Notre blog en mousse \o/

Activation du compte SIP

Avant toute chose, se connecter sur le site de Free et aller dans Téléphonie > Paramétrer mon compte SIP. Activer le compte SIP et rediriger les appels entrant vers le "téléphone SIP". Choisir un mot de passe, puis valider. Redémarrer la box (en Freebox v5).

Configuration d'Asterisk en interface web

On commence par configurer les informations classiques :
Type : SIP
Provider name : Un nom pour le trunk, par exemple "Freephonie"
Hostname : le serveur d'en face. Dans notre cas, "freephonie.net"
Username : l'identifiant, qui est le numéro de téléphone assigné par Free (souvent en 09xxxxxxxx)
Password : le mot de passe renseigné dans la première étape.

Une fois le trunk créé, il faut l'éditer pour remplir les champs suivants :
FromDomain : pour les appels sortants, doit être défini à "freephonie.net"
FromUser : pour les appels sortants, doit être votre numéro de téléphone au format international. Quelque chose comme "00339xxxxxxxx".
AuthUser : votre numéro de téléphone ("09xxxxxxxx")
insecure : very (recommandé)

Attention : sans FromUser et FromDomain, vous pourrez recevoir les appels mais pas en émettre.

Configuration d'Asterisk en CLI

Éditer /etc/asterisk/users.conf et ajouter une section :

[09xxxxxxxx]
host = freephonie.net
username = <numéro de téléphone>
secret = <mot de passe>
trunkname = Freephonie
context = <nom de votre contexte (p.ex : default) >
hassip = yes
registersip = yes
trunkstyle = voip
fromuser = <numéro au format international. ex : 00339xxxxxxxx>
authuser = <numéro de téléphone>
insecure = port,invite

Augmentation du "defaultexpiry"

Le temps d'expiration du REGISTER est par défaut à 120 secondes alors que Free refuse le ré-enregistrement avant 30 minutes. Pour éviter d'avoir plein de warnings dans les logs, on peut l'augmenter : éditer /etc/asterisk/users.conf et dans la section du trunk, ajouter :

[09xxxxxxxx]
[...]
defaultexpiry = 3600

Comme avec le SOHO97, le but ici est de configurer un modem Alcatel Speed Touch Home (STH dans la suite) pour se connecter à une ligne dégroupée chez Free. Notons qu'il est nécessaire d'avoir passé le STH en Speed Touch Pro.

Avant de commencer, il faut savoir que Free utilise de l'IPoA, c'est-à-dire où IP est encapsulé directement dans ATM. L'encapsulation utilisée est VC-MUX. Or, même si le STH support l'IPoA et le VC-MUX, il ne permet pas d'utiliser les deux à la fois. Heureusement, il existe une version patchée du firmware qui remédie à ce problème. Originalement posté sur Forpage, il est devenu difficile à trouver et il figure en pièce jointe de ce billet.
Attention, deux remarques concernant ce firmware :
- il s'adresse à la version K du STH, pas la version G ;
- il fait disparaître le mode "EXPERT" du STH. Je recommande donc de conserver en passif une version qui autorise ce mode.

La première étape consiste donc à envoyer le nouveau firmware. La manière la plus simple est de passer par l'interface web du modem (http://10.0.0.138/) ; si cela échoue, il reste la méthode du telnet/FTP.

Ensuite, il faut configurer le VP/VC : sur la page "phonebook", supprimer le VP/VC 8/36 et le recréer de type "CIP".
Puis, sur la page CIP, ajouter une interface avec l'adresse IP publique et un masque de 255.255.255.0. Ajouter une connexion CIP utilisant le canal (8/36) créé précédemment, avec comme destination l'adresse IP de la passerelle Free, généralement la dernière adresse du sous-réseau (x.x.x.254)
Il convient ensuite d'ajouter la route suivante :
Destination : 0.0.0.0/0
Source : any
Passerelle : <adresse_IP_passerelle>
Le NAT doit être configuré depuis telnet :

nat enable addr=<adresse_ip_publique> type=pat

D'ailleurs, toute la configuration décrite précédemment est réalisable par telnet :

phonebook delete name=Br2
phonebook add name=cip1 addr=8*36 type=cip
cip ifadd addr=<addresse_IP_publique> netmask=255.255.255.0
cip pvcadd dest=8*36 destaddr=<adresse_IP_passerelle>
ip rtadd dst=0.0.0.0 gateway=<adresse_IP_passerelle>

Puisque chaque fois que j'en ai besoin je dois faire une recherche Google, voici une bonne fois pour toutes l'emplacement des logiciels Adobe en version offline (standalone) :

ftp://ftp.adobe.com/pub/adobe/reader/

Petit tutoriel rapide pour installer et configurer un environnement dns2tcp. Juste rapidement, le but de cet environnement est d'utiliser les requêtes DNS pour établir une connexion TCP entre un client et un serveur (très pratique quand seul le DNS est autorisé ... ).

/!\ Ce tuto par d'un VKS tout fraichement installé, mais peut être adapté à tout type d'environnement. /!\

-- Parenthèse

Je passe la configuration du système lui-même mais en profite pour rappeler que pouvoir se connecter en root sur un serveur, c'est pas top, et que laisser des clés SSH d'OVH, ben c'est pas top non plus :

bash ~# cat /etc/ssh/sshd_config
[...]
PermitRootLogin no

bash ~# rm ~/.ssh/authorized_keys2

-- Fin parenthèse

-- Pré-requis

<< un serveur accessible sur Internet (évidemment)

<< un nom de domaine (pour l'exemple : poney.net)

<< le port 53 disponible sur le serveur (si bind est installé par défaut, il faudra arréter le service ou le désinstaller, et certainement modifier la configuration dans /etc/resolv.conf)

-- Fin pré-requis

1) Déjà, un petit update du système ne fait pas de mal

bash ~# aptitude update && aptitude dist-upgrade
[...]

2) Récupérer et compiler dns2tcp

bash ~# aptitude install build-essential
bash ~$ wget http://hsc.fr/ressources/outils/dns2tcp/download/dns2tcp-0.5.2.tar.gz
bash ~$ tar xzf dns2tcp-0.5.2.tar.gz && rm dns2tcp-0.5.2.tar.gz
bash ~$ cd dns2tcp-0.5.2
bash ~$ ./configure && make
bash ~# make install

3) Configuration du DNS

<< Nouvelle entrée pour poney.net.

dnstcp  NS      dnstcp.poney.net.
dnstcp  A       @IP_Serveur

<<

4) Confiugration et lancement du service

Plusieurs mode de fonctionnement sont configurables avec dns2tcp, nous allons voir comment configurer un tunnel SSH (pour plus d'informations : http://hsc.fr/ressources/outils/dns2tcp/download/README).

bash ~# mkdir /var/dns2tcp

bash ~# cat /etc/dns2tcp.conf
# listen = 0.0.0.0
port = 53
user = nobody
domain = dnstcp.poney.net
chroot = /var/dns2tcp
key = macleavecpleindecaracteresquiveulentriendiredjizeojzeoi23E3EZDKJoczhir
ressources = ssh:127.0.0.1:22

bash ~# /usr/local/bin/dns2tcpd -f /etc/dns2tcp.conf -d 1

-- Script à appeler depuis un cron pour vérifier que le service tourne bien

bash ~# cat test_services.sh
if [ `pidof dns2tcpd` ]
then
echo "[+] dns2tcp OK"
else
echo "[-] dns2tcp KO"
echo "[-]  * kill processus (just to be sure)"
killall dns2tcpd
echo "[-]  * laucnh daemon"
/usr/local/bin/dns2tcpd -f /etc/dns2tcp.conf -d 1
echo "[+] dns2tcp OK"
fi

bash ~# crontab -l
*/1 * * * *     /bin/bash /root/test_services.sh &> /dev/null

-- Fin script

5) Configuration du client

<< Même étape que la 2) pour la compilation

bash ~$ dns2tcpc -z dnstcp.poney.net -r ssh -k macleavecpleindecaracteresquiveulentriendiredjizeojzeoi23E3EZDKJoczhir -l 4443 &
bash ~$ ssh -D 1234 -p 4443 user@localhost

L'option -D 1234 permet de créer un proxy SOCKS4/5 en local sur le port 1234, qui utilisera automatiquement la connexion SSH comme tunnel.

Il est possible, très simplement, de démarrer la distribution Linux Mint depuis un serveur PXE. Cette façon de faire peut être adaptée à d'autres distributions, elle est d'ailleurs inspirée de celle d'Ubuntu (d'où est tirée Mint).

• Télécharger l'ISO : http://www.linuxmint.com/download.php
  
• Monter l'image et copier le répertoire casper à un endroit accessible en TFTP :

mount -o loop linuxmint-13-mate-dvd-64bit.iso /media/imagecd
mkdir /tftpboot/mint
cp -r /media/imagecd/casper /tftpboot/mint/
umount /media/imagecd

• Rendre ce répertoire accessible en NFS. Pour cela, installer le serveur NFS et ajouter une ligne d'export au fichier /etc/exports :

apt-get install nfs-kernel-server
echo '/tftpboot/mint *(ro,no_root_squash,no_subtree_check,async)' >> /etc/exports
/etc/init.d/nfs-kernel-server restart

• Ajouter une entrée dans le fichier <racine TFTP>/pxelinux.cfg/default. Pour ma part j'ai aussi passé l'OS en français :

LABEL mint
     MENU LABEL Mint Live (NFS)
     KERNEL mint/casper/vmlinuz
     APPEND initrd=mint/casper/initrd.lz boot=casper netboot=nfs nfsroot=192.168.1.1:/tftpboot/mint locale=fr_FR keymap=fr console-setup/layoutcode=fr

Mise à jour (21/11/2012) : le réseau fonctionne sous Linux Mint 13, mais plus sous Mint 14. Il faut alors redemander une IP :

sudo dhclient eth0

Dans un article précédent, j'ai expliqué comment mettre en place un serveur de messagerie. Nous allons ici ajouter un support MySQL pour profiter des alias et domaines virtuels; mais aussi de l'authentification basée dessus.

Installer les vmwares tools sur un host linux se résume généralement à monter l'iso fournis avec l'hyperviseur et faire l'installation à la main. Mais il existe une autre solution : les paquets

Ce mécanisme se base sur un tunnel GRE au travers de TCP pour encapsuler des paquets PPP dans le but de former un réseau virtuel privé. Pour ce faire, le client ouvre un tunnel avec le serveur sur le port 1723. Une fois la liaison établie, il ouvre un second tunnel dans le premier en utilisant le protocole GRE (port 47) pour faire transiter les informations.

Assez ancien et non standardisé, il est reconnu comme vulnérable, mais il a l'avantage d'être utilisable nativement dans la plupart des OS (plus d'information sur cette page).

Donc tenez vous le pour dit, ce n'est pas ce qui se fait de mieux en VPN, mais ça peut servir.

Webmin est l’une des plus connues des interfaces web d’administration.

Elle s’installe facilement sous Debian puisqu’il existe des dépots APT.

Ainsi, il suffit d’ajouter les dépots au fichier "/etc/apt/sources.list":

deb http://download.webmin.com/download/repository sarge contrib

deb http://webmin.mirror.somersettechsolutions.co.uk/repository sarge contrib

puis d’ajouter la clé GPG du créateur de Webmin :

wget http://www.webmin.com/jcameron-key.asc

apt-key add jcameron-key.asc

et ensuite d’installer le paquet :

apt-get update

apt-get install webmin

L’interface d’administration est alors disponible à : https://serveur:10000. Seul l’utilisateur « root » à accès au début, mais il est possible d’aller dans les paramètres de Webmin et d’ajouter des utilisateurs, voir de synchroniser automatiquement la création d’utilisateurs Webmin lors de la création d’utilisateurs Linux.

La création d'un partage Samba a déjà été évoqué précédemment.

Une fois les différents partages et contrôle d'accès mis en place, il peut être intéressant d'avoir des logs clairs permettant de suivre l'activité des différents partages. En effet, par défaut, Samba regroupe ses logs dans plusieurs fichiers(1 par utilisateur et machine), et il peut être fastidieux de les parcourir et d'y trouver la bonne information. La solution préconisée par Samba est l'utilisation de . Le module le plus précis et paramétrable est .

Il vous suffit alors de compléter le fichier smb.conf de la manière suivante :

#======================= Global Settings =======================
[global]

       log level = 1 vfs:10
       vfs objects = full_audit
       full_audit:prefix = %u|%I|%m|%S
       full_audit:success = mkdir rename unlink rmdir pwrite
       full_audit:failure = none
       full_audit:facility = LOCAL7
       full_audit:priority = NOTICE

# penser à commenter les lignes suivantes :
# log file = /var/log/samba/%U.%m.log
# syslog only = yes
# syslog = 2

Les déclarations du module sont mises dans la section globale mais peuvent être également placées dans chaque partage.

Un peu d'explication à propos des déclarations :

• la ligne "log level" : elle permet de préciser le niveau des logs (1 donnant le minimum d'informations utiles et 10 le maximum). Ici, on met le niveau global des logs de samba à "1" et celui du module à "10".
• la ligne "vfs objects" : elle permet de déclarer l'utilisation du module full_audit sur tous les partages
• la ligne "full_audit:prefix" : elle spécifie la syntaxe des lignes de logs (les samba peuvent être utilisées). Cette ligne donnera alors le nom d'utilisateur, l'adresse IP du client, le nom de la machine et le partage accédé, séparés par des pipes.
• la ligne "full_audit:prefix" : elle permet de spécifier les à enregistrer.
• la ligne "full_audit:failure" : de même avec les actions échouées
• la ligne "full_audit:facility" elle permet d'attribuer une instance du syslog (1)
• la ligne "full_audit:priority" : elle permet d'attribuer l'importance des messages (dans l'ordre d'urgence : EMERG, ALERT, CRIT, ERR, WARNING, NOTICE, INFO, DEBUG)

(1) Créer une instance du syslog

Pour créer une nouvelle instance du syslog, il faut aller modifier le fichier de configuration /etc/rsyslog.conf afin d'y rajouter :

       #creating a syslog facility
       local7.*        /var/log/samba/log.audit

Ce qui signifie que tous les messages de local7 seront écrit dans /var/log/samba/log.audit (qui devient alors notre fichier d'audit principal). Il faut ensuite redémarer le démon syslog pour prendre en compte les changements (avec /etc/init.d/rsyslog restart).

Exemple du fichier log.audit :

     Aug  4 16:46:04 localhost smbd[29819]: a-hyaric|172.18.60.233|cnu85175wc|a-hyaric|pwrite|ok|~$uveau Document Microsoft Word.docx
     Aug  4 16:46:12 localhost smbd[29819]: a-hyaric|172.18.60.233|cnu85175wc|a-hyaric|rename|ok|./93DC53A7.tmp|./Nouveau Document Microsoft Word.docx
     Aug  4 16:47:37 localhost smbd[29819]: a-hyaric|172.18.60.233|cnu85175wc|a-hyaric|unlink|ok|Copie de favicon.ico

Source : ici