Настройка hostapd
Теперь, когда все подготовительные действия выполнены нужно настроить собственно точку доступа - hostapd . Основной файл настроек hostapd -/etc/hostapd/hostapd.conf
. Лучше сразу создать его
резервную копию, т.к. сам файл содержит большое количество подробных
комментариев о настройке, и в случае, если вы что-то удалите - вы всегда
сможете обратиться к оригиналу:
sudo cp /etc/hostapd/hostapd.conf /etc/hostapd/hostapd.conf.originalФайл
hostapd.conf
содержит в себе список опций, которые
принимают то или иное значения и все вместе влияют на конфигурацию
hostapd . Каждая опция снабжена достаточно подробным комментарием. Вот некоторые основные опции:Параметр | Описание | Значение по умолчанию |
---|---|---|
interface | Устройство точки доступа. Т.е. то сетевое устройство, которое является Wi-Fi адаптером. Например, wlan0 или, например, ath0 в случае madwifi. | n/a |
bridge | Если используются madwifi, atheros, или nl80211 - может быть использован дополнительный параметр - bridge. С его помощью можно сказать hostapd что используемый интерфейс включен в сетевой мост. Если параметр не задан - драйверы автоматически определят интерфейс моста. | n/a |
driver | Тип драйвера. (hostap/wired/madwifi/test/none/nl80211/bsd). nl80211 для всех «Linux mac80211 drivers». madwifi для madwifi (кто бы мог подумать?) Если задать none - hostapd будет работать как выделенный RADIUS сервер, не управляя каким либо интерфейсом. | hostap |
logger_syslog logger_syslog_level logger_stdout logger_stdout_level | Опции журналирования. Два метода вывода сообщений: syslog и stdout
(последний полезен только в случае простого запуска hostapd - не в
режиме демона). Возможные значения: -1 = все модули. 0 = IEEE 802.11 1 = IEEE 802.1X 2 = RADIUS 3 = WPA 4 = driver interface 5 = IAPP 6 = MLME Уровни журналов: 0 = verbose debugging 1 = debugging 2 = informational messages 3 = notification 4 = warning | logger_syslog=-1 logger_syslog_level=2 logger_stdout=-1 logger_stdout_level=2 |
ssid | SSID (имя точки доступа) | test |
country_code | Country code (ISO/IEC 3166-1). Используется для установки региональных ограничений. Задает страну, в которой работает точка доступа. В зависимости от выбранной страны может влиять на количество и номера доспупных каналов и мощность сигнала. | US |
ieee80211d | Включить IEEE 802.11d (Интернациональные роуминговые расширения (2001)). В зависимости от параметра country_code задает список доступных каналов и устанавливает мощность сигнала на основе ограничений, действующих в этой стране. | 0 = выключено |
hw_mode | Режим работы. (a = IEEE 802.11a, b = IEEE 802.11b, g = IEEE 802.11g) | b |
channel | Номер канала (IEEE 802.11). Стоит заметить, что некоторые драйверы (например madwifi) не используют это значение из hostapd и в таком случае канал должен быть задан отдельно через утилиту iwconfig. | 0, т.е. не задан |
macaddr_acl accept_mac_file deny_mac_file | Аутентификация на основе MAC
адресов клиентских станций. Cтоит заметить, что подобный вид
аутентификации требует драйвер, использующий hostapd для управления
обработки кадров, т.е. это может быть использовано с driver=hostap или
driver=nl80211, но не с driver=madwifi. 0 = принимать клиента, если его нет в «черном списке» 1 = отклонять клиента, если его нет в «белом списке» 2 = использовать внешний RADIUS сервер. (черные/белые списки обрабатываются первыми). Черные/белые списки читаются из отдельных файлов (которые содержат MAC адреса - по одному на строку). Необходимо указывать абсолютный путь. | macaddr_acl=0 accept_mac_file=/etc/hostapd.accept deny_mac_file=/etc/hostapd.deny |
auth_algs | IEEE 802.11 описывает 2 алгоритма аутентификации. hostapd может
работать с обоими. «Открытая система» (Open system authentication)
должна быть использована с IEEE 802.1X. Значения: 0 = Open System Authentication 1 = Shared Key Authentication (требуется WEP) | 3 |
ignore_broadcast_ssid | Посылать пустое поле SSID в широковещательных сообщениях и
игнорировать запросы от клиентов, запрашивающие имя ТД. Т.е. то, что в
Wi-Fi роутерах называется «скрывать точку доступа» - клиент должен знать
SSID для соединения. 1 = посылать пустой (length=0) SSID и игнорировать probe запросы на имя ТД. 2 = очистить SSID (ASCII 0), но сохранить оригинальную длину поля (требуется для некоторых клиентов, которые не поддерживают пустой SSID) и игнорировать probe запросы. | выключено (0) |
ap_max_inactivity | Лимит неактивности клиентской станции. Если клиент ничего не передает в течение времени, указанном в ap_max_inactivity (секунды), посылается пустой дата-фрейм клиенту с целью проверки «А доступен ли он еще?» (Например, клиент мог покинуть зону покрытия ТД). Если на запрос на было ответа (ACK), станция клиента отключается (сначала деассоциируется, затем деаутентифицируется). Эта функция используется для очистки таблицы активных станций от старых («мертвых») записей. | 300 (т.е., 5 минут) |
wpa | Опции WPA. Указание этого параметра требуется чтобы заставить ТД
требовать от клиентов WPA аутентификации. (WPA-PSK или WPA-RADIUS/EAP).
Для WPA-PSK, нужно указать wpa_psk или wpa_passphrase и включить WPA-PSK
в wpa_key_mgmt. Для WPA-RADIUS/EAP, дожен быть настроен ieee8021x (без
динамических WEP ключей), должен быть сконфигурирован RADIUS сервер и
включено WPA-EAP в wpa_key_mgmt. Возможные значения: 0 = без WPA/WPA2 (не рекомендуется) 1 = WPA (не рекомендуется) 2 = IEEE 802.11i/RSN (WPA2) - на сегодня безопаснее всего. 3 = разрешена как WPA, так и WPA2 аутентификация | 1 |
wpa_psk wpa_passphrase wpa_psk_file | Ключи WPA для WPA-PSK. Могут быть заданы как 256-битным ключем в шестнадцатиричном формате (64 hex digits), так и в виде wpa_psk (в виде ASCII фразы 8..63 символа). В полседнем случае фраза будет сконвертирована в PSK, при этом используется SSID, таким образом, PSK меняется каждый раз когда меняется SSID. Дополнительно, есть возможность счтывать WPA PSK из файла, содержащего список MAC адресов и PSK (по паре MAC - PSK на строку). Таким образом можно настроить несколько PSK. Нужно указывать абсолютный путь до файла с ключами. | n/a n/a /etc/hostapd.wpa_psk |
wpa_key_mgmt | Список принимаемых алгоритмов управления ключами. (WPA-PSK, WPA-EAP, или оба). Записи разделются проблами. Можно использовать WPA-PSK-SHA256 и WPA-EAP-SHA256 для# более стойких алгоритмов, основанных на SHA256. | WPA-PSK WPA-EAP |
wpa_pairwise rsn_pairwise | Набор принимаемых алгоритмов шифрования. Разделенный пробелами список алгоритмов: CCMP = AES in Counter mode with CBC-MAC [RFC 3610, IEEE 802.11i/D7.0] TKIP = Temporal Key Integrity Protocol [IEEE 802.11i/D7.0] | Парные алгоритмы шифрования для WPA (v1) (по умолчанию: TKIP) wpa_pairwise=TKIP CCMP Парные алгоритмы шифрования для RSN/WPA2 (по умолчанию: используется значение wpa_pairwise) rsn_pairwise=CCMP |
Комментариев нет:
Отправить комментарий