TRIP controller itinerante

TRIP everywhere Possibilita’ di avere l’infrastruttura TRIP disponibile durante workshop e seminari esterni alle sedi INFN Sistema portatile robusto e sicuro, include INFN-dot1x e INFN-Web Non bisogna installare nulla, basta inserire una compact flash e tutto e’ gia’ pre-installato Gli utenti non devono fare nessuna operazione per collegarsi alla rete WiFi, tutto e’ come se fossero in sezione nel loro ufficio

TRIP appliance schema WiFi supplicant INFN-Web INFN-dot1x INFN-Web INFN-dot1x INFN-Web INFN-dot1x TRIP appliance uplink Router struttura ospitante WAN Router sez. INFN xSez. INFN x radius.garr.net VLAN trunk

Soekris net5501 CPU Geode AMD 586-class 500MHz 512 Mbyte DDR-SDRAM, soldered on board 4 Mbit BIOS/BOOT Flash CompactFLASH Type I/II socket UltraDMA-100 interface with 44 pins connector for 2.5" Hard Drive Serial ATA 1.0 interface for Hard Drive, with +5V and +12V power header 4 VIA VT6105M 10/100 Mbit Auto MDIX Ethernet ports, RJ-45, protected to 700W/40A Surge 2 Serial ports, DB9 and 10 pins internal header USB 2.0 interface, one internal, one external port Mini-PCI type III socket. (for t.ex. hardware encryption or wireless controller) PCI Slot, right angle 3.3V signaling only, dual PCI slot option Temperature and voltage monitor ower using external power supply is 6-25V DC, max 20 Watt,

tripgw Soekris net5501 Distribuzione Flashdist (OpenBSD 4.5 based): 64MB CF Distribuzione finale per TRIP: 256 MB – Flashdist OpenBSD 4.5 kernel – Freeradius distribution – OpenBSD Apache – ISC dhcpd v3.1.1 – OpenBSD pf nat/firewall – Tino Captive Portal – Perl RadiusPerl-0.13 Data-HexDump-0.02 Diversi programmi standard unix aggiunti: less, sudo, bash…etc. File di configurazione vari necessari per il funzionamento di TRIP

Build appliance Installazione macchina (virt/phy) con OpenBSD 4.5 snapshot Build di tutto il software necessario per trip compilato dai sorgenti ove possibile linkato staticamente: httpd, radiusd, sudo, dhcpd, bash… etc Riversamento di tutto il software aggiuntivo sull’imagine di distribuzione di base Flashdist Configurazione di tutte le parti di software necessarie per il funzionamento di TRIP: /etc/rc, radiusd.conf, pf.conf, firewall.sh… etc Copia ed espansione di tutta l’immagine di sistema su CF Boot del Soekris net5501 da CF

Boot appliance La configurazione di boot e’ tutta in /etc/rc – mount /dev in memoria 1MB – mount /tmp in memoria 32MB – link simbolico di /var in /tmp/var Tutti i log di sistema /var/log in memoria – Creazione ambiente TINO, copia di tutti i file in /tmp e creazione di link simbolici sui path standard – Creazioni chiavi SSH DSA e RSA – Hostname – Creazione VLAN e IP interfaces, una per ogni VLAN – Propagazione VLAN su 3 interfacce di rete interne – ntpdate, startup firewall, syslog – Startup dhcpd su interfacce vlan – Startup sshd, apache, freeradius, cron

VLAN Default untagged – Network /24 – Radius IP VLAN100 INFN-dot1x – Network /24 – 802.1x gw VLAN101 INFN-Web – Network /24 – TINO gw AP1: AP2: AP3: vr3 vr2 vr1 vr0 VLAN propagate su tutte le porte

Configurazione VLAN Una VLAN per interfaccia per TAG = 6 VLAN + Default Untagged ifconfig vr netmask ifconfig vr2 up ifconfig vr3 up ifconfig vr0 netmask ifconfig vlan1100 vlan 100 vlandev vr1 ifconfig vlan2100 vlan 100 vlandev vr2 ifconfig vlan3100 vlan 100 vlandev vr3 ifconfig bridge100 create brconfig bridge100 add vlan1100 add vlan2100 add vlan3100 add vr1 add vr2 add vr3 up ifconfig vlan1100 inet netmask up ifconfig vlan1101 vlan 101 vlandev vr1 ifconfig vlan2101 vlan 101 vlandev vr2 ifconfig vlan3101 vlan 101 vlandev vr3 ifconfig bridge101 create brconfig bridge101 add vlan1101 add vlan2101 add vlan3101 up ifconfig vlan1101 inet netmask

Multiport VLAN bridge vr1 vlan1100 vlan1101 Default untagged vr2 vlan2100 vlan2101 Default untagged vr3 vlan3100 vlan3101 Default untagged TAG 100 TAG 101 bridge100 bridge101

Configurazione radius Freeradius /usr/local/etc/raddb Configurazione mista per radius server INFN-dot1x e radius server per autenticazione INFN-Web In proxy.conf va settato il proprio radius server di sezione In clients.conf vanno aggiunti gli AP e il proprio server di sezione – Va aggiunto come client locale il portale web tino con opportuno secret settato anche in tino.pm realm DEFAULT { type = radius authhost = radius1.cnaf.infn.it:1812 accthost = radius1.cnaf.infn.it:1813 secret = ********* nostrip }

Firewall OpenBSD PF in pf.conf – Packet filter filtra tutta la vlan1101 (INFN-Web) – Consente soltanto porta 53 UDP e pacchetti verso il portale web { 80, 443 } Vlan1100 Open (INFN-dot1x) Tabella dinamica che si aggancia allo script firewall di TINO – Nat Nat di vlan1100 (INFN-dot1x) e vlan1101 (INFN-Web) Redirection rules per raggiungere gli AP dall’esterno Redirection rules per il portale web Firewall.sh per il portale Web tradotto da sintassi iptables a sintassi PF

Utilizzo appliance Pre-configurata CF non scrivibile (ro) In caso si vogliano fare modifiche – Comandi { rw, ro } per modificare lo stato di accesso alla CF – Shell Unix, ambiente Un*X BSD adduser, vi, tcpdump… etc. Aggiunta utenti col comando adduser o direttamente in radius users – Usare subito ro dopo una modifica per tornare allo stato normale Usare il sistema in modalita’ rw il meno possibile! Si collegano fino a 3 AP configurati per TRIP alle interfacce fisiche vr1 -> vr3 Necessario registrare IP address di vr0 sul proprio radius server di sezione e su logserver Certificato X509 pre-installato per tripgw1.infn.it ( ) DNS hardcoded TODO: UI per il setup di sistema in modo semplice

Dove utilizzarlo Conferenze fuori sede TRIPaware Conferenze fuori sede TRIPless – CF con sistema solo con portale Web TRIP appliance per sedi INFN medio/piccole

VMTRIP - 1 VM WMware - spazio disco ~ 2 GB Utilizzabile su un portatile con due interfacce di rete: –una verso la rete della sede/albergo –una verso uno switch con VLAN x INFN-dot1x e INFN-Web SL 5.0, FreeRadius DHCPserver FreeRadius “da agganciare” al Radius Server della propria sede Switch con VLAN + 2/3 AP Cisco 1200 b/g script di first-startup da sistemare per setup: Radius e DHCP Server Utilizzata con successo al CSN2 Dic 08 Hotel Europa (BO) Numero partecipanti: ~ AP Cisco 1200 Serve un portatile “moderno” con buone prestazioni (CPU e RAM)