Eu tenho uma APU PCEngines executando o Debian Jessie.
Estou tentando configurar o hostapd para executar a autenticação 802.1x com fio em um controlador de domínio remoto que executa o NPS em 2008 R2.
Eu gostaria que duas de suas portas de rede se juntassem a uma interface de ponte, uma vez autenticadas, que terão nossa sub-rede configurada, o DHCP relay executando & roteador IP com o qual nossos clientes podem conversar.
Após algumas pesquisas, a opção de configuração "bridge" no hostapd parece ser aplicável apenas a determinados drivers WiFi, não ao driver com fio.
Se eu adicionar as portas à bridge na inicialização, mas tiver o hostapd em execução em cada interface, os usuários poderão passar o tráfego e usar as interfaces sem autenticação.
Sem isso, os clientes podem se conectar e autenticar corretamente, mas obviamente não há rede para eles falarem (tentei conectar a opção de configuração, esperando que ela fosse automaticamente associada à ponte, mas isso não ocorre). / p>
Minha configuração do hostapd é a seguinte:
interface=eth1
driver=wired
ieee8021x=1
use_pae_group_addr=1
eap_reauth_period=3600
eapol_version=2
# RADIUS authentication server
auth_server_addr=**secret**
auth_server_port=1812
auth_server_shared_secret=**secret**
# RADIUS accounting server
acct_server_addr=**secret**
acct_server_port=1813
acct_server_shared_secret=**secret**
logger_syslog=-1
logger_syslog_level=2
Alguém sabe se o que eu estou procurando é possível ou o que estou fazendo de errado?
Editar:
Eu li que o hostapd não implementa a pilha completa do autenticador para o driver "com fio", portanto não pode ser usado para proteger uma porta com o 802.1x pronto para uso.
Eu também li que deveria ser possível usar a interface de controle para ouvir eventos, então use um programa externo para controlar a ponte.
Eu fiz isso e ele funciona inicialmente, mas após cerca de 3 minutos os clientes sempre são desconectados. Está logado no syslog como devido à inatividade.
Mesmo assim, incluirei meu código CGo abaixo:
package main
/*
#cgo CFLAGS: -DCONFIG_CTRL_IFACE -DCONFIG_CTRL_IFACE_UNIX
#include <stdlib.h>
#include <stdio.h>
#include <string.h>
#include "libbridge.h"
#include "wpa_ctrl.h"
*/
import "C"
import "unsafe"
import "fmt"
import "time"
import "strings"
var briface string = "br0"
var auiface string = "eth1"
var hostapd_path string = "/var/run/hostapd/"
var connected bool
var current_mac string
var wpa_ctl *C.struct_wpa_ctrl
func main() {
br_del()
hostapd_connect()
defer func(){
if wpa_ctl != nil {
C.wpa_ctrl_detach(wpa_ctl)
C.wpa_ctrl_close(wpa_ctl)
}
}()
for {
for C.wpa_ctrl_pending(wpa_ctl) > 0 {
log(fmt.Sprintf("Reading message from hostapd..."))
var buf [256]C.char
var llen C.size_t = C.size_t(unsafe.Sizeof(buf) - 1)
if C.wpa_ctrl_recv(wpa_ctl, &buf[0], &llen) == 0 {
null := C.CString("interface=eth1
driver=wired
ieee8021x=1
use_pae_group_addr=1
eap_reauth_period=3600
eapol_version=2
# RADIUS authentication server
auth_server_addr=**secret**
auth_server_port=1812
auth_server_shared_secret=**secret**
# RADIUS accounting server
acct_server_addr=**secret**
acct_server_port=1813
acct_server_shared_secret=**secret**
logger_syslog=-1
logger_syslog_level=2
0")
buf[llen] = *null
C.free(unsafe.Pointer(null))
//fmt.Printf("%s\n", C.GoString(&buf[0]))
msg := C.GoString(&buf[0])
mData := strings.Split(msg, " ")
if len(mData) < 2 {
log(fmt.Sprintf("Event data too short when processing message: %s", msg))
continue
}
switch (mData[0]){
case "<3>AP-STA-CONNECTED":
log(fmt.Sprintf("Got Device Authentication, adding to bridge..."))
br_add()
connected = true
current_mac = mData[1]
case "<3>AP-STA-DISCONNECTED":
log(fmt.Sprintf("Got Device Disconnect, removing from bridge..."))
br_del()
connected = false
case "<3>CTRL-EVENT-EAP-STARTED":
if connected {
if mData[1] != current_mac {
log(fmt.Sprintf("Got active MAC different from current MAC. %s vs %s - Disconnecting current.", mData[1], current_mac))
hostapd_disconnect(current_mac)
}
}
}
} else {
break
}
}
if ! hostapd_ping() {
C.wpa_ctrl_detach(wpa_ctl)
C.wpa_ctrl_close(wpa_ctl)
log(fmt.Sprintf("Lost connection to hostapd, reconnecting..."))
hostapd_connect()
}
time.Sleep(time.Millisecond * 100)
}
}
func hostapd_connect(){
ci := C.CString(hostapd_path + auiface)
defer C.free(unsafe.Pointer(ci))
for {
wpa_ctl = C.wpa_ctrl_open(ci)
if wpa_ctl != nil {
log(fmt.Sprintf("Connected to hostapd OK, attach..."))
if C.wpa_ctrl_attach(wpa_ctl) == 0 {
log(fmt.Sprintf("Attached event listener..."))
break
} else {
fmt.Printf("Failed to attach to event listener.")
C.wpa_ctrl_close(wpa_ctl)
}
} else {
log(fmt.Sprintf("Failed to connect to hostapd control socket, waiting for retry..."))
}
time.Sleep(time.Millisecond * 100)
}
}
func hostapd_disconnect(mac string){
ci := C.CString(hostapd_path + auiface)
defer C.free(unsafe.Pointer(ci))
dc := C.wpa_ctrl_open(ci)
if dc == nil {
log(fmt.Sprintf("Error opening connection to disconnect current station."))
return
}
defer C.wpa_ctrl_close(dc)
var buf [4096]C.char
var len C.size_t = C.size_t(unsafe.Sizeof(buf) - 1)
cping := C.CString("deauthenticate " + mac)
defer C.free(unsafe.Pointer(cping))
ret := C.wpa_ctrl_request(dc, cping, C.strlen(cping), &buf[0], &len, nil)
if (ret == -2) {
log(fmt.Sprintf("Station disconnect failed with timeout..."))
} else if (ret < 0) {
log(fmt.Sprintf("Station disconnect failed..."))
}
log(fmt.Sprintf("Station disconnect requested."))
}
func hostapd_ping() (bool) {
var buf [4096]C.char
var len C.size_t = C.size_t(unsafe.Sizeof(buf) - 1)
cping := C.CString("PING")
defer C.free(unsafe.Pointer(cping))
ret := C.wpa_ctrl_request(wpa_ctl, cping, C.strlen(cping), &buf[0], &len, nil)
if (ret == -2) {
log(fmt.Sprintf("PING failed with timeout..."))
return false
} else if (ret < 0) {
log(fmt.Sprintf("PING failed..."))
return false
}
return true
}
func br_add(){
br := C.CString(briface)
defer C.free(unsafe.Pointer(br))
ifa := C.CString(auiface)
defer C.free(unsafe.Pointer(ifa))
if ( C.br_init() > 0 ) {
log(fmt.Sprintf("Can't setup bridge control in br_add. Failed to add interface to bridge."))
return
}
ret := C.br_add_interface(br, ifa)
if ret > 0 {
log(fmt.Sprintf("Failed to add interface to bridge, error code: %d", ret))
return
}
}
func br_del(){
br := C.CString(briface)
defer C.free(unsafe.Pointer(br))
ifa := C.CString(auiface)
defer C.free(unsafe.Pointer(ifa))
if ( C.br_init() > 0 ) {
log(fmt.Sprintf("Can't setup bridge control in br_del. Failed to remove interface from bridge."))
return
}
ret := C.br_del_interface(br, ifa)
if ret > 0 {
log(fmt.Sprintf("Failed to remove interface from bridge, error code: %d", ret))
return
}
}
func log(data string) {
fmt.Printf("%s\n", data)
}
Tags hostapd linux linux-networking