Re: [lmn] Webinterface von Switches nicht mehr erreichbar
Hallo Steffen, danke für die Nachricht vom 13.07.2016, 13:45: > Es sieht fast so aus, als ob der weder die Standard-IP 10.90.90.90 > noch die seinerzeit zugewiesene hat... Verbinde Deinen Rechner nur mit dem Switch und schau mal nach ca. 1 Minute mit arp -a nach welche IP-Adressen der Rechner kennengelernt (Das Address Resolution Protocol ist sehr geschwätzig). Achte geg. auf VLAN-Konfigurationen der Ports. -- Mit freundlichen Grüßen Willi Platzer (Fachleiter für die Arbeitsschwerpunkte Informatik, ev. Religion und Mediendidaktik ) Ich bin. Aber ich habe mich nicht. Darum werden wir erst. E. Bloch ~~ .lehrerbüro. . mailto:leh...@platzer-net.de . telefon:.(+49)6151/136283 . mobile:.(+49)16097528937 . skype:platzer.willi?call .studienseminar.für.berufliche.schulen.in.darmstadt . http://sts-bs-darmstadt.bildung.hessen.de/ . telefon:.(+49)6151/3682510 . fax:.(+49)6151/3682519 .heinrich-emanuel-merck-schule . http://www.hems.de ~~ .Diese E-Mail wurde digital signiert. .Falls Ihr E-Mail-Programm nicht ueber die notwendigen Prueffunktionen verfuegt, .ignorieren Sie bitte die angehaengte Signatur-Datei. signature.asc Description: OpenPGP digital signature ___ linuxmuster-user mailing list linuxmuster-user@lists.linuxmuster.net https://mail.lehrerpost.de/mailman/listinfo/linuxmuster-user
Re: [lmn] Webinterface von Switches nicht mehr erreichbar
Hallo Steffen, danke für die Nachricht vom 12.07.2016, 21:19: > Aus grün erreiche ich bis auf 2 alle. > Einer der beiden ist vermutlich einfach noch unkonfiguriert und hat > damit 10.90.90.90/255.0.0.0, was imho aus dem 10.16.x.y/12 er Netz > nicht erreichbar ist. > > Der andere hatte eigentlich eine feste IP/Netzmaske, aber vielleicht > hat er die vergessen und jetzt auch wieder 10.90.90.90/255.0.0.0 Es ist hilfreich dafür im Admin-Laptop einige Scripte zu haben in etwas so: set-d-link-fix-ip.cmd netsh interface ip set address "Schnittstellenname" static 10.90.90.10 255.0.0.0 ipconfig /a setdhcp-ip.cmd netsh interface ip set address "Schnittstellenname" dhcp netsh interface ip set dns "Schnittstellenname" dhcp ipconfig /renew ipconfig /a -- Mit freundlichen Grüßen Willi Platzer (Fachleiter für die Arbeitsschwerpunkte Informatik, ev. Religion und Mediendidaktik ) Ich bin. Aber ich habe mich nicht. Darum werden wir erst. E. Bloch ~~ .lehrerbüro. . mailto:leh...@platzer-net.de . telefon:.(+49)6151/136283 . mobile:.(+49)16097528937 . skype:platzer.willi?call .studienseminar.für.berufliche.schulen.in.darmstadt . http://sts-bs-darmstadt.bildung.hessen.de/ . telefon:.(+49)6151/3682510 . fax:.(+49)6151/3682519 .heinrich-emanuel-merck-schule . http://www.hems.de ~~ .Diese E-Mail wurde digital signiert. .Falls Ihr E-Mail-Programm nicht ueber die notwendigen Prueffunktionen verfuegt, .ignorieren Sie bitte die angehaengte Signatur-Datei. signature.asc Description: OpenPGP digital signature ___ linuxmuster-user mailing list linuxmuster-user@lists.linuxmuster.net https://mail.lehrerpost.de/mailman/listinfo/linuxmuster-user
Re: [lmn] Webinterface von Switches nicht mehr erreichbar
Hallo Steffen, danke für die Nachricht vom 11.07.2016, 20:52: > ich habe all meinen Switches feste IPs gegeben und konnte so deren > Webinterface problemlos erreichen. > Jetzt musste ich feststellen, dass nur von 1 Switch das Webinterface > erreichbar ist. > Anpingen kann ich bis auf einen Switch alle. Die IP stimmt bei denen > also noch. > Auch per telnet komme ich drauf. > Was kann ich denn noch versuchen, um wieder auf die Webinterfaces zu > kommen? Wenn der Zugang über telnet und andere Protokolle möglich ist, jedoch nicht mit http oder https, so spricht das für eine nicht richtigen Zugangs-Konfiguration des Browsers (Proxy). Ich habe bei meinen Admin-Laptops immer mehrere Browser für die jeweilige Funktion (Internet oder LAN Zugang) in Betrieb. z.B. Firefox mit Internet - Proxy Konfiguration IE mit einer LAN Konfiguration (d.h kein Proxy, direkter Zugang zum LAN). Man kann auch Chrome nehmen. Wichtig ist in einem Browser den Proxy ausschalten. PS: Schau mal in deinem Laptop in der Kommandozeile mit "arp -a" welche IP der Rechner kennt. -- Mit freundlichen Grüßen Willi Platzer (Fachleiter für die Arbeitsschwerpunkte Informatik, ev. Religion und Mediendidaktik ) Ich bin. Aber ich habe mich nicht. Darum werden wir erst. E. Bloch ~~ .lehrerbüro. . mailto:leh...@platzer-net.de . telefon:.(+49)6151/136283 . mobile:.(+49)16097528937 . skype:platzer.willi?call .studienseminar.für.berufliche.schulen.in.darmstadt . http://sts-bs-darmstadt.bildung.hessen.de/ . telefon:.(+49)6151/3682510 . fax:.(+49)6151/3682519 .heinrich-emanuel-merck-schule . http://www.hems.de ~~ .Diese E-Mail wurde digital signiert. .Falls Ihr E-Mail-Programm nicht ueber die notwendigen Prueffunktionen verfuegt, .ignorieren Sie bitte die angehaengte Signatur-Datei. signature.asc Description: OpenPGP digital signature ___ linuxmuster-user mailing list linuxmuster-user@lists.linuxmuster.net https://mail.lehrerpost.de/mailman/listinfo/linuxmuster-user
Re: [lmn] WLAN-Router
Hallo Holger, danke für die Nachricht vom 03.07.2016, 23:22: >> Client-Isolation(CI) möchte ich unbedingt haben. >> Momentan ist zwar erst einmal nur Internet für die Lehrer-BYOD wichtig, >> aber mit der Zeit könnte z.B. auch Drucken interessant sein. >> Wenn es bei den Unifi-AP Probleme gibt mit CI ins grüne Netz zu kommen, >> dann würde das Drucken auf päd. Drucker wohl nicht funktionieren. >> Hat jemand noch einen anderen Tipp für einen mit der LMN gut >> funktionierenden WLAN-Router (in Blau, Coovachlli)? > an dieser Stelle möchte ich darauf hinweisen, dass ich denke, dass hier > zwei Dinge durcheinander geworfen werden. > > Und damit es nicht langweilig wird, auch noch mein Ansatz: ich verwende > den "normalen" Coova mit 15 APs bei mir in der Schule. > ... kaufe ich derzeit TP-Link > Archer 2 (750). Das sind die günstigsten TP-Link mit dual Band (2,4 und > 5 GHz gleichzeitig: ein Feature, auf das ich seit Jahren achte). > Mit den TP Link bin ich äußerst zufrieden: günstig, robust und mit sehr > vielen Einstellmöglichkeiten. Gilt die "Client Isolation" bei den Archer 2 nur für die Clients am jeweiligen Accespoint (Client--AP--Client) oder auch für Clients über zwei Accesspoints (Client--AP-AP--Client)? -- Mit freundlichen Grüßen Willi Platzer (Fachleiter für die Arbeitsschwerpunkte Informatik, ev. Religion und Mediendidaktik ) Ich bin. Aber ich habe mich nicht. Darum werden wir erst. E. Bloch ~~ .lehrerbüro. . mailto:leh...@platzer-net.de . telefon:.(+49)6151/136283 . mobile:.(+49)16097528937 . skype:platzer.willi?call .studienseminar.für.berufliche.schulen.in.darmstadt . http://sts-bs-darmstadt.bildung.hessen.de/ . telefon:.(+49)6151/3682510 . fax:.(+49)6151/3682519 .heinrich-emanuel-merck-schule . http://www.hems.de ~~ .Diese E-Mail wurde digital signiert. .Falls Ihr E-Mail-Programm nicht ueber die notwendigen Prueffunktionen verfuegt, .ignorieren Sie bitte die angehaengte Signatur-Datei. signature.asc Description: OpenPGP digital signature ___ linuxmuster-user mailing list linuxmuster-user@lists.linuxmuster.net https://mail.lehrerpost.de/mailman/listinfo/linuxmuster-user
Re: [lmn] Coova-Chilli Anmeldung unverschlüsselt? Gefahr-Aufwand-Sicherheit
Hallo Jürgen, danke für die Nachricht vom 02.07.2016, 17:32: >> Am 02.07.2016 um 16:21 schrieb Platzer, Willi [Lehrer]: >> Hallo Juergen, >> danke für die Nachricht vom 01.07.2016, 22:39: >>> danke für die beruhigende Rückmeldung. >> Das wollte ich nicht .-) > heißt das, Du siehst dies hier > http://www.linuxmuster.net/wiki/anwenderwiki:benutzerrechner:wlan:radius-accesspoint-blau > als unzureichend abgesichert an? Nein, meine Bemerkung war etwas überspitzt und mit einem Augenzwinkern formuliert (darum ein .-) ) IMHO ist das mit der RADIUS-Authentication ist schon eine sichere und runde Sache. IT-Sicherheit ist jedoch immer eine Illusion der man nachjagt. Wichtig bei der ganzen Sache ist: 1) sich Gedanken über notwendige Sicherheit (Nutzer/in, Verantwortliche/r, Daten, rechtliche Lage usw.) und die möglichen Gefahrenpotentiale im Umfeld des Systems (Standort, mögliche Angreifer/innen, Öffentlichkeit des Systems usw.) zu machen. 2) mögliche Sicherheitsmaßnahmen zu planen 3) Kosten (Geld, Zeit, Aufwand für Installation, Nutzer/innen-Schulungen, Wartung im Client u. Server usw.) und Nutzen (Sicherheit) abzuwägen. 4) Die sinnvollen/relevanten Sicherheitsmaßnamen implementieren 5) Das Ganze auch dokumentieren :-) > Sollte die Einbindung des Serverzertifikats erzwungen werden? Ja, wenn das Gefahrenpotential hoch ist und die Nutzer/innen mit den notwendigen Arbeiten am Client nicht überfordert sind und wenn der/die Admin es für relevant hält. Ein Zertifikat dient der gegenseitigen Sicherstellung der Vertrauenswürdigkeit, das ist mehr als die Überprüfung von Name/Passwort-Kombinationen. Damit kann der Client, in der Regel, sicher sein mit dem echten Server zu kommunizieren. > Oder führt Deiner Meinung nach kein Weg an CoovaChilli mit https vorbei? CoovaChilli ist Sicherheitstechnisch ein "Man-in-the-Middle" und damit etwas, was sich mit https nur schlecht verträgt. IMHO CoovaChilli eine etwas andere Aufgabe im Bereich der Sicherheit. 1) Authentication des Nutzers, der Nutzerin 2) Speicherung des Nutzerverhaltens beim Zugriff auf das WAN. Damit kann ich im Schadensfall (Störerhaftung) den jeweiligen Störer identifizieren. Das ist mit RADIUS-Authentication und IP-Cop etwas schwieriger, sollte aber auch möglich sein. PS. Ich lass die Log-Dateien beim CoovaChilli nach 3 Monaten automatisch löschen und sehe sie mir nicht an. Das ist wiederum Datenschutz. Ich habe mich Aufgrund der notwendige Sicherheit, der möglichen Gefahrenpotentiale und der Kosten für den CoovaChilli entschieden. > Am Rande: IServ bietet WLAN wie oben beschrieben an. Ohne Zertifikat. dto. >> >>> Probleme mit dem Roaming haben wir mit 18 APs auf dem Gelände nicht mehr, >>> seit ich die Bandbreite des Wireless-N auf 20 MHz beschränkt habe und die >>> Kanäle 1, 5, 9 und 13 so verteilt habe, dass ein Client stets nur APs mit >>> verschiedenen Kanälen "sieht". >> Ja, das mit der Verteilung der Accesspoints über die jeweiligen Kanäle ist >> wie mit der Landkarte und den verschiedenen Farben (Vier-Farben-Problem >> Nachbarn dürfen nicht die gleichen Farben auf den Landkarten haben). >> Wenn man die Kanäle der APs auf 4 nicht überlappte Bereiche verteilen kann, >> dann funktioniert es am besten. >> d.h. die Nachbarkanäle (Farbe der Nachbarländer) dürfen nicht den gleichen >> Kanal (Farbe) des betrachteten APs haben. >> Mit dem Testen der tatsächlichen Ausleuchtung und etwas experimentieren auf >> einen Zeichenblatt geht das auf, oder man überlässt es der Elektronik bei >> zentralverwalteten APs). >> >> viel Spass mit dem Netz. >> >> >> >> ___ >> linuxmuster-user mailing list >> linuxmuster-user@lists.linuxmuster.net >> https://mail.lehrerpost.de/mailman/listinfo/linuxmuster-user > > > > ___ > linuxmuster-user mailing list > linuxmuster-user@lists.linuxmuster.net > https://mail.lehrerpost.de/mailman/listinfo/linuxmuster-user > -- Mit freundlichen Grüßen Willi Platzer (Fachleiter für die Arbeitsschwerpunkte Informatik, ev. Religion und Mediendidaktik ) Ich bin. Aber ich habe mich nicht. Darum werden wir erst. E. Bloch ~~ .lehrerbüro. . mailto:leh...@platzer-net.de . telefon:.(+49)6151/136283 . mobile:.(+49)16097528937 . skype:platzer.willi?call .studienseminar.für.berufliche.schulen.in.darmstadt . http://sts-bs-darmstadt.bildung.hessen.de/ . telefon:.(+49)6151/3682510 . fax:.(+49)6151/3682519 .heinrich-emanuel-merck-schule . http://www.hems.de ~~ .Diese E-Mail wurde digital signiert. .Falls Ihr E-Mail-Programm nicht ueber die notwendigen Prueffunktionen verfuegt, .ignoriere
Re: [lmn] Coova-Chilli Anmeldung unverschlüsselt?
Hallo ..., mit Bezug auf meine Mail vom 01.07.2016, 10:41: Ich habe da einen fachlichen Fehler eingebaut: Berichtigung: Die WLAN-Anmeldung ist eine Funktion des Level 1 und nicht Level 2 im ISO/OSI-Schichtenmodell > ... > 1) Anmeldung am LAN auf Level 2 (Im verdrahteten Netz ist das so etwas wie > das Einstecken des Patchkabels in die RJ45 Dose) > ... -- Mit freundlichen Grüßen Willi Platzer (Fachleiter für die Arbeitsschwerpunkte Informatik, ev. Religion und Mediendidaktik ) Ich bin. Aber ich habe mich nicht. Darum werden wir erst. E. Bloch ~~ .lehrerbüro. . mailto:leh...@platzer-net.de . telefon:.(+49)6151/136283 . mobile:.(+49)16097528937 . skype:platzer.willi?call .studienseminar.für.berufliche.schulen.in.darmstadt . http://sts-bs-darmstadt.bildung.hessen.de/ . telefon:.(+49)6151/3682510 . fax:.(+49)6151/3682519 .heinrich-emanuel-merck-schule . http://www.hems.de ~~ .Diese E-Mail wurde digital signiert. .Falls Ihr E-Mail-Programm nicht ueber die notwendigen Prueffunktionen verfuegt, .ignorieren Sie bitte die angehaengte Signatur-Datei. signature.asc Description: OpenPGP digital signature ___ linuxmuster-user mailing list linuxmuster-user@lists.linuxmuster.net https://mail.lehrerpost.de/mailman/listinfo/linuxmuster-user
Re: [lmn] Coova-Chilli Anmeldung unverschlüsselt? hier Kanalverteilung der APs
Hallo Juergen, danke für die Nachricht vom 01.07.2016, 22:39: > danke für die beruhigende Rückmeldung. Das wollte ich nicht .-) > Probleme mit dem Roaming haben wir mit 18 APs auf dem Gelände nicht mehr, > seit ich die Bandbreite des Wireless-N auf 20 MHz beschränkt habe und die > Kanäle 1, 5, 9 und 13 so verteilt habe, dass ein Client stets nur APs mit > verschiedenen Kanälen "sieht". Ja, das mit der Verteilung der Accesspoints über die jeweiligen Kanäle ist wie mit der Landkarte und den verschiedenen Farben (Vier-Farben-Problem Nachbarn dürfen nicht die gleichen Farben auf den Landkarten haben). Wenn man die Kanäle der APs auf 4 nicht überlappte Bereiche verteilen kann, dann funktioniert es am besten. d.h. die Nachbarkanäle (Farbe der Nachbarländer) dürfen nicht den gleichen Kanal (Farbe) des betrachteten APs haben. Mit dem Testen der tatsächlichen Ausleuchtung und etwas experimentieren auf einen Zeichenblatt geht das auf, oder man überlässt es der Elektronik bei zentralverwalteten APs). viel Spass mit dem Netz. -- Mit freundlichen Grüßen Willi Platzer (Fachleiter für die Arbeitsschwerpunkte Informatik, ev. Religion und Mediendidaktik ) Ich bin. Aber ich habe mich nicht. Darum werden wir erst. E. Bloch ~~ .lehrerbüro. . mailto:leh...@platzer-net.de . telefon:.(+49)6151/136283 . mobile:.(+49)16097528937 . skype:platzer.willi?call .studienseminar.für.berufliche.schulen.in.darmstadt . http://sts-bs-darmstadt.bildung.hessen.de/ . telefon:.(+49)6151/3682510 . fax:.(+49)6151/3682519 .heinrich-emanuel-merck-schule . http://www.hems.de ~~ .Diese E-Mail wurde digital signiert. .Falls Ihr E-Mail-Programm nicht ueber die notwendigen Prueffunktionen verfuegt, .ignorieren Sie bitte die angehaengte Signatur-Datei. signature.asc Description: OpenPGP digital signature ___ linuxmuster-user mailing list linuxmuster-user@lists.linuxmuster.net https://mail.lehrerpost.de/mailman/listinfo/linuxmuster-user
Re: [lmn] Coova-Chilli Anmeldung unverschlüsselt?
Hallo Juergen, danke für die Nachricht vom 30.06.2016, 18:37: > habe ich es demnach richtig verstanden, dass das Serverzertifikat in > dem von mir benutzten Szenario > http://www.linuxmuster.net/wiki/anwenderwiki:benutzerrechner:wlan:radius-accesspoint-blau > nicht Verschlüsseln der Anmeldedaten sondern zum Authentifizieren des > AccessPoint dient? Erst mal ja. Generell hat die WLAN-Anmeldung immer 2 Funktionen 1) Anmeldung am LAN auf Level 2 (Im verdrahteten Netz ist das so etwas wie das Einstecken des Patchkabels in die RJ45 Dose) 2) die Verschlüsselung des Datenverkehrs damit niemand mitlesen kann (Im verdrahteten Netz erledigt dies das abgeschirmte Twisted-Pair-Kabel) Bei WPA2 PSK authentifizieren Netz und Client sich über den Vergleich von SSID und Key Bei WPA2 Enterprise mit Radius wird u.a. über Zertifikate sichergestellt, dass sich der richtige WLAN-Client am richtigen Netz anmeldet (Client und Netz authentifizieren sich.) Das hat jedoch auch einige Nachteile beim Wechseln der Accespoints, wenn der Client portable ist http://www.heise.de/netze/artikel/WLAN-sichern-mit-Radius-1075339.html Das mit dem Drahtäquivalent (Verschlüsselung des Datenverkehrs) ist dann wieder eine andere Sache. -- Mit freundlichen Grüßen Willi Platzer (Fachleiter für die Arbeitsschwerpunkte Informatik, ev. Religion und Mediendidaktik ) Ich bin. Aber ich habe mich nicht. Darum werden wir erst. E. Bloch ~~ .lehrerbüro. . mailto:leh...@platzer-net.de . telefon:.(+49)6151/136283 . mobile:.(+49)16097528937 . skype:platzer.willi?call .studienseminar.für.berufliche.schulen.in.darmstadt . http://sts-bs-darmstadt.bildung.hessen.de/ . telefon:.(+49)6151/3682510 . fax:.(+49)6151/3682519 .heinrich-emanuel-merck-schule . http://www.hems.de ~~ .Diese E-Mail wurde digital signiert. .Falls Ihr E-Mail-Programm nicht ueber die notwendigen Prueffunktionen verfuegt, .ignorieren Sie bitte die angehaengte Signatur-Datei. signature.asc Description: OpenPGP digital signature ___ linuxmuster-user mailing list linuxmuster-user@lists.linuxmuster.net https://mail.lehrerpost.de/mailman/listinfo/linuxmuster-user
Re: [lmn] Coova-Chilli Anmeldung unverschlüsselt? Sicherheitsprobleme
Hallo Stefan, danke für die Nachricht vom 30.06.2016, 14:43: > neben allen anderen Aspekten, die hier schon angesprochen wurden, fällt mir > noch ein möglicher "Angriff" ein. Das habe ich vor ein paar Jahren mal mit > meiner PC-AG umgesetzt: > Ein Nutzer kann sich mit seinem Laptop recht einfach selbst als AP ausgeben. > (AP Spoofing) Wenn er z.B. mittels 'iwconfig wlan0 txpower 27' die > Sendeleistung seines WLAN - Adapters auf Maximum setzt, ist die Chance recht > hoch, dass er von den Clients als > AP ausgewählt wird. > Wenn er gleichzeitig eine eigene Verbindung zum echten AP offen hält, ist das > eine für den Nutzer kaum zu bemerkende mitm . Attacke. > Werden jetzt Eingaben im Klartext übertragen (Logininformationen zum Coova) > bekommt man die auf dem "fake AP" frei Haus. Ich kann mir noch was "Einfacheres" vorstellen um die Zugangsdaten zu erhalten. a) Einfach eine/n Lehrer/in fragen, die/der im Moment nicht mit der Technik zurande kommt. b) Einfach die/den Lehrer an den eigenen Rechner lassen an dem der Browser sich die Passwörter merkt. c) ... z) Etwas technisches müsste auch so gehen. 1) Arduino WLAN fähig und mit einer Batterie portabel machen. 2) Linux und chillispot o.ä. drauf und mit einem internen Radius (er brauch keine funktionierenden Accounts) verbinden. 3) SSID und Key dem WLAN der Schule anpassen. 3) Die Oberfläche vom chillispot des Arduino an die Oberfläche der Schule anpassen. 4) Den WLAN-verkehr mit schneiden lassen. Mit dem Gerät in der Schule herum gehen und zu Menschen gehen die im WLAN arbeiten. Die Lehrer/innen und Schüler/innen werden denken, dass das Netz mal wieder nicht richtig funktioniert und sich fleißig wieder-anmelden, um dann festzustellen, dass es immer noch nicht funktioniert. 5) Dateien mit dem WLAN-Verkehr auswerten. Da die Nutzer in der Regel der Funktionsfähigkeit der Schulnetze nicht vertrauen, brauch ich noch nicht mal "man in the middle" zu spielen :-). "Sicherheit ist eine Illusion!" -- Mit freundlichen Grüßen Willi Platzer (Fachleiter für die Arbeitsschwerpunkte Informatik, ev. Religion und Mediendidaktik ) Ich bin. Aber ich habe mich nicht. Darum werden wir erst. E. Bloch ~~ .lehrerbüro. . mailto:leh...@platzer-net.de . telefon:.(+49)6151/136283 . mobile:.(+49)16097528937 . skype:platzer.willi?call .studienseminar.für.berufliche.schulen.in.darmstadt . http://sts-bs-darmstadt.bildung.hessen.de/ . telefon:.(+49)6151/3682510 . fax:.(+49)6151/3682519 .heinrich-emanuel-merck-schule . http://www.hems.de ~~ .Diese E-Mail wurde digital signiert. .Falls Ihr E-Mail-Programm nicht ueber die notwendigen Prueffunktionen verfuegt, .ignorieren Sie bitte die angehaengte Signatur-Datei. signature.asc Description: OpenPGP digital signature ___ linuxmuster-user mailing list linuxmuster-user@lists.linuxmuster.net https://mail.lehrerpost.de/mailman/listinfo/linuxmuster-user
Re: [lmn] OT Coova-Chilli Anmeldung unverschlüsselt? wpa2, http und https
Hallo Holger, eine kleine (nicht ganz erst zunehmende) Nachfrage. >> PS >> Wer von euch benutzt zu Hause das eigene WLAN zur Übermittlung von >> Nutzernahmen und Passwörtern? :-) danke für die Nachricht vom 29.06.2016, 23:36: > ich, aber da ist es eben so, dass die "Passwortseite" zusätzlich https > hat .. Ist das auch beim Zugriff auf Deine LAN-Systeme (Router, Accesspoint, NAS, PC-Freigaben usw.) so? -- Mit freundlichen Grüßen Willi Platzer (Fachleiter für die Arbeitsschwerpunkte Informatik, ev. Religion und Mediendidaktik ) Ich bin. Aber ich habe mich nicht. Darum werden wir erst. E. Bloch ~~ .lehrerbüro. . mailto:leh...@platzer-net.de . telefon:.(+49)6151/136283 . mobile:.(+49)16097528937 . skype:platzer.willi?call .studienseminar.für.berufliche.schulen.in.darmstadt . http://sts-bs-darmstadt.bildung.hessen.de/ . telefon:.(+49)6151/3682510 . fax:.(+49)6151/3682519 .heinrich-emanuel-merck-schule . http://www.hems.de ~~ .Diese E-Mail wurde digital signiert. .Falls Ihr E-Mail-Programm nicht ueber die notwendigen Prueffunktionen verfuegt, .ignorieren Sie bitte die angehaengte Signatur-Datei. signature.asc Description: OpenPGP digital signature ___ linuxmuster-user mailing list linuxmuster-user@lists.linuxmuster.net https://mail.lehrerpost.de/mailman/listinfo/linuxmuster-user
Re: [lmn] Coova-Chilli Anmeldung unverschlüsselt? Session-key hacken und Daten sniffen
Hallo Tobias, danke für die Nachricht vom 30.06.2016, 02:29: Ich schneide mal etwas von der Diskussion weg. > denn die Coova-Seite ist eine nicht-SSL > Seite. Richtig? Wenn ich WPA im WLAN einschalte und das > Passwort allen zugänglich mache, ist dann eine Entschlüsselung > des mitgeschnittenen Wifi-Verkehrs möglich, oder geht das nicht > (z.B. wg. Session-keys, etc)? Bei WPA2 wird in der Tat von jedem Client ein individueller Session-Key ausgehandelt ("four-way handshake"). Wer den eines anderen Clients nicht kennt, kann den Verkehr mit diesem Client nicht abhören. Aber: Wer den PSK kennt und das Handshake belauscht, der kann auch den Session-Key ableiten. Selbst wenn man zu spät kommt, kann man den anderen Client dazu bringen, einen neuen Session-Key auszuhandeln und dabei das Handshake mitschneiden. >> Das eigentliche Hack-Problem für die Entschlüsselung des >> Datenverkehrs ist, den WLAN-Datenverkehr aufzuzeichnen und dazu den >> notwendigen Session-Key zu finden um diese Daten zu entschlüsseln. >> Damit kann ich dann die Verbindungsdaten zum Chilli im Klartext >> lesen. Dieser Hack kostet mehrere Stunden aufgezeichneter >> Datenverkehr. > Wenn also die _Hürde PSK wegfällt, ist informationslogisch (?) der > weitere Verkehr "wie Klartext". Das Aushandeln eines Session-keys aus > einem Mitschnitt herauszulesen muss eigentlich ein Kinderspiel sein - Das ist es nicht. Die Erstellung des Session-Key ist nicht so einfach, da dies nicht im Klartext passiert. Die Protokollentwickler haben das schon komplexer gesehen. Es steckt Algorithmus dahinter, der eine Kenntnisnahme Dritter verhindern soll. z.B. http://www.heise.de/netze/artikel/TKIP-und-WPA-224028.html Aber natürlich ist es mit genügend Rechenleistung, Zeit, Know-how und Unschärfen in Konfiguration und System möglich. >> >> Dagegen hilft ein sich verändertet Session Key. In der Regel kann man >> bei guten Accesspoints ein Key Update Interval einstellen, nach dem >> der Session Key neu zu verhandeln ist. Ich habe bei mir dafür 3600 >> eingestellt. Nach einer Recherche im letzten Jahr war das 1/4 der >> Zeit die notwendig war für ein Hack des Session-Key, bei permanenter >> Datenübertragung. > ich denke, das bringt nicht mehr Sicherheit im oben geschilderten Szenario. Doch je länger der Session-key gleich bleibt um so wahrscheinlicher ist die rückwirkende Entschlüsselung. Viele Daten mit dem selben Key vereinfachen die Arbeit. Wie immer ist es ein Abwägen zwischen Sicherheit und Komfort. Das Neu-Aushandeln des Key kostet Zeit und Rechenleistung, es kann auch bei schlechten Verbindungen zu Abbrüchen führen. Darum sollte es nicht so oft passieren. ... >> ABER, wichtig ist hier, den Aufwand an Zeit und Ressourcen im >> Verhältnis zum Nutzen und der Gefahr zu sehen. Ein sicheres System >> gibt es nicht, ich kann nur versuchen es abzusichern und keine Lücken >> zu hinterlassen. > > Ja richtig. > Ich glaube aber, dass es die "Mitschnüffel-App" schon längst gibt. > >> > Welche Lösung empfehlt ihr hier? >> >> WPA2 ist IMHO ausreichend. (Natürlich ist jeder Schutz zu knacken >> (mit genügend Aufwand und Zeit) Auch HTTPS hat Sicherheitslücken und >> ist kein vollständiger Schutz ). > > Mir ist bei (wie empfohlen konfiguriertem) HTTPS nur Man-in-the-middle > Attacken bekannt, und das muss man "live" erstmal schaffen, den AP > faken, als MitM auftreten und an den realen AP weiterleiten, nur um dann > beim https-handshake dabei zu sein. > Die App möcht ich sehen, die das schon bietet. > > Ich tendiere nach der Diskussion dazu, dass WPA in falscher Sicherheit > wiegt (dennoch nötig ist, um schulfremde Attacken auf das Netz zu > minimieren). > > >> Info für Schülerinnen und Schüler: - Schülerinnen und Schüler sollten >> die Nutzerordnung unterschrieben haben und u.a. informiert sein, dass >> fremde WPA2-Schlüssel zu knacken und zu hacken illegal ist (StGB § >> 202c bis zu 2 Jahre). >> >> >> PS Wer von euch benutzt zu Hause das eigene WLAN zur Übermittlung von >> Nutzernahmen und Passwörtern? :-) > > ständig (hinter WPA und https natürlich), alleine schon mehrfach beim > erstellen und versenden diese E-Mail. > > VG, Tobias > > ___ > linuxmuster-user mailing list > linuxmuster-user@lists.linuxmuster.net > https://mail.lehrerpost.de/mailman/listinfo/linuxmuster-user > -- Mit freundlichen Grüßen Willi Platzer (Fachleiter für die Arbeitsschwerpunkte Informatik, ev. Religion und Mediendidaktik ) Ich bin. Aber ich habe mich nicht. Darum werden wir erst. E. Bloch ~~ .lehrerbüro. . mailto:leh...@platzer-net.de . telefon:.(+49)6151/136283 . mobile:.(+49)16097528937 . skype:platzer.willi?call .studienseminar.für.berufliche.schulen.in.darmstadt . http://sts-bs-darmstadt.bildung.hessen.de/ . telefon:.(+49)6151/3682510 . fax:.(+49)6151/3682519 .heinrich-emanuel-merck-schule . http://www.hems.de
Re: [lmn] Coova-Chilli Anmeldung unverschlüsselt?
Hallo T. Küchel, danke für die Nachricht vom 29.06.2016, 15:08: >> Am 29.06.2016 um 11:06 schrieb Tobias Kuechel: >>>ein Datenschutzbeauftragter war gewieft: >>> wenn man sich per unverschlüsseltem Wifi beim Coova-Chilli anmeldet, >>> dann braucht ein Angreifer nur den Aether mitschneiden und kann >>> Benutzername und PAsswort auslesen, denn die Coova-Seite ist eine >>> nicht-SSL Seite. >>> Richtig? >>> Wenn ich WPA im WLAN einschalte und das Passwort allen zugänglich mache, >>> ist dann eine Entschlüsselung des mitgeschnittenen Wifi-Verkehrs >>> möglich, oder geht das nicht (z.B. wg. Session-keys, etc)? >> Bei WPA2 wird in der Tat von jedem Client ein individueller Session-Key >> ausgehandelt ("four-way handshake"). Wer den eines anderen Clients nicht >> kennt, kann den Verkehr mit diesem Client nicht abhören. >> Aber: Wer den PSK kennt und das Handshake belauscht, der kann auch den >> Session-Key ableiten. Selbst wenn man zu spät kommt, kann man den >> anderen Client dazu bringen, einen neuen Session-Key auszuhandeln und >> dabei das Handshake mitschneiden. >> Wie relevant das fürs Schulnetz ist, darüber kann man nun streiten. >> Besser wäre es in jedem Fall, die Coova-Seite per https zu verschlüsseln.> > Also, ich finde das Szenario schon relevant: > Wenn in einer Stunde der Lehrer sich als erstes anmeldet, vielleicht > sogar schon mit übermitteltem Bild an dem Beamer, können die 30 SuS das > Timing gut hinkriegen, zudem wenn sie sowieso sich auch anmelden > sollen/können, weil man online arbeiten will. > ob das erzwingen des neuaushandelns wg. AP-isolation (IP-Ebene) nicht > funkioniert oder doch (wifi-ebene), wäre noch interessant. > das wäre dann somit mein Ziel. Damit können die Angreifer/innen nur den WLAN-Schlüssel finden und damit in das Netz kommen. Den haben die Nutzer der Schule aber schon, wenn sie per WLAN im Netz sind (Ich gebe den WPA2-Key per QR-Code bekannt). Selbst der Hack auf den WLAN-Schlüssel ist aber nicht trivial (http://www.elektronik-kompendium.de/sites/net/0907111.htm) Das eigentliche Hack-Problem für die Entschlüsselung des Datenverkehrs ist, den WLAN-Datenverkehr aufzuzeichnen und dazu den notwendigen Session-Key zu finden um diese Daten zu entschlüsseln. Damit kann ich dann die Verbindungsdaten zum Chilli im Klartext lesen. Dieser Hack kostet mehrere Stunden aufgezeichneter Datenverkehr. Dagegen hilft ein sich verändertet Session Key. In der Regel kann man bei guten Accesspoints ein Key Update Interval einstellen, nach dem der Session Key neu zu verhandeln ist. Ich habe bei mir dafür 3600 eingestellt. Nach einer Recherche im letzten Jahr war das 1/4 der Zeit die notwendig war für ein Hack des Session-Key, bei permanenter Datenübertragung. ABER, wichtig ist hier, den Aufwand an Zeit und Ressourcen im Verhältnis zum Nutzen und der Gefahr zu sehen. Ein sicheres System gibt es nicht, ich kann nur versuchen es abzusichern und keine Lücken zu hinterlassen. >>> Welche Lösung empfehlt ihr hier? WPA2 ist IMHO ausreichend. (Natürlich ist jeder Schutz zu knacken (mit genügend Aufwand und Zeit) Auch HTTPS hat Sicherheitslücken und ist kein vollständiger Schutz ). Info für Schülerinnen und Schüler: - Schülerinnen und Schüler sollten die Nutzerordnung unterschrieben haben und u.a. informiert sein, dass fremde WPA2-Schlüssel zu knacken und zu hacken illegal ist (StGB § 202c bis zu 2 Jahre). PS Wer von euch benutzt zu Hause das eigene WLAN zur Übermittlung von Nutzernahmen und Passwörtern? :-) -- Mit freundlichen Grüßen Willi Platzer (Fachleiter für die Arbeitsschwerpunkte Informatik, ev. Religion und Mediendidaktik ) Ich bin. Aber ich habe mich nicht. Darum werden wir erst. E. Bloch ~~ .lehrerbüro. . mailto:leh...@platzer-net.de . telefon:.(+49)6151/136283 . mobile:.(+49)16097528937 . skype:platzer.willi?call .studienseminar.für.berufliche.schulen.in.darmstadt . http://sts-bs-darmstadt.bildung.hessen.de/ . telefon:.(+49)6151/3682510 . fax:.(+49)6151/3682519 .heinrich-emanuel-merck-schule . http://www.hems.de ~~ .Diese E-Mail wurde digital signiert. .Falls Ihr E-Mail-Programm nicht ueber die notwendigen Prueffunktionen verfuegt, .ignorieren Sie bitte die angehaengte Signatur-Datei. signature.asc Description: OpenPGP digital signature ___ linuxmuster-user mailing list linuxmuster-user@lists.linuxmuster.net https://mail.lehrerpost.de/mailman/listinfo/linuxmuster-user
Re: [lmn] Webserver: Errreichbarkeit Grün/Blau -> Orange
Hallo Marcus, mit Bezug zur Nachricht vom 04.05.2016, 08:17: > >> ich seh grad im Firewall-Log etwas Merkwürdiges: >> >> 08:09:00 DROP_OUTPUT[leer] TCP 172.16.17.254 172.16.17.1 >> 5417980(HTTP) : >> > > Hast du im fw unter WWireless-Konfiguration dem "Geräte auf Blau" eine > Quell-IP-Adresse und Quelle MAC-Adresse zugeordnet? SORRY, ich war etwas verwirrt. das 172.16. er netz habe ich in Blau verortet. Ich habe meine Netz-IPs anders verteilt 172.16 ist bei mir immer Bau für gelb habe ich die 192.168.0.0/24 oder 10.100.1.0/16 und höher ist Gelb Bei den FW-Regeln musst du darauf achten dass, (ausser es ist NAT eingeschaltet) immer zwei Wege konfiguriert werden müssen z.B: Rot -> fw-Regel -> gelb gelb -> fw-regel -> rot Denn die Anfrage-Pakete gehen hinein und es geht Antwort-Pakete hinaus. -- Mit freundlichen Grüßen Willi Platzer (Fachleiter für die Arbeitsschwerpunkte Informatik, ev. Religion und Mediendidaktik ) Ich bin. Aber ich habe mich nicht. Darum werden wir erst. E. Bloch ~~ .lehrerbüro. . mailto:leh...@platzer-net.de . telefon:.(+49)6151/136283 . mobile:.(+49)16097528937 . skype:platzer.willi?call .studienseminar.für.berufliche.schulen.in.darmstadt . http://sts-bs-darmstadt.bildung.hessen.de/ . telefon:.(+49)6151/3682510 . fax:.(+49)6151/3682519 .heinrich-emanuel-merck-schule . http://www.hems.de ~~ .Diese E-Mail wurde digital signiert. .Falls Ihr E-Mail-Programm nicht ueber die notwendigen Prueffunktionen verfuegt, .ignorieren Sie bitte die angehaengte Signatur-Datei. signature.asc Description: OpenPGP digital signature ___ linuxmuster-user mailing list linuxmuster-user@lists.linuxmuster.net https://mail.lehrerpost.de/mailman/listinfo/linuxmuster-user
Re: [lmn] Webserver: Errreichbarkeit Grün/Blau -> Orange
Hallo Marcus, danke für die Nachricht vom 04.05.2016, 08:17: > ich seh grad im Firewall-Log etwas Merkwürdiges: > > 08:09:00 DROP_OUTPUT[leer] TCP 172.16.17.254 172.16.17.1 > 5417980(HTTP) : > Hast du im fw unter WWireless-Konfiguration dem "Geräte auf Blau" eine Quell-IP-Adresse und Quelle MAC-Adresse zugeordnet? -- Mit freundlichen Grüßen Willi Platzer (Fachleiter für die Arbeitsschwerpunkte Informatik, ev. Religion und Mediendidaktik ) Ich bin. Aber ich habe mich nicht. Darum werden wir erst. E. Bloch ~~ .lehrerbüro. . mailto:leh...@platzer-net.de . telefon:.(+49)6151/136283 . mobile:.(+49)16097528937 . skype:platzer.willi?call .studienseminar.für.berufliche.schulen.in.darmstadt . http://sts-bs-darmstadt.bildung.hessen.de/ . telefon:.(+49)6151/3682510 . fax:.(+49)6151/3682519 .heinrich-emanuel-merck-schule . http://www.hems.de ~~ .Diese E-Mail wurde digital signiert. .Falls Ihr E-Mail-Programm nicht ueber die notwendigen Prueffunktionen verfuegt, .ignorieren Sie bitte die angehaengte Signatur-Datei. signature.asc Description: OpenPGP digital signature ___ linuxmuster-user mailing list linuxmuster-user@lists.linuxmuster.net https://mail.lehrerpost.de/mailman/listinfo/linuxmuster-user
Re: [lmn] Owncloud auf linuxmuster.net: Installation
Hallo Marcus, Copy-and-paste in der Nachricht vom 29.04.2016, 11:19: nmap http://172.16.17.1 ist falsch nmap 172.16.17.1 ist richtig (Ohne Protokoll-Präfix) :-) -- Mit freundlichen Grüßen Willi Platzer (Fachleiter für die Arbeitsschwerpunkte Informatik, ev. Religion und Mediendidaktik ) Ich bin. Aber ich habe mich nicht. Darum werden wir erst. E. Bloch ~~ .lehrerbüro. . mailto:leh...@platzer-net.de . telefon:.(+49)6151/136283 . mobile:.(+49)16097528937 . skype:platzer.willi?call .studienseminar.für.berufliche.schulen.in.darmstadt . http://sts-bs-darmstadt.bildung.hessen.de/ . telefon:.(+49)6151/3682510 . fax:.(+49)6151/3682519 .heinrich-emanuel-merck-schule . http://www.hems.de ~~ .Diese E-Mail wurde digital signiert. .Falls Ihr E-Mail-Programm nicht ueber die notwendigen Prueffunktionen verfuegt, .ignorieren Sie bitte die angehaengte Signatur-Datei. signature.asc Description: OpenPGP digital signature ___ linuxmuster-user mailing list linuxmuster-user@lists.linuxmuster.net https://mail.lehrerpost.de/mailman/listinfo/linuxmuster-user
Re: [lmn] Owncloud auf linuxmuster.net: Installation
Hallo Marcus, danke für die Nachricht vom 29.04.2016, 11:19: > Also: > > Ubuntu-Server 16.04 ist als Virtuelle Maschine auf dem VMware-Server > installiert. Es läuft ein apache2. > > Erstes Problem: > Auf der VM kann ich keinen Firefox aufrufen, kann also die Erreichbarkeit des > Apachen nicht überprüfen. Einfach den Kommentarzeilen-Browser links2 auf dem Server installieren, dann geht das vom Server aus. (mit Escape kommt man in das menü) dann mal links2 127.0.0.1:80 aufrufen (Geräteintern) links2 http://172.16.17.1 (über die Netzwerkschnittstelle) auch mal apache2ctl configtest laufen lassen mit nmap http://172.16.17.1 auf dem Server kann man alle offenen ports prüfen (80 und 443 sollten offen sein) mit nmap http://172.16.17.1 von einem fremden Rechner kann man den Zugang zu den erreichbaren Ports prüfen (firewall und route) > würde ich gerne aus dem grünen Netz diesen Webserver aufrufen per > http://172.16.17.1 (mit owncloud hat das noch nix zu tun). Da muss eine route gelegt sein (Firewall regeln). Von Grün auf Bau für die Ports 80 (http) und 443 (https) Firewall Blau sollte auch auf die IP 172.16.17.1 können in die Wireless-Konfiguration (Zugriff auf Blau) habe ich noch den Server (Geräte auf Blau) mit seiner MAC und IP eingetragen. Dann hat es funktioniert. mit nmap http://172.16.17.1 von einem fremden Rechner kann man den Zugang zu den erreichbaren Ports prüfen (firewall und route) > Ich kann den Webserver vom Server aus anpingen und mich per ssh verbinden, > ich kann von einem client aus grün aber weder pingen noch verbinden (weder > shh noch http). mit nmap http://172.16.17.1 von einem fremden Rechner kann man den Zugang zu den erreichbaren Ports prüfen (firewall und route) -- Mit freundlichen Grüßen Willi Platzer (Fachleiter für die Arbeitsschwerpunkte Informatik, ev. Religion und Mediendidaktik ) Ich bin. Aber ich habe mich nicht. Darum werden wir erst. E. Bloch ~~ .lehrerbüro. . mailto:leh...@platzer-net.de . telefon:.(+49)6151/136283 . mobile:.(+49)16097528937 . skype:platzer.willi?call .studienseminar.für.berufliche.schulen.in.darmstadt . http://sts-bs-darmstadt.bildung.hessen.de/ . telefon:.(+49)6151/3682510 . fax:.(+49)6151/3682519 .heinrich-emanuel-merck-schule . http://www.hems.de ~~ .Diese E-Mail wurde digital signiert. .Falls Ihr E-Mail-Programm nicht ueber die notwendigen Prueffunktionen verfuegt, .ignorieren Sie bitte die angehaengte Signatur-Datei. 0x0DCC4EE3.asc Description: application/pgp-keys signature.asc Description: OpenPGP digital signature ___ linuxmuster-user mailing list linuxmuster-user@lists.linuxmuster.net https://mail.lehrerpost.de/mailman/listinfo/linuxmuster-user
Re: [lmn] Owncloud auf linuxmuster.net: Installation
Hallo Marcus Numrich, danke für die Nachricht vom 28.04.2016, 10:55: > soweit bin ich allerdings noch nicht, ich würde nun erstmal gerne vom > internen (grünen) Netz per Firefox auf die Oberfläche von Owncloud kommen, > indem ich https://owncloud.lug-kirchheim.es.bw.schule.de > eingebe > (oder sowas in der Richtung). Ich habe eben mal nach geprüft, ob diese Domäne im DNS des Internet bekannt ist Ergebnis: nslookup bw.schule.de wird aufgelöst: Name: bw.schule.de Address: 193.196.136.78 nslookup es.bw.schule.de nicht aufgelöst: Can't find es.bw.schule.de: No answer lug-kirchheim.es.bw.schule.de wird auch nicht aufgelöst owncloud.lug-kirchheim.es.bw.schule.de wird auch nicht aufgelöst. Da bedeutet, dass diese Namen nicht in eine IP-Adresse umgewandelt werden können und damit nicht über den Domäne-Namen erreichbar sind. Versuch es mal mit der direkten Eingabe der IP-Adresse. Für die Namensauflösung gibt dann es mehrere Lösungen. -- Mit freundlichen Grüßen Willi Platzer (Fachleiter für die Arbeitsschwerpunkte Informatik, ev. Religion und Mediendidaktik ) Ich bin. Aber ich habe mich nicht. Darum werden wir erst. E. Bloch ~~ .lehrerbüro. . mailto:leh...@platzer-net.de . telefon:.(+49)6151/136283 . mobile:.(+49)16097528937 . skype:platzer.willi?call .studienseminar.für.berufliche.schulen.in.darmstadt . http://sts-bs-darmstadt.bildung.hessen.de/ . telefon:.(+49)6151/3682510 . fax:.(+49)6151/3682519 .heinrich-emanuel-merck-schule . http://www.hems.de ~~ .Diese E-Mail wurde digital signiert. .Falls Ihr E-Mail-Programm nicht ueber die notwendigen Prueffunktionen verfuegt, .ignorieren Sie bitte die angehaengte Signatur-Datei. signature.asc Description: OpenPGP digital signature ___ linuxmuster-user mailing list linuxmuster-user@lists.linuxmuster.net https://mail.lehrerpost.de/mailman/listinfo/linuxmuster-user
Re: [lmn] Owncloud Kalender abonnieren: Zertifikat verhindert Zugriffsrechte?!?
Hallo Holger, danke für die Nachricht vom 26.04.2016, 22:14: >> Das Seltsame: >> Der Server hat ein offiziell signiertes Zertifikat. Über den Browser >> erreiche ich die OC per https ohne Warnmeldung, sprich, der Browser >> erkennt das Zertifikat an, TB (und offensichtlich das Outlookplugin) >> nicht. >> >> Sieht da jemand eine Lösung?!? Ich hatte mal das Problem mit "Outlook-Kalender" in Windows-mobile vielleicht hilft es: ich habe meinen Windows Mobile 10 Kalender jetzt zum Synchronisieren mit Owncloud gebracht. Anbei die Einträge und die notwendige Änderung im Owncloud-Script. A) Einträge im Smartphone: 1) Neues Konto hinzufügen als iCloud Mailadresse ist egal, ich habe kal@owncloud genommen, Kennwort ist egal 'x' 2) Konto speichern 3) Konto aufrufen und verwalten 1. Benutzername und Kontoname den owncloud-Accountname angeben 2. Das Kennwort ist das owncloudkennwort 3. Synchronisierungseinstellungen ändern aufrufen 4. Kalender auf "ein" alles andere auf "aus" 5. Erweiterte Postfacheinstellungen: in Kalenderserver (CalDAV) https://[domain]/remote.php/carddav/principals/[username] mit / am Ende eintragen. (Die Adresse steht unter iOS/OSX CalDav-Adresse im Online-Kalender) B) Das Owncloud-Zertifikat importieren. Ein möglicher Weg: 1. mit Firefox die Cloud-Seite aufrufen 2. Seiteninformationen aufrufen 3. [Zertifikat anzeigen] aufrufen -> Details 4. Exportieren als X.509-Zertifikat (DER) 5. in das Exportverzeichnis gehen und die Datei-Endung auf cer ändern (sonst nimmt es windows mobile nicht ) 6. die Datei in Owncloud als Datei speichern und im Smartphone mit dem Browser aus owncloud downloaden. 7. im Datei-Explorer anklicken und importieren. C) Da sich Windows Mobile 10 mit einer neuen ID zu erkennen gibt, braucht es Änderungen in einem Owncloud-Script nach: https://github.com/fruux/sabre-dav/commit/1feeb1bb87c5176a… in der Datei owncloud/3rdparty/sabre/dav/lib/CalDAV/Plugin.php ab der Zeile 627 if ($node instanceof ICalendarObjectContainer && $depth === 0) { -if (strpos($this->server->httpRequest->getHeader('User-Agent'), 'MSFT-WP/') === 0) { -// Windows phone incorrectly supplied depth as 0, when it actually +if (strpos($this->server->httpRequest->getHeader('User-Agent'), 'MSFT-') === 0) { +// Microsoft clients incorrectly supplied depth as 0, when it actually // should have set depth to 1. We're implementing a workaround here // to deal with this. +// +// This targets at least the following clients: +// Windows 10 +// Windows Phone 8, 10 $depth = 1; } else { throw new BadRequest('A calendar-query REPORT on a calendar with a Depth: 0 is undefined. Set Depth to 1'); - -- Mit freundlichen Grüßen Willi Platzer (Fachleiter für die Arbeitsschwerpunkte Informatik, ev. Religion und Mediendidaktik ) Ich bin. Aber ich habe mich nicht. Darum werden wir erst. E. Bloch ~~ .lehrerbüro. . mailto:leh...@platzer-net.de . telefon:.(+49)6151/136283 . mobile:.(+49)16097528937 . skype:platzer.willi?call .studienseminar.für.berufliche.schulen.in.darmstadt . http://sts-bs-darmstadt.bildung.hessen.de/ . telefon:.(+49)6151/3682510 . fax:.(+49)6151/3682519 .heinrich-emanuel-merck-schule . http://www.hems.de ~~ .Diese E-Mail wurde digital signiert. .Falls Ihr E-Mail-Programm nicht ueber die notwendigen Prueffunktionen verfuegt, .ignorieren Sie bitte die angehaengte Signatur-Datei. signature.asc Description: OpenPGP digital signature ___ linuxmuster-user mailing list linuxmuster-user@lists.linuxmuster.net https://mail.lehrerpost.de/mailman/listinfo/linuxmuster-user
Re: [lmn] Firewall-Regel: Server-Anwendung auf bestimmten Port nutzbar machen?
Hallo Marcus, Bezug Nachricht vom 14.03.2016, 09:05: > ... Aber ssh läuft doch auch per Portforwarding? Ist das dann nicht auch > tendenziell unsicher? Ja, aber dass kann (muss) man auch "etwas" absichern, der port muss erst mal gefunden werden :-). Dann kann man auch a) im ipfire nur noch bestimmte IP-Adressen für die Weiterleitung zulassen (wenn man feste IPs für den Zugang nutzt) sonst zumindest nur IPs aus Deutschland zulassen. (Ich hatte noch keinen portscann aus de) b) fail2ban auf dem Schulserver installieren und für ssh scharf stellen (Ich sperre die grüne IP vom ipfire nach 3 erfolglose Versuchen für 10 Minuten) Das verhindert/verlangsamt das Austesten von Zugängen. -- Mit freundlichen Grüßen Willi Platzer (Fachleiter für die Arbeitsschwerpunkte Informatik, ev. Religion und Mediendidaktik ) Ich bin. Aber ich habe mich nicht. Darum werden wir erst. E. Bloch ~~ .lehrerbüro. . mailto:leh...@platzer-net.de . telefon:.(+49)6151/136283 . mobile:.(+49)16097528937 . skype:platzer.willi?call .studienseminar.für.berufliche.schulen.in.darmstadt . http://sts-bs-darmstadt.bildung.hessen.de/ . telefon:.(+49)6151/3682510 . fax:.(+49)6151/3682519 .heinrich-emanuel-merck-schule . http://www.hems.de ~~ .Diese E-Mail wurde digital signiert. .Falls Ihr E-Mail-Programm nicht ueber die notwendigen Prueffunktionen verfuegt, .ignorieren Sie bitte die angehaengte Signatur-Datei. 0x0DCC4EE3.asc Description: application/pgp-keys signature.asc Description: OpenPGP digital signature ___ linuxmuster-user mailing list linuxmuster-user@lists.linuxmuster.net https://mail.lehrerpost.de/mailman/listinfo/linuxmuster-user
Re: [lmn] Firewall-Regel: Server-Anwendung auf bestimmten Port nutzbar machen?
Hallo Marcus, Bezug zur Nachricht vom 12.03.2016, 16:13: > Auf unserem Server läuft das elektronische Tagebuch WebUntis (wohlgemerkt, > nicht beim Hersteller gehostet, sondern alles ist komplett bei uns). > Nun bietet das Programm die Möglichkeit, dass sich Schüler ihren persönlichen > Stundenplan anzeigen lassen können. Da der Server aber nicht im Internet frei > zugänglich ist, geht das natürlich nicht ohne Weiteres. Schüler sollen aber > auch keinen > OpenVPN-Zugang erhalten. > Daher die Frage, ob ich mittels einer Firewall-Regel das so öffnen kann, dass > ein Schüler mit einer Internetverbindung WebUntis - und sonst nix! - aufrufen > kann, also so in der Art: "Wenn Du die Adresse x.y.z.a:8080 aufrufst, dann > wirst du zu > server:8080/WebUntis/... umgeleitet und kannst dich da anmelden..." > (LDAP-Anmeldung, authentifiziert durch unseren Server). Es gibt 2 IMHO Möglichkeiten Einfach ist in der Regel auch unsicher, denn die Menschen (Programme) im Internet sind nicht nur gut, sondern versuchen unter anderem Rechner, die nicht geschützt sind, (automatisch) zu kompromittieren :-| Das ist nie persönlich gemeint! Schau Dir dazu mal das IDS-Log und die Zugriffsversuche aus den "bösen" IP-Ländern auf ipfire an. 1. Möglichkeit: Weiterleitung der Pakte, die aus dem roten Netz kommen auf einen Rechner im internen grünen Netz. Einfach aber ein großes Sicherheitsproblem. Die Sicherheitsprobleme: Alle Rechner aus dem Internet können jetzt auf diesen Rechner über diesen Port zugreifen (und wenn der offene Port gefunden ist, werden es auch viele tun). Rechner können versuchen Accounts zu knacken oder Softwarelücken auszunutzen. Sie können, wenn es ein Zugriff ohne https ist, den Datenverkehr einfach mitlesen und die gewonnen Accountdaten verwenden. Wer den grünen Server besitzt, der hat Zugriff auf alle Rechner im lokalen Netz Sicherung: a) nur HTTPS-Datenverkehr zulassen. b) den grünen/internen Server absichern (fail2ban, nicht immer möglich, Firewallregeln, Updates), (Mit für mich beruhigender Sicherheit kann ich das nicht tun!) c) Apache auf dem Server absichern! (Mit für mich beruhigender Sicherheit kann ich das nicht!) d) geoIP Block im IPfire aktivieren (Achtung nur bei bestimmten port forwarding Einstellungen möglich) e) Server in das gelbe Netz hängen, dann kann zumindest das grüne Netz nicht direkt angegriffen werden. Die Möglichkeit 1 im grünen Netz würde ich NIE wählen! Ich hätte das Gefühl ich würde eine Eingangstür im Haus immer offen lassen. 2. Möglichkeit: Mit einem Reverse Proxy (pound auf ipfire) als L7-Gateway auf IP-Fire auf einen internen (gelben) Server zugreifen und nur HTTPS erlauben. Das ist etwas komplizierter, da pound konfiguriert werden muss, aber es ist IMHO immer noch die sicherste Lösung, wenn der Server auch noch im gelben Netz ist. Sicherung: Es gibt kein Schlupfloch, IPFire ist weiterhin für die Sicherheit für Verbindungen aus Rot zuständig (dafür ist er ja gebaut). Der rote Netzverkehr endet im ipfire auf pound. Zusätzliche Sicherheiten für IP-Fire gibt es mit GeoIP-Block und IDS mit Guardian und in den Firewallregeln für den Zugriff auf den Port von pound einen Zeitrahmen setzen, IP-verbindungen pro IP-Adresse und Ratenlimitierung setzen. Alles eine Frage der Paranoia :-) Sicherere und einfache Lösungen gibt es nicht. -- Mit freundlichen Grüßen Willi Platzer (Fachleiter für die Arbeitsschwerpunkte Informatik, ev. Religion und Mediendidaktik ) Ich bin. Aber ich habe mich nicht. Darum werden wir erst. E. Bloch ~~ .lehrerbüro. . mailto:leh...@platzer-net.de . telefon:.(+49)6151/136283 . mobile:.(+49)16097528937 . skype:platzer.willi?call .studienseminar.für.berufliche.schulen.in.darmstadt . http://sts-bs-darmstadt.bildung.hessen.de/ . telefon:.(+49)6151/3682510 . fax:.(+49)6151/3682519 .heinrich-emanuel-merck-schule . http://www.hems.de ~~ .Diese E-Mail wurde digital signiert. .Falls Ihr E-Mail-Programm nicht ueber die notwendigen Prueffunktionen verfuegt, .ignorieren Sie bitte die angehaengte Signatur-Datei. 0x0DCC4EE3.asc Description: application/pgp-keys signature.asc Description: OpenPGP digital signature ___ linuxmuster-user mailing list linuxmuster-user@lists.linuxmuster.net https://mail.lehrerpost.de/mailman/listinfo/linuxmuster-user
[lmn] Info: Owncloud 8.2 und Windows Mobile 10 Kalender
Hallo ..., ich habe meinen Windows Mobile 10 Kalender jetzt zum Synchronisieren mit Owncloud gebracht. Anbei die Einträge und die notwendige Änderung im Owncloud-Script. A) Einträge im Smartphone: 1) Neues Konto hinzufügen als iCloud Mailadresse ist egal, ich habe kal@owncloud genommen, Kennwort ist egal 'x' 2) Konto speichern 3) Konto aufrufen und verwalten 1. Benutzername und Kontoname den owncloud-Accountname angeben 2. Das Kennwort ist das owncloudkennwort 3. Synchronisierungseinstellungen ändern aufrufen 4. Kalender auf "ein" alles andere auf "aus" 5. Erweiterte Postfacheinstellungen: in Kalenderserver (CalDAV) https://[domain]/remote.php/carddav/principals/[username] mit / am Ende eintragen. (Die Adresse steht unter iOS/OSX CalDav-Adresse im Online-Kalender) B) Das Owncloud-Zertifikat importieren. Ein möglicher Weg: 1. mit Firefox die Cloud-Seite aufrufen 2. Seiteninformationen aufrufen 3. [Zertifikat anzeigen] aufrufen -> Details 4. Exportieren als X.509-Zertifikat (DER) 5. in das Exportverzeichnis gehen und die Datei-Endung auf cer ändern (sonst nimmt es windows mobile nicht :-( ) 6. die Datei in Owncloud als Datei speichern und im Smartphone mit dem Browser aus owncloud downloaden. 7. im Datei-Explorer anklicken und importieren. C) Da sich Windows Mobile 10 mit einer neuen ID zu erkennen gibt, braucht es Änderungen in einem Owncloud-Script nach: https://github.com/fruux/sabre-dav/commit/1feeb1bb87c5176a… in der Datei owncloud/3rdparty/sabre/dav/lib/CalDAV/Plugin.php ab der Zeile 627 if ($node instanceof ICalendarObjectContainer && $depth === 0) { -if (strpos($this->server->httpRequest->getHeader('User-Agent'), 'MSFT-WP/') === 0) { -// Windows phone incorrectly supplied depth as 0, when it actually +if (strpos($this->server->httpRequest->getHeader('User-Agent'), 'MSFT-') === 0) { +// Microsoft clients incorrectly supplied depth as 0, when it actually // should have set depth to 1. We're implementing a workaround here // to deal with this. +// +// This targets at least the following clients: +// Windows 10 +// Windows Phone 8, 10 $depth = 1; } else { throw new BadRequest('A calendar-query REPORT on a calendar with a Depth: 0 is undefined. Set Depth to 1'); Viel Spass Willi Platzer -- Mit freundlichen Grüßen Willi Platzer (Fachleiter für die Arbeitsschwerpunkte Informatik, ev. Religion und Mediendidaktik ) Ich bin. Aber ich habe mich nicht. Darum werden wir erst. E. Bloch ~~ .lehrerbüro. . mailto:leh...@platzer-net.de . telefon:.(+49)6151/136283 . mobile:.(+49)1758434707 . skype:platzer.willi?call .studienseminar.für.berufliche.schulen.in.darmstadt . http://sts-bs-darmstadt.bildung.hessen.de/ . telefon:.(+49)6151/3682510 . fax:.(+49)6151/3682519 .heinrich-emanuel-merck-schule . http://www.hems.de ~~ .Diese E-Mail wurde digital signiert. .Falls Ihr E-Mail-Programm nicht ueber die notwendigen Prueffunktionen verfuegt, .ignorieren Sie bitte die angehaengte Signatur-Datei. 0x0DCC4EE3.asc Description: application/pgp-keys ___ linuxmuster-user mailing list linuxmuster-user@lists.linuxmuster.net https://mail.lehrerpost.de/mailman/listinfo/linuxmuster-user
[lmn] OpenSSL, Certificate Authority (CA) und Zertifikate für die Server im Linuxmuster-System
Hallo, um die dauernde (un-systematische) Zertifikatserstellung und damit die einhergehende Nutzerbelastung zu reduzieren will ich Certification Authority (selbstsigniert) basierende Zertifikate für alle Server-Systeme im Linuxmuster-system erstellen. Dann braucht der Nutzer nur noch einmal das Root-Zertifikat importieren und ihm vertrauen den Rest mach das System. Hat jemand schon mal ein Script erstellt, 1) das zu erst die Certificate Authority (CA) mit dem geheimen Private Key und in /root ablegt und dann das zu veröffentlichende Root-Zertifikat erstellt und z.B. in /home/admin ablegt. 2) Danach sollte das Script im zweiten Schritt aus der CA abgeleiteten verschiedene Zertifikate erstellen. a) Die internen (*.linuxmuster-net.lokal) Zertifikate für den Linuxmuster-Server (Apache usw.) - Chilli-Portal - ipfire - moodle - owncloud - vpn - ... b) und die externen (rot) (*.schule.de) für Linuxmuster-Server (Apache usw.) - ipfire - moodle - owncloud - vpn - ... Wenn es so etwas gibt, dann hätte ich es gerne :-) Wenn nicht muss ich mich mal daran versuchen :-( -- Mit freundlichen Grüßen Willi Platzer (Fachleiter für die Arbeitsschwerpunkte Informatik, ev. Religion und Mediendidaktik ) Ich bin. Aber ich habe mich nicht. Darum werden wir erst. E. Bloch ~~ .lehrerbüro. . mailto:leh...@platzer-net.de . telefon:.(+49)6151/136283 . mobile:.(+49)1758434707 . skype:platzer.willi?call .studienseminar.für.berufliche.schulen.in.darmstadt . http://sts-bs-darmstadt.bildung.hessen.de/ . telefon:.(+49)6151/3682510 . fax:.(+49)6151/3682519 .heinrich-emanuel-merck-schule . http://www.hems.de ~~ .Diese E-Mail wurde digital signiert. .Falls Ihr E-Mail-Programm nicht ueber die notwendigen Prueffunktionen verfuegt, .ignorieren Sie bitte die angehaengte Signatur-Datei. 0x0DCC4EE3.asc Description: application/pgp-keys signature.asc Description: OpenPGP digital signature ___ linuxmuster-user mailing list linuxmuster-user@lists.linuxmuster.net https://mail.lehrerpost.de/mailman/listinfo/linuxmuster-user
Re: [lmn] uneingeschränkter Host kommt nicht ins Internet
Hallo Steffen, danke für die Nachricht vom 23.07.2015, 08:42: die digitalen schwarzen Bretter ins grüne Netz aufzunehmen. Obwohl sie die korrekte IP bekommen und ich für diese IPs alle nur erdenklichen Ausnahmen eingetragen habe, kommen sie nicht ins Internet. Hier mal alle Infos in der Hoffnung, dass euch auffällt, was das Problem ist: Server-IP: 10.16.1.1 IPs der DSBs: 10.19.240.1 und 10.19.240.2 (in der workstations eingetragen mit 0 am Ende -- beziehen die korrekte IP per DHCP -- klappt) Es stellen sich für mich folgende Fragen? Sind in den Browsern eigene Netzwerkdaten eingetragen? Kommt man mit Ping (Kommandozeile) auf Interne-Sever Was sagt ipconfig auf den Rechnern? -- Mit freundlichen Grüßen Willi Platzer (Fachleiter für die Arbeitsschwerpunkte Informatik, ev. Religion und Mediendidaktik ) Ich bin. Aber ich habe mich nicht. Darum werden wir erst. E. Bloch ~~ .lehrerbüro. . mailto:leh...@platzer-net.de . telefon:.(+49)6151/136283 . mobile:.(+49)1758434707 . skype:platzer.willi?call .studienseminar.für.berufliche.schulen.in.darmstadt . http://sts-bs-darmstadt.bildung.hessen.de/ . telefon:.(+49)6151/3682510 . fax:.(+49)6151/3682519 .heinrich-emanuel-merck-schule . http://www.hems.de ~~ .Diese E-Mail wurde digital signiert. .Falls Ihr E-Mail-Programm nicht ueber die notwendigen Prueffunktionen verfuegt, .ignorieren Sie bitte die angehaengte Signatur-Datei. 0x0DCC4EE3.asc Description: application/pgp-keys signature.asc Description: OpenPGP digital signature ___ linuxmuster-user mailing list linuxmuster-user@lists.linuxmuster.net https://mail.lehrerpost.de/mailman/listinfo/linuxmuster-user
Re: [lmn] Eine Fragen zum ipfire und chilli WPA2
Hallo Juergen Engeland, danke für die Nachricht vom 23.07.2015, 00:16: Mit etwas Nachdenken: Womit sollte ein WPA-RADIUS-Client die Anmeldedaten verschlüsseln, wenn nicht mit dem Serverzertifikat? Eben, das geschieht mit Hilfe des Zertifikats. Kann man freeradius irgendwie zwingen, nur verschlüsselte Anfragen zu akzeptieren? soweit bin ich nicht in das Problem (WPA-Enterprise) eingestiegen. In http://fds-team.de/cms/articles/2012-05/wlan-absicherung-durch-wpa-enterprise.html steht Für WPA(2) - Enterprise wird das Extensible Authentication Protocol - kurz EAP verwendet, welches eine ganze Reihe von verschiedenen Authentifizierungmöglichkeiten anbietet. FreeRADIUS bietet daher die Möglichkeit all diese verschiedenen Verfahren zu konfigurieren und auch eine beliebige Anzahl gleichzeitig zu aktivieren. Dies ist besonders dann empfehlenswert, wenn die bevorzugte Authentifizierungsmethode nicht von allen genutzten Wlan Endgeräten unterstützt wird. -- Mit freundlichen Grüßen Willi Platzer (Fachleiter für die Arbeitsschwerpunkte Informatik, ev. Religion und Mediendidaktik ) Ich bin. Aber ich habe mich nicht. Darum werden wir erst. E. Bloch ~~ .lehrerbüro. . mailto:leh...@platzer-net.de . telefon:.(+49)6151/136283 . mobile:.(+49)1758434707 . skype:platzer.willi?call .studienseminar.für.berufliche.schulen.in.darmstadt . http://sts-bs-darmstadt.bildung.hessen.de/ . telefon:.(+49)6151/3682510 . fax:.(+49)6151/3682519 .heinrich-emanuel-merck-schule . http://www.hems.de ~~ .Diese E-Mail wurde digital signiert. .Falls Ihr E-Mail-Programm nicht ueber die notwendigen Prueffunktionen verfuegt, .ignorieren Sie bitte die angehaengte Signatur-Datei. 0x0DCC4EE3.asc Description: application/pgp-keys signature.asc Description: OpenPGP digital signature ___ linuxmuster-user mailing list linuxmuster-user@lists.linuxmuster.net https://mail.lehrerpost.de/mailman/listinfo/linuxmuster-user
Re: [lmn] uneingeschränkter Host kommt nicht ins Internet
Hallo Steffen, danke für die Nachricht vom 23.07.2015, 09:51: ich glaub ich hab's. Ich hatte noch einen Tippfehler in der Firewallregel für das DSB, das trotz entfernter Proxyeinstellung noch nicht ins Internet kam, übersehen. Jetzt geht's - auch die Aktualisierung der DSB-Player-Daten. Das ist gut. Nun schau ich mir das zweite Display an. Komisch ist nur, warum es nicht reicht, das Display in uneingeschränkte und ungefilterte Hosts einzutragen. Aber wahrscheinlich nutzt das irgendwelche Ports, die sonst nicht offen sind. Wahrscheinlich melden die Nachhause wie das DSB genutzt werden ;-) und die Schulen werden nach den Rechtschreibfehlern auf dem DSB gerankt :- -- Mit freundlichen Grüßen Willi Platzer (Fachleiter für die Arbeitsschwerpunkte Informatik, ev. Religion und Mediendidaktik ) Ich bin. Aber ich habe mich nicht. Darum werden wir erst. E. Bloch ~~ .lehrerbüro. . mailto:leh...@platzer-net.de . telefon:.(+49)6151/136283 . mobile:.(+49)1758434707 . skype:platzer.willi?call .studienseminar.für.berufliche.schulen.in.darmstadt . http://sts-bs-darmstadt.bildung.hessen.de/ . telefon:.(+49)6151/3682510 . fax:.(+49)6151/3682519 .heinrich-emanuel-merck-schule . http://www.hems.de ~~ .Diese E-Mail wurde digital signiert. .Falls Ihr E-Mail-Programm nicht ueber die notwendigen Prueffunktionen verfuegt, .ignorieren Sie bitte die angehaengte Signatur-Datei. 0x0DCC4EE3.asc Description: application/pgp-keys signature.asc Description: OpenPGP digital signature ___ linuxmuster-user mailing list linuxmuster-user@lists.linuxmuster.net https://mail.lehrerpost.de/mailman/listinfo/linuxmuster-user
Re: [lmn] uneingeschränkter Host kommt nicht ins Internet
Hallo Steffen, danke für die Nachricht vom 23.07.2015, 09:31: Willi: Es stellen sich für mich folgende Fragen? Sind in den Browsern eigene Netzwerkdaten eingetragen? ich habe nochmal kontrolliert, was in den Internetoptionen steht. Da war tatsächlich ein Proxy eingetragen. Aber: Trotz raus nehmen des Proxy und Neustart des DSB keine Änderung. Kommt man mit Ping (Kommandozeile) auf Interne-Sever Der linuxmuster.net Server ist erreichbar. (Name und IP) Externe Server nicht. Was sagt ipconfig auf den Rechnern? Da kommen richtige IP, Netzmaske und Standardgateway. Jetzt stellt sich die frage nach der Namensauflösung Teste mal ping 8.8.8.8 Kommt das raus? Wenn ja ist es ein Problem mit dem DNS Eintrag auf dem Client -- Mit freundlichen Grüßen Willi Platzer (Fachleiter für die Arbeitsschwerpunkte Informatik, ev. Religion und Mediendidaktik ) Ich bin. Aber ich habe mich nicht. Darum werden wir erst. E. Bloch ~~ .lehrerbüro. . mailto:leh...@platzer-net.de . telefon:.(+49)6151/136283 . mobile:.(+49)1758434707 . skype:platzer.willi?call .studienseminar.für.berufliche.schulen.in.darmstadt . http://sts-bs-darmstadt.bildung.hessen.de/ . telefon:.(+49)6151/3682510 . fax:.(+49)6151/3682519 .heinrich-emanuel-merck-schule . http://www.hems.de ~~ .Diese E-Mail wurde digital signiert. .Falls Ihr E-Mail-Programm nicht ueber die notwendigen Prueffunktionen verfuegt, .ignorieren Sie bitte die angehaengte Signatur-Datei. 0x0DCC4EE3.asc Description: application/pgp-keys signature.asc Description: OpenPGP digital signature ___ linuxmuster-user mailing list linuxmuster-user@lists.linuxmuster.net https://mail.lehrerpost.de/mailman/listinfo/linuxmuster-user
Re: [lmn] Pound (reverse Proxy) auf ipfire für owncloud (Ergänzung)
Hallo Arnaud, danke für die Nachricht vom 23.07.2015, 09:09: Danke für deine Beschreibung, das hat bei uns auch geklappt. Das einzige, was ich nicht gefunden habe, ist wie alles direkt auf https weiterleiten. Ich musste für alle Domäne einen Eintrag dafür machen. Diese Frage verstehe ich nicht! -- Mit freundlichen Grüßen Willi Platzer (Fachleiter für die Arbeitsschwerpunkte Informatik, ev. Religion und Mediendidaktik ) Ich bin. Aber ich habe mich nicht. Darum werden wir erst. E. Bloch ~~ .lehrerbüro. . mailto:leh...@platzer-net.de . telefon:.(+49)6151/136283 . mobile:.(+49)1758434707 . skype:platzer.willi?call .studienseminar.für.berufliche.schulen.in.darmstadt . http://sts-bs-darmstadt.bildung.hessen.de/ . telefon:.(+49)6151/3682510 . fax:.(+49)6151/3682519 .heinrich-emanuel-merck-schule . http://www.hems.de ~~ .Diese E-Mail wurde digital signiert. .Falls Ihr E-Mail-Programm nicht ueber die notwendigen Prueffunktionen verfuegt, .ignorieren Sie bitte die angehaengte Signatur-Datei. 0x0DCC4EE3.asc Description: application/pgp-keys signature.asc Description: OpenPGP digital signature ___ linuxmuster-user mailing list linuxmuster-user@lists.linuxmuster.net https://mail.lehrerpost.de/mailman/listinfo/linuxmuster-user
[lmn] Pound (reverse Proxy) auf ipfire für owncloud (Ergänzung)
Hallo ..., Leider hatte ich eine Firewall Regel (c) in der ersten Mail vergessen! um den Zugang zu dem OwnCloud-Server sicherer zu gestalten habe ich Pound als Reverse Proxy installiert. Das böse Internet kommt nur noch bis zum IPFire. Nur Pound greift auf den OwnCloud-Server zu. Der Zugang zu andere lokalen Server (moodle usw.) kann so auch freigegeben werden. Sie benötigen einen DNS-Eintrag ( A-Record) der Ihren Web-Namen cloud.schule.de zu einer IP-Adresse auflöst. Im folgenden meine Schritte zur Installation. 1. Das Paket Pound-2.7-8 auf dem IPfire installieren 2. Zertifikat erzeugen (Frei nach http://www.linuxmuster.net/wiki/version3:ssl-zertifikat_fuer_den_apache_austauschen Ich habe es in /etc/certs/ in ipfire abgelegt. Achtung es muss bei Commonname die vollständige Adresse cloud.schule.de des Cloudservers angegeben werden! openssl genrsa -out cloud.key 2048 openssl req -new -key cloud.key -out cloud.csr openssl req -new -x509 -days 3650 -keyout cloud.key -out cloud.crt (Password sicher löschen) openssl rsa -in cloud.key -out cloud_clear.key key und certifikat in eine Datei (muss sein) cat cloud.crt cloud_clear.key /etc/certs/cloud.pem 3.erzeugen der Datei /etc/sysconfig/pound mit # Set run_pound to 1 to start pound or 0 to disable it. run_pound=1 # Specify additional pound options here (see manpage). pound_options= 4. erzeugen der Datei /etc/pound.cfg mit den Einstellungen für den Proxy ## Logging: (goes to syslog by default) ## 0 no logging ## 1 normal ## 2 extended ## 3 Apache-style (common log format) LogLevel1 ## check backend every X secs: Alive 60 # poundctl control socket Control /var/run/poundctl.socket # Cloudserver ListenHTTPS HeadRemove X-Forwarded-Proto AddHeader X-Forwarded-Proto: https Address 82.195.74.66 Port 443 # ist notwendig damit standard WebDAV aus geführt wird. es kann bei MS-Diensten auch xhhtp 3 notwendig sein # Android und Lightning funktionieren mit 2 xHTTP 2 # wurde in 2 erzeugt Cert /etc/certs/cloud.pem Service cloud # die vollständige Adresse cloud.schule.de des Cloudservers! HeadRequire Host: cloud.sts-bs-da.de.* BackEnd Address 10.110.1.1 Port 443 # Damit https to https funktioniert! HTTPS End End 5. pound testen /etc/init.d/pound start #stop restart 6. Firewall-Regeln ändern! a) firewall (ROT): 443 -10.110.1.1: 443 (Gelbe-Adresse des Cloudservers) Regel deaktiveren!!! b) Firewallregel Eingehender Firewallzugang erzeugen (Verbindung Internet firewall:443) Der Zugriff auf Firewall:443 ist vom Internet erlaubt! Quelle Rot auswählen (oder besser GeoIP mit der Auswahl der guten Länder :-) ) Ziel Firewall ROT (IP) auswählen (nicht die Zieladresse oder ein Standardnetzwerk eingeben) Protokoll TCP Quellport leer lassenZielport 443 Regelposition 1 Regel aktivieren Logging aktivieren Zeitrahmen Mon Die Mit Don Fre Sam Son von 6:30 bis 23:30 c) Firewallregel Ausgehender Firewallzugang erzeugen (Verbindung firewall Cloudserver) Der Zugriff auf den Cloudserver in Orange (10.110.1.1) ist vom Firewall(orange) erlaubt! Quelle Firewall (Orange) auswählen Ziel Zieladresse Cloud-IP (10.110.1.1) auswählen Regelposition 1 Regel aktivieren Logging aktivieren 7. Änderungen übernehmen Das funktioniert bei mir. PS das neue Zertifikat muss bei den Clients beim ersten Aufruf importiert werden. Ich wünsche allen eine gute unterrichtsfreie Zeit. -- Mit freundlichen Grüßen Willi Platzer (Fachleiter für die Arbeitsschwerpunkte Informatik, ev. Religion und Mediendidaktik ) Ich bin. Aber ich habe mich nicht. Darum werden wir erst. E. Bloch ~~ .lehrerbüro. . mailto:leh...@platzer-net.de . telefon:.(+49)6151/136283 . mobile:.(+49)1758434707 . skype:platzer.willi?call .studienseminar.für.berufliche.schulen.in.darmstadt . http://sts-bs-darmstadt.bildung.hessen.de/ . telefon:.(+49)6151/3682510 . fax:.(+49)6151/3682519 .heinrich-emanuel-merck-schule . http://www.hems.de ~~ .Diese E-Mail wurde digital signiert. .Falls Ihr E-Mail-Programm nicht ueber die notwendigen Prueffunktionen verfuegt, .ignorieren Sie bitte die angehaengte Signatur-Datei. 0x0DCC4EE3.asc Description: application/pgp-keys signature.asc Description: OpenPGP digital signature ___ linuxmuster-user mailing list linuxmuster-user@lists.linuxmuster.net https://mail.lehrerpost.de/mailman/listinfo/linuxmuster-user
Re: [lmn] Eine Fragen zum ipfire und chilli WPA2
Hallo Marcus, danke für die Nachricht vom 22.07.2015, 11:08: Ganz kurz: gebt ihr den Chilli-APs eigentlich noch eine WPA-Verschlüsselung oder ist das Netz komplett offen? Wenn es keine Vershclüsselun über WLAN gibt, dann kann jede Datenübertragung ohne Eingenverschlüsselung (also auch jede http, ftp, telnet usw. Accounteingabe) im Klartext mitgelesen werden. Auch die Anmeldung an Chilli, wenn Ihr den Chilli über http betreibt! Darum die WPA2 Verschlüsselung einschalten, dann kann man den WLAN-Datenverkehr nicht mehr so einfach mitschreiben. Es geht dabei nicht um die Identifikation des Nutzers (Authentifizierung), sondern um die Verschlüsselung (Sicherheit) des WLAN-Datenverkehrs. -- Mit freundlichen Grüßen Willi Platzer (Fachleiter für die Arbeitsschwerpunkte Informatik, ev. Religion und Mediendidaktik ) Ich bin. Aber ich habe mich nicht. Darum werden wir erst. E. Bloch ~~ .lehrerbüro. . mailto:leh...@platzer-net.de . telefon:.(+49)6151/136283 . mobile:.(+49)1758434707 . skype:platzer.willi?call .studienseminar.für.berufliche.schulen.in.darmstadt . http://sts-bs-darmstadt.bildung.hessen.de/ . telefon:.(+49)6151/3682510 . fax:.(+49)6151/3682519 .heinrich-emanuel-merck-schule . http://www.hems.de ~~ .Diese E-Mail wurde digital signiert. .Falls Ihr E-Mail-Programm nicht ueber die notwendigen Prueffunktionen verfuegt, .ignorieren Sie bitte die angehaengte Signatur-Datei. 0x0DCC4EE3.asc Description: application/pgp-keys signature.asc Description: OpenPGP digital signature ___ linuxmuster-user mailing list linuxmuster-user@lists.linuxmuster.net https://mail.lehrerpost.de/mailman/listinfo/linuxmuster-user
Re: [lmn] Eine Fragen zum ipfire und chilli WPA2
Hallo Juergen, danke für die Nachricht vom 22.07.2015, 15:48: meine Frage zu WPA_RADIUS (ohne chilli!), egal ob aus GRUEN oder BLAU. http://www.linuxmuster.net/wiki/anwenderwiki:benutzerrechner:wlan:radius-accesspoint Geht bei diesem Verfahren irgendetwas unverschlüsselt durch den Äther? Ja nach meiner Kenntnis gehen die Authentifizierungsdaten beim WPA2 Enterprise ohne Verschlüsselung durch die Verbindung, und der Client gibt jedem die Anmeldedaten der Sie anfordert (auch einem fremden Access-Point von außerhalb:-(). Damit der Client dem Access-Point-Radius-System vertrauen kann und damit die Anmeldedaten nicht in Klartext übertragen werden (WLAN-Client - AP - Radiusserver) muss zwischen WLAN-Client und Radiusserver ein Schlüssel/Zertifikat vereinbart sein. Damit wird die Vertrauenswürdig hergestellt und der Anmeldedatenverkehr verschlüsselt. (Jetzt kommt die Paranoia :-) Wenn die Schule und damit das WLAN entfernt von der Umgebungsbebauung liegt und keine IT-begeisterte Menschen durch die Räume der Schule gehen, dann ist das in der Regel kein Problem. Bei uns sind gegenüber mehrere IT-Firmen und auch Institute der Universität darum bin ich da vorsichtiger :-)) IMHO ist der vorherige Import der digitalen Zertifikaten sehr zu empfehlen. Nach dem Authentifizierungsvorgang kommt das Aushandeln des Sessionkeys für die individuelle WLAN-Verbindung. Danach ist die WPA2 Verschlüsselung sehr sicher. Hat das Serverzertifikat eine weitere Funktion, außer sicher zu stellen, dass man sich auch mit dem RADIUS-Server verbindet, dem man seine Credentials anvertrauen möchte, oder bleiben etwa genau diese unverschlüsselt? dto. Die Anmeldung funktioniert bei uns nämlich auch ohne dass man sich wie vorgesehen das Zertifikat installiert hat - was es für die BenutzerInnen natürlich einfacher macht. Ja, aber mit Anmeldedaten im Klartext und mit promisken Clients. IServ realisiert WLAN aus BLAU auch so und komplett ohne Zertifikat. ??? Sie verwenden aus GRUEN für Schulrechner sogar WPA(2)-PSK - wohl wissend, dass man in Windows 7 (und Mac OS X) nicht verhindern kann, dass jeder Benutzer diesen in Klarschrift auslesen kann. Das WPA2-PSK ist nur bedingt (private kleine Netze) zur Netzzugangs-Authentifizierung geeignet. Bei Grün sollte der Zugang IMHO besser abgesichert sein. (Aber für eine Grundschule im Grünen ist es sicher ausreichend :-) ) In XP und Ubuntu geht letzeres sinnvollerweise nicht, weshalb ich WLAN aus GRUEN mit temporären APs auch ohne Bedenken so eingerichtet habe (Notebookwagen). Mit Windows 7 käme dies für mich nicht in Frage. Es gilt eben immer einen dem Sicherheitsbedürfnis angemessenen Kompromiss zwischen Sicherheit und Benutzbarkeit zu finden ... Mir ist nicht klar welche Risiken (Nutzerhaftung) deine Schule bereit ist zu tragen? IMHO ist die WLAN-Authentifizierung mit WPA2 und die folgende Authentifizierung an einen Portal/Firewall über https zur anschließenden Nutzung der Internetangebote der Schule die z.Z beste Methode und einfachste Methode für Schulen. Offenes WLAN wäre m. E. nur vertretbar, Was verstehst du unter offenes WLAN ? (freifunk.net?) wenn die Anmeldung am Captive Portal via https erfolgte. Das ist auch möglich. Dann bekämen die Benutzer jedoch je nach Browser u. U. eine merkwürdige Meldung bezüglich eines unsignierten Zertifikats und in Android würde man die Meldung Dritte könnten einen belauschen nicht los. Auch da kann man das Zertifikat als Vertrauenswürdig einstufen. IMHO müssen die Schülerinnen und Schüler auch die Gefahren im Umgang mit WLAN bewältigen können. -- Mit freundlichen Grüßen Willi Platzer (Fachleiter für die Arbeitsschwerpunkte Informatik, ev. Religion und Mediendidaktik ) Ich bin. Aber ich habe mich nicht. Darum werden wir erst. E. Bloch ~~ .lehrerbüro. . mailto:leh...@platzer-net.de . telefon:.(+49)6151/136283 . mobile:.(+49)1758434707 . skype:platzer.willi?call .studienseminar.für.berufliche.schulen.in.darmstadt . http://sts-bs-darmstadt.bildung.hessen.de/ . telefon:.(+49)6151/3682510 . fax:.(+49)6151/3682519 .heinrich-emanuel-merck-schule . http://www.hems.de ~~ .Diese E-Mail wurde digital signiert. .Falls Ihr E-Mail-Programm nicht ueber die notwendigen Prueffunktionen verfuegt, .ignorieren Sie bitte die angehaengte Signatur-Datei. 0x0DCC4EE3.asc Description: application/pgp-keys signature.asc Description: OpenPGP digital signature ___ linuxmuster-user mailing list linuxmuster-user@lists.linuxmuster.net https://mail.lehrerpost.de/mailman/listinfo/linuxmuster-user
[lmn] Pound (reverse Proxy) auf ipfire für owncloud
Hallo ..., um den Zugang zu dem OwnCloud-Server sicherer zu gestalten habe ich Pound als Reverse Proxy installiert. Das böse Internet kommt nur noch bis zum IPFire. Nur Pound greift auf den OwnCloud-Server zu. Der Zugang zu andere lokalen Server (moodle usw.) kann so auch freigegeben werden. Sie benötigen einen DNS-Eintrag ( A-Record) der Ihren Web-Namen cloud.schule.de zu einer IP-Adresse auflöst. Im folgenden meine Schritte zur Installation. 1. Das Paket Pound-2.7-8 auf dem IPfire installieren 2. Zertifikat erzeugen (Frei nach http://www.linuxmuster.net/wiki/version3:ssl-zertifikat_fuer_den_apache_austauschen Ich habe es in /etc/certs/ in ipfire abgelegt. Achtung es muss bei Commonname die vollständige Adresse cloud.schule.de des Cloudservers angegeben werden! openssl genrsa -out cloud.key 2048 openssl req -new -key cloud.key -out cloud.csr openssl req -new -x509 -days 3650 -keyout cloud.key -out cloud.crt (Password sicher löschen) openssl rsa -in cloud.key -out cloud_clear.key key und certifikat in eine Datei (muss sein) cat cloud.crt cloud_clear.key /etc/certs/cloud.pem 3.erzeugen der Datei /etc/sysconfig/pound mit # Set run_pound to 1 to start pound or 0 to disable it. run_pound=1 # Specify additional pound options here (see manpage). pound_options= 4. erzeugen der Datei /etc/pound.cfg mit den Einstellungen für den Proxy ## Logging: (goes to syslog by default) ## 0 no logging ## 1 normal ## 2 extended ## 3 Apache-style (common log format) LogLevel1 ## check backend every X secs: Alive 60 # poundctl control socket Control /var/run/poundctl.socket # Cloudserver ListenHTTPS HeadRemove X-Forwarded-Proto AddHeader X-Forwarded-Proto: https Address 82.195.74.66 Port 443 # ist notwendig damit standard WebDAV aus geführt wird. es kann bei MS-Diensten auch xhhtp 3 notwendig sein # Android und Lightning funktionieren mit 2 xHTTP 2 # wurde in 2 erzeugt Cert /etc/certs/cloud.pem Service cloud # die vollständige Adresse cloud.schule.de des Cloudservers! HeadRequire Host: cloud.sts-bs-da.de.* BackEnd Address 10.110.1.1 Port 443 # Damit https to https funktioniert! HTTPS End End 5. pound testen /etc/init.d/pound start #stop restart 6. Firewall-Regeln ändern! a) firewall (ROT): 443 -10.110.1.1: 443 (Gelbe-Adresse des Cloudservers) Regel deaktiveren!!! b) Firewallregel Eingehender Firewallzugang erzeugen Quelle Rot auswählen (oder besser GeoIP mit der Auswahl der guten Länder :-) ) Ziel Firewall ROT (IP) auswählen (nicht die Zieladresse oder ein Standardnetzwerk eingeben) Protokoll TCP Quellport leer lassenZielport 443 Regelposition 1 Regel aktivieren Logging aktivieren Zeitrahmen Mon Die Mit Don Fre Sam Son von 6:30 bis 23:30 7. Änderungen übernehmen Das funktioniert bei mir. PS das neue Zertifikat muss bei den Clients beim ersten Aufruf importiert werden. Ich wünsche allen eine gute unterrichtsfreie Zeit. -- Mit freundlichen Grüßen Willi Platzer (Fachleiter für die Arbeitsschwerpunkte Informatik, ev. Religion und Mediendidaktik ) Ich bin. Aber ich habe mich nicht. Darum werden wir erst. E. Bloch ~~ .lehrerbüro. . mailto:leh...@platzer-net.de . telefon:.(+49)6151/136283 . mobile:.(+49)1758434707 . skype:platzer.willi?call .studienseminar.für.berufliche.schulen.in.darmstadt . http://sts-bs-darmstadt.bildung.hessen.de/ . telefon:.(+49)6151/3682510 . fax:.(+49)6151/3682519 .heinrich-emanuel-merck-schule . http://www.hems.de ~~ .Diese E-Mail wurde digital signiert. .Falls Ihr E-Mail-Programm nicht ueber die notwendigen Prueffunktionen verfuegt, .ignorieren Sie bitte die angehaengte Signatur-Datei. 0x0DCC4EE3.asc Description: application/pgp-keys signature.asc Description: OpenPGP digital signature ___ linuxmuster-user mailing list linuxmuster-user@lists.linuxmuster.net https://mail.lehrerpost.de/mailman/listinfo/linuxmuster-user
Re: [lmn] Eine Fragen zum ipfire und chilli
Hallo Marcus, danke für die Nachricht vom 21.07.2015, 08:08: Eine habe ich aber noch: Spricht etwas dagegen, die IPs der APs ins Server-Netz-VLAN zu setzen (also 10.16.1.x)? Ich will versuchen, alle über ein Webinterface zu administrierende Geräte (Switche, NAS und eben auch APs) im selben Subnetz (Server-Netz) zu haben, um sie dann von einem ebenfalls im Server-Subnetz befindlichen Rechner zentral andministrieren zu können. Ein klares Jain! Es hängt von der Funktionalität Deiner APs ab. Wenn sie für die Administrations-IP ein eigenes VLAN verwalten können, dann ist es etwas einfacher. Wenn nicht musst du 2 IPNetze in einem physischen Netz betreiben und das kann zu Komplikationen führen. Im Prinzip geht es. Du musst dem IP-Fire die richtigen Regeln geben und den APs den richtigen Gateway eintragen (Das geht in diesem Fall nur händisch). Probleme werden durch die Broadcasts aus dem 10.16.ner Grünen Netz in das Blaue Netz auftreten und dass der DHCP aus dem Grünen Netz eventuell auf Anfragen aus dem blauen Netz reagiert (2 DHCP) Ich würde es nicht machen. -- Mit freundlichen Grüßen Willi Platzer (Fachleiter für die Arbeitsschwerpunkte Informatik, ev. Religion und Mediendidaktik ) Ich bin. Aber ich habe mich nicht. Darum werden wir erst. E. Bloch ~~ .lehrerbüro. . mailto:leh...@platzer-net.de . telefon:.(+49)6151/136283 . mobile:.(+49)1758434707 . skype:platzer.willi?call .studienseminar.für.berufliche.schulen.in.darmstadt . http://sts-bs-darmstadt.bildung.hessen.de/ . telefon:.(+49)6151/3682510 . fax:.(+49)6151/3682519 .heinrich-emanuel-merck-schule . http://www.hems.de ~~ .Diese E-Mail wurde digital signiert. .Falls Ihr E-Mail-Programm nicht ueber die notwendigen Prueffunktionen verfuegt, .ignorieren Sie bitte die angehaengte Signatur-Datei. 0x0DCC4EE3.asc Description: application/pgp-keys signature.asc Description: OpenPGP digital signature ___ linuxmuster-user mailing list linuxmuster-user@lists.linuxmuster.net https://mail.lehrerpost.de/mailman/listinfo/linuxmuster-user
Re: [lmn] Eine Fragen zum ipfire und chilli
Hallo Markus, danke für die Nachricht vom 21.07.2015, 08:27: leider klemmt noch irgendwo etwas: Mein Server hat die 10.16.1.1 Auf dem Ipfire gibt es blau mit 172.16.16.254 Daran hängt der chilli Rechner mit eth0 172.16.16.2 Auf dem chili Rechner geht das internet und auch die Namensauflösung Holger Baumhof holger.baum...@web.de hat am 20. Juli 2015 um 20:08 geschrieben: Damit ich jetzt noch einmal zusammenfasse, was ich morgen zu tun habe: Ich gebe eth1 im chilli Rechner die IP 172.16.18.254 (z. B. 254). nein: eth 1 bekommt keine IP. Auch bei mir hat die Schnittstelle keine IP: nur eth0 und tun0 Dann logge ich mich wohl oder übel bei allen Access Points ein und ändere deren IP von 172.16.16.1 und folgende auf 172.16.18.1 und folgende (alles bei 255.255.255.0) ja. Muss ich dann den chilli rekonfigurieren und an der Stelle, wo er 192.168.99.? fragt, dann 172.19.18.? eingeben, oder bleibt das bei 192.168.99.? (Das ? weiss ich jetzt nicht mehr. Steht da 0 oder eine Zahl 0) nur wenn du das coovanetz umstellen mußt. Du hast: 192.168.0.0 mit 255.255.0.0 Wenn du nicht irgendwo auch ein 192.168er Netz hast, dann brauchst du das nicht umstellen. Hast du aber eines, dann mußt du das mittels dpkg-reconfigure linuxmuster-coova umstellen auf 172.190.0.0 mit 255.255.0.0 Achtung der private IP-Adressbereich geht von 172.16.0.0 bis 172.31.255.255 Die 172.190.0.0 ist von Übel. da es ein öffentlich IP-Adressebereich ist! NetRange: 172.128.0.0 - 172.191.255.255 CIDR: 172.128.0.0/10 Country:United States NetName: AOL-172BLK NetHandle: NET-172-128-0-0-1 NetType: Direct Allocation Organization: AOL Inc. (AOLIN-1) Weil ich einen DSL-Router habe und kein Modem liegt vor meinem IPFIRE red ein kleines Netz mit 192.168.2.x. Darum hat mein Test-Accesspoint nun die IP 172.16.18.2 Welche Netzmaske es ist nur die 255.255.255.0 erlaubt sonst kommt man in den Bereich von 172.16.16.0 und das ist von Übel! private IP-Adressbereich geht von 172.16.0.0 bis 172.31.255.255 ist sehr eng. Ich würde darum immer einen Bereich aus dem 10er Netz nehmen Da ist durch das System nur 10.16.0.0 - 10.31.255.255 belegt und alles andere ist frei. Man kann darum IPs vergeben die man sich leicht merken kann und die eine einfache Netzmaske haben. z.B 10.110.1.1 - 10.110.255.255 NMaske 255.255.0.0 für das WLAN 10.210.1.1 - 10.210.255.255 NMaske 255.255.0.0 für das Gelbe Netz 10.1.1.1 - 10.1.1.255 NMaske 255.255.255.0 für eine DMZ Ich habe zwar auch 172.190.0.0 probiert, nehme aber an, dass es ein Tippfehler ist und 172.19.0.0 heißen soll, oder? s.o. Jetzt sehe ich auf dem chilli Neben et0 und einem leeren eth1 auch tun0. Dort steht inet addr. 172.19.0.1 P-tP 172.19.0.1 Mask 255.255.0.0 Das funktioniert nicht! die Netzmaske muss 255.255.255.0 sein, sonst kommt es zu Überschneidungen mit dem Netz IP 172.16.16.0 Nun kommt das erste, was meiner MEinung nach nicht sein kann. Ich komme auf dem ipfire nicht per ssh auf den chilli. Auf dem chilli läuft ssh, ich kann eine Verbindung zu sich selbst aufbauen. Die Kabel sind nicht vertauscht und auf dem chilli geht ja das Internet. Mache ich aber auf dem ipfire ssh 172.16.16.2 -l m_rupprecht wird die Verbindung timed out. Stimmen die Firewall einstellungen für ssh? Schau mal in der IPfire Weboberfläche unter log - Firewall-Protokoll nach, was mit Deiner Verbindungsanfrage nach 172.16.16.2 passiert. Installiere tcpdump auf deinem chilli und schau mal nach was der chilli an tcp-paketen empfängt oder ausgibt. Mein Test Accesspoint hat nun die IP 172.16.18.2 und wenn ich mich per WLAN verbinde, dann kommt dort per ipconfig DNS Suffix lan IP4: 172.19.0.2 255.255.0.0 Gate 172.19.0.1 die Maske ist nicht erlaubt. ein AP brauch die eigene IP nur für die Administration über das Netz. für die Repeater-Funktion (LANWLAN) braucht es keine AP-IP. Nun sitze ich gerade am Notebook und gebe heise.de ein. Fehler. Seite kann nicht angezeigt werden. Nun gebe ich 193.99.144.85 ein und der Mozilla springt zu heise.de, bringt aber wieder den Fehler. Das sieht aus als ob die Namens-Auflösung nicht funktioniert. IMGHO solltest Du aber erst mal Deine IP-Netze in Ordnung bringen! Nun gebe ich 10.16.1.1 ein und der chilli kommt. Ich melde mich an, er meldet, dass die Anmeldung erfolgreich war. Nun bringt er die IPfire Warnung, dass er 10.16.1.1 nicht finden kann. Bei heise.de kommt wieder: Server nicht gefunden. Stimmen deine Gateway Einstellungen auf dem Chilli und deine Firewalleinstellungen auf IP-Fire. Nun schaue ich noch einmal im ipfire nach: Zugriff von blau auf LDAPs, ssh, ping, dns, https. Wie kommt Bau auf Rot? Wie ist es mit http? Wie ist es mit dem Zugriff von Grün auf Blau? Was sagt das log? Aber kein http. Ich probiere die ip von google mit https: Es kommt das er dem Zertifikat nicht traut. Ichlade es herunter und akzeptiere. Fehler: Sever nicht
Re: [lmn] Ärgernis owncloud: gruppen?
Hallo Tobias, danke für die Nachricht vom 16.07.2015, 01:55: sehe bei der Testkonfiguration auch die Gruppenanzahl, die er mit posixGroup eben findet (bei mir: 100). Aber die Benutzer haben unter Benutzer keine Gruppenzugehörigkeit. Ich kann auch beim Teilen mit anderen Benutzern teilen, nicht mit den Gruppen teachers oder ähnlichen. Natürlich hat owncloud auch bei mir das memberof fehlende Feature angemahnt. Ich habe owncloud 8.1 , aber das Phänomen trat auch schon bei 8.0.3 auf. Ich habe auch seit Anfang diesen Jahres die Version 8.X eingesetzt Bei mir hat es erst funktioniert als ich die LDAP Anbindung des owncloudservers auf LDAPS umgestellt habe. 1) Dazu ist aber auch zuerst notwendig in etc/ldap/ldap.config auf dem cloudserver TLS_REQCERT never einzufügen (Neustart weiss ich nicht mehr). (Die Zertifikatsprüfung habe noch ich nicht zum Laufen bekommen. :-/ ) 2) Dann die LDAP-Konfiguration ldaps://10.16.1.1 und Port 636 einfügen und dann durch das ganze Menü (Fortsetzen) klicken. Nach dieser Umstellung funktioniert es bei mir prima. -- Mit freundlichen Grüßen Willi Platzer (Fachleiter für die Arbeitsschwerpunkte Informatik, ev. Religion und Mediendidaktik ) Ich bin. Aber ich habe mich nicht. Darum werden wir erst. E. Bloch ~~ .lehrerbüro. . mailto:leh...@platzer-net.de . telefon:.(+49)6151/136283 . mobile:.(+49)1758434707 . skype:platzer.willi?call .studienseminar.für.berufliche.schulen.in.darmstadt . http://sts-bs-darmstadt.bildung.hessen.de/ . telefon:.(+49)6151/3682510 . fax:.(+49)6151/3682519 .heinrich-emanuel-merck-schule . http://www.hems.de ~~ .Diese E-Mail wurde digital signiert. .Falls Ihr E-Mail-Programm nicht ueber die notwendigen Prueffunktionen verfuegt, .ignorieren Sie bitte die angehaengte Signatur-Datei. 0x0DCC4EE3.asc Description: application/pgp-keys signature.asc Description: OpenPGP digital signature ___ linuxmuster-user mailing list linuxmuster-user@lists.linuxmuster.net https://mail.lehrerpost.de/mailman/listinfo/linuxmuster-user
Re: [lmn] Ärgernis owncloud: gruppen?
Hallo Michael, danke für die Nachricht vom 16.07.2015, 06:12: Hier klappt das ... ich kann mit Gruppen, die in der SchuKo angelegt wurden (also z.B. p_teachers_mathe) teilen. Wenn ich mit einzelnen Kollegen teilen will, muss allerdings bei der Suche mit dem VORNAMEN gesucht werden ... sucht man mit dem ersten Buchstaben des Nachnamens, findet OC hier nix wahrscheinlich ein kleiner Bug (V 7.x) Das ist auch beim 8.1. so. IMHO it's not a bug it's a feature :-) :-), wenn immer schon beim ersten Buchstaben gesucht wird, dann braucht das System mehr Rechenzeit (lange Listen) als mit 2 oder 3 Buchstaben -- Mit freundlichen Grüßen Willi Platzer (Fachleiter für die Arbeitsschwerpunkte Informatik, ev. Religion und Mediendidaktik ) Ich bin. Aber ich habe mich nicht. Darum werden wir erst. E. Bloch ~~ .lehrerbüro. . mailto:leh...@platzer-net.de . telefon:.(+49)6151/136283 . mobile:.(+49)1758434707 . skype:platzer.willi?call .studienseminar.für.berufliche.schulen.in.darmstadt . http://sts-bs-darmstadt.bildung.hessen.de/ . telefon:.(+49)6151/3682510 . fax:.(+49)6151/3682519 .heinrich-emanuel-merck-schule . http://www.hems.de ~~ .Diese E-Mail wurde digital signiert. .Falls Ihr E-Mail-Programm nicht ueber die notwendigen Prueffunktionen verfuegt, .ignorieren Sie bitte die angehaengte Signatur-Datei. 0x0DCC4EE3.asc Description: application/pgp-keys signature.asc Description: OpenPGP digital signature ___ linuxmuster-user mailing list linuxmuster-user@lists.linuxmuster.net https://mail.lehrerpost.de/mailman/listinfo/linuxmuster-user
[lmn] Kioskrechner (alte Laptop) an Blau
Hallo ..., ich habe einige alte Laptops mit Hilfe der http://porteus-kiosk.org/ Software an das blaue Netz gehängt. Wenn man den Browser mit http://chilli-wlan-ip/logoff starten lässt, dann wird beim Browser-Neustart automatisch die alte die Verbindung getrennt. Die zentrale Konfigurationsdatei kann man in /var/www auf den Chilli legen. Leider funktionierte bei meinen alten Rechner die WLAN-Verbindung nicht, darum ging es nur über Blau-LAN. Wenn Interesse besteht, kann ich einige meiner Erfahrungen mal aufschreiben. -- Mit freundlichen Grüßen Willi Platzer (Fachleiter für die Arbeitsschwerpunkte Informatik, ev. Religion und Mediendidaktik ) Ich bin. Aber ich habe mich nicht. Darum werden wir erst. E. Bloch ~~ .lehrerbüro. . mailto:leh...@platzer-net.de . telefon:.(+49)6151/136283 . mobile:.(+49)1758434707 . skype:platzer.willi?call .studienseminar.für.berufliche.schulen.in.darmstadt . http://sts-bs-darmstadt.bildung.hessen.de/ . telefon:.(+49)6151/3682510 . fax:.(+49)6151/3682519 .heinrich-emanuel-merck-schule . http://www.hems.de ~~ .Diese E-Mail wurde digital signiert. .Falls Ihr E-Mail-Programm nicht ueber die notwendigen Prueffunktionen verfuegt, .ignorieren Sie bitte die angehaengte Signatur-Datei. 0x0DCC4EE3.asc Description: application/pgp-keys signature.asc Description: OpenPGP digital signature ___ linuxmuster-user mailing list linuxmuster-user@lists.linuxmuster.net https://mail.lehrerpost.de/mailman/listinfo/linuxmuster-user
Re: [lmn] logrotate im IPFire
Hallo Holger , danke für die Nachricht vom 01.07.2015, 23:05: ich hatte mir den Beitrag von Steffen vor ein paar Tagen rotmarkiert um mal nach zu schauen, wie das auf meinen Servern aussieht: auf 4 Servern hab ich das Problem gefunden: das Verzeichnis /etc/logrotate.d war nciht vorhanden. Deswegen nehme ich an, dass wir alle betroffen sind, Bie mir ipfire Core-Update-Level: 91 (mit GeoIP Block) Ist das Verzeichnis vorhanden. Es wurde im Mai (vom System) angelegt. Das könnte der Update auf 90 gewesen sein. -- Mit freundlichen Grüßen Willi Platzer (Fachleiter für die Arbeitsschwerpunkte Informatik, ev. Religion und Mediendidaktik ) Ich bin. Aber ich habe mich nicht. Darum werden wir erst. E. Bloch ~~ .lehrerbüro. . mailto:leh...@platzer-net.de . telefon:.(+49)6151/136283 . mobile:.(+49)1758434707 . skype:platzer.willi?call .studienseminar.für.berufliche.schulen.in.darmstadt . http://sts-bs-darmstadt.bildung.hessen.de/ . telefon:.(+49)6151/3682510 . fax:.(+49)6151/3682519 .heinrich-emanuel-merck-schule . http://www.hems.de ~~ .Diese E-Mail wurde digital signiert. .Falls Ihr E-Mail-Programm nicht ueber die notwendigen Prueffunktionen verfuegt, .ignorieren Sie bitte die angehaengte Signatur-Datei. 0x0DCC4EE3.asc Description: application/pgp-keys signature.asc Description: OpenPGP digital signature ___ linuxmuster-user mailing list linuxmuster-user@lists.linuxmuster.net https://mail.lehrerpost.de/mailman/listinfo/linuxmuster-user
Re: [lmn] Netzwerk bricht zusammen, Fehlersuche
Hallo Heinrich, danke für die Nachricht vom 29.06.2015, 18:47: Ein seltsames Phänomen: zum wiederholten Mal kurz vor 12.00 Uhr im Unterricht (Raum 206) plötzlich kein Internet mehr - Cache leeren im Ipfire brachte das Internet schnell wieder zurück. , dann kurz darauf keine Netzwerk mehr. Ein Rechtklick bei Win7 auf Netzwerk - Problem beheben bringt das Netzwerk zurück. Ich habe einmal einen Auszug aus der syslog vom 25.6. angehängt. Darin erscheint öfter ein named[1551]: error (network unreachable) resolving ... just auch zu diesem Zeitpunkt. Kennt jemand die Ursache? Hat da jemand eine Idee? Man könnte möglicherweise das Problem eingrenzen :-) .-) Die Funktionsfähigkeit des Internetzugang hängt von vielen im Hintergrund laufenden Diensten ab. Der Fehler: named[1551]: error (network unreachable) resolving 'www.booking.com/A/IN': 2001:503:a83e::2:30#53 könnte möglicherweise (es ist denkbar, ich vermute, ich weiß es nicht) mit einen Problem der Namensauflösung zu tun haben. Test erst mal den Zugriff des Rechners auf das lokale Netz mit arp -a in der Kommandozeilen (Windows/Linux) sollten einige lokale Rechnernamen, IP-adressen und MAC-Adressen im lokalen Netz angezeigt werden. Wenn nicht, dann hat der Rechner keinen Zugriff auf das lokale Netz und du ein Problem im lokalen Netz. Wenn das funktioniert und das Netzwerk immer noch nicht funktioniert, dann teste mal, wieder auf der Kommandozeilen (Windows/Linux), den Zugriff auf Internet mit ping 8.8.8.8 (Zugriff ohne Namensauflösung) ping www.google.de (Zugriff mit Namensauflösung) Wenn beides nicht funktioniert, dann gibt es in der Regeln keinen Internetzugriff und du hast ein Problem mit dem Internetzugang. Wenn nur ping www.google.de nicht funktioniert, dann hast du ein Problem mit der Namensauflösung und dann PS.: Mich irritiert der versuchte Zugriff auf www.booking.com und die IPv6 Adresse 2001:503:a83e:0:0:0:2:30 für den Nameserver A.GTLD-SERVERS.NET (Habt ihr irgend wo für einen DNS die IPv4 192.5.6.30 eingetragen?) -- Mit freundlichen Grüßen Willi Platzer (Fachleiter für die Arbeitsschwerpunkte Informatik, ev. Religion und Mediendidaktik ) Ich bin. Aber ich habe mich nicht. Darum werden wir erst. E. Bloch ~~ .lehrerbüro. . mailto:leh...@platzer-net.de . telefon:.(+49)6151/136283 . mobile:.(+49)1758434707 . skype:platzer.willi?call .studienseminar.für.berufliche.schulen.in.darmstadt . http://sts-bs-darmstadt.bildung.hessen.de/ . telefon:.(+49)6151/3682510 . fax:.(+49)6151/3682519 .heinrich-emanuel-merck-schule . http://www.hems.de ~~ .Diese E-Mail wurde digital signiert. .Falls Ihr E-Mail-Programm nicht ueber die notwendigen Prueffunktionen verfuegt, .ignorieren Sie bitte die angehaengte Signatur-Datei. 0x0DCC4EE3.asc Description: application/pgp-keys signature.asc Description: OpenPGP digital signature ___ linuxmuster-user mailing list linuxmuster-user@lists.linuxmuster.net https://mail.lehrerpost.de/mailman/listinfo/linuxmuster-user
Re: [lmn] XP Rechner Domäne- (Um-) Anmeldung vom 4.06-Server an den 6.1 Server funktioniert nicht
Hallo Wolfgang, danke für die Nachricht vom 13.04.2015, 19:44: also sowohl auf dem Zentyal, als auch auf der Musterlösung liefert mir netstat -natup |grep 137 (bzw. 138) offene udp ports Ich werde mal morgen an dem Problem weiter arbeiten. Geg. muss ich mal einen xp-rechner neu aufsetzen und anmelden. (Leider muss ich einen Rechner mit dem Bibliotheksprogramm Littera betreiben und das läuft nicht unter WIN in LINUX.) -- Mit freundlichen Grüßen Willi Platzer 0x0DCC4EE3.asc Description: application/pgp-keys signature.asc Description: OpenPGP digital signature ___ linuxmuster-user mailing list linuxmuster-user@lists.linuxmuster.net https://mail.lehrerpost.de/mailman/listinfo/linuxmuster-user
Re: [lmn] XP Rechner Domäne- (Um-) Anmeldung vom 4.06-Server an den 6.1 Server funktioniert nicht
Hallo Wolfgang, danke für die Nachricht vom 13.04.2015, 19:08: Anscheinend kann der Name _ldap._tcp.dc._msdcs.PAEDAGOGIK nicht aufgelöst werden, über den der LDAP angesprochen wird. Auf dem Server sollte (nach Samba-Doku) der Befehl host -t SRV _ldap._tcp.dc._msdcs.PAEDAGOGIK eine Auflösung des Namens liefern. Wenn das auf dem Server selbst nicht klappen sollte, dann liegt das Problem tiefer. Das funktioniert bei meinem Server nicht. Sowohl auf dem Testserver in der VirtualBox als auch auf dem echten Server kommt ein Host _ldap._tcp.dc._msdcs.PAEDAGOGIK not found: 3(NXDOMAIN) Ich habe bei meine Clients (Win 7), die ich am WE an einen Samba4 angebunden habe den Server explizit als DNS-Server in die Netzwerkeinstellungen geschrieben - damit muss er ihn eigentlich zwangsweise finden. Habe ich auch schon gemacht. ABER ... auch als das klappte, bekam ich für den Domänenbeitritt noch den Fehler Falscher Benutzer oder Kennwort obwohl die definitiv richtig waren - Lösung war eine Zeitdifferenz 1 min zwischen Server und Client. Nur falls du auch noch gegen diese Wand laufen solltest :) Sind bei Dir auf dem samba-server die ports 137 und 138 offen? -- Mit freundlichen Grüßen Willi Platzer (Fachleiter für die Arbeitsschwerpunkte Informatik, ev. Religion und Mediendidaktik ) Ich bin. Aber ich habe mich nicht. Darum werden wir erst. E. Bloch ~~ .lehrerbüro. . mailto:leh...@platzer-net.de . telefon:.(+49)6151/136283 . mobile:.(+49)1758434707 . skype:platzer.willi?call .studienseminar.für.berufliche.schulen.in.darmstadt . http://sts-bs-darmstadt.bildung.hessen.de/ . telefon:.(+49)6151/3682510 . fax:.(+49)6151/3682519 .heinrich-emanuel-merck-schule . http://www.hems.de ~~ .Diese E-Mail wurde digital signiert. .Falls Ihr E-Mail-Programm nicht ueber die notwendigen Prueffunktionen verfuegt, .ignorieren Sie bitte die angehaengte Signatur-Datei. 0x0DCC4EE3.asc Description: application/pgp-keys signature.asc Description: OpenPGP digital signature ___ linuxmuster-user mailing list linuxmuster-user@lists.linuxmuster.net https://mail.lehrerpost.de/mailman/listinfo/linuxmuster-user
Re: [lmn] XP Rechner Domäne- (Um-) Anmeldung vom 4.06-Server an den 6.1 Server funktioniert nicht
Hallo Jörg, danke für die Nachricht vom 03.04.2015, 01:39: Leider kann ich derzeit nichts testen, deshalb nur: Den Port 137 kannst du in der Firewall öffnen, indem Du ihn in der Datei /etc/linuxmuster/allowed_ports einträgst und anschließend ein service linuxmuster-base restart absetzt. Ich kann z.Z nicht an die Rechner und werde deshalb nächste Woche mein Glück Schritt für Schritt mit den verschiedenen Hilfen versuchen. Allen eine erholsame Zeit und Danke. -- Gruss Willi ___ linuxmuster-user mailing list linuxmuster-user@lists.linuxmuster.net https://mail.lehrerpost.de/mailman/listinfo/linuxmuster-user
Re: [lmn] XP Rechner Domäne- (Um-) Anmeldung vom 4.06-Server an den 6.1 Server funktioniert nicht
Hallo Holger, ich wollte Dich nicht in deinem verdienten Urlaub stören. Danke für die Nachricht vom 03.04.2015, 08:30: Mein Problem sind z.Z. die XP-Rechner. Einfach im alten Netz abmelden, um klemmen und dann im neuen Netz neu anmeldenden funktioniert nicht. ist das neue Netz migriert, oder einfach neu installiert? Neu installiert, auch um alten Ballast los zu werden. Nur die Workstations-Datei SchülerInnen Datei und die Samba-Freigaben für Littera sind kopiert und als Text in die jeweilige Datei eingepflegt. Die Rechner waren in der alten Domäne? Jo Wie hieß die alte, wie heißt die neue Domäne? ich bin von schulpaedagogik (alte Domäne) auf paedagogik (neue Domäne) aufgestiegen :-)) Der alte Server heisst platon der neue heisst sokrates (zurück zu den Ursprüngen :-)) Und: was versuchst du eigentlich zu tun? Ja, die Rechner in die neue Domäne bringen? Ich werde Ende nächste Woche mein Glück Schritt für Schritt mit den verschiedenen Hilfen versuchen. Eine erholsame Zeit und Danke. -- Mit freundlichen Grüßen Willi Platzer (Fachleiter für die Arbeitsschwerpunkte Informatik, ev. Religion und Mediendidaktik ) Ich bin. Aber ich habe mich nicht. Darum werden wir erst. E. Bloch ~~ .lehrerbüro. . mailto:leh...@platzer-net.de . telefon:.(+49)6151/136283 . mobile:.(+49)1758434707 . skype:platzer.willi?call .studienseminar.für.berufliche.schulen.in.darmstadt . http://sts-bs-darmstadt.bildung.hessen.de/ . telefon:.(+49)6151/3682510 . fax:.(+49)6151/3682519 .heinrich-emanuel-merck-schule . http://www.hems.de ~~ .Diese E-Mail wurde digital signiert. .Falls Ihr E-Mail-Programm nicht ueber die notwendigen Prueffunktionen verfuegt, .ignorieren Sie bitte die angehaengte Signatur-Datei. 0x0DCC4EE3.asc Description: application/pgp-keys signature.asc Description: OpenPGP digital signature ___ linuxmuster-user mailing list linuxmuster-user@lists.linuxmuster.net https://mail.lehrerpost.de/mailman/listinfo/linuxmuster-user
Re: [lmn] XP Rechner Domäne- (Um-) Anmeldung vom 4.06-Server an den 6.1 Server funktioniert nicht
Hallo Jörg und Jürgen, danke für die Nachricht vom 02.04.2015, dass der Port 137 offen sein muss. Die erforderlichen Ports sind offen, wenn der Client per import_workstations aufgenommen wurde. Unter anderem deshalb ist dies erforderlich. Ich habe die Liste mit den workstations vom alten Server kopiert und schon mehrmals (ohne Fehlermeldung) gelöscht und dann neu importiert. Ich werde das händisch angehen und nächste Woche die Ports erst mal über auch Samba frei schalten. smb ports = 137 und über eine fw-regel Hat jemand Alternativen -- Mit freundlichen Grüßen Willi Platzer (Fachleiter für die Arbeitsschwerpunkte Informatik, ev. Religion und Mediendidaktik ) Ich bin. Aber ich habe mich nicht. Darum werden wir erst. E. Bloch ~~ .lehrerbüro. . mailto:leh...@platzer-net.de . telefon:.(+49)6151/136283 . mobile:.(+49)1758434707 . skype:platzer.willi?call .studienseminar.für.berufliche.schulen.in.darmstadt . http://sts-bs-darmstadt.bildung.hessen.de/ . telefon:.(+49)6151/3682510 . fax:.(+49)6151/3682519 .heinrich-emanuel-merck-schule . http://www.hems.de ~~ .Diese E-Mail wurde digital signiert. .Falls Ihr E-Mail-Programm nicht ueber die notwendigen Prueffunktionen verfuegt, .ignorieren Sie bitte die angehaengte Signatur-Datei. 0x0DCC4EE3.asc Description: application/pgp-keys signature.asc Description: OpenPGP digital signature ___ linuxmuster-user mailing list linuxmuster-user@lists.linuxmuster.net https://mail.lehrerpost.de/mailman/listinfo/linuxmuster-user
Re: [lmn] XP Rechner Domäne- (Um-) Anmeldung vom 4.06-Server an den 6.1 Server funktioniert nicht
Hallo Juergen, danke für die Nachricht vom 02.04.2015, 09:14: bist Du sicher, dass ipfire und linuxstandardmäßig so konfiguriert sind, dass eine Domänenanmeldung aus dem BLAUEN Netzwerk möglich ist? Das Problem mit der Anmeldung der Rechner betrifft das grüne Netz. Mir fällt nicht ein, wie ich sonst den Port auf dem Linuxmuster-Server offen bekomme. Wenn dann die Anmeldung immer noch nicht funktioniert muss ich weiter sehen. Neu aufsetzen wollte ich (noch) nicht. -- Mit freundlichen Grüßen Willi Platzer (Fachleiter für die Arbeitsschwerpunkte Informatik, ev. Religion und Mediendidaktik ) Ich bin. Aber ich habe mich nicht. Darum werden wir erst. E. Bloch ~~ .lehrerbüro. . mailto:leh...@platzer-net.de . telefon:.(+49)6151/136283 . mobile:.(+49)1758434707 . skype:platzer.willi?call .studienseminar.für.berufliche.schulen.in.darmstadt . http://sts-bs-darmstadt.bildung.hessen.de/ . telefon:.(+49)6151/3682510 . fax:.(+49)6151/3682519 .heinrich-emanuel-merck-schule . http://www.hems.de ~~ .Diese E-Mail wurde digital signiert. .Falls Ihr E-Mail-Programm nicht ueber die notwendigen Prueffunktionen verfuegt, .ignorieren Sie bitte die angehaengte Signatur-Datei. 0x0DCC4EE3.asc Description: application/pgp-keys signature.asc Description: OpenPGP digital signature ___ linuxmuster-user mailing list linuxmuster-user@lists.linuxmuster.net https://mail.lehrerpost.de/mailman/listinfo/linuxmuster-user
Re: [lmn] XP Rechner Domäne- (Um-) Anmeldung vom 4.06-Server an den 6.1 Server funktioniert nicht
Hallo Thorsten, danke für die Nachricht vom 02.04.2015, 12:34: ich habe die Liste mit den workstations vom alten Server kopiert Zeige doch mal bitte eine Zeile exemplarisch! Würde ich gerne mal mit meiner vergleichen. Mein Eintrag ist z.B. r234;bibliopc1;esprimo;00:19:99:19:8F:B6;10.22.34.1;255.240.0.0;1;1;1;1;0 Ich habe jetzt mal unter xp domänenanmeldung Namensauflösung weiter gesucht, und bin mit https://support.microsoft.com/en-us/kb/314108/de fündig geworden. Ich werde dann als erstes eine LMHOSTS-Datei nach der Anleitung erstellen, um die Namensauflösung der Domäne lokal zu erledigen. Manchmal hilft es darüber zu reden, um die nächsten Schritte zu planen :-) -- Gruss Willi ___ linuxmuster-user mailing list linuxmuster-user@lists.linuxmuster.net https://mail.lehrerpost.de/mailman/listinfo/linuxmuster-user
Re: [lmn] XP Rechner Domäne- (Um-) Anmeldung vom 4.06-Server an den 6.1 Server funktioniert nicht
Hallo Jörg, danke für die Nachricht vom 02.04.2015, 14:47: Ob die Ports das Problem sind kannst Du wie folgt testen: Du meldest Dich mit einem lokalen Account am Client an und versuchst dann, im Dateiexplorer auf \\10.16.1.1\username zuzugreifen (das tippst Du in die Adresszeile ein, dort, wo normalerweise so was wie C:\Programme steht). Das funktioniert alles. \\10.16.1.1\ mit domadmin oder anderen Namen und \\servername\ mit domadmin oder anderen Namen Das kann eine Weile dauern, aber dann solltest Du nach dem Passwort von username gefragt werden und dann dessen Homeverzeichnis sehen. Wenn das klappt, dann liegt es wahrscheinlich nicht an der Firewall. Alternativ kannst Du natürlich auch mal vom Client aus einen Portscanner laufen lassen. Auf Grund der Anzeige von Wireshark kann ich sagen, dass der Client-Rechner (10.22.37.1) an den Server (10.16.1.1) die Anfrage Name query NB Domain-Name1c über den Dest-Port 137 sendet. Diese wird mehrmals wiederholt aber nicht beantwortet. Der Port 137 ist auf dem Server zu. Vielleicht könntest Du auch einfach mal schreiben, worin genau der Fehler besteht. Die Domain-Anmeldung funktioniert nicht. Nach Eingabe des Domain-Namens in den XP-Rechner beginnt eine Wartezeit (Hier beginnen die Name query NB Domain-Name1c über den Dest-Port 137) und dann wird der Versuch abgebrochen. Die Windowsmeldung habe ich mir leider nicht aufgeschrieben. Aber inhaltlich lief es auf die Nichtauflösbarkeit des Domain-Namens heraus mit dem Hinweis die Netzwerkeinstellungen (WINS,DNS usw. zu überprüfen). (PS. Die Anmeldung habe ich auch mit manuel durchgeführten Eintragen versucht und hat aber auch nicht funktioniert) Der Client-Rechner kommt bei dem Anmeldeversuch NICHT bis zur Eingabeaufforderung des Administrator-Accounts (domadmin). -- Gruss Willi ___ linuxmuster-user mailing list linuxmuster-user@lists.linuxmuster.net https://mail.lehrerpost.de/mailman/listinfo/linuxmuster-user
Re: [lmn] XP Rechner Domäne- (Um-) Anmeldung vom 4.06-Server an den 6.1 Server funktioniert nicht
Hallo Juergen, danke für die Nachricht vom 02.04.2015, 16:00: wenn Jörgs Experiment klappt, versuch das gleiche mit \\server\username. Hat funktioniert. Eventuell musst Du den Namen Deines Servers in Deinem DNS einpflegen. Habe ich auch schon gemacht. XP benötigt ja zum Glück nicht mehr die netbios-Namensauflösung. Einträge in hosts oder lmhosts finde ich ätzend - da denkt später kein Mensch mehr dran. Da ich nur 3 Fest-Rechner habe (Wir haben aus Geldmangel :-( ) auf Bring Your Own Device (BYOD) umgestellt. Wenn Windows den Servernamen auflösen kann, müsste nur noch ein Computerkonto für den Computernamen existieren. Wenn ich linuxmuster richtig verstehe, sorgt import_workstations dafür, dass dieses generiert wird. Das ist vorhanden Irgendetwas hat aber auch linbo mit dem Computerkonto zu tun - das Du ja nicht benutzt? Ja, aber die Nur-Anmeldung funktionierte bei der Paedml-lösung (4.0.6). Bei 6.1. nicht mehr? @all: Könnte der Hase hier im Pfeffer liegen? Leider kann ich das erst nächste Woche überprüfen. -- Gruss Willi ___ linuxmuster-user mailing list linuxmuster-user@lists.linuxmuster.net https://mail.lehrerpost.de/mailman/listinfo/linuxmuster-user
Re: [lmn] XP Rechner Domäne- (Um-) Anmeldung vom 4.06-Server an den 6.1 Server funktioniert nicht
Hallo Holger, danke für die Nachricht vom 02.04.2015, 17:30: Hallo, ich bin im Urlaub, gut Erholung!!! soll der Rechner in die Domäne, muss seine Workstations Zeile mit einer 22 oder 1 enden, nicht mit 0! DANKE, ist das eine Änderung von PaedML 4.0.6 zu 6.1 ? Ich werde nächste Woche folgendes Versuchen 0. Neu-Import der XP.reg 1. Anmeldeversuch mit den Workstation-Änderungen und Import. Wenn's nicht geht: 2. Eintrag in die LMHOSTS Wenn's nicht geht: 3. Port 137, 138 am Server öffnen Wenn's nicht geht ... :-(( Na, das ist doch ein Plan. Melde mich dann um zu sagen was funktioniert hat. DANKE, an die Liste -- Gruss Willi ___ linuxmuster-user mailing list linuxmuster-user@lists.linuxmuster.net https://mail.lehrerpost.de/mailman/listinfo/linuxmuster-user
Re: [lmn] XP-Rechner Domäne- (Um-) Anmeldung vom 4.06-Server an den 6.1 Server funktioniert nicht
Hallo Alois, danke für die Nachricht vom 01.04.2015, 20:19: ich habe das bei uns realisiert. Ich habe ein XP-Image aus der alten Domäne (Version linuxmuster 5.1) abgemeldet und an der neuen (linuxmuster 6.1) angemeldet. Das hat ohne Probleme funktioniert. Beim Abmelden muss der rechner nicht am Netz hängen. So hatte ich mir das auch gedacht, aber Bei mir hängt etwas. -- Mit freundlichen Grüßen Willi Platzer (Fachleiter für die Arbeitsschwerpunkte Informatik, ev. Religion und Mediendidaktik ) Ich bin. Aber ich habe mich nicht. Darum werden wir erst. E. Bloch ~~ .lehrerbüro. . mailto:leh...@platzer-net.de . telefon:.(+49)6151/136283 . mobile:.(+49)1758434707 . skype:platzer.willi?call .studienseminar.für.berufliche.schulen.in.darmstadt . http://sts-bs-darmstadt.bildung.hessen.de/ . telefon:.(+49)6151/3682510 . fax:.(+49)6151/3682519 .heinrich-emanuel-merck-schule . http://www.hems.de ~~ .Diese E-Mail wurde digital signiert. .Falls Ihr E-Mail-Programm nicht ueber die notwendigen Prueffunktionen verfuegt, .ignorieren Sie bitte die angehaengte Signatur-Datei. 0x0DCC4EE3.asc Description: application/pgp-keys signature.asc Description: OpenPGP digital signature ___ linuxmuster-user mailing list linuxmuster-user@lists.linuxmuster.net https://mail.lehrerpost.de/mailman/listinfo/linuxmuster-user
[lmn] XP Domäne- (Um-) Anmeldung vom 4.06-Server an den 6.1 Server funktioniert nicht
Hallo ..., vielleicht hat jemand das Problem ja schon mal gelöst und kann mir helfen :-). Ich habe das in den letzten Wochen das 6.1-System mit ipfire, CoovaChilli und dem Owncloudserver neu aufgesetzt und bin jetzt beim Umziehen. Owncloud funktioniert mit LDAP-Anbindung nach einigen Problemen gut. Der CoovaChilli mit dem WLAN und LDAP macht's jetzt (an Grün) auch. (Den blauen Firewall muss ich noch neu konfigurieren) Mein Problem sind z.Z. die XP-Rechner. Einfach im alten Netz abmelden, um klemmen und dann im neuen Netz neu anmeldenden funktioniert nicht. Da ich nur noch 3 verschiedene Rechner (PC-Bibliothek, Laptop-Litterasuche, und PC Webseitenwartung) im System habe, benutze ich kein Imagesystem mehr. Ich will nur, dass sich die Nutzer anmelden müssen. Ich habe jetzt viele Ifos aus der Liste umgesetzt, aber es hat nichts genutzt. Alle festen Netzverbindungen (Laufwerk, Drucker) auf dem Client löschen. Passwort Server und Client auf 12345678 setzen. Reg neu einspielen Neue Rechnernamen vergeben. Rechner ohne Netz neu starten. Zur Sicherheit habe ich linuxmuster-setup --modify noch mal durch geklickt ... Als letztes habe ich mit Wireshark auf dem Client und mit tcpdump auf dem Server den Netzverkehr mit folgendem Ergebnis angeschaut. Der Client sendet wiederholt bis zum Abbruch nach einigen Sekunden eine NBNS Name Query mit dem Domäne-Namen an Port 137 von 10.16.1.1 (Server) Die Query kommt aber nie auf dem 10.16.1.1 an. Es sind nach nmap nur die folgenden Ports offen. (In den Logdateien steht natürlich auch nichts) PORT STATE SERVICE 22/tcpopen ssh 53/tcpopen domain 80/tcpopen http 110/tcp open pop3 111/tcp open rpcbind 113/tcp open auth 119/tcp open nntp 139/tcp open netbios-ssn 143/tcp open imap 389/tcp open ldap 443/tcp open https 445/tcp open microsoft-ds 631/tcp open ipp 636/tcp open ldapssl 873/tcp open rsync 993/tcp open imaps 995/tcp open pop3s Ich habe jetzt in den Hinweisen zu smb.conf lesen dass man die smb ports extra angeben kann. Aber jetzt bin ich erst mal zu hause :-) Hat jemand noch eine Idee? -- Gruss Willi ___ linuxmuster-user mailing list linuxmuster-user@lists.linuxmuster.net https://mail.lehrerpost.de/mailman/listinfo/linuxmuster-user
Re: [lmn] owncloud 7 / 8 und LDAP
Hallo Rettich, danke für die Nachricht vom 26.03.2015, 10:34: ich habe auf einem ubuntu 14.04.2 64 Bit Server owncloud 7 installiert und die LDAP-Anbindung nach Anleitung im Wiki http://www.linuxmuster.net/wiki/dokumentation:addons:owncloud:benutzer_aus_ldap?s[]=ownclouds[]=ldap durchgeführt. Mein Serve ist ein linuxmuster.net 6.0 server. Bis auf die Anmeldung hat auch alles Funktioniert. Wenn ich mich aber anmelden möchte sagt mir owncloud, dass das Passwort falsch sei. Bei mir hat es erst funktioniert als ich die LDAP Anbindung des owncloudservers auf LDAPS umgestellt habe. Dazu ist aber auch zuerst notwendig in etc/ldap/ldap.config auf dem cloudserver TLS_REQCERT never einzufügen (Neustart weiss ich nicht mehr). (Die Zertifikatsprüfung habe noch ich nicht zum Laufen bekommen. :-/ ) Dann die LDAP-Konfiguration ldaps://10.16.1.1 und Port 636 einfügen und durch klicken. Nach dieser Umstellung funktioniert es bei mir prima. PS. Wenn du den Zugang für das Internet freischaltest, solltest du so etwas wie fail2ban auf dem Cloudserver installieren. (Bei mir waren die Port-Zugangstester aus China schnell dabei). -- Mit freundlichen Grüßen Willi Platzer (Fachleiter für die Arbeitsschwerpunkte Informatik, ev. Religion und Mediendidaktik ) Ich bin. Aber ich habe mich nicht. Darum werden wir erst. E. Bloch ~~ .lehrerbüro. . mailto:leh...@platzer-net.de . telefon:.(+49)6151/136283 . mobile:.(+49)1758434707 . skype:platzer.willi?call .studienseminar.für.berufliche.schulen.in.darmstadt . http://sts-bs-darmstadt.bildung.hessen.de/ . telefon:.(+49)6151/3682510 . fax:.(+49)6151/3682519 .heinrich-emanuel-merck-schule . http://www.hems.de ~~ .Diese E-Mail wurde digital signiert. .Falls Ihr E-Mail-Programm nicht ueber die notwendigen Prueffunktionen verfuegt, .ignorieren Sie bitte die angehaengte Signatur-Datei. signature.asc Description: OpenPGP digital signature ___ linuxmuster-user mailing list linuxmuster-user@lists.linuxmuster.net https://mail.lehrerpost.de/mailman/listinfo/linuxmuster-user
Re: [lmn] CoovaChilli: Anmelden funktioniert nicht. Bei redirecting ...... hängt der Browser
Hallo Max und Sebastian, danke für die Nachricht vom 24.03.2015, 07:59: ich habe jetzt zum x-ten Mal den CoovaChilli aufgesetzt und es funktioniert nicht ... Die Reaktion in den WLAN-Clients ist immer die Gleiche a) Browseraufruf von WLAN-Client z.B. www.google.de bleibt hängen und stirbt b) Browseraufruf mit der IP von Coova 1. http://ip zeigt It Works 2. https://ip zeigt den Verzeichnisinhalt von var/www/hotspot hast Du nach http://www.linuxmuster.net/wiki/dokumentation:addons:linuxmuster-chillispot:konfiguration installiert? Immer, das kann ich langsam Auswendig :-) Inklusive deinstallieren von linuxmuster-chilli und anderen Programmen es sieht so aus, als ob die Clients schonmal den Coova erreichen können und dort auch ein Apache läuft... gib trotzdem mal bitte die Ausgabe von ifconfig auf dem coova hier aus, und auch ein ifconfig bzw. ipconfig (je nach System) auf dem WLAN-Client. Mache ich, wenn ich wieder vor Ort bin. Nslookup funktioniert für alle Namen (intern und extern). Mit dem Browser links2 auf der Kommandozeile funktioniert der Zugriff auf externe Webseiten. von wo aus funktioniert dieser Zugriff? Vom Server aus Ne, ich habe den ASCII-Browser links2 auf dem linuxmuster-chilli System installiert und von dort auch getestet. Ich konnte auf das Internet, LAN und die WLAN-Seite zugreifen. Das Problem liegt an dem Backend von Chilli in der Kommunikation mit dem Restsystem. Eine Rolle spielt dabei sicher auch die Konfiguration des IPFire für die blaue Seite und die Namensauflösung von Chilli über UDP. Aber das mache ich mal in Ruhe. Mich hat jetzt die Geduld verlassen und ich habe das System (linuxmuster-chilli) mit dem einem Bein (eth0) ins grüne Netz gehängt und dann neu installiert. Es funktioniert :-)). Damit kann ich bis zu den Osterferien leben :-) und dann sehen wir mal weiter. Danke für eure Mühe. -- Mit freundlichen Grüßen Willi Platzer (Fachleiter für die Arbeitsschwerpunkte Informatik, ev. Religion und Mediendidaktik ) Ich bin. Aber ich habe mich nicht. Darum werden wir erst. E. Bloch ~~ .lehrerbüro. . mailto:leh...@platzer-net.de . telefon:.(+49)6151/136283 . mobile:.(+49)1758434707 . skype:platzer.willi?call .studienseminar.für.berufliche.schulen.in.darmstadt . http://sts-bs-darmstadt.bildung.hessen.de/ . telefon:.(+49)6151/3682510 . fax:.(+49)6151/3682519 .heinrich-emanuel-merck-schule . http://www.hems.de ~~ .Diese E-Mail wurde digital signiert. .Falls Ihr E-Mail-Programm nicht ueber die notwendigen Prueffunktionen verfuegt, .ignorieren Sie bitte die angehaengte Signatur-Datei. signature.asc Description: OpenPGP digital signature ___ linuxmuster-user mailing list linuxmuster-user@lists.linuxmuster.net https://mail.lehrerpost.de/mailman/listinfo/linuxmuster-user
[lmn] CoovaChilli: Anmelden funktioniert nicht. Bei redirecting ...... hängt der Browser
Hallo ..., ich habe jetzt zum x-ten Mal den CoovaChilli aufgesetzt und es funktioniert nicht ... Die Reaktion in den WLAN-Clients ist immer die Gleiche a) Browseraufruf von z.B. www.google.de bleibt hängen und stirbt b) Browseraufruf mit der IP von Coova 1. http://ip zeigt It Works 2. https://ip zeigt den Verzeichnisinhalt von var/www/hotspot Nslookup funktioniert für alle Namen (intern und extern). Mit dem Browser links2 auf der Kommandozeile funktioniert der Zugriff auf externe Webseiten. 1. Versuch Ubuntu 12.0.4 und linuxmuster-chilli mit der Paketverwaltung installieren DNS Anpassungen gemacht Firewall von Blau ist für alle Netze offen. 2. Versuch Ubuntu 12.0.4 ohne Paketverwaltung: linuxmuster-chilli direkt installieren DNS Anpassungen gemacht. Firewall von Blau ist für alle Netze offen Hat jemand eine gute Idee? PS. der DHCP Eintrag in den Clients hat keinen DNS-IP Gruss Will signature.asc Description: OpenPGP digital signature ___ linuxmuster-user mailing list linuxmuster-user@lists.linuxmuster.net https://mail.lehrerpost.de/mailman/listinfo/linuxmuster-user