¿Cómo crear subredes en Ubuntu server+Squid+Dhcp + Vlan?

Imagen de arkamex
0 puntos

Bien.. Estoy algo perdido.. y nose donde conseguir de una orientacion eficas.

trabajo en una escuela preparatoria, y quiero proponer expandir la red inalambrica a toda la institucion la cual pueda ser usada tanto por alumnos como maestros, pero quiero que los maestros tengan acceso internet sin restriccion de paginas y la de los alumnos tener restricciones de paginas y descarga de archivos (youtube,veo.tv, etc.).

Asi mismo quiero que las computadoras que estan en oficinas no corran peligro de algun curioso que navege por la LAN y que tampoco pueda hacer uso de impresoras de red ni de archivos compartidos (No tan Facilmente.. se que todo es posible.. que solo es cuestion de saber como hacerlo)

Empese a documentarme y consegui hacer parte de lo que quiero.

Las computadoras que se conecta a la red ya sea por ethernet o por wifi se les asigna una ip del tipo 192.168.2.x, las cuales tienen acceso a internet atravesando el proxy asignandole las devidas restricciones, he conseguido asignar ip's a las computadoras de acuerdo a la direccion MAC y de esta manera manejar las configuraciones usando el DHCP al 100% y las computadoras a las que se les asigna la ip por MAC son las que tienen privilegios sobre las otras pero las ips que se asignan son del mismo tipo 192.168.2.x y lo que yo quiero es poder asignarle a las maquinas ips del tipo 192.168.38.x/24 o 192.168.60.x/24 para asi poder separar en segmentos de red dichas computadoras y hacer mas dificil su acceso y hubicacion dentro de la LAN, es ahi donde no encuentro como configurar devidamente la VLAN.

La computadora que estoy usando en este momendo cuenta con 3 tarjetas de red (a un futuro tambien pensava en hacer un balanceo de carga pues tenemos 2 Conecciones ADSL) de las cuales por el momento solo estoy usando la eth0 y eth1 para llevar a cabo todo este proyecto.

Las ips de la vlan son asignadas a la eth1 y es posible hacerles un ping estando dentro de los parametros asignados por el DHCP, pero al modificarlos de manera manual he intentar acceder con estos:

address 192.168.38.166
netmask 255.255.255.0 (intente con esta 255.255.0.0 > pero esto no es lo que busco igual y no funciono :'()
gateway 192.168.38.1 (intente con esta 192.168.2.1)
nameserver 192.168.38.1 (intente con esta 192.168.2.1)

No me da coneccion de ninguna manera.. ni siquiera puedo hacer un ping. Intente modificando las Iptables, (caresco de un conosimiento extenso pero lo intente)

y al tratar de asignar la ip desde el DHCP no la asigna a menos de que este dentro de la subred 192.168.2.XXX si intento asignarle un 192.168.38.166 no lo asigna y le asigna otro o le deja el ultimo que le havia sido asignado, estando dentro del rango de ip's.

Instale
Squid (proxy cache)
DHCP (asignacion automatica de ips)
Dnsmasq (para Manejar dns local)
Aplique Iptables (proxy transparente)
Vlan (para separar la redes)

Les agregare aqui lo que he hecho para que observen mi progreso y critiquen mis metodos :D

Configuracion de interfaces
$ sudo nano /etc/network/interfaces
---------------------------------------------
# This file describes the network interfaces available on your system
# and how to activate them. For more information, see interfaces(5).

# The loopback network interface
auto lo
iface lo inet loopback

# The primary network interface
auto eth0
iface eth0 inet static
address 192.168.1.110
netmask 255.255.255.0
network 192.168.1.0
broadcast 192.168.1.255
gateway 192.168.1.254
dns-nameservers 192.168.1.254

auto eth1
iface eth1 inet static
address 192.168.2.1
netmask 255.255.0.0
--------------------------------------

Configuracion Squid.

Sudo nano /etc/squid/squid.conf
-----------------------------
http_port 3128 transparent

cache_mem 16 MB

cache_dir ufs /var/spool/squid 700 16 256

ie_refresh on

offline_mode on

acl all src 0.0.0.0/0.0.0.0
acl red_local src 192.168.2.0/24
acl plus src "/etc/squid/plus.lst"
acl sites url_regex "/etc/squid/sites.lst"
acl files url_regex -i .exe .flv .mp4 .mp3 .avi .wma .mov .acc .wav .bat .asf .mpeg .3gp .swf
acl localhost src 127.0.0.1/255.255.255.255

http_access deny red_local !plus sites
http_access deny red_local !plus files
http_access allow red_local
http_access allow localhost
http_access deny all
--------------------------
Basado en : http://vive-libre.com/blog/2009/03/03/configuracion-de-ubuntu-server-810...

Configuracion Iptables
-------------------------------
iptables -F
iptables -X
iptables -Z
iptables -t nat -F
iptables -P INPUT ACCEPT
iptables -P OUTPUT ACCEPT
iptables -P FORWARD ACCEPT
iptables -t nat -P PREROUTING ACCEPT
iptables -t nat -P POSTROUTING ACCEPT
iptables -t nat -A POSTROUTING -s 192.168.2.0/24 -o eth0 -j MASQUERADE
iptables -t nat -A PREROUTING -s 192.168.2.0/24 -d ! 192.168.2.0/24 -p tcp --dport 80 -j REDIRECT --to-port 3128
iptables -A INPUT -s 192.168.2.0/24 -i eth1 -j ACCEPT
iptables -A FORWARD -s 192.168.2.0/24 -i eth1 -p tcp --dport 993 -j ACCEPT
iptables -A FORWARD -s 192.168.2.0/24 -i eth1 -p tcp --dport 110 -j ACCEPT
iptables -A FORWARD -s 192.168.2.0/24 -i eth1 -p tcp --dport 465 -j ACCEPT
iptables -A FORWARD -s 192.168.2.0/24 -i eth1 -p tcp --dport 25 -j ACCEPT
iptables -A FORWARD -s 192.168.2.0/24 -i eth1 -p tcp --dport 80 -j ACCEPT
iptables -A FORWARD -s 192.168.2.0/24 -i eth1 -p tcp --dport 443 -j ACCEPT
iptables -A FORWARD -s 192.168.2.0/24 -i eth1 -p tcp --dport 53 -j ACCEPT
iptables -A FORWARD -s 192.168.2.0/24 -i eth1 -p udp --dport 53 -j ACCEPT
---------------------------------------------------------------------------------------------
Basado en : http://vive-libre.com/blog/2009/03/03/configuracion-de-ubuntu-server-810...

--------------------------
DNS Cache
La configuracion Dnsmasq es solo para que guarde los dns de manera local y el proxy funcione como dns y no tenga que recurrir a mostrar mi dns verdadero (bueno nose si fuese correcto pero funciona)

Basado en : http://www.guia-ubuntu.org/index.php?title=Servidor_DNS-Cache
---------------------

Y mi problema esta presisamente en las Vlan (asi estoy seguro)

$ sudo apt-get install vlan dhcp3-server

Configuracion VLAN
-------------------------------------------------
modprobe 8021q

vconfig add eth1 38
vconfig add eth1 59
vconfig add eth1 60
vconfig add eth1 57

ifconfig eth1.38 inet 192.168.38.1 netmask 255.255.255.0 broadcast 192.168.38.255
ifconfig eth1.38 up

ifconfig eth1.59 inet 192.168.59.1 netmask 255.255.255.0 broadcast 192.168.59.255
ifconfig eth1.59 up

ifconfig eth1.60 inet 192.168.60.1 netmask 255.255.255.0 broadcast 192.168.60.255
ifconfig eth1.60 up

ifconfig eth1.57 inet 192.168.57.1 netmask 255.255.255.0 broadcast 192.168.57.255
ifconfig eth1.57 up

/etc/init.d/dhcp3-server stop
/etc/init.d/dhcp3-server start
------------------------------------------------------

Configuracion DHCP
---------------------------------------------------------

default-lease-time 600;
max-lease-time 7200;

option subnet-mask 255.255.255.0;
option broadcast-address 192.168.255.255;
option routers 192.168.2.1;
option domain-name-servers 192.168.2.1;

subnet 192.168.2.0 netmask 255.255.255.0 {
range 192.168.2.100 192.168.2.200;
option routers 192.168.2.1;
}

subnet 192.168.38.0 netmask 255.255.255.0 {
range dynamic-bootp 192.168.38.51 192.168.38.249;
option subnet-mask 255.255.255.0;
option broadcast-address 192.168.38.255;
option routers 192.168.38.1;
option domain-name-servers 192.168.38.1;
}

subnet 192.168.59.0 netmask 255.255.255.0 {
range 192.168.59.51 192.168.59.249;
option subnet-mask 255.255.255.0;
option broadcast-address 192.168.59.255;
option routers 192.168.59.1;
option domain-name-servers 192.168.59.1;
}

subnet 192.168.60.0 netmask 255.255.255.0 {
range 192.168.60.51 192.168.60.249;
option subnet-mask 255.255.255.0;
option broadcast-address 192.168.60.255;
option routers 192.168.60.1;
option domain-name-servers 192.168.60.1;
}

subnet 192.168.57.0 netmask 255.255.255.0 {
range 192.168.57.51 192.168.57.249;
option subnet-mask 255.255.255.0;
option broadcast-address 192.168.57.255;
option routers 192.168.57.1;
option domain-name-servers 192.168.57.1;
}

#Asignacion de IP x mac
host arkamex-work {
hardware ethernet 00:11:11:94:5x:58;
fixed-address 192.168.2.66;
}
----------------------------------------

Basado en : http://www.glib.org.mx/article.php?story=20090218211106900

Para cargar las configuraciones al iniciar el sistema use rcconf

$ sudo apt-get install rcconf

$ sudo rcconf

Pues bien.. nose que mas me aga falta agregar.. solo que nose que mas hacer.. no encuentro donde esta el error y no encuentro mas informacion sobre las VLAN + Squid :S

Espero puedan ayudarme :D

Imagen de mottitag
+1
0
-1

Mi configuración es algo distinta, configure las vlan en interfaces de la siguiente manera.

auto vlanN
iface vlanN inet static
address 192.168.N.1
netmask 255.255.255.0
vlan_raw_device ethx
donde N es el numero de la vlan.

en el archivo iptables agregue...

$iptables -t nat -A PREROUTING -i vlanN -s 192.168.N.0/24 -p tcp --dport 80 -j REDIRECT --to-port 3128

en el archivo de configuracion del squid...

acl vlanN src 192.168.N.0/25
acl localnet src 192.168.0.0/16
http_access allow vlanN
http_port 192.168.N.1:3128 transparent

en el archivo de configuracion del dhcp..

subnet 192.168.N.0 netmask 255.255.255.0 {
interface vlanN;
range 192.168.N.2 192.168.N.254;
option routers 192.168.N.1;
option domain-name-servers 192.168.N.1;
}

Acordate que N es el numero de la vlan.
Luego conectas la interfaz de tu servidor con un switch que permita manejo de vlan y dicha conexión la haces en modo troncal para que pasen todas las vlan por el mismo.
Después conectas tus AP (Si conseguiste los CISCO WAP200) switch también en modo troncal y configuras los ssid.
Si conectas una PC al switch lo haces en modo acceso y etiquetas el puerto con una vlan según a que vlan va a pertenecer dicha PC.

Espero que te haya sido de ayuda.

PD: configurar un servidor con con varias VLAN se llama router-on-a-stick.

+1
0
-1
Imagen de hugo_boss
+1
0
-1

disculpa me intereso tu configuracion no se si podrias explicarmela con mas detalle bueno si no es mucha molesta lo que pasa uq etambiene stoy aplicando una vlan pero la configuracion que he echo es difente a la que tienes espero que me ayudes

+1
0
-1

un experto en cualquier cosa alguna vez fue un principiante

Imagen de arkamex
+1
0
-1

Muchas Gracias por tu aporte, esto me acerca aun mas a mi cometido y en especial gracias por decirme como se llama lo que intento hacer :D es lo mas complicado al momento de buscar informacion :D GRACIAS..

P.D. Ya tengo funcionando mi proxy con las configuraciones antes mencionadas y funciona muy bien el usar las Vlan sera un Grado mas en la seguridad y un paso mas a poder abrir el internet a toda la institucion :D

+1
0
-1

La Evolucion es la unica Salida.... La contaminacion no se detendra.

ahora solo queda poder respirar smock y exalar agua.

:D

Las contraseñas son como la ropa interor. No puedes dejar que nadie la vea, debes cambiarla regularmente

Imagen de carpego
+1
0
-1

Amigo que tal, disculpa la molestia pero me gustaria saber si pudiste implementar las subredes que querias?, esque yo tengo un problema similar y me gustaria ver si me podrias ayudar.

+1
0
-1

Pensamos en ver la televisión para desconectar nuestro cerebro, y en usar el ordenador cuando queremos volver a encenderlo.

Imagen de choche75
+1
0
-1

estoy tratando de implementar algo similar a tu proyecto, podrias publicar cual fue la solucion, soy nuevo en esto, me parece super interezante pero es muy lento avanzar existe mucha informacion y uno no sabe por donde empezar... gracias

+1
0
-1