TUTORIAL PARA LA INSTALACIN Y

CONFIGURACIN CHILLISPOT

Descarga de ChilliSpot

Lo primero que realizaremos, ser la descarga del paquete de Chillispot. Como
Administrador, desde un terminal, ejecutamos el comento ifconfig, y, en el caso
que nos ocupa, vemos que uno de los interfaces tiene conexin a internet.

Como Administrador, desde un terminal, ejecutamos el comento ifconfig, y, en el
caso que nos ocupa, vemos que uno de los interfaces tiene conexin a internet.
En concreto el interfaz eth1, con IP 172.26.0.69, nos conecta a internet.




Luego proseguimos a conectarnos desde un navegador a la web de Chillispot
(http://www.chillispot.info), y en su seccin de descargas, podremos ver el enlace
al paquete. El que nos interesa es el paquete .deb.


Si le damos click al paquete de descarga *.deb, segn el navegador, no se
produce la descarga, sino que nos abre el fichero, cuyo contenido es
incomprensible para nosotros. Ese es el caso de nuestra instalacin. De esta
forma, lo que debemos de anotar, es la URL del paquete, y desde un terminal
hacer uso de wget para dicha descarga.



Abrimos un terminal como Administrador, y tecleamos el siguiente comando:
#wget <url_paquete>

De esta forma se procede a la descarga del mismo, en la carpeta donde nos
encontremos.




Una vez descargado, ya podremos verlo en nuestro directorio. En nuestro caso,
en /home/Christian#


Instalar y configurar Apache 2 +SSL
en Deban.

Necesitamos un servidor web con soporte SSL al cual redireccionar a los
usuarios de la red inalambrica cuando intenten navegar. En nuestro caso
instalaremos Apache y los modulos respectivos para soporte SSL:
# apt-get install apache2 apache2.2-common apache2-mpm-worker
apache2-utils



Pasamos ahora a generar el certificado SSL con el que trabajara Apache, ya que
la pgina de autentificacin, sera bajo el protocolo SSL+HTTP, es decir, HTTPS.
Para ello, desde un terminal, creamos la carpeta SSL, dentro de /etc/apache2,
que es la ubicacin donde se depositara el certificado una vez creado.
#mkdir /etc/apache2/ssl




Una vez creado el directorio ssl, pasamos a crear el certificado, por medio del
comando makessl-cert.

# make-ssl-cert /usr/share/ssl-cert/ssleay.cnf /etc/apache2/ssl/apache.pem


Llenamos los datos que pida segn sea nuestro caso y luego habilitamos el
modulo:
# a2enmod ssl



Debemos verificar que Apache este configurado para escuchar por el puerto 443
cuando trabaje con el modulo SSL (las versiones recientes de Apache suelen ya
venir configuradas de esta manera):
# nano /etc/apache2/ports.conf

El archivo debe tener la siguiente forma:






Ahora creamos el sitio SSL. Por defecto, Apache trae el fichero default ubicado
en la carpeta /etc/apache2/sites-available/. Copiamos este archivo para luego
poder modificarlo:

# cp /etc/apache2/sites-available/default /etc/apache2/sites-available/ssl
# nano /etc/apache2/sites-available/ssl


Para finalizar la configuracin de Apache, habilitamos el nuevo sitio:
# a2ensite ssl



Una vez habilitado, el sitio ssl, reiniciamos el servicio apache2




Y ya podremos acceder a nuestro sitio, tanto de forma normal, como por acceso
seguro SSL, tal y como se aprecia en las siguientes capturas.



Soporte TUN/NAP
En primer lugar, nuestro sistema debe tener habilitado el soporte TUN/TAP para
interfaces virtuales. Desde la terminal ejecutamos los siguientes comandos:

#apt-get install modconf



Ahora pasamos a la configuracin de TUN, por medio del comando modconf:
# modconf

Con esto aparecer un recuadro que muestra las categoras de los mdulos
soportados por el sistema. Para nuestro caso, buscaremos seccin
kernel/drivers/net:




Haciendo uso de la tecla tab, seleccionamos Aceptar y aparecer un nuevo
recuadro en el que buscamos tun. Si posee soporte debe aparecer con un signo
+.



Si tenemos soporte TUN/TAP nuestro sistema posee soporte para un mdulo
indispensable para Chillispot, sin embargo, an debemos agregarlo al inicio del
sistema.
Desde terminal ejecutamos las siguientes lneas de comando:







# modprobe tun



Ahora pasamos a editar el fichero /etc/modules, y en la ltima lnea deber de
aparecer tun. Si no fuera as lo aadiremos nosotros.

# nano /etc/modules



Con la ltima lnea abrimos el archivo /etc/modules con nano. Vamos al final del
archivo y en una nueva lnea agregamos tun, quedando ms o menos as
(puede variar en su sistema segn los mdulos que cargue al arrancar-la entrada
Tun ya estar creada en la mayora de las ocasiones).



Forwarding de direcciones IP

Nuestro equipo con Chillispot estar trabajando como un firewall, de hecho, sin
las reglas de firewall no sera posible que Chillispot funcionara. Al funcionar como
firewall. Debe tener la capacidad de hacer NAT (Network Address Translation)
para lo que ejecutamos la siguiente lnea:

# echo 1 | sudo tee /proc/sys/net/ipv4/ip_forward

Alternativamente podemos utilizar nano y manualmente cambiar el valor (por
defecto 0)a 1. Este valor es un bit binario que hace las veces de un
booleano.(0=falso y1=verdadero).

# nano /proc/sys/net/ipv4/ip_forward






Ahora modificamos el archivo sysctl:

# nano /etc/sysctl.conf



Nos aseguramos que posea la siguiente lnea (si no la posee la agregamos y si
se encuentra comentada con # al principio se lo quitamos) net.ipv4.ip_forward=1



Ahora ya tenemos configurado nuestro firewall para que sea capaz del
redireccionamiento entre los interfaces internos y externos.


Instalacin de ChilliSpot

Para proceder a la instalacin de ChilliSpot, accederemos al directorio donde, en
el primero de los puntos, nos descargamos el paquete *.deb de ChilliSpot.

Una vez en la ubicacin oportuna, en nuestro caso /home/Christian, ejecutamos
el comando:
#dpkg i chillispot_version.deb


Hasta aqui ya tenemos instalado Chillispot con alguna configuracion basica.
Estas configuraciones se encuentran en /etc/chilli.conf donde podemos
modificarlas y aun definir otros parametros. Esto lo haremos posteriormente.
Dentro de la documentacion de Chillispot encontramos el archivo
hotspotlogin.cgi (generalmente viene comprimido y lo encontramos como
hotspotlogin.cgi.gz). Descomprimimos el archivo y lo copiamos en la carpeta
/usr/lib/cgi-bin.

# gunzip /usr/share/doc/chillispot/hotspotlogin.cgi.gz
# cp /usr/share/doc/chillispot/hotspotlogin.cgi /usr/lib/cgi-bin/




Con esto ya tenemos nuestro servidor de autenticacin.

Edicin de los archivos de
configuracin.

Los archivos de configuracin a modificar son cuatro:

/etc/chilli.conf
/usr/local/etc/raddb/clients.conf
/usr/lib/cgi-bin/hotspotlogin.cgi
/etc/init.d/chillispot.iptables

Modificacin de chilli.conf

Aqu es donde se define los parmetros propios de ChilliSpot.
'net': Es la red sobre la cual estar trabajando Chillispot, es decir la Wireless
LAN. Se debe poner con el formato <direccin IP>/<mascara de subred>.
'radiusserver': La direccin IP de los servidores RADIUS. Es necesario indicar
dos servidores, aunque en nuestro caso solamente contamos con uno. Debido a
que el servicio de RADIUS se encuentra corriendo en el mismo equipo,
utilizamos la direccin de loopback.
'radiussecret': Cadena de caracteres que indica el secreto compartido entre
Chillispot y el servidor RADIUS.
'dns': Direccin IP del servidor DNS.
'dhcpif': Interfaz conectada al punto de acceso y por la que se proveer DHCP.
Dicho sea de paso que en la red sobre la que est trabajando Chillispot no debe
haber ningn servidor DHCP activado, dado que este servicio lo proporciona
Chillispot mismo.
'uamallowed': Aqu podemos especificar direcciones IP o nombres de dominio
a los que se permitir el acceso sin autenticacin. Como minimo debemos poner
la direccin IP del servidor Web al que sern redireccionados los usuarios no
registrados y la direccin IP del Servidor de Nombres de Dominio (DNS).
'uamserver': URL del servidor de autenticacin.
'uamsecret': Secreto compartido entre Chillispot y el servidor de autenticacin.




Utilizando nano abrimos el archivo para poder editarlo:
# nano /etc/chilli.conf


El archivo completo debe quedar con la siguiente estructura:

























Nuestro fichero /etc/chilli.conf, tiene la configuracin denotada en las imgenes
anteriores, pasamos a los siguientes ficheros de configuracin.

Modificacin de users en Freeradius

En este tutorial, se ha partido de un sistema Deban, el cual ya tena Freeradius
configurado, por lo que los usuarios, los cuales se configuran en el fichero
/usr/local/etc/raddb/users, ya estn creados. A modo de repaso, se puede
acceder al fichero users, anterior, y confirmar los usuarios. En el caso que nos
ocupa, como se puede apreciar, los usuarios son dos:

Usuario: test password: test
Usuario: rauesso password: test





Al final de documento se pueden observar los usuarios, junto con la sintaxis.
Podramos aadir tantos usuarios como quisiramos.





Configuracin de clients.conf

Dado a que en nuestro caso la direccin IP del servidor RADIUS es la de
loopback por estar en el mismo equipo en que se encuentra Chillispot, debemos
verificar que dentro de los clientes se encuentre especificado nuestro host local
y si no se encuentra agregarlo. Si el caso fuera un servidor RADIUS remoto,
deberamos agregar la direccin IP atraves de la cual es visible para RADIUS el
host con Chillispot. Abrimos el fichero con nano:

# nano /usr/local/etc/raddb/clients.conf

Para el primer caso expuesto, el archivo debe quedar asi:


Modificacin de hotspotlogin.cgi

Abrimos el fichero con nano:

# nano /usr/lib/cgi-bin/hotspotlogin.cgi



Lo nico que debemos hacer es verificar que no se encuentre comentada la
lnea$uamsecret = secretouam; Donde secretouam es el secreto compartido
entre Chillispot y el servidor de autenticacin. Adems, descomentamos la lnea
$userpassword=1;




Posteriormente, deberemos de dar permisos al fichero:

#chmod 755 /usr/lib/cgi-bin/hotspotlogin.cgi
#chmod 755 /usr/lib/cgi-bin




Copia y edicin de chillispot.iptables


Chillispot ya incluye una configuracin de iptables sugerida. La podemos
encontrar dentro de su documentacin y copiarla para hacer uso de ella y de ser
necesario modificarla.
# cp /usr/share/doc/chillispot/firewall.iptables /etc/init.d/chillispot.iptables
# chmod 755 /etc/init.d/chillispot.iptables





Despus de copiarla y darle permisos de ejecucin abrimos el archivo con nano:
# nano /etc/init.d/chillispot.iptables


Luego verificamos que los parmetros INTIF y EXTIF contengan las interfaces
interna(la que va a la red inalmbrica) y externa (la que conecta a la WAN),
respectivamente.En nuestro caso queda de la siguiente manera:

EXTIF==eth0
INTIF==eth1

Por ltimo agregamos las reglas al inicio del sistema:
# ln -s /etc/init.d/chillispot.iptables /etc/rcS.d/S40chillispot.iptables



Configuracin de Eth0 y Eth1
El eth1 debe conectar a la red interna y et0 al router que da acceso a internet.

En deban, y en el caso que nos ocupa, la configuracion es la siguiente:






















Una vez confirmada la configuracion IP de cada uno de los interfaces, pasamos
a crear nuestro sitio de recepcin de peticiones de conexin.

Creacin Sitio Corporativo de
recepcin de peticiones de conexin

Accedemos a nuestra carpeta /var/www, y creamos un directorio donde
depositaremos la pgina que los usuarios veran cuando se quieran conectar por
primera vez. En este ejemplo, este directorio, se llamara, por ejemplo, spot.



En su interior, con un editor, como por ejemplo nano o gedit, creamos un archivo
index.html,el cual contendr esa pequea pgina web de acceso.
En este tutorial, simplemente he creado un enlace al fichero prelogin que ofrece
chillispot.

El contenido se puede observar en la siguiente captura.




Iniciando nuestro servidor Chillispot

Ahora nuestro Servicio de portal cautivo est listo para iniciarse. Basta con
ejecutar los siguientes comandos para iniciar Chillispot y los servicios
relacionados:

# /etc/init.d/apache force-reload
#/etc/init.d/chillispot.iptables restart
# /etc/init.d/chilli restart
# radiusd

A la hora de lanzar radiusd, tenemos la opcin de lanzarlo en un terminal
independiente, y que las peticiones que reciba sean visibles. Para ella
procederemos como se presenta en la siguiente captura.