dreckhände (Entries tagged as linux)

IPv6-Tunnel mit he.net unter ubuntu

nospam@example.com (daniel) — Tue, 18 May 2010 15:29:16 +0200

Es gibt verschiedene Tunnelbroker für IPv6overIPv4, Sixxs.net und he.net (tunnelbroker.net) sind die bekanntesten. Für adsl mit wechselnden IPv4-adressen, wie hier üblich, hält sixxs.net den praktischen daemon aiccu bereit, der, einmal mit den Eckdaten wie Tunnel-ID, Passwort, Server-IP versorgt, den Aufbau des Tunnels und die Aktualisierung der Endadrese bei Wechsel der dynamischen IP ganz wunderbar erledigt, so dass man da keinen Aufwand der Konfiguration hat.

Nun habe ich leider mit sixxs immer wieder Netzwerkprobleme erlebt, ein Ping > 300ms bremst schon sehr spürbar, wenn alle Browser etc vorzugsweise IPv6 benutzen. Ich habe deshalb zu tunnelbroker.net umgestellt, aber die Frage der Konfiguration kommt damit neu auf.

Auf der Detail-seite zu einem mit tunnelbroker.net eingerichteten Tunnel bekommt man zwar (für versch. betriebssysteme) eine beispielkonfiguration angezeigt, die ich (linux-route2) so wie sie kam in die Kommandozeile pasten konnte und schon lief der Tunnel. aber nach der nächsten Zwangstrennung geht dann wieder nichts mehr.Und jedesmal per Hand ist keine Option.

Bei mir ist ein alter p3-Rechner der Router und so kann ich /etc/ppp/ip-up und /ip-down verwenden, Scripte, die in diesen Ordnern liegen, werden bei Herstellung bzw. Trennung der Verbindung automatisch aufgerufen, mit nützlichen Parametern wie etwa Localip und Remoteip. Programme wie fetchmail, postfix etc legen hier bei der Inwstallation Eintraege an und in beiden Ordnern habe ich ein kleines shell-script für meine eigenen Zwecke, hier als Beispiel /etc/ppp/ip-down.d/ip-down-local

#!/bin/sh

# this script is called from ip-down
# to hold actions I want to happen whenever the IP-Connection is stopped

BASENAME=`basename $0`
INTERFACE=$1
DEVICE=$2
SPEED=$3
LOCALIP=$4
REMOTEIP=$5

case "$INTERFACE" in

ppp0*)
        # he-ipv6 anlegen
        /usr/local/bin/heIpv6-del.sh
        ;;

*)
    # dont know...
    ;;
esac | logger -t $BASENAME

Entsprechend gibt es auch ein /etc/ppp/ip-up.d/ip-up-local, hier sind die relevanten Zeilen

# tunnelbroker updaten
    /usr/local/bin/tunnelbroker_update.sh $4

    # he-ipv6 anlegen
    /usr/local/bin/heIpv6-add.sh $4

Und die drei hier aufgerufenen Scripte in /usr/local/bin lauten

heIpv6-del.sh:
ip -6 route flush dev he-ipv6
ip link set he-ipv6 down
ip tunnel del he-ipv6

heIpv6-add.sh
ip tunnel add he-ipv6 mode sit remote 216.66.80.30 local $1 ttl 255
ip link set he-ipv6 up
ip addr add 2001:470:1f0a:12ef::2/64 dev he-ipv6
ip route add ::/0 dev he-ipv6

tunnelbroker_update.sh
#!/bin/sh
curl -k "https://ipv4.tunnelbroker.net/ipv4_end.php?ipv4b=$1&pass=0000000000000000000000000000000&user_id=aaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaa&tunnel_id=11111";

(bei dem Aufruf von curl, - 1 Zeile! - muss man die Parameter mit den eigenen daten setzen, hinter pass gehoert der md5-Hash des Passwortes (echo -n 'yourpassword' | md5sum), user_id ist nicht der Username sondern die userID von der tunnelbroker-Seite - auch ein MD5-Hash, tunnel_id ist die global tunnel ID - eine 5stellige Zahl.)

Ubuntu überbelichtet

nospam@example.com (daniel) — Mon, 17 May 2010 22:40:06 +0200

Das Upgrade von Ubuntu 8.04 LTS auf 10.04 LTS, dass ja 'eigentlich' problemlos funktionieren sollte, liess mich mit einem ziemlich zerschossenen Rechner zurück, so dass ich eine Neuinstallation machen musste. Was mir danach wieder ins Auge stach: Ubuntu sieht, auf meienen Eizo L768 jedenfalls, immer völlig überbelichtet aus, die Farbabstufungen im helleren Bereich fallen alle in cremeweiss zusammen und Programmfenster sehen generell besser aus, wenn man den Fensterrand zum Größenändern greift und das ganze fenster dann abgedunkelt wird. Am Monitor liegt es sicher nicht, denn der stellt im Wechsel auch Windows und OSX - Desktops dar, und da stimmen die Farben.

Längere Suche brachte mich bislang zu keiner wirklich befriedigenden Lösung, eine gewisse Besserung erzielt das cli - tool xgamma, mit xgamma -gamma 0.7 werden die feingrauen Linien wenigstens angedeutet. Hellblaue Flaechen haben aber immer noch keine Chance und dunkle Flächen wie der LilaBackground saufen einfach ab.

sshfs

nospam@example.com (daniel) — Tue, 16 Mar 2010 23:16:53 +0100

Datenaustausch mit dem Server, das ist vom Windows-Desktop her in der Regel ein Job für WinSCP , vom Linux CLI tar und scp. Wenn man sich einmal die kleine Mühe gemacht hat, sshd für authorized_keys einzurichten, ist das alltagstauglich komfortabel.

rsync hat seine Stärken beim Backup. Aber zuweilen wäre es am praktischsten, ein entferntes Verzeichnis lokal zu mounten und das geht mit sshfs. sshfs ist ein FUSE-Modul, mit dem man entfernte Rechner über SSH in das
eigene Dateisystem einbinden kann. Der Vorteil gegenüber einer ssh-Shell
ist, dass man damit die Dateien und Verzeichnisse auf dem entfernten
Rechner sehr komfortabel editieren, kopieren oder verschieben kann –
genau wie die Dateien und Verzeichnisse auf den lokalen Festplatten. Auf dem Server braucht es dazu ein sftp-Programm, das aber in der Regel schon vorhanden ist.

Lokal muss FUSE eingerichtet sein, sshfs installiert, der Benutzer muss der Gruppe fuse zugeteilt sein und ein mount point muss bereitstehen.

sudo apt-get install sshfs

sudo mkdir /media/Verzeichnisname

sudo chown Benutzername /media/Verzeichnisname

sudo adduser Benutzername fuse

Will man sich vergewissern, dass die ssh-Verbindung klappt, ruft man zum Test erst mal eine shell

ssh server.tld 

exit

und dann ist man auch schon startklar,

sshfs server.tld:/pfad  /media/Verzeichnisname

bindet das entfernte Verzeichnis ein. Um es später wieder zu lösen, gibt man

fusermount -u  /media/Verzeichnisname

Es gibt noch zahlreiche Optionen, darunter -p Portnummer und -o idmap=user, um den lokalen Benutzer auf eine UID auf dem server abzubilden. Und weil ssh problemlos mit IPv6 zurecht kommt, kann sshfs dies natürlich auch.

kostenloses Serverzertifikat

nospam@example.com (daniel) — Fri, 26 Feb 2010 16:44:40 +0100

Verschlüsselte Verbindungen machen Sinn, auch wenn man keinen WebShop betreibt oder eine Bank ist. Die Passwörter beim Zugriff auf die Mail oder die Daten im geschützten Kundenbereich möchte man schon vor cachenden Proxies oder einem lauschenden wireshark verborgen halten - aber dazu braucht es Zertifikate.

Die kann man sich zwar ohne grosse Mühe selber erstellen und signieren, aber solchen Eifer bestrafen die Browser, namentlich FireFox, mit so eindrucksvollen Warnhinweisen, dass 'normale' Nutzer unweigerlich den Eindruck bekommen, die Verschlüsselung sei das Sicherheitsrisiko.

Und 'echte' Zertifikate sind zu teuer. Mit einer Ausnahme: startssl.com, da bekommt man Serverzertifikate für je eine Domain und eine Subdomain umsonst. Geht ganz leicht, heise hat im Zweifel aber auch eine handliche Anleitung dazu.

Es empfiehlt sich nur, wenn man postgrey auf dem mail server hat, startcom.org in die whitelist einzutragen, sonst muss man den Validierungsprozess wieder und wieder beginnen.

Viele IPs fuer ein Interface

nospam@example.com (daniel) — Thu, 11 Feb 2010 13:44:01 +0100

Auf dem Wege zur Umstellung auf IPV6 tat sich die Frage auf, wie ich die Menge der IPs anbinde. Der Server hat von tunnelbroker.net einen statischen 6in4-Tunnel und dazu je ein /48-Subnet und ein /64er, zur besseren Redundanz auch von Sixxs noch einen Tunnel mit /48. Das macht zusammen eine obszöne Anzahl von Adressen, da kann ich mir eine eigene IP je vhost leisten

Für die ersten Versuche habe ich die IPv6-Adressen in der /etc/network/interfaces analog der IPv4-Adressen eingetragen, etwa so:

# Zusatz-IP 1
auto eth0:1
iface eth0:1 inet static
address 192.0.2.n
broadcast 192.0.2.m
netmask 255.255.255.248

iface eth0:1 inet6 static
address 2001:db8:12c4::1
netmask 64

Für ein paar Beispiele kommt man damit zurecht, aber schon mit einem knappen Dutzend wird es lästig.

So geht es besser:

up /sbin/ifconfig eth0 inet6 add 2001:db8:12c4::1/64
up /sbin/ifconfig eth0 inet6 add 2001:db8:12c4::2/64
up /sbin/ifconfig eth0 inet6 add 2001:db8:12c4::3/64
up /sbin/ifconfig eth0 inet6 add 2001:db8:12c4::4/64
up /sbin/ifconfig eth0 inet6 add 2001:db8:12c4::5/64