Redundancia web con DNS Round Robin
Por el 11 de Septiembre de 2023
El algoritmo Happy Eyeballs definido en el RFC 6555 propone dar preferencia a las direcciones IPv6, y en caso de que la conexión no se establezca rápidamente se conecte usando IPv4. Happy Eyeballs 2 (RFC 8305) es una actualización que añade nuevas funcionalidades para reducir la latencia usando múltiples conexiones de forma asíncrona.
Usaré dos servidores web con OpenBSD:
- El servidor A genera los certificados tiene las IPs 203.0.113.100 y 2001:0db8:0:cd30::100
- El servidor B sirve los mismos archivos y tiene las IPs 203.0.113.200 y 2001:0db8:0:cd30::200
Voy a mantener una copia exacta de los mismos archivos a servir tanto en A como en B. El servidor A se encargará de renovar los certificados Let's Encrypt por lo cual todas las consultas web que realiza acme.client(1) serán enviadas a éste.
traffic-advice con OpenBSD httpd
Por el 2 de Septiembre de 2023
Private Prefetch Proxy es un desarrollo de Google para
facilitar la navegación instantánea y transiciones de página fluidas en navegadores Chrome y derivados.
Para configurarlo en un sitio web hay que darle acceso al navegador al fichero /.well-known/traffic-advice servido con el tipo MIME application/trafficadvice+json.
Ofuscación de la cadencia de tecleo en ssh
Por el 30 de Agosto de 2023
Tal y como informa undeadly.org y de acuerdo a este commit de Damiel Miller, desde hace un par de días la versión de ssh de la rama -current de OpenBSD ofusca la cadencia de tecleo enviando tráfico interactivo a intervalos fijos, siendo por el valor por defecto cada 20ms. También envía pulsaciones basura por un intervalo aleatorio después de cada última pulsación real.
Servidor bastión con OpenSSH
Por el 23 de Agosto de 2023
Un servidor bastión hace de pasarela para conectar a otro servidor. También es posible administrar dispositivos inseguros de una red interna desde el exterior de forma segura permitiendo acceso exterior solamente a ese servidor desde el cual se administran lo demás.
Separación de redes en un router OpenBSD
Por el 22 de Agosto de 2023
Parto de un EdgeRouter Lite con OpenBSD y quiero separar el tráfico del puerto LAN en cnmac1 del tráfico de la red Wifi que va conectada a un punto de acceso tonto en cnmac2. El router sale a Internet a través de la interfaz cnmac0 que está configurada como cliente DHCP.
- 192.168.1.0/24 será la red LAN conectada al puerto marcado como eth1
- 192.168.2.0/24 será la red LAN conectada al puerto marcado como eth2
- La red 192.168.2.0/24 no podrá comunicarse con la red 192.168.1.0/24
- Configuro el punto de acceso en lan con IP estática 192.168.2.1 y puerta de enlace 192.168.2.2
- La política del cortafuegos será de denegación por defecto
- El servidor DHCP sirve IPs tanto a la red LAN como a la red Wifi
- El router OpenBSD sirve DNS a la red interna con unbound-adblock
DNSSEC Key Rollover con el método de doble KSK
Por el 19 de Agosto de 2023
Seguiré las explicaciones del RFC 7583 DNSSEC Key Rollover Timing Considerations, en concreto el método Double-KSK Method. Es una operación delicada ya que un error supondrá que la zona no funcione en absoluto durante el tiempo definido por los valores TTL.
IP estática para servidor local usando una VPN
Por el 16 de Agosto de 2023
Con esta configuración un servidor con IP dinámica podrá ofrecer servicios con la IP estática de un servidor remoto usando un VPN y NAT.
- Es mucho más económico que solicitar una IP fija al ISP.
- Permite la configuración de DNS reverso para la IP desde el proveedor.
- Evita que se muestre la IP pública de la red doméstica.
- Soporte IPv6 siempre y cuando elijas un proveedor adecuado.
VPN Gateway en dominio de enrutamiento alternativo
Por el 16 de Agosto de 2023
Esta configuración establece un gateway VPN en un dominio de enrutado alternativo. Es similar a la configuración Road Warrior VPN salvo que el enrutado a través del VPN no está en el dominio de enrutado principal, por lo que sólo se conectarán a través de la VPN las aplicaciones que ejecutes en el nuevo dominio de enrutado.
Topología de red
- foo es mi máquina local detrás de un NAT
- bar es el vps remoto que hará de gateway
- 172.16.0.0/12 es la red privada para la VPN
VPN de malla con WireGuard en OpenBSD
Por el 16 de Agosto de 2023
Tabla de Contenidos
Con una VPN de malla todos los nodos pueden conectarse directamente entre ellos.
Crearé la red privada 10.0.0.0/8 con la siguiente topología:
- Nodo foo 10.0.0.1 detrás de un NAT con IP dinámica.
- Nodo bar 10.0.0.2 con IP pública 203.0.113.24
- Nodo wu 10.0.0.3 con IP pública 198.51.100.76
Red doméstica con DNS reverso y caché local
Por el 15 de Agosto de 2023
Usaré unbound(8) como servidor DNS autoritativo, unwind(8) como servidor DNS caché y dhcpd(8) en OpenBSD 7.3 para una red doméstica con dominio home.arpa partiendo de una red con un router OpenBSD.
- Uso del dominio de uso especial home.arpa. para cada equipo.
- Validación DNSSEC para las consultas DNS externas a la red local.
- Caché DNS local en los equipos conectados al router.
- DHCP para la configuración automática de IPv4 según la dirección MAC.
Esta configuración se puede mejorar incorporando el cortafuegos DNS unbound-adblock en el router.