Sicherer Icecast Server auf OpenBSD

OpenBSD

Als erstens installieren wir die aktuelle OpenBSD Version. Zur Zeit ist das 5.9.
Ich installiere dies auf einer VMware ESXi Umgebung. Läuft natürlich auch im VMware Workstation oder anderen Virtualisierungs-Tools oder auf einer Hardware Maschine.

Angaben zu den empfohlenen Werten:
RAM: 512MB
Disk: 20GB
Disk Controller: LSI Logic SCSI
CPU: 1 Socket, 2 Cores
Keine Diskettenlaufwerke, Serial, Parallel Ports und Floppy Disk Controller im BIOS deaktivieren.

Die Installationsdatei install59.iso kann man auf der Openbsd.org Seite oder diversen Mirrors herunterladen. In der Schweiz empfehle ich natürlich den Switch Mirror.

http://mirror.switch.ch/ftp/pub/OpenBSD/5.9/amd64/install59.iso

Danach von dieser CD booten und die folgenden Fragen beantworten.

openbsd_first1

i für Installation
sg für das schweizerdeutsche Keyboard Layout
Hostname (nur der Hostname ohne Domain)
Bei der IP Konfiguration empfehle ich natürlich für einen Server eine fixe IP zu verteilen.

Disk-Aufteilung

openbsd_disk1

Ich mache die Disk-Aufteilung von Hand. Wer weniger geübt ist, kann natürlich auch das Default-Set verwenden. In fdisk kann man mit „a“ eine Partition erstellen, mit „d“ löschen und mit „q“ speichert man und verlässt den Editor.

Gerne kann man natürlich etwa meine Aufteilung verwenden.

a 2g /
b 2g swap
d 1g /tmp
e 6g /usr
f 7g /var
g 2g /home

Bei den Paketen installiere ich die Games und den XServer nicht. Die X Libraries installiere ich mit, da diese ab und zu hilfreich sind. z.B. wenn man PHP mit GD installieren will.

openbsd_packages1

– SSH Ausführen
– root Login zulassen

1. Teil fertig. Man kann den Server mit reboot neu starten. Die CD (iso File) wird nicht mehr benötigt.

************

OpenBSD anpassen

In diesem kleinen Zwischenschritt machen wir OpenBSD etwas bedienerfreundlich und setzen einige wichtige Einstellungen.
Dazu benutze ich eine andere Shell. TCSH

Diese installiere ich als vorgefertigtes Paket. Alle Pakete kann man auf dem Switch Mirror downloaden:

http://mirror.switch.ch/ftp/pub/OpenBSD/5.9/packages/amd64/

Installation:
# pkg_add http://mirror.switch.ch/ftp/pub/OpenBSD/5.9/packages/amd64/tcsh-6.19.00.tgz
tcsh-6.19.00: ok

Update der „locate“ Datenbank:
/usr/libexec/locate.updatedb

TCSH als Standard-Shell:
#chpass
openbsd_chpass1

Und hier die Shell anpassen.

cd
vi .cshrc

Automatisches vervollständigen:
set autolist

Prompt anpassen:
if ($?prompt) then
set prompt="`hostname -s` %B%n%b %~#"
endif

openbsd_cshrc1

Folgende Dateien bitte etwas überarbeiten:
/etc/ntpd.conf (NTP Servers hinzufügen)
/etc/resolv.conf (weitere Nameserver hinzufügen)

NTP sollte danach etwa so aussehen:
#ntpctl -s all
3/4 peers valid, 1/1 sensors valid, constraint offset 1s, clock synced, stratum 3

peer
wt tl st next poll offset delay jitter
81.94.123.17 from pool pool.ntp.org
1 10 2 11s 34s -0.098ms 2.253ms 0.090ms
94.230.211.37 from pool pool.ntp.org
1 10 2 15s 30s 3.444ms 1.447ms 0.038ms
77.245.18.26 from pool pool.ntp.org
* 1 10 2 16s 34s 0.024ms 2.187ms 0.115ms

************

Icecast Server installieren

Als erstes wieder das Paket von Switch Mirror installieren:
openbsd_icecast1

Danach muss man das File /var/icecast/icecast.xml editieren. (WICHTIG: Die Passwörter ändern.)

Ein kurze Anleitung findet man auf der Icast Webseite: http://icecast.org/docs/icecast-2.4.1/basic-setup.html

Server starten, stoppen, restart:
#/etc/rc.d/icecast start

usage: /etc/rc.d/icecast [-df] start|stop|restart|reload|check

Den Server automatisch beim booten starten:
#rcctl enable icecast

FERTIG

Print Friendly, PDF & Email

, , ,

Keine Kommentare

L2TP VPN mit pfsense 2.3

Mit der pfsense Version 2.3 wurde das anfällige PPTP VPN angeschafft. Deshalb erkläre ich hier kurz wie man ein neues VPN, welches mit Windows ohne Clientinstallation funktioniert, einrichten kann.

Im Menu VPN auswählen und dann L2TP.

l2tp_1

Hier kann man die verschiedenen Adressen für die Verbindung eintragen. Am Besten verwendet man für die VPN Verbindung nicht verwendete Netze. (Hier im Beispiel haben wir ein internes LAN mit 192.168.60.0/24)

Im Menu Users sollten dann auch noch die User erfasst werden.

l2tp_2

Damit der L2TP Server von aussen angesprochen werden kann, werden noch Firewall Regeln benötigt. Diese Rules sollten die Ports 500 und 1701 UDP öffnen.

l2tp_3

Fertig ist die Konfiguration auf der pfSense.

Unter Windows sollte man folgende Einstellungen berücksichtigen:
l2tp_win

Print Friendly, PDF & Email

, , ,

Keine Kommentare

SSH, Telnet Befehle mit ESC Sequenz beenden

Auf vielen Geräten (z.B. Cisco Routern) können Befehle nicht einfach mit CRTL-C abgebrochen werden.

Häufig wird noch die Meldung „Type escape sequence to abort“ angezeigt. Doch was muss ich drücken damit die ESC Befehle nicht an meinem PC ausgeführt werden?

In den meisten SSH Clients (z.B: Putty, SecureCRT) kann man diese ESC Sequenz mit der Tastenkombination CTRL – SHIFT – 6 senden.

traceroute-esc

 

CTRL – SHIFT – 6     = ESC Sequenz

Print Friendly, PDF & Email

Keine Kommentare

SONOS Netzwerk optimieren

SMA. Ein typisches Sonos Netzwerk umfasst einige Player (z.B. Play:1, Play:3 und/oder Play:5) dazu evtl. noch einen Connect oder eine Bridge. Sonos plant sich sein Netzwerk selber und kommuniziert unter den einzelnen Geräten auf einem WLAN Kanal. Dieses WLAN ist aber nicht sichtbar auf einem Computer/Notebook.

Meistens funktioniert diese automatische Netzwerkkonfiguration sehr gut. Aber leider nicht immer.

Wenn man häufige Unterbrüche hört oder das System langsam reagiert, sollte man sich die Konfiguration etwas genauer ansehen.

Auf allen Sonos Komponenten läuft ein Webserver, welcher man unter der URL
http://:1400/support/review erreicht. Um sich einen guten Überblick über sein System machen zu können empfehle ich die Verwendung des Links „Network Matrix“.

Das sieht dann etwa so aus. (Dieses Bild ist ein optimiertes Netz. Meistens gibt es orange oder sogar rote Felder.

Bild 1

  • Grün bedeutet sehr gut.
  • Gelb ist noch gut.
  • Orange ist knapp genügend.
  • Rot ist schlecht.

 

Hat man nun viele rote oder orange Felder kann man dies evtl. optimieren.

Als erstes sollte man probieren ob ein Wechsel des WLAN Kanals eine Verbesserung bringt

 

WLAN

Hier hilft am Besten das Programm inSSIDer. Das Programm zum Download findet man z.B. bei CHIP.

Auf diesem Bild empfiehlt sich z.B. den Kanal 11 zu verwenden. Aber sonst können sie die drei Varianten (1, 6, 11) auch probieren. Die Einstellung nehmen sie am Besten auf dem Client vor. Hier z.B. mit Windows:

SonosKanal

 

Eine weitere Option ist die Wahl der Root Bridge. Dies sollte die zentralste Sonos Komponente sein und am Besten noch per Ethernet-Kabel angeschlossen sein. Sollte Sonos nicht automatisch die Beste Auswahl treffen, können sie etwas nachhelfen:

Rufen sie diese Seite auf (auf dem Player, welchen sie zur Root Bridge machen wollen)

http://192.168.xxx.xxx:1400/advconfig.htm

und stellen sie FirstZP und Priority auf „enabled“.

sonosroot

Danach müssen sie den Sonos Player/Connect neu starten. Dies kann natürlich auch direkt im Browser erledigt werden:

http://192.168.xxx.xxx:1400/reboot

 

weitere Möglichkeiten des Web GUIs:

  • http://192.168.xxx.xxx:1400/region.htm  – setzt die WLAN Region   (bei uns EU – Europa)
  • http://192.168.xxx.xxx:1400/tools.htm – Netzwerk Tools (Ping, Traceroute, nslookup)
  • http://192.168.xxx.xxx:1400/status – etwas unübersichtliche aber ausführliche Statusseite
  • http://192.168.xxx.xxx::1400/wifictrl?wifi=off – Stellt das WIFI bis zum nächsten Reboot ab
  • http://192.168.xxx.xxx::1400/wifictrl?wifi=persist-off – Stellt das WIFI Interface komplett ab – Wenn man nur über Kabel arbeiten möchte

 

Weitere Infos findet man auch hier:

Print Friendly, PDF & Email

, , , ,

Keine Kommentare

IPv6 Subnetting

Ausgangslage: Eine Firma mit mehreren Aussenstellen möchte gerne IPv6 Adressen verteilen. Jede Aussenstelle hat mehrere VLAN’s (Subnetze) für verschiedne Dienste (LAN, PublicWLAN, Vioce, Video). Aktuell sind alle Geräte, Computer, Drucker und Server mit privaten Adressen (10.x.x.x) adressiert.

Die Firma möchte alle Geräte auch mit IPv6 (dual stack) adressieren. So kann für einige Dienste auf NAT verzichtet werden.

  • Welche Ranges werden empfohlen?
  • Wie gross sollten die Subnetze sein?
  • Welcher Adress-Range soll man benutzen?
  • Ich empfehle folgendes:

    Grössere Firmen sollten bei der zuständigen Stelle Provider unabhängige (PI – Provider Independent) Adressen bestellen. Diese stellen wären:

  • RIPE NCC – Réseaux IP Européens Network Coordination Centre für Europa
  • AfriNIC – African Network Information Centre für Afrika
  • ARIN – American Registry for Internet Numbers für Nordamerika
  • APNIC- Asia-Pacific Network Information Centre für Asien und den pazifischen Raum
  • LACNIC – Latin American and Caribbean Internet Addresses Registry für Südamerika und die Karibik
  • Meistens erhält man von der RIR (Regional Internet Registry) einen /48 Range zugeteilt. Diesen kann man dann wie im unteren Schema gezeigt aufteilen.

    Jede Aussenstelle würde z.B. ein /56 Netz erhalten. Dann können pro Standort 256 Subnetze in maximal 256 Standorten adressieren.
    Oder man wählt das Netz vor Ort etwas kleiner: /60 So können 16 Netze in maximal 4096 Standorten adressiert werden.

    Ich empfehle kein Netz mit Endgeräten (PC, Drucker, Router, usw.) zu erstellen, welches kleiner als /64 ist.
    Man vergeudet leider sehr viele Adressen, da ein /64 Netz immerhin 18’446’744’073’709’551’616 Adressen umfasst. Aber es ist das kleinste Netz bei dem man Autoconfig/SLAAC verwenden kann.

    Will man kleine Netze empfehle ich, die Adressen statisch (von Hand) zu vergeben.

    Jeder IPv6 fähige Gerät richtet automatisch eine eigene link-lokale und globale Adressen ein. So kann ein Endgerät mit anderen Geräten problemlos kommunizieren. Doch bei einem Router oder bei Servern sollten sich die Adressen nicht ändern. Ausser sie haben einen internen dynamischen DNS Server. Aber auch hier empfehle ich statische Adressen zu verwenden. Und für den Zugang zum Internet muss ein Router zwangsläufig eine feste IPv6-Adresse haben. Dem Router und wichtigen Servern (AD, Exchange, File) sollte man die Adresse manuell zuweisen und bei Client Computern oder Applikationsservern kann man die Adressen zentral per DHCPv6 zuweisen (optional mit Reservierung).

    IPv6-Subnet Tabelle
    2a02:1368:0000:0000:0000:0000:0000:0000
    |||| |||| |||| |||| |||| |||| |||| ||||
    |||| |||| |||| |||| |||| |||| |||| |||128 Einzelne Adresse, Endpunkt, Loopback
    |||| |||| |||| |||| |||| |||| |||| |||127 Point2point Links
    |||| |||| |||| |||| |||| |||| |||| ||124
    |||| |||| |||| |||| |||| |||| |||| |120
    |||| |||| |||| |||| |||| |||| |||| 116
    |||| |||| |||| |||| |||| |||| |||112
    |||| |||| |||| |||| |||| |||| ||108
    |||| |||| |||| |||| |||| |||| |104
    |||| |||| |||| |||| |||| |||| 100
    |||| |||| |||| |||| |||| |||96
    |||| |||| |||| |||| |||| ||92
    |||| |||| |||| |||| |||| |88
    |||| |||| |||| |||| |||| 84
    |||| |||| |||| |||| |||80
    |||| |||| |||| |||| ||76
    |||| |||| |||| |||| |72
    |||| |||| |||| |||| 68
    |||| |||| |||| |||64 1 - kleinstes Netz für Autoconfig/SLAAC (Standardzuweisung für ein Enduser Netz)
    |||| |||| |||| ||60
    |||| |||| |||| |56 256 - Standardzuweisung für einen Kunden (so kann man 256 x /64 Netze Adressieren)
    |||| |||| |||| 52 4096 - (so kann man 4096 x /64 Netze Adressieren)
    |||| |||| |||48 65536 - Typisches Netz für Zuweisung von RIPE für PI Adressen oder Firmen (65536 /64)
    |||| |||| ||44
    |||| |||| |40
    |||| |||| 36
    |||| |||32 /32 - Typische Adressierung an einen LIR - z.B. an Arcade
    |||| ||28
    |||| |24
    |||| 20
    |||16
    ||12 Zuteilung an RIPE von der IANA (2a00:0000::/12RIPE NCC)
    |8
    4

    Siehe https://www.iana.org/assignments/ipv6-unicast-address-assignments/ipv6-unicast-address-assignments.xml

    Print Friendly, PDF & Email

    , ,

    Keine Kommentare

    Exchange 2013 IPv6 Probleme

    Ausgehende Mails ab Exchange 2013 werden abgeleht.

    Wer mit einem Microsoft Exchange 2013 Server Mails an GMX oder gMail sendet kennt evtl. diese Meldungen:
    – Sender address rejected: Please see http://www.openspf.org/Why?….

    – The sender does not meet basic guidelines ipv6 sending of authentication and RDNs resolution of sending ip. Please review https://support.google.com/mail/answer/81126for more information. – gsmtp
    Your message was not delivered due to permission problems or safety. She may have been rejected by a moderator, the address only accepts mail from certain senders, or another restriction prevented delivery.

    Obwohl der Server eine fixe IP Adresse hat (IPv4 und IPv6) benutzt Exchange eine dynamische IPv6 Adresse zum Versenden von Mails. Das Problem existiert bei IPv4 nicht, da es dort keine stateless address autoconfiguration, Link-local oder Site-local Adressen gibt.

    Mails werden über die statische IPV6 Adresse empfangen (wie es im DNS erfasst ist).
    Die Mails werden aber nicht über die selbe Adresse wieder versendet (SMTP outgoing). Sondern für ausgehende Verbindungen wird die dynamische IPv6 (stateless address autoconfiguration) verwendet. Diese IPv6 Konfiguration macht an einem PC Sinn, da so die ausgehende Adresse immer wieder ändert und so das Tracking von Informationen eingeschränkt wird.

    Beim Versenden von e-Mails macht das allerdings wenig Sinn, da genau hier der Absender eindeutig identifizierbar sein sollte.

    Mittels der Exchange Shell kann man die abgehende Adresse aber festlegen:
    Beim „Send-Connector“ gibt es die Variable „SourceIPAddress“.

    Achten sie wie bei IPv4 darauf, dass die Adresse einen korrekten DNS Reverse Eintrag hat und, falls vorhanden, beim SPF Record korrekt erfasst ist.

    Weitere Infos auf der Microsoft Technet Seite:
    http://technet.microsoft.com/de-de/library/gg144561%28v=exchg.150%29.aspx

    Print Friendly, PDF & Email

    , , , , , , , , ,

    Keine Kommentare

    Windows 8.1 Ländereinstellungen für die Schweiz

    Unter Windows (hier das Windows 8.1 als Beispiel) sind die Dezimaltrennzeichen für die Schweiz wieder mal falsch.

    Kein Schweizer benutzt in Excel, Rechner oder anderen Windows Programmen ein Komma als Dezimaltrennzeichen. Es wird eigentlich immer ein Punkt verwendet.

    Umstellen kann man das in der Systemsteuereung.
    Systemsteuerung –> Sprache -> Datums-, Uhrtzeit- oder Zahlenformate ändern -> Weitere Einstellungen -> Dezimaltrennzeichen (von Komma auf Punkt umstellen)

    Print Friendly, PDF & Email

    Keine Kommentare

    Heartbleed SSL Bug

    Heartbleed SSL Bug

    In der viel benutzten SSL Library OpenSSL 1.0.1f war seit 2 Jahren ein Programmierfehler, welcher es erlaubt auf einem SSL Server 64kbyte aus dem Speicher auszulesen. Die Daten konnten User und Passwörter enthalten oder, in seltenen Fällen, den Private Key des Servers.

    Wie schützt man sich:
    – OpenSSL aktualisieren (z.B. yum update openssl)
    – Alle Services, welche OpenSSL verwenden, neu starten
    – Altes Zertifikat zurück ziehen lassen (das alte Zertifikat muss auf die CRL, Certificate Revocation List damit der Browser es nicht mehr akzeptiert)
    – Neues Zertifikat anfordern mit neuem Private Key (Einige Anbieter wie Verisign machen die kostenlos)
    – PFS Forward Secrecy aktivieren (ansonsten könnten alte, aufgezeichnete SSL Daten weiterverwendet werden)

    Viele sichere Seiten waren anfällig und haben die Schritte befolgt. Leider habe auch einige nur die ersten zwei Schritte ausgeführt. Dies schützt zwar vor neuem Auslesen des Speichers. Wenn aber jemand den Private-Key ausgelesen hat, kann er mit einer Phishing Seite immer noch Schaden anrichten.

    Alle Windows Server mit IIS sind nicht betroffen, da Microsoft eine eigene SSL Implementierung (SChannel) benutzt und nie auf OpenSSL zurück griff.

    Gute Infos zum Heartbleed Bug auch auf: http://www.golem.de/news/openssl-wichtige-fragen-und-antworten-zu-heartbleed-1404-105740.html

    Dies ist allerdings nicht die erste Lücke im ganzen SSL Prozess. Deshalb sollten alte Protokolle und Ciphers deaktiviert werden.
    SSL Labs hat eine Testseite für Server eingerichtet. https://www.ssllabs.com/ssltest/analyze.html
    Hier sollten einfache SSL Seiten auf ein „A-“ kommen. Shops, Kreditkartentransaktionen und Banking-Seiten sollten sicher mit „A“ bewertet werden.

    Eine sehr gute Anleitung wie man dies unser Windows Server 2008 R2 macht findet sich hier: http://www.hass.de/content/setup-your-iis-ssl-perfect-forward-secrecy-and-tls-12

    Mehr Infos zu SSL/TLS: http://www.msxfaq.de/signcrypt/tlssecurity.htm

    Print Friendly, PDF & Email

    , , , , , , , ,

    Keine Kommentare

    Cisco VPN mit 1800er Router

    Beispielconfig für IPsec VPN mit Cisco 1800er Routern.

    ip domain name xxxxxxxxxx.xx
    
    crypto isakmp policy 10
     encr 3des
     authentication pre-share
     group 2
    crypto isakmp key VPNSECRETKEY address 111.111.111.111
    !
    !
    crypto ipsec transform-set TS_ESP-3DES esp-3des esp-sha-hmac
     mode tunnel
    
    
    crypto map IPSec-VPN 10 ipsec-isakmp
     description IPSec Tunnel to Honolulu
     set peer 111.111.111.111
     set transform-set TS_ESP-3DES
     match address 100
    
    interface Dialer1
     dialer pool 1
     encapsulation ppp
     ppp chap hostname <LOGIN>
     ppp chap password <PASSWORD>
     ppp pap sent-username <LOGIN> password <PASSWORD>
     ip address negotiated
     ip mtu 1492   
     ip tcp adjust-mss 1452
     ip nat outside
     crypto map IPSec-VPN
    !
    no ip route 0.0.0.0 0.0.0.0
    ip route 0.0.0.0 0.0.0.0 Dialer1
    
    ip route 10.0.0.0 255.0.0.0 Null0 254 name Drop-Private-IPs
    ip route 172.16.0.0 255.240.0.0 Null0 254 name Drop-Private-IPs
    ip route 192.168.0.0 255.255.0.0 Null0 254 name Drop-Private-IPs
    
    ip route 192.168.111.111 255.255.255.0 111.111.111.111 name Private Subnet on VN Target Site
    
    
    
    
    Print Friendly, PDF & Email

    Keine Kommentare

    Windows 8 – Nicht signierte Treiber installieren

    Windows 8 (und 8.1) verhindert dass man nicht digital signierte Treiber installiert. Es gibt aber immer noch Hersteller, welche keine expliziten Windows 8 oder eben keine signierten Treiber anbieten. Diese Treiber können natürlich ein System schädigen oder zum Absturz bringen- Falls man doch einen solchen Treiber installieren möchte geht das folgendermassen:

    – Windows Taste + I
    – Change PC Settings / PC Einstellung ändern
    – General / Allgemein
    – Advanced startup / Erweiterter Start

    Bild 6

    Der PC bootet danach in ein Startmenü.

    – Troubleshoot / Problembehandlung
    – Advanced options / Starteinstellungen
    – Restart / Neustart

    Hier kann mit der Taste 7 oder F7 die Einstellung für die signierten Treiber deaktiviert werden.

    IMG_3202

    IMG_3204

    IMG_3205

    Weitere Infos und Screenshots (englisch) http://www.nextofwindows.com/how-to-install-an-un-signed-3rd-party-driver-in-windows-8/

    Print Friendly, PDF & Email

    Keine Kommentare