Archive for the ‘Computers’ Category

Wel of geen SSHFS?

Monday, January 30th, 2012

Al enige tijd roep ik om het hardst dat een goede backup een must is. Software als Crashplan maakt dat ook steeds toegankelijker voor de gemiddelde PC gebruiker.

In mijn omgeving draait op praktisch iedere Windows machine Crashplan welke zijn files mag opslaan op mijn server. Werkt prima, goedkoop en is lekker onderhoudsvrij.

Op Linux is Crashplan ook nog steeds een prima optie; headless of binnen X/VNC maar voor mijn VPS wordt het al lastiger. Iedere MB ram daar kost toch aardig wat duiten. Rsync + SSH is dan een beter idee.

Rsync tegenover Crashplan heeft eigenlijk 1 echt nadeel; rsync kan geen files on-the-fly versleutelen. Je destination server heeft dus ten alle tijden de files in plain-text op het filesystem.

Uiteraard ben ik niet de eerste die tot deze conclusie kom en gelukkig zijn er al mensen bezig geweest met een soortgelijke wens. 1 van de oplossingen die ik tegen kwam was SSHFS + ENCFS + RSYNC

Optie 1

Eerst via SSHFS de disk op de remote locatie mounten naar /remotedisk. Vervolgens via encfs een nieuw mountpoint maken waar je de data kan wegschrijven. Door als destination hier je /remotedisk te kiezen zal hij de versleutelde content wegschrijven.

Tenslotte kan je naar deze map dan je rsync actie starten. Theoretisch best OK en ook in de praktijk lijkt het te werken. Ik bemerk wel enige instabiliteit (als je ssh sessie wegvalt krijg je vreemde issues) en het geheel komt een beetje log over.

Optie 2

Ik had op een aantal plaatsen al gelezen dat encfs ook een –reverse optie kent. Het zei me niet zoveel, daarom liet ik het in eerste instantie links liggen. Achteraf gezien bleek dit niet een handige actie te zijn van mezelf.

Als je namelijk een bron-map via encfs met de –reverse optie mount; kan je een read-only view presenteren van je data. Deze view kan je dan met rsync weer offsite kopieren zonder dat je daar sshfs voor nodig hebt.

Rsync gaat uiteindelijk gewoon over ssh maar rsync+ssh lijkt in ieder geval een stuk vlotter dan rsync + sshfs

Conclusie

Ik ga voorlopig voor optie 2 en als hier bijzonderde resultaten uitkomen dan zullen ze hier te lezen zijn ūüôā

Script:
encfs -o ro –reverse /map/met/data/ /crypt.view/
rsync -Pvarz –delete /crypt.view/* user@host:/remote/folder
umount /crypt.view/ # Optional

 

PKI Overheid en Apache2

Thursday, November 3rd, 2011

Bij een klant waar ik nu zit ben ik wat tegengekomen wat ik jullie niet wil onthouden.

Door het failissement van DigiNotar moeten veel bedrijven hun PKI overheid certificaten bij een andere leverancier afnemen. Omdat in de tussentijd de eisen aan de hash methoden zijn aangescherpt lopen veel bedrijven nu tegen het probleem aan dat hun software niet klaar is voor de nieuwe certificaten.

Update: het bleek niet TLS1.2 te zijn dat roet in het eten gooide (stukje miscommunicatie tussen ons en het Kadaster) maar de certificate-chain.  Neemt niet weg dat TLS1.2 nog bedroevend slecht wordt ondersteund

(more…)

Cisco Dog Food

Wednesday, June 8th, 2011

Hondenvoer? Nee: ‘World IPv6 day’ is aangebroken en een groot aantal sites hebben vandaag een quad-A record aangemaakt.
Indien je geen IPv6 hebt merk je hier niets van, heb je IPv6 juist geconfigureerd mag je hier ook weinig van merken. Echter heb je het half geconfigureerd kan je tegen time-outs aanlopen. Veel besturingssystemen zullen vandaag de dag, indien er een keuze is, kiezen voor IPv6. Pas als dit niet blijkt te lukken vallen ze terug op IPv4. Denkt je Windows 7 machine dus dat je IPv6 hebt maar kan je daarmee niet op internet komen, dan kan je best een poosje moeten wachten voor je vandaag kan google’en.

Onder andere Facebook en Cisco hebben creatief gebruik gemaakt van de mogelijkheid om de letters a t/m f te gebruiken in het IP adres ūüôā laat even weten als je meer van deze geintjes tegenkomt!

IPv6 op DD-WRT

Thursday, April 28th, 2011

Mijn internet aansluiting heeft een hele tijd met succes aan mijn Cisco 1841 gehangen tot een tijdje terug mijn verbinding na lang rommelen van 30 naar 60 mbit werd gezet.

Een 1841 haalt met mijn configuratie maar een doorvoer van 30-40 mbit waardoor ik aardig wat snelheid in moest leveren. Een tijdje vond ik dat prima maar vorige week besloot ik de Linksys WRT610N weer eens als router aan te sluiten.

Ik heb een aantal zaken welke mijn router moet kunnen regelen waaronder:

  • NAT routing (je krijgt immers maar 1 public ip van UPC)
  • IPv6 via een tunnel naar sixxs (gezien UPC geen native IPv6 aanbiedt)
  • Firewall, niet zo belangrijk voor IPv4 maar voor IPv6 des te meer.

DD-WRT heeft de meeste zaken standaard aan boord, echter een IPv6 firewall is out-of-the-box niet mogelijk! Nu kan dit aan mij liggen, maar een router zonder IPv6 firewall heeft in mijn ogen geen ‘ondersteuning’ voor IPv6. Men heeft een goed begin gemaakt maar het is zeker niet af.

Gelukkig kan je voor DD-WRT genoeg aanvullende packages vinden of zelfs zelf aan de slag gaan met een compiler om software beschikbaar te maken voor je router.

Na een hoop trial and error was het uiteindelijk dan toch gelukt om ip6tables aan de praat te krijgen op DD-WRT. Het was me niet gelukt zonder deze site. Mochten mensen intresse hebben, hier staan de binaries en scripts: http://frotmail.nl/ddwrt/

Lessons learned:

  • iptables is een vereist onderdeel van ip6tables. Ookal heb je iptables al, toch moet je de libs van iptables in de juiste map zetten (IP6TABLES_LIB_DIR) omdat je anders geen match statements kan doen
  • ip6tables is niet erg efficient bij een IPv6 tunnel omdat alle pakketjes eerst encapsulated door iptables (ipv4) moeten en daarna nog eens door ip6tables (decapsulated). Dit zorgt ervoor dat de WRT610Nv2 geen 100 mbit meer haalt (hij blijft steken op 80-90 mbit)
  • Met wat googlen kan je de crosscompile omgeving downloaden om zo je eigen source te compilen. Dat werkt voor alle kernel versies. Mijn download is specifiek voor 2.6.24.111

 

UPC Drama

Thursday, March 3rd, 2011

Ok, geen enkele internet provider is perfect, overal hoor je wel een keer wat slechte ervaringen maar ik was altijd goed te spreken over mijn provider UPC. Ik had de klantenservice weinig nodig; storingen zijn vervelend maar dat overkomt de besten. Technische klachten los ik vaak zelf wel op en als de oorzaak niet bij mij ligt is het vaak een groot probleem en lossen ze het vanzelf op.

Nu heb ik echter wel een probleem. Ik heb een Cisco router, om technische redenen wil ik deze gebruiken voor het delen van mijn internet verbinding. Ik heb een Docsis 2.0 modem met een 30 mbit aansluiting welke netjes in de zogenaamde bride modus kan. Voor Wifi heb ik een accesspoint en voor  router heb ik een heuse router.

UPC gaat nu echter met de docsis 3.0 (60 mbit en hoger) standaard modems met wifi en router uitleveren. Daar was ik niet zo blij mee want deze routers zijn zeer beperkt. Geen VPN, geen GRE (proto 47)  en geen IPv6 tunnels meer. Ik begrijp dat de meeste klanten hier geen last van hebben maar ik heb voor mijn hobby en werk deze vrijheid wel nodig.

Ik dacht dus: Geen 60 mbit voor deze jongen… Helaas.

UPC beweerd echter wel modems uit te kunnen leveren zonder router ‘U geeft bij uw bestelling gewoon aan dat u geen wifi wilt, dan komt alles in orde!’

Geen idee wat er dan in orde komt maar ik heb inmiddels 3 mediaboxen, 2 modems met wifi en mijn oude vertrouwde docsis 2.0 modem… Maar om nu te zeggen dat alles in orde is?

Voor ik de upgrade ging bestellen wilde ik zeker weten dat hetgene dat ik wil, kon. Per e-mail stelde ik toen op 9 februari de volgende vraag:

Geachte heer/mevrouw,

 Ik overweeg momenteel de overstap te maken
 van 30 naar 60 mbit en was benieuwd hoe dit
 technisch gerealiseerd kan worden.

 Ik heb nu een modem zonder ingebouwde router,
 is het mogelijk om dit ook bij 60 mbit te krijgen?
 Ik wil mijn eigen router blijven gebruiken en
 geen wifi of router in mijn modem hebben

 Met vriendelijke groet,

 Eric

Daarop kreeg ik vrij vlot als antwoord:

Beste meneer/mevrouw,

 Bedankt dat u contact heeft opgenomen met de
 klantenservice van UPC. Mijn naam is Carolien
 en ik neem uw vraag persoonlijk in behandeling.
 Ik begrijp dat deze gaat over het wijzigen van modem.

 Als u overstapt naar een 60 Mbps gaat u inderdaad een
 nieuw modem krijgen voor het intenet. Mijn advies is
 om dan de aanvraag via ons te laten doen, want wij
 geven dan aan dat u niet draadloos wilt internetten.
 Hierdoor krijgt u een Cisco modem waarop u uw eigen router kan plaatsen. 

 Ik heb geprobeerd om uw vraag zo goed en volledig mogelijk te beantwoorden.
 Heeft u behoefte aan meer (of andere) informatie,
 neem dan gerust opnieuw contact met ons op.

 Met vriendelijke groet,

 Carolien [achternaam maar even weggelaten]
 Klantenservice UPC

Dat klonk positief! Ik stuur dus gelijk bericht terug, bestellen die hap!

En toen werd het akelig stil… 15 februari besloot ik nogmaals te mailen, is mijn bestelling aangekomen? Daarop kreeg ik ongeveer een week later een telefoontje. Ze hadden mijn verzoek niet helemaal begrepen en ik werd wat tussen de technische afdeling en verkoop geschakeld. We kwamen er mondeling uit en ik zou een upgrade krijgen naar 60 mbit met cisco modem.

1 week later, de postbode aan de deur! Ik blij, tot ik zag dat er een wifi modem werd geleverd.

Gelijk in de telefoon geklommen en UPC duidelijk gemaakt dat er een foutje is gemaakt. Ze vertellen mij daarna doodleuk dat ze geen garantie kunnen geven welke modem wordt uitgeleverd en dat ze mij eigenlijk niet kunnen helpen. Gelukkig is de meneer van de servicedesk nog zo behulpzaam om toch na te vragen of er nog andere opties zijn. Hij komt met het voorstel alles terug te draaien en dan terug te bellen om het nogmaals te proberen.

Inmiddels is het 25 februari. Ik krijg weer een telefoontje van UPC dat ze het opnieuw gaan proberen, deze keer zouden ze duidelijk aangeven dat ik een modem wil ontvangen zonder wifi. Men gaf mij wederom de toezegging dat dit mogelijk was en alles komt in orde.

Helaas… Vandaag stond de postbode aan de deur met weer een wifi modem… Ik weet nu niet zo goed wat ik nog kan doen…

PowerDNS statistieken

Tuesday, March 1st, 2011

Het vorige bericht ging al over PowerDNS en hier nog even een kort vervolg. Nadat ik een tijd gezocht heb bleek er in Cacti niet een standaard template te zitten om PowerDNS performance counters weer te geven.

Op het Cacti forum had men verschillende templates gezet hier was ik niet heel erg van onder de indruk. Vandaar dat ik mijn eigen template gemaakt heb. Op de wiki staat een zip file en korte handleiding hoe te installeren. PowerDNS zal standaard zijn performance counters namelijk niet in SNMP publiceren. Ik hoop dat het iemand van pas komt ūüôā

PowerDNS en IPv6 (dual stack)

Thursday, February 17th, 2011

Omdat ik veel met IPv6 aan het spelen ben zullen er de komende tijd mogelijk meer artikelen verschijnen omtrent dit onderwerp.

Zo ook PowerDNS: voor ik leuk kon gaan spelen met IPv6 had ik een DNS server nodig voor frotmail.nl waarop ik AAAA records kon aanmaken. En eigenlijk ook graag met een native IPv6 adres zodat hij er helemaal klaar voor is.

Ron en ik hebben vervolgens beide een VPS afgenomen met native IPv6 en zijn daarop aan de slag gegaan. We hadden beide de voorkeur voor PowerDNS vanwege ervaringen uit het verleden. Echter voor we alles goed up & running hadden waren we aardig wat uurtjes verder.

PowerDNS is wat mij betreft een mooi voorbeeld van een product wat er klaar voor is, maar als de beheerders niet helemaal op de hoogte zijn van de technische details zoek je je helemaal lens wanneer het ‘weer’ niet werkt.

Het hele artikel is een lang verhaal en zal je niet interesseren tenzij je er mee aan de slag gaat, vandaar dat ik alleen een linkje plaats met mijn bevindingen.

Voor de ge√Įnteresseerden: PowerDNS IPv6

Frotmail op IPv6

Thursday, February 17th, 2011

Zoals in mijn vorige bericht is te lezen ben ik al een tijdje bezig met IPv6. Door mijn dagelijkse werkzaamheden bij netwerkbeheer wordt ik regelmatig geconfronteerd met ‘de migratie’ naar IPv6.

Hoewel veel bedrijven hier nog niet mee bezig zijn is het denk ik, heel belangrijk dat wij er wel mee bezig zijn. Als immers de IPv4 adressen zijn uitgedeeld moet iedereen ineens over.

Uiteraard kan je er ook voor kiezen om niet mee te doen en dat zal voorlopig nog wel een poos goed gaan. Vorige maand zijn de laatste /8 blokken uitgedeeld door IANA aan de verschillende RIR‘s. Dit betekend dat organisaties als RIPE geen extra adressen meer op voorraad krijgen en het moeten doen met wat ze hebben.

(more…)

Zwart-wit?!?

Wednesday, February 16th, 2011

Waarom is alles ineens zwart-wit?

We hadden deze week op het werk een leuke discussie over de migratie van IPv4 naar IPv6. We zullen allemaal ooit de stap moeten maken (in Azi√ę waarschijnlijk wat eerder dan hier) maar op dit moment schiet het allemaal nog niet zo op. Lees verder om erachter te komen hoe je de plaatjes weer in kleur kan krijgen!

(more…)

VRF-Lite

Friday, October 23rd, 2009

Toen een vriend van me laatst tot de ontdekking kwam dat ik tegenwoordig mezelf bezig houd met netwerkbeheer had hij een leuke vraag voor me.

Situatie: Meerdere VPN tunnels vanuit verschillende plekken naar 1 centraal datacenter. Deze VPN verbindingen moeten een eindpunt hebben op 1 router, maar de netwerken (iedere VPN tunnel en een apart vlan segment) moeten compleet gescheiden blijven van elkaar.

Hoe los je dat op zonder een gigantische lijst van ACL’s te moeten onderhouden?

Een leuk excuus om eens een weekend aan de slag te gaan met de recente aanwinsten (de Cisco routers). Ik had op het werk bij verschillende projecten al gehoord van “VRF’s” maar die afkorting zei me niet zoveel. Het had wel¬† te maken met het scheiden van netwerken dus ik had een aanknopingspunt. Ook het begrip MPLS vloog me wel eens om de oren maar hierbij had ik nog geen geweldige voorstelling kunnen maken.

De hoogste tijd dus om hier verandering in te brengen!

(more…)