Techblog Greyer'a

HOWTO OpenVPN i CentOS 5

Tue, 04 Aug 2009 00:15:15 +0200

Dzisiaj nastała chwila kiedy potrzebowałem zestawić VPNa do firmowego serwera, by mój szef mógł sobie podejrzeć sobie jak wygląda sieć kiedy on siedzi na działeczce na swoim iPlusie.
Jako, że jeszcze jeszcze nie miałem okazji stawiać innego VPNa aniżeli Cisco'wego, to stwierdziłem, że przyszedł najwyższy czas.

A przy okazji uznałem, że przyda się jakieś polskie HOWTO odnośnie instalacji OpenVPN'a pod Centkiem toteż płodzę poniższy tekst :-)

No to od początku:

Instalacja i konfiguracja serwera na Centku

1. Ściągamy openvpn'a (musimy mieć dodane repozytorium RPMForge, bo inaczej nici)
# yum -y install openvpn

2. Po instalacji kopiujemy sobie podstawowe konfigi:
# cp -r /usr/share/doc/openvpn-2.0.9/easy-rsa/ /etc/openvpn/ # cp /usr/share/doc/openvpn-2.0.9/sample-config-files/server.conf /etc/openvpn/

3. Konfigurujemy CA:
# cd /etc/openvpn/easy-rsa/
Następnie dzięki ulubionemu edytorowi tesktowemu edytujemy plik: vars
Zjeżdżamy na sam dół pliku a tam podmieniamy wg upodobania:
export KEY_COUNTRY=PL export KEY_PROVINCE=LDZ export KEY_CITY=LODZ export KEY_ORG=”NazwaFirmy” export KEY_EMAIL=”adres@e-mail.tld”
Następnie sprytnie z katalogu w którym się znajdujemy wywołujemy polecenia:
# . ./vars (zwrócić proszę uwagę na spację pomiędzy kropkami)
# . ./clean-all (to samo tutaj zwracamy uwagę na spację pomiędzy kropkami)

4. Budujemy CA:
# . ./build-ca (jak wyżej)
Naszym oczom ukazuje się generowanie pliku, chwilę potem następuje standardowy zestaw pytań na który wystarczy, że przeklikamy enterem.

5. Budujemy klucz serwera:
# . ./build-key-server naszserwerek
I znowu naszym oczom ukazuje się generowanie kolejnego pliku i znowu zestaw pytań do przeklikania enterem. Po drodze będzie pytanko o "challange password", warto wprowadzić jakieś dla zabezpieczenia naszego klucza serwera. Na koniec dostaniemy informację do kiedy ważny jest certyfikat oraz czy zgadzamy się na dodanie go do naszej bazy certyfikatów, oczywiście zgadzamy się na to.

6. Budowanie Diffie Hellmana:
Jest to dodatkowy klucz, który pozwoli uchronić nasz serwer przed pasywnym podsłuchem.
# . ./build-dh
(generowanie może chwilę potrwać, więc proszę się nie niecierpliwić)

7. Kopiujemy wygenerowane klucze i certyfikaty w odpowiednie miejsce:
#cp keys/ca.crt /etc/openvpn/ # cp keys/dh1024.pem /etc/openvpn/ # cp keys/naszserwerek.key /etc/openvpn/ # cp keys/naszserwerek.crt /etc/openvpn/

8. Konfigurujemy nasz serwer do korzystania z wygenerowanych kluczy:
# cd /etc/openvpn/ # vim server.conf (podmieniamy poniższe linijki) dev tap ;dev tun ca ca.crt cert naszsserwerek.crt key naszserwerek.key

9. Startujemy serwer i dodajemy go do autostartu:
# service openvpn start # chkconfig openvpn on

Instalacja i konfiguracja klienta Windowsowego

1. Ściągamy klienta windzianego z http://openvpn.net/

2. Tworzymy CA na Windowsie:
Otwieramy grzecznie Uruchom, wklepujemy stare dobre cmd, a następnie przechodzimy do katalogu c:\Program Files\OpenVPN (chyba, że podaliśmy podczas instalacji inną ścieżkę)
> copy vars.bat.sample vars.bat
Edytujemy plik vars.bat i podmieniamy końcówkę wg tego co wpisaliśmy na serwerze (pamiętajmy, że wszystko musi się zgadzać z tym co wklepaliśmy na serwerze):
set KEY_COUNTRY=PL set KEY_PROVINCE=LDZ set KEY_CITY=LODZ set KEY_ORG="NazwaFirmy" set KEY_EMAIL="adres@e-mail.tld"

3. Odpalamy generowanie:
> vars.bat

4. Budujemy certyfikat i klucz klienta:
> copy openssl.cnf.sample openssl.cnf > md keys > build-key vpnklient
Może się okazać, że przy instalacji OpenVPNa nie wyeksportowała się ścieżka do pliku openssl.exe, więc będziemy ją musieli ręcznie zmienić w pliku build-key (zamiast openssl wklepujemy: ..\bin\openssl).

5. Kopiujemy pliczek vpnklient.csr na nasz serwer do katalogu: /etc/openvpn/easy-rsa/keys , a następnie na serwerze:
# cd /etc/openvpn/easy-rsa/ # . ./sign-req vpnklient
Znowu generujemy, trzeba potwierdzić będzie, że chcemy podpisać certyfikat i po sprawie.

6. Kopiujemy podpisane certyfikat i klucz na naszą maszynę windowsową:
W katalogu /etc/openvpn/easy-rsa/keys będą dwa nowe pliczki: ca.crt oraz vpnklient.crt .
Kopiujemy oba na naszego Windowsa do katalogu: C:\Program Files\OpenVPN\config .
Dodatkowo z katalogu C:\Program Files\OpenVPN\easy-rsa\keys kopiujemy do katalogu config plik vpnklient.key.

7. Konfigurujemy klienta OpenVPNa do łączenia:
Kopiujemy przykładowy plik konfiga (client.ovpn) z katalogu C:\Program Files\OpenVPN\config-sample do katalogu config.
Zmieniamy w tymże pliku kilka linijek wg poniższego wzoru:
dev tap ;dev tun remote adres_ip_serwera_vpna 1194 ca ca.crt cert vpnklient.crt key vpnklient.key ns-cert-type server

8. Łączymy się z VPNem:
Odpalamy z menu Start OpenVPN GUI, klikamy prawym na ikonce przy taskbarze i wybieramy z menu Connect.
Jeśli wszystko dobrze zrobiliśmy, powinniśmy bezproblemowo połączyć się z naszym VPNem i cieszyć połączeniem z naszą siecią wewnętrzną.

Jeśli są jakieś pytanka to zapraszam do komentarzy.

Logwatch & Asterisk

Wed, 03 Jun 2009 00:41:53 +0200

Od dłuższego czasu zauważam, że Logwatch jest bardzo przydatnym narzędziem administracyjnym. Pozwala zaoszczędzić sporo czasu przeglądania logów poprzez odpowiednie ich przeparsowanie i wrzucenie wszystkiego w jednego e-maila.

Niestety pomimo wielu testów i skryptów sprawdzających brakowało mi takiego, który sprawdzi również logi Asteriska. A skoro nie ma to trzeba samemu napisać.
Na szczęście nie jest to specjalnie trudne, wystarczy jedynie:
1. stworzyć plik konfiguracyjny dla grupy logów (conf/logfiles/asterisk.conf)
2. stworzyć plik konfiguracyjny dla serwisu (procesu) korzystającego z logów (conf/services/asterisk.conf)
3. stworzyć skrypt sprawdzający logi pod kątem tego co potrzebujemy (scripts/services/asterisk)

Dobrze jest oczywiście włączyć wcześniej rotowanie logów asterisk'a, żeby codziennie uruchomiony logwatch nie wyświetlał błędów sprzed kilku dni/tygodni/miesięcy/lat.
Gotowy skrypt na rotowanie:
[greyer@voip ~]$ cat /etc/logrotate.d/asterisk /var/log/asterisk/messages { daily rotate 14 missingok create 0644 root root sharedscripts postrotate /bin/kill -HUP `cat /var/run/asterisk.pid 2> /dev/null` 2> /dev/null || true endscript } [greyer@voip ~]$

Oczywiście zapomniałem dodać linka do archiwum z plikami potrzebnymi do logwatch'a: asterisk-logwatch-1.09.tar.gz

Wszelkie uwagi co do skryptu proszę w komentarzach lub bezpośrednio do mnie.

Zmiana charakteru bloga

Wed, 03 Jun 2009 00:23:36 +0200

Od dnia dzisiejszego Jogger staje się moim polskojęzycznym blogiem technicznym.

Anglojęzyczne wpisy (tak planowałem to jakiś czas temu) będą lądować na blogu w ramach mojej domeny (Wordpress FTW++), czyli pod http://szary.org/blog/.

Tak, wiem narazie tam wieje pustką, ale liczę, że na dniach zacznie się coś tam ruszać.

HOWTO EKG2 i CentOS 5

Sun, 07 Dec 2008 16:54:39 +0100

Zachciało mi się instalować ekg2 pod CentOSem i oczywiście pół dnia zeszło mi na szukaniu powodów dla których nie działało parę rzeczy. Ale jak już wszystko się udaje to nawet ładnie i szybciutko działa.
Także do rzeczy, opis krok po kroku jak skompilować ekg2 pod CentOSem:

1. Instalacja potrzebnych bibliotek, czyli tego co będzie potrzebne do działania pluginów:

yum install automake gcc expat-devel sqlite-devel ncurses-devel common-libstdc++-33 gnutls-devel openssl-devel

2. Pobieranie, rozpakowanie, kompilowanie źródełek libgadu:
wget http://ekg.chmurka.net/libgadu-current.tar.gz tar -zxvf libgadu-current.tar.gz cd libgadu-20070704 ./autogen.sh --enable-shared make && make install

3. Pobieranie, rozpakowanie, kompilowanie źródełek ekg2:
wget http://pl.ekg2.org/ekg2-current.tar.bz2 tar -xvjf ekg2-current.tar.bz2 cd ekg2-20081206 ./configure --enable-unicode --with-libgadu=/usr/local make (*) make install

4. Odpalamy ekg2 i cieszymy się naszym ekg2 ;-)
Problemy:
(*) mnie przy kompilowaniu ekg2 wyskoczyły problemy z expatem a mianowicie:
/usr/lib/libexpat.so: could not read symbols: File in wrong format
Żeby to poprawić należy wykonać kilka kroków:
a) wyłączyć SELinuxa
vim /etc/selinux/config
zamienić enforced na disabled, zapisać plik
zrestartować cały serwer by się włączył bez obsługi SELinuxa
b) zamienić bibliotekę libexpat z 32 na 64 bitową:
mv /usr/lib/libexpat.so /usr/lib/oldlibexpat.so cp /usr/lib64/libexpat.so /usr/lib/libexpat.so
c) jeszcze raz wykonać make

Drugi problem pojawił mi się z pluginem ekg2. Otóż w standardowej instalacji CentOSa sprawdzane są jedynie katalogi /usr/lib /usr/lib64 nie zaś /usr/local/lib i /usr/local gdzie instaluje się libgadu.
Rozwiązanie proste wystarczy jedynie:
vim /etc/ld.so.conf
dopisać linijki:
/usr/local/lib /usr/local
na początku pliku, po czym wykonać polecenie
ldconfig -v
Po ponownym włączeniu ekg2 już powinien bezproblemowo ładować się plugin gg ;-)

Podziękowania lecą do śniegola za podpowiedź ze strace przy problemach z libgadu, jak również dmilithowi, który starał się mi pomóc ze skompilowaniem ekg2 pod 32bitami ;-)

WPA zostało złamane

Fri, 07 Nov 2008 13:12:25 +0100

Jakiś c zas temu uczestniczyłem w konferencji LinuxBoat, gdzie prelengenci pokazywali jak w łatwy sposób złamać zabezpieczenia sieci WiFi.
Oczywiście ataki na WEPa to powszechność i złamanie klucza zabezpieczonego WEPem to kwestia kilku do kilkunastu minut. Oczywiście radzi się ludziom by stosowali zabezpieczenia co najmniej WPA z jakimś niesłownikowym hasłem, a już najlepiej WPA2. Jednak wiadomość, która się dzisiaj ukazała w Internecie powinna zmusić nas do jak najszybszego przejścia na WPA2.

Pewna grupa łamaczy zabezpieczeń przyznała się, iż udało im się złamać częściowo kodowanie WPA, co powoduje, iż lada moment wszystkie sieci tymże standardem zabezpieczone będą podatne na przejęcie kontroli. Sposób ten zostanie przedstawiony w przyszłym tygodniu na konferencji PanSec w Tokyo.
Naukowcom udało się złamać zabezpieczenia TKIP, ale wciąż nie udało się złamać samych kluczy. Jednakże jest to pierwszy krok na drodze do pełnego złamania całego protokołu WPA, więc może warto byłoby się postarać o lepsze zabezpieczenia?
Pełen artykuł można przeczytać na stronie ComputerWorld.
Dla wielu zapewne to błahostka, bo kto im się włamie do ich domowej sieci Wifi, ale powiem Wam, że dla wielu to zwykła możliwość czerpania internetu w dowolnym miejscu. Przechadzając się po Łodzi z iPhonem wystarczy, że przeskanuję okolicę i mam od 2 do 5 sieci w ogóle nie zabezpieczonych lub zabezpieczonych jedynie kluczami WEP. Część ludzi wykorzysta to do sprawdzenia poczty, rozkładu jazdy, inni na konto takiej niezabezpieczonej sieci pościągają z torrentów filmy, a Ci najbardziej nieprzyjemni wykorzystają takie sieci bezprzewodowe do ataków na strony/serwery co może za sobą pociągnąć nieprzyjemne w skutkach problemy.

Konferencja OpenSolaris Szczecin 24-25 październik 2008

Sun, 26 Oct 2008 22:06:40 +0100

W ten weekend odwiedziłem Szczecin w związku z konferencją jaką organizowało polskie community OpenSolarisa. Oczywiście gdyby nie mailing przypominający, to bym zapomniał całkowicie o tej konferencji. Na szczęście Norbert dał mi info, że w hotelach Ibisu są tanie noclegi, więc razem z moją Justynką pojechaliśmy do Szczecina.
Jak przystało na nasz kochany kraj i możliwości transportu, do Szczecina wybraliśmy się PKSem. Wyjazd 23:30, przyjazd 8:10. Dobrze, że przynajmniej fotele były dobrze działąjące to jakoś w miarę wygodnie się jechało. Wprawdzie co chwila się budziłem, ale da radę przeżyć. Co mnie zdziwiło, że tyle osób z czwartku na piątek jedzie tą trasą, bo PKS był prawie pełny.
Oczywiście zaraz po przyjeździe udaliśmy się do hotelu Radisson, gdzie odbywała się konferencja. Free WiFi poprawiło mi nastrój, bo brak internetu mógłby być dobijający (thx trochej za to Ci wielkie :p).
Większość prelekcji była po angielsku, ze względu na to, iż prelengenci to w dużej mierze pracownicy SUNa z niedalekich Czech. Mieliśmy okazję wysłuchać prelekcji o ZFSie (przeportują to kiedyś na linuksa? EDIT: trasz podpowiedział mi, że coś takiego powstaje i zwie się btrfs), Zonach, zarządzaniu serwisami w OS (nawet ciekawe, choć niesie za sobą parę problemów, bo jak wyłączysz, czy tam disableujesz jakiś serwis to się okaże potem, że po rebócie już nie wstanie).
W przerwie obiadowej mieliśmy okazję zwiedzić Galaxy Centrum (taka mniejsza Galeria Łódza, ale z kinem i kręglami). Po prelekcjach mieliśmy wreszcie okazję na trochę odpoczynku, więc udaliśmy się do hotelu, gdzie pokoik był nawet fajny. Darmowa TV z 15 programami, pozwoliła trochę się odprężyć. Na 18 zaplanowane było posiedzenie w pubie przy piwku i możliwość porozmawiania z prelengentami na luzackiej stopie. Zaczęliśmy od Boston Pubu (blisko zarówno Radissona jak i Ibisa, tak mniej więcej w połowie drogi pomiędzy nimi, więc na piechotkę to 10 minut z obu), ale jako że klimacik jakiś dziwny był, jak i też brakowało w menu jedzenia postanowiliśmy się przenieść. Jeden z uczestników (rodowity Szczecinianin jak zrozumiałem) zaprowadził nas na Wały Chrobrego, gdzie trafiliśmy do miłego lokalu z fajną obsługą. Oczywiście ceny jak przystało na bliskość granicy niemieckiej, nieco zawyżone, ale jedzenie smaczne, piwko też niczego sobie, więc nie było tak źle. W drodze powrotnej porobiliśmy sobie z Justyną parę fotek na pamiątkę.
Szybki powrót do hotelu, prysznic i spaciu, bo w końcu czekał nas jeszcze drugi dzień konferencji.
Niestety trochę nam się zaspało, do tego jeszcze śniadanie i wyszło na to, że przegapiliśmy prelekcję Dośka (ale o dziwo byliśmy tuż przed 10, a miał przemawiać od 9:45 :p). Mieliśmy okazję przyjrzeć się ciekawemu narzędziu przygotowanym w czeskim oddziale SUNa, które pozwala na lokalizację OpenSolarisa z poziomu WWW, po czym zbudowanie paczek, tak by reszta ludzi mogła korzystać już z przetłumaczonych rzeczy. Szkoda tylko, że jeszcze nie zaimplementowali jakiejkolwiek rejestracji, czy wertufikacji, bo w zasadzie teraz każdy może wejść i wszystko przetłumaczyć jak chce. Chłopaki do pomocy w swojej prelekcji prosili publiczność i częstowali koszulkami OpenSolarisowymi, to się na takową połasiłem i pomogłem im przetłumaczyć kilka linijek, by pokazali nam jak to działa w praktyce. Później przemawiał Vineeth Pillai, hindus z czeskiej fillii Suna i poopowiadał nam conieco o Crossbow, czyli wirtualizacji sieci w OpenSolarisie. Jego śmieszny akcent miejscami sprawiał problem, bo był ciężki do zrozumienia, ale jakoś sobie poradziliśmy. Na sam koniec Piotr Jasiukajtis (vel estibi) uraczył nas bardzo wciągającym wykładem o rozwiązaniach klastrowych w Solarisie/OpenSolarisie (nawet ciekawa rzecz szczególnie związana z moją pracą, więc przysłuchiwałem się z ciekawością). Niestety główny organizator był zmuszony lekko skrócić prezentację, bo czas się powoli kończył, a jeszcze pozostały do rozlosowania gratisy.
No i został nam przedstawiony "niezawodny" skrypt losujący, który to jakoby miał losować bez powtarzania numery do których byli przypisani wszyscy uczestnicy zarejestrowani na konferencję i którzy podpisali listę obecności. Jednakże już przy 6 losowaniu numerka okazało się, iż implementacja braku powtarzania się zawiodła i mieliśmy spory ubaw w związku z tym. Spokojnie kolejne numerki się pokazywały (włącznie z 000 który rozbawił samego autora skryptu do łez :p), kolejni uczestnicy odbierali gratisy. Jednakże najważniejsze losowanie pozostało na koniec, a mianowicie SUN zasponsorował dwa przenośnie głośniki komputerowe (podłączane po USB) ze swoim logiem. Cóż, szczęśliwcom którzy zostali wylosowani gratuluję, choć nie powiem, że sam miałem chrapkę na te jeden z tych głośników.
Oczywiście Greyer jak zwykle pamięcią nie grzeszy i dopiero dzięki IRCowi przypomniałem sobie, iż Suff mieszka w Szczecinie, więc miałem okazję poznać go osobiście, a nie tylko klikać z nim na ircach ;-). Szkoda, że mu się druga połówka pochorowała, bo miałem nadzieję, ze chociaż siądziemy i pogadamy sobie przy piwku. No ale cóż - siła wyższa.
W drogę powrotną wybraliśmy tym razem PKP, z myślą iż może będzie nieco wygodniej. Ale dobra passa i pusty przedział mieliśmy tylko do Poznania. Potem we Wrześni postój 61-minutowy, bo PKP chce jeździć wg rozkładu, więc pociągi stały godzinkę na stacjach, żeby odjeżdżać zgodnie z planem. Pozostała już tylko przesiadka w Kutnie no i dojazd do Łodzi Kaliskiej.
Pozdrowienia dla wszystkich uczestników, zarówno prelengentów jak i słuchaczy. Mam nadzieję, że do zobaczenia w czerwcu, jak to obiecywali organizatorzy, na kolejnej edycji.
EDIT: Trochej coś wspomina o jakimś lutym, więc czekam na dokładniejszy apdejt ;-)

Apple Notebook Event 14 October 2008

Tue, 14 Oct 2008 20:09:06 +0200

No i się stało.
Zostały ogłoszone nowe MacBooki od Apple.

MacBook Pro (1999$ / 2499$):
- 15,4" LED-backlit matryca
- Intel Core 2 Duo 2,4 GHz (3 MB L2 cache) / Intel Core 2 Duo 2,53 GHz (6 MB L2 cache)
- 2GB DDR3 1066 MHz RAM / 4 GB DDR3 1066 MHz RAM
- Nvidia GeForce 9400M + 9600M GT 256MB / Nvidia 9400M + 9600M GT 512MB
- 250 GB dysk / 320 GB dysk

MacBook Air (1799$ / 2499$):
- 13.3" LED-backlit matryca
- Nvidia GeForce 9400M
- Intel Core 2 Duo 1,6 GHz (6 MB L2 cache) / Intel Core 2 Duo 1,86 GHz (6 MB L2 cache)
- 2 GB 1066 MHz DDR3 RAM
- 120 GB SATA dysk / 128 GB SSD dysk

MacBook (1299$ / 1599$):
- 13,3" LCD-backlit matryca
- Intel Core 2 Duo 2,0 GHz (3 MB L2 cache) / Intel Core 2 Duo 2,4 GHz (3 MB L2 cache)
- 2 GB 1066 MHz DDR3 RAM - Nvidia GeForce 9400M
- 160 GB dysk / 250 GB dysk - w wersji droższej jeszcze podświetlana klawira ;-)

Steve Jobs ma ciśnienie 110/70, czyli wciąż jest żywy, w przeciwieństwie do tego co inni twierdzą ;-)
I Q&A na koniec:
Q - Public: "NO BLU-RAY? :-("
A - Steve: "Blu-ray is just a bag of hurt. It's great to watch the movies, but the licensing of the tech is so complex, we're waiting till things settle down and Blu-ray takes off in the marketplace."
A2 - Phil: "We have the best HD movie and TV options in iTunes."

No to już tylko poczekać, aż nowe MBP będą w EU dostępne ;-)

OpenOffice.org 3.0 FINAL

Mon, 13 Oct 2008 11:16:57 +0200

Tak, proszę państwa, jest już upragniona przez wielu, trzecia wersja OpenOffice'a. Dzisiaj (czyli 13 października) pojawiły się na serwerach openoffice.org instalatory wersji trzeciej. Pozostanie pewnie jeszcze poczekać kilka dni na polską wersję, ale przynajmniej wiadomo, że już wydali ;-)
Pokrótce zmiany w stosunku do wersji 2.x:
- natywny support dla Mac OS X;
- support dla ODF v. 1.2;
- możliwość importowania plików MS Office 2k7 (tak, tak, wyczekiwane przez wielu);
- rozszerzenia w rysowaniu wykresów (ehs, no nareszcie ...);
- możliwość podglądu kilku stron we Writerze podczas edycji;
- support dla VBA;
- rozszerzone możliwości edycji do PDF (m.in. obsługa formatu PDF/A);
- poprawiona obsługa i kompatybilność z VIstą;
- repozytorium dodatków.

Pełna lista ficzersów: OpenOffice.org 3.0 New Features.
Ja już czekam ;-)

SSH Tunneling

Sun, 07 Sep 2008 23:24:54 +0200

Dzisiaj siedziałem sobie z kumplem i zastanawialiśmy się jak zrobić forward portów pomiędzy hostami z wykorzystaniem tunelu SSH.

Więc na przyszłość piszę sobie :p
Na moim kompie: [greyer@lh]~% ssh -R PORT_ZDALNY1:localhost:PORT_LOKALNY1 SERWER_POŚREDNICZĄCY Na kompie zdalnym: ssh -L PORT_LOKALNY2:localhost:PORT_ZDALNY1 localhost -g
Gdzie:
PORT_ZDALNY1 - port, który sobie wybieram na zdalnym serwerze, żeby pośredniczył w transmisji
PORT_LOKALNY1 - port, który chcę przeforwardować (czyli własne SSH, czy WWW)
SERWER_POŚREDNICZĄCY - serwer, na który będziemy się łączyć, żeby przekazał ruch do naszego kompa
PORT_LOKALNY2 - port, na serwerze pośredniczącym, który wykorzystamy do łączenia z naszym komputerkiem.

A wszystko dlatego, że próbowaliśmy zrozumieć czemu działa połączenie FTP które idzie przez 3 NATy i prawda jest taka, że nie wiemy czemu tak jest, ale przynajmniej rozkminiliśmy tunel SSH (w końcu trzeba było jakoś testować to wszystko :p).

Podziękowania dla:
- Dolgo (3h rozmowy na Skype o FTP i tunelowaniu SSH :p)
- Leafnode'a (za to, że nakierował mnie co jest nie tak ;]).

Linksys NSLU2 - Flashowanie i konfiguracja

Fri, 05 Sep 2008 21:56:29 +0200

Od wczoraj jestem posiadaczem bardzo fajnego urządzonka firmy Linksys :-)
Mam na myśli Linksys NSLU2. Zabaweczka fajna, choć swoje kosztowała (298 PLN w Komputroniku. Po podłączeniu, skonfigurowaniu wstępnym stwierdziłem, że nie dość, że mało opcji to jeszcze firmware wgrany w standardzie nie miał ani Telneta ani serwera FTP. Oczywiście mnie to nieco zdrzaźniło, ale szybki telefon do Helpdesku i mi mailem wysłali najnowszy firmware (szkoda, że na stronie jest firmware sprzed 2 lat, a ten który mi wysłali mailem to sprzed pół roku jakoś). Po bojach z flashowaniem (oczywiście się okazało, że jak się ustawi nietypowy port do web gui, to nagle przestaje wstawać serwer http na tym Linksysie).
Lekko już podirytowany zabrałem się góglowanie co i jak i trafiłem na bardzo fajny projekcik, a mianowicie NSLU2-Linux. Z mnogości rozwiązań, czyli dystrybucji linuksowych lub linuksopodonych: Unslung, SlugOS, DebianSlug, GentooSlug (szkoda, że o NetBSDSlug się dowiedziałem już po wszystkim), wybrałem sobie Unslunga (przyjemny, nie zajmuje specjalnie dużo z RAMu no i zachwalają go w wielu miejscach, a możliwościami nie ustępuje nawet Debianowi) no i przyszedł czas na dalszą zabawę ...

Nietypowy firmware

Instalacja nowego firmware'u nie jest trudna. Za pierwszym razem można to zrobić na dwa sposoby:
1. Zalogować się do WebGui Linksys, w Administration -> Advanced -> Upgrade wybiera się z dysku .bin'a i flashuje.
2. W przypadku, kiedy mamy już wgrany firmware niestandardowy trzeba się lekko namęczyć, a mianowicie:
- Jeśli mamy Windowsa to instalujemy sobie oprogramowanie Sercomm, w przypadku Linuksa lub Mac OS'a instalujemy sobie Upslug2 (Mac OS). - Następnie Linksys musi wejść w tzw. Upgrade Mode, czyli wyłączamy naszego NASa, z tyłu w dziurkę oznaczoną Reset wkładamy spinacz czy inną igłę (w moim przypadku było to specjalnie spreparowane dla iPhone'a narzędzie do wyjmowania karty SIM), następnie uruchamiamy Linksysa i nie zwalniając Reseta czekamy aż dioda statusu zmieni kolor na czerwony (w moim przypadku z pomarańczowego zrobił się ciemniejszy pomarańczowy, wpadający w czerwony) co następuje po ok. 7-10 sekund, wtedy to też należy szybko zdjąć spinacz z Resetu i nasz Linksys znajduje się już w trybie Upgrade Mode.
- Teraz w przypadku Windowsa uruchamiamy Sercomm Updater'a, wybieramy Browse, następnie wybieramy naszego NSLU (na liście powinien się pojawić jego MAC adres), wybieramy Files, zaznaczamy soft, który chcemy wgrać, następnie Upgrade i po kilku minutach mamy nowy soft wrzucony. W przypadku Linuksa/OSXa robimy:
# upslug2 --target="mac_adres_nslu" --image="obraz_ktory_chcemy_wrzucic"
i też po kilku minutach mamy wgrany nowy firmware. Po całym zabiegu nasz NSLU się zrestartuje.
- Logujemy się na WebGui, sprawdzamy czy nastąpiła zmiana firmware'u i czy pojawia się opcja: Manage telnet. Jeśli tak, to wchodzimy tamże, włączamy telneta i możemy się już zalogować do naszego NSLU (konto root ma standardowe hasło: uNSLUng, które trzeba jak najszybciej zmienić).
- Teraz podłączamy urządzenie USB, na którym zainstalujemy resztę systemu (ja wybrałem starego Pendrive'a Kingstona 1GB) i podłączyłem go po czym wydałem magiczne polecenie: # unsling2 disk2 (ze względu na podłączenie do portu 2, jeśli chce ktoś podłączać do portu 1 dysk na którym będzie działał system to trzeba wpisać # unsling2 disk1), co wgrało system na drugi dysk.
- Na koniec # ipkg update, a potem już ipkg install openssh i całą resztę jaką chciałem ;-)
No i od tego momentu mogę się cieszyć systemikiem linuksowym na moim Linksysie.

Usługi

Oczywiście po tej całej zabawie ustawiłem sobie Sambę, FTP'a, SSH i mogę się cieszyć fajnym linkusikiem. W necie są całe masy howto do tego żeby zrobić z takiego NSLU istny router do zadań specjalnych (iptables, apache, mysql, postgresql, iTunes server, vlc server i co się człowiekowi żywnie podoba). Póki mam zajęcie przy robieniu stronki dla Niemiaszków to więcej się nie bawiłem. Ale obiecuję sobie, że jak tylko będę miał chwilkę czasu to pobawię się w stawianie kolejnych usług i zrobię z tego fajny serwerek do trzymania mojego pr0nu.

Koniec ...

Słowem zakończenia ... Cóż maszynka fajna, jak znajdę trochę więcej czasu to się jeszcze nią pobawię, a mam parę rzeczy które chciałbym z nią zrobić. Ot choćby printserver, logowanie SSH jedynie po kluczach i MACach, ale to jak będę miał tak ze 2 dni na zabawę ;-)

EDIT: na prośbę z komentarzy zamieszczam linka do archiwum z najnowszym firmowym softem Linksysa do NSLU2: NSLU2_V23R76.zip.