Fehlersuche im VPN

Gestern Abend saß ich mit einem befreundeten Admin zusammen. Er hatte ein Problem mit einem VPN-Gateway eines Kunden und wir wollten uns zusammen auf Fehlersuche machen. Der Server ist ein IPSEC-Gateway auf Linuxbasis und sollte neben einigen reinen IPSEC-Clients noch ein iPhone mittels L2TP anbinden.

Die Einwahl mit dem iPhone funktionierte auch schon, allerdings waren danach die Server im internen Netz des Kunden nicht erreichbar. Die Konstellation bei dieser Konfiguration ist also wie folgt:

iPhone --> Internet --> IPSEC --> L2TP --> PPP Verbindung --> internes Netz

Also jede Menge potenzielle Fehlerquellen. Da die Verbindung an sich aber zu Stande kam, nahmen wir uns die erste Verdächtige vor.

1. Firewall

Nach eingehender Untersuchung konnten wir hier keinen Fehler feststellen. Eine Blick in die Log-Dateien offenbarte auch keine blockierten Pakete. Also weiter.

2. Konfigurationsdateien

In der Konfiguration mit Openswan als IPSEC-Dienst, xl2tpd als L2TP-Dämon und PPP für die Point-to-Point Verbindung gibt es einige Konfigurationsdateien, die es zu testen galt. Wir prüften die Dateien auf Fehler in den Netzwerkkonfigurationen, das sollte sich später noch als nicht ausreichend erweisen. Die Konfiguration der Netzwerkelemente war in Ordnung, die PPP-Verbindung kam mit den richtigen IP-Adressen zu Stande. Der PPP-Dämon baut eine virtuelle Verbindung zwischen zwei IP-Adressen aus dem internen Netz auf und leitet den Verkehr dann an das physische Netzwerkdevice des VPN-Routers weiter. Dadurch ist kein Routing notwendig, um die virtuelle Adresse des iPhones zu erreichen. Das wird später noch wichtig werden.

3. Netzwerkdevices

Eine kurze Untersuchung der Netwerkdevices der virtuellen PPP-Verbindung mit ifconfig ergab, dass das Device zwar Pakete raus schickte, aber keine zurück kamen. Doch die Firewall? Also noch mal zurück zu 1., dann

4. Ratlosigkeit

Es war schon etwas später, wir wollten schon den Einsatz beenden. Dann wollten wir doch noch einen letzten Versuch machen, den Fehler zu finden.

5. Netzpakete untersuchen

Also noch tcpdump angeworfen, um die Pakete zu untersuchen, die beim Aufbau einer Verbindung zum Exchange-Server so übers Netz gehen. Gesagt, getan, das SYN-Paket geht raus, aber keine Antwort des Exchange. Ah, Moment, da ist noch eine ARP-Anfrage, der Exchange möchte wissen, unter welcher MAC-Adresse er die virtuelle IP des iPhones erreichen kann (es ist ja eine interne Adresse). Offensichtlich bekommt er keine Antwort. Ich ahne etwas. In der Options-Datei der PPP-Verbindung für L2TP gibt es den Parameter "proxyarp", der dafür zuständig ist, dass der PPP-Dämon ARP-Anfrage nach der virtuellen IP mit der MAC-Adresse der Netzwerkkarte des Servers beantwortet. Ein Blick in die Konfigurationsdatei zeigt, das der Parameter schlicht fehlt. Bingo. Parameter eingefügt, Verbindung neu gestartet, alles läuft.

Das ganze hat knapp 3 Stunden gedauert und hätte auch etwas schneller gehen können, wenn wir unter 2. bereits die Parameter in der Options-Datei geprüft hätten, und uns nicht nur auf die Netzwerkparameter konzentriert hätten. Das war zwar ärgerlich, aber wir haben für das nächste Mal auch etwas gelernt, ist auch wichtig.


SSH Autorisierung automatisieren

Es kommt öfter vor, dass ich mich auf verschiedenen Linux-Rechnern via SSH anmelden muss. Aus Sicherheitsgründen nutze ich die Autorisierung mittels Keys, gerade, wenn die Anmeldung über das Internet erfolgt.

Bash

Da der private Schlüssel mit einem Passwort gesichert ist, muss man dieses bei jeder Anmeldung eingeben, es sei denn, man automatisiert diesen Vorgang. Die Arbeit übernimmt das Tool ssh-agent.

Der Agent wird zunächst gestartet:

ssh-agent

Unter dem von mir genutzten Kubuntu ist übrigens ein ssh-agent standardmäßig bereits gestartet. Danach fügt man den privaten Schlüssel des aktuellen Benutzers mit

ssh-add

hinzu, sofern dieser unter dem Standartpfaden (~/.ssh/identity, ~/.ssh/id_dsa, ~/.ssh/id_rsa) abgelegt ist. Dabei wird einmalig das Passwort des privaten Schlüssels abgefragt. Danach wir bei jeder SSH-Anmeldung automatisch mit diesem Key autorisiert. Das funktioniert so lange, bis der Agent beendet wird. Die Autorisierung funktioniert auch bei anderen SSH-Tools, wie z.B. beim Dateien kopieren mit scp.

Tagebuchblog 04-02-2013

Kurzer Blog zum Tagesende.

Zum Tage

Heute hat unsere Heizung rumgezickt. Der nette Heizungsmonteur hat fast bis 22 Uhr gebraucht, sie wieder zum Laufen zu bringen, jetzt wird es langsam wieder warm in der Wohnung. :-)

In den Blogs

Hab ich eigentlich schon auf den aktuellen Podcast zur besten Blogengine der Welt hingewiesen? Nein? Dann bitte schön: http://www.s9ycamp.info/archives/20-Ausgabe-18-Rueck-und-Ausblick.html

Robert und Matthias geben eine schöne Zusammenfassung des letzten Jahres mit S9Y und einen Ausblick auf die nächsten Entwicklungen.

Twitter

Gefühlt meine komplette Twitter-Timeline hört Heino. Ich prangere das an.

Wetter

Wolkig und regnerisch, 3-4 Grad.

Tagebuchblog 02-02-2013

Mit ein wenig Verspätung schreibe ich heute noch den Tagebuchblog von gestern.

Zum Tage

Es gibt Tage, die fangen schon nicht gut an. Beim Bäcker gab es heute morgen meine Lieblingsbrötchen nicht mehr, obwohl ich relativ früh dort war. Das kann einem den Tag schon mal vermiesen. ;-) Dann jede Menge Hausarbeit, macht auch nicht so den Spaß. Auf dem Parkplatz vorm Getränkemarkt will ich einen Tweet beantworten. "Batterie ist erschöpft, das Smartphone wird ausgeschaltet." Meehh. Abends wollen wir in unsere Lieblingspizzeria, kein Tisch mehr frei.

Ein Lichtblick war aber gestern, dass uns ein gute Freundin besucht hat So wurde es doch noch ein schöner Nachmittag und, trotz der Panne mit dem Italiener, ein lustiger Abend.

Wetter

Teilweise sonnig, sehr windig, 3-4 Grad.

Twitter gehackt - besser Passwort ändern

Bei Twitter hat es in der letzten Woche einen Einbruch in die Server gegeben. Wie das Unternehmen in seinem Unternehmensblog mitteilt, wurde der Angriff live bemerkt und konnte gestoppt werden. Die bisherigen Ermittlungen ergaben, dass die Daten von ca. 250.000 Konten in die Hände der Einbrecher gelangt sind. Die Täter haben Anmeldenamen, Mailadressen und die verschlüsselten Passwörter erbeuten können.

Die Besitzer der kompromittierten Konten wurden von Twitter per Mail informiert, die Accounts wurden gesperrt und es muss ein neues Passwort vergeben werden.

Twitter weißt in seinem Blog auf darauf hin, ein sicheres Passwort zu verwenden (mindestens 10 Stellen, Groß- und Kleinbuchstaben, Ziffern und Sonderzeichen) und das Passwort für keine anderen Dienste zu verwenden.

Da man nicht sicher sein kann, ob alle betroffenen Accounts erkannt wurden, würde ich allen Twitter-Nutzern empfehlen, das Kennwort zu ändern und auch die Empfehlung zu beherzigen, unterschiedliche Passwörter für die Dienste im Internet zu verwenden.

Die Änderung des Twitter-Passworts ist natürlich mit ordentlich Arbeit verbunden, muss man ja alle Geräte und Anwendungen, die man so in Gebrauch hat, mit dem neuen Kennwort versorgen. Aber, wie sagt man so schön: Sicher ist sicher. Bis später.

(via Caschy)

Zeit - Tagebuchblog 31-01-2013

Leute, was rast die Zeit. Heute ist schon der letzte Tag im Januar 2013. Man hat ja das Gefühl, dass die Zeit immer schneller vergeht. Ich habe mal gelesen, das liegt daran, dass ein Jahr ein immer kleinerer Bruchteil der bisherigen Lebenszeit ist. Also für ein 6 jähriges Kind ist ein Jahr ein 6tel, bei einem 40 jährigen lediglich ein 40tel der Lebenszeit. Somit kommt einem die Zeitabschnitte wohl mit steigendem Alter immer kürzer vor.

Zum Tage

Wichtig ist es doch, dem alltäglichen Trott entgegen zu wirken. Dinge zu genießen, die zu genießen sind. Zeit mit Freunden und Familie verbringen. Ein Freund, den ich heute morgen am Telefon fragte, ob wir uns mittags mal zum Essen treffen wollten, konnte sich die Stunde Mittagspause heute nicht erlauben. Wir sollten uns für solche Dinge mehr Zeit nehmen. Jemanden zu treffen. Im Real-Life.

Natürlich finde ich es schön, das man über soziale Netze mit Freunden einfacher "in Kontakt". Man bekommt auch mal Sachen aus dem Alltag der Bekannten mit, die man ohne Facebook und Co. nicht mitbekommen hätte.

Aber das sollte nicht das persönliche Zusammensein ersetzen oder verdrängen. Wir brauchen auch mal echte Interaktion von Mensch zu Mensch.

In den Blogs

Johnny schreibt auch was zum Thema: Heute

Wetter

Regnerisch, Stürmisch, um die 5 Grad.


Blackberry 10 offiziell gestartet

Beim heutigen Launch-Event wurde das neue Smartphone-Betriebssystem Blackberry 10 und zwei neue Smartphones offiziell von RIM vorgestellt. 

Die erste Ankündigung von Thorsten Heins: RIM heißt ab heute BlackBerry!

Die beiden neuen Smartphones sind das Z10 (Touch only) und das Q10 (mit physischer Tastatur).

BB10 Launch Event

Es gab im Vorfeld schon viele Videos über das neue System im Internet zu sehen. Ein paar neue Schmankerl gab es aber heute auch noch zu sehen.

Blackberry HUB: Alle Nachrichten an einem Ort, egal ob Mail, Social Networks, SMS, alles auf einen Blick sehen.

Blackberry Peek und Flow: Aus jeder Anwendung mit einer Wischgeste in den HUB wechseln.

Blackberry Remember: Informationen aller Art aus allen Quellen sammeln und organisieren.

Blackberry Balance: Berufliche und private Daten auf einem Gerät, sicher voneinander getrennt, gleichzeitig aufrufbar.

BBM: Videochat und Screensharing

Bildbearbeitung: Bilder direkt am BB bearbeiten.

Blackberry Story Maker: Videos produzieren und teilen.

BB10 Launch Event

Apps, Apps, Apps

Ein wichtiger Punkt bei der Entscheidung für ein Smartphone ist die Verfügbarkeit von vielen Apps. BlackBerry hat hier einen guten Job gemacht und in der Blackberry World schon zum Start alle wichtigen Apps am Start.

Skype, Whatsapp, SAP, Twitter, Facebook, Linkedin, Amazon Kindle, Linkedin, Evernote und viele mehr sind von Anfang an verfügbar.

Deutschlandstart für das Z10 wird wohl Mitte Februar sein.

Tagebuchblog 29-01-2013

Noch kurz vor Mitternacht ein kleiner Tagebuchblog.

BlackBerry 10

Morgen ist es nun so weit. Blackberry 10 und die neuen Smartphones Z10 und X10 werden offiziell vorgestellt. Wer nicht in eine der Metropolen zum Event reisen kann, hat die Möglichkeit, den Livestream der Veranstaltung im Netz unter http://www1.rim.com/newsroom.html zu verfolgen.

Um 16 Uhr unserer Zeit geht es los.

Jetzt nur noch schnell das heutige

Wetter

Tauwetter, der Schnee ist fast weg. Regnerisch und stürmisch bei 4-8 Grad.

Wie geht es weiter mit dem Blackberry Enterprise Server Express

In zwei Tagen, am 30 Januar, wird RIM seine neues Betriebssystem Blackberry 10 und die neuen Smartphones vorstellen. Ich freu mich schon wie Bolle. :-)

Seit ein paar Tagen gibt es auch den Blackberry Enterprise Service 10 zu kaufen, mit dem nicht nur die neuen und alten Blackberry Smartphones an die betriebliche Mail-Infrastruktur angebunden und verwaltet werden können. Auch das hauseigene Tablet Playbook sowie iOS- und Android-Geräte lassen sich mit der neuen Software managen.

Für kleine und mittlere Unternehmen bietet RIM bisher den kostenlosen Enterprise Server Express an. Wie geht es mit diesem Produkt weiter und wie können Kunden neue Blackberry 10 Geräte benutzen?

Zuerst eine gute Nachricht: RIM verspricht, den Express-Server bis 2015 weiter zu unterstützen und mit Updates zu versorgen. Aber: Eine Unterstützung für Blackberry 10 und die Multiplattformfähigkeit des kostenpfichtigen Produkts wird es in der Express-Version nicht geben.

Als Alternative wird im BIZBlog darauf hingewiesen, das die Blackberry 10 Geräte alle das Activesync-Protokoll unterstützen. Hierüber können die Geräte etwa über bestehende Exchange Server oder den Lotus Traveler an die Unternehmensinfrastruktur angebunden werden. Allerdings ist dafür auch eine eigene Infrastruktur bzw. VPN-Netze vorzuhalten. Auch die Funktion von Blackberry Balance, die die saubere Trennung von privaten und geschäftlichen Daten auf den Endgeräten ermöglicht, ist mit dieser Lösung nicht möglich.

Bezahlt oder kostenlos

Unternehmen die bisher den kostenlosen Server einsetzen, müssen also entscheiden, ob Sie über kurz oder lang auf die kostenpflichtige Variante umsteigen wollen. Der Vorteil liegt natürlich auch in der Möglichkeit, Geräte verschiedener Plattformen zu verwalten und auch abzusichern. Außerdem können nur so alle Funktionen der neuen Blackberry 10 Smartphones im geschäftlichen Umfeld genutzt werden.

(via Mobility Admin)

Weche Bücher hast du gelesen

Manch einer hat ja neben den ganzen Inhalten, die man so täglich im Netz konsumiert, tatsächlich noch Zeit, das ein ganzes Buch zu lesen. Und vielleicht möchte der ein oder andere gern dokumentieren, was er so gelesen hat, und vielleicht auch seine Leseerfahrung anderen mitteilen.

Wer dazu nicht seinen eigenen Webspace bemühen möchte oder kann, hat jetzt mit dem neuen kleinen Dienst lesetagebu.ch die Möglichkeit dazu.

Der Dienst von Daniel Diekmeier ist momentan noch sehr einfach aufgebaut und ermöglicht die kostenlose Anlage eines Profils, das dann über eine URL wie http://lesetagebu.ch/von/mario erreichbar ist.

Ansicht einer Lesetagebuchseite

Nach der Anmeldung kann man nach Buchtiteln oder Autoren suchen, diese als gelesen markieren und noch ein paar Zeilen zum Buch schreiben, wenn man möchte. Ist das Buch noch nicht in der Datenbank eingetragen, kann man es neu anlegen.

Bücher suchen oder neu anlegen

Daniel wird sicher noch ein paar Funktionen einbauen, wenn er dafür den ein oder anderen Vorschlag aus der Nutzerschaft bekommt. Ich könnte mir zum Beispiel noch ein paar automatische Posts in soziale Netzwerke vorstellen.

Findet ihr solche spezialisierten Services sinnvoll? Würdet ihr so etwas gern nutzen?


tweetbackcheck