L2TP VPN mit pfsense 2.3

Mit der pfsense Version 2.3 wurde das anfällige PPTP VPN angeschafft. Deshalb erkläre ich hier kurz wie man ein neues VPN, welches mit Windows ohne Clientinstallation funktioniert, einrichten kann.

Im Menu VPN auswählen und dann L2TP.

l2tp_1

Hier kann man die verschiedenen Adressen für die Verbindung eintragen. Am Besten verwendet man für die VPN Verbindung nicht verwendete Netze. (Hier im Beispiel haben wir ein internes LAN mit 192.168.60.0/24)

Im Menu Users sollten dann auch noch die User erfasst werden.

l2tp_2

Damit der L2TP Server von aussen angesprochen werden kann, werden noch Firewall Regeln benötigt. Diese Rules sollten die Ports 500 und 1701 UDP öffnen.

l2tp_3

Fertig ist die Konfiguration auf der pfSense.

Unter Windows sollte man folgende Einstellungen berücksichtigen:
l2tp_win

Print Friendly, PDF & Email

SSH, Telnet Befehle mit ESC Sequenz beenden

Auf vielen Geräten (z.B. Cisco Routern) können Befehle nicht einfach mit CRTL-C abgebrochen werden.

Häufig wird noch die Meldung „Type escape sequence to abort“ angezeigt. Doch was muss ich drücken damit die ESC Befehle nicht an meinem PC ausgeführt werden?

In den meisten SSH Clients (z.B: Putty, SecureCRT) kann man diese ESC Sequenz mit der Tastenkombination CTRL – SHIFT – 6 senden.

traceroute-esc

 

CTRL – SHIFT – 6     = ESC Sequenz

Print Friendly, PDF & Email

SONOS Netzwerk optimieren

SMA. Ein typisches Sonos Netzwerk umfasst einige Player (z.B. Play:1, Play:3 und/oder Play:5) dazu evtl. noch einen Connect oder eine Bridge. Sonos plant sich sein Netzwerk selber und kommuniziert unter den einzelnen Geräten auf einem WLAN Kanal. Dieses WLAN ist aber nicht sichtbar auf einem Computer/Notebook.

Meistens funktioniert diese automatische Netzwerkkonfiguration sehr gut. Aber leider nicht immer.

Wenn man häufige Unterbrüche hört oder das System langsam reagiert, sollte man sich die Konfiguration etwas genauer ansehen.

Auf allen Sonos Komponenten läuft ein Webserver, welcher man unter der URL
http://:1400/support/review erreicht. Um sich einen guten Überblick über sein System machen zu können empfehle ich die Verwendung des Links „Network Matrix“.

Das sieht dann etwa so aus. (Dieses Bild ist ein optimiertes Netz. Meistens gibt es orange oder sogar rote Felder.

Bild 1

  • Grün bedeutet sehr gut.
  • Gelb ist noch gut.
  • Orange ist knapp genügend.
  • Rot ist schlecht.

 

Hat man nun viele rote oder orange Felder kann man dies evtl. optimieren.

Als erstes sollte man probieren ob ein Wechsel des WLAN Kanals eine Verbesserung bringt

 

WLAN

Hier hilft am Besten das Programm inSSIDer. Das Programm zum Download findet man z.B. bei CHIP.

Auf diesem Bild empfiehlt sich z.B. den Kanal 11 zu verwenden. Aber sonst können sie die drei Varianten (1, 6, 11) auch probieren. Die Einstellung nehmen sie am Besten auf dem Client vor. Hier z.B. mit Windows:

SonosKanal

 

Eine weitere Option ist die Wahl der Root Bridge. Dies sollte die zentralste Sonos Komponente sein und am Besten noch per Ethernet-Kabel angeschlossen sein. Sollte Sonos nicht automatisch die Beste Auswahl treffen, können sie etwas nachhelfen:

Rufen sie diese Seite auf (auf dem Player, welchen sie zur Root Bridge machen wollen)

http://192.168.xxx.xxx:1400/advconfig.htm

und stellen sie FirstZP und Priority auf „enabled“.

sonosroot

Danach müssen sie den Sonos Player/Connect neu starten. Dies kann natürlich auch direkt im Browser erledigt werden:

http://192.168.xxx.xxx:1400/reboot

 

weitere Möglichkeiten des Web GUIs:

  • http://192.168.xxx.xxx:1400/region.htm  – setzt die WLAN Region   (bei uns EU – Europa)
  • http://192.168.xxx.xxx:1400/tools.htm – Netzwerk Tools (Ping, Traceroute, nslookup)
  • http://192.168.xxx.xxx:1400/status – etwas unübersichtliche aber ausführliche Statusseite
  • http://192.168.xxx.xxx::1400/wifictrl?wifi=off – Stellt das WIFI bis zum nächsten Reboot ab
  • http://192.168.xxx.xxx::1400/wifictrl?wifi=persist-off – Stellt das WIFI Interface komplett ab – Wenn man nur über Kabel arbeiten möchte

 

Weitere Infos findet man auch hier:

Print Friendly, PDF & Email

IPv6 Subnetting

Ausgangslage: Eine Firma mit mehreren Aussenstellen möchte gerne IPv6 Adressen verteilen. Jede Aussenstelle hat mehrere VLAN’s (Subnetze) für verschiedne Dienste (LAN, PublicWLAN, Vioce, Video). Aktuell sind alle Geräte, Computer, Drucker und Server mit privaten Adressen (10.x.x.x) adressiert.

Die Firma möchte alle Geräte auch mit IPv6 (dual stack) adressieren. So kann für einige Dienste auf NAT verzichtet werden.

  • Welche Ranges werden empfohlen?
  • Wie gross sollten die Subnetze sein?
  • Welcher Adress-Range soll man benutzen?
  • Ich empfehle folgendes:

    Grössere Firmen sollten bei der zuständigen Stelle Provider unabhängige (PI – Provider Independent) Adressen bestellen. Diese stellen wären:

  • RIPE NCC – Réseaux IP Européens Network Coordination Centre für Europa
  • AfriNIC – African Network Information Centre für Afrika
  • ARIN – American Registry for Internet Numbers für Nordamerika
  • APNIC- Asia-Pacific Network Information Centre für Asien und den pazifischen Raum
  • LACNIC – Latin American and Caribbean Internet Addresses Registry für Südamerika und die Karibik
  • Meistens erhält man von der RIR (Regional Internet Registry) einen /48 Range zugeteilt. Diesen kann man dann wie im unteren Schema gezeigt aufteilen.

    Jede Aussenstelle würde z.B. ein /56 Netz erhalten. Dann können pro Standort 256 Subnetze in maximal 256 Standorten adressieren.
    Oder man wählt das Netz vor Ort etwas kleiner: /60 So können 16 Netze in maximal 4096 Standorten adressiert werden.

    Ich empfehle kein Netz mit Endgeräten (PC, Drucker, Router, usw.) zu erstellen, welches kleiner als /64 ist.
    Man vergeudet leider sehr viele Adressen, da ein /64 Netz immerhin 18’446’744’073’709’551’616 Adressen umfasst. Aber es ist das kleinste Netz bei dem man Autoconfig/SLAAC verwenden kann.

    Will man kleine Netze empfehle ich, die Adressen statisch (von Hand) zu vergeben.

    Jeder IPv6 fähige Gerät richtet automatisch eine eigene link-lokale und globale Adressen ein. So kann ein Endgerät mit anderen Geräten problemlos kommunizieren. Doch bei einem Router oder bei Servern sollten sich die Adressen nicht ändern. Ausser sie haben einen internen dynamischen DNS Server. Aber auch hier empfehle ich statische Adressen zu verwenden. Und für den Zugang zum Internet muss ein Router zwangsläufig eine feste IPv6-Adresse haben. Dem Router und wichtigen Servern (AD, Exchange, File) sollte man die Adresse manuell zuweisen und bei Client Computern oder Applikationsservern kann man die Adressen zentral per DHCPv6 zuweisen (optional mit Reservierung).

    IPv6-Subnet Tabelle
    2a02:1368:0000:0000:0000:0000:0000:0000
    |||| |||| |||| |||| |||| |||| |||| ||||
    |||| |||| |||| |||| |||| |||| |||| |||128 Einzelne Adresse, Endpunkt, Loopback
    |||| |||| |||| |||| |||| |||| |||| |||127 Point2point Links
    |||| |||| |||| |||| |||| |||| |||| ||124
    |||| |||| |||| |||| |||| |||| |||| |120
    |||| |||| |||| |||| |||| |||| |||| 116
    |||| |||| |||| |||| |||| |||| |||112
    |||| |||| |||| |||| |||| |||| ||108
    |||| |||| |||| |||| |||| |||| |104
    |||| |||| |||| |||| |||| |||| 100
    |||| |||| |||| |||| |||| |||96
    |||| |||| |||| |||| |||| ||92
    |||| |||| |||| |||| |||| |88
    |||| |||| |||| |||| |||| 84
    |||| |||| |||| |||| |||80
    |||| |||| |||| |||| ||76
    |||| |||| |||| |||| |72
    |||| |||| |||| |||| 68
    |||| |||| |||| |||64 1 - kleinstes Netz für Autoconfig/SLAAC (Standardzuweisung für ein Enduser Netz)
    |||| |||| |||| ||60
    |||| |||| |||| |56 256 - Standardzuweisung für einen Kunden (so kann man 256 x /64 Netze Adressieren)
    |||| |||| |||| 52 4096 - (so kann man 4096 x /64 Netze Adressieren)
    |||| |||| |||48 65536 - Typisches Netz für Zuweisung von RIPE für PI Adressen oder Firmen (65536 /64)
    |||| |||| ||44
    |||| |||| |40
    |||| |||| 36
    |||| |||32 /32 - Typische Adressierung an einen LIR - z.B. an Arcade
    |||| ||28
    |||| |24
    |||| 20
    |||16
    ||12 Zuteilung an RIPE von der IANA (2a00:0000::/12RIPE NCC)
    |8
    4

    Siehe https://www.iana.org/assignments/ipv6-unicast-address-assignments/ipv6-unicast-address-assignments.xml

    Print Friendly, PDF & Email

    Exchange 2013 IPv6 Probleme

    Ausgehende Mails ab Exchange 2013 werden abgeleht.

    Wer mit einem Microsoft Exchange 2013 Server Mails an GMX oder gMail sendet kennt evtl. diese Meldungen:
    – Sender address rejected: Please see http://www.openspf.org/Why?….

    – The sender does not meet basic guidelines ipv6 sending of authentication and RDNs resolution of sending ip. Please review https://support.google.com/mail/answer/81126for more information. – gsmtp
    Your message was not delivered due to permission problems or safety. She may have been rejected by a moderator, the address only accepts mail from certain senders, or another restriction prevented delivery.

    Obwohl der Server eine fixe IP Adresse hat (IPv4 und IPv6) benutzt Exchange eine dynamische IPv6 Adresse zum Versenden von Mails. Das Problem existiert bei IPv4 nicht, da es dort keine stateless address autoconfiguration, Link-local oder Site-local Adressen gibt.

    Mails werden über die statische IPV6 Adresse empfangen (wie es im DNS erfasst ist).
    Die Mails werden aber nicht über die selbe Adresse wieder versendet (SMTP outgoing). Sondern für ausgehende Verbindungen wird die dynamische IPv6 (stateless address autoconfiguration) verwendet. Diese IPv6 Konfiguration macht an einem PC Sinn, da so die ausgehende Adresse immer wieder ändert und so das Tracking von Informationen eingeschränkt wird.

    Beim Versenden von e-Mails macht das allerdings wenig Sinn, da genau hier der Absender eindeutig identifizierbar sein sollte.

    Mittels der Exchange Shell kann man die abgehende Adresse aber festlegen:
    Beim „Send-Connector“ gibt es die Variable „SourceIPAddress“.

    Achten sie wie bei IPv4 darauf, dass die Adresse einen korrekten DNS Reverse Eintrag hat und, falls vorhanden, beim SPF Record korrekt erfasst ist.

    Weitere Infos auf der Microsoft Technet Seite:
    http://technet.microsoft.com/de-de/library/gg144561%28v=exchg.150%29.aspx

    Print Friendly, PDF & Email

    Windows 8.1 Ländereinstellungen für die Schweiz

    Unter Windows (hier das Windows 8.1 als Beispiel) sind die Dezimaltrennzeichen für die Schweiz wieder mal falsch.

    Kein Schweizer benutzt in Excel, Rechner oder anderen Windows Programmen ein Komma als Dezimaltrennzeichen. Es wird eigentlich immer ein Punkt verwendet.

    Umstellen kann man das in der Systemsteuereung.
    Systemsteuerung –> Sprache -> Datums-, Uhrtzeit- oder Zahlenformate ändern -> Weitere Einstellungen -> Dezimaltrennzeichen (von Komma auf Punkt umstellen)

    Print Friendly, PDF & Email

    Heartbleed SSL Bug

    Heartbleed SSL Bug

    In der viel benutzten SSL Library OpenSSL 1.0.1f war seit 2 Jahren ein Programmierfehler, welcher es erlaubt auf einem SSL Server 64kbyte aus dem Speicher auszulesen. Die Daten konnten User und Passwörter enthalten oder, in seltenen Fällen, den Private Key des Servers.

    Wie schützt man sich:
    – OpenSSL aktualisieren (z.B. yum update openssl)
    – Alle Services, welche OpenSSL verwenden, neu starten
    – Altes Zertifikat zurück ziehen lassen (das alte Zertifikat muss auf die CRL, Certificate Revocation List damit der Browser es nicht mehr akzeptiert)
    – Neues Zertifikat anfordern mit neuem Private Key (Einige Anbieter wie Verisign machen die kostenlos)
    – PFS Forward Secrecy aktivieren (ansonsten könnten alte, aufgezeichnete SSL Daten weiterverwendet werden)

    Viele sichere Seiten waren anfällig und haben die Schritte befolgt. Leider habe auch einige nur die ersten zwei Schritte ausgeführt. Dies schützt zwar vor neuem Auslesen des Speichers. Wenn aber jemand den Private-Key ausgelesen hat, kann er mit einer Phishing Seite immer noch Schaden anrichten.

    Alle Windows Server mit IIS sind nicht betroffen, da Microsoft eine eigene SSL Implementierung (SChannel) benutzt und nie auf OpenSSL zurück griff.

    Gute Infos zum Heartbleed Bug auch auf: http://www.golem.de/news/openssl-wichtige-fragen-und-antworten-zu-heartbleed-1404-105740.html

    Dies ist allerdings nicht die erste Lücke im ganzen SSL Prozess. Deshalb sollten alte Protokolle und Ciphers deaktiviert werden.
    SSL Labs hat eine Testseite für Server eingerichtet. https://www.ssllabs.com/ssltest/analyze.html
    Hier sollten einfache SSL Seiten auf ein „A-“ kommen. Shops, Kreditkartentransaktionen und Banking-Seiten sollten sicher mit „A“ bewertet werden.

    Eine sehr gute Anleitung wie man dies unser Windows Server 2008 R2 macht findet sich hier: http://www.hass.de/content/setup-your-iis-ssl-perfect-forward-secrecy-and-tls-12

    Mehr Infos zu SSL/TLS: http://www.msxfaq.de/signcrypt/tlssecurity.htm

    Print Friendly, PDF & Email

    Cisco VPN mit 1800er Router

    Beispielconfig für IPsec VPN mit Cisco 1800er Routern.

    ip domain name xxxxxxxxxx.xx
    
    crypto isakmp policy 10
     encr 3des
     authentication pre-share
     group 2
    crypto isakmp key VPNSECRETKEY address 111.111.111.111
    !
    !
    crypto ipsec transform-set TS_ESP-3DES esp-3des esp-sha-hmac
     mode tunnel
    
    
    crypto map IPSec-VPN 10 ipsec-isakmp
     description IPSec Tunnel to Honolulu
     set peer 111.111.111.111
     set transform-set TS_ESP-3DES
     match address 100
    
    interface Dialer1
     dialer pool 1
     encapsulation ppp
     ppp chap hostname <LOGIN>
     ppp chap password <PASSWORD>
     ppp pap sent-username <LOGIN> password <PASSWORD>
     ip address negotiated
     ip mtu 1492   
     ip tcp adjust-mss 1452
     ip nat outside
     crypto map IPSec-VPN
    !
    no ip route 0.0.0.0 0.0.0.0
    ip route 0.0.0.0 0.0.0.0 Dialer1
    
    ip route 10.0.0.0 255.0.0.0 Null0 254 name Drop-Private-IPs
    ip route 172.16.0.0 255.240.0.0 Null0 254 name Drop-Private-IPs
    ip route 192.168.0.0 255.255.0.0 Null0 254 name Drop-Private-IPs
    
    ip route 192.168.111.111 255.255.255.0 111.111.111.111 name Private Subnet on VN Target Site
    
    
    
    
    Print Friendly, PDF & Email

    Windows 8 – Nicht signierte Treiber installieren

    Windows 8 (und 8.1) verhindert dass man nicht digital signierte Treiber installiert. Es gibt aber immer noch Hersteller, welche keine expliziten Windows 8 oder eben keine signierten Treiber anbieten. Diese Treiber können natürlich ein System schädigen oder zum Absturz bringen- Falls man doch einen solchen Treiber installieren möchte geht das folgendermassen:

    – Windows Taste + I
    – Change PC Settings / PC Einstellung ändern
    – General / Allgemein
    – Advanced startup / Erweiterter Start

    Bild 6

    Der PC bootet danach in ein Startmenü.

    – Troubleshoot / Problembehandlung
    – Advanced options / Starteinstellungen
    – Restart / Neustart

    Hier kann mit der Taste 7 oder F7 die Einstellung für die signierten Treiber deaktiviert werden.

    IMG_3202

    IMG_3204

    IMG_3205

    Weitere Infos und Screenshots (englisch) http://www.nextofwindows.com/how-to-install-an-un-signed-3rd-party-driver-in-windows-8/

    Print Friendly, PDF & Email

    IIS 7 (2008R2) PHP Script Timeout

    Falls ein PHP Script auf einem Microsoft Windows IIS länger als 30 Sekunden läuft wird es abgebrochen und es erscheint:

    HTTP Error 500.0 – Internal Server Error

     

    The FastCGI process exceeded configured activity timeout

     

    Dazu muss man die Datei applicationHost.config bearbeiten.

     

    <fastCgi>
    <application fullPath=“<path>“ arguments=“<args>“ activityTimeout=“<value“> …<otherValues>…. />
    </fastCgi>

    z.B.:

    <fastCgi>
    <application fullPath=“C:\Program Files\PHP\php-cgi.exe“ requestTimeout=“10000″ />
    </fastCgi>

     

    In der php.ini müsste man dann die Timeouts auch noch korrekt anpassen.
    Nach einem Neustart der IIS Dienste (iisreset) dürfen die Scripte dann länger laufen.

    Mehr Infos unter: http://forums.iis.net/t/1150670.aspx

    Print Friendly, PDF & Email