Construyendo un AP (punto acceso) con una PC

A diferencia de los sistemas operativos para consumidores (como Microsoft Windows), el sistema operativo GNU/Linux le brinda al administrador de red acceso completo a muchos elementos del trabajo en redes. Podemos acceder y manipular paquetes de red a cualquier nivel, desde la capa de enlace de datos hasta la capa de aplicación.

Se pueden tomar decisiones de enrutamiento con base en cualquier información contenida en el paquete de red, desde la dirección de enrutamiento y puertos, hasta los contenidos de los segmentos de datos. Un punto de acceso basado en Linux puede actuar como enrutador, puente, corta fuego, concentrador VPN, servidor de aplicaciones, monitor de la red, o virtualmente cualquier otro rol de la red en el que usted pueda pensar. Es un software libre, y no requiere pagos de licenciamiento.

GNU/Linux es una herramienta muy poderosa que puede ajustarse a una amplia variedad de roles en una infraestructura de red. Agregar una tarjeta inalámbrica y un dispositivo Ethernet a una PC que ejecuta Linux le dará una herramienta muy flexible que puede ayudarlo/a a repartir el ancho de banda y administrar su red a un costo muy bajo.

El equipamiento puede ser desde una computadora portátil reciclada, o una computadora de escritorio, hasta una computadora embebida, tales como un equipo de red Linksys WRT54G, o Mikrotik.



Antes de comenzar, debe estar familiarizado con Linux desde la perspectiva del usuario, y ser capaz de instalar la distribución GNU/Linux de su elección. También se requiere una comprensión básica de la interfaz de línea de comando (terminal) en Linux.

Va a necesitar una computadora con una o más tarjetas inalámbricas instaladas previamente, así como una interfaz Ethernet estándar. Estos ejemplos utilizan una tarjeta y un manejador (driver) específicos, pero hay varios tipos diferentes de tarjetas que pueden funcionar igualmente bien. Las tarjetas inalámbricas basadas en los grupos de chips Atheros y Prism lo hacen particularmente bien.

Estos ejemplos se basan en la versión de Linux Ubuntu, con una tarjeta inalámbrica compatible con los manejadores HostAP o MADWiFi. Para más información acerca de estos manejadores vea: http://hostap.epitest.fi/ y http://madwifi.org/ Para completar estas instalaciones se requiere del siguiente software, el cual debe estar incluido en su distribución Linux:

• Herramientas Inalámbricas (comandos iwconfig, iwlist)
• Cortafuego iptables
• dnsmasq (servidor caché DNS y servidor DHCP)

La potencia de CPU que se requiere depende de cuánto trabajo se tiene que hacer más allá de un simple enrutamiento y NAT. Para muchas aplicaciones una 486 de 133 MHz es perfectamente capaz de enrutar paquetes a las velocidades inalámbricas. Si piensa usar mucha encriptación (como WEP o un servidor VPN), entonces necesita algo más rápido.

Si también quiere implementar un servidor de almacenamiento intermedio (como Squid), necesitará una computadora con mucha más rapidez, espacio de disco y memoria RAM. Un enrutador típico que solo esté realizando NAT puede operar con tan solo 64MB de RAM y almacenamiento.

Cuando armamos una máquina que está pensada para ser parte de una infraestructura de red, debemos tener en cuenta que los discos duros tienen una vida útil limitada en comparación con la mayoría de los otros componentes.

A menudo puede utilizar almacenamiento de estado sólido, como un disco flash, en lugar de un disco duro. Este puede ser una unidad flash USB (suponiendo que su PC pueda arrancar desde USB), o una tarjeta Compact Flash utilizando un adaptador de CF a IDE. Estos adaptadores son bastante económicos, y permiten que una tarjeta CF actúe en apariencia como un disco duro IDE.

Pueden usarse en cualquier PC que admita discos duros IDE. Como no tienen partes móviles, funcionarán por muchos años en un rango mucho más alto de temperaturas de las que puede tolerar un disco duro.





Este es el más simple de los escenarios, y es especialmente útil en situaciones donde usted quiere un único punto de acceso para una oficina. Es el más fácil en una situación donde:

1. Existen un cortafuego y una pasarela (gateway) dedicados ejecutando Linux, y usted sólo quiere agregar una interfaz inalámbrica.

2. Usted dispone de una vieja computadora común o portátil restaurada y prefiere utilizarla como un punto de acceso.

3. Requiere de más potencia en términos de monitoreo, registro y/o seguridad de lo que la mayoría de los puntos de
acceso comerciales le proveen, pero no quiere derrochar en un punto de acceso empresarial.

4. Le gustaría que una única computadora actuara como dos puntos de acceso (y cortafuego) para poder ofrecer un punto de acceso seguro a la intranet, así como acceso abierto a los invitados.

Comience con una computadora ya configurada para ejecutar GNU/Linux. Puede ser una instalación de Ubuntu Servidor, o Fedora Core. Para su funcionamiento, la computadora debe tener al menos dos interfaces, y al menos
una de ellas debe ser inalámbrica. El resto de esta descripción supone que su puerto Ethernet (eth0) está conectado a la Internet, y que hay una interfaz inalámbrica (wlan0) que va a proveer la funcionalidad del punto de acceso.
Para saber si su grupo de chips admite el modo maestro, pruebe con el siguiente comando en modo raíz (root):

# iwconfig wlan0 mode Master

Si obtiene un mensaje de error, su tarjeta inalámbrica no admite el modo de punto de acceso. De todas formas puede probar la misma configuración en el modo ad hoc, que es permitido por todos los grupos de chips. Esto requiere configurar todas las computadoras portátiles que están conectadas al “punto de acceso” en el modo Ad hoc, y puede que no funcione del modo que usted espera. En general es mejor encontrar una tarjeta inalámbrica que admita el modo AP. Para obtener una lista de las tarjetas compatibles, vea los sitios web HostAP y MADWiFi mencionados anteriormente.

Antes de continuar asegúrese de que dnsmasq está instalado en su computadora. Puede utilizar la herramienta de configuración gráfica de su distribución para instalarlo. En Ubuntu puede simplemente correr lo siguiente en modo raíz:

# apt-get install dnsmasq

Configure su servidor para que eth0 esté conectada a Internet. Utilice la herramienta de configuración gráfica que viene con su distribución. Si su red Ethernet usa DHCP, puede probar con el siguiente comando como raíz:

# dhclient eth0

Debe recibir una dirección IP y una pasarela por defecto. Luego arranque su interfaz inalámbrica en el modo Maestro y póngale un nombre de su elección:

# iwconfig wlan0 essid “my network” mode Master enc off

El comando enc off desconecta la encriptación WEP. Para habilitar WEP agregue la clave hexagesimal del largo correcto:

# iwconfig wlan0 essid “my network” mode Master enc 1A2B3C4D5E

Como una alternativa, puede utilizar una clave legible comenzando con “s: ”

# iwconfig wlan0 essid “my network” mode Master enc “s:apple”

Ahora déle a su interfaz inalámbrica una dirección IP en una sub red privada, pero asegúrese de que no sea la misma sub red de la de su adaptador Ethernet:

# ifconfig wlan0 10.0.0.1 netmask 255.255.255.0 broadcast 10.0.0.255 up

Para ser capaces de traducir direcciones entre dos interfaces en la computadora, debemos habilitar el enmascarado (NAT) en el kernel linux.

Primero cargamos el módulo kernel pertinente:

# modprobe ipt_MASQUERADE

Ahora vamos a desactivar todas las reglas del cortafuego existente para asegurarnos de que las mismas no van a bloquearnos al reenviar paquetes entre las dos interfaces. Si tiene un cortafuego activado, asegúrese de que sabe cómo restaurar las reglas existentes antes de proceder.

# iptables –F

Habilite la funcionalidad de NAT entre las dos interfaces:

# iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE

Finalmente, tenemos que habilitar el kernel para reenviar paquetes entre las interfaces:

# echo 1 > /proc/sys/net/ipv4/ip_forward

En las distribuciones de Linux basado en Debian como Ubuntu, este cambio también puede hacerse editando el archivo /etc/network/options, y asegurándose de que ip_forward indique yes:

ip_forward=yes

y luego reiniciar las interfaces de red con:

# /etc/init.d/network restart
ó:
# /etc/init.d/networking restart

En este momento deberíamos tener un punto de acceso en funcionamiento. Puede probarlo conectándose a la red inalámbrica “my network” desde otra computadora a la que le haya asignado una dirección en el mismo rango de
direcciones que su interfaz inalámbrica en el servidor (10.0.0.0/24 si siguió los ejemplos). Si ha habilitado WEP, tenga cuidado de utilizar la misma clave que especificó en el AP. Para que les sea más sencillo a las personas conectarse al servidor sin conocer el rango de direcciones IP, vamos a configurar un servidor DHCP para que maneje automáticamente las direcciones de los clientes inalámbricos.

Con este propósito utilizamos el programa dnsmasq. Como su nombre lo indica, provee un servidor DNS interino (caching) así como un servidor DHCP. Este programa fue desarrollado específicamente para el uso con cortafuegos que realizan NAT. Si su conexión a Internet tiene una alta latencia y/o un ancho de banda bajo, como conexión por discado (dial-up), o un VSAT, el tener un servidor DNS interino es de mucha utilidad. Esto significa que muchas consultas DNS pueden resolverse localmente, ahorrándole mucho tráfico a la conexión a Internet, y al mismo tiempo hace que la conexión se sienta notablemente más rápida.

Instale dnsmasq con el paquete de administración de la distribución. Si dnsmasq no está disponible como un paquete, descargue el código fuente e instálelo manualmente. Lo puede obtener en: http://thekelleys.org.uk/dnsmasq/doc.html

Todo lo que necesitamos para ejecutar dnsmasq es editar unas pocas líneas de su archivo de configuración, /etc/dnsmasq.conf. El archivo de configuración está bien documentado, y tiene muchas opciones para varios tipos de configuración. Para tener el servidor básico DHCP en funcionamiento debemos quitar los comentarios y/o editar dos líneas.

Encuentre las líneas que comienzan de este modo:

interface=

Y asegúrese de que digan:

interface=wlan0

cambiando wlan0 para que corresponda con el nombre de su interfaz inalámbrica. Luego encuentre las líneas que comienzan con:

#dhcp-range=

Quite el indicador de comentario de la línea y edítela para abarcar las direcciones pertinentes, por ej.:

dhcp-range=10.0.0.10,10.0.0.110,255.255.255.0,6h

Luego guarde el archivo, e inicie dnsmasq:

# /etc/init.d/dnsmasq start

En este momento, debe ser capaz de conectarse al servidor como un punto de acceso, y obtener una dirección IP utilizando DHCP. Esto le debe permitir conectarse a Internet a través del servidor.



Configure un cortafuego:

Una vez configurado y probado, se pueden agregar reglas de cortafuego utilizando la herramienta de cortafuego incluida en su distribución. Algunos gestores para configurar reglas del cortafuego son:

• Firestarter: un cliente gráfico para Gnome, que requiere que su servidor ejecute Gnome.

• Knetfilter: un cliente gráfico para KDE, el cual requiere que su servidor ejecute KDE.

• Shorewall: conjunto de guiones y archivos de configuración que van a facilitar la configuración de los cortafuegos iptables. También hay gestores para shorewall, como el webmin-shorewall.

• Fwbuilder: una herramienta gráfica poderosa, pero ligeramente compleja que le permite crear guiones iptables en otra computadora, y luego transferirlos al servidor. Esto evita la necesidad de una interfaz gráfica en el servidor, y es una opción de seguridad más robusta.

Una vez que todo está configurado de forma correcta, revise que todas las configuraciones estén reflejadas en el guión de arranque del sistema. De esta forma sus cambios seguirán funcionando aunque la computadora deba
ser reiniciada.