Monat: September 2011 (Seite 1 von 2)

OpenVPN

2011-09-30 / ports

Hinweis on: Das ist ein Beitrag aus dem ehemaligen Projekt „adminstories.de“. Bitte hier fuer weitere Informationen schauen.Hinweis off

Heute, liebe Kinder, wollen wir euch erklaeren, wie ihr einen Tunnel baut 🙂

Eine Einrichtung, die keine grosse Huerde ist, aber die man oft auch nicht „mal eben“ macht, ist die Installation und Konfiguration eines OpenVPN-Tunnels. OpenVPN biete die Moeglichkeit eine gesicherte Verbindung zwischen Partnern aufzubauen. In unserem Fall werden das ein Server und ein Client sein.

Was ist der Vorteil an solch einem Tunnel?

Wenn wir Daten ueber ein „unsicheres Protokoll“ (FTP beispielsweise) uebertragen wollen oder muessen, hilft uns der Tunnel diese vor neugierigen Augen/Maschinen zu verstecken. Verstecken ist in dem Zusammenhang nicht ganz das richtige Wort, da es ja nicht in erster Linie um das Verheimlichen, sondern um das gesicherte Uebertragen geht. Hierfuer wird von OpenVPN TLS genutzt, was einige vermutlich aus dem s von https kennen.

OpenVPN an sich bietet viele tolle Dinge, wir wollen uns aber erst mal auf eine einfachen Tunnel im Routing-Modus zwischen Server und Client beschraenken.

Wie so oft schauen wir erst mal, dass die Software auf unser System kommt. Ich, als Nutzer von Debian/Ubuntu-basierenden Systemen, mache das also via aptitude install openvpn. Da wir zur Authentifizierung Zertifikate nutzen wollen, muessen wir nun noch einiges vorbereiten. Erst einmal kopieren wir ein paar Scripte nach /etc/openvpn…

root@server ~ $ cd /etc/openvpn/
root@server /etc/openvpn $ cp -r /usr/share/doc/openvpn/examples/easy-rsa/2.0/ /etc/openvpn/easy-rsa/
root@server /etc/openvpn $ cd easy-rsa/

Nun editieren wir die Datei vars. Im Speziellen geht es darum einige Werte zu „personalisieren“. Dies sind…

export KEY_COUNTRY=““
export KEY_PROVINCE=““
export KEY_CITY=““
export KEY_ORG=““
export KEY_EMAIL=““

Wenn alles soweit fertig ist, koennen wir endlich ein Serverzertifikat erstellen. Mit allem drumherum sieht das dann wie folgt aus.

root@server /etc/openvpn/easy-rsa $ source vars
root@server /etc/openvpn/easy-rsa $ ./clean-all # Initialisiere $KEY_DIR
root@server /etc/openvpn/easy-rsa $ ./build-dh # Erzeuge Diffie-Hellman Parameter
root@server /etc/openvpn/easy-rsa $ ./pkitool –initca # Erzeuge root CA
root@server /etc/openvpn/easy-rsa $ ./pkitool –server server # Erzeuge Server Zertifikat

Anschliessend erstellen wir noch ein Secret-Key und kopieren dann alles wichtige nach /etc/openvpn.

root@server /etc/openvpn/easy-rsa $ cd keys
root@server /etc/openvpn/easy-rsa/keys $ openvpn –genkey –secret ta.key
root@server /etc/openvpn/easy-rsa/keys $ cp server.crt server.key ca.crt dh1024.pem ta.key /etc/openvpn/

Damit nun alles ordentlich laeuft, muss natuerlich noch die Konfiguration angepasst werden. Eine Standardkonfiguration findet sich in /usr/share/doc/openvpn/examples/sample-config-files/ und nennt sich dort server.conf.gz. Diese kann man also nach /etc/openvpn bringen, dort entpacken und dann anpassen.

local 192.168.100.150
port 1194
proto udp
dev tun
ca ca.crt
cert server.crt
key server.key
dh dh1024.pem
server 10.8.0.0 255.255.255.0
keepalive 10 120
comp-lzo
user nobody
group nogroup
persist-key
persist-tun
status openvpn-status.log
verb 3

Im Grunde also keine Aenderung gegenueber der Standardkonfiguration. Nun kann der OpenVPN-Server auch schon gestartet werden. Fehlt nun noch der Client. Fuer den muessen wir natuerlich auch erst mal ein Zertifikat erstellen.

root@server /etc/openvpn/easy-rsa $ source vars
root@server /etc/openvpn/easy-rsa $ ./pkitool client

Und nun koennen wir das Zertifikat, und einige weitere benoetigte Dateien, auf den Client bringen. Im Detail brauchen wir folgende Dateien auf dem Client in /etc/openvpn: /etc/openvpn/ca.crt, /etc/openvpn/ta.key, /etc/openvpn/easy-rsa/keys/bar.crt und /etc/openvpn/easy-rsa/keys/bar.key

Jetzt kopieren wir uns noch die Default-Konfiguration /usr/share/doc/openvpn/examples/sample-config-files/client.conf nach /etc/openvpn und passen einige wenige Details an.

remote 188.40.57.208 1194
user nobody
group nogroup
cert client.crt
key client.key

Den Rest koennen wir belassen. Das war es schon und wir koennen unseren Tunnel aufbauen indem wir auf dem Client auch den OpenVPN-Daemon starten. Wenn wir in /var/log/syslog eine Meldung Initialization Sequence Completed sehen und ein ifconfig ein Interface mit dem Bezeichner tun0 anzeigt, schaut es schon mal gut aus. Ein Ping auf die OpenVPN-IP des Server sollte somit auch entsprechend durch gehen. Da wir keine Anpassung diesbezueglich gemacht hatten sind die beiden Peers im Netz 10.8.0.0/24.

ramon@client ~ $ ping -c 2 10.8.0.1
PING 10.8.0.1 (10.8.0.1) 56(84) bytes of data.
64 bytes from 10.8.0.1: icmp_req=1 ttl=64 time=25.5 ms
64 bytes from 10.8.0.1: icmp_req=2 ttl=64 time=25.2 ms

— 10.8.0.1 ping statistics —
2 packets transmitted, 2 received, 0% packet loss, time 1001ms
rtt min/avg/max/mdev = 25.231/25.386/25.542/0.222 ms

Was kann noch schief laufen?

Natuerlich ist das hier nur eine einfache Konfiguration und bei wachsenden Anspruchen kann es auch zu fantastischen Fehlern kommen. Zu Anfang passiert es schon mal, dass der Versuch ein Clientzertifikat via pkitool eine Fehlermeldung (TXT_DB error number 2) erzeugt. Ein Ausloser kann sein, dass man bereits ein Zertifikat erzeugt hat. Das muss dann nicht nur in /etc/openvpn/easy-rsa/keys geloescht werden, sondern es muss auch der entsprechende Eintrag in der index.txt im selben Ordner geloescht werden.

Pruefen, ob das Clientzertifikat zum Serverzertifikat passt, kann man uebrigens auf dem Client mit einem beherzten openssl verify -CAfile ca.cert -purpose sslclient client.crt.

Fernsehmuell

2011-09-30 / ports

Gibt es im Fernsehn eigentlich auch noch etwas was es sich lohnt zu schauen? Meine Frau und die Kinder waren letzte Woche im Urlaub, ich also alleine. Da ich auch frei hatte konnte ich mal wieder die Dinge tun, die mal als Mann so gerne macht. Putzen, Aufraeumen… So Sachen halt. Und, um auf den Punkt zu kommen, ich habe an zwei oder drei Tagen Morgens versucht zum Fruehstueck Fernsehn zu schauen. Aber alleine im Hinblick auf den Erhalt meiner Laune und der Sicherstellung meines Mageninhaltes musste ich nach einigen Minuten abschalten.

Was da als „Unterhaltung“ geboten wird ist ja wirklich nicht mehr auszuhalten. Sendungen wie Frauentausch, Mitten im Leben oder Schwiegermutter gesucht markieren auf der nach unten offenen Richterskala fuer niveaulose Unterhaltung eindeutig bisher nicht erreichte Tiefstwerte.

Jetzt im Ernst. Gibt es wirklich „Menschen“ die sich dieser gesundheitsschaedlichen Strahlung aussetzen? Haben vier Wochen „Fast-Food“-TV auf das Gehirn eine vergleichbare Auswirkung wie vier Wochen staendigem Besuch von McDonalds?

Was ist Google+

2011-09-28 / ports

Jetzt habe ich seit einigen Wochen einen Account bei Google+ und bin aktuell etwas orientierungslos. Google+ gefaellt mir wirklich gut. Ich kann dort Leute in meine Kreise aufnehmen, ohne diese zu zwingen, mich auch in deren Kreise aufzunehmen. Es ist also nicht so wie in anderen Sozialen Netzwerke, die man so kennt.

Aber was ist Google+ denn nun? Ist es ein identi.ca-Ersatz? Ist es ein moeglicher Ersatz fuer sein eigenes Blog? Ist es einfach nur eine Alternative zu Facebook und Co?

Ich habe eine zeitlang identi.ca genutzt (seit wann haben die ein neues Design?). Aber die anfaengliche Freude ueber die Begrenzung der Nachrichtenlaenge hat sich fuer mich manchmal als Nachteil dargestellt. Es kommt halt vor, dass man laengere Nachrichten/Antworten schreiben moechte, kann dies aber nicht.

Diese Beschraenkung gibt es bei Google+ nun nicht. Kann es damit ein Ersatz fuer das eigene Blog sein? Vor allem im Hinblick auf die Art und Weise, wie Benutzer reagieren und antworten koennen, ist das sicher eine berechtigte Frage.

Auf der anderen Seite ist es ja nun mal so, dass nicht jeder einen Account bei Google+ hat. Und vermutlich will auch nicht jeder einen Account dort. Ich fuer meinen Teil wuerde mir ja auch keinen Facebook-Account anlegen, nur um die Beitraege von einem Freund lesen zu koennen.

Vermutlich wird es zukuenftig also wie folgt laufen. Ich werde mein Blog, alleine schon aus Gruenden der Nostalgie und des „Hier liegen meine Daten“ erhalten. identi.ca werde ich nur noch, wie seit einiger Zeit eigentlich, nur noch sporadisch nutzen. Und Google+ werde ich einfach als Soziales Netzwerk sehen, dass einfach nur eine Verbesserung bisheriger Netzwerke darstellt.

Album des Jahres?

2011-09-27 / ports

Vor einigen Tagen meldete sich ein Freund, dass er moeglicherweise das Album des Jahres 2011 gefunden habe. Leider konnte ich erst zwei Lieder davon hoeren, da ich jetzt wohl das *neue* Album des Jahres 2011 auf den Ohren habe 😉 Zu meiner Freude haben Machine Head vor ein paar Tagen ihr lang erwartetes Unto the Locust veroeffentlicht. Ich war ja eigentlich der Meinung, dass Machine Head kaum etwas vergleichbares, wie The Blackening erschaffen koennen. Aber da habe ich mich wohl geirrt.

Was die Jungs mit den neuen Liedern abliefern ist derart abartig gut, dass es kaum auszuhalten ist. Da wird auf eine Beschraenkung von vier Minuten/Song geschiessen und man klammert sich auch nicht an drei Riffs fest. Wie auch bei The Blackening sind alle Lieder ueber fuenf Minuten lang, in der Regel sogar ueber sechs Minuten. Und das Spiel ist derart komplex… Wuerde man das ein oder andere Lied aufteilen und getrennt hoeren koennte man meinen, es handelt sich um komplett verschiedene Lieder. Aber bei Machine Head fuegt sich da alles so toll zusammen, dass es beinahte eine Beleidigung ist, wenn man das Album nicht mit allen Reglern nach Rechts hoert.

Spam, was nun?

2011-09-26 / ports

In Warum eigentlich? hatte ich mich darueber beschwert, dass ich wieder mal Werbung erhalten hatte, obwohl ich diese nicht explizit angefordert hatte. In dem Zusammenhang hat Kay dann in den Kommentaren eine kleine Geschichte erzaehlt. Abschliessend war die Frage, was sollte man machen, wenn man beispielsweise fest stellt, dass die eigene Adresse „abgewandert“ ist und man nun mit Werbung belaestigt wird.

Aus meiner Sicht ist die Frage relativ leicht zu beantworten. Die Umsetzung erfordert aber moeglicherweise etwas Geduld 😉 Bekomme ich Werbung via Mail oder Post, dann orientiere ich mich an Thoms Fassung von Framstags freundlichem Folterfragebogen. Hier mal ein Abschnitt aus dem Schrieb:

Sehr geehrte Damen und Herren,

Folgende Aufforderungen gemäß Bundesdatenschutzgesetz betreffen sämtliche über meine Person gespeicherten Daten, die Sie anhand dieser Adressen identifizieren können:

(bei snail-mail spam deine postadresse(n) eintragen, bei email spam deine email adresse(n), bei sms-spam deine handy-nummer… usw.)

Gemäß Bundesdatenschutzgesetz (BDSG) fordere ich Sie auf:

1. Sie haben mir gegenüber unverzüglich offenzulegen, welche Daten außer den oben aufgeführten Adressen Sie über meine durch diesen Namen/diese Adressen identifizierte Person gespeichert haben, und aus welchen Quellen sämtliche mich betreffenden Daten stammen.
§ 6 Abs. 2, § 28 Abs. 4, § 34 Abs. 1-3 BDSG

Diesen „Fragebogen“ passe ich dann in der Regel noch etwas an und verschicke den dann an die passenden Stellen. Wobei „passende Stellen“ fuer mich der Absender ist. Hinzu kommt noch die Kontaktadresse, die es oft im Impressum der Absender zu finden gibt. Finde ich noch einen persoenlichen Kontakt, wie etwa den Datenschutzbeauftragen, fuege ich den auch gerne noch in den Verteiler mit ein.

Mir ist aktuell kein Beispiel im Kopf, wo es *keine* Reaktion auf mein Anschreiben gab. Ich nutze beim Versand auch dann Mail, wenn ich Werbung via Post erhalten habe. Es gibt allerdings die Einschraenkung, dass das nur in Deutschland so funktioniert. Das war fuer mich noch kein Problem, da ich bisher noch keine Werbung aus dem Ausland erhalten habe, die nicht ohnehin klar Spam war.

Denn bei „richtigem“ Spam macht man ohnehin nichts. Beziehungsweise braucht man da nicht drauf zu hoffen, dass eine Anfrage eine Antwort provoziert.

Ergaenzend noch… Die optional Keule, den Landesdatenschutzbeauftragten zu informieren, wuerde ich machen, wenn es von einem deutschen Unternehmen keine Reaktion gibt. Des Weiteren erspare ich mir in der Regel auch freundliche Flosken. Wer meine Adresse unberechtigt fuer Werbemuell verwendet darf sich nicht wundern, wenn eine boese Mail kommt. Ich bin dann aber auch so fair und entschuldige mich, wenn ich jemanden zu Unrecht angefahren habe.

Warum eigentlich?

2011-09-23 / ports

Die Tage habe ich Post bekommen. Man gratulierte mir zum Kauf von $EGAL. Ich hatte vor einigen Wochen etwas erworben und mich dabei scheinbar auch fuer die „Mailingliste“ eingerichtet. Ich kann mich nicht erinnern da einen entsprechenden Hinweis gesehen zu haben. Denn… Sowas verneine ich immer. Ich will keine Mails ueber Produktnews, aktuelle Treiber, sonstige Features oder Roadshow-Informationen! Und dann lese ich heute in dem Werbefaltblatt:

Bitte senden Sie die Abbestellung von Werbung unter Angaben Ihrer Kontaktdaten/Adressnummern an:…

WTF!? Ich will keine Aufwand damit haben, dass ich etwas abbestellen muss, was ich *nicht gewollt* habe! Wenn ich Werbung will, dann melde ich mich! Ich bin ja mal gespannt wie das jetzt mit der Abmeldung klappt. Wenn das genauso erfolgreich laueft, wie vor vier Jahren bei WebEx, werde ich vermutlich noch ueber Monate hinweg Werbemuell bekommen.

Podcast die man hoert

2011-09-21 / ports

Troubadix, der sympathische Bayer, hat mal die Podcasts benannt, die er so hoert. Und neugierig wie er ist hat er auch gleich noch den Wuerschtlmann und Dirk nach deren liebsten Podcasts gefragt. Eine Anfrage an mich hat er dann gleich noch via Google+ nachgeschoben.

Eine Liste von Podcasts hatte ich ja seinerzeit in Internationale Unterhaltungsshow aufgelistet. Was hat sich also in den letzten zwei Jahren getan? Einiges. Ich hoere im Moment nicht mehr so viele Podcasts, da ich seit einigen Monaten einen neuen Job habe und mir da einfach die Zeit fehlt. Wenn sich alles eingepegelt hat werden aber folgende Podcasts auf meiner Liste stehen.

– Alternativlos
– Chaosradio
– Chaosradio Express
– DeimHart
– Leonardo
– NSFW
– Pocafs
– Stichtag
– RadioTux

Vermutlich gibt es noch andere tolle Podcasts oder ich habe was vergessen. Aber fuer das hoeren von Podcasts muss man halt auch Zeit haben. Und sowas, wie das Audiofile mit 120% Geschwindigkeit abspielen, will ich garnicht erst anfangen 🙂

GTA IV aufgemotzt

2011-09-21 / ports

Ich bin ja ausgewiesener Fan der GTA-Reihe. Ich habe alles was seit GTA III raus kam. Und, auch wenn es beispielsweise bei GTA IV anfaenglich Probleme gab, halte ich die Reihe fuer unglaublich. Aber was ich jetzt gesehen habe hat mich ja fast umgehauen.

Wer GTA IV kennt weiss, dass die Grafik ganz ok ist, aber noch Potential hat. Aber da gibt es jetzt eine Mod, die ist einfach unfassbar. Das Ding nennt sich iCEnhancer und verbesser die Grafik derart, dass man meint man hat hier GTA V vor sich. Wahnsinn!

Neues Notebook

2011-09-19 / ports

Lang ist es her, da hatte ich mir ja ein neues Notebook geholt. Leider war der Luefter derat stoerend, dass ich das, eigentlich prima Teil, zurueck geben musste. Das hat, nach einigen Anlaufschwierigkeiten, auch toll geklappt.

Tja, Dell weg, was nun? Ich habe mich also wieder auf die Suche gemacht und war kurz am ueberlegen, ob ich mir das „Gamestar Notebook 2011“ kaufen soll. Aber Hardware bei Saturn kaufen? Ich weiss nicht. Ich versuch’s zu vermeiden. Also habe ich weiter gesucht.

Nach diversen Testberichten bin ich dann endlich fuendig geworden. Gefunden habe ich ein Asus G73SW. Das Geraet konnte ich Online bestellen (was fuer eine Rueckgabe interessant ist) und war nach drei Tagen da. Und ich muss sagen… sehr schick!

Ja, schneller Prozessor, ja 8 GB Ram und 1 TB Platte sowie schnelle Grafikkarte. Aber das dollste ist… Das Geraet ist leise! Im normalen Betrieb ist von dem Geraet nichts zu hoeren. Und zwar egal, ob ich jetzt Windows oder Linux aktiv habe. So muss das sein! Gut, dafuer ist das Geraet auch nur punktuell mobil und sieht aus wie ein Stealth-Fighter. Aber das nehme ich hin 😉

RadioTux und ich

2011-09-17 / ports

Seit Ende 2010 helfe ich bei RadioTux. Ich bin einer der Administratoren, der schaut, dass die Infrastruktur von RadioTux laueft. Vor einigen Tagen nun hatten wir eine Klausurtagung. Und ich muss sagen, es war klasse.

Leute, die man sonst nur ueber Mailinglisten, oder maximal deren Stimme aus dem Podcast, kennt, auf einmal in Farbe zu sehen ist schon toll. Vor allem wenn man sich so prima versteht. Auch wenn wir einige heisse Diskussionen hatten, so haben wir ausserhalb des Programms unheimlich viel Spass miteinander gehabt.

Spass hatte ich natuerlich daran einem der Kollegen, der bald Vater wird, Schauergeschichten ueber das Vater-sein zu erzaehlen 🙂 Aber ich habe natuerlich auch ausdruecklich auf die Freuden hingeweisen, die man in der Zeit hat, wo der Nachwuchs schlaeft.

Auf jeden Fall habe ich in den Tagen das Team und auch die Struktur, die Rund um das eigentliche Podcasten existiert, so gut kennen gelernt, dass ich mich vielleicht auch mal an das Podcasten trauen werde.