Nanostation II. Tallafocs

El tallafocs que porta el Nanostation és el IPTABLES de tota la vida del linux, només que a la interfície web sols pots fer unex regles en especial, que s’apliquen al CHAIN ‘FIREWALL’, que el crea l’AP al habilitar el tallafocs, aquest chain s’aplica al FORWARD i al INPUT, però no al OUTPUT.

Aleshores la millor forma de configurar el tallafocs és via SSH, si no s’ha tocat el IPTABLES pot ser coste un poc al principi. El que s’ha de tindre clar és que FORWARD s’aplica als paquets que redirigix l’AP, INPUT als paquest que li arriben a l’AP (be via wifi o be via lan) i l’OUTPUT als paquets que ixen de l’AP. A partir d’aquest punt, en qualsevol exemple i amb el man del IPTABLES (al Nanostation no hi ha man)segur que resulta fàcil configurar-ho.

Via web sols es pot especificar l’interfície d’orige, IP, protocol (sols TCP, UDP o TOTS), port i IP i por de destí, no se si em dixe alguna cosa més.  Via ssh es pot especificar més protocols, si sols es vol en INPUT, OUTPUT o FORWARD (els canvis a la web s’apliquen a INPUT i FORWARD a l’hora). L’IPTABLES del Nanostation és una versió reduïda, segons he pogut comprovar, de l’original. Per exemple la opció de –match no funciona, dóna error a l’hora d’aplicar la regla.

Després hi ha un altre problema, les regles que s’apliquen no es queden guardades, hi ha dos solucions per a aquest problema:

  • Utilitzar un script per a que aplique les regles, igual com està indicat al post de les rutes estàtiques.
  • Modificant el fitxer de configuració a ma.

Vaig a explicar el segon punt, ja que el primer ja el vaig explicar en un altre post. Es descarrega el fitxer de configuració al pc des de la web i s’obri en qualsevol editor de text, si és en windows aconselle un tipus Notepad++, si és al linux.. ja sabreu quin us agrada més a cadascú i es busquen les següents línies de text:

iptables.1.cmd=-t nat -I POSTROUTING -o eth0 -j MASQUERADE
iptables.1.status=disabled
iptables.2.status=disabled
iptables.200.status=disabled
iptables.3.status=disabled
iptables.4.cmd=-t nat -N PORTFORWARD
iptables.4.status=disabled
iptables.5.cmd=-t nat -I PREROUTING -i eth0 -j PORTFORWARD
iptables.5.status=disabled
iptables.50.cmd=-N FIREWALL
iptables.50.status=enabled
iptables.51.cmd=-A INPUT -j FIREWALL
iptables.51.status=enabled
iptables.52.cmd=-A FORWARD -j FIREWALL
iptables.52.status=enabled
iptables.53.cmd=
iptables.53.comment=
iptables.53.status=disabled
iptables.54.cmd=
iptables.54.comment=

Cada 3 línies és una regla com es pot observar en la seua enumeració. cTé més entrades, però el que no he provat a posar-li jo és més entrades de les que té el fitxer de configuració, però igual si que les accepta encara que en la web no es mostren.

Es pot obersvar que les primeres regles és per a habilitar el NAT (pot ser que no estiguen d’aquesta forma si no s’habilita el NAT) i en les altres línies que no diu res és on podem posar les nostres regles, de tota la instrucció IPTABLES que s’escriu en consola, s’escriu tot en el iptables.XX.cmd= excepte la paraula IPTABLES, en el comment= es pot posar el que vulga (és informatiu) i en status es canvia a enabled. Així ja estarà configurada la regla, es puja el fitxer de configuració modificat al AP i es carrega la configuració.

Ara cal no modificar el tallafocs des de la web ja que desconfiguraria les regles aplicades manualment, si s’accedix via web al tallafocs es poden veure regles ‘extranyes’ ja que l’AP no ha sabut interpertar-les per a treure-les via web, però s’apliquen correctament, ho he comprovat

Més informació sobre IPTABLES:

http://es.tldp.org/Manuales-LuCAS/doc-iptables-firewall/doc-iptables-firewall.pdf

http://www.elrincondelprogramador.com/default.asp?pag=articulos%2Fleer.asp&id=14

Projecte Carasol…aconseguit!!! (i II)

Quan uno té ganes mira que s’afanya a fer les coses! Anit li vaig cridar a Joan per a anar aquest matí a posar l’antena al màstil de la caseta, ell té l’escala de 4m que arribava be per a muntar-ho. El pas més complicat era el de llevar el cable d’antena que vaig posar fa 2 anys i passar el cable de xarxa, ha sigut el més complicat perquè ara no tenia la guia que vaig utilitzar per a passar el cable. Però hem lligat be els dos cables i precintat per a que no s’enganxara ningun fil en algun colze del recorregut i ha eixit sense cap problema, després li he passat el POE i he connectat l’AP per a veure si agarrava la senyal i… si! la senyal era casi igual de bona que amb el trípode, així que allí dalt de la teulada estavem Joan i jo celebrant-ho, ho he instal·lat i la antena que ha estat durant 2 anys allí dalt posada l’he llevat. Després li he connectat el Router i he fet algunes proves de rendiment de xarxa, com per exemple reproduïr una pel·lícula AVI enmagatzemada en l’ordinador de taula de casa sense cap problema, o copiar un arxiu gran.

Així que ara, a falta de que Picola vaja a canviar el màstil de l’antena en casa ma tia (que a saber quan serà) ja puc dir que el projecte ja ha finalitzat correctament.

Projecte Carasol…aconseguit!!!

Correcte, és correcte el que esteu llegint, com ja m’havia fet la idea de posar en funcionament aquest projecte hui he anat a investigar on podia colocar la antena en la part de la casa i al final ho he fet en la antena de la casa veïna, que està en la paret de la casa de ma tia (aleshores no passa res no? ella dixa posar el màstil i els veïns em deixen posar l’antena).

Per ara he utilitzat l’antena de la casa de ma tia i en la caseta no he utilitzat cap antena, la de la casa de ma tia ho he fet simplement perquè el màstil estava en un lloc un poc inaccesible, així que he decidit arriesgar l’antena i no l’AP, però quan estiga el màstil de ma tia reparat provaré primer sense antena a vore com reacciona.

Xarxes trobades des de UBNT2

Com mostra la pantalla, la senyal de la wifi4t és de -47 dbs, senyal més que bona, així que quan tinga el màstil de l’antena posat de nou segur que prove a fe la connecció sense antenes.

L’antena en la caseta de ma tia la he instal·lat com l’altra vegada, damunt d’un trípode per a fer les proves però no he arribat ni a fer proves, ha sigut enxufar, encarar i s’ha connectat de seguida. Ara falta saber com estarà la connexió des del màstil de l’antena de la caseta, aquesta segona part ja la faré un altre dia, ja que em fa falta una escala llarga que no tinc i pot ser Joan me la puga deixar (si la que té és prou llarga). Quan puga primer instal·laré l’AP sense antena i si funciona ho deixaré així, sino… provaré amb l’antena. Ja vos mantindré informats i faré fotos per a vore el muntatge (Que sempre dic que posaré fotos i mai les pose)

Es paralitza el projecte

Doncs sí, es paralitza el projecte perquè hui he pujat a la teulada per a veure com es mantenia l’antena que vaig posar fa 2 anys i m’he trobat en que el màstil de l’antena està doblat. Ho he comentat i resulta que ja fa temps que està avisat l’electricista per a que ho arregle ja que està també l’antena per a veure la tele però…. passa prou del tema, com fa sempre, ara a esperar a que li vinga be canviar el màstil o que li vinga be al ferrer o ja vorem quina escusa posa

Projecte Carasol

Ja he configurat amb èxit tot el circuit al laboratori de proves (casa ma tia), aplicant-li la seguretat de tallafocs, rutes estàtiques i VPN. Adjunte una nova imatge de la topologia que he seguit (es que des que he descobert DIA que no pare d’utilitzar-lo, no trau uns gràfics tant definits com el VISIO però és programari lliure):

Diagrama Carasol

  • R1: Router Broadband, el que dóna accés a internet.
  • Servidor VPN: El nom ja ho diu tot, amb 2 interficies de xarxa, separant físicament la LAN local de la resta.
  • PLC1 i PLC2: Encarregats de portar la xarxa pel cablejat elèctric.
  • R2: UBNT1, el punt d’accés (Nanostation2) que hi ha a la casa per a unir-se a wifi4t.
  • R3: UBNT2, el punt d’accés (Nanostation2) que hi ha a la caseta per a unir-se a wifi4t.
  • R4: Router final de la caseta, on es connectaran els pc via LAN o wifi

wifi4t

Com ja havia dit alguns posts anteriors, la xarxa wifi4t és lliure, no està encriptada, així s’aprofita millor l’ample de banda que en les distàncies fa falta, jeje. En un principi es pot connectar qualsevol persona a la xarxa, encara que no tindrà accés a internet, però per ara l’he feta una xarxa /30 fent que no es pugui connectar a nivell d’IP més de 2 hosts (els 2 AP’s). Quan estiga tot en marxa i funcionant perfectament ja ho canviaré a una /16.

Tallafocs

Servidor VPN

És l’encarregat d’unir qualsevol client VPN a la xarxa local de casa i, per tant, a Internet. Conté un tallafocs que sols deixa passar els ports necessaris per a la connecció VPN

UBNT1

Conté un tallafocs que no permet que ixca res per la xarxa LAN, tant sols els paquets dirigits als ports que s’utilitzen per a l’enllaç VPN i que vinguen de la IP del R4.

R4

Tallafocs per a no deixar entrar ningun tràfic que no haja sigut provocat des de dins de la LAN. NAT habilitat. Com en la caseta la xarxa creada per R4 (que serà tabé wifi) és privada, aquesta si que anirà xifrada i amb un mínim de seguretat.

Les xarxes creades que són punt a punt van totes amb la màscara /30 per a donar un poc més de protecció, la wifi4t és lliure i les altres són privades, i els punts d’accés estan configurats com a “punt d’accés WDS” el de casa i com “estació WDS” el de la caseta. La connexió a la xaraxa wifi4t ja l’habilitaré quan ja haja finalitzat aquest projecte.

Ara falta implantar el projecte a la vida real, ja he vist que al laboratori funciona perfectament però falta veure com actuen els AP’s amb la distància i si fa falta connectar les antenes que ja estan instal·lades o no. A veure si demà dissabte al matí puc fer alguna prova i ja contaré

P.D.: Qaunta cosa s’ha de fer per a poder tenir internet a la caseta, no és més còmode un módem USB 3G? jajaja

Nanostation I. Configurar les rutes

El Nanostation ve amb mini linux empotrat anomenat AirOS, porta una interficie web i per defècte porta la IP 192.168.1.20 i user ubnt/ubnt. Via web es pot configurar ‘casi tot’ però no tot, per exemple les rutes. La configuració de les rutes es pot fer de forma estàtica o mitjançant RIP o OSPF.

Per a la segona opció tant sols cal actualitzar el firmware a la versió de inveneo i i seguir els passos que s’indiquen en l’enllaç, encara que està millor explicat ací. En aquest enllaç també hi ha una referència a una altra web en la qual expliquen com poder fer una xarxa en topologia mesh

Per a la primera opció cal accedir al AP per SSH i crear un script amb el route i les seues opcions. EL AirOS té una carpeta anomenada /etc/persistent al qual es poden crear scripts, els quals al engegar-se la màquina s’executen. Els noms dels scripts són:

  • /etc/persistent/rc.prestart
  • /etc/persistent/rc.poststart
  • /etc/persistent/rc.prestop
  • /etc/persistent/rc.poststop

El fitxer a crear (perquè el més segur es que no estiga creat) és el rc.poststart. Per a crear-lo s’escriu a la consola (estaguent al directori correcte)

#vi rc.poststart

I s’edita amb l’editor vi, primer premer ‘a’ i després ja es pot escriure. Quan estiga tot escrit, premer ‘Esc’ i ‘:x’ per a guardar els canvis al fitxer. Ja en consola se li donen permisos d’execució:

#chmod +x rc.poststart

I finalment per a que els canvis no desapareguen en quan es reinicie la màquina:

#cfgmtd -w -p /etc/

I arreando! ja està, fàcil del tot. Ara pose un exemple de script de rutes estàtiques:

#! /bin/sh
route add -net 10.10.10.0 netmask 255.255.255.0 gw 192.168.2.101 dev eth0

Pàgines d’interés:

http://www.ubnt.com/wiki/index.php/Manual_Routes

http://wiki.ubnt.com/wiki/index.php/User:Skyhook#How_to_add_a_static_route

http://wiki.ubnt.com/wiki/index.php/Linux_Script_FAQ

http://www.dc.fi.udc.es/~afyanez/info-vi/index.html Manual de VI

ací

Ja ha arribat tot el material

Ja tinc les Nanostations en casa, van arribar el dilluns. La veritat és que ha sigut bastant ràpid ja que la transferència la vaig fer el divendres abans de les 9 i el dilluns matí ja ho tenia en casa. Ja he estat trastejant en elles, la mala noticia és que no accepten punt a punt, però no passa res perquè com aquest projecte també és el principi d’un altre més important que vull empendre, em servirà aquesta topologia. Altra cosa en la que també he topat ha sigut en la configuració del iptables, que no accepta tots els paràmetres que em pensava (o ho estaré fent mal).

Aquests AP’s són una ‘virgueria’ tenen bona potència i accepten altres firmwares oberts com Openwrt i altres de pagament que ara mateix no recorde els noms, porten per defecte el PoE (cosa que em facilitarà molt la instal·lació del cabletjat).

Ja he estat fent proves de configuracions en ma casa i una vegada testejat l’enllaç he passat directe a casa ma tia, on anirà muntat esta ‘fira’. Allí una vegada configurat ha anat perfecte, això sí, dins d’una habitació emulant l’enllaç, ara falta veure si l’enllaç es pot aconseguir (la configuració ja està).La connexió que he realitzat amb èxit és la següent:

PC – ROUTER CASETA – UBNT2 -UBNT1 – PLC – PLC – SERVIDOR VPN – ROUTER CASA – INTERNET

UBNT1 i 2 són els noms que tenen per ara els AP’s i l’enllaç entre ells és inalàmbric. Les xarxes ente ROUTER CASETA – UBNT2, UBNT2 – UBNT1 i UBNT1 – SERVIDOR VPN són /30 i l’enllaç wifi és obert amb la SSID wifi4t encara que ara ho tinc en /30 més endavant la deixaré en /16 amb la IP de xarxa 10.10.0.0

Enllaç del dia:

www.comprawifi.com

Preliminars Caseta – Casa

Després d’haver fet les proves amb els components que ja tinc i després haver fet una estructura amb màquines virtuals de la forma Server VPN – Router – Router – Client VPN i configurant els tallafocs via iptables per a que al server vpn sols es puga accedir als ports que s’utilitzen per a les connexions VPN i a la part del client no acceptar connexions entrants a no ser que els ha establert ell abans de forma gratificant, ja he comprat els 2 punts d’accés Nanostation2, esta setmana espere que arriben. Torne a posar un diagrama actualitzat de la estructura de xarxa que implantaré, més que res perquè està fet en el software lliure anomenat DIA

CASETA-CASA TIA

Ara encara no tinc temps però al pròxim post ja posaré la configuració entre routers ja que com la xarxa WAN serà lliure i es podrà connectar qualsevol (sols accés a la xarxa, no accés a Internet)

(Modificat 4/11/09) Comentar que l’enllaç entre R2 i SERVER VPN és a través de PLC’s)

La meua PSP Slim

Tardava tant en portar avant el projecte que he decidit comprar-me una PSP. Ja la tinc en casa i ja li he instal·lat un Custom Firmware (l’últim clar).

ImageShack

No ha tingut ninguna complicació però m’he carregat una bateria 🙁 i n’he tingut que comprar una altra.

Primer aclarir alguns conceptes relacionats en el mon de la PSP. El firmware oficial de la PSP és el que porta per defecte. Després està el CF o Custom Firmware, que és el firmware modificat.

També està la bateria Pandora i la Magic memory stick. La bateria Pandora és una bateria modificada (be per hardware o be per software) que fa que al insertar-la en la PSP (Fat o Slim, s’anomena fat a la versió antiga de la PSP) aquesta entre en un mode especial des del qual es pot canviar el firmware per un altre que no siga oficial. I la Magic Memory Stick és la memory stick de la PSP amb uns programes instal·lats per a poder canviar el firmware a la PSP amb aquest mode especial.

Aquests són els conceptes mínims que es deuen coneixer si tens la PSP i vols posar-li un CF.

Abans el procediment per a poder instal·lar un CF a la PSP era més complicat i ademés depenia del model de la PSP, hi havia models que no es podia fer. Però des de la eixida dels nous CF M33
s’ha tornat més fàcil.

Per a instal·lar un CF es necessita dues coses: una bateria pandoritzada i una magic memory stick. Aquesta instal·lació en les últimes versions s’anomena “El despertar del Cementerio” perque a part de instal·lar un CF també servix per a poder desbrickejar les PSP ‘mortes’. La bateria pandoritzada es pot aconseguir d’una altra PSP amb CF, fabricar-la o comprar-la. Jo com no tenia a ningú amb la PSP corrent un CF em vaig arriscar fent-me jo mateixa la bateria pandora, resultat… bateria trencada, vaig buscar informació i tant sols era obrir la bateria (costa molt i pots trencar els dos plàstics que la cobreixen) i soltar una pateta d’un xip sense fer contacte, però és prou complicat per el tamany del xip a modificar. Amb un poc de traça pots fer que després la bateria et torne a valtre per a jugar, sinó s’ha de comprar una altra bateria.

Com la vaig trencar, vaig anar a comprar una altra bateria a una tenda, amb la sort que allí venien bateries ja pandoritzades, així que em vaig comprar una bateria normal i una altra pandoritzada.

Per a fabricar la magic memory stick s’ha de baixar un programa, el qual et formata la memory stick i et posa els arxius necessaris per a poder instal·lar un CF. El que jo em vaig baixar em posava el CF 3’71 m33 o algo paregut.El procediment és molt senzill:

– S’instal·la l’aplicació a l’ordinador.

– S’executa i es seguixen els passos per a crear la nostra magic memory card (amb la PSP connectada a l’ordinador per USB)

-Es desconnecta la PSP de l’ordinador i s’extrau la bateria.

– Es col·loca la bateria pandoritzada en la PSP (tenint la magic memory stick en la PSP) i aquesta s’iniciarà sols. Sino s’inicia automàticament i al iniciar manualment la PSP no funciona, la magic memory stick no ha estat ben creada. Si no s’inicia automàticament però si manualment, la bateria no ha sigut correctament pandoritzada.

– Una vegada iniciada la PSP, apareixerà una espècie de consola amb un menú textual. Es prem X i el CF s’instal·larà. Una vegada finalitzada la instal·lació, la PSP demanarà reiniciar.

Així de senzill és intal·lar un CF a la PSP, be siga FAT o Slim. No se si estarà molt be explicat però de totes formes deixe els ennaços a les webs dels que més he aprés.

Finalment, recordar que per a instal·lar un CF és necessari tenir una bateria pandora, que es pot aconseguir, com ja he mencionat abans, mitjançant una PSP amb CF, comprant-la o modificant-la. Si algú vol que li ho instal·le jo, li ho puc instal·lar per un preu raonable (20€)