Netzwerk – KOKOLOR.ES

Temporärer Internetzugang über WLAN einem Kumpel bereitgestellt

11. Juli 2017 by Sebastian Leave a Comment

Ein Kumpel ist in eine neue Wohnung gezogen, welche nicht weit von meinen Eltern entfernt ist. Da es noch eine Weile dauert bis er Internet da hat, kam ich auf die Idee das man ihn doch temporär bei meinen Eltern dran hängen kann. Was vorher eher als Scherz gedacht war, wollte dann aber doch ausprobiert werden, denn die nötige Hardware war vorhanden.
Ich schnappte mir also meinen CPE210, der derzeit nur im Schrank rumm lag und und lötet hier wieder die Antennen um, da ich hier ja eine durch eine Rundstrahler Antenne getauscht hatte. Anschließende flashte ich hier LEDE als Firmware auf den Router und konfigurierte ihn als AP. Mein Vater hat, aus Zeiten als es noch kein Internet in meinem kleinen Heimatdorf gab, eine kleine Antennenhalterung einer ehemaligen WIMAX Antenne auf dem Dach, welche perfekt für den CPE passte. Ich kletterte also aufs Dach, befestigte den Router und richtete ihn ungefähr in die Richtung aus, wo die neue Wohnung sich befindet. Erstaunlicherweise habe ich sogar im Garten meiner Eltern, direkt unter dem Router recht guten Empfang, was aber bei der Öffnung der Antenne gar nicht der Fall sein sollte, aber naja.
Als Gegenstelle, welche bei meinem Kumpel ans Dachfenster kommt, kommt eine Picostation M2 zum Einsatz. Diese hatte ich mal als Freifunkrouter bei meinem Vater auf dem Dach, welcher allerdings irgendwann mal, aus Gründen, wieder abgenommen wurde und seitdem herum lag. Auf dieser hatte ich irgendwann mal wieder die Stock Software aufgespielt, welche ich auch drauf ließ und den Router einfach als „Station“ konfigurierte, welcher sich mit dem CPE verbindet. Befestigt wurde die Picostation neben einem Dachfenster, indem wir einen Winkel in einen Schlitz zwischen zwei Blechen einklemmten und daran den Router befestigten. Eine Verbindung kam auch prompt zustande, allerdings ist die Geschwindigkeit…naja überschaubar. Mein Kumpel hat nun eine, ein klein wenig schwankende, DSL4000er Leitung, mit welcher man aber bequem 720p Youtube und Netflix gucken kann. Ich habe noch ein paar Stunden mit unterschiedlichen Ausrichtungen der Router und unterschiedlichen Channeln verbracht, allerdings wird es wohl an den Bäumen und drei Häusern liegen, das das Signal nicht sooooo gut ist, aber als Übergang wird es reichen. Klar, ich könnte mir jetzt noch eine Richtantenne für einen normalen Router bauen, aber das ist mir der Aufwand jetzt nicht wert.

Xubuntu: dnsmasq in NetworkManager deaktivieren

2. Januar 2017 by Sebastian 2 Comments

Ich hab bei Xubuntu 16.04 wiederholt beobachten können, das die Namensauflösung nicht richtig funktioniert, bzw. aller paar Minuten, für ca. 30s aussetzt. Das Problem habe ich schon vor ein paar Monaten auf meinem Arbeitsrechner gelöst, allerdings trat es gestern nach einer Neuinstallation für eine Bekannte erneut auf, weshalb ich das hier mal vermerke.
Das Problem liegt daran das in Xubuntu der Networkmanager so konfiguriert ist, dass er einen lokal installierten dnsmasq zur Namensauflösung verwendet. Ich weiß nicht wieso das so voreingestellt ist, da ich auch keinen Dienst gefunden habe, der darauf angewiesen wäre oder danach nicht mehr korrekt funktioniert. Es führt jedenfalls zu dem oben genannten Problemen und auch dazu das ein, über den nm-connection-editor vergebener DNS Server ignoriert wird. Um dem NetworkManager davon abzuhalten dnsmasq zu benutzen muss die Datei /etc/NetworkManager/NetworkManager.conf wie folgt angepasst werden:

[main]
plugins=ifupdown,keyfile,ofono
#dns=dnsmasq

[ifupdown]
managed=false

Synology Android Apps und Reverse Proxy

28. Juni 2016 by Sebastian 5 Comments

Da ich meinem Vater schon vor einer Weile eines meiner alten Raspberry Pi’s als Gateway für mein VPN zu Hause installiert habe, damit er z.B. meine NAS zu Hause einbinden kann und ich seine, kam mir neulich der Gedanke das ich ihm doch auch seine NAS Dienste über meinen Reverse Proxy zur Verfügung stellen könnte. Der Vorteil wäre das er keine Ports mehr in seinem Router zu Hause öffnen müsste und er meine Domain nutzen könnte, statt dieser verkrüppelten myfritz Domain, die er vorher nutzte.

Der Synology NAS eine weitere IP aufs Interface drücken

Bei meiner alten Synology NAS (DS209j) ging das, indem ich einfach die entsprechenden ip addr add und ip route add Zeilen in die /etc/rc.local schreibe. Synology entschied aber scheinbar irgendwann zwischen DSM 4.2 und 6 diese zu deaktivieren. Im Synology Forum fand ich dann den Hinweis das man nun Scripte unter /usr/local/etc/rc.d/ ablegen kann, welche dann beim booten ausgeführt werden. Schöne Theorie, in der Praxis tat es das jedoch bei mir nicht.
Als ich mir dann mal den Aufgabenmanager des DSM anschaute, sah ich das man hier ja benutzerdefinierte Scripte ausführen kann und das nicht nur zeitgesteuert, sondern auch bei Events wie Boot oder Shutdown. Also habe ich hier eine entsprechende Aufgabe angelegt und mein Script in mein Home verlegt. Nach einem Neustart hatte das Interface jedoch immernoch keine zusätzliche IP bekommen, das Script wurde aber laut Eventlog ausgeführt und zwar ohne Fehler. Mir kam dann der Gedanke, das vielleicht das Script schon ausgeführt wird, bevor das Interface eigentlich Up gesetzt wird. Also schrieb ich einfach mal ein sleep 10 an den Anfang und siehe da, nun funktioniert es.

Reverse Proxy einrichten

Sollte ja erstmal kein Akt sein. Nginx lief schon als Reverse Proxy auf einem meiner Server und ich fügte lediglich eine neue Server Sektion hinzu:

server {
    listen 443 ssl;
    listen [::]:443 ssl;

    server_name nas.de;

    ssl_certificate /etc/letsencrypt/live/nas.de/fullchain.pem;
    ssl_certificate_key /etc/letsencrypt/live/nas.de/privkey.pem;

    location / {
        proxy_set_header Host $host;
        proxy_set_header X-Real-IP $remote_addr;
        proxy_set_header        X-Forwarded-For $proxy_add_x_forwarded_for;
        proxy_pass https://1.1.10.20:5001;
    }
}

An dieser Stelle habe ich das erste mal mit letsencrypt Zertifikaten gearbeitet. War sehr angenehm und einfach. Anschließend war die NAS schonmal erreichbar, man konnte sich einloggen und alles lief soweit – bis auf die Photostation.
Diese verwendet ja einen anderen Port, in meinem Fall 5002. Rief ich diese im lokalen Netz aus dem DSM heraus auf, hängt er lediglich /photo an die Domain an, machte ich es jedoch über den Reverse Proxy hängte er noch den Port mit an. In der Photostation ist es möglich den Routerport zu ändern, welchen ich dann in 443 abänderte. Anschließend versuchte ich es erneut, mit dem Ergebnis das er nun keinen Port mehr anhängt, die Adresse jedoch noch immer nicht erreichbar war. Ich fügte dann folgendes, zusätzlich, in die Server Sektion der Nginx Konfiguration ein, damit /photo intern auf Port 5002 weitergeleitet wird:

    location /photo {
        proxy_set_header Host $host;
        proxy_set_header X-Real-IP $remote_addr;
        proxy_set_header        X-Forwarded-For $proxy_add_x_forwarded_for;
        proxy_pass https://1.1.10.20:5002/photo;
    }

Das funktionierte dann auch und nun funktionierten alle Dienste soweit.

Synology DS Apps

Da mein Vater die Apps von Synology ziemlich gut findet und diese auch ausführlich nutzt, müssen diese natürlich auch funktionieren. Ich ging also jede App durch und das Ergebnis war

DS note – funzt

DS audio – funzt nicht

DS video – funzt nicht

DS file – funzt nicht

DS photo – funzt nicht

Die Daten wurden von mir dabei in jeder App gleich eingegeben. Dann ging die Sucherei los, ich guckte auf der Synology Seite nach, ob diese Apps eventuell noch zusätzliche Ports benötigen oder man noch Rechte setzen musste und so weiter. Nachdem ich dabei zu keiner Lösung kam, schaute ich mir dann mal den Traffic mit tcpdump an und stellte fest das alle Apps, bis auf die DS Note, per Default, den Port 5001 nutzen, wenn man keinen anderen in die Domain anhängt. Also per iptables einen Redirect von port 5001 nach 443 auf dem Reverse Proxy eingrichtet und dann lief alles:

iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 5001 -j REDIRECT --to-port 443 -m comment --comment "syno port fix"

Mir stellt sich da wieder die Frage was das soll. Entweder nutzt man den Standart HTTPS Port, wenn der Haken bei HTTPS gemacht wird oder man setzt einen Hinweis, das bei HTTPS der Port 5001 benutzt wird. Und das macht man dann bitte auch in jeder App einheitlich und nicht mal da so und da anders.

Alles in allem ist mein Vater nun glücklich und es funktioniert alles.

apt-get force IPv4

26. Juli 2015 by Sebastian 3 Comments

Ich hatte letzte Woche auf Arbeit das Problem, das scheinbar das IPv6 bei einem Kunden kaputt war, weshalb ich kein apt-get update durchführen konnte, da er die IP nicht erreichen konnte. Also musste ich apt-get dazu bewegen doch bitte IPv4 zu nutzen. Ab Version 0.9.7.9~exp1 geht das wie folgt:

apt-get -o Acquire::ForceIPv4=true update

Da es sich in diesen Fall aber um ein Precise handelte mit einer älteren apt-get Version muss hier anders vorgegangen werden. Und zwar muss in /etc/gai.conf folgende Zeile einkommentiert werden:

precedence ::ffff:0:0/96  100

Umbau eines TP-Link CPE 210

5. Juni 2015 by Sebastian 15 Comments

Da ich mittlerweile recht häufig über 40 Leute gleichzeitig auf meinem Freifunkknoten, welcher zum Hbf zeigt, habe, letztens sogar über 60, habe ich mich entschieden mal ein bisschen Geld zu investieren und das ganze Setup bei mir umzubauen. Bis vor kurzem sah es so aus, das ich auf der Seite zur Straße, welche den Vorplatz des Hauptbahnhofs mit abdeckt, einen 841er und auf der Rückseite, zum Innenhof einen 841er, außen am Fenster hängen hatte. Der 841er auf der Rückseite stellte dabei den Uplink. Da die Geräte allerdings was schwach auf der Brust sind und dadurch die VPN Verbindung starken Geschwindigkeitsschwankungen unterlag, legte ich mir einen WR3600 zu, welcher nun die Rolle das Uplinks übernimmt. Der 841er mit Gehäuse wurde Christoph vermacht.
Nun fand ich die CPE’s noch recht interessant und ich entschied mich mir so einen zu besorgen. Dieser wird den 841er auf der Straßenseite ersetzen und auf den Vorplatz des Hauptbahnhofs gerichtet, denn da ist der Empfang mit 1-3 Balken etwas Mau und das merkt man auch an der Geschwindigkeit. Da aber nicht nur der Hauptbahnhof und die Bushaltestellen davon profitieren sollen, sondern der Rest ringsherum auch, habe ich mich entschieden das Teil umzubauen. Dazu gab es schon sehr detaillierte Bilder im Freifunkforum.
Also wurde der CPE, eine Rundstrahlantenne und ein SMA WLAN Adapter Kabel bei Amazon bestellt. Ich möchte hier am Rande wieder das boost-project erwähnen, durch welches ich mit nur zwei Klicks mehr noch Geld aus dem Kauf generieren und dem Freifunk Rheinland spenden konnte.

Shop	Beschreibung	Preis
Amazon	TP-Link CPE210 Outdoor WLAN Access Point	59,90€
Amazon	BIGtec WLAN Adapterkabel RP SMA Buchse	6,25€
Amazon	TP-Link TL-ANT2405CL Indoor Omni-direktionale Antenne	5,95€
Gesamt		72,10€

Als das Gerät ankam wurde es mir erstmal direkt von meinem Chef geklaut, denn er fand das Ding auch cool und brauchte auch sowas für seinen Garten. Nachdem ich ihm dann erklärte was es ist und wie viel sowas kostet bekam ich es auch wieder :D
Ich begab mich dann gegen Feierabend in die Werkstatt und versuchte den Router aufzumachen, was mir zunächst nicht gelang, denn ich wusste nicht das sich unter dem Label mit der MAC Adresse noch zwei Schrauben befanden.

Auch im Internet fand ich nur hinweise das man nur beherzt ziehen soll und keine Angst vor Gewalt haben sollte. Ich wolltes dann aber nicht darauf ankommen lassen und ich fand dann auch irgendwann, ganz klein, in den schon hier verlinktem Freifunk Forum Beitrag den Hinweis auf die Schrauben. Also mit etwas Spitzem das Label entfernt und die Schrauben entfernt und siehe da, plötzlich geht es genau so einfach wie in den gefundenen Videos zum öffnen des Teils. (UPDATE 22.08.16 von Stefan) Als nächstes habe ich die vier Schrauben, die die Platine befestigen entfernt und die Platine heraus genommen. Achtet hier darauf das sich im oberen Teil, auf der Rückseite Wärmeleitpaste befindet.

Die goldene Halterung, welche eigentlich für ein Erdungskabel vorgesehen ist, wird als Halterung für die Antenne herhalten. Da das Loch aber viel zu klein ist um da SMA Adapter durch zu bekommen muss hier mit dem Bohrer nachgebohrt werden. Als erste habe ich eine 6er und anschließend einen 8er Bohrer benutzt um das Loch zu vergrößern. Beim Bohren muss man etwas vorsichtig sein, denn erstens wird die Halterung instabiler um so größer das Loch wird, also biegt sich schnell und bei zu viel druck habt ihr dann die Einzelteile in der Hand. Zweitens ist nicht unweit der Bohrstelle ein Kondensator, welchen ich einmal durch zu viel Druck fast getroffen hätte. Gott sei dank war mein Finger zwischen… Damit der Adapter passte musste ich noch etwas mit der Feile nacharbeiten. Dann den Adapter befestigen und schon ist der langwierigste Teil geschafft, zumindest war er es bei mir.

Nun ging es ans Löten und zwar muss das rechte Kabel oben ab. Ich bin mir ehrlich gesagt gar nicht sicher ob man auch das andere hätte nehmen können. Man muss TP-Link zu gute schreiben das die echt ordentlich Löten, ich weiß nicht ob das an unserem Lötkolben lag, aber ich hab ewig gebraucht und das Ding voll aufdrehen müssen bis sich da mal irgendwas tat. Nachdem das Kabel ab war wurde das Kabel vom Adapter angelötet. Vorher hab ich den Connector entfernt, welcher eigentlich zum verbinden mit einer WLAN Karte da ist. Irgendwo hatte ich auch gesehen das dieser dran bleiben kann, aber ich hab ihn dennoch ohne angelötet. Damit das andere Kabel nicht rumm fliegt wurde es kurzer Hand an das Gitter gelötet.

Nun kann man schon das Gehäuse wieder vollständig zusammen bauen, denn das war es schon. Der letzte Part ist nun noch ein Loch für die Antenne in die Abdeckung zu bohren welche zum Schutz über die Anschlüsse geschoben wird. Das kenn man entweder nach Gefühl machen und hoffen das man gut schätzt, das wir in meinem Fall so. Eine andere Variante wäre das Gehäuse noch nicht zusammen zu setzen, sondern den unteren Teil des Gehäuses abzuschrauben und mit aufgesteckter Abdeckung das Loch in diese zu bohren.

Und das war es schon. Ich muss natürlich nicht darauf hinweisen das dadurch die Garantie flöten geht, was man sich bei ca. 60€ überlegen sollte. Wenn jemand einen coolen Hinweis für eine Halterung hat, welche gut an einem Fenster mit kurzem Fensterbrett zu befestigen ist, würde ich mich über Hinweise freuen, denn das ist gerade noch das Problem. Hab keinen Plan wie ich den anbringen soll.

zabbix-check-smart: S.M.A.R.T. HDD Monitoring mit Zabbix

28. Mai 2015 by Sebastian 4 Comments

Ich setze schon seit vielen Jahren beruflich sowie privat beim Überwachen von Servern auf Zabbix. In diesem Zusammenhang musste ich mich auch das erste mal richtig mit Bash beschäftigen um diverse Skripts zu schreiben, die Dinge überwachen die Zabbix von Haus aus nicht mitbringt. Da es bei einer größeren Infrastruktur allerdings nervigen werden kann, sowas immer von Hand auf die Server zu legen, habe ich mich irgendwann entschieden Pakete daraus zu bauen. Die Skripts, bzw. Pakete, die auch allen anderen von nutzen sein können, werden ich und mein ehemaliger Kollege Christoph auch öffentlich in einem Repository zur Verfügung stellen. Da wir beide meist auch noch ältere Server, mit älteren Debian oder Ubuntu Versionen verwalten, sind die meisten Skripts auch darauf nutzbar. Wenn ihr Bugs bemerkt oder Fragen habt, kontaktiert einfach denjenigen von uns, welcher das Pakete erstellt hat. Die XML Templates zum importieren ins Frontend liegen dabei immer unter /usr/share/doc/{package_name}/

So nun zum eigentlichen Teil, dem Paket um S.M.A.R.T. Werte (RAW und VALUE) eines Servers auszulesen und diese in Zabbix darstellen zu lassen. Geschrieben habe ich es in Python, mit ein paar Hilfestellungen eines Kollegen, da dies so zu sagen meine ersten Gehversuche in Python sind. Bestehen tut das ganze aus zwei Skripten, einem Discovery Skript, welches die verbauten Platten für die Discovery Rule im Frontend erfasst und dem Skript welches der Agent aufruft und die Werte abzufragen.
Installieren könnt ihr das Paket, nachdem ihr das Repository hinzugefügt habt, via:

apt-get install zabbix-check-smart

Bei der Installation wird direkt geschaut ob SMART auch auf den Platten aktiviert ist, wenn nicht wird es aktiviert. Danach einfach das Template zum Frontend hinzufügen. In diesem sind ein paar Abfragen integriert, die mir jetzt erstmal wichtig waren. Ihr könnt im Grunde jeden SMART Wert damit, als RAW_VALUE oder VALUE abfragen. Will man RAW_VALUE Werte bekommen muss der Key z.B. so aussehen:

smart.raw[{#HDD},Current_Pending_Sector]

Für VALUE Werte z.B. so:

smart.value[{#HDD},Raw_Read_Error_Rate]

Redmine: ActionController::RoutingError

8. Mai 2015 by Sebastian Leave a Comment

Gestern habe ich zum testen ein Plugin installiert, welches bei mir allerdings nur zu Error Meldungen über Error Meldungen in Error Meldungen führte. Ja ich weiß, redmine hat auch nenn Dev Environment, ich habe auch daraus gelernt…
Jedenfalls nachdem ich alles zurück gerollt hab, stellte ich zu meinem erstaunen fest das im Redmine spezielle Funktionen nicht mehr funktionieren. Hier mal paar Beispiele:

Checklisten Plugin: Anlegen von Punkten nicht mehr durch Enter möglich, stattdessen tauchen nun Speichern und Abrechen Buttons auf die aber nicht funktionieren
Agile Plugin: Zeigt nur noch kaputte Task Charts an
Plugins wie das Redmine CRM People und Contacts Plugin können die Default Avatare nicht mehr finden

Im production.log von Redmine zeigte sich dann bei jedem Aufruf, von nahezu jedem Plugin folgender Fehler. Ist hier ein Bsp. von Contacts

ActionController::RoutingError (No route matches [GET] "/plugin_assets/redmine_contacts/stylesheets/contacts.css"):
  actionpack (3.2.21) lib/action_dispatch/middleware/debug_exceptions.rb:21:in `call'
  actionpack (3.2.21) lib/action_dispatch/middleware/show_exceptions.rb:56:in `call'
  railties (3.2.21) lib/rails/rack/logger.rb:32:in `call_app'
  railties (3.2.21) lib/rails/rack/logger.rb:16:in `block in call'
  activesupport (3.2.21) lib/active_support/tagged_logging.rb:22:in `tagged'
  railties (3.2.21) lib/rails/rack/logger.rb:16:in `call'
  actionpack (3.2.21) lib/action_dispatch/middleware/request_id.rb:22:in `call'
  /usr/lib/ruby/vendor_ruby/rack/methodoverride.rb:21:in `call'
  /usr/lib/ruby/vendor_ruby/rack/runtime.rb:17:in `call'
  activesupport (3.2.21) lib/active_support/cache/strategy/local_cache.rb:72:in `call'
  /usr/lib/ruby/vendor_ruby/rack/lock.rb:15:in `call'
  actionpack (3.2.21) lib/action_dispatch/middleware/static.rb:83:in `call'
  /usr/lib/ruby/vendor_ruby/rack/cache/context.rb:136:in `forward'
  /usr/lib/ruby/vendor_ruby/rack/cache/context.rb:245:in `fetch'
  /usr/lib/ruby/vendor_ruby/rack/cache/context.rb:185:in `lookup'
  /usr/lib/ruby/vendor_ruby/rack/cache/context.rb:66:in `call!'
  /usr/lib/ruby/vendor_ruby/rack/cache/context.rb:51:in `call'
  railties (3.2.21) lib/rails/engine.rb:484:in `call'
  railties (3.2.21) lib/rails/application.rb:231:in `call'
  railties (3.2.21) lib/rails/railtie/configurable.rb:30:in `method_missing'
  /usr/lib/ruby/vendor_ruby/phusion_passenger/rack/thread_handler_extension.rb:77:in `process_request'
  /usr/lib/ruby/vendor_ruby/phusion_passenger/request_handler/thread_handler.rb:142:in `accept_and_process_next_request'
  /usr/lib/ruby/vendor_ruby/phusion_passenger/request_handler/thread_handler.rb:110:in `main_loop'
  /usr/lib/ruby/vendor_ruby/phusion_passenger/request_handler.rb:448:in `block (3 levels) in start_threads'

Die Fehlermeldung ist dabei für jedes Plugin identisch, nur der Pfad variiert halt. Also erstmal auf dem System rummgeschaut was das Problem sein könnte – Pfade, Rechte etc. gecheckt, alles beim alten. Plugins deinstalliert und neu installiert, genau der selbe Fehler. Lösung fand ich dann schließlich hier. Man muss Apache also mitteilen wo plugin_assets zu finden ist, also muss folgendes in der entsprechenden Apache Conf für die Seite ergänzt werden:

Alias "/plugin_assets/" /var/cache/redmine/default/plugin_assets/
        
                Allow from all
                Options -MultiViews
                Require all granted

Was ich allerdings nicht verstehe ist, wieso dieses Problem vorher nicht auftauchtey, sondern erst nach einem fehlerhaften Plugin. Wenn da jemand vielleicht was genaueres weiß wäre ich hoch erfreut wenn dieser es mir verrät. :)

Sign PGP Key mit Enigmail in Thunderbird

14. April 2015 by Sebastian 5 Comments

Mir wurde vor ein paar Wochen, auf der ALUG, das unterschreiben meines PGP Keys mit Enigmail gezeigt und erklärt. Ich dachte mir erstmal, „Ohje kann ich mir das merken“, denn einfach ist anders. Auch habe ich dann in den letzten Wochen von einigen gehört „Warum macht man das?“, „Wie geht das?“ und „Man, das kann sich ja keine merken!“ und so wurde ich gebeten dazu doch mal einen Artikel, bzw. eine Anleitung zu schreiben, was ich dann hiermit mal mache.

Warum macht man das?
Wozu muss/sollte denn ein PGP Key überhaupt unterschrieben werden? Hier kommt die Idee des Web of Trust ins Spiel, auf welcher PGP basiert. Es gibt keine zentrale Zertifizierungsstelle, sondern das Vertrauen wird von den Benutzern selbst verwaltet, indem diese sich, mit der Unterschrift des Schlüssels, untereinander bestätigen, „Ja, der Schlüssel gehört dem Typen“. Dadurch ist es Dritten möglich die Authentizität des Schlüssels einzuschätzen.
Beispiel: Christoph will sich mit mir verschlüsselt unterhalten und bezieht meinen Public Key von einem Keyserver. Nun kann er sich aber nicht zu hundert Prozent sicher sein, dass das wirklich mein Public Key ist, denn ihm könnte ja auch ein anderer untergeschoben wurden sein, da man meist auf Keyservern nur an Hand der Schlüsselkennung sucht, welche nur die letzten 8 Zeichen des gesamten Fingerprints umfasst. Hier kann es bereits zu Kollisionen kommen, wo die Schlüsselkennung zwar die richtige zu sein scheint, der restliche Fingerprint aber ein gänzlich anderer ist. Gezeigt wurde mir dies an Hand von evil32.com, welche für jeden Key des Web of Trust Strongsets bereits einen Kollisionsschüssel gefunden haben. Einen Link wo man nachschauen kann ob sein Schlüssel da auch vertreten ist gibts auf der Seite. So…wo war ich, genau, da Christoph sich nicht sicher sein kann, trifft er sich mit mir auf ALUG und ich weise ihm nach, das ich wirklich der bin der ich zu sein meine. Nachdem er nun meinen Personalien gecheckt hat, lese ich ihm meinen gesamten Fingerprint vor und er vergleicht diesen mit dem den er vom Keyserver bekommen hat. Ist alles cool, unterschreibt er meinen Public Key und lädt ihn auf den Keyserver hoch. Nun will sich Immanuel mit mir verschlüsselt unterhalten und lädt sich meinen Public Key herunter und sieht das dieser bereits von Christoph unterschrieben wurde. Da Immanuel Christoph schon seit Äonen kennt und seinem Urteilsvermögen, was mich belangt, vertraut, kann er auch meinen Public Key vertrauen, den er da ausgeliefert bekommen hat.
Ich hoffe ich konnte das so einigermaßen verständlich rüber bringen und sorry ihr beiden, dass ihr jetzt für mein Beispiel herhalten müsst, aber das war grad das schnellste Szenario was mir einfiel. ;-)

Wie geht das?

Schlüsselverwaltung mit meinen Key’s (Fett) und einem Public Key

Soviel erstmal zur Einführung. Nun erklär ich noch wie ihr einen Public Key mit dem Plugin Enigmail für Thunderbrid unterschreiben könnt. Ich gehe jetzt davon aus das die Leute, die das hier lesen, bereits Enigmail installiert und eingerichtet haben und somit auch einen Schlüsselpaar besitzen, weshalb ich nicht auf die Einrichtung eingehen werde.
Öffnet nun eure Schlüsselverwaltung (Menübutton > Enigmail > Schlüsselverwaltung). Darin sollte nun euer Schlüsselpaar auftauchen, welches Fett geschrieben ist und eventuell schon der Public Key der Person, welchen ihr beglaubigen wollt. Sollte das noch nicht der Fall sein tauscht eure Schlüssel aus, indem ihr euch z.B. gegenseitig eine signierte E-Mail schickt. Kontrolliert nun genau die Personalien der jeweiligen Person und lasst sie euch bestätigen. Also fragt sie nach Geburtsdatum etc. und kontrolliert das auf dem Ausweis und Führerschein. Ist das alles ok gehts nun zum Vergleichen des Fingerprints.

Macht dazu einen Rechtsklick auf den zu signierenden Publickey und öffnet die Schlüsseleigenschaften. Lass dir nun von deinem Gegenüber den Fingerprint vorlesen und vergleiche ihn mit dem was du angezeigt bekommst. Ist alles ok kann der Schlüssel unterschrieben werden.

Key unterschreiben

Dies könnt ihr entweder direkt im selben Fenster, links unten bei Aktion wählen > Unterschreiben, machen oder ihr schließt die Schlüsseleigenschaften, klickt erneut rechts auf dem Public Key und wählt Unterschreiben.
Nun werdet ihr gefragt ob ihr wirklich überprüft hab ob der Key der Person gehört. Dazu habt ihr drei Möglichkeiten zu Auswahl, wozu es allerdings keine festen Regeln gibt was ihr hier wählt. Ich halte mich an die Regeln, von dem der es mir erklärt hat:

„Ich habe es nicht überprüft“ – Sollte gar nicht gewählt werden
„Ich habe es nur einfach überprüft“ – Wähle ich wenn ich nur einen Identitätsnachweis zu Gesicht bekommen habe
„Ich habe es sehr genau überprüft“ – Wähle ich wenn ich zwei Identitätsnachweise gesehen habe

Außerdem gibt es den Punkt Lokal unterschreiben (nicht exportierbar), allerdings kann ich dazu nichts sagen und ich würde mich freuen wenn mich da jemand in den Kommentaren aufklärt, wofür das gut ist. Jedenfalls sollte man es nicht wählen wurde mir mitgeteilt, da das Nicht exportierbar nichts zu sagen hat und der Schlüssel dann dennoch auf den Keyserver geladen werden kann. Die Signatur taucht dann wohl auch im Schlüssel auf, allerdings ohne User ID. Da ich mir hier nicht mehr so sicher bin, bitte ich um Berichtigung falls falsch.

Unterschriften meines Public Keys

So nun habt ihr den Public Key unterschrieben. Mit einem Rechtsklick und Auf Schlüsselserver hochladen… könnt ihr diesen auf einen Keyserver hochladen. Mir wurde allerdings beigebracht, das die schönere Variante ist, den unterschriebenen Public Key der Person zuzusenden, dem er gehört, damit diese ihn selbst hochladen kann. Das ist nochmal eine Art letzte Verifizierung das die Mail auch der Person gehört und außerdem kann dadurch auch umgangen werden das ein, aus versehen, lokal unterschriebener Key hochgeladen wird. Verschicken tut ihr den Public Key mit einem Rechtsklick auf diesen und Öffentlichen Schlüssel per E-Mail senden. Leider fügt Enigmail nicht automatisch die Emailadresse in da An-Feld ein, warum auch immer. Hat euer Gegenüber die E-Mail bekommen, kann er einen Rechtsklick auf den angehängten Key machen und OpenPGP Key importieren. Ist dies geschehen, kann er nun in der Schlüsselverwaltung einen Rechtsklick auf seinen Public Key machen und Unterschriften anzeigen wählen, wo nun deine Unterschrift angezeigt wird. Als letzten Schritt muss er nun den Schlüssel mit einem Rechtsklick und Auf Schlüsselserver hochladen… hochladen. Somit liegt der Key nun unterschrieben auch auf den Keyservern und andere Benutzer sehen an Hand deiner Unterschrift, dass du ihm bereits vertraust. Nun kann er genau so mit deinem Schlüssel verfahren und fertig ist es.

Man, das kann sich ja keine merken!
Wenn man es ein paar mal gemacht hat geht das. Man muss sich nur einpleuen was alles zu beachten ist und alles paranoid überprüfen. Aber wenn ich das z.B. meinen Vater zeige und erkläre, weiß ich das er mir sagen wird das ihm das viel zu kompliziert ist, wo er recht hat. Für die 0815 Anwender ist das zu kompliziert.

Ich hoffe ich konnte es so erklären, das es „jeder“ versteht und durchführen kann. Außerdem hoffe ich, das alles soweit richtig ist und ich keine Fehler oder sogar richtigen Mist geschrieben habe. Sollte es so sein bitte nicht hauen, sondern mich nett darauf hinweisen. ;-)

WLAN Router outdoorfähig machen

11. März 2015 by Sebastian 2 Comments

Wie in meinem letzten Artikel geschrieben, wollte ich den Router (TL-WR841N), welcher in den Innenhof strahlt für den Außeneinsatz fertig machen, so das ich ihn neben dem Fenster an die Wand hängen kann. Aus der Wand ist jetzt nichts geworden, denn bei genauerer Überlegung kam ich dann zu dem Schluss das das mein Vermieter vermutlich nicht so geil fände. So habe ich mich dann dazu entschieden den Router mit Saugnäpfen am Fenster zu befestigen. Eventuell werde ich mir hier noch eine Konstruktion ausdenken, wie ich diesen dann noch etwas weiter nach außen bekomme. Vielleicht schreibe ich dann nochmal was dazu.
Bei den Bauteilen des Gehäuses habe ich mich weitestgehend im Freifunk Wiki bedient. Hier die komplette Liste:

Artikelnr.	Shop	Beschreibung	Einzelpreis
Summe (Zeile 6 - 8 sind die Antennenhalterungen, gehen deshalb doppelt in die Summe ein)			25,92€
534360	Conrad	Universal-Gehäuse ABS Licht-Grau 186 x 146 x 75 Hammond Electronics	12,89€
532212	Conrad	Kabelverschraubung M20 Polyamid Licht-Grau Wiska ESKV M20 RAL 7035	0,75€
532264	Conrad	Gegenmutter M20 Polyamid Licht-Grau Wiska EMUG M20 RAL 7035	0,16€
531627	Conrad	Dichtring M20 Ethylen-Propylen-Dien-Kautschuk Schwarz (RAL 9005) Wiska EADR 20	0,18€
532213	Conrad	Kabelverschraubung M25 Polyamid Licht-Grau Wiska ESKV M25 RAL 7035	1,08€
532265	Conrad	Gegenmutter M25 Polyamid Licht-Grau Wiska EMUG M25 RAL 7035	0,22€
531644	Conrad	Dichtring M25 Ethylen-Propylen-Dien-Kautschuk Schwarz (RAL 9005) Wiska EADR 25	0,17€
DIGITUS DN-95001	Reichelt	DIGITUS Passiv PoE Kabelset	3,30€
PATCH-C6SB 3SW	Reichelt	3m Cat.6, Flach-Patchkabel, schwarz	1,95€
ebay Suche: saugnapg mit gewinde	ebay	4x Saugnapf 30mmØ mit Gewinde	3,75€

Bei einer Platinenabmessung von ca. 122mm x 95mm fällt das Gehäuse mit Sicherheit was groß aus, aber es war schlussendlich das Günstigste. Auch in anderen Shops habe ich jetzt nichts vergleichbares für den Preis gefunden, bzw. wollte ich dann auch nicht jedes Teil einzeln bestellen. Wie es mit einem kleineren Gehäuse aussieht kann man in diesem Beitrag von Freifunk Wittmund sehen.

Zu den anderen Teilen gibt es nicht so viel zu sagen, die M20 Kabelverschraubung ist für das Patchkabel, welches später aus dem Gehäuse führt, die M25 Verschraubungen sind für die Antennen, das PoE Kabelset modelliert den Strom auf das Patchkabel, sodass wir das Stromkabel nicht mit ins Gehäuse legen müssen und das flache Patchkabel habe ich gewählt, da dieses gut durch das Fenster passt. Da ich mich entschieden habe das Gehäuse ans Fenster zu machen, habe ich mir dann noch ein paar Saugnäpfe mit Gewinde bestellt. Die von mir angegebenen sind mit einem Kunststoffgewinde, was ich euch nicht unbedingt empfehle, denn ich habe schon ein Gewinde kaputt gemacht.
Gut, als alles da war wurde mein Router abgebaut und mit auf Arbeit genommen, da ich hier mehr Werkzeug habe als zu Hause. Meine Kollegen waren dann auch ganz neugierig wie der Router von innen aussieht und haben ihn direkt auseinander genommen, so musste ich das nicht machen. Wie man sieht habe ich mir auch noch Silica Gel Pack besorgt. Das wird auch noch mit in den Router kommen, um eventuell auftretende Kondenzfeuchtigkeit zu kompensieren. Da mir auf der Platine die Lötstellen für die Antennen etwas lavede aussahen und ich Angst hatte das ich die Antenne samt Kabel plötzlich mal in der Hand halte, wurde da ein kleiner Streifen Gaffer Tape drüber geklebt.

Dann habe ich das Gehäuse vorbereitet, also 3 Löcher gebohrt und die Kabelverschraubungen eingeschraubt und mit der Rohrzange fest gezogen. Allerdings ist auch hier zu beachten das es sich nur um Kunststoff handelt, also nicht zu fest drehen, denn noch fest kommt sehr schnell ab. Eigentlich war da ja auch schon alles, denn jetzt kommt nicht mehr viel. Die einzige Überlegung die ich mir noch stellte war, wie befestige ich die Platine im Gehäuse. Darin rumfliegen lassen wollte ich sie nicht und für Heißleim sind die Flächen zu glatt. In unserem Lager fand ich dann noch Klettband, wovon ich einfach zwei sehr schmale Streifen abschnitt und eine Seite auf die Platine und die andere auf das Gehäuse klebte. So ist die Platine schön fest mit dem Gehäuse verbunden, allerdings jeder Zeit herausnehmbar. Das war dahingehend wichtig, da zu dem Zeitpunkt die Saugnäpfe noch nicht da waren, ich die Platine aber schonmal sicher im Gehäuse wissen wollte. Das letzte was noch gemacht werden muss ist Klebeband an die Stelle um das Patchkabel zu wickeln, wo dieses in der Kabelverschraubung ist, denn das Kabel ist nicht dick genug, das die Kabelverschraubung ausreicht. Wenn man Klebeband herumwickelt entsteht ein Knubbel, welches dann mit der Kabelverschraubung eingeklemmt werden kann und dicht sein sollte.

Als die Saugnäpfe ankamen habe ich diese auch direkt angebracht. Wie gesagt hier muss man bisschen vorsichtig sein beim andrehen, denn sonst gibt das Gewinde nach. Eine Dichtung habe ich hier mal gelassen, da ich mir denke das das Gummi der Saugnäpfe das Loch abschließt, was ohnehin pass genau ist. Dann wurde der Router auch direkt an das Fenster gepappt, wo er auch sehr fest hängt. Dennoch habe ich eine kleine Sicherung um eine der Antennen gemacht, nicht das er doch mal abfällt. Mit dem PoE Adapter funktioniert auch alles einwandfrei, ist für die 3€ echt super. Wie ich gelesen hab soll er auch bis 15m schaffen, obwohl glaub nur 5m angegeben sind vom Hersteller. Ich hab dann auch direkt mal die Ausleuchtung getest, welche nun definitiv besser ist als vorher. Ich werde definitiv den Router welcher die Straße versorgt auch nach außen hängen. Er deckt diese zwar so schon richtig gut ab, aber vielleicht funkt er dann noch weiter, wäre ja wünschenswert.

PS: Nur als kleinen Hinweis, wer es noch nicht kennt, dem möchte ich das boost-project ans Herz legen. Wenn ihr beispielsweise bei Conrad einkauft, könnt ihr mit ein paar Klicks mehr, Spenden aus eurem Einkauf generieren. Dazu wählt ihr auf der Seite von boost-project unter Shops Conrad aus und werdet dann direkt zum Shop geleitet. Aus eurem Einkauf wird dann ein bestimmter Prozentsatz, welcher von Shop zu Shop schwankt, dem boost-project gut geschrieben. 90% davon schreibt boost-project dann eurem Account gut, wenn ihr einen habt, und ihr könnt raussuchen an welche Charity ihr es verteilt, habt ihr keinen, landet es im allgemeinen Pot. Mit den restlichen 10% deckt boost-project laufende Kosten. Das Prinzip von boost-project basiert dabei auf Affiliate Marketing, also Empfehlungsmarketing, was ja schon quasi so alt ist wie das Internet selbst. Es wird auch ein praktisches Addon für den Browser bereit gestellt, welches euch dann auf der Shopseite darauf aufmerksam macht, wenn ihr diese nicht über boost-project aufgerufen habt.
Erwähnen wollte ich das deshalb an dieser Stelle, weil ich dies seit ein paar Wochen aktiv benutzt, noch nichts negatives feststellen oder lesen konnte, ich die Idee richtig gut finde – ich mein Spenden ohne in die eigene Taschen greifen zu müssen, super Idee. Außerdem habe ich das was ich durch den Kauf der Router und Gehäuseteile raus bekommen habe, dem Freifunk-Rheinland e.V. gespendet, welche da als Charity vertreten sind.

Freifunk Router in Betrieb genommen

6. März 2015 by Sebastian 1 Comment

Ich bin mit Freifunk immer wieder durch die ALUG in Kontakt gekommen, da hier ein paar von Freifunk-Aachen mit dabei sind. Am Anfang funktionierte der Freifunk noch recht semioptimal, wurde aber immer besser. Dann sagte Christoph das ich doch auch mal einen aufbauen soll, da es am Aachener Hbf noch gar keinen Knoten gibt. Als ich dann einen Tag nach meinem Urlaub im Saturn an einen TP-Link TL-WR841ND vorbei lief und hab ich direkt zugegriffen. Auf Arbeit dann nach der Anleitung von Freifunk Aachen das Freifunk Image aufgespielt und konfiguriert, was ja mittlerweile ein Klacks ist und dann musste nur noch der Feierabend kommen.
Zuhause angekommen wurde er direkt in Betrieb genommen und steht nun am Fenster Richtung Römerstraße. Nachdem er angeschlossen war waren auch direkt 5 Leute verbunden, so als ob nur darauf gewartet wurde. Ich lief dann mal die Straße ab um zu sehen wie weit er denn strahlt und dafür das er hinter meinem Fenster steht deckt er richtig gut ab. Von der Ampel vorm Hauptbahnhof bis zur Ampel am A&O Hostel kann man sich damit verbinden und surfen. Am nächsten morgen staunte ich nicht schlecht als ich sah das fast 20 Leute verbunden waren, aber ist ja klar, ich hab ja auch das Einwohnermeldeamt gegenüber. Außerdem sind 50% der Wohnungen, in dem Haus was ich bewohne, temporäre Studentenwohnungen und in den Häusern rechts und links quasi genau so. D.h. die scheinen das auch gut zu nutzen, was ich abends auch sehe. Auf der ALUG wurde ich dann noch drauf hingewiesen das ich doch die falsche Firmware verwende. Also jaein, ich nutzte die des Freifunk Rheinland. Da Aachen aber grad seine eigene Domain aufbaut gab es bereits eine eigene Firmware welche wir dann auf der ALUG direkt installierten.
Da ich mir dachte, was soll der Geiz, hohlste dir noch nenn Router und stellst den in Richtung Innenhof. Gesagt getan. So konnte ich auch den Router im Wohnzimmer mit diesem meshen lassen und umgehe so die PowerLAN Adapter, auf welche ich da angewiesen bin und welche immer mal sporadisch hängen. Ich stellt dann aber relativ schnell fest das der irgendwie nicht so gut in den Innenhof strahlt. Router steht ebenfalls wieder hinter dem Fenster, allerdings ist hier das Fenster relativ weit ins Haus gesetzt wurden, wodurch das strahlen nach rechts und links sehr eingeschränkt ist. Um das zu optimieren habe ich nun entschieden den Router outdoorfähig zu machen und ihn dann an der Wand neben dem Fenster zu befestigen. Wenn ich damit fertig bin werd ich das sicher auch in einem Artikel hier beschreiben.

Aktivieren Sie JavaScript um das Video zu sehen.
Video-Link: https://vimeo.com/64814620