Jan – Seite 6 – Jans Blog

Alcatel OmniSwitch 6250/6450 Password Recovery

Man verbindet sich mit der Konsole,

Unterbricht die boot Squence boot sequence indem man „s“ drückt.

Danach löscht man die Datei UserTable5 im Verzeichnis /networks
[Miniboot]->cd "network" value = 0 = 0x0 [Miniboot]->ls . .. userTable5 lockoutSetting policy.cfg ssh_host_dsa_key ssh_host_dsa_key.pub value = 0 = 0x0 [Miniboot]->xdelete "userTable5" value = 0 = 0x0 [Miniboot]->reboot mgi0 Interface Down mgi0 Interface Stopped WARNING: "sysResetHardwareFlag" flag is SET, forcing CMM board reset.

Danach gibt es keine User mehr, d.h. mit admin/switch kann man sich einloggen, man muss aber sämtliche user neu anlegen, z.B. für SNMP o.ä.

Alcatel QoS als Dreizeiler

Um ein Voice VLAN auf Alcatel Switchen zu priorisieren reicht ein Dreizeiler:
Beispiel: Source VLAN 33, dscp soll auf 46 gesetzt werden.

policy condition from_voip_vlan source vlan 33
policy action set_dscp dscp 46
policy rule prio_voip condition from_voip_vlan action set_dscp
qos apply

DSCP 46 heißt bei Alcatel Queue 5.

Befehle zum überprüfen:

show active policy rules
show qos port
show qos queue X/Y show qos queue statistics X/Y

letztere Befehl zeigt bei mir nur auf nem 6250/6450 etwas auf 6850 war da immer 0…

Hat man nen Uplink (z.B. Leased Line) die nur 20 Mbit/s verkraftet kann es sinnvoll sein den letzten Port auf der eigenen Seite zu beschränken (wenn der Providerrouter kein QoS macht):

qos port 1/20 maximum egress-bandwidth 20M

oder

qos port 1/20 maximum bandwidth 20M

zurücksetzen mit

qos port 1/20 reset

IPv6 daheim mit einen SixXS Tunnel und einer Fritzbox

Für jeden kommt irgendwann die Zukunft, warum also nicht selber aktiv werden?
Um zumindest am Ball zu bleiben, habe ich mir vorgenommen IPv6 bei mir einzuführen.
Da die Telekom kein natives IPv6 anbietet bleibt die Lösung mit einem Tunnel Broker wie Hurricane oder SixXS.

Ich habe mir einen Zugang bei SixXS bestellt, was alles recht einfach ist:
Man registriert sich auf www.sixxs.net/signup/create/ und erstellt sich einen handle: Formular ausfüllen, bei dem muss auch eine Reason angeben werden – ein ehrliches „IPv6 is the future – i want to test to be ready“ reicht da aus.
Andere Antworten sicherlich auch.
Es folgt eine kurzes Email ping pong um seine Email zu prüfen, danach wird der Antrag händisch überprüft.
Das dauert ein paar Tage – bei mir waren es 4 Werktage (+ Wochenende).

Danach hat man Zugriff aus sein Userkonto, dort beantragt man ein prefix, damit man einen ipv6 Tunnel nutzen kann.

Welchen der deutschen Endpunkte man wählt ist erst mal egal, kürzere Strecken sind prinzipiell besser für die Laufzeit. Ich habe netcologne gewählt, alternativ hat er mir Hamburg und Leonberg angeboten.

Die Tunnelerstellung geht dann schnell (bei mir 20 Minuten).

Ich hab meinen Tunnel über die Fritzbox etabliert, nachdem man in die erweiterte Ansicht gewechselt hat trägt man unter Internet -> Zugangsdaten -> IPv6 seine Daten ein: Usernamen und Passwort von SixXS, TunnelID bekommt man mit dem Prefix.

Danach sollte man Unter Übersicht seine IPv6 Adresse haben:

Hat man im Netzwerk einen IPv6 fähiges Gerät (z.B. Windows 7 PC) kann man mittels
ipconfig /all
In einem Command prompt schauen ob der PC am Ethernet Interface eine IPv6 IP aus dem eigenen Bereich bekommen hat. Wenn ja kann man den ersten Test nach extern wagen:

http://hostblogger.de zeigt an ob man per v4 oder v6 da ist.
Beim kame project bewegt sich die Schildkröte, wenn man iIPv6 nutzt.
Test-IPv6
..
..
Sollten die Test alle erfolgreich sein: herzlichen Glückwunsch: IPv6 läuft.

Zumindest die Fritzbox läßt defaultmäßig keinen IPv6 Verkehr nach innen, d.h. man braucht keine Sorge zu haben, dass die eigenen PCs dann von außen im Internet erreichbar sind, das mag bei anderen Routern anders sein.. also vorsichtig! Man kann testweise seine IP von extern pingen: z.B. auf http://centralops.net/co/Ping.aspx einen Ping auf die PC Adresse: [2a01:4f8:dead:beef::2] mit „require ipv6“ erzwingt man IPv6. Es sollte ein destination prohibited zurückkommen.

Soweit so gut. In einem anderen Artikel wird es um die Einrichtung von IPv6 am Server gehen.

Owncloud 4 Kalender mit iPhone Fehlermeldung

Die Idee seine Kalenderdaten nicht bei einem externen Anbieter (Apple, Google, … ) zu haben ist reizvoll. Was geht es Google an wann ich meinen Zahnarzttermin habe und warum sollte Apple Wissen, wann mein nächster Kundentermin stattfindet.

Es gibt die Möglichkeit komplette Kollaborationssuiten zu nehmen (Zimbra/OpenExchange/…) aber auch einen reinen Caldav Server (z.B. calendarserver). zuletzt häufig in den News war Owncloud, was eine komplette Cloud inklusive Fotos, Musik und Kalender auf eigener Hardware ermöglicht.

Ich hatte bislang calendarserver auf Debian im Einsatz, das funktioniert auch relativ gut, die Konfiguration mittels XML Dateien ist umständlich und beim parallelen Zugriff auf verschiedene Kalender (Meinen, den meiner Frau) gemischt mit Lightning am PC kommt es häufiger mal zu Problemen.

Also habe ich Owncloud 4 ausprobiert.

Die Installation ist einfach, ein paar PHP Module und das Paket einfach entpacken. Fertig. Schicke Oberfläche, wenn auch etwas langsam (mag an meinem DualCore Celeron Server liegen).
Bilder hochladen geht, aber wichtig war mir der Kalendar.

User anlegen, zwei Termine eintragen und dann im Lightning als externen Kalendar einrichten. Klappt problemlos, die URL kann man sich einfach kopieren.
Am iPhone war es garnicht einfach. Die Anleitungen genau befolgt und das iPhone quittiert das ganze mit einem „Kalender-Account
Account-Information konnten nicht überprüft werden“

Viel probiert, Webserver neu installiert (von Lighttpd auf Apache, testweise auf Ubuntu LTS usw..) keine Chance.

Nach viel probieren habe ich die richtige Antwort bekommen: Die Dokumentation ist falsch/veraltet der richtige Link lautet: ADDRESS/remote.php/caldav/principals/username/

Und nicht ADDRESS/apps/calendar/caldav.php/principals/username

Danach funktioniert das Einbinden des Kalenders im iPhone und jetzt kann der Test beginnen.

Kommentare entfernen

Immer wiedermal will man Kommentarzeilen aus einer (Konfigurations)Datei entfernen.
Im Internet hab ich diesen guten Link, wo man das über ein kurzes Shellscript machen kann.

#!/bin/sh 
egrep -a -v '^[[:space:]]*#' $1 | egrep -a '[[:print:]]'

Funktioniert und nimmt 70kB Konfigurationsdateien den Schrecken.

Userauthentifizierung gegen Radius – Alcatel

Nach Cisco und Fortigate jetzt noch die Kurzanleitung um Alcaltel Switche gegen Radius zu Authentifizieren.

Bei Alcatel Der einfache Adminzugang für einen Switch ist schnell erledigt, wie es mit Routern oder Firewalls aussieht behandle ich später (wenn ich dazu komme).

Bei Alcatel ist das ganze ein bisschen komplexer, die Userberechtigungen handlet man über Bitmasken ab, so kann man z.B. FTP zulassen, aber ssh verbieten. oder lesend per ssh erlauben, aber nicht per Telnet.

Hier lassen wir im Beispiel lesenden Zugriff nur per ssh zu.
Der schreibende Zugriff (aluadmin) darf überall drauf zugreifen.

Im Radiusserver hinterlegt man die entsprechenden User/Rückgabe Werte in /etc/freeradius/users:

"aluadmin" Cleartext-Password:= "aluadmin"
        Xylan-Asa-Access = all, 
        Xylan-Acce-Priv-F-W1 = 0xffffffff,
        Xylan-Acce-Priv-F-W2 = 0xffffffff,
"aluread" Cleartext-Password:= "aluread"
        Xylan-Asa-Access = all, 
        Xylan-Acce-Priv-F-R2 =  0xffffffff, 
        Xylan-Acce-Priv-F-R1 =  0xffffffff, 
        Xylan-Acce-Priv-F-W1 =  0x00000002,
        Xylan-Acce-Priv-F-W2 =  0x00000000,

Für den lesenden Zugriff ist komischerweise auch „schreibend“ auf ssh nötig.
Dies braucht man damit show Kommandos abgeschickt werden können.

Der schreibende Zugriff auf die einzelnen Abschnitte der Konfiguration muss separat freigeschaltet werden.
Die Bitmasken sind kann man sich über

show aaa priv hexa

anzeigen lassen.

->show aaa priv hexa
file            = 0x00000001 0x00000000,
ssh             = 0x00000002 0x00000000,
scp             = 0x00000004 0x00000000,
telnet          = 0x00000008 0x00000000,
ntp             = 0x00000010 0x00000000,
dshell          = 0x00000020 0x00000000,
debug           = 0x00000040 0x00000000,
..
[snip]

De folgende Nutzer hat read-only Zugriff nur auf „vlan“. Es ist dem Benutzer nicht möglich z.B. „show ip interface“ einzugeben.

"vlanread" Cleartext-Password:= "vlanread"
        Xylan-Asa-Access = "all", 
        Xylan-Acce-Priv-F-R1 = 0x10000000, 
        Xylan-Acce-Priv-F-R2 = 0x00000000, 
        Xylan-Acce-Priv-F-W1 = 0x00000002, 
        Xylan-Acce-Priv-F-W2 = 0x00000000

Ein Dokumentation von Alcatel findet man z.B.
in diesem PDF auf Seite 8

Die Konfigurationen auf dem Switch sind in wenigen Zeilen erledigt (der Radiusserver muss vom Switch aus erreichbar sein -> IP Adressen Routing etc. muss stimmen ..)

!Falls Radiusserver tot ist es praktisch noch einen lokalen Account haben
user localadmin password Rettemich read-write all
! aaa aktivieren, primär radius fallback auf local
aaa radius-server "RadiusServer" host 172.16.1.32 key 12345678 
aaa authentication telnet "RadiusServer" "local" 
aaa authentication ssh "RadiusServer" local
aaa authentication console "RadiusServer" local

Man kann natürlich auch mit

aaa authentication default RadiusServer local

alles abfrühstücken

Das sollte es gewesen sein.

M	D	M	D	F	S	S
				1	2	3
4	5	6	7	8	9	10
11	12	13	14	15	16	17
18	19	20	21	22	23	24
25	26	27	28	29	30