CubelaPetar/notes
1
0
Fork 0
Code Issues Pull Requests Actions Packages Projects Releases Wiki Activity

20250429 push notes

Browse Source
This commit is contained in:
Petar Cubela
2025-04-29 16:29:52 +02:00
parent 214941710d
commit 0cb3f588fa
69 changed files with 944 additions and 61 deletions
Download Patch File Download Diff File Expand all files Collapse all files

38
archive/APSA/apsa-pfsense_vs_opnsense/setup-notes.md Normal file
View File

@@ -0,0 +1,38 @@
## Location
Schwanthalerstr. 106
Backup key: f2e3e44045f5da80fa7cfd2ccf38c4b03686764715398c20f538d12817670b63
## Questions
- Ist the VLAN tag 7 for the pppoe manually set
- Gast interface ipv6 prefixx id of 1 not working
- do we need router advertisement?
## Credentials
### PPPoe
![ppp confitg](/files/apsa/pfsense_ppp-setup.png)
- username: vdsl.vodafone/bi9442189781-static
- password: cnh2bWJ3Y2w= (hashed via base64)
### DynDNS
- username: apsa-muc.spdns.de
- password: YnptYi11ZGd1LWJ2d2I= (hashed via base64)
## Config in place
- PPPoe
- DynDNS
## Pass
pfsense/opnsense local: admin, pass: xfapimsgwztkojrulqeb
pfsense/opnsense rz: admin, pass: xfapimsgwztkojrulqeb

31
archive/VZ/Rezept-Installation.md Normal file
View File

@@ -0,0 +1,31 @@
## Source
- [unattended Winstall - Github](https://github.com/memstechtips/UnattendedWinstall)
- [answer files](https://learn.microsoft.com/en-us/windows-hardware/manufacture/desktop/update-windows-settings-and-scripts-create-your-own-answer-file-sxs?view=windows-11)
- [unattended-generator](https://schneegans.de/windows/unattend-generator/)
## 20250303 - Todo
- [ ] Zertifikat (VZBY_SecurityAppliance_SSL_CA.cer) einfuegen
- [ ] Vantage Tool Installieren im Userkontext
- [ ] Energiesparmodus bei Netzbetrieb auf 'nie' setzen
- [ ] Freigabe [\\vzby-srv-fp01\install$](file://vzby-srv-fp01/install$) (nur als Domain-Admin) mappen wäre praktisch…
- [ ] SW - M365, MS Teams, PDF24, Sophos Connect, Sophos Endpoint Agent, Firefox, Acrobat Reader, Teamviewer QS aus Public Desktop, Netlogon Script als Verknuepfung auf Plublic Desktop
- [ ] SW in Userkontext - SBX-Generator
- [ ] Taskleiste:
- [ ] ausblenden von: Copilot, Store, Outlook New
- [x] Suchefeld auf "nur Suchsymbol setzen"
- [ ] Aktive Anwendungen auf "aus"
- [x] Taskleiste auf "links" verschieben
- [ ] Sophos Connect (wenn installiert), auf "dauerhaft" im SysTray platzieren
## Rezept
The steps we want to implement:
1. Win 11 OS autoinstall - the idea is to use Microsoft's own "Answer files" and install NinjaOne Agent autmatically
2. Change Computername
3. AD coupling - it probably possible to also use the Answer files for this
4. SW Installation - Use NinjaOne
5. OS and SW Configuration and Personalization - Use NinjaOne

113
archive/VZ/Win11-autoinstall-iso.md Normal file
View File

@@ -0,0 +1,113 @@
## Source
- [unattended Winstall - Github](https://github.com/memstechtips/UnattendedWinstall)
- [answer files](https://learn.microsoft.com/en-us/windows-hardware/manufacture/desktop/update-windows-settings-and-scripts-create-your-own-answer-file-sxs?view=windows-11)
- [unattended-generator](https://schneegans.de/windows/unattend-generator/)
## 20250303 - Todo
- [ ] Zertifikat (VZBY_SecurityAppliance_SSL_CA.cer) einfuegen
- [ ] Vantage Tool Installieren im Userkontext
- [ ] Energiesparmodus bei Netzbetrieb auf 'nie' setzen
- [ ] Freigabe [\\vzby-srv-fp01\install$](file://vzby-srv-fp01/install$) (nur als Domain-Admin) mappen wäre praktisch…
- [ ] SW - M365, MS Teams, PDF24, Sophos Connect, Sophos Endpoint Agent, Firefox, Acrobat Reader, Teamviewer QS aus Public Desktop, Netlogon Script als Verknuepfung auf Plublic Desktop
- [ ] SW in Userkontext - SBX-Generator
- [ ] Taskleiste:
- [ ] ausblenden von: Copilot, Store, Outlook New
- [x] Suchefeld auf "nur Suchsymbol setzen"
- [ ] Aktive Anwendungen auf "aus"
- [x] Taskleiste auf "links" verschieben
- [ ] Sophos Connect (wenn installiert), auf "dauerhaft" im SysTray platzieren
## VZ requirements
- Kein Secure Boot benoetigt
- USB sticks anzahl
### User
- User: Admin, Pass: Wgdkr!4mE
### Pre-settings
- Einfache Systemwiederherstellung (im unattended.xml??, galube nicht umsetzbar, da Microsoft dies erzwingt)
- Deaktivierung Schnellstart (DONE)
- "Outlook Neu"-Button ausblenden
- Kamera und Mikrofon unter Datenschutzeinstellungen einschalten
- bei Druckerinstallation: Point to Print-Problem lösen - Reg Key ausführen (reg add "HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows NT\Printers\PointAndPrint" /v RestrictDriverInstallationToAdministrators /t REG_DWORD /d 0 /f)
- Energieeinstellungen bei "Netzbetrieb": Nie runterfahren
### Software
- **Ninja One Agent**
- Office M365 (M365 Business Standard)
- PDF24
- MS Teams
- Lenovo Commercial Vantage
- Sophos Endpoint Agent
- Sophos Connect
- Firefox Browser
#### Public Desktop
- TeamviewerQS.exe (sbx quick support)
- Script: Netzlaufwerke aktualisieren (C:\WINDOWS\system32\cmd.exe /c "cscript \\VZBY.lan\NETLOGON\logon.vbs && exit")
## Meeting Michael (17.01.2025)
The steps we want to implement:
1. Win 11 OS autoinstall - the idea is to use Microsoft's own "Answer files"
2. AD coupling - it probably possible to also use the Answer files for this
3. Ninja Agent Installation - again, use answer file
4. SW Installation - Use NinjaOne
5. OS and SW Configuration and Personalization - Use NinjaOne
## Meeting (10.02.2025)
#### Teilnehmer
- Hannah Bischof
- Oliver Kaspar
- Petar Cubela
### Takeaway
- pxe boot optimal (falls moeglich)
- generische Win11 Installation
- mit Kunden abgestimmte software auf allen Rechner installieren, welche benoetigt wird (NinjaOne)
- im Buero Loesung haben und potentiell bei groesseren Kunden, wo es sich lohnt
## Options - autoinstall
#### pxe
- Linux netboot.xyz Server (should work)
- SCCM - Configuration Manager
- Intune (expensive)
#### other
- boot stick and iso +unattended.xml (Microsoft's answer file)
## Gespraech mit Martin
- ablauf und termin muss mit vz geklaert werden. auch in bezug zu unsere ressourcen
- idee: pxe-boot einer praeparierten iso+xml welche sich automatisch installiert (samt ninja agent) und darauf folgende Installation aller sw pakete via ninja
## Meeting Vorbereitung unattende.xml 20250212
### Open Questions
- time zone: test automatic time zone settings using the language settings
- where should windows explorer be displayed: quick access or _this pc_
- hide the _task view_ button?
- configure wifi interactively or skip it???
- how to inject script? (for instance to install ninja agent)
### mandatory manually for now
- change computer name
- add to domain (domain join)
- ninja agent install
- trigger software installation via ninja

46
archive/VZ/ninja-install-archive.md Normal file
View File

@@ -0,0 +1,46 @@
```powershell
#Download and Run MSI package for Automated install
## VZ
#$uri = "https://eu.ninjarmm.com/agent/installer/22ea45a7-e951-4229-b305-ef9178339f0c/verbraucherzentralebayernmnchenmo9-7.0.2317-windows-installer.msi"
## SBX link for tests
$uri = "https://eu.ninjarmm.com/agent/installer/f816281d-6f56-4f13-abd6-5d4abf4dc67a/softboxhauptsitz-7.0.2317-windows-installer.msi"
$out = "c:\Temp\NinjaOneInstaller.msi"
if ( !( Test-Path "C:\Temp" ) )
{
New-Item -ItemType Directory -Path "C:\Temp"
}
Function Download_MSI_NinjaOne_Installer{
Invoke-WebRequest -uri $uri -OutFile $out -UserAgent ([Microsoft.PowerShell.Commands.PSUserAgent]::FireFox)
$msifile = Get-ChildItem -Path $out -File -Filter '*.ms*'
write-host "NinjaOne MSI $msifile "
}
$msifile = Get-ChildItem -Path $out -File -Filter '*.ms*'
Function Install_NinjaOne{
write-host "NinjaOne MSI $msifile "
$FileExists = Test-Path $msifile -IsValid
$DataStamp = get-date -Format yyyyMMddTHHmmss
$logFile = '{0}-{1}.log' -f $msifile.fullname,$DataStamp
$MSIArguments = @(
"/i"
('"{0}"' -f $msifile.fullname)
"/qn"
"/norestart"
"/L*v"
$logFile
)
If ($FileExists -eq $True)
{
Start-Process "msiexec.exe" -ArgumentList $MSIArguments -passthru | wait-process
write-host "Finished msi "$msifile
}
Else {Write-Host "File doesn't exists"}
}
Download_MSI_NinjaOne_Installer
$msifile = Get-ChildItem -Path $out -File -Filter '*.ms*'
Install_NinjaOne
```

131
archive/boschmann+feth/20250326-Preparation.md Normal file
View File

@@ -0,0 +1,131 @@
## ToDo
- [=] ap integrieren
- [=] ap ip anpassen
- [x] server auf maintenance in ninja einstellen
- [x] mount kid befestingen
- [=] switch ip anpassen
- [x] vlans erstellen
- [=] switch vlans konfigurieren
- [x] dns einstellungen anpassen
- [x] client rechner an switch (welche ports brauchen untagged client net)
- [x] fw regeln fuer vpn
- [x] second admin vpn
- [ ] star money, datev for ssl inspection exclude
- [ ] services.starfinanzen.de
- [ ] frontgate-eu.factsetdigitalsolutions.com
- [ ] starmoney.aboalarm.de
- [ ] web.starmoney.de
- [ ] starfinanz.de
- [ ] starmoney.de
- [ ] naechste Woche mehr kure gruene kabel mitnehmen (.25m)
## Einsatz
- WLAN-Intern: d5C9nhBBDGhd
- fP33-y4be-M8Qk
### Switch Ports
| Port | Device(s) | VLANs | Note |
| ---- | -------------------- | -------------------------------- | --------------- |
| 1 | Firewall | tagged: default, untagged: all | |
| 2 | HP | | ws |
| 4 | Mitel (phone) | untagged: 11, tagged: none | |
| 13 | Mitel (phone) | untagged: 11, tagged: none | |
| 19 | Mitel (phone) | untagged: 11, tagged: none | Printer |
| 25 | ? | | |
| 27 | Mitel (phone) | untagged: 11, tagged: none | WS-Boschmann |
| 28 | Mitel (phone) and HP | untagged: 11, tagged: none | WS |
| 34 | Mitel (phone) and HP | untagged: 11, tagged: none | WS-07 |
| 35 | Mitel (phone) | untagged: 11, tagged: none | |
| 37 | Mitel (phone) | untagged: 11, tagged: none | |
| 38 | HP | | ws |
| 39 | Mitel (phone) and HP | untagged: 11, tagged: none | WS |
| 40 | Mitel (phone) | untagged: 11, tagged: none | |
| 41 | Mitel (phone) and HP | untagged: 11, tagged: none | WS-14 |
| 43 | Sophos AP | untagged: default, tagged: 30,40 | several devices |
| 44 | HP | | ws |
| 46 | Mitel (phone) | untagged: 11, tagged: none | |
| 47 | ? | | |
| 48 | Server in UG | untagged: 11, tagged: none | |
## Basis
### Network
#### Interfaces
- LAN (Port1): Network 192.168.11.254/24
- [x] define V11_LAN_SERVER for this network
- [x] Call physical LAN interface V50_LAN_MGMT
- WAN (Port2 and Port8): Two Configured
- [x] Port2: PPPoE (versatel) 104.151.27.221/32
- [x] Port8: Static 192.168.178.254/24 (Fritzbox. For phone?)
- WiFi (BuF_Gast): Network: 192.168.111.100
#### VLANs
Currently no VLANs (except this weird wifi thing).
VLANs for new Firewall:
- V11_LAN_SERVER
- V20_LAN_CLIENT
- V30_WLAN_INTERNAL
- V40_WLAN_GUEST
- V50_LAN_MGMT
- (V70_LAN_PHONE ??)
#### DHCP
- DHCP only for WLAN_Gast: 192.168.111.101 - 192.168.111.120
- DC is doing DHCP for 192.168.11.0/24 network: 192.168.11.80 - .159
#### Services
- Star Money (banking)
- Teamviewer
- Cosoba
- DATEV
- Zoom
- DropBox
- Google Drive
- OneDrive
- M365
- Sharepoint
#### DNS
- [x] Configure DNS request route to DC for new Firewall
- DC is doing DNS when acting as DHCP Server
### Authentication
#### Server
- Server Type: AD
- Server Name: BUF-SRV-DC-01
- Server IP/Domain: 192.168.11.13
- Connection Sec: SSL/TLS
- Port: 636
- NetBIOS domain: BUF
- ADS user name: sophos_ldap
- Password: IT-Glue
- Emal address attribute: mail
- Domain name: buf.local
- Search Queries: dc=buf,dc=local
### Phone
- not separate configuration needed. Only Set WAN to fritz correctly. Check the connectivity to phones after migration
### VPN

142
archive/bvv/bind-manual.md Normal file
View File

@@ -0,0 +1,142 @@
## Intro
- Ziel: Schreibe eine detailierte Anleitung, welche es moeglich die DNS Eintraege von bind zu aendern ohne den Server kaputt zu machen.
- Motivation: Die bind Konfiguration wurde versehentlich erfolgreich zerstoert, was dazu fuehrte, dass der bind Server nicht mehr funktionierte.
## Receipt
Um Aenderungen am bind9 Server beim BVV durchzufuehren muss der Syntax von bind beachtet werden. Bei Fehlern kann es sein, dass die ganze DNS Aufloesung nicht mehr funktioniert.
### Einfuehrung
Alle Konfigurationsdateien fuer bind liegen im Ordner `/etc/bind/` am ns2 Server. Die Hauptkonfigurationsdatei fuer bind ist hierbei `/etc/bind/named.conf` von der Alles ausgeht. `named` ist herbei der Dienst zu `bind` zugehoerige Dienst, welcher im Hintergrund laueft; der Status der `named`-Dienstes kann geprueft werden mit: `systemctl status named`.
Saemtliche Zonen fuer die von diesem `bind` Server verwalteten Domaenen sind in der Datei `/etc/bind/named.conf.local` hinterlegt; die zugehoerige Datei fuer jede Domaene wo die DNS Eintrage gesetzt werden sind hier in der Datei `/etc/bind/named.conf.local` definiert unter der Variablen `file`. Unter der hier genutzten Strukturierung sind die DNS Eintraege hinterlegt in den Dateien `/etc/bind/db.<tld>.<domain>`. Zum Beispiel die DNS Eintraege fuer die Domaene `vhs-bayern.de` liegt in der Datei `/etc/bind/db.de.vhs-bayern`.
### Aenderungen der DNS Eintraege
Um die DNS Eintraege einer bestimmten Domaene zu aendern, muss die jeweilige Zonen Datei geoeffnet werden; zum Beispiel `/etc/bind/db.de.vhs-bayern.de` fuer die Domaene `vhs-bayern.de`:
```conf
$ORIGIN vhs-bayern.de.
$TTL 60
@ IN SOA ns1.vhs-bayern.de. hostmaster.vhs-bayern.de. (
2024121702 ; serial number (yyyymmddxx)
14400 ; refresh every 4 hours
14400 ; retry after 4 hours
604800 ; expire after 7 days
43200) ; default ttl is 12 hours
IN A 49.13.175.195 ; old: 144.76.93.148
IN NS ns1.vhs-bayern.de.
IN NS ns1.m-online.net.
IN NS ns2.m-online.net.
;;;;;;;;;;;;;;;;;;;;;;;;;;
;;; Local Host Address ;;;
;;;;;;;;;;;;;;;;;;;;;;;;;;
localhost IN A 127.0.0.1
;;;;;;;;;;;;;;;;;;;;
;;; NS Eintraege ;;;
;;;;;;;;;;;;;;;;;;;;
newsletter.vhs-bayern.de. 1800 IN NS ns0.isprit2.de.
newsletter.vhs-bayern.de. 1800 IN NS ns1.isprit2.de.
;;;;;;;;;;;;;;;;;;;;
;;; MX Eintraege ;;;
;;;;;;;;;;;;;;;;;;;;
listserver.vhs-bayern.de. IN MX 10 listserver.vhs-bayern.de.
;;;vhs-bayern.de. IN MX 10 mx01.vhs-bayern.de.
ns1.vhs-bayern.de. IN MX 10 mx01.vhs-bayern.de.
intmx IN MX 10 domino
intmx IN MX 20 domino2
mailtest.vhs-bayern.de. 60 IN MX 10 mailtest
vhs-bayern.de. IN MX 0 vhsbayern-de0i.mail.protection.outlook.com.
;;;;;;;;;;;;;;;;;;;;;
;;; TXT Eintraege ;;;
;;;;;;;;;;;;;;;;;;;;;
;;vhs-bayern.de. 60 IN TXT "v=spf1 a mx ip4:62.245.128.64/27 ip4:62.245.128.96/27 include:spf.protection.outlook.com -all"
vhs-bayern.de. 60 IN TXT "v=spf1 a mx ip4:20.50.178.65/32 ip4:62.245.128.64/27 ip4:62.245.128.96/27 include:spf.protection.outlook.com -all"
vhs-bayern.de. 3600 IN TXT "MS=ms64478158"
;_dnsauth.vhs-bayern.de. 300 IN TXT "2024021509350769xvfne3rv45zuft4zpkil5d67tbpvkvnjlfei3862b34yrbsj"
_dnsauth.vhs-bayern.de. 300 IN TXT "202411121019550lyjgntwd5v35uvf533roxftuvkf9hbv20okc4g3xt0umpn6p8"
_dnsauth.www.vhs-bayern.de. 300 IN TXT "202411121019550lyjgntwd5v35uvf533roxftuvkf9hbv20okc4g3xt0umpn6p8"
;;;;;;;;;;;;;;;;;;;;;;;
;;; CNAME Eintraege ;;;
;;;;;;;;;;;;;;;;;;;;;;;
autodiscover CNAME autodiscover.outlook.com.
selector1._domainkey CNAME selector1-vhsbayern-de0i._domainkey.bvv1.onmicrosoft.com.
selector2._domainkey CNAME selector2-vhsbayern-de0i._domainkey.bvv1.onmicrosoft.com.
;;;;;;;;;;;;;;;;;;;
;;; A Eintraege ;;;
;;;;;;;;;;;;;;;;;;;
mx01 IN A 62.245.128.92
rproxy2 IN A 62.245.128.84
mail-gw1 IN A 62.245.128.85
;analytics IN A 62.245.128.69
domino IN A 192.168.1.108
domino2 IN A 192.168.1.109
;2009 IN A 62.245.128.90 deaktiviert 17.12.2024
;rproxy IN A 62.245.128.65
;eportfolio IN A 62.245.128.75
;ksc IN A 62.245.128.71
;ksc2 IN A 62.245.128.71
;portal1 IN A 192.168.1.117
;portal2 IN A 192.168.1.118
;db2portal IN A 192.168.1.119 deaktiviert 17.12.2024
;ntp IN A 192.168.1.110 deaktiviert 17.12.2024
;ntp IN A 192.168.1.130 deaktiviert 17.12.2024
ns1 IN A 62.245.128.66
vpn IN A 62.245.128.125
;ol3 IN A 62.245.128.89 deaktiviert 17.12.2024
;icsdb2 IN A 192.168.1.131 deaktiviert 17.12.2024
;ics1 IN A 192.168.1.132
;ics2 IN A 192.168.1.133
icsweb1 IN A 62.245.128.70 ;Staecker fragen
mailtest 60 IN A 62.245.128.94 ;?
;ttwportal 60 IN A 144.76.93.148 deaktiviert 17.12.2024
;www.ttwportal 60 IN A 144.76.93.148 deaktiviert 17.12.2024
www 60 IN A 49.13.175.195 ;Neuer Provider old: 144.76.93.148
production IN A 49.13.175.195 ;Neuer Provider 4motion
testing IN A 49.13.175.195 ;Neuer provider 4motion
analytics IN A 49.13.175.195 ;Neuer Provider 4motion
```
**Wichtig zu beachten hier ist, dass bei jeder Aenderung einer dieser Zonendateien die Seriennummer (ganz oben in der Datei im ersten DNS Eintrag) *erhoeht* werden muss. Egal um welchen Wert; die Seriennummer muss nur groesser sein, als die vorherige! Uebliches Schema ist das heutige Datum mit einer nachgestellten Zaehlung fuer jede Aenderung des Tages; zum Bespiel: 2025032401. Ohne diesen Schritt wuerde der Dienst Fehlermeldungen ausgeben und nicht mehr funktionieren.**
Sagen wir fuegen der obigen Datei einen DNS-Eintrag: `test IN A <ip-address>` ein. Damit dieser wirksam wird muss die Seriennummer im ersten DNS Eintrag erhoeht werden:
```conf
$ORIGIN vhs-bayern.de.
$TTL 60
@ IN SOA ns1.vhs-bayern.de. hostmaster.vhs-bayern.de. (
--------> 2025032401 ; serial number (yyyymmddxx) <---------------
14400 ; refresh every 4 hours
14400 ; retry after 4 hours
604800 ; expire after 7 days
43200) ; default ttl is 12 hours
IN A 49.13.175.195 ; old: 144.76.93.148
IN NS ns1.vhs-bayern.de.
IN NS ns1.m-online.net.
IN NS ns2.m-online.net.
```
Nachdem die Anpassung durchgefuehrt wurde sollten zu Sicherheit die Konfigurationsdateien auf Richtigkeit geprueft werden:
1. Pruefe die Konfiguration der 'Master'-Datei: `named-checkconf /etc/bind/named.conf`. Keine Ausgabe bedeutet: Alles gut!
2. Pruefe die Zonendatei mit: `named-checkzone vhs-bayern.de /etc/bind/db.de.vhs-bayern`:
```sh
root@ns2:/etc/bind# named-checkzone vhs-bayern.de db.de.vhs-bayern
zone vhs-bayern.de/IN: loaded serial 2024121702
OK
```
Der Befehl zeigt auch die aktuelle Seriennummer der Zone an!
3. Sofern es bei den zwei vorherigen Schritten keine Fehlermeldungen gab, kann der `named`-Dienst neugestartet werden mit: `systemctl restart named`
4. Pruefe noch den Status den `named`-Dienstes mit `systemctl status named`. Wenn es keine Fehler gibt sollte der neu hinzugefuegt Eintrag funktionieren.

6
archive/radiochemie/opnsense-on-sophosHW-END.md Normal file
View File

@@ -0,0 +1,6 @@
## Open Things
- [ ] Clustering
- [ ] tight Firewall Rules (VPN -> GA)
- [ ] integrate to OPNcentral

6
archive/radiochemie/opnsense-on-sophosHW-HA.md Normal file
View File

@@ -0,0 +1,6 @@
## HA
### Use a XG and a SG?
- Not possible
- For CARP (Common Address Redundancy Protocol) the HW needs to be equal

50
archive/radiochemie/opnsense-on-sophosHW-intro.md Normal file
View File

@@ -0,0 +1,50 @@
## Goals
- 2x WAN - 1 external and 1 internal (GA-Network)
- Static Routing via WANlrz for BACnet SW
- 1x LAN - `10.52.12.0/24`
## Facts
### WAN
> **Note:** Such a setup requires extended considerations and settings which is discussed in [[opnsense-on-sophosHW-multi_wan]].
> WANpub will be the primary WAN port
> WANlrz is temporarily used for the BACnet software and will be disabled after 2-4 months. The Campus-GA network will in future only be reachable by vpn.
#### External WAN
(primary WAN, in future ga netz ueber vpn)
- Network: `129.187.9.243/29`
- Gateway: `129.187.9.246`
- DNS Server: `129.187.104.5` (How reachable?)
#### Second WAN
- `192.157.165.50/24` (Campus GA-Netz, for BACnet SW. 2-4 Months living)
### LAN
- Interne Netzwerke(20241208):
- `10.52.12.0/24` Hauptgebäude GA (VLAN12)
- `10.52.50.0/24` GA-Netz (VLAN50)
- Interne Netzwerke(20241216):
- `10.52.12.0/24` LAN
### Port Forwarding
- BACnet `47808/udp`
### OpenVPN
- Set up for access to GA network
### Location
- FRM Versorgungsgebaeude
## Vor Ort Einsatz
- port forwarding in both direction to second esxi nic
- <https://www.zenarmor.com/docs/network-security-tutorials/how-to-configure-transparent-filtering-bridge-on-opnsense>

17
archive/radiochemie/opnsense-on-sophosHW-multi_wan.md Normal file
View File

@@ -0,0 +1,17 @@
## Specific
In our setup we won't use Failover as the second WAN is primarily such that it has access to the Campus GA-network (`192.157.165.0/24` ? )
## General
### Multi WAN
Multi WAN scenarios are commonly used for failover or load balancing, but combinations are also possible with OPNsense.
#### Configure Failover
To setup Failover the following steps need to be taken:
1. Add monitor IPs to the gateways
2. Add a gateway group
3. Configure DNS for each gateway
4. Use policy based routing to utilize our gateway group
5. Add a firewall rule for DNS traffic that is intended for the firewall itself

3
archive/radiochemie/opnsense-on-sophosHW-ressources.md Normal file
View File

@@ -0,0 +1,3 @@
- [multi-wan](https://docs.opnsense.org/manual/how-tos/multiwan.html)
- [hacarp](https://docs.opnsense.org/manual/hacarp.html)
- [carp](https://docs.opnsense.org/manual/how-tos/carp.html)

1
archive/radiochemie/ovpn-mixed-otp.md Normal file
View File

@@ -0,0 +1 @@
erstelle einen separaten nutzer fuer externe Besucher der TUM, welcher mit otp eingestellt ist fuer die Authentifizierung.

14
archive/ssr-kwa/Tickets-20240704.md Normal file
View File

@@ -0,0 +1,14 @@
List of tickets/tasks to consider for the appointment at the 4th of July 2024:
| Number | Title | short description | company |
| -------------- | ------------------------------------------------------------------------- | ------------------------------------------------------------------------------------------------------------- | ------- |
| T20240627.0021 | Mail accounts | specific Subscription for projects desired | kwa |
| T20240627.0021 | AirDrop von iPad auf Rechner | AirDrop only function unidirectional | kwa |
| T20240624.0011 | VPN am Handy und iPad einrichten | for mobile devices we need the preshared key for ipsec to function. PSK missing. Probably we will set new one | kwa |
| T20240701.0047 | 2 MacBooks einrichten | | ssr |
| T20240702.0019 | Vor-Ort Support | std macbook setup. write manual for it | ssr |
| T20240619.0035 | Apple Mail-Programm: Implementierung von 2 externen Mail-Serverprogrammen | inlcude mail accounts into mail client | ssr |
| T20240612.0021 | Ninja-Onboarding | 2 Mitarbeiterinnen haben Ninja noch nicht auf ihren Rechnern | ssr |
| T20240611.0054 | Problem Projekt Pro | PP not working. Seems to be a general Problem. Mr. Schneider-Zimmer contacted the PP support. | ssr |
| T20240611.0020 | Speicher fast voll | delete unnecessary stuff. Jan planned an appointment for next week. | ssr |

52
archive/ssr-kwa/buero-umbau/20240210-Umzug-Planung.md Normal file
View File

@@ -0,0 +1,52 @@
## Notes
- imac backup und einrichten
- telefonie
-
## Equipment
- Etikettiergeraet
- 4/5-Port Switch
- 8-Port Switch falls andere nicht geht
- LAN-Kabel
## WLAN KWA
- Fuege Grundriss in Unifi hinzu und schaetze optimale AP Position
## Neue Insel 1 im grossen Saal
- Neuer Arbeitsplatz: bestehende 24 Port Switch hernehmen + ein 4/5-Port Switch
- pruefe funktionsweise der alten Switch. Nehme Notfall Switch mit
- Tische Verkabeln
## Patch Switch Kabel Zuordnung
### Insel 1 KWA
| Label Patchpanel | Label Switch |
| ---------------- | ------------------- |
| 13 | 28 |
| 14 | 30 | Geht nicht
| 15 | 32 |
| 16 | 34 |
| 17 | 36 |
| 18 | 3 (SSR AP draussen) |
| 19 | 38 |
| 20 | 40 |
### Insel 3 SSR
| Label Patchpanel | Label Switch |
| ---------------- | ------------- |
| 31 | 24 |
| 32 | 12 |
| 33 | 13 |
| 34 | 14 |
| 35 | 15 |
| 36 | 23 (Telefon) |
| 37 | 16 |
| 38 | not connected |

32
archive/ssr-kwa/buero-umbau/20240918_Meeting_First-Step-Umbau.md Normal file
View File

@@ -0,0 +1,32 @@
Kleiner Umbau am Do 03.10 - So 06.10.
## ToDos
* Wechsel Insel 1. und 3. (low Prio):
- Main: Patching anpassen
- Pruefe _zuvor_ das Labeling der Leitungen
- Am besten am 02.10 druchfuehren, so dass am 07.10 mit neuer Platzverteilung gearbeitet werden kann
- Insel 1, Labeling PatchPanel: 13-20, Labeling Switch:
- Insel 2, Labeling PatchPanel: 5-12, Labeling Switch:
- Insel 3, Labeling PatchPanel: 31-38, Labeling Switch:
- Insel 4, Labeling PatchPanel: 23-30, Labeling Switch:
* Neue "Insel 1" von SSr (siehe Plan unten) braucht Internet:
- 3 Kabel laufen an alten Insel 4 vorbei und laufen zu "PLAN rueber"
- Kabel bei alten Insel 4 freilegen und freie Ports an Patchpanel zum Serverraum koppeln
- Kabelzuordnung muss geklaert werden
- Wo enden Kabel bei neuer "Insel 1"?
- Switch u. AP bei neuer "Insel 1", damit 6 Plaetze Internet haben
* Neuer AP fuer Flaechendeckende Abdeckung
- Plane anhand bestehender Draufsicht und Groessenangaben
- Welcher AP? (Unifi, Ruckus, sonst.)
* Verkabelung nachvollziehen
- Patchpanel zu Tischen ist klar (Label)
- Patchpanel zu Switch nicht klar (Kabelsalat)
- orangene Wandkabel laufen alle(?) zu Patchpanel in Serverrack von KWA (wird Trennung erschweren)
## Bueroplaene
![SSR](ssr/ssr-after-umbau-plan.pdf)
![KWA](kwa/kwa-after-umbau-plan.pdf)

19
archive/ssr-kwa/buero-umbau/20240918_meeting-oli.md Normal file
View File

@@ -0,0 +1,19 @@
## Abrechnung
- Einrichtung Laptops als Projekt buchen
## SSR/KWA
- Zur Not Kabel uebers Fenster aussen am Balkon fuehren
- unifi access point ok
- suche 8 Port Switch im Buero
## TU Web Server
- Install DokuWiki
## NeuKunde
- 10 - 15 Mitarbeiter
- Nutzen nur Macs
- Betreuen IBM GrossRechner

37
archive/ssr-kwa/buero-umbau/20240925-Einsatz-Kabellegung.md Normal file
View File

@@ -0,0 +1,37 @@
## Notes
- naechster termin: 02.10: Inseltausch 1 <-> 3 (labelgeraet mitnehmen)
- Neuer Arbeitsplatz: bestehende 24 Port Switch hernehmen + ein 4/5-Port Switch
- Am besten Tische mit Kabelfuehrung und Unterfach
- Ueberlegung Telefone abzuschaffen und teams zu nutzen
- altes Insel 1 ein Lan Kabel beschaedigt?
-
## Patch Switch Kabel Zuordnung
### Insel 1 KWA
| Label Patchpanel | Label Switch |
| ---------------- | ------------------- |
| 13 | 28 |
| 14 | 30 |
| 15 | 32 |
| 16 | 34 |
| 17 | 36 |
| 18 | 3 (SSR AP draussen) |
| 19 | 38 |
| 20 | 40 |
### Insel 3 SSR
| Label Patchpanel | Label Switch |
| ---------------- | ------------- |
| 31 | 24 |
| 32 | 12 |
| 33 | 13 |
| 34 | 14 |
| 35 | 15 |
| 36 | 23 (Telefon) |
| 37 | 16 |
| 38 | not connected |

10
archive/ssr-kwa/buero-umbau/Inital.md Normal file
View File

@@ -0,0 +1,10 @@
## Netzwerkumstrukturierung
- Firewall (Kerio -> Sophos) und Access Points (-> Ruckus) dieses Jahr tauschen
- Switche und Rest naechstes Jahr
- Mit neuer Firewall Netzwerk umstrukturieren mit VLANs (mgmt, gast, intern)
## AP options
- <https://eu.store.ui.com/eu/en?search=mesh&category=all-wifi> "AC Mesh" recommended
- Ruckus thing

21
archive/ssr-kwa/einsatz-20240715.md Normal file
View File

@@ -0,0 +1,21 @@
## Notes
### SSR/KWA next appointment
- IPhone setup for annika luedeke
- MacBook Setup for annika luedeke (MICHAEL)
- VPN on all iOS devices
- Mailboxes problem -> skip because there is a project to migrate to m365
- AirDrop test if issue is resolved
### SSR Apple id business manager
- managed Account: vpp-ssr@studio-stadt-region.de
- all other deprecated.
### iOS setup
Needed:
- Mail config
- Filewave integration
- VPN setup

11
archive/ssr-kwa/licenses.md Normal file
View File

@@ -0,0 +1,11 @@
## KWA/SSR
| Name | Manufacturer | Expiration | Admin |
| ------------------------- | -------------- | ---------- | ----- |
| iLO Advanced | HPE | Permanent | sbx |
| vCenter | VMWare vSphere | | sbx |
| vCenter Server Essentials | VMWare vSphere | | sbx |
| vSphere 7 Essentials | VMWare vSphere | | sbx |
| vSphere Essentials | VMWare vSphere | | sbx |
| Vectorwrx rlm_server | Vectorworks | Permanent | sbx |
| Mailstore | Mailstore? | n/a | griD |

13
archive/ssr-kwa/mail-migration/202410_Meeting-MailMigration.md Normal file
View File

@@ -0,0 +1,13 @@
## Notes
- Kalendar und Kontakte migrieren
- Oeffentliche Ordner migrieren abgesehen von alten Projekten
- Nutzer Postfaecher mitmigrieren
- Lizenzen von altem Dienstleister auf uns uebertragen
- outlook in filewave kiosk integrieren, sodass es jeder runterladen kann
- kerio connect kuendigen nach der Migration. Lizenz Uebertragung pruefen
- aktuelle m365 Lizenz: Bussines Standard. Reicht erst mal aus
- Angebot schicken zu neuen Lizenzen
- pruefen wie voll die einzelnen Postfaecher sind

23
archive/ssr-kwa/mail-migration/20250206-KWA-Meeting.md Normal file
View File

@@ -0,0 +1,23 @@
## Teilnehmer
- Nina Schiffel
- Sebastian Peter
- Maximilian Kriesmair
- Petar Cubela
## Terminbeschluss
- KW9: 24.02 - 26.02
## Notizen
- 2 Raeume als 'Kontakte'
- Wo sind Kontakte abgelegt?

12
archive/ssr-kwa/mail-migration/ssr-mail-migration-meeting-max-20240808.md Normal file
View File

@@ -0,0 +1,12 @@
## Links
- https://support.kerioconnect.gfi.com/hc/en-us/articles/360015196179-Migrating-Content-from-Kerio-Connect-to-Another-Platform
- https://www.recoverytools.com/kerio/migrator/buy.html
##
## Timing
- KWA: Im Oktober
- SSR: so schnell wie moeglich

28
archive/ssr-kwa/manual/Checkliste-apple-geraete.md Normal file
View File

@@ -0,0 +1,28 @@
## iPhone
- <https://mail.studio-stadt-region.de> besuchen - oder analog fuer kwa - und UNTER der login maske "profil runterladen" anklicken und anmelden ==> dies synced CalDAV, CardDAV, WebDAV aufs Handy
- VPN einstellen - Lokalen User im Kerio anlegen und Berechtigung fuer VPN geben. Am Handy in nativen VPN Einstellungen anlegen mit Typ: L2TP
## MacBook
### Checkliste
1. Mail Postfach anlegen (In Kerio Connect User anlegen)
1. Nutzer Profil in AD anlegen (In Univention User anlegen)
1. Nutzer Profil am Mac anlegen (Lokalen User an Mac Book anlegen)
1. iCloud (Sie erstellen selber ein iCloud Acc)
1. In M365 User anlegen und mit Lizenz versehen (Iwas mit Bussines-teuer-und-unverschaemt)
1. Mail Client (imap und smtp. Server: `mail.<domain.de>`, Credentials: Siehe Punkt 1.)
1. Calendar Config (manuell CalDAV. Server: `mail.<domain.de>`, Credentials: Siehe Punkt 1. )
1. Filewave Kiosk Client (https://kb.filewave.com/books/downloads/page/filewave-version-1542)
1. BusyContacts (manuell CardDAV. Server: `mail.<domain.de>`, Credentials: Siehe Punkt 1. )
1. icloud raumkalendar hinzufuegen (siehe IT-Glue. MFA otp auf sbx Smartphone)
1. NinjaOne Client (U know it)
1. Kerio VPN Client (Filewave Kiosk)
1. Projekt Pro (FileMaker Pro aus Filewave Kiosk. Projekt Pro ueber FileMaker einrichten und oeffnen bis zum Anmeldefenster)
1. Vectorworks (Filewave)
1. Microsoft Word/Excell/Powerpoint installieren und testen
1. Druckertreiber runterladen
https://eu.ninjarmm.com/agent/installer/665ef278-986b-4969-b436-26b1b254d6d5/studiostadtregionarchitekturstadtentwicklunghauptsitz-6.0.1816-installer.dmg

22
archive/ssr-kwa/manual/iphone-onboarding.md Normal file
View File

@@ -0,0 +1,22 @@
## Intro
Here, we shortly summarize how to onboard an iPhone.
### CheckList
- mail
- cal
- busycontacts
- teams
- vpn
## Mail, Contacts, Calendar
Follow:
- [Kerio Anleitung](https://manuals.gfi.com/en/kerio/connect/content/email-clients/mobile-devices/synchronizing-your-iphone-with-kerio-connect-251.html)
## Kerio VPN
1. Create a local user on the Kerio Firewall specific for VPN usage. Usage of the VPN has to be enabled explicitly.
2. Follow: <https://support.keriocontrol.gfi.com/hc/en-us/articles/360015189519-Configure-VPN-on-iOS-and-Android-devices>. (L2TP with Pre-Shared Key)

3
archive/ssr-kwa/manual/kerio-vpn-apple-silicon.html Normal file
View File

@@ -0,0 +1,3 @@
<h2 id="problem">Problem</h2>
<p>On apple silicon hardware the Kerio VPN service is not enabled natively. Third party kernel extensions have to be enable on Apple silicon-based Macs.</p>
<p>Follow this <a href="https://macsupport.tuxera.com/hc/en-gb/articles/4409208805522-How-do-I-enable-third-party-kernel-extensions-on-Apple-silicon-based-Macs">guide</a>.</p>

5
archive/ssr-kwa/manual/kerio-vpn-apple-silicon.md Normal file
View File

@@ -0,0 +1,5 @@
## Problem
On apple silicon hardware the Kerio VPN service is not enabled natively. Third party kernel extensions have to be enable on Apple silicon-based Macs.
Follow this [guide](https://macsupport.tuxera.com/hc/en-gb/articles/4409208805522-How-do-I-enable-third-party-kernel-extensions-on-Apple-silicon-based-Macs).

75
archive/ssr-kwa/manual/smb-server-centos.md Normal file
View File

@@ -0,0 +1,75 @@
## Ressources
- <https://wiki.archlinux.org/index.php/samba#Server>
- <https://wiki.archlinux.org/title/Samba#Client>
## Intro
As is often the case the [Arch Wiki](https://wiki.archlinux.org/index.php/samba#Server) has a fantactically detailed entry on setting up and configuring a samba server.
## Simple Config
Login at the server which should act as the samba server.
- First, install samba:
```sh
yum check-update && yum install samba
```
- Next, modify/create a file at `/etc/samba/smb.conf` with the following contents (adapt this for your needs):
```sh
[global]
workgroup = SAMBA
server string = petar
security = user
guest ok = yes
map to guest = Bad Password
log file = /var/log/samba/%m.log
max log size = 50
printcap name = /dev/null
load printers = no
# Install samba-usershares package for support
include = /etc/samba/usershares.conf
[Share]
comment = Folder to share
path = /path/to/share
browseable = yes
read only = no
guest ok = no
```
- Samba requires setting a password separately from that used for login. You may use an existing user or create a new one for this purpose.
```sh
smbpasswd -a sbxadmin
```
- Existing samba users can be listed with:
```sh
pdbedit -L -v
```
- Once finished, ensure the samba service is restarted with:
```sh
systemctl restart smbd
```
## Security config on server
### Firewalld
- CentOS uses as standard local firewall `firewalld`.
```sh
firewall-cmd --permanent --add-service={samba,samba-client,samba-dc} --zone=public
```
### SELinux
SELinux not allow samba to access folders by default, to solve this, run:
```sh
setsebool -P samba_export_all_ro 1
```
## Client
Depends on client OS. Just use Windows. Noob!

33
archive/ssr-kwa/projekt-datenschutz/20240909-meeting-datenschutzbeauftragter.md Normal file
View File

@@ -0,0 +1,33 @@
## Intro
Meeting mit Stephan Krischke
## Zukunft
- Serverraeume sollen getrennt werden (sobald 3. Partei ausgezogen sind)
- Strikt getrennte Bueros
- Sicherheits Standards pruefen bei Office365. Welche Daten sollen einsehbarsein?
## Schutz
- Keine Wasserleitung
- Absperrbarer Schrank
- Schlechte Belueftung durch gekippte Fenster
- Bueros muessen strikt getrennt sein
- Es kann einfach Zugang zum Serverraum ueber das Fenster erlangt werden
- Rauchmelder kombiniert mit Temperaturmelder
## Mail
- Spamschutz fuer Microsoft365
- Defender nutzen, um abgesichert zu sein.
## AD
- Wie werden Passwoerter gesetzt?
## Needed
- Graphischer Netzwerkplan
- Backup Plan. Was wird wann gebackupt und wie oft? Backup im eigenen VLAN. Minimal 3-2-1. Am besten 3-2-1-0-0 (VLAN)

76
archive/ssr-kwa/projekt-datenschutz/backup-scheme.md Normal file
View File

@@ -0,0 +1,76 @@
## Synology
### Storage
Die Synology hat zwei Storage Pools fuer verschiedene Zwecke.
Diese haben folgende Eigenschaften:
Storage Pool 1:
- RAID5 aus 3 HDDs mit je 7.3 TB (effektiv)
- Totale Kapazitaet von 14.5 TB
- Vierte HDD als "Hot Spare Drive" mit 7.3 TB
- SSD Cache mit zwei SSDs in einem RAID1
- Wird (in der Regel) genutzt als Dateienablage
Storage Pool 2:
- Synology Hybrid RAID mit zwei HDDs mit je 14.6 TB ("With data protection for 1-drive fault tolerance)
- Totale Kapazitaet von 14.5 TB
- Wird (in der Regel) genutzt als Ablage fuer Backups
### Ordner
Folgende Ordner liegen im Storage Pool 1:
- `SSR-750-BBSR-IBA'
- `SSR-ADMINISTRATION'
- `SSR-ARCHIV'
- `SSR-DATEN'
- `SSR-DATEN-AR'
- `SSR-DATEN-SE'
- `SSR-IT'
- `SSR-MITARBEITER'
- `SSR-PROJEKT-PRO'
Folgende Ordner liegen im Storage Pool 1:
- `SSR-BACKUP-INTERN`
- `SSR-BACKUP-KERIOCONNECT`
- `SSR-BACKUP-MAILSTORE`
- `SSR-TIME-MACHINE`
- `SSR-VM-BACKUP`
## Local Backup
### VMs
- Taeglich zwischen 4 Uhr und 5 Uhr morgens
- via "Active Backup for Business" ein Backup jeder VM
- Abgelegt im Ordner `/SSR-VM-BACKUP/ActiveBackupData/` im Storage Pool 2
### Ordner Backups
Von folgenden Ordnern wird ein lokales Backup gemacht von Storage Pool 1 nach Storage Pool 2:
- `SSR-ADMINISTRSTION` -> `/SSR-BACKUP-INTERN/SSR-ADMINISTRATION-BACKUP`
- `SSR-ARCHIV` -> `/SSR-BACKUP-INTERN/SSR-ARCHIV-BACKUP`
- `SSR-MITARBEITER` -> `/SSR-BACKUP-INTERN/SSR-COLLECT-BACKUP`
- `SSR-DATEN-AR` -> `/SSR-BACKUP-INTERN/SSR-DATEN-AR-BACKUP`
- `SSR-DATEN-AR` -> `/SSR-BACKUP-INTERN/SSR-DATEN-AR-BACKUP`
- `SSR-DATEN` -> `/SSR-BACKUP-INTERN/SSR-DATEN-BACKUP`
- `SSR-IT` -> `/SSR-BACKUP-INTERN/SSR-IT-BACKUP`
- `SSR-PROJEKT-PRO` -> `/SSR-BACKUP-INTERN/SSR-PROJEKTPRO-BACKUP`
Diese Backups werden taeglich (abgesehen vom Backup des SSR-ARCHIV Ordners, welches einmal die Woche stattfindet) durchgefuehrt. Einmal im Monat wird Daten Integritaets Check durchgefuehrt.
## Cloud Backup
Von folgenden Ordnern wird ein Cloud Backup(C2 Storage von Synology) gemacht von Storage Pool 1:
- `SSR-ADMINISTRSTION, SSR-IT` -> `/C2-SSR-ADMINISTRATION-IT-BACKUP`
- `SSR-ARCHIV` -> `/C2-SSR-ARCHIV-BACKUP`
- `SSR-DATEN-AR` -> `/C2-SSR-DATEN-AR-BACKUP`
- `SSR-DATEN-SE, SSR-750-BBSR-IBA` -> `/C2-SSR-DATEN-SE-BACKUP`
- `SSR-DATEN` -> `/C2-SSR-DATEN-BACKUP`
- `SSR-BACKUP-KERIOCONNECT` -> `/C2-SSR-KERIOCONNECT-BACKUP`
- `SSR-BACKUP-MAILSTORE` -> `/C2-SSR-MAILSTORE-BACKUP`
- `SSR-PROJEKT-PRO` -> `/C2-SSR-PROJEKTPRO-BACKUP`
Diese Backups werden taeglich abends zwischen 22:00 und 00:00 Uhr durchgefuerht.

26
archive/ssr-kwa/projekt-datenschutz/projekt-datenschutzkonzept.md Normal file
View File

@@ -0,0 +1,26 @@
## Intro
- Projekt in Frankfurt
- Datenerhebung bei Interviews
- projekt startet am 16.09 mit einer kampange, werbung, etc....
- kein(e) bestimmte(r) datenschutzbeauftragte(r) notwendig
## Problemstellung
- korrekte Aufnahme und Verarbeitung der personennenbezogenen Daten
- protokollierung des gesammelten daten und aufzeichnungen der gesammelten daten, aenderungen an den daten durchfuehrt
## Gespraech Meeting
- Umgang mit Daten haengt davon ab _welche personenbezogenen daten_ haben
- Welche Daten werden benoetigt?
- Werden die Daten anonymisiert bevor ssr sie erhaelt?
- Anbieter(in) fuer Newsletter finden, welches automatisiert die Daten verarbeitet und am besten auf keinem firmeneigenen firmenrechner speichert (kann ein kommerzieller genutzt werden)
- Wichitg ist herrauszufinden, welche Daten exakt ssr bekommt... Welche Anforderung hat die Stadt (nimmt die daten auf) an ssr?
-
## Ressources

31
archive/ssr-kwa/todo-20240725.md Normal file
View File

@@ -0,0 +1,31 @@
## List for ssr/kwa
### Large
- [ ] Kerio Lizenzen liegen noch bei griD (WIR WECHSELN ZU SOPHOS)
- [ ] Apple Business Manager (Michael ist dran)
- [ ] Handy VPN erkennt AD nicht fuer Authentizierung (erstelle lokale Nutzer fuer jeden)
- [ ] Mail client abonniert alle Projekte. Vor letztem Update war Auswahl moeglich spezifischer Postfaecher (Mail client synced alle postfaecher)
- [ ] Alle Lizenzen von griD zu uns holen
### Small
- [ ] Nina 2. MacBook
- [ ] Dominik Langsames MacBook
- [ ] Archivserver muss weg
- [ ] USV Warnmeldung verstehen und beheben
### Administrative
- [ ] Univention (AD) / Kerio Firewall needs Update
## done
- [x] Herr Wassmer Loschberechtigung bei Synology -> es gab dateien im ordner mit anderen berechtigungen
- [x] machraum email