RouterMaN’s Blog

Sólo para desear a todos los lectores de este blog unas muy felices fiestas, que la pasen en compañía de los que más quieren y que el 2008 puedan realizar todo lo que se propongan.

Espero para el otro año postear más seguido que ahora, ya veré como me organizo para poder hacerlo.

Tanto mi CV versión web, como mi tesis se encuentran de vuelta en los links del menú de la izquierda. Ahora están alojados en el data center de Devos Inc.

Como el título lo indica, el objetivo de este post es instalar estas 3 aplicaciones y que nos muestre las estadísticas de consumo. Normalmente si instalamos solo Dansguardian y Squid en los logs del squid vemos que las peticiones para loguearse son de la propia máquina. Lo cual es inútil para el Sarg, pues todas las estadísticas serían con localhost. Para arreglar este problema, se debe compilar el squid con el tag “–enable-follow-x-forwarded-for”. Para hacerlo simplemente seguimos los siguientes pasos:

apt-get build-dep squid

cd /usr/src/

apt-get source squid

vim /usr/src/squid-2.6.5/debian/rules

--enable-follow-x-forwarded-for \

vim /usr/src/squid-2.6.5/debian/changelog

cd /usr/src/squid-2.6.5
dpkg-buildpackage

acl localhost src 127.0.0.1/255.255.255.255
acl redinterna src 10.1.0.0/255.255.0.0
acl reddmz src 192.168.214.0/255.255.255.0

follow_x_forwarded_for allow localhost
acl_uses_indirect_client on
log_uses_indirect_client on

http_access allow localhost
http_access allow redinterna
http_access allow reddmz

Con eso terminamos la configuración del squid. Ahora para el dansguardian y el Sarg los instalamos como cualquier otro paquete en debian, es decir, con apt-get. Debemos indicarle al Dansguardian que mande en la cabecera HTTP al squid, el cliente inicial, para eso activamos el parametro forwardedfor (línea 248 aproximadamente)

Para el caso del sarg, simplemente se instala, pero debemos tener en cuenta el logrotate, que por defecto está en un día. Debemos cambiarlo para que sea una vez a la semana, así como también aumentar el tamaño máximo del access.log

Después de mucho tiempo puedo revisar algunos blogs amigos y me doy con la sorpresa de que en 2 blogs me mencionan y agradecen.
El primero es el del profesor Edgar Velarde, que en su artículo sobre IMS y SIP me agradece por un artículo que le pasé por correo. Recomendable tanto ese artículo como los demás del blog.
El segundo blog que me menciona es el de mi buen amigo David Ortega, que en un artículo escribió un tutorial interesante sobre como tener una línea VoIP con número de USA.

Gracias a ambos y no hay mejor estímulo para seguir investigando que a otras personas le sirva lo que escribas. Lamentablemente dispongo de menos tiempo para publicar (hace más de un mes que no lo hago), pero prometo darme más tiempo para dedicarle al blog.

Una configuración RoadWarrior es aquella en la cual se tiene una red privada con uno o varios clientes que accesarán a la red como si fueran parte de ella (arquitectura host-to-net). El presente tutorial explica como configurar correctamente el openvpn 2.0.9-4 en un Debian Etch que ya tiene configurado Shorewall. Tomé como base el tutorial de la configuración para CentOS y lo modifiqué de acuerdo a lo que yo quería.

Primero instalamos el openvpn:

apt-get install openvpn

El openvpn viene con un directorio llamado easy-rsa, que tiene scripts bastante útiles para la configuración. Este directorio lo copiamos a /etc/openvpn

cp -a /usr/share/doc/openvpn/examples/easy-rsa /etc/openvpn

Ahora nos vamos a ese directorio recién creado y ejecutamos los siguientes comandos

. vars
./clean-all
./build-ca

Con ellos lo que haremos es:
* Inicializar variables de ambiente para poder trabajar con los siguientes scripts de shell para generar las variables
* Inicializamos el directorio de las claves (borrando potenciales archivos viejos)
* build-ca: procedemos a generar el certificado CA

Nos pedirá datos sobre la organización. No poner cualquier cosa ya que las preguntas se van a repetir más adelante y debemos estar seguros de lo que habíamos escrito. En Common Name debemos poner cualquier cosa pero ponerla

Una vez creado el Certificate Authority (CA), creamos la llave del Servidor

./build-key-server servidor

En Common Name ponemos Servidor u otro nombre pero que sea diferente al anterior

Con este paso se crearon dos archivos (servidor.crt y servidor.key). Estos archivos debemos copiarlos al directorio /etc/openvpn

Ahora generamos las claves de los clientes. Debemos ejecutar los mismos para cada cliente:

./build-key cliente1

Esto genera los archivos cliente1.key (llave) y cliente1.crt (certificado)

Creamos los parámetros Diffie-Hellman:

./build-dh

Ahora todos los archivos creados menos los de los clientes deben ser copiados a /etc/openvpn/, es decir ca.crt, ca.key, server.crt, server.key y dh1024.pem

Ahora pasamos los archivos necesarios a los clientes. Estos archivos son clientex.crt, clientex.key y ca.crt, se los podemos pasar vía sftp o scp, pero siempre tratando de que sea seguro.

La configuración del servidor la ponemos en /etc/openvpn/server.conf

port 1194
proto udp
dev tun
persist-tun
ca ca.crt
cert server.crt
key server.key
dh dh1024.pem

#Direcciones que se asignaran a los
#clientes, el server es .1
server 10.1.1.0 255.255.255.0

ifconfig-pool-persist ipp.txt

#Ruta para que los clientes alcancen la red local del server (1.0/24)
push “route 192.168.1.0 255.255.255.0″

#Para que los clientes se visualicen entre ellos
#Debe ir junto con la opción routeback en el shorewall
client-to-client

keepalive 10 120
comp-lzo
user nobody
group nogroup
persist-key
persist-tun
status openvpn-status.log
verb 4

La red local de la VPN es 192.168.1.0/24 y la red de la VPN es 10.1.1.0/24. El usuario remoto, si está detrás de un NAT debe tener una dirección local no perteneciente a la red de la VPN.

La configuración de los clientes sería así:

client
dev tun
proto udp
remote host.dominio.com
float #debido a que la IP de arriba es dinamica
resolv-retry infinite
nobind
persist-key
persist-tun
ca “D:\\Archivos de programa\\OpenVPN\\ca.crt” #Tener cuidado con el doble backslash (\\)
cert “D:\\Archivos de programa\\OpenVPN\\clientx.crt”
key “D:\\Archivos de programa\\OpenVPN\\clientx.key”
comp-lzo
verb 4

Ahora solo falta inicializar en los clientes, para ello es necesario el siguiente código:

openvpn –config “ruta_cliente.ovpn”

En este caso no son necesarios los \\, con uno solo basta.

Con las líneas de arriba se arma la VPN, ahora solo falta modificar el firewall para que esa nueva interfaz sea procesada y sus paquetes sean aceptados. Uso shorewall como frontend de iptables, y las modificaciones necesarias son las siguientes:
/etc/shorewall/zones (agregamos la nueva zona llamada road)

#ZONE TYPE OPTIONS IN OUT
# OPTIONS OPTIONS
road ipv4

/etc/shorewall/interfaces

#ZONE INTERFACE BROADCAST OPTIONS
road tun+ detect routeback

El Broadcast y las opciones se ponen siempre y cuando se pueda accesar desde la red a los usuarios de la VPN

/etc/shorewall/tunnels

#TYPE ZONE GATEWAY GATEWAY ZONE
openvpnserver:1194 net 0.0.0.0/0

openvpnserver puede ser reemplazado por openvpn, aunque no se recomienda debido a que este último no soporta a clientes detrás de un NAT.

/etc/shorewall/policy

#SOURCE DESTINATION POLICY
road loc ACCEPT

Aceptamos todo el tráfico proveniente de la VPN

Reiniciamos el shorewall e iniciamos el openvpn y todo debería funcionar.

Soy exalumno del Colegio de la Inmaculada, colegio jesuita, y en el boletín que periódicamente nos envían, apareció un artículo de Santiago Roncagliolo, exalumno también de mi colegio y el ganador más joven del premio Alfaguara de Novela. Él escribió un artículo interesante sobre la educación jesuita que pasó a copiar.

Jesuitas

Los ex alumnos jesuitas somos una mafia. Esto no es novedad. Pero recientes sucesos me revelan que es más grave de lo que parecía.
La historia es larga. Recuerdo a un cura de mi colegio que nos daba la lata con las personalidades jesuitas de la historia universal: Descartes era alumno jesuita, Fidel Castro era alumno jesuita, esas cosas. Un día le respondí: Julio César Mezzich, número dos de Sendero Luminoso, era jesuita. El cura respondió: “a mí no me importa que ustedes sean grandes estadistas o grandes delincuentes. Lo importante es que sean grandes”. Esa era la filosofía. La mayoría de los colegios religiosos te exigían ser un reprimido. A los del Opus Dei les bastaba con que fueses rico. Pero los jesuitas te educaban para ser “importante”. El lema de San Ignacio, fundador de la Compañía, era “siempre más”.
Con el tiempo, mis compañeros de colegio desarrollaron un sentido de tropa que era el orgullo de los curas y la burla del resto de chicos de nuestra edad. Los de mi colegio eran conocidos por llevar la ropa deportiva escolar incluso fuera de las horas de clase, por andar siempre juntos y sentirse superiores, por cantar el himno del colegio en las borracheras.
El sentido gregario de los jesuitas es casi como una secta. Una vez, en Lima, yo preparaba un reportaje sobre cómo los doctores preparan a los pacientes para la muerte. El tema era tan desagradable que ningún doctor quería hablar. Cuando ya daba el reportaje por perdido, me encontré con un relacionista público de un hospital que era del colegio. Y él me presentó al director del hospital, que también era del colegio. Todo arreglado. En otra ocasión, recién llegado a República Dominicana, tuve acceso a una de las mejores bibliotecas del país porque era de los jesuitas. Bastó citar un par de nombres que certificasen mi currículum en la compañía. En Lima, ser del colegio te conseguía trabajos. Yo mismo, entre dos directores teatrales igualmente cualificados, escogí para mi obra al que era del colegio.
Hasta ahí, la historia es graciosilla. Pero ahora he encontrado una constante triste entre mis mejores amigos peruanos en España. Uno de ellos tiene sólo 24 años y ya es redactor principal de una revista cultural. Su opinión es valorada por algunos de los editores más importantes de este país. Muchos escritores hispanoamericanos mayores que él le damos nuestras novelas antes de publicarlas para escuchar sus comentarios. Su red de contactos parece la de un productor de Hollywood. Sin embargo, él lleva meses deprimido porque se siente “estancado”, y se considera capaz de enfrentar retos más complejos. 24 años tiene el niño.
Mi otro amigo fue siempre el prototipo del inmigrante de éxito en España: aún en los años más difíciles para todos nosotros, él tenía esposa, hija, casa, coche y trabajo en una corporación transnacional. Ahora se está comprando un piso de tres dormitorios con un balcón que mira hasta el mar de Barcelona, y trabaja en una empresa que cotiza en bolsa. Y sin embargo, se siente frustrado. Cree que en el Perú tendría un puesto más relevante, podría hacer cosas por el país. Hasta cierto punto, se siente culpable por no hacerlas.
Yo mismo soy incapaz de reconocer que me va bien, incluso cuando me va muy bien. Los que me conocen me dicen “tú siempre necesitas una razón para estar insatisfecho”. Ya ni siquiera puedo deprimirme porque no me toman en serio.
Hasta hace poco pensaba que yo era neurótico y, por lo tanto, tiendo a conseguir amigos neuróticos. Sólo hoy he tomado conciencia de que los tres somos del mismo colegio. Por Dios ¿Qué nos han hecho? ¿Por qué no se limitaron a despotricar contra los condones como todos los curas?

Hace un par de horas acaba de haber un terremoto de 7.7 grados en la escala de Richter en el Perú, con epicentro en Nazca. Felizmente me agarró en el micro yendo al Estadio para ver el U - Cristal, pero me gané con el pánico que originó el temblor y como la gente salía corriendo a la calle.

Bastantes personas con las que he hablado afirmaron ver como un resplandor instantáneo en el cielo en el momento del Terremoto, pues googleando encontré que ese fenómeno se llama Triboluminiscencia y ha sido ampliamente investigado por el geólogo japonés Kinkiti Musya. También encontré dos videos que los pongo a continuación:

Este 26 de Julio se estrena la película de los Simpsons, y en su página web muestran cosas interesantes (todo en flash). Una de estas cosas es crear tu propio personaje de los Simpsons, parecido al de South Park, solo que acá hay un botón para exportarlo y guardarlo como imagen.

Les dejo mi personaje y el de mis amigos del cole (todos hechos por el chino)

Yo

Chino

Juan

Pedro

Oscar

El día Lunes 2 de Julio a las 7 PM en la Escuela de Gerencia Continental (Jr. Junín 355 Miraflores) se llevará a cabo una conferencia sobre las características de estos equipos, la cual está siendo organizada por el PLUG y por el Centro Open Source.

La charla estará a cargo de Eduardo Silva, quien ha colaborado con el proyecto OLPC desde sus inicios.

La invitación está hecha, por favor visiten la página oficial del evento

¿Alguna vez te preguntaste como serían los personajes de un anime en la vida real?. Pues precisamente de eso trata el corto Otakus, del argentino Andrés Borghi. Les dejo el video para su disfrute.