viernes, 14 de octubre de 2011

Configurar dhcp en multiples vlanes en debian Squeeze

Hola a todos mis lectores... en este blog publico lo que día a día realizo.. no todos tenemos una gran memoria fotográfica en el que podemos recordar cosas y/o configuraciones que venimos realizando, este manual o paper que presento es un pequeño proyecto que he realizado en mi trabajo aún me falta aprender mucho más pero agradecería a todos con sus comentarios y apoyo :D.

Nuestra red esta integrada por varios edificios, y a todos ellos brindamos internet a través de un servidor proxy , lo que desean nuestros gerentes es que todos esos edificios brinden dhcp a sus clientes, cada cliente que se conecte reciba automáticamente su dirección ip y pueda navegar con comodidad en cualquier edificio donde se ubique hacia la red de redes, a la vez este servidor deberá contar con un proceso de backup. 

Considerar los siguientes criterios:
  • El usuario deberá registrar su MAC en el área de soporte de la empresa(obligatorio)
  • El usuario solo accederá a ciertas paginas de internet (Políticas de la empresa)
  • El datacenter de la empresa asume el control de ancho de banda de internet permitiéndose la potestad de cortar el servicio si el/los cliente/s hacen un mal uso del servicio
  • Los equipos inalámbricos que brinden IP a travez de ellos, deberán tener IP fija, (normas de uso)
Descripción de cada componente de nuestra red
  • Dispositivos:
DGS-3627G-CORE-EMPRESA ( 192.168.1.2 )


DGS-1210-48-SWDISTRIBUIDOR (192.168.1.8)


Proxy ( 2 interfaces de red )
IP_ExternaXXXX.XXXX.XXXX.XXXX
IP_Enruta_Internet192.168.1.1


Equipos WIFI Involucrados: DLINK DAP-1360



Ahora establecemos la arquitectura de nuestra red ver la siguiente imagen:


Configuración En el DGS-3627G-CORE-EMPRESA ( 192.168.1.2 ): Accedemos vía web y editamos su archivo de configuración:

Descripción del equipo con el que contamos, obviamente algunos datos serán pintados:


Creamos la red VLAN que va a contener a nuestra red inalámbrica, con nombre WIFI, el cual tiene un ID con número 70, no escogeremos ningún puerto aún.


Creamos la red wifi con network 172.16.64.0/20, tomamos la ultima IP y le asignamos a nuestra puerta de enlace, 172.16.79.254.


Una vez creado la VLAN y la IP con la que trabajara dicha VLAN.



Ahora configuramos el equipo DGS-1210-48-SW-DISTRIBUIDOR(192.168.1.8)

Creamos el ID y la Vlan tener en cuenta que estos datos deberán ser similares



El mismo procedimiento se realiza en el equipo DGS-1210-48-SW-DISTRIBUIDOR ( 192.168.1.9)


En el equipo mirror con ip 192.168.200.2 desarrollamos el siguiente procedimiento:
  • Tener en cuenta que debe pertenecer a una vlan y que dicha vlan deberá tener acceso a internet
  • Solo puede contar con una puerta de enlace para enrutar los paquetes hacia internet
  • Deberas instalar el paquete VLAN para que cada interfaz se vea entre las demás vlanes
  • En cada equipo de conexión deberás tagear el puerto por donde se enruta los paquetes, en mi caso de ejemplo nuestro equipo DHCP se enruta por el puerto 22, los equipos de distribución se enrutan por el puerto 10 y 11. Ver gráfico
En la siguiente imagen nos muestra como es que los puertos habilitados son configurados para que entre las vlanes 11 y 70 se puedan ver, recordar que el puerto 22 almacena al servidor dhcp y en que dicho servidor tendrá 3 interfaces de red cada una con las vlanes respectivas.


Significa que las vlan con nombre "WIFI" ubicadas en el puerto 8, 10,11 se van a poder ver con la 22 y cada una de ellas esta tageado para hacer refencia solo a los paquetes de dicha vlan.

En el servidor DHCP, debemos realizar la siguiente configuración:
root@localhost# apt-get install vlan

Editar el archivo network/interfaces
root@localhost# vim /etc/network/interfaces
# This file describes the network interfaces available on your system
# and how to activate them. For more information, see interfaces(5).

# The loopback network interface
auto lo
iface lo inet loopback

# The primary network interface
#auto eth1
#iface eth1 inet static
 #    address 192.168.200.2
  #   netmask 255.255.255.240
   #  gateway 192.168.200.1

auto vlan11
iface vlan11 inet static
       address 172.16.7.144
       netmask 255.255.255.224
       vlan_raw_device eth1

auto vlan50
iface vlan50 inet static
        address 192.168.200.2
        netmask 255.255.255.224
        gateway 192.168.200.1
        vlan_raw_device eth1

auto vlan70
iface vlan70 inet static
        address 172.16.64.1
        netmask 255.255.240.0
        vlan_raw_device eth1 

En el firewall del proxy configuramos la red 192.168.200.0/28 y 172.16.64.0/20 para que pueda navegar hacia nuestra red interna, todos hemos visto que los paquetes han sido configurado en el core, pero si vemos le grafico detallado de nuestra red los paquetes se quedan en nuestra lan, como procederiamos entonces para lograr que los paquetes se enruten hacia afuera, eso es parte del trabajo del core veamos la siguiente configuración:


Todos los paquetes son enrutados hacia nuestro proxy, nuestro core hara de enrutador hacia el mundo de la red... :D, en ese caso es nuestro proxy debemos configurar las rutas para eso añadimos en el archivo network/interfaces
 
root@localhost# vim /etc/network/interfaces 
post-up route add -net 192.168.200.0 netmask 255.255.255.240 gw 192.168.1.2
post-up route add -net 172.16.64.0 netmask 255.255.240.0 gw 192.168.1.2
Con esto indicamos que los paquetes que vengan de internet hacia dichas ips se enruten directo al core, pero para que salga a internet debemos editar nuestro FIREWALL nosotros contamos con un script que almacena las reglas INPUT, OUTPUT, FORWARD veamos el siguiente recuadro.

Para la red 192.168.200.0/28
vim /etc/iptables/rules
-A POSTROUTING -s 192.168.200.2 -o eth0 -m state --state NEW -j SNAT --to X.X.X.X 
-A FORWARD -i eth1 -o eth0 -s 192.168.200.2 -p tcp -m tcp --dport 80 -m state --state NEW -j ACCEPT
-A INPUT -i eth1 -s 192.168.200.2 -p udp -m udp --dport 53 -m state --state NEW -j ACCEPT

Para la red 172.16.64.0/20
-A POSTROUTING -s 172.16.64.0/24 -o eth0 -m state --state NEW -j SNAT --to X.X.X.X 
-A PREROUTING -s 172.16.64.0/20 -i eth1 -p tcp -m tcp --dport 80 -m state --state NEW -j REDIRECT --to-ports 3128
-A INPUT -i eth1 -s 172.16.64.0/20 -p tcp -m tcp --dport 3128 -m state --state NEW -j ACCEPT
-A FORWARD -i eth1 -o eth0 -s 172.16.64.0/20 -p udp -m udp --dport 53 -m state --state NEW -j ACCEPT
-A INPUT -i eth1 -s 172.16.64.0/20 -p udp -m udp --dport 53 -m state --state NEW -j ACCEPT
-A FORWARD -i eth1 -o eth0 -s 172.16.64.0/20 -p tcp -m tcp --dport 443 -m state --state NEW -j ACCEPT
-A FORWARD -i eth1 -o eth0 -s 172.16.64.0/20 -p tcp -m tcp --dport 8080 -m state --state NEW -j ACCEP

Con esta configuración otorgo acceso al servidor DHCP y a los clientes que se conecten a través de él.
Procedemos a configurar el servidor DHCP , ver la pagina de este mismo blog donde enseño a instalarlo. Lo que varia son las interfaces que estarán a la escucha del servicio, ya que ahora nuestra vlanes seran las que escucharan las solicitudes de los clientes y cada vlan hara referencia a un grupo de trabajo, ACTI, WIFI
root@localhost# vim /etc/default/isc-dhcp-server
# Defaults for dhcp initscript
# sourced by /etc/init.d/dhcp
# installed at /etc/default/isc-dhcp-server by the maintainer scripts

#
# This is a POSIX shell fragment
#

# On what interfaces should the DHCP server (dhcpd) serve DHCP requests?
#       Separate multiple interfaces with spaces, e.g. "eth0 eth1".
INTERFACES="vlan11 vlan70"
Añadimos en el archivo de configuración las diferentes subredes que proporcionara la red para eso debemos tener en cuenta lo siguiente:
root@localhost# vim /etc/dhcpd.conf

ddns-update-style none;
ignore client-updates;

option domain-name-servers 192.168.1.1;

default-lease-time 3600;
max-lease-time 7200;

authoritative;

log-facility local7;

subnet 172.16.7.0 netmask 255.255.255.0 {
        range 172.16.7.132 172.16.7.145;
        option subnet-mask 255.255.255.224;
        option routers 172.16.7.158;
        # ACTI
        group {
                host wifi_acti {
                        hardware ethernet 1c:af:f7:e0:15:ef;
                        fixed-address 172.16.7.138;
                        }
                host Wifi-Enrique {
                        hardware ethernet 90:4C:E5:77:0A:EA;
                        fixed-address 172.16.7.140;
                        }
                }
        }

subnet 172.16.64.0 netmask 255.255.240.0 {
        option subnet-mask 255.255.240.0;
        option routers 172.16.79.254;
        # inalambricas
        group {
                max-lease-time 7200;
                default-lease-time 3600;
                host wifi_2_piso {
                        hardware ethernet 1C:AF:F7:E0:15:F5;
                        fixed-address 172.16.79.244;
                        }
              }
    }
Configuramos el acceso INALÁMBRICO para que tenga IP ESTATICA ver Imagenes:




Terminado la configuración de los equipos inalámbricos procedemos a configurar las PC de los clientes, tanto en windows como en linux, en mi caso mi cliente es un equipo con ubuntu 10.04
 

Con todos estos pasos tienes ya un grupo de usuarios de diferentes vlanes accediendo a internet todo a través de una red inalámbrica, el ultimo paso es la administración, en nuestra empresa contamos con personal de soporte que debe registrar la MAC y las IPS, podemos hacer todo este procedimiento de manera gráfica sin necesidad de estar usando la terminal de comandos y todos al paso de un click, para eso debemos instalar webmin y realizar la configuración correspondiente, ejemplo.

Mi servidor WEBMIN tiene como ip: 192.168.200.2:10000

Escribimos el usuario administrador de WEBMIN

En nuestro caso el administrador es admin y mi usuario que administrara solo el servicio dhcp es soportepre

Vemos el conjunto de maquinas agregadas al servicio.


Para agregar una nueva PC vamos al grupo de 29 miembros


El grupo fue creado inicialmente con nombre Inalámbricas a este grupo se le añade la maquina correspondiente, para dicho paso hacemos click en Añadir una nueva maquina.


Nos aparecera una nueva página para registrar al dispositivo.

Guardamos los cambios

Aplicamos los cambios y automáticamente se actualiza el servicio.


No hay comentarios:

 
;