Controlar una red muy grande tiene sus retos. Administrar internet es en gran medida uno de los más dificiles, sobre todo si la red es grande. Esta semana me enfrenté al problema de los usuarios distribuyendo la red con sus teléfonos móviles o sus laptops. Un problema que no puedo dejar escapar. Así que el finde de semana empecé a trabajar en algunos laboratorios. Esta actividad se conoce como «Tethering» y depende el enfoque hay varias maneras de tratarla.
Dispositivos corporativos
Los dispositivos corporativos no son el problema real pero quiero contar un poco como los tratamos: Deshabilitamos esa función!.
Una GPO y desplegamos a las notebooks para que esto no sucedad y si tenemos un MDM tiramos esta política también a los celulares y solucionado.
Qué hacemos con el resto?(BYOD)
Para todos los dispositivos BYOD(Bring Your Own Device – dispositivos personales usando recursos corporativos) me base en un esquema de redes.
Qué es el TTL?
En internet los datos se envian en forma de paquetes numerados. Cada paquete tiene un orden, salen de tu pc, viajan por la red y llegan a su destino. Se envía el 1, 2 y 3 pero si llegan solo el 1 y el 3, se pide que se reenvie el 2 para poder armar la información en su destino correctamente.
Para llegar desde «google» a tu casa cada paquete pasa por una cantidad de routers «X». El paquete puede surcar 1 o 18 routers hasta llegar a su destino pero por defecto le ponemos un valor máximo de routers por los que pueda pasar. Si supera ese número el paquete se autodestruye. Esto lo hacemos para evitar que surque por redes interminables y esté en tránsito indefinidamente llenando el «ciberespacio de paquetes perdidos». Este tiempo de vida de cada paquete se conece como TTL (Time To Life).
Hice un gráfico para mostrarte como funciona:
En el gráfico podes ver como funciona. Si el paquete sale con TTL=10 y llega con 4, pasó por 3 routers en el medio. 3 saltos de ida y 3 de vuelta.
Pero si hubiera más saltos que tiempo de vida del paquete, este se autodestruiría y nosotros veríamos que «no tendríamos internet».
Cómo funciona el Tethering?
Para que el tethering sea viable tu smartphone o pc tiene que soportarlo. Cómo funciona?
Bueno, tu teléfono/PC se convierte en un router y empieza a distribuir internet por Wifi o cable. Si usa WiFi generará un SSID y un servicio DHCP. Al convertirse en un router, tal como en el gráfico, el ttl disminuirá en 1 antes de entregar internet a los que se conecten a su punto de acceso. Esa será nuestra ventaja.
El paquete saldrá del equipo con un TTL=64 o TTL=115(son los valores más comunes). Pasará por nuestro router, llegará a su destino y se devolverá al dispositivo con el valor sobrante. Lo que haremos será:
Cada vez que pase por nuestro router hacia nuestra red le cambiaremos el valor al TTL por 1. De esta forma solo recibirá internet el Celular. Si este quisiera entregarlo a los dispositivos conectados a él, el TTL llegará a 0 y se autodestruirá. Evitando la conexión a internet.
Probemos como Funciona, vamos al laboratorio.
Laboratorio TTL
Para simular el Teléfono use un router transmitiendo DHCP con los datos del gráfico(192.168.0.0/24), mientras que la red entrega para sus usuarios el otro rango del gráfico, la LAN.(192.168.10.0/24).
A configurar el Router R1:
#Nombre Router
system/identity/set name=R1
#DHCP para la interfaz conectada a internet
ip dhcp-client add interface=ether1
#ip de la LAN
ip address add interface=ether2 address=192.168.10.1/24
#DHCP en la LAN
ip dhcp-server setup
#interface ether2 y todo EnterAhora nuestro Router que emulará un celular
#Nombre Router
system/identity/set name=Celular
#DHCP para la interfaz conectada a internet
ip dhcp-client add interface=ether1
#ip de nuestro WiFi Virtual donde compartié a mis amigos la red
ip address add interface=ether2 address=192.168.0.1/24
#DHCP en la LAN
ip dhcp-server setup
#interface ether2 y todo EnterPerfecto todo funcionando. Ahora vamos por la línea mágica:
#regla de Mangle
ip firewall mangle add action=change-ttl chain=postrouting dst-address=192.168.10.0/24 passthrough=yesEn ip firewall Mangle, creamos una regla de tráfico y como acción le pondremos que cambie el TTL por 1. Dejamos el Passthrough en yes así podremos ver los «hits» de nuestra regla.
La regla debe estar en postrouting ya que la acción se ejecutará cuando salé del router hacia afuera y no antes. Recordar el flujo dentro del router.
Ahora solo queda probarlo.
En el gráfico se ven las configuraciones y como el ping responde correctamente en la LAN y en el Celular(que está en la LAN) pero no llega a destino en la PC del Usuario que está tomando internet desde el AP del móvil.
Consideraciones finales
Modificar el TTL a veces puede ser contraproducente. Los paquetes de ping(icmp), como veras en el video se ven afectados claramente y por consiguiente cada vez que haces un traceroute (tracert) los datos no van a ser fiables. La distancia real de tu equipo al equipo destino se verá afectada. Esto lo podemos evitar poniendo como aclaración que esta regla no se ejecute en el protocolo ICMP, solo para el resto de protocolos. El signo de exclamación nos dice esto(Todo lo que no sea… ICMP).
Otro dato de color, esto no es propietario de Mikrotik, se puede hacer en casi todos los dispositivos. Traté de hacer un laboratorio en Packet Tracer pero los routers del simulador no lo soportan. Esta semana trataré de emularlo en algún router cisco en GNS3 o en la «vida misma!» y haremos las pruebas pertinentes!.
Ojalá les haya servido, las posibilidades son ilimitadas!. Y si se te complica, no dudes en escribirme!.
