Instalación de ChilliSpot

8/11/2019 Instalacin de ChilliSpot

1/21

TUTORIAL PARA LA INSTALACIN Y

CONFIGURACIN CHILLISPOT

Descarga de ChilliSpot

Lo primero que realizaremos, ser la descarga del paquete de Chillispot. ComoAdministrador, desde un terminal, ejecutamos el comento ifconfig, y, en el casoque nos ocupa, vemos que uno de los interfaces tiene conexin a internet.

Como Administrador, desde un terminal, ejecutamos el comento ifconfig, y, en elcaso que nos ocupa, vemos que uno de los interfaces tiene conexin a internet.

En concreto el interfaz eth1, con IP 172.26.0.69, nos conecta a internet.

Luego proseguimos a conectarnos desde un navegador a la web de Chillispot(http://www.chillispot.info), y en su seccin de descargas, podremos ver el enlaceal paquete. El que nos interesa es el paquete .deb.


2/21

Si le damos click al paquete de descarga *.deb, segn el navegador, no seproduce la descarga, sino que nos abre el fichero, cuyo contenido esincomprensible para nosotros. Ese es el caso de nuestra instalacin. De estaforma, lo que debemos de anotar, es la URL del paquete, y desde un terminalhacer uso de wget para dicha descarga.

Abrimos un terminal como Administrador, y tecleamos el siguiente comando:#wget

De esta forma se procede a la descarga del mismo, en la carpeta donde nosencontremos.


3/21

Una vez descargado, ya podremos verlo en nuestro directorio. En nuestro caso,en/home/Christian#

Instalar y configurar Apache 2 +SSLen Deban.

Necesitamos un servidor web con soporte SSL al cual redireccionar a losusuarios de la red inalambrica cuando intenten navegar. En nuestro casoinstalaremos Apache y los modulos respectivos para soporte SSL:# apt-get install apache2 apache2.2-common apache2-mpm-workerapache2-utils

Pasamos ahora a generar el certificado SSL con el que trabajara Apache, ya quela pgina de autentificacin, sera bajo el protocolo SSL+HTTP, es decir, HTTPS.Para ello, desde un terminal, creamos la carpeta SSL, dentro de /etc/apache2,

que es la ubicacin donde se depositara el certificado una vez creado.#mkdir /etc/apache2/ssl


4/21


5/21

# nano /etc/apache2/ports.conf

El archivo debe tener la siguiente forma:

Ahora creamos el sitio SSL. Por defecto, Apache trae el fichero default ubicadoen la carpeta /etc/apache2/sites-available/. Copiamos este archivo para luegopoder modificarlo:

# cp /etc/apache2/sites-available/default /etc/apache2/sites-available/ssl# nano /etc/apache2/sites-available/ssl


6/21

Para finalizar la configuracin de Apache, habilitamos el nuevo sitio:# a2ensite ssl

Una vez habilitado, el sitio ssl, reiniciamos el servicio apache2

Y ya podremos acceder a nuestro sitio, tanto de forma normal, como por accesoseguro SSL, tal y como se aprecia en las siguientes capturas.


7/21

Soporte TUN/NAPEn primer lugar, nuestro sistema debe tener habilitado el soporte TUN/TAP parainterfaces virtuales. Desde la terminal ejecutamos los siguientes comandos:

#apt-get install modconf

Ahora pasamos a la configuracin de TUN, por medio del comando modconf:# modconf

Con esto aparecer un recuadro que muestra las categoras de los mdulossoportados por el sistema. Para nuestro caso, buscaremos seccinkernel/drivers/net:


8/21

Haciendo uso de la tecla tab, seleccionamos Aceptar y aparecer un nuevorecuadro en el que buscamos tun. Si posee soporte debe aparecer con un signo+.

Si tenemos soporte TUN/TAP nuestro sistema posee soporte para un mduloindispensable para Chillispot, sin embargo, an debemos agregarlo al inicio delsistema.Desde terminal ejecutamos las siguientes lneas de comando:


9/21

# modprobe tun

Ahora pasamos a editar el fichero /etc/modules, y en la ltima lnea deber de

aparecer tun. Si no fuera as lo aadiremos nosotros.

# nano /etc/modules

Con la ltima lnea abrimos el archivo /etc/modules con nano. Vamos al final delarchivo y en una nueva lnea agregamos tun, quedando ms o menos as(puede variar en su sistema segn los mdulos que cargue al arrancar-la entradaTun ya estar creada en la mayora de las ocasiones).


10/21

Forwarding de direcciones IP

Nuestro equipo con Chillispot estar trabajando como un firewall, de hecho, sin

las reglas de firewall no sera posible que Chillispot funcionara. Al funcionar comofirewall. Debe tener la capacidad de hacer NAT (Network Address Translation)para lo que ejecutamos la siguiente lnea:

# echo 1 | sudo tee /proc/sys/net/ipv4/ip_forward

Alternativamente podemos utilizar nano y manualmente cambiar el valor (pordefecto 0)a 1. Este valor es un bit binario que hace las veces de unbooleano.(0=falso y1=verdadero).

# nano /proc/sys/net/ipv4/ip_forward

Ahora modificamos el archivo sysctl:

# nano /etc/sysctl.conf

Nos aseguramos que posea la siguiente lnea (si no la posee la agregamos y sise encuentra comentada con # al principio se lo quitamos) net.ipv4.ip_forward=1


11/21

Ahora ya tenemos configurado nuestro firewall para que sea capaz delredireccionamiento entre los interfaces internos y externos.

Instalacin de ChilliSpot

Para proceder a la instalacin de ChilliSpot, accederemos al directorio donde, enel primero de los puntos, nos descargamos el paquete *.deb de ChilliSpot.

Una vez en la ubicacin oportuna, en nuestro caso /home/Christian, ejecutamosel comando:#dpkgi chillispot_version.deb

Hasta aqui ya tenemos instalado Chillispot con alguna configuracion basica.Estas configuraciones se encuentran en /etc/chilli.conf donde podemosmodificarlas y aun definir otros parametros. Esto lo haremos posteriormente.Dentro de la documentacion de Chillispot encontramos el archivohotspotlogin.cgi (generalmente viene comprimido y lo encontramos comohotspotlogin.cgi.gz). Descomprimimos el archivo y lo copiamos en la carpeta

/usr/lib/cgi-bin.

# gunzip /usr/share/doc/chillispot/hotspotlogin.cgi.gz# cp /usr/share/doc/chillispot/hotspotlogin.cgi /usr/lib/cgi-bin/


12/21

Con esto ya tenemos nuestro servidor de autenticacin.

Edicin de los archivos deconfiguracin.

Los archivos de configuracin a modificar son cuatro:

/etc/chilli.conf/usr/local/etc/raddb/clients.conf/usr/lib/cgi-bin/hotspotlogin.cgi/etc/init.d/chillispot.iptables

Modificacin de chilli.conf

Aqu es donde se define los parmetros propios de ChilliSpot. 'net': Es la red sobre la cual estar trabajando Chillispot, es decir la WirelessLAN. Se debe poner con el formato /. 'radiusserver': La direccin IP de los servidores RADIUS. Es necesario indicardos servidores, aunque en nuestro caso solamente contamos con uno. Debido aque el servicio de RADIUS se encuentra corriendo en el mismo equipo,utilizamos la direccin de loopback. 'radiussecret': Cadena de caracteres que indica el secreto compartido entreChillispot y el servidor RADIUS. 'dns': Direccin IP del servidor DNS. 'dhcpif': Interfaz conectada al punto de acceso y por la que se proveer DHCP.

Dicho sea de paso que en la red sobre la que est trabajando Chillispot no debehaber ningn servidor DHCP activado, dado que este servicio lo proporcionaChillispot mismo. 'uamallowed':Aqu podemos especificar direcciones IP o nombres de dominioa los que se permitir el acceso sin autenticacin. Como minimo debemos ponerla direccin IP del servidor Web al que sern redireccionados los usuarios noregistrados y la direccin IP del Servidor de Nombres de Dominio (DNS). 'uamserver': URL del servidor de autenticacin. 'uamsecret': Secreto compartido entre Chillispot y el servidor de autenticacin.


13/21

Utilizando nano abrimos el archivo para poder editarlo:# nano /etc/chilli.conf

El archivo completo debe quedar con la siguiente estructura:


14/21


15/21

Nuestro fichero /etc/chilli.conf, tiene la configuracin denotada en las imgenesanteriores, pasamos a los siguientes ficheros de configuracin.


16/21

Modificacin de users en Freeradius

En este tutorial, se ha partido de un sistema Deban, el cual ya tena Freeradiusconfigurado, por lo que los usuarios, los cuales se configuran en el fichero

/usr/local/etc/raddb/users, ya estn creados. A modo de repaso, se puedeacceder al fichero users, anterior, y confirmar los usuarios. En el caso que nosocupa, como se puede apreciar, los usuarios son dos:

Usuario: test password: testUsuario: rauesso password: test

Al final de documento se pueden observar los usuarios, junto con la sintaxis.Podramos aadir tantos usuarios como quisiramos.

Configuracin de clients.conf

Dado a que en nuestro caso la direccin IP del servidor RADIUS es la deloopback por estar en el mismo equipo en que se encuentra Chillispot, debemosverificar que dentro de los clientes se encuentre especificado nuestro host localy si no se encuentra agregarlo. Si el caso fuera un servidor RADIUS remoto,deberamos agregar la direccin IP atraves de la cual es visible para RADIUS elhost con Chillispot. Abrimos el fichero con nano:

# nano /usr/local/etc/raddb/clients.conf

Para el primer caso expuesto, el archivo debe quedar asi:


17/21

Modificacin de hotspotlogin.cgi

Abrimos el fichero con nano:

# nano /usr/lib/cgi-bin/hotspotlogin.cgi

Lo nico que debemos hacer es verificar que no se encuentre comentada lalnea$uamsecret = secretouam; Donde secretouam es el secreto compartidoentre Chillispot y el servidor de autenticacin. Adems, descomentamos la lnea$userpassword=1;

Posteriormente, deberemos de dar permisos al fichero:

#chmod 755 /usr/lib/cgi-bin/hotspotlogin.cgi#chmod 755 /usr/lib/cgi-bin


18/21

Copia y edicin de chillispot.iptables

Chillispot ya incluye una configuracin de iptables sugerida. La podemos

encontrar dentro de su documentacin y copiarla para hacer uso de ella y de sernecesario modificarla.# cp /usr/share/doc/chillispot/firewall.iptables /etc/init.d/chillispot.iptables# chmod 755 /etc/init.d/chillispot.iptables

Despus de copiarla y darle permisos de ejecucin abrimos el archivo con nano:# nano /etc/init.d/chillispot.iptables

Luego verificamos que los parmetros INTIF y EXTIF contengan las interfacesinterna(la que va a la red inalmbrica) y externa (la que conecta a la WAN),

respectivamente.En nuestro caso queda de la siguiente manera:

EXTIF==eth0INTIF==eth1

Por ltimo agregamos las reglas al inicio del sistema:# ln -s /etc/init.d/chillispot.iptables /etc/rcS.d/S40chillispot.iptables


19/21

Configuracin de Eth0 y Eth1El eth1 debe conectar a la red interna y et0 al router que da acceso a internet.

En deban, y en el caso que nos ocupa, la configuracion es la siguiente:


20/21

Una vez confirmada la configuracion IP de cada uno de los interfaces, pasamos

a crear nuestro sitio de recepcin de peticiones de conexin.

Creacin Sitio Corporativo derecepcin de peticiones de conexin

Accedemos a nuestra carpeta /var/www, y creamos un directorio dondedepositaremos la pgina que los usuarios veran cuando se quieran conectar porprimera vez. En este ejemplo, este directorio, se llamara, por ejemplo, spot.

En su interior, con un editor, como por ejemplo nano o gedit, creamos un archivoindex.html,el cual contendr esa pequea pgina web de acceso.

En este tutorial, simplemente he creado un enlace al fichero prelogin que ofrecechillispot.

El contenido se puede observar en la siguiente captura.


21/21

Iniciando nuestro servidor Chillispot

Ahora nuestro Servicio de portal cautivo est listo para iniciarse. Basta conejecutar los siguientes comandos para iniciar Chillispot y los servicios

relacionados:

# /etc/init.d/apache force-reload#/etc/init.d/chillispot.iptables restart# /etc/init.d/chilli restart# radiusd

A la hora de lanzar radiusd, tenemos la opcin de lanzarlo en un terminalindependiente, y que las peticiones que reciba sean visibles. Para ellaprocederemos como se presenta en la siguiente captura.

Documents

Instalación de ChilliSpot