PKI Overheid en Apache2

November 3rd, 2011

Bij een klant waar ik nu zit ben ik wat tegengekomen wat ik jullie niet wil onthouden.

Door het failissement van DigiNotar moeten veel bedrijven hun PKI overheid certificaten bij een andere leverancier afnemen. Omdat in de tussentijd de eisen aan de hash methoden zijn aangescherpt lopen veel bedrijven nu tegen het probleem aan dat hun software niet klaar is voor de nieuwe certificaten.

Het punt zit hem in het feit dat MD5 en SHA1 niet meer supported zijn. Men dient minimaal SHA256 te ondersteunen welke deel uitmaakt van TLS1.2. Windows XP, Windows 2003 maar ook bijvoorbeeld OpenSSL 0.9 (veel gebruikt in linux server distributies) beiden standaard geen support voor TLS1.2 waardoor het nieuwe certificaat niet te gebruiken is.

Read the rest of this entry »

Tags: , , , ,
Posted in Computers, Linux | No Comments »

Cisco Dog Food

June 8th, 2011

Hondenvoer? Nee: ‘World IPv6 day’ is aangebroken en een groot aantal sites hebben vandaag een quad-A record aangemaakt.
Indien je geen IPv6 hebt merk je hier niets van, heb je IPv6 juist geconfigureerd mag je hier ook weinig van merken. Echter heb je het half geconfigureerd kan je tegen time-outs aanlopen. Veel besturingssystemen zullen vandaag de dag, indien er een keuze is, kiezen voor IPv6. Pas als dit niet blijkt te lukken vallen ze terug op IPv4. Denkt je Windows 7 machine dus dat je IPv6 hebt maar kan je daarmee niet op internet komen, dan kan je best een poosje moeten wachten voor je vandaag kan google’en.

Onder andere Facebook en Cisco hebben creatief gebruik gemaakt van de mogelijkheid om de letters a t/m f te gebruiken in het IP adres :) laat even weten als je meer van deze geintjes tegenkomt!

Tags:
Posted in Computers | No Comments »

Unity – Notification Area

May 11th, 2011

Een week of wat geleden besloot ik mijn laptop maar eens te upgraden naar Ubuntu 11.04. Je wil toch een beetje bij blijven en stug blijven hangen op 10.10 gaat nu nog even goed maar uiteindelijk vervalt je support en zit je zonder patches :P

Unity is de nieuwe standaard window manager en dat is even wennen. Niet iedereen kan het waarderen maar ik zie er zeker de voordelen van in.

Echter had ik 1 groot probleem met Unity, het ‘Notification Panel’ is vervangen door een ander systeem (libappindicator) waardoor een aantal applicaties geen icoontje meer kan weergeven in de ‘systray’. Meestal is dat niet boeiend maar in dit geval gaat het om G-ON, een telewerken product. Deze is 100% afhankelijk van dit icoontje gezien je daar je sessies moet starten.

Het duurde even maar inmiddels heb ik een workaround gevonden (bron). Het is namelijk mogelijk om d.m.v. een whitelist bepaalde applicaties toch toegang te geven tot de oude ‘Notification Area’ en zo weer te kunnen werken.

Uiteraard zal de app in kwestie een update moeten uitbrengen uiteindelijk maar op deze manier ben ik niet verplicht om terug te vallen op de oude Gnome interface.

Hoe beheer je deze whitelist? Vanuit een terminal type je:

gsettings get com.canonical.Unity.Panel systray-whitelist

Het resultaat is een array welke je aangepast kan opslaan met:

gsettings set com.canonical.Unity.Panel systray-whitelist “['JavaEmbeddedFrame', 'Mumble', 'Wine', 'Skype', 'hp-systray', 'scp-dbus-service', 'gon_client']“

Afgezien van dit avontuur lijkt full-disk encryption in 32-bit beter/stabieler dan in 64-bit, als ik wat langer ‘stabiel’ draai vult hier nog wel een update over :)

Update: Zoals beloofd zou ik nog een update geven over de stabiliteit. Sinds de migratie naar 32-bit geen enkele crash meer gehad dus ik vermoed dat er een bug zit in de 64-bit versie van ubuntu. Zal eens gaan testen en eventueel een bug-report indienen

Tags: ,
Posted in Linux | No Comments »

IPv6 op DD-WRT

April 28th, 2011

Mijn internet aansluiting heeft een hele tijd met succes aan mijn Cisco 1841 gehangen tot een tijdje terug mijn verbinding na lang rommelen van 30 naar 60 mbit werd gezet.

Een 1841 haalt met mijn configuratie maar een doorvoer van 30-40 mbit waardoor ik aardig wat snelheid in moest leveren. Een tijdje vond ik dat prima maar vorige week besloot ik de Linksys WRT610N weer eens als router aan te sluiten.

Ik heb een aantal zaken welke mijn router moet kunnen regelen waaronder:

  • NAT routing (je krijgt immers maar 1 public ip van UPC)
  • IPv6 via een tunnel naar sixxs (gezien UPC geen native IPv6 aanbiedt)
  • Firewall, niet zo belangrijk voor IPv4 maar voor IPv6 des te meer.

DD-WRT heeft de meeste zaken standaard aan boord, echter een IPv6 firewall is out-of-the-box niet mogelijk! Nu kan dit aan mij liggen, maar een router zonder IPv6 firewall heeft in mijn ogen geen ‘ondersteuning’ voor IPv6. Men heeft een goed begin gemaakt maar het is zeker niet af.

Gelukkig kan je voor DD-WRT genoeg aanvullende packages vinden of zelfs zelf aan de slag gaan met een compiler om software beschikbaar te maken voor je router.

Na een hoop trial and error was het uiteindelijk dan toch gelukt om ip6tables aan de praat te krijgen op DD-WRT. Het was me niet gelukt zonder deze site. Mochten mensen intresse hebben, hier staan de binaries en scripts: http://frotmail.nl/ddwrt/

Lessons learned:

  • iptables is een vereist onderdeel van ip6tables. Ookal heb je iptables al, toch moet je de libs van iptables in de juiste map zetten (IP6TABLES_LIB_DIR) omdat je anders geen match statements kan doen
  • ip6tables is niet erg efficient bij een IPv6 tunnel omdat alle pakketjes eerst encapsulated door iptables (ipv4) moeten en daarna nog eens door ip6tables (decapsulated). Dit zorgt ervoor dat de WRT610Nv2 geen 100 mbit meer haalt (hij blijft steken op 80-90 mbit)
  • Met wat googlen kan je de crosscompile omgeving downloaden om zo je eigen source te compilen. Dat werkt voor alle kernel versies. Mijn download is specifiek voor 2.6.24.111

 

Tags: ,
Posted in Computers | No Comments »

UPC – Update

March 14th, 2011

Eindelijk is het zover :D Ik heb een Cisco modem ontvangen zonder router!

Vorige week heb ik nog 2 maal met een UPC medewerker aan de lijn gehangen nadat mijn hele internet en telefonie was afgesloten. Een foutje… Och what’s new. Toen hebben ze een Thompson modem (met router… grr) geactiveerd zodat ik toch weer kon internetten, een dag later lag er een pakketje bij de buren met daarin het Cisco modem :D

Service van UPC is dus niet de beste maar uiteindelijk regelen ze het… zouden ze dat bedoelen met “Het komt in orde meneer!” ???

Tags:
Posted in Algemeen | 2 Comments »

UPC Drama

March 3rd, 2011

Ok, geen enkele internet provider is perfect, overal hoor je wel een keer wat slechte ervaringen maar ik was altijd goed te spreken over mijn provider UPC. Ik had de klantenservice weinig nodig; storingen zijn vervelend maar dat overkomt de besten. Technische klachten los ik vaak zelf wel op en als de oorzaak niet bij mij ligt is het vaak een groot probleem en lossen ze het vanzelf op.

Nu heb ik echter wel een probleem. Ik heb een Cisco router, om technische redenen wil ik deze gebruiken voor het delen van mijn internet verbinding. Ik heb een Docsis 2.0 modem met een 30 mbit aansluiting welke netjes in de zogenaamde bride modus kan. Voor Wifi heb ik een accesspoint en voor  router heb ik een heuse router.

UPC gaat nu echter met de docsis 3.0 (60 mbit en hoger) standaard modems met wifi en router uitleveren. Daar was ik niet zo blij mee want deze routers zijn zeer beperkt. Geen VPN, geen GRE (proto 47)  en geen IPv6 tunnels meer. Ik begrijp dat de meeste klanten hier geen last van hebben maar ik heb voor mijn hobby en werk deze vrijheid wel nodig.

Ik dacht dus: Geen 60 mbit voor deze jongen… Helaas.

UPC beweerd echter wel modems uit te kunnen leveren zonder router ‘U geeft bij uw bestelling gewoon aan dat u geen wifi wilt, dan komt alles in orde!’

Geen idee wat er dan in orde komt maar ik heb inmiddels 3 mediaboxen, 2 modems met wifi en mijn oude vertrouwde docsis 2.0 modem… Maar om nu te zeggen dat alles in orde is?

Voor ik de upgrade ging bestellen wilde ik zeker weten dat hetgene dat ik wil, kon. Per e-mail stelde ik toen op 9 februari de volgende vraag:

Geachte heer/mevrouw,

 Ik overweeg momenteel de overstap te maken
 van 30 naar 60 mbit en was benieuwd hoe dit
 technisch gerealiseerd kan worden.

 Ik heb nu een modem zonder ingebouwde router,
 is het mogelijk om dit ook bij 60 mbit te krijgen?
 Ik wil mijn eigen router blijven gebruiken en
 geen wifi of router in mijn modem hebben

 Met vriendelijke groet,

 Eric

Daarop kreeg ik vrij vlot als antwoord:

Beste meneer/mevrouw,

 Bedankt dat u contact heeft opgenomen met de
 klantenservice van UPC. Mijn naam is Carolien
 en ik neem uw vraag persoonlijk in behandeling.
 Ik begrijp dat deze gaat over het wijzigen van modem.

 Als u overstapt naar een 60 Mbps gaat u inderdaad een
 nieuw modem krijgen voor het intenet. Mijn advies is
 om dan de aanvraag via ons te laten doen, want wij
 geven dan aan dat u niet draadloos wilt internetten.
 Hierdoor krijgt u een Cisco modem waarop u uw eigen router kan plaatsen. 

 Ik heb geprobeerd om uw vraag zo goed en volledig mogelijk te beantwoorden.
 Heeft u behoefte aan meer (of andere) informatie,
 neem dan gerust opnieuw contact met ons op.

 Met vriendelijke groet,

 Carolien [achternaam maar even weggelaten]
 Klantenservice UPC

Dat klonk positief! Ik stuur dus gelijk bericht terug, bestellen die hap!

En toen werd het akelig stil… 15 februari besloot ik nogmaals te mailen, is mijn bestelling aangekomen? Daarop kreeg ik ongeveer een week later een telefoontje. Ze hadden mijn verzoek niet helemaal begrepen en ik werd wat tussen de technische afdeling en verkoop geschakeld. We kwamen er mondeling uit en ik zou een upgrade krijgen naar 60 mbit met cisco modem.

1 week later, de postbode aan de deur! Ik blij, tot ik zag dat er een wifi modem werd geleverd.

Gelijk in de telefoon geklommen en UPC duidelijk gemaakt dat er een foutje is gemaakt. Ze vertellen mij daarna doodleuk dat ze geen garantie kunnen geven welke modem wordt uitgeleverd en dat ze mij eigenlijk niet kunnen helpen. Gelukkig is de meneer van de servicedesk nog zo behulpzaam om toch na te vragen of er nog andere opties zijn. Hij komt met het voorstel alles terug te draaien en dan terug te bellen om het nogmaals te proberen.

Inmiddels is het 25 februari. Ik krijg weer een telefoontje van UPC dat ze het opnieuw gaan proberen, deze keer zouden ze duidelijk aangeven dat ik een modem wil ontvangen zonder wifi. Men gaf mij wederom de toezegging dat dit mogelijk was en alles komt in orde.

Helaas… Vandaag stond de postbode aan de deur met weer een wifi modem… Ik weet nu niet zo goed wat ik nog kan doen…

Tags:
Posted in Algemeen, Computers | 1 Comment »

PowerDNS statistieken

March 1st, 2011

Het vorige bericht ging al over PowerDNS en hier nog even een kort vervolg. Nadat ik een tijd gezocht heb bleek er in Cacti niet een standaard template te zitten om PowerDNS performance counters weer te geven.

Op het Cacti forum had men verschillende templates gezet hier was ik niet heel erg van onder de indruk. Vandaar dat ik mijn eigen template gemaakt heb. Op de wiki staat een zip file en korte handleiding hoe te installeren. PowerDNS zal standaard zijn performance counters namelijk niet in SNMP publiceren. Ik hoop dat het iemand van pas komt :)

Tags:
Posted in Computers | No Comments »

PowerDNS en IPv6 (dual stack)

February 17th, 2011

Omdat ik veel met IPv6 aan het spelen ben zullen er de komende tijd mogelijk meer artikelen verschijnen omtrent dit onderwerp.

Zo ook PowerDNS: voor ik leuk kon gaan spelen met IPv6 had ik een DNS server nodig voor frotmail.nl waarop ik AAAA records kon aanmaken. En eigenlijk ook graag met een native IPv6 adres zodat hij er helemaal klaar voor is.

Ron en ik hebben vervolgens beide een VPS afgenomen met native IPv6 en zijn daarop aan de slag gegaan. We hadden beide de voorkeur voor PowerDNS vanwege ervaringen uit het verleden. Echter voor we alles goed up & running hadden waren we aardig wat uurtjes verder.

PowerDNS is wat mij betreft een mooi voorbeeld van een product wat er klaar voor is, maar als de beheerders niet helemaal op de hoogte zijn van de technische details zoek je je helemaal lens wanneer het ‘weer’ niet werkt.

Het hele artikel is een lang verhaal en zal je niet interesseren tenzij je er mee aan de slag gaat, vandaar dat ik alleen een linkje plaats met mijn bevindingen.

Voor de geïnteresseerden: PowerDNS IPv6

Tags: ,
Posted in Computers | No Comments »

Frotmail op IPv6

February 17th, 2011

Zoals in mijn vorige bericht is te lezen ben ik al een tijdje bezig met IPv6. Door mijn dagelijkse werkzaamheden bij netwerkbeheer wordt ik regelmatig geconfronteerd met ‘de migratie’ naar IPv6.

Hoewel veel bedrijven hier nog niet mee bezig zijn is het denk ik, heel belangrijk dat wij er wel mee bezig zijn. Als immers de IPv4 adressen zijn uitgedeeld moet iedereen ineens over.

Uiteraard kan je er ook voor kiezen om niet mee te doen en dat zal voorlopig nog wel een poos goed gaan. Vorige maand zijn de laatste /8 blokken uitgedeeld door IANA aan de verschillende RIR‘s. Dit betekend dat organisaties als RIPE geen extra adressen meer op voorraad krijgen en het moeten doen met wat ze hebben.

Read the rest of this entry »

Tags:
Posted in Computers | No Comments »

Zwart-wit?!?

February 16th, 2011

Waarom is alles ineens zwart-wit?

We hadden deze week op het werk een leuke discussie over de migratie van IPv4 naar IPv6. We zullen allemaal ooit de stap moeten maken (in Azië waarschijnlijk wat eerder dan hier) maar op dit moment schiet het allemaal nog niet zo op. Lees verder om erachter te komen hoe je de plaatjes weer in kleur kan krijgen!

Read the rest of this entry »

Tags:
Posted in Computers, LAN | No Comments »

« Older Entries
37886 pages viewed, 0 today
19116 visits, 0 today
FireStats icon Powered by FireStats