Mikrotik met Ziggo WifiSpots

Door Dhr_Soulslayer op vrijdag 19 augustus 2016 11:21 - Reacties (5)
CategorieŽn: ICT, Mikrotik, Views: 3.460

Achtergrond:

Door persoonlijke interesse en werk ben ik veel in aanraking met Mikrotik producten. Mijn werk ervaring met Mikrotik producten begint bij de RB411U en de RB450 en loopt door de RB1100AHx2 en de Cloud Core Router series. Mijn persoonlijke mening over Mikrotik is dat het een mooi product is maar je moet wel redelijk goede kennis van netwerken hebben om het optimaal te laten werken. Mijn eigen thuis netwerk draait volledig op Mikrotik gewoon omdat het kan en het mij nog meer kennis opleverd over de producten en netwerken. Genoeg daarover nu op naar het leuke gedeelte.

Mikrotik en Ziggo Hotspots:
De draadloze interface binnen een Mikrotik kan gebruikt worden als Accespoint maar ook als draadloze client. Hiermee is het mogelijk om verbinding te maken met een willekeurige netwerk. Leuk om in te stellen als backup verbinding van bijvoorbeeld de buren(Als je netjes de sleutel hebt gekregen en het netjes gevraagd hebt of het mag). Echter kan je ook verbinden met een Wifi Hotspot netwerk. Ik heb het getest met een hotspot van Ziggo omdat die veel in mijn buurt actief zijn. Mocht dus mijn modem eruit vliegen kan ik nog steeds internetten en hoef ik geen complexe oplossingen te bedenken om toch internet te hebben.

Mijn opzetje van mijn netwerk ziet er zo uit:
MT_Ziggo

Zoals te zien is staat mijn Ziggo modem in DMZ modus richting mijn RB2011. (Bedankt ziggo voor het niet beschikbaar maken van de bridge modus bij een ZZP abo maar wel bij een consumentenlijn of groot zakelijk 8)7 |:( ) De default route op mijn RB2011 staat naar het modem met een distance van 1. Hierdoor heeft deze route de voorkeur. Zal deze wegvallen dan komt de volgende default route in beeld namelijk die naar mijn wifi interface. Deze is verbonden met de ziggo hotspot en zal daar dan al het internet overheen routeren.

De juiste configuratie voor het laten verbinden van je MT met het Ziggo netwerk is alsvolgt:

name="Ziggo" mode=dynamic-keys authentication-types=wpa-eap,wpa2-eap
unicast-ciphers=tkip,aes-ccm group-ciphers=tkip,aes-ccm wpa-pre-shared-key=""
wpa2-pre-shared-key="" supplicant-identity="WIFISPOT_USERNAME" eap-methods=eap-ttls-mschapv2
tls-mode=dont-verify-certificate tls-certificate=none mschapv2-username="WIFISPOTS_USERNAME"
mschapv2-password="WIFISPOT_PASSWORD" static-algo-0=none static-key-0="" static-algo-1=none
static-key-1="" static-algo-2=none static-key-2="" static-algo-3=none static-key-3=""
static-transmit-key=key-0 static-sta-private-algo=none static-sta-private-key=""
radius-mac-authentication=no radius-mac-accounting=no radius-eap-accounting=yes
interim-update=0s radius-mac-format=XX:XX:XX:XX:XX:XX radius-mac-mode=as-username-and-password
radius-mac-caching=disabled group-key-update=5m management-protection=disabled

Dit dien je in te voren via de CLI op het pad /interface/wireless

LETOP: Je dient te beschikken over een Ziggo Hotspots login.

Mocht je er niet meteen uitkomen zet dan debug logging aan en kijk goed in de logs. Daarstaat vaak waar en/of waarom het fout gaat.

SSH Authentificatie met een Yubikey

Door Dhr_Soulslayer op maandag 12 maart 2012 23:46 - Reacties (11)
Categorie: ICT, Views: 5.575

Nadat ik 2 dagen heb lopen stoeien heb ik het dan toch voor elkaar:
Inloggen op mijn ubuntu test machine via SSH terwijl de authentificatie loopt via een OTP(One Time Password) plus een lokaal password.
Het installeren van deze configuratie was achteraf gezien erg eenvoudig en daarom wil ik hem met jullie delen.

Mijn test virtual machine bestaat uit een kale Ubuntu 10.04 LTS installatie. Deze is geŁpdate via apt-get update & apt-get upgrade.
Daarna heb ik de ssh server geÔnstalleerd met het commando apt-get install openssh-server
Hiermee is de basis omgeving klaar en kunnen we beginnen met bouwen.

Als eerste de C Compileer omgeving installeren door apt-get install build-essential. Daarna de pakketten voor het gebruik van een Yubikey op Ubuntu:
apt-get install libpam0g-dev libykclient3 libykclient-dev

Vervolgens wordt de PAM module gedownload en geÔnstalleerd:
1. wget http://yubico-pam.googlecode.com/files/pam_yubico-2.4.tar.gz
2. tar xfz pam_yubico-2.4.tar.gz
3. cd pam_yubico-2.4
4. ./configure
5. make check install
6. ln -s /usr/local/lib/security/pam_yubico.so /lib/security

Als dit zonder fouten is verlopen gaan we verder met instellen van het debuggen.
Dit is een optionele stap maar is wel handig voor het testen.
1. touch /var/run/pam-debug.log
2. chmod go+w /var/run/pam-debug.log
3. tail -F /var/run/pam-debug.log &

Als volgende stap wordt het bestand aangemaakt waarin wordt bepaald welke gebruiker aan welke Yubikey wordt gekoppeld. Dit gebeurd via het commando nano /etc/yubikeyid
Binnen dat bestand wordt de koppeling als volgt genoteerd: username:yubikeyid(yubikey id is in dit geval de eerste 12 karakters van je OTP)

Open vervolgens het bestand /etc/pam.d/sshd, in dit bestand staat de PAM configuratie voor het inloggen via SSH. Voeg de volgende regel toe aan bovenaan het bestand: auth required pam_yubico.so authfile=/etc/yubikeyid id=YubikeyApiID debug . De Yubikey API ID kan je opvragen door bij https://upgrade.yubico.com/getapikey/ je email adres op te geven en een OTP.

Nu zijn we alweer bij de een na laatste stap. Op nu het bestand /etc/pam.d/common-auth. Zoek vervolgens de regel auth [succes=1 default=ignore] pam_unix.so nullok.secure en zet achter nullok.secure de tekst try_first_pass
De regel wordt dus:
auth [succes=1 default=ignore] pam_unix.so nullok.secure try_first_pass

Herstart nu de SSH deamon via het commando /etc/init.d/ssh restart
Als je daar inlogt via SSH wordt er gevraagd om je Username en je Wachtwoord.
Het wachtwoord bestaat uit je lokaal password met direct daar achteraan je OTP.
Username: test
Wachtwoord: welkomvvejvhlrtnubikdfvglevchgrlbclrrithvddudkrrft

Mocht je er niet uitkomen check altijd of je alles goed getypt/ingevult hebt. Mocht je er dan echt niet uitkomen kun je altijd kijken of Google het antwoord heeft. De forums van yubico willen soms ook nog wel eens het antwoord hebben. Kijk daarvoor even hier:http://forum.yubico.com/

Installeren Bonesi

Door Dhr_Soulslayer op donderdag 1 september 2011 18:19 - Reacties (8)
Categorie: ICT, Views: 4.992

Voor mijn opleiding ben ik begonnen aan de Minor Beheer en Security.
Hiervoor moeten wij een netwerk opzetten welke volledig en goed beveiligd is tegen onder andere ddos/dos aanvallen. Een tooltje om een ddos aanval te simuleren is bonesi.

Tweakers.net heeft dit programma ook gebruikt bij het testen van hun nieuwe riokey firewall. Zelf heb ik vandaag ook geprobeerd Bonesi te installeren en hier onder de uitkomst.

Als eerst het .tar.gz pakket van de website gedownload en gecompileerd.
Daar liep ik al tegen het eerste probleem aan namelijk dat er op mijn systeen geen C compilier was geinstalleerd. Voor alle duidelijkheid ik gebruik het volgende systeem als test-server:

P4 2.4Ghz
768MB RAM
160GB HDD
OS: Ubuntu 10.04
NIC: Realteak onboard

Als eerst dus maar even het volgende commando gedraaid:

apt-get install build-essential

Hiermee werd de C compiler keurig geinstalleerd.
Daarna weer een poging gedaan tot het installeren van Bonesi.
Wederom een foutmelding dat libpcap niet geinstalleerd was. Na 10 minuten googlen heb ik gevonden welk commando daarvoor nodig was.

apt-get install libpcap-dev

Daarna weer een poging gedaan tot het installeren van Bonesi.
Wederom een foutmelding dat libnet niet geinstalleerd zou zijn. Dit kostte me iets langer maar ook daarvoor het commando gevonden:

apt-get install libnet1-dev

Daarna lukte het wel om Bonesi te installeren. Meteen maar even getest op een willekeurig machine in mijn netwerk. Toevallig was dit mijn nas waar op dat moment een film vanaf werd gestreamd. Nadat ik het commando voor Bonesi had gegeven om te beginnen begon ik het meteen te merken. De film stokte en liep gewoon niet door. Na het stoppen van Bonesi liep de film weer door. Dit verbaasd mij ook niks want volgens de scherm output genereerd Bonesi blijkt dat er meer dan 110000 datapakketen per seconden worden verzonden. Vanavond nog maar eens verder in duiken en kijken wat de mogelijkheden zijn. Eens kijken hoe effectief een Cisco 2611 met Advanced IOS hier tegen kan zijn.

Een punt van aandacht!
Het is niet mijn bedoeling met deze blog om een makkelijke how-to te schrijven voor een dos aanval. Het is namelijk ILLEGAAL om een dos aanval uit te voeren buiten je eigen netwerk! Ik gebruik het zelf ook alleen maar voor studie doeleinden. De link om Bonesi te downloaden en het exacte commando om Bonesi te draaien heb ik express weggelaten. Dit om het niet te makkelijk te maken. Nogmaals het is ILLEGAAL om een dos aanval uit te voeren buiten je eigen netwerk!

ZoKa 2011 Intranet #3

Door Dhr_Soulslayer op zondag 28 augustus 2011 13:59 - Reacties (7)
CategorieŽn: ICT, Scouting, Views: 3.687

September 2011, de zomervakantie is afgelopen en het schoolseizoen gaat weer beginnen. Tijdens de zomervakantie heb ik 2 scoutingkampen gedraaid waar ik mijn intranet systeem heb meegenomen. Het eerste kamp was van de St. Joris groep waar bij de volgende opstelling heb gebruikt:

Server: Asus A6R met Ubuntu 10.04
Clients: 4x IBM R31 laptop met WinXP
Infrastructure: Speedtouch Router plus een 3Com Officeconnect voor het wireless.

Als eerste heb ik de server geÔnstalleerd met een grafische omgeving zodat we daarin ook nog een extra mogelijkheid hadden om een webbrowser te starten voor bijvoorbeeld admin werkzaamheden. Helaas heeft dit niet het hele kamp mogen werken wat halverwege het kamp hield de grafische kaart ermee op zodat we flink moesten improviseren om nog goed bij de server te kunnen. Uiteindelijk is het allemaal gelukt. De puntentelling, de kampkrant en zelfs nog een avondspel hebben allemaal van het systeem gebruik gemaakt.

Foto's opstelling St. Joris:
Avondspel
Kampkrant Redactie

Bij mijn tweede zomerkamp kon ik de Asus laptop helaas niet meer als server gebruiken dus moest ik zelf iets in elkaar zetten. Hierbij heb ik gebruik gemaakt van een oude P3-800Mhz welke uit een oude IBM komt. Nadat ik de hardeschijf had vervangen kon Ubuntu geinstalleerd worden en de punten applicatie geinstalleerd worden. Ook het avondspel werd erop gezet en goed getest. Het is altijd zo dat een systeem een tweede keer gebruiken makkelijker is maar dan moet je wel de nieuwste versie van alles hebben en laat ik die nou net vergeten zijn. Dus niet alle handige trucjes en foefjes die er tijdens het eerste zomerkamp terplekke geprogrammeerd waren maar daar was gelukkig mee te leven.

Foto's opstelling Hamaland
IBM Server
Avondspel

Volgend jaar gaat het systeem ook weer mee en eventueel al eerder tijdens een Winterkamp in Januari. Er moet nog wel het een en ander aan gesleuteld worden. Zo wil men bij de puntentelling grafiekjes kunnen zien en wil ik eigenlijk een compleet debian based install script maken die alles van een webhost trekt, uitpakt en installeert en de juiste databases met tabellen aanmaakt.

Volgende week eerst maar eens aan mijn Minor beginnen en de Scout-In overleven. Dan zien we wel weer verder.

Eenmaal Gefrituurd Modem Deel 1

Door Dhr_Soulslayer op donderdag 23 juni 2011 16:06 - Reacties (11)
Categorie: ICT, Views: 5.691

Dit is een verslag van wat mij de afgelopen dagen is gebeurd met betrekking op mijn internet verbinding. Als eerste even de situatie zoals die behoort te zijn bij ons thuis.
60mb Fiberpower Abo met HD TV en HD Recorder en telefonie allemaal van aanbieder UPC. Dit heeft het afgelopen anderhalf jaar zonder grote noemswaardige problemen gedraaid. Zo af en toe eens een keertje het modem resetten maar dat kan gebeuren.

Zaterdag begon alle pret. Een steeds wegvallende internet verbinding met vele time-outs als er eindelijk verbinding was. Keurig het modem en router gereset maar dat mocht niet baten want na anderhalf uur begonnen de problemen net zo hard weer. Ook kon ik toen ook niet meer mijn router benaderen via de webinterface. Vanwege de hoeveelheid data die ik thuis door de lijn pers hebben wij een Cisco RVS4000 staan, in mijn ogen een betrouwbaar merk met goede prestaties. Maargoed ook Cisco routers kunnen stuk dus er maar even tijdelijk een Netgear WNDR3000 tussen gezet. Maar ook weer na anderhalf uur mocht dat niet baten.

Ondertussen was het alweer dinsdag en heb ik maar eens gebeld met de klantenservice van UPC. Ik heb hun de complete situatie uitgelegd en gelukkig had ik iemand aan de telefoon die zelf ook nog wel iets van de IT afwist. Maar na 30 minuten hadden we het weer voor elkaar en was er een redelijk stabiele verbinding maar de man aan de telefoon gaf wel aan dat er op het modem een erg hoog signaal binnenkwam.

Ik legde hem uit dat het kwam door de volgende constructie, die door een monteur van UPC zelf is aangelegd. Als eerste komt de hoofdlijn binnen in de meterkast. Dan gaat deze een versterker in en dan wordt de kabel gesplitst in een Internet/Telefonie en een TV kabel. De TV kabel wordt nog 4 keer vertakt om daarna verder het huis in te lopen. De Internet/Telefonie kabel loopt rechtstreeks het modem in. Wat trouwens ook een Cisco is.

Nadat ik gisteren weer helemaal zonder zak maar weer zonder veel moed het modem gereset toen het gebeurde. Op het modem, waarop dat moment alleen macbook aangesloten was, begon een oranje lampje te branden en te knipperen. Dit leek mij niet normaal dus maar weer met de UPC gebeld. Het bellen gaat ook over het Cisco modem maar dat levert geen problemen op gek genoeg.

Nadat ik mijn postcode heb ingesproken word ik vriendelijk te woord gestaan door een support medewerker die mijn vraagt waarmee hij mij van dienst kan zijn. Ik leg hem bovenstaande gebeurtenis uit en het is even stil aan de andere kant van de lijn. Waarop de meest droge opmerking wordt gemaakt:"Meneer op uw modem kan geen oranje lamp branden of knipperen." Hierop antwoordde ik bevestigend dat het toch echt wel zo was ging de beste man nogmaals het modem doormeten en kwam, net als zijn collega, dat het signaal wat het modem binnen kwam toch wel erg hoog was. Misschien wel zo hoog dat het niet helemaal goed kon zijn. Waarop ik prompt antwoordde dat het door hun eigen personeel was aangelegd.

De man gaf eerlijk toe dat bepaalde situaties misschien niet helemaal goed aangelegd waren en of ik de versterker tussen het modem en de Internet/telefonie kabel eruit kon halen en alleen op de TV kabel kon zetten. Na 15 min werk was dit dan toch eindelijk gelukt en heb ik weer met mijn goede vrienden gebeld. Gelukkig kreeg ik dezelfde medewerker aan de telefoon waardoor hij al snel kon meten. Maar ook nu weer het beruchte oranje lampje. Dus moet er een monteur komen. Die kon niet eerder komen dan Woensdag 29 juni. Let wel dit is buiten de 3 werkdagen die UPC garandeerd in zijn voorwaarden. Dus ik zou terug gebeld worden door het monteursbedrijf om zelf een afspraak te maken.

's Avonds kwam mijn vader thuis en ik verteld hem al het bovenstaande. Ook dus dat wij al de hele middag zonder internet hebben gezeten en dit waarschijnlijk nog tot na het weekend zo zou zijn. Vader was daarvan niet zo gecharmeerd en heeft meer dan anderhalf uur met de UPC aan de telefoon gezeten. Na 4 doorverbindingen en 1 abonnementswijziging later wordt er vandaag(donderdag) een modem opgestuurd wat vrijdag dan moet binnen komen. Tijdens het telefoon gesprek werd het duidelijk dat als wij een zakelijk abonnement hadden dat we dan wel binnen 4 werkuren een monteur konden krijgen dus werd terstonds het abonnement omgegooid tot zakelijk met dezelfde specificaties. Dit voor maar 4 euro per maand meer. Voor ons thuis een erg fijne oplossing.

Nu is het zo dat er voor een zakelijk abonnement andere eisen aan de verbinding zijn. Veel hoger dan bij een consumenten verbinding. Voor een zakelijk abonnement is ook een andere modem nodig. Althans dat bied UPC aan, aan al hun zakelijk klanten. Nu krijgen wij dus (hopelijk) vrijdag een nieuw modem en over 10 werkdagen komt het zakelijke modem binnen samen met een monteur.

P.S.
Dit is geen rant tegen UPC maar gewoon een verslag van mijn belevingen met hun.