RoadWarrior
Scopo
Il Road Warrior [1] è una persona che è spesso in viaggio, e fa largo uso del computer.
Questo progetto nasce dall'esigenza di portarsi sempre con se la propria rete anche quando si è in viaggio.
Avere sempre con sè una rete wifi sicura e che i nostri dispositivi conoscono ci evita di dover riconfigurarli ogni volta.
In presenza di captive portal basta collegarsi da un solo dispositivo per dare connettività a tutti gli altri.
E' presente anche una wireless sicura che dirotta tutto il traffico attraverso una VPN, in modo da nascondere il traffico sulla rete "ospite" e per accedere alla propria lan senza dover installare in client vpn su ogni dispositivo.
Il sistema inoltre può essere reso modulare aggiungendo moduli che si connettono ad esempio in wifi, 3G o quello che preferiamo.
Tutto questo puo' essere realizzato con un access point router di dimensioni compatte, facile da aggiungere al bagaglio, tipicamente il router ha piu' di una interfaccia di rete e magari una porta usb.
Gli esperimenti descritti di seguito sono stati condotti su due modelli:
* HooToo Trip Mate Nano [2] molto compatto con porta Ethernet, wifi, USB * AUKEY PB-W1, che è un router portatile con powerbank integrato, wifi, ethernet e usb.
Il modello del router non e' fondamentale, e' importante che il router sia compatibile con OpenWRT e che abbia almeno 8MB di flash (necessaria per installare OpenVPN).
Aggiornamento firmware sul router HooToo
In questo caso utilizziamo un piccolo access point portatile su cui installiamo il firmware openwrt, il modello non è importante, quello che conta è che il dispositivo sia compatibile con questo firmware.
Di seguito la procedura per installare openwrt su HooToo, un access point a basso costo, con wifi interno, presa per la rete cablata, alimentato con usb, switch hardware.
L'installazione del firmware è riportata sul wiki di openwrt: http://wiki.openwrt.org/toh/hootoo/tripmate-nano.
Il dispositivo ha bisogno di una memoria usb esterna, ad esempio una chiavetta su cui appoggiare il file con il nuovo firmware.
Per caricare openwrt, spostare lo switch sul router nella posizione "mondo", inserire una chiavetta di memoria usb nello slot.
Collegarsi al router tramite wifi e sull'interfaccia web caricare il firmware openwrt.
Attendere 5 minuti di orologio scollegare l'alimentazione e ricollegarla.
A questo punto ci si può collegare al router con il cavo ethernet.
D'ora in poi sara' possibile utilizzare i files con il firmware ufficiale openwrt.
Riportiamo per comodita' il link dell'ultimo firmware per hootoo (al momento in cui viene editata la pagina): openwrt-15.05-ramips-rt305x-ht-tm02-squashfs-sysupgrade.bin
Configurazione
- Inserire la parte di installazione di openwrt -
Configurazione WiFi client
Collegarsi al router all'indirizzo 192.168.1.1.
Cambiare indirizzo ip della lan e applicare le modifiche, io ho usato 192.168.250.1. Fatto questo bisogna ricollegarsi al router al nuovo indirizzo.
Accedere ad internet andando su Network - Wifi.
Cercare una wifi conosciuta facendo scan sulla scheda di rete interna.
Impostare la password di rete e salvare applicando le modifiche.
Aggiornamento software e installazione pacchetti
Collegarsi al router in ssh (ad esempio con il programma Putty).
Installare i pacchetti dando i seguenti comandi:
opkg update
opkg install nano
opkg install luci-ssl
Voglio usare sue schede wifi, quella integrata per esporre le mie reti, una esterna per collegarsi all'hotspot che fornisce connettività.
Per il supporto periferiche usb ho dovuto installare i seguenti pacchetti:
opkg install kmod-usb-core kmod-usb-ohci kmod-usb2
Per fargli riconoscere la mia scheda wifi "blueway"
opkg install kmod-rt2800-lib kmod-rt2800-usb kmod-rt2x00-lib kmod-rt2x00-usb
Riavviare per permettere al router di individuare la scheda. Rientrando su Luci, andare su network - wifi e controllare se è apparsa la seconda interfaccia radio
Cancellare le reti, utilizzare la seconda scheda di rete per collegarsi ad internet
Andare su System - system e configurare il nome del dispositivo (che apparirà anche nel nome file quando si salva la configurazione). Se non avete idee suggerisco "RoadWarrior"
Volendo cambiare i server ntp (ntp1.inrim.it,ntp2.inrim.it)
Installare openvpn
opkg install openvpn-openssl
Creare un'interfaccia slan, con ip statico diverso dalla lan (es 192.168.251.1), interfaccia fisica slan, e con dhcp
Creare un'interfaccia swan, unmanaged, con interfaccia fisica tun0
Per farlo vanno aggiunte queste righe su etc/config/network
config interface 'swan'
option ifname 'tun0'
option proto 'none'
config interface 'slan'
option proto 'static'
option ipaddr '192.168.251.1'
option netmask '255.255.255.0'
option _orig_ifname 'lan0'
option _orig_bridge 'false'
option type 'bridge'
option ifname 'slan'
E queste su etc/config/dhcp
config dhcp 'slan'
option start '100'
option leasetime '12h'
option limit '150'
option interface 'slan'
Controllare che il dhcp sia attivo sull'interfaccia slan
Applicare le regole firewall inserendo queste righe su /etc/config/network
config zone
option input 'ACCEPT'
option output 'ACCEPT'
option name 'slan'
option network 'slan'
option forward 'REJECT'
config zone
option forward 'REJECT'
option output 'ACCEPT'
option input 'REJECT'
option masq '1'
option mtu_fix '1'
option network 'swan'
option name 'swan'
config rule
option target 'ACCEPT'
option family 'ipv4'
option proto 'udp'
option src 'slan'
option name 'Secure DHCP'
option dest_port '67-68'
config rule
option target 'ACCEPT'
option src 'slan'
option name 'Secure DNS'
option dest_port '53'
option family 'ipv4'
config forwarding
option dest 'swan'
option src 'slan'
Creare dentro a /etc/openvpn il file client.conf e aggiungere i certificati nella stessa cartella.
Il mio è così:
client
dev tun
proto tcp
remote [indirizzo] 443
resolv-retry infinite
#redirect-gateway def1
route-nopull
nobind
persist-tun
persist-key
ca ca.crt
cert roadwarrior.crt
key roadwarrior.key
remote-cert-tls server
verb 1
script-security 3
route-delay 5
route-up "/etc/openvpn/route-up.sh"
keepalive 10 60
E' importante la riga route-nopull perchè non deve ereditare la tabella di routing dal server
Nella stessa cartella aggiungere anche il file route-up.sh, dargli le autorizzazioni e inserire all'interno il seguente script:
#!/bin/sh
# Checks to see if there is an IP routing table named 'vpn', create if missing
if [ $(cat /etc/iproute2/rt_tables | grep vpn | wc -l) -eq 0 ]; then
echo "100 vpn" >> /etc/iproute2/rt_tables
fi
echo "------------------------------------------------------------------"
ip route show
echo "------------------------------------------------------------------"
# Remove any previous routes in the 'vpn' routing table
ip rule | sed -n 's/.*\(from[ \t]*[0-9\.]*\).*vpn/\1/p' | while read RULE
do
echo "remove old rule: /bin/ip rule del ${RULE}"
/bin/ip rule del ${RULE}
done
#echo ifconfig_remote: ${ifconfig_remote} dev: ${dev} > /tmp/antani
# Add routes to the vpn routing table
echo ip rule add from 192.168.251.0/24 lookup vpn prio 1000
ip rule add from 192.168.251.0/24 lookup vpn prio 1000
# Add the route to direct all traffic using the the vpn routing table to the tunX interface
echo ip route add default via ${ifconfig_remote} dev ${dev} table vpn
ip route add default via ${ifconfig_remote} dev ${dev} table vpn
#add a route for the lan itself
echo ip route add 192.168.251.0/24 dev br-slan table vpn
ip route add 192.168.251.0/24 dev br-slan table vpn
ip route flush cache
exit 0
In questo modo openvpn parte all'avvio e cerca di connettersi al server, una volta connessa crea una tabella di routing specifica per la slan (source routing)
Creare 2 wlan sulla wifi integrata (radio0) bridgiate con lan e slan. Le ho chiamate rispettivamente unsecure e secure
Teoricamente se tutto è configurato bene quando si è collegati alla lan (o la wifi unsecure) è possibile navigare in internet in maniera non sicura.
Aprendo il sito http://whatismyipaddress.com/ o simili la connessione proviene dal provider dell'hotspot
Quando si è collegati alla slan (quindi la wifi secure) è possibile collegarsi alla lan che ospita la vpn (la lan di casa mia), e l'indirizzo ip che appare è quello della lan remota.
Per fare in modo che il router si colleghi ad una lista di wifi conosciute ho usato queste istruzioni
https://forum.openwrt.org/viewtopic.php?id=43352
Ho modificato il file wifiMgr.sh cambiando i nomi delle interfacce e aggiungendo alcune funzioni come segue:
#!/bin/sh
. /etc/wifiMgr/config
randMacAddr()
{
macaddr=$(dd if=/dev/urandom bs=1024 count=1 2>/dev/null|md5sum|sed 's/^\(..\)\(..\)\(..\)\(..\)\(..\)\(..\).*$/00:\2:\3:\4:\5:01/')
uci set wireless.@wifi-iface[2].macaddr="$macaddr"
uci commit wireless
/etc/init.d/network restart
}
NetStatus()
{
logger WifiMgr: Checking network...
net=$(ping 8.8.8.8 -c5 |grep "time=")
if [ "$net" ]; then
logger WifiMgr: Network OK
#got ping response!
return
else
logger WifiMgr: Network failed. Starting network change...
NetChange
fi
}
NetChange()
{
logger WifiMgr: Performing network scan...
source /etc/wifiMgr/config
scanres=
ifconfig wlan1 down
iw phy phy0 interface add scan0 type station
ifconfig scan0 up
while [ "$scanres" = "" ]; do
#Sometimes it shows nothing, so better to ensure we did a correct scan
scanres=$(iw scan0 scan|grep SSID)
done
iw dev scan0 del
ifconfig wlan1 up
killall -HUP hostapd
logger WifiMgr: WifiMgr: Searching available networks...
if [ "$1" ]; then
ssid=net"$1"_ssid
eval ssid=\$$ssid
echo Trying to connect to network "$1"": $ssid"
n=$(expr "$1" - "1")
else
n=0
fi
while [ "1" ]; do
n=$(expr "$n" + "1")
if [ "$n" = "99" ]; then
#too much counts. Crazy wireless count, breaking loop!
break
fi
ssid=net"$n"_ssid
encrypt=net"$n"_encrypt
key=net"$n"_key
eval ssid=\$$ssid
eval encrypt=\$$encrypt
eval key=\$$key
if [ "$ssid" = "" ]; then
#ssid not existing or empty. Assume it's the end of the wlist file
break
fi
echo SSID: $ssid
#echo KEY: $key
#echo SEGURIDAD: $encrypt
active=$(echo $scanres | grep " $ssid ">&1 )
if [ "$active" ]; then
if [ "$1" ]; then
echo Network found. Connecting...
fi
logger WifiMgr: "$ssid" network found. Applying settings..
uci set wireless.@wifi-iface[2].ssid="$ssid"
uci set wireless.@wifi-iface[2].encryption="$encrypt"
uci set wireless.@wifi-iface[2].key="$key"
uci set wireless.@wifi-iface[2].bssid=""
uci commit wireless
/etc/init.d/network restart
#wait some seconds for everything to connect and configure
sleep $NewConnCheckTimer
logger WifiMgr: Checking connectivity...
#check for internet connection, 5 ping sends
net=$(ping google.es -c5 |grep "time=")
if [ "$net" ]; then
#got ping response!
logger WifiMgr: Internet working! Searching ended
if [ "$1" ]; then
echo Sucess!
fi
break
fi
if [ "$1" ]; then
echo Connection failed!
break
fi
logger WifiMgr: Failed! Searching next available network...
fi
done
}
if [ "$1" = "" ]; then
echo "No arguments supplied"
elif [ "$1" = "--force" ]; then
NetChange $2
elif [ "$1" = "--daemon" ]; then
if [ "$randMac" = "1" ]; then
randMacAddr
fi
NetChange
while [ "1" ]; do
sleep $ConnCheckTimer
NetStatus
done
else
echo "Wrong arguments"
fi
L'avvio con /etc/init.d ha qualche problema, e a volte scollega tutte le wifi ricollegandosi, ma tutto sommato funziona.
Idee e cose da provare
Non ne so molto di reti routing e firewall, arrivare a questo risultato è stato molto faticoso e frutto di notte insonni e continui insuccessi.
Lo so, è fatto male e si poteva fare meglio ma non so come.
Se qualcuno vuole contribuire e migliorare il progetto è benvenuto.
Un problema è che le query DNS escono sempre dalla wan che non è sicura, bisognerebbe farle girare attraverso la vpn
E' possibile accendere e spegnere il wifi con questo script (che avevo fatto partire con il connect della vpn), da testare
#!/bin/sh
#secure
uci set wireless.@wifi-iface[1].disabled='0'
wifi
#unsecure
uci set wireless.@wifi-iface[0].disabled='1'
wifi
exit 0
Sarebbe bello utilizzare la porta ethernet come wan per collegarsi via cavo. Impostando un indirizzo ip statico di management in caso di emergenza
Di solito i router hanno 1-2 led. Farebbe comodo sapere dai led se la wan e la vpn sono collegate (lampeggio o accensione continua)
Si potrebbe fare uno script per cambiare automaticamente il canale della scheda wireless integrata in modo che le due schede non si disturbino