Einschalten: unteren Knopf kurz drücken (Version 1.2.65 hat immer noch den Bug, dass mit oberen Knopf das Gerät reset werden muss und nicht eingeschaltet werden kann.) Ausschalten: unteren Knopf sieben bis zehn Sekunden drücken
Reset: oberen Knopf einmal drücken
USB Speicher Modus für Firmware Upgrade: oberen Knopf zweimal drücken im eingeschalteten Zustand
Firmware aktualisieren
Auf https://meshtastic.org/downloads Firmware ZIP Datei laden und firmware-t-echo-X.X.XX.xxxx.uf2 entpacken. Gerät in den USB Speichermodus versetzen und mit dem USB Kabel verbinden. Ggf. mounten. Vorhandene CURRENT.UF2 Datei löschen und durch die neue Datei ersetzen, nicht umbenennen. T-Echo startet automatisch neu.
Mit einem aktuellen Debian gibt es das Problem, dass das Gerät nicht als /dev/ttyUSBx oder ähnlich verfügbar ist, sondern als /dev/hidraw0. In der Konfiguration ist dies nicht einstellbar. Die Installation benötigt 32 Bit Unterstützung. Zudem hat das Programm den Server instabil gemacht.
Abhilfe mit virtueller Maschine mit Windows 10 unter Virt Manager
Der Server hat einige VMs mit Virt Manager. Ich habe ein Windows 10 als virtuelle Mschinen installiert. Die USV wird als USB Gerät durchgeschleift.
VM Konfiguratin in Virt Manager, Gerät hinzufügen, USB Host Gerät, Legrand Kero PDU 800 auswählen.
Auf diesem Windows UPS COMMUNICATOR – WINDOWS: 1.34 installieren und konfigurieren. Ich habe den Shutdown fest auf 5 Minuten gesetzt. Bei Stromausfall fährt nach fünf Minuten die VM runter.
Damit der Host ebenfalls runter gefahren wird, habe ich auf dem Debian Host ein Script /root/usv.sh als Cronjob angelegt. Die IP Adresse der Windows VM muss eingetragen werden.
!/bin/bash PATH=/usr/local/sbin:/usr/local/bin:/usr/sbin:/usr/bin:/sbin:/bin usvvm='192.168.1.2' count=$(/bin/ping -c 3 $usvvm | /bin/grep from* | /bin/wc -l) if [ $count -eq 0 ]; then shutdown -h 0 else exit 0 fi
Das Script muss ausführbar sein. chmod +x /root/usv.sh
mit crontab -e (als root) folgender Eintrag:
*/2 * * * * /root/usv.sh
Falls die Windows VM nicht schnell genug hochfährt (muss in Virt Manager als automatischer Start konfiguriert sein), kann beim Starten des Host dieser schon wieder runterfahren. Dann statt */2 auf 3, 4 oder 5 Minuten setzen. Gegeben falls den Shutdown beim UPS COMMUNICATOR reduzieren, damit die Akku Kapazität reicht.
Die Konfiguration vom Virt Manager /usr/lib/libvirt/libvirt-guests.sh sollte anfolgender Stelle angepasst werden, wenn auf dem Server noch andere virtuelle Maschinen eingesetzt werden:
Der Timeout muss so hoch sein, dass ein normales Herunterfahren ausreicht. Falls eine VM hängt, wird dannach hart ausgeschaltet. Der parallele Shutdown ist zu empfehlen.
Ich bin frustriert und sehr wahrscheinlich wird dieses Projekt nie klappen. So lange Kapitalismus bedeutet, dass Wissende ihr Wissen nicht weiter geben, kann nur darum gebettelt werden. Ich hatte mir vom links progressiven Chaos Umfeld mehr erhofft.
Mein Dank geht an Securebit in der Schweiz, an Freifunk und an Freunde und Bekannte, ohne deren Unterstüzung ich mit diesem Projekt nicht weiter gekommen wäre.
Im Sinne der Inklusion teste ich die Realität, wie weit Inklusion gehen kann. Dieses Thema ist schon etwas speziell, Leute zu finden, die davon was wissen, ist überschaubar. Zeitmangel ist ebenfalls ein Problem.
Es gibt sicherlich ganz andere Umsetzungen, hier folgt mein Versuch:
Die RIPE
Eine volle RIPE Mitgliedschaft ist für ein Test Mini Provider etwas teuer. Sollten jedoch Abitionen zu einem richtigen Anbieter entstehen, ist der Mitgliedsbeitrag ok. Die RIPE vergibt im europäschen Raum die öffentlichen IP Adressen als Blöcke. IPV4 Adressen sind verbraucht, ein /24, also 256 IPV4 Adressen werden zum Preis eines Teslas von Mitgliedern getauscht. Heute gibt es frisch nur IPV6 Adressen, dass ist auch gut so, das Internet soll zu IPV6.
Vollmitglieder können kleinere Blöcke als LIR spenden. Ich habe so ein Spender gefunden. Für ein deutlich günstigeren Betrag bin ich so an ein /48 Block gekommen, damit sind ca. 65.000 Netzwerke addressierbar. Der gebende Provider meldet das gespendete Netzwerk an die RIPE. Mit den Eintragungen konnte ich mit meiner angegebenen E-Mail Adresse ein Login bei der RIPE erstellen.
Vor einigen Wochen hatte ich versucht, auf dem Server eine BGP Session einzurichten. Dazu später mehr. Die erhofften Verbindung kam nicht zustande. Die Suche nach dem Fehler in der Konfiguration. Es musste erst etwas anderes geschehen.
Auf der Verwaltungsobefläche der RIPE sollte ich mich als Maintainer anlegen. Diesen Maintainer konnte der Spenderprovider dann hinzufügen. Dieser Schritt ist notwendig, um dann ein “route6 object” zu erstellen.
Dann klappen auch die BGP Sessions.
Aus Unwissenheit zunächst der Widerstand. Ich hatte ein Debian Linux mit Bird2 aufgesetzt und ein MikroTik OS Router. Später bin ich bei MikroTik auf der VM geblieben.
Die Konfiguration
Im Rechenzentrum vor Ort, wo ich die ersten beiden Peering machen kann, habe ich eine VM mit MikroTik OS gemietet. Mit einem GRE Tunnel hole ich das /48 zu meinem Server mit pfSense. Später können dort z.B. VPN Netzwerke verwaltet werden.
Mein zugeteiltes /48 nenne ich abc:123:123:: (AS123) Die VM hat zur Verwaltung eine IPV4 und eine IPV6 Adresse, nenne ich mal 1.2.3.4 und 1111:2222:3333:4::1 Die beiden Peers nenne ich 11:11:11:11::1 (AS1) und 22:22:22:22::2 (AS2) Der GRE Tunnel geht zur pfSense, diese nenne ich 99.99.99.99
BGP auf MikroTik Router
tcp-md5-key=”” noch ausgeklammert
[ich@MikroTik] >
[ich@MikroTik] > /system package enable ipv6
[ich@MikroTik] > /routing bgp instance
[ich@MikroTik] /routing bgp instance> set default as=123
GRE Tunnel mit Remote Addresse 1.2.3.4, Lacal IPv6 tunnel address abc:123:123:1::2 und Remote IPv6 address abc:123:123:1::1 im Subnet 64 erstellt.
Die Schnittstelle wurde zugewiesen und aktiviert; MTU auf 1400 vorerst gesetzt.
Die Firewall zunächst sehr offen gemacht.
Unter System / Routing / Gateway ist Name: AS123_TUNNELV6 Standard: Default (IPv6) Schnittstelle: AS123 Gateway: 123:123:1::1 Monitor IP: 123:123:1::1 eingetragen.
Bei der LAN Schnittstelle wurde die IPv6 Addresse abc:123:123:2222::1 /64 eingetragen.
Unter DiensteDHCPv6 Server & RALANDHCPv6-Server wurde im Subnetz abc:123:123:2222:: der Bereich abc:123:123:2222:: bis abc:123:123:2222:ffff:ffff:ffff:ffff aktiviert.
Router Werbung im Modus Unterstützt – RA Flags [managed, other stateful], Prefix Flags [onlink, auto, router]
Wahrscheinlich falsch! – Router Werbung im Modus Unterstützt – RA Flags [managed, other stateful], Prefix Flags [onlink, auto, router] – Wahrscheinlich falsch!
Was funktioniert, was nicht funktioniert
PING6(56=40+8+8 bytes) abc:123:123:1::2 --> abc:123:123:1::1 16 bytes from abc:123:123:1::1, icmp_seq=0 hlim=64 time=20.525 ms 16 bytes from abc:123:123:1::1, icmp_seq=1 hlim=64 time=19.964 ms 16 bytes from abc:123:123:1::1, icmp_seq=2 hlim=64 time=20.327 ms --- abc:123:123:1::1 ping6 statistics --- 3 packets transmitted, 3 packets received, 0.0% packet loss round-trip min/avg/max/std-dev = 19.964/20.272/20.525/0.232 ms
PING6(56=40+8+8 bytes) abc:123:123:1::2 --> 2a00:1450:400a:802::2003 16 bytes from 2a00:1450:400a:802::2003, icmp_seq=0 hlim=120 time=24.761 ms 16 bytes from 2a00:1450:400a:802::2003, icmp_seq=1 hlim=120 time=127.721 ms 16 bytes from 2a00:1450:400a:802::2003, icmp_seq=2 hlim=120 time=22.418 ms --- google.de ping6 statistics --- 3 packets transmitted, 3 packets received, 0.0% packet loss round-trip min/avg/max/std-dev = 22.418/58.300/127.721/49.098 ms
Ping innerhalb des Gre Tunnels funktioniert. Ping von Gre zur Welt funktioniert ebenfalls.
PING6(56=40+8+8 bytes) abc:123:123:2222::1 --> abc:123:123:1::2 16 bytes from abc:123:123:1::2, icmp_seq=0 hlim=64 time=0.071 ms 16 bytes from abc:123:123:1::2, icmp_seq=1 hlim=64 time=0.025 ms 16 bytes from abc:123:123:1::2, icmp_seq=2 hlim=64 time=0.026 ms --- abc:123:123:1::2 ping6 statistics --- 3 packets transmitted, 3 packets received, 0.0% packet loss round-trip min/avg/max/std-dev = 0.025/0.040/0.071/0.022 ms
Mit der LAN IP Addresse auf der der pf Sense geht Ping auf die GRE Addresse der pfSense.
Dokumenthistorie Version 1.0 Stand 07. August 2019 Ausgabe Erstausgabe Ansprechpartner: Matthias Schmidt TK-Netzstrukturplan (vereinfachte Darstellung)
Beschreibung der Anlage Der eine Teil der Anlage dient der Gewährung von kostenfreien Internetzugang per WLAN für die Nutzer. Der zweite Teil der Anlage dient der Gewährung von kostenfreien anonymen Internetzuggang per Tor Netzwerk. Zusätzlich besteht jeweils ein VPN-Tunnel zu unseren Servern, über den der aus- und eingehende Datenverkehr der Nutzer geleitet wird. Firmware- und Software-Version der WLAN-Router und Server: stets auf dem aktuellen Stand Firmware wird automatisch aktualisiert: ja Standort W-LAN Router: Deutschland Standort VPN Exit Node Server: An der Lochmühle 10, 52379 Langerwehe Sicherheitsmaßnahmen
WLAN-Router sind aufgrund ihrer Aufstellungsorte, je nach dem durch eine wetterfeste Box, durch (Blitzschutzmaßnahmen etc.) und gegen Umwelteinflüsse geschützt.
WLAN-Router sind gegen physischen Zugriff durch unbefugte Dritte durch Aufstellung im abgeschlossenen Raum, Aufstellung an Orten mit ständige Sichtkontrolle, durch eine Installation in einer verschlossenen Box geschützt.
Administrationsseite der WLAN-Router sind nicht über das WLAN, sondern nur lokal über LAN zugänglich.
Administrationsseite der WLAN-Router sind durch ein selbst vergebenes, hinreichend langes Passwort geschützt. Dieses ist nur dem Sicherheitsbeauftragten bekannt.
Funktionsfähigkeit der WLAN-Router wird durch den Sicherheitsbeauftragten in regelmäßigen Abständen von zwei Wochen, z.B. durch Sichtkontrolle oder Test der Funktionalität, überprüft. Eventuelle Störungen werden unmittelbar behoben. Der Sicherheitsbeauftragte überprüft in regelmäßigen Abständen von zwei Wochen, ob eine neue Version der Router-Firmware vorliegt und durch Autoupdates diese installiert sind. Bei Bedarf wird das Update unverzüglich eingespielt.-VPN Exit Node Server sind durch ein selbst vergebenes, hinreichend langes Passwort geschützt. Dieses ist nur dem Sicherheitsbeauftragten bekannt.
Funktionsfähigkeit der VPN Exit Node Server wird durch den Sicherheitsbeauftragten mehrmals täglich, z.B. durch Sichtkontrolle oder Test der Funktionalität, überprüft. Eventuelle Störungen werden unmittelbar behoben. Der Sicherheitsbeauftragte überprüft in regelmäßigen Abständen einmal täglich, ob eine neue Version der Server Software vorliegt und durch Autoupdates diese installiert sind. Bei Bedarf wird das Update unverzüglich eingespielt.
IDS Regeln werden alle sechs Stunden automatisch aktualisiert. Bekannte Auffälligkeiten und unbekannte Verbindungsmethoden werden blockiert.
IP Adressen und Netzblöcke können bei Bedarf internetseitig gesperrt werden.
Bei einer gravierenden Störung des Netzbetriebes werden die Server vom Netz genommen.
Geplant ist, dass über einen eigenständigen GSM Kanal der VPN Exit Node Server jederzeit, unverzüglich, bei gravierenden Störungen abgeschaltet werden kann.
Umsetzungserklärung Hiermit erkläre ich, dass die im Sicherheitskonzept vom 09.08.2019 aufgezeigten technischen Vorkehrungen und sonstigen Schutzmaßnahmen umgesetzt sind oder unverzüglich umgesetzt werden.
So, hat was gedauert. Der feine Unterschied, ob ein Profil Ordner kopiert oder verschoben wird. Wegen Dateirechte nur kopieren. Bei den versteckten Ordnern aufpassen, kann das Profil sehr zerschießen.
Falls wer von euch das auch mal betrifft: Windows Login über Azure Active Dictory und Datev, das funktioniert nicht.
Fehler 0x80070520
Es gibt einige Lösungen, jedoch war im Internet dies nicht dokumentiert. Wenn ein Microsoft Konto gleichzeitig Privatkonto und Schul-/Firmenkonto ist, kann ein Konflikt entstehen. In der Windows Registry kann das behoben werden:
BSI zertifizierte Firewall. Alles mit nur BSD Wasser gekocht. BSD ist so frei, dass es sowohl kommerzielle als auch nicht kommerziell ist, jedoch eine Zertifizierung kostet Geld. Nur kommerzielle BSDs können zertifiziert sein. Wo ist das alles drinn? Appel OS, QNX früher Blackberry heute z.B. in Autos und guten Firewalls.
Schutz, Spiel mit der Angst. Eine Versicherung, die Geld kostet, zahlt nur, wenn ein zertifiziertes System eingesetzt wurde, das auch Geld kostet. Technisch ist der Schutz nicht besser, als bei der kostenfreien Version. Nur wer will frei sein? Wird viel Geld umgesetzt. Funfact Es gibt Firmen, die beide Schienen fahren. Und die kommerzfreie Schiene lässt man sich nicht nehmen, ob mit oder ohne Geld, es geht um guten Programmcode, den wir alle haben wollen.
Pragmatischer Ansatz bei überschaubaren Budget: Firewalls können in Reihe geschaltet werden. Die günstigste Variante der zertifizierten Firewall, sodass noch Versicherungsschutz besteht und als zweites die freie Variante mit all den coolen Features, die bei der ersten jeweilige Mehrkosten darstellen.
09:15 – 1. Aug. 2019
Ey Realität, was machst du? Nach langem gucke ich eine Serie, Mr. Robot, nur übertriebenes Filmzeugs, aber heftig mit Trigger. Mit der Technik meines Providers in Absprache läuft seit gestern ein Tor Exit Node, mit Snort Filterung. Ein Brief zur Bundesnetzagentur ist unterwegs,
Eine Meldung, dass ich Daten durchleite. Und dann heute das: Das erste mal Klingeln war richtig. Ein Paket mit einem Geschenk für eine baldiges Geburtstagskind. Aber die zweite Klingel unangemeldet. Eine Frau, die für Unitymedia Privatkundenbereich versucht die Leute in
Der Hausanlage zu überzeugen, das Kabelfernsehen zu bezahlen. Ich gucke kein Fernsehn und bin Company Kunde. Fernsehn verbracht viel Bandbreite, wird das Internet auch abgeschaltet. Nein. Ich mag dieses unangemeldete nicht. Ich dachte schon, sie kommen.
06:45 – 2. Juli 2019
Überraschung / Schock. Nerve behale.
06:48 – 2. Juli 2019
Als Exit Node betreibende und Daten durchleitende Person, mit entsprechende Meldung bei der Bundesnetzagentur gibt es Kooperation mit Behörden, wenn es um Sauerreien geht. Doch bei gefährlichen Journalismus und einfachen Datenschutz gewähren möchte ich nicht kriminalisiert werden
Bei Kinderpornografie und Nazis ja, alles andere nein. Da Daten nur durchgeleitet werden und nicht gespeichert werden, geht das nur in Echtzeit am Endpunkt. Am Exit Node kann das auch der Provider sein, was ich nicht garantieren kann, was ab da geschnorchelt wird.
Also, ich betreibe den Tor Exit Node, wie ein Freifunk Exit Node. Die Kooperatin mit Behörden ist gleich, wie es auch der Freifunk Rheinland macht. Nicht mehr, nicht weniger.
Interessant: Spam Melde Apps und Webseiten sind auch nicht koscher. Jetzt soll mein Tor Exit Node schon fünf Tage vor dessen Existenz sowas verschickt haben. Wie die Anzug Marketing Pseudosecurity Leute wohl argumentieren bei der Politik z.B.?
14:23 – 12. Juli 2019
Erfahrung nach über einer Woche mit dem Tor Exit Node: WordPress Spam gefolgt mit Abstand Joomla Spam. Ab und zu Versuche, diese zu hacken. Und Crypto Malware wird versucht, durchzuleiten. Seltener Buffer Overflow und SQL Zeugs.
07:09 – 13. Juli 2019
So, nach etwas über zwei Wochen Tor Exit Node Betrieb merke ich, die zur Verfügung gestellte Bandbreite wird ausgereitzt, viele Verbindungen und die Firewall hat zu tun. Pro Minute zehn Blocks, wegen gefährdenen Traffic.
08:40 – 19. Juli 2019
Bundesnetzagentur wünscht Sicherheitsbeauftragte und Sicherungskonzept. Ist ja fast wie Datenschutzerklärung. Viele haben lange komplizierte Texte, ich tendiere zu ausreichend, 1½ DIN A4 Seiten. Daumendrück, wenn das klappt, ist das ein Konzept für Tor Exit Node und freies WLAN.
13:38 – 7. Aug. 2019
Ich möchte zwei VMs aufsetzen. Ein Build Server für Freifunk Router Firmware und einen Supernode. Tut dat Not, dass das Ubuntu sein muss? Geht Debian nicht? Wer weiß dazu was?
11:06 – 17. Aug. 2019
Sicherheitskonzept für die Bundesnetzagentur ist erstmal soweit okay. Demnach kann mit IDS und so’n Zeug ein Tor Exit Node sehr offiziell betrieben werden. Freies WLAN habe ich mit dabei.
Es ist prima König zu sein, oder einen Company Internet Anschluss zu haben. Habe mit Unitymedia Technik telefoniert. Grundsätzlich kann ich Traffic durchleiten. Ich betreibe nun einen Tor Exit Node mit bestimmten Ports und eine PfSense mit Snort schützt das Clear Net. Ich gucke, ob ich bestimmten Traffic vom Freifunk Offloader direkt raus leiten und den Super Node in Aachen schonen kann. Das Privileg, anderen ein bisschen Datenschutz geben zu können. Das eigentliche Darknet mit den onion Adressen bleibt im Tor Netzwerk. Doch nur zwei Prozent macht das dort aus. Klar, neben gefährlichen Journalismus und Illegales sind aber auch die meisten hidden Services trivial. Deanonymisierung bei krassen Sachen findet regelmäßig statt. Also 98% geht ins Clear Net. Es gibt ein Gefühl von ein wenig mehr Datenschutz. Mehr bei den Webseitenbetreiber_innen, weniger bei den großen staatlichen Nachrichtendiensten. Wer sich mit denen anlegt und relevant ist, wird früher oder später gefunden. Meistens wir gar nicht die Technologie gehackt. Es sind Fehler im RL und die Polizei kennt sich im RL aus. Eine super Sicherheitslücke, die teuer ist, wird sehr gezielt genutzt. Sie kann vielleicht nur einmal genutzt werden und ist dann bekannt, der Virenscanner bekommt Update. Ich habe der Bundesnetzagentur gemeldet, dass ich Daten durchleite. Es werden bei mir keine Daten gespeichert. Bei Kinderpornografie und Rechtsterrorismus kooperiere ich mit Behörden. Das Abgreifen von Daten hinter dem Exit Node beim Provider muss angenommen werden.
Uff, ich habe angefangen, die Serie Mr. Robot zu gucken. Ja, sie versuchen das Thema mittlerweile filmisch besser darzustellen, inklusiv wie Hackers aus den 90ern in der Serie gezeigt wird, was es war. Inhaltlich tangiert und triggert mich das, es gibt Parraellen im Kopf. 02:47 – 30. Juni 2019
Nur bekomme ich schnell Kopfschmerzen davon und kann nicht weiter gucken. Ich habe mir dann die Dokumentation DeepWeb angeguckt. Ich komme mit diesen Infos besser klar als Beispiele der Realität. Eine andere gewaltfreiere Drogenpolitik wäre wünschenswert, ich klammer das jetzt
02:47 – 30. Juni 2019
mal aus und gucke nur auf die Technologie und Informationspolitik. Es ist kein Geheimnis, dass ich ein Pseudo hidden Service im Tor Netzwerk laufen lasse zum Test und für vielleicht bessere DSGVO Umsetzung. Ist die Frage, wie oder ob es überhaupt Anonymität gibt.
Es gibt Berichte, dass Geheimdienste da weit sind und gleichzeitig Dementis. Ein Informationskrieg. Klar, Deanonymisierung ist aufwendig und findet statt, Leute werden verhaftet. Auch interessant, ob die eigentliche Technologie gebrochen wurde oder ein Seitenkanal verwendet
02:47 – 30. Juni 2019
wurde. Vor zwei Jahren hatte ich versehentlich ein Exit Node betrieben. Erst nach sechs Wochen kam die erste und einzige Abuse Meldung. Diese Tage hatte ich die Idee, einen Exit laufen zu lassen, da ich ein privilegierter Mensch bin und Leute Hilfe brauchen.
02:47 – 30. Juni 2019
Zum Ändern Ihrer Datenschutzeinstellung, z.B. Erteilung oder Widerruf von Einwilligungen, klicken Sie hier:
Einstellungen
