Sonntag, 17. Dezember 2017

Let's encrypt Sicherheitszertifikat für das pf Webinterface

Verschlüsselung aber gültig

Transportverschlüsselung wird immer wichtiger. So wird der Webzugriff auf Appliances wie PFsense schon seit vielen Jahren per Default auf https umgeleitet. Ganz im Gegenteil zu den vielen CPE's welche den Laien von ihren Providern sträflich ohne solch eine Funktion oder gar Möglichkeit aufs Auge gedrückt werden.
Hinter dieser Funktion steckt jeweils ein selbst signiertes Zertifikat, welches man zB. selber beglaubigen und auf die Maschinen welche den Zugriff machen sollten, importieren könnte. Den Meisten dürfte solche ein Verhalten bestenfalls noch von einem allfälligen NAS bekannt sein. Üblicherweise quittiert der Browser dies mit einem roten https in der Adresszeile. Janu, damit ist die Verbindung zumindest verschlüsselt, aber wenig vertrauenerweckend.
Da jetzt sogar AVM für ihre Fritzboxen beginnt gültige Zertifikate zu erstellen, möchte ich in diesem Beitrag das Pendant dazu in PFsense beschreiben.
Ich erkläre wie man mit dem ACME Paket für pfsense eine Zertifikat mittels DNS Challenge anfordern kann und wie man dieses Zertifikat dann verwendet.
Die DNS Challenge mag ich besonders, da man keinen Websocket dafür öffnen muss, auch nicht temporär und man in diesem Zusammenhang ja so oder so mit Domain Namen arbeitet. In diesem Beispiel mache ich die Challenge über Cloudflare.

Freitag, 8. September 2017

Google Familie für die Schweiz freigeschaltet

Google Family


Endlich auch für die Schweiz, hat Google die Familien Funktion freigegeben.
Mit dieser Funktion kann einen Familiengruppe erstellt werden.

Innerhalb dieser Gruppe können Käufe aus dem Google Play Store, Filme, Musik und weiteres geteilt, bzw genutzt werden. Dazu erstellt man eine Familienmediathek.
Ebenfalls kann über den Google Music Family Tarif, Musik von mehreren Mitgliedern (gleichzeitig) genutzt werden. 

Wie eine Gruppe errichtet wird, kann auf den Hilfeseiten von Google entnommen werden.

Einen weiterführenden Artikel zur Familienmediathek ist zB. auf dem Produkte Blog von Google zu finden. Der Artikel wurde zwar für Deutschland geschrieben, gilt nun analog aber auch für die Schweiz.



Samstag, 26. August 2017

pfSense Einstellung Swisscom Smart Business Connect Trunk (SIP-Direct)

UDP Timeout erhöhen


Problembeschreib

Der Betrieb einer Mivoice Office 400 Anlage mit SIP Trunk zur Swisscom Smart Business Plattform, genannt SIP Direct, ist auch hinter einer Firewall möglich.
Dazu müssen keine Ports von WAN zu LAN geöffnet werden.
Ist der SIP Trunk hinter einer pfsense, kommt es vor, dass eingehende Anrufe nicht durchkommen (und dementsprechend auf eine programmierte Notlenkung landen), sowie ausgehende Calls nicht beim ersten Rufaufbau funktionieren (Überlast).
Im MiVoice 400 System ist der Trunk in dieser Zeit auf Status grün, Registriert.

Sonntag, 20. August 2017

IPv6 Tunnel mit OpenVPN auf pfSense

IPv6 Roadwarrior Server-Tunnel

Vorwort

In diesem Beitrag zeige ich kurz auf wie man seinen bestehenden OpenVPN Tunnel mit der IPv6 Unterstützung aufrüstet.
IPv6 steht auch heute noch in den Mobilen Netzwerken der Schweizer Carrier nicht als Internet Transport zur Verfügung. Leider darf man sagen, würde es doch gerade in diesen genateten Netzwerken einen wesentlichen Benefit bringen.
Überhaupt ist IPv6 das Protokoll der Stunde. Hier geht noch was.
OpenVPN bietet seit der Version 2.3.0 offiziell die IPv6 Unterstützung an und natürlich ist bei pfSense das auch gleich dabei. Daher hier ein kleines how-to um seinen Tunnel zu ergänzen.






Sonntag, 13. August 2017

IPv4 Adressen rechnen

IPv4 rechnen mit der Matrixmethode


Vorwort

Jeder welcher mit IP Netzwerken zu tun hat kennt das. Irgendwann kommt der Zeitpunkt wo man mit Fragen konfrontiert wird. Welches ist die Netzadresse, wie lautet die Broadcast-Adresse. Wie viele Host sind in diesem netz möglich? Wie unterteile ich dieses Netz in kleinere Subnetze?
Solche Fragen stellen sich bei den klassischen Netzklassen natürlich nicht. Der Heim User kommt damit idR. also gar nicht in Berührung. Würde er sich dafür interessieren, könnte sein Blödelrouter damit dann oftmals gar nicht umgehen :)
Trotzdem kann es sein das man sich mal damit beschäftigen muss. Sei es wegen einer Prüfung oder weil man wirklich damit arbeiten muss.
Jetzt gibt es dazu verschiedenste Methoden. Klar heute kann ich Online einen der vielen Subnet Kalkulkatoren verwenden und die Geschichte ist erledigt.
An einer Prüfung sind solche Kalkulatoren wohl meist nicht erlaubt. Hier ist etwas Brain mit der Unterstützung eines Formelbuches und einem Taschenrechner gefragt.
Dazu gibt es schon viele Methoden wie der Subnet-Kuchen, irgendwelche logische UND Übungen oder das Abfüllen der Bits. Ich gratuliere jedem wer mit diesen Methoden schnell und gut arbeiten kann. Diese Personen müssen hier nicht weiterlesen. Dürfen es aber natürlich.
Ich selber bin mit diesen Methoden nie ganz glücklich geworden. Daher habe ich meine eigene Art entwickelt. Eine Matrix welche Platz auf einer Seite im Formelbuch hat und ich mich darin bewegen kann. Eventuell ist diese Methode auch was für dich.

Sonntag, 6. August 2017

Swisscom Business Internet Services DMZ Mode, Einführung und Setup mit pfSense

Worum geht es?

Mit den Business Internet Services von Swisscom, erhältlich in den Produkten inOne KMU, my KMU Office und Smart Business Connect, haben Kunden diverse Möglichkeiten ihre Bedürfnisse zu realisieren.
Den Part PPPoE Passthrough, mit der Idee die öffentlichen IP(s) direkt auf einem Security Gateway zu betreiben wie man es von allfälligen Bridge Modes her kannte, habe ich in diesem Beitrag bereits abgehandelt: https://www.tuxone.ch/2016/10/pppoe-passthrough-mit-swisscom-my-kmu.html

Eine weitere Möglichkeit welche man hat, ist der Betrieb einer DMZ durch den Centro Business Router. Das kann jetzt sinnvoll sein wenn man zB. einen Web- oder Mailserver in dieser DMZ betrieben möchte. Weiterhin kann man dies aber auch für relativ komplexe Szenarios mit der Verwendung eines Security Gateways verwenden. Eine Idee dazu ist der folgenden Grafik zu entnehmen:
Grobraster eines Security Gateways in der DMZ des Centro Business Routers


Donnerstag, 4. Mai 2017

Swisscom SIP Credentials mit nativem Android Client

Native Client Android gebrauchen


Auf Wunsch eine kurze Anleitung zur Einrichtung der Swisscom SIP Credentials auf dem nativen SIP Client von Android aka Telefon App.
Ich empfehle die Nutzung der SIP Daten auf solchen Clients nur über gesicherte Verbindungen aus dem Heimnetz oder über ein VPN in das Swisscom Heimnetz.
Ein Gebrauch ausserhalb dieser Netze bedeutet eine erhöhte Gefahr eines allfälligen Missbrauchs der Daten.




Montag, 24. April 2017

Swisscom gibt SIP Zugangsdaten frei

Freigabe der SIP-Credentials bei Swisscom

OMEMO Logo. #Internet-Jargon als Danke für die Swisscom Trolls
Wie aus einem Post in der Swisscom Supportcommunity hervorgeht, wird Swisscom demnächst, sofern die Swisscom Quellen richtig unterrichtet sind morgen, dem 25.04.2017 die SIP Zugangsdaten endlich freigeben.

Dazu hat Swisscom auch eine Info Seite über das Vorgehen freigeschaltet.

Zum Vorgehen selber gibt es nicht viel zu sagen, ich denke es ist relativ selbsterklärend. Oh Wunder, auch Swisscom arbeitet mit SIP :)

Sonntag, 19. Februar 2017

https für tuxone.ch

tuxone.ch nun über https erreichbar


Die Seite ist seit einigen Wochen über https erreichbar.
Mit Google Blogger gar nicht so ein einfaches Unterfangen.
Ich weiss, Blogger ist jetzt nicht so der Brüller was ein CMS angeht. Aber es war zu Beginn dieses Blogs einfach, relativ stylisch und gratis. Was will man mehr?