View this PageEdit this PageUploads to this PageVersions of this PageHomeRecent ChangesSearchHelp Guide

Usar un router wrt54gs en vez de portalico/guagua



Friday, 29 February 2008, 9:59:24 am
Configurar guagua para que forwardee puertos 2500 (es un forward interno al 25 en zen) y 110 a 3.0.1.124 (a través del túnel) He modificado el /etc/vtund.conf para que tenga el siguiente aspecto:
==CUT==/etc/vtund.conf
options {
firewall /usr/sbin/iptables;
}

internetti-portalico {
pass <protected>;
type tun;
proto tcp;
encrypt yes;
keepalive yes;
persist yes;
up {
ifconfig "%% 10.0.1.2 pointopoint 10.0.1.1 mtu 1450";
route "add -net 10.0.1.0 netmask 255.255.255.0 dev %%";
route "add -net 3.0.1.0 netmask 255.255.255.0 gw 10.0.1.1";
firewall "-t nat -A prerouting_rule -i vlan1 -p tcp --dport 2500 -j DNAT --to 3.0.1.124";
firewall "-A forwarding_rule -i vlan1 -p tcp --dport 2500 -d 3.0.1.124 -j ACCEPT";
firewall "-t nat -A prerouting_rule -i vlan1 -p tcp --dport 110 -j DNAT --to 3.0.1.124";
firewall "-A forwarding_rule -i vlan1 -p tcp --dport 110 -d 3.0.1.124 -j ACCEPT";
};
}
==CUT===

Thursday, 20 December 2007, 6:21:52 pm
Para el dyndns (p.ej. redaguilera.com) Hay un HOWTO en esta página. Para obtener la IP actual, se hace con:

# wget -O /etc/myip http://www.whatismyip.com/automation/n09230945.asp

==CUT===
#!/bin/sh

USER=""
PASSWORD=""
DOMAIN=""

check() {
  wget -O /etc/myip http://www.whatismyip.com/automation/n09230945.asp
  IP=`cat /etc/myip`
  IPANT=`cat /etc/lastip`
  if [ "$IP" != "$IPANT" ]; then
        cp /etc/myip /etc/lastip
        wget -O /dev/null http://$USER:$PASSWORD@members.dyndns.org/nic/update?hostname=$DOMAIN
  fi
}
                
check
 #while [ 1 ]; do check; sleep 300; done
==CUT===

Y se ha añadido a /etc/init.d/S99done

sh /etc/dyndns.sh &

Para el openvpn Se ha instalado el openvpn en ambos sitios y se han puesto las siguientes configuraciones (siguiendo este howto):

==CUT===servidor:/etc/openvpn.cfg
# openvpn server config
dev tun
ifconfig 172.16.0.1 172.16.0.2
secret /etc/static.key
keepalive 10 60
ping-timer-rem
persist-tun
persist-key
daemon
route 192.168.2.0 255.255.255.0
==CUT===

==CUT===cliente:/etc/openvpn.cfg
# openvpn client config
remote redaguilera.com
dev tun
ifconfig 172.16.0.2 172.16.0.1
secret /etc/static.key
keepalive 10 60
ping-timer-rem
persist-tun
persist-key
daemon
route 192.168.1.0 255.255.255.0
==CUT===

En el /etc/firewall.user, en la parte de Open port to WAN, está puesto
 iptables -t nat -A prerouting_wan -p tcp --dport 1194 -j ACCEPT     
 iptables        -A input_wan      -p tcp --dport 1194 -j ACCEPT                 
 /usr/sbin/iptables -I INPUT -p udp --dport 1194 -j ACCEPT

Update Por último hay que abrir el firewall para que los paquetes de un lado sean válidos para el otro.

En el /etc/firewall.user del servidor se añade:
iptables -A FORWARD -s 172.16.0.2 -d 192.168.1.0/24 -j ACCEPT
iptables -A FORWARD -s 192.168.2.0/24 -d 192.168.1.0/24 -j ACCEPT
iptables -A FORWARD -s 192.168.1.0/24 -d 192.168.2.0/24 -j ACCEPT


En el /etc/firewall.user del cliente se añade:
iptables -A FORWARD -s 172.16.0.1 -d 192.168.2.0/24 -j ACCEPT
iptables -A FORWARD -s 192.168.1.0/24 -d 192.168.2.0/24 -j ACCEPT
iptables -A FORWARD -s 192.168.2.0/24 -d 192.168.1.0/24 -j ACCEPT


NOTA: las pruebas han sido con redaguilera.com; el teléfono de ellos (pero no el de Mario) es 620207245.
Tuesday, 13 March 2007, 4:19:46 pm
Configuración del módem ADSL de Chiro para que acepte poner cosas en los puertos 3 y 4 Resulta que el Comtrend de jazztel tiene una configuración rara. He encontrado un post en el qu explican como activarlos. Básicamente es:
Ve a quality of service y borra tambien las entradas que hacen referencia a los puertos 3 y 4.
Ve tambien a port mapping y edita la opcion bridge. Pasa los puertos 3 y 4 a available.

Y con esas instrucciones ha funcionado :-) (los puertos 3 y 4 estaban configurados con reglas en QoS de Audio y TV respectivamente).

Corregido un bug en la config del router de chiro Resulta que faltaba el ";" al final de la password en el vtund.conf
Wednesday, 7 March 2007, 5:20:58 pm
Instalo el wrt54gl para Chiro Siguiendo las instrucciones de "Thursday, 11 January 2007, 8:01:40 am". La última versión de WhiteRussian es la 0.9: openwrt-wrt54g-squashfs.bin. Cambios con respecto al de abajo:
  • Se ha usado White Russian 0.9
  • Sólo se ha habilitado la red 3.0.1.0/24 (ni la 172.16.1.x ni la 172.16.2.x), y usando masquerading
  • En internetti se ha pueso un nuevo túnel llamado internetti-chiro, con las ips 10.0.10.1-10.0.10.2
  • Se ha desabilitado el WAN (WAN None)
  • Se ha desabilitado el WLAN (WLAN disabled)
  • Se ha puesto en el wrt la IP 192.168.1.254, con NS 192.168.1.1 y gw 192.168.1.1
  • Un post-it con instrucciones: En windows hacer:
    route -p add 3.0.1.0 mask 255.255.255.0 192.168.1.254 metric 2
.
Thursday, 11 January 2007, 8:01:40 am
Usar el wrt54gl para un sitio de demos, instalando el White Russian RC6 Se instala siguiendo estas instrucciones. El password del interfaz web es username (vacío) y passwd "admin". Los pasos que he seguido son los siguientes:
  1. Desempaqueto el router y quito la pegatina que protege los puertos
  2. Conecto el puerto 1 (no el WAN) a la ethernet secundaria de salchia y lo enchufo a la red eléctrica.
  3. Configuro en salchicha la dirección ip 192.168.1.10 para la ethernet secundaria:
    salchicha# ifconfig eth1 192.168.1.10
  4. Abro un navegador en salchicha (p.ej. el opera) y me conecto a 192.168.1.1
  5. Cuando pregunta nombre/password, se deja la sailla de nombre vacía y como password se pone "admin" (sin las comillas).
  6. Bajas en salchicha la última versión de openwrt-wrt54g-squashfs.bin
  7. Mientras se baja el firmware, puedes poner desactivar el DHCP y configurar el timezone en el router (Capture.france), y luego dar a salvar.
  8. En el interfaz web, haces "administration -> firmware upgrade", seleccionas el firmware que has bajado al disco duro y le das a "Upgrade".
  9. El router reinicia sólo y la página del navegador web cabia al "OpenWRT Administrative Console".
  10. Vas a "System" y te pregunta un password, se pone (se puede poner una de sico o de metro O:-).
  11. Ahora se siguen los pasos de Tuesday, 7 February 2006, 9:33:53 am".

Update (12/01/07): Hoy lo he terminado de configurar, con el nombre "giralda" y el túnel a internetti-giralda usando 10.0.9.x. La red del DIS es la 192.168.5.x, teniendo giralda la 192.168.5.1. El router de (T) ha de ser configurado con la IP 192.168.1.1.
Monday, 29 May 2006, 11:15:41 am
Usar un WL-500gP para Chiro en Madrid El wl-500gP es el que se vende ahora y está soportado por OpenWRT haciendo unos poquitos tweaks :-). A pedirlo.
Thursday, 11 May 2006, 1:51:49 pm
Actualizado en tresolivos el vtund-start para que acepte ponerse también como servidor El nuevo vtund-start es como sigue:
/usr/sbin/vtund-start
#!/bin/sh
/usr/sbin/vtund -f /etc/vtund.conf `cat /etc/vtund-start.conf | grep -v "#" | grep '.' | head -1`
grep "^--server--" /etc/vtund-start.conf 2>/dev/null >/dev/null
if [ $? -eq 0 ] ; then
echo /usr/sbin/vtund -f /etc/vtund.conf -s -P `cat /etc/vtund-start.conf | grep "^--server--" | grep '.' | head -1 | cut -c 12-`
fi


Y la nueva configuración:
/etc/vtund-start.conf

internetti-tresolivos 80.37.72.228 -P 6544

--server-- 6544


Monday, 10 April 2006, 12:15:32 pm
Wireless networking con XP La cosa es más complicada de lo que parece si se quiere usar WPA. Instrucciones aquí. Parche a instalar, aquí.

Update: A final lo dejé con WEP porque no hay manera de que sea estable con WPA
Thursday, 6 April 2006, 2:52:22 pm
Configuración del WiFi de tresolivos Lo estoy configurando con WPA-PSK (Pre Shared Key), con WPA2 y AES.
Thursday, 6 April 2006, 10:39:33 am
Instalado el OpenWRT White Russian RC5 en el asus-wl500gd que hará de tresolivos Los pasos seguidos han sido los de esta página usando TFTP:
  1. Configurar salchicha en la segunda eth para que sea 192.168.1.3 y conectar ahí el puerto 1 del router.
  2. Con un navegador en salchicha, entrar en la http://192.168.1.1 con nombre:clave admin:admin.
  3. Hacer la configuración rápida el router (hora de Madrid, etc) y salvar, dejando como IP la 192.168.1.1. El router se rebotará solo (y le dejas que lo haga tranquilamente, espera unos 20 segs).
  4. Quitas el cable de corriente del router, pulsas el botón de reset, y mientras lo mantienes pulsados, lo enchufas otra vez. No sueltas el botón de reset hasta que no veas que la luz de PWR parpadea con una cadencia de 1 segundo.
  5. En salchicha hacer:
    $ cd /home/dario/src.openwrt
    $ tftp 192.168.1.1
    tftp> binary
    tftp> trace
    tftp> put openwrt-brcm-2.4-squashfs.trx
  6. Esperar a que termine de enviar el fichero y luego esperar 5 minutos (por si acaso), ay que parece que los WL-500gd normalmente no se reinician solos después de cargarles el firmware
  7. Quitarle la corriente y volvérsela a poner
  8. Esperar a que arranque y entrar con un telnet al 192.168.1.1

Aparte de eso, he seguido los pasos del "Wednesday, 27 July 2005, 12:31:43 pm" para ponerle la IP 192.168.3.1.

También he seguido las instrucciones del "Tuesday, 7 February 2006" para instalar el vtun.
Tuesday, 14 February 2006, 5:35:17 pm
He hecho los cambios de ver a main1 en guagua/mips Y he actualizado las instrucciones del día "Wednesday, 24 August 2005" para /etc/init.d/S50vtun, aunque me falta cambiarlo en portalico O:-)
Tuesday, 7 February 2006, 4:09:50 pm
Configurado en guagua_wrt el port forwarding de correo y https Lo que he hecho ha sido lo siguiente:
  1. Poner el /etc/firewall.user en la partición rw:
    # cd /etc
    # rm firewall.user
    # cp /rom/etc/firewall.user .
  2. Editr el /etc/firewall.user, añadiendo a la parte de "### Port forwarding" las líneas siguientes:
    iptables -t nat -A prerouting_rule -i $WAN -p tcp --dport 25 -j DNAT --to 192.168.2.124
    iptables -A forwarding_rule -i $WAN -p tcp --dport 25 -d 192.168.2.124 -j ACCEPT
    iptables -t nat -A prerouting_rule -i $WAN -p tcp --dport 443 -j DNAT --to 192.168.2.124
    iptables -A forwarding_rule -i $WAN -p tcp --dport 443 -d 192.168.2.124 -j ACCEPT
  3. Salvar el fichero y hacer un reboot para ver que todo sigue bien.
Tuesday, 7 February 2006, 9:33:53 am
Instalado OpenWRT White Russian RC4 (1.0RC4) en el futuro guagua Usando las instrucciones del día "Tuesday, 7 June 2005".

Pasos adicionales realizados:
  1. Hacer que vea internet. En el wrt:
    # echo nameserver 192.168.1.10>/etc/resolv.conf
    # route del default gw 10.0.0.1
    # route add default gw 192.168.1.10
  2. Seguir las instrucciones de "Monday, 13 June 2005" para que salchicha forwardee al wrt hacia internet.
  3. Instalar el vtun en el wrt:
    # ipkg update
    # ipkg upgrade
    # ipkg install vtun
  4. Crear los ficheros de configuración del tun a la manera del día "Wednesday, 24 August 2005" y darle de alta también en internetti
  5. Poner la configuración al router:
    # nvram set lan_proto=static
    # nvram set lan_ipaddr=192.168.2.1
    # nvram set lan_netmask=255.255.255.0
    # nvram set wan_proto=static
    # nvram set wan_ipaddr=192.168.0.1
    # nvram set wan_netmask=255.255.255.0
    # nvram set wan_domain=sicosoft.com
    # nvram set wan_gateway=192.168.0.2
    # nvram set wan_dns=193.152.63.197 80.58.32.33 80.58.0.97
    # nvram commit
  6. Reiniciar el router:
    # reboot
  7. Poner al salchicha una ip adecuada en la segunda eth:
    salchicha# ifconfig eth1 192.168.2.10
    salchicha# telnet 192.168.2.1
  8. Comprobar en el router que todo está bien:
    # nvram show
    # route -n
    # ifconfig -a

Thursday, 3 November 2005, 12:41:28 pm
Web de howtos de configuración del router de Ana (Granada) Web del Xavi Wireless x7768r (ADSL Zone)
Tuesday, 13 September 2005, 12:17:13 pm
Para ver el router de ana desde sico/mad Hay que hacer las dos cosas siguientes:
  • En internetti 
 route add -net 192.168.1.0 netmask 255.255.255.0 gw portalico
  • En portalico 
 iptables -A FORWARD --source 3.0.1.0/24 
           --destination 192.168.1.1/32 -j ACCEPT

Para quitarlo, basta hacer:
  • En internetti 
 route del -net 192.168.1.0 netmask 255.255.255.0 gw portalico
  • En portalico 
 iptables -D FORWARD --source 3.0.1.0/24 
           --destination 192.168.1.1/32 -j ACCEPT

Wednesday, 24 August 2005, 10:44 am
Hacer que la red "de portalico" vea correctamente sico Hay que modificar el firewall para que haga masquerading. Ahora está de la siguiente forma:

/etc/init.d/S50vtun
#!/bin/sh

. /etc/functions.sh

# Desactivamos el interfaz inalambrico
ifconfig eth1 down

# Arrancamos el vtun en segundo plano
/usr/sbin/vtund-start

# Ponemos nuevas reglas para el firewall
iptables -A FORWARD --destination 3.0.1.0/24 --source 192.168.4.0/24 -j ACCEPT
iptables -A FORWARD --source 3.0.1.0/24 --destination 192.168.4.0/24 -j ACCEPT
iptables -A FORWARD --destination 172.16.0.0/24 --source 192.168.4.0/24 -j ACCEPT
iptables -A FORWARD --source 172.16.0.0/24 --destination 192.168.4.0/24 -j ACCEPT
iptables -A FORWARD --destination 172.16.1.0/24 --source 192.168.4.0/24 -j ACCEPT
iptables -A FORWARD --source 172.16.1.0/24 --destination 192.168.4.0/24 -j ACCEPT
iptables -t nat -A POSTROUTING -o tun0 -j MASQUERADE
iptables -t nat -A POSTROUTING -o br0 -j MASQUERADE


/usr/sbin/vtund-start
#!/bin/sh
/usr/sbin/vtund -f /etc/vtund.conf `cat /etc/vtund-start.conf | grep -v "#" | grep '.' | head -1`


/etc/vtund-start.conf
internetti-portalico 80.37.72.228 -P 6544


/etc/vtund.conf
internetti-portalico {
        pass <protected>;
        type tun;
        proto tcp;
        encrypt yes;
        keepalive yes;
        persist yes;
        up {
                ifconfig "%% 10.0.1.2 pointopoint 10.0.1.1 mtu 1450";
                route "add -net 10.0.1.0 netmask 255.255.255.0 dev %%";
                route "add -net 3.0.1.0 netmask 255.255.255.0 gw 10.0.1.1";
        };
}

Monday, 22 August 2005, 10:23:11 am
Por fin arreglado lo de portalico Resulta que el vtun se salía por no poder abrir el dispositivo /dev/net/tun. Me he bajado el paquete kmod-tun, lo he instalado con "-nodeps" (ya que no me dejada instalarlo). Después he hecho:
 ipkg update
 ipkg upgrade
 ipkg install reinstall vtun
Y he instalado con un insmod el tun.o
Por último he hecho un 
 /etc/init.d/S50vtun start
y... ¡¡¡Ya tengo ping!!! :-)

NOTA: También he actualizado el vtund de internetti a la versión 2.6 (sólo he actualizado el ejecutable con el generado después de un "./configure --prefix=/ ; make" en los fuentes del vtun)
Wednesday, 27 July 2005, 12:31:43 pm
Configuración del router "portalico" Usando información de cómo establecer un wifi-bridge con OpenWRT he hecho lo siguiente:
 nvram set lan_proto=static
 nvram set lan_ipaddr=192.168.4.1
 nvram set lan_netmask=255.255.255.0
 nvram set wan_proto=dhcp
 nvram unset wan_ipaddr
 nvram commit

Aparte, he configurado el /etc/vtund.conf con el mismo fichero que estaba usando en iris, pero modificado (1) para que use la 10.0.1.0 (internetti-portalico, según internetti) y (2) para que la conexión se llame internetti-portalico tonto en vtund-start.conf como en vtund.conf. Además he hecho una script con la siguiente línea:
/usr/sbin/vtund `cat /etc/vtund-start.conf | grep -v "#" | grep '.' | head -1`
Y un enlace a dicha script en /etc/init.d/S50vtund
Monday, 13 June 2005, 12:47:26 pm
Para conseguir acceso a internet desde el router El método más sencillo es activar masquerading en salchicha:
 ipchains -P forward DENY
 ipchains -A forward -i eth0 -j MASQ
 echo 1 > /proc/sys/net/ipv4/ip_forward

Y después, en el router, hacer que esa sea la ruta por defecto:
 route del default gw 80.59.237.194
 route add default gw 192.168.1.3

Y ya está, con esto ya tiene ping a google...

Ahora solo falta usar el ipkg e instalar el vtun para openwrt.

Update: Hice el "ipkg update" y el "ipkg install vtun".
Tuesday, 7 June 2005, 4:29:15 pm
Comprados los routers Ya han llegado los dos routers WRT54GS de acuista.

Flasheado uno de los routers para que sea portalico Los pasos realizados han sido:
  1. Configurar salchicha en la segunda eth para que sea 192.168.1.10 y conectar ahí el puerto 1 del router.
  2. Con un navegador en salchicha, entrar en la http://192.168.1.1 con nobre:clave admin:admin.
  3. Configurar la IP de WAN del router a algo valido (p.ej. 10.0.0.1). Eso es: lo pones en "Static IP y luego le metes los valores que pide.
  4. Usar http://3.0.1.170/wrt54gs.html (o en 192.168.2.1)para explotar el agujero de seguridad del Ping.asp y activar el boot_wait tal y como describen aquí, es decir, introduciendo los siguientes comandos:
    ;cp${IFS}*/*/nvram${IFS}/tmp/n
    ;*/n${IFS}set${IFS}boot_wait=on
    ;*/n${IFS}commit
    ;*/n${IFS}show>tmp/ping.log
  5. En salchicha hacer:
    $ cd /home/dario/src.openwrt
    $ tftp
    tftp> mode binary
    tftp> connect 192.168.1.1
  6. Desconectar la corriente del router y al volverlo a conectar, pero tan pronto como se encienda la luz de power (bueno, se tienen que encender y apagar el resto de las luces), hay que hacer el siguiente comando en salchicha:
    tftp> put openwrt-wrt54gs-squashfs.bin
  7. Esperar a que el router se reinicie y que se encienda la luz de DMZ (indica que OpenWrt está arrancando) y que se vuelva a apagar (tarda un minuto, aprox).

Descripción del proyecto


La idea es sustituir portalico/guagua por un router, de manera que no estén tan expuestos a fallos de discos duros, etc (el problema está en que portalico/guagua están más tiempo apagados que encendidos por problemas de hardware).

La idea es usar OpenWRT, que tiene soporte a vtun sobre tun/tap>http://nthill.free.fr/openwrt/tracker/packages/list.php?name=kmod-tun.