OpenVPN Client Installation

Die OpenVPN Installation auf Windows, macOS und Linux

VPN (Virtual Privat Network) erfreut sich einer immer breiteren Nutzung. OpenVPN ist eine freie Anwendung zum Aufbau eines Virtuellen Privaten Netzwerkes über eine verschlüsselte TLS-Verbindung. Der vermehrt beliebte OpenVPN Client ermöglicht VPN Verbindungen, um beispielsweise bei arbeiten im Home-Office, oder mit einer Privat Cloud von überall auf seine Daten zugreifen zu können. In diesem Beitrag wird die Client Bereitstellung und der Einsatz von OpenVPN gezeigt. OpenVPN ist kostenlos für zahlreiche Betriebssysteme verfügbar, neben Windows gibt es ein Client für macOS, wowie für iOS, Linux und Android Geräte.

So wird’s gemacht

Inhalt

OpenVPN Client Windows Installation

OpenVPN für Windows kann von der Community Webseite hier heruntergeladen werden, bei Windows 10 wird mit Doppelklick auf OpenVPN-2.5.0-I601-amd64.msi das Setup gestartet.

OpenVPN Setup choose Customize Installation

Mit Customize geht es durch den Setup-Assistenten für die angepasste Installation, da wir nur die Client Komponenten benötigen, selektieren wir die Auswahl.

OpenVPN Setup Feature Selection

Mit Install Now und anschliessendem klick auf OK bei der Windows Kontensteuerung die Installation starten.

Der komplette OpenVPN Setup Ablauf wie folgt.

OpenVPN für Windows Setup

Mit Close den Setup-Assistent abschliessen und OpenVPN starten.

OpenVPN Logo

OpenVPN starten

openvpn_systry

Ein Blick in die Taskleiste zeigt nun das OpenVPN Symbol openvpn symbol

OVPN Datei beim Client importieren

Der OpenVPN Access Server gibt es für Windows, Linux und FreeBSD, dazu gibt es in zunehmender Anzahl Geräte die als OpenVPN Server genutzt werden, wie solche auf pfSense und OPNsense oder OpenWrt, von kommerziellen Hersteller wie Sophos vormals Astaro oder Synology NAS und weitere mehr.

Die zuvor beim VPN Server oder Router exportierte Datei mit der Konfiguration für den Client, wie beispielsweise openvpn.zip wird entpackt, es werden für gewöhnlich die Dateien ca.crt, README.txt und VPNConfig.ovpn extrahiert.

  Die Konfigurationsdatei hier in diesem Beispiel VPNConfig.ovpn kann ein anderen Dateiname haben.

Die Datei VPNConfig.ovpn muss in der Regel editiert werden, dazu öffnet man diese in Notepad und ändert bei YOUR_SERVER_IP mit der Public IP Adresse des VPN Routers, oder der Firewall auf dieser das NAT mapping zum VPN terminierenden Gateway ist.

OpenVPN Verbindung ovpn-Datei editieren

Nach speichern von VPNConfig.ovpn wird die Konfiguration importiert.

Mit Rechtsklick über dem Icon im Systemtry öffnet sich das Kontextmenü, aus diesem man Datei importieren wählt.

OpenVPN Verbindung ovpn-Datei importieren
Abbildung: OpenVPN Verbindung importieren
Wenn man die Datei VPNConfig.ovpn umbenennt zB. Office-Arbon.ovpn, erscheint im Kontextmenü Verbinden der entsprechende Name als Ziel.

Tip! Wenn man die Datei VPNConfig.ovpn umbenennt zB. Home-Office.ovpn, erscheint im Kontextmenü Verbinden der entsprechende Name als Ziel.

Mit Verbinden aus dem Kontextmenü wird man zur Eingabe von Benutzer und Passwort aufgefordert, es ist dies der Benutzer auf dem VPN Router, oder bei verwendung der LDAP authentifizierung die des Servers. Mit einer Zertifikat Ausstellung für die Verbindung, ist ein Benutzer Login auth-user-pass nicht erforderlich, anstelle kommt remote-cert-tls server zum Einsatz.

OpenVPN Verbindung und Benutzer Anmeldung
Abbildung: OpenVPN Verbindung

Bei erfolgreicher Verbindung erscheint das OpenVPN Symbol grün.

OpenVPN Connect macOS Installation

OpenVPN Connect v3 Client für macOS ist ein vollständiges Installationsprogramm für macOS, nach der Installation kann die ovpn-Datei importiert werden, für eine OpenVPN Connect Verbindung zu einem Access Server. Wenn das heruntergeladene OpenVPN Connect v3 for macOS hier auf einem Mac installiert wird, auf dem OpenVPN Connect v3 bereits installiert und konfiguriert ist, wird auf die neue Version aktualisiert, wobei alle Einstellungen beibehalten werden.

OpenVPN Connect Installer for macOS Catalina
OpenVPN Connect for macOS in Dock
OpenVPN Connect v3 for macOS Installation
Die OVPN-Datei importieren bei macOS Catalina.

OpenVPN Client Linux Installation

Mit der Standard Installation ist OpenVPN in der Regel zusammen mit den Netzwerk-Verbindungstools bereits installiert, in diesem Fall kann man direkt zu OVPN-Konfigurationsdatei importieren gehen. Am einfachsten ist der OpenVPN Client unter Verwendung der Standard Repository bereitzustellen, bei Red Hat basierten Linux Distribution wie Fedora oder CentOS, werden hierfür die folgenden Befehle als root ausgeführt:

Den OpenVPN Client bei Debian und Ubuntu basierten Distributionen wie folgt installieren:

Ausführen des OpenVPN-Clients mit der von VPN Router heruntergeladenen Konfigurationsdatei-ovpn, unter verwendung des Argument -config, um die Konfigurationsdatei zu übergeben:

  Die Konfigurationsdatei in diesem Beispiel VPNConfig.ovpn kann ein anderen Dateiname haben. Wenn man die Datei VPNConfig.ovpn umbenennt zB. Office-Bern.ovpn, erscheint im Kontextmenü Verbinden der entsprechende Name als Ziel.

Ebenfalls kann die Verbindung über ein GUI Client hergestellt werden, hierzu das OpenVPN GUI aus der Shell installieren:

OVPN-Konfigurationsdatei importieren

Nun kann durch ein Klick auf das Netzwerksymbol – VPN Verbindungen – VPN konfigurieren der Verbindungsmanager aufgerufen werden.

OpenVPN Linux und Ubuntu Network Manager
Abbildung: OpenVPN GUI Ubuntu

Mit einem Klick auf HinzufügenGespeicherte VPN-Konfiguration importieren – Erstellt man eine neue VPN Verbindung. Im nächsten Schritt importieren wir die zuvor heruntergeladene Konfigurationsdatei VPNConfig.ovpn. Die Verbindung kann nun aus der Taskleiste gestartet werden.

Bei Linux Mint mit Cinnamon desktop klickt man in der Taskleiste auf das Netzwerk Icon und geht auf Netzwerkeinstellungen.

Linux Mint Cinnamon Connection
Cinnamon Fenster Netzwerkverbindungen

Auf + klicken um eine neue Netzwerkverbindung zu erstellen.

Linux Mint Gespeicherte VPN-Konfiguration importieren

Gespeicherte VPN-Konfiguration importieren aus der Datei VPNConfig.ovpn. Nach eingabe von Benutzer und Passwort kann die gespeicherte Verbindung in der Taskleiste gestartet werden.

ovpn-Datei importieren bei Linux Mint
Die OVPN-Datei importieren über den Network Manger von Linux Mint Cinnamon Desktop.

Linux Mint Automatische Anmeldung deaktivieren

Linux Mint 19.1 bietet bei der Installation die Wahl, den anschließenden Systemstart mit automatischer Anmeldung zu ermöglichen, soll später die Passwort Eingabe wieder hergestellt werden, lässt sich wie auch bei Ubuntu ab Bionic Beaver, die Option in den Einstellungen nicht mehr finden. In diesem Post geht es darum, unter Linux Mint 19.1 Tessa und Linux Mint 20 Ulyana die Benutzeranmeldung mit Passwort Eingabe nachträglich wieder zu aktivieren.

Erforderlich wurde das abschalten der Automatischen Anmeldung, nach der Feststellung das der Email Client Geary, die Kennworte der Konten nicht speicherte, diese mussten nach jedem Neustart erneut wieder eingegeben werden.

Linux Mint mit Email Client Geary

Ab Linux Mint 19.1 Tessa Cinnamon gibt es die Option Automatische Anmeldung in der Systemsteuerung – Anmeldefenster nicht mehr. Dafür kann nun die Einstellung mit dem Texteditor vorgenommen werden, man öffnet mit CTRL + ALT + T ein Terminal, und gibt folgendes Command ein:

und entfernen die Zeilen mit dem Inhalt:

 Als Editor kann man natürlich auch nano oder xed verwenden.

Nach einem Neustart und der Anmeldung mit Passwort Eingabe, wird nun die Schlüsselverwaltung im Hintergrund geöffnet, hierdurch es Geary ermöglicht wird, die Passwörter in der Schlüsselverwaltung seahorse abzuspeichern.

Linux Mint 20 Cinnamon Automatische Anmeldung, das Feld Benutzername muss leer sein
Linux Mint 20 Cinnamon – autologin
Änderung von autologin in lightdm.conf
Linux Mint Terminal: cat /etc/lightdm/lightdm.conf

Eine weitere Lösung die automatische Benutzeranmeldung abzuschalten, sollte durch entfernen des Benutzers im Feld Benutzername im Abschnitt Benutzer in Systemeinstellungen – Anmeldefenster ermöglicht werden.

Linux Mint Automatische Anmeldung, das Feld Benutzername muss leer sein
Anmeldefenster – Benutzer – Automatische Anmeldung – Benutzername leer.

Bei Automatische Anmeldung, das Feld Benutzername muss leer sein.

Docker Container mit Synology DSM

Wie nutzt man Docker mit Synology

Synology ab DSM 6.0 kommt mit der Docker Engine. Zu finden ist die Docker App im Paket-Zentrum mit Eingabe docker im Suchfeld.

Docker ist eine schlanke Virtualisierungsanwendung, Tausende von Container erstellt von Entwickler aus der ganzen Welt, können ausgeführt werden und sind auf dem bekannten Image-Repository, Docker Hub publiziert. Container Images können aus der Synology integrierten Docker App geladen und ausgeführt werden.

  Wenn die Docker App im Paketzentrum nicht erscheint, wird die Synology DSM Version höchstwahrscheinlich nicht unterstützt.

  Aufgrund der Hardware-Anforderungen wird Docker nur für Modelle mit Virtualisierungstechnik (VT-x) angeboten. Die in dieser Anleitung verwendeten Modelle sind RS818RP+, RS4018xs+ und DS218+ auf diesen Docker ausführbar ist.

Wie nutzt man Docker

Mit dem öffnen des Hauptmenu Symbol aus DSM findet sich das Icon für die Docker Engine die jetzt gestartet werden kann.

Synology_DSM_Packet_Center

Docker öffnet den Überblick, hier sind die laufenden Container aufgeführt, die Anwendungen einschließlich zugewiesenem Speicher und CPU-Ressourcen, es ist jetzt noch kein Container gestartet.

Docker_Ueberblick
Abbildung: Synology DSM Docker Ueberblick

Zusätzlich wird hier im folgenden die Docker Befehlszeile erläutert, diese alternativ für die Docker Console.

CLI   Docker Command Running Container auflisten:

Im Abschnitt Registrierung kann nach neuen Images gesucht werden (wie auf der offiziellen Website). Es können auch neue Repositories (zusätzlich zu den offiziellen) unter Einstellungen hinzugefügt werden.

docker_registrierung
Abbildung: Synology DSM Docker Registrierung

CLI   Das original Docker Command ist:

Nachdem ein passendes Image (Abbild) gefunden wurde, in diesem Fall ein kleines Ubuntu 18.04 Dockerized SSH service Image, wird es mit einem Rechtsklick auf das Synology NAS herunterladen, am besten immer latest wählen. Alle Images sind schreibgeschützt und können mehrfach für weitere Container verwenden werden.

Das herunterladen kann einige Minuten in Anspruch nehmen, je nach grösse und download Bandbreite. Der Status beim herunterladen wird mit einem animierten Symbol dargestellt.

CLI   Das Docker Command ist:

Unter Abbild befinden sich die heruntergeladenen Images die auf dem Synology NAS verfügbar sind. Es können neue Container mit dem Assistenten Angedockt, gestartet werden. Hinweis: über das Link Symbol öffnet sich die Docker Hub Seite zum Container mit nützlichen Informationen.

docker_abbild
Abbildung: Synology DSM Docker Abbild

CLI   Das Docker Command ist:

Nun auf Starten gehen um den Assistenten zu öffnen.

synology_docker_container
Abbildung: Synology DSM Docker Container Starten

Auf Weiter um den Assistenten abzuschließen, und mit übernehmen den Container starten.

synology_container_erstellen
Abbildung: Synology DSM Docker erstellen

CLI   Das Docker Command ist:

Der laufende Container ist jetzt im Abschnitt Container zu finden.

Synology_DSM_Docker_Container

CLI   Die vollständige Docker Ausgabe wie folgt:

Zurück in der Docker Übersicht sehen wir nun die Resourcen der gestarteten Container.

synology_docker_overview
Abbildung: Synology DSM Docker Überblick

CLI   Das Docker Command ist:

Nun versuchen wir ein SSH-Terminal zum Container herzustellen. Dazu sehen wir im Abschnitt Container mit klick auf Details, auf welchem Port der SSH-Dienst horcht.

Abbildung: Synology DSM Docker Conatainer
Abbildung: Synology DSM Docker Container

Im Überblick unter Port-Einstellungen finden wir bei Lokaler Port den gesuchten Wert, in diesem Fall ist es der Port 32789, die Port Adresse wird automatisch zugewiesen.

CLI   Ermitteln der Port Adresse

Jetzt können wir PuTTY oder KiTTY öffnen und Verbinden uns mit der IP des Synology NAS und dem Port 32789 zum Container, für CLI   Das Command wie folgt:

kitty_session
Abbildung: KiTTY Session

Anmelden mit root und dem Passwort root.

docker_terminal

Die Docker Engine kann auch aus der Console genutzt werden, sofern das SSH Terminal unter DSM Systemsteuerung – SSH-Dienst aktiviert wurde.

Die in diesem Artikel gezeigte Anwendung von Docker soll als einfaches Beispiel zeigen wie Docker auf einem Synology NAS anwendbar ist, natürlich gibt es nützlichere Container Anwendungen, wie Websever für das Entwickeln von Webanwendungen bis hin zu kompletten Entwicklungsumgebungen, es existieren bereits unzählige Docker Images auf Docker Hub https://hub.docker.com, und weiteren Docker Registraren. Dabei fragt mach sich schon, ob der Aufwand zur Installation seiner Entwicklerumgebung wie Xamp oder LAMP überhaupt noch zweckmäßig ist. An dieser stelle sein noch erwähnt, das alle Daten die im Container gespeichert werden, auf einem persistenten Volumen gespeichert werden müssen, denn mit beenden des Containers gehen sämtliche arbeiten verloren.

Auch gibt es weitere Artikel zur Anwendung von Docker hier in diesem Blog, am besten einfach docker ins Suchfeld oben eingeben.

Windows Blickpunkt Reparieren

Windows Blickpunkt zeigt keine neuen Bilder

Windows Blickpunkt ist eine in Windows 10 enthaltene Funktion, die Bing das automatische Herunterladen von Hintergrundbilder verwendet, damit hat man gelegentlich bei der Anmeldung ein neues Hintergrundbild beim Sperrbildschirm.

Der einzige Nachteil von Microsoft Windows Blickpunkt besteht darin, dass es manchmal nicht mehr funktioniert, oder man konnte feststellen, dass es auf demselben Bild stehen bleibt. Leider enthält Windows 10 keine Option zum Zurücksetzen dieser Funktion. Es ist jedoch möglich, die Windows Blickpunkt-Einstellungen mit dieser einfachen Problemumgehung zu beheben.

Dazu die Einstellungen öffnen, klicke auf -> Personalisierung und -> Sperrbildschirm, hier Hintergrund auf Bild umstellen.

Die Einstellungen öffnen, klicke auf - Personalisierung und - Sperrbildschirm, hier Hintergrund auf Bild umstellen.

Dann mit Rechtsklick auf Desktop  -> Neu -> Textdokument und den folgenden Inhalt einfügen:

Auf Datei -> Speichern unter, und als Dateiname Blickpunkt.bat Speichern.

Auf Datei - Speichern unter, und als Dateiname Blickpunkt.bat Speichern.

Mit der Maus über der Datei Blickpunkt.bat ein Rechtsklick, es öffnet sich das Kontextmenü, hier als Administrator ausführen wählen.

Nun den Computer neu Starten. Danach wieder die Einstellungen öffnen und unter Personalisierung -> Sperrbildschirm auf Windows-Blickpunkt umstellen.

Sobald diese Schritte ausgeführt sind, kann man den Computer über die Tasten Win + L sperren, jetzt sollte der Sperrbildschirm neue Bing-Bilder anzeigen.

Hinweis: Damit Windows-Blickpunkt funktioniert, muss die Einstellung – Datenschutz – Hintergrund-Apps aktiviert sein.

Damit Windows-Blickpunkt funktioniert, muss die Einstellung - Datenschutz - Hintergrund-Apps aktiviert sein.
Einstellung: Ausführung von Apps im Hintergrund zulassen.
Windows 10 Blickpunkt Reparieren

Bing Hintergrundbilder behalten

Möchte man weiterhin die von Bing heruntergeladenen Hintergrundbilder behalten und als Desktop Hintergrund verwenden, kann man die Bilder in einen Ordner kopieren, dazu öffnet man Ausführen mit drücken der Taste Win + R und fügt folgende Zeile ein, mit klick auf OK ist man im Ordner Assets:

Den Inhalt in einen zuvor erstellten Ordner kopieren, beispielsweise unter:

Die von Bing heruntergeladenen Dateien haben kryptische Namen und bestehen aus Zahlen und Buchstaben (Hexadezimal), diese Dateien werden umbenannt, in dem wir eine Eingabeaufforderung öffnen durch drücken der Taste Win + R und cmd eingeben und mit OK bestätigen, dann im Ordner mit den kopierten Dateien folgenden Befehl ausführen:

Jetzt haben die Dateien .jpg als Endung, und können somit in der Windows-Explorer vorschau betrachtet werden, unter Einstellungen -> Personalisierung -> Hintergrund lassen sich nun diese Bilder aus dem Ordner Hintergrundbilder wählen, oder als Diashow automatisch anzeigen lassen.

Eine weitere Anleitung gibt es hier in diesem Blog unter dem Titel „Windows 10 Hintegrundbilder“, mit einem Script zur extraktion der Bing Bilder.

Nagios Monitoring mit Raspberry Pi

Nagios Installation auf Raspberry Pi

Nagios Open Source Monitoring für die Überwachung komplexer IT-Infrastrukturen.

Nagios besteht aus einer Sammlung von Modulen zur Überwachung von Netzwerken, von Hosts und deren spezifischen Diensten, sowie ein Webinterface um Abfragen der gesammelten Daten darzustellen. Nagios steht unter der GNU GPL, ist also freie Software und läuft unter zahlreicher Unixoiden Betriebssysteme. Nagios ist wegen seiner großen Verbreitung auch im professionellen Einsatz ein Quasi-Standard geworden.

Nagios-Überwachung mit Raspberry Pi

Raspberry Pi mit seinem lüfterlosen Design, den minimalen Ausmaßen und seinem geringen Stromverbrauch eignet sich der Raspberry Pi als Einplatinen-Computer hervorragend für einen Nagios-Monitoring-Server, der sich sogar selbst überwachen kann.

INSTALLATION

Die Installation von Nagios Core 4 auf dem Raspberry eigenen OS Raspbian, welches auf Debian basiert, ist unspektakulär. Hier in dieser Anleitung wird die Vorgehensweise für ein Raspberry Pi 3 Model B aufgezeigt, auf einer 32 GB microSD Card Typ Class 10, eine 16 GB microSD Card würde ebenfalls genügen.

Raspbian Terminal

SanDisk Ultra SDHC I 16 GB bis zu 80 /Sek, Class 10 Speicherkarte.

Zur Bereitstellung von Raspbian auf einer microSD Card wird hier nicht näher eingegangen. Nach boot eines Raspbian Desktop Image, wird das LXTerminal auf dem Raspbian X-Desktop geöffnet und die root shell gestartet, bei Headless Betrieb kann mit VNCViewer eine VNC Session gestartet werden, mit der Anmeldung als Benutzer pi und dem default Passwort raspberry. Möchte man das Raspbian Minimal Image einsetzen, bietet sich die Authentifizierung über SSH zum Raspberry Pi an.

Raspbian VNCViewer

Nach der Anmeldung als User pi wollen wir root werden.

Zunächst werden alle benötigten Pakete als Voraussetzung aus dem Repository installiert.

Herunterladen und entpacken der Nagios Core 4 Source Pakete. Hier findet man das letzte Release, auf Github steht das Core Release sowie die Agenten und Plugins zur Verfügung.

Compilieren

Erstellen des Benutzer nagios und der Gruppe. Der Apache-Benutzer www-data wird auch der nagios-Gruppe hinzugefügt.

Die Binaries Installieren.

Das Installieren der Service-Daemon-Dateien und das konfigurieren für den Bootvorgang.

Installiert und konfiguriert die externe Befehlsdatei.

Nun werden die * SAMPLE * Konfigurationsdateien installiert. Diese sind erforderlich, da Nagios um zu starten einige Konfigurationsdateien benötigt.

Es werden die Apache-Webserver-Konfigurationsdateien installiert und die Apache-Einstellungen für Nagios konfiguriert.

Es muss Port 80 für den eingehenden Datenverkehr auf der lokalen Firewall zugelassen werden, damit die Webschnittstelle von Nagios Core erreicht werden kann.

Antworte mit ja, um die bestehenden Regeln zu speichern.

Es wird ein Apache-Benutzerkonto erstellt, damit es diesem ermöglicht wird sich bei Nagios anmelden zu können.

Der folgende Befehl erstellt ein Benutzerkonto namens nagiosadmin und es wird ein Passwort für das Konto erstellt, dieses Passwort jetzt sich merken.

Es muss der Apache Webserver neu gestartet werden.

Nun wird Nagios Core gestartet.

Nagios ist jetzt bereit und kann getestet werden.

Es kommt die Aufforderung sich mit Benutzernamen und Passwort anzumelden. Der Benutzername ist nagiosadmin (du hast ihn in einem vorherigen Schritt erstellt) und das Passwort ist das, was du zuvor angegeben hast.

Nach erfolgreicher Anmeldung erscheint die Nagios Core Web-Oberfläche. Herzlichen Glückwunsch, Du hast es geschafft.

Nagios Core ist nun installiert, zum Betrieb werden noch die Nagios Plugins benötigt. Es erscheint die Fehler Meldung: (No output on stdout) stderr: execvp(/usr/local/nagios/libexec/check_load .. das ist normal, in den folgenden Schritten werden die Standard Plugins installiert.

Plugin Installation

Zur Voraussetzung der Installation der Plugins werden folgende Pakete aus dem Repository installiert.

Die Source Pakete herunterladen und entpacken. Auf nagios-plugins.org sind die letzten Plugin Release.

Pakete compilieren und installieren.

Gehe zu einem Host- oder Service Objekt und „Re-schedule the next check“ im Menü Commands. Der Fehler der zuvor erschien, sollte nun verschwinden und die korrekte Ausgabe wird auf dem Bildschirm angezeigt.

Die Daemon Kommandos für start / stop / restart / status.

Nagios Konfiguration

Nachdem nun der Nagios Core Server betriebsbereit ist, geht es an das erstellen der Konfiguration der Host und Services die Überwacht werden sollen. Unter /usr/local/nagios/etc ist die Hauptkonfiguration nagios.cfg, hier werden mit cfg_file die Pfade zu den Konfigurationsdateien definiert, in einer Datei hosts.cfg können die zu überwachenden hosts eingetragen werden.

Soll es mehr strukturiert sein bietet sich die Möglichkeit die Host und Service Konfiguration in die Verzeichnisse printers, routers, servers, switches zu speichern, hierzu wird die Datei nagios.cfg editiert und die Kommentar Zeichen # (hash) entsprechend bei cfg_dir= entfernt.

Es werden die in den Verzeichnissen angelegten .cfg Dateien ausgelesen.

Beispiel für ein Mail und Webserver bei diesem IMAP und HTTPS überprüft wird.

Nach jeder Änderung wird der Nagios Server neu gestartet.

Ein blick in die Nagios-Log Datei kann sich lohnen.

Unter dem Verzeichnis objects findet man weitere Konfigurationsbeispiele für Linux, Windows, Printer Router und Switch.

nagios_check_dns
Beispiel: Nagios Service Konfiguration

Mit Remote Agenten wie NCPA können Active Checks auf Windows und Linux Hosts ausgeführt werden, über NRDP und NRPE sind Passive Checks möglich, die werte über CPU last, Memory Nutzung, Prozesse, User und Disk Nutzung geben.

Nagios Notification

In der Datei nagios.cfg und in der Datei objects/contacts.cfg wird als Email Empfänger bei email hier in diesem Beispiel root@localhost belassen.

In der Datei nagios.cfg bei admin_email.

Für die Nagios Email Notification wird hier Postfix als Mail Transport Agent verwendet. Dies wie folgt installiert und konfiguriert wird.

Während der Installation wird man zur Auswahl einer MailServer Konfiguration gefragt, hier wählen wir Internet Site.

Um das senden von Email später testen zu können, wird das Paket mailutils installiert.

Die Postfix Hauptkonfiguration main.cf wird angepasst.

Bei relayhost wird der MailServer eingetragen dieser von Raspberry Pi erlaubt Emails zu empfangen, ist das Raspberry hinter einer Firewall mit NAT, muss beim MailServer die öffentliche IP Adresse für den Empfang berechtigt werden.

Eine Email Adresse für root einrichten, dazu wird die Datei aliases editiert.

Es wird am ende eine gültige Email Adresse eingetragen, damit Mails von diesem Host zugestellt werden, hier als Beispiel ist es helpdesk@banana.org, der Doppelpunkt bei root: ist zwingend.

Die Änderungen in der Datei aliases müssen noch die Datei aliases.db erzeugen.

Auch die Postfix Konfiguration muss noch eingelesen und aktiviert werden.

jetzt den Email Versand von Raspberry Pi testen, dies lässt sich wie folgt ausführen.

Das Email sollte nun im Posteingang von helpdesk@banana.org ankommen sein.

Hier kann auch das Email Log-Protokoll weiter Aufschluss geben.

Gibt der Sendeversuch den status=bounced zurück, ist der Empfang auf dem Mailer noch nicht berechtigt. Bei Exchange muss die IP Adresse des Raspberry Pi beim Empfangsconnector im FrontendTransport unter Bereichsdefinition bei E-Mail von Servern mit diesen Remote-IP-Adressen empfangen, eingetragen sein. Für Postfix muss in main.cf eine smtpd_client_restrictions direktive existieren.

Die Datei client_access beinhaltet die IP Adresse des Raspberry Pi.

Die Postfix Datenbank muss noch generiert werden.

Werden die SMTP Anfragen vom Mailer akzeptiert, kann der Queue Prozess und die Zustellung erfolgen.

 

Windows Server 2012 NTP Konfiguration

Windows Server NTP Network Time

Korrekte Zeitsynchronisation in einer AD Domänenumgebung ist die Voraussetzung für einen stabilen Betrieb, Dieser Artikel beschreibt wie NTP (w32tm) auf einem Windows Server 2012 (FSMO) konfiguriert wird. In der Regel ist der PDC-Betriebsmaster in einer Gesamtstruktur der NTP-Dienst Server. Es wird ein PDC-Emulator in einer Domäne mit einer externen Zeitquelle synchronisiert. Damit ein Domänencontroller als zuverlässige Zeitquelle (reliable time source) angesehen wird, muss dies explizit festgelegt werden.

Um den PDC-Emulator zu einer zuverlässigen Zeitquelle zu erklären, die regelmässig mit im Internet stehenden Zeitservern synchronisiert, werden folgende Befehle aus der PowerShell als Administrator ausgeführt:

Anzeigen welcher Zeitserver aktuell verwendet wird.

Die Zeitsynchronisation unmittelbar ausführen.

Die Clients und Server in der Domänen-Gesamtstruktur sowie Shared Storages können nun die Zeit mit dem PDC-Emulator synchronisieren.

Die Firewall muss den UDP-Port 123 eingehend, b.z.w. ausgehend zulassen.

Die NTP Konfiguration kann auch über GPO gemacht werden, hierzu gpmc.msc aufrufen.

Gruppenrichtlinienverwaltung
Computerkonfiguration/Administrative Vorlagen/System/Windows-Zeitdienst/Zeitanbieter

Gruppenrichtlinienverwaltung
Gruppenrichtlinienverwaltung

Folgender Test Zeigt ein Diagramm des Offsets zwischen synchronisierenden Computern an.

W32tm stripchart
W32tm stripchart

Die Konfiguration kann auch in der Registry überprüft werden.

w32tm_registry
HKLM\SYSTEM\CurrentControlSet\Services\W32Time\Parameters

Lizenzschluessel zu vSphere Hypervisor ESXi

vSphere Hypervisor Lizenzschlüssel für ESXi Trial und Free Registration und Download

vSphere Hypervisor ESXi 7.0 ist nach der Installation 60 Tage lang gültig, möchte man den Hypervisor ohne Enterprise Features nach 60 Tage weiter nutzen, beispielsweise für Evaluation und Test im Lab, kann man ein freien Lizenzschlüssel registrieren, diesen man in vSphere hinzufügt, unter Verwaltung – Lizenzierung – Lizenz zuweisen.

vSphere ESXi Hypervisor Verwaltung Lizenz zuweisen
vSphere ESXi Hypervisor

Ein neuen Lizenzschlüssel kann man bei VMware Communities hier registrieren, für die zeitlich unlimitierte Nutzung, dazu wird erforderlich, sich mit gültiger E-Mail über den Link Register mit Sign up now zu registrieren.

vmware customer connect sign-up

Mit Sign Up gelangt man zum Register Anmeldeformular.

  Es wurde hier ein neuer Account erstellt, mit einem bestehenden Account war die Produkte Registrierung nicht möglich, falls ein bereits bestehender VMware Account im Browser unter gespeicherte Zugangsdaten vorliegt, müssen möglicherweise Cookies und der Cache gelöscht werden, um dann den Browser erneut zu öffnen, damit die Anmeldung mit einem neuen Account gelingt.

VMware registration customer connect, complete this registration form

Nachdem das Registrationsformular ausgefüllt und mit Eingabe des Captcha Code abgesendet wurde, wird eine E-Mail zugestellt, in der geöffneten E-Mail den Link Button Activate Now klicken, um die Registrierung zu bestätigen und abzuschliessen.

E-Mail Activate Now your account

Nach Klick auf Activate Now öffnet sich die Seite, wo man sich bei VMware mit dem neuen Konto nun anmelden kann.

VMware Registration Complete Activation

Nun geht man zu Products and Accounts und Trial and Free Solutions.

VMware Products and Accounts und Trial and Free Solutions

und navigiert zu Downloads und Free Products Trials & Demos – vSphere

VMware Downloads Free Products Trials & Demos - vSphere

Nach der Produktauswahl muss dieses erneut registriert werden.

VMware vSphere Hypervisor Download Center Lizenzierung Registrieren

Mit Klick auf den Button Registrieren öffnet sich das Formular mit der Anwenderlizenzvereinbarung.

Anwenderlizenzvereinbarung-akzeptieren

Mit dem Ausfüllen und Anmelden wird die Seite VMware vSphere Hypervisor 7.0 Download Center mit den Lizenzinformationen geöffnet.

VMware vSphere Hypervisor Download Center Lizenzschlüssel

Der VMware vSphere Product Key nun im Abschnitt Lizenzinformationen Komponente in der Spalte LIZENZSCHLÜSSEL. Mit dem Button Manueller Download wird das ESXi ISO Image heruntergeladen.

Network Time Protocol Linux Installation

Linux Systemzeit Synchronisation mit Network Time Protocol (NTP)

Network Time Protocol – NTP Synchronisation der Systemzeit mit der Atomzeit der NTP-Server. Dieser Beitrag zeigt die NTP-Service Bereitstellung und Konfiguration in der Linux Befehlszeile. Eine korrekte Systemzeit ist für Computersysteme essentiell und schafft überhaupt die Voraussetzung für ein reibungslosen Beitrieb der interagierenden Dienste. Zur Überprüfung und ändern der Systemzeit dienen folgende Befehlszeilentools.

Zur Abfrage der aktuellen Systemzeit mit date und timedatectl:

Der Zeitabgleich auf einem Server wird von einem NTP-Daemon ausgeführt, mit Synchronisation der Systemzeit für eine ordnungsgemässe Funktion der Systeme. Die Atomzeit kann von NTP-Server im Internet synchronisiert werden, wie zum Beispiel Google Public Network Time Protocol (NTP) time.google.com

Die NTP-Daemon Bereitstellung

Der NTP-Daemon auf Debian Linux basiertem System Installieren:

Der NTP-Daemon auf RHEL/CentOS/Fedora System Installieren:

NTP Pool Server pool.ntp.org versucht den nächstgelegenen verfügbaren Server zu finden. Das Projekt NTP-Pool ist ein dynamischer Pool von Zeitservern. Die NTP Pool Server kann man in /etc/ntp.conf editieren.

Bevor der ntpd-Dienst gestartet werden kann, muss die Systemzeit grob (im Bereich weniger Minuten) eingestellt werden. Das kann manuell mit date oder hier mit timedatectl set-time oder über den NTP Pool mit ntpdate pool.ntp.org gemacht werden.

Nach einigen Minuten kann der Status des Dienstes abgerufen werden. Die Ausgabe des Kommandos ntpq -p sollte in etwa wie folgt aussehen.

Die Abweichungen der aktuellen Systemzeit von den Zeiten der Server im NTP-Pool können mit ntpq abgefragt werden

Der bereitgestellte NTP-Daemon nun ausführen und in systemd für den automatischen start verlinken:

Die systemd-timesyncd Konfiguration

Der Service systemd-timesyncd ist bei vielen Distributionen bereits installliert. Die Konfigurationsdateien steuern die Zeitsynchronisation des NTP-Netzwerks.

Die Network Time Synchronization für den Service systemd-timesyncd beinhaltet die Datei /etc/systemd/timesyncd.conf

Die Konfigurationsdatei timesyncd.conf kann wie folgt sein.

Damit systemd-timesyncd automatisch gestartet wird, aktiviert der Befehl enable den Service entsprechend:

Bei einem systemd-basierten System führt man folgenden Befehl aus, um den Servicestatus zu überprüfen:

Die Ausgabe auf Zeile 7 und 8 bedeutet, dass der Zeitabgleich nicht ausgeführt wird. Mit folgendem Befehl wird die Synchronisation aktiviert:

Der NTP Servicestatus erneut abfragen, nach einigen Sekunden zeigt die Ausgabe System clock synchronized: yes und NTP service: active:

Die Kerberos-Authentifizierung

Die Kerberos-Authentifizierung ist gegenwärtig die Standard-Authentifizierungstechnologie unter Windows, auch Apple macOS, FreeBSD und Linux Systeme nutzen Kerberos-Implementierungen. Bei der Authentifizierung in einer Umgebung mit Kerberos, kommt eine synchrone Systemzeit für interagierende System eine fundamentale Bedeutung zu.

Da Kerberos drei Entitäten für die Authentifizierung verlangt, die Ticket-Autorisierung durch eine dritte Partei, darf die Systemzeit eine bestimmte Drift Limite nicht überschreiten, ein Ticket das durch Kerberos erstellt wird, ist nach einer gewissen Zeit abgelaufen, das Ticket wird ungültig.

Kerberos ist auch für Websites und SSO-Implementierungen plattformübergreifend zum Standard geworden. In Active Directory Domain Services (AD DS), ist bei der Integration von NAS und anderen Geräte, für den Zugriff auf Netzwerkressourcen für eine übereinstimmende Systemzeit zu sorgen. Für die Protokollierung wie Syslog ist die präzise Zeit, der Timestamp für die Auswertung der Ereignisse, und bei der Fehler Analyse bedeutend.

apt install ntp ntpdate -y
Linux Mint 20 Cinnamon: apt install ntp ntpdate

Linux Zeitzone in Console Festlegen

Zeitzone ändern bei RHEL/CentOS und Fedora

Dieser Beitrag zeigt die Abfrage und das festlegen der Zeitzone in der Befehlszeile bei RHEL/CentOS 8 und Fedora 30. Eine korrekte Systemzeit ist für Computersysteme essentiell und schafft überhaupt die Voraussetzung für ein reibungslosen Beitrieb der interagierenden Dienste. Zur Überprüfung und Bearbeitung der Zeitzoneneinstellung dient das Befehlszeilentool timedatectl.

Hier die Zeitzoneneinstellung Abfrage ohne zusätzliche Argumente:

Die Zeitzoneneinstellung ändern und festlegen:

Abfragen der geänderten Zeitzoneneinstellung:

Die verfügbaren Zeitzonen mit folgendem Command ausgeben:

Da es viele Zeitzonen gibt, wird die Abfrage sehr lange, mit grep die Abfrage eingegrenzt: