Die neue FRITZ!Box 5530 Fiber wurde bereits im September 2019 das erste mal gezeigt. Mehr als ein Jahr später, Mitte November 2020, fand die offizielle Vorstellung statt. Als Verkaufsstart nannte AVM hier lediglich „demnächst verfügbar“. Anschließend hat es nochmal ca. zwei Monate gedauert, bis die FRITZ!Box 5530 Fiber das erste Mal käuflich zu erwerben war. Seitdem sind immer mal wieder Angebote bei Amazon zu finden, die in der Regel aber nach wenigen Stunden ausverkauft sind.
Ich hatte Glück und konnte letzte Woche eine 5530 ergattern, die vor wenigen Tagen bei mir eingetroffen ist. Nachdem ich bereits von einigen Firmware-Problemen bei der offiziellen FRITZ!OS Version 07.21 gelesen hatte, habe ich ohne weitere Tests direkt zur neuesten erhältlichen Firmware gegriffen. Zum Zeitpunkt des Artikels war das FRITZ!OS 07.24-86065 Inhaus. Den Download findet ihr übrigens hier: https://download.avm.de/inhaus/PSQ19Phase2/5530/FRITZ.Box_5530-07.24-86065-Inhaus.image
Bereits seit einigen Jahren werden bei uns in der Gegend Neubaugebiete mit Fiber to the Home (FTTH) ausgestattet. Die Telekom setzt dabei auf Gigabit Passive Optical Network (GPON).
Die Beantragung erfolgt über den Netzversorger. Dieser legt dann in koordinierter Bauweise neben dem Strom- unter anderem auch den FTTH-Anschluss in die Mehrspartenhauseinführung. Genauer gesagt erst einmal nur das Glasfaserleerrohr. Anschließend wird die Glasfaser-Teilnehmerabschlussdose (Gf-TA) gesetzt und üblicherweise wird daneben der Optical Network Termination (ONT) platziert. Dabei handelt es sich um das Glasfasermodem. Ich habe allerdings ein Leerrohr von der Mehrspartenhauseinführung zum Netzwerkschrank gelegt, sodass ich den ONT dort platzieren konnte. In meinem Fall ist der ONT ein Huawei EchoLife HG8010u (ONT v3). Dieser besitzt eine LAN-Schnittstelle, welche man mit dem Router verbindet, in meinem Fall eine ältere FRITZ!Box 7490.
Nachfolgend ein paar Fotos:
Telekom FTTH Mehrspartenhausanschluss und Gf-TA
Telekom FTTH Gf-TA
Telekom FTTH ONT
Umstellung auf FRITZ!Box 5530 Fiber
Mein Ziel war es, den ONT und die ältere FRITZ!Box 7490 durch die neue FRITZ!Box 5530 Fiber zu ersetzen. Einfach Umstecken funktioniert allerdings nicht, da hier einige Dinge zu beachten sind. Nachfolgend eine kleine Anleitung, die bei mir und anderen Benutzern einwandfrei funktioniert hat.
Als Ausgangssituation startet ihr mit eurem aktiven und verbundenen ONT (Glasfaserkabel ist eingesteckt).
Zunächst benötigt ihr die ONT-Kennung, welche ihr bei der Telekom erfragen müsst. Theoretisch funktioniert das über die Hotline. Praktisch wissen nur wenige Ansprechpartner Bescheid, weshalb ihr vermutlich mehrmals anrufen müsst, bis euch die ONT-Kennung genannt wird. Daher würde ich euch empfehlen die Anfrage via „Telekom hilft“ auf Twitter zu stellen. Das funktioniert zuverlässig und vermutlich auch schneller.
Wie anfangs beschrieben solltet ihr eure FRITZ!Box 5530 auf die neueste Version aktualisieren.
Nun könnt ihr das GPON-Modul in eure 5530 stecken, das Glasfaserkabel vom ONT entfernen und mit eurer FRITZ!Box verbinden.
Die Seite „http://fritz.box/support.lua“ öffnen, einloggen und ganz runter scrollen. Dort bei „GPON Seriennummer“ die Seriennummer eures ONTs eintragen. Mit dem Klick auf den Button „Einstellungen übernehmen“ hat es bei mir komischerweise nicht funktioniert. Daher habe ich nach dem Eintragen oben links auf das FRITZ!-Logo geklickt und im Popup auf „Übernehmen“.
Die Seriennummer bei den Huawei-ONTs findet ihr unter dem Deckel. Diese könnt ihr 1:1 übernehmen. Bei älteren Sercomm-ONTs müsst ihr die Seriennummer erst umwandeln. Als Hilfestellung kann ich diesen Forenbeitrag empfehlen.
FRITZ!Box 5530 GPON-Seriennummer
FRITZ!Box 5530 GPON-Seriennummer
Anschließend unter „http://fritz.box“ die Telekom-Zugangsdaten und die ONT-Kennung eintragen.
FRITZ!Box 5530 Zugangsdaten
Optional: Ab sofort könnt ihr ohne weiteres Zutun zwischen FRITZ!Box 5530 und altem ONT wechseln. Einfach das Glasfaserkabel umstecken.
Sollte bei euch diese Variante nicht funktionieren, gäbe es noch die Möglichkeit über einen Rediscover. In diesem Fall müsst ihr die Seriennummer eures Telekom-ONTs nicht übernehmen. Nachteil dieser Methode ist allerdings, dass ab sofort nur noch die FRITZ!Box 5530 an eurem FTTH-Anschluss funktioniert. Ein Wechsel zurück zum alten ONT hätte einen erneuten Rediscover zur Folge. Da diese Variante einige Nachteile besitzt hier nur die Kurzform:
ONF-Kennung bei der Telekom erfragen. Funktioniert sporadisch via Hotline, daher besser „Telekom hilft“.
FRITZ!Box 5530 auf die neueste Version aktualisieren.
Glasfaserkabel vom ONT entfernen.
Bei der Telekom einen Rediscover anfordern. Funktioniert sporadisch via Hotline, daher besser „Telekom hilft“.
Glasfaserkabel in das GPON-Modul der FRITZ!Box 5530 stecken und Zugangsdaten eintragen.
Die Ubiquiti UniFi Dream Machine Pro (UDM-PRO) bietet ein gutes Preis-Leistungs-Verhältnis, weshalb sie oft im Privatgebrauch oder in kleinen Firmen zum Einsatz kommt. Idealerweise wird das Gerät direkt oder über ein Modem mit dem Internet verbunden. Hierfür stehen an der UDM-Pro die beiden WAN-Ports 9 (RJ45) und 10 (SFP) zur Verfügung. Auf beiden Ports ist die Network Address Translation (NAT) standardmäßig aktiviert. Innerhalb der Konfigurationsoberfläche besteht keine Möglichkeit NAT zu deaktivieren.
Falls die UDM-PRO unter bestimmten Voraussetzungen hinter einem Router, z.B. einer FRITZ!Box betrieben werden muss, dann hat man zwangsweise den Nachteil von doppeltem NAT. In vielen Fällen kann dieses Setup ohne weitere Einschränkungen genutzt werden. Doppeltes NAT führt aber oftmals bei Onlinespielen, Xbox, PlayStation und Co zu Problemen. Diese Probleme können jedoch behoben werden, indem die UDM-PRO in der FRITZ!Box als „Exposed Host“ konfiguriert wird. Das doppelte NAT ist dann aber trotzdem noch vorhanden.
Lange Rede kurzer Sinn: In diesem Artikel möchte ich euch zeigen, wie ihr NAT auf den WAN-Ports der UDM-Pro deaktivieren könnt.
SSH aktivieren und verbinden
Zunächst müsst ihr den SSH-Zugang aktivieren und ein Passwort setzen. Dies erfolgt über die Einstellungen der UDM-PRO unter dem Punkt „Adcanced“.
Anschließend könnt ihr euch z.B. mit PuTTY via SSH auf die UDM-PRO verbinden. Der Username ist „root“.
Mit folgendem Befehl können wir die aktuelle NAT-Konfiguration einsehen:
xtables-multi iptables -t nat -L -v --line-number
In der Chain „UBIOS_POSTROUTING_USER_HOOK“ stehen die relevanten Infos:
Chain UBIOS_POSTROUTING_USER_HOOK (1 references)
num pkts bytes target prot opt in out source destination
1 0 0 MASQUERADE all -- any eth8 anywhere anywhere /* 00000001095327760591 */
2 0 0 MASQUERADE all -- any eth9 anywhere anywhere /* 00000001095327760592 */
Hier ist ersichtlich, dass auf Port 9 (eth8) und Port 10 (eth9) NAT aktiviert ist.
„UDM / UDMPro Boot Script“ installieren
Voraussetzung für das Deaktivieren von NAT ist das „UDM / UDMPro Boot Script„, welches auch nach einem Neustart oder Firmwareupdate bestehen bleibt.
Für die Installation muss zunächst mit folgendem Befehl in die UnifiOS Shell gewechselt werden.
unifi-os shell
Anschließend wird das Boot Script heruntergeladen und installiert. Am Schluss muss die UnifiOS Shell verlassen werden.
Bei Bedarf könnt ihr das Skript direkt starten und prüfen, ob es funktioniert.
sh delete-nat.sh
Eine Überprüfung mit
xtables-multi iptables -t nat -L -v --line-number
zeigt, dass beide NAT-Regeln entfernt wurden:
Chain UBIOS_POSTROUTING_USER_HOOK (1 references)
num pkts bytes target prot opt in out source destination
Achtung, bei jeder Änderung im Routing oder bei den Firewall-Regeln werden die beiden NAT-Policies wiederhergestellt. Also entweder das Skript danach manuell starten oder die UDM-PRO rebooten.
Statische Route in der FRITZ!Box
Standardmäßig ist das FRITZ!Box Subnetz 192.168.178.0/24 und das Netz der UDM-PRO 192.168.1.0/24.
Damit Clients aus dem UDM-PRO-Subnetz auf das Internet oder die FRITZ!Box zugreifen können, wird noch eine statische Route auf der FRITZ!Box benötigt.
Diese könnt ihr unter „Heimnetz –> Netzwerke –> Netzwerkeinstellungen“ anlegen. Dazu ganz nach unten scrollen und auf den Button „IPv4-Routen“ klicken (siehe Bild).
Dort erstellt ihr eine neue Route und gebt folgende Daten ein:
Netzwerk: das Netz der UDM-PRO, standardmäßig 192.168.1.0
Subnetzmaske: die Subnetzmaske des vorher eingetragenen Netzes, standardmäßig 255.255.255.0
Gateway: die Adresse der UDM-PRO im FRITZ!Box Subnetz, diese kann unter „Heimnetzwerk“ in Erfahrung gebracht werden
Mit Klick auf „Übernehmen“ ist dieser Schritt erledigt.
Optional: Firewall-Regel in der UDM-PRO
Dieser Schritt ist nur notwendig, wenn ihr vom Subnetz der FRITZ!Box auf ein Subnetz „hinter“ der UniFi Dream Machine Pro zugreifen möchtet. Anders herum funktioniert es ohne weitere Konfiguration.
Die Kommunikation wird nämlich noch durch die Firewall der UDM-PRO blockiert. Um dies zu ändern, muss eine neue Regel erstellt werden. Zunächst muss der UniFi Network Controller auf der UDM-PRO geöffnet werden. Anschließend unter „Einstellungen –> Security –> Internet Threat Management –> Firewall“ auf den Button „Create new Rule“ klicken.
Exemplarisch habe ich jeglichen Traffic aus dem Subnetz der FRITZ!Box freigegeben. Sofern möglich solltet ihr die Freigabe jedoch spezifischer gestalten, z.B. auf einzelne IP-Adressen einschränken und nicht ganze Subnetze freigeben.
Es existieren verschiedene Möglichkeiten, um ein Betriebssystem für den Raspberry Pi auf eine microSD-Karte zu installieren. In der Vergangeheit habe ich dafür immer Etcher verwendet. Seitens Raspberry Pi wurde aber mittlerweile der Raspberry Pi Imager ins Rennen geschickt, welchen ich euch absolut ans Herz legen kann. Dieser steht auf der offiziellen Webseite zum Download bereit. Das Open-Source-Tool ist für Windows, macOS und Ubuntu verfügbar. Den Quellcode findet ihr bei GitHub.
Ein großer Vorteil des Raspberry Pi Imager ist, dass dieser automatisch alle unterstützten Betriebssysteme auflistet und direkt on-the-fly während dem Download auf die microSD-Karte schiebt. Nachfolgend eine kurze Übersicht, wie die einzelnen der Schritte der Installation aussehen.
Nach der Installation von Raspberry Pi Imager könnt ihr das Tool direkt starten.
Als erstes wählt ihr das gewünschte Betriebssystem aus. Ich empfehle grundsätzlich immer Raspberry Pi OS Lite, sofern nichts dagegen spricht.
Anschließend muss die microSD-Karte für die Installation gewählt werden. Bei mir habe ich das Image testweise auf einen USB-Stick installiert, also nicht wundern.
Vor dem Start erscheint eine Warnung dass alle Daten gelöscht werden, die ihr mit „JA“ bestätigen müsst.
Anschließend beginnt der Download des gewählten Images, welches on-the-fly auf die microSD-Karte geschrieben wird.
Sobald der Schreibvorgang beendet ist, erhaltet ihr eine Bestätigung.
In zwei Tagen ist es soweit: Nach mehreren Verschiebungen erscheint Cyberpunk 2077. Mittlerweile sind die ersten Reviews online und es gibt erste Performancemessungen. Nachfolgend ein Überblick über die bisherigen Erkenntnisse.
Das erste Performance-Preview bei Tom’s Hardware zieht viel Aufmerksamkeit auf sich. Getestet wurde eine aktuelle Version des Spiels, allerdings ohne Day-1-Patch und ohne speziell angepasste Treiber von AMD und nVidia. Hier können sich die Werte also noch in die ein oder andere Richtung bewegen, aber für eine erste Einordnung der Performance ist das Preview ganz gut zu gebrauchen.
FHD @ Med.
FHD @ Ultra
WQHD @ Med.
WQHD @ Ultra
4K @ Med.
4K @ Ultra
GeForce RTX 3090
106,7 fps
104,0 fps
105,5 fps
85,2 fps
67,8 fps
46,0 fps
GeForce RTX 3080
105,4 fps
102,8 fps
99,9 fps
75,7 fps
60,6 fps
40,6 fps
GeForce RTX 3060 Ti
104,6 fps
77,4 fps
73,7 fps
51,1 fps
38,4 fps
25,7 fps
GeForce RTX 2060
78,2 fps
54,1 fps
50,0 fps
32,9 fps
23,6 fps
15,2 fps
GeForce GTX 1060
37,4 fps
24,9 fps
23,4 fps
15,8 fps
11,2 fps
6,9 fps
Radeon RX 6800 XT
107,8 fps
100,5 fps
99,7 fps
68,9 fps
52,2 fps
33,8 fps
Radeon RX 5600 XT
71,6 fps
47,5 fps
42,5 fps
28,9 fps
22,6 fps
13,7 fps
gemäß den Benchmarks von Tom’s Hardware, ohne RayTracing oder DLSS
Grundsätzlich ist zu erkennen, dass es sich bei Cyberpunk 2077 um ein echtes NextGen-Spiel handelt. Selbst die neue GeForce RTX 3080 kommt unter 4K-Auflösung mit Ultra-Details gerade so auf 40 fps. Beim Einsatz von RayTracing kann sich die Performance durchaus mehr als halbieren. Hier muss also vermutlich zwangsweise auf DLSS gesetzt werden, um unter 4K mit maximalen Details eine halbwegs spielbare Framerate zu erreichen. Alternativ können die Details reduziert werden. Generell bringt die Rückstufung auf Medium-Details einen beachtbaren Performanceschub, sodass auch ältere Grafikkarten wie z.B. die GeForce RTX 2060 oder gar die GeForce GTX 1060 mit gewissen Abstrichen bei der Auflösung oder Bildqualität auf flüssige Frameraten gebracht werden können.
Positive Bewertungen überwiegen
Der aktuelle Metacritic-Score von 91 (bei 100 möglichen Punkten) zeigt schon, dass die hohen Erwartungen an Cyberpunk 2077 durchaus erfüllt werden. Viele Reviews sprechen von Fehlern und Bugs, die aber laut einem Entwickler bereits jetzt gefixt wurden oder mit dem Day-1-Patch behoben werden sollen.
They are not – a bunch of issues reviewers encountered (and reported) have been fixed already, some more are part of the update.
Gamestar vergibt 91/100 Punkte und liegt damit direkt im Schnitt. Das Spiel sei ein „Meisterwerk“ und gelobt werden die Story, Charaktere und die Synchronisation (sowohl die englischsprachige als auch die deutsche).
PC Games wertet 10/10 Punkte und bescheinigt dem Titel eine spannende Hauptstory. Kritik gibt es für mangelnden Interaktionsmöglichkeiten mit der Spielwelt und fehlende Minispiele bzw. Sammelaufgaben. Wobei ich persönlich froh darüber bin und auf beides gerne verzichten kann :)
Die US-Kollegen von IGN vergeben 9/10 und bemängeln die vielen Bugs. Auf der positiven Seite sind jedoch die vielen Freiheiten die das Spiel einem gibt, die tollen Nebenquests und die bombastische Grafik sowohl der Soundtrack.
Zwischen der Vorstellung neuer Produkte bei AVM und dem Verkaufstart dauert es in der Regel mehrere Monate. Bei der FRITZ!Box 5530 Fiber ist es mittlerweile über ein Jahr, nachdem AVM den Router das erste Mal im September 2019 präsentiert hat. Die FRITZ!Box 5530 Fiber soll demnächst für 169 Euro verfügbar sein.
Die FRITZ!Box 5530 Fiber eignet sich für den direkten Einsatz am Glasfaseranschluss, was ein separates Glasfasermodem überflüssig macht. Unterstützt werden dabei alle Anschlüsse an aktive (AON) oder passive optische Netze (GPON, XGS-PON). AVM spricht davon, dass die Box für jeden Glasfaseranschluss in Deutschland einsatzbereit ist. Explizit genannt werden Envia Tel, Netcologne, Netkom Wemacom und Deutsche Telekom. Außerdem soll sie bei vielen weiteren Netzbetreibern auf städtischer oder regionaler Ebene einsetzbar sein. Des Weiteren hat die 5530 vom Broadband Forum (BBF) die Zertifizierung BBF.247 für die Glasfasertechnologie XGS-PON erhalten. Im Lieferumfang ist jeweils ein AON- und ein GPON-Modul enthalten.
Zur weiteren Ausstattung zählen Wi-Fi 6, ein 2,5-GBit/s-LAN-Port, zwei Gigabit-LAN-Ports, eine DECT-Basis und ein analoger Anschluss. Weitere Details könnt ihr der Auflistung weiter unten entnehmen.
Ich persönlich freue mich schon sehr darauf das Glasfasermodem von meinem FTTH-Hausanschluss zu entfernen. In letzter Zeit machte es vermehrt Probleme und ich musste es öfter neustarten.
FRITZ!Box 5530 Fiber
Die Highlights der FRITZ!Box 5530 Fiber im Überblick
Für alle gängigen Glasfaseranschlüsse in Europa: AON, GPON, XGS-PON, per SFP-Modul (Small Form-Factor), nach BBF.247 zertifiziert
Die für den Handel vorgesehene FRITZ!Box 5530 Fiber wird mit einem AON- und einem GPON-Modul ausgeliefert. Schließt der Anwender seine FRITZ!Box zuhause direkt an, wird automatisch erkannt, ob es sich um die richtige Verbindungsart handelt.
2×2 Wi-Fi 6 (WLAN AX) mit bis zu 3 GBit/s; 5 GHz: 2.400 MBit/s (HE160) und 2,4 GHz: 600 MBit/s
Ein 2,5-Gigabit-LAN-Port (NBase-T)
Zwei Gigabit-LAN-Ports
DECT-Basis für bis zu 6 Telefone und Smart-Home-Anwendungen
Ein Anschluss für analoges Telefon oder Fax
FRITZ!OS: mit Firewall, Kindersicherung, WLAN-Gastzugang, MyFRITZ, VPN etc.
Mesh-Komfort: für optimale Verbindungen im WLAN, bei der Telefonie und im Smart Home
Verschiedene FRITZ!Repeater- und FRITZ!Powerline-Produkte erweitern das Heimnetz für jeden Bedarf
Strom – Wärme – Licht: Intelligente Steckdosen FRITZ!DECT 200/210, der Heizkörperregler FRITZ!DECT 301, die LED-Lampe FRITZ!DECT 500 und der Taster FRITZ!DECT 440 fürs smarte Wohnen FRITZ!App Fon, FRITZ!App WLAN, FRITZ!App Smart Home und MyFRITZ!App ergänzen den Komfort
Automatische Updates
Handliches Format: Höhe, Breite, Tiefe 208 x 150 x 37mm
Obwohl die Bekanntheit von WireGuard in den letzten Monaten stark zugenommen hat, ist das VPN-Protokoll bzw, die VPN-Software immer noch verhältnismäßig unbekannt. Ich nutze WireGuard seit einigen Monaten und möchte es nicht mehr missen. Vor allem der schnelle Verbindungsaufbau, das exzellente Roaming-Verhalten und die gute Performance haben mich überzeugt.
Was sich genau hinter WireGuard verbirgt und wie die Software arbeitet, habe ich bereits in meinem Artikel „WireGuard – neues VPN-Protokoll mit großer Zukunft“ beschrieben. Jetzt folgt sozusagen der zweite Teil, in dem ich detailliert auf die Einrichtung unter Raspbian Buster und Android eingehe.
WireGuard Installation
Die Installationsanleitung funktioniert nicht bei folgenden Raspberry Pi Modellen: 1, 2 (Ausnahme v1.2), Zero & Zero W. Bei diesen Modellen fehlen benötigte CPU-Features und WireGuard muss dort von Hand compiliert werden. Wie das geht habe ich relativ am Ende meines Artikels aufgezeigt. Davon abgesehen macht die Nutzung auf diesen Modellen aber nur eingeschränkt Spaß.
Zunächst bringen wir die Paketquellen und alle Pakete auf den aktuellen Stand. Anschließend installieren wir noch die Kernel Headers.
Die Installation an sich ist damit erledigt. Jetzt können wir mit der Konfiguration fortfahren.
Generierung der benötigten Schlüsselpaare
Zum Start benötigen wir jeweils einen privaten und öffentlichen Schlüssel für den Client und den Server.
Die Erstellung der Keys wird im Verzeichnis „/etc/wireguard“ durchgeführt. Damit alle Dateien bei der Erstellung direkt restriktive Berechtigungen haben, muss die umask auf 077 gesetzt werden.
sudo su
cd /etc/wireguard
umask 077
wg genkey | tee peer1_private.key | wg pubkey > peer1_public.key
wg genkey | tee server_private.key | wg pubkey > server_public.key
Mittels „ls“ prüfen wir, ob alle vier Dateien erstellt wurden:
ls
peer1_private.key peer1_public.key server_private.key server_public.key
Zum Schluss können die Keys mittels „cat“ ausgegeben werden, da wir diese später sowieso benötigen.
Im ersten Schritt aktivieren wir das IPv4 Forwarding in der Datei „/etc/sysctl.conf“. Dies kann entweder mit Entfernen der Auskommentierung der Zeile „net.ipv4.ip_forward = 1“ oder alternativ mit diesem Befehl erfolgen:
Wer IPv6 nutzt, muss stattdessen entsprechend die Auskommentierung der Zeile „net.ipv6.conf.all.forwarding=1“ aufheben.
Anschließend muss der Raspberry Pi neugestartet werden.
sudo reboot
Wir überprüfen den Status mit folgendem Befehl:
sysctl net.ipv4.ip_forward
Wenn das IPv4 Forwarding aktiv ist muss als Ergebnis „net.ipv4.ip_forward = 1“ zurückgegeben werden.
Jetzt erstellen wir die WireGuard-Konfiguration „/etc/wireguard/wg0.conf“. Welchen Editor ihr bevorzugt, bleibt natürlich euch überlassen.
sudo vim /etc/wireguard/wg0.conf
Folgendes Template könnt ihr als Ausgangsbasis nutzen.
[Interface]
Address = 100.64.0.1/24
ListenPort = 51820
PrivateKey = <insert server_private.key>
#replace eth0 with the interface open to the internet (e.g might be wlan0)
PostUp = iptables -A FORWARD -i %i -j ACCEPT; iptables -A FORWARD -o %i -j ACCEPT; iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE
PostDown = iptables -D FORWARD -i %i -j ACCEPT; iptables -D FORWARD -o %i -j ACCEPT; iptables -t nat -D POSTROUTING -o eth0 -j MASQUERADE
#Client1 Smartphone
[Peer]
PublicKey = <insert peer1_public.key>
AllowedIPs = 100.64.0.2/32
Neben den IP-Adressen müsst ihr den privaten Schlüssel vom Server und den öffentlichen Schlüssel vom Client ergänzen. Außerdem müsst ihr bei den iptables-Regeln evtl. die Netzwerkschnittstelle anpassen. Optional könnt ihr zudem einen anderen Port definieren. Wenn alles erledigt ist, solltest ihr die Datei unbedingt speichern.
Die für den Tunnel verwendeten IP-Adressen, dürfen sich mit den lokal verwendeten, privaten IPv4-Blöcken (RFC 1918) nicht überschneiden. Beim Einsatz einer FRITZ!Box als Router wird lokal standardmäßig 192.168.178.0/24 verwendet, d.h. alle anderen Adressbereiche können ohne Probleme genutzt werden.
Eine elegante Alternative ist die Verwendung von IP-Adressen (100.64.0.0/10), die für Carrier-Grade-NAT (RFC 6598) reserviert sind. Damit ist sichergestellt, dass die Tunnel-IPs nie mit den privaten Adressbereichen kollidieren können.
WireGuard Client Konfiguration erstellen
Am besten erstellt ihr für jeden Client eine eigene Konfiguration.
sudo vim /etc/wireguard/peer1.conf
Folgendes Template könnt ihr als Ausgangsbasis nutzen.
Hier müsst ihr unter „[Interface]“ die IP-Adresse des Clients anpassen und den gewünschten DNS-Server eintragen. In meinem Beispiel verwende ich die private IP der FRITZ!Box. Wer daheim Pi-Hole im Einsatz hat, kann hier die Pi-Hole Adresse eintragen und kommt somit auch von unterwegs in den Genuss der Werbefreiheit.
Außerdem müsst ihr noch den privaten Schlüssel des Clients ergänzen.
Unter „[Peer]“ tragt ihr zunächst den öffentlichen Schlüssel des Servers ein.
Anschließend folgt die Internetadresse, unter welcher der WireGuard-Server erreichbar ist. Üblicherweise gibt es hier zwei Dinge zu beachten. Bei eurem Internetanschluss daheim, bekommt ihr mit großer Wahrscheinlichkeit eine dynamische IP-Adresse vom Provider zugewiesen. Der WireGuard-Client müsste die wechselnden IP-Adressen stets kennen, um sich zu verbinden. Als Hilfe kommt hier ein dynamischer DNS-Anbieter ins Spiel, der einen festen Domainnamen bereitstellt und dahinter automatisch die jweils aktuelle IP-Adresse zuweist. Bei Verwendung einer FRITZ!Box könnt ihr beispielsweise den Dienst „MyFRITZ!“ nutzen. Eine andere Alternative wäre FreeDNS. Der zweite Punkt ergibt sich, wenn der Raspberry Pi in eurem Heimnetzwerk steht. In diesem Fall müsst ihr an eurem Router ein Port-Forwarding einrichten (UDP 51820), sodass der WireGuard-Traffic des Clients auf den Server weitergeleitet wird.
Unter „AllowedIPs“ wird definiert, welche IP-Ranges über das WireGuard-VPN geroutet werden. Mit „0.0.0.0/0, ::/0“ wird der komplette IPv4- und IPv6-Traffic geroutet (full tunnel). Mit 192.168.178.0/24 könnt ihr z.B. nur euer Heimnetzwerk routen (split tunnel).
„PersistentKeepalive“ ist standardmäßig deaktiviert. Zunächst ein paar Hintergrundinfos um einzuordnen, ob ihr dieses Feature benötigt oder nicht. Normalerweise ist WireGuard nicht sehr gesprächig und sendet nur Daten, wenn etwas zu übertragen ist. Ansonsten verhält sich WireGuard ruhig. Wenn sich der Server hinter einem NAT oder einer Firewall befindet und der Client für eine bestimmte Zeit keine Daten zum Server sendet, entfernt der NAT-Router bzw. die Firewall den Host-Status aus der Verbindungstabelle. Falls jetzt der Server ein Paket zum Client sendet, kommt dieses nicht an, da der NAT-Router bzw. die Firewall nicht weiß, was mit dem Paket zu tun ist. Mit der Option „PersistentKeepalive“ sendet der Client alle x Sekunden ein leeres Paket, um die Verbindung aufrechtzuhalten. Ein Wert von 25 Sekunden hat sich in der Praxis bewährt und funktioniert mit einem Großteil von Firewalls und NAT-Routern.
Kurz zusammengefasst benötigt ihr dieses Feature also nur, wenn ihr vom Server euren Client erreichen möchtet, obwohl dieser seit längerer Zeit keine Pakete gesendet hat. Die meisten Benutzer werden dieses Feature nicht benötigen. Falls doch, einfach die Auskommentierung der Zeile rückgängig machen.
WireGuard Server starten
Nun können wir WireGuard auf dem Server starten. Anstatt alle einzelnen Schritte manuell mit dem „wg“-Tool durchzuführen, bedienen wir uns beim Tool „wg-quick“.
sudo wg-quick up wg0
[#] ip link add wg0 type wireguard
[#] wg setconf wg0 /dev/fd/63
[#] ip -4 address add 100.64.0.1/24 dev wg0
[#] ip link set mtu 1420 up dev wg0
[#] iptables -A FORWARD -i wg0 -j ACCEPT; iptables -A FORWARD -o wg0 -j ACCEPT; iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE
Danach prüfen wir den Status der wg0-Schnittstelle.
sudo wg
interface: wg0
public key: xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxljP1wpITnI=
private key: (hidden)
listening port: 51820
peer: xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxtJd9/esWN4=
allowed ips: 100.64.0.2/32
Der Server läuft und ist für die Verbindung des Clients bereit.
WireGuard beenden funktioniert mit diesem Befehl:
sudo wg-quick down wg0
Wenn WireGuard beim Systemstart automatisch geladen werden soll, kann dies mit folgendem Befehl realisiert werden:
sudo systemctl enable wg-quick@wg0
Created symlink /etc/systemd/system/multi-user.target.wants/wg-quick@wg0.service → /lib/systemd/system/wg-quick@.service.
Der Daemon kann folgendermaßen gesteuert werden. Dabei müsst ihr allerdings darauf achten, dass ihr WireGuard zuerst beendet, sofern ihr es manuell gestartet habt.
Zum Schluss werden die Berechtigungen von „/etc/wireguard/“ und allen Dateien noch einmal korrigiert. Damit wird sichergestellt, dass nur root die entsprechenden Berechtigungen besitzt.
Die Einstellungen in der Android-App können manuell, mittels einer Datei oder mit einem QR-Code erfolgen. Die letzte Variante ist dabei am bequemsten. Hierfür muss auf dem Server der QR-Code erstellt werden.
sudo apt install qrencode
Nach dem Installieren von „qrencode“ kann der QR-Code von der Client-Konfiguration erstellt werden:
Auf dem Android-Gerät muss zunächst die WireGuard App via Google Play installiert werden. Daraufhin kann der erstellte QR-Code mit der App gescannt werden, um die Konfiguration zu importieren. Nachdem ein Name vergeben wurde, kann die Verbindung aktiviert werden.
WireGuard Android App – QR-Code scannen
WireGuard Android App – Tunnel Name vergeben
WireGuard Android App – Tunnel Infos
Mit einem Klick auf den gerade erstellten Tunnel werden einige Infos angezeigt, unter anderem auch eine Trafficstatistik.
Auf dem Server kann ebenfalls der Status ausgegeben werden. Dort werden unter anderem alle verbundenen Clients angezeigt:
sudo wg
interface: wg0
public key: xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxljP1wpITnI=
private key: (hidden)
listening port: 51820
peer: xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxtJd9/esWN4=
endpoint: 11.12.13.14:53019
allowed ips: 100.64.0.2/32
latest handshake: 56 seconds ago
transfer: 927.04 KiB received, 64.85 MiB sent
Der Client kann nun auch via Ping erreicht werden:
ping 100.64.0.2
PING 100.64.0.2 (100.64.0.2) 56(84) bytes of data.
64 bytes from 100.64.0.2: icmp_seq=1 ttl=64 time=95.9 ms
64 bytes from 100.64.0.2: icmp_seq=2 ttl=64 time=112.4 ms
64 bytes from 100.64.0.2: icmp_seq=3 ttl=64 time=71.7 ms
Noch zwei kleine Tipps für die Android-App. Ich importieren die Konfig vom Server immer zweimal. Einmal als „full tunnel“ mit „0.0.0.0/0, ::/0“ und einmal als „split tunnel“, lediglich mit dem Heimnetzwerk eingetragen, z.B. 192.168.178.0/24. So habt ihr volle Kontrolle und könnt je nach Situation den richtigen Tunnel nutzen.
Beim Bearbeiten eines Tunnels (Tunnel Infos anzeigen und dann rechts oben auf das Stift-Icon) könnt ihr außerdem festlegen, welche Apps keinen Traffic über den Tunnel schicken dürfen.
Troubleshooting
WireGuard ist ein Kernel-Modul, das via DKMS automatisch installiert wird, sobald das System einen neuen Kernel benutzt. In seltenen Fällen kann es jedoch passieren, dass WireGuard nicht automatisch eingebunden wird und mit dem neuen Kernel nicht mehr funktioniert.
In diesem Fall sollte zunächst geprüft werden, ob das WireGuard Modul geladen wurde:
lsmod | grep wireguard
Falls nicht kann es hilfreich sein, das Kernel-Modul neu zu konfigurieren:
Sollte dies auch keine Besserung bringen, könnt ihr alternativ das WireGuard Kernel Module und das wg Tool selber kompilieren. Davor muss aber sichergestellt sein, dass alle installierten WireGuard-Pakete deinstalliert sind!
sudo apt remove wireguard
# Toolchain installieren
sudo apt install libmnl-dev raspberrypi-kernel-headers build-essential git pkg-config
#Code laden
git clone https://git.zx2c4.com/wireguard-linux-compat
git clone https://git.zx2c4.com/wireguard-tools
# Kernel Module und das wg Tool kompilieren und installieren
make -C wireguard-linux-compat/src -j$(nproc)
sudo make -C wireguard-linux-compat/src install
make -C wireguard-tools/src -j$(nproc)
sudo make -C wireguard-tools/src install
# Neustarten und fertig
sudo reboot
Die aktuell installierte Version könnt ihr am besten via „dmesg“ herausfinden:
dmesg | grep wireguard
[ 15.677458] wireguard: loading out-of-tree module taints kernel.
[ 15.687104] wireguard: WireGuard 0.0.20200318 loaded. See www.wireguard.com for information.
[ 15.687119] wireguard: Copyright (C) 2015-2019 Jason A. Donenfeld . All Rights Reserved.
Anfang März hat Samsung das komplette QLED- und UHD-TV-Sortiment inklusive der unverbindlichen Preise für 2020 vorgestellt. Neben den beiden 8K-Modellen Q950T und Q800T wurden auch die 4K-Modelle der QLED- und TU-Serie präsentiert. Die meisten Modelle sollen noch im März im Handel verfügbar sein.
8K QLED
Das neue Flaggschiff ist die bereits im Januar auf der CES gezeigte Q950T-Serie. Das fast rahmenlose Design, die nur 15 Millimeter tiefe Bauweise und der integrierte Sourround-Sound haben allerdings ihren Preis. Der Einstieg mit 65 Zoll kostet 5.999 Euro und dürfte daher für die wenigsten interessant sein.
Gleichzeitig schickt Samsung eine zweite 8K-Serie ins Rennen, die bei 65 Zoll und 3.799 Euro startet. Ebenso wie das Topmodell verfügt der Q800T Direct-LED-Backlight mit Local Dimming sowie HDMI 2.1. Für den geringeren Preis muss allerdings auf die One Invisible Connection verzichtet werden und es kommen weniger Dimming-Zonen zum Einsatz.
Features der QLED-Baureihen im Überblick (Bild: Samsung)
4K QLED
Die neuen QLED-Modelle sind im direkten Vergleich mit den Modellen aus dem Vorjahr deutlich günstiger. Allerdings ist hier Vorsicht geboten, da Samsung quasi alle Modelle abgespeckt hat. Die 4K-QLED-Topmodelle Q95T und Q90T bieten im Gegensatz zu den Vorgängern Q90R und Q85R weniger Zonen beim Full Array Local Dimming (FALD). Wieviel Zonen genau vorhanden sind, hat Samsung nicht verraten und muss wohl durch die ersten Reviews geklärt werden.
Generell setzt Samsung erst ab dem Q80T auf Direct-LED-Backlight nebst Local Dimming. Bei den 2019er-Modellen verfügte auch der Q70R über diese Ausstattung. Die beiden kleinsten Varianten Q70T und Q60T müssen sich mit Edge-LED-Backlight begnügen. Darüber hinaus verfügt der Q60T lediglich über ein 50-Hz-Panel. Selbst der RU8009 von letztem Jahr bietet ab 55 Zoll ein Panel mit 100 Hz.
Wie in letztem Jahr unterstützen alle QLED-TVs HDR10 und da dynamische HDR10+-Format. Dolby Vision wird weiterhin nicht geboten. Bei HDMI wird lediglich Version 2.0b unterstützt, HDMI 2.1 ist den teuren 8K-Modellen vorbehalten. Bis auf den Q60T verfügen alle QLED-TVs über einen Dual-Tuner mit DVB-T2/C/S2.
Die Änderungen machen einen direkten Vergleich mit den 2019-Modellen schwierig. Generell könnt ihr die neuen TVs aber immer eine Serie darunter einordnen:
Q95T –> Q90R
Q90T –> Q85R
Q80T –> Q70R
Q70T –> Q60R
Q90T –> RU8009
Übersicht
Nachfolgend eine Tabelle mit allen neuen Modellen und der unverbindlichen Preisempfehlung. Mit dabei sind auch die drei Lifestyle-Fernseher The Serif, The Frame und The Sero.
Die gängigsten Akkus für LED-Taschenlampen sind nach wie vor 18650 Lithiumionen-Akkus. Doch die Dominanz wackelt. Immer häufiger kommen modernere Bauformen wie 20700 oder 21700 zum Einsatz. Die fünfstellige Zahl bezieht sich dabei auf die Größe der zylindrischen Zellen. Die ersten beiden Ziffern geben den Durchmesser in Millimeter an, die dritte und vierte Stelle die Länge der Zelle.
Tesla setzt schon seit längerem auf 21700-Akkus und immer mehr Unternehmen ziehen mit. Neben vielen E-Bike-Herstellern verwendet auch Bosch 21700-Zellen in den neuen ProCore-Akkus. Zudem erscheinen immer mehr Taschenlampen mit den größeres Akkus. Kein Wunder, denn 21700 sind nur wenig größer als 18650, bieten aber eine wesentlich höhere Kapazität und können zudem eine höhere Stromstärke bei der Entladung liefern.
Auch der chinesische Hersteller Convoy hat in den letzten Monaten eine ansehnliche Palette von neuen LED-Taschenlampen mit größeren Akkus auf den Markt gebracht. Die Taschenlampen von Convoy gelten durch ihr herausragendes Preis-Leistungs-Verhältnis seit Jahren als Geheimtipp. Ich besitze mittlerweile mehrere Lampen von Convoy: eine C8, eine M2, zwei S2+ (einmal mit Cree XM-L2 und einmal Nichia 365UV) und seit einigen Wochen eine M21B. Demnächst wird sich noch eine M21C mit XHP70.2 und Biscotti Firmware dazugesellen.
Der chinesische Hersteller Xiaomi hat innerhalb der letzten Jahre in Europa Fuß gefasst. Auch in Deutschland erlangt Xiaomi immer größere Beliebtheit. Ich setze beispielsweise seit geraumer Zeit nur noch auf Smartphones von Xiaomi, allerdings nicht mit dem hauseigenen Betriebssystem MIUI sondern mit Custom ROM.
Offensichtlich nimmt die Expansion nach Deutschland dieses Jahr mehr Fahrt auf. Xiaomi hat bekannt gegeben, dass im 2. Quartal dieses Jahr der erste Mi Store in Deutschland eröffnet werden soll. In einem Tweet wurde auch der Standort bekannt gegeben: Es ist Düsseldorf.
Q2 2020 eröffnen wir unseren ersten Deutschen Mi-Store in Düsseldorf! Wen treffen wir alles bei der Eröffnung? pic.twitter.com/WEymYLKeUB
Weitere Details wie der genaue Eröffnungstermin und das geplante Sortiment wurden bislang allerdings nicht verraten. Bei LinkedIn sind aktuell zwei Stellen in Vollzeit ausgeschrieben, zum einen die Position als Sales Manager bei der Xiaomi Technology sowie einen Office Administrator.
Darüber hinaus startet Xiaomi ebenfalls im Q2 2020 mit dem Direktvertrieb via https://mi.com/de. Diese Neuigkeit ist zwar weniger interessant, da Produkte von Xiaomi bereits auf Amazon und diversen anderen deutschen Webseiten zu erwerben sind, aber dennoch erwähnenswert.
Die wohl am häufigsten genutzte Methode zur Administration eines Raspberry Pis ist Secure Shell (SSH). In den aktuellen Raspbian Versionen ist SSH bereits integriert und muss lediglich aktiviert werden.
Im aktuellen Raspbian Buster (basiert auf Debian 10 Stable) kommt OpenSSH in Version 7.9p1 zum Einsatz. Die Standard-Konfiguration ist in puncto Sicherheit zwar in Ordnung, aber mit einigen Handgriffen lässt sich die Administrationsschnittstelle deutlich besser absichern. Damit steigt die Hürde für potenzielle Angreifer deutlich. Dies ist vor allem wichtig, wenn euer Pi aus dem Internet erreichbar ist.
Mein Artikel bezieht sich auf Raspbian Buster mit OpenSSH 7.9, ist aber größtenteils auch für andere Distributionen und OpenSSH-Versionen anwendbar.
Grundlagen und hilfreiche Befehle
OpenSSH besteht aus zwei Teilen: Dem Server Daemon (sshd) und dem Client (ssh). In diesem Tutorial widme ich mich ausschließlich sshd. Die Konfigurationsdatei des Servers befindet sich hier:
/etc/ssh/sshd_config
Der Status des sshd-Daemons kann mit folgendem Befehl abgefragt werden:
systemctl status ssh.service
● ssh.service - OpenBSD Secure Shell server
Loaded: loaded (/lib/systemd/system/ssh.service; enabled; vendor preset: enabled)
Active: active (running) since Sat 2019-11-02 08:44:33 GMT; 2 weeks 3 days ago
Damit könnt ihr sicherstellen, dass sshd automatisch startet (enabled) und gerade läuft (active (running)). Des Weiteren seht ihr auch die 10 letzten Logeinträge.
Mit folgendem Befehl könnt ihr die aktiven SSH-Sessions einsehen:
ss -n -o state established '( dport = :22 or sport = :22 )'
Bei Änderungen an der Server-Konfiguration empfehle ich diese vor dem Neustart des Dienstes zu prüfen. Damit könnt ihr Syntaxfehler und Probleme mit ungültigen Einstellungen in „/etc/ssh/sshd_config“ verhindern:
sudo sshd -t
Zum Anwenden der Änderungen empfehle ich sshd folgendermaßen neuzustarten. Mit dieser Variante besteht die größte Chance, dass offene Remote-Sessions nicht geschlossen werden.
sudo systemctl reload ssh.service
SSH-Server: Einstellungen
Wie oben bereits erwähnt lassen sich die Einstellungen in der Datei „/etc/ssh/sshd_config“ anpassen und sind nach einem Neustart von sshd aktiv. Einige Einstellungen sind bereits standardmäßig deaktiviert. Diese sind in der Config-Datei auskommentiert. Es schadet jedoch nicht diese noch einmal zu überprüfen. Über die Protokoll-Version müssen wir uns keine Sorgen machen, da ab OpenSSH 7.0 SSH Version 1 bereits beim Kompilieren deaktiviert wird. Standardmäßig hört der Server auf Port 22. Dieser kann geändert werden, um beispielsweise die Anzahl der Angriffe zu verringern. Einen Sicherheitsgewinn gibt es meiner Meinung nach nicht. Wenn der Server mehrere IP-Adressen besitzt, kann über „ListenAdress“ eingeschränkt werden, auf welcher IP eine Verbindung akzeptiert werden soll.
#Port22
#ListenAddress 0.0.0.0
#ListenAddress ::
Da wir auf unserem Raspberry keine grafische Benutzeroberfläche haben, können wir das X11-Protokoll getrost deaktiviert lassen. Davon abgesehen wird vom Server ein Rückkanal zum Client geöffnet, was sicherheitstechnisch nicht ganz unbedenklich ist.
#X11Forwarding no
Mittels .rhosts-Datei kann der Zugriff von fremden Systemen lediglich anhand der IP-Adresse erlaubt werden. Dieser Zugriff ist heutzutage nicht mehr üblich und daher standardmäßig deaktiviert.
#IgnoreRhosts yes
Useraccounts ohne Passwort dürfen sich nicht via SSH anmelden. Auch diese Option ist per Default deaktiviert.
#PermitEmptyPasswords no
Eine direkte Anmeldung mit dem Account „root“ sollte in der Regel nicht erlaubt werden (PermitRootLogin no). Falls dies aus bestimmten Gründen dennoch notwendig sein sollte, ist die Option „prohibit-password“ in Ordnung. Diese ist standardmäßig gesetzt und erlaubt nur eine Public-Key-Authentifizierung mit dem root Account.
#PermitRootLogin prohibit-password
Die maximale Zahl der Anmeldeversuche pro User sind standardmäßig auf 6 gesetzt. Ich würde empfehlen den Wert weiter zu verringern, beispielsweise auf 3.
MaxAuthTries 3
Inaktive Sessions können nach einer bestimmten Zeit automatisch beendet werden. Mit „ClientAliveInterval“ wird festgelegt, nach wie vielen Sekunden Inaktivität der Server eine Nachricht an den Client sendet. „ClientAliveCountMax“ ist die Anzahl, wie oft dies der Server wiederholt, bis der Client getrennt wird. In meinem Beispiel oben wird der Client nach 15 Minuten getrennt.
ClientAliveInterval 300
#ClientAliveCountMax 3
Normalerweise erfolgt die Anmeldung am Server mit Username und Passwort. Eine bessere Alternative ist die Public-Key-Authentifizierung. Diese ist bereits standardmäßig erlaubt.
#PubkeyAuthentication yes
Zur Einrichtung muss auf dem Client zunächst ein neues Schlüsselpaar generiert werden. Wählt hier „Ed25519“, sofern nichts gravierendes dagegenspricht. Unter Windows könnt ihr dies prima mit PuTTYGen erledigen. Ab Windows 10 1809 kann dies auch direkt via PowerShell oder der Eingabeaufforderung erledigt werden. Unter Linux nutzt ihr ssh-keygen. Der Einsatz einer Passphrase ist zwar optional, aber ich empfehle ein starkes Passwort zu verwenden, um den Key vor Missbrauch zu schützen.
ssh-keygen -o -a 100 -t ed25519 -f ~/.ssh/id_ed25519
Im nächsten Schritt muss der Public Key auf dem Server eingetragen werden. PuTTYGen stellt euch den String bereit, den ihr in die „authorized_keys“ kopieren müsst.
Abschließend solltet ihr prüfen, ob die Anmeldung via Public-Key-Authentifizierung funktioniert. Falls ja, könnt ihr nun die Passwort-Anmeldung an eurem SSH-Server deaktivieren.
PasswordAuthentication no
#ChallengeResponseAuthentication no
SSH-Server: Cipher-Suites und Verschlüsselungsalgorithmen
Zur Prüfung, welche Cipher-Suites und Verschlüsselungsalgorithmen euer OpenSSH-Server anbietet, eignet sich das Python-Script „ssh-audit“:
cd ~
wget https://github.com/jtesta/ssh-audit/releases/download/v2.3.1/ssh-audit-2.3.1.tar.gz
tar -xvzf ssh-audit-2.3.1.tar.gz
~/ssh-audit-2.3.1/ssh-audit.py localhost
Schauen wir uns zunächst die Algorithmen für den Schlüsseltausch an. Falls Curve25519 nicht ausreichend ist, könnt ihr noch „diffie-hellman-group-exchange-sha256“ hinzufügen.
# Allow only secure key exchange algorithms
KexAlgorithms curve25519-sha256@libssh.org
Danach folgen die Schlüssel bzw. Algorithmen für die Authentifizierung. Hier solltet ihr alle vorhandenen Host-Schlüssel löschen und neu generieren.
Anschließend könnt ihr in eure „sshd_config“ folgendes eintragen:
# Allow only secure server authentication algorithms
HostKey /etc/ssh/ssh_host_ed25519_key
HostKey /etc/ssh/ssh_host_rsa_key
HostKeyAlgorithms ssh-ed25519,ssh-rsa
Als nächstes nehmen wir uns den symmetrischen kryptographischen (Ciphers) sowie MAC (Message Authentication Code) Algorithmen an. Folgendes gilt aktuell als sicher:
# Allow only secure symmetric ciphers
Ciphers chacha20-poly1305@openssh.com,aes256-gcm@openssh.com
# Allow only secure message authentication codes
MACs hmac-sha2-512-etm@openssh.com,hmac-sha2-256-etm@openssh.com,umac-128-etm@openssh.com
Prüft zur Sicherheit, dass ihr vor dem Neustart von sshd eine Verbindung habt, damit ihr euch im Notfall nicht den Zugang zu eurem Raspberry absägt.
Cisco bietet die Möglichkeit nur wenige Monate oder Wochen benutzte Hardware zu signifikant günstigeren Preisen zu erwerben. Diese Cisco Refresh Produkte sind generalüberholt, vollständig zertifiziert und von neuer Hardware quasi nicht zu unterscheiden. Auch bei der Garantie und Lizenzierung gibt es keine Nachteile. Gute Gründe, um bei Neuanschaffungen über entsprechende Produkte nachzudenken.
Anhand einiger SFP-Module (GLC-LH-SMD), die via Cisco Refresh bezogen wurden, möchte ich euch gerne den Verpackungswahn bei Cisco zeigen. Die SFPs werden einzeln verpackt geliefert. Im größeren Karton befindet sich zunächst ein kleinerer Karton. Dort ist das Modul in einer antistatischen Verpackung enthalten. Das letzte Bild zeigt 20 ausgepackte SFPs und den entstandenen Kartonabfall. Den Plastikabfall habe ich dabei noch gar nicht berücksichtigt.
Ich stelle mir gerade vor, wie viel Verpackungs- und Transportkosten sich einsparen ließen. Geschweige denn von der unnötig verbrauchten Arbeitszeit während dem Auspacken ;-)
Nach rund einem Jahr mit dem Xiaomi Redmi Note 5 stand bei mir ein Smartphone-Wechsel an. Da ich unbedingt ein kompakteres Smartphone haben wollte, bin ich schlussendlich beim Xiaomi Mi 9 SE gelandet. Zähneknirschend habe ich den relativ kleinen Akku (3.070 mAh) und die fehlende Benachrichtigungs-LED akzeptiert. Ein Smartphone, welches zu 100 Prozent alle gewünschten Features beinhaltet und gleichzeitig noch halbwegs erschwinglich ist, existiert sowieso nicht ;-)
In den letzten Wochen wurden die ersten Custom ROMs für das Xiaomi Mi 9 SE veröffentlicht und die gravierendsten Probleme behoben. Nachdem beim Remi Note 5 der Support für LineageOS eingestellt wurde, habe ich mich kurzerhand dazu entschlossen, anderen ROMs eine Chance zu geben. Für das Mi 9 SE existieren aktuell sowieso noch nicht viele Alternativen, weshalb ich mich für crDroid entschieden habe. crDroid basiert auf AOSP bzw. LineageOS , bringt aber zusätzliche Anpassungsmöglichkeiten aus einigen anderen ROMs mit.
Nachfolgend möchte ich kurz das Vorgehen beschreiben, wie ihr auf ein neues Smartphone von Xiaomi eine beliebige Custom ROM bekommt. Wie oben bereits erwähnt, beziehe ich mich dabei auf crDroid und das Mi 9 SE. Das Vorgehen sollte aber bis auf kleine Anpassungen für alle neuen Xiaomi-Smartphones und für viele andere Custom ROMs gültig sein.
Bootloader entsperren
Zunächst muss der Bootloader eures Xiaomi-Smartphones entsperrt werden. Denkt daran, dass dabei all eure Daten auf dem Smartphone gelöscht werden. Wer das Gerät also bereits genutzt hat, sollte vorher dem Entsperren des Bootloaders ein Backup anfertigen.
Hier die einzelnen Schritte zum Bootloader Entsperren in einer kurzen Übersicht:
Voraussetzung ist ein funktionierendes „adb“ und „fastboot“. Empfehlen kann ich den 15 seconds ADB Installer.
Mi-Account erstellen und mit diesem auf dem Smartphone anmelden. Unter MIUI 10 funktioniert das folgendermaßen:
Einstellungen -> Mein Gerät
Mehrmals auf den Punkt „MIUI-Version“ klicken, bis die Entwickleroptionen freigeschaltet werden.
Dann zu „Einstellungen“ -> „Kategorie System & Gerät -> Weitere Einstellungen“ -> „Entwickleroptionen“.
Unter „Mi Entsperr-Status“mit eurem Mi-Account einloggen.
Ab diesem Zeitpunkt beginnt die Wartezeit, welche bis zu 360 Stunden (15 Tage) betragen kann. Bei mir waren es erfreulicherweise nur 7 Tage. Wie lange es bei euch dauert, seht ihr im nächsten Schritt.
Mi Unlock Tool starten. Anschließend mit eurem Mi-Account anmelden.
Smartphone ausschalten, per USB mit eurem PC verbinden und in den Fastboot-Modus starten (volume down und Power-Taste gleichzeitig drücken).
Versuchen das Smartphone zu entsperren. Jetzt sollte euch die Wartezeit angezeigt werden.
Nach der Wartezeit erneut mit Schritt 5 beginnen. Solltet ihr einen Fehler bekommen, könnt ihr evtl. auch eine ältere Version des Mi Unlock Tools probieren. Bei mir hatte die neueste Version nicht funktioniert, Version 2.3.803.10 aber problemlos.
Mi Unlock
Custom Recovery (TWRP) installieren
Sobald der Bootloader entsperrt ist, muss im zweiten Schritt das Custom Recovery TWRP (Team Win Recovery Project) installiert werden. Die aktuelle TWRP-Version für euer Gerät findet ihr entweder direkt auf der TWRP-Homepage oder im xda-Forum.
Smartphone im Fastboot-Modus starten (volume down und Power-Taste gleichzeitig drücken) und via USB mit eurem PC verbinden.
Prüfen ob das Gerät korrekt erkannt wird:
fastboot devices
TWRP-Recovery flashen. Der erste Befehl ist nur notwendig, wenn euer TWRP in einem separaten Ordner liegt.
cd C:\Users\USERNAME\Desktop
fastboot flash recovery twrp-3.3.1-7a-Mi9SE.img
Auf keinen Fall „fastboot boot …“ nutzen, da ansonsten die Verschlüsselung beschädigt wird und ihr zur Reparatur „data“ neu formatieren müsstet.
TWRP-Recovery booten (volume up und Power-Taste gleichzeitig drücken) und warten bis TWRP geladen ist.
Modifizierung des Dateisystems erlauben.
Custom ROM installieren
Zwei Drittel sind schon geschafft, jetzt folgt das Flashen der Custom ROM (in meinem Fall crDroid) und Co. Zunächst müsst ihr ein paar Downloads tätigen und die Dateien auf das Smartphone legen. Das Kopieren auf das Smartphone sollte auch direkt unter TWRP funktionieren.
Kernel (optional): Kowalski Kernel oder Okitavera’s Kernel
Jetzt könnt ihr loslegen.
In TWRP Recovery booten (volume up und Power-Taste gleichzeitig drücken).
Im Recovery den Punkt „Wipe“ aufrufen, dann den Button „Format Data“ klicken. Anschließend „Swipe to Factory Reset ausführen“ und erneut in TWRP Recovery booten.
Neue Firmware installieren, dabei müsst ihr auf eine kompatible Version achten, Stichwort Anti-Rollback. Wenn das Custom ROM keine vendor.img enthält, müsst ihr diese zusätzlich installieren.
Custom ROM (crDroid) installieren.
Open GApps installieren.
Smartphone neustarten (Reboot –> System).*
ROM einrichten.
Erneut in TWRP Recovery booten.
Root (Magisk) und ggf. Kernel installieren.
Smartphone neustarten (Reboot –> System).
(optional) Magisk Manager einrichten.
*Bei einem Boot-Loop muss eine weitere Datei (vbmeta.img) via Fastboot geflasht werden, um den Loop zu beheben.
Neueste Kommentare