我正在使用OpenWRT设置一个无线AP,以支持由RADIUS服务器提供的dynamicvlan。
我在OpenWRT.org上find了一个关于OpenWRT.org的指南,而且我还有一些额外的研究。 唯一不起作用的是dynamicVLAN分配。 我不明白为什么。
我在“ap”模式下运行在TP-link射手C7上的15.05混乱平静。 防火墙和DHCP被closures,因为它们是由networking提供的。
如果手动将SSID桥接到所需的VLAN,我可以使用RADIUS服务器进行身份validation,并login到我的内部networking和来宾networking。 dynamicVLAN虽然不起作用。 FreeRadius正确传输Tunnel-Type,Tunnel-Medium-Type和Tunnel-Private-Group-ID; 与wireshark检查。 我不确定,但我认为这可能与hostapd没有得到正确的设置有关。
任何帮助将不胜感激
我的/ etc / config / wireless如下所示:
config wifi-iface option device 'radio1' option mode 'ap' option ssid 'WTD_Test_Rad' option encryption 'wpa2' option server '172.16.20.105' option key 'RadiusSecret' option dynamic_vlan '2' option vlan_tagged_interface 'eth1' option vlan_naming 0 option vlan_bridge 'br-vlan' 但我无法在hostapdconfiguration文件中find这些vlan设置:/var/run/hostapd-phy1.conf
interface=wlan1 ctrl_interface=/var/run/hostapd disassoc_low_ack=1 preamble=1 wmm_enabled=1 ignore_broadcast_ssid=0 uapsd_advertisement_enabled=1 auth_server_addr=172.16.20.105 auth_server_port=1812 auth_server_shared_secret=RadiusSecret@WalkingTheDog eapol_key_index_workaround=1 ieee8021x=1 auth_algs=1 wpa=2 wpa_pairwise=CCMP ssid=WTD_Test_Rad wpa_key_mgmt=WPA-EAP okc=0 disable_pmksa_caching=1 bssid=60:e3:27:58:3a:8d
hostapd -dd显示接收正确的AVP,但似乎不关心任何它。
wlan1: RADIUS Received 195 bytes from RADIUS server wlan1: RADIUS Received RADIUS message RADIUS message: code=2 (Access-Accept) identifier=79 length=195 Attribute 79 (EAP-Message) length=6 Value: 03f50004 Attribute 80 (Message-Authenticator) length=18 Value: d544a5f47ae84b9716fd76fb447a54e7 Attribute 1 (User-Name) length=10 Value: 'Mdirickx' Attribute 64 (Tunnel-Type) length=6 Value: 0000000d Attribute 65 (Tunnel-Medium-Type) length=6 Value: 00000006 Attribute 81 (Tunnel-Private-Group-Id) length=3 Value: 32 Attribute 1 (User-Name) length=10 Value: 'Mdirickx' wlan1: STA 40:78:6a:53:eb:fb RADIUS: Received RADIUS packet matched with a pending request, round trip time 0.00 sec wlan1: STA 40:78:6a:53:eb:fb IEEE 802.1X: old identity 'Mdirickx' updated with User-Name from Access-Accept 'Mdirickx' wlan1: STA 40:78:6a:53:eb:fb IEEE 802.1X: decapsulated EAP packet (code=3 id=245 len=4) from RADIUS server: EAP Success wlan1: STA 40:78:6a:53:eb:fb IEEE 802.1X: Sending EAP Packet (identifier 245) wlan1: STA 40:78:6a:53:eb:fb WPA: sending 1/4 msg of 4-Way Handshake wlan1: STA 40:78:6a:53:eb:fb WPA: received EAPOL-Key frame (2/4 Pairwise) wlan1: STA 40:78:6a:53:eb:fb WPA: sending 3/4 msg of 4-Way Handshake wlan1: STA 40:78:6a:53:eb:fb WPA: received EAPOL-Key frame (4/4 Pairwise) wlan1: STA 40:78:6a:53:eb:fb WPA: pairwise key handshake completed (RSN) wlan1: AP-STA-CONNECTED 40:78:6a:53:eb:fb wlan1: STA 40:78:6a:53:eb:fb IEEE 802.1X: authorizing port wlan1: STA 40:78:6a:53:eb:fb RADIUS: starting accounting session 56EC0FBB-00000004 wlan1: STA 40:78:6a:53:eb:fb IEEE 802.1X: authenticated - EAP type: 25 (PEAP)
我会发表评论,而不是一个答案,但我没有足够的声誉在这里。 我从字面上写了你在OP中链接到的有关在OpenWRT中使用802.1xdynamicVLAN的HOWTO,以及找出并提交补丁以使其工作。
你所说的一些话似乎没有道理。 特别是那个option dynamic_vlan '1'工作,但是option dynamic_vlan '2'甚至不显示在hostapdconfiguration文件中不应该是这样。 读取/ etc / config / wireless文件并将其转换为hostapdconfiguration文件的OpenWRT脚本仅查找dynamic_vlan选项,如果它存在且具有整数值,则将其放入hostapd文件中,所以如果在hostapd中显示1文件,2也应该如此。 当你设置dynamic_vlan为1时,请检查它是否显示在你的hostapdconfiguration文件中。这将提供更多的信息。
config wifi-iface option dynamic_vlan '2'
似乎没有工作,一旦改变
config wifi-iface option dynamic_vlan '1'
一切工作,因为它应该。
这确实构成安全风险。
我想不是所有事情都应该如此。 你只是自动回落到没有dynamicVLAN(或选项dynamic_vlan '0' )。 也许你的hostapd,不支持dynamicvlans(就像你使用hostapd-mini或hostapd-common )。 您应该安装完整版本
opkg install hostapd
在这里看到更多细节:
hostapd.sh