運用 Raspberry Pi 架設 FreeRADIUS + DaloRADIUS,結合 Unifi AP 進行認證連線

Posted on Leave a commentPosted in 網路工程

雖然新的Unifi Cloud key  Beta 版本內部已經內建FreeRadius Server.
但是穩定性不佳 因此本案例是使用Raspberry Pi來做FreeRasius Server+ DaloRadius的GUI.
同樣可以架設Unifi 與其他Radis Server驗證.

首先下載 RASPBIAN JESSIE 安裝作業系統,安裝完畢之後先接上螢幕跟鍵盤滑鼠來操作,因為還沒開啟SSH,無法遠端登入。

 

再來使用 sudo rasps-config,選第五項

 

再選SSH去啟動

 

離開之後再使用以下指令更新:

然後再重開機。

 

完成之後就開始使用遠端登入 Raspberry Pi 做操作,這次實驗的結構圖如下

 

然後就要安裝 Apache、MySQL、PHP

 

安裝完畢之後下載 DaloRADIUS 安裝檔,在 RASPBIAN JESSIE 裡,apache 的預設路徑是在 /var/www/html,前面的版本是在 /var/www/,這個分別要注意一下。

 

然後開始建立 FreeRADIUS/DaloRADIUS 的資料庫,這邊登入MySQL的密碼都是登入作業系統的密碼。

 

然後要設 定DaloRADIUS 與資料庫連結

 
找到相同的段落並把值填進去 

 

FreeRADIUS的使用者名單路徑是在 /etc/freeradius/users,在做資料庫連結前最好先做測試來檢查運作是否正常。 

 

更改下面這兩行 :

變成這樣: 

 
然後停止 freeradius 服務並進入偵錯模式

 

如果全部都執行正確應該會在最後一行看到這樣的資訊:

再按下 ctrl+c 結束連線。

重新啟動 freeradius 服務

使用 radtest 來確定可以通過認證 

 

成功會看到下面的訊息:

 

這些都通過就可以切換到MySQL認證的部份

 

對下面這兩行的內容刪除掉註解符號: 

 

改成: 

 

再把 /etc/freeradius/sql.conf 內的資訊修改成前面更改過的帳號密碼:


 

編輯 /etc/freeradius/sites-enabled/default 並把所有 sql 前的註解都拿掉 

 

把 authorize{} 中 sql 前的註解符號刪掉

 

把 accounting{} 中 sql 前的註解符號刪掉

 

把 session{} 中 sql 前的註解符號刪掉

 

把 post-auth{} 中 sql 前的註解符號刪掉

 

測試設定的結果,先停止 freeradius 服務

 

再啟用 freeradius 偵錯模式

 

沒有顯示任何錯誤就可以繼續進行下去。

然後要將無線基地台設定為 client 才能讓其他裝置透過 client 與 FreeRADIUS 主機連線。

 

最下面新增 AP 的資訊

 

重新啟動 FreeRADIUS 服務

 

都設定正確的話就能夠使用web介面登入DaloRADIUS來設定FreeRADIUS,在我們的例子中就是
http://192.168.1.110/daloradius
 
會看到這樣的畫面
 
預設帳號:administrator
預設密碼:radius
 
登入後
 
主畫面下選擇 Management點左邊的New User
 
在User輸入要新增的帳號及密碼,密碼模式選擇 Cleartext 作為連線測試並按下 apply 新增
 
新增的使用者可以使用List User 檢查
 
然後點選 Config 的 Maintenance,點左邊的 Test User Connectivity
 
輸入帳號跟密碼點下 Perform Test
 
 
都有運作的話應該會有像下面的畫面及最後一行的訊息:Access Accept
 
目前為止可以判定 daloRADIUS 是可以運作的
 
監控使用者的流量使在 Accounting 的 User Accounting及Date Accounting
 
 
接下來是與 Unifi 操作系統整合,
 
進入Unifi 管理介面的設定選擇 Wireless Network,並選擇 CREATE NEW WIRELESS NETWORK
 
 
在 Security 選擇 WPA Enterprise
 
 
IP輸入RADIUS server 的 IP:192.168.1.110,password 輸入 testing123,按下Save就完成該設定的部份
 
 
 
 
 
這時候如果使用筆電或手機等裝置做網路連線卻連不上,有兩個地方要注意:
1. 修改  /etc/freeradius/sites-enabled/inner-tunnel,將 sql 的項目的註解符號都移除然後存檔並重新啟動 freeradius 服務。
2. 使用 DaloRADIUS 介面新增使用者的時候,password type 請使用 cleartext-password,不然也會無法驗證密碼。 

如何抓取IP CAM RTSP位置與非同牌NVR整合方法

Posted on Leave a commentPosted in 網路工程
很多人都以為 NVR 跟IP CAM搭配一定要相同品牌.
實際上可以使用IP CAM 單純送出的RTSP 封包給NVR 
以下講解 介紹HIKVISION NVR和HIKVISION IPCAM與別牌IPCAM的連結該注意的事項:
1.HIKVISION NVR和HIKVISION IPCAM的連結:
(1)假設你用的環境是只有HIKVISION IPCAM, 那麼你可以每台自行設定每台的IP位址
(2)如果你用的環境是HIKVISION NVR和HIKVISION IPCAM的連結, 那麼千萬不要去設定每台的IP位址
因為NVR在Local端操控介面上面, 已經有自動搜尋區域網路上的HIKVISION IPCAM功能 (但是用遠端Browser界面連上去反而不是很順利,不一定找得到IPCAM)
在找到HIKVISION IPCAM之後再加入NVR的通道之後, 居然自動去改掉每台HIKVISION IPCAM的IP位址
因此前面每台HIKVISION IPCAM的IP位址設定都被洗掉, 還以為用之前的IP位址找不到而在浪費時間找問題
HKVISION_03
2.HIKVISION NVR與別牌IPCAM的連結:
基本上能夠自動搜索只有支援HIKVISION IPCAM, 別牌IPCAM只能手動設參數連接, 但是這個參數還要有些技術問題需設定, 步驟如下:
 
(1)抓出 RTSP連結位置 
有下面方法 web 分析法
HKVISION_02
 
(2)在NVR的通道設定加入該特定的語法+位址/UserName/Passowrd
HKVISION_01
 

直播超高流量負載 Wifi部署心得

Posted on Leave a commentPosted in 網路工程

OSSLab 接到一場直播比無線網路規劃,做這種WLAN規劃,第一部就是算流量,詢問直播APP開發方表示,每個 client  直播所佔用的Upload 頻寬約 1Mb/s,到場約100人  由於現場場地限制只能申請到100M/40M線路,加上準備時間很少.

因此規劃上 每組
Fortigate 60C +Unifi Cloud Key (Wifi 控制器) + Unifi AC Pro AP, 中華電信 100M/40M 的光纖,總共三組
另外二組則使用Vigor設備.Cloud Key 外部認養

配置圖如下:

 

WLAN  設定基本功

  1. 盡量使用5G 少用2G 
  2. 相鄰頻道切開
  3. 均衡AP的連線數
       

直播連線比賽前做的策略是以前三台 AP 為主,每台配置 30 人左右,不足的再分流至後面兩個 AP。

 

不過實際比賽開始之後,發現有 AP 開始連線情況不佳,經過檢查發現有使用者的上傳流量極為異常,累積使用量上升的非常高速,後來將其阻擋之後 2 號 AP 回復正常運作,不久後發生連續封包掉落,無法遠端控制,決定強制重啟重新建立連線,之後沒有再發生異常斷線過。

 

 

幫在場使用者調度不同的基地台以取得更好的連線品質,把些狀況整理下:

  1. 設備最好要有充足時間進行過真正的模擬測試:因為這是以往沒有過的高壓力網路使用情況,理想狀況上要真正用足夠數量的裝置去安裝要使用的軟體做真正的連線壓力測試才能確保沒有環節出錯,因為就像現場收集到的使用量,跟一開始推測的 1Mb/s 有一段差距,有時用量會高達 1MB/s,這對於需要多少設備才能撐住現場使用量的估算會產生極大的誤差。
  2. 系統配置的記錄:需要將每個設備的命名規則更簡化,因為雖然自己知道是怎麼設定的,但是需要協同處理狀況時會讓別人無法明白狀況而無法快速上手,這部份需要改進。現場要有一份詳細網路設定的文件
  3. 場地現場有許多隱藏的 2G 頻段 SSID,頻道有許多覆蓋跟干擾,有的裝置無線晶片比較好的干擾會比較少,但是無法限制參加者使用的裝置,這部份會有效能上的影響,再有類似環境的話要盡量請場地方關掉這些WLan。

改進方法

  1. 架構上的更換, AP還是使用單一控制器認養,比較好管理
  2. 更多數量的AP
  3. 更換802.11ac MU MIMO AP 並且對Switch 做link aggregation 
  4. 盡量使用單一高上傳線路 ,如果多線路的話分別對應做VLAN TAG
  5. 設定Guest Wlan.
  6. AP要開最小功率,Roaming不打開.(但是為了技術挑戰看狀況會想打開嘗試)

改進用的設備

  1. Unifi AC HD Pro Wave 2 AP * 10
  2. Unifi Cloud 控制器 *1 
  3. Unifi 48 port Poe Switch *1
  4. NAT 設備 OptiPlex 7020SFF  i5-4590 8G  64G SSD , pfsense soft Router  (搭配5 1000M Lan , 2  10GbE SFP+) 以10GbE 跟Unifi 48 Port Switch相連
  5. 500M/250M  ,1000M/600M線路* 2~4

這樣應該可以應付到400人規模直播應用.

附註筆記 

將 AP 回收之後,打算將 log 取出進行檢查,根據官方文件有寫可以透過 SSH 去存取 AP 內的資料取得 log,不過當再次通電之後,發現 log 已被洗空,因此如果要取出 AP 內的資料,必須在斷電之前取出,不過因為有配備控制器的架構,因此可以從控制器取得 log,兩者的位置如下:

 

AP 上的路徑:
/var/log/messages

控制器上的路徑:
Windows: C:\Users\<username>\Ubiquiti UniFi\logs\
Mac OS X: /Users/<username>/Library/Application\ Support/UniFi/logs/
UniFi Cloud Key and Debian/Ubuntu Linux*: /usr/lib/unifi/logs/

 

可透過 SCP 指令將 log 取出至電腦。

Unifi 簡介

Posted on Leave a commentPosted in 網路工程

Unifi 的設備分為Cloud Key、Security Gateway、AP,功能分別為:

Cloud Key:管理所有設備的主控制器,上網及AP的設定需透過這邊來完成

Security Gateway:可作為DHCP,若要監控流量一定需要使用這個設備

AP:讓使用者運用無線網路連線使用

首先安裝 Chrome 瀏覽器,然後進入Chrome應用程式商店搜尋Ubiquiti Device Discovery Tool,安裝完畢之後執行UBNT Discovery,就會開始搜尋 Unifi 裝置以找到 Cloud Key 所使用的 IP 來進行控制,也可以透過檢查內部 DHCP 列表獲得 IP 來進行控制

正確找到IP後會進入此頁面,這是 Cloud Key 的入口介面,下方為 Cloud Key 的設定,經過第一次使用的設定後不需要再進去設定。上方則為主要的管理介面,所有功能管理均透過這邊來設定,點下MANAGE進入管理介面。

帳號輸入 admin,密碼輸入adminadmin

這是進階功能也已經啟動的資訊主頁,左方黑條為功能選單,上半部為使用者及設備狀態控管,下半部為設備基礎設定。

首先設定環境,按下左下角的設定再進入Wireless Networks

Unifi 的使用概念是先做分組設定檔,再由設定檔之中設定網路SSID,設定AP時需先選擇分組設定檔,再選擇頻段要使用哪個SSID

這邊我們直接使用Default作為設定檔,在這裡建立了1234與UnifiTEST,可透過左下的CREATE NEW…來建立新的SSID,一個設定檔最多建立4個SSID

建立SSID,設定好名稱、加密方式,以及是否要啟用Guest,啟用的話同一個網段之下的設備互相不能溝通以提高安全性

進階的選項展開可以設定VLAN、使用排程,User Group要先在別處設定,這功能提供基本的流量限速,但是建議這功能應該在防火牆或Core Switch進行設定。

在這裡建立了Pretest設定檔,然後建立了2.4G跟5.2G的SSID來做示範

點左上的DEVICES可以看到目前管理中的設備

點一下AP右方會出現設定介面

點下 Configuration 會看到更多的設定項目

點開WLANS,它的設定概念是,在不同頻段下,要顯示出哪個SSID來做連線

例如在2G頻段下應該要把5.2G的SSID關掉,就點右邊的鉛筆圖案(ACTIONS),把Enabled勾選取消並儲存,在5G也同樣把2.4G取消

設定完是以下的畫面,連上2.4G就會走2G,連上5.2G就會走5G頻段,如果設定錯誤就可能混亂或顛倒。

以上為基本的無線網路設定方式,設定完成之後讓使用者能連上無線網路接著才能進行進階的流量分析。

再來是Switch,這邊所使用的是UniFi Switch 48 POE-500W,一樣透過管控介面將其加入。

加入完成會顯示在DEVICES,點下去會出現這樣的介面

可以看到不同速度的裝置顯示的顏色不同,有透過 PoE 供電的也會顯示”+”號,以及一些基本的數據。

點下Ports,則可以看到每個連接裝置的狀態,像是速度、耗電量等,點擊鉛筆圖示可以針對該網孔做更多設定

可以將該網孔重新命名方便辨識,以及調整供電方式與設定VLAN以及一些進階設定。

在Configuration可以看到這些設定項目

功能面的設定還有SERVICES,其餘均為系統維護設定。若需要更多設定,請打開terminal並按兩下tab,或者輸入help即可取得支援的指令列表。

接下來回到管理介面的設定,搭配Security Gateway,勾選 DPI 功能,就會開始收集封包進行分析

點右下角的DEEP PACKET INSPECTION就可以看到上網的使用量分布,例如流量類別:

哪些程式吃掉流量

哪個使用者用掉最多流量等資訊都可以看到

這些是Unifi的設備搭配可以使用的功能,方便進行管理以檢測流量的異常。