ZeroShell    Forum
   Feed Feed
EnglishEnglish     ItalianoItaliano     French     Spanish                Facebook      Twitter

Valid HTML 4.01 Transitional


      ¿Qué es esto?
      Imágenes
      Licencia
      Anuncios
      Lista de correo
      Forum
      Documentación
      FAQ
      Hardware
      Download
      Actualización on-line
      Kerberos Tutorial  
      Aviso legal
      Contacto


  Más detalladamente:
      Gráficos
      Net Balancer
      Router UMTS
      Antivirus proxy
      Punto de acceso WiFi
      OpenVPN cliente
      Servidor OpenVPN
      QoS
      OpenDNS
      Kerberos 5
      NIS y LDAP
      Certificados X.509
      RADIUS
      Portal Cautivo
      VPN
      Firewall





Punto de acceso inalámbrico con múltiples SSID y VLAN 802.1q

El propósito de este documento es describir la implementación de un Punto de Acceso a Internet WiFi utilizando Zeroshell en un sistema con una tarjeta de red WiFi que contiene un chipset Atheros. El documento se subdivide en las siguientes secciones:

¿Por qué implementar un punto de acceso inalámbrico con Linux módulos del kernel del proyecto MadWifi?

Gracias a la utilización de los módulos MadWifi por el kernel de Linux, es posible implementar un punto de acceso inalámbrico con un ordenador personal o un dispositivo integrado que tiene una tarjeta de red WiFi (PCI o MiniPCI) con un chipset Atheros. Esta característica está disponible desde la versión 1.0.beta8 de Zeroshell, que introduce el soporte WiFi, ya sea en modo AP (Access Point) o STA (en la que un router/bridge Zeroshell puede estar asociado como un cliente en una red LAN inalámbrica).
La opción de utilizar los módulos MadWifi, combinado con el uso de wpa_supplicant y hostapd paquetes, se debe a su capacidad para desempeñar las funciones de un Punto de Acceso con características avanzadas, por ejemplo:
  • Acceso de autenticación y cifrado del tráfico inalámbrico a través de WPA/WPA2 (RSN). Cuenta con el apoyo ya sea en el modo WPA-PSK, en los que el cliente, con el fin de ser asociados a un SSID, debe conocer la Pre-Shared Key, o el modo WPA-EAP, también conocido como WPA Enterprise, en el que un usuario puede llegar a ser autenticado con nombre de usuario y contraseña o certificado digital X.509 validado por un servidor Radius. Tanto el algoritmo de cifrado TKIP y CCMP más seguro, basado en AES, son compatibles;
  • Gestión del modo de múltiples SSID (también llamado Virtual SSID), gracias al cual es posible crear hasta cuatro puntos de acceso virtual independiente para cada tarjeta de red WiFi en el sistema. Es evidente que SSID virtual que pertenece a la parte misma tarjeta de red WiFi del canal de radio que se utiliza y por lo tanto el ancho de banda disponible. Además, para cada SSID virtual es posible establecer una autenticación independiente y sistema de cifrado (en texto plano, WPA-PSK, WPA Enterprise o WEP a 128 bits).
    De los cuatro SSID sea posible también se puede trabajar en modo administrado y asociado a una WLAN como un cliente. Por ejemplo, esto es útil para ampliar el alcance de la red inalámbrica en sí por los repetidores de ejecución que trabajan en WDS (Wireless Distribution System), pero no es necesario que se interconectan por medio de una red con conexión de cable.
  • Compatibilidad con los canales de la red en el 5GHz (802.11a) y la banda de 2,4 GHz (802.11b y 802.11g) banda. En particular, en caso de que el modo 802.11g es seleccionado, la compatibilidad está garantizada para los clientes más antiguos que sólo tienen 802.11b.
Zeroshell identifica a cada SSID virtual como si se tratara de una interfaz Ethernet (ETHnn). Se permite operar en redes Wi-Fi, utilizando una interfaz web, así como las interfaces con cable. En otras palabras, en el SSID es posible:
  • Para agregar direcciones IP, hacer el enrutamiento estático y RIP v2 permite el protocolo de adquirir y propagar las rutas dinámicas;
  • Aplicar las clases de QoS para hacer de tráfico mediante la asignación de niveles de prioridad diferentes, máximo y ancho de banda garantizado a los diferentes tipos de tráfico (VoIP, P2P, SSH, HTTP, ...);
  • Hacer bridge con las interfaces Ethernet, VLAN 802.1Q, VPN de LAN a LAN o SSID otros. En particular, la posibilidad de hacer un bridge o enlace de Capa 2 con un SSID virtual que funciona como un cliente con una calidad de un punto de acceso, lo que permite el llamado repetidor WiFi (o WDS) que se extiende el área de cobertura de la WLAN;
  • Activar servicios, incluyendo DHCP y portal cautivo y aplicar filtros de tráfico por medio del servidor de seguridad.
  • Vinculación en Bond, que consiste en agregar dos o más interfaces de tal manera que para aumentar el ancho de banda (de equilibrio de carga) y fiabilidad (tolerancia a fallos). Naturalmente, a fin de tener vinculación inalámbrica es necesario que el SSID virtual que lo componen pertenecen a diferentes interfaces WiFi con el fin de equilibrar el tráfico en los canales de radio diferentes.

Administrar interfaces inalámbricas y de múltiples SSID con el wifi-manager

Aunque mediante el uso de la interfaz Zeroshell web (véase el gráfico) es posible gestionar las interfaces de red que representa el SSID, las operaciones para la creación y gestión de estos últimos respecto a los parámetros inalámbricos como el canal a utilizar, de transmisión de potencia en dBm y encriptación, todos son gestionado por un script que es llamado por el comando de shell wifi-manager de una serie RS232 o VGA de la consola o mediante una sesión SSH remoto. A continuación puedes ver el menú principal de la wifi-manager:

root@gw-adsl root> wifi-manager

[wifi0]  Chipset  AR5413 802.11abg NIC (rev 01)
-- If -- Mode -- SSID --------------------------- Hide -- Security -
>> ETH02  AP     WLAN with Captive Portal          no     Plaintext
   ETH03  AP     WLAN with Pre-Shared Key          no     WPA-PSK  
   ETH04  AP     WLAN with 802.1x Radius Auth.     no     WPA-EAP  
   ETH05  AP     WLAN with WEP                     no     WEP128

[wifi1]  Chipset  AR5413 802.11abg NIC (rev 01)
-- If -- Mode -- SSID --------------------------- Hide -- Security -
   ETH06 STA     wrap-psk                          no     WPA-PSK  

COMMANDS
  <N> New SSID               <M> Modify SSID
  <D> Delete SSID            <I> Show Information
  <C> Std/Channel/Tx-Power
  <L> List Stations          <S> Channel Scanning
  <R> Restarting Devices     <Q> Quit

>>



Como puede ver, este sistema ilustrativo se hace con un ALIX 2C2 PC embebido con dos interfaces WiFi con el chipset Atheros AR5413 802.11abg, capaz de operar tanto en 802.11b/g ó 802.11a. En la interfaz wifi0 inalámbrica cuatro puntos de acceso virtuales comparten la misma frecuencia de radio se definen, cada uno con su propia autenticación y el esquema de cifrado.
  • La interfaz ETH02 corresponde a la WLAN en el SSID es "WLAN con Portal Cautivo". Sin cifrado (texto plano) se define por encima de ella, pero la autenticación sucesivamente se delega en el portal cautivo;
  • La interfaz ETH03 corresponde a un "WLAN con Pre-Shared Key" SSID con protección WPA-PSK, que se puede acceder al conocer la clave compartida se define durante la creación del SSID. Este modo de protección, que sustituye a WEP, por entonces muy vulnerables a la captura de un número determinado de paquetes, se considera lo suficientemente seguro si se utiliza una clave previamente compartida con el tamaño adecuado y la complejidad. Naturalmente, como con WEP, el administrador debe comunicar esta clave para todos los usuarios que podrán acceder a la red inalámbrica, y hay que cambiar periódicamente. Esto es factible en configuraciones pequeñas, como una configuración doméstica o SOHO, pero se vuelve complicado cuando el número de usuarios crece y puntos de acceso;
  • La interfaz ETH04 se refiere a la virtual punto de acceso con "WLAN con autenticación 802.1x Radius" SSID en un esquema de cifrado WPA-EAP se ha configurado. Este tipo de método de protección es la más segura y flexible, por lo que es utilizado en configuraciones grandes y por lo tanto WPA-EAP también se conoce como WPA Enterprise. Su flexibilidad se debe al hecho de que las claves de cifrado no se generan por el administrador, pero de forma automática por un servicio a través de 802.1x RADIUS, que autentica al usuario mediante un nombre de usuario y una contraseña (usando PEAP con MSCHAPv2 o EAP-TTLS) o por medio de un certificado digital X.509 (con EAP-TLS). Durante la configuración del SSID con WPA-EAP, se puede optar por utilizar los locales Zeroshell servidor RADIUS o hacer una referencia a un servidor RADIUS externo. En el primer caso no es necesario configurar ningún secreto compartido (shared secred), mientras que en el segundo caso con un RADIUS externo es necesario especificarlo.
  • Encriptación WEP de 128 bits se define en la interfaz anterior. Si no es estrictamente necesario debido a la existencia de los clientes antiguos que no son compatibles con WPA/WPA2, WEP es que deben evitarse dado el bajo nivel de protección que garantiza.
En la interfaz wifi1 sólo un SSID se define en modo cliente. Esta interfaz se conecta a la red inalámbrica denominada "WRAP-PSK", protegido por una clave precompartida (WPA-PSK). Tenga en cuenta que a partir de una tarjeta Wi-Fi puede tener un máximo de un SSID en calidad de un cliente. El SSID otros deben corresponder a los puntos de acceso virtuales. Por otra parte, ya que todos los SSID pertenecen a la misma tarjeta WiFi y compartir el canal, este último coincide con el canal de radio de la WLAN externos. Inevitablemente, esto significa compartir el ancho de banda.
Teniendo en cuenta la simplicidad de la wifi-manager, es inútil para describir ahora cada comando, ya que su uso debe ser muy intuitivo. La notificación sólo es con respecto a la "Std/Canal/ Tx-Power", voz que se activa con la tecla C en el menú. Con esto es posible aplicar la norma (802.11a, 802.11b y 802.11g, y después, con las nuevas versiones del driver de MadWifi, también por 802.11n, aún en proyecto), el disponible de alta frecuencia para el canal de radio estándar elegido y una potencia de transmisión expresó dBm io mW. En particular, es necesario ajustar este parámetro por última vez con cuidado para evitar sobrepasar el límite de potencia permitido por la ley, donde se encuentran.
Como ya se ha insinuado, una vez que el SSID se crean y configurado con el wifi-manager , si éstas corresponden a puntos de acceso virtuales o las conexiones de cliente, aparecen en todos y todas como Ethernet (ETHnn) las interfaces que pueden ser manipulados a través de la interfaz web Zeroshell. En el ejemplo ilustrado en la figura siguiente, el SSID cuatro hilos múltiples y la interfaz ETH00 cable son Ponteado en una sola BRIDGE00 (ETH00, ETH02, ETH03, ETH04, ETH05) interfaz.


Wifi Setup
Interfaz de configuración. Haga clic en la imagen para ampliarla.


Hacerlo, las 4 redes WLAN, independientemente de su modo de acceso (WPA-PSK, WPA-EAP, portal cautivo o WEP), la cuota de la misma capa 2 de la LAN que es accesible a través de la interfaz Ethernet ETH00. El hecho de compartir el nivel de enlace de datos para varios componentes del SSID, que hace posible utilizar el servidor de LAN DHCP (si existe) o sólo tiene que activar una sola subred DHCP conectado a la interfaz bridge. Obviamente, ya que la clasificación de Firewall y QoS también actúan sobre las interfaces de un puente, es posible aplicar un acceso independiente y las normas de tráfico para cada SSID. Por ejemplo, si fuera posible en beneficio de los usuarios que acceden a través de la WPA Enterprise con respecto a aquellos que utilizan el portal cautivo, ya hemos visto que en el tráfico de este último no está cifrado.

Mapa de la LAN inalámbrica en la red VLAN 802.1q

Si LAN virtuales se definen en los switches en el sentido de sus puertos son, lógicamente, se reagruparon para que aparezcan como pertenecientes a diferentes (virtual) LAN, la comunicación entre estos interruptores es posible por medio de puertos de enlace trunking 802.1q. Los puertos se caracterizan por pertenecer simultáneamente a más de una VLAN, los paquetes a través de ellos deben ser identificados mediante tag (o VID) que identifican la fuente/destino VLAN. Uno de los protocolos más utilizados de trunking es el definido en el estándar IEEE 802.1Q, que tiene una etiqueta de 12 bits con un intervalo de valores válido de 1 a 4094. Lo que es más, define el concepto de VLAN nativa, que es la VLAN que los paquetes pasan por el tronco como marcos normales, Ethernet sin etiquetar. VLAN nativas también se asignan las tareas de gestión. La difusión de esta norma ha permitido a la interoperabilidad entre diferentes marcas y modelos de dispositivos de red, incluso LAN virtuales están presentes. En particular, la función de asignación de las VLAN en el que se divide la LAN en diferentes SSID inalámbrico es cada vez más generalizada. Esto permite que la homogeneidad en la asignación de direcciones IP de subred entre las VLAN que abarca la red LAN y el SSID que constituyen la WLAN. Gracias al apoyo Zeroshell de VLAN 802.1Q, la gestión de SSID múltiple por un solo punto de acceso y la posibilidad de salvar las interfaces que representan la VLAN con los representantes de los SSID, esto es ahora posible y económico, sin tener que utilizar un punto de acceso para cada LAN virtual que se va a llegar a través de red inalámbrica.
Por ejemplo, supongamos que una organización tiene su LAN subdivide en dos VLAN:
  • Una VLAN para permitir el acceso a las máquinas de servicio y los escritorios del personal permanente de la organización. Esta VLAN, en la que no hay restricciones definidas por el servidor de seguridad respecto a los recursos internos de la red, ha VID (VLAN ID) de 1220 y debe ser accesible a través de móviles a través de un SSID llamado "Trusted Network". El acceso a este WLAN se debe permitir sólo a aquellos que poseen una tarjeta inteligente o eToken con un certificado X.509 personal, esto a través de WPA-EAP con RADIUS habilitado para responder a EAP-TLS;
  • Una VLAN para permitir a los huéspedes con ordenadores portátiles de ellos el acceso a Internet, pero con algunas reglas de firewall que limitan el acceso a los recursos de la red interna. Tal VLAN, cuya VID se establece como 2350, también a través de móvil con un SSID sin cifrar llamado "Guest Network". Aunque el tráfico viaja sin codificar, en este WLAN, autenticación de acceso se solicita el portal cautivo a la que se concede el acceso a través de un nombre de usuario y contraseña temporal dará a los clientes. La opción de usar el portal cautivo para esta VLAN está motivada por la simplicidad de acceso, que no limita a los invitados a configurar su suplicante WiFi para solicitar el acceso a la WPA Enterprise. Esta última operación no siempre es inmediato y / o fácilmente con el apoyo de todos los sistemas operativos, mientras que el portal cautivo provee acceso sin importar el tipo de sistema siempre y cuando tenga un navegador web.

Como se ilustra a continuación, dos SSID virtuales se crean a través de la wifi-manager: "Trusted Network" corresponde a la interfaz Ethernet ETH02, y ha WPA Enterprise activa, "Guest Network" corresponde a ETH03 lugar. A pesar de que el hardware que está utilizando tiene 2 tarjetas de red WiFi (wifi0 y wifi1), se decidió crear dos SSID en wifi0. Esto ahorraría un canal de radio, que es un recurso muy valioso cuando se utiliza 802.11b/g, ya que sólo hay tres canales sin solapamiento de frecuencias (1,6 y 11).

root@multi-AP root> wifi-manager


[wifi0]  Chipset  AR5413 802.11abg NIC (rev 01)
-- If -- Mode -- SSID --------------------------- Hide -- Security -
>> ETH02  AP     Trusted Network                   no     WPA-EAP  
   ETH03  AP     Guest Network                     no     Plaintext                   

[wifi1]  Chipset  AR5413 802.11abg NIC (rev 01)
-- If -- Mode -- SSID --------------------------- Hide -- Security -

COMMANDS
  <N> New SSID               <M> Modify SSID
  <D> Delete SSID            <I> Show Information
  <C> Std/Channel/Tx-Power
  <L> List Stations          <S> Channel Scanning
  <R> Restarting Devices     <Q> Quit

>>


Ahora, supongamos que la interfaz ETH00 Ethernet está conectado a uno switch en un puerto trunking 802.1q a través del cual los dos VLAN se realizan con las etiquetas 1220 y 2350, además de la VLAN nativa: mediante el botón [Crear VLAN] añadimos la mencionada LAN virtual . Una vez hecho esto, creamos dos bridges pulsando [Hacer Bridge]: BRIDGE00 debe conectar ETH00.1220 (VLAN 1220) con ETH02 (SSID "Trusted Network") en la capa 2, mientras que BRIDGE01 debe conectar ETH00.2350 (VLAN 2350 ) con ETH03 (SSID "Guest Network"). Todo ello se ilustra en la siguiente figura:

SSID-VLAN
SSID and VLAN bridging. Click on the image to enlarge it.


Usted puede notar que no es estrictamente necesario asignar una dirección IP a los dos puentes, mientras que la interfaz ETH00, que corresponde a la VLAN nativa, se le asigna la dirección IP 192.168.0.75, la conexión a una ejecución de opciones de gestión de Zeroshell.
En este caso, para completar esta tarea, es suficiente para activar el portal cautivo de la sesión [Captive Portal][Gateway] en ETH03 interfaz (SSID "Guest Network") en modo bridge.

Amplíe el Wireless geográficamente a través de OpenVPN

Zeroshell usa OpenVPN con Tap (Ethernet virtual) los dispositivos como una solución de sitio a sitio VPN. Esto ofrece ventajas a través de protocolos como IPSec en el sentido de que permite conectar los sitios de organización que se encuentran geográficamente distantes mediante la capa 2. De hecho, desde la interfaz de VPN (Zeroshell llama VPNnn) es muy similar a la interfaz Ethernet (ETHnn), la VPN se puede salvar con este último y también con SSID inalámbrico. Por lo tanto, ya que no hay procesos de enrutamiento entre la LAN y WLAN, ya sea local o remoto conectado a través de VPN, la misma subred IP se puede utilizar en todas partes. Por lo tanto, no sólo un único servidor DHCP puede ser utilizado para distribuir la misma dirección IP a cada cliente, independientemente del lugar y tipo de conexión (con cables o inalámbrica), pero los protocolos, como NetBIOS, utilizado para compartir los recursos de Windows, como impresoras y carpetas, puede funcionar sin tener que utilizar un servidor WINS con el fin de descubrir los recursos de red, ya que el tráfico de difusión (broadcast) se propagan de manera uniforme en la LAN y WLAN (local y remota).
siempre gracias a la similitud entre las redes privadas virtuales hechas con OpenVPN y conexiones reales Ethernet , es posible generalizar el ejemplo anterior mediante el transporte de VLAN 802.1Q en sitios remotos, así, que se extiende a través de Wifi, cerrando las interfaces que representan la VLAN transportados por la VPN (en el ejemplo anterior se VPN00.1220 y VPN00.2350 ) con "Trusted Network" y "Guest network" SSID.



    Copyright (C) 2005-2012 by Fulvio Ricciardi