supernodo casero con linksys y dd-wrt

Supernodo casero con Linksys y DD-WRT

En el capítulo de hoy…

Evolución de un nodo en Guifi.net. DD-WRT como firmware para

routers. Configuraciones de red avanzadas. Utilización de linux para la

administración avanzada de red. Servicios básicos con DD-WRT.

La nanostation

Config 1: Modo bridge

La nano recibe por un extremo y envía por el otro. Nivel 2 (enlace).

Muy simple y cómodo. La config TCP/IP de

red (nivel 3) la realizará el PC.

Config 2: Modo router a 1 PC

La nano parte la red en 2 segmentos: WAN (wireless) y LAN (Ethernet).

Se crea una subred privada y se hace NAT.

Sólo podemos conectar a 1 equipo.

Esto empieza a complicarse.

Config 3: Modo router con router

Config 4: Modo bridge con router

Conexiones del linksys

Supernodo casero

Supernodo casero

Gestionamos 1 nano en modo cliente que establece el enlace con otro nodo.

Gestionamos 2 nanos en modo AP que permiten conexiones de clientes, cada una con su subred de IP’s.

Puede que tenemos que dar acceso a casa, con una IP pública.

Os dije que esto se iba a complicar.

Supernodo casero

Nuestro modesto nodo pasa a ser parte implicada en la red.

Enrutamos 2 subredes públicas y conectamos con otro router.

Ya no somos un simple gateway. No sólo debemos encaminar nuestro

tráfico hacia fuera, debemos encaminar el tráfico de fuera hacia adentro.

Supernodo casero

Las nanos están en modo bridge, es decir, configuración de red requerida: 0.

Toda la config está centralizada en el linux del linksys.

Muy útil el “Network Administration with Linux” y el “Linux advanced Routing”:http://linux-ip.net/ y http://lartc.org/

La práctica de redes ayuda mucho.

Supernodo casero

El firmware de Linksys es incapaz de gestionar esa configuración.

Necesitamos un firmware de 3ros, que funcione en en HW del Linksys, capaz de realizarlo.

Opciones: DD-WRT y OpenWRT. Voy a explicar DD-WRT, pero los

conceptos son los mismos para OpenWRT.

Basado en Linux. Se instala en múltiples arquitecturas. GPLv2. IPv6, WDS, RADIUS, QoS avanzado,

overclocking, JFFS2, cliente Samba, SSH, UPnP, Wake on Lan, WatchDog, Firewall avanzado, SNMP, instalación de SW adicional,etc.

Controversia en los últimos años. Parece que no sigue los términos de la

GPL. Incorpora módulos no GPL. Vende una versión comercial con código

no abierto (control de tráfico por usuario). El interfaz web es un componente no GPL

al que ofuscan el código.

Buscamos el firm que nos interesa desde su web.

Hay varias versiones de firm. La “std-generic” va de perlas para lo que

queremos.

Setup

Setup: Es la configuración de red. Fundamental. Desde aquí configuramos el modo de

funcionamiento de nuestro router. Tal como viene por defecto funcionará con la

pata WAN aislada, y el switch bridgeado en la LAN y Wireless LAN.

Tenemos que cambiar muchas cosas aquí.

Setup

Configuración WAN.

Setup

Nombre del router

Setup

Configuración LAN

Setup

Configuración del DHCP de la LAN

Setup > Advanced Routing

Definimos el modo de funcionamiento del router, normalmente Gateway/NAT.

Desde aquí no podemos configurar el enrutado dinámico.

Setup > VLANs

Podemos independizar cada puerto. Asignamos el bridge LAN como queramos

Setup > Networking

Podemos definir tagging o nuevos bridges (yo no he necesitado).

Definimos la configuración de red de aquellos puertos que los hemos independizado del bridge.

Setup > Networking

Wireless

Cambio de la configuración WLAN de la radio integrada.

Podeis poner cualquier tipo de seguridad a la red inalámbrica, cambiar parámetros de la radio o activar el WDS.

No lo veremos en esta presentación.

Services

Activación de servicios incluidos en el firmware.

Dnsmasq, SNMP, SSHd, syslogd, telnet. Permite hacer túneles PPTP y EOIP. Permite activar software de Hotspot tipo

Chillispot (portal cautivo) o un redirect.

Services

Activación del demonio SSHd. Permite añadir autorizaciones.

Services

Dnsmasq como servidor DNS y DHCP

Services

Herramientas de medición de tráfico Posibilidades:

Demonio ttraf.Demonio snmp.Demonio rflow (ntop)

Security

Lleva un firewall integrado. Útil en la configuración de LAN privada. A mi me dio problemas con las reglas al

pasar al modo router, así que lo tengo desactivado.

Puedes habilitar el paso de tráfico de VPNs (IPSec, PPTP, L2TP).

Access Restrictions

Permite bloquear accesos por URL, por keyword, por servicios o no permitir internet determinados días de la semana.

Yo no lo uso, pero puede ser útil para bloquear P2P o megaupload si la cosa se desmadrara.

NAT/QoS

Redirecciones de puertos. Zona desmilitarizada. Poco útil en este caso en concreto. Qos: No lo uso.

Administration

Activación de acceso remoto al DD-WRT. Cron, Overclocking, CIFS mount. Watchdog. Comandos a ejecutar una vez arrancado. Wake on Lan. Valores por defecto, actualizar firmware,

backup de configuraciones.

Administration

En el apartado “Management” habilitamos el acceso al interfaz web, el acceso remoto al router y el cron.

Status

Resumen de estado del router. Informe de la WAN, con graficas de

consumo (ttraf). Informe de la LAN (dhcp leases). Informe de la WLAN. Graficas de consumo de ancho de banda

en tiempo real.

Independizando el bridge


Queremos 3 interfaces independientes de las 4 que tiene el bridge.

Queremos un servidor DHCP en cada pata sirviendo cada uno un rango de IP’s.

Queremos enrutado dinámico. No queremos NAT. Queremos hacerlo desde el interfaz web.


Conviene reiniciar tras cada cambio. Si miramos como ha quedado el bridge

tenemos esto:En “Basic Setup” > “Networking”


Tenemos independizados los conectores. Les conectamos una nano en modo bridge

a cada uno de ellos. Las Vlanes no tienen IP configurada. Accedamos de nuevo a “Basic Setup” >

“Networking”


Nos faltan los servidores DHCP en cada uno de los interfaces.

Bird, enrutado dinámico con OSPF

El firmware del DD-WRT incluye de serie el software de enrutado BIRD:http://bird.network.cz/

En guifi.net Castelló utilizamos OSPF como protocolo de enrutado dinámico.

No podemos activar OSPF desde el interfaz de DD-WRT.

Tenemos que configurar BIRD una vez arrancado el sistema DD-WRT.


En OSPF recibimos las rutas de encaminamiento por parte de otros routers, y publicamos las rutas para llegar a nuestras redes.

En BIRD la configuración OSPF es muy simple.

Lo configuraremos en los comandos de post-arranque: “Administration” > “Commands”.


mkdir /tmp/bird echo ' router id 10.228.130.2; log syslog { trace }; protocol kernel { learn; persist; scan time 10;

import all; export all; } protocol device { scan time 10; } protocol direct { interface "*";} protocol ospf WRT54G_ospf { area 0 { interface "*" { cost 1; authentication none; }; }; }' > /tmp/bird/bird.conf bird -c /tmp/bird/bird.conf


Empezamos por la configuración WAN


Al puerto WAN conectamos la nano que establecerá el enlace como cliente.

Se corresponde con el interfaz vlan1. El interfaz eth1 es la wireless.

Repositorio de software. IPKG

Muy similar al apt-get de Debian/Ubuntu. Antes que nada, necesitamos una

partición de lectura/escritura. Posibilidades:JFFS2 filesystem (poco espacio).RAM (no persistente).Montar una partición samba/cifs de

lectura/escritura (es lo que yo uso).


Particion Journaling Flash Filesystem (JFFS2). Necesitas sitio en la flash, yo no tengo. Puedes aprovechar 4MB para software. Directorio: /jffs/ Activar: Administration > Management.


Activar partición samba/cifs: Pestaña Administration > Management. Lo monta en /tmp/smbfs


Actualizar lista de software: Ipkg –d smbfs update

Actualizar versión del software instalado: Ipkg –d smbfs upgrade

Listar software: Ipkg –d smbfs list

Instalar software: Ipkg –d smbfs install tcpdump


Yo tengo instaladas 4 utilidades IPKG en el linksys. Tcpdump Monit Psmisc (fuser, pstree) Procps (top, free, vmstat)

No he conseguido instalar, pero está el sofware: Screen Nmap Lsof


Para un ordenador de casa podeis instalar:Servidor samba.Servidor DLNA ushare.Servidor música mt-daapd.Apache.Vpnc (Cisco tunel client).Etc.

tcpdump

Monit: http://mmonit.com/monit/

Servicios: Monit

Monitoriza procesos, archivos, directorios, sistemas de archivos, estado de red, etc.

Open source. Disponible en el repositorio OpenWRT. Fácil de configurar. Muy útil.

Servicios: Monit

Ejemplo de configuración: set mailserver marti.uji.es set alert [email protected] set httpd port 2812 and allow admin:monit check process bird with pidfile /opt/var/run/bird/pid start program = "/opt/sbin/bird start" stop program = "/opt/sbin/bird stop"

Servicios: Monit

Interfaz web:

supernodo casero con linksys y dd-wrt

Documents