2009-11-18

驚!!小紅傘要出中文版了

吉瑞科技在台代理的AVIRA,目前v9的版本在台已進行中文版beta的測試,據說v10的中文版會是德國原場自己弄
測試版本:Avira Avira Premium Security V9
測試網址:http://g-ray.com.tw/forum/index.php/topic,89.0.html
不錯,因為有在台代理,所以它總算想玩中文了…


這樣也會方便廣大的小紅傘族…不過,據網路上已測試的網友說…穩定度不佳
反正是測試,真的有需要中文的,就去測看看唄…不過跟據以往我跟avira官方update的速度是很快的,但就不曉得在台代理的快不快

2009-11-09

詳解-OpenVPN中的routing

因為有細細的玩,所以有發現routing是一個很嚴重的問題

在網路上有很多教學,會叫你把vpn當做default-route-gateway…但,這樣很容易一失敗就造成server本身外連有問題…如果外連有問題,你想遠端修改都不行…所以,我強烈建議不熟routing是啥東東西,不要太輕易就把server本機的default-route給改掉…

以linux上來看,假設本機實體網路卡eth0使用的ip-address為[192.168.1.1/32][gateway=192.168.1.254],vpn網卡tun0/tap0使用的ip-address為[10.8.0.1/24]/p--t--p[10.8.0.2/24]=gateway,指令[route -n]=表a
表a:
dest/mask,gateway,dev
10.8.0.2/32,0.0.0.0,tun0
10.8.0.0/24,10.8.0.2,tun0
192.168.1.0/24,0.0.0.0,eth0
0.0.0.0/0,192.168.1.254,eth0
上面這一塊,有上過網路管理課程的朋友一定很了解,我就大至上講一下,routing-table就是告訴電腦的封包該往哪走…用白話一點描述就是
  1. 封包-a想去10.8.0.1~10.8.0.255的地方,必須到10.8.0.2的門口排隊
  2. 封包-b想去192.168.1.1~192.168.1.255的地方,必須到0.0.0.0的門口排隊
  3. 不想去上面二個地方,而想去別處的,就通通到192.168.1.254的門口排隊
想去的地方,就是routing-table上的dest(目的地),門口就是gateway,dev指的就是你的實體設備(電腦中叫網路卡)

OpenVPN auth over LDAP--實做

繼前一篇的[OpenVPN–純架設-by ssl],已將vpn的啟用與設定測試成功…接下來,為了方便認證vpn的使用者為學校的教職員工,故要把vpn的認證方式(auth)從單純的ssl憑證改為校內LDAP-SERVER的認證

當然,這也是為何我會拿openvpn來架vpn-server的主因,因為,他有人家寫好的OpenVPN-auth-ldap的plugin…

主要參考網頁
  1. Google-Project-openvpn-auth-ldap
  2. OpenVPN on Linux Mysql LDAP 驗證
網路上這方面的資料也不多,就連國外的資料也少少,一大堆人只是把問題丟上去…也沒看幾個人回應,所以參考網頁只是參考…不代表你一定得照著做

如前篇,VPN auth over LDAP也一樣有幾個重點步驟
  1. openvpn-auth-ldap的compile環境
  2. 把openvpn-auth-ldap給plugin上openvpn,還要編寫auth_ldap.conf
  3. testplugin auth_ldap.con的測試
  4. client的config修改

OpenVPN--純架設-by ssl

參考網頁:
1-http://ssorc.tw/rewrite.php/read-265.html
2-http://justshark.blogspot.com/2006/05/openvpn.html
3-http://blog.roodo.com/candyz/archives/283944.html
4-http://theitdepartment.wordpress.com/2009/06/08/openwrt-openvpn-routed-lans/
5-https://forum.openwrt.org/viewtopic.php?id=6576

我的openvpn是上rpm-pbone上找的,因為懶的用source去做…就找fc8的rpm上來裝

裝好後,你會在/etc/openvpn底下發現easy-rsa的資料匣,進入裡面的2.0…

接著,我從上面的五個參考網頁上看出幾個重點:
  1. ssl的server與client憑證
  2. server與client的config設定有七、八成要一致
  3. 如果你server是在unix-like上架設的,那就不僅只是把vpn-service啟動就好了,還要做封包的forward跟nat
  4. 在server的config上定義client的routing-table要特別注意…沒必要把default route做到vpn-gateway上就別做…(我個人認為啦)
ok,以上四個重點也是建置的幾個步驟,接下來就一個一個來吧

Windows 2003 server KMS

十分簡單…(其實麻煩的是要怎麼在安全且不外流的情況下讓校外也可以auth)

就上Microsoft的download center找kms

會有二個,一個是2003的patch,在2009/8/11

另一個是2003 sp1(含)以後版本的KMS V1.1,在2008/5/14

二個都下載吧,然後先把kms v1.1解壓後,先裝kms服務(名稱比較短的),再上名稱比較長的

然要後重開機

再上2009/8/11的

就這樣…service就啟動了,你可以在cmd模式下netstat -an,可以看到tcp-1688有listen的話就對了

再來,把kms的key加入

cscript c:\windows\system32\slmgr.vbs -ipk Key (基本上不用那麼長,就slmgr -ipk Key)<----這是加入key

cscript c:\windows\system32\slmgr.vbs -ato <-----啟用

看來,真的要用vpn的方式來讓外部啟用…