Brezžično omrežje

Vsebina

Brezžično omrežje

Eduroam

Brezžično omrežje na IJS je del evropske sheme gostovanja in projekta mobilnosti v raziskovalni in izobraževalni sferi Eduroam, ki ga v Sloveniji koordinira Arnes. Slovenski uporabniki Eudroam lahko gostujejo po evropskih univerzah in raziskovalnih ustanovah, povezanih v shemo Eduroam, prav tako pa lahko tudi obiskovalci iz teh ustanov gostujejo v brezžičnih omrežjih slovenskih ustanov članic. Uporabnikom je tako omogočen preprost in varen dostop do lastnega in drugih brezžičnih omrežij na enoten način. Uporabniška imena in gesla dodeli matična ustanova. Uporabniška imena institutskih uporabnikov v sistemu Eduroam so oblike: uporabniškoime@ijs.si.

Pridobitev uporabniškega imena za Eduroam

Uporabniško ime in geslo za Eduroam na IJS lahko pridobite v dveh korakih:

pošljete (interna pošta) ali prinesete (stavba J, 3. nadstropje) podpisana Pravila dopustne uporabe na Center za mrežno infrastrukturo
pošljete zahtevek po elektronski pošti na support@ijs.si - zahtevek naj vsebuje ime, priimek in enoto, kjer ste zaposleni, oz. ime kontaktne osebe na enoti

Uporabniško ime in geslo, ki ju prejmete za Eduroam, lahko uporabljate tudi za storitev Varna oddaljena povezava (VPN). Če želite vključiti tudi to storitev, to lahko storite z istim zahtevkom.

Uporabniško ime in geslo, ki ju prejmete za Eduroam, lahko uporabljate tudi v zvezi z sistemom enotne prijave v federaciji Arnes (Arnes AAI), ki je vključena tudi v mednarodno omrežje eduGAIN. Za prijavo na različne storitve ponudnikov, ki so vključeni v omrežje, lahko uporabite uporabniško ime tako, da z prijavo izberite Institut "Jožef Stefan" ali Jožef Stefan Institute med ponudniki overjanja (IdP).

Navodila za povezavo uporabnikov v brezžično omrežje Eduroam

navodila za povezavo
pomočniki za nastavitev Eduroam CAT
lokalni repozitorij pomočnikov za nastavitev
Prednastavljen uporabniški profil, primeren za vse Apple iOS naprave (iPod, iPad, iPhone) ter Apple OS X 10.7 (Lion) in novejše operacijske sisteme.

Na kratko:

vmesnik WLAN (denimo kartica PCMCIA ali PCI) mora podpirati varnostni standard WPA ali WPA2 (samo podpora za WEP ne zadošča);
nameščen mora biti prosilec (supplicant) 802.1X, ki podpira EAP-TTLS/PAP, na primer SecureW2 ali wpa_supplicant; - sodobnejše različice operacijskih sistemov imajo že vgrajeno ustrezno podporo;
prosilec (supplicant) mora biti ustrezno nastavljen, kar lahko naredimo ročno ali z uporabo Arnesovega prednastavljenega programa SecureW2 (za Windows) ali samodejno nastavitvijo preko sistema Eduroam CAT (za podprte operacijske sisteme) oz. iz lokalnega repozitorija pomočnikov za nastavitev;
izberemo omrežje (SSID) eduroam in se vanj vključimo.
če ne uporabljamo posebnega odjemalca za Eduroam in je vključeno varnostno preverjanje strežnika, moramo namestiti korensko potrdilo Arnes CA za Eduroam v obliki PEM (priporočjivo za namizja GNU/Linux in BSD) ali Arnes CA za Eduroam v obliki DER (priporočjivo za mobilne naprave)

QR piktogram s povezavo do pomočnikov za nastavitev

Primer nastavitev v Network Managerju (OS Linux)

Primer nastavitve v Network Managerju v OS Linux

V primeru težav

Prosimo vas, da nam v primeru težav zvezi z delovanjem brezžičnega omrežja IJS in težav s povezovanjem v omrežje Eduroam v drugih organizacijah čas in lokacijo težav sporočite na naslov support@ijs.si ali pa se ob priložnosti s problematično napravo osebno oglasite v CMI.

Pozor: Septembra 2022 je potekel korenski certifikat federacije Eduroam (ARNES korenski certifikat za Eduroam iz leta 2012), sočasno z izdajo novega smo na IJS zamenjali tudi naš vrhnji certifikat. Če ste namestili korenski certifikat ročno ali pa ste namestili odjemalec pred 15. septembrom 2022, se lahko zgodi, da boste morali zamenjati korenski certifikat v odjemalcu. Prenesite novejši certifikat z zgornje povezave. (Ali uporabite samodejno nastavitev Eduroam CAT oz. iz oz. iz lokalnega repozitorija pomočnikov za nastavitev.) Uporabniki strojne opreme podjetja Apple, si lahko postrežete z obnovljenim prednastavljenim profilom - našli ga boste nižje na strani.

Brezžično omrežje za goste

Nekatere vstopne točke, zlasti tiste v predavalnicah in posebno v času organiziranih prireditev, se javljajo tudi kot vstopne točke za brezžično omrežje (SSID) guest. Za vklop je potrebno nastaviti varnostni standard WPA-PSK in vpisati geslo, ki je na voljo pri organizatorju prireditve ali na CMI. Omejitve prometa v to omrežje in iz njega so enake ali bolj omejujoče od spodaj navedenih za omrežje eduroam. Uporabnikom z IJS in drugih ustanov članic Eduroam svetujemo vklop v omrežje eduroam in ne v guest.

Žično omrežje za goste

V veliki predavalnici je poleg vstopa v brezžično omrežje možen tudi vklop v žično omrežje (Ethernet/100BaseTX) v vtičnicah v veliki predavalnici (pod tablo, v tleh na odru in v četrti vrsti). Tudi v tem primeru se nastavitve naslova IP, prehoda in strežnikov DNS pridobijo avtomatsko prek protokola DHCP. Naslovni prostor je 192.168.132.0/24 in se prek NAT preslika v javni IP naslov.

Vstopne točke na IJS (access points)

Trenutno so na IJS nameščene naslednje vstopne točke:

velika predavalnica - dve vstopni točki;
avla pred veliko predavalnico (prvo nadstropje in pritličje)
sprednje parkirišče (vstopna točka za/pod veliko predavalnico)
Kolarjeva predavalnica (K7/K9)
podstrešje glavne stavbe E8 in oranžna predavalnica
laboratorij odseka F9
sejna soba odseka K5
stavba B (biokemija)
stavba J (južni prizidek) v tretjem nadstropju (CMI)
reaktorski center Podgorica: sejna soba

Dodatne vstopne točke so v pripravi, nekaj jih bo v kratkem, kasneje pa po dogovoru z odseki in po načrtu nabav.

Vse vstopne točke delujejo po standardu 802.11b in 802.11g in ponujajo zaščito prometa WPA in WPA2 (802.11i). Nekatere (novejše) vstopne točke pokrivajo tudi 5 GHz področje (802.11a) in podpirajo standard 802.11n. Vse vstopne točke se javljajo s SSID eduroam.

Naslovni prostor IP in nastavitve TCP/IP

Glede na uporabniško ime, s katerim se računalnik (prosilec - supplicant) prijavi v omrežje, poveže vstopna točka računalnik z enim od IP-omrežij, ne glede na vstopno točko na IJS:

domači uporabniki oblike: uporabnik@ijs.si se umestijo v omrežje 212.235.214.0/24 ali v omrežje IPv6 2001:1470:ff80:4::/64 ; za promet v omrežje in iz njega veljajo nekatere omejitve, ki so strožje od tistih v žičnem omrežju;
gostujoči uporabniki iz drugih ustanov v sklopu Eduroam se umestijo v omrežje 212.235.215.0/24 ali v omrežje IPv6 2001:1470:ff80:5::/64 ; za ta naslovni prostor veljajo nekoliko bolj omejujoče nastavitve kot za domače uporabnike; dohodne zveze v to omrežje niso dovoljene;

Nastavitve naslova IP, naslova prehoda in strežnikov DNS se pridobijo avtomatsko prek protokola DHCP. Naslov prehoda lahko nastavimo tudi ročno: 212.235.214.1 oziroma 212.235.215.1, strežniki DNS so na naslovu 193.2.4.247, 193.2.4.248 in na 2001:1470:ff80::53:248 .

Najpomembnejše spletne strani za obiskovalce in nekatere storitve v omrežju so objavljene prek mehanizma DNS Service Discovery (DNS-SD). Vidne so tudi klientom, ki podpirajo Zeroconf.

Zaščita omrežij (požarni zid)

Iz obeh brezžičnih naslovnih prostorov IP in iz žičnega omrežja za goste je možno vzpostavljati povezave v druga omrežja IJS in v zunanja omrežja vsaj za naslednje storitve:

spletni dostop prek protokolov HTTP, HTTPS in GOPHER (neposredno, ali pa prek IJS posrednika (proxy) www-proxy.ijs.si, tcp vrata 8080);
interaktivni dostop prek protokolov SSH v2 in telnet;
prenos datotek prek protokola FTP v pasivnem načinu ali prek SFTP (v sklopu SSH v2);
dostop do e-pošte prek protokolov POP3, IMAP, SMTP in njihovih SSL različic POP3S, IMAPS, SMTPS;
dostop do novic (network news) prek protokola NNTP;
dostop do imenikov DNS in LDAP;
MSN sporočanje na tcp vratih 1863;
IP telefonija in sporočanje Skype.

Vstopne zveze iz drugih IJS- in javnih omrežij so možne le v omrežje z javnim naslovnim prostorom 212.235.214.0/24, tj. le za domače uporabnike v brezžičnem omrežju, ob upoštevanju dinamično dodeljenega naslova IP. Po dogovoru in začasno je možna tudi pridobitev statičnega naslova IP, na primer za predavanja in delavnice. Omrežje za goste zaradi NAT dopuščata le odhodne povezave.

Kazalci na programsko opremo

SecureW2 EAP-TTLS 802.1X prosilec (supplicant) za Windows XP, Windows 2000 in za Pocket PC 2003 (brez prednastavitev za Eduroam, te je treba vpisati ročno);
SecureW2 za uporabnike slovenskih ustanov članic Eduroam - isti prosilec kot v predhodni točki, vendar z Arnesovo prednastavitvijo certifikatov in namestitvenim čarovnikom za slovenske uporabnike iz projekta Eduroam;
wpa_supplicant EAP 802.1X prosilec (supplicant) za Unix (npr. FreeBSD) in Linux sisteme; obstaja tudi različica za Windows XP.
Prednastavljen uporabniški profil, primeren za Apple naprave.
pomočnik za nastavitev Eduroam CAT (eduroam.org) (pomočnik za nastavitev za podprte operacijske sisteme)

Povezave

Pravila dopustne uporabe (Podpisana pošljite za vzpostavitev uprabniškega imena.)
Uporabniška navodila - Arnes
Navodila za povezavo (Arnes)
Eduroam CAT (eduroam.org) (za podprte operacijske sisteme)
Arnes CA za Eduroam v obliki PEM (priporočjivo za namizja GNU/Linux in BSD)
Arnes CA za Eduroam v obliki DER (priporočjivo za mobilne naprave)
Navodila za postavitev Eduroam za organizacije (Arnes)
Eduroam v svetu
Postavitev WLAN vstopne točke za Eduroam pod FreeBSD