Die Wetterstation mißt also den Luftdruck, und sie kann nur den messen, der da ist. Der ist aber nur vergleichbar mit anderen Luftdrücken in derselben Höhe, das ist zum Beispiel beim DWD erklärt. Da meine Station etwa 20 Meter üNN liegt, muß ich also ca. 2,5 abziehen vom Meßwert, um auf den relativen Luftdruck zu kommen.
Nichts leichter als das:
Und der Effekt:
Bei mir läuft Home Assistant in einem Docker-Container auf einem Raspberry Pi 4, schon sehr lange. Anfangs als native Installation, da wurde dann aber die Updaterei bald nervig, deshalb Docker, da geht das Updaten (und Downgraden) deutlich schmerzfreier — mittlerweile kümmert sich watchtower darum, das geht alles vollautomatisch, sehr schick.
Dann kam irgendwann der Wunsch auf, die Installation auch aus dem Internet zugänglich zu machen. Der nächstliegende Gedanke war, auf dem Router einfach ein Portforwarding zu schalten: Router:TCP/443 -> Pi:TCP/443. Das hat aber mindestens zwei Probleme:
Alles nicht so fein. Also mußte eine andere Lösung her: der DNS-Name zeigt auf meinen Server bei Netcup, dort läuft ein Apache als reverse proxy:
<VirtualHost 185.207.105.125:443 [2a03:4000:1e:181::1]:443>
Protocols h2 http/1.1
ServerName hass.sokoll.com
ServerAlias home.sokoll.com
ServerAdmin webmaster@sokoll.com
ErrorLog ${APACHE_LOG_DIR}/hass.sokoll.com-error.log
CustomLog ${APACHE_LOG_DIR}/hass.sokoll.com-access.log combined
SSLCertificateFile /etc/dehydrated/certs/wildcard_sokoll.com/fullchain.pem
SSLCertificateKeyFile /etc/dehydrated/certs/wildcard_sokoll.com/privkey.pem
ProxyRequests off
ProxyPreserveHost On
ProxyPass /api/websocket wss://91.66.45.77/api/websocket
ProxyPassReverse /api/websocket wss://91.66.45.77/api/websocket
ProxyPass / https://91.66.45.77/
ProxyPassReverse / https://91.66.45.77/
SSLProxyEngine on
SSLProxyCheckPeerCN off
SSLProxyCheckPeerExpire off
SSLProxyCheckPeerName off
</VirtualHost>
(die IP ist schon lange nicht mehr gültig)
Das heißt: Der Request kommt bei Netcup an, und der Apache dort schubst ihn dann weiter zu meinem Router, dort gibt es ein Portforwarding auf den Pi. Nicht sonderlich elegant, funktioniert aber.
Nun änderte sich kürzlich die IP wieder, und ich mußte die Webserver-Konfiguration ändern, hatte mich vertippt, ging nicht, Fehler suchen und finden und beheben, bis zum nächsten IP-Wechsel, das ist doch alles Mist.
Auf dem Server läuft ein #Wireguard, das versorgt ein Telefon und einen Laptop mit #Pihole, das könnte doch auch den Pi bedienen? Wenn dann der Pi den Tunnel aufbaut, hätte ich immer dieselben IPs und könnte mir das ganze Gehampel mit Portforwarding auf dem Router sparen.
Wireguard ist simpel. Auf dem Server:
~$ ssh -l root big wg interface: wg0 public key: RzZAu5Js3c8/5yQBPlhKg2b0jkOlxHT6vLreiC1BCgo= private key: (hidden) listening port: 51820 peer: yS2cSLvEovdsLLT8ne/lixoiU87o821TgBkzrVHRFS4= endpoint: 91.66.61.253:35710 allowed ips: 192.168.3.6/32 latest handshake: 1 minute, 21 seconds ago transfer: 16.10 MiB received, 1.83 MiB sent peer: RF22N9Kb6AO0N+jqZvSIdPxtZj3CxgasdgwuW6ktGys= endpoint: 91.66.61.253:58623 allowed ips: 192.168.3.5/32 latest handshake: 1 minute, 45 seconds ago transfer: 50.42 MiB received, 715.71 MiB sent peer: OAbhrovugDdR8he1UIzy67Szh798C4lxWelSwrd3Z3o= endpoint: 91.66.61.253:1024 allowed ips: 192.168.3.4/32 latest handshake: 1 minute, 49 seconds ago transfer: 19.73 MiB received, 77.50 MiB sent ~$
Auf dem Pi:
~$ ssh -l root r4 wg interface: wg0 public key: yS2cSLvEovdsLLT8ne/lixoiU87o821TgBkzrVHRFS4= private key: (hidden) listening port: 35710 peer: RzZAu5Js3c8/5yQBPlhKg2b0jkOlxHT6vLreiC1BCgo= endpoint: 185.207.105.125:51820 allowed ips: 192.168.3.1/32 latest handshake: 15 seconds ago transfer: 1.03 MiB received, 8.97 MiB sent persistent keepalive: every 25 seconds ~$
In der Apache-Konfiguration oben noch die VPN-Adresse des Pi eintragen und Apache reloaden.
Fertsch. Funktioniert traumhaft.
Gut. Ein Problem hatte ich: Der Tunnel wird von innen aufgebaut, solange da keine Pakete laufen, ist der Tunnel unten, und das ganze schöne Konstrukt funktioniert nicht. Man könnte einen Dauer-ping im Hintergrund laufen lassen, aber das wäre nun wirklich uncool. Und dann entdeckte ich eben persistent keepalive, was das Problem elegant löst.
Wireguard rockt da house!
Ich habe bei AWS (Nord Virginia) eine VM in der kleinsten (kostenlosen) Ausführung.
Auf der läuft ein Wireguard, mein Telefon ist praktisch ständig eingeloggt. Funktioniert. Wo ich früher bei etwa Spiegel Online Werbung hatte, welche die besten Rechtsanwälte in Greifswald seien, sehe ich nun Werbung, wo in Ashburn VA SUVs fast verschenkt werden 🙂
Da ich ja krank geschrieben bin und also Zeit habe, habe ich mir ein meinem Heimnetz mal ein Pi-Hole installiert. Das funktioniert erstaunlich effektiv, damit hatte ich nicht gerechnet. Sicher, ein Werbeblocker im Browser funktioniert noch erfolgreicher, aber bei Mobilgeräten ist das meist nicht möglich, und sobald es zu generischen Apps kommt, ist es ganz vorbei. Und da scheint Pi-Hole einen hervorragenden Job zu machen.
Allerdings: Wenn ich im VPN bin, nützt das nichts. Ich könnte zwar den Pi-Hole im LAN als DNS-Server eintragen, aber wenn ich mobil unterwegs bin, ist der ja nicht mehr erreichbar.
Aber: anders als es der Name vermuten läßt, kann man Pi-Hole nicht nur auf einem Raspberry Pi installieren, sondern praktisch überall, wo ein dnsmasq laufen könnte. Also auch auf meiner Amazon-VM, das ist ein Debian. In Wireguard auf dem Telefon wird das wg0 des VPN-Servers als DNS-Server eingetragen:
Scheint sofort zu funktionieren 🙂
Hübsche Spielerei mit Nutzeffekt.
#wireguard #pi-hole #pihole
For the archive
IPv6 routing sucks on the ER‑X, tested with iperf3 from a LAN station:
pi@r4:~ $ iperf3 -6 -c iperf.par2.as49434.net -p 9231 Connecting to host iperf.par2.as49434.net, port 9231 [ 5] local 2001:470:6d:c40:828b:eb2f:26f:523e port 49342 connected to 2a0f:9240:1018::2 port 9231 [ ID] Interval Transfer Bitrate Retr Cwnd [ 5] 0.00-1.00 sec 172 KBytes 1.41 Mbits/sec 1 1.38 KBytes [ 5] 1.00-2.00 sec 0.00 Bytes 0.00 bits/sec 1 1.38 KBytes [ 5] 2.00-3.00 sec 0.00 Bytes 0.00 bits/sec 1 1.38 KBytes [ 5] 3.00-4.00 sec 0.00 Bytes 0.00 bits/sec 0 1.38 KBytes [ 5] 4.00-5.00 sec 0.00 Bytes 0.00 bits/sec 1 1.38 KBytes [ 5] 5.00-6.00 sec 0.00 Bytes 0.00 bits/sec 0 1.38 KBytes [ 5] 6.00-7.00 sec 0.00 Bytes 0.00 bits/sec 0 1.38 KBytes [ 5] 7.00-8.00 sec 0.00 Bytes 0.00 bits/sec 0 1.38 KBytes [ 5] 8.00-9.00 sec 0.00 Bytes 0.00 bits/sec 1 1.38 KBytes [ 5] 9.00-10.00 sec 0.00 Bytes 0.00 bits/sec 0 1.38 KBytes - - - - - - - - - - - - - - - - - - - - - - - - - [ ID] Interval Transfer Bitrate Retr [ 5] 0.00-10.00 sec 172 KBytes 141 Kbits/sec 5 sender [ 5] 0.00-10.07 sec 39.9 KBytes 32.4 Kbits/sec receiver iperf Done. pi@r4:~ $
From the router itself:
ubnt@sokoll-router:~$ iperf3 -6 -c iperf.par2.as49434.net -p 9231 Connecting to host iperf.par2.as49434.net, port 9231 [ 5] local 2001:470:6c:c40::2 port 46362 connected to 2a0f:9240:1018::2 port 9231 [ ID] Interval Transfer Bitrate Retr Cwnd [ 5] 0.00-1.00 sec 3.81 MBytes 31.9 Mbits/sec 0 382 KBytes [ 5] 1.00-2.00 sec 6.11 MBytes 51.3 Mbits/sec 42 421 KBytes [ 5] 2.00-3.00 sec 5.25 MBytes 44.0 Mbits/sec 5 333 KBytes [ 5] 3.00-4.00 sec 4.76 MBytes 39.9 Mbits/sec 0 364 KBytes [ 5] 4.00-5.00 sec 5.31 MBytes 44.5 Mbits/sec 0 385 KBytes [ 5] 5.00-6.00 sec 4.32 MBytes 36.3 Mbits/sec 0 395 KBytes [ 5] 6.00-7.00 sec 4.57 MBytes 38.3 Mbits/sec 2 292 KBytes [ 5] 7.00-8.00 sec 3.83 MBytes 32.1 Mbits/sec 0 316 KBytes [ 5] 8.00-9.00 sec 3.77 MBytes 31.6 Mbits/sec 3 239 KBytes [ 5] 9.00-10.00 sec 2.90 MBytes 24.4 Mbits/sec 3 182 KBytes - - - - - - - - - - - - - - - - - - - - - - - - - [ ID] Interval Transfer Bitrate Retr [ 5] 0.00-10.00 sec 44.6 MBytes 37.4 Mbits/sec 55 sender [ 5] 0.00-10.14 sec 43.5 MBytes 36.0 Mbits/sec receiver iperf Done. ubnt@sokoll-router:~$
That comes close to my regular upload bandwidth.
Now if I disable offloading for NAT:
ubnt@sokoll-router:~$ configure [edit] ubnt@sokoll-router# set system offload hwnat disable [edit] ubnt@sokoll-router# commit [edit] ubnt@sokoll-router#
results in
pi@r4:~ $ iperf3 -6 -c iperf.par2.as49434.net -p 9231 Connecting to host iperf.par2.as49434.net, port 9231 [ 5] local 2001:470:6d:c40:828b:eb2f:26f:523e port 37006 connected to 2a0f:9240:1018::2 port 9231 [ ID] Interval Transfer Bitrate Retr Cwnd [ 5] 0.00-1.00 sec 4.26 MBytes 35.7 Mbits/sec 0 443 KBytes [ 5] 1.00-2.00 sec 5.81 MBytes 48.7 Mbits/sec 40 433 KBytes [ 5] 2.00-3.00 sec 5.56 MBytes 46.6 Mbits/sec 0 491 KBytes [ 5] 3.00-4.00 sec 6.05 MBytes 50.8 Mbits/sec 40 368 KBytes [ 5] 4.00-5.00 sec 4.08 MBytes 34.2 Mbits/sec 36 286 KBytes [ 5] 5.00-6.00 sec 3.71 MBytes 31.1 Mbits/sec 0 311 KBytes [ 5] 6.00-7.00 sec 4.94 MBytes 41.5 Mbits/sec 0 324 KBytes [ 5] 7.00-8.00 sec 4.39 MBytes 36.8 Mbits/sec 0 330 KBytes [ 5] 8.00-9.00 sec 4.32 MBytes 36.3 Mbits/sec 0 330 KBytes [ 5] 9.00-10.00 sec 4.32 MBytes 36.3 Mbits/sec 0 330 KBytes - - - - - - - - - - - - - - - - - - - - - - - - - [ ID] Interval Transfer Bitrate Retr [ 5] 0.00-10.00 sec 47.4 MBytes 39.8 Mbits/sec 116 sender [ 5] 0.00-10.06 sec 46.4 MBytes 38.7 Mbits/sec receiver iperf Done. pi@r4:~ $
It’s magic!
I’ll monitor the CPU load and see whether disabling hwnat impacts the router’s performance.
Every now and then, an email arrives at my company mailserver.
From: surname_big_boss lastname_big_boss <attacker@example.com> To: surname_victim lastname_victim <victim@mycompany.com>
It is always the same: the attacker asks for the victim’s mobile number or Whatsapp number, — and in the end, they will trick the victim into transferring money to the attacker. See https://en.wikipedia.org/wiki/Email_spoofing#Business_email
And unfortunately, I had user in the past who replied 🙁
Of course, you cannot block the attacker’s email address, because it changes with every new attack.
But what if we block everything with the display name “surname_big_boss lastname_big_boss” and an email domain that is NOT one of ours? With postfix and regular expressions, that is quite easy:
~# grep ^header_checks /etc/postfix/main.cf header_checks = pcre:/etc/postfix/header_checks_map ~#
Silly naming, I know. It is not a map. But names are not important 😉
And now in /etc/postfix/header_checks_map
/^From: +surname_big_boss +lastname_big_boss +<.+@(?!mycompany\.(de|com)).*>$/i REJECT Go away phisher
Don’t forget to reload postfix after you made the change.
Of course, this works not so good if your boss is “Peter Smith”… Mine has a more unique name.
und sehr viele andere Medien auch, aber bleiben wir bei der Tagesschau als Leitmedium: Es wird berichtet, Selenskyj habe ein Interview gegeben, dieses sei aber in Rußland zensiert. Bei der Tagesschau allerdings auch, jedenfalls gibt es keinen Link. Oder meint man etwa, als Tagesschau keine Belege mehr liefern zu müssen? Dann sollte man sich nicht wundern, als Lügenpresse beschimpft zu werden.
Seriös ist das nicht jedenfalls. Deshalb:
Link auf Meduza: https://meduza.io/feature/2022/03/27/eto-ne-prosto-voyna-vse-gorazdo-huzhe
Link auf Youtube: https://www.youtube.com/watch?v=mQRTKvoLAEM
Heym schreibt über den 17. Juni 1953 in Berlin, er hat es erlebt. Er schreibt also als unbeteiligter Augenzeuge.
Die Erzählung beginnt am 13. und endet am 17. Juni, sie spielt im VEB Merkur, einem fiktiven Betrieb in Berlin. Held ist der Gewerkschaftschef Martin Witte, (natürlich) ein SED-Genosse.
Die Arbeitsnormen sind gerade staatlicherseits rabiat erhöht worden, Witte ist Gewerkschafter genug, für die Arbeiter einzutreten und die Erhöhung abzulehnen — bis hin zum Minister geht er. Das bringt ihn natürlich in Konflikt mit seiner Partei, auch die Stasi ist involviert.
Tatsächlich (es ist nicht Wittes Verdienst) wird die Normerhöhung zurückgenommen, doch es ist zu spät. Die Bewegung ist eine diffus politische geworden, immer wieder geht es um den Gegensatz “wir hier unten” und “die da oben” Es ist 1953, also 20 Jahre nach 1933, viele Arbeiter erinnern sich noch an die Arbeitskämpfe bis zurück zum Kaiser. Doch jetzt ist es ja eine Arbeiterrepublik, angeblich — wie kann man als Arbeiter gegen deren Führung streiken? Denn es geht nicht um Aufstand, sondern um Streik, bis hin zum Generalstreik. Eine Führung gibt es übrigens nicht, hat es wohl auch in der Realität nicht gegeben.
Der Roman hat einige Seitenlinien: Eine Liebesgeschichte, die Rolle des RIAS, die sowjetische Verwaltung, die weiter sieht als die SED-Kader, die Rolle der West-SPD. Mindestens zwei Erschossene gibt es auch.
Was mir das Lesen schwer gemacht hat: Die Sprache. Die Sprache aller beteiligten ist stalinistisch: Auf welcher Seite stehst Du, wir oder sie, sowas eben. Das mag damals so gewesen, heute liest sich das wie aus dem Mittelalter. Teilweise meint man, ein Brechtsches Lehrstück zu lesen:
Dabei bedachte sie
in bezug auf Gadebusch:
daß du mir bei der Hitze nicht vergißt abends zu sprengen hat er gesagt ich will nicht daß mir der Rasen verbrennt bloß weil ich mit muß auf den verdammten Ausflug
Ich finde das Buch schlecht geschrieben, und inhaltlich finde ich die Form dem Gegenstand nicht angemessen.
Große Worte eines kleinen Bloggers gegenüber Heym, das ist mir bewußt. Aber wer einen Zugang zu Heym sucht, dem würde ich anderes empfehlen, den König David Bericht etwa.
Interessant aber ist der Roman auf jeden Fall wegen seiner Veröffentlichungsgeschichte (er durfte in der DDR erst 1989 erscheinen)
Leseempfehlung? Nein, es sei denn, man ist sehr speziell interessiert
#ausgelesen
Was für ein Buch!
Dieses gehört zum Beeindruckendsten, was ich in letzter Zeit gelesen habe.
Die Geschichte spielt in einem namenlosen jüdischen Ghetto irgendwo in Osteuropa. Es gibt einen ebenso namenlosen Erzähler, der die Geschichte von Jakob Heym erzählt, einem scheinbar etwas älterem Juden, früher hat ihm eine Wirtschaft gehört: winters Kartoffelpuffer, sommers Eis.
Das Ghetto ist sozusagen schon immer da gewesen, nur manchmal erinnern sich die Menschen, wie es vor dem Ghetto und vor dem Krieg war. Die jüdischen Männer arbeiten am Bahnhof, verladen Güter. Manchmal kommt ein Zug mit Viehwagen vorbei, in ihnen Menschen. Jeder weiß, welchem Schicksal diese Menschen entgegenfahren.
Eines Tages schnappt Jakob in einer deutschen Verwaltungsstelle einen Fetzen aus einem Radio auf: Kämpfe bei (den Namen des Ortes habe ich vergessen). Der Ort ist nicht ganz dicht, aber doch so dicht, daß man ihn kennt, die Kämpfe zwischen den Deutschen und der Sowjetarmee werden Jakob also bewußt.
Und so beginnt die Geschichte: Jakob erzählt seinem besten Freund von den Kämpfen, aber nicht etwa, daß er das im Radio auf einer deutschen Wachstube aufgeschnappt hat, da ist noch nie ein Jude lebend wieder rausgekommen, deswegen würde niemand ihm das glauben. Aber er möchte, daß die Kämpfe bekannt werden, damit die Menschen Mut fassen. Und so lügt er, er hätte selber ein Radio und es eben mit diesem Radio gehört. Selbstverständlich würde es den sofortigen Tod bedeuten, wenn die Deutschen ein Radio fänden oder auch nur den Verdacht bekämen, Jakob würde ein Radio besitzen.
Die Nachricht von den Kämpfen spricht sich schnell im Ghetto herum, die Leute beginnen Mut zu schöpfen — und verlangen nach mehr guten Nachrichten, denn Jakob säße mit seinem Radio ja an der Nachrichtenquelle.
Aber Jakob hat eben kein Radio und so erfindet er immer wieder neue hoffnungerweckende Nachrichten. Derweil geht das Leben im Ghetto weiter. Menschen werden erschossen, bringen sich um, ein aufgewecktes kleines Mädchen, dessen Eltern abgeholt wurden, wird versteckt.
Jakob fällt es immer schwerer, neue Nachrichten zu erfinden, und em Ende gibt es zwei Enden, aus denen wir Leser wählen können.
Beide sind nicht schön.
Eine sehr traurige, poetische und manchmal auch lustige Geschichte, zauberhaft geschrieben. Unweigerlich kommen beim Lesen Gemälde von Chagall in den Kopf, die sind ebenso bunt, phantastisch, absurd.
Der Wikipedia-Artikel zum Buch hat noch einige Hintergrundinformationen
Lesebefehl!
#ausgelesen
Und was ist das dann?
Der Betreiber von 82.146.55.139 sitzt in Irkutsk, was zeifellos in Rußland liegt.