Назад | Перейти на главную страницу

OpenWRT динамический VLAN

Я настраиваю беспроводную точку доступа с OpenWRT для поддержки динамических vlan, предоставляемых сервером RADIUS.

Я нашел руководство по OpenWRT.org за которым я следил, и с некоторыми дополнительными исследованиями я почти готов. Не работает только динамическое назначение vlan. И я не могу понять почему.

Я бегаю 15.05 chaos calmer на TP-link Archer C7 в режиме ap. Брандмауэр и DHCP отключены, поскольку они предоставляются сетью.

Я могу пройти аутентификацию на сервере RADIUS и войти как во внутреннюю, так и в гостевую сеть, если я вручную подключу SSID к нужной VLAN. Однако динамические VLAN не работают. FreeRadius правильно передает Tunnel-Type, Tunnel-Medium-Type и Tunnel-Private-Group-ID; как проверено с wirehark. Я не уверен, но думаю, что это может быть связано с тем, что hostapd не получает правильные настройки.

Любая помощь будет принята с благодарностью

Мой / etc / config / wireless выглядит следующим образом:

config wifi-iface
    option device   'radio1'
    option mode     'ap'
    option ssid     'WTD_Test_Rad'
    option encryption 'wpa2'
    option server   '172.16.20.105'
    option key      'RadiusSecret'
    option dynamic_vlan '2'
    option vlan_tagged_interface 'eth1'
    option vlan_naming 0
    option vlan_bridge 'br-vlan'

но я не могу найти эти настройки vlan в файле конфигурации hostapd: /var/run/hostapd-phy1.conf

interface=wlan1
ctrl_interface=/var/run/hostapd
disassoc_low_ack=1
preamble=1
wmm_enabled=1
ignore_broadcast_ssid=0
uapsd_advertisement_enabled=1
auth_server_addr=172.16.20.105
auth_server_port=1812
auth_server_shared_secret=RadiusSecret@WalkingTheDog
eapol_key_index_workaround=1
ieee8021x=1
auth_algs=1
wpa=2
wpa_pairwise=CCMP
ssid=WTD_Test_Rad
wpa_key_mgmt=WPA-EAP
okc=0
disable_pmksa_caching=1
bssid=60:e3:27:58:3a:8d

Hostapd -dd показывает получение правильных AVP, но, похоже, не заботится ни о чем из этого.

wlan1: RADIUS Received 195 bytes from RADIUS server
wlan1: RADIUS Received RADIUS message
RADIUS message: code=2 (Access-Accept) identifier=79 length=195
   Attribute 79 (EAP-Message) length=6
      Value: 03f50004
   Attribute 80 (Message-Authenticator) length=18
      Value: d544a5f47ae84b9716fd76fb447a54e7
   Attribute 1 (User-Name) length=10
      Value: 'Mdirickx'
   Attribute 64 (Tunnel-Type) length=6
      Value: 0000000d
   Attribute 65 (Tunnel-Medium-Type) length=6
      Value: 00000006
   Attribute 81 (Tunnel-Private-Group-Id) length=3
      Value: 32
   Attribute 1 (User-Name) length=10
      Value: 'Mdirickx'
wlan1: STA 40:78:6a:53:eb:fb RADIUS: Received RADIUS packet matched with a pending request, round trip time 0.00 sec
wlan1: STA 40:78:6a:53:eb:fb IEEE 802.1X: old identity 'Mdirickx' updated with User-Name from Access-Accept 'Mdirickx'
wlan1: STA 40:78:6a:53:eb:fb IEEE 802.1X: decapsulated EAP packet (code=3 id=245 len=4) from RADIUS server: EAP Success
wlan1: STA 40:78:6a:53:eb:fb IEEE 802.1X: Sending EAP Packet (identifier 245)
wlan1: STA 40:78:6a:53:eb:fb WPA: sending 1/4 msg of 4-Way Handshake
wlan1: STA 40:78:6a:53:eb:fb WPA: received EAPOL-Key frame (2/4 Pairwise)
wlan1: STA 40:78:6a:53:eb:fb WPA: sending 3/4 msg of 4-Way Handshake
wlan1: STA 40:78:6a:53:eb:fb WPA: received EAPOL-Key frame (4/4 Pairwise)
wlan1: STA 40:78:6a:53:eb:fb WPA: pairwise key handshake completed (RSN)
wlan1: AP-STA-CONNECTED 40:78:6a:53:eb:fb
wlan1: STA 40:78:6a:53:eb:fb IEEE 802.1X: authorizing port
wlan1: STA 40:78:6a:53:eb:fb RADIUS: starting accounting session 56EC0FBB-00000004
wlan1: STA 40:78:6a:53:eb:fb IEEE 802.1X: authenticated - EAP type: 25 (PEAP)

Я бы сделал комментарий вместо ответа, но у меня здесь недостаточно репутации для этого. Я буквально написал HOWTO, на который вы ссылались в своем OP, об использовании 802.1x Dynamic VLANs в OpenWRT, а также выяснил и отправил исправления, чтобы заставить их работать.

Кое-что из того, что вы говорите, кажется бессмысленным. В частности, что option dynamic_vlan '1' работает, но option dynamic_vlan '2' даже не отображается в файле конфигурации hostapd, не должно быть. Сценарий OpenWRT, который читает ваш файл / etc / config / wireless и переводит его в файл конфигурации hostapd, просто ищет параметр dynamic_vlan, и, если он есть и имеет целочисленное значение, помещает его в файл hostapd, поэтому, если 1 отображается в hostapd файл, 2 должны также. Пожалуйста, проверьте, отображается ли он в вашем файле конфигурации hostapd, когда вы устанавливаете dynamic_vlan в 1. Это даст вам дополнительную информацию для работы.

Думаю, не все заработало как надо. Вы просто автоматически возвращаетесь к НЕТ динамической vlan (или опции dynamic_vlan '0'). Возможно, ваш hostapd не поддерживает динамические vlan (например, если вы используете hostapd-mini или hostapd-common). Вам следует установить полную версию 

opkg install hostapd

Подробнее см. Здесь:

hostapd.sh

config wifi-iface
    option dynamic_vlan '2'

не работало, когда-то изменено на 

config wifi-iface
    option dynamic_vlan '1'

все заработало как надо.

Это создает угрозу безопасности.