wubi還滿好用的

很早以前就知道了ubuntu，那時還感覺不過又是另一個distribution，雖然他主打友善親和力，但貓沒怎麼注意，後來猛然才發覺ubuntu己然形成另一個風潮，國內的mirror也很多。國內mirror多這個還滿吸引我的，可以不用我的小ADSL慢慢從國外update。ubuntu發展基礎的debian又是我很喜歡的distribution，才開始想用他，可是又不想再動我電腦上的windows partition，才看到了wubi，其實wubi的原理很簡單，利用windows原有的partition，將file system變成 windows下的檔案，所以不需要動原有的partition。這有點像一般virtual machine的virtual disk做法。直覺想到的就是效率問題，看網路上說只有小小的效率損失，才試用看看。

現在wubi使用心得，還真的沒什麼效率上的感覺，又不是virtual machine，對我來說，真是太理想啦。我甚至還在用來玩3d game，完全不用擔心啦。加上ubuntu真的很方便，windows下的檔案存取完全不用費心。唯一要小心的是用ntfs，還要是小心磁區分散的問題。不過現在一切都很滿意。

PS.ubuntu還真的很友善，我己經被ubuntu給引吸了。

reference:
ubuntu@taiwan
wubi

openvpn client 投機設定法

一直覺得openvpn雖然有gui的介面，還有許多寫好了的script，但是如果讓light user自己從頭操作，還要拿著自己建起來的的key來server做認證，這樣可能還是有不少的問題。所以我突發奇想，那我幫user全部做好可以嗎？於是我試著在server上直接產生key直接認證，再讓user拿著認證過的key及我己經設定完成的設定檔直接配合openvpn gui使用。還真的能用，這樣就方便很多了，只是這樣不知道有沒有什麼安全上的問題。至少我還沒想到，先這樣試試看。

DNS server "lame server resolving "問題

好久沒去看server的log，今天看了一下，發現出現了許多類似
May 13 04:04:29 server named[19046]: lame server resolving '240.7.50.200.in-addr.arpa' (in '7.50.200.in-addr.arpa'?): 66.231.171.4#53

查一下鳥哥的DNS server教學 LAME Server 的問題 才發現原來問題可能是在我對外查詢的DNS server設定。好像也是換了ISP之後才出現的問題。這樣的話那就不管啦，把log關掉，耳根子清靜一下。我真是個不專業的管理員 。:)

disable lame server log
in named.conf. add

logging {
      category lame-servers { null; };
};

Javascript 開發工具 Aptana

在網路上爬時偶然看到的這個Javascript的IDE，看起來滿好用的感覺，能編寫(那是當然的)也能Debug，還能設中斷點看data content。不過這只是符合我所期待的IDE功能，最讓我眼睛為之一亮的是，他還和redrail結合，同時支援Rails。可得找個時間來玩玩了。

Office Site Aptana

終於也搞定了openvpn

終於也搞定了openvpn，以這麼多資源和相較之下容易多了的設定來說，我還要花這麼多時間真是汗顏啊。

Install Notes。

Server:
1.安裝 lzo
2.安裝 openvpn
3.copy設定範例

cp -r /usr/share/doc/openvpn-2.0.2/easy-rsa/ /etc/openvpn/
cp /usr/share/doc/openvpn-2.0.2/sample-config-files/server.conf /etc/openvpn/

4.設定CA環境 (var 在windows裡就是var.bat)

cd /etc/openvpn/easy-rsa/
export KEY_COUNTRY=TW
export KEY_PROVINCE=Taiwan
export KEY_CITY=Taipei
export KEY_ORG="PersonalVPN"
export KEY_EMAIL="jerry@google.xx"
. ./vars
./clean-all

5.建立root CA

./build-ca
Generating a 1024 bit RSA private key
......++++++
................++++++
writing new private key to 'ca.key'
-----
You are about to be asked to enter information that will be incorporated
into your certificate request.
What you are about to enter is what is called a Distinguished Name or a DN.
There are quite a few fields but you can leave some blank
For some fields there will be a default value,
If you enter '.', the field will be left blank.
-----
Country Name (2 letter code) [TW]:
State or Province Name (full name) [Taiwan]:
Locality Name (eg, city) [Taipei]:
Organization Name (eg, company) [PersonalVPN]:
Organizational Unit Name (eg, section) []:test
Common Name (eg, your name or your server's hostname) []:CA
Email Address [njerry@google.xx]:

6.建立server key及crt

./build-key-server ovpnsrv1
Generating a 1024 bit RSA private key
............................++++++
....++++++
writing new private key to 'ovpnsrv1.key'
-----
You are about to be asked to enter information that will be incorporated
into your certificate request.
What you are about to enter is what is called a Distinguished Name or a DN.
There are quite a few fields but you can leave some blank
For some fields there will be a default value,
If you enter '.', the field will be left blank.
-----
Country Name (2 letter code) [TW]:
State or Province Name (full name) [Taiwan]:
Locality Name (eg, city) [Taipei]:
Organization Name (eg, company) [PersonalVPN]:
Organizational Unit Name (eg, section) []:test
Common Name (eg, your name or your server's hostname) []:ovpnsrv1
Email Address [jerry@google.xx]:

Please enter the following 'extra' attributes
to be sent with your certificate request
A challenge password []:
An optional company name []:
Using configuration from /etc/openvpn/easy-rsa/openssl.cnf
Check that the request matches the signature
Signature ok
The Subject's Distinguished Name is as follows
countryName :PRINTABLE:'TW'
stateOrProvinceName :PRINTABLE:'Taiwan'
localityName :PRINTABLE:'Taipei'
organizationName :PRINTABLE:'PersonalVPN'
organizationalUnitName:PRINTABLE:'test'
commonName :PRINTABLE:'ovpnsrv1'
emailAddress :IA5STRING:'jerry@google.xx'
Certificate is to be certified until Sep 7 20:36:58 2015 GMT (3650 days)
Sign the certificate? [y/n]:y


1 out of 1 certificate requests certified, commit? [y/n]y
Write out database with 1 new entries
Data Base Updated

7.建立Diffie Hellman

./build-dh
Generating DH parameters, 1024 bit long safe prime, generator 2
This is going to take a long time
..................................+............................................
..+............................................................................
...................+....................................+......................

8.安裝 server 所需的 CA 文件

cp keys/ca.crt ../
cp keys/dh1024.pem ../
cp keys/ovpnsrv1.key ../

9.修改server設定檔

cd ../
vi server.conf
dev tap
;dev tun
ca ca.crt
cert ovpnsrv1.crt
key ovpnsrv1.key # This file should be kept secret
cp keys/ovpnsrv1.crt ../

10.啟動 server

service openvpn restart
chkconfig openvpn on

Client
試試看prebuild key能不能簡化install，待續。


參考資料
http://www.study-area.org/tips/openvpn.html

openvpn 大烏龍

之前設定 openvpn的client時，遇到一個問題，openvpn server一直無法sing request給 client，所有的步驟也都沒問題。一直沒仔細看，後來才發現原來我從server copy時，連"xx"的雙引號也copy過去，在 client竟把"當成是設定的一部分，這樣ca就不一樣了，當然無法簽發認證。真是暈倒，白花了一整晚的時間。

終於搞定PPTP VPN了

其實PPTP的server和 client早就設定好了，只是一直覺得windows上的routing table很奇怪，心裡的懷疑終於證實了。client在 client的 network所使用的ip subnetwork不能和server端的一樣，不然windows當然無法設定那些ip的routing是在local，那些ip的routing要經由vpn出去。

不過PPTP沒有加密，還是有安全上的考慮。如果能想辦法讓openvpn的client設定簡化到一般user能使用的程式，我就把pptp換掉。雖然說openvpn己經比IPSec容易設定的多了，但對light user來說，還是有點難度。

By the way, windows的pptp client可以選擇要求加密，那linux的server端要怎麼設定呢？不知道Poptop的pptpd有沒有支援。

雖然都是照著manual設定的，還是順便記錄一下好了

PPTP Server
Enviroment Linux2.6 CentOS4.x
1.安裝 ppp server

2.安裝pptpd

3.安裝lzo

要和windows client配合，需要MPPE
4.安裝dkms

5.安裝mppe dkms driver kernel_ppp_mppe
(pppd, pptpd, dkms, mppe 都可從poptop的project裡 download)

6.檢查kernel module是否正常載入
modprobe ppp-compress-18 && echo success
show出success就表示己正常載入

7.修改/etc/pptpd.conf
ppp用的可以是server同一subnetwok domain，也可以不一樣，如果不一同domain需注意routing設定。最重要的是client的subnetwork domain不要和server的一樣，真的沒辦法時，可能要手動調整 client的routing table，以確保packet會正確的走到vpn的通道

8.在/etc/ppp/chap-secrets設定登入帳號。如果不想和己有的帳號系統配合使用，可以考慮再加裝FreeRADIUS。

9.設定開機載入kernel module
在 modprobe.conf裡加入

alias tty-ldisc-3 ppp_async
alias tty-ldisc-14 ppp_synctty
alias ppp-compress-18 ppp_mppe
alias ppp-compress-21 bsd_comp
alias ppp-compress-24 ppp_deflate
alias ppp-compress-26 ppp_deflate
alias net-pf-47 ip_gre

如果你的pptp使用的ip subnetwork跟server local的不一樣，當然也別忘enable IP forwarding。
10.
如果有firewall也別忘了打開firewall
PPTP使用TCP 1723 及 IP Protocol GRE(47)


Windows Client
windows 2000以上己內建PPTP client的支援，可直接使用 windows的client

參考資料
http://kiwi.csie.chu.edu.tw/blog/archives/14
http://poptop.sourceforge.net/dox/