BandaAncha

  • 🔍 en 📰 artículos ⏎
  • 🔍 en 💬 foros ⏎
  • 🔍 en 👇 este 💬 foro ⏎
  • 🔍 en 👇 este 💬 tema ⏎
Regístrate Regístrate Identifícate Identifícate
💡

[TUTORIAL]Conectar CPE OpenWrt en modo cliente a Eduroam

1
vukits
4

Última actualización: 31/07/2024 (borrador)

Alcance

Eduroam es un servicio de conectividad WiFi a internet ofrecido en infinidad de instituciones académicas a lo largo del mundo. Se presenta invariablemente en forma de ESSID protegido con autenticación y cifrado WPA2 Enterprise (con un RADIUS detrás) y nos podemos conectar con móvil Android, iPhone, Portátil ÑU/Linux, Windows et al.

El presente tutorial nos permite conectar un router WiFi o AP o CPE, etc en modo cliente, y mediante NAT compartir la conexión a través de cable dentro de nuestra red local. Y digo cable, porque el modo repetidor universal es buscarse problemas.

Procedimiento

Día 0 (Requisitos)

  • Una cuenta académica que siga teniendo vinculación con una universidad. Yo p.e., al haber hecho la carrera en la UCM, pago anualmente membresía Alumni con la UCM, que entre otras muchas ventajas, me ofrece uso de Eduroam y de Bibliotecas de la UCM.
  • La antemencionada cuenta debe tener 2FA activado, porque la contraseña en OpenWrt se almacena en texto claro y queremos evitar que alguien que tenga acceso físico al aparato, acceda a nuestro buzón académico de correo electrónico p.e.
  • Conocimientos básicos de OpenWrt y de GNU/Linux (aunque se puede hacer todo mediante Navegador Web, es posible que haya que echar mano para instalación manual de paquetes)
  • Un CPE, Router WiFI, AP WIFi o básicamente cualquier aparato compatible con OpenWrt (y que tenga como mínimo 4M de memoria Flash (si tiene 4M Flash justos, hay que usar el imageBuilder de OpenWrt, y no tendremos opción a config. web pero no habrá que andar instalando y desinstalado paquetes)y modo Wifi Cliente) que pueda sobrevivir al aire libre y que le llegue un cable de datos y corriente (Yo he usado un Tp-Link CPE210 que tiene POE)
  • Tener el acceso fisico al CPE (cliente Wifi que usaremos) medianamente securizado para que nadie lo robe (eso es de setnido común)
  • Que en el punto físico en el que coloquemos el CPE, haya conectividad a Eduroam: lo podemos comprobar primero con un móvil Android, a ver si hay suficiente calidad de señal y este conecta.
  • Un móvil Android que haga tethering WiFI (para poder instalar wpad)

Día 1

  1. Conectar el ordenador por cable al CPE
  2. Instalar OpenWrt en el CPE (varia según modelo)
  3. Habilitar Tethering Wifi en el móvil
  4. Conectar OpenWrt en modo cliente a la red WiFi del Móvil . Pongo un video de ejemplo (no lo he revisado mucho)
  1. Abrir la administración de paquetes de software de OpenWrt y clickamos en 'Update Lists'
  2. Los dos siguientes pasos hay que hacerlos seguidos, y si algo falla, hay que restaurar OpenWrt a ajustes de fábrica para que vuelva habilitar el paquete wpad básico
  3. Desinstalar cualquier paquete que lleve 'wpad' en el nombre imagen
  4. Instalar inmediatamente el paquete 'wpad' que es el cliente WPA completo que tiene soporte para WPA enterprise
  5. Darle a 'Aplicar y Guardar'
  6. Apagar y encender el CPE
  7. Desactivar tethering WiFi en el móvil.
  8. En la configuración de la interfaz WiFi, aprovechando de que nos viene medio configurada de cuando la hemos conectado al móvil, sólo hay que cambiar las siguientes cosas:
    • en ESSID ponemos eduroam imagen
    • En Wireless Security ponemos WPA2-EAP AES CCMP, TTLS PAP; y nuestras credenciales académicas (además de la identidad anónima, que en mi caso es ) imagen imagen

Día 2

  • Opcionalmente, Según la RAM que tenga nuestro CPE, pues a lo mejor no nos interesa tener siempre encendido el servicio de interfaz web:
service uhttpd stop
service uhttpd disable
  • Opcionalmente también podemos programar con cronreinicio diario de madrugada:
crontab -e

00 3 * * * /sbin/reboot

Notas finales

Si alguien quiere configurarlo por línea de comandos, aquí está el único punto dificil… pongo mi /etc/config/wireless para que os inspiréis (ojo, la parte superior (radio) es muy particular del hardware que vayamos a usar)

config wifi-device 'radio0'
	option type 'mac80211'
	option path 'platform/ahb/18100000.wmac'
	option channel '11'
	option band '2g'
	option htmode 'HT40'
	option cell_density '0'
	option country 'ES'





config wifi-iface 'wifinet1'
	option device 'radio0'
	option mode 'sta'
	option network 'wwan'
	option ssid 'eduroam'
	option encryption 'wpa2+ccmp'
	option eap_type 'ttls'
	option auth 'PAP'
	option identity 'hansolo@ucm.es'
	option anonymous_identity 'anonymous@ucm.es'
	option password 'mi_contraseña'

TODO (cosas a mejorar)

  • Proponer optimizaciones a nivel de radio, entre otras cosas para solventar el problema del 'cliente invisible' (creo que se llama así), de problemas de keep-alive, distancia, y muchas cosas más.
  • Urgentemente indicar cómo configurar eduroam con los CA (certificado correspondientes): me dí cuenta la semana pasada que aunque le indiqué que las incluyera, no lo hizo
tortilla

Se puede configurar para las redes que no usan usuario+contraseña?

Hay varias instituciones que usan scripts o ejecutables que el usuario descarga, y al ejecutarlo, el usuario hace login via web y se generan unos certificados con sus claves…

Si quieres buscar más información el script para Linux lo ofrecen las instituciones y se llama "SecureW2_JoinNow.run" para Linux. Para Windows es un .exe y en Mac un archivo .dmg.

🗨️ 1
vukits

Nunca he visto eso, y no lo he necesitado., lo siento.

He probado este setup en

  • España
  • Suiza
  • Alemania
  • Búlgaria