WireGuard auf MikroTik hAP Lite einrichten

Network, , ,

Am Wochenende widmete ich mich einem neuen Vorhaben: Für ein entferntes Netz einen Router einrichten, welcher folgende Funktionen kombiniert:

  • AP (Access Point)
  • VPN-Gateway (am besten WireGuard-basiert)
  • Switch (1 Uplink, 2 Downlinks, 1 Management-Port)

Um das VPN-Gateway in meine bestehende WireGuard-Infrastruktur einzubinden, waren ein paar Kniffe nötig. Das liegt in erster Linie daran, dass das durchaus umfassende MikroTik-Interface von RouterOS 7 für Verwirrung sorgen kann wenn es um Public-Keys, Private-Keys und WireGuard-Interfaces vs. WireGuard-Peers geht.

WireGuard auf MikroTik hAP Lite einrichten weiterlesen

Fehlerbehebung TPM 2.0: cannot load key – value is out of range or is not correct for the context

Linux, ,

Spielt man mit TPM 2.0 im Zusammenhang mit OpenSSL, stößt man heutzutage unweigerlich auf folgenden Fehler:

error:4000000C:tpm2::cannot load key::-1:708 tpm:parameter(2):value is out of range or is not correct for the context

Das liegt daran, dass an mindestens einer Stelle der Zertifikatskette ein Schlüssel mit einer Länge von mehr als 2048 Bit genutzt wird. Meistens 4096 oder auch 3072. Das von der Trusted Computing Group festgelegte Minimum welches unterstützt werden muss, ist 2048. Sobald man TPM als „Provider“ für OpenSSL nutzt werden jegliche Verifizierungen über das TPM-Modul abgehandelt. Unterstützt dieses nur 2048 muss die gesamte Verifizierungskette auf diesen gemeinsamen Nenner gebracht werden.

Ein Test für das eigene TPM-Modul:

$ tpm2_testparms rsa4096
ERROR: Unsupported algorithm specification
ERROR: Unable to run tpm2_testparms
$ tpm2_testparms rsa3072
ERROR: Unsupported algorithm specification
ERROR: Unable to run tpm2_testparms
$  tpm2_testparms rsa2048
$

Im Beispiel: Nur 2048 Bit erlaubt.

Quellen:

https://stackoverflow.com/questions/78200082/tpm-2-0-based-tls-handshake-fails-against-rsa-4k-server-keys-out-of-range

https://community.infineon.com/t5/OPTIGA-TPM/Issue-with-TLS-Handshake-Using-TPM2-and-Level-3-CA-Chain/td-p/1054292#.

Graphisoft License Manager Tool startet nach Update nicht

Windows, , ,

Wenn Graphisoft’s License Manager Tool nach einem Update nicht mehr startet, weder über die Kommandozeile noch über den einfachen Klick, hilft meiner Erfahrung nach eine komplette Deinstallation und Reinstallation.

Das ist auch kein Problem, denn die bestehnden Lizenzen bleiben weiterhin verfügbar.

Die offizielle Dokumentation erklärt zwar im folgenden Artikel, dass man bei Verbindungsproblemen ähnlch verfahren soll, weist aber nicht explizit auch auf die Möglichkeit hin, dass das License Manager Tool durch ein simples Update manchmal so verändert werden kann, dass ein Start der Anwendung schlicht nicht mehr möglich ist.

https://support.graphisoft.com/hc/de/articles/40152035116305-Verbindungsprobleme-mit-dem-License-Manager-Tool

Vorsicht mit CRLF/LF in beim Generieren von Alpine-ISOs mittels mkimg.sh

Linux, , ,

Kürzlich habe ich mich mit Alpine Linux und der Erstellung eigener ISOs befasst. Dabei stieß ich aufgrund meines Workflows, oder vielmehr aufgrund meines Texteditors auf ein kurioses Problem: DOS vs. Unix Zeilenenden.

Nach Bearbeitung einer sh-Textdatei im GitLab Single-File Editor erschien mir beim ISO-Generator „mkimg.sh“ von Alpine folgende Fehlermeldung:

: not foundpts/mkimage.sh: aports/scripts/mkimg.profil.sh: line 2: profile_standard

Das Kommando zum generieren des ISO war dabei recht nornal und auch das Skript wurde bis auf eine minimale Änderung nicht angepasst.

/ # sh aports/scripts/mkimage.sh --tag alpha --outdir /media/sda1/iso --arch x86_64 --repository https://dl-cdn.alpinelinux.org/alpine/v3.22/main --repository https://dl-cdn.alpinelinux.o
rg/alpine/v3.22/community --profile profil

Es dauerte eine Weile, bis ich realisierte, dass der GitLab Single-File Editor die Zeilenenden oder Line-Endings von LF (Unix) auf CRLF (DOS) änderte und das zur fehlerhaften Ausführung meines sh-Skripts führte.

Mit der GitLab Web-IDE, einem beliebigen anderen Editor oder dem dos2unix-Tool ließ sich das Skript wieder zurückwandeln und funktionierte auf Anhieb einwandfrei.

paperless-ngx: Verschlüsselung at rest einrichten

Linux, paperless-ngx, ,

Seit Version 0.90 gibt es in paperless-ngx keine eingebaute Verschlüsselungsfunktion mehr. Das wurde damit begründet, dass diese Verschlüsselung zwar davor schützt, dass z. B. durch File-Carving wiederherzustellende Datenteile geschützt würden, jedoch die Verschlüsselung nicht vor Diebstahl des Mediums schütze, da die Verschlüsselungsschlüssel weiterhin lesbar vorlägen.

paperless-ngx: Verschlüsselung at rest einrichten weiterlesen

paperless-ngx: Automatische Backups von Docker Volumes und Mounts via Duplicity einrichten

Linux, paperless-ngx, , , ,

In einem anderen Artikel habe ich behandelt, wie einfache Sicherungen von paperless-ngx als Verzeichnisstruktur oder als ZIP-Datei angelegt werden können. Das ist dann praktisch, wenn man einen manuellen Export und Import plant oder die Sicherungen nicht sehr regelmäig braucht (wobei auch da eine Automatisierung möglich ist!).

paperless-ngx: Automatische Backups von Docker Volumes und Mounts via Duplicity einrichten weiterlesen