Montag, 8. Mai 2017

Die nervende WAF von Cyon deaktivieren

Gut gemeint, funktioniert aber nicht: Die Cyon WAF (Web Application Firewall).

Gerade eben kämpfte ich massiv mit meinem Server bei Cyon, deren WAF und meiner WordPress-Installation: Den Artikel tftp funktioniert über NAT nicht wollte der Server partout nicht speichern und gab stattdessen einen HTTP 403 zurück. Wahrscheinlich enthielt das Web-Formular zu viele „gefährlich“ tönende Befehle.

Das Problem behebt man ganz einfach, indem man die .htaccess der WordPress-Installation um folgende Zeilen ergänzt:

...
<IfModule mod_security2.c>
SecFilterEngine Off
SecFilterScanPOST Off
</IfModule>
...

Tags: , , , , , ,
Labels: Web

Keine Kommentare | neuen Kommentar verfassen

Montag, 8. Mai 2017

tftp funktioniert über NAT nicht

Am Samstag habe ich an einer Aussenstelle einen Ubiquiti EdgeRouter-X installiert und so konfiguriert, dass alle Konfigurationsanpassungen mittels TFTP auf einen Server geschrieben werden. So möchte ich alle Anpassungen rückverfolgen und im Notfall auch eine „last known good“-Konfiguration einspielen können.

Auf dem Router bin ich der Anleitung EdgeRouter – Manage the configuration file gefolgt und habe folgenden Befehl eingegeben:

# configure
# set system config-management commit-archive location tftp://0.0.0.0/
# commit
# save

Nun musste ich auf einem Debian-Server noch TFTP installieren und ein Verzeichnis freigeben, in welches die Textdateien mit der Konfiguration abgelegt werden (Versioniert nach Name des Gerätes und dem Datum und der Uhrzeit der Anpassung).

Das ging der Anleitung Ubuntu / Debian Linux: Install and Setup TFTPD Server folgend spielend leicht:

# apt-get install tftpd-hpa

Meine individualisierte Konfigurationsdatei unter /etc/default/tftpd-hpa liest sich folgendermassen:

TFTP_USERNAME="tftp"
TFTP_DIRECTORY="/var/edgerouter"
TFTP_ADDRESS="0.0.0.0:69"
TFTP_OPTIONS="--verbose --secure --create"

Notabene: Die in tftpd allows connections, but times out transferring a file angegebenen Anpassungen an der Konfigurationsdatei waren nicht nötig.

Mit der Option --verbose loggt der TFTP-Server schön brav — und vor allem ausführlich(er) — nach /var/log/syslog:

...
May  8 19:37:46 SERVER systemd[1]: Starting LSB: HPA's tftp server...
May  8 19:37:46 SERVER tftpd-hpa[10636]: Starting HPA's tftpd: in.tftpd.
May  8 19:37:46 SERVER systemd[1]: Started LSB: HPA's tftp server.
May  8 19:38:15 SERVER in.tftpd[10999]: WRQ from 0.0.0.111 filename test.txt
May  8 19:38:25 SERVER in.tftpd[11009]: RRQ from 0.0.0.111 filename test.txt
...

Quelle: [syslinux] logging location of tftpd-hpa

Ein Fallstrick gibt es aber: Schreitet man zum Test, sollte man beachten, dass der Client und der Server direkt miteinander kommunizieren können, sprich dass kein NAT-Router zwischen den beiden Geräten steht. Grund: TFTP verwendet UDP, was über NAT nicht auf anhieb funktioniert.

Ich bis mir deswegen sicherlich eine halbe Stunde lang die Zähne aus, weil ich von meinem Mac mini aus Dateien hin- und herkopieren wollte, es aber nicht klappte. Die Verbindung konnte ich zwar herstellen, doch Dateioperationen waren nicht möglich:

$ tftp 0.0.0.0
tftp> get test.txt
Transfer timed out.

Der Grund: Der Mac mini kommuniziert per OpenVPN mit dem entfernten Netzwerk, und der OpenVPN-Router verwendet NAT.

Erst nachdem ich von Servern im selben Subnetz aus versuchte, Verbindungen herzustellen, realisierte ich, dass der Server seit langem funktionierte.

Labels: Uncategorized

Keine Kommentare | neuen Kommentar verfassen

Sonntag, 7. Mai 2017

Das Wasen-Mysterium

Seit 2010 pilgere ich mit Kollegen jeweils im Oktober an den Cannstatter Wasen in Stuttgart — für Uneingeweihte dem Baden-Württembergischen „Oktoberfest“.

Es ist immer eine Riesen-Gaudi, das Essen ist super und an Flüssignahrung fehlt es selbstverständlich auch nicht. Und: Der Anlass ist nicht derart überlaufen, dass man im Frühjahr jeweils noch ein, zwei Tische/Boxen in einem Festzelt reserviert kriegt. An einem Samstag. Am Abend.

Doch da ich mich selber mittlerweile als angehender Veteran bezeichne, gibt es auch Dinge, die mir in den letzten Jahren immer stärker aufgefallen ist: Da wir eine immer grössere Gruppe werden (dieses Jahr sind 19 Personen angemeldet), wird die Bestellerei am Tisch im Festzelt immer unübersichtlicher.

Wie viele Leute wir auch immer sind — die Schlussabrechnung übersteigt jedes Jahr die Höhe der Verzehrgutscheine. Garantiert. Ohne Ausnahme. Lustig, ne?

Ich werde den Verdacht nicht los, dass die ServiererInnen jeweils die Quittungen nicht ganz wahrheitsgetreu ausfüllen und dabei das eine oder andere Menu und eine ganze Menge Masskrüge Bier hinzufügen. Als Quittung muss jeweils ein Fetzen Papier reichen, welcher am Tischende lagert und mit jeder Minute, in welcher Mitternacht nähr rückt, stärker in Bier und sonstiger Feuchtigkeit ersäuft.

Im letzten Jahr (2016) haben wir mit einer Gruppe von 16 Personen 1120 EUR an Verzehrgutscheinen vernichtet (70 EUR/Person). Trotz diesem stattlichen Betrag musste der Organisator am Feierabend bei der Schlussabrechnung noch weitere 288 EUR nachschiessen (weitere 20 EUR/Person).

Mittlerweile gehört es zum guten Ton, die Quittung jeweils am nächsten Tag im WhatsApp-Chat zu teilen und zu analysieren:

image-7310

Perplex macht einen vor allem immer die Zahl an Massbieren („Volksfestbier“), weil man damit ausrechnen kann, wieviele Liter Bier pro Person im Schnitt getrunken wurden: 43 Volksfestbiere und 19 Radler ergeben 62 Liter Bier, geteilt durch 16 Personen ergibt 3.875 Liter/Person. Spitzenwert, und die Lebern und Blasen hört man noch im Nachbardorf schreien.

Umso erstaunlicher ist dieser Wert, wenn man bedenkt, dass unserer Gruppe im letzten Jahr (2016) zur Hälfte aus Frauen bestand. Und zwar aus Frauen, die alles andere als Bierliebhaberinnen sind. Geht man davon aus, dass die Damen maximal je zwei Mass Bier bestellt haben, hätte das männliche Pendant jeweils 5.75 Liter Bier trinken müssen, um den Schnitt zu retten. Da kann einfach etwas nicht stimmen — aus Erfahrung bin ich nämlich nach drei Mass Bier reif für einen tiefen Schlaf im Hotelbett.

Selbstverständlich muss man die Zahl noch etwas relativieren: Einerseits ist es wohl so, dass man zu fortgeschrittener Stunde eine Bestellung erhält und dann höchstens ein, zwei Schlücke aus einem Masskrug trinkt — und das Bier dann wegstellt. Die Flüssigkeit wird schlussendlich gar nicht konsumiert. Auch kann es sein, dass man in der Euphorie der Bierzeltstimmung auch mal eine „Runde“ bestellt, ohne dass eigentlich noch irgendjemand Durst hätte. Doch erklärt das wirklich die massiven Mengen?

Belegen kann ich mein ungutes Gefühl leider nicht (im Laufe des Abends nimmt das Schunkeln überhand und ich vergesse, die Aufzeichnung der Essens- und Getränkelieferungen zu überwachen) — doch seit einiger Zeit frage ich mich: Wie behalten eigentlich die Veteranen und Vollprofis die Übersicht über ihren Tisch und ihre Bestellungen? Das würde mich brennend interessieren.

Tags: , , , , ,
Labels: Reisen

Keine Kommentare | neuen Kommentar verfassen

Sonntag, 7. Mai 2017

Ein Gästenetzwerk auf dem Ubiquiti EdgeRouter-X vom restlichen Netzwerk isolieren

Heute habe ich meinen ersten EdgeRouter-X in Betrieb genommen. Die Konfiguration war etwas gewöhnungsbedürftig, aber im Zusammenspiel mit Web-GUI und CLI hat es tatsächlich geklappt. Am meisten schätze ich, dass die Konfiguration des Routers eine simple Text-Datei ist, die man mit Subversion (oder: Git) versionieren kann und bei Bedarf mit ein paar Handgriffen für neue Umgebungen oder zusätzliche Installationen anpassen kann.

Da solche Ubiquiti-Geräte semi-professionelle Router und Switches sind, habe ich heute auch einen lang ersehnten Spezialfall umgesetzt: Am Installationsort teilen sich Vermieter und Mieter einen Internetanschluss. Der Vermieter möchte dabei aber dem Mieter aber eigentlich nur den Internetzugang ermöglichen und ihn aus dem heimischen LAN heraushalten.

Dies ist nicht sonderlich kompliziert, da der Mieter ein Ethernet-Kabel vom Router auf seinen Switch gezogen hat — es muss also einfach ein Faden geschützt werden.

Mit WLAN stellt man dies mit einer zweiten SSID sicher, die im UniFi-Controller als Gästenetzwerk konfiguriert wird. Auf Ethernet-Ebene ist es etwas komplizierter. Doch freundlicherweise hat sich ein geschätzter Zeitgenosse die Zeit genommen, genau diesen Use Case zu dokumentieren:

Setting up a guest network with the EdgeRouter Lite

Zwei kleine Anpassungen habe ich gemacht:

  1. Im DHCP-Server gebe ich als DNS die Server von Cablecom mit, weshalb sich aus meiner Sicht eine Firewall-Regel für internes DNS erübrigt.
  2. Als Privates Netz habe ich 192.168.1.0/24 gewählt und nicht 172.16.x.x.

Die Trennung mittels VLANs und Firewalls ist nun eingerichtet, aktiv und versioniert — leider konnte ich den Mieter aber noch nicht fragen, ob seine Geräte damit auch weiterhin funktionieren.

Tags: , , , , , , , , ,
Labels: IT

Keine Kommentare | neuen Kommentar verfassen

Samstag, 6. Mai 2017

Bei Veröffentlichung eines gesuchten Films auf Blu Ray informiert werden

Hierzu bietet sich der Erinnerungsservice von Releases.com an. Dann schauen wir doch mal, ob und wann The Trip to Spain rauskommt.

Tags: , , , , , , , ,
Labels: Shopping

Keine Kommentare | neuen Kommentar verfassen

Samstag, 6. Mai 2017

Netdata von einem Linux-System entfernen

Vor einiger Zeit bin ich wohl über einen Hacker News-Post auf Netdata aufmerksam geworden und habe mir die Software kurzerhand auf zwei Servern installiert. Wie ich nun, einige Monate später, feststellen musste, habe ich die Web-Applikation nie verwendet. Somit weg damit.

Leider scheint die Software keine Uninstall-Funktion mit sich zu bringen.

Ein Kommentar zu einem GitHub-Issue „Uninstall netdata? #103“ hilft weiter und empfiehlt folgendes selbstgebasteltes Script:

# killall netdata
# rm -Rf /usr/sbin/netdata
# rm -Rf /etc/netdata
# rm -Rf /usr/share/netdata
# rm -Rf /usr/libexec/netdata
# rm -Rf /var/cache/netdata
# rm -Rf /var/log/netdata
# rm -Rf /opt/netdata
# userdel netdata
# groupdel netdata

Hat bei mir geklappt.

Tags: , , ,
Labels: Linux

Keine Kommentare | neuen Kommentar verfassen

Samstag, 6. Mai 2017

Einen UniFi Access Point forcieren, die Konfiguration neu einzulesen

Heute habe ich einen weiteren UniFi Access Point (dieses Mal wieder einen AC AP PRO) in Betrieb genommen.

Leider konnte ich den Access Point nach einigen Stunden Betrieb nicht dazu bewegen, die gemäss meiner Anleitung aktualisierten SSH-Keys neu einzulesen. Im Fachjargon nennt man das „forced re-provisioning“.

Ein Neustart des Access Points über das Web-Interface des UniFi-Controllers bewirkte nichts.

Schlussendlich entdeckte ich mehrere Threads in den Foren des Herstellers (Ubiquiti) und musste realisieren, dass der Hersteller offenbar keine direkte Möglichkeit implementiert hat, um einen Access Point mitzuteilen, seine Konfiguration vom Server neu einzulesen.

Everytime you change something at a config.properties, the APs need to be reprovisioned to apply that configurations. A reboot on the controller or the APs will not trigger a reprovision. So you have two options:
1) If you want to reprovision a single or a few APs, you can manually change one of their settings, like channel or TX power, then revert the config. Only that APs will be reprovisioned and will then apply whatever you have at config.properties for that site.
2) To reprovision all APs on a site you can enable and then disable the guest portal. This will trigger a reprovision on all APs, and apply all the settings on config.properties for that site.

Quelle:

Folgende Massnahme hat dann aber zum gewünschten Erfolg geführt:

  1. UniFi Controller
  2. Devices
  3. Klick auf den Namen des gewünschten Access Points
  4. In der rechten Spalte erscheinen die Eigenschaften des Access Points
  5. Configuration
  6. Radios
  7. Channel Width: Einen anderen Wert auswählen, als derzeit aktiviert (bei mir von HT40 zu HT20)
  8. Queue Changes

Nach einigen Sekunden sollte die Konfiguration endlich neu eingelesen worden sein. Nun die Änderungen rückgängig machen — und fertig.

Tags: , , , , , ,
Labels: IT

Keine Kommentare | neuen Kommentar verfassen

Donnerstag, 4. Mai 2017

Preisreferenzen von gebrauchten Geräte für meine AlleKleinanzeigen-Suchen

Vor einigen Tagen bin ich auf die Meta-Suchmaschne AlleKleinanzeigen.ch gestossen. Mit dieser Suchmaschine kann man die gängigsten Schweizer Angebots-Plattformen für Kleinanzeigen wie Ricardo.ch, Tutti und Anibis durchsuchen. Man findet so innert Sekunden heraus, ob ein gebrauchter Artikel irgendwo in der Schweiz verfügbar ist oder nicht — und zu welchen Preisen.

Das Beste: Man kann sich eine Suche nach bestimmten Wörter auch per E-Mail abonnieren — das bedeutet, dass auf einer der durchsuchten Plattformen ein neuer Artikel online gestellt und von AlleKleinanzeigen.ch indexiert wurde, eine E-Mail an den Abonnenten ausgelöst wird. Völlig kostenlos, selbstverständlich.

Ab sofort kann ich die Suche nach Geräten und Gegenständen automatisieren, welche ich nicht sofort benötige, sondern erst dann, wenn mir ein preislich ansprechendes Schnäppchen vor die Flinte läuft.

Damit ich aber sicher bin, ein Schnäppchen zu machen, musste ich mir zuerst einmal herausschreiben, was der Neupreis eines Geräts beträgt. Dieser Blog-Post hilft mir dafür als Langzeitgedächtnis.

KitchenAid Mixer Artisan KSM150

Das günstigste Angebot im Mai 2017 war ein oranger tangerine KitchenAid Artisan KSM150 (5KSM150PSETG) bei Venova für 420 CHF. Im Februar 2017 fand ich beim selben Shop sogar ein identisches Gerät in der äusserst hässlichen Farbe „Terracotta“ — für 380 CHF, also noch einmal 40 Stutz günstiger.

Somit ist klar, dass ein solches gebrauchtes Gerät unter 400 CHF kosten sollte, damit es sich lohnt, auf die zweijährige Garantie zu verzichten.

KitchenAid Mixer Classic K45

Die günstigste Variante bei einem renommierten Online-Shop (Galaxus) kostet 377 CHF.

Mir ist übrigens aufgefallen, dass KitchenAids jeweils vor Weihnachten mit „Aktionen“ angepriesen werden — Coop bewarb im Dezember 2016 beispielsweise ein ähnliches Set für 799 CHF. Was ich mir deshalb gemerkt habe: Gerade bei diesen Küchengeräten ist es ratsam, die Marktsituation ausreichend abzuklären, sonst zahlt man locker einige hundert Franken drauf.

Sonos Play:1, Play:3 und Play:5

Für einen DINK-Haushalt würde es eigentlich zum guten Ton gehören, diesen mit Lautsprechern von Sonos ausgestattet zu haben. Wie man dabei vorgeht, hat mein Lieblings-Gadget-Blogger vowe in einem Artikel „How to get started with SONOS“ beschrieben. Sonos hat den Weg noch nicht zu uns gefunden, weil die Dinger schlichtweg zu teuer sind.

Vielleicht ändert sich das ja bald, sobald ich ein paar Schnäppchen erstanden habe. Dazu müssen diese folgende Preise stark unterschreiten:

Toppreise-Suche nach Sonos (nach günstigstem Betrag geordnet)

  • Play:1 (Single) für 214.95 CHF (microspot)
  • Play:1 (Bundle) für 409 CHF (digitec), sprich für 204.50 CHF/Stück
  • Play:3 296 CHF (microspot)
    Am 4. Mai gab es auch eine „wiederaufbereitete“ Version für 269 CHF
  • Play:5 (zweite Generation) 517 CHF (microspot)

Tags: , , , , , , , , , , , ,
Labels: Schweiz, Shopping, Web

Keine Kommentare | neuen Kommentar verfassen

Donnerstag, 4. Mai 2017

Wiederaufbereitete Artikel bei Digitec

Finden sich unter diesem Link — für mich in den meisten Fällen eine valable und risikolose Alternative zu einem Neukauf:

Gebraucht kaufen

Tags: , ,
Labels: Shopping

Keine Kommentare | neuen Kommentar verfassen

Freitag, 28. April 2017

Journalisten mit mangelndem Technikverständnis

of course if you’re a reporter for CNN, anyone who can install Linux probably does qualify as a „brilliant technologist“ to you.

Quelle: The Six Dumbest Ideas in Computer Security

Tags: ,
Labels: Medien

Keine Kommentare | neuen Kommentar verfassen