Supernodo casero con Linksys y DD-WRT
Download
Report
Transcript Supernodo casero con Linksys y DD-WRT
Supernodo casero con
Linksys y DD-WRT
En el capítulo de hoy…
Evolución
de un nodo en Guifi.net.
DD-WRT como firmware para
routers.
Configuraciones de red avanzadas.
Utilización de linux para la
administración avanzada de red.
Servicios básicos con DD-WRT.
La nanostation
Config 1: Modo bridge
La nano recibe por un
extremo y envía por el
otro. Nivel 2 (enlace).
Muy simple y cómodo.
La config TCP/IP de
red (nivel 3) la
realizará el PC.
Config 2: Modo router a 1 PC
La nano parte la red en 2
segmentos: WAN
(wireless) y LAN
(Ethernet).
Se crea una subred
privada y se hace NAT.
Sólo podemos conectar a
1 equipo.
Esto empieza a
complicarse.
Config 3: Modo router con router
Config 4: Modo bridge con router
Conexiones del linksys
Supernodo casero
Supernodo casero
Gestionamos 1 nano en modo cliente que
establece el enlace con otro nodo.
Gestionamos 2 nanos en modo AP que
permiten conexiones de clientes, cada una
con su subred de IP’s.
Puede que tenemos que dar acceso a
casa, con una IP pública.
Os dije que esto se iba a complicar.
Supernodo casero
Nuestro modesto nodo pasa a ser parte
implicada en la red.
Enrutamos 2 subredes públicas y
conectamos con otro router.
Ya no somos un simple gateway.
No sólo debemos encaminar nuestro
tráfico hacia fuera, debemos encaminar el
tráfico de fuera hacia adentro.
Supernodo casero
Las nanos están en modo bridge, es decir,
configuración de red requerida: 0.
Toda la config está centralizada en el linux
del linksys.
Muy útil el “Network Administration with
Linux” y el “Linux advanced Routing”:
http://linux-ip.net/
y http://lartc.org/
La práctica de redes ayuda mucho.
Supernodo casero
El firmware de Linksys es incapaz de
gestionar esa configuración.
Necesitamos un firmware de 3ros, que
funcione en en HW del Linksys, capaz de
realizarlo.
Opciones: DD-WRT y OpenWRT.
Voy a explicar DD-WRT, pero los
conceptos son los mismos para
OpenWRT.
Basado en Linux.
Se instala en múltiples arquitecturas.
GPLv2.
IPv6, WDS, RADIUS, QoS avanzado,
overclocking, JFFS2, cliente Samba, SSH,
UPnP, Wake on Lan, WatchDog, Firewall
avanzado, SNMP, instalación de SW
adicional,etc.
Controversia en los últimos años.
Parece que no sigue los términos de la
GPL.
Incorpora módulos no GPL.
Vende una versión comercial con código
no abierto (control de tráfico por usuario).
El interfaz web es un componente no GPL
al que ofuscan el código.
Buscamos el firm que nos interesa desde
su web.
Hay varias versiones de firm.
La “std-generic” va de perlas para lo que
queremos.
Setup
Setup: Es la configuración de red. Fundamental.
Desde aquí configuramos el modo de
funcionamiento de nuestro router.
Tal como viene por defecto funcionará con la
pata WAN aislada, y el switch bridgeado en la
LAN y Wireless LAN.
Tenemos que cambiar muchas cosas aquí.
Setup
Configuración WAN.
Setup
Nombre del router
Setup
Configuración LAN
Setup
Configuración del DHCP de la LAN
Setup > Advanced Routing
Definimos el modo de funcionamiento del
router, normalmente Gateway/NAT.
Desde aquí no podemos configurar el
enrutado dinámico.
Setup > VLANs
Podemos independizar cada puerto.
Asignamos el bridge LAN como queramos
Setup > Networking
Podemos definir tagging o nuevos bridges
(yo no he necesitado).
Definimos la configuración de red de
aquellos puertos que los hemos
independizado del bridge.
Setup > Networking
Wireless
Cambio de la configuración WLAN de la
radio integrada.
Podeis poner cualquier tipo de seguridad
a la red inalámbrica, cambiar parámetros
de la radio o activar el WDS.
No lo veremos en esta presentación.
Services
Activación de servicios incluidos en el
firmware.
Dnsmasq, SNMP, SSHd, syslogd, telnet.
Permite hacer túneles PPTP y EOIP.
Permite activar software de Hotspot tipo
Chillispot (portal cautivo) o un redirect.
Services
Activación del demonio SSHd.
Permite añadir autorizaciones.
Services
Dnsmasq como servidor DNS y DHCP
Services
Herramientas de medición de tráfico
Posibilidades:
Demonio
ttraf.
Demonio snmp.
Demonio rflow (ntop)
Security
Lleva un firewall integrado.
Útil en la configuración de LAN privada.
A mi me dio problemas con las reglas al
pasar al modo router, así que lo tengo
desactivado.
Puedes habilitar el paso de tráfico de
VPNs (IPSec, PPTP, L2TP).
Access Restrictions
Permite bloquear accesos por URL, por
keyword, por servicios o no permitir
internet determinados días de la semana.
Yo no lo uso, pero puede ser útil para
bloquear P2P o megaupload si la cosa se
desmadrara.
NAT/QoS
Redirecciones de puertos.
Zona desmilitarizada.
Poco útil en este caso en concreto.
Qos: No lo uso.
Administration
Activación de acceso remoto al DD-WRT.
Cron, Overclocking, CIFS mount.
Watchdog.
Comandos a ejecutar una vez arrancado.
Wake on Lan.
Valores por defecto, actualizar firmware,
backup de configuraciones.
Administration
En el apartado “Management” habilitamos
el acceso al interfaz web, el acceso
remoto al router y el cron.
Status
Resumen de estado del router.
Informe de la WAN, con graficas de
consumo (ttraf).
Informe de la LAN (dhcp leases).
Informe de la WLAN.
Graficas de consumo de ancho de banda
en tiempo real.
Independizando el bridge
Independizando el bridge
Queremos 3 interfaces independientes de
las 4 que tiene el bridge.
Queremos un servidor DHCP en cada
pata sirviendo cada uno un rango de IP’s.
Queremos enrutado dinámico.
No queremos NAT.
Queremos hacerlo desde el interfaz web.
Independizando el bridge
Independizando el bridge
Conviene reiniciar tras cada cambio.
Si miramos como ha quedado el bridge
tenemos esto:
En
“Basic Setup” > “Networking”
Independizando el bridge
Tenemos independizados los conectores.
Les conectamos una nano en modo bridge
a cada uno de ellos.
Las Vlanes no tienen IP configurada.
Accedamos de nuevo a “Basic Setup” >
“Networking”
Independizando el bridge
Independizando el bridge
Nos faltan los servidores DHCP en cada
uno de los interfaces.
Bird, enrutado dinámico con OSPF
El firmware del DD-WRT incluye de serie
el software de enrutado BIRD:
http://bird.network.cz/
En guifi.net Castelló utilizamos OSPF
como protocolo de enrutado dinámico.
No podemos activar OSPF desde el
interfaz de DD-WRT.
Tenemos que configurar BIRD una vez
arrancado el sistema DD-WRT.
Bird, enrutado dinámico con OSPF
En OSPF recibimos las rutas de
encaminamiento por parte de otros
routers, y publicamos las rutas para llegar
a nuestras redes.
En BIRD la configuración OSPF es muy
simple.
Lo configuraremos en los comandos de
post-arranque: “Administration” >
“Commands”.
Bird, enrutado dinámico con OSPF
mkdir /tmp/bird
echo '
router id 10.228.130.2;
log syslog { trace };
protocol kernel { learn; persist; scan time 10;
import all; export all; }
protocol device { scan time 10; }
protocol direct { interface "*";}
protocol ospf WRT54G_ospf {
area 0 {
interface "*" { cost 1; authentication none; };
};
}' > /tmp/bird/bird.conf
bird -c /tmp/bird/bird.conf
Independizando el bridge
Independizando el bridge
Independizando el bridge
Independizando el bridge
Empezamos por la configuración WAN
Independizando el bridge
Al puerto WAN conectamos la nano que
establecerá el enlace como cliente.
Se corresponde con el interfaz vlan1.
El interfaz eth1 es la wireless.
Repositorio de software. IPKG
Muy similar al apt-get de Debian/Ubuntu.
Antes que nada, necesitamos una
partición de lectura/escritura.
Posibilidades:
JFFS2
filesystem (poco espacio).
RAM (no persistente).
Montar una partición samba/cifs de
lectura/escritura (es lo que yo uso).
Repositorio de software. IPKG
Particion Journaling Flash Filesystem (JFFS2).
Necesitas sitio en la flash, yo no tengo.
Puedes aprovechar 4MB para software.
Directorio: /jffs/
Activar: Administration > Management.
Repositorio de software. IPKG
Activar partición samba/cifs:
Pestaña Administration > Management.
Lo monta en /tmp/smbfs
Repositorio de software. IPKG
Actualizar lista de software:
Ipkg
Actualizar versión del software instalado:
Ipkg
–d smbfs upgrade
Listar software:
Ipkg
–d smbfs update
–d smbfs list
Instalar software:
Ipkg
–d smbfs install tcpdump
Repositorio de software. IPKG
Yo tengo instaladas 4 utilidades IPKG en el
linksys.
Tcpdump
Monit
Psmisc
(fuser, pstree)
Procps (top, free, vmstat)
No he conseguido instalar, pero está el sofware:
Screen
Nmap
Lsof
Repositorio de software. IPKG
Para un ordenador de casa podeis
instalar:
Servidor
samba.
Servidor DLNA ushare.
Servidor música mt-daapd.
Apache.
Vpnc (Cisco tunel client).
Etc.
tcpdump
Monit: http://mmonit.com/monit/
Servicios: Monit
Monitoriza procesos, archivos, directorios,
sistemas de archivos, estado de red, etc.
Open source.
Disponible en el repositorio OpenWRT.
Fácil de configurar.
Muy útil.
Servicios: Monit
Ejemplo de configuración:
set mailserver marti.uji.es
set alert [email protected]
set httpd port 2812 and allow admin:monit
check process bird with pidfile /opt/var/run/bird/pid
start program = "/opt/sbin/bird start"
stop program = "/opt/sbin/bird stop"
Servicios: Monit
Interfaz web: