Problema:
Luego de transferir una llamada de una extensión a otra con Asterisk la llamada se cae a los pocos segundos
Topología:
Solución:
La solución es muy sencilla y es configurar en el peer del Media Gateway la opcion canreinvite=no. Dicha opción viene por defecto en yes.
canreinvite=no fuerza al Asterisk a manejar ambos legs de la llamada y permanecer en el medio. Es decir, la comunicación del MediaGateway y del IPPhone pasarán siempre por el Asterisk. Existen otras opciones para evitar ello por ejemplo: utilizar diferentes protocolos y/o utilizar diferentes codecs entre ambos legs.
Procedimiento:
Editar /etc/asterisk/sip.conf y colocar la opción canreinvite=no en el peer. Por ejemplo:
[10.1.1.1]
context=from-internal
dtmfmode=rfc2833
host=10.1.1.1
insecure=very
type=friend
canreinvite=no
Suerte!,
Blog en espanol destinado a diferentes temas tecnicos principalmente en IT y Networking. Se desea cubrir Linux, DNS, DNSSEC, RPKI, BGP, Cisco, Programacion (Bash, Python, etc), Protocolos de Enrutamiento, Seguridad en Redes, VoIP.
martes, 11 de agosto de 2009
domingo, 19 de julio de 2009
Proteccion de hotlink con Apache
Problema:
Poseer un website con contenido de imágenes u otro tipo de media y que existan otros website que hagan referencia a tu contenido. El punto mas negativo de esta situación es que estas gastando TU ANCHO de banda, memoria y recursos de tu servidor. Al problema anterior se le conoce como Hotlinking.
Solución:
En el caso de Apache (existen soluciones similares en IIS) la solución es utilizar el archivo .htaccess con un código que veremos más abajo. Existen dos soluciones: a) bloquear la solicitud HTTP si el HTTP_REFERER no contiene el contenido que deseamos b) Devolver una imagen pre-configurada. En el siguiente artículo nos enfocaremos en devolver un código de error que es mi opción preferida debido a que de esta manera gastamos menos CPU y ahorramos de verdad ancho de banda
Requerimientos:
Servidor Apache con el modulo Rewrite (mod_rewrite).
Procedimiento:
Colocar el siguiente código en el archivo .htaccess
RewriteEngine on
RewriteCond %{HTTP_REFERER} .
RewriteCond %{HTTP_REFERER} !^http://(www\\.)?chistesdevenezuela\\.com [NC]
RewriteRule \\.(gif|jpe?g)$ - [NC,F]
Explicación código anterior:
RewriteEngine on
Este comando comienza el modulo rewrite, necesario para poder trabajar con los comandos rewrite
RewriteCond %{HTTP_REFERER} .
Con este comando permitimos HTTP_REFERERs en blanco. Esto es muy util porque alguien puede escribir directamente el URL en el navegador, su navegador puede estar configurado para no enviar el referrer y/o incluso existen Firewalls capa 7 que eliminan el HTTP_REFERER de la solicitud HTTP
RewriteCond %{HTTP_REFERER} !^http://(www\\.)?chistesdevenezuela\\.com [NC]
Esta línea hace match con aquellas solicitudes que vengan del dominio chistesdevenezuela.com, incluso, no es necesario que lleve el www en el referer. El doble back-slash luego del dominio es para crear un carácter de escape y que el punto en .com se comporte realmente como un punto.
Importante:
Para permitir dominios adicionales solo duplica esta línea cambiando el dominio.
RewriteRule \\.(gif|jpe?g)$ - [NC,F]
Esta linea indica que tipo de archivos serán permitidos desde el dominio especificado en la linea anterior. Para permitir nuevos tipos de archivos solo agrega nuevos pipes seguidos por el tipo de archivo (por ejemplo png, bmps, etc).
Eso es todo,
Suerte.
lunes, 13 de julio de 2009
Mantener el nivel del volumen en telefonos Polycom
Problema:
Durante una llamada telefónica se ajusta el volumen del teléfono. Al finalizar la llamada y comenzar una nueva el volumen retoma su valor original
Solución:
Primero que nada es necesario tener provisioning de los telefonos por TFTP o FTP. La solución no se puede implementar por la configuración vía Web.
Procedimiento:
1) Editar el archivo sip.cfg
2) Colocar el valor 1 a las etiquetas que indiquen: voice.volume.persist.XXX. Donde XXX puede ser: handset, headset o speakerphone. Por ejemplo: voice.volume.persist.handset=1
Reiniciar el teléfono.
Suerte!
Durante una llamada telefónica se ajusta el volumen del teléfono. Al finalizar la llamada y comenzar una nueva el volumen retoma su valor original
Solución:
Primero que nada es necesario tener provisioning de los telefonos por TFTP o FTP. La solución no se puede implementar por la configuración vía Web.
Procedimiento:
1) Editar el archivo sip.cfg
2) Colocar el valor 1 a las etiquetas que indiquen: voice.volume.persist.XXX. Donde XXX puede ser: handset, headset o speakerphone. Por ejemplo: voice.volume.persist.handset=1
Reiniciar el teléfono.
Suerte!
Deshabilitar el boton de forward/redirigir en telefonos Polycom
Problema:
Algunas personas intencionalmente o inintencionalmente habilitan el forward/redirigir a otras extensiones, esto puede causar muchas molestias, inconvenientes y malestares innecesarios.
Necesidad:
Deshabilitar el boton de "forward" en los telefonos Polycom Sound Point (modelos 430, 330, 301, 401, 501, etc).
Solución:
Primero que nada es necesario tener provisioning de los telefonos por TFTP o FTP. La solución no se puede implementar por la configuración vía Web.
Procedimiento:
1) Abre el archivo mac.cfg (con vi, emacs o algún otro editor de texto/xml).
Ubica los parametros divert
3) Coloca divert.fwd.x.enabled en 0 (donde x es el número de registro del telefono, por ejemplo=1,2). Sin no consigues los tags/etiquetas de divert puedes copiarlos del archivo sip.cfg
Reinicia el telefóno.
Listo,
Suerte!
Traido gracias a: http://www.fenixone.com
Algunas personas intencionalmente o inintencionalmente habilitan el forward/redirigir a otras extensiones, esto puede causar muchas molestias, inconvenientes y malestares innecesarios.
Necesidad:
Deshabilitar el boton de "forward" en los telefonos Polycom Sound Point (modelos 430, 330, 301, 401, 501, etc).
Solución:
Primero que nada es necesario tener provisioning de los telefonos por TFTP o FTP. La solución no se puede implementar por la configuración vía Web.
Procedimiento:
1) Abre el archivo mac.cfg (con vi, emacs o algún otro editor de texto/xml).
Ubica los parametros divert
3) Coloca divert.fwd.x.enabled en 0 (donde x es el número de registro del telefono, por ejemplo=1,2). Sin no consigues los tags/etiquetas de divert puedes copiarlos del archivo sip.cfg
Reinicia el telefóno.
Listo,
Suerte!
Traido gracias a: http://www.fenixone.com
viernes, 10 de julio de 2009
Como activar las licencias dentro de un firewall Juniper
Objetivo:
Activar las diferentes licencias adquiridad (por ejemplo Antivirus) dentro de una caja Juniper SSG5
Problema:
Luego de que recibí la caja no tenía la menor idea de como activar el Antivirus (AV) dentro del mismo
Procedimiento:
Procedí a abrir un ticket dentro del website de Juniper indicando mi problema
Solución:
* Conectar la caja a Internet y con navegación
* Asegurarse que el firewall pueda navegar. Recomiendo entrar a la caja por ssh y/o telnet y hacer un ping a yahoo.com o google.com
* Colocar fecha y hora de la caja (MUY importante)
* Posteriormente hay dos maneras de actualizar las licencias: Web y CLI
Vía Web:
Ir a: Configuration>update>screen OS/keys y hacer click en retrieve subscriptions
Vía CLI:
cst-1->exec license-key update
o
cst-1->exec license-key.
Luego la caja se conectará a lo que Juniper llama el Entitlement Server y traerá las licencias compradas y registradas dentro del Website de Juniper.
Eso es todo,
Activar las diferentes licencias adquiridad (por ejemplo Antivirus) dentro de una caja Juniper SSG5
Problema:
Luego de que recibí la caja no tenía la menor idea de como activar el Antivirus (AV) dentro del mismo
Procedimiento:
Procedí a abrir un ticket dentro del website de Juniper indicando mi problema
Solución:
* Conectar la caja a Internet y con navegación
* Asegurarse que el firewall pueda navegar. Recomiendo entrar a la caja por ssh y/o telnet y hacer un ping a yahoo.com o google.com
* Colocar fecha y hora de la caja (MUY importante)
* Posteriormente hay dos maneras de actualizar las licencias: Web y CLI
Vía Web:
Ir a: Configuration>update>screen OS/keys y hacer click en retrieve subscriptions
Vía CLI:
cst-1->exec license-key update
o
cst-1->exec license-key
Luego la caja se conectará a lo que Juniper llama el Entitlement Server y traerá las licencias compradas y registradas dentro del Website de Juniper.
Eso es todo,
miércoles, 8 de julio de 2009
Firewall bueno, gratuito y configurable en Windows
Necesidad:
Quitar el acceso a Internet a 100 localidades y solo permitir DNS y FTP. De ser posible gratuito.
En cada localidad solo existe un PC conectado a Internet y dicho PC puede estar conectado de muchas maneras diferentes: Ethernet, Wireless; GSM, EVDO, UMTS, etc, etc.
Por ello, el firewall a utilizar debe de ser capaz de implementar las políticas en TODAS las interfaces del PC
Solución:
Luego de buscar mucho por Internet, incluso probar varios diferentes Firewall logré conseguir: WIPFW
Wipfw lo definen como un Firewall sencillo y eficiente para el mundo del sistema operativo Windows.
En fin, no voy a entrar en detalles de donde bajarlo y como instalarlo. Voy a indicar el procedimiento que seguí para unicamente permitir FTP Y DNS.
Procedimiento:
1) Luego de tener el software instalado en: c:\wipfw procedí a modificar el archivo: wipfw.conf y lo dejé de la siguiente manera:
# First flush the firewall rules
-f flush
# Localhost rules
add 100 allow all from any to any via lo*
# Mis politicas
add 101 allow tcp from me to any 53 out
add 102 allow udp from me to any 53 out
add 103 deny tcp from me to any 1863 out
add 104 allow tcp from me to any 20 out
add 105 allow tcp from me to any 21 out
# Prevent any traffic to 127.0.0.1, common in localhost spoofing
add 110 deny log all from any to 127.0.0.0/8 in
add 110 deny log all from 127.0.0.0/8 to any in
# Bloquear TODO el resto del tráfico. No quiero que naveguen y nada
add 115 deny log all from any to any out
add check-state
add pass all from me to any out keep-state
add count log ip from any to any
2) Posteriormente ejecutas el archivo: install.cmd ubicado en c:\wipfw
3) En caso de necesitar deshabilitar el firewall debes ejecutar: c:\wipfw\uninstall.cmd
Suerte!.
Quitar el acceso a Internet a 100 localidades y solo permitir DNS y FTP. De ser posible gratuito.
En cada localidad solo existe un PC conectado a Internet y dicho PC puede estar conectado de muchas maneras diferentes: Ethernet, Wireless; GSM, EVDO, UMTS, etc, etc.
Por ello, el firewall a utilizar debe de ser capaz de implementar las políticas en TODAS las interfaces del PC
Solución:
Luego de buscar mucho por Internet, incluso probar varios diferentes Firewall logré conseguir: WIPFW
Wipfw lo definen como un Firewall sencillo y eficiente para el mundo del sistema operativo Windows.
En fin, no voy a entrar en detalles de donde bajarlo y como instalarlo. Voy a indicar el procedimiento que seguí para unicamente permitir FTP Y DNS.
Procedimiento:
1) Luego de tener el software instalado en: c:\wipfw procedí a modificar el archivo: wipfw.conf y lo dejé de la siguiente manera:
# First flush the firewall rules
-f flush
# Localhost rules
add 100 allow all from any to any via lo*
# Mis politicas
add 101 allow tcp from me to any 53 out
add 102 allow udp from me to any 53 out
add 103 deny tcp from me to any 1863 out
add 104 allow tcp from me to any 20 out
add 105 allow tcp from me to any 21 out
# Prevent any traffic to 127.0.0.1, common in localhost spoofing
add 110 deny log all from any to 127.0.0.0/8 in
add 110 deny log all from 127.0.0.0/8 to any in
# Bloquear TODO el resto del tráfico. No quiero que naveguen y nada
add 115 deny log all from any to any out
add check-state
add pass all from me to any out keep-state
add count log ip from any to any
2) Posteriormente ejecutas el archivo: install.cmd ubicado en c:\wipfw
3) En caso de necesitar deshabilitar el firewall debes ejecutar: c:\wipfw\uninstall.cmd
Suerte!.
miércoles, 24 de junio de 2009
Conectando back2back routers Cisco. Frame Relay, HDLC y PPP
En estos dias he estado montando un laboratorio de CCNA y he tenido que realizar diferentes conexiones Back2Back entre diferentes routers Cisco. En fin les doy un pequeno resumen. Espero sea util:
1) Back2Back con enlaces seriales
Lo primero que necesitas son dos cables seriales: Uno debe ser DTE (generalmente con conector macho) y el otro debe ser DCE (generalmente con conector hembra)
a) Conectando HDLC (mas facil)
Configuracion del lado donde hayas colocado el cable DCE:
interface Serial0
ip address 10.0.0.1 255.255.255.252
clockrate 64000
no cdp enable
Configuracion del lado donde hayas colocado el cable DTE:
interface Serial1
ip address 10.0.0.2 255.255.255.252
no cdp enable
Notese que la configuracion del cable donde se encuentra el cable DCE debe tener el comando clockrate. Esto es muy necesario porque el router con el cable DTE necesito recibir el reloj porque son enlaces sincronos y es necesario un dispositivo que entregue el reloj a la red.
troubleshooting
#show controller s0
#ping 10.0.0.1
#ping 10.0.0.2
#show interface s0
b) Conectando utilizando Frame Relay (mi recomendacion en caso de un Laboratorio)
El motivo porque recomiendo esta configuracion sobre todo para un laboratorio de Cisco es que te permite crear varios enlaces (PVCs) entre los dos routers lo que te dara mas flexibilidad para tus configuraciones (protocolos de enrutamiento dinamico, suspender un enlace para una prueba, etc)
Configuracion del lado donde hayas colocado el cable DCE:
!
interface Serial0
no ip address
encapsulation frame-relay
no keepalive
clock rate 64000
!
interface Serial0.1 point-to-point
ip address 10.0.01 255.255.255.252
frame-relay interface-dlci 101
Configuracion del lado donde hayas colocado el cable DTE:
!
interface Serial0
no ip address
encapsulation frame-relay
no keepalive
!
interface Serial0.1 point-to-point
ip address 10.0.0.2 255.255.255.252
frame-relay interface-dlci 101
Notese que donde se encuentra el cable DCE tuvo que colocarse nuevamente el comando clockrate para que dicho router diera reloj a la red. En esta oportunidad adicionalmente hubo que colocar el comando no keepalive el cual deshabilita el procesamiento de LMI. Por ultimo, notese que se crearon subinterfaces point-to-point. A pesar de que la configuracion se puede realizar dentro de la interfaz madre (S0) aconsejo realizarlo dentro de la subinterfaz para ganar flexibilidad (por ejemplo, crear nuevas subinterfaces como s0.2, s0.3)
Troubleshooting:
#show interface
#show frame-relay pvc
#show frame-relay map
#ping
#show controller
2) Utilizando las interfaces Aux
Si te encuentras construyendo un Lab seguramente deseeas tener muchas conexiones para realizar muchas pruebas. Algo que puede ser muy util es conectar dos routers back2back utilizando el cable de consola entre dos routers en sus puertos Aux. La configuracion seria la siguiente:
Primo debes averiguar en cada router el numero de la interfaz Async, recomiendo que entres en modo configuracion global e intentes configurar la interfaz async1 a la async5.
En ambos routers lleva una configuracion como esta (ojo con los IPs). Esta configuracion permite IP, protocolos de enrutamiento, etc. Es muy importante que el txspeed en un router sea el rxspeed en el otro y viceversa.
interface Async1
ip address 192.168.10.1 255.255.255.0
encapsulation ppp
async default routing
async mode dedicated
!
line aux 0
modem InOut
transport input all
rxspeed 38400
txspeed 38400
flowcontrol hardware
Troubleshooting:
#show line
#ping
3) Utilizando enthernet
Tan solo es necesario un cable cruzado entre los puertos ethernet de los routers
Suerte y espero haya sido util esta informacion
1) Back2Back con enlaces seriales
Lo primero que necesitas son dos cables seriales: Uno debe ser DTE (generalmente con conector macho) y el otro debe ser DCE (generalmente con conector hembra)
a) Conectando HDLC (mas facil)
Configuracion del lado donde hayas colocado el cable DCE:
interface Serial0
ip address 10.0.0.1 255.255.255.252
clockrate 64000
no cdp enable
Configuracion del lado donde hayas colocado el cable DTE:
interface Serial1
ip address 10.0.0.2 255.255.255.252
no cdp enable
Notese que la configuracion del cable donde se encuentra el cable DCE debe tener el comando clockrate. Esto es muy necesario porque el router con el cable DTE necesito recibir el reloj porque son enlaces sincronos y es necesario un dispositivo que entregue el reloj a la red.
troubleshooting
#show controller s0
#ping 10.0.0.1
#ping 10.0.0.2
#show interface s0
b) Conectando utilizando Frame Relay (mi recomendacion en caso de un Laboratorio)
El motivo porque recomiendo esta configuracion sobre todo para un laboratorio de Cisco es que te permite crear varios enlaces (PVCs) entre los dos routers lo que te dara mas flexibilidad para tus configuraciones (protocolos de enrutamiento dinamico, suspender un enlace para una prueba, etc)
Configuracion del lado donde hayas colocado el cable DCE:
!
interface Serial0
no ip address
encapsulation frame-relay
no keepalive
clock rate 64000
!
interface Serial0.1 point-to-point
ip address 10.0.01 255.255.255.252
frame-relay interface-dlci 101
Configuracion del lado donde hayas colocado el cable DTE:
!
interface Serial0
no ip address
encapsulation frame-relay
no keepalive
!
interface Serial0.1 point-to-point
ip address 10.0.0.2 255.255.255.252
frame-relay interface-dlci 101
Notese que donde se encuentra el cable DCE tuvo que colocarse nuevamente el comando clockrate para que dicho router diera reloj a la red. En esta oportunidad adicionalmente hubo que colocar el comando no keepalive el cual deshabilita el procesamiento de LMI. Por ultimo, notese que se crearon subinterfaces point-to-point. A pesar de que la configuracion se puede realizar dentro de la interfaz madre (S0) aconsejo realizarlo dentro de la subinterfaz para ganar flexibilidad (por ejemplo, crear nuevas subinterfaces como s0.2, s0.3)
Troubleshooting:
#show interface
#show frame-relay pvc
#show frame-relay map
#ping
#show controller
2) Utilizando las interfaces Aux
Si te encuentras construyendo un Lab seguramente deseeas tener muchas conexiones para realizar muchas pruebas. Algo que puede ser muy util es conectar dos routers back2back utilizando el cable de consola entre dos routers en sus puertos Aux. La configuracion seria la siguiente:
Primo debes averiguar en cada router el numero de la interfaz Async, recomiendo que entres en modo configuracion global e intentes configurar la interfaz async1 a la async5.
En ambos routers lleva una configuracion como esta (ojo con los IPs). Esta configuracion permite IP, protocolos de enrutamiento, etc. Es muy importante que el txspeed en un router sea el rxspeed en el otro y viceversa.
interface Async1
ip address 192.168.10.1 255.255.255.0
encapsulation ppp
async default routing
async mode dedicated
!
line aux 0
modem InOut
transport input all
rxspeed 38400
txspeed 38400
flowcontrol hardware
Troubleshooting:
#show line
#ping
3) Utilizando enthernet
Tan solo es necesario un cable cruzado entre los puertos ethernet de los routers
Suerte y espero haya sido util esta informacion
Suscribirse a:
Entradas (Atom)
Video: Revisando la nueva características AddPaths-Limit en FRR. Una mejora al tradicional AddPath de BGP
En el video recorremos y realizamos un Demo sobre el draft "Paths Limit for Multiple Paths in BGP ". Un documento que viene a se...
-
Debido al crecimiento moderado que ha tenido el presente blog se me ocurrió añadir/integrar las estadisticas de google analytics a mi blog. ...
-
Introduccion: En algunas ocasiones es necesario "bajar" o deshabilitar iptables en nuestro Linux, el procedimiento depende de...
-
Saludos, Lo primero que debemos de hacer para quitar el stacking entre los switches es desconectar los cables Stack que los unen.... Es buen...