Category Archives: internet

hardware internet

Side-to-Side VPN – Sophos UTM und FritzBOX

VPN Einstellungen in der UTM

Neulich stand ich tatsächlich vor dem Thema ein Heimarbeitsplatz, ausgestattet mit einer FritzBOX, an die Firma anzubinden. Der Betrieb selber verfügt über eine Sophos UTM (vormals Astaro ASG) Firewall. Die Herausforderung bestand eher darin herauszufinden, wie man eine gute Verschlüsselung für diese VPN-Verbindung einstellt und sich nicht mit der 3DES Verschlüsselung zufrieden zu geben, die oft im Netz beschrieben ist. Es sollte schon AES 256 zu Einsatz kommen.

Der Assistent in der FritzBOX ist so rudimentär, dass er für diesen Zweck vollkommen ungeeignet ist. Also musste eine Konfigurationsdatei erstellt und verwendet werden. Hinzu kam ein Fehler in der Dokumentation auf der AVM Seite. Die dort beschriebene Einstellung um mehrere SA zu verwenden funktionierte nicht. Als Lösung habe ich mehrere VPNs in die Konfigurationsdatei eingebetet und so zum laufen bekommen.
vpncfg {
connections {
enabled = yes;
conn_type = conntype_lan;
name = " Firmenzentrale";
always_renew = yes;
reject_not_encrypted = no;
dont_filter_netbios = yes;
localip = 0.0.0.0;
local_virtualip = 0.0.0.0;
remoteip = WAN IP DER UTM;
remote_virtualip = 0.0.0.0;
localid {
ipaddr = WAN IP DER FRITZBOX;
}
remoteid {
ipaddr = WAN IP DER UTM;
}
mode = phase1_mode_idp;
phase1ss = "alt/all/all";
keytype = connkeytype_pre_shared;
key = "puep_123";
cert_do_server_auth = no;
use_nat_t = yes;
use_xauth = no;
use_cfgmode = no;
phase2localid {
ipnet {
ipaddr = 192.168.178.0;
mask = 255.255.255.0;
}
}
phase2ss = "esp-aes256-3des-sha/ah-no/comp-lzs-no/pfs";
accesslist = "permit ip any NETZ IP + MASKE HINTER DER UTM (z.B. 192.168.0.0 255.255.255.0)";
}
ike_forward_rules = "udp 0.0.0.0:500 0.0.0.0:500",
"udp 0.0.0.0:4500 0.0.0.0:4500";
}

Eine hervorragende Übersicht über mögliche Parameter für die FritzBOX Konfigurationsdatei bietet dieser Beitrag.

internet mobilgeräte telekommunikation

Internet im Urlaub im Ausland

Die meisten denken im Urlaub ans Internet über das Hotel WLAN. Das ist zwar eine mögliche Option kann aber schnell nach hinten los gehen, z.B. weil die WLAN Abdeckung schlecht ist oder das Netz permanent überlastet oder einfach die Kosten absurd hoch.
Was die wenigsten bedenken, mit dem WLAN im Hotel ist mein Internetzugang ans Hotel gebunden oder ich muss nach WLAN Hotspots außerhalb suchen.  Mal eben am Strand oder abseits ein paar schöne Fotos machen und mit Familie und Freunden spontan teilen ist dann nicht möglich. Die Deutschen Mobilfunk Anbieter bringen zum Glück immer mehr interessante Tarife, die im Ausland für mehr oder weniger kleines Geld dazu gebucht werden können. Aber auch hier wird es außerhalb der EU schnell teuer und ein Großteil der Tarife bietet nur einen geringen Datenvolumen, damit können Streams, YouTube oder andere Daten intensive Dienste nicht lange genutzt werden. Hier kann man sich dank der guten Wikia Seite, Pay as You Go Sim with Data Wiki, sehr gut selber vorab informieren und dann im Urlaub oder bereits vorab eine SIM Karte eines im Urlaubsland ansässigen Mobilfunkbetreibers erwerben. Die Tarife sind in der Regel deutlich günstiger und beinhalten auch deutlich größer Datenvolumen. Jetzt wird der eine oder andere einwerfen, dann habe ich eine andere Rufnummer und bin für meine Familie, Freunde usw. nicht erreichbar. Dem lässt sich leicht entgegenwirken, einfach die eigene Karte in ein altes Handy/Smartphone einlegen oder ein UMTS/LTE Modem für ca. 100€ erwerben, dass bei Bedarf als Hotspot benutzt wird. Wir handhaben es noch einfacher, einer von uns hat die ausländische SIM im Smartphone und spielt bei Bedarf über Tethering WLAN Hotspot, während der andere normal über die deutsche Rufnummer erreichbar bleibt.

internet

Google Chromecast Inbetriebnahme in Deutschland

Der Google Chromecast Stick ist offiziell in Deutschland nicht erhältlich. Jedoch ist es möglich gewesen diesen bei amazon.com auch nach Deutschland zu bestellen. Die Lieferung hat etwas gedauert, aber mein Chromecast ist gestern angekommen.

Der Inhalt ist eher spärlich und die Inbetriebnahme einfach, fast zu einfach um wahr zu sein. Der Chromecast wird in den Fernseher gesteckt und per USB mit Strom vom Netzteil (es liegt nur die US-Version bei) oder mit einem USB-Port des Fernsehers, der Strom liefert, verbunden. Nach dem Einschalten des Fernsehers wird man vom Chromecast begrüßt, der bereits fertig für die Inbetriebnahme ist.

Jetzt wird entweder mit der Windows Software vom Notebook aus gearbeitet oder mit einer App für Android (für iOS gibt es auch eine Version). Da die Android App in Deutschland nicht zum Download zur Verfügung steht, der Link auf die Installationsdatei bei XDA Forum. Wichtig ist, die Einrichtung ist nur per WLAN  an diesem Gerät möglich. Falls man es mit einem PC, der per Netzwerkkabel an einem WLAN-Router oder Access Point angeschlossen ist probiert, wird der Chromecast Stick nicht gefunden und kann auch nicht konfiguriert werden.
Der Chromecast wird recht schnell per WLAN erkannt, danach kann man ihm einen eignen Namen verpassen und sollte ihn unbedingt mit dem WLAN Einstellungen bekannt machen. Ohne WLAN, keine Funktion! Zwischen durch wird zu Überprüfung, dass der richtige Chromecast in Betrieb genommen wird, ein Code auf dem Fernseher eingeblendet, der in der App/Software bestätigt werden muss.

Das war’s, der Chromecast ist eingerichtet und bereit zum Einsatz.

UPDATE: Inzwischen ist die Chromecast App im Play Store frei verfügbar.

internet windows

Google redirect – bywill.net

Gefunden und beseitigt mit Microsoft Safety Scanner.
Gefunden und beseitigt mit Microsoft Safety Scanner.

Der Tag hat zwar gut angefangen, aber dann kam eine interessante neue Herausforderung. Ein Kundenrechner der willkürlich auf Spammer-Seiten, im Internet Explorer, weiterleitete. Mein erster Gedanke war, ist schnell behoben, aber dem war nicht so. Das einzig schnelle war es einzukreisen, ob der Rechner immer noch betroffen ist. Auf google.de einfach bywill.net eingeben, und schon kam es zum merkwürdigen Verhalten, alternativ beim Suchergebnis auf einer Wikipedia-Verlinkung klicken. Schon beim eingeben des zweiten l in Google wurde die Anzeige durch googlede überblendet, aber noch viel interessanter war die Ausgabe der Ergebnisse hier wurden Buchstaben übereinander geschoben. Der von mir erstellt Screenshot sieht vollkommen normal aus, trotz andere Anzeige, schon ganz schön Abgefahren.

Mit dem Fehler beschäftigen sich zahlreiche Seiten. Vorsicht ist angebracht, da bei den ersten Treffern auch Pseudo removal Tools mit angeboten werden, die noch mehr Malware einschleusen. Auf anderen Seiten werden gebetsmühlenartig zig Tools empfohlen, wenn man mit Ihnen allen durch ist, ist eine Woche um.

Meine Lösung hat sich nach intensiver Recherche in Microsoft Safety Scannerwiedergefunden. Ein Scan damit brachte die Malware, Trojan:Win32/Vundo.gen!AV, zum Vorschein. Microsofts Software kümmerte sich selbstständig drum und nach einem Neustart war der Spuck vorbei. Ein erneuter Scan bestätigte es.

hardware internet

Facebook Server per Firewall Regel im Lancom Router sperren

Zu viel des Guten kam manchmal auch schädlich sein, diese Erfahrungen dürfen nun die Mitarbeiter eines Kunden von mir machen. Diese Woche hieß es einfach: „Bitte Facebook dicht machen“.

Fake DNS Einträge währen ein einfaches Mittel der Wahl oder der Lancom Content Filter eine andere. Bei der größeren Anzahl an Standorten entschied ich mich einfach das Übel an der Wurzel zu packen. Die Facebook Server Farmen inc. der Name Server per Firewall Regel zu sperren. Nachdem ich die IPs beisamen hatte ging es mit dem ersten Router los. Alle weiteren wurden dann einfach per Skript mit der Regel versorgt. In meinem Fall sieht das Skript Facebook.lcs wie folgt aus:

lang English
flash 0
cd /2/8/10/4
add "DROP-LOG" "%Lcds0 @i %R %N"
cd /2/8/10/1
add "FACEBOOK0" "%A69.171.224.0-69.171.255.255 %A66.220.144.0-66.220.159.255"
add "FACEBOOK1" "%A204.15.20.0-204.15.23.255 %A69.63.176.0-69.63.191.255"
add "FACEBOOK" "FACEBOOK0 FACEBOOK1"
add "NS.FACEBOOK.COM0" "%A66.220.151.20 %A204.74.67.132 %A204.74.66.132 %A66.220.145.65"
add "NS.FACEBOOK.COM1" "%A69.63.186.49"
add "NS.FACEBOOK.COM" "NS.FACEBOOK.COM0 NS.FACEBOOK.COM1"
cd /2/8/10/2
add "DANY-FB" "ANY" "ANYHOST" "FACEBOOK NS.FACEBOOK.COM" "DROP-LOG" 0 1 0 0 0 0 ""
flash 1
exit

Einfach in LANconfig auf „Aus Skript-Datei wiederherstellen“ gehen und die Skript-Datei angeben. Schnell sind alle aktuellen Server gesperrt, zukünftige weitere Anpassungen nicht ausgeschlossen. Kleines goody, die Aufrufe von Facebook werden im LANmonitor dokumentiert. Schon erschreckend, wie viel da in den ersten Stunden, bis zur Bekanntgabe der Reglementierung, auf die Seite wollten.