Posteado por: redlibrepy | 13 octubre, 2009

vlan sobre wireless

VoW (vlan over wireless)

Al fin después de que se me ocurriera probar via consola en el NS2 hacer el vlan tagging, que ya este no trae la opcion via GUI, con esto ya se logra una seguridad transparente en cada 2. A continuación les voy a explicar el karaku (medula) del tema. Suponiendo que saben lo que es vlan, pero antes les voy a explicar brevemente

¿Qué es vlan?

Una VLAN (acrónimo de Virtual LAN, ‘red de área local virtual’ IEEE 802.1Q)  es un método de crear redes lógicamente independientes dentro de una misma red física. Varias VLANs pueden coexistir en un único conmutador físico o en una única red física. Son útiles para reducir el tamaño del Dominio de difusión y ayudan en la administración de la red separando segmentos lógicos de una red de área local (como departamentos de una empresa) que no deberían intercambiar datos usando la red local (aunque podrían hacerlo a través de un enrutador o un switch capa 3).

Fuente wikipedia

El problema que tenía era donde  hacer el tagging en el AP o en el Cliente, las ideas que se me ocurrieron fueron las sgtes:

  • Si es en el AP, crear tantas VAP (virtual AP) como vlan existan entonces cada VAP haría el tagg por cliente.
  • Si es en el CPE, habría que crear un enlace capa2 transparente que deje pasar toda la trama 802.3u sobre 802.11g y hacer el tagging en el CPE

Yo opté por probar con la 2da opción.

Hace un tiempo atrás escribí un tutorial de cómo agregar seguridad a nuestra red en por lo menos 3 capas, y ellas eran:

  1. MAC filter
  2. Subneteo IP/Firewall
  3. Hotspot (usuario/contraseña)

ahora logré anexar una capa de seguridad más, que sería la que trabaja en capa 2 del OSI

En networking se estudia las 1eras 4 capas, Nivel Físico, Enlace de datos, Red, Transporte lo que ahora voy a hablar es sobre capa 2 (Enlace de datos)

La idea era/es utilizar 1 vlan por cliente para separar fisícamente cada cliente de terceros, anteriormente estaban/estan separados en capa 3 (Red) o a nivel lógico, el firewall del router controlaba si la IP/MAC correspondiente al cliente era correcta en ese caso dejaba enrutar a internet e internamente, pero la vulnerabilidad estaba en que se puede utilizar un spoof ARP o ARP broadcast para saturar la red, entonces con vlan se podría evitar eso. Metafóricamente hablando seria como que cada cliente tiene un punto a punto (fisico).

Pasos a realizar

En el Mikrotik

WDS

Crear el WDS estático o dinámico

wds mac

Asignar la MAC de la CPE para el enlace

interface

En esta gráfica se ve que ¨bridge1¨ agregue VM (vlan magement ) o vlan de administración y la vlan15 que en este caso corresponde al cliente.

Con esto ya estaría creado la capa2, después asignamos  una dirección IP a la interface vlan15

eso ya no les mostraré aquí

En el CPE (ubiquiti NS2)

NS2WDSstation

En el NS2 nuestro CPE en particular usaremos el station WDS para que el enlace sea transparente en capa2

Script de vlan en NSX

#####NS2 SM########
#—-Datos Vlan —- 1) vlan administrativo 2) vlan cliente
MVLAN_ID=1
VLAN_ID=15
#———————-
#
#borra la puerta de enlace predeterminada
route del default gw 0.0.0.0
#
#apaga el bridge y borra la puerta de enlace predeterminada
ifconfig br0 0.0.0.0
ifconfig br0 down
brctl delif br0 ath0
brctl delif br0 eth0
brctl delbr br0
#
#—————————————————————
#crea y configura la vlan administrativa con su IP
#—————————————————————
#agrega la vlan administrativa sobre la inalámbrica y asigna una IP
vconfig add ath0 ${MVLAN_ID}
ifconfig ath0.${MVLAN_ID} 192.168.1.2 netmask 255.255.255.0 up
route add default gw 192.168.1.1 ath0.${MVLAN_ID}
#
#—————————————————————
#Etiqueta el trafico ethernet como si fuera inalámbrico
#—————————————————————
#crea el bridge cliente
brctl addbr br${VLAN_ID}
#
#agrega la vlan sobre la interface inalámbrica
vconfig add ath0 ${VLAN_ID}
#
#agregar la interface etiquetada en el bridge
brctl addif br${VLAN_ID} ath0.${VLAN_ID}
brctl addif br${VLAN_ID} eth0
#
#levantar ambas interfaces
ifconfig ath0.${VLAN_ID} 0.0.0.0 up
ifconfig eth0 0.0.0.0 up
#
#levanta la bridge de fábrica
ifconfig br${VLAN_ID} 192.168.1.20 netmask 255.255.255.0 up
#MAC-NAT ( Esto hace un MAC-NAT )
ebtables -t nat -A PREROUTING –in-interface ath0.${VLAN_ID} -j arpnat –arpnat-target ACCEPT
ebtables -t nat -A POSTROUTING –out-interface ath0.${VLAN_ID} -j arpnat –arpnat-target ACCEPT

Les explicaré mas o menos el funcionamiento del script:

Ath0 = Interface wireless (802.11b/g)

Eth0 = Interface Fast Ethernet (802.3u)

Br0 = Bridge inicial

  • En la primera parte están los datos de las vlan a utilizar

MVLAN_ID= Vlan Management

VLAN_ID= Vlan Cliente

  • Da de baja al bridge ¨br0¨ y quita las interfaces asociadas a esta.
  • crea la vlan administrativa sobre ath0 y agrega como puerta de enlace a la IP de la mikrotik para ese rango.
  • crea la bridge Cliente
  • agrega vlan cliente sobre ¨Ath0¨
  • y dentro de Br¨cliente¨ agrega las interface ¨ath0.cliente¨ y ¨eth0¨
  • levanta ambas interfaces eth0 y ath0.cliente sin ip.
  • en la penúltima parte asigne la IP default del NS2 ( OJO ) esto NO va a ser que genere conflicto IP en la red.
    por que cada vlan esta separado fisicamente

Ej. Sería como conectar 2 PCs via cable direcamente entre sus Interfaces

Con esto se logra asignar IP fija en cada cpe en caso de configurar algoya no sería problema el IP de la antena.

  • en las últimas 2 líneas hace el MAC-NAT, para los que están familiarizados con el NAT (Network address Translation) esta es NAT en capa 2.

Que beneficios tengo, al ser enlace transparente las MAC se reenvian por el enlace esto dificultará por una parte la administración de firewall para nuestra topología en particular, entonces en mi opinión personal es más fácil controlar de esta manera, veo la MAC de la antena y si veo mas de una IP con la misma MAC ya se que es de tal cliente.

Al fin que beneficios tengo de hacer todo esto, se preguntarán para que complicarse tanto.

yo les digo que tienen razón por una parte, pero es más bien una herramienta más que de la caja que puede ser utilizado

Algunos beneficios por así decirlo:

  • Multi DHCP server como saben las DHCP server se limitan por interfaces, con esto cada vlan es una interface y podés crear dhcp server como vlan tengas.
  • hotspot por vlan.
  • Mejor control desde capa2.
  • te olvidas de las vulnerabilidades en capa2.

Desventajas

  • Mayor complicación
  • Mayor uso de CPU del router AP, AP etc

Después de crear el scripts tenemos que cargarlos en el NS2, existen varias formas de que este script quede guardado en el flash y arranque siempre con esta configuración una de ellas es grabarla en el un directorio como archivo y llamar a este siempre que bootee

Espero que les haya gustado, cualquier duda a mi email y con gusto les responderé

Saludos


Responses

  1. COMPA

    PUEDES AYUDARME… COMO PUEDO SUBIR EL ARCHIVO TEXTO QUE MENCIONAS A BIN Y ACTUALIZARLO EN EL UBICUITI

    • creas el archivo rc.poststart en /etc/persistent

      para grabar en el falsh el comando es cfgmtd -w -p /etc

      saludos

      • AMIGO TENGO MUCHAS INQUITUDES…SALUDOS DE ANTEMANO…PARA QUIEN PUEDA AYUDARME … A CONFIGURAR MI BULLET M2 HP…QUIERO ASER MI RD WIFI EN MI LOCALIDAD LA TENGO CON UNA ANTENA DE 17 DBI—–A 10 METROS DE ALTURA TENGO EL MANUAL PERO NO PUEDO QUISIERA GRAFICAS PASO A PASO PLIS SI ALGUIEN PUEDE LE AGRADESCO. AAAA TAMBIEN QUISIERA SAVER SU PUEDO CONTROLAR EL BULLET CON UN ROUTER TP-LINK Y COMO…..ESTE ES MI CORREO GATOPOWER750@HOTMAIL.COM

      • wiki.ubnt.com

        ahi te va a ayudar como configurar
        saludos

  2. Tengo problemas con la vlan desde mikrotik a un switch dell 3548, me podrias ayudar

    • si contactame a mi msn o skype

  3. Hola yo tambien tengo problemas desde la vlan del mikrotik a un switch dell 3548. me podrias ayudar

    • Necesito mas detalles del problema

      • Mira hago la configuracion en mikrotik
        0 R WAN 01 ether 1500
        1 R LAN ether 1500
        2 R WAN 02 ether 1500
        3 R vlan1 vlan 1500

        vlan id: 22 name: vlan1

        ip address 192.168.0.5/24 192.168.0.0 192.168.0.255 vlan1

        y en el switch creo que la vlan 22 asocio los puertos que voy a utilizar y conecto y no pasa nada, en mk no marca paquetes recibidos ni nada y cualquier equipos que esta en otro puerto ve lo que hay en los puertos de las vlans

  4. este es mi correo por favor ayuda

    shaggo78@hotmail.com

  5. buen dia amigo! solo estoy pasando para ofrecerle mis productos de wireless, ubiquiti tp-link, mikrotic air live y tambien informatica en general, nuestra empresa queda en ciudad del este paraguay en el micro-centro, tambien tenemos nuestro site http://www.flytec.com.py. para mas informaciones adicionarme en el msn: juan_andresmartinez@hotmail.com o al numero de telefono: 061 502355. muchas gracias

  6. buen dia …..
    este script sirve tanto para los nanotstaion m2 y m5 o hay algun cambio.
    necesito tener la vlan de manejo y entregar enrutado a los clientes

  7. Buenisimo! es justo lo que estaba necesitando! Gracias por tu excelente explicacion!

  8. Amigo excelente tu manual, llegue a este blog por pura casualidad ya que tengo en mente un proyecto personal vinculado con las VLANs, en concreto quiere enviar 4 lineas de ADSL (con dhcp) a un punto final, de manera totalmente independiente con un solo enlace inalambrico, mi idea es colocar en ambos extremos routerboards RB750, para realizar un balanceo de carga en el punto de destino; tienes idea de si es factible, no he conseguido material en concreto sobre esto. crees que es posible realizar esto sin rutear los modems?

  9. Saludos
    No se si me pueden ayudar con esto:
    Tengo tres oficinas enlazadas con antenas wireless direccionales una principal apuntando a otras dos secundarias. estoy usando 802.11b y antenas de 17dbi con 1 w en la principal y 800 mw en las secundarias.
    La distancia es de apenas 800 mtr y la señal es casi 100 %.
    Pero cuando hago una busqueda en base de datos se pone muy lenta la conexión.
    Si fuera una red cableada podría configurar vlan para separar dominios pero en el caso de las antenas si configuro tres vlan en la sede principal y el puerto de la antena como trunk pudiese reenviar el tag por la wireless hacia las otras antenas donde en los otros switch tendría una replica de estas vlan?
    El enlace lo puedo considerar como capa fisica independiente del rpotocolo wireless?
    Debo hacer otra cosa para que la vlan pase remotamente?
    Agradezco cualquier ayuda

  10. Saludos el script funciona bien para nano M5 y nano loco M5 con firmware 5.2, pero apartir de firmware 5.3, 5.3.2 se sube el sript y el nano queda podrido e inacsesible que cambio se le deberia dar en el script.

    Gracias por la ayuda.


Responder

Introduce tus datos o haz clic en un icono para iniciar sesión:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión / Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión / Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión / Cambiar )

Google+ photo

Estás comentando usando tu cuenta de Google+. Cerrar sesión / Cambiar )

Conectando a %s

Categorías

A %d blogueros les gusta esto: