Re: OpenVPN Android IPv6-only
On Sun, Dec 12, 2021 at 12:14:35PM +0100, Heiko Schlittermann wrote: > Moin, > > hier sind doch sicher einige OpenVPN+Android-Experten. > > Ich möchte gerne einen IPv6-only Tunnel zwischen einem „normalen“ > OpenVPN-Server und einem durchschnittlichen Android Client haben. Laut https://community.openvpn.net/openvpn/ticket/208 ist das erst ab OpenVPN 2.5 möglich, was mit Debian 11 kommt. > Prinzipiell funktioniert das, leider aber blockt der Android-Client dann > sämtlichen IPv4-Traffic, wenn er über den VPN-Server nur eine IPv6 > Config bekommt. > > Im OpenVPN-Client von Arne Schwabe gibt es eine extra Option, mit der > ich das verhindern kann. Im „offiziellen“ Client habe ich das noch nicht > gefunden. Gibt es dort sowas nicht? Was ist der "offizielle Client"? Ich benutze den besagten https://github.com/schwabe/ics-openvpn und habe da diese extra Option nicht gefunden. Es steht, getrennt für das veraltete und das aktuelle IP-Protokoll, zur Auswahl, ob der Tunnel als Default Gateway benutzt werden soll oder nicht. > Als Workaround pushe ich jetzt eine willkürliche IPv4 (ifconfig-push), > das scheint zu helfen, ist aber blöd, ich will ja keinen Adresskonflikt > provozieren. Da wäre es herauszufinden, ob die betreffenden Änderungen von OpenVPN 2.5 ihren Weg in den Android Client gefunden habe. -- William
Re: Living Ends
On Tue, Jun 2, 2020 at 7:54 AM Kristian Rink wrote: > Deine Ideen zu Usability und Komfort teile ich hier. Meine Frage ginge > hier eher in eine andere Richtung: Eigentlich will ich "mobil" arbeiten > können. Ich möchte meine Daten halbwegs elegant stets auf allen > relevanten Geräten finden. Ist das zwingend gleichbedeutend mit "online"? Seit Erfindung verteilter Versionskontrolle, vulgo Git, nicht mehr. Wenn, so wie ich es im Beruf erlebe, es aber immer noch Absolventen von Informatikstudiengängen gibt, die noch nie etwas von Versionskontrolle gehört haben, ist wohl Hopfen und Bier tatsächlich verloren. > Simples Beispiel: Wenn ich die Bilder von der Smartphone-Kamera einfach > auf den Linux-Laptop bekommen will (der 10cm daneben steht), dann führen > nahezu alle "Standardwege" vom Smartphone über irgendein > Fernverkehrsnetz zu irgendeinem Server und von dort zurück zum Laptop. > Warum muss das so sein? Ist nicht gewollt, weil Google, Apple & Co. ihre Ware gerne genau kennen wollen. (Merke: Wenn ein Dienst kostenlos ist, dann ist man da nicht Kunde, sondern Ware.) > Manchmal glaube ich, bei allen guten Ideen, die > es in den letzten Jahr(zehnt)en gab, ist an vielen Stellen hier unsere > Fantasie auf Client/Server-Lösungen beschränkt. Warum haben wir noch > nicht so etwas wie "syncthing-in-gut/-schnell", das die 10cm zwischen > den beiden Geräten im Beispiel überbrücken kann ohne Server? Warum kann > ich nicht selbiges für Office-Dokumente, Musik, ... tun - Geräte > nebeneinanderlegen und mit zwei Taps oder Knopfdrücken lokal *schnell* > synchronisieren? Das gab es mal - bei Symbian: (Nokia)-Geräte wurden per Bluetooth gekoppelt - die Richtung des Syncs festgelegt - etwas gewartet - fertig. Alternativ: Speichern/Wiederherstellen des Telefon-Inhalts (inkl Kalender ,Kontakte, Einstellungen) auf/von Speicherkarte. Einziger Nachteil: Diese Sicherungsdateien waren proprietäre Binärklumpen. Das war die erste Funktion, die, welche ich nach Umstieg auf Android vermißt habe. Da ging die Bastelei mit Funabol & Co. los, bis Stand heute Open/Nextcloud das Mittel der Wahl dafür ist. -- William Epler
Re: Raspberry4 (oö) mit Gehäuse und Festplatte
Ich habe einige von den https://www.mini-itx.de/Barebones/luefterlos/Jetway-JBC375F533M-1900-B4-Fanless-Celeron-Bay-Tra::420108.html verbaut und bin damit zufrieden. -- William Epler
Re: Windows 10 Spionage - Umfang
Da macht sich jemand die Mühe, die ganze "Telemetrie" per Powershell script auszuschalten: https://github.com/W4RH4WK/Debloat-Windows-10 Problem ist, das es keine Garantie auf Vollständigkeit geben kann. -- William Epler
Re: IPv6 router advertisements und forwarding
Forward einschalten und accept_ra ist nur die halbe Miete. Wenn Du irgendetwas abseits der /64 Automatismen baust, solltest Du zumindest https://www.ipsidixit.net/2010/03/24/239/ verstanden haben. Annahme: FritzBox(DSL/Kabel/wasauchimmer) * bekommt vom Provider ein dynamisches /56 Netz - so gesehen bei DTAG, KD, Swisscom * propagiert ein /64 per Router Advertisement nach "innen" * Prefix Delegation per DHCPv6 ist eingeschaltet Linux-Router * eth0 - ist an FritzBox angeschlossen - bekommt von FritzBox ein /64 Präfix per RA zugeteilt - bildet sich seine globale Adresse per SLAAC * Per DHCPv6 client fordert der Router ein weiteres /64 Präfix an * Dieses angeforderte /64 Präfix wird auf eth1 propagiert - iface eth2 inet6 static DHCPv6 ist stateful, d.h. die FritzBox weiß hier, an wen sie welches Präfix delegiert hat und routet entsprechend. Einzelheiten siehe z.B. https://sdq.calle1.de/ipv6_router_presentation.pdf On Tue, Apr 14, 2020 at 8:07 PM Ronny Seffner wrote: > > Hallo, > > ich habe ein Linux als Router hinter einem Kabelmoden. Dort bekomme ich per > „iface eth0 inet6 dhcp“ eine IPv6-Adresse und dank > /proc/sys/net/ipv6/conf/*/accept_ra=1 eine Route. > Leider komme ich nur remote zu diesem Linux. „Leider“, denn wenn ich echo > "1" > /proc/sys/net/ipv6/conf/*/forwarding mache, ist sofort meine > SSH-Verbindung weg. Per IPv4 komme ich da nicht hin, das ist wie bei LTE > eine geNATete Adresse. > > Nun entnehme ich der Dokumentation ja > - accept_ra=0 keine Router Advertisements annehmen > - accept_ra=1 Advertisements annehmen, wenn ich nicht selber Router bin, was > wohl am Forwarding festgemacht wird > - accept_ra=2 Advertisements annehmen, obwohl ich selbst forwarde > Also könnte es sein, dass weil ich accept_ra=1 habe, ich nicht forwarding!=0 > setzen darf/kann oder damit die default Route gelöscht wird. > > Ich setzte also accept_ra=2 – nach dem Booten, als dank sysctl noch > accept_ra=1 herrschte und ich einen router bekam – und ich kann das > Forwarding aktivieren. Allerdings verliere ich nach N<60 Minuten > unvermittelt die default Route. > > Kann mir das wer erklären? -- William Epler
Re: Weitere Probleme mit IPv6 - Dibbler
On Thu, Feb 14, 2019 at 3:30 PM Luca Bertoncello wrote: > Ja, ich weiß! Der /128-Präfix hat Dibbler gesetzt. Und das habe ich auch > als falsch erkannt. > Die Frage ist aber, WARUM Dibbler /128 nutzt, statt /64... > > Ideen? http://klub.com.pl/bugzilla3/show_bug.cgi?id=222 -- William Epler
Re: Weitere Probleme mit IPv6 - Dibbler
On Thu, Feb 14, 2019 at 3:06 PM Luca Bertoncello wrote: > Ich glaube, ich habe die Ursache des Problems gefunden, allerdings noch > nicht die Lösung... > Auf dem Server ist die IPv6 mit Netmask /128 statt /64. > Ändere ich manuell die IP, mit dem richtigen Mask, dann geht alles. Vergiß hier einfach, was Du über IPv4 gelernt hast und setze den Präfix eines jeden Interfaces auf /64 > Nun ist die Frage, warum die Mask falsch ist... RFC5375 Die Netzmaske am Interface muß per Definition *immer* /64 sein, damit Automatismen wie neighbor solicitation/advertisement oder SLAAC funktionieren. Ansonsten ist Handarbeit angesagt, s.a. https://www.ipsidixit.net/2010/03/24/239/ Delegieren/strukturieren/routen kannst Du im Fall Telekom mit Präfixen von /57 bis /63 -- William Epler
Re: Weitere Probleme mit IPv6 - Dibbler
On Thu, Feb 14, 2019 at 1:45 PM Luca Bertoncello wrote: > Mit tcpdump sehe ich: > > 13:41:37.717806 IP6 2003:c2:7f14:3c10:1::1 > ff02::1:ff00:11: ICMP6, > neighbor solicitation, who has 2003:c2:7f14:3c10:1::11, length 32 > 13:41:37.718538 IP6 2003:c2:7f14:3c10:1::11 > 2003:c2:7f14:3c10:1::1: > ICMP6, neighbor advertisement, tgt is 2003:c2:7f14:3c10:1::11, length 32 > > Kann jemand mir sagen, was ich falsch mache? Was sagt $ ip -6 a auf den beteiligten Kisten? Es sieht so aus, daß er die Link-Local Adresse von 2003:c2:7f14:3c10:1::11 nicht auflösen kann. neighbor solicitation/advertisement ist gut auf https://www.ipsidixit.net/2010/03/24/239/ beschrieben. (Man soll den zweiten Schritt nicht vor dem ersten tun.) Ich empfehle, zuerst den radvd zwecks SLAAC Richtung Innenseite in die Gänge zu bringen. Und, nicht vergessen, dem Router das Routen auch zu erlauben ("net.ipv6.conf.all.forwarding = 1"). DHCPv6 kannst Du optional dann immer noch draufsetzen, z.B. wenn Du einzelne Adressen menschenmerkbar festnageln oder Präfixe weiterdelegieren willst. -- William Epler
Re: Hilfe mit IPv6
On Thu, Feb 14, 2019 at 9:56 AM Luca Bertoncello wrote: > Aber die Schnittstelle server0 hat immer noch keine IPv6... Die internen Schnittstellen Deines Routers sollen sich nicht selbst konfigurieren, sondern SLAAC und optional DHCPv6 für die nachgeordneten Gerätschaften zur Verfügung stellen. Deshalb mußt Du an Hand des empfangenen Präfixes diese selbst mit IPv6-Adresse als auch mit dem Router Advertising Daemon versehen, siehe https://sdq.calle1.de/ipv6_router_presentation.pdf Seite 12 Schnittstellen und radvd können bei festem Präfix statisch konfiguriert werden Bei sich eingangsseitig ändernden Präfixen (wie bei Privatkunden-DSL) solltest Du das automatisieren - ich nehme dafür Puppet. -- William Epler
Re: Hilfe mit IPv6
On Thu, Feb 14, 2019 at 8:35 AM Luca Bertoncello wrote: > Naja, so wie ich verstehe, sind die /56-Netze bei der Telekom nur für > Geschäftskunden... :( Stimmt nicht. Telekom Privatkunden-DSL rückt ohne weitere Nachfrage oder Aufpreis /56 heraus. Im Geschäftskundentarif sind dann bei Bedarf gegen Aufpreis sowohl IPv6 Subnetz als auch IPv4-Adresse fest. Dein PI hinter dem Modem bleibt auf halben Wege stehen. Er läßt sich zwar ein /64 Präfix per Router Advertisement geben, fordert aber kein weiteres Subnetz ab, was er delegieren könnte. Bei einer FritzBox klappt Prefix-Delegation problemlos. S.a. [1] > Die Frage ist, wie ich diese NAT machen kann. NAT auf IPv6 hat es nicht/brauchtes nicht /gibt es nicht - Es sind genug IPv6-Adressen da, solche Krücken sind unnötig. > Ich brauche bestimmt eine "private" IPv6-Adresse, die ich dem Server > vergeben kann. Du kannst beliebige Subnetze aus dem Bereich fc00::/7 nutzen. Das heißt Unique Local Unicast Addresses (ULA) - RFC4193 > Was mache ich falsch? Du klebst noch zu sehr am IPv4-Denken. [1] https://sdq.calle1.de/ipv6_router_presentation.pdf -- William Epler
Re: Postgres Docker Apache
2018-06-25 23:04 GMT+02:00 Heiko Schlittermann : > Hallo Stefan, > > Stefan Majewsky (Mo 25 Jun 2018 22:21:46 CEST): >> >Was hab ich vergessen bzw. falsch gemacht? Hat jemand einen Tipp für >> >mich? >> >> PostgreSQL spricht kein HTTP, sondern ein eigenes Protokoll. Dieses kann >> nicht von einem HTTP-Server wie Apache geproxyt werden. Richtig. Für IPv6 ist die Lösung einfach: Dafür sorgen, daß ICMP6 und 5432/tcp vom Docker-Host durchgelassen werden. Der Docker hat wie jede Gerätschaft seine eigene Adresse und muß selbige nicht per NAT umlügen. Für IPv4 wirst Du an NAT auf dem Docker-Host nicht vorbeikommen. Eine sehr gute Einführung dazu ist auf https://www.karlrupp.net/de/computer/nat_tutorial zu finden. Bevor Du den PostgreSQL aber in irgendeiner Weise im weltweiten Verbindungsnetz zugänglich machst, solltest Du ihn dringends mit SSL abgesichert haben - siehe https://www.postgresql.org/docs/current/static/ssl-tcp.html -- William Epler
Re: DVB-T2 scan file
2017-11-08 20:55 GMT+01:00 Gregor Jasny : > Hallo, > > nach der Umstellung von DVB-T nach DVB-T2 heute Nacht sieht mein DVB-T > Stick nur noch das Dresden Fernsehen auf 602 MHz. > > Ich befürchte der Stick funktioniert nur mit DVB-T. Zumindest unter Debian kann man das per "w_scan" prüfen, siehe https://wiki.ubuntuusers.de/w_scan/ > Falls jemand hier eine aktuelle dvb_channel Liste hat, könnte er diese bitte > hier teilen? Habe ich mit "w_scan" erzeugt, allerdings ist der Rechner (ein 6-Kern AMD Phenom mit genügend MHz) angeblich zu langsam, H.265 zu decodieren. Hat da jemand einen Tip? -- William Epler
Re: Nagios/NTP: Offset unknown
2017-02-02 10:03 GMT+01:00 Luca Bertoncello : > /usr/lib/nagios/plugins/check_ntp_time -H localhost Damit prüfst Du, wie weit weg der lokale Zeitserver von der lokalen Systemzeit weg ist. Diese Abweichung sollte nur sehr marginal sein, egal wie falsch die Uhr geht - nicht wirklich sinnvoll. $ /usr/lib/nagios/plugins/check_ntp_time -H de.pool.ntp.org würde tatsächlich die Systemzeit prüfen. -- William Epler
Re: Asterisk + Deutsche Telekom = Verbindungsabbrüche
2016-12-22 14:09 GMT+01:00 Luca Bertoncello : > William Epler schrieb: > >> > Asterisk läuft auf einem Switch mit OpenWRT und erreicht das Internet >> > über NAT. >> Router oder tatsächlich Switch? > > Das ist ein TP-Link TL-WR1043ND. Also kein dummer Switch, sondern ein Router ohne DSL-Modem, der lt. Datenblatt u.a. PPPoE kann. Was hindert Dich daran, den zwischen TL-WR1043ND und Telefonnetz geschalteten DSL-Router als Bridge zu betreiben (bzw. dort ein "dummes" Modem hinzusetzen) und Asterisk an die damit ohne NAT direkt am Router anliegende öffentliche IPv4-Adresse zu binden? -- William Epler
Re: Asterisk + Deutsche Telekom = Verbindungsabbrüche
2016-12-22 13:32 GMT+01:00 Luca Bertoncello : > NAT! Hau wech den Scheiß... > Asterisk läuft auf einem Switch mit OpenWRT und erreicht das Internet > über NAT. Router oder tatsächlich Switch? Rein interessehalber: Auf welcher Hardware läßt Du OpenWRT laufen? Zufrieden damit? Erfahrungswerte? Ich habe einige Cisco WRT54GL-Router zwecks IPv6-Unterstützung mit OpenWRT geflasht und die funktionieren eben solange sie funktionieren. Den Aufwand an Zeit und Nerven, z.B. Asterisk auf so etwas zum Laufen zu bekommen, gebe ich mir nicht. -- William Epler
Re: Asterisk + Deutsche Telekom = Verbindungsabbrüche
2016-12-22 12:19 GMT+01:00 Luca Bertoncello : >> Benutzt Du SIP oder IAX2 für die Verbindungen ins Ausland? > > Ich benutze SIP für die Verbindung mit der Telekom. Ich mache keine direkte > Verbindung ins Ausland. Also: - IP-basierter Telekom-Telefonanschluß, wobei deren SIP-Server (tel.t-online.de) kein IPv6 sprechen (Wo kämen wir denn da hin, wenn man ohne Asterisk & Co. mehrere SIP-Telefone an einem Telekom-Anschluß betreiben könnte?) - Asterisk zu Hause, welcher SIP mit tel.t-online.de per IPv4 über selbigen Anschluß spricht - hier treten besagte Unterbrechungen auf Richtig? Wenn ja: Ist Deine Asterisk 1. direkt per DSL-Modem an Telekom-Anschluß 2. oder hinter NAT 3. oder als IP-Telefon an FritzBox angeschlossen? (Zu 0.: Fasse Dich kurz ;-) Zu 1.: findet sich Im weltweiten Verbindungsnetz http://forum.ipfire.org/viewtopic.php?t=8946 Zu 2.: sollte man sich keinesfalls antun; SIP und NAT vertragen sich ohne Behelfchen nicht, da der Payload nicht über die "Zentrale", sondern direkt zwischen den Endgeräten stattfinded und sich diese gegenseitig "sehen" müssen. Zu 3.: Nutze ich selbst, um meinen häuslichen Telefonanschluß über OpenVPN "mitnehmen" zu können. Funktioniert stabil, da AVM mit Sicherheit am besten weiß, wie man SIP mit Telekom unterbrechungsfrei hinbekommt. Der Vorteil von VoIP, von einem anderen als dem eigenen Internetanschluß SIP-Telefone registrieren und nutzen zu können, wird von Telefonnetzanbietern wie der Telekom im Interesse des eigenen Geschäftsmodells selbstverständlich blockiert, während Sipgate & Co. ein solches darauf gründet. -- William Epler
Re: Asterisk + Deutsche Telekom = Verbindungsabbrüche
2016-12-21 21:07 GMT+01:00 Luca Bertoncello : > Hallo Leute! > > Nutzt jemand Asterisk mit einer Leitung der Deutschen Telekom? Ich. Asterisk auf gemieteter VM und Fritz-Boxen und SNOM-Telefone an den Enden, dazwischen SIP über IPv6 ==> geht. > Ich habe genau das Problem, dass nach exakt 14 Minuten und 57 Sekunden alle > ausgehenden Verbindungen ins Ausland abgebrochen werden. Welches Ausland? Geben die betreffenden ausländischen Netzbetreiber routbare IP-Adressen heraus oder wird die Kundschaft dort mit RFC1918 abgespeist? Benutzt Du SIP oder IAX2 für die Verbindungen ins Ausland? Vielleicht ist SIP bei mindestens einem der beteiligten Netzbetreiber nicht gerne gesehen? -- William Epler
Re: Warm nicht E-Mail (ehem OpenSource Alternative zu WhatsApp)
2016-12-02 8:08 GMT+01:00 Thomas Güttler : > - Dezentral: Auch wenn Mail als Klartext über die Leitung geht, ist das > Abhören im >großen Stil sicherlich schwieriger, weil es keine zentrale Kontrollinstanz > geht. > > > Warum stockt die Entwicklung bei Mail? > > Nächste Frage: Warum wird Firefox und Chrome ständig weiterentwickelt? > > Der Webbrowser ist ein prima Werbe-anzeige-Programm. > > Damit machen gewisse Konzerne eine Menge Kohle. > > Wie sieht es da bei Mail aus? Hier ist > es Fehlanzeige. Wenn ich einem Freund eine Mail schreibe, dann > kann ich das ohne das jemand Werbung dazwischenstreut. > > Alle Großen bei dem Spiel haben also Null Komma Null Interesse daran, > dass die Entwicklung bei Mail vorwärts geht. Guter Punkt: Weil man mit einem reinen SMTP/IMAP-Dienst anscheinend nicht im großen Stil Geld verdienen kann. Geiz ist eben geil - Wie groß mag der Anteil der privaten Email-Nutzer sein, die für das tatsächlich genutzte Email-Postfach jeden Monat Geld bezahlt (und wenn es auch nur Dreingabe des DSL-Vertrages ist)? > Open Source klappt eben nur bis der Status "prinzipiell nutzbar" erreicht ist. Anders gefragt: Was vermißt Ihr an den "üblichen Verdächtigen" (Thunderbird/kmail/mutt/...)? > WAF (Woman accept Factor) wird leider nicht erreicht. Schade. Ausnahmen bestätigen auch hier die Regel: Meine Freundin hat es ganz allein geschafft, mir vom androiden Wischtelefon Email zu schicken - geht also. -- William Epler
Re: Warm nicht E-Mail (ehem OpenSource Alternative zu WhatsApp)
> E-Mail ist technisch wohl wirklich überholt. Sehe ich ganz und gar nicht so: Email als dezentraler Dienst ist von Anfang an so entworfen, daß _jeder_ mitspielen kann, dessen Server im Internet erreichbar ist und sich an ein Mindestmaß an RFCs hält. Man ist dabei eben nicht auf einen bestimmten Anbieter/Chat-Server/F**book/Wh**App/wasauchimmer, "wo alle sind", angewiesen, sondern man hat die Wahl von eigenen Server+Domain bis Massenscheinbarkostenlosprovider - und kann trotzdem über Anbietergrenzen hinweg kommunizieren. Gängige Wischtelefone unterstützen Email problemlos schon im Auslieferungszustand, das kann eigentlich nicht der Grund sein, keine Email benutzen zu wollen. Ich sehe es eher so, daß es die durchschnittliche (Schul)Bildung heutzutage nicht mehr hergibt, ganze Sätze unfallfrei zu Papier zu bringen - von weitergehender Medienkompetenz einschließlich der Fähigkeit, mit dem Medium Email umzugehen, mal ganz zu schweigen. > SMTP ist dann nur noch die Kommunikation der Server untereinander. Und > dafür kann man auch XMMP oder sonstwas nehmen, das ist total egal. SMTP ist u.a. dafür ausgelegt, daß Email zuverlässig zugestellt wird, auch wenn z.B. der Übertragungsweg zeitweilig ausfällt. Dafür ist noch nichts besseres erfunden worden, auch wenn bei der hohen Verbreitung eine verpflichtende Transportverschlüsselung wahrscheinlich nie Eingang in die RFCs finden wird. -- William Epler
Re: CSS-Experte für Responsive-Seiten gesucht
2016-08-21 20:20 GMT+02:00 Luca Bertoncello : > Vielleicht gibt es in der Liste jemand, der sich in dem Gebiet auskennt und > könnte mir sagen, was ich falsch mache? Zunächst solltest Du Dir die Notwendigkeit der Trennung von Inhalt, Präsentation und Verhalten verinnerlichen, siehe https://wiki.selfhtml.org/wiki/HTML/Tutorials/Trennung_von_Inhalt,_Pr%C3%A4sentation_und_Verhalten http://www.woodshed.de http://www.woodshed.de/werbeagenturen/www_rollenverteilung.html Heißt u.a. auch: keine absoluten Schriftgrößen, sparsame und keine ausartenden Tabellenbreiten im HTML-Code, um horizontale Scrollbars zu vermeiden. -- William Epler
Re: eigener DNS Server für eigene Zone
2016-08-21 21:46 GMT+02:00 Martin Schuchardt : > Folgendes Projekt: ich baue meinen eigenen internen DNS Server (um > einfach mal etwas mehr in die Materie einzusteigen). Nun will ich den > auch nutzen, aber nur für meine interne Domain. Diese endet auf .home. > Soweit so gut. Nein, falscher Fehler: Wie auch bei IP-Adressen sollte man keine eigene Top Level Domain "erfinden", sondern für derartige private oder Testzwecke eine lt. RFC2606 dafür vorgesehene nutzen. In diesem Fall wäre das z.B. ".test". Ansonsten kann das bei der heutigen TopLevelDomainInflation schnell schiefgehen. -- William Epler
Re: IPv6 für Hotliner (der Telekom u.a.)
2016-05-12 17:31 GMT+02:00 Bernhard Schiffner : > 7.1.) Wenn die Erreichbarkeit aus 6.2.) nur in einer Richtung klappt, muss > also eine Software das verhindern. > 7.2.) Sie bestätigten das im Telefonat heute für den Speedport W724V als > Feature "Firewall" und als nicht abschaltbar. > 7.3.) Das ist für mich ein Grund zur Rückgabe des Routers, da ich die > IPv6-Funktionalität uneingeschränkt nutzen möchte. Eine Fritz-Box sperrt eingehende IPv6-Verbindungen per Voreinstellung. Man kann eingehende ICMP6-Verbindungen, einzelne Ports oder den kompletten eingehenden IPv6-Verkehr für einzelne Rechner im Subnetz hinter der Fritz-Box gestatten, Klappt laut http://www.heise.de/netze/meldung/Router-fuer-IPv6-Einige-taugen-etliche-versagen-3196294.html nicht für Subnetze, die von der Fritz-Box delegiert wurden. > 8.1.) Es steht der Telekom als Netzprovider zu, den Netzwerkteil der bei der > Adressvergabe beliebig zu ändern. > Das wird auch regelmäßig (z.B. aller 3 Tage) gemacht. Drei Tage kann bei All-IP-Anschlüssen schon deshalb nicht sein, weil während dieses Adreß- und Präfixwechsels das Telefonieren mehrere Minuten lang nicht funktioniert. > 8.2.) Ich persönlich halte das für Schikane, da es dem Gedanken eines > einfachen Netzes widerspricht. > Die regelmäßige Adressänderung bedeutet für die Telekom nichts als > zusätzlichen Aufwand. > Und der zusätzliche Aufwand der Telekom ist für den Endkunden sogar noch > billiger(!).(Das im Gegensatz zum > Geschäftsanschluss, wo keine Änderung vorgenommen wird.) Vorsicht - Dieses Jahr selbst gesehen: Umstellung eines Telekom-Geschäftsanschlusses mit fester IPv4-Adresse und ISDN auf All-IP: Die feste IPv4-Adresse ist geblieben, aber es gibt kein IPv6 dazu. > 9.1.) Für eine einfache Erreichbarkeit im Netz werden Namen statt Nummern > verwendet. Der Mechanismus dazu heißt DNS. Wenn meine Adresse (besser deren > Netzanteil) nach 8.1.) wechselt, muss ich diese Änderung bei DNS immer wieder > neu bekannt machen. Darauf spezialisierte Dienstleister nennen diesen Service > dynDNS (dynamisches DNS). > 9.2.) Der Dienstleister in meinem Fall ist dynv6.com. "ddclient" funktioniert mit dyn.com auch für IPv6. -- William Epler, Dresden ___ Lug-dd maillist - Lug-dd@mailman.schlittermann.de https://ssl.schlittermann.de/mailman/listinfo/lug-dd
Re: Apache, Kerberos und Wrong principal in request
> Nun kann ich mich mit dem Passwort anmelden, allerdings der SSO von Firefox > oder IE geht immer noch nicht (und keine Meldung ist in der Log zu sehen). Da prüfen wir mal der Reihe nach: 1. auf dem Apache-Server die Gültigkeit der Krb5Keytab = Muß in etwa so aussehen: $ klist -k /etc/apache2/apache.keytab Keytab name: FILE:/etc/apache2/apache.keytab KVNO Principal -- 4 HTTP/main.cch.intra@CCH.INTRA $ kvno HTTP/main.cch.intra@CCH.INTRA HTTP/main.cch.intra@CCH.INTRA: kvno = 4 $ kvno -k /etc/apache2/apache.keytab HTTP/main.cch.intra@CCH.INTRA HTTP/main.cch.intra@CCH.INTRA: kvno = 4, keytab entry valid Die KeyVersionNumber (kvno) kann bei Dir eine andere sein, Hauptsache in Keytab und auf dem Kerberos-Server gleich. 2. auf dem Rechner, wo Firefox läuft === - gleiche /etc/krb5.conf wie auf dem Apache-Server? - gültiges Kerberos-Ticket vorhanden? (ansonsten fällt der Brauser auf Passwort-Eingabe zurück) Bekommt man frisch bei Anmeldung oder Bildschirm-Entsperren, wenn das System korrekt konfiguriert ist. Ansonsten "$ kinit" Prüfen geht mit $ klist Ticket cache: DIR::/ Default principal: dein_login_name@CCH.INTRA Valid starting Expires Service principal krbtgt/CCH.INTRA@CCH.INTRA renew until 3. Firefox - "about:config" === Da muß network.negotiate-auth.trusted-uris - cch.intra gesetzt sein. Bei G*gle Ch*me geht da auch "*" -- William Epler ___ Lug-dd maillist - Lug-dd@mailman.schlittermann.de https://ssl.schlittermann.de/mailman/listinfo/lug-dd
Re: NSS+PAM mit LDAP (Active Directory)
Hallo, 2016-04-01 18:54 GMT+02:00 Luca Bertoncello : > Hallo Leute, > > auf einem Ubuntu 14.04-Server will ich die Nutzer gegen den AD > authentifizieren. > Ich hab unzählige HowTo probiert und geht immer noch nicht. > > Ich will nicht auf dem Server Samba installieren, damit ich winbind nutzen > kann. > Kann jemand mir eine Empfehlung geben? > > Es MUSS möglich sein, mit libnss und LDAP, aber anscheinend bin ich zu dumm > dafür... Nein, Du bist hier nur auf dem falschen Weg. AD stellt einen Verzeichnisdienst (LDAP) und einen Authentifizierunsdienst (Kerberos) zur Verfügung - und letzteren kannst Du auch für Linux nutzen. Das geht folgendermaßen: 1. DNS eineindeutig IP-Adresse <==> Hostname (hier auch an IPv6 denken...) 2. /etc/krb5.conf Beispiel: schnipp [libdefaults] default_realm = EXAMPLE.COM dns_fallback = true forwardable = true proxiable = true [realms] EXAMPLE.COM = { default_domain = example.com kdc = kdc1.example.com:88 kdc = kdc2.example.com:88 } [domain_realm] .example.com = EXAMPLE.COM [logging] default = SYSLOG:ERROR:AUTH schnapp ### Groß- und Kleinschreibung ist zu beachten: EXAMPLE:COM = Windows-Domain example.com = DNS Domain Wenn die Kerberos-Server im DNS stehen, dann können und sollen die "kdc = " - Angaben weggelassen werden. $ dig SRV _kerberos._udp.example.com s.a. http://web.mit.edu/kerberos/krb5-1.5/krb5-1.5.4/doc/krb5-admin/Hostnames-for-KDCs.html Danach muß das Holen eines Ticket Granting Tickets per $ kinit [login_name] Password for login_n...@example.com: [AD-Passwort] funktionieren. 3. PAM konfigurieren ... authsufficientpam_unix.so authsufficientpam_krb5.so use_first_pass authrequired pam_deny.so ... AD-Nutzer muß es mit gleichem Login-Namen auf Linux geben. Zu diesem Zweck kann selbstverständlich libnss-ldap und ein "eigener" LDAP-Server genutzt werden, der die UNIX-spezifischen Informationen vorhält, welche nicht ins AD-Schema passen. -- William Epler ___ Lug-dd maillist - Lug-dd@mailman.schlittermann.de https://ssl.schlittermann.de/mailman/listinfo/lug-dd
Re: [Solved] Dovecot als TLS-Client mit X.509 gegen LDAP
2015-10-08 21:33 GMT+02:00 Heiko Schlittermann : > Hallo, > > wie versprochen die Auflösung: > Dann werden die tls_* settings auch bei einer ldaps:// URI aktiv. Danke für den Tip. Ich habe selbst zwei Dovecots laufen, bin aber (noch) nicht auf diesen Fehler gestoßen, da dort der LDAP-Verkehr unverschlüsselt über localhost läuft. > Gibt es eigentlich sowas wie eine Referenz-Dokumentation für Dovecot, > oder sind das Wiki und unvollständige Manpages wirklich alles? Die Dovecot-Anleitung stellt sich eigentlich selbst den Anspruch "Was da nicht geschrieben steht, gibt es auch nicht". Den geballten Erfahrungsschatz aus der Praxis gibt es in http://www.dovecot-buch.de/ - aus meiner Sicht sehr zu empfehlen. -- William Epler ___ Lug-dd maillist - Lug-dd@mailman.schlittermann.de https://ssl.schlittermann.de/mailman/listinfo/lug-dd
Re: Komisches Problem mit SVN
2015-09-08 9:47 GMT+02:00 Luca Bertoncello : > Hallo Leute! > > Ich kämpfe seit letzter Woche gegen eines komischen Problems mit SVN... > Im Büro haben wir ein riesiges Projekt (~6GB), das jetzt von einem > SVN-Server zu einen anderen (beim Kunden) kopiert werden soll. > OK, die Geschichte wird nicht kopiert, also svn co irgendwo, dann svn > import. > So habe ich auch gemacht, immer kam ein 500 Fehler, was ich weder in den > Logs von Apache noch von SCM-Manager finden konnte. Bei solch großen Sachen hat erfahrungsgemäß das Apache-Modul mod_svn ein Stabilitätsproblem. Desweiteren habe ich bei fsfs-Backend auch schon unbemerkte kaputte Check-Ins gesehen. Bei bdb-Backend bleiben kaputte Check-Ins nicht unbemerkt und lassen sich reparieren. Bei 6GB ist es auch gut möglich, daß der Apache das Ganze wegen Timeout-Überschreitung abbricht. Heißt also: Initiale Füllung des SVN-Repositorys per "file://" und nicht per "https://"; Im Büro: svnadmin create --fs-type bdb /pfad_zum_svn_repository svn mkdir "file:///pfad_zum_svn_repository/trunk" "file:///pfad_zum_svn_repository/branches" "file:///pfad_zum_svn_repository/tags" -m "initial repository layout" svn co file:///pfad_zum_svn_repository/trunk svn_arbeitskopie cd svn_arbeitskopie cp -R riesenprojekt . svn add riesenprojekt svn ci svnadmin dump /pfad_zum_svn_repository | gzip-c > /datentraeger/riesenprojekt.svndump.gz Beim Kunden: svnadmin create --fs-type bdb /pfad_zum_svn_repository cat /datentraeger/riesenprojekt.svndump.gz | gunzip -c | svnadmin load /pfad_zum_svn_repository # chown -R ${HTTPD_USER}.${HTTPD_GROUP} /pfad_zum_svn_repository # chmod 700 /pfad_zum_svn_repository -- William Epler ___ Lug-dd maillist - Lug-dd@mailman.schlittermann.de https://ssl.schlittermann.de/mailman/listinfo/lug-dd
Re: AW: Telekom und IPv6
Am Montag, 29. Juni 2015, 08:48:48 schrieb Luca Bertoncello: > Ansonsten, Plan B, muss ich sehen, dass ich die ausgehenden > Verbindungen von meinem Netz über das IPv6 der Telekom schicke und die > eingehenden Verbindungen von meinem Tunnel akzeptiere. Das ist aber > wirklich blöd... Im Gegenteil, das ist erst mit IPv6 ohne irgendwelche Krücken möglich: Mehrere IPv6-Adressen pro Netzwerkgerät sind Programm. Selten erwähnt ist, daß IPv4-Adressen dem Provider gehören (und der gut daran tut, diesen Schatz zu hüten), während IPv6-Subnetze z.B. von Mietservern auf den (End)Kunden registriert sind. Heißt $ whois [IPv6-Prefix-meines-Mietservers] gibt default/schlimmstenfalls die eigene Privatadresse heraus, während $ whois [IPv4-Adresse-meines-Mietservers] die Kontaktdaten des Hosters herausgibt. Schöne neue Welt... $ whois [IPv6-Prefix-am-Heimrouter] $ whois [IPv4-Adresse-am-Heimrouter] geben die Kontaktdaten der Telekom heraus. Und nein, ich will eben nicht mit vorgehaltenem Personalausweis im Internet surfen. Deshalb nutze ich die Telekom-Adressen für ausgehende Verbindungen. Wegens wechselnden Adressen und Präfixen: Man kann DynDNS auch IPv6-Adressen mitteilen. Die FritzBox tut das von sich aus. Auf den dahinterliegenden Gerätschaften kann das z.B. ein cron-Job machen, der noch nicht einmal root-Rechte benötigt. Damit sind, entsprechende Firewallregeln vorausgesetzt, sowohl die FritzBox als auch die dahinterliegenden Gerätschaften per IPv6 ohne NAT von außen unter ihren DynDNS-Namen erreichbar. Zusätzlich tunnele ich per OpenVPN noch feste IPv6-Adressen von meinem virtuellen Mietserver, der ein /64er Präfix hat und nur kleines Geld kostet, auf meine Gerätschaften - primär als IPv6 für unterwegs. OpenVPN hat kein Problem damit, wenn eine Endstelle die IP-Adresse wechselt - es gibt dann halt nur eine kurze Unterbrechung. Angedacht aber noch nicht realisiert habe ich die Delegation eines /62er Unter-Präfixes aus dem häuslichen /56er Telekom-Präfix in mein VPN, um aus o.g. Datenschutzgründen auch unterwegs Telekom-IPv6-Adressen nutzen zu können. -- William Epler ___ Lug-dd maillist - Lug-dd@mailman.schlittermann.de https://ssl.schlittermann.de/mailman/listinfo/lug-dd
Re: AW: Telekom und IPv6
Am Montag, 29. Juni 2015, 10:39:53 schrieb Ronny Seffner: > >Nun, vielleicht hat jemand von euch schon dieses Tarif und kann mir diese > >Information geben, und zwar: was bekommt man für ein IPv6-Netz? /64? > > /64 Nein, bei Telekom's VoIP-Neuanschlüssen bekommt man ein /56 IPv6-Netz und eine routbare IPv4-Adresse - habe ich selber. Zum Weiterlesen: http://ch.avm.de/nc/service/fritzbox/fritzbox-7390/wissensdatenbank/publication/show/1239_IPv6-Subnetz-im-FRITZ-Box-Heimnetz-einrichten/ -- William Epler ___ Lug-dd maillist - Lug-dd@mailman.schlittermann.de https://ssl.schlittermann.de/mailman/listinfo/lug-dd
Re: Asterisk mit einem ISDN-Modem, wo schon HylaFAX läuft
Am Freitag, 20. Februar 2015, 08:23:56 schrieb Luca Bertoncello: > Kurze Frage: ist es möglich, dass ich Asterisk auf meinem PC installiere und > lasse die Anrufe über dem ISDN-Modem laufen, das schon bei HylaFAX benutzt > wird? Die wenigste Arbeit und den wenigsten Ärger macht s/ISDN-Modem/FritzBox 7490/g $ unset HylaFAX Spart auch den Strom, den der PC braucht, um auf Faxe zu warten. > Ich würde sagen: ja, denn ISDN hat zwei Kanäle, also ich konnte problemlos > ein Kanal für die Anrufe nutzen und ein für die Faxe (die sehr selten > kommen), habe aber noch gar keine Erfahrung damit... Die zwei Kanäle müssen nicht bestimmten Telefon/Faxnummern zugeordnet werden. Ob man gleichzeitig faxt und telefoniert oder zwei Telefongespräche auf der gleichen oder unterschiedlichen Telefonnummern gleichzeitig stattfinden ist egal. Der Dritte bekommt dann eben besetzt. > Gibt es hier jemand, der fit im Bereich VoIP ist, und kann mir ein Tipp > geben? S.o.: Man kann der FritzBox bis zu zehn IP-Telefone bekanntmachen. Wenn die eingebaute VoIP-Funktionalität nicht reicht, kann man die FritzBox immer noch mit Asterisk reden lassen. -- William Epler ___ Lug-dd maillist - Lug-dd@mailman.schlittermann.de https://ssl.schlittermann.de/mailman/listinfo/lug-dd
Re: Opensuse 13.1 - fehlende Plugins
Am Dienstag, 14. Oktober 2014, 08:53:04 schrieb Christoph Walter: > Ich habe zusätzlich vlc, smplayer, smplayer 2 sowie die lang -Pakete > für beide installiert. Aus verklagungstechnischen Gründen (man will keine DVDs einstampfen müssen, weil irgendein Anwalt/Gericht das so will) sind die voll funktionstüchtige Multimedia-Bibliotheken (mp3 & Co.) nicht auf openSuse-Datenträgern oder - repositories. Diese findet man auf den Packman Repositories. Also - Packman-Installationsquelle http://ftp.gwdg.de/pub/linux/packman/suse/openSUSE_13.1/ mit Priorität < 99 ergänzen (im YaST oder "zypper addrepo") - # zypper ref - # zypper dup - nochmal probieren > Das selbe passiert auch wenn z.B. man auf der > Webbseite einer Zeitung Werbehinweise > aufmachen will. Du machst ja dolle Sachen... -- William Epler ___ Lug-dd maillist - Lug-dd@mailman.schlittermann.de https://ssl.schlittermann.de/mailman/listinfo/lug-dd
/etc/init.d/networking restart
(Bitte für ein neues Thema auch per neuer Email einen neuen Thread aufmachen und nicht einfach mit geänderten Betreff antworten - Danke) > Wenn ich meinen Rechner starte, kan sich meine Wlancard mit meinem Router > verbinden aber irgenwie findet mein Rewchner trotzdem keine Route ins > internet. > > die Karte bezieht eine DHCP IP-Adresse, in der /etc/resolf.conf steht auch > der richtige Nameserver. Steht dieser Nameserver tatsächlich in einer /etc/resolf.conf? Wenn ja: Fehler - Die richtige Datei dafür ist /etc/resolv.conf Läßt sich dieser Nameserver anpingen? Wenn nein: Lassen sich andere Adressen (z.B. 8.8.8.8) anpingen? Wenn nein: Ausgabe "/sbin/route -n" ? Läßt sich der WLAN Accesspoint anpingen? -- William Epler ___ Lug-dd maillist - Lug-dd@mailman.schlittermann.de https://ssl.schlittermann.de/mailman/listinfo/lug-dd
Email-Werbung@Android fest verdrahtet oder nicht?
Hallo, da gerade > Bye, > Jana > -- > Diese Nachricht wurde von meinem Android Mobiltelefon mit GMX Mail gesendet. hereinkam: Kann man mit Android auch werbefreie Elektronenpost versenden oder ist das so irgendwo fest eingestellt? (Würde meine eventuelle Kaufentscheidung beeinflussen...) Gruß William ___ Lug-dd maillist - Lug-dd@mailman.schlittermann.de https://ssl.schlittermann.de/mailman/listinfo/lug-dd
Re: Drucker der Fa. brother
Am Freitag 17 Februar 2012, 15:46:39 schrieb peter: > Aber trotzdem Qualität verlangen! Korrekt! Dazu gehört, daß, wenn man schon Geld ausgibt, der Drucker PostScript versteht - Herstellerfirma und verwendetes Betriebssystem sind dann (fast) zweitrangig. -- William Epler ___ Lug-dd maillist - Lug-dd@mailman.schlittermann.de https://ssl.schlittermann.de/mailman/listinfo/lug-dd
Re: tragbare Festplatte "TREKSTOR Xpress"
Am Dienstag 14 Februar 2012, 11:26:53 schrieb peter: > chown: Ändern des Eigentümers von "/media/Xpress": Das Datei- > system ist nur lesbar Frisch gekaufte USB-Festplatten sind meist mit NTFS oder FAT32 formatiert, was UNIX-Gruppenrechte nicht und bei NTFS Schreiboperationen nur auf eigene Gefahr unterstützt. > Wie muss ich es machen, um den gewünschten Effekt zu erhalten? - (Backup) - umount - Partitionstyp anpassen (83 - "Linux") - optional: Verschlüsselungsschicht (z.B. dmcrypt - macht USB-Platten aber sehr langsam) - Platte passend formatieren (Dateisystem mit Journal, z.B. ext3) -- William Epler ___ Lug-dd maillist - Lug-dd@mailman.schlittermann.de https://ssl.schlittermann.de/mailman/listinfo/lug-dd
Re: Nachtrag: LDAP Backup
Am Dienstag 17 Januar 2012, 11:54:27 schrieb Bernhard Schiffner: > 3.) Um die ganzen Accounts etc. wieder anzulegen kommt man um slapadd nicht > herum. Leider ist das sehr empfindlich für Anordnung, Schreibfehler und > bricht auch noch beim geringsten Fehler ab. 4.) Backup des LDAP-Inhaltes sollte regelmäßig (und vor slapd/db4-upgrade) per # (stop slapd) # slapcat > [wohinauchimmer.ldif] # (start slapd) erfolgen. Dann klappt es ohne Handarbeit, mit slapadd den so gesicherten LDAP-Inhalt 1:1 inkl. den mit "ldapsearch" nicht sichtbaren und für LDAP-interne Zwecke (Replikation!) vorgesehenen Attributen (entryUUID, creatorsName, createTimestamp, entryCSN, modifiersName, modifyTimestamp) wiederherzustellen - selbstverständlich auch nach Upgrades und auf anderen Betriebssystemen. -- William Epler ___ Lug-dd maillist - Lug-dd@mailman.schlittermann.de https://ssl.schlittermann.de/mailman/listinfo/lug-dd
Re: kleinste gemeinsame URI
Am Montag 20 Juni 2011, 14:51:38 schrieb Bernhard Schiffner: > Hallo, > > als Linuxer / KDE-ler schicke ich meinem Kollegen per E-Mail eine Link der > Form: > smb://server/path/file \\server\path\file wäre der Link, der sowohl in Konqueror als auch im Explodierer direkt gehen sollte. Allerdings schreibt Konqueror einen solchen Link dann doch nach smb://server/path/file um. -- William Epler ___ Lug-dd maillist - Lug-dd@mailman.schlittermann.de https://ssl.schlittermann.de/mailman/listinfo/lug-dd
Re: Verzeichnisbaum mit Hardlinks auf anderes Device übertragen
Am Dienstag 29 März 2011, 09:22:25 schrieb Ronny Seffner: > Wie nun aber bekomme ich die Sicherungen, bei Erhaltung der Zeitstempel und > hardlinks auf ein neues Device? rsync -rlptgoDH sollte es tun. -- William Epler ___ Lug-dd maillist - Lug-dd@mailman.schlittermann.de https://ssl.schlittermann.de/mailman/listinfo/lug-dd
Re: HTML+JavaScript nach HTML konvertieren
Am Montag 07 Februar 2011, 12:33:07 schrieben Sie: > Serverseitige Lösungen können > nicht ausreichend Effekte darstellen bzw. werden Animationen dann echt > kompliziert. Außerdem ist jQuery einfach schöne Sprache, um den > Entwicklern ein einfaches und trotzdem flexibles Framework zu geben. Wie sagte ein Altbundeskanzler so schön: Wichtig ist, was hinten rauskommt. Wenn ein Framework valides HTML auswirft: Warum nicht? Und wenn nicht, dann will der Seiteninhaber/Kunde wahrscheinlich nicht gefunden werden und vielleicht auch nichts verkaufen. > Die Räume enthalten durchaus relevante Informationen, die indiziert > werden sollen. Dann sollten sie auch über HTML-Links erreichbar sein, welche wiederum in der HTML-Ausgabe zu finden und nicht im JavaScript versteckt sein sollten. Und das Ganze ohne Cloaking. > Twitter und Facebook verwenden URLs mit Hash schon lange. Kann ich nicht kommentieren, da mir (ich habe keinen Facebook-Account und werde mir auch keinen zulegen) die meisten Facebook-Inhalte sowieso nicht zugänglich sind. Gleiches trifft wohl auch für $SUCHMASCHINE zu. > Was genau hat Suchmaschinenoptimierung mit Suchmaschinenignoranz zu tun? Man kann von Suchmaschinen nicht erwarten, daß sie jeden fremden Programmcode ausführen. Das hat hat nichts mit Ignoranz zu tun. Noch einmal: Wenn 1. Inhalte angeboten werden 2. es indizierbare Links zu den Inhalten gibt und diese nicht in JavaScript, Grafik, swf usw. versteckt werden 3. Punkte 1. und 2. in w3c-gerechtem HTML ausgeführt sind 4. nicht versucht wird, die Suchmaschinen zu besch^M^M^Mtrügen 5. man dafür sorgt, daß sich die Seiten auch schnell aufbauen dann klappt es auch mit der Suchmaschinenindizierung. Aber das sollte in einer Firma, welche mit "Webdevelopment" wirbt, eigentlich bekannt sein... Meine 2ct -- William Epler ___ Lug-dd maillist - Lug-dd@mailman.schlittermann.de https://ssl.schlittermann.de/mailman/listinfo/lug-dd
Re: HTML+JavaScript nach HTML konvertieren
Am Samstag 05 Februar 2011, 17:10:37 schrieb Thomas Schmidt: > Hallo! > > Meine Seiten werden mit AJAX und Co aufgebaut. Das ist eine sehr schlechte Idee, wenn man darauf Wert legt, daß die Seite von Suchmaschinen indiziert wird. Siehe http://www.google.com/support/webmasters/bin/answer.py?answer=35769&hl=de "Erstellen Sie Seiten in erster Linie für Nutzer, nicht für Suchmaschinen. Versuchen Sie nicht, Ihre Nutzer zu täuschen. Stellen Sie zudem keinen Content für Suchmaschinen bereit, den Sie nicht für Ihre Besucher verwenden. Dies wird als "Cloaking" bezeichnet." > Da Tante Google bis heute keine einzige Zeile JavaScript interpretiert, Das ist kein Mangel, im Gegenteil. http://www.woodshed.de/publikationen/dialog-robot.html -- William Epler ___ Lug-dd maillist - Lug-dd@mailman.schlittermann.de https://ssl.schlittermann.de/mailman/listinfo/lug-dd
Re: Steuersoftware unter Linux
Am Mittwoch 02 Februar 2011, 21:26:27 schrieb Stefan Schmitt: > Hat jemand von Euch Erfahrungen mit der Erstellung der privaten > Einkommensteuererklärung unter Linux? > > Irgendwelche Ideen/Vorschläge? - okular - OpenOffice Calc (zum Erstellen) - LaTeX (für die Einsprüche danach...) > > Dangää! > > > CU Stefan -- William Epler ___ Lug-dd maillist - Lug-dd@mailman.schlittermann.de https://ssl.schlittermann.de/mailman/listinfo/lug-dd
Re: Power-over-Ethernet
Am Sonntag 16 Januar 2011, 16:17:12 schrieb Konrad Rosenbaum: > Ansonsten ergab eine kurze Suche, dass es PoE-Splitter gibt, die Power von > Ethernet trennen. Für 100Mbit fangen die bei 20Euro an, Gbit kostet bei > Conrad 65Euronen. Das ist denke ich gerechtfertigt um das Gerät auch gegen > blöde Konfigurationen zu schützen, falls es das noch nicht selbst macht. Risiken und Nebenwirkungen: http://www.gebäude-vernetzen.de Und für richtige Ethernet-Potentialtrenner werden dreistellige Preise aufgerufen. Gruß William ___ Lug-dd maillist - Lug-dd@mailman.schlittermann.de https://ssl.schlittermann.de/mailman/listinfo/lug-dd
Re: LDAP HA usw.
Am Dienstag 21 September 2010, 22:56:11 schrieb Heiko Schlittermann: > > genutzt werden. Die Konfigurationsdateien (/etc/openldap/...) liegen ja > > sowieso in einem Versionskontrollsystem, oder? ;-) > > Oder im LDAP selbst. Die initiale /etc/ldap.conf, /etc/openldap/slapd.conf, /etc/samba/smb.conf usw. braucht es schon im Dateisystem. > Ob allerdings die Last verteilt wird, würde ich anzweifeln, oder bist Du > sicher, daß die Clients auf die konfigurierten LDAP-Server round-robin > zugreifen? Sauber implementierte LDAP Clients _sollten_ sich einen der konfigurierten LDAP-Server zufällig auswählen. Erfahrung aus der Produktivumgebung mit hunderten Maschinen zeigt aber, daß es nicht schaden kann, die Reihenfolge der LDAP-Server in den Client-Konfigurationen zu mischen. > Ich würde das eher verneinen, habe es aber zugegebnermaßen > auch nicht geprüft. Ich glaube, mich zu erinnern, daß in nss/pam-ldap z.B. > nach master- und slave-LDAP unterschieden wird. An den Slave gehen die > „read“-Queries, an den master die „write“-Queries. Das geht anders: - Den Clients sind mindestens zwei LDAP-Server per Konfiguration bekannt - Client hat einen LDAP-Consumer erwischt (oder hat nur LDAP-Consumers konfiguriert) und versucht, dort zu schreiben - Das klappt nicht - Dafür bekommt Client vom LDAP-Consumer gesagt, auf welchem LDAP-Provider statt dessen geschrieben werden darf. Dies steht in der "referral" Option der /etc/openldap/slapd.conf des LDAP-Consumer-Servers - Client schreibt auf auf den zugewiesenen LDAP-Provider - LDAP-Consumer übernehmen diese Änderung vom LDAP-Provider Praktisch passieren bei LDAP wesentlich weniger Schreib- als Lesezugriffe, da LDAP-Schreibzugriffe durch den "gemeinen Nutzer" üblicherweise auf Passwortwechsel beschränkt sind, während LDAP-Lesezugriffe bei jedem "ls" dabei sind. Deshalb sollte auf funktionierende nscd geachtet werden. Heißt umgekehrt, daß bei abgebrannten LDAP-Provider das Leben erstmal weitergeht und ein neuer LDAP-Provider mit den Daten eines Consumers aufgesetzt wird. Schöne Zusammenfassung: http://kris.koehntopp.de/artikel/dir-vs-rel/sld005.htm Gruß -- William Epler ___ Lug-dd maillist - Lug-dd@mailman.schlittermann.de https://ssl.schlittermann.de/mailman/listinfo/lug-dd
Re: LDAP HA usw.
Am Samstag 18 September 2010, 20:58:45 schrieb Heiko Schlittermann: > Das müsstes Du mal bitte besser erklären. Backup impliziert noch kein > HA. Das war auch nicht als HA gemeint. Vielmehr können die per ldapsearch oder slapcat entstehenden ASCII-Dateien sehr schön gesichert/versioniert/wasauchimmer und für LDAP-Migrationen oder im DisasterRecovery-Fall zum Neuaufsetzen des/der LDAP-Provider-Server genutzt werden. Die Konfigurationsdateien (/etc/openldap/...) liegen ja sowieso in einem Versionskontrollsystem, oder? ;-) > Und wo LDAP HA by Design ist, kann ich auch nicht erkennen. s.u. > Du brauchst Master und Slaves und eine gescheite Replikation - die > Openldap bietet. Aber das hat mit LDAP an sich nichts zu tun, denke ich. s/master/provider/g s/slave/consumer/g Das Ganze heißt bei OpenLDAP syncrepl, ist in rfc4533 spezifiziert und funktioniert hier(TM) in einer größeren, weltweiten Produktivumgebung ohne Probleme. slurpd (das wo der Master per push die Slaves zu aktualisieren versucht) ist abgekündigt und zumindestens im Debian 5 auch nicht mehr dabei. > Und Du must den Clients beibringen, daß es nicht nur einen LDAP-Server > gibt und daß sie im Notfall mehrere probieren sollen Genau das ist es: Die Clienten haben immer _mindestens_ zwei LDAP-Server konfiguriert, die abgefragt werden können. Ausfall von LDAP-Servern haben keinen Einfluß auf die ordnungsgemäße Funktion der Clients, solange davon mindestens ein LDAP-Server erreichbar ist und antwortet. Desweiteren wird so die Last (=LDAP-Abfragen) auf alle konfigurierte LDAP-Server verteilt, was in größeren Umgebungen von Vorteil ist. > , oder zu Krücken > wie DNS-Round-Robin greifen (was wieder mit HA nichts zu tun hat, außer Du > änderst die DNS-Einträge je nach Situation) … Das will man nicht wirklich und braucht es bei LDAP auch nicht. -- William Epler ___ Lug-dd maillist - Lug-dd@mailman.schlittermann.de https://ssl.schlittermann.de/mailman/listinfo/lug-dd
Re: Systempasswörter mit Samba nutzen
Am Donnerstag 16 September 2010, 10:05:36 schrieb Konrad Rosenbaum: > Bitte weiteres Blabla. Oder zumindest Links zu Howtos. Da werde ich doch mal Konfiguration+LDAP-Beispielnutzer aus einer Produktivumgebung herauskramen. Vielleicht wird da auch ein Stammtisch-Vortrag draus. -- William Epler ___ Lug-dd maillist - Lug-dd@mailman.schlittermann.de https://ssl.schlittermann.de/mailman/listinfo/lug-dd
Re: Systempasswörter mit Samba nutzen
Am Mittwoch 15 September 2010, 21:59:57 schrieb Gunter Miegel: > viel besser hätte ich das auch nicht darstellen können. ;-) Danke für die Blumen. > Ein wichtiges "buzzword" zu dem Thema ist unbedingt: "ldapsam:editposix"! Und noch eins: smbldap > Alles im allem keine Lösung die man sich gerade mal so schnell aus dem > Ärmel schüttelt - ;-) Schon richtig. Aber einmal aufgesetzt und man - hat Ruhe vor den Nutzern: Für die geht es so, wie sie es erwarten - kann sich darauf verlassen: LDAP ist hochverfügbar by Design, dort liegen die einzigen "beweglichen" Daten, die in diesem Zusammenhang recht einfach regelmäßig zu sichern und bei Bedarf genauso einfach wieder herstellbar sind -- William Epler ___ Lug-dd maillist - Lug-dd@mailman.schlittermann.de https://ssl.schlittermann.de/mailman/listinfo/lug-dd
Re: Systempasswörter mit Samba nutzen
Am Freitag 10 September 2010, 10:14:41 schrieb Heiko Schlittermann: > > Gibt es keine Möglichkeit, Samba zu überreden, die Systemnutzer zu > > nutzen, also kein extra DB? > > Nein. Meines Wissens geht das nicht. Geht doch. > Du könntest LDAP nehmen, aber auch > dort gibt es dann ein Passwort und ein SMB-Passwort-Hash. Soweit korrekt. LDAP sollte man spätestens in gemischten Umgebungen auf dem Samba-PDC immer als Backend haben. > unix password sync Diese Option in smb.conf sorgt dafür, daß, wenn mit smbpasswd oder mit Windows-Bordmitteln das Samba-Passwort geändert wird, dieses auch gleich für PAM-Gebrauch mit gehasht wird (==> LDAP-Attribut "userPassword"). > SMB schickt die Passworte als Hash durch die Leitung, somit gehen die > gängigen Verfahren (z.B. Authentifizierung gegen einen LDAP) nicht. Bei Passwortänderungen wird das neue Passwort auf verschlüsseltem Weg dem Domaincontroller zum Hashen übergeben. Dort setzt dann "unix password sync" an. > Du wirst also immer zwei Passwort-DBs brauchen, Richtig, aber die halten sich von alleine in sync, s.u. > die Du bestenfalls syncron halten könntest („unix password sync“ im Samba, > und vielleicht gibt es ein pam-Modul, das auch das SMB-Passwort setzen > könnte, wenn jemand „passwd” aufruft). Genau das macht pam_smbpass. Es hasht das von "passwd" übergebene Klartextpasswort für den Samba-PDC (LDAP-Attribut "sambaNTPassword"). Selbstverständlich ist es nicht vorgesehen, die verschiedenartigen Hashes ineinander umzurechnen. Deshalb bedarf es einem initialen "passwd", "smbpasswd" oder "Alt-Strg-Entf" für jeden Nutzer, um beide Hashes gleichzuziehen. Also: - Linux/UNIX-Maschinen gegen LDAP authentifizieren - Samba-PDC mit LDAP-Backend - Windows-Rechner zu Domänenmitgliedern machen - LDAP-Inhalt regelmäßig sichern - zurücklehnen ;-) Wenn Konfigurationsbeispiel gewünscht ==> Elektronenpost an Liste. -- William Epler ___ Lug-dd maillist - Lug-dd@mailman.schlittermann.de https://ssl.schlittermann.de/mailman/listinfo/lug-dd
Re: [OT] Rechtsanwalt gesucht wegen Spamming
Am Freitag 02 April 2010 13:48:57 schrieb Robert Frießleben: > > Im ersten Schritt würde ich an Deiner Stelle erstmal Auskunft nach §34 > BDSG über die von Dir gespeicherten Daten verlangen. Dafür brauchst Du > keinen Anwalt. Suche nach "T5F" bzw "TF"... -- William Epler ___ Lug-dd maillist - Lug-dd@mailman.schlittermann.de https://ssl.schlittermann.de/mailman/listinfo/lug-dd
Re: Deliver Retries mit postfix?
Am Samstag 13 März 2010 16:11:22 schrieb Hilmar Preusse: > Moin, > > kurze Frage in der Hoffnung auf schnelle Hilfe. Auf meinem Heim-PC > werkelt ein postfix 2.5.5. Da der Rechner permanent mit dem Internet > verbunden ist, liefert der Mails sofort via Relay aus. Dummerweise > meldet das Relay von web.de ab und zu es wäre überlastet und man > solle es später nochmal probieren. Wenn das Zustellen der Mail vom Zielserver _temporär_ abgelehnt wird (SMTP Fehlercode 4XX), versucht der einliefernde MTA, diese später immer wieder zuzustellen, bis die Mail entweder zugestellt ist oder eine eine konfigurierbaren Zeit (üblicherweise ~4Tage, Postfix: maximal_queue_lifetime) abgelaufen ist. Damit führen kurzzeitige MTA-Ausfälle in der Kette nicht zu Mailverlust. > Deswegen habe ich einen Cron-Job > aufgesetzt, der alle 10 Minuten testet ob noch was in der Queue ist > und ggf. einen neuen Versuch macht. Das, was Du mit solch einem cron job machen willst, ist genau die Aufgabe eines Mail Transfer Agents wie Postfix, s.o. Also: Postfix richtig konfigurieren und diesen Cron-Job weglassen. > Frage: geht das auch mit Postfix Bordmitteln? transport_retry_time > scheint mir nicht der richtige Parameter zu sein. http://www.postfix.org/rate.html#backoff Gruß -- William Epler ___ Lug-dd maillist - Lug-dd@mailman.schlittermann.de https://ssl.schlittermann.de/mailman/listinfo/lug-dd
Re: Passwort fuer das BIOS
Am Freitag 12 Februar 2010 11:15:20 schrieb Jan Dittberner: > Bei den meisten Mainboards gibt es einen Clear-CMOS Jumper. Bei manchen > Rechnern muss man auch ein paar Sekunden die dafür vorgesehene > Pufferbatterie entfernen. Ich hatte da mal einen Laptop, da hat auch das nicht geholfen. Laut Auskunft der Gebrauchsanweisung ist das so Absicht, damit ein Laptop für den "Finder" wertlos ist... -- William Epler ___ Lug-dd maillist - Lug-dd@mailman.schlittermann.de https://ssl.schlittermann.de/mailman/listinfo/lug-dd
Re: OT: Telemediengesetz
Am Sunday 28 June 2009 15:52:32 schrieb Jana Hartwig: > Hallo, > Obwohl ich von der Telekom selber mal etwas > von vor 2 Jahren zurück geholt bekommen habe. Ich verstehe die Welt nicht > mehr... Ich verstehe auch nicht, daß solche Daten nach 2 Jahren überhaupt noch da sind. > Die Ursache war, dass ich mich nicht genügend meinem damals ausländischen > Freund durchgesetzt habe, dass ich über alle Maßen einen > Einzelverbindungsnachweis brauche, dd if=/dev/lehrgeld of=/dev/null > nach einem halben Jahr Vor Inkrafttreten der so genannten Vorratsdatenspeicherung war es ein üblicher AGB-Passus, daß Verbindungsdaten nach 80 Tagen gelöscht werden, wenn ein (kostenlos zu sein habender) Einzelverbindungsnachweis erstellt wurde. Ohne Einzelverbindungsnachweis > /dev/null nach Rechnungslegung Lt. http://de.wikipedia.org/wiki/Vorratsdatenspeicherung müssen Verkehrsdaten sechs und dürfen maximal sieben Monate lang auf Vorrat gespeichert werden. > Die Frau an der Hotline hat gemeint, dass ich mich an den > Datenschutzbeauftragten wenden soll, hä?! Als Datenschutzbeauftragter wäre ich froh, wenn Datenschutz/Datenvermeidung überall so ernst genommen werden würde. > Telefonnummer? EMAIL??? ... kein Service scheinbar Wer billig kauft, kauft zweimal... Gruß -- William Epler ___ Lug-dd maillist - Lug-dd@mailman.schlittermann.de https://ssl.schlittermann.de/mailman/listinfo/lug-dd
Re: OT: Entschuldigt bitte!
Am Wednesday 01 April 2009 20:41:29 schrieb Konrad Rosenbaum: > Hi, > > sorry, im Stress dieses Jahr habe ich es leider nicht geschafft einen guten > Aprilscherz zu schreiben. Zum Trost ein paar von denen, die mir heute über > den Weg gelaufen sind: Einen habe ich noch: Mehdorn wird neuer BVG-Chef http://www.tagesspiegel.de/berlin/Verkehr-Hartmut-Mehdorn-Deutsche-Bahn-BVG;art18614,2764046 -- William Epler ___ Lug-dd maillist - Lug-dd@mailman.schlittermann.de https://ssl.schlittermann.de/mailman/listinfo/lug-dd
Re: Bitte um eure Meinung: Linux-"Missionierung" und die Grenzen dergleichen
Am Thursday 05 February 2009 15:59:43 schrieb Jean-Philippe Prézeau: > Hallo wieder, > > im Wesentlichen bestätigt ihr mir, das was ich schon angenommen habe. > Es ist schmerzhaft... Kleine Begebenheit aus dem Leben: Vor einiger Zeit habe ich einem Bekannten eine Knoppix-CD geschenkt. Ein paar Tage, er kam von Arbeit: "Papa, wir sind mit den Hausaufgeben fertig. Dürfen wir die CD zum Spielen haben?" -- William Epler ___ Lug-dd maillist - Lug-dd@mailman.schlittermann.de https://ssl.schlittermann.de/mailman/listinfo/lug-dd
Re: Bitte um eure Meinung: Linux-"Missionierung" und die Grenzen dergleichen
Am Thursday 05 February 2009 13:24:27 schrieb Jean-Philippe Prézeau: > Hallo Linuxianer! Ich hätte gerne eure Meinung zu folgendem Problem: Ich halte es grundsätzlich so, daß ich die Finger von Windows-Rechnern lasse, auf denen irgendwelche "inoffizielle" Kopien laufen. Wenn man auf irgendwelche kostenpflichtigen Güter/Dienstleistungen/Software Wert legt, sollte man auch bereit und in der Lage sein, diese zu bezahlen. Gerade im Bereich der freien Software hat sich in den letzten Jahren so viel getan, daß das Beharren auf MS nur noch selten nötig ist. Und ich finde es auch gut, daß MS auf die Bezahlung seiner Produkte immer mehr beharrt - da wird schon eher mal über Plan B wenigstens nachgedacht. Ansonsten mache ich auch "nur" Windows-Rechner mit bezahltem Betriebssystem zu Mitgliedern von Samba-Domänen mit damit einhergehenden Entzug von Andministratorrechten für "normale" Nutzer, so daß der gröbste Unfug unterbunden wird. Außerdem ist es in vielen Fällen ausrechend, Windows im VMWare-Käfig laufen zu lassen - macht die Betriebssystemwiederherstellung bei vorhandenem Backup im Falle eines Falles unnötig. Und DSL/Kabelmodems an Windowsrechnern gibt es mit mir auch nicht - ein entsprechend zugenagelter Router zwischen Windows und Internet muß es schon sein. Und betreffs Virenscannergedöns kann ich wirklich nicht helfen - schließlich bin ich Systemingenieur und nicht Kammerjäger. Mein Tip: - Der Versuch war es wert. - alte Festplatte wieder einbauen - schön zusammen essen gehen - nie wieder selber auf das Thema zurückkommen - schließlich ist das nicht Dein Rechner und auch nicht Deine Daten, die im Zweifelsfall verlorengehen -- William Epler ___ Lug-dd maillist - Lug-dd@mailman.schlittermann.de https://ssl.schlittermann.de/mailman/listinfo/lug-dd
Re: Editor unter Windows
Am Tuesday 20 January 2009 22:36:29 schrieb dejane: > Hallo Liste, > > > ich suche einen ordentlichen Editor. http://www.vim.org/download.php#pc Gruß -- William Epler ___ Lug-dd maillist - Lug-dd@mailman.schlittermann.de https://ssl.schlittermann.de/mailman/listinfo/lug-dd