Es mostren els missatges amb l'etiqueta de comentaris draytek. Mostrar tots els missatges
Es mostren els missatges amb l'etiqueta de comentaris draytek. Mostrar tots els missatges

27 d’ag. 2009

dBm a mW

Siempre que andamos buscando un cacharrito wireless tenemos que tener en cuenta la sensibilidad y la potencia wifi.

Esta está definida con dBm (decibelios en relación a un nivel de referencia de 1 mW.).

Así que tenemos:

1dBm = 1 mW
10dBm = 10mW
20dBm = 100mW
26dBm = 400mW (nanostation2)
30dBm = 1000mW

En la wikipedia podréis encontrar una tabla de conversión:

http://es.wikipedia.org/wiki/DBm

Publicat per Blackhold a 12:12 0 comentaris
Etiquetes de comentaris: , ,

8 de maig 2009

Draytek Vigor 2710Vn - NAT y DHCP

Lo siento planetas, hoy os llenaré las páginas, pero estoy creando el ecosistema, no tengo explicación alguna pero la red va mucho mas suelta, mis conocimientos de redes son bastante limitados :(

Nos encontramos que tenemos unos equipos que sirven ciertos servicios hacia el exterior, básicamente he dejados configurados el http, el ssh y el gobby.

Primero de todo entraremos en el router (por defecto la ip del gateway, dónde dirigimos nuestros paquetes).

En NAT > Port redirection tenemos una lista de ip y puertos, en la imagen un ejemplo de mi configuración con los 3 servicios mencionados.


Os presento a los 2 equipos que participan en el ejemplo, urbanita (mi ruidoso y viejuno ordenador de sobremesa) y sofre (el lenovo thinkpad x200 protagonista en otros posts).

urbanita hemos configurado 2 servicios el http (puerto 80 tcp) y el ssh (el 22 y el 443 apuntando al 22). El porqué acostumbro a redirigir el puerto 443 al 22 es porque a veces te encuentras en wifis publicas y tienen fuertes restricciones, los puertos 80 y 443 siempre están abiertos, para poder navegar por http y https, como no tengo instalado un https en mi equipo aprovecho este puerto, luego mediante túnneles ssh puedo tener a mano cualquier servicio usando la conexión ssh como proxy.

Si pulsamos a uno de los numeros podemos acceder a la configuración de la redirección NAT:

En la imagen tenemos la configuración numero 3, la que tiene la redirección a un puerto distinto por la parte pública y la privada.

En Mode podemos definir si es una redirección de un solo puerto o de varios. En service name definimos un nombre identificativo para aquella entrada. En el protocol el protocolo TCP o UDP a usar, si usamos --- será como decirle ambos. En WAN IP en qué red virtual permitimos esta redirección (ya que el router permite hacer redes virtuales). Public port, el puerto exterior al que nos conectaremos (el 99% de las veces el puerto interno y el externo son los mismos). Private IP, qué máquina nos está ofreciendo el servicio. Private port, el puerto interno del servicio.

Si estamos usando un servicio el cual no sabemos el puerto mediante un netstat lo podemos ver:

# netstat -lanp |grep LISTEN

Una vez configurado será importante marcar Enable para habilitar este perfil.

Otra entrada la cual me introducirá a la parte del DHCP es la numero 4, dónde tengo el portátil conectado por wifi y compartiendo el servicio gobby.

Como todo servidor DHCP medio decente, podemos asignar ip a direcciones MAC, para cuando estos interfaces se conecten a la red puedan hacerlo de forma dinámica y se les asigne siempre la misma IP.

Para ello en LAN>Bind IP to MAC, definiremos qué IP servirle a una MAC cuando se conecte:

A la parte izquierda podemos ver los equipos que se han conectado a nuestra red, en mi caso he definido que el DHCP sirva IP a partir de la IP 192.168.1.10, dejando de la 2 a la 9 para los distintos equipos que usan la red (como el segundo AP, el NSLU2, la impresora o mi servidor principal).

A la parte derecha tenemos las definiciones, bastará con pulsar 2 veces sobre una conexión ya establecida o definirla manualmente en la parte inferior del formulario.

Cabe destacar la existencia de la regla strict bind, que tal como dice, en este modo sólo se permitirá la conexión a la red a aquellos equipos que se encuentren identificados en esta lista.

Finalmente, si vamos a LAN > General Setup, podremos configurar el comportamiento del servidor DHCP y a partir de qué IP empezar a servir o si tenemos un servidor DHCP interno en otra maquina hacer un relay hacía esta.

Publicat per Blackhold a 23:29 0 comentaris
Etiquetes de comentaris:

Draytek Vigor 2710Vn - VPN over IPSec

Como una niña con un juguete nuevo e inevitable impulso ya estoy haciendo las primeras configuraciones y una de las primeras ha sido la de la VPN.

Los dos protagonistas son un router draytek vigor 2800 y el 2710Vn.

Por un lado al 2800 con la siguiente configuración:


y por el otro el 2710Vn con la siguiente configuración:


Voy a explicar un poco las secciones de ambos.

En la primera sección, common settings, vamos a definir el nombre del perfil que encontramos dentro de VPN and Remote Access > LAN to LAN de ambos routers, Enable this profile, el call direction a both para permitir conexiones de la VPN en ambos lados con el dial que mostraré después de la configuración, si queriésemos que la conexión siempre estuviese establecida deberíamos pulsar el always on que lo unico que hace es mantener un ping entre ambos routers o ips de la red interna.

En la segunda sección, Dial-out settings, definiremos la configuración de llamada.
En ella configuraremos el tipo de conexión que nos encontraremos al otro lado, vamos a usar la misma configuración en ambos.
En este caso estamos creando una VPN sobre IPSec (si usásemos otro tipo de conexión como PPTP, podríamos definir el nombre de usuario y contraseña) usando una pre-shared key (que la definimos en un pop-up), el uso de una signatura digital, además de la seguridad del túnnel IPSec.

En la tercera sección, Dial-in settings, tendremos que configurar esta sección con la configuración que esperamos de las llamadas VPN. Si no definimos ninguna ip, permitiremos que cualquier que sepa nuestra configuración de la VPN pueda conectarse a nosotros.
Si vamos siguiendo los cuadros, podremos definir también un nombre de usuario y contraseña para las VPN sobre PPTP, por ejemplo).
Podremos definir también la Pre-Shared key, la signatura digital y los métodos de seguridad de IPSec para encriptar un poquito el asuntillo.

Finalmente en la cuarta sección, TCP/IP Network Settings, definimos la configuración ip que esperamos de la red que se nos conectará a nosotros.
En las imágenes estamos usando las redes privadas 192.168.1.0/24 y 192.168.2.0/24, con la mascara de subred 255.255.255.0, pero podríamos abrir el abanico de subredes permitidas poniendo como redes privadas 192.168.0.0/32 usando como mascara de subred 255.255.0.0 y así succesivamente.
En RIP direction definimos que sea de ambos lados, además si queremos que todo el tráfico de la red saliente pase por el tunnel VPN creado, idóneo para centrar toda la información de las redes a una misma ubicación, altamente no recomendable a menos que tengas un buen tubo de salida a internet.

Una vez configurados ambos routers deberemos crear el túnnel VPN entre ambos routers, simplemente bastará en ir a VPN and Remote Access>Connection Management, en dial-out tool vamos a seleccionar la VPN que queremos conectar y pulsaremos al botón dial.

En unos segundos en la sección de abajo, VPN connection status, podremos ver como se conecta la VPN.

Si nos fijamos en el color de la conexión podremos ver si esta está cifrada o no, en la imagen ahora mismo la conexión no está cifrada, porque he definido una seguridad de IPSec media, si definiésemos una High (ESP) la conexión saldría de color verde, también implicaría que la conexión sería mas lenta, por ahí está servido el dilema ¿mas seguridad o mas velocidad?

Ahora para poder interactuar entre los distintos ordenadores de la red, será preciso crear las rutas pertinentes en los servidores y estaciones de trabajo con las que tenemos que interactuar.

Para los equipos de la red 192.168.2.0/24 tenemos que definir esto:

# route add -net 192.168.1.0 netmask 255.255.255.0 gateway 192.168.2.1

y para los equipos que tenemos en la red 192.168.1.0/24 esto:

# route add -net 192.168.2.0 netmask 255.255.255.0 gateway 192.168.1.1

siendo el gateway el router que tiene la VPN creada.

Luego un ping entre equipos de una red y otra (con las rutas configuradas) podrán transmitirse los paquetes, o incluso conectarte por vnc o ssh a alguno de los servidores.

Publicat per Blackhold a 21:16 1 comentaris
Etiquetes de comentaris:

Draytek Vigor 2710Vn

Pues ya tenemos otro juguetito a la colección, el tío ha tenido una entrada triunfal dando ya algunos problemas al configurarlo, por suerte ya está todo solucionado gracias a Pedro.

En la imagen mi anterior router el linksys wrt 310n y el actual draytek vigor 2710Vn.

Estamos hablando del router Draytek Vigor 2710Vn, un router super completito con soporte para wifi n y para VoIP (con una toma FXO y 2 para teléfonos analógicos o ip).


Os pego algunas de las características de este precioso cacharro con aspecto punki (¡lo que en si es!).

  • Built-in ADSL2/2+ modem for easy Internet access
  • 4-port 10/100BaseT Ethernet Switch (permite crear 4 redes distintas en cada uno de los puertos LAN)
  • Robust Stateful Packer Inspection ( SPI ) firewall with DoS / DDoS protection to protect your network from external attacks
  • CSM ( Content Security Management ) for Web content access control
  • USB 2.0 port for network printer , FTP , and 3.5G mobile
  • Comprehensive VPN ( 2 VPN tunnels ) facilities provide deployment of linked branch offices and teleworkers
  • 802.11n ( Draft-n ) Wireless LAN
  • Built-in VoIP facilities enable to deploy cost-effective IP telephone infrastructure (con una toma FXO y 2 tomas para teléfonos)
  • Multi-SIP registrar allows registration with up to six ITSPs ( Internet Telephone Service Provider )
  • TR-069 and 2-level management are for telcos/ISPs
Al configurar la ADSL con IP estática de telefonica me ha dado algunos problemas. En la página del router, en el apartado Internet access > MPoA (RFC1483/2684) :

Pulsar la imagen para ampliar.

Con esta configuración me encontraba que el router sincronizaba con la centralita de telefónica, recibía paquetes pero no mandaba ninguno, y aparecía la wan como bajada.

Tras preguntar en el servicio técnico han comentado esto:
Estimado Cliente:
Con respecto a su nueva consulta:
"Sincroniza correctamente pero no acepta la IP fija y no tiene conexión de Wan, con el router de operador no hay problema"
¿Que operadora y que tipo de conexión utiliza?, si es RFC-1483 de Telefónica, inserte por telnet el siguiente comando:
wan detect wan1 always_on

ó

wan detect wan1 on
wan detect wan1 target ---> dirección IP pública que siempre responda a Ping.
El equipo viene configurado por defecto con ARP detect, para detectar el estado de la WAN, pero Telefónica filtra este tipo de tráfico y el equipo no sabe cuando levantar la interface.
Asegurese del estado del interface WAN con el siguiente comando:
wan detect status
La sintaxis completa de este comando es la siguiente:
wan detect : enable/disable wan1 link detection
: ping detect, sould also set target
: arp detect (default)
: disable link detect, always connected(only support static ip)

wan detect target : set the ping target wan detect ttl <1-255>:set the ping ttl value (work as trace route)
0:default=255

wan detect status : show the currest status


Un cordial saludo,
Finalmente he probado de hacer lo primero que comentan y al instante me ha aparecido la wan levantada y conectada con el ISP!

Como es normal he empezado a hacer algunas comprobaciones para verificar que la conexión estaba correctamente establecida.
He notado que la navegación de páginas web era un poco lenta, así que he empezado a revisar la configuración del router y tras desactivar el firewall de contenido (Firewall>General setup) la navegación de páginas web ha sido mucho mas rápida, además de que no me ha dado mas timeouts en el irc.

Lo curioso es que la latencia de los pings no era excesivamente alta, parecía como si algo estuviese comprobando los paquetes:
# ping www.google.com
64 bytes from ww-in-f147.google.com (209.85.229.147): icmp_seq=4 ttl=240 time=77.2 ms
64 bytes from ww-in-f147.google.com (209.85.229.147): icmp_seq=5 ttl=240 time=81.9 ms
64 bytes from ww-in-f147.google.com (209.85.229.147): icmp_seq=6 ttl=240 time=80.2 ms
Tras unos minutos de conexión he podido ver en diagnostics ver a quién se le había ofrecido DHCP (DHCP Table) y quién estaba conectado, dónde lo estaba y a través de qué puertos (NAT Sessions table).

Algún día que encuentre un poco de tiempo debajo de una piedra (quizás ahora que tenemos un ERE parcial encima me encuentre muchas piedras de estas) voy a investigar el funcionamiento del VoIP (Fran, te llamaré desde ahí con el telefono rojo retro :D), el 3g (como usar el 3g como backup de la ADSL), lo que permite conectarse a otras wifis, vpn, el firewall interno y por supuesto intentar documentarlo todo, y para esto creo una etiqueta nueva :)

Publicat per Blackhold a 19:15 0 comentaris
Etiquetes de comentaris: , , ,
Subscriure's a: Missatges (Atom)