| Both sides previous revision Previous revision Next revision | Previous revision Next revisionBoth sides next revision |
| ru:docs:guide-user:network:wifi:wireless.security.8021x [2018/09/12 07:38] – [Как это работает/устранение неисправностей] a727 | ru:docs:guide-user:network:wifi:wireless.security.8021x [2018/09/12 08:23] – a727 |
|---|
| FIXME **This page is not fully translated, yet. Please help completing the translation.**\\ //(remove this paragraph once the translation is finished)// | |
| |
| ====== Введение в 802.1x ====== | ====== Введение в 802.1x ====== |
| Одна из наименее известных опций безопасности стандарта 802.11 (как минимум среди SOHO пользователей) - это возможность иметь индивидуальные имена пользователей и пароли на централизованном сервере авторизации, который может быть использован для одной или более беспроводных точек доступа. Главное преимущество этого типа настройки – отдельные пользователи могут быть добавлены и отключены от беспроводного доступа без нарушения работы других пользователей или изменения ключей доступа к сети. Поэтому такой способ популярен в корпоративной среде. Если у вас имеются более сложные системы (такие как Active Directory) для входа пользователей – тогда имеется возможность подключить вашу беспроводную сеть к вашему серверу Active Directory для аутентификации этих пользователей. | Одна из наименее известных опций безопасности стандарта 802.11 (как минимум среди SOHO пользователей) - это возможность иметь индивидуальные имена пользователей и пароли на централизованном сервере авторизации, который может быть использован для одной или более беспроводных точек доступа. Главное преимущество этого типа настройки – отдельные пользователи могут быть добавлены и отключены от беспроводного доступа без нарушения работы других пользователей или изменения ключей доступа к сети. Поэтому такой способ популярен в корпоративной среде. Если у вас имеются более сложные системы (такие как Active Directory) для входа пользователей – тогда имеется возможность подключить вашу беспроводную сеть к вашему серверу Active Directory для аутентификации этих пользователей. |
| |
| Для этого типа настройки на точке доступа используются режимы беспроводного шифрования «WPA Enterprise» или «WPA2 Enterprise». Вы также можете посмотреть ссылки на 802.1x, являющийся стандартом аутентификации пользователей - как проводных, так и беспроводных - через RADIUS сервер. 802.1x является базовым протоколом, который используется беспроводным режимом шифрования WPA/2 Enterprise. | Для этого вида настройки на точке доступа используются режимы беспроводного шифрования «WPA Enterprise» или «WPA2 Enterprise». Вы также можете посмотреть ссылки на 802.1x, являющийся стандартом аутентификации пользователей - как проводных, так и беспроводных - через RADIUS сервер. 802.1x является базовым протоколом, который используется беспроводным режимом шифрования WPA/2 Enterprise. |
| |
| Обратите внимание, что пользовательские имена и пароли хранятся на RADIUS сервере, с которым точка доступа будет общаться для авторизации пользователей. В большинстве случаев, программное обеспечение RADIUS сервера расположено где-то еще в сети (очевидно, что это место должно быть достижимо для точки доступа). Но также возможно установить и запустить RADIUS сервер на OpenWRT. Установка и конфигурация RADIUS сервера лежит за рамками этого документа, однако на эту тему будет дано несколько советов. RADIUS – стандартизированный протокол, который поддерживается многими серверными приложениями, в том числе Microsoft Windows Network Policy Server (NPS), что позволяет авторизовывать пользователей Active Directory. FreeRADIUS – наиболее распространенный open source RADIUS сервер. | Обратите внимание, что пользовательские имена и пароли хранятся на RADIUS сервере, с которым точка доступа будет общаться для авторизации пользователей. В большинстве случаев, программное обеспечение RADIUS сервера расположено где-то еще в сети (очевидно, что это место должно быть достижимо для точки доступа). Но также возможно установить и запустить RADIUS сервер на OpenWRT. Установка и конфигурация RADIUS сервера лежит за рамками этого документа, однако на эту тему будет дано несколько советов. RADIUS – стандартизированный протокол, который поддерживается многими серверными приложениями, в том числе Microsoft Windows Network Policy Server (NPS), что позволяет авторизовывать пользователей Active Directory. FreeRADIUS – наиболее распространенный open source RADIUS сервер. |
| ВНИМАНИЕ! Вы будете изменять способ, которым CPU вашего роутера соединяется с вашим коммутатором (switch) в процессе этого конфигурования. Если выполнить это с ошибками, то вы можете потерять доступ к вашему роутеру. Если вы оказались в такой ситуации – вам понадобится ознакомиться с механизмом восстановления вашего роутера. Тогда вы сможет выполнить сброс настроек и вернуть управление или исправить вашу конфигурацию. Также хорошо **иметь резервную копию рабочей конфигурации до начала процесса** и знать каким образом OpenWRT управляет конфигурацией VLAN (т. к. это может быть несколько по-разному реализовано в том или ином роутере). Если у вас есть физический доступ к вашему роутеру – вы навряд ли сможете "убить" свой роутер таким образом, что это будет невозможно восстановить. Но если вы работаете по wifi или удаленно, то это возможно. //Лучше всего настраивать тестовую сеть на втором роутере и работать над ней пока вы не освоитесь с конфигурацией так как это поначалу может быть непросто сделать это правильно.// | ВНИМАНИЕ! Вы будете изменять способ, которым CPU вашего роутера соединяется с вашим коммутатором (switch) в процессе этого конфигурования. Если выполнить это с ошибками, то вы можете потерять доступ к вашему роутеру. Если вы оказались в такой ситуации – вам понадобится ознакомиться с механизмом восстановления вашего роутера. Тогда вы сможет выполнить сброс настроек и вернуть управление или исправить вашу конфигурацию. Также хорошо **иметь резервную копию рабочей конфигурации до начала процесса** и знать каким образом OpenWRT управляет конфигурацией VLAN (т. к. это может быть несколько по-разному реализовано в том или ином роутере). Если у вас есть физический доступ к вашему роутеру – вы навряд ли сможете "убить" свой роутер таким образом, что это будет невозможно восстановить. Но если вы работаете по wifi или удаленно, то это возможно. //Лучше всего настраивать тестовую сеть на втором роутере и работать над ней пока вы не освоитесь с конфигурацией так как это поначалу может быть непросто сделать это правильно.// |
| ==== Конфигурация ==== | ==== Конфигурация ==== |
| Поскольку мы будем работать с множеством VLAN, нам необходимо создать дополнительные VLAN для гостевой сети и включить маркировку (tagging) VLAN на порту CPU для VLANов “lan” и “guest” чтобы роутер мог взаимодействовать с обоими VLANами. В этом случае мы оставим сеть “lan” на VLAN 1 и создадим новую сеть “guest” на VLAN 3. Мы пропустим VLAN 2 потому что наш роутер, использующийся для этой демонстрации, использует VLAN 2 чтобы соединять порт WAN с CPU портом. Такое бывает не у всех роутеров, некоторые привязывают порт WAN непосредственно к CPU. Больше информации по раскладке портов коммутатора можно найти на странице OpenWRT wiki, посвященной конкретной модели роутера. | Поскольку мы будем работать с множеством VLAN, нам необходимо создать дополнительные VLAN для гостевой сети и включить маркировку (tagging) VLAN на порту CPU для VLANов “lan” и “guest” чтобы роутер мог взаимодействовать с обоими VLANами. В этом случае мы оставим сеть “lan” на VLAN 1 и создадим новую сеть “guest” на VLAN 3. Мы пропустим VLAN 2 потому что имеющийся у нас в этой демонстрации роутер использует VLAN 2 чтобы соединять порт WAN с CPU портом. Это не обязательно для всех роутеров, некоторые привязывают порт WAN непосредственно к CPU. Больше информации по раскладке портов коммутатора можно найти на странице OpenWRT wiki, посвященной конкретной модели роутера. |
| |
| Сначала, изменим существующий VLAN “lan” для маркировки трафика, идущего к порту CPU. В нашем примере порт CPU находится на порту 0, а порты 2, 3, 4 и 5 – существующие LAN порты коммутатора (которые мы хотим сохранить на VLAN “lan” как и раньше). Порт 1 на этом роутере – вторичный порт CPU, использующийся для WAN соединения. **Порты на вашем роутере могут различаться, проверьте подробности по портам вашего коммутатора на странице OpenWRT wiki, посвященной конкретно вашему роутеру.** На нашем роутере файл конфигурации коммутатора для VLAN 1 ''/etc/config/network'' выглядит так: | Сначала, изменим существующий VLAN “lan” для маркировки трафика, идущего к порту CPU. В нашем примере порт CPU находится на порту 0, а порты 2, 3, 4 и 5 – существующие LAN порты коммутатора (которые мы хотим сохранить на VLAN “lan” как и раньше). Порт 1 на этом роутере – вторичный порт CPU, использующийся для WAN соединения. **Порты на вашем роутере могут различаться, проверьте подробности по портам вашего коммутатора на странице OpenWRT wiki, посвященной конкретно вашему роутеру.** На нашем роутере файл конфигурации коммутатора для VLAN 1 ''/etc/config/network'' выглядит так: |
| '' | '' |
| |
| Теперь создайте новый VLAN для гостевой сети (мы использовали VLAN 3 на нашем роутере): | Теперь создайте новый VLAN для гостевой сети (на нашем роутере мы использовали VLAN 3): |
| |
| ''config switch_vlan | ''config switch_vlan |
| '' | '' |
| |
| Мы сделали два важных изменения. Во-первых, интерфейс ДОЛЖЕН быть назван ‘vlan1’ чтобы программа hostapd могла найти правильный интерфейс, к которому нужно присоединить пользователя. Во-вторых, опция ifname ДОЛЖНА быть изменена на “eth1.1.” т.к. трафик на VLAN 1 теперь будет маркироваться между коммутатором и CPU. | Мы сделали два важных изменения. Во-первых, интерфейс ДОЛЖЕН быть назван "vlan1" чтобы программа hostapd могла найти правильный интерфейс, к которому нужно присоединить пользователя. Во-вторых, опция ifname ДОЛЖНА быть изменена на “eth1.1.” т.к. трафик на VLAN 1 теперь будет маркироваться между коммутатором и CPU. |
| |
| Мы также должны добавить новый интерфейс на VLAN 3 для нашей гостевой сети. | Мы также должны добавить новый интерфейс на VLAN 3 для нашей гостевой сети. |
| '' | '' |
| |
| Обратите внимание, что опция ifname – eth1.3 – указывает что этот интерфейс должен взаимодействовать с VLAN 3 на порте CPU коммутатора и опция ipaddr находится в сети, отличной от VLAN 1. В целях упрощения, я сделал третий октет IP адреса равным номеру VLAN, но это не обязательно должно быть так. Соединение с VLAN сделано только по имени интерфейса, опции ifname и конфигурации коммутатора. | Обратите внимание, что опция ifname – eth1.3 – указывает что этот интерфейс должен взаимодействовать с VLAN 3 на порте CPU коммутатора и опция ipaddr находится в сети, отличной от VLAN 1. В целях упрощения, я сделал третий октет IP адреса равным номеру VLAN, но это не обязательно. Соединение с VLAN сделано только по имени интерфейса, опции ifname и конфигурации коммутатора. |
| |
| **Важное замечание:** до того, как вы измените имя вашего первичного интерфейса с “lan” на “vlan1”, вы должны обновить ваши файлы ''/etc/config/dhcp'' (опцию interface) и ''/etc/config/firewall'' (опцию network в зонах) чтобы отразить это изменение. //Ошибка в этих действиях сделает ваш роутер недоступным для вас.// | **Важное замечание:** до того, как вы измените имя вашего первичного интерфейса с “lan” на “vlan1”, вы должны обновить ваши файлы ''/etc/config/dhcp'' (опцию interface) и ''/etc/config/firewall'' (опцию network в зонах) чтобы отразить это изменение. //Ошибка в этих действиях сделает ваш роутер недоступным для вас.// |
| |
| Сохраните изменения в вашем файле ''/etc/config/network'' и используйте команду перезагрузки ''/etc/init.d/network'' чтобы применить изменения. Если вы все сделали правильно – вы должны через несколько секунд вы должны вернуться в командную строку и у вас по-прежнему будет доступ к роутеру. Если у вас появились проблемы с доступом к роутеру – наверняка вы каким-то образом отсоединили ваш порт CPU от коммутатора и вам необходимо использовать механизм восстановления чтобы снова попасть на роутер и исправить вашу конфигурацию. | Сохраните изменения в вашем файле ''/etc/config/network'' и используйте команду перезагрузки ''/etc/init.d/network'' чтобы применить изменения. Если вы все сделали правильно – то через несколько секунд у вас должно получиться вернуться в командную строку и у вас по-прежнему будет доступ к роутеру. Если у вас появились проблемы с доступом к роутеру – наверняка вы каким-то образом отсоединили ваш порт CPU от коммутатора и вам необходимо использовать механизм восстановления чтобы снова попасть на роутер и исправить вашу конфигурацию. |
| |
| Вероятно, что вы захотите настроить DHCP сервер для этого гостевого интерфейса, а также соответствующие правила фаервола чтобы разрешить доступ к Интернет, но запретить доступ к компьютерам вашей LAN. Но эти настройки находятся за пределами этого документа. Мы продолжим считая, что у вас есть настроенные и работающие адресация и правила фаервола. Вы также можете захотеть перед продолжением настроить отдельный беспроводной SSID на роутере, который НЕ БУДЕТ использовать 802.1x, который будет бриджиться с гостевой сетью и убедиться, что он работает. Если он не будет работать – вы должны будете разобраться с этим до того, как будете добавлять сложность динамических VLAN 802.1x. | Вероятно, что вы захотите настроить DHCP сервер для этого гостевого интерфейса, а также соответствующие правила фаервола чтобы разрешить доступ к Интернет, но запретить доступ к компьютерам вашей LAN. Но эти настройки находятся за пределами этого документа. Мы продолжим считая, что у вас есть настроенные и работающие адресация и правила фаервола. Вы также можете захотеть перед продолжением настроить отдельный беспроводной SSID на роутере, который НЕ БУДЕТ использовать 802.1x, который будет бриджиться с гостевой сетью и убедиться, что он работает. Если он не будет работать – вы должны будете разобраться с этим до того, как будете добавлять сложности динамических VLAN 802.1x. |
| |
| Теперь на нашем роутере есть функционирующая гостевая сеть и мы можем модифицировать нашу беспроводную конфигурацию для поддержки динамических vlanов 802.1x. Чтобы это сделать необходимо изменить настройки SSID в вашем файле ''/etc/config/wireless'' и удалить опцию ''network'', а также добавить опции ''dynamic_vlan'' и ''vlan_tagged_interface''. Пример ниже основан на базовой настройке 802.1x и будет выглядеть так: | Теперь на нашем роутере есть функционирующая гостевая сеть и мы можем модифицировать нашу беспроводную конфигурацию для поддержки динамических VLANов 802.1x. Чтобы это сделать необходимо изменить настройки SSID в вашем файле ''/etc/config/wireless'' и удалить опцию ''network'', а также добавить опции ''dynamic_vlan'' и ''vlan_tagged_interface''. Пример ниже основан на базовой настройке 802.1x и будет выглядеть так: |
| |
| |