Raspberry Pi: Heimnetze mit OpenVPN verbinden

Private Netze lassen sich über Internet mit verschlüsselten Tunneln zu virtuellen Netzen verbinden. Ein gängiges Tool ist dafür OpenVPN. Zahlreiche Anleitungen beschreiben die  Einrichtung eines OpenVPN Servers sowie eines oder mehrerer  OpenVPN Clients. Die für die Verbindung benötigten Schlüssel erzeugt eine lokale CA (Certification Authority).

Um zwei Heimnetze zu verbinden ist dieser Aufwand recht hoch. OpenVPN bietet eine einfache Möglichkeit zwei Rechner mit einem gemeinsamen Schlüssel zu verbinden. Dabei gibt es keinen zentralen Server; beide Rechner sind gleichwertig. Dies ist sogar deutlich schneller, als eine Sternverbindung über einen zentralen Server.

Im Folgenden beschreibe ich, wie dies geht.

„Raspberry Pi: Heimnetze mit OpenVPN verbinden“ weiterlesen

Installieren von AftershotPro3 unter Debian

Nach der Neuinstallation meine Rechners mit Debian 9.5 musste ich AftershotPro3 wieder von Hand installieren. Dabei traf ich auf den gleichen Fehler, wie vor Monaten:

Problem with MergeList AfterShotPro3.deb

Leider hatte ich mir die Lösung für diese Problem nicht gemerkt. Doch Google hilft. Nur: Da hat jemand das Script zur Installation mit Username und Password geschützt:

ftp://ASP3Inst:Tdh53cN4@cfs2.corel.com/afterShot3Pro-Ubuntu_17.sh

Wie sinnvoll ist es, eine Datei auf geschützten Server zu hinterlegen und den Link mit Username und Passwort auf einer offenen Seite zu veröffentlichen?

Mir hilft es nichts, denn entweder hat er zwischenzeitlich das Password geändert oder er wurde – zu recht – gefeuert.

Über mehrere Umwege fand ich schließlich eine Lösung. Installation in der Kommandozeile mit den folgenden befehlen:

sudo dpkg -i AfterShotPro3.deb
sudo apt install -f

Gute Nacht

WordPress unter Apache2 absichern

Bisher habe ich den WordPress dadurch abgesichert, dass ich einen Login nur über einen VPN zugelassen habe. Darüber hinaus verlasse ich mich auf lange, zufällige Passwörter. Mit regelmäßigen Aktualisierungen ist die Sicherheit schon sehr hoch. Ein wenig mehr Sicherheit bietet die Beschränkung des Zugriffe auf Administrative Dateien.

Im Gegensatz zum DSL-Anschluss hatte der VPN eine feste IP-Adresse, die über viele Jahre konstant blieb. Mit der Migration auf Debian musste ich den Server neu installieren. Dabei habe ich den Zugriff auf https umgestellt. HTTPS schützt die Datenübertragung, aber nicht vor Angriffen auf die Login und Admin Seiten. deprecated und sollten vermieden werden. Die Nachfolger sind RequireAll, RequireAny, und RequireNone Direktiven mit dem Parameter Require. Require funktioniert auch in den Direktiven Files und Directory. Hier gibt es die Möglichkeiten

Require all granted
Require all denied
Require host address
Require ip ip.address
Require not host address
Require not ip ip.address
Require expr

Für diesen Seite nutze ich nur Require all granted / denied und Require ip im die Datei wp-login.php und das Verzeichnis wp-admin zu schützen. Die Telekom bietet IPv6 an und die Rechner in meinem Heimnetz bekommen alle eine IPv6 Adresse. Diese wird beim Zugriff auf den Server bevorzugt, so dass ich mir keine Gedanken über wechselnde IPv4 Adressen machen muss.

<Files wp-login.php>
Require all denied
Require ip 2003:e2:af1f:f888::0/64 2
</Files>

<Directory „/var/www/html/wp-admin/“>
AllowOverride FileInfo
Options +FollowSymLinks
Require all denied
Require ip 2003:e2:af1f:f888::0/64
</Directory>

Leider funktioniert Require forward-dns noch nicht in der derzeitigen Apache-Version, was eine Steuerung der Adressen über DynDNS ermöglicht.

Zwar kann einem Gerät jede IP-Adresse zugeordnet werden, aber da diese Adressen aus dem Telekom Netz kommen und auch der Rückweg funktionieren muss, ist die Gefahr einer Adressfälschung gering.

Your IP

Für die Datenschutzerklärung und einen Artikel dazu habe ich ein kleines Plugin geschrieben, das die übermittelten IP-Adressen anzeigt.

Client: -;
Remote: 54.227.21.188;
Forwarded for: -;

Dieser Beitrag dient nur dazu, ein paar Screenshots für den Beitrag zur DSVGO zu erzeugen.

Hostname:ec2-54-227-21-188.compute-1.amazonaws.com

Server umgestellt

Trotz umfangreicher Vorbereitung war die Umstellung dieses Servers auf Debian 8 von OpenSuSE 13.1 zeitintensiv. Obwohl ich die Script mit einem Raspberry Pi und in einer Virtuellen Maschine mit Debian 9 getestet hatte, ergaben sich einige Unterschiede in den verfügbaren Parametern. Der größte Aufwand lag in der Umstellung des Mail-Servers auf eine SQL-Datenbank für die Verwaltung der Postfächer.

Nur noch Restarbeiten und dann sollte alles wieder laufen.

Wichtige Mitteilung der HCC GmbH

Postkarte der HCC GmbH
Postkarte der HCC GmbH

Die Tage fand mein Nachbar folgende – an mich adressierte – Postkarte im Postkasten. Vertrauliche Informationen per Postkarte zu versenden ist die beste Möglichkeit, dass vertrauliche Informationen nicht vertraulich bleiben.

Zwei nette Hinweie fand ich auf der Karte:

… Bitte haben Sie Verständnis dafür, dass wir jetzt aus datenschutzrechtlichen Gründen keine weiteren Angaben zu Ihrer persönlichen Mitteilung machen können.

und

Wichtig: Diese Nachricht ist privat und muss vertraulich behandelt werden. …

Mein Tipp: Finger weg!

Hier geht es zu ein paar Warnungen vor diesen Maschen und nähreren Informationen.

  1. nnn.de
  2. vzsa.de
  3. lottodeals.org

Trojaner: Angebliche Bilder vom Handy

Zwei vorgebliche Bilder, die angeblich mit dem Samsung Handy, deren Besitzer ich nicht kenne, gesendet wurden. Nur zu blöde, dass Dateien mit der Endung „cab“ keine Bilder sind, sondern ein spezielles Archivformat für Microsoft Updates. In den Archiven befindet sich ein Programm, dass den Trojaner auf den Rechner bringt.
Laut Virustotal erkennen zur Zeit (18:25 Uhr) nur 7 von 43 Virenscannern den Schädling.

Was mich enttäuscht, dass 46 Virenscanner die Anhänge als in Ordnung einstufen.

Also: Finger weg.

Bitte um Rückruf

Heute kam eine seltsame E-Mail ihn Postfach. Sie kam von einem Absender „Thxxxx Arxxx <ThxxxxArxxx@t-online.de>“ und ging an
„Thxxxx Arxxx <thxxxx.arxxx@t-online.de>. Die Adressen unterscheiden sich nur durch einen Punkt, aber in einer Adresse ist auch ein Punkt wichtig. Diese ist ein eher seltsames Verhalten für Spam. Der Inhalt der Mail lautete:

Herr Test bittet um Rückruf

Anruf 11:20

Probleme mit IT-Programm

Telefon: +99 236116186

Erstellt mit Microsoft OneNote 2013.

Die Landesvorwahl +992 gehört zu Tadschikistan und die Minute kostet bei der Telekom über 1,50€. Was ist die nun wieder für ein Trick, fragte ich mich. Ein Blick in den Header einer E-Mail hilft oft weiter. Die E-Mail wurde von einem T-Online-Anschluss über einen T-Online-Server abgeschickt und landete somit direkt in meinem T-Online-Postfach. Nun ersetzte T-Online früher die Absenderadresse immer durch die E-Mail-Adresse des Abschlusses. Ich gehe davon aus, dass es immer noch so ist. Damit wäre die Absenderadresse echt. Der Absender ist also ein Namensvetter, der die Adresse ohne Punk hat. Wie es ausschaut, testet gerade OneNote.

Werde mir morgen OneNote dahingehend auch mal anschauen.