# Friday, September 29, 2006

Hurra, es geht für 2 Wochen nach Griechenland!

Damit in der Zeit nicht die komplette Pharmaindustrie in den Kommentaren und Trackbacks steht, sind diese Funktionen in dieser Zeit deaktiviert.

Und tschüss...

Friday, September 29, 2006 4:41:04 PM (W. Europe Daylight Time, UTC+02:00)  #
  Disclaimer  |  Comments [0]  | 

Für administrative Arbeiten ist es recht praktisch, auch mal von zu Hause einen Blick auf die Server werfen zu können. Zugriff auf die Unternehmens E-Mail ist auch praktisch. Am Besten sollte auch noch unsere Projekt- und Zeiterfassungssoftware mitlaufen. Also muss ein VPN Zugriff auf das CPTec Intranet her.

Sowohl die Intranet Server, als auch unsere Desktops laufen unter Windows. Eine reine Microsoft Lösung wäre denkbar. Was kommt in Frage?

  • PPTP
  • IPsec tunnel
  • L2TP over IPsec
  • OpenVPN

Unser äußerer Firewall läuft unter ISA Server 2004. Da geht grundsätzlich alles :). Danach müssen die Daten noch über einen Linux Firewall. Da geht auch grundsätzlich alles. Wir haben auch schon Regeln um von unserem Intranet über IPSec auf die Server eines Kunden zugreifen zu können. Diese Lösung wäre deshalb auch für uns nahe liegend. Trotzdem haben wir uns für OpenVPN entschieden.

Wieso? Die Konfiguration sah einfacher aus. Und der gesamte verschlüsselt VPN Traffic läuft über einen UDP Port. Nur diesen einen Port auf den Firewalls zu publizieren fand ich sehr sympathisch.

Das ganze war auch schnell eingerichtet und man konnte über beide Firewalls vom Internet aus auf unser Intranet zugreifen. Man muss sich aber darüber im Klaren sein, dass für diese Verbindung der Schutz der Firewall aufgehoben ist. Natürlich hüten wir den privaten Authentifizierungsschlüssel der Klienten. Aber auch ein Trojaner wandert von dem Klienten problemlos authentifiziert und verschlüsselt in unser Intranet. Die Anbindung an unser inneres Netz ist auch für diese kleinen Bösewichte transparent.

Wie schützt man sich vor infizierten externen Rechnern? Dazu gibt es diverse Szenarien: Man kann die VPN Klienten in Quarantäne stecken und zuerst deren Status überprüfen. Man gewährt nur Zugriff auch bestimmte Ressourcen oder man ist einfach nur vorsichtig :).

Das ist alles aufwendig und hilft auch nicht notwendig. Deshalb habe ich als Klient nur einen speziell vorbereiteten virtuellen PC vorgesehen. Der läuft unter XP mit allen nötigen Tools, wie Outlook und putty. Mit dem PC wird nicht im Internet gesurft oder neue Software darauf installiert. Nach jeder VPN Session wird die Maschine auf den vorigen Stand zurückgesetzt. Damit sollte sich nichts einnisten können.

Im Moment bin ich mit der Lösung sehr zufrieden. An meinem DSL Anschluss zu Hause hängt ein WLAN Access Router mit NAT. Über das WLAN geht die Verbindung zum zweiten Router und noch mal über NAT zu meinem Heim PC. Auf diesem PC wiederum läuft der virtuelle PC. Hier bei CPTec muss der Tunnel in die andere Richtung noch über 2 Firewalls um schließlich bei dem Server mit OpenVPN Dienst zu landen. Wenn die VPN Verbindung hergestellt ist, kann ich mich dann z.B: per Remote Desktop Connection auf einem unserer Web Server anmelden. Diese Verbindung wiederum geht über den inneren Firewall in unsere DMZ. Auf dem Remote Desktop kann ich insgesamt dennoch relativ zügig arbeiten. Wenn man sich vorstellt, welche Umwege meine Handbewegung macht, bis sich der Mauscursor auf dem Bildschirm bewegt und z.B. ein Fenster bewegt. Wahnsinn! Aber es geht. Irrsinnig "virtuell", mit einigen Adressumsetzungen, sicher und trotzdem zügig!

Das einzig Peinliche ist, dass ich einige Zeit die VPN Verbindung über die OpenVPN Gui nach dem Login gestartet habe. Hat mir nicht gefallen, aber ich nahm diese Einschränkung hin. Irgendwann hat sich dann die Domänen-Anmeldung verhakt. Google wollte mir nicht verraten, wie ich die Verbindung nach dem Booten und vor dem Login aufbauen kann. Der OpenVPN Service hatte für mich ganz klar nur mit einem OpenVPN Server zu tun. Denkste! Einfach den Dienst auf automatisch gestellt und schon steht die Verbindung automatisch und vor der Anmeldung. Puh.

Friday, September 29, 2006 4:36:37 PM (W. Europe Daylight Time, UTC+02:00)  #
  Disclaimer  |  Comments [0]  | 
# Friday, September 22, 2006

Gerade habe ich das Blog auf dasBlog 1.9 upgedated. Unter anderem unterstützt die Software jetzt den Windows Live Writer.

Auch wenn der Texteditor von dasBlog schon ganz gut ist, finde ich eine klassische Windows Applikation einfach angenehmer und robuster. So viel schreibe ich jetzt ja auch nicht in diese Blog, trotzdem ist mir schon ein paar Mal einiger Text verloren gegangen. Irgendwie waren der Browser und der Webserver zusammen der Meinung, dass so eine leere Textbox auch was Schönes ist. Weiß auch nicht, was die gegen mich hatten.

Ha! Gerade hatte das Tool einen "Unexpected error". Das Gif Bild, dass ich testweise einbinden wollte hat ihm nicht gepasst. Puh. Es gab aber einen Continue Button. Nix passiert. Sehr schön :).

Wie war das mit dem "robust". Tja, ist auch nur die "Windows Live Writer (Beta)".

Friday, September 22, 2006 10:21:52 AM (W. Europe Daylight Time, UTC+02:00)  #
  Disclaimer  |  Comments [0]  | 
# Thursday, September 07, 2006
Es war leider abzusehen. Adobe stellt die Unterstützung für den SVG-Viewer ein: Adobe to Discontinue Adobe SVG Viewer
Im März hatte ich bereits den Zustand dieses Viewers in Stirb langsam - Adobe SVG Viewer als "Eher mausetot!" bezeichnet. Jetzt ist es tatsächlich soweit.

Bei meinen Überlegungen, wie man jetzt am sinnvollsten interaktiv zoombare Grafiken mit dem Webbrowser darstellen soll, fällt mir immer wieder Flash ein. Nur dann hängt man ja wieder am Tropf von Adobe. Mir gefällt schon deren Umgang mit dem PDF Format und deren PDF Viewer Adobe Acrobat Reader nicht.  Da ist mir Microsoft irgendwie lieber. Die haben inzwischen zu einer relativ großen Transparenz gefunden. Da kriegt man mit, wohin die Reise geht. Auch wenn sich der Kurs mal ändert, passiert das nicht heimlich.
Jetzt sitzen wir mit einem nicht mehr unterstützten Viewer da. Natürlich funktioniert der Zoom in unserem Ersatzteilkatalog SPCat weiter mit diesem Viewer. Es wäre nur schön gewesen von Verbesserung profitieren zu können.

Wer möchte einen Tipp abgeben, wann eine ähnliche Meldung zum Adobe Framemaker zu lesen ist?

Thursday, September 07, 2006 7:55:44 AM (W. Europe Daylight Time, UTC+02:00)  #
  Disclaimer  |  Comments [0]  |