#!/coding/blatt
Sammelsurium mit Schwerpunkten Linux & IT-Sicherheit

OpenWrt: Logs via syslog im RFC5424-Format an Grafana Alloy und Loki senden

Um die Logs meines OpenWrt-Routers auszuwerten, sende ich die Log-Einträge mittels syslog an Grafana Alloy. Alloy verarbeitet diese und sendet sie weiter an Grafana Loki, um sie dann mittels Grafana auszuwerten. Standardmäßig sendet OpenWrt die Log-Einträge anscheinend aber nur im RFC3164-Format. Für die Verarbeitung mit Alloy wollte ich diese aber im RFC5424-Format haben. Um das zu erreichen, kann man bspw. syslog-ng verwenden. Für OpenWrt gibt es ein entsprechendes Paket im offiziellen OpenWrt-Repository. Da ich auf meinem Homelab-Server aber syslog-ng sowieso bereits laufen habe, wollte ich es nicht unnötig auf meinem OpenWrt-Router installieren. Deshalb sende ich nun einfach die OpenWrt RFC3164-Log-Einträge an syslog-ng meines Homelab-Servers, der sie dann im RFC5424-Format an Alloy weiterreicht. Was ich dafür tun musste, erfahrt ihr in folgendem Beitrag

Weiterlesen

OpenCloud: Authelia als OIDC-Provider für SSO einrichten

In meinem Homelab nutze ich OpenCloud als Dateimanagementlösung zum einfachen Verwalten und Synchronisieren meiner Dateien zwischen meinen verschiedenen Endgeräten als auch zum Teilen mit meiner Familie. Da ich ich mehrere Services selber hoste und mich nicht bei jedem Service separat anmelden möchte, nutze ich Authelia als Single-Sign-On (SSO)-Lösung. OpenCloud unterstützt diesbzgl. die Authentifizierung mittels eines externen OpenID Connect Identity Provider (IDP). Leider ist die Dokumentation zu diesem Thema derzeit noch recht spärlich und definitiv ausbaufähig. Mit ein wenig "Trial and Error" und durchforsten von GitHub-Issues habe ich nun aber eine funktionierende Konfiguration gefunden, so dass die Authentifizierung mittels Authelia für alle Plattformen (Web, Desktop, Android und iOS) funktioniert.

Weiterlesen

OpenWrt: Ausgeschalteten Client mittels Wake-on-LAN starten

Um meinen ggf. ausgeschalteten Homelab-Server auch ohne physischen Zugriff aus der Ferne starten zu können, nutze ich Wake-on-LAN. Dazu verbinde ich mich einfach mit meinem OpenWrt-Router und kann dann über die Weboberfläche LuCI per Knopfdruck meinen Server starten. Falls euer Server mit LUKS voll-verschlüsselt ist, könnt ihr zudem euer System während des Bootvorgangs per SSH entsperren, wie ich bereits in einem anderen Beitrag beschrieben habe.

Weiterlesen

Arch Linux: LUKS-voll-verschlüsseltes System beim Booten per SSH entsperren (mittels systemd und Dropbear)

Nachdem ich meinen Homelab-Server auf Arch Linux umgestellt habe, wollte ich wie zuvor bei Debian mein mit LVM on LUKS voll-verschlüsseltes System per SSH entsperren können. Erste Anlaufstelle war für mich wie immer das Arch-Linux-Wiki. Die im Wiki vorgestellten Lösungen verwenden jedoch zum gegenwärtigen Zeitpunkt alle min. ein Paket aus dem Arch User Repository (AUR). Aus Sicherheitsgründen versuche ich, wenn möglich, AUR-Pakete zu vermeiden. Nach etwas Recherche habe ich dann eine Lösung mithilfe des Pakets mkinitcpio-systemd-tool in Verbindung mit dem SSH-Server Dropbear gefunden. Welche Schritte diesbzgl. zum Einrichten nötig sind, findet ihr im folgenden Beitrag.

Weiterlesen

OpenWrt: mDNS über VLANs hinweg ermöglichen

Mein Heimnetzwerk habe ich aus Sicherheitsgründen in mehrere VLANs aufgeteilt. Bspw. sind meine vertrauenswürdigen Endgeräte, wie z.B. mein Notebook und Smartphone, im "trust"-VLAN und meine "smarten" Geräte, wie z.B. mein TV und Drucker, im "iot"-VLAN. Standardmäßig können Geräte im "iot"-VLAN keine direkte Verbindung zu Clients in meinen anderen VLANs aufbauen. Nun möchte ich aber trotzdem, dass meine Endgeräte z.B. meinen Drucker ohne manuelle Konfiguration finden und nutzen können. Hierfür unterstützt mein Drucker und viele andere IoT-Geräte mDNS (Zeroconf) (siehe auch AirPrint, Mopria, Bonjour etc.). Das Problem hierbei ist, dass mDNS nicht über die Grenzen eines VLANs hinweg funktioniert. Hierfür bedarf es eines sogenannten Reflectors oder Proxy. Für OpenWrt nutze ich hierzu Avahi. Hiermit können die Multicast-Anfragen von einem VLAN in andere VLANs durchgereicht werden. Wie ich das bei mir inkl. benötigten Firewallregeln umgesetzt habe, zeigt der folgende Beitrag.

Weiterlesen