Autor-Archiv Christian Rehkopf

VonChristian Rehkopf

IPv6 Freigaben verschwinden auf Fritz!Box

IPv6 Freigaben funktionieren auf einmal auf der AVM Fritz-Box nicht mehr oder nie oder verschwinden.

Dies ist einer dieser Beiträge, die ich schreibe, damit ich etwas über Google finde, wenn ich mal wieder danach suche.

Das hat mich fast in den Wahnsinn getrieben, aber bei den IPv6 Freigaben auf der Fritzbox scheint einiges im Argen zu sein.

  1. Man kann eine einmal eingetragene Adresse nicht editieren, sondern muss den Freigabeblock löschen und komplett neu anlegen. Das kann passieren wenn:
    1. Hat man sich vertippt, und Freigaben auf einer falschen Interface-ID zugeordnet, dann muss man die Freigaben löschen und komplett neu machen.
    2. Nimmt man (um Tippfehler zu vermeiden) die Auswahlbox, kann es einem passieren, das man nicht die IPv6 verwendet, die sich aus der MAC-Adresse ableitet, sondern eine, die von der privacy extension des Betriebssystems generiert wurde. Die ist dann morgen wieder ungültig.
  2. Wenn eine IPv6 Freigabe im LAN nicht erreichbar ist, dann dauert es eine Weile bis unendlich (oder Neustart), bis diese wieder funktioniert.
    Also erstmal scheint die Box dann beleidigt, da ich aber auch mal vergessen hatte selbige neu zu starten und am nächsten Tag wieder alles ging, scheint das ein vorübergehender Schluckauf zu sein. Es ist auch schon vorgekommen das nix gut war, bis man die FB resettet hat.
  3. Wenn die Fritzbox ein Update bekommen hat, kann es durchaus passieren das die Config zwar noch da steht, aber wirkungslos ist. In Dem Fall hilft dann nicht, die IPv6 Freigeben neu zu erfassen, sondern man muss die ganze Config neu manuell eintragen (mit allen DECT-Phones, AAB, Fax, Freigaben-blah)

Grundsätzlich ist die Tipperei der IPv6-Freigaben eine Qual, denn man kann nicht mehrere IPv6 Freigaben hintereinander weg einrichten, da der Knopf „neue Freigabe“ verschwindet, nachdem man ihn mal gedrückt hat – man muss also wieder ins Freigabemenü und die ganze V6 Freigabe neu laden um wieder „neue Freigabe“ zu drücken – dieses reinrauss hat bei meiner 6490 immer 10 Sekunden Ladezeit zur Folge – das bei 8 Freigaben, dauert gefühlt eine Stunde um die Ports wieder aufzumachen.

Das das Buggy ist, hab ich AVM schon vor einem halben Jahr kommuniziert – Ticket #16098.

In dem Sinne: Happy Typing.

 

Achja – keinen Technik-Blogeintrag ohne Code – um die Richtige IPv6-Adresse an einem Debian o.ä. zu ermitteln:
ip -6 addr sh primary scope global|grep inet6|awk '{ print $2 }'|grep -v '^f'

 

VonChristian Rehkopf

Linux Swap Partition leeren und Platten aufräumen

Wenn man eine Virtuelle Maschine kopieren / verschieben / versenden möchte, ist es durchaus sinnvoll, denn leeren Plattenplatz auch wirklich zu leeren. Das kann einem viel Platz und/oder Bandbreite sparen.

Ich baue derzeit wieder einmal an meinem Universalserver für den Büro-LAN-Einsatz, und da ist mir beim konvertieren in OVF aufgefallen, das das gezippte File größer war, als die Daten, die angeblich auf der Platte in Verwendung sind.

Da ich zu diesem Thema nichts zusammenhängend im deutschsprachigen Web ergugeln (was für ein germanifizierter Anglizismus)  hab ich hier einiges zusammengetragen, es hat bei meiner VM direkt 50% weniger Volumen des gezippten OVF zur Folge gehabt. Und 1,2 zu 2,4 GB ist schon eine Hausnummer, wenn es durch eine DSL-Leitung muss.

Das ganze spielt sich auf der Console mit root-Rechten ab.

1. Installationsverzeichnisse aufräumen, Paketlisten löschen – und nur die aktuellen vorhalten.
Ich verwende einen Ubuntu-Server und apt, es gibt auch zu den anderen Distributionen und Paket-Installern die entsprechenden Befehle. Ich habe nichts selber compiliert, Sourcen löschen entfällt bei mir.
apt-get autoremove
apt-get clean
rm -rf /var/lib/apt/lists/*
apt-get update

Das hatte bei mir  direkt 500 MB weniger Diskusage zur Folge.

2. Leere Plattenbereiche auch wirklich leeren.

Aber die OVF wären damit noch lange nicht kleiner, wir müssen die ehemals verwendeten Bereich mit Nullen beschreiben, damit diese „ordentlich“ gezippt werden können, wir schreiben so lange Nullen in eine Datei, bis die Platte voll ist, und löschen das File dann wieder:
dd if=/dev/zero of=zero.txt;rm zero.txt

Das dudelt eine Weile vor sich hin.

3. Swap-Partition leeren.

Danach haben wir das gleiche Problem (nicht leere Blöcke der Platten) auf dem Swapfile/ der Swap-Partition. Ich verwende Swap-Partitionen, und da ich nicht weiss, welche Partition das ist, schaue ich nach mit

fdisk -l

und bekomme (u.a.)

  Gerät  boot.     Anfang        Ende     Blöcke   Id  System
/dev/sda1   *        2048   108877823    54437888   83  Linux
/dev/sda2       108879870   117229567     4174849    5  Erweiterte
/dev/sda5       108879872   117229567     4174848   82  Linux Swap / Solaris


Also /dev/sda5 ist die zu leerende Partition.

[Update]
Sauberer istswapon -sda kommt dann

Filename     Type       Size     Used    Priority
/dev/sda5    partition  2097148  43216   -1


[/Update]

Diese werde ich als Swap-partition deaktivieren, ausnullen und wieder als Swap-Partition aktivieren.
swapoff /dev/sda5
dd if=/dev/zero of=/dev/sda5
mkswap /dev/sda5
swapon /dev/sda5

Und das war’s – 50 % Dateigröße gespart.

VonChristian Rehkopf

Nach 10 Jahren mal wieder gehackt :-(

Da hat es nach 10 Jahren mal wieder jemand geschafft unsere Server zu kompromittieren. Sehr unangenehm dabei: das blieb über Weihnachten unbemerkt, und konnte ausgeweitet werden.

Naja – die Asiaten feiern nicht alle Weihnachten, der Angriff kam aus Japan, die „beworbenen“ Seiten waren auch Japanisch. Nachdem eine Scriptdatei einem Server untergejubelt wurde, der die dann auch ausgeführt hat, konnte sich die „Werbung“ auf etliche Seiten vermehren.

Nachdem die Schadsoftware beseitigt wurde, hab ich sicherheitshalber fast alle Benutzerrechte deutlich restriktiver gesetzt und die Zugriffsstruktur des Webservers überarbeitet sowie knappe Quotas gesetzt. Wäre das schon vorher so gewesen, hätte das weder den Angriff noch den Zugriff verhindert, aber die Ausbreitung hätte nicht funktioniert.

Wenn jetzt irgend was nicht stimmt mit einem CMS (Typo3 oder WordPress: Backend-login geht nicht oder einer Seite fehlen Bilder), dann kann das durchaus daran liegen – kurze Info, und ich klär das. Theoretisch sollte alles passen, aber wenn so ein Effekt auftritt, braucht man sich nicht zu wundern.

Auf die nächsten 10

:-/

 

VonChristian Rehkopf

Zwanzigsechzehn
in Worten: 2016

Jahresbeginn (Substanstiv, m)
[ˈjaːʀəsbəˌɡɪn]
Bei CRNET die Zeit mal wieder die ToDo-Listen zu überarbeiten und die Kristallkugel zu entstauben.

Fangen wir an mit dem Blick zurück

Im Mai 2015 war es so weit: die letzten CRNET-Server wurden abgeschaltet. Damit habe ich nach fast 20 Jahren keine eigenen Maschinen mehr im Produktiveinsatz. Dem vorangegangen ist natürlich die ganze Umzieherei mit allem, was darauf noch lief. Das ging weitestgehend ohne Knirschen im Getriebe, aber da hat sich einfach bemerkbar gemacht, das es nicht das erste mal war.

Für mich hieß das dann umzudenken, denn wenn man „nur Untermieter“ ist, braucht man sich um Redundanz, Notstrom und Kühlung nicht mehr zu kümmern, oder gar um Hardwareausfälle – alles nicht mehr meine Baustelle – sehr angenehm.

Aber auch ein Cloudsystem kommt ins schwitzen, wenn man nur genug Druck darauf ausübt, und so kam im Juli ein neuer Cache-Server ins Rennen, der inzwischen den Gesamten Traffic stark frequentierter Seiten ausliefert. Damit konnten wir 80% Last von den CMS-Servern nehmen und gleichzeitig die Auslieferungszeit bis zu 90% reduzieren: Die Übertragungstechnik ist eine andere und der auszuliefernde Content kommt aus dem RAM.
Dieser Server befindet sich am AMSIX direkt bei einem Peering-knoten. Alle deutschen Zugangsprovider haben dort ihre Anschlüsse. Alle Homepages, die über den Cache-Server laufen, sind somit Netztechnisch dichter an ihren Kunden, als es in jedem deutschen Standort bezahlbar möglich wäre. Gerendert werden die Seiten nach wie vor in Hamburg bei Artfiles.

An diesem Standort stehen auch „unsere“ Mailserver. Der mit „crnet“ im Namen existiert eigentlich nicht mehr, das läuft nur auf einer extra-IP, bis das Zertifikat abgelaufen ist. So können wir in Ruhe die letzten Mailkonten umschalten, ohne alles auf einmal machen zu müssen.

Die Nameserver befinden sich auch an diesem Standort, aber nicht nur dort, sondern auch in anderen Ländern. In Deutschland z.B. in Hannover bei Lambdanet, und je nach dem, was näher ist, bekommt man seine Serverantwort eben von da oder dort. Der Hauptserver in Amsterdam verteilt seine Einstellungen per Datenbankreplikation in Echtzeit an die anderen Systeme – so etwas wie „neu laden einer Zone“ gibt es schon lange nicht mehr. Das ist die globalisierte Weiterentwicklung von dem DNS-System, was wir seit 2010 produktiv verwendet haben.

Unser Partner in Amsterdam ist Anycast, die Leute kenne ich seit über 10 Jahren, und wir haben wie gesagt den Nameserver und auch den Mailserver gemeinsam entwickelt. Stets mit Fokus auf Verschlüsselung und extra-Sicherheit.

Und genau da geht es auch 2016 weiter

Kurz vor Weihnachten ist noch der SSL-Proxy fertig geworden, der automatisch „Let’s Encrypt“-Zertifikate generiert und verwendet. Allerdings ist das mit den CMS-Systemen doch nicht so ganz ohne, aber wir wollen letztendlich alle Seiten verschlüsselt ausliefern.  Und das ganze über IPv4 und IPv6.

Dazu soll der Proxy auch das gesamte Domainhandling übernehmen, so daß die Artfiles Webcloud „nur“ noch das Rendern der Seiten und vorhalten der Datenbanken und CMS-Systeme macht.

Mehr nehme ich mir erstmal für 2016 nicht vor, denn Ende Februar steht Nachwuchs ins Haus. Und der kleine Kerl wird sicherlich einiges an Zeitressourcen in den ersten Monaten für sich beanspruchen. Und dann geht es auch Weiter mit unserem Bahnhof- / Gastro-Projekt; selbiges wird allerdings seit 2013 immer wieder verschoben, weil die deutsche Bürokratie nicht gerade schnell ist (Bahnhofsentwidmung /Denkmalschutz / Baugenehmigungen etc.). Aber: der Teil soll erledigt sein, und es gehen dann endlich die Baumaßnahmen los.

Ihnen wünsche ich ein störungsfreies 2016 und das auch Ihre Pläne für dieses Jahr erfüllbar sind.

 

VonChristian Rehkopf

Mailserver Update bei Artfiles zum 1.1.16

Auch andere sind fleißig: Artfiles baut sein Mailsystem um.

Interessanter Weise auf eine Dovecot-Lösung, was wir schon im Februar 2012 vorgeschlagen hatten.

Details finden Sie hier: Artfiles Mail V3

 

VonChristian Rehkopf

Let’s Encrypt? OK!

„Verschlüsselte Websites für alle“, so lautet das Motto von „Let’s Encrypt“. Allerdings ist ein Zertifikat noch lange keine verschlüsselte Website.

Hinter Let’s Encrypt stehen bekannte IT-Firmen wie Mozilla, Akamai, Cisco sowie die EFF (Electronic Frontier Foundation). Sie haben sich zur „Internet Security Research Group“ (ISRG) zusammengefunden. Das Ziel des Projekts ist, verschlüsselte HTTPS-Verbindungen zum Standard im Web zu machen und so für mehr Datenschutz und Sicherheit zu sorgen – was nur bedingt einen Zusammenhang darstellt. Let’s Encrypt liefert dazu kostenlose Zertifikate, die von den gängigen Browsern als vertrauenswürdig angesehen werden.

SSL-Testergebnis vom Heimserver

SSL-Testergebnis vom Heimserver

Dazu gibt es ein Softwarepaket für verschiedene Server, um die entsprechenden Zertifikate passend zu den Domains zu installieren und die Einstellungen entsprechend anzupassen.

Auf meinem Spiel- und Bastelserver zu Hause hat das auch ganz prima geklappt, das Zertifikat ist 3 Monate gültig, und macht auch sonst einen guten Eindruck, wenn man die Servereinstellungen anpasst.

Und Sie, bzw. Ihre Website?

Das ist ja mal ganz nett, wenn man einen Server mit root-Zugriff und den notwendigen Skills hat, um alles korrekt einzurichten – auch wenn einem ein Programm einiges abnimmt. Will man das aber im professionellen Umfeld einsetzen, gibt es erhebliche Herausforderungen:

  1. Die Zertifikate müssen alle 3 Monate erneuert werden
  2. Der Webserver bedarf entsprechender Anpassungen um https mit diesem Zertifikat zu beantworten
  3. http-Anfragen müssen auf https umgelenkt werden
  4. die Website muss anschließend überprüft werden

Wobei Punkt 1&2 praktisch 4 mal Jährlich zu Buche schlagen, die Punkte 3&4 hat man auch bei der Alternative: längerfristige Zertifikate zum Kaufen.

Noch dramatischer ist es, wenn ein Wildcart-Zertifikat benötigt wird, z.B. für

 *.crnet.de

für alle Subdomains von crnet.de gültig. Derartige Zertifikate bietet Let’s Encrypt nicht an. Hier bleibt nur der Griff zu „klassischen“ bezahl-Zertifikaten.

Unsere Lösung:

SSL-TestergebnisWir haben ein System entwickelt, mit dem man http-Websites mit Let’s Encrypt Zertifikaten auf https umbauen kann. Technisch gesehen ist es ein Proxy Server, der pro Domain konfigurierbar ist, und die Seiten von verschiedenen Quellservern abholt und per https verschlüsselt ausliefert. Die Quellen können http oder https sein, letzteres auch mit self-signed Zertifikaten, die sonst Fehler auslösen würden.

Die Let’s Encrypt Zertifikate werden bei Aktivierung oder „on-the-Fly“ generiert und aktiviert (hier ist die große Magie in unserer Software).

Damit haben wir quasi eine Klick-and-play Lösung, um Seiten per https auszuliefern, die nicht einmal „wissen“ müssen, das sie verschlüsselt ausgeliefert werden.

Diese Seite hier ist dafür das beste Beispiel.

ssl ProxySo geht’s:

  1. Proxy Umleitung einrichten (unverschlüsselt), Modus wahlweise „Umleitung“, „Proxy“ oder „Websocket“
    ggfs. testen (bei CMS empfohlen)
  2. DNS-Eintrag der Website auf den Proxy umschalten (ggfs. TTL-Zeit abwarten)
  3. Im Proxy auf SSL ON schalten

Fertig.

Feinschliff (obige Punkte 3 & 4):

Ab da kann die Website auch mit https aufgerufen werden. Jetzt kommen die Feinarbeiten an der Website, wenn absolute Links verwendet werden, selbige müssen auf https umgeschrieben werden. Bei CMSs kann man das mittels Datenbankquery erledigen, statische Seiten sollten relative Links haben, und somit ohnehin direkt problemlos laufen. Bei TYPO3 z.B. muss nur der Base-href auf https gesetzt werden.

Wenn es dann auf der https-Variante der Website keine Fehler gibt, kann auf die erzwungene Verschlüsselung oder auch HSTS geschaltet werden.

Technisch gesehen funktioniert das Produkt, bis zum neuen Jahr werden wir auch einige logistische Details geklärt haben, aber schon jetzt steht dieser Service ab sofort zur Verfügung.

Wenn Sie Ihre Website per https ausliefern wollen, kontaktieren Sie uns.


Weiterführende Informationen:

Google / SEO : HTTPS as a ranking signal

Allgemein (GOLEM): Netzverschluesselung – Mythen über https

SSL Testen: SSL Labs


Let's Encrypt? OK!

Let’s Encrypt? OK!


VonChristian Rehkopf

Wirklich spannend und kniffelig: Professionelle Sicherheitslösung mit pfSense

Bei einer Softwarefirma wurde eingebrochen – und zwar Datentechnisch.

Der Lieferant für Computer des Unternehmens hat mich als Fachmann für Netzwerke und Firewalling dazu gebeten, die Sache zu begutachten. Ich kann aus Ermittlungs-Gründen hier natürlich keine Details zum unberechtigten Zugriff nennen, darum geht es auch nicht, sondern es soll um die Sicherheitskomponenten gehen.

Die Netzanbindung und Filial-kopplung hat ein uns allen bekanntes Magentafarbenes Unternehmen gemacht. Man sollte eigentlich überlegen, ob man die nich in Regress nehmen kann, denn das war alles Mist:

  1. Was mir als Erstes auffiel war, das nichts geloggt wird – es war praktisch nicht möglich, nachzuvollziehen, wann welche Datenmengen übertragen wurden. War es „nur“ Vandalismus, oder wurden Daten entwendet? Reine Spekulation und Hochrechnung.
  2. Die Filialanbindung lief über IPSec, und es wurde nur der Traffic durch den Tunnel geschoben der Zielnetzrelevant war, also der Internettraffic einer Filiale ging direkt am Router ins Netz. Das mag zwar volumentechnisch richtig sein, aber aus der Sicherheitsprespektive heisst das: Jeder Rechner in einer Filiale ist ein potentielles Einbruchsgateway.
  3. Administrativer Zugriff von aussen lief über Freigaben. Ein Fehler in einem Service wurde somit direkt draußen abgebildet. Das war aber dem 4. Punkt geschuldet:
  4. Die Lizenzpolitik von Telekom und LANCOM – das ist lächerlich und unverschämt. Also mal abgesehen von der wirklich dämlichen Benutzerführung (verdient die Bezeichnung nicht) in der LANCOM-Software, kann man als Benutzer auch kaum VPN für externe Dienstleister zur Verfügung stellen, weil man für jeden Tunnel eine Lizenz braucht – HALLO, GEHT’S NOCH? Genau damit werden Unsicherheitsfaktoren provoziert – ich weiss nur noch nicht, was von Beiden intensiver wirkt.
  5. Achja, ist zwar jetzt nicht Sicherheitsrelevant, zeigt aber die Qualität der Installation: Die Filial-Telefonie (VoIP) war auf einen Audiocodec für LAN eingestellt, ohne Jitterkontrolle, mit den daraus resultierenden Mängeln, die nur wegen der verfügbaren Bandbreite erträglich waren – kein Vergleich zu jetzt.

Lange Rede, kurzer Sinn: wir haben als zentralen Netzwerkknoten eine dicke pfSense mit Contentfilter und Virenschutz installiert, die Filial-VPNs auf OpenVPN umgestellt und leiten den gesamten Client-Traffic durch den Tunnel.

Somit kann nur noch ein einer Stelle eingedrungen werden: an der pfSense, und da kann ich nur drüber lachen, das hat in 15 Jahren Rechenzentrums-Einsatz keiner hinbekommen, und versucht wurde es täglich rund um die Uhr.

Eine Sache war allerdings wirklich knifflig: An einem Standort steht der dortige Internetanschluss nicht exklusiv zur Verfügung, und der erste Versuch war einen Router hinter das NAT-Netzwerk zu stellen, der einen Tunnel Aufmacht, und den Tunnel-NIC nach „innen“ NATed mit Masquerading, das hat auch gut geklappt, nur die IP-Telefonie nicht so richtig. Also haben wir dort einen OpenVPN-Tunnel als transparente Bridge konfiguriert, und nun stehen die Geräte „hinter“ dem Router Netzwerktechnisch direkt in der Zentrale.

Das haben wir übrigens mit einem UBNT EdgeRouter  realisiert: krasse Lernkurve, geniale Systeme und Power ohne Ende.

VonChristian Rehkopf

Endlich kommt Flash in die Tonne!

Der Schwellenwert ist überschritten: Flash wird verbannt. Und zwar großflächig und automatisch dort, wo es IMO die größte Verbreitung hat: als Plugin für Firefox. Das hat die Mozilla Foundation gestern bekannt gegeben (Quelle: Computerbase – Mozilla Foundation setzt Flash auf Blockliste).

Endlich weniger penetrante Werbung, ich hab heute schon auf etlichen Sites „neue“ Werbung ohne Flash gesehen. Und auf einmal können Vimeo, dailymotion, Youtube und Facebook auch immer noch ihre Videos ausliefern. Vor 4 Wochen undenkbar.

Ich hatte immer wieder mal Flash verbannt, aber nicht zuletzt wegen o.g. Seiten immer wieder installiert. Meine letzte diesbezügliche Aktion war ein systemweites Entfernen vor ein paar Wochen, als die aktuelle Lücken-Serie los ging. Nun kann es wohl weg bleiben.

Wenn man sich jetzt die Frage stellt, ob es wiederkommt, dann würd ich mich da nicht drauf verlassen. Das Web ist zu schnell. Und wenn ein Plugin ein paar Wochen weg ist (ich kenn die Prüfverfahren von Mozilla nicht, um von der Bösebuben-Liste wieder runter zu kommen), dann wird an allen Ecken und Enden an Alternativen gearbeitet und innerhalb kürzester Zeit ist es obsolet. Hoffentlich!

Das hat Steve Jobs schon 2010 eingeleitet, und glücklicherweise hat Apple es konsequent umgesetzt. Auch wir haben uns schon lange nicht mehr auf Flash verlassen – eher im Gegenteil.

Meine Empfehlung: nicht nur als Firefox-Plugin, sonder auch alle dazugehörigen Pakete des Flash-Players etc. komplett vom System entfernen!

 

VonChristian Rehkopf

Mehr Speed!

Im Rahmen unserer Überarbeitung der Infrastruktur haben wir einen Fokus auch immer auf höhere Geschwindigkeit gesetzt. in diesem Zusammenhang treten wir jetzt in eine weitere Phase.

Die Geschwindigkeit, mit der eine Homepage ausgeliefert wird, setzt sich aus vielen Komponenten zusammen. Aber jenseits des verwendeten Systems zur Seitenerzeugung kommen noch weitere Komponenten und Faktoren, wie die Methodik der Scriptinterpretation, angebundenen Datenbanken, verfügbare Banbreite u.a. dazu.

Oder aber, um eine Metaffer aus der Autowelt hinzuzuziehen: was nutzt eine erstklassige 6-Spurige Autobahn, wenn die Sommerferien anfangen? Genau: es können mehr Leute im Stau stehen.
Und dabei spielen nicht nur die Anzahl der Spuren und die zulässige Höchstgeschwindigkeit eine Rolle, sondern auch die Verfügbaren Zu- und Abfahrten, eventuelle Baustellen und nicht zuletzt das Fahrverhalten der Verkehrsteilnehmer.

Egal, diese Website hier (www.crnet.de) wird ab sofort über einen Varnish-Cache ausgeliefert, und dieser Beitrag ist ein Test, ob der Cache auch ordentlich gelöscht wird, wenn der Seiteninhalt sich ändert. Der Cache-Server steht in einem der global best angebundenen Standorte in Europa.

VonChristian Rehkopf

Freitag ab Eins macht jeder Seins

Und ich mach das dann die darauf folgenden 7 Tage auch noch, indem ich spontan mal eine Woche wegfahre.

Ab dem 22.6. bin ich wieder im Büro erreichbar.

Das beste: da wo ich hinfahre gibts kein Internet. Mal sehen, ob ein Leben offline noch möglich ist. :-/