[SeWi] FON nos ha regalado tres Linksys WRT54Gl

David Bosque song en woodwar.com
Vie Ene 27 15:47:24 CET 2006 


Jesús García Crespo (aka Sevein) wrote:

>>Para  no  "reventar" el sistema de fon, lo que a mí se me ocurre sería
>>hacer  un  bridge  entre  tun0  y vlan0, que es donde irían conectados
>>otros  aps  para enlace. De esa manera, los clientes podrían acceder a
>>internet y a la red de sewi si meten su usuario y contraseña y, si no,
>>solo  a  sewi  (ya  que tendrían una ip del rango asociado al interfaz
>>tun0).  También  habría  que cambiar ese rango por uno de redlibre (no
>>habrá  ningún problema por parte de FON) y luego currarse algún script
>>que,  cuando  cargue el chillispot, ponga las rutas en su sitio y tal.
>>Me  mola,  si necesitas una ayudita, quedamos un día y le metemos mano
>>:-D.  Y  si  alguien  se  quiere apuntar, aunque sea "a mirar", por mi
>>parte es bienvenido.
>>    
>>
>
>El problema es que no puedes hacer que una interfaz tun forme parte de
>un bridge pues te obliga a que trabajen con información Ethernet.
>
>Mira, (de bridge.sourceforge.net):
>
>What can be bridged? [...] * Devices must look like Ethernet. i.e have
>6 byte source and destination address.
>
>En realidad, TUN tiene un hermano mayor que se llama TAP, también es un
>punto-a-punto entre el kernel y el espacio de usuario, pero con
>datagramas Ethernet. Tienes un FAQ al respecto aquí:
>http://vtun.sourceforge.net/tun/faq.html.
>  
>

Mmmm...qué pena :-(. Bueno, lo que sí se puede hacer es usar iptables 
para pasar paquetes de un lado a otro. Claramente, no sería la opción de 
mayor rendimiento, pero primero tenemos que conseguir algo funcional y 
luego ya lo mejoraremos, no? Como ejemplo, la red de tiro de línea tiene 
una topología practicamente ideal (aps dedicados para cada enlace) y el 
uso de la red por los clientes no suele sobrepasar el 10-20% de ancho de 
banda máximo. Y eso es esporádicamente y gracias a los intercambios p2p, 
que si no la red se usaba en un 0.5% de su potencial...

>Antes comenté que ChilliSpot tiene una opción para permitir al cliente
>comunicación con nombres de dominios, direcciones IP o subredes sin
>necesidad de que se produzca la autenticación. Los de FON mismos lo
>utilizan para que el cliente pueda navegar por el sitio web de FON sin
>necesidad de poseer un login. Bueno, y decir que el propio sitio web de
>login está también en Internet, no en local. Así lo hacen:
>
>(chilli.conf) uamallowed www.fon.es,www.kynetia.com,acceso.fon.com,www.fon.com
>
>¿Qué pasaría si se añade 10.34.45.0/27, por ejemplo? Al final terminaría siendo el propio kernel del Linksys quien decida a donde mandar esto siguiendo la tabla de rutas. No sé si funcionaría pero me parece una solución un poco cutre; al fin y al cabo, si dos cliente se conectan a este AP la comunicación terminaría dando vueltas y vueltas.
>  
>
No sé cómo funciona exactamente el chillispot... Quieres decir que si un 
cliente con ip 10.34.45.10 hace un ping a 10.34.45.11 esto tiene que 
pasar por el chillispot? No lo pasaría directamente el interfaz wifi 
(comportándose como un "hub")? Para esto lo que pega es que hagas una 
prueba empírica y nos comentes resultados ;-).

>Esto va a parecer marear la perdiz, pero es que no se me ocurrió otra cosa: apoderarnos nosotros de eth1, la wireless, y plantar nosotros nuestro ChilliSpot: ¿Qué quieres hacer? ¿Quieres navegar por Internet con FON? ¿O lo qué quieres es ingresar en SevillaWireless? Y actuar en consecuencia... lo que no se me ocurre, cómo seguir esto, xD! Igual es técnicamente imposible. Igual habría que retocar ChilliSpot a nuestro gusto para poner mirando al cliente hacia donde nos intereses. Por ejemplo, podríamos poner el ChilliSpot de FON escuchando en un tap0 que nosotros creamos con el TUN/TAP driver, y mandar allí a los que eligieron "Navegar por Internet gracias a FON".
>
>Creo que se me va de las manos, :-(.
>  
>
Hombre, eso a mí me parece un "hackeo" en toda regla... Ten en cuenta 
que cuanto más toquemos el estado original del ap más imprevistos 
asociados nos podemos encontrar y más hay que currar.

Pongámonos en situación. Ahora mismo tenemos dos interfaces separadas: 
tun0 y vlan0.

tun0: lo usa el chillispot para permitir acceso a internet y se le puede 
decir al chillispot que permita el acceso a ciertas ips. Hay que tener 
en cuenta que este acceso tiene en cuenta las tabla de rutas del ap, y 
que hay que tocar el "uamallowed".
vlan0: lo usaría el dueño del ap para navegar por su conexión a internet 
y conectar los ordenadores que quiera.
Los dos interfaces están separados por razones de seguridad.

Lo único que nos separa de poder usar estos aps "a saco" en nuestra red 
es esa separación entre las interfaces.

Antes de meternos a tocar el chillispot, yo intentaría empezar con 
cambios más simples...intentando hacer un bridge del  tap0 ese que 
comentas con el vlan0 o utilizando iptables para redirigir paquetes IP 
desde tun0 hasta vlan0. Meterse a configurarse un chilli es matar moscas 
a cañonazos. Es más, yo creo que si le mandas un email al soporte 
técnico de fon y les preguntas cómo hacer que las dos interfaces se 
unan, te lo dicen en un plisplas ;-). Tiene que ser una tonterida...;-)

Un saludo,
David

Más información sobre la lista de distribución Lista