DETALLES DE OPERACION DE MONITOREO CON NAGIOS
nagios file
server-----------red------------server
El monitoreo consiste en 02 etapas:
1.- a nivel de host (check-host-alive)
2.- a nivel de servicio (*service de red / **componentes internos)
*Los servicios de red se monitorean a nivel de puertos TCP/UDP
**Los componentes internos se monitorean mediante agente nsclient
MONITOREO DE HOSTS (host alive)
------------------------------
hosts --> revisa si host es disponible en red (check-host-alive definido en
/usr/local/nagios/etc/objects/fierros.cfg)
Esto se logra mediante icmp (ping)
Para de agregar un nuevo host a monitorear agregar en /usr/local/nagios/etc/objects/fierros.cfg
define host{
use generic-host
host_name www.viru.com.pe
alias www.viru.com.pe
check_interval 4
check_period 24x7
max_check_attempts 4
notification_interval 6
address 10.10.16.21
notifications_enabled 1
contact_groups admins
check_command check-host-alive
}
Verificar sintaxis con /usr/local/nagios/bin/nagios -v /usr/local/nagios/etc/nagios.cfg
MONITOREO DE SERVICIOS y COMPONENTES
------------------------------------
Los servicios de red (de servicio al usuario) son revisados mediante red
sobre puertos TCP / UDP. Por ejemplo para un servidor ftp, se conoce que
este opera sobre el puerto 21 en TCP.
Para agregar este nuevo servicio a monitorear (de red) agregar en
/usr/local/nagios/etc/objects/servicios.cfg :
define service{
use generic-service
host_name srvftp01
service_description FTP
check_command check_ftp
}
Por otro lado, Los componentes son revisados mediante un agente que en nagios se llama NSCLIENT
Estos componentes pueden ser memory, cpu, disk space, etc.
detalles de parametros de nsclient
http://nagios.sourceforge.net/docs/3_0/monitoring-windows.html
http://nsclient.org/nscp/wiki/doc/usage/nagios/nsclient
Los detalles de configuracion de los componentes se encuentran en :
/usr/local/nagios/etc/objects/serviciosnsclient.cfg
Para agregar monitoreo de componentes agregar :
############################### makina
define service{
use generic-service
host_name makina
service_description NSClient++ Version
check_command check_nt!CLIENTVERSION
}
define service{
use generic-service
host_name makina
service_description CPU Load
check_command check_nt!CPULOAD!-l 5,80,90
}
define service{
use generic-service
host_name makina
service_description Memory Usage
check_command check_nt!MEMUSE!-w 80 -c 90
}
define service{
use generic-service
host_name makina
service_description C:\ Drive Space
check_command check_nt!USEDDISKSPACE!-l c -w 80 -c 90
* NSCLIENT es un agente para sistemas operativos tipo windows
PARA GENEREAR REPORTES
----------------------
Crearlo en link "Availability" ( host y servicios )
FLAPPING
--------
estado infedinido / transicion donde no se tiene preciso de manera determinante
si el estado del device monitoreado es UP o DOWN
11.11.2010
10.08.2010
linus torvals interview
Linus es un asistente frecuente de la conferencia Linux.conf.au (el año pasado fue visto paseando en la conferencia en un Segway de fabricación local, posiblemente el momento más geek de la historia). Está de vuelta en la conferencia éste año y fué emocionante conseguir un entrevista con él ayer.
Le expliqué a Linus que los lectores de Lifehacker estarían interesados en saber como es su trabajo diario con la computadora, como es la configuración de su escritorio y que sugerencias de productividad tiene para ofrecer. El resultado fué mucho más común y simple que lo que podrías esperar.
"Soy la persona menos organizada que hayas conocido. Mi escritorio es un completo desorden. No organizo mis correos electrónicos, todo está en una gran carpeta de correos.", dice Linus.
Dice que trabaja principalmente con ventanas basadas en texto en lugar de GUIs, con múltiples ventanas abiertas al mismo tiempo. Pero no es el tipo de persona que usa varios monitores. "Sólo tengo un monitor de 24, 1920 por 1200."
Incluso su lector de correo es completamente basado en texto, así que no te molestes en enviarle correos HTML. "No quiero gráficos bonitos.", explica. "No hago procesamiento de texto. Lo único gráfico está en mi navegador (Firefox)."
Usa una aplicación de correo basada en texto llamada Alpine (la nueva versión del antiguo programa de correo Pine de la Universidad de Washington). "Uso el teclado para todo."
Cuando se le pregunta sobre su sistema de productividad él tiene establecidas algunas directivas bastante claras.
"Me dí cuenta que la mejor manera de matar la productividad es dar charlas e ir a reuniones," dice Linus, que ahora evita hacer ambas cosas. "Aún habiéndome preparado para una charla la noche anterior termino estresado por éso las 2 semanas anteriores." "Así que mi calendario está en esencia vacío."
Dice que planifica por adelantado un par de conferencias a las que le gustaría asistir cada año (las cuales incluyen a Linux.conf.au). Recientemente hizo salir la última versión estable del núcleo Linux (2.6.23.14) eligiendo la fecha deliberadamente de forma de poder terminarlo antes de viajar a Australia para la conferencia LCA.
Otra componente de su sistema de productividad es KAlarm, un programa de notificación para el escritorio KDE. Dice que tener una notificación emergente para cosas como "recoger a los niños en la escuela" es imprescindible.
¿Cómo hace Linus para estar en contacto en el camino? ¿Escribe mensajes texto como loco? No parece, ¿no?
"Odio los teléfonos móviles. No tengo uno," dice. "Son una forma de esparcir ésa maldad y llevarla contigo todo el tiempo."
El correo electrónico es su preferencia más fuerte para comunicarse. "No hago ninguna actividad por teléfono."
El chat también está descartado, es sólo una distracción. "No uso IRC, odio ésos programas de chat. Son en tiempo real así que tienes que contestar e interactuar sincronizadamente. Simplemente no encaja en mi estilo de trabajo", dice. "Soy muy malo en la multi-tarea. Cuando leo un libro aparto todo lo demás. Odio los teléfonos, te molestan. Cuando tienes un canal IRC abierto los mensajes te molestan."
"Quiero sentarme en mi estudio oscurecido y hacerlo con mis propios tiempos, así es como trabajo!"
Ahí tienes, algunos métodos comunes y simples para mantener tu trabajo basado en texto y asegurarte que tu lugar de trabajo esté libre de distracciones, cortesía de la leyenda geek Linus Torvalds.
Gracias a Linus por hacerse un tiempo para hablar con Lifehacker AU y a Linux.conf.au por ayudar a preparar la entrevista
9.24.2010
minimal setup for mysql
Considerar que mysql en RHEL5 registra en un log del sistema operativo /root/.mysql_history, situacion que el dba debe evitar dentro de un entorno real de produccion.
Como acciones minimas de setup orientadas a un ambiente mysql un poco mas seguro se tienen que modificar algunos valores default:
Eliminar la base de datos test :
mysql> drop database test;
Query OK, 0 rows affected (0.00 sec)
mysql> show databases;
+--------------------+
| Database |
+--------------------+
| information_schema |
| mysql |
+--------------------+
2 rows in set (0.00 sec)
Query OK, 0 rows affected (0.00 sec)
mysql> show databases;
+--------------------+
| Database |
+--------------------+
| information_schema |
| mysql |
+--------------------+
2 rows in set (0.00 sec)
Considerar que information_schema es algo asi como una vista de tablas, mas no neceariamente una base de datos fisica, es decir no existe debajo de /var/lib/mysql
Seleccionar base de datos mysql (base de datos por defecto), y eliminar la tabla db
mysql> use mysql;
Database changed
mysql> delete from db;
Query OK, 2 rows affected (0.00 sec)
Database changed
mysql> delete from db;
Query OK, 2 rows affected (0.00 sec)
Bien ahora miramos el contenido de la tabla user en los campos user,host y password:
mysql> select user,host,password from user;
+------+--------------------------+------------------+
| user | host | password |
+------+--------------------------+------------------+
| root | localhost | 638eb620101706b4 |
| root | server.obrasmasobras.com | |
| root | 127.0.0.1 | |
| | localhost | |
| | server.obrasmasobras.com | |
+-----+--------------------------+-----------------------------+
5 rows in set (0.00 sec)
Pues hay algunos registros inseguros, sin password por ejemplo!, por ejemplo el tercer registro dice que si yo ingreso como root@127.0.0.1 no me pedira password? a ver intentamos ..?
+------+--------------------------+------------------+
| user | host | password |
+------+--------------------------+------------------+
| root | localhost | 638eb620101706b4 |
| root | server.obrasmasobras.com | |
| root | 127.0.0.1 | |
| | localhost | |
| | server.obrasmasobras.com | |
+-----+--------------------------+-----------------------------+
5 rows in set (0.00 sec)
Pues hay algunos registros inseguros, sin password por ejemplo!, por ejemplo el tercer registro dice que si yo ingreso como root@127.0.0.1 no me pedira password? a ver intentamos ..?
[root@server ~]# mysql -u root@127.0.0.1
Welcome to the MySQL monitor. Commands end with ; or \g.
Your MySQL connection id is 12
Server version: 5.0.77 Source distribution
Type 'help;' or '\h' for help. Type '\c' to clear the buffer.
mysql>
Welcome to the MySQL monitor. Commands end with ; or \g.
Your MySQL connection id is 12
Server version: 5.0.77 Source distribution
Type 'help;' or '\h' for help. Type '\c' to clear the buffer.
mysql>
o ..
[root@server ~]# mysql -u @localhost
Welcome to the MySQL monitor. Commands end with ; or \g.
Your MySQL connection id is 16
Server version: 5.0.77 Source distribution
Type 'help;' or '\h' for help. Type '\c' to clear the buffer.
mysql>
Caraxo... entonces debemos eliminar tales registros inseguros correcto?
Welcome to the MySQL monitor. Commands end with ; or \g.
Your MySQL connection id is 16
Server version: 5.0.77 Source distribution
Type 'help;' or '\h' for help. Type '\c' to clear the buffer.
mysql>
Caraxo... entonces debemos eliminar tales registros inseguros correcto?
mysql> delete from user where (user="" and password="");
Query OK, 2 rows affected (0.00 sec)
Query OK, 2 rows affected (0.00 sec)
mysql> delete from user where (user="root" and password="");
Query OK, 2 rows affected (0.00 sec)
Query OK, 2 rows affected (0.00 sec)
Ahora, deshabilitamos el puerto tcp con skip-networking
Finalmente, borrando algo de huellas del file system
Finalmente, borrando algo de huellas del file system
[root@server ~]# rm /root/.mysql_history
rm: remove regular file `/root/.mysql_history'? y
[root@server ~]# service mysqld restart rm: remove regular file `/root/.mysql_history'? y
Stopping MySQL: [ OK ]
Starting MySQL: [ OK ]
[root@server ~]#
9.21.2010
rsync and all details
Conservar acls y permisos en una copia mediante rsync se logra con el comando indicado, considerar que lo ejecute con la version 3.x de rsync en el server destino y origen.
#!/bin/sh
rsync -e ssh -aApuvz /home/* 10.2.0.5:/home/
rsync -e ssh -aApuvz /data/* 10.2.0.5:/data/
9.02.2010
rhce successful
8.16.2010
colaborative directory
Para crear un directorio colaborativo, comun para que cualquier usuario miembro de un grupo "sysusers", esto es que por ejemplo si andrew (miembre de sysusers) crea un "filex", luego susan (miembro tambien de sysusers) tambien puede editar el mismo archivo "filex"
Para crear tal directorio se tiene :
#chmod g+s -R /colaborative-dir
Pero este directorio debe tener el ownership de esta manera
#chown -R root.sysusers /colaborative-dir
Ademas:
#usermod -G grupiyo usuario_que_tendra_como_grupo_secundario_a_grupiyo
Osea -G en mayuscula es para edicion de grupos secundarios
#chgrp -R grupiyo directory
En este ejemplo, el grupo grupiyo sera el owner group del directorio directory en forma recursiva..setquota example
Asignacion ejemplo de 30 Mb al usuario fujimori (como root) :
#setquota fujimori 30000 30001 0 0 /ftp
Reportar el estado de las cuotas con repquota -a
#setquota fujimori 30000 30001 0 0 /ftp
Reportar el estado de las cuotas con repquota -a
El tamaño es fijado en Kb
PD : No soy fujimorista y detesto la politica y cualquier forma de estupidez parecida
apoptosis in the world ?
[off topic]
Estuve revisando como se suicida una celula... realmente es maravilloso o perfecto.. el post el cual indico su fuente al final inicia ..
Estuve revisando como se suicida una celula... realmente es maravilloso o perfecto.. el post el cual indico su fuente al final inicia ..
De la misma manera que para que una especie se perpetúe van naciendo nuevos individuos y muriendo los más viejos y/o enfermos, en nuestro cuerpo las células más viejas y enfermas deciden quitarse voluntariamente de en medio para que la vida del organismo persista.
La apoptosis es un fenómeno celular regulado con extremo detalle. Todo comienza con una determinada señal, que puede aparecer en el interior de la célula o en el exterior. Aunque estas señales son muy diversas vamos a mencionar dos situaciones muy características:
-Una célula, tras haber vivido plenamente durante unos meses, ha acumulado tal cantidad de mutaciones en su ADN (causados por rayos ultravioletas, por ejemplo) que no es capaz de repararlos por sí misma. Ante tal circunstancia, la célula prefiere cortar por lo sano antes que funcionar mal y causar problemas a sus compañeras y al organismo en el que se encuentra y, así, decide entrar en apoptosis.
fuente : http://medtempus.com/archives/apoptosis-el-suicidio-celular-que-nos-mantiene-con-vida-i/
human hardware
[off topic]
Viendo un programa en cable (discovery sciencie), me ha interesado mucho una linea de investigacion que quiza es la mas importante, esta linea es sobre regeneraciones de organos, regeneracion celular, el proyecto gnoma humano
Viendo un programa en cable (discovery sciencie), me ha interesado mucho una linea de investigacion que quiza es la mas importante, esta linea es sobre regeneraciones de organos, regeneracion celular, el proyecto gnoma humano
Uno de los objetivos es conocer nuestra genetica o genoma de tal manera como conocemos nuestro grupo sanguineo, esto permitira conocer algo asi como en los cursos de pleneamiento le llamamos nuestro analisis FODA, y asi actuar en esta vida en forma "advertida" y poder prevenir por ejemplo un tipo de alimento por que sabremos que este es incompatible con nuestro genoma o genetica.
Aqui algo sobre genoma humano http://es.wikipedia.org/wiki/Proyecto_Genoma_Humano
http://aportes.educ.ar/biologia/nucleo-teorico/influencia-de-las-tic/podemos-leer-el-libro-de-la-vida-genetica-humana/proyecto_genoma_humano.php
Tambien hay proyectos interesantes sobre como regenerar partes humanas desde extremidades hasta organos !!, osea en algun momento uno podra comprar un higado construido y totalmente valido, como cambiar de ram a nuestro server, o talvez ampliar la fortalezas en nuestra bateria de laptop?. Para esto vi que este proceso se hace tal igual como se construye un edificio, con una "impresora celular", suena bien... raro.. pero supongo que investigare mas para al menos tener compender mejor de ese objetivo de mantener la juventud en un humano.
Hay ciertas celulas, como las de nuestra piel que si tienen un ciclo regenerativo cada 28 dias, pero hay ciertos insectos, algunos reptiles y hasta un raton los cuales pueden regenerar ciertas extremidades, por ejemplo, vi como a un raton que le perforaron su oreja ...esta volvio a reconstruirse por si misma... !
Aqui enlaces sobre regeneracion de organos
http://news.softpedia.com/news/How-Could-Humans-Regenerate-Complex-Organs-43147.shtml
http://future.wikia.com/wiki/Replacement_organs
Aplaudir, pintarse la cara (lo que hacen las chicas), bañarse en perfumes, ciertos desodorantes, y cosas asi.. perjudican la piel y/o articulaciones.. osea.. esta en nosotros cuidar nuestra vida, y no suena muy dificil.
Creo abrire un blog para estos temas, de momento anoto estos sites con info muy interesante...realmente interesante
- http://biologia-en-internet.com/
- http://temas-biologia.blogspot.com/
8.12.2010
service_disable_trans
Revisando los booleans para los servicios confinados se tiene que muchos booleans tienen esta forma *service*_disable_trans --> off por lo que estaba algo confundido en saber exactamente que significaba.
Pues bien, a continuación se indican que estos servicios SI estan corriendo en ambiente SELinux activo.
httpd_disable_trans --> off
portmap_disable_trans --> off
postfix_disable_trans --> off
postgresql_disable_trans --> off
postgrey_disable_trans --> off
postfix_disable_trans --> off
postgresql_disable_trans --> off
postgrey_disable_trans --> off
cupsd_disable_trans --> off
xend_disable_trans --> off
En caso se necesite desactivar la protección SELinux para algun servicio se tendria que modificar a ON el boolean correspondiente, por ejemplo :
setsebool -P xend_disable_trans 1
Donde -P define la persistencia del valor del boolean.
Conviene ovbiamente mantener un ambiente protegido con SElinux, esto es en lo posible conservar los valores OFF.
8.10.2010
swap vs ram
En mi fasttrack rhce tuve este detalle importante que define la diferencia en performance sobre swap y ram :
- ram opera a una velocidad de nano segundos
- swap opera a una velocidad de milisegundos
mount ntfs devices
Compre hace un rato un storage pequeño philips, el cual viene en ntfs, y al montarlo en mi file system RHEL no lo reconoce .. es necesario instalar entonces:yum install fuse-ntfs-3g (desde el repo rpmforge)
luego logre montar como cualquier device :-)
6.29.2010
cisco vn-link and rhev
Al parecer se viene una temporada "nueva", para mi opinion atractiva ...muy atractiva :
En el site de RedHat : http://www.redhat.com/about/news/prarchive/2010/cisco.html?sc_cid=70160000000IhLmAAK, parte de la noticia dice:
"As the Linux market grows, the integration between Cisco's VN-Link technology and Red Hat's KVM hypervisor represents a high-performance virtualization offering for the open source market from two industry leaders, and expands the choices for deploying virtualization on Linux platforms while enabling the same level of security and policy for virtual machines that exists for physical servers."
"With the tight integration between the Cisco Unified Computing System and Red Hat Enterprise Virtualization, we are offering our joint customers significantly enhanced virtualization performance capabilities," said Brian Stevens, chief technology officer and vice president, Engineering at Red Hat. "Today, Red Hat becomes the first Linux vendor to offer an integrated VN-Link virtualization solution with Cisco, marking another important step forward in Red Hat's virtualization and Linux technology leadership."
"The growth of virtualization in the datacenter and cloud computing, coupled with the adoption of Linux-based server infrastructures, has created a need for a simplified solution for virtualized server I/O," said Ed Bugnion, chief technology officer, Server Access and Virtualization business unit at Cisco. "The combination of the Cisco Unified Computing System and Red Hat Enterprise Virtualization means that organizations can take advantage of Cisco innovation backed by the momentum of the open source community, resulting in an open, integrated and tuned environment for virtual infrastructure deployment."
The integrated solution is expected to be available from Red Hat and Cisco later this year in line with the availability of Red Hat Enterprise Linux 6, including the Red Hat Enterprise Virtualization Hypervisor.
For more information about Red Hat Enterprise Virtualization, visit www.redhat.com/rhev. For more information about Cisco VN-Link, visit www.cisco.com/go/vnlink.
6.28.2010
create print server
En el server creamos
[root@server etc]# lpadmin -p zerver-lp18 -v "lpd://localhost/dummy" -m textonly.ppd
[root@server etc]# lpadmin -p zerver-lp18 -E
[root@server etc]# lpadmin -d zerver-lp18
Luego en el server, mediante la herramienta cups basada en web http://localhost:631 debemos compartir esta impresora zerver-lp18
De esta manera cualquier estacion puede imprimir mediante red sobre la impresora zserver-lp18 (en el servidor)
[root@server etc]# lpadmin -p zerver-lp18 -v "lpd://localhost/dummy" -m textonly.ppd
[root@server etc]# lpadmin -p zerver-lp18 -E
[root@server etc]# lpadmin -d zerver-lp18
Luego en el server, mediante la herramienta cups basada en web http://localhost:631 debemos compartir esta impresora zerver-lp18
De esta manera cualquier estacion puede imprimir mediante red sobre la impresora zserver-lp18 (en el servidor)
6.23.2010
date and time on swtiches
Para modelos Cisco 3560 WS-C2960 y WS-C3560G:
vir-prd-swi-80(config)#clock timezone PE -5
vir-prd-swi-80(config)#exit
vir-prd-swi-80#clock set 08:10:00 Jun 22 2010
vir-prd-swi-80#wr
Building configuration...
[OK]
vir-prd-swi-80#sh clock
08:10:07.826 PE Tue Jun 22 2010
vir-prd-swi-80#
vir-prd-swi-80(config)#clock timezone PE -5
vir-prd-swi-80(config)#exit
vir-prd-swi-80#clock set 08:10:00 Jun 22 2010
vir-prd-swi-80#wr
Building configuration...
[OK]
vir-prd-swi-80#sh clock
08:10:07.826 PE Tue Jun 22 2010
vir-prd-swi-80#
6.15.2010
network interface in promisc
Es sumamente sencillo, notar que la palabra PROMISC:
[root@svrids01 ~]# ifconfig eth1 promisc
Revisar con :
[root@svrids01 ~]# ip l
2: eth1: mtu 1500 qdisc noop qlen 1000
link/ether 00:05:5d:8d:2a:c8 brd ff:ff:ff:ff:ff:ff
3: eth2: mtu 1500 qdisc noop qlen 1000
link/ether 00:11:95:b9:73:12 brd ff:ff:ff:ff:ff:ff
4: eth0: mtu 1500 qdisc pfifo_fast qlen 1000
BROADCAST PROMISC MULTICAST MTU:1500 Metric:1
RX packets:0 errors:0 dropped:0 overruns:0 frame:0
TX packets:0 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:1000
RX bytes:0 (0.0 b) TX bytes:0 (0.0 b)
Interrupt:90 Base address:0x2000
Util para recibir trafico y pasarlo a un ids por ejemplo.
[root@svrids01 ~]# ifconfig eth1 promisc
Revisar con :
[root@svrids01 ~]# ip l
1: lo: mtu 16436 qdisc noqueue
link/loopback 00:00:00:00:00:00 brd 00:00:00:00:00:002: eth1:
link/ether 00:05:5d:8d:2a:c8 brd ff:ff:ff:ff:ff:ff
3: eth2:
link/ether 00:11:95:b9:73:12 brd ff:ff:ff:ff:ff:ff
4: eth0:
o tambien :
[root@svrids01 ~]# ifconfig eth1
eth1 Link encap:Ethernet HWaddr 00:05:5D:8D:2A:C8 BROADCAST PROMISC MULTICAST MTU:1500 Metric:1
RX packets:0 errors:0 dropped:0 overruns:0 frame:0
TX packets:0 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:1000
RX bytes:0 (0.0 b) TX bytes:0 (0.0 b)
Interrupt:90 Base address:0x2000
Util para recibir trafico y pasarlo a un ids por ejemplo.
6.14.2010
openvpn on rhel5 | memoria
Este no es precisamente un post sobre un servicio que dejo en produccion, este es un backup de los archivos de configuracion de un servidor openvpn (user to site) que implemente tiempo atras. Pero si espero me sirva de memoria para una nueva oportunidad:
Se tiene el paquete openvpn :
[root@svrvpn01 openvpn]# rpm -q openvpn
openvpn-2.1.1-2.1.el5.al
Lo instale desde los depositos de mi amigo Joel
[AL-Server]
name=AL Server para Enterprise Linux 5
baseurl=http://www.alcancelibre.org/al/server/5/i386/
gpgcheck=0
gpgkey=http://www.alcancelibre.org/al/AL-RPM-KEY~
proto udp
dev tun
#---- Seccion de llaves -----
ca keys/ca.crt
cert keys/viru.com.pe.crt
key keys/viru.com.pe.key
dh keys/dh1024.pem
#----------------------------
server 192.168.37.0 255.255.255.0
ifconfig-pool-persist ipp.txt
keepalive 10 120
comp-lzo
persist-key
persist-tun
status openvpn-status-servidorvpn-udp-1194.log
verb 3
Se tiene el paquete openvpn :
[root@svrvpn01 openvpn]# rpm -q openvpn
openvpn-2.1.1-2.1.el5.al
Lo instale desde los depositos de mi amigo Joel
[AL-Server]
name=AL Server para Enterprise Linux 5
baseurl=http://www.alcancelibre.org/al/server/5/i386/
gpgcheck=0
gpgkey=http://www.alcancelibre.org/al/AL-RPM-KEY~
Estimo que las demas dependencias los instalo usando tambien mi repo local construido a partir de mi dvd.
Recuerdo claramente (aunque no tengo la guia que use a la mano) que todo lo configurable para este servicio esta bajo /etc/openvpn/ ; por ejemplo el archivo de configuracion /etc/openvpn/servidorvpn-udp-1194.conf tiene:
port 1194cp /usr/share/openvpn/easy-rsa/2.0/openssl.cnf ./
cp /usr/share/openvpn/easy-rsa/2.0/whichopensslcnf ./
cp /usr/share/openvpn/easy-rsa/2.0/pkitool ./
cp /usr/share/openvpn/easy-rsa/2.0/vars ./
Recuerdo claramente (aunque no tengo la guia que use a la mano) que todo lo configurable para este servicio esta bajo /etc/openvpn/ ; por ejemplo el archivo de configuracion /etc/openvpn/servidorvpn-udp-1194.conf tiene:
proto udp
dev tun
#---- Seccion de llaves -----
ca keys/ca.crt
cert keys/viru.com.pe.crt
key keys/viru.com.pe.key
dh keys/dh1024.pem
#----------------------------
server 192.168.37.0 255.255.255.0
ifconfig-pool-persist ipp.txt
keepalive 10 120
comp-lzo
persist-key
persist-tun
status openvpn-status-servidorvpn-udp-1194.log
verb 3
Note que el segmento de red para clientes remotos es 192.168.192.0 255.255.255.0
En /etc/openvpn/vars asegurar que al final se tenga las lineas :
# These are the default values for fields
# which will be placed in the certificate.
# Don't leave any of these fields blank.
export KEY_COUNTRY="PE"
export KEY_PROVINCE="LI"
export KEY_CITY="Trujillo"
export KEY_ORG="viru.com.pe"
export KEY_EMAIL="jgrados@viru.com.pe"
Luego cargar variables de entorno para estos datos con:
source /etc/openvpn/./vars
Ahora creamos los certificados para el usuario juaninf :
sh /usr/share/openvpn/easy-rsa/2.0/clean-all
sh /usr/share/openvpn/easy-rsa/2.0/build-ca
sh /usr/share/openvpn/easy-rsa/2.0/build-dh
sh /usr/share/openvpn/easy-rsa/2.0/build-key-server server
sh /usr/share/openvpn/easy-rsa/2.0/build-key juaninf
Donde juaninf es un primer usuario de prueba para el servicio
Iniciar el servicio con service openvpn start
La configuracion de mi interfaces (2 interfaces fisicas) es :
root@svrvpn01 openvpn]# ifconfig
eth0 Link encap:Ethernet HWaddr 00:19:BB:39:0B:58
inet addr:20.37.20.252 Bcast:200.37.15.255 Mask:255.255.240.0
inet6 addr: fe80::219:bbff:fe39:b58/64 Scope:Link
UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1
RX packets:1507 errors:0 dropped:0 overruns:0 frame:0
TX packets:10 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:1000
RX bytes:207290 (202.4 KiB) TX bytes:748 (748.0 b)
Interrupt:169 Memory:fa000000-fa012800
eth1 Link encap:Ethernet HWaddr 00:11:95:D1:AD:32
inet addr:10.10.16.34 Bcast:10.10.19.255 Mask:255.255.252.0
inet6 addr: fe80::211:95ff:fed1:ad32/64 Scope:Link
UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1
RX packets:6321 errors:0 dropped:0 overruns:0 frame:0
TX packets:1184 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:1000
RX bytes:539518 (526.8 KiB) TX bytes:213642 (208.6 KiB)
Interrupt:90 Base address:0x2000
lo Link encap:Local Loopback
inet addr:127.0.0.1 Mask:255.0.0.0
inet6 addr: ::1/128 Scope:Host
UP LOOPBACK RUNNING MTU:16436 Metric:1
RX packets:0 errors:0 dropped:0 overruns:0 frame:0
TX packets:0 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:0
RX bytes:0 (0.0 b) TX bytes:0 (0.0 b)
tun0 Link encap:UNSPEC HWaddr 00-00-00-00-00-00-00-00-00-00-00-00-00-00-00-00
inet addr:192.168.192.1 P-t-P:192.168.192.2 Mask:255.255.255.255
UP POINTOPOINT RUNNING NOARP MULTICAST MTU:1500 Metric:1
RX packets:0 errors:0 dropped:0 overruns:0 frame:0
TX packets:0 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:100
RX bytes:0 (0.0 b) TX bytes:0 (0.0 b)
Tambien encontre que habilite el reenvio de paquetes.
Para crear 1 usuario (certificados y llaves) se tiene el procedimiento:
[root@svrvpn01 openvpn]# source ./vars
NOTE: If you run ./clean-all, I will be doing a rm -rf on /etc/openvpn/keys
[root@svrvpn01 openvpn]# sh /usr/share/openvpn/easy-rsa/2.0/build-key juaninf
Generating a 1024 bit RSA private key
........++++++
.............................................++++++
writing new private key to 'juaninf.key'
-----
You are about to be asked to enter information that will be incorporated
into your certificate request.
What you are about to enter is what is called a Distinguished Name or a DN.
There are quite a few fields but you can leave some blank
For some fields there will be a default value,
If you enter '.', the field will be left blank.
-----
Country Name (2 letter code) [PE]:
State or Province Name (full name) [LI]:
Locality Name (eg, city) [Trujillo]:
Organization Name (eg, company) [viru.com.pe]:
Organizational Unit Name (eg, section) []:LNC
Common Name (eg, your name or your server's hostname) [juaninf]:
Name []:Juan Grados Vasquez
Email Address [jgrados@viru.com.pe]:juaninf@lnc.com.br
Please enter the following 'extra' attributes
to be sent with your certificate request
A challenge password []:
An optional company name []:
Using configuration from /etc/openvpn/openssl.cnf
Check that the request matches the signature
Signature ok
The Subject's Distinguished Name is as follows
countryName :PRINTABLE:'PE'
stateOrProvinceName :PRINTABLE:'LI'
localityName :PRINTABLE:'Trujillo'
organizationName :PRINTABLE:'viru.com.pe'
organizationalUnitName:PRINTABLE:'LNC'
commonName :PRINTABLE:'juaninf'
name :PRINTABLE:'Juan Grados Vasquez'
emailAddress :IA5STRING:'juaninf@lnc.com.br'
Certificate is to be certified until Jun 11 16:12:48 2020 GMT (3650 days)
Sign the certificate? [y/n]:y
1 out of 1 certificate requests certified, commit? [y/n]y
Write out database with 1 new entries
Data Base Updated
Notar que se crearon 03 archivos :
[root@svrvpn01 keys]# ls -l /etc/openvpn/keys/juaninf.*
-rw-r--r-- 1 root root 3956 Jun 14 11:12 /etc/openvpn/keys/juaninf.crt
-rw-r--r-- 1 root root 733 Jun 14 11:12 /etc/openvpn/keys/juaninf.csr
-rw------- 1 root root 891 Jun 14 11:12 /etc/openvpn/keys/juaninf.key
Hasta aquí se completo la generación de los certificados del usuario juaninf, ahora para el
cliente se tiene que copiar en su desktop o laptop los archivos ca.crt, juaninf.crt, juaninf.csr,
juaninf.key y un quinto archivo adicional virunet1194.ovpn que se detalla en parrafo siguiente.
cliente se tiene que copiar en su desktop o laptop los archivos ca.crt, juaninf.crt, juaninf.csr,
juaninf.key y un quinto archivo adicional virunet1194.ovpn que se detalla en parrafo siguiente.
Del lado del cliente, se necesita 5 archivos que el cliente remoto debe siempre portar a fin de poder establecer sesión vpn con el servidor, 04 de estos archivos se obtienen desde el servidor, y el quinto archivo es genérico para todos los casos, este quinto archivo "virunet1194.ovpn" debe conservar su extensión .ovpn; esto es:
client
dev tun
proto udp
remote 20.37.20.252 1194
float
resolv-retry infinite
nobind
persist-key
persist-tun
route 10.10.16.0 255.255.252.0
dhcp-option DNS 192.168.26.1
dhcp-option WINS 192.168.26.1
#------ SECCION DE LLAVES --------
ca "C:\\Archivos de Programa\\OpenVPN\\config\\ca.crt"
cert "C:\\Archivos de Programa\\OpenVPN\\config\\juaninf.crt"
key "C:\\Archivos de Programa\\OpenVPN\\config\\juaninf.key"
ns-cert-type server
#---------------------------------
comp-lzo
verb 3
En la maquina del usuario remoto se debe instalar el cliente openvpn (bajarlo de internet segun sistema operativo) Luego, en caso de los windows dentro de C:| Archivos de Programa | OpenVPN | client ; poner los 05 archivos que se indicaron.
El usuario establecerá sesión vpn con solo iniciar el programa OpenVPN cliente instalado, sin embargo para que el usuario remoto pueda acceder a su desktop local (PC de oficina) por remote desktop por ejemplo, será necesario que en la desktop local se agrege un enrutamiento persistente que permita conectividad entre la red remota de usuarios VPN (192.168.192.0/24) y la red local 10.10.16.0/22 (lan nicolini).
En la PC (desktop de oficina) :
route ADD 192.168.192.0 MASK 255.255.255.255.0 10.10.16.34 -p
Esta ruta debe siempre estar presente, por ejemplo mediante un tarea programada ejecutada al inicio de sesión de un desktop windows.
Esta memoria esta basada en
http://www.alcancelibre.org/staticpages/index.php/como-openvpn-server-centos5.
Para RHEL 6 a 64 bits utilize 2.0.9 de rpmbone y este howto: http://www.powerpbx.org/content/how-to-install-openvpn-and-pptp-on-rhel-6-v1
Para RHEL 6 a 64 bits utilize 2.0.9 de rpmbone y este howto: http://www.powerpbx.org/content/how-to-install-openvpn-and-pptp-on-rhel-6-v1
Suscribirse a:
Entradas (Atom)