Categoría: Networking

KEMP LoadMaster Virtual – Graficas en Cacti.

Hace varios meses que estoy administrando un cluster HA de KEMP LoadMaster, hasta el momento estoy fascinado con la solución. Anteriormente había leído sobre ella, algunos videos en YouTube y uno que otro blog en la red.

Inicialmente solo era un solo LoadMaster (VLM) en un servidor dedicado Dell PowerEdge R420 con VMware ESXi 5.1 GA.

Todo de maravilla hasta que llegó el momento de agregarlo en Cacti, resulta que solo encontré 1 template para crear graficas de VS (Virtual Servers) y estaba algo “broken”, como todo programmer-wannabe empecé a cambiar cosas aquí y allá en el template y termine con algo funcional.

Por el momento tengo estadísticas de Active Connection & Total Connection tanto en HTTP como en HTTPS.

Descarga: https://www.dropbox.com/s/z2xgdvmhac1mr51/KEMP.rar

Site-to-Site con Vyatta y OpenVPN en Debian.

Hoy toca uno de Networking, como el titulo lo dice, esto no es solo de Virtualización!

Si como yo tienes varias localidades (nah!! Son varios servidores Dedicados con VMs las cuales uso para pruebas) y las quieres administrar directamente como si estuvieran conectadas en una red corporativa y sin problemas de port-forwarding, aquí tengo “una solución” para eso.

Desde hace un tiempo no uso pfSense, por qué?  No me gusta OpenBGPd. Es algo lento en pfSense, esa es mi impresión. Además de eso, no creo que soportara una tabla full de BGP, en Vyatta actualmente en mi lugar de trabajo la tenemos en 2 servidores con Vyatta desde nuestro proveedor CLARO.

Bueno, lo de BGP será para otro post, ahora mismo para conectar nuestra localidad remota necesitaremos de un router que soporte OpenVPN en ambos lados, en mi casa tengo Vyatta y en el punto remoto un servidor Debian con OpenVPN instalado desde los paquetes. Necesitaremos los siguientes datos:

Red para el túnel: 10.45.252.252/30

Red en mi casa: 172.22.35.0/26

Red en punto remoto: 172.22.114.0/26

IP WAN en Vyatta-HOME: Dinámico (Gracias al DSL de CLARO)

IP WAN en Debian con OpenVPN: 173.208.168.10

Solo nos falta generar un key con OpenVPN para usarlo en este túnel:

openvpn –genkey –secret static.key

Con estos datos ya podemos configurar…..

En Debian con OpenVPN:

mode p2p          # modo peer to peer

proto udp           # protocolo UDP

lport 1194          # puerto local

dev-type tun     # tipo de interface, TUN porque sera en modo routing.

dev tun-home  # nombre de la interface que se vera en ifconfig

tun-ipv6              # queremos IPv6, don’t we?

comp-lzo          # compression

cd /etc/openvpn         # directorio donde tendremos el key generado.

secret static.key        # el archive con el key

persist-key         # si paso algo con el tunel, mantener el key

persist-tun         # si pasa algo con el tunel, mantener la interface

status /var/log/home.openvpn.status.log # LOGs

log-append /var/log/home.openvpn.log   # mas LOGs

keepalive 20 120

verb 5            # Verbose!

ifconfig 10.45.252.253 10.45.252.254

 

Todo esto lo tendremos en /etc/openvpn en un archivo llamado home.conf, OpenVPN detecta todos los archivos con .conf al final y los ejecuta para crear la interface y todo lo necesario para establecer el túnel.

En el Vyatta:

Aquí es algo diferente ya que los desarrolladores de Vyatta adaptaron OpenVPN a su CLI, si ya ha usado Vyatta, saben lo bien elaborado que esta el CLI.

edit interface openvpn vtun1 #creamos la interface vtun1, no podemos usar nuestros propios nombres aqui.

set local-address 10.45.252.254                #Nuestro lado del tunel

set local-host 10.0.0.2   #IP en la WAN con el DSL de CLARO

set local-port 1194          #no es necesario

set mode site-to-site    #tipo de tunel

set openvpn-options «–com-lzo –persist-tun –tun-ipv6»          #ya que algunas opciones no estan soportadas, existe la opcion de openvpn-options donde podemos usar las que faltan.

set protocol udp              #protocolo a ser usado por el tunel

set remote-address 10.45.252.253          #lado remoto del tunel

set remote-host 173.208.168.10              #IP WAN del servidor con Debian, nuestro Vyatta siempre iniciara la conexion ya que tiene IP Dinamico.

set remote-port 1194    #puerto donde realizaremos la conexión

set shared-secret-key-file          #archivo con el mismo key que usamos en el servidor.

commit

save

nota: no podemos usar comentarios en Vyatta, todo después del # no puede ser introducido en el CLI.

Al momento de hacer commit en Vyatta la configuración se aplica y este iniciara la conexión al servidor con OpenVPN, ahora debemos iniciar el OpenVPN en el servidor con Debian:

/etc/init.d/openvpn start home.conf

Automáticamente nuestro túnel debe subir y podemos hacer ping desde nuestro Vyatta hacia Debian usando la red 10.45.252.252/30.

Desde Vyatta: ping 10.45.252.253

Ahora solo nos faltaría que nuestro Vyatta y Debian sepan que redes maneja cada cual, esto en Vyatta lo podemos hacer así:

set protocol static route 172.22.114.0/26 next-hop 10.45.252.253

En nuestro servidor con Debian:

ip route add 172.22.35.0/26 via 10.45.252.254 dev tun-home

Ya nuestros equipos en ambos lados deben tener conectividad uno al otro usando el túnel.

HomeLAB

Ariel Antigua Networks – (aaNetworks)

aaNetworks

homelab infrastructura.

homelab for 20231208

Iniciemos con el hardware.

networking:

En esta sección tenemos varios routers y switches.

    -   WAN1 – este es el equipo que la mayoría tenemos en casa, es asignado por CLARO para los clientes con Fibra Óptica, mi velocidad de internet actual es 300Mbps/75Mbps.
    -   WAN2 – Internet de Orbit Cable, entregado vía Fibra Óptica. Solo tiene 10Mbps/5Mbps, lamentablemente esta detrás de CGNAT.
    -   firewall01 - Peplink Balance 20X
    -   firewall02 – Sophos XG 115 corriendo opnSense 27
    -   nixon – Mikrotik RB3011-RM – este equipo forma parte de una nube MPLS y es un router de borde.
    -   zapp – Mikrotik RB2011-RM – este es el route principal de la red.
    -   lrrr –   Mikrotik RB493AH – router para pruebas de PPPoE, MPLS y VPLS.
    -   brrr –  Mikrotik RB750Gr3 – router para pruebas de PPPoE, MPLS y VPLS.
    -   ndnd – Mikrotik RB2011L-RM – router para pruebas de PPPoE, MPLS y VPLS.
    -   elzar – Mikrotik RB2011-RM – router para pruebas de PPPoE, MPLS y VPLS.
    -   CORE0 – Zyxel GS-1900 – Switch principal de la red.
    -   CORE02 - Ubiquiti Aggreation - 10Gbe switch for vSAN/vMotion and Data Traffic
    -   Atlas1 – RIPE Atlas sensor (Probe #28779) – este equipo directamente no se controla, es parte del proyecto Atlas de RIPE NCC. (¡¡¡4 anos en funcionamiento !!!)
    -   Atlas2 – RIPE Atlas Sensor (Probe #51981) – este sensor reporta estadísticas usando el internet de CLARO.
    -   Atlas3 – RIPE Atlas Sensor (Probe #XXXXX ) – este sensor reporta estadísticas usando el internet de ORBIT.
    -   Ubiquiti UCK – Generación 1 cloud key.

servers:

Supermicro decomisionado.

    -   Intel(R) Atom(TM) CPU D2500 @ 1.86GHz
    -   6GB de RAM
    -   SSD 60GB Sandisk
    -   2x 1Gb NIC

2x HP Z440

    -   Intel Xeon E5-2640 v4
    -   128GB of DDR4
    -   1 Samsung SSD 970 EVO 1TB
    -   1 Kingston SSD 240G (ESXi installed here)
    -   1 Intel SSD DC S3700 1.6TB
    -   1 10Gb Dual port SFP+ HP NC560


store – unRAID 6 – almacenamiento centralizado para las necesidades de File Services. Además de storage con unRAID se tiene la facilidad de correr Docker/VM. Alguno de los contenedores corriendo aquí son Plex, Syncthing, Sonarr, Radarr y algún otro que olvide ahora mismo.

    -   Ahora es una VM en ESXi7.0 (esxi1)
    -   Supermicro X9SRL
    -   Intel Xeon E5-2680 v2
    -   128GB de RAM
    -   2x 2TB Hard disks
    -   2x 4TB Hard disks
    -   2x 3TB Hard disks
    -   1x Intel SSD PCIe 1.6 TB
    -   More SSDs for VMs….
    -   2x 1Gb NIC
    -   10Gb NIC – aún no se ha conectado, el CRS cuenta con dos puertos 10GB.
    -   Rosewill RSV-L4000 – 4U

Equipos que no estan en el rack.

2x HP Proliant EC200a

    -   Intel(R) Xeon(R) CPU D-1518 @ 2.20GHz
    -   64GB de RAM
    -   1x SSD 240GB
    -   1 Intel SSD DC S3700 1.6TB
    -   1x M.2 NVMe 500GB

homelab for 20231208

IPv6, vyatta y pfsense…

El pasado fin de semana me decidí a usar mi cuenta de TunnelBroker.net, esto no es más que un proyecto directo de HE (Hurricane Electric) que para mí es uno de los mejores tuneles para acceder a la red IPv6.

Hace casi 2 meses que tengo esta cuenta y no había pensado en usarla hasta el sábado pasado que no tenía mucho que hacer.

Mi pequeña red es algo distribuida, que se podía esperar? J, actualmente cuenta con un pfSense como Gateway y load balance con varias conexiones(3) al internet después tengo un Vyatta que hace función de router entre varias redes internas y el pfsense. Como lamentablemente pfsense no soporta IPv6 por el momento pero si tiene la opción de pasar el protocolo 41 a una maquina interna que si soporte ipv6 esta máquina interna sin duda tenía que ser vyatta que viene con ipv6 habilitado.

Por el momento no escribiré mucho sobre los detalles técnicos ya que estoy en el trabajo se me hace algo incomodo (y no tengo tanto tiempo disponible..) pero más adelante verán muchos más posts sobre ipv6 y demás…..

Los enlaces de interés!!!

http://pfsense.com

http://vyatta.com

http://www.tunnelbroker.net

Casi olvidaba… si ya eres ipv6enable.. Puedes ver mi wiki interno en http://tank.v6.arielantigua.com/wiki/