Uno de los últimos trabajos que realice, en paralelo con otros proyectos, fue conectar mediante un enlace inalámbrico, dos puntos que se ubican a una distancia de unos 500mts.
Una empresa que tiene dos obradores, necesitaba que uno de ellos accediera a los servidores del sitio principal, además de poder navegar por Internet en forma remota, contando que la información debería transmitirse en forma segura.
Esta es una breve explicacion del trabajo realizado.
De los productos que existen en el mercado, opte en un principio por implementar una red inalámbrica mediante dos nodos formados por el siguiente material :
ROUTER-AP MIKROTIK 1 LAN 1 MINIPCI AP
P.RED WIFI MINIPCI MIKROTIK A/B/G 65MW
CASE MIKROTIK OUTDOOR P/RB411 Y RB411A
POWER SUPPLY MIKROTIK 18V P/333,411,433
CABLE MIKROTIK PIGTAIL UFL P/R52 Y R52H
POE MIKROTIK PASSIVE POE
ANTENA HYPERLINK PARABOLA 24 DBI 2.4GHZ
CABLE PIGTAIL HYPERLINK NM A NM 1,2 MTS
DESCARGADOR GASEOSO HYPER 0-2GHZ NM-NH
El costo aproximado del material, es de unos U$S900 + IVA el par, y la presentación del mismo podemos verla en la siguiente imagen, a excepcion de la antena que es parabólica.
Mi idea era generar un PTP inalámbrico y sobre el mismo implementar un tunel IPSEC.
Dado que a ultimo momento, faltaban algunos elementos de la lista, propuse implementar esta solucion con los siguientes materiales :
NANOSTATION UBIQUITI 5,8 GHZ ANTENA INTE
ROUTER-AP MIKROTIK - MINIROUTER (NO AP)
CASE MIKROTIK INDOOR P/RB150 Y RB450
POWER SUPPLY MIKROTIK 18V P/333,411,433
El costo es menor, ronda los U$S700 + IVA el par, pero dado que son dos elementos a configurar, estamos mas expuestos a problemas.
Esta fue mi primer experiencia con ambos productos y debo decir que fue muy sencilla su configuración, en especial los equipos Nanostation5.
Estas antenas tienen un alcance comprobable de 3km sin mayores problemas, aunque en la hoja del producto habla de 10km. Por supuesto que ambos equipos deben tener una linea de vision, la cual no debe encontrarse interrumpida por edificios o cualquier otro objeto.
El ancho de banda que entrega llega a los 54mbps, dependiendo de las condiciones.
Algunas caracteristicas del equipo :Processor Specs Atheros AR2313 SOC, MIPS 4KC, 180MHz
Memory Information 16MB SDRAM, 4MB Flash
Networking Interface 10/100 BASE-TX (Cat. 5, RJ-45) Ethernet Interface
La energía les llega por medio de POE, por lo tanto podemos tener el transformador alejado hasta unos 9mts de la antena, para mayores distancias se debe cambiar el transformador.
Los Nanostation5 traen un SO llamado AirOS, que hace muy sencilla su configuración. Además soportan otros SO, los cuales no pude instalar por falta de tiempo.
Configuracion WDS
En este caso en concreto utilice 2 equipos NanoStation5, configurados en modo WDS, uno de ellos como Punto de acceso WDS y el otro como Estación WDS.
Esta es la interfaz de AirOS :
En el equipo que actua como concentrador, en la pestaña de Link Setup definimos los valores que forman el circuito inalambrico.
En el caso del Nodo Central :
Modo inalámbrico: Punto de acceso WDS
Conexiones WDS: La dirección MAC del cliente WDS.
SSID: Nodo1
Codigo de país: Argentina
Modo IEEE 802.11: B/G Mixto
Anchura del espectro: 40Mhz
Canal: 7
Seguridad: WPA2
Luego configuramos el NODO2 como Cliente WDS con los mismos valores de SSID y Presharedkey.
Vamos a la pestaña de Network y configuramos los valores de red.
En este caso, el equipo actuara como Bridge, ya que los Mikrotik seran los encargados del ruteo.
Una vez hayamos configurado los dos equipos uno como “Punto Acceso WDS” y el otro como “Estación WDS” lo único que tenemos que hacer es
comprobar que se hayan enlazado y alinearlos para su correcto
funcionamiento.
Para comprobar que se hayan enlazado y conectado tenemos que acceder
a la pestaña de “MAIN” del NanoStation que hemos configurado como
“Estación WDS” por ejemplo, y observar los valores de fuerza de señal.
Una vez conectadas las antenas, AirOS trae herramientas para medir el Ancho de banda, hacer pings. En mi caso, antes de realizar cualquier ajuste, obtuve un ancho de banda de 20Mbps.
La siguiente imagen muestra como quedo la antena del Nodo2 ( Clientes WDS ), la antena del Nodo1, se encuentra a mucho mayor altura. Dado que estos equipos se encuentran en un ambiente bastante hostil como una obra en costruccion, uno no puede pretender tener una antena de comunicaciones en el medio de la obra. En mi caso, pedi que instalaran un caño de 3mts sobre un container, el cual fue suficiente altura para obtener una buena señal ).
Ya tenemos el enlace, ahora debemos proteger los datos que pasan por este medio. Si bien el vinculo esta protegido por un filtro de MAC address y la utilizacion de WPA2+AES, es conveniente siempre que se utilicen vinculos inalambricos encriptar la comunicacion.
VPN IPSEC en Mikrotik
MikroTik, es una compañía de Letonia que manufactura principalmente routerboards (Placas Ruteadores) o encaminadores es conocido por el software que lo controla el RouterOS.
El principal producto de Mikrotik es el sistema operativo conocido como Mikrotik RouterOS basados en Linux. Permite a los usuarios convertir un ordenador personal en un router, lo que permite funciones como firewall, VPN Server y Cliente, Gestor de ancho de banda, QoS, punto de acceso inalámbrico y otras características comúnmente utilizado para el enrutamiento y la conexión de redes
RouterOS puede modificarse desde una linea de comandos por SSH o puede hacerse mediante un cliente grafico para Windows llamado Winbox.
Para implementar una VPN IPSEC podemos ver los principales puntos a modificar.
– Peer (Phase 1)
– Policy (Phase 2)
– Proposal (Transform set)
- NAT
- Rutas
Nodo1
Definir el Peer contra el cual se establecera la VPN :
Establecer la PolicyDado que nuestra red remota debe navegar por el nodo principal, la policy indica que se encriptara todo lo que tenga como origen cualquier red y destino la red del nodo remoto.
Definr ProposalYo recomiendo utilizar sha1+AES256, sobre sha1+3des.
Establecer el NAT
Definir las rutas
Nodo 2
En este nodo repetimos los pasos, y unicamente invertimos los valores en los peers y policies de ipsec y nat.
En el caso de las rutas, debemos dejar una default hacia la VPN.
Por ultimo Mikrotik, tambien permite hacer test de ancho de banda.
El que realice yo, ya sobre el vinculo con IPSEC arrojo valores de 18mbps, sin realizar un tunning a los parametros de la antena.
Como vemos, con una inversión de unos 350U$S por nodo tenemos un enlace con un muy buen ancho de banda y además muy seguro.
3 comments:
Muy interesante el articulo, gracias por escribirlo.
Hola nrm, gracias por pasar.
fellicidades. gracias por compartir
Post a Comment