Configuraciones, ulisescesar

MULTIWAN CON OPENWRT EN NANOSTATION. PRIMERA PARTE

En definición, un MultiWan es útil cuando tenemos 2 o más entradas WAN (internet o enrutado a otras redes) y queremos que una única red utilice las 2 o más salidas WAN de una manera determinada. Podemos configurar para que al caer una de las WAN, la otra empiece a trabajar, o arreglarlo para que se repartan el trabajo entre ellas.

Esto no aumentará el ancho de banda; si tenemos una entrada de Internet de 2 Mbps y otra de 4 Mbps NO tendremos un ancho de banda de 6 Mbps.

Para OPENWRT existe un paquete (hay que descargar e instalar) nombrado mwan3 que facilita la configuración de manera simple para un Multi-WAN, es amigable en el entorno de su uso y de administración, tiene además opciones para el balanceo de carga, conexión de emergencia contra fallos (failover) y facilidad para operar configuración de reglas de tráfico, entre otras bondades.

En nuestro caso que solo tenemos un proveedor de Internet, pareciera que el concepto de MultiWan nos margina en su aplicación pues no tendría sentido. Pero de una manera pintoresca y sui generis podemos obtener de un solo proveedor de Internet varias conexiones a través del Portal Cautivo ( el Multiportal).

¿Por qué necesitaríamos una configuración MultiWan?  De todos es conocido que compartimos el internet que recibimos con nuestra cuenta, ya sea en el entorno de la familia (red del hogar) o con algunos vecinos. La experiencia  ha manifestado que cuantos más sean los que se incorporen a nuestra red, más lenta se torna la navegación, a veces hasta imposible en dependencia de la calidad de la conexión en un momento dado.

¿Cómo lograr separar en grupos para que cada uno de ellos tenga una conexión independiente? ¡ Es paradójico que comenzamos  compartiendo nuestro Internet y ahora queremos independizarlo!!…

En primer lugar, necesitamos establecer más de un punto de conexión con la red de nuestro interés.

En segundo lugar, segmentar nuestra red utilizando VLAN (acrónimo de virtual LAN); un método para crear redes lógicas independientes dentro de una misma red física.

En tercer lugar, utilizar el paquete mwan3 que viabilizará todo el conjunto.

El ejemplo está desarrollado en Nanostaion M2 con versión de Lede 17. Al final de este artículo están los link del video y de la aplicación utilizada para las VLAN en Windows.

No se ilustrará todo el proceso utilizando imágenes de pantalla como en otras ocasiones ya que no es productivo debido al cierto grado de complejidad.

Este tutorial tendrá un segunda parte en la que se explicará cómo incorporar nuestra antena a un Router Tp_Link que usa Lede o con un RouterBoard de Mikrotik .

No obstante, con lo explicado en el video se puede utilizar un Switch no administrable o de capa 2 aunque el rendimiento no será el mismo que con un Switch de capa 3 o Routers.

A disfrutar:

Link del video:   http://www.mediafire.com/file/ziq7e7k101ycwjd/Multiwan.mkv

Link de la aplicacion para windows 7-8:   http://www.mediafire.com/file/zvytamc776387c0/0003-DiagnosticAllin1%282.0.2.8%29_20141112_General_RC1.zip

Link de la aplicacion para windows 10:   http://www.mediafire.com/file/ekeu3lkp7vcbay4/0002-Diagnostic%282.0.2.12%29_20160930_Win10Only.zip

Acerca de ulisescesar

El autor no ha proporcionado ninguna información.

45 Comments

  1. Hola, @ulicescesar se que no tiene que ver con la entrada mi comentario pero ya pregunte en la entrada correspondiente y no tengo respuestas, pregunto de nuevo, sobre el servidor DHCP de los Nanostation, ya logre que asignara ip, pregunta: existe alguna manera de entrar al nano via LAN? porque hice todos los pasos que mostraste en tu entrada y solo asigna ip a los equipos que se conecten a el, pero por lan no deja entrar al equipo, necesito me digas si es esta la unica forma, o es posible acceder mediante LAN. Saludos

  2. ulisescesar

    Saludos Douglas:
    De acuerdo al ejemplo ilustrado, debes revisar lo siguiente:
    Primero:
    Bajo el titulo “Configuración de la red Wan” está la IP 192.168.1.102, esta es la IP para entrar al nano via lan. También tienes que tener desmarcado la casilla “Bloquear acceso administrativo”.
    Segundo:
    La configuración de la tarjeta de red del PC tiene que estar en el mismo rango de red del nano. En el ejemplo está: Dirección IP 192.168.1.159 Máscara de subred: 255.255.255.0 Puerta de enlace Predeterminada: 192.168.1.102.
    Si tu configuración está así o parecida, porque puedes cambiar las IP, no hay razón para que no puedes acceder al nano por LAN.
    El principio es, que hay que observar que el nano y la tarjeta de red del PC deben estar en el mismo segmento de red, en el ejemplo: 192.168.1.XXX

    • Digital

      Buenos dias ulisescesar , exelente publicacion ya me habias hablado sobre el multiwan en openwrt. Quisiera comentarte algo me ha estado pasando con un nanom5 modo Ap-Rep al q conecto un mikrotik perfectamente en modo station peseudobrigde y hasta el momento de actualizar el nano a versiones posteriores a 6.5.11 se conecta y desconecta el mikrtoik constantemente , como unico no se desconecta es cambiando la conexion a station wds en el mikrotik pero esta conf no es totalmente transparente ya q a pesar q haber red y ver todos los equipos algo en el bridge no funciona correctamente pues algunos programas q uso como un chat lan deja de ve hacerme visible a los demas viendo yo a todos , algo extraño quizas falta algo por config en el mikrotik,. Quisiera me comentaras si te ha pasado algo parecido o lo has visto , necesito la version 5.6.11 tanto xw como hm y ahora resulta q ubiquiti ya no las tenia publicadas..Saludos y gracias por tu ayuda.

      • ulisescesar

        Saludos Digital:
        Sobre Mikrotik y Nanos te comentaré en cuanto compruebe un par de cuestiones. Desafortunadamente no tengo las versiones de firmware 5.6.11, pero, ¿que tienen de particular esas versiones que no puedas resolver por ejemplo con la 5.6.15?

        • Digital

          Saludos Elisescesar
          La verdad q antes estaba conectado a este mismo equipo con la misma config y todo estaba bien porq lo q todo lleva a q fue el firmware, es algo bien extraño hay desconexiones aleatorias constantes en modo station pseudobridge donde el mikrotik siempre a conectado sin problemas, pues cuando se pone en station wds nunca hay desconexiones pero hay problemas a nivel de capas y el bridge no es totalmente transparente.He probado con las versiones mas recientes de firmware de ubiquiti y sigue haciendo lo mismo, mi red es de tres nanos dos locosm5 uno XM y otro XW y un nanom5 XW todos repitiendo con el mismo nombre sino no se puedo establecer la conexion algo q ubiquiti cambio cuando incoporo los nuevos modelos XW pues con los XM puedes repetir con el nombre q desees.Bueno seguire intentando soluciones ya llevo casi una semana y no doi con el problema.Gracias ulisescesar exitos en tus proyectos con openwrt y felicitaciones por lo q has logrado…

        • Digital

          Hola ulisescesar he dado con el problema q tenia y queria compartirlo contigo ,pues te cuento q son las versiones de airOS posterior a 5.6.11 , monte en el equipo la 5.6.9 y todo perfecto ,. Ahora el problema es q con la version 5.6.9 solo se activan 22 frecuencias y no esta la q uso normalmente y como el equipo es EU xw no hay forma de activar el copilance test por lo menos yo no lo he logrado de ninguna manera , nada q sigo ahora con otro problema, Gracias y Saludos ..

    • ok gracias por responder” Saludos

  3. YOLO!!!

    Saludos Ulises. Muy interesante tus artículos sobre OpenWRT para los equipos Ubiquiti. Tengo una duda…
    Con OpenWRT se puede activar las frecuencias del Compilance Test?
    Como extra te comento que en artículo anteriores hablaste sobre el flasheo via tftp para hacer DOWNGRADES desde 6.1.x … 100% funcional con los equipos XM que he probado, incluyendo el mío… Gracias x la info compartida…

    • ulisescesar

      Saludos YOLO:
      Openwrt no ha incorporado en su sistema esta opción, como sabrás hay una regulación internacional para esto. Ubiquiti lo eliminó de forma oficial y deja a cuenta y riesgo de cada quien activarlo mediante script. Los fabricantes quieren estar dentro de la legalidad. No obstante para Openwrt hay una linea de comandos para liberar frecuencias, no la he probado aun, si tengo éxito lo compartiré.

  4. Kenny

    COMO INSTALO EN MI NANOSTATION M2 EL OPENWRT????, he investigado y mas menos se como se hace, incluso descarque lo que creo que es el SO para nano, pero no se cual elegir, hay unos cuantos, y hay variantes que no se para que son o si una es mejor que otra. Alguien me puede explicar por favor, cual es la DIFERENCIA entre: Sistema Operativo Backfire de 2011 y el Barrier_Breaker de 2014, obvio este ultimo es mas actual, pero los nombres de los archivos se escriben asi 1=”openwrt-ar71xx-generic-ubnt-nano-m” que diferencia tienen los finales 2=”-squashfs-factory”, 2=”-squashfs-sysupgrade” 2=”-squashfs-factory” 2=”-xw-squashfs-sysupgrade”, todas las variantes de nombres son 1+2= al nombre completo… CUAL INSTALO POR TFTP?????????????

    • ulisescesar

      Saludos Kenny:
      Debes leer la primera entrada titulada “OPENWRT” allí hay información en el articulo y en los comentarios.

  5. YOLO!!!

    Gracias por la respuesta. Por lo q puedo ir entendiendo, esta forma de configuración permite conexiones a Internet Independientes, o sea, sin compartirla, perdiendo la posibilidad de interconexión entre los clientes vía LAN (corrijanme si me equivoco).
    Ahora, mi pregunta es…
    En los TP Link Pharos y los Ubiquiti, se puede establecer una configuración similar para no compartir el Internet entre los clientes? Si es así, como se hace?

    • ulisescesar

      Saludos YOLO:
      Tener conexión independiente es el propósito de esta configuración,o sea, cada grupo de red sera independiente y solo podrán compartir entre los host que pertenezcan a la misma red; pero si quisieras que los host de diferentes red se vieran, habrá que definir en el firewall una regla para conseguirlo. Recuerda que el propósito de las VLAN es crear redes independientes dentro de una misma red física. Cualquier equipo (me refiero a las antenas que solo tienen un puerto o dos Rj45) que sean compatible con Openwrt puede hacerse esta configuración. El ejemplo está desarrollado sobre un Nanostation M2, también se ha probado sobre antenas Alfa. El cómo se hace, está en el video.

      • YOLO!!!

        Gacias!!! Voy a ver el video y ponerme pa eso…

  6. alberthlg

    por favor algun firmware para un nanostation m5 para crearvarias interfaces como el mikrotik para hacer multiportal

  7. talento

    Hola ulisescesar, saludos para usted y felicidades por su trabajo con este blog, es genial, quisiera exponer que tengo un nano loco 5, la versión del firmware que tiene es la mas actual de ubiquity pues pude descargar hace unos días pero me interesa el tema del wrt para nanos pero visité la web oficial de openwrt y encontré algo referente a esto pero cuando intento subirlo al nano me da error, me dice que no es compatible. Lo extraño es que en la web lo que sale es una referencia de un picostation. Nada, todo muy confuso jjeje, o quizas yo sea muy bruto jjej, gracias de antemano.

    • ulisescesar

      Saludos Talento:
      Que versión de firmware tiene el nanoloco (XM o XW) y en qué actualización está.

  8. drogon

    Buenas, gracias por el video, probe la configuracion en un M5 xw y funciona de maravilla, solo que tuve que usar una USB-TTL para bajar el firmware a 5.5.10 porque daba error. Tambien desactive las interfaz wan 2 y wan 3 que me daban problemas,porque por el momento uso solo la wan con 1 ip, hasta que instale el firewall para poder crear las VLANs que debe ser Kerio control 9.2.6, o routerOS 6.40.3 mikrotik; cual de los 2 firewall usted me recomienda?, Saludos Cordiales

    • ulisescesar

      Saludos Drogon:
      Pudieras explicar que quieres decir con: “…hasta que instale el firewall para poder crear las VLANs que debe ser Kerio control 9.2.6, o routerOS 6.40.3 mikrotik…”.
      Gracias anticipadas

      • drogon

        saludos ulisecesar, tengo un firewall y quiero poder controlar cada VLAN contra cada wan y resulta que el firewall solo me ve la lan con wan, la wan 2 y wan 3 tengo problemas con la VLANs y por eso las desactive, no me supe explicar, no es problema en la configuracion de lo que usted explica en el video, es problema entre el firewall y el Lede que no me ve las VLANs ya creadas en el firewall, si las ve la aplicacion y funciona pero no es lo que quiero al final necesito un firewall. Instalé KerioOS,y declare las VLANs y no me funciona. Hasta ahora estoy probando para lograr que me vea esas VLANs, saludos no se si me explico

        • ulisescesar

          Saludos Drogon:
          Entendido; entonces prefiero un RouterBoard de Mikrotik.

  9. Jose

    Hola ulises, quisiera preguntarte si con un switch balanceador se puede hacer esto mismo, porque tendo le red mia y la de un colega que también la comparte, y quisiera saber si se puede unir las dos redes al switch y así cuando no tenga de un lado puedo tener del otro y si no hara conflicto con el portal cautivo de etecsa gracias

  10. Gabriel

    Hola Ulices: tengo una duda. Yo hice todo lo q decia el video el primero y el segundo pero no logro conectarme a las vlan no se si soy yo q lo q kiero hacer esta mal te explico. Kiero conectar 2 m5 al ap q tiene agragadas las vlan y cada uno por una vlan diferente pero no usar el dhcp sino conectarme usando el mismo rango de ip pero no me da conecion a ninguna vlan ni ping al luci porfa aclarame la duda

    • ulisescesar

      Saludos Gabriel:
      Para responder adecuadamente debes aclarar con cuantos equipos cuentas, si tienes router, swicht, es decir, explica como tienes distribuida tu red.

      • Gabriel

        tengo un m5 con el luci conectado a un swicht, otro m5 en ap y varios m5 contra ese ap, tengo q agregar algo aprte en los equipos q se conectan al ap ahh y si solo funcionan con trajeta de red las vlan, pudiera conectar un telefono a uan de esas vlan

        • ulisescesar

          Saludos Gabriel:
          En mi opinión, lo primero que debias haber hecho es probar con DHCP y evaluar la configuracion en el sentido de su funcionalidad y luego que hayas tenido la confianza de la operatividad de tu red, entonces haces todos los cambios que desees. No obstante puedo decirte que para lograr que cada M5 que conectes al AP tenga un direccionamiento a una VLAN específica, puedes definir en las Rutas Estáticas esta condición.

    • drogon

      Hola, tengo funcionando un m5 pero tuve que darle tagged a las VLAN porque en la pestaña network hay una opcion que dice switch donde las vlan no estan tagged al puerto lan, que no sale en el m2 que explica ulicescesar, no se si sera tu caso pero le di tagged a las vlan en puerto lan y eso me resolvio el problema, Saludos

      • El moro

        Drogon: Tengo un M5 con el firmware de Lede y por ejemplo la potencia maxima la establece en 22 dbm y los canales tamien xon un fracaso, tampoco me sale eso del swicht en la solapa network. Pudieras decir que firmware pusiste en tu m5 y ademas como lo hiciste. Gracias

        • drogon

          El moro, tambien me establece esa potencia máxima,no se xq, pero está en auto y se conectan las 3 WLAN a la misma intensidad que con el firmware original AirOS, el firmware que tiene puesto es lede-17.01.4-ar71xx-generic-ubnt-nano-m-xw-squashfs-factory.bin, como ves es un M5 XW, tiene los canales de 5Ghz del 36 al 165. Para ponerle el firmware bajé a la version 5.5.10 de AirOS y por web le subí el lede, y la excelencia del tutorial hizo la gran parte, espero te ayude, Saludos

      • Gabriel

        gracias bro lo pruebo y te respondo

  11. DarkDemon

    Hola ulisescesar

    Disculpa este off topic pero es que necesito que investiguen un tema para aprender más profundo acerca de la seguridad de los nanos sobre todo de los M2 y Loco M2.

    Unos amigos tienen una situación donde alguien le esta duplicando la red y bueno sus nanos empiezan a trabajar mal o rechazan sus usuaios y luego no pueden autenticarse de nuevo, así son las cosas, la red que imita a los de mis amigos toma el nombre y el canal pero se mantiene sin contraseña y bueno no tengo equipamiento para testear esto y probar formulas para mitigar esta interferencia.

    Mis amigos estan desesperados porque aunque estamos casi seguros de quien, hay algunas cosas que no se pueden hacer sin prueba concretas… además para evitar que esto llegue a males mayores necesito contrarrestar este problema.

    Espero por tu pronta respuesta.

    • ulisescesar

      Saludos DarkDemon:
      Lástima que estas cosas ocurran; lo que estás experimentando es un ataque “Man in the Middle”, los atacantes hacen un falso AP con el SSID y el canal para que los usuarios se conecten a este y no al AP original. Una forma de prevenir ese tipo de intrusión es cambiando el SSID y ocultándolo además de cambiar también el canal, (supongo que tengas clave de seguridad); luego informa a tus usuarios de los cambios realizados. Además puedes actualizar a la última version de Airos 6.1.7, esta versión tine protección contra ataques de disociación. Buena suerte.

      • Pupo

        Gracias por tu pronta respuesta y bueno quisiera explicarte que este loco m2 es el que quiero cambiar para OpenWRT pero con todo lo expuesto acá no se si decidirme porque como nadie ha escrito sobre la versión estable para los loco m2 y ustedes no han podido públicar acerca de esta versiónpara dichos loco m2, estoy un poco contrariado y bueno se me hace dificíl tomar la decisión de actualizar porque de verdad deseo instalarle OpenWRT al nano. dime que hago??? Además anteriormente tenían un M2 actualizado a la versión 6.1.7 y le lograban hacer lo mismo e incluso colapsaba más rápido que este que tienen ahora. Necesito que me aconsejes que puedo hacer…

        ¿Crees que si monitoreo y entro en su red podría hacerme en un corto lapso de tiempo hacerme con su PC usando back Track o Kali Linux?
        Otra pregunta: ¿El ataque tiene que ser con otra antena poderosa, o sea, otro nano o puede ser con cualquiera, antena usb u otra parecida?
        Además por qué colapsa la antena, o sea, hace pequeños reinicios y además empieza a cortar la comunicación de los que ya estan conectados correctamente.
        ¿Podrías explicarme esto?

        • ulisescesar

          Saludos Pupo:

          Para cambiar el firmware al loco M2 debes tener en cuenta que si es de la versión XM hay que hacer primero un downgrade a cualquier versión de la 5.5.X y aunque para la versión XW no hacen la misma advertencia, por precaución también le hiciera un downgrade a la 5.5.X.
          Kali-Linux es la distro utilizada a día de hoy para hacer Pentesting o Hacking Etico; sabes que para entrar en otra red, deberás hacer varias acciones las que dudo mucho tengas éxito usando los métodos tradicionales, (cambio de MAC, ataques de contraseñas, etc) tal vez con un poco de Ingeniería Social pudieras alcanzar algo, pero… y de que te serviría!!!… En mi opinión lo más acertado es enfrentar directamente al causante de tus problemas…¿Qué legalidad podrías usar frente a este tipo de actuaciones?… En otro lugar del mundo ya habrías ganado la batalla porque conoces la identidad de quien lo hace.
          Con Kali-Linux se utilizan generalmente antenas wifi usb que sean compatibles con esta distro, y la más utilizada es de la marca Alfa-Network. Según el tipo del adaptador Alfa empleado, se podrán utilizar antenas omni o direccionales más o menos potentes, pero siempre va a influir la distancia del objetivo. Sin utilizar Kali, se pueden realizar pruebas de Pentesting o ataques, empleando la suit de Air*. Con los nanos en sus firmware originales no se pueden utilizar para estos propósitos, pero con el firmware de Openwrt/Lede, sí, ya que descargarías el paquete de Air*, con lo que puedes poner la antena en modo monitor y etc, etc, etc…..
          Ataque de desautenticación no solo con Kali, también está Wifislax, se realizan para impedir la conexión de los usuarios a la red, obtención de handshake para descubrir contraseñas, en definitiva para joder…
          Soluciones:
          1)Red Cableada; 2) Cambia el AP por uno de la frecuencia de 5 GHZ; 3) Utiliza Compliance Test para un canal más alto; 4) Bajar la potencia del AP; 5) ENCARAR A TU ATACANTE.

          ¿De qué Provincia eres?

          • Yoannis Pupo

            Santiago de Cuba, pero del municipio Contramaestre.
            Bueno or lo menos me das algunas opciones de la cuales les dire a mis amigos que elijan la mejor para ya quitarnos este martirio de encima.

            Y con la vieja distro de back track 5 se puede hacer tambien, verdad???

            Bueno espero poder llevar a cabo las soluciones que me planteas.

            Gracias por todo hermano disculpa las molestias….

          • ulisescesar

            Saludos Pupo:
            Este blog es para compartir lo poco que sabemos, aprender de todos…por eso no debe haber disculpas, ni tampoco pensar que se causan molestias por preguntar, hay veces que no sabemos la respuesta, pero donde hay una solución conocida la compartimos…
            Kali-Linux es el sucesor de Back Track, también se puede hacer con esa distro, solo hay que adaptarse a un entorno u otro, pero es básicamente lo mismo.
            Espero que resuelvas.

  12. alberthlg

    hola foro , alguien me puede ayudar a donwgradear un nano station m2 de version v6.1.7 a la v5.5.6

  13. Luiso

    Ulises tengo una duda, que quisiera que me pusdieses aclarar,tengo tplink cpe210 v2 que no admite realizarle el open wrt, busque en la tabla de hardware y solo la version 1 es la que permite realizarle el cambio hacia el otro sistema,la version que tengo dice algo de snapshot que al parecer según estuve leyendo es como que esta en prueba;pero si me conecto a la red de etecsa y logro hacer con un router que tengo, el multiwan, Realizará este la misma función que tu logras aqui o todos van a seguir compartiendo la misma red gracias de antemano

    • ulisescesar

      Saludos Luiso:
      El multiwan, como su nombre lo indica, está orientado a varias conexiones a Internet (ADSL, Fibra, WIFI,…) conectados a la vez a un mismo Router, lo cual define un requisito: deben coexistir varias conexiones para poder hacer un multiwan.
      En nuestro caso sucede que con una sola antena logramos varias conexiones con el mismo proveedor de Internet, la que de llevarla hasta el router, podríamos hacer el multiwan en este.
      Ahora bien si estás tan cerca de la señal wifi de ETECSA, que el router es capaz (con el firmware de Openwrt/Lede) de captar la señal, obviamente en el modo Cliente, puedes hacer el multiwan directamente en el router.

  14. williamss

    Alguien sabe como cambiar la region a un TP-LINK CPE510 no se me conecta a etecsa por favor ayudenme grasias

  15. Luiso

    Ulises tu has trabajado con antenas alfa network, que opinas de ellas para el multiwan?

    • ulisescesar

      Saludos Luiso:
      Tengo un Alfa N2, en mi opinión son muy buenas.

  16. David

    OpenWrt para dispositivos Ubiquiti como NanoStation M2, y otros actualmente no esta soportada en la version de la rama Master/Trunk. Esto se debe a que los desarrolladores estan unificando todas las arquitecturas MIPS dentro de una sola llamada ath79, esto llevara tiempo. Actualmente la version disponible de OpenWrt viene con el Kernel Linux de 4.9 como maximo, por lo que no se pueden aprovechar muchas caracteristicas del Kernel 4.14 como Software Flow Offload y Hardware Flow Offload.

    Por cierto, con respecto a lo que hablan de algun equivalente del CT para OpenWrt, pues oficialmente no existe, OpenWrt deja muy claro que intentan cumplir la regulacion, y en los casos de los NanoStation vienen con la regulacion USA-FCC o WORLD-FCC. La unica forma de hacerlo es usar reghackv2 o compilar uno mismo el firmware para la plataforma ar7xx.

    Saludos, David.

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *