Bekijk de volledige versie : 802.1x EAP-MD5 авторизация у провайдера
Всем привет!
Как можно организовать авторизацию роутера по 802.1x протоколу у провайдера? Нашел, что это можно сделать при помощи wpa_supplicant с драйвером wired:
wpa_supplicant -ivlan1 -Dwired -c/opt/etc/wpa_supplicant.conf
Но пакет wpa_supplicant на http://ipkg.nslu2-linux.org/feeds/unslung/wl500g
не поддерживает драйвер wired.
Вопрос: можно ли организовать авторизацию у провайдера по 802.1x другим способом? Если да, то как, если нет, то как скомпилировать wpa_supplicant? Есть ли dev image, или cross компилеры? Как все это настроить?
С уважением,
Михаил Костоусов
Или может быть кто-нибудь может скомпилировать wpa_supplicant c такими дерективами в .config
CONFIG_DRIVER_HOSTAP=y
CONFIG_DRIVER_WIRED=y
CONFIG_EAP_MD5=y
CONFIG_EAP_MSCHAPV2=y
CONFIG_EAP_TLS=y
CONFIG_EAP_PEAP=y
Или может быть кто-нибудь может скомпилировать wpa_supplicant c такими дерективами в .config
CONFIG_DRIVER_HOSTAP=y
CONFIG_DRIVER_WIRED=y
CONFIG_EAP_MD5=y
CONFIG_EAP_MSCHAPV2=y
CONFIG_EAP_TLS=y
CONFIG_EAP_PEAP=y
Спустя чуть-ли не год провайдер таки прижал и оставил только 802.1x uавторизацию. Настольный линукс я настроил. На настольном linux авторизация работает с помощью wpa_supplicant таким образом:
################################
##/etc/wpa_supplicant.conf
# IEEE 802.1X with dynamic WEP keys
ctrl_interface=/var/run/wpa_supplicant_wired
ap_scan=0
network={
key_mgmt=IEEE8021X WPA-EAP
eap=PEAP
phase2="auth=MSCHAPV2"
identity="************"
password="***********"
}
###################################
wpa_supplicant -ieth0 -Dwired -c /etc/wpa_supplicant.conf
Не могу настроить тоже самое для роутера. Я скомпилировал openssl 0.9.8b и wpa_supplicant 0.5.7 для wl500gx. Но при попытке запуска на роутере система говорит:
-sh: wpa_supplicant: not found
Хотя, все пути прописанны, и wpa_supplicant тоже находится. Единственное мое предположение, что wpa_supplicant тоже хочет что-то срочно запустить через sh, и у него не получается.
Кто-нибудь, подскажите пожалуйста, в чем может быть проблема. Может что-то с компиляцией напортачил?
Скомпилировал wpa_supplicant так, что бы он заработал. Теперь новая проблема. Как достучаться до wan интерфеса так, что бы wpa ни чего не мешало? Тоесть, как освободить wan от все служб?
Ну не ужели ни кто не встречался с такой проблемой?
Может быть имеет кто-нибудь хоть какие нибудь догадки, как это сделать.
Такое ощущение, что wpa_supplicant не может полностью управлять wan на роутере.
Он получает адрес leap/peap сервера, но после этого идет мультикаст, которого, видимо, он уже не улавливает.
Можно ли как-то освободить wan интерфейс от "nas"? Или, может быть существует прошивка, которая, условно говоря, предоставляет обыкновенный linux дистрибутив с кучей карточек и wifi интерфейсом?
P.S. Как только провайдер поменял авторизацию, в доме тут-же не стало wifi сетей в принципе...
Ну не ужели ни кто не встречался с такой проблемой?
Может быть имеет кто-нибудь хоть какие нибудь догадки, как это сделать.
Такое ощущение, что wpa_supplicant не может полностью управлять wan на роутере.
Он получает адрес leap/peap сервера, но после этого идет мультикаст, которого, видимо, он уже не улавливает.
Можно ли как-то освободить wan интерфейс от "nas"? Или, может быть существует прошивка, которая, условно говоря, предоставляет обыкновенный linux дистрибутив с кучей карточек и wifi интерфейсом?
P.S. Как только провайдер поменял авторизацию, в доме тут-же не стало wifi сетей в принципе...
Где-то на формуме или в wiki были комментарии про сборку дебиана
P.S. Как только провайдер поменял авторизацию, в доме тут-же не стало wifi сетей в принципе...
Знакомая ситуация :mad:
Нашли ли какой-то выход? Раньше был VPN PPTP, сейчас 802.1x через ethernet.
Решили ли вы проблему авторизации каким либо способом? Напрягают кабеля по дому :(
Повозился с этим, попытался в hostap (авторы wpa_supplicant) помощь получить. Подсказали пару вещей, но ни чего не получилось. Пока пользуюсь промежуточной машинкой, роутером.
Надо со снифером разобраться, что бы посмотреть, что происходит на интерфейсе. Пока, судя по всему, не приходят пакеты LEAP/PEAP (802.1x). Где они оседают - незнаю..
Пока пользуюсь промежуточной машинкой, роутером.
Если не секрет - каким именно?
Я так понимаю "машинка" умеет авторизировать 802.1х и на выходе у нее "чистый" нет к которому можна навесить любой wifi spot?
Я имею ввиду обыкновенный компьютер с парой ситевух.
так не интересно ... жужжит и под шкаф не влезит :p
Знаю, что не интересно. И жужит, и шкаф уже только сверху можно поставить. Если есть желание - можем объединить усилия, где-нибудь, в выходные.
Знаю, что не интересно. И жужит, и шкаф уже только сверху можно поставить. Если есть желание - можем объединить усилия, где-нибудь, в выходные.
объединить усилия - дело святое, только wl500-го у меня нет в данный момент. Хочю быть уверен что железо потянет перед покупкой
Господа, объясните бестолковому. А зачем вам 802.1х на своей стороне ? Пусть провайдер занимается этим на своей стороне, на уровне доступа. Зачем к себе тащить ?
Ну так он и занимается. Авторизация компьютеров в его, провайдеровской сети, происходит по wired 802.1x. Стандарт такой, корпоративный. А что касается моего провайдера, в его лицензионном соглашении ясно написанно, ни каких роутеров и беспроводных точек доступа. Два компьютера - покупай хаб.
Господа, объясните бестолковому. А зачем вам 802.1х на своей стороне ? Пусть провайдер занимается этим на своей стороне, на уровне доступа. Зачем к себе тащить ?
А если тебе в квартиру такое счастье пришло с доброй воли твоего провайдера? И доступ в сеть/интернет только после успешной авторизации по 802.1х
то poptab: Я просто не стал бы обращаться к такому провайдеру за получением услуг.
то mikhako: Знатный извращенец ваш провайдер :) Сколько я на своем веку разных ISP видел, но и тут меня удивили. Не оскудеет земля наша талантами. :)
Просто сеть университетская, не в России. Бесплатная. Иногда, провайдера выбрать невозможно, т.к у него контракт с социальными службами.
Объяснение принято. А то уж грешным делом подумал что наши стали так извращаться. А какой универ. если не секрет ?
Поборол я свой 802.1х .... к сожаленью методом похода к провайдеру, душевным "разговорчиком" и сменой авторизации с 802.1х на привязку по Mac
Граждане, нет ли прогресса по данному направлению?
Замечательный провайдер корвет-телеком требует авторизации по 802.1х, с использованием сертификата.
Очень надоели провода :)
Привет всем! приобрел недавно ASUS WL-320gP прошил альтернативной WL550gE-1.9.2.7-8.trx прошивкой стал он теперь WL-550Wg
у провайдера сетевая аутентификация 802.1X через MD5 не получается настроить девайс в режиме шлюза, подскажите что делать. Спасибо.
802.1X не работает потому, что физически WL-500gP имеет один интерфейс ethernet. Этот интерфейс, в сою очередь, имеет несколько VLAN'ов 802.1Q и подключен к switch'у, который "разделяет" эти VLAN'ы на физические интерфейсы. В принципе со стороны всё выглядит довольно гладко до тех пор, пока Вы не начинаете пользоваться "экзотикой" типа 802.1X. В этом случае пакеты, вышедшие из интерфейса попадают в switch. Причем DEST MAC у этих пакетов мультикастовый (первый бит в проводе равен 1). Switch в свою очередь не знает, в какой порт этот пакет отсылать и естественно его отбрасывает. В результате пакеты EAPOL-start не доходят до свитча провайдера и никакой аутентификации не происходит - она просто не начинается. И от supplicant'а (wpa_supplicant или xsupplicant) тут ничего не зависит. Вот такие вот дела. Выход может быть найден при использовании переходников типа USB-Ethernet и уже к ним подключать интернет - заказал, завтра привезут - попробую, напишу если будет время.
P.S. я правда использую OpenWRT а не прошивку Олега, но данный вопрос не зависит от софта :)
Нет, дело не в этом и вообще это не важно. :)
Не вдаваясь в технические детали скажу: вариант wpa_supplicact для 802.1х, в случае, если используется EAP-MD5 у меня есть. Когда повится время отпишусь и дам ссылку на бинарник.
Всем, добрый день.
Знакомый столкнулся с такой же проблемой: IEEE 802.1X, «Тип EAP» - MD-5 Challenge. Можно ли ему как-то помочь воспользоваться роутером WL500g Deluxe и избавиться от проводов?
1) To ALL: Не поможет ли включение режима Bridge или Точка доступа, с тем чтобы авторизация осталась на компьютере, а роутер только делал сигнал беспроводным?
2) To Oleg: Не появилось ли у вас еще время и возможность выложить "wpa_supplicact для 802.1х, в случае, если используется EAP-MD5"? Я так понимаю, установка этого бинарника решает проблему?
Спасибо за любую помощь или совет.
Константин
Позвольте поднять тему еще раз... Проблема не решена и как заставить работать роутер с таким провайдером не ясно. Может быть кто еще имеет возможность выложить "wpa_supplicact для 802.1х, в случае, если используется EAP-MD5"?
Константин
oxygen121
13-05-2008, 17:49
Многоуважаемый Oleg ждем с нетерпением бинарник
student34
24-05-2008, 22:55
Многоуважаемый Oleg ждем с нетерпением бинарник
Очень ждем.
Многоуважаемый Oleg ждем с нетерпением бинарник
Тема становится актуальной. Очень ждем.
WL500-gP - хорошый рутер и отличная прошивка от Olegа.
ISP "Мультикабельные сети".
bazilio666
04-08-2008, 21:47
присоединяюсь.
Такой путевый роутер и не получается юзать WiFi
Когда появиться поддержка авторизации 802.1x (MD5) в прошивках? Или тот бинарник про который тут был разговор?
ОЧЕНЬ хочеться ))
Провайдер - Мультинекс (Комтел) г. Белгород
Smallrat
15-10-2008, 11:34
Присоединюсь.
Очень не хочется закидывать роутер до "лучших времен"
Пров: "Мультикабельные сети Балашихи"
Кто нибудь решил данную проблему на WL-520GC?
Решите плиз вопрос с прошивкой поддерживающей 802.1x MD5 авторизацию у провайдера на 500g Premium :(
Доброе время суток! Господа, решаема ли проблема с md5 авторизацией у провайдера для модели wl500gp v2?
Вопрос для меня стоит довольно остро, т.к. аппарат я уже купил, денег и желания на 2ой нет, а возврат этого я смогу сделать максимум через 12 дней.
Недавно было найдено решение для 320 dlinka на dd-wrt (http://www.dd-wrt.com/phpBB2/viewtopic.php?p=248726&sid=f3afc78f1906b4c432db55522c8c7669).
Я довольно далёк от линукса и программирования, возможно для асуса и олеговской прошивки это тоже подходит, но очень опасаюсь загнать аппарат и лишиться гарантии. Скажите нужно-ли что-то корректировать в предлагаемом коде? и если да, то что и как?
Попробуйте, должно и так заработать, как написано в той ссылке, что вы привели. Единственно - вам придется прицепить флешку к роутеру и поставить программку на нее. Или пересобрать прошивку полностью, чтобы добавить этот софт туда.
Не запускается( пишет что не может найти библиотеку libutils.so. Программу запускал с флешки. Надо пересобирать прошивку? или бесполезно?
поищите по форуму - уже было про эту библиотеку (libutils.so).
Олег, если вас не затруднит выложите супликант
Не запускается( пишет что не может найти библиотеку libutils.so. Программу запускал с флешки. Надо пересобирать прошивку? или бесполезно?
Надо пересобирать саму программу. Если есть интерес и возможность потестировать, могу пересобрать под 1.9.2.7-d (http://wl500g.info/showthread.php?t=17136)
Обновлено: также смотрите ветку Авторизация EAP-MD5 (http://wl500g.info/showthread.php?t=18521)
Мой старый должок, надеюсь, это актуально.
В общем, сам я мало чего уже помню, но к счастью, сохранился и бинарник и исходники и даже скрипт, который я когда-то писал.
Всё лежит здесь:
http://oleg.wl500g.info/8021x/
Что нужно для пользования.
Загрузить и сохранить во flashfs бинарник и скрипт пускач:
cd /usr/local/sbin
wget http://oleg.wl500g.info/8021x/wpa_supplicant
wget http://oleg.wl500g.info/8021x/wpa_supplicant.sh
chmod +x http://oleg.wl500g.info/8021x/wpa_supplicant*
поправить wpa_supplicant.sh редактором, а именно вписать свой логин и пароль вместо user и passwd:
#!/bin/sh
cat > /tmp/wpa_supplicant.conf << EOF
ap_scan=0
network={
key_mgmt=IEEE8021X
eap=MD5
identity="user"
password="passwd"
eapol_flags=0
}
EOF
./wpa_supplicant -i$(nvram get wan_ifname) -Dwired -c/tmp/wpa_supplicant.conf -dd
После этого сохранить flashfs и попробовать запустить скрипт. Я уже не помню, что будет дальше, он на консоль пишет отладочную информацию или в лог.
Пишите здесь о результатах. :) Добавлю в ФАК результат. Сам покопаюсь ещё в старой переписке, где я давал инструкции на этот счёт. :D
А не сможешь прокомментировать утверждение товарища с форума DD-WRT ?
http://www.dd-wrt.com/phpBB2/viewtopic.php?t=45001
Для авторизации eap-md5 можно использовать последнюю версию wpa-supplicant 0.6.6, нужно компилировать из исходников. Но с ним есть несколько проблем: mac адрес для авторизации берётся у интерфейса eth0 а весь остальной трафик идёт от mac адреса vlan1, из-за этого у меня не работает интернет, также при ошибках авторизации\переавторизации не обновляется ip
Что-то мне кажется он путает, но вот блин проверить самому негде.
P.S. Для товарищей, которые уже перешли на 1.9.2.7-d, в ближайшее время выложу аналогичную сборку wpa_supplicant
Не, не могу. :) Надо смотреть, что куда. В реале эту штука заработала для одного человека, который меня тогда на это всё и сподвиг. Никакого масштабного тестирования не было. У нас, в общем-то, адреса eth0/vlanX всегда совпадают, кроме случая, когда мак адрес задан в вебе.
Моя сборка - это всего лишь сильно уменьшенный в размерах wpa_supplicant. Никаких кардинальных отличий больше нет.
Бинарник с примерным скриптом запуска wpa_supplicant-0.6.9 для прошивки 1.9.2.7-d, включены оба драйвера - wired и roboswitch. Пожалуйста, пишите нормальные отзывы, а не в стиле "ничего не работает".
Надо пересобирать саму программу. Если есть интерес и возможность потестировать, могу пересобрать под 1.9.2.7-d (http://wl500g.info/showthread.php?t=17136)
Обновлено: также смотрите ветку Авторизация EAP-MD5 (http://wl500g.info/showthread.php?t=18521)
Могу протестировать.
Могу протестировать.
"Мопед не мой", поэтому выкладываю As Is. Изменения относительно версии автора - лог пишет в syslog, т.е. можно посмотреть через web-интерфейс.
Для универсальности всё же следует использовать wpa_supplicant.
Corvus Corax
23-02-2009, 09:06
"Мопед не мой", поэтому выкладываю As Is. Изменения относительно версии автора - лог пишет в syslog, т.е. можно посмотреть через web-интерфейс.
Для универсальности всё же следует использовать wpa_supplicant.
Требует библиотеку libgcc_s.co.1.
Запускал на WL-500g Premium с прошивкой WL500gp-1.9.2.7-10
Corvus Corax
23-02-2009, 09:17
Мой старый должок, надеюсь, это актуально.
О да! Ещё как актуально :) .
Вот тут Вы хорошо пошутили:
cd /usr/local/sbin
wget http://oleg.wl500g.info/8021x/wpa_supplicant
wget http://oleg.wl500g.info/8021x/wpa_supplicant.sh
chmod +x http://oleg.wl500g.info/8021x/wpa_supplicant*
... то есть, чтобы поставить и запустить суппликант его надо сначала... скачать роутером, который не может выйти в инет по причине (положим) отсутствия суппликанта :D .
Пишите здесь о результатах. :) Добавлю в ФАК результат. Сам покопаюсь ещё в старой переписке, где я давал инструкции на этот счёт. :D
Запускал, ноль реакции со стороны ISP (Мультинекс Волгоград) - ответа не приходит вообще (RX 0 на WAN-интерфейсе). Логин и пасс, естественно, вписал свои :) .
С нетерпением ждём FAQ.
Требует библиотеку libgcc_s.co.1.
Запускал на WL-500g Premium с прошивкой WL500gp-1.9.2.7-10
Прочитать мой предыдущий пост, где я четко обговаривал версию прошивки, было слабо?
Corvus Corax
23-02-2009, 17:21
Прочитать мой предыдущий пост, где я четко обговаривал версию прошивки, было слабо?
Ну извиняйте... Я не осведомлён по поводу различия прошивок 1.9.2.7-10 и 1.9.2.7-d в плане наличия/отсутствия библиотек, поэтому просто проверил на том что есть.
Хочу отметить, что мы с andrews (http://wl500g.info/showpost.php?p=81392&postcount=22) уже пытались использовать суппликант (только на OpenWRT... да и безуспешно) для MD5-авторизации. В результате он пришёл к печальному выводу о том, что дело в железе. Поэтому очень (!) хочется верить, что положение дел всё же можно исправить программно.
Хочу отметить, что мы с andrews (http://wl500g.info/showpost.php?p=81392&postcount=22) уже пытались использовать суппликант (только на OpenWRT... да и безуспешно) для MD5-авторизации. В результате он пришёл к печальному выводу о том, что дело в железе. Поэтому очень (!) хочется верить, что положение дел всё же можно исправить программно.
А можно тогда поинтересоваться, как был сделан вывод
Switch в свою очередь не знает, в какой порт этот пакет отсылать и естественно его отбрасывает. Сниффером с компа или?
Ну и конечно надежда на Олега, может что подскажет, он с этим копался.
А можно тогда поинтересоваться, как был сделан вывод Сниффером с компа или?
Ну и конечно надежда на Олега, может что подскажет, он с этим копался.
Где-то тут было ссылка на форум dd-wrt, там пришли к выводу, что просто mac не от того интерфейса берется и даже исправили это в утилите, написанной на основе супликата.
Corvus Corax
23-02-2009, 17:51
А можно тогда поинтересоваться, как был сделан вывод Сниффером с компа или?
Использовался обычный tcpdump на самом роутере в совокупности с более чем богатым опытом работы с сетевым железом у andrews'а.
Вывод был сделан (на сколько я понял) на основе отсутствия ответа от ISP на пакеты, отвечающие за авторизацию. То есть всё выглядит так, как будто эти пакеты ISP просто не получает.
Использовался обычный tcpdump на самом роутере в совокупности с более чем богатым опытом работы с сетевым железом у andrews'а.
Вывод был сделан (на сколько я понял) на основе отсутствия ответа от ISP на пакеты, отвечающие за авторизацию. То есть всё выглядит так, как будто эти пакеты ISP просто не получает.
Если так, то не совсем корректный опыт. Чтобы сделать 100% достоверный вывод, надо было врезать сниффер в WAN, т.е. проследить выход запроса из интерфейса роутера. Причем, если есть подозрения на глюки свитча, перекидывать средствами роутера порт из LAN в WAN увы нельзя.
Corvus Corax
23-02-2009, 18:26
Если так, то не совсем корректный опыт. Чтобы сделать 100% достоверный вывод, надо было врезать сниффер в WAN, т.е. проследить выход запроса из интерфейса роутера.
Угу, идея хорошая... что-то как-то не подумали.
Причем, если есть подозрения на глюки свитча, перекидывать средствами роутера порт из LAN в WAN увы нельзя.
Можно, есть такая штука как Ethernet-to-USB... лежит вот тут, соблазняет... однако, для неё нужны дрова. Да и хреновина, торчащая с пач-кордом на ~10 см из роутера (лично для меня) не особо приемлема.
AlexeyS вот упомянул ссылку на dd-wrt и действительно, народ пишет, что всё работает. Как я понял Вы, lly, пересобирали для 1.9.2.7-d именно эту программулину (eapd). Нельзя-ли её собрать и для 1.9.2.7-10?
Не знаю, что там в опенврт, но в моей прошивке тот супликант, который я выложил работал и вполне успешно. Вам что мешает его проверить?
Не помню только, какое железо было - 500в или гп.
Corvus Corax
23-02-2009, 18:34
Не знаю, что там в опенврт, но в моей прошивке тот супликант, который я выложил работал и вполне успешно. Вам что мешает его проверить?
Я его проверял, буквально вчера:
http://wl500g.info/showpost.php?p=133509&postcount=6
Не помню только, какое железо было - 500в или гп.
У меня 500гп
А в логе и на консоли что?
Corvus Corax
24-02-2009, 10:19
А в логе и на консоли что?
Запускаю скрипт и...
Initializing interface 'vlan1' conf '/tmp/wpa_supplicant.conf' driver 'wired' ctrl_interface 'N/A' bridge 'N/A'
Initializing interface (2) 'vlan1'
EAPOL: SUPP_PAE entering state DISCONNECTED
EAPOL: KEY_RX entering state NO_KEY_RECEIVE
EAPOL: SUPP_BE entering state INITIALIZE
EAP: EAP entering state DISABLED
EAPOL: External notification - portEnabled=0
EAPOL: External notification - portValid=0
wpa_driver_wired_init: Added multicast membership with packet socket
Own MAC address: 00:1b:fc:81:74:d3
Setting scan request: 0 sec 100000 usec
Added interface vlan1
Using wired driver - overriding ap_scan configuration
... и всё.
Прекращаю выполнение скрипта по Ctrl+C:
CTRL-EVENT-TERMINATING - signal 2 received
Removing interface vlan1
State: DISCONNECTED -> DISCONNECTED
No keys have been configured - skip key clearing
EAPOL: External notification - portEnabled=0
EAPOL: External notification - portValid=0
No keys have been configured - skip key clearing
Cancelling scan request
Cancelling authentication timeout
syslog.log, если интересует:
А это мой супликакт? Или вариант lly?
Вот кусок "хорошего" вывода, запускалось на wl500w
Initializing interface (2) 'eth1'
EAPOL: SUPP_PAE entering state DISCONNECTED
EAPOL: KEY_RX entering state NO_KEY_RECEIVE
EAPOL: SUPP_BE entering state INITIALIZE
EAP: EAP entering state DISABLED
EAPOL: External notification - portEnabled=0
EAPOL: External notification - portValid=0
wpa_driver_wired_init: Added multicast membership with packet socket
Own MAC address: 00:18:f3:95:72:db
Setting scan request: 0 sec 100000 usec
Added interface eth1
EAPOL: External notification - portControl=Auto
Already associated with a configured network - generating associated event
Association info event
State: DISCONNECTED -> ASSOCIATED
Associated to a new BSS: BSSID=01:80:c2:00:00:03
No keys have been configured - skip key clearing
Network configuration found for the current AP
EAPOL: External notification - portControl=Auto
Associated with 01:80:c2:00:00:03
EAPOL: External notification - portEnabled=0
EAPOL: External notification - portValid=0
EAPOL: External notification - portEnabled=1
EAPOL: SUPP_PAE entering state CONNECTING
EAPOL: SUPP_BE entering state IDLE
EAP: EAP entering state INITIALIZE
EAP: EAP entering state IDLE
Cancelling scan request
EAPOL: startWhen --> 0
EAPOL: SUPP_PAE entering state CONNECTING
EAPOL: txStart
TX EAPOL - hexdump(len=4): 01 01 00 00
И ещё, вот это сообщение "Using wired driver - overriding ap_scan configuration" выводится только если в конфиге ap_scan=0 отсутствует. Нужно проверить конфиг (и естественно, редактировать на самом роутере).
Ещё в скрипте можно увеличить уровень логгинга, если -dd заменить на -ddd и т.д.
Corvus Corax
24-02-2009, 17:15
Суппликант Ваш (http://oleg.wl500g.info/8021x/wpa_supplicant).
И ещё, вот это сообщение "Using wired driver - overriding ap_scan configuration" выводится только если в конфиге ap_scan=0 отсутствует. Нужно проверить конфиг (и естественно, редактировать на самом роутере).
Строка "ap_scan=0" в конфиге есть и пишется туда вашим же скриптом (http://oleg.wl500g.info/8021x/wpa_supplicant.sh).
Ещё в скрипте можно увеличить уровень логгинга, если -dd заменить на -ddd и т.д.
Никакого результата - лог один-в-один с тем, что я запостил.
Может быть имеет смысл понизить версию прошивки?
Можно попробовать вот этот супликант
http://oleg.wl500g.info/8021x/wpa_supplicant.old
Corvus Corax
24-02-2009, 18:09
Можно попробовать вот этот супликант
Угу, этот работает... но, авторизацию не проходит:
Initializing interface 'vlan1' conf '/tmp/wpa_supplicant.conf' driver 'wired' ctrl_interface 'N/A' bridge 'N/A'
Configuration file '/tmp/wpa_supplicant.conf' -> '/tmp/wpa_supplicant.conf'
Reading configuration file '/tmp/wpa_supplicant.conf'
ap_scan=0
Line: 2 - start of a new network block
key_mgmt: 0x8
eap methods - hexdump(len=16): 00 00 00 00 04 00 00 00 00 00 00 00 00 00 00 00
identity - hexdump_ascii(len=10):
61 61 31 30 37 30 33 32 38 35 aa_что-то_
password - hexdump_ascii(len=10): [REMOVED]
eapol_flags=0 (0x0)
Priority group 0
id=0 ssid=''
Initializing interface (2) 'vlan1'
EAPOL: SUPP_PAE entering state DISCONNECTED
EAPOL: KEY_RX entering state NO_KEY_RECEIVE
EAPOL: SUPP_BE entering state INITIALIZE
EAP: EAP entering state DISABLED
EAPOL: External notification - portEnabled=0
EAPOL: External notification - portValid=0
wpa_driver_wired_init: Added multicast membership with packet socket
Own MAC address: 00:1b:fc:81:74:d3
Setting scan request: 0 sec 100000 usec
Added interface vlan1
EAPOL: External notification - portControl=Auto
Already associated with a configured network - generating associated event
Association info event
State: DISCONNECTED -> ASSOCIATED
Associated to a new BSS: BSSID=01:80:c2:00:00:03
No keys have been configured - skip key clearing
Network configuration found for the current AP
EAPOL: External notification - portControl=Auto
Associated with 01:80:c2:00:00:03
EAPOL: External notification - portEnabled=0
EAPOL: External notification - portValid=0
EAPOL: External notification - portEnabled=1
EAPOL: SUPP_PAE entering state CONNECTING
EAPOL: SUPP_BE entering state IDLE
EAP: EAP entering state INITIALIZE
EAP: EAP entering state IDLE
Cancelling scan request
EAPOL: startWhen --> 0
EAPOL: SUPP_PAE entering state CONNECTING
EAPOL: txStart
TX EAPOL - hexdump(len=4): 01 01 00 00
EAPOL: startWhen --> 0
EAPOL: SUPP_PAE entering state CONNECTING
EAPOL: txStart
TX EAPOL - hexdump(len=4): 01 01 00 00
EAPOL: idleWhile --> 0
EAP: EAP entering state FAILURE
CTRL-EVENT-EAP-FAILURE EAP authentication failed
EAPOL: SUPP_PAE entering state AUTHENTICATING
EAPOL: SUPP_BE entering state FAIL
EAPOL: SUPP_PAE entering state HELD
EAPOL: SUPP_BE entering state IDLE
EAPOL: startWhen --> 0
EAPOL: heldWhile --> 0
EAPOL: SUPP_PAE entering state CONNECTING
и т.д.
Угу, этот работает...
Это скверно. Значит я всё таки потерял исходники актуальные. В тех, что у меня есть видимо испорчено чтение конфиг файла. Я припоминаю, что в какой-то момент начал с этим играться.
Я слегка иначе собрал
http://oleg.wl500g.info/8021x/wpa_supplicant
Теперь новая версия похожа на старую? :)
Corvus Corax
24-02-2009, 20:52
Теперь новая версия похожа на старую? :)
Хм... в каком-то смысле похожа, но только на "новую старую" - лог один в один с первоначальным, заканчивающимся строкой
Using wired driver - overriding ap_scan configuration
У Вас либо по дороге прокси кеширующий, либо не туда файл попал. Я сейчас проверил, он работает правильно, т.е. конфиг читается. Попробуйте ещё раз.
lly
Я начал тогда переделку с тем, чтобы отключить встроенный парсер командной строки, но так и не доделал. В итоге патч вообще не нужен. Нужен только конфиг c таким содержанием.
CONFIG_DRIVER_WIRED=y
CONFIG_IEEE8021X_EAPOL=y
CONFIG_EAP_MD5=y
CONFIG_NO_WPA=y
CONFIG_NO_WPA2=y
CONFIG_NO_AES_EXTRAS=y
CONFIG_BACKEND=file
Я начал тогда переделку с тем, чтобы отключить встроенный парсер командной строки, но так и не доделал. В итоге патч вообще не нужен. Нужен только конфиг c таким содержанием.
Я давно догадался :cool:, мой вариант собран именно так, только версия 0.6.8 и добавлено
CONFIG_NO_CONFIG_BLOBS=y плюс мелкий патчик исправляющий инициализацию в случае отсутсвия поддержки блобов. Если кому интересно - выложу, но он прозрачен.
В старой версии CONFIG_NO_CONFIG_BLOBS не было.
Сейчас надо бы заставить эту старую версию работать. Тут такое дело: сразу после
TX EAPOL - hexdump(len=4): 01 01 00 00
должен приходить ответ типа такого:
RX EAPOL from 00:17:9a:7a:7f:cc
RX EAPOL - hexdump(len=46): 01 00 00 0f 01 01 00 0f 01 55 73 65 72 20 6e 61 6d 65 3a 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00
Но он не приходит. Причины может быть две: провайдер молчит, либо второй вариант - в прошивке я что-то поменял.
Дата, когда всё работало - 20 декабря 2007 года. Прошивка была 1.9.2.7-8. Имеет смысл попробовать её.
Обязательно нужно убедиться, что МАК адрес склонирован от компьютера с виндоус, который подключался в последний раз. Там могут быть какие-то кеши на провайдерской стороне...
Сейчас надо бы заставить эту старую версию работать.
Так кто спорит то?
Я проблему вижу в том, что ни у кого из разработчиков нет полигона с авторизатором EAP-MD5. PPPoE сервер я себе на домашний линух уже водрузил, а вот свободного EAP не нашел. Плохо искал?
Corvus Corax
25-02-2009, 16:07
У Вас либо по дороге прокси кеширующий, либо не туда файл попал. Я сейчас проверил, он работает правильно, т.е. конфиг читается. Попробуйте ещё раз.
Прокси нет. Первую и вторую редакции "нового" суппликанта, естественно, сравнивал, они различались. Но, видимо, всё-таки их перепутал на самом роутере. Попробовал ещё раз - "заработало", лог стал как у wpa_supplicant.old. Пробовал на 1.9.2.7-10. Сменил MAC на "виндовой" - нет реакции. Провайдер не отвечает вообще.
Прошивка была 1.9.2.7-8. Имеет смысл попробовать её.
Прошился ей, аналогично - лог тот же. Сменил MAС - реакции нет.
RX EAPOL from 00:17:9a:7a:7f:cc
RX EAPOL - hexdump(len=46): 01 00 00 0f 01 01 00 0f 01 55 73 65 72 20 6e 61 6d 65 3a 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00
Угу, на "большом" линуксе (Debian) авторизация проходит отлично. И без всякой смены MAC-адресса.
Плохо. Остаётся ждать счастливого обладателя wl500w, чтобы отсеять версию с VLAN.
А где взять исходники eapd или как его там? Я могу собрать версию для своей прошивки, чтобы проверить.
А где взять исходники eapd или как его там? Я могу собрать версию для своей прошивки, чтобы проверить.
Оригинал - в форуме dd-wrt. Я немного их поправил на предмет логгирования в syslog и выноса констант в main.c, но логику не трогал:
А где взять исходники eapd или как его там?
Тут http://www.dd-wrt.com/phpBB2/viewtopic.php?t=45001
Вообще проблемы с авторизацией по протоколу 802.1x ислючительно аппаратные. Если быть точнее на диапазон mac адресов, отвечающих за авторизацию не приходят пакеты без конфигурирования свитча (https://dev.openwrt.org/ticket/1862 ). В wpa_supplicant был добавлен костыль - спецальный драйвер, для его использования нужно собрать суппликнт с опцией CONFIG_DRIVER_ROBOSWITCH=y.
2lly: если будеш исользовать eapd, то поправь в socket.c функцию:
int socket_recv(int socket,u8 *data,u16 data_size)
{
struct sockaddr_ll ll;
memset(&ll, 0, sizeof(ll));
int res;
while (1)
{
socklen_t rlen = sizeof(ll);
memset(&ll, 0, sizeof(ll));
ll.sll_family = AF_PACKET;
res = recvfrom(socket, data, data_size, 0,(struct sockaddr *)&ll,&rlen);
if (res<=0)
break;
if (ll.sll_ifindex == if_id)
break;
}
if (res < 0)
{
perror("recvfrom");
return -1;
}
return res;
}
В оригинале там зактомменчен цикл do while, но с ним почемто не работало, сделал while(1) - некрасиво, зато работает :) . Если функцию не поправить, то будут конфликты с авторизацией 802.1x по wifi.
m0xf
Супер! Спасибо за объяснения! Очень тяжело было найти концы проблемы, так как не мог наблюдать ее у себя.
У меня остался только один вопрос - почему в driver_init() ты в drv->ifr.ifr_name записываешь "eth0" а не "vlan1"?
У меня остался только один вопрос - почему в driver_init() ты в drv->ifr.ifr_name записываешь "eth0" а не "vlan1"?
robo.c вообще почти полностью списан из wpa supplicant, там какраз и происходит то конфигурирование свитча для приёма нужных пактов. Производится запись в некие регистры, что точно там происходит трудно сказать, спецификации broadcom не открывает :(. Как я понял eth0 используется по тому, что он связан с драйвером, через который происходит обращение к регистрам свитча. Более того, после такой "конфигурации", пакеты с mac адресом 0180c2000003, которые приходят в wan порт, прилетают не на vlan1, а на eth0. Выбор vlan с которого принимаются пакты авторизации производится в driver_init, туда передаётся нужный vlan.
Вот такой сюрприз от broadcom... Возможно можно както сделать, чтобы работа с диапазоном mac адресов 0180c2000000-0180c20000FF была прозрачна для программ, и добавить это в драйвер сетевой карты, но без спеков это проблемотично.
Corvus Corax
25-02-2009, 18:10
Всё это замечательно конечно... но кто-нибудь может просто скомпилить свежий суппликант с этим CONFIG_DRIVER_ROBOSWITCH и дать потестить?
m0xf
Еще раз огромное спасибо за разжевывание проблемы! Похоже в Broadcom'е, так же как и я, не прочитали стандарт EAP :D
Corvus Corax
Либо наберись терпения, либо разворачивай сборочный стенд сам. А то твоя фраза звучит как "Ну кто-нибудь может просто подарить мне лимон баксов?"
wpa supplicant имеет несколько проблем (по крайней мере на dd-wrt), описаны по ссылке ниже, такчто просто собрать будет мало, надо править код.
Похоже в Broadcom'е, так же как и я, не прочитали стандарт EAP :D
Да нет, они его читали, поофигевали и решили выпендриться. Во многих чипах-комутаторах в описании значится "Supports 802.1x for network security".
wpa supplicant имеет несколько проблем (по крайней мере на dd-wrt), описаны по ссылке ниже, такчто просто собрать будет мало, надо править код.
Каких проблем?
Я собрал версию с конфигурированием свитча:
http://oleg.wl500g.info/8021x/wpa_supplicant.robo
В скрипте нужно поправить вызов и заменить wired на roboswitch.
Хедеры ядра править не надо. Просто этот человек не умеет их готовить. :) В супликанте всё ещё проще, нужно перенести #include "common.h" выше чем инклюды из ядра.
Я могу перенести весь код конфигурирования в ядро, но не знаю, насколько это оправдано. Собственно, мне с самого начала не нравилась идея конфигурирования свитча в режиме ядра, поэтому я писал robocfg, из которого nbd потом сделал ядерный модуль.
Что касается поддержки в свитче, то тут, думаю всё просто. Броадком считал, что свитч будет использоваться авторизатором, а не супликантом, как получается у нас.
Каких проблем?
"mac адрес для авторизации берётся у интерфейса eth0 а весь остальной трафик идёт от mac адреса vlan1, изза этого у меня не работает интернет, также при ошибках авторизации\переавторизации не обновляется ip"
Так. Стоп. Этот патч, что в супликанте действительно не годится. Он расчитывает, что vlanы называются eth0.x . Вот это действительно неправильно.
Свитч же в действительности сидит всегда на eth0, поэтому нужно это дело слегка подкрутить...
Я могу перенести весь код конфигурирования в ядро, но не знаю, насколько это оправдано.
Олег, а у тебя есть дока на свитч? Насколько это правильный вариант, не ломает ли попутно он еще чего?
И ваще, потом он добавляет порт процессора в этот VLAN, что нам точно делать не надо, т.к. он уже добавлен. В общем это всё заточено под конкретный конфиг openwrt...
Ааа... Нужно переделывать. :)
Олег, а у тебя есть дока на свитч? Насколько это правильный вариант, не ломает ли попутно он еще чего?
Нет конечно. :) Из этого кода, который там, нужно полностью выкинуть работу с VLANами. А вот ARL можно смело трогать. Его, насколько помню, вообще никто не конфигурирует, за исключением какой-то версии драйвера (но не помню какой).
У меня с самого начала был только заголовочный файл, который был в сорцах Делюкса, ну и исходники модуля et. :)
Однако, с год назад на просторах интернета нашёлся даташит на bcm5365p и там кое-что есть. Хотя свитчи слегка отличаются.
http://voodoowarez.com/bcm5365p.pdf
Однако отладка без действующего 802.1x мне с трудом представляется.
В виде исключения можно было бы прописать запись ARL прямо при инициализации VLANов в et и после этого использовать драйвер wired.
Corvus Corax
25-02-2009, 19:47
Так. Стоп. Этот патч, что в супликанте действительно не годится. Он расчитывает, что vlanы называются eth0.x . Вот это действительно неправильно.
Только хотел это сказать, снабдив красочным логом :) ... не успел.
В общем это всё заточено под конкретный конфиг openwrt...
Угу.
В общем реализация этого дела слегка затягивается. :) Ждите или меняйте роутер на 500w.
Нет конечно. :)
А китайцы не дадут? у них же должен быть? :eek:
Из этого кода, который там, нужно полностью выкинуть работу с VLANами. А вот ARL можно смело трогать. Его, насколько помню, вообще никто не конфигурирует, за исключением какой-то версии драйвера (но не помню какой).
Ты хочешь сказать что достаточно поправить таблицу "ARL Table for Multicast MAC Address"?
Corvus Corax
25-02-2009, 20:00
В общем реализация этого дела слегка затягивается. :) Ждите или меняйте роутер на 500w.
Я уж лучше подожду, а то не хорошо получится - роутер дареный :) . Погляжу пока по OpenWRT поподробней, вруг заработает :)
А китайцы не дадут? у них же должен быть? :eek:
Я просил, когда делал VLANы на 500w. Не дали. Причём просил не я, а российский АСУС, вполне заинтересованный во всём этом.
Ты хочешь сказать что достаточно поправить таблицу "ARL Table for Multicast MAC Address"?
Судя по коду - да. Возможно, что у этого человека был даташит нормальный. Там нужного кода всего несколько строчек, если тащить в et...
Corvus Corax
27-02-2009, 22:46
На OpenWRT свежий суппликант (с roboswitch) действительно работает :)
Логи работы на 1.9.2.7-d (железка WL-500GP) модифицированного lly eapd и его же варианта wpa_supplicant лежат в аттаче.
Как минимум, пакеты RX EAPOL уже проходят. А вот почему авторизация обламывается, надо разбираться. Надеюсь, логин/пароль правильные прописаны?
Можешь прислать wpa_supplicant-*.conf из OpenWRT (без пароля естественно)?
Corvus Corax
30-03-2009, 12:43
Как минимум, пакеты RX EAPOL уже проходят. А вот почему авторизация обламывается, надо разбираться
Это не является новым результатом - RX (и очень похожий) у меня был и 2 года назад, и так же без успешной авторизации. То есть, вероятно, исходная причина не устранена. Хотя и велика вероятность, что я ошибаюсь - уж очень давно это было.
Можешь прислать wpa_supplicant-*.conf из OpenWRT (без пароля естественно)?
Есть варианты, как вытащить файл из .trx?
Это не является новым результатом - RX (и очень похожий) у меня был и 2 года назад, и так же без успешной авторизации.
В предыдущем письме (http://wl500g.info/showpost.php?p=133787&postcount=13) есть только TX, RX не наблюдается. В любом случае, надо еще думать.
Есть варианты, как вытащить файл из .trx?
Он должен формироваться динамически при запуске, поищи в /var/run
Corvus Corax
30-03-2009, 13:03
В предыдущем письме есть только TX, RX не наблюдается Я говорил про OpenWRT с которого (у меня) всё и началось. Было это года 2 назад. К сожалению, лога с того времени не сохранилось.
Он должен формироваться динамически при запуске, поищи в /var/run Вы меня не верно поняли - у меня есть backup рабочей прошивки, и мне надо из него достать конфиг, не прошивая её в железку. Хотя ладно, если Вам надо дня 2-3 на подробный разбор суппликанта, то пока снесу 1.9.2.7-d
Хотя ладно, если Вам надо дня 2-3 на подробный разбор суппликанта, то пока снесу 1.9.2.7-d
Есть один быстрый вариант, но который скорее всего не заработает. Поменяй в скрипте запуска eth0 на vlan1.
Всё остальное я буду пытаться тестировать сперва у себя на hostapd (http://hostap.epitest.fi/hostapd/) (надо сперва его еще настроить).
Corvus Corax
30-03-2009, 14:24
Есть один быстрый вариант, но который скорее всего не заработает. Поменяй в скрипте запуска eth0 на vlan1
Уже прошился обратно на OpenWRT, поэтому хотелось бы проверять варианты, которые всё же должны работать по Вашему мнению.
Вот рабочий конфиг суппликанта:
ap_scan=0
network={
key_mgmt=IEEE8021X
eap=MD5
identity="user"
password="pass"
eapol_flags=0
}
и скрипт, его запускающий:
wpa_supplicant -Droboswitch -ieth0.1 -c/etc/wpa_supplicant.conf -dd -B -f/var/log/wpa.log
Скрипт писал без каких либо притензий на универсальность, зная что eth0.1 смотрит наружу, поэтому ногами не пинать :) .
Пересобрал wpa_supplicant (http://wl500g.info/showpost.php?p=132905&postcount=4). У меня на связке PC+hostapd <=> WAN роутера авторизовалось, можно пробовать.
Corvus Corax
31-03-2009, 19:42
Пересобрал wpa_supplicant (http://wl500g.info/showpost.php?p=132905&postcount=4). У меня на связке PC+hostapd <=> WAN роутера авторизовалось, можно пробовать.
Работает на ура :) !
Corvus Corax
Спасибо. Чуть доработал скрипт запуска и перевыложил на googlecode wpa_supplicant-0.6.9-mipsel (http://wl500g.googlecode.com/files/wpa_supplicant-0.6.9-mipsel.tgz)
скажите, в прошивке 1.9.2.7-10 он работает?
скажите, в прошивке 1.9.2.7-10 он работает?
нет, надо пересобирать отдельно под старую uClibc.
А у вас нет такой возможности? :)
fall3n
А то что собирал Олег ты пробовал? http://wl500g.info/showpost.php?p=134046&postcount=30
в качестве интерфейса (ключ -i) нужно указать eth0.1
fall3n
А то что собирал Олег ты пробовал? http://wl500g.info/showpost.php?p=134046&postcount=30
в качестве интерфейса (ключ -i) нужно указать eth0.1
спасибо
попробую с этим интерфейсом
вечером отпишусь:cool:
----- отписываюсь-----
это невероятно, работает! огромное спасибо :)
Initializing interface 'eth0.1' conf '/tmp/wpa_supplicant.conf' driver 'roboswitch' ctrl_interface 'N/A' bridge 'N/A'
Configuration file '/tmp/wpa_supplicant.conf' -> '/tmp/wpa_supplicant.conf'
Reading configuration file '/tmp/wpa_supplicant.conf'
ap_scan=0
Line: 2 - start of a new network block
key_mgmt: 0x8
eap methods - hexdump(len=16): 00 00 00 00 04 00 00 00 00 00 00 00 00 00 00 00
identity - hexdump_ascii(len=14):
6b 2d 70 6f 63 68 74 2d 35 30 61 2d 37 36 username
password - hexdump_ascii(len=8): [REMOVED]
eapol_flags=0 (0x0)
Priority group 0
id=0 ssid=''
Initializing interface (2) 'eth0.1'
wpa_driver_roboswitch_init: Added PAE group address to RoboSwitch ARL
Driver interface replaced interface name with 'eth0'
Own MAC address: 00:1f:c6:2a:01:55
RSN: flushing PMKID list in the driver
Setting scan request: 0 sec 100000 usec
EAPOL: SUPP_PAE entering state DISCONNECTED
EAPOL: KEY_RX entering state NO_KEY_RECEIVE
EAPOL: SUPP_BE entering state INITIALIZE
EAP: EAP entering state DISABLED
Added interface eth0
Daemonize..
конфиг вот такой:
#!/bin/sh
cat > /tmp/wpa_supplicant.conf << EOF
ap_scan=0
network={
key_mgmt=IEEE8021X
eap=MD5
identity="username"
password="password"
eapol_flags=0
}
EOF
./wpa_supplicant.robo -ieth0.1 -Droboswitch -c/tmp/wpa_supplicant.conf -dd -B
прошивка 1.9.2.7-10.7 (http://wl500g.info/showthread.php?t=18519), роутер WL500gpv2, интернет от http://belgorod.multinex.ru
А поподробней можно расписать? В линуксах я ламер, поэтому хотелось бы пошаговую инструкцию по установке суппликанта и сохранению настроек...
Здравствуйте, пока нет возможности закачать этот суппликант, скажите он будет работать на Linksys WRT54GL v1.1 (прошивка openWRT+xwrt)?
Здравствуйте, пока нет возможности закачать этот суппликант, скажите он будет работать на Linksys WRT54GL v1.1 (прошивка openWRT+xwrt)?
естественно нет --- надо компилить по новой.
Здесь никто никому ничем не обязан.
Если это не сложно - сделайте.
Понятно, что никто никому ничем не обязан и никому ничего не должен.
Объясню ситуацию. У меня длинк 320. В прошивке Олега много вкусностей, которые напрочь отсутствуют в родной. Перепрошил его в асус, и тут - опа, самое главное, что нужно для работы с моим провайдером, отсутствует. Ладно, откатился взад, на длинк. Курю форумы. Натыкаюсь на данную тему, все хорошо, только нифига непонятно, каким образом данные здесь рекомендации реализовать в железе. Хоть ссылками покидайтесь, что ли))
Corvus Corax
26-04-2009, 11:58
@Kvazi:
Ищите того, кто скомпилировал бы wpa_supplicant под Ваш вариант Oleg'овской прошивки или... а какую версию прошивки Вы использовали?
И что лично Вас не устраивает в родной DLink'ой прошивке (это так - для расширения кругозора :) )?
cepera_ugin
02-05-2009, 14:21
а под обычный WL-500Gp v2 таки расскажите пожалуйста какие кнопочки жать, а то вся прелесть запущеного провайдером 802.1х теряется? чтобы не скакать с ветки на ветку в поисках разных вопросов очень прошу.
Заранее пасибо.
Corvus Corax
06-05-2009, 18:48
а под обычный WL-500Gp v2 таки расскажите пожалуйста какие кнопочки жать, а то вся прелесть запущенного провайдером 802.1х теряется? чтобы не скакать с ветки на ветку в поисках разных вопросов очень прошу.
Заранее пасибо.
Скачиваете и устанавливаете прошивку WL500gpv2-1.9.2.7-d-r273.trx (http://wl500g.googlecode.com/files/WL500gpv2-1.9.2.7-d-r273.trx) (или что посвежее (http://code.google.com/p/wl500g/downloads/list)). Если же у Вас уже стоит 1.9.2.7-10.7, то имеет смысл попробовать сперва на ней.
Скачиваете wpa_supplicant-0.6.9-mipsel.tgz (http://wl500g.googlecode.com/files/wpa_supplicant-0.6.9-mipsel.tgz). Посредством, например, флешки заливаете архив в папку tmp на роутере:
- кидаете архив на флешку
- вставляете флешку в роутер
- проверяете, чтобы комп был подключен к роутеру через LAN-порт (любой), а провайдерский кабель торчал в WAN-порту
- открываете виндовую консоль cmd и... поехали:
# telnet 192.168.1.1
# mkdir /tmp/mnt
# mount /dev/раздел_на_флешке___к_сожалению_не_помню /tmp/mnt
# cd /tmp/mnt
# gzip -d wpa_supplicant-0.6.9-mipsel.tgz && tar -xf wpa_supplicant-0.6.9-mipsel.tar /
# cd /opt/bin/
# vi ./wpa_supplicant.sh
жмёте "i", вписываете в поля "identity" и "password" свои логин и пароль, жмёте Esc, затем ":", пишете "wq", жмёте Enter. На всякий пожарный делаете:
# chmod +x ./wpa_supplicant.sh
Запускаете суппликант:
# ./wpa_supplicant.sh
Должно всё заработать... в идеале :)
Если всё работает, то автоматизируем процесс запуска суппликанта:
# vi /opt/bin/wpa_supplicant.sh
жмёте "i" и добавляете "-B" в строку запуска суппликанта:
/opt/sbin/wpa_supplicant -i${IFNAME} -Droboswitch -c${CONF} -dd -B
жмёте Esc, затем ":", пишете "wq", жмёте Enter.
# vi /usr/local/sbin/post-boot
жмёте "i" и пишете:
#!/bin/sh
/opt/bin/wpa_supplicant.sh
жмёте Esc, затем ":", пишете "wq", жмёте Enter.
Делаем скрипт post-boot исполняемым:
# chmod +x /usr/local/sbin/post-boot
Сохраняете изменения в ФС:
# flashfs save && flashfs commit && flashfs enable
Перезагружаете роутер:
# reboot
Теперь инет должен благополучно подниматься сам.
P.S.: У кого есть возможность проверить данный алгоритм на 1.9.2.7-d и достаточно знаний, прошу внести в него соответствующие изменения и написать их мне в личку :)
@Kvazi:
Ищите того, кто скомпилировал бы wpa_supplicant под Ваш вариант Oleg'овской прошивки или... а какую версию прошивки Вы использовали?
И что лично Вас не устраивает в родной DLink'ой прошивке (это так - для расширения кругозора :) )?
Спасибо. Знакомый дока-линуксоид имеется, надеюсь, поможет))
Прошивку заливал 1.9.2.7-d, с этого форума. В родной прошивке, по большому счёту, не устраивают два момента - невозможность поднять мощность передатчика, хотя запас имеется, и нерациональное использование USB: принт-сервер у меня уже есть, поскольку принтер ЛПТ, а USB хотелось бы использовать как многофункциональную дыру, а не только для подключения принтера. Если D-Link разродится прошивкой с поддержкой внешних дисков, то, в принципе, хуже не будет.)) А в планах моддинг с подключением хоста с внешним питанием, да и в сторону DD-WRT стал посматривать, там, вроде, проблему с 802.1х по WANу решили.
Corvus Corax
13-05-2009, 05:13
Прошивку заливал 1.9.2.7-d, с этого форума.
Если так, то можете использовать этот суппликант: wpa_supplicant-0.6.9-mipsel.tgz (http://wl500g.googlecode.com/files/wpa_supplicant-0.6.9-mipsel.tgz). И при установке можно попробовать руководствоваться инструкцией из моего предыдущего поста :) .
Да и в сторону DD-WRT стал посматривать, там, вроде, проблему с 802.1х по WANу решили.
Угу, вроде как довольно давно там реализовали поддержку 802.1x.
Если так, то можете использовать этот суппликант: wpa_supplicant-0.6.9-mipsel.tgz (http://wl500g.googlecode.com/files/wpa_supplicant-0.6.9-mipsel.tgz). И при установке можно попробовать руководствоваться инструкцией из моего предыдущего поста :) .
Спасибо за инструкции. Они помогли решить проблему. Правда, с 7-d прошивкой не пошло, сейчас пишу из-под 1.9.2.7-10.7.
Огромное спасибо за проделанную работу!!!Наконец-то смогу использовать роутер по назначению!
Corvus Corax, Ваша инструкция вполне рабочая, правда, в немного измененном виде. Но википедии вполне хватило, чтобы исправить недочеты человеку второй раз столкнувшемуся с Линуксом...
Однако, в для выхода в инет после каждого ребута роутера надо заново запускать супликант, а при закрытии телнет сессии инет сразу же обрубается.
Буду безумно благодарен, если подскажете как решить эти проблемы.
Роутер WL500gPv2.
Огромное спасибо за проделанную работу!!!Наконец-то смогу использовать роутер по назначению!
Corvus Corax, Ваша инструкция вполне рабочая, правда, в немного измененном виде. Но википедии вполне хватило, чтобы исправить недочеты человеку второй раз столкнувшемуся с Линуксом...
Однако, в для выхода в инет после каждого ребута роутера надо заново запускать супликант, а при закрытии телнет сессии инет сразу же обрубается.
Буду безумно благодарен, если подскажете как решить эти проблемы.
Роутер WL500gPv2.
ну например, так:
1. создаем там, куда скопировали суппликант, файл start.sh
#!/bin/sh
cd [путь к нашему файлу]
./wpa_supplicant.robo -ieth0.1 -Droboswitch -c./wpa_supplicant.conf -dd -B
2. создаем файл /usr/local/sbin/post-boot и прописываем там
start.sh
3. не забываем сделать оба файла исполняемыми - chmod +x /usr/local/sbin/post-boot
chmod +x /tmp/local/opt/start.sh
4. flashfs save && flashfs commit && flashfs enable && reboot
Спасибо. Вечером обязательно попробую, но возникла пара глупых вопросов:
1. что написать в файле post-boot, чтобы "прописать" там start.sh? post-boot это ссылка на start.sh?
Я делал на 7-d прошивке. И насколько я помню в архиве с супликантом не было никакого wpa_supplicant.robo... Он входит в саму прошивку?
Спасибо. Вечером обязательно попробую, но возникла пара глупых вопросов:
1. что написать в файле post-boot, чтобы "прописать" там start.sh? post-boot это ссылка на start.sh?
Я делал на 7-d прошивке. И насколько я помню в архиве с супликантом не было никакого wpa_supplicant.robo... Он входит в саму прошивку?
1. ну, post-boot это список команд, исполняющихся (сюрприз!) после загрузки. Если указать в нем ссылку на исполняемый файл (естественно, полную), тот запустится.
2. У суппликанта много версий. методом научного тыка у меня запустился на той же прошивке именно *-robo. Его можно найти где-то в этой теме.
Hint: Тем же методом выяснил, что все положенное на встроенную флешку (напр. по пути /tmp/local/) после сохранения (flashfs save...) и перезагрузки можно найти по адресу /usr/local. Так что кладя файл в tmp указывайте пути для автозагрузки в /usr/local
А откуда система знает что post-boot надо запустить, если его там не было? У меня даже папки /usr/local/sbin не было. В общем, ничегошеньки не получилось. В post-boot я вбил строку "/opt/bin/wpa_supplicant.sh" т.к. запуск именно этого файла без каких-либо параметров запускает работу суппликанта по инструкции Corvus Corax. После ребута инет не работает, в процессах суппликанта нет. По завершении телнет сессии инет отваливается, если ее возобновить инет не появляется, но идет процесс "181 admin 1160 S /opt/sbin/wpa_supplicant -ieth0.1 -Droboswitch -c/tmp". Повторный запуск /opt/bin/wpa_supplicant.sh Дает попасть в инет.
Единственный wpa_supplicant.robo который я видел на форуме, дан Олегом для прошивки 1.9.2.7-10.7. Наверное буду перешиваться...
И еще один вопрос. У меня телнет с одного компа запускается(с того на котором я перепрошивал), а с другого нет, все время пишет:
C6498755 login: ^A
Подключение к узлу утеряно
Пару раз получилось выйти через Putty
Как мне узнать в чем проблема?
------------------------------------------------
Как говорится утро вечера мудренее)снизашло на меня озарение, что в opt у меня вмонтирована флэха)))перенес ссылку в пост-маунт и вуаля. Только я вот не понимаю, почему при живом процессе супликанта инет не работал?
Corvus Corax
27-07-2009, 08:47
to bemuzie:
Чтобы суппликант не умирал при закрытии telnet-сессии, его надо запускать как демон. Для этого лезте в скрипт wpa_supplicant.sh и
добавляйте там ключь -B:
/opt/sbin/wpa_supplicant -i${IFNAME} -Droboswitch -c${CONF} -dd -B
В post-boot не надо писать никакой start.sh, туда достаточно вписать сам wpa_supplicant.sh:
#!/bin/sh
/opt/bin/wpa_supplicant.sh
P.S.: После всех манипуляций с файловой системой обязательно делайте:
flashfs save && flashfs commit && flashfs enable
to Corvus Corax:
А не встречались с ситуацией, когда демон supplicant не работает без Lan-соединения (только с беспроводным)?
Corvus Corax
28-07-2009, 10:37
to Corvus Corax:
А не встречались с ситуацией, когда демон supplicant не работает без Lan-соединения (только с беспроводным)?
Нет, не встречался и на данный момент нет возможности проверить.
К тому же, я использую OpenWRT, а не Oleg'овскую прошивку.
Попробуйте в wpa_supplicant.sh прописать "-ieth0.1" вместо "-i${IFNAME}".
AsusMan99
10-08-2009, 14:51
Работает на ура :) !
У меня тоже все работает (МКС Балашихи), большое спасибо!
Sibiryak
21-08-2009, 15:44
У меня wl-500w, собрался менять провайдера, но у нового провайдера требования, чтобы маршрутизатор поддерживал протокол 802.1х и шифрование MD5. Ни где не нашел в описание к своему маршрутизатору, что он соответствует данным требованиям или не соответствует. Помогите, пожалуйста, разобраться в данном вопросе. Заранее благодарю за ответы
...у нового провайдера требования, чтобы маршрутизатор поддерживал протокол 802.1х и шифрование MD5.
Ни где не нашел ...
Давайте мах на мах. Я Вам -- ссылки, а Вы мне объясните (просто интересно) -- почему Вы не хотите пользоваться поиском по форуму и создаете новую тему, а не пишите в темах, где это обсуждается?
http://wl500g.info/showthread.php?t=18521
http://wl500g.info/showthread.php?t=5360
Sibiryak
21-08-2009, 23:20
Давайте мах на мах. Я Вам -- ссылки, а Вы мне объясните (просто интересно) -- почему Вы не хотите пользоваться поиском по форуму и создаете новую тему, а не пишите в темах, где это обсуждается?
http://wl500g.info/showthread.php?t=18521
http://wl500g.info/showthread.php?t=5360
Огромное спасибо за ссылки, но, к сожалению, все что написано в данных постах для меня полнейшая тарабарщина (потому как я в программировании полный баран и даже если б у меня была полная инструкция как сделать, чтобы все заработало, я бы не полез, потому как боюсь вещь испортить). И разговор ведется, насколько я понял, про GP, а не про W серию. Поэтому вопрос про поддержку алгоритма MD5 у меня таки остался открытым :confused:. Но все равно спасибо.
Без "тарабарщины" не получится. И речь (по ссылкам) идет, как на 500GP запустить MD5, основываясь на том, что на 500W MD5 заработало.
Прошу сильно не пинать, я чайник со свистком в линухе.... Форум читал, не помогает. Вся надежда только на Вас, уважаемые ГУРУ.
Имеется Asus WL-520GU, прошил его 1.9.2.7-10.7. Провайдер использует EAP-MD5 аутентификацию.
Как установить и запустить суппликант wpa_supplicant-0.6.9-mipsel.tgz на данном роутере?
Если можно, дайте пожалуйста пошаговую инструкцию. Очень уж хочется использовать прошивку от Олега.
На предыдущей странице есть пост #65 с инструкцией. Что вы сделали из этой инструкции? И что у вас не получилось?
mkdir /tmp/mnt - - говорит уже есть подобное, но это не главное...
mount /dev/раздел_на_флешке___к_сожалению_не_помню /tmp/mnt - флешка монтируется
gzip -d wpa_supplicant-0.6.9-mipsel.tgz && tar -xf wpa_supplicant-0.6.9-mipsel.tar / - а вот тут при установке ошибка и тупик на этом.
mount /dev/раздел_на_флешке___к_сожалению_не_помню /tmp/mnt - флешка монтируетсяПриводите команды, как вы их выполняете.
Для корректного выполнения следующей команды вам нужно, чтобы был смонтирован раздел /opt. Если вы уже смонтировали раздел /opt, то пропускайте эту команду и сразу же переходите к gzip. Распаковать также можно и с помощью mc
В том то и проблема что грабли при выполнении команды gzip
В том то и проблема что грабли при выполнении команды gzipЧто у вас выдает команда mount ?
флешка автоматом смонтировалась /tmp/mnt комада gzip выдает No such file оr directory
И все на этом тупик. Подскажите как смонтировать раздел /opt
Уважаемый Basile!
Вроде с горем пополам разобрался, инет запустился. Осталась последняя проблема, не сохраняется post-boot.
Пишет что "usr/local/sbin/post-boot" No such file or directory
duremar9
15-02-2010, 09:49
Уважаемые Guru подскажите как правильно выполнить эту команду:
# mount /dev/раздел_на_флешке___к_сожалению_не_помню /tmp/mnt
т.е. что именно надо подставить вместо: "раздел_на_флешке___к_сожалению_не_помню"
прошу отнестись снисходительно, в линуксе второй день:confused:
Corvus Corax
22-02-2010, 06:18
Осталась последняя проблема, не сохраняется post-boot. Пишет что "usr/local/sbin/post-boot" No such file or directory
Закономерный вопрос... а существует ли у Вас директория "/usr/local/"? Проверяем:
# ls -la /usr/
Если среди выдачи "local" нету, то создаём:
# mkdir -p /usr/locale/sbin
Ну а потом делаем как тут (http://wl500g.info/showpost.php?p=144369&postcount=65), начиная с места:
# vi /usr/local/sbin/post-boot
Уважаемые Guru подскажите как правильно выполнить эту команду:
# mount /dev/раздел_на_флешке___к_сожалению_не_помню /tmp/mnt
т.е. что именно надо подставить вместо: "раздел_на_флешке___к_сожалению_не_помню"
Например в моём OpenWRT, полный путь к разделу на флешке выглядит как "/dev/discs/disc0/part1".
Как оно выглядит в прошивке Олега, я не помню. Товарищ s001 говорит, что у него флешка примонтировалась автоматически в директорию "/tmp/mnt". Так что, ищите там:
# ls -la /tmp/mnt/
Если пусто, то ищите на форуме по ключевым словам "монтирование флешки". Первое похожее на правду устройство - "/dev/scsi/host0/bus0/target0/lun0/part1".
Sh@doW952
07-12-2010, 19:01
Мой старый должок, надеюсь, это актуально.
В общем, сам я мало чего уже помню, но к счастью, сохранился и бинарник и исходники и даже скрипт, который я когда-то писал.
Всё лежит здесь:
http://oleg.wl500g.info/8021x/
Что нужно для пользования.
Загрузить и сохранить во flashfs бинарник и скрипт пускач:
cd /usr/local/sbin
wget http://oleg.wl500g.info/8021x/wpa_supplicant
wget http://oleg.wl500g.info/8021x/wpa_supplicant.sh
chmod +x http://oleg.wl500g.info/8021x/wpa_supplicant*
поправить wpa_supplicant.sh редактором, а именно вписать свой логин и пароль вместо user и passwd:
#!/bin/sh
cat > /tmp/wpa_supplicant.conf << EOF
ap_scan=0
network={
key_mgmt=IEEE8021X
eap=MD5
identity="user"
password="passwd"
eapol_flags=0
}
EOF
./wpa_supplicant -i$(nvram get wan_ifname) -Dwired -c/tmp/wpa_supplicant.conf -dd
После этого сохранить flashfs и попробовать запустить скрипт. Я уже не помню, что будет дальше, он на консоль пишет отладочную информацию или в лог.
Пишите здесь о результатах. :) Добавлю в ФАК результат. Сам покопаюсь ещё в старой переписке, где я давал инструкции на этот счёт. :D
как это правильно сделать ? подскажите пожалуйста !
Вот такой результат. Точнее как я понял его полное отсутвие
Помогите советом пожалуйста по настройке 802.1x на ASUS RT-N16 1.9.2.7-rtn-r2455
[admin@RT-485B39E80DC5 local]$ ./wpa_supplicant -i$(nvram get wan_ifname) -Dwired -c/tmp/wpa_supplicant.conf -dd
Initializing interface 'vlan2' conf '/tmp/wpa_supplicant.conf' driver 'wired' ctrl_interface 'N/A' bridge 'N/A'
Configuration file '/tmp/wpa_supplicant.conf' -> '/tmp/wpa_supplicant.conf'
Reading configuration file '/tmp/wpa_supplicant.conf'
ap_scan=0
Line: 2 - start of a new network block
key_mgmt: 0x8
eap methods - hexdump(len=16): 00 00 00 00 04 00 00 00 00 00 00 00 00 00 00 00
identity - hexdump_ascii(len=7):
41 44 56 32 30 31 30 [REMOVED]
password - hexdump_ascii(len=8): [REMOVED]
eapol_flags=0 (0x0)
Priority group 0
id=0 ssid=''
Initializing interface (2) 'vlan2'
wpa_driver_wired_init: Added multicast membership with packet socket
Own MAC address: 48:5b:39:e8:0d:c5
RSN: flushing PMKID list in the driver
Setting scan request: 0 sec 100000 usec
EAPOL: SUPP_PAE entering state DISCONNECTED
EAPOL: KEY_RX entering state NO_KEY_RECEIVE
EAPOL: SUPP_BE entering state INITIALIZE
EAP: EAP entering state DISABLED
Added interface vlan2
EAPOL: External notification - EAP success=0
EAPOL: External notification - EAP fail=0
EAPOL: External notification - portControl=Auto
Already associated with a configured network - generating associated event
Association info event
State: DISCONNECTED -> ASSOCIATED
Associated to a new BSS: BSSID=01:80:c2:00:00:03
No keys have been configured - skip key clearing
Select network based on association information
Network configuration found for the current AP
EAPOL: External notification - EAP success=0
EAPOL: External notification - EAP fail=0
EAPOL: External notification - portControl=Auto
Associated with 01:80:c2:00:00:03
EAPOL: External notification - portEnabled=0
EAPOL: External notification - portValid=0
EAPOL: External notification - portEnabled=1
EAPOL: SUPP_PAE entering state CONNECTING
EAPOL: SUPP_BE entering state IDLE
EAP: EAP entering state INITIALIZE
EAP: EAP entering state IDLE
Cancelling scan request
EAPOL: startWhen --> 0
EAPOL: SUPP_PAE entering state CONNECTING
EAPOL: txStart
TX EAPOL: dst=01:80:c2:00:00:03
TX EAPOL - hexdump(len=4): 01 01 00 00
EAPOL: startWhen --> 0
EAPOL: SUPP_PAE entering state CONNECTING
EAPOL: txStart
TX EAPOL: dst=01:80:c2:00:00:03
TX EAPOL - hexdump(len=4): 01 01 00 00
EAPOL: idleWhile --> 0
EAP: EAP entering state FAILURE
CTRL-EVENT-EAP-FAILURE EAP authentication failed
EAPOL: SUPP_PAE entering state AUTHENTICATING
EAPOL: SUPP_BE entering state FAIL
EAPOL: SUPP_PAE entering state HELD
EAPOL: SUPP_BE entering state IDLE
EAPOL authentication completed unsuccessfully
EAPOL: startWhen --> 0
EAPOL: heldWhile --> 0
EAPOL: disable timer tick
EAPOL: SUPP_PAE entering state CONNECTING
EAPOL: enable timer tick
EAPOL: SUPP_PAE entering state AUTHENTICATING
EAPOL: SUPP_BE entering state FAIL
EAPOL: SUPP_PAE entering state HELD
EAPOL: SUPP_BE entering state IDLE
EAPOL authentication completed unsuccessfully
EAPOL: startWhen --> 0
.
UP! Тема акктуальна для провайдера WNET киев. Есть ли ктото их этой домосети кто решил этот вопрос. Пожалуйста помогите.
Добрый день.
Приобрел сей девайс и дома выяснил, что он не поддерживает авторизацию по 802.1x (или я все таки ошибаюсь?), а у моего провайдера (МКС) только так:(. Можно эту ситуацию поправить какой-нибудь другой прошивкой?
Заранее спасибо.
Привет!
Мне очень нужна низкоуровневая информация о BCM53115. Точнее, информация о том, как заставить этот свич не фильтровать мультикаст-пакеты. Сориентируйте меня в поисках, пожалуйста.
Я готов поэкспериментировать с маршрутизатором и попытаться выпустить патч к драйверу или к wpa_supplicant (в моём случае), чтобы решить проблему, но я не могу найти информацию, от которой можно было бы оттолкнуться -- а опыта в этих делах у меня маловато.
Готов пообщаться, в том числе, в режиме чата (IRC, Jabber/XMPP, ...).
В общем-то, я надеюсь, что мне достаточно решить проблему с мультикастами, остальное -- дело техники... Тем не менее, для интересующихся опишу свою конкретную проблему, чтобы было ясно, зачем мне дались эти мультикасты -- и в чём моя конечная цель :)
Моя конкретная проблема описана (англ.) в списке рассылки HostAP [1]. Там я пока не получил ответа. Итак:
От свича провайдера приходят пакеты на MAC-адрес 01:80:c2:00:00:03 (когда авторизуюсь из-под Windows XP (+Wireshark) их видно). BCM53115 этих пакетов не видит совсем (причём он видит некоторые другие мультикаст-пакеты, но этих как будто и нет вовсе).
Не видя этих пакетов, мой роутер (RT-N16) не может авторизоваться на ethernet-линке к провайдеру (802.1x, EAP-MD5 -- видимо, редко кто из провайдеров использует, поэтому я с проблемой один-на-один, практически).
История:
"Родное" firmware от ASUS не имеет такой опции авторизации.
Пробовал Tomato USB + wpa-supplicant (Optware). wpa-supplicant перекомпилировал с драйверами wired и roboswitch. Позже пропатчил также последнюю (0.7.3) версию wpa-supplicant, чтобы заставить её работать в этой конфигурации... Но мою проблему это не решило.
Стал копаться в исходниках драйвера roboswitch (wpa_supplicant), понял, что специфика BCM53115 там не учитывается.
В исходниках wl500g обнаружил упоминания о 53115 -- и попробовал установить свежую версию [2]. Результат тот же -- нужных мне мультикастов не видно.
В моих экспериментах пробовал, в том числе:
- Добавлял явно MAC-адрес в таблицу мультикастов (link-level multicasts):
ip maddr add '01:80:c2:00:00:03' dev 'eth0'
tcpdump -nn -i'eth0' 'ether host 01:80:c2:00:00:03'
- Включал флаги allmulticast и promisc:
ip link set eth0 allmulticast on
ip link set eth0 promisc on
- Экспериментировал как с eth0 (802.1q инкапсуляция, все пакеты на физическом интерфейсе),
так и vlan2 (без 802.1q, в пределах одного VLAN-а).
Буду благодарен за любую подсказку или помощь.
Михаил.
[1] http://lists.shmoo.com/pipermail/hostap/2011-March/022871.html
Описание (англ.) моей проблемы в списке расылки HostAP.
[2] http://wpte.kicks-ass.net/downloads/Oleg%20Firmware/RT-N16%20builds
Сайт, откуда я скачал RT-N16-1.9.2.7-rtn-r2845.trx.
--
Michael V. Antosha
http://identi.ca/mivael
xmpp:mivael@jabber.org
Господа разработчики, а может стоит добавить в RTN прошивку и веб-мордочку аутентификацию 802.1x для WAN? Конечно вариант не самый распространенный, но явно чаще встречающийся чем BigPond, да и судя по форуму людей не мало страдает...
Спасибо, что перенесли мой пост [1] в ветку про 802.1x. Прочёл всю ветку. Думаю, что теперь лучше, чем раньше, представляю себе историю проблемы.
Особенность моего положения состоит в маршрутизаторе: ASUS RT-N16.
В данной ветке он ни разу не упоминается, за исключением поста adv75 [3], который остался без ответа.
Особенность RT-N16, в свою очередь, в том, что он оснащён новым (гигабитным) свичом BCM53115. Этот свич тоже в ветке не упоминается (он упоминается в ветке [2], именно поэтому я помещал свой предыдущий пост туда).
Насколько я понимаю:
- Этот свич существенно отличается от предыдущих "собратьев". Что делает невозможным решить мою проблему предложенными в этой ветке способами.
- Проблема может быть решена либо патчем к roboswitch-драйверу пакета wpa-supplicant, учитывающем аппаратные особенности BCM53115.
- Либо проблема может быть решена патчем к сетевому драйверу "et" (учитывающем особенности 53115) -- в этом случае можно будет использовать wired-драйвер пакета wpa-supplicant вместо roboswitch.
В любом случае для решения проблемы в разумные сроки необходимо:
а) RT-N16, с которым можно экспериментировать
б) инфраструктура для wired 802.1x авторизации в режиме supplicant
в) информация о BCM53115
г) как можно более подробная информация о том, каким образом разработчик решал эту проблему для более старых свичей (какие эксперименты проводил в условиях недостатка информации от Broadcom, как удалось добиться положительного результата и проч.)
д) навыки программирования в linux
е) решимость закрыть этот вопрос -- и помочь этим другим людям, которые сталкиваются/столкнутся с подобной проблемой
У меня есть (а), (б), (д), (е).
Правда, с (а) могут возникнуть проблемы: если мне не удастся решить проблему в скором времени, мне придётся продать маршрутизатор и купить более "покладистый" :)
Но пока что я полон решимости и оптимизма в данном вопросе.
С (в) и (г), к сожалению, всё плохо.
Если кто-то сможет помочь мне с ними -- ну, хотя бы с (г) -- то, возможно, мне удастся решить эту проблему, осчастливив таким образом себя, равно как всех тех обладателей RT-N16, которым счастливыми мешает стать отсутствие такого функционала как 802.1x авторизация на ethernet-линке в режиме supplicant :)
Меня с моей конкретной проблемой (роутер несколько месяцев лежит мёртвым грузом) интересуют любые варианты решения -- в том числе обходные. Лишь бы заработало. В том числе, например, вариант с флагом allmulticast, если известен способ, как заставить его заработать.
Если кто-то знает, что данная проблема решена в какой-то другой прошивке (и именно для RT-N16 или BCM53115), дайте знать, пожалуйста.
[1] http://wl500g.info/showpost.php?p=228516
Мой предыдущий пост в этом форуме (перенесен из другой ветки [2]).
[2] http://wl500g.info/showthread.php?t=19057
Ветка "RT-N16", из которой моё предыдущее сообщение было перенесено.
[3] http://wl500g.info/showpost.php?p=221890
Пост моего "брата по несчастью" :)
--
Michael V. Antosha
http://identi.ca/mivael
xmpp:mivael@jabber.org
Мой пост [1] был перенесен отсюда (ветка "RT-N16") в ветку про 802.1x [2].
Для ссылочности всё же хочу оставить небольшое сообщение здесь, тем более, что моя проблема специфична для RT-N16 и предлагаемые в [2] решения проблему на сегодняшний день не могут устранить.
Кроме того, в ветке [2] нет ни одного упоминания о свиче BCM53115, а в данной ветке они есть.
Всё это вместе наводит меня на мысль, что мой вопрос вполне соответствует тематике данной ветки.
Пожалуйста, если вы владеете информацией о "внутренностях" BCM53115 или знанием о возможных способах эту информацию добыть, обратите, пожалуйста внимание на соседнюю ветку. Спасибо.
[1] http://wl500g.info/showpost.php?p=228516
Мой пост, который был перенесён в ветку про 802.1x [2].
[2] http://wl500g.info/showthread.php?t=5360
Ветка "802.1x авторизация у провайдера", в которую перенесено моё сообщение [1].
[3] http://wl500g.info/showpost.php?p=228570
Дополнение к первому [1] посту.
--
Michael V. Antosha
http://identi.ca/mivael
xmpp:mivael@jabber.org
Пожалуйста, если вы владеете информацией о "внутренностях" BCM53115 или знанием о возможных способах эту информацию добыть, обратите, пожалуйста внимание на соседнюю ветку.
Если бы вы внимательно почитали форум, то обнаружили бы, что Broadcom не распространяет доки на чипы. И вся информация что есть, вынимается из GPL дистрибутивов различных производителей и при помощи реверсинга.
А wpa_supplicant с поддержкой старого roboswitch 5325 не работает на 53115? Проверял?
Если бы вы внимательно почитали форум, то обнаружили бы, что Broadcom не распространяет доки на чипы. И вся информация что есть, вынимается из GPL дистрибутивов различных производителей и при помощи реверсинга.
Да, я читал об этом, конечно. Может, мне повезёт, и я буду как раз тем человеком, который немного прольёт свет на BCM53115 :)
Сейчас у меня есть для этого и оборудование, и время. Но на начальном этапе мне нужна помощь.
У меня есть пара исходников тех самых "GPL-дистрибутивов", я их изучаю с разных сторон, но мне не хватает опыта, чтобы продвинуться дальше.
Возможно, мне помог бы совет опытного товарища. А дальше, глядишь, и сам бы разобрался, что к чему.
Ведь этот процесс кто-то уже проходил с 5325, было бы здорово получить хотя бы направление, в котором более эффективно "копать".
Если кто-то опытный может пообщаться со мной в IRC/XMPP, возможно, это сдвинуло бы дело с мёртвой точки.
И ещё вопрос: реверсинг BLOB-ов имеется ввиду?
А wpa_supplicant с поддержкой старого roboswitch 5325 не работает на 53115? Проверял?
Да, пробовал. Правда, не идентично в том варианте, который предлагается в ветке про 802.1x. Но я попробую ещё раз так, как там описано -- и сообщу дополнительно.
Я так понял, что лучше дальнейшие посты отправлять в ветку про 802.1x.
Да, я читал об этом, конечно. Может, мне повезёт, и я буду как раз тем человеком, который немного прольёт свет на BCM53115 :)
Сейчас у меня есть для этого и оборудование, и время. Но на начальном этапе мне нужна помощь.
Для 5325/5354 утекла документация - погугли bcm5365p.pdf там всё расписано. Для 53115 всё примерно то-же самое (за исключением jumbo frames), только другие номера регистров и часть регистров стало 32-х битными вместо 16-битных.
Полная информация есть только у владельцев подписки на Broadcom SDK, сильно платной естественно. Все наработки Олега и наши - в robocfg, а основной источник информации - shared/bcmrobo.c и соответствующие заголовочные файлы из include/ Broadcom SDK
Ведь этот процесс кто-то уже проходил с 5325, было бы здорово получить хотя бы направление, в котором более эффективно "копать".
Направление - изучение принципов работы подобных встраиваемых(embedded) систем. Как выразиться еще проще, я не знаю.
В принципе - это обычный управляемый L2 свитч с фильтрацией по mac'ам и пр.
И ещё вопрос: реверсинг BLOB-ов имеется ввиду?
Нет, драйвер et позволяет писать напрямую в регистры свитча и дампить их содержимое. Задача состоит в том, чтобы опираясь на схему работы 5365, попытаться "угадать" регистры отвечающие за то-же самое в 53115.
theMIROn
30-03-2011, 19:26
also, есть достаточно забавный исходник от cns3xxx с поддержкой и инициализацией bcm53115
Для 5325/5354 ...
Класс! Спасибо, то, что надо.
Попытаю счастья :)
Нет, драйвер et позволяет писать напрямую в регистры свитча и дампить их содержимое. Задача состоит в том, чтобы опираясь на схему работы 5365, попытаться "угадать" регистры отвечающие за то-же самое в 53115.
Понял.
Пожелайте мне удачи.
Отпишусь.
also, есть достаточно забавный исходник от cns3xxx с поддержкой и инициализацией bcm53115
Что-то вроде этого?
git://git.infradead.org/users/cbou/linux-cns3xxx.git
Посмотрю, сенкс.
theMIROn
31-03-2011, 08:10
Что-то вроде этого?
git://git.infradead.org/users/cbou/linux-cns3xxx.git
Посмотрю, сенкс.
не, скорее патчи вот отсюда
https://dev.openwrt.org/browser/trunk/target/linux/cns3xxx
Класс! Спасибо, то, что надо.
Попытаю счастья :)
Попробуй еще всё-таки поискать в инете, может кто-то из вендоров делал 802.1x для какой-нибудь модификации роутера/точки доступа на BCM53115 и выложил GPL.
Мы тоже поищем, но это процесс небыстрый.
lly, theMIROn: понял, буду рыть...
GKashperko
01-04-2011, 20:00
Мне очень нужна низкоуровневая информация о BCM53115. Точнее, информация о том, как заставить этот свич не фильтровать мультикаст-пакеты. Сориентируйте меня в поисках, пожалуйста.
Можно ли узнать откуда у вас информация о возможности фильтрации MAC-адресов свитчем BCM53115?
В качестве источника информации по свитчу порекомендовал бы исходники ASUS GPL - там есть все что необходимо для инициализации/настройки свитча. Чего либо для фильтрации по mac-адресам там нет.
Фильтрацией MAC как в "старых" роутерах с BCM44xx так и в "новых" с GMAC озабочен только драйвер непосредственно MAC. В B44 для этого есть аппаратный CAM, в GMAC фильтрация осуществляется при помощи программного фильтра драйвером.
Попробуйте отключить этот фильтр - для этого прийдется модифицировать код драйвера gmac.
Навскидку либо так:
--- et_linux.c.orig 2010-12-25 18:59:26.000000000 +0200
+++ et_linux.c 2011-04-01 21:59:23.000000000 +0300
@@ -1044,7 +1044,7 @@ et_set_multicast_list(struct net_device
if (etc->up) {
etc->promisc = (dev->flags & IFF_PROMISC)? TRUE: FALSE;
- etc->allmulti = (dev->flags & IFF_ALLMULTI)? TRUE: FALSE;
+ etc->allmulti = TRUE;
/* copy the list of multicasts into our private table */
for (i = 0, mclist = dev->mc_list; mclist && (i < dev->mc_count);
Либо сяк:
--- etcgmac.c.orig 2011-01-28 22:20:20.000000000 +0200
+++ etcgmac.c 2011-04-01 22:01:01.000000000 +0300
@@ -1102,7 +1102,7 @@ chiprx(ch_t *ch)
/* do filtering only for multicast packets when allmulti is false */
da = (struct ether_addr *)PKTDATA(ch->osh, p);
- if (!ETHER_ISMULTI(da) || ch->etc->allmulti ||
+ if (TRUE || !ETHER_ISMULTI(da) || ch->etc->allmulti ||
(gmac_mf_lkup(ch, da) == SUCCESS) || ETHER_ISBCAST(da)) {
PKTPUSH(ch->osh, p, HWRXOFF);
return (p);
theMIROn
01-04-2011, 23:05
Можно ли узнать откуда у вас информация о возможности фильтрации MAC-адресов свитчем BCM53115?
http://www.broadcom.com/collateral/pb/53115-PB01-R.pdf
поддержка IEEE 802.1x + IGMP/MLD snooping + storm control явно свидетельствуют в сторону фильтрации MAC
В качестве источника информации по свитчу порекомендовал бы исходники ASUS GPL - там есть все что необходимо для инициализации/настройки свитча. Чего либо для фильтрации по mac-адресам там нет.К сожалению ничего кроме "голого" SDK, доступного и от других вендоров. Многие фичи просто не используются...
Фильтрацией MAC как в "старых" роутерах с BCM44xx так и в "новых" с GMAC озабочен только драйвер непосредственно MAC. В B44 для этого есть аппаратный CAM, в GMAC фильтрация осуществляется при помощи программного фильтра драйвером.Не совсем так, в старых есть CAM, в новых нет, но на его месте вполне может быть roboswitch, текущая фильтрация в et выглядит чесслово убого
Попробуйте отключить этот фильтр - для этого прийдется модифицировать код драйвера gmac.
Навскидку либо так:
или гораздо проще ifconfig <ifname> allmulti
GKashperko
02-04-2011, 00:45
поддержка IEEE 802.1x + IGMP/MLD snooping + storm control явно свидетельствуют в сторону фильтрации MAC
Возможно, но это вероятнее всего фича "M" версии. Впрочем это моя догадка которая ничего под собой не имеет и соответственно ничего не стоит.
К сожалению ничего кроме "голого" SDK, доступного и от других вендоров. Многие фичи просто не используются...
К сожалению источника лучшего чем вышеупомянутый SDK мне неизвестно. А вам ?
Не совсем так, в старых есть CAM, в новых нет, но на его месте вполне может быть roboswitch, текущая фильтрация в et выглядит чесслово убого
Пройдитесь по броадкомовскому коду для robo. Драйвер включает вланы, настраивает их согласно nvram, устанавливает MAC для GMAC. Точно тот же "джентельменский" набор что и для B44 но для более ранних версий свитча. Фильтрация многоадресных рассылок выполняется CAM (b44)/программным фильтром (N16).
или гораздо проще ifconfig <ifname> allmulti
Если это приведет к вызову et_set_multicast_list, то наверняка. В любом случае перед попытками допиливания 53115 порекомендовал бы посмотреть именно в сторону программного многоадресного фильтра gmac. Довольно таки давно пользую N16 на Openwrt и каких либо проблем с отсечением многоадресного траффика не испытывал. Используемый драйвер свитча - switch-robo из транка Openwrt, драйвер bgmac - без программного фильтра.
theMIROn
02-04-2011, 02:56
Возможно, но это вероятнее всего фича "M" версии. Впрочем это моя догадка которая ничего под собой не имеет и соответственно ничего не стоит.Да, возможно, cnsовская реализация зануляет storm биты, которые выставляются видимо аппаратно и на N16/3500L не подняты по дефолту.
К сожалению источника лучшего чем вышеупомянутый SDK мне неизвестно. А вам ?Хех, что ж может быть лучше первых рук? Слава богу et/5700/robo открыты
Если это приведет к вызову et_set_multicast_list, то наверняка.Это и произойдет.
В любом случае перед попытками допиливания 53115 порекомендовал бы посмотреть именно в сторону программного многоадресного фильтра gmac. Довольно таки давно пользую N16 на Openwrt и каких либо проблем с отсечением многоадресного траффика не испытывал. Используемый драйвер свитча - switch-robo из транка Openwrt, драйвер bgmac - без программного фильтра.
Спасибо, за предложение, ни этот фильтр, выглядящий как костыль, ни драйвер bgmac ни драйвер свича, переделанный nbd из robocfg новых идей не приносят, к сожалению.
Тем более проблема не с отсечением мультикаста, тут то как раз все слишком отлично, а наоборот - с пропусканием зарезервированного. На прочий - igmp подписками заведуют другие снуперы
Пройдитесь по броадкомовскому коду для robo. Драйвер включает вланы, настраивает их согласно nvram, устанавливает MAC для GMAC. Точно тот же "джентельменский" набор что и для B44 но для более ранних версий свитча. Фильтрация многоадресных рассылок выполняется CAM (b44)/программным фильтром (N16).
Этого маловато для вытаскивания всех заявленных фич свитча.
Не думаю, что в 53115 нет регистров аналогичных 5365 (ARL Control Registers, page 04) для подавления фильтрации зарезервированных MAC'ов (см. driver_roboswitch.c из wpa_supplicant). Просто они имеют другие адреса...
Updated: По результатам первых экспериментов - Multiport Address 1/Multiport Address 2 регистры те-же, конфигурационный регистр тот-же нулевой (с битами надо еще разбираться отдельно), а вот Multiport Vector 1/Multiport Vector 2 регистры куда-то переехали.
Продам б/у ASUS RT-N16, роутер практически не использовался, все новое коробка в наличии, продам за 3500р. территориально метро Аэропорт. Причина продажи не подходит к провайдеру. С вопросами и предложениями просьба в личку.
Уже не продается
theMIROn
07-04-2011, 11:37
Продам б/у ASUS RT-N16, роутер практически не использовался, все новое коробка в наличии, продам за 3500р. территориально метро Аэропорт. Причина продажи не подходит к провайдеру. С вопросами и предложениями просьба в личку.
Что за провайдер и чем не подходит?
Что за провайдер и чем не подходит?
Ну если очень интересует, провайдер МКС Балашихи, нужна авторизация EAP-MD5 (она же 802.1x). Форум я читал, но так и не разобрался как WPA суппликант заставить работать, ну не знаю я Nix системы :(, а изучать особо нет времени.
theMIROn
07-04-2011, 13:30
Ну если очень интересует, провайдер МКС Балашихи, нужна авторизация EAP-MD5 (она же 802.1x). Форум я читал, но так и не разобрался как WPA суппликант заставить работать, ну не знаю я Nix системы :(, а изучать особо нет времени.
Да, к сожалению, пока EAP-MD5 не будет работать на N16.
Если потерпите некоторое время - то заработает, работы уже ведутся
Да, к сожалению, пока EAP-MD5 не будет работать на N16.
Если потерпите некоторое время - то заработает, работы уже ведутся
Терплю пока, у меня трудится сейчас старый добрый DIR 320, но его скорость маловата, если этот продам, то буду брать или ZyXEL NBG460N EE или еще чтонибудь с Wifi N, гигабитными портами и поддержкой EAP-MD5.
Терплю пока, у меня трудится сейчас старый добрый DIR 320, но его скорость маловата, если этот продам, то буду брать или ZyXEL NBG460N EE или еще чтонибудь с Wifi N, гигабитными портами и поддержкой EAP-MD5.
В техподдержку АСУС'а писали? Если нет - напишите обязательно. Дело в том, что асусовцы реализуют только востребованные фичи и, возможно, их менеджер тупо не подозревает об существовании данной проблемы.
Ну и не советую брать что-либо без проверки, т.к. строчка поддержки 802.1x запросто может относиться только к беспроводной части.
P.S. Дискуссию, наверное, стоит перенести в тему про 802.1X
В техподдержку АСУС'а писали? Если нет - напишите обязательно. Дело в том, что асусовцы реализуют только востребованные фичи и, возможно, их менеджер тупо не подозревает об существовании данной проблемы.
Ну и не советую брать что-либо без проверки, т.к. строчка поддержки 802.1x запросто может относиться только к беспроводной части.
P.S. Дискуссию, наверное, стоит перенести в тему про 802.1X
Спасибо всем за советы, пожалуй подожду с продажей пока что, просьба по возможности перенести сообщения в другую тему и заранее сори за оффтоп, как то само собой получилось.
P.S. Написал запрос в Асус, будем посмотреть что ответят.
Да, к сожалению, пока EAP-MD5 не будет работать на N16.
Если потерпите некоторое время - то заработает, работы уже ведутся
а в asus wl 500gp prem v1 эта штука реализована?
AsusMan99
20-04-2011, 10:21
а в asus wl 500gp prem v1 эта штука реализована?
Да, реализована. Настраивать надо вручную.:mad:
Привет всем! приобрел недавно ASUS WL-320gP прошил альтернативной WL550gE-1.9.2.7-8.trx прошивкой стал он теперь WL-550Wg
у провайдера сетевая аутентификация 802.1X через MD5 не получается настроить девайс в режиме шлюза, подскажите что делать. Спасибо.
А ответ-то дали? меня это тоже жуть как интересует...
AsusMan99
09-08-2011, 10:37
Очередная тестовая бэта-прошивка от Асус ... ;)
Беспроводной роутер RT-N16 (04.08.2011) :
Add 802.1x EAP-MD5 authentication support
Fix PPTP control connection handling
Fix IPTV UDP proxy request handling
Translation update
http://www.asus.ru/ftp/NW_TO_TEST/RT-N16_7.0.2.37b.trx
http://forum.asus.ru/viewtopic.php?f=4&t=44107 :rolleyes:
Вот это хорошая новость - поддержка MD5-EAP авторизации в RT-N16 на прошивке от ASUS RT-N16_7.0.2.37b.trx :),
а можно теперь ждать ее появления в прошивке Энтузиастов?
theMIROn
09-08-2011, 10:42
Вот это хорошая новость - поддержка MD5-EAP авторизации в RT-N16 на прошивке от ASUS RT-N16_7.0.2.37b.trx :),
а можно теперь ждать ее появления в прошивке Энтузиастов?
да, работаем над этим, сделаем для всех поддерживаемых роутеров.
Потребуются тестеры, у нас нет провайдеров с 802.1x
AsusMan99
09-08-2011, 10:48
да, работаем над этим, сделаем для всех поддерживаемых роутеров.
Потребуются тестеры, у нас нет провайдеров с 802.1x
Хорошо, я могу принять участие в тестировании, провайдер МКС Балашиха.
Сейчас на RT N-16 стоит 34 прошивка от ASUS.
Что от меня требуется?
theMIROn
09-08-2011, 11:03
Хорошо, что требуется от меня?
Сейчас стоит 34 от ASUS
у тебя 802.1x? в официальной 34 не было ж поддержки этого, или я что-то путаю?
Какую версию брать для тестирования?
Это то, о чем я думаю?
r3173
[RT-N] Add wpa_supplicant 0.6.10 (no Web-UI support yet) for EAP-MD5 authorization
интерфейс и логика нас пока не готова.
так что следите за изменениями и пользуйте пока официальную 37, если работает.
AsusMan99
09-08-2011, 11:07
у тебя 802.1x? в официальной 34 не было ж поддержки этого, или я что-то путаю?
Да, 802.1x?
Нет, не путаете :)
RT-N16 стоит за pfSense 2.RC3 на atome.
theMIROn
21-08-2011, 13:14
Начиная с 1.9.2.7-rtn-r3216 реализована авторизации из web интерфейса:
* 802.1x MD5 (EAP-MD5) (пока без RT-N16)
* провайдера KabiNET (http://www.telenet.ru)
тестируем, комментируем, предлагаем.
Вот это хорошая новость - поддержка MD5-EAP авторизации в RT-N16 на прошивке от ASUS
RT-N16_7.0.2.37b.trx :), а можно теперь ждать ее появления в прошивке Энтузиастов?
Возможно, скоро должна появиться и в Asus RT-N16 ... :) Нужно будет тестировать ... :rolleyes:
Начиная с 1.9.2.7-rtn-r3216 реализована авторизации из web интерфейса:
* 802.1x MD5 (EAP-MD5) (пока без RT-N16)
* провайдера KabiNET (http://www.telenet.ru)
тестируем, комментируем, предлагаем.
Подскажите плиз!!
очень важно!!!
для каких моделей роутеров данная прошивка подходит??? очень важно и ЗАРАНЕЕ ОГРОМНОЕ СПАСИБО.
EAP-MD5 - самая нужна функция
Подскажите плиз!!
очень важно!!!
для каких моделей роутеров данная прошивка подходит??? очень важно и ЗАРАНЕЕ ОГРОМНОЕ СПАСИБО.
EAP-MD5 - самая нужна функция
n16
500gpv1
500gpv2
500w
700g
n10
n12
n16
500gpv1
500gpv2
500w
700g
n10
n12
супер...
а есть прошивка с этим же только для DIR-300 или каких нибуть других из этой же серии.... (320 и так это понимает.)
320/NRU - не понимает...проверено...лежит передо мной
и если можно заодно наглеть буду до конца.... ссылкой киньте плиз в меня на эту прошивку...а то боюсь нашел не правильную..
да, работаем над этим, сделаем для всех поддерживаемых роутеров.
Потребуются тестеры, у нас нет провайдеров с 802.1x
с тестированием проблему могу решить очень быстро...есть несколько роутеров....так что давайте прошивки помогу чем могу
супер...
а есть прошивка с этим же только для DIR-300 или каких нибуть других из этой же серии.... (320 и так это понимает.)
320/NRU - не понимает...проверено...лежит передо мной
и если можно заодно наглеть буду до конца.... ссылкой киньте плиз в меня на эту прошивку...а то боюсь нашел не правильную..
для Дликов нет и не будет
http://asus.vectormm.net/rtn/3297/
с n16 возможно поспешил )
для Дликов нет и не будет
http://asus.vectormm.net/rtn/3297/
с n16 возможно поспешил )
спасибо огромное
n16
500gpv1
500gpv2
500w
700g
n10
n12
подскажите а для WL520gс есть подобная прошивка?
theMIROn
17-09-2011, 08:27
подскажите а для WL520gс есть подобная прошивка?
тут - нет, в gc слишком маленький флеш.
тут - нет, в gc слишком маленький флеш.
а если например что нибуть выкинуть из нее:
рррое
l2tp
pptp
они не нужны и не будут нужны никогда....и пересобрать прошивку с мд5 ?
это возможно?
ну а если нужны будут то перепрошить всегда можно
для Дликов нет и не будет
http://asus.vectormm.net/rtn/3297/
с n16 возможно поспешил )
Да уж точно с n16 возможно поспешил
Слил 3297 поставил в роутер прошиву и нифига не смог подключится с ней
к своему прову с авторизацией MD5.
Вот и вопрос как же так .. в логах вообще никакого упоминания про попытки авторизации по 802 md5 не увидел. Чтото может я не доставил?
Пришлось откатится на офицалку на ней все путем авторизирует в локалке
мгновенно.
theMIROn
23-09-2011, 15:20
это возможно?
невозможного ничего нет,
на практике - мы не поддерживаем wl520gc вообще.
разве что кто-то из форумчан возьмется сделать
theMIROn
23-09-2011, 15:25
Да уж точно с n16 возможно поспешил
Слил 3297 поставил в роутер прошиву и нифига не смог подключится с ней
к своему прову с авторизацией MD5.
Вот и вопрос как же так .. в логах вообще никакого упоминания про попытки авторизации по 802 md5 не увидел. Чтото может я не доставил?
Пришлось откатится на офицалку на ней все путем авторизирует в локалке
мгновенно.
решение для N16 пока все еще в процессе
AsusMan99
27-09-2011, 08:24
Проверил прошивку r3313 rt-n на WL500gP , авторизация прошла успешно.
Немного медленнее чем на RT-N16 с 37b прошивкой от ASUS.
Большое спасибо!
Ждем для RT-N16...
theMIROn
27-09-2011, 11:09
Проверил прошивку r3313 rt-n на WL500gP , авторизация прошла успешно.
Немного медленнее чем на RT-N16 с 37b прошивкой от ASUS.
Большое спасибо!
Ждем для RT-N16...
что именно медленнее?
AsusMan99
27-09-2011, 18:10
что именно медленнее?
Был неправ!
Возможно провайдер виноват, субъективно показалось
что время авторизации больше, чем на RT-N16..
Проверил, оказалось такое же ~ 2сек
Sep 27 17:08:20 WAN port: cable disconnected
Sep 27 17:08:51 WAN port: cable connected
Sep 27 17:08:52 auth client: EAP-FAILURE
Sep 27 17:08:52 auth client: EAP-SUCCESS
Начиная с 1.9.2.7-rtn-r3216 реализована авторизации из web интерфейса:
* 802.1x MD5 (EAP-MD5) (пока без RT-N16)
* провайдера KabiNET (http://www.telenet.ru)
тестируем, комментируем, предлагаем.
подскажите, будет ли это работать на WL520GU? Очень надо EAP-MD5.. этот Multinex у нас единственный.... а к роутеру я привык. Если не будет, то может подскажете, как решить проблему?
Почему-то на 1.9.2.7-d-r2624 wpa_supplicant-0.6.9-mipsel.tgz заставить работать не получается :( глухо крутит впустую..
Дайте кто нить распакованную прошивку 1.9.2.7-rtn-r3216, или подскажите чем ее распаковать, mod kit не берёт
Всем добрый день! Хочу поблагодарить людей, которые делают классные прошивки для поутеров, спасибо!
Сразу хочу сказать, что ФАК я читал, поиском пользовался, но проблему решить не получается...
В общем суть вопроса такая - подарили теще ноутбук и роутер Asus RT-N10, сразу поставил прошивку с вашего сайта, все прекрасно работало через PPPoE. Недавно решили поменять провайдера на Мультинекс, а они не предупреждали что у них все через одно место подключается, тобишь через AEP-MD5 :) Вырвали кабель из щитка конкурентов и прикрутили к своему (никто ессно не паял провода, так скрутили и всё). Я попросил настройки для роута, но ремонтники ничего не знали и помочь не смогли... В общем щас есть интернет при прямом подключении кабеля к ноутбуку, а вот роутер для беспроводного инета подключить я не смог...
Весь вечер пробовал разные прошивки, читал, искал... Бестолку. Хоть и заявляется поддержка MD5, но ее там просто нет в меню. Пробовал я и DD-WRT, прошивки от Асуса, прошивки RT-N10-1.9.2.7-rtn-r3300 и RT-N10-1.9.2.7-rtn-r3475 - ну нету там авторизации через 802.1X.
Подскажите что делать и как этот роутер подключить, или как вариант - у меня дома есть Asus WL-600GP V2, могу пока его тещё отдать... На этом роутере есть 802.1X?
Спасибо!
<...> роутер Asus RT-N10, <...> На этом роутере есть 802.1X?
r3313@RT-N16:
http://i30.fastpic.ru/thumb/2011/1018/3e/df0cf9fab99fdba4de4af973017b913e.jpeg (http://fastpic.ru/view/30/2011/1018/df0cf9fab99fdba4de4af973017b913e.png.html)
Может у вас там же?
Большое Спасибо! Нашел! Я видимо вчера уже уставший был и не заметил и искал не там :) С прошивкой RT-N10-1.9.2.7-rtn-r3300 все работает :)
MCPresidentov
23-10-2011, 16:58
Не подскажете, что делать в моем случае?
Провайдер МКС Балашихи (EAP-MD5 она же 802.1x)
Прошивка RT-N16-1.9.2.7-rtn-r3486
Выбираю данную авторизацию в веб-морде, ввожу логин и пароль, сохраняю, но интернет не появляется.....
если не сложно, напишите пошагово =)
theMIROn
23-10-2011, 17:37
Не подскажете, что делать в моем случае?
Прошивка RT-N16-1.9.2.7-rtn-r3486
обновить прошивку на RT-N16-1.9.2.7-rtn-r3509 минимум
MCPresidentov
23-10-2011, 17:56
обновить прошивку на RT-N16-1.9.2.7-rtn-r3509 минимум
Если не затруднит, можно ссылку на скачивание выложить?
то меня очень выручило бы....
Если не затруднит, можно ссылку на скачивание выложить?
то меня очень выручило бы....
http://asus.vectormm.net/rtn/ , но завтра.
AsusMan99
25-10-2011, 07:53
обновить прошивку на RT-N16-1.9.2.7-rtn-r3509 минимум
Обновил прошивку RT-N16-1.9.2.7-rtn-r3512/3514 сбросил в дефолт, настроил авторизацию по EAP-MD5.
Авторизации нет, в логе - ничего, супликанта в процессах не видно :(
Бум ждать....
theMIROn
25-10-2011, 09:51
Обновил прошивку RT-N16-1.9.2.7-rtn-r3512/3514 сбросил в дефолт, настроил авторизацию по EAP-MD5.
Авторизации нет, в логе - ничего, супликанта в процессах не видно :(
Бум ждать....
хм. щас еще раз проверю
Бум ждать....
мде, он запускался с кривыми параметрами.
r3516
AsusMan99
25-10-2011, 09:57
мде, он запускался с кривыми параметрами.
r3516
Ок, спасибо огромное!!!
Проверить смогу только вечером, или завтра утром....
Вроде как в 3 часа пересобирается прошивка.
Залил прошивку 3523, (почему то для 3525 есть только для wl).
настройки не сбрасывал, сначала на WAN был какой то левый
адрес. Автоматом не подключалась, может мало ждал...
Выполнил коннект ручками, авторизацию прошла
через минуту 10 секунд. Интернет появился. УРААА!!!!
3 часа - полет нормальный...
Разработчикам огромное спасибо за титанический труд.
MCPresidentov
26-10-2011, 18:26
Ок, спасибо огромное!!!
Проверить смогу только вечером, или завтра утром....
Вроде как в 3 часа пересобирается прошивка.
Залил прошивку 3523, (почему то для 3525 есть только для wl).
настройки не сбрасывал, сначала на WAN был какой то левый
адрес. Автоматом не подключалась, может мало ждал...
Выполнил коннект ручками, авторизацию прошла
через минуту 10 секунд. Интернет появился. УРААА!!!!
3 часа - полет нормальный...
Разработчикам огромное спасибо за титанический труд.
как коннектиться ручками? =)
AsusMan99
27-10-2011, 07:00
как коннектиться ручками? =)
Нажал кнопку Disconnect/Connect.
А вообще такая задержка была после перепрошивки, перезагрузка ее не убрала. Но после первой удачной авторизации - все стало нормально, т.е. за 1-2 сек. Сутки - полет нормальный.
MCPresidentov
30-10-2011, 20:01
Нажал кнопку Disconnect/Connect.
А вообще такая задержка была после перепрошивки, перезагрузка ее не убрала. Но после первой удачной авторизации - все стало нормально, т.е. за 1-2 сек. Сутки - полет нормальный.
Простите за глупый вопрос, но почему то интернет не появляется =(
(МКС Балашихи, EAP-MD5).
1) обновился до RT-N16-1.9.2.7-rtn-r3533
2) Сбросил в дефолт кнопочкой сзади роутера
3) Wan\lan Ip автоматом, ввел логин и пароль
4) Status=>Connect (после нажатия на кнопку и ничего не произошло)
Стоит подождать подольше или я упустил чего-то? =)
AsusMan99
31-10-2011, 20:28
Простите за глупый вопрос, но почему то интернет не появляется =(
(МКС Балашихи, EAP-MD5).
1) обновился до RT-N16-1.9.2.7-rtn-r3533
2) Сбросил в дефолт кнопочкой сзади роутера
3) Wan\lan Ip автоматом, ввел логин и пароль
4) Status=>Connect (после нажатия на кнопку и ничего не произошло)
Стоит подождать подольше или я упустил чего-то? =)
При удачной авторизации в логе должны появиться строчки:
Oct 31 20:12:27 auth client: EAP-SUCCESS <-- это, что авторизация у провайдера прошла
Oct 31 20:14:11 ntp client: Synchronizing time with pool.ntp.org... <-- по этой строчке можно понять, что провайдер пустил в инет
....
Oct 31 20:17:27 auth client: EAP-SUCCESS
Oct 31 20:22:27 auth client: EAP-SUCCESS
После этого интернет должен появиться
Еще тонкий момент-скорее всего от провайдера придет другой ip для роутера и надо перенастроить проброс портов для сервисов, например DC++, на новые ip-шники.
theMIROn
31-10-2011, 21:29
При удачной авторизации в логе должны появиться строчки:
Oct 31 20:12:27 auth client: EAP-SUCCESS
Oct 31 20:14:11 ntp client: Synchronizing time with pool.ntp.org...
Oct 31 20:17:27 auth client: EAP-SUCCESS
Oct 31 20:22:27 auth client: EAP-SUCCESS
После этого интернет должен появиться
должно быть достаточно одной строчки
MCPresidentov
28-12-2011, 19:34
Ребят, подскажите пожалуйста. Роутер Netgear WNR3500L, прошивка RTN16 3708 Провайдер - Мультинекс МКС Балашихи, EAP-MD5
Не выходит в интернет. пишет подключен к сети без доступа к интернету. Может кто-нибудь сможет подсказать....:(
Роутер Netgear WNR3500L, прошивка RTN16 3708
Правда прошивка для RT-N16? По скринам похоже. Следовало использовать адаптированную для WNR3500L версию прошивки.
Воспользуйтесь прошивкой из подписи, и поменяйте MAC на нормальный вместо 00ffffffffff.
Мой провайдер требует авторизацию по 802.1x (у меня dlink dir 320). Если я прошьюсь данной прошивкой - смогу к провайдеру коннектиться?
На оригинальной не устраивает только что скорость режется - тариф 30 мбит/сек, скачивается большой файл с такой скоростью, а при обычном серфинге в инете - какие-то нереальные тормоза и с компа, и с ноута, и с pda
Доброго дня!
Кто-нибудь настраивал EAP-TLS (+EAP-PEAP) на обсуждаемых устройствах?
theMIROn
29-08-2012, 13:44
Доброго дня!
Кто-нибудь настраивал EAP-TLS (+EAP-PEAP) на обсуждаемых устройствах?
нет еще, в теории можно руками
какую инфу нужно вводить, чтобы подключиться на windows/linux?
нет еще, в теории можно руками
В теории можно всё, но...
какую инфу нужно вводить, чтобы подключиться на windows/linux?
Инструкций много, к примеру:
1 (http://www.smallnetbuilder.com/wireless/wireless-howto/30213-how-to-setting-up-freeradius-for-wpa-a-wpa2-enterprise-part-2), 2 (http://www.lissyara.su/articles/freebsd/security/wpa2_radius+eap-tls_eap-peap/), 3 (http://habrahabr.ru/post/128405/)...
PS: Интересно, кто такой умный объединил авторизацию 802.1x, причем, в основном "проводную", и WPA2-Enterprise? Вот совсем одно и то же, давайте всё в одну кучу, мало тут мусора...
dimzon541
19-08-2013, 20:14
RT-N16 :) (МКС Балашихи, DHCP + EAP-MD5). прошивка RT-N16-1.9.2.7-rtn-r5066.trx
коннектится "неустойчиво" как-то, когда истекает срок аренды IP-шник вдруг может стать 169.*.*.*, помогает руками disconnect/connect...
до этого был роутер DIR320 (с заводской прошивкой), у него такой "неустойчивости" не было.
в целях отделить мух от котлет прописал на WAN-е MAC и HostName с dir-320 - устойчивей соединение не стало :(
руки чешутся в крон добавить что-нить вроде
*/2 * * * * * ifconfig vlan2 | grep 169\. && ifconfig vlan2 down && ifconfig vlan2 up
но как-то криво что-ли... можно как-нить по человечески полечить?
мож какие параметры в wpa_supplicant.conf поставить? Помогите пожалуйста!
UPD: путем долгих и мучительных экспериментов выяснил что если через ssh выполнить
wpa_cli logoff && wpa_cli logon
то наступает счастье...
куда правильней этот код вставить? в CRON как-то кустарно кажется, может есть поинтересней способ?
путем долгих и мучительных экспериментов выяснил что если через ssh выполнить
wpa_cli logoff && wpa_cli logon то наступает счастье...
куда правильней этот код вставить? в CRON как-то кустарно кажется, может есть поинтересней способ?
в post-firewall, он перезапускается при изменениях в сети.
dimzon541
20-08-2013, 06:49
в post-firewall, он перезапускается при изменениях в сети.
попробую...
вообще-то там используется udhcpc, который сам запускает скрипт при dhcp-событиях но не нашел место где он запускается чтобы вставить вызов своего скрипта.
еще одна проблема - пытался делать renew принудительно раньше истечения lease (чтобы инет не прерывался ни на секунду) - болт.
killall -USR1 udhcpc сначала сбрасывает ip, потом ставит его в 169.* и плевать ей на предварительный
wpa_cli logoff && wpa_cli logon
самый быстрый способ по истечении lease это сначала сделать logoff потом renew потом сразу logon
только заскриптовать это не получилось (некуда подписаться на after lease expired и на before renew)
пока сделал так:
$ cat /var/spool/cron/crontabs/admin
* * * * * /bin/sh -c "ifconfig $(nvram get wan_ifname) | grep -E addr:169\. && wpa_cli logoff && wpa_cli logon && killall -HUP radvd"
theMIROn
20-08-2013, 11:28
а аренда на сколько выдается? хорошо бы глянуть дамп трафика, в котором будет и dhcp и eap* пакеты
и что в логе?
dimzon541
20-08-2013, 12:02
а аренда на сколько выдается? хорошо бы глянуть дамп трафика, в котором будет и dhcp и eap* пакеты
и что в логе?
Jan 1 04:00:05 dhcp client: deconfig: lease is lost
Jan 1 04:00:08 auth client: EAP-SUCCESS
Jan 1 04:00:08 auth client: CONNECTED
Jan 1 04:00:28 radvd[225]: attempting to reread config file
Jan 1 04:00:28 radvd[225]: resuming normal operation
Jan 1 04:00:28 kernel: vlan2: dev_set_allmulti(master, 1)
Jan 1 04:00:28 zcip client: config IP : 169.254.158.54
Jan 1 04:00:40 radvd[225]: attempting to reread config file
Jan 1 04:00:40 radvd[225]: resuming normal operation
Jan 1 04:00:40 kernel: vlan2: dev_set_allmulti(master, -1)
Jan 1 04:00:40 kernel: vlan2: dev_set_allmulti(master, 1)
Jan 1 04:00:40 dhcp client: bound IP : *.*.*.147 from *.*.*.254
Подскажите как посмотреть на сколько аренда выдается и как дамп снять - сделаю. Я с линухом уже 2+ года но еще не все знаю...
по поводу lease time, все что смог:
$ nvram show | grep lease
size: 17982 bytes (14786 left)
wan_lease=86400
dhcp_lease=86400
lan_lease=86400
lan1_lease=86400
wan0_lease=43200
субъективно как раз 43200 и есть (~ через 12 часов отваливается)
ОФФТОПИК Вообще я удивлен. Брал роутер на замену DIR-320 по той простой причине что DIR-320 зависал под большим количеством соединений (P2P) и еще хотел IPv6 поднять. Специально выбрал чтобы памяти было много. Счас смотрю - при сумашедшей нагрузке (вот незнаю как число коннектов посмотреть правда) - памяти всего 20 мегов занято. Может имеет смысл этой прошивкой DIR-320 перепрошить? Мне, собственно, от роутера ничего кроме роутера не надо - у меня самосборная NAS на 12ТБ под Убунтой крутится 24/7. И свитч отдельный гигабитный чтобы при перезагрузке роутера домашняя локалка (кроме вайфая) продолжала работать...
theMIROn
20-08-2013, 15:22
Подскажите как посмотреть на сколько аренда выдается и как дамп снять - сделаю. Я с линухом уже 2+ года но еще не все знаю...
окей, надо запустить tcpdump на роутере с сохранением дампа в файл.
запускаем в фоне, после пропадания связи, после восстановления - шлем файл мне на почту
tcpdump -nvvi vlan2 -s 1500 'arp or udp port 67 or udp port 68 or ether proto 0x888e' -w /<path>/dump.pcap
vlan2 - wan интерфейс,
path - путь, куда сохраняем все добро
smir74ru
14-08-2014, 15:56
Здравствуйте.
подскажите есть ли в этой прошивке метод авторизации MD5
есть такие провайдеры типа мультинекс (МТС) которые ее используют
AndreyPopov
14-08-2014, 17:51
Здравствуйте.
подскажите есть ли в этой прошивке метод авторизации MD5
есть такие провайдеры типа мультинекс (МТС) которые ее используют
это я так понимаю про USB 3G?
проверить не имею возможности, но модуль md5.ko в прошивке имеется:
ls /lib/modules/2.6.22.19/kernel/crypto
aes.ko
deflate.ko
des.ko
md5.ko
smir74ru
Без технических деталей, увы, ничего сказать невозможно. Возможно заработает wpa_supplicant, но бывают и кастомные реализации авторизации - с ними всё хуже.
AndreyPopov
Про Md5 - к собственно ядру это не имеет отношения.
smir74ru
15-08-2014, 07:44
увы эта кантора (мультинекс - мультикабельные сети - МТС --- это все одна и таже кантора) работает только с такой авторизацией
причем такая авторизация при подключении по локалке.
ок время будет попробую поковырять.
причем такая авторизация при подключении по локалке.
ок время будет попробую поковырять.
Для начала, научитесь использовать поиск - это просто! Делов-то в гугле ввести строку
мультинекс site:wl500g.info
wpa_supplicant должен помочь.
P.S. 2moderator - просьба перенести обсуждение по MD5 в соответствующую тему. К dualwan она не имеет отношение.
smir74ru
15-08-2014, 13:09
wpa_supplicant должен помочь
у меня сейчас работает wl500 с прошивкой Олега с включенной в нее возможностью подключения провайдера с авторизацией MD5
так меня интересовала именно возможность работы DualWAN прошивки с провайдерами с авторизацией MD5 не устанавливая отдельно wpa_supplicant
AndreyPopov
15-08-2014, 14:52
так меня интересовала именно возможность работы DualWAN прошивки с провайдерами с авторизацией MD5 не устанавливая отдельно wpa_supplicant
при выборе Static IP или DHCP доступен метод авторизации 802.1x MD5
9863