Algo de Linux: mayo 2015

domingo, 31 de mayo de 2015

Instalar cinnamon en Debian Jessie

Debian Jessie nos permite elegir entre los siguentes entornos de escritorio a la hora de instalarlo:
  • Gnome 3.14
  • KDE 4.11
  • Xfce 4.10
  • LXDE
  • Cinnamon
  • Mate
Uno de los que más me gusta, sin desmerecer a los demás, es  Cinnamon, y probablemente, el que menos me guste sea Gnome 3.14 por diversos detalles en los que no voy a entrar.

En este post, voy a explicar cómo instalar Cinnamon en Debian Jessie, aprovechando que se encuentra disponible en los repositorios de la distribución. Pero esta vez, voy a tratar de explicarlo de la forma más sencilla posible para un usuario con pocos conocimientos técnicos.

Lo primero que vamos a hacer es instalar los paquetes necesarios. Para ello, abrimos un terminal e instalamos los siguientes paquetes: cinnamon-destkop-environment, cinnamon-l10n, lightdm y galternatives.
Con ésto nos estaremos asegurando de tener instalado cinnamon, el gestor de acceso lightdm y galternatives, una herramienta para gestionar las alternativas del sistema desde el entorno gráfico.

El proceso tardará un poco, dependiendo de vuestra velocidad de acceso a internet, puesto que se instalará un buen número de paquetes.

A continuación, desde el mismo terminal, abrimos la aplicación galternatives:


Una vez abierta la aplicación, seleccionamos cinnamon como session-manager, si no nos aparece seleccionado aún:


 Y seleccionamos cinnamon como window manager:


Si tuviérais instalado ya otro gestor de sesiones como gdm3, por ejemplo, al instalar el paquete lightdm os pedirá que seleccionéis el gestor de sesiones que queréis utilizar. Seleccionáis lightdm y listo.

Eso sí, si disponéis de pocos recursos gráficos, en lugar de cinnamon, podéis utilizar mate.
Publicado por primera vez en http://enavas.blogspot.com.es

lunes, 25 de mayo de 2015

Control de acceso wifi en el IES utilizando PfSense

Aprovechando que algún compañero de otro centro me ha vuelto a preguntar qué control de acceso inalámbrico tengo implantado en mi centro, y que muchos otros compañeros me siguen, voy a explicarlo aquí para que a todo el mundo le sirva de orientación: 
 
Para controlar el acceso inalámbrico a la Intranet del centro sigo utilizando freeradius directamente. Esto quiere decir que para poder conectarse en esta red, habrá que configurar un acceso WPA2 Enterprise con EAP/TTLS + PAP en lo clientes. En el blog hay un post de febrero de 2012 con un documento en el que explicaba cómo instalar y configurar freeradius para lograrlo.

Ahora bien, como en un futuro se pretende implantar el sistema BYOD (Bring Your Own Device), que en castellano quiere decir "Trae tu propio dispositivo", y aún no nos han contando cómo se va a implantar, decidí adelantarme y montar mi propio sistema de control de acceso, en lugar de esperar a que se implante en algún momento, pero, sobre todo, motivado por dos razones:
  • Porque en el centro ya me habían pedido poder conectar dispositivos personales ajenos al mismo vía wifi, algo que no podía realizar por disponer del tiempo suficiente para llevar a cabo un proyecto como éste que requiere bastante trabajo y pruebas.
  • Y porque en estos momentos cuento con la ayuda de dos alumnas en prácticas, Raquel y Jennifer, que me están ayudando muchísimo a ponerlo en marcha y probarlo.
La idea se basa en utilizar PfSense, un firewall basado en FreeBSD, para crear un portal cautivo que permita a los usuarios acceder a una red privada que les proporcione un acceso a internet.


De este modo, los usuarios se podrán conectar a la red mediante diferentes puntos de acceso abiertos y tendrán que iniciar sesión para poder navegar, como puede verse en la siguiente imagen:


Se podrá acceder de dos modos:
  • Mediante el usuario y la contraseña con que está dado de alta en el servidor ldap del centro.
  • Mediante un ticket que se podrá generar para dar un acceso limitado en tiempo a usuarios ajenos al centro.
El servidor pfSense tendrá dos interfaces:
  • Una interfaz LAN para dar servicio a clientes inalámbricos en la red 192.168.0.0
  • Una interfaz WAN que servirá para dar acceso a internet a los equipos que se conecten a través de la LAN.


El servidor pfSense, al que hemos llamado firewall, contactará con el servidor freeradius para autorizar a los usuarios que intenten conectar vía wifi. A su vez, el servidor freeradius contactará con el servidor ldap del centro para validar dichos usuarios. Ésto quiere decir que dispondremos de un sistema de control de acceso freeradius+pfsense combinado, pudiendo establecer reglas de control en freeradius y en pfsense.

Por ejemplo, podríamos hacer que los usuarios de un determinado grupo tuvieran acceso durante el horario de mañana y los de otro grupo durante el horario de tarde mediante controles en freeradius y limitar el tiempo que pueden estar conectados mediante el portal cautivo de pfsense.

El firewall pfSense tiene configurado un servidor DHCP que proporciona IP's a los clientes conectados en la LAN 192.168.0.0

Y os preguntaréis: ¿Cómo hago para que los puntos de acceso presten servicio en la red 192.168.0.0 si en el centro tan sólo tengo una red 172.x.x.x? Muy sencillo: Aprovechando que los switches disponen de soporte de VLAN, crearemos una VLAN a través de los switches de nuestro centro a la que se encontrará conectado el firewall en la interfaz LAN.
 Ésto es algo que requerirá un cierto trabajo por vuestra parte, puesto que probablemente no tendréis un mapa de red de vuestro centro en el que se identifiquen al menos los puertos que interconectan los switches, pero tampoco es difícil de identificar si examináis las tablas de enrutamiento de vuestros switches y disponéis de un tester de red. En mi caso hice un mapa de red cuando estuve configurando la telefonía IP con nuestro compañero Javi, de telecomunicaciones.

Por otra parte, he aprovechado que la mayoría de los puntos de acceso de que dispongo tienen soporte de VLAN para hacer que un mismo punto de acceso preste servicio en la VLAN por defecto del centro, por un lado y en la VLAN para dispositivos ajenos por el otro.
Publicado por primera vez en http://enavas.blogspot.com.es

viernes, 22 de mayo de 2015

Permitir root login mediante ssh

Por lo que he podido comprobar, después de instalar Debian Jessie no es posible conectarse vía ssh a la máquina en la que lo hemos instalado. Ésto se debe a que en el fichero de configuración del servidor ssh (/etc/ssh/sshd_config), la directiva PermitRootLogin viene definida así:
PermitRootLogin without-password
Y, como podréis deducir, va ser imposible conectarse así, utilizando una clave pública, a menos que copiemos la clave pública de la máquina en cuestión de forma manual.

Lo que podemos hacer es cambiar la directiva por:
PermitRootLogin yes
De este modo, nos podremos conectar de ambos modos:
  • Utilizando usuario y contraseña.
  • O utilizando una clave pública.
No olvidéis reiniciar el servicio ssh una vez hecha la modificación en el archivo /etc/ssh/sshd_config
Publicado por primera vez en http://enavas.blogspot.com.es

WinFF: Conversor de vídeo desde el entorno gráfico

Muchas veces convertimos vídeos utilizando ffmpeg desde la línea de comandos. Si queréis convertir vuestros vídeos desde el entorno gráfico, podéis utilizar WinFF, un GUI de ffmpeg que os permitirá convertir un vídeo de un formato a otro de una forma fácil,  y rápida, en un solo paso.

Esta herramienta se encuentra disponible tanto para Linux como para Windows.

La instalación en Debian es muy sencilla, puesto que el paquete de instalación se encuentra en los repositorios:
# apt-get install winff
Publicado por primera vez en http://enavas.blogspot.com.es

jueves, 14 de mayo de 2015

Paquetes de Plank 0.9.1 para Debian Jessie

Como ya comenté en un post anterior, Plank es un dock escrito en el lenguaje de programación Vala que me gusta mucho por ser ligero y sencillo, pero que además tiene un añadido muy interesante para mí: Se configura modificando el siguiente fichero en el home del usuario: 

~/.config/plank/dock1/settings 

La ventaja de ésto es que puedo gestionar las configuraciones de los usuarios de una manera muy sencilla desde la línea de comandos o desde scripts.

En el siguiente enlace, podéis descargar el paquete compilado para Debian Jessie 64 bits:
Publicado por primera vez en http://enavas.blogspot.com.es

Instalar paquetes de 32 bits en un sistema Debian Wheezy o Jessie de 64 bits

Si acabáis de instalar un sistema de 64 bits Debian Wheezy o Jessie, que son multiarch, tendréis la posibilidad de instalar paquetes de 32 bits en el sistema. Y me diréis: ¿Para qué puedo querer hacer eso? Bueno, pues básicamente porque muchas veces encontraréis paquetes compilados para 32 bits que no existen en 64 bits.

Podéis comprobar si ya tenéis añadida la arquitectura de 32 bits a vuestro sistema, ejecutando el comando:
# dpkg --print-foreign-architectures
Naturalmente, si acabáis de instalar el sistema, aún no la habréis añadido y la salida del comando no mostrará nada.

Pero, si ahora añadimos la arquitectura:
# # dpkg --add-architecture i386
Y volvemos a ejecutar el comando:
# dpkg --print-foreign-architectures
Comprobaremos que al ejecutarlo, ahora sí nos devuelve como arquitectura añadida i386:
# dpkg --print-foreign-architectures
i386
Publicado por primera vez en http://enavas.blogspot.com.es

Tarjeta inalámbrica Broadcom BCM43xx en Debian Jessie

Instalar nuestra tarjeta Broadcom BCM43xx en Debian Jessie es realmente trivial. Lo único que tendremos que hacer para que funcione es instalar el firmware de la tarjeta, algo de lo más sencillo puesto que existe un paquete en los repositorios que se encarga de descargarlo e instalarlo:
# apt-get install firmware-b43-installer
Una vez instalado el paquete, reiniciamos el equipo y listo.
Publicado por primera vez en http://enavas.blogspot.com.es

sábado, 9 de mayo de 2015

EZcast: Muestra contenidos de tu smartphone, tablet o PC en tu TV

Ahora que está tan de moda usar aplicaciones com Splive Player o Kodi (XBMC) para reproducir contenido multimedia en streaming, EZcast es dispositivo que merece la pena tener a mano, por su bajo precio e interesantes prestaciones.

Básicamente, nos va a servir para visualizar en la pantalla de la TV archivos multimedia de nuestro smartphone, tablet o PC, como fotos, vídeos, audio e incluso archivos pdf.

Pero no sólo sirve para ver en la TV los archivos locales. También nos permite reproducir contenido multimedia de internet  como por ejemplo Youtube o archivos almacenados en la nube.
 
Soporta DLNA, Miracast, AirPlay y permite hacer mirroring de nuestro dispositivo vía wifi.

Además, si lo conectamos a nuestra red wifi, podremos actualizar su firmware automáticamente vía OTA.


El dispositivo se conecta mediante HDMI a la TV. El cable que viene con él sirve para alimentarlo vía USB, ya sea desde un puerto USB de nuestra TV o desde un adaptador de corriente USB. Además el mismo cable tiene en un extremo la interfaz wifi.

Si en vuestro smartphone tenéis instalada alguna aplicación para DLNA, como por ejemplo BubbleUPnP, podréis reproducir directamente vuestros vídeos en la TV.

Pero es que ezCast cuenta también de una completa aplicación disponible en Play Store para mostrar los contenidos de una manera muy sencilla.

  
En la siguiente imagen, podéis comprobar todas las posibilidades del dispositivo:

Con ella controlaréis la visualización de contenidos sin necesidad de un mando adicional.
Publicado por primera vez en http://enavas.blogspot.com.es

Configurar AP D-Link DAP-2310 para prestar servicio en dos VLAN diferentes

En el post anterior, vimos cómo configurar un Dlink DAP-1353 mediante Multi-SSID y Vlan para prestar servicio en dos Vlan diferentes. 

Me gustaba mucho el D-Link DAP-1353, pero cuando fui a comprar otro para ampliar la cobertura de la red wifi, se encontraba descatalogado y en su lugar compramos un D-Link DAP-2310. Este punto de acceso tiene un tamaño  más pequeño, si bien, en lugar de 4 SSID, permite configurar hasta 8 SSID.

En cualquier caso, la configuración para que el AP preste servicio en dos Vlan diferentes es similar al modelo anterior:

Creamos un SSID diferente para cada vlan y configuramos la seguridad que queramos en particular para dicho SSID:


Definimos las Vlan. Como podéis ver en la imagen, en estos momentos, en este punto de acceso tengo definidas dos Vlan: 
  • La Vlan 1 (la Vlan por defecto) para dar servicio en la intranet del centro.
  • La Vlan 3 que es la que uso para dar servicio inalámbrico mediante un portal cautivo en otra red privada.


 Aquí podéis ver los detalles de la Vlan 1:


 Y los detalles de la Vlan 3:


De este modo cada SSID se encuentra en una Vlan diferente, y, por lo tanto, en un dominio de broadcast diferente.


Publicado por primera vez en http://enavas.blogspot.com.es

miércoles, 6 de mayo de 2015

Configurar AP D-Link DAP-1353 para prestar servicio en dos VLAN diferentes

El punto de acceso D-Link DAP-1353 ofrece soporte Multi SSID, lo que nos va a permitir difundir hasta un máximo de 4 redes inalámbricas diferentes utilizando un único punto de acceso. Ésto es algo verdaderamente interesante porque podemos definir diferentes mecanismos de seguridad para cada SSID.

Por ejemplo, en mi centro tengo definido una seguridad WPA2 Enterprise para los usuarios que se conectan a la intranet del centro vía wifi y quien autoriza el acceso es un servidor freeradius que consulta los usuarios en el servidor ldap:


Como sabemos que en un futuro no muy lejano los usuarios deberán traer su propio dispositivo para conectarse a la red, y aún no nos han contado cuál va a ser la infraestructura de que dispondremos, me ha parecido conveniente montar un servidor que permita el acceso de dispositivos ajenos al centro garantizando una cierta seguridad y control, de tal manera que los usuarios de estos dispositivos se conectarán mediante puntos de acceso abiertos a través de un portal cautivo. 

Naturalmente, todo ésto requiere unos cuantos cambios y supone un trabajo extra al que no puedo dedicarle todo el tiempo que me gustaría, pero poco a poco lo iré terminando.

De momento, necesito que los equipos portátiles del centro se puedan seguir conectando mediante WPA2 Enterprise; básicamente porque necesito que establezcan conexión inalámbrica en el inicio, sin tener que esperar a que el usuario acceda a través del portal cautivo. Pero también quiero que sea posible conectar cualquier equipo de forma inalámbrica, independientemente del sistema operativo de que éste disponga (y las complicaciones que tienen algunos para conectarse con determinados tipos de seguridad, como los Apple o algunas versiones de Windows)

Para mantener ambos modos de acceso, en los D-Link DAP-1353 he definido un nuevo SSID con modo de seguridad Abierta sin contraseña y lo he asociado a la VLAN en la que se conectarán los dispositivos externos que vayan a acceder a la red de forma inalámbrica:


Lo realmente interesante de todo ésto es que podemos asignar una Vlan diferente para cada SSID, de tal manera que la seguridad WPA2 Enterprise siga utilizándose en la red interna y se permita un acceso sin contraseña en la Vlan 3, donde tengo un portal cautivo para controlar el acceso de los usuarios:


En la Vlan 1 dejaremos los puertos Mgmt, LAN y Primary sin etiquetar (untagged) y el resto (MSSID y WDS) los marcaremos como no miembros:


En la Vlan 3 (la Vlan que he definido para el acceso inalámbrico) dejaremos los puertos de la siguiente manera:
  • Mgmt: Not member.
  • LAN: Tagged.
  • S-1: Untagged.
  • Y el resto (MSSID y WDS) los marcaremos como no miembros.
Es decir, que en la Vlan 3 el puerto S-1 que se corresponde con el Multi-SSID1, lo dejaremos sin etiquetar para recibir el tráfico de esta Vlan en este SSID. Y el puerto LAN será tagged para permitir el tráfico de la Vlan entre el Punto de Acceso y el Switch donde está conectado y cuyo puerto se encuentra etiquetado para recibir tráfico de las dos Vlan:

Publicado por primera vez en http://enavas.blogspot.com.es

Algunas cuestiones básicas sobre VLAN

Aprovechando que un compañero me ha preguntado sobre el tema de las VLAN y que actualmente estoy trabajando con ellas, voy a comentar una serie de cuestiones básicas.

Para los que no lo sepan, una VLAN (Virtual Local Area Network) es una red lógica dentro de una red física, de tal manera que dentro de una red física vamos a poder crear diferentes redes lógicas que se encuentren aisladas entre sí.

Naturalmente, para poder crear VLAN's necesitamos que nuestros switches implemente esta facilidad.

Hay diferentes tipos de VLAN:
  • Vlan basadas en puerto (vlan de nivel 1): Permiten definir redes virtuales agrupando puertos en el switch o switches.
  • Vlan basadas en la dirección MAC (vlan de nivel 2): Permiten crear redes virtuales agrupando las direcciones MAC de los equipos que pertenecen a dicha red.
  • Vlan de nivel 3:
    • Vlan basadas en dirección IP: Permiten crear redes virtuales agrupando las direcciones IP de los equipos que pertenecen a la vlan.
    • Vlan basadas en protocolo: Permiten crear redes virtuales agrupando los equipos que comparten el mismo protocolo en la red.
Las más comunes y las que más solemos utilizar son las Vlan basadas en puerto. Por lo tanto, vamos a centrarnos en ellas:
  • En una Vlan basada en puerto, la VLAN 1 suele ser la vlan por defecto. A ella se encuentran asignados todos los puertos sin etiquetar (untagged).
  • Un puerto sin etiquetar (untagged) sólo puede pertenecer a una única VLAN.
  • Un puerto etiquetado (tagged) puede pertenecerá a más de una VLAN.
  • Utilizaremos puertos etiquetados para "propagar" una VLAN a través de varios switches. Las etiquetas permiten identificar las tramas de una VLAN entre diferentes switches.
  • Utilizaremos puertos sin etiquetar para conectar hosts, elementos de red sin soporte de VLAN y routers.
  • Habitualmente, los switches nos permiten configurar las VLAN desde una interfaz web o desde un terminal, por ejemplo conectándonos vía telnet. Configurar un switch desde terminal nos permite modificar mayor número de detalles que desde el interfaz web.
  • Los switches 3com tienen un interfaz web de configuración más intuitivo que los Dlink.
  • Cuando en un switch Dlink queremos asignar un puerto a un host de tal manera que sea un puerto sin etiquetar, debemos definir el identificador de la Vlan de este puerto en la sección "Port Vlan ID".
  • Los switches disponen de una opción para monitorizar las Vlan, de tal modo que podemos asegurarnos si la asignación de puertos a cada Vlan es correcta.
  • Es muy importante monitorizar las tablas de enrutamiento porque nos van a permitir comprobar a través de qué puertos se llega a las diferentes Vlan configuradas en los switches.
  • Si queremos utilizar un punto de acceso con MultiSSID que permita mostrar diferentes SSID y que cada SSID dé servicio en una red diferente, tendremos que configurar y asociar Vlan a los diferentes SSID.
  • En nuestro centro disponemos de una Vlan específica para la telefonía VoIP, además de otras Vlan's que definen diferentes redes de datos.
Publicado por primera vez en http://enavas.blogspot.com.es

lunes, 4 de mayo de 2015

Problemas con la wifi con chipset RTL8723BE de los portátiles ttl

Como ya comentamos en un post de octubre de 2014, los portátiles ttl suministrados para FP Básica y Ciclos formativos de informática incorporan una interfaz de red wifi con chipset RTL8723BE que no funcionaba. Los equipos sufrían continuas desconexiones de la red y, en la mayor parte de las ocasiones era imposible volver a reconectar, a menos que reiniciáramos el portátil.

Solucionamos el problema actualizando el kernel a una versión >= 3.15 y añadiendo una opción al fichero de configuración /etc/modprobe.d/rtl9723be.conf:
# echo "options rtl8723be fwlps=N ips=N" | tee /etc/modprobe.d/rtl8723be.conf 
Con todo ésto, los portátiles navegaban pero lo cierto es que seguían sufriendo desconexiones y la navegación, por alguna razón, era lenta.

He pensado que probablemente el driver no funcionara muy bien y quizás existiera una versión más reciente que permitiera solucionar el problema. Así que, aprovechando que hoy estábamos trabajando en el acceso inalámbrico, hemos decidido intentar resolverlo y, de momento, al menos en nuestras pruebas, parece que lo hemos conseguido. ¿Cómo? Instalando los drivers del repositorio https://github.com/lwfinger/rtlwifi_new válidos para cualquier kernel >= 3.0
Este repositorio incluye los siguientes drivers:
rtl8192ce, rtl8192se, rtl8192de, rtl8188ee, rtl8192ee, rtl8723ae, rtl8723be y rtl8821ae.

Os lo cuento paso a paso:

Primero.- Instalamos las herramientas de desarrollo que vamos a necesitar:
# apt-get install build-essential git
Segundo.- Instalamos los headers del kernel que tenemos instalado:
# apt-get install linux-headers-`uname -r`
Tercero.- Descargamos el código fuente de los módulos:
$ git clone https://github.com/lwfinger/rtlwifi_new
Cuarto.- Compilamos el código fuente:
$ make
Quinto.- Instalamos los drivers:
# make install
Sexto.- Para comprobar que funciona, quitamos el driver antiguo y cargamos el nuevo:
# modprobe -r rtl8723be 
# modprobe rtl8723be
O reiniciamos el equipo directamente para que arranque con los drivers nuevos. De este modo, nos aseguramos de que todo funciona como cuando lo utilice el usuario.

Si alguien tiene instalado el kernel 3.16 amd64 y quiere probar estos drivers, utilizando checkinstall he creado un paquete que lo instala: rtlwifi-new_20150504-1_amd64.deb
Como va a sustituir archivos instalados por otro paquete, podéis instalarlo así:
# dpkg -i --force-overwrite rtlwifi-new_20150504-1_amd64.deb
Publicado por primera vez en http://enavas.blogspot.com.es