pfSense OpenVPN Authentification against Win 2008 R2 Active Directory via Radius Protocol

Úvod

Tento dokument ti prezradí, ako kontrolovať prístup vzdialených užívateľov z internetu cez OpenVPN a pfSense firewall do privátnej siete pomocou PKI certifikátov a overovaním mena/hesla cez radius protokol proti Microsoft Windows 2008 R2 Active Directory. Read the rest of this entry »

pfSense High Performance Firewall

pfSense firewall in High Availability mode (cluster)

Overview of a pfSense-CARP setup

You need one real IP address for every CARP cluster host. So, if you want to have 2 cluster members, you will need 2 IP addresses for the real interfaces and then an IP for each virtual IP address. So in this case it would amount to 3. In the example shown to the right, the primary CARP clusters WAN IP address is 127.29.29.1 and the backup firewalls WAN IP address is 127.29.29.2. The primary clusters LAN IP address is 192.168.1.2 and the backup firewall’s LAN IP address is 192.168.1.3.

Read the rest of this entry »

Jolicloud Netbook OS Is a Bit Like Chrome OS with Awesome Desktop Applications

Chrome OS is a promising cloud-based operating system, but the big complaint most people have about it is that Chrome OS is entirely browser-based. New netbook OS Jolicloud is a lot like Chrome OS, but with the addition of killer desktop apps.

Before you even consider Jolicloud, you may want to look at their big list of compatible devices. It’s pretty huge, and I’d also suspect not complete. I’m actually testing it in a virtual machine and it’s working just fine, and it would probably work on a fair amount of other hardware. Read the rest of this entry »

VoIP telefónna ústredňa – Trixbox CE pre stredné a veľké firmy

Trixbox CE je open source softwarová VoIP (Voice over IP) telefónna ústredňa (PBX). Trixbox CE je postavená na Asterisku a operačnom systéme Linux CentOS. Keďže je to open source software, je možné ju voľne stiahnúť z internetu a nainštalovať na ľubovoľný hardware.

Trixbox CE má všetky vlastnosti, ktoré sú potrebné pre enterprise prostredie. Je možné ju bez problémov nasadiť aj do veľkých firiem so 700 klapkami (samozrejme na dostatočne výkonnom hardware) a dokáže splniť všetky požiadavky na veľkú telefónnu ústredňu.

Domovská stránka Trixbox CE obsahuje software samotnej telefónnej ústredne, ktorý je možné stiahnúť, dokumentáciu a má vynikajúce fórum, na ktorom nájdete odpovede na všetky otázky a taktiež tipy na riešenie rôznych požiadaviek a problémov. Zatiaľ všetky požiadavky mojich zákazníkov na funkcionalitu, táto VoIP PBX dokázala splniť. Read the rest of this entry »

VoIP telefónna ústredňa – Askozia PBX pre malé a stredné firmy

Askozia®PBX je VoIP (Voice over IP) software-ová telefónna ústredňa (PBX), založená na Asterisk a FreeBSD. Askozia®PBX  je možné voľne stiahnúť z internetu a nainštalovať na ľubovoľný hardware.

Askozia®PBX je primárne určená pre Embededd Appliances, ale nie je problém ju nainštalovať aj na staršie niekoľko ročné PC s minimálne 64MB RAM a 200MHz procesorom. Image, ktorý je možné voľne stiahnuť z internetu, je optimalizovaný pre Soekris a PC Engines boards. Read the rest of this entry »

Finálny 600 Mbps WiFi 802.11n štandard schválený

Štandardizačná komisia organizácie Institute of Electrical and Electronics Engineers, IEEE, aktuálne ohlásila ratifikáciu novej verzie WiFi štandardu, 802.11n. Maximálna rýchlosť podporovaná protokolom 802.11n, ktorý sa začal pripravovať už v roku 2002, sa oproti poslednej verzii 802.11g zvýšila 100/9-násobne na maximálnych 600 Mbps, súčasné čipsety podporujú typicky maximálne 300 alebo 450 Mbps. Read the rest of this entry »

VoIP riešenie pre malé a stredné firmy, alebo Trixbox telefónna ústredňa

Zákazník ma oslovil cez internet s prosbou o pomoc pri nastavení jeho už existujúcej Trixbox VoIP telefónnej ústredne. Samozrejme sme sa dohodli a tu je krátky popis toho, čo bolo cieľom, aké boli východiská a ako to dopadlo.

Cieľom riešenia bola zmena konfigurácie existujúcej Trixbox VoIP telefónnej ústredne a firewallu tak, aby bola možnosť k nej pripájať VoIP telefóny v LAN sieti a tiež telefóny v internete, alebo iných privátnych sieťach (domácnosti, partnerské firmy).

Východiská:
- Trixbox už inštalovaný a funkčný pre VoIP telefónny na lokálnej sieti (free VoIP telefónna ústredňa)
- Firewall inštalovaný v plnej prevádzke (SMC)
- typ VoIP telefónnov definovaný (Grandstream GXP 2000)

Trixbox VoIP telefónna ústredňa je pripojená na verejnú telefónnu sieť ST cez ISDN rozhranie a na VoIP telekomunikačného operátora cez SIP trunk. Read the rest of this entry »

Load Sharing or when WiFi 5,8GHz is better choice than profi point-to-point

Celé to začalo potrebou upgradu existujúcej linky (uplink) do Internetu u jedného lokálneho poskytovateľa internetu (ISP). V tom čase bol uplink vyťažovaný na 22Mbps, ale vzhľadom na zmeny v obchodnej politike lokálneho ISP pre najbližší rok, vznikla požiadavka na šírku pásma pre uplink 40Mbps (riešenie však musí zvládnuť minimálne 60Mbps).

Pôvodné riešenie bolo založené na technológií WiFi 5,8GHz point-to-point. Hardware bol použitý WRAP od PC Engines GmbH s kartami Atheros. Software bol a stále je použitý OS Linux, distribúcia LEAF konkrétne Bering uClibc.

Dĺžka trasy uplinku (last mile, vzduch) je okolo 1km. Keďže počet zákazníkov stúpa, vznikla potreba aj zálohy samotnej trasy vo vzduchu. Samozrejme, hneď sa objavilo riešenie mať skladom záložný hardware. V prípade výpadku trasy, je ale oprava pri tejto variante časovo náročná (vybavovanie vstupov, lezenie po rebríkoch k anténam, samotná výmena HW, …).
Networkingu a routingu sa venujem pár rokov, takže som sa začal pohrávať s myšlienkou Load Sharing-u.

Design

Keďže linux je flexibilný a distribúcia LEAF zvláda routing bez problémov vznikol prvý design zapojenia. Samozrejme požadovaná rýchlosť si vyžaduje aj silný hardware. Preto jednoznačne padol výber na hardware od PC Engines GmbH , konkrétne ALIX, ktorý má výkonnejší procesor a viac pamäte priamo na boarde.
Prvotný design zapojenia bol navrhnutý s jedným zariadením s ethernetom a 2x WiFi kartou na každej strane.

obr. č. 1.: prvotný návrh designu zapojenia

Samotné testy začali konfiguračným templatom na jednom zariadení. V tomto prípade som zisťoval, či zariadenie vôbec dokáže prijať plánovanú konfiguráciu a či jednotlivé časti konfigurácie budú spolupracovať. Mnoho problémov sa podarilo odstrániť, alebo obísť, no objavili sa aj také, na základe ktorých som musel meniť design celého riešenia.

Vážnejší problém pri designe podľa obrázku č. 1 vznikol pri definovaní ath0 a ath1 rozhraní do TEQL rozhrania. Jednoducho nie je možné definovať k virtuálnemu teql0 rozhraniu athx, možné je pridávať len ethx rozhrania.

Vzhľadom k tomuto obmedzeniu som zmenil design. Keďže hardware ALIX nie je finančne náročný, úlohy ktoré boli pôvodne plánované do jedného zariadenia som distribuoval na viac zariadení na jednej strane. Vznikol návrh, kde na každej strane boli navrhnuté 3ks zariadení ALIX. Jedno zariadenie, ktore robí samotný Load Sharing a 2ks zariadení ALIX, ktoré robia bridge medzi ethernet a wifi rozhraním.
V tomto prípade som ale musel počítať s napájaním pre 3ks zariadení na každej strane a umiestnením týchto zariadení na stožiari. Našťastie, toto je menší a riešiteľný problém. Takže padlo definitívne rozhodnutie pre design č. 2.

obr. č. 2.: finálny návrh designu zapojenia

Z histórie viem, že najväčší problém robia wifi karty, finálnym designom č.2 bol eliminovaný výpadok celej trasy v prípade zaseknutia čo i len jednej wifi karty. Ak by nastal tento problém pri designe č.1 (samozrejme traffic sa presmeruje automaticky bez výpadku do funkčnej trasy), bol by potrebný reštart zariadenia, čo znamená výpadok na 1 až 2 minúty (pri down/up wifi rozhrania sa teql interface nespamätal a bol nutný reštart).
Pri designe č.2 tento problém nenastáva. Wifi rozhranie môžete zhodiť/nahodiť a teql rozhranie, keďže je na inom zariadení automaticky zistí opätovné oživenie vadnej trasy a začne fungovať load sharing.

Pri tomto designe je potrebné zariadenia sledovať cez SNMP alebo Syslog. Nám sa stalo v živej prevádzke, že na jednom zariadení, ktoré robí bridge, sa pokazil napajací zdroj, traffic sa presmeroval automaticky na funkčnú trasu a týždeň si to nikto nevšimol.  Keď sme to zistili, bolo dostatok času na opravu a všetko fungovalo. Po oprave load sharing zistil, že obe trasy sú funkčné a zapojil do prevádzky obidve trasy, opäť bez výpadku. Na jednej strane ma tešilo, že backup reálne funguje, ale na druhej upozornilo na potrebu monitorovania týchto zariadení.

obr. č. 3.: comps použité pri vývoji a testoch

Configuration

Pri návrhu konfigurácie bolo potrebné urobiť pár základných vecí:
1) prepojenie Bridge zariadení vo vzduchu cez AP, Ad-Hoc, alebo WDS.
2) Bridge medzi Ethernet a WiFi rozhraním
3) Load Sharing
4) funkčný backup

Pri konfigurácií WiFi som potreboval bridging (WiFi/Ethernet). Rozhodol som sa pre WDS. Bolo to najjednoduchšie riešenie a vyžadovala si to IP adresácia pre Load Sharing. Keďže na zariadeniach  beží OS Linux konkrétne LEAF, do kernelu som musel pridať moduly pre Bridging, defaultne tam nie sú. Všetko fungovalo bez problémov na prvý pokus. Read the rest of this entry »

switch from linux to mac

Dnes som si prečítal zaujímavý článok uživateľa, ktorý switchol z linuxu na mac. Keďže mne sa to podarilo v minulom roku tiež a plánoval som napísať o mojích pocitoch a skúsenostiach s týmto OS, prikladam linku Read the rest of this entry »