พรพิทักษ์ สันติภาพถาวร [email protected]
This email address is being protected from spam bots, you need Javascript enabled to view it
เวบไซต์ที่เกี่ยวข้อง http://www.opensource.psu.ac.th
แหล่งข้อมูลต้นฉบับ chillispot คือ http://www.chillispot.org
ประวัติการปรับปรุง
ครั้งที่ 1 17-01-2550 โดย: พรพิทักษ์ สันติภาพถาวร
เป็นคำแนะนำติดตั้งจัดการปรับแต่ง Linux server เป็น Wireless LAN Access Point Controller ด้วยโปรแกรม chillispot แบบ WPA
สิ่งที่จะต้องทำก่อน
การติดตั้ง chillispot server สำหรับ WIFI แบบ web login
วิธีติดตั้ง Chillispot server สำหรับ WIFI แบบ WPA
แฟ้มที่เกี่ยวข้อง
/etc/chilli.conf
/etc/firewall.iptables
/etc/raddb/certs/
/etc/raddb/clients.conf
/etc/raddb/eap.conf
/etc/raddb/users
ได้ทำตามเอกสาร การติดตั้ง Freeradius สำหรับ WPA แบบ PEAP และ EAP-TLS มาแล้ว
เนื่อง
จาก chillispot ต้องใช้พอร์ท 1812 และ 1813 ในการหน้าที่เป็น proxy
radius จึงต้องแก้ให้ radius server คอยรับ request ที่พอร์ทหมายเลข 1645
และ 1646 แทน
ให้แก้ไขแฟ้ม /etc/raddb/radiusd.conf
บรรทัดที่ 207 แก้ port = 0 เป็น port = 1645
เมื่อแก้ไขเสร็จแล้วให้รีสตาร์ทใหม่ด้วยคำสั่ง
service radiusd restart
ลองทดสอบด้วยคำสั่งตัวอย่าง
radtest user1 wunca16 10.0.1.1:1645 0 mytestkey
จะมีการแจ้งว่า Access-Accept ถูกต้องตามต้องการ
แก้ไขแฟ้ม /etc/chilli.conf ให้มีค่าดังตัวอย่างนี้
[หัวข้อ TUN parameters]
บรรทัดที่ 38 ตรวจสอบว่าเป็น net 10.0.1.0/24
[หัวข้อ Radius parameters]
บรรทัดที่ 113 ตรวจสอบว่าเป็น radiusserver1 127.0.0.1
บรรทัดที่ 120 ตรวจสอบว่าเป็น radiusserver2 127.0.0.1
บรรทัดที่ 127 เดิม #radiusauthport 1812
แก้ไขเป็น radiusauthport 1645
บรรทัดที่ 134 เดิม #radiusacctport 1813
แก้ไขเป็น radiusacctport 1646
บรรทัดที่ 139 ตรวจสอบว่าเป็น radiussecret mytestkey
(ตรงกับ radius secret ในแฟ้ม /etc/raddb/clients.conf ของ freeradius)
[หัวข้อ Radius proxy parameters]
บรรทัดที่ 174 เดิม #proxylisten 10.0.0.1
แก้ไขเป็น proxylisten 10.0.1.1
บรรทัดที่ 180 เดิม #proxyport 1645
แก้ไขเป็น proxyport 1812
บรรทัดที่ 185 เดิม #proxyclient 10.0.0.1/24
แก้ไขเป็น proxyclient 10.0.1.0/24
บรรทัดที่ 191 เดิม #proxysecret testing123
แก้ไขเป็น proxysecret mytestkey
แก้ไขแฟ้ม /etc/firewall.iptables
ไปที่บรรทัดที่ 33 จะมีบรรทัดเดิมคือ
$IPTABLES -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
เพิ่มใต้บรรทัดที่ 33 ดังตัวอย่างนี้
$IPTABLES -A INPUT -i tun0 -p udp -m udp --dport 1812 -j ACCEPT
และสั่งรันไฟร์วอลล์ใหม่
sh /etc/firewall.iptables
สั่งให้ chillispot อ่านแฟ้มคอนฟิกใหม่ด้วยคำสั่งว่า
service chilli reload
ต่อ
ไปเป็นขั้นตอนการคอนฟิกตัวแอคเซสพอยน์ให้รองรับการใช้งาน WPA แบบ PEAP
หรือ EAP-TLS จะได้ทั้งสองแบบหรือไม่ขึ้นอยู่กับแอคเซสพอยน์
โดยทำตามเอกสารการเซตแอคเซสพอยน์ยี่ห้อต่าง ๆ
ต่อไปเป็นขั้นตอนที่เครื่องของผู้ใช้งาน
ถ้าเครื่องคอมพิวเตอร์ของผู้ใช้ต้องการใช้ PEAP ทำดังนี้
ติดตั้ง root CA certificate จากไฟล์ root.der ที่เก็บใน handy drive
คอนฟิกไวร์เลสให้ใช้ PEAP
ถ้าเครื่องคอมพิวเตอร์ของผู้ใช้ต้องการใช้ EAP-TLS ทำดังนี้
ติด
ตั้ง root CA certficate และ client certificate จากไฟล์ root.der,
cert-clt-user1.p12, cert-clt-user2.p12, cert-clt-user3.p12
และ cert-clt.p12 ที่เก็บไว้ใน handy drive คอนฟิกไวร์เลสให้ใช้ EAP-TLS
เริ่มทำการคอนเนค WIFI
ถึงขั้นตอนนี้เป็นอันเปิดใช้ระบบ chillispot แบบ WPA ได้แล้ว
ที่มา : http://mamboeasy.psu.ac.th/~wiboon.w/content/view/31/40/
ไม่มีความเห็น