Jump to content

IgaX

Forum Members
  • Content Count

    950
  • Joined

  • Last visited

  • Days Won

    3

IgaX last won the day on April 23 2017

IgaX had the most liked content!

Community Reputation

198 Excellent

About IgaX

  • Rank
    Honored Flooder

Equipment

  • Keenetic
    Giga III

Recent Profile Visitors

The recent visitors block is disabled and is not being shown to other users.

  1. Спс, главное, что все реально
  2. IgaX

    Начиная с 2.09.C.0.0-0 со стоковыми дровами ввиду офиц. исправления "бага iOS" -> 802.11r, наиболее вероятно, работать эффективно не будет даже в теории. "Чужой" DA в Disassoc в рамках текущей ассоциации с AP идет в рамках механизма роуминга и стандарта времен Андалов и Первых Людей: IEEE 802.11 - 1999 (R2003) Section 5.5.c .. трудно заблудиться. Яблоко скорбит.
  3. @TheBB Можно нескромный вопрос? Никто не пробовал собирать дрова для К для подмены стоковых через блэклистинг или еще как? Что-нибудь из этой серии: https://github.com/openwrt/mt76 Правда, слухи ходят, что лучше в сторону rt2x00: https://wiki.archlinux.org/index.php/Wireless_network_configuration#rt2x00 Вроде как ядерный универсальный rt2800pci творит чудеса (Since kernel 3.0), но нам вряд ли откроют. А если к берегам LEDE? Там вроде рай если кастом: https://lede-project.org/toh/views/toh_admin_modem_wlan?dataflt[WLAN+Hardware*~]=MT7602EN https://lede-project.org/toh/views/toh_admin_modem_wlan?dataflt[WLAN+Hardware*~]=MT7612EN https://lede-project.org/toh/views/toh_admin_modem_wlan?dataflt[CPU*~]=MT7621S https://lede-project.org/toh/views/toh_admin_modem_wlan?dataflt[CPU*~]=MT7628N Все реально или впереди кирпич на дороге и не проехать? Может, есть какие координаты, я по приборам, вслепую.
  4. WPA2-EAP дает выход на динамическое ключевание с AP в любом случае и скомпрометировать всю сеть не выйдет, макс. только учетку/клиента и то на два делить т.к. там уже другие механизмы следят (должны/принято) за пользователем в плане типичного профиля использования сети, пойдут девиации и паранойя учетку вырубит, дальше уже как протокол велит; без него (WPA2-EAP) просто WPA2-PSK (сам пасс) можно, в теории, "100-пудово" защитить в рамках разделения ключевого материала при 802.11r-2008 (FT-PSK), но клиент должен поддерживать. Во втором случае как бы достаточно, чтобы тот же Hostapd из Entware встал нормально в нужных ролях без конфликта с дровами, для первого все равно вроде нужно менять вектор AuthMode=WPA2PSK -> AuthMode=WPA2. На мой взгляд, каких-то глобальных сложностей в настройке/поднятии всего этого дела пользователем по грамотной инструкции - нет. Но за пользователя уже ответили, что ему это на* не надо, а кто-то будет ждать (а кто-то, может, и не будет, переживет, поставит ворон пугать на входе).
  5. как бы выбирать не приходится, WPA2-Enterprise в списке предлагаемых вариантов защиты сети отсутствует и к этому уровню дров удобно (и, как я себе это понимаю, доступ к дровам монопольный у прошивки) не подобраться даже если самостоятельно поднять остальную инфраструктуру.
  6. IgaX

    Это необязательно он. Wireshark определяет его по порту, в настройках можно временно изменить на другой для целей исследования. Сам протокол DNSCrypt.
  7. @r13 не, я с этим не спорю, немного о другом: вот, например, пользователь считает, что кнопка в админке работает идеально и он хочет ее прикрутить к расписанию, но не знает какую команду cli выдает кнопка админки (например, в лог не попадает или еще что) .. cli guide конечно в помощь, но там тоже, наверное, не всегда есть все ответы
  8. имхо, надо еще показать людям как удобно посмотреть на payload в ci на предмет команды отправляемой админкой по клику .. чтобы узнать почему по кнопке с модемом всегда все хорошо .. например, если кликнуть по рефрешу обнов в системном мониторе с записью в developer tools, то можно найти ci с таким payload: зная точно работающую команду дальше уже либо через фичу, либо opkg+ndmq
  9. IgaX

    все, всё понимают .. просто юзверей в потемках водят что что-то нельзя, а техническое "гуано" по костылям и ходункам это .. немного опровергает .. технический же форум
  10. IgaX

    модель примерно такова: если коммерс и даешь юзверям выход в сеть за бабосик, то становишься "оператором связи" и должен идентифицировать пользователей .. если не развивать мысль почему и из-за кого развалился проект chillispot, то captive portal в данном случае - шлюз к системе аккаунтинга пользователей .. идентификация в т.ч. происходит сторонним сервисом, который принимает оплату, идентификационные данные итп. и передает разрешают флаг на выход в сеть (если упрощенно) .. т.е. купили роутер, решили заработать на хотспоте, запитали подобную систему и стрижете купон с сервиса (или он стрижет с вас). фишка в том, что если раздаешь вифи бесплатно, то лицензия оператора как бы не нужна, поэтому такой подход нафиг, нормальный юзер акуеет и фак покажет, лучше самостоятельно подобрать все и настроить, hostapd более чем достаточно для всего.
  11. Небольшие поправки по ветру: 1) манускрипт намекает на макс. 32 подключенные станции на каждое радио(?) .. или все же BSS .. тогда макс. 4*32 клиента с каждого диапазона; 2) и таблица безопасности из 64-х ключей (видимо, PMKSA) на MAC (BSS или радио в целом?) .. хотя ACL вроде на 64 mac на каждый BSS .. ф.з., маневры покажут. В принципе, если не замыкаться на OKC, то армия 2хК обслужит более полусотни точно (а то и больше) фанатов в каждом диапазоне, а т.к. ячейки будут пересекаться (в т.ч. с учетом CCI + вылизанного до блеска "воздуха" в т.ч. в плане airtime utilization), то когда заполнится одна BSS - она, по идее, просто перестанет отвечать на тот же probe request итп. и клиент подцепится к соседней емкости с тем же SSID. Будем надеяться, что (на всякий случай) аутентификатор 802.1X/EAP, например, rt2860apd из комплекта поставки дров есть и как-то запускается. PreAuth=1;1;0;0 # Включаем, видимо, pre-authentication IEEE 802.11i/RSN/WPA2 на, например, ra0 и ra1 PMKCachePeriod=10 # TTL записи кэша в минутах (скорее всего, PMKSA caching) Далее, по идее, все из 802.11i просто включилось на автомате для основной и, например, гостевой AP - распространение preauth - заполняя таблицы с PMKSA на raN с другой стороны via EoIP aka DS и т.к. масштабируем через прозрачный мост с включением в него потенциально сколько угодно EoIP (а не 4-х wdsN), то проще, чтобы для всех: PreAuthifname=br0;br1 # только надо проверить нотацию Формально как бы все, счастье уже должно быть если без Radius. PMK (они же в данном случае PSK) на базе SSID и пасса, уходят в прозрачные мосты и слушаются raN с другой стороны, поэтому как бы механизм должен работать но ф.з. наполняются ли PMKSA в реальности без аутентификатора 802.1X/EAP. Вроде все же без EAP не заведется. Формально FSR - уже есть, ура! .. или .. мм .. это похоже на 802.11r-2007. Вот х.з. на счет необходимости 802.1X/EAP в этом драфте 802.11r .. и вроде 802.11r-2007 не очень сильно поддерживают клиенты, так что идем ниже. Ограничения таблицы кэшей PMKSA привели к 802.11r-2008 .. ключи разделили и все это стали называть FT и FT-PSK. Да и WPA2-Enterprise надо по-человечески прикрутить. Похоже без EAP и Radius/Hostapd уже никак. Вызовы к AS идут хитро со стороны выбранной клиентом для будущего роуминга AP в качестве authenticator, к которым мы, видимо, проталкиваем от клиентов через PreAuthifname соответствующий preauth-трафик в котором в т.ч. есть EAP-хэндшейки .. и все нужные части ключей кэшируются в нужных местах. Видимо, указываем интерфейс, на котором будет EAPOL и, наверное, Radius/Hostapd (роль контроллера) .. м.б. из OPKG: EAPifname=br0 Чтобы заработала иерархия ключей FT, наверное, указываем где висит наш "Радиус": RADIUS_Server=192.168.1.1 RADIUS_Port=1812 RADIUS_Key=myradiuskey1 И в зависимости от поинта (свой ип): own_ip_addr=192.168.1.1 # или: own_ip_addr=192.168.1.2 # или м.б. универсально как-нибудь: own_ip_addr=127.0.0.1 Т.е. все пакуем, отправляем и слушаем. Скорее всего, в этом рецепте будет работать и WPA2PSK(!) и WPA2-Enterprise (WPA2-EAP) .. просто определит появление MSK на "контроллере" от которого дальше разойдутся общие части ключей по разным уровням. 802.11r-2008 в теории готов, дальше если только AS шаманить. У этой темы много "привкусов", поэтому мог накосячить где-то в анализе и с ходу не выйдет. Вроде как не смотря на то, что здесь можно настроить как угодно на стороне контроллера: wpa_key_mgmt=WPA-EAP FT-EAP # или только: wpa_key_mgmt=FT-PSK .. Cisco все же рекомендует выделять отдельные емкости для клиентов, которые не поддерживают 802.11r/FT/FT-PSK ввиду определенных несовместимостей (вроде есть такие репорты). .. в общем, после первоначальных тестов надо бы подумать, как лучше собрать этот конструктор для универсальной схемы "армии двух". .. так-то вроде настройки ставятся одной левой, нюансы в целом ясны, неизвестно только что выйдет: 2007-й с 802.11i/RSN/WPA2, который, скорее всего, будет работать норм все же ток с WPA2-EAP/802.1X .. или 802.11r-2008 с красивым FT в т.ч. для WPA2PSK независимо по воздуху или DS (хотя скорее Over-the-DS, что гуд, а меж-воздух прикроем EoIP). .. и если возможностей rt2860apd не хватит в качестве authenticator, то хотелось бы использовать в этой роли в т.ч. Hostapd, т.к. у него в этом плане широкие возможности .. м.б. будет критично для WPA2PSK в FT-PSK (а м.б. и нет) в части генерации R1 из MSK и других опций из серии: psk_generate_local=1 pmk_r1_push=1 .. хотя м.б. rt2860apd со всем этим справится нормально. @ndm @Le ecureuil @Padavan Очень, очень ждем настроек, чтобы потестировать сию вандер-фичу во всех кинотеатрах страны (это ведь даже не напряжно со стороны разрабов как бы и вроде и вообще) =) P.S. На ассист по роумингу голосов много, про эволюцию в рамках WDS, видимо, не раскурили, но это сторона одной медали, спрос есть =)
  12. IgaX

    а если так преподнести пользователю - захочется фичу? =)
  13. Срочный комплект для малого бизнеса: "Армия из двух Кинетиков обслужит больше сотни футбольных фанатов!" .. будоражим, будоражим умы, эх, маркетосы =) ** IntelliQoS фанатам в помощь, если отдельный пресет не сделает навес от 53-го, 80-го и 443-го и про изоляцию помним и так и быть еще 5060, 5061 и 23399 если бармена напрягать будут. хотя, скорее всего, все норм будет и на 802.11 за минусом линков wds (всего 4), там же активные или все же по ключам .. забыл .. если по ключам, то preauth может сыграть дурную шутку и емкость не поднять .. а для фанатского профиля м.б. и норм .. они ведь чаще неподвижны особо, поэтому легкий нюанс с роумингом будет редок, а легкий затык на приложениях не будет массовым, но для VoWLAN конечно нужен preauth aka fsr aka ft aka 802.11r. p.s. еще 802.11w здесь будет в тему (поддержка вроде уже реализована ток список устройств не до конца понятен).
  14. И еще, безусловно, есть плюс реализации EoIP в том, что всего на радио в данной версии драйвера - макс 64 подключения вроде и в случае чистой реализации wdsN возможно с этим будут проблемы на mac 802.11, а с EoIP каждая BSS сохранит свою емкость, что очень хорошо в плане числа потенциальных беспроводных клиентов .. тех же вероятных футбольных soho-баров =)
×
×
  • Create New...