VPN Infoseiten sind online

Suchergebnisse für

VonChristian Rehkopf

VPN Infoseiten sind online

Ich hab eine kleine Seitensammlung mit meinen VPN-Erfahrungen zusammengestellt.

Das Thema ist wirklich kompliziert, und es gibt keine Lösung aus der Schublade. Jeder Tunnel hat andere Voraussetzungen und damit auch verschiedene Möglichkeiten aufgebaut und eingesetzt zu werden.

Dazu kommen die verschiedensten Verschlüsselungsmöglichkeiten, und diese hab ich noch nicht einmal angefangen zu beschreiben oder zu erklären.

Hier geht es los: VPN, Netzkopplung und Standortvernetzung

Das ist erst mal die Grundlage, es werden weitere Seiten zum dem Thema folgen. Vorschläge und Fragen sind willkommen.

VonChristian Rehkopf

Netzwerksicherheit ist immer verbesserungsfähig

Netzwerksicherheit: Computernetzwerke sind inzwischen in jedem Büro Gang und Gäbe, sogar in privaten Haushalten finden sich inzwischen mehr Geräte im lokalen Netz, als vor 10 Jahren noch in manchen Unternehmen. Parallel dazu häufen sich die Berichte über Erpressungssoftware, zweckentfremdete Router, Internet of the (broken) things und dergleichen mehr. Zeit für JEDEN, sich über Netzwerksicherheit Gedanken zu machen

Insbesondere dann, wenn ein Internetzugang mehreren Zwecken zur Verfügung steht – z.B. dem Homeoffice und privater Nutzung, oder auch für Geräte die nach aussen kommunizieren, wie Solaranlagen oder Smart-Home-Komponenten, die zumeist bei der Netzwerksicherheit wenig zu bieten haben.

Im Heim- und Small Office-Bereich findet man zumeist die Frtiz!Box von AVM, diese bietet zumindest für WLAN schon mal einen Gastzugang an, damit Gäste zumindest am WLAN partizipieren können, und dennoch keinen Zugriff auf alle anderen vernetzten Geräte haben. Das ist ein guter Ansatz in Puncto Netzwerksicherheit! Aber was ist mit Selbständigen und Freiberuflern, die ihre Bürogeräte sicher wähnen, während der Junior mit seinem Rechner nebenan Seiten ansurft, die Schadsoftware verteilen, womöglich ohne jegliche Software für Netzwerksicherheit, wie Virenschutz o.Ä.? Leider bietet AVM keine Lösung für verkabelte Netztrennung.

In den letzten Jahren ist Fokus von CRNET immer mehr in den Bereich der Netzwerksicherheit gerückt. Bezeichnend dafür sind verschiedene Artikel in diesem Blog über Firewalls und VPNs. CRNET betreut Systeme der Anlagenkommunikation über VPN genau so wie Netzwerkinfrastrukturen in gemischten Büro- und Wohnhäusern. Letztere werden dann mit Multi-Port Firewalls in getrennte Netze aufgeteilt, die verschiedene Berechtigungsklassen aufweisen.

Es geht hierbei nicht nur um Angriffe von außen, sondern auch immer wieder von innen. Ich hab schon Firmen erlebt, die fast hätten schließen müssen, weil Mitarbeiter private USB-Sticks verwendeten, die leider mit Schadsoftware verseucht waren – gleich ab Werk. Oder der kleine Rachefeldzug des gekündigten Mitarbeiters – aber das ist eine andere Geschichte. Diese Dinge lassen sich nur durch ausgeprägte Zugriffsrestriktionen und/oder massive Backups in den Griff bekommen.

In diesem Zusammenhang haben sich Small-Clients als Windows-Terminals bewährt. Inzwischen sind Mini-Computer, wie der Raspberry Pi, oder NUCs durchaus in der Lage, flüssiges Arbeiten im Terminalmodus zu ermöglichen. Damit verhindert man schon rein Hardwaremäßig unerlaubte Zugriffe angeschlossener Geräte.

Diese Konzepte sind allerdings so individuell zu gestalten wie unsere Unternehmenslandschaft und Situationen. Eine pauschale Empfehlung gibt es hier nicht. Wenn Sie unsicher sind, lassen Sie die Dinge von einem Fachmann begutachten. Eine Analyse und gesprochene Empfehlung kann die Sinne schärfen, kostet nicht die Welt und beschert dem verunsicherten Unternehmer vielleicht einen ruhigeren Schlaf.

Gern schaue ich mir an, was man bei Ihnen besser machen kann – kontaktieren Sie mich!

 


Nachtrag/Korrektur: AVM’s Fritz!Box bietet bei etlichen aktuellen Modellen mit aktueller Firmware auch einen Gastzugang über verkabelte Netzwerke auf LAN-Port 4 an. Allerdings lassen sich da keine weiteren Einstellungen vornehmen.


Passend zum Thema fallen mir dazu 2 Werbefilme von HP ein, ignorieren Sie die Werbung und genießen die Unterhaltung – die Message kann nicht vorbeigehen.

VonChristian Rehkopf

pfSense Firewall auf gebrauchter Hardware – lohnt sich das?

Kaufmännisch und im Hinblick auf Zuverlässigkeit ist gebrauchte Hardware für eine professionelle Firewall durchaus eine Überlegung wert.

Werfen wir einen Blick auf den Kostenvergleich und dazu gebe einige Erfahrungen mit gebrauchter Hardware zum Besten.

Wer eine oder mehrere Filialen hat, und/oder in seinen Firmenräumen WLAN für Betriebsfremde oder Besucher anbieten möchte, kommt um eine gute Firewall nicht herum. Als wahres Universalgenie hat sich hier die pfSense herauskristallisiert, da es sich um eine skalierbare Lösung handelt, die nahezu jede Anforderung abdeckt. VPNs, Proxy, Antivirus, Certificates und derlei mehr sind mit pfSense konfigurierbar – je nach Hardware.

Die Software basiert auf FreeBSD und lässt sich auch auf PC-Hardware oder in Virtuellen Maschinen installieren. Da diese Systeme 24/7 in Betrieb sind, hat eigens für Firewalling/Routing abgestimmte Hardware durchaus ihre Berechtigung: diese braucht zumeist weniger Strom als vergleichbare PCs. Hauptsponsor und Lieferant der pfSense-Firewalls ist Netgate, ein Texanischer Anbieter ebensolcher, auf Routing und Firewall abgestimmter, Systeme. Aber die Amis lassen sich die Systeme auch ganz gut bezahlen, was immer wieder ein Grund ist, sich nach Alternativen umzusehen.

Probieren wir es aus:

gebrauchte Hardware WatchGuard Firebox mit pfSense Firewall für den professionellen Einsatz

WatchGuard Firebox: gebrauchte Hardware mit pfSense Firewall für den professionellen Einsatz

Für ein Projekt haben wir uns nun eine gebrauchte WatchGuard Firebox zugelegt, und da pfSense drauf installiert.

Das Gerät fanden wir gut, weil es 8 Gigabit-LAN-Anschlüsse an der Geräte-Vorderseite hat, und der Rest der technischen Daten war auch OK. Der Massenspeicher ist eine CompactFlash Card – im Original mit 256 MB – wir haben eine 4GB-Karte eingebaut, aber dazu später mehr. Das Gerät hat sogar einen Festplatten-Einschub, mit einem stärkeren Prozessor wäre sogar ein Proxy-Cache kein Problem.

Die Watchguard hat 8 Gigabit-Ports, von denen wir allerdings „nur“ 6 benötigen, vergleichbar wäre das mit der NetGate SG4860, von 19-Zoll Formfaktor und dem moderneren Prozessor mal abgesehen. Das werfen wir mit den 2 extra-Ports in die Waagschale, dann passt es wieder. Die NetGate liegt bei 800 $, also mit Versandkosten bei rund 800 Euro – das soll als Größenordnung reichen. Der Zoll möchte zwar 19% Mehrwertsteuer haben, aber das ist in einem Betrieb mit derartigem Bedarf irrelevant. In einem anderen Projekt haben wir die 19-Zoll Variante mit Extra-Disk eingesetzt, die schlug dann deutlich kräftiger zu Buche.

Dagegen bekommt man die Watchguard 1250e für knapp unter 400 Euro; es gehen auch mal welche für 200 raus, aber auch andere für 500. Die 400 Euro nehmen wir als kalkulatorische Größe.

Die Installation:

Um pfSense darauf zu installieren, benötigt man ein Nullmodemkabel, einen seriellen Port oder passenden USB-Adapter (siehe Bild), eine CF-Card mit 2 oder 4 GB, ein Lesegerät dafür als Werkzeuge, und das KnowHow und die Befähigung, damit auch umgehen zu können. Serielle Konsole und Diskimages sollten bekannt sein.

Allein die pfSense-Installation schreibt zwar knapp 60 Minuten auf die CF-Card, in der Zeit kann man aber die anderen Dinge Erledigen (BIOS Flashen etc) die zu tun sind. Nach der Grundinstallation muss man noch einige Anpassungen vornehmen, z.B. die Software für das LCD und die Kontrollampen installieren. Aufwand: ca. 2 Stunden – allerdings nicht beim ersten mal.

Wie das geht, teile ich am Ende des Artikels.

Die „Rechnung“

Sagen wir mal, als Installationspauschale 200 Euro, dann könnt man das als Service machen (hierbei ist allerdings die Garantie-Frage offen – speziall das BIOS-flashen ist nicht risikolos). Dann bleiben 25% reine Kosten-Ersparnis. Das Ergebnis zur neu gekauften Variante ist gut, hat aber: keine Garantie mehr, ältere Prozessoren (und damit bestimmt auch einen höheren Stromverbrauch), aber dafür 2 Ports mehr.

Benötigt man 8 Ports, hat man weniger die Wahl, bietet NetGate keine Variante mit mehr als 6 Ports an.

Bei kleineren Geräten (2- oder 4-Port) wäre der Aufwand der selbe, bei deutlich geringerem Spar-Potential. Also wenn überhaupt, lohnt es sich nur oberhalb der 4-Port-Grenze. Die Beschaffung der „Werkzeuge“ lohnt schon für eine einmalige Installation (rund 30 Eur).

Ein abschließendes Urteil kann man somit nicht fällen, kommt es doch immer auf die einzelne Situation an. Wer eine Entscheidung sucht, hat hier vielleicht ein paar Hilfen gefunden.

Erfahrung mit gebrauchter Hardware

Einen Rechner / Router / Switch etc., der 2 – 3 Jahre in einem Rechenzentrum gelaufen ist, und der jetzt aus dem Leasing heraus ist und dadurch auf dem Gebrauchtmarkt auftaucht, macht bestimmt keine Probleme. Eine gebrauchte Festplatte von ebay von privat ohne Gewährleistung hingegen, würde ich mir nicht mal ansehen.

Es gibt etliche Händler von gebrauchter Hardware, die genau die Komponenten aus dem ersten Beispiel mit Garantie anbieten.

Wir hatten auch gebrauchte Hardware im Einsatz, interessant sind dann (falls verfügbar) die Betriebsstatistiken. 26.000 Betriebsstunden bei 5 Einschaltvorgängen spricht für Rechenzentrums-umgebung – da kann man sich noch 5 Jahre drauf verlassen – das läuft. Mit derartigen „Kisten“ haben wir in den 15 Jahren Hardware-im-Rechenzentrum bessere Erfahrungen gemacht, als mit manchem Neugerät mit „Kinderkrankheiten“. Festplatten sind allerdings ein anderes Thema.

In unserem Fall sehe ich grundsätzlich zunächst kein Problem darin, eine Firewall als Gebrauchtgerät einzusetzen. Das von uns eingesetzt Gerät kam aus einem Universitäts-Rechenzentrum – also mit an Sicherheit grenzender Wahrscheinlichkeit aus einer klimatisierten Notstrom-versorgten Umgebung.


Links zu Seiten, auf denen steht wie man das macht

Wir sind vorgegangen nach:

https://www.hexhound.com/how-to-flash-pfsense-2-1-to-a-watchguard-firebox-x750e-x550e-ssl-500

Zusätzliche Treiber:

http://www.triebwerk23.de/joomla/index.php/firewalls/watchguard-firebox-x-core-e-x550e-x750e-x1250e-pfsense
Ab Punkt „D“.

Auf dieser Website findet man auch andere Beschreibungen zu pfSense-Installationen auf anderen Embedded-Systems.

 

VonChristian Rehkopf

Das Jahr 2017 ist schon da

Ich hab grad das erste Feuerwerks-Video von einem Freund aus Australien gesehen – das hat mich aus meiner Nachweihnachts-Dämmerung gerissen. Mein Jahreswechsel-Blogpost ist fällig.

Wie immer, zunächst der Blick zurück:

Der Ausbau der Verwendung des Proxy am AMSIX ist praktisch abgeschlossen. Auf dem Render-Server ist keine Domain mehr eingerichtet, die nicht auch Seiten liefert. Umgekehrt jedoch liefert der Proxy Seiten für Domains, die keine Webserver haben. Sehr effizient!

Unabhängig von Webseiten und Servern im „öffentlichen Raum“ des Internet, habe ich meine Aktivitäten im Segment der Filialvernetzung, VPN und Standortsicherheit weiter ausgebaut. Sicherheit und Verschlüsselung waren schon immer mein berufliches „Hobby“ und entwickelt sich nun zu einem Schwerpunkt von CRNET.

Unser „Bahnhofs-Projekt“ ist nach 4 Jahren dann endlich so weit vorangeschritten, das wir im März umziehen. (Phase 1: Wohnung und CRNET) Im Sommer/Herbst werden wir auch die restlichen Gewerberäume in Beschlag nehmen können. Dann kann ich auch wieder Kundengespräche / Meetings im Büro führen, was ja seit ein paar Jahren nicht mehr sinnvoll war.

Und der Blick nach vorn:

Im wesentlichen wird es so weiter gehen, wie im letzten Jahr: Ausbau der IT-Security-Dienstleistungen und Reduzierung der Online-Aktivitäten a.a.s..

Das Brot- und Butter-Geschäft der letzten 18 Jahre hat sich verändert. Mit Homepage-Erstellung kann man heute keinen Blumentopf mehr gewinnen. Die Systeme wie WordPress & Co. sind zu einfach geworden, die Endgeräte sind mobil und der Seitenbesucher meist nicht bereit mehr als 2 Zeilen zu lesen.

Auf der anderen Seite sind es unberechtigte Zugriffe und deren Folgen, die den Firmen zu schaffen machen. Davor kann man sich schützen. Auch das Cloud-Comuting sollte man nicht überbewerten! Es gibt keine Cloud, das sind immer Rechner, die jemand anderem gehören. In diesem Zusammenhang werde ich noch weiter an dem Projekt des persönlichen Servers arbeiten, dieser ist bereits in mehr als einem Dutzend Firmen in den verschiedensten Bereichen im Einsatz – hier auch. Meine Termine und Kontakte gehören in keine Cloud, nicht auf Facebook, nicht zu Apple oder Google.

Hier ist angestrebt, eine reproduzierbare, vervielfältigbare Lösung zu schaffen. Da es jetzt für Privatanwender den VMWare Workstation Player kostenlos gibt, steht hier eine Überarbeitung der Gesamtlösung samt Tutorial an.

Na dann: Glaskugel wieder eingepackt, Sekt kaltgestellt, Pfannkuchen mit Senf gefüllt und weitergemacht!

Guten Rutsch wünscht

CRNET – Christian Rehkopf

VonChristian Rehkopf

Wirklich spannend und kniffelig: Professionelle Sicherheitslösung mit pfSense

Bei einer Softwarefirma wurde eingebrochen – und zwar Datentechnisch.

Der Lieferant für Computer des Unternehmens hat mich als Fachmann für Netzwerke und Firewalling dazu gebeten, die Sache zu begutachten. Ich kann aus Ermittlungs-Gründen hier natürlich keine Details zum unberechtigten Zugriff nennen, darum geht es auch nicht, sondern es soll um die Sicherheitskomponenten gehen.

Die Netzanbindung und Filial-kopplung hat ein uns allen bekanntes Magentafarbenes Unternehmen gemacht. Man sollte eigentlich überlegen, ob man die nich in Regress nehmen kann, denn das war alles Mist:

  1. Was mir als Erstes auffiel war, das nichts geloggt wird – es war praktisch nicht möglich, nachzuvollziehen, wann welche Datenmengen übertragen wurden. War es „nur“ Vandalismus, oder wurden Daten entwendet? Reine Spekulation und Hochrechnung.
  2. Die Filialanbindung lief über IPSec, und es wurde nur der Traffic durch den Tunnel geschoben der Zielnetzrelevant war, also der Internettraffic einer Filiale ging direkt am Router ins Netz. Das mag zwar volumentechnisch richtig sein, aber aus der Sicherheitsprespektive heisst das: Jeder Rechner in einer Filiale ist ein potentielles Einbruchsgateway.
  3. Administrativer Zugriff von aussen lief über Freigaben. Ein Fehler in einem Service wurde somit direkt draußen abgebildet. Das war aber dem 4. Punkt geschuldet:
  4. Die Lizenzpolitik von Telekom und LANCOM – das ist lächerlich und unverschämt. Also mal abgesehen von der wirklich dämlichen Benutzerführung (verdient die Bezeichnung nicht) in der LANCOM-Software, kann man als Benutzer auch kaum VPN für externe Dienstleister zur Verfügung stellen, weil man für jeden Tunnel eine Lizenz braucht – HALLO, GEHT’S NOCH? Genau damit werden Unsicherheitsfaktoren provoziert – ich weiss nur noch nicht, was von Beiden intensiver wirkt.
  5. Achja, ist zwar jetzt nicht Sicherheitsrelevant, zeigt aber die Qualität der Installation: Die Filial-Telefonie (VoIP) war auf einen Audiocodec für LAN eingestellt, ohne Jitterkontrolle, mit den daraus resultierenden Mängeln, die nur wegen der verfügbaren Bandbreite erträglich waren – kein Vergleich zu jetzt.

Lange Rede, kurzer Sinn: wir haben als zentralen Netzwerkknoten eine dicke pfSense mit Contentfilter und Virenschutz installiert, die Filial-VPNs auf OpenVPN umgestellt und leiten den gesamten Client-Traffic durch den Tunnel.

Somit kann nur noch ein einer Stelle eingedrungen werden: an der pfSense, und da kann ich nur drüber lachen, das hat in 15 Jahren Rechenzentrums-Einsatz keiner hinbekommen, und versucht wurde es täglich rund um die Uhr.

Eine Sache war allerdings wirklich knifflig: An einem Standort steht der dortige Internetanschluss nicht exklusiv zur Verfügung, und der erste Versuch war einen Router hinter das NAT-Netzwerk zu stellen, der einen Tunnel Aufmacht, und den Tunnel-NIC nach „innen“ NATed mit Masquerading, das hat auch gut geklappt, nur die IP-Telefonie nicht so richtig. Also haben wir dort einen OpenVPN-Tunnel als transparente Bridge konfiguriert, und nun stehen die Geräte „hinter“ dem Router Netzwerktechnisch direkt in der Zentrale.

Das haben wir übrigens mit einem UBNT EdgeRouter  realisiert: krasse Lernkurve, geniale Systeme und Power ohne Ende.

VonChristian Rehkopf

Nichts ist so beständig wie der Wandel

Das hat Heraklit von Ephesus rund 500 Jahre vor unserer Zeitrechnung bereits gewusst, und daran hat sich nichts geändert.

Mit dem Outsourcen der Mailsysteme hab ich auch gleich noch den VPN-Server abgelöst. Und damit obliegen mir keine Systemadministrativen Aufgaben mehr für Produktive Systeme im Internet. Das ändert für mich einiges, denn ich habe seit 18 Jahren Serversysteme online (gehabt).

Eigene Systeme braucht man höchstens für Projektmäßige Eigenentwicklungen ausserhalb der üblichen Homepage-Erstellung. Das war nicht immer so, denn vor 18 Jahren gab es praktisch keine Standards in dem Bereich.

Inzwischen sind CMS-Systeme (z.B. TYPO3 oder Contao) und BLOG-Software (z.B. WordPress) auf einer so stabilen Grundlage, das jeder ordentliche Provider die entsprechenden Plattformen dafür anbieten kann.

Dazu kommt, das die Update-Frequenz in diesem Massenmarkt inzwischen so hoch ist, das niemand mehr bereit ist, dafür zu bezahlen. Es obliegt somit dem Systemadministrator, die Systeme aktuell zu halten. Diesen Job zu erledigen ist genau so schnell (oder langsam) gemacht, wenn man 100 Kunden auf einem Server hat, wie wenn man 10.000 auf einem Cloudsystem hat. Und daraus folgt Konsolidierung des Marktes.

Wir haben diese Entwicklung im Prinzip schon 2011 (Ab in die Wolke) erkannt, und uns im Bereich Webhosting (Apache/PHP/MySQL/Perl/PostgreSQL u.v.m.) für ArtFiles in Hamburg entschieden. Das halten wir nach wie vor für eine gute Wahl, das sind gute Leute, die haben den Kram im Griff. Toller Support wenn man ihn braucht und stabile Services.

Im Bereich DNS und Mail abseits der Homepagepfade arbeite ich schon lange mit jemandem zusammen, der inzwischen auch mit weiteren Leuten im Zusammenschluss in einem Rechenzentrum in Amsterdam einiges angesammelt hat. Die Internet-Geographie ist etwas anders als die geologische, Amsterdam ist zumeist näher als Hamburg oder Hannover. Und zwar nicht nur aus Berlin, sondern auch aus Peking oder aus LosAngeles.

Jedenfalls ist aus dieser Zusammenarbeit schon 2009 der Mailserver mit PostgreSQL-Datenbank-Backend und 2010 der DNS (ebenfalls mit PostgreSQL-Datenbank-Backend) entstanden. Wenn auch nicht auf den CRNET-Produktivsystemen, so haben wir dennoch immer weiter an der Optimierung der Konfiguration gearbeitet.

Jetzt haben wir dort ein Mailsystem installiert, bei dem wir vor allem auf höchstmöglich Sicherheit Wert legen, alles Verschlüsselt, und es wird noch verschiedene Zertifizierungen und Sicherheitserweiterungen geben, damit vielleicht irgendwann nur noch Kommunikationspartner ihre mails lesen können, und eine Mail nicht das Sicherheitsniveau von einem PostIt an der Supermarkt-Pinnwand hat.

Als nächstes ist geplant für Firmen-Mailsysteme (Sogenannte Satelliten-Mailserver) direkte Zustellung zu installieren, ggfs. über einen VPN-Tunnel (komplett verschlüsselt). Damit das gepolle auf den Useraccounts und die doppelte Mailaccount-Einrichtung aufhört.

Parallel dazu werd ich also die eigene Appliance  für diese Aufgaben weiter entwickeln, sie ist bereits an 3 Standorten im produktiven Einsatz. Und die Performance dort ist Spitze, insbesondere gegenüber den veralteten Mailsystemen (wie z.B. D**D oder M*-**S ), die nichtmal zeitgemäße Verschlüsselung auf IMAP unterstützen.

Nach wie vor erstelle ich für meine Kunden Homepages, im Hinblick auf die Anbindung der Social-Media-Kanäle eher mit WordPress als mit TYPO3, aber auch da ist alles im Fluss, denn „Nichts ist so beständig wie der Wandel“

VonChristian Rehkopf

Dynamisches DNS mit IPv4 und/oder IPv6 jetzt buchbar

Möglich ist dies für Router mit entsprechender DYN-DNS-Unterstützung, Linux und Mac OS-X, und kann auf allen Domains verwendet werden, die auf unseren Nameservern gehostet werden.

Die Problematik ist simpel: bisher hatte ein handelsüblicher Internetzugang über IP Version 4 nur eine Adresse, jetzt bekommt man einen Zahlenraum zugewiesen, der oft größer ist, als das gesamte Internet Geräte hat. Das ist im Hinblick auf  kommende Hausautomation auch durchaus sinnvoll, aber nur nutzbar, wenn diese Geräte auch von außen erreichbar sind. Diesebezügliche Sicherheitsaspekte sind nicht Thema hier, sondern jedem Gerät einen Hostnamen zuweisen zu können.

IPv6 soll genau das unterstützen, allerdings erlauben die üblichen DYNDNS-Provider das nicht, oder unterstützen nicht die Verwendung der eigenen Domain, insbesondere dann nicht, wenn mehrere Hostnames auf einer Domain dynamisch konfiguriert werden sollen.

CRNET bietet ab sofort dies als Service an, kostet 1,- € je Hostname im Monat, verwendbar mit jeder Ihrer Domains.

Das ist preiswerter als der Aufpreis für eine feste IP am DSL-Anschluß, die ohnehin nur notwendig ist, wenn das reverse DNS passen muss.

DYNDNS braucht man auch, wenn man über VPN Standorte mit dynaischen IPs erreichen will. Im Rahmen meiner Experimente hab ich es geschafft, von unterwegs Licht zu steuern oder meinen Videorecorder (nein, der hat keine Tapes) programmieren zu können.

Eingerichtet werden kann das im Router über das Admin-Interface, Linuxrechner oder OS-X-Systeme führen ein Script per CRON-Job aus, die Einrichtung ist leicht, und ich unterstütze Sie gern. Anfragen zur DNS-Einrichtung für DYN-DNS richten Sie bitte direkt an mich.

VonChristian Rehkopf

Downtime der Windows-Server

Irgend etwas stimmt auf den Windows-Servern nicht, ich sehe mich gezwungen, diese vorübergehend offline zu nehmen, um die Situation zu überprüfen.

Update 27.03.13, 2:15 Uhr:

Meine Server waren nach ein paar Stunden wieder „back on Line“, aber den Server eines Housing-Kunden haben Angreifer tatsächlich unter Kontrolle bekommen.  Das war eine intensive Fummelei, das zu beseitigen, aber nun ist der auch wieder fein … und sicher – sicherer als es mit den Boardmitteln dieses Systems je möglich gewesen wäre.

Auf meinen Windows-Servern läuft übrigens fast nichts mehr, nur noch ein paar statische Seiten die schon betagt sind, und noch 2 alte Datenbankprojekte sowie das Kunden-Frontend meines Abrechnungssystemes. Der Server mit den statischen Seiten kann nichts, und der andere hat keine Zugänge von aussen, den kann man nur übers VPN bearbeiten. Der betroffene Rechner hingegen war ein komplett produktives System.

VonChristian Rehkopf

Wo sind die iPad Seiten?

Auf meiner „alten“ Homepage hatte ich eine Reihe von Seiten mit folgenden Titeln:

  • Mobiles Büro mit dem Apple iPad
    • Arbeiten am iPad: Office-style Anwendungen
    • VPN am iPad (auch iPhone): LPTP PPTP IPSec
    • Arbeiten durchs iPad: Remote Consolen für Windows und Linux
    • Telefonieren mit dem iPad

Diese Seiten hatte ich im Sommer 2010 erstellt, als das erste iPad gerade ein paar Monate zu haben war, und die Bewältigung der verschiedenen Arbeitsbereiche noch eine echte Herausforderung war, es nur wenige Apps in Apple’s AppStore gab und die allerwenigsten optimiert für’s iPad.

Schon 2012, als ich den VPN-Bereich neu machen wollte (damals gab es ein Update für die Fritz-Boxen, so das man mit iOS ab Version 5 darauf tunneln konnte) fiel mir auf, das alles komplett veraltet war und überholungswürdig.

Als ich in den vergangenen Tagen meine Homepage von TYPO3 auf WordPress umgezogen habe, so konnte ich zwar die News-Datenbank konvertieren, die Seiten allerdings musste ich neu machen und mit Copy&paste übertragen.

Die iPad-Seiten waren jedoch inzwischen so veraltet und inhaltlich auch inkorrekt, das sie nicht verdient haben, diesen Weg mit zu machen.
Sie sind im digitalen Nirvana gelandet.

Was aber immer noch stimmt:

Vodafone macht’s VPN kaputt

Vodafone verwendet in seinem UMTS-Netz einen Zwangsproxy. Das ist mir schon mal bei jemandem aufgefallen, der in einem DSL-freien Gebiet per Datenfunk online ist (über Vodafone), hatte mir aber über die Konsequenzen keine Gedanken gemacht.

Bei PPTP (L2TP natürlich ebenso) ist das aber das Herumfummeln an den Datenpaketen „tödlich“. Ergebnis: es war kein Problem über WiFi-Connect einen Tunnel ins Rechenzentrum einzurichten, jeglicher Test per 3G schlug aber fehl. Stutzig machte mich der Umstand, das am Server nicht ein Datenpaket in diesem Zusammenhang ankam.

Die Gegenprobe über einen IPSec-Tunnel eines Kollegen zeigt aber: das Problem tritt bei IPSec nicht auf.

VonChristian Rehkopf

CRNET Chronologie

Technisch

Grundsteinlegung von CRNET in der jetzigen Form mit einem einzelnen Windows-Server im April 2003.

Vielen Jahren Hosting auf eigener Hardware, bis ein halber Schrank voll war.

In diesem Zusammenhang wurden alle Produktivsysteme von 2007 bis 2009 virtualisiert und liefen zuletzt in einem VMware ESX-Datacenter mit NAS-Storages.

Anfang 2012 wurde der Entschluß gefasst, sich nach 16 Jahren (1996 bis 2012) von eigener Hardware im Produktiveinsatz zu trennen, und die gesamte Infrastruktur in einer Cloud hosten zu lassen. Variable Kosten für Strom und Traffic sind so besser kalkulierbar, und somit fairer auf die Kunden umzulegen.

Unternehmerisch

CRNET sollte eigentlich nur eine vorübergehende Lösung sein. Das Unternehmen wurde April 2003 gegründet, als der Inhaber bei Fairnetworx GmbH als geschäftsführender Gesellschafter ausstieg und ein Teil der Kunden weiterhin betreuen wollte und sollte.

Als sich nach einiger Zeit herauskristallisierte, das aus dem Provisorium eine Dauerlösung werden würde, musste auch die Grundlage optimiert werden.

Es wurden neue Technologien erlernt um mehr verkaufbare Leistungen anzubieten, und den Kundenstamm besser halten zu können.

Strategisch

Diese Seite hier hab ich ca. 2013 geschrieben. Jetzt (Januar 2019) plane ich eher einen Rückzug aus dem Business – zumindest was den WEB-Teil betrifft.

Die Entwicklung des Internet gefällt mir nicht mehr.

Ich werde mich eher auf die Bereiche konzentrieren, die man nicht BLOGt: Sicherheitslösungen für kleine und mittlere Betriebe, verschlüsselte Standortvernetzung, Firewalling, VPN und ähnliches.