Stavíme bezdrátovou síť - II

24. 9. 2004 | Milan Sedláček | Sítě | 24956×

Úvod

Z minulého dílu tohoto seriálu už můžeme předpokládat, že máme postavený odpovídající počítač s minimálně jednou PCI síťovou kartou a jednou bezdrátovou Wi-Fi kartou podporující modul ORINOCO_PCI. Konkrétně jsem doporučoval velmi kvalitní karty XI-626 s regulací výkonu a XI-325 do PCMCIA slotu. V tomto článku si dnes podrobně rozebereme konfiguraci jednotlivých síťových adaptérů, přiřazení adres, připojení k internetu, řekneme si, co znamená předávání paketů a vše si odzkoušíme.

Konfigurace

Instalace

Z minulého dílu pokračujeme distribucí Mandrake Linux 9.2. Nebudu zde samozřejmě popisovat kompletní instalaci systému, to by bylo na několik dalších dílů.

Nejjednodušší je nabootovat přímo z CD a instalační průvodce vás v grafickém režimu provede kompletní instalací (grafický režim při instalaci neznamená, že instalujete grafické rozhraní KDE či GNOME). Samozřejmě zvolíme v instalaci textový režim a zaškrtneme nainstalovat balíčky pro servery, které hodláme používat. To už je na každém zvlášť (někdo bude chtít tento access point používat ještě jako web server, poštovní server nebo jako souborový server).

Rozdělení disku můžeme s klidným svědomým nechat na instalátoru. Pokud má někdo speciální požadavky, je to samozřejmě na něm. Po instalaci vybraných balíčků zadáme superuživatelské heslo pro root. Vzhledem k bezpečnosti bych doporučoval pro heslo zvolit alespoň dvě znakové sady (písmena a číslice, velká a malá písmena). Jestliže se budete k serveru často přihlašovat, je dobré vytvořit si pro sebe účet a na root se přihlašovat jen v případech, kdy to jinak nejde. Jestě bych doporučil nainstalovat Midnight Commander. Je to program podobný Norton Commanderu z DOSu a začátečníkovi mnohé usnadní. Jediná nevýhoda je v tom, že umožňuje mazání souborů bez zpětného dohledání, takže je to výborný nástroj i pro potenciálního útočníka na váš systém.

Hostname

Po prvním úspěšném přihlášení nastavíme jméno počítače tzv. HOSTNAME. Konfigurační soubor je v /etc/hosts. K jeho editaci mužeme použít třeba Emacs nebo Vim, ale postačí i Midnight Commander. Princip stejně spočívá jen v tom, že špatně zapomatovatelným adresám přiřazujeme jména.

Síťová rozhraní

Při použití mnou doporučovaných komponent a distribuce můžeme s klidem přenechat nalezení všech karet a jejich instalaci systému a po prvním přihlášení je máme nainstalované a funkční. Bezdrátové karty jsou přece jen zrádnější, tak pro pořádek uvedu jejich přidání.

Zavede modul pro ovládaní bezdrátové karty. Platí pro karty s chipsetem Orinoco.

Teď musíme jednotlivým rozhraním přiřadit jejich IP adresy. Pro síťovou kartu dostaneme IP adresu buď přidělenou od poskytovatele internetu nebo použijeme jednu z volných adres na síti, ke které se připojujeme. IP adresu pro bezdrátovou kartu zvolíme z možných rozsahů adres k těmto účelům přidělených (o tom dále). Pro přiklad: IP poskytovatele bude - 62.63.64.65 a IP pro naši wi-fi síť bude 192.168.20.1. Konfiguraci provedeme příkazem:

eth0 určuje zařízení, na kterém chceme změnu provést

Pro kontrolu napíšeme:

Tím se nám zobrazí informace o všech nainstalovaných rozhraních.

Jestli jsem na nic nezapomněl, tak by tohle mělo být nutné minimum pro připojení k síti. Teď připojíme počítač UTP kabelem k páteřní síti, na které běží alespoň jeden počítač s adresou například 192.168.20.2. Příkazem

prověříme spojení po síti. Jestliže je všechno v pořádku, tak by se nám měly začít objevovat informace o odpovědi od cílového počítače a čas, za který se paket vrátil. Odesílání ukončíme stiskem CTRL-C.

Ještě by se mohly vyskytnout komplikace s přiřazením nové adresy. Je lepší zařízení vypnout a zapnout příkazy:

DNS klient

Mít záznam v DNS klientu není nutné, ale je lepší ho tam mít, protože při příkazech, které pracují s internetem, nemusíme používat IP adresy, ale můžeme pracovat se jmény. Například:

DNS klient potřebuje znát adresy name serverů, které má používat. Ty zapíšeme do souboru /etc/resolv.conf ve tvaru

Bezdrátová karta

Při propojení více počítačů do bezdrátové sítě máme dvě možnosti. Tou první, ne moc používanou, je režim peer-to-peer na všech počítačích. Tou druhou je použití architektury access point-klient. V režimu peer-to-peer komunikují počítače přímo mezi sebou bez prostředníka a hodí se spíš pro menší domácí sítě. Výhodou jsou určitě menší náklady, protože ušetříme za nákup access pointu. Tento druh sítí jsem testoval jen jednou, ale musím přiznat, že jsem s tím neměl žádné problémy jak pod Windows, tak pod Linuxem a nevidím důvod, proč tuto architekturu nepoužít doma na propojení dvou počítačů. Velkou výhodou je pro začínající uživatele Linuxu také to, že karta je nakonfigurována pomocí několika málo příkazů, nemusí se stahovat a instalovat žádné speciální ovladače na softwarový access point a nahrávat aktuální firmware do bezdrátové karty. Z odborné literatury jsem vyčetl, že tato architektura sítě je vhodná maximálně pro 8 - 10 počítačů

Nyní k samotné konfiguraci. Zvolíme si opět příklad. Máme kartu v režimu peer-to-peer, která se hlásí jménem "nasesit", naslouchá na pátém kanále na frekvenci 2,432 GHz, přenosovou rychlost ponecháme v režimu "auto" a síť necháme pro jednoduchost testování prozatím nešifrovanou.

- karta je teď v režimu peer-to-peer.

- hlásí se jménem nasesit.

- naslouchá na pátém kanále, což odpovídá frekvenci 2,432 GHz.

- zobrazí nám všechny použitelné kanály a jim odpovídající frekvenci.

Teď už máme nakonfigurováno vše potřebné a nastavení si ještě můžeme překontrolovat příkazem

- zobrazí se nám všechny informace o bezdrátové kartě s názvem eth1.

- kartu opět vypneme a zapneme.

Druhou možností je architektura access point - klient. Princip spočívá v softwarovém přístupovém bodě, který "naslouchá" na určité frekvenci a k němu se připojují klienti. Access point může podle nastavených pravidel klienta přijmout nebo také odmítnout. Jestliže chceme přepnout kartu s chipsetem Prism do režimu access point (master), musíme použít speciální ovladač zvaný "hostap".

V podstatě máme tedy dvě možnosti. V každém případě budeme potřebovat ovladač "hostAP". Buď tento ovladač můžeme jednoduše instalovat příkazem:

z připraveného balíčku na jednom z instalačních CD Mandrake Linuxu, nebo si stáhnout nejnovější verzi z http://hostap.epitest.fi/ a postupovat zhruba tak, že do adresáře například /ovladace/hostapnakopírujeme ovladač a ten po té rozpakujeme a nainstalujeme.

Odkazy na toto téma uvádím zde:

• http://www.simandl.cz/stranky/linux/xi626/xi626.htm
• http://www.skfree.net/files/SKF_zcom626_Linux_Debian_Redhat.pdf

Po úspěšné instalaci postupujeme při konfiguraci obdobně, jako při nastavení karty v režimu peer-to-peer.

- karta je teď v režimu access point

- hlásí se jménem nasesit

- naslouchá na pátém kanále, což odpovídá frekvenci 2,432 GHz

- zobrazí nám všechny použitelné kanály a jim odpovídající frekvenci

- kartu opět vypneme a zapneme

Routování

Routování znamená předávání paketů mezi jednotlivými segmenty sítě a router je tudíž počítač, který zajišťuje komunikace mezi jednotlivými sítěmi. V našem případě si musí mezi sebou předávat pakety bazdrátová karta na eth1 a PCI síťová karta na eth0. Routování se zapíná v /proc/sys/net/ipv4/ip_forward - hodnota musí být na 1.

- zapneme routování z příkazového řádku

Překlad adres, NAT , IP maškaráda

Máme zapnuté routování. To znamená, že pakety z Wi-Fi sítě by se už přeposílaly na pateřní síť a naopak. Samozřejmě až po správném záznamu v routovací tabulce. Každý počítač by ale v páteřní síti vystupoval sám za sebe. Jestliže máme ve Wi-Fi 12 počítačů, tak všech 12 by komunikovalo přímo s páteřní sítí. Někomu to samozřejmě stačí, ale dost často se stává, že máme od poskytovatele internetu či administrátora sítě, do které se připojujeme, přidělenou pouze jednu IP adresu. Skoro vždy tomu tak je v případě, že nám dal ISP veřejnou IP adresu.

My potřebujeme zajistit komunikaci celé sítě přes jednu IP adresu a to tak, že z pohledu páteřní sítě to bude vypadat tak, jakoby s ní komunikoval jen jeden počítač. Tuto situaci se lze řešit dvěma způsoby. Buď použitím proxy serveru (Squid), který je nasazován obvykle na pomalejší linky, nebo pomocí překladu adres, tzv. NATu.

My použijeme konkrétně jednu z technologií NATu a tou je IP maškaráda. Funguje to asi tak, že počítač s adresou 192.168.20.2 odešle dotaz třeba na internetovou stránku. V nastavení má, že brána je pro něj náš access point s adresou 192.168.20.1, což je rozhraní bezdrátové karty. IP maškaráda paket přijme, přečte si počáteční a cílovou adresu, změní tyto údaje tak, aby paket vypadal, že pochází z adresy PCI síťové karty s adresou 62.63.64.65 a udělá si záznam do své tabulky, aby věděla komu má paket přeposlat, až se vrátí s požadovanou informací z internetu.

IP maškaráda má hodně společného s konfigurací firewallu, ale to teď nebudeme rozebírat, to bude součást jednoho z dalších dílů. Teď k samotné konfiguraci. Pro nastavení maškarády v Mandrake Linux 9.2 použijeme iptables.

- nastavení pro iptables

Výpis pravidel maškarády na monitor zajistíme příkazem

Brána do internetu

Většina místních poskytovatelů internetového připojení používá připojení přes bránu (gateway). Jestliže chceme do internetu připojit i naši síť, musíme tomu přizpůsobit i náš access point. Princip vychází z toho, že všechny pakety si s sebou nesou informace o cílové adrese. Pokud náš access point v roli routeru nenalezne cílovou adresu ve své routovací tabulce, odešle paket na tzv. výchozí adresu. Tou bývá právě brána poskytovatele internetového připojení. Dejme tomu, že brána má adresu 81.82.83.84, pak bude routovací záznam vypadat takto:

výpis routovací tabulky dostaneme pomocí příkazu:

Upozornění

Toto upozornění se týká zde použitých příkazů zadaných z příkazové řádky. Vím, že to může někomu připadat hloupé, ale nevadí. Jde o to, že všechny hodnoty, které jsme změnili přímo v souborech následně uložených na disk, se nám projeví i při příštím restartu počítače. Hodnoty, které jsme měnili zadáním příkazu z příkazové řádky, jsou pouze dočasné. Jestliže chceme tyto hodnoty také zachovat, musíme buď procházet konfigurační skripty, hodnoty zaměnit přímo v nich a uložit, nebo zajistit, aby se tyto příkazy vykonaly po každém spuštění počítače. Tahle druhá varianta je asi trochu neprofesionální, ale je rychlejší a přehlednější. K tomuto účelu můžeme použít skript, který se spouští při startu jako jeden z posledních. Nachází se v /etc/rc.d/rc.local. Jednoduše na poslední řádku zapíšeme všechny příkazy, které chceme spouštět při každém startu, a uložíme.

Dodatek

IP adresy v intranetu

IP adresy musí být v internetu přidělovány jednoznačně. To znamená, že se na celém světě nesmí vyskytnout dvě stejné IP adresy. V dřívějších dobách se sítě číslovaly zcela libovolně, protože nebyly připojovány k internetu. V době připojení řešili správci těchto sítí velké problémy s tím, že jejich adresy v síti kolidovaly s adresami v internetu. Jednou z možností řešení bylo použití překladu adres (NATu), ale to bylo náročné a neefektivní, takže stejně museli přistoupit k přečíslování adres v celé síti, což bylo u velkých firem (vybavených směrovači a různým síťovým hardwarem) velice nepříjemné. Proto bylo zřízeno několik adresových rozsahů, které jsou používány výhradně pro uzavřené sítě.

Nástroje: Tisk bez diskuse