OvGU-VPN schmerzfrei, zwei

Ich hatte an dieser Stelle vor einiger Zeit beschrieben, wie man das IPSEC-VPN der OVGU konfiguriert um einigermaßen schmerzfrei arbeiten zu können.

Mit einem Update vor kurzem funktioniert die dort beschrieben Konfiguration nicht mehr, die Verbindung wird zwar zunächst aufgebaut, aber sofort terminiert. Wie ich nach einigem Debuggen (IKEv1 ist ein absurdes Protokoll, aber hier trotzdem ein kleines Parserchen) und einem Ticket mit erwartungsgemäß vollständig nutzloser Support-Antwort (dort meint man nur AnyConnect supporten zu müssen, obwohl IPSEC offiziell auf der Webseite beschrieben wird) festgestellt habe, liegt das an einer einzelnen Einstellung. Irgendwo in der PFS-Aushandlung nach dem initialen Handshake wird nochmal eine RSA-Gruppe eingestellt, und die “default”-Einstellung von SSVPN (und auch den meisten OS-nativen Clients) ist eine 768-bit MODP group. Diese MUSS laut RFC von jeder Serversoftware unterstützt werden. Wird sie aber mit der jetzt ausgerollten Version “Cisco Systems, Inc ASA5540 Version 9.1(devil) built by builders on Fri 27-Feb-15 13:50″ nicht mehr, die damit gegen RFC 2409 verstößt. Die korrekte Verhaltensweise im Falle unsupporteter Gruppen-Anforderungen ist übrigens eine “ATTRIBUTES-NOT-SUPPORTED(13)”-Message. Stattdessen kommt eine “NO-PROPOSAL-CHOSEN(14)”, man verstößt also gleich nochmal gegen die RFC, und das in einer Art und Weise, die das Debuggen gleich nochmal schwerer macht.

Der Fix ist jetzt also: in SSVPN in den Phase2-Einstellung die Group 2 erzwingen.

Hier findet ihr eine Konfigurationsdatei zum direkten Importieren: UniMDVPN.vpn

Wie mache ich aus Windows 8 ein Betriebssystem?

Wie der ein oder andere weiß, sind Windows 7 und ich nie Freunde geworden – was sich auch nicht mehr ändern wird, dafür ist es einfach zu verbuggt. Was mir zumindest in VMs mehr Spaß gemacht hat und direkt sympatischer war ist Windows 8.1(u1), deswegen ist das auf dem neuen Laptop gelandet. Aber natürlich muss man ein paar Dinge verdrehen, bis man damit auch arbeiten kann… in der Tradition eines großartigen vor vielen Jahren gefundenden “Wie mache ich aus Windows XP ein Betriebssystem”-Dokuments versuche ich hier mal zu dokumentieren, was ich so gemacht hab. Man merkt einen Trend: so gefühlte 9000 Programme sind notwendig, weil es für fast nix mehr GUI gibt, obwohl Windows selbst vieles noch konfigurierbar hat.

  • ClassicShell mit dem Win7-Startmenüstil
  • (Gerätetreiber… ja, ich habe die wirklich nach CS installiert.)
  • Bildschirmauflösung->”Text und weitere Elemente vergrößern oder Verkleinern”->”Manuell eine Skalierungsstufe auswählen” anhaken, das verhindert vermatschte Darstellung bei Legacy-Anwedungen die sich nicht DPI-korrekt skalieren (wie z.B. so obskuren Elementen wie dem Gerätemanager…)
  • KatMouse, um das Fenster unter der Maus zu scrollen (hatte ich früher mit ac’tivAid(bzw. neuer Link) gemacht, aber das hab ich hier bis auf Weiteres noch nicht drauf)
  • ThisPCTweaker um die ganzen Nutzlosen Dopplungen zwischen Userverzeichnis und “Dieser PC” im Verzeichnisbaum loszuwerden (die sind grade in den Standarddialogen sehr nervig)
  • Orderoptionen: Allgemein: “Alle Ordner anzeigen”, “Ordner automatisch erweitern” setzen, “Bibliotheken anzeigen” rausnehmen; Ansicht: “Erweiterungen ausblenden”+”Freigabeassistent” raus, “Immer Menüs anzeigen” rein, “Laufwerksbuchstaben anzeigen” rein, “Leere Laufwerke ausblenden” raus, “Ausgeblendete Dateien anzeigen”
  • Dateitypzuordnungen: werden immer komischer, selbst wenn sich ein Installer registriert muss man das noch auswählen: also eine Datei finden, Rechte Maustaste->Öffnen mit->Standardprogramm auswählen und dort die Anwendung auswählen
  • Dateitypzuordnungen bearbeiten (mehr oder weniger): “PC-Einstellungen”-App, “Suche und Apps”, “Standardwerte”
  • Taskleiste einrichten: “Nie gruppieren”, “Kleine Symbole”, “Aero Peek”, alle Eckennavigation ausschalten
  • UltraMon um die SmartTaskbar auf externen Bildschirmen zu bekommen. Die Windowseigene dann deaktivieren unter Taskleisteneigenschaften->Mehrere Anzeigen (taucht nur auf wenn mehrere Anzeigen verbunden sind)
  • Dateisuche (Hallo? Microsoft? Jemand zuhause? Dass das überhaupt ein Markt ist, ist schon kein gutes Zeichen): FileLocator
  • Apps deinstallieren: “PC-Einstellungen”-App, “Suche und Apps”, “App-Größen”, App anklicken, dann Deinstallieren
  • Hybriden Standby deaktivieren (viele Gigabyte für weniger Sekunden Startzeit opfern macht bei Dauerlauf-Geräten wenig Sinn): powercfg -H off
  • Festplatte nicht parken (Es ist eine SSD. Das macht keinen Sinn, Windows.): Energiesparplanoptionen, Erweitert, Festplatte, Zeit auf “Nie” stellen

Dinge, die man mit meinem (noch in Entwicklung befindlichen) Tweaker machen kann:

  • Eingabeaufforderung konfigurieren (Font, Buffergrößen, QuickEdit…)
  • Fensterrahmengestaltung (das was XP unter Eigenschaften von Anzeige->Darstellung hatte)
  • Icon für Shortcuts ändern

Mittlerweile habe ich das System schon eine Weile in Betrieb und das Meiste hat sich soweit stabilisiert. Ich werde diesen Beitrag aber noch weiter bearbeiten, wenn weitere Sachen auffallen. Unter anderem habe ich noch nicht herausgefunden, wie man das Parken von USB-Festplatten unterbindet – die Energieoptionen werden da komplett ignoriert, die Platte hat in den letzten paar Monaten so viele Load Cycles wie in den Jahren vorher nicht. Das kann nicht gesund sein…

Lammps: “displace_box xy” auf “change_box” migrieren

Wenn man LAMMPS-Skripte von vorhergehenden Projekten auf die aktuelle Version portiert, stolpert man ab und zu über geänderte Funktionen. Eine von diesen ist displace_box, welche durch die mächtigere change_box ersetzt wurde.

Für einen Scherversuch verwendete das ursprüngliche Skript

displace_box    all yz delta ${lambda}

Die moderne Formulierung ist recht einfach, lediglich remap muss hinzugefügt werden, was damals noch das Standardverhalten war.

change_box    all yz delta ${lambda} remap

Nun wird das aber so nicht funktionieren: yz ist eine Manipulation, die nur auf triklinen Kristallen funktioniert – auf orthogonalen logischerweise nicht, da der Winkel ja grade geändert werden soll.

Also sollte man nach dem Erstellen/Laden der Atome das System auf triclinic umstellen:

read_data     data.${latname}.eam
change_box    all triclinic remap

— und dann beim nächsten run feststellen, dass der Simulation angeblich Atome abhanden gekommen sind, obwohl sich an den Dimensionen nichts geändert hat. Die Lösung ist relativ einfach: man sage Lammps, dass es die Simulationsgrenzen mitführen soll, indem man sie erst shrinkwrappt und hinterher wieder auf den alten Wert (hier periodisch in allen Raumrichtungen) zurückstellt:

read_data     data.${latname}.eam
change_box    all boundary s s s triclinic remap boundary p p p

Das ganze sollte man vor der Relaxation machen, damit im Zweifelsfall die Randbedingungen wieder passen.

Das Problem ist übrigens auch im mitgelieferten Beispiel examples\ELASTIC drin. Dort am Besten in der init.mod anpassen.

OvGU-VPN schmerzfrei

Für den Zugang zu internen Maschinen braucht man an der Univerität Magdeburg wie bei viele anderen eine VPN-Einwahl. Man setzt dabei aus unerfindlichen Gründen auf Cisco AnyConnect, und damit fangen die Probleme an.

Dort gibt es eine Policy-Einstellung, die dafür sorgt, dass der AC-Client eine Route für 0.0.0.0/255.255.255.255 setzt – sich also alle Verbindungen krallt, nicht nur die, die an Server der Uni gehen. Das macht sogar teilweise Sinn, so funktioniert zum Beispiel die Netblock-Authentifizierung für den Zugang zu den Archiven mancher Journals. Meistens allerdings bringt das nur Ärger – nämlich dann, wenn man durch diese Verbindung aus dem eigenen LAN gekegelt wird und z.B. an seine Dateien nicht mehr rankommt.

Zum Glück ist aber auch IPsec verfügbar, und mit etwas Tricksen funktioniert das dann auch.

Als IPSec-Client verwende ich den Shrew Soft VPN Client. Windows enthält zwar selbst einen, der ist aber so gut wie nicht konfigurierbar.

Die Grundeinstellungen sind relativ einfach und mit dem bebilderten Teil hier und den vom URZ genannten Daten recht einfach eingerichtet. Ist man etwas fauler (also Student), existierten früher auch mal PCF-Files, die die komplette Konfiguration enthalten. Mittlerweile werden nicht mehr angeboten, aber mit etwas Googelei findet man da durchaus noch etwas. Nach Laden der Datei UniMDVPN.pcf sind nur noch zwei Einstellungen notwendig: Auf der Seite “Phase 1″ muss der Hash Algorithm von Default auf SHA1 umgestellt werden. Default ist nämlich MD5 (auch bei Windows, da kann man das aber nicht einfach umstellen), verwendet man das allerdings im Handshake wird die Verbindung direkt in der Luft hängen gelassen.
Außerdem umzustellen ist auf der letzten Seite (“Policy”) die Routen-Generierung. Hier sind wir bei der erwähnten Einstellung von AnyConnect, alle Verbindungen zu kapern. Das passiert auch hier standardmäßig, wenn “Obtain toplogy automatically or tunnel all” gesetzt ist. Dort also den Haken entfernen und Routen von Hand eintragen. Da ich das nur für Uniserver brauche, habe ich hier Include:141.44.0.0/255.255.0.0 gesetzt, so dass alle anderen Verbindungen unbeeinflusst bleiben.

Die Verbindung sollte sich jetzt herstellen lassen und z.B. SSH auf die richtige Maschine funktionieren. Wenn nicht – überprüfen, ob der Router auch so eingestellt ist, dass L2TP und IPSec durchgelassen werden ;-)

Gastbeitrag: #Abmahnwahn

Dies ist ein Gastbeitrag einer mir bekannten Person. Twittertechnisch habe ich vieles davon schon kommentiert, aber da die Berichterstattung in .de hier mit wundervollem Victim Blaming angefangen hatte und selbst Heise erst langsam die Kurve kriegt, bringe ich das hier mal in Volltext.


Hallo zusammen,

zur Zeit läuft ein Internet-Krimi, wie ihn Deutschland noch nicht erlebt hat. Hier wird mit kreativen Ideen versucht, mittlerweile mindestens 50.000 Telekom-Kunden abzuzocken.

Wer nun denkt: was gehts mich an, ich gehe nicht auf solche Seiten, hat zu kurz gedacht, die betroffenen User waren mehrheitlich auch nicht auf den fraglichen Seiten, jedenfalls nicht freiwillig.
Die Rotlicht-Masche ist auch nur ein Versuchsballon, wie Abmahnanwalt Urmann verkündet hat, und dient wohl nur der Porto-Beschaffung für kommende Aktionen. Die Zahlungsbereitschaft der Abgemahnten ist halt höher.

Die Auswirkungen hat kowabit hier ganz gut zusammengefasst:
http://blog.kowabit.de/auswirkungen/

Technisch funktioniert das recht einfach: jemand kauft Klicks auf beliebigen Werbeplattformen, als Ziel dieser Klicks wird ein Server samt möglichst schwer zurückverfolgbarer Domain gemietet und von diesem Server eine Weiterleitung auf eine beliebige Webseite eingerichtet. Diese wird so präpariert, dass sie ‘urheberrechtlich geschütztes Material’ des Abmahners enthält.

Simple Sache, kann jeder Web-Admin in wenigen Minuten zusammenklicken.

Der User bekommt von all dem nix mit, bestenfalls öffnet sich ein unerwünschtes Browserfenster, wird halt zugemacht.

Da der eigene Weiterleitungs-Server die IP-Adressen protokolliert, ist es nun einfach, die passenden IP-Bereiche (in diesem Fall Telekom) herauszufiltern und diese zusammen mit etwas Anwaltsgeschwurbel dem LG Köln zur Herausgabe der Adressen vorzulegen. In diesem Fall wurden von 89 Anträgen 62 durchgewunken, bei 27 hat das Gericht wohl näher hingeschaut. Jeder Antrag enthält bis zu 1000 Adressen.

Ob die Zielseite in Zukunft youtube, vimeo oder sonstwas sein wird, liegt einzig im Ermessen der Abmahnbande. Werbeseiten-Klicks werden z.B. auch von Amazon und anderen verkauft.

Eine Rechtsanwältin schreibt dazu:
http://conlegi.de/?p=3663

Die beteiligten Abmahnanwälte waschen momentan ihre Hände in Unschuld, es wird für die Staatsanwaltschaft schwierig werden, ihnen irgendwelche strafrechtlichen Verfehlungen nachzuweisen, da die IP-Beschaffung von Briefkastenfirmen mit Sitz in CH und USA erledigt wurde.

Das Problem ist nun (und weswegen ich diese Mail schreibe), dass es keine technische Möglichkeit gibt, sich gegen diese Art kreative Geldbeschaffung abzusichern.

Man könnte Weiterleitungen generell blocken (network.http.redirection-limit=0), was natürlich dazu führt, dass kaum eine Seite mehr funktionieren wird, da alle irgendwas irgendwoher nachladen. Da kein Video abgespielt werden braucht, bringt auch Flashblock nix, ebensowenig wie AdBlock.
Den verwendeten trafficholder.com kann man blocken, aber der ist jetzt eh verbrannt.

Falls ein Fall in eurem Bekanntenkreis auftaucht: nichts unterschreiben, nicht zahlen, bei Unklarheiten Fachanwalt konsultieren. Wer die UE unterschreibt, kann seinen Internetanschluss gleich abmelden, da er nicht sicherstellen kann, früher oder später wieder ‘weitergeleitet’ zu werden, und dann wird es richtig teuer. eMails zu diesem Thema enthalten einen Virus im Anhang -> löschen.

Der technische Ablauf:
http://heise.de/-2065879
Die beteiligten Gangster:
http://www.hirntorsionen.ch/2013/12/redtube-massenabmahnugen-ein-betrugsfall-von-internationalem-ausmass-2/
Das juristische Geschwurbel:
http://www.abmahnhelfer.de/redtube-abmahnungen-abmahnhelfer-stellt-auskuenftsbeschluesse-online
Aktueller Stand:
http://www.asentanews.de/abmahnung-nutzer-von-porno-portalen-koennen-schadenersatz-einfordern-2013/
https://kosmologelei.wordpress.com/2013/12/16/wir-sind-schuld/
http://www.wsj.de/article/SB10001424052702303293604579256252616552172.html


Updates
2013-12-17
Der Guardian hat auch was
Herr Urmann ist stolz auf sein Tarnfirmennetzwerk

2013-12-19
Antwort der Telekom auf eine Anfrage eines Kunden: Pastebin
Heise: StA Köln nimmt Ermittlungen wegen falscher eidesstattlicher Versicherung auf (während die StA Regensburg weiter U+C den Rücken frei hält)

2013-12-20
Conlegi: LG Köln will Streaming-Auskunftsbeschlüsse aufheben

Nichtwähler

Fast ein Jahr her, seit dem hier das letzte Mal was passiert ist. Naja, Arbeit und so.

Heute war (es ist nach 18 Uhr) Landratswahl im Harzkreis, wo ich entgegen anderslautender Vermutungen tatsächlich meinen Hauptwohnsitz habe. Und ich war das erste mal seit ich wahlberechtigt bin nicht an der Urne. Nicht weil ich keine Lust hatte oder das Wetter so gut oder so schlecht oder wasauchimmer war (es ist ja sonst immer das Wetter schuld), sondern aus einer bewussten Entscheidung heraus.

Wahlen sind in unserer Demokratiesimulation die einzige Möglichkeit, irgendwie Einfluss zu nehmen. Das muss man einem Piraten nicht erklären. Und es ist auch Arbeit, weil einem keiner was hinterherträgt – erst Recht nicht wenn man dann auch noch Rationalist ist und keine Entscheidung trifft ohne drüber nachzudenken und echt Argumente abzuwägen. Argumente im Wahlkampf finden ist gar nicht so einfach… Praktischerweise hat die Lokalredaktion der MZ uns das etwas vereinfacht und eine Interviewreihe gebracht, in der jeder Kandidat die Möglichkeit hatte, sich auf ungefähr gleich viel Platz zu präsentieren.

Und wie sie das getan haben – am Ende hatte ich eine Menge Menschen, die entweder extrem unsympathisch/parteiideologisch rüberkamen oder ganz direkt angesagt haben, dass sie Lokalpolitik im engsten Sinne machen werden – “hier wohne ich und der Rest des Landkreises kann sehen wo er bleibt”. Nun wohne ich denkbar weit von den beiden Zentren weg, äußerste Peripherie. Eine Gegend, die von der bisherigen Verwaltung komplett ignoriert wurde, also ist grade der zweite Punkt oben irgendwie wichtig.
Was bleibt also? Man bräuchte ein Kandidat, das kein Parteisoldat ist (I), keine oder mir passende (yay, Politikegoismus!) Lokalpolitik macht (II) und vielleicht auch noch menschlich okay ist (III), aber da könnte ich drauf verzichten.

Da kommen grade so durch: der FDP-Mensch der in meiner Stadt wohnt und der Pirat, der halt Pirat ist und deswegen Vertrauensvorschuss hat. Ersteren kenne ich nicht persönlich (ich kann also I nicht beantworten, das Interview half da nur begrenzt, und er müsste den Malus “FDP” ausgleichen), letzterer reagiert nicht auf Anfragen zu seinen politischen Standpunkten (ich kann also II nicht beantworten).

Herzlichen Glückwunsch, Sie haben soeben die Ergebnismenge auf ∅ reduziert.

Bleibt noch die Frage “nicht gehen” oder “hingehen und ungültig wählen”. Mathematisch ist das egal, also nehme ich die Version die mir Zeit gibt, einen Blogeintrag zu schreiben…

Ergebnisse
Mittlerweile gibt es die ersten Zwischenergebnisse. Wahlbeteiligung grandiose 25%, meine beiden Kandidaten haben die wenigsten und 2.wengisten Stimmen bekommen.
Ich bin mir jetzt hinreichend sicher, keine falsche Entscheidung getroffen zu haben.

Wahlen sind wie Fußball: ganz viel Tamtam und am Ende gewinnen die Bayern/CXU.

Endergebnisse irgendwann beim StaLA.

Market heißt jetzt Play Store…

… sonst ist alles wie zuvor.

Wow, sogar den Reim gerettet. Und stimmt noch dazu, denn genau wie der Android Market filtert auch der Play Store nach seltsamen Kategorien, die bei manchen Geräten (hier: wieder das Notion Ink Adam) dazu führen dass nix angezeigt wird.

Genau diesen Effekt hatte ich nun auch, nachdem ich den nicht mehr funktionierenden Market auf Play Store updated habe.

Kurze Sucherei führt dann zu dieser Anleitung, die zumindest schonmal die richtige Spur bringt. “Seltsames Kriterium” des Tages ist diesmal nicht GPS, sondern die Display-Auflösung. Je nach DPI bekommt man andere Anwendungen (um z.B. Tablets und Phones auseinander zu halten). Wie üblich ist das etwas kaputt, deswegen müssen wir da nachhelfen.

Man suche&installiere also LCD Density Modder Pro (Pro ist wichtig, nur da ist die wichtige Funktion drin). Unter “Fix Market Compatibility Issues” wählt man nun 240DPI (fragt nicht warum, hier hats geholfen), und lässt Modded Play Store und Modded Google Services Framework runterladen (letzteres ist für älter Android-Versionen nicht verfügbar, wird da allerdings auch nicht benötigt).
Beides installiert man dann wie vorgeschlagen und führt auch den Reboot aus.

Danach dann das, was man schon kennt: in der Anwendungsverwaltung beim Play Store “Beenden” und “Daten löschen”, danach das gleiche noch beim Google Services Framework und noch einmal neu starten.

Danach sollte man den Store starten können (ggf aufpassen, dass das WLAN schon verbunden ist, sonst stolpert der beim ersten Start), neue Terms abnicken und alles sollte funktionieren.
Bei mir jedenfalls ist alles wieder da, inklusive der sonst holprigen Maps-Anwendung.

Ach übrigens…

… wir haben einen neuen Bundespräsidenten.

Als kleines Experiment habe ich heute den ganzen Tag weder RSS-Reader noch Twitterclient laufen gehabt, um mal auflaufen zu lassen was alles so kommuniziert wird. Das dann hinterher komprimiert zu lesen ist bei Großereignissen immer spannend, weil man Diskurse und Meinungsänderungen im Schwarm besser sieht.

Und es ist nichts passiert.

Gar nichts.

Es hat nicht mal jemand das Ergebnis (G:991, K:126, E:108) RT’ed.

Ich glaube das sagt alles.

Ich, der Assembler

Was tut man mit einem Stück Closed-Source Software, was den einen Vorteil hat genau das zu tun was man will (und nicht mehr), aber leider den Nachteil regelmäßig abzustürzen?
Und was tut man, wenn dieses Stück der KernelMode-Treiber einer Paketfilter-Firewall ist und “abstürzen” bedeutet dass man einen Bluescreen bekommt?

Richtig, man holt WinDbg und IDA raus und fängt an den Fehler zu suchen ;-) Weiterlesen