четверг, 30 января 2014 г.

mikrotik+RADIUS

RADIUS, short for Remote Authentication Dial-In User Service, is a remote server that provides authentication and accounting facilities to various network apliances. RADIUS authentication and accounting gives the ISP or network administrator ability to manage PPP user access and accounting from one server throughout a large network. The MikroTik RouterOS has a RADIUS client which can authenticate for HotSpot, PPP, PPPoE, PPTP, L2TP and ISDN connections.

The RADIUS server database is consulted only if no matching user acces record is found in router's local database.

Увы, только клиент. Но хорошо интегрируется с LDAP

http://wiki.mikrotik.com/wiki/Manual:RADIUS_Client
http://wiki.mikrotik.com/wiki/How_to_setup_up_RADIUS_for_use_with_MikroTik_-_By_Ramona

среда, 29 января 2014 г.

mikrotik: поднимаем VPN

Умеет: PPTP, L2TP, PPP, SSTP, OVPN, PPPOE. Все как сервером, так и клиентом.
Не так давно микротик не умел openvpn, сейчас у меня поддержка есть.
Windows 7 поддерживает 3 протокола из перечисленных: PPTP, SSTP и почему-то L2TP IPsec

http://wiki.mikrotik.com/wiki/Category:VPN
http://www.mikrotik.com/solutions.php
http://wiki.mikrotik.com/wiki/Tunnels
http://wiki.mikrotik.com/wiki/PPTPServer

PPTP
Наиболее простой вариант для windows-клиента это PPTP
http://www.mikrotik.com/testdocs/ros/2.9/interface/pptp.php#5.29.6
видео, быстрая настройка за 5 минут (видео похоже ускоренное)
http://www.youtube.com/watch?v=Q2OR8hj2ivI

Но есть ряд особенностей. В частности, без указания локального и удаленного адресов будет ошибка соединения.
Если прописывать айпи  из сети сервера - с большой вероятностью ничего не заработает вообще, диапазоны не должны пересекаться. А не из сети сервера, то инет может и поднимется, а вот офисные ресурсы будут недоступны. Прописывание в винде офисной сети (route add) - поможет подключиться только к тем айпи, у которых шлюз - этот микротик, остальные даже пинговаться не будут, потому что подключение будет с этим "левым" айпи, надо тогда как-то сообщить всем системам ещё об одной сети, что сложно, а иногда невозможно. Частично помогает proxy-arp, также может L3 роутинг помочь.
Пояснение. Если мы прописали в remote address айпи 10.10.10.2, то залогинившись на сервер с *nix, мы увидим что подключение было именно с этого айпи. Поэтому дефолтный роутер должен быть микротиком, что выполняется не всегда.

SSTP
Ещё из интересных протоколов -- SSTP
Secure Socket Tunneling Protocol (SSTP) transports a PPP tunnel over a SSL 3.0 channel. The use of SSL over TCP port 443 allows SSTP to pass through virtually all firewalls and proxy servers.

Интересен тем, что не отличим от нормального SSL трафика, в отличии от прочих протоколов, где сразу понятно что это бегает VPN.
Вот с поднятием таких туннелей сложнее, в том числе с подключением.

Корректно SSTP работает только на Windows Vista, Windows 7 и RouterOS.

http://wiki.mikrotik.com/wiki/Manual:Interface/SSTP

Radius
Пользователи могут быть как локальными, так и получаться из Radius, для чего надо настроить radius-подключение и поставить галку в PPP-Secrets-PPP Auth.... - Use Radius
сначала проверяется локальная база, потом радиус.

Про L2, L3, bridging и прочее тут опустим.

Линки
http://blog.a-zazell.ru/mikrotik-windows-sstp-tunnel/
http://rfedorov.blogspot.ru/2013/05/pptp-mikrotik-proxy-arp-gre1723.html

понедельник, 27 января 2014 г.

пятница, 24 января 2014 г.

воскресенье, 19 января 2014 г.

habr: Восстановление прошивки RAID-контроллеров LSI

Восстановление прошивки RAID-контроллеров LSI

Бесплатные облачные хранилища

Наиболее известные у нас варианты
dropbox.com
box.com

Облако от mail.ru, до 20 января 2014 - "вечный 1Тб"! Как минимум активировать себе имеет смысл, вдруг потом пригодится...
cloud.mail.ru, сразу дают 100Гб, после этого надо поставить клиента под win/nix/android и залогиниться - дадут обещанные 1Тб.

У китайцев есть предложения на 10, 36Тб, например
Как получить 36 терабайт в облаке бесплатно и навсегда


Не забываем шифровать все важные данные теми же encfs, truecrypt и подобными. Для encfs4win не забываем dokan (не работает под win 8) + encfs4win
Под никсы ваиантов больше, тот же ecryptfs

Обзор вариантов шифрования данных в облаках для Windows

среда, 15 января 2014 г.

remi: теперь 5.4

Новости примерно 1.5 года, но нам оказалось актуально. Для центоси 5 штатный пхп 5.2, а нам нужно было именно 5.3, причём старше чем 5.3.3, ибо ранее есть бага с max_input_vars, поэтому надо подключать remi или CentALT. Но и в реми теперь тоже 5.4, поэтому выход только 1 -- качать пакеты из архива, ссылки можно взять тут
http://rpms.famillecollet.com/enterprise/5/

или сразу тут
http://rpms.famillecollet.com/enterprise/5/olds/i386/
(это для i386)

четверг, 9 января 2014 г.

немного о GPON

Навеяно Зачем МГТС двигает PON

Автор явно паникёр и не понимает многих вещей, но некоторые опасения действительно не пустые.
Да, сокращение размеров оборудования - это хорошо, и вместо 5 этажей на АТС достаточно 1 этажа, а то и пары комнат. Плюс ИБП достаточной мощности и ёмкости, плюс дизель (пара). Система пассивна, поэтому питание на промежуточных точках не нужно. А вот конечное оборудование - ONT (Optical Network Terminal) - представляет ряд проблем:

  • ему требуется питание, а также системы резервного питания (и менять батареи раз в 1-3 года)
  • устройства не "тупые" телефоны, а по сути компьютеры, с уязвимостями, зависаниями и прочими проблемами
  • зачастую открытый наружу административный интерфейс и пароль, легко подбираемый по некоторым шаблонам (см хабр)
  • многим ставится оборудование с wifi, который конечному клиенту не нужен (всяким бабушкам), а эфир забивает + ещё уязвимость, причём весьма серьёзная: см хабр про вшитые пароли, не подлежащие отключению + слабые пароли...
  • если вместо ONT поставить (не)обычный медиаконвертер, худо станет всей ветке
  • внутри GPON телефония бегает по обычному SIP -- ещё слой отказа. Да и протокол не лучший, тот же IAX поинтереснее будет
  • входящий канал идёт всем, поэтому возможно сниффать чужой траф. Привет, хабы. *

* Прямой поток на уровне оптических сигналов является широковещательным. Каждый абонентский узел ONT, читая адресные поля, выделяет из этого общего потока предназначенную только ему часть информации. Фактически, мы имеем дело с распределённым демультиплексором. (1)

Ну и некоторая сложность диагностики пон-линий, простой рефлектометр из-за делителей тут уже плохо подходит. И отлов сбойного/"левого" конвертера может стать той ещё сказкой.

Линки

Шаблоны разных виртуалок

http://www.cloudvps.co.uk/cloud-vps/cloud-vps-templates/
возможно, совместимо с proxmox

ESXi+hetzner

http://wiki.hetzner.de/index.php/VMware_ESXi/ru

понедельник, 6 января 2014 г.

nginx: немного про proxy_pass и Host

Когда пишется proxy_pass http://backend.srv -- на бэкенд в поле Host будет backend.srv, (замена заголовка Host), что зачастую не ожидается. Решение - или вносить новый Host в алиасы на бэкенде, или использовать 
proxy_set_header Host $host;

мой вариант:
proxy_set_header Host $host:$port;
этот вариант корректно работает, даже когда порт отличен он 80.
Нюанс: если приземляли SSL на nginx без двойного ssl-преобразования (клиент-фронтэнд и фронтэнд-бэкэнд), порт был 443 должен был стать 80, тут 443 и будет. Это надо учитывать.

http://nginx.org/r/proxy_pass
http://nginx.org/r/proxy_set_header