Documents i solucions tècniques de guifi.net

En aquesta secció s'hi poden trobar les diferents solucions proposades i discutides al fòrum i a la llista de correu referents als diferents temes tècnics que envolten les xarxes WiFi.
D'aquesta manera en aquesta secció entre tots podem anar consolidant un "comesfa" o documents específics sobre aspectes tècnics.

Com es fa un node wireless?

Un node, ja sigui client, punt d'accès, repetidor, enllaç es construeix simplement a partir d'un dispositiu 802.11b o 802.11g , amb això normalment s'aconsegueix una cobertura d'un màxim de 300 metres a la rodona si no hi ha obstacles, i d'uns 80 metres en interiors.

El tipus de dispositiu canviarà en funció del rol que farà el teu node dins de la xarxa. Al full de ruta de guifi.net trovaràs una guia de quines son aquestes funcions en l'àmbit de la cobertura de la xarxa.

Si volem cobrir distàncies superiors llavors podem connectar-li antenes. L'ample de banda de la connexió serà variable. Com més a prop, més ample de banda, com més lluny, menys.
La tipologia de les antenes varia en funció de la cobertura a donar i distància:

Per a distàncies realment llargues (quilòmetres) cal que l'antena sigui direccional. La "pega" d'aquestes antenes és que típicament tenen poc angle de cobertura (encara que si distància). N'hi han de diversos tipus, iagui (similats a les de la televisió convencional terrestre), parabòliques... Amb parabòliques s'han arrivat documentar enllaços de més de 100 quilòmetres.
En canvi, si estem en una zona urbana i poblada, i el que volem fer és proporcional senyal en totes direccions, segurament ens convé una antena omnidireccional o sectorial (aquestes darreres s'assemblen a les de la telefonia mòbil, però solen ser més cares).

Hi ha molta informació a internet de com fer-les tu mateix, aneu però en compte, són molt sensibles amb la humitat, i perquè una antena rendeixi bé i en qualsevol condició atmosfèrica, ha de ser molt ben feta.

El punt d'accés és un aparell que normalment consumeix molt poc. Per exemple, el Linksys WAP11 que tinc funcionant des de fa ja uns anys va a 5V/2 A. Si no tens cap endoll a prop l'alimentació la pots proporcionar des de la pròpia xarxa (PoE - power over ethernet).

Del punt d'accès surt ja la connexió tipus RJ45 que pots connectar a la teva xarxa local. Mols punts d'accés avui dia són també multifuncionals: Incorporen un hub o també són mòdems ADSL.

Finalment, la configuració del punt d'accès, que normalment es fa via navegador amb interfície web, SNMP o USB segons el cas, variarà en funció de la xarxa a la que et vulguis connectar i el model de punt d'accès. Els que admeten configuració via navegador (avui en dia, la majoria) són els més còmodes de configurar.

Antenes omnidireccionals

Les antenes omnidireccionals són aquelles que radien la seva senyal per igual en totes direccions.
És el tipus d'antena que s'utilitza quan no se sap on estaran situades les antenes receptores, d'aquesta manera siguin on siguin rebran la mateixa senyal.
Com que han d'escampar molt més la seva energia que les antenes direccionals la distància que poden cobrir és més petita.
Les antenes omnidireccionals són les més adecuades per fer un Hot Spot. De totes maneres s'ha de mirar bé quin tipus d'antena comprem en funció de l'entorn en el que haurà de treballar.

D'antenes direccionals n'hi ha de dos tipus: "Indoor" i "Outdoor". Les primeres són per treballar dins de locals protegides de l'intempèrie. Les segones poden treballar a l'exterior, venen protegides de l'humitat, temperatures extremes, vents forts,... Les diferències són només en l'acabat i la protecció física que porten, ja que el funcionament és exactament el mateix per totes.

Per triar l'antena el primer que cal mirar és la freqüència de treball. Les freqüències en que es mou WiFi són 2.4GHz i 5GHz, encara que majoritariament s'utilitzen només les primeres. Les antenes no intervenen en les velocitats a les que pot funcionar la xarxa, només dónen senyal, com més bona qualitat (intensitat) tingui el senyal més velocitat es podrà agafar si l'Access Point i les targetes ho permeten.

La segona cosa en la que ens hem de fixar és en el diagrama de radiació de l'antena. Una antena omnidireccional dóna la mateixa senyal en qualsevol direcció del pla horitzontal. Això vol dir que dues antenes receptores situades a la mateixa distància respecte l'antena emissora rebran la mateixa intensitat. Això és cert si a més a més estan a la mateixa altura, ja que en el pla vertical és on varia molt el comportament d'una antena a l'altra: de dues antenes receptores situades a la mateixa distància de l'antena emissora sempre tindrà millor senyal la que tingui menys diferència d'altura respecte l'antena emissora. Aquesta és una dada important que hem de demanar al comprar una antena, ja que depenent del lloc on l'haguem d'utilitzar això ens afectarà més o menys.

Per llocs on totes les antenes receptores estan a una altura similar (una sala, una esplanada, camp obert...) en tindrem prou amb una antena amb molt poca obertura vertical (2º-20º), d'aquesta manera, com que escamparà menys energia verticalment guanyarem en distància. En canvi en llocs on hi ha molta diferència d'altura entre l'antena emissora i les receptores (una oficina de varies plantes, un bloc de pisos, un carrer on les cases tenen més de dos pisos, entorn urbà) ens caldrà una antena amb una obertura molt més gran (>20º), això farà que l'energia s'escamparà molt més i per tant perdrem distància de cobertura.

Una manera bastant senzilla de calcular si una antena ens és vàlida o no és utilitzant la següent fórmula:

z = r·sin(a/2)

r és la distància en metres de l'antena receptora.

a és l'angle d'obertura vertical que ens dóna el fabricant.

z és la diferència màxima d'altura a la que pot estar situada una antena receptora a la distància r.

Ho exemplificaré amb un cas real:

Tenim una antena amb una obertura vertical de 8º. El nostre node està a 15m d'alçada respecte el terra. L'antena receptora que volem calcular està a 50m de l'antena emissora.

z = 50·sin(8/2) = 3.49m

Això vol dir que la diferència d'altura màxima que hi podrà haver entre l'antena emissora i la receptora serà de 3.49m, per tant l'antena receptora haruà d'estar situada com a mínima a 11.51m i com a màxim a 18.49m d'alçada respecte el terra.

Per distàncies més petites de 20m ens podem trobar que amb aquesta fórmula no n'hi hagi prou, llavors també hem de mirar el diagrama de radiació que ens proporciona el fabricant. En el diagrama veiem quina és la potència de senyal que s'envia en cada direcció del pla vertical respecte la de la direcció principal (horitzontal). Veurem que hi han antenes que gairebé només emeten en direcció horitzontal, en canvi d'altres emeten petites intensitats a angles molt més oberts, això farà que poguem tenir antenes receptores a poca distància amb una gran diferència d'alçada (per exemple dos pisos per sota).

L'últim punt que hem de mirar és el guany de l'antena. Aquest és el paràmetre més complicat de decidir, ja que, com hem comentat abans, també depen de l'obertura vertical. Com més guany tingui l'antena més distància podrem cobrir. De totes maneres no hi ha cap fórmula senzilla de determinar quina distància es podrà cobrir amb una determinada antena, només podem fer cas del que ens diu el fabricant. De totes maneres la distància que ens diu el fabricant és la distància màxima a la qual hi ha el senyal necessari per establir-hi una connexió a la velocitat mínima, això vol dir que si volem assegurar una connexiò a alta velocitat amb un punt a aquesta distància aquesta antena no ens servirà. A mode d'indicació s'acostuma a utilitzar la meitat de la distància que indica el fabricant, en alguns casos serà més i en altres serà menys... tot és provar-ho o trobar algú que en tingui alguna i hagi fet proves fiables.

Com construir una caixa estanca per a un enllaç o punt d'accès.

En David s'està preparant la caixa estanca que vol posar a Calldetenes per al seu punt d'accès. Ha vingut a casa per pendre mides i he aprofitat per fer-hi un parell de fotografies i escriure quatre ratlles sobre la seva construcció. De fet és una cosa força senzilla, però a la vegada interessant i útil per a la construcció dels punts calents i enllaços sensefils.

En David, com que és electricista, fa la feina a consciència: Ell no s'està de res, ho munta dins d'una caixa que ha trobat en un dels seus proveïdors que té clau i una tapa practicable. Segurament no tan econòmic com una simple caixa de plàstic, pero la diferència es nota en el resultat.

A més es prou gran com per encabir-hi fins a 3 Linksys WRT54G, així si a més de punt d'accès, fa d'enllaç a la xarxa troncal amb dos punts més, li serveix la mateixa caixa. Com que és prou gran, a sota li caben els alimentadors. Només portant corrent n'hi hauria prou per fer-ho funcionar, però sempre hi podem passar també un cable de xarxa normal per a unir-lo a una xarxa cablejada.

De la capsa hi surten els forats per treure o bé la mateixa antena d'orígen per al punt calent, o els cables per connectar-hi les antenes direccionals. Maco oi? Jo en vull una també com aquesta, la feina ben feta no té fronteres Eye-wink

Si cliqueu sobre de les fotos veureu amb una mica més de detall com està feta. N'hi ha una amb la caixa oberta, i l'altre, tancada. En David la penjarà ben aviat al costat de on hi tindrà la antena a Calldetenes.

Per la meva banda, jo n'he muntat una amb una caixa de connexions de les més simples, això si, ben grossa. És la que de moment he posat de forma provisional com a torre de comunicacions en el gronxador. Espero ben aviat fer-ne una de millor, però també té la seva gràcia: S'hi veu el caire lúdic de tot plegat i avans no la desmunti li he fet una fotografia perquè quedi per a la posteritat... Al final, aquesta antena que veieu és la que ha aconseguit connectar de froma estable amb la capsa d'en David des de Gurb a Calldetenes... Eye-wink

Proporcionar alimentació a través de la xarxa (PoE)

Si volem instal·lar, per exemple, un punt d'accès al terrat, la teulada, o en definitiva, un lloc relativament inaccessible, és probable que allà no hi hagi alimentació (corrent elèctrica). Tanmateix, ens convé que el punt d'accés estigui protegit de les inclemències meteorològiques, però a la vegada tan aprop de l'antena com sigui possible, ja que el cable de l'antena és en si mateix un atenuador de la senyal, i conseqüentment, la longitud de cable redueix la capacitat d'enviar i rebre senyal.

Fer passar no un, sinò dos cables (RJ45 i corrent elèctric) cap a l'antena no deixa també de ser un inconvenient.
En el meu cas, tinc el punt d'accès sobre una biga de fusta just sota la teulada. Queda ben discret, però allà no hi tenia corrent ni cap manera de portar-hi cables sense que es veiguèssin. Un encara podia arrivar relativament dissimulat, no pas dos.
La opció llavors és transportar la corrent a través del mateix cable de xarxa: Resulta que els cables d'ethernet tenen 6 fils petits, dels quals, en realitat, només s'en fan servir quatre. Això vol dir que podem fer servir els dos que queden lliures per transportar-hi també corrent contínua de baix voltatge amb el mateix cable per proporcionar corrent al punt d'accès.

L'únic que cal es que a cada cap del cable posem avans una caixeta que s'encarregui de separar de nou la xarxa de la corrent contínua.

Aquest mètode força pràctic en alguns cassos, està força documentat a internet, per exemple, si googlejes la primera que em surt, i que està molt ben ilustrada (amb fotos, diagrames, etc) és aquesta de la pàgina de New York Wireless.

Val a dir que aquest truc pot també ser pràctic per proporcionar alimentació elèctrica a altres coses, com ara routers, mòdems adsl, hubs... S'ha popularitzat tant que he vist després que amb el temps aquesta mena de caixetes que separen la senyal de xarxa de la corrent per trasnportar-la per un mateix cable es troven ara ja disponibles comercialment. Tanmateix és fàcil de fabricar-la un mateix fent servir una simple caixeta amb un connector RJ45 (com l'exemple que s'explica a NYwireless, no sóc un manetes del soldador i m'en vaig sortir). Això si, comprova bé el cable i tot el sistema amb un tester avans de posar-lo en marxa, si tens algun error corres el risc de xafar algun aparell.

Introducció bàsica als tipus de dispositius WiFi. Quin em cal?

WiFi en si mateix es refereix simplement a la tecnologia que descriu xarxes locals sense cables dins de les freqüències liberalitzades per a microones, pensant sobretot en àmbits reduïts (una casa, una empresa...), i a partir de la qual es creen el que es coneix com a comunitats wireless (sense fils).
Aquesta tecnologia ha possibilitat també d'interconnectar-les entre si. Per a muntar-ho i, sobretot, per a tenir en compte els components que són necessaris per a la nostra xarxa (i que, per tant, haurem de comprar) cal entendre la topologia i disseny de la xarxa. Els protocols WiFi construeixen missatges segons la funció que fan. Intentaré descriure en línies generals de forma breu quin són els components que en formen part (clients, punts d'accès, enrutadors, etc.).
Tanmateix, si aquesta lectura la trobes massa complexa, no hi pateixis, no és necessari entendre tot això. Si el que cerques és la manera més senzilla de connectar-te a la xarxa guifi.net, segueix les instruccions descrites al document: Configuració ràpida per a guifi.net amb l'unsolclic.

Punts d'accés (access points -AP-). Típicament uneixen una xarxa de cable ethernet amb una sense fils des d'un punt en concret. Proporcionen cobertura via ràdio dins d'un espai determinat i són autònoms en el seu funcionament -no requereixen de cap ordinador. Normalment emeten des d'un canal determinat.
Clients. Són els adaptadors que permeten connectar un client (un ordinador) a una xarxa wifi (sense fils) a través d'un punt d'accés. Aquests dispositius ja requereixen estar físicament connectats a un ordinador (ja sigui al seu bus PCI, el port USB, una tarja PCMCIA si es tracta d'un portàtil...). Els clients normalment no connecten entre si, sinó que ho fan a través del punt d'accés. Amb les normes WiFi es contempla el roaming, que vol dir que un client típicament comprova tots els canals i la potència de senyal que rep des de cadascun, de manera que -per exemple, igual que els telèfons mòbils- és capaç de canviar tot solet la seva connexió des d'un punt d'accés cap a un altre si detecta que li proporciona millor qualitat de connexió. Els clients estan pensats perquè un cop connectats a l'ordinador i estigui on estigui, ells solets s'espavilin per a cercar si tenen o no cobertura.
Rúters (routers). No sempre, però, voldrem connectar simplement clients entre si. En els casos on es vulguin connectar diferents xarxes, típicament es necessita que algun component faci la funció de determinar quines són les connexions que pertanyen a una altra xarxa, i estant connectats a més d'una, s'encarregui de traspassar els missatges entre elles.
Ponts (bridges). Els punts d'accés enllacen amb clients, però no s'enllaçen entre si. Si el que volem fer és unir -en aquest cas també sense fils- dues xarxes, ens cal fer un pont o bridge. Aquests ponts es fan entre dos punts (punt a punt) -o de vegades més (punt a multipunt)-, però normalment aquests punts són determinats i fixes.
WDS. És quan agafem més d'un punt d'accès, però treballant com un de sol, de manera que fan de repetidor entre ells. És útil en la mesura que permeten extendre la cobertura a més clients amb menys dispositius (es simultaneja la funció de pont amb la de punt d'accés). Té, però, els inconvenients que en ocasions duplica el trànsit per la ràdio, -consegüentment- disminueix la velocitat, i que el nombre de punts d'accés que es poden incorporar en un grup WDS és també limitat.

Ens cal un aparell per a cada cosa? Depèn. En alguns casos, sí; en altres, no. El que sí és important és que distingim cada funció, perquè en el moment d'adquirir-los hem de tenir clar quina és la feina que els farem fer, i si donen suport a totes les funcions que volem. Si no, podem tenir la sorpresa que n'hem de comprar més que no esperàvem.
També és possible que puguem fer una cosa o l'altra depenent d'on estem i quina sigui la infrastructura existent o prevista fins al moment. Per exemple, per a tenir un punt d'accés que funcioni de repetidor (que doni accés a clients i que alhora faci d'enllaç punt a punt -pont-) cal que tinguem connectivitat a un altre que també tingui la mateixa funció, i aquesta possibilitat de funcionament té un límit en el nombre d'enllaços a fer amb aquest sistema.

Resumint:

Si volem connectar el nostre ordinador a un punt d'accés que ja existeix, necessitem un dispositiu client.
Si volem donar cobertura sense fils a un o diversos ordinadors en xarxa, ens cal un punt d'accés.
Si volem fer un enllaç entre dues xarxes separades, ens cal un pont (bridge).
En tots el casos cal coordinar-se amb la resta d'usuaris per a saber quines són les possibilitats reals que hi han.

seattlewireless.net

L'important és tenir present que no necessàriament tot pot fer de tot. Normalment el fabricant ens diu dins de les especificacions de què es tracta, i alguns cops ens podem trobar que la seva funció és simplement una o només algunes, pero no pas totes. També hi ha diferències de preu notables entre ells: un pont sol ser més car que un punt d'accès, i un client, el més econòmic de tots.

Com que en les comunitats sense fils moltes vegades es vol fer precisament una mica de tot, i el pressupost sempre és una variable important a tenir en compte, el que es fa moltes vegades és alterar la funció prevista d'un aparell. De fet, qualsevol d'aquests dispositius suporten com a mínim la capacitat d'emetre i rebre senyals de ràdio, i moltes vegades els components que porten són comuns i ben coneguts, de manera que és possible que existeixi programari capaç d'alterar així la funcionalitat prevista que havia donat un fabricant per a un aparell en concret. Els exemples més comuns d'aquests hacks són:

Fer servir un dispositiu client + l'ordinador com a punt d'accés, enrutador.... Hi ha diversos projectes -sobretot amb Linux- per a fer això.
Fer servir un punt d'accès com a pont o bridge (trobant la manera que pugui simultaniejar la funció d'AP "normal" amb WDS).

Finalment, l'alteració més freqüent és canviar les antenes d'origen per unes que compleixin unes especificacions concretes. Si es fa partint d'un client en format de tarja PCMCIA o un punt d'accés amb l'antena integrada (sense antena exterior), moltes vegades això vol dir obrir físicament l'equip i fer anar el soldador. Però també hi ha aparells que sí que duen antenes, i que -tot i que alguns diuen clarament que no suporten antenes que no siguin les que venen d'origen- és facil connectar-los al tipus d'antena del nostre gust; això sí, amb el cable adient (pigtail).

Configuració ràpida de nodes per a guifi.net amb l'"unsolclic"

Tot fent l'esforç per simplificar la configuració i així fer xarxa més fàcilment, s'han desenvolupat uns programes i mètodes per a poder configurar una ràdio del tipus Linksys WRT54G de manera que esdevingui un node enllaçat amb els seus veïns i pintat als mapes. A grans trets: Partint de dades bàsiques (nom, localització....) s'actualitza una base de dades, s'assignen adreces... I un cop fet això, configurar una ràdio ja és a punt per a l'unsolclic Eye-wink .

Consell principal

La connexió, si la vols fer tu mateix, segueix un procés on el que has de seguir aquestes instruccions. Amb una mica de paciència ho aconseguiràs. L'unsolclic és la culminació que et permetrà enllaçar. Pregunta el que vulguis, via els fòrums de la web o les llistes de correu, però recorda que l'esforç l'has de fer tu, no esperis que algú t'hi vingui a muntar a casa, fes tu els passos, per això és gratis.

Si et fa mandra fer l'esforç i el que vols és algú que t'ho faci tot, pregunta per un professional que t'ofereixi aquest servei o vés al directori de col·laboradors comercials.

Preparació

Doneu les vostres dades (nom, contacte i posició geogràfica en latitud/logintud o bé carrer/número) i subscriu-te a la llista. En aquest enllaç hi trobaràs instruccions de com fer-ho:

Apuntar-se a guifi net i llistes de correu.

Els administradors agafaran aquestes dades i donaran d'alta el nou punt com a projectat (taula localitzacions), donaran d'alta la ràdio (taula ràdios) i assignaran les adreces de xarxa per al node i per les possibles connexions (taula connexions). Pot ser que et preguntin alguna dada més. Mica en mica mirarem d'automatitzar aquest procés per fer-lo més àgil.
Un cop us confirmin que tot és a punt i que la connexió sembla viable, ja podeu comprar el material. Si la ràdio és nova de trinca, la primera vegada caldrà "flashejar-la" amb la versió del firmware que us indiquin. El procés del "flashejat" esta explicat en aquest document, i actualment s'està fent amb l' "Alchemy" d'Sveasoft, i està en preparació el "Talisman" i el suport d'altres firmwares.
Poseu la ràdio en els seus valors d'origen (Administration->Factory defaults). Adoneu-vos que l'adreça d'origen és 192.168.1.1 i l'usuari i la password és admin/admin. Als manuals de Linksys s'explica com connectar-hi.
Aneu a Administration->Management i activeu (poseu en "enable") el "telnet" (és bastant al final de la pàgina).

Posar l'"unsolclic"

Aneu a la llista de nodes de guifi.net, hi veureu una llista de localitzacions agrupades per comarca i població. Cerqueu-hi la vostra posició i cliqueu-hi a sobre. Us apareixerà una pantalla amb els detalls, comproveu que tot sigui correcte.
Al capdavall hi ha llistada la(les) ràdio(s) depenent de si en poseu més d'una o no. Cliqueu sobre la que voleu configurar.
Ara veureu els detalls d'una ràdio. Si cliqueu aquí en veureu una d'exemple. Al capdavall hi ha l'enllaç al programa que genera la configuració "unsolclic".
Un cop generada la configuració, copieu-la, si no us cap sencera, per trossos, i enganxeu-la en una sessió "telnet". Per fer una sessió "telnet" la comanda és:
```
# telnet 192.168.1.1
Trying 192.168.1.1...
Connected to 192.168.1.1 (192.168.1.1).
Escape character is '^]'.
SVEASOFT login: 
```
La part del "telnet" és la que heu de teclejar, quan demana el login, hi heu d'escriure root, i com a password "admin".
Un cop completada l'operació del punt anterior correctament, la ràdio ja té tota la configuració i està llesta per funcionar i enllaçar. Un cop passat l'unsolclic, la password del router és "guifi", i la IP, si esteu en mode client, continua siguent la 192.168.1.1, si esteu en mode WDS/AP (repetidor), és la que teniu assignada a la base de dades per a la vostra ràdio.

Notes

Suporta enllaços del tipus WDS/P2P, i AP/Client.
La mapificació es fa amb phpwirelessmap
Si us interessa aquest tema, estigueu al cas de les novetats. És molt probable que anem millorant i fent canvis sobre aquest programari.

"comesfa" un supernode "estil" guifi.net: El de la Gleva a les Masies de Voltregà

A guifi.net ens referim a "Supernode" a aquells emplaçaments on simultàniament es dóna cobertura als usuaris de la zona i es fa enllaç amb la resta de la xarxa entre dos punts distants. Típicament aquesta mena de nodes estan formats per un mínim de 3 ràdios, 2 amb antenes directives (per la connexió a llarga distància) i una sectorial (per als usuaris de la zona).
El Supernode del dipòsit de La Gleva, construït amb el suport de l'Ajuntament de les Masies de Voltregà, és representatiu d'aquest tipus d'instal·lacions. A més, al ser en un lloc públic i visible, el fa idoni per servir-nos de referent de cara a qui se'n vulgui construir un... en tenim uns quants més de pendents: Sant Hipòlit, Vinyoles, Malla, ...

El muntatge en imatges

En primer lloc, aquí teniu unes fotografies per fer-vos una idea general. Una imatge diuen que val més que mil paraules. En Gil ha fet de fotògraf i té totes les fotografies amb més detall al seu àlbum: http://www.gilsblog.name/photos

Muntant les antenes
Fent forats
La pletina que dóna suport a les torretes
Plantejament de la instal·lació a peu pla
Cablejant
Construïnt-lo

La construcció acabada

Vistes cap al Nord (Sant Hipòlit i el Poble Sec de les Masies de Voltregà). Allà hi ha d'anar el Supernode de Sant Hipòlit de Voltregà.
Vistes cap al Sud. A uns quants quilòmetres hi ha els supernodes del Serí i del Seminari. Aquest supernode enllaça perfectament amb els dos.
Ràdio de "MasiesVDipSud" (enllaça amb el supernode de Gurb Serí/El Serrat i potencialment també amb Vic - Seminari).
Ràdio amb antena sectorial per donar cobertura als usuaris "MasiesVDipAP".
Ràdio amb antena directiva de 19db "MasiesVDipNord" per fer enllaç amb el Supernode de Sant Hipòlit de Voltregà.

Estructura general

El Supernode està format per 3 ràdios.

La del mig és la que porta l'antena sectorial, que dóna una obertura de 120 graus i té un radi de cobertura de ben bé un parell o tres de quilòmetres de radi amb molt bona senyal. A sota hi ha el veïnat al que s'hi dóna cobertura. Idealment el Supernode ha d'estar en un punt elevat escorat a una banda, d'aquesta manera amb una sola antena sectorial ja es pot cobrir tot el tros.

Als extrems hi ha les ràdios equipades amb antenes directives pels enllaços amb els altres "supernodes" veïns. Les antenes directives són aquestes que s'assemblen a les de televisió. Les que veieu a les fotografies són una de 19db de guany (enllaç amb St. Hipòlit) i una de 24db (enllaç amb Gurb i Vic Seminari).

Totes les ràdios s'uneixen per cable de xarxa entre elles fent servir "vlans" (subxarxes diferents) per tal d'aconseguir el màxim rendiment i que en cas de que en falli una, la resta puguin continuar oferint servei i, potencialment, amb alguna reconfiguració, continuar el supernode operatiu encara que en falli alguna.

Les antenes són petites i, idealment, convé instal·lar-les separades uns metres entre elles perquè això fa que les ràdios no es facin "soroll" les unes amb les altres (millora el rendiment). Encara que càpiguen en un sol pal, si és possible, cadascuna amb el seu màstil és millor, en aquest cas la ubicació ens ho permetia.

També convé dissimular-les al màxim aprofitant que no necessiten d'envergadura. Sobretot si s'ubiquen en indrets on puguin causar un impacte paisatgístic o edificis singulars. Aquest no era el cas aquesta vegada, a més, ens hem trobat una plantació de pollancres joves al peu de la instal·lació que feia previsible que en qüestió de poc temps les antenes haurien quedat tapades pels arbres ... Per això, en aquest cas s'han hagut d'elevar amb torres. Com que són pollancres és possible que amb el temps, fins i tot, calgui incrementar l'altura d'alguna i aquesta mena de torres modulars permeten fàcilment aquesta operació. Aquest material per fer les torres màstils és del mateix tipus del que es fa servir per a les antenes de televisió i, per tant, fàcil de trobar.

La configuració de les ràdios ... en aquest cas amb l'"unsolclic" ha sigut bufar i fer ampolles Eye-wink

Material que s'ha fet servir

1 antena directiva de 24db de guany
1 antena directiva de 19db de guany
1 antena sectorial de 120º i 14db de guany
3 ràdios Linksys WRT54G
3 rínxols RP-TNC/N-Male
3 torretes de suport de màstil per antena de televisió amb la seva base per aferrar sobre formigó
3 màstils d'antena de televisió de 2,5 metres
3 caixes estanques de plàstic per a exteriors grans
1 magnetotèrmic
50 metres de manguera 3x1,5
50 metres de tub coarrugat rígid per a abrigar els cables de corrent i xarxa
50 metres de cable de xarxa UTP-5
Uns 10 connectors RJ45 (normalment en calen més, no solen funcionar tots a la primera... a no ser que els posi en Carles, que no en falla ni un )
Cinta aïllant per protegir les connexions de l'antena amb el rínxol, també es pot usar algun aïllant termoretràctil
Gafes, tacs, visos, brides i abraçaderes per endreçar el cables/fixar el tub coarrugat

Eines imprescindibles per a construir-lo

Un equip amb bon humor i ganes de treballar
Taladradora
Estenalles per a cables, de corrent i de xarxa
Claus angleses, fixes i de tub
Tornavisos de tota mena
Una escala de peu
Unes ràdios prèviament configurades i provades amb l'unsolclic
Un portàtil per provar que tot funciona bé, tant per xarxa com per wifi
Màquina de fotografiar per la posteritat
Corrent elèctric

That's it! Es diu depressa, pero hi ha feina si ... però val la pena. Llarga vida al Supernode de "la Gleva" de les Masies de Voltregà i bon profit.

Automatització de la federació de proxys

Els passos són els següents

1.-

els usuaris d'altres proxys poden fer-lo servir

OUT

els usuaris del proxy poden fer-ne servir d'altres

ni IN ni OUT - Com s'ha dit avans, el proxy no estarà federat, per tant cap usuari extern al proxy el pot fer servir, i cap usuari del proxy pot fer servir els altres de guifi.net (exemple -> un proxy privat)
només OUT - El usuaris del proxy poden utilitzar qualsevol dels proxys que estiguin federats com a IN, pero els usuaris d'altres proxys no poden utilitzar-lo (exemple -> la guixa o el seminari)
només IN - Els usuaris del proxy nomes poden utilitzar el seu, pero qualsevol usuari d'un proxy marcat com a OUT pot fer servir aquest. (exemple -> ??? no crec que ni hagi cap, però les combinacions és lo que tenen)
IN i OUT - El proxy federat per exel·lència : els usuaris poden fer servir tots els proxys federats amb IN, i els usuaris d'altres proxys federats OUT poden fer-lo servir. (exemple -> esperança, elserrat, puntas ...)

2.-

/view/passwd

/view/federated

#!/bin/sh

wget http://www.guifi.net/ca/node/4282/view/federated -qO /tmp/passwd

touch /usr/etc/passwd

NEW=`diff /usr/etc/passwd /tmp/passwd|wc -l`

OK=`grep Federated /tmp/passwd|wc -l`

if [ $OK != "0" ]; then

 if [ $NEW != "0" ]; then

   cp /tmp/passwd /usr/etc/

  /etc/init.d/squid reload

   echo "Nou /usr/etc/passwd copiat"

  fi;

fi

3.-

service squid reload

/etc/init.d/squid reload"

4.-

Com Es Fa un proxy amb squid estil guifi.net

Pentium II a 333 MHz amb 32 MB de RAM i 8 GB de disc

no és cap joia però quan dius que ho pots fer amb una màquina reciclada surt el què surt :)

Com que la màquina no va molt sobrada decideixo posar-hi:

Debian sarge netinstal

i fer-hi només la instal·lació del mínim de paquets possibles:

he escollit només servidor web

també hi he afegit:

apt-get install nomdelpaquet

concretament:

webmin-core squid webmin-squid

Fins aquí tenim un Linux amb l'squid, per fer de proxy, i amb el webmin, per poder fer la
configuració de l'squid i el què ens faci falta, en un entorn web i/o a distància.

El primer que he fet a sigut dir-li al webmin que no em limiti entrar a webmin des de l'adreça 127.0.0.1, així hi podré entrar des de casa i fer-ho quan em calgui o tingui temps (a més aquest ferro no té un navegador tipus firefox i m'és més còmode fer-ho des d'un altre màquina més lleugera):

instal·lo lynx per poder navegar des de cònsola (segur que es pot fer també tocant l'squid.conf, però està bé conèixer el lynx:

apt-get install lynx

engego el navegador:

lynx https://127.0.0.1:10000

accepto el certificat, la galeta, entro com a root, vaig a:

Webmin, Configuració de Webmin, Port i adreces i canvio allò que diu només l'adreça ... per totes les adreces, deso i surto

[image:3160]

A partir d'aquí tot ho farem amb l'ajuda del Webmin des d'una altra màquina.

Comencem per actualitzar-lo:

Webmin / Configuració del webmin / Actualització de webmin

[image:3159]

Durant la instal·lació i engegada de Debian hem obtingut una IP, màscara, ... des d'un servidor de DHCP millor que ho deixem configurat manualment i amb una IP fixa:

Xarxa / Configuració de xarxa / Interfícies de xarxa / interfícies activadas a l'engegar / eth0

Anem per la configuració de l'Squid:

Servidors / Servidor Proxy Squid

- Programes d'autenticació

- Control d'accés

[image:3151]

Cal afegir crear una nova ACL

. selecciona Autenticació externa i Crea nova ACL

[image:3152]

. a l'apartat de Restriccions del Proxy hi hem d'afegir una nova restricció:

cliquem Afegeix restricció de proxy

[image:3156]

. l'ordre com estan posades les restriccions és important , ara hi ha el 'Denega all' abans del 'Permet usuaris_autenticats' canviem l'ordre amb la fletxa

[image:3153]

Cal que apliquis els canvis que hagis fet perquè siguin efectius.

- Autenticació proxy

[image:3157]

És aquí on podrem entrar el nom i contrasenya dels usuaris del proxy

Les altes, baixes i canvis de contrasenya dels usuaris dels proxys llistats a guifi.net es poden gestionar directament a la pàgina usuaris del proxy en qüestió i amb un cron passar la relació d'usuaris de cada proxy o dels federats a les màquines que faci falta.

Fins aquí tenim en funcionament el proxy però per saber quin ús s'està fent del proxy podem instal·lar sarg:

apt-get install sarg

feta la instal·lació podem anar al webmin i configurar-lo:

Servidors / Generador d'Informes de l'Anàlisi de Squid

segurament ens caldrà configurar el mòdul per indicar on és el fitxer sarg.conf, també haurem de definir d'on ha de fer l'informe, on l'ha de desar i cada quan volem que ens el faci.

Si ens convé, podem fer la instal·lació i configuració del webalizer seguint els mateixos passos.

Com fer un segiment d'una ADSL: Ús d'ample de banda i si està penjada o no amb cacti.

Una ADSL sobre XDSI que funiona amb un Nokia M1112 no proporciona ni snmp ni un "watchdog" que reinicii la connexió quan es penja (no és que passi sovint, però si de tant en tant quan es tracta d'una connexió a 2 Megues..). Per resoldre-ho, es pot fer via un script... és una d'aquelles coses coses que un cop fetes, t'en oblides de manera que val més documentar-ho. A més, és interessant com a exemple: En cas de tractar-se d'un altre router, es pot canviar fàcilment per adaptar-ho a les noves necessitats fent servir el mateix sistema canviant el diàleg.

En primer lloc, es tracta de construir un script, que en aquest cas és el que executarà el cacti (normalment cada 5 minuts) i que ens fa la doble funció: En primer lloc mira si la connexió a internet funciona, en cas de que sí, ens proporciona una sortida indicant-nos tota la informació sobre estadístiques de comunicació que hi ha al router, i en cas de que no, el reinicia per tal de intentar establir la connexió de nou.
Aquest script està fet amb TCL i requereix del paquet expect, que en un guinux ja ens l'hauriem de trovar instal·lat
En el meu cas, l'scrpit és el següent:

#!/usr/bin/expect --
#
# Modifiqueu:
# %PASSWORD% per la paraula de pas del reouter
# %IPDELROUTER% per la IP del Router
# %PROMPT% pel prompt que et proporciona el router
# guifi.net i la seva IP, per una IP que gestionis tu, o ben coneguda pero estable
#

exp_version -exit 5.0

set timeout 60
set force_conservative 1 ;
if {$force_conservative} {
set send_slow {1 .010}
proc send {ignore arg} {
sleep .2
exp_send -s -- $arg
}
}
puts "\n"
spawn host guifi.net
expect -exact "guifi.net has address 80.32.45.226" {puts "Router Nokia M1112 ok\n"
spawn telnet %IPDELROUTER%
expect "ogin-id:*"
send -- "adminttd\r"
expect "assword:*"
send -- "%PASSWORD%\r"
expect "%PROMPT%>"
send -- "sh atm\r"
expect "%PROMPT%>"
send -- "sh st\r"
expect "%PROMPT%>"
send -- "log\r"
;exit}
send_user "\ reset del router ADSL Nokia M1112: "
spawn telnet %IPDELROUTER%
expect "ogin-id:*"
send -- "adminttd\r"
expect "assword:*"
send -- "%PASSWORD%\r"
expect "%PROMPT%>"
send -- "reload\r"
expect -gl "\\\[*]\$*"
puts "\n"
exit
close

Un cop tenim aquest script, li donem els permisos d'execució i el provem. Veureu que en principi fa tota la feina, si hi ha internet, ens diu quants bytes a rebut i enviat i tota la resta de informació estadística, i en cas de no haver-hi connexió a internet, simplement envia la comanda reload, que és la que reinicia el router, per tant intentarà connectar-se de nou.

Ara ja només queda "netejar" la sortida amb un altre script perquè en el cas de que no estigui penjat, obtenir la informació, en aquest cas de bytes enviats i rebuts. Aquest és l'script que li direm al cacti que faci servir per a obtenir la informació estadística.

#!/usr/bin/perl
#
# adsl.pl
#
# Autor         : Ramon Roca 
# Date          : 06/25/04
# Version       : 0.1
# Description   : Script to output the bandwith usage of a Nokia M1112 device.
#                 Output is  

@queue = `/var/www/cacti/scripts/m1112.sh|grep payload`;

@tx = split " ",$queue[0];
@rx    = split " ",$queue[1];
print "tx:" .$tx[2] . " rx:" . $rx[2];

Adoneu-vos que m1112.sh és l'altre script que hem fet avans.

A partir d'aquí, seguint la resta d'instruccions del cacti per a incorporar una nova gràfica...

Per a més informació sobre aquests scripts i/o altres routes, això ho he tret fent collage de www.adslnet.ws i www.bandaancha.st

Nota: Potser hauria de fer alguna explicació més sobre el cacti? Eye-wink
En tot cas, de moment en podeu veure exemples si aneu a mirar l'Estat de la Xarxa de guifi.net

Configuració bàsica de Squid per obtenir un porxy federat a partir d'una Debian Etch mínima

http://guifi.net/ca/proxy

http://guifi.net/ca/node/4427

muntar apache2 amb ssl
muntar webmin
muntar squid i configurar-lo mitjançant webmin
federar el proxy
muntar webalizer
Annex: configuracions de dispositius (escenari poc usual i gens desitjable)

1. apache2 amb ssl

# aptitude install apache2

fitxers de configuració -> /etc/apache2
fitxers a servir -> /var/www
es crea el grup de sistema (/etc/group) www-data

# aptitude install openssl ssl-cert

# openssl req $@ -new -x509 -days 365 -nodes -out /etc/apache2/apache.pem -keyout /etc/apache2/apache.pem

# a2enmod ssl

# /etc/init.d/apache2 force-reload

2. webmin

http://www.webmin.com/download.html

# wget http://prdownloads.sourceforge.net/webadmin/webmin_1.370_all.deb

# aptitude install libnet-ssleay-perl libauthen-pam-perl libio-pty-perl libmd5-perl

# dpkg -i webmin_1.370_all.deb

$ lynx https://127.0.0.1:10000/

3. squid

# aptitude install squid

# mkdir /usr/etc/
# touch /usr/etc/passwd

http://guifi.net/ca/proxy

sarg

# aptitude install sarg

4. federació del proxy

4.1 federació del proxy

(desfasat)

http://guifi.net/ca/node/4427

http://guifi.net/ca/node/2413/view/services

#!/bin/sh
wget http://www.guifi.net/ca/node/4282/view/federated -qO /tmp/passwd
touch /usr/etc/passwd
NEW=`diff /usr/etc/passwd /tmp/passwd|wc -l`
OK=`grep Federated /tmp/passwd|wc -l`
if [ $OK != "0" ]; then
 if [ $NEW != "0" ]; then
   cp /tmp/passwd /usr/etc/
  /etc/init.d/squid reload
   echo "Nou /usr/etc/passwd copiat"
  fi;
fi

proxypasswd.sh

# chmod 755 proxypasswd.sh
# mv proxypasswd.sh /usr/bin/proxypasswd.sh

proxypasswd.sh

# crontab -e

proxypasswd.sh

54 * * * * /usr/bin/proxypasswd.sh

# /etc/init.d/cron restart

5. webalizer (FIXME -> seguretat: accés per validació)

# aptitude install webalizer
# mkdir /var/www/webalizer/apache
# mkdir /var/www/webalizer/squid

Annex: configuracions de dispositius

# cat /etc/network/interfaces
# The loopback network interface
auto lo
iface lo inet loopback

# The primary network interface
auto eth0
iface eth0 inet static
        address 10.138.57.2
        netmask 255.255.255.224
        network 10.138.57.0
        broadcast 10.138.57.31

        up route add -net 10.0.0.0 netmask 255.0.0.0 gw 10.138.57.1
        down route del -net 10.0.0.0 netmask 255.0.0.0 gw 10.138.57.1



auto eth1
iface eth1 inet static
        address 192.168.1.2
        netmask 255.255.255.0
        network 192.168.1.0
        broadcast 192.168.1.255

       up route add default gw 192.168.1.1
       down route del default gw 192.168.1.1

Configurant l'XLite per a veuip.guifi.net darrera d'un tallafocs connectat a guifi.net

He configurat un XLite, que estava connectat a una xarxa privada (192.168.X.X), on el router fa NAT i Firewall cap a la xarxa pública guifi.net (10.138.X.X). En resum, l'equivalent a la connexió de tipus "client" més convencional.

Hi ha una sèrie de truquets, però és força simple, que més que documentar, simplement hi penjo unes quantes imatges que ja són força explicatives. Cliqueu sobre les imatges per observar-les al detall:

Aquest és l'XLite, un cop ja configurat, si tot va bé, veureu que diu "Logged in". En qualsevol cas, per a configurar-lo, cal que clñiqueu sobre la tecla de la dreta del "Clear" per anar a les opcions.
Un cop havent clicat en les opcions, si escollim "System Settings" i després "Network", podrem definir els paràmetres de xarxa. En aquesta imatge hi veureu els que he fet servir. Els paràmetres corresponents al DNS són els mateixos que els servidors interns de DNS, en configuracions des d'internet, caldrà posar servidors de DNS vàlids.
Si acceptem, i tornem al "System Settings", llavors escollim la segona opció, SIP proxy, i definiriem els paràmetres del servidor per defecte. En podem definir molts, en aquest cas, només s'en defineix un.
En els "SIP Settings" cal posar-hi els paràmetres de la extensió que tenim definida a l'Asterisk.
Amb això (crec que no em deixo res) ja funciona tot hi haver-hi un NAT entremig. El darrer maldecap que observareu és que potser no escoleu res si a l'altra banda parlen baixet o al revés, per resoldre-ho, cal que aneu a "Advanced Settings->Audio Settings->Silence Settings". Allà hi trovareu els paràmetres a partir dels quals l'XLite considera que hi ha silenci i fa microtalls en la comunicació per a estalviar ample de banda. O bé els ajusteu els relatius a "Silence detection", o bé simplement desactiveu el "Transmit Silence" i d'aquesta manera ja no farà aquesta funció. Molt probablement si esteu a dins de guifi.net no us cal fer ús d'aquesta funció.

Notes

En Silvio l'ha configurat des de fora de guifi.net (internet) i ha penjat també una guia del que ha fet:

http://www.comesfa.org/node/2073

Configurar un D-Link DWL-2000AP+ com a client

El D-Link DWL-2000AP+ és un dispositiu inal·làmbric 802.11b/g que permet les següents funcions:

AP (Punt d'Accés)
AP-Client (Client d'una xarxa inal·làmbrica)
Bridge (Interconnexió de dues xarxes)
Multibridge (Interconnexió de varies xarxes)

En aquest document recollim com configurar un DWL-2000AP+ en mode client per fer-lo servir per connectar un ordinador a un Punt Calent. Amb aquesta configuració només permetrà que es connecti un sol ordinador a la xarxa.

Quan treiem el dispositiu de la caixa aquest ve configurat amb una l'adreça 192.168.0.50 amb 255.255.255.0 de màscara de subxarxa. Per configurar-lo hem de seguir els següents passos:

Posar el nostre ordinador dins el rank de l'AP. S'ha d'anar a les connexions de l'ordinador i posar al dispositiu Ethernet amb el qual ens connectarem a l'AP la següent configuració: IP=192.168.0.x i Màscara de subxarxa=255.255.255.0 (on x és qualsevol número entre 1 i 254 i diferent de 50)
Connectar un cable UTP de xarxa (en porta un d'origen) d'una banda al nostre ordinador i per l'altre al port de l'AP.
Connectar l'alimentació de l'AP.
Entrar amb el navegador a l'adreça http://192.168.0.50
Ens apareixerà un assistent que ens demanarà la configuració de l'AP. Si no surt l'assistent podem anar entrant les dades manualment. Primer hem de posar una adreça a l'AP dins el rank del Punt Calent on ens volem connectar, cal que aquesta adreça estigui disponible, per això ens caldrà contactar amb el responsable del node perquè ens en doni una. Per l'exemple farem servir l'adreça 10.138.0.x amb la màscara de subxarxa 255.255.255.224 Un cop validem el canvi es reiniciarà l'AP i perdrem la connexió.
Repetint els passos indicats al primer punt posarem a l'ordinador una altra adreça dins del rank del Punt Calent. També ens hem d'assegurar que l'adreça està disponible: IP=10.138.0.y i Màscara de subxarxa=255.255.255.224
Ens tornem a connectar a l'AP amb la nova adreça http://10.138.0.x
Ara canviem l'AP a mode AP-Client i li entrem l'adreça MAC del Punt Calent (també ens la facilitarà el seu responsable).
Si el Punt Calent ho permet podem utilitzar l'assignació dinàmica d'adreces (DHCP) per ajudar a la disponibilitat d'adreces del Punt Calent. Per fer-ho hem d'entrar a la configuració de l'AP-Client i activar l'opció DHCP. Després haurem de canviar la configuració de xarxa de l'ordinador i activar l'opció d'obtenir automàticament l'adreça i els servidors DNS.
Si a més a més el Punt Calent comparteix una connexió a Internet ara a més a més podem anar a la configuració de xarxa de l'ordinador i afegir de Porta d'enllaç i de servidor DNS els que ens doni el responsable del Punt Calent, si disposa de DHCP això ja es farà automàticament.
Per instal·lar l'AP-Client al seu lloc definitiu el desconnectem de la corrent, el pugem a la teulada o al lloc que li haguem assignat, procurant sempre que quedi aixoplugat i protegit de les inclemències que hi acostuma a haver en aquests llocs i hi connectem un cable UTP que farem arribar fins a l'ordinador. Aquest cable podem demanar que ens el facin en qualsevol botiga d'electrònica de la distància que ens convingui ja que ens sortirà molt més econòmic que no pas comprar-ne un de fet.
Per connectar-li l'alimentació podem utilitzar el seu transformador si tenim un punt de corrent a prop o podem utilitzar PoE (descrit en aquestes pàgines) si no disposem de cap endoll a prop.

Construint xarxes segures i privades

Avui en dia és inimaginable una xarxa sense connexions a l'exterior. Com podem fer-ho doncs compatible la seguretat de les nostres xarxes?. Freqüentment s'associa que s'obté seguretat xifrant les comunicacions, i tot i que certament aquest és un primer pas, el que realment farà que un tram de xarxa sigui segura o no és, simplement i a més d'això, impedir l'accès a qui no n'estigui autoritzat i enregistrant l'us que s'hi fa per poder determinar que aquest ús és l'adequat. No oblidem que independentment de que la xarxa sigui segura o no, el que s'en faci l'us correcte depen més aviat de que hi accedeixi qui ho ha de fer, i ho faci com està previst sense accedir a aquella informació que no li pertoca.

A part de tot això, el cost de les comunicacions amb gran ample de banda, ja sigui via internet o sense fils, alhora que els sistemes d'encriptació i tallafocs s'ha reduït notablement els darrers anys. Combinant aquestes dues coses, és factible conseguir trams de xarxa protegits amb l'ús d'aquestes xarxes.

Si cliqueu sobre el diagrama que teniu a principi de l'article, veureu com es pot construir un túnel a través d'un tram públic de xarxa, desencriptat i que el pot fer servir tothom, i de forma simultània fer servir de aquest tram públic per a unir dues xarxes privades. Ja sigui entre sub-seus de una mateixa organització, com l'accés a la xarxa de la organització per part dels empleats o persones autoritzades des de casa o estant de viatge.

Aquesta forma d'unir xarxes s'anomena VPN (Xarxes privades virtuals). Són segures per moltíssimes raons, entre les que destacaria:

Els mecanismes de xifrat de les comunicacions són molt més poderosos que, per exemple, els que es fan servir al navegador quan ens hi posa la clau o el candau. Per al xifrat fa servir unes claus que a més, típicament cada hora canvien. És a dir, la potència bruta per a poder desxifrar un missatge no només és molt gran, sinò que a més, en el pitjor dels cassos, només seria vàlid per a desxifrar uns (molt pocs) missatges.
Quan s'estableixen aquest tipus de túnels, es fa amb qui volem i com volem, independentment de que es faci a través de trams públics, els podem configurar de manera que un tercer en una ubicació no prevista, li resulti impossible id'obtenir-ne accès.

Aquests tunels virtuals que uneixen xarxes es poden fer simplement a partir un parell de sistemes linux actuant com a tallafocs en cada tram. Per a fer-ho més senzill hi han aparells que ens els poden proporcionar ja construïts com si es tractés d'una caixa negra (endollar, configurar i funcionar). Depenent de la seva funcionalitat i prestacions n'hi poden haver de molts preus, però avui en dia per poc més de 100 euros ja en podem trovar, com per exemple el Linksys BEFVP41 o el DLink DI804HV. És, per tant, factible a qualsevol pressupost fer comunicacions segures com les que han estat fent servir les entitats financeres o grans empreses que estan alhora protegint la seva propietat.

Finalment, com és de segur aquest mecanisme en relació a altres proteccions com ara, en el cas del WEP (tancar el punt d'accès) en la tecnologia sense fils?

Realment no té comparació. El WEP tot i que en un principi ja és una primera protecció, bàsicament el que fa és impedir que algú de forma senzilla es connecti al nostre punt d'accés, però com que per definició un punt d'accès envia senyal "per aire", si algú realment posa interés i esforç per accedir.hi, al final trovarà la manera. Si traslladem l'escenari a internet, passa el mateix. En canvi, si fem servir combinacions de tallafocs i xarxes unides per VPN, els punts d'accès poden estar perfectament oberts i accessibles a tothom en tant en quant els ubiquem en la zona pública, i alhora podem fer-ho compatible amb ampliar la xarxa pública.

En resum, si a nivell particular, d'organització o empresa el que et preocupa és la seguretat, la bona solució no és posar WEP o 802.11x, tancant així el punt d'accès per fer-ne un ús privat, sinò posant aquestes connexions virtuals.

Mica en mica miraré d'anar explicant amb més detall com configurar aquesta mena de túnels, però el més important és segurament introduir els conceptes. Si algú vol veure això funcionant, m'ho dieu i ho podeu veure per muntat en en tram entre Mas Serí i El Serrat.

Fent un túnel entre dues màquines amb OpenVPN

L'OpenVPN és segurament la manera més senzilla que he trobat per a fer túnels entre dues màquines. És una implementació opensource basada en encriptació OpenSSL, i amb compressió de dades. Per tant, suficient per a crear túnels permanents entre dos ordinadors que alhora eventualment poden fer-se servir per a enllaç via cable o internet entre subxarxes separades. En aquest document explicaré els passos (ben senzills) per a instal.lar sobre un guinux basat en Fedora Core 2, tot que no hi ha d'haver gaire diferència si el posem en qualsevol altre distribució de Linux, Unix o altres sistemes operatius.

En aquest exemple, unirem dos ordinadors amb guinux a través de internet, que, a més, estan alhora protegits per un tallafocs.

Descripció

Ordinador 1:

Ordinador 2:

Instal·lació

Instal·lació del openvpn.
Com que en aquest cas partim de guinux, per agafar el paquet simplement...
```
apt-get install openvpn
```
Amb això, ja tenim el paquet instal·lat.
Ara cal generar la clau per a la encriptació.
Cal situar-nos en el directori /etc/openvpn i executar la comanda per a generar-la.
```
cd /etc/openvpn
openvpn --genkey --secret tunelguifi.key
```
Copiem, de forma segura, la clau (l'arxiu tunelguifi.key)al mateix directori de l'altre ordinador.
Crear l'arxiu de configuració del tunel, que anomenarem tunelguifi.conf i el deixarem en el mateix directori /etc/openvpn. Un exemple com a punt de partida pot ser el següent:
```
local 192.168.0.1
remote 80.0.0.1
dev tun0
port 5000
comp-lzo
user nobody
ping 15
ping-restart 15
route 192.168.1.0 255.255.255.0
persist-tun
persist-key
float
ifconfig 172.25.0.1 172.25.0.2
secret /etc/openvpn/tunelguifi.key
```
Les adreces 172.25.0.1 i 172.25.0.2 son les IP que es fan servir per a l'enllaç. Per a obtenir més informació sobre el significat de cadascun d'aquests paràmetres, ho trobareu ben explicat fent un "man openvpn".

A l'altre ordinador hem de crear també el mateix arxiu, invertint però en aquest cas les adreçes com s'escaigui, en aquest exemple el resultat és:

local 192.168.1.1
remote 80.0.1.1
dev tun0
port 5000
comp-lzo
user nobody
ping 15
ping-restart 15
route 192.168.0.0 255.255.255.0
persist-tun
persist-key
float
ifconfig 172.25.0.2 172.25.0.1
secret /etc/openvpn/tunelguifi.key

Configura el tallafocs (o el router que fa el NAT amb la connexió a internet) de manera envii cap a l'ordinador que està protegit les peticions del port 5000, que en aquest cas és el que s'ha especificat en l'arxiu de configuració tunelguifi.conf (paràmetre "port").
Amb això ja podem provar d'establir el túnel, primer des de la línea de comandes i així veurem si funciona, i en cas de que hi hagi algun problema, veure quin i el perquè:
```
openvpn --verb 5 --config /etc/openvpn/tunelguifi.conf
```
Això ho hem de fer en cada ordinador, i si tot va bé, ha de proporcionar una sortida en la qual la part final diu més o menys així:
```
Jun 24 10:38:48 ordinador1 openvpn[5182]: UDPv4 link local (bound): 192.168.0.1:5000
Jun 24 10:38:48 ordinador1 openvpn[5182]: UDPv4 link remote: 80.0.1.1:5000
Jun 24 10:38:48 ordinador1 openvpn[5182]: Peer Connection Initiated with 80.0.1.1:5000
```
Arrivats a aquest punt, el tunel ja s'establirà de forma automàtica cada vegada que es vulgui fer comunicació entre els dos punts, i podràs fer-hi ping. A partir d'aquí, ja es pot configurar la resta de l'encaminanent necessaris, si és el cas.
El darrer pas és simplement posar que arranqui automàticament el servei, cosa que pots fer des de la Configuració del Sistema, o bé amb la comanda:
```
chkconfig --level 35 openvpn on
```
I per comprovar que com a servei del sistema funciona correctament:
```
service openvpn start
```

pàgina del projecte OpenVPN

Delegant subdominis de guifi.net en servidors de noms locals de les zones

<delegació>

posar un ns1.<delegació>.guifi.net tipus A amb una IP (interna o externa)
posar un NS <delegació>.guifi.net apuntant al ns1.<delegació>.guifi.net
Verificar que NO hi ha cap altre registre CNAME o A que també contingui la delegació <delegació>.guifi.net. Si n'hi ha algun, esborrar-lo.

Definir una zona tipus "màster" <delegació>.guifi.net
Definir tots els registres amb el tipus A, mai CNAME (Això no sé si és per error meu, pero els CNAME no m'han funcionat quan la delegació era interna).

Desmuntant un C54APT o un DWL-2100

Desmuntar un punt d'accés pot tenir diverses utilitats, des de la vanalitat de satisfer la curiositat de saber com és per dintre, a esbrinar quins xips porta o canviar-li la carcassa per a muntar-ho en una capsa compacte perque treballi en exteriors i ben ventilat i alhora protegit.
Desmuntar un Conceptronic C54APT o un DWL-21000, és un procès ben senzill. Fer aquesta mena de coses comporta la pèrdua de la garantia, però amb això vull que es vegi que tampoc li hem de tenir por.

Conceptronic C54APT

En primer lloc, cal posar-lo de boca terrosa i descargolar el parell de visos que porta a sota.
Un cop s'han tret els visos, la tapa superior de la carcassa ja es belluga. Per acavar de treure-la observareu que encara queda per la part davantera unes fixacions que la subjecten. Agafeu un tornavís ben fi, i per la ranura que hi ha al davant, feu una presió suau cap a l'interior just on s'indica en aquestes fletxes vermelles de la imatge. Amb això s'alliberen les pestanyes que encara el subjecten la tapa.
Un cop tenim la tapa fora, ja podem veure com és l'interior. Un circuit ben senzill i desmuntable que fàcilment el podem fixar amb espàrrecs de plàstic dins d'una caixa aillada per a exteriors.

D-Link DWL-2100

Aquest és el D-Link DWL-2100
De boca terrosa hi trovem també els seus dos visos per treure la tapa.
Un cop obert ja veiem la placa, amb dos visos més que la subjecten a la base.
La placa que he trovat és igual a la del C54APT. Molt petita i fàcilment instalable en una caixa combinant-ne varis. Aqui surt al costat de un bolígraf per poder observar millor les proporcions.

Gestionar una connexió a internet compartida

Quan es tracta de compartir una connexió a internet amb altres usuaris, és possible que es vulguin establir unes regles en el seu funcionament, ja sigui per especificar qui hi té accès o no, com també en quins horaris, quins serveis i amb quines prioritats d'un usuari o grups d'usuaris respecte d'altres.

Per fer això hi han diverses maneres, la més senzilla és que el router que es fa servir com a node en el punt d'accés ja incorpori aquestes funcionalitats. Si volem una cosa més complerta i flexible, és possible que ens interessi posar-hi un servidor amb el programari necessari per a fer aquestes funcions.

Si optem per fer servir aquestes funcionalitats des del punt d'accés amb la funcionalitat de tallafocs que ja du incorporada, haurem d'estar segurs que la funcionalitat i tipus de gestió que volem fer hi vé incorporada. Normalment els dispositius de baix cost disposen d'unes funcionalitats bàsiques, pero no pas de les avançades. A la pràctica, gairebé tots permeten filtrar a quins usuaris es dona accés i a quins no, també filtrar a quins llocs webs no volem donar accés, però ja és més extrany que ens permetin també filtrar segons horaris o gestionar l'ample de banda.

Per exemple, dels dispositius que fins ara hem pogut provar i que incorporen aquesta funcionalitat:

	Filtrat de IP	Impedir accés a llocs web	Gestió d'ample de banda	Accès segons horaris
Linksys WRT54G	Si	Si	No. Només amb el firmware modificat	Si
US Robotics 8054	Si	Si	No	No

Si amb això en tenim prou, el més còmode és segurament fer servir un d'aquests dispositius, si ho trovem insuficient podem adquirir-ne de més complerts, tot i que això representa en molts cassos pressupostos força més importants.

Un altre recurs és posar un Linux o *IX fent aquesta funció. Hi ha diversos projectes que ho permeten, essent els servidors intermediaris ("proxy") la solució més popular.

Els servidors intermediaris darrerament s'han fet tristament coneguts arrel de que algun proveidor d'internet important els ha fet servir per fer còpia en memòria cau ("cache") de pàgines d'internet per estalviar-se tràfic. Tractant-se d'un proveidor d'internet aquest tipus de utilització és evidentment controvertit, fins i tot es pot considerar un engany en la mesura de que si cobra per un servei que proporciona un accés a Internet és per accedir a uns determinats servidors que són a internet i no pas per "enganyar-te" proporcionant una còpia més o menys actualitzada. Quan, en canvi, fem servir aquest tipus de servidors per a gestionar la connexió compartida, el servidor intermediari es trova sota el nostre control, de manera que podrem decidir si es fa servir o no i com aquesta memòria cau i quines son les regles del seu funcionament.

Una petita relació de les eines d'aquesta mena i la seva funcionalitat més característica:

squid, www.squid-cache.org, fa de memòria cau per a tràfic http i ftp. Té també uns controls per a l'accès molt complerts que inclouen horaris, gestió d'ample de banda disponible...
privoxy, www.privoxy.org, és un proxy orientat a filtratge, seguretat...
Wonder Shaper, http://lartc.org/wondershaper/, més que un proxy, s'especialitza ja directament a fer una gestió de l'ample de banda i com es reparteix.

Instal·lar un servidor "complet" amb un Fedora Core 7

Sant Martí de Centelles

Fedora Core 7

FET

parcialment

FET

parcialmnet (webalizer sí però sarg no)

FET

service $servei start|stop|reload

chkconfig $servei on|off

1r pas entrar el proxy a la web de guifi

afegim un trasto de tipus servidor al node on ha d'anar
des del trasto on es connectarà al servidor li afegim un enllaç per cable cap al servidor
ja tenim la IP!

2n pas afegir el servei de servidor proxy

anem a aportar continguts
triem servei de guifi
seleccionem el trasto que acabem de crear en el pas 1
seleccionem el tipus de servei com Internet a través d'un proxy
desem i tornem a editar per entrar els detalls de l'ADSL i la resta de dades (per fer-ho millor mireu com ho han entrat en els altres proxys ;)

3r pas instal·lem el Fedora Core 7

ens baixem la ISO i la gravem
la posem al cd i anem fent la instal·lació
inhabilitem tan el SELinux com el Tallafocs (o els editeu de tal manera que permetin fer-ho tot plegat) [1]
ens mirem la part final del document (apartat annex) d'en Roger per saber com hem de deixar les rutes per tal que el proxy s'hi pugui arribar per guifi i també estigui connectat a Internet
instal·lem el webmin per poder fer còmodament la configuració en remot

Pas opcional:

editem el fitxer /etc/inittab i posem que el runlevel sigui el 3:

id:3:initdefault:
d'aquesta manera no s'engegarà les X però tota la resta sí

amb l'ordre chkconfig $servei on|off engueguem o aturem els serveis que volem, de manera que ens situem a /etc/rc3.d i mirem els serveis que hi ha, llavors començem a fer els chkconfig $servei off que volem perquè no s'iniciin serveis innecessaris (servei d'impressió, descoberta automàtica, ftp, sendmail, fetchmail, etc etc)
per alliberar espai del disc també podem eliminar tot el programari que volem, per fer-ho podem fer servir el yum mateix o ens podem instal·lar l'apt si ja hi estem acostumats a treballar-hi amb Debian o derivats

4rt pas posem en marxa l'squid el sarg i el webalizer

seguim la guia d'en Lluís Dalmau de com instal·lar un servidor proxy amb squid

amb en Ramon Roca hem vist que que s'ha de treure l'ACL CONNECT !SSL_ports, d'aquesta manera funciona l'ftp

al final del document de com instal·lar el proxy en Lluís Dalmau ja ens dóna les pistes de com generar les gràfiques d'ús del servidor (sarg) i el webalizer

NOTA: en el moment d'escriure aquesta guia no hi ha versió disponible del sarg en els dipòsits del Fedora 7, tanmateix comproveu-ho en el moment en que ho feu (i aviseu!)

un cop ja tenim el proxy en marxa ja podem federar-lo (gràcies Carles Bruguera!) i unes quantes instruccions més detallades de com fer-ho (gràcies Roger Baig!)
al final del document d'en Roger Baig ja ens diu com instal·lar el webalizer amb més detall

5é pas gràfiques descentralitzades

seguim la guia d'en Joan Llopart de com instal·lar un servidor de gràfiques

algunes modificacions:
enlloc d'instal·lar el librrdp-perl i librrds-perl he instal·lat el rrdtool-perl
sembla que no hi ha el mrtg-rrd (ja deu estar integrat amb el mrtg)
he posat directament el snpservices a /var/www/snpservices d'aquesta manera no has de fer l'alias a l'apache
tingueu en compte tots els comentaris que ha aprotat en Roger Baig en la guia d'instal·lació d'en Joan Llopart!
si se us generen les gràfiques però estan buides comproveu que tot estigui amb permisos de root
un altre error que m'ha passat és que al fitxer common/config.php hi havia unes capçaleres de rrdtool que no corresponien al sistema de manera que les he comentat i llestos:

6é pas servidor d'iperf

donem d'alta un servei de tipus iperf en el servidor que hem creat
seguim la guia d'instal·lació de l'iperf d'en Lluís Dalmau

tingueu en compte que al fer els enllaços simbòlics com a mínim el feu en el runlevel que heu definit a /etc/inittab ;)

7é pas servidor de DNS

donem d'alta un servei de tipus servidor de DNS en el servidor que hem creat
instal·lem els paquets del bind
ens assegurem que el bind s'iniciï cada vegada que s'engegui el servidor i l'iniciem

chkconfig named on
service named start

anem al webmin a la secció de Servidors → Servidor de DNS BIND

ens avisa que el BIND no té configuració i de les tres opcions hem de seleccionar la predeterminada: Configura com a servidor de noms Internet i descarrega la informació del servidor arrel
entrem a la zona arrel i li diem que es torni a descarregar els servidors de noms arrel
creem una zona esclava

tipus: reemisió
nom de domini/xarxa: guifi.net
servidors mestres: 10.138.25.68

un cop està creada fem clic al botó de força l'actualització perquè agafi la configuració del DNS

el servidor ja resol els dominis de Internet

8é pas servidor de NTP

instal·lem el ntp: apt-get install ntp
editem el fitxer /etc/ntp.conf on hi afegim la línia (perquè les ip's 10.138.0.0/16 puguin accedir al servidor)

restrict 10.138.0.0 mask 255.255.0.0 nomodify notrap

iniciem el servei i ens assegurem que sempre s'executi:

service ntpd start
chkconfig ntpd on

comprovem que s'hagi sincronitzat

ntpq -p

ens esperem uns bons 15 a 20 minuts perquè el servidor es sincronitzi i després ja podem provar des de qualsevol servidor:

ntpdate -u IP-del-servidor

ja tenim un servidor de rellotge en perfecte funcionament :)

iperf per fer mesures d'ampla de banda entre dos nodes de la xarxa

Per instal·lar a debian:

apt-get install iperf

Si vull que iperf s'engegi com a l'engegar el servidor i estigui disponible per fer mesures:

- entro com a root
- vaig a

/etc/init.d

- creo un script amb la comanda

echo iperf -s -D > iperf

- faig que aquest script sigui executable

chmod +x iperf

- creo enllaços per les arrancades

ln -s /etc/init.d/iperf /etc/rc2.d/S99iperf

ln -s /etc/init.d/iperf /etc/rc3.d/S99iperf

ln -s /etc/init.d/iperf /etc/rc4.d/S99iperf

Hi ha servidors actius a:
VicLaGuixa 10.138.10.2
VicSeminari 10.138.5.66
TaradellMontseny 10.138.32.132

Taula comparativa de dispositius wifi

La taula comparativa de models de ràdios i dispositius wifi s'obté dinàmicament de la informació que tenim a la base de dades de guifi.net.
A mesura que s'hi afegeixen nodes, i als nodes, ràdios, s'informa del model i de les seves característiques.
Llistant aquesta taula de dispositius es genera una taula on fàcilment es pot comparar entre les prestacions de cada model.

Per accedir a la taula de models de dispositius wifi clica en aquest enllaç.

Configurant els Linksys WRT54G amb el firmware d'sveasoft

Aquest document explica una configuració bàsica dels Linksys WRT54G amb el firmware d'sveasoft. Això extén la funcionalitat prevista d'orígen per el fabricant al incorporar-hi un firmware, que en realitat es tracta d'un Linux modificat a partir de la versió original.

Aquest aparell en principi està previst per tal de que faci només d'AP, i com a funcionalitats addicionals, tallafocs i router i gestionar les polítiques d'accès. Amb els darrers firmwares de sveasoft és possible afegir-hi més coses, tot i que algunes estan en procés de desenvolupament. Entre elles:

Gestionar l'ample de banda
Més polítiques de tallafocs
Més opcions al router
Permetre que es treballi en mode client
WDS (fer de repetidor)
Obtenir traces del trànsit que hi ha
Fer telnet/ssh, al aparell
Servidor i client NTP...
... i alguna cosa més que em dec deixar però que podreu veure si aneu als fòrums d' sveasoft.com

Hi han també altres firmwares disponibles. En la secció d'enllaços de guifi.net hi trovareu més informació.

Flashejat del WRT54G

flashejar

Administration->Firmware Upgrade"

Upgrade

Recuperar un WRT54G després d'un flashejat que ha fallat amb TFTP i Linux

Temptant la sort fent flashejats assentat des de casa per estalviar-me d'enfilar-me a les torres del Seminari, al final he aconseguit deixar mort un WRT54G degut a un flashejat incorrecte.
Sabia que es pot recuperar, i de fet es ben senzill, està documentat a diversos llocs però no està de més posar-ho aqui.

Resulta que quan l'aparell es queda en un estat on el botonet power fa pampallugues, és quan es mort.
Llavors cal fer-li el reset (30 segons prement el botò) i després comprovar que respon de nou a la adreca 192.168.1.1
Un cop ja respon, llavors agafarem un firmware original de Linksys, o les versions antigues (p.ex., el Satori). Sempre de tamany inferior a 3 megues. I...

...fem el flashejat via tftp, la seqüència és la següent:

]# tftp
tftp> connect 192.168.1.1
tftp> put Firmware_Satori-4_0G.bin
Sent 2746882 bytes in 6.8 seconds
tftp> quit

Ens esperem una miqueta i farà un reboot on un cop completat, ja torna a ser viu Smiling

Si voleu saber com es fa amb altres sistemes operatius (no és tant senzill, pero quasi), també amb FTP o amb la utilitat "Auto upgrade Utility" que hi ha a la web oficial de Linksys. És un .exe pero imagino que aquest no deu pas portar cap virus Eye-wink

Si encara ni així el ressussitem...

procediment descrit pels companys de Canàries

Generant una clau pública per entrar per ssh a les ràdios

Per entrar per ssh a les ràdios de forma segura (encriptat), independentment de la password, i amb el telnet desactivat, és a dir, per ssh:

Activa l'ssh a la pantalla d'administració
Executa des del teu servidor:
```
ssh-keygen -b 1024 -t rsa 
```
Contesta <retorn> a les preguntes. Et crea un arxiu *.pub (et que t'ha dit)
Copia el contingut d'aquest arxiu a la casella "ssh" de la pantalla d'administració
Ja pots ja fer login a la ràdio des del teu servidor amb root@ip_de_la_radio

Novetats del Talisman

El nou Talisman du una pila de novetats que mica en mica es van implementant. N'hi ha una pila d'anunciades. Vegeu-ne algunes....

Múltimples (i simultanis) sistemes d'enrutament.
Mode client routed (com l'Alchemy) i bridged (dins de la mateixa subxarxa de l'AP).
Nous filtres, entre ells pel multicast.
Port forwarding il·limitat.
Port triggering il·limitat.
Configuració del dhcp més simple
Nova pantalla d'"status"
Nova pantalla d'"status->wireless"

En el 1.0.2 es veu que ja venen cosetes per l'ipv6.... Acaba de sortir Eye-wink

Configurant els Linksys WRT54G en mode AP i mode Client amb Satori pre3.6

Una de les possiblitats és configurar-los de manera que un faci d'AP (Punt Calent) i els altres, en mode client (permetent la connexió al punt calent).

Configurant el WRT54G en mode AP

El primer pas a fer és posar un dels WRT54G en mode AP.
Al tractar-se de un mode de funcionament que ja està previst d'orígen, bàsicament es tracta simplement del que trovareu a la documentació de Linksys en la seva guia ràpida de instal·lació.

Configurant el WRT54G en mode client

Per a configurar el client ja és imprescindible fer servir alguns dels firmwares que ofereixen aquesta possibilitat.
En aquest cas fem servir el Samandhi.

Rendiment amb FTP en mode AP/Client amb el Samandhi2 v2.00.8.6sv

Valoració que faig del mode AP/Client amb els WRT54G

El WRT54G és un aparell molt atractiu en preu i pels hacks, segurament l'ideal per a fer un AP de baix cost d'elevades prestacions en termes de funcionalitat (gestió bàsica de firewall i ample de banda, linux a dins, logs de què passa, WDS...) per a compartir internet, i alhora donar cobertura a clients. Si ens agrada "remenar" l'aparell per dintre, al dur un linux i ser hackejable, és un aparell divertir de jugar-hi: hi podrem canviar els boot, fer comandes amb iptables, etc.

Com a client o com a bridge, també serveix, sempre i quant i en tant i en quant no es resolgui el problema de que només gestiona una MAC connectada, hi posem un sol ordinador. Per a posar-ne cal que hi hagi un altre router connectat (per exemple, un altre AP) o bé compartir lka connexió des del mateix ordinador, pero mai directament des del WRT54G en mode client.

Respecte dels firmware, és realment espèctacular com poden extendre la funcionalitat més enllà de les especificacions que fa el fabricant. Tanmateix, si el que es vol fer és engegar i funcionar al màxim de rendiment, potser val la pena fer servir si mes no una versió estable. Si tenim cap dubte, en el cas d'sveasoft, actualment tenen un fòrum molt actiu on et contesten molt ràpidament.

Jo els vaig comprar precisament per fer aquest pont i tinc múltiples ordinadors a cada banda, em fa mandra haver-hi de posar un altre router al darrera del client de manera que si algú vol algun WRT54G .... D'aquesta manera potser podré després explicar com va un D-Link o un US Robotics... Eye-wink

Configurant els Linksys WRT54G en mode WDS (repetidor) amb Satori pre3.6

Una de les opcions interessants disponibles amb el firmware d'sveasoft és la possibilitat de posar diversos aparells actuant com un de sol i fent de "repetidor" (WDS), estalviant així de fer enllaços entre ells per a connectar-los. La ventatja és obviament que s'estalvia força material, l'inconvenient, que en redueix les prestacions pel que fa a ample de banda disponible en alguns cassos i que s'aconsella que el nombre d'aparells en un grup WDS no sigui gaire gran....

Tanmateix, tot i aquestes pegues, pot resultar una opció interessant per a donar una cobertura important. Sempre es pot millorar la connexió via enlaços un cop ja hi ha més usuaris en el tram afectat, i per tant, la possibilitat d'afrontar la inversió de posar ponts d'enllaç dedicats per a millor l'ample de banda entre més interessats.

Hi han moltes maneres de configurar els Linksys WRT54G en mode WDS. Si us passejeu pels fòrums d'sveasoft en trovareu diferentes variants, des de les més senzilles, a les més complexes. De moment aqui es vol explicar la configuració que estem fent servir en un dels trams, que al unir diversos municipis, inclou enrutament i WDS P2P, és a dir, el que en podrfiem dir una de les configuracions complexes.

La configuració és la següent:

Gurb - El Serrat, IP 10.138.0.1, enllaça amb Sta. Eugènia de Berga i Calldetenes
Calldetenes, IP 10.138.1.1, enllaça amb El Serrat
Santa Eugènia de Berga, IP 10.138.2.1, enllaça amb El Serrat i Vic - Seminari
Vic - Seminari, IP 10.138.4.1, enllaça amb Santa Eugènia de Berga

Passos que cal fer per a configurar-los.

En primer lloc, cal "flasejar-los". En aquest cas es fa servir el Satori pre3.6. N'han sortit ja de més nous, i s'apunta a que d'aquí poc hi haurà l'Alchemy. En tot cas, si hi ha canvis importants... a veure si entre tots mantenim aquestes pàgines al dia . Un cop "flashejat" el Linksys WRT54G, el posarem en mode "AP" i a continuació, cal posar els paràmetres de xarxa (adreça IP...) i wireless (Canal, mode...) a les opcions que corresponguin.
Un cop tenim ja configurat tot això, ja podem configurar el mode WDS (des de Wireless->WDS). Quan hi arrivem trovareu una pantalla com la que veieu a la dreta (clica-hi per ampliar-la). En aquesta pantalla definirem tants enllaços WDS en mode P2P (igual a igual) entre cada connexió punt a punt possible, indicant la MAC corresponent al node remot (la podeu averiguar anant a "Stats->Wireless") i la IP interna que correspòn a l'enllaç punt a punt. Com que es tracta de connexions només entre dos nodes, es fa servir una màscara 255.255.255.252, que admet només dues adreces dins de la mateixa xarxa.
Un cop definits els enllaços WDS, cal anar a "Setup->Advanced" per tal de configurar l'encaminament. El mode WDS en el firmware de sveasoft requereix ara mateix que es configuri amb OSPF.
Un cop s'ha escollit OSPF com a sistema d'encaminament, apareix un quadre de text on hi podem posar la configuració. Si hi han varis nodes fent encaminament OSPF cal que l'identificador que apareix al principi sigui únic. És per tant una bona idea, per exemple, fer servir la IP del node.
Al final de l'arxiu, s'especifiquen les rutes estàtiques. A mi m'ha donat la impressió de que si no les poses, amb les versions de firmware que he fet servir, no funciona correctament. Tanmateix potser també és cert que no he tingut paciència per esperar una estona i l'encaminament dinàmic pot estar una estona a esbrinar quines són les millors rutes. En tot cas, quan es configura en grup de nodes en WDS, es coneixen perfectament les combinacions possibles, i especificant un encaminament estàtic el que segur que s'aconsegueix és que tan bon punt engegem l'aparell, conegui directament els camins. Per a configurar els camins, s'indica la subxarxa a la que ens dirigim, i la IP interna contrària que correspon a l'enllaç WDS.

Finalment, un cop configurat tot, podem anar a la opció "Status->Wireless" i comprovar la senyal que es rep des dels altres aparells. Si veiem que ens apareix un número diferent de zero, és que l'enllaç ja es produeix. Si tot i rebent senyal, hi ha encara alguna cosa que no funciona, reviseu bé les adreces, la configuració de l'encaminament... etc.

Arxius de configuració del OSPF amb WDS

Aqui adjunto alguns dels arxius de configuració del OSPF que tenim ara mateix posats i funcionant en l'enllaç de Gurb-El Serrat, Calldetenes, Santa Eugènia de Berga i Vic.

Si contrasteu les adreces que hi consten, amb la taula d'enllaços de guifi.net, podreu entendre quin és l'entramat i com es fa.

Com podreu comprovar, únicament canvia l'identificador del servei OSPF, i la part del final, on s'especifiquen els camins estàtics adequats per a cada cas. Comentaris a aquesta configuració, benvinguts.

Gurb - El Serrat

router id 10.138.0.1;
protocol device{
scan time 10;
}
protocol direct{
interface "-eth*","*";
}
protocol kernel{
learn;
persist;
scan time 10;
export all;
import all;
}
protocol ospf OSPFWDS{
area 0{
tick 8;
interface "wds0*"{
cost 1;
hello 15;
priority 1;
retransmit 7;
authentication none;
};
interface "br0"{
cost 1;
hello 15;
priority 1;
retransmit 7;
authentication none;
};
};
}
protocol static{
route 10.138.1.0/24 via 172.34.0.2;
route 10.138.2.0/24 via 172.34.0.13;
route 10.138.4.0/24 via 172.34.0.13;
route 0.0.0.0/0 via 10.138.0.2;
}

Calldetenes - David

router id 10.138.1.1;
protocol device{
scan time 10;
}
protocol direct{
interface "-eth*","*";
}
protocol kernel{
learn;
persist;
scan time 10;
export all;
import all;
}
protocol ospf OSPFWDS{
area 0{
tick 8;
interface "wds0*"{
cost 1;
hello 15;
priority 1;
retransmit 7;
authentication none;
};
interface "br0"{
cost 1;
hello 15;
priority 1;
retransmit 7;
authentication none;
};
};
}
protocol static{
route 10.36.0.0/16 via 172.34.0.1;
route 0.0.0.0/0 via 172.34.0.1;
}

Santa Eugènia de Berga - Enric

router id 10.138.2.1;
protocol device{
scan time 10;
}
protocol direct{
interface "-eth*","*";
}
protocol kernel{
learn;
persist;
scan time 10;
export all;
import all;
}
protocol ospf OSPFWDS{
area 0{
tick 8;
interface "wds0*"{
cost 1;
hello 15;
priority 1;
retransmit 7;
authentication none;
};
interface "br0"{
cost 1;
hello 15;
priority 1;
retransmit 7;
authentication none;
};
};
}
protocol static{
route 10.138.4.0/24 via 172.34.0.9;
route 10.138.2.0/24 via 172.30.0.14;
route 10.138.0.0/16 via 172.34.0.14;
}

Verificant el funcionament de l'encaminament amb OSPF

Per a verificar que l'encaminament que s'està fent és correcte, n'hi ha prou amb provar-ho des de clients fent "pings" a les diferents adreces. Ens podem trovar però que si tenim algun error, no funcioni. Com ho podem llavors verficar?

Per fer-ho, el més còmode es activar el "telnetd" de cada Linksys WRT54G, això ho podrem fer des de la opció "Administration->Management" activant el botonet telnetd. Un cop ben configurat, ens hem de recordar de desactivar-lo, per seguretat.

Per fer telnet cap al punt d'accés, cal executar la comanda:

# telnet <adreça IP del punt d'accès>

Un cop a dins, podem ja provar de pings cap als altres:

# ping <adreça IP que volem provar>

Si no ens funciona, el primer que podem fer és verificar que el bird, que és l'executable del OSPF, està funcionant adequadament. Si és així, hauriem de visualitzar més o menys una sortida com aquesta a una comanda "ps":

# ps -ef |grep bird
 8814 root     S    bird -c /tmp/bird/bird.conf
15901 root     R    grep bird
#

Això vol dir que el bird s'està executant amb l'identificador 8814. Si no hi apareix, és que hi ha algun error en la configuració que convé arreglar-lo. L'arxiu /tmp/bird/bird.conf és on queda desada la configuració que li hem posat, la podem llavors verificar ja sigui des de les pantalles web de l'administració, o directament amb el vi.
Avans de fer els canvis, convé provar bé, des de dins del router, fer pings a les adreces, com a mñinim les que ens serveixen d'enllaç intern en la configuració del WDS/P2P, comprovant que contesta la adreça IP del node remot.

# ping 172.34.0.2
PING 172.34.0.2 (172.34.0.2): 56 data bytes
64 bytes from 172.34.0.2: icmp_seq=0 ttl=64 time=7.3 ms
64 bytes from 172.34.0.2: icmp_seq=1 ttl=64 time=4.0 ms
64 bytes from 172.34.0.2: icmp_seq=2 ttl=64 time=4.1 ms
64 bytes from 172.34.0.2: icmp_seq=3 ttl=64 time=3.5 ms
64 bytes from 172.34.0.2: icmp_seq=4 ttl=64 time=3.5 ms

#

Un cop haguem fet els canvis, convé executar de nou el bird. Aquest cop ho podem fer però en mode "debug" per així poder visualitzar si dona algun error. Per fer-ho només cal executar:

# bird -c /tmp/bird/bird.conf -d

Si tot va bé, quedarà executant-se i podem provar els