On interesting stuff
My Network
Korte status-update
May 17th
Te druk bezig om echt uitgebreid te beschrijven maar ben de afgelopen tijd erg druk geweest met mijn interne netwerk;
- Nagios heeft inmiddels custom dashboards dmv NagVis (bekijk ze live @ marno.org/nagvis/. Inloggen met guest/guest)
- Nagios kan inmiddels performance-data bijhouden en in grafieken weergeven dmv pnp4nagios en mk_livestatus
- Nagios kan inmiddels Windows-servers monitoren dmv check_mk en NSClient++
- Ik heb eindelijk de laatste server gekocht die ik nog nodig had om mijn volledige netwerk te migreren naar Proxmox (C2D E6600/4GB RAM)
- Door de volledige overgang naar proxmox worden de mogelijkheden qua beheer en veiligheid sterk verbeterd – nu 3 Proxmox servers online!
- De rollen van de twee huidige fysieke servers (fileserver en backup) zullen worden overgenomen door virtuele servers op de nieuwe Proxmox server (stroom besparing!)
- Zabbix kan inmiddels via SNMP de Cisco en Netscreen firewall’s in de gaten houden, ik wil dit eigenlijk nog rechtstreeks in Nagios implementeren (Zabbix blijft vermoedelijk bij een test) maar dat schiet nog niet echt op.
Kan nu eindelijk op normale snelheid ook Microsoft Server 2008 e.d. virtualiseren dus dat biedt leuke mogelijkheden voor een test-omgeving! Tot zover deze update, ik ga weer verder met virtuele servertjes installeren 
Laatste interne RANCID issue eindelijk opgelost! :-)
May 11th
Heb zojuist mijn laatste RANCID issue opgelost door een kleine config-aanpassing op 1 van mijn Netscreen 5GT’s door te voeren. De config’s werden nog steeds ‘gek’ geupdate; bij het wijzigen van 1 regel sprongen er een aantal andere in de config mee en vielen er een paar weg. Was dat nu toch eens beu en via SSH zelf op beide routers ingelogged; bleek dat de router met dit vreemde gedrag ‘— more —’ liet zien en je op een toets moest drukken om door de config heen te browsen, op de werkende Netscreen wordt direct de hele config gedumpt.
Configs van beide routers naast elkaar gelegd en blijkt het commando ‘set console page 0′ te zijn, na dit op de problematische Netscreen te hebben doorgevoerd werkt alles naar behoren! Ook op m’n werk kwamen we dit issue af en toe tegen, kunnen we dus nu voorkomen ! Enige resterende RANCID-issue is nu een Cisco-router die ook bij het ‘user-prompt’ een ‘#’ laat zien, RANCID wil dan niet ‘nogmaals’ enablen en kan de config dus niet uitlezen. Wellicht kan ik daar met deze forum post als naslagwerk nog wat aan doen, ze gaan daar in op het editten van de RANCID source om eea qua inloggen aan te passen, binnekort eens @ work proberen.
Interne Win7 DNS-issues eindelijk opgelost!
May 7th
Sinds ik gebruik maak van Windows 7 heb ik af en toe problemen gehad met het resolven van interne hostnames zonder domain-suffix. Ik heb in mijn workstation 2 netwerkkaarten zitten waarvan er 1 is geconfigureerd zonder DNS en de andere mijn interne DNS-server gebruikt. Beide netwerk-kaarten hebben de goede DNS-suffix ingesteld. Zo’n 70% van de tijd werkt het vlekkeloos, maar als het niet werkte was een ‘ipconfig /flushdns’ niet voldoende om het op te lossen. Alleen het in en uitschakelen van de netwerkkaarten loste het probleem *ALTIJD* op…
Van de week was ik dat gekloot met DNS toch echt zat en besloot ik met Wireshark eens te kijken wat Windows 7 nou van mijn lookups maakte. Na enkele seconde sniffen was het al duidelijk;
WOT? NetBios in Windows 7??
Na wat geGoogle kwam ik er achter dat ZELFS in Windows 7 NetBios nog steeds standaard is ingeschakeld! Gelukkig is dit eenvoudig uit te schakelen, al moet dit wel per interface;
Win7 - Uitschakelen NetBios
Het resultaat is dat mijn lookups nu alleen nog DNS aanspreken, en geen NetBios troep proberen;
Opgelost, alleen nog een DNS-lookup zoals het hoort!
Sindsdien is het probleem niet meer voorgekomen 
! Vandaag had ik het er met een collega over en hij kwam met het commando ‘nbtstat’ om de NetBios cache te managen. Dat is natuurlijk ook de reden waarom een ‘ipconfig /flushdns’ het niet oploste maar een volledige herstart van de interface wel; dan worden ook de non-DNS caches verwijderd! Enkele nuttige opties voor 
nbtstat zijn -c (om de cache te bekijken) en ‘-R’ en ‘-RR’ om de cache volledig te flushen (zelfde als ipconfig /flushdns maar dan voor NetBios cache dus).
Blijft natuurlijk de vraag waarom het soms wel werkte, en soms opeens niet? Op mijn Linux servers heb ik nog nooit problemen gehad met DNS dus ik vermoed dat dit een brakke Microsoft-implementatie is, verder niet echt de moeite waard om uit te zoeken dus.
Zabbix installatie handleiding voor Ubuntu Server 9.04
May 5th
Ben inmiddels overtuigd; Zabbix heeft een aantal erg krachtige features die Nagios ontbreekt. De Live-CD gaf me een goede indruk van wat ik kon verwachten, vervolgens direct maar even een test-servertje uitgerold op mijn Proxmox-server en voor de grap eens geprobeerd middels ‘apt-get’ zabbix te installeren en dat werkte nog ook!
Heb inmiddels de eerste simpele monitoring op basis van SNMPv1 ingeregeld voor een Cisco PIX 501:
Helaas blijkt dit een verouderde versie (1.6.1 tov 1.8.2) dus kan net als bij Nagios vanaf source gaan installeren. Mijn serverpark draait vooral op Ubuntu 8.04/9.04 en daar heb ik precies een matchende handleiding voor gevonden;
via How to setup Zabbix monitoring application in Ubuntu 9.04 (Jaunty) Server | Ubuntu Geek.
Binnekort maar eens wat dieper op in duiken, ziet er erg goed uit tot nu toe!
De zoektocht naar perfecte monitoring
May 4th
De stabiliteit van mijn netwerk en servers wordt al geruime tijd in de gaten gehouden door Nagios, een bijzonder stabiel, flexibel en efficient monitoring systeem. Ondanks deze pluspunten beginnen enkele beperkingen inmiddels toch te irriteren, met name het gemis van grafieken vind ik erg jammer.
Om dit probleem op te lossen zijn er meerdere graphing-addons voor Nagios ontwikkeld, waarvan ik er een aantal heb bekeken. Onder andere NagiosGrapher, NagVis en Nagios2Cacti vond ik er niet bijzonder veelbelovend uit zien; qua user-interface niet mooi geintegreerd en ik krijg de indruk dat het een beetje instabiel aan elkaar geknoopt is (maar dat kan aan mij liggen).
Uiteindelijk kwam ik de volgende review van enkele monitoring-oplossingen tegen en ik moet zeggen dat ik me erg in zijn visie kan vinden;
Tired of Nagios and Cacti? Try Zabbix. | workaround.org.
Ik had nog niet eerder van Zabbix gehoord maar ook de website ziet er goed uit. Na het lezen van de lijst met features wordt ik eigenlijk steeds positiever, het ziet er uit als een modernere variant van Nagios. Ook is het volledig Open-Source zijn er geen irritante license-beperkingen.
De Zabbix Live-CD is inmiddels klaar met downloaden dus ik ga ‘em maar es proberen, ben benieuwd!
PC upgrade!
Mar 14th
Na een lange tijd zoeken en reviews lezen denk ik dat ik voor de volgende configuratie ga, suggesties zijn welkom ! Ik neem een HD4850 1GB, case, power supply en 4TB WD Green schijven mee van mijn huidige systeem. De overgebleven hardware (Core2Duo E8500/4GB DDR2/moederbord) wil ik gaan gebruiken als basis voor een nieuw proxmox systeem. Door middel van virtualisatie zou ik daarmee de huidige backupserver en fileserver kunnen vervangen door 1 machine.
Mijn volgende PC
De Core i5 is in mijn ogen op dit moment absoluut de beste keuze. Als je bijvoorbeeld op Toms Hardware CPU Charts of techspot.com’s review kijkt zie je dat de i5 750 goed mee kan komen met de i7 920. De i7 920 is echter een stuk duurder, op dit moment nog niet echt het investeren waard. Het moederbord ondersteunt alle nieuwe standaarden zoals USB3.0 en SATA3.0 en zou dus een tijdje mee moeten kunnen. Het gebrek aan triple-channel op de i5 is in mijn ogen geen probleem, de toepassingen die ik gebruik hebben weinig baat bij meer memory-bandwidth.
Ook kwam ik er achter de de i5 6xx serie eigenlijk dual-cores zijn met Hyper-Threading. De i5 7xx zijn echte quad-cores zonder HT, een stuk sneller dus ! De i7 920 is een echte quad-core met HT wat dus in je taskmanager 8 cores oplevert. Ook goed om te weten voor je een CPU koopt !
Hackthissite.org en mijn eigen ‘Scramble’-encryptie
Mar 1st
Tijdens onderhoud aan mijn website kwam ik een link tegen naar mijn eigen oude encryptie-methode genaamd ‘Scramble’. Deze ik heb gemaakt naar aanleiding van hackthissite.org, wat overigens een erg leuke site is als je op een simpele manier eens wat verschillende hack-technieken wil proberen. Het niveau is wellicht niet al te hoog (heb het al jaren niet meer bekeken eerlijk gezegt dus weet niet hoe het er nu voor staat) maar sowieso leuk om eens te proberen!
Ik was dus bezig met een test van hackthissite.org en wilde proberen of ik de door hun gebruikte encryptie automatisch kon decrypten. Ik heb toen gekeken hoe ik dit veiliger kon maken en daar is uiteindelijk een eigen encryptie/decryptie-techniek uit gekomen. Van alle pagina’s is de broncode beschikbaar door ‘.php’ te vervangen door ‘.phps’; http://marno.org/basic-encryption/encrypt/encrypt.phps bijvoorbeeld. Needless to say; deze encryptie is NIET echt veilig!
Basic Encryption Method - Scramble
Nieuw netwerk; het nieuwe backup-plan
Mar 1st
Door het toepassen van virtualisatie en rollenscheiding heb ik nu de verschillende services geissoleerd draaien, het backuppen moest hierdoor volledig anders worden ingericht. Ik heb uiteindelijk gekozen voor de volgende opzet;
- rsnapshot voor de configuraties en belangrijke directories per server – ik bewaar 6 hourly’s, 7 daily’s, 4 weekly’s en 12 monthly’s backups. Door de efficiente opzet van rsnapshot kost me dit slechts de ruimte van 1 backup plus mijn wijzigingen sindsdien, en dat valt best mee. Ook in sync-snelheid is dit natuurlijk ENORM handig; 1 daily is bij mij 2.5Gb, de volgende daily zal echter alleen de wijzigingen opslaan, de rest wordt middels een ‘hard-link’ ook in de huidige snapshot geplaatst waardoor ten alle tijde een volledig overzicht van de data op dat moment beschikbaar is. Je hoeft dus niet op zoek naar die ene incremental waar je file in zit, die zit in alle backups (maar neemt slechts 1 keer ruimte in). Middels rsync kan de data met behoud van hardlinks worden gesynchroniseerd waardoor de data ook echt maar 1 keer over de lijn gaat. Op deze manier synchroniseer ik 32Gb aan data binnen 10 minuten over een 50KB/s capped lijn, best relax!
- rsync – onmisbare tool om te backuppen – synced folders over het netwerk (eventueel over een SSH tunnel voor encryptie) en verstuurd alleen de gewijzigde delen van het bestand waardoor de tijd die het kost enorm afneemt. Ik gebruik rsync voor de backups van mijn vaders bedrijf en om mijn eigen OpenVZ-images en rsnapshot-backups te syncen naar Eindhoven.
- Proxmox Backups – Proxmox kan, enkel geconfigureerd vanuit de web-ui, de virtuele machines gescheduled ‘live’ backuppen middels een snapshot van het LVM-volume, hierdoor worden alle vormen van locks en dergelijke omzeild en kan de volledige machine worden gebackupped. De images transfer ik vervolgens met rsync naar Eindhoven, mocht de boel in Ede ooit crashen dan kan ik in minder dan een uur tijd alle machines restoren op een verse Proxmox-machine, is voorlopig goed genoeg
Ik ben nog bezig met het implementeren van MBR-backups en een efficientere sync van de Proxmox-backups; op dit moment transfer ik die nog steeds volledig bij iedere sync en dat is bijzonder inefficient en tijdrovend. Het lijkt nog even te duren voor we hier in Eindhoven op 100Mbit zitten dus ik ga de rsync man-page er nog maar eens op nalezen…
Binnen Nagios is het bijzonder gemakkelijk om zelf scripts te schrijven om allerhande zaken op je systeem te laten controleren, zo krijg ik bijvoorbeeld automatisch bericht als de backupsynchronisatie om wat voor reden dan ook langer dan 24 uur niet lukt. Hier onder een screenshot uit de backup-monitoring;
Nagios Monitoring - Backups
2e Proxmox server online!
Feb 25th
Vandaag (inmiddels alweer gister) heb ik een 2e Proxmox-server online gebracht, deze staat bij een goede vriend van me. Voor mij is het doel vooral om een externe locatie te hebben buiten mijn eigen netwerk als testlocatie, vanaf je eigen netwerk kun je niet alles testen. Voor hem is het voordeel dat hij er een eigen website en fileserver op kan draaien en dat z’n bestanden worden meegenomen in de backup. Hieronder een screenshot uit de monitoring, zoals je ziet draaien er nog maar 6 virtuele servers;
2e Proxmox server online!
Korte update
Feb 16th
Laatste tijd vrij druk geweest met werk/carnaval/school dus weinig tijd gehad om te bloggen, tussendoor stiekem toch nog best veel gedaan. De vorige planning, bijgewerkt;
- Opschonen RAID1 volume (minimaal 200GB beschikbaar) – 80% done
- Monitoring verder fine-tunen, false positives er uit filteren etc - done!
- Secondary DNS server opzetten in Eindhoven - done!
- Router ehv-rt-02 in ‘route’ mode zetten ipv ‘nat’ en 192.168.2.0 routeerbaar maken over VPN - done!
- Router ehv-rt-03 renamen naar ehv-vpn-01 en achter de ehv-rt-02 plaatsen – done!
- RAID1 volume met rsnapshot syncen naar Eindhoven voor volledig redundante backups
- VPN via ehv-rt-01 fixen via ehv-rt-02 in route mode
- ASA ergens in netwerk inbouwen
Binnekort de ASA als client-VPN en WebSSL VPN zodat punt 7 en 8 ook van de lijst af kunnen. Voor punt 6 moet ik eerst een keer op en neer rijden naar Ede, alles syncen over zo’n beperkte internet-verbinding duurt langer dan een jaar (en ja dat is nagerekend ).