value: 'Mdirickx'
   Attribute 64 (Tunnel-Type) length=6
      Value: 0000000d
   Attribute 65 (Tunnel-Medium-Type) length=6
      Value: 00000006
   Attribute 81 (Tunnel-Private-Group-Id) length=3
      Value: 32
   Attribute 1 (User-Name) length=10
      Value: 'Mdirickx'
wlan1: STA 40:78:6a:53:eb:fb RADIUS: Received RADIUS packet matched with a pending request, round trip time 0.00 sec
wlan1: STA 40:78:6a:53:eb:fb IEEE 802.1X: old identity 'Mdirickx' updated with User-Name from Access-Accept 'Mdirickx'
wlan1: STA 40:78:6a:53:eb:fb IEEE 802.1X: decapsulated EAP packet (code=3 id=245 len=4) from RADIUS server: EAP Success
wlan1: STA 40:78:6a:53:eb:fb IEEE 802.1X: Sending EAP Packet (identifier 245)
wlan1: STA 40:78:6a:53:eb:fb WPA: sending 1/4 msg of 4-Way Handshake
wlan1: STA 40:78:6a:53:eb:fb WPA: received EAPOL-Key frame (2/4 Pairwise)
wlan1: STA 40:78:6a:53:eb:fb WPA: sending 3/4 msg of 4-Way Handshake
wlan1: STA 40:78:6a:53:eb:fb WPA: received EAPOL-Key frame (4/4 Pairwise)
wlan1: STA 40:78:6a:53:eb:fb WPA: pairwise key handshake completed (RSN)
wlan1: AP-STA-CONNECTED 40:78:6a:53:eb:fb
wlan1: STA 40:78:6a:53:eb:fb IEEE 802.1X: authorizing port
wlan1: STA 40:78:6a:53:eb:fb RADIUS: starting accounting session 56EC0FBB-00000004
wlan1: STA 40:78:6a:53:eb:fb IEEE 802.1X: authenticated - EAP type: 25 (PEAP)
    
por Frank Vermeulen 21.03.2016 / 12:59

3 respostas

1

Eu faria um comentário em vez de uma resposta, mas não tenho reputação suficiente aqui para isso. Eu literalmente escrevi o HOWTO que você vinculou em seu OP ao usar VLANs dinâmicas 802.1x no OpenWRT, bem como descobri e enviei os patches para fazê-los funcionar.

Algumas das coisas que você diz não parecem fazer sentido. Em particular, que option dynamic_vlan '1' funciona, mas option dynamic_vlan '2' nem aparece no arquivo de configuração hostapd não deve ser o caso. O script OpenWRT que lê seu arquivo / etc / config / wireless e o converte no arquivo de configuração hostapd apenas procura pela opção dynamic_vlan e se ele estiver lá e tiver um valor inteiro, o colocará no arquivo hostapd, portanto, se 1 aparecer no hostapd arquivo, 2 deve também. Por favor, verifique se ele está aparecendo em seu arquivo de configuração hostapd quando você define dynamic_vlan para 1. Isso dará mais algumas informações para trabalhar.

    
por 26.09.2017 / 06:45
0
config wifi-iface
    option dynamic_vlan '2'

não parece funcionar, uma vez alterado para

config wifi-iface
    option dynamic_vlan '1'

tudo funcionou como deveria.

Isso representa um risco de segurança.

    
por 21.03.2016 / 17:20
0

Acho que nem tudo funcionou como deveria. Você está apenas caindo automaticamente para NO vlan dinâmico (ou opção dynamic_vlan '0' ). Talvez o seu hostapd não suporte vlans dinâmicas (como se você estivesse usando hostapd-mini ou hostapd-common ). Você deve instalar a versão completa

opkg install hostapd

Veja mais detalhes aqui:

hostapd.sh

    
por 24.01.2017 / 13:50