Falk Dübbert macht Sachen

Artikel sind mit folgenden Tags versehensicherheit

Wer rastet, der rostet später

4. Dezember 2019

Eigentlich läuft es gerade recht gut. Ich mache in der Stadtwohnung endlich Fortschritte. Mittlerweile „funktionieren“ die Räume. Ich muss aber weitermachen und alles, was nicht zur Funktion beitragen kann, entfernen.
Die exotische Rumänin auf dem Bild ist der Hund meiner Eltern und war für einen Tag zu Besuch. Ich wollte testen, ob ich sie notfalls für eine übersichtliche Zeit bei mir aufnehmen kann. Das hat geklappt. Nach etwa vier Stunden gehörte die Wohnung ihr und sie hatte zwei Lieblingsorte. Mein hässliches Sofa und die Kofferraumdecke vor meinem Wäscheschrank. Es gab keine Unglücke und Füttern und Tränken sind auch kein Problem.
Die Entscheidung wirklich zu wohnen und eine Wohnung nicht nur als umbauten Platz für seine Dinge oder Platz zum Waschen, Duschen und Essen zu sehen, ist ein wichtiger Schritt für mich.

Die Konzepte ändern sich auch nicht mehr so dramatisch, wie zu Anfang des Jahres. Nach dem ersten Plan, der im Grunde eine herausgerissene Möbelkatalogseite hätte sein können, und der Uff-ich-schaffe-das-nicht-Phase, in der ich im Grunde nur meine alten Möbel aufstellen und dann meine Ruhe haben wollte, danach habe ich nun einen Mittelweg gefunden.
Es ist immer noch zuviel geplantes und angefangenes im Rennen, das abgebaut werden muss. Die Einschränkungen kommen von Platz und Zeit.

Die Videoausrüstung reift gerade in das Konzept aber solange ich noch technische und organisatorische Schulden der letzten fünf Jahre abtrage, kommt sie nur im Rahmen von „produktiven Tests“ zum Einsatz. Für Funk und Elektronik habe ich endlich ein Konzept entwickelt, das eben nicht auf schmallippigem Verzicht beruht. Nach dem ich zu jedem Gerät aufgeschrieben habe, was ihm fehlt und was noch zu tun ist, habe ich drei Gruppen und drei Qualitäten definiert, in die ich meine Ausrüstung einteile. Mit diesem Konzept kann ich überflüssiges verschenken oder entsorgen und zielgerichtet neues aufbauen.
Mein Testrack kommt einem Betrieb auch immer näher, genau wie die sonstige IT-Ausstattung in der Wohnung moderner wurde. Die Veranstaltungstechnik wird kleiner, aber besser. In Sachen Werkzeug kommen zwei Linie hinein. Zum einen lagere ich das ganz brutale Zeug aus, bis es gebraucht wird. Zum anderen packe ich alles so um, dass die Zeit von Eimern und Taschen endlich vorbei ist und bleibt.

Das Arbeitszimmer hat heute mit dem neuen, RIESIGEN Sitz-Steh-Schreibtisch endlich den vermissten Sprung gemacht. Zwar fällt das alles ein Stück weit unter „Toolbox-Fallacy“:https://medium.com/too-much-me/thetoolboxfallacy-883c4ff5f9b4, aber ich habe den Ablauf mit dem zweiten Schreibtisch bereits etabliert und er funktioniert.
Jetzt soll die Arbeit an Rechnern weniger ungesund werden. Der nächste Schritt im Arbeitszimmer ist vergleichsweise klein und beinhaltet den finalen Aufbau des Medienplatzes und ein paar Änderungen im Layout. Danach kommen dort eigentlich nur noch Sortieraktionen und technische Ersetzungen vor.

Falk Dübbert

,

Kommentare

Das große wird das Kleine

26. November 2019

Mit, an und in Geräten „rumspielen“ ist in einer Zeit, in der Firmen wie Apple hauptsächlich durch Reparaturverhinderungen auffallen und damit durchkommen, vielleicht nicht mehr zwingend das sozialadäquate Verhalten.

Aber ich möchte die Skills, die ich mir durch den Amateurfunk angeeignet habe auf keinen Fall verlieren. Als Schüler hätte ich mir meine Ausrüstung nie leisten können, wenn ich nicht dadurch, dass ich defekte Geräte kaufen und diese reparieren konnte, doch Zugang geschaffen hätte.

Damals durften die Deltaoscars nur 2m und 70cm (und eigentlich nur 10W EIRP…).
Das Elternhaus war im Tal und es gab nur zwei Richtungen mit guter Reichweite, trotzdem hatte ich in der einen einen regelmäßigen Kontakt in Belgien und in der anderen einen nach Dänemark. Bei Sporadic-E ging es auch mal bis nach England.
Mein erste Funkgerät war ein 70er Jahre Allmode-Brocken IC-211e. Ich habe einmal den Fehler gemacht, den in eine Werkstatt zu geben, von der er noch kaputter als vorher wiederkam. Mit dem Service-Manual und habe ich damals gelernt wie digitale Systeme funktionieren und nach und nach nachvollzogen, wie die Ingenieure mit nur wenigen Custom-ICs Schaltungen designten. Ich würde lügen, wenn ich behaupten würde, dass ich sowas jetzt in angemessener Zeit auch könnte, aber der an den Hochschulen heute vermittelte Designprozess läuft anders. Heutzutage wird stark modelliert und viele Elemente in Software verlagert.

Dadurch sind Schaltungsdesigns entweder sehr generisch, software-definiert und auf polypotente Bauteile angewiesen oder die Funktion ist auf nur für diese Schaltung hergestellte Chips angewiesen. Beides ist in meinen Augen … (mööp).

Leider macht auch der Amateurfunk vor dieser Entwicklung nicht halt, selbst Icom, bis vor kurzem mein bevorzugter Lieblingshersteller, verkauft jetzt im Grunde Rechner mit Hochfrequenz-Verarbeitung.

Falk Dübbert

,

Kommentare

Am Ende doch erstmal "einfach" aktualisiert.

31. Oktober 2019

Dieser Webserver ist schlecht. Ich meine damit weder die Leistung noch den Inhalt sondern die Art wie er aufgebaut ist.
Es ist stur gerade aus Debian, NGINX, MySQL und PHP-FPM. Kein Docker, kein Ansible, kein Kubernetes. Wenn ich was ändern muss, gehe ich direkt per SSH auf die Konsole und sudoe mich nach root oder webadmin.

Bis vorletzte Woche stand der Webserver noch – ich traue mich kaum es zu gestehen – auf Debian 7. Die Sicherheitslücken habe ich in zum Teil durch BackPorting stopfen können, aber irgendwo musste ich irgendwann den Punkt überwinden, an dem ich die gewurschtelte Kiste grundsätzlich aktualisiere.

Zunächst habe ich meine 3rd-Party-Pakete mit Ausnahme von NGINX alle durch Debian-eigene Pakete ersetzt.

Anschließend habe ich alle quick-fixes entfernt und Baum-Diagramme der diversen conf.d-Dateien gemacht.

Dann habe ich die Upgrades mit je zwei Tagen Abstand immer morgens um 6 durchgezogen.

Der Vorgang war immer gleich:
  • Backup-Skripte laufen lassen
  • Backups auf Dev-Notebook ziehen und auf NAS spiegeln
  • Updaten: apt-get update && apt-get -V upgrade
  • sources.list auf nächstes Release vorspulen. sed -i ’s/altesrelease/neuesrelease/g’ /etc/apt/sources.list
  • Nochmal updaten apt-get update && apt-get -V upgrade
  • Das alte Pferd von seinen Qualen erlösen: apt-get dist-upgrade
  • Nochmal updaten apt-get update && apt-get -V upgrade
  • Nginx-Sources.list auch vorspulen
  • Nochmal updaten apt-get update && apt-get -V upgrade
  • Funktionstest
  • Backup-Skripte laufen lassen
  • Backups auf Dev-Notebook ziehen und auf NAS spiegeln
  • Reboot
  • Funktionstest

Probleme:

Von 7 auf 8: keine Von 8 auf 9:
  • Openssh, DoveCot und MariaDB waren nach dem Update „kaputt“ und warfen mit komischen Fehlern um sich, die sich als Kernel-Inkompatibilität entpuppten.
  • NGINX kommt nicht mehr von alleine hoch, was ich auf die Lennartware (KOTZ) im Hintergrund zurückführe.

Nachtrag
Ich musste DNS komplett neu einrichten. (Und ich war faul 8.8.8.8.)

Der Webserver soll in 10 Wochen ganz anders aufgesetzt (Containerisierung und Automatisierung) werden. Daher spare ich mir das Upgrade auf Buster vorerst.

Falk Dübbert

,

Kommentare

MacOS 10.15 "Catalina" Apples nächster Bold Move?

9. Oktober 2019

Mit dem üblichen „Kommt Bald Freut euch schon mal“ wurde MacOS Catalina ausgerollt. Da Apple gerade mal 79 unterschiedliche Kombinationen von CPU, GPU und Chipsatz unterstützen muss dachte ich, dass ich mal early adopter spiele und habe mich fein ausmanövriert:

  • Von drei NAS-Systemen ist nur noch eins erreichbar.
  • zwei Hardware-nahe Anwendungen sind nicht mehr lauffähig.
  • Die CPU ist jetzt bereits bei normalen Aufgaben ERHEBLICH stärker belastet. Zum Teil hört man die Lüfter bereits im mit Visual Studio Code oder Bracket.

Bei den ersten zwei Punkten gehe ich nicht davon aus, dass Apple sich auf ein Eingeständnis einlassen wird. In Catalina ist der SMB-Stack von Samba in den Kernel gewandert und ich gehe nicht davon aus, dass eine SMB1-Unterstützung überhaupt vorgesehen ist.

Apple sieht sich als wohlmeinender Despot und verhält sich auch genau so. Die Abschaffung von 32Bit, SMB1 ist zusammen mit der Abschaffung von richtigem USB zu betrachten. Apple engt seinen Adressatenkreis weiter ein und richtet gezielt sich an stark konsumistische, geradezu hedonistisch eingestellte Personen und zwar ausschließlich.

Apples Produkte waren schon immer zugeknöpft und Open Source hat Apple auch nur benutzt, wenn es der Erzählung, positiver als andere zu sein, genutzt hat. Jetzt, wo selbst die Hersteller von Militär-Equipment, sich einen offenen und positiven Anstrich mit Agilität, Kulturwandel, Inklusion und Nachhaltigkeit geben, kann man in Cupertino hier kein Alleinstellungsmerkmal mehr generieren und operiert mit mehr „Courage“. Ich sehe den Wechsel des SMB-Stacks eher als Schritt, die ungeliebte GPL loszuwerden und gleichzeitig Vendor-Lock-Inn-Effekte zu verstärken.

Tatsächlich erwähnt der Support bei Apple die icloud als Alternative zum eigenen NAS, wenn man sich mit dem SMB1-Problem an ihn wendet und ich hatte einen weiteren Louis-Rossmann-Augenblick. Nur reicht die Performance der iCloud vorne und hinten nicht. Selbst mit „deutschen“ Internetzugängen ist ganz klar die iCloud selbst der Flaschenhals. Von der sehr fragwürdigen Kollisionsbehandlung, die eher an Informatikunterricht in neunten Klassen erinnert, will ich gar nicht erst anfangen.

Was ich Apple stark ankreide, ist dass man es – ich unterstelle mit Absicht – unterlassen hat, den harten Wegfall von SMB1 und der Verisign-Zertifikate klar in den Releasenotes zu kommunizieren und eine klare Fehlermeldung bereitzustellen, denn Passwort-Fenster schütteln erfüllt diesen Anspruch nicht.
Allerdings gibt die andere Seite in Redmond auch nur ein „Hoppla. Da hat etwas nicht funktioniert.“ aus, weil man ja jetzt so toll positiv ist.
Bei dem IOmega-NAS hatte ich versucht, den fehlenden SMB-Zugriff durch einen FTP over TLS zu ersetzen, was dann am Root-Zertifikat von Verisign mit einem Revoked-Fehler endete. Ergo habe ich nun knappe 420GB Daten zusätzlich in meiner Cloud, die ich bislang auf die NAS-Boxen spiegelte.

Als Option bleibt mir:
  • Das NAS auf iSCSI umzustellen und einen Mini-Rechner als Fileserver einzufügen.
  • Ein neues NAS mit SMB3 zu kaufen.
  • Einen Microserver zum NAS umzubauen.
  • Auch mit den Video-Rohdaten und den Backups dauerhaft in die Cloud zu gehen.

Dazu kommen die Probleme, dass ich Apple jetzt noch weniger traue. Im Zweifel stellt Apple sich und seine eigene Agenda und nicht den Kunden in die Mitte. Das ist beim Design der Produkte so. Das ist bei der Apple-Definition von „Nachhaltigkeit“ so, die man mit „man kann es gut recyclen, wenn es kaputt ist“ sehr gut zusammenfassen kann. Für jemanden wie mich, der von HP Servern (vor der grüne-Kasten-Ära), Panasonic Toughbooks, Dolch NotePacs und IBM / Lenovo W-Serie kommt, denen das Service-Manual entweder beiliegt oder man es einfach finden und herunterladen kann (konnte… HPE! i am talking to you!), ist Apple eh ein Kulturschock, aber das kann auch daran liegen, dass ich seit 7 Jahren in der zweiten Lebenshälfte angekommen bin und mein Geisteszustand mit „grumpy old white man“ sehr gut zusammengefasst ist.

Falk Dübbert

,

Kommentare

Netzwerkplanung im Kleinen

14. September 2019

Angestoßen durch ein Kundenprojekt habe ich mir meine WLAN- und LAN-Situation hier etwas durch den Kopf gehen lassen und jetzt endlich den Aufbau festgelegt. Da ich viel mit sehr großen Dateien arbeite, reicht mir WLAN pur nicht aus. Außerdem möchte ich die Leistung so absenken können, dass das WLAN in meiner Wohnung bleibt. Herausgekommen ist das:

Ein typischer in Europa gern gemachter Fehler ist das 1-6-11-Kanalmuster auf 2,4 GHz. 1-6-11 ist das einzige Überlappungsfreie Muster bei 11 je 22Mhz breiten Kanälen, also mit 802.11b-Kompatibilität und FCC-Konformität.
In Europa und bei N-WLAN als geringste Anforderung sind es aber 13 Kanäle mit je 20 MHz-Breite. Deswegen ist 1-5-9-13 auch Überlappungsfrei. Kanal 9 (der „MIKROWELLENKANAHL!!!!11elf!“) wird gemieden wie das geweihte Wasser, dabei laufen Mikrowellen abgesehen von Bestrahlungsgeräten in Kliniken selten und strahlen sehr selten nennenswert aus dem Gehäuse heraus (eigentlich nie). Mit vier Kanälen kann man seine APs zweidimensional so verteilen, dass keine überlappenden Sender nebeneinander liegen.

In der IT kommen viele Varianten des Vier-Farben-Theorems vor. So versucht man bei ganz paranoiden Ansätzen die Firewalls unterschiedlicher Hersteller der Sicherheitskomponenten so zu platzieren, dass ein Exploit nur in einer Zone, aber nicht in den benachbarten angewendet werden kann. Der BWLer, der den Finger auf den Mitteln hat bekommt bei solchen Gedankenspielen genauso Herzrasen wie der agile Full-Stack-Container-Automatisierer, weil damit alle Skaleneffekte zum Teufel sind.

Bei mir ist die Situation wie überall in urbanen Gebieten:
An Vorder- und Rückseite des Hauses sind 2,4GHz-Kanal 1 und 6 hoffnungslos überlastet. Wenn ich den AirCheck eine Stunde laufen lasse, hat er auf Kanal 6 über 30 Stationen empfangen, da es immer noch der voreingestellte Kanal von vielen Provider-seitig gestellten Routern ist.
Entsprechend fallen diese beiden Kanäle fast aus. Auf 5 GHz ist die Dämpfung der Wände ausreichend, dass freie Auswahl besteht mit einer kleiner Ausnahme von Kanal 36. Der am Fenster von 11 Stationen belegt ist, die aber alle an der Rauschgrenze liegen und somit kaum CDMA-Einschränkungen auslösen dürften.
Die Accesspoints beherrschen alle das automatische Umschalten der Clients auf 5 GHz. Somit sollte bei maximal 5m Abstand zu einem Accesspoint in der Wohnung 2,4 GHz kaum genutzt werden. Die Antennenstandorte habe ich durch Inversion ermittelt, also indem ich zwei Accesspoints mit omnidirektionalen Antennen an die Stellen stellte, wo ich typischerweise WLAN-Geräte verwende, und dann mit dem AirCheck die Stelle mit dem stärksten geometrischen Mittel der beiden Signale suchte. Eine Stelle, wo der eine Sender mit 90% und andere mit 10% anliegt, ergibt so 0,9*0,1=0,09; hingegen ergibt eine Stelle mit 45% und 45% 0,2025 und in Realität sind es eher 66% und 60%.
Die gleiche Methode klappt übrigens auch bei der Suche nach dem Aufstellungsort von Subwoofern.

Die Sicherheitsthematik ist dagegen etwas komplizierter.

Gäste wollen oft auch mal WLAN und ein Aufkleber an der Wohnungstür verrät per QR-Code das Passwort für das Gäste-WLAN, in dem der Router ein Captive-Portal mit Nutzungsbedingungen bereithält, die als Schutzzauber vor Anwaltspost aus München oder vom Westufer der Alster schützen sollen. Die Gäste können untereinander nicht sehen und die IP-Ports laufen über eine Positiv-Liste, während gesperrte Seiten mit einer Sperrliste gehandhabt werden.

Bei mir wird Technik auch mal älter. Solange der Drucker noch tut und der Toner oder die Tinte nicht exorbitant teurer geworden ist, bleibt er und beim NAS, Scanner oder Telefon gilt das gleiche. Das heißt, dass ich einiges an Hardware habe, die seit Jahren kein Sicherheitsupdate empfangen hat. Diese Geräte landen im blauen Netz, das intern alles erreichen kann, aber nicht oder nur eingeschränkt „raus“ darf und vor allem dürfen von außen nur äußerst eingeschränkt Geräte „rein“.

Dazu kommen die „Gast-Rechner“. Meine (streng genommen die meiner Arbeitgeberin) Kunden lassen typischerweise keine fremden Rechner in ihre Netze. Stattdessen bekommt man ein Notebook oder neuerdings einen Compute-Stick oder eine VM, der die das außer generischen Mäusen und Tastaturen keine USB-Verbindung akzeptiert. Die Verbindung zum Kunden geschieht über VPN. Damit braucht dieses Gerät Internet.

Mein Firmennotebook braucht Zugang zu einer Cloud und ich gönne mir den Luxus, selbst vor Ort drucken zu können. Diese Geräte landen im grauen Netz, wo im Grunde die gleichen Regeln, gelten wie im Gäste-WLAN, außer dass keine Anmeldung erforderlich ist und man den Drucker erreichen darf.

Meine eigenen WLAN-fähigen Geräte (Bluray-Player, Fernseher, Streamplayer, Spielekonsolen, Smartphone, Tablets, Webcams, Waschmaschinen…) brauchen auch Internetzugang, aber keinen Kontakt zu Drucker oder NAS.

Technisch setze ich das ganze so um, dass im Abstellraum eine kleine USV den Router, das NAS und einen 2-Port-POE-Injektor versorgt. Der Injektor wiederum versorgt zwei POE-PD-Switche, an denen die Accesspoints und alle Clients hängen. Aus dem Router kommen Trunks zu den Switchen und zu den Accesspoints gehen ebenfalls Trunks, aber mit weniger VLANs. Die Administrationsoberfläche ist nur per Kabel im Abstellraum erreichbar und die der Accesspoints ist komplett abgestellt.

(Update 1, 14.9.2019: Die Linie vom Switch zum Medienarbeitsplatz muss natürlich schwarz sein.
Update 2+3, 15.9.2019: Einige Besucher fragen, wo das VLAN1 ist. Das native LAN1 ist nur an Port1 des Routers konfiguriert.)

Falk Dübbert

,

Kommentare

Diese Seite verwendet Cookies, Tracking-Technologien, Logs, APIs und Codeschnipsel von dritten. Hier erfahrt ihr alles zum Datenschutz

✖ Ok! Einverstanden.