Yang Terlupakan

 pastikan OpenConnect VPN Server (ocserv) sudah berjalan dengan baik, di sini dengan debian 12, 1. enable log di ocserv edit /etc/ocserv/ocserv.conf  log-level = 1  log-file = /var/log/ocserv/ocserv.log jangan lupa restart sudo systemctl restart ocserv  2. jika log tidak muncul di  /var/log/ocserv/ocserv.log dan masih di syslog nano /etc/rsyslog.d/30-ocserv.conf isi if $programname == 'ocserv' then /var/log/ocserv/ocserv.log & stop kemudian restart rsyslog sudo systemctl restart rsyslog cek log sudah ada dan normal berikut potongan log nya 2026-01-20T12:35:22.401936+07:00 debian ocserv[1048]: plain-auth: error authenticating user 'billy' 2026-01-20T12:35:22.402134+07:00 debian ocserv[1055]: ocserv[1055]: worker[billy]: 192.168.130.2 worker-auth.c:1724: failed authentication for 'billy'   3. buat filter untuk fail2ban nano /etc/fail2ban/filter.d/ocserv.conf isi [Definition] failregex = .*worker.*: <HOST> .* failed authentication for .* ignoreregex ...

This is user manager webmin module for Ocserv or openconnect vpn, add user, remove user, show all user, show online user and disconnect extract / clone (example ocserv-panel) directory copy to /usr/share/webmin Requirement pakage install libcgi-pm-perl on debian apt install libcgi-pm-perl install expect package on debian apt install expect restart systemctl restart webmin check perl /usr/share/webmin/ocserv-panel/index.cgi or download ocserv-panel.wbm.gz then install module for from webmin module   download module https://github.com/tux-racer/webmin-ocserv-panel/releases for detail https://github.com/tux-racer/webmin-ocserv-panel  

Lama tidak membuat catatan, kali ini tentang Recursive Routing Mikrotik, yang akan di pake di router utama dengan 2 isp, apabila jalur isp 2  "unreadable" maka routing otomatis di alihkan ke isp 1 ISP1: Gateway IP 49.0.0.1 ISP2: Gateway IP 192.168.200.1 Recursive route untuk menentukan keterjangkauan setiap gateway ISP menggunakan server DNS publik 8.8.8.8   Langkah 1: Tambahkan Routes ke 8.8.8.8 dengan gateway ISP2 192.168.200.1, check gw ping Langkah 2: Tambahkan Routes 0.0.0.0 dengan gateway 8.8.8.8, check gw ping, target scope 30 Rule diatas mungkin  tidak sesuai standar penentuan gateway, karena menggunakan 8.8.8.8 sebagai gateway, namun dengan target-scope=30 rule tersebut bisa melakukan lookup ke hop selanjutnya dengan scope ≤ 30 sehingga menjadi recursive gateway.    Hasil nya sebagai berikut  Bisa juga di tambahkan netwatch ke host 8.8.8.8 untuk mengaktifkan rule yang lain   Semoga bermanfaat   sumber https://citraweb.com/artikel_lihat...

Cloudflare Argo Tunnel adalah sebuah aplikasi tunneling (proxy) untuk meng-ekspos jaringan private localhost/ LAN ke jaringan publik via domain name, Pastian persyaratan Mikrotik mendukung container untuk menjalan docker, minimal versi 7.4 dan artsiketurnya arm64 atau x86, ram dan storage nya cukup disini memakai Mikrotik CHR dan di tambah storage untuk menyimpan dan menjalankan docker Pastikan mikrotik sudah di install paket container dan sudah di enable Container mode dalam device mode 1. Tambahkan virtual Ethernet untuk container misal dengan ip 172.17.0.3/24 dan gw 172.17.0.1  2. Membuat Bridge    3. Menambahkan port kedalam bridge yang telah di buat   4. Menambahkan ip ke bridge yang akan di jadikan gateway untuk virtual Ethernet ( 172.17.0.1)   5. Tambahkan scrnat dan masquerade untuk subnet 172.17.0.0/24 6. Tambahkan dstnat dan dst-nat untuk mengkases  172.17.0.0/24 dari luar via ip 10.10.1.199     7. Tambahkan registry url "htt...

Berikut ini image virtual machine ova OpenWRT 22.03.5 X86, 2 core processor,  2g ram,  1g hdd ide,  2 nic  bisa untuk vmware player atau virtual box silahkan download disini Salam Semoga bermanfaat

Langsung setelah lama tidak mengikuti dns server bind versi baru mulai versi 9.17 sudah support doh dan dot, di sini memakai bind 9.18 di debian 11 tambahkan repo deb https://packages.sury.org/bind/ bullseye main pastikan gpg sudah di add dan install bind # apt install bind9   tambah di bind konfig nya /etc/bind/named.conf tls server-tls {   cert-file "/etc/bind/ssl/cert.crt";   key-file "/etc/bind/ssl/privatekey.pem";   dhparam-file "/etc/bind/ssl/ssl-dhparams.pem";   protocols { TLSv1.2; TLSv1.3; };   ciphers "HIGH:!kRSA:!aNULL:!eNULL:!RC4:!3DES:!MD5:!EXP:!PSK:!SRP:!DSS:!SHA1:!SHA256:!SHA384";   prefer-server-ciphers yes;   session-tickets no; }; options {     directory "/var/cache/bind";     dnssec-validation auto;     listen-on port 853 tls server-tls { any; };     listen-on port 443 tls server-tls http default {any;};     forwarders {      ...

 Langsung saja di sini menggunkan openvpn di debian dan Mikrotik client ada pun persyaratan untuk bisa terhubung dengan mikrotik sbb 1 protocol harus tcp, udp blm support 2 tls-auth tidak support 3 cipher harus AES-128-CBC 4 authentication  SHA1 atau md5 5 compression tidak support Pastikan server di konfigurasi memenuhi persyartan tersebut karena kemampuan mikrotik baru sampai disitu, jadi sayang karena menurunkan keamanan server Server side Gunakan sertifikat untuk client yang telah di buat, ada ca.crt, mikrotik.key dan mikrotik.crt sebelum digunakan mikrotik.key harus di convert ke PEM format $ cat mikrotik.key mikrotik.cert > mikrotik.pem lalu upload sertifikat kedalam mikrotik – ca.crt – mikrotik.crt – mikrotik.pem   Setup Mikrotik Client Import di system mikrotik. /certificate import file=mikrotik.crt import file=mikrotik.pem import file=ca.crt   /interface ovpn-client add \ name=openvpn connect-to=103.1.1.1 auth=sha1 cipher=aes256 \ certificate=mikrotik.crt...

 Beberakali mengamati log file di mail server masih ada attachment file yang lolos dari spammer, sebenarnya file ini berbahaya karena file executable atau exe yang di rename menjadi PT001060523.PDF.rar sehingga masih bisa lolos di anti spam baik spamassassin dan amavis-new dah hal ini bisa mengelabui user si penerima email. Dengan demikian kita bisa meng improve mail server kita dengan menambahkan check attachment dengan double extension tsb 1. bikin file /etc/postfix/header_custom     di isi regex sbb      /name=[^>]*\.(PDF.rar)/   REJECT      /name=[^>]*\.(PDF.zip)/   REJECT 2. root@mail: postmap /etc/postfix/header_custom 3. Tambahkan header_checks = regexp:/etc/postfix/header_custom di /etc/posfix/main.cf 4. restart server posfix systemctl restart postfix.service adapun hasil log nya sbb Jun  5 10:08:17 mail postfix/cleanup[54284]: 4QZJTD42Zwz7tdk: reject: header Content-Type: application/vnd...

Melanjutkan artikel yang lalu Squid Proxy ssl bump untuk transparent HTTPS ada beberapa kondisi koneksi tidak bisa berjalan normal lewat squid bump ini Anda mungkin perlu menambahkan pengecualian untuk Bumping SSL dalam kasus berikut:      Perangkat lunak menggunakan protokol selain HTTPS (seperti SSH, RDP, atau VPN).      Perangkat lunak atau sumber daya web menggunakan protokol WebSockets atau HTTP/2.0.      Algoritme enkripsi nasional (seperti GOST atau SM2) digunakan untuk mengakses sumber daya web.      Perangkat lunak menggunakan penyematan sertifikat server.      Perangkat lunak atau sumber daya web memerlukan otorisasi berdasarkan sertifikat SSL klien. Yang pasti whatsapp app dan whatsapp web tidak bisa konek kalau pake squid ssl bump Untuk itu kita bisa membypass nya atau membuat pengecualian nya  Untuk menambahkan pengecualian SSL Bumping: Buat file bernama /etc/squid/dono...

Karena ada ip selalu mencoba kirim spam, kita bisa mem block IP nya tersebut setelah beberapa kali ditolak karena ip reputasi nya tidak baik, ip tersebut tidak punya ciri legitimate mail server yang baik dan benar, parahnya lagi ip tersebut mencoba konek sebanyak 125 kali kurang dari 24 jam terakhir ke salah satu [email protected] dan potongan log nya sbb. dan pastikan fail2ban sudah berjalan normal Mar  5 02:24:02 antispam postfix/postscreen[112526]: CONNECT from [117.66.xx.xx]:56802 to [10.10.0.31]:25 Mar  5 02:24:02 antispam postfix/dnsblog[112529]: addr 117.66.xx.xx listed by domain rbl.org as 127.0.0.2 Mar  5 02:24:02 antispam postfix/dnsblog[112533]: addr 117.66.xx.xx listed by domain rbl.org as 127.0.0.3 Mar  5 02:24:02 antispam postfix/dnsblog[112533]: addr 117.66.xx.xx listed by domain rbl.org as 127.0.0.4 Mar  5 02:24:02 antispam postfix/dnsblog[112533]: addr 117.66.xx.xx listed by domain rbl.org as 127.0.0.2 Mar  5 02:24:02 antispam postfix/dnsblog...

 Untuk debian 10 tidak ada xtables-addons-common yang merupakn addons iptables base geo locations, padahal di debian 9 dan 11 ada, akhirnya di sempatkan untuk built deb package nya untuk native kernel, untuk yang dkms belum sempat,  untuk xtables-addons_3.23-1_amd64_deb10.deb bisa di download disin untuk xtables-addons_3.13-1_amd64_deb10.deb bisa di download disini atau bisa install dari source bisa download disini https://inai.de/files/xtables-addons/ selanjutnya apt-get install libtext-csv-xs-perl libmoosex-types-netaddr-ip-perl   apt install libnet-cidr-lite-perl libtext-csv-xs-perl libgeoip2-perl sudo depmod -a sudo modprobe x_tables sudo modprobe xt_geoip mkdir /usr/share/xt_geoip/ install deb package root@localhost:/home# dpkg -i xtables-addons_3.13-1_amd64_deb10.deb tambahkan db nya /usr/lib/x86_64-linux-gnu/xtables-addons/xt_geoip_dl && /usr/lib/x86_64-linux-gnu/xtables-addons/xt_geoip_build -D "/usr/share/xt_geoip" bisa di bikin crontab nya untuk auto upd...

Melengkapi artikel lama ada sini untuk belajar, trial di lingkungan development, langsung saja kali ini menggunakan Squid 5.7 di opensuse Leap 15.4 dengan topolagi sbb Ip client 10.10.1.0/24 ip proxy 10.10.0.15 Router menggunkan mikrotik Persiapan A. Opensuse leap 15.4      zypper install squid B. Debian 10 dan 11      apt install -y squid-openssl squidclient sudo C. Centos 7      yum install squid user squid di opensuse dan centos = squid user squid di debian = proxy harap check dan di sesuaikan 1. Pastikan layanan Squid yang digunakan mendukung opsi yang diperlukan. Untuk mengechecknya, jalankan perintah: squid -v Parameter opsi konfigurasi harus berisi  --enable-ssl-crtd dan --with-openssl dan pastinya squid proxy sudah berjalan normal  2. Generate CA Certificate untuk di gunkan di Squid dan client #openssl req -new -newkey rsa:2048 -sha256 -days 365 -nodes -x509 -extensions v3_ca -keyout squid-ca-key.pem -out squ...

Pastikan letsencrypt sudah terinstall /etc/letsencrypt/live/mail.domain.com/* Pastikan zimbra berjalan normal dengan primary domain misal mail.domain.net Disini memakai zimbra OSE 8.8.15 akan memasang ssl letsencrypt untuk vhost domain mail.domain.com tentunya A Rec sudah di arah kan ke ip zimbra dan vhost sudah di tambahkan di zimbra 1. Download root cert wget -O /etc/letsencrypt/ISRG-X1.pem https://letsencrypt.org/certs/isrgrootx1.pem.txt 2. Deploy bundle cat /etc/letsencrypt/ISRG-X1.pem /etc/letsencrypt/live/mail.domain.com/chain.pem > /etc/letsencrypt/live/mail.domain.com/chain-with.pem cat /etc/letsencrypt/live/mail.domain.com/cert.pem /etc/letsencrypt/live/mail.domain.com/chain-with.pem > /etc/letsencrypt/live/mail.domain.com/deployme.bundle chown -R zimbra:zimbra /etc/letsencrypt 3. Verifikasi sudo su zimbra - /opt/zimbra/bin/zmcertmgr verifycrt comm /etc/letsencrypt/live/mail.domain.com/privkey.pem /etc/letsencrypt/live/mail.domain.com/cert.pem /etc/letsencrypt/live/mail....

Salah satu cara termudah untuk Install SSL Let’s Encrypt di Zimbra  8.8.x  Centos 7 dan Ubuntu 20.04 secara otomastis dan renewal, yang sudah saya fork dan sesuikan dari "github penzoiders" dengan DNS challenge yang semula menggunkakan http challenge di ganti ke dns challenge cloudflare, dan kali ini sudah bisa wildcard certificate (*.domain.com) yang akan mengcover semua subdomain untuk mail server kita seperti untuk mail.domain.com, pop.domain.com, imap.domain.com dan smtp.domain.com Requirements:  domain ns nya di cloudflare karena menggunkan api nya cloudflare git Let's Encrypt Certbot client Zimbra 8.8 Centos 7 atau Ubuntu 20,04 Silahkan Buka link di bawah in https://github.com/tux-racer/zimbra-auto-letsencrypt Silahkan ikuti langkah-langkah nya 1. Sudah terinstall Certbot dari  EPEL repo      root@mail:~# yum -y install certbot 2. Kloning repo ini di folder root (atau di mana sesuai selera):      root@mail:~# git clone htt...

Langsung saja, Menjalan script mikrotik berdasarkan tanggal tertentu, contohnya saya mau script ini berjalan di tanggal 7 tiap bulannya script nya bisa sebagai berikut /system script add name=auto-update source={ :local date [/system clock get date] :local day [:pick $date 4 6] :if ($day = "07") do={ /ip firewall nat set [/ip firewall nat find comment="auto-update"] disabled="no" disabled="yes" } } tambahkan scheduler untuk untuk menjalankan script ini untuk lebih detil nya bisa di pelajari disini https://wiki.mikrotik.com/wiki/Script_to_find_the_day_of_the_week

Langsung saja sesuai judul Fail2ban for mysql di sini menggunakan debian 9 dan mariadb untuk testing biar ga lupa saya bikin catatan ini 1. Tabahkan level log warning di mariadb edit file /etc/my.cnf  pada bagian ini seperti ini [mysqld] log-warning = 2 simpan lalu restart mariadb 2. Tambahkan atau edit /etc/fail2ban/jail.conf pada bagian [mysqld-auth] enabled  = true port     = 3306 logpath  = %(mysql_log)s backend  = %(mysql_backend)s maxretry = 3 simpan lalu restart fail2ban 3. Lakukan test gagal login ke mariadb lebih dari 5 kali 4. Check log file /var/log/fail2ban.log klo setup sudah benar akan muncul ip yang di ban 5.  buka iptables di konsole Salam

Salah satu cara migrasi zimbra ke zimbra dengan rsync, adapun yang kita lakukan di environment sbb install os dan versi zimbra yang sama dengan server lama di server yang baru termasuk nama host dan semua seting (dns internal jika split domain) di bikin sama, misal di lama centos 7 dan zimbra 8.8.15 di server baru juga sama centos 7 dan zimbra 8.8.15 belum sempat coba ke os lain dan zimbra yang berbeda versi, langsung saja 1. di server lama [zimbra@mail ~]# su - zimbra [zimbra@mail ~]$ zmcontrol stop backup ldap biar rsync nya tidak lama karena file data.mdb lumayan besar 80G setelah di pindah dan di sini tidak ikut memindahkan file data.mdb [zimbra@mail ~]$/opt/zimbra/libexec/zmslapcat /opt/zimbra/data/ldap/mdb/db 2. di server baru [zimbra@mail ~]# su - zimbra [zimbra@mail ~]$ zmcontrol stop [zimbra@mail ~]$ exit [zimbra@mail ~]# rsync -chavzP --stats --exclude 'data.mdb' root@ip-server-lama:/opt/zimbra /opt setelah selesai rsync nya restore ldap [zimbra@...

Apa itu Proxmox Mail Gateway bisa disini Di sini tidak membahas instalasi nya karena sudah banyak tutorial nya ip mail srv 10.10.0.122 ip proxmox mail gateway 10.10.0.40 domain domainku.com mail srv dan proxmox dalam dmz kurang lebihnya seperti berikut  atau begini langsung masuk webui nya di Configurations > Mail Proxy Silahkan test kirim email, pastikan port forward mengarah ke ip proxmox mail gateway, hasilnya bisa di cek di Tracker Center jika ingin jalur outbound sekalian lewat proxmox mail gateway rubah default relay / smart host mail server ke proxmox mail gateway Terimakasih

Lama blm sempet update dan bikin catatan yang maksud dan tujuan nya adalah menambahkan static route di PPTP server ketika PPTP clinet konek karena ini di pake untuk site to site, berjalan baik di centos dan debian Site 1 (pptp server) debian 9 ip pub = 103.xx.xx.xx ip pptp server = 10.101.1.1 Lan site 1 = 10.10.0.0/24 Site 2 (pptp client) mikrotik ip pub = 103.xx.xx.xx ip pptp client = 10.101.1.10 Lan site 2 = - 192.168.0.0/24                       -  192.168.2.0/24                       -  192.168.25.0/24 Site 3 (pptp client) mikrotik ip pub = 103.xx.xx.xx ip pptp client = 10.101.1.15 Lan site 3 =  192.168.10.0/24 Kurang lebih topologi nya sbb Langsung saja bikin file di /etc/ppp/ip-up.local yang isi nya sbb #!/bin/bash case " $5 " i...

Sudah beberapa lama tidak mampir ke zimbra.org ada yang sangat menarik  Two Factor Authentication (2FA) untuk Zimbra FOSS, persayaratan centos atau ubuntu dan zimbra 8.8. Langsung coba di server development dengan centos 7 dan zimbra 8.8 dan tentu single server,  berjalan sukses seperti yang di harapkan bisa merujuk https://zimbra.org/extend/items/view/zimbra-foss-two-factor-authentication-powered-by-privacyidea https://github.com/Zimbra-Community/zimbra-foss-2fa langsung execute scrip nya langsung install [root@mail ~]# wget https://raw.githubusercontent.com/Zimbra-Community/zimbra-foss-2fa/master/2fa-installer.sh -O /tmp/2fa-installer.sh [root@mail ~]# chmod +rx /tmp/2fa-installer.sh [root@mail ~]# /tmp/2fa-installer.sh Silahkan duduk dan relax ikuti intruksi pada layar     enable zimlet  webmail login QR Code bisa memakai google authenticator di android Change Passwd   Add App passcode untuk mail client misa...