perjantai 14. syyskuuta 2007

Apple Airport Express ja Langaton Tampere

Apple Airport Express ja Langaton Tampere

PÄIVITETTY: 2009-03-04

Langattoman Tampere foorumeilla on kaipailtu rautalankaohjeita Applen Airport Expressin konfiguroimiseksi mukaan Langattomaan Tampereeseen ja teinpä sitten tuon oman tukiasemani perusteella ohjeet kuvien ja kommenttien kanssa miten tuollaisen tukiaseman saa liitettyä mukaan yhteisöön.

Yleistä

Ensiksi kannattaa katsoa laitteen langattoman puolen MAC-osoite, jonka ehkä helpoiten löytää laitteen pohjasta alla olevan kuvan osoittamasta paikasta nimellä Airport ID. Jo toiminnasta olevasta tukiasemasta tämän saa ehkä helpommin Airport Admin -työkalun avulla.



Tukiaseman voi tuon MAC-osoitteen talteen kirjoittamisen jälkeen liittää pistorasiaan ja verkkoon, sillä seuraavaksi katsotaan, mistä ja mitkä ovat oikeat asetukset tähän tukiasemaan. Uuden tukiaseman WLAN-verkko on yleensä Apple Airport jotain -nimellä ja olemassa olevaan tukiasemaanhan pääsee liittymään aivan samalla tavalla kuin normaalistikin. Itse tukiasemaa pääsee sitten säätämään Maceissa englanninkielisessä Mac OS X:ssä olevalla ohjelmalla Airport Admin, joka näyttää tältä:



Airport Admin yrittää löytää kuuluvuusalueella olevat Applen Airport -tukiasemat ja listaa ne sitten valittavaksi tuohon yllä olevaan listaansa. Listalta voi valita oman tukiasemansa ja siitä saa kätevästi myös tuon Airport ID:n, joka on sitten se Langattoman Tampereen tukiaseman lisäyksessä tarvittava ja kyselty MAC-osoite.

Tukiaseman valinnan ja Manual Setupin valitsemisen jälkeen sitten pitäisi tulla tälläinen ikkuna:



Applen tukiaseman hallintaohjelmisto on rakennettu niin, että voit ensin käydä tekemässä kaikki konfiguraatiomuutokset, jotka haluat ja vasta kun kaikki on kunnossa, käydä painamassa tuota alareunassa näkymää Update-nappulaa, jolla muutokset kerralla siirretään tukiasemaan.

Ensimmäisenä tukiaseman hallinnalle kannattaa asettaa salasana niin, että verkossasi vierailijat eivät pääse avustamaan tukiasemasi asetusten muuttamisessa. Salasanan asetus löytyy Base Station -lehden takaa.

Langattoman Tampereen tunnistuspalvelun asetukset

Osan tukiaseman asetuksista voi päättää itse, mutta olennaista on asettaa uusi verkonnimi LANGATON-WPA ja sen turvallisuusasetukset Wireless-lehdeltä. Wireless Securityksi valitaan tällöin kuvan mukaan WPA/WPA2 Enterprise.



RADIUS-asetukset saa käsiteltäväkseen valitsemalla Configure RADIUS. Primary RADIUS Serveriksi täytetään Langattoman Tampereen kotiratkaisun konfigurointitiedot. Jaetun salaisuuden (Shared Secret) löytää Langattoman Tampereen ohjeistuksesta. Kun asetukset on konfiguroitu, päästään OK:a klikkaamalla takaisin tukiaseman hallinnan pääsivulle. Ennen kuitenkaan asetusten siirtämistä tukiasemaan Update-näppäimellä, kannattaa käydä tarkistamassa vielä pari muuta asetusta.



Ikkunan ylälaidassa näkyy rivi muitakin ikoneita ja sieltä voi esim. Internet-valinnan käydä kautta varmistamassa, että tukiasema on saanut itselleen IP-osoitteen operaattorilta, ja että asetukset ovat siltä puolen oikein.

Reitittävä/NATtaava ja siltaava tila

Internet-valinnan takaa puolestaan voidaan säätää myös se, että toimiiko tukiasema reititttävässä (NATtaavassa) vai siltaavassa tilassa. Erona näillä kahdella on lähinnä se, että miten tukiasemaasi kytkeytyvät päätelaitteet saavat IP-osoitteita ja näkyvät Internettiin. Reitittävässä/NATtaavassa tilassa IP-osoitteita jakaa tukiasema ja niitä on riittävästi isollekin joukolle tukiasemaasi liittyviä käyttäjiä. Siltaavassa tilassa päätelaitteille puolestaan osoitteita jakaa ADSL-modeemi (jos se on reitittävässä/NATtaavassa tilassa) tai operaattori (jos ADSL-modeemi on siltaavassa tilassa). Operaattorit tyypilliset jakavat vain noin 5 osoitetta, joka ei välttämättä riitä, jos verkossa on jo monta konetta tai tukiasemapaikka on erityisen hyvin kuuluva tai suosittu.

Jos ADSL-modeemisi on reitittävässä tilassa eli ADSL-modeemiin kytketyt päätelaitteet ja tukiasema saavat IP-osoitteekseen yksityisen 192.168.x.x / 10.x.x.x tai 172.16-31.x.x osoitteen, voi tukiasemankin jättää siltaavaan tilaan ja osoitteita silti riittää useammallekin päätelaitteelle. Siltaavassa tilassa julkisilla osoitteilla (siis ei noilla yksityisillä) helpottuu myös se, että väärinkäytöstilanteessa pystytään selvemmin näyttämään, kuka on mitäkin IP-osoitetta käyttänyt. Reitittävässä tilassa tai reitittävän ADSL-modeemin takana olevista päätelaitteista ja käyttäjistä pystytään lähinnä toteamaan, että vaihtoehtoja IP-osoitteista tulevan liikenteen aiheuttajaksi on tämä rajattu joukko, mikä sekin voi jo riittää auttamaan väärinkäytöstapauksessa syyllisen löytämistä.

Kuten pitkästä selityksestä voi arvata, ei ole varsinaisesti yksiselitteistä vastausta kummalla tavalla tukiasema kannattaa konfiguroida joten otin tähän kuvaruutukaappauksen molemmista vaihtoehdoista.

Vaihtoehto 1: Reitittävä/NATtaava tila



Verkon voi tässä tapauksessa vapaasti valita 192.168-, 10- ja 172- alkuisista verkoista (DHCP-lehti). 172-alkuista verkkoa kannattaa suosia, sillä ADSL-modeemit yms. jakavat yleensä 192.168- tai 10-alkuisia yksityisiä osoitteita.

Vaihtoehto 2: Siltaava tila



Vaihtoehdoista kannattanee kokeilla ensin reitittävää/NATtaavaa tilaa, sillä se toimii varmemmin kun taas siltaavassa saattaa käydä niin, että vaikka asetukset olisivatkin oikein, ei niitä julkisia IP-osoitteita sitten riitä päätelaitteille. Reitittävällä tilalla pystyy varmistamaan ainakin sen, että päätelaitteet saavat joka tapauksessa IP-osoitteen onnistuneen käyttäjäntunnistuksen jälkeen.

Muita huomioitavia turvallisuusasioita

Internet-lehden lisäksi kannattaa Music-lehdelläkin asettaa mahdollisesti käyttämälleen AirTunes-ominaisuudelle salasana niin, että kuka tahansa ei voi tuupata iTunesilla musiikkia soitettavaksi tukiasemalle. AirTunes kannattaa kääntää myös pois päältä Ethernet-portista ellei sitten tarkoituksella halua sallia lankaverkon puolella olevien koneiden pääsyä soittamaan musiikkia.

Muita huomattavia turvallisuusasioita on se, että kaikki päätelaitteet ovat reitittävässä/NATtaavassa tilassa olevan tukiaseman takana samalla tasolla. Ne näkyvät tukiasemalta eteenpäin yhdellä osoitteella, mikä tarkoittaa, että esim. jos sallit kotiverkossasi pääsyn levyjakoihin, verkkolevyihin yms. tukiaseman IP-osoitteelle niin myös vierailijat voivat päästä noihin palveluihin käsiksi samalla tavalla. Kannattaa siis vähintään suojata kotiverkon palvelut tälläisessä tapauksessa salasanoilla.

Siltaava tila ei ole tältä kannalta paljoa parempi, mutta jos IP-osoitteet jakaa jokin muu laite kuin tukiasema, voit konfiguroida IP-osoitteita jakavan laitteen esim. ADSL-modeemin jakamaaan omille päätelaitteillesi aina tietyt osoitteet ja voit tarvittaessa rajata kotiverkon palveluiden tarjonnan näille osoitteille. Operaattorin sillatun tukiaseman kautta jakamissa osoitteissa taas kotiverkkoon pääsysi on ongelmakentältään samanlaista kuin mitä tahansa muuta hotspottia käyttäessä.

Asetukset päälle ja ensimmäinen kirjautuminen

Kun olet saanut konfiguroitua kaikki asetukset niin kuin haluat, voit valita tukiaseman hallintakäyttöliittymän oikeasta alakulmasta Update-komennon ja hallintaohjelmisto tallentaa asetukset tukiasemaasi ja käynnistää sen uudelleen. Joissain tilanteissa tukiaseman hallintaan tarkoitetun salasanan voimaantuloon tarvittiin vielä ihan virran katkaisu ja boottaus, mutta se saattaa toimia ilmankin. Oire oli lähinnä se, että jos hallintaohjelmistolla ei pystynyt oikeallakaan salasanalla säätämään tukiasemaa.

Kun tukiasema on herännyt, pitäisi näkyä LANGATON-WPA -verkko, jonka valitsemalla saa sitten Macissa seuraavanlaisen ikkunan:



Tuohon sitten täytetään vain ne omat tunnustiedot ja salasanat ja sitten verkkoon kirjautumisen pitäisi onnistua. Ennen tai jälkeen tuota dialogia voi käyttöjärjestelmä ilmoittaa, että on vastaanottanut uuden varmenteen. Siitä voi lisätietonappulaa klikkaamalla tarkistaa, että kyseessä on Thawten Premium Server CA:n varmenne ja todettuaan sen oikeaksi asettaa sen luotetuksi varmenteeksi. Kun tuo varmenne on kerran asetettu luotetuksi, ei sitä kysellä uudestaan ellei sitten kyseessä ole jonkun toisen väärin konfiguroitu verkko tai yritys huijata käyttäjää/päätelaitetta antamaan salasanansa väärälle palvelimelle.

Palaute ja kommentit

Palautetta, kommentteja ja parannusehdotuksia tähän ohjeeseen voi jättää blogiin tai lähettää maililla suoraan minulle (karri . huhtanen miuku archred piste fi ).

2 kommenttia:

Matti S kirjoitti...

tälle laitteelle ohje on ok. kiitos tekijälle. minulla on applen time capsule, jossa on erillinen vierasverkko. kapasiteettia olisi jakaa. miten tehdään asetukset?

Karri kirjoitti...

Itselläni on kotona Applen Airport Extreme, mutta ainakin siinä tuo vierasverkko tuki valitettavasti vain WPA(2)-PSK-tilaa (WPA1/2 Personal). Varsinaisiin WLAN-asetuksiin kyllä sitten saa WPA Enterprisen määriteltyä Langatonta Tamperetta varten, mutta samalla siinä avaa sitten turhaan pääsyn omaan sisäverkkoon. Tuon vierasverkon hyödyntäminen ei siis valitettavasti ainakaan näillä softaversioilla onnistu Applen Time Capsulella tai Applen Airport Extremellä ellei sitten Time Capsulessa ole tuon WPA Enterprisen käyttöön mahdollisuus myös vierasverkon kanssa?