Freebsd как wifi роутер

FreeBSD: настройка Wi Fi

После установки FreeBSD 9.0 и KDE 4.8 на ноутбук захотелось настроить на нём WiFi.

Установка довольно простая, хотя без проблем не обошлось.

Найдем нашу WiFi карту:

# pciconf -vl | grep Wireless
device     = ‘AR9287 Wireless Network Adapter (PCI-Express)’

При загрузке FreeBSD определила карту как ath0:

# ifconfig ath0
ath0: flags=8843<UP,BROADCAST,RUNNING,SIMPLEX,MULTICAST> metric 0 mtu 2290
ether cc:af:78:2d:25:c2
nd6 options=29<PERFORMNUD,IFDISABLED,AUTO_LINKLOCAL>
media: IEEE 802.11 Wireless Ethernet autoselect mode 11g
status: no carrier

Добавим в /etc/rc.conf строки:

wlans_ath0=»wlan0″
ifconfig_wlan0=»WPA DHCP»

Первая строка создает интерфейс wlan0, вторая — указывает типа шифрования и что настройки требуется получать по DHCP от WiFi-роутера.

Кроме того, в файл /boot/loader.conf добавим такие строки:

if_ath_load=»YES»
wlan_wep_load=»YES»
wlan_ccmp_load=»YES»
wlan_tkip_load=»YES»

Теперь настроим само подключение к сети.

Что бы не перезагружать машину сейчас, создадим интерфейс вручную — в дальнейшем он будет создаваться с помощью записи в /etc/rc.conf:

# ifconfig wlan0 create wlandev ath0

Проверим доступные сети:

# ifconfig wlan0 list scan
SSID/MESH ID    BSSID              CHAN RATE   S:N     INT CAPS
setevoy_hom…  58:6d:8f:ae:c3:c8    1   54M -62:-96  100 EP   RSN HTCAP WPS WPA WME

Либо:

# ifconfig wlan0 up scan
SSID/MESH ID    BSSID              CHAN RATE   S:N     INT CAPS
setevoy_hom…  58:6d:8f:ae:c3:c8    1   54M -62:-96  100 EP   RSN HTCAP WPS WPA WME

В данный момент интересует сеть setevoy_home_network.

Для настройки подключения к ней используем wpa_passphrase:

# wpa_passphrase setevoy_home_network mypassword >> /etc/wpa_supplicant.conf

Теперь, в файле /etc/wpa_supplicant.conf должны появится такие строки:

network={
ssid=»setevoy_home_network»
#psk=»mypassword »
psk=многабукф_хеш_пароля
}

Теперь, после рестарта машины или сети:

# /etc/rc.d/netif restart && /etc/rc.d/routing restart

должно появится подключение:

# ifconfig wlan0
wlan0: flags=8843<UP,BROADCAST,RUNNING,SIMPLEX,MULTICAST> metric 0 mtu 1500
ether cc:af:78:2d:25:c2
inet 192.168.1.141 netmask 0xffffff00 broadcast 192.168.1.255
nd6 options=29<PERFORMNUD,IFDISABLED,AUTO_LINKLOCAL>
media: IEEE 802.11 Wireless Ethernet OFDM/54Mbps mode 11g
status: associated
ssid setevoy_home_network channel 1 (2412 MHz 11g) bssid 58:6d:8f:ae:c3:c8
regdomain 101 indoor ecm authmode WPA2/802.11i privacy ON
deftxkey UNDEF TKIP 2:128-bit TKIP 3:128-bit txpower 20 bmiss 7
scanvalid 450 bgscan bgscanintvl 300 bgscanidle 250 roam:rssi 7
roam:rate 5 protmode CTS wme burst roaming MANUAL

Одна из возможных проблем заключалась в том, что wlan0 никак не хотел получать IP от DHCP-сервера на роутере. Выглядело это так:

# ifconfig wlan0
wlan0: flags=8843<UP,BROADCAST,RUNNING,SIMPLEX,MULTICAST> metric 0 mtu 1500
ether cc:af:78:2d:25:c2
inet 0.0.0.0 netmask 0xff000000 broadcast 255.255.255.255
nd6 options=29<PERFORMNUD,IFDISABLED,AUTO_LINKLOCAL>
media: IEEE 802.11 Wireless Ethernet autoselect (autoselect)
status: associated
ssid «» channel 12 (2467 MHz 11g)
regdomain 101 indoor ecm authmode WPA1+WPA2/802.11i privacy OFF
txpower 20 bmiss 7 scanvalid 60 bgscan bgscanintvl 300 bgscanidle 250
roam:rssi 7 roam:rate 5 protmode CTS wme burst

Т.е. строка inet 0.0.0.0 постоянно выдавала нули вместо нормального IP, хотя само подключение присутствовало — status: associated.

Решение — отредактировать файл /etc/wpa_supplicant.conf и заменить некоторые строки.

Вместо:

network={
ssid=»setevoy_home_network»
#psk=»mypassword »
psk=многабукф_хеш_пароля
}

Сделать так:

network={
ssid=»setevoy_home_network»
psk=»mypassword »
#psk=многабукф_хеш_пароля
}

После этого сеть поднялась без проблем.

Официальная страница руководства тут>>>.

31.3. Беспроводная сеть

31.3.4.1.1. Как найти точки доступа

Для поиска доступных сетей используйте ifconfig (8). Выполнение этого запроса может занять некоторое время, поскольку требует, чтобы система переключилась на все доступные беспроводные частота и зонд для доступных точек доступа. Только суперпользователь может инициировать сканирование:

  #    ifconfig   wlan0   create wlandev   ath0      #    ifconfig   wlan0   сканирование вверх   SSID / MESH ID BSSID СКОРОСТЬ ИЗМЕНЕНИЯ S: N INT CAPS dlinkap 00: 13: 46: 49: 41: 76 11 54M -90: 96 100 EPS WPA WME freebsdap 00: 11: 95: c3: 0d: ac 1 54M -83: 96 100 EPS WPA 

Примечание:

Интерфейс должен быть до раньше он может сканировать.Последующие запросы на сканирование не требуют интерфейс будет снова помечен как активный.

В выводе запроса сканирования перечислены все Сеть BSS / IBSS найденный. Помимо перечисления названия сети, SSID , вывод также показывает BSSID , который является MAC-адрес точки доступа. В CAPS Поле определяет тип каждая сеть и возможности станций работает:

Table31.2.Коды возможностей станции

Также можно отобразить текущий список известных сети с:

  #    ifconfig   wlan0   сканирование списка   

Эта информация может обновляться автоматически адаптер или вручную с помощью запроса scan .Старые данные автоматически удаляются из кеша, поэтому более время этот список может сократиться, если больше сканирований сделанный.

31.3.4.1.2. Основные настройки

В этом разделе приведен простой пример того, как сделать адаптер беспроводной сети работает во FreeBSD без шифрование. После знакомства с этими концепциями настоятельно рекомендую использовать WPA для настройки беспроводная сеть.

Есть три основных шага для настройки беспроводной сети. сеть: выберите точку доступа, аутентифицируйте станции и настройте IP-адрес.В следующих разделах обсуждается каждый шаг.

31.3.4.1.2.1. Выбор точки доступа

В большинстве случаев достаточно, чтобы система выберите точку доступа с помощью встроенной эвристики. Это поведение по умолчанию, когда интерфейс помечено как вверх или указано в /etc/rc.conf :

 wlans_ath0 = "wlan0" ifconfig_wlan0 = "DHCP" 

Если есть несколько точек доступа, определенная можно выбрать по его SSID:

 wlans_ath0 = "wlan0" ifconfig_wlan0 = "ssid   your_ssid_here   DHCP" 

В среде с множественным доступом точки с тем же SSID, которые часто делается для упрощения роуминга, может потребоваться связать с одним конкретным устройством.В этом случае BSSID точки доступа может быть указаны, с или без SSID:

 wlans_ath0 = "wlan0" ifconfig_wlan0 = "ssid   your_ssid_here   bssid   xx: xx: xx: xx: xx: xx   DHCP" 

Есть и другие способы ограничить выбор точка доступа, например ограничение набора частот система продолжит сканирование. Это может быть полезно для многодиапазонная беспроводная карта, сканирующая все возможное каналы могут занять много времени.Чтобы ограничить работу конкретный диапазон, используйте режим параметр:

 wlans_ath0 = "wlan0" ifconfig_wlan0 = "mode   11g   ssid   your_ssid_here   DHCP" 

В этом примере карта будет работать в 802.11g, который определен только для частот 2,4 ГГц поэтому каналы 5 ГГц рассматриваться не будут. Это может также быть достигнуто с помощью канал параметр, который блокирует работа на одной определенной частоте, а chanlist параметр, чтобы указать список каналов для сканирования.Подробнее об этих параметры можно найти в ifconfig (8).

31.3.4.1.2.2.Аутентификация

После выбора точки доступа станция необходимо пройти аутентификацию, прежде чем он сможет передавать данные. Аутентификация может происходить несколькими способами. Большинство общая схема, открытая аутентификация, позволяет любая станция присоединиться к сети и общаться. Это аутентификация для использования в тестовых целях в первый раз настроена беспроводная сеть.Другие схемы требуют криптографические рукопожатия должны быть завершены перед данными трафик может течь, используя предварительные общие ключи или секреты или более сложные схемы, включающие бэкэнд такие сервисы, как RADIUS. открыто аутентификация является настройкой по умолчанию. Следующий самый обычная настройка - WPA-PSK, также известный как WPA Personal, который описано в Раздел 31.3.4.1.3.1, «WPA-PSK».

Примечание:

При использовании базы Apple AirPort Extreme станция для точки доступа, аутентификация с общим ключом вместе с ключом WEP необходимо быть настроенным.Это можно настроить в /etc/rc.conf или используя wpa_supplicant (8). Для одной базы AirPort станции, доступ можно настроить с помощью:

 wlans_ath0 = "wlan0" ifconfig_wlan0 = "authmode shared wepmode on weptxkey   1   wepkey   01234567   DHCP" 

В общем случае аутентификация с общим ключом должна быть избежать, потому что он использует ключ WEP материал в очень жесткой манере, что делает его еще проще ключ взломать.Если WEP должен использоваться для совместимости с устаревшими устройствами лучше использовать WEP с открытым аутентификация. Дополнительная информация о WEP можно найти в Раздел 31.3.4.1.4, «WEP».

31.3.4.1.2.3. Получение IP-адреса с помощью DHCP

После выбора точки доступа и установлены параметры аутентификации, IP-адрес должен быть получен в чтобы общаться. В большинстве случаев IP-адрес получен через DHCP.Для этого отредактируйте /etc/rc.conf и добавьте DHCP в конфигурацию для устройство:

 wlans_ath0 = "wlan0" ifconfig_wlan0 = "DHCP" 

The беспроводной интерфейс теперь готов к вызову:

  #    service netif start   

После запуска интерфейса используйте ifconfig (8) чтобы увидеть статус интерфейса ath0 :

  #    ifconfig   wlan0     wlan0: flags = 8843  mtu 1500 эфир 00: 11: 95: d5: 43: 62 инет 192.168.1.100 маска сети 0xffffff00 широковещательная передача 192.168.1.255 СМИ: IEEE 802.11 Wireless Ethernet OFDM / 54 Мбит / с режим 11g статус: связанный ssid dlinkap канал 11 (2462 Mhz 11g) bssid 00:13:46:49:41:76 страна США ecm authmode OPEN privacy OFF txpower 21,5 bmiss 7 scanvalid 60 bgscan bgscanintvl 300 bgscanidle 250 роуминг: rssi 7 roam: rate 5 protmode CTS wme burst 

Статус : ассоциированная линия означает что он подключен к беспроводной сети.В bssid 00: 13: 46: 49: 41: 76 - это MAC-адрес точки доступа и authmode OPEN указывает, что связь не зашифрована.

31.3.4.1.2.4. Статический IP-адрес

Если IP-адрес не может быть полученный с DHCP-сервера, установите фиксированный IP-адрес. Заменить Ключевое слово DHCP показано выше с информация об адресе. Обязательно сохраните любые другие параметры выбора точки доступа:

 wlans_ath0 = "wlan0" ifconfig_wlan0 = "инет   192.168.1.100   netmask   255.255.255.0   ssid   your_ssid_here   "

Wi-Fi Protected Access (WPA) - это протокол безопасности, используемый вместе с сетями 802.11 для устранить отсутствие надлежащей аутентификации и слабость WEP. WPA использует 802.1X протокол аутентификации и использует один из нескольких шифров вместо WEP для обеспечения целостности данных. Единственный шифр, требуемый WPA, - это Протокол целостности временного ключа (ТКИП).TKIP - это шифр, который расширяет базовый шифр RC4, используемый WEP путем добавления проверки целостности, обнаружение несанкционированного доступа и меры реагирования на обнаруженные вторжения. TKIP создан для работы на устаревшем оборудовании с модификацией только программного обеспечения. Это представляет собой компромисс, который повышает безопасность, но все еще не полностью защищен от атак. WPA также определяет Шифр AES-CCMP как альтернатива TKIP, и это предпочтительно, когда возможное. В данной спецификации термин WPA2 или RSN есть обычно используется.

WPA определяет аутентификацию и протоколы шифрования. Аутентификация чаще всего выполняется одним из двух способов: 802.1X и бэкэнд служба аутентификации, такая как RADIUS, или минимальным рукопожатием между станцией и точка доступа с использованием заранее заданного секрета. Первый обычно называемый WPA Enterprise и последний известен как WPA Personal. поскольку большинство людей не настроят RADIUS бэкэнд-сервер для своей беспроводной сети, WPA-PSK - самый распространенный обнаруженная конфигурация для WPA.

Контроль беспроводной связи и ключа согласование или аутентификация с сервером выполняется с использованием wpa_supplicant (8). Эта программа требует Файл конфигурации, /etc/wpa_supplicant.conf , чтобы запустить. Более подробную информацию об этом файле можно найти в wpa_supplicant.conf (5).

WPA-PSK, также известный как WPA Personal, основан на предварительный общий ключ (PSK), который генерируется из заданного пароля и используется как мастер ключ в беспроводной сети.Это означает, что каждый беспроводной пользователь будет использовать тот же ключ. WPA-PSK предназначен для небольших сети, в которых используется сервер аутентификации невозможно или желательно.

Предупреждение:

Всегда используйте надежные пароли, которые достаточно длинный и сделанный из богатого алфавита, чтобы они нелегко угадать или атаковать.

Первым шагом является настройка /etc/wpa_supplicant.conf с SSID и общий ключ сеть:

 сеть = { ssid = "freebsdap" psk = "freebsdmall" } 

Затем в / etc / rc.conf , указывают, что конфигурация беспроводного устройства будет сделано с WPA и IP-адрес будет получен с DHCP:

 wlans_ath0 = "wlan0" ifconfig_wlan0 = "WPA DHCP" 

Затем откройте интерфейс:

  #    service netif start   Запуск wpa_supplicant. DHCPDISCOVER на wlan0 до 255.255.255.255 порт 67 интервал 5 DHCPDISCOVER на wlan0 до 255.255.255.255 порт 67 интервал 6 DHCPOFFER из 192.168.0,1 DHCPREQUEST на wlan0 до 255.255.255.255 порт 67 DHCPACK из 192.168.0.1 привязан к 192.168.0.254 - обновление через 300 секунд. wlan0: flags = 8843  mtu 1500 эфир 00: 11: 95: d5: 43: 62 inet 192.168.0.254 маска сети 0xffffff00 широковещательная передача 192.168.0.255 СМИ: IEEE 802.11 Wireless Ethernet OFDM / режим 36 Мбит / с 11g статус: связанный ssid freebsdap канал 1 (2412 Mhz 11g) bssid 00: 11: 95: c3: 0d: ac страна США ecm authmode WPA2 / 802.11i конфиденциальность ON deftxkey UNDEF AES-CCM 3: 128-битный txpower 21.5 bmiss 7 scanvalid 450 bgscan bgscanintvl 300 bgscanidle 250 roam: rssi 7 roam: rate 5 protmode CTS wme burst roaming MANUAL 

Или попробуйте настроить интерфейс вручную, используя информация в /etc/wpa_supplicant.conf :

  #    wpa_supplicant -i   wlan0   -c /etc/wpa_supplicant.conf   Попытка установить связь с 00: 11: 95: c3: 0d: ac (SSID = 'freebsdap' freq = 2412 МГц) Связано с 00: 11: 95: c3: 0d: ac WPA: согласование ключа завершено с 00: 11: 95: c3: 0d: ac [PTK = CCMP GTK = CCMP] CTRL-EVENT-CONNECTED - подключение к 00: 11: 95: c3: 0d: ac завершено (auth) [id = 0 id_str =] 

Следующая операция - запустить dhclient (8) чтобы получить IP-адрес из DHCP-сервер:

  #    dhclient   wlan0     DHCPREQUEST на wlan0 до 255.255.255.255 порт 67 DHCPACK из 192.168.0.1 привязан к 192.168.0.254 - обновление через 300 секунд.  #    ifconfig   wlan0     wlan0: flags = 8843  mtu 1500 эфир 00: 11: 95: d5: 43: 62 inet 192.168.0.254 маска сети 0xffffff00 широковещательная передача 192.168.0.255 СМИ: IEEE 802.11 Wireless Ethernet OFDM / режим 36 Мбит / с 11g статус: связанный ssid freebsdap канал 1 (2412 Mhz 11g) bssid 00: 11: 95: c3: 0d: ac страна США ecm authmode WPA2 / 802.11i конфиденциальность на deftxkey UNDEF AES-CCM 3: 128-битный txpower 21,5 bmiss 7 scanvalid 450 bgscan bgscanintvl 300 bgscanidle 250 roam: rssi 7 roam: rate 5 protmode CTS wme burst roaming MANUAL 

Примечание:

Если /etc/rc.conf имеет ifconfig_wlan0 = "DHCP" запись, dhclient (8) будет запущен автоматически после wpa_supplicant (8) связывает с доступом точка.

Если DHCP невозможен или желаемый, установите статический IP-адрес после того, как wpa_supplicant (8) аутентифицировал станция:

  #    ifconfig   wlan0   inet   192.168.0.100   маска сети   255.255.255.0      #    ifconfig   wlan0     wlan0: flags = 8843  mtu 1500 эфир 00: 11: 95: d5: 43: 62 inet 192.168.0.100 маска сети 0xffffff00 широковещательная передача 192.168.0.255 СМИ: IEEE 802.11 Wireless Ethernet OFDM / режим 36 Мбит / с 11g статус: связанный ssid freebsdap канал 1 (2412 Mhz 11g) bssid 00: 11: 95: c3: 0d: ac страна США ecm authmode WPA2 / 802.11i конфиденциальность на deftxkey UNDEF AES-CCM 3: 128-битный txpower 21,5 bmiss 7 scanvalid 450 bgscan bgscanintvl 300 bgscanidle 250 roam: rssi 7 roam: rate 5 protmode CTS wme burst roaming MANUAL 

Когда DHCP не используется, шлюз по умолчанию и сервер имен также должны быть установлено вручную:

  #    route add default   your_default_router      #    echo "nameserver   your_DNS_server  " >> / etc / resolv.conf   

31.3.4.1.3.2.WPA с EAP-TLS

Второй способ использования WPA - бэкэнд-сервер аутентификации 802.1X. В этом случае, WPA называется WPA Enterprise, чтобы выделить его из менее безопасного WPA Personal. Аутентификация в WPA Enterprise есть на основе Extensible Authentication Protocol (EAP).

EAP не имеет метод шифрования. Вместо этого EAP встроен в зашифрованный туннель.Здесь очень много Методы аутентификации EAP, но EAP-TLS, EAP-TTLS, и EAP-PEAP - самые общий.

EAP с безопасностью транспортного уровня (EAP-TLS) хорошо поддерживается протокол беспроводной аутентификации, так как это был первый метод EAP, который будет сертифицирован по Wi-Fi Альянс. EAP-TLS требует три сертификата для запуска: сертификат Центр сертификации (ЦС) установлен на всех машинах сертификат сервера для сервер аутентификации и один сертификат клиента для каждый беспроводной клиент.В этом EAP метод, как сервер аутентификации, так и беспроводной клиенты аутентифицируют друг друга, представляя свои соответствующие сертификаты, а затем убедитесь, что они сертификаты были подписаны CA.

Как и раньше, настройка выполняется через /etc/wpa_supplicant.conf :

 сеть = { ssid = "freebsdap" proto = RSN key_mgmt = WPA-EAP eap = TLS identity = "загрузчик" ca_cert = "/ etc / certs / cacert.pem" client_cert = "/ etc / certs / clientcert.pem " private_key = "/ etc / certs / clientkey.pem" private_key_passwd = "freebsdmallclient" } 

Затем добавьте следующие строки в /etc/rc.conf :

 wlans_ath0 = "wlan0" ifconfig_wlan0 = "WPA DHCP" 

Следующий шаг - открыть интерфейс:

  #    service netif start   Запуск wpa_supplicant. DHCPREQUEST на wlan0 до 255.255.255.255 порт 67 интервал 7 DHCPREQUEST на wlan0 до 255.255.255.255 порт 67 интервал 15 DHCPACK из 192.168.0.20 привязан к 192.168.0.254 - обновление через 300 секунд.wlan0: flags = 8843  mtu 1500 эфир 00: 11: 95: d5: 43: 62 inet 192.168.0.254 маска сети 0xffffff00 широковещательная передача 192.168.0.255 СМИ: IEEE 802.11 Wireless Ethernet DS / 11 Мбит / с режим 11g статус: связанный ssid freebsdap канал 1 (2412 Mhz 11g) bssid 00: 11: 95: c3: 0d: ac страна США ecm authmode WPA2 / 802.11i конфиденциальность ON deftxkey UNDEF AES-CCM 3: 128-битный txpower 21,5 bmiss 7 scanvalid 450 bgscan bgscanintvl 300 bgscanidle 250 roam: rssi 7 roam: rate 5 protmode CTS wme burst roaming РУКОВОДСТВО 

Также возможно поднять интерфейс вручную с помощью wpa_supplicant (8) и ifconfig (8).

31.3.4.1.3.3.WPA с EAP-TTLS

С EAP-TLS оба серверу аутентификации и клиенту нужен сертификат. С EAP-TTLS сертификат клиента не является обязательным. Этот метод похож на веб-сервер который создает безопасный туннель SSL даже если у посетителей нет сертификатов на стороне клиента. EAP-TTLS использует зашифрованный Туннель TLS для безопасной транспортировки данные аутентификации.

Требуемую конфигурацию можно добавить в / и т.д. / wpa_supplicant.conf :

 network = { ssid = "freebsdap" proto = RSN key_mgmt = WPA-EAP eap = TTLS identity = "test" пароль = "тест" ca_cert = "/ etc / certs / cacert.pem" phase2 = "auth = MD5" } 

Затем добавьте следующие строки в /etc/rc.conf :

 wlans_ath0 = "wlan0" ifconfig_wlan0 = "WPA DHCP" 

Следующий шаг - открыть интерфейс:

  #    service netif start   Запуск wpa_supplicant. DHCPREQUEST на wlan0 до 255.255.255.255 порт 67 интервал 7 DHCPREQUEST на wlan0 до 255.255.255.255 порт 67 интервал 15 DHCPREQUEST на wlan0 до 255.255.255.255 порт 67 интервал 21 DHCPACK из 192.168.0.20 привязан к 192.168.0.254 - обновление через 300 секунд. wlan0: flags = 8843  mtu 1500 эфир 00: 11: 95: d5: 43: 62 inet 192.168.0.254 маска сети 0xffffff00 широковещательная передача 192.168.0.255 СМИ: IEEE 802.11 Wireless Ethernet DS / 11 Мбит / с режим 11g статус: связанный ssid freebsdap канал 1 (2412 Mhz 11g) bssid 00: 11: 95: c3: 0d: ac страна США ecm authmode WPA2 / 802.11i конфиденциальность на deftxkey UNDEF AES-CCM 3: 128-битный txpower 21,5 bmiss 7 scanvalid 450 bgscan bgscanintvl 300 bgscanidle 250 roam: rssi 7 roam: rate 5 protmode CTS wme burst roaming MANUAL 

31.3.4.1.3.4.WPA с EAP-PEAP

Примечание:

PEAPv0 / EAP-MSCHAPv2 - самый общий метод PEAP. В этом в главе термин PEAP используется для обратитесь к этому методу.

Защищенный EAP (PEAP) разработан как альтернатива EAP-TTLS и является наиболее часто используемым стандартом EAP после EAP-TLS.В сети со смешанным операционных систем, PEAP должен быть самый поддерживаемый стандарт после EAP-TLS.

PEAP похож на EAP-TTLS, поскольку он использует серверную сертификат для аутентификации клиентов путем создания зашифрованный туннель TLS между клиент и сервер аутентификации, который защищает последующий обмен аутентификационной информацией. Аутентификация PEAP отличается от EAP-TTLS, поскольку он передает имя пользователя в открытом виде и отправляется только пароль в зашифрованном туннеле TLS.EAP-TTLS будет использовать TLS-туннель как для имени пользователя и пароль.

Добавьте следующие строки в /etc/wpa_supplicant.conf до настроить связанные с EAP-PEAP настройки:

 сеть = { ssid = "freebsdap" proto = RSN key_mgmt = WPA-EAP eap = PEAP identity = "test" пароль = "тест" ca_cert = "/ etc / certs / cacert.pem" phase1 = "этикетка = 0" phase2 = "auth = MSCHAPV2" } 

Добавьте следующее в /etc/rc.conf :

 wlans_ath0 = "wlan0" ifconfig_wlan0 = "WPA DHCP" 

Затем откройте интерфейс:

  #    service netif start   Запуск wpa_supplicant.DHCPREQUEST на wlan0 до 255.255.255.255 порт 67 интервал 7 DHCPREQUEST на wlan0 до 255.255.255.255 порт 67 интервал 15 DHCPREQUEST на wlan0 до 255.255.255.255 порт 67 интервал 21 DHCPACK из 192.168.0.20 привязан к 192.168.0.254 - обновление через 300 секунд. wlan0: flags = 8843  mtu 1500 эфир 00: 11: 95: d5: 43: 62 inet 192.168.0.254 маска сети 0xffffff00 широковещательная передача 192.168.0.255 СМИ: IEEE 802.11 Wireless Ethernet DS / 11 Мбит / с режим 11g статус: связанный ssid freebsdap канал 1 (2412 Mhz 11g) bssid 00: 11: 95: c3: 0d: ac страна США ecm authmode WPA2 / 802.11i конфиденциальность на deftxkey UNDEF AES-CCM 3: 128-битный txpower 21,5 bmiss 7 scanvalid 450 bgscan bgscanintvl 300 bgscanidle 250 roam: rssi 7 roam: rate 5 protmode CTS wme burst roaming MANUAL 

Wired Equivalent Privacy (WEP) является часть исходного стандарта 802.11. Здесь нет механизм аутентификации, только слабая форма доступа управление, которое легко взломать.

WEP можно настроить с помощью ifconfig (8):

  #    ifconfig   wlan0   создать wlandev   ath0      #    ifconfig   wlan0   inet   192.168.1.100   маска сети   255.255.255.0   \ ssid   my_net   wepmode на weptxkey   3   wepkey   3: 0x3456789012     

• weptxkey указывает, какой Ключ WEP будет использоваться в передача инфекции. В этом примере используется третий ключ. Это должно соответствовать настройке на точке доступа. Если вы не уверены, какой ключ используется точкой доступа, попробуйте 1 (первый ключ) для этого ценность.

• Wepkey выбирает один из Ключи WEP. Это должно быть в формат индекс: ключ . Ключ 1 используется по умолчанию; индекс необходимо устанавливать только при использовании ключа, отличного от первый ключ.

  Примечание:

  Заменить 0x3456789012 с ключом, настроенным для использования при доступе точка.

Дополнительные сведения см. В ifconfig (8). Информация.

Средство wpa_supplicant (8) может использоваться для настроить беспроводной интерфейс с WEP.В приведенном выше примере можно настроить добавив следующие строки в /etc/wpa_supplicant.conf :

 сеть = { ssid = "my_net" key_mgmt = НЕТ wep_key3 = 3456789012 wep_tx_keyidx = 3 } 

Затем:

  #    wpa_supplicant -i   wlan0   -c /etc/wpa_supplicant.conf   Попытка установить связь с 00: 13: 46: 49: 41: 76 (SSID = 'dlinkap' freq = 2437 МГц) Связано с 00: 13: 46: 49: 41: 76 

Как настроить маршрутизатор FreeBSD - Пошаговое руководство | Учебники

В этом руководстве объясняется, как настроить систему FreeBSD , которая будет действовать как сетевой маршрутизатор, использующий преимущества перенесенной версии фильтра пакетов OpenBSD PF. Сетевой маршрутизатор - это система, которая пересылает пакеты от одного интерфейса к другому.

1. Установка FreeBSD

Установите FreeBSD с помощью этого руководства.

Теперь, когда у вас установлена ​​FreeBSD, приступим к следующему шагу.

2. Конфигурация сети FreeBSD

Откройте /etc/rc.conf в своем любимом редакторе. Вам нужно добавить строку для каждой сетевой карты, присутствующей в системе, например, в нашем случае мы будем использовать две сетевые карты:

### rc.conf
# WAN-соединение
ifconfig_xl0 = "inet 10.0.0.2 netmask 255.255.255.0"
# Если вы используете dhcp для WAN-соединения, используйте ifconfig_xl0 = "dhcp"

# LAN-соединение
ifconfig_xl1 = "inet 192.168.0.1 netmask 255.255.255,0 "

# Шлюз по умолчанию
defaultrouter = "10.0.0.1" # Установить шлюз

# Включить ip forward
gateway_enable = "YES"

# Имя хоста
hostname = "freebsd.my.domain"
### end rc.conf

Вы должны заменить xl0, xl1 на правильное устройство для ваших карт, а адреса на правильные.
defaultrouter необходим только в том случае, если вы не используете dhpc для WAN-соединения.

ПРИМЕЧАНИЕ: Если вы настроили сеть во время установки, некоторые строки о сетевых картах могут уже присутствовать.Дважды проверьте /etc/rc.conf перед добавлением каких-либо строк.

Вам также необходимо отредактировать / etc / hosts, чтобы добавить имена и IP-адреса различных машин в локальной сети, если их там еще нет.

127.0.0.1 localhost localhost.my.domain
192.168.0.1 freebsdrouter.my.domain freebsdrouter

Установите DNS в /etc/resolv.conf:

сервер имен 10.0.0.1

ПРИМЕЧАНИЕ. Вам необходимо вручную настроить сервер имен только в том случае, если вы не используете протокол DHCP для подключения к глобальной сети.

3. Настройка DHCP-сервера

Протокол динамической конфигурации хоста (DHCP) - это сетевой протокол, используемый хостами (клиентами DHCP) для получения назначенных IP-адресов и другой информации о конфигурации. Каждый компьютер, подключенный к сети, должен иметь уникальный IP-адрес, и без DHCP информация TCP / IP должна быть назначена вручную на каждом компьютере. DHCP-сервер (или DHCPd) - это сервер, который предоставляет DHCP-клиенту необходимую информацию.

Для установки DHCP-сервера выполните следующие команды:

# cd / usr / ports / net / isc-dhcp3-server
# make install clean

Далее мы настроим службу DHCP.Начните с копирования образца файла конфигурации в / usr / local / etc.

# cp /usr/local/etc/dhcpd.conf.sample /usr/local/etc/dhcpd.conf

Затем отредактируйте /usr/local/etc/dhcpd.conf. (локальный DNS-сервер, время аренды, сетевой шлюз и доступный диапазон IP-адресов). Ниже приведен пример конфигурации.

### dhcpd.conf
# сервер имен
опция серверы доменных имен 10.0.0.1;
# время аренды
время аренды по умолчанию 600;
max-lease-time 7200;

# Если этот DHCP-сервер является официальным DHCP-сервером для локальной сети
#, авторитетная директива должна быть раскомментирована.
авторитетный;

# Схема обновления ad-hoc DNS - установите значение «none», чтобы отключить динамическое обновление DNS.
ddns-update-style нет;

# Используйте это для отправки сообщений журнала DHCP в другой файл журнала
# вам также необходимо взломать syslog.conf, чтобы завершить перенаправление
log-feature local7;

# объявление подсети
подсеть 192.168.0.0 сетевая маска 255.255.255.0 {
диапазон 192.168.0.100 192.168.0.200; Маршрутизаторы опции
192.168.0.1;
опция маска подсети 255.255.255.0;
}
### конец dhcpd.conf

Включите запуск dhcp при загрузке, изменив /etc/rc.conf.

dhcpd_enable = YES
dhcpd_ifaces = "xl1" # LAN-карта

4. Настройте брандмауэр FreeBSD с помощью фильтра пакетов PF OpenBSD

Межсетевой экран (в данном контексте) - это набор правил, которые разрешают или запрещают определенным типам сетевых пакетов входить или выходить из вашего маршрутизатора FreeBSD. В этом разделе рассматривается создание брандмауэра.

Мы будем использовать один из примеров файлов конфигурации PF в качестве основы для нашей конфигурации.
В этом примере файла есть все, что нам нужно для базового маршрутизатора FreeBSD.

# cp / usr / share / examples / pf / faq-example1 /etc/pf.conf

Вам нужно будет отредактировать /etc/pf.conf, указав внутренний и внешний интерфейсы, а также какие службы вы хотите разрешить внешним клиентам получать доступ на маршрутизаторе FreeBSD. Ниже представлен файл / usr / share / examples / pf / faq-example1 с дополнительными изменениями.

### pf.conf
### macross
## внутренний и внешний интерфейсы
int_if = "xl1"
ext_if = "xl0"

# Порты, к которым мы хотим разрешить доступ из внешнего мира в нашей локальной системе (ext_if)
tcp_services = "{22, 80}"

# запросы ping
icmp_types = "echoreq"

# Частные сети, мы собираемся блокировать входящий с них трафик
priv_nets = "{127.0.0.0 / 8, 192.168.0.0/16, 172.16.0.0/12, 10.0.0.0/8} "

### options
set block-policy drop
set loginterface $ ext_if
set skip on lo0

### Scrub
# Из руководства пользователя PF (http://www.openbsd.org/faq/pf/index.html):
# "Очистка" - это нормализация пакетов, поэтому в
# нет двусмысленностей # интерпретация конечным адресатом пакета. Директива scrub
# также повторно собирает фрагментированные пакеты, защищая некоторые операционные системы от
# некоторых форм атак, и # отбрасывает TCP-пакеты с недопустимыми комбинациями флагов
#.
скраб всего

### nat / rdr
# NAT-трафик из внутренней сети во внешнюю через внешний
# interface
nat на $ ext_if из $ int_if: network to any -> ($ ext_if)

# перенаправить FTP-трафик на FTP-прокси на локальном хосте: 8021
# необходимо включить ftp-proxy в /etc/inetd.conf
rdr на $ int_if proto tcp с любого на любой порт 21 -> 127.0.0.1 порт 8021

### правила фильтрации
блокируют все

# блокировать входящий трафик из частных сетей на внешнем интерфейсе
блокировать быстрый сброс $ ext_if с $ priv_nets на любой

# блокировать исходящий трафик в частные сети на внешнем интерфейсе
блокировать быстрое выпадение на $ ext_if с любого на $ priv_nets

# разрешить доступ к tcp_services на внешнем интерфейсе
передать $ ext_if inet proto tcp от любого к ($ ext_if) порту
$ tcp_services flags S / SA сохраняет состояние

# разрешить в порт управления FTP
передать $ ext_if inet proto tcp с порта 20 на ($ ext_if) флаги прокси пользователя S / SA сохранить состояние

# разрешить ping-ответы
передать inet proto icmp все icmp-type $ icmp_types сохранить состояние

# разрешить весь трафик из внутренней сети во внутренний интерфейс
пройти через $ int_if из $ int_if: сеть в любое состояние сохранения
передать в $ int_if из любого в $ int_if: состояние сохранения сети

# разрешить весь трафик через внешний интерфейс
передать на $ ext_if proto tcp все флаги состояния модуляции S / SA
передать на $ ext_if proto {udp, icmp} все сохранить состояние
### end pf.conf

Чтобы проверить правила из pf.conf, не загружая их в pf, введите следующую команду:

# pfctl -n -f /etc/pf.conf

Чтобы активировать PF и автоматически запускать его при загрузке, отредактируйте файл /etc/rc.conf и добавьте следующие строки:

### rc.conf
pf_enable = "YES" # Включить PF (загрузить модуль, если требуется)
pf_rules = "/ etc / pf.conf" # файл определения правил для pf
pf_flags = "" # дополнительные флаги для запуска pfctl
pflog_enable = "YES" # start pflogd (8)
pflog_logfile = "/ var / log / pflog" # где pflogd должен хранить файл журнала
pflog_flags = "" # дополнительные флаги для запуска pflogd
pflogd_enable = "YES"
pfsync_ «ДА»
### end rc.conf

5. Заключение

Это руководство только что коснулось основ использования FreeBSD и фильтра пакетов OpenBSD PF в качестве маршрутизатора. PF предлагает множество дополнительных функций, таких как формирование трафика и блокировка хостов в зависимости от их ОС. Для получения дополнительной информации см. Справочник PF.

Теперь вам нужно перезагрузить систему, чтобы изменения вступили в силу.

# выключение -r сейчас

Когда система снова заработает, клиенты LAN должны иметь доступ в Интернет через этот маршрутизатор FreeBSD.

freebsd

  #cd / usr / src / sys / i386 / conf / # кот WIFI машина i386 процессор I686_CPU идентификатор WIFI параметры SCHED_4BSD # 4BSD планировщик options PREEMPTION # Включить вытеснение потоков ядра варианты INET # Работа в сети options FFS # Быстрая файловая система Berkeley options SOFTUPDATES # Включить поддержку мягких обновлений FFS options UFS_ACL # Поддержка списков контроля доступа options UFS_DIRHASH # Улучшить производительность в больших каталогах options NFSCLIENT # Клиент сетевой файловой системы options PROCFS # Обработка файловой системы (требуется PSEUDOFS) options PSEUDOFS # Фреймворк псевдофайловой системы options GEOM_GPT # Таблицы разделов GUID.options COMPAT_43 # Совместимость с BSD 4.3 [СОХРАНИТЕ ЭТО!] options COMPAT_FREEBSD4 # Совместимость с FreeBSD4 options COMPAT_FREEBSD5 # Совместимость с FreeBSD5 options SYSVSHM # Общая память в стиле SYSV options SYSVMSG # очереди сообщений в стиле SYSV options SYSVSEM # Семафоры в стиле SYSV options _KPOSIX_PRIORITY_SCHEDULING # POSIX P1003_1B расширения реального времени apic устройства # I / O APIC устройство acpi # Автобусная поддержка.устройство pci # Устройств ATA и ATAPI устройство ata устройство atadisk # дисководы ATA устройство atapicd # ATAPI CDROM приводы options ATA_STATIC_ID # Статическая нумерация устройств # atkbdc0 управляет как клавиатурой, так и мышью PS / 2 устройство atkbdc # контроллер клавиатуры AT устройство atkbd # AT клавиатура device vga # драйвер видеокарты VGA # syscons - это драйвер консоли по умолчанию, напоминающий консоль SCO. устройство sc device agp # поддерживает несколько наборов микросхем AGP # Добавить поддержку приостановки / возобновления для i8254.устройство pmtimer # Последовательные (COM) порты устройство sio # 8250, 16 [45] 50 последовательных портов # Параллельный порт устройство ppc устройство ppbus # Шина параллельного порта (обязательно) # Сетевые карты PCI Ethernet, использующие общий код контроллера шины MII. # ПРИМЕЧАНИЕ. Не забудьте сохранить строку «device miibus», чтобы использовать эти сетевые карты! устройство miibus # поддержка шины MII устройство rl # RealTek 8129/8139 устройство xl # 3Com 3c90x (`` Бумеранг '', `` Циклон '') устройство постоянного тока устройство lnc # Псевдоустройства.петля устройства # петля сети device random # Entropy device устройство ether # поддержка Ethernet device ppp # Ядро PPP device tun # Туннель пакетов. device pty # Псевдо-ttys (telnet и т. д.) устройство gif # Туннелирование IPv6 и IPv4 # Устройство `bpf 'включает фильтр пакетов Беркли. # Помните об административных последствиях включения этого! # Обратите внимание, что для DHCP требуется 'bpf'.# device bpf # Фильтр пакетов Беркли варианты HZ =  1000  параметры TCP_DROP_SYNFIN параметры SC_DISABLE_REBOOT устройство pf устройство pflog варианты ALTQ опции ALTQ_CBQ параметры ALTQ_RED параметры ALTQ_RIO параметры ALTQ_HFSC параметры ALTQ_PRIQ параметры DEVICE_POLLING параметры IPFIREWALL # ipfw опции IPFIREWALL_DEFAULT_TO_ACCEPT # - ПРИНЯТЬ параметры IPFIREWALL_VERBOSE параметры IPFIREWALL_VERBOSE_LIMIT =  100  опции IPDIVERT options DUMMYNET # включить работу dummynet опции NETGRAPH параметры NETGRAPH_BPF параметры NETGRAPH_IFACE параметры NETGRAPH_KSOCKET параметры NETGRAPH_MPPC_ENCRYPTION параметры NETGRAPH_PPP параметры NETGRAPH_PPTPGRE параметры NETGRAPH_SOCKET параметры NETGRAPH_TCPMSS # устройство wlan устройство wlan_acl устройство wlan_ccmp устройство wlan_wep устройство ath устройство ath_hal устройство ath_rate_sample устройство wlan_tkip устройство wlan_xauth  

  # config WIFI Каталог сборки ядра - ../compile/WIFI Не забудьте сделать «make cleandepend; сделать зависимым '' #cd ../compile/WIFI # сделать зависимость #make && make install  

  #uname -a FreeBSD home.lan  6 .  2  - ВЫПУСК FreeBSD  6 .  2  -РЕЛИЗ № 0: Вс, 16 ноября, 15:53:25 UTC 2008 mak_v_ @ home.LAN: / usr / src / sys / i386 / компиляция / WIFI i386  

  ifconfig_ath0 = "inet  172 .  16 .  16 .  1  netmask 0xffffff00 ssid FREE \ режим 11g wepmode off mediaopt hostap "  

  #cat /etc/hostapd.conf interface = ath0 # драйвер = bsd logger_syslog = -  1  logger_syslog_level =  2  logger_stdout = -  1  logger_stdout_level =  2  отладка =  4  dump_file = / tmp / hostapd.dump ctrl_interface = / var / run / hostapd ctrl_interface_group = колесо ssid = БЕСПЛАТНО ## wpa =  3  # wpa_pairwise = CCMP wpa_passphrase =  12345678  # # - wpa_key_mgmt = WPA-PSK wpa_pairwise = TKIP  

  #cat /etc/rc.conf ifconfig_xl0 = "inet  192 .  168 .  100 .  3  сетевая маска  255 .  255 .  255 .  0 " ifconfig_ath0 = "inet  172 .  16 .  16 .  1  netmask  255 .  255 .  255 .  0  mediaopt hostap" hostapd_enable = "ДА" defaultrouter = " 192 . 168 .  100 .  1  "  

  #cd / usr / ports / net / isc-dhcp3-сервер # сделать установку чистой  

  dhcpd_enable = "ДА" dhcpd_flags = "- q" # dhcpd dhcpd_ifaces = "ath0" # dhcpd  

  # кот / usr / локальные / и т. Д. / Dhcpd.conf время аренды по умолчанию  600 ; # max-lease-time  7200 ; # авторитетный; # DHCP промежуточный ddns-update-style; # DNS лог-объект local7; # подсеть  172 .  16 .  16 .  0  маска сети  255 .  255 .  255 .  0  {# диапазон  172 .  16 .  16 .  2   172 .  16 .  16 .  100 ; # ip опция роутеры  172 . 16 .  16 .  1 ; # - IP wifi- вариант серверы доменных имен  192 .  168 .  100 .  1 ; # DNS } # ip разместить Mynotebook {# аппаратный Ethernet  00 : c0: 9f: 1e:  64 :  92 ; # MAC фиксированный адрес  172 .  16 .  16 .  3 ; # ip } host Sheff { аппаратное обеспечение Ethernet  00 : a0: cc: c9: 5c: 7d; фиксированный адрес  172 .  16 . 16 .  4 ; } #.  

  #cat /etc/pf.conf нат на xl0 из  172 .  16 .  16 .  0 / 24  на любой ->  192 .  168 .  100 .  3  пройти быстро все  

  gateway_enable = "ДА" pf_enable = "ДА" pf_rules = "/ etc / pf.conf"  

WiFi в FreeBSD (включая WPA / WPA2)

Хорошо, как только у вас будут установлены драйверы для WiFi во FreeBSD, вы готовы к настройке WiFi. Я использую драйвер NDIS (дополнительную информацию см. В моем сообщении о Project Evil), поэтому мое беспроводное устройство называется ndis0 .

Я предполагаю, что в этом документе вы используете WPA / WPA2 и DHCP (наиболее распространенная настройка для WiFi).

Чтобы настроить беспроводной интерфейс, добавьте следующие строки в / etc / rc.конф :

wlans_ndis0 = "wlan0"
ifconfig_wlan0 = "WPA DHCP"

Теперь нам нужно настроить параметры WPA / WPA2. Я предполагаю, что у нас есть 2 беспроводные сети для этого - «wifi1» и «wifi2», которые имеют ключи WPA / WPA2 «один» и «два» соответственно. По возможности мы предпочтем подключиться к «wifi1».

Для установки WPA / WPA отредактируйте (или создайте) файл /etc/wpa_supplicant.conf и добавьте следующее:

сеть = {
priority = 1
ssid = ”wifi1 ″
psk =“ one ”
}

сеть = {
приоритет = 2
ssid = "wifi2 ″
psk =" два "
}

В следующий раз, когда вы перезагрузите компьютер, у вас будет интерфейс «wlan0», который попытается подключиться к перечисленным сетям (в порядке приоритета).Вы можете подтвердить, что он связан с ifconfig wlan0 - в моем случае я получаю:

wlan0: flags = 8843 метрика 0 mtu 1500
ether xx: xx: xx: xx: xx: xx
inet 172.31.0.100 netmask 0xffffff00 broadcast 172.31.0.255
media: IEEE 802.11 Wireless Ethernet autoselect mode 11g
status: associated
ssid wlan1 channel 7 (2442 Mhz 11g) bssid yy: yy: yy: yy: yy: yy
страна, режим авторизации в США, конфиденциальность WPA2 / 802.11i OFF txpower 0 bmiss 7
mcastrate 0.5 mgmtrate 0,5 scanvalid 60 protmode CTS roaming MANUAL
bintval 0

Теперь, хотя там написано «11g», на самом деле он обеспечивает скорость 802.11n, так что вы можете игнорировать это.

Смотрите также

• 
  Как узнать кто подключился к моему wifi
• 
  Как раздать wifi с ipad
• 
  Как ограничить раздачу вай фай на роутере
• 
  Как сделать на стационарном компьютере wifi
• 
  Роутер sagemcom как подключить
• 
  Как сбросить до заводских настроек роутер
• 
  Как войти в роутер свой
• 
  Как увеличить число подключений к wifi
• 
  Как узнать имя пользователя вай фай роутера
• 
  Как сменить пароль на wifi роутере tenda
• 
  Как обновить пароль на роутере