大掃除のついでに換装した「LD-WL54G/PCI(エレコム)」を使用し、WPA2-PSK対応の無線LANアクセスポイントを構築した。
世間的にはWEP全盛だったりするが、元々脆弱だし、ちょっと前にWEPキーを数分間程度パケットを傍受するだけで解読してしまう手法が公開されたので、流石に使い続けるのは良くない。最近も職場でテレワーク環境(自宅から)の構築支援を依頼され、NW部分についてはWEPでの無線LANを使用中とのことだったので、WPA2-PSK対応の無線LANルータの紹介をしたりしている。
で、これ、以前もチャレンジしたのだが、WEPモードでは問題なく動作しても、WPAを有効にした途端にasociatedとdeasociatedが繰り返されて使い物にならない、というトラブルで断念。今回は、
Madwifi:madwifi-0.9.3.1.tar.bz2
hostapd:hostapd-0.5.7.tar.gz
の組み合わせで、とりあえずWPA-PSK及びWPA2-PSKでの動作はした。設定その他はサンプル設定ファイルのうち、essidとpassphraseくらいを変えるだけなので割愛。ちなみに有線LANと同一セグメントにするブリッジモードではなく、別セグメントにするルータモード。
「とりあえず」の意味は、WPA-PSK、WPA2-PSKともにAESモードでは頻繁にパケットが「詰まる」から。TKIPモードでは今のところ問題が出ていないので、WPA2-PSK(TKIP)を使用している。実用上は問題はない。贅沢を言うとAESモードでも正常動作して欲しいが、これは時間の問題か……。
忘れちゃいけない付随作業は以下。
ちなみに無線セグメントは192.168.10.0/24。
・iptables
こんな感じ。要するに、インタフェースath0に対し、IPマスカレードで有線及び仮想線と接続し、ath0のACCEPTを仕込んでやればよい。で、再起動。
・BIND
allow-queryに192.168.10.0/24を追加、再起動。
・Samba
hosts allowに192.168.10.0/24を追加、再起動。
こんなところか。
ちなみにスループット的には十分である。
LANケーブルの取り回しも不要になったし。
ちなみにhostapdはEAPやIEEE802.1x認証、要するにエンタープライズレベルの機能も有しているが、とりあえず個人レベルであればWPA2を使っていればセキュリティ上は申し分ない。WiiもWPA2-PSK対応なので、あとで繋げてみよう。