Beiträge getagged ‘Endian 2.2’

VMWare Tools auf Endian Firewall 2.2

15 Dezember 2009
Endian Firewall

Endian Firewall

Eigentlich ist die schlanke Firewall Appliance Endian prädestiniert um als virtuelle Maschine auf einem ESX(i) zu laufen. Leider haben die Endian Entwickler letztmalig von der Version 2.1.2 eine komplett konfigurierte VMWare-Maschine zur Verfügung gestellt. Von der Version 2.2 und auch der aktuellen 2.3 ist das leider nicht mehr der Fall. Die mal schnell selber zu installieren ist allerdings nicht möglich da der Endian Installation von Haus aus einige Pakete fehlen. Mit etwas Handarbeit kriegt man das aber auch hin.

Ich beschreibe hier die Umsetzung auf Basis der Endian Version 2.2 (auch die RC’s gehen auf die gleiche Weise). Das ganze kann im lauffenden Betrieb erfolgen, einzig zu beachten ist genügend Platz auf der Root-Partition zur Verfügung steht, denn temporär können doch ein paar hundert Megabyte verbraten werden.

Bitte zuerst SSH im Backend anschalten und als root per SSH einloggen. Zuerst installieren wir wget um weitere Pakete einfach auf den Endian zu holen.

» Weiterlesen: VMWare Tools auf Endian Firewall 2.2

Endian Firewall auf ESXi und die OpenVPN Verbindung

23 November 2009
Endian Firewall Appliance

Endian Firewall Appliance

Die Endian Firewall auf einem ESX(i) Server laufen zu lassen ist sicher eine sehr gute Idee, genauso wie per OpenVPN auf sein eigenes Netzwerk zugreifen zu wollen, doch leider führt eben dieses oft dazu, dass via VPN-Verbdindung nur auf den EFW zugegriffen werden kann, auf alle anderen Hosts im grünen (internen) Netzwerk aber nicht. Nach einiger Recherche im Netz, habe ich zwar jede Menge Leute gefunden, denen es ähnlich ging, aber keine Lösung. Da ich in der glücklichen Lage bin/war, nochmal die gleiche Installation auf einer physischen Maschine zu haben und dort alles lief, war mir eigentlich sofort klar, dass es wohl an dem VMware ESX(i)-Server liegen muss.

Nach fast einen Tag herumsuchen konnte ich dann den „Schuldigen“ auch dingfest machen, es ist der Promiscuous Modus. Trotz sonst excellenter Dokumentation seitens VMWare, hat man sich genau dort nicht mit Ruhm bekleckert:

[Ablehnen] – Die Aktivierung des Promiscuous-Modus für den Gastadapter hat keine Auswirkungen darauf, welche Frames vom Adapter empfangen werden.
[Akzeptieren] – Bei Aktivierung des Promiscuous-Modus für den Gastadapter werden alle Frames ermittelt, die über den vSwitch übertragen werden und die nach der VLAN-Richtlinie für die an den Adapter angeschlossene Portgruppe zugelassen sind.

Aha. Naja also ich wurde da nicht schlau draus 🙂 Aber bei Wikipedia wird das Ganze etwas klarer. Also dieser Modus war die Lösung. Einfach über Konfiguration >  Netzwerk > Eigenschaften des VSwitches > Bearbeiten > Sicherheit > Promiscuous-Modus > akzeptieren. Und schon klappts auch mit dem VPN.

periodisches Backup der Endian Firewall

21 November 2009
Endian Firewall Appliance

Endian Firewall Appliance

Tja wieder mal ein Fall des Murphy’s Law, braucht man mal ein Backup hat  an sicher kein Aktuelles zur Hand. Im Falle der Endian Firewall sicherlich blöd, zumal die wirklich umfangreichen Einstellungsmöglichkeiten wieder neu einzugeben zur Sisyphusarbeit werden kann. Zwar gibt es ab der aktuellen 2.3 ein periodische Backup, das aber der Endian Maschine verbleibt und somit bei einem Datenverlust genauso weg ist. Hier ist ein schickes Script das Nachts ein Backup fährt und via SMB die Sicherung auf einem anderen PC anlegt.

Zuerst auf der Endian Box einen Ordner /backup mit mkdir erstellen. Dann in der /etc/ftsab folgende Zeile zum Mounten des SMB-Shares einrichten:

//WINSERVERIP/backup /backup cifs username=USER,password=PASSWD 0 0

Danach ein folgendes script anlegen /etc/cron.d/dailybackup :

PATH=/sbin:/bin:/usr/sbin:/usr/bin
00 23     * * *     find /home/httpd/html/backup -name ‚*-cron.tar.gz*‘ -exec rm -f {} „;“ ; /usr/local/bin/backup-create.sh –settings –dbdumps –logs –logarchives –cron –message=Daily
40 23     * * *     mount /backup ; find /home/httpd/html/backup -name ‚*-cron.tar.gz‘ -exec cp -f {} /backup/endianfirewall.tar.gz „;“ ;umount /backup

Danach per /etc/init.d/fcron restart einfach den Cron-Daemon neu starten. Fertig! So das wars, jetzt wird einmal um 23:00 Uhr die alte Sicherung vom Vortag gelöscht und eine neue angelegt. Um 23:40 Uhr (das Backup sollte dann auf jeden Fall fertig sein 🙂 ) wird dann auf den gemounteten Share kopiert und danach geunmounted. Dieses Backup kann dann während einer Neuinstallation einfach genutzt werden um alle Einstellungen wieder einzulesen.

Nachtrag:

Wer lieber die Backup’s aufheben möchte, macht es einfach so:

PATH=/sbin:/bin:/usr/sbin:/usr/bin
00 23     * * *     find /home/httpd/html/backup -name ‚*-cron.tar.gz*‘ -exec rm -f {} „;“ ; /usr/local/bin/backup-create.sh –settings –dbdumps –logs –logarchives –cron –message=Daily
40 23     * * *     mount /backup ; find /home/httpd/html/backup -name ‚*-cron.tar.gz‘ -exec cp -f {} /backup/ „;“ ;umount /backup

Dann werden alle Einzelbackup behalten.

Endian nTop von https auf http umstellen

20 November 2009

Die Firewall-Appliance Endian beinhaltet den Netzwerkmonitor ntop, der Quasi-Referenz in diesem Sektor. Tolles Tool, aber leider zeigt dieser auf der Endian FW immer wieder das verhalten, das nach einigen Tagen Laufzeit ntop einen Grossteil des Arbeitsspeichers allokiert und irgendwann gar nicht funktioniert. Nach ein wenig probieren konnte ich das Problem darauf eingrenzen, dass es daran lag das das Webfrontend per https aufrufbar war. Also Problemlösung: einfach den Webserver der ntop auf http umstellen und zwar so:

folgende Datei editieren /etc/init.d/ntop:

option=“–user ntop –daemon –db-file-path /var/ntop –interface br0 –trace-level 3 –https-server 3001 –http-server 0 –disable-schedyield–no-fc“

wird geändert in

option=“–user ntop –daemon –db-file-path /var/ntop –interface br0 –trace-level 3 –https-server 0 –http-server 3001 –disable-schedyield –no-fc“

Danach einfach den Dienst via /etc/init.d/ntop restart Neustarten. Logischerweise ist das das Frontend dann nicht mehr auf https://endianip:3001, sondern http://endianip:3001 aufrufbar. Per http, läuft der ntop mit normalen Speicherverbrauch mehrere Monate durchgehend.

Endian Firewall und periodischer Reconnect

19 November 2009

Mittlerweile hat sich in unserer Firma die Endian Firewall gut eingeführt. Endian ist eine Firewall-Applicance, der ein Ableger des legendären IP-Cop, welcher wiederum die freie Abspaltung von Smoothwall ist/war. Grundlage aller drei ist LFS. Soweit so gut. Wie viele Andere nutzen wir eine normale DSL Leitung, die providerseitig alle 24 Stunden getrennt wird. Grundsätzlich kein Problem, wenn das nicht immer wieder, alle 24 Stunden, unter Tags wäre, natürlich frei nach Murphy’s Law immer mitten in einem FTP-Upload. Viel schöner wäre es doch wenn der Reconnect einfach in der Nacht wäre, wo dieser keinen stört. Also musste ein Script dazu her.

Zuerst erstelle ich ein im Ordner /sbin/ ein Script names reconnect.sh mit folgendem Inhalt:

#!/bin/sh
# Reconnect and update DynDNS

/etc/rc.d/uplinks stop main
sleep 90
/etc/rc.d/uplinks start main
sleep 30
/usr/local/bin/setddns.pl

dann per chmod 755 /sbin/reconnect.sh das Script ausführbar machen. Danach die Crontab mit vi /etc/crontab bearbeiten und folgenden Eintrag hinzufügen:

15 0 * * * /sbin/reconnect.sh

Danach wird jeden Tag um Viertel nach Zwölf die Leitung getrennt, wieder direkt connected und dann bei DynDNS wieder neu angemeldet. Fertig und man hat unter Tags seine Ruhe.

Die Variante ist getestet mit 2.1.2, 2.2 und auch der nagelneuen 2.3.