• 08621 - 9 88 30 88

Autor-Archiv cubewerk

Voncubewerk

vmware trunking howto

Um von einem physikalischen Switch, zu dem virtuellen vSwitch0 in VmWare Vlans zu nutzen, muss ein Vlan-Trunk (Vlan Tagging) am Uebergang genutzt werden. Auf der VMWare-Seite wird automatisch!! ein Vlan-Trunk angenommen. Es ist keinerlei Konfiguration noetig.

Nun kann pro virtueller Portgruppe in VMware eien Vlan-ID definiert werden. Es kann ebenso die VLAN ID 4095 definiert werden. Nun baut der vSwitch0 einen VLAN-Trunk zwischen einer virtuellen Maschine und dem virtuellen vSwitch0. Hierzu ist es nun noetig, dass in der virtuellen Maschine ausgehende Pakete getagged werden.

Voncubewerk

802.1x – Cisco – single host / multi-host howto

Rollt man 802.1x im Netzwerk aus, geht man hauefig davon aus, dass hinter jedem Port ein einziger Rechner / Drucker haengt, welcher sich selbst authentifiziert. Dies ist auch die Standardkonfiguration bei Cisco-Switches ala:
interface FastEthernet 5/48
switchport mode access
authentication port-control auto
dot1x pae authenticator
authentication host-mode single-host

Hat man jetzt jedoch hinter einem Port nochmal einen SOHO-Switch mit 8-Ports, wo unterschiedliche Endgeraete mit und ohne 802.1x-Funktionalitaet, haengt aus Sicht des Switches hinter einem Port nicht nur ein Geraet. Hierzu muss obige Konfig dann angepasst werden:

authentication host-mode multi-host

Voncubewerk

Motorola RFS6000 facts

Motorola RFS6000 WLAN-Switch facts: Controller kann pri/sec-Firmware halten
Firmware der AccessPoints wird durch WLAN-Switch aktualisiert
pre-WIOS ist Marketing blabla von Motorola und meint vermutlich ehemalige AP-Firmwares.
AP300 = WSAP-5110 (externe Bezeichnung / interne Bezeichnung)
Für AP300 benötigt man eine AP-Lizenz (die teuerste)
Für andere APs eine AAP-Lizenz
Die AccessPoints werden standardmäßig auf Layer2 angesprochen per MAC-Adresse
Jeder WLAN-Switch hat automatisch eine cluster-Lizenz. Lizenzen einzelner Switche werden auf den Cluster verteilt.

Beispiel:
RFS-6000-(1) hat 8 AP-Lizenzen
RFS-6000-(2) hat 8 AP-Lizenzen
Ergibt 16 Lizenzen für den Cluster. Fällt ein Switch aus, hält der andere übergangsweise die 16 Lizenzen.
Zugriff per rs232(serial)

Username: cli – jetzt ist man im Consolen-Login-Fenster. User/Pass ist dann admin:superuser
IP ist bei Version 4.x nach einem Downgrade vom mgmt-If: 10.1.1.100

Voncubewerk

DNAT SNAT facts!

Auf einem Router reicht eine DNAT-Regel aus um den Empfaenger zu ändern. Die passende SNAT-Regel wird intern von netfilter angelegt. Voraussetzung für die korrekte zurück-Umsetzung ist, dass die Antwortpakete über den Router gehen.

Möchte man von einem PC auf einen anderen mit einer DNAT-Regel weiterleiten ist jedoch zwingend ebenso eine SNAt-Regel nötig. Denn hier ist der ursprüngliche PC kein Router und bemekt auch die Antwortpakete nicht.

Voncubewerk

sata 150/300 drive performance ahci vs. ata

This is a short overview how the linux kernel deal with sata drives and how performance can be increased

All new disk controllers can be run in either ATA or AHCI mode. AHCI-Mode is often called RAID-mode in the appropriate section of the computers BIOS. Using a 2.6.26 kernel (debians default one in lenny) and the disk-controller in ATA-mode will force the kernel to use the old ata_piix module/driver to access the harddrives. As this is an old way to access the harddrives for the sake of compatibility – the throughput is not very impressive. In my case on a HP DL320 G6, the read/write performance is between 20-30mb/sec on a raid5.

The AHCI-mode (Advanced Hardware Control Interface) is a general way to use newwer chipsets through the same driver. A big advantage by using AHCI is to be able to use NCQ on disks as well as hotplugging drives on supported chipsets. In my case, after switching to AHCI-mode in bios, the write/read performance was pushed to 50-60mb/sec on my raid5 set.

backup:~# dmesg | grep ahci
[ 2.366458] ahci 0000:00:1f.2: version 3.0
[ 3.374702] ahci 0000:00:1f.2: AHCI 0001.0200 32 slots 4 ports 1.5 Gbps
0xf impl RAID mode [ 3.374706] ahci 0000:00:1f.2: flags: 64bit ncq sntf ilck stag pm led
clo pmp pio slum part [ 3.378007] scsi0 : ahci
[ 3.378007] scsi1 : ahci
[ 3.378007] scsi2 : ahci
[ 3.378007] scsi3 : ahci

Voncubewerk

Creating Bind DNS-Entries with regular dyndns-clients in routers

Today came a message on debian-user-german up if there is a way to create BIND-compliant DNS-Updates with regulars dyndns-clients from routers. The Idea behind this is to get rid of dyndns.org services and provide an independend way to maintain dynamic dns entries for boxes without a static ip-address without the need of dyndns providers. The goal was to create a text file which could be used as input for nsupdate with cron to run it frequently.

As this was a quick and dirty hack, ideas to improve the current setup are greatly appreciated.

Server side requirements:

Working Bind setup
Apache with cgi capabilites
perl
nsupdate

Router-requirments:

The router must be able to let the user specify a special update-url for dyndns-updates. In my case i used a FRITZ!Box Fon WLAN 7113

Specify the following URL as an UPDATE-Url in your routers dyndns-setup:

http://hostname.tld/cgi-bin/dns.cgi?user=<username>&pass=<pass>&hostname=<domain>&myip=<ipaddr>

Most routers provide fields to specify username and password as well as the domain. On my fritzbox the variables (marked in <variable>) get replaced at runtime.

username is stefan in this example
pass = geheim
hostname = dyndnstest.plzk.de
ipaddr get replaced by the current ip-address of the routers wan-interface

On the serverside, use the following perl snippet in your cgi-bin directory and call it dns.cgi:

#!/usr/bin/perl -w

# if the router sends a correct update string
if ($ENV{QUERY_STRING} =~ /username=(.*?)&pass=(.*?)hostname=(.*?)&myip=(.*)/) {

# and the supplied username & password is correct as well
if ($1 eq ’stefan‘ and $2 eq ‚geheim) {

# then confirm the update with an OK (good)
print print $3 IN A $4 good“;

# add a nsupdate-compliant line to a temporary file
# can be used afterwards with nsupdate /tmp/zonetest
# this can be done automatically by a cronjob

`/bin/echo „update add $3 600 IN A $4“ &gt; /tmp/zonetest`;
}
}
else
{

# if something went wrong, reply with a temporary error (911)
print „a problem occured – 911“;

If we setup everything correctly, the client sends the following string to the webserver

91.8.21.139 – – [29/Dec/2009:19:45:08 +0100] „GET /cgi-bin/dns.cgi?user=stefan&pass=geheim&hostname=dyndnstest.plzk.de&myip=91.8.21.139 HTTP/1.1“ 200 23 „-“ „Fritz!Box DDNS“

Right after that, we have a new entry in /tmp/zonetest

# more /tmp/zonetest
update add dyndnstest.plzk.de 600 IN A 91.8.21.139

which could be now used with nsupdate to update the zone-informations for the domain *.plzk.de

Voncubewerk

nsclient++ check_nt check_nrpe

Sicherheit – Fehlanzeige. Gab es bei check_nt wenigstens noch die Möglichkeit, sich mit einem Kennwort am nsclient++ zu authentifizieren, gibt es mit check_nrpe jetzt zwar SSL-Verschlüsselung, jedoch keine Authentifizierung mehr. Schön blöd. Es lässt sich zwar mit allowed-hosts definieren, welcher Rechner werte abfrägt, dies ist aber mit ARP-Spoofing keinerlei Sicherheit. Da nur check_nrpe die Möglichkeit bietet, beliebige Skripts auf dem entfernten Windowsrechner auszuführen, führt kein Weg daran vorbei.

Voncubewerk

debugfs rulez!

Aufsetzen eines Rechners aus altem Backup-Tar-file. Dateisystem erstellt – Daten zurück – alles prima. Bis zum reboot! Unsupported filesystem features. ARGL!!!

Mit debugfs -w /dev/cciss/c0d0p3
feature -FEATURE_C4 -FEATURE_C5 die unbekannten Features deaktiviert
close
quit
problem solved!1 😉

Voncubewerk

Squid CONNECT skype – Kerberos

Nach sehr langem Suchen hier die Information. Proxyserver mit Kerberos-Authentifizierung gegen Windows AD. Skype kann den Proxy nicht verwenden, da Skype keine Negotiate authentication kann. Sieht man auch schön an den Log-Einträngen mit TCP_DENIED/407 CONNECT gegen IPs und am Ende der Zeile ein fehlender Login. Grrrr. Von der Basic-Authentication wollten wir extra weg.

Nachtrag da ich das aber haben will, hab ich mal einen Bugreport geschrieben:

https://jira.skype.com/browse/SCW-3516

 

Link geht aber scheinbar nicht mehr, weil Skype jetzt MS ist…

 

Voncubewerk

generate random bytes with openssl

I was unsure if i should have called this cool stuff. Indeed it is but lets stick to my regular sections on this page. Here we are. It jumped to my mind yesterdays when i was looking for a method to generate input to a rar-file cracker. Here is the idea:

# openssl rand -base64 5