miércoles, 21 de diciembre de 2016

Configurando Anyconnect Vpn client con Certificados SSL y Ldap con ASDM

Dejo la parte que se me va a olvidar ya escrita.

Muy importante activar la validacion de los certificados, para comprobar si están revocados.
Para configurar esto, nos vamos a la pestaña de "configuración/site-to-site-vpn/certificate Management/Ca Certificates" aqui en la primera pestaña seleccionamos "Check certificates for revocation" y añadimos el metodo CRL. El check que hay abajo lo quitamos tambien, ya que si esta seleccionado en caso de que no pueda comprobar que el certificado no sea valido le dejara autenticarse igualmente.



En la pestaña de "CRL Retrieval Method" la parte de LDAP tenemos que rellenarla con todos los datos del dominio.



En la pestaña de Advanced modificamos que el refresco de la cache sea a 5 o 10 minutos para que en caso de revocar algún certificado se actualice lo antes posible. 


Ojo, también hay que modificarlo en la entidad certificadora del active directory:



Modificamos el intervalo de publicación y lo dejamos en 1 hora que es el mínimo que nos permite.

Con esto ya tendríamos validados los certificados.

jueves, 4 de febrero de 2016

Coloreando VIM

He encontrado una web donde hay esquemas de colores para vim y puedes personalizarte el tuyo,
http://bytefluent.com/vivify/ Si te gusta alguno de los que hay, solo tienes que descargarlo y sino ahi mismo te permite personalizartelo y luego descargarlo, lo cual es muy interesante.

Una vez tenemos el fichero solo tenemos que copiarlo a (en el caso de que sea una centos) /usr/share/vim/vim72/colors/

Luego editamos el vimrc y añadimos al final estas 2 lineas:

set background=dark
colorscheme murphy2

Donde murphy2 es el nombre del fichero que os hayais descargado sin la extension.

Con esto ya tenemos el vim coloreado mas molon :-)

Espero que le sirva de utilidad a alguien.

viernes, 27 de noviembre de 2015

Recuperar password Unifi Controller

Hoy no pude acceder al controller unifi de un cliente, me daba password erroeno, despues de maldecir a unifi y a toda la gama de productos me puse a indagar como podria resolver el problema.

Los unifi guardan toda la informacion en una base de datos MongoDB, asi que me puse a jugar con ella a ver que pasaba.

Primero que nada tenemos que descargarnos de mongodb el zip con la base de datos, ya que ahi esta el cliente para poder interactuar con ella, es muy importante que nos bajemos el .zip y no el .msi ya que en caso contrario se nos instalara el mongodb en nuestro servidor.

Todo esto sirve tanto para linux como para Windows, en mi caso fue en un windows, dejo aqui el enlace para descargar el mongodb https://www.mongodb.org/downloads#production , ojo hay que seleccionar la version Windows 64-bits 2008 R2 + Legacy por que en el otro paquete no aparece la descarga en zip.

Una vez tenemos en el servidor descargado y descomprimida la carpeta, accedemos desde el CMD a la subcarpeta bin del directorio y ejecutamos "mongo --port 27117" para acceder a la base de datos, ahora escribimos "use ace" para cambiar a la base de datos de unifi y una vez aqui dentro tecleamos "
db.admin.find()" y nos dara la contraseña de administrador, mira que bien que la guarda en claro :-)



Eso es todo por hoy, espero no volver a tardar un año en escribir algo mas interesante que tengo muchas cosas pendientes por subir.




martes, 13 de octubre de 2015

Utilidades basicas

Voy a poner aqui como recordatorio unas utilidades, espero que le sirva a alguien mas :-)
Cuando tenga un rato pondre todas las personalizaciones.


Para redimensionar facilmente ventanas en windows o mac, muy util para cuando tienes muchos ssh abiertos
http://mizage.com/windivvy/

Para darle algunas funcionalidades de Bash al cmd, muy util tambien
http://cmder.net/

Bginfo, este nos sirve para que nos ponga en el wallpaper toda la info de equipo, muy util para servidores remotos
https://technet.microsoft.com/en-us/library/bb897557.aspx

Historial de control c, muy util tambien a la par que peligroso :-)
http://bluemars.org/clipx/

jueves, 15 de enero de 2015

Vmware VSwitch Tagging

Esto es una entradita rápida.
Tenia la necesidad por razones del guion de meter VLANs directamente en un Linux dentro de un ESXI pero no había manera de salir, era como si el Vswitch quitara los TAG de la vlan que yo le estaba poniendo dentro de los Linux.

Investigando un poco encontré en un foro la explicación de los modos del Vsitch del Vmware, os dejo el trozo pegado, si un dia de estos tengo tiempo lo traduzco y pongo algunos pantallazos, espero que a alguien le sea útil :-)


Hi,
there are three different options for configuring VLAN handling/tagging on a vSwitch:
 
1. VST mode: is used when you assign a single VLAN ID between 1 and 4094 to the portgroup.
In this mode the vSwitch will indeed strip the VLAN tag from incoming packets before it forwards them to the VM guest, because it assumes that the guest OSs of the VMs that connect to such portgroups do not expect tagged traffic or are even not able to handle tagged traffic.
 
2. EST mode: is set by assigning the VLAN ID 0
In EST mode the vSwitch will only forward untagged frames.
 
3. VGT mode: is active when the VLAN ID 4095 (meaning any VLAN ID) is assigned to the port group.
In this case the vSwitch will accept and forward traffic tagged with any VLAN ID, and it will not strip any VLAN tags, but forward the frames unchanged in both directions.
VGT stands for Virtual Guest Tagging and means that the VM guests need to be able to handle the tagged traffic.
 
Hope this helps
- Andreas

sábado, 2 de agosto de 2014

Software de Facturacion en la nube


 

Hoy voy a tratar un tema un poco "diferente" a lo que suelo tratar en el blog.

Vamos a hablar de software de facturación online para Pymes y Autonomos, yo como tal estuve mucho tiempo haciendo mis facturas con un Excel + Word que, a pesar de que lo tenia bastante automatizado, era un poco coñazo y no tenia excesiva potencia.

Estuve mucho tiempo buscando la solución "definitiva" mas alla de Sage Facturaplus y similar, algo sencillo pero potente y ahí es donde me encontré con www.facturadirecta.com un software de facturación en la nube sencillo y muy potente.

Los puntos fuertes que yo le veo y que a mi mas me gustaron (no significa que a todo el mundo le vayan a gustar...):

  • Generación de plantillas para envio de facturas mediante email
  • Personalización de las facturas y presupuestos (en este aspecto aun les queda algo por mejorar, aun que en la ultima actualización mejoraron bastante)
  • importación de clientes desde Excel
  • Mantener agenda de contactos en cada cliente
  • Generación de recibos domiciliados, compatible con SEPA
  • Facturas periódicas, se generan automáticamente y se envían al cliente por email
  • Facturas proforma
  • Presupuesto
  • Permite exportar todas las facturas de un periodo a Excel, muy útil para enviárselo al asesor y no tener que darle impresas todas las facturas
  • Si tienes la suerte de utilizar para contabilidad el A3 o Contaplus te permite exportarlo directamente, lo cual tu contable o asesor agradecerá enormemente.
  • Control de stock

Esto es lo mas destacado para mi gusto, tiene muchas mas cosas pero eso ya cada uno...
Los precios son muy razonables, yo tengo el plan básico de 9,99 € + iva al mes que cubre todas mis necesidades y yo creo que la de la mayoría de pymes pequeñitas.

http://www.facturadirecta.com?co_source=10257
 
 
Podeis acceder a la web pinchando aqui
 
Espero que os sea de utilidad

 
 

martes, 21 de enero de 2014

Mikrotik to Cisco ASA IPsec VPN multiple policies

Vamos a empezar nuestra serie de artículos dedicados al mundo de Mikrotik.

Tenemos el siguiente escenario, la sede central tiene un cisco Asa con 3 vlans internas, las cuales queremos ver a través de la vpn, por otro lado tenemos el mkrotik que únicamente tiene una red la cual no queremos que se vea desde la sede central.

Cisco Asa:

   Wan: 1.1.1.1
   IDRAC: 172.16.0.0/24
   DMZ: 10.0.1.0/24
   INSIDE: 192.168.100.0/24


Mikrotik:

   Wan: 2.2.2.2
   LAN: 192.168.5.0/24








Configuración del ASA via ASDM 7.1


Nos vamos al menú "Wizards/Vpn Wizards/Site-to-site VPN Wizard" y en la segunda pantalla le indicamos la ip publica del mikrotik y la interfaz del ASA donde esta la salida a internet, normalmente Outside.

 
 
En la siguiente pantalla dejamos seleccionado Ike versión 1 (ya se que no es la mejor opción, pero ahora mismo es la que tengo probada, cuando comprueba que fuciona con la versión 2 modificare el tutorial)
 
 
 

En la siguiente pantalla tenemos que seleccionar las redes que van a ir por la VPN, en local network tenemos que añadir las 3 redes que queremos proteger y la red interna de destino.

 
 
 
En la siguiente pantalla nos pedirá la clave compartida de IKE v1, le ponemos la que queramos y nos la apuntamos para poner la misma en el mikrotik
 
 
 

En la siguiente pantalla configuramos los algoritmos de cifrado, lo dejamos como esta, a pesar de que se podría afinar mas, esto os lo dejo para que penséis un poquito :P, sin tocar nada funciona.
 
 
 
En la ultima pantalla "Miscellaneous" hay que seleccionar la ultima casilla "Exemp Asa side Host/network from address translation" y seleccionar una interfaz, aquí es donde viene el ki de la cuestión ya que esto no te lo hace el wizard y luego tendremos que añadir manualmente.
Como solo nos deja seleccionar 1 interfaz y tenemos 3 redes, tendremos que seleccionar la interfaz de 1 sola de las redes, por ejemplo DMZ.
 
 
 
Una vez hecho esto ya solo nos queda darle a siguiente y en la siguiente pantalla le damos a finalizar.
 
Ahora nos vamos a la pestaña de configuración/site-to-site VPN/advanced/Ike Parameters y el parámetro "Identity sent to Peer" lo ponemos en "Address"
 
 
Ahora solo nos falta añadir las excepciones al nat que faltan, para ello nos vamos a "Configuration/firewall/Nat Rules" y le damos a "Add Nat Rule Before "Network Object" Nat Rules... Como ya tenemos añadido a través del wizard la red DMZ nos faltaran las otras 2, primero crearemos la red idrac y luego la red inside. Ojo, hay que dar de alta los network objects para poder añadirlo en el source address y el destination address, sino nos dara error.
 
 
 
Con la Nat Rule de Inside hacemos lo mismo exactamente, una vez realizado esto, tenemos que asegurarnos de que están de las primeras reglas por delante de "Network Object NAT" sino no funcionara.
 
Con esto dejamos listo la parte de Cisco ASA.
 
 
 

Mikrotik:

Primero que nada creamos un "IPsec Proposal y seleccionamos "sha1" y "aes-256"
 
 
 
 
 
Ahora creamos las 3 "IPsec Policy", tenemos que crear un IPsec Policy por cada red que tenemos que acceder del otro extremo, 192.168.100.0/24 10.0.1.0/24 y 172.16.0.0/24
 
 
 
En la pestaña de Action nos aseguramos de que en "level" este seleccionado "unique" y que Proposal este el que hemos creado en el paso anterior "Asa_IPSEC"
 
 
Una vez tenemos los 3 creados creamos un "new peer", aquí le tendremos que poner la preshared key que pusimos previamente en el cisco Asa.
En Hash Algorithm pondremos "sha1", en Encryption Algorithm "aes-256", en Lifetime todo a 0 y en Lifebytes "10" en DPD Interval "60" y en DPD Máximum Failures "1"
 

 
 
Por ultimo ya solo nos queda crear las reglas de Nat para evitar que mande nuestro trafico a internet y lo mande por el túnel.
Primero creamos una Address Lists, le llamaremos ASA y metemos las 3 redes a las que queremos llegar a través de la VPN
 
 
 
Ahora vamos a la pestaña NAT y le damos a añadir, en la pestaña Chain seleccionamos "srcnat", en src Address ponemos el rango local, en este caso 192.168.5.0/24
 
 
 
ahora nos vamos a la pestaña advanced y en dst. Address list seleccionamos "Asa" 
 
 
El resto lo dejamos por defecto.
Ahora solo tenemos que mover esta regla nat hasta el primer puesto y listo, con esto ya tendremos funcionando la VPN entre las 2 sedes con multiples redes.
 
Espero que le sirva a alguien de ayuda :)