Differences

This shows you the differences between two versions of the page.

meta:playground [2013/01/20 17:58]
173.254.216.68 test
meta:playground [2013/10/16 22:24] (current)
trazor
Line 1: Line 1:
-====== Playground ======+===== Introduction =====
-Place to test wiki markup+In this scenario a big area must be covered with Wi-Fi access and no Access Point alone can provide that kind of reachability. Three different wifi networks will be provided for diferent access levels. Traffic from these networks will be isolated and controlled by a central Linux box running Shorewall. A wired Ethernet backbone will carry traffic from the Access Points (in our example three AP are used, but can be more if necessary. Beware of air channel starvation). The encapsulation protocol will be OpenVPN with no cypher and that means the processing power for traffic encapsulation will be low (encryption can be enabled if required). The author has succesfully done a similar setup using 802.1q (VLANS) encapsulation. L2tp is a another reasonable alternative to try for encapsulation.
 +The following is a diagram of the solution:
 +
 +PICTURE HERE
 +
 +
 +==== Acess Point Configuration ====
 +
 +  * Flash OpenWRT Attitude Adjustment on your router(i've used the venerable tp-link 1043nd)
 +  * Connect it to internet and do "opkg install openvpn" from console
 +  * Setup date, timezone and password as you wish
 +  * Configure Networks (/etc/config/network) (Plan your addressing based on the previous diagram) <code>
 +config interface 'loopback'                                                   
 +        option ifname 'lo'                                                     
 +        option proto 'static'                                                 
 +        option ipaddr '127.0.0.1'                                             
 +        option netmask '255.0.0.0'                                             
 +                                                                               
 +config interface 'lan'                                                         
 +        option ifname 'eth0.1'                                                 
 +        option type 'bridge'                                                   
 +        option proto 'static'                                                 
 +        option netmask '255.255.255.0'                                         
 +        option ipaddr '192.168.1.3'                                           
 +        option dns '192.168.1.2'                                               
 +        option gateway '192.168.1.2'                                           
 +                                                                               
 +config switch                                                                 
 +        option name 'rtl8366rb'                                               
 +        option reset '1'                                                       
 +        option enable_vlan '1'                                                 
 +        option enable_vlan4k '1'                                               
 +                                                                               
 +config switch_vlan                                                             
 +        option device 'rtl8366rb'                                             
 +        option vlan '1'                                                       
 +        option ports '0 1 2 3 4 5t'                                           
 +                                                                               
 +config interface 'workers'                                                     
 +        option type 'bridge'                                                   
 +        option ifname 'tapWorkers'                                             
 +        option _orig_ifname 'tapWorkers wlan0-1'                               
 +        option _orig_bridge 'true'                                             
 +        option proto 'static'                                                 
 +        option ipaddr '192.168.2.2'                                           
 +        option netmask '255.255.255.0'                                         
 +                                                                               
 +                                                                               
 +config interface 'loopback'                                                   
 +        option ifname 'lo'                                                     
 +        option proto 'static'                                                 
 +        option ipaddr '127.0.0.1'                                             
 +        option netmask '255.0.0.0'                                             
 +                                                                               
 +config interface 'lan'                                                         
 +        option ifname 'eth0.1'                                                 
 +        option type 'bridge'                                                   
 +        option proto 'static'                                                 
 +        option netmask '255.255.255.0'                                         
 +        option ipaddr '192.168.1.3'                                           
 +        option dns '192.168.1.2'                                               
 +        option gateway '192.168.1.2'                                           
 +                                                                               
 +config switch                                                                 
 +        option name 'rtl8366rb'                                               
 +        option reset '1'                                                       
 +        option enable_vlan '1'                                                 
 +        option enable_vlan4k '1'                                               
 +                                                                               
 +config switch_vlan                                                             
 +        option device 'rtl8366rb'                                             
 +        option vlan '1'                                                       
 +        option ports '0 1 2 3 4 5t'                                           
 +                                                                               
 +config interface 'workers'                                                     
 +        option type 'bridge'                                                   
 +        option ifname 'tapWorkers'                                             
 +        option _orig_ifname 'tapWorkers wlan0-1'                               
 +        option _orig_bridge 'true'                                             
 +        option proto 'static'                                                 
 +        option ipaddr '192.168.2.2'                                           
 +        option netmask '255.255.255.0' 
 +
 +config interface 'guests'                                                     
 +        option type 'bridge'                                                   
 +        option proto 'static'                                                 
 +        option ifname 'tapGuests'                                             
 +        option ipaddr '192.168.3.2'                                           
 +        option netmask '255.255.255.0'
 +</code>
 +
 +  * Configure wireless (/etc/config/wireless). Access network is not tunneled, 'guests' goes to the unsecure zone and 'workers' to the secure zone. **Put your own SSID, MAC Address and PSK **<code>
 +config wifi-device 'radio0'
 +        option type 'mac80211'
 +        option macaddr '54:e6:fc:fb:a7:10'
 +        option hwmode '11ng'
 +        option htmode 'HT20'
 +        list ht_capab 'SHORT-GI-40'
 +        list ht_capab 'DSSS_CCK-40'
 +        option channel '6'
 +        option txpower '27'
 +        option country 'US'
 +        option distance '15'
 +
 +config wifi-iface
 +        option device 'radio0'
 +        option network 'lan'
 +        option mode 'ap'
 +        option encryption 'psk2'
 +        option key 'secretisssimo'
 +        option ssid 'SuperCompany (Access)'
 +
 +config wifi-iface
 +        option device 'radio0'
 +        option mode 'ap'
 +        option encryption 'psk2'
 +        option network 'workers'
 +        option key '123supersecret'
 +        option ssid 'SuperCompany (Workers)'
 +
 +config wifi-iface
 +        option device 'radio0'
 +        option mode 'ap'
 +        option encryption 'psk2'
 +        option ssid 'SuperCompany (Guests)'
 +        option network 'guests'
 +        option key 'welcomeguests'
 +
 +
 +</code>
 + 
 +  * Disable DHCP (/etc/config/dhcp). The linux box is the global DHCP server here.<code>
 +config dnsmasq
 +        option domainneeded '1'
 +        option boguspriv '1'
 +        option filterwin2k '0'
 +        option localise_queries '1'
 +        option rebind_protection '1'
 +        option rebind_localhost '1'
 +        option local '/lan/'
 +        option domain 'lan'
 +        option expandhosts '1'
 +        option nonegcache '0'
 +        option authoritative '1'
 +        option readethers '1'
 +        option leasefile '/tmp/dhcp.leases'
 +        option resolvfile '/tmp/resolv.conf.auto'
 +
 +config dhcp 'lan'
 +        option interface 'lan'
 +        option ignore '1'
 +</code>
 +
 +  * Disable Firewall (config/firewall). There isn't any reason to filter traffic in the Access Point <code>
 +config defaults
 +        option input 'ACCEPT'
 +        option output 'ACCEPT'
 +        option forward 'ACCEPT'
 +
 +config include
 +        option path '/etc/firewall.user'
 +</code>
 +
 +  * Configure OpenVPN (config/openvpn) y setup claves y cosas en /etc/openvpn
===== Basic text formatting ===== ===== Basic text formatting =====

Back to top

meta/playground.1358701134.txt.bz2 · Last modified: 2013/01/20 17:58 by 173.254.216.68