IgaX

Спс, главное, что все реально

Начиная с 2.09.C.0.0-0 со стоковыми дровами ввиду офиц. исправления "бага iOS" -> 802.11r, наиболее вероятно, работать эффективно не будет даже в теории. "Чужой" DA в Disassoc в рамках текущей ассоциации с AP идет в рамках механизма роуминга и стандарта времен Андалов и Первых Людей: IEEE 802.11 - 1999 (R2003) Section 5.5.c .. трудно заблудиться. Яблоко скорбит.

@TheBB Можно нескромный вопрос? Никто не пробовал собирать дрова для К для подмены стоковых через блэклистинг или еще как? Что-нибудь из этой серии: https://github.com/openwrt/mt76 Правда, слухи ходят, что лучше в сторону rt2x00: https://wiki.archlinux.org/index.php/Wireless_network_configuration#rt2x00 Вроде как ядерный универсальный rt2800pci творит чудеса (Since kernel 3.0), но нам вряд ли откроют. А если к берегам LEDE? Там вроде рай если кастом: https://lede-project.org/toh/views/toh_admin_modem_wlan?dataflt[WLAN+Hardware*~]=MT7602EN https://lede-project.org/toh/views/toh_admin_modem_wlan?dataflt[WLAN+Hardware*~]=MT7612EN https://lede-project.org/toh/views/toh_admin_modem_wlan?dataflt[CPU*~]=MT7621S https://lede-project.org/toh/views/toh_admin_modem_wlan?dataflt[CPU*~]=MT7628N Все реально или впереди кирпич на дороге и не проехать? Может, есть какие координаты, я по приборам, вслепую.

WPA2-EAP дает выход на динамическое ключевание с AP в любом случае и скомпрометировать всю сеть не выйдет, макс. только учетку/клиента и то на два делить т.к. там уже другие механизмы следят (должны/принято) за пользователем в плане типичного профиля использования сети, пойдут девиации и паранойя учетку вырубит, дальше уже как протокол велит; без него (WPA2-EAP) просто WPA2-PSK (сам пасс) можно, в теории, "100-пудово" защитить в рамках разделения ключевого материала при 802.11r-2008 (FT-PSK), но клиент должен поддерживать. Во втором случае как бы достаточно, чтобы тот же Hostapd из Entware встал нормально в нужных ролях без конфликта с дровами, для первого все равно вроде нужно менять вектор AuthMode=WPA2PSK -> AuthMode=WPA2. На мой взгляд, каких-то глобальных сложностей в настройке/поднятии всего этого дела пользователем по грамотной инструкции - нет. Но за пользователя уже ответили, что ему это на* не надо, а кто-то будет ждать (а кто-то, может, и не будет, переживет, поставит ворон пугать на входе).

как бы выбирать не приходится, WPA2-Enterprise в списке предлагаемых вариантов защиты сети отсутствует и к этому уровню дров удобно (и, как я себе это понимаю, доступ к дровам монопольный у прошивки) не подобраться даже если самостоятельно поднять остальную инфраструктуру.

Это необязательно он. Wireshark определяет его по порту, в настройках можно временно изменить на другой для целей исследования. Сам протокол DNSCrypt.

@r13 не, я с этим не спорю, немного о другом: вот, например, пользователь считает, что кнопка в админке работает идеально и он хочет ее прикрутить к расписанию, но не знает какую команду cli выдает кнопка админки (например, в лог не попадает или еще что) .. cli guide конечно в помощь, но там тоже, наверное, не всегда есть все ответы

имхо, надо еще показать людям как удобно посмотреть на payload в ci на предмет команды отправляемой админкой по клику .. чтобы узнать почему по кнопке с модемом всегда все хорошо .. например, если кликнуть по рефрешу обнов в системном мониторе с записью в developer tools, то можно найти ci с таким payload: зная точно работающую команду дальше уже либо через фичу, либо opkg+ndmq

все, всё понимают .. просто юзверей в потемках водят что что-то нельзя, а техническое "гуано" по костылям и ходункам это .. немного опровергает .. технический же форум

модель примерно такова: если коммерс и даешь юзверям выход в сеть за бабосик, то становишься "оператором связи" и должен идентифицировать пользователей .. если не развивать мысль почему и из-за кого развалился проект chillispot, то captive portal в данном случае - шлюз к системе аккаунтинга пользователей .. идентификация в т.ч. происходит сторонним сервисом, который принимает оплату, идентификационные данные итп. и передает разрешают флаг на выход в сеть (если упрощенно) .. т.е. купили роутер, решили заработать на хотспоте, запитали подобную систему и стрижете купон с сервиса (или он стрижет с вас). фишка в том, что если раздаешь вифи бесплатно, то лицензия оператора как бы не нужна, поэтому такой подход нафиг, нормальный юзер акуеет и фак покажет, лучше самостоятельно подобрать все и настроить, hostapd более чем достаточно для всего.

мы хотя бы попытались

Небольшие поправки по ветру: 1) манускрипт намекает на макс. 32 подключенные станции на каждое радио(?) .. или все же BSS .. тогда макс. 4*32 клиента с каждого диапазона; 2) и таблица безопасности из 64-х ключей (видимо, PMKSA) на MAC (BSS или радио в целом?) .. хотя ACL вроде на 64 mac на каждый BSS .. ф.з., маневры покажут. В принципе, если не замыкаться на OKC, то армия 2хК обслужит более полусотни точно (а то и больше) фанатов в каждом диапазоне, а т.к. ячейки будут пересекаться (в т.ч. с учетом CCI + вылизанного до блеска "воздуха" в т.ч. в плане airtime utilization), то когда заполнится одна BSS - она, по идее, просто перестанет отвечать на тот же probe request итп. и клиент подцепится к соседней емкости с тем же SSID. Будем надеяться, что (на всякий случай) аутентификатор 802.1X/EAP, например, rt2860apd из комплекта поставки дров есть и как-то запускается. PreAuth=1;1;0;0 # Включаем, видимо, pre-authentication IEEE 802.11i/RSN/WPA2 на, например, ra0 и ra1 PMKCachePeriod=10 # TTL записи кэша в минутах (скорее всего, PMKSA caching) Далее, по идее, все из 802.11i просто включилось на автомате для основной и, например, гостевой AP - распространение preauth - заполняя таблицы с PMKSA на raN с другой стороны via EoIP aka DS и т.к. масштабируем через прозрачный мост с включением в него потенциально сколько угодно EoIP (а не 4-х wdsN), то проще, чтобы для всех: PreAuthifname=br0;br1 # только надо проверить нотацию Формально как бы все, счастье уже должно быть если без Radius. PMK (они же в данном случае PSK) на базе SSID и пасса, уходят в прозрачные мосты и слушаются raN с другой стороны, поэтому как бы механизм должен работать но ф.з. наполняются ли PMKSA в реальности без аутентификатора 802.1X/EAP. Вроде все же без EAP не заведется. Формально FSR - уже есть, ура! .. или .. мм .. это похоже на 802.11r-2007. Вот х.з. на счет необходимости 802.1X/EAP в этом драфте 802.11r .. и вроде 802.11r-2007 не очень сильно поддерживают клиенты, так что идем ниже. Ограничения таблицы кэшей PMKSA привели к 802.11r-2008 .. ключи разделили и все это стали называть FT и FT-PSK. Да и WPA2-Enterprise надо по-человечески прикрутить. Похоже без EAP и Radius/Hostapd уже никак. Вызовы к AS идут хитро со стороны выбранной клиентом для будущего роуминга AP в качестве authenticator, к которым мы, видимо, проталкиваем от клиентов через PreAuthifname соответствующий preauth-трафик в котором в т.ч. есть EAP-хэндшейки .. и все нужные части ключей кэшируются в нужных местах. Видимо, указываем интерфейс, на котором будет EAPOL и, наверное, Radius/Hostapd (роль контроллера) .. м.б. из OPKG: EAPifname=br0 Чтобы заработала иерархия ключей FT, наверное, указываем где висит наш "Радиус": RADIUS_Server=192.168.1.1 RADIUS_Port=1812 RADIUS_Key=myradiuskey1 И в зависимости от поинта (свой ип): own_ip_addr=192.168.1.1 # или: own_ip_addr=192.168.1.2 # или м.б. универсально как-нибудь: own_ip_addr=127.0.0.1 Т.е. все пакуем, отправляем и слушаем. Скорее всего, в этом рецепте будет работать и WPA2PSK(!) и WPA2-Enterprise (WPA2-EAP) .. просто определит появление MSK на "контроллере" от которого дальше разойдутся общие части ключей по разным уровням. 802.11r-2008 в теории готов, дальше если только AS шаманить. У этой темы много "привкусов", поэтому мог накосячить где-то в анализе и с ходу не выйдет. Вроде как не смотря на то, что здесь можно настроить как угодно на стороне контроллера: wpa_key_mgmt=WPA-EAP FT-EAP # или только: wpa_key_mgmt=FT-PSK .. Cisco все же рекомендует выделять отдельные емкости для клиентов, которые не поддерживают 802.11r/FT/FT-PSK ввиду определенных несовместимостей (вроде есть такие репорты). .. в общем, после первоначальных тестов надо бы подумать, как лучше собрать этот конструктор для универсальной схемы "армии двух". .. так-то вроде настройки ставятся одной левой, нюансы в целом ясны, неизвестно только что выйдет: 2007-й с 802.11i/RSN/WPA2, который, скорее всего, будет работать норм все же ток с WPA2-EAP/802.1X .. или 802.11r-2008 с красивым FT в т.ч. для WPA2PSK независимо по воздуху или DS (хотя скорее Over-the-DS, что гуд, а меж-воздух прикроем EoIP). .. и если возможностей rt2860apd не хватит в качестве authenticator, то хотелось бы использовать в этой роли в т.ч. Hostapd, т.к. у него в этом плане широкие возможности .. м.б. будет критично для WPA2PSK в FT-PSK (а м.б. и нет) в части генерации R1 из MSK и других опций из серии: psk_generate_local=1 pmk_r1_push=1 .. хотя м.б. rt2860apd со всем этим справится нормально. @ndm @Le ecureuil @Padavan Очень, очень ждем настроек, чтобы потестировать сию вандер-фичу во всех кинотеатрах страны (это ведь даже не напряжно со стороны разрабов как бы и вроде и вообще) =) P.S. На ассист по роумингу голосов много, про эволюцию в рамках WDS, видимо, не раскурили, но это сторона одной медали, спрос есть =)

Срочный комплект для малого бизнеса: "Армия из двух Кинетиков обслужит больше сотни футбольных фанатов!" .. будоражим, будоражим умы, эх, маркетосы =) ** IntelliQoS фанатам в помощь, если отдельный пресет не сделает навес от 53-го, 80-го и 443-го и про изоляцию помним и так и быть еще 5060, 5061 и 23399 если бармена напрягать будут. хотя, скорее всего, все норм будет и на 802.11 за минусом линков wds (всего 4), там же активные или все же по ключам .. забыл .. если по ключам, то preauth может сыграть дурную шутку и емкость не поднять .. а для фанатского профиля м.б. и норм .. они ведь чаще неподвижны особо, поэтому легкий нюанс с роумингом будет редок, а легкий затык на приложениях не будет массовым, но для VoWLAN конечно нужен preauth aka fsr aka ft aka 802.11r. p.s. еще 802.11w здесь будет в тему (поддержка вроде уже реализована ток список устройств не до конца понятен).

И еще, безусловно, есть плюс реализации EoIP в том, что всего на радио в данной версии драйвера - макс 64 подключения вроде и в случае чистой реализации wdsN возможно с этим будут проблемы на mac 802.11, а с EoIP каждая BSS сохранит свою емкость, что очень хорошо в плане числа потенциальных беспроводных клиентов .. тех же вероятных футбольных soho-баров =)

@ndm хороший ведь план, нам не хватает педалек

Ну и до кучи в рамках канвы педаль к MACRepeaterEN, чтобы гибридный мак транслировался для требований аккаунтинга в случае стандартного беспроводного бриджевания через и со стороны apcliN .. хотя судя по манускрипту проц импакт и оверкилл, да и вообще только max 16 записей и даже без wpa2-enterprise и плюх роуминга .. но пусть будет, будем знать с чем сравнивать. ** бьем в бубен

(на всякий) потому что TA поглощает SA в двух случаях из четырех (и в крайнем как раз собака) .. и вот в т.ч. поэтому клиенты сидят под одним чужим маком в arp-кэше если приходят от пира с apcliN:

.. в ожидании @Padavan .. Или вот, например, есть два устройства с 802.11ac на 5ГГц между которыми с учетом всех path-моментов линк 802.11ac шустр и весел. Располовиним его для WDS (чтобы максимально все наполнить, если "пир" - младшее устройство со 100 Mbps на проводе), а с учетом расстояний надо будет не забыть настроить 2.4ГГц на непересекающихся как мин. Вместо проводного линка, правим: - на К1 - на К2 .. и нет нюансов режима "Повторитель" в плане прозрачного моста. Если брать не 5ГГц, а 2.4ГГц для линка, то все так же ток: WifiMaster1 -> WifiMaster0 М.б. кому-нибудь поможет в желании настроить. Ток проверяем mtu (мало ли) -> show interface WDSAP1 и show interface WDSStation1 Как бы так тоже можно жить без wdsN, но оверхед и проц в отличие от просто addr4 в mac 802.11 =)

Вот по словам вижу, что тоже хочется выпустить этого джина из бутылки .. просто хэппи-энд затянулся =)

на каждое радио

я так глубоко не копал, только глянул какие рецепты идут в поставке .. подумал, мало ли EoIP еще до границы трансформации заворачивает. как бы там ни было, в настройках беспроводных дров есть привязки соответствующих интерфейсов и .. вот прямо вижу еще четыре интерфейса wdsN и все остальные настройки .. нет, не вижу, приглючило =)

Спс. Я просто к тому, что на 802.11 max MSDU до шифрования (в которую можно запихнуть IP datagram) - 2304 (!) .. так что если перебирать бриджи в плане клиентов, то тут тоже есть потенциал для улучшения с учетом, конечно, вопроса IP-фрагментации. Я к чему .. конечно не Jumbo .. но если брать 802.11 в качестве DS линка, то eoip_allow_fragment может быть лишним. И заодно такой вопрос: как я понимаю, на уровне бриджа все кошки серые .. поэтому можно ли включить EoIP в состав непосредственно беспроводного интерфейса, чтобы получить трушный прозрачный 802.11 на который можно повесить все плюшки? С учетом, например, этих особенностей: .. по идее, в такой конструкции беспроводная механика могла бы полностью раскрыться, т.к. на другой стороне туннеля был бы сразу тот же родной 802.11.

Ок, пусть без Jumbo, но Experimental Ethernet ведь можно? Включаем на порту и на интерфейсе или где это возможно ip mtu уже задан максимальный?

я ждал, спасибо смысл в том, что если просто бриджевать, то при выборе wifistation вроде как все равно за-mat-ит и здравствуй proxy-arp .. а так предложение в стиле универсальной схемы: нужно просто придумать L3-линк, что м.б. будет проще для пользователя .. м.б. потом сделать одним из видов "режимов" для широкого применения .. типа купите два Кинетика и WDS/Mesh в два клика .. в любом месте .. с Enterprise-grade EAP .. секурно как в банке .. или чтобы юзер видел свой роутер на даче и его клиентов как если бы они были на основном роутере посредством того же IPsec NAT Traversal (вроде тоже несложно навесить в теории на автомате для пресета) .. и нет проблем .. если те же камеры только в локалке пашут. "бью в бубен, раскрываю потенциал".

ок, раз принципиальных возражений по гибкости и потенциально оптимальному перформансу схемы в целом у начальника транспортного цеха нет, то мне осталось только понудеть по настройкам, в которых я мог бы все сделать дальше .. даже майки позволяют пусть и через реестр часто, но главное, что педали есть, а мы что, хуже? =)