Kategorie: IT

Danke, Wurstblatt!

Irgend­ein Geis­tes­he­roe hat mei­nem loka­len Wurst­blatt vor­ge­schla­gen, fak­tisch sämt­li­che Arti­kel hin­ter einer Pay­wall zu ver­ber­gen. Mit einer trick­rei­chen Inno­va­ti­on: Alle Arti­kel sind etwa eine Stun­de nach Ver­öf­fent­li­chung frei les­bar.
Das hier ist hin­ter der Pay­wall. Das hier nicht.
Wahr­schein­lich geht das bei allen Ange­bo­ten aus dem Haus Mad­sack so.

0

Raspi 3, Kodi, H.264

Ich habe mei­ne Fil­me immer mit H.264 und AAC kodiert, weil der Raspi angeb­lich H.265 nicht kann.

Jetzt habe ich mal spa­ßen­s­hal­ber einen Film mit H.265 kodiert, eine Video­spur, zwei Ton­spu­ren. Full HD, 25 fps.

ffmpeg -i input.mkv -map 0:0 -map 0:1 -map 0:2 -threads 12 -preset veryslow -c:v libx265 -c:a:0 libopus -b:a:0 64k -c:a:1 libopus -b:a:1 64k output.mkv

Und mal dem Kodi vor­ge­wor­fen, Ergeb­nis: Gar kein Pro­blem.

Die Cores dre­hen Däum­chen

Load

Und so rich­tig warm wirds auch nicht:

CPU Tem­pe­ra­tur

In die­sem Fal­le hat das kom­plet­te Video knapp ein GB, wäh­rend das ana­lo­ge mit H.264 3,7 GB sind. Zwar hat das enco­die­ren zu H.265 wesent­lich län­ger gedau­ert (ca. 1 Tag auf 12 Cores), aber die Platz­erspar­nis ist es das wert.

0

ethernet-wlan-bridge auf Raspian

Die Gat­tin hat beschlos­sen, im Kel­ler Sport trei­ben zu wol­len. Ich hal­te das ja für ein Hirn­ge­spinst, bei kon­stant 13°C Tem­pe­ra­tur und 70% rela­ti­ver Luft­feuch­te. Aber nun ja. Auf mich hört nach > 25 Jah­ren IT nie­mand, war­um soll­te die Gat­tin nach 33 Jah­ren Ehe auf mich hören?
Sport ohne Musik ist doof, also muß Musik her. Das Haus ist mit Sonos ver­sorgt, also muß ein wei­te­rer Sonos in den Kel­ler (Es wird ein IKEA-Sonos aka Sym­fo­nisk wer­den).
Aber ob von Sonos direkt oder IKEA — er braucht WLAN. Da unten gibt es kein WLAN, aller­dings einen Raspberry4 mit WLAN. Dan kann man als Access Point ein­rich­ten. Das ist kein Voo­doo, ein Access Point ist nichts wei­ter als ein Medi­en-Kon­ver­ter; WLAN auf Ether­net und vice ver­sa. Bei Linux macht das eine Bridge (also ein Switch in Soft­ware)
Im Prin­zip: Ich habe irgend­was (näm­lich die Bridge), da stop­fe ich das Ether­net-Kabel und das WLAN-Kabel rein.
Ich bin nach https://www.elektronik-kompendium.de/sites/raspberry-pi/2002161.htm vor­ge­gan­gen — das funk­tio­niert wun­der­bar:

pi@r4:~ $ brctl show br0
bridge name	bridge id		STP enabled	interfaces
br0		8000.2e65a1eb24d4	no		eth0
							wlan0
pi@r4:~ $

Die Sache hat nur einen klei­nen Nach­teil: Sie funk­tio­niert nicht 🙂
Cli­ents bekom­men kei­ne DHCP-Adres­se, selbst mit einer fixen und kor­rek­ten IP-Kon­fi­gu­ra­ti­on kom­men sie nir­gend­wo­hin. Was tun? Natür­lich die Admin-Waf­fen her­aus­ho­len, die ganz gro­ße Bazoo­ka:

pi@r4:~ $ sudo tcpdump -i wlan0 ether host  d0:d2:b0:17:13:32
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on wlan0, link-type EN10MB (Ethernet), capture size 262144 bytes

zeigt dann, daß der Cli­ent über­haupt mit gar nie­man­dem reden kann.
Das Ende vom Lied und nach Goog­len:

pi@r4:~ $ tail -4 /etc/sysctl.conf
# Damit die Bridge aus eth0 und wlan0 Pakete zwischen
# beiden Interfaces transportiert
# https://serverfault.com/questions/117788/linux-bridging-not-forwarding-packetsnet.bridge.bridge-nf-call-iptables = 0
net.bridge.bridge-nf-call-iptables = 0
pi@r4:~ $

Und die Schei­ße geht!

0

EdgeOS

Jetzt habe ich es ver­stan­den.

Ins­tead of app­ly­ing chan­ges with the commit com­mand, you can also use commit-confirm. The lat­ter com­mand reboots the device in 10 minu­tes (you can cus­to­mi­ze this value) unless the com­mit is con­fir­med with the confirm com­mand. This is hel­pful when you are making chan­ges to a remo­te device and you do not want to risk losing access to it. If you acci­dent­al­ly lock yourself out of the device, the Edge­Rou­ter will reboot after 10 minu­tes and the boot/startup con­fi­gu­ra­ti­on is re-loa­ded.

Eigent­lich ist das bes­ser als reload in bei IOS.

Ler­nen durch Schmer­zen! Kann ich!

0

Alles Füße, alles Schießgewehre

Na groß­ar­tig.
Kol­le­ge fuhr heu­te in die Außen­stel­le, um einen Edgerouter‑X als VPN-Gate­way zu instal­lie­ren. Ich hat­te vor­her auf mei­nem hier bei mir zuhau­se die initia­le Con­fig getes­tet, der Kol­le­ge dann in der Zen­tra­le eben­falls. Alles erfolg­reich, los gehts!
Ein­zig und allein die IP des loka­len VPN-End­points muß­te geän­dert wer­den.
Nun ist das bei Edge­OS so: Die gesam­te Kon­fi­gu­ra­ti­on steht in einer Text­da­tei: /config/config.boot. Ich habe immer die mit vi bear­bei­tet, das hat gut geklappt.
Es gibt aber auch eine Web-Ober­flä­che zum Kli­cken, die hat der Kol­le­ge ver­wen­det, um eben die­se IP zu ändern. Natür­lich baut die­se Ober­flä­che auch nur config.boot.
Jeden­falls: Es gibt nur eine Web­ober­flä­che für alle Edge­OS-Ver­sio­nen., aber unter­schied­li­che SoCs. Ist zwar alles MIPS, aber manch­mal von Media­tek, manch­mal von Cavi­um.
Media­tek kann SHA-256 in Hard­ware, Cavi­um nicht.

 

Quel­le: https://help.ui.com/hc/en-us/articles/115006567467-EdgeRouter-Hardware-Offloading

Da unser ER‑X Media­tek-basiert ist, hat­te ich SHA-256 aus­ge­wählt:

vpn {
    ipsec {
        allow-access-to-local-interface disable
        auto-firewall-nat-exclude enable
        esp-group FOO0 {
            compression disable
            lifetime 3600
            mode tunnel
            pfs enable
            proposal 1 {
                encryption aes256
                hash sha256
            }
        }

Da aber wie gesagt nicht jedes Gerät AES-256 in Hard­ware kann, bie­tet das Web-UI das gar nicht erst an, son­dern steht auf SHA‑1 — weil es für alle Gerä­te pas­sen muß, nimmt man den kleins­ten gemein­sa­men Nen­ner. Und so pas­sier­te es: Der Kol­le­ge änder­te im Web-UI nur die IP des VPN-End­points, und in der Con­fig lan­de­te dann:

vpn {
    ipsec {
        auto-firewall-nat-exclude enable
        esp-group FOO0 {
            compression disable
            lifetime 3600
            mode tunnel
            pfs enable
            proposal 1 {
                encryption aes256
                hash sha1
            }
        }

Und natür­lich kam der Tun­nel nicht hoch. Wir haben uns tot­ge­sucht (erschwe­rend kommt hin­zu: der VPN-End­point in der Außen­stel­le steht hin­ter NAT) und die Ursa­che nicht gefun­den. Erst heu­te abend kam der Kol­le­ge auf den Trich­ter.
Und die Moral von der Geschicht: Trau kei­ner Web-GUI nicht!

0

fwbuilder für MacOS

Sehr schön:

Ich kann mein MacOS nicht upgraden, da ich eine Appli­ka­ti­on nicht ver­lie­ren möch­te, deren Ent­wick­lung seit Jah­ren tot ist und die es nur in 32 Bit gibt: fwbuil­der. Bei einem Upgrade ver­lie­re ich aber die Unter­stüt­zung für 32-Bit-Appli­ka­tio­nen.
So ganz tot ist das Pro­jekt nicht, in letz­ter Zeit wird wie­der dran gear­bei­tet: https://github.com/fwbuilder/fwbuilder

Nach der dor­ti­gen Anlei­tung habe ich es für Ubun­tu gebaut bekom­men — ich brau­che es aber auf dem Mac.
Ach was, ein­fach mal pro­bie­ren — einen Ver­such ist es alle­mal wert. Also geclont und schon das cmake hat eine feh­len­de QT-Kom­po­nen­te ange­me­ckert. sudo port install qt5 — und ab da ging es exakt so wie in README.md beschrie­ben — hin­ten fällt eine nati­ve MacOS-App raus.

Sau­be­re Arbeit der Ent­wick­ler!

0

Für welche Domain signiert opendkim?

Das ist span­nend:

Ich habe auf Arbeit eine Web-Anwen­dung, die Mails ver­sen­det. Dabei sind Enve­lo­pe-From und Body-From aus zwei unter­schied­li­chen Domains, sagen wir mal:

  • Enve­lo­pe-From admin@example.org
  • Body-From user@example.net

Die Anwen­dung benutzt zum Mai­len einen Relay­host, und der macht die DKIM-Signa­tu­ren, die im DMARC ver­langt wer­den. Aller­dings signiert er für das Enve­lo­pe-From, also example.org. Min­des­tens eine Emp­fän­ger­do­main, nen­nen wir sie visa.com, bemän­gelt dies und lehnt die Mail ab:

<user@visa.com>: host portal1i.visa.com[198.241.159.109] said: 550 #5.7.1 
DMARC unauthenticated mail is prohibited. (in reply to end of DATA command) 

Ich wür­de mei­nen, DKIM hängt aus­schließ­lich am Enve­lo­pe-From, aber so ganz sicher bin ich mir nicht.

0