Differenze tra le versioni di "Rete del GOLEM"

Da GolemWiki.
Jump to navigation Jump to search
(Riportata riconfigurazione della rete, spostata parte VLAN)
Riga 1: Riga 1:
 
In questa pagina sono raccolte tutte le informazioni relative alla struttura della rete LAN/Internet dell'[[Officina Informatica]].
 
In questa pagina sono raccolte tutte le informazioni relative alla struttura della rete LAN/Internet dell'[[Officina Informatica]].
Al momento la rete è in implementazione.
+
Al momento la rete è in fase di testing.
  
 
== Esigenze ==
 
== Esigenze ==
Riga 9: Riga 9:
 
* '''LAN''' - Abbiamo a disposizione 12 porte ethernet nelle sale dell'Officina;
 
* '''LAN''' - Abbiamo a disposizione 12 porte ethernet nelle sale dell'Officina;
 
* '''WiFi interna''' - Oltre alla Ethernet LAN servirà un ulteriore dispositivo per la connessione tramite dispositivi wireless (WLAN);
 
* '''WiFi interna''' - Oltre alla Ethernet LAN servirà un ulteriore dispositivo per la connessione tramite dispositivi wireless (WLAN);
* '''Server/Caching''' - Si vorrebbe usare il minicomputer [[A10-OLinuXino-LIME | OLinuXino]] sia come semplice server locale (storage di dati condivisi) che come sistema di cache per aggiornare sistemi debian-based ([[apt-cacher]] o simili) e non. Il traffico di rete dovrà attraversare l'Olinuxino.
+
* '''Server/Caching''' - Si vorrebbe usare un server locale sia come semplice server locale (storage di dati condivisi) che come sistema di cache HTTP/DEB utile soprattutto per aggiornare rapidamente sistemi Linux (si veda [[apt-cacher]] o simili). Il traffico di rete dovrà attraversare il server.
  
 
== Materiali a disposizione ==
 
== Materiali a disposizione ==
* Antenne per ponte radio e relativi router (presumibilmente Mikrotik)
+
* Antenne per ponte radio e relativi router;
* Switch Allied Telesyn (24 porte)
+
* Switch Allied Telesyn (24 porte);
* Mikrotik RouterBoard 433 (per WLAN) ?
+
* PC generico ad uso server (doppia scheda eth, scheda wireless b/g);
* [[A10-OLinuXino-LIME | OLinuXino A10 LIME]]
+
* <del>Mikrotik RouterBoard 433 (per WLAN)</del>
 +
* <del>[[A10-OLinuXino-LIME | OLinuXino A10 LIME]]</del>
  
== Cenni VLAN ==
+
== Configurazione del Server ==
<!-- <div style="padding: 1em;border: 1px dashed #2f6fab;color: black;background-color: #f9f9f9;"> -->
 
VLAN = Virtual LAN, insieme di tecnologie che permettono di suddividere una rete basata su switch, in più reti logicamente non comunicanti tra loro, ma che condividono la stessa infrastuttura fisica.
 
(riadattato da Wikipedia)
 
  
Noi creeremo due VLAN (interna = #1 = LAN locale ed esterna = #2 = verso il ponte radio). I membri di una VLAN non possono comunicare con quelli dell'altra VLAN (le informazioni trasmesse vengono automaticamente ''taggate'' dallo switch con l'ID della VLAN di partenza). I membri di entrambe le VLAN (per noi l'OlinuXino) devono ''taggare'' manualmente i pacchetti per notificare allo switch su quale VLAN indirizzarli.
+
Nell'attuale configurazione si tratta di comune PC:
<!-- </div> -->
+
* CPU: P4 @ 2.40GHz
 +
* RAM: 1Gb
 +
* Hard Disk: 250 Gb
  
== Piano d'azione ==
+
Il suo mestiere è separare rete interna da rete esterna (router), effettuare il DHCP sulla rete interna, condividere la rete wireless, fare la [[ Apt-cacher | cache dei pacchetti ]] e collegarsi ad un server [[VPN del GOLEM| VPN]] per accedervi dall'esterno.
Poiché OLinuXino ha una sola scheda di rete fisica, si configura lo switch per supportare due VLAN (Virtual LAN) (isolate fra loro: come fossero LAN gestite da due switch diversi, ndr).
 
* VLAN#1 - Antenna WLAN e porte ethernet LAN fanno parte della VLAN interna
 
* VLAN#2 - Il ponte radio fa parte della VLAN esterna
 
  
OLinuXino appartiene ad entrambe e funge da router di collegamento. OLinuXino sarà sicuramente anche il gateway predefinito per le macchine della VLAN#1, ed anche il loro server DNS. Inoltre, farà anche da server DHCP.
+
=== Proxy+cacher ===
  
OLinuXino dovrà gestire le due VLAN. Anche se ha una sola scheda di rete fisica, esso è cosciente dell'esistenza delle due VLAN, perciò si "sdoppia" la scheda di rete fisica in due schede virtuali, una per ogni VLAN.
+
La configurazione è spiegata alla pagina [[Apt-cacher]]. Si usa il solo squid per la cache e netmasq come DHCP server (e server DNS) anziché dhcpd.
  
=== Configurazione VLAN su switch ===
+
A titolo di reference si riportano i files di configurazione di rilievo, privati dei commenti e già adattati alla presenza della rete wireless condivisa:
[[Image:Switchone-config.jpeg|300px|right]]
 
* Creazione due VLAN:
 
** ID #1 - interno
 
** ID #2 - esterno
 
* Si imposta per ogni porta il PVID (Port VLAN IDentifier), ossia si informa lo switch a quale delle due VLAN appartiene la porta ''per default''. Le porte dalla 1 alla 21 hanno PVID #1 (danno verso l'interno), dalla 22 alla 24 hanno PVID #2 (danno verso l'esterno).
 
* Poi si imposta la porta 22 sia come membro della VLAN #2 (lo è già per default) che per la VLAN #1. Per default si ha che la porta 22 è:
 
** '''untagged''' per la VLAN #2 (informazioni non taggate vengono riportate sulla VLAN #2);
 
** '''tagged''' per la VLAN #1 (ossia per spedire informazioni sulla VLAN #1 l'OlinuXino dovrà saperle taggare);
 
* Lo stesso si è fatto per la 23, ma al momento è inutilizzata.
 
  
== Configurazione OLinuXino ==
+
  '''squid - /etc/squid3/squid.conf'''
=== VLAN ===
+
Installare il pacchetto <code>vlan</code>
+
acl SSL_ports port 443
  # apt-get install vlan
+
  acl Safe_ports port 80          # http
 
+
  acl Safe_ports port 21          # ftp
Abilitare il modulo per il protocollo 8021q e inserirlo per il caricamento all'avvio.
+
acl Safe_ports port 443        # https
 
+
acl Safe_ports port 70          # gopher
'''Nota''': questo non è necessario sul '''nostro''' OLinuXino, perché il modulo è linkato staticamente.
+
acl Safe_ports port 210        # wais
 
+
acl Safe_ports port 1025-65535 # unregistered ports
  # modprobe 8021q
+
  acl Safe_ports port 280        # http-mgmt
  # echo 8021q >> /etc/modules
+
  acl Safe_ports port 488        # gss-http
 
+
  acl Safe_ports port 591        # filemaker
Configurare il file ''/etc/network/interfaces''
+
  acl Safe_ports port 777        # multiling http
 
+
  acl CONNECT method CONNECT
  # VLAN 2 - Untagged. Prendi il DCHP dalla rete esterna
+
  acl our_networks src 192.168.'''xx'''.0/24
  auto eth0
+
http_access allow our_networks
  iface eth0 inet dhcp
+
http_access deny !Safe_ports
 
+
http_access deny CONNECT !SSL_ports
  # VLAN 1 - Bisogna taggare. Mi dò un IP statico
+
http_access allow localhost manager
  auto eth0.1
+
http_access deny manager
  iface eth0.1 inet static
+
http_access allow localhost
  address 192.168.5.10
+
http_access deny all
netmask 255.255.255.0
+
http_port 192.168.'''xx.yy''':3128 transparent
vlan-raw-device eth0
+
maximum_object_size 400 MB
 
+
  cache_dir ufs /var/spool/squid3 60000 16 256
La dicitura ''eth0.1'' indica la VLAN 1, che è raggiungibile fisicamente attraverso ''eth0''.
+
coredump_dir /var/spool/squid3
 
+
  refresh_pattern deb$            1576800 100%    1576800
'''In breve''': l'OlinuXino, come detto prima, deve saper taggare i pacchetti per poter dialogare contemporaneamente con l'interno e con l'esterno. Ora, poiché la porta dove è connesso (22) è ''untagged'' per VLAN #2 ciò che lui butta in rete va di per sé verso tale VLAN (l'esterno). Per la VLAN #1 invece l'informazione deve essere taggata, da qui la seconda parte del file ''interfaces''.
+
  refresh_pattern Packages.gz$    1440    100%    1440
 
+
  refresh_pattern pkg.tar.xz$    43200  100%    43200
=== DHCP Server ===
+
refresh_pattern ^ftp:          1440    20%    10080
L'OLinuXino si deve occupare di assegnare gli indirizzi IP sulla rete ''interna'' VLAN 1. Poiché si dovrà occupare anche di rispondere alle richieste DNS provenienti dalla rete ''interna'' VLAN 1, installiamo ''dnsmasq'', che fa tutto lui.
+
refresh_pattern ^gopher:       1440    0%      1440
 
+
refresh_pattern -i (/cgi-bin/|\?) 0    0%      0
  # apt-get install dnsmasq
+
refresh_pattern .               360    20%    4320
 
 
Modifichiamo ''/etc/dnsmasq.conf'':
 
 
 
  # Accettare le richieste solo su questa interfaccia di rete
 
  interface=eth0.1
 
 
 
  # Assegnare gli indirizzi IP di questo intervallo
 
dhcp-range=192.168.5.101,192.168.5.254,12h
 
 
 
Automaticamente, ai computer che richiedono un indirizzo IP, viene anche comunicato anche:
 
* Indirizzo del gateway (OLinuXino)
 
* Indirizzo del server DNS (OLinuXino)
 
Se questi servizi non risiedono sull'OLinuXino, spulciare ''dnsmasq.conf'' per modificare questo comportamento (a noi non interessa).
 
 
 
=== DNS Server ===
 
Lo fa già da sé, ma nel file ''dnsmasq.conf'' decommentiamo anche queste due linee per non far uscire inutilmente query DNS che non potranno essere risolte da nessuno:
 
  
 +
'''dnsmasq - /etc/dnsmasq.conf'''
 +
 
  domain-needed
 
  domain-needed
 
  bogus-priv
 
  bogus-priv
 +
interface=br0
 +
dhcp-range=192.168.'''xx'''.101,192.168.'''xx'''.254,12h
  
=== Squid ===
+
'''script iptables'''
Installare ''Squid'' per tenere una copia di tutto il traffico HTTP, che a questo punto passa attraverso l'OLinuXino.
+
   
  # apt-get install squid3
 
Vedere [[Apt-cacher#Squid-Only | Squid]].
 
 
 
=== Firewall ===
 
Script per il firewall, per mandare i pacchetti sulla 80 (HTTP) a Squid, e gli altri direttamente fuori.
 
 
 
 
  #!/bin/sh
 
  #!/bin/sh
  # Squid server IP
+
  SQUID_SERVER="192.168.5.10"
+
  # IP dello Squid server
 +
  SQUID_SERVER="192.168.'''xx.yy'''"
 
   
 
   
 
  # Interface connected to Internet
 
  # Interface connected to Internet
  INTERNET="eth0"
+
  INTERNET="ethE"
 
   
 
   
 
  # Interface connected to LAN
 
  # Interface connected to LAN
  LAN_IN="eth0.1"
+
  LAN_IN="br0"
 
   
 
   
 
  # Squid port
 
  # Squid port
Riga 134: Riga 105:
 
  echo 1 > /proc/sys/net/ipv4/ip_forward
 
  echo 1 > /proc/sys/net/ipv4/ip_forward
 
   
 
   
  # Set this system as a router for rest of LAN
+
  # Set this system as a router for Rest of LAN
 
  iptables -t nat -A POSTROUTING -o $INTERNET -j MASQUERADE
 
  iptables -t nat -A POSTROUTING -o $INTERNET -j MASQUERADE
 
   
 
   
  # DNAT port 80 request coming from LAN systems to squid 3128 ($SQUID_PORT), aka transparent proxy
+
  # DNAT port 80 request coming from LAN to ( $SQUID_PORT ), aka transparent proxy
 
  iptables -t nat -A PREROUTING -i $LAN_IN -p tcp --dport 80 -j DNAT --to $SQUID_SERVER:$SQUID_PORT
 
  iptables -t nat -A PREROUTING -i $LAN_IN -p tcp --dport 80 -j DNAT --to $SQUID_SERVER:$SQUID_PORT
 
  iptables -t nat -A PREROUTING -i $INTERNET -p tcp --dport 80 -j REDIRECT --to-port $SQUID_PORT
 
  iptables -t nat -A PREROUTING -i $INTERNET -p tcp --dport 80 -j REDIRECT --to-port $SQUID_PORT
  
==Bibliografia==
+
Sostituire con '''xx''' ed '''yy''' i parametri di rete corretti.
* [https://it.wikipedia.org/wiki/VLAN VLAN | Wikipedia]
+
 
* [http://www.netsetup.it/networking-livello2/porte-tagged-untagged PVID, tagged, untagged | NetSetup]
+
=== Condivisione rete Wireless ===
* [https://wiki.debian.org/it/NetworkConfiguration Configurazione VLAN | Debian Wiki]
+
 
 +
Per impostare la scheda WiFi in modalità Access Point si fa uso di <code>hostapd</code>.
 +
Prima di tutto bisogna verificare se la scheda di rete supporta tale modalità
 +
 
 +
# '''iw list'''
 +
 +
Supported interface modes:
 +
    * IBSS
 +
    * managed
 +
    * AP                <===
 +
    * AP/VLAN
 +
    * WDS
 +
    * monitor
 +
    * mesh point
 +
 
 +
La scheda wireless deve essere esattamente al pari dell'interfaccia ethernet interna (<code>ethI</code>), dunque si legano entrambe in un bridge. In questo modo entrambi i devices saranno visti da squid, iptables, etc.. come un singolo oggetto.
 +
 
 +
# '''nano /etc/network/interfaces'''
 +
 +
# Interfaccia di rete esterna
 +
allow-hotplug ethE
 +
auto ethE
 +
iface ethE inet dhcp
 +
 +
# Interfaccia di rete interna al GOLEM
 +
allow-hotplug ethI
 +
auto ethI
 +
iface ethI inet static
 +
        address 0.0.0.0
 +
 +
# Ponte/Bridge per il WiFi
 +
auto br0
 +
iface br0 inet static
 +
        address '''192.168.xx.yy'''
 +
        netmask 255.255.255.0
 +
        bridge_ports ethI
 +
 
 +
Naturalmente in luogo di <code>address 192.168.xx.yy</code> dovrà essere posto l'IP statico del server.
 +
Non si inserisce qui l'interfaccia wireless perché sarà <code>hostapd</code> a fare i dovuti settaggi e ad aggiungerla al bridge, operando come segue:
 +
 
 +
# '''nano /etc/hostapd/hostapd.conf'''
 +
 +
# Interfaccia di rete
 +
interface=wlan0
 +
driver=nl80211
 +
 +
# Nome della rete (SSID)
 +
ssid=GOLEM-WiFi
 +
hw_mode=g
 +
 +
# Canale di trasmissione
 +
channel=6
 +
macaddr_acl=0
 +
 +
# Righe per la protezione
 +
auth_algs=1
 +
ignore_broadcast_ssid=0
 +
wpa=2
 +
 +
# Password del WiFi
 +
wpa_passphrase=''password''
 +
 +
wpa_key_mgmt=WPA-PSK
 +
wpa_pairwise=TKIP
 +
rsn_pairwise=CCMP
 +
 +
# aggiunge l'interfaccia al bridge
 +
bridge=br0
 +
 
 +
== Fatti storici ==
 +
 
 +
* Tanto tempo fa, in un'Officina lontana, la gestione della rete era affidata al serverone, che ora giace defunto nel magazzino;
 +
* Durante la permanenza temporanea in ex-Ospedale Vecchio si è fatto uso di un [[A10-OLinuXino-LIME | OLinuXino A10 LIME]];
 +
* Di ritorno alla Vela, attuale Officina, si è sperimentata una soluzione [[A10-OLinuXino-LIME | OLinuXino ]] + [[VLAN]], ma per praticità di gestione è stata scartata;
  
 
[[Category:Officina]]
 
[[Category:Officina]]
 
[[Category:Howto]]
 
[[Category:Howto]]

Versione delle 21:20, 18 mar 2017

In questa pagina sono raccolte tutte le informazioni relative alla struttura della rete LAN/Internet dell'Officina Informatica. Al momento la rete è in fase di testing.

Esigenze

Struttura beta della rete
  • Ponte radio - Poiché non arriva cavo telefonico all'Officina, è necessario realizzare una connessione a distanza con un modem/router interno all'area della vela. Si userà un ponte radio bridge presumibilmente a 5GHz;
  • Separazione delle reti - Rete interna GOLEM e rete esterna (ponte radio/gateway esterno) devono essere separate;
  • LAN - Abbiamo a disposizione 12 porte ethernet nelle sale dell'Officina;
  • WiFi interna - Oltre alla Ethernet LAN servirà un ulteriore dispositivo per la connessione tramite dispositivi wireless (WLAN);
  • Server/Caching - Si vorrebbe usare un server locale sia come semplice server locale (storage di dati condivisi) che come sistema di cache HTTP/DEB utile soprattutto per aggiornare rapidamente sistemi Linux (si veda apt-cacher o simili). Il traffico di rete dovrà attraversare il server.

Materiali a disposizione

  • Antenne per ponte radio e relativi router;
  • Switch Allied Telesyn (24 porte);
  • PC generico ad uso server (doppia scheda eth, scheda wireless b/g);
  • Mikrotik RouterBoard 433 (per WLAN)
  • OLinuXino A10 LIME

Configurazione del Server

Nell'attuale configurazione si tratta di comune PC:

  • CPU: P4 @ 2.40GHz
  • RAM: 1Gb
  • Hard Disk: 250 Gb

Il suo mestiere è separare rete interna da rete esterna (router), effettuare il DHCP sulla rete interna, condividere la rete wireless, fare la cache dei pacchetti e collegarsi ad un server VPN per accedervi dall'esterno.

Proxy+cacher

La configurazione è spiegata alla pagina Apt-cacher. Si usa il solo squid per la cache e netmasq come DHCP server (e server DNS) anziché dhcpd.

A titolo di reference si riportano i files di configurazione di rilievo, privati dei commenti e già adattati alla presenza della rete wireless condivisa: 

squid - /etc/squid3/squid.conf

acl SSL_ports port 443
acl Safe_ports port 80          # http
acl Safe_ports port 21          # ftp
acl Safe_ports port 443         # https
acl Safe_ports port 70          # gopher
acl Safe_ports port 210         # wais
acl Safe_ports port 1025-65535  # unregistered ports
acl Safe_ports port 280         # http-mgmt
acl Safe_ports port 488         # gss-http
acl Safe_ports port 591         # filemaker
acl Safe_ports port 777         # multiling http
acl CONNECT method CONNECT
acl our_networks src 192.168.xx.0/24
http_access allow our_networks
http_access deny !Safe_ports
http_access deny CONNECT !SSL_ports
http_access allow localhost manager
http_access deny manager
http_access allow localhost
http_access deny all
http_port 192.168.xx.yy:3128 transparent
maximum_object_size 400 MB
cache_dir ufs /var/spool/squid3 60000 16 256
coredump_dir /var/spool/squid3
refresh_pattern deb$            1576800 100%    1576800
refresh_pattern Packages.gz$    1440    100%    1440
refresh_pattern pkg.tar.xz$     43200   100%    43200
refresh_pattern ^ftp:           1440    20%     10080
refresh_pattern ^gopher:        1440    0%      1440
refresh_pattern -i (/cgi-bin/|\?) 0     0%      0
refresh_pattern .               360     20%     4320

dnsmasq - /etc/dnsmasq.conf

domain-needed
bogus-priv
interface=br0
dhcp-range=192.168.xx.101,192.168.xx.254,12h

script iptables

#!/bin/sh

# IP dello Squid server
SQUID_SERVER="192.168.xx.yy"

# Interface connected to Internet
INTERNET="ethE"

# Interface connected to LAN
LAN_IN="br0"

# Squid port
SQUID_PORT="3128"

# Clean old firewall
iptables -F
iptables -X
iptables -t nat -F
iptables -t nat -X
iptables -t mangle -F
iptables -t mangle -X

# Load IPTABLES modules for NAT and IP conntrack support
modprobe ip_tables
modprobe ip_conntrack
modprobe iptable_nat
modprobe ipt_MASQUERADE
echo 1 > /proc/sys/net/ipv4/ip_forward

# Set this system as a router for Rest of LAN
iptables -t nat -A POSTROUTING -o $INTERNET -j MASQUERADE

# DNAT port 80 request coming from LAN to ( $SQUID_PORT ), aka transparent proxy
iptables -t nat -A PREROUTING -i $LAN_IN -p tcp --dport 80 -j DNAT --to $SQUID_SERVER:$SQUID_PORT
iptables -t nat -A PREROUTING -i $INTERNET -p tcp --dport 80 -j REDIRECT --to-port $SQUID_PORT

Sostituire con xx ed yy i parametri di rete corretti.

Condivisione rete Wireless

Per impostare la scheda WiFi in modalità Access Point si fa uso di hostapd. Prima di tutto bisogna verificare se la scheda di rete supporta tale modalità 

# iw list

Supported interface modes:
    * IBSS
    * managed
    * AP                 <===
    * AP/VLAN
    * WDS
    * monitor
    * mesh point

La scheda wireless deve essere esattamente al pari dell'interfaccia ethernet interna (ethI), dunque si legano entrambe in un bridge. In questo modo entrambi i devices saranno visti da squid, iptables, etc.. come un singolo oggetto. 

# nano /etc/network/interfaces

# Interfaccia di rete esterna
allow-hotplug ethE
auto ethE
iface ethE inet dhcp

# Interfaccia di rete interna al GOLEM
allow-hotplug ethI
auto ethI
iface ethI inet static
        address 0.0.0.0

# Ponte/Bridge per il WiFi
auto br0
iface br0 inet static
        address 192.168.xx.yy
        netmask 255.255.255.0
        bridge_ports ethI

Naturalmente in luogo di address 192.168.xx.yy dovrà essere posto l'IP statico del server. Non si inserisce qui l'interfaccia wireless perché sarà hostapd a fare i dovuti settaggi e ad aggiungerla al bridge, operando come segue: 

# nano /etc/hostapd/hostapd.conf

# Interfaccia di rete
interface=wlan0
driver=nl80211

# Nome della rete (SSID)
ssid=GOLEM-WiFi
hw_mode=g

# Canale di trasmissione
channel=6
macaddr_acl=0

# Righe per la protezione
auth_algs=1
ignore_broadcast_ssid=0
wpa=2

# Password del WiFi
wpa_passphrase=password

wpa_key_mgmt=WPA-PSK
wpa_pairwise=TKIP
rsn_pairwise=CCMP

# aggiunge l'interfaccia al bridge
bridge=br0

Fatti storici

  • Tanto tempo fa, in un'Officina lontana, la gestione della rete era affidata al serverone, che ora giace defunto nel magazzino;
  • Durante la permanenza temporanea in ex-Ospedale Vecchio si è fatto uso di un OLinuXino A10 LIME;
  • Di ritorno alla Vela, attuale Officina, si è sperimentata una soluzione OLinuXino + VLAN, ma per praticità di gestione è stata scartata;
Estratto da "https://wiki.golem.linux.it/index.php?title=Rete_del_GOLEM&oldid=7119"