Configuración de la interfaz Ethernet alámbrica¶
Índice
Interfaces en Opuntia¶
Un concepto familiar en las redes informáticas es el de «interfaz». Una «interfaz» es una construcción de software que permite a los sistemas informáticos interactuar con las redes. Una interfaz puede representar un dispositivo físico como un puerto Ethernet. También puede representar dispositivos virtuales como un dispositivo de bucle de retorno.
Opuntia amplía ligeramente este concepto. Opuntia se basa en un sistema operativo Linux y el sistema Linux base puede tener muchas interfaces de red diferentes. Una interfaz Opuntia puede ser mapeada a una interfaz Linux. Y la Interfaz Opuntia también puede ser un grupo de Interfaces Linux puenteadas. Al unir varias interfaces, todas comparten el mismo espacio de direcciones IP / IPv6 de la red. Y cualquier anfitrión (host) conectado a cualquiera de estas interfaces puede comunicarse directamente.
Por ejemplo, una configuración común es tener una interfaz de red Lan y Wan. La interfaz Wan se asigna a una interfaz de Linux que está conectada a un proveedor de Internet ascendente (upstream). La interfaz Lan suele ser un conjunto de todas las demás interfaces Ethernet del router. Esto replica una configuración común de equipo en instalaciones del consumidor (CPE, por sus siglas en inglés, Customer premises equipment) en la que se utiliza una interfaz para conectarse a un proveedor de Internet y todas las demás interfaces del sistema comparten una red.
Esta relación entre una interfaz en Opuntia y la interfaz de red base de Linux es un concepto clave que también es necesario para entender cómo configurar las etiquetas VLAN en los dispositivos Ethernet. Esto se tratará en detalle en la sección de VLAN. Pero como breve introducción es el mapeo de la interfaz de Opuntia a la interfaz de red de Linux el que controla si el tráfico que sale del sistema será etiquetado VLAN.
De tal manera, las interfaces de red de Opuntia son un mapeo 1:1, 1:muchos o incluso muchos:1 con respecto a las interfaces de red de Linux. Las interfaces de Opuntia tienen una nomenclatura flexible que facilita la comprensión del propósito de una interfaz; por ejemplo, el nombre de Wan frente a un nombre de dispositivo Linux de enp97s0f0. También se utilizan para definir la pertenencia a una zona de cortafuegos.
En Opuntia cada interfaz tiene un protocolo de red asociado. Volviendo al ejemplo común del dispositivo CPE. La interfaz Wan normalmente está configurada con el protocolo «Cliente DHCP». Esta configuración hace que el sistema realice una solicitud de DHCP IPv4 en la interfaz física conectada al ISP. Si se requiere IPv6 DHCP es común tener una interfaz Wan_6 también configurada. Esta interfaz Opuntia comparte la misma interfaz física con la interfaz Wan. Pero en este caso tiene una configuración de protocolo de red diferente «cliente DHCPv6». La interfaz Lan tendría configurada una «dirección estática». Esta dirección estática suele ser una dirección privada RFC 1918.
A continuación se muestra la página de la interfaz de red de un router configurado en este escenario. Puede ver un par de interfaces Wan y Wan_6. Estas interfaces tienen configurado el protocolo «DHCP» y «DHCPv6». En esto, obtendremos la dirección ip 192.168.79.14/24 en la interfaz Wan y 2605:6000:62e0:400::1fa/128 en la interfaz Wan_6. Tanto la interfaz Wan como Wan_6 están compartiendo el mismo dispositivo Linux, en este caso eth0. La interfaz Lan está configurada con una dirección IPv4 estática de 10.10.199.1/24 y el subsistema IPv6 ha asignado un intervalo de red de 2605:6000:62e0:410::1/62 a esta interfaz. El código de color de los dispositivos le indica qué zona de cortafuegos se aplica a la interfaz.
Para demostrar lo que ocurre a nivel de Linux aquí está la configuración en el sistema operativo base. La interfaz Linux eth0 tiene tanto la dirección IPv4 asignada por DHCP como la dirección IPv6 asignada por DHCPv6.
Entender cómo interactúa Opuntia con la pila de redes de Linux es importante si planea usar reglas de cortafuegos iptables personalizadas, para monitorear e interactuar en la CLI. La pila de redes de Linux no conoce los nombres de los dispositivos de Opuntia. Por lo tanto, los intentos de utilizar los nombres de los dispositivos de Opuntia desde la CLI fallarán.
Configuración de la Vlan¶
Configurar las interfaces VLAN en Opuntia es un proceso sencillo pero poco intuitivo. En la sección anterior hemos hablado de que las interfaces de Opuntia no son necesariamente las mismas que las de Linux. La interfaz Linux es la que controla si un dispositivo añade una etiqueta VLAN a las tramas Ethernet salientes. Esto se hace simplemente configurando el nombre de la interfaz Linux que termina con .#vlan-id#. Así, por ejemplo, si se quiere configurar la interfaz física eth1 para utilizar la VLAN ID 100, se crearía una interfaz llamada eth0.100. Para ello tendrá que crear una nueva interfaz y luego establecer un nombre de dispositivo personalizado.
Las siguientes capturas de pantalla muestran esta operación. Primero creará una nueva interfaz. En este ejemplo estamos utilizando el protocolo estático. La interfaz física se iniciará como sin especificar; seleccionamos el cuadro desplegable y escribimos un nombre de interfaz personalizado en el cuadro. En este caso, como queremos que la nueva interfaz sea la VLAN ID 100 en la interfaz física eth1, escribimos eth1.100.
Una vez que hayamos introducido el nombre de la interfaz personalizada, pulsamos enter y el cuadro desplegable de la interfaz rellenará el nombre correctamente.
Esto es todo lo que se necesita para configurar una interfaz Opuntia etiquetada VLAN. Todo el tráfico transmitido por esta interfaz saldrá del sistema con la etiqueta VLAN 100 establecida. Todas las tramas Ethernet recibidas en eth1 con etiqueta VLAN 100 serán recibidas en esta interfaz.
Esto es lo que mostrará Opuntia cuando se termine de configurar la interfaz. Observe que el nombre de la interfaz aparece como eth1.100.
QinQ¶
Opuntia también es compatible con IEEE 802.1ad, conocido también como proveedor puente o etiquetado VLAN QinQ. Esto permite el apilamiento de etiquetas VLAN. La configuración es exactamente la misma que con la configuración normal de la VLAN, pero se añade una etiqueta VLAN adicional. En el siguiente ejemplo estamos configurando una interfaz QinQ que tiene una etiqueta de servicio de proveedor (S-TAG) de 100 y una etiqueta de cliente (C-TAG) de 20. Siga las instrucciones para configurar las interfaces VLAN e introduzca «eth1.100.20» como nombre del dispositivo.
He aquí lo que Opuntia mostrará después de configurarlo. Observe que el nombre del dispositivo aparece como eth1.100.20.
Así es como luce en el nivel de la interfaz de Linux.
Configuración del protocolo¶
Opuntia es compatible con varios protocolos de interfaz diferentes. Este ajuste en la configuración del protocolo configura el modo de funcionamiento principal de la interfaz. A continuación se indican los tipos de protocolo más utilizados.
- Direcciones estáticas
- Cliente DHCP
- Cliente DHCPv6
- No gestionado
- WireGuard VPN
- Agregación de enlaces (IEEE 802.3ad)
- PPPoE
Vamos a cubrir cada uno de estos tipos de protocolo en detalle. Sin embargo, hay otros tipos que son compatibles pero que no estamos documentando en este momento debido a la falta de uso en el mundo real. Si considera que debe utilizar uno de estos protocolos y tiene dificultades, póngase en contacto con el servicio de asistencia de ImageStream en support@imagestream.com.
Para cambiar la configuración del protocolo de una interfaz, primero navegue a la página de la Interfaz en la GUI Web.
Menú principal - Red –> Interfaces
Allí verá un listado de todas las interfaces actualmente configuradas en el sistema. A continuación mostramos la página de interfaces del ejemplo de Wan y Lan que utilizamos al hablar de las interfaces de Opuntia.
Como puede ver tenemos tres interfaces definidas; Wan, Wan_6 y Lan. Este ejemplo tiene configurado el protocolo DHCP en la interfaz Wan, DHCPv6 en la interfaz Wan_6 y el protocolo de dirección estática en la interfaz Lan.
Para cambiar una interfaz a un protocolo diferente, haga clic en el botón «Edit» (editar) de esa interfaz. A continuación, seleccione el cuadro desplegable denominado «Protocolo».
Puede seleccionar su nuevo protocolo y tendrá que Guardar y Aplicar el cambio en la página de Interfaces antes de poder configurar los ajustes para el nuevo protocolo seleccionado.
Direcciones estáticas¶
El «Protocolo estático» permite configurar manualmente direcciones IPv4/IPv6 e intervalos de direcciones en una interfaz. Este es uno de los escenarios de configuración más comunes. Este protocolo se utiliza con frecuencia con las direcciones internas RFC 1918 y para las conexiones ascendentes de Internet. El «Protocolo Estático» también permite la configuración de servidores DHCP/DHCPv6. Por lo tanto, este tipo de protocolo se utiliza casi de manera universal en al menos una interfaz en cualquier implementación.
Interfaz gráfica de usuario web (GUI Web)¶
Se accede a la configuración de la interfaz navegando a la página de interfaces de red.
Menú principal - Red –> Interfaces
Una vez que haya navegado a la página de interfaces, puede hacer clic en el botón «Edit» de la interfaz para ver la pestaña «Configuración general».
En esta captura de pantalla se ve la pestaña «Ajustes generales». Esta pestaña permite configurar direcciones IPv4 e IPv6 estáticas.
- Configuración general (dirección IPv4/IPv6, máscara de red y servidores DNS personalizados)
- Configuración avanzada (IPv6 incorporado, anulación de dirección MAC y anulación de MTU)
- Ajustes físicos (configuración de puentes y selección de interfaces)
- Configuración del cortafuegos (zona de cortafuegos asignada a la interfaz)
- Servidor DHCP (configuración de DHCP y configuración específica de IPv6)
IPv4
Las direcciones IPv4 son las direcciones estáticas más frecuentemente configuradas. Al configurar la dirección IPv4 tiene la opción de introducir la dirección y la máscara de red por separado o de utilizar la notación de lista CIDR. ImageStream recomienda utilizar la sintaxis CIDR, ya que es más legible y es menos probable que se produzca una configuración incorrecta de los intervalos de direcciones.
Para asegurarse de que está utilizando la notación de la lista CIDR. Haga clic en la pequeña casilla de verificación situada al final del cuadro de direcciones IPv4.
Nota
Cuando se opera en notación CIDR es importante asegurarse de que se hace clic en el botón «+» después de escribir la dirección o no se guardará.
Este ejemplo muestra una dirección que NO ha sido guardada correctamente.
Y este ejemplo muestra que la dirección se guarda correctamente. Verá un cuadro de texto nuevo debajo de todas las direcciones guardadas.
Otras configuraciones importantes de IPv4 incluyen «Puerta de enlace IPv4». Es importante tener en cuenta que esto debe establecerse únicamente en una sola interfaz, ya que esto fijará la ruta global IPv4 predeterminada para el sistema.
IPv6 con delegación de prefijo
Importante
Con las implementaciones IPv6, la mayoría de las configuraciones utilizarán el espacio de red proporcionado por el ISP. Si su implementación utiliza prefijos de red delegados por el proveedor, DEBE utilizar las opciones de gestión de IPv6 incorporadas que se describen a continuación y el servidor DHCP DEBE estar habilitado en esta interfaz.
El sistema operativo Opuntia incluye un sistema automático de gestión de IPv6 cuando recibe una delegación de prefijo IPv6 de un proveedor ascendente. Este sistema automático se asegurará de que el sistema está proporcionando a los clientes descendentes las direcciones IPv6 correctas y gestiona cualquier cambio en el enrutamiento que pueda ser necesario. La delegación de prefijos IPv6 es, con mucho, el escenario de configuración más común si se conecta a Internet IPv6. Se trata de un proceso fundamentalmente dinámico que hace imposible establecer una dirección IPv6 estática.
Pero el sistema de gestión IPv6 incorporado permite varios valores ajustables que permiten al administrador del sistema controlar la implementación de redes y direcciones IPv6. Por orden de importancia, estas opciones son: longitud de la asignación IPv6, sufijo IPv6 e indicación de asignación IPv6. Cada una de estas opciones se analizará en detalle en esta sección. Es importante entender que en la mayoría de las configuraciones comunes el único ajuste que es probable que usted configure es la longitud de asignación IPv6. Los otros dos valores probablemente permanecerán sin configurar o en el estado predeterminado.
La opción «Longitud de la asignación IPv6» permite al administrador elegir la longitud del prefijo IPv4 deseado para la interfaz. Esta configuración también se utiliza para indicar al sistema operativo Opuntia que habilite la gestión IPv6 incorporada en esta interfaz. Al seleccionar cualquier valor se desactivarán las opciones normales de configuración estática de IPv6 para establecer una dirección IPv6 estática, una puerta de enlace IPv6 y un prefijo enrutado IPv6.
La longitud de la asignación IPv6 suele ser de 64 bits. Una longitud de prefijo IPv6 de 64 bits permite la autoconfiguración de direcciones IPv6 estándar para la mayoría de los dispositivos cliente (SLAAC y DHCPv6). Para que funcione correctamente debe recibir una delegación de prefijo IPv6 de un proveedor ascendente.
Por ejemplo, si el sistema Opuntia recibió una delegación de prefijo IPv6 de 2605:540:1::/60 y establecemos la «longitud de asignación IPv6» a 64 bits, Opuntia configurará uno de los 16 intervalos de red /64 en la delegación 2605:540:1::/60 en esta interfaz. Si el proveedor ascendente cambia la delegación del prefijo IPv6, esos cambios se aplicarán automáticamente a todos los dispositivos descendentes.
Nota
La mayoría de los sistemas operativos cliente instalan rutas IPv6 utilizando la dirección de enlace local del router. De esta manera una dirección legible para el ser humano en una interfaz es puramente una característica de gestión.
El «sufijo IPv6» establece la ID de la interfaz IPv6. Son los últimos 64 bits de una dirección IPv6. Esto permite al administrador controlar la última parte de una dirección IPv6 que se asigna. Teniendo en cuenta nuestro ejemplo de recibir un prefijo IPv6 de 2605:540:1::/64, si estableciéramos el «sufijo IPv6» como «::100:1», la dirección IPv6 prevista asignada a la interfaz sería 2605:540:1::100:1/64. Esta configuración tiene un valor por defecto de «::1» por lo que en muchos casos no tendrá que hacer ajustes a esta configuración si desea sus router IPv6 en ::1.
La configuración del sufijo IPv6 es útil para la resolución de problemas de la red. Permite establecer la dirección IPv6 legible para el ser humano que el router utilizará cuando sea sondeado con herramientas estándar de resolución de problemas como traceroute y ping.
Importante
Si una «indicación de asignación de IPv6» está fuera de los intervalos de prefijos IPv6 disponibles, esta configuración no tendrá efecto.
Si quisiéramos controlar qué prefijo /64 IPv6 se seleccionará podemos utilizar el segundo ajuste «IPv6 indicación de asignación» (assignment hint). Este es un valor opcional, no se establece de manera predeterminada. Si esta opción está en el estado por defecto, el sistema intentará asignar eficazmente las redes IPv6. Si se requiere el control de la red asignada; el valor es un número hexadecimal que coincide con la ID del sub-Prefijo. Así, en este ejemplo, si queremos asignar 2605:540:1:2::/64 podríamos establecer el valor de la indicación como «2». O si se requiriera asignar 2605:540:1:f::/64 fijaríamos el valor a «f».
Dada la naturaleza dinámica de la delegación de prefijos IPv6, a menudo no es necesario controlar la red específica. También es importante recordar que esto es una «indicación» que requiere que la dirección de red prevista sea incluida en su delegación de prefijo IPv6. Si su proveedor ajusta la delegación de prefijos asignada es muy posible que su «indicación» ya no pueda asignarse a un intervalo de red válido. Eso haría que este ajuste no tuviera ningún efecto. Por este motivo, le sugerimos que no utilice esta función si está recibiendo una delegación de prefijo. Sin embargo, es útil en algunos escenarios de implementación, por lo que su uso se detalla aquí.
Configuración de DHCP/DHCPv6 - Protocolo estático
Nota
Es necesario utilizar la configuración del servidor DHCP en la interfaz para que los dispositivos descendentes reciban la delegación de prefijo IPv6.
Los dispositivos cliente normalmente no tienen asignadas direcciones IPv6 de forma estática. Si está utilizando la gestión de IPv6 incorporada en Opuntia recomendada para delegar prefijos IPv6, debe configurar el servidor DHCP/DHCPv6 en esta interfaz. Esta sección sólo contendrá una breve lista de comandos y ajustes necesarios para garantizar el funcionamiento de los dispositivos cliente. Para una descripción completa de la configuración de la interfaz del servidor DHCP / DHCPv6 y de la configuración global de DHCP, consulte el capítulo sobre el servidor DHCP que aparece a continuación.
servidor-dhcp
Para comenzar, edite la interfaz y haga clic en la pestaña «Servidor DHCP». Verá un botón grande denominado «Configurar servidor DHCP».
Esta pestaña muestra la configuración básica del servidor DHCP para la interfaz.
- Ignorar la interfaz
- Inicio
- Límite
- Tiempo de concesión
La casilla «Ignorar la interfaz» desactivará el servidor DHCP IPv4 en esta interfaz. Si se selecciona, ocultará automáticamente la pestaña de «ajustes avanzados». Esta puede ser una opción de configuración útil si está asignando de manera manual direcciones IPv4 pero quiere usar el subsistema IPv6 incorporado.
El ajuste de configuración «Inicio» especifica en qué lugar del intervalo de la red IPv4 se comienza a asignar las direcciones ip de los clientes DHCP. Por ejemplo, si tiene una red estática de 192.168.85.0/24 asignada a la interfaz y tiene la configuración Inicio» establecida en 100; la dirección ip más baja que se puede asignar es 192.168.85.100. Esta es una configuración necesaria si el servidor DHCP está activado.
El ajuste «Límite» funciona con el valor de inicio para limitar el número de direcciones que se pueden asignar y así definir las direcciones DHCP que se pueden asignar. En nuestro ejemplo de iniciar nuestro grupo DHCP en 192.168.85.100, si utilizamos el valor predeterminado de 150 ro la configuración «Límite» resulta en el sistema asignando direcciones Ip de 192.168.85.100 a 192.168.85.250. O de lo contrario, limitar la asignación a 150 direcciones por encima de la configuración «Inicio». Esta es una configuración necesaria si el servidor DHCP está activado.
El ajuste «Tiempo de concesión» define la longitud de tiempo en el que la concesión DHCP es válida. Esta es una configuración necesaria si el servidor DHCP está activado.
Para configurar los ajustes de DHCPv6 haga clic en la pestaña «Configuración de IPv6».
En esta pestaña vemos la configuración de DHCPv6. Los ajustes más utilizados son los siguientes.
- Servicio de notificación del router
- Servicio DHCPv6
- Modo DHCPv6
- Servidores DNS anunciados
La opción «Servicio de notificación del router» (Router Advertisement-Service) permite al sistema Opuntia enviar paquetes de notificación de router IPv6 en esta interfaz. Esto permite que los dispositivos cliente sepan que el sistema Opuntia está actuando como un router para esta red. También sirve como el principal habilitador para el uso de SLAAC (Configuración automática de direcciones sin estado) para configurar automáticamente las redes IPv6. El valor recomendado es «Modo servidor».
El «Servicio DHCPv6» es la configuración que inicia efectivamente DHCPv6 en la interfaz. El valor recomendado es «Modo servidor».
El «Modo DHCPv6» controla el modo de funcionamiento del servidor DHCPv6. Esta configuración se explicará con más detalle en el capítulo Servidor DHCP. El valor recomendado es «Sin estado + Con estado» (Stateless + Stateful).
La última configuración más común de IPv6 DHCPv6 es la de «servidores DNS anunciados». Este valor es muy similar a la configuración de la opción de servidor DNS para IPv4. Esto permite a los clientes DHCPv6 que sepan una lista de servidores DNS. Esta es una configuración opcional, ya que puede conocer los servidores DNS desde el DHCP IPv4 u otros métodos.
Una cosa interesante sobre la configuración de «Servidores DNS anunciados» es que puede anunciar direcciones de servidores DNS IPv4 o IPv6 utilizando este valor de configuración. Dependiendo del entorno, puede ser válido tener sólo servidores DNS IPv4 especificados en el servicio DHCPv6 IPv6.
IPv6 estático
Hay varios escenarios de implementación en los que no recibirá una delegación de prefijo IPv6. Normalmente esto ocurre cuando se conocen rutas IPv6 a través de un protocolo de enrutamiento dinámico como BGP u Ospfv3. En estos casos es necesario configurar un IPv6 de manera manual en las interfaces. Para empezar, primero debe asegurarse de que el ajuste «Longitud de la asignación IPv6» está desactivado.
Al desactivar la «Longitud de asignación IPv6» ahora verá estas opciones de configuración.
- Dirección IPv6
- Puerta de enlace IPv6
- Prefijo enrutado IPv6
- Sufijo IPv6
Dado que IPv6 soporta fundamentalmente múltiples direcciones por interfaz, la notación de la lista CIDR es la única opción para configurar manualmente las direcciones IPv6. Asegúrese de hacer clic en la pequeña casilla de verificación al final del cuadro de dirección IPv6. A continuación se muestra un ejemplo de cómo añadir varias direcciones IPv6 a una interfaz.
El «prefijo enrutado IPv6» se utiliza con el sistema de gestión IPv6 incorporado. Esto permite al administrador del sistema especificar un prefijo IPv6 estático que se distribuye a los dispositivos cliente utilizando DHCPv6. DHCPv6 DEBE estar activado para que esta configuración sea efectiva. Dado que este intervalo de prefijos se especifica de manera manual por el administrador; éste debe asegurarse de que este intervalo de prefijos IPv6 sea enrutado al sistema Opuntia. Esto puede hacerse utilizando protocolos de enrutamiento dinámico como BGP, Ospfv3 o rutas estáticas.
El «sufijo IPv6» establece la ID de la interfaz IPv6. Son los últimos 64 bits de una dirección IPv6. Esto permite al administrador controlar la última parte de una dirección IPv6 que se asigna. Esta configuración sólo tiene efecto si también ha especificado un «Prefijo enrutado IPv6». Este ajuste tiene un valor predeterminado de «::1».
CLI¶
Al acceder a la interfaz de red, la configuración se almacena en un archivo en la ubicación /etc/config/network. Puede editar este archivo con vi o nano. Después de realizar los cambios en los archivos de configuración es necesario ejecutar el siguiente comando desde la consola del sistema.
reload_config
Esto forzará al sistema a recargar la configuración en ejecución desde los archivos de configuración guardados. Dado que el protocolo estático se utiliza a menudo con la configuración del servidor DHCP/DHCPv6, también cubriremos esa configuración en esta sección. La configuración del servidor DHCP se encuentra en /etc/config/dhcp.
Importante
Al configurar directamente los ajustes en los archivos de configuración, es posible que se introduzcan ajustes no válidos. Tenga cuidado de introducir los valores correctos.
Configuración de la interfaz IPv4
A continuación cubriremos algunos escenarios comunes de configuración de IPv4 y cómo será el formato del archivo de configuración en esas implementaciones.
Este ejemplo establece una dirección IPv4 estática en la interfaz llamada «Home_Lan» y un servidor DHCP en la interfaz con un intervalo de ip-pool de 192.168.85.10 - 192.168.85.250 con un tiempo de cesión (leasetime). Los dos archivos de configuración que hay que modificar son /etc/config/network para la configuración de la interfaz. Y /etc/config/dhcp para la configuración del servidor DHCP.
config interface 'Home_Lan'
option ifname 'eth1'
option proto 'static'
list ipaddr '192.168.85.1/24'
list dns '192.168.85.10'
config dhcp 'Home_Lan'
option interface 'Home_Lan'
option start '10'
option leasetime '3h'
option limit '250'
Opciones CLI IPv4
A continuación se muestra una lista de opciones de configuración comunes para las interfaces IPv4 y las descripciones de los valores.
| Nombre | Tipo | Requerido | Descripción del comando |
|---|---|---|---|
| ifname | Nombre de la interfaz | Sí | Nombre de la interfaz física |
| proto | Tipo de protocolo | Sí | Protocolo |
| ipaddr | dirección ip | Sí | Lista CIDR de direcciones IP |
| netmask | netmask | No | Máscara de subred IPv4 |
| gateway | dirección ip | No | Puerta de enlace IPv4 predeterminada |
| broadcast | dirección ip | No | Dirección IPv4 de difusión |
| dns | lista de direcciones ip | No | Lista de servidores Dns |
| metric | entero | No | Métrica de ruta para esta interfaz |
Esta es una lista de las opciones de configuración de DHCP IPv4 más comunes.
| Nombre | Tipo | Requerido | Descripción del comando |
|---|---|---|---|
| interface | nombre de la interfaz | Sí | Nombre de la interfaz de Opuntia |
| ignore | Int | No | Ignorar el servidor DHCP IPv4 en esta interfaz |
| start | Int | No | Ajuste de inicio del grupo de direcciones dhcp IPv4 |
| limit | Int | No | Número de direcciones en el grupo dhcp IPv4 |
| leasetime | Tiempo | No | Tiempo de vida de la concesión dhcp (horas o minutos) |
| dns | lista de direcciones DNS | No | Listas de servidores dns para notificar a los clientes dhcp |
Configuración de la interfaz IPv6
A continuación cubriremos algunos escenarios comunes de configuración de IPv6 y cómo será el formato del archivo de configuración en esas implementaciones.
Este ejemplo muestra una típica pila dual IPv4 / IPv6 donde se recibe una Delegación de Prefijo IPv6. Este ejemplo muestra que sólo es necesario configurar la longitud ip6assign. A continuación, se utilizará la gestión incorporada de IPv6 para determinar la subred IPv6 correcta para asignar a la interfaz. Como el sufijo IPv6(ip6ifaceid) tiene un valor predeterminada de «::1» la configuración típica sólo tiene configurada la opción “ip6assign”.
También estamos configurando el DHCPv6 para que asigne las direcciones a partir del prefijo IPv6 asignado. Este es un ejemplo de configuración para trabajar en un entorno de doble pila.
Este ejemplo muestra la configuración más sencilla de IPv6. Solicita que se asigne un bloque de red IPv6 /64 a la interfaz. Esto hará que el sistema intente obtener una red pública IPv6 válida para asignar a la interfaz. Este espacio de direcciones se asigna a partir de la delegación de prefijos IPv6 asignados que el sistema obtuvo mediante DHCPv6. Si no hay suficiente espacio de direcciones IPv6, el sistema no asignará un /64.
config interface 'Home_Lan'
option ifname 'eth1'
option proto 'static'
list ipaddr '192.168.85.1/24'
list dns '192.168.85.10'
option ip6assign '64'
Esta configuración DHCP/DHCPv6 muestra cómo configurar el sistema Opuntia como servidor DHCPv6. Y permite que el sistema haga una delegación de prefijos a los dispositivos descendentes. Esto se suele combinar con la configuración simple de la interfaz de pila doble anterior.
config dhcp 'Home_Lan'
option interface 'Home_Lan'
option ra_management '1'
option ra 'server'
option dhcpv6 'server'
option start '10'
option leasetime '3h'
option limit '250'
Este ejemplo muestra dos direcciones IPv6 estáticas asignadas a la interfaz Home_Lan.
config interface 'Home_Lan'
option ifname 'eth1'
option proto 'static'
list ip6addr '2506:dead:beef:540::1/64'
list ip6addr '2007:86:e0f1:480::5/128'
option ip6prefix '2001:10:96:e010::/64'
Este ejemplo muestra una configuración de una red IPv6 pura. Utiliza la gestión incorporada de IPv6 para asignar el bloque de red /64.
config interface 'Home_Lan'
option ifname 'eth1'
option proto 'static'
option ip6assign '64'
Opciones CLI IPv6
Para acceder a la interfaz CLI de los sistemas Opuntia, consulte el capítulo Acceso-SSH del manual.
Las opciones de configuración más comunes se enumeran en la siguiente tabla.
| Nombre | Tipo | Requerido | Descripción del comando |
|---|---|---|---|
| ifname | Nombre de la interfaz | Sí | Nombre de la interfaz física |
| proto | Tipo de protocolo | Sí | Protocolo |
| ip6addr | dirección ipv6 | Sí / No* | Dirección IPv6 (no es necesaria si se establece una dirección IPv4) |
| ip6ifaceid | sufijo ipv6 | No | ID de interfaz IPv6 ( valor fijo, aleatorio, eui64) |
| ip6gw | dirección ipv6 | No | Puerta de enlace IPv6 predeterminada |
| ip6assign | longitud del prefijo | No | Delegar un prefijo de esta longitud |
| ip6hint | indicación de prefijo | No | Indicación de prefijo en formato Hex |
| ip6class | prefijo ipv6 | No | |
| ip6prefix | prefijo ipv6 | No | Prefijo IPv6 para distribución a los dispositivos cliente |
| Nombre | Tipo | Requerido | Descripción del comando |
|---|---|---|---|
| interface | nombre de la interfaz | Sí | Nombre de la interfaz de Opuntia |
| leasetime | Tiempo | No | Tiempo de vida de la concesión dhcp (horas o minutos) |
| dns | lista de direcciones DNS | No | Listas de servidores dns para notificar a los clientes dhcp |
| dhcpv6 | modo servidor | No | Servidor DHCPv6 (servidor, relé o híbrido) |
| ra | modo servidor | No | Modo de notificación del router (servidor, relé o híbrido) |
| ra_management | Int | No | Modo DHCPv6 ( 1: Sin estado + Con estado) |
Cliente DHCP¶
El protocolo «cliente DHCP» configura una interfaz para solicitar un IPv4 mediante el protocolo DHCP. Cuando se conecta como dispositivo cliente a una red, esta suele ser la configuración deseada, ya que permite la configuración automática de la dirección IPv4 y de los ajustes DNS.
Nota
La pila dual IPv4 e IPv6 requiere interfaces de Opuntia separadas. Por defecto, Opuntia tiene una interfaz Wan para DHCP y una interfaz Wan_6 para DHCPv6. La interfaz física se debe configurar para la interfaz ascendente.
Para más información sobre las configuraciones de pila dual o doble, consulte la sección Cliente DHCPv6-alámbrico.
Interfaz gráfica de usuario web (GUI Web)¶
Se accede a la configuración de la interfaz navegando a la página de interfaces de red.
Menú principal - Red –> Interfaces
Una vez que haya navegado a la página de interfaces, puede hacer clic en el botón «Edit» de la interfaz para ver la pestaña «Configuración general».
Esta captura de pantalla muestra la configuración básica de la interfaz DHCP. Dado que el protocolo «cliente DHCP» solicita la configuración de la red a un servidor DHCP, se requiere poca configuración por parte del usuario. El ajuste más importante de la configuración del usuario es probablemente la elección de la zona del Cortafuegos en la pestaña de configuración del cortafuegos. Dado que el «cliente DHCP» suele estar configurado en interfaces conectadas al acceso a Internet ascendente, la zona del cortafuegos wan predeterminada es probablemente la configuración correcta.
Las otras pestañas tienen los siguientes tipos de opciones de configuración.
- Configuración avanzada (anulación de dirección MAC y anulación de MTU)
- Ajustes físicos (configuración de puentes y selección de interfaces)
- Configuración del cortafuegos (zona de cortafuegos asignada a la interfaz)
CLI¶
El protocolo «cliente DHCP» tiene pocas opciones de configuración predeterminadas. Por lo que la configuración de la CLI es muy sencilla. Sólo tiene que conectarse al sistema Opuntia a través de ssh. Para acceder a la interfaz CLI de los sistemas Opuntia, consulte el capítulo Acceso-SSH del manual.
A continuación se muestra una configuración típica para el protocolo «cliente DHCP» en una interfaz Wan.
config interface 'Wan'
option ifname 'eth0'
option proto 'dhcp'
Se trata de una configuración muy sencilla. A continuación se muestra una configuración más compleja que anula el nombre del anfitrión (hostname) que el sistema informará al servidor DHCP ascendente.
config interface 'Wan'
option ifname 'eth0'
option proto 'dhcp'
option hostname 'Opuntia-Test'
Opciones de configuración de la CLI
Las opciones de configuración más comunes se enumeran en la siguiente tabla.
| Nombre | Tipo | Requerido | Descripción del comando |
|---|---|---|---|
| ifname | Nombre de la interfaz | Sí | Nombre de la interfaz física |
| proto | Tipo de protocolo | Sí | Protocolo “dhcp” |
| hostname | hostname | No | Anulación del nombre del anfitrión (por defecto, el nombre del anfitrión actual) |
Cliente DHCPv6¶
El protocolo «DHCPv6 client» configura una interfaz para solicitar la delegación de prefijos IPv6 a un servidor DHCPv6. Este es el protocolo «cliente DHCP» equivalente a IPv6 con algunas diferencias clave. Una de las principales diferencias es que Opuntia configurará automáticamente las direcciones IPv6 utilizando la configuración automática de direcciones sin estado (SLAAC), DHCPv6 sin estado, DHCPv6 con estado o DHCPv6-PD si alguna de estas opciones está disponible. Dado que las direcciones de anfitrión IPv6 se van a configurar automáticamente en las interfaces, la función de DHCPv6 suele ser la de recibir una delegación de prefijo IPv6 mediante DHCPv6-PD.
Pila dual¶
Las operaciones de doble pila con direcciones IPv4 e IPv6 concurrentes asignadas a las mismas redes físicas son una configuración muy común. Opuntia permite este tipo de configuración pero no se pueden ejecutar múltiples protocolos en una sola interfaz de Opuntia; Opuntia por defecto incluye múltiples Interfaces para DHCP ascendente (Wan) y DHCPv6 (Wan_6). Estas interfaces permiten al operador configurar el protocolo DHCP y DHCPv6 en la misma interfaz física de Linux. Hay que tener cuidado para asegurarse de que se hace referencia a la misma interfaz física tanto en la interfaz Wan como en la Wan_6 de Opuntia.
Interfaz gráfica de usuario web (GUI Web)¶
Se accede a la configuración de la interfaz navegando a la página de interfaces de red.
Menú principal - Red –> Interfaces
Una vez que haya navegado a la página de interfaces, puede hacer clic en el botón «Edit» de la interfaz para ver la pestaña «Configuración general».
El protocolo DHCPv6 tiene dos opciones principales de configuración. El modo «Solicitar dirección IPv6» y «Solicitar longitud de prefijo IPv6».
El modo «Solicitar dirección IPv6» establece si estamos intentando solicitar una dirección IPv6 en la interfaz. La opción predeterminada es try (intentar) que, como su nombre indica, intenta asignar una dirección IPv6. Esta configuración recomendada.
La opción «Solicitar longitud del prefijo IPv6» especifica la longitud de la delegación de prefijos IPv6 solicitada al router ascendente. El valor predeterminado es auto y las opciones disponibles son auto, no, 0-64. La configuración auto aceptará la longitud del prefijo que el router ascendente proporcione.
Importante
La configuración auto no solicitará automáticamente suficiente espacio de prefijo IPv6 para su configuración.
Si necesita más espacio IPv6 del que su proveedor asigna al sistema por defecto, puede especificar manualmente la longitud del prefijo IPv6. Normalmente, los proveedores no permitirán solicitudes de delegación de prefijos mayores que un /56. Ajuste la longitud del prefijo IPv6 solicitado según sea necesario.
Las otras pestañas tienen los siguientes tipos de opciones de configuración.
- Configuración avanzada (anulación de dirección MAC y anulación de MTU)
- Ajustes físicos (configuración de puentes y selección de interfaces)
- Configuración del cortafuegos (zona de cortafuegos asignada a la interfaz)
CLI¶
Para acceder a la interfaz CLI de los sistemas Opuntia, consulte el capítulo Acceso-SSH del manual.
El protocolo DHCPv6 tiene pocas opciones requeridas para una configuración estándar. A continuación se muestra un ejemplo de configuración común.
config interface 'Wan_6'
option ifname 'eth0'
option proto 'dhcpv6'
option reqaddress 'try'
option reqprefix '60'
Como puede ver, en la mayoría de los casos solo es necesaria una configuración mínima. Normalmente sólo reqaddress “try” y la longitud del prefijo IPv6 que se necesita.
Opciones de configuración de la CLI
Las opciones de configuración más comunes se enumeran en la siguiente tabla.
| Nombre | Tipo | Requerido | Descripción del comando |
|---|---|---|---|
| ifname | Nombre de la interfaz | Sí | Nombre de la interfaz física |
| proto | Tipo de protocolo | Sí | Protocolo “dhcpv6” |
| hostname | Hostname | No | Anulación del nombre del anfitrión (por defecto, el nombre del anfitrión actual) |
| reqaddress | Modo | No | Modo de solicitud (intentar, forzar, ninguno) |
| reqprefix | Longitud del prefijo IPv6 | No | Longitud del prefijo IPv6 (auto, no, 0-64) |
| ip6prefix | Prefijo IPv6 | No | IPv6 proporcionado por el usuario para la delegación de cliente |
| defaultroute | Booleano | No | Ruta predeterminada (0 no, 1 sí, por defecto 1) |
| dns | Lista de direcciones IP | No | Servidores Dns proporcionados por el usuario |
WireGuard VPN¶
WireGuard is a simple and fast modern VPN solution that uses state of the art cyptography. It’s designed to be replace traditional VPN’s while being simpler to configure. It is also more performant than OpenVpn. The offical WireGuard site lists the following as the major advantages of WireGuard.
- Sencillo y fácil de usar
- Criptográficamente sólido
- Superficie de ataque mínima
- Alto desempeño
WireGuard también es muy tolerante a los cambios en la red. Por ejemplo, si un dispositivo cliente está conectado a un sistema Opuntia utilizando WireGuard y la dirección IP pública de los dispositivos cliente cambia debido a la itinerancia a una nueva red; el túnel vpn de WireGuard puede ser restablecido en sólo milisegundos. Esto permite un funcionamiento sin problemas en condiciones de red cambiantes.
Por estas razones WireGuard es la solución VPN preferida para Opuntia.
Generar un par de claves¶
GUI web
WireGuard requires a public and private key pair. And all connectinng devices will need to know the Public key for the WireGuard interface. And there must be a unique private key for each WireGuard interface. With Opuntia version 4.8.18 and newer when creating a new WireGuard interface you will be given the option to easily create a new key pair on the general settings page of the WireGuard interface.
CLI
To generate a new WireGuard key pair using the Bash CLI please see the Acceso vía SSH chapter of the manual. Once you have an active CLI shell, you can run the following commands.
mkdir -p /etc/wireguard
cd /etc/wireguard
wg genkey | tee ./privatekey | wg pubkey > ./publickey
Los dos primeros comandos crean un directorio /etc/wireguard. Sólo la última línea crea efectivamente la clave pública y privada. Las claves resultantes estarán codificadas en Base64. Para el resto de este capítulo utilizaremos las siguientes claves de ejemplo.
privatekey: 4NM0x6/2ndJktcHTfRXnWS3tzlo95QEgPBsen+swjFw=
publickey: 2wGMjbn6FU4+QKk7y1s37LuOfotw5moUR2LlFwXqJQ8=
Interfaz gráfica de usuario web (GUI Web)¶
Interface Configuraion
Para funcionar, una VPN de WireGuard requiere una interfaz de WireGuard y una configuración de pares para cada dispositivo conectado a la VPN.
Para comenzar a crear una nueva interfaz de WireGuard primero navegue a la página de interfaces de la red.
Menú principal - Red –> Interfaces
Luego, haga clic en el botón «Añadir nueva interfaz».
Dé nombre su nueva interfaz y seleccione el protocolo WireGuard VPN.
In Opuntia version 4.8.18 or newer if you have not already created a WireGuard key pair you can now press the «Generate Key» button to create a new key pair for this tunnel interface.
A continuación, verá los ajustes de configuración de la interfaz de WireGuard. Inicie la configuración añadiendo la clave privada para esta interfaz de WireGuard. La clave privada sólo se utilizará en la configuración de la interfaz. Para permitir
Nota
WireGuard utilizará un puerto de escucha predeterminado de 51820. Si tiene varias interfaces de WireGuard tendrá que especificar diferentes puertos udp para cada interfaz.
While technically not required; we recommend that you set an Ip address on the WireGuard interface. In this example we will used the ip address of 172.26.0.1/30.
Peer Configuraion
Once a WireGuard Interface has been configured, you will need to configure a peer. A single WireGuard interface can have one or many peers connected. In our example above we used the 172.26.0.1/30 address so we can only connect a single remote peer. To add a Peer you must know the public key of the WireGuard interface the remote peer.
In our example the public key is «3OAccqtCvi8wsbUssrN6luBgIQSv8QdTqlokZIcc9mE=». It’s possible to add a Preshared Key for additional security.
Each peer configuraion has an allowed range of IP addresses that will be passed over the WireGuard VPN. In this case since we have configured 172.26.0.1/30 on our interface. So it follows that the valid IPv4 network range is 172.26.0.0/30. So in our example we add that network range to the Allowed IPs.
This example also shows the common option of «Route Allowed IPs». When enabled; this option adds to kernel route to the network ranges that are configured as allowed IPs. This is very useful if you have networks that you wish to reach over the WireGuard VPN. In this example, the WireGuard Interface has a /30 network range assigned. But we also have a 10.40.2.0/24 network we wish to reach over the VPN. Using the «Route Allowed IPs» option makes it easy to add the routes.
The «Endpoint Host» is the IP address or DNS hostname of the remote peer. This allows the Opuntia system to initiate the VPN connection.
Nota
For Remote peers that have dynamic IP addresses or port numbers, you do not set Endpoint host or Port number. The remote peer will have to initiate the vpn connection.
Once configured save the changes on the peer tab and then Save & Apply the changes on the interface page.
CLI¶
Para acceder a la interfaz CLI de los sistemas Opuntia, consulte el capítulo Acceso-SSH del manual.
Interface Configuraion
Once you have CLI access you can edit the network configuration located in “/etc/config/network”. Below is the WireGuard Interface configuraion that matches the configuraion example we detailed in the Web GUI section.
config interface 'VPN'
option proto 'wireguard'
list addresses '172.26.0.1/30'
option private_key '4NM0x6/2ndJktcHTfRXnWS3tzlo95QEgPBsen+swjFw='
option listen_port '51820'
As you can see, the interface configuraion is quite simple.
Peer Configuraion
Here is the matching peer configuraion for our example vpn.
config wireguard_VPN
option public_key '3OAccqtCvi8wsbUssrN6luBgIQSv8QdTqlokZIcc9mE='
option description 'mouse'
option route_allowed_ips '1'
option persistent_keepalive '25'
option endpoint_port '47500'
option endpoint_host '192.168.79.1'
list allowed_ips '17.26.0.0/30'
list allowed_ips '10.40.2.0/24'
No gestionado¶
Unmanaged (sin gestión) es un tipo de protocolo especial previsto para permitir que una interfaz del núcleo (Kernel) de Linux aparezca como una interfaz de Opuntia. Este protocolo tiene dos usos principales.
En primer lugar, esto permite una interfaz para interactuar con la configuración basado en zona de cortafuegos. Esto puede ser útil si quiere incluir un dispositivo del Kernel Linux en una zona de cortafuegos que no tiene actualmente ningún tipo de protocolo Opuntia.
En segundo lugar, si se cuenta con una interfaz que configura con herramientas de Linux. Estos pueden permitir configuraciones más flexibles, pero todavía se necesita que Opuntia esté al tanto de la interfaz. Un ejemplo del mundo real es una configuración VPN que utiliza políticas de enrutamiento, tablas de enrutamiento del kernel e interfaces VLAN para proporcionar una red que se enruta por defecto a través de una conexión VPN y no permite que ningún tráfico de esa red salga nunca de la conexión normal de Internet.