Hi habe ja schon viel beklopptes und witziges im Netz gesehen. Aber *das* ist echt unglaublich. Da spielt jemand den Guitar Hero III mit *Drum Sticks* auf einem Midi-Controller! Also, den Gitarren-Track!
via fefe
via fefe
Monat: November 2008 (Seite 1 von 2)
via fefe
Ende Juni hatte ich ja schon geschrieben, dass mir ein Fehler bei den Firewall-Appliances von Netscreen aufgefallen war. Man kann ueber die WebGUI einen Pfad auf die Hilfedateien konfigurieren, die sonst, Standardeinstellungen, ueber die Juniper-Webseite gezogen werden. Leider wird diese Einstellunge nicht abgespeichert, bzw. geht nach einiger Zeit wieder verloren. In den Dokumentationen ist das Verhalten aber so dokumentiert, wie man sich die Funktion halt auch vorstellen wuerde. Ich habe also bei Juniper ein Case aufgemacht und man hat mir gesagt, dass sei kein Bug, wuerde in der 5er-Serie nicht behoben und koennte fuer die 6er-Serie ueber ein Feature Request „beantragt“ werden. Das wollte ich dann auch gerne machen und man hatte mir geschrieben, es werde sich jemand melden. Jetzt haben wir Ende November und es hat sich niemand gemeldet. In der Zwischenzeit wurde ich zwar gefragt, ob sich der angebotene Kontakt schon gemeldet habe, ich habe auch mehrfach nachgefragt, aber kein Kontakt. Tja, ich werde den Case jetzt mal schliessen, da ich keine Reaktion mehr erwarte. Schade eigentlich, da ich bisher mit dem Support von Juniper zufrieden war.
Beim Konfigurieren einer… ja, Firewall kann man es nicht nennen. Naja, beim Konfigurieren eines Produktes, dass den Internetverkehr reglementieren soll, folgendes gefunden.
Ich glaube, man kann es mit dem Eindeutschen auch irgendwie ueberrtreiben.
Gestern wieder so eine Szene. Ich moechte ein Verzeichnis oeffnen, in dem ich vor einigen Momenten noch eine Textdatei geoeffnet hatte. Obwohl die Datei nicht mehr im Editor geoeffnet ist, meckert Windows rum, dass die Datei noch im Zugriff sei und nicht geloescht werden kann. Da ich das Problem relativ regelmaessig habe, aber im Zweifel sogar den Rechner neu starten muss, um die Datei zu loeschen (Zugriff durch Explorer), habe ich mal das Netz bemueht. Und nach einigen Minuten habe ich Unlocker gefunden. Das Tool erlaubt es Zugriff auf Dateien zu identifizieren und zu entfernen, so dass die Datei anschliessend auch geloescht werden kann. Voll supa! Das Tool hat es auf Anhieb auf meine „Muss sofort nach einer Rechnerneuinstallation mit drauf“-Liste geschafft 🙂
Ich habe mich ja immer gefreut, wenn ich bei Fahrten mit unserem Touran „nur“ 7 Liter gebraucht habe. Dann hat mir jemand gesagt, dass man sich wohl nicht unbedingt auf die Anzeige des Boardcomputers verlassen kann. Jetzt habe ich gestern, als ich getankt habe, mal die gefahrenen Kilometer und die getankte Menge notiert. Und was muss ich feststellen? Die Anzeige des Boardcomputers ist tatsaechlich nicht verlaesslich. Statt der durchschnittlichen 7 Liter habe ich etwas unter 6.8 Liter gebraucht. Bei einem Wagen dieser Groesse und einem Gewicht von etwas ueber 2.000 Kilogramm finde ich den Verbrauch ok.
Also wirklich. TrekStor kommt mir nicht mehr ins Haus! Nicht nur, dass dieser Ramsch anspruchsvoll beim Einsatz von Treibern ist. Nein, nun ist auch noch das Netzteil, oder gar die ganze Platte im Eimer. Im Grunde, wenn ich jetzt an die Daten denke, egal, da ich alles noch auf dem Server im Keller liegen habe. Aergerlich aber trotzdem, da das miese Teil mit 212 Euro, bei 400GB Kapazitaet, auch nicht eben preiswert war. Ich baue jetzt die Platte aus und werde den verbleibenden Schrott mit unserem Wagen ueberfahren.
Aktuell bereite ich ein paar kleine Netscreens vor, um als Cluster eine Location per VPN an unsere Zentrale anbinden zu koennen. Vielleicht koennte es ja fuer jemanden interessant sein zu sehen, wie das im Detail ausschaut.
Konfigurieren des ersten Clustermembers
Setzen des Hostnamens.
set hostname Erster
Die Zone „Untrust“ aus dem VR „trust-vr“ entfernen und in „untrust-vr“ bringen. Dafuer muss erst das Interface ethernet0/6 aus der Zone „Untrust“ herausgenommen werden. Das mache ich deshalb, damit ich spaeter nicht mit einer Hostroute arbeiten brauche. Die Alternative waere sonst, die Zone „Untrust“ im „trust-vr“ zu belassen und spaeter eine Hostroute (set route 192.168.50.1/32 interface ethernet0/0 gateway 192.168.100.1) auf den Tunnelendpunkt zu setzen.
unset interface eth0/0 zone
set zone Untrust vrouter untrust-vr
Die brgoup0 aufloesen, da sie nicht gebraucht wird.
unset interface bgroup0 port eth0/2
unset interface bgroup0 port eth0/3
unset interface bgroup0 port eth0/4
unset interface bgroup0 port eth0/5
unset interface bgroup0 port eth0/6
unset interface bgroup0 ip
unset interface bgroup0 zone
Das externe Interface in die Zone „Untrust“ bringen, eine IP-Adresse fuer das Interface setzen und in der vroute „untrust-vr“ eine Defaultroute setzen, die dann natuerlich auch fuer das ethernet0/0 zieht.
set interface eth0/0 zone untrust
set interface eth0/0 ip 192.168.100.10/24
set vroute untrust-vr
set route 0.0.0.0/0 interface ethernet0/0 gateway 192.168.100.1
exit
Das interne Interface in die Zone „Trust“ bringen, eine IP-Adresse setzen und die Managementmoeglichkeiten setzen.
set interface eth0/1 zone Trust
set interface eth0/1 ip 192.168.200.1/24
set interface eth0/1 manage
set interface eth0/1 manage ping
Eine neue Zone „VPN“ und ein Tunnelinterface „tunnel.1“ erstellen. Dort dann eine Defaultroute setzen.
set zone name VPN
set interface „tunnel.1“ zone „VPN“
set interface tunnel.1 ip unnumbered interface ethernet0/1
set route 0.0.0.0/0 interface tunnel.1
Phase1-Konfiguration des benoetigten VPN erstellen.
set ike gateway „Zentrale-FW“ address 192.168.50.1 Main outgoing-interface „ethernet0/0“ preshare „0123456789abcdefghijklmnopqrstuvwxyz“ proposal „pre-g2-3des-sha“
Phase2-Konfiguration des benoetigten VPN erstellen.
set vpn „Zentrale“ gateway „fw4“ no-replay tunnel idletime 0 proposal „g2-esp-3des-sha“
set vpn „Zentrale“ monitor source-interface ethernet0/1 destination-ip 192.168.50.1 rekey
set vpn „Zentrale“ id 1 bind interface tunnel.1
Ein paar Policies fuer den Zugriff einrichten.
unset policy id 1
set policy from „Trust“ to „VPN“ „Any“ „Any“ „Any“ permit log
set policy id 1
set log session-init
exit
set policy from „VPN“ to „Trust“ „Any“ „Any“ „Any“ permit log
set policy id 2
set log session-init
exit
Vorbereitung fuer NSRP (Cluster).
set zone name HA
set interface ethernet0/6 zone HA
NSRP konfigurieren und aktivieren.
set nsrp cluster id 7
set nsrp vsd-group id 0 preempt
set nsrp vsd-group id 0 priority 100
set nsrp interface ethernet0/6
save
Konfigurieren des zweiten Clustermembers
Setzen des Hostnamens.
set hostname Zweiter
Eine Zone „HA“ erstellen, das Interface ethernet0/6 aus der „bgroup0“ nehmen und anschliessend in die Zone „HA“ bringen.
set zone name HA
unset interface bgroup0 port eth0/6
unset interface ethernet0/6 zone
set interface ethernet0/6 zone HA
NSRP konfigurieren.
set nsrp cluster id 7
set nsrp vsd-group id 0 priority 110
set nsrp interface ethernet0/6
Zum Abschluss noch die Konfiguration vom Master holen.
exec nsrp sync global-config save
Wie so oft gibt es auch hier noch diverse Dinge die man zusaetzlich konfigurieren koennte. Das faengt beim Hinzufuegen eines neuen Users an (set admin user „$NAME“ password „$PASSWORD“ privilege „all“), geht ueber eine moegliche Authentifizierung per Key (siehe hierzu auch Login per Key an Netscreen) bis hin zur Feinkonfiguration des NSRP (set nsrp encrypt password $PASSWORD, set nsrp auth password $PASSWORD, set nsrp vsd-group id 0 monitor interface $INTERFACE).
Wenn der Tunnel nicht aufgebaut wird, hilft ein Blick ins Log (get log event). Eine Meldung wie „Rejected an IKE packet on ethernet1 from n.n.n.n:500 to n.n.n.n:500 with cookies 0123456789123456 and 0123456789123456 because there were no acceptable Phase 1 proposals.“ zeigt ja schon recht klar was geht, bzw. nicht geht 😉 Weitere beliebte Fehlerquelle ist eine falsch gesetzte oder fehlende Route (get route ip). Wenn alles nichts hilft, kann auch ein „debug flow basic“ hilfreich sein.
Die Bundesregierung plant, mag vielleicht schon jemand mitbekommen haben, einen E-Mail-Dienst einzurichten, mit dem Buerger und Behoerden gesichert E-Mails untereinander verschicken koennen. Jetzt laesst Bitkom verlauten, dass man sich dafuer verbuerge, dass das System sicher sei. Ulrich Dietz, Praesidiumsmitglied des Bitkom:
Es ist klar, dass niemand vertrauliche Nachrichten per De-Mail versenden oder wichtige Dokumente im Dokumentensafe ablegen wird, wenn nicht gewaehrleistet ist, dass alle Daten und Dokumente sicher sind und niemand unberechtigt Zugriff nehmen kann
Na, dann bin ich ja beruhigt. Ich hatte da schon etwas Sorge, als ich gelesen hatte, dass auch T-Systems, als Telekom Tochtergesellschaft (Wir haben auch Betriebsraete bespitzelt), da mitmischt.
Gott was ein Dreck von Creative! Ich habe hier eine Creative SB Audigy im Rechner. Die Karte hatte ich mir seinerzeit beim Zusammenbau meines Rechners gekauft. Leider ist das eine Karte die wohl *eigentlich* nur in OEM-Rechnern verbaut wird. Das bedeutet, dass nach einer Neuinstallation des PCs die Treiber aufwendig gesucht werden muessen, hat man, so wie ich, keine CD mehr zur Hand. Denn… Bei Creative selber verweist man bei Treiberfragen zu eben diesem Produkt auf den Hersteller des OEM-PCs. Nun habe ich ein ISO mit Treibern bekommen und stelle fest, dass der Ton bei Videos „zerhackt“ ist. Dreck so einer. Also nutze ich die Chance und aktualisiere die Treiber ueber das Windows Update. Klassischer Fall von „Famous Last Words“. Denn nach dem Update sind zwar die Tonstoerungen weg, ich habe aber kein 5.1 mehr. Was ist das fuer ein Muell?! Jetzt kann ich mich also zwischen vernuenftigem Klang, aber kein 5.1, oder zwischen miesem Klang, aber dafuer in 5.1 entscheiden. Sorry, aber Fuck. *Eigentlich* wollte ich gerade was voellig anderes am Rechner machen.
Configuring Juniper Networks Netscreen & SSG Firewalls
Combine multiple detection methods for complex attack detection.
Instructions / Anleitung:
– Grab the nearest book. / Greif Dir das naechst erreichbare Buch.
– Open it to page 56. / Schlage Seite 56 auf.
– Find the fifth sentence. / Finde den fuenften Satz.
– Post the text of the sentence in your journal along with these instructions. / Veroeffentliche den Text des Satzes in Deinem Blog zusammen mit dieser Anleitung.
– Don’t dig for your favorite book, the cool book, or the intellectual one: pick the CLOSEST. / Greif nicht Dein Lieblingsbuch oder ein cooles Buch oder ein intellektuelles: Nimm das, das Dir am naechsten ist.
via Dirk