https://wiki.frotmail.nl/api.php?action=feedcontributions&feedformat=atom&user=EricFrotmail Projects - User contributions [en]2026-04-05T13:24:30ZUser contributionsMediaWiki 1.45.3https://wiki.frotmail.nl/index.php?title=Main_Page&diff=123Main Page2025-10-21T19:02:49Z<p>Eric: /* Linux */</p>
<hr />
<div>Een aantal pagina's waren door spambots vernaggeld dus heb ik hier en daar wat op protected moeten zetten...<br />
Mocht je een pagina aan willen passen welke protected is dan kan je mij mailen op wikiadmin apenootje frotmail.nl<br />
<br />
----<br />
=Tools=<br />
* [[Co2 Laser]]<br />
* [[CNC]]<br />
<br />
=Projecten=<br />
[[Projecten]]<br />
<br />
=Crypto=<br />
- [[PKI RSA & SSL]]<br />
<br />
=Networking=<br />
* [[Two-factor auth met Google Authenticator]]<br />
<br />
==Problems==<br />
* [[Problem:HSRP met Spanning-Tree]]<br />
* [[Problem:Connectivity loss met HSRP]]<br />
* [[Problem:Verkeerde next-hop in OSPF]]<br />
<br />
==IPv6==<br />
- [[PowerDNS IPv6]]<br />
<br />
==Cisco==<br />
* [[:Category:Cisco]]<br />
* [[ATX to RPS]]<br />
<br />
==Linux==<br />
- [[:Category:Docker]]<br />
<br />
- [[linux firewall voor IIS2k3 Passive FTP achter nat]]<br />
<br />
- [[Mail Related]]<br />
<br />
- [[SSH]]<br />
<br />
- [[Reboot na kernel panic]]<br />
<br />
- [[Apache met ssl]]<br />
<br />
- [[MySQL Backup]]<br />
<br />
- [[Iproute 2]]<br />
<br />
- [[Links]]<br />
<br />
- [[LVM Disk migratie]]<br />
<br />
- [[HA Cluster met Docker]]<br />
<br />
== RPI ==<br />
<br />
- [[SPI]]<br />
<br />
=Windows=<br />
<br />
- [[Passive FTP in IIS]]<br />
<br />
=Hardware=<br />
- [[Electronica]]</div>Erichttps://wiki.frotmail.nl/index.php?title=Co2_Laser&diff=122Co2 Laser2024-10-10T07:05:19Z<p>Eric: /* De software */</p>
<hr />
<div>=Intro=<br />
De lasersnijder is een kwetsbaar apparaat waarmee je gemakkelijk fouten kan maken die gevaarlijk of duur uit kunnen pakken. Daarom hier een pagina hoe deze werkt en tevens een naslag welke instellingen passen bij welke materialen.<br />
<br />
=De onderdelen=<br />
De laser bestaat uit diverse onderdelen.<br />
* De pomp voor koeling<br />
* De afzuiging voor rookafvoer<br />
* De luchtpomp voor 'air-assist'<br />
* De bediening van de laser computer<br />
* De laserbuis<br />
* De 'gantry'<br />
* Het bed<br />
<br />
==Inschakelen==<br />
# Om de machine in te schakelen controleer je of rechts op de zijkant alle schakelaars op 0 staan (de schakelaar van de rotary moet je met rust laten)<br />
# Controleer of de main switch uit staat (Links-boven)<br />
# Controleer of de X en Y as vrij kunnen bewegen (geen rommel op het bed)<br />
# Reset de stop-knop (draaien met de klok mee tot hij 'omhoog' komt)<br />
# Schakel de main switch in (draaien met de klok mee)<br />
# Schakel de temperatuur schakelaar in (links-voor bij het kleine display)<br />
# Controleer of de laser-buis vrij is van lucht!!!<br />
# Controleer of de temperatuur onder de 24 graden is<br />
# Schakel rechts op de zijkant de verlichting en laser in<br />
# Klaar voor de start :)<br />
<br />
=Onderhoud=<br />
==Uitlijnen van de spiegels==<br />
https://www.youtube.com/watch?v=rYX0zfWFnIM<br />
<br />
==Reinigen spiegels / lens==<br />
https://www.youtube.com/watch?v=T9p-1AZKCVg<br />
<br />
==Water vullen==<br />
Demi of gedestilleerd water, er mag '''geen''' kalk aanslag in de buis komen!<br />
<br />
=De software=<br />
Om de laser aan te sturen gebruiken we 'Lightburn'<br />
<br />
https://docs.lightburnsoftware.com/LightBurnDocs.pdf<br />
<br />
* [https://10.2.10.108:9443 LightBurn Ilse]<br />
* [https://10.2.10.108:8445 LightBurn Eric]<br />
<br />
=Materialen=<br />
{| class="wikitable" style="margin:auto"<br />
|+ Materialen<br />
|-<br />
! Soort !! Dikte !! Details !! Graveren !! Snijden<br />
|-<br />
| Hout || ~3mm || Hard triplex - Hornbach || 300mm/sec @ 20% || 20mm/sec @ 60%<br />
|-<br />
| Hout || 10mm || Multiplex met witte grondlaag || 300mm/sec @ 20% || niet bekend<br />
|-<br />
| Vilt || 9mm || PET Vilt met plaklaag || niet bekend || 60mm/sec @ 55% in 4x<br />
|}</div>Erichttps://wiki.frotmail.nl/index.php?title=Co2_Laser&diff=121Co2 Laser2024-06-17T18:20:11Z<p>Eric: /* Materialen */</p>
<hr />
<div>=Intro=<br />
De lasersnijder is een kwetsbaar apparaat waarmee je gemakkelijk fouten kan maken die gevaarlijk of duur uit kunnen pakken. Daarom hier een pagina hoe deze werkt en tevens een naslag welke instellingen passen bij welke materialen.<br />
<br />
=De onderdelen=<br />
De laser bestaat uit diverse onderdelen.<br />
* De pomp voor koeling<br />
* De afzuiging voor rookafvoer<br />
* De luchtpomp voor 'air-assist'<br />
* De bediening van de laser computer<br />
* De laserbuis<br />
* De 'gantry'<br />
* Het bed<br />
<br />
==Inschakelen==<br />
# Om de machine in te schakelen controleer je of rechts op de zijkant alle schakelaars op 0 staan (de schakelaar van de rotary moet je met rust laten)<br />
# Controleer of de main switch uit staat (Links-boven)<br />
# Controleer of de X en Y as vrij kunnen bewegen (geen rommel op het bed)<br />
# Reset de stop-knop (draaien met de klok mee tot hij 'omhoog' komt)<br />
# Schakel de main switch in (draaien met de klok mee)<br />
# Schakel de temperatuur schakelaar in (links-voor bij het kleine display)<br />
# Controleer of de laser-buis vrij is van lucht!!!<br />
# Controleer of de temperatuur onder de 24 graden is<br />
# Schakel rechts op de zijkant de verlichting en laser in<br />
# Klaar voor de start :)<br />
<br />
=Onderhoud=<br />
==Uitlijnen van de spiegels==<br />
https://www.youtube.com/watch?v=rYX0zfWFnIM<br />
<br />
==Reinigen spiegels / lens==<br />
https://www.youtube.com/watch?v=T9p-1AZKCVg<br />
<br />
==Water vullen==<br />
Demi of gedestilleerd water, er mag '''geen''' kalk aanslag in de buis komen!<br />
<br />
=De software=<br />
Om de laser aan te sturen gebruiken we 'Lightburn'<br />
<br />
https://docs.lightburnsoftware.com/LightBurnDocs.pdf<br />
<br />
=Materialen=<br />
{| class="wikitable" style="margin:auto"<br />
|+ Materialen<br />
|-<br />
! Soort !! Dikte !! Details !! Graveren !! Snijden<br />
|-<br />
| Hout || ~3mm || Hard triplex - Hornbach || 300mm/sec @ 20% || 20mm/sec @ 60%<br />
|-<br />
| Hout || 10mm || Multiplex met witte grondlaag || 300mm/sec @ 20% || niet bekend<br />
|-<br />
| Vilt || 9mm || PET Vilt met plaklaag || niet bekend || 60mm/sec @ 55% in 4x<br />
|}</div>Erichttps://wiki.frotmail.nl/index.php?title=LVM_Disk_migratie&diff=120LVM Disk migratie2024-05-23T06:01:55Z<p>Eric: Created page with "Voeg nieuwe disk toe aan het systeem en maak partitie tabel aan. In het huidige geval migreer ik van een SATA disk naar een NVME disk op een pi5. De niet-LVM partities en partitie tabel migreer ik met rpi-clone [https://rpi-clone.jeffgeerling.com/] Hierna maken we een Physical Volume aan op de partitie: root@dockerpi:/home/eric# pvcreate /dev/nvme0n1p3 Using metadata size 960 KiB for non-standard page size 16384. Using metadata size 960 KiB for non-standard page..."</p>
<hr />
<div>Voeg nieuwe disk toe aan het systeem en maak partitie tabel aan.<br />
<br />
In het huidige geval migreer ik van een SATA disk naar een NVME disk op een pi5. De niet-LVM partities en partitie tabel migreer ik met rpi-clone [https://rpi-clone.jeffgeerling.com/]<br />
<br />
Hierna maken we een Physical Volume aan op de partitie:<br />
<br />
root@dockerpi:/home/eric# pvcreate /dev/nvme0n1p3 <br />
Using metadata size 960 KiB for non-standard page size 16384.<br />
Using metadata size 960 KiB for non-standard page size 16384.<br />
Physical volume "/dev/nvme0n1p3" successfully created.<br />
<br />
Vervolgens kijken we welke Volume Group op het systeem is gemaakt, hier gaan we de PV aan toevoegen:<br />
<br />
root@dockerpi:/home/eric# vgdisplay <br />
--- Volume group ---<br />
VG Name ssd<br />
System ID <br />
Format lvm2<br />
Metadata Areas 1<br />
Metadata Sequence No 3<br />
VG Access read/write<br />
VG Status resizable<br />
MAX LV 0<br />
Cur LV 2<br />
Open LV 2<br />
Max PV 0<br />
Cur PV 1<br />
Act PV 1<br />
VG Size 847.21 GiB<br />
PE Size 4.00 MiB<br />
Total PE 216887<br />
Alloc PE / Size 102400 / 400.00 GiB<br />
Free PE / Size 114487 / 447.21 GiB<br />
VG UUID 2zBos5-Net6-dM6L-kPIq-KzGY-OxEG-2pYiZ9<br />
<br />
En het toevoegen:<br />
<br />
root@dockerpi:/home/eric# vgextend ssd /dev/nvme0n1p3<br />
Using metadata size 960 KiB for non-standard page size 16384.<br />
Using metadata size 960 KiB for non-standard page size 16384.<br />
Volume group "ssd" successfully extended<br />
<br />
Vervolgens moeten we weten welke volumes we moeten migreren:<br />
<br />
root@dockerpi:/home/eric# lvdisplay <br />
--- Logical volume ---<br />
LV Path /dev/ssd/docker_root<br />
LV Name docker_root<br />
VG Name ssd<br />
[..]<br />
<br />
--- Logical volume ---<br />
LV Path /dev/ssd/docker_data<br />
LV Name docker_data<br />
VG Name ssd<br />
[..]<br />
<br />
Deze kunnen we dupliceren met het volgende commando:<br />
<br />
root@dockerpi:/home/eric# lvconvert --type mirror -m1 /dev/ssd/docker_root /dev/nvme0n1p3<br />
Logical volume ssd/docker_root being converted.<br />
ssd/docker_root: Converted: 0.02%<br />
ssd/docker_root: Converted: 1.91%</div>Erichttps://wiki.frotmail.nl/index.php?title=Main_Page&diff=119Main Page2024-05-23T05:55:12Z<p>Eric: /* Linux */</p>
<hr />
<div>Een aantal pagina's waren door spambots vernaggeld dus heb ik hier en daar wat op protected moeten zetten...<br />
Mocht je een pagina aan willen passen welke protected is dan kan je mij mailen op wikiadmin apenootje frotmail.nl<br />
<br />
----<br />
=Tools=<br />
* [[Co2 Laser]]<br />
* [[CNC]]<br />
<br />
=Projecten=<br />
[[Projecten]]<br />
<br />
=Crypto=<br />
- [[PKI RSA & SSL]]<br />
<br />
=Networking=<br />
* [[Two-factor auth met Google Authenticator]]<br />
<br />
==Problems==<br />
* [[Problem:HSRP met Spanning-Tree]]<br />
* [[Problem:Connectivity loss met HSRP]]<br />
* [[Problem:Verkeerde next-hop in OSPF]]<br />
<br />
==IPv6==<br />
- [[PowerDNS IPv6]]<br />
<br />
==Cisco==<br />
* [[:Category:Cisco]]<br />
* [[ATX to RPS]]<br />
<br />
==Linux==<br />
- [[:Category:Docker]]<br />
<br />
- [[linux firewall voor IIS2k3 Passive FTP achter nat]]<br />
<br />
- [[Mail Related]]<br />
<br />
- [[SSH]]<br />
<br />
- [[Reboot na kernel panic]]<br />
<br />
- [[Apache met ssl]]<br />
<br />
- [[MySQL Backup]]<br />
<br />
- [[Iproute 2]]<br />
<br />
- [[Links]]<br />
<br />
- [[LVM Disk migratie]]<br />
<br />
== RPI ==<br />
<br />
- [[SPI]]<br />
<br />
=Windows=<br />
<br />
- [[Passive FTP in IIS]]<br />
<br />
=Hardware=<br />
- [[Electronica]]</div>Erichttps://wiki.frotmail.nl/index.php?title=Co2_Laser&diff=118Co2 Laser2023-09-19T16:07:46Z<p>Eric: </p>
<hr />
<div>=Intro=<br />
De lasersnijder is een kwetsbaar apparaat waarmee je gemakkelijk fouten kan maken die gevaarlijk of duur uit kunnen pakken. Daarom hier een pagina hoe deze werkt en tevens een naslag welke instellingen passen bij welke materialen.<br />
<br />
=De onderdelen=<br />
De laser bestaat uit diverse onderdelen.<br />
* De pomp voor koeling<br />
* De afzuiging voor rookafvoer<br />
* De luchtpomp voor 'air-assist'<br />
* De bediening van de laser computer<br />
* De laserbuis<br />
* De 'gantry'<br />
* Het bed<br />
<br />
==Inschakelen==<br />
# Om de machine in te schakelen controleer je of rechts op de zijkant alle schakelaars op 0 staan (de schakelaar van de rotary moet je met rust laten)<br />
# Controleer of de main switch uit staat (Links-boven)<br />
# Controleer of de X en Y as vrij kunnen bewegen (geen rommel op het bed)<br />
# Reset de stop-knop (draaien met de klok mee tot hij 'omhoog' komt)<br />
# Schakel de main switch in (draaien met de klok mee)<br />
# Schakel de temperatuur schakelaar in (links-voor bij het kleine display)<br />
# Controleer of de laser-buis vrij is van lucht!!!<br />
# Controleer of de temperatuur onder de 24 graden is<br />
# Schakel rechts op de zijkant de verlichting en laser in<br />
# Klaar voor de start :)<br />
<br />
=Onderhoud=<br />
==Uitlijnen van de spiegels==<br />
https://www.youtube.com/watch?v=rYX0zfWFnIM<br />
<br />
==Reinigen spiegels / lens==<br />
https://www.youtube.com/watch?v=T9p-1AZKCVg<br />
<br />
==Water vullen==<br />
Demi of gedestilleerd water, er mag '''geen''' kalk aanslag in de buis komen!<br />
<br />
=De software=<br />
Om de laser aan te sturen gebruiken we 'Lightburn'<br />
<br />
https://docs.lightburnsoftware.com/LightBurnDocs.pdf<br />
<br />
=Materialen=<br />
{| class="wikitable" style="margin:auto"<br />
|+ Materialen<br />
|-<br />
! Soort !! Dikte !! Details !! Graveren !! Snijden<br />
|-<br />
| Hout || ~3mm || Hard triplex - Hornbach || 300mm/sec @ 20% || 20mm/sec @ 60%<br />
|-<br />
| Hout || 10mm || Multiplex met witte grondlaag || 300mm/sec @ 20% || niet bekend<br />
|}</div>Erichttps://wiki.frotmail.nl/index.php?title=Co2_Laser&diff=117Co2 Laser2023-09-19T07:19:19Z<p>Eric: </p>
<hr />
<div>=Intro=<br />
De lasersnijder is een kwetsbaar apparaat waarmee je gemakkelijk fouten kan maken die gevaarlijk of duur uit kunnen pakken. Daarom hier een pagina hoe deze werkt en tevens een naslag welke instellingen passen bij welke materialen.<br />
<br />
=De onderdelen=<br />
De laser bestaat uit diverse onderdelen.<br />
* De pomp voor koeling<br />
* De afzuiging voor rookafvoer<br />
* De luchtpomp voor 'air-assist'<br />
* De bediening van de laser computer<br />
* De laserbuis<br />
* De 'gantry'<br />
* Het bed<br />
<br />
==Inschakelen==<br />
# Om de machine in te schakelen controleer je of rechts op de zijkant alle schakelaars op 0 staan (de schakelaar van de rotary moet je met rust laten)<br />
# Controleer of de main switch uit staat (Links-boven)<br />
# Controleer of de X en Y as vrij kunnen bewegen (geen rommel op het bed)<br />
# Reset de stop-knop (draaien met de klok mee tot hij 'omhoog' komt)<br />
# Schakel de main switch in (draaien met de klok mee)<br />
# Schakel de temperatuur schakelaar in (links-voor bij het kleine display)<br />
# Controleer of de laser-buis vrij is van lucht!!!<br />
# Controleer of de temperatuur onder de 24 graden is<br />
# Schakel rechts op de zijkant de verlichting en laser in<br />
# Klaar voor de start :)<br />
<br />
<br />
<br />
=De software=<br />
Om de laser aan te sturen gebruiken we 'Lightburn'<br />
<br />
https://docs.lightburnsoftware.com/LightBurnDocs.pdf<br />
<br />
=Materialen=<br />
{| class="wikitable" style="margin:auto"<br />
|+ Materialen<br />
|-<br />
! Soort !! Dikte !! Details !! Graveren !! Snijden<br />
|-<br />
| Hout || ~3mm || Hard triplex - Hornbach || 300mm/sec @ 20% || 20mm/sec @ 60%<br />
|-<br />
| Hout || 10mm || Multiplex met witte grondlaag || 300mm/sec @ 20% || niet bekend<br />
|}</div>Erichttps://wiki.frotmail.nl/index.php?title=Co2_Laser&diff=116Co2 Laser2023-09-19T07:06:47Z<p>Eric: </p>
<hr />
<div>=Intro=<br />
De lasersnijder is een kwetsbaar apparaat waarmee je gemakkelijk fouten kan maken die gevaarlijk of duur uit kunnen pakken. Daarom hier een pagina hoe deze werkt en tevens een naslag welke instellingen passen bij welke materialen.<br />
<br />
=De onderdelen=<br />
<br />
=De software=<br />
Om de laser aan te sturen gebruiken we 'Lightburn'<br />
<br />
https://docs.lightburnsoftware.com/LightBurnDocs.pdf<br />
<br />
=Materialen=<br />
{| class="wikitable" style="margin:auto"<br />
|+ Materialen<br />
|-<br />
! Soort !! Dikte !! Details !! Graveren !! Snijden<br />
|-<br />
| Hout || ~3mm || Hard triplex - Hornbach || 300mm/sec @ 20% || 20mm/sec @ 60%<br />
|-<br />
| Hout || 10mm || Multiplex met witte grondlaag || 300mm/sec @ 20% || niet bekend<br />
|}</div>Erichttps://wiki.frotmail.nl/index.php?title=Co2_Laser&diff=115Co2 Laser2023-09-19T06:13:16Z<p>Eric: Created page with "=Intro= De lasersnijder is een kwetsbaar apparaat waarmee je gemakkelijk fouten kan maken die gevaarlijk of duur uit kunnen pakken. Daarom hier een pagina hoe deze werkt en tevens een naslag welke instellingen passen bij welke materialen. =De onderdelen= =Materialen= {| class="wikitable" style="margin:auto" |+ Materialen |- ! Soort !! Dikte !! Details !! Graveren !! Snijden |- | Hout || ~3mm || Hard triplex - Hornbach || 300mm/sec @ 20% || 20mm/sec @ 60% |- | Hout ||..."</p>
<hr />
<div>=Intro=<br />
De lasersnijder is een kwetsbaar apparaat waarmee je gemakkelijk fouten kan maken die gevaarlijk of duur uit kunnen pakken. Daarom hier een pagina hoe deze werkt en tevens een naslag welke instellingen passen bij welke materialen.<br />
<br />
=De onderdelen=<br />
<br />
<br />
=Materialen=<br />
{| class="wikitable" style="margin:auto"<br />
|+ Materialen<br />
|-<br />
! Soort !! Dikte !! Details !! Graveren !! Snijden<br />
|-<br />
| Hout || ~3mm || Hard triplex - Hornbach || 300mm/sec @ 20% || 20mm/sec @ 60%<br />
|-<br />
| Hout || 10mm || Multiplex met witte grondlaag || 300mm/sec @ 20% || niet bekend<br />
|}</div>Erichttps://wiki.frotmail.nl/index.php?title=Main_Page&diff=114Main Page2023-09-18T12:31:41Z<p>Eric: </p>
<hr />
<div>Een aantal pagina's waren door spambots vernaggeld dus heb ik hier en daar wat op protected moeten zetten...<br />
Mocht je een pagina aan willen passen welke protected is dan kan je mij mailen op wikiadmin apenootje frotmail.nl<br />
<br />
----<br />
=Tools=<br />
* [[Co2 Laser]]<br />
* [[CNC]]<br />
<br />
=Projecten=<br />
[[Projecten]]<br />
<br />
=Crypto=<br />
- [[PKI RSA & SSL]]<br />
<br />
=Networking=<br />
* [[Two-factor auth met Google Authenticator]]<br />
<br />
==Problems==<br />
* [[Problem:HSRP met Spanning-Tree]]<br />
* [[Problem:Connectivity loss met HSRP]]<br />
* [[Problem:Verkeerde next-hop in OSPF]]<br />
<br />
==IPv6==<br />
- [[PowerDNS IPv6]]<br />
<br />
==Cisco==<br />
* [[:Category:Cisco]]<br />
* [[ATX to RPS]]<br />
<br />
==Linux==<br />
- [[:Category:Docker]]<br />
<br />
- [[linux firewall voor IIS2k3 Passive FTP achter nat]]<br />
<br />
- [[Mail Related]]<br />
<br />
- [[SSH]]<br />
<br />
- [[Reboot na kernel panic]]<br />
<br />
- [[Apache met ssl]]<br />
<br />
- [[MySQL Backup]]<br />
<br />
- [[Iproute 2]]<br />
<br />
- [[Links]]<br />
<br />
== RPI ==<br />
<br />
- [[SPI]]<br />
<br />
=Windows=<br />
<br />
- [[Passive FTP in IIS]]<br />
<br />
=Hardware=<br />
- [[Electronica]]</div>Erichttps://wiki.frotmail.nl/index.php?title=User:Eric&diff=112User:Eric2022-09-21T18:32:54Z<p>Eric: /* Media */</p>
<hr />
<div>Persoonlijke links<br />
<br />
=Media=<br />
* [http://10.4.10.16:8096/web/index.html#!/home.html JellyFin]<br />
* [http://10.4.10.16:2283/ Immich]<br />
* [http://10.4.10.16:9091/ Transmission]<br />
* [http://10.4.10.2:8092/ IPCams]<br />
<br />
=Netwerk=<br />
* [http://10.4.10.16:8082/admin/ Pihole uitwijk]<br />
* [http://10.4.10.46:8082/admin/ Pihole primair]<br />
<br />
=Domotica=<br />
* [http://10.4.10.16:8123/ HomeAssistant]</div>Erichttps://wiki.frotmail.nl/index.php?title=User:Eric&diff=111User:Eric2022-09-21T18:32:11Z<p>Eric: Created page with "Persoonlijke links =Media= * [http://10.4.10.16:8096/web/index.html#!/home.html JellyFin] * [http://10.4.10.16:2283/ Immich] * [http://10.4.10.16:9091/ Transmission] * [http://10.4.10.2:8902/ IPCams] =Netwerk= * [http://10.4.10.16:8082/admin/ Pihole uitwijk] * [http://10.4.10.46:8082/admin/ Pihole primair] =Domotica= * [http://10.4.10.16:8123/ HomeAssistant]"</p>
<hr />
<div>Persoonlijke links<br />
<br />
=Media=<br />
* [http://10.4.10.16:8096/web/index.html#!/home.html JellyFin]<br />
* [http://10.4.10.16:2283/ Immich]<br />
* [http://10.4.10.16:9091/ Transmission]<br />
* [http://10.4.10.2:8902/ IPCams]<br />
<br />
=Netwerk=<br />
* [http://10.4.10.16:8082/admin/ Pihole uitwijk]<br />
* [http://10.4.10.46:8082/admin/ Pihole primair]<br />
<br />
=Domotica=<br />
* [http://10.4.10.16:8123/ HomeAssistant]</div>Erichttps://wiki.frotmail.nl/index.php?title=Zabbix_Log_monitoring&diff=110Zabbix Log monitoring2022-04-05T09:48:06Z<p>Eric: Created page with "=Inleiding= Naast het verzamelen van SNMP counters is Zabbix ook in staat om logfiles in de gaten te houden. [https://www.zabbix.com/documentation/2.4/manual/config/items/itemtypes/log_items 1] Voor mij was de documentatie niet voldoende om duidelijk in te zien hoe ik logmonitoring kon toepassen met een wat uitgebreidere regex. Vandaar deze pagina ter naslag. =log item= Allereerst heb je een host nodig met de zabbix_agent, deze agent zal de logfile in de gaten gaan hou..."</p>
<hr />
<div>=Inleiding=<br />
Naast het verzamelen van SNMP counters is Zabbix ook in staat om logfiles in de gaten te houden. [https://www.zabbix.com/documentation/2.4/manual/config/items/itemtypes/log_items 1]<br />
<br />
Voor mij was de documentatie niet voldoende om duidelijk in te zien hoe ik logmonitoring kon toepassen met een wat uitgebreidere regex. Vandaar deze pagina ter naslag.<br />
<br />
=log item=<br />
Allereerst heb je een host nodig met de zabbix_agent, deze agent zal de logfile in de gaten gaan houden en eventuele output doorzetten naar Zabbix.<br />
<br />
In mijn geval was deze host de Zabbix server zelf, welke via remote syslog informatie ontving van netwerk devices.<br />
<br />
Bij deze host dienen we een item aan te maken:<br />
<br />
[ Configuration ]<br />
|--> [ Hosts ]<br />
|--> [ Zabbix Server: Items ]<br />
|--> Create item<br />
<br />
Bij het aanmaken van het nieuwe Item zijn de volgende waarden van belang:<br />
<br />
Name: [Naam van de logmonitor]<br />
Type: Zabbix agent (active)<br />
Key: log[/path/to/logfile,regex]<br />
Type of information: Log<br />
<br />
Bij '''Key''' zijn meer opties mogelijk maar deze zijn het belangrijkst, de logfile en de regex. Je zal dit item ook moeten toewijzen aan een bestaande of nieuwe applicatie en tenslotte kan je nog wat andere zaken ingeven als time format, deze kan je voor nu prima leeg laten.<br />
<br />
De regex kan heel eenvoudig zijn, wanneer je alle regels wil zien waarin het woord 'error' voorkomt (het meest gebruikte voorbeeld in de Zabbix documentatie) krijg je bijvoorbeeld:<br />
log[/var/log/192.168.0.1/syslog.log,error]<br />
<br />
Echter wil ik een wat complexere regex toepassen waarin gekeken wordt naar meerdere mogelijke matches. Je kan hiervoor in zabbix gebruik maken van algemene '''regular expressions''' [https://www.zabbix.com/documentation/2.4/manual/regular_expressions 2]<br />
<br />
We komen zo terug op hoe we deze aanmaken, belangrijk is dat je deze kan aanspreken door te refereren naar deze regex door de volgende notatie: @regexnaam<br />
<br />
Onze regel t.b.v. logmonitoring (in het item) ziet er dan uiteindelijk als volgt uit:<br />
<br />
log[/var/log/192.168.0.1/syslog.log,@myregex]<br />
<br />
=Regular Expressions=<br />
We hebben inmiddels een item aangemaakt welke enkel regels ophaalt welke voldoen aan 'myregex'. Echter moeten we deze wel aanmaken om wat zinnige resultaten hieruit te krijgen.<br />
<br />
Deze regex kunnen we hier aanmaken:<br />
[ Administration ]<br />
|--> [ General ]<br />
|--> Kies nu uit de dropdown (rechts-boven): Regular expressions<br />
|--> New regular expression<br />
<br />
Ik wil de logregels in Zabbix terugzien als deze een prio hebben van 0, 1 of 2. Indien er een prio 3 logregel is met van de service [SYSTEM] wil ik deze ook. In de logfiles zie ik terug dat in de text van de logregel dan de string <0>, <1>, <2> of [SYSTEM]<3> moet voorkomen.<br />
<br />
In je nieuwe regual expression geef je deze de naam myregex (waarnaar we hebben verwezen in bovenstaand item) en klik je binnen het vak 'Expressions' op '''Add'''.<br />
<br />
Er opent zich een nieuw vak waarin je de expression kan opgeven, hierin vullen we het volgende in:<br />
Expression type: Any character string included<br />
Delimiter: ,<br />
Case sensitive: Checked<br />
Expression: <0>,<1>,<2>,[SYSTEM]<3><br />
Klik vervolgens onderaan in dit vak op '''Add''' en nu kunnen we in het 2e tab een test uitvoeren. Door een logregel te kopieren naar het vak '''Test string''' kunnen we testen of deze wel/niet zal worden opgepakt door Zabbix.<br />
<br />
Klik wanneer je tevreden bent met je regex op '''Add''' onderaan om deze op te slaan.<br />
<br />
=Trigger=<br />
Tenslotte willen we dat er wat gedaan wordt met onze resultaten. <br />
[ Configuration ]<br />
|--> [ Hosts ]<br />
|--> Zabbix server: Triggers<br />
|--> Create Trigger<br />
Geef de trigger een zinnige naam en klik op '''Add''' naast het Expression veld.<br />
<br />
Selecteer het Item wat we aan hebben gemaakt en bij Function kies <br />
'No data received during period of time T, then N = 1, 0 - otherwise' en vul bij T bijvoorbeeld 600 in.<br />
<br />
Dit betekend: De trigger wordt pas actief als er data binnen komt, en 600 sec na de laatste data wordt deze weer inactief.<br />
<br />
De expression welke dan in het veld komt wanneer we op '''Insert''' klikken ziet er ongeveer uit als volgt:<br />
{Zabbix server:log[/var/log/192.168.0.1/syslog.log,@myregex],nodata(600)}=0<br />
<br />
Bij 'Description' en 'URL' kan je nog wat relevante info opgeven en tenslotte kan je de severity opgeven waarna je op '''Add''' klikt.<br />
<br />
Done!<br />
[[Category:Zabbix]]</div>Erichttps://wiki.frotmail.nl/index.php?title=ZFS&diff=109ZFS2022-04-05T09:47:36Z<p>Eric: Created page with " 1315 add-apt-repository ppa:zfs-native/stable 1320 apt-get install ubuntu-zfs 1321 zfs 1336 zfs create tank/zip 1337 zfs set compression=gzip tank/zip 1347 zfs 1348 zfs list 1349 zfs list help 1350 zfs list zip 1351 zfs list tank 1352 zfs list tank/zip 1353 zfs list --help 1354 zfs 1355 zfs get tank 1356 zfs get tank/zip 1365 zfs get compressratio 1373 zfs create nonzip 1374 zfs create tank/nonzip 1416 zfs create -o encryption=on ta..."</p>
<hr />
<div> 1315 add-apt-repository ppa:zfs-native/stable<br />
1320 apt-get install ubuntu-zfs<br />
1321 zfs <br />
1336 zfs create tank/zip<br />
1337 zfs set compression=gzip tank/zip<br />
1347 zfs<br />
1348 zfs list<br />
1349 zfs list help<br />
1350 zfs list zip<br />
1351 zfs list tank<br />
1352 zfs list tank/zip<br />
1353 zfs list --help<br />
1354 zfs<br />
1355 zfs get tank<br />
1356 zfs get tank/zip<br />
1365 zfs get compressratio<br />
1373 zfs create nonzip<br />
1374 zfs create tank/nonzip<br />
1416 zfs create -o encryption=on tank/crypt<br />
1436 zfs get compressratio<br />
1437 zfs create tank/zip/iso<br />
1439 zfs set compression=gzip tank/zip/iso<br />
1443 zfs get compressratio<br />
1447 zfs get compressratio<br />
1449 zfs get compressratio<br />
1450 zfs create tank/zip/img<br />
1453 zfs status -o all<br />
1454 zfs list -o all<br />
1455 zfs list -o all | head -n 1<br />
1456 zfs list -o name,used,avail,ratio,compress,quota<br />
1457 watch zfs list -o name,used,avail,ratio,compress,quota<br />
1483 zfs list -o name,used,avail,ratio,compress,quota<br />
1497 zfs status<br />
1498 zfs list<br />
1499 zfs show<br />
1500 modprobe zfs<br />
1503 zfs mount -a<br />
1507 zfs destroy tank/zip/hometest<br />
1578 history | grep zfs<br />
1579 zfs get compressratio<br />
1580 zfs list -o name,used,avail,ratio,compress,quota<br />
1581 zfs set quota<br />
1582 zfs set quota 50G zip<br />
1583 zfs set quota 50G tank/zip<br />
1584 zfs list -o name,used,avail,ratio,compress,quota<br />
1585 zfs set quota 50G tank/zip<br />
1586 zfs set quota=50G tank/zip<br />
1587 zfs list -o name,used,avail,ratio,compress,quota<br />
1588 zfs set quota=0 tank/zip/img<br />
1589 zfs list -o name,used,avail,ratio,compress,quota<br />
1590 zfs set quota=100G tank/zip/img<br />
1591 zfs list -o name,used,avail,ratio,compress,quota<br />
1592 zfs set quota=0 tank/zip/img<br />
1593 zfs set quota=0 tank/zip<br />
1594 zfs set quota=none tank/zip<br />
1595 zfs set quota=none tank/zip/img<br />
1596 history | grep zfs</div>Erichttps://wiki.frotmail.nl/index.php?title=Wireshark&diff=108Wireshark2022-04-05T09:47:21Z<p>Eric: Created page with "=Hoe herken je waar een capture is gemaakt= ==Lokaal of via een span poort?== Of een sessie lokaal is vastgelegd of via een spanpoort binnen is gekomen kan relevant zijn bij het interpreteren van een dump file. Checksum errors (wegens offloading) bijvoorbeeld zijn heel normaal bij een lokale dump maar niet te verwachten uit een spanpoort. Kleinste ethernet pakket = 64 bytes Als het pakket kleiner is wordt dit door de NIC aangevult (padding) FSC wordt door wireshark..."</p>
<hr />
<div>=Hoe herken je waar een capture is gemaakt=<br />
==Lokaal of via een span poort?==<br />
Of een sessie lokaal is vastgelegd of via een spanpoort binnen is gekomen kan relevant zijn bij het interpreteren van een dump file.<br />
Checksum errors (wegens offloading) bijvoorbeeld zijn heel normaal bij een lokale dump maar niet te verwachten uit een spanpoort.<br />
<br />
Kleinste ethernet pakket = 64 bytes<br />
<br />
Als het pakket kleiner is wordt dit door de NIC aangevult (padding)<br />
<br />
FSC wordt door wireshark niet altijd weergegeven: 4 bytes<br />
Kleinste pakket in wireshark is dus: 60 bytes<br />
<br />
Zie je een pakket dat kleiner is? Dan is het een lokaal packet en is deze nooit op de wire geweest. Dus een dump vanuit wireshark op het systeem.<br />
<br />
==Bij de Client of Server?==<br />
Het kan belangrijk zijn om vast te stellen waar een capture is gemaakt. Bij timing/performance issues bijvoorbeeld.<br />
<br />
Aan de three-way-handshake van een TCP sessie kunnen we 2 dingen aflezen:<br />
* Waar de capture is gemaakt<br />
* Wat de RTT (Round Trip Time) is<br />
<br />
Neem de volgende handshake:<br />
* 1) De client stuurt een SYN<br />
* 2) Server stuurt een SYN ACK<br />
* 3) Client stuurt een ACK<br />
<br />
In de capture zal waarschijnlijk tussen 1 en 2 OF tussen 2 en 3 een minimale delay zitten ( < 0.0001 ).<br />
De server stuurt zijn SYN ACK vrijwel direct nadat hij de SYN krijgt, en de client stuurt zijn ACK ook vrijwel direct nadat de SYN ACK binnen komt.<br />
<br />
* Zit er dus geen delay tussen 1 en 2 is de dump gemaakt aan de server kant. De RTT is dan het verschil tussen 2 en 3.<br />
* Zit er geen delay tussen 2 en 3 dan is de dump gemaakt aan de client kant. De RTT is dan het verschil tussen 1 en 2.<br />
<br />
=Zoeken=<br />
tcp.flag.syn -> het veld bestaat in het pakket (zegt niets over de inhoud van dit veld)<br />
tcp.flag.syn == 1 -> check ook de waarde<br />
ip.addr != 192.168.1.1 -> er is EEN veld dat niet deze waarde heeft<br />
!ip.addr == 192.168.1.1 -> er mag GEEN veld zijn met deze waarde</div>Erichttps://wiki.frotmail.nl/index.php?title=Wifi_PEAP&diff=107Wifi PEAP2022-04-05T09:46:56Z<p>Eric: Created page with " * [http://darelltan.multiply.com/journal/item/188 1] Note: Bij het maken/bevestigen van het server certificaat dienen de xpserver_ext extenties te worden toegevoegd. Anders zal XP het certificaat niet als geldig zien en zonder foutmelding weigeren. openssl ca -config /etc/ssl/openssl.cnf -policy policy_anything -out server_cert.pem -extensions xpserver_ext -extfile /etc/ssl/xpextentions -infiles newreq.pem root@LH-1083:/home/eric# cat /etc/ssl/xpextentions [ xpcli..."</p>
<hr />
<div><br />
* [http://darelltan.multiply.com/journal/item/188 1] Note: Bij het maken/bevestigen van het server certificaat dienen de xpserver_ext extenties te worden toegevoegd. Anders zal XP het certificaat niet als geldig zien en zonder foutmelding weigeren.<br />
openssl ca -config /etc/ssl/openssl.cnf -policy policy_anything -out server_cert.pem -extensions xpserver_ext -extfile /etc/ssl/xpextentions -infiles newreq.pem <br />
<br />
root@LH-1083:/home/eric# cat /etc/ssl/xpextentions <br />
[ xpclient_ext]<br />
extendedKeyUsage = 1.3.6.1.5.5.7.3.2<br />
<br />
[ xpserver_ext ]<br />
extendedKeyUsage = 1.3.6.1.5.5.7.3.1</div>Erichttps://wiki.frotmail.nl/index.php?title=Wifi&diff=106Wifi2022-04-05T09:46:40Z<p>Eric: Created page with "dBm to mW 10 ^ (dBm / 10) Fresnel zone diameter in meter = 17.32 * SQRT ( dist / 4 freq ) dist = KM freq = GHz Lengte frequentie 1 hz = 299792458 m 1000 hz = 299792.458 m 1000000 hz = 299.792458 m lengte in m = snelheid vh licht / hz"</p>
<hr />
<div>dBm to mW<br />
10 ^ (dBm / 10)<br />
<br />
Fresnel zone<br />
diameter in meter = 17.32 * SQRT ( dist / 4 freq )<br />
dist = KM<br />
freq = GHz<br />
<br />
Lengte frequentie<br />
1 hz = 299792458 m<br />
1000 hz = 299792.458 m<br />
1000000 hz = 299.792458 m<br />
<br />
lengte in m = snelheid vh licht / hz</div>Erichttps://wiki.frotmail.nl/index.php?title=Two-factor_Apache2&diff=105Two-factor Apache22022-04-05T09:45:34Z<p>Eric: Created page with "reverse proxy config: <VirtualHost *:443> ServerAlias test.frotmail.nl ServerAdmin webmaster@frotmail.nl ProxyRequests off ProxyPass /test/ http://1.2.3.4:8080/test/ ProxyPassReverse /test/ http://1.2.3.4:8080/test/ ServerName test.frotmail.nl SSLEngine on SSLCertificateFile /etc/apache2/ssl/server.pem SSLCertificateKeyFile /etc/apache2/ssl/server.key AddRadiusAuth 1.2.3.4:1812 sharedsecre..."</p>
<hr />
<div>reverse proxy config:<br />
<br />
<VirtualHost *:443><br />
ServerAlias test.frotmail.nl<br />
ServerAdmin webmaster@frotmail.nl<br />
ProxyRequests off<br />
ProxyPass /test/ http://1.2.3.4:8080/test/ <br />
ProxyPassReverse /test/ http://1.2.3.4:8080/test/<br />
ServerName test.frotmail.nl<br />
SSLEngine on<br />
SSLCertificateFile /etc/apache2/ssl/server.pem<br />
SSLCertificateKeyFile /etc/apache2/ssl/server.key<br />
AddRadiusAuth 1.2.3.4:1812 sharedsecret 9:1<br />
AddRadiusCookieValid 60<br />
<Location /test><br />
AuthType Basic<br />
AuthName "Google Authenticator"<br />
AuthBasicAuthoritative off<br />
AuthBasicProvider radius<br />
AuthRadiusAuthoritative on<br />
AuthRadiusCookieValid 60<br />
AuthRadiusActive On<br />
require valid-user<br />
</Location><br />
</VirtualHost><br />
<br />
Voor de rest van de radius config zie ook [[Two-factor auth met Google Authenticator]]</div>Erichttps://wiki.frotmail.nl/index.php?title=Transparante_Proxy&diff=104Transparante Proxy2022-04-05T09:45:12Z<p>Eric: Created page with "=Situatie= We willen het uitgaande verkeer door een Squid proxy trekken om zo onze gebruikte brandbreedte te optimaliseren. =Probleem= Om het verkeer door Squid te laten afhandelen zonder alle clients hiervoor in te moeten stellen dienen we met IPTables te stoeien. Deze dient het HTTP verkeer te onderscheppen en om te leiden via Squid. =Oplossing= Er zijn 3 bekende methoden om HTTP verkeer om te leiden, hier volgt een voorbeeld van alle 3 ==Methode 1== Deze methode is al..."</p>
<hr />
<div>=Situatie=<br />
We willen het uitgaande verkeer door een Squid proxy trekken om zo onze gebruikte brandbreedte te optimaliseren.<br />
=Probleem=<br />
Om het verkeer door Squid te laten afhandelen zonder alle clients hiervoor in te moeten stellen dienen we met IPTables te stoeien. Deze dient het HTTP verkeer te onderscheppen en om te leiden via Squid.<br />
=Oplossing=<br />
Er zijn 3 bekende methoden om HTTP verkeer om te leiden, hier volgt een voorbeeld van alle 3<br />
==Methode 1==<br />
Deze methode is alleen geschikt voor situaties waarin de proxy op de router draait. Het redirect de pakketjes naar de lokale poort 8080.<br />
iptables -t nat -A PREROUTING -p tcp -i eth1 --dport 80 -d ! NETWORK/24 \<br />
-j REDIRECT --to-port 8080<br />
Alle pakketjes die geforward gaan worden, binnenkomen op eth1, met als doel poort 80, met de afzender in het lokale netwerk. Worden geredirect naar lokaal poort 8080. Hierna gaat squid verder de request afhandelen.<br />
==Methode 2==<br />
Deze methode past alle pakketjes aan, eenmaal aangekomen bij de router wordt de afzender van de pakketjes aangepast naar het ip van de router zodat die het antwoord ontvangt. Als dit niet zou gebeuren zou de client een reaktie krijgen van een ander ip als waar het zijn vraag heeft achter gelaten.<br />
Een nadeel van deze methode is dat alle log-entries op de proxy het ip van de router zal bevatten (als ‘afzender’)<br />
iptables -t nat -A PREROUTING -i eth1 -s ! PROXY-IP -p tcp --dport 80 \<br />
-j DNAT --to PROXY-IP:8080<br />
iptables -t nat -A POSTROUTING -o eth1 -s NETWORK/24 -d PROXY-IP \<br />
-j SNAT --to ROUTER-IP<br />
iptables -A FORWARD -s NETWORK/24 -d PROXY-IP -i eth0 -o eth1 -p tcp \<br />
--dport 8080 -j ACCEPT<br />
Alle pakketjes die niet van de proxy zelf komen met als doel een poort 80 dienen ge-nat te worden naar de proxy<br />
Deze pakketjes moeten worden aangepast zodat de afzender het ip van de router wordt (zodat de terugweg gevonden kan worden<br />
En tenslotte geven we nog expliciet toestemming voor deze forwarding acties.<br />
==Methode 3==<br />
De laatste methode heeft niet het nadeel van bovenstaande methode; de log zal gewoon de correcte ip’s van de clients bevatten. Het nadeel aan deze methode is dat je een extra marking en ip routing tabel nodig hebt. Ook dien je bij deze methode ook een iptables regel op de proxy toe te voegen.<br />
Op de router:<br />
iptables -t mangle -A PREROUTING -j ACCEPT -p tcp --dport 80 -s PROXY-IP<br />
iptables -t mangle -A PREROUTING -j MARK --set-mark 300 -p tcp --dport 80<br />
ip rule add fwmark 300 table 190<br />
ip route add default via PROXY-IP dev eth1 table 190<br />
Alle pakketjes naar poort 80 vanaf de proxy worden zonder pardon geaccepteerd.<br />
Andere pakketjes naar poort 80 worden gemarkeerd met marking 300<br />
Alle pakketjes met marking 300 worden via routing tabel 190 afgehandeld<br />
Alle pakketjes in routing tabel 190 gaan via de squid (als default gateway)<br />
<br />
Op de proxy:<br />
iptables -A PREROUTING -t nat -i eth0 -p tcp --dport 80 -j REDIRECT \<br />
--to-port 8080<br />
Alle pakketjes die binnen komen voor poort 80 worden geredirect naar poort 8080 lokaal. Dit is eigenlijk hetzelfde als bij Methode 1 behalve dat hier dus de pakketjes op de router doorgeroute worden naar de proxy.</div>Erichttps://wiki.frotmail.nl/index.php?title=TrafficManagement&diff=103TrafficManagement2022-04-05T09:44:51Z<p>Eric: Created page with "Handleiding thumb =Installatie & Configuratie= ==Opzetten database== In de map staat een bestand 'db.sql'. Maak in MySQL een nieuwe database en importeer de gegevens uit db.sql. ==Config.inc.php== Vervolgens moeten we enkele instellingen maken in deze file, voorbeeld: <?php $dbhost = 'localhost'; $dbuser = 'trafficuser'; $dbpass = 'trafficpass'; $dbname = 'traffic'; //connectie maken $db = mysql_connect($dbhost, $dbuser..."</p>
<hr />
<div>Handleiding<br />
[[Afbeelding:TrafficManagement_2.0b.png|thumb]]<br />
=Installatie & Configuratie=<br />
==Opzetten database==<br />
In de map staat een bestand 'db.sql'. Maak in MySQL een nieuwe database en importeer de gegevens uit db.sql.<br />
<br />
==Config.inc.php==<br />
Vervolgens moeten we enkele instellingen maken in deze file, voorbeeld:<br />
<?php<br />
$dbhost = 'localhost';<br />
$dbuser = 'trafficuser';<br />
$dbpass = 'trafficpass';<br />
$dbname = 'traffic';<br />
<br />
//connectie maken<br />
$db = mysql_connect($dbhost, $dbuser, $dbpass);<br />
mysql_select_db($dbname);<br />
<br />
//ssh connectie params<br />
$ssh['host'] = 'localhost';<br />
$ssh['port'] = '22';<br />
$ssh['key'] = '/var/www/sshkey.key';<br />
<br />
//Interne netwerkkaart<br />
$internal_nic = "eth1";<br />
$external_nic = "eth0";<br />
<br />
//Afmetingen grafische objecten<br />
$node_height = 50;<br />
$node_width = 200;<br />
$node_hspacing = 30;<br />
<br />
$diagram_height = 400;<br />
$diagram_width = 700;<br />
$diagram_offset = 100;<br />
<br />
$debug = 0;<br />
?><br />
<br />
Het meeste spreekt voor zich en hier besteed ik dus zo min mogelijk aandacht aan.<br />
<br />
Nadat deze file is aangemaakt zou de web-interface zichtbaar moeten zijn op het adres waarop deze is geïnstalleerd.<br />
<br />
==Configure Uplinks==<br />
Voor we iets kunnen toevoegen moeten we de uplinks configureren. We moeten tenminste 1 LAN adapter en 1 WAN adapter toevoegen. <br />
Bijvoorbeeld:<br />
Interface: eth0<br />
Download Speed: 100000000<br />
Upload Speed: 100000000<br />
Type: LAN<br />
Voor de LAN adapter zijn alleen deze 4 velden '''verplicht'''<br />
<br />
De overige velden worden alleen gebruikt voor de WAN adapter:<br />
<br />
Bijvoorbeeld:<br />
Interface: eth1<br />
Ip: 212.212.212.212<br />
Netmask: 255.255.255.0<br />
Network: 212.212.212.0/24<br />
Download Speed: 1000000<br />
Upload Speed: 1000000<br />
Gateway: 212.212.212.1<br />
Type: WAN<br />
<br />
==Configure Firewall==<br />
Hieruit wordt een iptables script gegenereerd welke de markings voor zijn rekening zal nemen.<br />
<br />
'''Let op!''': Ieder pakketje kan slechts 1 marking mee krijgen, de markings worden uitgedeeld op volgorde van marking nummer. Deze volgorde is ook terug te zien in de lijst.<br />
<br />
Wanneer je dus HTTP voor iedereen wilt beperken op 0,5 mbit behalve voor de admin, zal je "admin" en kleiner marking nummer moeten geven als "HTTP"<br />
Voorbeeld:<br />
Naam Omschrijving Mark<br />
Admin ip adres van admin pc 1<br />
HTTP Alle HTTP verkeer 50<br />
Misc Alle overige pakketjes 170<br />
In deze setup zal de pc van Admin alleen door de marking 1 worden verwerkt<br />
<br />
Voorbeeld invulling:<br />
Name Protocol Source Destination SrcPort DstPort Mark<br />
AdminUp tcp 10.0.0.5 1<br />
AdminDwn tcp 10.0.0.5 1<br />
HTTP tcp 80 10<br />
SMTP tcp 25 20<br />
<br />
'''Let op!''': Wanneer je een firewall regel maakt (en dus aan een mark koppelt) die je niet invoert als service zal deze '''niet''' worden ge-shaped (behalve door de 'root'node welke de totale snelheid van een interface bepaald. '''EDIT Eric:''' Ow ja? volgens mij helemaal niet geshaped! hij valt niet in MISC en ook niet in en andere filter dus onbeperkte snelheid! )<br />
<br />
==Creating Providers==<br />
Klik op een leeg stuk in het diagram en rechts verschijnt een formulier.<br />
In dit formulier vullen we in: <br />
Name: [Naam van ISP]<br />
Type: Provider<br />
Parent: Root (root)<br />
<br />
En vervolgens kiezen we 'Add'<br />
<br />
<br />
We krijgen nu een volgend formulier met daarin de velden:<br />
<br />
'''IPRoute tabel'''<br />
<br />
Iedere provider (en gecombineerde) moet een uniek nummer hebben in deze tabel, ik begin meestal bij 150, 151, 152... enz.<br />
<br />
'''Default Provider'''<br />
<br />
Wanneer we een gecombineerde uplink/provider hebben MOET deze ook default zijn. Verder geeft dit aan over welke provider het verkeer zal gaan wat niet wordt behandeld in de traffic shaper<br />
<br />
'''Uplink'''<br />
<br />
Hier selecteren we de WAN adapter welke we net hebben aangemaakt. Indien het een gecombineerde uplink is kunnen we hier meerdere Uplinks aangeven<br />
<br />
'''Weight'''<br />
<br />
Hierin wordt de verdeling aangegeven van het verkeer (indien er meerdere WAN adapters worden gebruikt) Dit getal dient tenminste 1 te zijn. Het is zo bijvoorbeeld mogelijk om het verkeer in de verhouding 2:1 te verdelen over 2 uplinks.<br />
<br />
Er wordt in de TC scripts nog geen rekening gehouden met het weight, de router zal de pakketjes wel in deze verhouding verdelen over de providers maar bij het traffic shapen wordt er gewoon 50:50 getelt.<br />
<br />
Tenslotte klikken we dan op 'Commit' en onze provider zal zichtbaar worden.<br />
<br />
==Creating Services==<br />
De laatste stap is het toevoegen van Services. Deze services worden aan een marking gekoppeld en daarbij wordt het upload/download limiet ingesteld.<br />
<br />
We klikken weer op een leeg stuk in het diagram en kiezen bij Type voor Service. De Parent moet een geldige provider zijn, de naam mag je zelf verzinnen.<br />
<br />
Per service kan een Rate en een Max worden ingesteld. Het idee is dat de Max een limiet aangeeft, en de Rate een gegarandeerd minimum.<br />
Ook is het mogelijk om een Prioriteit mee te geven. Overige bandbreedte wordt dan in volgorde van prioriteit verdeeld over de overige Services. Prioriteit 0 is de hoogste. Echter zal het Max nooit worden overschreden.<br />
<br />
Voorbeeld:<br />
WAN capaciteit 20 kb/s<br />
Naam Rate Max Verbruik<br />
HTTP 10kb/s 15kb/s 5kb/s<br />
FTP 10kb/s 15kb/s ??<br />
In dit voorbeeld zal er voor FTP 15kb/sec beschikbaar zijn<br />
<br />
Voorbeeld:<br />
WAN capaciteit 20 kb/s<br />
Naam Rate Max Verbruik<br />
HTTP 10kb/s 15kb/s 1kb/s<br />
FTP 10kb/s 15kb/s ??<br />
In dit voorbeeld zal er voor FTP toch maar 15kb/sec beschikbaar zijn, dit is omdat 'Max' nooit zal worden overschreden.<br />
<br />
Voorbeeld:<br />
WAN capaciteit 20 kb/s<br />
Naam Rate Max Verbruik Prio<br />
HTTP 5kb/s 15kb/s 5kb/s 0<br />
FTP 5kb/s 15kb/s ?? 1<br />
SMTP 5kb/s 15kb/s ?? 2<br />
In dit voorbeeld zal het overige verkeer eerst aan FTP worden toegekend, en pas daarna aan SMTP. Uiteraard wordt er wel altijd minimaal voldaan aan de 'Rate' instelling. Dus FTP kan nooit ervoor zorgen dat SMTP minder dan 5 krijgt (tenzij SMTP minder nodig heeft).<br />
<br />
==Commit==<br />
Wanneer we tenslotte op commit drukken zal de config worden uitgevoerd op de server. De scripts die hierbij zijn gegenereerd kunnen worden ingezien.<br />
<br />
Bij een commit:<br />
* Worden er eerst een aantal zaken opgeruimd<br />
** Oude TC regels<br />
** IP Rule zaken<br />
** IProute tabellen<br />
** iptables regels (dit gebeurt nu nog een eindje verderop)<br />
<br />
* Wordt vervolgens IPRoute ingesteld, het verdelen van de services over de beschikbare uplinks<br />
<br />
* Wordt vervolgens tc, de traffic shaper, ingesteld<br />
<br />
* En tenslotte wordt iptables ingesteld, om de juiste services de juiste markings mee te geven (Deze markings worden door tc en iproute gebruikt om het verkeer te routeren en te shapen)<br />
<br />
=Beheren=<br />
Wanneer de 1e setup is gedaan zal het ding nog beheerd moeten worden<br />
==Tips==<br />
Zorg ervoor dat de Rate van de services samen niet hoger komt als de Rate van je uplink (je kan niet meer garanderen dan je hebt!). * Wanneer je dit in orde hebt zal het "lenen" van bandbreedte onderling ook netjes volgens de prioriteiten worden afgehandeld.<br />
<br />
* Zorg ervoor dat je je instellingen kan controleren, cacti is een prima tool om dit in de gaten te houden.<br />
<br />
==Cacti statistieken==<br />
Bij het pakket zitten ook templates en php files om de statistieken van tc in cacti weer te geven. Uitleg hierover volgt!<br />
<br />
==Shape onnauwkeurigheid==<br />
Oude situatie<br />
<br />
Totaal 2x 1 mbit download<br />
<br />
<br />
[interne nic]<br />
|<br />
|<br />
[root node Max 2mbit]<br />
/ | \ \<br />
/ | \ -----------\<br />
/ | \ \<br />
/ | \ \<br />
/ | \ \<br />
[HTTP ] [SSH ] [MAIL ] [MISC ]<br />
Min: 512kbit Min: 128kbit Min: 256kbit Min: 128kbit<br />
Max: 1024kbit Max: 256kbit Max: 1024kbit Max: 512kbit<br />
<br />
Nieuwe Situatie<br />
<br />
[interne nic]<br />
|<br />
|<br />
[root node Max 2mbit]<br />
| \ <br />
| \ <br />
[Provider A+B] [ Provider A ] <br />
[ Max 2 mbit ] [ Max 1 mbit ] <br />
/ \ \ \----------- <br />
/ \ \ \<br />
/ \ \ \<br />
[HTTP ] [SSH ] [MAIL ] [MISC ] <br />
Min: 512kbit Min: 128kbit Min: 256kbit Min: 128kbit<br />
Max: 1024kbit Max: 256kbit Max: 1024kbit Max: 512kbit<br />
<br />
===Uitleg===<br />
Wanneer je in de oude situatie MISC met 512kbit belast en MAIL met 1024kbit wordt er van Provider A 1,25 mbit verlangt. Dit gaat mis<br />
<br />
In de nieuwe situatie wordt een niveau hoger dan het limiet gelegd bij 1 mbit. Zo komen de rate's en prioriteiten beter tot hun recht. Hier werd in de oude situatie niets mee gedaan<br />
<br />
Wanneer we echter HTTP en MAIL vol gaan belasten blijft het probleem bestaan omdat Provider A en Provider A+B een uplink delen. Hier is momenteel niet echt veel aan te doen.</div>Erichttps://wiki.frotmail.nl/index.php?title=TP2010&diff=102TP20102022-04-05T09:44:14Z<p>Eric: Created page with "=Info= * Proxy: Squid ** Let op FD's (file descriptors) ** WCCP *** Squid in transparent mode, iptables redirect poort * Shaping op cisco ** Netflow: [http://forums.cacti.net/about12393.html] ** Shaping basics [http://slaptijack.com/networking/easy-traffic-shaping-in-cisco-ios/] ** [http://wiki.nil.com/Traffic_shaping_in_Cisco_IOS] ** [http://www.cisco.com/en/US/docs/ios/12_1t/12_1t2/feature/guide/clsbsshp.html#wp1025965 uitleg] Eerst definities: class-map match-all..."</p>
<hr />
<div>=Info=<br />
* Proxy: Squid <br />
** Let op FD's (file descriptors)<br />
** WCCP<br />
*** Squid in transparent mode, iptables redirect poort<br />
* Shaping op cisco<br />
** Netflow: [http://forums.cacti.net/about12393.html]<br />
** Shaping basics [http://slaptijack.com/networking/easy-traffic-shaping-in-cisco-ios/]<br />
** [http://wiki.nil.com/Traffic_shaping_in_Cisco_IOS]<br />
<br />
** [http://www.cisco.com/en/US/docs/ios/12_1t/12_1t2/feature/guide/clsbsshp.html#wp1025965 uitleg]<br />
Eerst definities:<br />
class-map match-all HTTP<br />
match protocol http<br />
class-map match-any HighPrio<br />
match packet length max 384<br />
match protocol icmp<br />
<br />
Dan Policy<br />
policy-map blaa<br />
class HTTP<br />
shape average 10000000<br />
<br />
En dan toepassen<br />
interface fa0/0<br />
service out blaa<br />
<br />
<br />
<br />
[ INET ]<br />
|<br />
______|_______<br />
| Cisco 2811 |<br />
|______________|<br />
|<br />
_______|_______<br />
| Cisco 3750 |<br />
|_______________|<br />
| | | |<br />
| | | |<br />
____|__|__|__|_____ ___<br />
_| |_ /_ /|<br />
| LAN |--------| | | <-- Squid<br />
|_ _| | | |<br />
|___________________| |__|/<br />
| ___<br />
|____________________|___| <-- Client<br />
/___/<br />
<br />
=Testconfig (v1)=<br />
class-map match-all HTTP<br />
match protocol http<br />
class-map match-all Prio<br />
class-map match-any SSH<br />
match protocol ssh<br />
class-map match-all High<br />
match class-map SSH<br />
class-map match-any HTTPS<br />
match access-group name HTTPS<br />
class-map match-any Normal<br />
match class-map HTTP<br />
match class-map HTTPS<br />
class-map match-any Prios<br />
match class-map Normal<br />
match class-map High<br />
class-map match-all Downstream<br />
match class-map Prios<br />
class-map match-all Web<br />
match class-map HTTP<br />
match class-map HTTPS<br />
class-map match-all Low<br />
!<br />
!<br />
policy-map Prio<br />
policy-map High<br />
class SSH<br />
policy-map Normal<br />
class HTTP<br />
police rate percent 70<br />
violate-action drop<br />
class HTTPS<br />
policy-map Prios<br />
class Normal<br />
bandwidth percent 70<br />
service-policy Normal<br />
class High<br />
bandwidth percent 30<br />
service-policy High<br />
policy-map Downstream<br />
class Downstream<br />
shape average 1000000<br />
service-policy Prios<br />
class class-default<br />
shape average 100000<br />
policy-map Low<br />
!<br />
interface FastEthernet0<br />
ip address 192.168.38.249 255.255.255.0<br />
ip broadcast-address 0.0.0.0<br />
ip nat outside<br />
ip virtual-reassembly<br />
duplex auto<br />
speed auto<br />
!<br />
interface Vlan1<br />
ip address 10.9.0.1 255.255.255.0<br />
ip broadcast-address 0.0.0.0<br />
ip nat inside<br />
ip virtual-reassembly<br />
service-policy output Downstream<br />
!<br />
ip route 0.0.0.0 0.0.0.0 192.168.38.1<br />
!<br />
ip access-list extended HTTP<br />
permit tcp any any eq www<br />
ip access-list extended HTTPS<br />
permit tcp any any eq 443<br />
ip access-list extended Mail<br />
permit tcp any any eq pop3<br />
permit tcp any any eq 143<br />
permit tcp any any eq 993<br />
permit tcp any any eq 995<br />
permit tcp any any eq smtp<br />
!<br />
=testconfig (v5)=<br />
Wanneer verkeer is binnen gekomen heeft het geen nut meer om te shapen. De queue van de provider zit dan al vol. De clue zit hem dus in het upstream shapen (upload naar je ISP) zodat je de eigen queue kan beheren. (WAN-out-shape)<br />
<br />
Downstream kunnen we wel policen om zo de TCP sessies te remmen. (WAN-in-police)<br />
=Services=<br />
==ACL==<br />
Opmerkingen:<br />
FTP, ipsec, pptp en l2tp: op nbar laten staan?<br />
<br />
BIJWERKEN<br />
<br />
==Gaming==<br />
===WoW===<br />
TCP: 3724, 6112, 6881-6999<br />
Game: TCP 1119 & 3724<br />
Voice: UDP 3724<br />
Downloader (updates): TCP 6112 & 6881-6999<br />
===Steam===<br />
Steam Client<br />
* UDP 27000 to 27015 inclusive (Game client traffic)<br />
* UDP 27015 to 27030 inclusive (Typically Matchmaking and HLTV)<br />
* TCP 27014 to 27050 inclusive (Steam downloads)<br />
* UDP 4380<br />
Dedicated or Listen Servers<br />
* TCP 27015 (SRCDS Rcon port)<br />
Steamworks P2P Networking and Steam Voice Chat<br />
* UDP 3478 (Outbound)<br />
* UDP 4379 (Outbound)<br />
* UDP 4380 (Outbound)<br />
Additional Ports for Call of Duty: Modern Warfare 2 Multiplayer<br />
* UDP 1500 (outbound)<br />
* UDP 3005 (outbound)<br />
* UDP 3101 (outbound)<br />
* UDP 28960<br />
==IM==<br />
===MSN===<br />
Sign in to the Messenger service TCP 80, 443, 1863<br />
Network Detection TCP 7001<br />
UDP 9, 7001<br />
Audio TCP 80, 443, 1863<br />
TCP/UDP 30000 - 65535<br />
Audio (Legacy) UDP 5004 – 65535<br />
Webcam and Video Conversations TCP 80<br />
TCP/UDP 5000 - 65535<br />
File Transfer TCP 443, 1863<br />
TCP/UDP 1025 - 65535<br />
File Transfer (Legacy) TCP 6891 - 6900<br />
Sharing Folders TCP 1863<br />
TCP/UDP 1025 – 65535<br />
Whiteboard and Application Sharing TCP 1503<br />
Remote Assistance TCP 3389<br />
TCP/UDP 49152 – 65535<br />
Windows Live Call TCP 443, 5061<br />
UDP 5004 - 65525<br />
Games TCP 80, 443, 1863<br />
TCP/UDP 1025 - 65535<br />
<br />
===Skype===<br />
Niet mogelijk vast te stellen?<br />
<br />
===IRC===<br />
TCP 6667<br />
<br />
===ICQ===<br />
TCP 5190<br />
<br />
==Blocked==<br />
===Torrent===<br />
Op basis van headers?<br />
Is het nodig om dit te blokkeren als we inbound connecties niet door laten?<br />
<br />
===NNTP===<br />
TCP 119<br />
<br />
=Analyse=<br />
==DNS==<br />
IPTraf<br />
┌ Packet Distribution by Size ─────────────────────────────────────────────────â”<br />
│ │<br />
│ Packet size brackets for interface eth0 │<br />
│ │<br />
│ │<br />
│ Packet Size (bytes) Count Packet Size (bytes) Count │<br />
│ 1 to 75: 6118 751 to 825: 0 │<br />
│ 76 to 150: 6710 826 to 900: 0 │<br />
│ 151 to 225: 900 901 to 975: 0 │<br />
│ 226 to 300: 329 976 to 1050: 0 │<br />
│ 301 to 375: 130 1051 to 1125: 1 │<br />
│ 376 to 450: 154 1126 to 1200: 0 │<br />
│ 451 to 525: 101 1201 to 1275: 0 │<br />
│ 526 to 600: 42 1276 to 1350: 0 │<br />
│ 601 to 675: 4 1351 to 1425: 0 │<br />
│ 676 to 750: 0 1426 to 1500+: 2 │<br />
│ │<br />
│ │<br />
│ Interface MTU is 1500 bytes, not counting the data-link header │<br />
│ Maximum packet size is the MTU plus the data-link header length │<br />
│ Packet size computations include data-link headers, if any │<br />
└ Elapsed time: 0:05 ────────────────────────────────────────────────────────┘<br />
==SSH==<br />
Proto/Port ───────── Pkts ─── Bytes ── PktsTo ─ BytesTo PktsFrom BytesFrom ─<br />
TCP/22 621 87044 311 16220 310 70824 <br />
<br />
Sent: 621 p -> 87044 bytes = 140 bytes pp<br />
Received: 310 p -> 70824 bytes = 228 bytes pp</div>Erichttps://wiki.frotmail.nl/index.php?title=TCP_Flags&diff=101TCP Flags2022-04-05T09:43:47Z<p>Eric: Created page with "[http://www.symantec.com/connect/articles/abnormal-ip-packets] At least one of these six flags must be set in each TCP packet; each flag corresponds to a particular bit in the TCP header. The six flags are: * SYN (Synchronization) - Initiate a TCP connection. * ACK (Acknowledgment) - Indicates that the value in the acknowledgment number field is valid. * FIN (Finish) - Gracefully end a TCP connection. * RST (Reset) - Immediately end a TCP connection. * PSH (Push) - Tel..."</p>
<hr />
<div>[http://www.symantec.com/connect/articles/abnormal-ip-packets]<br />
<br />
At least one of these six flags must be set in each TCP packet; each flag corresponds to a particular bit in the TCP header. The six flags are:<br />
<br />
* SYN (Synchronization) - Initiate a TCP connection.<br />
* ACK (Acknowledgment) - Indicates that the value in the acknowledgment number field is valid.<br />
* FIN (Finish) - Gracefully end a TCP connection.<br />
* RST (Reset) - Immediately end a TCP connection.<br />
* PSH (Push) - Tells the receiver to pass on the data as soon as possible.<br />
* URG (Urgent) - Indicates that the urgent pointer is valid; often caused by an interrupt.<br />
<br />
Before reviewing abnormal flag combinations, let's look at the normal ones:<br />
<br />
* SYN, SYN ACK, and ACK are used during the three-way handshake which establishes a TCP connection.<br />
Except for the initial SYN packet, every packet in a connection must have the ACK bit set.<br />
* FIN ACK and ACK are used during the graceful teardown of an existing connection. <br />
* PSH FIN ACK may also be seen at the beginning of a graceful teardown.<br />
* RST or RST ACK can be used to immediately terminate an existing connection.<br />
Packets during the "conversation" portion of the connection (after the three-way handshake but before the teardown or termination) contain just an ACK by default. Optionally, they may also contain PSH and/or URG.<br />
Packets with any other flag combination can be classified as abnormal. <br />
<br />
Here are some of the most commonly occurring ones:<br />
<br />
* SYN FIN is probably the best known illegal combination. Remember that SYN is used to start a connection, while FIN is used to end an existing connection. It is nonsensical to perform both actions at the same time. Many scanning tools use SYN FIN packets, because many intrusion detection systems did not catch these in the past, although most do so now. You can safely assume that any SYN FIN packets you see are malicious.<br />
* SYN FIN PSH, SYN FIN RST, SYN FIN RST PSH, and other variants on SYN FIN also exist. These packets may be used by attackers who are aware that intrusion detection systems may be looking for packets with just the SYN and FIN bits set, not additional bits set. Again, these are clearly malicious.<br />
* Packets should never contain just a FIN flag. FIN packets are frequently used for port scans, network mapping and other stealth activities.<br />
* Some packets have absolutely no flags set at all; these are referred to as "null" packets. It is illegal to have a packet with no flags set.<br />
* Besides the six flag bits described here, TCP packets have two additional bits which are reserved for future use. These are commonly referred to as the "reserved bits". Any packet which has either or both of the reserved bits activated is almost certainly crafted.<br />
<br />
There are several other characteristics of TCP traffic where abnormalities may be seen:<br />
<br />
* Packets should never have a source or destination port set to 0.<br />
* The acknowledgment number should never be set to 0 when the ACK flag is set.<br />
* A SYN only packet, which should only occur when a new connection is being initiated, should not contain any data.<br />
* Packets should not use a destination address that is a broadcast address, usually ending in .0 or .255. (You may not be familiar with .0 as a broadcast address; it was an older style of broadcast.) Broadcasts are normally not performed using TCP.</div>Erichttps://wiki.frotmail.nl/index.php?title=Squid&diff=100Squid2022-04-05T09:43:13Z<p>Eric: Created page with "=Compilen= ==DNS== Bij het compilen hebben we --disable-internal-dns meegegeven omdat de interne DNS client niet geweldig presteerd bij veel clients. Nu zal squid een dnsserver compilen/installeren welke door squid gestart kan worden, zie bij config het kopje DNS Server ./configure --disable-internal-dns ==SNMP== Om de performance van de proxy te monitoren kunnen we snmp aanzetten in squid ./configure --enable-snmp =Config= ==Blacklist== acl blacklist dstdomain "/..."</p>
<hr />
<div>=Compilen=<br />
==DNS==<br />
Bij het compilen hebben we --disable-internal-dns meegegeven omdat de interne DNS client niet geweldig presteerd bij veel clients. Nu zal squid een dnsserver compilen/installeren welke door squid gestart kan worden, zie bij config het kopje DNS Server<br />
<br />
./configure --disable-internal-dns<br />
<br />
==SNMP==<br />
Om de performance van de proxy te monitoren kunnen we snmp aanzetten in squid<br />
<br />
./configure --enable-snmp<br />
<br />
=Config=<br />
==Blacklist==<br />
acl blacklist dstdomain "/etc/squid/blacklist"<br />
http_access deny blacklist<br />
<br />
==DNS Server==<br />
Wanneer squid in een grote omgeving draait valt merkbaar de performance ver terug (getest op The Party 5 - 800 clients en tot 400 gelijktijdige connecties)<br />
<br />
Wanneer er eenmaal een pagina is doorgekomen lijkt alles van dat domein lekker vlot te zijn. <br />
<br />
Na wat debuggen bleek het aan de DNS client te liggen, deze is niet erg efficient.<br />
<br />
Door Squid te bouwen met --disable-internal-dns krijg je een dnsserver en die kan je meerdere keren op laten starten<br />
<br />
cache_dns_program /usr/local/squid/libexec/dnsserver<br />
dns_children 16<br />
<br />
=Overig=<br />
==Cache Manager==<br />
http://host/cgi-bin/cachemgr.cgi<br />
<br />
Hier is veel info terug te vinden over de runtime van de Proxy<br />
<br />
[[Category:Networking]][[Category:Linux]]</div>Erichttps://wiki.frotmail.nl/index.php?title=SFP_Programming&diff=99SFP Programming2022-04-05T09:41:58Z<p>Eric: Created page with "Bron: [http://ak47.mine.nu/sfpfixhp.txt] Making SFP Mini-GBIC's HP ProCurve compatible using a HP ProCurve switch - Some quick notes Successful was: * Altering the EEPROM from a 1000BASE-LX and 1000BASE-SX SFP from a HP ProCurve 2824 so it works in HP switches * Flashing old HP ProCurve SFP's (J4858A, J4859A, J4860A) so they work in new HP switches Knowning issues: * When the SFP enforces 'write protection' you cannot flash it from the switch. See: http://www.schelto..."</p>
<hr />
<div>Bron: [http://ak47.mine.nu/sfpfixhp.txt]<br />
<br />
Making SFP Mini-GBIC's HP ProCurve compatible using a HP ProCurve switch - Some quick notes<br />
<br />
<br />
Successful was:<br />
* Altering the EEPROM from a 1000BASE-LX and 1000BASE-SX SFP from a HP ProCurve 2824 so it works in HP switches<br />
* Flashing old HP ProCurve SFP's (J4858A, J4859A, J4860A) so they work in new HP switches<br />
<br />
Knowning issues:<br />
* When the SFP enforces 'write protection' you cannot flash it from the switch. See: http://www.schelto.com/SFP/SFP%20MSA%20091400.htm "The SFP transceiver may enforce this by using the write protect features of the CMOS E2PROM."<br />
* HP ProCurve 2626 has 'BENCH' mode but cannot write anything to SFP's. Only 28xx seem to work.<br />
<br />
<br />
Used hardware:<br />
* HP ProCurve 2824 switch (has bench-mode)<br />
* HP ProCurve 2510G-24 switch (does not have bench-mode)<br />
* FINISAR FTRJ-1319-7D 1000BASE-LX Mini-GBIC SFP (x2)<br />
<br />
All of the HP ProCurve bench-mode commands:<br />
* http://ak47.mine.nu/hpbenchmode.txt<br />
<br />
<br />
What's the problem?<br />
<br />
The HP ProCurve 2510 switch does not support the Finisar SFP, using a HP ProCurve 2824 switch I have been able to alter some information in the SFP's EEPROM and make the SFP work in the 2510 switch.<br />
<br />
When the unaltered SFP is inserted into the 2510 switch, the SFP-port's led on the front of the switch blinks indefinitely, meaning there is something "wrong" with the SFP. The log also shows this:<br />
<br />
W 01/01/90 00:02:41 FFI: port 24 This switch only supports revision B and above transceivers.<br />
<br />
According to HP only the SFP mentioned in this matrix should work:<br />
<br />
http://cdn.procurve.com/training/Manuals/Mini-GBIC-Support-Jul2008.pdf<br />
<br />
<br />
<br />
How to fix it:<br />
<br />
# Use a HP switch that is "bench-mode" capable. I know the HP 28xx and 26xx series have this. In this case I have used the 2824. (Update: flashing does not work in 26xx switches)<br />
# Remove the top-cover of the switch.<br />
# Place a jumper on the pins with "BENCH" written next to it.<br />
# Boot it up and use the serial console port to interface with the switch.<br />
# Once booted up, you need to press enter twice and you will see a prompt.<br />
# In the prompt type 'st_jump_pc' and wait a few seconds.<br />
# What we need todo now is figure out what the "HPID Calculation" is. The HP switch uses this ID to check if the SFP is "okay". The ID is calculated using the vendor serial number, date code etc.<br />
#: Use this command to see what the ID sould be:<br />
#: physhow 24 a<br />
#: Where '24' is the port-number.<br />
#: You can find something like this:<br />
#: HPID Calculation: 0x99a34e36<br />
# The calculated ID should be stored in the EEPROM's registers 380 till 383 and 124 till 127. The 28xx and 26xx switches don't use the data from the 124 till 127 registers, but the 2510/2610/2810 switches do.<br />
#: Assuming the SFP to write to is in port number 24, use this command to write the data (the data being 99 a3 4e 36):<br />
#: XCVRI2CWRITE 24 124 0xA1 0x99<br />
#: XCVRI2CWRITE 24 125 0xA1 0xA3<br />
#: XCVRI2CWRITE 24 126 0xA1 0x4E<br />
#: XCVRI2CWRITE 24 127 0xA1 0x36<br />
#: XCVRI2CWRITE 24 380 0xA1 0x99<br />
#: XCVRI2CWRITE 24 381 0xA1 0xA3<br />
#: XCVRI2CWRITE 24 382 0xA1 0x4E<br />
#: XCVRI2CWRITE 24 383 0xA1 0x36<br />
# Verify if the data is actually written to the SFP by using the 'physhow' command again:<br />
#: physhow 24 a<br />
#: The HPID Register and HPID Calculation should be equal:<br />
#: HPID Register: 0x99a34e36<br />
#: HPID Calculation: 0x99a34e36<br />
# Test the SFP out in the HP switch!<br />
<br />
<br />
X) The HPID calculated in some cases is not 8 characters, but it really needs to be 8 characters or else you cannot write it to the register. To fix this you can for example change to vendor's date code.<br />
<br />
The vendor's date code can be found in the registers 84 till 89.<br />
<br />
When you have changed this, use the physhow command again to see what the new calculated HPID is, and if it is 8 chars, write the HPID to the registers mentioned at step #8.</div>Erichttps://wiki.frotmail.nl/index.php?title=Raspberry_Fleet&diff=98Raspberry Fleet2022-04-05T09:41:30Z<p>Eric: Created page with "{| border="0" | Type || Inzet || Overig |- | Raspberry 1b || Werkloos || Werkloos |- | Raspberry 1b || Werkloos || Werkloos |- | Raspberry 1b || Werkloos || Werkloos |- | Raspberry 2b || Octoprint || 192.168.38.51 bij 3D Printer |- | Raspberry 2b || CNCjs || Schuur |- | Raspberry 2b || Werkloos || Werkloos |- | Raspberry 2b || Werkloos || Werkloos |- | Raspberry 3b || LaserCutter || 192.168.38.72 in lasercutter |- | Raspberry 3b+ || KodiMark || Studeer..."</p>
<hr />
<div>{| border="0"<br />
| Type || Inzet || Overig<br />
|-<br />
| Raspberry 1b || Werkloos || Werkloos<br />
|-<br />
| Raspberry 1b || Werkloos || Werkloos<br />
|-<br />
| Raspberry 1b || Werkloos || Werkloos<br />
|-<br />
| Raspberry 2b || Octoprint || 192.168.38.51 bij 3D Printer<br />
|-<br />
| Raspberry 2b || CNCjs || Schuur<br />
|-<br />
| Raspberry 2b || Werkloos || Werkloos<br />
|-<br />
| Raspberry 2b || Werkloos || Werkloos<br />
|-<br />
| Raspberry 3b || LaserCutter || 192.168.38.72 in lasercutter<br />
|-<br />
| Raspberry 3b+ || KodiMark || Studeerkamer<br />
|-<br />
| Raspberry 3b+ || DetronPiHAT || Studeerkamer<br />
|-<br />
| Raspberry Zero W || Mobiel || Mobiele versie<br />
|-<br />
| Raspberry Pi 4b 4G || RPIBackup || 192.168.11.11 Meterkast<br />
|-<br />
| Raspberry Pi 4b 8G || Desktop || Studeerkamer op bureau<br />
|-<br />
| Raspberry Pi 4b 8G || LibreElec / Docker || 10.4.10.16 onder TV<br />
|}</div>Erichttps://wiki.frotmail.nl/index.php?title=PowerDNS_Stats&diff=97PowerDNS Stats2022-04-05T09:38:29Z<p>Eric: Created page with "Waneer je PowerDNS draait kan het intressant zijn om statistieken bij te houden. In PowerDNS zit de mogelijkheid om een interne webserver te draaien, welke zeer uitgebreide statistieken kan weergeven. Echter bij een restart van de service is deze informatie verloren. Om een aantal performance counters in Cacti weer te geven kunnen de onderstaande tools worden gebruikt. =PowerDNS= Via het pdns_control commando kan men verschillende counters uitlezen: root@vps:/home/er..."</p>
<hr />
<div>Waneer je PowerDNS draait kan het intressant zijn om statistieken bij te houden. In PowerDNS zit de mogelijkheid om een interne webserver te draaien, welke zeer uitgebreide statistieken kan weergeven. Echter bij een restart van de service is deze informatie verloren.<br />
<br />
Om een aantal performance counters in Cacti weer te geven kunnen de onderstaande tools worden gebruikt.<br />
<br />
=PowerDNS=<br />
Via het pdns_control commando kan men verschillende counters uitlezen:<br />
<br />
root@vps:/home/eric# pdns_control show *<br />
corrupt-packets=0,deferred-cache-inserts=0,deferred-cache-lookup=0,latency=0,packetcache-hit=909,<br />
packetcache-miss=10760,packetcache-size=322,qsize-q=1,query-cache-hit=12492,query-cache-miss=33716,<br />
recursing- answers=0,recursing-questions=0,servfail-packets=0,tcp-answers=3,tcp-queries=9,<br />
timedout-packets=0,udp-answers=11679,udp-queries=11688,udp4-answers=11456,udp4-queries=11465,<br />
udp6-answers=223,udp6-queries=223,<br />
<br />
Een aantal van deze counters heb ik in een script opgenomen welke worden doorgevoerd naar Cacti:<br />
<br />
/etc/powerdns/pdns_cacti.sh<br />
#!/bin/bash<br />
/usr/bin/sudo pdns_control show latency<br />
/usr/bin/sudo pdns_control show corrupt-packets<br />
/usr/bin/sudo pdns_control show query-cache-hit<br />
/usr/bin/sudo pdns_control show query-cache-miss<br />
/usr/bin/sudo pdns_control show tcp-queries<br />
/usr/bin/sudo pdns_control show udp-queries<br />
/usr/bin/sudo pdns_control show udp4-queries<br />
/usr/bin/sudo pdns_control show udp6-queries<br />
<br />
Dit script laat ik vervolgens door SNMP uitvoeren en doorgeven<br />
<br />
/etc/snmp/snmpd.conf<br />
extend pdns-rec /etc/powerdns/pdns_cacti.sh<br />
<br />
Omdat SNMP bij mij niet als root draait zal de 'snmp' user het pdns_control commando moeten kunnen uitvoeren (zie script, met behulp van sudo)<br />
<br />
/etc/sudoers<br />
snmp ALL=NOPASSWD: /usr/bin/pdns_control<br />
<br />
Als we het script executable hebben gemaakt:<br />
chmod 755 /etc/powerdns/pdns_cacti.sh<br />
<br />
En de snmpd hebben herstart<br />
/etc/init.d/snmpd restart<br />
<br />
Dan kunnen we testen of het script via SNMP is aan te roepen:<br />
eric@vps:~$ snmpwalk -v 2c -c public [server hostname] .1.3.6.1.4.1.8072.1.3.2.4.1.2<br />
iso.3.6.1.4.1.8072.1.3.2.4.1.2.8.112.100.110.115.45.114.101.99.1 = STRING: "0"<br />
iso.3.6.1.4.1.8072.1.3.2.4.1.2.8.112.100.110.115.45.114.101.99.2 = STRING: "0"<br />
iso.3.6.1.4.1.8072.1.3.2.4.1.2.8.112.100.110.115.45.114.101.99.3 = STRING: "12494"<br />
iso.3.6.1.4.1.8072.1.3.2.4.1.2.8.112.100.110.115.45.114.101.99.4 = STRING: "33727"<br />
iso.3.6.1.4.1.8072.1.3.2.4.1.2.8.112.100.110.115.45.114.101.99.5 = STRING: "9"<br />
iso.3.6.1.4.1.8072.1.3.2.4.1.2.8.112.100.110.115.45.114.101.99.6 = STRING: "11693"<br />
iso.3.6.1.4.1.8072.1.3.2.4.1.2.8.112.100.110.115.45.114.101.99.7 = STRING: "11470"<br />
iso.3.6.1.4.1.8072.1.3.2.4.1.2.8.112.100.110.115.45.114.101.99.8 = STRING: "223"<br />
<br />
Dit is alles wat vanaf de server gedaan moet worden<br />
<br />
=Cacti=<br />
Om de grafiek in Cacti te krijgen kan je gebruik maken van deze cacti template: [[File:Powerdns_template.xml.zip|test]]<br />
<br />
Door deze te importeren krijg je bij het maken van nieuwe grafieken de optie om een PowerDNS grafiek te maken. Deze kan er dan als volgt uitzien:<br />
<br />
[[File:powerdns.png]]</div>Erichttps://wiki.frotmail.nl/index.php?title=Postfix_Backup_MX&diff=96Postfix Backup MX2022-04-05T09:38:07Z<p>Eric: Created page with "Dit is een alternatieve manier om een Backup MX te draaien op een lichtgewicht machine. Een van de bronnen waar ik dit vandaan heb is [http://www.cyberciti.biz/faq/postfix-backup-mx-server-anti-spam/ Hier] =Functie= De functie van een backup MX server, is om mail aan te nemen wanneer de primaire server onbereikbaar is. Omdat spammers steeds vaker de backup-mx gebruiken om hun mail op te dumpen (daar draait vaak een lichtere vorm van filtering) is het belangrijk dat..."</p>
<hr />
<div>Dit is een alternatieve manier om een [[Backup MX]] te draaien op een lichtgewicht machine.<br />
<br />
Een van de bronnen waar ik dit vandaan heb is [http://www.cyberciti.biz/faq/postfix-backup-mx-server-anti-spam/ Hier]<br />
<br />
=Functie=<br />
De functie van een backup MX server, is om mail aan te nemen wanneer de primaire server onbereikbaar is. Omdat spammers steeds vaker de backup-mx gebruiken om hun mail op te dumpen (daar draait vaak een lichtere vorm van filtering) is het belangrijk dat je hiervoor maatregelen neemt. Een aantal maatregels beschrijf ik hier.<br />
<br />
=Postfix main.cf=<br />
Allereerst moet postfix mail gaan accepteren voor het domein:<br />
<br />
relay_domains = frotmail.nl, $mydestination<br />
<br />
<br />
Een optie is om ook alle users van je primaire mailserver hier te vermelden, als relay_recipient_maps. Dit voorkomt dat mail voor een niet-bestaande mailbox kan worden afgeleverd. Zie daarvoor [http://www.cyberciti.biz/faq/postfix-backup-mx-server-anti-spam/ deze] manual. Ik gebruik dit niet omdat ik een wildcard mailbox heb en dus niets heb aan deze functie.<br />
<br />
Dan willen we voorkomen dat iedereen spam kan sturen door wat sanity checks uit te voeren:<br />
<br />
smtpd_recipient_restrictions = permit_sasl_authenticated, permit_mynetworks,<br />
reject_non_fqdn_hostname,<br />
reject_non_fqdn_sender,<br />
reject_non_fqdn_recipient,<br />
reject_unauth_destination,<br />
reject_unauth_pipelining,<br />
reject_invalid_hostname,<br />
reject_rbl_client zen.spamhaus.org<br />
# helo required<br />
<br />
smtpd_helo_required = yes<br />
# disable vrfy command<br />
disable_vrfy_command = yes<br />
<br />
smtpd_data_restrictions =<br />
reject_unauth_pipelining,<br />
permit<br />
<br />
Dit zorgt ervoor dat hij zen.spamhaus.org gebruikt als DNS blacklist provider. Dit houd al ERG veel SPAM tegen.<br />
<br />
De volgende meldingen zie je dan in je logging<br />
Mar 9 12:36:20 vps postfix/smtpd[7213]: NOQUEUE: reject: RCPT from wsip-70-167-198-206.ph.ph.cox.ne<br />
t[70.167.198.206]: 554 5.7.1 Service unavailable; Client host [70.167.198.206] blocked using zen.spa<br />
mhaus.org; http://www.spamhaus.org/query/bl?ip=70.167.198.206; from=<postmail-usid.4267@oakland.com><br />
to=<wperic@frotmail.nl> proto=SMTP helo=<oakland.com><br />
<br />
De volgende maatregel is het zgn Greylisten<br />
<br />
=postgrey=<br />
Om postfix te laten greylisten kunnen we het pakket postgrey installeren<br />
<br />
apt-get install postgrey<br />
<br />
Deze applicatie heeft erg weinig instellingen nodig en kan zonder aanpassingen gebruikt worden door Postfix.<br />
<br />
Wel moeten we de main.cf van Postfix nog een keer aanpassen om deze extra check in te bouwen:<br />
<br />
smtpd_recipient_restrictions = permit_sasl_authenticated, permit_mynetworks,<br />
reject_non_fqdn_hostname,<br />
reject_non_fqdn_sender,<br />
reject_non_fqdn_recipient,<br />
reject_unauth_destination,<br />
reject_unauth_pipelining,<br />
reject_invalid_hostname,<br />
reject_rbl_client zen.spamhaus.org,<br />
check_policy_service inet:127.0.0.1:10023<br />
<br />
Als we dan postfix herstarten (postfix reload) zien we de volgende meldingen in de mail.log:<br />
Mar 9 13:56:30 tweak postfix/smtpd[17956]: NOQUEUE: reject: RCPT from unknown[xxx.xxx.xxx.xxx]: 450 <br />
4.2.0 <boeiend@frotmail.nl>: Recipient address rejected: Greylisted, see http://postgrey.schweikert.<br />
ch/help/frotmail.nl.html; from=<test@test> to=<boeiend@frotmail.nl> proto=ESMTP helo=<test.test.lan><br />
<br />
=MX Prio's=<br />
Tenslotte zie je vaak dat SPAM bij voorkeur op je secundaire mailserver wordt afgeleverd. Ik heb daarom 3 mx records gemaakt:<br />
Prio Server IP<br />
10 mail.frotmail.nl [mijn server]<br />
20 mx02.frotmail.nl [mijn backup MX]<br />
30 mx01.frotmail.nl [mijn server weer]<br />
<br />
Zo zal hij de backup MX niet gebruiken als mijn server nog gewoon online is</div>Erichttps://wiki.frotmail.nl/index.php?title=Pointers&diff=95Pointers2022-04-05T09:37:34Z<p>Eric: Created page with "Stel: we hebben een PC met 10.000 bytes werkgeheugen. Dit betekend dat we 10.000 “hokjes” kunnen vullen met een getal tussen de 0 en 255. Als we in hokje 5 het getal 128 zetten willen we dit natuurlijk ook ooit terug kunnen lezen? Int i=128 Met deze regel slaan we bijvoorbeeld 128 op in het werkgeheugen...De computer bepaald waar dit getal wordt opgeslagen en onthoud vervolgens in welk vakje de waarde van “i” wordt bewaard. Stel de waarde van i (128) wordt in..."</p>
<hr />
<div>Stel: we hebben een PC met 10.000 bytes werkgeheugen. Dit betekend dat we 10.000 “hokjes” kunnen vullen met een getal tussen de 0 en 255.<br />
<br />
Als we in hokje 5 het getal 128 zetten willen we dit natuurlijk ook ooit terug kunnen lezen?<br />
<br />
Int i=128<br />
<br />
Met deze regel slaan we bijvoorbeeld 128 op in het werkgeheugen...De computer bepaald waar dit getal wordt opgeslagen en onthoud vervolgens in welk vakje de waarde van “i” wordt bewaard. Stel de waarde van i (128) wordt in hokje 0 opgeslagen. Wanneer we later de waarde van i terug willen halen moeten we dus in hokje 0 zijn.<br />
<br />
Een karakter is in feite gewoon een nummer (ASCII waarde) zo is de waarde 10 een newline (linux enter) en de A is 65 (dacht ik)<br />
<br />
Als je met meerdere karakters achter elkaar gaat werken heb je dus ook meerdere hokjes nodig om deze data in op te slaan. Dan wordt er gebruik gemaakt van zogenaamde pointers<br />
<br />
Een pointer in C wordt aangegeven met een &, de inhoud van een pointer wordt aangegeven met een *<br />
<br />
Bijvoorbeeld:<br />
char *iets=”Jan met de pet”<br />
hier wordt hokje 0 met de waarde van de hoofdletter j gevuld, hokje 1 met de waarde van a enz.<br />
<br />
De variable iets krijgt dan te horen dat zijn string vanaf positie 0 in het geheugen is gezet. In C kan je dat “adres” ophalen/veranderen door een & voor de variable te plakken:<br />
<br />
printf(“Het adres van *iets is %i”,&iets);<br />
(ik weet niet of dit voorbeeld kan zonder typecast)<br />
<br />
met &iets heb je het dus altijd over het geheugenadres waar de string staat<br />
<br />
de * geeft aan dat je het over de inhoud hebt van dat geheugenblok, dus met *iets kan je de data bekijken welke in het geheugen staat.</div>Erichttps://wiki.frotmail.nl/index.php?title=OpenSSL_PKI&diff=94OpenSSL PKI2022-04-05T09:36:54Z<p>Eric: Created page with "rootca.conf [ default ] ca = Frotmail.nl-ClientSSL # CA name dir = . # Top dir base_url = http://ssl.frotmail.nl # CA base URL aia_url = $base_url/$ca.cer # CA certificate URL crl_url = $base_url/$ca.crl # CRL distribution point name_opt = multiline,-esc_msb,utf8 # Display UTF-8 characters # CA certificate request [ req ] defaul..."</p>
<hr />
<div>rootca.conf<br />
[ default ]<br />
ca = Frotmail.nl-ClientSSL # CA name<br />
dir = . # Top dir<br />
base_url = http://ssl.frotmail.nl # CA base URL<br />
aia_url = $base_url/$ca.cer # CA certificate URL<br />
crl_url = $base_url/$ca.crl # CRL distribution point<br />
name_opt = multiline,-esc_msb,utf8 # Display UTF-8 characters<br />
<br />
# CA certificate request<br />
[ req ]<br />
default_bits = 2048 # RSA key size<br />
encrypt_key = no # Protect private key<br />
default_md = sha256 # MD to use<br />
utf8 = yes # Input is UTF-8<br />
string_mask = utf8only # Emit UTF-8 strings<br />
prompt = no # Don't prompt for DN<br />
distinguished_name = ca_dn # DN section<br />
req_extensions = ca_reqext # Desired extensions<br />
<br />
[ ca_dn ]<br />
countryName = "NL"<br />
organizationName = "Frotmail.nl"<br />
organizationalUnitName = "ClientSSL"<br />
commonName = "clients.frotmail.nl"<br />
<br />
[ ca_reqext ]<br />
keyUsage = critical,keyCertSign,cRLSign<br />
basicConstraints = critical,CA:true<br />
subjectKeyIdentifier = hash<br />
<br />
# CA operational settings<br />
[ ca ]<br />
default_ca = root_ca # The default CA section<br />
<br />
[ root_ca ]<br />
certificate = $dir/$ca.crt # The CA cert<br />
private_key = $dir/$ca.key # CA private key<br />
new_certs_dir = $dir/newcerts # Certificate archive<br />
serial = $dir/$ca.crt.srl # Serial number file<br />
crlnumber = $dir/$ca.crl.srl # CRL number file<br />
database = $dir/$ca.db # Index file<br />
unique_subject = no # Require unique subject<br />
default_days = 3652 # How long to certify for<br />
default_md = sha256 # MD to use<br />
policy = match_pol # Default naming policy<br />
email_in_dn = no # Add email to cert DN<br />
preserve = no # Keep passed DN ordering<br />
name_opt = $name_opt # Subject DN display options<br />
cert_opt = ca_default # Certificate display options<br />
copy_extensions = none # Copy extensions from CSR<br />
x509_extensions = ca_ext # Default cert extensions<br />
default_crl_days = 365 # How long before next CRL<br />
crl_extensions = crl_ext # CRL extensions<br />
<br />
[ match_pol ]<br />
countryName = match # Must match 'NO'<br />
stateOrProvinceName = optional # Included if present<br />
localityName = optional # Included if present<br />
organizationName = match # Must match 'Green AS'<br />
organizationalUnitName = optional # Included if present<br />
commonName = supplied # Must be present<br />
<br />
[ any_pol ]<br />
domainComponent = optional<br />
countryName = optional<br />
stateOrProvinceName = optional<br />
localityName = optional<br />
organizationName = optional<br />
organizationalUnitName = optional<br />
commonName = optional<br />
emailAddress = optional<br />
<br />
# Extensions<br />
[ ca_ext ]<br />
keyUsage = critical,keyCertSign,cRLSign<br />
basicConstraints = critical,CA:true,pathlen:0<br />
subjectKeyIdentifier = hash<br />
authorityKeyIdentifier = keyid:always<br />
authorityInfoAccess = @issuer_info<br />
crlDistributionPoints = @crl_info<br />
<br />
[ client_ext ]<br />
keyUsage = critical,digitalSignature<br />
basicConstraints = CA:false<br />
extendedKeyUsage = clientAuth<br />
subjectKeyIdentifier = hash<br />
authorityKeyIdentifier = keyid:always<br />
authorityInfoAccess = @issuer_info<br />
crlDistributionPoints = @crl_info<br />
<br />
[ crl_ext ]<br />
authorityKeyIdentifier = keyid:always<br />
authorityInfoAccess = @issuer_info<br />
<br />
[ issuer_info ]<br />
caIssuers;URI.0 = $aia_url<br />
<br />
[ crl_info ]<br />
URI.0 = $crl_url<br />
<br />
client.conf<br />
# TLS client certificate request<br />
<br />
[ req ]<br />
default_bits = 2048 # RSA key size<br />
#encrypt_key = yes # Protect private key<br />
default_md = sha1 # MD to use<br />
utf8 = yes # Input is UTF-8<br />
string_mask = utf8only # Emit UTF-8 strings<br />
prompt = yes # Prompt for DN<br />
distinguished_name = client_dn # DN template<br />
req_extensions = client_reqext # Desired extensions<br />
<br />
[ client_dn ]<br />
countryName = "1. Country Name (2 letters) "<br />
countryName_max = 2<br />
countryName_default = NL<br />
stateOrProvinceName = "2. State or Province Name "<br />
stateOrProvinceName_default = Oirschot<br />
localityName = "3. Locality Name "<br />
organizationName = "4. Organization Name "<br />
organizationName_default= Frotmail.nl<br />
organizationalUnitName = "5. Organizational Unit Name "<br />
organizationalUnitName_default = ClientSSL<br />
commonName = "6. Common Name (Username) "<br />
commonName_max = 64<br />
#emailAddress = "7. Email Address (eg, name@fqdn)"<br />
#emailAddress_max = 40<br />
<br />
[ client_reqext ]<br />
keyUsage = critical,digitalSignature<br />
extendedKeyUsage = clientAuth<br />
subjectKeyIdentifier = hash<br />
<br />
=Commands=<br />
Create directories<br />
mkdir -p newcerts<br />
<br />
Create database<br />
touch $ca.db<br />
touch $ca.db.attr<br />
echo 01 > $ca.crt.srl<br />
echo 01 > $ca.crl.srl<br />
<br />
Create CA request<br />
openssl req -new \<br />
-config rootca.conf \<br />
-out $ca.csr \<br />
-keyout $ca.key<br />
We create a private key and a CSR for the TLS CA. The configuration is taken from the [req] section of the TLS CA<br />
configuration file.<br />
<br />
Create CA certificate<br />
openssl ca -selfsign \<br />
-config rootca.conf \<br />
-in $ca.csr \<br />
-out $ca.crt \<br />
-extensions signing_ca_ext<br />
We use the root CA to issue the TLS CA certificate.<br />
<br />
Create initial CRL<br />
openssl ca -gencrl \<br />
-config ca.conf \<br />
-out $ca.crl<br />
We create an empty CRL.<br />
<br />
=client=<br />
#!/bin/bash<br />
if [ -z "$1" ]<br />
then<br />
echo "Usage: $0 [username]"<br />
else<br />
rm $1.*<br />
openssl genrsa -out $1.key 2048<br />
openssl req -new -config client.conf -out $1.csr -key $1.key<br />
openssl ca -config rootca.conf -in $1.csr -out $1.crt -extensions client_ext<br />
openssl pkcs12 -export -inkey $1.key -in $1.crt -out $1.pfx<br />
rm $1.csr<br />
rm $1.key<br />
rm $1.crt<br />
fi</div>Erichttps://wiki.frotmail.nl/index.php?title=Network_Analysis&diff=93Network Analysis2022-04-05T09:36:29Z<p>Eric: Created page with "=Netwerk analyse= ==tcpdump== Met TCPdump maken we een dump van het verkeer naar disk: tcpdump -w filename.pcap ==tcpdstat== http://frotmail.nl/tools/tcpdstat-uw.tar.gz mirror http://staff.washington.edu/dittrich/talks/core02/tools/tools.html Original site Deze tool stelt ons in staat om statistieken van de pcap file uit te lezen: root@testd00s:/home/eric# tcpdstat test.pcap DumpFile: test.pcap FileSize: 441.91MB pcap_dispatch:truncated dump file; tried..."</p>
<hr />
<div>=Netwerk analyse=<br />
==tcpdump==<br />
Met TCPdump maken we een dump van het verkeer naar disk:<br />
tcpdump -w filename.pcap<br />
<br />
==tcpdstat==<br />
[[http://frotmail.nl/tools/tcpdstat-uw.tar.gz mirror]] [[http://staff.washington.edu/dittrich/talks/core02/tools/tools.html Original site]]<br />
Deze tool stelt ons in staat om statistieken van de pcap file uit te lezen:<br />
root@testd00s:/home/eric# tcpdstat test.pcap<br />
<br />
DumpFile: test.pcap<br />
FileSize: 441.91MB<br />
pcap_dispatch:truncated dump file; tried to read 142 captured bytes, only got 8<br />
Id: 201109020808<br />
StartTime: Fri Sep 2 08:08:01 2011<br />
EndTime: Fri Sep 2 09:14:24 2011<br />
TotalTime: 3983.05 seconds<br />
TotalCapSize: 435.54MB CapLen: 49298 bytes<br />
# of packets: 417725 (435.54MB)<br />
AvgRate: 918.42Kbps stddev:7963.55K PeakRate: 98.10Mbps <br />
<br />
### IP flow (unique src/dst pair) Information ###<br />
# of flows: 282 (avg. 1481.29 pkts/flow)<br />
Top 10 big flow size (bytes/total in %):<br />
68.8% 22.1% 3.9% 0.7% 0.5% 0.4% 0.3% 0.3% 0.1% 0.1% <br />
<br />
### IP address Information ###<br />
# of IPv4 addresses: 147 <br />
Top 10 bandwidth usage (bytes/total in %):<br />
99.9% 91.1% 4.0% 0.9% 0.5% 0.5% 0.3% 0.2% 0.1% 0.1%<br />
### Packet Size Distribution (including MAC headers) ###<br />
<<<<<br />
[ 32- 63]: 3811<br />
[ 64- 127]: 161765<br />
[ 128- 255]: 13197<br />
[ 256- 511]: 1445<br />
[ 512- 1023]: 2039<br />
[ 1024- 2047]: 227130<br />
[ 2048- 4095]: 1818<br />
[ 4096- 8191]: 1034<br />
[ 8192-16383]: 3393<br />
[16384-32767]: 2058<br />
[32768-65535]: 35<br />
>>>><br />
<br />
<br />
### Protocol Breakdown ###<br />
<<<<<br />
protocol packets bytes bytes/pkt<br />
------------------------------------------------------------------------<br />
[0] total 417725 (100.00%) 456692736 (100.00%) 1093.29<br />
[1] ip 408445 ( 97.78%) 455856868 ( 99.82%) 1116.08<br />
[2] tcp 390934 ( 93.59%) 451225115 ( 98.80%) 1154.22<br />
[3] ssh 104 ( 0.02%) 193406 ( 0.04%) 1859.67<br />
[3] http(s) 261759 ( 62.66%) 346302456 ( 75.83%) 1322.98<br />
[3] http(c) 125881 ( 30.13%) 103320254 ( 22.62%) 820.78<br />
[3] https 3190 ( 0.76%) 1408999 ( 0.31%) 441.69<br />
[2] udp 17445 ( 4.18%) 4627793 ( 1.01%) 265.28<br />
[3] dns 32 ( 0.01%) 3119 ( 0.00%) 97.47<br />
[3] netb-ns 2815 ( 0.67%) 260114 ( 0.06%) 92.40<br />
[3] netb-se 74 ( 0.02%) 17555 ( 0.00%) 237.23<br />
[3] mcast 492 ( 0.12%) 61621 ( 0.01%) 125.25<br />
[3] other 14032 ( 3.36%) 4285384 ( 0.94%) 305.40<br />
[2] igmp 66 ( 0.02%) 3960 ( 0.00%) 60.00<br />
>>>> <br />
==EtherApe==<br />
Deze tool kan grafisch weergeven waar verbindingen naartoe lopen en hoeveel data deze verwerken.</div>Erichttps://wiki.frotmail.nl/index.php?title=Netflow_on_Linux&diff=92Netflow on Linux2022-04-05T09:35:31Z<p>Eric: Created page with "=Inleiding= Soms is het handig om Netflow informatie te kunnen uitlezen van verbindingen waarbij de apparatuur dit niet ondersteund. Een voorbeeld hiervan is een lijn van een derde partij welke in een Cisco 3750 is geprikt. De Cisco 3750 ondersteund geen netflow maar toch willen we weten wat de grootverbruiker is van deze verbinding. =Promiscuous Mode traffic ACCountant= Onder Ubuntu kan je deze eenvoudig installeren met apt-get install pmacct Vervolgens rest je all..."</p>
<hr />
<div>=Inleiding=<br />
Soms is het handig om Netflow informatie te kunnen uitlezen van verbindingen waarbij de apparatuur dit niet ondersteund. Een voorbeeld hiervan is een lijn van een derde partij welke in een Cisco 3750 is geprikt. De Cisco 3750 ondersteund geen netflow maar toch willen we weten wat de grootverbruiker is van deze verbinding.<br />
<br />
=Promiscuous Mode traffic ACCountant=<br />
Onder Ubuntu kan je deze eenvoudig installeren met <br />
<br />
apt-get install pmacct<br />
<br />
Vervolgens rest je alleen nog het configureren van deze daemon.<br />
<br />
=Voorbeeld configuratie=<br />
/etc/pmacct/pmacctd.conf<br />
daemonize: true<br />
pidfile: /var/run/pmacctd.pid<br />
syslog: daemon<br />
aggregate: src_host, dst_host, src_port, dst_port, proto, tos, vlan<br />
interface: eth1<br />
plugins: nfprobe<br />
nfprobe_receiver: 10.0.0.10:2055<br />
nfprobe_version: 9<br />
<br />
=Inrichting=<br />
Tenslotte zal je er nog voor moeten zorgen dat het systeem intressante informatie ontvangt op zijn eth1. Immers we willen de lijnbelasting bekijken van een bestaande lijn. <br />
<br />
De makkelijkste manier hiervoor is om een monitor sessie aan te maken op een Cisco Switch (andere switch fabrikanten noemen dit vaak port replication, port mirroring enz.)<br />
<br />
Voor een Cisco Switch voer je hier uit:<br />
monitor session 1 source interface Gi1/0/1<br />
monitor session 1 destination interface Gi1/0/2<br />
<br />
In dit voorbeeld zal een bestaande verbinding op Gi1/0/1 worden gerepliceerd naar Gi1/0/2, hierin prikken we dus onze eth1.<br />
<br />
Het is belangrijk dat de Ubuntu machine op eth0 normaal in het netwerk is geplaatst, anders zal de netflow informatie niet afgeleverd kunnen worden.</div>Erichttps://wiki.frotmail.nl/index.php?title=Net-SNMP&diff=91Net-SNMP2022-04-05T09:35:05Z<p>Eric: Created page with "=Pollen of Traps?= Ik heb in het verleden SNMP eigenlijk alleen gebruikt om met behulp van polling eenvoudig statistieken te verzamelen van verschillende hosts. Cacti ging dan iedere 5 minuten alle hosts af om informatie te verzamelen en dit komt dan in een leuk grafiekje. Het begrip SNMP TRAP had ik al verschillende malen voorbij zien komen maar het zei me niets. Ik had het niet nodig om Cacti werkend te krijgen dus wat maakt het uit??? Nu hadden we een paar weken gel..."</p>
<hr />
<div>=Pollen of Traps?=<br />
Ik heb in het verleden SNMP eigenlijk alleen gebruikt om met behulp van polling eenvoudig statistieken te verzamelen van verschillende hosts. Cacti ging dan iedere 5 minuten alle hosts af om informatie te verzamelen en dit komt dan in een leuk grafiekje.<br />
<br />
Het begrip SNMP TRAP had ik al verschillende malen voorbij zien komen maar het zei me niets. Ik had het niet nodig om Cacti werkend te krijgen dus wat maakt het uit???<br />
<br />
Nu hadden we een paar weken geleden het probleem dat een proces niet meer draaide, hierdoor kwam mail niet door en kregen we ook geen alert. Dit probleem is lastig om te tackelen met een custom script, want hoe stuur je een alert uit als je mail plat ligt?<br />
<br />
Het antwoord in deze situatie lag bij de SNMP Traps. Op deze manier laat je de SNMP daemon actief bepaalde zaken monitoren (daarvoor is hij tenslotte gemaakt) en indien er een ingestelde grens wordt overschreden stuurt hij via UDP een bericht naar de SNMP Trap HOST. In onze situatie laat ik de productie servers een Trap bericht genereren naar mijn server thuis. Deze draait een onafhankelijke mailserver waarop dan de alerts worden gemaild naar bijvoorbeeld mijn telefoon.<br />
<br />
=SNMPv3=<br />
Stop service<br />
service snmpd stop<br />
Create the SNMP user and password:<br />
net-snmp-config --create-snmpv3-user -ro -a PASSWORD -X AES -A SHA USERNAME<br />
This creates an SNMPv3 user called USERNAME that has read only access (-ro) authenticated (-a) access with a PASSWORD using AES for encryption (-X) and SHA for your hashes (-A).<br />
<br />
Edit /etc/snmp/snmpd.conf and change rouser USERNAME to rouser USERNAME priv, this forces encryption for all traffic.<br />
<br />
Start Service<br />
service snmpd start<br />
<br />
Test:<br />
snmpwalk -v 3 -l authPriv -a sha -A PASSWORD -x AES -X PASSWORD -u USERNAME localhost<br />
<br />
=Configuatie SNMPD=<br />
De volgende extra regels heb ik aan de snmpd.conf toegevoegd:<br />
<br />
rouser public noauth<br />
agentSecName public<br />
authtrapenable 1<br />
trapcommunity public<br />
trap2sink home.trapsink.lan<br />
defaultMonitors yes<br />
<br />
load 15 10 7<br />
proc amavisd<br />
proc mysqld_safe<br />
disk / 20%<br />
disk /home 20%<br />
<br />
monitor -r 60 -o prNames -o prErrMessage "procTable" prErrorFlag != 0<br />
<br />
Op deze manier monitoren we 5 items, 2 gemounte partities, de load en 2 processen. Indien de load over de grens gaat (15 bij 1 min avg, 10 bij 5 min avg of 7 bij 15 min avg), de processen niet meer draaien, of 1 van de volumes minder dan 20% ruimte heeft zal hij een Trap sturen naar 'home.trapsink.lan'<br />
<br />
De onderste regel beschrijft de monitor welke de processen in de gaten houd, door deze regel controleerd hij ze iedere 60 sec. De default is namelijk 10 minuten wat vrij lang is in mijn ogen...<br />
<br />
=Config snmptrapd=</div>Erichttps://wiki.frotmail.nl/index.php?title=MySQL_Replicatie&diff=90MySQL Replicatie2022-04-05T09:34:33Z<p>Eric: Created page with "=Setup Master Server= You'll need this in your my.cnf on your server: log-bin server-id = 1 log bin turns on logging and server-id (which must be unique on your network) is requried for replication to work. I made the master in this case #1. Then, setup the replication user (assumes you're running mysql 4. mysql> GRANT REPLICATION SLAVE ON *.* TO repl@"%" IDENTIFIED '<password>'; restart your mysql server, if necessary do a: Get a snapshot of current data fo..."</p>
<hr />
<div>=Setup Master Server=<br />
You'll need this in your my.cnf on your server:<br />
log-bin <br />
server-id = 1<br />
<br />
log bin turns on logging and server-id (which must be unique on your network) is requried for replication to work. I made the master in this case #1.<br />
<br />
Then, setup the replication user (assumes you're running mysql 4.<br />
<br />
mysql> GRANT REPLICATION SLAVE ON *.* TO repl@"%" IDENTIFIED '<password>'; <br />
<br />
restart your mysql server, if necessary do a:<br />
<br />
Get a snapshot of current data for the slave<br />
after restarting with log-bin enabled, tar up your /var/lib/mysql databases that you are going to want to replicate and copy them over to the slave. i replicated all but the 'mysql' database.<br />
<br />
If you are using MyISAM tables, flush all the tables and block write queries by executing FLUSH TABLES WITH READ LOCK command.<br />
<br />
mysql> FLUSH TABLES WITH READ LOCK; <br />
<br />
tar -cvf /tmp/mysql-snapshot.tar /path/to/data-dir <br />
<br />
then, on your master, do a<br />
<br />
mysql > SHOW MASTER STATUS; <br />
<br />
and note the 'File' name and the 'Position' number<br />
<br />
then you can allow writes again on your master by doing an<br />
<br />
unlock tables<br />
<br />
=Setup the slave server=<br />
<br />
add server-id to the my.cnf file<br />
(other things i added to my.cnf:<br />
<br />
log-bin<br />
server-id = 2<br />
<br />
Optionally:<br />
<br />
log-slave-updates <br />
log-warnings <br />
replicate-ignore-db=mysql<br />
<br />
restart the mysqld<br />
then:<br />
<br />
mysql> CHANGE MASTER TO MASTER_HOST='<master host name>',<br />
MASTER_USER='<replication user name>',<br />
MASTER_PASSWORD='<replication password>',<br />
MASTER_LOG_FILE='<recorded log file name>',<br />
MASTER_LOG_POS=<recorded log offset>; <br />
<br />
replacing the values in <> with the actual values relevant to your system.<br />
Start the slave threads:<br />
<br />
mysql> START SLAVE;<br />
<br />
Once a slave is replicating, you will find a file called `master.info' and one called `relay-log.info' in the data directory. These two files are used by the slave to keep track of how much of the master's binary log it has processed. Do not remove or edit these files, unless you really know what you are doing. Even in that case, it is preferred that you use CHANGE MASTER TO command. NOTE : the content of `master.info' overrides some options specified on the command-line or in `my.cnf'<br />
<br />
=Copy crap=<br />
Comment<br />
Discussion icon some real world scenarios<br />
Posted by: sjwillis at 2004-01-05<br />
<br />
.3 is my slave .6 is my master<br />
<br />
so, on .6 i:<br />
<br />
find -type d -maxdepth 1 > 6_dbase_listing<br />
<br />
then flush with read lock, then i edit that file to remove the . and the mysql lines<br />
<br />
tar -cvpf /usr/src/dbases.tar -T 6_dbase_listing,<br />
<br />
then i grab the master info (file name, position) and unlock tables then i scp that tarball over to the master and<br />
<br />
run a shell script called setup_replication.sql which populates the master.info file<br />
<br />
then untar the tarball and restart the slave</div>Erichttps://wiki.frotmail.nl/index.php?title=Mikrotik_Power_Consumption&diff=89Mikrotik Power Consumption2022-04-05T09:33:57Z<p>Eric: Created page with "{| border="1" | | '''Model''' || '''Power Consumption (W) @ 12v''' || '''# Ports Online''' || '''Misc''' |- | RB951G-2HnD || 2.7 - 3 || 2 || WiFi on |- | RBwAP2nD || 1 || 1 || WiFi on |- | CRS305-1G-4S+IN || 4.3 || 1 || No SFP modules |- | CRS305-1G-4S+IN || 6.15 || 3 || 2x GLC-T |- | CRS305-1G-4S+IN || 5.36 || 3 || 2x SFP-10G-SR |- | CRS305-1G-4S+IN || 5.72 || 3 || 2x SFP-10G-LR |}"</p>
<hr />
<div>{| border="1" | <br />
| '''Model''' || '''Power Consumption (W) @ 12v''' || '''# Ports Online''' || '''Misc''' <br />
|-<br />
| RB951G-2HnD || 2.7 - 3 || 2 || WiFi on<br />
|-<br />
| RBwAP2nD || 1 || 1 || WiFi on<br />
|-<br />
| CRS305-1G-4S+IN || 4.3 || 1 || No SFP modules<br />
|-<br />
| CRS305-1G-4S+IN || 6.15 || 3 || 2x GLC-T<br />
|-<br />
| CRS305-1G-4S+IN || 5.36 || 3 || 2x SFP-10G-SR <br />
|-<br />
| CRS305-1G-4S+IN || 5.72 || 3 || 2x SFP-10G-LR<br />
|}</div>Erichttps://wiki.frotmail.nl/index.php?title=Lab&diff=88Lab2022-04-05T09:33:03Z<p>Eric: Created page with "= Hardware = == Wireless == * 1x AIR-CAP3502I-E-K9 * 2x AIR-CAP2602E-E-K9 * 3x AIR-CAP2602I-E-K9 * 5x AIR-LAP1142N-E-K9 * 3x AIR-AP1131AG-E-K9 == Routers == * 3x c1803 * 5x c1841 == Switches == * 2x ws-c3750e-24td-e * 2x ws-c3750g-24td-e = PDU = DIY PDU (10.4.101.100) 1 c2960g-24t 2 ASA 5505 3 Serial Console Server 4 c800-uplink 5 c2960g-8 6 NC 7 DELL r210 II 8 APC 7921 PDU APC PDU (192.168.38.250) 1 3750g-24t 2 3750g-24t 3 1800 4 1800 5 1800 6 1800..."</p>
<hr />
<div>= Hardware = <br />
== Wireless ==<br />
* 1x AIR-CAP3502I-E-K9<br />
* 2x AIR-CAP2602E-E-K9<br />
* 3x AIR-CAP2602I-E-K9<br />
* 5x AIR-LAP1142N-E-K9<br />
* 3x AIR-AP1131AG-E-K9<br />
<br />
== Routers == <br />
* 3x c1803<br />
* 5x c1841<br />
<br />
== Switches ==<br />
* 2x ws-c3750e-24td-e<br />
* 2x ws-c3750g-24td-e<br />
<br />
= PDU =<br />
DIY PDU (10.4.101.100)<br />
<br />
1 c2960g-24t<br />
2 ASA 5505<br />
3 Serial Console Server<br />
4 c800-uplink<br />
5 c2960g-8<br />
6 NC<br />
7 DELL r210 II<br />
8 APC 7921 PDU<br />
<br />
APC PDU (192.168.38.250)<br />
<br />
1 3750g-24t<br />
2 3750g-24t<br />
3 1800<br />
4 1800<br />
5 1800<br />
6 1800<br />
7 1800<br />
8 1800<br />
<br />
=Serial Console=<br />
Serial Console Server break sequence: CTRL-D<br />
<br />
01 [telnet://192.168.32.22:3001 3750g-24t]<br />
02 [telnet://192.168.32.22:3002 3750g-24t]<br />
03 [telnet://192.168.32.22:3003 1841]<br />
04 [telnet://192.168.32.22:3004 1841]<br />
05 [telnet://192.168.32.22:3005 1841]<br />
06 [telnet://192.168.32.22:3006 1800]<br />
07 [telnet://192.168.32.22:3007 1800]<br />
08 [telnet://192.168.32.22:3008 1800]<br />
09 [telnet://192.168.32.22:3009 c2960g-24]<br />
10 [telnet://192.168.32.22:3010 ASA5505]<br />
11 [telnet://192.168.32.22:3011 c2960g-8]<br />
12 [telnet://192.168.32.22:3012 c800-uplink]<br />
13<br />
14<br />
15<br />
16<br />
<br />
=LAB Diagram=<br />
<br />
1 +------------+ +------------+ 2<br />
+-----+ | | +-----+<br />
| | c1841-01 | | c1803-01 | |<br />
| +--+ +----+ | +--+ |<br />
| |s +------------+ 0 | +------------+ 1| |<br />
| | | | |<br />
| | | | |<br />
| | | | |<br />
| |s +------------+ | 4 +-------------+ 1 0 +------------+ 1| |<br />
| +--+ | +---+ +--------+ +--+ |<br />
| | c1841-02 | | ASA | | c1803-02 | |<br />
| +--+ +--------+ +---+ | +--+ |<br />
| |1 +------------+ 0 5 +-------------+ 0 | +------------+ s| |<br />
| | | | |<br />
| | | | |<br />
| | | | |<br />
| |0 +------------+ | 0 +------------+ s| |<br />
| +--+ | +----+ +--+ |<br />
| | c1841-03 | | c1803-03 | |<br />
+-----+ | | +-----+<br />
1 +------------+ +------------+ 2<br />
<br />
http://asciiflow.com/</div>Erichttps://wiki.frotmail.nl/index.php?title=Kibana&diff=87Kibana2022-04-05T09:32:42Z<p>Eric: Created page with "=Docker= ==Apt-get== apt-get install docker-compose docker adjust sudo joe /etc/sysctl.conf vm.max_map_count=262144 apt-get remove apparmor ==Docker-compose== version: '2' services: kibana: image: kibana:6.7.0 container_name: kibana links: - 'elastic:elasticsearch' ports: - '5601:5601' logstash: image: logstash:6.7.0 container_name: logstash volumes: - /root/docker/logstash/config/:/usr/share/lo..."</p>
<hr />
<div>=Docker=<br />
==Apt-get==<br />
apt-get install docker-compose docker<br />
adjust <br />
sudo joe /etc/sysctl.conf<br />
<br />
vm.max_map_count=262144<br />
<br />
apt-get remove apparmor<br />
<br />
==Docker-compose==<br />
version: '2'<br />
services:<br />
kibana: <br />
image: kibana:6.7.0<br />
container_name: kibana<br />
links:<br />
- 'elastic:elasticsearch'<br />
ports:<br />
- '5601:5601'<br />
logstash: <br />
image: logstash:6.7.0<br />
container_name: logstash<br />
volumes:<br />
- /root/docker/logstash/config/:/usr/share/logstash/config/<br />
- /root/docker/logstash/patterns/:/usr/share/logstash/patterns/<br />
ports:<br />
- '5000:5000/udp'<br />
command: 'logstash -f /usr/share/logstash/config/'<br />
links:<br />
- elastic<br />
elastic: <br />
image: elasticsearch:6.7.0<br />
container_name: elastic<br />
==Logstash==<br />
touch /root/docker/logstash/config/logstash.yml<br />
<br />
/root/docker/logstash/config/syslog.conf<br />
input {<br />
syslog {<br />
port => 5000<br />
type => "rsyslog"<br />
}<br />
udp {<br />
host => "0.0.0.0"<br />
port => "2055"<br />
codec => netflow {<br />
versions => [5, 9]<br />
}<br />
type => "netflow"<br />
}<br />
}<br />
filter {<br />
if [type] == "rsyslog" {<br />
grok {<br />
patterns_dir => ["/usr/share/logstash/patterns/"]<br />
match => { "message" => "%{MIKROTIK}" }<br />
match => { "message" => "%{GREEDYDATA:message}" }<br />
}<br />
}<br />
}<br />
output {<br />
elasticsearch {<br />
hosts => [ "elastic:9200" ]<br />
}<br />
}<br />
<br />
/root/docker/logstash/patterns/<br />
MIKROTIK_CAPS1 (?<mac_address>\S+)@(?<device>\S+) (?<action>connected|disconnected), %{GREEDYDATA:reason}<br />
MIKROTIK_CAPS2 (?<mac_address>\S+)@(?<device>\S+) (?<action>connected|disconnected)<br />
<br />
# Firewall Log (No NAT):<br />
MIKROTIKFIREWALLNONAT %{DATA:LogChain}: in:%{DATA:src_zone} out:%{DATA:dst_zone}, src-mac %{MAC}, proto %{DATA:proto}, %{IP:src_ip}:%{INT:src_port}->%{IP:dst_ip}:%{INT:dst_port}, len %{INT:length}<br />
## firewall,info TODO forward: in:vlan100-dmz out:vlan10-prod, src-mac 52:54:00:d4:f5:21, proto TCP (RST), 192.168.99.16:443->192.168.38.88:46494, len 40<br />
MIKROTIKFIREWALL (?:%{MIKROTIKFIREWALLNONAT})<br />
<br />
#DHCP<br />
MIKROTIKDHCP %{DATA:DHCP_zone} %{WORD:DHCP_state} %{IP:src_ip} (?:from|to) %{MAC:src_mac}<br />
<br />
# System Login<br />
<br />
MIKROTIKLOGINOUT %{SYSLOGTIMESTAMP:date} MikroTik user %{WORD:user} logged (?:out|in) from %{IP:src_ip} via %{WORD:src_type}<br />
MIKROTIKLOGINFAIL %{SYSLOGTIMESTAMP:date} MikroTik login failure for user %{WORD:user} from %{IP:src_ip} via %{WORD:src_type}<br />
<br />
MIKROTIKLOGIN (?:%{MIKROTIKLOGINOUT}|%{MIKROTIKLOGINFAIL})<br />
<br />
# Add all the above<br />
MIKROTIK (?:%{MIKROTIKFIREWALL}|%{MIKROTIKDHCP}|%{MIKROTIKLOGIN}|%{MIKROTIK_CAPS1}|%{MIKROTIK_CAPS2})<br />
=Native (oud)=<br />
==Install ELK==<br />
This guide is based on Ubuntu Server 16.04<br />
<br />
===APT sources===<br />
wget -qO - https://artifacts.elastic.co/GPG-KEY-elasticsearch | sudo apt-key add -<br />
echo "deb https://artifacts.elastic.co/packages/5.x/apt stable main" > /etc/apt/sources.list.d/elastic-5.x.list<br />
<br />
===Install packages===<br />
apt update<br />
apt install openjdk-8-jre kibana elasticsearch rsyslog<br />
apt install logstash<br />
<br />
==Config RSyslog==<br />
/etc/rsyslog.d/49-remote.conf<br />
if $fromhost-ip startswith '192.168.38.254' then {<br />
action(type="omfwd" template="json-template" target="localhost" port="10514")<br />
}<br />
<br />
service rsyslog restart<br />
<br />
===LogStash===<br />
Create folders for patterns<br />
mkdir -p /opt/logstash/patterns<br />
chown -R logstash:logstash /opt/logstash <br />
<br />
Patterns file<br />
<br />
/opt/logstash/patterns/mikrotik<br />
MIKROTIK_DHCP (?<action>assigned|deassigned) %{IP:ip} (?<verb>to|from) (?<mac_address>\S+)<br />
MIKROTIK_CAPS1 (?<mac_address>\S+)@(?<device>\S+) (?<action>connected|disconnected), %{GREEDYDATA:reason}<br />
MIKROTIK_CAPS2 (?<mac_address>\S+)@(?<device>\S+) (?<action>connected|disconnected)<br />
<br />
Config<br />
<br />
/etc/logstash/conf.d/logstash.conf<br />
input {<br />
udp {<br />
host => "127.0.0.1"<br />
port => 10514<br />
codec => "json"<br />
type => "rsyslog"<br />
}<br />
udp {<br />
host => "0.0.0.0"<br />
port => "2055"<br />
codec => netflow {<br />
versions => [5, 9]<br />
}<br />
type => "netflow"<br />
}<br />
}<br />
<br />
# This is an empty filter block. You can later add other filters here to further process<br />
# your log lines<br />
<br />
filter {<br />
if [type] == "rsyslog" {<br />
grok {<br />
patterns_dir => ["/opt/logstash/patterns/"]<br />
match => { "message" => "%{MIKROTIK_DHCP}" }<br />
match => { "message" => "%{MIKROTIK_CAPS1}" }<br />
match => { "message" => "%{MIKROTIK_CAPS2}" }<br />
match => { "message" => "%{GREEDYDATA:message}" }<br />
}<br />
}<br />
<br />
}<br />
<br />
# This output block will send all events of type "rsyslog" to Elasticsearch at the configured<br />
# host and port into daily indices of the pattern, "rsyslog-YYYY.MM.DD"<br />
<br />
output {<br />
if [type] == "rsyslog" and "_grokparsefailure" in [tags] {<br />
file { path => "/var/log/logstash/failed_%{+YYYY-MM-dd}" }<br />
}<br />
if [type] == "rsyslog" {<br />
elasticsearch {<br />
hosts => [ "localhost:9200" ]<br />
}<br />
}<br />
if [type] == "netflow" {<br />
elasticsearch {<br />
hosts => [ "localhost:9200" ]<br />
}<br />
}<br />
}<br />
<br />
==ElasticSearch==<br />
/etc/init.d/elasticsearch start<br />
<br />
==Kibana==<br />
If not only access from localhost is required, edit /etc/kibana/kibana.yml:<br />
server.host: "::"<br />
<br />
service kibana start<br />
<br />
Now the kibana site should be available at http://[ip]:5601<br />
<br />
===Troubleshooting===<br />
* is the correct java version installed?<br />
* Is kibana listening on loopback only? <br />
** netstat -pant | grep 5601<br />
* Is ElasticSearch running?</div>Erichttps://wiki.frotmail.nl/index.php?title=Docker_Swarm&diff=86Docker Swarm2022-04-05T09:32:04Z<p>Eric: Created page with "= GlusterFS = Install sudo apt install glusterfs-server sudo systemctl start glusterd.service Add peer sudo gluster peer probe docker-pi-b Create Volume gluster volume create gv0 replica 2 docker-pi-a:/opt/brick docker-pi-b:/opt/brick gluster volume create gv0 replica 2 docker-pi-a:/opt/brick docker-pi-b:/opt/brick force gluster volume start gv0 Mount volume mount -t glusterfs docker-pi-a:/gv0 /mnt/gv0/ = VRRP = Install keepalived sudo apt install keepalived..."</p>
<hr />
<div>= GlusterFS =<br />
Install<br />
sudo apt install glusterfs-server<br />
sudo systemctl start glusterd.service <br />
Add peer<br />
sudo gluster peer probe docker-pi-b<br />
<br />
Create Volume<br />
gluster volume create gv0 replica 2 docker-pi-a:/opt/brick docker-pi-b:/opt/brick<br />
gluster volume create gv0 replica 2 docker-pi-a:/opt/brick docker-pi-b:/opt/brick force<br />
gluster volume start gv0<br />
<br />
Mount volume<br />
mount -t glusterfs docker-pi-a:/gv0 /mnt/gv0/<br />
<br />
= VRRP =<br />
Install keepalived<br />
sudo apt install keepalived<br />
Configure keepalived<br />
cd /etc/keepalived/<br />
sudo joe keepalived.conf<br />
/etc/keepalived/keepalived.conf @ master node<br />
vrrp_instance vrrp_a {<br />
interface wlan0<br />
state MASTER<br />
virtual_router_id 133<br />
priority 101<br />
authentication {<br />
auth_type AH<br />
auth_pass pass<br />
}<br />
virtual_ipaddress {<br />
192.168.38.38<br />
}<br />
}<br />
/etc/keepalived/keepalived.conf @ backup node<br />
vrrp_instance vrrp_a {<br />
interface wlan0<br />
state BACKUP<br />
virtual_router_id 133<br />
priority 100<br />
authentication {<br />
auth_type AH<br />
auth_pass pass<br />
}<br />
virtual_ipaddress {<br />
192.168.38.38<br />
}<br />
}<br />
Start VRRP:<br />
sudo service keepalived start<br />
<br />
=Swarm=<br />
== Install Docker ==<br />
echo "deb [arch=armhf] https://download.docker.com/linux/debian \<br />
$(lsb_release -cs) stable" | sudo tee /etc/apt/sources.list.d/docker.list<br />
curl -fsSL https://download.docker.com/linux/debian/gpg | sudo apt-key add -<br />
sudo apt install --no-install-recommends docker-ce<br />
sudo usermod -a -G docker pi<br />
<br />
== Create Swarm ==<br />
Node A:<br />
docker swarm init<br />
docker swarm join-token manager<br />
<br />
Node B:<br />
docker swarm join --token *token* 192.168.38.85:2377<br />
<br />
== Create stack for Traefik ==<br />
Node: <br />
docker network create --driver overlay --attachable backend<br />
docker network create --ingress --driver overlay pub<br />
<br />
docker stack deploy -c traefik.yml traefik<br />
<br />
traefik.yml:<br />
version: "3.4"<br />
services:<br />
traefik:<br />
image: traefik:latest<br />
command:<br />
- "--docker"<br />
- "--docker.swarmmode"<br />
- "--docker.watch"<br />
- "--web"<br />
volumes:<br />
- type: bind<br />
source: /var/run/docker.sock<br />
target: /var/run/docker.sock<br />
<br />
networks:<br />
- "backend"<br />
ports:<br />
- "80:80"<br />
- "8080:8080"<br />
- "443:443"<br />
deploy:<br />
replicas: 2<br />
placement:<br />
constraints:<br />
- node.role == manager<br />
restart_policy:<br />
condition: on-failure<br />
<br />
networks:<br />
backend:<br />
external: true</div>Erichttps://wiki.frotmail.nl/index.php?title=Client-SSL&diff=85Client-SSL2022-04-05T09:30:58Z<p>Eric: Created page with " <VirtualHost *:443> ServerAdmin webmaster@localhost ServerAlias ssl.frotmail.nl ServerName ssl.frotmail.nl DocumentRoot /srv/www/ssl <Directory /> Options FollowSymLinks AllowOverride None </Directory> ErrorLog /var/log/apache2/error.log CustomLog /var/log/apache2/ssl_access.log combined SSLEngine on SSLCertificateFile /etc/ssl/wildcard.frotmail.pem SS..."</p>
<hr />
<div> <VirtualHost *:443><br />
ServerAdmin webmaster@localhost<br />
ServerAlias ssl.frotmail.nl<br />
ServerName ssl.frotmail.nl<br />
DocumentRoot /srv/www/ssl<br />
<Directory /><br />
Options FollowSymLinks<br />
AllowOverride None<br />
</Directory><br />
ErrorLog /var/log/apache2/error.log<br />
CustomLog /var/log/apache2/ssl_access.log combined<br />
SSLEngine on<br />
SSLCertificateFile /etc/ssl/wildcard.frotmail.pem<br />
SSLCertificateKeyFile /etc/ssl/server.key<br />
SSLCertificateChainFile /etc/ssl/root.pem<br />
SSLCARevocationCheck chain<br />
SSLVerifyClient optional<br />
SSLVerifyDepth 2<br />
SSLOptions +StdEnvVars<br />
SSLCACertificateFile /srv/www/ssl/http/Frotmail.nl-ClientSSL.cer<br />
SSLCADNRequestFile /srv/www/ssl/http/Frotmail.nl-ClientSSL.cer<br />
SSLCARevocationFile /srv/www/ssl/http/Frotmail.nl-ClientSSL.crl<br />
BrowserMatch "MSIE [2-6]" \<br />
nokeepalive ssl-unclean-shutdown \<br />
downgrade-1.0 force-response-1.0<br />
BrowserMatch "MSIE [17-9]" ssl-unclean-shutdown<br />
</VirtualHost></div>Erichttps://wiki.frotmail.nl/index.php?title=Certificate_Templates&diff=84Certificate Templates2022-04-05T09:29:58Z<p>Eric: Created page with "Bijzonderheden met betrekking tot Microsoft Certificate Services Wanneer, bij een aanvraag, de juiste certificaat templates niet zichtbaar zijn kunnen er verschillende zaken spelen: =Template niet ingeschakeld= Door te kijken welke certificaat templates zijn ingeschakeld kan het probleem mogelijk al gevonden zijn: C:\Users\Administrator>certutil -catemplates RASAndIASServer: RAS and IAS Server -- Auto-Enroll: Access is denied. DirectoryEmailReplication: Directory Ema..."</p>
<hr />
<div>Bijzonderheden met betrekking tot Microsoft Certificate Services<br />
<br />
Wanneer, bij een aanvraag, de juiste certificaat templates niet zichtbaar zijn kunnen er verschillende zaken spelen:<br />
=Template niet ingeschakeld=<br />
Door te kijken welke certificaat templates zijn ingeschakeld kan het probleem mogelijk al gevonden zijn:<br />
C:\Users\Administrator>certutil -catemplates<br />
RASAndIASServer: RAS and IAS Server -- Auto-Enroll: Access is denied.<br />
DirectoryEmailReplication: Directory Email Replication -- Auto-Enroll: Access is<br />
denied.<br />
DomainControllerAuthentication: Domain Controller Authentication -- Auto-Enroll:<br />
Access is denied.<br />
EFSRecovery: EFS Recovery Agent -- Auto-Enroll: Access is denied.<br />
EFS: Basic EFS -- Auto-Enroll: Access is denied.<br />
DomainController: Domain Controller -- Auto-Enroll: Access is denied.<br />
WebServer: Web Server -- Auto-Enroll: Access is denied.<br />
Machine: Computer -- Auto-Enroll: Access is denied.<br />
User: User -- Auto-Enroll: Access is denied.<br />
SubCA: Subordinate Certification Authority -- Auto-Enroll: Access is denied.<br />
Administrator: Administrator -- Auto-Enroll: Access is denied.<br />
CertUtil: -CATemplates command completed successfully. <br />
<br />
Als het template dat je verwacht niet niet actief is kan hier mogelijk een oorzaak liggen<br />
<br />
templates verwijderen doe je met de -<br />
<br />
C:\Users\Administrator>certutil -SetCATemplates -EFS<br />
EFS: Removing<br />
CertUtil: -SetCATemplates command completed successfully.<br />
<br />
en toevoegen met de + <br />
<br />
C:\Users\Administrator>certutil -SetCATemplates +EFS<br />
EFS: Adding<br />
CertUtil: -SetCATemplates command completed successfully.<br />
<br />
=Rechten=<br />
In het geval waar ik tegen dit probleem aan liep was er sprake van een domain trust tussen een root en child domain. Omdat het template alleen rechten had toegekend aan een bepaalde groep moesten deze rechten worden aangepast zodat ook de groep van het child domain rechten kreeg.<br />
<br />
=Template opties icm web enrollment=<br />
Indien je via web enrollment een bepaalde template niet ziet kan dit worden opgelost door te kijken naar het tabje '''subject-name''' en daar 'Build from this Active Directory information' om te zetten naar 'Supply in the request'<br />
<br />
=Aanvraag via IIS=<br />
http://sr-4015.vitens.lan/certsrv/<br />
<br />
Daar kan je dan ook je certificaat ophalen nadat hij is geissued<br />
<br />
=Aanvraag via MMC=<br />
<br />
Unless you have enabled the certificate template to<br />
enable autoenrollment, the user is not notified of<br />
issuance in the Certificates MMC console.<br />
<br />
It is recommended to request pended certificates via the<br />
Web enrollment Web pages, as they implement a cookie so<br />
that the client can track the status of the pending<br />
certificate request.<br />
<br />
You still can complete the request at the client<br />
computer, if you look up the request ID at the CA.<br />
Once the request ID is known, the user must type the<br />
following commands (assuming you are running Windows XP<br />
at the client)<br />
<br />
certreq -retrieve <requestID> <certfile.cer><br />
<br />
This retrieve the issued certificate for requestID into<br />
the file certfile.cer<br />
<br />
Then the user must type:<br />
certreq -accept <certfile.cer><br />
<br />
This place the certificate into the current user's store<br />
and associates the certificate with the key pair<br />
generated when the request was submitted to the CA.<br />
[[Category:Documentatie]]</div>Erichttps://wiki.frotmail.nl/index.php?title=CNC&diff=83CNC2022-04-05T09:29:30Z<p>Eric: Created page with "=Apparaat= De CNC machine is van het type 3018 wat zoveel betekend als: * X As is 30cm lang * Y As is 18cm lang De hoogte is ook beperkt, om over het object heen te kunnen mag het niet hoger zijn dan ~30-35mm =Inschakelen= Aan de CNC machine zitten 2 stekkers: * De 12v/24v adapter van de machine zelf * De USB voeding voor de Raspberry PI Steek eerst de voeding van de Raspberry PI in het stopcontact gevolgd door de voeding van de CNC machine zelf. Wanneer de Raspberr..."</p>
<hr />
<div>=Apparaat=<br />
De CNC machine is van het type 3018 wat zoveel betekend als:<br />
* X As is 30cm lang<br />
* Y As is 18cm lang<br />
<br />
De hoogte is ook beperkt, om over het object heen te kunnen mag het niet hoger zijn dan ~30-35mm<br />
<br />
=Inschakelen=<br />
Aan de CNC machine zitten 2 stekkers: <br />
* De 12v/24v adapter van de machine zelf<br />
* De USB voeding voor de Raspberry PI<br />
<br />
Steek eerst de voeding van de Raspberry PI in het stopcontact gevolgd door de voeding van de CNC machine zelf.<br />
<br />
Wanneer de Raspberry PI is opgestart is de CNC webinterface bereikbaar op:<br />
* [http://10.4.10.153:8000 http://10.4.10.153:8000]<br />
<br />
=Graveren van letters=<br />
Voor het veilig graveren van letters met een 1.5mm bit zijn de volgende snelheden een goede basis:<br />
* feeds: 200mm/min<br />
* plunge speed: 200mm/min<br />
* RPM: 9000 of meer (max speed)<br />
* Diepte per pass: 0.7mm<br />
<br />
=Ontwerpen=<br />
Voor eenvoudige ontwerpen kan je Easel gebruiken van "Inventables". Dit is een online product waarvan de basis gratis is te gebruiken.<br />
Een account is nodig en hier kan je de GCODE exporteren om op de CNC uit te voeren.<br />
<br />
Een alternatief is om FreeCAD te gebruiken. Dit is een gratis en opensource pakket welke voor zowel Windows als Linux verkrijgbaar is. Het gebruik van deze software is een stuk complexer maar dit biedt dan ook meer mogelijkheden.<br />
<br />
De drempel om FreeCAD te gebruiken is vrij hoog dus voor eenvoudige klussen is Easel de betere optie.<br />
<br />
=Bevestigen van de 'stock'=<br />
In het Engels wordt het materiaal waaruit je het project gaat frezen vaak de 'stock' genoemd.<br />
<br />
Omdat de frees aardig wat krachten kan uitoefenen op de 'stock' is het belangrijk dat deze goed is bevestigd aan het 'bed'.<br />
Je wil tenslotte niet dat halverwege het project, je object verschuift of zelfs helemaal los komt.<br />
<br />
Bij de frees zitten een 4-tal klemmen waarmee bijna alles wel vast te zetten is. Er zijn alternatieven maar deze zijn nog niet voorhanden.<br />
<br />
=Nul punt bepalen=<br />
Normaal zoek je de 0,0,0 (x,y,z) coordinaten op en stel je de machine hier op 0 in.<br />
Belangrijk is het volgende:<br />
* Easel: Z = 0 is bovenkant van je object<br />
* FreeCAD: Z = 0 is onderkant van het object (!!!!!)<br />
<br />
Let er dus op dat je frees niet vol in je object duikt omdat hij denkt dat 0 aan de 'verkeerde' kant is!!!<br />
<br />
Het apparaat is '''NIET''' in staat zelf te bepalen waar de frees is. Dit dien je handmatig in te stellen. Het is dus ook van groot belang dat je controleerd dat de frees zich nooit buiten het werkbereik kan verplaatsen!!!<br />
<br />
Zorg ook dat het 0,0,0 punt vrij is van obstakels, zo voorkom je dat de frees na zijn project vol in de klem duikt en het bitje afbreekt.<br />
<br />
Als je het 0 punt hebt gevonden kan je met de pijltjes rustig deze positie instellen daar alle assen op 0 klikken.</div>Erichttps://wiki.frotmail.nl/index.php?title=Avocent_CPS1610_Serial_Console_Server&diff=82Avocent CPS1610 Serial Console Server2022-04-05T09:28:31Z<p>Eric: </p>
<hr />
<div>=Toegang=<br />
Poort 30xx waarbij xx het poortnummer is, is de telnet ingang van iedere poort, SSH zit op 31xx<br />
<br />
=Bekabeling=<br />
De volgende kabel kan gebruikt worden om Cisco apparatuur op de console aan te sluiten.<br />
<br />
Let op: De kabel is niet symetrisch dus kan maar op 1 manier worden gebruikt.<br />
<br />
Cisco HP<br />
1<br />
2 DTR -> DSR 2<br />
3 TxD -> RxD 4<br />
4<br />
5 GND -> GND 6<br />
6 RxD -> TxD 5<br />
7 DSR -> DTR 7<br />
8<br />
<br />
=Configuratie=<br />
Een Cisco device geeft standaard een enter teveel waardoor steeds een lege prompt verschijnt:<br />
<br />
User Access Verification<br />
<br />
Username: admin<br />
Password:<br />
<br />
cisco><br />
cisco>en<br />
Password:<br />
cisco#<br />
cisco#sh ip int brief<br />
Interface IP-Address OK? Method Status Protocol<br />
FastEthernet0/0 unassigned YES NVRAM up up <br />
FastEthernet0/1 unassigned YES NVRAM up up <br />
cisco#<br />
cisco#<br />
<br />
Door de poort uitgaande CRLF's te laten omzetten naar CR ben je hier vanaf:<br />
> port all set OUT CRLF=CR<br />
HPSCS Database is being updated, please wait... Done.<br />
<br />
Nu krijgen we:<br />
User Access Verification<br />
<br />
Username: admin<br />
Password:<br />
<br />
cisco>en<br />
Password:<br />
cisco#sh ip int brief<br />
Interface IP-Address OK? Method Status Protocol<br />
FastEthernet0/0 unassigned YES NVRAM up up <br />
FastEthernet0/1 unassigned YES NVRAM up up <br />
cisco#<br />
<br />
<br />
=Info=<br />
[http://www.42u.com/pdf/avocent-cps-install-user-guide.pdf Handleiding]<br />
=Cisco compatible CR/LF=<br />
Instellingen voor de poorten:<br />
port all set out lf=strip<br />
port all set in cr=cr (default)<br />
port all set in lf=lf (default)<br />
port all set out cr=cr (default)<br />
<br />
Cisco kabel<br />
<br />
Cisco CPS<br />
NC NC<br />
2 --------- 2 2->2<br />
3 ---\ NC <br />
NC \---- 4 3->4<br />
5 ----\/--- 5 5->6<br />
6 ----/\--- 6 6->5<br />
7 --------- 7 7->7<br />
NC NC</div>Erichttps://wiki.frotmail.nl/index.php?title=Avocent_CPS1610_Serial_Console_Server&diff=81Avocent CPS1610 Serial Console Server2022-04-05T09:28:00Z<p>Eric: Created page with "=Toegang= Poort 30xx waarbij xx het poortnummer is, is de telnet ingang van iedere poort, SSH zit op 31xx =Bekabeling= De volgende kabel kan gebruikt worden om Cisco apparatuur op de console aan te sluiten. Let op: De kabel is niet symetrisch dus kan maar op 1 manier worden gebruikt. Cisco HP 1 2 DTR -> DSR 2 3 TxD -> RxD 4 4 5 GND -> GND 6 6 RxD -> TxD 5 7 DSR -> DTR 7 8 =Configuratie= Een Cisco device geeft standa..."</p>
<hr />
<div>=Toegang=<br />
Poort 30xx waarbij xx het poortnummer is, is de telnet ingang van iedere poort, SSH zit op 31xx<br />
<br />
=Bekabeling=<br />
De volgende kabel kan gebruikt worden om Cisco apparatuur op de console aan te sluiten.<br />
<br />
Let op: De kabel is niet symetrisch dus kan maar op 1 manier worden gebruikt.<br />
<br />
Cisco HP<br />
1<br />
2 DTR -> DSR 2<br />
3 TxD -> RxD 4<br />
4<br />
5 GND -> GND 6<br />
6 RxD -> TxD 5<br />
7 DSR -> DTR 7<br />
8<br />
<br />
=Configuratie=<br />
Een Cisco device geeft standaard een enter teveel waardoor steeds een lege prompt verschijnt:<br />
<br />
User Access Verification<br />
<br />
Username: admin<br />
Password:<br />
<br />
cisco><br />
cisco>en<br />
Password:<br />
cisco#<br />
cisco#sh ip int brief<br />
Interface IP-Address OK? Method Status Protocol<br />
FastEthernet0/0 unassigned YES NVRAM up up <br />
FastEthernet0/1 unassigned YES NVRAM up up <br />
cisco#<br />
cisco#<br />
<br />
Door de poort uitgaande CRLF's te laten omzetten naar CR ben je hier vanaf:<br />
> port all set OUT CRLF=CR<br />
HPSCS Database is being updated, please wait... Done.<br />
<br />
Nu krijgen we:<br />
User Access Verification<br />
<br />
Username: admin<br />
Password:<br />
<br />
cisco>en<br />
Password:<br />
cisco#sh ip int brief<br />
Interface IP-Address OK? Method Status Protocol<br />
FastEthernet0/0 unassigned YES NVRAM up up <br />
FastEthernet0/1 unassigned YES NVRAM up up <br />
cisco#</div>Erichttps://wiki.frotmail.nl/index.php?title=802.1x&diff=80802.1x2022-04-05T09:27:34Z<p>Eric: Created page with "=Cisco CAT Switches= When configured as a fallback mechanisms, MAB is deployed after IEEE 802.1X times out. If the endpoint's Pre-eXecution Environment (PXE) process times out, or if Dynamic Host Configuration Protocol (DHCP) gets deep into the exponential backoff process before the timeout occurs, the endpoint may not be able to communicate even though the port has been opened. To the end user, it will appear as if network access has been denied. There are three potent..."</p>
<hr />
<div>=Cisco CAT Switches=<br />
<br />
When configured as a fallback mechanisms, MAB is deployed after IEEE 802.1X times out. If the endpoint's Pre-eXecution Environment (PXE) process times out, or if Dynamic Host Configuration Protocol (DHCP) gets deep into the exponential backoff process before the timeout occurs, the endpoint may not be able to communicate even though the port has been opened. To the end user, it will appear as if network access has been denied. There are three potential solutions to this problem:<br />
* Decrease the IEEE 802.1X timeout value. See Section 2.4.1.1.1 for more information about relevant timers.<br />
<br />
* Use a low-impact deployment scenario that allows time-critical traffic such as DHCP prior to authentication. See Section 4 for additional reading about deployment scenarios.<br />
<br />
* If your network has many non-IEEE 802.1X-capable endpoints that need instantaneous access to the network, you can use the Flexible Authentication feature set that allows you to configure the order and priority of authentication methods. Instead of waiting for IEEE 802.1X to time out before performing MAB, you can configure the switch to perform MAB first and fallback to IEEE 802.1X only if MAB fails. See Section 4 for additional reading about Flexible Authentication.<br />
<br />
== MAB Prio / order ==<br />
[[https://www.cisco.com/c/en/us/products/collateral/ios-nx-os-software/identity-based-networking-services/config_guide_c17-663759.html]]<br />
<br />
By default gaat de switch eerst naar dot1x kijken en pas na deze timeout (30 sec x3) komt MAB aan bod. Het is mogelijk om deze volgorde aan te passen.<br />
<br />
If no fallback authentication or authorization methods are configured, the switch will stop the authentication process and the port will remain unauthorized. You can configure the switch to restart authentication after a failed MAB attempt by configuring authentication timer restart on the interface. Enabling this timer means that unknown MAC addresses will periodically fail authentication until the endpoint disconnects from the switch or the address gets added to a MAC database. To prevent the unnecessary control-plane traffic associated with restarting failed MAB sessions, Cisco generally recommends leaving authentication timer restart disabled.<br />
<br />
Inactivity timer zorgt ervoor dat sessies worden opgeruimd wanneer een link-down scenario niet waarschijnlijk is (VoIP toestel of hub enz). Deze timer kan je static instellen op de switchport of middels radius attribute 28 vanuit ISE opgeven.<br />
<br />
Een andere relevante timer is de reauthentication timer. Maar deze doet niets in het geval van MAB:<br />
<br />
The reauthentication timer for MAB is the same as for IEEE 802.1X. The timer can be statically configured on the switch port, or it can be dynamically assigned by sending the Session-Timeout attribute (Attribute 27) and the RADIUS Termination-Action attribute (Attribute 29) with a value of RADIUS-Request in the Access-Accept message from the RADIUS server. For IEEE 802.1X endpoints, the reauthentication timer is sometimes used as a keepalive mechanism. This feature does not work for MAB. Upon MAB reauthentication, the switch does not relearn the MAC address of the connected endpoint or verify that the endpoint is still active; it simply sends the previously learned MAC address to the RADIUS server. Essentially, a null operation is performed.<br />
<br />
Tenslotte is er ook nog een absolute session timer: <br />
The absolute session timer can be used to terminate a MAB session, regardless of whether the authenticated endpoint remains connected. The session timer uses the same RADIUS Session-Timeout attribute (Attribute 27) as the server-based reauthentication timer described earlier with the RADIUS Termination-Action attribute (Attribute 29) set to Default. The switch will terminate the session after the number of seconds specified by the Session-Timeout Attribute and immediately restart authentication. If IEEE 802.1X is configured, the switch will start over with IEEE 802.1X, and network connectivity will be disrupted until IEEE 802.1X times out and MAB succeeds. This process can result in significant network outage for MAB endpoints. As an alternative to absolute session timeout, consider configuring an inactivity timeout as described in Section 2.2.6.3.<br />
<br />
<br />
[[https://www.cisco.com/c/en/us/products/collateral/ios-nx-os-software/identity-based-networking-service/application_note_c27-573287.html]]<br />
===MAB before 802.1x===<br />
authentication order mab dot1x<br />
authentication prio mab dot1x<br />
Make sure that all devices that perform IEEE 802.1X authentication are not in your MAC address database and that your policy never returns an access-accept event for unknown MAC addresses. IEEE 802.1X devices must fail MAB if they are to perform IEEE 802.1X authentication. As a consequence, many MAB failure records will be generated in the course of normal operation.<br />
* Use next-method for IEEE 802.1X failure handing only if local WebAuth is configured.<br />
* If the next method is not local WebAuth, the only option for granting access after IEEE 802.1X authentication failure is the auth-fail VLAN.<br />
<br />
===MAB before 802.1x with dot1x as prio===<br />
authentication order mab dot1x<br />
authentication prio dot1x mab<br />
In summary, three points to remember if MAB precedes IEEE 802.1X authentication in order but IEEE 802.1X authentication has priority:<br />
* IEEE 802.1X-capable endpoints can be in the MAC address database.<br />
<br />
* Using next-method for IEEE 802.1X authentication failure handling without local WebAuth can lead to unpredictable behavior and intermittent network access (as described earlier, with MAB cycling to IEEE 802.1X authentication failure).<br />
<br />
* For deterministic behavior upon IEEE 802.1X authentication failure after successful MAB, use the auth-fail VLAN or local WebAuth.<br />
<br />
'''Conclusion'''<br />
<br />
Changing the default order of authentication affects the behavior of the system in multiple ways. Before making this change, be sure to address the concerns described in Table 3.<br />
<br />
Table 3. Points to Consider<br />
<br />
Effect |Resolution<br />
| <br />
All devices will be subject to MAB |Plan for increased control-plane traffic.<br />
Authentication priority affects MAB |If MAB has priority, IEEE 802.1X-capable devices<br />
|must fail MAB.<br />
|If IEEE 802.1X authentication has priority, IEEE<br />
|802.1X-capable devices may pass or fail MAB.<br />
MAB cannot be used as a next method for |Use next-method with WebAuth or the auth-fail<br />
IEEE 802.1X authentication failures |VLAN</div>Erichttps://wiki.frotmail.nl/index.php?title=3D_Printer&diff=793D Printer2022-04-05T09:27:08Z<p>Eric: Created page with "=Keuzes= ==Model== Voorlopig is gekozen voor de [http://reprap.org/wiki/Prusa_i3 Prusa i3] gezien deze redelijke resultaten weet te behalen met relatief lage kosten. =Onderdelen= ==Electronica== '''Optie 1''' {| | '''Onderdeel''' || '''Product''' || '''Prijs''' || '''Bijzonderheden''' |- | Motoren || [http://reprapworld.com/?products_details&products_id=95&cPath=1614 NEMA17] || 57.50 || 1x X 1x Y 2x Z 1x Extruder |- | Controller || [http://reprapworld.com/?products..."</p>
<hr />
<div>=Keuzes=<br />
==Model==<br />
Voorlopig is gekozen voor de [http://reprap.org/wiki/Prusa_i3 Prusa i3] gezien deze redelijke resultaten weet te behalen met relatief lage kosten.<br />
<br />
=Onderdelen=<br />
==Electronica==<br />
'''Optie 1'''<br />
{|<br />
| '''Onderdeel''' || '''Product''' || '''Prijs''' || '''Bijzonderheden'''<br />
|-<br />
| Motoren || [http://reprapworld.com/?products_details&products_id=95&cPath=1614 NEMA17] || 57.50 || 1x X 1x Y 2x Z 1x Extruder<br />
|-<br />
| Controller || [http://reprapworld.com/?products_details&products_id=53&cPath=1591_1609 RAMPS v1.4] || 104.99 || incl 4 drivers en de 2560<br />
|-<br />
| Heated bed || [http://reprapworld.com/?products_details&products_id=358&cPath=1645 Heated bed set] || 30.99 || Inclusief glasplaat<br />
|-<br />
| End stops || [http://reprapworld.com/?products_details&products_id=58&cPath=1591_1612 End stop] || 17.61 || 3x XYZ<br />
|-<br />
| LCD Display + SDRamps || [http://reprapworld.com/?searchresults&cPath=1591_1626 SDRamps] || 33.78 || n.v.t.<br />
|}<br />
'''Optie 2'''<br />
{|<br />
| '''Onderdeel''' || '''Product''' || '''Prijs''' || '''Bijzonderheden'''<br />
|-<br />
| Motoren || [http://reprapworld.com/?products_details&products_id=95&cPath=1614 NEMA17] || 57.50 || 1x X 1x Y 2x Z 1x Extruder<br />
|-<br />
| Kit || [http://dx.com/p/elecfreaks-mega2560-ramps-shield-stepstick-sdramp-diy-3d-printer-ramps-kit-white-red-black-208622 DX Kit] || 143.95 || Import enzo?<br />
|}<br />
==Frame==<br />
{|<br />
| '''Onderdeel''' || '''Product''' || '''Prijs''' || '''Bijzonderheden'''<br />
|-<br />
| Plastics || [http://reprapworld.com/?products_details&products_id=345&cPath=1608 ABS i3] || 49.99 || n.v.t.<br />
|-<br />
| Bearings & Nuts || [http://reprapworld.com/?products_details&products_id=246&cPath=1595_1597 Prusa hw kit] || 24.99 || n.v.t.<br />
|-<br />
| Studs & Bars || [http://reprapworld.com/?products_details&products_id=245&cPath=1595_1638 Studs & Bars] || 39.99 || n.v.t.<br />
|}<br />
==Hotend==<br />
==Extruder==</div>Erichttps://wiki.frotmail.nl/index.php?title=Main_Page&diff=78Main Page2022-04-05T09:26:39Z<p>Eric: /* Linux */</p>
<hr />
<div>Een aantal pagina's waren door spambots vernaggeld dus heb ik hier en daar wat op protected moeten zetten...<br />
Mocht je een pagina aan willen passen welke protected is dan kan je mij mailen op wikiadmin apenootje frotmail.nl<br />
<br />
----<br />
=Projecten=<br />
[[Projecten]]<br />
<br />
=Crypto=<br />
- [[PKI RSA & SSL]]<br />
<br />
=Networking=<br />
* [[Two-factor auth met Google Authenticator]]<br />
<br />
==Problems==<br />
* [[Problem:HSRP met Spanning-Tree]]<br />
* [[Problem:Connectivity loss met HSRP]]<br />
* [[Problem:Verkeerde next-hop in OSPF]]<br />
<br />
==IPv6==<br />
- [[PowerDNS IPv6]]<br />
<br />
==Cisco==<br />
* [[:Category:Cisco]]<br />
* [[ATX to RPS]]<br />
<br />
==Linux==<br />
- [[:Category:Docker]]<br />
<br />
- [[linux firewall voor IIS2k3 Passive FTP achter nat]]<br />
<br />
- [[Mail Related]]<br />
<br />
- [[SSH]]<br />
<br />
- [[Reboot na kernel panic]]<br />
<br />
- [[Apache met ssl]]<br />
<br />
- [[MySQL Backup]]<br />
<br />
- [[Iproute 2]]<br />
<br />
- [[Links]]<br />
<br />
== RPI ==<br />
<br />
- [[SPI]]<br />
<br />
=Windows=<br />
<br />
- [[Passive FTP in IIS]]<br />
<br />
=Hardware=<br />
- [[Electronica]]</div>Erichttps://wiki.frotmail.nl/index.php?title=MySQL_Backup&diff=77MySQL Backup2022-04-05T09:26:31Z<p>Eric: Created page with " #!/bin/bash USERNAME="root" PW="pass" BACKUPDIR=/crew/data/backup DBDIR=/crew/data/backup/DB MYSQLDIR=/var/lib/mysql rm $DBDIR/*.sql `mv $BACKUPDIR/sql.tar.gz $BACKUPDIR/sql.tar.gz.1` `mv $BACKUPDIR/sql.md5 $BACKUPDIR/sql.md5.1` for DB in $MYSQLDIR/*; do DB=`basename $DB` mysqldump -c -e -a -B $DB -u $USERNAME -p$PW > $DBDIR/$DB.sql echo "$DB is dumped..." done tar -zvcf $BACKUPDIR/sql.tar.gz $DBDIR 1> /dev/null rm $DBDIR/*.sql `/usr/bin/md5sum $BACKUPDI..."</p>
<hr />
<div> #!/bin/bash<br />
USERNAME="root"<br />
PW="pass"<br />
BACKUPDIR=/crew/data/backup<br />
DBDIR=/crew/data/backup/DB<br />
MYSQLDIR=/var/lib/mysql<br />
rm $DBDIR/*.sql<br />
`mv $BACKUPDIR/sql.tar.gz $BACKUPDIR/sql.tar.gz.1`<br />
`mv $BACKUPDIR/sql.md5 $BACKUPDIR/sql.md5.1`<br />
for DB in $MYSQLDIR/*; do<br />
DB=`basename $DB`<br />
mysqldump -c -e -a -B $DB -u $USERNAME -p$PW > $DBDIR/$DB.sql<br />
echo "$DB is dumped..."<br />
done<br />
tar -zvcf $BACKUPDIR/sql.tar.gz $DBDIR 1> /dev/null<br />
rm $DBDIR/*.sql<br />
`/usr/bin/md5sum $BACKUPDIR/sql.tar.gz > $BACKUPDIR/sql.md5`</div>Erichttps://wiki.frotmail.nl/index.php?title=Reboot_na_kernel_panic&diff=76Reboot na kernel panic2022-04-05T09:26:16Z<p>Eric: Created page with "Het is een kleine moeite om in te stellen maar kan soms uren downtime voorkomen. Om de pc in kwestie automatisch te laten rebooten na een kernel panic moet je deze waarde instellen in /proc/sys/kernel/panic. Om de huidige waarde te bekijken typ je: cat /proc/sys/kernel/panic (0 betekend niet rebooten) Om deze waarde te veranderen typ je: echo 10 > /proc/sys/kernel/panic waar 10 het aantal seconden is dat de machine wacht voor hij gaat rebooten Omdat je dit commando na..."</p>
<hr />
<div>Het is een kleine moeite om in te stellen maar kan soms uren downtime voorkomen.<br />
Om de pc in kwestie automatisch te laten rebooten na een kernel panic moet je deze waarde instellen in /proc/sys/kernel/panic.<br />
Om de huidige waarde te bekijken typ je:<br />
cat /proc/sys/kernel/panic<br />
(0 betekend niet rebooten)<br />
Om deze waarde te veranderen typ je:<br />
echo 10 > /proc/sys/kernel/panic<br />
waar 10 het aantal seconden is dat de machine wacht voor hij gaat rebooten<br />
<br />
Omdat je dit commando na iedere reboot opnieuw moet uitvoeren kan je dit in een opstartscript zetten, of beter nog in lilo (anders zou een machine niet rebooten als hij panic doet tijdens een boot (Dan is immers die waarde nog niet ingesteld)<br />
<br />
Via lilo kan het door<br />
append = "panic=10" <br />
toe te voegen aan lilo.conf<br />
Voorbeeld:<br />
image = /boot/vmlinuz<br />
root = /dev/hda1<br />
label = Linux<br />
append = "panic=10"<br />
read-only<br />
Vergeet hierna lilo niet even opnieuw te runnen:<br />
root@test:~# lilo<br />
Added Linux *</div>Erichttps://wiki.frotmail.nl/index.php?title=Putty&diff=75Putty2022-04-05T09:26:01Z<p>Eric: Created page with "=Putty: inloggen= Nodig: - puttygen - pageant - putty In dit artikel gaan we proberen met putty op een veilige manier in te loggen op een linux machine, zonder gebruik te maken van een wachtwoord bij het inloggen op de SSH server. Dit inloggen zal plaatsvinden met behulp van public en private keys. Het idee achter deze login methode is dat de server een public key heeft en u zelf de bijbehorende private key. Op deze manier controleerd de server of hij u kan herken..."</p>
<hr />
<div>=Putty: inloggen=<br />
<br />
Nodig:<br />
<br />
- puttygen<br />
- pageant<br />
- putty<br />
<br />
In dit artikel gaan we proberen met putty op een veilige manier in te loggen op een linux machine, zonder gebruik te maken van een wachtwoord bij het inloggen op de SSH server.<br />
<br />
Dit inloggen zal plaatsvinden met behulp van public en private keys. Het idee achter deze login methode is dat de server een public key heeft en u zelf de bijbehorende private key. Op deze manier controleerd de server of hij u kan herkennen aan de hand van de public key die op de server bekend is.<br />
<br />
1. Start puttygen en selecteer onderaan het type "SSH2 RSA"<br />
<br />
2. klik op "Generate". Beweeg de muis over het vlak zoals wordt aangegeven om random data te genereren<br />
<br />
3. Pas eventueel de "Key comment" aan, vul een "Key passphrase" in en bevestig deze bij "Confirm passphrase"<br />
<br />
4. Sla de private key op als een file met de extentie .pkk<br />
<br />
5. copy/paste de data in het "public key" veld naar de linux machine waar je zonder wachtwoord wilt inloggen, zet deze data in .ssh/authorized_keys2 van de user waar je mee wilt inloggen.<br />
<br />
vb: /home/eric/.ssh/authorized_keys2<br />
ssh-rsa AAAB3NzaC1yc2EAAAABJQAAAIEAhZC4fOYPQNIedYA6hDyHA+61BqZnphKuSj6NORMhQR24s4g/eq0o5oxUmmJChYy/rdc4k2qWtaTsWO+hkPCxB1oxa3k8ZyaB6IohP2RSECxX6keJ46Wzc8ZA+5/ahsZ/n3v/UOssSr8dTnGbu9r5N9Nrbnxzy4Hz7RZcvafwgYE= rsa-key-20050705<br />
<br />
LET OP: dit moet op 1 regel staan van de file, iedere key moet op 1 regel passen, er mogen wel meerdere keys in 1 file<br />
<br />
6. Start pageant en laad de private key (je wordt gevragen om een wachtwoord, dit is de passphrase van zonet, deze moet je iedere keer ingeven bij het opstarten van pageant maar hierna kan je met putty zonder pass inloggen.<br />
<br />
voor een volledige engelse howto klik [http://www.tartarus.org/~simon/puttydoc/Chapter8.html#pubkey hier]<br />
<br />
=Linux SSH Client=<br />
Voer uit:<br />
ssh-keygen -t rsa<br />
<br />
Kopier de regel uit de .pub file naar de remote host in /home/username/.ssh/authorized_keys2<br />
<br />
Merk op: id_rsa en id_dsa worden automatisch herkend, als je de private key in een andere file opslaat zal je deze met -i optie mee moeten geven<br />
<br />
Merk op: Een account MOET voorzien zijn van een wachtwoord omdat deze anders gezien wordt als een disabled user</div>Erichttps://wiki.frotmail.nl/index.php?title=VPN_over_SSH&diff=74VPN over SSH2022-04-05T09:25:46Z<p>Eric: Created page with "=Software nodig= - pppd, gebruikt in deze opstelling was ppp-2.4.4b1-i486-1 - OpenSSH - pty-redir (http://www.study-area.org/linux/src/pty-redir-0.1.tgz) =Netwerk info= == Subnet A == IP Range: 192.168.1.0/24 Router IP: 192.168.1.1 == Subnet B == IP Range: 192.168.3.0/24 Router IP: 192.168.3.1 == VPN Link == IP Range: 192.168.2.0/24 Side A: 192.168.2.1 Side B: 192.168.2.2 de pppd link heb ik voor het gemak even in een andere range gezet om verwarri..."</p>
<hr />
<div>=Software nodig=<br />
- pppd, gebruikt in deze opstelling was ppp-2.4.4b1-i486-1<br />
<br />
- OpenSSH<br />
<br />
- pty-redir (http://www.study-area.org/linux/src/pty-redir-0.1.tgz)<br />
<br />
=Netwerk info=<br />
<br />
== Subnet A ==<br />
IP Range: 192.168.1.0/24<br />
Router IP: 192.168.1.1<br />
<br />
== Subnet B ==<br />
IP Range: 192.168.3.0/24<br />
Router IP: 192.168.3.1<br />
<br />
== VPN Link ==<br />
IP Range: 192.168.2.0/24<br />
Side A: 192.168.2.1<br />
Side B: 192.168.2.2<br />
<br />
de pppd link heb ik voor het gemak even in een andere range gezet om verwarring te voorkomen:<br />
<br />
Router A:<br />
- eth0 = inet ip<br />
- eth1 = 192.168.1.1<br />
- ppp0 = 192.168.2.1<br />
<br />
Router B:<br />
- eth0 = inet ip<br />
- eth1 = 192.168.3.1<br />
- ppp0 = 192.168.2.2<br />
<br />
= Script =<br />
Wanneer je pty-redir hebt gecompiled (make) kan je het volgende script gebruiken om de tunnel op te bouwen, dit gebeurt vanaf router A:<br />
#!/bin/sh<br />
PATH=/bin:/usr/bin:/sbin:/usr/sbin<br />
<br />
## Op welk internet IP is router B te bereiken<br />
SERVER="192.0.34.166"<br />
<br />
## Welk IP krijgt de lokale kant van de tunnel<br />
PPPCLIENT="192.168.2.1"<br />
<br />
## En welk IP krijgt de server kant<br />
PPPSERVER="192.168.2.2"<br />
<br />
## Welk netwerk hebben we lokaal<br />
LOCALNET="192.168.1.0"<br />
<br />
## En met welk netwerk willen we deze koppelen?<br />
REMOTENET="192.168.3.0"<br />
<br />
## Start pppd op remote host<br />
pty-redir /usr/bin/ssh -t -i /root/.ssh/specialkey $SERVER \<br />
/usr/sbin/pppd nomppc nomppe debug noauth lock asyncmap 0 > /tmp/vpn-tunnel<br />
## Wacht even tot de connectie tot stand is gebracht<br />
sleep 5<br />
<br />
## Start lokaal een pppd en koppel die aan de pty van de remote pppd<br />
/usr/sbin/pppd `cat /tmp/vpn-tunnel` debug noauth lock asyncmap 0 \<br />
$PPPCLIENT:$PPPSERVER<br />
<br />
## Wederom even wachten tot de handshake klaar is<br />
sleep 15<br />
<br />
## Lokaal de route instellen<br />
route add -net $REMOTENET netmask 255.255.255.0 gw $PPPSERVER<br />
<br />
## Remote de route instellen<br />
/usr/bin/ssh -t -i /root/.ssh/specialkey $SERVER \<br />
route add -net $LOCALNET netmask 255.255.255.0 gw $PPPCLIENT<br />
<br />
de specialkey is voor de public-key authorisatie zodat ik geen password hoef in te geven</div>Erichttps://wiki.frotmail.nl/index.php?title=SSH_Tunnels&diff=73SSH Tunnels2022-04-05T09:25:34Z<p>Eric: Created page with "=HOWTO: Sending Email from a Laptop= I own two laptops and one desktop computer, all of which run Linux. Most modern Linux distributions come with postfix and/or sendmail that allows them to send email. Unfortunately, in an attempt to reduce spam, many sysadmins have configured their mail servers not to accept email sent this way. On a desktop machine you can simply configure your mail client software to use your institute's or your Internet service provider's mail rel..."</p>
<hr />
<div>=HOWTO: Sending Email from a Laptop=<br />
<br />
I own two laptops and one desktop computer, all of which run Linux. Most modern Linux distributions come with postfix and/or sendmail that allows them to send email. Unfortunately, in an attempt to reduce spam, many sysadmins have configured their mail servers not to accept email sent this way.<br />
<br />
On a desktop machine you can simply configure your mail client software to use your institute's or your Internet service provider's mail relay. Life is not so easy with a laptop. You have to change the settings in your email client every time you change locations. If you carry your laptop to and from work this could mean changing your settings twice a day.<br />
<br />
This web page describes some solutions to this problem using ssh tunnels. In order to implement these solutions you need to be able to access your institute's (company or university) system via ssh and you need to have ssh client software installed on your laptop. The solutions I describe use openssh on Linux, but should be easily modified to use any version of ssh on any operating system, including Microsoft's operating systems using the very good putty ssh software.<br />
<br />
==A Simple ssh Tunnel==<br />
<br />
The simplest way to solve this problem is via an ssh tunnel. Suppose your institute's gateway is called gw.ms.com and your institute's SMTP server is called mail.ms.com (these could be the same machine). This solution involves a simple ssh tunnel from your laptop to your SMTP server.<br />
<br />
==SSH Tunnel==<br />
<br />
The following command (run as root) will open an ssh tunnel from your laptop to your mail server.<br />
<br />
ssh -N -L25:mail.ms.com:25 username@gw.ms.com<br />
<br />
After prompting you for your password, ssh will listen on port 25 of your laptop (the smtp port) and connect any incoming connection to port 25 of mail.ms.com. Now, if you configure your mail client (on your laptop) to use the SMTP server "localhost" you will be able to send mail through your institute's email server. To the receiver of the mail, it will appear as if the mail came from mail.ms.com.<br />
<br />
The drawback of this solution is that when your laptop becomes disconnected from the Internet for any reason the ssh tunnel will collapse and you will have to run the above command again to reopen the tunnel. Furthermore, ssh requires your password in order to open the tunnel, so you can't easily automate this process by putting it in a startup script or cron job.<br />
<br />
==Special Purpose Keys, ssh without a Password==<br />
<br />
It is possible to open an ssh tunnel without a password provided that you're willing to do a bit of configuring beforehand. For this, you will need a special-purpose private/public key pair generated with ssh-keygen.<br />
<br />
As root, on your laptop, run the command:<br />
<br />
ssh-keygen -t rsa -f ~/.ssh/specialkey<br />
<br />
and enter an empty passphrase when prompted. This will create the files ~/.ssh/specialkey (your private key) and ~/.ssh/specialkey.pub (your public key). Leave the first file where it is. From the second file you will make a new special authorized key on your institute's gateway.<br />
<br />
The second file (~/.ssh/specialkey.pub) contains some text of the form<br />
<br />
ssh-rsa AAAAB3NzaC1kc3MAAAC.........<br />
<br />
Copy this text and on the gateway (gw.ms.com) add a line to the file ~/.ssh/authorized_keys2 that looks like this<br />
<br />
command="echo Connected!",no-X11-forwarding,no-agent-forwarding,permitopen="mail.ms.com:25" ssh-rsa AAAAB3NzaC1k....<br />
<br />
(You may have to create the file ~/.ssh/authorized_keys2.) Now, if you've done everything right you should be able to open an ssh tunnel to your mail server by issuing the command<br />
<br />
ssh -N -L25:mail.ms.com:25 username@gw.ms.com<br />
<br />
without having to enter your password. Be aware, however, that if hacker gains access to your account on your laptop then they also gain access to your institute's SMTP server and could use this to impersonate you or send spam from this server. This could make your sysadmin very unhappy with you.<br />
<br />
Now you can keep your laptop's tunnel open by running a script like the following:<br />
<br />
#!/bin/bash<br />
<br />
while [[ 1 ]];<br />
ssh -N -L25:mail.ms.com:25 username@gw.ms.com<br />
sleep 5<br />
done<br />
<br />
This script will open an ssh tunnel and when that tunnel collapses for whatever reason it will open it again in 5 seconds. This should be sufficient for personal email. You may want to run this script from your laptop's startup files.<br />
<br />
==An ssh Tunnel Started by inetd or xinetd==<br />
<br />
Your ssh tunnel is essentially a service offered to email client software and occasionally this service needs to be restarted. Under Linux, the tool that handles these kinds of services is inetd, or xinetd. These are daemons that listen on a port and when a connection arrives at that port they start a server process to handle that connection. They do this by connecting the server process' stdin and stdout streams to the connection on the incoming port.<br />
<br />
From the above description it sounds like it should be easy to make xinetd work with ssh. Unfortunately, that's not the case. The ssh software can be used to tunnel between two ports on different machines or connect the stdin/stdout of processes on two machines but it can't connect stdin/stdout from a process on one machine to a port on another machine.<br />
<br />
The workaround for this is to connect the stdin/stdout of a process running on your laptop to the stdin/stdout of a process running on your institute's gateway and then forward that to the SMTP port of your SMTP server.<br />
<br />
To make a long story short, add the following to the xinetd configuration file on your laptop and restart the xinetd service.<br />
<br />
# description: This uses ssh to tunnel to the mail relay at <br />
service smtp<br />
{<br />
socket_type = stream<br />
protocol = tcp<br />
wait = no<br />
user = root<br />
disable = no<br />
server = /usr/bin/ssh<br />
server_args = -q -T -i /root/.ssh/specialkey username@gw.ms.com<br />
groups = yes<br />
bind = 127.0.0.1<br />
}<br />
<br />
and add this line to the file ~/.ssh/authorized_keys2 on your institute's gateway:<br />
<br />
command="nc mail.ms.com smtp",no-X11-forwarding,no-agent-forwarding,no-port-forwarding ssh-rsa AAAAB3NzaC1k.......<br />
<br />
When your laptop's mail client tries to send mail, xinetd will make an ssh connection to gw.ms.com and execute the command "nc mail.ms.com smtp" to connect to port 25 (the SMTP port) of mail.ms.com. This requires that the netcat (nc) program be installed on this machine, and be in the user's path. Alternatively, the programs socat or socket can be used instead of netcat. In these cases, you would replace the command above with<br />
<br />
command="socat TCP4:mail.ms.com:25"<br />
<br />
or<br />
<br />
command="socket mail.ms.com 25"<br />
<br />
respectively.<br />
<br />
That's it! If you have any questions or comments about this then send me email. In particular, if you know how to use ssh with xinetd without requiring the netcat, socat or socket software I would love to hear about it. It would be better to replace socket with telnet (which is standard in most operating sytems) but telnet's information messages seem to get in the way.<br />
Mac OS X and/or BSD<br />
<br />
Some Mac OS X and BSD instructions were contributed by Stefan Langerman.<br />
<br />
[[Category:SSH]]</div>Eric