martes, 25 de agosto de 2015

Pfsense 2.2.x: ntpdate no server suitable for synchronization found

Hola, aqui de nuevo, estos dias pasados note que unos reportes que tengo en cron en uno de mis servidores Centos 5.11 x64 estaban llegando minutos adelantados.

Tengo un simple batch que actualiza el tiempo de los servidores tomando a pfsense como fuente de tiempo, pero note que tengo correos donde dice que:

ntpdate no server suitable for synchronization found

Entonces me puse a ver el problema y confirmar que cada que corre ese script a las 11:59PM sale ese error, mis clientes windows ya sea XP y 7 no tienen problemas, ubuntu 12/14 igual sin detalles, solo los centos 5/6.

ntpdate 192.168.4.1 25 Aug 10:15:35 ntpdate[6377]: no server suitable for synchronization found

Ese es el mensaje latoso, dije bueno vamos a ver que dice en modo debug:

ntpdate -d 192.168.4.1
25 Aug 10:17:01 ntpdate[6385]: ntpdate 4.2.2p1@1.1570-o Sun Aug 28 19:21:07 UTC 2011 (1)
Looking for host 192.168.4.1 and service ntp
host found : firewall.XXXXXX.local
transmit(192.168.4.1)
transmit(192.168.4.1)
transmit(192.168.4.1)
transmit(192.168.4.1)
transmit(192.168.4.1)
192.168.4.1: Server dropped: no data
server 192.168.4.1, port 123
stratum 0, precision 0, leap 00, trust 000
refid [192.168.4.1], delay 0.00000, dispersion 64.00000
transmitted 4, in filter 4
reference time:    00000000.00000000  Wed, Feb  6 2036 22:28:16.000
originate timestamp: 00000000.00000000  Wed, Feb  6 2036 22:28:16.000
transmit timestamp:  d9872190.db112fd3  Tue, Aug 25 2015 10:17:04.855
filter delay:  0.00000  0.00000  0.00000  0.00000
         0.00000  0.00000  0.00000  0.00000
filter offset: 0.000000 0.000000 0.000000 0.000000
         0.000000 0.000000 0.000000 0.000000
delay 0.00000, dispersion 64.00000
offset 0.000000

25 Aug 10:17:05 ntpdate[6385]: no server suitable for synchronization found

Este servidor dice que la fuente es un stratum 0, otro me dice que 16. Segun leyendo un poco, por lo regular ningun cliente se sincronizara con este tipo de stratum por ser o muy bajo o muy alto, el 16 significa que el servidor de tiempo no esta sincronizado.

Pero me llamo la atencion por que revise mi pfsense y consulte su condicion, para ello entre  a ver el estatus de mi servicio y me doy cuenta que esta en buena condicion y buen 'stratum' ver imagen siguiente:

Estatus del NTP de pfsense.

Como se podra ver nada que ver lo dice Centos de stratum 0 o 16 es 2.

Entonces que podria estar causando este discrepancia con los centos?

Bien pues al parecer tiene que ver con la opcion que viene de fabrica habilitada el ntp, el llamado beso de la muerte, ver siguiente imagen:

Kiss of death default.

Entonces me comenta mi amigo del foro, 'wbon' que cuando el deshabilito esa opcion sus centos empezaron de nuevo a sincronizarse, lo hice y boom todo empezo de nuevo a trabajar, mis centos de nuevo con el tiempo correcto, saludos.







lunes, 24 de agosto de 2015

Centos 5: httpd dead but subsys locked les ha pasado?

Hola amigas/amigos, hace tiempo que no toco mi blog, a veces el tiempo no deja pero vamos viendo que podemos agregar para que no se nos olvide.

Apache es un de esos servicios que rara vez uno tiene que reiniciarlo o revisar algunos logs por que los programadores se quejan de su funcionalidad.

Pero ahi veces que de plano no reiniciar y salen un mensaje como este en la consola:

service httpd status
httpd dead but subsys locked

Ok, no esta tronado, esta bien tronado jajajajaja...

Pero bueno despues de leer algunos post al respecto, me encontre uno que me daba un comando mas feo que los codos pero que reparo el problema, no me gusta robar las soluciones, repito lo encontre en un foro y no recuerdo el link, pero funciona.

Muchos foros decian que hiciera unos 3 pasos, borrara aqui, haya etc, ninguno funciona.

Pero este siguiente espaguetti si:

 ipcs -s | grep apache | perl -e 'while(){@a=split(/\s+/);print `ipcrm sem $a[1]`}'ipcs -s | grep apache | perl -e 'while(){@a=split(/\s+/);print `ipcrm sem $a[1]`}'

Una vez ejecutado este comando logre reiniciar el servicio.

Centos 5.11, saludos.

lunes, 22 de septiembre de 2014

Centos 6 KVM Instalando Windows 2008 R2 x64 Guest.

Ya Centos trae KVM como su paquete para crear VM's, asi que tenemos que movernos a esta tecnologia, ya usamos Xen, excelente paquete, ahora le toca  a KVM.

Este vez estamos trabajando con Centos 6.5 x64 en un servidor SuperMicro.

Vamos revisando nuestro LVM creado para este maquina virtual, solo para esta ocasion he creado una particion de 30G para este ejemplo, esta es la info:

lvdisplay  VG_BAK
  --- Logical volume ---
  LV Path                /dev/VG_BAK/VmWin8Test
  LV Name                VmWin8Test
  VG Name                VG_BAK
  LV UUID                kEQfdL-FmLQ-wvMJ-efQh-1pZ9-avJR-myJwbM
  LV Write Access        read/write
  LV Creation host, time kvm1.host.local, 2014-09-16 13:14:23 -0700
  LV Status              available
  # open                 0
  LV Size                30.00 GiB
  Current LE             7680
  Segments               1
  Allocation             inherit
  Read ahead sectors     auto
  - currently set to     256
  Block device           253:7

Solo vamos asignarle el core 1 para esta vm, la imagen de Windows8 esta en /var.

Tenemos todo para llevar a cabo esto, vamos a prender VNC para que KVM nos ayude en la instalacion remotamente.

Estos son los parametros que vamos a usar:

virt-install --name=vm_win2k8T --ram=1024 --vcpus=1 --cpuset=1 --description 'Windows 2008 Standard x64 Test' --cdrom=/var/Win2k8_olicense.iso --os-type=windows --os-variant=win2k8 --disk path=/dev/VG_BAK/VmWin8Test --network bridge=br0 --graphics vnc,listen=0.0.0.0,port=5900,password=mipassword --hvm --check-cpu

Nos conectamos x vnc y terminamos la instalacion.

Vamos observando los pantallazos:




Ya una vez terminado todo, iniciamos el sistema y revisamos que todo este en orden.


Listo, servidor arriba y operando, saludos.


martes, 25 de febrero de 2014

Pfsense 2.x Habilitando y Accesando Squid3 cachemgr en GUI

Hola, por ahi anda un post hacerca de squid2 y como habilitar su cachemgr para ver informacion bien a fondo de la operacion de squid, ese era para la rama 2, ahora bien como hacer lo mismo para squid3?

Version de Prueba:
Pfsense 2.2.4
Squid Cache: Version 3.4.10
IP de Pfsense en mi red: 192.168.1.1

Hay un post en el foro en Ingles:

https://forum.pfsense.org/index.php?topic=67607.0

Lo intente, pero no me funciono, revise mi post anterior e hice unas modificaciones,

cd /usr/local/www/

ln -s /usr/pbi/squid-i386/local/libexec/squid/cachemgr.cgi
ln -s /usr/pbi/squid-i386/etc/squid/cachemgr.conf

NOTA: Recordar que la arquitectura indica la ruta en mi caso es un x32 la x64 cambia esa parte solamente, revisen su caso.

Editar el archivo:

/usr/pbi/squid-i386/etc/squid/cachemgr.conf

Quedaria como lo indica la siguiente imagen:

Figura 1 Archivo cachemgr.conf editado.
Editar squid.conf, busca esta linea:

acl localhost src 127.0.0.1/32 pasa a ==> 192.168.1.1/32

Salvan.

Vamos a dejar un parametro por default, si desean hacerlo solo cuando lo necesiten lo modifican directamente en squid.conf y reconfigure, pero si desean que se quede de fabrica asi cuando reinicien se mantega siempre esta configuracion.

Antes de editar el siguiente archivo le sacan una copia, se van a /usr/local/pkg/

Uno de los archivos es squid.xml, pero antes de sacarle una copia.

Editan el archivo squid.xml, deben agregar lo indicado en la siguiente figura, esta parte no existe es el archivo que da forma a el contenido que ustedes ven en el GUI para squid, estan hackeando el sistema ;-), 

Figura 2 Archivo squid.xml editado.
Si ven la imagen anterior ahi viene lo que tenemos que agregar, asi debe quedar solo recordar cambiar el IP por que tiene su caja pfsense como LAN.


El 2do archivo es squid.inc, vean en la figura 3 como debe quedar y la nota que les puse:

Figura 3.

De ahi en ese mismo archivo buscan algo similar a la siguiente imagen:

Figura 4.
En ambos casos esos parametros no existen, deben agregarlos.

Este archivo es uno de los que usa pfsense para crear el famoso squid.conf, asi cualquier cambio aqui quedara impreso en ese archivo cuando reiniciemos, asi que cuidado con lo que le hacen.

De ahi nos vamos a la configuracion de squid en el GUI, a este menu: Squid Proxy Server->Local Cache.

Buscamos la seccion que indica la figura 5 y agregamos en el campo 'External Cache Managers' la IP de nuestro pfsense, ver siguiente imagen.

Figura 5.
Ya hecho todo esto, es cosa de reiniciar el servicio atraves del GUI, esto se hace dandole a el boton 'Save' en la parte baja del GUI.

Ahora, cuando vayan a la seccion de squid, van a ver una pestana nueva, ver figura 6.

Figura 6.
Le dan un click y van a ver algo similar a lo siguiente, ver figura 7.

Figura 7.
Empicen a revisar cada seccion, no todas estan disponibles pero muchas son de vital informacion hacerca del desempeno de squid.

Espero esto les sirva de algo en su camino por este gran sistema, saludos.

Necesitan ayuda, claro via $$$ pheriko arroba gmail punto com.

lunes, 24 de febrero de 2014

Pfsense 2.x y Discos Duros Grandes Problemas al arrancar.

Ahi veces que Pfsense le batalla identificar el disco duro o bien se instala pero al arrancar se queda colgado.

Les voy a platicar un poco de lo que me sucede a mi, tengo un servidor algo viejo, P4 Duo Core tipo servidor, no es un equipo tipo desktop, tiene etiqueta de Servidor.

Este equipo tiene muchas opciones en el BIOS, muy buena maquina, pero mi gran pelea me la dio, la cosa era que yo tengo un disco duro SATA 320GB SATAII,  tuve que jugarle en el BIOS hasta que pfsense 2.1 lograra detectar el disco.

Esta fue mi 1er gran pelea.

De ahi viene la parte rara, se hacia la instalacion, le decia que agarrar todo el disco y todo bien, se instalaba, pero cuando iniciaba el arranque me ponia el menu, F1 para arancar.

Cuando yo apretaba F1, se ponia el iconito que empieza a dar vueltas cuando arranca, pero se congelaba, ahi quedaba.

Por alguna razon, el problema radicaba en el tamano del disco, algo me decia que por ahi iba encaminado el problema.

Ahora analizando un poco, vamos entendiendo un firewall, es un sistema para protegernos del mundo exterior, claro que con pfsense tenemos muchos programas que nos ayudan a proteger aun mas nuestras redes.

En mi caso la idea es implementar un web-proxy con squid3. Vamos viendo un poco el panorama de squid.

Squid es un web-proxy con opcion de ser u reverse proxy(Ingles), yo quiero que mis clientes crucen hacia Internet atraves de el, asi puedo yo implementar politicas de accesos(ACL) y controlar por medio de grupos, quien puede y quien no puede ir a ciertas paginas, quien tiene acceso ilimitado, etc.

Un mundo de cosas que nos permite squid, pero es necesario darle un disco de 320GB???

La respuesta es NO, si leen un poco como opera squid, en una empresa de por ejemplo 100 estaciones, un cache de 8 o 16GB es mas que suficiente, si mas tambien no es problema, siempre y cuando no se este guardando paginas dinamicas, si es el caso si requieren mas espacio para cache.

Aqui en mi situacion, lo que requiero es mucha memoria, minimo 1-2GB para sacarle provecho, entonces yo particionar mi disco de 320GB para Pfsense es una perdida de espacio, por que squid no lo va a usar, ahi que entender un poco sus algoritmos, no los va a  usar.

Entonces lo que hice fue, 1 Particion de 20GB la cual quedo asi:
Aprox. 19.5GB /
512M SWAP

Otro aspecto lo cual les decia que para squid memoria es la que si necesita, 512MB swap por que solo sigo las reglas de dejar cierta proporcion para swap, pero yo en lo personal cuando uno de mis servidores o firewalls usa la swap es momento de revisar y ver como optimizar las aplicaciones o bien, si no hay mas es incrementar la memoria, nunca depender de la SWAP.

Mi equipo tiene 4GB, 1.5-2GB--> squid, y ciertos parametros extras en la config para meter mas objetos grandes en ella y el resto a disco duro.

Ya hecho esto, indicandole a Pfsense estos cambios, logre que mi firewall preferido arrancara sin problema alguno, a lo mejor mas adelante necesite mas espacio, pero segun mi experiencia, pasaran mas de 24 meses para que esto pase o lo mejor mas.

Se los dejo esto como nota, saludos.

lunes, 27 de enero de 2014

FreeBSD 10: MAKE_JOBS_UNSAFE=yes

Ando probando FreeBSD 10 x64, el plan es actualizar mi Spam Gateway, primero que nada todos nuestras aplicaciones deben compilarse, un spam filter lleva muchos programitas para funcionar, con el simple hecho de irse a amavisd-new, darle make config, nos muestra una infinidad de opciones.

Hay una que nos detuvo la tarea:

Freeze.

Nos marca un error asi:

freeze-2.5.tar.gz                             100% of   35 kB   49 kBps 00m01s
===> Fetching all distfiles required by freeze-2.5_2 for building
===>  Extracting for freeze-2.5_2
=> SHA256 Checksum OK for freeze-2.5.tar.gz.
===>  Patching for freeze-2.5_2
===>  Applying FreeBSD patches for freeze-2.5_2
===>  Configuring for freeze-2.5_2
===>   FreeBSD 10 autotools fix applied to /usr/ports/archivers/freeze/work/freeze-2.5/configure
checking how to run the C preprocessor
checking for unaligned access
checking integer size
checking for 64K segments
checking for long file names
checking for directory library header
checking for dirent.h
checking for closedir return value
checking for sys/stdtypes.h
checking for rindex
checking for setlinebuf
checking for freeze to derive installation directory prefix
creating config.status
creating Makefile
creating config.h
===>  Building for freeze-2.5_2
make[3]: make[3]: don't know how to make CFLAGS. Stop

make[3]: stopped in /usr/ports/archivers/freeze/work/freeze-2.5
===> Compilation failed unexpectedly.
Try to set MAKE_JOBS_UNSAFE=yes and rebuild before reporting the failure to
the maintainer.
*** Error code 1

Stop.
make[2]: stopped in /usr/ports/archivers/freeze
*** Error code 1

Stop.
make[1]: stopped in /usr/ports/security/amavisd-new
*** Error code 1

Stop.
make: stopped in /usr/ports/security/amavisd-new
root@fbsd10:/usr/ports/security/amavisd-new #

Ya hemos leido al respecto, pero no hemos dado como solucionarlo, estamos ya en los foros viendo como arreglar este problema que varios programas segun google estan mostrando, esperemos pornto dar con el problema, saludos.

2014-01-28

No he hecho nada de hack, solo le actualice los ports y segui instalando paquetes para ver si alguno tronaba, ya que mi plan es migrar mi spam filter a esta versio, por obra del espiritu santo ya se logra instalar esa aplicacion.

Saludos.

miércoles, 30 de octubre de 2013

Pfsense 2.x: squid3 no cache nada.

Hola, les voy a platicar algo que me ha tocado vivir y a lo mejor ustedes tambien han pasado por esto.

Estoy trabajando con pfsense 2.1 con squid3, lo instale configure y todo el asunto, pero al paso del poco tiempo me di cuenta que no estaba mi cache trabajando.

Me fui a revisar el folder donde pfsense almacena esos folders creados:

/var/squid/cache

Estaban todos mis folders creados, opcion de fabrica: 16 directorios.

Permisos bien, pero no estaba almacenando nada en el cache, como se?

Bien, cuando busque la palabra HIT en mi log:

grep HIT /var/squid/logs/access.log

Solo salio 1 solo registro y ya tenia rato trabajando en el equipo, reinicie el sistema para ver esto de alguna manera squid checa su cache antes de arrancar.

El problema continuaba, entonces otros usuarios pasaban por lo mismo, lo que hice en mi caso es que si sabran squid puede uno borrar el cache y volver a crearlo esto es algo normal, pero uno esta acostumbrado a que todo funciona a la 1ra.

Desgraciadamente a veces esto no sucede, entonces lo que hice fue esto, 1ro que nada mi batch tenia que hacer lo siguiente:

#!/bin/sh

#1; Irnos a el folder donde esta el cache

cd /var/squid/cache
#2; Borrar cache:

rm -rf ./*
#3; crear cache de nuevo.

squid -z
#fin de batch.

Lo salvo con el nombre de crear-cache.sh


Poner el batch en modo de ejecucion:

chmod +x crear-cache.sh

Ahora si, ya con mi batch listo hice esto:

1; Parar el servicio por el GUI.
2; Revisar que ya no este ninguna instancia de squid en ejecucion:

ps -ax | grep squid

3; Ejecutar mi batch
sh  crear-cache.sh

4; Revisar que se hayan creado todos mis 16 directorios.

Con todo esto hecho, era cosa de iniciar el servicio atraves de la GUI.

Servicio arriba, ejecutar el ccleaner para borrar todos los caches de los navegadores ya que ellos tambien guardan de paginas visitadas.

Empece a navegar y despues de un rato usando los 3 navegadores: firefox, iexplore, chrome entrando  a las mismas paginas, esto forza a usar el cache, empece a ver los:

TCP_MEM_HIT

Ya estoy usando mi cache, iba a tardar un poco en ver el registro:

TCP_HIT

Por que recuerden que 1ro se usa la memoria y despues el disco.

LLeve a cabo otra instalacion para ver si habia un problema con la instalacion que lleva a cabo pfsense, pero en el otro equipo no hubo ningun problema. se instalo, configure el cache y empezo a funcionar sin hacer todo lo anterior, entonces puedo decir que fue algo mas especifico con la maquina.

Bien, aqui les dejo esto, saludos.