miércoles, 30 de enero de 2013

Linux/Unix: Mover configuracion dePutty a otro equipo.

No se les ha pasado, nos llega maquina nueva para poder seguir estando a el dia, corriendo alguna version de Linux/Unix, ya tenemos todo configurado y operando.

Putty que muchos admin de sistemas usamos para accesar remotamente nuestros servidores atraves del protocolo SSH, lo tenemos con varios servidores ya configurados y nos es dificil volver a configurar uno a uno en la nueva estacion.

Podemos ahorrarnos tiempo, solo tenemos que sacar el profile de putty  del usuario en cuestion y mandarlo a la nueva estacion.

Putty genera en cada usuario que lo ejecuta, un folder escondido en la raiz del usuario:

/home/Yo/.putty

Ahi dentro esta un folder llamado: sessions

Solo movemos este folder a nuestra nueva estacion y listo, a lo mejor en la nueva no tenemos aun el folder .putty, no hay problema, solo abran putty y trate de hacer una conexion a un servidor remoto y el se encargara de generar el folder.

Una vez hecho esto, movemos este folder ahi y listo, tendran ya todas sus sesiones tal cual las tenian en su vieja estacion.

Saludos!!!

lunes, 28 de enero de 2013

Pfsense 2: Captive Portal+FreeRadius2 Manejo de Tiempo.

Hemos estado trabajando con otros usuarios de Pfsense en un problema que para muchos como yo es importante en un software como pFsense, como controlar los usuarios inhalambricos atraves de un CaptivePortal.

Como sabran, Pfsense tiene su propio CaptivePortal(CP de aqui en adelante) y asu vez tiene en su paqueteria a FreeRadius tanto 1 como 2, pero nos vamos a enfocar en la versión 2(FR2 de aqui en adelante).

Uniendo estos 2 paquetes tenemos algo que encontramos en productos como Mikrotik, Ruckus, etc. Ya podemos controlar nuestros usuarios en base a tiempos de navegación, por ejemplo:

usr1 2 minutos
usr2 4 minutos
usr3 8 minutos
etc.

La logica dice que CP estara autenticando los usuarios cada 60 segundos y con esto FR2 validara si a el usuario aun le queda tiempo de navegacion atraves del modulo "Counter" que es parte de FR2 y el llevara a cabo la funcion de estar llevando los contadores de tiempo de cada usuario.

Asi podriamos tener un sistema de cobro por tiempo por ejemplo, un usuario llega y paga 1 hora por adelantado, le damos su usuario+contraseña y listo.

Esto es como deberia funcionar, pero CP tiene ciertos problemas los cuales un usuario que lo veran en este link da un parche para atacar el problema que les voy a explicar enseguida:

Parche CP.

Problema de CP.

Resulta ser que CP no esta enviando los paquetes de Start/Stop cada 60 segundos, algo que yo he notado en mis pruebas es que no importa el tiempo que se le asigne a el usuario, siempre lo saca a los 5 minutos, y este asunto otros tambien lo han notado.

No es problema de FR2 si no del codigo de CP, por ello aqui plasmo  las indicaciones del parche que nos dan para este problema, quiero aclarar que ese parche es para versiones anteriores a la 2.0.2, ya que este ultima cambio algo no mucho pero si algo, no hay problema yo estoy con la ultima version(2.0.2) y aplique los cambios y al momento me esta funcionado.

Lo 1ro que vamos hacer es configurar FR2 en Pfsense, que es lo que sigue para probar, la instalacion no tiene ciencia ya que Pfsense se encarga de todo, asi que antes de seguir instalen el paquete FreeRadius2.

Caracteristicas de Instalacion:
Pfsense 2.0.2
3 NIC's:
  1. WAN
  2. Lan DHCP
  3. Wifi DHCP
La interface WiFi tiene conectado un access point Cisco WRT54G2 v1.5, no autentifica nada esta abierta, recuerden que todo lo controla CP asi que no hay problema ya que confio plenamente que aunque reciban IP los que no pertecen a mi red no podran navegar.


Configurando FreeRadius 2

Figura 1: Configuracion Incial de FR2.


Figura 2: Configuracion de la interface y puertos  necesarios.




Figura 3: Configuracion de NAS/Clientes.

Figura 4: Configuración de 1 usuario.
Figura 5: Configuración de Captive Portal.
Basados en la figura-4 pueden agregar mas usuarios solo modificando el parametro de "Amount of Time" para cada uno asi podran entender esta configuración.

Reglas de Firewall

Antes de seguir recordar que Pfsense por default la interface opt1 en adelante no tiene reglas asi que nada puede cruzar por ahi asi que yo solo deseo ofrecer lo siguiente:
Figura 6: Reglas de la red Inhalambrica.
 Por ultimo debemos aseguranos que ambos servicios esten operando
Figura 7: Servicios en linea.
Aplicación de Parche

Si ya llegaron aqui es momento de llevar a cabo la aplicación del parche, aqui les recomiendo que abran su shell o consola via ssh ya que ahi que ensuciarse las manos con nuestro editor "ee", no soy hacker asi que no logre crear al parche y darselos, si alguien sabe de favor agreguenlo con los pasos necesarios para aplicarlo :-).

Vamos a editar el archivo que controla a CP este se localiza en:

/etc/inc/captiveportal.inc

Recomendacion: Antes de modificar el archivo saquen un respaldo del archivo y tengalo a la mano por si algo les falla.

Vamos a usar a nuestro amigo "diff" para que nos muestre nuestras diferencias y hacer la  tarea mas sencilla:

diff  /etc/inc/captiveportal.inc /root/captiveportal.inc
730,731c730
<               $stop_time - 60,
<               //$cpentry[0], // start time
---
>               $cpentry[0], // start time
735,739c734,735
<               //10); // NAS Request
<               10, // NAS Request
<               false, //Not interim update
<               $stop_time);
<               exec("/sbin/ipfw table 1 entryzerostats {$cpentry[2]}");
---
>               10); // NAS Request
>               exec("/sbin/ipfw table 1 entryzerostats {$cpentry[2]}");
741,742c737
<               exec("sleep 1");
<               RADIUS_ACCOUNTING_START($cpentry[1], // ruleno
---
>               RADIUS_ACCOUNTING_START($cpentry[1], // ruleno
799d793
<               $stop_time - 60,
872d865
<               $stop_time = time();
878d870
<               $stop_time - 60,
883,885c875
<               //7); // Admin Reboot
<               7, // Admin Reboot
<               false, $stop_time);
---
>               7); // Admin Reboot

Aproximadamente en la linea 730 nuestro codigo queda asi:

                /* do periodic RADIUS reauthentication? */
                if (!$timedout && !empty($radiusservers)) {
                        if (isset($config['captiveportal']['radacct_enable'])) {
                                if ($config['captiveportal']['reauthenticateacct'] == "stopstart") {
                                        /* stop and restart accounting */
                                        RADIUS_ACCOUNTING_STOP($cpentry[1], // ruleno
                                                $cpentry[4], // username
                                                $cpentry[5], // sessionid
                                                $stop_time - 60,
                                                //$cpentry[0], // start time
                                                $radiusservers,
                                                $cpentry[2], // clientip
                                                $cpentry[3], // clientmac
                                                //10); // NAS Request
                                                10, // NAS Request
                                                false, //Not interim update
                                                $stop_time);
                                        exec("/sbin/ipfw table 1 entryzerostats {$cpentry[2]}");
                                        exec("/sbin/ipfw table 2 entryzerostats {$cpentry[2]}");
                                        exec("sleep 1");

Luego nos brincamos a la linea 799 vamos a dejar asi el codigo:

function captiveportal_disconnect($dbent, $radiusservers,$term_cause = 1,$stop_time = null) {
        global $g, $config;

        $stop_time = (empty($stop_time)) ? time() : $stop_time;

        /* this client needs to be deleted - remove ipfw rules */
        if (isset($config['captiveportal']['radacct_enable']) && !empty($radiusservers)) {
                RADIUS_ACCOUNTING_STOP($dbent[1], // ruleno
                        $dbent[4], // username
                        $dbent[5], // sessionid
                        $stop_time - 60,
                        $dbent[0], // start time
                        $radiusservers,
                        $dbent[2], // clientip
                        $dbent[3], // clientmac
                        $term_cause, // Acct-Terminate-Cause
                        false,
                        $stop_time);
        }

Y aproximadamente en la linea 872 dejamos asi el codigo:

/* send RADIUS acct stop for all current clients */
function captiveportal_radius_stop_all() {
        global $config;

        if (!isset($config['captiveportal']['radacct_enable']))
                return;

        $radiusservers = captiveportal_get_radius_servers();
        if (!empty($radiusservers)) {
                $stop_time = time();
                $cpdb = captiveportal_read_db();
                foreach ($cpdb as $cpentry) {
                        RADIUS_ACCOUNTING_STOP($cpentry[1], // ruleno
                                $cpentry[4], // username
                                $cpentry[5], // sessionid
                                $stop_time - 60,
                                $cpentry[0], // start time
                                $radiusservers,
                                $cpentry[2], // clientip
                                $cpentry[3], // clientmac
                                //7); // Admin Reboot
                                7, // Admin Reboot
                                false, $stop_time);
                }
        }
}

Revisen muy bien sus cambios, si creen que ya hicieron todo acorde, les recomiendo ampliamente reiniciar su equipo y revisar si no les marca algun error el archivo, lo van a ver en el GUI cuando le digan si a el boton de reboot.

Pruebas

Ya con su equipo en linea, sin errores y sobre todo ambos servicios operando, conecten su "access point" y prendan su PC, tableta o lo que tengan inhalambrico para empezar las pruebas, se conectan a su red y les debe aparecer la pagina de CP.

Metan su usuario de prueba y empiecen a navegar, se van a su pfsense y abran la pagina de Status-CaptivePortal y vean la hora que inicio su usuario:

Figura 8: Estatus de CP.
Un detalle es que una vez que el usuario termina si sesión el GUI no muestra su historial, pero por ello entra en funcion el log atraves de la consola, abran su shell y vean como van evolucionando el usuario:

Figura 9: Log de fr2.
Como podran ver cada cierto tiempo NAS esta enviando paquetes a FR2 y este asu vez los valida y si el usuario aun esta dentro del tiempo asignado le es permitido seguir navegando.

Cuando llega a su fin tenemos esto:

Figura 10: Usuario llego a su limite.
El contador no es exacto, aun estan haciendo ajustes que estos dias voy a probar, si sacamos la diferencia el usuario navego:
Figura 11: Tiempo que duro usuario navegando.
Pero aqui lo importante es que ya CP puede ser usado para controlar los tiempos de navegacion, ya podemos cobrar x tiempo, espero puedan llevar a cabo sus pruebas y regresen con sus resultados, mientras mas informacion de pruebas haya mejor, y si hay errores para informacion y seguir mejorando el codigo, saludos.

2013-01-30

Detalles
Sesion abierta y cambio de dia: Supongamos que el usuario8, tiene 1 hora diario ejemplo arranca su sesion el dia 30/01/2013, pero el entra a las 23:30PM, que pasa?

Bien CP le va a dar 2 horas de navegacion, por que?

CP/FR2 validan la duracion de la sesion pero no controlan estos cambios de dia, ya que ellos validan que durante el dia X el usuario haya consumido su tiempo asignado, y al brincarse a el dia Y es otro dia, por lo tanto reinicia el contador en 0, por ello el usuario tendra su hora del dia X+Y siempre y cuando en el dia X le quede menos de lo asignado cuando el inicio su navegacion.

Esto les puede pasar, entonces si tienen usuarios nocturnos y les reclaman por que ya no puede navegar en Y dia por la noche, digales que dice radius.log no miente sale, saludos!!!

sábado, 12 de enero de 2013

Centos 5.x: Compilar cooavachilli

Ahora nos toca meternos con este paquete para poder configurar un CaptivePortal, me vi en la tarea de compilar este paquete desde las fuentes(src) ya que en la pagina oficial http://coova.org/CoovaChilli no encontre por ningun lado el rpm para centos.

Bien, leyendo un poco la doc de como llevar a cabo esta labor que fue nada complicado, les quiero recordar que software debe tener nuestro sistema para llevar a cabo esto:
  1. rpm-build
  2. gcc
De aqui arrancamos todo, ahora viene la parte donde bajamos la fuente que en esta ocasión nos toco        trabajar con la versión: 1.3.0.

Seguimos el manual, o sea que ponemos al archivo en:

/usr/src/redhat/SOURCES/

Lo descomprimimos segun la doc y luego dice que:

cd coova-chilli-1.0.X/
rpmbuild -ba coova-chilli.spec
 
Bien aqui viene la parte fea, el ultimo comando no funciona ya que el archivo
coova-chilli.spec no existe en esa ruta, entonces donde esta?
 
Usando la artilleria de Linux o sea el comando find, este localizo este archivo
en:

/usr/src/redhat/SOURCES/coova-chilli-1.3.0/distro/redhat/
 
Asi que nos vamos a esa ruta y ahora si ejecutamos el comando:

rpmbuild -ba coova-chilli.spec

Y esperamos resultados, una vez terminado ya tenemos nuestro archivo.rpm en:

/usr/src/redhat/RPMS/i386

Asi que nos movemos a ese folder y de nuevo nuestra artilleria Linux para la instalación:

rpm -iv coova-chilli-1.3.0-1.i386.rpm

Listo, la configuracion esta en:

/etc/chilli

El servicio se llama:

chilli

Asi que lo que sigue es configurarlo, a darle, saludos!!!

lunes, 7 de enero de 2013

Windows 7 x64: Contpaq i.

   Hoy me tire una pelea con un Contpaq i, el contador me trajo una laptop donde lo queria correr ya que era nueva, el lo intento pero no logro hecharlo a volar, decia que arrancaba todo bien, pero cuando llegaba a el 100% la instalación ahi se quedaba colgada.

   Y no le dejo otra opción que deter la instalacion, y claro como queda a medias no le permitia desinstalarlo ya que queda a medias, Contpaq instala 4 cosas:
  • Microsoft SQL Server 2005
  • ContPAQ i 2.0.0
  • ContPAQ 2005
  • Compak SDK
   Uno de los grandes problemas era que si aparecian en el listado de programas instalados, pero cuando uno deseaba desintalarlos era donde las cosas no funcionaban, y el problema era el SDK ya que nos decia que no estaba instalado, y ni intentar quitar el ContPAQ i ya que regresa y quiere desinstalar el SDK y era el cuento de nunca acabar, ni ccleaner logro ayudar..

   Como atacamos el problema:
  • Renombrar todas las carpetas de contpaq, tanto las de la raiz como las de Program Files(x86).
  • Buscar en los registros de windows todo lo relacionado a computrabajo y renombrarlo, pero antes respaldo.
  • Ejecutar ccleaner y hacer limpia.
  • Reiniciar el equipo.
  • Ejecutar el instalador de contPAQ I como administrador.
  • Nos va a decir que la version de SQL Server tiene conflictos de compatibilidad y que si deseamos continuar, a lo cual le decimos que si, guardan la clave del usuario de SQL Server ya que contpaq se las va a requerir.
  • Cuando arranque la instalación de contpaq i, se abren 2 instalaciones: SDK y Contpaq i, cuando llegue a 100% y se quede colgada la instalación de ambos, cancelan la instalación de SDK, yo lo hice desde el "Taskmgr", contpaq i se terminara de instalar sin problemas.
   Segun mi sentido comun, el SDK tiene que ver con opciones para desarrolladores asi que no creo que contador quiera hacer programas para contpaq.

   Bien, ya que termina todo, una reiniciada.

   Cruzan las manos, todo lo relacionado a contpaq lo ejecutan como "Administrador" no se les olvide. Ejecutan el contpaq i configuracion, ahi le dan el password del usuario de la BD "sa", salvan y ahora si ejecutan el contPAQ i como "Administrador".

   Asi me funciono a mi, saludos!!!

miércoles, 2 de enero de 2013

Freebsd/Pfsense: comando gnu-watch/ifstat

Feliz 2013 a todos los que llegan a mi blog, espero este 2013 sea mucho mejor que cualquiera de los anteriores y que todos sus deseos sean cumplidos y que tengan buen salud que es lo mas importante para continuar nuestro viaje por este vida.

Regresando a lo que hago dia a dia, bien he estado trabajando en distintos temas que me agradan con pfsense,  a veces uno se pregunta como podre ver mis logs en tiempo real sin tener que estar ejecutando tail o cat:

tail -n 30 /var/log/radiusd.log

Yo deseo ejecutar este comando constantemente sin mi intervención para poder debugear ciertos problemas que tengo, se puede?

Claro que si, tenemos el comando gnu-watch en freebsd y por lo tanto para pfsense, en Linux se llama watch.

Como funciona?

Yo deseo que el comando anterior sea ejecutado constantemente, esto lo hacemos asi:

gnu-watch tail -n 30 /var/log/radiusd.log

Lo que va hacer el comando es mostrar ejecutar nuestro comando cada 2 segundos que es el valor que tiene por default, pero podemos reducirlo hasta 0 segundos que es lo minimo con el parametro -n.

Ver siguiente figura:
Figura-1: gnu-watch en operación.
Si observan la figura-2 esa pantalla se estara refrescando cada 2 segundos segun dice en la esquina superior izquierda, podemos estar trabajando y ver nuestro log como va cambiando si es que el sistema esta agragando entradas, de lo contrario nunca van a ver cambios.

Ustedes vean que utilidad pueden darle a este comando, y no solo para ver log, que tal si deseamos ver el comando netstat -m cada segundo:

Ejecuten en su consola:

gnu-watch -n 1 netstat -m

Y vean el resultado.

Ya hable del comando, ahora viene como instalarlo, estamos usando pfsense 2.0.2 asi que nos vamos a la consola y ejecutamos el comando:

NOTA: Puede ser que ya exista una version mas arriba, no hay problema solo verifiquen la versión y listo.

pkg_add -r ftp://ftp.freebsd.org/pub/FreeBSD/ports/i386/packages-8.2-release/misc/gnu-watch-3.2.8.tbz

Ya que termine recuerde ejectar rehash para que pfsense actualice su indice de aplicaciones y este lista para usar.

Comando Ifstat, pfsense tiene el gui que nos dice la taza de transferencia de cada tarjeta, pero a mi me gusta compararlo con algo en la consola para validar el dato, aparte ifstat te muestra todas las tarjetas de un solo golpe, es una herramienta que hasta para windows existe.

Su instalacion es parecida a el paquete anterior pero esta se localiza en otro directorio, asi lo instale:

pkg_add -r ftp://ftp.freebsd.org/pub/FreeBSD/ports/i386/packages-8.2-release/net/ifstat-1.1_4.tbz

Al momento de ejecutarla a mi me muestra lo siguiente:

Figura-2: Ifstat en ejecucion.
Una vez instalada, puedo probar como esta la taza de transferencia interna, a lo mejor la PC de un cliente no esta operando a 100MBs Full, copeo un archivo de maquina a maquina y de cualquier lado ejecuto ifstat y veo los datos en consola.

Estas son 2 de mis herramientas favoritas cuando deseo encontrar la solucion a distintos problemas que se me presentan, espero a ustedes tambien les sirvan de algo, saludos!!!