Chillispot secured Wi-Fi Access Gateway (dd-wrt)
Contributed by วิบูลูลย์
Wednesday, 21 November 2007
เขียนโดย วิบูลย์ วราสิทธิชัย นักวิชาการคอมพิวเตอร์ ม.อ.
อ้างอิงเอกสารที่ผมอ่าน
HowTo: DD-WRT+chillispot & freeradius & mysql
https://www.zlabinger.at/blog/2006/05/26/playing-with-linksys-wrt54gs/
How to Flash the WRT54GL with DD-WRT Firmware
http://www.mandladventures.com/2007/04/12/how-to-flash-the-wrt54gl-with-dd-wrt-firmware/
Chillispot secured Wi-Fi Access Gateway คืออะไร
คืออุปกรณ์แอคเซสพอนต์เราเตอร์ (อุปกรณ์เครือข่ายไร้สาย) ที่ติดตั้ง firmware ใหม่ที่มีความสามารถในการป้
องกันการลักลอบเข้าใช้งาน โดยที่
firmware นั้นมีโปรแกรม Chillispot ใส่ไว้ให้แล้ว
Chillispot คืออะไร
คือ Open source software ที่นำมาใช้ในการควบคุมการใช้งานเครือข่ายไร้สาย เรียกว่า
wireless controller นิยมนำมาใช้เป็น gateway ติดตั้ง
ไว้บน linux box เพื่อคอยดักแพ็กเก็ต TCP port 80 และส่งหน้าจอ login ไปยังผู้ใช้งาน
หลักักการทำางาน
เมื่อท่า
น upgrade firmware ใหม่ ท่านสูญเสียการรับประกัน (warranty void) ครับ
เมื่อเครื่องโน้ตบุ๊คทำการคอนเนคเข้ามายังแอคเซสพอยต์ได้สำเร็จ ผู้ใช้เริ่มต้นการใช้งานบราวเซอร์เพื่อไปยังเว็บไซต์ใด ๆ ผู้ใช้จะได้รับหน้าจอ
แรกเป็นหน้าจอสำหรับ login เมื่อ login สำเร็จจึงจะสามารถใช้งานอินเทอร์เน็ตได้ หากว่าในโปรแกรบราวเซอร์ที่ใช้มีการเซ็ตค่าพร็อกซี่ไว้ก็จะไม่
แสดงหน้าจอ login ทำให้ใช้งานต่อไม่ได้
หลักการของระบบนี้คือ เมื่อเครื่องโน้ตบุ๊คคอนเนคกับแอคเซสพอยต์ได้แล้วจะได้รับไอพีแอดเดรสและพร้อมที่จะใช้งาน แต่ย ังใช้ไม่ได้ เพราะว่าเมื่อ
ผู้ใช้เปิดโปรแกรมบราวเซอร์เพื่อไปยังเว็บ ทำให้แอคเซสพอยต์จะได้รับข้อมูล TCP port 80 จากเครื่องโน้ตบุ๊ค มันจะส่งไปยังโปรแกรม chilli ที่อยู่
ในตัวมัน (แอคเซสพอยต์) (โปรแกรม chilli เป็น 1 โพรเซสของ linux OS ที่รันอยู่ในแอคเซสพอยต์) โปรแกรม chilli จะส่งหน้าจอ login ซึ่งถูก
กำหนดไว้ว
่าให้ไปเอาห
น้าจ
อ
login จาก
เว็บ
ไซต์ไหน
เมื่อ
ผู้ใช้ใส่ login และ password โปร
แกร
ม
chillispot ก็จะนำ login และ password ส่ง
ไป
สอบถามที่ RADIUS server ที่กำหนดไว้ จากนั้น RADIUS server ก็จะตอบกลับมายัง chilli แล้ว chilli ก็จะทำการเปิดเส้นทางให้กับผู้
ใช้งานก็ต่อ
เมื่อ login และ password ถูกต้อง
ฮาร์ดแวร์ที่ใช้
Linksys WRT54GL v1.1
RADIUS server
Web server
Notebook ที่ใช้ทำขั้นตอน upgrade firmware เป็น Windows XP SP2 มี IE6
ซอฟต์แวรที่ใช้
firmware DD-WRT v23 SP2
วิธีทำแบบคร่าว ๆ (ดูรายละเอียดด้านล่างเพิ่มเติม )
1. ทำขั้นตอนการ upgrade firmware DD-WRT v23 SP2 ลงใน Linksys WRT54GL v1.1
2. เตรียม RADIUS server
3. เตรียม Web server (ใช้เครื่องเดียวกับ RADIUS ได้)
4. ตรวจสอบแฟ้
ม Firewall ในเครื่อง RADIUS ว่า
อนุญาตให้มีการติดต่อเข้าไปที่ port UDP 1812 และ 1813 และ Web server อนุญาต TCP port
443
5. ทำขั้นตอนการคอนฟิก chillispot ที่ Linksys WRT54GL
6. ปิด DHCP server ที่แจกไอพีให้กับ LAN port 1 - 4
7. reboot Linksys router
8. ทดสอบเปิดบราวเซอร์ท ี่เครื่องโน้ตบุ๊คให้เชื่อมต่อกับ SSID ที่เป็น Linksys ที่เรากำลังทดสอบ (ในขั้นตอนนี้ต้องไม่เซ็ตค่าพร็อกซี่ในบราวเซอร์)
การ upgrade firmware
สิ่งที่ต้องทำก่อน
- ปิด antivirus และ firewall อื่น ๆ ที่อาจมีผลให้ upgrade ไม่ได้
- ใช้ port LAN 1 - 4 เท่า
นั้น โดยใช้สาย UTP ต่อระหว่าง Linksys กับ Notebook ตอนนี้ไม่ใช้ Wi-Fi โดยการปิดปุ่ม Wi-Fi ซะเลย
Wiboon at PSU :: Chillispot secured Wi-Fi Access Gateway (dd-wrt) Page 1 of 3
http://mamboeasy.psu.ac.th/~wiboon.w/index2.php?option=com_content&task=view&... 18/2/2553
- ใช้ port WAN ต่อเข้ากับ ADSL หรือ LAN ของตึกเพื่อให้รับ DHCP IP เพื่อให้ต่อเชื่อมอินเทอร์เน็ตได้
- ทำการ reset linksys ให้ใช้ค่า Factory default โดยการใช้ปลายไขควงขนาดเล็กจิ้มที่ปุ่ม reset ด้านท้ายเครื่อง ค้างไว้ในขณะเดียวกันก็ปลดสาย
ไฟออก แล้วเสียบสายไฟกลับไป ยังคงค้างการกดปุ่ม reset ไว้จนครบ 30 วินาที (ยังไม่ได้ลองใช้คำสั่ง Factory defaults ใน web interface ของ
linksys ว่าเหมือนกันไหม)
1. ดาวน์โหลด firmware DD-WRT v23 SP2 จากเว็บไซต์ http://dd-wrt.com/dd-wrtv2/downloads.php ซึ่งมีเวอร์ชั่น standard, voip และ vpn
ให้เลือก หรือตรงไปยังแฟ้
ม standard ได้ที่ http://www.dd-wrt.com/dd-wrtv2/downloads/stable/dd-wrt.v23%20SP2/ddwrt.
v23_sp2_standard.zip
2. ทำขั้นตอนการ upgrade firmware (ที่ผมทำใช้ทดสอบเป็นชุด standard)
2.1 เข้าหน้าเว็บของ Linksys คือ http://192.168.1.1 ใช้ login คือ root และ password คือ admin
2.2 เลือกแท็บ Administration เลือก Firmware Upgrade (ระวังไฟฟ้
าดับในระหว่างทำ)
2.3 เลือกชื่อแฟ้
ม dd-wrt.v23_generic.bin จากที่แตกแฟ้
ม .zip ออกมา
2.4 รอจนเสร็จ ภาวนาอย่าให้ไฟฟ้
าดับ
เตรียม RADIUS server
ตัวอย่างจะใช้ไอพีแอดเดรส 192.168.2.20 เป็น RADIUS server
วิธีการคอนฟิก RADIUS server แล้วแต่เลือกว่าจะใช้อะไรเป็น database โปรดอ่านบทความสำหรับทำ RADIUS server ได้จาก
http://mamboeasy.psu.ac.th/~wiboon.w เมนู chillispot wifi หัวข้อ การติดตั้ง mysql ใช้ร่วมกับ freeradius อย่างง่าย ลองดูอันนี้ก็ได้
ที่ RADIUS server ต้องกำหนดสิทธิอนุญาตไอพีแอดเดรสของ Linksys Router ถ้าเป็น freeradius ต้องแก้ไขแฟ้
ม /etc/raddb/clients.conf โดย
เพิ่มบรรทัด
client ไอพีแอดเดรสของ Linksys Router {
secret=testing123-1
}
เตรียม Web server เพอืื่่ เก็บ็บเว็บเพจหน้า login (Redirect URL)
ตัวอย่างจะใช้ไอพีแอดเดรส 192.168.2.33 เป็น Web server ที่เก็บแฟ้
ม hotspotlogin.cgi ซึ่งเป็น Redirect URL ที่เป็นหน้า login
ดาวน์โหลดแพ็กเกจ chillispot v1.1 มาแล้วก็อปปี้เฉพาะแฟ้
ม hotspotlogin.cgi ไปไว้ในเว็บเซิร์ฟเวอร์ ถ้าเป็น apache web server ให้เก็บไว้
ท ี่ /var/www/cgi-bin
แก้ไขแฟ้
ม hotspotlogin.cgi ให้มี uamsecret ตรงกันกับที่กำหนดในขั้นตอนการคอนฟิก chillispot
การคอนฟิก chillispot
1. เลือก Administrator แล้วเลือกแท็บ Hotspot
2. ในหน้าต่าง Hotspot ให้เลือก enable รายการ chillispot แล้วจะเห็นรายการช่องว่างให้เติม
3. เลือก enable รายการ Separate Wifi from LAN bridge เพื่อแยก port 1-4 ของอุปกรณ์ออกจาก LAN ของ Wi-Fi
4. ช่อง Primary Radius Server ให้ใส่ไอพีแอดเดรสของ Radius ตัวอย่างเช่น 192.168.2.20
5. ช่อง Backup Radius Server ให้ใส่ไอพีแอดเดรสของ Radius อีกตัว ถ้าไม่มีให้ใช้เหมือนกับข้อ 4
6. ช่อง DNS IP ให้ใส่ไอพีแอดเดรสของ domain name server ตัวอย่างเช่น 192.100.77.5
7. ช่อง Redirect URL ให้ใส่เว็บเพจหน้า login ตัวอย่างเช่น https://192.168.2.33/cgi-bin/hotspotlogin.cgi
8. ช่อง Shared key ให้ใส่ secret key ที่ตรงกับ RADIUS
9. ช่อง DHCP interface ให้กำหนดเป็น WLAN เท่านั้นเพื่อให้ chilli แจกไอพีให้กับ wireless clients เท่านั้น
10. ช่อง Radius NAS ID ให้ตั้งชื่ออะไรก็ได้ เช่น dd-wrt-chilli
11. ช่อง UAM secret ให้ใส่ uamsecret ที่ตรงกันกับ hotspotlogin.cgi
12. ช่อง Additinal Chillispot Option ให้ใส่หมายเลขเน็ตเวอร์คที่ต้องการ หากไม่ตั้งจะใช้เป็น 192.168.182.0/24 ตัวอย่า
งเช่น ตงั้ เป็น net
10.201.1.0/24
13. ทำการ save config
ภาพตัวอย่างการคอนฟิก chilli
Wiboon at PSU :: Chillispot secured Wi-Fi Access Gateway (dd-wrt) Page 2 of 3
http://mamboeasy.psu.ac.th/~wiboon.w/index2.php?option=com_content&task=view&... 18/2/2553
การปิด DHCP server ทแีี่่ จกไอพีให้กับ LAN port 1 - 4
1. ไปที่แท็บ setup เลือก Basic Setup
2. เลือก disable DHCP server
reboot Linksys router
เพื่อให้ chillispot ใช้ค่าคอนฟิกใหม่ที่กำหนด
จบ
Last Updated ( Thursday, 22 November 2007 )
Close Window
Wiboon at PSU :: Chillispot secured Wi-Fi Access Gateway (dd-wrt) Page 3 of 3
http://mamboeasy.psu.ac.th/~wiboon.w/index2.php?option=com_content&task=view&... 18/2/2553
0 comments:
Post a Comment