oggi andiamo sull’avanzato. Tutti conoscono il DHCP e cosa fa un DHCP Server, ma pochi sanno che tramite DHCP si possono passare altre informazioni agli utenti che si collegano.

In diversi casi, specie in grandi aziende, con molte subnet diverse, è necessario passare delle rotte statiche ai client che si collegano in automatico: questo per semplificare l’aggiunta di rotte statiche sui pc degli utenti.

Per lavoro utilizzo molto due strumenti che permettono l’inserimento di queste opzioni, ma che sono leggermente diversi tra loro.

Il primo è PfSense, uno dei migliori firewall open source presenti in circolazione.

Il secondo è Mikrotik.

Analizziamoli:

1) PfSense

Su PfSense è possibile definire due tipi di rotte statiche via DHCP:

• Single route (DHCP Option 33)
• Classless Static Route (DHCP Option 121)

Nel primo caso si definisce solo l’IP di destinazione ed il Gateway come nella figura:

Il valore Esadecimale è calcolato in questo modo:

• IP Destinazione: 192.168.123.234 (Hex: C0:A8:7B:EA)
• IP Gateway: 10.34.72.42 (Hex: 0A:22:48:2A)

Quindi il valore da inserire sulla PFSense sarà: C0:A8:7B:EA:0A:22:48:2A

Nel secondo caso, si definisce IP destinazione, Subnet Mask e Gateway:

Come si nota anche dall’immagine, la differenza è che il valore che precede tutto è la conversione in Hex della netmask.

• IP Destinazione: 192.168.123.234 (Hex: C0:A8:7B:EA)
• IP Gateway: 10.34.72.42 (Hex: 0A:22:48:2A)
• Netmask: 24 (Hex: 18)

Quindi il valore da inserire sulla PFSense sarà: 18:C0:A8:7B:EA:0A:22:48:2A

2) Mikrotik

Sui dispositivi Mikrotik, a partire dalla versione 6.00 (prima non funziona correttamente) è possibile impostare le rotte statiche via DHCP, utilizzando il seguente formato:

0xnnddddddddgggggggg

Dove:

• nn = Netmask
• dddddddd = IP Destinazione
• gggggggg = IP Gateway

Quindi per aggiungere la regola di esempio precedente dovremmo eseguire:

Source code

/ip dhcp-server option add name=classlessroutes code=121 value=0x18C0A87BEA0A22482A

Per semplificare la vita a chi non ha “voglia” di fare le conversioni ho realizzato un piccolo tool in Java che permette di effettuare la conversione direttamente per il tipo di sistema desiderato.

Da questo link è possibile scaricare il programma da eseguire semplicemente con:

Source code

java -jar frank.jar

Il programma ovviamente si chiama come l’amico che mi ha dato l’idea di realizzarlo!

Enjoy!

L'articolo DHCP Options: Rotte Statiche via DHCP sembra essere il primo su Linux 360° | Italia.

dopo qualche giorno di pausa si ritorna alla carica!

Oggi vi spiego come mettere su una VPN tra due siti che utilizzano come punto di accesso alla rete.

Una VPN (Virtual Private Network) è una rete che permette a due punti, connessi ad internet, distanti fisicamente tra loro di apparire come se fossero sulla stessa rete fisica.

Generalmente questo tipo di tunnel viene cifrato per evitare lo “sniffing” dei pacchetti dalla rete.

Esistono diversi sistemi per realizzare VPN sui dispositivi Mikrotik ognuno con vantaggi e svantaggi, ma quello più diffuso è sicuramente IPSec.

Nella figura sopra possiamo vedere come le due rete private abbiano indirizzi ip di classi diverse, 192.168.1.0/24 e 192.168.2.0/24 questo non è fondamentale ma è preferibile per evitare conflitti IP tra le due sedi remote.

Gli indirizzi 1.1.1.1 e 2.2.2.2 sono invece gli IP Pubblici con i quali le due sedi “escono” su Internet.

Quello che dobbiamo configurare principalmente sono 3 cose:

- Policy IPSec;

- Peers IPSec;

- NAT Firewall per permettere il passaggio dei pacchetti

Iniziamo!

 SITO 1

IP Pubblico: 1.1.1.1

IP privato: 192.168.1.0/24

Configurazione Indirizzi IP:

Source code

/ip address
add address=192.168.1.1/24 interface=ether1-local network=192.168.1.0

Aggiungiamo le regole di NAT per permettere il traffico VPN da e verso le antenne:

Source code

/ip firewall nat
add chain=srcnat comment="Nat Bypass VPN" dst-address=192.168.0.0/16
add action=masquerade chain=srcnat out-interface=pppoe-out1

Come avrete notato come dst-address ho usato una /16 questo perchè le due subnet sono differenti, quindi così sono sicuro di inglobare entrambe.

Fatto questo possiamo creare il tunnell VPN con IPSec:

Source code

/ip ipsec peer
add address=2.2.2.2/32 dpd-interval=disable-dpd enc-algorithm=3des hash-algorithm=md5 nat-traversal=no secret=!mys3cr3t
 
/ip ipsec policy
add dst-address=192.168.0.0/16 sa-dst-address=2.2.2.2 sa-src-address=1.1.1.1 src-address=192.168.1.0/24 tunnel=yes

Per il Sito 1 abbiamo finito…passiamo al Sito 2

SITO 2

IP Pubblico: 2.2.2.2

IP privato: 192.168.2.0/24

Configurazione Indirizzi IP:

Source code

/ip address
add address=192.168.2.1/24 interface=ether1-local network=192.168.2.0

Aggiungiamo le regole di NAT per permettere il traffico VPN da e verso le antenne:

Source code

/ip firewall nat
add chain=srcnat comment="Nat Bypass VPN" dst-address=192.168.0.0/16
add action=masquerade chain=srcnat out-interface=pppoe-out1

Anche per il Sito 2 come dst-address ho usato una /16 questo perchè le due subnet sono differenti, quindi così sono sicuro di inglobare entrambe.

Fatto questo possiamo creare il tunnell VPN con IPSec:

Source code

/ip ipsec peer
add address=1.1.1.1/32 dpd-interval=disable-dpd enc-algorithm=3des hash-algorithm=md5 nat-traversal=no secret=!mys3cr3t
 
/ip ipsec policy
add dst-address=192.168.0.0/16 sa-dst-address=1.1.1.1 sa-src-address=2.2.2.2 src-address=192.168.2.0/24 tunnel=yes

Il gioco è fatto!

Enjoy!

L'articolo Mikrotik Site to Site IPsec VPN sembra essere il primo su Linux 360° | Italia.

oggi vi mostro alcuni trucchi di scripting Mikrotik!

Supponiamo di avere 2 Connessioni internet (es. due gestori diversi per avere banda ridondata) e un dispositivo Mikrotik che gestisce il failover, ossia quando cade la primaria effettua in automatico lo switch sulla secondaria.

Fino a qua non ci sono problemi. Cosa succede se abbiamo un centralino VoIP con Asterisk.

Se cade la connessione primaria e switchamo sulla secondaria, si verifica il problema che le connessioni voip rimangono appese sulla primaria e quindi il problema persiste perchè non funziona la parte telefonica anche se la connessione c’è.

Come risolvere questo problema?

Andiamo a programmare!!

Per prima cosa vi spiego l’idea alla base dello script.

Periodicamente effettuiamo un check ping su due indirizzi ip (ovviamente su due reti geografiche diverse). Se il ping è ok non succede niente, il sistema continua a funzionare.

Quando entrambi i ping falliscono, vuol dire che abbiamo perso la connessione primaria (es. Adsl down, problemi in centrale e robe simili): questo fa da trigger al nostro script!

Il primo script, che chiameremo “Check Script”, disabilità l’interfaccia primaria (quella down per capirci) e ci manda una mail indicando il problema e su quale apparato è avvenuto.

Dopo 3 secondi riavvia il router.

Al riavvio entra in funzione il secondo script, che chiameremo “Restart Script”, che dopo 10 sec (il tempo necessario a far ripartire totalmente il device) controlla se l’interfaccia primaria è ritornata funzionante (es. se uno riavvia il router per qualunque motivo non è che deve ogni volta disabilitare/abilitare le interfacce di rete!)

Se è disabilitata e non è ritornata su, allora le viene assegnata priorità/distanza 3 (quindi l’interfaccia secondaria diventa la Master) e la riabilita per provare a vedere se è ritornata attiva.

Se i ping sono apposto cambia la distanza a 1 e torna tutto come prima, se i ping falliscono allora la connessione rimane up sulla interfaccia secondaria.

Sotto questo scenario le chiamate voip, tranne per il breve momento necessario al riavvio della Mikrotik, continueranno a funzionare!

Ecco i due script:

CHECK SCRIPT

Source code

:global strDate [/system clock get date]
:global strTime [/system clock get time]
:global strSystemName [/system identity get name]
 
 
:if ([/ping 10.104.7.187 interface=pppoe-out1 count=5] = 0 && [/ping 8.8.4.4 interface=pppoe-out1 count=5] = 0 && [/ip route get [find comment="Primary"] disabled]=false) do={
    :log info "Disabling Primary";
    /ip route set [find comment="Primary"] disabled=yes
    /tool e-mail send from="yyyyy@gmail.com" to="xxxx@gmail.com" subject="Route Failover - $strDate $strTime - $strSystemName" body="Failover to Telecom occurred at $strDate $strTime on $strSystemName"
    :delay 3
    /system reboot
 
} else= {
    :log info "No Failover Necessary";
}

RESTART SCRIPT

Source code

:delay 10;
:if ([/ip route get [find comment="Primary"] disabled]=true) do={
    /interface ethernet set numbers=4 disabled=no
   
     /ip route set [find comment="Primary"] disabled=no
     /ip route set [find comment="Primary"] distance=3
    :delay 10
    :if ([/ping 10.104.7.187 routing-table=Primary count=5] > 0 && [/ping 8.8.4.4 routing-table=Primary count=5] > 0) do={
 
       /ip route set [find comment="Primary"] distance=1
       /system reboot
    }
     else= {
       
        /ip route set [find comment="Primary"] distance=3
 
    }
} else= {
    :log info "No Failover Necessary";
}

Enjoy!

L'articolo Mikrotik Scripting: Evitare cadute Asterisk causate da Failover sembra essere il primo su Linux 360° | Italia.

È possibile incollare questo script direttamente in una finestra “New Terminal” o configurare ogni passo individualmente in Winbox, la struttura dei comandi riflette il menu Winbox. Tutte le linee che iniziano con un “#” essendo commenti vengono ignorate da MikroTik.

La configurazione di rete wireless varia a seconda del tipo di RouterBoard che si utilizza e quindi la configurazione può richiedere qualche ritocco.

Configurazione Ap Principale:
# Access Point WDS
#
### Create Bridge Interface ###
/interface bridge
add name=wds-bridge comment=wds-bridge-interface disabled=no

### Add ether1 to the Bridge###
/interface bridge port
add interface=ether1 bridge=wds-bridge

### Create Wireless Security Profile ###
/interface wireless security-profiles
add mode=dynamic-keys authentication-types=wpa2-psk group-ciphers=aes-ccm name=wifi_baleno unicast-ciphers=aes-ccm wpa2-pre-shared-key=”balenowireless”

### Wireless Network Configuration ###
/interface wireless
set 0 band=5ghz-a/n channel-width=20/40mhz-ht-above disabled=no frequency=5765 mode=bridge security-profile=wifi_baleno ssid=”Baleno WDS Bridge” wds-default-bridge=wds-bridge wds-mode=dynamic wireless-protocol=nv2 ht-txchains=0,1 ht-rxchains=0,1

### IP Address of Bridge Interface ###
/ip address
add address=192.168.88.101/24 interface=wds-bridge

### Disable firewall connection tracking to reduce overhead ###
/ip firewall
connection tracking set enabled=no

### Set Hostname ###
/system identity
set name=AP-BALENO-WDS

### End of configuration ###

Configurazione AP Secondario:
# Station WDS
#
### Create Bridge Interface ###
/interface bridge
add name=wds-bridge comment=wds-bridge-interface disabled=no

### Add ether1 and wlan1 to the Bridge###
/interface bridge port
add interface=ether1 bridge=wds-bridge
add interface=wlan1 bridge=wds-bridge

### Create Wireless Security Profile ###
/interface wireless security-profiles
add authentication-types=wpa2-psk group-ciphers=aes-ccm name=wifi_security unicast-ciphers=aes-ccm wpa2-pre-shared-key=”balenowireless”

### Wireless Network Configuration ###
/interface wireless
set 0 band=5ghz-a/n channel-width=20/40mhz-ht-above mode=station-wds security-profile=wifi_baleno ssid=”Baleno WDS Bridge” wireless-protocol=nv2-nstreme-802.11 disabled=no ht-txchains=0,1 ht-rxchains=0,1

### IP Address of Bridge Interface ###
/ip address
add address=192.168.88.102/24 interface=wds-bridge

### Disable firewall connection tracking to reduce overhead ###
/ip firewall
connection tracking set enabled=no

### Set Hostname ###
/system identity
set name=ST-BALENO-WDS

### End of configuration ###

L'articolo Configurazione Punto – Punto WDS Mikrotik sembra essere il primo su Linux 360° | Italia.

Fase 1 – Configurazione RouterBoard Mikrotik

/interface bridge
add l2mtu=1598 name=lan
add l2mtu=1594 name=vlan10
add l2mtu=1594 name=vlan20

/interface vlan
add interface=ether4 l2mtu=1594 name=vl-lan10-ether4 vlan-id=10
add interface=ether4 l2mtu=1594 name=vl-lan20-ether4 vlan-id=20

/ip dns
set allow-remote-requests=yes servers=8.8.4.4,208.67.220.220
/ip dns static
add address=192.168.9.100 name=unifi

/interface bridge port
add bridge=lan interface=ether3
add bridge=lan interface=ether4
add bridge=vlan10 interface=vl-lan10-ether4
add bridge=vlan20 interface=vl-lan20-ether4

/ip neighbor discovery
set vl-lan10-ether4 discover=no
set vl-lan20-ether4 discover=no

/ip pool
add name=dhcp_lan ranges=192.168.9.2-192.168.9.254
add name=dhcp_vlan10 ranges=192.168.10.2-192.168.10.254
add name=dhcp_vlan20 ranges=192.168.20.2-192.168.20.254

/ip dhcp-server
add address-pool=dhcp_lan disabled=no interface=lan name=dhcp_lan
add address-pool=dhcp_vlan10 disabled=no interface=vlan10 name=dhcp_vlan10
add address-pool=dhcp_vlan20 disabled=no interface=vlan20 name=dhcp_vlan20

/ip address
add address=192.168.9.1/24 interface=lan network=192.168.9.0
add address=192.168.10.1/24 interface=vlan10 network=192.168.10.0
add address=192.168.20.1/24 interface=vlan20 network=192.168.20.0

/ip dhcp-server network
add address=192.168.9.0/24 dhcp-option=unifi dns-server=192.168.9.1 gateway=
192.168.9.1
add address=192.168.10.0/24 dhcp-option=unifi dns-server=192.168.10.1 gateway=
192.168.10.1
add address=192.168.20.0/24 dhcp-option=unifi dns-server=192.168.20.1 gateway=
192.168.20.1

Fase – Configurazione del controller Unifi:

Video di esempio dove mostra gli step di una prima configurazione del controller

Colleghiamoci con il PC dove è installato il software Ubiquiti sulla porta ether3 ed impostiamo sulla nostra interfaccia di rete l’ip 192.168.9.100/24 con gateway 192.168.9.1. Apriamo il browser all’indirizzo https://localhost:8443 ed eseguiamo il Wizard della prima configurazione, dopo aver terminato il wizard andiamo in Settings – Wlan Group ed aggiungiamo un ESSID WIFI-MGM senza vlan così farà parte della network 192.168.9.0/24 così riuscita a comunicare con il controller senza traffico taggato. Dopo aggiungeremo altri due ESSID WIFI-VLAN10 e WIFI-VLAN20 con le rispettive vlan 10 e 20, ed avranno le network 192.168.10.0/24 e 192.168.20.0/24, fatto questo se ci colleghiamo in Wifi ad ogni singolo ESSID avremo accesso a network diverse e sulla nostra Mikrotik possiamo fare quello che vogliamo ad ex. Hotspot sulla VLAN10 oppure regole di Banda o di accesso alle singole network.

Spero possa essere utile a molti

L'articolo Configurazione MultiSid + Vlan tra Ubiquiti Unifi e Routerboard Mikrotik sembra essere il primo su Linux 360° | Italia.

For. Example i’ve a queue tree that limit the amount o total traffic(Upload+Download) to 50MBps

I want to know whenever this queue exceed the limit, and i want the system to send me an email.

This is the script:

Source code

1. :global checkrate [/queue tree get total-traffic rate]
2. :local limit 50000000
3.  
4. :if ( $checkrate < $limit ) do={
5. :log info ("Queue not Exceeded")
6. }
7. :if ( $checkrate > $limit ) do={
8. :log info ("Queue Exceeded")
9. /tool e-mail send server=xxx.xxx.xxx.xxx from="me@myself.com" to="me@myself.com" subject=("Queue Limit Exceed") body=("Queue Limit Exceed, Limit is: " . $checkrate)
10. }

I’ll explain the code:

First i define a variable checkrate that represent the instant rate of the queue tree named total-traffic then i define a limit(this case i’ve used 50Mbps) then i check if rate less than limit do nothing or just log to test the script.

If checkrate greater than limit send an email to myself.

Be sure to specify as email server an IP address and not the name of the server(ex. mail.myself.com)

Enjoy!

L'articolo Mikrotik Scripting: Queue Tree Limit Exceeded sembra essere il primo su Linux 360° | Italia.

Ciao a tutti,

di seguito vi mostro delle semplici regole firewall per bloccare Teamviewer all’interno della vostra rete:

/ip firewall filter
add chain=forward action=add-dst-to-address-list protocol=tcp address-list=TeamViewer
address-list-timeout=1d dst-port=5938
add chain=forward action=drop src-address-list=TeamViewer
add chain=forward action=drop dst-address-list=TeamViewer

L'articolo Bloccare Teamviewer tramite Mikrotik OS sembra essere il primo su Linux 360° | Italia.

colleghiamo la prima delle due SXT Mikrotik ad un pc, dando alla rete LAN un indirizzo ( consiglio: utilizzare 192.168.88.100/24).

Utilizziamo il tool winbox (disponibile a questo indirizzo) e colleghiamoci o tramite l’indirizzo ip della CPE o tramite il mac address utilizzando username: admin e password vuoto(se è la prima volta che si accede al dispositivo)

Configuriamo adesso la prima SXT come Bridge.

Andare su Interfaces, doppio click sull’interfaccia radio e aprire il tab Wireless. Cambiare, come mostrato in figura il Mode in Bridge, impostare una frequenza e poi fare Apply

Andare nel Menu IP->Firewall e scegliere il tab NAT.

Disabilitare la regola Masquerade:

Andare su IP->DHCP Server e IP->DHCP Client e disabilitare i due servizi in quanto non servono in modalità trasparente.

Scegliere dal menu Bridge e creare un nuovo bridge tra l’interfaccia Ethernet(ether1-local) e l’interfaccia radio(wlan1-gateway):

Ora che è stato aggiunto il Bridge bisogna assegnare l’ip non più all’interfaccia Eth ma al bridge(funziona anche lasciando l’ip alla eth, ma è più corretto in questo modo!)

Scegliere un indirizzo IP es. 10.0.0.11 e assegnarlo al bridge

Poi rimuovere l’IP dalla interfaccia ether1-local

Il secondo dispositivo va configurato esattamente allo stesso modo semplicemente cambiando l’IP del bridge con un altro indirizzo della rete 10.0.0.X es. 10.0.0.12

Per chi necessità di far passare le VLAN sul bridge, bisogna prima creare la VLAN dal menu Interfaces con il tasto + e poi creare un bridge tra la VLAN e la wlan1-gateway.

Di seguito il codice per chi volesse creare le vlan da terminale:

interface vlan add name=vlan-10 vlan-id=10 interface=wlan1-gateway disabled=no
interface vlan add name=vlan-20 vlan-id=20 interface=wlan1-gateway disabled=no
interface bridge add name=br-vlan10 disabled=no
interface bridge add name=br-vlan20 disabled=no
interface bridge port add interface=”vlan-10″ bridge=”br-vlan10″ disabled=no
interface bridge port add interface=”wlan1-gateway” bridge=”br-vlan10″ disabled=no
interface bridge port add interface=”vlan-20″ bridge=”br-vlan20″ disabled=no
interface bridge port add interface=”wlan1-gateway” bridge=”br-vlan20″ disabled=no

L'articolo Bridge Punto-Punto con Mikrotik sembra essere il primo su Linux 360° | Italia.

#Dynamic DNS Update Script for No-IP DNS behind nat
# Set needed variables
:local username "your no-ip user login"
:local password "your no-ip password"
:local host "your no-ip host name"
:global previousIP
# print some debug info
:log info ("Update No-IP DNS: username = $username")
:log info ("Update No-IP DNS: hostname = $host")
:log info ("Update No-IP DNS: previousIP = $previousIP")
#
# behind nat - get the public address using dyndns url http://checkip.dyndns.org
/tool fetch mode=http address="checkip.dyndns.org" src-path="/" dst-path="/dyndns.checkip.html"
:delay 2
:local result [/file get dyndns.checkip.html contents]
:log info "dyndns result = $result"
# parse the current IP result
:local resultLen [:len $result]
:local startLoc [:find $result ": " -1]
:set startLoc ($startLoc + 2)
:local endLoc [:find $result "</body>" -1]
:local currentIP [pick $result $startLoc $endLoc]
:log info "No-IP DNS: currentIP = $currentIP"
:if ($currentIP != $previousIP) do={
:log info "No-IP: Current IP $currentIP is not equal to previous IP, update needed"
:set previousIP $currentIP
:local url "http://dynupdate.no-ip.com/nic/update/?myip=$currentIP&hostname=$host"
:log info "No-IP DNS: Sending update for $host"
/tool fetch url=$url user=$username password=$password mode=http dst-path=("no-ip_ddns_update.txt")
:log info "No-IP DNS: Host $host updated on No-IP with IP $currentIP"
:delay 2
:local result [/file get "no-ip_ddns_update.txt" contents]
:log info "Update Result = $result"
} else={
:log info "No-IP: update not needed "
}
# end

L'articolo Dynamic DNS Update Script for NO-IP behind NAT on Mikrotik Router V2 sembra essere il primo su Linux 360° | Italia.

Eccolo:

# No-IP automatic Dynamic DNS update Behind Nat By Frank

#————— Change Values in this section to match your setup ——————

# No-IP User account info
:local noipuser “noip_user”
:local noippass “noip_password”

# Set the hostname or label of network to be updated.
# Hostnames with spaces are unsupported. Replace the value in the quotations below with your host names.
# To specify multiple hosts, separate them with commas.
:local noiphost “noip_domain”

#————————————————————————————

:global previousIP

# get the current IP address from the internet (in case of double-nat)
/tool fetch mode=http address=”checkip.dyndns.org” src-path=”/” dst-path=”/nat.checkip.html”
:local result [/file get nat.checkip.html contents]

# parse the current IP result
:local resultLen [:len $result] :local startLoc [:find $result ": " -1] :set startLoc ($startLoc + 2)
:local endLoc [:find $result "</body>" -1] :local currentIP [:pick $result $startLoc $endLoc] :log info “UpdateNatNoipDNS: currentIP = $currentIP”

# The update URL. Note the “3F” is hex for question mark (?). Required since ? is a special character in commands.
:local url “http://dynupdate.no-ip.com/nic/update3Fmyip=$currentIP”
:local noiphostarray
:set noiphostarray [:toarray $noiphost] :foreach host in=$noiphostarray do={
:log info “No-IP: Sending update for $host”
/tool fetch url=($url . “&hostname=$host”) user=$noipuser password=$noippass mode=http dst-path=(“no-ip_ddns_update-” . $host . “.txt”)
:log info “No-IP: Host $host updated on No-IP with IP $currentIP”
}

Di seguito la solita schedulazione:

/system scheduler

add disabled=no interval=5m name=no-ip_ddns_update on-event=no-ip_ddns_update policy=ftp,read,write,test,winbox,api start-date=apr/21/2013 start-time=18:46:4

L'articolo Dynamic DNS Update Script for NO-IP behind NAT on Mikrotik Router sembra essere il primo su Linux 360° | Italia.