Configurações de infraestrutura

Janeiro/2017 – Projeto USPnet semfio 2.0

Roteiro Configuração Arubas

Teste de autenticação no eduroam.

O programa rad_eap_test poderá ser utilizado para os testes num linux. Recomendamos que faça o download a partir dos links abaixo. Salve o “eapol_test” numa pasta “bin” criada dentro do diretório em que estiver o “rad_eap_test”

http://www.eduroam.cz/rad_eap_test/rad_eap_test-0.23.tar.bz2

http://www.eduroam.cz/rad_eap_test/eapol_test/eapol_test

O comando abaixo deverá ser utilizado para o teste.

rad_eap_test -H IP_SERVIDOR_RADIUS -P 1812 -u USUARIO_USPDIGITAL -p SENHA_USPDIGITAL -m IEEE8021X -e TTLS -S SECRET_KEY_RAIDUS -2 MSCHAPV2

A instalação do pacote “wpasupplicant” também poderá auxiliá-lo.

Wiki Oficial do eduroam

Normalmente os centros de informática são responsáveis pela gestão dos gateways pfSenses, de qualquer forma, para fins didáticos, abaixo estão disponíveis dois modelos de configuração. Com o uso do pfSense na unidade, não será necessária a extensão das vlans 100 e 115 no backbone USPnet.

pfSense com três interfaces de rede. Neste caso será necessário configurar as vlans nos switches e nos access points.

eduroam_pf-3nics_nics-20131101

https://eduroam.usp.br/configuracoes-de-infraestrutura/configuracao-do-pfsense-com-3-interfaces/


pfSense com duas interfaces de rede. Neste caso será necessário configurar as vlans nos switches, nos access points e no psSense.
eduroam_pf_2nics-20131101

https://eduroam.usp.br/configuracoes-de-infraestrutura/configuracao-pfsense-com-2-interfaces-e-vlan/


Caso seu access point suporte as configurações de WPA2-Enterprise e possa fazer o broadcast de dois SSIDs (USPnet na vlan 100 e eduroam na vlan 115), não haverá necessidade de alteração de firmware do access point.

Neste caso, bastará estender as vlans até as portas de switch que conectam os aps e o pfSense (ou controladora), configurar os aps e nos informar os ips que encaminharão as requisições de autenticação.

No seu firewall ou ACL, libere a comunicação dos endereços ip dos seus aps para as conexões provenientes das portas UDP 1812 e 1813 dos servidores radius do eduroam na USP. Caso o ip de gerência dos seus aps seja inválido, será necessário configurar algum NAT para que exista a comunicação bidirecional dos aps com os servidores Radius da federação eduroam.

O DD-WRT ou o OpenWrt deverão ser utilizados conforme a sua decisão sobre sua necessidade de recursos de configuração e oferta de serviços.

Em access points com o DD-WRT, a configuração para autenticação por WPA2-Enterprise poderá ser feita conforme abaixo.

https://eduroam.usp.br/configuracoes-de-infraestrutura/dd-wrt/

Alternativamente é possível utilizar o OpenWrt nos access points. O link abaixo poderá elucidar o caminho para configuração.
https://eduroam.usp.br/configuracoes-de-infraestrutura/openwrt/

Abaixo estão alguns roteiros de configurações de aps utilizados na comunidade USP.

Além dos roteiros abaixo, o Wiki da Geant possui boas referências, com roteiros para Aruba, Cisco e Juniper.

3COM 7760 (JD015A)

3COM 8760

CISCO Air LAP-1042n-a-k9 (Aironet)

CISCO Aironet 1240AG Series

CISCO Controller 5500

Aruba IAP – Série 200 (projeto USPnet semfio 2.0)

Controladora Aruba (tutorial antigo do wiki eduroam)

D-Link DAP-2360

D-Link DAP-2590

D-Link DWL 3200

Foundry

H3C Controller WX5002

Caso você já possua uma controladora, o seguinte diagrama poderá guiar a implementação na sua unidade. eduroam_pf_controller-20131101

2015-09-21 – Detalhes sobre a resolução dos problemas de conexão de clientes com TLS 1.2 no eduroam
https://eduroam.usp.br/configuracoes-de-infraestrutura/tls-1-2-e-freeradius/