Inicio

Actualització del CPD finalitzada, per fi!

Dissabte vaig acabar de montar el nou hardware del firewall del meu CPD. Amb una caixa que almenys té 10anys, una placa de PII a 233Mhz de l’any 1996, dos DIMMs de 128Mb a 133Mhz i un HD de 6’4Gb vaig montar el meu nou firewall que de nou en nou ja té una tonelada de pols 😉 per cert, i 4 targetes de xarxa,eh! 😉 3xRTL8139 i 1xNE2000 de 10Mbps…hi hi hi! sembla de ‘xiste’.

Pel que fa al que vaig actualitzar fa uns dies ho teniu aquí: Update al CPD el que no hi ha en aquest post són gaire fotitos de les millores:

Per fi he passat els cables de sota la meva taula com deu mana, amb regletes i d’altres similars, ara ja no fa tan de fastig:

El KVM (switch de CPUs) finalment l’he montat a una pota de la taula així guanyo espai i netedat sobre la mateixa:

La torre de CDs també l’he posat a terra, amb unes rodetes que vaig comprar a cablematic i així tinc la taula de la Daphne i la meva més “despejades”:

Seguin amb la torre de CDs, degut a alguns problemes que tenia amb les tirades de cables USB i he posat un parell de HUBs i he millorat tot el conexionat de la mateixa:

Vista general de l’habitació després de millorar el CPD i abans de posar la pantalla plana:

Si encara voleu més fotos podeu anar a l’album de fotos.

Beers & Blogs

Dissabte vaig anar a la kdd de blogers que es va fer a Barcelona, erem tota una colla no m’ho esperava pas i sempre fa il·lusió veure la cara d’aquells que fa tan temps que llegeixes i no saps quina pinta tenen. També coneixes gent nova i blogs molt interessants, especialment n’hi ha un parell que no coneixia i m’han agradat molt: Wifi Blanes i Mestre Tites. Que no us enganyi el nom del primer ja que de wifi en té ben poc, però compte que engaxa! i el disseny és guapíssim, almenys a mi m’agrada molt. El segon no és tan bonic, però si que molt morbós: anècdotes d’almunes de secundaria explicades per un professor 🙂

Si voleu veure més fotos del tema i d’altres referències sobre el mateix:

• Otro Blog más
• Esther Fuldauez
• Wifi Blanes
• Econde
• pof-HQ
• mini-d

Retevision/auna vergonyós fins hi tot l’últim dia

Normalment tot i que m’agrada criticar no ho faig massa a través del Blog, però ara ja no m’he pogut aguantar i ho he de dir. Com ja anunciava en l’anterior post ahir vaig anar a retirar el servidor i fins hi tot l’últim dia va ser patètic comprobar el trist que arriba a ser el servei i les mentides que t’arriben a vendre. M’explico:

Ahir com ha anat passant durant aquests últims 3 anys quan vaig arribar a l’entrada de l’IDC de Retevision/auna al carrer Avila,31 (22@) de Barcelona els “amables segurates” no tenien constància de la meva entrada a l’IDC per recollir el servidor d’Inforcom. Què raro,eh!? en 3 anys ni un sol dels cops que he anat a l’IDC tenien constància de la meva entrada. Així doncs vaig estar amb l'”ai al cor” fins que després de no sé quantes trucades i més de 10min d’espera algu va dir: Si si! tinc un email que posa que han de venir d’Inforcom. Això si jo mai he avisat amb menys d’una setmana de temps.

Ja esta,no? doncs no! llavors vaig haver d’esperar més de 5min a que re-enviessin el correu al segurata de l’entrada sinó no podia passar, o sigui, quasi 20min per entrar al IDC un cop dintre. Entrem a la mega-sala de servidors on fotia una calor que flipes, CALOR???? si si! calor a la sala de servidors, on s’ha vist això? però si ni a casa meva fot calor aquests dies.

Doncs al noi que em va atendre, amb una cara de becari que flipes, em diu: SAPS ON ÉS EL TEU SERVIDOR??? i jo flipant, el primer que se’m va passar pel cap: pillo una Sun Blade d’aquestes de 60.000€ que hi ha per aquí i surto per potes… però bueno, gràcies a que sóc bona persona i que no em falla la memòria vaig anar a buscar la nostre DELL que estava en un rack amb “tropocientos” servers més. I li dic: vull una consola per parar la màquina i el tio se li posa cara de moniato i no diu res durant almenys 20s… fins que se li ocurreix desmontar la pantalla i el teclat d’un server d’un rack veí. Què raro que en 3 anys encara no hagin posat una consola al rack on estic quan sempre l’havien de montar la setmana següent després de que jo visites el nostre servidor.

Oh! oh! problema! no arribem a enxufar el teclat jo si que decideixo no intervenir per no liar-la tocant el que no toca deixo fer al nano que no se’n surt ja que l’accés a la clavilla era realment complicat. Tal va ser l’esforç que va haver de cridar a un company, i us preguntareu al final ho varen aconseguir? doncs després de recolzar-se en els cables dels veins estirar tot el que van poder i el que els feia nosa i fer unes quantes malavars: PLACA! aconseguit!!!! però què raro no surt res a la pantalla??? i el meu server no esta penjat almenys feia 10min no ho estava… faig una inspecció visual ràpida i què havia passat????

SIIIIIIIIIII

Ho han fet!!!!!!!!! aaaaaaaaaagggggggggrrrrrrrrrr! me l’havien desendollat a “pinyó”!!!!!! en aquell precís segon vaig pensar:

• portem tres anys pagant quasi 1000€ al mes.
• s’ha caigut el servidor unes 7 vegades, curiosament cap per culpa del propi server.
• 1 de les vegades havia marxat la llum a tot l’edifici quan en teoria tenien els generadors més grans que la “NASA”.
• i les 6 altres vegades se m’ha re-iniciat la màquina i ells no han tingut cap incidència oficalment!!!!!!!!!!!!!
• CABRONS!!!!!!!! segur que m’havieu desendollat la màquina sense voler i ells ben callats com uns “putes” mentre jo em menjava marrons amb els clients.
• això li pot passar a tothom però si un client paga 1000€ al mes se suposo que és per no patir aquestes coses,no?

Bé doncs aquí no acaba la cosa, ja que després li dic al “becari” bé desenracam el servidor que me’n vaig. I em diu: jo no puc desenracar res!!! i jo que ja anava emprenyat a més no poder pel que acabava de passar li dic: què???? o sigui, porto el servidor fa 3 anys i vinc amb dos companys i carregat d’eines per enracar el servidor i me n’he d’anar sense fer res perquè la política és que els clients no poden tocar els racks i que vosaltres ja me l’enraqueu amb menys d’una setmana (collons si que costa enracar que es triga una setmana, vaig pensar) i ara em dius que havia de venir carregat de tornavisos per desenracar.

Jo vaig pensar, bé doncs si l’he de desenracar ni que sigui a “osties” densenraco, d’aquí m’emporto el servidor ni que sigui l’últim que faig així que me’n vaig cap al servidor i el començo a estirar a poc a poc, a poc a poc, una mica més una mica més… jo esperant que les guies laterals en algún moment em diguessin: PROU! i el moment no arriba, segueixo estirant més i més i què podia passar: doncs que em surt tot el servidor sencer sense el més mínim esforç i el meu CPU cerebral que encara és un 80×86 pensa: què guay ho he tret súper ràpid i al instant arriba un missatge de la poca intel·ligència que em queda i em diu: TIO QUE SI L’HAS TRET AIXÍ ÉS QUE NO ESTAVA ENRACAT!!!!! que estava recolzat sobre el servidor veí de sota!!!! comor??? quer???? what????? m’exalto i crido: AIXÒ NO ESTAVA ENRACAT!!!! se’ls posa cara de pasta de moniato i no diuen res. Davant la passibitat jo no vaig poder més i els dic bé nanos, aquí us quedeu que això fa vergonya de veure i me’n vaig anar emprenyat com un mono.

Conclusió: aquest país és patètic, Retevision anava fatal, auna encara va pitjor… no sé com internet d’aquest país funcina, per dir-ho d’alguna manera i SI US PLAU DO YOURSELF!!!! no confieu en cap ISP tots fan pudor i n’he provat uns quants de veritat! com varem dir el benja, el pof i jo… millor tenir-ho tot a casa i que quan no vagi sigui per algo que saps què és perquè sinó pots acabar mico de creuret mentides. JA DIUEN ELS MEUS AVIS QUE COM A CASA ENLLOC!!!

Marxem del housing de Retevision

Per fi ha arribat el gran dia, ja ho tinc tot apunt perquè avui al migdia tregui la màquina de Retevision/auna que tan de temps fa que tenim al IDC. Què té a veure amb el portal? doncs té a veure que és la màquina que fa de DNS Primari d’aquest domini i dels dominis del Pof, tot i amb això espero que els problemes de canvi d’IPs per la migració d’auna a Neo-Sky no siguis massen i només durin 24h com a molt, en cas d’existir, és clar. Apa nois, poseu una ciri a Santa Tecla, patrona dels informàtics a veure si tot va bé i no ho notem gaire.

Aprofitarem per despotricar del mal i car servei de primer:

I després la ja precaria situació a la que ens va sotmetre:

Ara li toca el torn a Neo-Sky, a veure què tal aquesta gent d’Iberdrola, de moment molt bé tot plegat, no em paren de trucar i preocupar-se pel servei i no he tingut temps de trobar-los cap pega. Un dia d’aquests us poso les fotitos de l’antena LMDS i us explico una mica de què va el servei de:

Xarxa Wifi Segura: freeRadius + WRT54G = 802.1x (WPA-radius EAP/TLS)

ENGLISH VERSION Secure wi-fi Net : freeRadius + WRT54G = 802.1x (WPA-radius EAP/TLS)

Havia de montar una xarxa Wi-fi amb un nivell de seguretat com deu mana, no com el que s’esta montant actualment amb WEP i tonteries. Així doncs vaig montar un servidor FreeRadius per treballar amb un Linksys WRT54G. Bàsicament la idea va ser instal·lar un HyperWRT al WRT54G (consell del Pof) després el vaig posar que treballés amb WPA-Radius contra el FireWall on vaig instal·lar el FreeRadius. Aquest pas no és necessari si no voleu, ja que el firmware de serie del WRT54G ja suporta WPA-radius.

Esquema de la xarxa que volem montar, cal que ens fixem només en la part del firewall i de l’AP, la resta es suposa i no és important:

Per configurar tot el tema l’únic que vaig fer és seguir les instruccions del 802.1x HOWTO. De totes formes un faig una petita guia a continuació:

• Insatl·lem el freeradius al firewall: emerge freeradius
• Configurem el freeradius per treballar amb EAP/TLS
• Generem els certificats
• Comprobem que el freeRadius funciona correctament
• Configurem l’AP (Linksys WRT54G)
• Configurem els clients Windows XP amb SP2
• Configurem els clients amb Linux

Els fitxers de configuració que jo he usat en el freeRadius són els següents:

• /etc/raddb/radiusd.conf fitxer de configuració general del radius, definim sistemes d’auth i d’altres a usar. Hi ha moltes parts del fitxer que no he usat les he deixat tal i com venien. Agraeixo l’ajuda el Pof el haver-me deixar mirar els seus fitxers per crear els meus.
• /etc/raddb/clients.conf IP’s i xarxes de sistemes que poden ser clients del radius, en el nostre cas l’AP (172.16.1.253).

Malgrat la potència del Radius dona per molt més del que he usat en aquest cas, la documentació i el temps per experimentar no donen per massa més. Però si algú s’anima a refinar el que he fet i m’ho comunica estaré molt agraït.

Pel que fa a la generació dels certificats, obviament la idea és que els emeti una entitat certificadora, però com que això només passa a les ‘pelis’ i a les empreses amb capital, cas que no seria el que ens ocupa, em sembla. Agafarem el nostre OpenSSL i l’usarem per fer tota la pesca. Si no el teniu, ja ho sabeu: emerge openssl. A més com que segur que el nostre fort no són les PKI i històries semblants, el millor és aprendre a usar els scripts que venen amb el freeRadius i el OpenSSL, ja que amb molt poques modificacions podrem crear els certificats que ens fan falta per treballar de forma segura amb el nostre wi-fi.

Com deia usarem els scripts del freeRadius i l’OpenSSL per generar els nostres certificats, així doncs primer de tot anem al codi font del freeRadius i veurem que hi ha un directori que es diu ‘scripts’ allà dins trobarem: CA.certs, certs.sh i xpextensions. Us recomano que verifiqueu les rutes de les ordres que contenen els scripts ja que almenys a mi no em funcionaven per culpa de les rutes que usaben els scripts. Si us fa mandra mirar el codi us adjunto un petit ‘paquet’ amb els fitxers que jo m’he modificat: certs.tar.gz aquests arxius estan modificats per treballar des del propi directori on ens trobem, us recomano crear un directori de treball nou i buit. Un cop tenim localitzats els fitxers, heu de tenir en el vostre PATH el CA.pl que és un script que porta el perl de serie, però que no acostuma a copiar al PATH, jo l’he posat a /usr/bin i després de generar els certificats l’he borrat. També us l’he posat al ‘paquet’, per si no el voleu buscar.

Un cop tenim tot això en un directori apunt per treballar. Podeu editar el CA.certs i posar les vostres dades a les variables de l’inici del fitxer. No cal que modifiqueu res més que les variables la resta ja es farà sola. Sobre tot no oblideu el password que poseu ja que a l’hora de configurar el servidor i els clients ens farà falta.

Per generar els certificats ara l’únic que hem de fer és posar:

# ./certs.sh

i la sortida serà algo així:

Generating DH parameters, 512 bit long safe prime, generator 2
This is going to take a long time
........................+......................................................+...........+................................+..........+.......................+...+...........................................+...............................+............+..............+.................................+.......+..+.................................................+....+....................+.........................................+..+......+................................................+........+.....+...............+...........+.+..................+...........+..................................................+............+......+.+.................+.+.........................+....+................+....+....+.....+.........................+............+......+.+..........................................................+..+...........................................+.........................+.............................+..................................................+...+...++*++*++*++*++*++*
  See the 'certs' directory for the certificates.
  The 'certs' directory should be copied to .../etc/raddb/
  All passwords have been set to 'whatever'

No feu cas dels missatges, només fixeu-vos en que no hagi donat cap error. Ara tindreu un nou directori que penja del directori on us trobeu, aquest directori es diu certs i dins té tots els certificats que us fan falta pel client i el servidor. Us recomano que poseu el contingut del directori ./certs a /etc/raddb/certs així haureu de tocar poca cosa dels fitxers de configuració que us he passat.

El més important ara mateix és repassar els fitxers de configuració que us he posat més amunt i comprobar que el servidor radius es llença sense problemes, cosa que no sempre passa a la primera. Pel que fa al radiusd.conf no crec que tingueu gaires problemes només heu de verificar que les rutes dels certificats apunten als fitxers que tenen el mateix nom que els fitxers que heu generat i sobretot fixeu-vos en el paràmetre: private_key_password = whatever. Cal que canvieu el ‘whatever’ pel vostre password, el que heu posat a la variable PASSWORD del fitxer CA.certs. Si no ho feu, quan llenceu el dimoni, per exemple amb un radiusd -X, per comprobar si es llença bé us demanarà la clau que heu usat per xifrar simetricament els fitxers amb la clau privada, o sigui, el password del que estem parlant. Si això no ho eviteu quan tireu el dimoni amb /etc/init.d/radiusd start donarà un error ja que no podrà usar les claus per accedir als vostres certificats.

Si feu aquest parell de coses bé: verificar les rutes i posar el password correctament. El que toca fer és el que ja apuntava fa unes línies: radiusd -X després d’executar la comanda sortiràn una serie de històrics que ens informaran sobre els possibles errors i si el procés es queda en esepera i amb una linia del tipus:

Ready to process requests.

Senyal que ho heu fet tot bé, ara ja podeu fer un control+c i llençar el dimoni de gentoo (/etc/init.d/radiusd start) o bé, no fer res i configurar un client i així veurem per pantalla els logs que es van generan i podrem comprobar si la cosa rutlla o no rutlla. Si voleu verificar els històrics mentre teniu el servei funcionant i no el mode interactiu, podeu trobar els logs a /var/log/radius/ concretament trobareu els logs de quan s’ha llençat el dimoni a startup.log i els logs de les connexions a radius.log. Si voleu veure de forma interactiva el que li passa al dimoni podeu fer: tail -f /var/log/raddb/radius.log

Abans de passar a configurar els usuaris cal configurar l’AP que serà el client del nostre servei de Radius. La configuració és realment molt senzilla, podeu configurar l’AP tal i com volgueu, concretament jo l’he configurat com un router entre dues xarxes la d’usuaris on s’assignen les IPs per DHCP (192.168.2.0/24) i la que ell (l’AP) anomena Internet, la 172.16.1.253 segons el gràfic. A mi m’agrada dir-li el camí que portarà a internet, o sigui, un cable que va contra el firewall i a través del qual es comunicarà amb el freeRadius. Per exemple, jo acostumo a posar aquesta pota del firewall amb la IP 172.16.1.254 i la pota ‘Internet’ del WRT54G amb la IP 172.16.1.253. Per tant, cal que en el fitxer de configuració /etc/raddb/clients.conf aquesta IP tingui permisos per fer peticions al Radius, per exemple, com el fitxer que us he facilitat:

client 172.16.1.253/32 {
        secret          = SharedSecret99
        shortname       = localhost
}

Fixeu-vos que aquí apareix un altre password, aquesta ‘pre-shared key’ l’usen el WPA-client (WRT54G) i el servidor Radius (freeRadius) per xifrar les seves comunicacions. Així doncs a l’AP li haurem de facilitar aquesta clau perquè pugui parlar amb el nostre servidor Radius. A continuació adjunto una captura de pantalla de la part de la configuració de l’AP on s’ha d’especificar que usarem un servidor Radius:

Per configurar un client de Windows, el primer que heu de tenir en compte és que la targeta WIFI que useu té un firmware suficientment nou com per suportar WPA amb EAP/TLS. Si no ho sabeu intenteu aplicar el manual que adjunto de com configurar un client de WXP i si no trobeu les opcions que assenyalo segurament la vostre targeta no ho suporta. També us aviso que jo només ho sé configurar amb WXP i SP2, així que qualsevol software propietari que porti la vostre targeta wi-fi doncs ni idea de com va, i la resta de version de win tampoc ni idea, no ho he pogut provar ni en tinc ganes de fer-ho.

Us he fet un PDF amb un munt de captures de pantalla perquè sapigueu configurar els clients de WXP. Cal que penseu que durant el document s’instal·len dos certificats el root.der i el root.p12. Aquests dos fitxers estan al directori /etc/raddb/certs, recordeu que els hem generat fa una estona. Així doncs us recomano copiar-los en un pen-drive i no perdre’ls de vista ja que ens faran falta per configurar tots els clients.

Com instal·lar els clients EAP/TLS en Windows XP SP2 en format PDF. Aquest document esta basat en: HOWTO: EAP//TLS Setup for FreeRADIIUS and Wiindows XP Supplliicant també en format PDF.

Pel que fa a la configuració de clients Linux doncs de moment no ho he pogut provar, ja que la meva targeta wi-fi PCMCIA té un firmware massa antic, en els propers dies espero poder configurar la targeta interna del portatil que l’he configurar amb ndiswrapper o linuxant amb els drivers de linux, però ambdos sistemes em permeten usar l’wap_suplicant que és el software necessari per autenticar-me amb WPA/TLS des del Linux, quan tingui això funcionant us aviso. Tranquils que no penso currar gaires dies en Windows a la feina que em poso nerviós de veure com peta tot.

Us adjunto algunes referencies que he usat per configurar el tema:

• 8021X-HOWTO – This document describes the software and procedures to set up and use IEEE 802.1X Port-Based Network Access Control using Xsupplicant as Supplicant with FreeRADIUS as a back-end Authentication Server.
• FreeRADIUS/WinXP Authentication Setup – This post describes how to build a FreeRADIUS server for TLS and PEAP authentication, and how to configure the Windows XP clients (supplicants). The server is configured for a home (or test) network.
• HOWTO on EAP/TLS authentication between FreeRADIUS and XSupplicant – This document describes how to setup strong cryptographic authentication between XSupplicant and FreeRADIUS. This is accomplished using part of 802.1x authentication for wireless network. In particular it uses EAP/TLS extension, and TLS handshake.

Finalment perdoneu el rollasso que he fotut en aquest post, sento no haver-ho pogut escursar més però només disitjo que això ajudi al màxim número de gent possible. Gràcies per la paciència.