Configuration des bornes Wifi

• Sommaire
  • Cahier des Charges
  • Solutions mises en oeuvre
    • Réseaux VLAN
    • Protocole 802.1x
    • Protocole VMPS
    • Portail Captif
    • Réseaux VPN
    • Réseau Wifi
    • Annuaire LDAP
    • Serveur Radius
    • Projet EduRoam
  • Choix réalisés
  • Déploiement
    • Procédure de déploiement
    • Installation OpenLDAP
    • Installation FreeRadius
    • Installation DHCP
    • Installation Chillispot
    • Installation OpenVPN
    • Installation VMPS
    • Configuration des Routeurs et commutateurs
    • Configuration Wifi
  • Outils de gestion
    • 802.1x : client SecureW2
    • 802.1x : client WPA_supplicant
    • Portail captif : navigateur Web
    • Client OpenVPN
    • Interface Visiteurs
    • Interface WPA
    • Interface RadiusGroupName
  • Conclusion
  • Glossaire

Les bornes Wifi doivent être configurées avant de pouvoir être branchées sur le réseau. Il faut tout d'abord définir le pays dans lequel elle seront branchées, car les fréquences utilisées ne sont pas les mêmes. Les bornes choisies sont des Hewlett-Packard HL420ww. Ces bornes supportent les VLAN, WPA/WPA2, 802.1x. Il faut configurer le commutateur sur lequel la borne est reliée en mode trunk pour qu'il accepte les VLAN "interne" des différents laboratoires, le VLAN "invite" du laboratoire d'hébergement, le VLAN "AuthChilli" et le VLAN "administration" [HewlettPackard1].

Authentification

Toutes les bornes ont 3 modes d'authentification :

• 802.1x
• WPA
• Chillispot

Le mode 802.1x permet à l'utilisateur de se retrouver dans le VLAN interne de son choix, assigné par le serveur Radius, d'après le RadiusGroupName fourni par l'annuaire LDAP. Si le serveur Radius accepte la connexion sans donner le VLAN d'assignation, la borne place l'utilisateur dans le VLAN par défaut écrit dans la configuration de la borne. L'utilisateur sera alors connecté au portail captif. Le mode WPA permet d'autoriser les utilisateurs à se connecter dans le VLAN invité pendant une conférence, avec partage d'une clé valide uniquement pendant la durée de la manifestation. L'inconvénient de cette méthode est que l'on n'authentifie pas l'utilisateur, mais la conférence à laquelle il assiste. Mais cette méthode est très pratique pour les cas où un grand nombre d'utilisateurs est présent. Le support de Chillispot est donné pour les utilisateurs ne supportant pas 802.1x. En mode 802.1x, toute la communication est cryptée par WPA (Wi-Fi Protected Access). De cette façon, même si un pirate écoute la communication radio, il ne peut la comprendre. La borne fait l'authentification auprès du serveur Radius, et met dans le VLAN en fonction des attributs renvoyés par celui-ci. On supporte ainsi le 802.1x de la même manière qu'en filaire.

Accounting

L'accounting est aussi fait par la borne. Cependant, contrairement aux commutateurs, elle n'envoie les informations d'accounting au serveur Radius que lors de la déconnexion ou toutes les heures, ce qui empêche de connaître en temps réel les personnes connectées en Wifi.

Protocole SNMP

La borne supporte SNMP (Simple Network Management Protocol). Cela permet de la programmer pour activer le réseau Wifi annoncé en WPA, au travers d'une interface ménagée pour les administrateurs. Pour cela, à l'heure dite, une commande SNMP est envoyée depuis un serveur vers la borne, lui demandant de passer en WPA le réseau principal annoncé. Le SNMP permet également à la borne d'envoyer à une machine de supervision un signal (trap), accompagné des paramètres de localisation, si un utilisateur est en mode ad hoc, plutôt qu'en mode infrastructure.

Configuration de la borne

configBorneHP420ww Voir / Cacher / Télécharger

##########################
## Config Borne HP420ww ##
##########################

La borne est en adresse de base en 192.168.1.1.

Connexion RJ-45 :
  - PC -> Cable croise
  - Switch/Routeur -> Cable droit

Prerequis
---------
  - PC pour la configuration avec navigateur equipe de Java (RunTime minimum)
  - Telecharger le dernier firmware du site HP 
    http://www.hp.com/rnd/software/wireless_ap.htm (2.2.1 au 18/07/2007)
  - Configuration sur papier de l'adresse IP de la borne (192.168.240.240)
  - Configuration des differents SSID (Chillispot, 802.1x, Invite)

Commentaires Generaux
---------------------
L'interface Web est tres bien faite.
- Il faut bien noter la difference entre les serveurs Radius d'authentification 
  (qui sont dans Wireless Interfaces/Authentication Servers) et les serveurs 
  Radius d'accounting (qui sont dans Administration / Accounting Servers)

Configuration d'une borne pour un laboratoire 
---------------------------------------------
0- Configurer le port du switch ou la borne sera branchee :
   interface FastEthernet0/21
       description Borne WIFI TEST 802.1x + Chillispot
       switchport trunk allowed vlan 240,245,540,846
       switchport mode trunk
       spanning-tree portfast

1- Connecter la borne a un PC avec un cable croise pour faire la configuration 
   de base
   * Borne en 192.168.1.1
   * PC en 192.168.1.3
   * Netmask 255.255.255.0
   La borne repond au ping.

2- Pour definir le pays (obligatoire pour activer le Wifi), il FAUT se connecter
en CLI
   $ telnet 192.168.1.1
   Username : admin / Password : VIDE
   HP ProCurve Access Point 420# country fr
   Reboot system now to make the country code change effective <y/n>: y
   Reboot system...
   
3- Se connecter avec le navigateur sur la borne : http://192.168.1.1
   Login : admin / Passwd : VIDE
   * Onglet Administration/User
     - Changer le mot de passe admin
   * Onglet Administration/Software Upgrade (Cette procedure ne fonctionne QUE
     si la borne est deja en 2.1 ou 2.2 !!) (pour 2.0 voir doc)
     Extraire du Zip le fichier hp420-221.bin
     New Firmware File : hp420-221.bin
     Cliquer sur "Start Upgrade".
     Il faut attendre 1 minute pour le transfert et l'interface affiche 
       "Configuration has been saved".
     Demander un reboot dans le meme onglet
   * Onglet Wireless Interfaces
     - Supprimer tous les SSID
     - Creer les nouveaux SSID : 
        + Index 1 / SSID Name : TEST-Chillispot / 
          SSID Description : TEST-Chillispot / VLAN ID : 846 /
          VLAN Tagging : Valide
        + Index 2 / SSID Name : TEST-Interne / 
          SSID Description : TEST-Interne / VLAN ID : 240 /
          VLAN Tagging : Valide
        + Index 3 / SSID Name : TEST-Invite / 
          SSID Description : TEST-Invite / VLAN ID : 246 /
          VLAN Tagging : Valide
     - Activer le SSID Primaire sur le Chillispot
     - Modifier chacun des SSID pour acceder a la configuration de la securite
         + SSID TEST-Chillispot : 
         ************************
           SSID Settings : 
                  Enable SSID : Enable
                  SSID Name : TEST-Chillispot
                  VLAN Tagging : Enable
                  VLAN ID : 846
                  Closed System : Inactif (sinon les reseaux ne sont pas 
                                           annonces)
           Security Suite :
                  Chillispot est sur "No Security"
           Authentication Servers : (TODO : A VERIFIER !!) [Je pense que le 
                                     serveur ne sert a rien ici] 
                  MAC Address Format : No Delimeter
                  VLAN ID Format : Ascii
                  Primary RADIUS Server Setup
                    IP Address : 147.173.1.26
                    Secret Key : secretpartage
                    Timeout    : 5 s
                    Retransmit : 3
           MAC Authentication :
                  Mac Authentication : Disable
           Advanced Settings :
                  Tout a 0, sauf PMSKA Life Time : 60,
                  Pre-Authentication : non activee (Roaming WPA2)
         + SSID TEST-Invite : 
         ********************
           SSID Settings :
                  Enable SSID : Enable
                  SSID Name : TEST-Invite
                  VLAN Tagging : Enable
                  VLAN ID : 246
           Security Suite :
                  WPA-PSK(AES)
                  Key Type: ASCII
                  WPA Pre-Shared Key: Un code aleatoire tres tres long
                  WPA Support : WPA+WPA2
           Authentication Server :
                  Il n'y en a pas (0.0.0.0)
           MAC Authentication :
                  Mac Authentication : Disable
           Advanced Settings :
                  Tout a 0, sauf PMSKA Life Time : 60,
                  Pre-Authentication : non activee (Roaming WPA2)
         + SSID TEST-Interne :
         ********************* 
           SSID Settings :
                  Enable SSID : Enable
                  SSID Name : TEST-Interne
                  VLAN Tagging : Enable
                  VLAN ID : 240
           Security Suite :
                  TKIP-AES-802.1X
                  WPA Support : WPA+WPA2
           Authentication Server :
                  MAC Address Format : No Delimeter
                  VLAN ID Format : Ascii
                  Primary RADIUS Server Setup
                    IP Address : 147.173.1.26
                    Secret Key : SecretPartage
                    Timeout    : 5 s
                    Retransmit : 3
           MAC Authentication :
                  Mac Authentication : Disable
           Advanced Settings :
                  Tout a 0, sauf PMSKA Life Time : 60,
                  Pre-Authentication : non activee (Roaming WPA2)
   * Onglet Configuration / System Information
     - Mettre le System Name a "Borne Wifi Reseau TEST - B021"
   * Onglet Configuration / Port/Radio Settings
     - Ethernet : Port Speed/Duplex : Auto
                  Broadcast/Multicast Limit : Disabled <<--- QQC ???
     - Radio Settings :
                  b & g mixed mode
                  Auto Channel Select : Enable
                  Radio Interface : Enlever Shutdown
                  Transmit Power : min
                  Maximum Station Data Rate : 54Mps
                  Multicast Data Rate : 1Mps
                  Beacon Interval : 100TUs <<--- QQC ???
                  Data Beacon Rate (DTIM) : 1 Beacons <<--- ???
                  Fragmentation Threshold : 2346 Bytes 
                  RTS Threshold : 2347 Bytes <<--- ???
                  Maximum Associations : 128 <<--- ???
                  Slot Time : Auto (Si tous les clients le supportent, on met un
                                   preambule court pour aller plus vite)
                  Preamble : Long (Si tous les clients le supportent, on met un
                                   preambule court pour aller plus vite)
     - External Antenna :
                  Transmit Limits : Tout a 100%
                  Antenna Mode : Diversity
   * Onglet Configuration / IP Configuration
     - DHCP Client :
                  Use the Static IP Address below
                  IP Address      : 192.168.240.240
                  Subnet Mask     : 255.255.255.0
                  Default Gateway : 192.168.240.254 
                  Primary DNS Address   : 147.173.1.26
                  Secondary DNS Address : 147.173.1.27
     
   * Onglet Configuration / Filter Control
     - IAPP : Enable (Utilisation dans le cas du Roaming)
       Local Bridge Filter : Disable (Aucune comm entre les clients, Enable Comm
                                      possible)
       AP Management Filter : Disable (Comm impossible entre les clients et l'AP
                                       pour eviter que les clients ne modifient
                                       la config)
       Ethernet Type Filter : Disable
       Tous les protocoles avec un Status a OFF
TODO : Il serait peut-etre souhaitable de filtrer tous les protos SAUF IP (Ethernet Type Filter : Enable + Tous les protocoles avec un Status a ON sauf IP a OFF)
   * Onglet Configuration / SNMP
     - SNMP State : Enable
       SNMP v3 : Disable
       SNMP v3 Only : Disable
       Location : TEST - CRIC B021
       Contact  : CRIC x7954
       Community Name RO : public
       Community Name RW : Achanger!!
     - SNMP Users : Ne pas en mettre 
   * Onglet Configuration / SNMP Trap
     - SNMP Trap Server :
        Trap Destination 1 : Enable
        Trap Destination IP Address : 147.173.3.248 (Machine detection Bornes 
                                                     Pirates)
        Trap Destination Community Name : public
        Trap Configuration: Tout activer
   * Onglet AP Detection
     - 802.11g AP Detection   <<--- Ne detecte pas les 802.11b ??????
       Mettre Periodic
     - Set Periodic AP Detection
       Scan Interval : 15 Mins (On ne peut pas mettre en dessous)
       Scan Duration : 350 mSecs
       Time Until First Scan : 0
   * Onglet Administration / System Servers
     - System Log Setup : Disable
     - SNTP Server : Enable
          Primary Server : 147.173.1.254
          Secondary Server : 147.173.1.254
     - Set Time Zone : (GMT+01) Paris, Vilnius,Sarajevo, Skopje
     - Daylight Saving : Disable (On ne peut pas dire le WE)
   * Onglet Administration / Accounting Servers
     - RADIUS Accounting Servers : Enabled
       Primary Server Setup : 
          IP Address : 147.173.1.26
          Port : 1813 
          Secret Key : secretpartage
          Timeout : 5
          Retransmit attempts : 3
          Interim update interval : 3600 (Toutes les 3600s, l'AP envoie une MAJ
                      Accounting a Radius)
   * Onglet Administration / Management Controls
     - VLAN Enable : Dynamic (Le Radius definit le VLAN) [REBOOT NECESSAIRE]
       Management VLAN ID : 540
       Management VLAN Tagging : Untagged (Pas Tagged sinon on ne peut plus se 
                                           connecter directement a la borne)
       Reset Button : Enable
       Serial : Enable
       HTTP : Enable
       HTTP Port : 80
       HTTPS : Disable
       HTTPS Port : 443
       Telnet Server : Disable
       SSH Server : Enable
       SSH Port : 22

Glossaire :
WEP : Wireless Equivalent Privacy
WPA : Wifi Protected Access          

Toutes les infos peuvent etre retrouvee dans la doc "AP420-Mgmt&Config.pdf"

---

CNRS / Centre Réseau et Informatique Commun (CRIC) - Dernière modification : 26/06/2019.

Mail : CRIC @ grenoble.cnrs.fr (sans les espaces)