Jahr: 2014

SSL-Setup für Owncloud auf Apache

Schon lange vorgehabt: meiner Owncloud mal ein vernünftiges SSL-Setup gönnen.

Wen es mal fertig ist, sieht es gar nicht so viel aus; warum muss es auch tausende von Kryptoverfahren geben und die Apache-Default-Config auf uralte Browser Rücksicht nehmen, die niemand mehr einsetzt ?

Aus der Apache ssl.conf:

SSLProtocol all -SSLv2 -SSLv3 -TLSv1 -TLSv1.1
SSLCipherSuite ‚EDH+CAMELLIA:EDH+aRSA:EECDH+aRSA+AESGCM:EECDH+aRSA+SHA384:EECDH+aRSA+SHA256:EECDH:+CAMELLIA256:+AES256:!CAMELLIA128:!AES128:+SSLv3:!aNULL:!eNULL:!LOW:!3DES:!MD5:!EXP:!PSK:!DSS:!RC4:!SEED:!ECDSA:‘

Die OSX Desktop-Sync-App und die Owncloud-Android-App gehen beide noch, die scheinen den ganzen alten Kram nicht zu brauchen. Und Firefox und Safari sind auch glücklich.

Auf dem letzten Congress hat jemand Bettercrypto.org vorgestellt. Das ist ein guter Anfang, aber damit kommt man bei Qualys nur auf Werte zwischen 80 und 90%.

First Lego League 2014 in Oldenburg

Auch dieses Jahr war wieder der First Lego League Regionalwettbewerb an der Uni Oldenburg. Leider mit etwas weniger Teams als die letzten Jahre.

Beim Robot-Design gab es wieder viele verschiedene Anätze zu bewerten. Leider haben sich einige theoretisch gute Ideen im Wettbewerb hinterher nicht umsetzen lassen. Statisch navigieren ist eigentlich blöd. Aber besser eine funktionierende statische Navigation als eine nicht funktionierende Sensor-Navigation.

Praxis schlägt Theorie.

Am tollsten war ein pneumatisch betriebener Kettenspanner, damit die Ketten nicht so leicht auf den Rädern rutschen. Wirkt etwas übertrieben. hat aber geholfen.

Viel hilft viel 🙂

Das Siegerteam in Aktion:

Die Ränger waren voller, als es auf diesem Photo aussieht:

Und zum Schluss gab es viele viele Siegerehrungen. Für jede der Kategorien gibt es eine eigene Wertung und dann noch eine Gesamtwertung:

Und noch mal alle 1. bis 3. Plätze in jeder Kategorie und die Gesamtplatzierten zusammen. Da reicht dann das Weitwinkel doch nicht mehr:

Wer sich für Roboter interessiert, sollte nächstes Jahr teilnehmen. Die Oldenburger-Region ist gut vertreten. Immerhin sind die WGM Devils aus dem Oldenburger Regionalwettbewerb bis ins Weltfinale in den USA gekommen.

Fedora 21

Ein Jahr lang kein Release-Wechsel war eigentlich auch nicht schlecht. Aber hier ist das neue Fedora 21: klick.

Am besten gleich auf die Mirror-Liste gehen, die Fedora-Site ist ziemlich zu.

Telekom und IPV6

Für Telekom-Bestandskunden (DSL All-IP mit Entertain) gibt es keine Möglichkeit IPv6 zu bestellen, ght aber trotzdem:

  • Im Kundencenter gibt es einen Dummy-Auftrag IPV6-Sperre. Über ein Ticket löschen lassen. Kostet nichts, war am nächsten Tag fertig.
  • Im Kundencenter einen Inklusivbenutzer bestellen. Wie man den Dienst findet ist mir unklar, aber die Suchmaske oben rechts findet den Dienst. 48 Stunden warten.
  • Router einmal Auflegen und neu verbinden lassen.


Und schon ist IPV6 (2003er Netz) da. Sehr merkwürdiger Prozesse, aber egal. Der Sixxs-Tunnel kann also erstmal in die Mottenkiste.

M-Audio Fast Track Ultra unter Linux

Die M-Audio Fast Track Ultra funktioniert unter Linux mit den Standard-Kernel-Treibern einwandfrei. Nur die Konfiguration ist etwas unübersichtlich.

Da das Gerät ein internes Routing und einen Mixer eingebaut hat, muss man dem Gerät sagen, welches Signal wo rein, mit wem gemischt und wo wieder raus soll.

Ohne Routing und ohne Mixing (macht man am besten ohnehin im Rechner), sieht das dann so aus:

DIn1 -> Out1 100
Din1 -> Out2 0
Din1 -> Out3 0

Din2 -> Out1 0
Din2 -> Out2 100
Din2 -> Out3 0

Und zum Schluss alle Effekte auf 0 runterdrehen:

Spätrömische Dekadenz: M-Audio für Mehrkanalkino

Da die Notebooks heute ja alle keinen SPDIF-Mehrkanalausgang für Dolby Digital oder DTS haben, muss ein externes Mehrkanal-USB-Audio Device dafür herhalten.
Auch wenn eine M-Audio Fast Track Ultra dafür sicherlich nicht gedacht war, klappt es prima.
Der Verstärker wird über die diskreten Audio-Ausgänge angekabelt:
  • Ausgänge 1+2 für vorne links und rechts
  • Ausgänge 3+4 für hinten links und rechts
  • Ausgänge 5+6 für Center und den Subwoofer
  Etwas fummelig ist das die Konfiguration der Kanäle:
 

Die Konfiguration unter Linux sieht genauso aus, nur daß die grafische Darstellung im Alsa-Mixer anders aussieht.

Und zum Schluss muss man noch die Audio-Lautstärke am Gerät (Master-Volume benannt) ganz hochdrehen. Heißt zwar Master, ist aber nur Vorne Links und Rechts; sonst sind diese beiden Kanäle viel leiser als die anderen Kanäle.

FritzBox und PXE

Der DHCP-Dienst der Fritzbox ist leider ziemlich inflexibel. Da man ihm keine DHCP-Optionen mitgeben kann, bekommt man auch kein PXE gebaut.

Aber das PXE-ROM hat ein nettes Feature: es redet auch mit zwei DHCP-Servern. Von dem einem Server holt er sich den IP-Kram, von dem anderen DHCP-Server die PXE-Optionen.

Beschrieben wird das alles in der PXE-Spec im Kapitel 2.2.3 (Proxy-DHCP).

Wer also eine Fritzbox hat, installiert sich auf einem Linux-Rechner einen dnsmasq und lässt diesen nur die PXE-DHCP-Optionen verteilen und fertig ist der PXE-Server für zu hause.

/etc/dnsmasq.conf


log-dhcp
conf-dir=/etc/dnsmasq.d
port=0
enable-tftp
tftp-root=/tftpboot
dhcp-no-override
dhcp-range=192.168.0.100,proxy
pxe-service=X86PC,     „Legacy Netzwerkboot“, /tftpboot/pxelinux
pxe-service=X86-64_EFI,“EFI Netzwerkboot“,    /tftpboot/pxelinux

Dafür muss man in der dnsmasq.conf alles mögliche abschalten (port=0, leerer range, …) und den PXE-Kram anschalten.

IPV6 mit UCS und Synology

Die Synologys sind recht empfindlich was IPV6 angeht.

Sind im Netzwerk nur die Link Local Adressen aktiv, kann das NAS nicht mit dem UCS reden. Das scheint mir den RFCs nach korrekt zu sein, die QNAPs scheint das aber nicht zu kratzen.

Die Link Local Adressen sind nicht wirklich zur Kommunikation im LAN gedacht. Dafür sollte ein zusätzlicher Adressraum angelegt werden.

Das geht im Router (Fritzbox) los:

Am einfachsten ist es einen Unique Local Bereich anzulegen. Wer nicht selber rechnen will, kann den Generator von Sixxs benutzen.

Dem UCS muss man etwas auf die Sprünge helfen und ihm alle seine Adressen extra eintragen.

Besonders wichtig ist der Default-Eintrag. Die Namen der Bereiche haben nur dokumentarischen Charakter. Bis auf eine Ausnahme (die gut in der Doku vergraben ist), ist der Name default, benutzt der UCS diese Adresse für ausgehende Verbindungen, ansonsten scheint er die Link Local Adresse zu benutzen, was nicht funktioniert.

Da mein UCS eine zweite Schnittstelle hat (das Tunnel-Interface vom OpenVPN) müsste man vermutlich überall eine Scope-Angabe reinbasteln, damit Link Local noch funktioniert. Das macht aber weder Spaß, noch kann die GUI das.

Außerdem besteht das Synology darauf, den ganzen Krams auch im DNS zu finden.

Synology und der Univention Corporate Server

Auch die Synology NAS-Geräte lassen sich an den UCS anbinden. Aber sie haben die gleiche Macke wie die QNAP-Geräte, denn der LDAP-Port lässt sich nicht ändern.

Also müssen auch die Synology-Geräte über das Active Directory des Samba 4 angebunden werden.

Dafür ist die Anbindung total simpel: AD-Name, DNS des AD und der Domain-Admin-Benutzer eingeben und fertig.

Richtig in den Fuß schießen kann man sich dafür beim IPV6 der Synology-Geräte, aber dazu später mehr.