Other Linux

Suatu ketika saya harus menghadapi log yang muncul di layar console dan sangat-sangat mengganggu kegiatan consol-mengconsole. Error yang muncul masalah DIMM yang saya sendiri juga ga ngeh. Alih-alih mengatasi log error yang muncul, saya lebih memilih mematikan log tersebut sampai pekerjaan lain yang lebih urgent selesai dulu. Setelah saya coba matikan syslog, log tersebut tetap muncul. Akhirnya ketemu juga cara mematikannya dengan mengedit file /etc/sysconfig/syslog dan menjadikan salah satu barisnya seperti:

KLOGD_OPTIONS="-2 -c 1"

Lalu restart syslog.

Done.

Setelah membaca ulang mengenai petunjuk konfigurasi OpenVPN, saya mencoba meninjau kembali file yang pernah saya buat seperti di postingan yang lalu. Ternyata saya mendapati masih ada konfigurasi yang saling tumpang tindih dan tidak diperlukan. Dengan kebutuhan dan topologi jaringan yang sama seperti pada tulisan tersebut, saya melakukan refinement dari yang seperti ini:

Pada Server

ifconfig 10.4.0.1 255.255.255.0
dev tap
tls-server
ifconfig-pool 10.4.0.100 10.4.0.120 255.255.255.0
mode server
max-clients 20
push "route 10.0.40.0 255.255.0.0 10.4.0.1"
keepalive 120 600
ca /etc/openvpn/keys/ca.crt
cert /etc/openvpn/keys/VPN-Server.crt
key /etc/openvpn/keys/VPN-Server.key
dh /etc/openvpn/keys/dh1024.pem

Menjadi:

ifconfig 10.4.0.1 255.255.255.0
dev tap
server 10.4.0.0 255.255.255.0
float
max-clients 20
push "route 10.0.40.0 255.255.0.0 10.4.0.1"
keepalive 120 600
ca /etc/openvpn/keys/ca.crt
cert /etc/openvpn/keys/VPN-Server.crt
key /etc/openvpn/keys/VPN-Server.key
dh /etc/openvpn/keys/dh1024.pem

Di sini saya menghilangkan parameter tls-server, ifconfig-pool 10.4.0.100 10.4.0.120 255.255.255.0, dan mode server dan cukup saya gantikan dengan server 10.4.0.0 255.255.255.0. Karena parameter server akan secara otomatis diterjemahkan sebagai TLS server, dan block ip address yang dicantumkan adalah range ip address yang akan diberikan kepada OpenVPN client.

Pada Client

Konfigurasi sebelumnya:

remote 11.22.33.44 1194
tls-client
pull
float
dev tap
resolv-retry infinite
nobind
dh "C:\\Program Files\\OpenVPN\\dh1024.pem"
ca "C:\\Program Files\\OpenVPN\\ca.crt"
cert "C:\\Program Files\\OpenVPN\\Client.crt"
key "C:\\Program Files\\OpenVPN\\Client.key"

Menjadi:

remote 11.22.33.44 1194
client
float
dev tap
resolv-retry infinite
nobind
dh "C:\\Program Files\\OpenVPN\\dh1024.pem"
ca "C:\\Program Files\\OpenVPN\\ca.crt"
cert "C:\\Program Files\\OpenVPN\\Client.crt"
key "C:\\Program Files\\OpenVPN\\Client.key"

Untuk tls-client saya ubah menjadi cukup client karena secara otomatis akan berjalan di atas TLS. Dan untuk parameter pull juga bisa dihilangkan, karena otomatis routing yang saya butuhkan dari client akan di-push dari OpenVPN server.

Setelah itu restart OpenVPN server dan reconnect dari OpenVPN client.

Kasus

Di sebuah kantor cabang, seluruh node di dalam LAN tersambung ke sebuah gateway/firewall Juniper tipe NetScreen 5GT. Konfigurasi ini sama dengan kantor cabang yang berada di kota lain. Semua gateway/firewall tersebut tersambung ke sebuah NetScreen Central Manager di kantor pusat, sehingga semua kegiatan akses internet di kantor cabang, mulai dari most visited site, trafik email, dan lain sebagainya tercatat dalam log. Semua gateway/firewall yang ada di kantor cabang mengirimkan semacam log trafik ke kantor pusat dengan protokolnya sendiri.



Permasalahan kemudian muncul ketika NetScreen Central Manager ditiadakan dengan suatu alasan. Nah, lalu muncul ide untuk membuat logger sendiri untuk kantor-kantor cabang tersebut yang tidak tergantung ke sebuah vendor perangkat jaringan. Ada beberapa program yang dicoba antara lain Webalizer, Ntop, dan AWStats. Kemarin sudah mencoba Webalizer seperti yang pernah saya tulis, tapi sepertinya masih ada yang kurang. sreg, karena yang berhasil dilog hanya protkol HTTP/HTTPS saja (atau mungkin saya yang bodoh sehingga cuma bisa ngelog dua protokol itu saja). Dan kali ini saya mencoba untuk menggunakan NTOP.

Rencananya begini...

Karena access ke Juniper NetScreen 5GT tersebut terbatas sehingga saya tidak tau bagaimana bisa meng-capture output NetScreens, maka saya memilih menggunakan sebuah host dengan 3 ethernet interface. 2 ethernet interface akan melakukan bridging trafik dari LAN ke gateway/firewall Juniper NetScreen 5GT tersebut. Sehingga nanti topologinya jadi seperti ini:

Membuat Bridge di Linux

Webalizer adalah sebuah program untuk melakukan logging host yang mengakses ke HTTP server untuk dibuat statistiknya. Skema yang biasa digunakan dalam instalasi Webalizer adalah sebagai berikut:



Dari skema di atas, semua access dari http clients ke web server dicatat oleh Webalizer dan dibuatkan statistiknya dalam kurun waktu tertentu (biasanya sih dalam bulanan).

Kemudian saya mendapatkan sebuah permintaan untuk melakukan logging access dari http client di sebuah kantor sehingga Webalizer tersebut dapat mencatat site-site mana saja yang sering dikunjungi oleh http client di kantor tersebut dalam sebulan. Hal ini sebenarnya mudah jika Webalizer bisa jadi satu dengan internet gateway yang tersambung ke http client. Masalahnya, semua client tersebut tersambung ke sebuah access gateway appliance, jadi tidak dimungkinkan untuk instalasi Webalizer di appliance tersebut.

Yang berikutnya saya lakukan adalah meletakkan sebuah cache proxy server sejajar dengan access gateway tersebut. Kira-kira gambarnya akan jadi seperti ini:



Semua http request dari http client akan diforward ke cache proxy server yang juga telah diinstal Webalizer, untuk kemudian dicatat semua kegiatan access dari http client tersebut. Modifikasi yang dilakukan hanya di proses crontab-nya:

5 0 * * * /usr/local/webalizer/bin/webalizer -c /usr/local/webalizer/etc/webalizer.conf -F squid -A 100 -C 100 -R 100 -S 100 -U 100 -e 100 -E 100 -Q

keterangan:

-F : ini adalah type log nya. Ada empat opsi di sini yaitu clf, ftp, squid, dan w3c. Kali ini adalah: squid.
-A : untuk menampilkan jumlah top agent di log webalizer.
-C : untuk menampilkan jumlah top country di log webalizer.
-R : untuk menampilkan jumlah top referrer di log webalizer.
-S : untuk menampilkan jumlah top sites di log webalizer.
-U : untuk menampilkan jumlah top URL di log webalizer.
-e : untuk menampilkan jumlah top entry pages di log webalizer.
-E : untuk menampilkan jumlah top exit pages di log webalizer.
-Q : untuk meringkas message dari system.

dan juga setting pada webalizer.conf, yang log-nya diarahkan ke log Squid. Untuk konfigurasi punya saya seperti ini:

LogFile /usr/local/squid/var/logs/access.log

Untuk instalasi lengkapnya bisa dibaca di website Webalizer, caranya cukup mudah. Kali ini saya cuma berbagi bagaimana cara melakukan log di Cache Proxy Server. Cache Proxy yang saya gunakan adalah Squid.

Selamat mencoba!

Masih ada kaitannya dengan tulisan mengenai OpenVPN sebelumnya, saya mendapati adanya warning seperti berikut ini:

WARNING: No server certificate verification method has been enabled. See http://openvpn.net/howto.html#mitm for more info.

ketika me-load klien OpenVPN di laptop.



Setelah saya ikuti URL yang tercantum pada warning tersebut, saya menambahkan sebaris parameter ke file konfigurasi klien di laptop dengan:

ns-cert-type server

Lalu me-reload klien OpenVPN.

Done.

Rupanya saya benar-benar keterlaluan mengenai hal-hal sepele seperti ini. Saya baru tau kalau ternyata YUM bisa melakukan instalasi secara group. Awalnya saya mendapati salah satu box Linux saya belum terinstall GNome. Padahal seingat saya, untuk install GNome diperlukan banyak sekali package. Tidak sengaja saya membaca di sebuah forum (sudah terlanjur saya close window-nya, jadi saya lupa di mana URL-nya), bahwa ternyata kita bisa install GNome sekaligus dengan YUM dengan opsi groupinstall:

root# yum groupinstall "GNOME Desktop Environment"

Lalu bagaimana kita bisa mendapatkan nama group "GNOME Desktop Environment" di atas?
Untuk mendapatkan semua nama list group gunakan perintah:

root# yum grouplist

Output-nya akan nampak seperti:

Loaded plugins: fastestmirror
Setting up Group Process
Loading mirror speeds from cached hostfile
base: mirror.unej.ac.id
updates: mirror.unej.ac.id
addons: mirror.unej.ac.id
extras: mirror.unej.ac.id
Installed Groups:
Administration Tools
DNS Name Server
Dialup Networking Support
FTP Server
Legacy Network Server
Legacy Software Support
Mail Server
MySQL Database
Network Servers
OpenFabrics Enterprise Distribution
System Tools
Web Server
Yum Utilities
Available Groups:
Authoring and Publishing
Base
Beagle
Cluster Storage
Clustering
Development Libraries
Development Tools
Editors
Emacs
Engineering and Scientific
FreeNX and NX
GNOME Desktop Environment
GNOME Software Development
Games and Entertainment
Graphical Internet
Graphics
Horde
Java
Java Development
KDE (K Desktop Environment)
KDE Software Development
Legacy Software Development
Mono
News Server
Office/Productivity
PostgreSQL Database
Printing Support
Ruby
Server Configuration Tools
Sound and Video
Text-based Internet
Tomboy
Trixboxcore
Virtualization
Windows File Server
X Software Development
X Window System
XFCE-4.4
Done

Untuk opsi lengkapnya bisa dibaca dengan perintah: man yum |grep group

groupinstall group1 [group2] [...]
groupupdate group1 [group2] [...]
grouplist [hidden]
groupremove group1 [group2] [...]
* groupinfo group1 [...]

Is used to install the latest version of a package or group of
Is used to install all of the individual packages in a group, of
The group_package_types configuration option specifies which
Is just an alias for groupinstall, which will do the right thing
Is used to list the available groups from all yum repos. Groups
installed, or if a group doesnât have any mandatory packages
groups marked as not being "user visible".
Is used to remove all of the pacakges in a group, unlike
"groupinstall" this will remove everything regardless of
group_package_types. It is worth pointing out that packages can
be in more than one group, so "groupinstall X Y" followed by
"groupremove Y" does not do give you the same result as
"groupinstall X".
Is used to give the description and package list of a group (and
data the other way around (Ie. what groups own packages need

*facepalm*

Latar Belakang.

Karena seringnya bertugas di lapangan, saya kemana-mana selalu membawa modem GSM/CDMA, untuk melakukan troubleshoot darurat. Hanya sayangnya beberapa device di network yang saya tangani memiliki aplikasi khusus yang harus diakses melalui network kantor. Device-device tersebut disetup dengan menggunakan ip address kelas private.  Untuk device yang web-based, saya dapat dengan mudah mengaksesnya dari network luar kantor dengan memasang proxy server yang saya tempatkan di salah satu node network kantor. Lalu saya tinggal menambahkan konfigurasi tambahan di browser saya. Cara ini dapat dilakukan dari network di luar network kantor. Tetapi agak sedikit berbeda dengan jenis device yang perlu diakses dengan software khusus seperti Alvarion DS-11 yang harus menggunakan aplikasi Breezeconfig. Tentu saja ini tidak bisa diakses dengan menggunakan proxy.

Yang kemudian muncul ide bagaimana membuat VPN yang bisa diakses dari mana saja untuk bisa mendapatkan routing sehingga bisa menjalankan aplikasi semacam Breezeconfig tersebut.

Untuk topologi  permasalahannya nampak seperti di bawah ini:

OpenVPN.

Setelah membaca-baca sekian setting VPN yang pas buat saya, akhirnya saya memutuskan untuk mengimplementasi VPN dengan OpenVPN. Alasannya, karena OpenVPN mendukung penggunaan VPN di belakang NAT. Mungkin di luar sana masih banyak implementasi VPN yang lainnya yang bisa berjalan di belakang NAT, hanya saja saya memang memilih yang satu ini.

Asumsi.

• Server VPN menggunakan Linux CentOS 5.x. Dan tentu saja OpenVPN bisa berjalan di distro lain. Hanya saja setupnya mungkin agak sedikit berbeda. Sedangkan client VPN adalah laptop dengan OS Windows XP.


• Per instalasi di tulisan ini, versi OpenVPN yang saya gunakan adalah versi 2.0.9. Sedangkan untuk client saya menggunakan OpenVPN209 GUI 1.0.3.


• Untuk kompresi data yang dibutuhkan OpenVPN, diperlukan software algoritma LZO (Lempel-Ziv-Oberhumer). Per instalasi ini saya menggunakan versi 2.0.0. Cara instalasinya cukup mudah seperti yang akan dipaparkan di bawah.


• Untuk instalasi server diperlukan akses dengan privilege root.


• Interface network yang digunakan oleh OpenVPN adalah TUN/TAP. Pada dasarnya, di setiap distro terbaru, driver untuk dua interface ini sudah diikutsertakan dalam distro secara default. Tetapi jika ingin mencoba menginstall sendiri dalam distro-distro yang "tidak umum", maka source bisa didownload di http://vtun.sourceforge.net/tun/.

Instalasi.