The approach is you start more than one VM and tell the kernel that they probably will use identically memory segments. Than the kernel scans for them and if one is found, it will be kind of hardlinked and the double memory will be freed – imagine that for a lot of same (eg. WinXP) VMs. But its not only useable for KVM – you can use the syscall wherever you think its applicable and is not already done via a shared library.

More information on KSM can be found at Linux Kernel Newbies.

This was after I changed the motherboard and the CPU. My first thought was ‘Oh no, I’ll have to reinstall it’ – but it went all good.

If you do the things described here you are at your own risk – it could damage your system permanently. If you decide to do it anyway, please use copy & paste to not miss anything.

On notice at first: your motherboard needs to support a normal IDE mode – we just reset the normal IDE drivers so Windows can boot and you can later reinstall some S-ATA drivers.

So lets start, first you need to boot some Linux which is able to write NTFS partitions and has the tools chntpw and cabextract (I had a multiboot with Ubuntu, so it was no problem).

First, lets mount the NTFS partition (we assume its the first partition on the first harddisk):

mkdir /mnt/windows
mount /dev/sda1 /mnt/windows
cd /mnt/windows

Next we need to go to the Driver Cache and extract standard IDE drivers from some cabinet files:

cd `ls | grep -w -i windows`
cd "`ls | grep -w -i "driver cache"`"
cd `ls | grep -w -i i386`

These `ls … | grep …` things are necessary, because the case of the directory name can differ – so we workaround this.

The knowledge base article from Microsoft is a bit outdated, because the get all needed files from driver.cab, but in my case Service Pack 2 was installed and the files were in a slightly different location: sp2.cab.

So to be sure to extract all files (even with Service Pack 3), do the following extractions:

DEST="../../`ls ../../ | grep -w -i system32`"
cabextract -d $DEST -F atapi.sys driver.cab sp2.cab sp3.cab
cabextract -d $DEST -F Intelide.sys driver.cab sp2.cab sp3.cab
cabextract -d $DEST -F Pciide.sys driver.cab sp2.cab sp3.cab
cabextract -d $DEST -F Pciidex.sys driver.cab sp2.cab sp3.cab

Last step is updating the registry. Unfortunately its not possible with chntpw to import reg-Files – but to not enter all registry keys by hand, I wrote a chntpw-script to set the necessary values. You can download it here: chntpw-mergeide script.

To apply it, save the script on your desktop and do the following steps:

cd $DEST
cd `ls | grep -w -i config`
chntpw -u Administrator system < ~/Desktop/mergeide.chntpw

Thats all, you can now unmount the windows partition and reboot. Make sure your BIOS is set to standard IDE emulation.

cd ~
umount /mnt/windows

Links I used:

• KB: ...Stop 0x0000007B error after you move the Windows XP system disk...

Mount the Windows device in Linux and do the following commands (this is for disabling auto-reboot, you can also edit all other registry values!):


cd Windows/System32/Config
chntpw -u Administrator system
> cd ControlSet001\Control\CrashControl
> ed AutoReboot
-> 0
> q
Write hive files? (y/n) [n] : y


Hint: Instead of typing cd ControlSet001 you can also type ls to find out which other control sets exists and you may need to change.

Links I used:

• EE Forum – Prevent Auto Reboot on BSOD from CMD
• Knoppix Hacks

hier nun der letzte Teil. Weil es ja nun doch vorkommen kann, das zum Beispiel ein Mitarbeiter die Firma wechselt, will man auch in der Lage sein, dessen OpenVPN Zugang zu sperren. Wie das geht zeige ich jetzt.

Wieder geht es zuerst mit der Standard-Prozedur los: dem einlesen der Variablen.

cd /etc/openvpn/easy-rsa
source vars

Anschließend wird das Zertifikat invalidiert.

./revoke-full nutzer1
Using configuration from /etc/openvpn/easy-rsa/openssl.cnf
Revoking Certificate 02.
Data Base Updated
Using configuration from /etc/openvpn/easy-rsa/openssl.cnf
basv.crt: /C=DE/ST=Saxony/L=Chemnitz/O=Knuddelbunte Welt Organisation/CN=nutzer1/emailAddress=nutzer1@hi.n.de
error 23 at 0 depth lookup:certificate revoked

Der error 23 am Ende ist vollkommen normal und gewollt, denn er sagt aus das OpenVPN das Zertifikat nach dem Löschen überprüft und als ungültig befunden hat.

Jetzt kopieren wir die neue crl.pem an eine für OpenVPN lesbare Stelle.

cp /etc/openvpn/easy-rsa/keys/crl.pem /etc/openvpn/

Und sagen OpenVPN das es alle aktiven Verbindungen trennen soll. Dies sollte vorher angekündigt sein, da wirklich jede VPN Verbindung gekappt wird.

pkill -SIGHUP openvpn

Ich hoffe die Kurzanleitung konnte helfen OpenVPN aufzusetzen und einzurichten. Für Kommentare, Anregungen und Kritik bin ich natürlich dankbar.

Tschau
Sven

kurz vorm Ende: der 4. Teil. Hier geht es um die Einrichtung der Clients – sowohl Linux als auch Windows.

OpenVPN unter Linux kann jeder über seinen Paketmanager installieren. Für Windows empfehle ich die Version “OpenVPN Package 2.0.9, GUI 1.0.3″ oder neuer.

Vom Server benötigen wir jetzt die folgenden Dateien für den Client:

ca.crt
nutzer1.crt
nutzer1.key

Diese werden – je nach Linux oder Windows – in die folgenden Verzeichnisse kopiert:

• Linux: /etc/openvpn
• Windows: C:\Programme\OpenVPN\Config

Anschließend legen wir im jeweiligen Verzeichnis noch die Konfigurationsdatei an.

• Linux: client.conf
• Windows: client.ovpn

Der Inhalt der Datei lautet folgendermaßen.

client
dev tun
proto udp
remote vpn.hi.de 1194
resolv-retry infinite
nobind
; user nobody - Linux only
; group nogroup - Linux only
persist-key
persist-tun
ca ca.crt
cert nutzer1.crt
key nutzer1.key
ns-cert-type server
comp-lzo
verb 3

Nun noch schnell die auf dem Server erstellen Client-Dateien nutzer1.crt und nutzer1.key löschen und…

…das wars. Jetzt kann man das VPN unter Linux als root mit dem Befehl

cd /etc/openvpn
openvpn client.conf

bzw. unter Windows mit einem Klick auf das Symbol neben der Uhr starten.

Im nächsten und letzten Teil gibts dann noch eine Beschreibung wie man das Zertifikat eines Clients ungültig macht.

Für eine etwas ausführlichere Anleitung empfehle ich entweder die OpenVPN Dokumentation oder den sehr guten Wiki Eintrag: Erzeugen einer PKI mit EasyRSA.

Tschau
Sven

heute nun der 3. Teil der OpenVPN Kurzanleitung: das Anlegen eines Clients.

Zuerst müssen wir wieder die Standard-Variablen initialisieren, falls das Terminal von der Servereinrichtung zwischenzeitlich geschlossen wurde.

cd /etc/openvpn/easy-rsa
source vars

Jetzt gibt es 2 Möglichkeiten. Hier beschreibe ich, wie man ein Zertifikat erstellt bei welchem der Client kein extra Passwort braucht, sondern nur das Zertifikat. Will man zusätzlich noch ein Passwort vergeben, dann nimmt man statt dem Befehl ./build-key den Befehl ./build-key-pass.

./build-key nutzer1
Country Name (2 letter code) [DE]:
State or Province Name (full name) [Saxony]:
Locality Name (eg, city) [Chemnitz]:
Organization Name (eg, company) [Knuddelbunte Welt Organisation]:
Organizational Unit Name (eg, section) []:
Common Name (eg, your name or your server's hostname) [nutzer1]:
Email Address [nutzer1@hi.n.de]:

Please enter the following 'extra' attributes
to be sent with your certificate request
A challenge password []:abcd
An optional company name []:
Using configuration from /etc/openvpn/easy-rsa/openssl.cnf
Check that the request matches the signature
Signature ok
The Subject's Distinguished Name is as follows
countryName RINTABLE:'DE'
stateOrProvinceName RINTABLE:'Saxony'
localityName RINTABLE:'Chemnitz'
organizationName RINTABLE:'Knuddelbunte Welt Organisation'
commonName RINTABLE:'nutzer1'
emailAddress :IA5STRING:'nutzer1@hi.n.de'
Certificate is to be certified until Sep 20 08:18:53 2018 GMT (3650 days)
Sign the certificate? [y/n]:y

1 out of 1 certificate requests certified, commit? [y/n]y
Write out database with 1 new entries
Data Base Updated

Tschau
Sven

im Teil 2 beschreibe ich, wie man die Zertifikate und Schlüssel für den Server anlegt.

Ausserdem wird gleich der Grundstein gelegt, damit man später auch bereits vergebene Zertifikate zurückziehen kann.

Damit das Rad nicht doppelt erfunden wird, haben die OpenVPN Entwickler die Tool-Sammlung easy-rsa erstellt. Diese kopiert man sich in sein OpenVPN Verzeichnis:

cp -R /usr/share/doc/openvpn/examples/easy-rsa/2.0/ /etc/openvpn/easy-rsa
cd /etc/openvpn/easy-rsa

Anschließend definiert man ein paar Standardwerte in der globalen Konfiguration /etc/openvpn/easy-rsa/vars:

export KEY_COUNTRY="DE"
export KEY_PROVINCE="Saxony"
export KEY_CITY="Chemnitz"
export KEY_ORG="Knuddelbunte Welt Organisation"
export KEY_EMAIL="hier_kommt_die_email@hi.n.de"

Nun lesen wir die Standardwerte ein…

source vars

… und initialisieren die Schlüssel

./clean-all

Jetzt ist es an der Zeit, die Zertifikat Autorität und das Server Zertifikat anzulegen.
Zuerst die Autorität (die vorher festgelegten Standardwerte werden automatisch voreingestellt):

./build-ca
Country Name (2 letter code) [DE]:
State or Province Name (full name) [Saxony]:
Locality Name (eg, city) [Chemnitz]:
Organization Name (eg, company) [Knuddelbunte Welt Organisation]:
Organizational Unit Name (eg, section) []:
Common Name (eg, your name or your server's hostname) [Knuddelbunte Welt Organisation CA]:
Email Address [hier_kommt_die_email@hi.n.de]:

Und dann das Server Zertifikat:

./build-key-server server
Country Name (2 letter code) [DE]:
State or Province Name (full name) [Saxony]:
Locality Name (eg, city) [Chemnitz]:
Organization Name (eg, company) [Knuddelbunte Welt Organisation]:
Organizational Unit Name (eg, section) []:
Common Name (eg, your name or your server's hostname) [server]:
Email Address [hier_kommt_die_email@hi.n.de]:

Please enter the following 'extra' attributes
to be sent with your certificate request
A challenge password []:
An optional company name []:
Using configuration from /etc/openvpn/easy-rsa/openssl.cnf
Check that the request matches the signature
Signature ok
The Subject's Distinguished Name is as follows
countryName RINTABLE:'DE'
stateOrProvinceName RINTABLE:'Saxony'
localityName RINTABLE:'Chemnitz'
organizationName RINTABLE:'Knuddelbunte Welt Organisation'
commonName RINTABLE:'server'
emailAddress :IA5STRING:'hier_kommt_die_email@hi.n.de'
Certificate is to be certified until Sep 20 08:15:58 2018 GMT (3650 days)
Sign the certificate? [y/n]:y


1 out of 1 certificate requests certified, commit? [y/n]y
Write out database with 1 new entries
Data Base Updated


Zum Schluß noch schnell die Diffie Hellmann Parameter generieren…

./build-dh

… und die crl.pem-Datei erstellen, mit der es später möglich ist, vergebene Zertifikate ungültig zu machen.

export KEY_CN=
export KEY_OU=
export KEY_NAME=
openssl ca -gencrl -out /etc/openvpn/crl.pem -config /etc/openvpn/easy-rsa/openssl.cnf

Tschau
Sven

Hallo,

da OpenVPN doch einiges an Einarbeitungszeit erfordert und die nicht jeder hat, bzw. auch nicht an Details interessiert sein wird, stelle ich meine Lösung hier mal als Mehrteiler online.

Falls darin Fehler enthalten sind oder Sicherheitsmängel würde ich mich über einen Kommentar dazu freuen. Vielen Dank.

Diese Anleitung wurde mit OpenVPN 2.1_rc9 erstellt.
Als Windows Client eignet sich die Version “OpenVPN Package 2.0.9, GUI 1.0.3″.

Am schnellsten geht dies, wenn man einfach die Beispielkonfiguration übernimmt (ich gehe davon aus das OpenVPN bereits installiert wurde):

cd /etc/openvpn
cp /usr/share/doc/openvpn/examples/sample-config-files/server.conf.gz .
gunzip server.conf.gz

Dann überprüft man, ob folgende Werte in der Konfiguration (server.conf) gesetzt sind:

port 1194
proto udp
dev tun
ca easy-rsa/keys/ca.crt
cert easy-rsa/keys/server.crt
key easy-rsa/keys/server.key
dh easy-rsa/keys/dh1024.pem
crl-verify crl.pem
server 10.8.0.0 255.255.255.0
ifconfig-pool-persist ipp.txt
push "route 192.168.2.0 255.255.255.0"
keepalive 10 120
comp-lzo
user nobody
group nogroup
persist-key
persist-tun
status openvpn-status.log
verb 3


OpenVPN verwendet damit den IP-Bereich 10.8.0.0/24 und übergibt dem Client eine Route auf den IP-Bereich 192.168.2.0/24, welcher in diesem Falle das lokale Netz darstellt.

Tschau
Sven

wer schonmal im Thunderbird nicht nur das Mailkonto von GMX, sondern auch das von Web.de durchsuchen wollte kennt das Problem. Die Thunderbird Suche (Tastenkombination <Shift+f>) kann nur maximal den Ordner des jeweiligen Mailkontos inklusive dessen Unterordner durchsuchen.

Lösung: Der Artikel Virtuelle Ordner einrichten im Thunderbird Wiki.

Schritt für Schritt geht man dann folgendermaßen vor:

1. Einen Hauptordner auswählen (bspw. Lokale Ordner)
2. Datei > Neu > Virtueller Ordner
3. Name des virtuellen Ordners: “Alle Mails”
4. Erstellen als Unterordner von: “Lokale Ordner”
5. Bei “Diese Ordner durchsuchen” einfach alle Ordner mit einem Häkchen versehen
6. “Kriterien für die Suche dieses virtuellen Ordners”: “Keine Bedingungen”
7. Mit “OK” bestätigen

Jetzt befindet sich unter dem Hauptordner “Lokale Ordner” ein neuer Ordner namens “Alle Mails”. Wählt man diesen an, so sieht man alle Mails in einer Übersicht. In diesen kann man dann mit dem Suchfeld rechts oben durchsuchen. Die Erweiterte Suche <Shift+f> zeigt diesen Ordner leider nicht an.

Man kann sich jetzt natürlich noch weitere virtuelle Ordner anlegen. Zum Beispiel kann man sich alle Mails anzeigen lassen die schon über 14 Tage alt sind. Dazu nutzt man dann das Bedingungsfeld für den virtuellen Ordner und wählt die Bedingung:

Alter in Tagen – ist größer als – 14

Tschau
Sven

today I had a strange happening. I installed Windows XP on a Dell XPS M1530 and after entering the Windows key, keyboard and mouse refused to work.

Luckily I had an usb keyboard/mouse combo from Logitech around which worked but did not reenable the builtin input devices during the installation.

Bye,
Sven