WLAN-Accesspoint mit DD-WRT und RADIUS

Aus LT42-Wiki
Zur Navigation springenZur Suche springen
TP-Link TL-WR841N-2920

In der Schule setzen wir seit einigen Jahren die Geräte TL-WR841N der Firma TP-Link ein, um das Gelände mit WLAN zu versorgen. Diese sehr günstigen Geräte bieten den Vorteil, dass sich auf ihenn die freie Firmware DD-WRT installieren lässt. Damit lässt sich der Router in einen voll funktionsfähigen, transparenten WLAN-Accesspoint umwandeln. Um die Verteilung von IP-Adressen und das Routing kümmert sich der Router.

Wir haben die Geräte seit 3 Jahren im Einsatz und sind damit immer noch sehr zufrieden, da sie stabil und dabei noch schnell laufen. Update Dezember 2016: Leider kommt es bei der momentan von Amazon ausgelieferten Version 11 zu Problemen mit dem Upgrade. Der Upload der DD-WRT-Firmware schlägt mit dem Fehlercode "10085: Upgrade unsuccessful because the version of the upgraded file was incorrect. Please check the file name." TP-Link setzt hiermit eine Richtlinie der FCC um. Das lässt sich leider nur mit Eingriff in die Hardware umgehen. Schade.

Die folgende Anleitung geht von IServ als Serversystem aus, die Konfiguration ist natürlich auch auf andere Umgebungen übertragbar, die Einstellungen müssen dann aber an die des jeweiligen Netzes angepasst werden.

Eintragen in IServ

Damit der DHCP-Server in IServ die IP-Adresse des Accesspoints, die fest eingestellt wird, nicht doppelt vergibt, tragen wir die Geräte in die Rechnerverwaltung ein. Die MAC-Adresse findet sich unterhalb des Gerätes und in manchen Fällen auch auf dem Karton.

Flashen des System

Standardmäßig werden die Accesspoints mit einer firmeneigenen Firmware ausgeliefert. Diese bietet eine einfache Einrichtung des Gerätes für den Betrieb als Router.

DD-WRT bietet eine Router-Datenbank, in der man sich die passende Firmware für sein Gerät heraussuchen kann. Leider ist die letzte hier verfügbare Hardware-Version die Version 8. Unter http://download1.dd-wrt.com/dd-wrtv2/downloads/betas/2016/ finden sich jedoch aktuelle Hardware- und Firmware-Versionen zum Download. Die Hardware-Version ist am Router auf der Unterseite erkennbar. Aktuell (Juli 2016) ist Version 11. Man sucht sich das passende Paket heraus (tplink_tl-wr841ndv11) und lädt die Datei factory-to-ddwrt.bin herunter. Die andere Datei ist für ein Firmware-Upgrade, wenn DD-WRT bereits installiert ist.

Ist der Download abgeschlossen, schließen wir unseren Rechner an die gelbe Buchse 1 am TP-Link-Router an. Ist die Netzwerkkarte des Rechners so eingestellt, dass die IP-Adresse über DHCP bezogen wird, sollten wir eine IP aus dem Bereich 192.168.0.0/24 erhalten. Andersfalls muss eine IP (192.168.0.5) manuell gesetzt werden.

Dann ist das Interface unter http://192.168.0.1 erreichbar. Nach der Anmeldung mit admin/admin kann das System unter System Tools -> Firmware Upgrade mit der eben heruntergeladenen Datei überspielt werden.

Konfiguration DD-WRT

Nachdem der Router sich neugestartet hat, bezieht der Rechner eine IP aus dem Netz 192.168.1.0/24. Falls kein DHCP aktiviert ist, muss hier wieder manuell eine Adresse gesetzt werden. Unter http://192.168.1.1 ist dann das Webinterface erreichbar, wo DD-WRT ein neues Passwort erhalten möchte.

Anschließend (nach Anmeldung mit den eben vergebenen Daten) stellen wir unter Administration die Standard-Sprache von Englisch auf Deutsch und speichern mit "Speichern". Wichtig ist, im weiteren Verlauf immer nur zu speichern und erst am Ende die Einstellungen anzuwenden.

Setup

Im ersten Reiter werden folgende Einstellungen gesetzt:

  • WAN: ausgeschaltet
  • Router-Name (gleicher wie in IServ) z.B. AP01
  • Hostname: wie Router-Name, nur klein (ap01)
  • Domainname: Domainname des Netzes (bei IServ z. B. Domain des Servers, also schule-rlw.de)
  • IP-Einstellungen:
    • Lokale IP: 10.0.X.X (wie in IServ definiert)
    • Subnetz-Maske: 255.255.254.0
    • Gateway: 10.0.2.1
    • Lokaler DNS: 10.0.2.1
  • WAN-Port dem Switch zuweisen: ja

Hier dann einmal zwischendurch „Speichern“. Dann weiter:

  • DHCP-Typ: DHCP-Weiterleitung
  • DHCP-Server: 10.0.2.1
  • NTP-Server: ptbtime1.ptb.de

Und schließen wieder speichern.

WLAN-Einstellungen

Im folgenden Schritt werden die Netze konfiguriert. Wir gehen davon aus, dass es ein Netz für die RADIUS-Authentifizierung geben soll (RADIUS) und ein Netz für die schuleigenen Rechner, die sich mit einem WPA2-Schlüssel am Netz anmelden.

Unter "WLAN" -> Basis-Einstellungen erstellen wir im ersten Schritt ein neues virtuelles Interface. Dann geben wir folgende Einstellungen an:

Mit diesem WLAN-Netzwerkmodus schließt man Geräte, die den nur B-Standard unterstützen aus dem Netz aus, allerdings minimieren diese die Bandbreite auch auf ein Minimum von 54 MBit/s. Diese Einstellung kann natürlich auch auf dem Standard belassen werden.

Nach einem Speichervorgang werden im nächsten Schritt unter "WLAN-Sicherheit" die folgenden Einstellungen vorgenommen:

  • Sicherheitsmodus: WPA2 Enterprise Mixed
  • WPA-Algorithmus: TKIP+AES
  • Radius Auth Server IP: 10.0.2.7 (entsprechend der IP des IServ. In der DMZ z.B. 172.27.16.1)
  • Port: 1812
  • Radius Auth Shared Secret: Geheimer Schlüssel (nachzusehen in iservcfg -> Erweiterte Einstellungen)
  • Backup: bleibt so
  • Radius Accounting: Eingeschaltet
  • Radius Acct Server IP: 10.0.2.7 (entsprechend der IP des IServ)
  • Gemeinsames Passwort: Geheimer Schlüssel (nachzusehen in iservcfg -> Erweiterte Einstellungen)

Für das zweite Netz wählen wir als Sicherheitsmodus WPA2 Personal Mixed und geben ein entsprechendes Passwort an.

Sicherheit und Anwenden

Zum Schluss deaktiviert man im Reiter "Sicherheit" die SPI-Firewall, klickt auf Speichern und dann auf "Anwenden". Nun kann der Accesspoint in Netzwerk eingebunden werden und sollte funktionieren.

Weblinks