Bonjour

Cet article est venu plus vite que prévu, étant donné que les limites de la licence de mon Firewall UTM Sophos ont été atteinte début avril.

Après plusieurs tests, de différentes solutions c’est la solution OPNsense qui a été retenue, pour remplacer la solution actuelle au cœur de mon réseau.

Cette migration est dans les cartons, mais lors d’un week-end avec un peu de monde à la maison et donc des équipements en wifi en plus sur le réseau, j’ai reçu une alerte de mon firewall Sophos me disant que j’avais atteinte 48 IPs gérés sur 50 maximum. Après validation du support Sophos, il n’y a pas de moyen de réinitialiser la liste des IPs sous licence avec le baux de 7 jours glissants.

Ce point a fait accélérer le remplacement, car je ne pouvais plus garder cette épée de Damoclès sur mon réseau.

La migration a été réalisée sur un week-end en utilisant la même machine (lien ici et ici) que le serveur Sophos en remplaçant juste le disque dur par un nouveau permettant un retour arrière simple rapide et complet en cas de migration partielle en fin du week-end.

Je ne vais pas détailler l’installation en elle-même j’ai tout simplement suivi la documentation officielle disponible sur le site officiel du projet OPNsense.

Par contre je vais essayer de lister les différentes fonctionnalités utilisées sur cette nouvelle solution après un mois de migration, mais avant tout voici un petit rappel sur les connectivités de ce firewall :

  • Une zone LAN, hébergeant les périphérique filaires de mon réseau (ordinateurs, imprimantes, tv etc)
  • Une zone DMZ hébergeant les services accessible aussi bien depuis la zone LAN mais surtout depuis l’extérieur (NAS / Proxmox, etc…)
  • Une zone WLAN, donnant accès à tous les périphérique wifi via une solution de point d’accès Ubiquiti diffusant deux SSID différents dont un tagué Guest.
  • Une zone WAN1 reliée au réseau K-Net Fibre
  • Une zone WAN2 reliée au réseaux Orange en ASDL

Ces deux dernières zones gèrent le multi wan en actif / backup.

Quelles sont les différentes fonctions que j’utilise et que j’ai reprise lors de la re configuration de ce nouvelle machine :

  • La gestion du multi WAN (Fibre & ADSL pour ma part)
  • Le routage
  • Les règles de filtrage entre les différentes zones
  • Le NAT très peu au final car tout passe par le réseau OpenVPN pour l’accès aux données internes depuis l’extérieur. Au final le nat ne sert que d’accès de secours en cas de soucis.
  • Les serveurs DHCP
    • Un pour la zone LAN
    • Un pour la zone WLAN Guest, pour la zone WLAN traditionnelle c’est par filtrage MAC que l’attribution des IPs se fait
  • Le service de DNS Dynamique via OVH DynHOST
  • Les services comme SNMP / Smart / NTP / WOL sont bien sûr activés et utilisés
  • La sauvegarde automatique vers Google Drive (un peu compliqué à mettre en place mais on n’y touche plus après et pour moi une sauvegarde automatique externe est indispensable, le tout bien évidemment chiffré)

De plus par rapport à mon ancien Firewalll UTM Sophos, j’utilise la fonctionnalité de client OpenVPN pour connecter mon réseau domestique à mes hébergeurs externes comme OVH et Aruba Cloud.

Cette fonctionnalité était remplie jusqu’à présent par un machine virtuelle en zone DMZ en attendant mieux, celle ci est devenu inutile à ce jour.

De plus j’ai aussi activé la fonction de Netflow interne pour avoir une vision plus fine des flux transitant par ce firewall.

Après un mois d’utilisation et configuration, je confirme l’efficacité du produit OPNsense, en tout cas il comble à ce jour tous les points de mon cahier de charge.

Il reste encore quelques paramétrages et affinages à faire, mais je suis satisfait du changement et de mon choix.

Bonne lecture

Bonjour

Ce mois ci Orange faisait une belle offre sur le Parrot Flower Power, au final avec toutes les réductions on arrivait à un prix de 10 euros.

Parrot Flower Power

Il permettra de vous alerter lorsque votre plantes manqueront d’eau, de soleil, ou d’engrais :

  • Pour les mesures d’humidité du sol, le Parrot Flower Power mesure simplement la permittivité diélectrique du sol.
  • Pour ce qui est de l’engrais, la mesure se fait en calculant la conductivité du sol.
  • Concernant la lumière, la mesure est faite par la quantité de photons de longueur d’onde des 510 nm ce qui est une bonne moyenne pour l’ensemble des plantes.
  • Pour finir la température est simplement mesuré par un sonde classique.

Au final j’en ai pris deux :

  • Un pour mes tomates cerises que j’ai aussi associé aux pieds de framboisiers juste à côté :  PFP - Tomates Cerises
  • Et surtout un pour le basilic et la coriandre qui ont une fâcheuse tendance à ne pas se plaire dans mon jardin :

PFP - Basilic

Et pour l’instant les remontées semble fonctionner assez bien, je suis assez étonnée par la périodicité d’arrosage, qui pour l’instant semble convenir à mes plantes.

Je vous ferais un retour plus approfondi après quelques temps d’utilisation.

 

Bonjour à tous,

Ca faisait un petit bout de temps que je n’avais rien publié comme article, le temps de me manque…

Je suis tombé sur une petite application hier, et fallait absolument que vous en parle : GoAccess Visual Web Log Analyzer

Rien de plus qu’un utilitaire d’analyse de log en temps réel pour serveurs web, mais avec une simplicité d’utilisation très appréciable.

GoAccess utilise les fichiers de logs de Nginx & Apache pour collecter les données. GoAccess affiche les statistiques dans la console. Les rapports générés comprennent:

  • Statistiques générales, bande-passante,…
  • Top Visiteurs
  • Fichiers demandés
  • Fichiers demandés statiques
  • Referrers URLs
  • 404 Not Found
  • Operating Systems
  • Browsers et Spiders
  • Hosts, Reverse DNS, IP
  • HTTP Status Codes
  • Sites Référant
  • Mots clés

Installation

Pour l’installer sur Ubuntu ou Debian, rien de plus simple, il suffit exécutez la commande

apt-get install goaccess

Ou alors à partir des sources :

wget http://downloads.sourceforge.net/project/goaccess/0.7.1/goaccess-0.7.1.tar.gz 
tar -xzvf goaccess-0.7.1.tar.gz 
cd goaccess-0.7.1/ 
./configure --enable-geoip --enable-utf8
make
make install

Et sinon la page d’instruction est très bien détaillée

Utilisation

Pour utiliser GoAccess, utilisez cette commande qui indique au passage le chemin du fichier de log du serveur :

goaccess -f /var/log/apache2/access_log
goaccess -f /var/log/nginx/access_log

goaccess,png

Pensez ensuite à utiliser les flèches de direction de votre clavier de haut en bas, pour visualiser l’ensemble des statistiques.

L’option -e permet d’exclure des IP de l’analyse.

D’autres options sont disponibles (consommation bande passante, User Agent…).
Pour plus d’infos :

man goaccess

Bonne lecture à tous et à très vite

Bonjour à tous

Ce post express juste pour vous informer que Proxmox à rajouter une fonction de support payante (optionnelle) et a pousser de nouveau repository, qui posent problème lorsque l’on a pas souscrit à un support.

root@Proxmox-1:~# apt-get update
Hit http://ftp.fr.debian.org wheezy Release.gpg
Hit http://download.proxmox.com wheezy Release.gpg
Hit http://security.debian.org wheezy/updates Release.gpg
Hit http://download.proxmox.com wheezy Release
Hit http://security.debian.org wheezy/updates Release
Hit http://ftp.fr.debian.org wheezy Release
Hit http://download.proxmox.com wheezy/pve amd64 Packages
Hit http://security.debian.org wheezy/updates/main amd64 Packages
Hit http://security.debian.org wheezy/updates/contrib amd64 Packages
Hit http://ftp.fr.debian.org wheezy/main amd64 Packages
Hit http://security.debian.org wheezy/updates/contrib Translation-en
Hit http://security.debian.org wheezy/updates/main Translation-en
Hit http://ftp.fr.debian.org wheezy/contrib amd64 Packages
Hit http://ftp.fr.debian.org wheezy/contrib Translation-en
Ign https://enterprise.proxmox.com wheezy Release.gpg
Hit http://ftp.fr.debian.org wheezy/main Translation-en
Ign http://download.proxmox.com wheezy/pve Translation-en_US
Ign http://download.proxmox.com wheezy/pve Translation-en
Ign https://enterprise.proxmox.com wheezy Release
Err https://enterprise.proxmox.com wheezy/pve-enterprise amd64 Packages
The requested URL returned error: 401
Ign https://enterprise.proxmox.com wheezy/pve-enterprise Translation-en_US
Ign https://enterprise.proxmox.com wheezy/pve-enterprise Translation-en
W: Failed to fetch https://enterprise.proxmox.com/debian/dists/wheezy/pve-enterprise/binary-amd64/Packages  The requested URL returned error: 401
E: Some index files failed to download. They have been ignored, or old ones used instead.

Pour parer ce problème il suffit de désactiver les sources dédiées en ajoutant un # dans le fichier :

nano /etc/apt/sources.list.d/pve-enterprise.list
 
#deb https://enterprise.proxmox.com/debian wheezy pve-enterprise

Ce petit changement vous rends votre serveur opérationnel comme avant.

root@Proxmox-1:~# apt-get update
Hit http://ftp.fr.debian.org wheezy Release.gpg
Hit http://security.debian.org wheezy/updates Release.gpg     
Hit http://ftp.fr.debian.org wheezy Release                                              
Hit http://security.debian.org wheezy/updates Release                                    
Hit http://security.debian.org wheezy/updates/main amd64 Packages                                              
Hit http://ftp.fr.debian.org wheezy/main amd64 Packages                                  
Hit http://security.debian.org wheezy/updates/contrib amd64 Packages            
Hit http://ftp.fr.debian.org wheezy/contrib amd64 Packages                      
Hit http://download.proxmox.com wheezy Release.gpg
Hit http://security.debian.org wheezy/updates/contrib Translation-en      
Hit http://download.proxmox.com wheezy Release                            
Hit http://security.debian.org wheezy/updates/main Translation-en         
Hit http://ftp.fr.debian.org wheezy/contrib Translation-en
Hit http://download.proxmox.com wheezy/pve amd64 Packages
Hit http://ftp.fr.debian.org wheezy/main Translation-en
Ign http://download.proxmox.com wheezy/pve Translation-en_US
Ign http://download.proxmox.com wheezy/pve Translation-en
Reading package lists... Done

De plus pour éviter le message au login sur l’interface web, il suffit d’éditer le fichier

nano/usr/share/pve-manager/ext4/pvemanagerlib.js

et de commenter les lignes suivantes

//              if (data.status == 'Active') {
//                  Ext.Msg.show({
//                      title: gettext('No valid subscription'),
//                      icon: Ext.Msg.WARNING,
//                      msg: PVE.Utils.noSubKeyHtml,
//                      buttons: Ext.Msg.OK,
//                      callback: function(btn) {
//                          if (btn !== 'ok') {
//                              return;
//                          }
//                          orig_cmd();
//                      }
//                  });
//              } else {
//                  orig_cmd();
//              }

Sans oublier de relancer le pvedaemon avec la commande :

/etc/init.d/pvedaemon restart

Bonne journée à tous

Bonjour à tous

Ce week end, j’ai décidé d’abandonner mon visio pour mon infra privée, beaucoup trop embêtant à maintenir (surtout sous Mac OS) et donc j’ai décidé d’utiliser mon nagios encore un peu plus.

En cherchant comment utiliser le plugin check_snmp pour monitorer les interfaces de mon switch, je me suis rendu compte que je rencontré quelques problèmes pour la mise en place des alertes de types Critical & Warning.

Je suis tombé sur le site du plugin check_snmp_int qui fait exactement ce que j’ai besoin et d’une facilité déconcertante.

Pour la mise en place rien de plus simple

cd /usr/local/nagios/libexec
wget http://nagios.manubulon.com/check_snmp_int.pl
chmod +x check_snmp_int.pl
mv check_snmp_int.pl check_snmp_int

Niveau utilisation tout aussi simple

Get help ./check_snmp_int.pl -h
List all interfaces ./check_snmp_int.pl -H 127.0.0.1 -C public -n zzzz -v
snmpv3 login ./check_snmp_int.pl -H 127.0.0.1 -l login -w passwd
Check eth0 interface is up ./check_snmp_int.pl -H 127.0.0.1 -C public -n eth0 -r
Check that all eth interface are up ./check_snmp_int.pl -H 127.0.0.1 -C public -n eth
Check that all ppp interface are down ./check_snmp_int.pl -H 127.0.0.1 -C public -n ppp -i
Check that all eth interface are administratively up ./check_snmp_int.pl -H 127.0.0.1 -C public -n eth -a
Check that FastEternet0/11 to 0/14 are up (Cisco) ./check_snmp_int.pl -H 127.0.0.1 -C public -n “Fast.*0.1[1234]”
Check the eth0 usage
Note : no critical inbound (0)
./check_snmp_int.pl -H 127.0.0.1 -C public -n eth0 -k -w 200,400 -c 0,600

Après rien de plus simple pour avoir l’état rapidement des ses interfaces réseaux de son switch par exemple un HP Procurve 2524 pour ma part

./check_snmp_int -H Mon_Switch -C public -n 15 -r

Me sert à récupérer l’état de l’interface 15 de mon switch.

Le tout intégré dans NConf et le tour est joué.

Je vous souhaite une bonne fin de dimanche soir et à très vite.