Manchmal kommt es vor, das man eine 3CX-Installation zurücksetzen muss. Mitunter kommt es allerdings auch vor, das man noch vor Beginn der eigentlichen Ersteinrichtung, gemeint ist zu Beginn des Assistenten, das System herunterfahren muss. Nach einem Neustart wird dann allerdings der Assistent nicht neu gestartet bzw. fortgesetzt und das System ist, außer via ssh, nicht mehr erreichbar.

Entweder direkt an der Konsole oder via ssh anmelden und folgendes ausführen:

sudo /usr/sbin/3CXWizard --cleanup

Achtung: Alle evtl. vorhandene Konfiguration wird gelöscht! Den Befehl also nur ausführen, wenn man sich absolut sicher ist!

Mit diesem Befehl wird die PBX quasi auf Werkseinstellung zurückgesetzt und man kann anschließend den Installationsassistent neu durchlaufen.

Quelle:

3CX – Forum – re run install wizard

Ein XMPP-/Jabber-Server alleine reicht nicht, um Chats darüber zu führen. Die beteiligten Anwender benötigen einen Client. Für Android bietet sich die App Conversations an.

Zusamen mit einem selbst betriebenen kompatiblen Server wie (empfohlenerweise) Prosody kann man eine sichere und unter eigene Kontrolle stehende Plattform aufbauen.

Die möglichen Funktionen wie Verschlüsselung, Dateien versenden etc. sind vom jeweiligen XMPP-Server abhängig, gemeint ist, welche Erweiterungen unterstützt und letztlich auch konfiguriert sind.

Zu Kaufen gibt’s die App im Google Play Store oder für „kost-nix“ im F-Droid App Store.

Manchmal braucht man schnell mal einen LDAP-Browser um etwas nachschauen zu können. In meinem Fall war das während der letzten Askozia-zu-3CX-Migration der Fall, um aus der Ferne zu prüfen, ob im internen LDAP-Adressbuch der Askozia Kontakte hinterlegt sind.

Für auf die ganz Schnelle und nahezu komplett portable Nutzung bietet sich LDAP Admin an. Das Tool kann direkt via *.exe-Datei gestartet werden, es ist keine Installation notwendig, es gibt CLI-Support und zudem ist die Anwendung ziemlich flink. Einziger Wermutstropfen ist, das die Einstellungen in der Registry unter „HKCU\Software\LdapAdmin“ gespeichert werden.

Ein weiterer Kandidat ist der LDAP Browser von Softerra. Dieser muss zwar installiert werden, bietet dafür allerdings die hübschere Optik.

Das sind allerdings nur zwei Beispiele, es gibt mit Sicherheit noch mehr.

Beim Schreiben mit WordPress kommt mitunter fleissig das Einfügen von Texten, Links usw. vor. Dabei kann es schnell lästig sein, wenn Formatierungen mitkopiert bzw. mit eingefügt werden, die man nicht benötigt, geschweige denn braucht. Immer zuerst in der Symbolleiste dann „Als Text einfügen“ anklicken zu müssen kann lästig sein.

So spontan ermittelt gibt es mindestens zwei einfache Wege dies zu lösen:

Via Plugin, z.B. mit Als unformatierten Text einfügen, oder mit einer Ergänzung der „functions.php“ im (Child-)Theme. Bei erstgenannten verschwindet die Schaltfläche komplett aus der Symbolleiste, bei letzterem bleibt die Schaltfläche erhalten, ist dafür aber vor-aktiviert. Folgenden Code hinzufügen:

add_filter('tiny_mce_before_init', 'ag_tinymce_paste_as_text');
function ag_tinymce_paste_as_text( $init ) {
$init['paste_as_text'] = true;
return $init;
}

Der zweite Weg gefällt mir persönlich besser, da kein Plugin benötigt wird und somit auch nicht gepflegt werden muss.

P.S.: Ich verwende nach wie vor den Classic Editior, keine Ahnung, wie es bei Gutenberg (dem neuen Editor) ist.

Quelle:

Anything Graphic – Paste As Text by Default in WordPress

Als Nokia-Besitzer wartet man aktuell mitunter lange auf Updates. Mein Nokia 6 ist noch auf dem Sicherheits-Update-Stand vom Frebruar 2019, im gesamten März war weit und breit keine Aktualisierung in Sicht und mittlerweile schreibt man den 03. April 2019.

Das man nicht alleine ist, zeigt ein Blick in die Nokia 6 Community. Einen Überblick der aktuellen Updatestände je Modell liefert folgende Hersteller-Seite:

Nokia Smartphone Security Maintenance Release Summary

So ganz aktuell scheint Nokia’s Seite allerdings nicht zu sein. So wird beispielsweise für das Nokia 6.1 noch der Updatestand Februar 2019 ausgegeben, obwohl das Gerät meiner Frau bereits auf März 2019 aktualisiert wurde.

Man könnte spekulieren, das die Nokia-Seite schlicht nicht ganz so aktuell ist, wie man es sich wünschen würde. Zum Zeitpunkt als dieser Beitrag geschrieben wurde, war diese auf dem Stand vom 25. März 2019. Beispielsweise Curved meldete am 29. März 2019 das Nokia 6.1-Geräte das März 2019-Update erhalten.

Generell eine gute Übersicht über Neuigkeiten aus dem „Nokia-Universum“ bietet die Seite Nokiamob.net. Dort konnte man bereits am 26. März 2019 lesen, dass das März 2019-Update für Nokia 6.1, in Form eines neuen Builds, ausgerollt wird.

Warum auch immer es gerade beim Nokia 6 und anderen Modellen so lange dauert, so sehr bleibt doch die Hoffnung, das es dennoch etwas wird und bei dieser Gelegenheit so manche Macke die es seit Android 9 Pie gibt, wie z.B. der geringen Akku-Laufzeit, dann ebenfalls gleich behoben wird.

Bislang erwies sich HMD Global, der Firma hinter Nokia, als recht zuverlässig was ihr Updateversprechen angeht. Selbst die Einstiegsgeräte erhielten Sicherheitsupdates als auch eine Aktualisierung auf Android 9 Pie.

Die Cisco SPA112 ATAs sind eigentlich eine ganz nette Angelegenheit um analoge Nebenstellen via VoIP anzubinden. Leider stürzen so manche Geräte gerne mal ab. Dem kann man zum Teil mit automatischen Neustarts entgegenwirken.

Bei den bislang beobachteten Abstürzen war es so, das die Geräte zwar noch pingbar sind, aber sonst nicht mehr reagieren. Gemeint ist: Kein Zugriff auf das Web-Interface, keine Kommunikation via SIP/RTSP, in der Regel sind die betreffenden Nebenstellen nicht mehr registriert.

Grundsätzlich ist es eine gute Idee, sofern möglich, die von dem ATA abhängigen Nebenstellen zu überwachen. Am Bespiel von 3CX in Verbindung mit Fax klappt das leider nicht, da die Statusänderung einer Systemnebenstelle leider nicht per Mail gemeldet wird.

Mit dem Tool Cisco SPA112 Command Line Rebooter kann man automatisch mittels Skript bzw. Aufgabe den ATA von Windows aus neu starten lassen. Hervorzuheben ist, das es einen Rückgabewert (Errorlevel) gibt, den man weiter auswerten kann.

Ein einfaches Skript in Verbindung mit SMTPsend sieht so aus:

SPA112_rebooter.exe -username=admin -password=<Kennwort> -address=<IP-Adresse des ATAs>

echo %date% - %time% - %errorlevel% >> report.txt

if %errorlevel% gtr 0 (
echo Fehler beim automatischen Neustart des Cisco SPA112: > e-mail.txt
echo %date% - %time% - %errorlevel% >> e-mail.txt
smtpsend.exe -f<Absender-Adresse> -t<Empfänger-Adresse> -h<Mailserver> -sSPA112 Rebooter -ie-mail.txt -lu<Benutzername-des-Absender> -lp<Kennwort>
)

Grundsätzlich wird immer ein Protokoll (report.txt) geschrieben, damit lässt sich der Miss-/Erfolg erfassen. Ist der Rückgabewert größer Null wird eine E-Mail versendet.

Selbst wenn das Neustarten nicht klappt, bekommt man so wenigstens eine Benachrichtigung das etwas nicht stimmt und kann danach schauen.

Kurzfristig musste eine bestehende Windows 10-Installation auf eine andere Hardware umziehen. Unglücklicherweise beherrscht der Ziel-Computer kein UEFI, folglich musste ein Wechsel der Startumgebung stattfinden. Anbei die notwendigen Schritte für ein solches Vorhaben.

Info: Vor Jahren wurde ein mögliches Vorgehen für Windows 8.1 in Verbindung mit Drive Snapshot beschrieben, dies wäre ebenso möglich. Anbei eine andere Variante für Windows 10.

Zuallererst unbedingt eine Datensicherung erstellen, für den Fall, das etwas schief läuft!

Als nächstes muss der Datenträger von GPT auf MBR umgestellt werden. Schnell, stressfrei und ohne Datenverlust gelingt das beispielsweise mit MiniTool Partition Wizard. Für diesen Schritt wurde die SSD aus dem Quellcomputer kurz per USB-Adapter an einen anderen Computer angeschlossen und konvertiert:

Den Datenträger mit der rechten Maustaste anklicken, „Convert GPT Disk to MBR Disk“ auswählen und „Apply“ anklicken.

Nun noch die Windows-Partition als aktiv markieren:

Die Windows-Partition der SSD (oder Festplatte) mit der rechten Maustaste anklicken, „Set Active“ auswählen und auf „Apply“ klicken.

Umgestellten Datenträger startfähig machen

Nachdem die SSD (oder Festplatte) im Ziel-Computer montiert ist kann man idealerweise mit einem Windows 10-Installations-Stick die Computerreparaturoptionen aufrufen und ist nach ein-zwei Durchläufen fertig. Leider klappte das bei diesem Ziel-Computer nicht, da der Stick dort schlichtweg nicht bootete. Als Plan B kam ein USB-Stick mit dem c’t Notfall-Windows zum Einsatz.

Sobald das Notfall-Windows gestartet ist folgende Befehle ausführen:

bootrec /fixmbr
bootrec /scanos
bootrec /rebuildbcd

bcdboot C:/Windows /s C: /f BIOS

Danach den Computer neu starten. Windows 10 sollte nun booten und erkennt die neue Hardware, ggf. müssen noch Treiber installiert und die Aktivierung (erneut) durchgeführt werden.

Optional: Virtuelle Maschinen unter Hyper-V starten nicht

Bei diesem System wird Hyper-V für Tests als auch Docker verwendet. Beides streikte zunächst nach der Umstellung. Der Hintergrund ist simple: Dadurch das eine neue Startumgebung erstellt wurde, ging die Option verloren, das der Hypervisor ausgeführt werden soll. Ändern lässt sich dies mit folgenden Befehl in einer Eingabeaufforderung mit erhöhten Rechten:

bcdedit /set hypervisorlaunchtype auto

Anschließend den Computer neu starten.

Quellen:

Microsoft Hardware DevCenter – BCDBoot-Befehlszeilenoptionen

Windows TenForums – How to Convert GPT Disk to MBR Disk in Windows 10

Wird beim Einrichten von Outlook via Assistent oder über die Systemsteuerung keine Auswahl für MDaemon Connector angeboten kann dies zwei Ursachen haben.

Im Dialog „Konto hinzufügen“ fehlt gänzlich die Auswahl von nicht direkt durch Outlook unterstützten Protokolle.

In einem solchen Fall sollte geprüft werden, ob Office bzw. Outlook als 32- oder 64-bit Version installiert ist, in Abhängigkeit davon muss entsprechend das MDaemon Connector Plugin installiert werden.

Speziell bei Office 365 kann es zudem vorkommen, das nur die Anbindung von Office 365-Konten angeboten wird, deaktivieren kann man dies via Registry:

Entweder unter

HKEY_CURRENT_USER\SOFTWARE\Microsoft\Office\16.0\Outlook\setup

oder unter

HKEY_CURRENT_USER\SOFTWARE\Policies\Microsoft\Office\16.0\Outlook\setup

einen neue DWORD-Wert mit dem Namen „DisableOffice365SimplifiedAccountCreation“ und dem Wert „1“ anlegen.

Quelle:

Microsoft Support – Vereinfachtes Kontenerstellung Outlook 2016 deaktivieren

Mit der Version 12 unterstützt MailStore Server unter anderem die Verwendung von Let’s Encrypt-Zertifikaten. Es gelten dabei die gewohnt-bekannten Voraussetzungen wie Port 80 (http) und 443 (https), um die automatische Erneuerung des Zertifikats kümmert sich das Programm selbst.

Direkt bei der Installation bzw. Erst-Einrichtung oder später via Dienst-Konfiguration kann Let’s Encrypt konfiguriert werden.

Ebenso wie bei MDaemon besteht die Option, von http zu https umzuleiten, bei Beibehaltung der automatischen Zertifikats-Erneuerung. Zu beachten ist der Hinweis, das in einer zukünftigen Version von MailStore Server http (unverschlüsselt) nicht mehr unterstützt werden wird!

Ebenfalls neu, neben einer verbesserten Archivierung von Cloud-Diensten, sind deutliche Hinweise über unsichere Nutzung von Protokollen.

Diese werden nur im MailStore Client von administrativen Benutzern angezeigt.

Quelle:

MailStore Blog – MailStore V12: Security auf neuem Level und vereinfachte Archivierung von Cloud-Services

MailStore Server – Verwendung von Lets Encrypt Zertifikaten

Funktioniert der Fax-Versand über ein Faxgerät hinter einer FRITZ!Box nicht, sollte zunächst das Protokoll des Routers unter „System – Ereignisse“ konsultiert werden.

Finden sich dort Einträge wie z.B. „Not Acceptable Here (488)“ sollte geprüft werden, ob der Provider das T.38-Protokoll unterstützt. Am Beispiel der Deutschen Telekom ist das mit Ausnahme von Geschäftskunden-SIP-Trunks in der Regel nicht der Fall.

Meist hilft es, die T.38-Unterstützung in der FRITZ!Box zu deaktivieren. Dies ist unter „Telefonie – Eigene Rufnummern – Anschlusseinstellungen – Einstellungen ändern“ möglich:

Quelle:

FRITZ!Box 7490 Service – Kein Faxversand oder Faxempfang mit externem Faxgerät möglich

In der 3CX PBX gibt es gleich mehrere Optionen Anrufprotokolle zu erhalten. Eine davon besteht darin die Anrufliste nach den gewünschten Eigenschaften zu filtern und dann als *.csv-Datei zu exportieren.

Möchte man beispielsweise dann die Gesprächszeit summieren, müssen nach dem Öffnen des Exports zunächst die Zellen formatiert werden. Dazu die Spalte markieren, mit der rechten Maustaste anklicken und „Zellen formatieren…“ auswählen.

Auf der Registerkarte „Zahlen“ bei „Kategorie“ „Uhrzeit“ auswählen und auf „OK“ klicken.

Damit die Summenbildung funktioniert, muss noch der Apostroph (‚) aus den Zellen bzw. Werten entfernt werden.

Zu diesem Zweck nochmals die Spalte markieren, im Menü „Daten“ auf „Text in Spalten…“ klicken, nichts verändern und auf „OK“ klicken. Nun kann wie gewohnt eine Summe gebildet oder andere Formeln angewendet werden.

Die genannten Schritte sollten in Microsoft Excel ähnlich sein.

Bei einem Kunden stürzte der Dienst des MDaemon Messaging Servers nach dem Update auf die aktuelle Version 19 alle paar Minuten ab. Im Ereignisprotokoll von Windows gab es meist einen Verweis auf die „WorldClient.exe“, dies führt allerdings in die Irre, wie es scheint.

Die Lösung für diesen Fall bestand darin, alle MDaemon-Dienste zu beenden. Bei einem Blick in den Task-Manager fiel dann auf, das noch die „MDSpamD.exe“ lief. Diese wurde ebenfalls beendet. Nach dem Neustart der Dienste ist (bis jetzt) alles wieder gut.

Offenbar war dieser eine Prozess vmtl. noch von der vorigen Version am Laufen.

Auf einem frisch eingerichteten Notebook mit Debian 9 Stretch, Xfce und dem Zugriff auf diverse Freigaben eines Windows Servers klappte das Öffnen von Office-Dateien von diesen Freigaben in LibreOffice nicht. Außer einem kurzem Erscheinen des Banners passiert sichtlich nichts weiter.

Das Problem ist bekannt und hängt von der Art und Weise wie eine Freigabe gemountet ist ab. Am Beispiel der eingangs erwähnten Kombination kommt der Thunar-Dateimanager wie hier beschrieben konfiguriert zum Einsatz, d.h. statt einem klassischen Einhängen wird auf gvfs gesetzt.

Die Lösung ist einfach, schlicht das Paket „libreoffice-gnome“ installieren. Klickt man nun im Thunar-Dateimanager eine Office-Datei auf einer Windows- bzw. SMB-Freigabe an, startet LibreOffice und öffnet die Datei.

Andere im Netz auffindbare workarounds wie z.B. eine neuere LibreOffice-Version zu verwenden oder in den *.desktop-Dateien „X-GIO-NoFuse=true“ zu ändern oder auszukommentieren halfen indes nicht.

Quelle:

MX Linux Forum – Unable to open LibreOffice Documents on Network Shares – Solved

Damit unter Debian 9 Stretch mit Xfce-Desktop typischerweise Roadwarrior-Verbindungen mittels OpenVPN genutzt werden können, müssen nur wenige Pakete installiert werden. Die weitere Konfiguration kann vom simplen Importieren bis hin zum kompletten manuellen Anlegen einer Konfiguration reichen.

Folgende Pakete (und deren Abhängigkeiten) sind notwendig:

network-manager-openvpn
network-manager-openvpn-gnome
openvpn

Nach der Installation kann man anschließend über den NetworkManager mit der weiteren Einrichtung bzw. einem Import fortfahren.

Nebenbei bemerkt: Möchte man eine OpenVPN-Konfiguration die vom Client Export Utility einer pfSense stammt verwenden, sollte die Inline-Verbindungsdatei verwendet werden. Der Import einer Konfiguration aus dem ZIP-Archiv funktionierte beim Test nicht.

Auf den Schlüsselbund (gnome-keyring) greifen z.B. Remmina & Thunar, sofern die Zugangsdaten zu anderen Systemen bzw. Freigaben gespeichert wurden, zurück.

Damit es nicht zu Timing-Schwierigkeiten kommt, sollte der Schlüsselbund automatisch bei der Anmeldung des Benutzers entsperrt bzw. geladen werden:

• Auf „Anwendungen – Einstellungen – Sitzung und Startverhalten“ klicken.
• Zur Registerkarte „Fortgeschritten“ wechseln.
• Unter „Kompatibilität“ den Haken setzen bei „Laufzeitumgebung für GNOME beim Starten laden“.

Hintergrund dieser Konfiguration ist, das es sonst passieren kann, das man beispielsweise auf eine Freigabe zugreift, die Zugangsdaten aber noch nicht zur Verfügung stehen und so der Anmeldedialog erscheint.

Damit man die gespeicherten Daten grafisch einsehen, ändern und ggf. löschen kann bietet es sich an das Paket

seahorse

zu installieren. Ist dies geschehen, findet sich unter „Anwendungen – Zubehör“ der neue Menüpunkt „Passwörter und Verschlüsselung“:

Kann oder möchte man nicht den in Firefox integrierten Passwort-Manager verwenden oder hat man ohnehin alle (Web-)Kennwörter in einer KeePass-Datenbank hinterlegt, bietet sich eine Integration an. Für dieses Vorhaben müssen nur wenige Pakete installiert und wenige Schritte vollzogen werden.

KeePass installieren und Datenbank anlegen

Genau genommen muss das Paket

KeePass2

installiert werden. Ist dies erledigt, findet man den entsprechenden Menüeintrag unter

Anwendungen - Zubehör - KeePass2

Nach dem Start kann eine neue Datenbank angelegt werden.

KeePassRPC in KeePass installieren

Die aktuelle Version von KeePassRPC herunterladen und nach

/usr/lib/keepass2/Plugins/

kopieren.

Kee in Firefox installieren

In Firefox das Add-on Kee (fka. KeeFox) installieren.

KeePass und Kee miteinander verbinden

Damit das Firefox-Add-on Kee (fka. KeeFox) mit KeePass kommunizieren kann, muss beim ersten Verbindungsversuch der automatisch generierte Schlüssel von KeePass in Kee eingefügt werden. KeePass muss zu diesem Zeitpunkt mit der gewünschten Datenbank gestartet sein.

Optional: AutoType

Plan B oder für weitere/anderen Zwecke kann zudem AutoType hilfreich sein. Damit dieses unter Linux funktioniert das Paket

xdotool

installieren.

Troubleshooting:

Startet KeePass nach dem Einfügen des RPC-Plugins nicht, kann sowohl das Aktualisieren von KeePass (siehe weiter unten) als auch die Installation des Pakets

mono-devel

helfen.

KeePass manuell Aktualisieren

Reicht die KeePass-Version aus der Paketquelle nicht, so muss man das Programm per Hand aktualisieren. Meist genügt es, die „KeePass.exe“-Datei zu ersetzen:

Das aktuelle KeePass2-Portable-Archiv herunterladen und daraus die „KeePass.exe“ nach „/usr/lib/keepass2/“ entpacken.

Quelle:

LinuxMintUsers.de – Linux mint 18.3 cinamon keepass mit Firefox

Ebenso wie bei Securepoint UTMs kann man die Benutzeranmeldung für OpenVPN (SSL-VPN) bei pfSense nicht nur über eine lokale Benutzerdatenbank sondern zusätzlich (oder alternativ) über RADIUS oder LDAP bzw. Active Directory realisieren. Dies spart im Regelfall die mehrfache Verwaltung von Benutzerkonten. Nachfolgend geht es um die Active Directory-Anbindung auf Basis von Windows Server 2019 Standard und pfSense 2.4.4-RELEASE-p2.

Active Directory vorbereiten

Im AD sollte eine Benutzergruppe für die VPN-Benutzer angelegt sein. Für das Auslesen der AD-Benutzer durch den OpenVPN-Server der pfSense sollte ein eigener einfacher Benutzer angelegt sein. Im Beispiel sieht die Struktur so aus:

In diesem Beispiel (nicht im Bild zu sehen) gibt es eine Benutzergruppe „VPN-Benutzer“ die wiederum die AD-Benutzer, die OpenVPN verwenden dürfen enthält.

Folgende IP-Adressen werden verwendet:

• 192.168.1.1 – pfSense als Firewall-Router und OpenVPN-Server
• 192.168.1.2 – SRV01 (Windows Server 2019 Standard, Domänencontroller)

Damit man leichter für die spätere Konfiguration an den „Distinguished Name“ (DN) gelangt, sollte in der „Active Directory-Benutzer und -Computer“-Verwaltungskonsole unter „Ansicht – Erweitere Features“ aktiviert sein:

Beispielsweise in den Eigenschaften des „pfsense“-Benutzers kann nun auf der Registerkarte „Attribut-Editor“ der DN ausgelesen und kopiert werden:

OpenVPN-Server mit AD-Anbindung anlegen

Zu Beginn unter „VPN – OpenVPN – Wizards“ auf „+ Add“ klicken und anschließend bei „Type of Server“ „LDAP“ auswählen:

Im nächsten Schritt müssen diverse Angaben gemacht werden (im Bild gelb markiert):

Bemerkung: Beim CN kann sowohl Semikolon als auch Kommata verwendet werden.

Tipp: Es können mehrere LDAP-/AD-/RADIUS-Server als auch die lokale Benutzerdatenbank für die Authentifizierung verwendet werden. Zu diesem Zweck nach dem Durchlaufen des Assistenten manuell die weiteren Server unter

System - User Manager - Authentication Servers

hinzufügen und anschließend den OpenVPN-Server editieren und die zusätzlichen Server als auch ggf. die lokale Benutzerdatenbank bei „Backend for authentication“ auswählen (Stichwort: Mehrfachauswahl).

Nach dem Klick auf „>> Add new Server“ wird die CA für den neuen OpenVPN-Server erstellt:

Der darauffolgende Dialog ist sehr ähnlich, allerdings wird an dieser Stelle das Zertifikat für den neuen OpenVPN-Server erstellt (kein Bild). Über die entsprechende Benennung im „Descriptive name“ sollte man diese beiden unterscheiden (nicht im Bildzu sehen), z.B. so:

• OpenVPN-Roadwarrior-CA
• OpenVPN-Roadwarrior-Server

Als nächstes folgt die eigentliche Einrichtung des OpenVPN-Servers. Man gibt eine „Discription“ ein und kann die restlichen Voreinstellungen zunächst belassen. Relevant ist die Konfiguration der „Tunnel Settings“. Es muss mindestens das virtuelle VPN-Netz als auch das lokale LAN eingetragen werden:

Abschließend können automatisch einfache Regeln zum Zulassen des eingehenden VPN-Verkehrs auf der WAN-Schnittstelle als auch eine „any-rule“ für die VPN-Daten angelegt werden. Für den Anfang bzw. den ersten Test kann man diese nutzen. Später sollten die Regeln durch ein granulareres Regelwerk ersetzt werden.

Der durch den Assistent wie oben angelegte OpenVPN-Server authentifiziert die Benutzer nur anhand ihres Benutzersnamens samt Kennwort über das Active Directory. Möchte man zusätzlich noch Benutzerzertifikate verwenden, so muss die Konfiguration entsprechend angepasst werden (in diesem Beitrag nicht beschrieben).

Anmeldung via OpenVPN-Client

Als Benutzername muss im OpenVPN-Client nur der Teil vor der Domäne (also vor dem @-Zeichen) angegeben werden:

Nur "<Benutzername>" statt "<Benutzername>@<Domain.tld>" oder "<Domain>\<Benutzername>

Als Kennwort wird schlicht das AD-Benutzerkennwort verwendet.

Optional: DNS via VPN

Für Mitglieder der Active Directory-Domäne ist DNS zum Auffinden von Ressourcen, der Anmeldung und weiteres essentiell, daher ist es mehr als sinnvoll die Namensauflösung über das VPN zu konfigurieren. Dazu unter

VPN -  OpenVPN - Servers - <Name>

die Konfiguraqtion des OpenVPN-Servers editieren. Im Abschnitt „Advanced Client Settings“ mindestens folgende Einstellungen konfigurieren:

Die Option „Force DNS cache update“ sollte auf jeden Fall, sofern Windows zum Einsatz kommt, gesetzt sein damit die Änderungen erfolgreich übernommen werden und ggf. nicht alte Einträge zu Problemen führen. Speziell für Windows 10-Clients kann die Option „Block Outside DNS“ hilfreich sein, mitunter funktioniert es aber auch ohne. Beide Optionen sollten vor getestet werden.

Optional: Client Export Utility

Damit man einfach an die notwendinge VPN-Client-Konfiguration gelangt empfiehlt sich die Installation des Client Export Utilities:

Unter „System – Package Manager – Available Packages“ nach „openvpn-client-export“ suchen und dieses installieren. Anschließend kann unter „VPN – OpenVPN – Client Export“ ein ZIP-Archiv heruntergeladen werden.

Optional: Client-spezifische Konfiguration und Regeln

Um beispielsweise bestimmten VPN-Benutzern eine feste IP-Adresse zu vergeben, damit man wiederum spezifische Firewall-Regeln auf diese anwenden kann, wird auf die „Client Specific Overrides“ zurückgefriffen. Diese werden unter

VPN - OpenVPN - Client Specific Overrides

angelegt. Für eine feste IP-Adresse auf Basis des Benutzernamens müssen folgende Einstellungen gesetzt werden:

Vorsicht Falle 1: Damit die Änderung greift, muss der OpenVPN-Server neu gestartet werden. Am einfachstens geht dies unter

Status - OpenVPN

Vorsicht Falle 2: Leider ist der „Common Name“, in diesem Fall also der „Username“, case sensitive! Faktisch ist es allerdings so, das vom AD sowohl Groß- als auch Kleinschreibung für den Benutzernamen akzeptiert wird, d.h. die Anmeldung gelingt in jedem Fall. Die Client-spezifische Einstellung wird allerdings nicht unbedingt übernommen. Seitens pfSense/OpenVPN gibt es kein Konzept dies abzufangen!

Optional: Administrator-Anmeldung an der pfSense via LDAP/AD

Möchte man z.B. die im Active Directory angelegten Administratoren für die lokale Anmeldung an der pfSense Web-Oberfläche verwenden, so ist dies ebenfalls möglich.

Eine gute Anleitung (ungetestet) findet man unter

Vorkbaard uit de toekomst – Log in to PfSense based on Active Directory group membership

Bedenken sollte man allerdings, das man sich ggf. Aussperrt wenn der Domänencontroller nicht erreicht werden kann, so sollte mindestens ein lokales Administrator-Konto für den Notfall auf jeden Fall belassen werden!

Troubleshooting

Trotz der Voreinstellung oder Angabe bei „Transport“ von „TCP – Standard“ konfiguriert der OpenVPN-Assistent die AD-/LDAP-Anbindung für LDAPS, also LDAP verschlüsselt via SSL/TLS. Dadurch scheitert die Anbindung an LDAP und in Folge die Anmeldung via OpenVPN. Schnelle Abhilfe kann unter

System - User Manager - Authentication Servers - <Name>

geschaffen werden, in dem man explizit bei „Transport“ „TCP – Standard“ auswählt:
Stellt man einen zuvor (via Assistent) angelegten OpenVPN-Server auf LDAP-/AD-Anbindung um und verwendet keine Client-Zertifikate, muss der „Server mode “ noch von „Remote Access (SSL/TLS + User Auth)“ auf „Remote Access (User-Auth)“ geändert werden!

Securepoint und LDAP/AD-Anbindung

Der Vollständigkeit halber bzw. zum Vergleich anbei die Links zu den Anleitungen bei Securepoint für deren Implementierung in den UTMs:

Andy’s Blog – Securepoint OS v11 – SSL-VPN mit Active Directory-Anbindung

Securepoint – Wiki – UTM – AD-Anbindung v11.5

Securepoint – Wiki – UTM – AD-Anbindung v11.7

Securepoint – Wiki – UTM – AD/LDAP-Anbindung

Quellen:

Vorkbaard uit de toekomst – Set up OpenVPN on PfSense with user certificates and Active Directory authentication (enthält eine Anleitung zur Verwendung von RADIUS)

nguvu – pfSense remote access via OpenVPN (DNS über OpenVPN)

Für eine Xibo CMS-Testumgebung auf einem Windows 10-PC sollte eine automatische Datensicherung der notwendigen Docker-Container erfolgen. Mit einer handvoll Docker-Befehlen und einem kleinen Skript eine lösbare Aufgabe.

Anbei ein Beispiel:

@echo off

rem In den Arbeitsordner wechseln

 D:
 cd D:\XiboDockerBackup

rem Backup-Versionen festlegen

 set NumberOfVersionsToKeep=7

rem Version auslesen und inkrementieren

 set /p Version=< Version.txt
 set Version=%Version: =%

 set /A Version=Version %% NumberOfVersionsToKeep + 1
 echo %Version% > Version.txt

rem Docker-Backup erstellen

 docker commit -p <ID> backup-xibo-cms
 docker commit -p <ID> backup-xibo-mysql
 docker commit -p <ID> backup-xibo-xmr

rem Docker Backup extern speichern

 docker save -o backup-xibo-cms-%Version%.tar backup-xibo-cms
 docker save -o backup-xibo-mysql-%Version%.tar backup-xibo-mysql
 docker save -o backup-xibo-xmr-%Version%.tar backup-xibo-xmr

rem Nicht benötigte Docker Images entfernen

 docker image prune --force

Das Skript ansich muss nur mit den nötigen Containern „gefüttert“ werden, folglich ist es mit minimalen bzw. simplen Anpassungen für anderen Docker-Container nutzbar. Als Aufgabe eingerichtet verrichtet es seinen Dienst automatisch.

Tipp: Wer Speicherplatz sparen möchte, kann die tar-Dateien noch z.B. mit 7-Zip packen und die Originale entfernen lassen. Dazu einfach folgende Zeilen an das Skript anfügen:

rem Datensicherung mit 7-Zip packen

 set SevenZipPath=C:\Program Files\7-Zip

rem Voriges/Altes Archiv entfernen

 del /s backup-xibo-cms-%Version%.7z

rem Aktuelle Datensicherung packen und bei Erfolg die Quelldateien entfernen

 "%SevenZipPath%\7z.exe" a backup-xibo-cms-%Version%.7z backup-xibo-*-%Version%.tar -sdel

Quelle:

bobcares – Docker backup – Easy steps to backup and restore your containers

Da wunderte ich mich schon etwas, als nach der Anmeldung im Webclient unserer 3CX die Teilnehmer-Liste leer war und trotz aller Versuche auch erstmal so blieb.

Eigentlich wollte ich nur etwas ausprobieren, aufgrund des genannten Umstands artete die angedachte Kleinigkeit dann etwas aus. Zunächst wurden Einstellungen und Rechte sowie Gruppenmitgliedschaften überprüft, alles ok, alles.

Beim Vergleich mit einer wenigen Tage zuvor aufgesetzten Kunden-eigenen 3CX zeigten sich keine Unterschiede, dennoch wollten die Nebenstellen unter Teilnehmer nicht erscheinen.

Sogar das Changelog zur v16 und dem zu diesem Zeitpunkt noch kommenden Update 1 wurden nach Anhaltspunkten durchforstet. Alles vergebens.

Hilfesuchend wandte ich mich ans Forum (Link). Da kam von Ilias erstmal die eigentlich bereits geklärten bzw. geprüften Fragen/Hinweise zu den Rechten etc. auf. Wie so oft, wenn man eine Nacht über etwas geschlafen hat, kam mir dann der Gedanke, das möglicherweise trotz augenscheinlich aller korrekt gesetzter Rechte und Gruppenmitgliedschaften hinter den Kulissen irgend etwas nicht nicht verarbeitet, vererbt, gesetzt wird.

Jedenfalls bestand die Lösung darin, die betroffenen Nebenstellen noch mal aus den Gruppen heraus zu nehmen und erneut hinzuzufügen und siehe da, die Teilnehmer-Liste im Webclient ist gefüllt.

Kurios war, das im 3CX Phone für Windows und in der Android-App die Teilnehmer, BLF, Stati, etc. sichtbar waren. Zu den Mac- und iOS-Versionen kann ich mangels Geräte nichts sagen, wird aber vmtl. genauso gewesen sein.

Kurz notiert: Quasi als Ableitung von den Drive Snapshot-Skripten kann man mit wenig Aufwand in Batch-Skripten neben dem Tag ebenso einfach das aktuelle Jahr und/oder den Monat verwenden.

Anbei mal zwei Code-Schnipsel:

rem Das aktuelle Jahr ermitteln

 for /f %%g in ('wmic path win32_localtime get year^|findstr /v /r "^$"') do (set Year=%%g)

rem Den aktuellen Monat ermitteln

for /f %%g in ('wmic path win32_localtime get month^|findstr /v /r "^$"') do (set Month=%%g)

 if %Month%==1 set Month=01 Januar&& goto next
 if %Month%==2 set Month=02 Februar&& goto next
 if %Month%==3 set Month=03 Maerz&& goto next
 if %Month%==4 set Month=04 April&& goto next
 if %Month%==5 set Month=05 Mai&& goto next
 if %Month%==6 set Month=06 Juni&& goto next
 if %Month%==7 set Month=07 Juli&& goto next
 if %Month%==8 set Month=08 August&& goto next
 if %Month%==9 set Month=09 September&& goto next
 if %Month%==10 set Month=10 Oktober&& goto next
 if %Month%==11 set Month=11 November&& goto next
 if %Month%==12 set Month=12 Dezember&& goto next