• wenn man 2 oder mehr OpenVPN Client Instanzen parallel oder
• wenn man 1 oder mehr OpenVPN Remote Access Server und 1 oder mehr OpenVPN Client Instanzen betreibt

Das hängt damit zusammen, wie man die NAT-Regeln gelbaut hat. Bei Interface “OpenVPN” nimmt er dann tatsächlich im round-robin Verfahren jeweils das eine oder andere OpenVPN TUN Device.

Abhilfe schafft, wenn man den / die OpenVPN Server Client Interfaces (z. B. ovpnc2) unter Interfaces -> Assign einem neuen OPT-Device zuordnet. Jetzt unter Interfaces -> OPT1 das Interface aktivieren mit Type = “none” (da der OVPN-Daemon dieses konfiguriert). Sinnvollerweise dem Interface noch einen aussagekräftigen Namen verpassen und unter Firewall -> NAT die Angaben zum Interface anpassen (OpenVPN durch ‘aussagekräftiger Name’ ersetzen). Ggf. auch an Interface-bezogene Regeln unter Firewall -> Rules zum Client Interface denken.

Nun den OpenVPN Client Daemon neu starten und die Paketverluste gehören der Vergangenheit an.

Round-Robin Paketverlust am pfSense bei parallelen OpenVPN-Konfigurationen ist ein Original von: Dem Commander1024 sein Blog

O'rly? Seriously Golem, I don't get the point!

Und auch die Artikelansicht ist nicht viel besser lesbar, ausser der Tatsache, dass die Schrift größer ist, aber dafür sollten Betroffene sich lieber ne neue Brille kaufen oder die “Strg” + “+” Funktion ihres Browsers verwenden.

Golem breiter und besser lesbar? ist ein Original von: Dem Commander1024 sein Blog

Jetzt hat sich gestern aber mod_gnutls an seinem Cache unter /var/cache/apache2/gnutls_cache verschluckt, was einige unangenehme Folgen hatte.

• Massives Loggen von “PANIC: fatal region error detected; run recovery” in /var/log/apache2/error.log (~25MB/s)
• Extrem hohe Last auf dem Server
• Vollaufen der Festplatte (bzw. der Log-Partition)
• nahezu keine Reaktion auf http/https vom Apache2 auf Anfragen an diesen
• Diverse Kernel Stack Traces, zumeist als Konsequenz der vollen Festplatte

Was als Sofort-Maßnahme hilft, ist das Töten des Apache2 (killall -9 apache2), löschen von /var/cache/apache2/gnutls_cache und /var/log/apache2/error.log und den Webserver wieder starten.

Interessant ist natürlich, warum sein Cache korrumpiert wurde und eigentlich noch viel interessanter, warum mod_gnutls es überhaupt für nötig befindet, einen Cache anzulegen (mod_ssl kommt auch ohne aus). Die Einstellung findet sich übrigens hier: /etc/apache2/mods-available/gnutls.conf. Dort wird im Übrigen auch erwähnt, dass die DBM Variante auch nicht die Schnellste ist. Daher wollte ich einfach mal ein paar MB für einen memcached Dienst abzacken und diesen als Backend-DB für den gnutls-Cache nutzen. Dummerweise bin ich da mal wieder zum x-ten mal in einen Debian-Bug reingerannt (ja es häuft sich ganz extrem), denn der memcached Support ist gar nicht mit einkompiliert (anders als die Doku und das Config File vermuten lassen.)

Ebenfalls undokumentiert ist die Möglichkeit, den dummen, obsoleten Cache ganz abzustellen. Dazu einfach Folgendes in die Config /etc/apache2/mods-available/gnutls.conf einfügen:

  GnuTLSCache none none

Läuft auch nicht langsamer als die DBM-Variante und sollte weit weniger fehleranfällig sein.

mod_gnutls vor die Wand gefahren ist ein Original von: Dem Commander1024 sein Blog

Download

Das Video, welches ich beim Vortrag vorgeführt habe, darf ich hier vermutlich nicht veröffentlichen, da ich die Nutzungserlaubnis nur für den Vortrag in der Zone eingeholt habe. ;-)

WLAN Sicherheit ist ein Original von: Dem Commander1024 sein Blog

# sudo echo "options iwlagn 11n_disable=0" > /etc/modprobe.d/intel-5300-iwlagn-disable11n.conf

Diese Änderung wird nach dem nächsten Reboot aktiv, sofort kann man den N-Modus hierdurch aktivieren.

# sudo rmmod iwlagn
# sudo modprobe iwlagn 11n_disable=0

Ubuntu + Intel PRO/Wireless 5100 AGN ist ein Original von: Dem Commander1024 sein Blog

Die Hauptschwäche ist da gar nicht mal ein angreifbarer Algorithmus, sondern die Zeit, da der PSK aus Ignoranz, Faulheit oder Bequemlichkeit nach der Ersteinrichtung und dem Einrichten von einigen Clients nie mehr oder allenfalls sehr selten geändert wird. Da konnten und können auch keine MAC Filter etwas dran ändern.

Doch dagegen ist schon lange ein Kraut gewachsen, bekannt unter dem ominösen Buzzword: “WPA/WPA2 Enterprise”

Leider ist die Bedeutung dieses Begriffs nicht ganz eindeutig. Hinter WPA2-Enterprise können sich eine Vielzahl von Kommuniktionsprotokollen verbergen, die zwar allesamt ähnlich arbeiten aber zueinander inkompatibel sind und einige Vor- und Nachteile aufweisen. Hauptunterschied ist aber, dass der eigentliche WPA Schlüssel für jeden WLAN Client eigens ausgehandelt wird und auch periodisch ersetzt wird. Damit diese Aushandlung nicht mitgelauscht werden kann, findet sie über einen Sicheren Kanal statt.

Über die Vor- und Nachteile sowie die Funktionsweise der verfügbaren Techniken informiert dieser heise Netze Artikel. Allerdings beherrschen nicht alle Endgeräte alle möglichen Techniken, sodaß man bei einem Spektrum an vielen verschiedenen Clients, auf einen Mischbetrieb setzen muss. Zwar ist es noch immer möglich, dass ein Angreifer Traffic mitschneidet, seine Cloud rechnen lässt und den Inhalt dechiffriert, doch kann er sich mit dem Schlüssel nicht einloggen und den Internetzugang (oder aber gefährlicher: den Zugang zum LAN mit allen Informationen, die dort abzugreifen sind) missbrauchen, denn 1. hat er so nur den WPA Key dieses einen Clients bekommen und 2. ist dieser aller Wahrscheinlichkeit zu dem Zeitpunkt schon zig mal ausgetauscht worden.

Vorraussetzungen:

• ein Access Point, der WPA(2)-Enterprise anbietet
• ein freeradius Server (entweder auf dem gleichen Gerät oder auf einem anderen Rechner / Server / Embedded Device)

Leider muss man dazu sagen, dass die wenigsten Plastikrouter, eins von beidem anbieten, bei Standalone Access Point Hardware hat man häufiger noch die Chance, dass ein externer RADIUS Server genutzt werden kann. Ggf. kann man seinen Router mit Alternativfirmware wie dd-wrt oder openwrt umflashen, welche dann die nötige Zusatzfunktionalität bieten oder im Falle einer Fritzbox kann man die Funktion mithilfe des freetz Projekts nachrüsten. Ich hatte bei der Anschaffung bereits drauf geachtet, dass der TL-WA901ND diese Funktion bietet. Als RADIUS-Server (und nebenbei noch für rsnapshot Backups) kommt bei mir eine Dockstar zum Einsatz, die sich wegen der geringen Größe und dem niedrigen Stromverbrauch geradezu anbietet.

Auf dem Dockstar Gerät läuft ein minimales Debian Squeeze (nächster stable Release nach Lenny) auf dem ich freeradius direkt aus der Paketverwaltung nutzen kann. Auf älteren (ubuntu oder debian) Systemen kann es nötig sein, freeradius aus dem backports repo zu ziehen oder fix selbst zu compilieren).

Konfiguration:

Da der Access Point mit dem RADIUS Server verschlüsselt kommuniziert, muss in der /etc/freeradius/clients.conf erstmal der AP mit IP-Adresse und Shared Secret bekannt gemacht werden, umgekehrt muss im AP die IP/Port des Servers eingetragen werden.

/etc/freeradius/clients.conf

client 192.168.XX.YY/32 {
   secret    = <nicht-zu-kurzes-shared-Secret-gerne-auch-mit-Sonderzeichen-und-Zahlen>
   shortname = <Alias-Name>
}

Nun brauchen wir noch ne SSL PKI Infrastruktur, welche wir mit OpenSSL basteln (oder ggf. durch Verwendung von OpenVPN oder selbst-signierten SSL-Zertifikaten bereits haben). Konkret brauchen wir eine Certificate Authority (CA – ca.pem), ein Server Certificate + Key (server.pem, server.key) und Zufallsdaten (Symlink von random -> /dev/random). Das legen wir in /etc/freeradius/certs/ ab. Dieses Howto erklärt, wie man das händisch erledigt.

Die Benutzerdatenbank kann auf verschiedenste Arten hinterlegt werden. Von LDAP über MySQL bis hin zu einer einfachen Textdatei ist hier alles möglich, Debian und Ubuntu liefern auch gleich die nötigen Skripte zur Erstellung der Datenstrukturen mit. Einträge in der users-Datei (nur für kleine Benutzerzahlen empfehlenswert, aber dafür vollkommen ausreichend) sähen dann etwa wie folgt aus:

/etc/freeradius/users

"warrior"	Cleartext-Password := "<nicht-zu-kurzes password>"
"handy"		Cleartext-Password := "<nicht-zu-kurzes password>"
"ex-freundin"   Auth-Type := Reject, Reply-Message = "<gemeiner Text> ;-)"
"Besucher"      Cleartext-Password := "darf-auch-gelegentlich", Login-Time :="Wk1900-2300,Sa0900-2300,Su0900-2000"

Ob die Authentifizierung funktioniert, kann man testen, indem man localhost oder einen anderen Rechner in der clients.conf hinzufügt und folgendes Kommando ausführt:

radtest <username> "<password>" <IP-vom-freeradius-server> 10 "<shared secret>"

Clients konfigurieren:

Der Networkmanager von Linux hat gar keine Probleme, einfach das ca.pem Zertifikat mit angeben, Benutzer+Password angeben und man ist verbunden.

wpa-supplicant kanns auch von Haus aus, allerdings muss man das in der /etc/wpa_supplicant.conf manuell konfigurieren, wpa_passphrase ist hierbei keine sonderlich große Hilfe.

Das Nokia N900 hatte in der Version PR1.2 einen Bug, sodass man auf PEAP ausweichen musste, ob dies mit dem gerade erschienenen PR1.3 behoben wurde, ist mir (noch) nicht bekannt.

Unter Windows XP, Vista und 7 muss das ca.pem vorher manuell in den Cryptostore importiert werden, wobei Windows 7 dabei nicht in der Lage ist, den richtigen Speicherort selbst auszuwählen, da muss man dann manuell “Zertifizierungsstellen” auswählen .

Einziger Wermutstropfen bei mir zu hause ist die Nintendo Wii, die partout nur WPA(2)-PSK beherrscht. Andere Spielkonsolen oder Consumergeräte habe ich derzeit nicht im Einsatz.

WLAN: WPA2-Enterprise (EAP-TLS und co) ist ein Original von: Dem Commander1024 sein Blog

aptitude install libapache2-mod-gnutls
a2enmod gnutls
a2dismod ssl

/etc/apache2/ports.conf editieren:

<IfModule mod_gnutls.c>
 Listen 443
</IfModule>

Zwischenzertifikat / Intermediate Zertifikate einfach an das SSL-Zertifikat anhängen:

   # cat www.commander1024.de.crt sub.class1.server.ca.pem > www.commander1024.de.pem

SSL-Vhosts umschreiben:

#       SSLCertificateFile      /etc/apache2/ssl/www.commander1024.de.crt
#       SSLCertificateKeyFile   /etc/apache2/ssl/www.commander1024.de.key
#       SSLCertificateChainFile /etc/apache2/ssl/sub.class1.server.ca.pem
#       SSLProtocol all -SSLv2
#       SSLEngine On

 GnuTLSEnable on
 GnuTLSPriorities NORMAL
 GnuTLSCertificateFile /etc/apache2/ssl/www.commander1024.de.pem
 GnuTLSKeyFile /etc/apache2/ssl/www.commander1024.de.key

 ServerName www.commander1024.de
 ServerAlias commander1024.de

Den Indianer neustarten:

/etc/init.d/apache2 restart

und das wars auch schon! Nun kann man beliebig viele SSL Vhosts auf einer IP Adresse betreiben. Alle OS’e und Browser unterstützen dieses bereits nur die Windows XP TLS lib beherrscht das noch nicht korrekt, sodaß unter XP alle Browser, die im XP eingebaute TLS Library verwenden, Zertifikatswarnungen ausgeben ab dem 2. VHost. Der Firefox bringt seine eigene TLS lib mit und ist davon nicht betroffen.

mod_ssl durch mod_gnutls beim Apache2 ersetzt ist ein Original von: Dem Commander1024 sein Blog

Analysen haben gezeigt, dass ich zwar eine Adresse via DHCP bekomme, aber alle Pakete (inkl. DNS) im Gateway stecken bleiben. Und nein, ich brauche für diese Erkenntnis weder aus Modem noch Router das Stromkabel ziehen und wieder einstecken, meine Technik funktioniert nämlich. :-D

Macht Spaß sowas, zum Glück hab ich 2 UMTS Karten, die den Ausfall sanft überbrücken können

09.02.2010 10:40  – 10.02.2010 09:30 = 22:50 Stunden

11.02.2010 05:55 – 11.02.2010 17:40> = 11:45 Stunden (diesmal hat ein resync des Modems vorläufig für Abhilfe gesorgt)

[Update] Unitymedia #Fail ist ein Original von: Dem Commander1024 sein Blog

Die allerersten Einrichtungsgegenstände der neuen Wohnung

Als ich umgezogen bin, hat Unitymedia mir einen D-LINK DIR-300 Router mitgeliefert (wie schon berichtet sogar noch vor dem offiziellen Einzugstermin :-) ) Während der Renovierungsarbeiten wurde dieser auch bereits rege vom Handy, bzw. später mit der PSP rege zum Internetradio hören genutzt, aber schon da war auffällig, dass die Musik doch relativ häufig nach 1-2 Stunden jeweils aus ging. Merkwürdig, aber 1. keine Zeit und 2. keine Mittel zum Bughuntig vorhanden gewesen.

Nach dem Einzug folgte allerdings schnell die Ernüchterung: Die Aussetzer lagen nicht am Stream-Hoster, nicht an der PSP oder dem Handy, und auch nicht an Unitymedia, denn mit nem PC, der direkt am Modem angeschlossen ist, traten diese Phänomene nicht auf.

Dazu muss ich aber auch erwähnen, dass ich in Punkto Internetverfügbarkeit und -qualität höchstwahrscheinlich etwas verwöhnt bin, da ich jahrelang vorher bei meinen Eltern einen kompletten Linux-HomeServer als Router und für diverse andere Zwecke im Einsatz hatte. Nur ist der Stromverbrauch einer solch (potenten) Kiste überhaupt nicht mit meinen finanziellen Planungen bzgl. Stromverbraucht und -kosten unter einen Hut zu bringen, da ich durch die diversen Kisten, die ich zuhause einsetze (Mediacenter, Workstation, Bastelkiste, TV) ohnehin eine happige Stromrechnung habe.

Eine schnelle Google Suche hat mich nun auf dd-wrt und openwrt aufmerksam gemacht, welche beide auf den DIR-300 geflasht werden können. Beim Durchlesen der Featureliste fand ich es zudem noch sehr spannend, dass man mit modifizierter Firmware auch Nettigkeiten wie OpenVPN darauf betreiben kann. Das Rennen machte in diesem Fall übrigens dd-wrt, der zwar nicht offen, aber für privat kostenlos ist. Die Ernüchterung folge aber bald. Der Flash-Speicher des Routers war für OpenVPN eh zu klein, der RAM arg begrenzt und die CPU für 20Mbit Durchsatz viel zu langsam, sodaß der Software Watchdog beim einfachen Runterladen bereits zuschlägt. Mit stärkerer Hardware hätte ich bestimmt Spaß an dd/open-wrt haben können.

Daraufhin habe ich mir ‘günstig’ eine Fritzbox Fon WLAN 7240 besorgt, die zwar für deutlich zuverlässigere Internetanbindung sorgen konnte, allerding in den Einstellung sehr beschränkt war, so war Traffic nur für VoIP prioritisierbar, aber auch hier nur propietäres VPN verfügbar, Das Freetz Projekt versprach da Abhilfe. Sehr schön daran fand ich, dass alles auf der Fritzbox Vorhandene bestehen bleibt und zusätzliche Software paralle ‘daneben’ (mit separater GUI) installiert wird. Leider hat AVM seine openssl-libs (welche unter der Apache License steht) verändert und den Code nicht publik gemacht (was sie durchaus dürfen), was zur Folge hat, dass jede zusätzliche Software statisch gegen eine weitere Version der libssl gegencompiliert werden muss, was im knappen Flash-ROM (16MB) schnell für Knappheit sorgt. Auch kann man die vorhandene libssl nicht durch eine Vanilla Version austauschen, da dann die AVM Tools, die SSL nutzen wollen, crashen.

Davon abgesehen, war die stark im Funktionsumfang erweiterte Fritzbox trotz aller gelösten Widrigkeiten nicht dazu zu bewegen, Laufzeiten von über 10 Tagen zu erreichen, was mich ebenfalls nicht zufrieden stellen konnte. Also musste eine ganz andere Lösung her, von der ganzen Consumer Hardware hatte ich zu dem Zeitpunkt (es waren schon mehr als 2 Monate verstrichen) die Nase voll.

Als mich ein Kumpel auf diese x86 kompatible Hardware hingewiesen hat, sah ich dann alle meine Probleme gelöst: klein, stromsparend und mehr als 4x so kräfig wie Fritzbox und co. Aus Bequemlichkeit entschied ich mich für diese Variante, da sie neben 3 LAN Ports, auch noch einen minipci für die Nachrüstung einer WLAN Karte bot, und eine Echtzeituhr samt Batterie aufgelötet hat. Mit 256MB RAM und 500MHz CPU ist der Stromverbrauch von ~5W mehr als zufriedenstellend. Nur die Software fehlte noch.

Aus vergangenen Tagen kannte ich noch die IPCop Software. Allerdings war sie zu dem Zeitpunkt hoffnungslos veraltet, 2.4er Kernel und Uralt Pakete sprachen keine deutliche Sprache für vollen Hardwaresupport, eine Google suche führte mich zu u. A. zu monowall und pf-sense, allerdings hatten mir beide zu wenig Features, weil sie auf den Unternehmenseinsatz abgestimmt sind, so Sachen wie kleiner samba File-Server, IRC bouncer, oder aber auch Musikserver fehlten mir dran.

Schließlich bin ich auf den IPFire gestoßen, ursprünglich ein IPCop Fork, der mir wegen der hübschen GUI ;-) und vor allem wegen der Addons besonders gut gefallen hat. Wie ich finde, werden hier notwendige Sicherheitsfeatures wie Firewall, Intrusion Detection und -prevention, Proxy, logische Netztrennung (WLAN, LAN, DMZ), DHCP, DNS+Relay, Logging + Graphing + (Hardware) Monitoring, VPN, NTP etc. mit Bequemlichkeiten wie Samba, FTP(e)S, IRC Bouncer. Nicht zuletzt wegen der  Optimierung für embedded Systeme wie PcEngines Alix*, Via Nano inkl. Support für OCF (exp.) und PadLock, WRAP, Soekris ist die Software für einen stromsparenden Home/SoHo Server sehr gut geeignet. Auf leistungsfähigerer Hardware ist natürlich entsprechend mehr möglich. Ich bin so begeistert von dem Stück Software, dass ich mittlerweile (wenn auch im Moment wieder weniger aktiv) Entwickler beim IPFire Projekt bin, und das eine oder andere Code Sniplet beigetragen habe. In dem Zuge möchte ich auch nochmal auf die Präsentationsfolien zum IPFire Talk hinweisen, den ich vor einiger Zeit in der Warpzone gehalten habe.

[Ja zugegeben, dieser Artikel lag ziemlich lange unveröffentlicht in der Pipeline, bis ich ihn nun endlich fertig gestellt bekommen habe ;-) ]

Router Odyssey: PC Engines Alix2D13 + IPFire Software ist ein Original von: Dem Commander1024 sein Blog

IPFire.org

Diese Nacht habe ich in der Warpzone einen Kurztalk über die IPFire Firewall/Router-Distribution beim Hack&Breakfast in der warpzone, Münsters erstem Hackerspace gehalten.

Qik-Stream/Archiv: Commander1024 – IPFire
Präsentationsfolien: IPFire Talk (.pdf)

Leider ist die Präsentation selbst nur in besserer Qualität gestreamed, aber nicht gespeichert worden :-(

IPFire Talk in der #warpzone ist ein Original von: Dem Commander1024 sein Blog

Aber zum Glück gibt es ja ein Frühwarnsystem – für beide Seiten:

Zensursulalarm! ist ein Original von: Dem Commander1024 sein Blog

Diesmal nicht Terrorismus sondern Universalargument #2, die Kinderpornographie, schien diesmal ausreichend zu sein, um die Rechte der Bevölkerung zu beschneiden. Natürlich will ich weder die Leute, die Kinderpornographie verbreiten, noch konsumieren schützen, solch Abschaum ist mir egal und er sollte im Knast schmoren. Nur trifft diese Maßnahme nicht solche Leute, da es technisch absolut unzureichend angegangen wird, da sie erstens viel zu einfach zu umgehen ist und nahezu kriminelles Vorgehen von BKA / Bundesregierung impliziert bzw. fördert. Die Sperrliste soll geheim bleiben (denn unter den Links sind ja illegale Inhalte zu erwarten), und es darf nicht darüber diskutiert werden (lächerlich!!!), noch wird es hinterfragt, weil ja nicht bekannt ist was gesperrt werden soll. Die Skandale werden folgen, das ist so sicher wie das Amen in der Kirche. Spätestens wird man zur nächsten Wahl beim Besuch, unliebsamer Parteine auf “Stop-Seiten” stoßen von anderweitigem Missbrauch dieser Maßnahme ganz zu schweigen, aber spontan fällt mir Folgendes ein: Seiten mit neonazistischem Inhalt, politisch motivierte, unliebsame Seiten, Terrorfördernde (blah!) Seiten. Ich prophezeie es und wir werden es merken (es sei denn das Gesetz wird noch um einen Passus erweitert), dass die Medien über die “Miserable Failures” und Verfehlungen nicht berichten dürfen. Aber warum auch nicht, Zensur ist ja schon da, dann kann man sie ja leicht ausweiten.

Was bedeutet das nun für das Individuum? Genau, man sucht etwas, klickt auf einen Link, der selbstverständlich nicht mit einer Kinderpornowarnung versehen ist (die Info ist ja geheim!), klickt darauf und landet auf dem Honeypot des BKA aka Stop-Seite. Das wurde in der Vergangenheit bereits öfters praktiziert, obwohl auch dieses Vorgehen mehrfach vom Obersten Gerichtshof in Karlsruhe als illegal bewertet worden ist. Und mit dem Aufruf / der Anzeige der Stop-Seite ist man automatisch ein Kinderschänder(verdächtiger) und es könnten Tage später die hirnlosen Bundessklaven in grün vor der heimischen Tür stehen?

Wie also bereits abzusehen war, natürlich nur Gängelung und Rechtebeschneidung des (unbescholtenen) Bürgers, denn die wirklichen Kriminiellen werden ihre Spuren zu verwischen wissen, wie auch heute bereits schon praktiziert.

Was hilft also um “von der Leyens Bürgerfalle” zu entgehen?

1. DNS-Server wechseln (Howtos in jeder Form, sogar Videos gibts überall), eine Sache von Sekunden, ich verwende seit ein paar Monaten http://www.opendns.com/
2. Anonymisierungsdienste wie Anon oder Tor nutzen (leider of mit Nachteilen in der Geschwindkeit verbunden)
3. einen eigenen Server im Ausland mieten und darüber den kompletten Internettraffic leiten – der Königsweg, leider mit zusätzlichen Kosten verbunden.

Bei so viel Dummheit, Dreistheit und dem Mutwillen, alle berechtigten Kritiken in den Wind zu schlagen, gönn ichs der Regierung damit so richtig auf die Schnauze zu fallen. Leid tun mir nur die armen misshandelten Kinder, denn die werden (wie die Erfahrungen im Ausland auch eindrucksvoll zeigen) in Zukunft nicht mehr aus den Fängen der Schänder gerettet werden, weil nur noch die einschlägigen Seiten gesperrt, die eigentlichen Schandtaten nicht mehr verfolgt werden müssen, “die existieren ja gar nicht mehr”. Nur möchte ich nicht derjenige Sein, dem armen Kind erklären zu müssen, warum sein Hilfeschrei bewußt überhört worden ist.

Deutschland geht zielsicher weiter den Bach herunter. Btw. eine gute Gelegenheit auszuwandern, falls man das ohnehin schon mal in Erwägung gezogen hat.

Update:

Um diese Überwachungsstaatsmaßnahme vielleicht doch noch zu stoppen,
oder wenigstens seinen Mißmut darüber kundzutun, die Petition
“unterschreiben”!!!

https://epetitionen.bundestag.de/index.php?action=petition;sa=details;petition=3860

von L(ai/ey)en zensiert ist ein Original von: Dem Commander1024 sein Blog

Impressionen der Renovierungs- und Hardware-Umstrukturierungsarbeiten ist ein Original von: Dem Commander1024 sein Blog

Da ich nun aber auch einiges Besser machen möchte und nun die Möglichkeit habe, einzelne Webprojekte auf Subdomains auszulagern, statt Subpfade zu verwenden, ist es gut möglich, dass es irgendwann in nächster Zeit die eine oder andere Störung hier geben könnte oder vllt. sogar die eine oder andere Fehlermeldung zu sehen ist, gibt halt noch viel zu tun ;-)

Ich habs getan ist ein Original von: Dem Commander1024 sein Blog

Dec  3 15:38:45 Commander1024 pppd[2322]: No response to 4 echo-requests
Dec  3 15:38:45 Commander1024 pppd[2322]: Serial link appears to be disconnected.
Dec  3 15:38:45 Commander1024 pppd[2322]: Connect time 518.6 minutes.
Dec  3 15:38:45 Commander1024 pppd[2322]: Sent 87572250 bytes, received 135812137 bytes.
Dec  3 15:38:51 Commander1024 pppd[2322]: Connection terminated.
Dec  3 15:38:51 Commander1024 pppd[2322]: Modem hangup
Dec  3 15:39:56 Commander1024 pppd[2322]: Timeout waiting for PADO packets
Dec  3 15:39:56 Commander1024 pppd[2322]: Unable to complete PPPoE Discovery
Dec  3 15:41:01 Commander1024 pppd[2322]: Timeout waiting for PADO packets
Dec  3 15:41:01 Commander1024 pppd[2322]: Unable to complete PPPoE Discovery
Dec  3 15:42:06 Commander1024 pppd[2322]: Timeout waiting for PADO packets
Dec  3 15:42:06 Commander1024 pppd[2322]: Unable to complete PPPoE Discovery
Dec  3 15:43:11 Commander1024 pppd[2322]: Timeout waiting for PADO packets
Dec  3 15:43:11 Commander1024 pppd[2322]: Unable to complete PPPoE Discovery
Dec  3 15:43:41 Commander1024 pppd[2322]: PPP session is 5236
Dec  3 15:43:41 Commander1024 pppd[2322]: Using interface ppp0
Dec  3 15:43:41 Commander1024 pppd[2322]: Connect: ppp0 <–> eth1
Dec  3 15:43:42 Commander1024 pppd[2322]: PAP authentication succeeded
Dec  3 15:43:42 Commander1024 pppd[2322]: peer from calling number 00:90:1A:40:DF:3C authorized
Dec  3 15:43:42 Commander1024 pppd[2322]: Cannot determine ethernet address for proxy ARP
Dec  3 15:43:42 Commander1024 pppd[2322]: local  IP address 89.244.113.173
Dec  3 15:43:42 Commander1024 pppd[2322]: remote IP address 88.130.64.1
Dec  3 15:43:42 Commander1024 pppd[2322]: primary   DNS address 62.220.18.8
Dec  3 15:43:42 Commander1024 pppd[2322]: secondary DNS address 89.246.64.8

In der Standardeinstellung des pppd, so wie er nach der Installation auf dem debian System vorzufinden ist, versucht der Daemon 10x die Wiedereinwahl, bevor er letztendlich entnervt aufgibt. Normalerweise eine durchaus sinnvolle Grenze für die meisten Provider, denn nach 10 Fehlversuchen ist die Chance, dass es noch einmal klappen sollte, eher gering und müllt sonst nur den Syslog zu.

Naja – für die meisten Provider – da scheint die Versatel nicht dazuzugehören. Heute ist dies gerade noch einmal gut gegangen, es hätten aber wieder nur 5 Versuche gefehlt, bis der Internetzugang für den Rest meiner Familie für den Rest des Tages bis zu meiner Wiederankunft unbrauchbar gewesen wäre, ebenso wäre dieser Blog, das Forum unserer WoW Gildet etc. pp. ebenfalls für diesen Zeitraum offline gewesen.

Für jeden eingerichteten Internetzugang, wird “following the debian way” eine Konfigurationsdatei unter /etc/ppp/peers/ angelegt (z. B. durch das benutzerfreundliche Tool “pppoeconf”), dort werden auch verbindungsspezifische Optionen für den ppp-Daemon gleich mit eingetragen und bei Verbindungsaufbau mit übergeben.

Hier kann man durch Auskommentieren, bzw. einfügen der Zeile “maxfail 0” das Limit für Wiederverbindungversuche vom Standardwert 10 auf “unendlich” raufsetzen.

Der Sinn dieser Änderung ist ja gar nicht so weit hergeholt und dürfte sich vermutlich bereits in den nächsten Wochen als sinnvoll erweisen, wenn der DSLAM mal wieder unerreichbar ist oder andere Probleme aufweist.

Die Versatel mal wieder… ist ein Original von: Dem Commander1024 sein Blog

Tatsächlich gehe ich sogar noch einen Schritt weiter und verwende das 720p HDTV Format (1280×720 Pixel), aber bis die Infrastuktur von YouTube etwas derartiges zulässt, dürfte es noch ein weiter Weg sein – und vermutlich ein deutlich performanteres Flash-Plugin benötigen.

YouTube goes Widescreen ist ein Original von: Dem Commander1024 sein Blog