Wi-Fi, proxies y efectos colaterales. Una nueva trampa cazabobos.

Publicado el 27 septiembre 2016 por Ferlanero @ferlanero
Saludos.
Prometí hace tiempo esta entrada pero por un motivo o por otro -incluido ese vicio nefasto que tengo de dormir de vez en cuando o me vuelvo gruñón... bueno, vale, sí; más gruñón- se ha ido retrasando.
Ahora arreglaremos el problema. Os pongo en situación: Seiscientos usuarios oficialmente, los cuales se supone que sumarán trescientos equipos conectados a la wi-fi. Sumémosle, grosso modo, cien máquinas más de móviles entre profesores, tablets de mackeros irredentos, portátiles personales y alumnos de Bachillerato con derechos adquiridos.
No está mal. Ya no nos sirve la máscara 255.255.255.0 porque podemos necesitar más de 256 ips disponibles si todo se junta... y pasa más de una vez. Necesitamos, al menos dos series completas de ips, aunque eso es fácil; se modifica la máscara a /23 (255.255.254.0) o a /22 (255.255.252.0) tenemos hasta 1024 direcciones posibles. Aquí tenéis una tabla con las posibilidades de la máscara.
Pero claro, como la clave es conocida pues la red es pública, esas cuatrocientas máquinas se doblan sin demasiado problema y sin control. Y eso incluye tanto en el interior como en procesiones por la calle o en los edificios que rodean el centro... Y claro, muchos de esos dispositivos no controlados son utilizados en actualizaciones, torrents, emules, juegos en línea, etc. Y todo el servicio inalámbrico se va al traste menos en trabajo, en cualquier cosa. Naturalmente, quienes más protestan son quienes menos lo utilizan para trabajar.
La solución oficial es ampliar el ancho de banda, pero la experiencia muestra que es una huida hacia delante puesto que cuanto más ancho de banda tienes, más dispositivos entran en juego.
Otra solución que han propuesto es el uso masivo de la red inalámbrica obviando el cable. La única causa por la cual se me ocurre que hagan eso -la cual, evidentemente, no puedo demostrar- es el traspaso del cuello de botella a las antenas de conexión de los dispositivos. Cierto es que redundaría en un cierto beneficio pero no se trataba de eso e introduce complicaciones extremas cuando tienes más máquinas que bocas de conexión.
Existe una tercera posibilidad; una propuesta oficial desde el proyecto linux del Departament d'Ensenyament (Linkat) que no quieren implementar oficialmente y que hace una cosa que, según la versión oficial, no es técnicamente factible.
El verano pasado (2014) monté un viejo HP 7700 sff sobremesa con un disco duro reutilizado de 160 GB y cuatro GB de RAM; procesador core2duo. En él planchamos la imagen de esa propuesta llamada Servidor de Comunicaciones construído sobre openSUSE en modo servidor el cual gestiona todo el tráfico de red y lo fragmenta para que todo el mundo pueda trabajar, cachea -sin saturar la memoria porque tiene un buen ciclo de refresco- y permite que la red inalámbrica funcione mucho más ligera y esté más protegida de intrusiones externas. Aún así, seguía habiendo saturaciones temporales.

Éste verano (2015) se ha aprovechado una teoría y se ha modificado en ese servidor cómo asigna las IP... Y ahora es cuando empezamos a salivar.
1.- Se ha modificado el fichero /etc/dhcpd.conf de forma ningún zócalo se mantenga más allá de seis horas, que son las horas lectivas de la mañana. Ya és algo.
2.- Se ha introducido una "lista blanca" de MACs con los portátiles oficiales del centro. Aquellas antenas que no están en esa lista, no pueden conectarse aunque dispongan de la clave, que es pública.
3.- Como esa red se asigna con mascara /23 (vd. supra) tenemos margen... suficiente margen para.. poder asignar una ip fija a cada antena. Es decir, se podría rastrear específicamente qué hace cada máquina sin problemas en caso necesario.
Es decir, acabamos de quitarnos de un plumazo toda la maquinaria no oficial. Evidentemente, el fichero ha de ser introducido a mano, pero como el registro de portátiles se llevaba a través de la antena wi-fi, sólo fué trasladar un listado de hoja de cálculo a csv. Los compañeros es encontraron con que cada dispositivo inalámbrico que quieran utilizar ha de ser validado.
Este montaje parecía presentar curiosos efectos colaterales en teoría, pero he tenido que esperar hasta el principio de curso para comprobar si sólo eran imaginaciones mías. No lo eran.
Básicamente, podríamos definir -que los técnicos me perdonen- la conectividad inalámbrica en cuatro estados:a) Búsqueda de una SSID a la cual conectarse y envío y validación de la contraseña.b) Recepción de IP.c) Refresco de la conexión -sin trabajar-.d) Trabajo.
De los cuatro pasos, el primero consume relativamente, el segundo es el que más recalienta el dispositivo, el tercero es el más inapreciable y el cuarto... pues depende de qué le pidamos al equipo.
¿Ya lo estáis viendo? Los dispositivos no autorizados tiene la clave, con lo cual pasan de la fase a) a la b), pero no pasan nunca de la b); y los sistemas no saben saltar hacia atras desde esa fase, como sí que saben cuando la clave no coincide. Por decirlo de una forma divertida, el teléfono se bebe la batería a cubos.
Sólo era una teoría de qué podía pasar combinando la MAC con la IP fija, pero funciona, y muy bien.
"De acuerdo" me diréis, "ahora cojo un portátil que funcione, copio la MAC y la uso como máscara del móvil". Sí, correcto, pero en el momento en el cual se ponga en marcha el portátil habrá dos IPs iguales... y mientras se pelean entre los dos dispositivos a ver quien se conecta, el resto seguimos trabajando. Y si el problema sigue, podríamos rastrear la IP a ver dónde está físicamente ¿verdad?
¿Y porqué lo llamo trampa cazabobos? Porque sólo si lo eres te cascará el teléfono. Si ves que todo funciona y tu teléfono no se conecta ni te devuelve el control diciendo que no has podido validarte y se va recalentando y no lo desconectas, te mereces quedarte sin batería... o sin teléfono, ya puestos.
Pero eso es la medida ofensiva, y de eso hablaré otro día; por ahora lo dejaremos en la defensiva.
Y sí, estoy muy feliz y no quiero ninguna ampliación del ancho de banda porque con una proxy en el cable y otra en el inalámbrico bajo control del centro y no del los "expertos" todo funciona.
Gracias por la paciencia y espero que os haya servido esta enciclopedia. Hasta luego.