Ein kurzer Test zeigt, dass der Aufbau eines VPN Tunnels zu einem IPV6 Endpunkt aktuell mit der FritzBox 7390 mit Firmware-Version 84.04.86 fehlschlägt. Die Angabe einer IPV6 Adresse unter remotehostname führt dazu, dass sich die VPN Konfig gar nicht erst importieren lässt. Ich habe daraufhin einen DNS Record erzeugt der nur einen AAAA Record besitzt. Die VPN Konfig lässt sich dann zwar importieren, aber ein Verbindungsaufbau des Tunnels schlägt mit der Meldung IKE-Error 0x202C "dns: host/domain not found" fehl. Sehr schade.
Category Archives: Technical
VPN Performance FritzBox 7390
So, heute konnte ich endlich mal testen, was die FritzBox 7390 in Sachen IPSec so bringt. Ich habe mit verschiedenen Verschlüsselungsalgorithmen (AES128, AES256, 3DES) einen Tunnel zu einer Astaro an einem 100 MBit Port im Rechenzentrum aufgebaut. Man kann sagen, die Performance reicht für den Heimgebrauch. Maximal habe ich ca. 15MBit/s durch den IPSec Tunnel bekommen, wobei man sagen kann das die Leistung bei 3DES am schlechtesten war. Zum Vergleich mit meinem Alix Board unter PFSense schaffe ich mit AES128 locker 25MBit/s mehr gibt mein Internetanschluss aktuell nicht her.
IPv4 Countdown
| Zwischenzeitlich sollte es ja hinlänglich bekannt sein: IPv4 Adressen werden weniger und weniger. Da floek.net nun auch endlich per IPv6 erreichbar ist, habe ich nun auch ein paar Statistiken zu den verbleibenden IPv4 Adressen eingebaut. Rechts in der Seitenleiste gibt es nun den jeweils letzten Tweet von IPv4Countdown. Der Counter von INTEC bzw. Hurricane Electric war mir dann doch zu groß. Mal sehen ob wir nächstes Jahr tatsächlich keine v4 Adressen mehr haben. |
floek.net goes IPv6
Endian Firewall unterstützt Paravirtualisierung
Die Endian Firewall unterstützt nun in der Version 2.4 von Haus aus den Betrieb in einer paravirtualisierten XEN Umgebung. Nach einem efw-update kann man ein smart install kernel-PAE machen und erhält einen Kernel, der mit dem XEN Hypervisor sprechen kann. Somit ist es nun ohne den Kernel von Neobiker möglich die Endian Firewall paravirtualisiert auf XEN laufen zu lassen.
Quelle: http://www.efw-forum.de/www/forum/viewtopic.php?f=45&t=676
OpenSolaris is dead! (Aber noch nicht ganz)
Aufgrund eines Hardwareproblems bin ich unverhofft dazu gekommen meine OpenSolaris Virtualisierungsumgebung noch einmal zu aktualisieren. Somit läuft das ganze nun auf snv_134 mit Xen/xVM 3.4. Bisher läuft alles stabil wie auch zuvor, aber mit einigen neueren Features. Zuvor (2009.06) gab es nur Xen/xVM 3.0, was dazu führte, dass man nur eine Linux Distribution mit xen Kernel paravirtualisiert laufen lassen konnte. Leider sind diese Kernel bei den Distributionen zwischenzeitlich eine Seltenheit. Bei Ubuntu war 8.10 das letzte Release, was einen passenden Kernel mitgebracht hat. Seither gibt es nur noch Kernel mit Support für pvops. Dank der neuen Xen Version kann ich diese nun auch nutzen und bekomme Support für z.B. Ubuntu 10.04 LTS. Hurray! Weiterhin gibt es einige neue ZFS Features, unter anderen Deduplication. Eigentlich schon schade, dass diese Distribution nun sterben muss. Man kann nur hoffen, dass die Jungs von Illumos Gas geben und daraus eine freie Alternative zu Solaris 11 entsteht. Ich hoffe auch das der xVM Support erhalten bleibt, da die einzige Alternative in Sachen Virtualisierung mit ZFS Support eigentlich nur in FreeBSD mit ZFS und VirtualBox besteht. Diese Lösung muss allerdings erst zeigen ob sie genau so schnell und stabil ist wie Xen.
Wer übrigens sein OpenSolaris auf eines der letzten Releases von Oracle aktualisieren möchte, kann hierzu ein Repository von Illumos nutzen und somit nochmal auf svn_145 aktualisieren. Leider ist hier aber der xVM Support kaputt. Der xend stürzt beim Starten mit einer python Fehlermeldung ab. Wer es dennoch probieren möchte, hier der Link:
http://www.illumos.org/projects/illumos-gate/wiki/How_To_Build_Illumos
Fazit: OpenSolaris ist tot! Aber noch nicht ganz und hoffentlich gibt es eine Wiedergeburt mit Illumos
The three most painfull IP protocolls
Während meiner IT Laufbahn, die nun immerhin bereits ca. 13 Jahre währt, gab es immer wieder Anwendungsfälle, die einem fast in den Wahnsinn treiben. Ein beliebtes Problem was uns ITlern wohl bis zur flächendeckenden Einführung von IPV6 immer wieder begegnen wird, ist das eine oder andere Internet Protokoll ordentlich über eine NAT Firewall zu bekommen. Gerade verzweifele ich mal wieder an einem hierzu prädestiniertem Kandidaten. Wer designed eigentlich diese Protokolle? Leben die in einer anderen Welt? Vermutlich kommen die Informatiker, denen wir das zu verdanken haben von irgendwelchen Unis die aus historischen Gründen noch ein /8 Netz mit öffentlichen IPs haben und jeden Uni Rechner mit einer public IP versorgen. Wie auch immer hier nun meine persönlichen Top 3 der nervigsten Internet Protokolle:
- SIP – Wer käme auch schon auf Idee sein IP Telefon zu Hause nicht als einziges Gerät an seinem Internetanschluss zu verwenden, damit man kein NAT verwenden muss.
- IPSEC – Vielen Dank für dieses unnötig komplizierte Protokoll. Natürlich nicht hinter NAT Firewalls zu verwenden. Gott sei Dank gibt es OpenVPN
- FTP – Dank der prima Idee zwei verschiedene Ports zu verwenden und diese in entgegengesetzter Richtung kommunizieren zu lassen
Falls Ihr eine andere Top 3 Liste habt: Schreibt doch nen Kommentar.
VDR Shutdown Shortcut
Aktuell bin ich mal wieder dabei den stromfressenden Homeserver im Keller loszuwerden. Bisher sieht der gefühlt 27. Versuch ganz gut aus. Dank pfsense und siproxd muss die FritzBox nicht mehr Router spielen, damit SIP funktioniert. OpenVPN hat ebenfalls dank pfsense und der eingebauten AES-128 Hardware Beschleunigung meines Alix Boards gute Performance bei minimalem Stromverbrauch. Jetzt fehlte nur noch eine passende Lösung für VDR. Die Lösung: yaVDR. Diese Ubuntu basierte VDR Distribution hat direkt alles eingebaut, was ich so brauche (XBMC, mcli plugin für Netceiver,…) und ACPI Wakeup funktioniert out of the box. Nun kann ich meine VDR Kiste gepflegt per WakeOnLan per pfsense Webinterface von überall aufwecken. Der passende Link für ein Lesezeichen im Browser sieht wie folgt aus:
http://[pfSense IP]/services_wol.php?mac=[MAC Adresse des Rechners]&if=lan
Um den VDR nun wieder herunterzufahren, ohne SSH bemühen zu müssen, nutze ich vdradmin-am. Der passende Link:
http://[IP des VDR Rechners]:8001/vdradmin.pl?vdr_cmd=5&run_vdrcmd=Ausf%C3%BChren&aktion=vdr_cmds
ZFS Performance Tuning: Interessanter Blogartikel
Sollte man mal durchlesen: http://constantin.glez.de/blog/2010/04/ten-ways-easily-improve-oracle-solaris-zfs-filesystem-performance
Schöne bunte Graphen
Gesucht war eine Möglichkeit die Daten aus der Temperaturüberwachung geeignet in einem schönen bunten Graphen darzustellen.
Bisher habe ich cacti mit einem eigenen Template verwendet. Allerdings ist mir das Tool etwas zu überladen und ich benötige die SNMP Funktionen (außer für die Temperaturüberwachung) nicht, da ich ansonsten collectd verwende. In Cacti ist es leider nicht vorgesehen fremd erzeugte RRD Graphen einfach nur anzuzeigen. Es gibt zwar ein python script welches die collectd Graphen in Cacti einbindet, aber das ist am Ende doch wieder nur Gefrickel.
Drraw ist eine schlanke Alternative, die genau das tut was ich möchte: Einfach nur bunte Graphen aus RRD Files bauen. Am Ende wurden es einige Stunden Gebastel, aber das Ergebniss kann sich sehen lassen:
Anbei noch der passende Aufruf von rrdtool:
rrdtool graph -
--start=end - 1 day
--end=now
--title=Temperatur Außen
--vertical-label=C
--imgformat=PNG
--width=500
--base=1000
--height=240
--interlaced
DEF:b=file1.rrd:eddn_temp:AVERAGE
DEF:w=file2.rrd:eddn_temp:AVERAGE
CDEF:D=b,23,GE,b,24,LT,b,24,IF,0,IF
CDEF:C=b,24,GE,b,0,IF
CDEF:E=b,22,GE,b,23,LT,b,23,IF,0,IF
CDEF:F=b,21,GE,b,22,LT,b,22,IF,0,IF
CDEF:G=b,20,GE,b,21,LT,b,21,IF,0,IF
CDEF:H=b,19,GE,b,20,LT,b,20,IF,0,IF
CDEF:I=b,18,GE,b,19,LT,b,19,IF,0,IF
CDEF:J=b,17,GE,b,18,LT,b,18,IF,0,IF
CDEF:K=b,16,GE,b,17,LT,b,17,IF,0,IF
CDEF:L=b,11,GE,b,16,LT,b,16,IF,0,IF
CDEF:M=b,10,GE,b,12,LT,b,11,IF,0,IF
CDEF:N=b,9,GE,b,10,LT,b,10,IF,0,IF
CDEF:O=b,8,GE,b,9,LT,b,9,IF,0,IF
CDEF:P=b,7,GE,b,8,LT,b,8,IF,0,IF
CDEF:Q=b,6,GE,b,7,LT,b,7,IF,0,IF
CDEF:R=b,5,GE,b,6,LT,b,6,IF,0,IF
CDEF:S=b,4,GE,b,5,LT,b,5,IF,0,IF
CDEF:T=b,3,GE,b,4,LT,b,4,IF,0,IF
CDEF:U=b,3,LT,b,5,IF
CDEF:A=b
VDEF:V=b,AVERAGE
LINE1:b:
AREA:D#FF3300:
AREA:C#FF0000:
AREA:E#FF6600:
AREA:F#FF9900:
AREA:G#FFCC00:
AREA:H#CCFF00:
AREA:I#99FF00:
AREA:J#66FF00:
AREA:K#33FF00:
AREA:L#00FF00:
AREA:M#00FF33:
AREA:N#00FF66:
AREA:O#00FF99:
AREA:P#00FFCC:
AREA:Q#00CCFF:
AREA:R#0099FF:
AREA:S#0066FF:
AREA:T#0033FF:
AREA:U#0000FF:
LINE1:A#000000:Außen
VDEF:A_MIN=A,MINIMUM
GPRINT:A_MIN:Min: %8.2lf%s
VDEF:A_AVERAGE=A,AVERAGE
GPRINT:A_AVERAGE:Avg: %8.2lf%s
VDEF:A_MAX=A,MAXIMUM
GPRINT:A_MAX:Max: %8.2lf%s
VDEF:A_LAST=A,LAST
GPRINT:A_LAST:Last: %8.2lf%sn
LINE1:w#808080:Innen
LINE1:V#008000:Durchschnitt