Одминский блог

Распределенная сеть Wi-Fi на рутерах Linksys WRT 160NL

Возникла задача построить беспроводную сетку Wi-Fi в нескольких крыльях офиса, но так что бы всюду рулила одна сеть с единым SSID. Скажу откровенно один раз я уже накололся с этим, когда попытался совокупить CheckPoint Edge и D-Link’овский рутер, как раз из-за того что каждый производитель использует для сопряжения AP в режиме bridge, repeater и WDS свои собственные фичи, так что если есть необходимость построения подобной схемы, то оборудование надо приобретать одного бренда.

Для этих целей мы закупили Wi-Fi рутеры Linksys WRT 160NL- совершенно новые модельки, которые гонятся уже под лейблом Cisco. Но к сожалению родная прошивка рутера не позволяет поднять подобный функционал, по этой самой причине пришлось обратиться к кастомной прошивке DD-WRT, которая базируясь на открытом коде Linux’ового ядра, значительно расширяет функционал обычных рутеров. Я уже имел некоторое количество экзерсисов с этой прошивкой, когда пытался подключить другу torrent клиента и монтирование NTFS’ных дисков на рутере, и если дойдут руки, то о результатах отпишусь позднее. А пока создаем распределенную беспроводную сеть на двух (можно и более) рутерах Linksys WRT 160NL.

Для начала качаем кастомную прошиву с сайта DD-WRT и перепрошиваем основной рутер. Условно назовем его MAIN-AP. Выбираем прошивку для своего рутера, на данный момент актуальная версия v24 SP2 (SVN revision 14896), скачиваем, после чего подключаемся к рутеру через LAN кабелюку и проходим: Administration ->
Дожидаемся завершения прогресса перепрошивки и заходим в консоль администратора. Вводим имя пользователя и новый пароль, после чего настраиваем рутер для работы в обычном режиме- задаем настройки внешней сетки, внутренней, DHCP сервера и Wi-Fi сети. Также необходимо отключить встроенный брандмауэр ибо он может помешать взаимодействию сетевых устройств.

После этого переходим к настройке вторичного рутера. Назовем его Bridge-AP. Для начала задаем ему внутреннюю сетку из того же пула, что и была задана для Main-AP, и отключаем внешний интерейс и DHCP сервер, ибо адреса у нас будет раздавать первичный AP: идем Setup -> Basic Setup и расставляем галочки следующим образом
Connection Type: Disabled
STP:  Disabled
DHCP Server: Disable

После каждого изменения того или иного поля не забываем сохранять введенные настройки, путем нажатия на Save Settings.

Далее переключаемся из режима шлюза в режим рутера: Setup -> Advanced Routing и в выпадающем меню ставим Router. Отрубаем также брандмауэр ибо он может мешать работе AP: во вкладке Security -> Firewall отключаем все галки кроме Filter Multicast, после чего отключаем SPI firewall переключая в статус Disable.

После этого переходим к настройке Wi-Fi:
Идем в основные настройки Wi-Fi: Wireless -> Basic Settings и выставляем следующие параметры
Wireless Mode : Client Bridge
Wireless Network Mode : аналогично настройкам MAIN-AP
Wireless Network Name(SSID) : аналогично настройкам MAIN-AP
Wireless Channel : аналогично настройкам MAIN-AP
Wireless SSID Broadcast : аналогично настройкам MAIN-AP
Network Configuration : Bridged

Переходим к разделу настройки безопасности Wi-FI: Wireless-> Wireless Security
Выставляем тип безопасности (WEP, WPA или WPA2-Personal) аналогично настройкам MAIN-AP, точно также задаем и алгоритм шифрования: TKIP, AES, или  TKIP + AES, после чего вводим фразу что мы использовали при настройке MAIN-AP.

Сохраняемся и говорим Administration -> APPLY Settings после чего выключаем рутер, относим его в другое помещение и подключаем его прямым кабелем из его LAN порта в LAN порт рутера MAIN-AP, после чего включаем. Вуаля- у нас в обоих помещениях теперь пашет один и тот же SSID, так что тыкая из одной части зала в другую мы даже можем не заметить, когда мы перейдем на другую AP.

*** Единственный косячный момент который я заметил при работе с DD-WRT именно на Linksys заключается в том, что работать надо в IE ибо в Firefix web-интерфейс почему то подглючивает с завидным постоянством.
Тип шифрования рекомендую выставлять mixed на обоих рутерах, ибо в этом случае скорость передачи данных выше.
Также у меня возникли проблемы с раздачей репитером wi-fi в случае если запрещено широковещательное объявление SSID, поэтому пришлось транслировать имячко сети в эфир.

Обновление от 11.02.2011:  очень странная тема, ибо это решение у меня прожило в районе суток, после чего вторичный рутер перестал раздавать wi-fi в принципе, так что перепробовав 4 возможных прошивки, и перенастроив все решение раз 50, остановился на том, что у меня оба устройства работают в режиме AP. Криво в теории, но на практике работает пока нормально- продолжаю искать причину не понятного глюка.

Рубрика: Сети | Отзывов: 6 »

SIEM Splunk – удобное управление логами

Надыбало наше начальство очередного вендора, чтобы запихнуть его в, и без того раздутый, продуктовый портфель. Контора называется Splunk и предлагает она одноименный продукт, являющийся системой управления инцидентами и событиями информационной безопасности (Security Information and Event Management – SIEM). Данный продукт позволяет построить единую и централизованную систему управления журналами регистрации событий, причем мониторинг, поиск, анализ и построение отчетов может происходить в режиме потока данных реального времени и в архивных версиях журналов, одновременно. Благодаря данному продукту отладка ошибок приложений и расследование инцидентов безопасности может занимать считанные минуты, а не долгие часы выборки из логов. Благодаря удобным средствам мониторинга можно избежать проблем связанных с падениями или отказами сервисов, причем по гораздо более низкой цене, чем за аналогичные решения конкурентов: Symantec Security Information Manager, IBM Tivoli Security Operation Manager, RSA EnVision, Cisco MARS.  Splunk предлагает свое решение по весьма демократичной схеме (на самом деле по их заявлениям, ибо опнять цену вопроса пока не удалось): лицензирование идет за размер потока журнальной информации мегабайт/день, причем на триал система дается полнофункциональная с ограничением времени работы в 60 дней и поток  до 500 мегабайт данных в день, хотя вроде как была информация том, что если система ставится для некоммерческого использования, то при сохранении лимита в 500 Мб она дается в пользование навсегда (но это надо смотреть отдельно).

Со слов разработчиков, да и по вебинару тоже, следует, что устанавливать и настраивать Splunk  проще простого и сама установка займет не более 10 минут, причем для начала можно поставить решения на свою машину, с тем чтобы потом перенести его на серверное оборудование дата-центра.

Splunk  может индексировать и обрабатывать данные полученные практически из любых источников, любыми возможными способами, причем в режиме реального времени. Выгрузка файлов журналирования идет через syslog, WMI polling, мониторинга логов, мониторингом изменений файловых систем или реестра Windows, netflow, SNMP и многое другое. Splunk индексирует все эти объемы информации без применения специфических парсеров или адаптеров, для получения и размещения в собственной области данных (аналогичной файловой системе), в виде сжатых и обработанных данных, уже готовых для поиска, аудита и анализа.

В случаях когда доступ центрального Splunk сервера к журнальным данным удаленных систем невозможен, но необходим, используются так называемые Splunk перенаправители, которые являясь легковесными серверами Splunk, собирают всю необходимую информацию: от выводов статус команд и заканчивая конфигурациями и атрибутами файловых систем, после чего передают данные на центральный сервер, используя защищенные соединения, также в режиме реального времени. Поскольку это легковесные сервера, то их установка и интеграция занимает очень ограниченное время и при этом эти решения бесплатны.

При увеличении объемов обрабатываемых данных, скорость доступа к журнальным данным не должна снижаться, и решение Splunk  позволяют просматривать миллионы записей за секунды, благодаря масштабируемости решения, путем добавления вспомогательных серверов, между которыми, благодаря имеющемуся функционалу балансировки нагрузки, распределяются данные, снижая тем самым время отклика, повышая отказоустойчивость и оптимизируя процесс поиска.

Splunk поддерживает архитектуру распределенных систем, то есть имея несколько дата-центров, информацию с них можно аккумулировать на одном центральном узле, собирая в режиме реального времени миллионы записей со всех распределенных систем, и при этом локальные администраторы филиалов будут иметь возможность также просматривать журнальную информацию со своих систем.

Splunk  обеспечивает высокий уровень защиты, как обмена информации, так и использование пользователями web и командного интерфейса, и системной активности посредством Splunk API. Можно задавать пользователям определенные права, дающие им возможность просматривать те или иные блоки данных, таких как отладочная информация или инциденты безопасности.

Система Splunk позволяет использовать модули разработанные сторонними разработчика, для расширения функционала программного продукта, или отслеживания какого либо класса устройств или производителя.

Система Splunk доступна в следующих реализациях:
Windows XP, 2003, Vista, Windows 7, 2008, 2008 R2 (32/64-bit)
2.6+ kernel Linux distributions (32/64-bit)
2.4+ kernel Linux distributions with NPTL (32-bit)
Solaris 9, 10
OSX 10.6/10.5
FreeBSD 6.x (32-bit)
FreeBSD 6.2 (64-bit)
AIX 5.2, 5.3
HP-UX 11i v2/v3

Подробнее об этой системе можно почитать на её официальном сайте: http://www.splunk.com

Рубрика: Обзоры | Ваш отзыв »

Обнуляем Master Password для Thunderbird

Слетел у меня что то Portable ThunderBird который стоял на флешке, в связи с чем я его проапгрейдил до версии 3.0 и тут то выяснилось что я зачем то установил в нем какой то Master Password, который защищает всю информацию о хранимых паролях, так что почтовые пароли приходится постоянно вводить, при этом они не сохраняются в системе, а Master Password запрашивается с дикой настойчивостью. Перебор всех паролей, имевшихся в голове не дал никакого результата, поэтому осталоcь только сбросить его. Единственный момент заключается в том, что вместе с ним слетят все хранящиеся в почтовой клиенте ThunderBird  пароли.

Делается это просто- для версии выше ThunderBird 2.0, идем в Tools -> Error Console, в открывшемся окне в поле Code вводим строку openDialog(“chrome://pippki/content/resetpassword.xul”) и нажимаем кнопку Evaluate. Это запустит диалога сброса пароля, так что щелкаем ОК и начинаем набивание паролей сначала.

Рубрика: Windows, Интернет | Отзывов: 14 »

Перепрошиваем свич HP ProCurve

На старой работе возникла проблема с HPшными свичами ProCurve 2XXX серий, которые  закупал лет 6 назад. С месяц назад у ребят началась какая то свистопляска с портами и дуплексами, в связи с чем решили мы их перепрошить. Операция не сложная, но долгая по времени и довольно стремная, ибо система строилась на века, поэтому возникает опасение, что все транки и VLAN могут послетать если что то пойдет не так.

Поскольку я обновлял часть из них буквально перед уходом из конторы, то и версии прошивы были различными. Здесь следует оговорить несколько моментов:

Начиная с версии прошивки I.08.74 устройство не поддерживает FEC trunks (Cisco Systems’ Fast EtherChannel for aggregated links) и CDP (Cisco Discovery Protocol). Вместо них введены, базирующиеся на IEEE стандарте, протокол LACP aggregated links (предназначенный как раз для организации транков) и протокол LLDP для оповещения по сети и сбора информации о соседних устройствах.

Для апргейда до актуальной версии прошики I.10.xx необходимо иметь как минимум версию I.08.07, если она ниже, то сначала обновляемся до неё, после чего вторым обновлением поднимаем прошивку до I.10.xx. Версия промежуточной прошивки может отличаться у разных моделей.

Конфиги созданные с помощью прошики I.10.65 или новее, не поддерживаются предыдущими версиями прошивок, так что в случае варианта даунгрейда устройства, все придется настраивать заново.

При перепрошивке конфиг не затирается, ибо хранится статически на флеше, в то время как прошивка распаковывается при каждой загрузке устройства в оперативную память.

Перепрошить дейвайс можно двумя способами: через XMODEM соединение, и загрузкой с TFTP сервера. Работу с TFTP я рассмотрю позднее, ибо она требует настроить TFTP сервер, а пока попробуем перепрошить с помощью соединения  XMODEM. Сам XMODEM является простейшим протоколом передачи данных и отлично зарекомендовал себя еще на BBSках в далеких 70х годах. Не буду вдаваться в его подробности, ибо кому интересно тот почитает сам, а перейду сразу к нашей процедуре. Итак для перепрошивки нам необходим сам файл прошивки, скаченный с офф.сайта; стандартный RS-232 кабель  “мама-мама” и компьютер с com-портом, или, в связи с тем, что сейчас найти такой компьютер практически нереально, переходник usb-serial. Подключаемся к свичу с помощью встроенного терминала Windows (пуск -> стандартные -> связь -> HyperTerminal) со стандартными параметрами: 9600 без управления потоком, дважды щелкаем Enter и мы в строке управления CLI. Для начала нам надо перевести терминал на более высокую скорость, ибо загрузка имиджа на 9600 будет идти почти полтора часа. Для этого говорим:
# configure
# console baud-rate 115200
После чего перегружаем свич и подключаемся уже с использованием указанной скорости
Даем команду  # menu и в загрузившимся меню выбираем Download OS и выставив XMODEM говорим execute (также можно сделать это прямо из CLI задав команду # copy xmodem).  После этого нажимаем ентер и задаем отправку файла через терминал:  выбираем Передача -> Отправить файл, во вкладке Протокол выставляем XMODEM и выбираем необходимый файл прошивки.Минут 10-15 файл закачивается после чего перегружаем свич. Процесс первой загрузки будет идти несколько дольше чем обычно, так что не стоит начинать кусать локти раньше времени.

Если обновляемся с более древней прошивки, то как я отписал, этот этап придется проделывать два раза, до промежуточной и до конечной версии.

Рубрика: Оборудование | Ваш отзыв »

Подключение домена на дополнительный IP в cPanel WHM

Столкнулся с тем, что на VPS от Webintellect я могу завести только один домен на дополнительном IP адресе, причем по результатам переписки около двух дней мы только пришли к тому, что мне видимо придется менять хостинг. Но как говорится- хочешь все испортить, поручи другому, так что от безысходности я полез разбираться дальше, и оказалось что все делается весьма элементарно, просто через создание реселлеровского аккаунта. Уж не знаю, из природной вредности или действительно от незнания, технари мне не смогли подсказать этот вариант.

Итак имеем cPanel WHM.

Для начала создадим реселера.
Идем в раздел:  Account Functions -> Create a New Account и заполняем всю необходиую информацию об аккаунте, после чего в разделе Reseller Settings ставим галочку “Make the account a Reseller” и в Account Functions -> Change Site’s IP Address назначаем данному аккаунту дополнительный IP адрес.

Теперь содаем другой домен, который повесим также на дополнительный адрес. В разделе Account Functions -> Create a New Account создаем новый аккаунт, затем идем в Account Information -> List Accounts кликаем в иконку редактирования, в последнем столбце Owner, нашего нового аккаунта. Из выпадающего меню Change OwnerShip выбираем нашего реселлера и говорим Ок. Возвращаемся в список аккаунтов Account Information -> List Accounts  и идем в столбец IP нашего нового аккаунта. Убеждаемся что в строке New Address стоит новый IP адрес, на который бал назначен наш новый реселлер, и нажимаем Change. Теперь наш сайт привязан к дополнительному IP адресу, и точно также мы сможем привязать к нему любое количество доменов.

Но я не делаю больше 15-20 доменов на один адрес, ибо это чревато баном или попаданием под поисковые фильтры, особенно если планируется линковать сайты между собой.

Рубрика: Сайты и их проблемы | Отзывов: 4 »

Пляски с хостингами

Сегодня не день, а просто праздник какой то! Все как то, начиная с полуночи, сложилось очень уж гладко.

Для начала я зарегистрировал себе новый хостинг на Cyber Wurx, причем при внешней убогости внутренней панели, просто изумительно работает суппорт: помимо того, что на все мои письма, с кучей вопросов по поводу функционала, отвечали в течении пару-тройки часов, при переезде у меня возникли некие проблемы с работоспособностью сайта, которые были диагностированы в течении пятнадцати минут после открытия тикета, и устранены в течении сорока, так что утром все замечательно работало. То есть еще одна из хороших новостей заключается в том, что я перенес на хостинг от Cyber Wurx  один из трех своих сайтов, хостившихся на ужасном globat, и в данный момент он уже отлично работает, демонстрируя невиданную доселе прыть в своей работе.

Эта новость сразу же подняла мне настроение, по приезду на работу, поскольку когда я ложился спать – сайт выглядел ужасающе: на морде не грузилось ничего,  начиная с хедера страницы.

После этого я обнаружил, что парни из Webintellects ответили мне по поводу проблем с выделенными IP адресами, уже в нормальном ключе. Кратко проблема заключалась в том, что по их правилам я мог использовать каждый дополнительный выделенный IP адрес для хостинга ТОЛЬКО ОДНОГО домена. Если мне нужно было больше, то я должен был использовать основной IP адрес или покупать новый адрес (для seo-линков конечно такой подход просто идеален, но для кармана не особо, поскольку я планировал что этого хостинга мне должно было хватить на 30+ сайтов, и никак не рассчитывал при этом ежемесячно докидывать 30 баксов за выделенные адреса ).  В итоге, весь вчерашний день я убил на жаркую переписку со службой поддержки Webintellects, в процессе которой успело засветиться неколько специалистов их технической и пресейл поддержки, от продавца, до руководителя системного администрирования. Собственно последний  (при том, что 3 админа до этого сработали “на отъе..”) как раз  и дал мне совет что и как попытаться сделать, и хотя, как оказалось, совет был не рабочий, но это дало мне правильное направление изысканий, так что за час плясок с бубнами вокруг WHM, я все таки умудрился повесить больше одного домена на дополнительные IP, так что вопрос переезда и с этого хостинга, для меня вроде как отпал- надеюсь насовсем.

Далее подробнее, а пока могу сказать, что впечатления от Cyber Wurx просто самые замечательные, поскольку мой журнал Что Читать, отвратительно работавший на движке Globat, на новой площадке просто летает. В добавок к этом очень порадовала общительная и оперативная поддержка клиентов- так что будем продолжать сотрудничество с данными товарищами.

Сейчас совсем не по теме, но тем не менее полезная мысль:
Одним из способов получить дополнительных посетителей на свой сайт, помимо грамотного seo наполнения и развития ресурса, является использование таких инструментов продвижения, как контекстная реклама, с помощью которой веб-сайт получает узко-целевой траффик. Контекстная реклама на крупнейшем российском поисковике Яндекс, является одним из наиболее эффективных способов привлечения потенциальных клиентов на ваш сайт.

Рубрика: Сайты и их проблемы, Хостинг | Ваш отзыв »

Обновители 1С как всадники апокалипсиса

Вот реально, иногда хочется адынсникам и гарантам, точнее представителям компаний “интеграторов” которые шарахаются по клиентам с целью обновления баз, форм и прочее; просто поотрывать к чертовой матери руки, а флешки их адовы засунуть туда, откуда достать их бывает не так просто, как могло бы подуматься. Имея двух клиентов, с поддерживаемой в актуальном состоянии 1С, имею также и перманентный аврал через день -два после визита специалиста обновляющего базу. Каждый раз на компьютере оказывается какой то зоопарк состоящий из 3-4 разновидностей троянов. Пока ума не приложу, как быть и что с этим делать, поскольку антивирус в любом случае это дело просыпает, а в результате работы, оказывается зараженной не только администраторская машина, с которой происходит обновление, но и все машины, которые в последствии начинают работать с базами. Сейчас так вообще столкнулся с вирем, прописавшимся в папочку 1С- а что, крайне удобно.

В пору делать все самому, но тогда придется чаще наносить незапланированные визиты, а это конечно не очень здорово.

Рубрика: IT безопасность | Отзывов: 2 »