Differences

This shows you the differences between two versions of the page.

Link to this comparison view

Both sides previous revision Previous revision
Next revision
Previous revision
Next revisionBoth sides next revision
ru:docs:guide-user:network:wifi:wireless.security.8021x [2018/09/12 07:38] – [Как это работает/устранение неисправностей] a727ru:docs:guide-user:network:wifi:wireless.security.8021x [2018/09/12 08:23] a727
Line 1: Line 1:
-FIXME **This page is not fully translated, yet. Please help completing the translation.**\\ //(remove this paragraph once the translation is finished)// 
  
 ====== Введение в 802.1x ======   ====== Введение в 802.1x ======  
Line 5: Line 4:
 Одна из наименее известных опций безопасности стандарта 802.11 (как минимум среди SOHO пользователей) - это возможность иметь индивидуальные имена пользователей и пароли на централизованном сервере авторизации, который может быть использован для одной или более беспроводных точек доступа. Главное преимущество этого типа настройки – отдельные пользователи могут быть добавлены  и отключены от беспроводного доступа без нарушения работы других пользователей или изменения ключей доступа к сети. Поэтому такой способ популярен в корпоративной среде. Если у вас имеются более сложные системы (такие как Active Directory) для входа пользователей – тогда имеется возможность подключить вашу беспроводную сеть к вашему серверу Active Directory для аутентификации этих пользователей.    Одна из наименее известных опций безопасности стандарта 802.11 (как минимум среди SOHO пользователей) - это возможность иметь индивидуальные имена пользователей и пароли на централизованном сервере авторизации, который может быть использован для одной или более беспроводных точек доступа. Главное преимущество этого типа настройки – отдельные пользователи могут быть добавлены  и отключены от беспроводного доступа без нарушения работы других пользователей или изменения ключей доступа к сети. Поэтому такой способ популярен в корпоративной среде. Если у вас имеются более сложные системы (такие как Active Directory) для входа пользователей – тогда имеется возможность подключить вашу беспроводную сеть к вашему серверу Active Directory для аутентификации этих пользователей.   
  
-Для этого типа настройки на точке доступа используются режимы беспроводного шифрования «WPA Enterprise» или «WPA2 Enterprise». Вы также можете посмотреть ссылки на 802.1x, являющийся стандартом аутентификации пользователей - как проводных, так и беспроводных - через RADIUS сервер. 802.1x является базовым протоколом, который используется беспроводным режимом шифрования WPA/2 Enterprise.    +Для этого вида настройки на точке доступа используются режимы беспроводного шифрования «WPA Enterprise» или «WPA2 Enterprise». Вы также можете посмотреть ссылки на 802.1x, являющийся стандартом аутентификации пользователей - как проводных, так и беспроводных - через RADIUS сервер. 802.1x является базовым протоколом, который используется беспроводным режимом шифрования WPA/2 Enterprise.    
  
 Обратите внимание, что пользовательские имена и пароли хранятся на RADIUS сервере, с которым точка доступа будет общаться для авторизации пользователей. В большинстве случаев, программное обеспечение RADIUS сервера расположено где-то еще в сети (очевидно, что это место должно быть достижимо для точки доступа). Но также возможно установить и запустить RADIUS сервер на OpenWRT. Установка и конфигурация RADIUS сервера лежит за рамками этого документа, однако на эту тему будет дано несколько советов. RADIUS – стандартизированный протокол, который поддерживается многими серверными приложениями, в том числе Microsoft Windows Network Policy Server (NPS), что позволяет авторизовывать пользователей Active Directory. FreeRADIUS – наиболее распространенный open source RADIUS сервер.    Обратите внимание, что пользовательские имена и пароли хранятся на RADIUS сервере, с которым точка доступа будет общаться для авторизации пользователей. В большинстве случаев, программное обеспечение RADIUS сервера расположено где-то еще в сети (очевидно, что это место должно быть достижимо для точки доступа). Но также возможно установить и запустить RADIUS сервер на OpenWRT. Установка и конфигурация RADIUS сервера лежит за рамками этого документа, однако на эту тему будет дано несколько советов. RADIUS – стандартизированный протокол, который поддерживается многими серверными приложениями, в том числе Microsoft Windows Network Policy Server (NPS), что позволяет авторизовывать пользователей Active Directory. FreeRADIUS – наиболее распространенный open source RADIUS сервер.   
Line 44: Line 43:
 ВНИМАНИЕ! Вы будете изменять способ, которым CPU вашего роутера соединяется с вашим коммутатором (switch) в процессе этого конфигурования. Если выполнить это с ошибками, то вы можете потерять доступ к вашему роутеру. Если вы оказались в такой ситуации – вам понадобится ознакомиться с механизмом восстановления вашего роутера. Тогда вы сможет выполнить сброс настроек и вернуть управление или исправить вашу конфигурацию. Также хорошо **иметь резервную копию рабочей конфигурации до начала процесса** и знать каким образом OpenWRT управляет конфигурацией VLAN (т. к. это может быть несколько по-разному реализовано в том или ином роутере).  Если у вас есть физический доступ к вашему роутеру – вы навряд ли сможете "убить" свой роутер таким образом, что это будет невозможно восстановить. Но если вы работаете по wifi или удаленно, то это возможно. //Лучше всего настраивать тестовую сеть на втором роутере и работать над ней пока вы не освоитесь с конфигурацией так как это поначалу может быть непросто сделать это правильно.//    ВНИМАНИЕ! Вы будете изменять способ, которым CPU вашего роутера соединяется с вашим коммутатором (switch) в процессе этого конфигурования. Если выполнить это с ошибками, то вы можете потерять доступ к вашему роутеру. Если вы оказались в такой ситуации – вам понадобится ознакомиться с механизмом восстановления вашего роутера. Тогда вы сможет выполнить сброс настроек и вернуть управление или исправить вашу конфигурацию. Также хорошо **иметь резервную копию рабочей конфигурации до начала процесса** и знать каким образом OpenWRT управляет конфигурацией VLAN (т. к. это может быть несколько по-разному реализовано в том или ином роутере).  Если у вас есть физический доступ к вашему роутеру – вы навряд ли сможете "убить" свой роутер таким образом, что это будет невозможно восстановить. Но если вы работаете по wifi или удаленно, то это возможно. //Лучше всего настраивать тестовую сеть на втором роутере и работать над ней пока вы не освоитесь с конфигурацией так как это поначалу может быть непросто сделать это правильно.//   
 ==== Конфигурация ==== ==== Конфигурация ====
-Поскольку мы будем работать с множеством VLAN, нам необходимо создать дополнительные VLAN для гостевой сети и включить маркировку (tagging) VLAN на порту CPU для VLANов “lan” и “guest” чтобы роутер мог взаимодействовать с обоими VLANами. В этом случае мы оставим сеть “lan” на VLAN 1 и создадим новую сеть “guest” на VLAN 3. Мы пропустим VLAN 2 потому что наш роутер, использующийся для этой демонстрациииспользует VLAN 2 чтобы соединять порт WAN с CPU портом. Такое бывает не у всех роутеров, некоторые привязывают порт WAN непосредственно к CPU. Больше информации по раскладке портов коммутатора можно найти на странице OpenWRT wiki, посвященной конкретной модели роутера.   +Поскольку мы будем работать с множеством VLAN, нам необходимо создать дополнительные VLAN для гостевой сети и включить маркировку (tagging) VLAN на порту CPU для VLANов “lan” и “guest” чтобы роутер мог взаимодействовать с обоими VLANами. В этом случае мы оставим сеть “lan” на VLAN 1 и создадим новую сеть “guest” на VLAN 3. Мы пропустим VLAN 2 потому что имеющийся у нас в этой демонстрации роутер использует VLAN 2 чтобы соединять порт WAN с CPU портом. Это не обязательно для всех роутеров, некоторые привязывают порт WAN непосредственно к CPU. Больше информации по раскладке портов коммутатора можно найти на странице OpenWRT wiki, посвященной конкретной модели роутера.   
  
 Сначала, изменим существующий VLAN “lan” для маркировки трафика, идущего к порту CPU. В нашем примере порт CPU находится на порту 0, а порты 2, 3, 4 и 5 – существующие LAN порты коммутатора (которые мы хотим сохранить на VLAN “lan” как и раньше). Порт 1 на этом роутере – вторичный порт CPU, использующийся для WAN соединения. **Порты на вашем роутере могут различаться, проверьте подробности по портам вашего коммутатора на странице OpenWRT wiki, посвященной конкретно вашему роутеру.** На нашем роутере файл конфигурации коммутатора для VLAN 1 ''/etc/config/network'' выглядит так:   Сначала, изменим существующий VLAN “lan” для маркировки трафика, идущего к порту CPU. В нашем примере порт CPU находится на порту 0, а порты 2, 3, 4 и 5 – существующие LAN порты коммутатора (которые мы хотим сохранить на VLAN “lan” как и раньше). Порт 1 на этом роутере – вторичный порт CPU, использующийся для WAN соединения. **Порты на вашем роутере могут различаться, проверьте подробности по портам вашего коммутатора на странице OpenWRT wiki, посвященной конкретно вашему роутеру.** На нашем роутере файл конфигурации коммутатора для VLAN 1 ''/etc/config/network'' выглядит так:  
Line 63: Line 62:
 '' ''
  
-Теперь создайте новый VLAN для гостевой сети (мы использовали VLAN 3 на нашем роутере):  +Теперь создайте новый VLAN для гостевой сети (на нашем роутере мы использовали VLAN 3):  
  
 ''config switch_vlan ''config switch_vlan
Line 91: Line 90:
 '' ''
  
-Мы сделали два важных изменения. Во-первых, интерфейс ДОЛЖЕН быть назван vlan1’ чтобы программа hostapd могла найти правильный интерфейс, к которому нужно присоединить пользователя. Во-вторых, опция ifname ДОЛЖНА быть изменена на “eth1.1.” т.к. трафик на VLAN 1 теперь будет маркироваться между коммутатором и CPU.   +Мы сделали два важных изменения. Во-первых, интерфейс ДОЛЖЕН быть назван "vlan1чтобы программа hostapd могла найти правильный интерфейс, к которому нужно присоединить пользователя. Во-вторых, опция ifname ДОЛЖНА быть изменена на “eth1.1.” т.к. трафик на VLAN 1 теперь будет маркироваться между коммутатором и CPU.   
  
 Мы также должны добавить новый интерфейс на VLAN 3 для нашей гостевой сети. Мы также должны добавить новый интерфейс на VLAN 3 для нашей гостевой сети.
Line 103: Line 102:
 '' ''
  
-Обратите внимание, что опция ifname – eth1.3 – указывает что этот интерфейс должен взаимодействовать с VLAN 3 на порте CPU коммутатора и опция ipaddr находится в сети, отличной от VLAN 1. В целях упрощения, я сделал третий октет IP адреса равным номеру VLAN, но это не обязательно должно быть так. Соединение с VLAN сделано только по имени интерфейса, опции ifname и конфигурации коммутатора.   +Обратите внимание, что опция ifname – eth1.3 – указывает что этот интерфейс должен взаимодействовать с VLAN 3 на порте CPU коммутатора и опция ipaddr находится в сети, отличной от VLAN 1. В целях упрощения, я сделал третий октет IP адреса равным номеру VLAN, но это не обязательно. Соединение с VLAN сделано только по имени интерфейса, опции ifname и конфигурации коммутатора.   
  
 **Важное замечание:** до того, как вы измените имя вашего первичного интерфейса с “lan” на “vlan1”, вы должны обновить ваши файлы ''/etc/config/dhcp'' (опцию interface) и ''/etc/config/firewall'' (опцию network в зонах) чтобы отразить это изменение. //Ошибка в этих действиях сделает ваш роутер недоступным для вас.//    **Важное замечание:** до того, как вы измените имя вашего первичного интерфейса с “lan” на “vlan1”, вы должны обновить ваши файлы ''/etc/config/dhcp'' (опцию interface) и ''/etc/config/firewall'' (опцию network в зонах) чтобы отразить это изменение. //Ошибка в этих действиях сделает ваш роутер недоступным для вас.//   
  
-Сохраните изменения в вашем файле ''/etc/config/network'' и используйте команду перезагрузки ''/etc/init.d/network'' чтобы применить изменения. Если вы все сделали правильно – вы должны через несколько секунд вы должны вернуться в командную строку и у вас по-прежнему будет доступ к роутеру. Если у вас появились проблемы с доступом к роутеру – наверняка вы каким-то образом отсоединили ваш порт CPU от коммутатора и вам необходимо использовать механизм восстановления чтобы снова попасть на роутер и исправить вашу конфигурацию.   +Сохраните изменения в вашем файле ''/etc/config/network'' и используйте команду перезагрузки ''/etc/init.d/network'' чтобы применить изменения. Если вы все сделали правильно – то через несколько секунд у вас должно получиться вернуться в командную строку и у вас по-прежнему будет доступ к роутеру. Если у вас появились проблемы с доступом к роутеру – наверняка вы каким-то образом отсоединили ваш порт CPU от коммутатора и вам необходимо использовать механизм восстановления чтобы снова попасть на роутер и исправить вашу конфигурацию.   
  
-Вероятно, что вы захотите настроить DHCP сервер для этого гостевого интерфейса, а также соответствующие правила фаервола чтобы разрешить доступ к Интернет, но запретить доступ к компьютерам вашей LAN. Но эти настройки находятся за пределами этого документа. Мы продолжим считая, что у вас есть настроенные и работающие адресация и правила фаервола. Вы также можете захотеть перед продолжением настроить отдельный беспроводной SSID на роутере, который НЕ БУДЕТ использовать 802.1x, который будет бриджиться с гостевой сетью и убедиться, что он работает. Если он не будет работать – вы должны будете разобраться с этим до того, как будете добавлять сложность динамических VLAN 802.1x.   +Вероятно, что вы захотите настроить DHCP сервер для этого гостевого интерфейса, а также соответствующие правила фаервола чтобы разрешить доступ к Интернет, но запретить доступ к компьютерам вашей LAN. Но эти настройки находятся за пределами этого документа. Мы продолжим считая, что у вас есть настроенные и работающие адресация и правила фаервола. Вы также можете захотеть перед продолжением настроить отдельный беспроводной SSID на роутере, который НЕ БУДЕТ использовать 802.1x, который будет бриджиться с гостевой сетью и убедиться, что он работает. Если он не будет работать – вы должны будете разобраться с этим до того, как будете добавлять сложности динамических VLAN 802.1x.   
  
-Теперь на нашем роутере есть функционирующая гостевая сеть и мы можем модифицировать нашу беспроводную конфигурацию для поддержки динамических vlanов 802.1x. Чтобы это сделать необходимо изменить настройки SSID в вашем файле ''/etc/config/wireless'' и удалить опцию ''network'', а также добавить опции ''dynamic_vlan'' и ''vlan_tagged_interface''. Пример ниже основан на базовой настройке 802.1x и будет выглядеть так: +Теперь на нашем роутере есть функционирующая гостевая сеть и мы можем модифицировать нашу беспроводную конфигурацию для поддержки динамических VLANов 802.1x. Чтобы это сделать необходимо изменить настройки SSID в вашем файле ''/etc/config/wireless'' и удалить опцию ''network'', а также добавить опции ''dynamic_vlan'' и ''vlan_tagged_interface''. Пример ниже основан на базовой настройке 802.1x и будет выглядеть так: 
  
  
  • Last modified: 2021/07/24 05:34
  • by someothertime