Differences

This shows you the differences between two versions of the page.

Link to this comparison view

Both sides previous revision Previous revision
Next revision
Previous revision
Next revisionBoth sides next revision
ru:docs:guide-user:network:wifi:wireless.security.8021x [2018/09/12 07:41] – [Введение в 802.1x] a727ru:docs:guide-user:network:wifi:wireless.security.8021x [2018/09/12 08:23] a727
Line 1: Line 1:
-FIXME **This page is not fully translated, yet. Please help completing the translation.**\\ //(remove this paragraph once the translation is finished)// 
  
 ====== Введение в 802.1x ======   ====== Введение в 802.1x ======  
Line 44: Line 43:
 ВНИМАНИЕ! Вы будете изменять способ, которым CPU вашего роутера соединяется с вашим коммутатором (switch) в процессе этого конфигурования. Если выполнить это с ошибками, то вы можете потерять доступ к вашему роутеру. Если вы оказались в такой ситуации – вам понадобится ознакомиться с механизмом восстановления вашего роутера. Тогда вы сможет выполнить сброс настроек и вернуть управление или исправить вашу конфигурацию. Также хорошо **иметь резервную копию рабочей конфигурации до начала процесса** и знать каким образом OpenWRT управляет конфигурацией VLAN (т. к. это может быть несколько по-разному реализовано в том или ином роутере).  Если у вас есть физический доступ к вашему роутеру – вы навряд ли сможете "убить" свой роутер таким образом, что это будет невозможно восстановить. Но если вы работаете по wifi или удаленно, то это возможно. //Лучше всего настраивать тестовую сеть на втором роутере и работать над ней пока вы не освоитесь с конфигурацией так как это поначалу может быть непросто сделать это правильно.//    ВНИМАНИЕ! Вы будете изменять способ, которым CPU вашего роутера соединяется с вашим коммутатором (switch) в процессе этого конфигурования. Если выполнить это с ошибками, то вы можете потерять доступ к вашему роутеру. Если вы оказались в такой ситуации – вам понадобится ознакомиться с механизмом восстановления вашего роутера. Тогда вы сможет выполнить сброс настроек и вернуть управление или исправить вашу конфигурацию. Также хорошо **иметь резервную копию рабочей конфигурации до начала процесса** и знать каким образом OpenWRT управляет конфигурацией VLAN (т. к. это может быть несколько по-разному реализовано в том или ином роутере).  Если у вас есть физический доступ к вашему роутеру – вы навряд ли сможете "убить" свой роутер таким образом, что это будет невозможно восстановить. Но если вы работаете по wifi или удаленно, то это возможно. //Лучше всего настраивать тестовую сеть на втором роутере и работать над ней пока вы не освоитесь с конфигурацией так как это поначалу может быть непросто сделать это правильно.//   
 ==== Конфигурация ==== ==== Конфигурация ====
-Поскольку мы будем работать с множеством VLAN, нам необходимо создать дополнительные VLAN для гостевой сети и включить маркировку (tagging) VLAN на порту CPU для VLANов “lan” и “guest” чтобы роутер мог взаимодействовать с обоими VLANами. В этом случае мы оставим сеть “lan” на VLAN 1 и создадим новую сеть “guest” на VLAN 3. Мы пропустим VLAN 2 потому что наш роутер, использующийся для этой демонстрациииспользует VLAN 2 чтобы соединять порт WAN с CPU портом. Такое бывает не у всех роутеров, некоторые привязывают порт WAN непосредственно к CPU. Больше информации по раскладке портов коммутатора можно найти на странице OpenWRT wiki, посвященной конкретной модели роутера.   +Поскольку мы будем работать с множеством VLAN, нам необходимо создать дополнительные VLAN для гостевой сети и включить маркировку (tagging) VLAN на порту CPU для VLANов “lan” и “guest” чтобы роутер мог взаимодействовать с обоими VLANами. В этом случае мы оставим сеть “lan” на VLAN 1 и создадим новую сеть “guest” на VLAN 3. Мы пропустим VLAN 2 потому что имеющийся у нас в этой демонстрации роутер использует VLAN 2 чтобы соединять порт WAN с CPU портом. Это не обязательно для всех роутеров, некоторые привязывают порт WAN непосредственно к CPU. Больше информации по раскладке портов коммутатора можно найти на странице OpenWRT wiki, посвященной конкретной модели роутера.   
  
 Сначала, изменим существующий VLAN “lan” для маркировки трафика, идущего к порту CPU. В нашем примере порт CPU находится на порту 0, а порты 2, 3, 4 и 5 – существующие LAN порты коммутатора (которые мы хотим сохранить на VLAN “lan” как и раньше). Порт 1 на этом роутере – вторичный порт CPU, использующийся для WAN соединения. **Порты на вашем роутере могут различаться, проверьте подробности по портам вашего коммутатора на странице OpenWRT wiki, посвященной конкретно вашему роутеру.** На нашем роутере файл конфигурации коммутатора для VLAN 1 ''/etc/config/network'' выглядит так:   Сначала, изменим существующий VLAN “lan” для маркировки трафика, идущего к порту CPU. В нашем примере порт CPU находится на порту 0, а порты 2, 3, 4 и 5 – существующие LAN порты коммутатора (которые мы хотим сохранить на VLAN “lan” как и раньше). Порт 1 на этом роутере – вторичный порт CPU, использующийся для WAN соединения. **Порты на вашем роутере могут различаться, проверьте подробности по портам вашего коммутатора на странице OpenWRT wiki, посвященной конкретно вашему роутеру.** На нашем роутере файл конфигурации коммутатора для VLAN 1 ''/etc/config/network'' выглядит так:  
Line 63: Line 62:
 '' ''
  
-Теперь создайте новый VLAN для гостевой сети (мы использовали VLAN 3 на нашем роутере):  +Теперь создайте новый VLAN для гостевой сети (на нашем роутере мы использовали VLAN 3):  
  
 ''config switch_vlan ''config switch_vlan
Line 91: Line 90:
 '' ''
  
-Мы сделали два важных изменения. Во-первых, интерфейс ДОЛЖЕН быть назван vlan1’ чтобы программа hostapd могла найти правильный интерфейс, к которому нужно присоединить пользователя. Во-вторых, опция ifname ДОЛЖНА быть изменена на “eth1.1.” т.к. трафик на VLAN 1 теперь будет маркироваться между коммутатором и CPU.   +Мы сделали два важных изменения. Во-первых, интерфейс ДОЛЖЕН быть назван "vlan1чтобы программа hostapd могла найти правильный интерфейс, к которому нужно присоединить пользователя. Во-вторых, опция ifname ДОЛЖНА быть изменена на “eth1.1.” т.к. трафик на VLAN 1 теперь будет маркироваться между коммутатором и CPU.   
  
 Мы также должны добавить новый интерфейс на VLAN 3 для нашей гостевой сети. Мы также должны добавить новый интерфейс на VLAN 3 для нашей гостевой сети.
Line 103: Line 102:
 '' ''
  
-Обратите внимание, что опция ifname – eth1.3 – указывает что этот интерфейс должен взаимодействовать с VLAN 3 на порте CPU коммутатора и опция ipaddr находится в сети, отличной от VLAN 1. В целях упрощения, я сделал третий октет IP адреса равным номеру VLAN, но это не обязательно должно быть так. Соединение с VLAN сделано только по имени интерфейса, опции ifname и конфигурации коммутатора.   +Обратите внимание, что опция ifname – eth1.3 – указывает что этот интерфейс должен взаимодействовать с VLAN 3 на порте CPU коммутатора и опция ipaddr находится в сети, отличной от VLAN 1. В целях упрощения, я сделал третий октет IP адреса равным номеру VLAN, но это не обязательно. Соединение с VLAN сделано только по имени интерфейса, опции ifname и конфигурации коммутатора.   
  
 **Важное замечание:** до того, как вы измените имя вашего первичного интерфейса с “lan” на “vlan1”, вы должны обновить ваши файлы ''/etc/config/dhcp'' (опцию interface) и ''/etc/config/firewall'' (опцию network в зонах) чтобы отразить это изменение. //Ошибка в этих действиях сделает ваш роутер недоступным для вас.//    **Важное замечание:** до того, как вы измените имя вашего первичного интерфейса с “lan” на “vlan1”, вы должны обновить ваши файлы ''/etc/config/dhcp'' (опцию interface) и ''/etc/config/firewall'' (опцию network в зонах) чтобы отразить это изменение. //Ошибка в этих действиях сделает ваш роутер недоступным для вас.//   
  
-Сохраните изменения в вашем файле ''/etc/config/network'' и используйте команду перезагрузки ''/etc/init.d/network'' чтобы применить изменения. Если вы все сделали правильно – вы должны через несколько секунд вы должны вернуться в командную строку и у вас по-прежнему будет доступ к роутеру. Если у вас появились проблемы с доступом к роутеру – наверняка вы каким-то образом отсоединили ваш порт CPU от коммутатора и вам необходимо использовать механизм восстановления чтобы снова попасть на роутер и исправить вашу конфигурацию.   +Сохраните изменения в вашем файле ''/etc/config/network'' и используйте команду перезагрузки ''/etc/init.d/network'' чтобы применить изменения. Если вы все сделали правильно – то через несколько секунд у вас должно получиться вернуться в командную строку и у вас по-прежнему будет доступ к роутеру. Если у вас появились проблемы с доступом к роутеру – наверняка вы каким-то образом отсоединили ваш порт CPU от коммутатора и вам необходимо использовать механизм восстановления чтобы снова попасть на роутер и исправить вашу конфигурацию.   
  
-Вероятно, что вы захотите настроить DHCP сервер для этого гостевого интерфейса, а также соответствующие правила фаервола чтобы разрешить доступ к Интернет, но запретить доступ к компьютерам вашей LAN. Но эти настройки находятся за пределами этого документа. Мы продолжим считая, что у вас есть настроенные и работающие адресация и правила фаервола. Вы также можете захотеть перед продолжением настроить отдельный беспроводной SSID на роутере, который НЕ БУДЕТ использовать 802.1x, который будет бриджиться с гостевой сетью и убедиться, что он работает. Если он не будет работать – вы должны будете разобраться с этим до того, как будете добавлять сложность динамических VLAN 802.1x.   +Вероятно, что вы захотите настроить DHCP сервер для этого гостевого интерфейса, а также соответствующие правила фаервола чтобы разрешить доступ к Интернет, но запретить доступ к компьютерам вашей LAN. Но эти настройки находятся за пределами этого документа. Мы продолжим считая, что у вас есть настроенные и работающие адресация и правила фаервола. Вы также можете захотеть перед продолжением настроить отдельный беспроводной SSID на роутере, который НЕ БУДЕТ использовать 802.1x, который будет бриджиться с гостевой сетью и убедиться, что он работает. Если он не будет работать – вы должны будете разобраться с этим до того, как будете добавлять сложности динамических VLAN 802.1x.   
  
-Теперь на нашем роутере есть функционирующая гостевая сеть и мы можем модифицировать нашу беспроводную конфигурацию для поддержки динамических vlanов 802.1x. Чтобы это сделать необходимо изменить настройки SSID в вашем файле ''/etc/config/wireless'' и удалить опцию ''network'', а также добавить опции ''dynamic_vlan'' и ''vlan_tagged_interface''. Пример ниже основан на базовой настройке 802.1x и будет выглядеть так: +Теперь на нашем роутере есть функционирующая гостевая сеть и мы можем модифицировать нашу беспроводную конфигурацию для поддержки динамических VLANов 802.1x. Чтобы это сделать необходимо изменить настройки SSID в вашем файле ''/etc/config/wireless'' и удалить опцию ''network'', а также добавить опции ''dynamic_vlan'' и ''vlan_tagged_interface''. Пример ниже основан на базовой настройке 802.1x и будет выглядеть так: 
  
  
  • Last modified: 2021/07/24 05:34
  • by someothertime