Dienstag, 9. Februar 2016

JenniNet Neuaufbau

Dass Interne Netzwerk der Herbrich Corporation und von Herbrich Leyer namens JenniNet soll bald neu aufgebaut werden, Hintergrund ist der Aufbau einer neuen Infrastruktur in Herbrich Wohnhaus 5 (Malamos) und den ebenfalls Kompletten Neuafbau von Herbrich Wohnhaus 4. Neben neuen Access Points die Controller Basierend sind und somit auch Zentral Verwaltet werden können werden auch noch neue Server und Dienste für Websites aufgebaut. Der JenniFrame Server soll ebenfalls ein komplettes Remake erfahren. So wird in den neuen JenniFrame Server standartmäßig die neue Alka Technollogie eingebaut so dass dieser bei verdächtigen Aktivitäen sofort bescheid geben kann und man endsprechend reagieren kann. Alles in einen wird das gesamte System auch viel Hetrogener ausfallen weil auch vermehrt Linux (Debian Jessie) auf den Servern eingesetzt werden soll. Controller werden auf basis des Rasbperry Pi (Model +b?) aufgebaut werden so dass diese auch mit einen Linux (Jessie) betreiben werden können. Dass vereinfacht die Administration. Eine Zentrale Netzwerk Verwaltung sorgt darfür dass alles ohne Probleme verwaltet und überwacht werden kann. Die neuen Systeme werden von Holstenhof ebenfalls implementiert werden so dass diese auch über das Octavio Gateway zur Verfügung stehen. Die Interconnects zu anderen Federationen übernimmt die neu gegründete Gecelter Networks Associaton. Weitere Technische Details werden hier in kürtze bald Folgen.

Chaos Computer Club Hamburg

Seid dem 32c3 bin ich öfters beim Chaos Computer Club in Hamburg, der Space ist einfach genial und ich kann dort in ruhe Programmieren. Auch die Leute dort sind sehr nett. Ich selber fühle mich dort schon (fast) wie zuhause. Ich finde es eigentlich schade dass ich so wenige Menschen für das Thema Computer Interessieren. Naja, auf jeden Fall giebt es dort eine menge Getränke. Übrigens: Ich bin durch Freifunk Hamburg auf den Trichter gekommen da öfters mal vorbei zu schauen. Mitglied in Chaos Computer Club bin ich schon seid 2013. Bei Freifunk Aktiv dabei bin ich seid den letzen Hacker Congress.

Montag, 3. August 2015

Windows 10 und der Updae Terror!

Ist Windows 10 wircklich umsonst? Die Antwort ist nein, denn wen man sich mal die Kinderserie Momo und die Grauen Herren (Microsoft) angesehen hatt dann wird man schnell mal merken wie viel von seiner Wertvollen Zeit man diesen Microsoft Updates schenkt.

Die Ausgangslage bei mir ist ein Sony Vaio Laptop der einfach nicht mehr Benutzbar war, ich brauche ihn aber für einen größeren Programmierer Auftrag. Also wollte ich erstmal Windows 7 rauf laden. Doch es lies sich nicht herunterladen weil Vista nach 10 Minuten abstürtzte, egal wass man machte.

Nach langen überlegen kahm eine Windows 8 Instalations DVD zum einsatz, genauer genommen Zwei mal. Die EISA Installation von Vista ist eine 32er Version, Dass Nootbook ist alerdings ein 64bit System. Also mit der 64 Bit ging es dann.

Dann erstmal dass Upgrade Tool laufen lasse biss ich dann merkte dass es nicht Kotenlos ist. Warum? Ganz einfach, da fehlte Windows 8.1! Also wollte ich es installieren, Downloader geht nicht und der App Store giebt auch nicht mehr viel her. Jetzt muss ich also erstmal Updates Installieren, doch scheinbar lassen sich nicht alle Updates gleichzeitig laden. Denn dann wird nichts unternommen. Der Balken läuft ewig und das wars. Ich habe also erstmal testweise 4 Optionale Updates installiert, der Rechner intallierte (ja ich weiß, beim Reboot kam die Böse Überarschung) 44 Updates, dazu waren 3 Reboots nötig biss dann entlich wieder der Logon Screen zu sehn ist.

Der Ordner $WINDOWS-TB ist auf den C:\ laufwerk zwar zu finden, aber seine anwesenheit scheint irgendwie nichts auszurichten. Die Datein scheinen aber auch nur weniger als 500MB groß zu sein. Ich werde weiter schreiben und berichten wenn ich Windows 8.1 erfolgreich Installiert habe.

Donnerstag, 30. Juli 2015

Stress mit den Betreuern

Ich habe mal wieder Stress mit den Betreuern obwohl ich nicht verstehen kann wieso! Ich weiß es ist z.Zt sehr Schwierig aber ich möchte mich ja auch weiter Entwickeln, doch jetzt verstehe ich hier echt nicht mehr was Sache ist. Einige drohen hier mit Anzeige aber warum? Ich habe die Polizei ganz zurecht gerufen und ich weiß auch nicht wieso alle jetzt dagegen sind dass ich in eine Klinick gegangen bin. Ich werde morgen bei den Gespräch mit meinen Betreuer versuchen dass aller beste drauß zu machen!

Freitag, 19. Juni 2015

Windows 10 Test Teil 2

Ich habe mir eben gerade Windows 10 auf den Laptop geladen, und muss sagen mir Gefält es wircklich gut. Windows 10 kann sich sehen lassen nach dem Windows 8 und Windows 8.1 der reinste dreck waren.


Der Windows Defender hat auch die meisten der angezeigten Test vieren endpfernt, was jedoch durchaus sehr gut ist dass entlich ein qualifizerter Virenschutz und vor allen dingen entlich auch ein Browser der was kann und flüssig läuft gleich vorinstalliert dabei sind.


Man kann sofort loslegen zu Arbeiten direkt nach dem man Winodws 10 installiert hat, alerdings (wie zu erwarten) muss man den Rechner für Cortana mit einen Microsoft Konto verbinden, da nervt es einach immer dass man den Zugangscoode an die Zweite email Addresse schicken lassen muss.


Was jetzt noch zu meinen großen glück Fehlen würde währe jetzt halt eben nur noch ein Office 2010 System. Aber mal schauen ob 2007 da noch geht weil ich immer noch einen SharePoint 2007 Server im Einsatz habe. Aber auch hier erfolgt jetzt noch mal ein Test mit Microsoft Edge.

Dienstag, 16. Juni 2015

Ergänzung Statische IP zum mitnehmen!

Ein punkt wurde im letzten Post ja leider noch nicht besprochen, undzwar was passiert wen die Internet Verbindung ausfällt. Nun der Server routet dann ins lehre. Geht es um den Mail versand so kann man einfach auf denn VPN-Server ein MailRelay installieren (auchtung: Sicherheit geht vor, also beim Konfigurieren auf OpenRelay Problematik achten!). So deswieteren muss man auch noch mal schauen ob man wircklich alle Dienste Relayen kann. Bei einen Webserver sollte man ein Reverse Proxy einsetzen mit einer endsprechenden Fehlermeldung z.B. den text "Ich bin gerade z.Zt. Ofline. Bitte versuchen sie es Später erneut! :-(" oder so ähnlich. Aber auf jeden Fall sind dass alles hier nur Optionale Goodis die man einbauen kann um sagen wir mal so die ganze Sache etwas aufzupeppen. Für die grundlegende Funktionalität sind diese sachen nicht erforderlich.

Deswieteren kann man auch noch die anderen Blog Beiträge anwenden so kann man zumbeispiel einfach mal ein Zweiten Reverse Proxy (aller ISA / TMG) installieren um so mehrere Webserver sicher unterzubringen.

Und da dieses ganze Konzept auf VPN-Verbindungen basiert kann man sich auch gleich mit seinen Mobiel Geräten einwählen und hat so eine sichere Verbindung in sein heimnetz.

Sehr hilfreich ist dieses vorgehen wen man den Router (ich wohne leider in einer WG deswegen habe ich hier das Problem) nicht neu Konfigurieren kann oder darf (Stichwort Portweiterleitungen) dann kann man so diese Problematik umgehen und sich einfach ins Interne netz einwählen wen gleich ich dazu noch sagen muss das man da mit anderen Partein die den Router auch noch benutzen ananeinder geraten kann. Ich habe dieses Probem elegant mit einer Router Kaskade gelöst. Am WG Router hängt ein ISA-Server 2006 dran der sich einfach wie ein normaler Client verhält und sich eine IP-Addresse via DHCP zieht. Intern habe ich die Konfiguration so gehandhabt wie es mir past (z.B. größeres Subnetz, und und und...). Man kann sich so einfach Freiheiten einräumen ohne anderen auf den Schlips zu treten.

Desweiteren kann man natürlih über den Server auch die Netzwerke der Freunde vernetzen, wer viel Daten mit einander austauscht und bereit ist sich nen DD-WRT fähigen Router hinzustellen kann da bereits schon mitmachen (Auch hier ist eine Router Kaskade der einfachste Weg da der neue DD-WRT Router einfach nur dazwischen geschaltet werden muss, aber es muss nichts geändert werden am bestehenden Netzwerk so das etwilige Mitbenutzer der Heimnetzwerks sich einfach weiter normal im Internet oder auch im Internen Netzwerk bewegen können.

Wie man also sieht sind den möglichkeiten keine grenzen gesetzt. Alerdings sollte man sich über die Einteilung der Subnetze gedancken machen da ein Ethernet Tunnel nicht gerade so performant ist da sich Boradcast im gesamten Netzwerk ausbreiten. Am sinvollsten ist es ein Großes Subnetz zu definieren. Anschlißend Routet man dass gesamte subnetz zum Zentral Computer, am Zentral Computer wird dann einfach das jewilige subnetz mit endsprechner subnetz maske zu den einzehlenden Teilnetzen hin geroutet.


Ein Beispiel aus meinen System, dass JenniNet:

JenniNet 10.140.0.0 - 14.149.255.255
Zentralcomputer 10.140.0.0 / 22
Herbrich-W1 10.145.0.0/22
Herbrich-W5 10.147.0.0/22
Herbrich-W3 10.142.0.0/22

Der Rest ist Reseviert für VPN / RAS und für zukünftige Dinste. Alles was in 10.140.XXX.XXX netz ist gehört zu einen Physichen Ort. Das hat den Grund das ich so Logisch mit V-Lans noch unerschiedliche Lokale Teilnetze Bilden kann.

Ganz Nett: Eine eigene TLD

Ich hane im JenniNet (meinen eigenen Netzwerk) die TopLevel Domäne her für Herbrich eingerichtet. Man installiert einfach irgendwo DNS-Server (meistens auf den Zentral Rechner) und hinterlegt dort erstens eine Forward Route (z.B. zu Google-DNS also 8.8.8.8 und 8.8.4.4), dann erstellt man eine eigene DNS-Zone und kann dadrinnen eigene Domains erstellen.

Wer richtig übertreiben mag kann sich noch mit der Windows Server DNS-Api oder einer anderen DNS-API einfach eine eigene domain Registrierungs Seite bauen (ASP.NET / PHP, etc...) und so können die User einfach mal eigene Domain registrieren. Das selbige geht auch für den Webserver (IIS, Apache, Nginx, etc...) wo man einfach ebenfalls über eine API eine Art Hosting Pannel bauen kann.

Als iTüfeltchen kann man sich noch in wenigen Minuten ein Whois Server basteln. Ein SRV record wird einfach mit endsprechenden Daten in DNS hinterlegt. So kann man z.B: einfach ohne Probleme whois.tld einrichten und darauf ein Wohis Service bauen.

Email geht zwar auch mit den Internen TLD,s aber für sowas würde ich mir dann doch schon ehr eine richtige Domain holen. Bei dot.tk giebt es sogar gute TLD,s einfach umsont.

Alerdings hat man schnell je nach benutzer aufkommen Probleme die sich aus Verwaltungs technischer Sicht ergeben. Neben Mobilen Benutzern (diese sollten übrigens auch ein eigenes subnetz, am besten im Verwaltungs Bereich des Zentral Rechners haben^^) giebt auch noch eine menge Stationärer Clients. Für so einen Fall sollte man sich ein Verzeichniss Dienst einrichten, Ich nutze wie könnte es auch anders Sein Microsoft Active Directory. Der Whois ist eine Visua Basic Anwendung die endpsrechende Daten gleich via LDAP abfischt und mit einen String Builder in ein Konformes Format bringt). Eine Zertifizierungs Stelle macht natürlich je nach dem wie viel Spaß man haben will oder wie viel man ausprobieren oder nutzen möchte auch sin, ich habe gleich merere Hirahisch Strukuriert).

Als Zentrale anlauf stelle nutze ich ein Sharepoint Server der ein Intranet bereit stellt. Der Server ist bei mir alerdings etwas größer und mit vmware Virtualisietrt.

Abschlißend noch zu den Grundlegenden Sachen. Ein Zentral Verwalteter DHCP (Der von Microsoft bietet sich darfür gerade nurzu an) ist bei soeiner größen Ordung auf jeden Fall sinvoll. RADIUS-Server vereinfachen die Autentifizierung am W-Lan Netzwerken.

Beispiel: Mein kollege kommt bei mir zu besuch, sein Handy logt sich automatisch ins Acces Point ein weil er dass selbe W-Lan Netz auch zuhaue hat. Genau so funktioniert dass natürlich auch umgekert. im Hintergrund wird da einfach nu ein Radius Server konsultiert.

Für den DHCP ergeben sich alerdings einige Probleme. Da der DHCP sich in Rechenzentrum auf einer vmware befindet bekommt nichts mit von den Broadcasts, aber da kann man auf den Router (DD-WRT) zum glück ein DHCP-Foarwarding einstellen so dass man ohne Probleme die Daten über das IP-Protokoll doch noch an den DHCP-Server bekommt. Der antwortet dan einfach den Router und er fungiert ja eh alls Gateway und verteilt somit die empfangene IP-Addresse an den anragenden Client.

Zum Thema Traffic, je nach Sizing (Dimensionierung) des Netzwerks sollte man sich aber gut überlegen den gesamten Traffic durch den Zentral Rechner laufen zu lassen. desweitren sollte man sowas auch mit Viel vertrauen aufzihen da die Rchtliche Seite bei Missbrauch nicht außer acht zu lassen ist.

Aus diesen Grund wird empfolen den Internet Traffic (0.0.0.0/0) direkt über den WAN Port zu routen und den Intrernen Traffic (also im prinzip alles was mit 10 beginnt) durch den VPN-Tunnel zu jagen. So sind die Internen Dienste ereibar auch wen der normalle Traffic durch,s normale Internet geht.

Bei der Wal des VPN,s sollte man auf den Uplink Tunneln (Site to Site) auf jeden fall auf ipSec setzen. (auch deswegen schon die eigene oben erwähnt Zertifizierungs stelle). PPTP ist auch in Ordnung wen gleich es verdammt unsicher ist. PPTP ist auch zu benutzen wen ipSec nicht geht oder gespeert ist, aber PPTP nocht geht, in diesen Fall wird dann einfach ein tunnel im tunnel gemacht, nämlch ipSec. Aber diese Lösung ist alles andere als gut weil man da einfach das Problem hat dass der Overhead zu hoch wird und die Leitung so langsamer wird. (Mit einen Modem will man ja schlißlich nicht rein oder doch?).

Modem und ISDN?

Wer den eigenen privaten Mini Internet noch Homeserver hinzufügen will, der kann sich natürlci hauch so zuhaue DialIn Nodes bereitstellen. Für solche Spilerein habe ich das Subnetting ja auch extra groß genug gehalten^^.

*Wen das Private mini Internet sich über mehrere Länder erstreckt (geht ja weil das VPN ja durch das normale Internet läuft.) kann man auch lokale Modem Dialins einsetzen und auf diese weise in endsprechenden ländern Günstig oder sogar Gratis (Stichwort Festnetz Flate) im internet Surfen.

Telefonieren?

Ich habe auf den Zentral Computer noch Microsoft Lync Server reingestellt, damit ist Instand Messaging und Telefonie möglich. Und jetzt kommt ein echter Insider Tipp: Bei eventphone bekommt man echte Festnetznummern, man kann zwar nicht mit ihnen Telefonieren aber angerufen werden. So können alle Benutzer mit ihrer eigenen Lync nummer versehen werden. Echt toll oder nicht?

Das war jetzt Privat, kann man es auch Geschäftlich nutzen?

Ja klar kann man dass Geschäftlich nutzen genau so wie ich es hier nieder geschrieben habe. Alerdings sollte man hier noch beachten dass man da einige Policys einfüren sollte. So sollte nicht jeder neue Geräte installieren könnten. Die Daten Dosen sollte man verstopfen mit Radius Autentifizierung, mein LevelOne Switch hat alle Ports Verstopft (Blockiert), um rein zu kommen muss sich jeder neuankömmling erstmal via Radius Autentifiziren.

Was ist bei einer Federation zu beachten?

Das kommt auf die Dienste an, aber erstmal grundlegend folgende Dinge

  • Routing
  • Namesauflösung (DNS)
Da müssen endsprechende Verbindungen (Routen) geschaffen werden, Das heißt die DNS Zone wird auf den eigenen DNS Repliziert oder Deleigert und umgekert mit der Localen DNS-Zone genau so.

Bei IP werden einfach endsprechende Routen gesetzt (IPv4 und IPv6) wo bei letzteres natürlich nur wen vorhanden

Optional giebt es noch weitere Punkte: z.B. Emails: Warum sollten Emails durch's unsichere Internet gehen wen diese auch Local geroutet werden können, also auch hier einfach einen Connector einsetzen.

Verzeichnisse: Auch das Active Directory sollte mit einer Vertrauensstellung zwischen den beiden Domänen versehen werden.

Lync, Asterisk und co: Natürlich sollten auch die SIP-Server gekoppelt werden und es müssen endsprechende Rufnummernpläne gemacht werden (bei mir #67377#) für Federationen. Anschlißend müssen die SIP-Server auch noch wege finden die Gespräche zu übertragen. Also müssen endsprechende Routen auch da eingetragen werden.

Daten: Optional noch SQL-Server und DFS Repllikationen oder Spiegelungen.

Sharepoint: Da müssen noch vertrauenswürdige Hostspeicherorte für Mysites definiert werden. Ist man im Sharepoint des Federations Partners, dann sollte man auch über den Link "Meine Website" auch auf seine eigene wirckliche MySite kommen und nicht einfach (ungewollt?) eine neue auf den Systemen des federations partners erstellen.

Eigene Entwicklungen: Gemeinsam Standartisierte eigen Entwicklungen müssen einfach System spezifisch verbunden werden, aonsten muss eine eigene Lösung entwickelt werden.

am einfachsten sind WhoIs Dienste: da zu wird einfach ein SRV verwendet, diese werden also schon mit den DNS verbunden.

Die Zertifizierungs Stelle des Federations Partners muss enweder als Kreuzzertifizrungsstelle auselegt werden oder aber (der einfachste Weg) in die Lokale Active Directory gruppen richtlinie eingefügt werden. Nicht desdo trotz müssen aber trotzdim die CRL (Zertifikat Speerlisten) ausgetauscht werden. Da zu mus ein endsprechender Punkt veröffentlicht werden. Eine zusätzliche URL (Falls nicht schon vorhanden) in HTTP sollte reichen. Aber auch mich mahct eigentlich Active Directory schon den ganzen kram automatisch im Hinterrund sobald eine Vertrauensstellung aufgebaut wird ist der LDAP Path ja ereichbar und so kann dieser zum bezihen der CRL herangezogen werden.

Schlusswort

So auch wenn das ein wenig am Titel vrobei gerauscht ist am ende so habt ihr hier eine tolle Inspriation euer eigenes Internet im Internet für euch und eure Freunde zu machen. Natürlich müsst ihr nicht alles implementieren, ihr sied an dieser stelle einfach mal gefordert das einzubauen was ihr haben wollt oder das weg zu lassen was ihr nicht wollt. Da diese Lösung eigentlich recht Modular ist könnt ihr diese ohne Probleme auch nach einiger Zeit weiter ausbauen. Schreibt doch einfach in die Komentare was ihr drinnen haben würdet, und was ihr weg lassen würdet. Und ob ihr vor habt sowas oder etwas ähnliches mal umzusetzen. Auf wunsch veröffentliche ich mal auf meiner homepae www.herbrich.org im Computer bereich auch gerne Tutorials dazu,

Meine Kurtzgeschichten über den Stoned Hacker?

Ich möchte in diesen Post mal erläutern wie ich auf die Idee kahm den Stoned Hacker zu erfinden; Ich habe von nicht all zu langer Zeit mal den Bastard Operator from the Hell gelesen und fanf ihn sehr witzig dass ich umbedint mal was eigenes schaffen wolle. Doch da ich nicht einfach alles Kopieren wollte und eine neu auflage machen wollte habe ich mich dazu endschieden was anderen zu nehmen, und da ich durch meine Freunde auf's Thema Kiffen gekommen bin habe ich halt eben den Stoned Hacker erfunden. Ich möchte aber auch noch mal dazu sagen das ich selbst zum Stoned Hacker keinen Persönlichen Bezug habe.

Obwohl ich manchmal vor'm rechner ein Joint rauche um mich besser auf meine Arbeit (dass Programmieren) konzentrieren zu können habe ich meinstens alles bei Klaren bewustsein auf die beine gestellt. Ich Arbeite auch nur in ausnahme Fällen vor'm Rechner bekifft, die meiste Zeit bin ich völlig normal drauf.