Categories
Communications English Networking Routers

uhttpd with a certificate chain

To secure access to my router I wanted to use SSL encryption to access LuCi, so I obtained a certificate issued by a well-known CA. The server certificate was not issued directly off the CA, but there was a certificate chain in between.

Using a certificate chain with OpenWrt’s uhttpd is really easy, although as of today this is not yet even documented to be possible on the OpenWrt web site.

I’m using uhttpd_2015-11-08 from a trunk build (r48648) of “Designated Driver”, and certificate chains can be used here without problems.

I didn’t even have to convert from PEM to DER, I just concatenated the server cert and intermediate certs into a single file:

cat /root/server.crt /root/1_root_bundle_1.crt /root/1_root_bundle_2.crt >uhttpd.crt

Hope this helps. If it does please leave a message, thank you.

Categories
Communications Computers deutsch Networking

Brother MFC-7840w “Internet Fax” über DUS.net

Seit einigen Tagen habe ich einen “IP-only”-Telefonanschluss, so dass ich nicht mehr wie bisher mit meinem Brother MFC-7840w-Multifunktionsgerät über einen a/b-Terminaladapter an einem ISDN-Anschluss faxen kann.

Beim Suchen nach Alternativen stieß ich auf dieses Wiki im IP-Phone-Forum, welches mir sehr weiter geholfen hat.

Zunächst musste ich ein Firmware-Update für mein Faxgerät flashen, was die benötigte Internet-Fax-Funktionalität  (T.37-Protokoll) implementiert.

Weiterhin musste ein Anbieter gefunden werden, der dieses Protokoll unterstützt. DUS.net, welches auch im obigen Wiki erwähnt wird, war mir ohnehin schon bekannt, weil ich auf der Suche nach einem guten SIP-Provider bin. Also wollte ich gerne DUS.net als Fax-Provider nutzen, jedoch gibt es da ein prinzipielles Problem:

Um das Dus.net mail2fax Gateway anzusprechen, müssen Zugangsdaten > 50 Zeichen im Betreff-Feld übertragen werden. Die Brother-Firmware (4.0) speichert aber nur 41 Zeichen ab.

Meine Lösung sieht nun so aus:

Categories
Communications deutsch Networking Routers

Vodafone SIP-Account manuell einrichten

Update 2019-09-10: Sven Brinkmann teilt mit, dass der STUN-Server nicht mehr benutzt werden muss. Das erklärt dann wahrscheinlich auch, warum der Hostname nicht mehr existiert. 😉

Update 2018-12-27: Meine Leserin “DANi” teilte mir mit (vielen Dank!), dass sich zwischenzeitlich die Hostnamen geändert haben, so dass z. B. stun.arcor.com nicht mehr existiert (stimmt, habe ich überprüft). Diese Anleitung ist daher nicht mehr anwendbar! Falls jemand die korrekten Daten kennt, dann werde ich sie nach einem entsprechenden Hinweis gerne hier ergänzen.

Wer nicht die Standard-Hardware der Provider verwenden will sondern “eigene”, der steht oft vor dem unlösbaren Problem der manuellen Konfiguration der einzelnen Geräte.

Bei Vodafone als Anbieter kann in diesem Fall der Modem-Installations-Code (MIC) nicht benutzt werden. Stattdessen müssen folgende Daten in das jeweilige SIP-Gateway eingetragen werden:

  • Authentication name: VorwahlRufnummer, also z. B. 021199999999.
  • Authentication password: Das Sprachpaßwort
  • Username: der selbe Wert wie für Authentication name
  • Display name: Falls der verwendete SIP-Client oder das eigene SIP-Gateway diesen Parameter unterstützt, kann dort der eigene Name eingetragen werden, also z. B. “Michael Mustermann”.
  • Domain: 02182.sip.arcor.de:5060 (statt 02182 müsst Ihr Eure eigene Vorwahl eintragen!
  • STUN server: stun.arcor.com:3478 Scheint nunmehr obsolet zu sein!

Das so genannte “Sprachpaßwort” erhält man (hoffentlich) auf Anfrage von Vodafone. Früher scheint das ein Problem gewesen zu sein, heute sollte sich der Anbieter nicht mehr querstellen. In Zukunft — Stichwort “Abschaffung Routerzwang” — ist Vodafone ohnehin von Getzes wegen gezwungen, diese Information heraus zu geben.

Mit den oben genannten Einstellungen sollte die Einrichtung “fremder” VoIP-Hardware oder eines Software-Clients kein Problem sein. Ich betreibe erfolgreich ein Gigaset S850A GO damit. Dort sieht das dann so aus:

S850A Setup Vodafone

Categories
Communications English Networking Routers

Monitor DrayTek Vigor 130 Line Status

I recently got myself a new DSL modem, namely a DrayTek Vigor 130, as I switched from ADSL2 to VDSL2-Vectoring, so that I couldn’t use my Allnet ALL0333CJ Rev. C any longer.

As I monitor about everything (just kidding) with Nagios, I certainly wanted to implement a check of the modem’s line status.

Here’s what I came up with:

# ARG1: community
define command{
        command_name    snmp_modem_status
        command_line    /usr/lib/nagios/plugins/check_snmp -H '$HOSTADDRESS$' -C '$ARG1$' -o SNMPv2-SMI::transmission.94.1.1.3.1.6.4 -P 2c -r "53 48 4F 57 54 49 4D 45"
        }
define host {
        host_name       dslmodem
        address         192.168.0.1
        use             generic-host-internal
        parents         gw
}

Nagios is running on my intranet server. The next hop when seen from Nagios is my Internet gateway (host “gw”, my router), and from there the next hop is the DSL modem (host “dslmodem.”)

Hope this helps someone… If it does please leave a quick message here in this blog, thanks…

Categories
Communications deutsch Networking Routers Uncategorized

Vodafone VDSL-100 mit diskretem Modem und Router

Heute war endlich “der große Tag” gekommen — mein alter Arcor/Vodafone Annex.B-Anschluss (ISDN/ADSL) sollte umgestellt werden auf IP-only in Form von Vodafone VDSL-100, d. h. VDSL2-Vectoring mit einer Geschwindigkeit von 100 MBit/s für den Downlink, 40 MBit/s für den Uplink.

Bei uns kann Vodafone diesen Anschluss noch nicht basierend auf eigener Infrastruktur anbieten, sondern muss ihn als Bitstream-Produkt von der Telekom einkaufen. Das ist mir aber egal, Hauptsache es funktioniert… 😉

Aus verschiedenen Gründen mag ich keine “All-in-One”-Produkte, insbesondere keine von den Netzbetreibern angebotene:

  • Man muss bei “All-in-One”-Produkten in der Regel immer Kompromisse machen. Wenn ich “diskrete” Komponenten kaufe, d. h. ein separates Modem, einen Router, ein SIP-Gateway, einen Intranet-Server, dann kann ich mir genau die Geräte aussuchen, die meinen Vorstellungen am nächsten kommen.
  • Tritt ein Defekt bei einem “All-in-One”-Produkt auf, dann geht gar nichts mehr. Bei diskreten Geräten bleibt ein Teil der Funktionalität erhalten.
  • Ich bin nicht darauf angewiesen, dass mir der Netzbetreiber (insb. sicherheitsrelevante) Updates (zeitnah) zur Verfügung stellt, da ich mir die jeweiligen Updates jederzeit selbst beschaffen und installieren kann, insbesondere wenn ich auf Open Source-basierende Komponenten setze.
  • Andererseits kann mir der Netzbetreiber auch keine Einstellungen oder Updates “aufzwingen” und damit womöglich meinen Anschluss oder bestimmte Funktionalitäten lahm legen.
  • Netzbetreibergeräte sind oft in den Funktionen beschnitten. Bei Unitymedia z. B. muss man für die Aktivierung des WLANs extra bezahlen!

Daher setze ich folgende diskrete Geräte ein:

Categories
Communications Networking

VPN-Probleme bei CGN/NAT444?

Diesen Artikel habe ich ursprünglich für unsere “Bürgerinitiative PRO Glasfaser” geschrieben. Da das Thema von allgemeinem Interesse sein dürfte veröffentliche ich ihn in leicht abgewandelter Form auch hier auf meinem Blog.


Uns haben mehrfach besorgte Interessenten angesprochen die von angeblichen “Problemen mit VPN beim Deutsche Glasfaser-Setup” gehört hatten.

Wir haben daraufhin selbst recherchiert und keine grundsätzlichen Probleme erkennen können, die auf Grund des Designs des DG-Setups zu erwarten sind.

Es handelt sich dabei um ein NAT444-Setup: Private IPv4-Adresse im Heimnetz (LAN), private IPv4-Adresse zwischen CPE (Router) und CGN sowie öffentliche IPv4-Adresse zwischen CGN und IPv4-Internet-Host. Es handelt sich nicht um Dual Stack-lite, da keine private IPv4-Adresse im LAN über IPv6 durch das CPE zum CGN getunnelt wird!

Solange “die IPv6-Migration” nicht beendet ist — sprich: Jeder Client weltweit kann IPv6 nutzen und jeder Host bietet seine Dienste ebenfalls per IPv6 an — sind Transitions-Techniken wie NAT444 von globaler Bedeutung. Daher gibt es einen eigenen RFC zu dem Thema “Einfluss von CGN auf Netzwerk-Anwendungen”: RFC-7021. Dieser RFC gibt keinerlei Hinweise dass es ein grundsätzliches Problem mit gängigen VPN-Anwendungen (NAT444-Szenario, VPN-Client im LAN, VPN-Gateway ausschließlich erreichbar über IPv4, aufgestellt in einer DMZ) geben könnte.

Wenn man (per Google) nach NAT444 sucht stößt man an prominenter Stelle auf diese Seite (die vor mehr als 4 Jahren erstellt wurde, also mittlerweile völlig veraltet ist!). Schon nach damaligem Stand ist die Seite als “dubios” zu bezeichnen.

Nach Aussage des Autors macht NAT444 “VPN” und “SSL” kaputt oder beeinträchtigt diese zumindest. In dieser Pauschalität ist die Aussage nicht sehr fundiert. Zum einen ist VPN nicht gleich VPN, es gibt diverse unterschiedliche Verfahren, die mit Sicherheit — wenn überhaupt — nicht alle gleichermaßen betroffen sind. Zum anderen ist SSL einfach nur eine Encryption Layer, die im Prinzip auf beliebige TCP-Ströme angewendet werden kann (das Protokoll bleibt aber TCP!). Wieso dieser TCP-Strom durch NAT444 beeinträchtigt werden soll erschließt sich mir nicht. Der Autor widerspricht sich mit seiner Aussage übigens selbst da er angibt, dass “Web” und “Mail” ohne Beeinträchtigung über NAT444 funktionieren sollen. Da aber auch bei Web-Anwendungen (HTTPS) und Mail-Anwendungen (SMTPS und POP3S/IMAP4S) “SSL” zum Einsatz kommt stellt sich die Frage wie das zusammen passt…

Um die Frage abschließend zu beleuchten besuchte ich am 26.06.2015 die “Deutsche Glasfaser”, um vor Ort in Heinsberg-Dremmen die beiden verbreiteten VPN-Protokolle “IPSec” (Cisco VPN Client mit XAuth) und SSL-VPN (Cisco AnyConnect) zu testen. Erwartungsgemäß konnte ich keinerlei Probleme mit den beiden o. g. VPN-Protokollen feststellen. Siehe auch diesen Artikel für weitere Infos über meinen Besuch.

Categories
Cell Phones Communications deutsch

Aktuelle Smartphones verglichen

Kürzlich stand ich vor der Anschaffung von zwei neuen Mobiltelefonen (im Rahmen von Vertragsverlängerungen bei Vodafone). Daher habe ich die wichtigsten bei diesem Anbieter erhältlichen aktuellen Smartphones verglichen.

Folgende Handys habe ich verglichen (in alfabetischer Reihenfolge):

Apple iPhone 5S, Apple iPhone 6, HTC One (M8), HTC One (M9), HTC One mini 2, LG G3, Huawei P8, Nexus 6, Samsung Galaxy Alpha, Samsung Galaxy S5 16 GB, Samsung Galaxy S5 mini, Samsung Galaxy S6 32 GB, Samsung Galaxy S6 64 GB, Sony Xperia Z3 Compact, Sony Xperia Z3.

Die Kriterien bei meinem Vergleich waren Folgende:

  • Geschwindigkeit der CPU und Anzahl der Kerne
  • Größe des Arbeitsspeichers (RAM) und des internen Massenspeichers (Flash),
  • Bildschirmgröße und -auflösung,
  • LTE-Geschwindigkeit und Anzahl der LTE-Bänder (wichtig, da ich Geschäftsreisen auch auf andere Kontinente unternehme),
  • Verfügbarkeit von VoLTE,
  • Bluetooth/WiFi/WLAN-Versionen,
  • NFC-Verfügbarkeit,
  • Wechselbarkeit des Akkus durch den Benutzer,
  • Repair Score (wichtig, falls das Handy auch nach Ablauf der Gewährleistung weiter benutzt werden soll!),
  • Akku-Kapazität,
  • drahtlose Akku-Ladefähigkeit über Qi,
  • SIM-Typ und
  • Marktpreis.

Und hier nun der Vergleich in Form eines Excel-Sheets:

Handyvergleich 2015-07-09

War das hilfreich? Dann würde ich mich über entsprechende Kommentare hier in meinem Blog sehr freuen.

Update 2015-07-09: Excel-Sheet upgedated. Huawei P8 hat deutlich mehr LTE-Bänder als hier angegeben — insgesamt nämlich 16 beim Modell GRA_L09 laut Huawei selbst. Damit scheint es das Mobiltelefon mit den meisten LTE-Bändern zu sein.

Categories
Cell Phones English

How to install Android 5.0.1 on HTC Desire S

By chance I came across a thread on xda-developers that explains how to install CyanogenMod 12 (cm12) on an HTC Desire S (codename “Saga”). Being a newbie in “hacking” and rooting Android phones I had to read, investigate, and try a lot.

To spare you this effort I’m trying to summarize the steps required below:

  1. Unlock bootloader: To be able to flash a custom bootloader you first need to unlock the bootloader, which is easy since HTC makes this officially available via their web site.
  2. Flash recovery image: I used Team Win Recovery Project 2.8 (or short TWRP 2.8) which I downloaded from a link on this site.
  3. Flash cm12 and Google Apps: Download the latest cm12 image (on 2014-12-05 it was cm-12-20141204-UNOFFICIAL-saga.zip) from this page. Download Google Apps from this page. Put both ZIP files on the micro-SD card.
  4. Reboot to your recovery image by keeping “volume down” key depressed and then switching on the phone. Keep volume key depressed until TWRP splash screen appears. Perform a factory reset. Flash the two ZIP files, add cm12 first, then add Google Apps.
  5. Extract boot.img from cm-12-20141204-UNOFFICIAL-saga.zip and flash that with fastboot. Flash it using these instructions.
  6. Reboot your phone. CyanogenMod splash screen should appear after a while. Your first boot will probably take very long (I think for me it was about 15-20 min). Be patient!

After carefully following all the above instructions I now have the following on my HTC Desire S:

  • Boot rom HBOOT-2.02.0002 in mode S-ON
    bootloader
  • Radio/modem/baseband firmware RADIO-3831.19.00.110 (20.76.30.0835U_3831.19.00.110)
  • TWRP v2.8.0.0
  • Android 5.0.1 in the CyanogenMod flavor, version 12-20141204-UNOFFICIAL-saga. Kernel version is 3.0.101.
    cm-splash
  • Google Apps referred to from this page.

Thanks to everyone on xda-developers for their excellent work and support!

You might encounter the following issues which can be fixed as specified:

  • Touch screen not working properly: You have kind of a “mouse pointer” which you can drag around with your finger on the screen. To “click” something you have to double-tap on the mouse pointer. Fixing this can be accomplished by following this procedure.
  • The home softkey doesn’t work. Fix it by following these steps.

I had success with the following (not meant to be complete, just a couple of things which I consider important or surprising):

  • Sending audio to my Plantronics Blackwire C720 Bluetooth headset works properly, using Google Play Music. This was obviously using the “Media Audio” Bluetooth profile.
  • Skype via the above headset works perfectly well. Sound quality is crystal-clear.
  • Hand-over of a voice call to the above Bluetooth handset and back works perfectly well — maybe even better than on my S4… 🙂
  • Paired my Samsung Galaxy S4 with the HTC Desire S. Successfully sent a contact as VCF file from the S4 to the Desire S. But then process com.android.media crashed.
  • Connect phone to Windows 7 via USB, using MTP protocol. Write speeds to micro-SD card seemed normal.

The following limitations still exist (or at least these are the ones I noticed so far):

  • Phone is somehow regarded as a tablet by the Android OS.
  • Front camera not working. I thought I had seen it working once, but maybe I’m confused. Anyway, as of now the front camera seems not to be detected/functioning. The back camera is working well with the camera app from the minimal Google Apps package as well as from the official Google Camera you can download from Google Play. Skype and Google Hangouts also work well, apart from the front cam.
  • I replaced some of the apps in the apps dock with apps I installed from Google Play. Some of these apps will disappear after a reboot. When I noticed this and wanted to put them back by opening the apps drawer I observed that Android was currently populating/updating the apps drawer with some still missing apps. But even after it had finished showing all installed apps in the app drawer the apps dock was still missing some apps. So I dragged them back from the drawer onto the dock. Again, after a reboot they will be gone again.
  • Speed of cellular data connections seems slow. Unfortunately I couldn’t verify whether the cellular network settings are ok, since every time I tried to enter one of the corresponding  Settings menu item the process com.android.phone would crash (with the effect that I had to re-enter my SIM PIN and also the screenlock PIN).
    Later I tried it again, and this time it didn’t crash. All the settings were fine, so I wonder whether there is a problem with regards to the modem firmware? (I would like to note that I don’t have a voice SIM in this mobile phone, but just a data-only SIM. Eventually the firmware tries to perform operations that work on voice SIMs and doesn’t properly handle situations where those operations cannot be carried out?!)
  • Update 2014-12-11: Connecting the charger when the phone is powered down will cause it to boot into the TWRP recovery system.
  • Trying to open menu item Wireless & Networks > Cellular networks > Carrier Settings might cause process com.android.media to stop.
  • Ringtone will be quiet on incoming calls.
  • Microphone will be muted (or not properly amplified) when the first outbound(!) call takes place (in non-speakerphone mode). After you have gone on speakerphone and back, the microphone will then be working.
  • Moving apps to the external SD card is unreliable. Often it doesn’t work without any indication as to why. If you then repeat it again it may actually work.
Categories
Cell Phones Communications Networking WTF

OpenWRT Quality-of-Service module caveat: speed limit

As I still have “issues” with my DSL line being extremely slow during certain times (especially between 18:30 and 23:00), I wanted to use USB tethering from my OpenWRT router to my Android LTE phone to enjoy the massive speed I have in our area (up to 90 MBit/s downlink and 70 MBit/s uplink, according to the Ookla Speedtest.Net).

So I configured the router according to the OpenWRT wiki. The internet connection did not come up immediately, and I couldn’t find out why, so as a last resort I rebooted the router. After I switched on USB tethering again on my mobile phone (which seems to be required each time you reboot the router since the mobile phone then loses the USB tethering connection), I suddenly had a working Internet connection.

However, for some reason the Internet speeds I was seeing in Ookla’s web browser-based speed test (which is a Flash applet) were very disappointing, around the same speeds I’m used to with my DSL line (14 MBit/s downlink, about 0.8 MBit/s uplink). I thought it might be an issue with USB tethering not working well in my build of OpenWRT (still r39582), so I tried USB tethering with my Mac (using HoRNDIS). I got the full speed I expected. So back to OpenWRT…

Then suddenly I suspected what might be going on: Since I had more or less exactly the same speed as my DSL connection (with the uplink of less 1 MBit/s being dramatically slower than what I should get via LTE) I thought about what could possibly limit the speed. And then I remembered that in the “Quality of Service” (QoS) module I configured the speeds of my DSL line (at the top of the page, in the Download speed (kbit/s) and Upload speed (kbit/s) fields). Could it be that these settings actually limit your speed to these values?!

I disabled QoS, and immediately thereafter I got the full LTE speed I expected.

So, another thing learnt.

I hope this helps people who might be in a similar situation…

Categories
Communications Computers Networking

Windows 7 PPPoE-Protokoll schlecht implementiert?

Anläßlich eines Problems mit meinem Vodafone 16 MBit/s-DSL-Anschluss — Geschwindigkeit ging plötzlich dramatisch in die Knie, ca. 1-2 MBit/s nur noch! — habe ich testweise die PPPoE-Verbindung direkt vom Laptop unter Windows 7 über das Arcor-DSL Speed-Modem 200 zum Konzentrator bei Vodafone aufgebaut. Auf diese Weise wurde das Modem als “Schuldiger” ausgemacht: Ein baugleiches Ersatzmodem lieferte sofort über 14 MBit/s!.

Nachdem ich dann wieder das DSL-Modem mit dem TP-Link TL-WDR3500-Router (mit OpenWRT als Firmware) verkabelt hatte, stellte ich plötzlich erstaunt Folgendes fest: Die Ping-Round-Trip-Zeiten gingen von 31-32 ms (unter Windows 7 als PPPoE-Client) deutlich herunter auf 21 ms (mit OpenWRT Barrier Breaker r39582 als PPPoE-Client). Das ist insofern sehr erstaunlich, da ja nun eine 802.11an-WLAN-Strecke und der Router als zusätzliche Latenz erzeugende “Komponenten” hinzu kamen!

Ich interpretiere das so, dass die PPPoE-Implementierung unter OpenWRT der von Windows 7 deutlich überlegen ist, da sie offensichtlich “schneller” bzw. “effizienter” ist. Bevor jetzt jemand sagt “Vielleicht hast Du einen krötenlangsamen Laptop verwendet?” — nein, das ist nicht der Fall, es war ein Lenovo X220 mit einem Core i5-Prozessor mit 2.5 GHz…. Und der Laptop war dauernd “idle”… 🙂

Eure Meinung zu dieser Interpretation würde mich sehr interessieren, daher würde ich mich über Kommentare freuen.