We hebben een 802.1x met EAP-TLS omgeving opgezet met hostap en freeradius-server. De XP-clients melden zich goed aan op het netwerk bij de AP.
De gebruikte machines
- OpenSuse11 als bridge met hostap, brctl en ebtables geïnstalleerd
- OpenSuse11 als freeradius
- XP client machine
Het is probleem is hoe de regels aanpassen via ebtables afhankelijk van het resultaat van het aanmelden via EAP-TLS.
Een mogelijkheid zou zijn de output parsen van hostapd zodanig dat als er een pakket access-accept verschijnt voor een bepaalt mac-adres alle verkeer ervoor wordt toegelaten:
ebtables -t broute -A mac -j ACCEPT
Hoewel parsen een oplossing is, het geen mooie. Kunnen er vanuit hostapd geen triggers gestuurd worden zodanig dat de bridge wordt open/toe gezet wordt voor een bepaald mac-adres?
Hostapd op zich implementeert niet de port access entity. Vermits het over een bridge gaat leek mij ebtables het meest geschikt. Een andere mogelijkheid had een apart PAE module voor de kernel geweest die op sourceforge te vinden is maar dan zit je weer met hetzelfde probleem hoe hostap pakketten via die module laten filteren...
Hopelijk heeft er iemand een idee?
Alvast bedankt
David
De gebruikte machines
- OpenSuse11 als bridge met hostap, brctl en ebtables geïnstalleerd
- OpenSuse11 als freeradius
- XP client machine
Het is probleem is hoe de regels aanpassen via ebtables afhankelijk van het resultaat van het aanmelden via EAP-TLS.
Een mogelijkheid zou zijn de output parsen van hostapd zodanig dat als er een pakket access-accept verschijnt voor een bepaalt mac-adres alle verkeer ervoor wordt toegelaten:
ebtables -t broute -A mac -j ACCEPT
Hoewel parsen een oplossing is, het geen mooie. Kunnen er vanuit hostapd geen triggers gestuurd worden zodanig dat de bridge wordt open/toe gezet wordt voor een bepaald mac-adres?
Hostapd op zich implementeert niet de port access entity. Vermits het over een bridge gaat leek mij ebtables het meest geschikt. Een andere mogelijkheid had een apart PAE module voor de kernel geweest die op sourceforge te vinden is maar dan zit je weer met hetzelfde probleem hoe hostap pakketten via die module laten filteren...
Hopelijk heeft er iemand een idee?
Alvast bedankt
David