FreeBSD

Kalo baca-baca postingan saya yang lalu tentang bagaimana membuat koneksi vpn dengan OpenVPN dari source, rasanya repot banget kalau tiap saat harus membuat sertifikat klien yang baru. Kalo masih satu dua sih tidak apa-apa. Akan jadi masalah jika jumlah user sudah mencapai 10an. Dan akhirnya saya menemukan bahwa menjadikan pfSense sebagai vpn concentrator jauh lebih mudah dibanding harus compile OpenVPN dari source dan mengedit konfigurasi dari scratch. Dengan asumsi bahwa pfSense yang digunakan adalah versi  2.0.1-RELEASE

(i386), maka cara setupnya adalah sebagai berikut:

• Pilih menu VPN -> OpenVPN, lalu pilih tab Wizards. Langah ini membuat sertifikat yang akan digunakan untuk membuat sertifikat user


• Pada halaman berikutnya, untuk Type of Server, ada 3 pilihan: Local User Access, LDAP, dan Radius. Karena kita akan menggunakan konfigurasi user sederhana dengan menambahkan user di pfSense, maka kita akan menggunakan Local User Access, lalu klik Next.A Untuk jumlah user yang lebih besar, disarankan menggunakan 2 opsi lainnya.
  


• 
  

  Berikutnya pilih button Add new CA, dan pada halaman Create a New Certificate Authority (CA) Certificate, kita isikan beberapa informasi antara lain Descriptive name: kita isikan deskripsi CA yang akan kita buat. Misal di sini kita beri nama Test.

  
  

  Key length: bebas kita pilih berapa key length yang akan kita buat. Semakin besar, semakin secure. Untuk sementara kita gunakan 2048.

  
  

  Lifetime: secara default system akan terisi 3650. Bisa langsung dilompati.

  
  

  Country Code: untuk Indonesia adalah ID.

  
  

  State or Province: misal di sini diisikan DIY (isikan sesuai nama provinsi tempat tinggal kita).

  
  

  City: isikan nama kota, misal Yogyakarta. 

  
  

  Organization: nama organiasai kita.Bisa diisikan Test.
  

  
  

  E-mail: isikan nama email administrator dari VPN server ini. Lalu klik Add new CA.
  

  
  

  Jadi keseluruhan setting akan nampak seperti ini:

  
  

  
  

  
  

Wah, sudah lama banget tidak bermain dengan mesin satu ini, sampai dengan semalam, akhirnya salah satu kawan mengalami kesulitan mengakses semua web server yang ada di belakang mesin NAT pfSense. Skenarionya adalah, pada router pfSense terdapat beberapa alias ip address public yang dipasang pada external interface-nya. Sedangkan semua web server yang di belakang router diberikan ip address block private (192.168.1.100-192.168.1.200). Sebagai informasi tambahan, semua PC/Workstation yang ada di LAN dijatah blok ip address 192.168.1.1 - 192.168.1.99). 

 Yang menjadi permasalahan adalah, semua web server tersebut bisa diakses dari network luar dengan mengakses ip public 1:1 NAT di pfSense, tetapi tidak dari LAN. Sebenarnya bisa sih jika dari LAN mengakses semua web server dengan memasukkan ip address 192.168.1.100 - 192.168.1.200 di atas, tetapi keinginan dari policy nya tidak begitu. Semua web server tersebut harus bisa diakses via ip public yang diNAT 1:1 baik dari luar jaringan maupun dari LAN.

Skema ini di dalam pfSense disebut sebagai NAT reflection. Cuma setelah baca-baca di beberapa forum pfSense, NAT reflection seperti ini cuma bisa untuk port forwarding. Dan untuk 1:1 NAT, NAT reflection ini harus didisable. Setelah dicoba-coba, akhirnya menemukan cara seperti di bawah ini. Oh iya.. sebelum memulai saya mengasumsikan bahwa pfSense (versi 2.0.1-RELEASE) sudah diinstall dan sudah menjalankan NAT standar untuk outgoing packet-nya. Detail instalasi dari pfSense, pemberian ip address, dan lain sebagainya saya lewati dulu. Kapan-kapan saya bahas di postingan yang lain. 

Gara-gara sering menginstall FreeBSD dengan Apache, MySQL dan PHP dari source, saya mendapatkan kesulitan ketika saya ingin menginstall dari port collection FreeBSD. Pertimbangan saya adalah untuk kemudahan maintenance, update, upgrade, dan kemudahan-kemudahan lain yang saya perlukan ketika saya ingin menginstall sesuatu dari port collection yang notabene aplikasi Web based.

Pada dasarnya instalasinya hanya melibatkan 4 port saja yaitu:

/usr/ports/databases/mysql50-server/
/usr/ports/www/apache22/
/usr/ports/lang/php5/
/usr/ports/lang/php5-extensions/

Sedangkan beberapa langkah tambahannya adalah:

• mengedit file /usr/local/etc/apache22/httpd.conf untuk menambahkan baris:
  AddType application/x-httpd-php .php
  AddType application/x-httpd-php-source .phps
  Lalu untuk parameter DirectoryIndex saya tambahkan index.php disebelah index.html, tanpa tanda koma.


• Menyalin file /usr/local/etc/php.ini-recommended ke /usr/local/etc/php.ini.

Tetapi pada saat saya menjalankan perintah /usr/local/sbin/apachectl start saya mendapatkan error message seperti ini:

httpd: Syntax error on line 104 of /usr/local/etc/apache22/httpd.conf: Cannot load /usr/local/libexec/apache22/libphp5.so into server: /usr/local/lib/compat/pkg/libmysqlclient.so.14: version libmysqlclient_14 required by /usr/local/libexec/apache22/libphp5.so not found

Ternyata permasalahannya adalah pada saat saya menginstall PHP, saya tidak menjalankan make config untuk memberi tanda centang "Build Apache Module". Lalu saya ulangi lagi instalasi PHP dengan terlebih dahulu menjalankan perintah make config yang akan menampilkan menu. Lalu kita centang bagian "Build Apache Module":



Dan tidak lupa pada saat instalasi php5-extensions dengan perintah make config saya tandai opsi "MySQL database support":

Jalankan ulang apachectl. Done.

Karena sudah lama tidak menggunakan server MySQL yang ada di kantor, ketika hendak menggunakannya untuk aplikasi baru, passwordnya malah lupa. Terpaksa browsing-browsing dulu untuk mencari caranya. Dulu sih sudah pernah diajarin sama temen. Jadi supaya tidak lupa lagi, saya tuliskan saja di sini langkah-langkahnya (saya newbie lho untuk bidang MySQL-an, hehehe).

Asumsi

1. Server yang saya gunakan adalah FreeBSD-6.2 Stable. Tapi saya pikir langkah-langkah di bawah ini tidak OS dependence. Jadi bisa dilakukan di semua OS.


2. Server yang saya recover passwordnya adalah bukan server produksi. Jadi kalo misalnya ada yang menggunakan langkah ini untuk server produksi, saya tidak bertanggung jawab atas SP-3 yang muncul kemudian.

Langkah-langkah

1. Matikan proses server MySQL. Ada banyak cara di sini. Yang pertama bisa dengan mematikan melalui perintah "kill -<pid mysql>". Atau melalui perintah "/etc/rc.d/mysql-server stop". Yang penting proses server MySQL tersebut mati.


2. Jalankan mysqld_safe dengan option sebagai berikut:
   

   
   root# mysqld_safe --skip-grant-tables &
   

   
   Setelah itu masuk ke server MySQL:
   

   
   root# mysql -u root
   
   Welcome to the MySQL monitor. Commands end with ; or \g.
   Your MySQL connection id is 14
   Server version: 5.0.51 FreeBSD port: mysql-server-5.0.51
   
   Type 'help;' or '\h' for help. Type '\c' to clear the buffer.
   
   mysql>
   

   
   Secara otomatis kita akan masuk ke account root MySQL tanpa harus mengisikan password.


3. Setelah masuk ke console/prompt MySQL, kita jalankan perintah-perintah ini:
   

   
   mysql> use mysql;
   mysql> update user set password=PASSWORD("PASSWORD-ROOT-YANG-BARU-DI SINI") where User='root';
   mysql> flush privileges;
   mysql> quit
   



4. Setelah itu matikan kembali proses server MySQL yang sekarang, lalu restart proses MySQL dengan normal. Untuk setup di server saya, caranya adalah:
   

   
   root# /etc/rc.d/mysql-server start
   

referensi:
http://www.cyberciti.biz/tips/recover-mysql-root-password.html

Latar Belakang

Ada permintaan dari seorang teman untuk membantu setup DMZ di kantornya. Adapun ketentuannya adalah sebagai berikut:

1. Router utama yang menghadap ke internet memiliki 1 interface internal dan 2 interface external yang akan tersambung ke dua buah ISP yang berbeda, sehingga PF harus bisa melakukan load balance.


2. Terdapat dua buah definisi tabel untuk koneksi LAN yaitu tabel lanA dan tabel lanB. Untuk tabel lanA, akan diarahkan ke ISP-A, sedangan tabel lanB akan diarahkan ke ISP-B.


3. Jika ada host pada masing-masing tabel LAN berusaha terkoneksi ke class ip address yang dimiliki oleh salah satu ISP, maka host tersebut akan diarahkan langsung ke ISP yang bersangkutan. Misalkan tabel lanA yang seharusnya tersambung ke ISP-A, akan secara otomatis tersambung langsung ke ISP-B jika host tersebut mengadakan koneksi ke ip address yang dimiliki oleh ISP-B, begitu juga sebaliknya.


4. Daftar ip address untuk lanA dan lanB di muat dalam sebuah file, untuk mempermudah pengeditan.


5. Rule PF adalah default block, dan hanya memperbolehkan port-port tertentu.


6. Masing-masing interface dilakukan manajemen bandwidth dengan PRIQ dan HFSC.


7. Queue FTP merupakan prioritas terbesar, disusul SSH, lalu yang lainnya.


8. Untuk mengatasi masalah FTP yang melewati NAT, saya menggunakan cara yang sama dengan tulisan yang lalu.

Untuk lebih jelasnya, berikut ini adalah gambar topologinya:

Latar Belakang

Salah seorang teman meminta tolong kepada saya untuk memperbolehkan melewatkan traffic tunnel dari kantornya Yogyakarta ke kantornya di Jakarta melalui server FreeBSD saya. Tunnel yang digunakan adalah GRE/IPIP. Itu berarti akan ada interface tambahan di server FreeBSD saya, yaitu interface gif.

Permasalahan

Policy server FreeBSD saya adalah default block dengan menggunakan PF Firewall, yang tidak bisa mengallow atau memblock semua trafik yang melalui interface gif.

Solusi

Setelah semua rule block di PF, saya menambahkan baris berikut:

block in log on $external_if from any to any
block out log on $external_if from any to any
...
...
...
(rule lainnya)
...
...
pass quick proto ipencap all
...
...
(rule lainnya)
...

Dengan begitu semua trafik tunnel dapat lewat dengan lancar.

Latar Belakang

Dulu sekali sebelum blog OtakUdang yang satu ini saya buat, saya pernah punya blog OtakUdang yang lama ditempatkan di sebuah pergurutan tinggi swasta di Yogyakarta, atas kebaikan seorang teman. Hanya saja server tempat saya hosting gratisan tersebut tidak disambungkan ke UPS sedangkan kondisi listrik di Indonesia... OMG!. Walhasil setelah bolak balik down harddisk server tersebut rusak parah dan data-data postingan saya yang lama tidak bisa terselamatkan. Berbekal pengalaman pahit tersebut, kemudian saya mencoba membangun OtakUdang yang berikutnya (hence OtakUda-NG - Next Genre) di sebuah server sumbangan dari teman saya yang kemudian saya letakkan di kantor saya sendiri, dan tentu saja bandwidth yang digunakan adalah bandwidth gratisan dari kantor. Kali ini saya menggunakan UPS untuk menghindari kejadian yang seperti dulu.

Tidak puas dengan hanya berbekal UPS untuk menjaga data-data postingan, saya kemudian membeli layanan hosting komersial karena saya inget sebuah kalimat bijak Jawa "Murah kok arep njaluk slamet..", dan kebetulan untuk lokasi server saya memilih yang luar negeri. Server yang di luar negeri saya beri nama www1.otakudang.org, sedangkan yang ada di dalam negeri saya berikan nama www2.otakudang.org. Permasalahan berikutnya yang muncul adalah, jika saya melakukan posting di server yang luar negeri, dan kebetulan jika posting saya tersebut harus upload gambar, maka aksesnya tidak akan selancar jika saya mengakses server yang ada di kantor. Jadi idenya adalah, saya posting melalui server yang di kantor, lalu secara otomatis, postingan tersebut juga akan muncul di server yang luar negeri, tanpa harus mengetik ulang. Saya melakukan sinkronisasi ini dengan software rsync untuk file-file yang saya upload. Tapi ternyata saya masih menemui kendala lain yaitu sinkronisasi database MySQL. Akhirnya saya memutuskan menggunakan satu server database saja untuk kedua server tersebut. Server database yang digunakan adalah yang berada di luar negeri. Dan untuk sinkronisasi file, server luar negeri akan saya beri script simple yang akan melakukan sinkronisasi ini di waktu-waktu tertentu, yaitu dengan menggunakan program rsync. Sedangkan rsync tersebut akan saya lewatkan melalui protokol ssh.



Nah, berikutnya, bagaimana saya bisa membuat rsync login otomatis melalui ssh di server remote? Ini adalah permasalah lain lagi.

Asumsi

1. Content web di kedua host sudah sama untuk permulaan, sehingga untuk postingan selanjutnya, kedua host tersebut akan melakukan sinkronisasi sendiri. Sedangkan cara-cara pemindahan data dari host satu ke host lainnya diluar scope pembahasan ini.
   
2. Host MySQL server mengijinkan host lainnya untuk mengakses database di server ini. Periksa firewall/ACL dan permission di database server.
   
3. rsync menggunakan protokol SSH dengan autologin. Sebenarnya bukan praktikal security yang bagus, saya hanya pengen mudah saja, dan ini sudah cukup, kecuali saya punya musuh di NSA dan data yang saya muat adalah data rahasia negara . Jadi, use with your own caution!


4. Oh ya, sehubungan server SQL hanya ada satu, kemungkinan struktur direktori web harus sama. Jika tidak, akali dengan ln -s. Contoh:
   
   direktori data web di server pertama adalah /home/www1/public_html sedangkan direktori data web di server kedua adalah /usr/home/www2, dan privilege akses di kedua server tersebut lebih leluasa di server kedua, maka saya jalankan perintah seperti:
   

   
   shell> mkdir -p /home/www1
   shell> ln -s /usr/home/www2 /home/www1/public_html