DeusoftheWired
Fleet Admiral
- Registriert
- Juni 2009
- Beiträge
- 13.796
Hallihallo liebe Lunixer,
um ein wenig unabhängiger von den etablierten IMs zu sein, das Speichern von Nachrichten auf den Servern Dritter zu unterbinden und ein Stück Kommunikation wieder in die eigenen vier Wände zu holen, habe ich mich dazu entschlossen, auf meinen Raspi einen kleinen Jabberserver laufen zu lassen. Jabber deshalb, weil ich in den letzten Jahren darüber gute Erfahrungen mit Pidgin gesammelt habe, es offen ist und nicht zuletzt der CCC ja immer Dezentralisierung predigt (die bei jabber.ccc.de manchmal dringend notwendig wird
).
Tutorials für Prosody findet man ja etliche. Dummerweise geht keines über die reine Installation und das Anlegen von Nutzern hinaus. Eines für die Nutzung auf dem Raspi an einem handelsüblichen deutschen Internethausanschluß mit dynamischer v4-IP und Nutzung eines DynDNS-Namens habe ich leider nicht gefunden. Das Ziel ist erst einmal nur C2S, S2S kommt vielleicht später dazu. Es sollen keine Facebook- oder Google-XMPP-Accounts erreicht werden.
Auf dem Raspi läuft ein aktuelles RaspBMC, statische IP 192.168.1.10. Nach dem Durchlaufen der Prosody-Installation 0.10 aus den Repos wurde das SSL-Zertifikat erstellt, außerdem ein Prosody-Admin-Konto angelegt und zwei normale Jabber-Benutzerkonten Bob und Alice. Die prosody.cfg.lua wurde angepaßt.
5222 und 5269 TCP werden vom Router (WRT54GL mit Tomato, statisch 192.168.1.253) korrekt an die IP des Raspi geforwardet. NAT-Loopback ist wegen DynDNS aktiviert. Der Router erledigt auch die Aktualisierung des Kontos bei afraid.org in der Subdomain benutzername.ignorelist.com nach erfolgter Neueinwahl alle 24 Stunden. Alle Geräte im LAN nutzen die zwei DNS-Server, die im WRT54GL hinterlegt sind.
Ein Client (ich, Bob) ist ein normaler Desktoprechner mit Pidgin unter Kubuntu 14.04 bzw. Windows 7. Ebenfalls statische IP, 192.168.1.7. Ein zweiter Client (Alice)aus dem WAN nutzt ebenfalls Pidgin unter Kubuntu.
Was klappt: Mein Client kann sich mit Admin- und Benutzerkonto auf dem Server anmelden. Das Zertifikat wird akzeptiert. Auch die Anmeldung eines Kollegen aus dem WAN mit seinem Benutzerkonto funktioniert.
Was nicht klappt: Das Schreiben zwischen meinem Kollegen und mir. Keiner von uns beiden erhält irgendetwas, wenn der andere ihm geschrieben hat. Auch nicht über eine eingehende/ausstehende Kontaktanfrage.
Was ich probiert habe: Die lokale IP, den Hostnamen des Raspis, die DynDNS-Subdomain oder einfach gar nichts im Feld „Verbindungs-Server“ von Pidgin eintragen. Die Zeile VirtualHost "localhost" in der Config hinzufügen/entfernen.
Was ich nicht verstehe und wozu ich auch keine Erklärung in der Prosody-Dokumentation gefunden habe, ist, wie sich Prosody wechselnde IPs zu Benutzernamen merken soll. Muß ich dafür einen A- bzw. SRV-Record anlegen? Sollte Prosody nicht von allein die IP, von der aus sich ein Benutzer verbunden hat, in eine Art Cache schreiben? Ist es überhaupt möglich, Prosody mit einer Subdomain eines DynDNS-Anbieters zu betreiben? Das ausführliche Loggen hat gezeigt, daß Prosody Probleme mit der Namensauflösung hat, mehr kann ich leider nicht daraus interpretieren. Dazu das Log auf debugging-Level von der letzten Sitzung zwischen meinem Kollegen (Alice) und mir (Bob bzw. admin):
Anhang anzeigen prosody.log.txt
Hier noch der Inhalt von /etc/prosody/prosody.cfg.lua. An drei Stellen in den Kommentaren ist ein Hochstrich ' durch ein typographisches einfaches Anführungszeichen ’ ersetzt, weil die Forensoftware sonst nicht korrekt einfärbt. admin und benutzername sind selbstverständlich geändert.
Sachdienliche Hinweise werden dankend entgegengenommen. Testaccount kann ebenso gern erstellt werden, Kontaktdaten dann per PN.
um ein wenig unabhängiger von den etablierten IMs zu sein, das Speichern von Nachrichten auf den Servern Dritter zu unterbinden und ein Stück Kommunikation wieder in die eigenen vier Wände zu holen, habe ich mich dazu entschlossen, auf meinen Raspi einen kleinen Jabberserver laufen zu lassen. Jabber deshalb, weil ich in den letzten Jahren darüber gute Erfahrungen mit Pidgin gesammelt habe, es offen ist und nicht zuletzt der CCC ja immer Dezentralisierung predigt (die bei jabber.ccc.de manchmal dringend notwendig wird
).Tutorials für Prosody findet man ja etliche. Dummerweise geht keines über die reine Installation und das Anlegen von Nutzern hinaus. Eines für die Nutzung auf dem Raspi an einem handelsüblichen deutschen Internethausanschluß mit dynamischer v4-IP und Nutzung eines DynDNS-Namens habe ich leider nicht gefunden. Das Ziel ist erst einmal nur C2S, S2S kommt vielleicht später dazu. Es sollen keine Facebook- oder Google-XMPP-Accounts erreicht werden.
Auf dem Raspi läuft ein aktuelles RaspBMC, statische IP 192.168.1.10. Nach dem Durchlaufen der Prosody-Installation 0.10 aus den Repos wurde das SSL-Zertifikat erstellt, außerdem ein Prosody-Admin-Konto angelegt und zwei normale Jabber-Benutzerkonten Bob und Alice. Die prosody.cfg.lua wurde angepaßt.
5222 und 5269 TCP werden vom Router (WRT54GL mit Tomato, statisch 192.168.1.253) korrekt an die IP des Raspi geforwardet. NAT-Loopback ist wegen DynDNS aktiviert. Der Router erledigt auch die Aktualisierung des Kontos bei afraid.org in der Subdomain benutzername.ignorelist.com nach erfolgter Neueinwahl alle 24 Stunden. Alle Geräte im LAN nutzen die zwei DNS-Server, die im WRT54GL hinterlegt sind.
Ein Client (ich, Bob) ist ein normaler Desktoprechner mit Pidgin unter Kubuntu 14.04 bzw. Windows 7. Ebenfalls statische IP, 192.168.1.7. Ein zweiter Client (Alice)aus dem WAN nutzt ebenfalls Pidgin unter Kubuntu.
Was klappt: Mein Client kann sich mit Admin- und Benutzerkonto auf dem Server anmelden. Das Zertifikat wird akzeptiert. Auch die Anmeldung eines Kollegen aus dem WAN mit seinem Benutzerkonto funktioniert.
Was nicht klappt: Das Schreiben zwischen meinem Kollegen und mir. Keiner von uns beiden erhält irgendetwas, wenn der andere ihm geschrieben hat. Auch nicht über eine eingehende/ausstehende Kontaktanfrage.
Was ich probiert habe: Die lokale IP, den Hostnamen des Raspis, die DynDNS-Subdomain oder einfach gar nichts im Feld „Verbindungs-Server“ von Pidgin eintragen. Die Zeile VirtualHost "localhost" in der Config hinzufügen/entfernen.
Was ich nicht verstehe und wozu ich auch keine Erklärung in der Prosody-Dokumentation gefunden habe, ist, wie sich Prosody wechselnde IPs zu Benutzernamen merken soll. Muß ich dafür einen A- bzw. SRV-Record anlegen? Sollte Prosody nicht von allein die IP, von der aus sich ein Benutzer verbunden hat, in eine Art Cache schreiben? Ist es überhaupt möglich, Prosody mit einer Subdomain eines DynDNS-Anbieters zu betreiben? Das ausführliche Loggen hat gezeigt, daß Prosody Probleme mit der Namensauflösung hat, mehr kann ich leider nicht daraus interpretieren. Dazu das Log auf debugging-Level von der letzten Sitzung zwischen meinem Kollegen (Alice) und mir (Bob bzw. admin):
Anhang anzeigen prosody.log.txt
Hier noch der Inhalt von /etc/prosody/prosody.cfg.lua. An drei Stellen in den Kommentaren ist ein Hochstrich ' durch ein typographisches einfaches Anführungszeichen ’ ersetzt, weil die Forensoftware sonst nicht korrekt einfärbt. admin und benutzername sind selbstverständlich geändert.
Code:
-- Prosody XMPP Server Configuration
--
-- Information on configuring Prosody can be found on our
-- website at http://prosody.im/doc/configure
--
-- Tip: You can check that the syntax of this file is correct
-- when you have finished by running: prosodyctl check config
-- If there are any errors, it will let you know what and where
-- they are, otherwise it will keep quiet.
--
-- Good luck, and happy Jabbering!
---------- Server-wide settings ----------
-- Settings in this section apply to the whole server and are the default settings
-- for any virtual hosts
-- This is a (by default, empty) list of accounts that are admins
-- for the server. Note that you must create the accounts separately
-- (see http://prosody.im/doc/creating_accounts for info)
-- Example: admins = { "user1@example.com", "user2@example.net" }
admins = { "admin@benutzername.ignorelist.com" }
-- Enable use of libevent for better performance under high load
-- For more information see: http://prosody.im/doc/libevent
--use_libevent = true
-- This is the list of modules Prosody will load on startup.
-- It looks for mod_modulename.lua in the plugins folder, so make sure that exists too.
-- Documentation on modules can be found at: http://prosody.im/doc/modules
modules_enabled = {
-- Generally required
"roster"; -- Allow users to have a roster. Recommended ;)
"saslauth"; -- Authentication for clients and servers. Recommended if you want to log in.
"tls"; -- Add support for secure TLS on c2s/s2s connections
"dialback"; -- s2s dialback support
"disco"; -- Service discovery
-- Not essential, but recommended
"private"; -- Private XML storage (for room bookmarks, etc.)
"vcard"; -- Allow users to set vCards
-- These are commented by default as they have a performance impact
--"privacy"; -- Support privacy lists
--"compression"; -- Stream compression (requires the lua-zlib package installed)
-- Nice to have
"version"; -- Replies to server version requests
"uptime"; -- Report how long server has been running
"time"; -- Let others know the time here on this server
"ping"; -- Replies to XMPP pings with pongs
"pep"; -- Enables users to publish their mood, activity, playing music and more
--"register"; -- Allow users to register on this server using a client and change passwords
-- Admin interfaces
"admin_adhoc"; -- Allows administration via an XMPP client that supports ad-hoc commands
--"admin_telnet"; -- Opens telnet console interface on localhost port 5582
-- HTTP modules
--"bosh"; -- Enable BOSH clients, aka "Jabber over HTTP"
--"http_files"; -- Serve static files from a directory over HTTP
-- Other specific functionality
--"groups"; -- Shared roster support
--"announce"; -- Send announcement to all online users
--"welcome"; -- Welcome users who register accounts
--"watchregistrations"; -- Alert admins of registrations
--"motd"; -- Send a message to users when they log in
--"legacyauth"; -- Legacy authentication. Only used by some old clients and bots.
}
-- These modules are auto-loaded, but should you want
-- to disable them then uncomment them here:
modules_disabled = {
-- "offline"; -- Store offline messages
-- "c2s"; -- Handle client connections
-- "s2s"; -- Handle server-to-server connections
-- "posix"; -- POSIX functionality, sends server to background, enables syslog, etc.
}
-- Disable account creation by default, for security
-- For more information see http://prosody.im/doc/creating_accounts
allow_registration = false
-- These are the SSL/TLS-related settings. If you don’t want
-- to use SSL/TLS, you may comment or remove this
ssl = {
key = "/var/lib/prosody/benutzername.ignorelist.com.key";
certificate = "/var/lib/prosody/benutzername.ignorelist.com.crt";
}
-- Force clients to use encrypted connections? This option will
-- prevent clients from authenticating unless they are using encryption.
c2s_require_encryption = true
-- Force certificate authentication for server-to-server connections?
-- This provides ideal security, but requires servers you communicate
-- with to support encryption AND present valid, trusted certificates.
-- NOTE: Your version of LuaSec must support certificate verification!
-- For more information see http://prosody.im/doc/s2s#security
s2s_secure_auth = false
-- Many servers don’t support encryption or have invalid or self-signed
-- certificates. You can list domains here that will not be required to
-- authenticate using certificates. They will be authenticated using DNS.
--s2s_insecure_domains = { "gmail.com" }
-- Even if you leave s2s_secure_auth disabled, you can still require valid
-- certificates for some domains by specifying a list here.
--s2s_secure_domains = { "jabber.org" }
-- Required for init scripts and prosodyctl
pidfile = "/var/run/prosody/prosody.pid"
-- Select the authentication backend to use. The 'internal' providers
-- use Prosody’s configured data storage to store the authentication data.
-- To allow Prosody to offer secure authentication mechanisms to clients, the
-- default provider stores passwords in plaintext. If you do not trust your
-- server please see http://prosody.im/doc/modules/mod_auth_internal_hashed
-- for information about using the hashed backend.
authentication = "internal_plain"
-- Select the storage backend to use. By default Prosody uses flat files
-- in its configured data directory, but it also supports more backends
-- through modules. An "sql" backend is included by default, but requires
-- additional dependencies. See http://prosody.im/doc/storage for more info.
--storage = "sql" -- Default is "internal"
-- For the "sql" backend, you can uncomment *one* of the below to configure:
--sql = { driver = "SQLite3", database = "prosody.sqlite" } -- Default. 'database' is the filename.
--sql = { driver = "MySQL", database = "prosody", username = "prosody", password = "secret", host = "localhost" }
--sql = { driver = "PostgreSQL", database = "prosody", username = "prosody", password = "secret", host = "localhost" }
-- Logging configuration
-- For advanced logging see http://prosody.im/doc/logging
log = {
debug = "/var/log/prosody/prosody.log"; -- Change 'info' to 'debug' for verbose logging
error = "/var/log/prosody/prosody.err";
"*syslog";
}
----------- Virtual hosts -----------
-- You need to add a VirtualHost entry for each domain you wish Prosody to serve.
-- Settings under each VirtualHost entry apply *only* to that host.
VirtualHost "localhost"
VirtualHost "benutzername.ignorelist.com"
ssl = {
key = "/var/lib/prosody/benutzername.ignorelist.com.key";
certificate = "/var/lib/prosody/benutzername.ignorelist.com.crt";
}
------ Components ------
-- You can specify components to add hosts that provide special services,
-- like multi-user conferences, and transports.
-- For more information on components, see http://prosody.im/doc/components
---Set up a MUC (multi-user chat) room server on conference.example.com:
--Component "conference.example.com" "muc"
-- Set up a SOCKS5 bytestream proxy for server-proxied file transfers:
--Component "proxy.example.com" "proxy65"
---Set up an external component (default component port is 5347)
--
-- External components allow adding various services, such as gateways/
-- transports to other networks like ICQ, MSN and Yahoo. For more info
-- see: http://prosody.im/doc/components#adding_an_external_component
--
--Component "gateway.example.com"
-- component_secret = "password"Sachdienliche Hinweise werden dankend entgegengenommen. Testaccount kann ebenso gern erstellt werden, Kontaktdaten dann per PN.
Zuletzt bearbeitet:
