Tag Archives: work

Configurazione CISCO per ADSL Alice Business

Il mese scorso ho dovuto configurare delle ADSL di telecomitalia che ci sono state fornite “naked” ovvero senza router. Fortuna che ho recuperato in giro qualche cisco 800 abbandonato (come spesso accade) in precedenti installazioni :-/ …password recovery e via.

Non ho una grande esperienza sui cisco percui ho certcato online una configurazione pronta per il classico contratto Alice Business in cui ti assegnano 8 ip statici, ma nulla. Riporto la configurazione funzionante, magaria a qualcuno può far comodo.

Gli ip pubblici assegnati erano: 85.40.101.240-247. Il punto-punto: 88.55.9.226.
La lan è una 192.168.1.0/24 nattata sul primo ip pubblico.

!
version 12.3
no service pad
service timestamps debug datetime msec
service timestamps log datetime msec
no service password-encryption
!
hostname inter-adsl
!
enable secret 5 xxxxxxxxxxxxxxxxxxxxxxxxxxxxxx
!
no aaa new-model
ip subnet-zero
no ip source-route
ip domain name inter.it
ip name-server 151.99.125.1
no ip dhcp conflict logging
ip dhcp excluded-address 192.168.1.1 192.168.1.99
!
ip dhcp pool inter
   network 192.168.1.0 255.255.255.0
   domain-name inter.it
   dns-server 151.99.125.1 
   default-router 192.168.1.1 
!
!
ip audit notify log
ip audit po max-events 100
no ftp-server write-enable
!
!
! 
!
!
!
!
interface Ethernet0
 ip address 85.40.101.241 255.255.255.248 secondary
 ip address 192.168.1.1 255.255.255.0
 ip nat inside
 no keepalive
 hold-queue 100 out
!
interface ATM0
 no ip address
 no atm ilmi-keepalive
 dsl operating-mode auto
!
interface ATM0.1 point-to-point
 ip address 88.55.9.226 255.255.255.252
 ip nat outside
 pvc 8/35 
  oam-pvc manage
  oam retry 5 5 1
  encapsulation aal5snap
 !
!
interface FastEthernet1
 no ip address
 duplex auto
 speed auto
!
interface FastEthernet2
 no ip address
 duplex auto
 speed auto
!
interface FastEthernet3
 no ip address
 duplex auto
 speed auto
!
interface FastEthernet4
 no ip address
 duplex auto
 speed auto
!
ip nat pool inter 85.40.101.241 85.40.101.241 netmask 255.255.255.248
ip nat inside source list 50 pool inter overload
ip classless
ip route 0.0.0.0 0.0.0.0 ATM0.1
no ip http server
no ip http secure-server
!
access-list 50 permit 192.168.1.0 0.0.0.255
snmp-server community public RO
snmp-server enable traps tty
!
line con 0
 exec-timeout 240 0
 password inter
 login
 no modem enable
line aux 0
line vty 0 4
 exec-timeout 240 0
 password inter
 login
 length 0
!
scheduler max-task-time 5000
!
end

BTW, per quel che riguarda i punto-punto ho scoperto che se sono terminati (lato centrale) su apparati cisco ti configurano una rete /30 (netmask 255.255.255.252) e fin quì nessun problema. Se invece ci sono apparati diversi usano una fake classe C che sul router vanno impostate appunto come /24 (netmask 255.255.255.0); da notare che sulla scheda di attivazione la netmask impostata in questo caso era 255.255.255.255.

Quindi l’interfaccia ATM risulterebbe:

interface ATM0.1 point-to-point

ip address 88.55.41.63 255.255.255.0

Non se ne può più…

E ancora una volta è andata via la corrente… va bene che questa macchina non è in una webfarm ridondata ma porca vacca…

fabio@gnu:~$ uptime
 23:14:27 up  2:30,  1 user,  load average: 0.00, 0.06, 0.06

e altre macchine molto più importanti rimangono irraggiungibili perché un cavolo di G4 non si riavvia automaticamente… possibile che non riesca a impostare il riavvio automatico al ritorno della corrente in openfirmware da Linux? Sotto mac c’è un opzione ma al primo riavvio non forzato il settaggio si perde… mah!

Guardie e Ladri

Oggi su una delle LAN che amministro ho sostituito dansguardian con squidguard… principalmente per avere una cosa un po’ più leggera e soprattutto non perdere traccia degli IP dei client nei log di squid. Dansguardian infatti si mette “in mezzo” come proxy in cascata tra il client e squid e quindi le connessioni su squid sono tutte dallo stesso IP.

Non avendo tempo/voglia di indagare sulla cosa ho recuperato le blacklist di dansguardian che di fatto sembrano essere nello stesso formato. La questione BL cmq si fa’ dominante… esiste qualche lista decente for free? Ho visto il pacchetto debian “chastity-list” ma non sembra molto mantenuto (Version: 0.5.20020928-8.1 ?!)

Etch su Luisito

Morto il disco di Luisito, una delle macchine che usiamo come cache per il sitone, oggi (dopo il Burlagiò) con Jamo lo abbiamo sostituito e già che c’ero ci ho installato “etch”.

E’ stata la mia prima “etch” :-) In effetti era qualche mese che non installavo server debian ex-novo. Purtroppo non ho provato l’installer grafico, anche perché non avevo un mouse, ma tutto è andato liscio come al solito con debian :-) Non sono un grande estimatore di “testing”, per una serie di motivi preferisco scegliere tra stable o sid a seconda dell’uso, ma visto che ormai la “stabilità” di etch è alle porte…

Installo sempre, se posso, da netintall e ho trovato intelligente, rispetto a sarge, il fatto che disabilitando tutto in tasksel l’installazione fosse davvero minimale: no ssh, no mailserver, ma soprattutto nulla di un sacco di roba che non avrei usato.

Alla fine di tutto, installato il necessario (apache2, icecast-server, ssh, postifix, cronolog) e un po’ di accessori (vim, munin-node, smartmontools, …) il numero dei pacchetti sulla macchina è ancora inferiore ai 200… grande! (e si potrebbe anche togliere un po’ di roba, ma non è questo il punto).

Telecom: Plug-and-Play annunciato

Ennesimo “plug-and-play” mancato di telecom.

Upgrade di tutte le linee della VPN: nuove linee e nuovi router, c’è solo da replicare una configurazione (banale?) sulle nuove macchine. Per riuscire ad avere meno down possibile dobbiamo fare lo switch in tutte le sedi contemporaneamente con ovvio sbattimento. Ovviamente ci garantiscono che basta spostare i cavi di rete e tutto funzionerà… ovviamente non ha funzionato una mazza.

Fortuna che i router sono configurati “a modino” e con l’account di default si entra sempre da console :-) … così un po’ di diagnostica me la sono fatta da solo e il bravo tecnico che è intervenuto ha prontamente risolto il problema. Domani altro test per vedere se stavolta è la volta buona.

BTW, ero convinto che l’MPLS garantisse la cifratura da router a router… invece “telecom docet” che viene cifrato il traffico solo tra i pop. Per non capirci nulla di security mi sa che appena possibile eliminiamo il servizio vpn-tra-i-soli-pop e la vpn me la faccio io sulle linee nude e crude.

Incident Response

Finalmente ricevo risposta ad una richiesta di delucidazioni al nostro caro ISP in seguito ad un down di alcune ore della connettività delle nostre macchine. Provider che vanta una delle strutture più all’avanguardia dal punto di vista della security, per non parlare di quanto si vantano (=si fanno pagare) della affidabilità del loro data center (ogni hw è ridondato).

Mi sono fatto un po’ di risate… riporto un piccolo stralcio significativo:

[…]
Cause del disservizio:
I problemi riscontrati sono riconducibili ad un traffico anomalo proveniente da una delle aree del Campus, che ha portato ad un livello elevato la CPU degli apparati layer 3.

[…]

LOL!

lshw

Ogni tanto “casco dal pero” :-)

Oggi ho scoperto lshw che non fa’ altro che tirar fuori tutta una serie di info dettagliate sull’hardware che finora andavo a cercare spulciando in /proc e /sys. Moto utile!

Black-out

Qualche problemino in sede perché è andata via la tensione. Tenuta dei gruppi di continuità, a detta di chi ha assistito alla cosa, 15 secondi! Wow, come non averli :-/

Temperatura elevata (condizionatori rotti), umidità da condensa e ora anche gruppi di continuità inesistenti, il tutto su connettività (altalenante) telecom… dove altro vorreste tenere i vostri server?!

Ci si mette anche il firewall (un apple G4) che non ne vuole sapere di riavviarsi da solo quando va via la tensione… (esiste la possibilità di impostare la cosa in OSX ma ancora non ho trovato il modo di farlo con linux :-/ )