• 08621 - 9 88 30 88

Monatsarchiv Mai 2021

Voncubewerk

win 10 ipsec-vpn einrichten via cmd gegen pfsense fw

Add-VpnConnection -Name „vpn“ -ServerAddress „vpn“ -TunnelType IKEv2 -EncryptionLevel Required -AuthenticationMethod EAP -SplitTunneling -AllUserConnection -RememberCredential -DnsSuffix mein-kunde.local

Set-VpnConnectionIPsecConfiguration -ConnectionName „vpn“ -AuthenticationTransformConstants GCMAES256 -CipherTransformConstants GCMAES256 -EncryptionMethod AES256 -IntegrityCheckMethod SHA256 -DHGroup Group14 -PfsGroup PFS2048 -PassThru

Add-VpnConnectionRoute -ConnectionName „vpn“ -DestinationPrefix 10.69.0.0/16 -PassThru

Und was passiert hier?

Legt eine IPSec/MsCHAPv2 VPN-Verbindung an. Authentifiziert wird mit User+Kennwort-Kombination über gesicherten Kanal. Nach dem Verbindungsaufbau gibts vom Server die nötigen DNS-Server, selbst setzt man den DNS-Suffix. Passwort darf gespeichert werden, andere User am PC dürfen auch die VPN-Verbindung nutzen.

Abschließend wird eine große Route gesetzt auf das Zielnetz. Was dann tatsächlich drüber geroutet wird, kann das Ziel via FW nochmal eingrenzen.

Will man sich manuell am Windows-Logon-Screen via VPN verbinden können (so dass eine Anmeldung an der Domäne geht und die GPOs greifen), muss der PC Teil einer Domäne sein, damit überhaupt am Screen das Icon dazu auftaucht.

Ohne-Domänenmitgliedschaft:

Und mit:

(man beachte das neue Icon – Netzwerkanmeldung)

Die erste Abfrage sind die VPN-Zugangsdaten. Sind diese eingegeben, wird verbunden angezeigt.

Jetzt kann man sich mit den gewohnten Windows-Zugangdaten anmelden an der Domäne.

Voncubewerk

Windows ipsec vpn dns priority

Lessons learned – windows DNS priority hängt ab von Interface priority

Niedrige Prio setzen, dann wird auch die jeweilige Nic und der dort hinterlegte DNS befragt

Soll – wenn VPN besteht – der DNS immer befragt werden, metrik auf 4 setzen. Tests zur Kontrolle:

Dann gesetzt via GUI mit …

Und dann nochmal kontrolliert:

(man beachte, ‚vpn‘ hat jetzt die geringste Metrik (höchste Prio).

Voncubewerk

Wie abhängig ist meine IT von US-Unternehmen? Digitale Freiheit mit Opensource?

  • Was ist OpenSource-Software?
  • Was sind die Nachteile von ClosedSource-Software?
  • US-amerikanische Anbieter & Lösungen – bin ich Kunde oder Produkt?
  • Offene Standards?
  • Das Öko-System (Server, Datenbanken, Lizenzen).
  • Kauf- oder Miete – das Erfolgsmodell
  • IT-Sicherheit – wie möglich? Geschlossene Quellen?
  • Wie sicher ist die IT? Blindes Vertrauen in ausländische Anbieter
  • Wirtschaftsspionage & Hilfe
  • Kosten & Ersparnis durch OpenSource-Lösungen

Voncubewerk

Digitalisierung im Unternehmen – Baugewerbe & Handwerk [02]

Wie hilft mir die Digitalisierung im Baugewerbe und Handwerk?Welche Arbeitsabläufe und Mittel stehen zur Verfügung?Wie starte ich die Digitalisierung und bleibe wettbewerbsfähig?Wie optimiere ich meine Arbeitsabläufe und mache meine Mitarbeiter glücklich?

  • Digitale Anzeigetafeln
  • Baubesprechungen & Präsentationen
  • Dokumentation & Zeiterfassung
  • Fahrtenbuch & Arbeitspläne
  • Digitaler Briefkasten
  • Bauakte & Postfach

Voncubewerk

Digitalisierung in der Arztpraxis [01]

Welche Möglichkeiten habe ich meine Praxis oder mein Ärztehaus zu digitalisieren? Blick eines IT-Systemhauses auf die typischen verschenkten Möglichkeiten der Digitalisierung. Praktische Tipps für die Praxis aus der Praxis.

  • Digitalisierung von Belegen
  • E-Mail- und Dokumentenversand (DSGVO, E-Mail-Verschlüsselung – secureTransport)
  • Ablage / Archivierung
  • Abrechnung
  • Datensicherung und Auslagerung von Dokumente/Services
  • Interne Kommunikation
Voncubewerk

zabbix .min value Erklärung

Trigger nur auslösen, wenn Problem für X-Mal oder X-Tage besteht

Heutige Anforderung mit Zabbix. Alarm erst auslösen, wenn Problem für eine gewisse Zeit besteht. Z.B. Updates verfügbar, die z.B. automatisch installiert werden einmal pro Woche. Nur wenn das nicht passiert, interessierts es uns in Zabbix. Hierzu gibt es die .min-Funktion in Zabbix. Was tut sie?

.min(#168)>1

Prüft, ob der kleinste Wert unter den letzten 168-Werten, größer als 1 war und löst dann den Trigger aus. Dies immer abhängig von der Häufigkeit, die das Item „dahinter“ abruft. Wir prüfen z.B. stündlich. 7 * 24 = 168 Werte.

Beispiel zur Funktion. Bei 167 Abfragen des Wertes, bekommen wir immer 0 zurück. Einmal eine 1.

Der Trigger löst _nicht_ aus, da der kleinste Wert (min) nicht über 0 war.

Beispiel 2: Bei allen 168 Abfragen bekommen wir eine Zahl zwischen 1-10 zurück.

Der Trigger löst _aus_ da der kleinste Wert (min) immer über 0 war – nämlich zwischen 1-10.

Voncubewerk

Echtzeitalarmierung bei Viren/Trojanerfund

Zum 15.05.21 startet cubewerk die Echtzeitalarmierung bei Viren- und Trojanerfunden. Haben Sie dauerhaft den Status Ihrer IT-Landschaft im Überblick ohne zusätzliche Software oder Verwaltungs-Tools installieren zu müssen.

Bei jedem Fund erhalten Sie eine aufbereitete Alarmierung per E-Mail. Interessiert? Sprechen Sie uns an.

Voncubewerk

UCS synchronisiert keine Änderungen aus AD – Fehlersuche & Debugging

Heutiger Fall: Ein UCS-System mit Kopano und AD-Anbindung, synchronsiert keine Änderungen mehr aus dem Active-Directory.

Log-Datei auf dem UCS tail -f /var/log/univention/connector.log zeigt keine Fehler und schreibt nur fortlaufend:

05.05.2021 09:07:31.978 LDAP (INFO ): Search AD with filter: (uSNCreated>=195380954)
05.05.2021 09:07:31.979 LDAP (INFO ): Search AD with filter: (uSNChanged>=195380954)
05.05.2021 09:07:36.982 LDAP (INFO ): Search AD with filter: (uSNCreated>=195380954)
05.05.2021 09:07:36.983 LDAP (INFO ): Search AD with filter: (uSNChanged>=195380954)

Obige Logs sieht man nur, wenn Debug-Flags aktiv sind mit

ucr set connector/debug/level=4

Zum groben Ablauf sei gesagt, dass UCS intern einen Zähler hat, der um eins hochgezählt wird, wenn es im AD eine Änderung gibt. So weiß UCS jederzeit, ob es „nachsynchronisieren“ muss, oder alle Einträge aktuell sind.

In unserem Fall hat durch einen Wechsel von Server 2008R2 auf Server 2012, Microsoft die Nummern durchgewürfelt.

Ergebnis war, dass der UCS der Meinung war, er sei bei obiger Nummer/Änderung ‚195380954‘, das Microsoft-AD jedoch weit dahinter lag. So konnte man im AD noch so viele Änderungen machen, für den UCS, waren diese nicht neu.

Wie findet man raus, auf welchem Stand das AD ist? Man wählt einen Benutzer im AD, ändert dort irgendwas und befrägt das AD vom UCS aus (exemplarisch Benutzer Administrator)

root@kopano01:/var/lib/univention-ldap# univention-adsearch CN=Administrator uSNChanged | grep uSNChanged
uSNChanged: 12829381

Und so sehen wir, das AD ist bei Änderung ‚12829381‘ – der UCS wie oben gezeigt, schon bei ‚195380954‘.

Da man jetzt nicht einfach die IDs im UCS zurückdrehen kann, da all diese auch LDAP-Commits sind, muss lediglich ein interner Zähler geändert werden, der angibt, auf welcher ID der letzte AD-Sync steht.

Dieser aktuelle Wert kann abgefragt werden mit:

root@kopano01:~# sqlite3 /etc/univention/connector/internal.sqlite „select * from AD;“
lastUSN|12829381

Dieser Wert kann jetzt mit folgendem Skript von UCS geändert werden:

https://help.univention.com/t/problem-ad-connector-stops-syncing-if-windows-ad-was-replaced/12525

Achtung: In obigem Skript ist noch ein Tippfehler. Die Variable ‚$hcusc‘ muss natürlich ‚hcusn‘ sein.

Ändert man jetzt im AD etwas für einen Benutzer, erscheint die Änderung im connector.log:

05.05.2021 10:06:49.227 LDAP (PROCESS): sync to ucs: [ user] [ modify] uid=administrator_sb,ou=benutzer,ou….