Més proves, des de l’atalaia

Hui, en el fred que fa he fet medides des de l’atalaia amb el meu ‘aparatet’, el que passa es que al fer aquestes medides m’he donat compte que no les puc tractar com a reals per a altres dispositius que disponen de 8 vegades menys potència, ja que fins i tot ha detecta la xarxa wifi4t estant apuntant l’antena a ma casa, que vist des d’aquest punt està a uns 80º cap a la dreta. Això si… de totes les que detecta, wifi4t és la que millor senyal té, així que com a mínim ens podem fer una idea.

El que també he vist es que arriba a detectar xarxes sense protecció i inclós m’he pogut connectar i navegar sense problema. La primera pantalla és encarant l’antena cap a la xarxa wifi4t i la segon captura de pantalla és encarant l’antena cap a ma casa. La llista de xarxes detectades és superior a la que es mostra, però sols és un exemple.

talaia

talaia2

Nanostation II. Tallafocs

El tallafocs que porta el Nanostation és el IPTABLES de tota la vida del linux, només que a la interfície web sols pots fer unex regles en especial, que s’apliquen al CHAIN ‘FIREWALL’, que el crea l’AP al habilitar el tallafocs, aquest chain s’aplica al FORWARD i al INPUT, però no al OUTPUT.

Aleshores la millor forma de configurar el tallafocs és via SSH, si no s’ha tocat el IPTABLES pot ser coste un poc al principi. El que s’ha de tindre clar és que FORWARD s’aplica als paquets que redirigix l’AP, INPUT als paquest que li arriben a l’AP (be via wifi o be via lan) i l’OUTPUT als paquets que ixen de l’AP. A partir d’aquest punt, en qualsevol exemple i amb el man del IPTABLES (al Nanostation no hi ha man)segur que resulta fàcil configurar-ho.

Via web sols es pot especificar l’interfície d’orige, IP, protocol (sols TCP, UDP o TOTS), port i IP i por de destí, no se si em dixe alguna cosa més.  Via ssh es pot especificar més protocols, si sols es vol en INPUT, OUTPUT o FORWARD (els canvis a la web s’apliquen a INPUT i FORWARD a l’hora). L’IPTABLES del Nanostation és una versió reduïda, segons he pogut comprovar, de l’original. Per exemple la opció de –match no funciona, dóna error a l’hora d’aplicar la regla.

Després hi ha un altre problema, les regles que s’apliquen no es queden guardades, hi ha dos solucions per a aquest problema:

  • Utilitzar un script per a que aplique les regles, igual com està indicat al post de les rutes estàtiques.
  • Modificant el fitxer de configuració a ma.

Vaig a explicar el segon punt, ja que el primer ja el vaig explicar en un altre post. Es descarrega el fitxer de configuració al pc des de la web i s’obri en qualsevol editor de text, si és en windows aconselle un tipus Notepad++, si és al linux.. ja sabreu quin us agrada més a cadascú i es busquen les següents línies de text:

iptables.1.cmd=-t nat -I POSTROUTING -o eth0 -j MASQUERADE
iptables.1.status=disabled
iptables.2.status=disabled
iptables.200.status=disabled
iptables.3.status=disabled
iptables.4.cmd=-t nat -N PORTFORWARD
iptables.4.status=disabled
iptables.5.cmd=-t nat -I PREROUTING -i eth0 -j PORTFORWARD
iptables.5.status=disabled
iptables.50.cmd=-N FIREWALL
iptables.50.status=enabled
iptables.51.cmd=-A INPUT -j FIREWALL
iptables.51.status=enabled
iptables.52.cmd=-A FORWARD -j FIREWALL
iptables.52.status=enabled
iptables.53.cmd=
iptables.53.comment=
iptables.53.status=disabled
iptables.54.cmd=
iptables.54.comment=

Cada 3 línies és una regla com es pot observar en la seua enumeració. cTé més entrades, però el que no he provat a posar-li jo és més entrades de les que té el fitxer de configuració, però igual si que les accepta encara que en la web no es mostren.

Es pot obersvar que les primeres regles és per a habilitar el NAT (pot ser que no estiguen d’aquesta forma si no s’habilita el NAT) i en les altres línies que no diu res és on podem posar les nostres regles, de tota la instrucció IPTABLES que s’escriu en consola, s’escriu tot en el iptables.XX.cmd= excepte la paraula IPTABLES, en el comment= es pot posar el que vulga (és informatiu) i en status es canvia a enabled. Així ja estarà configurada la regla, es puja el fitxer de configuració modificat al AP i es carrega la configuració.

Ara cal no modificar el tallafocs des de la web ja que desconfiguraria les regles aplicades manualment, si s’accedix via web al tallafocs es poden veure regles ‘extranyes’ ja que l’AP no ha sabut interpertar-les per a treure-les via web, però s’apliquen correctament, ho he comprovat

Més informació sobre IPTABLES:

http://es.tldp.org/Manuales-LuCAS/doc-iptables-firewall/doc-iptables-firewall.pdf

http://www.elrincondelprogramador.com/default.asp?pag=articulos%2Fleer.asp&id=14

Projecte Carasol…aconseguit!!! (i II)

Quan uno té ganes mira que s’afanya a fer les coses! Anit li vaig cridar a Joan per a anar aquest matí a posar l’antena al màstil de la caseta, ell té l’escala de 4m que arribava be per a muntar-ho. El pas més complicat era el de llevar el cable d’antena que vaig posar fa 2 anys i passar el cable de xarxa, ha sigut el més complicat perquè ara no tenia la guia que vaig utilitzar per a passar el cable. Però hem lligat be els dos cables i precintat per a que no s’enganxara ningun fil en algun colze del recorregut i ha eixit sense cap problema, després li he passat el POE i he connectat l’AP per a veure si agarrava la senyal i… si! la senyal era casi igual de bona que amb el trípode, així que allí dalt de la teulada estavem Joan i jo celebrant-ho, ho he instal·lat i la antena que ha estat durant 2 anys allí dalt posada l’he llevat. Després li he connectat el Router i he fet algunes proves de rendiment de xarxa, com per exemple reproduïr una pel·lícula AVI enmagatzemada en l’ordinador de taula de casa sense cap problema, o copiar un arxiu gran.

Així que ara, a falta de que Picola vaja a canviar el màstil de l’antena en casa ma tia (que a saber quan serà) ja puc dir que el projecte ja ha finalitzat correctament.

Tornant a parlar del projecte d’enllaç Caseta-Casa

Retornant a l’enllaç que vull fer de forma més professional, ja he escollit els elements que quedaven per escollir i ja els he comprat, la veritat es que no m’he calfat molt el cap, he entrat en les webs de PCBOX i de APPINFORMATICA i he estat mirant routers fiables i PLC’s a bon preu, al final m’he fet amb el router WRT54G2 de Linksys i amb un kit de LEVEL ONE PLC (els dos a la tenda d’APP que esta vegada els tenien més barats que a PCBOX), la veritat que el router també l’he escollit per el disseny, ja que feia les funcions que m’interesen i quedarà be penjat a la paret de la caseta XD

Com ja tenia aquest material no he pogut esperar a demanar els AP’s que vull i he provat l’esquema que vull fer però sense els AP’s, connectat el router dirèctament a un PLC. La prova ha sigut possitiva, encara que he estat ‘peleant’ 3 dies fins que ho he descobert com configurar-h0.

Primer he intentat fer un enllaç amb IP estàtica de router_caseta a router_casa, donant aquest últim accés a internet al primer, sense cap problema, es configura les ips en el rang de la xarxa de casa i ‘arreando’, he connectat el portàtil al router_caseta i funcionava la connexió.

El següent pas era configurar el servidor VPN i que el router es connecte a través d’aquest servidor, aquest pas ha sigut el que m’ha dut de cap 3 dies. Com el servidor VPN estaria situat a casa ma tia i allí en sa casa no puc tenir tot un CPD muntat m’he tingut que decidir de muntar el servidor VPN que porta el Windows XP, ja que és el més senzill de configurar i posar en marxa ademés que poden seguir utilitzant-lo amb l’emule, msn, navegar… sense cap problema. Si no se sap com fer del Windows XP un servidor VPN, a googlejar “servidor VPN Windows xp” i eixiran milers de webs on ho expliquen, és ben senzill. El que més ha costat és que el router fera de client VPN i el windows li donara les ip’s correctes. Primer ho he fet al meu portàtil utilitzant la ethernet per a connectar-li el router i la wifi per a connectar-se al router de casa, donant ip’s del mateix rang a les dos targetes (que aquest era la causa de que no funcionara correctament) finalment he reproduit un escenari paregut al vmware, on un windows xp feia de servidor VPN amb 2 targetes de xarxa (una en cada rang diferent d’IPs) i un altre windows xp feia de client sobre una targeta de xarxa, al connectar-se i vore que funcionava correctament m’he posat a analitzar l’escenari i és on me n’he adonat que el problema el tenia en el direccionament que donava.

El client i el servidor estan units en una xarxa amb el mateix rang d’ips i el que fa el servidor al connectar-se el client a ell és donar-li a aquest una ip del rang de l’altra targeta per a que puga accedir a la xarxa a la que està unida, exemple:

1. El servidor està connectat a 2 xarxes diferents: 192.168.0.0/24 i 192.168.5.0/24

2. El client està connecta a la xarxa 192.168.5.0/24, per tant sols té accés a aquesta xarxa

3. Quan el client es connecta al servidor per la xarxa 192.168.5.0, aquest li dona una IP del rang 192.168.0.0/24, des de la qual el client ja té accés a la xarxa 192.168.0.0/24 a través de la connexió VPN

Respecte als PLCs… cap problema, realment plug and play, els he connectat a la xarxa elèctrica i en un extrem al servidor VPN i a l’altre al router i he fet ping i resposta.

Resumint:

La connexió Router_caseta – PLC – PLC – Servidor VPN – Router_casa – Internet s’ha establit correctament, per a dur a terme aquest esquema li he instal·lat una altra targeta de xarxa al pc de taula de casa al qual es connecta al PLC, ho he provat en els tallafocs deshabilitats, ara falta fer-ho anar amb més seguretat aplicada

Després d’aquest èxit ja estic esperant poder demanar els APs per a provar la connexió wifi i el tunel VPN a través dels APs, que no se com reaccionaran els APs i els enrutament de direccions

continuem amb el servidor DNS-caché

Ja he estat trastejant amb el fitxer de configuració i ja he trobat altres utilitats i alguns error que he comés amb la configuració. Primer que res, l’arxiu /etc/resolv.conf el modifica el propi servidor DNS-caché quan arranca, així que tot el que s’escriga al fitxer serà esborrat. Per a afegir servidors DNS externs a la configuració tant sol cal escriure al fitxer de configuració den dnsmasq (/etc/dnsmasq.conf):

server=Ip del servidor DNS

Després, per a que faça de DNS intern, podent resoldre els noms i que no tenim que estar memoritzant les IP’s cal que s’ecriga el següent:

local=/localnet/        (on localnet pot ser canviat, quedant-se nomservidor.localnet)

ara tant sols queda posar en el fitxer /etc/hosts:

IP.DEL.SER.VIDOR    nomservidor.localnet    nomservidor

I quan s’intente accedir al servidor internament be siga per web o ssh o fent-li un ping, es posa nomservidor.localnet i ja està

I així ja està ben configurat el DNSMASQ

Servidor DHCP i DNS-Caché

No fa ni 10 minutets que he escrit el post d’abans i ja estic escrivint el següent, es que estic inspirat.

Com ja he dit abans, al intentar crear un servidor de hosting d’anar per casa i no configurar-lo be he estat atacat sense parar durant 2 setmanes, fent que la connexió a internte fora molt roïn i fins i tot es penjava el router, ja he aplicat algunes normes de seguretat, però d’això ja parlaré un altre dia. Un dels problemes més freqüents i que ara encara em passa és que de vegades el meu servidor DNS (és a dir, el meu router) no es capaç de consultar amb els servidors dns del meu ISP i aleshores no puc navegar per la xarxa (a no ser que em sàpida de memòria les ip’s de les webs que més visite…), tenint que posar la ip dels equips connectats a la meua xarxa en manual i posar-los les IP’s de les DNS del meu ISP, cosa que no m’agrada perque la gent va pegant-me un poc la vara quan se’n van fora de casa i tornen…

Per a sol·lucionar aquest petit problemeta he utilitzat el servidor de dades (de nom “servidor”, ja se que no és molt original, i que?) per a habilitar un servidor DHCP i un servidor DNS-Caché. Per a qui no ho sàpiga, el primer servidor és l’encarregat de donar una IP a qualsevol host que es connecte a la xarxa i el segon és l’encarregat de comunicar-se amb els DNS del meu ISP per a resoldre els noms i les ip’s, llevant-li aquestes funcions al router que tinc ara.

Primer que res una petita descripció del servidor:

– El S.O. que utilitza és el Ubuntu 8.04

– CPU: AMD Athlon 700Mhz

– 192Mb de RAM i un disc de 80Gb (sistema operatiu i swap) i un altre de 320Gb (carpetes de dades)

Primer he instal·lat el servidor DNS-Caché, i com estic gos i ja està explicat en una altra web… feu clic ací i ho voreu com es fa,és senzil. La única cosa diferent que he fet és al fitxer resolv.conf posar-li la ip local i després les dos ip’s dels servidors DNS del meu ISP, per a que busque també en eixos servidors en cas que no ho tinga en caché.

I després he instal·lat el servidor DHCP3 com ho diu ací i en la modificació del fitxer de configuració dhcpd.conf he posat el següent:

# A slightly different configuration for an internal subnet.
subnet 192.168.0.0 netmask 255.255.255.0 {
range 192.168.0.128 192.168.0.254;
option domain-name-servers 192.168.0.2,80.58.61.250;
# option domain-name “internal.example.org”;
option routers 192.168.0.1;
option broadcast-address 192.168.0.255;
default-lease-time 600;
max-lease-time 7200;
}

On es defineix el rang de IP’s que s’utilitzarà per a donar per DHCP, la porta d’enllaç i els servidors DNS predeterminats, que com es pot veure s’utilitza com a DNS primari el servidor i el DNS secundari un del ISP

Fins que no es configura correctament l’arxiu de configuració /etc/dhcp3/dhcpd.conf el servidor no arranca correctament i també tenir en compte de deshabilitar el servidor DHCP del router per a evitar confusions, ja que si estan els dos habilitats… el host agafarà la IP del primer servidor DHCP que trobe.

I així és com ho he configurat. Quan tinga més temps ja em posaré a descriure amb més detall les funcions del servidor i del serweb (el servidor web)

(Actualitzat 5/1/2009) Referències

Com es pot observar, he posat més enllaços sobre NTP que sobre DHCP, simplement és perque he vist més fàcil la recerca d’informació per a muntar un servidor DHCP que NTP