31 mai 2017

Stiu ce ai facut duminica la ora 12:40

A trecut mult timp de cand n-am mai postat aici. Intre timp s-au schimbat multe, dar eu am ramas la fel de nebun.

Postul asta o sa fie un exemplu ca nu trebuie sa va conectati pe toate retelele wireless pe care le gasiti open, sau:
1. sa aveti grija ca site-urile pe care le accesati sa stie HTTPS (si nici atunci nu esti ferit total de un atac MITM)
2. sa treceti traficul printr-un VPN.
3. sa folositi cat mai mult posibil SSL.

Regulile ar trebui sa fie respectate mereu, mai ales cand nu cunoastem reteaua in care ne aflam.

Astea fiind spuse: (am blurat partile mai sensitive)







Pozele 1,2,3 au legatura intre ele, restul nu.
Link catre melodie, pentru lenesi. Link-ul o sa se redirecteze catre asta.

24 ian. 2016

Mikrotik

Am renuntat la ideea de Mikrotik pentru ca am tot citit ca nu stie sa faca Gigabit pe NAT. Sunt cateva care stiu, dar costa vreo 400$, asa ca am decis sa-mi iau de la Emag un Microserver HP Gen8. A fost oferta zilele astea si l-am gasit la 600 de lei. A fost amuzant, m-am trezit de dimineata si initial era 650 de lei. Am ajuns la munca si m-am sfatuit cu colegii si am ajuns la concluzia ca merita. Cand m-am uitat iar pe site l-am gasit la 600 de lei.

A ajuns acasa si... e micut. Si misto. Si linistit. Si cel mai bun router pe care l-am avut vreodata.






Am luat un netinstall de mikrotik x86 si l-am pus pe el. In cateva ore aveam un router semi-configurat care ducea gigabit cu efort minim. M-am culcat linistit.

A doua zi m-am trezit de dimineata si am descarcat un torrent. Cu 80MB/s. N-avea treaba.
Apoi mi-a crapat la munca. Intr-un fel. Cand l-am configurat am facut un bridge intre interfete (asa am vazut prin exemplele de configurare, dar am ajuns la concluzia ca daca fac masqueradare nu ma e nevoie). DHCP-ul era pus pe interfata de brigde, cand am dezactivat-o... pula net. Am reusit sa ma conectez de la munca prin Winbox la el si sa repar prostia.

Am ajuns acasa si m-am pus iarasi pe teste. Download OK. Saracia de upload nu ducea mai mult de 80-90Mbps. Am scos cablul din WAN si l-am pus in PC. Rerulat testul de viteza: 800/800. Pus la loc in MikroServer: 800/80. M-am prins ca de vina e Archer-ul care nu se descurca nici macar ca switch.
Dupa ce am editat scriptul meu minune, si am dat un restart aveam iar viteza 800/800.

Apoi am facut un test vreo 10 minute cu trafic generat intre MikroServer si PC:


E ceva dubios acolo, arata throughput de ~1.2Gbps. Din punct de vedere al performantelor, smecheria asta cred ca muta si 10Gbps din WAN in LAN cu NAT activat, fara probleme, placi si fire sa ai.

Acum problema mea e la cacatul ala de Archer. Poate am nimerit eu un model prost, poate e vreo conditie dubioasa si trece din 1000 in 100... Ideea e ca Archeru' e de de cacat.

Ce am invatat pana acum:
- trebuie sa te protejezi mereu. Foloseste mereu "Safe Mode". (ca sa nu-ti tai craca)
- am pierdut iLO-ul si mi-e lene sa-l rezetez. Ma interesa in special sa fac upgrade de firmware pe HP, da' plm. L-am pierdut in sensul ca l-am pus pe port shared si acum nu ma mai pot conecta la el. Nu cred ca se pupa ceva. Cum am zis, mi-e lene sa-l resetez.
- cumpara mereu cabluri mai lungi. Spatiu mai mare. Da-i sa aiba.
- nu lua niciodata TP Link-uri. Orice de la TP-link. Aer, faina, merdenele, etc.
- poti face o gramada de cacaturi in MikroTik, unele de care genul de persoane care sunt multumite cu firmware-ul stock pe routere n-au auzit niciodata. Imi place ca la baza e Linux. Si face ce ii spui. Ii zici sa-ti taie craca? O face.
- e cu mult peste routerele SOHO chiar si cu licenta L1. Cu mult peste. Daca vrei anumite lucruri, atunci trebuie sa platesti 160 de lei licenta de L4. Dar n-ai neovie de RIP, BGP si alte chestii. Singurul lucru pe care l-as folosi ar fi VLAN-urile. Dar nu tin neaparat.

TL;DR: Ma pis pe TP-Link.

8 dec. 2015

Networking si nu numai

Vreau sa-mi dau licenta pe networking desi job-ul meu e Linux Administrator. Vreau sa fac asta in primul rand pentru ca vreau sa inteleg mai multe despre cum functioneaza o retea si mi se pare interesant sa studiezi si partea asta a IT-ului, nu numai sistemele de operare.

De vreo 6 luni de cand lucrez ca admin am intalnit urmatoarele dume sau situatii ce zic eu ca merita trecute in calendar(luate in ordine inversa):

Asta s-a intamplat astazi:
Vorbeste un coleg cu un admin de succes si aud printre picaturi, pe langa clasicele ("ai dat ping, de ce n-ai dat, cum adica in ce IP sa dai ping")
"De obicei cu TTL de 64 ce echipament raspunde?"
"TTL de 64 e default pentru Layer4"

si

"E virtual serverul ala?"
"Da!"
Cum ti-ai dat seama?"
"Pai ma uit la el!"


Acum cateva saptamani, acelasi admin a incurcat firmele la care trebuia sa ajunga pentru a opri un server de virtualizare si a-i face ceva mentenanta(una e franciza pentru cealalta, ideea e ca a incurcat sediile intre ele sau ceva de genul). A ajuns acolo, ne-a zis sa oprim serverul ca sa nu-l opreasca el, noi am oprit serverul. El tot intreba: l-ati oprit? Noi ii tot ziceam ca e oprit, ca nu ne mai putem conecta pe el, el tot insista ca e pornit. In 2 minute dupa ce s-a oprit serverul a inceput sa sune telefonul la Level1 ca la firma X1 "nu mai merge xyz". El era in locatie la X2, ne-a pus sa oprim serverul de la X1...


Tot acum cateva saptamani am aflat ca providerii uneori nu dau IP-uri compatibile cu placa de retea. Clientul era speriat si curios in acelasi timp, mai stia ceva IT, dar nu prea avea experienta. Era genul de client cu care mai merge sa faci caterinca, dar nu prea s-a prins de data asta si voia sa sune la provider. Cica s-a lamurit treaba pana la urma.

Tot legat de IP-uri, ma tot punea un client sa-i mut un IP de pe o masina virtuala pe alta, eu tot incercam sa-i explic ca nu o sa mearga ca pe masina aia e un IP din alta clasa, nu stiu daca se ruteaza si e posibil sa nu mearga. Atunci am aflat si eu mai multe despre cum se routeaza IP-urile si cum se anunta rutele. Atunci a aflat si el de un cuvant nou si m-a batut la cap vreo 2-3 zile sa-i fac o lista cu toate IP-urile rutate de pe serverele lui.

Tot la acelasi client, am patit sa am setata pe o interfata virtuala IP-ul de broadcast. Pe interfata aia era pus apache-ul sa asculte si trebuia sa fie un site pe IP-ul respectiv. Ne-am trezit intr-o zi ca ne suna asta sa ne zica ca nu mai poate accesa site-ul. Am stat ceva timp sa ma prind de ce inainte a functionat site-ul si acum nu mai functioneaza: pentru ca nu a functionat niciodata!

Un admin de succes a reusit sa puna pe un echipament un IP cu .300.
Altul ne pune in monitorizare  serverul cu clasa interna. (monitorizam din afara) Si nici macar IP-ul intern, ci clasa! 192.168.0.0/24

I-am explicat unuia de vreo 3 ori, doua zile la rand de ce mailurile de la X ajung de 2 ori la persoana Y. X trimitea catre Y si Z, Z avea facut forward catre Y.

Mi-am dat seama ca nu numai unii provideri sunt putin poponari si nu dau IP-uri cum trebuie, dar si alte firme au ceva probleme. Client cu MPLS, server in "cloud" cu doua interfete, am incercat sa ma joc cu interfetele astfel incat una sa iasa prin interfata ce facea NAT si cealalta prin MPLS. Pus GW pe interfata cu MPLS, scos GW, setat prin porcaria lor de interfata reguli, jucat cu metricele, nimic: clientul nu ajungea de pe x.x.y.z/16(la el in sediu) in x.y.z.t/16.(serverul).
Dat mail la "cloud", explicat "eu Linux mai mult, eu retele mai putin, help?", raspuns "noi Cloud mai mult, noi retele mai putin, sunam la retele si te anuntam".
Primit raspuns de la retele: "pune ruta statica catre y.y.a.b/16". Zic colegului de la networking de langa mine "eu Linux mai mult, eu retele mai mult ca astia".


Mai continui cand imi aduc aminte.

26 oct. 2015

Gigibit

Aparent noul meu router gigabit e cam fraier si dupa 2-3 zile trece in 100 automat. Singura modalitate de a-l resuscita e reboot-ul. (am incercat deja clasicul scos firul, bagat firul, poate isi ia link de 1000, dar nu functioneaza asa. Am incercat-o si pe aia cu scos firul, bagat in PC, luat link de 1000, bagat la loc in router, luat link de 100, deci problema e la echipamentul meu)


Asa ca...

1. te gandesti sa iti iei un Mikrotik cum trebuia sa faci de la inceput, sau ceva mai scula, nu jucarie de TP-Link (singurul inconvenient la Mikrotik ar fi ca n-ai 5GHz si AC, daar macar am firewall)
2. ii dai restart la cateva zile cand vezi ca trece in 100.

Am ales varianta 2, dar un pic mai syadminica:


Starting Nmap 6.40 ( http://nmap.org ) at 2015-10-25 23:27 EET
Nmap scan report for 192.168.0.1
Host is up (0.0092s latency).
Not shown: 996 closed ports
PORT     STATE SERVICE
22/tcp   open  ssh
23/tcp   open  telnet
80/tcp   open  http
1900/tcp open  upnp

SSH? Pe un TP-Link Archer C2? Nice.

ssh root@192.168.0.1
root@192.168.0.1's password: 
PTY allocation request failed on channel 0
shell request failed on channel 0

Mi s-a taiat elanul, dar mai aveam un as in maneca: clasicul telnet. Miezul din Fanta. Baiat de baiat.

telnet 192.168.0.1
Trying 192.168.0.1...
Connected to 192.168.0.1.
Escape character is '^]'.

username:root
password:

-----------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------
Welcome To Use TP-LINK COMMAND-LINE Interface Model.
-----------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------
TP-LINK(conf)#


Hopa. Avem CLI in router! Daca avem CLI si suntem root, inseamna ca:
- pot vedea statustul porturilor
- pot pune jos intrefata WAN sau sa resetez ceva din router sa-si ia inapoi link de 1000
- pot sa vad o gramada de chestii din router la care nu ai acces in GUI

Dar de fapt nu prea. Tot ce pot sa fac e asta:

TP-LINK(conf)#help
normal mode commands:
        clear           ---     clear screen
        exit            ---     leave to the privious mode
        help            ---     help info
        history         ---     show histroy commands
        logout          ---     logout cli model
config mode commands:
        config          ---     enter config mode
        igmp            ---     igmp config
        wan             ---     wan config
        wlctl           ---     wireless config
        lan             ---     lan config
        dev             ---     device control


Am zis ca nu e rau pana la urma... Adica nu ma asteptam sa am telnet pe routerul asta, sau sa fac chestii (mai) avansate cu el, dar...


TP-LINK(conf)#wan show status 

INDEX=1
{
status=Up
}
TP-LINK(conf)#

sau

TP-LINK(conf)#lan show status 

INDEX=1
{
DHCPServerEnable=1
DHCPRelay=0
X_TP_DhcpRelayServer=0.0.0.0
minAddress=192.168.0.100
maxAddress=192.168.0.110
enable=1
IPInterfaceIPAddress=192.168.0.1
IPInterfaceSubnetMask=255.255.255.0
IPInterfaceAddressingType=Static


Nu prea ma ajuta.


Mergeam deja inspre punctul 1, iar TP-Link-ul meu se ducea din ce in ce mai mult spre fereastra.
Am stat putin, m-am gandit, m-am uitat iar la el si intre milisecunda in care am vrut sa-l arunc pe geam si milisecunda in care dadeam click pe "Comanda" mi-a sarit in ochi linia "dev  ---  device control", in special ultimul argument

"TP-LINK(conf)#dev
reset
reboot"

In momentul ala in mintea mea s-a pupat un cronjob:
0 4 * * * /root/rb_rt.sh

cat /root/rb_rt.sh:

#!/bin/bash
{ echo "root"; sleep 1; echo "aivreatuda'nu-timerge"; sleep 1; echo "dev"; sleep 1; echo "dev reboot"; sleep 5; } | telnet 192.168.0.1

Pus scriptul pe RsapberryPi sa ruleze in fiecare noapte -> case solved.

TL;DR: Cacat de router, trece din 1000 in 100 cand i se scoala lui. Nu ma face pe mine un router, telnet in el la ora 4 -> restart.