En este punto deber\u00edamos tener un OpenWRT listo para trabajar con \u00e9l.<\/p>\n
El Soekris 4801 (ELZAR) y el 4501 (WERNSTROM) forman parte de una Mesh VPN usando Tinc. Gracias a esto tengo varias localidades interconectadas v\u00eda VPN con poco mantenimiento requerido para funcionar.<\/p>\n
En este post me centrare en como he hecho para tener filtro de DNS y Anycast DNS. Anycast es algo que no se ve en una red casera pero mi red desde hace tiempo dejo de ser normal. OpenWRT cuenta con un package manager (opkg) que nos permitir\u00e1 instalar software para conseguir las funcionalidades que deseamos en nuestro OpemWRT. Lo primero, claro, es tener nuestro OpenWRT funcionando y con el NAT deshabilitado (ese es el caso en mi red), instalaremos \u00a0BGP (Quagga) y reconfiguraremos DNSmasq.<\/p>\n
Instalando los paquetes.<\/p>\n
Quagga es la suite que usaremos para tener BGP (OSPF lo uso para redistribuir rutas a mi Vyatta), esto nos ahorrara trabajo (tengo otros nodos con Quagga) ya que solo tendr\u00e9 que copiar parte de la configuraci\u00f3n, cambiar ASN, router ID y otras m\u00ednimas l\u00edneas de la config.<\/p>\n
opkg update<\/p>\n
Estos son los paquetes instalados actualmente en ELZAR.<\/p>\n
- \n
- quagga<\/li>\n
- quagga-bgpd<\/li>\n
- quagga-libospf<\/li>\n
- quagga-libzebra<\/li>\n
- quagga-ospf6d<\/li>\n
- quagga-ospfd<\/li>\n
- quagga-vtysh<\/li>\n
- quagga-watchquagga<\/li>\n
- quagga-zebra<\/li>\n<\/ul>\n
Ahora toca configurar e iniciar los servicios para tener BGP funcionando. La instalaci\u00f3n es por defecto, esto quiere decir que tendremos \/etc\/quagga donde pondremos los archivos de configuraci\u00f3n que se requieren.<\/p>\n
![\"\"](\"http:\/\/galeria.arielantigua.com\/var\/resizes\/Ariel-Antigua\/Varios\/OpenWRT\/elzar-1.jpg?m=1393541500\")
<\/a><\/p>\nPara que BGP (m\u00f3dulo de Quagga) funcione necesitamos tener configurado zebra.conf y bgpd.conf.<\/p>\n
Configuraci\u00f3n b\u00e1sica de estos archivos.<\/p>\n
zebra.conf :<\/p>\n
- \n
- hostname -zebra<\/li>\n
- password MiSuperPassword<\/li>\n
- service advanced-vty<\/li>\n
- !<\/li>\n
- line vty<\/li>\n
- access-class vty<\/li>\n
- !<\/li>\n<\/ul>\n
bgpd.conf :<\/p>\n
- \n
- hostname -bgpd<\/li>\n
- password MiSuperPassword<\/li>\n
- service advanced-vty<\/li>\n
- !<\/li>\n
- access-list vty permit 127.0.0.0\/8<\/li>\n
- access-list vty deny any<\/li>\n
- !<\/li>\n
- line vty<\/li>\n
- access-class vty<\/li>\n
- exec-timeout 0 0<\/li>\n
- !<\/li>\n<\/ul>\n
Con esto podemos iniciar el servicio de Quagga usando \/etc\/init.d\/quagga start, ya tendremos el servicio de BGP funcionando pero aun no es suficiente para que OpenWRT cumpla con la tarea asignada, ahora toca configurar BGP conect\u00e1ndonos a la consola que est\u00e1 disponible en el puerto 2605 (telnet localhost bgpd) y nos pedir\u00e1 el password que usamos en la configuraci\u00f3n base (MiSuperPassword en este ejemplo). Una vez dentro configuraremos nuestro n\u00famero aut\u00f3nomo, las subredes que anunciaremos desde este router y los vecinos a quienes estaremos anunciando estas subredes.<\/p>\n
![\"\"](\"http:\/\/galeria.arielantigua.com\/var\/resizes\/Ariel-Antigua\/Varios\/OpenWRT\/elzar-2.jpg?m=1393541515\")
<\/a><\/p>\nEsta es la configuraci\u00f3n en ELZAR (un poco editada).<\/p>\n
- \n
- Current configuration:<\/li>\n
- !<\/li>\n
- hostname elzar-bgpd<\/li>\n
- password MiSuperPassword<\/li>\n
- service advanced-vty<\/li>\n
- !<\/li>\n
- router bgp 64845<\/li>\n
- bgp router-id 10.45.254.9<\/li>\n
- network 10.45.254.9\/32<\/li>\n
- network 10.45.255.1\/32<\/li>\n<\/ul>\n
Toda la configuraci\u00f3n despu\u00e9s de estas l\u00edneas es relacionada a los vecinos (neighbors) con los cuales el servicio de BGP intercambia rutas.<\/p>\n
Internamente son 3 router con BGP que usar el ASN 64845 y est\u00e1n agrupados as\u00ed:<\/p>\n
- \n
- neighbor aaNetworksHQ peer-group<\/li>\n
- neighbor aaNetworksHQ remote-as 64845<\/li>\n
- neighbor aaNetworksHQ override-capability<\/li>\n
- neighbor aaNetworksHQ next-hop-self<\/li>\n
- neighbor aaNetworksHQ soft-reconfiguration inbound<\/li>\n<\/ul>\n
De esta manera solo necesito hacer lo siguiente para establecer relaci\u00f3n entre 2 routers con el mismo ASN:<\/p>\n
- \n
- neighbor 10.45.252.10 peer-group aaNetworksHQ<\/li>\n
- neighbor 10.45.252.10 update-source 10.45.252.9<\/li>\n
- neighbor 10.45.252.14 peer-group aaNetworksHQ<\/li>\n
- neighbor 10.45.252.14 update-source 10.45.252.13<\/li>\n<\/ul>\n
El router 10.45.252.10 es otro OpenWRT (wernstrom) el cual tambi\u00e9n funciona como Anycast DNS en mi red local, el router con 10.45.252.14 es un Vyatta que funciona como router para Internet y es quien agrupa todas las rutas que se puede distribuir hacia el OSPF internamente.<\/p>\n
Al final terminamos con algo as\u00ed:<\/p>\n
- \n
- router bgp 64845<\/li>\n
- bgp router-id 10.45.254.9<\/li>\n
- network 10.45.254.9\/32<\/li>\n
- network 10.45.255.1\/32<\/li>\n
- neighbor aaNetworks peer-group<\/li>\n
- neighbor aaNetworks remote-as 64635<\/li>\n
- neighbor aaNetworks update-source aanet<\/li>\n
- neighbor aaNetworks override-capability<\/li>\n
- neighbor aaNetworks soft-reconfiguration inbound<\/li>\n
- neighbor 10.45.252.10 peer-group aaNetworksHQ<\/li>\n
- neighbor 10.45.252.10 update-source 10.45.252.9<\/li>\n
- neighbor 10.45.252.14 peer-group aaNetworksHQ<\/li>\n
- neighbor 10.45.252.14 update-source 10.45.252.13<\/li>\n<\/ul>\n
Ya tenemos a ELZAR conectado (Interfaces dedicadas hacia los dem\u00e1s routers) a sus vecinos e intercambiando rutas, Excelente!.<\/p>\n
La idea es que ELZAR y WERNSTROM publiquen la direcci\u00f3n 10.45.255.1 y a su vez est\u00e9n corriendo DNSmasq que por defecto viene instalado en OpenWRT. Antes de seguir, aqu\u00ed dejo un peque\u00f1o diagrama de red para que se pueda entender la idea.<\/p>\n
![\"\"](\"http:\/\/galeria.arielantigua.com\/var\/resizes\/Ariel-Antigua\/Varios\/OpenWRT\/aaNetworks%20VPN%20Networking.jpg?m=1393541489\")
<\/a><\/p>\nOtra configuraci\u00f3n que debemos realizar es en zebra.conf, all\u00ed crearemos las interfaces donde tendremos las direcciones IP con \/32, estas son la loopback (usada en router id & la IP para Anycast).<\/p>\n
![\"\"](\"http:\/\/galeria.arielantigua.com\/var\/resizes\/Ariel-Antigua\/Varios\/OpenWRT\/elzar-3.jpg?m=1393541514\")
<\/a><\/p>\nLa configuraci\u00f3n en ELZAR es la siguiente:<\/p>\n
- \n
- Current configuration:<\/li>\n
- !<\/li>\n
- hostname elzar-zebra<\/li>\n
- password MiSuperPassword<\/li>\n
- service advanced-vty<\/li>\n
- !<\/li>\n
- interface aanet<\/li>\n
- ipv6 nd suppress-ra<\/li>\n
- !<\/li>\n
- interface eth0<\/li>\n
- description \u00abtesting\u00bb<\/li>\n
- ipv6 address 2001:470:b24c:f021::1\/126<\/li>\n
- ipv6 nd suppress-ra<\/li>\n
- !<\/li>\n
- interface eth1<\/li>\n
- ipv6 address 2001:470:b24c:ff22::2\/126<\/li>\n
- ipv6 nd suppress-ra<\/li>\n
- !<\/li>\n
- interface eth2<\/li>\n
- ipv6 address 2001:470:b24c:dead::9\/64<\/li>\n
- ipv6 nd suppress-ra<\/li>\n
- !<\/li>\n
- interface lo<\/li>\n
- ip address 10.45.254.9\/32<\/li>\n
- ipv6 address 2001:470:b24c:254::9\/128<\/li>\n
- ip address 10.45.255.1\/32<\/li>\n
- !<\/li>\n
- access-list vty permit 127.0.0.0\/8<\/li>\n
- access-list vty deny any<\/li>\n
- !<\/li>\n
- ip forwarding<\/li>\n
- ipv6 forwarding<\/li>\n
- !<\/li>\n
- !<\/li>\n
- line vty<\/li>\n
- access-class vty<\/li>\n
- !<\/li>\n
- End<\/li>\n<\/ul>\n
Aqu\u00ed se pueden ver las 2 direcciones IP.<\/p>\n
En este momento las direcciones de loopback y la usada para Anycast son visibles en los dem\u00e1s routers de mi red.<\/p>\n
![\"\"](\"http:\/\/galeria.arielantigua.com\/var\/resizes\/Ariel-Antigua\/Varios\/OpenWRT\/nixon-showipbgp-1.jpg?m=1393541525\")
<\/a><\/p>\nConfigurando DNSmasq al estilo OpenWRT.<\/p>\n
OpenWRT tiene su m\u00e9todo de configuraci\u00f3n, aunque la mayor\u00eda de los paquetes instalables se pueden configurar v\u00eda su propio m\u00e9todo, algunas veces es mejor hacerlo as\u00ed.<\/p>\n
DNSmasq es configurado desde \/etc\/config espec\u00edficamente en el archivo dhcpd.<\/p>\n
![\"\"](\"http:\/\/galeria.arielantigua.com\/var\/resizes\/Ariel-Antigua\/Varios\/OpenWRT\/elzar-dhcpd-1.jpg?m=1393541517\")
<\/a><\/p>\nLuego procedemos a editar el dnsmasq.conf ubicado en \/etc, aqu\u00ed podemos realizar configuraci\u00f3n de la forma oficial y soportada por el proyecto de dnsmasq. La configuraci\u00f3n es muy extensa pero lo m\u00e1s importante y relacionado con esta entrada es:<\/p>\n
- \n
- listen-address=10.45.255.1<\/li>\n
- #Send most DNS lookups to opendns.com<\/li>\n
- server=208.67.222.222<\/li>\n
- server=208.67.220.220<\/li>\n
- #aaNetworks request to internal servers<\/li>\n
- server=\/aanetworks.org\/172.22.35.66<\/li>\n
- #server=\/aanetworks.org\/10.45.254.7<\/li>\n
- server=\/172.in-addr.arpa\/172.22.35.66<\/li>\n
- server=\/10.in-addr.arpa\/172.22.35.66<\/li>\n
- server=\/aanetworks.local\/172.22.35.50<\/li>\n
- server=\/aanetworks.local\/172.22.35.100<\/li>\n<\/ul>\n
No me gusta que OpenDNS me responda bogus-nxdomain as\u00ed que agregamos lo siguiente:<\/p>\n
- \n
- #blocked opendns.com bogus-nx<\/li>\n
- bogus-nxdomain=67.215.65.130<\/li>\n
- bogus-nxdomain=67.215.65.132<\/li>\n
- bogus-nxdomain=208.67.222.222<\/li>\n
- bogus-nxdomain=208.67.220.220<\/li>\n<\/ul>\n
Reiniciamos DNSmasq para probar que nuestro IP para Anycast DNS sea utilizado como IP preferido para escuchar en los puertos de DNS.<\/p>\n
![\"\"](\"http:\/\/galeria.arielantigua.com\/var\/resizes\/Ariel-Antigua\/Varios\/OpenWRT\/elzar-dnsmasq-1.jpg?m=1393541517\")
<\/a><\/p>\nDesde un cliente de la red, con una direcci\u00f3n de 172.22.35.0\/26 esto es lo que tenemos cuando hacemos un dnslookup.<\/p>\n
![\"\"](\"http:\/\/galeria.arielantigua.com\/var\/resizes\/Ariel-Antigua\/Varios\/OpenWRT\/nslookup-1.jpg?m=1393541521\")
<\/a><\/p>\n![\"\"](\"http:\/\/galeria.arielantigua.com\/var\/resizes\/Ariel-Antigua\/Varios\/OpenWRT\/tracert-1.jpg?m=1393541526\")
<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"