Monitorizando la red virtual (II)

En el post precedente abordé la configuración del servidor NRPE desplegado en mi servidor de syslog (ubsyslog) para poder ser monitorizado desde Nagios. En esta segunda parte, abordaré la configuración del router VyOS para poder ser monitorizado desde Nagios.

A diferencia del caso del servidor, la monitorización del router la voy a realizar empleando SNMP. Para ello, lo primero que tengo que hacer, es configurar el agente SNMP en el router VyOS.

nag_cfg6

Una vez configurado, comprobamos que desde el servidor Nagios podemos acceder a la información del agente SNMP mediante el comando snmpget:

nag_cfg7

En principio esto está funcionando queda decidir qué objetos vamos a monitorizar desde el servidor Nagios.

Anuncios

Replanteando la red (II)

En esta segunda parte voy a concretar los pasos seguidos para reconfigurar la red en el sentido anticipado en el post anterior. En principio, los elementos que tengo que tocar son:

  • El router de acceso a Internet
  • El router con OpenWRT
  • El PC de sobremesa
  • El servidor ESXi
  • Las redes virtuales del lab.

Vamos a ir paso a paso con cada uno de los elementos:

Cambios en el router de acceso a Internet

Este cambio es, a priori, uno de los más fáciles. No hay más que añadir ruta estática que envíe el tráfico dirigido a la red 192.168.2.0/24 a la interfaz WAN del router OpenWRT que tiene la dirección 192.168.1.2. Para ello, nos conectamos a la interfaz web de administración del router y configuramos la ruta estática:

red3

Cambios en el router con OpenWRT

Aquí es donde está realmente la chicha. Nos conectamos a la interfaz web del router basada en Luci:

red4

A continuación deshabilitamos la interfaz pseudobridge (starbridge) que implementaba el relay entre la red doméstica y la red del lab. Además eliminamos el paquete ralayd que ya no necesitamos (lo siento no tengo captura de pantalla de esto).

Configuramos la interfaz wireless estableciendo la dirección IP estática 192.168.1.2. Esta interfaz está asociada a la zona de firewall WAN.

red5
Creamos una interfaz que haga asociada a la LAN del lab y configuramos la dirección IP 192.168.2.1 (gateway de la LAN del lab). Asociamos esta interfaz a la zona de firewall LAN:

red6

Creamos dos rutas estáticas: una que dirija el tráfico hacia la LAN doméstica e internet hacia la interfaz wireless y otra que dirija el tráfico hacia la subred 192.168.2.128/25 (DMZ) hacia la dirección IP 192.168.2.4 donde va a estar el router VyOS virtual.

red7

Finalmente, configuramos las reglas de firewall que permitan el paso del tráfico desde la LAN doméstica (WAN en este router) y la LAN de lab:

red8

Con esto, el router OpenWRT debería quedar configurado.

Configuración del PC de sobremesa

La configuración del PC de sobremesa no debería ser un arco de iglesia. Abrimos el centro de redes y recursos compartidos, abrimos el enlace de los adaptadores, pinchamos el adaptador ethernet, seleccionamos Propiedades:

red9

Editamos las propiedades del protocolo de Internet versión 4, asignamos la dirección IP a 192.168.2.2, la máscara de subred a 255.255.255.128 y la puerta de enlace a 192.168.2.1. Establecemos los valores de los DNS de Telefónica y ¡listo!:

red10

Configuración del servidor ESXi

La configuración a realizar en el servidor ESXi consiste en establecer la nueva dirección IP para la interfaz de red de administración. Para ello, arrancamos el servidor y, en la consola, establecemos la dirección IP de la interfaz de administración a 192.168.2.3, la máscara de subred a 255.255.255.128 y la puerta de enlace a 192.168.2.1.

Configuración del servidor entorno virtual

Para configurar el entorno virtual, habilito la conexión ethernet del PC de sobremesa y deshabilito la WiFi y me conecto al servidor ESXi a través de vCenter:

red11

red12

Arrancamos el router VyOS y nos conectamos a la consola. Cambiamos, en primer lugar la dirección IP estática de la interfaz WAN.

red13

Cambiamos la interfaz de la DMZ para darle el direccionamiento correspondiente a la subred 192.168.2.128/25.

red14

red15

Configuramos la ruta estática de salida

red16

Finalmente eliminamos la reglas de NAT para la DMZ:

red17

En principio la red debería estar configurada y funcionando. En el próximo post vamos a realizar las pruebas.

Configurando VyOS (II)

En este post voy a describir las tareas de configuración final del router virtual VyOS que instalé en mi entorno lab. En la entrada anterior, dejé configurada la conectividad básica del router y en este voy a configurar la salida a Internet desde las LANes creadas.

He creado una máquina virtual Lubuntu para probar la conectividad desde cada una de las LANes hacia Internet. En primer lugar, configuro el adaptador de red para que se conecte a la LAN de estaciones de trabajo (10.1.3.0/24) y vamos a comprobar que, al arrancar, el cliente obtiene una dirección IP del servidor DHCP configurado para esta subred en el router y esta IP debería estar en el rango 10.1.3.128-10.1.3-254:

config2_1

El cliente ha obtenido la dirección IP 10.1.3.128. Desde el cliente se debería poder hacer ping a las interfaces del router:

config2_2

Sin embargo no hay ping ni hacia el router doméstico ni hacia internet:

config2_3

El problema es que el router no puede encaminar direcciones del rango 10.x.x.x. Es necesario configurar una regla de NAT en el router virtual para poder tener salida a internet desde las subredes:

config2_4

Una vez configurado el NAT podemos comprobar que tenemos conectividad hacia Internet y la red local doméstica:

config2_5

Y deberíamos tener también el servicio de nombres (en la configuración DHCP establecimos como servidor de nombres el de Google: 8.8.8.8):

config2_6

Ya sólo queda realizar la misma configuración para las otras LANes.

Configurando VyOS (I)

En el post anterior comenté la instalación y configuración básica de una imagen de VyOS en una máquina virtual en un entorno VMWare Workstation. El propósito de este post es refinar esa configuración para posibilitar los propósitos de conectividad del lab.

En primer lugar vamos a habilitar SSH para poder acceder, de forma segura, al shell del VyOS. Para ello entramos en modo configuración y establecemos el servicio SSH:

inst1

Usando putty vemos que se accede a través de ssh:

inst2

Realmente, se puede acceder a través de SSH por todas las interfaces. Más adelante veré de qué forma puedo restringir el acceso ssh únicamente a través de la interfaz de gestión.

Si intentamos hacer ping a una dirección fuera de la red doméstica desde VyOS vemos que no hay acceso:

inst3

Esto es porque no hay una ruta por defecto establecida. Voy a establecer, por lo tanto, una ruta estática para llegar a internet a través del router doméstico (192.168.1.1):

inst4

Una vez que tenemos configurada la ruta estática ya deberíamos poder hacer un ping a internet:

inst5

Desde nuestro router virtual ya tenemos conectividad con internet. A continuación voy a configurar un servidor DHCP para que asigne direcciones IP a los puestos de cliente de la LAN de estaciones de trabajo (10.1.3.0/24).

inst6

Una vez guardada la configuración, voy a crear un cliente Lubuntu en la red de estaciones de trabajo para seguir avanzando en la configuración de red. Más en el siguiente post.

Instalando VyOS

Como comenté en el post anterior, voy a realizar la instalación de VyOS y su configuración como router en el entorno lab que estoy montando. Me he descargado la imagen ISO de la versión 1.1.7 y me pongo manos a la obra.

En primer lugar, voy a averiguar los condicionantes de la instalación y las instrucciones para instalar el software. Afortunadamente, la guía de usuario de VyOS tiene un apartado de instalación muy claro y los requisitos de máquina no son excesivos (512MB de RAM y 2GB de disco) lo que no está nada mal dadas las limitaciones hardware del entorno del que dispongo.

Voy a crear, por lo tanto, una nueva máquina virtual y a instalar la imagen. Usando el wizard de creación de máquinas virtuales de VMWare Workstation, averiguo que VyOS está basado en la versión 6 de Debian, antiguo pero es lo que hay.

A continuación voy a personalizar el hardware. En principio le voy a dar 512MB de RAM y 4GB de disco y voy a configurar las cinco interfaces de red para el router:

  1. Interfaz WAN hacia la LAN doméstica, esta será una interfaz tipo bridged a la que asignaré la dirección IP 192.168.1.5 (mi red doméstica está configurada para que el DHCP asigne direcciones a partir de la 192.168.1.128, las direcciones 192.168.1.1-127 se asignan de forma estática).
  2. Red de gestión. La conexión a la red de gestión va a realizarse a través de un adaptador host-only (Vmnet 1 – 192.168.79.0/24).
  3. Los restantes tres adaptadores estarán conectados a distintas LANes virtuales: DMZ – Vmnet2, SRVRS – Vmnet3, WSTS – Vmnet4.

Una vez configurados los adaptadores de red, se crea la máquina virtual y se arranca. Una vez arranca el equipo, hacemos login (vyos/vyos) y procedemos a instalar la imagen el disco duro de la máquina virtual creada.

Una vez completada la instalación, arrancamos la máquina y configuramos los adaptadores de red. El primer problema que nos encontramos es saber cuál es cada uno de los adaptadores. VyOS los nombra eth0 – eth4 pero, afortunadamente, tenemos sus direcciones MAC.

config1

Viendo las direcciones MAC en la información de los adaptadores de VMWare deduzco los siguientes emparejamientos:

  • eth0 – Adaptador bridged (WAN) – 192.168.1.5/24
  • eth1 – Adaptador Vmnet1 (MNGMNT) – 192.168.79.5/24
  • eth2 – Adaptador Vmnet2 (DMZ) – 10.1.1.1/24
  • eth3 – Adaptador Vmnet3 (SRVRS) – 10.1.2.1/24
  • eth4 – Adaptador Vmnet4 (WKSTS) – 10.1.3.1/24

A continuación configuramos cada uno de los adaptadores. Para ello, en primer lugar, cambiamos al modo de configuración de VyOS:

vyos@vyos~$ configure
vyos@vyos~#

Para cada una de las interfaces introducimos los siguientes dos comandos:

vyos@vyos~# set interface ethernet eth<x> address ‘<ip-address>’
vyos@vyos~# set interface ethernet eth<x> description ‘<description>’

Donde:

  • <x> es el número de la interfaz.
  • <ip-address> es la dirección IP de la interfaz.
  • <description> es la descripción de la interfaz.

Hacemos commit de los cambios y guardamos la configuración y salimos del modo configuración:

vyos@vyos~# commit
vyos@vyos~# save
vyos@vyos~# exit
vyos@vyos~$

Las interfaces quedan:

config2

Vamos a comprobar que haya ping, desde el equipo host, a las interfaces WAN y de gestión y desde el router al equipo host:

config3

config4

Básicamente, tenemos instalado VyOS y establecida la conectividad básica. En otro post abordaré la configuración del VyOS.