[Vodič] Router v študentskem domu (Eduroam)

@S4NNY1
torrenti in p2p je protizakonito, dont you know. Se pa tolerira. Administratorji gledajo promet, je neka meja downloada/uploada (100gb/teden?), prvic je warning, drugic ?, tretjic te dajo offline za en teden. Lahko pa tudi sam povprasas za mesto administratorja v domu, je placano za bagatelo, imas pa dostop do par stvari. Bos pa ob priklopu in spletni aktivaciji dobil ves info glede omejitve dl/upl.

Pa obilo veselja s predator in terminator-jem :)

Trenutno sem v študentu in nikakor se ne morem povezati na eduroam. Za chaos calmer, bi naj bil primeren wpad. Ve kdo kaj več? Slike

eduroam? da :)

Živjo!
Meni bo tale 802.1x spil vse živce. Sprva sem stvar hotel pognati na Asus RT N16 in po enih 10ih urah konfiguriranja ugotovil, da ne podpira več wpa-supplicanta. Nato sem zagrabil nekega starega WRT54GL, ker pač na tem bi pa le moralo delovati. Figo. Doma nanj namestim wpa supplicant, ustvarim konfiguracijsko datoteko... a mi ob vpisu ukaza:

wpa_supplicant -i eth0.1 -D roboswitch -p multicast_only=1 -c /etc/config/wpa.conf

izpiše naslednje:

wpa_supplicant -i eth0.1 -D roboswitch -p multicast_only=1 -c /e
tc/config/wpa.conf
eth0: Associated with xx:xx:xx:xx:xx:xx
eth0: CTRL-EVENT-EAP-STARTED EAP authentication started
eth0: CTRL-EVENT-EAP-PROPOSED-METHOD vendor=0 method=21
eth0: CTRL-EVENT-EAP-METHOD EAP vendor 0 method 21 (TTLS) selected
X509: Certificate not valid (now=1315501699 not_before=1512640921 not_after=1575712921)
eth0: CTRL-EVENT-EAP-FAILURE EAP authentication failed

Kakšen certifikat? Pri TTLS avtentikaciji je namreč certifikat samo na strežniku, na klientu pa ne. Btw, avtentikacija se ni spremenila. Še vedno je prva TTLS, druga pa PAP (če gledam navodila za Android telefon).
Uporabniške podatke sem v config datoteko vpisal prave :)

Hvala!

Naletel na blog prispevek kjer opisuje, da v bodoče ne bo mogoče nameščati drugega frimweara na routerje ... ?

recmajkemi je 4. mar 2019 ob 10:00 izjavil:

Naletel na blog prispevek kjer opisuje, da v bodoče ne bo mogoče nameščati drugega frimweara na routerje ... ?

To se dogaja že zdaj. Nemalo nazaj sem imel težave z WR940N in tudi s privzeto PO od WRT54GL. Privzet GUI ne dovoljuje nalaganja 3rd party datotek. To se lahko reši z vstopom v recovery mode in nalaganjem datoteke preko TFTP, vendar se dostop do tega lahko močno razlikuje od routerja do routerja...

Hoj, da še jaz napišem, kakšne so moje izkušnje v 2022, če se bo še kdo trudil z OpenWRT routerjem v ŠDL. Še vedno se da in je po moje vredno!

- Nabavil sem mini router GL.iNET za 20 evrov na italijanskem Amazonu. Verjetno še nikoli niste slišali za to firmo, ampak priporočam nabavo njihovih izdelkov, ker imajo povečini kvalitetne čipe Atheros in ker že njihov tovarniški firmware bazira na prilagojenem OpenWRT. Firmware mojega je baziral na OpenWRT v18, a sem potem router enostavno spravil na uradni OpenWRT v21 kar preko tovarniškega spletnega vmesnika, samo povlekel sem OpenWRT posodobitveno datoteko (v mojem primeru: openwrt-21.02.1-ath79-generic-glinet_gl-ar300m16-squashfs-sysupgrade.bin) v podstran za posodobitev routerja v tovarniškem spletnem vmesniku. Skratka, GL.iNET je najbolj enostavna pot do OpenWRT routerja, ker so super podprti s strani OpenWRT in routerji niso zaklenjeni, zato se ni treba zafrkavati z napornimi metodami zamenjave firmwarea.

- Router sem kupil in nastavil samo zato, ker je uradni Wi-Fi v Rožni zelo slab. Ko je ta tema nastala, niti ni bilo WiFi v ŠDL, zato so si ljudje nastavljali svoje routerje na kabel, da so sploh imeli Wi-Fi. Zdaj sicer je Wi-Fi v študentskih domovih, ampak je zelo slabo vzpostavljen, neprestano meče ven, meni recimo še napol dela za mizo, ne dela pa mi na postelji in v kuhinji, pa še počasen je v primerjavi s kablom (max. 30-40 mbps, kabel je pa 100 mbps).

- OK, kako sem ga vzpostavil. Načeloma sem sledil vodiču na prvi strani in ostalim prispevkom, ampak je potrebnih nekaj popravkov.
1) Najprej sem, kot opisano, flashal svoj router na najnovejši OpenWRT 21.02.1 in ga pri posodobitvi ponastavil na tovarniške nastavitve.
2) Ko se je ponovno zagnal, sem router s ethernet kablom povezal na laptop, kabel gre seveda v LAN port na routerju, WAN port (kamor gre kasneje kabel iz stenske vtičnice) pa zaenkrat pustimo pri miru.
3) Kot so napisali prejšnji uporabniki, je potrebno namestiti nekaj paketkov, za kar potrebujete delujočo povezavo. Jaz sem to rešil tako, da sem router kot Wi-Fi klient začasno povezal na telefonski hotspot preko brskalniškega LuCI spletnega vmesnika na https://192.168.1.1
4) Potem, ko je router povezan na hotspot kot klient in imate neko povezavo v svetovni splet, se lahko povežete nanj s ssh, ni potrebno uporabljati zastarelega telneta. SSH klient je dandanes vgrajen v vsak Linux, macOS in tudi Windows 10/11 sistem, komanda v terminalu je:

ssh root@192.168.1.1

Lahko pa tudi uporabite PuTTY, če ga imate nameščenega v Windows.
5) Ko pridete v router preko SSH najprej posodobite vire paketov, potem pa poskusite namestiti paket wpa-supplicant:

opkg update
opkg install wpa-supplicant

Verjetno vam bo javil, da je že nameščena neka druga prilagojena verzija wpa-supplicant, ki blokira namestitev celotnega paketa. Pri meni je bil to paket wpad-basic-wolfssl, ki se ga odstrani in nadomesti s pravim wpa-supplicant, zraven pa je za Wi-Fi šifriranje potreben še paket hostapd:

opkg remove wpad-basic-wolfssl
opkg install wpa-supplicant
opkg install hostapd

6) Namestil sem tudi terminalski urejevalnik nano in task manager htop za preverjanje procesov, ki tečejo v ozadju:

opkg install nano
opkg install htop

7) Ok, zdaj imamo vse pakete, za avtentifikacijo pa potrebujemo še ARNES certifikat, ki ga uporabljajo vsa omrežja Eduroam in tudi SDLnet omrežje. Naredil sem mapo, kamor sem s spleta potegnil certifikat, potem pa v urejevalniku ustvaril pripadajočo konfiguracijo za wpa_supplicant (ločena datoteka, kot določenim v tej temi ni jasno):

mkdir /etc/sdlnet
cd /etc/sdlnet
wget https://ftp.arnes.si/software/eduroam/certs/arnes_eduroam_ca_2012.pem
nano /etc/sdlnet/wpa_supplicant.conf

7) Odpre se urejevalnik in v njega prilepimo spodnjo konfiguracijo, ki jo prilagodimo glede na svoje uporabniško ime in geslo, shranimo pa s CTRL+X, potem pa spremembe še potrdimo z Y.

network={
        key_mgmt=IEEE8021X
        eap=TTLS
        ca_cert="/etc/sdlnet/arnes_eduroam_ca_2012.pem"
        identity="UPORABNISKOIME@sd-lj.si"
        anonymous_identity="anonymous@sd-lj.si"
        password="GESLO"
        phase2="auth=PAP"
}

8) Zdaj moramo ugotoviti, kako se reče WAN in LAN portom v sistemskem žargonu, kar je od routerja do routerja lahko drugače. Spet sem odprl spletni vmesnik in v razdelku Network/Interfaces ugotovil, da je WAN port v mojem primeru eth1 (moj edini LAN port pa eth0).
9) Sedaj moramo še nastaviti, da router poskuša z wpa_supplicant odkleniti kabelsko povezavo po zagonu, potem počaka 30 sekund (10 je bilo premalo v mojem primeru), nato pa ponastavi WAN povezavo in s tem pridobi novi IP z DHCP klientom. Ni potrebno pisati nove skripte pod /etc/init.d, ampak se preprosto doda komande v /etc/rc.local, datoteko se odpre v urejevalniku nano:

nano /etc/rc.local

Pri meni datoteka nato izgleda takole:

# Put your custom commands here that should be executed once
# the system init finished. By default this file does nothing.

wpa_supplicant -BDwired -ieth1 -c/etc/sdlnet/wpa_supplicant.conf
sleep 30
ifup wan

exit 0

Bodite pozorni, da vpišete pravi ethX v prvo komando! Shranite v nano kot prej.

10) Če ste se kot jaz z routerjem začasno povezali na Wi-Fi hotspot, potem to povezavo ukinite v spletnem vmesniku. Nato v WAN port vtaknemo ethernet kabel iz stenske vtičnice in router ponovno zaženemo, preko spletnega vmesnika ali kar s ssh komando:

reboot

11) Če bo šlo vse po sreči, vas bo čez kakšno minuto na računalniku pričakal odklenjen internet. Potem manjka še samo, da si kar v spletnem vmesniku nastavite Wi-Fi omrežje, na katerega bo posredovana povezava s kabla. Z Android aplikacijo WiFi scanner lahko tudi preverite, na katerih Wi-Fi kanalih je najmanj gužve, da bo Wi-Fi deloval z manj motenj - jaz sem izbral kanal 9.

Jaz sem s svojim routerjem zelo zadovoljen, sedaj imam v sobi in kuhinji izredno hiter privat Wi-Fi. Router me je stal samo 20 evrov, hitrost povezave nanj pa je okoli 80 mbps v obe smeri, kar je skorajda tako hitro kot na kabel. Če boste kupovali router, razmislite, ali se ne splača kupiti routerja s podporo za 5GHz omrežje, ker je vsaj v Rožni dolini na 2.4Ghz kanalih precejšnja gužva.

Upam, da vam je vodič koristil, če privat Wi-Fi v študentskih domovih sploh še zanima koga!

Super, da se vodiču da slediti in da ti je pomagal. Zdaj sem videl, da je ena komanda notri za brezveze, in sicer

opkg install htop

Namreč tega task managerja ne omenjam nikjer več v vodiču, sem ga pa uporabljal za debug in na sploh ga nameščam v vsak linux.

Jaz lahko rečem, da po štirih mesecih vse še vedno deluje brez problema, router tudi nikoli še ni zgubil povezave, vedno vse deluje. Tudi kadar izklopim router kar s kablom in ga kasneje ponovno prižgem, je v manj kot minutki internet vedno pronto.

Grem pa konec poletja končno ven iz študentskih domov in sedaj bo na novih generacijah, da še naprej ohranjajo to žlahtno tradicijo kršenja pravil študentskih domov (privat routerji so v domovih prepovedani).

kremsnitka je 5. sep 2022 ob 19:57 izjavil:

Trenutno sem sam v procesu setup-a routerja in sem naletel na nekaj težav. Kupil sem GL-iNetov Opal ST1200 router, ki sicer ima OpenWRT že naložen vendar nima omogočene posodobitve na OpenWRT21.

Prebil sem se čez celotna navodila, vendar sem na koncu, ko poženem wpa-supplicant naletel na problem, ker se mi EAP ne želi avtenticirati.

Javim v kolikor mi uspe.

iz wpa_supplicant.conf sem moral zbrisati anonymous_identity in se mi je zadeva povezala preko kabla.