Hostap
Kategoria: Artykuły, etykiety: internet, sieć
Dodany: 2010-09-25 13:52
(zmodyfikowany: 2010-09-25 14:04)
Przez: paoolo
Wyświetleń: 17141
Instalacja Hostapd
Wymagane do użytkowania karty WiFi jako AccessPoint'a to posiadanie karty wspierającej tego typu tryb pracy. Popularne są karty oparte na chipset'cie Atheros, które w systemi Linux widoczne są jako ath5 lub ath9k (moduły). Do użytkowania trybu AP w karcie wymagane jest jeszcze posiadanie jądra z odpowienimi modułami, tj. nl80211. Obecne, testingowe jądra Debian'a najprawdopodobniej je posiadają. W przypadku ich braku, należy manualnie dokonać kompilacji jądra.
Początkowo, wykonujemy co następuje:
aptitude install hostap
Kolejno edytujemy (tworzymy, jak brak) plik /etc/hostapd.conf
# Ustawienie interfejsu
interface=wlan0
# Wymagany do obsługi AP moduł. Możliwe są inne,
# jak prism czy madwifi (patrz: example z /usr/share/docs/..)
driver=nl80211
# Komunikaty daemona.
logger_syslog=-1
logger_syslog_level=2
logger_stdout=-1
logger_stdout_level=2
dump_file=/tmp/hostapd.dump
ctrl_interface=/var/run/hostapd
ctrl_interface_group=0
# Tryb pracy. Testowane tylko na b i g.
# W przypadku n na ath9k wysypywał się.
hw_mode=g
# Kanał od 0 do 13 (bodajże).
channel=6
# Tryb pracy zabezpieczeń
wpa=1
# Łatwiejszy sposób, możliwe też jest shared key kilkunasto-znakowy.
# Dla passphrase wymagane minimum 8 znaków w tym litery oraz cyfry
wpa_passphrase=magicKey0
# Nazwa widoczna dla innych
ssid=AP
Ażeby sprawdzić poprawność konfiguracji, należy jako root wpisać w konsoli
hostapd -dddd /etc/hostapd.conf
Po chwili ujrzymy kolejno
student:/home/paoolo# hostapd -dddd /etc/hostapd.conf
Configuration file: /etc/hostapd.conf
ctrl_interface_group=0
Opening raw packet socket for ifindex -1215631258
BSS count 1, BSSID mask ff:ff:ff:ff:ff:ff (0 bits)
SIOCGIWRANGE: WE(compiled)=22 WE(source)=21 enc_capa=0xf
nl80211: Added 802.11b mode based on 802.11g information
Allowed channel: mode=1 chan=1 freq=2412 MHz max_tx_power=20 dBm
Allowed channel: mode=1 chan=2 freq=2417 MHz max_tx_power=20 dBm
Allowed channel: mode=1 chan=3 freq=2422 MHz max_tx_power=20 dBm
Allowed channel: mode=1 chan=4 freq=2427 MHz max_tx_power=20 dBm
Allowed channel: mode=1 chan=5 freq=2432 MHz max_tx_power=20 dBm
Allowed channel: mode=1 chan=6 freq=2437 MHz max_tx_power=20 dBm
Allowed channel: mode=1 chan=7 freq=2442 MHz max_tx_power=20 dBm
Allowed channel: mode=1 chan=8 freq=2447 MHz max_tx_power=20 dBm
Allowed channel: mode=1 chan=9 freq=2452 MHz max_tx_power=20 dBm
Allowed channel: mode=1 chan=10 freq=2457 MHz max_tx_power=20 dBm
Allowed channel: mode=1 chan=11 freq=2462 MHz max_tx_power=20 dBm
Allowed channel: mode=0 chan=1 freq=2412 MHz max_tx_power=20 dBm
Allowed channel: mode=0 chan=2 freq=2417 MHz max_tx_power=20 dBm
Allowed channel: mode=0 chan=3 freq=2422 MHz max_tx_power=20 dBm
Allowed channel: mode=0 chan=4 freq=2427 MHz max_tx_power=20 dBm
Allowed channel: mode=0 chan=5 freq=2432 MHz max_tx_power=20 dBm
Allowed channel: mode=0 chan=6 freq=2437 MHz max_tx_power=20 dBm
Allowed channel: mode=0 chan=7 freq=2442 MHz max_tx_power=20 dBm
Allowed channel: mode=0 chan=8 freq=2447 MHz max_tx_power=20 dBm
Allowed channel: mode=0 chan=9 freq=2452 MHz max_tx_power=20 dBm
Allowed channel: mode=0 chan=10 freq=2457 MHz max_tx_power=20 dBm
Allowed channel: mode=0 chan=11 freq=2462 MHz max_tx_power=20 dBm
RATE[0] rate=10 flags=0x2
RATE[1] rate=20 flags=0x6
RATE[2] rate=55 flags=0x4
RATE[3] rate=110 flags=0x4
Passive scanning not supported
Mode: IEEE 802.11b Channel: 2 Frequency: 2417 MHz
Flushing old station entries
Deauthenticate all stations
Using interface wlan0 with hwaddr 00:02:e3:48:43:01 and ssid 'AP'
SSID - hexdump_ascii(len=2):
41 50 AP
PSK (ASCII passphrase) - hexdump_ascii(len=10):
30 30 30 30 30 30 61 62 61 63 000000abac
PSK (from passphrase) - hexdump(len=32): db 0a 93 2d ba 34 ce 46 f4 99 c5 fa a4 fb 38 4f 93 a1 99 37 80 3d 8d bf 30 5f b2 7b 23 7f dc 2a
WPA: group state machine entering state GTK_INIT (VLAN-ID 0)
GMK - hexdump(len=32): [REMOVED]
GTK - hexdump(len=32): [REMOVED]
WPA: group state machine entering state SETKEYSDONE (VLAN-ID 0)
wlan0: Setup of interface done.
MGMT (TX callback) ACK
STA c4:17:fe:46:8c:f5 sent probe request for our SSID
MGMT (TX callback) ACK
mgmt::proberesp cb
^CSignal 2 received - terminating
Flushing old station entries
Deauthenticate all stations
Lub coś podobnego. Komunikaty MGMT i STA świadczą o fakcie próby uzyskania SSID naszego Access Point'a. W przypadku autoryzacji do AP, będą poprzedzone komunikatami WPA, PSK itd.
W razie komunikatów o błędzie konfiguracji (linijka i co stanowi problem) należy dokładnie przestudiować ów komunikat, bo np. w przypadku linijki driver=*** prawdopodobnie będzie to z przyczyny braku odpowiednich modułów w jądrze (co spotykane jest w kernelach dystrybucyjnych poniżej 2.6.32, obecne testingowe posiadają go)
Jeśli jednak hostapd komunikuje o totalnym braku prawidłowego pliku konfiguracyjnego, to prawdopodobnie z powodu formatowania linijek (każda zaczynająca się od # to komentarz, musi być na pierwszym miejscu, zaś jeśli to linijka konfiguracji to na pierwszym miejscu linijki musi zaczynać się ona - hostapd nie pomija białych znaków w takim przypadku, wszelkie tab'y, pojedyncze spacje na początku linijki odpowiedzialnej za konfigurację powodują błąd w parsowaniu pliku.
Kolejno w /etc/init.d/hostapd, linijka wskazująca na config daemona
DAEMON_CONF=/etc/hostapd.conf
Teoretycznie poprawność startu z /etc/init.d/hostapd można wykonać już teraz poprzez
/etc/init.d/hostapd start
W listingu ifconfig powinno być oprócz wlan0 także i mon.wlan0. Zaś iwconfig wlan0 określi jako Master, zaś mon.wlan0 jako Monitor co widać poniżej
wlan0 IEEE 802.11bg Mode:Master Frequency:2.417 GHz Tx-Power=20 dBm
Retry long limit:7 RTS thr:off Fragment thr:off
Power Management:off
mon.wlan0 IEEE 802.11bg Mode:Monitor Frequency:2.417 GHz Tx-Power=20 dBm
Retry long limit:7 RTS thr:off Fragment thr:off
Power Management:off
Prymitywny skrypcik do obsługi forwardu, DHCP i hostap przy pomocy jednego polecenia (plik: /etc/init.d/ap, po zapisaniu dać chmod +x /etc/init.d/ap)
#!/bin/bash
### BEGIN INIT INFO
# Provides: ap
# Required-Start: $local_fs
# Required-Stop: $local_fs
# Default-Start: 2 3 4 5
# Default-Stop: 0 1 6
# Short-Description: Setting Hostapd
### END INIT INFO
[ -x /usr/sbin/hostapd ] || exit 0
. /lib/lsb/init-functions
start() {
# /etc/init.d/wicd stop
ifup wlan0
/etc/init.d/isc-dhcp-server start
/etc/init.d/iptables forward $1 wlan0 192.168.10.0/24
/etc/init.d/hostapd start
}
stop() {
/etc/init.d/hostapd stop
/etc/init.d/iptables disforward
/etc/init.d/isc-dhcp-server stop
ifdown wlan0
# /etc/init.d/wicd start
}
case "$1" in
start)
if [ $# -eq 2 ]; then
echo "Starting AP... "
start $2
echo "done."
fi
;;
stop)
echo "Stopping AP... "
stop
echo "done."
;;
*)
echo "Usage {start|stop}"
exit 0
;;
esac
Konfiguracja interfejsu wlan0 w /etc/network/interfaces
iface wlan0 inet static
address 192.168.10.1
netmask 255.255.255.0
Konfiguracja dhcp w /etc/dhcp/dhcpd.conf
option domain-name-servers 217.98.63.164;
[...]
subnet 192.168.10.0 netmask 255.255.255.0 {
range 192.168.10.2 192.168.10.32;
option routers 192.168.10.1;
}
Prymitywny skrypcik do obsługi iptables (na sztywno pewne sprawy są, plik: /etc/init.d/iptables, po zapisaniu dać chmod +x /etc/init.d/iptables)
#!/bin/sh
### BEGIN INIT INFO
# Provides: iptable
# Required-Start: $local_fs
# Required-Stop: $local_fs
# Default-Start: 2 3 4 5
# Default-Stop: 0 1 6
# Short-Description: Setting Iptables
### END INIT INFO
[ -x /sbin/iptables ] || exit 0
. /lib/lsb/init-functions
clean() {
iptables -F
iptables -X
iptables -t nat -X
iptables -t nat -F
iptables -t mangle -F
iptables -t mangle -X
echo -n "clean up rules.. "
}
disable() {
iptables -P INPUT ACCEPT
iptables -P FORWARD ACCEPT
iptables -P OUTPUT ACCEPT
echo -n "disable default control.. "
}
enable() {
iptables -P INPUT DROP
iptables -P INPUT DROP
iptables -P OUTPUT ACCEPT
echo -n "enable default control.. "
}
related() {
iptables -A INPUT -j ACCEPT -m state --state ESTABLISHED,RELATED
iptables -A INPUT -i lo -j ACCEPT
iptables -A OUTPUT -j ACCEPT -m state --state ESTABLISHED,RELATED
echo -n "allow for established, related.. "
}
start() {
# czyszczenie po kims
clean
# ustawienie domyslnej polityki
enable
# utrzymanie polaczen nawiazanych
related
}
stop() {
# czyszczenie
clean
# wylaczenie firewall
disable
}
forward() {
# wlaczenie w kernelu forwardowania
echo 1 > /proc/sys/net/ipv4/ip_forward
echo -n "enabling forwarding.. "
# dostep do dhcp server
iptables -A INPUT -i wlan0 -p udp --dport 67 -j ACCEPT
echo -n "enable dhcp.. "
# udostepniaie internetu w sieci lokalnej
iptables -A FORWARD -j ACCEPT -m state --state ESTABLISHED,RELATED
iptables -A FORWARD -i $1 -o $2 -j ACCEPT
iptables -A FORWARD -i $2 -o $1 -j ACCEPT
echo -n "crossing iptables from $1 to $2.. "
iptables -t nat -A POSTROUTING -s $3 -j MASQUERADE
iptables -A FORWARD -s $3 -j ACCEPT
iptables -A INPUT -s $3 -j ACCEPT
echo -n "setting NAT for $3.. "
}
disforward() {
# wylaczenie forward
echo 0 > /proc/sys/net/ipv4/ip_forward
# czyszczenie
clean
# przywrocenie
related
}
case "$1" in
enable)
echo -n "Enable firewall... "
enable
echo "done."
;;
disable)
echo -n "Disable firewall... "
disable
echo "done."
;;
start)
echo -n "Starting iptables... "
start
echo "done."
;;
stop)
echo -n "Stoping iptables... "
stop
echo "done."
;;
restart)
echo -n "Restarting iptables... "
stop
start
echo "done."
;;
forward)
if [ $# -eq 1 ]; then
echo "No param. Abort!"
else
echo -n "Enabling forwarding... "
forward $2 $3 $4
echo "done."
fi
;;
disforward)
echo -n "Disable forwarding... "
disforward
echo "done."
;;
*)
echo "Usage $0 {enable|disable|start|stop|restart|forward}"
exit 0
;;
esac
Aby /etc/init.d/iptables sam startował (do pracy firewall'a) należy jeszcze
update-rc.d iptables default
Zaś aby /etc/init.d/hostapd nie startował wraz z systemem (a wtedy gdy to koniecznie czyli wraz z poleceniem /etc/init.d/ap start) to
update-rc.d hostapd remove
Zaś /etc/init.d/ap startuje przy pomocy /etc/init.d/ap start iface, gdzie iface to interfejs na świat.