IgaX
-
Posts
950 -
Joined
-
Last visited
-
Days Won
3
Content Type
Profiles
Forums
Gallery
Downloads
Blogs
Events
Posts posted by IgaX
-
-
Начиная с 2.09.C.0.0-0 со стоковыми дровами ввиду офиц. исправления "бага iOS" -> 802.11r, наиболее вероятно, работать эффективно не будет даже в теории. "Чужой" DA в Disassoc в рамках текущей ассоциации с AP идет в рамках механизма роуминга и стандарта времен Андалов и Первых Людей: IEEE 802.11 - 1999 (R2003) Section 5.5.c .. трудно заблудиться. Яблоко скорбит.
-
Можно нескромный вопрос? Никто не пробовал собирать дрова для К для подмены стоковых через блэклистинг или еще как?
Что-нибудь из этой серии:
https://github.com/openwrt/mt76Правда, слухи ходят, что лучше в сторону rt2x00:
https://wiki.archlinux.org/index.php/Wireless_network_configuration#rt2x00Вроде как ядерный универсальный rt2800pci творит чудеса (Since kernel 3.0), но нам вряд ли откроют.
А если к берегам LEDE? Там вроде рай если кастом:
https://lede-project.org/toh/views/toh_admin_modem_wlan?dataflt[WLAN+Hardware*~]=MT7602EN
https://lede-project.org/toh/views/toh_admin_modem_wlan?dataflt[WLAN+Hardware*~]=MT7612EN
https://lede-project.org/toh/views/toh_admin_modem_wlan?dataflt[CPU*~]=MT7621S
https://lede-project.org/toh/views/toh_admin_modem_wlan?dataflt[CPU*~]=MT7628NВсе реально или впереди кирпич на дороге и не проехать? Может, есть какие координаты, я по приборам, вслепую.
-
напоминает нечто низкоуровневое, для начала попробовать добавить сетевой диск в исключения:
https://support.microsoft.com/ru-ru/instantanswers/64495205-6ddb-4da1-8534-1aeaf64c0af8/add-an-exclusion-to-windows-defender-antivirusесли он, то вряд ли причина, скорее только инициатор.
еще желательно найти эту ошибку в журнале: ПКМ на иконке "Пуск" -> Просмотр событий -> Просмотр событий (локальный) -> в сводке событий посмотреть, дойти до нее и скопировать полностью вывод по ошибке.
диск SSD?
возможно, собаки в этой стороне, поэкспериментируйте на стороне клиента .. но, имхо, корень проблем где-то еще.
валар моргулис.
-
В 16.07.2017 в 19:51, BeaViSs сказал:
куда копать?
можно с этим попробовать поймать за руку на клиентах
-
1 час назад, vasek00 сказал:
по проще не Enterprise, пусть EAPOL ключи отлавливают кому не лень
WPA2-EAP дает выход на динамическое ключевание с AP в любом случае и скомпрометировать всю сеть не выйдет, макс. только учетку/клиента и то на два делить т.к. там уже другие механизмы следят (должны/принято) за пользователем в плане типичного профиля использования сети, пойдут девиации и паранойя учетку вырубит, дальше уже как протокол велит; без него (WPA2-EAP) просто WPA2-PSK (сам пасс) можно, в теории, "100-пудово" защитить в рамках разделения ключевого материала при 802.11r-2008 (FT-PSK), но клиент должен поддерживать. Во втором случае как бы достаточно, чтобы тот же Hostapd из Entware встал нормально в нужных ролях без конфликта с дровами, для первого все равно вроде нужно менять вектор AuthMode=WPA2PSK -> AuthMode=WPA2. На мой взгляд, каких-то глобальных сложностей в настройке/поднятии всего этого дела пользователем по грамотной инструкции - нет. Но за пользователя уже ответили, что ему это на* не надо, а кто-то будет ждать (а кто-то, может, и не будет, переживет, поставит ворон пугать на входе).
-
1 час назад, sergeyk сказал:
Если вам нравится успокаивать себя тем, что списки полезны, ничего не мешает вам их использовать.
как бы выбирать не приходится, WPA2-Enterprise в списке предлагаемых вариантов защиты сети отсутствует и к этому уровню дров удобно (и, как я себе это понимаю, доступ к дровам монопольный у прошивки) не подобраться даже если самостоятельно поднять остальную инфраструктуру.
-
-
@r13 не, я с этим не спорю, немного о другом: вот, например, пользователь считает, что кнопка в админке работает идеально и он хочет ее прикрутить к расписанию, но не знает какую команду cli выдает кнопка админки (например, в лог не попадает или еще что) .. cli guide конечно в помощь, но там тоже, наверное, не всегда есть все ответы
-
1 час назад, r13 сказал:
есть ndmq c помощью которой
имхо, надо еще показать людям как удобно посмотреть на payload в ci на предмет команды отправляемой админкой по клику .. чтобы узнать почему по кнопке с модемом всегда все хорошо .. например, если кликнуть по рефрешу обнов в системном мониторе с записью в developer tools, то можно найти ci с таким payload:
Скрытый текст<packet ref="/">
<request id="1" ref="">
<command name="components list">
</command>
</request>
</packet>зная точно работающую команду дальше уже либо через фичу, либо opkg+ndmq
-
11 минуту назад, Le ecureuil сказал:
Ну не все это понимают, как даже в этом треде видно.
все, всё понимают .. просто юзверей в потемках водят что что-то нельзя, а техническое "гуано" по костылям и ходункам это .. немного опровергает .. технический же форум
-
4 минуты назад, iggo сказал:
А из тех кто в курсе, что это за фича, поясните в нескольких предложениях, для чего это и как этим пользоваться, при чем тут смс, это модем мобильный должен присутствовать?
модель примерно такова: если коммерс и даешь юзверям выход в сеть за бабосик, то становишься "оператором связи" и должен идентифицировать пользователей .. если не развивать мысль почему и из-за кого развалился проект chillispot, то captive portal в данном случае - шлюз к системе аккаунтинга пользователей .. идентификация в т.ч. происходит сторонним сервисом, который принимает оплату, идентификационные данные итп. и передает разрешают флаг на выход в сеть (если упрощенно) .. т.е. купили роутер, решили заработать на хотспоте, запитали подобную систему и стрижете купон с сервиса (или он стрижет с вас).
фишка в том, что если раздаешь вифи бесплатно, то лицензия оператора как бы не нужна, поэтому такой подход нафиг, нормальный юзер акуеет и фак покажет, лучше самостоятельно подобрать все и настроить, hostapd более чем достаточно для всего.
-
2 минуты назад, arbayten сказал:
с рекомендацией обходить стороной как и завещала моргана
мы хотя бы попытались
-
1
-
-
Небольшие поправки по ветру:
1) манускрипт намекает на макс. 32 подключенные станции на каждое радио(?) .. или все же BSS .. тогда макс. 4*32 клиента с каждого диапазона;
2) и таблица безопасности из 64-х ключей (видимо, PMKSA) на MAC (BSS или радио в целом?) .. хотя ACL вроде на 64 mac на каждый BSS .. ф.з., маневры покажут.В принципе, если не замыкаться на OKC, то армия 2хК обслужит более полусотни точно (а то и больше) фанатов в каждом диапазоне, а т.к. ячейки будут пересекаться (в т.ч. с учетом CCI + вылизанного до блеска "воздуха" в т.ч. в плане airtime utilization), то когда заполнится одна BSS - она, по идее, просто перестанет отвечать на тот же probe request итп. и клиент подцепится к соседней емкости с тем же SSID.
Будем надеяться, что (на всякий случай) аутентификатор 802.1X/EAP, например, rt2860apd из комплекта поставки дров есть и как-то запускается.
PreAuth=1;1;0;0 # Включаем, видимо, pre-authentication IEEE 802.11i/RSN/WPA2 на, например, ra0 и ra1 PMKCachePeriod=10 # TTL записи кэша в минутах (скорее всего, PMKSA caching)
Далее, по идее, все из 802.11i просто включилось на автомате для основной и, например, гостевой AP - распространение preauth - заполняя таблицы с PMKSA на raN с другой стороны via EoIP aka DS и т.к. масштабируем через прозрачный мост с включением в него потенциально сколько угодно EoIP (а не 4-х wdsN), то проще, чтобы для всех:
PreAuthifname=br0;br1 # только надо проверить нотацию
Формально как бы все, счастье уже должно быть если без Radius. PMK (они же в данном случае PSK) на базе SSID и пасса, уходят в прозрачные мосты и слушаются raN с другой стороны, поэтому как бы механизм должен работать но ф.з. наполняются ли PMKSA в реальности без аутентификатора 802.1X/EAP. Вроде все же без EAP не заведется. Формально FSR - уже есть, ура! .. или .. мм .. это похоже на 802.11r-2007.
Вот х.з. на счет необходимости 802.1X/EAP в этом драфте 802.11r .. и вроде 802.11r-2007 не очень сильно поддерживают клиенты, так что идем ниже.
Ограничения таблицы кэшей PMKSA привели к 802.11r-2008 .. ключи разделили и все это стали называть FT и FT-PSK. Да и WPA2-Enterprise надо по-человечески прикрутить.
Похоже без EAP и Radius/Hostapd уже никак. Вызовы к AS идут хитро со стороны выбранной клиентом для будущего роуминга AP в качестве authenticator, к которым мы, видимо, проталкиваем от клиентов через PreAuthifname соответствующий preauth-трафик в котором в т.ч. есть EAP-хэндшейки .. и все нужные части ключей кэшируются в нужных местах.
Видимо, указываем интерфейс, на котором будет EAPOL и, наверное, Radius/Hostapd (роль контроллера) .. м.б. из OPKG:
EAPifname=br0
Чтобы заработала иерархия ключей FT, наверное, указываем где висит наш "Радиус":
RADIUS_Server=192.168.1.1 RADIUS_Port=1812 RADIUS_Key=myradiuskey1
И в зависимости от поинта (свой ип):
own_ip_addr=192.168.1.1 # или: own_ip_addr=192.168.1.2 # или м.б. универсально как-нибудь: own_ip_addr=127.0.0.1
Т.е. все пакуем, отправляем и слушаем. Скорее всего, в этом рецепте будет работать и WPA2PSK(!) и WPA2-Enterprise (WPA2-EAP) .. просто определит появление MSK на "контроллере" от которого дальше разойдутся общие части ключей по разным уровням. 802.11r-2008 в теории готов, дальше если только AS шаманить.
У этой темы много "привкусов", поэтому мог накосячить где-то в анализе и с ходу не выйдет.
Вроде как не смотря на то, что здесь можно настроить как угодно на стороне контроллера:
wpa_key_mgmt=WPA-EAP FT-EAP # или только: wpa_key_mgmt=FT-PSK
.. Cisco все же рекомендует выделять отдельные емкости для клиентов, которые не поддерживают 802.11r/FT/FT-PSK ввиду определенных несовместимостей (вроде есть такие репорты).
.. в общем, после первоначальных тестов надо бы подумать, как лучше собрать этот конструктор для универсальной схемы "армии двух".
.. так-то вроде настройки ставятся одной левой, нюансы в целом ясны, неизвестно только что выйдет: 2007-й с 802.11i/RSN/WPA2, который, скорее всего, будет работать норм все же ток с WPA2-EAP/802.1X .. или 802.11r-2008 с красивым FT в т.ч. для WPA2PSK независимо по воздуху или DS (хотя скорее Over-the-DS, что гуд, а меж-воздух прикроем EoIP).
.. и если возможностей rt2860apd не хватит в качестве authenticator, то хотелось бы использовать в этой роли в т.ч. Hostapd, т.к. у него в этом плане широкие возможности .. м.б. будет критично для WPA2PSK в FT-PSK (а м.б. и нет) в части генерации R1 из MSK и других опций из серии:
psk_generate_local=1 pmk_r1_push=1
.. хотя м.б. rt2860apd со всем этим справится нормально.
@ndm @Le ecureuil @Padavan Очень, очень ждем настроек, чтобы потестировать сию вандер-фичу во всех кинотеатрах страны (это ведь даже не напряжно со стороны разрабов как бы и вроде и вообще) =)
P.S. На ассист по роумингу голосов много, про эволюцию в рамках WDS, видимо, не раскурили, но это сторона одной медали, спрос есть =)
-
Срочный комплект для малого бизнеса: "Армия из двух Кинетиков обслужит больше сотни футбольных фанатов!" .. будоражим, будоражим умы, эх, маркетосы =)
**
IntelliQoS фанатам в помощь, если отдельный пресет не сделает навес от 53-го, 80-го и 443-го и про изоляцию помним и так и быть еще 5060, 5061 и 23399 если бармена напрягать будут.2 часа назад, IgaX сказал:в данной версии драйвера - макс 64 подключения вроде и в случае чистой реализации wdsN возможно с этим будут проблемы на mac 802.11
хотя, скорее всего, все норм будет и на 802.11 за минусом линков wds (всего 4), там же активные или все же по ключам .. забыл .. если по ключам, то preauth может сыграть дурную шутку и емкость не поднять .. а для фанатского профиля м.б. и норм .. они ведь чаще неподвижны особо, поэтому легкий нюанс с роумингом будет редок, а легкий затык на приложениях не будет массовым, но для VoWLAN конечно нужен preauth aka fsr aka ft aka 802.11r.
p.s. еще 802.11w здесь будет в тему (поддержка вроде уже реализована ток список устройств не до конца понятен).
-
И еще, безусловно, есть плюс реализации EoIP в том, что всего на радио в данной версии драйвера - макс 64 подключения вроде и в случае чистой реализации wdsN возможно с этим будут проблемы на mac 802.11, а с EoIP каждая BSS сохранит свою емкость, что очень хорошо в плане числа потенциальных беспроводных клиентов .. тех же вероятных футбольных soho-баров =)
-
@ndm хороший ведь план, нам не хватает педалек
-
Ну и до кучи в рамках канвы педаль к MACRepeaterEN, чтобы гибридный мак транслировался для требований аккаунтинга в случае стандартного беспроводного бриджевания через и со стороны apcliN .. хотя судя по манускрипту проц импакт и оверкилл, да и вообще только max 16 записей и даже без wpa2-enterprise и плюх роуминга .. но пусть будет, будем знать с чем сравнивать.
**
бьем в бубен -
(на всякий) потому что TA поглощает SA в двух случаях из четырех (и в крайнем как раз собака) .. и вот в т.ч. поэтому клиенты сидят под одним чужим маком в arp-кэше если приходят от пира с apcliN:
Скрытый текст
-
.. в ожидании @Padavan ..
Или вот, например, есть два устройства с 802.11ac на 5ГГц между которыми с учетом всех path-моментов линк 802.11ac шустр и весел. Располовиним его для WDS (чтобы максимально все наполнить, если "пир" - младшее устройство со 100 Mbps на проводе), а с учетом расстояний надо будет не забыть настроить 2.4ГГц на непересекающихся как мин.
Вместо проводного линка, правим:
- на К1
Цитатаinterface WifiMaster1/AccessPoint2
rename WDSAP1
description "WDS AP"
mac access-list type permit ! если надо (иначе не указывать),
mac access-list address aa:bb:cc:dd:ee:ff ! то mac WifiStation (!) с другой стороны - см. show interface
security-level public ! поставим public, чтобы не думать + сетку на 2 хоста ptp
encryption enable
encryption wpa2
ip address 172.16.0.1/30
ssid wdslink1
hide-ssid
wmm
up
!# Если не хотим выше auth переводить в ns3 прямо в конфиг, то просто командой cli укажем PSK
interface WDSAP1 authentication wpa-psk mYWdSAP1LinkPAsSWoRd
# Если, вдруг, нет маршрута для 172.16.0.0/30, то для поинта
ip route 172.16.0.2 WDSAP1
- на К2
Цитатаinterface WifiMaster1/WifiStation0
rename WDSStation1
description "WDS Station"
security-level public
encryption enable
encryption wpa2
ip address 172.16.0.2/30
ssid wdslink1
up
!# Если не хотим выше auth переводить в ns3 прямо в конфиг, то просто командой cli укажем PSK
interface WDSStation1 authentication wpa-psk mYWdSAP1LinkPAsSWoRd
# Если, вдруг, нет маршрута для 172.16.0.0/30, то для поинта
ip route 172.16.0.1 WDSStation1
.. и нет нюансов режима "Повторитель" в плане прозрачного моста.
Если брать не 5ГГц, а 2.4ГГц для линка, то все так же ток: WifiMaster1 -> WifiMaster0
М.б. кому-нибудь поможет в желании настроить. Ток проверяем mtu (мало ли) -> show interface WDSAP1 и show interface WDSStation1
Как бы так тоже можно жить без wdsN, но оверхед и проц в отличие от просто addr4 в mac 802.11 =)
-
марсианская колония Кинетиков продолжает недоумевать над тем, что помешало пользователю 87 модемов просто назначить домашнему сегменту 192.168.2.1/24
-
1
-
-
1 час назад, Le ecureuil сказал:
Мне на тему радио писать абсолютно бесполезно, я им не занимаюсь
Сразу @Padavan упоминайте Вот по словам вижу, что тоже хочется выпустить этого джина из бутылки .. просто хэппи-энд затянулся =)
-
19 минут назад, IgaX сказал:
вижу еще четыре
на каждое радио
-
5 минут назад, Le ecureuil сказал:
Сами же можете глянуть код драйверов WiFi, там прекрасно видно, что в систему из него все прилетает уже преобразованное в 802.3, и в него улетает только таким же.
я так глубоко не копал, только глянул какие рецепты идут в поставке .. подумал, мало ли EoIP еще до границы трансформации заворачивает.
как бы там ни было, в настройках беспроводных дров есть привязки соответствующих интерфейсов и .. вот прямо вижу еще четыре интерфейса wdsN и все остальные настройки .. нет, не вижу, приглючило =)
-
7 минут назад, Dima сказал:
эта прошивка позволила настроить 87 модемов для работы по OVPN
а сколько мульенов Кинетиков смогут потенциально слиться в экстазе WDS .. воистину неисповедимы пути её (прошивки)
Сразу 
Самостоятельная сборка пакетов
in Вопросы по сборке и настройке Opkg
Posted
Спс, главное, что все реально