Re: Una de hostapd en debian 7...
El 28/03/17 a las 05:34, luisededios escribió:
> On Mon, 27 Mar 2017 03:18:21 -0400, Antonio Trujillo Carmona
> <antonio.trujillo.sspa@juntadeandalucia.es> wrote:
>
>> El 22/03/17 a las 12:49, JAP escribió:
>>
>> El 22/03/17 a las 00:16, luisededios escribió:
>>
>> Saludos a todos,
>>
>> Estoy retomando un tema que tengo pendiente desde hace algún tiempo
>> porque aun no lo he logrado poner en marcha. Me refiero a la
>> implementación de un AP wifi en una laptop DELL a la cual le he
>> instalado dos mini tarjetas wifi, wlan0 y wlan2.
>>
>> Hasta donde he llegado he logrado que el AP montado sobre wlan0 conecte
>> a otros dispositivos móviles y también que la laptop se conecte a la
>> red(un móvil con zona wifi y datos móviles activados) mediante wlan2,
>> pero parece que tengo problemas con el enrutamiento ip desde wlan0 y
>> wlan2 en la propia laptop pues los móviles que se conectan al AP de la
>> laptop no logran navegar. Desde la laptop si puedo navegar, pero desde
>> los móviles conectados al AP de la laptop no logro navegar.
>>
>> La ip del móvil con zona wifi y datos móviles activados es 192.168.43.1,
>> y la laptop toma la 192.168.43.156. Luego, el AP de la laptop tiene la
>> ip fija 192.168.42.1 y asigna bien ips al resto de móviles que se
>> conectan.
>>
>> Repito. Desde la laptop puedo navegar correctamente pero desde los
>> móviles conectados a ella no logro navegar.
>
> (...)
>
>> Te estás complicando la vida en extremo, y estás cargando cosara
>> "raras" en las
>> direcciones de red
>>
>> Si no tienes una restricción de acceso a la red en wlan2, ya sea por
>> MAC, nombre
>> de dominio o alguna otra cosa, y que pueda servir como servidora DNS
>> y DHCP a
>> cualquier conexión, lo que debes hacer es un puente:
>> https://wiki.debian.org/es/Compartir_red_fisica_con_WiFi
>>
>> Ahora bien, si el proveedor de red te ha puesto trabas, debes
>> configurarte como
>> servidor y enmascarar todo a través de tu computadora.
>>
>> #/etc/network/interfaces
>> allow-hostplug wlan0
>> iface wlan0 inet static
>> address 192.168.42.1
>> netmask 255.255.255.0
>> network 192.168.42.0
>> broadcast 192.168.42.255
>> post-up /etc/init.d/hostapd force-reload --> ES NECESARIO REINICIAR
>> HOSTAPD
>> LUEGO DE CONFIGURAR EL AP
>>
>> #/etc/dhcp/dhcpd.conf
>> ddns-update-style none;
>> option domain-name "local";
>> option domain-name-servers 192.168.42.1;
>> authoritative;
>> log-facility local7;
>>
>> subnet 192.168.42.0 netmask 255.255.255.0 {
>> range 192.168.42.10 192.168.42.20;---> ACÁ VA EL LÍMITE DE CONEXIONES
>> QUE
>> QUIERAS PONER
>> option routers 192.168.42.1;
>> }
>>
>>
>> #/etc/default/isc-dhcp-server
>> INTERFACES="wlan0"
>>
>>
>> hostapd está bien.
>>
>> Ahora, no te embrolles tanto con iptables.
>>
>> Edita (o crea) el archivo /etc/rc.local
>>
>> #!/bin/sh -e
>> #
>> # rc.local
>> #
>> # This script is executed at the end of each multiuser runlevel.
>> # Make sure that the script will "exit 0" on success or any other
>> # value on error.
>> #
>> # In order to enable or disable this script just change the execution
>> # bits.
>> #
>> # By default this script does nothing.
>>
>> # Configuración IPTables
>> # Eliminar todas las reglas
>> iptables -F
>> iptables -t nat -F
>> iptables -t mangle -F
>>
>> # Configurar NAT
>> iptables -t nat -A POSTROUTING -o wlan2 -j MASQUERADE
>> iptables -A FORWARD -i wlan2 -o wlan0 -m state --state
>> RELATED,ESTABLISHED -j
>> ACCEPT
>> iptables -A FORWARD -i wlan0 -o wlan2 -j ACCEPT
>>
>> # Mensaje de ejecución
>> echo "OK - rc.local ejecutado."
>>
>> exit 0
>>
>>
>> Suerte
>>
>> JAP
>>
>>
>>
>> Yo tengo creado un puente sin problemas, no es con debian, si no con
>> openwrt (es
>> por temas de hardware), pero viene a ser lo mismo.
>> Creo que uno de los problemas que te puedes encontrar es con la
>> tarjeta wifi que
>> uses, creo recordar que había tarjetas que no soportaban hacer
>> puentes y había
>> que montar un pseudo-puente.
>> De todas maneras, no creo que un puente sirva en tu problema, si lo
>> he entendido
>> bien tu tienes un móvil que conectas a un ordenador por una wifi y de
>> este
>> conectas otros equipos por otra wifi, en este caso no sirve el puente.
>> Vista por lo alto tu configuración del primer correo parece correcta,
>> por lo que
>> deberemos depurarla.
>> 1º con iptables límpialo y deja solo el enmarascamiento, cuando
>> funcione ya
>> habrá tiempo de poner reglas de filtrado si quieres seguridad:
>> iptables -F
>> iptables -t nat -F
>> iptables -t mangle -F
>> iptables -t nat -A POSTROUTING -o wlan2 -j MASQUERADE
>>
>> 2º Comprueba que no tienes reglas extrañas:
>> $ sudo iptables -L
>> Chain INPUT (policy ACCEPT)
>> target prot opt source destination
>>
>> Chain FORWARD (policy ACCEPT)
>> target prot opt source destination
>>
>> Chain OUTPUT (policy ACCEPT)
>> target prot opt source destination
>>
>> $ sudo iptables -L -t nat
>> Chain PREROUTING (policy ACCEPT)
>> target prot opt source destination
>>
>> Chain INPUT (policy ACCEPT)
>> target prot opt source destination
>>
>> Chain OUTPUT (policy ACCEPT)
>> target prot opt source destination
>>
>> Chain POSTROUTING (policy ACCEPT)
>> target prot opt source destination
>>
>> $ sudo iptables -L -t mangle
>> Chain PREROUTING (policy ACCEPT)
>> target prot opt source destination
>>
>> Chain INPUT (policy ACCEPT)
>> target prot opt source destination
>>
>> Chain FORWARD (policy ACCEPT)
>> target prot opt source destination
>>
>> Chain OUTPUT (policy ACCEPT)
>> target prot opt source destination
>>
>> Chain POSTROUTING (policy ACCEPT)
>> target prot opt source destination
>>
>> 3º Como no lo pones, imagino que en el ordenador la ip de salida se
>> la da el
>> teléfono de forma dinámica, asegúrate de que tiene las rutas bien,
>> debes tener
>> algo como (es un ejemplo inventado, por lo que puede tener algo
>> distinto:
>> $ sudo route
>> Password:
>> Kernel IP routing table
>> Destination Gateway Genmask Flags Metric Ref Use Iface
>> default 192.168.43.1 0.0.0.0 UG 1024 0 0 wlan0
>> 192.168.43.0 * 255.255.255.0 UG 0 0 0 wlan0
>> 192.168.42.0 * 255.255.255.0 UG 0 0 0 wlan1
>>
>> 4º Verifica las ip:
>> $ ip addr
>>
>> 5º Verifica conectividades:
>>
>> desde el ordenador
>> ping 192.168.43.1
>> ping 192.168.42.[ip de un equipò]
>> ping 8.8.8.8
>>
>> desde un equipo
>> ping 192.168.42.1
>> ping 192.168.43.1
>> ping 8.8.8.8
>>
>> si falla algún ping prueba a hacer una traza
>>
>> $ sudo traceroute 8.8.8.8
>
> Buen día.
>
> Aquí les acopio la última configuración que tengo en mi sistema, y las
> pruebas que me han indicado los amigos Javier y Antonio.
>
> /etc/network/interfaces
> # The loopback network interface
> auto lo
> iface lo inet loopback
>
> #wireless AP
> allow-hotplug wlan0
> iface wlan0 inet static
> address 192.168.42.150
> netmask 255.255.255.0
> network 192.168.42.0
> broadcast 192.168.42.255
> gateway 192.168.43.155
> # dns-nameservers 192.168.42.150
> # post-up /etc/init.d/hostapd force-reload
>
> /etc/dhcp/dhcpd.conf
> ddns-update-style none;
> default-lease-time 600;
> max-lease-time 7200;
> authoritative;
> log-facility local7;
>
> subnet 192.168.42.0 netmask 255.255.255.0 {
> range 192.168.42.200 192.168.42.250;
> option subnet-mask 255.255.255.0;
> option routers 192.168.43.155;
> option ip-forwarding on;
> option broadcast-address 192.168.42.255;
> option domain-name "ciudades-antiguas.com";
> option domain-name-servers 192.168.42.150, 8.8.8.8;
> }
>
> /etc/default/isc-dhcp-server
> DHCPD_CONF=/etc/dhcp/dhcpd.conf
> INTERFACES="wlan0"
>
> /etc/hostapd/hostapd.conf
> interfaces=wlan0
> driver=nl80211
> ssid=test
> hw_mode=g
> channel=6
> macaddr_acl=0
> auth_algs=1
> ignore_broadcast_ssid=0
> #wpa=2 #todo lo que sigue si pongo contraseña al AP
> #wpa_passphrase=secret
> #wpa_key_mgmt=WPA-PSK
> #wpa_pairwise=TKIP
> #rsn_pairwise=CCMP
>
> /etc/default/hostapd
> DAEMON_CONF="/etc/hostapd/hostapd.conf"
>
> /etc/sysctl.conf
> net.ipv4.ip_forward=1
>
> /etc/rc.local
> # Configurar iptables
> #eliminando todas las reglas
> iptables -F
> iptables -t nat -F
> iptables -t mangle -F
> iptables -t nat -A POSTROUTING -o wlan2 -j MASQUERADE
>
> # POR AHORA ASI HASTA QUE LOGREMOS COMUNICACION
> # Configurar NAT
> #iptables -t nat -A POSTROUTING -o wlan2 -j MASQUERADE
> #iptables -A FORWARD -i wlan2 -o wlan0 -m state --state
> RELATED,ESTABLISHED -j ACCEPT
> #iptables -A FORWARD -i wlan0 -o wlan2 -j ACCEPT
>
> # Mensaje de ejecución
> echo "Ok - rc.local ejecutado..."
>
> exit 0
>
> # iptables -L
> Chain INPUT (policy ACCEPT)
> target prot opt source destination
>
> Chain FORWARD (policy ACCEPT)
> target prot opt source destination
>
> Chain OUTPUT (policy ACCEPT)
> target prot opt source destination
>
> # iptables -L -t nat
> Chain PREROUTING (policy ACCEPT)
> target prot opt source destination
>
> Chain INPUT (policy ACCEPT)
> target prot opt source destination
>
> Chain OUTPUT (policy ACCEPT)
> target prot opt source destination
>
> Chain POSTROUTING (policy ACCEPT)
> target prot opt source destination
> MASQUERADE all -- anywhere anywhere
>
> # iptables -L -t mangle
> Chain PREROUTING (policy ACCEPT)
> target prot opt source destination
>
> Chain INPUT (policy ACCEPT)
> target prot opt source destination
>
> Chain FORWARD (policy ACCEPT)
> target prot opt source destination
>
> Chain OUTPUT (policy ACCEPT)
> target prot opt source destination
>
> Chain POSTROUTING (policy ACCEPT)
> target prot opt source destination
>
> # route
> Kernel IP routing table
> Destination Gateway Genmask Flags Metric Ref
> Use Iface
> default 192.168.43.1 0.0.0.0 UG 0 0
> 0 wlan2
> localnet * 255.255.255.0 U 0 0
> 0 wlan0
> 192.168.43.0 * 255.255.255.0 U 0 0
> 0 wlan2
>
> # ip addr
> 1: lo: <LOOPBACK,UP,LOWER_UP> mtu 16436 qdisc noqueue state UNKNOWN
> link/loopback 00:00:00:00:00:00 brd 00:00:00:00:00:00
> inet 127.0.0.1/8 scope host lo
> inet6 ::1/128 scope host
> valid_lft forever preferred_lft forever
> 2: eth0: <NO-CARRIER,BROADCAST,MULTICAST,UP> mtu 1500 qdisc pfifo_fast
> state DOWN qlen 1000
> link/ether 00:26:b9:b4:2a:2b brd ff:ff:ff:ff:ff:ff
> 3: wlan0: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc mq state UP
> qlen 1000
> link/ether f0:7b:cb:15:ec:df brd ff:ff:ff:ff:ff:ff
> inet 192.168.42.150/24 brd 192.168.42.255 scope global wlan0
> inet6 fe80::f27b:cbff:fe15:ecdf/64 scope link
> valid_lft forever preferred_lft forever
> 4: wlan2: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc mq state UP
> qlen 1000
> link/ether 50:b7:c3:b0:4d:c4 brd ff:ff:ff:ff:ff:ff
> inet 192.168.43.155/24 brd 192.168.43.255 scope global wlan2
> inet6 fe80::52b7:c3ff:feb0:4dc4/64 scope link
> valid_lft forever preferred_lft forever
> 5: mon.wlan0: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc mq
> state UNKNOWN qlen 1000
> link/ieee802.11/radiotap f0:7b:cb:15:ec:df brd ff:ff:ff:ff:ff:ff
>
> VERIFICANDO LA CONECTIVIDAD DESDE LA MAQUINA(DELL) QUE TIENE EL AP QUE
> ESTAMOS CONFIGURANDO.
>
> ESTE ES EL MOVIL CON ZONA WIFI Y DATOS MOVILES ACTIVADOS
> # ping 192.168.43.1
> PING 192.168.43.1 (192.168.43.1) 56(84) bytes of data.
> 64 bytes from 192.168.43.1: icmp_req=1 ttl=64 time=2.87 ms
> 64 bytes from 192.168.43.1: icmp_req=2 ttl=64 time=2.91 ms
> 64 bytes from 192.168.43.1: icmp_req=3 ttl=64 time=2.83 ms
>
> --- 192.168.43.1 ping statistics ---
> 3 packets transmitted, 3 received, 0% packet loss, time 2002ms
> rtt min/avg/max/mdev = 2.832/2.876/2.918/0.035 ms
>
> ESTA ES UNA MAQUINA(ACER) CLIENTE.
> # ping 192.168.42.240
> PING 192.168.42.240 (192.168.42.240) 56(84) bytes of data.
> 64 bytes from 192.168.42.240: icmp_req=2 ttl=64 time=2.80 ms
> 64 bytes from 192.168.42.240: icmp_req=3 ttl=64 time=1.94 ms
> 64 bytes from 192.168.42.240: icmp_req=4 ttl=64 time=2.28 ms
>
> --- 192.168.42.240 ping statistics ---
> 4 packets transmitted, 3 received, 25% packet loss, time 3002ms
> rtt min/avg/max/mdev = 1.941/2.345/2.808/0.360 ms
>
> SERVICIO DE EMAIL.
> # ping 181.255.231.19
> PING 181.255.231.19 (181.255.231.19) 56(84) bytes of data.
>
> --- 181.255.231.19 ping statistics ---
> 13 packets transmitted, 0 received, 100% packet loss, time 12095ms
>
> IMPORTANTE: Como ven no me devuelve los eco pero se que tengo
> conectividad porque puedo levantar la página del sistema de email,
>
> w3m webmail.nauta.cu
>
> y la levanta SIN PROBLEMAS. Véase la siguiente salida,
>
> # traceroute webmail.nauta.cu
> traceroute to webmail.nauta.cu (181.225.231.19), 30 hops max, 60 byte
> packets
> 1 192.168.43.1 (192.168.43.1) 6.285 ms 6.251 ms 6.218 ms
> 2 * * *
> 3 10.90.60.82 (10.90.60.82) 1023.048 ms 1023.076 ms 1023.049 ms
^^^^^^^^^^^^^^^^^^^^^^^^^^^^^
esta es una dirección publica de tu proveedor de internet, por lo que se
puede decir que salir, sales.
> 4 * * *
> 5 * * *
> 6 * * *
> 7 * * *
> 8 * * *
> 9 * * *
> 10 * * *
> 11 * * *
> 12 * * *
> 13 * * *
> 14 * * *
> 15 * * *
> 16 * * *
> 17 * * *
> 18 * * *
> 19 * * *
> 20 * * *
> 21 * * *
> 22 * * *
> 23 * * *
> 24 * * *
> 25 * * *
> 26 * * *
> 27 * * *
> 28 * * *
> 29 * * *
> 30 * * *
>
> VERIFICANDO LA CONECTIVIDAD DESDE UNA MAQUINA CLIENTE(ACER) CONECTADA
> A LA MAQUINA(DELL) QUE TIENE EL AP QUE ESTAMOS CONFIGURANDO.
>
> ESTE ES EL MOVIL CON ZONA WIFI Y DATOS MOVILES ACTIVADOS
> # ping 192.168.43.1
> PING 192.168.43.1 (192.168.43.1) 56(84) bytes of data.
> 64 bytes from 192.168.43.1: icmp_req=1 ttl=63 time=9.12 ms
> 64 bytes from 192.168.43.1: icmp_req=2 ttl=63 time=3.63 ms
> 64 bytes from 192.168.43.1: icmp_req=3 ttl=63 time=3.43 ms
>
> --- 192.168.43.1 ping statistics ---
> 4 packets transmitted, 3 received, 0% packet loss, time 3005ms
> rtt min/avg/max/mdev = 3.433/4.932/9.129/2.424 ms
>
> ESTA ES LA MAQUINA(DELL) QUE IMPLEMENTA MI AP.
> # ping 192.168.42.150
> PING 192.168.42.150 (192.168.42.150) 56(84) bytes of data.
> 64 bytes from 192.168.42.150: icmp_req=1 ttl=64 time=1.05 ms
> 64 bytes from 192.168.42.150: icmp_req=2 ttl=64 time=0.931 ms
> 64 bytes from 192.168.42.150: icmp_req=3 ttl=64 time=0.857 ms
>
> --- 192.168.42.150 ping statistics ---
> 3 packets transmitted, 3 received, 0% packet loss, time 2002ms
> rtt min/avg/max/mdev = 0.857/0.947/1.053/0.080 ms
>
> SERVICIO DE EMAIL.
> # ping 181.255.231.19
> PING 181.255.231.19 (181.255.231.19) 56(84) bytes of data.
>
> --- 181.255.231.19 ping statistics ---
> 23 packets transmitted, 0 received, 100% packet loss, time 22176ms
>
> IMPORTANTE: Como ven no me devuelve los eco por cuestiones obvias pero
> TAMPOCO me levanta la página del sistema de email,
>
> # w3m webmail.nauta.cu
>
> NADA DE NADA. Véase la siguiente salida,
>
> # traceroute 181.255.231.19
> traceroute to 181.255.231.19 (181.255.231.19), 30 hops max, 60 byte
> packets
> 1 samaria.ciudades-antiguas.com (192.168.42.150) 1.122 ms 1.133
> ms 1.278 ms
> 2 192.168.43.1 (192.168.43.1) 7.275 ms 7.354 ms 7.446 ms
> 3 * * *
> 4 10.90.60.82 (10.90.60.82) 934.570 ms 934.694 ms 934.839 ms
> 5 * * *
> 6 * * *
> 7 * * *
> 8 * * *
> 9 * * *
> 10 * * *
> 11 * * *
> 12 * * *
> 13 * * *
> 14 * * *
> 15 * * *
> 16 * * *
> 17 * * *
> 18 * * *
> 19 * * *
> 20 * * *
> 21 * * *
> 22 * * *
> 23 * * *
> 24 * * *
> 25 * * *
> 26 * * *
> 27 * * *
> 28 * * *
> 29 * * *
> 30 * * *
>
> Resumiendo los resultados de las pruebas podemos hacer notar que desde
> la laptop DELL, la cual implementa el AP se puede levantar el servicio
> wemail sin problemas pero desde la laptop Acer cliente no se puede
> AUNQUE nótece que se obtienen los ecos de los paquetes que envía la
> herramienta ping al móvil que da salida a la red.
>
> No se qué hacer pero con todos estos datos aportados pienso que los
> expertos tengan algo más para poder ayudarme en el proyecto :)
>
deberías haber hecho un ping a una dirección publica que responda para
estar seguro (te aconseje la 8.8.8.8 que es un DNS de google y nunca falla).
Si como imagino si que sales, tendremos que ver los requisitos de tu
servidor de correo.
Si no sales deberías levantar un "wireshark" en la maquina que hace de
AP para ver si entra el paquete y sale, y si llega la respuesta.
--
*Antonio Trujillo Carmona*
*Técnico de redes y sistemas.*
*Subdirección de Tecnologías de la Información y Comunicaciones*
Servicio Andaluz de Salud. Consejería de Salud de la Junta de Andalucía
_antonio.trujillo.sspa@juntadeandalucia.es_
Tel. +34 670947670 747670)
Reply to: