Añadir nuevo comentario

A continuación voy intentar explicar la configuración de un nodo de red y otros proyectos que se han usado de base para implementarlo.

En origen era solo llevar conexión a internet a un repetidor, algo sencillo, con una subred interna privada, que tiempos aquellos que lo mas difícil era saber si la red era la 192.168.1.0/24 o 192.168.1.0 con mascara 255.255.255.0, y su puerta de enlace, DNS primario interno o externo, configurar el NAT de los puertos… si esto te es familiar puedes seguir con la lectura, si te suena a chino también pero vas tener que complementarla con algo de teoría básica de redes TCP/IP.

Lo de arriba es lo sencillo, se va complicar, las IPv4 públicas escasean, nosotros solo tenemos 256 disponibles para nuestro proyecto en este momento (44.31.192.0/24), repartidas en una docena de instalaciones, con sus enrutadores, antenas o radioenlaces y equipos que prestan servicios varios, todo previsto para la escalabilidad y redundancia en la medida de lo posible, si piensas, salgo del router con acceso a internet, de ahí al radioenlace, que se conecta en el otro extremo a un switch, de ahí uno o varios enlaces mas, a sus switch y sucesivamente vas por un camino muy diferente, y en nuestra opinión muy malo, pero cada uno administra sus redes como puede, sabe o le dejan.

Aquí no se va explicar al detalle la estructura de nuestra red, eso queda para otro momento, empezaremos por explicar un solo nodo.

Esto no salió de la nada, se tiró de los anteriores proyectos de Wifi ciudadana en los que habíamos participado y otros que conocíamos, como: CISAR (www.cisar.it), Guifinet (guifi.net)y Hamnet (de.ampr.org/hamnet).

Básicamente tomamos el concepto de “supernodo híbrido” de Guifinet, lo modelamos a la estructura de Hamnet y a nuestras necesidades

 Vamos a trabajar como base con la imagen superior, en el centro esta el “cerebro” de la red, ya hemos comentado que eso de enlazar switch tras switch no es nuestra manera de trabajar, a los laterales las “antenas”, son algo mas que antenas, son equipos activos con toda la electrónica para realizar un radioenlace, y en la parte superior e inferior los equipos que prestan servicio en la localización de ese nodo.

En este caso el nodo de EA1RKP de la PROU de Ourense se adapta a esa imagen, así que de aquí en adelante es la configuración de ese nodo.

Como el router puede tener muchas direcciones diferentes, que pueden estar activas o no, le definimos una “especial” para identificarlo de manera única. Esto lo vamos hacer creando un brige interno en el, sin asociar a níngún interface.

Para las redes internas definiremos otro bridge asociado a los interface de red que realicen esa función.

Las antenas de cara a la comunicación con otros nodos son equipos transparentes, actúan como un cable, y solo son accesibles desde el router por una Vlan destinada a la gestión, agrupadan también en un bridge

Los enlaces, como son solo un interface se les asigna al dirección que le corresponde, en nuestro caso procuramos hacer siempre enlaces punto a punto.

En el tenemos definidas estas subredes:

44.31.192.8/32 como dirección que define al router.

44.31.192.56/29 como subred pública.

44.31.192.82/31 y 44.31.192.86/31 como redes de enlace a los nodos vecinos.

44.128.128.128/28 como subred interna.

44.128.129.128/28 como red interna de gestión de equipos de red. (vlan32).

En ese grupo de direcciones aparte del rango 44.31.. también hay otras del rango 44.128.0.0/16, ese rango esta reservado para no ser conectado la red global y hacer experimentos, es como los rangos privados conocidos, por ejemplo el 192.168.0.0/16, en la red hay mecanismos para que no se propague ni sea accesible fuera de ella.

Nosotros empleamos routers Mikrotik, por una cuestión de simplicidad, el que tenga tiempo y ganas puede usar otros routers, e incluso recuperar antiguos equipos de algun ISP, instalando openwrt u otro software.

Con las debidas modificaciones a cada sistema se puede reproducir este esquema perfectamente.

Se va exponer la configuración mediante comandos de consola, pero es igual de simple usando el interface web o el programa Winbox, el cual recomiendo para la configuración de los equipos Mikrotik.

Todos los comandos que se van exponer deben ser adaptados a cada nodo, pueden ser variados los nombres al gusto de cada uno y deben adaptarse las direcciones a las asignadas en cada caso.

Primero creamos los brige:

/interface bridge

add name=AMPR.lobridge

add name=LAN.bridge

add name=gestion.bridge

AMPR.lobridge es el interface la direción que nos identifica al router, los otros dos no necesitan explicación, el nombre creo que esta lo bastante claro.

Creamos las Vlan para la gestion de los equipos:

/interface vlan

add interface=eth1 name=eth1.vlan32 vlan-id=32

add interface=eth5 name=eth5.vlan32 vlan-id=32

En nuestro caso los enlaces estan en los puertos 1 y 5 de nuestro router.

Asignamos direcciones a los bridge:

/ip address

add address=44.128.129.129/28 interface=gestion.bridge network=44.128.129.128

add address=44.128.128.129/28 interface=LAN.bridge network=44.128.128.128

add address=44.31.192.8 interface=AMPR.lobridge network=44.31.192.8

add address=44.31.192.57/29 interface=LAN.bridge network=\44.31.192.56

add address=44.31.192.83 interface=eth1 network=44.31.192.82

add address=44.31.192.87 interface=eth5 network=44.31.192.86

Las dos últimas direcciones corresponden a los enlaces punto a punto en una subred /31, con un total de dos IP pero de una manera “especial” para ahorrar IPs, al igual que la /32 que tiene dos direcciones utilizables, pero consume 4 direcciones para hacer lo mismo, en los equipos vecinos se usa igual pero la dirección del interface es la que en este lado corresponde al campo network.

Ahora os preguntareis y si solo hay dos direcciones en esa red, ¿como accedemos a las “antenas”?, como ya se dijo más arriba, por una Vlan, en este caso con dirección 44.128.129.128/28, lo que nos deja 14 direcciones utilizables, mas que suficientes para el uso habitual, esto implica como es lógico que las antenas tengan configurada su dirección dentro de esa misma Vlan, solo accesible desde el router del nodo, al final daré una ejemplo sencillo con un equipo.

Asignamos los puertos a sus bridge:

/interface bridge port

add bridge=LAN.bridge interface=eth2

add bridge=LAN.bridge interface=eth3

add bridge=LAN.bridge interface=eth4

add bridge=gestion.bridge interface=eth1.vlan32

add bridge=gestion.bridge interface=eth5.vlan32

Con esto el router ya puede pasar trafico entre las redes que conoce, que son solo las redes que se le han definido, nada mas, ahora vamos a configurarlo para que adquiera rutas de manera automática de los routers vecinos, esto lo vamos hacer con BGP

Configuración BGP:

/routing bgp instance

set default as=4290119208 out-filter=bgp-out-static redistribute-other-bgp=yes router-id=44.31.192.8

El número AS es lo delicado, aquí usamos uno del rango reservado a uso interno en redes, como las direcciones IP los hay públicos y privados, esto es lo que identifica al router a otros routers de manera global, si por un casual intercambiamos rutas con un as publico, podríamos tener un buen lio, y en previsión de hacerlo con otros de redes como la Hamnet los definimos con el siguiente algoritmo:
42eeexxx00 donde eee el código de pais E.212, xxx es la subred y 00 un número secuencial, en este caso, 4290119208, como la red es supranacional usamos un código internacional, el 901, la subred es 192 y el 08 es el número que lo toco porque es el octavo router configurado, y no es casualidad que su dirección termine en 8, se ha planificado de antemano la distribución de las subredes y direcciones.

Definimos los peer BGP: Los routers con los que tendremos conexión directa e intercambiaremos rutas.

/routing bgp peer

add default-originate=if-installed hold-time=30s in-filter=dynamic-in-Radio multihop=yes name=09.peer remote-address=44.31.192.82 remote-as=4290119209 ttl=default

add default-originate=if-installed hold-time=30s in-filter=dynamic-in-Radio multihop=yes name=11.peer remote-address=44.31.192.86 remote-as=4290119211 ttl=default

Aquí tenemos dos, pero podrían ser mas, o solo uno, eso depende de nuestra estructura de red.

Anuncio de redes BGP:

/routing bgp network

add network=44.128.129.128/28 synchronize=no

add network=44.128.128.128/28 synchronize=no

add network=44.31.192.8/32 synchronize=no

add network=44.31.192.82/31 synchronize=no

add network=44.31.192.86/31 synchronize=no

Aquí configuramos que redes va anunciar nuestro router al resto de routers vecinos, como es lógico son las que gestiona y están configuradas.

Filtros de rutas BGP:

/routing filter

add action=discard chain=dynamic-in-Radio prefix=44.31.192.82/31 prefix-length=31-32

add action=discard chain=dynamic-in-Radio prefix=44.31.192.86/31 prefix-length=31-32

add action=accept chain=dynamic-in-Radio

Estos son para evitar bucles en caso de caída de uno de los radioenlaces, básicamente es para forzar al router a usar siempre para la conexión con el peer el canal especifico que se le definido, porque si las conexiones son redundantes, los routers pueden conocer una ruta no directa al vecino, y esto es malo, digamos que la redundancia hace que la red deje de funcionar correctamente.

Con esto ya esta la configuración específica a grandes rasgos, como es lógico es necesario adaptarla a cada caso, anadir DHCP, DNSs, cortafugos, el wifi de haberlo… pero eso ya es lo básico de configuración de un router.

Ejemplo de configuración de la red de una “antena” Mikrotik:

/interface bridge

add name=bridge

/interface vlan

add interface=eth1 name=eth1.vlan32 vlan-id=32

/interface bridge port

add bridge=bridge interface=eth1

add bridge=bridge interface=wlan1

/ip address

add address=44.128.129.130/28 interface=eth1.vlan32 network=44.128.129.128

/ip dns

set cache-max-ttl=1d servers=44.128.129.129,44.31.192.1

/ip route

add distance=1 gateway=44.128.129.129

Si se compara con la configuración del router se puede ver un bridge que une el interface wlan con el ethernet, no tiene dirección IP, pero si la tiene la Vlan, a diferencia del router, aquí si definimos una ruta por defecto para todo el tráfico que genere la antena, no el que la atraviesa, eso va por el bridge, en nuestra configuración el conjunto de antenas que forman el radioenlace son como un cable para el router.

Como en el router solo se detalla la configuración de la red, la parte de wifi, enlaces, seguridad es otro apartado de sobra explicado en otros manuales y tutoriales.

73