Faz aproximadamente um ano que a Intelbras trouxe para o Brasil a linha de radios 802.11 do fabricante americano Deliberant e LigoWave. Os radios da linha WISP+ como o APC 5M possuem uma carcaça bem simples, porem demostram grande eficacia e um custo muito baixo, já os radio da linha PRO possuem carcaça metálica e com rendimentos bem superiores a linha WISP+.

Equivalência entre os radios no Brasil e no exterior.
Linha WISP+ no Brasil é comercializada pela Deliberant como APC Series já a linha PRO é vendida pela LigoWave como LigoPTP-PRO. Apesar de não constar dados nos sites as duas empresas aparentemente são do mesmo grupo, inclusive com escritórios no mesmo endereço.

Mas em fim deixemos o BlaBlaBla de lado e vamos ao que interessa, o que esses radios podem fazer por nós?

A melhor parte é que não tem segredo para a configuração desse hardware, consiste basicamente em configurar o enlace para utilizar os protocolos IPOOL no caso dos APC-5M ou WJET2 no caso da linha PRO, e alinha-los de forma que consiga o máximo de sinal possivel.

Nesse caso temos auxilio da ferramenta LinkCalc, que faz o calculo do enlace levando em conta a distancia, tipo de equipamentos e topografia terrestre. Muito útil 🙂

Realmente vale a pena testar os radios, oferecem um grande rendimento com uma estabilidade fantástica como alto Throughput, mais pacotes por segundo “PPS” e pings muito baixos, os radios realmente fazem o que seu DataSheet promete.

Obs. Nas configurações abaixo utilizo o firmware disponibilizado no site da Deliberant porem os radios são todos Intelbras, pois no momento de suas instalação a Intelbras ainda não disponibilizava em seu HotSite a versão 5.92 que corrige vários problemas inclusive relacionados ao protocolo IPOOL, mas já faz alguns dias que está disponível essa versão pela Intelbras, inclusive com IPERF embutido. 🙂

Segue abaixo as telas com as pouquíssimas configurações necessárias nesse radio.

O radio também possui algumas ferramentas como (alinhador de Antena) (ping) (traceroute) e (análizador de spectro, que como muitos sabem ajudam muito no momento de soluções de problemas.

O gráfico abaixo demostra o trhounghput TCP gerado através do IPERF em um enalce de 4km com utilizando um par de APC-5M e duas RocketDish de 30dbi, o enlace ficou com sinal de -46 cada chain em 40Mhz e com taixa de transferencia em 300Mbps, vale lembrar que esse rádio possui porta Ethernet 10/100mbps, nos testes em questão o IPERF está atravessando o enlace totalmente e com todo esse trafego esta entupindo as interfaces ethernet dos radios, e o mais interessante não utiliza 100% de processamento dos radios.

Já esse gráfico estou utilizando um enlace da Linha PRO em 5km sinal de -40 em 40Mhz com taixa de transferencia em 300Mbps. O IPERF também está atravessando todo o enlace, lembrado que esse radio possui porta ethernet Gigabit, como podem ver no gráfico conseguimos uma eficiência de 120Mbps.

Segue mais alguns exemplos
Exemplo-1
2- APC-5M
2- RocketDish de 34dbi
56Km
Sinal = -65
Throughput = 60Mbps

Exemplo-2
2- APC-5M-18
1,4Km
Sinal = -63
Throughput = 83Mbps em 40mhz / em 20Mhz Throughput fica em 58Mbps.

Como estou usando o IPERF:

Do lado remoto

iperf -s

Do lado local

iperf -c [ip-remoto] -t 100 -i 2

Os equipamentos ubiquiti possuem uma interface GUI, muito rápida e simples, porem em alguns casos é necessário a utilização de linha de comando.

Devido a grande demanda que hoje tenho em realizar configurações utilizando linha de comando resolvi criar esse guia de referencia.

Primeiramente é necessário realizar o acesso via ssh ou telnet para o equipamento. Em meu caso utilizo apenas SSH.

ssh 192.168.1.20 -l ubnt
password: ubnt

Após o acesso iniciara um terminal como root:

XM.v5.3.5.#

Vejamos os comandos possíveis:

Verificando o modelo da CPU
XM.v5.3.5.# cat /proc/cpuinfo
system type : Atheros AR7240 (Python)
processor : 0
cpu model : MIPS 24K V7.4
BogoMIPS : 259.07
wait instruction : yes
microsecond timers : yes
tlb_entries : 16
extra interrupt vector : yes
hardware watchpoint : yes
ASEs implemented : mips16
VCED exceptions : not available
VCEI exceptions : not available

Utilização da CPU
XM.v5.3.5.# top
Mem: 23080K used, 39620K free, 0K shrd, 3448K buff, 8180K cached
CPU: 1% usr 1% sys 0% nice 78% idle 0% io 18% irq 0% softirq
Load average: 0.01 0.01 0.00
PID PPID USER STAT VSZ %MEM %CPU COMMAND
23475 1 admin S 4000 6% 0% /bin/lighttpd -D -f /etc/lighttpd.con
23477 1 admin S 4548 7% 0% /bin/tinysnmpd /etc/snmp.conf /lib/ti

Utilização de memória
XM.v5.3.5.# cat /proc/meminfo
MemTotal: 62700 kB
MemFree: 39636 kB
Buffers: 3448 kB
Cached: 8236 kB
SwapCached: 0 kB

Verificando configurações de IP.
XM.v5.3.5.# ifconfig
ath0 Link encap:Ethernet HWaddr 00:27:22:18:88:12
UP BROADCAST RUNNING PROMISC ALLMULTI MULTICAST
RX packets:283011 errors:0 dropped:0 overruns:0 frame:0
TX packets:469743 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:0
RX bytes:49216478 (46.9 MiB) TX bytes:83104330 (79.2 MiB)

br0 Link encap:Ethernet HWaddr 00:27:22:18:88:12
inet addr:10.168.0.100 Bcast:10.168.0.255 Mask:255.255.255.0
UP BROADCAST RUNNING ALLMULTI MULTICAST MTU:1500
RX packets:294242 errors:0 dropped:0 overruns:0 frame:0
TX packets:38127 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:0
RX bytes:41755072 (39.8 MiB) TX bytes:14859826 (14.1 MiB)

Sinal da interface Wireless
XM.v5.3.5.# iwconfig
ath0 IEEE 802.11na ESSID:”UBNT”
Mode:Master Frequency:5.82 GHz Access Point:
Bit Rate:6 Mb/s Tx-Power=27 dBm Sensitivity:0/0
Retry:off RTS thr:off Fragment thr:off
Encryption key:off
Power Management:off
Link Quality=24/94 Signal level=-72 dBm Noise level=-98 dBm
Rx invalid nwid:3323 Rx invalid crypt:0 Rx invalid frag:0
Tx excessive retries:0 Invalid misc:0 Missed beacon:0

Caso tenha necessidade de verificar sinal de vários clientes associados, por interface:
XM.v5.3.5.# wstalist -i ath0
[
{
“mac”: “00:27:22:02:75:B0”,
“name” : “”,
“lastip” : “10.168.0.101”,
“associd” : 1,
“apwds” : 0,
“tx” : 108,
“rx” : 162,
“signal” : -72,
“ccq” : 99,
“idle” : 0,
“uptime” : 280396,
“ack” : 204,
“distance” : 26550,
“txpower” : 54,
“noisefloor” : -98,
“airmax” : {
“priority” : 3,
“quality” : 58,
“capacity” : 34 },

Por MAC-Address
XM.v5.3.5.# wstalist -a 00:27:22:02:75:B0
[
{
“mac”: “00:27:22:02:75:B0”,
“name” : “”,
“lastip” : “10.168.0.101”,
“associd” : 1,
“apwds” : 0,
“tx” : 81,
“rx” : 81,
“signal” : -71,
“ccq” : 99,
“idle” : 0,
“uptime” : 280442,
“ack” : 204,
“distance” : 26550,
“txpower” : 54,
“noisefloor” : -98,
“airmax” : {
“priority” : 3,
“quality” : 63,
“capacity” : 30 },

Criando VLANs
XM.v5.3.5.# vconfig -h
BusyBox v1.11.2 (2011-12-19 20:41:43 EET) multi-call binary

Usage: vconfig COMMAND [OPTIONS]…

Create and remove virtual ethernet devices

Options:
add [interface-name] [vlan_id]
rem [vlan-name]
set_flag [interface-name] [flag-num] [0 | 1]
set_egress_map [vlan-name] [skb_priority] [vlan_qos]
set_ingress_map [vlan-name] [skb_priority] [vlan_qos]
set_name_type [name-type]

XM.v5.3.5.#

XM.v5.3.5.#
vconfig add br0 100

Verificando VLANs criadas.
XM.v5.3.5.# cat /proc/net/vlan/config
VLAN Dev name | VLAN ID
Name-Type: VLAN_NAME_TYPE_RAW_PLUS_VID_NO_PAD
br0.100 | 100 | br0
XM.v5.3.5.#

Verificando BRIDGs criadas
XM.v5.3.5.# brctl show
bridge name bridge id STP enabled interfaces
br0 ffff.002722188812 no eth0
eth1
ath0
XM.v5.3.5.#

Por fim como alterar as configurações que realizamos na interface WEB via linha de comando?

Fácil, basta editar o arquivo /tmp/system.cfg, que no mesmo contem todas as configurações feitas pelo GUI.

Verificando configurações:
XM.v5.3.5.# cat /tmp/system.cfg

Alterando as configurações
XM.v5.3.5.# vi /tmp/system.cfg

Segue alguns exemplos de linhas:

(configuração de country code)
radio.countrycode=511

(configuração do SSID
wireless.1.ssid=UBNT

(configuração do canal)
radio.1.freq=4920

(ip address
netconf.3.ip=10.168.0.100

(mascara de rede)
netconf.3.netmask=255.255.255.0

(gateway)
route.1.gateway=10.168.0.254

(dns primário)
resolv.nameserver.1.ip=189.1.144.226

(dns Secundário)
resolv.nameserver.2.ip=189.1.144.227

Para alterara as configurações basta alterar normalmente com o editor VI salvar e sair do arquivo com ESC_:_x.

Pronto basta executar o seguinte comando para que as configurações fiquem salvas após o reboot.

cfgmtd -w -p /tmp/;

Após as alterações é necessário reiniciar o equipamento com o comando reboot:
Como verificar as configurações de firewall

(com o equipamento em bridge)
XM.v5.3.5.# ebtables -L
Bridge table: filter

Bridge chain: INPUT, entries: 0, policy: ACCEPT

Bridge chain: FORWARD, entries: 0, policy: ACCEPT

Bridge chain: OUTPUT, entries: 0, policy: ACCEPT

(com o equipamento em router)
XM.v5.3.5.# iptables -L
iptables v1.4.0: can’t initialize iptables table `filter’: iptables who? (do you need to insmod?)
Perhaps iptables or your kernel needs to be upgraded.
XM.v5.3.5.#

Obtive resultados muito satisfatórios utilizando produtos ubiquiti AirMax 2×2 mimo, em meus testes utilizei RocketsM5 e PowerBridgeM5. Com ambos os equipamentos a taxa efetiva de throughput foi a mesma, porem utilizando distancias diferentes.

Segue relados dos 2 Links

Link com RocketM5:
Distancia= 2km
Antena= RocketDish 30dbi
Throughput = 80Mbps

PowerBridgeM5
Distancia= 1km
Throughpu t= 80Mbps

Em ambos os casos os enlaces foram feitos em WDS.

Também constatei que apesar dos limites físicos do enlace não ter a possibilidade de obter um trafego maior que 80Mbps devido conexão de rede utilizando POE e cabe ethernet CAT5. O hardware do equipamento também não fornece estrutura para um throughput maior, pois nos momento de pico 80Mbps o processamento de ambos equipamentos ficavam por muito tempo em 100%.

Para um bom desempenho em enlaces como esse é necessário levar em conta algumas configuração.

Segue modelo utilizado em ambos enlaces:
Utilizar a ultima versão do firmware =hoje 5.3.5
AirMax = desativado (somente ativado em ambientes muito poluídos)
DFS = desativado
Auto IP Alliasing = desativado
Distance = Especificar a distancia aproximada
ACK Timeout “auto ajuste” = Ativado
Extra Reporting = desativado
Client Isolation = desativado

Em meus casos só habilito os serviços necessário para suporte remoto, SSH, SNMP, HTTP.

Colaboração: Renato Rudnicki @dicasl

Data de Publicação: 14 de março de 2012

Eu havia pensando em colocar o título do post como “Melhorando a segurançao do SSH”, mas vocês já chegaram a fazer uma pesquisa por ssh no Pesquisar do dicas-l?…Tem muita coisa legal sobre ssh, então resolvi mudar o título da dica. Dei uma rápida olhada, e pelo que eu vi, não tem essa dica, então, lá vai :).

Dentro do arquivo /etc/ssh/sshd_config altere as seguintes linhas:

LoginGraceTime 2m
MaxStartups 3:50:6

Explicando:

O primeiro parâmetro informa que a conexão será cortada caso fique inativa por 2 minutos.

O segundo quer dizer que depois de 3 tentativas não autenticadas, 50% das conexões do IP são recusadas e quando o número de de tentavivas chegar a 6 todas as tentativas de conexões do IP serão recusadas.

Pronto, rápido, fácil e muito útil. Mas veja bem, isso não significa que seu ssh está livre de invasões. Apenas esta um pouco mais seguro.

OBS: Não se esqueça de reiniciar o serviço ssh para que as alterações tenham efeito.