Renegociar VPN en Firewall Juniper SSG

Más de una vez me he encontrado en la necesidad de forzar la renegociación de una VPN que ya estaba funcionando, y desde el interfaz web no hay ninguna posibilidad de hacerlo. Si necesitas hacerlo, puedes desde el interfaz de comandos. Para ver las VPN que están levantadas:

fw-xxx(M)-> get sa active
Total active sa: 3
total configured sa: 6
HEX ID Gateway Port Algorithm SPI Life:sec kb Sta PID vsys
00000004< X.X.X.X 500 esp:3des/md5 3bX63X9d 86292 4036M A/- -1 0
00000004> X.X.X.X 500 esp:3des/md5 1cX0X515 86292 4036M A/- -1 0
00000003< X.X.X.X 500 esp:3des/md5 3bX63X9f 86397 unlim A/- -1 0
00000003> X.X.X.X 500 esp:3des/md5 99XfX681 86397 unlim A/- -1 0
00000005< X.X.X.X 500 esp:3des/md5 3bX63X9e 86397 unlim A/- -1 0
00000005> X.X.X.X 500 esp:3des/md5 dfX4Xfe8 86397 unlim A/- -1 0

Y después, para tirar una de ellas y forzar a que vuelva a negociar para levantarse:

fw-xxx(M)-> clear sa 00000004

Montaje NFS desde Emtec Q800

QNAP TS-210

Hace unos días he comprado un NAS, el QNAP TS-210, y por alguna extraña razón, el acceso mediante samba desde mi reproductor multimedia (un Emtec Q800) no iba nada fino. Según las pruebas que he estado haciendo, el acceso Samba desde otros dispositivos al QNAP funciona perfectamente, y el acceso Samba desde el Emtec a otros servidores también funciona correctamente, pero entre ellos no iba nada fino y los problemas eran muy extraños. Los ficheros .avi y las fotos, se reproducían correctamente, pero ni los .mpg ni las imagenes de DVD se reproducían en absoluto, aparecía un “Fatal error” seguido de un “Buffering” y como resultado, no se reproducía nada de nada.

Emtec Q800

Después de darle muchas vueltas al tema de Samba y no encontrar ninguna solución, decidí buscar otro camino para conseguir el mismo resultado. El QNAP exporta contenidos por unos cuantos protocolos, y en concreto me interesé por NFS. El Emtec es un pequeño Linux (BusyBox) que permite acceso por telnet, y me permitía hacer montajes NFS manuales sin mayor complicación. Pero claro, la imagen del sistema está en almacenamiento flash de solo lectura y no permite hacer ningún cambio, hasta que encontré una forma de hacerlo.

En /usr/local/etc hay varios ficheros con permiso de lectura/escritura cuyos cambios son permanentes cuando se apaga el dispositivo. Así que, lo primero que intenté fue añadir el comando para montar el volumen NFS en /usr/local/etc/rcS, de esta forma:

mount -t nfs 192.168.1.137:/share/HDA_DATA/Multimedia /tmp/hdd/volumes/HDD1/nfs

Pero no funcionaba, me aparecía este error:


mount: 192.168.1.137:/share/HDA_DATA/Multimedia failed, reason given by server: Permission denied
mount: nfsmount failed: Bad file descriptor
mount: Mounting 192.168.1.137:/share/HDA_DATA/Multimedia on /tmp/nfs failed: Bad file descriptor

Y problema de permisos de servidor no era, porque el montaje manual funciona correctamente desde esta misma máquina. Comprobé mediante trazas que la red estaba operativa y había conectividad con el servidor antes de ejecutar el comando de montaje, y también que el punto de montaje estaba disponible, pero el error continuaba.

Temía que había algo que todavía no estaba bien montado, o terminado de cargar correctamente y que debía retrasar el montaje del volumen un poco más hasta que la máquina terminara de arrancar. Así que cambié la línea del rcS por esta otra:


/usr/local/etc/mount_nfs.sh &

Y el contenido de ese fichero contiene lo siguiente:


#!/bin/sh
sleep 30
mount -t nfs 192.168.1.137:/share/HDA_DATA/Multimedia /tmp/hdd/volumes/HDD1/nfs -o ro,vers=3

De esta forma, la máquina termina de arrancar y cargar lo que le faltara y el volumen se monta un tiempo después de arrancar.

Problema solucionado!!!

PD: Por cierto, aunque probé a actualizar el firmware del Emtec Q800 hasta la última 906, esta solución solo me ha funcionado con la 751 (tuve que cargar versiones más antiguas) porque el contenido de /usr/local/etc/rcS parece no ejecutarse en las versiones posteriores.

Configuración de red en ILOM

El ILOM es el Integrated Lights Out Manager que existe en las antiguas máquinas de SUN, ahora propiedad de Oracle. Es un pequeño sistema operativo (Linux) integrado en el hardware de Sun/Oracle que te permite configurar/monitorizar el propio hardware independientemente del sistema operativo y del estado en que se encuentre el mismo.

Es decir, que independientemente del sistema operativo que instales en un servidor, tienes un pequeño gestor de recursos que es accesible mediante dos puertos externos:

  • Net Management: Puerto ethernet para acceder a la ILOM
  • Ser Management: Puerto serie para acceder a la ILOM

Puertos de gestión de la ILOM

Mediante uno de estos dos puertos puedes acceder a la ILOM mediante un interfaz serie, SSH, web, … Y gracias a la ILOM podrás hacer algunas de las siguientes tareas:

  • Abrir una consola remota desde un navegador web, para obtener la misma salida que si pincharas un monitor/teclado/ratón
  • Ver el estado del hardware
  • Ver el estado de los leds
  • Arrancar/Parar/Reiniciar el servidor

Hay varios métodos para configurar la red de la ILOM y acceder de forma sencilla de forma remota utilizando el interfaz de Net Management, y esta es una de ellas:

  1. Conectar un cable serie con el adaptador serie/ethernet que viene con el equipo al puerto Ser Management
  2. Conectar el PC mediante un HyperTerminal o similar con la siguiente configuración: 8 bits, sin paridad, 1 bit parada, 9600 baudios, control de flujo deshabilitado
  3. Hacer login en la ILOM: usuario por defecto root y contraseña por defecto changeme
  4. Acceder a la configuración de red:
    cd /SP/network
  5. Establecer los parámetros de red:

    set pendingipaddress=xxx.xxx.xx.xx
    set pendingipnetmask=yyy.yyy.yyy.y
    set pendingipgateway=zzz.zzz.zz.zzz
    set commitpending=true

Después de esto, podrás utilizar un navegador web para conectarte mediante el puerto Net management a la IP que configuraste en el paso anterior:

Interfaz web de la ILOM

WRT54G

Hay muchos dispositivos inalámbricos “económicos” en el mercado, pero personalmente me quedo con este punto de acceso de Linksys, o alguna de sus variantes. El WRT54G, es de Linksys (que pertenece a Cisco) y el cacharro tiene más o menos lo siguiente (depende de la versión)

  • 200Mhz de procesador
  • 4MB de memoria flash
  • 16 MB de RAM
  • 5 interfaces ethernet
  • una tarjeta Wifi 802.11b/802.11g con dos antenas

Lo interesante de este router-wifi es que por defecto trae un firmware con Linux dentro. Aunque por defecto tiene un interfaz web algo limitado, pero para versiones de hardware 4 y anteriores (o versiones WRT54GL) hay muchos
firmwares que se le pueden meter para hacer muchas virguerías, aunque después de probar unas cuantas yo me quedo sin duda con OpenWRT.

Con éste pierdes el interfaz web (aunque se lo puedes poner), tienes lo mínimo necesario, un kernel 2.4.26 y muy pocos paquetes instalados, y después trae un sistema de gestión de paquetes (ipkg) similar a dpkg, con el que puedes instalar todo lo que se te ocurra: dropbear, iptables, tc, asterisk, chillispot, kismet, … En definitiva, tienes un Linux con un hardware limitado, pero que te permite hacer muchísimas cosas.

En breve, publicaré un manual sobre cómo instalar openwrt y hacer un router muy potente con este dispositivo.