covering topics like ergonomic keyboard, Multicopters, Drones,... Leisure stuff...
latest blog entries
create your own custom sounds for Taranis X9D (Mac OS)
git and optware fail after Qnap update to 4.3.3
latest updates
2017-10-09 - Tags: quad taranis bash macos drohne
Everybody who owns a Taranis X9D (or something similar) is familiar with this problem: the standard soundfiles are crap and the soundpacks available for the tarans can do a hell of a lot, but not what you need.
For example, right now you can configure your quad with the Taranis and LUA-Scripting via telemtetry. You can also configure your FC to have some of those functions on certain switches - which you do not have a proper soundfile for.
So, I thought we need to create our own soundpack. fortunately this is quite simple on MacOS. There is the command say
which lets you run the text-2-speech system on the mac to say something. and this works from commandline! Awesome wonders of unix os!
say
does take some options. with -v
you define the voice to use and with -o
you can define an output (aiff) file. That is cool, but the taranis cannot use aiff - you need to convert it.
If you did not install bew
on your mac already, you should do that right now. With brew you get access to all those unix-tools that help us a lot on linux. So then you have access to ffmpeg
which is able to convert aiff into wav as we need it - just be careful to use the right settings (32000hz, mono).
You need to do more or less the same, if you want to use your taranis as Music Player during flights.
I uploaded the script here! Attention: use at own risk! And: careful - the script will erase a folder called SOUNDS in the current directory! Please be careful!
in this file, you can define the voice quite at the beginning of the file:
I use the voice "Daniel" which is an UK-English voice. But I like it, sounds quite cool.
If you have your taranis running with a different language than english, you will need to change the directories, especially rename en
to the corresponding language code.
There you can see a bash function I created to crate a wav-File from text.
Attention: the aiff files are kept for a while as ffmpeg
runs in the background for performance reasons.
those files get deleted later.
With this function you can define your sounds. It takes 2 parametrs: the filename (without extension) and the text to say to that file.
you should not change the files in the upper part of the script, as those create the system files needed by opentx to run smoothly.
At the end of the file, you can add custom texts which need to be created. I added here only a couple of values, most of them I really use in my setups:
here you can add your stuff... whatever you like!
and here you can download the script!
Have lots of fun with it!
2017-08-31 - Tags: drone drohne quad
I do own quite a lot of drones now, as you can read and see here for example. Especially the tiny whoops below 250g got my attention - not only because that with the new regulations for drones, everything that is lighter than 250g can be flown FPV without a spotter.
I do have 2 of those lighter 250g ones and a couple of brushed racers with 6 or 8mm brushed motors (like the eachine QX95).
But brushed motors do have their disadvantages and fortunately the brushless motors get smaller and smaller... So I built a small 90mm brushless quad racer:
These are the parts:
of course, you need some props and a buzzer and cable and zip-ties for mounting etc. But it was not too complicated to built, although there is not much room there...
This is pain in the ass! It took me ages to get that running. The problem is, that FrSky need an inverter for their protocol to work on the UART. So, if your FC does not have an inverter for your UART, you are screwed...
But, if you do a bit of research, heat up your soldering iron, it is not so hard to get done. You need to follow the instructions here, which explains where to solder one or two little cables on the XSR for this to work.
It is not that hard, you need a magnifying glass, calm hands and a very pointy soldering iron
But what really drove me crazy is the fact that, even after all this soldering action, that godamned thing did not work at all. But as usual, the problems was in the settings.
You need to open the betaflight console and disable the software inversion: set tlm_inversion=OFF
otherwise it would not work. And do not forget to call save
afterwards.
keep that in mind after updating!
Then telemetry worked fine!
I did not want to have an additional connector and dedicated lipos lying around here. So I usually do only have 4s Lipos and for the brushed ones 1s of course. As I have a lot of 1s batteries here, I wanted to make use of them. So I soldered one cable that creates one 2s Lipo out of two 1s lipos (putting them in Serial, quite easy actually.) Soldering it was not that hard, but it was freaking me out connecting a red wire to a black one...
USE THIS AT OWN RISK!
So with this cable I can use the lipos of the blade Inductrix. And I do have telemetry, so I know how things are doing...
As soon as I lift off, the voltage of the lipos dropps down to about 7V more or less emediately. The mini racer flies well, but the voltage is dropping.
I do have a similar problem with the AcroWhoop - read here - I think the lipos do have some fault or they are at the end of the lifetime. I will use some replacement lipos and see how that goes.
This is a very much fun little racer, not too expensive and easy to handle - especially in small areas. I did get some new lipos, but as the voltage measured goes up again after landing immediately, I decided to lower the warning levels to 6,8V and 6,6V. With that I can fly about 4 minutes with 2x 600mAh lipos...
first time flying outside in the "wild" is available on youtube - raw dvr footage
category: global
2017-08-21 - Tags: git qnap storage
originally posted on: https://caluga.de
for quite some time now, I have a qnap runnin in my basement storing whatever Storage needs, my servers or family members might have.
The qnap is also being used as git server - wich was totally fine the last couple of years but failed recently...
I just saw, that there is a firmware update pending for the TS and that this is more or less the last one for this old model (hey, the qnap is not that old, is it 3 years maybe?). There also was a warning message in the release notes that the switch to 64bit might cause some apps not to work anymore...
so far, so uninteresting. The usual blah blah... Unfortunately Optware
(which installs addidional opensource software) is only available in 32 bit obviously.
But this is something you will only learn the hard way: the software just woud not work. trying to access the GUI of it, will just result in "internal server error", "page not found" or simply "Permission denied" - depending on what you just tried to make it work.
if you log in via ssh and try to use ipkg
in the shell, you will get a file not found
error, although you tried to exec the file specifying the absolute path.
The linux gurus know - this means some lib is missing!
And in that case, I do not need to dig further - the 32 bit libs are not there anymore.
That would not be the problem, but everything installed by Optware also relies on those libs and hence fails now... bummer!
.. you install an alternative to optware called entware. You download the file and install it via Qnap-GUI. Unfortunately this tool does not have a "nice" (the so called gui of Optware was never nice) GUI for this, just a command line command called opkg
(mind the o).
after that you only need to create symlinks for the git-binaries (after fiddling with the sshd for enabling pk auth and more than just the admin user):
And as always - happy hacking!
2017-07-02 - Tags: drohne drone FPV
unfortunately it was necessary, to upgrade the blade inductrix. The original one is a bit... lame! so I exchanged the flightcontroller and gave the inductrix a new brain (Furious FPV ACROWHOOP V2 Mini
available at RCTech.
I also own the blade inductrix pro, which also runs betaflight and can be configured as such. This is helping a lot, but the Acrowhoop V2 also does support Taranis telemetry! Awesome!
externally there is not much to see, as the frame and the shell is the same. But the engredients changed a lot. This one is even better flying than the Blade Inductrix Pro so you can do a Split-S indoors also!
If you are an FPV enthusiast and need some good indoor training gear - go for it!
But: i need to upgrade my Lipos a bit, they are sagging a lot right now. I already had the Insane-Speed motors from MicromotorWarehouse but the original FC could not handle them - and i could not change the pids...
Now, the Acrowhoop flies great, bot after a couple of seconds the voltage drops to 3.3V... as soon as you land, the voltage rises to 3.9V or so. So, either the lipos are dead or the C-rating is too low for that. I will have to dig into that deeper...
Maybe you have an Idea?
category: security
2017-05-29 - Tags: virus security
As some of my readers are not that good in reading and understanding German, I'll try to write some of my posts, which might be interesting in english also. I hope everything is understandable so far - This is not a translation, just a rewrite in English. Lets start with the last post about Anti-Virus Software
People are more and more concerned about viruses. Also Mac users start to worry about that threat. So, is it neccessary to install anti-virus software on the mac? I was asked that question several times lately...
First of all, this question it totally justified. Everyone should harden his computers and phones as far as he feels safe. Actually, more than a feeling would installing an anti virus software on the mac not produce. As of now there is a handfull of harmful software known for the mac, all of them will be filtered by macs own security mechanisms and thus are not really a thread anymore.
"Soon it will be very bad for Mac users. Viruses will come..."
I hear that every year. When the new market share numbers are published and OSX gains. Then everybody tells me, that the marketshare is soon reaching some magic percentage when it will be so interesting for Virus-Programmers to write Viruses for Macs that ther will be a flood of malware. Or will there?
Of course, marketshare is definitely influencing the number of malware for a certain system. But in addition to that, you should take the necessary effort and feasibility into account. And the use... (in terms of malware: what could I gain? Keylogging? Botnet?)
I think, one should take both into account: Is the system easy to hack, it will be hacked, even if almost nobody is using it. Is the systems' marketshare not that high, but relatively simple to hack - it will be hacked! For example: the Microsoft Internet Information Server (IIS) is being attacked far more often than the marketshare leader Apache. When a system is very hard to hack, you need some good incentive to take the effort. Which could be the reason why there is no real virus for Linux or OSX.
And when I write "hacked" its more in a viruses term of use - not remote hacking of user accounts. And: it needs to be done more or less automatically by software. Otherwise there will be no real virus or worm. If somebody wants to hack a certain machine and has the knowledge, he can do it - depending on resource, effort and motivation ;-) I knew a hacker once, you could hire to hack the servers of an competitor for example. Those things are always possible. But this is almost always an administrative problem. There is no real protection against those guys. You can hack any machine you can physically touch - resources and motivation required, of course. Best example: the Jailbreaking of iOS! But if there is enough motivation, resources and knoledge, you're not really safe (see NSA & Co). So it's a question of effort: to hack the machine of a 14 year old student is definitely not as interesting as hacking the machine of a CEO of a big company or a politician.
Same thing is valid for malware and viruses: Malware is not developed for the fun of it (well, at least most of the time it's not). People want to make money with them. This is the only reason why there are Viruses! Maybe that's the reason why there is still the rumor, that actually the Anti-Virus-Software vendors pay some virus developers to spread viruses every once in a while. who knows... i cannot rule that out for sure. I met some Russian guys who claimed that to be true. If so, then I don't understand why there is so few malware for Linux and OSX. That would be a huge market for Anti-Virus-software vendors - millions of users, complete new market segment worth millions or billions of dollar.
I think, viruses are only developed to directly (data theft, credit card fraud etc) or indirectly (by spamming, using hacked machines as bots on the way to the real target, bot nets etc) to MAKE MONEY! And when money is involved: the effort and resources necessary to achieve that must be lower as the estimated revenue of course. So we are at the combination of effort and marketshare again. Marketshare influences the potential revenue (assuming that when more machines are hacked or affected by malware, more money is being made), efforts are the cots. And in some cases this is obviously not a positive figure...
First of all, you need to distinguish between the different kinds of malware. In media and the heads of non-IT-guys all malware is named "Virus". But it's necessary to know what kind of software pest is out there in order to be able to protect yourself against those effectively.
The media and in the heads of non IT guys usually every malware is called a "virus". But in order to be able to protect yourself from those malware, it is important to know exactly what you're dealing with. You can classify three different kinds of malware: Viruses, Trojans and Worms - but there are some mixtures of those in the wild, like a virus which spreads like a worm - hence toe umbrella term "malware").
virus
is a little program, which reproduces itself on the system and does dort it's dirty stuff. most of the time, those viruses do exploit some security holes in order to get more privileges. If those privileges are gained, the virus will do things things, you usually do not want him to do - like deleting things, sending data do a server...trojan
is most similar to a virus, but needs the users help to get installed. Usually it looks like some useful piece of software, a tool of some kind, but in addition to the funktionality you desire, it also installes some malware on the system. Usually the user is being asked, that the software needs more access - on OSX at least. But even if it does not seek privilege escalation, your data still is at risk. See wikipediaworm
is a piece of malware, that is capable of spreading itself over the network (either locally or over the internet, see wikipedia). You can easily protect yourself against worms if you just unplug the network from your computer (and/or disable WiFi) or at least disable internet access. Sounds insane, but I myself was at some offices and departments, who do exactly that: They are unplugged from the internet in the whole building, only a certain room, which is specially secured, does have internet access - but not into the local network.ransomware
these are usually some trojans which do then use bugs in the system to encrypt all data. And you only can decrypt it, if you send a couple of bitcoin to the author.you always get such "warning messages" on the mac, if any malware wants to do something, that is out of the ordenary and does need system privileges. Exactly that happened a couple of months ago when there was a Trojan, who was installed using Java and a security issue therein. But still, the users were asked, that the software needs more privileges. And enough people just said "yes" to very question...
Please do not get me wrong, I do not want to deemphasize malware. It is out there, and does cause a lot of harm and costs. But you can be saved by trojans more or less by using common sense:
It is getting harder, if the trojan uses its newly gained privileges to hack the system itself, maybe even exploiting additional security issues there, so that the user is not being asked. Then a secure operating system architecture is helping to avoid those kind of things. Which is usually implemented by all unix OS.
Viruses and worms can not be avoided so easily hence those do exploit bugs in the system. But even then, Unix based systems are a bit better suited for that case than others.
This is according to a very strict separation between "System" and "Userprocesses" and between the users themselves. And, especially on OSX, we have Sandboxing as an additional means against those malwares. And the graphical user interface is not bound so tightly to the operating system kernel like it is in Windows NT for example.
But, overall, the Admin of the system is the one, really determining how secure a system is. He should know about the problems, his OS has and can take counter measures accordingly.
if we are talking about malware, whe should also have a closer look at mobile devices. Especially Smartphones and alike are often attaced, because they do have a lot of interesting data which are just worth a lot of money. Or you can just make money directly (e.g. by sending expensive SMS).
to "beak into" such a closed system, very often security relevant bugs are exploited. But sometimes just social engineering is also successful.
Usualy the user is than made to do some certain action, that does involve downloading something, that is installing a trojan on the system. or just opening the system that the attacer than can install some malware. Or you just "replace" an official app in the corresponding appstore.
Trojans on the smartphone usualy are masked as litte useful tools, like a flashlight app. But they then copy the addressbook and send out expensive short text messages, switch on video and audio for surveillance and so on.
It's hard to actually do something against that, because you do not know, ob the app, you install does something evil or not. Apple is trying to address this problem with the mandatory review process that all apps in the Appstore need to pass. All apps need to pass an automated and a manual check before anyone can download it. The apps are for example not allowed to use unofficial API (for accessing the internals of the os) and that the app does exactly what the description of the app tells the users it does.
This is no 100% protecion, but it is quite good (at least, i do not know any malware on the appstore right now).
But I would also name WhatsApp, Viber and alike as malware. Those do exaclty that, what a trojan would do. Grab data, upload them to a server. But here the user happily agrees and likes it.... but that is a different topic.
on iOS users are a bit more secure, than on andriod (if you do not jailbreak your iphone). Android is based on Unix, but some of the security mechanisms within uinx have bin "twisted". So there is a "kind of" Sandbox, just by creating a new user for every app on the device. So all processes are separated from each other. Sounds like a plan. But then you end up having problems with access to shared resources, like the SD-Card. This needs to be global readable!
Also the Security settings of apps can at the moment only take "all or nothing" (that did change in later versions, at least a bit). So you can either grant the app all the permissions, it wants. or No permission at all.
Problematic is, you need to set the permissions before actually using it. This makes it very easy for malware programmers, as people are used to just allow everything the app needs.
IN addition to that, Andriod apps do have an option to download code over the internet - this is forbidden in iOS. And there is a reason for it: How should any reviewer find out, that the code downloaded stays the same after the review? Today I download weather data, tomorrow some malware wich sends chareable short texts?
Another problem is, that there is not one single store for android but more like a quadrillion of them. Hence you can install software from almost any source onto your andriod device.
of course, every os does have bugs which might be used to execute good or evil code on the device. Hence there are updates on those OS on a regular basis, which should fix security relevant bugs and issues. with iOS you can be sure, that you get updates for your device and the OS on that for at least a couple of years. (current iOS run on 3 to 4 year old hardware still). With android it is not as easi to make such a statement as the support is strongly depending on the vendor. It might be, that support for devices not older than 1,5 years are stopped. Especially the cheap Android phones loos support quite ealry, which means there are still Android 2.x out there (and you actually still can buy new devices with that installed). Including all the bugs, that the old OS version had - which makes it quit interesting for malware authors.
in combination with the a bit more insecure system and the unsecure sources of software, this makes android a lot more prone to be hacked or infected by malware. And this makes it especially interesting for the bad guys out there.
This is leading to really rediculous things like virus scanners and firewalls for smartphones. read it here in German
You can say about apple, what you want, but the approach of the review of every app for the appstore is at least for the enduser a good thing (and by that I do not mean the power user who wants to have his own Version of the winterboard installed). Even if you are not allowed to do "all" with your phone - Normal users usually do not need to.
And the poweruser can jailbreak his iphone still - and if he knows what he is doing, it might be ok.
Unfortunately viruses, trojans or more generic malware, can use any bug of any software on the system, no matter if it is part of the OS or not. So a breach can be done via a 3rd party software. Like the "virus" that was infecting a couple of thousand macs through a installed java. In this case, the user again was asked several times(!) if he wants to grant admin permission to a java app - if you agree to that, your system is infected. If not - well, nothing happens. Common sense is a great "Intrusion Prevention System" here.
Of course, osx or any other operating system cannot avoid 3rd party software of doing some dubious things - especially, if the user agreed to it. But the software is only able to gain the permissions, what the software that was used as gateway has. An on OSX and iOS all applications run in a Sandbox with very limited permissions. If the app, a malware uses as gateway does not have admin permissions, well, the malware won't have it neither.
If all 3rd party software you run on your system only has minimal permissions, then a malware that would use those as a gateway would also have minimal permissions, and could not do too much harm (and could easily be removed).
But the thing is, just getting access as a normal user is not the goal of such a virus vendor - they want your machine to be part of a botnet in order to sell your computing power or to use it in the next DDOS-attack. Or just use it as spambot.
Also it is in the best interest of this virus vendor to make it as hard as possible to remove the software from the system. So everything needs to be burried deeply into the system files, where normaly no user takes a closer look at.
And this is usually only possible, if the malware would get admin permissions. It could use "privilege escalation" hacks in order to gain more permissions - best case, without the user knowing.
Usually, the user should be asked, if any process tries to gain more permissions, and the user may or may not agree to that (that happens every time, a process tires to do something outside of the sandbox). of course, that would be bad, as it would reduce the success of the virus. So virus vendors try a lot to avoid this kind of informing or asking the user.
on unix systems this is quite some hard task, or at least a lot harder as on windows OS see here or here. In almost all of the cases, on osx the user is informed about software that does do something strange.
But there is one thing, we should think about even more: if any software could be used as a gateway, I should reduce the number of programs on it to a minimum (especially those, with network functionality... which is almost any app nowadays). Especially I should keep software that runs with admin permissions do the absolute minimum - which is 0! Unfortunately, virus scanners and firewalls and such "security" software, need admin permissions to do their job. This is one of the reasons, why anti virus software is very often target of attacks from malware and viruses and end up as spreading the very thing they try to protect us from. (this has happened on windows machines)
Then, count in that a Anti-Virus software can only detect viruses, that are publicly known for a while, you actually would not increase the protection a lot by installing this on your machine.
Same thing goes for firewalls, which have their use on windows systems unfortunately, but not on unixes or osx. How come?
Well, on unix systems the network services are usually disabled, or not installed! so the visible footprint on the internet for such a machine is quite low.
Windows on the other hand, is depending on some network services to run, even if you do not actively use it. Disabling those serivces (and SMB is one of them - this was used by wannacry!) would affect the system in a bad way and some things would not run as expected see here.
Hence, if your system does have a minimal footprint - or attackable surface - you do not need a firewall.
Btw: do not mix up this local firewall, with a real IP-filter firewall that is installed in routers!
So, there is a lot that explains, why using virus scanners on the desktop (especially if it is a unix desktop) can have negative effects or at least no effect. So, you're probably fine without them...
But on servers, things look a bit different.
If i have clients are not well maintained or I just do not know (or just windows ), I want to avoid storing data on my server, that could infect them. So, even if the viruses do not infect my server, or my mac. The mails could be read by other clients, that might then be infected. So, be nice to your neighbors...
Do not forget, virus scanners do need some resources. And sometimes a lot of it (they monitor every access to/from the system, which in return can or will slow it down to a certain extend).
Whatever you do, security comes with a cost. in "best" case, things get inconvenient to use, cause you need to do complex authentications or need to agree to a lot of popups that pop up every second (remember Windows Vista? )
in the worst case, there are errors because of the high complexity, or expensive bacause you need additional hardware (iris scanner, external firewalls, Application-level firewalls that scan data for viruses...) and still being inconvenient at the same time. And time consuming (those systems need to me maintained).
So, you need to decide, what level of security do you want, and what is senseable. The use of an Iris Scanner for the Bathroom is probably a bit over the top... don't you think?
the best weapon in our hands against malware still is the thing between the ears! Use it when surfing, when installing software. No software will ever be able to stop you from doing something stupid to your system.
So, it is not ok to feel to safe when being on a mac. This leads to sloppiness! Passwords for example, need to be real passwords. If the password could easily be guessed, why should a malware take the detour for hacking the system? It could just "enter" it and you lost your system to the bad guys....
I don't want you to get paranoid on that neither! Just keep your eyes open. When installing software, only do it from trusted sources. And, from time to time, have a closer look. There was malware available in the AppStore for a couple of days / weeks before apple removed it. Even the best system can be outwitted.
You should think about, which apps you use and which not. And even apps, that are not really malware per se, dan do harmful things - like whatsapp and viber. You should ask what is happening there! I mean, whatsapp is uploading the addressbook to facebooks servers and the people whos data you upload there, are not asked if they like that... just a small example...
Just remember: if the product is for free, then YOU are the product
There is no such thing as free beer!
I tried to be not tooo aniti microsoft - which is hard, because most of the security issues are only existing on windows systems. Unfortunately on windows the user needs to make it secure and stop it from doing harmful things.
Anti Virus software does lull in the user to make him feel safe, but most of them really have a louse detection rate. And really new viruses are not detected at all.
So, should you install anti virus software on a mac? You need to decide yourself, but I tend to "no, you should not". But there are valid reasons to see it differently. But I am not alone with my thoughts: see here and here.
But you definitely should distinguish between desktop and server, as you may be serving out data to windows machines as well, a virus scanner might be a useful thing.
Almost all I wrote here is valid for osx and for linux or other unixes. Right now, there is no know wide spread malware out for unix based systems, that I know of.
category: Service in Germany
2017-05-29 - Tags: Ergodox TestOfTools tastatur keyboard
about 2 years ago I got my Ergodox EZ Keyboard via Kickstarter. I now own two pieces of them, one for home, one for work and I really lave them. I wrote here a little review about them.
Now, the older one has a little flaw now. for some reasons the E
- key sometimes just does not work (so if you see an e missing here somewhere, it is due to that... and that I did not notice it).
The guys at Ergodox-EZ (well, not someone, actually the Founder himself Erez Zukerman) did answer very quickly to my question. They told me quite fast, that I will get a replacement unit in the next couple of weeks.
This is awsome! I really love the support they do! This is what support should be like!
I will post here, when I got the replacement...
Update 29.05.2017: The replacement unit arrived today. Everything is working flawlessly and it took only 3(!) days to have that sent over from Korea! No problems with customs and especially no problems with the e
-key anymore
Thanks to ergodox-ez and especially to Erez Zukerman!
2017-05-20 - Tags: drone Drohne
During time and usage the number and kind of drones one flies change... so I wanted to show here my current pool of drones. This will change over time, of course. These things tend to get broken more or less often - if you do it right So, hier is a list of all flyable drones...
Some words for the technology behind it. Not everyone does know, what these mean:
FrSky
and use the Taranis X9D Plus
which I can really recommend to anybody. If you want to get in to this hobby, you should first get yourself a propper transmitter! This one you can plug into your computer and can practice until you finished your real quad. I got mine from Amazonbut now back to my list:
Lisam210
Frame. is a 5" Racer, KISS based, Schubkraft 2206/2500KV Motors Emax Nighthawk 200
- my first self build or self rebuilt drone... So, that’s it for now. It will be changing over time. And I will post some things about how to build them, and what I learned during time.
category: security
2017-05-20 - Tags: jblog
so, I just took the time (hours) to clean all old imported blog entries from hackers content.
Was not as easy as hoped, as the hackers just changed some posts and added some links in there. The links usually did not work anymore, but it is annoying anyways.
I hope, I removed everything. If you see anything, please let me know...
category: global
2017-05-20 - Tags: tweet
no english version available yet
category: global
2017-05-20 - Tags: tweet
"The difference between crap and nothing is actually quite big..."
category: Computer
2017-05-20 - Tags:
no english version available yet
Das war knapp. Die Telekom wollte ja ab 2016 die Downloads der Flatrates beschränken, was ja angeblich nur „wenige Nutzer treffen würde, die hohes Datenvolumen“ benötigen. Jetzt sahen das Richter am Landgericht Köln dann doch anders…
Im Endeffekt folgten sie auch der Argumentation der Kritiker dieser Drosselungsstrategie, dass damit eine ungerechte Benachteiligung stattfinden würde – insbesondere für Nicht-Telekom-Dienste! Denn telekomeigene Dienste (wie z.B. T-Entertain) würden ja nicht zu dem Datenvolumen hinzugezählt werden, alles andere (wie z.B. Youtube) aber schon.
Auch würde es über kurz oder lang eben nicht nur einige wenige treffen. Streamingangebote sind gerade stark im kommen und diese Dienste werden immer wichtiger werden.
So sahen es auch die Richter…
Nachdem sogar die Bundesregierung das ganze eher kritisch gesehen hat, ist das Urteil zum Glück nicht ganz unerwartet. Es gibt doch noch Recht und Ordnung in Deutschland! 😉
Natürlich geht das den Verbraucherschützern noch nicht weit genug, aber es ist ein Start!
Details dazu gibt’s hier:
http://www.sueddeutsche.de/digital/urteil-zu-plaenen-der-telekom-gericht-stoppt-drosselkom-1.1807138
category: Computer
2017-05-20 - Tags:
no english version available yet
So, das war erstaunlich einfach. Gestern ist mein Airport Extreme von Apple geliefert worden und ich hab mich ran gemacht, das ganze mal einzurichten.
Apple-Üblich lief das total unproblematisch… Das MacBook hat von sich aus das Airport Konfigurationsprogramm gestartet, und auf den iOS-Geräten tauchen die AirPorts dann in den Einstellungen unter WLAN auf – echt vorbildlich!!! super einfach
Naja, so richtig viel einstellen kann man da eh nicht, muss man ja zum Glück auch nicht – es funktioniert Apple-typisch simpel. Eine super einfache Lösung für 90% der Haushalte! Und die werden eben nicht mit irgendwelchen zusätzlichen Optionen genervt, die sie sowieso nicht verstehen.
Ich hätte gerne mehr an den Optionen rumgespielt, aber es geht ja auch so 🙂
Wie hab ich das eingerichtet:
Die Einrichtung war denkbar einfach, ging mit dem Telefon völlig unproblematisch.
Jetzt werden einige vermutlich sagen „der hat sie nicht alle, warum braucht der ein WLAN im Keller?“. Der Einwand ist berechtigt, aber dort steht unser NAS und auch der MacMini, welcher die iTunes Mediathek verwaltet. Deswegen war es nötig bzw. sinnvoll auch da ein WLan einzurichten – vor allem auch wegen dem WLAN-Sync von den iOS Geräten.
Vergleich zu vorher:
Ganz ehrlich – kein Vergleich! Die WLAN Stabilität hat um 1000% zugenommen! Wir können jetzt surfen, auch wenn im iPhone oben die WLan-Signalstärke mit nur nem winzigen Balken angezeigt wird. Funktioniert tadellos! Auch Streaming funktioniert nun ohne Probleme! TV Genuss auf jedem iOS Gerät oder Computer… keine Aussetzer mehr!
Was erstaunlich ist, jetzt funktioniert auch das Surfen mit dem iPhones besser. Es war mir bisher nicht aufgefallen, dass es vorher wirklich einen „lag“ gab, aber jetzt ist es gefühlt 100% schneller. Außerdem funktioniert jetzt endlich der iTunes WLAN-Sync wieder. Der war so gut wie nie stabil gelaufen – ich hab es immer auf die Baulichen begebenheiten der Wohnung / des Hauses geschoben. Jetzt weiß ich: die Wohnung war unschuldig!
Die Fritz!Box ist im Vergleich ja echt ne lahme Krücke 😉
Klar, man kann jetzt sagen, dass sich die Geräte aus einem Hause vermutlich am besten vertragen – was sicherlich richtig ist, aber auch die Playstation und das Samsung-TV hat jetzt endlich eine stabile Anbidung.
Es gibt da wohl ein paar Foren Einträge, dass sich die Fritz!Boxen mit ihrem Draft-N-Standard nicht mit Macs vertragen – oder umgekehrt. Das ist das blöde an einem Draft-Standard: Es ist kein Standard! Also Augen Auf beim Routerkauf! Dennoch lief ja alles so weit und beim normalen Arbeiten ist es einem nicht wirklich aufgefallen. Aber wenn größere Datenmengen übertragen wurden, oder streaming Services (Radio, TV, youtube, …) genutzt wurden, hats schnell geklemmt. Und die Reichweite war im Vergleich doch eher gering. Mit der Fritz!Box und 2 Repeatern bin ich nicht so weit gekommen, wie mit den Airports
Und ja, das ist vermutlich nicht die Fritz!Box allein, sondern eher Fritz!Box an ungünstiger Position in Verbindung mit dicken Wänden und nur in Verbindung mit Apple… ehrlich gesagt: is mir egal, was genau es war – nun läuft’s, wie es soll 🙂
Empfehlung:
Falls ihr eine Fritz!Box habt und ihr Verbindungsabbrüche und WLan-Probleme habt, bzw. das einfach nicht so flott funktionieren will, wie es eigentlich sollte. Dann schaut euch doch mal nach einem neuen WLAN-Router um. Die baulichen Begebenheiten müssen nicht unbedingt die Ursache für die WLan-Schwierigkeiten sein – diese Begründung hab ich mir auch die ganze Zeit eingeredet. Offensichtlich war es doch die Box.
Versteht mich richtig: Die Fritz!Box ist ein super DSL-Router, Funktionalität ist sehr gut, nur weil das WLAN nicht sooo leistungsstark ist, werde ich nicht wechseln. Aber falls ihr euer WLan dann doch verbessern wollt, schaut mal, ob es irgendwo nen günstigen WLAN-Router gibt. Evtl. könnt ihr euch ja testweise mal einen ausleiehen (oder ihr findet einen beim Aufräumen, so wie ich ;-)). Hier hat das die Qualität des Interet deutlich erhöht!
category: global
2017-05-20 - Tags: tweet
Good Morgning…. #tgif
category: global
2017-05-20 - Tags: tweet
no english version available yet
category: Computer --> Test of Tools
2017-05-20 - Tags: test of tools
no english version available yet
Seit kurzem ist die lang erwartete 4. Version von 1Password über den App-Store verfügbar. Ich nutze zwar schon die Vorgänger-Version, aber es ist mal an der Zeit ein paar Worte zu dem Tool hier zu verlieren
Der Sinn von 1Password verbirgt sich bereits im Namen: es geht darum, den Wust an Passwörtern, Zugriffscode, Pins etc. irgendwie sicher zu speichern und - im Idealfall - auch zwischen verschiedenen Geräten zu synchronisieren. Und auch die Sicherheit zu erhöhen: denn da man sich die Passwörter dann nicht mehr merken und auswendig lernen muss, ja sie meistens nicht mal mehr eintippen muss, kann man auch "richtige" Passwörter vergeben (mind. 8 Zeichen, Groß- und Kleinbuchstaben, Zahlen und Sonderzeichen).
1Password ist zunächst mal eine App, in der man recht einfach seine Passwörter und sichere Informationen eingeben und verwalten kann. Dabei kann man eben nicht nur Passwörter, Logins und Pins verwalten, auch Software Lizenzen, Kreditkarteninformationen sowie Der Zugriff all diese Daten wird durch ein sog. Master-Passwort geschützt. Auch da sollte man tunlichst ein gutes verwenden, aber da es ja das einzige ist, was man noch braucht, kann das ja gerne etwas komplexer sein (daher der Name "one"-Password).
Die Oberfläche von 1Password selbst ist aufgeräumt und man kann schnell an seine Daten rankommen:
Das wichtigste ist natürlich, seine Daten strukturiert abzulegen, so dass man sie auch wieder finden kann. Das geht auf verschiedene Art und weise: Zunächst werden die Einträge nach Typ gruppiert, so z.B. Logins, Bankkonten, Kreditkarten, Wirelesss router, Premienkarten etc. Da kann man die Suche schon eingrenzen. Bestimmte logins oder so kann man dann auch über "Suchen" finden. Es werden dann nur passende Einträge angezeigt. So, wie man es auch von anderen Apps kennt. Des Weiteren kann man all seinen Einträgen Tags zuweisen. Das sind kleine schlüsselworte, über die man dann auch suchen kann. So kann man z.B. alle Einträge (Passwörter, Kreditkarten, Email-Konten etc) die beruflich genutzt werden mit "Arbeit" taggen und so auch schnell wieder finden. Oder man denkt sich eigene Tags aus. Eine Besonderheit ist, dass 1Password darauf hinweist, dass man sehr alte oder unsichere Passworte hat:
Das ist eine sehr sinnvolle Eigenschaft von 1Password. Es werden da alle Einträge, unabhängig von deren Art angezeigt. So werden dort auch z.B. Kreditkarteninformationen aufgelistet. Es soll einen wohl daran erinnern, dass man auch bei diesen Einträgen die PIN von Zeit zu Zeit aktualisieren sollte.
Besonders hilfreich, ist die kleine "Mini"-App, die im Hintergrund läuft und immer dann da ist, wenn man grad ein Passwort sucht. Natürlich wird auch der Zugriff darauf vom Master-Password beschränkt. Die gezeigten Einträge sind abhängig davon, welche Webseite man gerade anzeigt, bzw. auch welche App gerade im Fokus ist
hier waren für die geöffnete Safari-Seite 3 Passwörter gespeichert und hätten mit einem einfachen klick in der Seite eingefügt werden können (sofern passende Formularfelder gefunden werden). Sehr praktisch ist auch, dass der Passwortgenerator her aufgerufen werden kann und vor allem sehr leicht in der geöffneten Webseite eingefügt werden kann. Da hat 1Password eine gute "Ahnung" was wohl die Passwortfelder auf der Webseite sind. Auch kann man über dieses Menü gleich auf die URL verweisen und sich dort einloggen! Das funktioniert natürlich nur dann, wenn die Passenden URLs bei den Einträgen hinterlegt sind.
Ein besonderer Clou von 1Password ist die Synchronisierung zwischen mehreren Endgeräten. Das ist vorallem in Verbindung mit 1Password auf dem iPhone oder iPad praktisch. Denn der Safari kann das ja (noch) nicht. Die Synchronisation kann über mehrere Wege erfolgen:
Sicherheit wird in 1Passwort wichtig genommen, gerade weil die Daten synchronisiert werden und irgendwo auf fremden Servern rumliegen (iCloud, DropBox). Es wird nicht einfach nur auf AES oder ähnlich bekannte Verschlüsselungsverfahren gesetzt, sondern insbesondere auf “Password Based Key Derivation Function version 2”, was es schwere macht mit Brute Force Attaken das Passwort zu "erraten". Details dazu gibt’s auch hier: http://learn.agilebits.com/1Password4/Security/1P4-security-changes.html
In den Einstellungen kann man festlegen, ob man z.B. das 1password-Mini überhaupt verwenden möchte, ob und wie Backups der Passwortdatenbank erstellt werden soll, ob und wie sich 1Password mit anderen Geräten Syncrhonisieren soll und auch ein paar Sicherheitsrelevante Dinge können festgelegt werden.
Hier kann man auch sein Master-Passwort ändern (was dann auch auf allen Geräten verwendet werden muss!) oder den Zugriff für 3rd-Party Anwendungen (wie Alfred oder Quicksilver) ermöglichen. Letzteres ist natürlich ein Sicherheitsrisiko, denn ein Trojaner könnte sich ja als Alfred ausgeben. Eine Besonderheit ist noch, dass man einträge einzeln als Json exportieren kann oder sich dessen eindeutige UUID ausgeben lassen kann. Das sind sicherlich dinge, die nur für entwickler interessant sind. Ist per Default auch ausgeschaltet. Besonders interessant finde ich, dass 1Password die Zwischenablage von kopierten Passwörtern nach einer gewissen Zeit wieder löscht. D.h. wenn man ein Passwort kopiert hat, wird einfach nach 5 Minuten die Zwischenablage wieder überschrieben. Das kann manchmal etwas verwirrend sein, erhöht aber die Sicherheit.
##Preis
Da sind wir bei einem der größten Nachteile von 1Password. Die Suite geht so richtig ins Geld: zur Zeit kostet die App für den Mac $39,99 bzw. 35,99€ - der reguläre Preis liegt noch höher. Die Apps für iPhone und iPad (eine universal app) liegt bei $17,99 bzw. 15,99€. Für Android und Windows gibt es auch Versionen, die preislich ähnlich angesiedelt sind. Das ist schon happig und sicherlich kann und will sich das nicht jeder leisten
Ich finde, 1Password trägt aktiv was zu einem sichereren Internet bei indem es einem die Möglichkeit gibt, echte Passwörter zu vergeben und auch zu verwenden. Meine Passwörter sind mittlerweile alle mind. 10 Zeichen lang (meist länger) und bestehen aus Zahlen, Sonderzeichen und Groß- sowie Kleinbuchstaben. Ich muss mir zum Glück keines davon merken - nur das Master Passwort. Und das muss man nicht immer eintippen. Ein großer Vorteil ist, dass 1Password für alle gängigen Systeme verfügbar ist (Windows, Mac OSX, iOS, Android). So kann man auch zwischen den Welten seine Daten synchronisieren! Wenn der hohe Anschaffungspreis und die Probleme bei der Wlan-Synchronisierung nicht wäre, gäbe es wirklich volle Punktzahl. Vor allem, weil eben nicht nur Passwörter, sondern auch andere Zugriffscodes, Pins und sonstiges gespeichert werden. Also, alles in Allem:
7/10 Punkte
category: Computer
2017-05-20 - Tags: beta compatibility osx test yosemite
no english version available yet
category: global --> keyboards
2017-05-20 - Tags: ergodox-ez tastatur keyboard
The first persons to get the ErgoDox EZ were lucky, and happy. Only until they learned, that there is a little flaw in the first Batch of ErgoDox-EZ's (what's the correct plural for that?). The thing is, if you happen to connect your EZ to the computer without having the two halfs connected properly, the keyboard might stop working for good. Everybody from the first batch got this little Email from Erez explaining things and offering this reinforcement kit. I chose the reinforcement kit - as it needs a bit of soldering, it might not be the solution for everybody.
Just to make that clear, this does only affect a very little number of the first customers to receive the ErgoDox-EZ - only those, from batch 1 - not batch 1a or batch 2. Only if your ErgoDox got this batch number. And you got an email from Erez about this problem, too. So, if you did not receive this email, you probably have a different batch.
Why do I create this post, if it does not affect a lot of people:
This kit needs to be soldered and fixed at the PCB of both halfs of the ErgoDox, but it is actually not that hard...
Today I received the Reinforcement Kit from USA. It took quite some time to get shipped and through customs. Which is a bit strange, as the kit only contains
And that's it! The two little PCBs need to be soldered to the PCB of each keyboard half, should not be so hard....
It took me about 30 minutes in total to do that, and I'm really not practiced in soldering such delicate things. It worked fine, as it seems.
First you need to remove the stickers from the back, as below the sticker there is one screw that needs to be removed. You only need to loosen those screws and then take the lid off...
To remove the stickers, a cutter actually comes in very handy.
Just to mention: on the big sticker there is actually a little small sticker with your serial number. I removed that first (also with the help of the cutter) and kept that for reattaching to the new stickers afterwards...
After that, remove those screws one after the other. That should be more or less self explanatory😉
I kept the screws "lying" in the holes, so I did not need to search for them when putting everything back together. So I removed the lid with the screws still inside the holes, but lose.
You might have noticed that I put some valcro tape on the back of both halfs. This way I can "stick" them together for transportation purpose. In my case it’s a bit tilted, so I don't need to remove the tent. Makes transporting the ErgoDox EZ a bit more safe and easy.
So, back to the Reinforcment Kit. When you removed it lid, you reveal the real beauty of your keyboard, the inner soul ;-)
"Above" (or below, depends on your point of view) the inter-keyboard-half-connector (or simple: audio jack), there you need to solder the little PCB that came with the kit to the PCB of the keyboard:
If you have a look at the labels on the keyboards PCBs, they're actually wrong... meaning that the left half of the keyboard is actually labeled right. But this is probably due to the production process. So keep calm, all is ok..
So, now you only need to fix the kit-PCB to the big one. This not that hard to do, you only need to solder it on 4 places. What makes it a bit hard is that it is so damn small! If you're not used to soldering such delicate things, take your time. For some experienced guy this is probably done within a couple of minutes.... I took my time doing that... and it ended up being really kind of ugly:
it really does not look good, but it seems it is working fine. At least the keyboard is... and that's what counts for the moment ;-)
After soldering you only need to repeat the steps above in the opposite order... and voilá! You reinforced your Ergodox-EZ!
I asked Erez how would I know, if the soldering went on well? How do I know that the fix is in place properly.... the answer was "if your keyboard is still working, everything is fine." - So, as I type this on my reinforced ErgoDox-EZ, it seems to be all fine!
category: Computer
2017-05-20 - Tags:
no english version available yet
category: Computer
2017-05-20 - Tags: tweet fun
category: global
2017-05-20 - Tags: jblog
hi ho,
as you all know, the software here is quite new and of course i found some bugs i did not realize till I went live...
unfortunately I cannot deploy without downtime yet sorry
I will try to keep it to a minimum!
Thanks!
2017-05-19 - Tags: drone legal gesetzliches drohne
Some of you might know, that in Germany there is a new regulation for drones and UAVs (unmanned areal vehicle). I just wanted to post something about that. As this is my Hobby and I'm directly affected by this...
I already wrote some things about that here.
Now, since a couple of months this new regulation is effective, wich is aiming a lot at those camera carrying drones like Phantom and such. (This list is not intended to be exhaustive. This is what I researched for me and my type of flying)
in addition to that, the old No-Fly-Zones (Airports, Helipads etc) are also still valid. Also flying in natural reserves usually is vorbidden.
For the usual drone-Flyer thit actually does not mean a lot of change. Well, except for those, who like to fly 200m high, this might be a bit annoying.
But the most important thing, it seems nobody actually knows, that these regulations existed and do exist! Especially the media is not really a role model here. It seems like every 2nd shot needs to be a cool drone shot, no matter if flown over cities, private property, autobahns or whatever.
Just the other day on RTL, they filmed in the garden of some Messie using a drone! I bet they did not have a permit for doing that. Not only that flying above private property is forbidden, also it is not allowed to invade someones privacy with or without a drone - and this was privacy invasion, if you asked me.
No wonder people get afraid of this technology. "Can you film me from up there" and if I show them, what kind of photo that is, they are usually reassured.
But if dad goes in to the next tech marked and buys a drone for his son, the guy at the counter will not tell him, that he needs to have an insureance and for that heavy thing you need to have a proof of knowledge and btw. flying before the age of 14 is not allowed"... No, he will not say something like that, because that might prevent the deal.
realy a sad world
category: Computer
2017-05-16 - Tags: java jblog security
I did complain about wordpress several times (for example here). I took that for an opportunity, to take on my software development skills and use a weekend or two to build a new blogging software. Well, th result is this wonderful (well... hop so) page here.
To stop all PHP fainbois from whyning, I do not like PHP very much, because I don't know it very much. Hence, wordpress is also kind of a mystery for me. The configuration works with luck, let alone get php to do what you want in a more secure way.
so, my blog was hacked several times during the last year now and this is pissing me off! So, I wanted to use a java based solution, but it seems like there is no simple, easy to use one out there.
exactly. That was my thought also. Could not be so complicated, could it? So, I wanted to create a blogging software that
jblog
- not rally creative) myself and it is not so complex as wordpress. So we should be ok. I guess. But I know for sure, that th standard wordpress exploits wont work no more!jblog
does only do 2 languages, German and English (I do not speak more, so I don't need more for my blogs).I am quite ok with what I accomplished here. Although it took longer than one weekend, it was finished quite fast. I lik that.
But please: if some links do not work anymore, some images look strange or are missing - I will fix this eventually
the private main blog. Will cover topics like hobby, drones, games, gadgets etc.
There I will put all my opnsource stuff, like morphium. And all the other programming tips and tricks I wrote over time. Hmm... seems like 'java blog' is not the right term...
This should be a business site anyways. So, here I will put in topics about my professional carreer, Scrum, processes etc.
well, this is going to be tough. I cannot produce content for 3 full blogs. Even filling one is quite hard. But I will try. And we will see, how that works
as mentioned above - not here, but at caluga.de
category: security
2017-04-04 - Tags: php blog
This site was hacked again!
Well, the title is a bit missleading, as it is not only Wordpress at stake here, it is also related to php and obviously apache also.
I was not very active here for a couple of weeks, and obviously missed an update for Wordpress and some of the plugins. And that was enough for a white hat hacker to hack the site... well white is probably not the right color, as he posted links to illegal sites here.
Disclaimer: It was not me adding those links to download portals of illegal stuff! unfortunately I cannot tell, where the attack came from.
But I can tell, that he only had access to the Wordpress-Stuff. This happened again! << Sarcasm_mode >> Apache, PHP and Wordpress are in this respect really a _great_ team... << / Sarcasm_mode >>
I know, that this will cause some people to call me a troll, but I can tell you, from a professional point of view, there are way better solutions from a security point of view to create websites. Yes, most of them are complicated and complex. But at least, you cannot get hacked that easily...
PHP is a fine language, if you want to build a calculator or something like that. For professionals this is crap. Even Facebook needed to create their own interpreter (yeah, because of speed issues, but who knows what else).
Sorry, this php stuff pisses me off... was hacked here, that happened to customers of mine using PHP-based software....
Need to find something more reliable...
2016-10-26 - Tags: tweet
sorry, no english version available
2016-10-08 - Tags: drohne fpv
no english version available yet
category: Computer --> Test of Tools
2016-05-30 - Tags: vpn howto test of tools osx security
no english version available yet
Eigentlich kein echtes "test of tools", weil nicht viele Tools vorkommen, aber dennoch hab ich es mal zu dieser Rubrik gepackt.
Folgendes Scenario: man ist unterwegs oder in der Arbeit oder sonst wo und möchte kurz daheim mal auf seinen Servern eine Datei holen oder mal schnell eine TV-Aufnahme mit der Dreambox Programmieren. Eine eigentlich lösbare Aufgabe sollte man meinen. Hier eine Aufstellung der von mir getesteten Möglichkeiten (und ein paar Tipps dazu):
Naja, so richtig als VPN kann man das nicht bezeichnen. Aber man kann per SSH ne Menge machen. Das einzige, was man tun muss, ist in seinem Router einen Port frei schalten. Bei der Fritz!Box ist das unter Internet->Freigaben:
Man kann Portfreigaben deaktivieren, aus Sicherheitsgründen hab ich hier mal ein paar versteckt. Der Dynamic DNS Eintrag ist wichtig (s.u.) und mit dem Button "Neue Portfreigabe" kann man eine Neue Freigabe einrichten - das sieht dann so aus:
Dabei gibt man an, welche externe also öffentliche port-Range (von-bis) auf den Computer im eigenen Netz geleitet werden sollen. Für SSH sollte der Zielport 22 sein (das ist der Standardport für ssh), Protokoll ist TCP. Leider gibt es in der Vorauswahl von Anwendungen SSH nicht, weshalb man auf "Andere Anwendung" gehen muss. Achtung: Nutzt nicht Exposed host! Dann wird der gesamte Traffic an den Rechner weitergeleitet und das will man normalerweise nicht.
Das ganze kann natürlich nur funktionieren, wenn man auch dyndns oder so was eingerichtet hat - sonst "findet" man seinen Router ja gar nicht und kommt somit auch nicht an die freigegebenen Ports.
Wobei man da schon beim nächsten Problem ist: Wohin sollte man den Port weiter leiten. Man benötigt da also irgendwas, was nen SSH-Server laufen lässt. Man kann das schon auf der FritzBox selbst machen, oder normalerweise auch auf den meisten anderen Routern, aber das erfordert doch ein wenig Geschick: Anleitung dafür gibt’s zum Beispiel hier.
Wenn man in der Firmware des Routers nicht rumfummeln will, dann benötigt man irgend einen anderen Rechner im Netz, der als SSH-Endpunkt dient. Da funktioniert z.B. auch die Qnap (wobei man evtl. den SSHD hier auch korrigieren muss: siehe hier). Ein Mac oder Linux Rechner wäre Ideal, ein Windows-PC geht auch - allerdings muss man sich dann nen SSHD installieren (mit cygwin z.B.).
Der Standard-Port des SSH ist Port 22. Man sollte allerdings vermeiden, den Port 22 nach außen frei zu schalten, sondern man sollte da irgend einen anderen nehmen, am besten was über 1024 oder sogar noch größer. Da alle ports < 1024 gerne mal gescannt werden und es ne Menge Scripts gibt, die versuchen mit "default"-Passwörtern einzubrechen (und sich ein paar MöchtegernHacker dann tierisch freuen, wenn sie "eigebrochen" sind... dann sind die total 1337).
Da sind wir dann auch schon beim nächsten Tipp: gute Passwörter verwenden! Oder, wenn man den Zugriff nur von wenigen Rechnern aus machen möchte, dann kann man auch eine Public-Key Authentifizierung verwenden und die Password-Auth Komplett ausschalten. Die Konfiguration dafür ist ein wenig abhängig vom Betriebssystem aber im Allgemeinen muss man im Home-Verzeichnis des Users, der sich anmelden soll (auf dem SSH-Server!), ein Verzeichnis namens .ssh anlegen. Dieses sollte nur für den Nutzer les- und schreibbar sein. In dem Verzeichnis legt man ein File an, names "authorized_keys". Das ist ein einfaches Textfile in dem man die PublicKeys aufnimmt.
Die Public-Keys muss man dann auf dem Client erstellen, also auf dem Notebook mit dem man unterwegs ist. Das funktioniert auch wieder recht unterschiedlich, unter Windows nutzen viele Putty, da gibt’s dafür nen Menüpunkt. In der Shell tippt man einfach ein
ssh-keygen -t rsa -b 2048Damit wird ein neues Keypair erzeugt. Das liegt wieder in dem .ssh-Verzeichnis des Users und besteht aus 2 Dateien: id_rsa und id_rsa.pub. Die pub-Datei ist der Public key, dessen Inhalt müsst ihr einfach in das Authorized-Keys File auf dem Server einfügen. Dann sollte der Zugriff gehen.
Und wie geht das jetzt mit dem Tunnel? Dazu muss man im Client den Aufruf entsprechen Konfigurieren. Bei Putty unter Windows gibt es da Dialoge für die Einstellung der tunnel. Aber auch in der Kommandozeile geht das recht simpel:
ssh -l user meinserver.dyndns.de -L1234:192.168.22.1:80so wird z.B. eine Verbindung zu meinserver.dyndns.de aufgebaut. Wenn man sich erfolgreich mit dem Benutzer "user" eingeloggt hat, wird ein Tunnel geöffnet: Alle Anfragen an den lokalen Port 1234 werden über SSH weitergeleitet an den Server, welcher seinerseits die Anfragen und Daten weiterleitet an in diesem Fall den Server mit der IP 192.168.22.1, Port 80.
D.h. wenn ich jetzt in meinen Browser die URL http://localhost:12345/ eingebe, lande ich auf dem Webserver mit der IP 192.168.22.1
Man kann zwar nahezu beliebig viele solche Tunnelangaben beim Aufruf von SSH machen, das ist aber wenig spassig, und man ist auch immer auf der Suche nach den richtigen Ports. Zum Glück gibt es auch dynamische Ports
ssh -l user meinserver.dyndns.de -D 1234Damit wird ein dynamischer SOCKS-Proxy erzeugt. Dieser funktioniert quasi identisch zu dem manuellen Tunnel mit -L, aber er baut dynamische Tunnel zu beliebigen Zielen auf. Nachteil: die Anwendungen, die man nutzen will, müssen SOCKS unterstützten. Die gängigen Browser tun das alle, aber bei anderer Software wird es schnell eng...
Außerdem kommt man so auch nur schwer an die Freigaben von z.B. seinem NAS ran oder so.
Übrigens: das funktioniert auch mit dem iPhone - die SSH-Clients für das iPhone unterstützen alle auch Tunnel...
die Flexibilität ist natürlich extrem, ich kann jeden beliebigen Port weiterleiten. Allerdings muss ich das auch, wenn ich darauf zugreifen will.
Die Nachteile liegen somit ziemlich auf der Hand: man muss alle ports mehr oder minder manuell mappen und dann funktioniert es auch nicht immer reibungslos (AFP-Sharing z.B.). Namensauflösung darüber zu machen ist auch schwer, da man kein UDP-tunnel machen kann, sondern nur TCP. Deswegen ist das eine recht gute Lösung für den Notfall, aber für den mehr oder minder täglichen Zugriff ist das nix.
TestOfTools Rating: 4/10 Punkten
Sharetool 2 bekommt ihr hier - probiert mal die Demo aus, das ist echt ok - die $20 sind gut investiert, wenn man auf "daheim" zugreifen möchte.
Sharetool benötigt allerdings einen Mac auf dem es laufen kann - Linux oder Windows läuft leider nicht. Was sicher einer der Nachteile von Sharetool ist. Allerdings ist die Einrichtung denkbar simpel und man benötigt nicht mal so was wie Dyndns - das erledigt der Sharetool Service. Auf dem Server, also dem Rechner im Heimnetz, startet man Sharetool und konfiguriert das sharing:
Dabei könnte man seine eigene Portfreigabe verwenden, oder sich von sharetool einen eigenen Port konfigurieren lassen - sofern euer Router UPNP versteht. Falls ihr das das erste Mal macht, müsst ihr noch einen Login anlegen. Der Server meldet sich dann unter dieser Kennung mit seiner öffentlichen IP-Adresse an. Clientseitig läuft das genaue "Gegenteil" - man loggt sich ein, erhält die IP Adressen der verschiedenen Netzwerke unter eurer Kennung und man kann sich aussuchen, wo man sich einloggen will:
Nach dem Login kann man aus den bekannten Netzen wählen und sich ggf. verbinden. Dafür ist zwingend ein User auf der anderen Seite nötig, als der ihr euch einloggen könnt. Ich würde aus Sicherheitsgründen dazu raten, einen eigenen User nur für diesen Zweck einzurichten, der sonst keine Rechte am System hat - Das kann man am Mac ja relativ simpel machen. Vergebt für diesen User aber bitte ein vernünftiges Passwort oder authentifiziert euch mit dem Public-Key des SSH (s.o.).
Auf dem Mac kann man das auch in /etc/sshd_config einstellen, genauso, wie unter Unix üblich. In der Systemsteuerung gibt’s das Häckchen "Entfernte Anmeldung". Das startet, bzw. stopped den SSHD. Wenn ihr also eine Änderung an der /etc/sshd_config gemacht habt, solltet ihr den Server kurzt neu starten. Hier die wichtigsten settings:
PubkeyAuthentication yes - ist per Default an, kann man aber explizit im File setzen, wenn man möchte AllowRootLogin no - sollte zwingend aus sein PasswordAuthentication no - aus, falls man sich nur per PublicKey authentifizieren möchte, ansonsten müssen ALLE user ein gutes Passwort haben ValidUsers USER1 - so kann man den Login auf nur einen User reduzieren, alle anderen dürfen nichtMit diesen Settings ist auch euer Mac einigermassen sicher für angriffe von außen - allerdings würde ich immer ein gutes Passwort vergeben.
Hat man es geschafft, sich anzumelden, bekommt man von ShareTool eine sehr praktische Auswahl aller Bonjour-Services:
Durch einen Doppelklick kann man sich dann mit dem entsprechenden Service verbinden - so als wäre man im eigenen Netz... Und möchte man dann noch "Anonym", also über seine eigene Home-Verbindung im Internet surfen (das ist manchmal ganz praktisch für sehr strikte firmenpolitik), dann kann man unter Options den Menüpunkt "Browse Web securely" wählen. Das öffnet den Firefox und surft dann über den SSH-Tunnel und seine eigene Leitung.
Nachteile von dieser Lösung: Man bekommt eigentlich nur relativ Problemlosen Zugriff auf Bonjour Services, alles was darüber raus geht, erreicht man nicht. Man kann zwar auch eigene Services registrieren, aber das ist ein gefummel und habe ich noch nicht hin bekommen - wenn Ihr da ne Idee habt, immer her damit ;-)
Aber für die Meisten sollte das gut reichen, da der Zugriff auf Shares, Web, Printer und Screen Sharing gut funktioniert.
Ist noch erschwinglich und ist eine solide 90% Lösung, sofern man einen MacServer hat - und das können nicht viele von sich behaupten.
TestOfTools Rating: 7/10 Punkten
Das ist eine "echte" VPN Lösung, die den Netzwerktraffic auf einer der unteren OSI-Layern verschlüsselt. Das ganze funktioniert auch über SSL und verlangt keine besonderen Einstellungen oder Fähigkeiten vom Router oder Provider - es gibt auch eine Implementierung für das iPhone oder Android, allerdings nicht nativ, muss gesondert installiert werden.
OpenVpn wird immer beliebter, hat aber leider noch nicht in viele Router einzug gehalten. Deswegen benötigt man auch hier einen eigenen Server, der als OpenVPN-Server fungiert. Hierfür muss im Router eine Portfreigabe eingerichtet werden - normalerweise UDP 1194. Ist aber frei wählbar.
Für den Zugriff vom Mac aus benötigt man einen Client, da auch hier keine native VPN-Implementierung verfügbar ist. Am besten bewährt hat sich bei mir das Tool Tunnelblick, obwohl es noch immer im Beta Stadium ist. Dennoch klappt das recht gut, auch wenn der einwahlvorgang immer recht lange dauert (im Vergleich zu den anderen hier vorgestellten lösungen).
Als OpenVPN-Server habe ich die Qnap gewählt, da geht das recht simpel:
hier kann man eigentlich nur den Haken bei "Server aktivieren" anschalten, dann läuft alles. Man muss nur noch die Konfigurationsdatei herunterladen und alles sollte einigemassen passen. Allerdings muss man da drin die Öffentliche IP Adresse vermutlich ändern. Da steht, wenn man nicht DynDns auch über die Qnap macht, die gerade aktuelle öffentliche IP drin. Das funktioniert dann für den Moment, aber morgen nicht mehr.
In Tunnelblick muss man nur ne neue Config anlegen, das erklärt sich mehr oder minder von selbst... auch wenn es einige Schritte sind.
Leider kann man hier das routing nicht einstellen, d.h. man surft immer komplett über die Leitung "daheim". Also ein Zugriff nur auf das Netz, ohne den ganzen Traffic darüber zu leiten ging nicht. Auch gibt es wohl einen Bug in der Qnap: Wenn man die Default-Route ausschaltet, geht gar nix mehr. War zumindest bei mir so...
Das ist allerdings auch erstaundlich simpel einzurichten und es funktioiniert recht solide, wenn man einen Brauchbaren Server hat. Dennoch gibt’s ein paar Punktabzüge, da die Konfiguration so etwas nervig ist. Im normalfall würde ich da 10/10 Punkten vergeben, aber da das ganze leider auf der Qnap ein wenig krankt bekommt das ganze weniger. auch ist schade, dass es keine Nativen Clients von Apple für OSX und/oder iOS gibt, so wie für IPSec Und leider auch keine Implementierung für die Fritz!Box.
TestOfTools rating: 8/10
Das ist eigentlich wäre das die optimale lösung. Allerdings war es bisher immer ein Graus, IPSec selbst zu konfigurieren. Vor allem, weil die Router spezielle Protokolle korrekt weitergeben mussten. Der Support für IPSec war da nicht so verbreitet. Obwohl es angeblich die sicherste VPN-Variante sein sollte.
Zum glück ist die konfiguration mittlerweile in der Fritz!Box so stark vereinfacht worden, dass man das in ein paar Mausklicks zusammengestellt hat. wichtig: Man muss für jeden VPN-Zugang einen User anlegen. Das Passwort dafür sollte entsprechend komplex sein.Die VPN-Einstellungen sind auch unter "Freigaben" zu finden, dort gibt es einen Reiter "VPN":
Dort kann man dann einen User für den Remote Zugriff einrichten, oder netz-zu-netz verbindunge (also Fritz-zu-Fritz) einrichten. Das ist ganz sinnvoll, wenn man zwei Standorte verknüpfen will - die fungieren dann netzwerktechnisch als einer - was den Zugriff auf Fileserver etc. natürlich stark vereinfacht.
für uns hier wichtig, ist der erste Punkt: Fernzugang für einen Benutzer einrichten. Dort ist eigentich nur das Häckchen für VPN zu setzen, ein gutes Passwort zu vergeben und das war es schon. Bei Bedarf kann man dem User auch noch Zugriff auf andere Services der Fritzbox gewähren. Das ist ganz interessant: wenn man aus dem lokalen Netzwerk auf die Fritz!Box zugreifen möchte, muss man ein Passwort eingeben. Macht man das selbe über das VPN, dann kommt ein User/Passwort login - aus Sicherheitsgründen!
Die emailadresse kann übrigens auch als Login benutzt werden, wenn ich das richtig verstanden habe. Bisher hatte ich das aber noch nicht nutzen müssen. Am Ende der ganzen Prozedur, kann man sich noch die Einstellungen für iOS und Android anzeigen lassen:
Mit diesen Einstellungen kann man auch recht simpel den Zugriff von OSX aus einrichten. Dazu muss man eine Neue Netzwerkverbindung einrichten. Unter Systemeinstellungen->Netzwerk kann man durck klicken auf das "+" eine Neue Verbindung einrichten.
Nach dem man auf den + geklickt hat, muss man nur noch Cisco-VPN auswählen und die Einstellungen von der Fritz!Box eintragen. DAbei auch nicht die "Authentifzierungseinstellungen" vergessen, denn dahinter verbirgt sich die Gruppe und das Shared Secret. Und auch wichtig: Unter "Weitere Optionen" muss der für das Zielnetz gültige DNS angegeben werden - also die IP-Adresse der Fritz!Box - sowas wie 192.168.178.1 oder so.
Das alles funktioniert normalerweise recht gut - auch hier ist wieder eine Dyndns-Anmeldung nötig. Allerdings hat das ganze einen kleinen Haken - man kann nicht mehr einstellen (OSX 10.9 mavericks), dass nicht der gesamte Traffic über die Leitung gehen soll. Das konnte man früher mal einstellen, ist aber jetzt weg.
D.h. wenn ich eingewählt bin, geht der gesamte IP-Traffik über das VPN.
Korrigieren kann man das allerdings recht einfach: Es gibt eine Route, über die das geregelt wird. in der Shell kann man das recht einfach korrigieren. Allerdings ist da manuelles Eingreifen nötig. Für die meisten ist das vermutlich eh kein Problem, sondern eher ein vorteil.
Der einzige Nachteil dieser Lösung ist, dass man wenig einstellen kann. Aber sonst ist das doch eine der besseren Varianten. Leider funktioniert es aber nicht über 3G oder LTE - zumindest bei meinem Anbieter wird IPSec nicht unterstützt. Evtl. ist das bei anderen Anbietern anders, im Zweifel solltet ihr euch erkundigen. Im WLAN/LAN sollte es eigentlich funktionieren, aber auch hier ist man Abhängig vom WLAN/LAN Route. Wenn der IPSEc auch nicht unterstütz ist man .... angeschmiert. Deswegen auch hier nicht volle Punktzahl:
TestOfToolsRanking: 9/10
für die allermeisten Zwecke sind die hier vorgestellten Wege (abgesehen vom ersten vielleicht) völlig ausreichend. Wer spezielle Anforderungen hat, muss sich auch speziell darum kümmern.
Mein Favorit momentan ist das IPSec-VPN, da ich dafür nicht noch einen eigenen SSH oder OpenVPN-Server benötige. Ich konnte aber auch eine ganze Zeit lang ohne IPSec leben und das ganze mit ShareTool bzw. Openvpn erledigen, da ich hier (noch) einen MacMini rumstehen habe, der gerne auch mal was tun soll ;-)
Entscheiden müsst ihr wohl von Fall zu Fall, welche Lösung am besten auf eure Bedürfnisse passt, da alle Lösungen eigene Nachteile haben:
2016-02-09 - Tags: tweet
sorry, no english version available
2016-02-02 - Tags: tweet
sorry, no english version available
2016-02-01 - Tags: tweet
sorry, no english version available
2016-02-01 - Tags: tweet
sorry, no english version available