Autor Tema: [duda] configurar openwrt para ser un Wireless AP y limitar el acceso web (Leído 5322 veces)

unowos · « **en:** 02-08-2014, 18:41 (Sábado) »

Buenas
   necesitaria un poco de ayuda
He leido bastante (antes de que nadie diga que no he usado el boton buscar)
http://wiki.openwrt.org/doc/recipes/guest-wlan
http://wiki.openwrt.org/doc/recipes/relayclient
http://wiki.openwrt.org/doc/uci/wireless
http://wiki.openwrt.org/doc/recipes/bridgedap
http://wiki.openwrt.org/doc/recipes/routedap (quizas sea este el mas similar)

Tengo un ct5365 (con 12.09 [he intentado buscar el 10.03 pero los links estan caidos)
https://foro.seguridadwireless.net/openwrt/open-wrt-en-comtrend-5365/

Al ser un router de RAM limitada, no puedo usar Luci sin perder los nervios, asi que, las configuraciones las hago con linea de comandos (putty).

Me muevo bien, pero, esto que quiero conseguir no lo consigo.
Ya configure este para hacerme otros servicios con la ayuda de el siguiente tutorial
https://foro.seguridadwireless.net/openwrt/%28tutorial%29-modo-clienterepetidor-openwrt/
Pero ahora es otra cosa...

Vale
Al grano

Tengo

Internet
Router Jazztel
   +))) wifi ------>clientes A
   +---cable------>clientes B,C
   +---cable------>Router OpenWRT +))) wifi Clientes D

Quiero que el router OpenWrt
+sea un AP, es decir, emita Wifi con ESSID diferente al primero,
+sin encriptacion,
+en otra red diferente de Clientes ABC,
+limitar el acceso a internet a solo una pagina (p.ej www.misitioweb.es)

Quiero "regalar" el acceso a mi web a todos mis vecinos via wifi, pero, solo quiero que vean esa pagina, NINGUNA OTRA, ni que accedan al resto de la red, ni a la configuracion del router via wifi (sea http o telnet o ssh o lo que sea). Que solo se pueda configurar desde un puerto lan.

Yo he hecho esto:

Código: [Seleccionar]

root@OpenWrt:/# 
uci set network.lan.ipaddre=192.168.2.1
uci set network.lan.gateway=192.168.1.1
uci set network.lan.dns=192.168.1.1
uci set wireless.@wifi-iface[0].ssid=miwifigratis
uci set wireless.radio0.disabled=0
uci commit wireless
wifi
uci commit

Se que me falta bastante, pero, no tengo tanto conocimiento
Si emite wifi, pero asi, no sale a internet...

Se que me falta el firewall, el dnsmasquerade, limitar el acceso web...

Me podriais ayudar?

S2

Pteridium · « **Respuesta #1 en:** 03-08-2014, 12:27 (Domingo) »

Lo que buscas es un portal captivo:
- http://wiki.openwrt.org/doc/howto/wireless.overview#captive.portal.software.available.in.the.openwrt.repository
- http://wiki.openwrt.org/doc/howto/wireless.hotspot.wifidog

Los problemas que vas a tener son configurarlo, a menos que alguien te pueda echar un cable, y el router en sí, que es muy limitado.

unowos · « **Respuesta #2 en:** 04-08-2014, 17:42 (Lunes) »

Muchas gracias.
Lo voy a echar un vistazo
Es Hotspot/Wifidog/PortalCautivo
y otra opcion que he visto, que parece mas sencilla es nodogsplash

Si lo consigo lo posteo

S2

unowos · « **Respuesta #3 en:** 05-08-2014, 13:04 (Martes) »

Chicos, ya cargue 10.03.1 (Gracias NOLTARI por actualizar los links!!!)

Sigo leyendo,
Para mi idea, serviria "NoCatSpalsh"?

Tki2000 · « **Respuesta #4 en:** 06-08-2014, 00:50 (Miércoles) »

Creo que los portales cautivos dejan navegar por toda internet una vez que se ha hecho el login en su página, así que pienso que a lo mejor no te sirve, si lo que quieres es que sólo se pueda navegar por una página.

A lo mejor redireccionando todo el tráfico del puerto 80 de la interfaz wifi del router openwrt a una IP/dirección web concreta consigues el efecto que quieres.

Creo que con esta regla iptables se consigue algo parecido:

Código: [Seleccionar]

iptables -t nat -A PREROUTING -s 192.168.1.0/24 -p tcp --dport 80 -j DNAT --to-destination 2.2.2.2:80Donde 192.168.1.0/24 es la red desde la que se captan las peticiones (en tu caso debe ser la wifi de openwrt)
2.2.2.2:80 es la IP a la que se redirige el tráfico web

Lo malo de esto es que aunque redirijamos el tráfico, no cambiamos la petición de dominio de web, y no sé cómo reaccionaría el servidor web si se le pide un dominio que no está entre los albergados.
Supongo que habría que encontrar otra regla que reescribiese cualquier petición de dominios por el que queremos que salga obligatoriamente.

Tki2000 · « **Respuesta #5 en:** 06-08-2014, 01:20 (Miércoles) »

Otra posibilidad podría ser utilizar un proxy web como squid y generar una regla para hacer la reescritura del dominio.
Aquí hay algún ejemplo: http://www.powershelladmin.com/wiki/Linux_squid_proxy_url_rewriting_or_redirection

unowos · « **Respuesta #6 en:** 06-08-2014, 12:48 (Miércoles) »

Gracias.
Leyendo y estudiando!

Mirad, he encontrado esto:
source: http://msmahmood1.blogspot.com.es/2014/01/asus-rt-n16-openwrt-nodogsplash-wifi.html

Código: [Seleccionar]

20.              Now install NodogSplash
·         opkg install nodogsplash

21.              Configure uhtppd daemon to work on port 8080 (so you can access luci even when you are not authorized to go the internet)
·         vi /etc/config/uhttpd
·         replace line "list listen_http                       0.0.0.0:80" with "list listen_http 0.0.0.0:8080"

22.              Configure nodogsplash
·         There is a lot of options with nodogsplash, I did not change much except that I modified the redirect URL, so if the client gets the splash
 page and he/she authenticates, instead of going to the website they wanted to go, it will redirect them to the URL I want them to go, then 
they can server all the internet they want.
·         vi /etc/nodogsplash/nodogsplash.conf
·         you can change the value of "RedirectURL" to the website if you want to the redirection, otherwise leave it.
·         One thing you must do is add port 8080 to firewall rule. Look for "for administration from the GatewayInterface.  If not,  # comment these out."
·         add below port 443 this line "FirewallRule allow tcp port 8080"

23.              Start uhttpd and nodogsplash daemon
·         /etc/init.d/uhttpd enable
·         /etc/init.d/uhttpd start
·         /etc/init.d/nodogsplash enable
·         /etc/init.d/nodogsplash start

24.              Open your web browser and type "192.168.1.1:8080"

25.              Go to Network > WiFi and click on enable.

26.              Now if you connect through wifi you will get the default splash page that comes with nodogsplash. If you dont get it then restart
 the nodogsplash service by /etc/init.d/nodogsplash stop
            /etc/init.d/nodogsplash start

If you want to modify the splash page, which you most like would want to, then you can do so by vi /etc/nodogsplash/htdocs/splash.html
you can write your own html code there.

Lo de iptables me mola.
Otra source que me estoy leyendo...
http://www.pello.info/filez/firewall/iptables.html
Soy autodidacta, me ha gustado siempre la informatica, pero no tengo estudios.
Una pregunta de lo de iptables, ¿Que se logra con NAT? (ya se "reescribir las direcciones ip", pero, que cosa practica consigo con eso? que no se vean los equipos entre ellos?)

Gracias por el apoyo.
Si hay algo mal, por favor, decidmelo.

S2

EDITADO porque descuadraba mucho el foro.

Noticias:

Autor Tema: [duda] configurar openwrt para ser un Wireless AP y limitar el acceso web (Leído 5322 veces)

unowos

[duda] configurar openwrt para ser un Wireless AP y limitar el acceso web

Pteridium

Re: [duda] configurar openwrt para ser un Wireless AP y limitar el acceso web

unowos

Re: [duda] configurar openwrt para ser un Wireless AP y limitar el acceso web

unowos

Re: [duda] configurar openwrt para ser un Wireless AP y limitar el acceso web

Tki2000

Re: [duda] configurar openwrt para ser un Wireless AP y limitar el acceso web

Tki2000

Re: [duda] configurar openwrt para ser un Wireless AP y limitar el acceso web

unowos

Re: [duda] configurar openwrt para ser un Wireless AP y limitar el acceso web