Kurz notiert: Wechsel zum eigenen Router bei Deutsche Glasfaser

Bisher werkelte an einem Anschluss bei der Deutschen Glasfaser ein Platinum-7840 der Marke GENEXIS, das Standardmodell der deutschen Glasfaser. Dieses sollte gegen eine AVM Fritz!Box 7590 ausgetauscht werden.

Leider funktionierte ein einfaches Umstecken der Netzwerkverbindung zum Glasfasermodem nicht, die 7590 hatte trotz bestehender Netzwerkverbindung keinen Internetzugriff.

Die Lösung bestand tatsächlich darin, bei der Deutschen Glasfaser anzurufen, dort um einen Wechsel zu einem eigenen Router zu bitten, den neuen Router anzuschließen und bis zum nächsten Tag zu warten (eine genaue Zeitangabe kann ich nicht liefern).


Was – zumindest bei mir – nicht funktioniert hat:

  1. Eine Stunde zwischen dem Ausstöpseln des GENEXIS und der 7590 zu warten, wie es in einem Forum vorgeschlagen wurde.
  2. Die Anleitung „HANDBUCH EIGENER ROUTER – Erklärt am Beispiel einer AVM FRITZ!Box 7590“ (Link auf das Webarchiv, sollte die Originalquelle nicht verfügbar sein) zu befolgen.

Früher war alles besser – bei Druckern jedenfalls

Ja, es ist mal wieder Zeit für einen Rant-Post – „frisch“ aus dem Entwurfsordner vom März 2022.

Anlass dafür ist ein Drucker, aber nicht irgendeiner, sondern ein durchaus nicht billiger HP LaserJet M234sdwe. Früher hatte man Drucker, die konnten drucken. Heute ist das aber so etwas von out, denn warum soll ein Drucker drucken können, wenn er auch eine App haben kann?

Nun aber der Reihe nach:

Der bisher von mir verwendete Drucker gab leider den Geist auf. Ausdrucke wurden ein Glücksspiel und beim Scannen gab es Streifen. Da ich viel scanne, störte mich letzteres natürlich besonders.

Die Suche nach einem Ersatz stellte sich als schwierig heraus, da das Gerät folgende Eigenschaften haben sollte:

  • Gute Treiberunterstützung für Linux
  • (Monochrom-)Laser, um die Nachteile von Tinte zu vermeiden (Eintrocknen bei zu langer Nicht-Benutzung)
  • Duplex-Druck
  • Netzwerkunterstützung
  • am besten kein HP, weil zwei weitere – aufgrund meiner damaligen positiven Erfahrungen empfohlene – Multifunktionsgeräte von HP in meinem Umfeld mittlerweile ebenfalls das Zeitliche gesegnet haben

Letztendlich stellte sich heraus, dass die bessere Treiberunterstützung (bei neueren Distributionen für das gewählte Modell bereits von Haus aus) und die gewünschten Funktionen in der Kombination nur bei HP in Form des oben genannten Geräts zu haben waren.

Nach Lieferung des korrekten Geräts – der erste Händler hatte sich leicht vertan und einen sdne statt einem sdwe geliefert, der nicht über WLAN verfügt¹ – war die Einrichtung komplizierter als früher: Das kleine Display des Geräts bot keine Informationen zur Eingabe des WLAN-Kennworts, die Anleitung faselte etwas vom Eingeben von 123.hp.com in die Adressleiste des Browsers, was im vom Drucker aufgespannten WLAN natürlich nicht aufrufbar war. Ein Webinterface war aber auch unter der IP-Adresse des Druckers nicht zu finden (der Normalnutzer wird eher kein nmap zur Einrichtung verwenden ). Selbst ein Eintrag in die Hosts-Datei mit dem Drucker-IP brachte keine Abhilfe (ich dachte an einen Schutz, der den Host-Header überprüft).

Letztendlich stellte sich heraus, dass ich viel zu kompliziert gedacht hatte: Hinter 123.hp.com steckt eine Website, die einem die für die jeweilige Plattform geeignete App empfiehlt. Dummerweise führt der Link auf die für Linux gedachte Seite zu einem 404er.

Mit der Android-App ging es relativ schnell. Das Marketing-Geblubber von irgendwas mit HP+ und Instant Ink war schnell weggeklickt und anschließend die App gelöscht, nachdem sie dauernd in den Benachrichtigungen die Einrichtung eines Kontos bei HP forderte – Der Drucker funktioniert ja!
Oder?

Einige Zeit später weigerte sich der Drucker zu Drucken. Das Betriebssystem meldete keine Probleme mit der Verbindung zum Drucker. Scannen funktionierte, folglich funktionierte die Verbindung zum Netzwerk. Als dann ein Druck auf die i-Taste einen Ausdruck hervorbrachte – das Drucken an sich also funktioniert, war ich dann doch etwas ratlos.

Letztendlich brachte ein genauerer Blick auf jenen Ausdruck die Erklärung:

Printer setup incomplete
Your HP+ printer must be set up using the HP Smart app. Visit 123.hp.com to download the app and complete the guided setup.
Any pages you have printed were intended for setup and have been exhausted. If you completed setup, turn your printer off for at least a minute, then turn it back on. Wait a few minutes to let your printer status refresh and try to print again.
Visit hp.com/plus-support for additional setup help.

Da fühlte ich mich von HP dann doch sehr getrollt. Also die App wieder installiert, ein Konto auf einen nichtssagenden Namen mit einer ebenso nichtssagenden E-Mail-Adresse eingerichtet und dann lief es wieder.
Ganz großes Tennis!

Kennt jemand Drucker, die ihre Kernfunktionalität noch ohne Mucken beherrschen?

–––
¹) Das WLAN erwies sich als nicht ganz so praktisch. Beim Scannen zahlreicher (100te) Seiten nacheinander brach die Verbindung ab und baute sich dann binnen etwa einer Minute wieder auf. Andere Geräte zeigen ein solches Verhalten nicht oder nur sehr kurz.
Ich weiß jedenfalls, warum ich Kabel soweit möglich Funk bevorzuge!

VoIP mit der FritzBox hinter einem OpenWrt-Router

Ich benutze ein APU2-Board mit OpenWrt als Tor ins Internet. WLAN, Telefonie und DECT-Basisstation stellt dagegen eine dahinter platzierte FritzBox 7490 bereit. Dieser Aufbau macht, was er soll und ist sehr flexibel; besonders der Router hat noch ordentlich Leistungsreserven.
Irgendwann stellte sich allerdings heraus, dass eingehende Anrufe oft nicht ankamen, während ausgehende kein Problem darstellten.

Im Hinterkopf hatte ich bereits, dass die SIP-Verbindung ja von der FritzBox aus dem lokalen Netzwerk heraus über den Router ins Internet aufgebaut werden muss, damit der Telefonieanbieter „durchklingeln“ kann – die FritzBox hängt ja nicht mehr direkt erreichbar im Internet – und es folglich daran haken könnte, dass der OpenWrt-Router diese Verbindung beendet.

Eine kurze Internet-Recherche gab dem recht: Entweder muss der Timeout von UDP-Verbindungen im Router hochgesetzt werden oder die FritzBox muss regelmäßig Pakete senden, damit die Verbindung vom Router weiterhin als aktiv eingestuft wird. Ich habe mich für letzteres entschieden:

Diese Einstellungen sind etwas versteckt unter TelefonieEigene Rufnummern im Reiter Anschlusseinstellungen und dann ganz unten auf der Seite ein einem mit „Einstellungen ändern“ betitelten Ausklapp-Menü zu finden

Warum man Freigaben eher nicht in ein Home-Verzeichnis mounten sollte… 🤦️

… wenn man gedenkt, ein Backup des Home-Verzeichnisses zu machen.
Kürzlich habe ich nämlich via sshfs eine Freigabe in mein Home-Verzeichnis eingehängt. Ein Mount-Point ist schnell erstellt, schließlich ist /home/julius meins 😉️. Und irgendwann mache ich dann ein Backup und wundere mich, wieso zum Geier das so lange dauert und stelle dann fest, dass das borg backup auch den Server mit sichert und der Datentransfer über das Internet halt einfach lange dauert. Immerhin war das nicht der Server, auf dem das Backup liegt, das wäre bestimmt witzig geworden.

Bedenkliche Passwort-Vorgaben bei bahn.de

Kürzlich waren mal wieder Bahntickets zu buchen und da dachte ich mir, dass es vielleicht mal an der Zeit wäre, mir dort einen bahn.de-Account zuzulegen. Wohlan, schreiten wir zur Tat und rufen die für diesen Zweck vorgesehene Seite auf. Aus Sicht der IT-Sicherheit schauderte es mir sofort, aber seht selbst – vielleicht entdeckt ihr es ja selbst:

  1. Es fängt schon damit an, dass eine Passwortlänge von lediglich 6 Zeichen als Minimum verlangt wird – 8 Zeichen gilt aktuell im Allgemeinen als Minimum. Interessanterweise fordert man selbst beim Nutzernamen schon 8 Zeichen, was wenig Sinn ergibt, hier geht es ja lediglich darum, dass der Nutzername noch frei sein muss.
  2. Die Verwendung von Sicherheitsfragen. Zu jeder der vorgeschlagenen Sicherheitsfragen fällt mir mindestens ein Einwand ein – auch eine Studie von Google stellt Sicherheitsfragen kein sonderlich gutes Zeugnis aus – sodass ein branchenübliches Vorgehen mit hinterlegter E-Mail-Adresse und Telefonnummer deutlich sinnvoller erscheint:
    • Einige sind extrem leicht für Dritte herausfindbar, notfalls durch Anwendung von Social Engineering. Wie beispielsweise der Mädchenname der Mutter.
    • Einige sind nicht ohne Weiteres für den Nutzer reproduzierbar angebbar. Woher soll man beispielsweise nach Jahren noch wissen, von welcher Karte die Nummer stammt? Außerdem kann man sich nicht sicher sein, ob sich diese durch eine neue Karte mittlerweile geändert hat. Lieblingsbücher oder -filme können sich im Laufe der Zeit ändern.
    • Einige dieser Angaben sind private Details, die ggf. bei einem Datenleck in die Öffentlichkeit gelangen können. Abseits davon wäre es in dem Fall fatal, wenn die selbe Sicherheitsfrage mit der – naheliegenderweise – selben Antwort auf mehreren Seiten verwendet wurde.

Immerhin kann man als um die Problematik wissender Nutzer beides ausgleichen, indem man ein langes, starkes Passwort verwendet und eine Sicherheitsfrage mit einer zufällig generierten Antwort beantwortet und diese Antwort beispielsweise in seinem Passwortmanager ablegt. Ein negativer Beigeschmack bleibt dennoch, zumal der Otto-Normal-Nutzer schlicht die Seite so benutzen wird, wie sie es ihm nahelegt, also vielleicht ein 6 Zeichen langes Passwort sowie dem Mächennamen der Mutter als Sicherheitsfrage wählt. Hoffen wir mal, dass der Rest des Portals besser abgesichert ist.

Nachtrag: Zu der Wahl von Sicherheitsfragen gibt es ein lesenswertes OWASP-Cheatsheet.

Interessante Details zum Raspberry Pi 4

Wie bei meinem letzten Beitrag zu unterthematisierten Details des der neuen Version des Einplatinencomputers gehe ich hier wieder auf ein paar Dinge ein, die ich für interessant erachte, die aber nicht im Rampenlicht der Berichterstattung stehen…

  1. Die analoge Audioausgabe für die Klinkenbuchse wird weiterhin über PWM generiert (Quelle: Schaltplan des RPi 4). Wer bessere Audioqualität braucht, muss sich also weiterhin ein HAT anschaffen oder einen der nun zwei vorhandenen HDMI-Ausgänge benutzen.
  2. Der analoge Composite-Video-Ausgang an der Klinkenbuchse steht weiterhin zur Verfügung. Allerdings kann dieser nicht parallel zu den HDMI-Ausgängen benutzt werden (Quelle: Blogpost zum Release von Raspian Buster).
  3. Der Boot-Prozess wurde geändert. Statt der GPU, die erst im weiteren Verlauf des Boot-Prozesses die Kontrolle an die eigentlichen ARM-CPU-Kerne übergibt, sind jetzt die ARM-Kerne die eigentlichen Hauptprozessoren. Zudem existiert jetzt ein Flash-Speicher, der die Firmware für den Systemstart enthält.
  4. Damit einher geht auch, dass sowohl USB-Boot als auch Netzwerkboot anders funktionieren müssen (→ Die Firmware muss jetzt über PCIe mit dem USB-Controller und dem im SoC integrierten Gigabit-MAC „sprechen“), beides wird aber über Updates der Firmware nachgereicht.
  5. Der USB-C-Anschluss zur Stromversorgung ist gleichzeitig auch ein USB 2.0-Port. Dort liegt jetzt nämlich der USB-Port an, der ursprünglich der primäre und einzige USB-(OTG)-Port des SoC war.
  6. Probleme, die durch den Datenverkehr über den einzigen USB-Port des SoCs verursacht wurden, wie Audioaussetzer bei Netzwerktransfer über die am internen USB-Hub-hängenden Netzwerkkarte und gleichzeitiger Audioausgabe über eine am gleichen Hub hängende USB-Soundkarte, sind mit dem über PCIe angebundenen USB-Controller und der separat am SoC angebundenen Gigabit-Netzwerkkarte passé.
  7. Der Grafik-Stack beinhaltet weniger proprietären Code und setzt jetzt auf Mesa. Der Treiber dafür war schon länger in Arbeit und wurde auch in Zusammenhang mit einem möglichen RPi 4 gesehen.

Insgesamt stellt der RPi 4 eine gelungene Rundum-Überholung dar. Wo möglich und nötig, wahrt er die Kompatibilität zu den Vorgängern. Und beseitigt dabei die Probleme der Vorgänger, was Erweiterbarkeit der SoC-Architektur, mangelnde IO-Bandbreite und fehlenden Arbeitsspeicher angeht. Erweiterungen, HATs und Anleitungen funktionieren allerdings weiterhin. Und das zu weiterhin günstigen Preisen und anscheinend weiterhin gutem Software-Support.

Das als Gesamtpaket hat die Konkurrenz zwar immer angekündigt, aber nie wirklich geliefert.
Trotz aller Schelten, die die RPi-Macher bisher für ihre Entscheidungen („Veraltetes SoC einsetzen geht gar nicht!“, „Wo bleibt Gigabit-Ethernet?!“) kassiert hat, muss man anerkennen, dass sich manche Dinge eher inkrementell lösen lassen als wenn man sie von Anfang an „richtig“ zu machen versucht und dann letztlich doch an der Komplexität des Ganzen scheitert.

Ich benötige im Moment keinen weiteren RPi, auch keinen schnelleren, weil ich alle meine drei Pis (3B, 3B+ und 3A+) im Headless-Betrieb nutze und sie dafür vollkommen ausreichend sind. Aber sobald mal wieder genug Geld in der Bastelkasse sein dürfte, wird der Haben-Reflex sicherlich überhand nehmen…

TV-Adapter-Einstellungen in Tvheadend zurücksetzen

Ich benutze Tvheadend als TV-Streaming-Server und hatte letztens das Problem, dass ich die Adapter-Einstellungen nicht mehr ändern konnte, weil ich vorher ein bisschen damit herum gespielt hatte – einen der Tuner hatte ich als Master-Tuner eingetragen, weil ich lediglich ein einzelnes Koaxialkabel in Satblock-Verteilung, was die am meisten benutzte Topologie für die Verteilung Satelliten-TV ist, am Standort des Servers hatte. Das bedeutet, dass nur einer der drei Tuner den Frequenzbereich und die Polarisation bestimmen kann.

Nun habe ich drei Kabel dort liegen, womit alle drei Tuner separat angesteuert werden können. Theoretisch, denn trotz dreier Tuner schien Tvheadend nur einen Tuner zu nutzen.

Da mir das Einstellungsmenü seltsam leer erschien (der Punkt „Universal LNB only“ fehlte bei zwei von drei Tunern), wollte ich „einfach“ mal die Einstellungen löschen und alles komplett von vorne konfigurieren. Diese Option konnte ich allerdings nirgends finden. Auf den richtigen Weg brauchte mich dann ein Beitrag im Tvheadend-Forum: Man muss die entsprechende Konfigurationsdateien unter /home/hts/.hts/tvheadend/input/linuxdvb/adapters/ löschen:

  1. Tvheadend stoppen: service tvheadend stop
  2. (Sicherheitshalber) Backup erstellen: rsync -a /home/hts/.hts/ dot_hts_back
  3. (In meinem Fall) alle Adapter-Dateien (pro je verbundenem Tuner ist es immer eine Datei) löschen: rm /home/hts/.hts/tvheadend/input/linuxdvb/adapters/*
  4. Tvheadend wieder starten: service tvheadend start
  5. Adapter in Tvheadend wieder neu konfigurieren (da wollten wir ja hin :-)).

Die benutzte Tvheadend-Version ist übrigens 4.2.8-23.

Reset TV adapter settings in Tvheadend

I use Tvheadend as TV streaming server and recently encountered the problem that I couldn’t change the adapter’s settings any more. Two of three tuners missed the option „Universal LNB only“ and only one tuner was used by Tvheadend. Before that I set one tuner as master tuner because of the fact that I only had one free cable to the LNB. This is a restriction in the classic satellite signal distribution topology because only one tuner of the three available is able to control the polarisation and frequency range sent through the cable.
Anyway, now I have three cables for three tuners and wanted to change the settings.

Because of missing the Option „Universal LNB only“ in two of three cases, I wanted to reset all adapter settings but it seems that Tvheadend does not allow this. The solution was provided by a posting in the Tvheadend forum: It was neccessary to delete the adapter configuration files in /home/hts/.hts/tvheadend/input/linuxdvb/adapters/.

  1. stop Tvheadend service tvheadend stop
  2. create Backup (just to be safe): rsync -a /home/hts/.hts/ dot_hts_back
  3. delete files (one per every tuner ever connected): rm /home/hts/.hts/tvheadend/input/linuxdvb/adapters/*
  4. start Tvheadend: service tvheadend start
  5. configure adapter in Tvheadend (what was the goal :-))

The used Tvheadend version is 4.2.8-23.

Die guten Seiten der DSGVO

Die Datenschutzgrundverordnung DSGVO mag negative Effekte haben, Aufwand bereiten, bringt aber dennoch viel Positives – vor allem für die Nutzer – mit sich, was im Moment bedauerlicherweise eher in den Hintergrund tritt:

  • Vor Datenerfassung muss Einwilligung erfolgen
    → Vielleicht denken die Nutzer mal darüber nach, was sie da wem an Daten offen legen. Und die Anbieter scheuen vielleicht die mit der Speicherung von nicht zwingend notwendigen Daten verbundenen Aufklärungsaufwand und lassen die Speicherei gleich bleiben.
  • Löschung und / oder Exportieren von Personen-gebundenen Daten verpflichtend
  • Verbesserte Einheitlichkeit in Europa, digitale Differenzen innerhalb Europas werden abgebaut
    • Services aus der EU können problemloser benutzt werden
    • Datenschutzverletzungen aus anderen EU-Ländern können leichter belangt werden – Irland hatte beispielsweise bisher einen wesentlich laxeren Datenschutz als in Deutschland.
      Fraglich ist allerdings, wie die die EU-Datenschutzbehörden ausgestattet sind.
  • Datenschutzerklärungen müssen verständlicher sein, ggf. auch in Stufen:
    Icons als grobe Erläuterung, Zusammenfassung als nächste feinere und dann zuletzt die ausführliche Datenschutzerklärung
  • Das Kopplungsverbot

Es bleibt nur zu hoffen, dass die DSGVO den tatsächlich Datenschutz verbessert und nicht einfach nur zu längeren und noch unverständlicheren Datenschutzerklärungen führt. Bisher wurde ja eher auf der DSGVO herumgeschimpft.

Scribus 1.4.7 und 1.5.4 erschienen

Scribus LogoEnde April hat das Scribus-Projekt die Versionen 1.4.7 und 1.5.4 der freien Desktop-Publishing-Software veröffentlicht.

Die Version 1.4.7 aus dem stabilen Entwicklungszweig hat dabei nur Fehlerbehebungen (Bugfixes) erhalten und wird wohl die letzte Version dieses Zweiges darstellen, weil ab jetzt besonders auf das Erscheinen von 1.6.0 hingearbeitet wird.
Details zu den behobenen Fehlern finden sich in der Liste der Änderungen (Change Log) im Bugtracker des Scribus-Projekts.
Release-Notes von 1.4.7

Verbesserungen an den Funktionen erfolgen derweil im 1.5er Entwicklungs-Zweig, aus dem später die nächste stabile Versionsreihe 1.6.x hervorgehen wird.

In 1.5.4 wurde neben den üblichen Fehlerbehebungen die Farb-Präzision bei Füllfarben auf 64 Bit-Gleitkommazahlen erhöht. Außerdem kann Scribus nun mit Farb-Paletten nach dem ISO-Standard CxF3 umgehen, die das Speichern von Farben in verschiedenen Farbmodellen (CMYK, RGB, LAB) und Ausgabemethodenprofile (output intent) unterstützen und mit der Unterstützung für Spektral Farben eine höhere Farbpräzision erreichen. Laut den Entwicklern ist Scribus die erste DTP-Software, die diesen Standard unterstützt.
Des Weiteren beherrschen die Import-Filter für andere Dokument-Formate nun das LAB-Farbmodell, wo dies möglich ist. Experimentelle Import-Filter für das Vektorgrafik-Programm ZonerDraw (Versionen 4 und 5) und QuarkXPress-Dokumente der Versionen 3 bis 4, die auf das Document Liberation Project zurückgehen, wurden ergänzt.

Ansonsten wurde noch das Barcode-Plugin aktualisiert und kleinere Fehler in der PDF Bibliothek des Programms betreffend den Export von für den Druck bestimmten PDFs und PDF-Formularen behoben.

Die für mich interessanteste Neuerung sind allerdings die Verbesserungen am integrierten Scripter des Programms, mit dem über Python-Programme Dokumenten bearbeitet werden können:

  • Die Methode getAllObjects, die alle Rahmenobjekte auf der aktuellen Seite zurück liefert, akzeptiert nun optional das Schlüsselwort page als Parameter, mit dem die Objekte auf einer anderen Seite als der aktuellen ermittelt werden können.
  • PDF-Anmerkungen können nun mittels des Scripters gesetzt und bearbeitet werden, die dazu nötigen Methoden:
    setLinkAnnotation, setFileAnnotation, setURIAnnotation, setTextAnnotation, createPdfAnnotation, isAnnotated
  • Mit folgenden neuen Methoden können Linien-Stile erzeugt und benutzt werden:
    createCustomLineStyle, getCustomLineStyle, setCustomLineStyle
  • Es ist nun möglich, mittels setCharacterStyle Zeichenstile im Scripter auf eine Textauswahl anzuwenden.

Diese neuen Möglichkeiten des Scripters zusammen mit der Möglichkeit, Scribus 1.5.x von der Kommandozeile aus ein Python-Script als Parameter zu übergeben, sind eine gute Neuigkeit. Beispielsweise könnte man sich jetzt einen simplen Markdown-Importer basteln und dann Batch-Verarbeitung im Headless-Betrieb machen.
Im Deutsch-sprachigen Community-Wiki befinden sich Ansätze einer Dokumentation des Scripters.

Zuletzt sollte aber noch erwähnt werden, dass Dokumente, die mit einer 1.5er-Version (oder neuer) von Scribus geöffnet wurden, sich nicht mehr von 1.4.x öffnen lassen – Vor Experimenten mit der Entwicklungsversion sollte man sich folglich eine Kopie anlegen!
Release-Notes und Change-Log von 1.5.4


Eigentlich schade, dass sowohl Scribus 1.4.7 als auch Gimp 2.10 nicht so lange vor dem Release von Ubuntu 18.04 erschienen sind, dass sie in die Paketquellen hätten aufgenommen werden können…