BigWisu.com

Sejak kemaren saya tiba di Pulau Bangka… tepatnya Pangkal Pinang… Ibukota propinsi Bangka-Belitung… ini adalah kali pertama saya keluar kota tanpa menelpon Ibu dan meminta restu…

Kali ini saya harus melakukan training kepada lokal staff… sekalian menghubungkan LAN di sana ke Corporate Network kita yang dimanage oleh IPCop… kali ini saya menggunakan approach yang berbeda dimana tidak lagi memakai PC bekas yang saya install IPCop… melainkan menggunakan client inksys WRT54G yang saya install DDWRT…

Untuk itu saya menginstall firmware DD-WRT v23 SP2 (09/15/06) vpn ke device tersebut… sebelumnya di Jakarta saya sudah menambahkan sebuah Client Net-to-Host, kemudian setting dan Certificate-nya saya download ke laptop saya…

Sampai di Bangka ADSL Modem gratisan Speedy ternyata sudah di set Bridged oleh teknisi 147… biar tidak menyulitkan kalo mesti manggil teknisi tersebut Modem tidak saya kutak-katik… dan koneksi internet WRT saya setup sebagai PPPoE… dengan memasukkan username dan password speedy di WRT… setelah terkoneksi internet saya mulai ke setting OpenVPN di menu Administration >> Services…

Pertama enable OpenVPN… kemudian saya masukkan hostname IPCop Server saya di Jakarta… port dan setting lainnya tidak saya ubah karena sudah sesuai dengan setting yang ada… yang perlu perhatian adalah certificate… Paket IPCop menggunakan file pkcs12 sementara DDWRT berbeda… untuk itu… Public Server Cert diperoleh dari

openssl pkcs12 -cacerts -nokeys -in BangkaPO.p12 -out BangkaPO.ca

saya tidak memasukkan password… isi file BangkaPO.ca dari -----BEGIN CERTIFICATE----- sampai -----END CERTIFICATE----- saya paste ke isiannya

Public Client Cert diperoleh dari

openssl pkcs12 -clcerts -nokeys -in BangkaPO.p12 -out BangkaPO.crt

kembali saya tidak memasukkan password… dan kemudian isi file BangkaPO.crt dari -----BEGIN CERTIFICATE----- sampai -----END CERTIFICATE----- saya paste

Private Client Key dipeoleh dari

openssl pkcs12 -nocerts -in BangkaPO.p12 -out BangkaPO.key

Password kembali tidak dimasukkan… tetapi proses ini memaksakan sebuah PEM passphrase, untuk itu saya masukkan 4 angka yang mudah saya ingat… setelah itu saya perlu menonaktif dengan cara berikut

openssl rsa -in BangkaPO.key -out BangkaPO.nokey

4 angka yang tadi saya masukkan diminta kembali… setelah itu seluruh isi file BangkaPO.nokey saya paste ke isian terakhir… sehingga hasil akhirnya sebagai berikut

Dan setelah saya berhasil ping appserver di kantor… saya pun berkata “Kerja!!! kantor cabang sudah terkoneksi…”

Hehehehe…

Syukurlah hari ini tidak terlalu sibuk… ada kesempatan ngobrol dan jalan2 keliling kantor… sambil bersosialisasi…

Tentunya tidak lupa memungut camilan di meja temen2 sekantor…

Kemaren sambil ngantuk2 di meeting… saya minta ijin pak Harso untuk mengakses Dell D510 nya via ssh…
Kebetulan boss satu ini bertugas di kantor Surabaya dan sehari2 menggunakan Gutsy Gibbons jadi mumpung meeting bareng di Jakarta dimana tersedia koneksi super gedhe ke lokal mirror Hardy Heron…

Saat saya coba ubah source.list ke hardy… ternyata repo medibuntu untuk hardy belum di mirror sama Anwar… jadi untuk sementara saya gunakan repo medibuntu berikut…

deb http://packages.medibuntu.org/ hardy free non-free

dan karena repo AWN sudah di satukan dengan repo Hardy… repo ini kemudian saya bypass… Setelah diubah saya jalankan

apt-get update

dan akhirnya

apt-get dist-upgrade

Buanyak paket yang di donlod… untung ada repo lokal …
dan setelah selesai reboot… masuk GDM… Login… Cling… desktop terhiasnya masih ngikut

Sementara notebook saya…. masih GG…

Menindak lanjuti post saya tentang CCTV di Ubuntu….

http://www.bigwisu.com/2007/08/26/cctv-dengan-ubuntu-dan-zoneminder

dan pertanyaan mendoza di forum howtoforge.com

http://www.howtoforge.com/forums/showthread.php?t=22563

.deb zoneminder untuk Dapper Drake sudah tidak tersedia di situs http://www.northern-ridge.com.au/zoneminder/ubuntu/dapper/
malah ada solusi lebih bagus…. yaitu sudah diikut sertakannya zoneminder dalam repository Gutsy Gibbons…

wisu@wisu-lenovo:~$ apt-cache search zoneminder
zoneminder - Linux video camera security and surveillance solution

Wabil khusus LTS… Sepertinya LTS berikutnya, Hardy Heron, juga sudah mengikut sertakan zoneminder dalam repo universe…. berhubung saya belum ada workstation HH… maka saya coba cek di lokal mirror saya (kebetulan sedang diupdate ama Anwar)…

wisu@mirror:/srv/debmirror/ubuntu/pool$ find . | grep zoneminder
./multiverse/m/mythplugins/mythzoneminder_0.21.0~fixes16259-0ubuntu1_i386.deb
./multiverse/m/mythplugins/mythzoneminder_0.20.99+trunk15849-0ubuntu1_i386.deb
./multiverse/m/mythplugins/mythzoneminder_0.21.0-0ubuntu2~gutsy1_i386.deb
./multiverse/m/mythplugins/mythzoneminder_0.21.0~fixes15967-0ubuntu1_i386.deb
./multiverse/m/mythplugins/mythzoneminder_0.21.0-0ubuntu3_i386.deb
./multiverse/m/mythplugins/mythzoneminder_0.21.0~fixes16174-0ubuntu1_i386.deb
./multiverse/m/mythplugins/mythzoneminder_0.21.0+fixes16838-0ubuntu1_i386.deb
./multiverse/m/mythplugins/mythzoneminder_0.21.0-0ubuntu2_i386.deb
./multiverse/m/mythplugins/mythzoneminder_0.21.0~fixes16338-0ubuntu1_i386.deb
./universe/z/zoneminder
./universe/z/zoneminder/zoneminder_1.22.3-10_i386.deb
./universe/z/zoneminder/zoneminder_1.22.3-7_i386.deb

Ternyata sudah tersedia di repo…. mudah2 an si mendoza kasih feedback soal instalasinya… … gw kagak sempet ngoprek nih…

Setelah membaca rilis resmi OpenOffice.org 2.4 di websitenya… saya sangat tertarik melihat dengan fitur-fitur baru yang ditawarkan… antara lain “Text to Column” di OOo Calc dan “Query designer” di OOo Base… dan yang paling menarik adalah pernyataan perbaikan performance di versi ini…

Saya kemudian mendownload .deb binary OOo 2.4 dari mirror terdekat…

http://kambing.ui.edu/openoffice/stable/2.4.0/OOo_2.4.0_LinuxIntel_install_en-US_deb.tar.gz

Proses instalasinya sedikit menyebalkan… ternyata versi bawaan Gutsy dianggap lebih tinggi daripada versi 2.4 ini… akhirnya dengan semangat 45 saya coba remove dulu OOo 2.3 bawaan Gutsy… yaitu masing2 paket berikut

openclipart-openoffice.org openoffice.org openoffice.org-base openoffice.org-calc openoffice.org-common openoffice.org-core openoffice.org-draw openoffice.org-evolution openoffice.org-filter-mobiledev openoffice.org-gnome openoffice.org-gtk openoffice.org-help-en-us openoffice.org-hyphenation openoffice.org-impress openoffice.org-java-common openoffice.org-l10n-common openoffice.org-l10n-en-gb openoffice.org-l10n-en-za openoffice.org-math openoffice.org-style-human openoffice.org-thesaurus-en-us openoffice.org-writer

Setelah OOo 2.3 terhapus saya coba install versi terbaru dengan menjalankan script “update“….

sudo ./update

file ini berada dalam archive installer OOo 2.4… dan akhirnya OOo 2.4 terinstall juga …

File2 OOo 2.4 yang terinstall di /opt/openoffice.org2.4/… ternyata tidak langsung terintergrasi dengan desktop saya… saat saya browse directory DEBS, didalam paket installer tersebut… saya menemukan directory “desktop-integration“… didalamnya terdapat file “openoffice.org-debian-menus_2.4-9268_all.deb” saya pun mencoba install paket ini dengan perintah

sudo dpkg -i openoffice.org-debian-menus_2.4-9268_all.deb

Dan seperti yang saya harapkan menu2 OOo 2.4 pun terinstall…
Berikut beberapa screenshot OOo 2.4

Fitur2 baru yang pengen saya harapkan…

Dan ternyata peningkatan performance nya terasa banget …. Mantab….

Minggu lalu saya meminta staff melakukan purchase sebuah cooler untuk notebook saya di kantor… dan hari ini ternyata pesanan saya sudah datang… saat saya colokin… koq ternyata mirip film “2 Fast 2 Furious”

Secara fungsi cukup bagus… dan jujur tampangnya keren… tapi… waduh…. kayaknya salah pilih model deh…
ntar kalo CEO ngeliat…. kebetulan kantornya bersebrangan… bisa-bisa boss mempertanyaankan profesionalitas gue nih…

A simple policy within the company that caused many sleepless night… One day the CEO said…. “We shall not allow chatting”…. O boy… this is a bother… as much as i enjoy Yahoo!Messenger I have to comply….

To achieve this goal first I blocked all outgoing ports… then I had to hand pick some TCP and UDP ports allowed for default services… After that I had to create rules to and from branch offices connecting over VPN… Then I had SquidGuard, in my case URLFilter, screen the http port to disallow chat…

Looking at the logs… turns out that Yahoo Messenger is capable of communicating through the default services i allowed earlier… like a virus Yahoo!Messenger scans the network to identify opened ports and it was successfull with ports 20,21,23,25 and 443… is this legal?… anyway… I limit access of ports 20-25 only to my servers… but 443… Blocking it means no https… I thought SquidGuard could help me but… turns out that https or secure http cannot be proxied transparently…

From http://www.shorewall.net/Shorewall_Squid_Usage.html

…instructions for transparent proxying of HTTP. HTTPS (normally TCP port 443) cannot be proxied transparently (stop and think about it for a minute; if HTTPS could be transparently proxied, then how secure would it be?).

Temporary solution is to allow only a few people access to https… and bad users must live without webmail, web bank and online shopping…

Update : since IPCop can access port 443 and proxy is on 800, someone who manually enters the firewall as proxy can access https sites…

Waduh… bener juga… terkadang kita harus memberikan perhatian lebih terhadap hal ini…

Secara system sudah terblokir… secara management saya coba beri kesempatan… secara pribadi saya ancam akan ngomong ke tunangannya kalo ketahuan lagi…

Mudah-mudahan cara tersebut berhasil… we’ll wait and see…

Setelah mencoba sana-sini beberapa konfigurasi addon URLFilter IPCop… ternyata saya menemukan Blacklist SquidGuard yang di maintain oleh www.shalla.de… dan ternyata blacklist ini sangat detail dan ampuh untuk memanage user-user bandel seperti yang ada di network saya…

Sebelum mengimplementasikan list ini ke dalam URLFilter, saya putuskan upgrade terlebih dahulu addon URLFilter tersebut… dan ternyata setelah saya reload admin GUI IPCop… ternyata URLFilter versi terbaru sudah mengikut sertakan shalla’s list ini kedalam settingnya… dan saya tinggal memilih Shalla Secure Services sebagai default update dari blacklist URLFilter… dan hasilnya seperti tampilan berikut

Sekarang saya tinggal klak… klik… dan klik… sesuai kategori yang begitu detail…

Lisensi dari list ini adalah free tetapi jika digunakan di lingkungan commercial seperti saya… penggunaan oleh user internal di anggap sebagai commercial use… saya harus register secara gratis dengan mengirim email ke info at shalla dot de… yah… tinggal kita tunggu reply dari pengelola list ini…

Tulisan ini sebagai gambaran, sebuah setup yang sangat mudah untuk membuat WAN dengan IPCop.

Sebelum memulai membangun sebuah Network kita harus memetakan network tersebut terlebih dahulu, berikut contoh diagram network yang saya gunakan

Dari diagram tersebut, kita bisa melihat rencana network/subnet masing-masing kantor cabang dan TCP Port yang digunakan untuk koneksi OpenVPN. Perlu diingat satu port hanya bisa digunakan untuk satu koneksi Net-to-Net.

Teknologi OpenVPN ini saya pilih karen sangat fleksibel, dikantor Pekanbaru saya gunakan speedy dengan firewall berada dibelakang NAT modem ADSL… kemudian di Medan saya malah tidak mendapatkan IP Public dari ISP www.citilink.info… jika kita mau implementasi VPN dengan ipsec jelas tidak mungkin dilakukan…

Dikantor utama saya menggunakan sebuah Firewall IPCop 1.4.10, PC Pentium 3 ini memiliki RAM 512 dengan 3 buah NIC (Network Interface Card), dari diagram diatas satu untuk LAN (GREEN), satu untuk Wireless link ke kantor cabang di Jakarta (BLUE) dan satu lagi untuk koneksi Internet (RED) melalui ISP yang memberikan layanan melalui jaringan Fiber Optic. Sebenarnya ada rencana meng-upgrade PC namun itu dengan pertimbangan commercial bukannya performance.

Di masing-masing cabang saya percayakan OpenVPN endpoint pada PC Pentium 2 atau Pentium 3, dengan modifikasi utama yaitu adanya dua buah NIC masing-masing untuk RED dan Green serta mengganti HDD dengan sebuah CF Card… biasanya kapasitas yang saya gunakan berkisar antara 2-4 GB… contoh router/firewall yang sudah dirakit adalah sbb:

Satu hal yang perlu diingat, adalah pasokan listrik… sering kali listrik di kantor cabang padam secara mendadak… baik berasal dari gangguan PLN maupun dari adanya kelebihan beban…

Langkah utama yang perlu dilakukan di setiap instalasi IPCop baik di kantor utama maupun di kantor cabang adalah penambahan addon zerina, bisa di unduh dari www.zerina.de… di awal-awal pengembangannya addon ini, saat saya deploy kantor medan, developer-nya cukup baik hati untuk mendengarkan keluhan saya dan memperbaiki beberapa fitur… sekarang addon ini sudah sangat matang dan telah banyak digunakan…

Setelah menginstall zerina kita harus generate sertifikat, setelah itu opsi Net-to-Net baru akan muncul… di head office kita persiapkan konfigurasi masing-masing kantor sesuai dengan gambar diagram di atas… dan saat deployment ke daerah… kita tinggal me-load konfigurasi yang kita bawa pakai flash disk ke web GUI IPCop kantor cabang…

Monitoring koneksi OpenVPN juga mudah… semua dilakukan dengan GUI