mociの日記: 無線LAN 2
手段と目的とがゴッチャになってきた感があるので、状況を整理。
1. WEP必須
ただし、長さへの言及はなし。くわえて、
1A. WEPキーの動的変更
1B. または、VPN等
Aができなければ、Bでもよい。ただし無線LANを別セグメントとし、さらに暗号化を伴うVPNなどで接続すること。
2. 個人認証
2A. アクセスポイントで認証
2B. または、VPN等
Aができなければ、Bでもよい。なお、ログは3ヶ月保存。
期限は今月いっぱい。自社の期限が間に挟まるが、調整は可能の見込み。ちなみに自部門(ただしサイフを握っているのは別拠点)は予算をいっさい認めなかった。この時点で、802.1x対応の製品を「購入する」のはナシ。
そもそもこれまで使ってきたアクセスポイント(以下、AP)が64bitまでのWEPキーにしか対応しておらず、また(これは後から知ったが)無線LANカードにも64bitまでしか対応していないものがあった。ESS-IDの非通知と128bitのWEPキーはなんぼなんでも必須でしょうと、設備要求は出していたのだが、それ以上の要求が親会社から来たにも関わらず、全額却下とは何を考えているのか。あなたがたは我々に無線LANを使うな、と言いたいのか。いや、話がそれた。
既存APを使うとしても、802.1xに非対応である以上、取り得る手段は1Bおよび2Bしかない。しかしその場合、せっかく無線LANの存在するセグメントを分けるというのに、APの制御のために当該セグメント内への通信を通すよう設定するのはおもしろくないし、管理面でも面倒だ。
さいわい、Prismチップを使った無線LANカードが一番たくさんある。その一方で、そろそろスペックも限界に達し、液晶もおかしくなりかけているノートPCもある。Hostapを使ってこのノートPCと無線LANカードでAPを構築し、同時に無線と有線のセグメントを分けるゲイトウェイとし、VPNをも司れば、1Bおよび2Bの条件は満たせる。実験も成功した。さらに将来的には、同じ構成で1Aおよび2Aの環境に移行することも可能なのではないかとさえ思われる。
だがしかし。
実験はDebianのsargeを使い、カーネルにMPPEパッチ(パッチ自体はsargeのパッケージである)を当てて構築、さらにhostapのモジュールも作成、pppdはMPPE対応のrpmを分解して行った。このまま運用するのは、まずsargeがいまだtestingである点をつっこまれでもしたらと思うと、不安がある。さらに、できあいのパッケージをそのまま使っているのではない点で、今後の管理にも難点がある。他の誰かに管理を引き継ぐことが困難なのでは、自分が困るだけである。
Gentooには標準でMPPEに対応しているカーネルのパッケージがあるという話を知って大いに期待したのだが、MMX Pentium 133MHz、HDD 2GB、CD-ROM起動不可というハードウェアでは、なかなかうまくいかないでいる。woodyのインストーラをFD起動し、最終的にswapにするつもりのパーティションをルートにしてインストールをすすめ、有線のLANカードが使える状態までセットアップする。そこからGentooのセットアップに移行する。ただしbzip2がないので、あらかじめ伸長しておいたイメージを使う。せっかくだからとステージ1から始めたら、まる一日かかった挙句、ステージ2に入ることもかなわず、エラーとなって終了。
また、この時点でdfを見ると、既に50%近くも使われており、たとえステージ3から始めてインストールに成功したとしても、運用後のアップデートを繰り返していくと、いずれディスクが足りなくなりそうでこわい。もっと容量の大きい2.5"HDDが余っているわけもなく、予算がないので購入することもできない。既存のマシンからNFSをかけるか、あるいはまた1枚だけSCSIカードがあるので、外付けHDDを接続する手もなくはないが、どちらも管理上面倒だし、後者は電源確保の問題も生じる。
ただしAPについては、技術的に可能なことは既に実証済みであり、遠からず802.1x対応環境へ移行することを前提としてよければ、管理上の不都合はその時点で解決されていることを条件として、いったん棚上げとすることもできるだろう。あらかじめ短期間の利用と分かっていれば、事例の多いRed Hatを使うことで、初めから他の誰かに管理を任せることも不可能ではない。多分、誰もやらないだろうけど。
個人認証を条件に挙げられているのに、パスワードが平文で管理というのもおもしろくないが、これもまた一時的な状況であるとすれば、我慢できなくもない。
クライアントに目を向けると、頭の痛いことに無線LANカードが足りなくなる。そもそも無線LANの利用を想定しているマシンが11台あるのに、無線LANカードは9枚しかなく、うち1枚は前述の通り、128bit長のWEPキーに対応していない。
なにより、いまAPにしようとしているノートPCにしてからが、専用に割り当てられた無線LANカードを持たず、他のマシンと共用で、時に有線でつなぎ、時に無線でつなぐという運用を行っていたものだった。ここでAPのために無線LANカードを占有してしまうことにより、確実に無線LANを使えなくなるマシンが生ずる。また、802.1x対応に向けた実験環境を用意するとなれば、やはり同様の運用下にあるノートPCを用いることになるため、さらに不足が生じる。
無線LANを使い続けられるようにするための工夫であるにも関わらず、それで無線LANを使えなくなるマシンが生じるようでは、まったくおもしろくない。
woody+MPPEパッチ+MPPE対応pppdパッケージ作成 (スコア:1)
Debianに精通しているわけでも、Linuxで無線AP作ったことがあるわけでもないので、情報量ゼロの感想にしかならないのですが…。無線LANカードが足りないのはどうしようもないとして、APの作成についてです。
自作パッケージやパッチ当て必須だと引き継ぎが難しくなるので不可、というなら却下になりますが、woody+MPPEパッチ+MPPE対応pppdのdebパッケージ作成だとどうでしょうか。testingのsargeを使う(心配|懸念)からはかなり解放されると思うのですが。
GentooをCeleronの遅いマシンでStage2インストールを試みて、半日かかっても終わらずに途中で止めた苦い思い出で経験値ゼロなのと、mociさんの場合はインストールに問題があるようなので、Gentooに関してはここでは考慮に入れませんでした。
Re:woody+MPPEパッチ+MPPE対応pppdパッケージ作成 (スコア:1)
ご助言、ありがとうございます。
無線LANカードをAPにするHostapへの対応が、sargeの方が充実していたものですから、woodyで作るという視点が欠けていたようです。どのみちカーネルを再構築する必要もあるのですから、試してみる価値は高いですね。
Hostapは、ちょうどALSAやlm-sensorsのように、カーネルに合わせてコンパイルの必要なドライバ・ソースのパッケージ(hostap-source)と、コンパイル不要のパッケージ(hostap-utils, hostapd)とに分かれているようです。その意味では、VPNでの運用を目指す現段階で、最小限必要なパッケージがどれなのか、ちゃんと見極められていないという面もありますね。まだまだやることは、たくさんありそうです。