Kategorie: Server

Docusnap: Fehler bei der Inventarisierung

Wenn ihr ein System nicht über den Agent inventarisieren könnte, prüft bitte folgendes:

Stellt sicher, das ihr den UPN (benutzer@domain.local) statt dem Prä-Win 2000 Logon (DOMAIN\Benutzer) verwendet.

Prüft ob ihr die entsprechenden Firewall ausnahmen eingerichtet habt (z.B. zum testen, die Firewall ausschalten – klappt dann das Inventarisieren, dann bitte entsprechend die Ausnahmen anpassen). Geht dabei wie hier beschrieben vor: https://media.docusnap.com/media/doc/howto/Docusnap_HowTo_Windows-Firewall-Ausnahmen_DE.pdf

Prüft bitte auch ob WMI funktioniert (testen könnt ihr dies vom Server aus mit wbemtest.exe in Richtung des Clients). Hier gibt es weitere Informationen: https://media.docusnap.com/media/doc/howto/DocusnapX_WMIZugriffsprobleme.pdf


Docusnap: System manuell Inventarisieren

Hier erläutere ich euch, wie ich vorgehe um ein System manuell zu inventarisieren:

Server:

  • Auf dem Server im Installationsordner gibt es einen Unterordner mit dem Namen Tools, dort bitte die Datei DocusnapScript.exe kopieren und bereitstellen.
  • Weiterhin habe ich einen Ordner erstellt mit dem Namen Reports und diesen als DocusnapReports freigegeben (Vollzugriff!). Dort kann man die Reports reinkopieren.
  • Im Docusnap kann man unter Intenvar > Script Import einen Import Job erstellen und diesen auch periodisch (z.B. jeden Tag um 18 Uhr) automatisch in Docusnap importieren lassen.

Client:

Auf dem Client habe ich die oben genannte EXE Datei in den Ordner C:\INSTALL kopiert und eine Verknüpfung dazu erstellt mit (docusnapscript.exe -O C:\INSTALL). Beim Aufruf wird im Hinergrund eine XML Datei erstellt, welche in den Reports Ordner kopiert werden kann. Diese Anwendung benötigt nur Userrechte – kann somit sogar vom Anwender selber durchgeführt werden und die XML eingeschickt werden (bitte vorher Zippen – wenn ich mich recht entsinne sperrt Outlook XML Dateien).

Weitere Infos:

https://media.docusnap.com/media/doc/howto/Docusnap_HowTo_Skriptbasierte-Inventarisierung_DE.pdf


Docusnap: Erstellen Visualisierung

Docusnap ist sehr umfangreich, damit läßt sich eine detailierte Visualisierung erstellen, welche die tatsächliche Infrastruktur wiederspiegelt.

Damit man nicht mehrfach die Pläne neu gestalten müssen, empfiehlt sich eine logische Vorgehensweise, welche aufeinander aufbaut.

Beispielsweise die Netzwerkkabel mit den verwendeten Farben (damit sich auch die Kabel in der Wand gemeint, welche zu den Dosen gehen). Solche Details stellt man in den Editor für die Physikalische Infrastruktur ein.

Gehen Sie dazu zuerst im Docusnap links auf den Punkt Standorte und wahlen dann oben links den Punkt Editor öffnen. Um nun die entsprechenden Punkte wie Kabel oder Geräte verwenden zu können, müssen diese erst angelegt werden.

Gehen Sie z.B. auf das Zahnrad oben recht und wählen dort Kabeltypen bearbeiten. Dort können sie die fehlenden Kabel anlegen.

Wenn Sie diese gespeichert haben, können Sie Kategorien anlegen, ich habe beispielsweise neue Kategorien wie Multimedia (z.B. für Sonosgeräte) und Hausautomation (z.B. für Steuermodule für die Hausautomation wie Homematic CCU2 oder Moeller ECIs) angelegt.

Nun kann man Geräte anlegen wie eigene Server, Storage, Steuergeräte usw.

Am besten sucht man sich dazu ein paar Bilder bei Google raus von den entsprechenden Geräten (von vorne und hinten) und auch am besten die Maße. Achtet am besten darauf, das die Bilder transparente PNGs sind und kaum Platz drumherum haben (sonst passen die Maße nicht und die Bilder sehen gestaucht aus).

Mit der entsprechenden Automatischen Porterkennung kommt man schon recht weit, sollte Ports fehlen kann man diese manuell hinzufügen und entsprechend die Reihenfolgen anpassen.

Habt ihr dann alle Gerät, Kabel und Kategorien angelegt, kann man anschließend erst die Standorte anlegen mit entsprechenden Gebäuden, Räumen usw. – anschließend könnt ihr dann unter Standortelemente die entsprechenden Elemente anlegen wie z.B. Netzwerkdosen usw.

Habt ihr in der Inventarisierung auch schon im entsprechenden Gerät im Tab Editor den Standort angegeben, sind auch schon die entsprechenden Geräte in den Standorten zugeordnet.

Verbindungen wie Kabelzuordnungen zwischen den Elementen könnt ihr schaffen, wenn ihr im Editor für die Physikalische Infrastruktur die Standorte öffnet und dann rechts neben den Informationen auf das viereck mit den 3 Punkten geht und dort dann Bearbeiten auswählt.

Wenn ihr nun auf ein Element geht und dann unter Stecker und Kabelverbindungen geht und auf das leere Feld neben dem Eintrag geht, dann könnt ihr die Kabel zuordnen.

Genauso kann man auch Racks anlegen. Aktiviert man den Hacken Verbinden anzeigen, bekommt man auch die Kabel angezeigt in den entsprechenden Farben – mit einen Doppelklick auf das Kabel kann man auch die Kabelführung anpassen



Kostenloses Alfresco Community Edition DMS installieren und einrichten

Dieser Artikel befindet sich noch in der Erstellung und wird fortlaufend erweitert.

Vorbereitung:

Zur Vorbereitung habe ich eine VM (auf VMware) erstellt mit den folgenden Werten:

  • Windows Server 2012 R2 Standard
  • 4 vCPU
  • 6 GB Ram
  • 300 GB HDD

In dieser habe ich Windows installiert, alle Updates durchgeführt, einen festen Namen sowie IP zugeordnet und diese ans AD angebunden.

Download:

Die derzeit aktuelle Version finden Sie hier.

Installation

Veröffentlichen

Anpassungen Webdav

Email einrichten:

Ändern Sie in der Datei C:\alfresco-community\tomcat\shared\classes\alfresco-global.properties den Eintrag:

###E-mail site invitation setting

notification.email.siteinvite=false

wie folgt ab:

###E-mail site invitation setting

notification.email.siteinvite=true

### Outbound Email Configuration

mail.host=IP des Mailservers oder Relay
mail.port=25
mail.username=anonymous
mail.password=
mail.encoding=UTF-8
mail.from.default=emailadresse@domain.de
mail.smtp.auth=false


Starten Sie anschließend über das Alfresco Community Manager Tool den Alfresco- und Tomcat-Dienst neu.

Benutzer einrichten

OCR anbinden

App einrichten

Foto mit App erstellen und per OCR ablegen


Dokumente verwalten und archivieren

Ich habe Unmengen an Dokumente, welche ungeordnet vorhanden sind – Beispielsweise Briefe, Verträge mit Versicherungen, Schreiben die ich mit Office erstellt habe, Rechnungen für das Auto die ich per Email erhalten habe usw.

Jedesmal wenn ich ein Dokument benötige, muss ich erst überlegen in welcher Form es kam und durchsuche entweder Ordner, Dateien auf dem Fileserver oder das Emailarchiv.

Auch wird es schwer Inhalte zu vergleichen.

Deswegen habe ich mir überlegt, alles meine Dokumente zu archivieren und in der originalen Form zu löschen (bis auf solche, die aufzubewahren sind – z.B. Versicherungspolicen usw.).

Alles andere jedoch, soll zentral an einer Stelle zusammengeführt werden und strukturiert abgelegt werden.

Dafür möchte ich mir eine Art Dokumenten Management System (fortfolgend DMS genannt) aufbauen – da es für mich privat ist, gelten keine rechtlichen Richtlinien (z.B. Aufbewahrungsdauer, nicht veränderbar usw.).

Meine Wünsche wären:

  • Weboberfläche und App
  • App kann mit der Kamera Dokument erfassen
  • Kann auf Windows installiert werden
  • Dateien liegen lesbar und zuordnungsfähig vor
  • OCR Erkennung

Dazu möchte ich mir gerne die folgenden Lösungen anschauen:

Nextcloud mit OCR Tesseract:

Eigentlich kein DMS, eher eine private Cloud. Jedoch mit App Anbindung, Webinterface, Open Source Scanengine (OCR), Volltextsuche, Benutzer und Rechteverwaltung.

Dazu habe ich auf dem Fileserver einen Ordner DMS eingerichtet und freigegeben. In diesem Ordner lege ich manuell alle Dateien ab und diese werden per Tesseract gescannt und indiziert.

Mit der flexiblen Suche Elasticsearch kann man dann alle Dateien über ihren Inhalt finden.

Hier hat man den Vorteil, das die Dateien normal im Dateisystem liegen und einfach gesichert werden können.

Leider sind die Ergebnisse mit Tesseract nicht so gut gewesen, so das ich eine kommerzielle Lösung für das OCR dazwischengeschaltet habe.

Dazu habe ich mir Nuance Omnipage 19 Ultimate angeschafft, welches gute Ergebnisse liefert. Leider hatte ich Probleme bei der Einrichtung des Workflows und wollte den Support in Anspruch nehmen (immer sind für mich als Privatperson eine Investition von 200€ eine Menge Geld und ich würde gerne VOR dem Kauf wissen, ob das Produkt meinen Vorstellungen entspricht) – aber leider bekam ich nur vom Support Antworten wie „Lesen Sie das Handbuch“ und „Wir kennen unsere Produkte auch nicht in der Tiefe“, was mich leider nicht zufriedenstellte – jedoch wurden bei Rückfrage einfach die Tickets geschlossen. Kein guter Support! Zu erwähnen wäre noch, das es derzeit noch eine Aktion gibt für 139€ – diese läuft zwar nur noch kurz, aber vielleicht kommt diese noch mal wieder.

Idee für später: Ich möchte Dateien vorsortieren – wenn diese schon durchsuchbar sind (z.B. Officedokumente, duchsuchbare PDF) sollen diese direkt ins Archiv in einem Unterordner mit Datum im Namen – sind diese nicht durchsuchbar (z.B. Bilder, Bild-PDF) sollen diese verschoben werden in einen Hot Folder, welcher von der OCR Software überwacht wird. Dies könnte man mit einem Ordner realisieren, welcher Aktionen ausführen kann und per VBA Dateinamen und -attribute auswertet.

Alfreso Community Edition:

Die Alfresco Community Edition ist ein komplettes DMS. Sie ist komfortabel, flexibel und ist sehr übersichtlich gehalten. Es gibt eine Weboberfläche und eine App. Sie gefällt mir sehr gut, leider jedoch legt sie die Dateien nach einem eigenen Schema ab als BIN Dateien und das zuordnen wird somit unmöglich. Da ich gerne die Dateien als normale Dateien abgelegt habe möchte, kommt Alfreso nicht in Frage. Dies war der einzige Punkt der mich störte – mir gefiel besonders, das die Community Version genauso aktuell ist wie die kommerzielle Version.

Update: Auf Alfresco kann man die Ordner als WEBDAV Laufwerk freigeben (benötigt zwingend HTTPS und bringt auch leider einige weitere Probleme mit sich). Auch wie Agorum Core kann man bei Alfresco jedoch auch die Ordner per SMB freigeben – jedoch wird auch hier die Java Implementierung mit CIFS benutzt und muss die von Windows ersetzen – was nicht ganz trivial ist. Danach kann man jedoch die Ordner direkt nutzen und dort direkt Dateien ablegen bzw. nutzen (z.B. für OCR importe).

Die Schritte sind in Stichworten wie folgt:

  • VM herunterfahren
  • Weiteren Netzwerkadapter einrichten und das entsprechende Netz zuordnen
  • In Windows IPv4 feste Adresse ohne Gateway einrichten, IPv6 und Client für Microsoft Netzwerke sowie Datei- und Druckerfreigabe für Windows in den Bindings der Netzwerkkarte entfernen
  • Auf beiden Adaptern in den DNS Einstellungen Adressen dieser Verbindung in DNS aktualisiern deaktivieren, damit im DNS nicht die Adressen geändert werden
  • Basic Auth aktivieren (Regedit
  • In Alfreso in der file-server.xml anpassen und die IP des neuen Adapters binden
  • Im DNS einen weiteren Namen erstellen mit der neuen IP

Weitere Informationen: https://community.alfresco.com/docs/DOC-4804-file-server-configuration#w_runningsmb2fcifsfromanormaluseraccount

Agorum Core Open:

Diese Software bietet eine kostenlose Version (Open) und kann jederzeit in eine kostenpflichtige Lösung (Pro) upgegradet werden. Auch hier gibt es eine Weboberfläche und eine App. Ebenfalls wie Alfreso ist die kostenlose als auch die Pro Version die selbe – der Unterschied ist das automatismen (KI) und OCR fehlen (wie auch bei allen anderen, da hier kostenpflichtige Tools eingesetzt werden – hier z.B. I.R.I.S.).

Interessant erscheint mir, das das DMS Laufwerk als Netzwerkfreigabe bereitgestellt wird und somit die auf die Dateien zugegriffen und weiterverarbeitet werden können.

Update: Habe eben schon mal mit dem Support Kontakt gehabt. Er war freundlich und hilfsbereit. Auch habe ich den Tipp bekommen, das schon in der Open Source Version Tesseract getestet wird und vielleicht mit hineinkommt – dann wäre das ein DMS das OCR in der „Startversion“ bietet.

Hinweis:

Die Installation ist ein wenig komplexer, beachtet bitte unbedingt die folgenden Links:

Nuxeo:

Nuxeo habe ich mir noch nicht angeschaut, ist aber geplant.

Bitfarm DMS:

Das Bitfarm DMS gibt es in einer kostenlosen und in einer kommerziellen Version. Leider ist die kostenlose Version (4.x) älter als die kommerzielle Version (6.x) und kann auch somit nicht auf die Apps usw. zurückgreifen, so das ich dieses Produkt nicht weiter verfolgt habe.


Kostenlosen Sharepoint 2013 Foundation als OneNote Speicher

Der Artikel ist noch in der Erstellung …

Wichtig: Der Sharepoint ist seit 10.4.2018 EOL, es gibt jedoch noch Sicherheitsfixes bis 11.4.2023 (Enhanced Maintenance).

Hinweis zu iOS und Android Apps: Mittlerweile kann man nicht mehr auf eigene OneNote-Dateien auf einem Sharepoint zugreifen. Hier geht nur noch lediglich der Zugriff über die Webapp oder Terminalserver – wobei dann die Stiftnutzung entfällt. Soll weiterhin ein Stift genutzt werden mit OneNote Dateien auf einem Sharepoint, so ist ein Windows Gerät zu nutzen (z.B. das Surface Go ab 429€).

Hinweis zur Windows 10 (UWP) Version bzw. Nachfolger von Office 2013/2016: Nur die Versionen OneNote 2013/2013/2016 können zu einem Sharepoint verbinden. Im Office 2019 ist kein OneNote mehr enthalten – es soll statt dessen die Windows 10 Version genutzt werden. Doch diese kann sich nicht mehr zu einem eigenen Sharepoint Server verbinden, sie unterstützt nur OneDrive oder OneDrive Business.

Nun zum eigentlichen Artikel.

Da ich meine OneNote Notizen nicht in der Cloud speichern darf (enthalten persönliche Daten) und lokal halten möchte, bleibt mir nichts anderes üblich als einen Sharepoint Server als Speicherziel einzusetzen.

Die letzte kostenlose Version ist der Sharepoint 2013 Foundation, alle anderen danach sind kostenpflichtig.

Alternativ könnte man auch einen Hosted Sharepoint verwenden und die User mit dem AD Syconisieren – dann wäre jedoch auch wieder die Daten in der Cloud, was ich nicht möchte.

Als erstes erstelle ich eine VM welche auf Windows Server 2012 R2 basiert. Diese bekommt 4 vCPUs, 8 GB Ram und 300 GB Festplatte.

Vorbereitungen:

  • Windows 2012 R2 installieren
  • VMWare Tools installieren
  • Namen festlegen
  • IP festlegen
  • Ans AD anbinden
  • Windowsupdates ausführen
  • Prüfen das Dot Net 4.5 installiert ist (bei 4.6 oder 4.7 schlägt die Installation fehl)!
  • Webserver- und Anwendungserverrolle installieren.
  • DotNet Framework 3.5 installieren (z.B.
    DISM /online /enable-feature /featurename:NetFx3 /all /Source:<CD Laufwerk>:\Sources\SxS /LimitAccess )

Als Domänenadministrator anmelden.

Anschließend Chrome installieren und Sharepoint 2013 SP1 Foundation runterladen.

Im ersten durchlauf werden Softwarevoraussetzungen installieren.

Dies läufen bei mir mehrmals durch und versuchen folgende Voraussetzungen zu installieren:

• Microsoft .NET Framework 4.5
• Windows Management Framework 3.0
• Anwendungsserverrolle, Webserverrolle (IIS)
• Systemeigener Client von Microsoft SQL Server 2008 R2 SP1
• Windows Identity Foundation (KB974405)
• Microsoft Sync Framework Runtime v1.0 SP1 (x64)
• Windows Server AppFabric
• Microsoft Identity-Erweiterungen
• Microsoft Information Protection and Control-Client
• Microsoft WCF Data Services 5.0
• Microsoft WCF Data Services 5.6
• Kumulatives Updatepaket 1 für Microsoft AppFabric 1.1 für Windows Server (KB2671763)

Installiert nun das Sync Framework (alle Dateien entzippen und nach und nach installieren), WFC 5.0 und 5.6., sowie die Identity Foundation und die Extionsion.

Windows App Fabric muss ebenfalls installiert sein, jedoch benötigt, das auch noch eine Konfiguration – ladet das Softwarepacket hier und das Update hier runter. Entpackt mit einem Tool wie z.B. 7Zip nach z.B. c:\Pre – und kopiert die beiden Dateien dorthin. Wechselt mit CMD (als Administrator ausführen) und führt den folgenden Befehl aus:

preprequisiteinstaller.exe /appFabric:C:\Pre\WindowsServerAppFabricSetup_x64.exe

Nun solltet ihr euer Zertifikat einpflegen (günstige einfache Zertifikate gibt es bei ssls.com – ich nutze selber ein Wildcard von dort.

NOCH UPZUDATEN!!!

Solltet ihr noch keins haben, dann geht bitte wie hier beschrieben vor (LINK NOCH EINFÜGEN!).

Alternative Namen angeben.

Webserver veröffentlichen (z.B. Portforwarder oder Sophos WAF).

Emailanbindung erstellen

Root bei Bedarf für alle freigeben (z.B. wenn Extranet mit öfffentlichen Informationen sein soll).

Als letzten noch Windowsupdates ausführen. Ich erstelle Sicherheitshalber noch einen Snapshot vorher nach so massiven Änderungen – welchen ich natürlich nach erfolgreichen Updates wieder lösche.

Solltet ihr einen Virenschutz auf dem Server haben, denkt auch bitte daran die Ausnahmen zu definieren.

Auch solltet ihr nicht vergessen, die Datensicherung einzurichten. Löscht auch alles was ihr nicht mehr benötigt (z.B. Snapshots, Downloads und das Pre-Verzeichnis).

Nutzung:

Öffnen und erstellen in Windows 10 UWP App nicht möglich.

Öffnen und erstellen in iOS / Android nicht mehr möglich.

Öffnen und erstellen in OneNote 2013/2016

Links:

Prüfen welche Dot Net Version installiert ist: https://docs.microsoft.com/de-de/dotnet/framework/migration-guide/how-to-determine-which-versions-are-installed#net_b

Voraussetzungen manuell installieren: https://blogs.technet.microsoft.com/meamcs/2012/12/26/install-and-download-sharepoint-2013-prerequisites-offline-manually/

Sharepoint mit HTTPS veröffentlichen: https://blogs.msdn.microsoft.com/fabdulwahab/2013/01/20/configure-ssl-for-sharepoint-2013/

Erstellen OneNote Library: https://www.microsoft.com/en-us/microsoft-365/blog/2012/07/26/onenote-on-sharepoint-a-quick-guide-for-site-admins/

Sharepoint Maintenance: https://support.microsoft.com/en-us/lifecycle/search?alpha=sharepoint%202013

OneNote Datei auf eigenem Sharepoint erstellen: https://blogs.technet.microsoft.com/office_integration__sharepoint/2014/03/20/no-options-to-sync-a-onenote-notebook-to-an-on-premises-sharepoint-server/

OneNote aktivieren in Sharepoint: https://support.office.com/de-de/article/aktivieren-von-features-f%C3%BCr-websites-787f3ba1-9df6-480a-ab4c-9f4525490cb9


Veeam Agent for Linux aktualisieren (auf Debian oder Ubuntu Server)

Veeam Agent for Linux ist eine kostenlose Datensicherungssoftware für Linux und aktuell in der Version 3 Verfügbar.

Sollten Sie eine Vorversion installiert haben, dann können Sie diese einfach aktualisieren.

Dokumentieren Sie jedoch alle Jobs vorher.

Greifen Sie mit root rechten (oder als User, dann jedoch den Aktionen ein „sudo“ vorstellen).

Gehen Sie auf Veeam.com und laden Sie die entsprechende Version herunter (z.B. veeam-release-deb_1.0.5_amd64.deb) und bringen Sie diese auf den Server (z.B. mit wget oder SCP).

Aktualisieren sie das Paket:

 dpkg -i veeam-release-deb_1.0.5_amd64.deb 

Aktualisieren Sie die Pakete:

 apt-get update

Installieren Sie nun Veeam Backup Agent for Linux neu (es wird aktualisiert):

 apt-get install veeam

Sollte eine Rückfrage kommen, ob die Veeam.ini aktualisiert werden sollte, würde ich dies annehmen (mit Y), damit auch alle neuen Möglichkeiten Verfügbar sind.


Sophos: SSL Netzanbindung mit Raspberry Pi

Sollte die Anbindung an einem Netz erforderlich sein, kann man zum einen ein gesamtes Netz mit einer RED oder einer Firewall realisieren. Selbst eine Anbindung mit einer Fritzbox ist möglich (Achtung: Dies ist jedoch nicht von Sophos supported!).

Sollte es jedoch absolut nicht klappen, kann man einen Raspberry Pi als Router umfunktionieren und diesen per OpenVPN verbinden. Über die Fritzbox verteilt man dann die Route zu dem entfernten Netz und versteckt das Netz per NAT hinter dem Raspberry. Somit kann das gesamte lokale Netz auf das Netz hinter der Sophos zugreifen (Achtung: Da dies keine Site-to-Site Anbindung ist, kann man nicht aus dem Netz hinter der Sophos auf das entfernte Netz zugreifen).

Ich nutze hier einen aktuellen Raspberry Pi in der Version 3B (dieser hat genug Power und ein Gigabit LAN Interface). Dieser kostet um die 35€, komplette Sets gibt es bei Amazon und vielen anderen für ca. 60€ inkl. Raspberry Pi, Netzteil, Gehäuse, SD Karte mit Adapter, HDMI Kabel und Anleitung.

SSL VPN Benutzer einrichten auf der Firewall

Aktivieren und richten Sie den SSL Fernzugriff ein auf der Sophos. Gehen Sie dazu auf Remote Access > SSL > New Remote Access Profile … und erstellen ein Profil wie folgt:

Erstellen Sie nun auf der Sophos einen User wie folgt (natürlich mit echten Daten):

Diesen User nun einer Gruppe hinzufügen die SSL VPN Rechte hat oder direkt in dem SSL Fernzugriff Profil hinzufügen.

Laden Sie nun die entsprechende ovpn Datei herunter (aus der Zip-Datei extrahieren).

Tipp: SSL-Konfigurationsdatei als Admin runterladen!

Installation Linux auf dem Raspberry

Als Basis setze ich ein aktuelles Raspberian Stretch Lite ein (Download).

Wie in der Anleitung beschrieben, entpacke ich die Datei nach dem Download und überspiele die entpackte ISO Datei mit dem Tool Etcher auf die SD Karte.

Anschließend kommt die Karte in dem Raspberry Pi und das Gerät wird gestartet.

Wenn das System gestartet ist, als User pi mit dem Passwort raspberry einloggen (beachtet bitte, das das Default Keyboardlayout US ist und somit das z statt dem y zu verwenden ist) und das System updaten wie folgt:

sudo apt-get update
sudo apt-get dist-upgrade

Als nächstes dann den Raspberry Pi einrichten mit dem folgenden Befehl:

sudo raspi-config

Stellt bitte nun ein neues Passwort ein, die IP Adresse und das Keyboard Layout auf DE. Ich aktiviere auch SSH, damit ich bequem per SSH und Copy&Paste von einem Rechner mit Internetanschluß die Konfiguration abarbeiten kann. Wenn Sie SSH nicht mehr benötigen, können Sie es wieder über raspi-config deaktivieren.

Ich habe die folgenden Einstellungen gewählt (Basis für mein ISO zur Verteilung):

  • Kennwort: RasRou!2019
  • Hostname: pi-gateway
  • Locales: de_DE ISO-8859-1, Default: de_DE
  • Timezone: Europe/Berlin
  • Keyboard Layout: Generic 105-Key (Intl) PC, Other: German, German, Default Key, No compose Key
  • Interface Options: SSH Enabled

Nach einem Neustart deaktivieren Sie noch WLAN und Bluetooth laut dieser Anleitung wie folgt:

sudo nano /boot/config.txt
 # turn wifi and bluetooth off  
 dtoverlay=pi3-disable-wifi  
 dtoverlay=pi3-disable-bt  

Anschließend noch den hciuart Dienst deaktivieren und neustarten:

sudo systemctl disable hciuart  
sudo reboot  

Einrichten VPN Client

Ich gehe hier grundsätzlich nach dieser Anleitung vor, habe jedoch ein paar kleine Änderungen.

Als erstes den VPN Client installieren mit:

sudo apt-get install openvpn

Diese eben kopierte VPN-Konfigurationsdatei bitte nach remote.conf umbennen und nach /etc/openvpn kopieren (z.B. mittels wget oder FTP auf dem Rechner kopieren).

Tipp: Man kann auch die Datei auf die /boot Partition kopieren, da sie FAT Dateisystem ist. Bitte jedoch nicht vergessen, die Datei später zu löschen!

Hinweis: Wenn die Datei anders heißen soll, bitte unten bei Systemctl diese Datei entsprechend anpassen. Die Endung sollte jedoch .conf sein – nicht .ovpn, da sonst Systemctl nicht den Dienst starten kann – es wird kein kompletter Dateiname angegeben und .conf automatisch angehangen!

Dann eine Datei mit dem Namen login mit Zugangsdaten erstellen (in der erste Zeile ist der Username und in der zweiten Zeile das Passwort):

sudo nano /etc/openvpn/login

Dann an der Datei die Rechte anpassen, das nur root sie einsehen kann:

sudo chmod 600 /etc/openvpn/login

Editieren Sie die ovpn-Datei, das hinter auth-user-pass noch der Dateinamen Login steht und speichern diese:

auth-user-pass /etc/openvpn/login

Mit dem folgenden Befehl können Sie sehen, ob die Einwahl erfolgreich war (diese müsste dann in der Sophos unter Fernzugriff angezeigt werden):

sudo openvpn --config /etc/openvpn/remote.conf

Nun wird das VPN so eingestellt, das es direkt nach dem Boot läuft (Achtung: Der Dateiname OHNE .ovpn):

sudo systemctl enable openvpn@remote

Den Raspberry zum Router umfunktionieren

Nun muss noch IP Forwarding aktiviert werden:

echo -e '\n#Enable IP Routing\nnet.ipv4.ip_forward = 1' | sudo tee -a /etc/sysctl.conf
sudo sysctl -p

Anschließend noch NAT aktivieren:

sudo iptables -t nat -A POSTROUTING -o tun0 -j MASQUERADE
sudo iptables -A FORWARD -i tun0 -o eth0 -m state --state RELATED,ESTABLISHED -j ACCEPT
sudo iptables -A FORWARD -i eth0 -o tun0 -j ACCEPT

Die Regeln speichern:

sudo apt-get install iptables-persistent

Anpassungen am vorhandenem Internetrouter

Weiterhin müssen sie der Raspberry stets die selbe Adresse zuordnen, dies können sie über die Fritzbox einstellen (sofern diese den DHCP Server stellt). Gehen Sie dazu unter Heimnetz > Netzwerk > Rapberry auswählen und auf das Stiftsymbol klicken. Kontrollieren sie Namen und IP Adresse und machen Sie einen Hacken bei Diesem Netzwerkgerät immer die gleiche IPv4-Adresse zuweisen.

Damit auch die anderen Rechner im LAN das VPN Netz finden, muss auf dem Internetrouter noch eine Route bekanntgegeben werden – hier anhand einer Fritzbox, gehen Sie unter Heimnetz > Netzwerk > Netzwerkeinstellungen > IPv4 Routen:

Masterimage

Falls sie möchten, können Sie ein fertiges Image runterladen und dieses nur noch anpassen. Das Image hat folgende Konfiguration:

  • Username: pi
  • Passwort: RasRou!2019
  • IP: DHCP
  • SSH: Aktiviert

Das Image können Sie hier herunterladen. Es wurde gezippt, damit es weniger Platz und Bandbreite spart. Entzippt es (z.B. mit 7-Zip) und kopiert es dann mit einem Imagetool (z.B. mit Win32Diskimager) auf eine neue SD Karte und startet damit euren Raspberry. Mit den Tools könnt ihr euch auch selber jederzeit ein Backup erstellen (z.B. Sicherungskopie wenn alles funktioniert).

Wenn Sie das Image einsetzen, sollten Sie unbedingt das Kennwort ändern und gegebenenfalls die IP anpassen! Um das VPN nutzen zu können, müssen Sie natürlich eine OpenVPN Konfigurationsdatei einspielen. Wenn Sie SSH nicht benötigen, deaktivieren Sie es. Beachten Sie, das nun alle Rechner im Netzwerk (auch im WLAN) Zugriff auf das entfernte VPN Netz haben – auch eventuell Virenverseuchte Rechner!

Eine Vorlage zur Dokumentation können Sie hier herunterladen (Word | PDF).

Weitere Möglichkeiten

Site-to-Site statt Einzelanbindung: https://www.foxplex.com/sites/sophos-utm-site-to-site-vpn-mit-openvpn/

Raspberry als VPN Server verwenden: http://www.pivpn.io/

WLAN Hotspot bereitstellen über Raspberry:
https://www.datenreise.de/raspberry-pi-3-wlan-verbindung-herstellen/

Bekannte Probleme

  • Feste IP zuordnen klappt noch nicht. Lösung über Fritzbox eingerichtet.
  • Wenn die Verbindung mehrfach neu aufgebaut wurde, funtkoonierte zeitweise Ping nicht stabil – entfernte Dienste konnten jedoch ohne Problem genutzt werden.

Achtung

Ich übernehme keine Haftung, weder für die Dokumentation noch für das fertige Masterimage!!!

Stand 23.01.2019


Gefahrenpotenzial durch Macroviren minimieren

Alte Officedokumentenformate (doc, dot, xls, xlt, ppt) sowie auch neue Officeformate mit der Endung *m (docxm, dotxm, xlsm, xltm) können Macros enthalten, welche Schadensroutinen beinhalten.

Diese Dokumente werden per Email versendet und infizieren Computer und versuchen z.B. Dateien zu verschlüsseln und Lösegeld zu erpressen.

Eine Gefahr ist, das Virenscanner oft nicht vor den Dateien warnen, da das Dokument beim Versand noch kein Virus enthält, sondern erst das Macro diesen lädt. Oft warnt auch dann nicht der Virenscanner, da dieser die Festplatte überwacht – die Anwendung wird jedoch nicht gespeichert, sondern direkt aus dem Speicher ausgeführt.

Das größte Probleme dabei ist, das diese mails mittlerweile täuschend echt aussehen, auf echten Dokumenten beruhen, perfektes Deutsch verwendet wird oder gar vorgeben vom Kollegen zu stammen.

Der sicherste Schutz ist, die oben genannten Dateien direkt auf dem Mailgateway zu blockieren.

Weiterhin kann man auch den Windows Scripting Host deaktivieren. Erstellen sie dazu eine GPO mit der folgenden Einstellung:

Computerkonfiguration > Richtlinien > Windows Einstellungen > Registrierung Zeichenfolge (DWORD) Enabled = 0 für den Zweig HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows Script Host\Settings

Eine weitere Sicherheitsmassnahme ist es Powershell zu deaktivieren. Erstellen Sie dazu eine GPO mit den folgenden Einstellungen:

Computerkonfiguration > Richtlinien > Windows Einstellungen > Sicherheitseinstellungen > Anwendungssteuerungsrichtlinien > AppLocker > Ausführbare Regeln > Neue Deny Regel für jeder auf den Pfad %SYSTEM32%\Windows\PowerShell*

Diese beiden GPO Ordnen Sie der OU zu, wo Workstations und Laptops enthalten sind – nicht den Servern

Dazu kann man noch GPOs für die entsprechende Officeversionen einführen, welche Macros verbieten oder deaktivieren. Mehr infos hier: https://www.frankysweb.de/clients-vor-infektion-mit-ransomware-schuetzen-locky-cryptolocker/


OpenVPN / Sophos SSL VPN Client: Windows Rechner als Softwarerouter verwenden

Achtung: Seit dem 23.1.2019 habe ich auch einen Artikel der erklärt, wie man einen Raspberry Pi verwenden kann. Diese Lösung wäre zu bevorzugen!

Dieser Tip funktioniert zwar grundsätzlich, ist aber weit entfernt davon als stabil zu gelten – womöglich kann er dazu dienen eine kurze Zeit als Notlösung zu fungieren.

Stellen Sie auf dem Rechner im BIOS/UEFI ein, das der Rechner immer an bleibt und nach einem Stromausfall wieder hochfährt.

Stellen Sie im Windows in den Energieoptionen ein, das der Rechner nicht ausschaltet (Festplatte und Monitor können jedoch ausgehen). Es muss niemand am Rechner angemeldet sein, nachdem alles eingerichtet wurde! Es reicht wenn er hochfährt.

Melden Sie sich an Windows mit Adminrechten an und geben Sie dem Rechner eine Feste IP, sowie alle benötigten weiteren Parameter wie DNS und Gateway.

Installieren Sie den aktuellsten Open VPN oder Sophos VPN Client und richten Sie die SSL Verbindung ein (am besten mit rechter Maustaste und „Als Administrator ausführen“) und testen Sie die Verbindung.

Sollte diese funktionieren, gehen Sie bitte in das Config Verzeichnis des VPN Clients (z.B. C:\Program Files (x86)\Sophos\Sophos SSL VPN Client\config) und erstellen sie eine Datei mit dem Namen password.txt, tragen sie in der ersten Zeile den Benutzernamen und in der zweiten Zeile das Kennwort ein.

Öffnen Sie die entsprechende Config-Datei und tragen Sie nach auth-user-pass ein Leerzeichen und dann password.txt ein:

auth-user-pass password.txt

Prüfen Sie nun ob Sie die Verbindung ohne Zugangsdaten aufbauen können.

Klicken Sie nun auf Start und tippen Sie services.msc und machen ein Doppelklick auf OpenVPN Service und stellen Sie die Startart auf Automatisch.

Wenn Sie den Rechner neustarten und sich anmelden, sollten sie nach ein paar Sekunden Adressen aus dem entfernten VPN anpingen können (ohne das der VPN Client eine Verbindung anzeigt). Es sollte jedoch die Netzwerkschnittstelle des VPN Clients im Netzwerk- und Freigabecenter aktiv sein (kein rotes X).

Sollte nun soweit alles funktionieren, gehen Sie bitte mit der rechten Maustaste auf die Verbindung in die Eigenschaften auf dem Tab Freigabe (sollte der nicht vorhanden sein, deinstallieren Sie bitte den alten VPN Client und installieren eine aktuelle Version mit Adminrechten).

Windows wird nun eine Meldung ausgeben, das von der Netzwerkschnittstelle die IP Adresse verändert wird auf 192.168.137.1 – stellen Sie die Netzwerkeinstellungen wieder zurück auf die richtigen Werte. Nach ein paar Sekunden sollten wieder entferne Ressourcen anzupingen sein.

Damit nun die anderen Rechner auch das entsprechende Netz finden, müssen Sie eine Route erstellen auf das entfernte Netz, damit sie das nicht an jedem Rechner machen müssen, machen Sie das am besten auf den vorhandenen Router, der die Internetverbindung herstellt – z.B. bei einer Fritzbox unter Heimnetz > Netzwerk > Netzwerkeinstellungen > IPv4 Routen:

Bekannte Probleme:

Nach einem Neustart funktioniert die Verbindung zwar an dem Rechner wo das VPN Installiert ist, jedoch nicht mehr bei den anderen Geräten im Netzwerk:

Hier muss einmal wieder der Hacken bei „Internetverbindung freigeben“ bei der VPN Netzwerkschnittstelle entfernt werden – da dabei Windows auch die IP bei der LAN Verbindung zurücksetzt auf 192.168.137.1, muss hier wieder alles die zuvor konfigurierte Adresse zurückgesetzt werden. Nach ein paar Sekunden ist die Verbindung durch den VPN Dienst wieder neugestartet und sollte wieder funktionieren.

Alle Geräte im Netzwerk können auf das Remotenetzwerk zugreifen, jedoch das Remotenetzwerk nicht auf die lokalen Geräte:

Dies wird auch leider nicht funktionieren, da alle Geräte hinter der Adresse des einzelnen VPN Rechners per NAT (Network Adress Translation) versteckt sind und nicht erreichbar sind. Hier würde eine Lösung benötigt, die das gesamte Netz anbindet (z.B. ein Hardwarerouter auf Raspi-Basis). Evtl. kommt hierzu noch ein entsprechender Beitrag.