CCDA :) Op naar CCDP

February 7th, 2013

Vorig jaar zou ik mijn Cisco certificeringen weer eens bij gaan werken met CCDA/CCDP. Helaas is vanwege mijn verhuizing en andere drukte niet veel van gekomen.

Dit jaar opnieuw het goede voornemen om hier weer werk van te maken…

Vorige maand dus vol frisse moed mijn zelfstudie weer opgepakt en dezelfde maand het examen in laten plannen. CCDA bleek niet een grote uitdaging en die is dus binnen.
Nu volop bezig om door te stomen naar CCDP 🙂

IPv6 Routing op een c2960

October 4th, 2012

Ik heb al een tijdje een gare c2960 staan (ATX voeding en een paar kapotte interfaces)
Toch gebruik ik deze regelmatig als 4-poorts gbit switch in mijn test-opstellingen.

Omdat ik in mijn thuis netwerk eigenlijk wil gaan spelen met meerdere vlans (test netwerk apart, enzo) was ik op zoek naar een snelle router. De c1803 welke mijn internet verbinding serveert is een router met enkel 10/100 mbit poorten. Alle VLANS die ik daar ga routeren komend dus ook op maximaal 100 mbit doorvoer.

De c2960 switch ondersteund nu al een tijdje (sinds 12.2.55) lanbase routing. Daarmee kon hij een aantal VLAN interfaces hebben en routeren tussen deze interfaces. Helaas alleen voor IPv4.

Als je bij deze switch IPv6 support wilde hebben moest je deze in een ander SDM template zetten waardoor hij zijn resources anders ging verdelen:

Switch(config)#sdm prefer ?
default             Default bias
dual-ipv4-and-ipv6  Support both IPv4 and IPv6
lanbase-routing     Lanbase routing
qos                 QoS bias

Het template dual-ipv4-and-ipv6 stond management van de switch toe voor zowel IPv4 als IPv6, hij deed alleen niet aan routing. Mede hierdoor had ik besloten om alle routing op mijn c1803 te laten en niet teveel vlans aan te maken.

Geheel per toeval zie ik net dat in de laatste software update (15.0.2) de omschrijving van de templates is aangepast:

Switch(config)#sdm prefer ?
default             Default bias
dual-ipv4-and-ipv6  Support both IPv4 and IPv6
lanbase-routing     Supports both IPv4 and IPv6 Static Routing
qos                 QoS bias

En inderdaad! IPv6 routing is een feit!

Tijd voor een redesign van m’n netwerk 🙂

Wel of geen SSHFS?

January 30th, 2012

Al enige tijd roep ik om het hardst dat een goede backup een must is. Software als Crashplan maakt dat ook steeds toegankelijker voor de gemiddelde PC gebruiker.

In mijn omgeving draait op praktisch iedere Windows machine Crashplan welke zijn files mag opslaan op mijn server. Werkt prima, goedkoop en is lekker onderhoudsvrij.

Op Linux is Crashplan ook nog steeds een prima optie; headless of binnen X/VNC maar voor mijn VPS wordt het al lastiger. Iedere MB ram daar kost toch aardig wat duiten. Rsync + SSH is dan een beter idee.

Rsync tegenover Crashplan heeft eigenlijk 1 echt nadeel; rsync kan geen files on-the-fly versleutelen. Je destination server heeft dus ten alle tijden de files in plain-text op het filesystem.

Uiteraard ben ik niet de eerste die tot deze conclusie kom en gelukkig zijn er al mensen bezig geweest met een soortgelijke wens. 1 van de oplossingen die ik tegen kwam was SSHFS + ENCFS + RSYNC

Optie 1

Eerst via SSHFS de disk op de remote locatie mounten naar /remotedisk. Vervolgens via encfs een nieuw mountpoint maken waar je de data kan wegschrijven. Door als destination hier je /remotedisk te kiezen zal hij de versleutelde content wegschrijven.

Tenslotte kan je naar deze map dan je rsync actie starten. Theoretisch best OK en ook in de praktijk lijkt het te werken. Ik bemerk wel enige instabiliteit (als je ssh sessie wegvalt krijg je vreemde issues) en het geheel komt een beetje log over.

Optie 2

Ik had op een aantal plaatsen al gelezen dat encfs ook een –reverse optie kent. Het zei me niet zoveel, daarom liet ik het in eerste instantie links liggen. Achteraf gezien bleek dit niet een handige actie te zijn van mezelf.

Als je namelijk een bron-map via encfs met de –reverse optie mount; kan je een read-only view presenteren van je data. Deze view kan je dan met rsync weer offsite kopieren zonder dat je daar sshfs voor nodig hebt.

Rsync gaat uiteindelijk gewoon over ssh maar rsync+ssh lijkt in ieder geval een stuk vlotter dan rsync + sshfs

Conclusie

Ik ga voorlopig voor optie 2 en als hier bijzonderde resultaten uitkomen dan zullen ze hier te lezen zijn 🙂

Script:
encfs -o ro –reverse /map/met/data/ /crypt.view/
rsync -Pvarz –delete /crypt.view/* user@host:/remote/folder
umount /crypt.view/ # Optional

 

PKI Overheid en Apache2

November 3rd, 2011

Bij een klant waar ik nu zit ben ik wat tegengekomen wat ik jullie niet wil onthouden.

Door het failissement van DigiNotar moeten veel bedrijven hun PKI overheid certificaten bij een andere leverancier afnemen. Omdat in de tussentijd de eisen aan de hash methoden zijn aangescherpt lopen veel bedrijven nu tegen het probleem aan dat hun software niet klaar is voor de nieuwe certificaten.

Update: het bleek niet TLS1.2 te zijn dat roet in het eten gooide (stukje miscommunicatie tussen ons en het Kadaster) maar de certificate-chain.  Neemt niet weg dat TLS1.2 nog bedroevend slecht wordt ondersteund

Read the rest of this entry »

Cisco Dog Food

June 8th, 2011

Hondenvoer? Nee: ‘World IPv6 day’ is aangebroken en een groot aantal sites hebben vandaag een quad-A record aangemaakt.
Indien je geen IPv6 hebt merk je hier niets van, heb je IPv6 juist geconfigureerd mag je hier ook weinig van merken. Echter heb je het half geconfigureerd kan je tegen time-outs aanlopen. Veel besturingssystemen zullen vandaag de dag, indien er een keuze is, kiezen voor IPv6. Pas als dit niet blijkt te lukken vallen ze terug op IPv4. Denkt je Windows 7 machine dus dat je IPv6 hebt maar kan je daarmee niet op internet komen, dan kan je best een poosje moeten wachten voor je vandaag kan google’en.

Onder andere Facebook en Cisco hebben creatief gebruik gemaakt van de mogelijkheid om de letters a t/m f te gebruiken in het IP adres 🙂 laat even weten als je meer van deze geintjes tegenkomt!

Unity – Notification Area

May 11th, 2011

Een week of wat geleden besloot ik mijn laptop maar eens te upgraden naar Ubuntu 11.04. Je wil toch een beetje bij blijven en stug blijven hangen op 10.10 gaat nu nog even goed maar uiteindelijk vervalt je support en zit je zonder patches 😛

Unity is de nieuwe standaard window manager en dat is even wennen. Niet iedereen kan het waarderen maar ik zie er zeker de voordelen van in.

Echter had ik 1 groot probleem met Unity, het ‘Notification Panel’ is vervangen door een ander systeem (libappindicator) waardoor een aantal applicaties geen icoontje meer kan weergeven in de ‘systray’. Meestal is dat niet boeiend maar in dit geval gaat het om G-ON, een telewerken product. Deze is 100% afhankelijk van dit icoontje gezien je daar je sessies moet starten.

Het duurde even maar inmiddels heb ik een workaround gevonden (bron). Het is namelijk mogelijk om d.m.v. een whitelist bepaalde applicaties toch toegang te geven tot de oude ‘Notification Area’ en zo weer te kunnen werken.

Uiteraard zal de app in kwestie een update moeten uitbrengen uiteindelijk maar op deze manier ben ik niet verplicht om terug te vallen op de oude Gnome interface.

Hoe beheer je deze whitelist? Vanuit een terminal type je:

gsettings get com.canonical.Unity.Panel systray-whitelist

Het resultaat is een array welke je aangepast kan opslaan met:

gsettings set com.canonical.Unity.Panel systray-whitelist “[‘JavaEmbeddedFrame’, ‘Mumble’, ‘Wine’, ‘Skype’, ‘hp-systray’, ‘scp-dbus-service’, ‘gon_client’]”

Afgezien van dit avontuur lijkt full-disk encryption in 32-bit beter/stabieler dan in 64-bit, als ik wat langer ‘stabiel’ draai vult hier nog wel een update over 🙂

Update: Zoals beloofd zou ik nog een update geven over de stabiliteit. Sinds de migratie naar 32-bit geen enkele crash meer gehad dus ik vermoed dat er een bug zit in de 64-bit versie van ubuntu. Zal eens gaan testen en eventueel een bug-report indienen

IPv6 op DD-WRT

April 28th, 2011

Mijn internet aansluiting heeft een hele tijd met succes aan mijn Cisco 1841 gehangen tot een tijdje terug mijn verbinding na lang rommelen van 30 naar 60 mbit werd gezet.

Een 1841 haalt met mijn configuratie maar een doorvoer van 30-40 mbit waardoor ik aardig wat snelheid in moest leveren. Een tijdje vond ik dat prima maar vorige week besloot ik de Linksys WRT610N weer eens als router aan te sluiten.

Ik heb een aantal zaken welke mijn router moet kunnen regelen waaronder:

  • NAT routing (je krijgt immers maar 1 public ip van UPC)
  • IPv6 via een tunnel naar sixxs (gezien UPC geen native IPv6 aanbiedt)
  • Firewall, niet zo belangrijk voor IPv4 maar voor IPv6 des te meer.

DD-WRT heeft de meeste zaken standaard aan boord, echter een IPv6 firewall is out-of-the-box niet mogelijk! Nu kan dit aan mij liggen, maar een router zonder IPv6 firewall heeft in mijn ogen geen ‘ondersteuning’ voor IPv6. Men heeft een goed begin gemaakt maar het is zeker niet af.

Gelukkig kan je voor DD-WRT genoeg aanvullende packages vinden of zelfs zelf aan de slag gaan met een compiler om software beschikbaar te maken voor je router.

Na een hoop trial and error was het uiteindelijk dan toch gelukt om ip6tables aan de praat te krijgen op DD-WRT. Het was me niet gelukt zonder deze site. Mochten mensen intresse hebben, hier staan de binaries en scripts: http://frotmail.nl/ddwrt/

Lessons learned:

  • iptables is een vereist onderdeel van ip6tables. Ookal heb je iptables al, toch moet je de libs van iptables in de juiste map zetten (IP6TABLES_LIB_DIR) omdat je anders geen match statements kan doen
  • ip6tables is niet erg efficient bij een IPv6 tunnel omdat alle pakketjes eerst encapsulated door iptables (ipv4) moeten en daarna nog eens door ip6tables (decapsulated). Dit zorgt ervoor dat de WRT610Nv2 geen 100 mbit meer haalt (hij blijft steken op 80-90 mbit)
  • Met wat googlen kan je de crosscompile omgeving downloaden om zo je eigen source te compilen. Dat werkt voor alle kernel versies. Mijn download is specifiek voor 2.6.24.111

 

UPC – Update

March 14th, 2011

Eindelijk is het zover 😀 Ik heb een Cisco modem ontvangen zonder router!

Vorige week heb ik nog 2 maal met een UPC medewerker aan de lijn gehangen nadat mijn hele internet en telefonie was afgesloten. Een foutje… Och what’s new. Toen hebben ze een Thompson modem (met router… grr) geactiveerd zodat ik toch weer kon internetten, een dag later lag er een pakketje bij de buren met daarin het Cisco modem 😀

Service van UPC is dus niet de beste maar uiteindelijk regelen ze het… zouden ze dat bedoelen met “Het komt in orde meneer!” ???

UPC Drama

March 3rd, 2011

Ok, geen enkele internet provider is perfect, overal hoor je wel een keer wat slechte ervaringen maar ik was altijd goed te spreken over mijn provider UPC. Ik had de klantenservice weinig nodig; storingen zijn vervelend maar dat overkomt de besten. Technische klachten los ik vaak zelf wel op en als de oorzaak niet bij mij ligt is het vaak een groot probleem en lossen ze het vanzelf op.

Nu heb ik echter wel een probleem. Ik heb een Cisco router, om technische redenen wil ik deze gebruiken voor het delen van mijn internet verbinding. Ik heb een Docsis 2.0 modem met een 30 mbit aansluiting welke netjes in de zogenaamde bride modus kan. Voor Wifi heb ik een accesspoint en voor  router heb ik een heuse router.

UPC gaat nu echter met de docsis 3.0 (60 mbit en hoger) standaard modems met wifi en router uitleveren. Daar was ik niet zo blij mee want deze routers zijn zeer beperkt. Geen VPN, geen GRE (proto 47)  en geen IPv6 tunnels meer. Ik begrijp dat de meeste klanten hier geen last van hebben maar ik heb voor mijn hobby en werk deze vrijheid wel nodig.

Ik dacht dus: Geen 60 mbit voor deze jongen… Helaas.

UPC beweerd echter wel modems uit te kunnen leveren zonder router ‘U geeft bij uw bestelling gewoon aan dat u geen wifi wilt, dan komt alles in orde!’

Geen idee wat er dan in orde komt maar ik heb inmiddels 3 mediaboxen, 2 modems met wifi en mijn oude vertrouwde docsis 2.0 modem… Maar om nu te zeggen dat alles in orde is?

Voor ik de upgrade ging bestellen wilde ik zeker weten dat hetgene dat ik wil, kon. Per e-mail stelde ik toen op 9 februari de volgende vraag:

Geachte heer/mevrouw,

 Ik overweeg momenteel de overstap te maken
 van 30 naar 60 mbit en was benieuwd hoe dit
 technisch gerealiseerd kan worden.

 Ik heb nu een modem zonder ingebouwde router,
 is het mogelijk om dit ook bij 60 mbit te krijgen?
 Ik wil mijn eigen router blijven gebruiken en
 geen wifi of router in mijn modem hebben

 Met vriendelijke groet,

 Eric

Daarop kreeg ik vrij vlot als antwoord:

Beste meneer/mevrouw,

 Bedankt dat u contact heeft opgenomen met de
 klantenservice van UPC. Mijn naam is Carolien
 en ik neem uw vraag persoonlijk in behandeling.
 Ik begrijp dat deze gaat over het wijzigen van modem.

 Als u overstapt naar een 60 Mbps gaat u inderdaad een
 nieuw modem krijgen voor het intenet. Mijn advies is
 om dan de aanvraag via ons te laten doen, want wij
 geven dan aan dat u niet draadloos wilt internetten.
 Hierdoor krijgt u een Cisco modem waarop u uw eigen router kan plaatsen. 

 Ik heb geprobeerd om uw vraag zo goed en volledig mogelijk te beantwoorden.
 Heeft u behoefte aan meer (of andere) informatie,
 neem dan gerust opnieuw contact met ons op.

 Met vriendelijke groet,

 Carolien [achternaam maar even weggelaten]
 Klantenservice UPC

Dat klonk positief! Ik stuur dus gelijk bericht terug, bestellen die hap!

En toen werd het akelig stil… 15 februari besloot ik nogmaals te mailen, is mijn bestelling aangekomen? Daarop kreeg ik ongeveer een week later een telefoontje. Ze hadden mijn verzoek niet helemaal begrepen en ik werd wat tussen de technische afdeling en verkoop geschakeld. We kwamen er mondeling uit en ik zou een upgrade krijgen naar 60 mbit met cisco modem.

1 week later, de postbode aan de deur! Ik blij, tot ik zag dat er een wifi modem werd geleverd.

Gelijk in de telefoon geklommen en UPC duidelijk gemaakt dat er een foutje is gemaakt. Ze vertellen mij daarna doodleuk dat ze geen garantie kunnen geven welke modem wordt uitgeleverd en dat ze mij eigenlijk niet kunnen helpen. Gelukkig is de meneer van de servicedesk nog zo behulpzaam om toch na te vragen of er nog andere opties zijn. Hij komt met het voorstel alles terug te draaien en dan terug te bellen om het nogmaals te proberen.

Inmiddels is het 25 februari. Ik krijg weer een telefoontje van UPC dat ze het opnieuw gaan proberen, deze keer zouden ze duidelijk aangeven dat ik een modem wil ontvangen zonder wifi. Men gaf mij wederom de toezegging dat dit mogelijk was en alles komt in orde.

Helaas… Vandaag stond de postbode aan de deur met weer een wifi modem… Ik weet nu niet zo goed wat ik nog kan doen…

PowerDNS statistieken

March 1st, 2011

Het vorige bericht ging al over PowerDNS en hier nog even een kort vervolg. Nadat ik een tijd gezocht heb bleek er in Cacti niet een standaard template te zitten om PowerDNS performance counters weer te geven.

Op het Cacti forum had men verschillende templates gezet hier was ik niet heel erg van onder de indruk. Vandaar dat ik mijn eigen template gemaakt heb. Op de wiki staat een zip file en korte handleiding hoe te installeren. PowerDNS zal standaard zijn performance counters namelijk niet in SNMP publiceren. Ik hoop dat het iemand van pas komt 🙂