Apr 18

Spareribs(Rezept ist für ca. 6 Stück):

Man nehme:

  • Trockenrub (entweder selbst mixen, oder aber bspw MagicDust fertig kaufen)
  • Rippchen
  • Zum Dünsten:
    • Apfelsaft (ca. 900ml)
    • Apfelessig (ca. 8 EL)
  • Für die BBQ-Sauce:
    • 250 ml Heinz-Tomatenketchup
    • 150 ml Apfelsaft
    • 5 EL Apfelessig
    • 2 EL braunen Rohrzucker
    • 2 EL Rohrzuckersirup
    • 1 EL Worcestersauce
    • 1 TL geräuchertes Paprikapulver
    • 1/2 TL gemahlener Kreuzkümmel
    • 1/2 TL frisch gemahlener schwarzer Pfeffer
    • 1/2 TL Chilipulver

 

Auf gehts:

  1. Einen Abend vorher die Rippchen von der Knochenhaut befreien, und großzügig mit dem Rub einreiben. Manche Menschen legen die Rippchen vorher noch 2-3h in Apfelessig/Apfelsaft ein – muss man aber nicht. Mit diesem Rezept hier werden die Dinger eh butterzart.
  2. Rippchen eng in Frischhaltefolie einwickeln und ab in den Kühlschrank damit
  3. Am nächsten Tag (t-6h) den Kugelgrill mit dem berühmten Minionring bestücken und an einer Seite anfeuern. Ich stelle in die Mitte meist eine Abtropfschale die schon mal mit heissem Wasser vorbefüllt ist.
  4. Grill mit Hilfe der unteren Regelschieber so auf 120Grad einstellen (Da sollte der Grill die ganze Zeit – also 6h – drauf verharren // +/- 10Grad sind nicht tragisch!)
  5. Rippchen auf den Grill. Ich nutze den IKEA-Deckelhalter. Ist Edelstahl und top um die Rippchen hineinzustellen.
  6. Nun 1h lang in Ruhe lassen (Wie o.g. 120Grad +/- 10).
  7. Jetzt ist es an der Zeit die 900ml Apfelsaft (Direktsaft / Naturbelassen) und 8EL Apfelessig zusammenmixen. Die Rippchen nun alle 30min. (Also bei 1:00, bei 1:30, bei 02:00 und bei 2:30) mit dem Mix bestreichen (Moppen). Das macht die Leitern fein zart. Bitte nicht den Rub abwaschen 🙂
  8. Jetzt sollten wir Halbzeit haben. Die übrigen 890ml Apfeldings kommen jetzt in einen Bräter mit Rost. Die Rippchen auf den Rost drauf und das ganze Paket recht dicht mit Alufolie verschliessen. Achtung: Nicht jedes Rippchen einzelnd, sondern den gesamten Bräter mitsamt dem Fleisch.
  9. Nun wieder für 2h ab auf den Grill mit dem Bräter (indirekt in die Mitte). Den Deckelhalter brauchen wir später noch mal. Also nicht in die Spülmaschine oder sowas.
  10. Nach zwei Stunden (t-1 / 05:00) öffnen wir das Paket und entnehmen die Jungs aus dem Bräter (vorsichtig! Die sind jetzt schon Butterzart und fallen fast vom Knochen). Jedes Rippchen wird jetzt einzelnd mit der o.g. BBQ-Sauce (Mixen, aufkochen, fertig  😀 ) eingestrichen. Nicht zimperlich sein. Das ist quasi das Finish (Der Fachmann spricht vom glasieren).
  11. Jetzt eine Stunde lang die eingestrichenen Rippchen wieder auf den Deckelhalter in den Grill (der muss immer noch 120Grad haben).
  12. Fertig!

 

Bon(n) Appetit.

 

PS: Da ich schon so viel Zeug vom großen Fluss (Amazon) hier verlinkt habe noch ein kleiner Tip: Als Thermometer hab ich so ein Maverick-MV-ET-733. Kann ich wärmstens weiterempfehlen. Zwei Sensoren (Eins für den Garraum, eins für Kerntemperatur (bei den Rips nicht ganz so wichtig)), ultimative Reichweite, und ganz wichtig: Temperaturalarme. Bei den o.g. Rippchen hab ich den Alarm auf 110 und 130Grad gestellt, und mich während der Dünstphase (9) auf die Couch gefläzt – entspannter geht es kaum.

Dez 26

In einem der tmux-Fenster des letzten Beitrags läuft ein tail auf das squid-access.log.
Dummerweise zeigt das tail nach einem logrotate nichts mehr an, da das Filehandle vom tail ja auf das “rotierte” log zugreift.
Fein wäre doch ein kleines Script, dass, sobald im geöffnet Filehandle nichts mehr kommt, die Datei “reopened” und dann weiter anzeigt.

Bitte sehr (Perl // Modul File::Tail vorrausgesetzt):

#!/usr/bin/perl
use File::Tail;
use Socket;
use strict;
$|=1;
my $logfile="/var/log/squid-access.log";
my $file=File::Tail->new(name=>$logfile, maxinterval=>300, adjustafter=>7);
while (defined(my $line=$file->read)) {
        my @liner=split(' ',$line,-1);
        my $host='';
        $host=gethostbyaddr(inet_aton($liner[8]), AF_INET) or $host=$liner[8];
        my @hostname=split(/./,$host); # Split FQDN at dots
        $host=$hostname[0];             # Get Lowest Domainname
        my @hosts=split(/./,$liner[8]);# Split IP at dots
        my $loctet=$hosts[3];           # Get last Octet
        printf "%s %3s %st%sn",$liner[2],$loctet,$host,$liner[12];
}
									

Das Ding zieht gleichzeitig die wichtigsten Infos aus dem Log. Nämlich den Timestamp, das letzte Octet der IP, sowie den ersten Part des Reverse-DNS-Namens.

Tagged with:
Dez 23

Es ist mal wieder Zeit für ein kleines Urlaubsprojekt.
Hier lag seit 3 Jahren, neben einem RaspberryPi und nem alten 17″ Eizo-Screen, so ein Wandhalter für TFT-Screens herum. Da kann man doch was raus machen.

Also fix den Wandhalter an die Wand gedübelt und den Pi mit NFS-Root (siehe Eintrag hier) aufgesetzt.
Der Pi selbst ist mit dem Cam-Modul ausgestattet, und hängt per HDMI 2 DVI an dem o.g. Eizo.

Folgende Ziele habe ich verfolgt (und umgesetzt):
– Autologin nach reboot, sowie automatisches einloggen auf nem Server und attachen an tmux
– Sobald sich was vor der Cam bewegt, soll der Monitor “aufwachen”, nach 60s. wieder ausgehen.

Ist an sich recht einfach. Fangen wir mal mit dem Autologin an:
via /etc/inittab sagen wir dem Pi, dass er sich – anstelle des logins – auf dem tty1 als “pi” einloggen soll:

#1:2345:respawn:/sbin/getty --noclear 38400 tty1
1:2345:respawn:/bin/login -f pi tty1 /dev/tty1 2>&1

Dazu die obere Zeile auskommentieren, und die untere einfügen.
Nach einem reboot sollte der pi nun direkt auf der Shell als User “pi” landen.
Alles weitere (ssh-login) und Co. machen wir in der ~pi/.bashrc (letzte Zeile einfach anfügen)

ssh -t [user]@[machine wo tmux rennt] "tmux att"

Nun sollte nach dem Reboot (ssh-keys und laufender tmux auf “machine” vorrausgesetzt) direkt der tmux erscheinen. Den kann man dann vom “normalen” Rechner aus mit content bestücken (top, iftop, tail aufs log, etc.)

Wer noch Hintergrundbild und höhere Auflösung auf dem pi haben möchte, dem seit fbterm ans Herz gelegt.

Weiter gehts mit der “Motiondetection”. Dazu habe ich mir erstmal ein kleines Shellscript gebaut, welches den Monitor an/ausschalten kann, und dieses unter /usr/bin/screen.sh abgelegt:

#!/bin/bash
tvstat=$(tvservice -s |grep off)
if [[ $tvstat == *off* ]]; then
TV=OFF
else
TV=ON
fi

if [ "$1" == 'on' ] && [ "$TV" == "OFF" ]; then
/usr/bin/tvservice -p;
#fbset -depth 8;
#fbset -depth 16;
chvt 2;
sleep 1
chvt 1;
chvt 2;
chvt 1;
#echo 'Switched Screen ON!'
fi
if [ "$1" == 'off' ] && [ "$TV" == "ON" ]; then
/usr/bin/tvservice -o
echo 'Switched Screen OFF!'
fi

Nicht von den chvt verwirren lassen. mit tvservice wird der Monitor an/ausgeschaltet, mit chvt auf das entsprechende (Virtuelle) Terminal umgeschaltet. Quasi das Shell-pendant zu “ALT-F1 bis ALT-F10” zum Console wechseln. Ohne das hin- und herschalten via chvt geht der Moni zwar an, aber es wird nichts angezeigt.

Die eigentlich Motiondetection ist in Python gebastelt (wie üblich: Kurz und schmutzig):

#!/usr/bin/python
import StringIO
import subprocess
import os
import time
from datetime import datetime
from PIL import Image
threshold = 10
sensitivity = 180
monitor='on'

# Capture a small test image (for motion detection)
def captureTestImage():
    command = "raspistill -n -w %s -h %s -t 1 -e bmp -o -" % (100, 75)
    imageData = StringIO.StringIO()
    imageData.write(subprocess.check_output(command, shell=True))
    imageData.seek(0)
    im = Image.open(imageData)
    buffer = im.load()
    imageData.close()
    return im, buffer

def turnMonitorOn():
  global monitor
  monitor='on'
  subprocess.call("/usr/bin/screen.sh on", shell=True)

def turnMonitorOff():
  global monitor
  monitor='off'
  subprocess.call("/usr/bin/screen.sh off", shell=True)

# Get first image
image1, buffer1 = captureTestImage()
# Reset last capture time
lastCapture = time.time()
# added this to give visual feedback of camera motion capture activity.  Can be removed as required
while (True):
    # Get comparison image
    image2, buffer2 = captureTestImage()
    # Count changed pixels
    changedPixels = 0
    for x in xrange(0, 100):
        # Scan one line of image then check sensitivity for movement
        for y in xrange(0, 75):
            # Just check green channel as it's the highest quality channel
            pixdiff = abs(buffer1[x,y][1] - buffer2[x,y][1])
            if pixdiff > threshold:
                changedPixels += 1
        # Changed logic - If movement sensitivity exceeded then
        # Save image and Exit before full image scan complete
        if changedPixels > sensitivity:   
            print "change "+monitor
            lastCapture = time.time()
            if (monitor == 'off'):
                turnMonitorOn()
            break
        continue
    if (time.time()-lastCapture > 60):
  if (monitor == 'on'):
          turnMonitorOff()

    # Swap comparison buffers
    image1  = image2
    buffer1 = buffer2

									

Wenn man das Ding nun laufen lässt, macht es im dauerloop ein Bild in niedriger Auflösung von der Cam, und vergleicht die Helligkeitswerte mit denen des vorherigen Pics. Ist der Unterschied grösser als “threshold”, dann macht das Script den Monitor an. Nach 60s ohne Bewegung wird er wieder ausgeschaltet.
Jetzt nur noch das Script mit “start-daemon” in ein init.d Script packen und beim booten automatisch starten, und fertig.

Wie immer gibt es zig Wege dahin, dies ist nur einer von vielen. Das ganze kann man sicher noch immens optimieren. Für hier ist es mehr als in Ordnung.

Tagged with:
Okt 26

[Update 01.11.2014:] Klang alles vielversprechend, hat aber gerade mal 3 Tage WakeUp gehalten Lösung also leider noch nicht gefunden

Nach dem ich meinen Mac auf Windows8 OSX Yosemite geupdated habe, ging nach einem WakeUp, netzwekmässig, überhaupt nichts mehr.

War schon so gefrustet, dass ich dachte ich müsste Clean-Install machen, oder aber auf ein anderes OS wechseln. Das ganze hat sich im system.log und Allgemein so geäussert, dass die NIC nach einem WakeUp für ein paar Millisekunden da war, und dann wieder weg (was die Funktionalität angeht). In den Systemeinstellungen sah die ganze Zeit über alles fein aus: IP, Interface war up, etc. Aber halt so gar keine Connectivity. Auszug syslog:

Oct 24 14:03:30 macpro2 kernel[0]: 0x1face000, 0x00000000  Intel82574L::setLinkStatus - not active
Oct 24 14:03:30 macpro2 kernel[0]: 0x1face001, 0x00000000  Intel82574L::setLinkStatus - not active
Oct 24 14:03:32 macpro2 kernel[0]: Ethernet [Intel82574L]: Link up on en1, 1-Gigabit, Full-duplex, Symmetric flow-control, Debug [796d,af08,0d01,0200,cde1,3c00]
Oct 24 14:03:32 macpro2 kernel[0]: 0x1face001, 0x0000000b  Intel82574L::setLinkStatus - active
									

Nach ein paar Anfragen bei stackoverflow kam ich auch nicht wirklich weiter. Irgendwann bin ich dann auf einen Beitrag gestossen, wo jemand über das Problem berichtete, dass sein Mac immer dann abstürzte, wenn er in die Soundeinstellungen ging. Das Problem wurde dadurch gelöst, dass er die Kernel-Extension (kext) von Soundflower deinstalliert hatte. Hab ich dann hier (obwohl ganz anderes Problem) auch mal gemacht. Zusätzlich hab ich noch alles andere an kexts deinstalliert, was nicht notwendig war. Vendorfremde kexts neigen bei ‘nem Major-Update zum Amoklauf. Eine Liste, welche kexts bei Euch NICHT von Apple kommen gibts es wie folgt:

kextstat |grep -v apple
Index Refs Address            Size       Wired      Name (Version) <Linked Against>
   41    0 0xffffff7f81e1f000 0x19000    0x19000    net.osx86.kexts.GenericUSBXHCI (1.2.6) <38 12 7 5 4 3>
  130    3 0xffffff7f833c7000 0x57000    0x57000    org.virtualbox.kext.VBoxDrv (4.3.18) <7 5 4 3 1>
  131    0 0xffffff7f8341e000 0x8000     0x8000     org.virtualbox.kext.VBoxUSB (4.3.18) <130 79 38 7 5 4 3 1>
  132    0 0xffffff7f83426000 0x5000     0x5000     org.virtualbox.kext.VBoxNetFlt (4.3.18) <130 7 5 4 3 1>
  133    0 0xffffff7f8342b000 0x6000     0x6000     org.virtualbox.kext.VBoxNetAdp (4.3.18) <130 5 4 1>

									

Die oberste kext benötige ich für USB3.0 (funktioniert auch unter Yosemite noch), die anderen 4 sind von Oracles VirtualBox. Mit denen funktioniert nun wieder alles. Vorher war noch Soundflower und noch irgendein Kram dabei. Idealerweise deinstalliert man die Dinger mit dem – der Soft hoffentlich beiliegenden – Uninstaller. Ist der nicht vorhanden kann man die Dinger auch per Hand töten. Seit OSX Lion muss man dafür nicht mal den Kernel-Extension-Cache neu aufbauen. Funktioniert wie folgt:

cd /System/Library/Extensions

									

Mit ls die passende Extension, die man löschen will, suchen.

Anschliessend kext “unloaden” (d.h. aus dem RAM entfernen) und löschen:

sudo kextunload /System/Library/Extensions/NAME_OF_THE_KEXT_FILE.kext
sudo rm /System/Library/Extensions/NAME_OF_THE_KEXT_FILE.kext
									

War ‘ne harte Nuss, zumal so gar kein Hinweis auf die (amoklaufenden) Extensions im Syslog oder Kernel-Ring-Buffer (dmesg) auftauchten. Nu tut der Mac wieder wie er soll. Nichts desto trotz denke ich, dass es langsam Zeit wird, sich nach einem anderen OS umzusehen. Die Schmerzen (und die Ähnlichkeit zu Windows) werden immer grösser.

Tagged with:
Jun 10

Schreibe hier mal nach und nach ein paar hilfreiche Erfahrungen auf, wenn man – wie ich – den Schritt von IOS nach Android wagt, und von der ganzen Cloud-Struktur nicht so viel hält.

Ein wenig eigene Infrastruktur je nach Geschmack (Mailserver, CAL-/CARDDAV-Server, Proxy mit adblocker nach gusto, eigener DNS) sollte es jedoch schon sein, wenn man die wichtigsten Daten von der Cloud fernhalten möchte. Das war unter ios so, und gilt unter Android mehr denn je. Also los gehts mit den Basics:

  • Mails: Da eignet sich K9-Mail ganz gut – ist etwas anders als Mail.App zu bedienen, kann aber nach meinen Vertestungen am meisten
  • Kalendersync: CalDAV-Sync integriert den eigenen CalDAV zu 100% in die Android-Welt, und das ganz ohne gmail-Kalender. Reminder und Co. funktionieren sauber!
  • Telefonbuch: CardDAV-Syncfree synct wunderfein die Kontakte mit dem heimischen CardDAV-Server (zum einsatz kommt hier übrigens davical)
  • Notizen: Werden bei ios/osx als “spezielle Mail” in einem Subfolder mit Namen “Notes” abgelegt. Da gibts was günstiges für den Droiden: iNotes – nicht von der Beschreibung im Store verwirren lassen, der spielt echt mit jedem imap (hier ist der gute alte cyrus im Einsatz)
  • Twitter: Tja. Da bin ich noch nicht so ganz weiter. Tweetbot gilt nach wie vor als ungeschlagen. Aber Tweetveo kommt zumindest schon mal etwas dran. [Update 10.06.14] Plume isses ! Tweetmarker-Support. Suchen nach Antworten – also all das was Tweetbot auch kann – zumindest auf den ersten Blick. Danke an @bridgerdier [Update 05.12.2014] Fenix ist der Twitterclient der Wahl
  • Newsreader: Original tt-rss Client für tinytiny – geht doch 🙂

Nun bringt das alles herzlich wenig, wenn man die Äpps auf dem Device, sowie das OS nicht einigermassen abschotten kann. Und an dem Punkt kommt Cyanogenmod – das mich überhaupt bewegt hat, von IOS nach Android zu wechseln – ins Spiel. Nicht ganz trivial zu installieren (Grobe Vorgehensweise: Bootloader unlocken, CWM/TWM aufspielen, Image installieren) aber in der Version 11 (Analog KitKat) sehr empfehlenswert. So lässt sich jede Äpp beliebig kastrieren (Bis hin zu: “Darf die App vibrieren?” und so). Ein Feature das google seit 4.4.2 wieder ausgebaut hatte. Hier isses drin. Und das ganze CM11 ist echt stabil.

Wer dann den Droiden noch weiter abschotten möchte, dem sei (CM11 bzw. root vorrausgesetzt) noch Droidwall ans Herz gelegt. Ganz platt gesagt ist Droidwall ein Frontend für iptables mit dem man pro Äpp sagen kann, ob diese überhaupt ins Netz darf. Heisst: Wenn ich bspw. ne Taschenlampe installiere, dann braucht die mal definitiv keinen Netzzugriff… Logging gibts gratis obendrauf.

Ansonsten macht AdFree von BigTinCan noch den solidesten Eindruck. Warum das Teil von einer sehr dubiosen Website kommt, nicht im Playstore verfügbar ist und überhaupt, weiss wohl niemand. Habe dieses Ding ausgewählt, weil es ganz simpel die /etc/hosts um einschlägige Werber ergänzt, und echt nicht mehr anstellt. Alles andere wollte direkt Nutzungsdaten und Co. nach Hause funken. Dieses schicke kleine APK macht genau das was es soll (Werbung fernhalten – und das auch noch relativ elegant).

[Update 11.06.14] Mit IOS8 soll es ein Update geben, bei dem das iPhone die Mac-Adresse des WLAN-Interfaces randomisiert während es keinerlei Connect zu einem WLAN hat. Löbliches Feature. Geht mit dem Droiden natürlich auch. Guckst du Pry-Fi im Playstore. Das das Teil root-Rechte benötigt, liegt auf der Hand.

Am meisten weggetan hat das Messaging. Kenne ich doch recht viele ios-iMessage Menschen. Da gibt es leider nur Pest oder Cholera als Ersatz. Facebook möchte ich nun nicht gerade in Form von WhatsApp beglücken, also hab ich mich neben SMS für Google-Hangouts entschieden. Ob bei Kurznachrichten jetzt Apple oder google mitliest ist da relativ. (Nur FB sollte es halt nicht sein). Das ganze Thema Messaging ist extremst unbefriedigend, sowohl unter ios als auch unter Android. Diesen ganzen Placeboteile wie Threema und wie sie nicht alle heissen kann man auch nicht trauen (ist halt kein opensource). Daher gibts hier halt einen Kompromiss.

Wenn jemand noch weitere Tips hat, immer gern her damit.

Gesucht wird bspw. noch:

  • PodFetcher
  • FeedReader (Gut, Feeds lese ich hauptsächlich auf dem iPad – aber wer weiss: Vielleicht kommt da ja auch irgendwann mal ein Droide hin)
Tagged with:
Jan 25

Gaaaanz kurze knackige Anleitung, wie man einen PGP/GPG Key beglaubigt  bzw. signiert (unvollständig, und OHNE Anleitung, wie man den Key auf korrektheit prüft – idealerweise signiert Ihr nur Keys, bei denen Ihr 100%ig sicher seid, dass diese auch vom passenden Keyowner kommen 🙂 )

Shell:

[gpg –list-keys] Pub-Key-ID des zu signierenden keys merken

[gpg –sign-key <pubkeyid>] Das eigentliche Signieren

[gpg –send-keys <pubkeyid>] Signieren dem Keyserver bekanntmachen

OSX / GPGTools:

  • GPG Schlüsselbund (GPG Keychain) starten.
  • Rechte Maustaste auf den zu signierenden Key
  • Beglaubigen anclicken, Details entsprechend wählen und OK drücken
  • Wieder rechte Maustaste, diesesmal “Öffentlichen Schlüssel an Schlüsselserver senden”

Der letzte Punkt – also das Veröffentlichen der Beglaubigung, wird gern vergessen. Ohne diesen Schritt ist das ganze jedoch recht witzlos.

[UPDATE]

Bei mehreren uids (Identitäten) pro Key:

  • Doppelclick auf den Key in der Keychain-GUI
  • Wechsel auf den “Benutzer-ID”-Tab
  • Zu bestätigende Identität OBEN auswählen
  • Unten auf das Plus clicken und beglaubigen
  • Anschliessend wieder raus, und “Öffentlichen Schlüssel an Schlüsselserver senden” (s.o.)
Tagged with:
Jan 12

Ausnahmsweise mal keine (Über-)Lebenshilfe, sondern ein Hilferuf!

Da hier zwei Kids rumlaufen, hab ich gern die Kontrolle wann und wie das Netz benutzt wird. Bisher (zu v4-Zeiten) hat der Squid gute Dienste geleistet. Mit ipv6 ist das nicht mehr so. Da beisse ich mir nämlich die Zähne aus.

Doch von vorn: Hier im Netz läuft ein radvd (Router Advertising Daemon), der ein sixxs-Prefix im LAN Announced. Der (zwangs-)proxy biegt alle ausgehenden ipv4-Port-80 Anfragen transparent auf den Squid-Port um, und handlet den Kram dann per ACL. v4 gibt es statisch über einen DHCP, und für Gäste ist eine Range vergeben.

Seit v6 schnappen sich die Endgeräte irgendeine v6-Adresse (bei ios7 kann man ja bekanntlich die privacy-extensions nicht mehr ausschalten) und vorbei ist es mit der Kontrolle (vom DNS mal ganz abgesehen). Eine Lösung muss her. Bisher ausprobiert habe ich folgendes:

  • auth_param im Squid angeknipst. Resultat erschütternd:
    • Android und Proxys … Hahaha (wenn, nur “gerooted”) !!! Android und Proxy-Auth – HEUL! Tut überhaupt nicht.
    • ios und Proxys – Nett / ios und Proxy-Auth – Neee, da taktet ein Autoblinker stabiler. Geht nicht 🙁
    • OSX: Siehe ios.
  • acl based on arp (acl arp)
    • Bei v4 schick – bei v6 gibts Neighbourdiscovery und kein arp mehr. Dummerweise scheint noch niemand ND in irgendeiner Squid-Version als acl implementiert zu haben 🙁
  • ACLs auf V6-IP-Basis
    • Aufgrund der Privacy-Extensions unbenutzbar

Noch nicht ausprobiert (weil so demotiviert von den o.g. zwei Punkten – und tlw. auch zu aufwendig):

  • Getrennte “Netze” mit getrennten IPv6-Prefixen um die ACLs auf Netzebene auszurollen:
    • Aufwändig !! Trennbar nur über VLANs, extra SSIDs an jedem WLAN-AP … und überhaupt
  • DHCPv6
    • will man sowas?
  • RADIUS
    • Kanonen / Spatzen und so. Neee
  • 802.1X
    • Interessanter Ansatz. Aber da fliegen auch wieder die IOS-Devices raus. Ferner gilt das selbe wie bei radius.

Vorschläge sind mehr als willkommen. Derzeit hab ich auf der LAN-Seite des Proxies v6 wieder ausgeschaltet und arbeite mit den o.g. ARP-Filtern. Tut zumindest einigermassen. An so einem iphone lässt sich die macaddy nicht so einfach ändern. 

Tagged with:
Jan 12

TT-RSS an sich ist ja eine feine Sache. Das Ding hat allerdings ein/zwei Haken, wenn man es für mehrere Leute hosted. Ich nutze das hier mit dem Fever-Plugin, damit man die Feeds auch einigermassen elegant auf mobilen Endgeräten nutzen kann.

Meist ist es ja so, dass $user sich eine Feedliste zusammenstellt, und sich dann Wochenlang nicht mehr ins Frontend einloggt (Hab ich beim Google-Reader damals™ auch so gemacht). Das nimmt einem ttrss aber übel. Denn nach 30 Tagen (Einstellbar in der ./include/rssfuncs.php // Zeile 2) sagt sich ttrss: Nee, der User hat sich seit 30 Tagen nicht mehr eingeloggt, dann update ich halt nicht mehr. Pikanterweise zählt der Fever-Login nicht (Plugins verwalten Ihre Daten “irgendwie” anders – PHP-Magic halt).

Also merken: Wenn tt-rss nicht mehr updatet, entweder:

  • Zeile 2 der ./include/rssfuncs.php anpassen und hochdrehen (Halte ich für nicht so super)
  • Den/Die User/in anhalten, sich von Zeit zu Zeit mal ins Frontend einzuloggen
  • Oder (superschmutzig), per Hand das Feld last_login in der tabelle ttrss_users auf “NOW()” updaten.

 

Tagged with:
Okt 26

Nach dem ich nun auf 3 Maschinen OSX 10.9 (aka Mavericks) installiert habe, ist es Zeit für ein erstes kleineres Resumee, in dem ich mal drei Stolperfallen beleuchten möchte. Kurz und Bündig:

  1. TimeMachine will nicht mehr auf mein Debian mit Netatalk3 backuppen. Es erzählt irgendwas von

     Failed to create backup of Time Machine Information file
    									

    . Die Lösung war recht simpel. In meinem Namen befindet sich ein Umlaut. Und per Default werden Macs unter “Systemeinstellungen / Freigaben” mit dem Namen “[Name des Besitzers]’s Mac Pro” gekennzeichnet. Diesen Namen nimmt OSX auch für die erstellten Sparsebundles. Also Umlaute und Spaces aus dem “Computernamen” entfernt, und schon geht es wieder
  2. Die Einstellung mit der Menubar auf jedem Screen (Multiscreen) macht auf einem Macboo mit einem externen Monitor vielleicht noch Sinn. Auf einem MacPro mit mehr als 2 angeschlossenen Screens ist das ganze nur noch nervig. Bei der Suche nach der Option, mit der man das abstellen kann, hab’ ich mich echt in Windows-Zeiten zurückversetzt gefühlt. Abgestellt wird das ganze unter “Systemeinstellungen / MissionControl” – hier den Haken bei “Monitore verwenden verschiedene Spaces” entfernen, und gut ist.
  3. Bisher ungelöst: Ich habe hier ein AppleTV3 im Netz. IP’s werden per DHCP übergeben, gleichzeitig läuft ein arpwatch. Das Arpwatch schlägt jedesmal an, wenn eine neue MacAdresse im Netz auftaucht, oder irgendeine neue MacAdress/IP-Kombi auftritt. Seit Mavericks passier folgendes: Mac wacht alle 4h auf (war vermutlich früher schon so), krallt sich die MACADRESSE des AppleTV’s und die IP des Macs, wechselt dann die MacAdr. behält aber die IP. Mit dem Effekt das es alle 4h ‘ne Mail vom Arpwatch gibt. Seit 2 Tagen habe ich testweise das ATV mal vom Netz genommen. Keine Probleme mehr. Aber irgendwie kann es das ja auch nicht sein. Wer also ‘nen Tip hat -> Her damit!

Das ganze Speichermanagement soll, angeblich, besser sein. Kann ich nicht bestätigen. Ab einer bestimmten Belegungsmenge fängt das Ding wieder wie irre an zu swappen. Da hilft nur kurz vorher ein “sudo purge” im Terminal…

Tagged with:
Jul 14

Seit längerem bin ich nun schon wieder mit dem Gedanken an eine Tageszeitung schwanger. Doch von vorn: Früher™, als wir noch im Sauerland gewohnt haben, gab es kaum Auswahl. Da war (an Lokalangeboten) entweder die Westfälische Rundschau, oder die Westfalenpost (beides WAZ-Gruppe) im Abo.

Nach dem Umzug ins Rheinland (genauer Königswinter) kam dann der General-Anzeiger ins Spiel. Man fühlte sich einigermassen informiert. Ich muss dazu sagen, dass mir eine Papierzeitung allenfalls Stichworte bietet, und ich interessante Dinge eh im Netz nachrecherchiere (Medienkompetenz und so :). 2 Jahre später, endlich sesshaft in Unkel geworden, stand ich nun vor einem Dilemma. Nicht mehr NRW, und auch (gefühlt) nicht Rheinland-Pfalz. Unkel ist quasi der fast nördlichste Teil von RLP auf der rechten Rheinseite. Mit dem Effekt, dass der Generalanzeiger den lokalen Part nicht mehr abdeckte (nicht NRW) und die Rheinzeitung, die 2-3 mal in denen ich das Blatt an der Tankstelle gekauft hatte, lokal auch nicht so richtig überzeugen konnte.

Fazit: Projekt “Jörg kommt ohne Tageszeitung aus – das Netz bietet ja alles” wurde gestartet.

Jetzt, knapp 2,5 Jahre, und ca. 10 Testkäufe der Rheinzeitung (Printvariante) später erkläre ich das Projekt für gescheitert. Die RZ muss (mangels Alternativen, was das Lokalgeschehen angeht) an den Start. Nun gut – mal auf der RZ-Seite umsehen. Ahhh – Abo’s! Aber wo sind die Preise? Dank des schnellen und unkomplizierten Supports des RZ-SocialMedia-Teams (Danke an dieser Stelle!) via Twitter hatte ich die auch schnell gefunden und bin dabei über das “Digitalabo” gestolpert.

Digitalabo? Klingt spannend!

Erster Begeisterung folgte schnell die Ernüchterung. Das DigitalAbo des Blatts ist nett gedacht, aber bescheiden umgesetzt. Man lädt eine “App” auf sein Tablet, und kann dann aus der Äpp heraus entweder “Demoausgaben” (zum Test reicht das), volle Tageszeitungen (In-App-Purchase) oder unter Angabe seiner Abo-Nummer die Zeitung aufs Tablett/Smartphone laden. Bis dahin alles fine. Nun, was erwarte ich von einer Digitalausgabe der Zeitung, und was wird mir tatsächlich geboten?

  1. Wenn die Zeitung schon digital vorliegt, wünsche ich mir, ähnlich RSS, ein Inhaltsverzeichnis, in dem ich schnell von Ressort zu Ressort (Politik, Wirtschaft, Kultur, Lokales, …) springen kann. Ist sogar rudimentär vorhanden – man muss allerdings erstmal auf die Idee kommen, das “Sternchen” oben rechts in der App (welches normalerweise für “Favoriten” o.ä. steht) anzuclicken. Leider war es das dann aber auch schon mit dem Inhaltsverzeichnis. Einen Index der Artikel sucht man vergebens. Ich meine: Hey, die Daten liegen doch vor. Stattdessen wird mir die Zeitung so präsentiert, als wenn ich sie in Papierform vor mir hätte, unnütze Animationen beim “Umblättern” incl. – Index: Fehlanzeige
  2. (Internet-)Links. In der gedruckten, wie in der Digitalen Ausgabe wird oft am Ende eines Artikels auf einen weiterführenden Artikel im Netz verwiesen. So lange man sich in der “Übersichtsanzeige” (in der selbst auf einem Tablet die Artikel nicht lesbar – weil zu klein – sind), kann man bei einigen Artikeln auch auf einen “roten Pfeil” clicken, und den Links folgen. Klappt aber auch nur bei diesen roten Pfeilen. Links die im Fliesstext auftauchen, lassen sich leider nur per mühsamen Copy&Paste manuell öffnen. Funktionen, wie sie bspw. in Feedreadern benutzt werden (Open link in Browser / Twitter link / etc.): Fehlanzeige. Im “Einzel-Lesemodus” (siehe Punkt 3) tut das schon etwas besse – zumindest werden dort Links als solche erkannt, und auch angezeigt.
  3. Printlayout auf eine Onlineausgabe zu übertragen, halte ich gelinde gesagt für mutig. Das klappt, wenn man Mehrwert bietet (Die Wired sei hier lobenswert erwähnt), aber nicht wenn man das Ding einfach 1:1 auf das Lesedevice legt. “Doppeltap” auf einen Artikel funktioniert nur teilweise, da sich der Textfluss stoisch am Printlayout orientiert. Mit anderen Worten: Fliesstext um ein Bild herum ist auch in der App weiterhin Fliesstext um ein Bild herum. So etwas unterbricht den Lesefluss, und damit die Freude am Blatt. Merke gerade: Wenn man keinen Doppeltap, sondern einen einfachen Click macht, poppt eine Art Reader auf, in dem das Lesen schon besser funktioniert. Ein “Schliessen” sucht man vergeblich – geschlossen wird der Reader, in dem man nochmals tappt (ich tappe da eher in die Falle, denn wenn das Ding scrollt, tappt man ja auch einmal, um es anzuhalten – hier wird dann in der App der Artikel geschlossen) Intuitiv geht aber anders. Diese Reader-Nummer funktioniert übrigens nur, wenn man nicht schon vorher im Layout herumgezoomt hat. Schade.
  4. Last but not least: Warum gibts das ganze nicht als ePub oder im freundlichen RSS-Format?

Fazit für mich: Die Papierausgabe werde ich zunächst mal abbonieren. Bei der Digitalausgabe ist die Rheinzeitung auf einem guten Weg, aber es gibt noch sehr viel zu tun, bis das Teil rund ist. Kostenpunkt des “Maschinen”-Abos: ca. 3 Euro monatlich zusätzlich zum normalen Totholz-Abo. Das ist fair. Aufgrund der o.g. Punkte bleibts dann für mich auch erstmal beim Papierabo.

Tagged with:
Mai 19

Eigentlich hab ich mich ja immer gewehrt den schönen “Experimentiercomputer” RaspberryPi zum “MediaCenter” zu degradieren. Andererseits hatte ich ein wenig Not hier. Bis vor 2 Jahren hatte ich ‘nen MacMini am TV-Gerät. Der ist dann irgendwann rausgeflogen und musste einem AppleTV (3) weichen.

Dummerweise kann das ATV3 sich nur bei Apple bedienen. Sprich alle fein säuberlich gekauften Filme und MP3s auf dem Fileserver konnten nur umständlich abgespielt werden, in dem immer irgendein olles iTunes auf dem Arbeitsplatzrechner lief. Zeit das zu ändern. Also Pi bestellt und RaspBMC draufgeknallt. Erster Begeisterung folgte direkt die Ernüchterung. Zu langsam, und zu buggy. Wenn bspw. der Pi hängt, hilft nur noch Strom raus und wieder rein, was die SD-Karte mit “Could not mount Root-FS” oder so quittiert. Blöd alles. Doch es gibt eine Lösung für alles.

Ziel sollte es sein im Raspberry nur noch den Bootloader auf der SD-Karte zu haben (den braucht der leider, da der Pi kein Bootp/PXE beherrscht), und diese am besten auch noch mit ‘nem Schreibschutz zu versehen. Gesagt getan. Was ist also notwendig?

  • 2GB SD-Karte fürs erste Setup
  • 32MB SD-Karte für den späteren Betrieb
  • Fileserver mit NFS-fähigkeit
  • Irgend ‘ne Linux-Büchse um die Karten entsprechend zu präparieren (Mit OSX oder Windows ist das echt Schmerz)

Vorgehensweise:

  1. RaspBMC ganz normal auf der 2GB Karte installieren (dd if=[imagefile] of=/dev/sdz bsize=16M) wobei sdz das SD-Kartendevice ist.
  2. Rasbperry ans Netz hängen und booten/Erstkonfig durchführen.
  3. Während der konfiguriert setzen wir den NFS-Server auf (gehe mal davon aus, dass die Grundlagen zu NFS dem Leser bekannt sind)
    1. Directory, in dem das Rasberry-Rootfs wohnen soll erstellen (mkdir /rasberryrootfs)
    2. Directory in die /etc/exports aufnehmen:/rasberryrootfs          IP.VOM.RASP.BERRY(rw,async,no_root_squash,no_subtree_check,anonuid=65534,anongid=65534,insecure)
    3. exportfs -rv aufrufen
  4. Wenn Raspberry fertig, dann:
    1. per ssh einloggen (pi/raspberry)
    2. xbmc stoppen: sudo sudo initctl xbmc stop
    3. NFS-Filesystem mounten: mount IP.VOM.FILE.SERVER:/raspberryrootfs /mnt
    4. Kram umkopieren (sudo cp -axv /. /mnt/.
      sudo cp -axv /dev/. /mnt/dev/.
      )
    5. In der /mnt/etc/fstab folgende Zeile AUSkommentieren (also ein “#” davorschreiben):
      /dev/mmcblk0p2  /               ext4    defaults,noatime 0       0
    6. NFS-Filesystem umounten (sudo umount /mnt)
    7. Raspberry herunterfahren (sudo init 0)
    8. Karte entnehmen und in die o.g. Linuxbüchse stecken, sowie das vfat-Filesystem der Karte mounten.
    9. Kram aus dem vfat-Filesystem irgend wo auf die Platte kopieren.
    10. Karte umounten / Brauchen wir jetzt nicht mehr.
    11. Jetzt die 32MB Karte in die o.g. Linuxbüchse stecken und ein vfat-Dateisystem auf einer Primären Partition vom Typ “MSDOS/VFAT” erstellen.
    12. Den Krempel aus 9 auf die Karte kopieren.
    13. Jetzt noch die Datei cmdline.txt auf der 32MB Karte wie folgt anpassen:
      dwc_otg.lpm_enable=0 root=/dev/nfs rootfstype=nfs nfsroot=192.168.1.100:/raspberryrootfs,v3 ip=192.168.1.49:192.168.1.1:192.168.1.0:255.255.255.0:rpi:eth0:off smsc95xx.turbo_mode=N noatime rootwait loglevel=1 zram.num_devices=2
      Wobei folgendes gilt:

      1. Anstelle der 192.168.1.49 die IP des Raspberrys eintragen
      2. Anstelle der 192.168.1.100 die IP des NFS-Servers eintragen
      3. Anstelle der 192.168.1.1 die IP des Routers eintragen
      4. Anstelle der 192.168.1.0 die Netztadresse des Heimnetzes eintragen
    14. Karte umounten
    15. In den Pi stecken, und freuen 🙂

Wenn alles klappt, noch den nupsi für den Schreibschutz an der 32MB Karte aktivieren, und dann geht das Filesystem dort garantiert nicht mehr kaputt. Noch ein paar Tipps/Anmerkungen zur Performance von dem XBMC:

  • Alle überflüssigen Visualisierung sollten (so schick sie auch sein mögen) deaktiviert werden.
  • Krimskrams wie Samba-Server, Avahi, ftp auf dem Pi auch deaktivieren.

Viel Spass damit.

Tagged with:
Dez 13

Seit 4 Tagen bin ich den lästigen reconnect der Telekom los. Keine Zwangstrennung mehr nach 24h. Yes !

Wie das geht ? Ziemlich simpel. Man wechselt den Tarif beim rosa Riesen. “Call & Surf Comfort IP” heisst das Ding. Einher mit dem Tarif geht ein SIP-Account, über den man von dort per VoIP erreichbar ist (Besonderheiten der Telekom inclusive – verfasse dazu noch einen Blogeintrag). Aufgrund dessen fällt dann nämlich die Zwangstrennung weg. Nun gut, genug Marketinggedönse. Zum eigentlichen: Wie ich ja schon gebloggt habe, bin ich zufriedener sixxs Kunde, was meine ipv6-Welt angeht. Schön statische Prefixe, soviel /56er subnetze (statisch!) wie man haben will. Eigentlich genau das, was man als Betreiber von ein paar unwichtigen Diensten im Netz so benötigt.

Ganz gegensätzlich ipv6 bei der Telekom. Man bekommt ein /64er /56er Prefix, und das ist zu allem übel auch noch dynamisch. Sprich bei jedem Reconnect (der zwar, s.o., nur noch alle Jubelmonate kommt) gibts wieder einen neuen Prefix. Ist jetzt nicht der ultimative Brüller, denn der Sinn von ipv6 war ja genau dieses Dilemma zu lösen. – Wir erinnern uns: in den 90ern gab es die dynamische Vergabe nur, weil die ganzen ISPs mehr Kunden als ipv4-Addressen hatten – also mit ipv6 eigentlich kein Grund mehr für sowas. Die Gründe mögen vielfältig sein. Paranoide Menschen sind der Meinung, dass man mit dyn.IP’s einen Datenschutzzugewinn hat (Bullshit !), die Telekom meint, dass man statische IPs besser hochpreisig vermarkten sollte, und so on.

Nun, was tun mit dem schwankenden ipv6-Prefix, bei dem man nichtmal ‘ne DNS-Reversedelegation setzen kann ? Folgende Dinge sind mir so eingefallen:

  • Testen des sixxs.net oder HurricaneElectric-Tunnels von “aussen” 🙂
  • Backup-Routing, falls sixxs/HE mal down sind (wobei das vermutlich tricky wird)
  • Den “User” Kram aus dem Heimnetz über das /64 /56er routen. Alle Dienste über die statischen Netze

Naja, wie auch immer man sich entscheidet, das ganze unter linux auf einem “Selbstbaurouter” einzubinden bedarf ein wenig Bastelei. Was haben wir ?

  • Ein Standard DSL-Modem (Speedport 221) / kein Router (an dieser Stelle sei erwähnt, dass, entgegen irgendwelchen Aussagen, ein Modem vollkommen ausreicht (sowohl für VoIP, als auch für Entertain, sowie für ipv6) – “pppoe-Passthrough” in einem Speedportrouter kann funktionieren, muss es aber nicht. Je puristischer, desto besser.
  • Ein lauffähiges Linux, mit dem wir schon in der Vergangenheit pppoe gemacht haben und welches die öffentliche ipv4 bekommt. – Ich nehm’ hier Debian. Ein vorkonfektioniertes pfSense, ipcop, und wie die Distributionen so alle heissen, sollte auch gehen.
  • pppoe über rp-pppoe wie gewohnt. Hier in die /etc/ppp/options ein “+ipv6” eintragen

Jetzt gibts beim Reconnect zusätzlich zur ipv4 eine ipv6-LinkLocal-Adresse. Mit der kann man noch nicht so viel anfangen, denn die ist ja linklocal und damit nicht gerouted. An dieser Stelle hab ich echt am längsten (im wahrsten Sinne des Wortes) gehangen. Wie kommt man nun an die ipv6-IP ? Im Normalfall über zwei Wege. Entweder Router-Advertising, oder DHCPv6 (wobei letzteres nur bedingt empfehlenswert ist). Die Telekom announced die Prefixe per RA. Und zwar in 10 Minuten Intervallen. Was zum debuggen recht schmerzhaft ist (immer 10min. warten). Um dem geneigten Leser die Wartezeit (und das debuggen) zu verkürzen hier die Einstellungen die man am ppp0 vornehmen sollte (am besten in irgendein /etc/ppp/ip-up.d/file zur Firewall packen):

echo 0 > /proc/sys/net/ipv6/conf/ppp0/forwarding
echo 1 > /proc/sys/net/ipv6/conf/ppp0/autoconf 
									

Sodann wirds beim nächsten RA (wie gesagt: Nur alle 10 min. !) eine öffentliche IP geben, die dann über die, oben erwähnte, LinkLocal-Adresse raus/reingerouted wird. Routen sollten automatisch gesetzt werden.

ip6tables kann man dann nach gusto anpassen. Bei mir bekommt nur der “router” die Dynamische-V6, da dort der (Zwangs-)Proxy mit adblocker & Co. läuft – reicht dort also. Wer das v6 im LAN nutzen möchte, dem sei der radvd (Router Advertising Daemon) ans Herz gelegt.

Ein Grundsetup an ip6tables-Rules finden wir hier:

/sbin/ip6tables -P INPUT DROP
/sbin/ip6tables -A INPUT -i lo -j ACCEPT              #allow everything out
/sbin/ip6tables -A INPUT -p icmpv6 -j ACCEPT
/sbin/ip6tables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
/sbin/ip6tables -A INPUT -i $LAN -j ACCEPT       # allow GRE
/sbin/ip6tables -A INPUT -i $WAN -j LOG --log-prefix "INP6:End "
/sbin/ip6tables -A INPUT -i $WAN -j DROP

### OUTPUT
### (connections with the router as source)
echo "BASE OUTPUT"

  # base case
/sbin/ip6tables -A OUTPUT -o $WAN -j ACCEPT              #allow everything out
/sbin/ip6tables -A OUTPUT -o $LAN -j ACCEPT              #allow everything out
									

Happy v6ing !

 

[Update 26.02.2014] Es gibt ein /56er Prefix bei der Telekom, keine /64er – löst das Problem aber nicht. Danke an den Hinweisgeber.

Tagged with:
Sep 24

IN-Listen lassen sich bei einer Oracle leider nicht als Bind-Var übergeben. Wirklich nicht ? Doch, geht mit Trick:

SELECT   REGEXP_SUBSTR (:txt,'[^,]+',1,LEVEL) as token
   FROM   dual
   CONNECT BY   LEVEL <= LENGTH (:txt) - LENGTH (REPLACE (:txt, ',', '')) + 1
									

Durch den RegEx und das Connect by Prior macht die ORACLE eine Tabelle aus jedem Element, welches in :txt übergeben wird. Getrennt wird per “,”. Einsetzen lässt sich das ganze dann wie folgt:

SELECT * FROM emp WHERE emp_id IN (SELECT   REGEXP_SUBSTR (:txt,'[^,]+',1,LEVEL) as token
   FROM   dual
   CONNECT BY   LEVEL <= LENGTH (:txt) - LENGTH (REPLACE (:txt, ',', '')) + 1)
									

Nicht schön, aber funktional; Und am performantesten von all’ den Workarounds, die ich bisher so gesehen habe.

Tagged with:
Jul 18

Es ist, gefühlt, 6 Jahre her, dass ich so richtig Urlaub gemacht habe (Also so ohne, dass man zwischendurch immer wieder für den Kunden etwas tun muss, und einfach nur Ruhe hat). Umso mehr haben wir uns alle gefreut, als es Anfang Juli an die Müritz in Mecklenburg-Vorpommern ging. Genauer gesagt nach “Alt-Schwerin” am Plauer See. Jetzt ist Mecklenburg-Vorpommern nicht gerade mit exorbitanter Infrastruktur gesegnet. Auf der einen Seite schön (sehr ruhig), auf der anderen sind es Meilenweite Entfernungen zum nächsten Ort.

Um diese Distanzen zu überbrücken, hatten wir uns eigentlich fest vorgenommen die Fahrräder auf einem Fahrradgepäckträger mitzunehmen. Als ich dann allerdings nachgerechnet habe, und auf knapp 700km Anreise gekommen bin, haben wir das ganz schnell wieder verworfen. Mit dem Auto kommt man genau so gut vorwärts. An Freizeitaktivitäten wird echt viel geboten. Um nur ein paar Dinge aufzulisten:

  • Panzer fahren (Alte NVA-Kaserne)
  • Auf einer stillgelegten Reichsbahnstrecke kann man zu dritt mit einer Draisine und Muskelkraft die Landschaft geniessen.
  • Museen sind eigentlich nicht so meins. Aber das Müritzeum in Waren, kann wirklich was. Interaktive Exponate rund um die Natur und Entstehung der Seenplatte…
  • Bootstour mit einem “Passagierdampfer” über 5 Seen, incl. zwischendurch immer wieder dezent eingestreuten Informationen (war wirklich dezent).
  • In Plau am See gibt es Valk-Jollen zu mieten(Ein wenig Segelerfahrung und ‘nen SBF Binnen, mindestens aber SBF-See  ist Voraussetzung). Haben wir dann auch gleich mal gemacht. Herrlich. Kaum Motorboote unterwegs. Schöne lange Strecken, sodass es von einem Manöver zum nächsten schonmal durchaus ‘ne Stunde dauern kann. Mit der Valk kann man sicher keinen Preis gewinnen, dafür ist das Ding gutmütig wie nur sonstwas. Leider hatten die Boote keinen Verklicker, dafür aber ein paar Bändsel. Und wenn man sich nicht allzu blöd anstellt, kann man daraus ja auch ablesen ob die Segelstellung richtig ist. Wer übrigens ein Boot sein Eigen nennt, kann sogar mit diesem Anreisen und bekommt einen Liegeplatz direkt vorm Ferienhaus.

    Valk Jolle auf dem Plauer See

  • Wer auf alte Ost-Dörfer steht, kommt in der Gegend voll auf seine Kosten. Kopfsteinpflaster, soweit das Auge reicht. Erwähnt werden sollte hier: Güstrow, Schwerin (Sitz des Landesparlaments McPomm mit malerischem Landtag) und natürlich Malchow, welches so der erste Anlaufpunkt ist wenn man Lebensmittel & Co. benötigt 😉

Was die Unterkunft angeht. Besser hätte man es gar nicht treffen können. Wir hatten ein Ferienhaus: 8m bis zum See, bestens ausgestattet, Sonnenuntergänge von denen man selbst in der Eifel träumt, DSL2000 am Start und massivst Sonne.

Dive into the deep sea
Das Bild ist direkt von einem kleinen Weg vorm Ferienhaus aus aufgenommen. Schöner geht doch wohl kaum, oder ?

Des weiteren kann man “Alt-Schwerin” auch prima als Basecamp zur weiteren Erkundung des Bevölkerungsärmsten Bundeslands (von Bremen und dem Saarland mal abgesehen) nutzen. Nach Schwerin sind es 70km, nach Rostock ca. 100 und wer mal auf Rügen schauen will (definitiv eine Reise wert !) muss mit ca. 2,5h Fahrt rechnen. Ich denke mal, zu Rügen werd’ ich noch einen Extra-BlogPost verfassen. Alles in allem war der Urlaub so genial, dass ich gar nicht drum herum komme diese schöne Gegen zu plaggen. Wer Interesse an Adressen o.ä. hat, möge sich hier per Kommentar verewigen.

Weitere Impressionen gibts übrigens im Flickr Stream meiner werten Gattin, oder in meinem 😉

Tagged with:
Jun 23

Die Konfig hier zu Haus sagt, gehe über den Proxy – egal was passiert. Per iptables ist es den Workstations verboten, direkte HTTP-Requests nach draussen abzusetzen. Die werden einfach gedroppt. Damit man jedoch nicht bei jedem neuen Client erst den Proxy eintragen muss, gibt es so schöne Erfindungen wie wpad.dat (aka proxy.pac).

Der DHCP Server im Netz announced also, bei Vergabe einer ip, gleich die URL fuer die Proxy-Autoconf mit. In der Regel klappt das auch alles super. Hätte nicht jeder Browserhersteller wieder seinen eigenen Kram gebastelt. So interpretiert der Safari auf dem Mac diverse Dinge anders als der Chrome oder der IE. Eine schöne Matrix, mit dem was geht, und was nicht geht, gibt es bspw. bei pacwpad.com.

Die Herausforderung bestand/besteht am Ende darin, den Browsern zu sagen: Hey, du willst was im LAN, dann brauchst Du den Proxy nicht zu fragen. Ansonsten bitte Proxy nehmen. Mit ipv4 kein Thema. Bei ipv6 verschluckt sich der Safari jedoch massivst.

In der folgenden Config bin ich nun soweit, dass Chrome brav das macht was er soll, Safari jedoch bei jeglichen (auch LAN) ipv6-only Websites immer über den Proxy geht. Das liegt daran, dass der Safari scheinbar die javascript-Funktion “dnsResolveEx” nicht kennt. Ohne try/exception macht der immer einen auf “direct” bei ipv6. Mit diesem Konstrukt geht er zumindest immer auf den Proxy. Bin mal gespannt, wie lange es dauert bis sich die Browserhersteller da geeinigt haben…

Hier also die Config:

  • LANv4 ist 10.0.0.0/24
  • LANv6 ist 2001:999:999:8888/64

function FindProxyForURL(url, host)
{
        if (isInNet(host, "10.0.0.0", "255.255.255.0")) { // ipv4 im LAN ? Dann direct
                return "DIRECT";
        }
        if (host.substring(0, 4) == "127.") { // Localhost ? dann DIRECT
                return "DIRECT";
        }
        if (host.substring(0,16) == "2001:999:999:8888") { // IPv6 Adresse in den Browser eingegeben, und die ist im LAN ? Dann DIRECT
                return "DIRECT";
        }
        try {
            var resolved_ip = dnsResolveEx(host);
            if (resolved_ip.indexOf("2001:999:999:8888")>-1 ) { // Hostname löst auf eine IPv6 auf, die im LAN ist ? Dann DIRECT
                    return "DIRECT";
            }
        } catch(e) { // Funktion "dnsResolveEx" nicht vorhanden ? Dann Fallback proxy
            return "PROXY 10.0.0.2:3128";
        } 
        return "PROXY 10.0.0.2:3128"; // Default: Proxy
}

									

Update: Es empfiehlt sich anstelle der IP (10.0.0.2:3128) den FQDN des Proxies einzutragen. Einige Geräte machen scheinbar einen lookup bevor sie den Proxy fragen. Wenn beim lookup eine V6 Adresse herauskommt, dann läuft die wpad.dat ins leere, da kein V6-Proxy gefunden wird. Wichtig: der FQDN des Proxies sollte sowohl über einen V4-Eintrag (A), als auch über einen V6-Eintrag (AAAA) verfügen, und auch zusätzlich auf dem V6-Port lauschen…

Tagged with:
preload preload preload