oriolrius.cat

Des del 2000 compartiendo sobre…

Category: Mussol

Netgear ProSafe SSL VPN Concentrator SSL312

2009/03/03 5 comentaris

Reading time: 4 – 6 minutes

NetGear SSL312Havia tingut l’oportunintat de veure funcionar aquest tipus de concentradors d’VPN en diverses ocasions però mai n’havia configurat cap. De fet, el model en concret del que us parlo el vaig descobrir a través de Tecnología Pymes. El que més em va sorprendre és la quantitat d’VPNs que gestionava i el seu preu, són 25 VPNs concurrents per uns 350€ de PVD. Després vaig estar mirant-me a fons el manual i les seves especificacions tècniques i crec que és una de les solucions més competitives per montar VPNs a usuaris remots (roadwarriors) de forma senzilla. En aquest cas, senzilla vol dir que no s’hagi d’anar usuari per usuari a configurar-los l’VPN. Sinó que ells mateixos simplement accedint a una pàgina web i amb un simple usuari/password més el suport d’un plug-in Java/ActiveX passin a ser un client de l’VPN.

Al accedir via web després de l’autenticació el dispositiu facilita un portal d’enllaços als usuaris on poden amb un simple clic accedir a aplicacions a través del navegador, per exemple, usant VNC, RDP, Telnet, SSH, IE i d’altres protocols l’usuari pot iniciar per exemple una sessió amb una aplicació que estigui en un servidor local: Word, Excel, ERP, CRM, Web,  etc. O sigui, que és ideal per quan tenim usuaris amb coneixements molt bàsics perquè els podem donar accés directe a les típiques coses que usaran i per l’usuari és molt senzill d’entendre. Obviament si no volem accedir via web a la xarxa remota ho podem fer des del sistema, o sigui, que per exmemple si obrim una consola podem llençar un ping sense problemes als servidors remots. No deixa de ser una VPN de les de sempre, però usant com a client el navegador.

Pel que fa al firmware que usa després de connectar-hi via RS232 he pogut veure que és un Linux, al qual pel mateix CLI serie podem tenir-hi accés i tocar el que ens convingui. Per cert, enlloc he trobat la configuració del port serie per connectar-hi però fent proves la que m’ha funcionat ha estat: 9600 8N1 no control de fluxe per hardware ni tampoc per software.

Al iniciar el router aquest portava un firmware força antic que no suportava Windows Vista i que només podia treballar amb clients IE via ActiveX. Però després d’actualitzar el firmware a la versió 2.3.03 no només ja es suporta el Windows Vista sinó que també funciona amb clients Linux amb Firefox usant un applet de Java. Això si hem de tenir permisos d’administrador perquè sinó no pot crear les rutes i d’altres similars al sistema.

# uname -a
Linux vpn0 2.4.20-br264 #25 Fri Nov 14 12:23:42 IST 2008 POLO unknown

Els usuaris de l’VPN poden estar guardats en diversos llocs:

  • Local user database
  • Microsoft Active Directory
  • LDAP directory
  • NT domains
  • RADIUS (PAP, CHAP, MSCHAP, MSCHAPv2)

A més disposa d’un sistema de grups i de polítiques de permisos que malgrat no ser res de l’altre món ens permet crear certs tipus de perfils restringint els accessos de forma simple i fàcil de gestionar als grups o usuaris.

Quan montem aquesta solució podem treballar de diverses formes. Diposa de dues sortides ethernet i podem treballar amb només una sortida:

topologia 1

o usant dues interficies de xarxa:

topologia 2

a partir d’aquí podem adaptar el sistema d’VPN al que més ens interessi dins de l’empresa.

Abans d’acabar només un apunt sobre el tema de la configuració. Cal dir que no és complicat de configurar, però en primera instància és una mica engorrós tenir tantes opcions i tan poc intuitives. Una bona recomanació és que no deixeu de llegir-vos atentament l’ajuda en línia (apareix a la part dreta) que es mostra en la WebUI de configuració.

Un altre cop doncs NetGear ens ha presentat un producte molt decent i recomanable, he de dir que és una marca que al igual que Linksys m’acostuma a deixar un bon gust de boca.

Pàgina del producte:  ProSafe SSL VPN Concentrator SSL312

pfSense i VMWare: problemes amb les interficies en bridging [solucionat]

2009/02/27 No hi ha comentaris

Reading time: 4 – 6 minutes

Ahir en Joan i jo ens varem passar 11h per descobrir que el nostre gran problema d’incompatibilitat entre el pfSense i el VMWare ESX 3.5 no era res més que un petit error de configuració a un virtual siwtch (vSwitch) que unia les interficies virtuals del firewall.

Bé anem a descriure l’escenari. Imagineu un pfSense com a màquina virtual d’VMWare amb dues potes físiques, o una física i una virtual, com volgueu el problema és el mateix.  Si les dues són virtuals no ho he provat, però imagino que passa el mateix. La qüestió és que si fem que les dues potes del pfSense estiguin en mode bridge, és a dir com si el pfSense no hi fos i ambdues subxarxes estiguessin unides en una de sola, llavors el tràfic entre una xarxa i l’altre no flueix. O sigui, no podem passar ni paquets ICMP, ni TCP ni UDP. Però si que podem passar paquets ARP. Curiós, eh!?

vmware-pfsense-bridge

En el dibuix anterior es veu l’escenari d’exemple que varem estar provant. O sigiui, un portàtil en una xarxa física, després en una altre xarxa hi teniem un servidor físic i un de virtual. El pfSense sempre virtual, o sigui dins del VMWare ESX. Per altre banda teniem una altre pota real que ens connectava a internet. Però això no és rellevant, només ho indico perquè quedi clar que el pfSense tenia tres potes i que les que feien el bridge no eren la LAN i la WAN. Sinó la LAN i una OPT1. L’escenari real i le proves següents complicaven aquest escenari bàsic afegint una pota més del pfSense també en mode bridge amb la primera, les proves també van funcionar.

Pels que no estigueu familiaritzats amb el VMWare per fer això cal definir dos vSwitch un que uneixi la LAN del pfSense amb la targeta de xarxa real del VMWare i la Xarxa 1. Un altre vSwitch ha d’unir el pfSense amb la Xarxa 2, que té una màquina virtual connectada a ell i un targeta de xarxa del VMWare connectada a un switch real amb un ordinador físic. Doncs bé, aquestes dues interficies del pfSense es posen en mode bridge i els ordinadors de la xarxa 1 i 2 poden compartir domini de col·lisió i el pfSense pot fer filtrat de packets en mode stealth ja que els usuaris ni s’adonen que els seus paquets passen per un firewall.

Diria que ja ha quedat clar el que passava, doncs bé en Joan i jo ens varem passar 11h lluitant i investigant d’on podia venir el problema que feia que els paquets no passessin d’un costat a l’altre del pfSense. De fet, el que varem observar per començar és que a l’itnerficie de xarxa del pfSense no arribaben els paquets de la xarxa 1 a menys que aquests anessin dirigits a la IP de la pota de forma explícita, o els paquets que volien usar el firewall com a porta d’enllaç per navegar.

Doncs bé, el tema esta en que els vSwitch del VMWare han de tenir el paràmetre “Promiscous Mode“, que per defecte esta a “Reject“, a “”Accept“. Fent això a ambdós vSwitch els paquets flueixen d’un costat a l’altre del firewall sense problemes. Increible, oi? doncs si. Una de les múltiples alegries que et dona l’informàtica quan després d’aixecar-te a les 4 del matí per posar en producció el sistema, a les 6 de la tarda descobreixes en un entorn simulat que el problema venia d’això.

A continuació adjunto un parell de captures de pantalla on podeu veure com per  defecte el paràmetre esta a “Reject” :

Caputra de les propietats d'un vSwitch

i simplement editant les propietats del vSwitch el podem posar a “Accept”:

vmware-vswitch-sc002

Això farà, que demà a les 8 hem toqui treballar altre vegada i que per fi pugui posar en producció el sistema. Esperem que les proves de concepte fetes en el entorn simulat que varem montar ahir a la tarda segueixin funcionant tan bé en l’entorn real demà al matí. Apa doncs, només agraïr al Joan la seva paciència i seguir provant i provant colze amb colze amb mi per arribar a aquesta solució.

pfSense: comanda clog

2009/02/14 3 comentaris

Reading time: 2 – 2 minutes

pfsense logoCom no podia ser d’altre forma el pfSense usa logrotate per guardar els logs. O sigui, que si fem un cat als seus fitxers de logs no estem buscant en tot el registre d’informació sinó només en la última part que encara no s’ha empaquetat sovint la part corresponent al dia actual. Doncs bé la gent de pfSense ha creat una eina en forma de comanda: clog que permet mirar un fitxer de logs i en tots els seus paquets comprimits amb informació de dies anteriors.

A més, una funcionalitat molt habitual en els fitxers de logs sobretot quan estem depurant és usar la comanda “tail -f“. Que ens permet veure en temps real els continguts que es van afegint a un fitxer de log, doncs bé, si decidim tenir aquest fitxer en una consola diversos dies monitoritzant el fitxer que ens interessa com que aquest serà empaquetat pel logrotate el “tail -f” es truncarà. Això es soluciona també amb la nova comanda “clog“, només cal que usem el paràmetre “-f” per monitoritzar el que es va afegint en un fitxer de log. O sigui, “clog -f nom_fitxer.log“.
Si voleu donar un cop d’ull a la plana wiki on ho he trobat: clog.

Google sync: GNOME Evolution + Gmail/GCalendar/GContacts + Windows Mobile

2009/02/12 3 comentaris

Reading time: 2 – 4 minutes

google syncLa meva il·lusió quan vaig tenir l’HTC Kaiser (o la Cruise) era tenir-les sincronitzades amb l’Evolution. Al cap de poc temps van començar a posar-se de moda eines com el GCalendar i el Gmail va començar a oferir funcions de POP3 i IMAP cosa que el van fer molt més atractiu. Obviament tenir el correu, contactes i l’agenda completament sincronitzats amb aquests tres elements ja era tot un somni i vaig estar provant i plantejant montar combinacions realment costoses per tal de aconseguir això que comento. Però cap de les combinacions em donava un grau de confiança suficient ja que les sincronitzacions bidireccionals de tot plegat deixaven molt que desitjar. Com sempre passa amb Linux aquest tipus de coses sempre van amb retard.

Finalment aquesta setmana he posat en marxa la trilogia i de moment n’estic molt content del resultats. Anem a pams:

  • GNOME Evolution 2.24.2 finalment incorpora funcions que permeten:
    • Usar l’agenda de contactes del GMail de forma nativa i tenir-la en còpia en local per quan treballem sense connexió a internet.
    • Treballar amb un canal del calendari connectat contra GCalendar i sincronitzar-se periodicament de forma transparent. Com en el cas de l’agenda també permet tenir el canal en còpia per quan estem offline.
    • Pel tema correu ja no hi havia problema perquè sempre he usat IMAP i a través de Vodafone Push Mail rebo el mateix correu que veig al Evolution al Telèfon i a la compte de GMail. El que de moment no he resolt és que es vegin les carpetes que no són ‘inbox’, però això és més un problema de mandra que no de la tecnologia.
  • Google Mail, Address Book i Calendar des de fa uns dies disponsen d’un servei de sincronització amb compatibilitat per Windows Mobile, així doncs, només m’ha calgut seguir les instruccions que hi havia a la web de Google Sync i a funcionar.
  • Windows Mobile, escencialment el que diu Google Sync és que afegit un nou servidor Exchange contra el que farem les configuracions i gràcies a la connexió de Vodafone Mail Push puc connectar a aquest servei amb la mateixa tarifa plana de correu de 15€/mes. Realment genial, perquè tinc els 3 calendaris, agenda i correu sincronitzats per un preu increible.

Com veieu tècnicament la cosa no té cap mèrit per la meva part, i amb uns pocs minuts ho he tingut tot funcionant. De fet, he invertit molt més temps en fer recerca durant tot aquest temps que no pas en configurar aquest sincronització que comento. Per cert, com a nota fríbola afegir que, sense fer cap extra es sincronitzen perfectament els accents en qualsevol dels dispositius!

Arquitectura HA escalable

2009/01/16 3 comentaris

Reading time: 2 – 4 minutes

A aquestes altures tots heu sentit a parlar més o menys de AWS. Sota el meu punt de vista són un conjunt de serveis a tenir molt en compte en el futur de les empreses. En entorns que cada cop es basen de forma més forta amb la virtualització i la externalització del hardware amb arquitectures com el SaaS. Doncs bé, si penseu treballar amb AWS hi ha unes eines web de l’empresa Righscale que valen realment la pena, el dolent és que no són lliures i que les has de contractar com un SaaS, amb tot el bo i el dolent que això suposa.

Bé doncs, tot llegint el wiki dels productes de Rightscale he trobat uns gràfics molt clars i representatius de com han de ser les arquitectures HA:

Arquitectura HA

Arquitectures HA escalables sobre AWS:

Arquitectura HA w/autoscaling

I l’aplicació d’aquesta teoria sobre un cas real per l’empresa wik.is:

arquitectura de wik.is

Per altre banda també voldria recomenar un parell de pàgines d’aquest wiki que comentava:

  • Auto-Scaling setup com el nom ens indica parla de com montar una arquitectura autoescalable amb rightscale i a més també amb alta disponibilitat
  • EC2 infraestructure s’explica l’anàlisis de com es va solucionar la problemàtica de wik.is amb els productes d’AWS i Rightscale

Les fotos del viatge

2009/01/09 3 comentaris

Reading time: 3 – 4 minutes

Finalment ja tenim online les fotos de l’escapada a Mèxic. Des de l’actualització del blog també he canviat la forma de gestionar les fotografies online, així doncs ara aquestes es publiquen a través del famós software gallery2 i les fotografies privades les protegeixo amb simples paraules de pas perquè només les persones més properes les puguin visualitzar, o bé els que hem soliciteu la paraula de pas. Doncs bé segur que cap dels mussols tindreu cap problema amb saber quina és la paraula de pas per veure les fotos i els altres me la demaneu en privat, també podeu deixar un comentari a l’article tot deixant el vostre correu i ús remetre la paraula de pas via email.
Bé doncs, fora formalismes l’enllaç a les fotografies del viatge esta a:

Per altre banda, si algú té ganes de guardar l’enllaç cap a l’Album de fotografies que mica en mica vaig actualitzant la direcció és ben senzilla: http://fotos.oriolrius.cat hi anireu trobant carpetes públiques i d’altres de privades.

Pels que no tingueu temps ni ganes de mirar l’album de fotos aquí adjunto algunes fotografies de resum:

  • Hotel Rius Palace Riviera Maya, a només 20min a peu de Playa del Carmen i amb tots els luxes que fan falta per passar unes vacances relaxants i més.

Holte Rius Palace Riviera Maya

Hotel Rius Palace Riviera Maya

  • Carrer de l’amor, a tocar de la 5à avinguda de Playa del Carmen:

Playa del Carmen - love street near 5th av.

  • Parc Xcaret:

XCaret

XCaret

  • A l’esquerra de la fotografia es veuen les ruines d’un dels temples de Tulum i a la dreta el mar Carib.

Tulum

Passant de 35ºC a -3ºC

2009/01/08 2 comentaris

Reading time: 1 – 2 minutes

Bon any nou a tots, ja torno a ser per aquí després de 9 dies i 7 nits de bona vida i de desconnexió total del món real toca patir fred i de valent després de posar-se ben morenet. En breu pujaré les fotografies del viatge pels que tingueu el gusanillo de donar-hi un cop d’ull. Comentar que finalment no varem anar a l’hotel Riu Yucatan com estava previst, ja que aquest tenia overbooking i ens van posar a un hotel de molta més categoria el Riu Palace Riviera Maya. A més en 20min passejant et plantes a Playa del Carmen on tens tot l’ambient que puguis buscar i més.

Així doncs tot plegat ha anat de meravella, a més he vistat Xcaret i Tulum un parell de llocs que varen quedar pendents el viatge de l’any passat. Mentre acabo de pujar les fotos i els videos al gallery2 adjunto un video de l’habitació, no us perdeu els comentaris… hi hi hi!

Me’n torno a Mèxic (Playa del Carmen)

2008/12/29 No hi ha comentaris

Reading time: 1 – 2 minutes

Segurament encara recordeu que l’últim cap d’any l’he passat a Mèxic, doncs bé aquest any hi torno. De fet, d’aquí unes hores agafo el vol altre cop direcció a Cancun. O sigui, que passaré el cap d’any i els reis a Playa del Carmen, concretament a l’hotel Riu Yucatan. De fet no era el pla inicial però després de veure com se les han eginyat amb la crisis per reduir els vols i fer pujar els preus pels núvols a més de reduir les places i amb la por d’haver de quedar-nos amb la dosis de platja i sol he decidit repetir i marxem altre cop en busca de tranquilitat, festa, platja i bon menjar. Què més se li poden demanar a unes vacances.

Apa doncs, bones festes i bon any nou a tots jo fins el dia 8 no crec que no torni a estar per aquí. Així doncs, passeu-ho molt bé i compte amb el fred.

Els preus

2008/12/24 No hi ha comentaris

Reading time: 3 – 4 minutes

Un psot no estrictament tècnic abans d’acabar l’any. Doncs bé escric des de València on estaré fins el dia 26 que he de tornar pel típic dinar de Sant Esteve amb la família, després el dia 30 agafem un avió cap a Mèxic on tornaré a passar el cap d’any. Si mussols si, repeteixo… vaig a passar una mica de calor per variar i a veure si em poso moreno, això ja serà més difícil. Però bé del que volia parlar-vos és dels preus d’un producte que he estat buscant aquests dies de nadal.

Cable HDMI - DVI

La qüestió és que a través de la web de cablematic vaig poder localitzar un cable HDMI – DVI per connectar el meu portàtil Dell XPS m1330 amb la pantalla de 22″ que uso per treballar habitualment tan a la feina com a casa. Doncs bé, malgrat Cablematic considero que sovint té preus no massa econòmics si compres a preu de PVD és un preu més o menys acceptable comparat amb molts centres comercials i alguns proveedors. La qüestió és que el cable d’1m i mig costa 6’28€ a PVD i 8,06€ a PVP. Agafem aquest últim preu amb la premisa que és un preu tirant a raonable pel cable que és.

Doncs ara bé el motiu de l’article, quan val el mateix cable a MediaMarkt: ~24€ i el mateix cable però amb 5m de longitud: ~25€, que gairebé et donen ganes de comprar-lo de 5m per la diferència de preu. Però la cosa no acaba aquí, quan val el cable a Miró: ~34€ i aquí arribem a la ‘porra’, quan val el cable al Corte Inglés de València… la persona que més s’ha acostat el preu amb la porra que he anat fent quan he explicat l’anècdota ha estat el meu sogre que va dir 50€; però la cosa encara és més greu el preu és de: 67€!!!! no em queden paraules per expresar l’enganyifa que s’esta fent amb els cables d’aquests tipus i més si pensem que el cable del MediaMarkt, el Miró i el Corte Inglés és exactament el mateix amb el mateix blister, longitud i fabricant.

Apa doncs, feu-me cas i no compreu pas res d’electrònica fins passat festes o fins haver comprovat que el preu que pagueu és realment racional. Per cert, li he regalat un Archos 5 a Estefania, realment un aparell impressionant encara no l’hem pogut provar a fons però he de dir que ja li he fet una actualització de firmware només començar, ja que el wifi no anava massa fi. Però tranquils que durant el viatge a Mèxic hi haurà temps de sobres de treure-li el màxim rendiment a l’aparell 😉 Internet Media Tablet

Pels que no estigueu massa posats en què fa i què és un Archos 5, o sigui, un Internet Media Tablet doneu un cop d’ull al video que hi ha a la web d’Archos.

Update VMWare ESXi 3.5 Update2 -> Update3 build 123629

2008/12/05 1 comentari

Reading time: 2 – 3 minutes

Vaig boig des de fa almenys 2 mesos intentant saber perquè el VMWare ESXi queda freeze en un servidor que al final només hi tenia el pfSense i una Ubuntu 8.04.1 virtualitzats. Tan és així que al final, per saber d’on venia el problema he montat un altre servidor ESXi i he posat una màquina virtual amb pfSense a un i un Ubuntu 8.04.1 a l’altre. Doncs bé, finalment s’ha concretat el problema que venia de l’Ubuntu com que ja sabia de què pecava el tema m’he posat a buscar als forums d’VMWare i resulta que la versió Update 2 del ESXi no suporta Ubuntu 8.04.1, també és mala sort la cosa.

Doncs bé, finalment he vist que a finals de Novembre havia sortit l’Update 3 del ESXi i després de suar una mica intentant baixar-me l’actualització, no ho he aconseguit. Així doncs, m’he baixat una ISO sencera i he començat una instal·lació del ESXi sobre del sistema que ja tenia corrent amb Update 2. Encomptes de dir-li que instal·les des de zero li he dit que fes una reparació (repair) de l’instal·lació actual perquè no toques el ‘local storage’ (datastore1) que per defecte esta al mateix disc. Un cop re-instal·lat he aplicat el que explico a l’article:VMWare ESXi: PANIC: Error while reading file: -3, state.tgz

O sigui, que he tornat a importar totes les màquines que tenia i com que continuo sense haver fet un backup doncs no he pogut restaurar la configuració del VMWare ESXi. Però la qüestió és que he aconseguit actualitzar. Digueu-me radical però quan he vist que el manual de com fer actualitzacions al ESX ocupava 100 pàgines he pensat que això també funcionaria i així ha estat. Si algún dia m’animo a mirar el manual ja explicaré la forma oficial de fer-ho, o bé, si algú ho sap que avisi.

Ara només cal creuar els dits perquè això aguanti més d’una setmana que és el que acostumava a durar el sistema sense quedar-se fregit, o com diuen els aglosaxons: freeze.