cs:spravce:ap:eduroamap

eduroam AP

Plug & Play eduroam – stačí zajistit napájení a připojení k Internetu, o zbytek se postará eduroam AP samo.

eduroam AP bylo vyvinuto především pro malé instituce anebo pracoviště, kde není možné nasadit klasická AP + bezdrátový řadič + RADIUS zapojený do eduroam infrastruktury. Využíváme HW AP určených pro SOHO segment. Originální software AP je nahrazen naším softwarem. Jeho základem je nadstavba BEESIP nad OpenWrt. Podporovat můžeme obecně jakýkoliv Wi-Fi router, který je podporován OpenWrt.

eduroam AP si samo zajišťuje napojení na eduroam infrastrukturu. Během inicializace získá certifikát, který ho opravňuje k připojení k eduroam infrastruktuře. Díky tomu, že využíváme radsecproxy, je veškerý autentizační provoz šifrován. VPN zajištuje šifrovaní syslog a netflow zpráv. Také nám poskytuje možnost vzdáleně řešit problémy na samotném AP.

Uživatelský provoz je NATován a vyřizován prostřednictvím hostitelské sítě, do které je AP zapojeno. Pro účely řešení bezpečnostních incidentů jsou sbírány a uchovány informace o ověřování uživatelů a o přidělených IP adresách. Překladové tabulky NATu jsou sbírány pomocí softlowd a uchovávány v systému CESNET FTAS.

Podporovaný HW

eduroam AP může fungovat na jakémkoliv HW, který je podporován OpenWrt. V rámci rozvoje našeho SW se ale chceme zaměřovat spíše na funkcionalitu potřebnou pro eduroam než na podporu široké základny AP. Je nezbytné věnovat pozornost revizi HW – jiná revize nemusí fungovat.

Minimální parametry HW: 64 MB RAM, 8 MB Flash.

  • 802.11a/b/g/n/ac až 1750 Mbps, Dual-Band (2,4 GHz: 450 Mb/s + 5 GHz: 1300 Mb/s)
  • podporovaná & otestovaná revize HW: 2
  • cca 3500 Kč s DPH
  • 802.11b/g/n (2,4 GHz: 450 Mb/s)
  • podporovaná & otestovaná revize HW: 3
  • cca 1500 Kč s DPH

NEXX WT3020H

  • 802.11b/g/n (2,4 GHz: 300 Mb/s)
  • podporovaná & otestovaná revize HW: H
    • revize F, AD mají jiný SW, jinak by měly být shodné, dobrým poznávacím znakem je přítomnost USB portu
  • výkon antény je dostatečný k pokytí místnosti o ploše cca 80 m^2, ale s prostupem zděnými stěnami nelze počítat
  • cca 450 Kč s DPH (eBay anebo AliExpress)

Parametry eduroam AP

  • WAN port AP je nutné připojit do sítě, kde je k dispozici DHCP. Konektivita by neměla být filtrována, eduroam definuje minimální sadu portů/protokolů (vizte tabulku v eduroam Policy Service Definition na straně 32), ale čím je síť otevřenější, tím lépe. AP samotné pro svůj provoz vyžaduje odchozí TCP/2083 a obousměrně UDP/1194.
    • AP je zapojeno do eduroam infrastruktury pomocí dedikovaného RADIUS serveru, veškerý autentizační provoz je šifrován prostřenictvím protokolu RadSec.
    • Ostatní provoz AP (logy, netflow, monitoring) je šifrován užitím VPN.
  • Volba Wi-Fi kanálu/ů se provádí staticky pomocí centrálního portálu.
    • ACS na žádném z testovaných AP nefunguje.
    • AP provádí monitoring okolních AP, v budoucnu bude možné implementovat automatickou centrální volbu kanálů.
  • Datový provoz uživatelů je NATován a vyřizován prostřednictvím sítě, do které je AP zapojeno.
    • Záznamy o autentizaci uživatelů a o přidělených IP adresách jsou centrálně archivovány.
    • Informace o NAT překladech jsou sbírány pomocí netflow záznamů a archivovány v CESNET FTAS.
    • V budoucnu bude k dispozici rozhraní pro držitele eduroam AP k dohledávání informací o uživatelích za účelem řešení bezpečnostních incidentů – prozatím individuálně na žádost.
  • Není možný rychlý roaming, při přesunu klienta z AP na AP dojde k nové autentizaci a změně IP – existující spojení se rozpadnou.
  • Řeší poskytovatele služby eduroam, neřeší roli poskytovatele identit.
    • Pokud instituce nemá vlastní identity a není připojena klasickým RADIUSem do eduroam infrastruktury, nebudou moci její uživatelé toto eduroam AP využívat.

Řešení problémů

Když AP přestane vysílat essid eduroam, tak to znamená, že se nepovedlo napojení na eduroam infrastrukturu. V drtivé většině chybí konektivita WAN portu.

Indikuje, že AP je zapnuto.
Blikání indikuje, že systém eduroam AP startuje. Nepřerušovaně se rozsvítí poté, co start AP korektně doběhne.
Svícení idikuje link WAN portu, poblikávání aktivitu na WAN portu.
Svícení indikuje zapnutou Wi-Fi část, poblikávání aktivitu klientů.
Svícení indikuje link/aktivitu LAN portu.

LED na NEXX WT3020H

LED poblikává po dobu startu eduroam AP systému. Po nabootování svítí nepřerušovaně.

Last modified:: 2017/08/01 11:19