多个 wpa_supplicants/dhclient 用于多个 vlan 网络

多个 wpa_supplicants/dhclient 用于多个 vlan 网络

tl;dr:如何在 debian_bulls/proxmox7 上运行的不同 vlan 中的不同 nic 上获取多个 wpa_supplicants 和 dhclient?

我一直在浏览,但找不到合适的答案。我在我们的研究实验室的 8021x WPA 网络中遇到了这个问题。

该网络由 3 个 VLAN 组成:

  • W0 - 工作人员通过代理进行互联网身份验证,使用本地
  • W1 - 通过领域进行身份验证的工作人员(例如[电子邮件保护]
  • Wifi——就我们目前的情况来说没有必要。

每栋建筑都有自己的路由器和交换机。每个用户都绑定到自己的建筑。

实验室中有一台服务器,它托管 proxmox 并为许多虚拟机提供服务。服务器位于实验室,我通常位于 B 楼。这很重要,因为我从 LAB-W1 到 B-W1 执行了所谓的领域身份验证,以便我的服务器可以从我的工作场所和家中逻辑访问。MAC 地址由管理员注册。如果身份验证失败,则回退将在 w0 代理级别注册,这对我来说也没问题

它有多个网络接口连接到 3 个端口:

  • 一个用于B-W1,
  • 一个用于 Robotic-Network 172.31.1.x...(kuka、siemens、Universal Robot 等),
  • LAB-W1 专用
  • (一个用于管理网络 - 仅限本地)

服务器现在有一些 dhcp 问题,我想有一个备用 ip,万一出现问题,我可以通过它访问它。我的想法是在 B-W1 上启动另一个 wpa_supplicant,并对 LAB-W1 进行相同的身份验证。

我不确定(其他系统管理员也不知道或没有时间)该怎么做,而且我现在不能有太多的停机时间,所以我需要一些建议

 auto lo
iface lo inet loopback

iface eno2 inet manual

auto eno1
iface eno1 inet static
        hwaddress ac:1f:6b:e9:6e:56
# assign virtual FAKE MAC to avoid duplicate dhcp request

auto vmbr1
iface vmbr1 inet dhcp
        hwaddress ac:1f:6b:e9:7e:56
        pre-up /etc/network/preup.sh
        post-down /etc/network/postdown.sh
        bridge-ports eno1
        post-up   echo 1 > /proc/sys/net/ipv4/ip_forward
        post-up iptables -t nat -A PREROUTING -i vmbr1 -p tcp -m multiport ! --dport 80,443,22,8006 -j DNAT --to 192.0.0.2
        post-up iptables -t nat -A PREROUTING -i vmbr1 -p udp -j DNAT --to 192.0.0.2

# b-w1, assigning the original NIC ENO1 MAC.
# Open firewall for all ports except 22 and 8006. April2022: 80 and 443 for nginx baremetal.
# open all udp ports to pfsense

auto enx00e04c680542
iface enx00e04c680542 inet manual
        altname eno3
# USB NIC for vmbr3 LAB-W1

auto vmbr3
iface vmbr3 inet dhcp
        hwaddress ac:1f:6b:e9:7e:73
        bridge-ports enx00e04c680542
        bridge-stp off
        bridge-fd 0
    # LAB-W1 Bridge 

auto vmbr2
iface vmbr2 inet static
        address 172.31.1.25/16
        bridge-ports eno2
        bridge-stp off
        bridge-fd 0
        hwaddress ac:1f:6b:e9:7f:60
# robonet, local access via eno2. NAT forwarding then comes via the Pfsense


auto vmbr100
iface vmbr100 inet static
        address 192.0.0.1/30
        bridge-ports none
        bridge-stp off
        bridge-fd 0
        hwaddress ac:1f:6b:e9:7f:61
        post-up   iptables -t nat -A POSTROUTING -s '192.0.0.0/30' -o vmbr1 -j MASQUERADE
        post-down iptables -t nat -D POSTROUTING -s '192.0.0.0/30' -o vmbr1 -j MASQUERADE

# firenet bridge to firewall and only for communication from server to firewall with NAT and PAT

这是我的请求者配置:

~# cat wpasupp.conf
ctrl_interface=/run/wpa_supplicant
#ctrl_interface_group=wheel
ctrl_interface_group=root

eapol_version=2
fast_reauth=0
ap_scan=0

network={
        disabled=1
        ssid="current lan"
        key_mgmt=NONE
}

network={

        disabled=0
        ssid="work-w1"
        key_mgmt=IEEE8021X
        eapol_flags=2
        phase2="auth=MSCHAPV2"
        eap=TTLS
        anonymous_identity="[email protected]"
        identity="[email protected]"
        password=hash:blabla
        ca_cert="mycert"
        subject_match="/CN=radius1.work.com"
}

硬件:Supermicro Super Server/H11SSL-i、AMD EPYC 7302P 16 核处理器、用于 B-W1 的板载 NIC、RoboNet 和管理...、USB NIC(用于试用)据我所知 realtek 芯片

答案1

好的,找到了解决方法:

auto vmbr1

iface vmbr1 inet dhcp

        hwaddress ac:1f:6b:e9:7e:56
        wpa-conf /etc/wpa_supplicant/wpasupp.conf
        wpa-driver wired

        wpa-logfile /var/log/eit-wpa.log
        wpa-debug-level 2
        #pre-up /etc/network/preup.sh
        #post-down /etc/network/postdown.sh
        bridge-ports eno1
        post-up   echo 1 > /proc/sys/net/ipv4/ip_forward
        post-up iptables -t nat -A PREROUTING -i vmbr1 -p tcp -m multiport ! --dport 80,443,22,8006 -j DNAT --to 1>
        post-up iptables -t nat -A PREROUTING -i vmbr1 -p udp -j DNAT --to 192.0.0.2

auto vmbr3
iface vmbr3 inet dhcp
        hwaddress ac:1f:6b:e9:7e:73
        #hwaddress ac:1f:6b:e9:7e:58
        wpa-conf /etc/wpa_supplicant/wpa_iras.conf
        wpa-driver wired
        wpa-logfile /var/log/iras-wpa.log
        wpa-debug-level 2
        bridge-ports enx00e04c680542
        bridge-stp off
        bridge-fd 0

唯一缺少的是 dhclient 似乎无法在两者上正常工作.. vmbr3 没有得到,但我认为这不是我的问题......

尽管如此,vmbr1 仍然不断丢失租约或至少是连接。时不时地重复握手,但 dhcp 服务器会阻止我,直到我再次请求 dhcp。

> interface vmbr
Connected to interface 'vmbr3.
> status
bssid=01:80:c2:00:00:03
freq=0
ssid=iras
id=1
mode=station
pairwise_cipher=NONE
group_cipher=NONE
key_mgmt=IEEE 802.1X (no WPA)
wpa_state=COMPLETED
address=ac:1f:6b:e9:7e:73
Supplicant PAE state=AUTHENTICATED
suppPortStatus=Authorized

EAP state=SUCCESS
selectedMethod=21 (EAP-TTLS)


> interface vmbr1

Connected to interface 'vmbr1.
> status
bssid=01:80:c2:00:00:03
freq=0
ssid=eit
id=1
mode=station
pairwise_cipher=NONE
group_cipher=NONE
key_mgmt=IEEE 802.1X (no WPA)
wpa_state=COMPLETED
ip_address=10.152.32.76
address=ac:1f:6b:e9:7e:56
Supplicant PAE state=AUTHENTICATED
suppPortStatus=Authorized

....


>

相关内容