En l'entrada anterior del blog vaig explicar com fer les proves. Ara he automatitzat el sistema, incloent unes linees de codi a les funcions CNML de guifi.net per poder obtenir un llistat de les IPs públiques de guifi, junt amb el nom curt del trasto i id.

funcionan a manresa un router montat totalment per mi

caracteristiques
mini itx via c3 500 Mhz
760 megas sdram
pantalla lcd compatible hitachi 2X20
led indicador lectura i funcionamen
pulsador arrancada i parada
disc dur de 40g 2,5'
targa mini pci atheros tribanda b/g/a
sistema operatiu debian eth instalacio minima, nomes openssh
caixa de 250X200
mini font d'alimentacio 90w 12v
ventilacio forzada de la caixa amb 2 ventiladors de vga

actualment en proves a sant joan de vilatorrada
serveis actius provisionals
proxi provat i funcionant
dns funcionant

Ara que la gestio dels dominis de guifi.net s'han passat a zoneedit, podeu demanar a la llista que us asignin un subdomini de guifi, per poder accedir-hi des d'Internet. En la majoria dels casos tindreu una ADSL amb IP dinàmica. Per a que els registres DNS s'actualitzin regularment amb la IP que teniu asignada al router ADSL, nomes cal que feu una entrada al cron.

Seguint l'exemple de santafe, vam demanar a la llista el subdomini santafe.guifi.net. Ens el van donar d'alta al zoneedit, i ara només cal posar al cron (crontab -e):

0 2 */1 * *  wget -O - --http-user=USER --http-passwd=PASS 'http://dynamic.zoneedit.com/auth/dynamic.html?host=santafe.guifi.net'

 
El "USER" i "PASS" l'heu de demanar. D'aquesta manera, cada dia a les 2:00 s'actualitzarà el registre DNS de zoneedit amb la IP pública que tingueu a Internet.

El Servidor de SantaFe te diverses interfícies de xarxa, la eth2 és la pública de guifi (10.138.75.98) que esta connectada directament a un mikrotik. La eth1 esta connectada directament al router ADSL, amb un rang privat (192.168.0.x/24). En teoria caldria tenir una IP pública per poder graficar-la, però es pot fer d'una altre manera.

Això es el que utilitzo jo per accedir remotament al meu servidor tant per client com per http.
Es pot utilitzar la consola del servidor i el entorn gràfic de escriptori jo l'utilitzo per poder fer servir fins i tot el winbox

Cal tenir instal·lat el vncserver i el tightvnc-java, si voleu utilitzar el client es el vncviewer.

Instal·lació dels paquets:

Debian

$ su -
# apt-get install vncserver vncviewer tightvnc-java

Ubuntu

$ sudo apt-get install vncserver vncviewer tightvnc-java

Com funciona:

1.- Carregar el servidor

Entrem per ssh a la maquina

$ ssh usuari@servidor

Definim password al svnserver

$ vncpasswd

Carregem el servidor

$ vncserver
Found /usr/share/tightvnc-java for http connections.

Comencem pel final.

Instal·lació i configuració:

1.- el primer que haurem de fer per tal d'instal·lar i configurar un servidor de gràfiques utilitzant els paquets .deb, serà donar d'alta el servei a la web de guifi.net, a l'apartat continguts. I apuntar-nos el numero ID del servidor que necessitarem durant l'etapa de configuració.

2.- Afegir el repositori on hi ha el paquet snpservices al fitxer de configuració: "/etc/apt/sources.list" afegint la següent línia al final del fitxer: "deb http://timbaler.guifi.net/debian/ ./". ho haurem de fer amb permisos de root.

A SantaFe en comptes de fer servir proxy per l'accés a Internet, ho fem amb tunels OpenVPN. Sempre hi ha algun usuari "despistat" que prova de fer anar el emule. Per evitar-ho, el millor es fer servir algun mòdul per a iptables que identifiqui el trànsit P2P i així poder bloquejar-lo. Sempre he fet servir el IPP2P. Es bastant fàcil d'instal·lar, a la mateixa web del IPP2P ho explica. També hi ha un how-to en espanyol aqui.

Tot i que no és difícil instal·lar-lo i que ja ho havia fet diverses vegades, al fer l'upgrade del servidor (ara és un Debian Etch), no hi havia manera de que funciones. He perdut algunes hores intentant fer-ho anar, fins que finalment he trobat un post dient que hi ha un probelma entre el IPP2P v0.8.2 (l'ultim disponible a dia d'avui) i els iptables v1.3.6 (els que porta el Debian Etch).

Simplement calia editar el Makefile del IPP2P v0.8.2 i quasi al final del fitxer, canviar el principi de la linea:

ld -shared -o libipt_ipp2p.so libipt_ipp2p.o

 
per:

$(CC) -shared -o libipt_ipp2p.so libipt_ipp2p.o

 
En fi, que a ningú li torni a pasar el mateix. ;-)

Hem va costar de posar en funcionament un servidor de gràfiques de guifi, detallo els pasos per si algu altre ho ha de fer. Aquesta es la meva “recepta”, la podeu variar :-) Espero no deixar-me res. En primer lloc anem a http://guifi.net/ca/node/add/guifi-service i creem un servidor de gràfiques (SNP Graph Server). Guardem la ID del servidor de gràfiques, en el meu cas era el 9039. Hem d'anar a tots els trastos i nodes que faran servir aquest servidor i seleccionar-lo en de la llista de servidors de gràfiques. En el meu cas ho vaig fer en un Debian 4.0 (Etch). Apart del php5 i apache2 que ja els tenia ,vaig tenir que instalar:

apt-get install rrdtool librrdp-perl librrds-perl mrtg mrtg-rrd subversion php5-cli

  Despres heu d'obtenir el snpservices del svn de guifi. Heu d'estar registrats a lafarga.cat perque us demanara nom d'usuari i password:

cd /var/www svn checkout https://svn.projectes.lafarga.cat/svn/guifi/snpservices

  Es crea una carpeta a /var/www/snpservices on hi ha tot el que cal. Ara feu que l'apache2 apunti a la carpeta graphs:

Alias /guifigraphs /var/www/snpservices/graphs

  En el meu cas al crear el servidor de gràfiques a la web de guifi.net li vaig que la url per accedir a les grafiques era http://santafe1.dyndns.org:2000/guifigraphs/graphs.php. Ara cal donar permisos d'escriptura per a tothom del subdirectir tmp, crear un config.php i un parell de subdirs per al rrdtool:

chmod a+rw /var/www/snpservices/tmp cp /var/www/snpservices/common/config.php.template /var/www/snpservices/common/config.php mkdir /var/www/snpservices/rrdb mkdir /var/www/snpservices/rrimg

  Configurem amb el nostre editor preferit el fitxer de configuració /var/www/snpservices/common/config.php. Canviem els següents paràmetres, ajustant-los a la nostres dades, en comptes de 9039 heu de posar la ID del vostre servidor de gràfiques:

$snp_path='/var/www/html/snpservices'; $SNPGraphServerId = 9039; $MRTGConfigSource='http://www.guifi.net/snpservices/graphs/cnml2mrtgcsv.php?server=9039'; $CNMLSource='http://www.guifi.net/snpservices/common/qnodes.php?nodes=%s'; $rrddb_path='/var/www/snpservices/rrdb/'; $rrdimg_path='/var/www/snpservices/rrimg/';

  Ara nomes cal fer un parell d'entrades al crontab. La primer perque cada mitja hora descarregui de guifi.net la llista de trastos dels que ha de fer grafiques, i el segon perque cada 5 minuts reculli les dades de tots els trastos:

crontab -e */30 * * * * cd /var/www/snpservices/graphs; php mrtgcsv2mrtgcfg.php */5 * * * * env LANG=c /usr/bin/mrtg /var/www/snpservices/data/mrtg.cfg --lock-file /var/lock/mrtg/guifi_l

  Per no tenir que esperar, forceu la primera descarrega dels trastos a graficar des de guifi.net executant:

cd /var/www/snpservices/graphs; php mrtgcsv2mrtgcfg.php

  I ja esta, espero que tingueu mes sort que jo i us vagi tot a la primera.

En anteriors entrades hem configurat el servidor de correu Postfix per tal que gestionés les adreces de correu mitjançant un directori LDAP. Això permet tenir un sistema d'usuaris centralitzat. Tanmateix aquest sistema no està correctament configurat per a quedar públic a Internet, doncs seria un objectiu directe de qui vol aprofitar per enviar correu brossa mitjançant el nostre servidor.

Així, el següent pas serà impedir que es pugui utilitzar el nostre servidor com a origen de correu fraudulent.

En un primer moment volia muntar el servidor de correu amb Postfix, Cyrus i LDAP. Sobretot me n'havien parlat molt bé de cyrus, però tot i així l'he trobat massa críptic i m'estava endarrerint en la tasca de deixar el servidor de correu muntat amb LDAP.

Així que al final muntarem el servidor de correu Postfix, Courier i LDAP. Al final he seguit les instruccions de la web de Bulma: http://bulma.net/body.phtml?nIdNoticia=2013.

Bé, ahir després de barallar-m'hi molt vaig aconseguir que el BIND9 (servidor de dominis DNS) aconseguís agafar les dades directament d'un directori LDAP.

A diferència de quan BIND9 carrega les dades des dels fitxers de configuració, que carrega les dades en memòria. Quan ho fa connectat a l'LDAP, mai manté les dades en memòria, cada cop realitza una consulta LDAP, de manera que es pot modificar els contingut d'aquest directori i automàticament es veurà reflectit en les consultes DNS.

Anem a veure com ens ho hem fet per aconseguir aquesta fita. I cal dir que no ha sigut tant senzill com amb l'autenticació PAM.

Avui he realitzat l'autenticació d'usuaris via LDAP en el línux. Ha estat relativament senzill. Bé, ha estat molt senzill.

Instal·lació de LDAP

El primer que cal fer és instal·lat l'LDAP. A debian només cal executar aquesta comanda.

apt-get install slapd ldap-utils

Sólo quienes quieran una conexión de alta velocidad deberán abonar una cuota mensual de 21,95 dólares

Objectius
Autenticació als proxy, per part dels usuaris que estan enregistrats a un servidor LDAP. Opcionalment, aquest servei LDAP pot ser distribuït. Els objectius no contemplen les eines d'usuari per a la seva gestió però molts llenguatges, com PHP, disposen d'una API per a LDAP.

Document creat a partir del document enllaçat a http://guifi.net/ca/node/5438

Hola companys. Sant Julià ja està apunt de muntar tot el ferro, tenim els Mikrotiks muntats i configurats (gràcies Carles i Emi), si tot va bé el dissabte 2 de setembre construirem el super-node de Cals Avis. Ens caldrà trobar un dia per quedar amb en Miquel Martos i en Lluís Dalmau i veure com i on ubiquem el Mikrotiks per poder generar la troncal a 5Ghz i començar a fer proves de tot plegat.
Semblava que no havia d'arribar mai aquest dia, però de mica en mica tot va agafant forma, moltes gràcies a tots per encoratjar-nos i aconsellar-nos en tot moment. Ara entrem en una altre fase que com sempre necessitarem de tots els consells que ens pugeu donar ja que de segur sorgiran dubtes i preguntes.

Moltes gràcies a tots per endavant, us seguiré informant puntualment de tot plegat.