Xarxa 44NET als dispositius de radioaficionats
Des de l’any 1981 els radioaficionats disposen d’un direccionalment IP versió 4 a internet. L’entitat sense ànim de lucre Amateur Radio Digital Communications (ARDC) és qui gestiona aquest adreçament que forma la xarxa 44NET. L’any 2019 fou venut part d’aquest adreçament per bé que actualment encara hi ha disponible per a radioaficionats 12 milions d’IPs: 44.0.0.0/9 que correspon al rang 44.0.0.0 – 44.127.255.255 44.128.0.0/10 que correspon al rang 44.128.0.0 - 44.191.255.255 Qualsevol radioaficionat pot demanar i usar adreçament IP de la xarxa 44NET. La manera més fàcil és sol·licitar un túnel IP, el que exigeix instal·lar el client de túnel anomenat WireGuard. Un exemple d'ús és en els dispositius DMO basats en raspberry-pi i software Pi-Star. Un dels avantatges d’usar adreçament 44NET en Pi-Star és que es pot tenir més d’un DMO al domicili, sense problemes de col·lisió de ports, ja que cada raspberry-pi pot tenir el seu túnel amb la seva IP pública fixa pròpia dins l’adreçament 44NET. Radioaficionats actius a 44NET als Països Catalans Activació de xarxa 44NET en una Pi-Star En primer lloc cal que us registreu al portal AMPR : https://portal.ampr.org/register/step-one Una vegada aconseguit el registre, logueu-vos i feu l’obertura d’un tiquet per a demanar verificació de l’indicatiu, la qual cosa exigeix enviar una copia de la llicència en vigor expedida per la Jefatura Provincial de Telecomunicacions. Això crea un vincle de confiança que assegura que s’està en possessió d’un indicatiu i que permet fer altres peticions. Seguidament registreu-vos i logueu-vos a la xarxa 44NET: https://connect.44net.cloud/ Feu clic a l’opció REQUEST TUNNEL. En la següent pantalla, podeu seleccionar de quin servidor de túnel IP es penja. En el cas dels Països Catalans es recomana qualsevol dels dos de Frankfurt, per a minimitzar latència. En la pantalla de configuració de túnel, escriviu un nom descriptiu, per exemple ‘DMO EA3xyz’. En el camp Preshared Kwy feu clic a les fletxes en cercle per a aconseguir una clau privada i deixeu seleccionada l’opció ‘Send tunnel details by email’, cosa que us permetrà rebre informació de configuració per correu electrònic. Feu clic a CREATE TUNNEL. Rebreu un correu electrònic amb un adjunt de la configuració per al client WireGuard, on s’indica les claus pública / privada, adreçament IP, servidor de túnel , etc. [Interface]PrivateKey = clau privada de l’usuariAddress = adreçament IPv6/128 , adreçament IPv4 /32DNS = 1.1.1.1,1.0.0.1MTU = 1380[Peer]PublicKey = clau públicaPresharedKey = clau presharedEndpoint = IP i port del servidor de túnel (per exemple Frankfurt)PersistentKeepalive = 20AllowedIPs = 0.0.0.0/0, ::/0 A continuació podeu preparar la vostra Pi-Star. És absolutament important que les paraules clau d’accés ssh i http a la raspberry-pi no siguin els ‘passwords per defecte’ ja que serieu blanc d’atacs fàcils. Canvieu les paraules clau a tries en les que hi hagi més de 12 caràcters alfanumèrics i símbols especials, de manera que tingueu una paraula clau molt robusta. En el moment que el túnel IP queda actiu, la raspberry passa a tenir un direccionalment públic sense la protecció habitual dels routers casolans que filtren ports. No seguiu endavant sense una paraula clau robusta. Per a preparar el túnel IP, podeu executar les següents comanes a la connexió ssh de la raspeberry-pi. rpi-rw sudo apt updatesudo apt install wireguard En aquest punt podeu editar el fitxer de comfiguració de WireGuard rebut per correu electrònic tot fent copia / enganxa usant l’editor vi. vi /etc/wireguard/wg0.conf entreu en mode inserció amb ‘i’ , enganxeu, deseu amb ‘ESC :wq!’ A continuació cal configurar el Firewall del Linux en el que es basa Pi-Star per a que permeti la connexió amb el servidor de túnel IP. S’aconsegueix permetent el tràfic TCP entrant i sortint cap a la IP ‘EndPoint’ rebuda en l’adjunt del correu electrònic. Donat que qualsevol reinici faria perdre la configuració de Firewall, millor escriure la ordre en el cron del Linux sudo crontab -e En mode inserció, tecla ‘i’ com per a editor vi, s’enganxen aquestes entrades (exemple preparat amb l’adreça IP de l’Endpoint 44.27.227.1) @reboot sleep 25 ; sudo iptables -A OUTPUT -p tcp -d 44.27.227.1 -j ACCEPT@reboot sleep 25 ; sudo iptables -A INPUT -p tcp -d 44.27.227.1 -j ACCEPT Deseu amb ‘ESC :wq!’ Podeu habilitar que el servei de WireGuard auto-arranqui després de cada reinici: sudo systemctl enable [email protected] En aquest punt, podeu reiniciar la Pi-Star per a que comenci a aplicar la nova confi-guració. Comana per a mostrar si WireGuard està actiu: sudo wg show Exemple: $ sudo wg showinterface: wg0 public key: clau pública private key: (hidden) listening port: 38677 fwmark: 0xca6cpeer: informació de peer preshared key: (hidden) endpoint: 44.27.227.1:44000 allowed ips: 0.0.0.0/0, ::/0 latest handshake: 43 seconds ago transfer: 344.42 MiB received, 240.65 MiB sent persistent keepalive: every 25 seconds En cas que calgui arrancar WireGuard manualment, es pot fer amb la comana: sudo wg-quick up wg0 La comana ifconfig també aporta información valuosa: $ ifconfigeth0: flags=4163<UP,BROADCAST,RUNNING,MULTICAST> mtu 1500(…)lo: flags=73<UP,LOOPBACK,RUNNING> mtu 65536(…)wg0: flags=209<UP,POINTOPOINT,RUNNING,NOARP> mtu 1380 inet 44.x.x.x netmask 255.255.255.255 destination 44.x.x.x inet6 ipV6 prefixlen 128 scopeid 0x20<link> unspec 00-00-00-00-00-00-00-00-00-00-00-00-00-00-00-00 txqueuelen 1000 (UNSPEC) RX packets 2264305 bytes 361241772 (344.5 MiB) RX errors 0 dropped 0 overruns 0 frame 0 TX packets 1045653 bytes 252400260 (240.7 MiB) TX errors 0 dropped 0 overruns 0 carrier 0 collisions 0 També es pot revisar el dashboard de 44NET: Font i crèdits: Xarxa Digital Catalana Si t’ha agradat llegir aquesta notícia, associa’t a URCAT, l’Associació Nacional dels Radioaficionats Catalans.