Asi que tube que "resetearlo" a su configuración de fabrica perdiendo gran parte de mis configuraciones que no tenia anotadas, como tenia que hacer todo el trabajo de nuevo para ponerlo operativo, decidí aprovechar y actualice el Firmware de DD-WRT que tenia instalado (v24-SP1-07/24/08) y montar el mas reciente.
Esta guia esta escrita obviando muchos detalles que son conocidos para personas que saben administrar redes y ya han usado DD-WRT u otro firmware no generico en una ocasión anterior. Si estas leyendo esta micro-guia y quieres usar DD-WRT por primera vez te recomiendo leer MUY DETALLADAMENTE su wiki y las guias al respecto.
En vez de irme directamente por la pagina web y bajar el firmware "recomendado" por su Router Database, decidí pasearme por los foros a ver que cosa interesante podria conseguir, algun tip o quizas un firmware BETA que andase por alli ya que los que aparecen en la web tienen mas de 6 meses sin actualizarse.
Para mi sorpresa me encuentro con un par de anuncios en su foro que en un principio ni me percate de ello, pero al navegar durante un rato me di cuenta que habían muchos posts con la famosa respuesta "READ THE ANNOUNCEMENTS" y bueno pues me puse a leerlos.
Recomendaciones de Firmware - Actualizado 06/10/10
Resumen FAQ - TODO LO QUE NECESITAS SABER!!!
Nota: solo para routers basados en chip Broadcom
El primer post es bastante claro en su titulo, y te muestra cuales son los firmwares recomendados para chips Broadcom y CUALES NO.
- V24 Final - Mayo 2008 [MALO]
- V24-SP1 - Julio 2008 [MALO] este era el que yo usaba!
- Beta 13064 - Oct 2009 [Problemas con redes Wireless]
- Kernel 2.6 builds inferiores a la 13527 [Bug 100% CPU con UPnP Habilitado y otros Bugs]
Leyendo mas abajo te aclaran entonces cual es la version RECOMENDADA para los routers basados en chip Broadcom actualizada al 6 de Junio del 2010.
- BrainSlayer builds (13525)
ftp://dd-wrt.com/others/eko/BrainSlayer ... /broadcom/
(quien lo desee puede tomar la version dd-wrt.v24_vpn_generic.bin si desea montar una VPN usando OpenVPN pero esto no viene al curso en este micro tutorial, asi como tambien no todos los routers pueden usar el mismo firmware, todo depende muchisimo de la cantidad de memoria FLASH que tenga tu router y el modelo, si no sabes cuanta memoria tiene tu router puedes utilizar la Router Database de la pagina de DD-WRT mas no bajarse los firmwares recomendados sin haber leido al respecto primero en los foros)
Luego de realizar todo el proceso de actualizacion de firmware y resetear el router correctamente procedo a configurarlo con las opciones basicas para que pueda volver a tener internet, algunas configuraciones adicionales que recomiendo son las siguientes:
- Cambiar los DNS de CANTV por los de OpenDNS
- Asignar IPs Estaticas por DHCP a todas las computadoras de la Red
Pero me llamo la atencion una segunda alternativa igual de segura que una VPN y es usando SSH para crear una conexión Segura Cifrada y con un acceso al Router por autentificacion de usuario mediante un Certificado Firmado SSH2-RSA y con ello acceder a la red de mi casa/oficina, luego a través de ese túnel dirigir una conexión por VNC al equipo que yo desee y tenga instalado un Servidor VNC por supuesto, es mas, subiendo el nivel de ZOMGWTFBBQ!!, configurar un Wake-On-LAN (WOL) para dicho equipo, podiendo entonces "encenderlo" remotamente mediante la misma conexion SSH siempre y cuando este este conectado por cable de red RJ45 al router.
Basicamente ese es el experimento, ahora hagamos un pequeño resumen de como llegar a esto:
DNS DINAMICA CON DYNDNS.COM
Se acuerdan cuando configuraron OpenDNS como les recomende anteriormente? no solo por que sus DNS son mucho mas rapidas y aceleran la respuesta de los sitios webs y nos ofrecen cierto grado de proteccion contra malware, botnets y otros filtros, no solo por eso, sino por la funcionalidad que tiene con http://www.dnsomatic.com/ que nos permite configurar varios servicios en uno solo! pues con DNS-o-MATIC podemos actualizar no solo OpenDNS sino tambien DynDNS con tan solo una configuracion.
De todas formas si no queremos usar OpenDNS podemos usar DynDNS individualmente siguiendo estas instrucciones.
Nos registramos en http://www.dyndns.com y creamos nuestra cuenta FREE para asi crear un DNS Alias que siempre apuntara a nuestra dirección IP, este es actualizado por el mismo router que actualiza frecuentemente con DynDNS/DNS-o-MATIC manteniendo nuestra IP actualizada en estos servicios.
Ya con esto tenemos una forma de saber cual es el IP de nuestro Router, con simplemente hacer "ping" al dns alias que generamos podemos obtener la direccion IP externa de la red de nuestra casa/trabajo que es nuestro punto de entrada.
SERVIDOR VNC
En este aspecto podemos elejir la alternativa que queramos, pero yo me decanto por dos opciones UltraVNC y TightVNC como TightVNC no funciona todavia en Windows 7 (pero si XP/2000/Vista) me fui entonces por la otra alternativa UltraVNCque funciona igual de bien y soporta plentamente Windows 7.
Este lo instalamos en ambas computadoras, tanto la "cliente" como la "remota" es facil de instalar en unos clicks y una vez terminado solo tenemos que entrar en el panel de control y configurar un par de cosas. Si no queremos tener que instalar el VNC Server en la computadora "cliente" ya que no lo usaremos, entonces simplemente nos bajamos el Viewer.
Incomming Connections
Ports: Acá podemos dejar el puerto por defecto 5900 o elegir otro puerto aleatorio como hemos hecho anteriormente.
Authentication
VNC Password: Aqui colocaremos la contraseña de acceso a este equipo que tendra full control sobre el mismo.
View-Only Password: Si queremos que alguien acceda pero solo con privilegios para "ver" nada mas.
File Transfer
Enable: Opcional pero util cuando se necesita.
Misc
Remove Aero: Mientras menos efectos mejor.
Remove Wallapper: Lo mismo que arriba.
Basicamente eso es todo, si quieren agregar unos cuantos mas adelante.
Asegurense de que UltraVNC esta registrado como un Servicio y Ejecutandose para que de esa forma siempre que se encienda el PC este estara disponible.
Ahora vamos con lo dificil!!!
ACCESO SSH EXTERNO + CLAVE PUBLICA SSH2-RSA
Hay un par de guias de como hacer esto, pero yo personalmente recomiendo estas dos [1] [2], ambas dicen casi lo mismo pero una complementa la otra.
Simplemente activamos el Servicio SSHd y configuramos un puerto para usarlo, por seguridad no usemos ningún puerto inferior al 1024, por lo que podemos elegir uno entre 1025-65535, yo tomaría uno entre los 49152–65535, activar el "SSH TCP Forwarding" es opcional.
"Password Login" es un metodo muy inseguro ya que utiliza los mismos credenciales de acceso al router, por lo que no lo usaremos sino que utilizaremos unas claves RSA Publica y Privada generadas por PuTTYgen tal como nos lo indican aqui, es altamente recomendable que al crear la clave y asegurarla con una contraseña, de esta forma si por error alguien llega a conseguir nuestra Clave PRIVADA (que es un archivo secreto y que debemos proteger/ocultar) este no podra usarla a menos que sepa la contraseña, una vez colocada la "Authorized Key" (Clave Publica) en el campo, le damos a Save y luego a Apply.
Activamos el Acceso Remoto mediante "SSH Management" y seleccionamos el mismo puerto que pusimos en la opcion anterior, Save, Apply y reinciamos el router = Reboot.
Siempre que queramos podemos deshabilitar el SSH por esta ultima opcion y asi cerrar el accesso.
Comprobamos que nuestro acceso por SSH funciona utilizando PuTTY configurandolo de la siguiente manera
- Host es el DNS Alias que creamos con DynDNS
- Port es el puerto unico que elejimos anteriormente
- Seleccionamos conexión SSH.
Luego mas abajo desplegamos las opciones de SSH y en Tunnels creamos un, valga la redundancia "tunel", para pasar nuestra información, escojamos un puerto al azar superior al 1024 para usarlo en "Source Port" (en este ejemplo 1234), luego colocamos en Destination el IP LOCAL ESTATICO DE RED de la computadora que queremos acceder, ya hemos configurado un IP Estatico por DHCP a nuestras computadoras por lo que lo colocamos alli, fijense que en este ejemplo el IP lleva un puerto 9900, este puerto es el del VNC que configuraremos anteriormente, por defecto el VNC se conecta al puerto "5900". Nos aseguramos que tenemos "Local" y "Auto" seleccionados y luego clickeamos en el boton "Add" para añadir este tunel.
Finalmente en la seccion de "Auth", abrimos nuestro archivo de Clave PRIVADA que creamos con PuTTYgen junto a nuestra Clave Publica.
Una vez seleccionado todo esto podemos conectarnos con PuTTY a nuestro Router
Código: Seleccionar todo
login as: root
DD-WRT v24 vpn (c) 2008 NewMedia-NET GmbH
Authenticating with public key "rsa-key-20100619"
Passphrase for key "rsa-key-20100619":Código: Seleccionar todo
==========================================================
____ ___ __ ______ _____ ____ _ _
| _ \| _ \ \ \ / / _ \_ _| __ _|___ \| || |
|| | || ||____\ \ /\ / /| |_) || | \ \ / / __) | || |_
||_| ||_||_____\ V V / | _ < | | \ V / / __/|__ _|
|___/|___/ \_/\_/ |_| \_\|_| \_/ |_____| |_|
DD-WRT v24
http://www.dd-wrt.com
==========================================================
BusyBox v1.11.1 (2008-07-27 16:20:53 CEST) built-in shell (ash)
Enter 'help' for a list of built-in commands.
root@routerhome:~#
Ya sea 127.0.0.1::1234 o localhost::1234 (ojo lleva :: entre el IP y el puerto)
Note que el puerto 1234 es el mismo que usamos en el ejemplo con PuTTY y este es el puerto que usaremos como nuestra "entrada" desde la computadora local "cliente" y el cual tendrá su "salida" en la computadora remota "servidor" 192.168.1.30:9000 (donde 192.168.1.30 debe ser el IP ESTATICO asignado por el Router a la computadora remota y 9000 es el puerto que seleccionamos para usar con VNC ya sea 5900 el por defecto o cualquier otro que hayamos configurado), toda la información que se mueva por este puerto esta siendo Encriptada por el Protocolo SSH y por ende es una conexion Segura, asi como el acceso SSH a nuestro Router es seguro mediante una validación por Clave SSH2-RSA que requiere una clave privada y una contraseña para poder acceder.
BONUS: WAKE-ON-LAN
Configurar el Wake-On-LAN para el equipo en cuestion, seguimos esta corta y simple guia que nos explica como configurarlo y probarlo. Cabe destacar que no hay forma de hacer WOL a un equipo que este conectado inalambricamente, ya que al apagar el equipo los componentes PCI(E) no reciben alimentación por lo que la tarjeta se apaga y no puede recibir datos.
Las tarjetas madres mas modernas de hoy en día traen esta opción de WOL para las tarjetas de red integradas, las cuales son alimentadas siempre y cuando el equipo este conectado a una fuente, esta opcion ser activada en la BIOS, algunas veces bajo los nombres "Power On By PCI Devices", "Wake On LAN", "Remote Power Up", "WOL(PME#) From Soft-Off" asi como tambien activar la opcion en la configuracion de la tarjeta de red en el administrador de dispositivos de Windows.
Para ello tildamos la opcion que dice "Permitir que este dispositivo reactive el Equipo" y el que diga "Permitir solo un Magic Packet para reactivar el equipo"
Desde Windows 7 podemos acceder a ello mediante el Centro de Redes y Recursos Compartidos > Cambiar Configuracion del Adaptador > Conexion de Area Local de la Tarj Correspondiente > Propiedades > Configurar > Administracion de Energia
Tambien asegurarnos que la Opcion Avanzada para Wake on Lan este activada por driver.
Una vez que lo hayamos configurado todo y probado que el equipo recibe la señal WOL ya sea por medio de un servicio online como http://www.dslreports.com/wakeup (recuerden configurar el firewall como dice en la guia) o mediante una herramienta http://magicpacket.free.fr/ y que este puede ser encendido.
----------------------------------------------------------------------------------------
Una vez realizado todo esto, podremos no solo encender nuestro equipo remotamente cuando lo necesitemos sino entrar y acceder remotamente mediante un canal seguro a nuestro PC y administrarlo, o simplemente para ver como van las descargas por el bittorrent...
