Linux 360° | Italia » Wireless & Networking

Mikrotik Site to Site IPsec VPN

Paolo Daniele — Mon, 20 Oct 2014 08:45:34 +0000

Ciao Ragazzi,

dopo qualche giorno di pausa si ritorna alla carica!

Oggi vi spiego come mettere su una VPN tra due siti che utilizzano come punto di accesso alla rete.

Una VPN (Virtual Private Network) è una rete che permette a due punti, connessi ad internet, distanti fisicamente tra loro di apparire come se fossero sulla stessa rete fisica.

Generalmente questo tipo di tunnel viene cifrato per evitare lo “sniffing” dei pacchetti dalla rete.

Esistono diversi sistemi per realizzare VPN sui dispositivi Mikrotik ognuno con vantaggi e svantaggi, ma quello più diffuso è sicuramente IPSec.

Nella figura sopra possiamo vedere come le due rete private abbiano indirizzi ip di classi diverse, 192.168.1.0/24 e 192.168.2.0/24 questo non è fondamentale ma è preferibile per evitare conflitti IP tra le due sedi remote.

Gli indirizzi 1.1.1.1 e 2.2.2.2 sono invece gli IP Pubblici con i quali le due sedi “escono” su Internet.

Quello che dobbiamo configurare principalmente sono 3 cose:

- Policy IPSec;

- Peers IPSec;

- NAT Firewall per permettere il passaggio dei pacchetti

Iniziamo!

SITO 1

IP Pubblico: 1.1.1.1

IP privato: 192.168.1.0/24

Configurazione Indirizzi IP:

Source code

/ip address
add address=192.168.1.1/24 interface=ether1-local network=192.168.1.0

Aggiungiamo le regole di NAT per permettere il traffico VPN da e verso le antenne:

Source code

/ip firewall nat
add chain=srcnat comment="Nat Bypass VPN" dst-address=192.168.0.0/16
add action=masquerade chain=srcnat out-interface=pppoe-out1

Come avrete notato come dst-address ho usato una /16 questo perchè le due subnet sono differenti, quindi così sono sicuro di inglobare entrambe.

Fatto questo possiamo creare il tunnell VPN con IPSec:

Source code

/ip ipsec peer
add address=2.2.2.2/32 dpd-interval=disable-dpd enc-algorithm=3des hash-algorithm=md5 nat-traversal=no secret=!mys3cr3t
 
/ip ipsec policy
add dst-address=192.168.0.0/16 sa-dst-address=2.2.2.2 sa-src-address=1.1.1.1 src-address=192.168.1.0/24 tunnel=yes

Per il Sito 1 abbiamo finito…passiamo al Sito 2

SITO 2

IP Pubblico: 2.2.2.2

IP privato: 192.168.2.0/24

Configurazione Indirizzi IP:

Source code

/ip address
add address=192.168.2.1/24 interface=ether1-local network=192.168.2.0

Aggiungiamo le regole di NAT per permettere il traffico VPN da e verso le antenne:

Source code

/ip firewall nat
add chain=srcnat comment="Nat Bypass VPN" dst-address=192.168.0.0/16
add action=masquerade chain=srcnat out-interface=pppoe-out1

Anche per il Sito 2 come dst-address ho usato una /16 questo perchè le due subnet sono differenti, quindi così sono sicuro di inglobare entrambe.

Fatto questo possiamo creare il tunnell VPN con IPSec:

Source code

/ip ipsec peer
add address=1.1.1.1/32 dpd-interval=disable-dpd enc-algorithm=3des hash-algorithm=md5 nat-traversal=no secret=!mys3cr3t
 
/ip ipsec policy
add dst-address=192.168.0.0/16 sa-dst-address=1.1.1.1 sa-src-address=2.2.2.2 src-address=192.168.2.0/24 tunnel=yes

Il gioco è fatto!

Enjoy!

L'articolo Mikrotik Site to Site IPsec VPN sembra essere il primo su Linux 360° | Italia.

DDoS Attack realtime world map

Paolo Daniele — Thu, 07 Aug 2014 07:15:50 +0000

Oggi vi presento una mappa, di quelli che sono gli attacchi DDoS mondiali che vengono effettuati giornalmente.

La tipologia di attacchi DDoS è diversa, ma principalmente esistono 4 classi di attacco:

1) TCP Connection Attack (basato sulla saturazione delle connessioni tcp che possono essere stabilite presso un server);

2) Volumetric Attack (mira ad occupare interamente la banda massima disponibile del bersaglio)

3) Fragmentation Attack (tramite il flood di pacchetti TCP e UDP verso il bersaglio);

4) Application Attack (il bersaglio sono le applicazioni di uno specifico server)

A questi si aggiungono:

1) DNS Reflection (è una tecnica di tipo MitM che restituisce false informazioni dns al bersaglio)

2) Chargen Reflection (basato su vecchi servizi Windows)

L'articolo DDoS Attack realtime world map sembra essere il primo su Linux 360° | Italia.

Howto Installare Observium Network Monitoring Tool

Paolo Daniele — Tue, 22 Jul 2014 13:56:21 +0000

Oggi vi propongo un qualcosa di un po’ più avanzato!

Andremo ad installare Observium, un sistema di monitoraggio di rete Open Source.

Questo tipo di sistema permette di racchiudere in un unica interfaccia, il monitoraggio di più dispositivi di rete utilizzando il protocollo standard SNMP.

Pur essendo uno standard in realtà ci sono diverse varianti a seconda del Vendor (Cisco, Mikrotik, Juniper etc.) la maggior parte delle quali sono già integrate dentro il sistema principale.

Per quello che non è integrato, con un po’ di modifiche e un po’ di lavoro sul codice sorgente è possibile implementare SNMP di altri Vendor.

Observium è sviluppato principalmente per sistemi Debian/Ubuntu ma è compatibile anche per altre piattaforme (CentOS, Rhel etc.) ma per queste non viene garantito il supporto.

Vediamo come installare:

REQUISITI FONDAMENTALI

Apache
fping
MySQL 5
Net-SNMP 5.4+
RRDtool 1.3+
Graphviz
PHP 5.4+

Per le funzionalità aggiuntive:

Ipmitool
Libvirt-bin

Source code

apt-get install libapache2-mod-php5 php5-cli php5-mysql php5-gd php5-snmp php-pear snmp graphviz php5-mcrypt php5-json 
subversion mysql-server mysql-client rrdtool fping imagemagick whois mtr-tiny nmap ipmitool python-mysqldb

Per le Libvirt:

Source code

apt-get install libvirt-bin

INSTALLAZIONE OBSERVIUM

Creiamo la directory di installazione:

Source code

mkdir -p /opt/observium && cd /opt

Le nuove versioni di Observium si dividono tra la Community Edition e la versione con Sottoscrizione. Per chi vuole solo la Community Edition:

Source code

wget http://www.observium.org/observium-community-latest.tar.gz
tar zxvf observium-community-latest.tar.gz

Per la revisione NOT-STABLE:

Source code    
svn co http://svn.observium.org/svn/observium/trunk observium

Per la revisione STABLE:

Source code

svn co http://svn.observium.org/svn/observium/branches/stable observium

CONFIGURAZIONE OBSERVIUM

Source code

cp config.php.default config.php

Creiamo il Database che conterrà le informazioni del monitoraggio:

Source code

mysql -u root -p
 
mysql> CREATE DATABASE observium;
mysql> GRANT ALL PRIVILEGES ON observium.* TO 'observium'@'localhost'
    -> IDENTIFIED BY '';

Una volta fatto questo editiamo i corrispondenti valori (nome database, utente e password) dentro il file config.php

Installiamo le tabelle di base di Observium:

Source code

php includes/update/update.php

La directory dei log la possiamo mettere in /var oppure possiamo direttamente specificare di scrivere i file di log nella /var

IMPORTANTE:

Creare la directory per gli RRD e assegnare i permessi come segue per avere i grafici disegnati in maniera corretta:

Source code

mkdir rrd
chown www-data:www-data rrd

Configuriamo il Virtual Host di Apache, nel mio caso ho editato quello di default, ma se avete diversi siti è possibile creare un file separato:

Source code

<VirtualHost *:80>
       ServerAdmin webmaster@localhost
       DocumentRoot /opt/observium/html
       <Directory />
               Options FollowSymLinks
               AllowOverride None
       Directory>
       <Directory /opt/observium/html/>
               Options Indexes FollowSymLinks MultiViews
               AllowOverride All
               Order allow,deny
               allow from all
       Directory>
       ErrorLog  ${APACHE_LOG_DIR}/error.log
       LogLevel warn
       CustomLog  ${APACHE_LOG_DIR}/access.log combined
       ServerSignature On
VirtualHost>

Abilitiamo il modulo rewrite:

Source code

a2enmod rewrite
service apache2 restart

Abbiamo quasi finito!

Aggiungiamo un nuovo utente di livello 10, che sarà il nostro amministratore:

Source code

cd /opt/observium
./adduser.php admin admin_password 10

Aggiungiamo il primo dispositivo da monitorare:

Source code

./add_device.php ip_oppure_hostname public v2c

I parametri che ho usato:

ip_oppure_hostname: Indirizzo IP o Hostname della macchina da monitorare;
public: il tipo di community SNMP ( se non siete pratici lasciate public);
v2c: la versione di SNMP utilizzata

La versione 2c è quella compatibile con quasi tutti i dispositivi, mentre se volete usare autenticazione dovete usare la v3

Adesso popoliamo di dati il nostro Observium:

Source code

cd /opt/observium
./discovery.php -h all
./poller.php -h all

Inseriamo queste opzioni sotto crontab cosichhè sia il sistema a lavorare per noi:

Source code

crontab -e
33  */6   * * *   root    /opt/observium/discovery.php -h all >> /dev/null 2>&1
*/5 *     * * *   root    /opt/observium/discovery.php -h new >> /dev/null 2>&1
*/5 *     * * *   root    /opt/observium/poller-wrapper.py 1 >> /dev/null 2>&1

Il gioco è fatto!

Andare all’indirizzo ip http://il_vostro_ip e avrete il vostro sistema di monitoraggio pronto!

Enjoy!

L'articolo Howto Installare Observium Network Monitoring Tool sembra essere il primo su Linux 360° | Italia.

Fonera SSH Access

Paolo Daniele — Thu, 05 Dec 2013 14:36:02 +0000

Oggi vi spiego come ottenere l’accesso SSH su una Fonera.
I modelli supportati sono:

[list style='regular'] [list_item]FON2100A[/list_item] [list_item]FON2100B[/list_item] [list_item]FON2100C[/list_item][list_item]FON2200[/list_item] [/list]

Di base la porta 22 utilizzata dal protocollo SSH è bloccata, oggi vi insegno a sbloccarne l’accesso e a renderlo permanente.

La seguente modifica vale per firmware da 0.7.0r4 a 0.7.1r1 per firmware più recenti la modifica non è più valida.

ATTENZIONE la seguente guida è a scopo puramente dimostrativo e sebbene l’abbia provata e funzioni senza problemi e/o danneggiamenti non sono responsabile di eventuali malfunzionamenti del dispositivo!

Ok, prefazione e disclaimer ci sono….adesso possiamo iniziare con il divertimento!

Sfruttando un browser con javascript abilitato create due pagine web chiamate step1.html e step2.html ed inserite dentro il seguente codice:

step1.html

  Step 1-2 to open SSH-access to La Fonera    Open SSH-access to La Fonera
 (Model: FON2100A/B/C & FON2200) Works with firmware 0.7.0r4 up to 0.7.1r1
 Step 1 of 2 for connection via LAN

step2.html

  Step 2-2 to open SSH-access to La Fonera    Open SSH-access to La Fonera
 (Model: FON2100A/B/C & FON2200) Works with firmware 0.7.0r4 up to 0.7.1r1
 Step 2 of 2 for connection via LAN

Fatto questo collegare la fonera con un cavo di rete con configurazione: IP 169.254.255.2, Subnetmask 255.255.255.0 and Gateway 169.254.255.1

Avviare il file step1.html e premere SUBMIT e attendere qualche secondo che si apre la pagina web della fonera, utilizzare username e password (default root e admin) e attendere fino a che il browser non ha finito di caricare.

Fatto questo avviare il file step2.html e premere SUBMIT e ripetere la procedura(se siete già loggati non verrà richiesto l’accesso)

Fatto questo siete in grado di collegarvi in SSH sulla fonera usando i vostri user e password.

[image src='http://www.paolodaniele.it/wp-content/uploads/2013/12/ssh01.gif' title='' align='center']

Per abilitare l’accesso in maniera permanente:

mv /etc/init.d/dropbear /etc/init.d/S50dropbear vi /etc/firewall.user

Premere “i” per iniziare l’edit e decommentare le seguenti linee:

[image src='http://www.paolodaniele.it/wp-content/uploads/2013/12/ssh02.gif' title='' align='center']

Uscire salvando( :wq per salvare e uscire) e riavviare la fonera.

Fatto questo rientrare in ssh:

vi /bin/thinclient

e modificare il file come segue:

[image src='http://www.paolodaniele.it/wp-content/uploads/2013/12/ssh03.gif' title='' align='center']

Salvare ed uscire!

D’ora in avanti la vostra Fonera avrà acesso SSH!

Enjoy!

L'articolo Fonera SSH Access sembra essere il primo su Linux 360° | Italia.

Fonera 2200 Hack con DD-WRT

Paolo Daniele — Sat, 30 Nov 2013 18:41:09 +0000

Sempre grazie al mio amico e compare Frank che mi ha prestato una Fonera2200 da usare come AP!

Oggi vi spiego come mettere il firmware DD-WRT sulla Fonera Fon2200.

La procedura è abbastanza semplice anche se il rischio di brick dell’ap è sempre alle porte!!

Iniziamo scaricando tutto il necessario:

FonFlash( Versione Windows , Versione Linux, Versione OSX)
WinPcap driver (scaricabile qui)
DD-WRT( scaricabile qui)

Avviato il programma FonFlash apparirà così:

Collegare la fonera, ancora spenta, al pc tramite un cavo di rete e avviare il programma fonFlash.

Selezionare in tipo di firmware la voce DD-WRT e scegliere il file precedentemente scaricato.

Premere il tasto Flash Router con l’ap ancora spento e solo dopo alimentare l’ap. Dopo qualche messaggio tipo “no packet”, o di arp errato, inizierà la procedura di aggiornamento.

A questo punto non interrompere la procedura altrimenti la probabilità di brick è del 99%!!!

Una volta finito(possono passare ache 30-40 min) il programma darà esito positivo e l’ap verrà riavviato.

Spegnere l’ap e dopo qualche secondo ricollegarlo.

Fatto questo sarà possibile accedere al nuovo firmware dall’indirizzo http://192.168.1.1

Il gioco è fatto!

Enjoy!

L'articolo Fonera 2200 Hack con DD-WRT sembra essere il primo su Linux 360° | Italia.

Bridge Punto-Punto con Mikrotik

Paolo Daniele — Fri, 13 Sep 2013 15:34:20 +0000

Ecco come realizzare un collegamento punto-punto utilizzando due cpe Mikrotik SXT. Un ringraziamento al mio amico e compare Frank per le immagini della guida!

colleghiamo la prima delle due SXT Mikrotik ad un pc, dando alla rete LAN un indirizzo ( consiglio: utilizzare 192.168.88.100/24).

Utilizziamo il tool winbox (disponibile a questo indirizzo) e colleghiamoci o tramite l’indirizzo ip della CPE o tramite il mac address utilizzando username: admin e password vuoto(se è la prima volta che si accede al dispositivo)

Configuriamo adesso la prima SXT come Bridge.

Andare su Interfaces, doppio click sull’interfaccia radio e aprire il tab Wireless. Cambiare, come mostrato in figura il Mode in Bridge, impostare una frequenza e poi fare Apply

Andare nel Menu IP->Firewall e scegliere il tab NAT.

Disabilitare la regola Masquerade:

Andare su IP->DHCP Server e IP->DHCP Client e disabilitare i due servizi in quanto non servono in modalità trasparente.

Scegliere dal menu Bridge e creare un nuovo bridge tra l’interfaccia Ethernet(ether1-local) e l’interfaccia radio(wlan1-gateway):

Ora che è stato aggiunto il Bridge bisogna assegnare l’ip non più all’interfaccia Eth ma al bridge(funziona anche lasciando l’ip alla eth, ma è più corretto in questo modo!)

Scegliere un indirizzo IP es. 10.0.0.11 e assegnarlo al bridge

Poi rimuovere l’IP dalla interfaccia ether1-local

Il secondo dispositivo va configurato esattamente allo stesso modo semplicemente cambiando l’IP del bridge con un altro indirizzo della rete 10.0.0.X es. 10.0.0.12

Per chi necessità di far passare le VLAN sul bridge, bisogna prima creare la VLAN dal menu Interfaces con il tasto + e poi creare un bridge tra la VLAN e la wlan1-gateway.

Di seguito il codice per chi volesse creare le vlan da terminale:

interface vlan add name=vlan-10 vlan-id=10 interface=wlan1-gateway disabled=no
interface vlan add name=vlan-20 vlan-id=20 interface=wlan1-gateway disabled=no
interface bridge add name=br-vlan10 disabled=no
interface bridge add name=br-vlan20 disabled=no
interface bridge port add interface=”vlan-10″ bridge=”br-vlan10″ disabled=no
interface bridge port add interface=”wlan1-gateway” bridge=”br-vlan10″ disabled=no
interface bridge port add interface=”vlan-20″ bridge=”br-vlan20″ disabled=no
interface bridge port add interface=”wlan1-gateway” bridge=”br-vlan20″ disabled=no

L'articolo Bridge Punto-Punto con Mikrotik sembra essere il primo su Linux 360° | Italia.