Habe mir am 04.08.2006 "auf gut Glück" eine ziemlich billige Wireless-LAN PCI-Karte gekauft, was soviel heisst wie: Ich habe vorher nicht darauf geachtet ob mein Linux sie nativ unterstützt.

Es kam was kommen musste, die Karte wird nicht nativ von Ubuntu 6.06.1 unterstützt und für mich viel das Emulieren eines Access-Points mit WPA2 via Hostapd leider flach.

Trotzdem liess sich mit Hilfe vom NdisWrapper und OpenVPN ein funktionstüchtiges und sicheres WLAN zusammenschustern. Hier beschreibe ich kurz mein Vorgehen, falls jemand anders etwas ähnliches vorhat.

Ausgangssituation:

• Mein Laptop
  • Ubuntu 6.06.1 LTS
  • Intel Corporation PRO/Wireless 2200BG (eth1)
• Mein Server
  • Ubuntu 6.06.1 LTS
  • Marvell Technology Group Ltd. 88w8335 [Libertas] 802.11b/g Wireless (wlan0)
  • DSL an ppp0/eth0
  • LAN an eth1

1. Installation der Windows-Treiber

Nach der hier vorhandenen Anleitung habe ich ohne weitere Probleme die Treiber für die Marwell-Karte installieren können. Nach einem Neustart meldete mir iwconfig endlich, das eine WLAN-Karte vorhanden ist.

2. Konfiguration der Karten

Die schnöde Layer-2-Verbindung zwischen den Karten habe ich mit dem Ad-Hoc-Modus realisiert. Das ganze habe ich dann noch in die jeweiligen /etc/network/interfaces eingetragen. Hier der entsprechende Abschnitt aus der Netzwerkkonfiguration des Servers:

auto wlan0
iface wlan0 inet static
address 192.168.59.1
netmask 255.255.255.0
pre-up /sbin/iwconfig wlan0 mode ad-hoc channel 3 essid meinnetz
#Dies initialisiert das Ad-Hoc Netz auf Kanal 3 mit der essid "meinnetz"
#bevor das Interface hochgefahren wird ...
post-down /sbin/iwconfig wlan0 mode managed essid off
#... und dies "deaktivert" es wenn das Interface herunterfährt

Auf dem Laptop das selbe, nur mit anderem Interface, anderer Adresse und Weglassen der "auto"-Zeile (Weil ich das WLAN hier gerne von Hand aktivieren will).

3. Einrichten von OpenVPN

Ich habe mich hierbei größtenteils an das Tutorial von OpenVPN gehalten. Der generieren der Zertifikate kann etwas frickelig werden, ist aber mit den Scripten unter /usr/share/doc/openvpn/examples/easy-rsa nur halb so schlimm.

Hier mal meine /etc/openvpn/server.conf

port 443
proto tcp
#Diese Einstellungen erlauben uns nachher noch ein paar Tricks ;)
dev tun
ca ca.crt
cert server.crt
key server.key
dh dh1024.pem
server 10.8.0.0 255.255.255.192
ifconfig-pool-persist ipp.txt
keepalive 10 120
comp lzo
max-clients 1
#muss natürlich höher bei mehreren Clients!
persist-key
persis-tun
status openvpn-status-log
verb 3

Die Konfiguration des Laptops ist um einiges kleiner und simpler, daher führe ich die hier nicht nochmal auf. Wichtig ist hier vor allem die redirect-gateway-Option einzufügen, damit das Default-Gateway auf den Endpunkt des VPN umgeschaltet wird.

4. Das Firewalling

Hierfür benutze ich das IP-Tables Frontend Shorewall. Es erlaubt relativ kompfortables Aufsetzen komplexer Regelsätze und erfordert nur relativ wenig Einarbeitungszeit. Auf der Homepage des Projekts gibt es an sehr gute Tutorials.

Persönlich habe ich in der /etc/shorewall/zones und der /etc/shorewall/interfaces zwei Zonen, eine für das WLAN und eine für das VPN definiert. Danach wird alles aus den beiden Zonen in der /etc/shorewall/policy pauschal verboten. Nun könnt ihr in der /etc/shorewall/rules Punkt für Punkt erlauben, was die Clients dürfen und was nicht.

In meinem Fall habe ich aus dem WLAN lediglich ICMP/Ping und TCP/443 (unser OpenVPN-Port) auf den Server erlaubt. Ersteres hilft nur bei der Diagnose, kann aber eigentlich auch deaktiviert werden. Nun wollt ihr warscheinlich noch jedwege Verbindungen vom VPN in das Internet erlauben und eventuell noch den ein oder anderen Service auf eurem Server freischalten.

Nach einem Neustart der Shorewall solltet ihr euch ohne Probleme via OpenVPN bei eurem Server anmelden und unbehelligt im Internet surfen können.

5. VPN aus dem Internet

Jetzt wo ihr schonmal OpenVPN eingerichtet habt, könnt ihr das ganze auch nutzen um in so gut wie jedem Netzwerk sicher zu kommunizieren. Setzt euch hierzu nur z.B. einen DynDNS-Daemon auf und tragt die Adresse als sekundären Server in eure client.conf ein. Danach erlaubt in eurer /etc/shorewall/rules Verbindungen aus dem Internet auf TCP-Port 443 eurer Firewall.

Da OpenVPN über SSL funktioniert und auchnoch auf den Standard-SSL Port geeicht ist, kommt ihr so an (fast) jedem Proxy* mühelos vorbei und bekommt eine direkte IP-Verbindung in das Internet.

* Diesen müsst ihr natürlich vorher auch in der client.conf via http-proxy setzen!

Activate prelinking in Ubuntu

via Prelinking Guide- Make Ubuntu Feel Faster - Ubuntu Forums.

Shorewall Traffic-Shaping Howto

via Traffic Shaping/Control.

A perl-to-gmail interface

via Mail::Webmail::Gmail - An interface to Google's webmail service - search.cpan.org.

Using ICMP tunneling to steal Internet.

Adding IOS specific features to perl.

via NTCI - Net::Telnet::Cisco::IOS.

Converts Nero NRG Image Files to normal ISOs

via GREG'S PLACE v4 : Nrg2Iso.

Endlich gibt es eine simple Möglichkeit (K)ubuntu Linux NTFS beizubringen. Dazu einfach von hier (Anmerkung: Der Link ist mittlerweile nichtmehr verfügbar.) fuseutils, libfuse und ntfs3g installieren und los gehts. Ab sofort können per

ntfs-3g /dev/$platte /$mountpunkt

oder per fstab NTFS-Partitionen gemounted und wichtiger noch: Beschrieben werden.

Mal abgesehen von Captive, das ja per se ne eher unschöne Lösung ist, halte ich das für die bis jetzt beste Lösung für NTFS unter Linux. Hoffe der Treiber findet bald seinen Weg in viele Distributionen, das würde einige Barrieren zwischen Linux und Windows einreissen und ein paar interessante Ding ermöglichen. Da Vista nun ja wohl doch kein neues Dateisystem bekommt, ist das ganze dann sogar Zukunftssicher ;)

gefunden via lunapark

Verschwendung Alltag in einem Land sind, das sich unter der kapitalistischen Ideologie eine Staatswirtschaft leistet. So sind im Hinblick auf die Gelder für den Irak-Krieg und den Wiederaufbau 75 Untersuchungen wegen Korruptionsverdacht anhängig, im Rah

via TP: Die Schattenregierung der US-Konzerne.

Urban Legends Reference Pages.

A guy made one photo of each family member on June 17th for over 30 yrs.

via Diego Goldberg :: The Arrow of Time.

Das beste Chaosradio der Welt !

via Chaosradio: Willkommen beim Chaosradio!.

Mal etwas Linux-IBM-Propagandafilm, hat schon ein paar Jahre auf dem Buckel - trotzdem gut.

Noch immer bieten viele aktuelle WLAN-Komponenten nur den seit längerem geknackten Verschlüsselungsstandard WEP zum Schutz der Funkverbindung an. Neue Tools knacken ihn mittlerweile in wenigen Minuten.

via heise Security | Dammbruch bei WEP.

Ein paar Gerüchte um die Demographie widerlegt.

via Demographie: Unser Verschwinden würde gar nicht auffallen - FAZ.NET - Feuilleton.

TP: Liebe macht blind.

Bündnis 90/Die Grünen fordern eine gesetzliche Regelung, wenn Unternehmen eine Panne im Umgang mit personenbezogenen Daten unterlaufen ist.

via Unternehmen sollen Kunden Datenschutzpannen beichten - Golem.de.

Google will eat itself ... seriousely !

via GWEI - Google Will Eat Itself.

Anleitung zum Stimmen von Gitarren

via Gitarre-Stimmen: Methoden, Hilfsmittel, Open Tunings.

Guitar Tabs for the Godfather ;)

via Guns and Roses - Godfather Theme.

WordPress.com is brought to you by some of the same folks who work on the open source blogging software available at WordPress.org. Open source WordPress has been incredibly successful and risen from a handful of users to the most-used blog tool in its ca

via WordPress.com » Your Blogging Home.

Kanotix ist ein auf Debian basierendes Linux. Es beinhaltet die neuesten wichtigen Pakete und erkennt mehr moderne Hardware als irgend ein anderes heutiges Betriebssystem.

via kanotix.com :: GNU Linux Live system based on Debian Sid, optimized for HD-install and high performance.

Habe auf der Seite von Scott Berkun einen sehr Interessanten Text gefunden:

The problem with smart people is that they like to be right and sometimes will defend ideas to the death rather than admit they’re wrong. This is bad. Worse, if they got away with it when they were young (say, because they were smarter than their parents, their friends, and their parent’s friends) they’ve probably built an ego around being right, and will therefore defend their perfect record of invented righteousness to the death. Smart people often fall into the trap of preferring to be right even if it’s based in delusion, or results in them, or their loved ones, becoming miserable. (Somewhere in your town there is a row of graves at the cemetery, called smartypants lane, filled with people who were buried at poorly attended funerals, whose headstones say “Well, at least I was right.”)

Den ganzen Text gibt's hier.

Kam gerade über die CCC-Mailingliste rein. Wie es aussieht wurde ein Betreiber eines französischen TOR-Ausgangsservers vorrübergehend verhaftet, weil über seine Addresse Kinderpornos heruntergeladen wurden.

Zitat aus der Mail:

Last wednesday morning, at 7:45, three cops did knock at my door. They suspected me to have downloaded some child porn videos. As I was waking up, I understood it was tor-related. I did explain them I was a TOR outside gateway, but they didn't knew about it. They searched everywhere in my small home and took every support they could find: hard drives they removed from computers, cds, disks, and then they took me to the police station, at the child protection service, jailing me the whole day while they was searching my hard drives and cds for traces of the video they was looking for.

Schade sowas, trotzdem zweifelt er nicht an der Daseinsberechtigung von anonymen Netzen:

It's sad the way some people use their freedom, e.g. participating in child abuse, but I'm still a strong believer in the necessity of anonymity on the internet.

Hier gibt es die ganze Mail.

Im folgenden Artikel verwende ich nur den Oberbegriff "Linux", obwohl ich mich auf das GNU/Linux-Betriebssystem und verschiedene FOSS Projekte beziehe. Es liest sich einfach besser...

via Linux ist nicht Windows.