Netzwerk

Posts filed under Netzwerk

Telekom Entertain nach Wechsel auf BNG ohne VLAN 8 über Linux Router mit igmpproxy

Filed in Film, IPTV, Linux, Netzwerk

Nach der Umstellung durch die Telekom fällt neben dem Passwort-freien Zugang über PPPOE auch die Trennung von regulärem Internet über VLAN 7 und Fernsehen über VLAN 8 weg. Das Fernsehsignal kommt weiterhin per Multicast, nun aber über das normale ppp0  Interface. Zu Anfang gab es einige Probleme, diese wurden gelöst durch das zulassen des eigentlich nicht mehr benötigten Ethernet-Interfaces, das nur zum Zugang zum VDSL-Modem dient, meine Konfiguration:

igmpproxy.conf
==============
## Enable Quickleave mode (Sends Leave instantly)
quickleave

## Configuration for ppp0 (Upstream Interface)
phyint ppp0 upstream ratelimit 0 threshold 1
 altnet 87.141.0.0/16

## Configuration for eth0 (Downstream Interface)
phyint eth0 downstream ratelimit 0 threshold 1
 whitelist 239.35.0.0/16
 whitelist 232.0.0.0/8

## Configuration for eth1 (Dummy Interface)
#phyint eth1 disabled <-------- geht nicht!
phyint eth1 downstream ratelimit 0 threshold 1
 whitelist 239.35.0.0/16
 whitelist 232.0.0.0/8

## Configuration for eth2 (Disabled Interface)
#phyint lo disabled

Bis ich diese Änderung gemacht hatte, trafen die UDP-Datenpakete auf Port 10000 in der INPUT-Chain von IPTABLES auf, nicht in der FORWARD-Chain, natürlich gab es dann kein Fernsehen an den Endgeräten und mit VLC am Arbeitsplatz. Ebenfalls fiel auf, dass das ip-Kommando eine nicht stimmige Ausgabe gab:

# ip mroute
(87.141.215.251, 232.0.10.234) Iif: unresolved Oifs: eth0

Nach der Anpassung der igmpproxy.conf kam dann die richtigere Ausgabe:

# ip mroute
(87.141.215.251, 232.0.10.234) Iif: ppp0 Oifs: eth0

In der igmpproxy.conf ist hier jetzt nur der Source-Bereich für die UDP-Pakete mit den Mediendaten von 87.141.0.0/16 eingetragen, dies müsste natürlich bei etwaigen Änderungen der Telekom nachgeführt werden, die Multicast-Zielbereiche ebenfalls.

Eine gute Quelle für die Nutzung per VLC ist http://iptv.blog/artikel/multicastadressliste/, hier stehen auch Informationen über den Multicast-Stream.

IPSec mit Mac OS 10.9 und Strongswan

Filed in Allgemein, IPSec, Netzwerk

Eigentlich kein Problem, wird auf der Strongswan Seite beschrieben. Zusätzlich muss man aber das Zertifikat auf dem Mac noch freigeben, wie im Apple Forum angedeutet wird. Das Programm heißt auf Englisch Keychain Access und auf Deutsch Schlüsselbundverwaltung und befindet sich in /Programme/Dienstprogramme, hier muss das Zertifikat ausgewählt werden und nach Doppelklick muss hier unter Zugriff /usr/sbin/racoon zur Liste der berechtigten Programme hinzugefügt werden. Falls schon /usr nicht sichtbar ist, CMD-SHIFT-. zeigt versteckte Dateien an.

Telekom IP Telefonie mit Asterisk

Filed in Allgemein, Asterisk, Linux, Netzwerk

Funktioniert hat es schließlich mit folgenden Einträgen:
sip.conf

[telekom-out]
type=friend
username=<Benutzername, wird z.B. zur Anmeldung im Kundencenter genutzt>
secret=<Kennwort, wie es zur Anmeldung im Kundencenter genutzt wird>
host=tel.t-online.de
fromdomain=tel.t-online.de
qualify=yes
canreinvite=no
allow = alaw
allow = g726
allow = gsm
allow = ulaw
dtmfmode=inband
insecure=invite

extensions.conf

exten => _XX.,1,Set(CALLERID(name)=<Tel.Nr.>
exten => _XX.,1,Set(CALLERID(num)=<Tel.Nr.>
exten => _XX.,n,Dial(SIP/${EXTEN}@telekom-out,30,tr)

In der extensions.conf kann man natürlich auch etwas mehr Funktionalität unterbringen, zum Beispiel mehrere Caller-ID:

exten => _XX.,1,Set(CALLERID(name)=${IF($[ ${SIPCHANINFO(peername)} = <Name aus sip.conf>] ? <Tel.Nr. 1> : <Tel.Nr. 2>)})
exten => _XX.,n,Set(CALLERID(num)=${IF($[ ${SIPCHANINFO(peername)} = <Name aus sip.conf>] ? <Tel.Nr. 1> : <Tel.Nr. 2>)})
exten => _XX.,n,Dial(SIP/${EXTEN}@telekom-out,30,tr)

Android VPN Zertifikate importieren

Filed in Allgemein, Android, IPSec, Netzwerk

Um Zertifikate unter Android 2.2 (auf einem HTC Desire Z) zu installieren kann man diese per OpenSSL in das PKCS12-Format umwandeln und sie im Wurzelverzeichnis auf der per USB-Storage angeschlossenen SD-Karte ablegen, dann ruft man unter Einstellungen->Sicherheit->Zertifikate Importieren auf, hier wird man nach dem Kennwort gefragt. Das Konvertieren geht mit folgendem Aufruf:
openssl pkcs12 -export -in htc.pem -inkey htc.key -out htc.p12 -name "HTC Desire Z"
Das CA-Zertifikat kann dann in das DER-Format umgewandelt, am gleichen Platz abgelegt und auf die gleiche Weise importiert werden, hier entfällt natürlich die Passwort-Abfrage beim Import. Der Aufruf zur Konvertierung:
openssl x509 -outform der -in mycacert.pem -out mycacert.crt
Gefunden habe ich diese Information hier und hier.

mbox erneut zustellen

Filed in Email, Netzwerk

formail -s exim -bm -t < hier_mbox_datei

Eigentlich ganz einfach, zu beachten ist, dass die Zustellung an alle Empfänger erfolgt, auch an CC und eventuell vorhandenen BCC, zusätzlich zum TO.

ssl Zertifikat verlängern

Filed in Netzwerk

Vor langer Zeit habe ich einmal ein Zertifikat für S/Mime Nutzung erzeugt, leider habe ich vergessen, wie ich das gemacht habe und wo die Daten liegen, aus denen ich das neu erzeugen könnte. Glücklicherweise lässt sich alles rekonstruieren:

openssl pkcs12 -in smime.p12 > smime.pem

erzeugt eine Datei, in der das Zertifikat und der Key enthalten sind, diese verteilt man auf zwei Dateien, smime.pem und smime.key. Dann regeneriert man den request:

openssl x509 -x509toreq -in smime.pem -out smime.req -signkey smime.key

Dieser request dient nun zur Unterzeichnung des Zertifikats:

openssl x509 -req -days 995 -in smime.req -signkey smime.key -out smime.pem

Hieraus wird nun das pkcs#12 Zertifikat erstellt:

openssl pkcs12 -export -in smime.pem -inkey smime.key -out smime.p12 -name "S/Mime Zertifikat"

WPA2 auf EEEPC an router mit hostapd

Filed in Netzwerk, Wlan

Leider ging es nicht sofort, nach einigem Suchen aber doch noch. Die dem EeePC zugrundeliegende Distribution ist Xandros, diese scheint Probleme mit WPA2 zu haben, eine Beschreibung wie man diese durch auswechseln der Madwifi Treiber gegen die in der Debian Etch Distribution enthaltenen austauscht, findet sich im Wiki von eeeuser.com, hierbei benötigte ich nur „Download the wpa_supplicant from a Debian repository“ und „Install new madwifi drivers“, es funktioniert dann mit den Werkzeugen des EeePC.

Weiterhin musste ich in der /etc/hostapd/hostapd.conf auf dem Linux Router wie in der HostAP Mailing Liste beschrieben, wme ausschalten (wme_enabled=0). Ob dies alleine schon ausreichte, weiß ich nicht, da ich dies erst nach dem obigen Umbau auf die „IE in 3/4 msg does not match“ Fehlermeldung stieß.

IPSec mit X509 Zertifikaten

Filed in Netzwerk

Es steht zwar schon an vielen Stellen im Netz, aber so brauche ich nicht immer neu zu suchen :). Zertifikate sind zwar etwas komplizierter als Geheime Schlüssel, sind aber auch sicherer und an einigen Stellen dann doch wieder arbeitserleichternd. Vorraussetzung ist das openssl Paket.

Read the rest of this entry »

Linux IPSec Kopplung dynamische IP zu dynamische IP

Filed in Netzwerk

Relativ einfach kann eine Netzwerkkoplung zweier Linuxnetze mit z.B. Strongswan hergestellt werden. Hierzu werden einfach beide Seiten so konfiguriert, dass beim Aufbau der Internetverbindung (mit Zuweisung einer neuen IP-Adresse) die IPSec Verbindung zur Gegenseite aufgebaut wird. In der Konfigurationsdatei können die z.B. über http://www.dyndns.com/ bekannt gemachten Namen für die Gegenseite verwendet werden, der Verbindungsaufbau beträgt ca. 1 Minute, es sollte also fast immer funktionieren.

Hier folgen bald die Konfigurationsschnipsel.

Spamfilter mit Exim

Filed in Netzwerk

Um Netzwerkweit Spamfilter einsetzen zu können, habe ich mittlerweile 2 Filter im Einsatz, Bogofilter und Spamassassin, ich verwende eine eigene, handgepflegte exim4.conf, die entsprechenden Änderungen sollten jedoch auch in die normale exim4.conf.template eingefügt werden können. Exim ist konfiguriert für maildir, was ich bevorzuge.

Read the rest of this entry »

Oenology Post Formats
Click to view/hide
Posts Calendar
Click to view/hide
Mai 2018
M D M D F S S
« Apr    
 123456
78910111213
14151617181920
21222324252627
28293031  
Archive
Click to view/hide
Letzte Beiträge
Click to view/hide