Linksys WRT54GS
Comprei um roteador/wireless da linksys, modelo WRT54GS, versão 2.1. Quando comprei, já sabia que essas maquininhas eram fantásticas, mas ainda não tinha completa idéia de tudo o que elas podiam fazer. Eu estou realmente impressionado com o poder de um equipamento desses rodando linux!!!
Eu fui mexendo aos poucos, pra ir acostumando e pra não transformá-la em um peso de papel com tanto upgrade de firmwares pra lá e pra cá. Vou poupar os leitores e ir direto ao assunto, meu setup anterior e meu setup atual:
O que tenho:
1) Um servidor Shuttle SV24, que só tem uma porta de rede onboard e não tem capacidade de expansão.
2) Um roteador Linksys WRT54GS v2.1 com firmware trocada para Sveasoft Talisman 1.11devsnap1221 (é paga, veja em www.sveasoft.com)
3) Um switch comum, de 8 portas, da encore (aqueles que custam 40 reais na esquina)
4) Um monte de outras coisas ligadas nesse switch (um ATA-VOIP, mais 3 micros, um modem adsl, entre outros).
Meu setup anterior era: tudo isso plugado no switch. O Linksys era usado apenas como AP, e me dava acesso direto à rede interna. O servidor falava PPPoE direto com o modem adsl, que está em modo bridge (e o IP real fica na ppp0 do micro). O modem não está numa placa de rede separada (não percisa, e eu não tinha uma sobrando mesmo).
Problema: eu queria dar acesso aos meus vizinhos pelo wireless, mas eu nunca iria os deixar acessar minha intranet.
Solução: colocar outro AP do lado de fora, ou...
Setup atual: desativei a porta WAN do linksys e passei ela para pro grupo das 4 portas LAN, ficando com 5 portas LANs. Configurei a porta 0 como TRUNK e criei duas VLANs, números 0 e 7. A 0 ficou sendo a original e a 7 ficou sendo a minha VLAN da intranet. Criei 2 APs virtuais, com SSIDs diferentes (token-hotspot e tokenlabs), e num deles coloquei WEP com uma chavezinha vagabunda e no outro WPA com uma chave bem nervosa. Atachei o AP "token-hotspot" na VLAN 0, e o AP "tokenlabs" na VLAN 7. Desliguei o roteamento entre as VLANs. No lado do linux, configurei as mesmas VLANs (que parecem como eth0.0 e eth0.7), e a partir desse momento eu tinha acesso independente para cada segmento de rede, onde em cada um deles eu tinha o próprio AP (acessado pelos ips que ele tem em cada rede) e um dos APs virtuais. Peguei as outras 4 portas do switch e configurei duas delas para a VLAN 0 e as outras duas para VLAN 7 (não em modo trunk, mas em modo nornal, de-tagged, elas apenas fazem parte da VLAN). Pluguei o meu antigo switch com o resto das máquinas numa das duas portas que estava na VLAN 7.
Pronto!!!!
Agora tenho acesso à minha intrante diretamente, como antes, mas também tenho um AP virtual externo, que chega no servidor por outra interface de rede (a interface lógica da VLAN 7), que força os usuários a passar por um firewall antes de chegar na internet (e mais importante: nunca chegam na minha intranet). Também posso fazer QoS/shaping nessa interface, controlando a banda usada por meus vizinhos de apartamento (a idéia desse setup todo é vender acesso aos vizinhos).
Também estou pensando em criar um terceiro AP virtual, totalmente aberto, numa terceira VLAN, que acessa apenas web e com uma banda bastante restrita (algo como 30 kbit/s) para os visitantes e aventureiros que encontrem a rede aberta e precisem acessar a internet rapidamente. Quem sabe eles passem por uma página web (forçadamente) antes explicando que a rede é minha e que o acesso é limitado mas é livre. Afinal, meu adsl é bastante subutilizado mesmo...
Se você está pensando em comprar um AP e tem necessidade de recursos avançados, compre um desses routers... Uma vez dentro dele, é o linux que você já conhece, dá pra fazer qualquer coisa!!! Iptables, cron, filesystem smb remoto, ferramentas de rede, ebtables, bridges, scripting shell, etc. Sinta-se em casa.
Cuidado: não compre as versões G e nem o GS 4.0. Dê preferência para os GS 2.0, 2.1 e 3.0. O hardware teve modificações e o do GS 4.0 é pior do que os anteriores. Em hipótese alguma compre o G 5.0. A versão está escrita em baixo, não precisa abrir.
É isso aí. Se eu fizer mais alguma coisa legal eu blogo depois.
Abraço,
token
Eu fui mexendo aos poucos, pra ir acostumando e pra não transformá-la em um peso de papel com tanto upgrade de firmwares pra lá e pra cá. Vou poupar os leitores e ir direto ao assunto, meu setup anterior e meu setup atual:
O que tenho:
1) Um servidor Shuttle SV24, que só tem uma porta de rede onboard e não tem capacidade de expansão.
2) Um roteador Linksys WRT54GS v2.1 com firmware trocada para Sveasoft Talisman 1.11devsnap1221 (é paga, veja em www.sveasoft.com)
3) Um switch comum, de 8 portas, da encore (aqueles que custam 40 reais na esquina)
4) Um monte de outras coisas ligadas nesse switch (um ATA-VOIP, mais 3 micros, um modem adsl, entre outros).
Meu setup anterior era: tudo isso plugado no switch. O Linksys era usado apenas como AP, e me dava acesso direto à rede interna. O servidor falava PPPoE direto com o modem adsl, que está em modo bridge (e o IP real fica na ppp0 do micro). O modem não está numa placa de rede separada (não percisa, e eu não tinha uma sobrando mesmo).
Problema: eu queria dar acesso aos meus vizinhos pelo wireless, mas eu nunca iria os deixar acessar minha intranet.
Solução: colocar outro AP do lado de fora, ou...
Setup atual: desativei a porta WAN do linksys e passei ela para pro grupo das 4 portas LAN, ficando com 5 portas LANs. Configurei a porta 0 como TRUNK e criei duas VLANs, números 0 e 7. A 0 ficou sendo a original e a 7 ficou sendo a minha VLAN da intranet. Criei 2 APs virtuais, com SSIDs diferentes (token-hotspot e tokenlabs), e num deles coloquei WEP com uma chavezinha vagabunda e no outro WPA com uma chave bem nervosa. Atachei o AP "token-hotspot" na VLAN 0, e o AP "tokenlabs" na VLAN 7. Desliguei o roteamento entre as VLANs. No lado do linux, configurei as mesmas VLANs (que parecem como eth0.0 e eth0.7), e a partir desse momento eu tinha acesso independente para cada segmento de rede, onde em cada um deles eu tinha o próprio AP (acessado pelos ips que ele tem em cada rede) e um dos APs virtuais. Peguei as outras 4 portas do switch e configurei duas delas para a VLAN 0 e as outras duas para VLAN 7 (não em modo trunk, mas em modo nornal, de-tagged, elas apenas fazem parte da VLAN). Pluguei o meu antigo switch com o resto das máquinas numa das duas portas que estava na VLAN 7.
Pronto!!!!
Agora tenho acesso à minha intrante diretamente, como antes, mas também tenho um AP virtual externo, que chega no servidor por outra interface de rede (a interface lógica da VLAN 7), que força os usuários a passar por um firewall antes de chegar na internet (e mais importante: nunca chegam na minha intranet). Também posso fazer QoS/shaping nessa interface, controlando a banda usada por meus vizinhos de apartamento (a idéia desse setup todo é vender acesso aos vizinhos).
Também estou pensando em criar um terceiro AP virtual, totalmente aberto, numa terceira VLAN, que acessa apenas web e com uma banda bastante restrita (algo como 30 kbit/s) para os visitantes e aventureiros que encontrem a rede aberta e precisem acessar a internet rapidamente. Quem sabe eles passem por uma página web (forçadamente) antes explicando que a rede é minha e que o acesso é limitado mas é livre. Afinal, meu adsl é bastante subutilizado mesmo...
Se você está pensando em comprar um AP e tem necessidade de recursos avançados, compre um desses routers... Uma vez dentro dele, é o linux que você já conhece, dá pra fazer qualquer coisa!!! Iptables, cron, filesystem smb remoto, ferramentas de rede, ebtables, bridges, scripting shell, etc. Sinta-se em casa.
Cuidado: não compre as versões G e nem o GS 4.0. Dê preferência para os GS 2.0, 2.1 e 3.0. O hardware teve modificações e o do GS 4.0 é pior do que os anteriores. Em hipótese alguma compre o G 5.0. A versão está escrita em baixo, não precisa abrir.
É isso aí. Se eu fizer mais alguma coisa legal eu blogo depois.
Abraço,
token
posted by Token at 16:21
4 comments
