「無線(Aironet AP)」カテゴリーアーカイブ

iPhoneとステルスなSSIDの関係

ども。こんばんは。

iPhoneネタです。Aironetを導入後、我が家ではiPhone用のSSIDをステルス化しています。

まぁ理由はさておき。

で、困ったことにSSIDがブロードキャストされていないと自動接続ができないことが判明しました。

設定した後一度外出したときに切れたままになってたみたい。

で、どうするか。別にブロードキャストしていいと思うんですよね。普段からSSID撒き散らすかもしれないけど。
※iPhoneが撒き散らすの意。
まぁそうならないようにステルスなSSIDには自動接続しない作りなのかな。一言言ってほしいところ。

さてと、iPhone構成ユーティリティで、ステルスSSIDでも接続はできそうなんだけど、iPhone構成ユーティリティがSierraで動くのか。。

はいダメー。試したのは2.2です。糞かよー。

%e3%82%b9%e3%82%af%e3%83%aa%e3%83%bc%e3%83%b3%e3%82%b7%e3%83%a7%e3%83%83%e3%83%88-2016-10-01-23-32-29

もういいや。SSID公開しよ。

— 2016/10/03 追記 —

あれ、アップデートが来てる(すでに出てた?)みたいですね。

%e3%82%b9%e3%82%af%e3%83%aa%e3%83%bc%e3%83%b3%e3%82%b7%e3%83%a7%e3%83%83%e3%83%88-2016-10-03-0-22-59

さっそくアップデートして作ってみました。

こんな感じですかね。
※必須の設定のお忘れなく!必須の設定してなくても書き出せちゃいますが、iPhoneが読み込んでくれませんでした。

%e3%82%b9%e3%82%af%e3%83%aa%e3%83%bc%e3%83%b3%e3%82%b7%e3%83%a7%e3%83%83%e3%83%88-2016-10-03-0-35-35

さて、できたので早速「共有」からメールしてみたのですが、プロファイルインストール直後はつながりましたが、再起動したらまた繋がらないですね。うーん。

まぁおいおいやっていきます・・・。

ではでは。またの機会に。

 

無線強化プロジェクト – 8 –

先日の続き。

SRX側にNATポリシーとファイアウォールポリシーを追加。
案の定、Routing-Instanceへの新しいインターフェース追加を忘れていて焦る。
久々にSRXに手を加えたけどやっぱりややこしい設定しているなー。

で、ちょっと新しいSSIDのテストをしようとしていたらWPA2のパスワードが全然通らない。

Reason: Sending station has left the BSS

↑なエラーがでてた。調べたけどよくわからん。。とりあえず一回今のSSIDから切断すれば直ったけどこの辺が無線は難しい。
ローミングとかに絡んだ問題のようですね。

さて、前置きはこのへんで今日は、EAP-TLSを設定します。

EAP-TLSで使うクライアント証明書の発行をします。

WindowsならADに参加した時点で配布されますが、今回はMac OSやiPhoneやAndroidもあるのでそれ用に1枚発行します。

やり方としてはこんな感じ

WPA2 Enterprise EAP-TLS Authentication with Apple IOS Devices without iPhone Configuration Utility

うー。面倒くさいぞ。

しかも証明書テンプレートの機能とかよくわかってないんだよなー。

ちょっと一旦保留で・・・。

 

 

無線強化プロジェクト – 7 –

今日は新しいSSIDを作ってみます。

まずはVLAN作成を。
・Nativeはつけない
・Radio1-802.11N5GHzにチェック
Encryption Managerで作ったVLANに対して暗号化設定を。
SSIDを追加。

よし、とりあえず繋がった。
※SSIDはブロードキャストしていないです。

あれ、通信できない・・・?
あああああ、スイッチ側をTrunkにしていなかった。。。
今ままでSSID1個だったので忘れてた。。。

通った!っと思ったら・・・

APの管理画面につながらない&RADIUS認証ができなくなってしまってメインのSSIDに接続できない。
どうやらBVI1からの通信が出れてない?あーここはNativeVLANだからか?
BVIに対する理解が足りなかった。
更に言うなら結局Native VLANとはなんぞやもわかってなかった。。。

Trunkにする前は普通にアクセスポートだったから行けてただけだなー。

てことで、スイッチ側のAP接続インターフェースにNative VLANを設定。
※スイッチ側のNative VLANは最初に作ったVLANに。
ちなみにNative VLANだとAP側のbridge-groupは1になるっぽいかな?あんまり最初意識してなかった。

↓よく見りゃいろいろ書いてあるしorz

Cisco Aironet ワイヤレス装置との VLAN の併用
Aironet アクセス ポイントでの VLAN の設定例

さて、これでとりあえず、新しいSSIDに接続してスイッチまではPingが通るようになりました。

次はDHCPですが、今回のSSIDは完全に既存ネットワークとは切り離したいので、現行のLinuxのdhcpdからの払い出しは見送ります。
※普通にスイッチ側でip-helperしてもいいのですが、サーバ側にルーティング追加とかもこのSSIDのセグメントにはしたくないなぁと。

で、APでもDHCPサーバになれるじゃないですか。

Setting up the DHCP Server

・・・ごちゃごちゃトライアンドエラーしましたが撃沈。

えと、結論複数SSID(VLAN)作っても結局IPアドレスはBVI1にしか持てないそうです。
※設定はできるんですけどね!動かないらしいです。はあ。

Need help with multiple DHCP pools on a Cisco Aironet AP

The DHCP is working on VLAN 1, because there is an IP address associated with it, on BVI1. For DHCP to work you need IP, and unless there is IP configured in the bridge group, it will not work.

I have a nasty feeling that the AP will not support multiple BVI with different IP as the AP is essentially layer 2, not 3 (i.e. not a router), but I don’t have one here to check.

ちなみにBVIを新しく作ったタイミングで通信できなくなるという・・・。再起動しないと直らないしもう。

ということで、スイッチ(Catalyst 3750)側でDHCPサーバを設定。
コマンド全く同じですねー。
なんか疲れた。最初からこれでよかったやん。

気を取り直して、次!今回のSSIDについては通常のLANには入れたくないので、SRXで制御します。

久々にSRXの設定だー。

新しいゾーンの作成。
新しいサブインターフェースを作る。
スイッチ側でallowed vlan追加。
とりあえずCommit!

SRXまでPingが通ったので今日はここまで!

後はポリシーとNAT!

 

メモ:brigde-irbについて調べる、Config収集

無線強化プロジェクト – 6 –

各種デバイスを新APに移行。

が、Yoga Tablet 2が駄目だ・・・。認証は出るけどその後「このネットワークに接続できません」になってしまう。

win10-peap01a

Windows 10 Homeですが、そもそもWindows 10と802.1Xで問題がある模様?

Windows 10 devices can’t connect to an 802.1X environment

Windows 10 PEAP problems – Cannot connect to Wifi

802.1X PEAP is broken with WPA2-Enterprise? : Windows10

こんな感じなんだけど・・・やっぱりダメ。

reg add HKLM\SYSTEM\CurrentControlSet\Services\RasMan\PPP\EAP\13 /v TlsVersion /t REG_DWORD /d 0xc0

うーん。困った。ちょっと古いAndroidでもいけるのにー。

あ、ちなみにFireTVは802.1Xは未対応でしたorz

さて、このWindows 10問題どうするかなー。

↑の記事を参考にTLSのバージョンは触ってみたけどダメだなー。

ちょっと参った。

もうちょっと調査ですね。

ではでは。またの機会に。

無線強化プロジェクト – 5 –

閑話休題です。

FortiGateでAironet APを管理できないかと考えていましたが、ちょっと厳しそうですね。
CAPWAPなのになあ。

Third party wifi APs?

Well, I’ve was researching about this and I finally verified that FortiGate does not accept third-party APs.

Although Fortinet talks CAPWAP, as it’s defined in RFC 5415, FortiGate does not add any AP to their list of managed APs if it is not a known FortiAP model.

FortiAPしか受け付けないようです。今後に期待です。

念のため、自律型(Autonomous)からCAPWAPへの変更およびその逆については以下が参考になります。

Autonomous Mode → CAPWAP Mode

CAPWAP Mode → Autonomous Mode

ちなみに今この記事を書いているMacは新しいAPにつながっています(^o^)

うちのMacはADに参加しているのですが、その認証情報を使って802.1Xの認証できなかあと。

探していると”MACアドレス認証”に関する情報ばかり出てきます。まぎらわしい。

やっぱりEAP-TLSでクライアント証明書を使う感じなのかなー。

これはまぁ仕方ないかな。

とりあえず今日はこの辺で。

— 追記 —

EAPに変えてから、ログイン後にしか802.1Xの認証が走らないせいか、起動時のNASのマウントに失敗するようになってしまいました・・・。

結構同じ悩みの人が多い模様。参った。

結局、802.1Xの認証情報がログインのキーチェインにあるのでこうなるっぽいのですが・・・。

ちょっと参考記事のメモ

・EAP-TLSでコンピュータ認証にする話?
New Contributor ktran Posts: 2 Registered: ‎08-19-2014 Enforce Machine Authentication with MAC OS X (EAP-TLS)

 

ではでは。またの機会に。

無線強化プロジェクト – 4 –

さて、今日は認証を設定します。

認証周りとかはこの辺が参考になります。

Cisco Aironet のワイヤレス セキュリティに関する FAQ

今回は、Active Directory上にRADIUSを立てて利用します。

まずはRADIUSの準備から。

うちはWindows Server 2008 R2です。

まずは「ネットワーク ポリシーとアクセス サービス」の役割を追加します。
サービスとしては「ネットワークポリシーサーバー」のみで良い模様。

radius-01

radius-02

radius-03

追加したら、Active Directoryへの登録を行います。

radius-04 radius-05 radius-06

続いて「ネットワークポリシー」に新規追加します。

radius-07

radius-08

今回は、無線用のグループかつCiscoからのアクセスについてアクセスを許可するポリシーを作ります。
※グループ追加の手順が抜けてますが、普通にアクティブディレクトリユーザとコンピュータとかから作ってください。

radius-09

radius-10

radius-11

radius-12

radius-13

radius-14

続いてEAPの設定をします。
今回はPEAPにします。
いろいろな方法がありますね。

参考:http://www.silex.jp/blog/wireless/2013/10/eap2.html

radius-15

radius-16

radius-17

続いてRADIUSクライアントの設定をします。
※ここでもIPアドレス設定するので、ポリシーでは設定いらない気もしますよね。。未検証ですが。。。

radius-18

radius-19

ここまででActive Directoryは完了!

続いてAP側です。

Server ManagerでRADIUSを登録します。

radius-20

んで、SSIDの編集を。

・WPAのPre-SharedKeyをけす。
・Client Authentication Settingsを変更する

ん?Open with EAPとNetwork EAPの違いはなんだ?どっちが良いんだ??

Network EAP vs Open Authentication with EAP in Autonomous AP’s

あと、この辺にも。

Network EAP or Open Authentication with EAP

Cisco clients—Use Network-EAP.
Third party clients (include CCX compliant products)—Use Open with EAP.
A combination of both Cisco and third party clients—Choose both Network-EAP and Open with EAP.

クライアントがCiscoならNetwork EAPだよ、ってことかな。。

とりあえずこんな感じで。

radius-21

おおおおー!スマフォは一発で行けたあああ。

radius-22

無事認証完了です。

認証ログは、この辺に。

C:\Windows\System32\LogFiles

今日増えたConfig…はつかれたのでまた今度。

自分メモ:Encryption ManagerでTKIP入れるの忘れてたので追加した。

ではでは。

 

 

 

 

 

無線強化プロジェクト – 3 –

続きです。

ちょっと詰まっていましてここを見なおしていました。

http://www.cisco.com/cisco/web/support/JP/docs/WL/AccessPoint/Aironet1200/CG/001/11350_01_6.html?bid=0900e4b182529743#31914

SSIDがRadioInterfaceに紐付かないのは設定の順序が悪く、Encryption Managerを設定したつもりがVLANが無い状態で設定していた気になっていただけでした。。。

CLIからssid割当でこんなエラーが出て気づきました。

Dot11Radio1 Error: Encryption mode cipher is not configured

改めて設定順序

・VLANをつくる ※これ先!とにかくこれ先!
Native VLANとRadio1-802.11N5GHzにチェックをしておく。

・Security -> Encryption Managerで、CipherをAES CCMPに
※Encryption KeyはWEP用なので設定しないくていいいと思う。

・Security -> SSID Managerで、SSIDを作る。

・Network Interfaceから「Radio1-802.11N 5GHz」をenableに。
※今回はとりあえず5GHzのみ使う予定。

はいキタ━━━━(゚∀゚)━━━━!!

ちなみにCiscoでは、デフォルトでSSIDのブロードキャストがされないようです。

ややこしいのが、SSIDのブロードキャストのことをゲストモードと言うらしい。

 Set Beacon Mode:Single BSSID [つくったSSIDを選んでおく]
※これ複数SSIDの時は・・・?はまた後ほど。

さて、とりあえずスマフォを繋いで速度を測ってみたのですが、大変遅いです。
※下り20Mbpps強、上り50Mbps程度。
acなら下り100Mbps近くは出るのですが。

状態を見ているとリンクは72Mbpsになる模様。

改めてうちのAPの11nについて再確認。

Cisco Aironet 1140 シリーズ Autonomous アクセス ポイント

購入前に見た時になんか書いてあるな~と思ったのですが、

802.11n のセキュリティ設定

802.11n の速度を実現するには、暗号化なしか WPA2/AES 暗号化用にアクセス ポイントを設定する必要があります。その他の設定では、設定から 802.11n 機能が除外されます。

いや、そうなってるけどorz

でちょっと調べたところ以下のフォーラムにたどり着く。

Cisco Aironet 1140: AIR-AP1142N-E-K9 – transmission speed

ざっくり言うと、54Mbps以上でリンクしているんだからNだよ!十分だよ!ってな感じですが、解決策としては

DefaultRadio Channelを固定。(デフォルトはLast Congested Frequency)して、Channel WidthをAbove 40MHzにすればとのこと。

150Mbpsリンクキタ━━━━(゚∀゚)━━━━!!

だが、おいらがほしいのは300Mbpsなのだよ。

で、また調べて見ると、1142Nは、2.4Ghz帯じゃないとチャネルボンディングできないっぽいorz

急遽2.4GHzも追加

・VLANで2.4GHz有効化
・SSID Managerで作る

お、慣れてきた。

が、やっぱり72Mbpsリンクなので、

ちがう。Macならちゃんと300Mbpsでリンク上がる。これスマフォ側の問題だorz
※Mac OSXでリンク速度を見るときはCommand押しながら無線のアイコンをクリック!

ってことで2.4GHz帯はさようならー。

今日はここまで!

今日のいじった内容のConfigはこんな感じ。

dot11 ssid [ssid]
   vlan [VLAN]
   authentication open
   authentication key-management wpa version 2
   guest-mode
   wpa-psk ascii 7 [PSK]

(略)

interface Dot11Radio1
no ip address
no ip route-cache
!
encryption mode ciphers aes-ccm
!
encryption vlan [VLAN-ID] mode ciphers aes-ccm
!
ssid [SSID]
!
antenna gain 0
peakdetect
no dfs band block
channel width 40-above
channel 5300
station-role root

続きはまた明日。

早く認証周りの設定とかにたどり着きたい・・・

ではでは。またの機会に。

無線強化プロジェクト – 2 –

どんどん設定していきます。

・ホスト名設定
・ドメイン名設定
・タイムゾーン(JST 9)
・NTP設定(SNTP)
・DNS設定
・BV11にIPアドレス設定
※Gi0に振ってもダメなんだね。BV11ってのはブリッジ?インターフェイスらしい。

・おなじみのこの辺

service timestamps debug datetime localtime
service timestamps log datetime localtime
service password-encryption
no logging console
no ip domain lookup

・enable secret設定
・デフォルトのCiscoユーザ削除、privilege 15でユーザ追加。
・line 0にlogin local設定
・line vty 0 4でlogin localとtransport input telnet ssh
※改めてvty 0 4の意味を調べたら0から4までのセッションって意味なのね。昔からこういうもんだと思ってたけどちゃんと意味を調べないとダメだなぁ。

ここまででとりあえずコンソールからTelnetに切り替え。

crypto key generate rsa
※鍵は1024bitで。
ip ssh version 2

ここからSSHで。
といっても、基本的ないわゆるCatalyst的な設定はここまでかな?
しいて言えばsyslog転送とSNMP周りが抜けてるくらいかな。

さて、ここからはいよいよAPの設定です。

が、その前にちょっと。IOSがやたら古い。。。

入手方法はCisco.comから〜は割愛。

やる前に今のIOSを一応とっておこうかと。

どれだー?

#sh flash:

Directory of flash:/

2 -rwx 322 Sep 4 2016 14:40:20 +09:00 env_vars
3 drwx 384 Jan 10 2014 01:37:09 +09:00 c1140-k9w7-mx.124-25d.JA1
155 -rwx 3096 Sep 4 2016 14:48:34 +09:00 private-multiple-fs
156 -rwx 1912 Sep 4 2016 14:48:34 +09:00 private-config
157 -rwx 1846 Sep 4 2016 14:48:34 +09:00 config.txt

32126976 bytes total (26439680 bytes free)

#cd c1140-k9w7-mx.124-25d.JA1
#sho flash:

Directory of flash:/c1140-k9w7-mx.124-25d.JA1/

4 drwx 64 Jan 10 2014 01:31:00 +09:00 html
149 -rwx 4791401 Jan 10 2014 01:36:54 +09:00 c1140-k9w7-mx.124-25d.JA1
150 -rwx 174876 Jan 10 2014 01:37:07 +09:00 8001.img
151 -rwx 8080 Jan 10 2014 01:37:08 +09:00 T2.bin
152 -rwx 23836 Jan 10 2014 01:37:09 +09:00 T5.bin
153 -rwx 286 Jan 10 2014 01:37:09 +09:00 info

32126976 bytes total (26439680 bytes free)

どれだよorz

infoってファイル見る限りとりあえず「c1140-k9w7-mx.124-25d.JA1」がイメージっぽい。
一応html以外はとっておくか。

んで、IOSも上げます。

これ、ブラウザからHTTPアップロードが全くうまく行きませんけど・・・

てことで、ブラウザからTFTPを指定してUpdate。
※ポップアップブロックとか気をつけてくださいね。

おお。GUIが随分今風に。

cisco-ap-07

cisco-ap-08

さて、こっから無線周りの設定を。
もう基本GUIでやっていきます。

毎度の参考サイト。本当にありがたいですね。

http://www.infraexpert.com/study/study20.html

あとはCiscoのサイトみつつ

Autonomous AP 上の SSID の設定例

そういや、今回は自律型だけど、切り替えってできる気がしてきた。
ちな、FortiGateもCAPWAPには対応しているわけで、管理できるんじゃなかろうか?

うーんきになる。また後々かな。以下フォーラムでのやり取り。

https://forum.fortinet.com/tm.aspx?m=83676

話逸れましたが、無線の設定を。

・Network Interfaceから「Radio1-802.11N 5GHz」をenableに。
※今回はとりあえず5GHzのみ使う予定。

・Security -> Encryption Managerで、CipherをAES CCMPに
※Encryption KeyはWEP用なので設定しないくていいいと思う。

・VLANをつくる
Native VLANとRadio1-802.11N5GHzにチェックをしておく。

・Security -> SSID Managerで、SSIDを作る。
先に作ったVLAN選んで、Interfaceで5GHzを選ぶ。
Key ManagementをMandatoryにして、Enable WPAでWPAv2を選ぶ
WPAのPre-SharedKeyを入れる

ここまでの設定で追加された内容はこんな感じ。(追加分のみ、Configの上からです)

dot11 ssid [決めたSSID]
   vlan [決めたVLAN-ID]
   authentication open
   authentication key-management wpa version 2
   wpa-psk ascii 7 [決めたPSK]

(略)
勝手に作られたインターフェース

interface Dot11Radio1.[決めたVLAN-ID]
encapsulation dot1Q [決めたVLAN-ID] native
no ip route-cache
bridge-group 1
bridge-group 1 subscriber-loop-control
bridge-group 1 spanning-disabled
bridge-group 1 block-unknown-source
no bridge-group 1 source-learning
no bridge-group 1 unicast-flooding

(略)
勝手に作られたインターフェース part 2

interface GigabitEthernet0.[決めたVLAN-ID]
encapsulation dot1Q [決めたVLAN-ID] native
no ip route-cache
bridge-group 1
bridge-group 1 spanning-disabled
no bridge-group 1 source-learning

あれ、SSIDがRadioインターフェースに紐付かねえー。

あとこれって対抗側のスイッチってTrunkじゃなくて良いのかな?てかTrunkじゃないとダメだよね。

今日はもう疲れた。この辺にしよ。

どうでもいいけど、ドラえもんのTカード超ほしい!

スクリーンショット 2016-09-04 20.05.39

ではでは。またの機会に。

無線強化プロジェクト – 1 –

ども。こんばんは。

無線APを買いました。

最近、案件周りでメインで無線やるわけでは無いものの、関連する業務用無線LANの知識が足りないことを猛省しました。

やっぱりやってみてナンボでしょ!?ってことで、

Cisco Aironet AIR-AP1142N-P-K9
※パワーインジェクターも同梱されてた(AIR-PWRINJ3)

ヤフオクで¥8,200なり。

早速知識がなくて微妙に買い物をミスる…
いずれはWLCも買って管理しようと思っていましたが、こいつ自律のみっぽい、ってかWLC管理ならLAPの方を買わないと行けないけど、そもそもLAPだとWLC必須だからすぐには使えない…

※AP一覧:http://www.infraexpert.com/study/wireless1.html

結構でかいのね。大体天井とかにあるから気づかなかった。

cisco-ap-01 cisco-ap-02

まぁそれはさておき、次の問題は給電。せっかくなのでPoEにしたい!

うちにはSRX100がある!無駄にでかいACアダプタの本領発揮だー!

cisco-ap-03

お、ピカった。バッチリですねー。

cisco-ap-04

・・・ん???

SRXのこのポート100Mbpsやんorz

じゃぁインジェクタ通すか!

(  Д ) ゚ ゚
(つд⊂)ゴシゴシ

cisco-ap-06

(  Д ) ゚ ゚

・・・100Mbpsなの?

うわ参ったなこれ。

・・・ん?あ、いや、違う違う。
こんなもん通さなくても直接AC挿せばいけるやん。

あれ、じゃパワーインジェクターって何のためにいるんだろ?

・・・ってな知識の人間がこれから頑張って無線に挑戦するよ!
脱BUFFALO!

でもなんか給電負けた気がする。
SRXのGigaのポートは、2ポート。いまんところ両方Trunkにしてるので、
後々最悪1本にまとめてAP用に空けるかな。

まぁそれは無線がちゃんとできてから!

久々にやるぞー!

cisco-ap-05

※ちなみに、久々にデスクトップPC(自作)にシリアルコンソール繋いだら何故か電源が落ちました。
そろそろやばいかも。マザーボードの接触不良かな。。。これはこれで。。。

続く!