tag:blogger.com,1999:blog-48822999511054626152024-02-22T12:44:02.972+01:00Tux0neTux0nehttp://www.blogger.com/profile/00729275216054548167noreply@blogger.comBlogger119125tag:blogger.com,1999:blog-4882299951105462615.post-86726969399709583562022-02-19T11:16:00.007+01:002022-02-19T19:31:58.354+01:00Aufpreis für Replay TV<p><span face="TheSans, "Trebuchet MS", "Helvetica Neue", Helvetica, Arial, sans-serif" style="-webkit-text-size-adjust: 100%; caret-color: rgb(51, 51, 51); color: #333333; letter-spacing: -0.1px;"></span></p><div class="separator" style="clear: both; text-align: center;"><span face="TheSans, "Trebuchet MS", "Helvetica Neue", Helvetica, Arial, sans-serif" style="-webkit-text-size-adjust: 100%; caret-color: rgb(51, 51, 51); color: #333333; letter-spacing: -0.1px;"><a href="https://blogger.googleusercontent.com/img/a/AVvXsEjxt6OA6MjCyRDr7Yxi_Vao456IOuDWOo_y_RUJcLKK1QDREQB-rZBp0SyBoVXmCmaXs0rzsKMNxXN2bMhqKB_qOJSzXeJqIAg-E7Q8g_CHQjOVg44bTm1gseL20Tt-69_LOTv4unjiqWh0iSPrjap6Axiw5wv7ahJftnWhxu4amdjvjuUwbfiolcVU=s1775" style="clear: left; float: left; margin-bottom: 1em; margin-right: 1em;"><br /></a><a href="https://blogger.googleusercontent.com/img/a/AVvXsEjxt6OA6MjCyRDr7Yxi_Vao456IOuDWOo_y_RUJcLKK1QDREQB-rZBp0SyBoVXmCmaXs0rzsKMNxXN2bMhqKB_qOJSzXeJqIAg-E7Q8g_CHQjOVg44bTm1gseL20Tt-69_LOTv4unjiqWh0iSPrjap6Axiw5wv7ahJftnWhxu4amdjvjuUwbfiolcVU=s1775" style="clear: left; float: left; margin-bottom: 1em; margin-right: 1em;"><br /></a><a href="https://blogger.googleusercontent.com/img/a/AVvXsEjxt6OA6MjCyRDr7Yxi_Vao456IOuDWOo_y_RUJcLKK1QDREQB-rZBp0SyBoVXmCmaXs0rzsKMNxXN2bMhqKB_qOJSzXeJqIAg-E7Q8g_CHQjOVg44bTm1gseL20Tt-69_LOTv4unjiqWh0iSPrjap6Axiw5wv7ahJftnWhxu4amdjvjuUwbfiolcVU=s1775" style="clear: left; float: left; margin-bottom: 1em; margin-right: 1em;"><img border="0" data-original-height="837" data-original-width="1775" height="151" src="https://blogger.googleusercontent.com/img/a/AVvXsEjxt6OA6MjCyRDr7Yxi_Vao456IOuDWOo_y_RUJcLKK1QDREQB-rZBp0SyBoVXmCmaXs0rzsKMNxXN2bMhqKB_qOJSzXeJqIAg-E7Q8g_CHQjOVg44bTm1gseL20Tt-69_LOTv4unjiqWh0iSPrjap6Axiw5wv7ahJftnWhxu4amdjvjuUwbfiolcVU=s320" width="320" /></a></span></div><span face="TheSans, "Trebuchet MS", "Helvetica Neue", Helvetica, Arial, sans-serif" style="-webkit-text-size-adjust: 100%; caret-color: rgb(51, 51, 51); color: #333333; letter-spacing: -0.1px;"><h1 style="text-align: left;"><span face="TheSans, "Trebuchet MS", "Helvetica Neue", Helvetica, Arial, sans-serif" style="-webkit-text-size-adjust: 100%; caret-color: rgb(51, 51, 51); color: #333333; letter-spacing: -0.1px;">Kommentar zur Replay Gebühr gemäss GT12</span></h1><div><span face="TheSans, "Trebuchet MS", "Helvetica Neue", Helvetica, Arial, sans-serif" style="-webkit-text-size-adjust: 100%; caret-color: rgb(51, 51, 51); color: #333333; letter-spacing: -0.1px;"><br /></span></div>In der ganzen "Debatte" bzw. den Kommentaren in News Portalen usw., fällt mir immer wieder auf, dass man ein Durcheinander bezüglich Gebühren und Kosten macht.</span><p></p><br /><br />Eventuell sollte man sich mal bewusst werden welche Gebühren für was sind und was sie decken.<br /><br /> <br /><br /><br /><br /><span><a name='more'></a></span>Es gibt da die "Serafe Gebühr" bez. die Radio- und Fernsehabgabe die pro Jahr 335.- CHF pro Haushalt kostet.<br /><br />Das hat nichts mit Replay zu tun. Diese Abgabe unterstützt hauptsächlich die SRG um ein Programm für alle 4 Landessprachen zu erstellen (94%). Etwa 6% dieser Abgaben bekommen weitere Radio und Fernsehanstalten in der Schweiz. (Es wird zu Debatte stehen, dass diese Gebühr gesenkt werden soll, weil es zB auch immer mehr Haushalte gibt und die Abgabe überproduziert).<br /><br /> <br /><br />Es gibt die Kosten für das TV Abo. Bei Swisscom zB die 25 CHF für ein blue TV M oder 35 CHF bei einem blue TV L.<br /><br />In diesen Kosten sind Dinge enthalten wie:<br /><br />Entwicklung der TV Plattform und Geräte Apps. Unterhalt, Support, Marketing. Infrastruktur wie Cloudspeicher, Transport, Lizenzen. Gebühren Senderportfolio, Rechte und natürlich noch vieles mehr.<br /><br />Nur ein kleiner Teil bisher wurde an die Verwertungsgesellschaft abgedrückt, hauptsächlich für den Speicher, da das ganze Konzept noch auf der Idee von VHS Aufnahmen oder ähnlichem basiert. 🙂 Wir reden da von einem Beitrag unter 2 CHF pro Monat.<br /><br /> <br /><br />Neu erfasst der Gemeinsame Tarif 12 auch die Replay Thematik. Bzw. ist da das Problem, dass viele Sender ihre Einnahmen durch Werbung generieren. Jetzt wo alles erfasst ist und man messen kann wie die Werbung übersprungen wird, sinken diese Einnahmen natürlich. So hat man sich an einen "runden Tisch" gesetzt und den neuen GT12 generiert, welches den Schweizern ermöglicht, weiterhin ein Replay haben zu können. Wohlgemerkt ist das fast einzigartig. Im Ausland hat man das nicht mehr und man kann dort zB nur noch auf die Mediatheken der Sender zugreifen.<br /><br />Wie auch immer, der Tarif hat sich auf 01.01 in diesem Jahr auf 7 CHF und ab nächsten Jahr auf 8 CHF pro Kunde pro Monat erhöht, wenn der Kunde das gewohnte Replay Erlebnis weiternutzen kann. Sprich, Spulen und Werbung überspringen.<br /><br />Der GT12 sieht verschiedenen Modelle vor. Eben das genannte Premium mit entsprechenden Kosten, die die verlorenen Werbeeinnahmen kompensieren wollen und den Weiterbetrieb dieser Sender ermöglichen soll.<br /><br />Oder auch abgespeckte, günstigere Versionen, wo man zB auch Spulen kann, an Stelle der Werbung aber zB. 2 Minütige Werbespots, die man nicht überspringen kann (was noch zu beweisen wäre (Adblocker)), also ähnlich wie bei Youtube free.<br /><br /> <br /><br />Bisher hat man also bei den Kosten die man für sein TV Abo bezahlt, bestenfalls die abgespeckte Version gedeckt und nicht den Aufpreis für das Premium ohne Ad Werbung.<br /><br />Im Falle von Swisscom wären der Aufpreis etwas mehr als 5 CHF, damit Swisscom diese wieder decken kann.<br /><br />Im Falle von Swisscom TV M sind das ab 01.01.2022 also mehr als 20% die man pro Kunde weniger einnimmt.<br /><br />Ob das für Swisscom und andere Anbieter, wo die Mindereinnahmen noch viel höher sind, ein Dauerzustand bleibt, kann sich jeder selber ausmalen.<br /><br />Eher nicht 😉<br /><br /> <br /><br />Für Nutzer die hauptsächlich öffentlich rechtliche Sender konsumieren, wird ein Basisangebot kaum eine Einschränkung darstellen. <br /><br />Wer vieles auf werbefinanzierten Sendern schaut, aber keine Werbung sehen will, kann sich für das Premiumangebot entscheiden.<br /><br /> <br /><br />Klar das man solche Konzepte auch immer wieder mal anschauen muss. Diesem Problem müssen sich aber alle Medien stellen. Mit dem aktuellen GT12 hat man wenigstens aktuell wieder eine Möglichkeit, Sender zu unterstützen.<br /><br />Und ja, wenn man findet das man solche Sender nicht braucht. Dann setzt ein Statement und abonniert nur die Basisversion und schaut diese Sender nicht. Dann reguliert sich der Markt eventuell selber. Ausser ein Mäzen hat wieder ein neues Hobby gefunden...<br /><br />Schlussendlich ist aber weder die SRG, noch die Serafe noch init7 oder Swisscom Schuld an diesen Kosten. Es sind die Konsumenten die das so wollen. Das wollte ich gesagt haben.<br /><br /><br /><br /><br /><i>Dieser Beitrag erschien am 14.02.2022 zuerst in der Swisscom Community <a href="https://www.blogger.com/#">https://community.swisscom.ch/t5/Nutzung-mit-TV-Box/Replay-%C3%84nderung-ab-2022/td-p/621448/page/4</a></i><span><!--more--></span><span><!--more--></span><span><!--more--></span><span><!--more--></span>Tux0nehttp://www.blogger.com/profile/00729275216054548167noreply@blogger.comtag:blogger.com,1999:blog-4882299951105462615.post-10633273230124617312022-01-27T17:31:00.003+01:002022-01-28T09:15:40.716+01:00Google beendet die kostenlose G Suite - Der grosse Takeout<h1 style="text-align: left;">Alles hat ein Ende auch die kostenlose G Suite</h1><p><br /></p><p>Ja ihr habt es sicher mitbekommen. Entweder schon via Mail, oder wie ich über Social Media. Google beendet die <a href="https://www.heise.de/news/Google-Ende-fuer-kostenlose-G-Suite-Konten-Nutzer-muessen-fuer-Workspace-zahlen-6332938.html" target="_blank">kostenlose Version der G Suite</a>.</p><p></p><div class="separator" style="clear: both; text-align: center;"><a href="https://blogger.googleusercontent.com/img/a/AVvXsEgpem5u-ZO9EAkhcNEPZJfRM3jpQnWqczz_QJZmMJBmoYG4D3fL9QgN6Lfa6PBj3AsGQb_yPHnjqyIO1wkn5SV7q_pmY6XrME-O-8i5hnWFGxhDKaz-Dzf7Sbc6rogzC2YFQYwFPvDhYpj5QG1iaWACjt-X_SjqKFpS6mf_5EAymwMuWxauyIkYN2g6=s566" style="clear: right; float: right; margin-bottom: 1em; margin-left: 1em;"><img border="0" data-original-height="396" data-original-width="566" height="280" src="https://blogger.googleusercontent.com/img/a/AVvXsEgpem5u-ZO9EAkhcNEPZJfRM3jpQnWqczz_QJZmMJBmoYG4D3fL9QgN6Lfa6PBj3AsGQb_yPHnjqyIO1wkn5SV7q_pmY6XrME-O-8i5hnWFGxhDKaz-Dzf7Sbc6rogzC2YFQYwFPvDhYpj5QG1iaWACjt-X_SjqKFpS6mf_5EAymwMuWxauyIkYN2g6=w400-h280" width="400" /></a></div>An dieser Stelle will ich gar kein Leid klagen. Seit 2012 konnte man die kostenlose G Suite schon gar nicht mehr lösen. Wir konnten nun also alle über 10 Jahre einen kostenlosen hervorragenden Mail Service von google mit der eigenen Domain nutzen. Nebenbei hatte man pro User noch mind 15GB Drive Speicher. Viele haben das daheim als Familiendomain genutzt, so wie ich auch.<p></p><p>Die kostenlose Zeit hat nun eine Ende. Danke google für diese Zeit!<br /></p><p>Für eine Familie sind die Kosten pro User pro Monat mit etwa 4.70 Euro halt einfach ein bisschen zu viel. Wer die G Suite bzw. den Workspace hauptsächlich als Mail Service genutzt hat, wird sich nun nach Alternativen umsehen. Und genau darum geht es in diesem Beitrag. Es soll ein Leitfaden sein wie man den Takeout angehen kann. Natürlich kann ich hier nie im Leben auf alle Details und Möglichkeiten eingehen. Aber so als Idee und Diskussionsbasis wird es schon reichen.</p><span><a name='more'></a></span><p><br /></p><p><br /></p><h3 style="text-align: left;">Übersicht verschaffen</h3><div>Als erstes sollte man sich mal wieder mal in die <a href="https://workspace.google.com/products/admin/" target="_blank">Workspace Admin Konsole</a> einloggen und sich eine Übersicht über die User verschaffen, die man da generiert hat. Welche wird man in Zukunft noch benötigen? Was für Schandtaten abgesehen vom Mail hat man damit sonst noch getrieben? Hat man eventuell sogar google Käufe wie Filme, Musik, Apps usw. getätigt? Haben die User die Accounts für Google Foto genutzt? Hat man für die Mails App Passwörter generiert? Welche Security Features vom Mail habe ich genutzt? Möchte ich auch in Zukunft wieder DMARC? Habe ich Catch All aktiviert?</div><div>Diese Gedanken entscheiden welche Alternative man in Zukunft verwenden kann.</div><div><br /></div><div><br /></div><h3 style="text-align: left;">Die Alternativen</h3><div>Alternativen gibt es einige. Selbstverständlich kann ich nicht alle aufzeigen. Möchte aber einige nennen welche ich evaluiert habe.</div><div><br /></div><div><b>Microsoft 365 Family:</b></div><div>Einige werden zwecks den Office Apps bereits schon ein Abo bei Microsoft haben. Auch mit einem Office 365 Family kann man über Outlook.com eine eigene Domain nutzen.</div><div>Offiziell muss die Domain aber bei <a href="https://ch.godaddy.com" target="_blank">GoDaddy registriert </a>sein. Die sind jetzt nicht unbedingt günstig was zB eine ch. Domain anbelangt.</div><div>Via Twitter wurde ich aber noch auf einen <a href="https://www.reddit.com/r/Office365/comments/ft15pk/use_personalized_domain_with_outlook_and_office/">Workaround</a> hingewiesen. Dies funktioniert bis heute noch so, weil der Twitter User erst kürzlich 4 Domains so registriert hat. Wie lange dieser Workaround von Microsoft so aber noch toleriert wird und ob sie allenfalls überhaupt den Aufwand bertreiben wollen dem nachzugehen, steht in den Sternen.</div><div>Wer also eine Microsoft 365 Subskription hat, für den ist Microsoft eine Alternative.</div><div><br /></div><div><b>Proton Mail:</b></div><div>Auch Proton Mail habe ich mir angeschaut. Gefällt mir bezüglich Features des Mail Service eigentlich ganz gut und würde den Service von Google locker ersetzen können. Für die Anzahl an Accounts und Catch All müsste ich allerdings das <a href="https://protonmail.com/signup?plan=business" target="_blank">Professional Paket</a> lösen, was mir mit 75 CHF pro Jahr für einen Mail Service, privat, doch etwas zu teuer ist. (Ja ich Schmürzler)</div><div>Aber hey, technisch sicher einwandfrei. Datenschutz? Naja, Gesetze haben wir in allen Ländern...</div><div><br /></div><div><b>Apple iCloud+:</b></div><div>Ja auch apple bietet neu mit einem iCloud+ Abo die <a href="https://support.apple.com/en-us/HT212514">Nutzung von Mails</a> mit eigener Domain an. Apple push, die Datenschutz Philosophie von apple. Ja allen Unkenrufen zum Trotz, wirklich unsympathisch ist mir das nicht.</div><div>Pro User sind 3 Mail Adressen möglich. Weitere User können die gleiche Domain nutzen, sofern sie in der Familiengruppe sind.</div><div>Leider kann ich diesen Dienst nicht verwenden, weil bis dato keine catch all Adresse möglich ist. Diese ist für mich aber Essential. Zudem ist der Service noch im Beta Stadium. Möglich das da noch mehr, aber auch weniger kommt.</div><div>Schade.</div><div><br /></div><div><b>Infomaniak:</b></div><div>Infomaniak bietet eine ganz normales konservatives <a href="https://www.infomaniak.com/de/hosting/service-mail/" target="_blank">Mail Hosting</a> mit Schweizer Servern an.</div><div>Das Paket mit 5 Mail Adressen und unlimitiertem Speicherplatz, kostet jährlich CHF 26.95. Ein günstiger Preis wie ich finde, zumal einige andere Hoster den Mail Service uU. nur mit zusätzlichem Webhosting vertreiben. Überzeugend ist auch die Unterstützung üblicher Sicherheitsstandards gegen Spam und Spoofing. Und ganz wichtig für mich, catch all wird unterstützt :)</div><div>Und ja es in der Schweiz.</div><div><br /></div><h3 style="text-align: left;">Datensicherung:</h3><div>Bevor man nun überhaupt eine Migration anstösst, sichern wir mal die Daten der Google Accounts.</div><div>Dazu bietet google selber den Takeout an. Je nachdem was man nun genutzt hat, sichert man im Minimum die E-Mails. Allenfalls noch die Kontakte, Fotos usw.</div><div>Google mach einem dies wirklich leicht. Über diesen <a href="https://takeout.google.com/?pli=1" target="_blank">Link</a> kann man bei jedem Account die Daten sichern. Die Bereitstellung des Downloadlinks dauert je nach Grösse der Daten einige Minuten bis Stunden. Von Vorteil erfolgt der Download über eine schnelle Internetleitung mit hervorragendem Peering zu google, wie zB init7 ;)</div><div><br /></div><h3 style="text-align: left;">Die Migration zu Infomaniak</h3><div>Wie bei den Alternativen erwähnt, habe ich mich dann für Infomaniak entschieden.</div><div>Sollte man die Domain nicht bei Infomaniak registriert haben, kommen neben dem Mail Hosting noch 3.30 CHF jährlich für die "Domain Verwaltung" hinzu. Ansonsten kann man das Mail Hosting nicht mit der Domain pairen.</div><div>Na gut, so ein Domain Transfer ist ja auch nicht wirklich kompliziert, also habe ich ihn angestossen. In meinem Fall die Domain bei Hostpoint gekündigt und einen Transfercode verlangt. Diesen Punkt muss man bei der Kündigung auswählen. Die Domain läuft ja dann mal sicher so lange weiter wie die Laufzeit der Domain beim Registrar gebucht wurde. Damit sparrt man sich die 3.30 CHF für die Domainverwaltung und die ch. Domain ist bei Infomaniak erst noch günstiger. Super!</div><div>Der Transfercode wird auch umgehend erstellt. Mein Vorteil ist, das ich die DNS Zone nicht beim Registrar verwalte, sondern dazu Cloudflare nutze.</div><div>So konnte ich bei Infomaniak die Domain mittels Transfercode registrieren. Der Verweis auf die Nameserver von Cloudflare erstellen. Im Panel von Infomaniak habe ich noch DNSSEC aktiviert und die Einstellungen von Cloudflare übernommen. Dieser Switch geht also praktisch nahtlos vorbei. Innert Minuten/Sekunden.</div><div><br /></div><h3 style="text-align: left;">Mails transferieren</h3><div>Grundsätzlich kann man die bestehenden Mails vom G Suite Konto auf die neuen Postfächer auf verschiedene Arten lösen. Eine Möglichkeit wäre zB. der MBOX Import aus dem erstellten Google Takeout.</div><div>Infomaniak bietet aber die Möglichkeit an, dass man die Mails vom alten Hoster, der in diesem Moment noch aktiv ist, mittels IMAP zu importieren. Das geht je nach Anzahl der Mails einige Stunden. Nach der Kopie, erfolgt eine Benachrichtigung via Mail.</div><div>In der Zwischenzeit, muss man in der DNS Zone, bei den Mail relevanten Einträgen die TTL herunterschrauben. Bei Cloudflare im Auto Modus beträgt diese 5min, nicht weiter schlimm also. Wenn man hier aber mehrere Stunden eingetragen hat, muss man die Zeit auf wenige Minuten heruntersetzen und diese Zeit vor der Migration auch abwarten. Die relevanten Mail Einträge sind ja mindestens die MX Records und üblicherweise der TXT Eintrag für das SPF. Hat man DKIM aktiviert und nutzt DMARC, sind diese natürlich auch zu berücksichtigen.</div><div>Ist man sich nun also sicher das die TTL der DNS Zone tief genug sind, kann man den Switch vollziehen.</div><div>Dazu einfach die entsprechenden Einträge: MX, TXT für SPF auf das Mail Hosting bei Infomaniak verweisen lassen, bzw. korrekt anpassen. Die nötigen Informationen findet man bei Infomaniak.</div><div>Da ich bei Infomaniak externe Nameserver nutze, musste ich den DKIM Eintrag via Support abfragen. Dazu hat es einen Bot, der einem nicht hilft, man am Schluss aber die Frage stellen kann :) Für die Antwort hat man bei Infomaniak an einem Samstag über Mittag nur 28min gebraucht. Weltklasse denke ich.</div><div>So, damit wäre der Switch eigentlich schon erstellt. Kurz und schmerzlos.</div><div>Ich hoffe ihr habt einige Tipps gebrauchen können oder euch zumindest etwas Mut angefressen. Und sonst ja, vielen G Suite Usern wird das ja kein Problem darstellen. Egal, wollte einfach mal wieder etwas schreiben :)</div><div><br /></div><div>Weitere Tipps, Anmerkungen und Fragen natürlich jederzeit gerne in den Kommentaren. cu.</div><div><br /></div><div><br /></div><div><br /></div><div><br /></div><div><br /></div><div><br /></div><div><br /></div><div><br /></div><div><br /></div>Tux0nehttp://www.blogger.com/profile/00729275216054548167noreply@blogger.comtag:blogger.com,1999:blog-4882299951105462615.post-54805409332597971702021-10-11T17:56:00.004+02:002021-10-23T12:39:22.358+02:00Copper7 Access mit pfSense<h1>Copper7 Access mit pfSense</h1><h2>Worum geht es?</h2><div><br /><div class="separator" style="clear: both; text-align: center;"><br /></div>In diesem Beitrag wird die Konfiguration eines <a href="https://www.init7.net/de/internet/no-fiber7/" target="_blank">Copper7</a> Anschlusses von <a href="https://www.init7.net/de/" target="_blank">init7</a> auf der <a href="https://www.pfsense.org/">pfSense</a> besprochen. Und zwar eine mögliche WAN wie auch LAN Konfiguration im Dualstack, also mit IPv6 wie auch IPv4. Copper7 ist das Produkt von init7 für alle Anschlüsse die von Swisscom noch mit Kupferleitungen erschlossen ist. Erhältlich somit in der ganzen Schweiz. Für alle die trotz oder eben wegen Swisscom das beste IP Routing wollen.<table cellpadding="0" cellspacing="0" class="tr-caption-container" style="float: right;"><tbody><tr><td style="text-align: center;"><a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEjYH1qHRwKjOSpu6JJb18nW1LDCa0RF3evK6NmedpMoackRo6YkGaH8zz63pJZQnWJ4yp7dt5eiH6BelDCE1zn00PdVZpk6GmGHNEEaW6LkH9WI9phd7tHMpEUigCpUlbx6xyL7aYvyzAY/s800/Draht_3_rot_zi.jpeg" style="clear: right; margin-bottom: 1em; margin-left: auto; margin-right: auto;"><img border="0" data-original-height="450" data-original-width="800" height="180" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEjYH1qHRwKjOSpu6JJb18nW1LDCa0RF3evK6NmedpMoackRo6YkGaH8zz63pJZQnWJ4yp7dt5eiH6BelDCE1zn00PdVZpk6GmGHNEEaW6LkH9WI9phd7tHMpEUigCpUlbx6xyL7aYvyzAY/s320/Draht_3_rot_zi.jpeg" width="320" /></a></td></tr><tr><td class="tr-caption" style="text-align: center;">Kupfer Symbolbild. Kein original Klingeldraht!<br /><br /></td></tr></tbody></table></div><div>Bei Copper7 erfolgt der WAN Anmeldung von IPv4 über PPPoE. IPv6 wird über DHCP6 PD bezogen. Die Konfiguration eines nativen Fiber7 Anschlusses findest du hingegen <a href="https://www.tuxone.ch/2021/02/fiber7-access-mit-pfsense.html" target="_blank">hier.</a></div><div>Der Beitrag erfolgt mit Inhalten, Text und Bildern von <a href="https://twitter.com/martin_burri" target="_blank">MaBu</a>. Vielen Dank an dieser Stelle für deine Arbeit!</div><div>Als Hardware wird in diesem Beitrag eine <a href="https://ch.avm.de/produkte/fritzbox/fritzbox-7530/" target="_blank">FRITZ!Box 7530</a> mit FRITZ!OS: 07.28 als Modem und eine <a href="https://www.netgate.com/blog/introducing-the-new-netgate-6100" target="_blank">Netgate 6100</a> mit 21.05.1-RELEASE (amd64) verwendet.</div><div>Der Anschluss läuft auf einem BBCS Copper7 70/20mbit VDSL2 (ohne Vectoring).</div><p><br /></p><a name='more'></a><div><br /></div><h2 style="text-align: left;">FritzBox "PPPoE Passthrough" aktivieren</h2><div>Damit die nachgeschaltete Firewall die öffentliche IP direkt auf dem WAN Interface erhält, muss die Fritz!Box zuerst in den PPPoE Passthrough Mode geschaltet werden:</div><b><div><b><br /></b></div>FRITZ!Box 7530 PPPoE-Passthrough aktivieren</b><br />Internet > Zugangsdaten ==> Neuer Internetanbieter erstellen z.B. C7 ==> Anschluss, Anschluss ist ein DSL-Anschluss ==> Zugangsdaten, Nein ==> Verbindungseinstellungen, DSL ATM Einstellungen, VPI = 8, VCI = 35 und Bridged (Routed Bridge Encapsulation) ==> PPPoE-Passthrough, Angeschlossene.... check<br /><br />Nach einer Stunde meldet die FRITZ!Box "keine Internet Verbindung" und die LED auf "Verbindung" der Box leuchtet rot. Im Webinterface kann die Meldung quittiert werden.<div><br /></div><table align="center" cellpadding="0" cellspacing="0" class="tr-caption-container" style="margin-left: auto; margin-right: auto;"><tbody><tr><td style="text-align: center;"><a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEgj_ybq8l7ukwIqeRr_wcob5Wryt1jWE8mgtTPCFcwk-6AVYpCO8NpEnom4u91rte9ipVHz1rhmPSOTNzO7QCRBqhIDF-MBDC8ebe7mB1VWm6p0vUYPCI4L6NINGfMF7ticmn1sXNIDf4g/s2048/FritzBox_1.png" style="margin-left: auto; margin-right: auto;"><img border="0" data-original-height="1202" data-original-width="2048" height="376" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEgj_ybq8l7ukwIqeRr_wcob5Wryt1jWE8mgtTPCFcwk-6AVYpCO8NpEnom4u91rte9ipVHz1rhmPSOTNzO7QCRBqhIDF-MBDC8ebe7mB1VWm6p0vUYPCI4L6NINGfMF7ticmn1sXNIDf4g/w640-h376/FritzBox_1.png" width="640" /></a></td></tr><tr><td class="tr-caption" style="text-align: center;">Fritz!Box Internetanbieter konfigurieren</td></tr></tbody></table><br /><table align="center" cellpadding="0" cellspacing="0" class="tr-caption-container" style="margin-left: auto; margin-right: auto;"><tbody><tr><td style="text-align: center;"><a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEiaMfLtUc9CznWjkfA7wYvsH3_U6KhG5qWLtuIrAZ6Tp_TQWX9CE9wSTT5iHV92Ba7_U1CA55G2pe2GN3cSXlq_i-OSQgOxpZF5BiTN3Sebm2gBVWVo5u-cKT9tvONy_EDUsYeHbA4PisE/s2048/FritzBox_2.png" style="margin-left: auto; margin-right: auto;"><img border="0" data-original-height="1202" data-original-width="2048" height="376" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEiaMfLtUc9CznWjkfA7wYvsH3_U6KhG5qWLtuIrAZ6Tp_TQWX9CE9wSTT5iHV92Ba7_U1CA55G2pe2GN3cSXlq_i-OSQgOxpZF5BiTN3Sebm2gBVWVo5u-cKT9tvONy_EDUsYeHbA4PisE/w640-h376/FritzBox_2.png" width="640" /></a></td></tr><tr><td class="tr-caption" style="text-align: center;">Fritz!Box Verbindungseinstellungen</td></tr></tbody></table><br /><div><br /><br /><h2 style="text-align: left;">WAN</h2><div>Die Einstellungen des pfSense WAN Interfaces wird folgend gemacht:</div><div><br /></div><div><b>General Configuration</b></div>IPv4 Configuration Type: PPPoE<br />IPv6 Configuration Type: DHCP6<br />MTU: blank (1492 gemäss Status/Interfaces)</div><div><br /></div><div class="separator" style="clear: both; text-align: center;"><a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEj8E4pfrLC23OTIh7zea9VkK93fUQ_tNalMXXCv2voHAYq9yTMMANVaChVq2q1oh2rpRekemk9rTG3r-_YiodxY_Wj20UsKK3tgdTx7WDi9k9QauFgNgpRCGq8oLi1rKBSGVXzg2Kq5Ihk/s2300/pfSense_WAN_1.png" style="margin-left: 1em; margin-right: 1em;"><img border="0" data-original-height="956" data-original-width="2300" height="266" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEj8E4pfrLC23OTIh7zea9VkK93fUQ_tNalMXXCv2voHAYq9yTMMANVaChVq2q1oh2rpRekemk9rTG3r-_YiodxY_Wj20UsKK3tgdTx7WDi9k9QauFgNgpRCGq8oLi1rKBSGVXzg2Kq5Ihk/w640-h266/pfSense_WAN_1.png" width="640" /></a></div><br /><div><br /><br /><b>pfSense Interfaces/WAN ==> DHCP6 Client Configuration</b><br />Use IPv4 connectivity as parent interface: check<br />Request only an IPv6 prefix: check<br />DHCPv6 Prefix Delegation size: /48<br />(<a href="https://docs.netgate.com/pfsense/en/latest/interfaces/configure-ipv6.html">https://docs.netgate.com/pfsense/en/latest/interfaces/configure-ipv6.html</a><br />DHCPv6 Prefix Delegation Size<br /><br />If the ISP supplies a routed IPv6 network via prefix delegation, they will publish the delegation size, which can be selected here. It is typically a value somewhere between 48 and 64. For more information on how DHCPv6 prefix delegation works, see DHCP6 Prefix Delegation.<br />Note<br />To use this delegation, another internal interface must be set to an IPv6 Configuration Type of Track Interface (Track Interface) so that it can use the addresses delegated by the upstream DHCPv6 server.)<br />Send IPv6 prefix hint: check</div><div><br /></div><table align="center" cellpadding="0" cellspacing="0" class="tr-caption-container" style="margin-left: auto; margin-right: auto;"><tbody><tr><td style="text-align: center;"><a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEg-l3wgqBm3nes5tVaewiFyul-ndT71YD5lCtNEYyRgKd5p5ICKbFm_-NI_5JuD3RiZxL3-5GfXqRprISw0TxJT99r6iG9lk_acly8wqka1bk52_qf4HevE776e5foL58f0w4mN8SCtVxE/s2300/pfSense_WAN_2.png" style="margin-left: auto; margin-right: auto;"><img border="0" data-original-height="978" data-original-width="2300" height="272" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEg-l3wgqBm3nes5tVaewiFyul-ndT71YD5lCtNEYyRgKd5p5ICKbFm_-NI_5JuD3RiZxL3-5GfXqRprISw0TxJT99r6iG9lk_acly8wqka1bk52_qf4HevE776e5foL58f0w4mN8SCtVxE/w640-h272/pfSense_WAN_2.png" width="640" /></a></td></tr><tr><td class="tr-caption" style="text-align: center;">DHCP6 Client Konfiguration<br /></td></tr></tbody></table><br /><div><br /><br /><b>pfSense Interfaces/WAN ==> PPPoE Configuration</b><br />Username: siehe INIT7 Datasheet<br />Password: siehe INIT7 Datasheet<br />Service name: z.B. Copper7</div><div><br /></div><div><br /></div><table align="center" cellpadding="0" cellspacing="0" class="tr-caption-container" style="margin-left: auto; margin-right: auto;"><tbody><tr><td style="text-align: center;"><a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEiLmSgEvh-ipP3SAaYk0ZHGLUGa8vk-DtGYh2Ky_uGtOsItJZFSj-ea1fsZoIzbmf856sXCRsIvdecoA6AaWOrlshpXt-DrDkhpMtfgxsOobIP1f5bNevknD4avy8cruVSmWrq3e5Hmoyw/s2300/pfSense_WAN_3.png" style="margin-left: auto; margin-right: auto;"><img border="0" data-original-height="1128" data-original-width="2300" height="314" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEiLmSgEvh-ipP3SAaYk0ZHGLUGa8vk-DtGYh2Ky_uGtOsItJZFSj-ea1fsZoIzbmf856sXCRsIvdecoA6AaWOrlshpXt-DrDkhpMtfgxsOobIP1f5bNevknD4avy8cruVSmWrq3e5Hmoyw/w640-h314/pfSense_WAN_3.png" width="640" /></a></td></tr><tr><td class="tr-caption" style="text-align: center;">PPPoE Konfiguration</td></tr></tbody></table><br /><div><br /><br /><br /></div><div><b>pfSense Interfaces/WAN ==> Reserved Networks</b><br />Siehe Tux: Bei den Reserved Networks kann man Block Private Networks wie auch Block Bogon networks aktiv lassen.<br />WAN done!</div><div><br /></div><div><h2 style="text-align: left;">LAN</h2><div><div><table cellpadding="0" cellspacing="0" class="tr-caption-container" style="float: right;"><tbody><tr><td style="text-align: center;"><a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEjzdltBk18NzHPjMr2hLHsyleGRC2fyKp8_7kVVvPQmukb-IgVX1duDbRfHv3V1_aimSO33e6IuhP1MHbwY_HX2xfU23BGby8IwmO47J81dcS7OiioEFu6deCJvIGeySkosuNxsB8F1awI/s934/pfSense_WAN_4.png" style="clear: right; margin-bottom: 1em; margin-left: auto; margin-right: auto;"><img border="0" data-original-height="880" data-original-width="934" height="376" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEjzdltBk18NzHPjMr2hLHsyleGRC2fyKp8_7kVVvPQmukb-IgVX1duDbRfHv3V1_aimSO33e6IuhP1MHbwY_HX2xfU23BGby8IwmO47J81dcS7OiioEFu6deCJvIGeySkosuNxsB8F1awI/w400-h376/pfSense_WAN_4.png" width="400" /></a></td></tr><tr><td class="tr-caption" style="text-align: center;">Interface & Gateway Status<br /><br /></td></tr></tbody></table><b>pfSense Interfaces/LAN ==> General Configuration</b><br />IPv4 Configuration Type: static IPv4<br />IPv6 Configuration Type: Track Interface<br /><br /><b>pfSense Interfaces/LAN ==> Track IPv6 Interface</b><br />IPv6 Interface: WAN<br />IPv6 Prefix ID: z.B. 1 (0000-ffff)<br /><br /><br /><b><br /></b></div><div><b><br /></b></div><div><b>pfSense Status/Dashboard/ Interface & Gateway</b></div><div>Bei Interface WAN & LAN sollten die v4 & v6 Adressen sichtbar sein. Ebenso wird bei Gateway v6 Link-Local angegeben, dass ist normal. Im Falle von Änderungen im LAN Prefix, muss das WAN Interface neu initiiert werden. Dazu einfach Interfaces/WAN öffnen, keine Änderungen vornehmen und wieder Speichern. Anschliessend sollten die Adressen der Gateways mit den korrekten Prefix angezeigt werden.<br />+Hinweise:<br />a) Bisher hatte die FW einmal die v6 Interfaces verloren und diese mussten mit WAN & save wieder adressiert werden. Es gibt die Option in pfSense v4 vor v6 zu verwenden (System/Advanced/Networking => Prefer IPv4 over IPv6)<br />b) Sollte sich PPPoE einmal aufhängen, muss nicht die komplette FW neu gestartet werden. Dazu Interfaces/PPPs entsprechend pppoe1 editieren und unter Link Interface(s) das WAN Interface wieder auswählen.</div><div><br /></div><b>DHCPv6 Server & RA</b><br /></div><div>Unter Services findet man die Konfiguration des DHCPv6 & RA.</div><div>Grundsätzlich reicht es wenn man da unter Router Advertisements den Router Modus auf <b>Unmanaged</b> setzt und das aktiviert. Hier beschreibe ich aber den Assisted Modus. Vorteil ist neben der Autokonfiguration die bei allen Client weiterhin funktioniert, die statische IP Zuweisung von allfälligen Servern.</div><div><br /></div><div>Im Reiter Router Advertisements würde man also folgendes konfigurieren.</div><div><b>Router Mode: </b>Assisted - RA flags</div><div><b>Router Priority: </b>kann man auf normal belassen</div><div><br /></div><div>Im Reiter DHCPv6 Server:</div><div><b>DHCPv6 Server: </b>aktivieren</div><div>Danach ist das Subnet, Subnetmaske und der verfügbare Range bereits durch das Interface vorgegeben.</div><div><b>Range: </b>Diesen muss man nun noch setzen. Da man nicht von vielen statischen IP's ausgeht, kann man hier einen kleinen Bereich von zB 1000 Adressen definieren ;) </div><div><br /></div><div>Somit kann man in diesem Reiter unter DHCPv6 Static Mappings for this Interface eben statische Mappings zB für NAS, Server oder Drucker definieren.</div><div><br /></div><table align="center" cellpadding="0" cellspacing="0" class="tr-caption-container" style="margin-left: auto; margin-right: auto;"><tbody><tr><td style="text-align: center;"><a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEgEpmei-lpCmNzhZusaDGcfeQZYk8eOms7F0ECrHjEGCChqVmlZ3GO2C6pUuaQe8azbHqB8gqF1SYuRFFv63Q8G1a-Pc0bzE2HX-lAtONy6NfJ1UZczP7uISFti3FHeDaR9wKTD05r4Qe8/s1157/2021-02-06_12-20-11.png" style="margin-left: auto; margin-right: auto;"><img border="0" data-original-height="611" data-original-width="1157" height="338" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEgEpmei-lpCmNzhZusaDGcfeQZYk8eOms7F0ECrHjEGCChqVmlZ3GO2C6pUuaQe8azbHqB8gqF1SYuRFFv63Q8G1a-Pc0bzE2HX-lAtONy6NfJ1UZczP7uISFti3FHeDaR9wKTD05r4Qe8/w640-h338/2021-02-06_12-20-11.png" width="640" /></a></td></tr><tr><td class="tr-caption" style="text-align: center;">LAN Router Advertisements</td></tr></tbody></table><div><br /></div><h3>Firewall Regeln</h3><div>Kommen wir nun noch zum letzten Punkt was den Access angeht. Die Firewall Regeln, klar da wir hier ja pfSense verwenden.</div><div><br /></div><div>Für das LAN braucht es Regeln die ausgehenden Traffic auch für IPv6 erlauben. Per default ist Outbound sowohl für IPv4 als auch IPv6 erlaubt. Trotzdem nochmals prüfen ob das so ist und allenfalls das Ruleset bei limitierendem Outbound entsprechend anpassen.</div><div>Mit dieser Regel ist alles erlaubt.</div><div><br /></div><table align="center" cellpadding="0" cellspacing="0" class="tr-caption-container" style="margin-left: auto; margin-right: auto;"><tbody><tr><td style="text-align: center;"><a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEiqjSJgLuE3aZ0TzohSb70YWQwerGefkCG87dEqEtYnXFP0vKZmqb8N9W5-bKi91yAmvRKSV7p5tpjvLsjFcwWpy9a2Cyb0WxxuH__oKFpiV57i0wt26gz8fVtRiPbK2lW6SqyzTQuArt0/s1153/2021-02-06_12-32-09.png" style="margin-left: auto; margin-right: auto;"><img border="0" data-original-height="861" data-original-width="1153" height="478" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEiqjSJgLuE3aZ0TzohSb70YWQwerGefkCG87dEqEtYnXFP0vKZmqb8N9W5-bKi91yAmvRKSV7p5tpjvLsjFcwWpy9a2Cyb0WxxuH__oKFpiV57i0wt26gz8fVtRiPbK2lW6SqyzTQuArt0/w640-h478/2021-02-06_12-32-09.png" width="640" /></a></td></tr><tr><td class="tr-caption" style="text-align: center;">Default Outbound Rule</td></tr></tbody></table><div><br /></div><p>Bei IPv6 Traffic macht es besonders Sinn nicht alle ICMP Meldungen zu verwerfen. Daher noch mein Tipp eine entsprechende WAN Regel zu erstellen.</p><div><br /></div><div>Eine Regel die auf WAN Anfragen IPv6 ICMP mit den ICMP Subtypes zulässt: echoreg, echoreq, paramprob, timex, toobig und unreach.</div><div><br /></div><div class="separator" style="clear: both; text-align: center;"><a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEgZWOTi3vMd5ehiAPfYF7x2NBob3s-IpSagZi2daDxYh49U6miizTGdjUf2U7ccO27RLWcjSdmSbu0kJ_LrCy3A-wOrpLV6J8kAuMmSqhnmKFmYuttu8muYgLcbhCFtZSyvZ3hFL4WvwPQ/s1112/2021-02-06_12-34-22.png" style="margin-left: 1em; margin-right: 1em;"><img border="0" data-original-height="67" data-original-width="1112" height="38" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEgZWOTi3vMd5ehiAPfYF7x2NBob3s-IpSagZi2daDxYh49U6miizTGdjUf2U7ccO27RLWcjSdmSbu0kJ_LrCy3A-wOrpLV6J8kAuMmSqhnmKFmYuttu8muYgLcbhCFtZSyvZ3hFL4WvwPQ/w640-h38/2021-02-06_12-34-22.png" width="640" /></a></div><p><br /></p><div><br /><div><br /></div><div>So das wäre eigentlich schon mal alles für eine grundlegende Konfiguration. Sollten die Interfaces, besonders bei der Track Interface Konfiguration nicht funktionieren, so hilft ein Reboot sofern alles korrekt abläuft.</div><div><br /></div><div><br /></div><div><br /></div><div><br /></div><div>Solltest du Interesse an einem init7 Anschluss haben. So kannst du gerne <a href="https://twitter.com/martin_burri" target="_blank">MaBu's</a> oder meinen Empfehlungscode verwenden. Du bekommst dafür die Hardware um <a href="https://www.init7.net/de/init7-empfehlen/" target="_blank">111 CHF günstiger, wir dafür einen Rabatt von 111 CHF auf die nächste Jahresrechnung</a>. </div><div>(Der Beitrag wurde ohne technische oder finanzielle Unterstützung durch init7 erstellt)</div></div><div><br /></div><div>Hast du Fragen oder Anregungen. Lass es uns wissen. Gerne werden wir diese versuchen zu beantworten.</div><div class="separator" style="clear: both; text-align: center;"><br /></div></div><br />Tux0nehttp://www.blogger.com/profile/00729275216054548167noreply@blogger.comtag:blogger.com,1999:blog-4882299951105462615.post-22315174439376110992021-08-09T17:32:00.004+02:002021-08-16T08:20:47.413+02:00Vergleich der NextGen TV Angebote auf Apple TV in der Schweiz<h1 style="text-align: left;"><br /> Der Schweizer OTT IPTV Vergleich 2021</h1><div><br /></div><div><br /></div><div><table cellpadding="0" cellspacing="0" class="tr-caption-container" style="float: right;"><tbody><tr><td style="text-align: center;"><a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEjjtKho5GABj6m2mumxiC6kE0JX06QL0OgNx9CdkVPc9VeSJEY4BHxFkyLFnZXEI1bTqTSEBFEiBhcU3GKcxksIYNuxWUNPhGDS_PcQBIj5JAQtqtDyxFiI_peL8Q9F4yVEmE1o8CStDh8/s2048/Bildschirmfoto+2021-08-08+um+15.29.31.png" style="clear: right; margin-bottom: 1em; margin-left: auto; margin-right: auto;"><img border="0" data-original-height="1134" data-original-width="2048" height="221" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEjjtKho5GABj6m2mumxiC6kE0JX06QL0OgNx9CdkVPc9VeSJEY4BHxFkyLFnZXEI1bTqTSEBFEiBhcU3GKcxksIYNuxWUNPhGDS_PcQBIj5JAQtqtDyxFiI_peL8Q9F4yVEmE1o8CStDh8/w400-h221/Bildschirmfoto+2021-08-08+um+15.29.31.png" width="400" /></a></td></tr><tr><td class="tr-caption" style="text-align: center;">Apple TV Homescreen</td></tr></tbody></table><div><br /></div><div><br /></div>Hallo miteinander. In diesem Beitrag vergleiche ich die aktuellen TV Angebote der Schweiz in Bezug auf die Apps über die Apple TV Box.</div><div>Wer tritt in diesem Vergleich an? Es sind dies Swisscom mit seinem blue TV air, dass es neu auch für die Apple Box gibt. Weiter die bekannten Streaminganbieter Teleboy, Wilmaa und Zattoo. </div><div>Als Streaming Gerät habe ich bewusst die <a href="https://www.apple.com/chde/apple-tv-4k/" target="_blank">Apple TV Box</a> gewählt. Es gehört mit der Unterstützung von <a href="https://www.dolby.com/technologies/dolby-vision/" target="_blank">Dolby Vision</a> und <a href="https://www.dolby.com/technologies/dolby-atmos/" target="_blank">Atmos</a> sowie aller aktuellen Streamingdiensten zu einem der besten Player auf dem Markt. Was hier zB. mit der Sendung <a href="https://www.apple.com/tv-pr/originals/tiny-world/" target="_blank">Tiny World auf Apple TV+</a> bezüglich Bild und Ton als Streaming übertragen wird, kann man als Referenz betrachten. Besser wird es nur noch mit einer echten Bluray in UHD.</div><span><a name='more'></a></span><div><br /></div><h2 style="text-align: left;">Der Preis ist heiss</h2><div>Oft entscheidet sich der Kunde über den Preis für ein Angebot.</div><div>Alle Streaminganbieter haben free Versionen ihrer Dienste die man gratis nutzen kann. Bei einigen ist das Streaming via App auf der Apple TV Box aber den Bezahlabos vorenthalten.</div><div><br /></div><div style="text-align: left;"><b><a href="https://tv.blue.ch/home" target="_blank">blue TV air</a></b></div><div>Man glaubt es kaum aber es ist so. Das günstigste Angebot für eine App auf der Apple TV Box bietet die Swisscom. Bereits mit 0 CHF kann man Streams auf der Box empfangen. blue TV air free bietet über 250 Sender, davon über 100 in HD (720p50). Gemäss Senderliste untertreibt hier Swisscom sogar und es sind insgesamt 337 Sender, davon 122 in HD. Speicher ist bei der gratis Version keiner dabei und es wird beim Senderwechsel eine Werbung angezeigt. Allerdings lässt sich diese mit einem Werbeblocker auf dem DNS Resolver bisweilen eliminieren. Mit einem Abo für 10 CHF monatlich, bekommt man einen Speicher von 60h in HD und 30h Replay. Eine jährliche Abrechnung wie auch weitere Abos gibt es nicht. Die Kündigung kann monatlich erfolgen.<br /></div><div><br /></div><div style="text-align: left;"><b><a href="https://zattoo.com/ch" target="_blank">Zattoo</a></b></div><div>Auch mit Zattoo lässt sich gratis TV schauen. Allerdings ist die Nutzung hier auf 30h pro Monat beschränkt. Man empfängt dabei 261 Sender, in der Free Version ist davon aber keiner in HD!</div><div>Beim Premium Abo für 12 CHF pro Monat fällt diese Restriktion. Hier bekommt man von 262 Sendern, 168 in HD (720p). 1000 Sendungen lassen sich aufnehmen und man hat 7 Tage Replay.</div><div>Erst beim Ultimate Abo werden auch Sender in Full HD aufgeschaltet. 72 von 262 Sendern empfängt man dann mit einer Auflösung von 1080p. Der Speicher verdoppelt sich auf 2000 Aufnahmen. Allerdings kostet dieses Abo auch bereits schon 20 CHF pro Monat. Kündigung kann monatlich erfolgen. Etwas günstiger ist es wenn man das Abo mit 200 CHF für ein Jahr löst (<a href="https://support.zattoo.com/hc/de/articles/360006922173-Preise-Abos-und-Laufzeiten" target="_blank">wären 16.65 CHF pMt</a>)</div><div><br /></div><div style="text-align: left;"><b><a href="https://www.wilmaa.com/" target="_blank">Wilmaa</a></b></div><div>Bei Wilmaa startet das TV Vergnügen auf der Apple TV Box mit dem Abo Me plus, dass es für 12.90 CHF pro Monat gibt oder bei jährlicher Abrechnung für 129 CHF ( wären 10.75 CHF pro Monat)</div><div>Über 260 Sender, davon über 140 in HD sowie über 70 in Full HD. Inkludiert sind 1500h Speicher, und 7 Tage Replay.</div><div>Das Abo gibt es auch noch als Friends & Family. Dieses Abo kostet pro Monat 17.90 CHF und bei jährlicher Abrechnung 179 CHF ( wären 14.90 pro Monat). Mehrwert gegenüber dem Me plus ist die Anzahl Benutzer. Bis zu 4 Personen können sich anmelden, wobei jeder seinen eigenen Speicher mit 1500h erhält.</div><div><br /></div><div style="text-align: left;"><b><a href="https://www.teleboy.ch/tv" target="_blank">Teleboy</a></b></div><div>Teleboy kann man ab dem Abo Comfort auf der Apple TV Box nutzen. Dieses kostet 14.50 CHF pro Monat. Bei einer jährlichen Abrechnung sind es 140 CHF (wären 11.65 CHF pro Monat).</div><div>Das teurere Abo mit mehr dauerhaftem Speicher und Qualität (70 Sender in Full HD) kostet 19.50 CHF pro Monat oder bei jährlicher Abrechnung 185 CHF (wären 15.40 pro Monat)</div><div><br /></div><h2 style="text-align: left;">Speicher</h2><div>Kommen wir zum Speicher der Aufnahmen. Wer hat den grössten und gibt es eventuell Restriktionen?</div><div><br /></div><div><div class="separator" style="clear: both; text-align: center;"><a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEgRaop4kxaj6wWwwHEsmYr0P__xdmeAnYR0FGUc74jTHTs9ek82iimoCZOJYI10EiN_BsUYmxZWloR61IZF0GUwoRbH6yftEJspbMicPRA0oRR7Sv01PNReFEu26txiOcRXABSWEEYaYH4/s500/Storage-Speicher.jpg" style="clear: left; float: left; margin-bottom: 1em; margin-right: 1em;"><img border="0" data-original-height="333" data-original-width="500" height="213" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEgRaop4kxaj6wWwwHEsmYr0P__xdmeAnYR0FGUc74jTHTs9ek82iimoCZOJYI10EiN_BsUYmxZWloR61IZF0GUwoRbH6yftEJspbMicPRA0oRR7Sv01PNReFEu26txiOcRXABSWEEYaYH4/s320/Storage-Speicher.jpg" width="320" /></a></div><br />Bei Zattoo erhält man beim <a href="https://zattoo.com/ch/angebote" target="_blank">Ultimate Abo</a> (20 CHF pMt) 2000 Sendungen die man aufnehmen kann. Dabei spielt es keine Rolle ob es sich um 5 Minuten Aufnahmen oder 4 stündige Sportsendungen handelt. So gesehen ist der Speicher massiv. Etwas weniger Speicher bekommt man beim <a href="https://zattoo.com/ch/angebote" target="_blank">Abo Premium</a>. Hier sind es noch1000 Sendungen die man aufnehmen kann.</div><div><br /></div><div><div><br /></div><div><br /></div><div><br /></div><div><br /></div><div>Den zweitmeisten Speicher bekommt man bei Teleboy. Oder ist es gar der Grösste? Im <a href="https://www.teleboy.ch/tv" target="_blank">MAX Abo</a> enthalten sind 1500h Speicher. Die Speicherdauer ist unbegrenzt. Kosten ab 15.40 CHF pMt.</div><div>Beim Comfort Abo ist die Speicherdauer mit 1200h etwas kleiner (ab 11.65 CHF pMt), die Aufnahmedauer beträgt aber nur 1 Jahr. Danach werden die Aufnahmen gelöscht, sofern man nicht vorsorgt. Wie das geht, erkläre ich später.</div></div><div><br /></div><div><br /></div><div>Platz 3 bekommt Wilmaa mit dem Abo <a href="https://www.wilmaa.com/de/premium/" target="_blank">Friends and Family</a> (ab 14.90 CHF pMt). Der Speicher beträgt hier 1500h, kann aber jeweils für bis zu 4 Personen, Familie oder Freunde genutzt werden. Damit hat man 4 x 1500h. Allerdings flunkert hier Wilmaa. Die Speicherdauer bezieht sich auf Aufnahmen in SD. In HD wird der doppelte Platz benötigt. So werden aus 1500h nur die Hälfte in HD. Daher Platz 3.</div><div>Reichen einem oder der Familie die 1500h (750h in HD) aber, genügt auch das abo <a href="https://www.wilmaa.com/de/premium/" target="_blank">Me Plus</a> (ab 10.75 CHF pMt). Auch hier kann man den Speicher mit einem Trick erweitern. Mehr dazu auch hier später.</div><div><br /></div><div><br /></div><div>Etwas abgeschlagen ist Swisscom mit seinem <a href="https://www.blue.ch/de/angebote" target="_blank">blue TV air</a> (10CHF pMt). Der Speicher beträgt hier nur 60h in HD. Die Speicherdauer beträgt dabei 2 Jahre. Langzeitaufnahmen welche man länger als 2 Jahre behalten will, kann man in <a href="https://www.swisscom.ch/de/privatkunden/hilfe/blue-tv/aufnahmen.html" target="_blank">ein Archiv</a> von maximal 25h speichern.</div><div><br /></div><h2 style="text-align: left;">Downloadfunktion</h2><div><div class="separator" style="clear: both; text-align: center;"><a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEhSfr0eKXKpPn5FKuc0sKnjSluitwEQkuBHGNqjiIdi-qJK8BpI7zBj_cv5Y0yWi_WqrRgQlN5OWGIo6PN5pqOLNrnczKbqylrqEpmm7uGDIzMaWo_2kcK9UtuvWzroK1TXo7XzuarCAr8/s208/itunes-icloud-status-available-for-download-icon.png" style="clear: right; float: right; margin-bottom: 1em; margin-left: 1em;"><img border="0" data-original-height="188" data-original-width="208" height="188" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEhSfr0eKXKpPn5FKuc0sKnjSluitwEQkuBHGNqjiIdi-qJK8BpI7zBj_cv5Y0yWi_WqrRgQlN5OWGIo6PN5pqOLNrnczKbqylrqEpmm7uGDIzMaWo_2kcK9UtuvWzroK1TXo7XzuarCAr8/s0/itunes-icloud-status-available-for-download-icon.png" width="208" /></a></div><br />Kommen wir zum "mehr davon später".</div><div>Ein Online Speicher ist ja gut und recht. Was ist aber mit den Aufnahmen wenn man den Anbieter kündet oder das Abo unterbricht? Richtig, die Aufnahmen sind alle verloren. Zudem kann es ja sein das der Speicher doch mal voll wird. Kann man sich da behelfen?</div><div>Ja man kann indem man die Aufnahmen herunterlädt und sich selber ein dauerhaftes Archiv anlegt. Gemeint ist damit der echte Download der Aufnahmen als mp4 Datei und nicht etwa die offline Funktion in einigen Apps, mit der sich die Aufnahmen doch nur innerhalb der App anschauen lassen.</div><div><br /></div><div>Diese Art von Downloadfunktion bietet sowohl Wilmaa als auch Teleboy an. Damit heben sie sich klar von Zattoo und Swisscom blue TV ab.</div><div><br /></div><div><b>Teleboy </b>bietet seine <a href="https://support.teleboy.ch/de/support/solutions/articles/48000256768-wie-kann-ich-sendungen-aufnehmen-und-herunterladen-" target="_blank">Downloadfunktion</a> bei allen Abos von Plus, Comfort und MAX an. Und zwar DRM frei, sprich man kann sie auf jedem Gerät abspielen und zur Qualität die dem Abo zur Verfügung steht.</div><div>Beim Abo MAX (ab 15.40 CHF pMt) wären dies also bis zu 1080p und Dolby Digital Audio. Etwas weniger Qualität (720p) und ohne Dolby sind es beim Comfort Abo (ab 11.65 CHF pMt).</div><div>Das Abo Plus lasse ich aussen vor, weil die App dazu nicht auf der Apple TV Box genutzt werden kann.</div><div>Der Download lässt sich in 3 verschiedenen Qualitätsstufen auslösen. Für kleinere Screens reicht der Download mit der geringeren Auflösung.</div><div><br /></div><div>Auch <b>Wilmaa </b>bietet eine Downloadfunktion. Diese steht ab dem Abo Me plus und natürlich auch dem Friends & Family zur Verfügung. Hier kann man sich aber nicht für eine von 3 Qualitätsstufen entscheiden. Der Download erfolgt mit einer gegenüber den 1080p Streams etwas reduzierten Qualität.</div><div><br /></div><h2 style="text-align: left;">Replay</h2><div>Replay ist bei allen Angeboten die man auf der Apple TV Box nutzen kann vorhanden, ausgenommen man nimmt das gratis Angebot der Swisscom, blue TV Air free.</div><div>Die Replaydauer beträgt bei allen, ausgenommen der Swisscom 7 Tage. Bei Swisscom enthält das kostenpflichtige Abo blue tv air für 10 CHF pMt 60h Replay.</div><div><br /></div><h2 style="text-align: left;">Streamqualität</h2><div><br />Ein für mich wichtiger Punkt, wenn nicht der wichtigste, ist die Qualität der Streams.</div><div>Hier gibt es Unterschiede.</div><div><br /></div><div><table cellpadding="0" cellspacing="0" class="tr-caption-container" style="float: left;"><tbody><tr><td style="text-align: center;"><a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEhfuSHMVHT9BzFfgG6Drs2N7uxnrKOrZvIxFvXGkjEPr4Ob9VUzKsx8wLm-uPHHIF2bx-1RawOfSgXn1DpE4P0o-KN6figkNlYBr8fZchLmSnmLhjcIc9A29EbAdFYULH3L6pIhYDk_xf4/s1920/1920px-Digital_video_resolutions_%2528VCD_to_4K%2529.svg.png" style="clear: left; margin-bottom: 1em; margin-left: auto; margin-right: auto;"><img border="0" data-original-height="1013" data-original-width="1920" height="169" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEhfuSHMVHT9BzFfgG6Drs2N7uxnrKOrZvIxFvXGkjEPr4Ob9VUzKsx8wLm-uPHHIF2bx-1RawOfSgXn1DpE4P0o-KN6figkNlYBr8fZchLmSnmLhjcIc9A29EbAdFYULH3L6pIhYDk_xf4/s320/1920px-Digital_video_resolutions_%2528VCD_to_4K%2529.svg.png" width="320" /></a></td></tr><tr><td class="tr-caption" style="text-align: center;">Bildauflösungen im Vergleich (Quelle de.Wikipedia.org)</td></tr></tbody></table>Zattoo, Wilmaa und Teleboy geben sich bezüglich der Streams nichts. Unterschieden wird nur zwischen den Abos selber. Kein Wunder, werden die Streams selber alle von Zattoo geliefert. Zattoo ist hier der Lieferant, Wilmaa und Teleboy gestalten aber die Produkte um diese Streams selber. Die Streams von Salt TV wie auch Sunrise TV neo sind übrigens auch von Zattoo. Zattoo hat hier also im Grunde genommen bereits eine recht hohe Marktmacht was die OTT Streams als Lieferant anbelangt.</div><div><br /></div><div>Kommen wir aber nun zur Qualität die ich hier Subjektiv ermittelt habe.</div><div><br /></div><div>Die beste Qualität erhält man mit bis zu 1080p50 bei den <a href="https://de.wikipedia.org/wiki/Full_HD" target="_blank">Full HD Sendern</a> bei bei Zattoo und den Streambezügern Wilmaa wie auch Teleboy. Allerdings nur in den jeweiligen Premium Abos. Erkennbar an dem Zusatz Full HD in den Produktebeschreibungen.</div><div>Das bedeutet bei Teleboy: Abo MAX 70 Sender in Full HD (ab 15.40 pMt)</div><div>Zattoo: Abo Ultimate 72 Sender in Full HD (ab 16.65 CHF pMt)</div><div>Wilmaa: Abo me Plus 70 Sender in Full HD (ab 10.75 CHF pMt)</div><div><br /></div><div>Das Bild empfinde ich dabei selbst auf einem 65 Zoll TV als knackig scharf mit einen guten Tiefengefühl. Gemessen kommt man je nach Inhalt auf etwa 8mbps.</div><div><br /></div><div>Swisscom kommt mit seinem blue TV nicht an die Bildqualität der Konkurrenten heran. Das Material wird auch nur in 720p50 gesendet. Daher ist das Bild vor allem auf grösseren Geräten gegenüber den Konkurrenz verwaschener. Gemessen sind das etwa 6Mbps. </div><div>Das gilt sogar für die Vorzeige-STBen der Swisscom selber, welche man bei einem blue TV Abo nutzt. Auch hier liegt das Material meist nur in 720p50 vor. Einige Sender überträgt man in 1080i50 was gerade bei Sportsendungen kein Vorteil ist. Ein Vergleich der Konkurrenz ist also auch für Swisscom blue TV Kunden mit einer Settop-Box interessant.</div><div><br /></div><div><br /></div><h2 style="text-align: left;">Sound</h2><div>Beim Sound verhält es sich ähnlich wie bei der Bildqualität. Den besten Sound in maximal <a href="https://de.wikipedia.org/wiki/5.1" target="_blank">Dolby 5.1</a> bekommt man bei den Anbietern nur bei den Premium Angeboten. Und da auch klar, jeweils nur bei den Sendern und Sendungen die auch so übertragen werden.</div><div>Ausnahme bildet auch hier Swisscoms blue TV air, welches nur in Stereo übertragen wird.</div><div><br /></div><h2 style="text-align: left;">Latenz</h2><div>Latenz ist die Verzögerung der Bilder gegenüber anderen Signalquellen. Das ist besonders ärgerlich wenn mal wieder viele eine Fußball WM schauen und um die Wette jubeln. Nichts ist ärgerlicher als wenn die Nachbarn jubeln / schreien bevor der Ball auf dem eigenen Schirm im Tor ist.</div><div>Als Referenz habe ich die <a href="https://www.init7.net/de/support/faq/TV7-Voraussetzungen/" target="_blank">Multicast Live Streams</a> auf SRF2 von <a href="https://www.init7.net/de/tv/angebot/" target="_blank">TV7</a>, dem TV Produkt von<a href="https://www.init7.net/de/" target="_blank"> init7</a> genommen. Dieses hat zB. gegenüber dem UPC Cablecom Signal aus der TV Dose direkt auf den TV bereits 4s Vorsprung. Also mit einem TV7 Stream ist der Primeur beim Jubeln ziemlich sicher.</div><div><br /></div><div>Auf den letzten Platz kommt blue TV mit 18s Verzögerung gegenüber TV7 Multicast. Was aber immerhin doch noch schneller ist als die HLS Streams die TV7 selber anbietet.</div><div><br /></div><div>Wilmaa, Teleboy und Zattoo kommen alle auf eine Verzögerung von etwa 10s gegenüber TV7.</div><div><br /></div><div>Klar. Alle <a href="https://de.wikipedia.org/wiki/Over-the-top_content" target="_blank">OTT</a> Apps haben gegenüber dem Live Signal eine zusätzliche Verzögerung da sie noch über andere Encoder müssen und nicht mittels Multicast gesendet werden. Trotzdem, Verzögerungen von über 40s findet man nicht mehr.</div><div><br /></div><h2 style="text-align: left;">Look and feel</h2><div><br /></div><div><table cellpadding="0" cellspacing="0" class="tr-caption-container" style="float: left;"><tbody><tr><td style="text-align: center;"><a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEhbqyL_TWfeO-L0nZ67DVTWgATR_uwp6tREgoG6b2jTmtzfNkNdviNGSeng6zukrR-n-E-oJOqcRij9d8O6piKA7NHS_ZS4T2wzA16BYQGRPvNZufiFTRsM6S1nk-3Kg8NK4yeRjeHset4/s2048/Bildschirmfoto+2021-08-08+um+15.35.11.png" style="clear: left; margin-bottom: 1em; margin-left: auto; margin-right: auto;"><img border="0" data-original-height="1216" data-original-width="2048" height="190" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEhbqyL_TWfeO-L0nZ67DVTWgATR_uwp6tREgoG6b2jTmtzfNkNdviNGSeng6zukrR-n-E-oJOqcRij9d8O6piKA7NHS_ZS4T2wzA16BYQGRPvNZufiFTRsM6S1nk-3Kg8NK4yeRjeHset4/s320/Bildschirmfoto+2021-08-08+um+15.35.11.png" width="320" /></a></td></tr><tr><td class="tr-caption" style="text-align: center;">Zattoo Highlights Screen</td></tr></tbody></table><b>Zattoo</b> bietet bezüglich der Navigation ein gutes Erlebnis auf der Apple TV Box. Das "zappen" mittels wischen geschieht wirklich flott. Das Spulen mittels Touch funktioniert gut und präzise.</div><div>Die App selber erscheint in einem modischen dunkel. Der TV Guide ist im gewohnten Querformat gehalten und sehr gut lesbar. Abgesehen von der Senderliste gibt es aber nicht viele Einstellungsmöglichkeiten. Etwas Hilfe im linearen TV Jungel bietet die Highlights Seite an. In verschiedenen Themenwelten findet man ausgewählte Inhalte. Das Ganze ist aber relativ rudimentär gehalten. Ebenfalls findet sich bei Zattoo noch ein on Demand Service, der einige Filme gratis zum streamen anbietet. Klar, die ganz grossen Blockbuster findet man hier nicht. Die Apps für die kleinen mobilen Screens entspricht nahezu 1:1 der Apple TV Version. Hier findet man sich also schnell zurecht.</div><div><br /></div><div><br /></div><div><br /></div><div><br /></div><div><br /></div><div><table cellpadding="0" cellspacing="0" class="tr-caption-container" style="float: right;"><tbody><tr><td style="text-align: center;"><a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEi_3M4HndtZ_NX5gIYHXbMqQCFX48ATGcfmeiuJzm7B5NrLICcBKl47k1xb8UOd9gaoXPX8H2x3TOsasjnPpbWjKq8bm9NWH8Wh3NVzEgaTJfv0qK9yQGWOglGolM1NGETGgSaB8OHhReI/s2048/Bildschirmfoto+2021-08-09+um+16.55.49.png" style="clear: right; margin-bottom: 1em; margin-left: auto; margin-right: auto;"><img border="0" data-original-height="1280" data-original-width="2048" height="200" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEi_3M4HndtZ_NX5gIYHXbMqQCFX48ATGcfmeiuJzm7B5NrLICcBKl47k1xb8UOd9gaoXPX8H2x3TOsasjnPpbWjKq8bm9NWH8Wh3NVzEgaTJfv0qK9yQGWOglGolM1NGETGgSaB8OHhReI/s320/Bildschirmfoto+2021-08-09+um+16.55.49.png" width="320" /></a></td></tr><tr><td class="tr-caption" style="text-align: center;">TV Guide in Wilmaa</td></tr></tbody></table><b>Wilmaa</b> erscheint in einem Dunkelblau. Gegenüber den anderen Apps mutet sich die Oberfläche chaotischer an. Das liegt vermutlich an der Schriftart wie auch der poppigen Erscheinung. Diese muss einem gefallen. Der Homescreen beinhaltet aber auch alles was man sich gewohnt ist wie, Highlights über verschiedene Themenwelten, ist aber nicht personalisiert. Eine Art zappen ist auch bei Wilmaa möglich, indem man im live Bild nach rechts wischt oder man nach links wischt und über den Live TV Guide den Sender wechselt.</div><div>Komisch ist, das bei Wilmaa einige Minuten vergehen, bis eine Aufnahme aus dem Replay Guide als Aufnahme gespeichert wird. Hier verstreichen irgendwie künstliche Minuten obwohl man nur einen Flag setzen muss.</div><div><br /></div><div><br /></div><div><br /></div><div><br /></div><div><br /></div><div><table cellpadding="0" cellspacing="0" class="tr-caption-container" style="float: left;"><tbody><tr><td style="text-align: center;"><a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEgd8odvCWCHK6ooy4I9ySQ2fgdWeICd88NBogJSoJoM1le0BqIuN8-oPQipNU7vBb-D9t9VVBophg3f98i-wFb2OUxc2q_8PKIZnSPD1Dl5GQLG-MG_drrgubwtZa9cF02WyxgZf7oBWRc/s2048/Bildschirmfoto+2021-08-09+um+16.58.37.png" style="clear: left; margin-bottom: 1em; margin-left: auto; margin-right: auto;"><img border="0" data-original-height="1280" data-original-width="2048" height="200" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEgd8odvCWCHK6ooy4I9ySQ2fgdWeICd88NBogJSoJoM1le0BqIuN8-oPQipNU7vBb-D9t9VVBophg3f98i-wFb2OUxc2q_8PKIZnSPD1Dl5GQLG-MG_drrgubwtZa9cF02WyxgZf7oBWRc/s320/Bildschirmfoto+2021-08-09+um+16.58.37.png" width="320" /></a></td></tr><tr><td class="tr-caption" style="text-align: center;">Homescreen in Teleboy</td></tr></tbody></table><b>Teleboy</b> macht einen aufgeräumten seriösen Eindruck, anders als es das Logo mit dem Affen vermuten lässt. Die App lässt sich am meisten personalisieren und bietet einige Einstellungen unter anderem auch der Bildqualität und Audio, welche man an den Internet Access bzw. dessen Geschwindigkeit und Qualität anpassen kann. Mit einem init7 Anschluss wählt man natürlich die Beste Qualität.</div><div>Ob hell oder dunkel, hier überlässt man die Wahl des Designs dem Kunden und das ist super.</div><div>Der Homescreen enthält auch hier verschiedenen Themenwelten. Die Empfehlungen sind personalisiert und machen sogar Sinn. Als Zusatz bietet Teleboy auch noch eine <a href="https://www.teleboy.ch/player/channel/3/fooby/video/380/pies-dekorieren?tab=ondemand&playersize=small#community" target="_blank">Community Funktion</a> an die man nutzen kann. Durch die Vernetzung mit einem Community Mitglied, hat man Zugriff auf seine Aufnahmen. Damit ist es möglich im Community Katalog zu stöbern und eventuell genau den Film zu finden den man in dem Moment halt gerade schauen will. Praktisch hat man damit bei Teleboy einen on Demand Service der auf Aufnahmen der Mitglieder basiert. Cool. Wenn also Netflix oder Disney+ wieder mal genau nicht den Film oder die Serie streamen die man schauen möchte. In der Teleboy Community ist die Chance hoch, genau diese Aufnahme trotzdem zu finden.</div><div>Wenn es noch etwas zu verbessern gibt, wäre es hier das Zappen. Dies flutsch nicht ganz so flüssig wie direkt bei Zattoo.</div><div><br /></div><div><br /></div><div><br /></div><div><br /></div><div><b>blue TV air </b>sieht auf den ersten Blick aus wie das Original. Hat auf der Apple TV App aber noch viel Potential zur Verbesserung. Der Homescreen kommt im mittlerweile gewohntem Dunkel daher, was nicht allen Kunden gefallen hat, die Bilder der Filme in der Übersicht aber besser mit dem Hintergrund verschmelzen lässt.<table cellpadding="0" cellspacing="0" class="tr-caption-container" style="float: right;"><tbody><tr><td style="text-align: center;"><a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEiUnDTfUipvRhFj3x5TbZdCSYwU8xy1EPtHKg2PdxnPyKqyloopNR3dl3kzdSvp7mZMsaFS4LyAMOAQNc8bWuExFYQpFZDlCtIBF5iwbt1bjYpp2pjV7z9M29GCt8_N1ze4sM17AVpjK_4/s2048/Bildschirmfoto+2021-08-08+um+15.27.02.png" style="clear: right; margin-bottom: 1em; margin-left: auto; margin-right: auto;"><img border="0" data-original-height="1153" data-original-width="2048" height="225" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEiUnDTfUipvRhFj3x5TbZdCSYwU8xy1EPtHKg2PdxnPyKqyloopNR3dl3kzdSvp7mZMsaFS4LyAMOAQNc8bWuExFYQpFZDlCtIBF5iwbt1bjYpp2pjV7z9M29GCt8_N1ze4sM17AVpjK_4/w400-h225/Bildschirmfoto+2021-08-08+um+15.27.02.png" width="400" /></a></td></tr><tr><td class="tr-caption" style="text-align: center;">blue TV air "Zappbalken"</td></tr></tbody></table><br /></div><div>Die App startet immer in diesem Homescreen. Damit man zum live TV kommt, muss man also jedes mal zuerst über den TV Guide einen Sender wählen. Das ist nervig.</div><div>Was die App aber jetzt schon besser macht, ist die Zapping Funktion. Hier hat man sich wirklich bereits was überlegt und nicht nur bei der Konkurrenz abgeschaut. Mit einem Wisch nach oben blendet sich die Senderliste ein mit dem aktuellen Programm ohne das dies gross das laufende Bild stört. So kann man durch die Liste wischen und auf einen anderen Sender wechseln. Was auch möglich ist, mit neueren Apple Remote geht das ja (inkl. Remote App auf dem iPhone, iPad) ist mit der +/- Taste durch die Sender zu wechseln. Allerdings dauert der Senderwechsel etwas länger als bei der Konkurrenz.</div><div>Schade ist, dass die Bildqualität schon deutlich schlechter ist als bei den Konkurrenten, was gerade auf grösseren Screens nicht wirklich schön ist.</div><div><br /></div><h2 style="text-align: left;">Senderlisten</h2><div>Alle 4 Anbieter übertragen die üblichen Sender die man aus den Grundangeboten kennt, mit wenigen Unterschieden.</div><div>Wer also zwingen einen Sender anschauen möchte, muss vorher die Senderlisten durchgehen.</div><div>Bei <b>Teleboy</b> und <b>Wilmaa </b>sind die Sender je nach Abo gegeben und können nicht erweitert werden.</div><div>Hier geht es zu den Senderlisten:</div><div><a href="https://www.wilmaa.com/de/channels/" target="_blank">Wilmaa</a></div><div><a href="https://www.teleboy.ch/sender" target="_blank">Teleboy</a></div><div><br /></div><div>Bei Swisscom <b>blue tv air</b> lässt sich die Senderliste noch mit den zusätzlichen Paketen blue MAX, Blue Doku und blue Sport ergänzen. Ebenfalls lässt sich der VoD Store als auch der Einzelabruf von Sportevents die Swisscom überträgt nutzen. Exklusiv bei Swisscom sind auch bereits 4 UHD Sender enthalten und das bereits bei der free Version.</div><div>Die Senderliste findest du<a href="https://www.swisscom.ch/de/privatkunden/abos-tarife/inone-home/swisscom-blue-tv/sender.html#cl%5Bdevice%5D%5B%5D=tv&cl%5BdQ4nYVw%5D%5B%5D=tv-air&cl%5Bfeatures%5D%5B%5D=online&cl%5BdGfrj6A%5D%5B%5D=72000" target="_blank"> hier.</a></div><div><br /></div><div>Bei Zattoo lassen sich die meisten Zusatzpakete ordern. Angeboten werden internationale Pakete in anderen Sprachen sowie Themenpakete wie Heimatkanäle oder Erotik.</div><div>Bezüglich Zusatzsender findet man hier also das grösste Angebot.</div><div>Hier die Links zur:</div><div><a href="https://zattoo.com/ch/sender" target="_blank">Zattoo Senderliste</a></div><div><a href="https://zattoo.com/ch/angebote" target="_blank">Zusatzpakete</a></div><div><br /></div><h2 style="text-align: left;">Fazit</h2><div><br /></div><div>Die OTT Angebote stellen mittlerweile eine echte Alternative oder gar den Ersatz zu den bestehenden TV Angeboten der UPC oder Swisscom dar. Alle Anbieter kann man aktuell mind. 1 Monat lang testen ohne sich zu binden. Wer nach diesem Blogpost also Interesse gefunden hat. Nur zu, ich kann es jedem empfehlen sich die Angebote mal anzuschauen. Habt ihr weitere Fragen, Ergänzungen oder Fehler entdeckt, lasst es mich bitte via einem Kommentar wissen.</div><div><br /></div><div>Kommen wir aber nun zu meinem persönlichen Fazit.</div><div><br /></div><div><b>Gewinner</b> des Vergleich 2021 auf der Apple TV Box ist Teleboy.</div><div>Die App überzeugt mit den Funktionen und Bedienung am meisten. Das Bild ist hervorragend und der Sound kommt in Dolby 5.1 daher. Mit der hervorragenden Download Funktion setzt man sich aber klar an die Spitze. Das Community Sharing erweitert das TV Angebot quasi zu einem VoD Service. Mit einem Preis von 15.40 CHF pro Monat, falls man sich für die jährliche Abrechnung entscheidet erhält man sehr viel Leistung und kann sich eine eigene Mediathek aufbauen.</div><div><br /></div><div><b>Platz 2</b> erobert sich Wilmaa. Nirgendwo gibt es Full HD und Dolby 5.1 günstiger. Mit 10.75 CHF pro Monat falls man jährlich abrechnet, ist man günstiger als Teleboy.</div><div>Abziehen muss man allerdings die für mich aktuell schlechte Umsetzung der mobilen App Versionen. Die Oberfläche ist Geschmacksache, funktioniert in sich aber auch.</div><div><br /></div><div><b>Bronze </b>gibt es für Zattoo. Die App ist von der Bedienung und dem Design her grundsolide. Allerdings ist der doch recht hohe Preis von 20 CHF pro Monat für das Ultimate Abo doch eher abschreckend, zumal die Aufnahmen nicht heruntergeladen werden können. Mit einer jährlichen Abrechnung kann man den Preis auf 16.65 CHF pMt drücken. </div><div>Wer spezielle internationale Sender braucht oder besondere Interessen hat, kommt allerdings bei OTT an Zattoo nicht vorbei.</div><div>Zattoo steckt mit seinen Streams aber auch in den Produkten von Teleboy und Wilmaa. So gesehen darf sich Zattoo auch als Gewinner sehen.</div><div>Hat man bei seinem ISP Zattoo bereits als TV Service inkludiert, wie zB bei Salt Home, kann man sich glücklich schätzen. Wenn man jetzt nicht unbedingt auf Downloads für eine eigene Mediathek setzt, ist man hier gut bedient.</div><div><br /></div><div><b>Budget Preis. </b>Aber auch Swisscom mit blue tv air free kommt nicht ohne Preis davon. 0 CHF auf dem Big Screen, ohne zeitliche Einschränkung (ausgenommen Werbung), ist eine Ansage. Daher geht der Budget Award an blue tv air. Abzüge gibt es für die schlechtere Qualität der Streams und fehlendem Dolby 5.1.</div><div>Auch die Bedienung der App muss weitergedacht werden. Es kann nicht sein das man immer im Homescreen starten muss. Blue tv air ist auch das einzige Angebot das bereits 4 UHD Sender überträgt (abgesehen vom Zattoo das man über Salt.TV empfängt). </div><div><br />Kommt es zu einem Umdenken bei Swisscom und der Behandlung von blue TV als echte Marke ohne künstliche Begrenzung/Protektion gegenüber dem Swisscom blue TV über inOne, hat man hier einen potenten Kandidaten für die Zukunft am Start.</div><div><br /></div><div><br /></div><div><br /></div><table align="center" cellpadding="0" cellspacing="0" class="tr-caption-container" style="margin-left: auto; margin-right: auto;"><tbody><tr><td style="text-align: center;"><a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEievxrdTntHfOJHn5cNCsPtJ6kmufCfGFDbRmxpd1TcKMJ2Bdbzx3rnV6T4WWNNeQU8ZL5mqc_iNxXiNVR-oFhbbZ4Kp7ywhINe0lWosESoIIxkqGo9Ac0P4xWYSJFladIi4D8ROTsmrA8/s2048/Bildschirmfoto+2021-08-09+um+16.54.21.png" style="margin-left: auto; margin-right: auto;"><img border="0" data-original-height="1280" data-original-width="2048" height="400" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEievxrdTntHfOJHn5cNCsPtJ6kmufCfGFDbRmxpd1TcKMJ2Bdbzx3rnV6T4WWNNeQU8ZL5mqc_iNxXiNVR-oFhbbZ4Kp7ywhINe0lWosESoIIxkqGo9Ac0P4xWYSJFladIi4D8ROTsmrA8/w640-h400/Bildschirmfoto+2021-08-09+um+16.54.21.png" width="640" /></a></td></tr><tr><td class="tr-caption" style="text-align: center;">TV7 720p50</td></tr></tbody></table><br /><br /><div><br /></div><table align="center" cellpadding="0" cellspacing="0" class="tr-caption-container" style="margin-left: auto; margin-right: auto;"><tbody><tr><td style="text-align: center;"><a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEiYyf-12ijCZjkU5rBb3fjmCaCKFCc5Ob1m5mY-Zmap_VLyo7IDlASYW5l_Syon5IUVbOD3ZpwCwaumvhwX2UGcF4NLwOaSjTy8huEwPhpPD_6SkU6zNf3tceNen88rhoiE1l-BwFZgnFU/s2048/Bildschirmfoto+2021-08-09+um+16.54.53.png" style="margin-left: auto; margin-right: auto;"><img border="0" data-original-height="1280" data-original-width="2048" height="400" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEiYyf-12ijCZjkU5rBb3fjmCaCKFCc5Ob1m5mY-Zmap_VLyo7IDlASYW5l_Syon5IUVbOD3ZpwCwaumvhwX2UGcF4NLwOaSjTy8huEwPhpPD_6SkU6zNf3tceNen88rhoiE1l-BwFZgnFU/w640-h400/Bildschirmfoto+2021-08-09+um+16.54.53.png" width="640" /></a></td></tr><tr><td class="tr-caption" style="text-align: center;">blue TV air 720p50</td></tr></tbody></table><br /><br /><div><br /></div><div><br /></div><div><br /></div><table align="center" cellpadding="0" cellspacing="0" class="tr-caption-container" style="margin-left: auto; margin-right: auto;"><tbody><tr><td style="text-align: center;"><a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEghum6zMpODTEMAE-RwCeZKJh-C7ADZcWWoUJwccCReB4GgeoAjDrk0LlEDTKkIvxZc1Uw5lNqHeclW2YFdohPlVV5A2qvPUYWyUxWIsZayDECY9mgTZUogaxuw1_TLeBnGA_54X3tlt2Q/s2048/Bildschirmfoto+2021-08-09+um+16.57.00.png" style="margin-left: auto; margin-right: auto;"><img border="0" data-original-height="1280" data-original-width="2048" height="400" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEghum6zMpODTEMAE-RwCeZKJh-C7ADZcWWoUJwccCReB4GgeoAjDrk0LlEDTKkIvxZc1Uw5lNqHeclW2YFdohPlVV5A2qvPUYWyUxWIsZayDECY9mgTZUogaxuw1_TLeBnGA_54X3tlt2Q/w640-h400/Bildschirmfoto+2021-08-09+um+16.57.00.png" width="640" /></a></td></tr><tr><td class="tr-caption" style="text-align: center;">Wilmaa 1080p50</td></tr></tbody></table><div><br /></div><br /><div><br /></div><br /><br /><table align="center" cellpadding="0" cellspacing="0" class="tr-caption-container" style="margin-left: auto; margin-right: auto;"><tbody><tr><td style="text-align: center;"><a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEhfpCxuHmVfO6AonBE0pmatTryO2LaOM6yn-gUvwx-7HPSGqop0ubgjs6V8bemYhza79zethXZcXVELxmT7C8kVcDpp-Ta6A4NbEweVyjaHUKADKLfCRIhDsMQqdcY0w_yW23o8HWQ9NmY/s2048/Bildschirmfoto+2021-08-09+um+16.58.17.png" style="margin-left: auto; margin-right: auto;"><img border="0" data-original-height="1280" data-original-width="2048" height="400" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEhfpCxuHmVfO6AonBE0pmatTryO2LaOM6yn-gUvwx-7HPSGqop0ubgjs6V8bemYhza79zethXZcXVELxmT7C8kVcDpp-Ta6A4NbEweVyjaHUKADKLfCRIhDsMQqdcY0w_yW23o8HWQ9NmY/w640-h400/Bildschirmfoto+2021-08-09+um+16.58.17.png" width="640" /></a></td></tr><tr><td class="tr-caption" style="text-align: center;">Teleboy 1080p50</td></tr></tbody></table><div><br /></div><br /><div><br /></div><br /><br /><table align="center" cellpadding="0" cellspacing="0" class="tr-caption-container" style="margin-left: auto; margin-right: auto;"><tbody><tr><td style="text-align: center;"><a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEgwCl8KXhk8a6A72NJLNrhpmBWQ0kQmq_6ISIogciDWsNMGtDkGIifxqZkA_wI1UrsK5IT8yGyMMmHTGHUsFB8FyrPR-pEJN1orB96SxWnUOAbaVE9569iNy6obX8PXp1Rfyd92kN6Ag98/s2048/Bildschirmfoto+2021-08-09+um+16.59.40.png" style="margin-left: auto; margin-right: auto;"><img border="0" data-original-height="1280" data-original-width="2048" height="400" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEgwCl8KXhk8a6A72NJLNrhpmBWQ0kQmq_6ISIogciDWsNMGtDkGIifxqZkA_wI1UrsK5IT8yGyMMmHTGHUsFB8FyrPR-pEJN1orB96SxWnUOAbaVE9569iNy6obX8PXp1Rfyd92kN6Ag98/w640-h400/Bildschirmfoto+2021-08-09+um+16.59.40.png" width="640" /></a></td></tr><tr><td class="tr-caption" style="text-align: center;">Zattoo 1080p50</td></tr></tbody></table><div><br /></div><br /><br /><table align="center" cellpadding="0" cellspacing="0" class="tr-caption-container" style="margin-left: auto; margin-right: auto;"><tbody><tr><td style="text-align: center;"><a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEiXeC-E2a9YNss9qImx8ocqC5XbO6krdAmlEX4aysaK92FGHQs1dO8d3R2IYAcc7eT8Ae_U26LKAOCI9BkuK4O4AtoeM13ZsO1NLRDVgeg2yp0SJmWNpJZJqEh0gxjQ1dKKl0lBVDMHuPw/s2048/Bildschirmfoto+2021-08-09+um+17.16.13.png" style="margin-left: auto; margin-right: auto;"><img border="0" data-original-height="1280" data-original-width="2048" height="400" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEiXeC-E2a9YNss9qImx8ocqC5XbO6krdAmlEX4aysaK92FGHQs1dO8d3R2IYAcc7eT8Ae_U26LKAOCI9BkuK4O4AtoeM13ZsO1NLRDVgeg2yp0SJmWNpJZJqEh0gxjQ1dKKl0lBVDMHuPw/w640-h400/Bildschirmfoto+2021-08-09+um+17.16.13.png" width="640" /></a></td></tr><tr><td class="tr-caption" style="text-align: center;">NASA TV UHD auf blue tv air free</td></tr></tbody></table><br />Tux0nehttp://www.blogger.com/profile/00729275216054548167noreply@blogger.comZürich, Schweiz47.3768866 8.54169419.066652763821153 -26.614556 75.687120436178844 43.697944tag:blogger.com,1999:blog-4882299951105462615.post-12571928202148071522021-02-06T12:56:00.005+01:002021-02-12T11:05:41.656+01:00Fiber7 Access mit pfSense<h1 style="text-align: left;">Fiber7 Access mit pfSense</h1><h2 style="text-align: left;">Worum geht es?</h2><div><div class="separator" style="clear: both; text-align: center;"><a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEirEfEIAsDLWAxQADZYihWyzxFVAYiM4lWqxpd49DOulLfXpwadZO5RP3SMCETExSDgey8kdr3wrpHl_BvGebERvI3TftsLg98OUUTgDSABkTrW9Xwmb1XAV3YdxqdI2LTxdC96ja3PwZs/s400/stecker_400.jpg" style="clear: right; float: right; margin-bottom: 1em; margin-left: 1em;"><img border="0" data-original-height="283" data-original-width="400" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEirEfEIAsDLWAxQADZYihWyzxFVAYiM4lWqxpd49DOulLfXpwadZO5RP3SMCETExSDgey8kdr3wrpHl_BvGebERvI3TftsLg98OUUTgDSABkTrW9Xwmb1XAV3YdxqdI2LTxdC96ja3PwZs/s320/stecker_400.jpg" width="320" /></a></div>In diesem Beitrag wird die Konfiguration eines <a href="https://www.init7.net/de/internet/fiber7/" target="_blank">Fiber7</a> Anschlusses von init7 auf der <a href="https://www.pfsense.org/">pfSense</a> besprochen. Und zwar eine mögliche WAN wie auch LAN Konfiguration speziell in Bezug auf IPv6. Die IPv4 Konfiguration wird daher nicht näher erwähnt.</div><div>Die Konfiguration geht von einem Fiber7 Anschluss aus. Also DHCP für IPv4 und DHCP6 PD bei IPv6 und ist nicht auf Hybrid7 oder Crossover7 Anschlüsse anzuwenden.</div><div>In diesem Beispiel hat der Access eine dynamische /32 IPv4 und einen statischen /48 Präfix. Die Konfiguration kann aber angepasst sowohl auch für statische IPv4 Subnetze als auch dynamische /48 Präfixe genutzt werden, da auf jeden Fall DHCP oder DHCP6 PD verwendet wird.</div><div>Der genutzte Software Stand bei pfSense ist zum Zeitpunkt des Beitrages 2.5.0-DEV.</div><div>(Die TV7 mcst Konfiguration ist noch nicht Bestandteil dieses Beitrages, funktioniert aber natürlich auch nicht pfSense)</div><div><br /></div><br /><span><a name='more'></a></span><div><br /></div><h2 style="text-align: left;">WAN </h2><div>Die WAN Konfiguration ist denkbar einfach. Kein VLAN, keine speziellen Options nichts.</div><div>Daher im Bereich <b>General Configuration</b>.</div><div><b>IPv4 Configuration Type</b>: DHCP</div><div>I<b>Pv6 Configuration Type</b>: DHCP6</div><div><b>MTU</b>: 1500</div><div><br /></div><div class="separator" style="clear: both; text-align: center;"><a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEgTF9ZJ4ECVkoLZx9xFLqcHL3ObPIhCMmb4S5Z-3Gz3UXl9Dm40wby82RAOfobWSJpd1vmkofjN8WCDB29Gwt1fID3Pb_LU7mFboxHc9xuRKGLg7OYjjBcqNYznDUUKgCDNUg8yvgR1fh0/s1158/2021-02-06_11-10-11.png" style="margin-left: 1em; margin-right: 1em;"><img alt="WAN General Configuration" border="0" data-original-height="624" data-original-width="1158" height="344" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEgTF9ZJ4ECVkoLZx9xFLqcHL3ObPIhCMmb4S5Z-3Gz3UXl9Dm40wby82RAOfobWSJpd1vmkofjN8WCDB29Gwt1fID3Pb_LU7mFboxHc9xuRKGLg7OYjjBcqNYznDUUKgCDNUg8yvgR1fh0/w640-h344/2021-02-06_11-10-11.png" width="640" /></a></div><br /><br /><div><br /></div><div><br /></div><div>Bei Fiber7 bekommt man wie schon angesprochen einen dynamischen oder statischen IPv6 /48 Prefix.</div><div>Bei der Bestellung erhält man von init7 ein Datenblatt mit dem relevanten Prefix. Wünscht man zusätzlich rDNS Delegation kann man init7 mind einen Nameserver angeben. Auf das gehen wir hier aber nicht ein.</div><div><br /></div><div>pfSense muss daher DHCP6 Client Configuration noch die Prefix Grösse angegeben werden.</div><b>Request only an IPv6 prefix: </b>Aktivieren<div><b>DHCPv6 Prefix Delegation size: </b>Auf 48 setzen</div><div><br /><table align="center" cellpadding="0" cellspacing="0" class="tr-caption-container" style="margin-left: auto; margin-right: auto;"><tbody><tr><td style="text-align: center;"><a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEinCFqi3fRj_mYqxJoGl3FHsshY6Nw27roU_IAC1V9j0mxFzqXm2pl1zX6dtUfr-lhOXI_4OtZqwcetmWHgnDhM995XesWngujyRT5XiN3OasZBElUMHDLohdpCAaxyb9VwjveMC5Tn_-A/s1150/2021-02-06_11-10-47.png" style="margin-left: auto; margin-right: auto;"><img border="0" data-original-height="495" data-original-width="1150" height="276" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEinCFqi3fRj_mYqxJoGl3FHsshY6Nw27roU_IAC1V9j0mxFzqXm2pl1zX6dtUfr-lhOXI_4OtZqwcetmWHgnDhM995XesWngujyRT5XiN3OasZBElUMHDLohdpCAaxyb9VwjveMC5Tn_-A/w640-h276/2021-02-06_11-10-47.png" width="640" /></a></td></tr><tr><td class="tr-caption" style="text-align: center;">DHCP6 Client Configuration</td></tr></tbody></table><br /></div><div><br /></div><div>Bei den Reserved Networks kann man block Private Networks wie auch Bogon networks aktiv lassen.</div><div><br /></div><div>Das war es auf Seite WAN auch schon. Supereasy. </div><div>Das WAN Interface wird nun wie SLAAC übrigens eine IPV6 beziehen die nicht im zugewiesenen Prefix liegt. Das Gateway wird zudem eine link lokale IP (fe80::) sein. Das ist beides absolut normal und kein Grund zur Sorge. Weiter geht es mit dem LAN.</div><div><br /></div><h2 style="text-align: left;">LAN</h2><div>Beim LAN beschreibe ich bezüglich IPv6 2 mögliche Konfigurationen. Einerseits die statische Konfiguration, andererseits die Konfiguration mit dem Interface Track.</div><div>Hat man keinen statischen IPv6 Prefix von init7 ist zwingend die Track Interface Konfiguration zu verwenden. Bei einem statischen Prefix ist beides möglich.</div><div><br /></div><h3 style="text-align: left;">Statische Konfiguration</h3><div><b>General Configuration</b></div><div><b>IPv4 Configuration Type: </b>Static IPv4</div><div><b>IPv6 Configuration Type: </b>Static IPv6</div><div><br /><table align="center" cellpadding="0" cellspacing="0" class="tr-caption-container" style="margin-left: auto; margin-right: auto;"><tbody><tr><td style="text-align: center;"><a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEgp1dxhGRsOSbZpTIbp9KLVbMhM96tR8NTWNdOYRLuv2ZjpGNlC39BFKc0xloYQ_111X_54UIwzetKhv4VZ4bgTZcVo5XKKVKDTTfm78UA2pZ8baB-EUwZykNP3ZJsA-6AcPYLvIlSEq3w/s1160/2021-02-06_11-22-57.png" style="margin-left: auto; margin-right: auto;"><img border="0" data-original-height="542" data-original-width="1160" height="300" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEgp1dxhGRsOSbZpTIbp9KLVbMhM96tR8NTWNdOYRLuv2ZjpGNlC39BFKc0xloYQ_111X_54UIwzetKhv4VZ4bgTZcVo5XKKVKDTTfm78UA2pZ8baB-EUwZykNP3ZJsA-6AcPYLvIlSEq3w/w640-h300/2021-02-06_11-22-57.png" width="640" /></a></td></tr><tr><td class="tr-caption" style="text-align: center;">LAN General Configuration</td></tr></tbody></table></div><br /><b><br /></b><div><b>Static IPv4 Configuration</b><div><b>IPv4 address: </b>Hier gibt man eine IP aus den privaten Subnetzen an. Als Beispiel hier 192.168.50.1/24</div><div><b>Static IPv6 Configuration:</b></div><div><b>IPv6 address: </b>Mit einem /48 Prefix sind die vorgegeben. Eine IPv6 Adresse besteht aus 128 Bit. Pro Ziffer sind das 4 Bit dargestellt mit einer hexadezimalen Zahl (daher 0 bis f möglich). Jeweils 4 Bits werden zu einer Gruppe zusammengeführt. Somit sind 8 dieser 4er Gruppen möglich.</div><div>Wenn man also seinen /48 Prefix durch 4 teilt kommt man auf 12 Stellen. Sprich die ersten 12 Stellen bzw. 3 4er Gruppen des IPv6 Netzes sind schon mal vorgegeben. Da spricht man vom Network Prefix.</div><div><br /></div><div><div class="separator" style="clear: both; text-align: center;"><br /></div>Einem LAN Netzwerk teilt man aber idR. einen /64 Prefix zu. Das ist das kleinstmögliche Netz bei dem die Autokonfiguration noch funktioniert.</div><div>Ein /64 Prefix bedeutet wieder, dass wenn man ihn durch 4 teilt, man 16 Ziffer erhält, bzw 4 4er Gruppen. Die Differenz zwischen einem /48 Prefix und einem /64 Prefix sind also 4 Ziffern oder eine 4er Gruppe. Der sogenannte Subnet Prefix. Lange Rede, kurzer Sinn, diesen müssen wir hier also definieren. Da wir 4 hexadezimale Ziffern zur Verfügung haben können wir alles zwischen 0 und ffff verwenden. </div><div><br /></div><div>Bei einer statischen IPv6 Konfiguration nimmt man also seinen /48 Prefix und setzt den Subnet Prefix daran und bildet ein /64 Netz. Zur Veranschaulichung ein Bild vom <a href="https://www.elektronik-kompendium.de/sites/net/1902111.htm" target="_blank">Elektronik Kompendium</a> wo es auf weiterführende Infos dazu gibt.</div><div><br /></div><div class="separator" style="clear: both; text-align: center;"><a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEhZNiifi1YfGUJjKor50gQh4eb_EF3QpBrNV7ckCMKwYCSTBK7HjTG6rHLCg2TD7wFraih6Eg-o692CVDJBq-oxstqufW7mpMakce_d8gwC1V6ctlhEVdH_OZD1Vel1rd5WVL5YRCZmzpM/s533/2021-02-06_11-46-24.png" style="margin-left: 1em; margin-right: 1em;"><img border="0" data-original-height="207" data-original-width="533" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEhZNiifi1YfGUJjKor50gQh4eb_EF3QpBrNV7ckCMKwYCSTBK7HjTG6rHLCg2TD7wFraih6Eg-o692CVDJBq-oxstqufW7mpMakce_d8gwC1V6ctlhEVdH_OZD1Vel1rd5WVL5YRCZmzpM/s320/2021-02-06_11-46-24.png" width="320" /></a></div><br /><div><br /></div><div><br /></div><div>Beispiel: <span style="caret-color: rgb(255, 0, 0); color: red;">2a02:168:79ef:</span><span style="caret-color: rgb(255, 0, 0);"><span style="color: #2b00fe;">7777:</span><span style="color: #ffa400;">:1</span><span style="color: #800180;">/64</span></span></div><div><span style="color: red;">2a02:168:79ef: ist der Network Prefix, </span><span style="color: #2b00fe;">7777: der Subnet Prefix, </span><span style="color: #ffa400;">die :1 erste IPv6 aus diesem Netz </span><span style="color: #800180;">/64 die Prefix Grösse die wir bilden möchten.</span></div><div><span style="color: #800180;"><span style="caret-color: rgb(128, 1, 128);"><br /></span></span></div><div><span style="color: #800180;"><span style="caret-color: rgb(128, 1, 128);"><br /></span></span></div><div><br /><br /><table align="center" cellpadding="0" cellspacing="0" class="tr-caption-container" style="color: #800180; margin-left: auto; margin-right: auto;"><tbody><tr><td style="text-align: center;"><a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEit889vXkTYn-mtEYvpF_3we_aSK8liB7SaxGar_4J6vuJeE5qTgyDuR9kBtrx2wYTjbdgeiGVQMP5quHqK_PnVF9gylfQxUSEfcSZbxOFHDdxrHAEjf3Wdq2cJqjWvuvtCR7wvA-sZmTY/s1156/2021-02-06_11-24-07.png" style="margin-left: auto; margin-right: auto;"><img border="0" data-original-height="428" data-original-width="1156" height="236" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEit889vXkTYn-mtEYvpF_3we_aSK8liB7SaxGar_4J6vuJeE5qTgyDuR9kBtrx2wYTjbdgeiGVQMP5quHqK_PnVF9gylfQxUSEfcSZbxOFHDdxrHAEjf3Wdq2cJqjWvuvtCR7wvA-sZmTY/w640-h236/2021-02-06_11-24-07.png" width="640" /></a></td></tr><tr><td class="tr-caption" style="text-align: center;">LAN Static Configuration</td></tr></tbody></table><br /><div class="separator" style="clear: both; color: #800180; text-align: center;"><br /></div>So das war jetzt eventuell etwas komplizierter falls man das noch nie gemacht hat. Es gibt auch noch die einfachere Track Interface Konfiguration. Trotzdem sollte man verstanden haben worum es eigentlich geht.</div><div><br /></div><div><h3 style="text-align: left;">Alternative Track Interface Konfiguration</h3><div><b>General Configuration</b></div><div><b>IPv4 Configuration Type: </b>diesen belassen wir auf Static IPv4</div><div><b>IPv6 Configuration Type: </b>Diesen setzt man nun auf Track Interface</div><b><br /></b><div class="separator" style="clear: both; text-align: center;"><a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEjKA8ZKAVfAG3cHLwqR06fFnRENcr6Jv8kzCcHtLfDZ1Oq8yypS9qThdwF1uiUz4k276Br6RKUubtvCwGrwbvmBG1i41Z8VbTkjEPG-iXypATuGUwfGqV5Dre1OJpcmrRpVYBNahYTDv_I/s1161/2021-02-06_11-53-29.png" style="margin-left: 1em; margin-right: 1em;"><img border="0" data-original-height="563" data-original-width="1161" height="310" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEjKA8ZKAVfAG3cHLwqR06fFnRENcr6Jv8kzCcHtLfDZ1Oq8yypS9qThdwF1uiUz4k276Br6RKUubtvCwGrwbvmBG1i41Z8VbTkjEPG-iXypATuGUwfGqV5Dre1OJpcmrRpVYBNahYTDv_I/w640-h310/2021-02-06_11-53-29.png" width="640" /></a></div></div><div><b><br /></b></div><div><b><br /></b></div><div><b>Track IPv6 Interface</b><br /></div></div><div><b>IPv6 Interface: </b>Das WAN Interface auswählen</div><b>IPv6 Prefix ID: </b>Wie bei der statischen Konfiguration erklärt, hat man 4 Ziffern zur Verfügung um aus einem /48 Prefix ein /64 Netz gebildet werden kann. Daher auch der Hinweis von pfSense das man einen Wert von 0 bis ffff verwenden kann. Um das gleiche Netz wie bei der statischen Bespielkonfiguration zu erhalten, würde man hier also 7777 einsetzen.<div><br /><div><div class="separator" style="clear: both; text-align: center;"><a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEiG9rSipg3LG7XfC5aN16O5OkoeTot4_mAVjgOcu6QhVmRN1-igY8JHefMhhoOIZggOP9yNIw8yIMFiXEWgVKbjAfS0VhXmTIrIq32m9y0C4i4hkN3qr4m-Tj1guq_nkH6w0rOK4qvHOV4/s1164/2021-02-06_11-54-00.png" style="margin-left: 1em; margin-right: 1em;"><img border="0" data-original-height="382" data-original-width="1164" height="210" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEiG9rSipg3LG7XfC5aN16O5OkoeTot4_mAVjgOcu6QhVmRN1-igY8JHefMhhoOIZggOP9yNIw8yIMFiXEWgVKbjAfS0VhXmTIrIq32m9y0C4i4hkN3qr4m-Tj1guq_nkH6w0rOK4qvHOV4/w640-h210/2021-02-06_11-54-00.png" width="640" /></a></div><br /></div><br /><div>So fast geschafft. Keine grosse Hexerei hat man das Prinzip mal verstanden. Bei meinem Wechsel von Swisscom inOne KMU auf Fiber7 musste ich also mehr oder weniger nur die Präfixe anpassen. Hätte ich die Track Interface Konfiguration angewendet, wäre nicht mal das nötig gewesen. Ein Sache von keinen 10 Minuten bei 7 Interfaces.</div></div><div><br /></div><div>Konfigurieren wir aber im nächsten Schritt noch die IPv6 Adressverteilung im LAN.</div><div><br /></div><h3 style="text-align: left;">DHCPv6 Server & RA</h3><div>Unter Services findet man die Konfiguration des DHCPv6 & RA.</div><div>Grundsätzlich reicht es wenn man da unter Router Advertisements den Router Modus auf <b>Unmanaged</b> setzt und das aktiviert. Hier beschreibe ich aber den Assisted Modus. Vorteil ist neben der Autokonfiguration die bei allen Client weiterhin funktioniert, die statische IP Zuweisung von allfälligen Servern.</div><div><br /></div><div>Im Reiter Router Advertisements würde man also folgendes konfigurieren.</div><div><b>Router Mode: </b>Assisted - RA flags</div><div><b>Router Priority: </b>kann man auf normal belassen</div><div><br /></div><div>Im Reiter DHCPv6 Server:</div><div><b>DHCPv6 Server: </b>aktivieren</div><div>Danach ist das Subnet, Subnetmaske und der verfügbare Range bereits durch das Interface vorgegeben.</div><div><b>Range: </b>Diesen muss man nun noch setzen. Da man nicht von vielen statischen IP's ausgeht, kann man hier einen kleinen Bereich von zB 1000 Adressen definieren ;) </div><div>Analog zum Beispiel also 2a02:168:79ef:7777::1000 bis 2a02:168:79ef:7777::2000</div><div><br /></div><div>Somit kann man in diesem Reiter unter DHCPv6 Static Mappings for this Interface eben statische Mappings zB für NAS, Server oder Drucker definieren.</div><div><br /></div><table align="center" cellpadding="0" cellspacing="0" class="tr-caption-container" style="margin-left: auto; margin-right: auto;"><tbody><tr><td style="text-align: center;"><a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEgEpmei-lpCmNzhZusaDGcfeQZYk8eOms7F0ECrHjEGCChqVmlZ3GO2C6pUuaQe8azbHqB8gqF1SYuRFFv63Q8G1a-Pc0bzE2HX-lAtONy6NfJ1UZczP7uISFti3FHeDaR9wKTD05r4Qe8/s1157/2021-02-06_12-20-11.png" style="margin-left: auto; margin-right: auto;"><img border="0" data-original-height="611" data-original-width="1157" height="338" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEgEpmei-lpCmNzhZusaDGcfeQZYk8eOms7F0ECrHjEGCChqVmlZ3GO2C6pUuaQe8azbHqB8gqF1SYuRFFv63Q8G1a-Pc0bzE2HX-lAtONy6NfJ1UZczP7uISFti3FHeDaR9wKTD05r4Qe8/w640-h338/2021-02-06_12-20-11.png" width="640" /></a></td></tr><tr><td class="tr-caption" style="text-align: center;">LAN Router Advertisements</td></tr></tbody></table><div><br /></div><h3 style="text-align: left;">Firewall Regeln</h3><div>Kommen wir nun noch zum letzten Punkt was den Access angeht. Die Firewall Regeln, klar da wir hier ja pfSense verwenden.</div><div><br /></div><div>Für das LAN braucht es Regeln die ausgehenden Traffic auch für IPv6 erlauben. Per default ist Outbound sowohl für IPv4 als auch IPv6 erlaubt. Trotzdem nochmals prüfen ob das so ist und allenfalls das Ruleset bei limitierendem Outbound entsprechend anpassen.</div><div>Mit dieser Regel ist alles erlaubt.</div><div><br /></div><table align="center" cellpadding="0" cellspacing="0" class="tr-caption-container" style="margin-left: auto; margin-right: auto;"><tbody><tr><td style="text-align: center;"><a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEiqjSJgLuE3aZ0TzohSb70YWQwerGefkCG87dEqEtYnXFP0vKZmqb8N9W5-bKi91yAmvRKSV7p5tpjvLsjFcwWpy9a2Cyb0WxxuH__oKFpiV57i0wt26gz8fVtRiPbK2lW6SqyzTQuArt0/s1153/2021-02-06_12-32-09.png" style="margin-left: auto; margin-right: auto;"><img border="0" data-original-height="861" data-original-width="1153" height="478" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEiqjSJgLuE3aZ0TzohSb70YWQwerGefkCG87dEqEtYnXFP0vKZmqb8N9W5-bKi91yAmvRKSV7p5tpjvLsjFcwWpy9a2Cyb0WxxuH__oKFpiV57i0wt26gz8fVtRiPbK2lW6SqyzTQuArt0/w640-h478/2021-02-06_12-32-09.png" width="640" /></a></td></tr><tr><td class="tr-caption" style="text-align: center;">Default Outbound Rule</td></tr></tbody></table><div><br /></div>Bei IPv6 Traffic macht es besonders Sinn nicht alle ICMP Meldungen zu verwerfen. Daher noch mein Tipp eine entsprechende WAN Regel zu erstellen.<div><br /></div><div>Eine Regel die auf WAN Anfragen IPv6 ICMP mit den ICMP Subtypes zulässt: echoreg, echoreq, paramprob, timex, toobig und unreach.</div><div><br /></div><div class="separator" style="clear: both; text-align: center;"><a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEgZWOTi3vMd5ehiAPfYF7x2NBob3s-IpSagZi2daDxYh49U6miizTGdjUf2U7ccO27RLWcjSdmSbu0kJ_LrCy3A-wOrpLV6J8kAuMmSqhnmKFmYuttu8muYgLcbhCFtZSyvZ3hFL4WvwPQ/s1112/2021-02-06_12-34-22.png" style="margin-left: 1em; margin-right: 1em;"><img border="0" data-original-height="67" data-original-width="1112" height="38" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEgZWOTi3vMd5ehiAPfYF7x2NBob3s-IpSagZi2daDxYh49U6miizTGdjUf2U7ccO27RLWcjSdmSbu0kJ_LrCy3A-wOrpLV6J8kAuMmSqhnmKFmYuttu8muYgLcbhCFtZSyvZ3hFL4WvwPQ/w640-h38/2021-02-06_12-34-22.png" width="640" /></a></div><br /><div><br /><div><br /></div><div>So das wäre eigentlich schon mal alles für eine grundlegende Konfiguration. Sollten die Interfaces, besonders bei der Track Interface Konfiguration nicht funktionieren, so hilft ein Reboot sofern alles korrekt abläuft.</div><div><br /></div><div><br /></div><div>Habt ihr Fragen oder Anregungen, andere Beispiele? Lasst es mich in den Kommentaren wissen.</div><div><br /></div><div><br /></div><div>Solltest du Interesse an einem init7 Anschluss haben. So kannst du gerne meinen Empfehlungscode verwenden. Du bekommst dafür die Hardware um <a href="https://www.init7.net/de/init7-empfehlen/" target="_blank">111 CHF günstiger, ich dafür einen Rabatt von 111 CHF auf die nächste Jahresrechnung</a>. :) Top. Mein Code lautet: 957 356 273 81</div><div><br /></div><div>(Der Beitrag wurde ohne technische oder finanzielle Unterstützung durch init7 erstellt)</div><div><br /></div></div>Tux0nehttp://www.blogger.com/profile/00729275216054548167noreply@blogger.comtag:blogger.com,1999:blog-4882299951105462615.post-47552072084814842202021-01-24T11:42:00.008+01:002021-03-19T08:19:49.067+01:00deprecated WireGuard für pfSense, iOS Remote Access<h1 style="text-align: left;">Wireguard für pfSense (iOS)</h1><h2 style="text-align: left;">Kernel Integration für FreeBSD entfernt</h2><div>Die Wireguard Integration in pfsense wird wieder entfernt. Wie in diesem <a href="https://www.netgate.com/blog/wireguard-removed-from-pfsense-ce-and-pfsense-plus-software.html">Blopost von Netgate</a> zu lesen ist, geschieht dies vorsorglich aus Sicherheitsgründen.</div><div>Bei der Prüfung des Codes durch FreeBSD Kernel Devs, stellte sich heraus das im Code Schwachstellen bestehen durch die unsaubere Integration in FreeBSD. Gemäss Netgate gibt es bei der bisherigen Überprüfung keine Anzeichen das diese Sicherheitslücken von extern ausgenutzt werden können.</div><div>Da die Integration nun aber so oder so neu geschrieben werden soll, wird Wireguard mittels eines Updates wieder aus pfSense entfernt. Damit ist dieser Artikel nicht mehr aktuell und zeigt nur noch auf wie es gewesen wäre :)</div><div><br /></div><div>Für weiteres Drama kann man die Story hier nachlesen:</div><div><br /></div><div><a href="https://lists.zx2c4.com/pipermail/wireguard/2021-March/006494.html">https://lists.zx2c4.com/pipermail/wireguard/2021-March/006494.html</a></div><div><a href="https://www.netgate.com/blog/painful-lessons-learned-in-security-and-community.html">https://www.netgate.com/blog/painful-lessons-learned-in-security-and-community.html</a></div><div><a href="https://www.netgate.com/blog/wireguard-removed-from-pfsense-ce-and-pfsense-plus-software.html">https://www.netgate.com/blog/wireguard-removed-from-pfsense-ce-and-pfsense-plus-software.html</a></div><div><a href="https://lists.zx2c4.com/pipermail/wireguard/2021-March/006499.html">https://lists.zx2c4.com/pipermail/wireguard/2021-March/006499.html</a></div><div><br /></div><div>Alles in allem für Netgate keine gute Story die zusätzlichen Druck ausübt. Druck der schon besteht weil die Zukunft von pfSense CE relativ ungewiss ist und mit pfSense+ in Zukunft vermehrt ein closed source Produkt gepusht werden wird.</div><div>Aber auch beim Rest der FreeBSD Community sind bezüglich Integration wie auch der nachträglichen Prüfung als auch der Reaktion darauf Schwächen zu erkennen. Nehmen wir daraus das Schritte manchmal halt drastisch sein müssen und hoffen auf eine gute kommende Integration von Wireguard in den Kernel.</div><div><br /></div><span><a name='more'></a></span><div><br /></div><h2 style="text-align: left;">Update für pfSense<br /></h2><div style="text-align: left;"><div class="separator" style="clear: both; text-align: center;"><a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEhsjICb_6WOomt5wx8HgYpQrEJ8omc1Sl-HIqju5_UHhUoTacr4a-RAAWydrI2P92SrhZIQdfkiql6xr48F2wP4NEGNqVWKtDZEakW3LzS250IdiaJegIRkVXA9aEAVnexg5HDvGZvYCB0/s1280/wg_pf-27649f11ec9c2751.jpeg.webp" style="clear: right; float: right; margin-bottom: 1em; margin-left: 1em;"><img border="0" data-original-height="720" data-original-width="1280" height="225" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEhsjICb_6WOomt5wx8HgYpQrEJ8omc1Sl-HIqju5_UHhUoTacr4a-RAAWydrI2P92SrhZIQdfkiql6xr48F2wP4NEGNqVWKtDZEakW3LzS250IdiaJegIRkVXA9aEAVnexg5HDvGZvYCB0/w400-h225/wg_pf-27649f11ec9c2751.jpeg.webp" width="400" /></a></div><div style="text-align: left;"><br /></div>Netgate hat am 19.01.2021 die Integration von pfSense für <a href="https://www.wireguard.com">Wireguard</a> <a href="https://www.netgate.com/blog/wireguard-for-pfsense-software.html">bekannt</a> gegeben. </div><div style="text-align: left;">Wie bei der Linux Integration ist Wireguard direkt in den Kernel integriert, bei pfSense ist das FreeBSD.</div><div style="text-align: left;">Wireguard steht somit ab der pfSense Version 2.5.0 zur Verfügung. Aktuell ist dies also der Development Pfad. Der Einsatz auf produktiven Systemen ist somit wie immer noch nicht empfohlen. In meinem Heimsystem nutze ich idR. die Development Edition. Probleme sind nicht die Regel, können aber auftreten.</div><div style="text-align: left;"></div><div style="text-align: left;"><br /></div><div style="text-align: left;"><br /></div><h3 style="text-align: left;">Wireguard Info</h3><div style="text-align: left;">Wireguard ist eine VPN Software die mit besonders einfacher Konfiguration, Sicherheit und Speed überzeugen will.</div><div style="text-align: left;">Über die Einfachheit lässt sich sicher debattieren. So basiert die Konfiguration mehrheitlich über die bekannte Interface Konfiguration der Betriebssysteme. Zudem müssen einzig die privaten Schlüssel ausgetauscht werden. Hier kommt schon ein Problem. Da man keine richtige Userverwaltung zB. über Radius machen kann, stellt sich der Schlüsselaustausch in einem Betrieb schon mal als etwas umständlich aus.</div><div style="text-align: left;">Wie auch immer, Wireguard ist dafür aber auch wirklich schnell.</div><div style="text-align: left;">Ich konnte im Mobile Remote Access Betrieb keine Einschränkung meiner 4G Verbindung feststellen und Datenraten um die 180Mbps/60Mbps feststellen. Via einer LAN-LAN Verbindung aus dem Büro von Swisscom nach init7 daheim, hatte ich 500/500Mbps. Das lässt sich im Büro mit einem besseren Testgerät sicher noch verbessern.</div><div style="text-align: left;"><br /></div><h2 style="text-align: left;">pfSense Konfiguration</h2><div>In diesem Beispiel zeige ich die peer Konfiguration zu einem apple iOS Device.</div><h3 style="text-align: left;">Tunnel</h3><div>Nach dem Update von pfSense auf mind. Version 2.5.0, steht Wireguard im Tab VPN direkt zur Verfügung. Durch die Integration in den Kernel ist das nachladen eines Packages nicht nötig.</div><div>Wir starten auf Seite pfSense unter diesem Tab mit add Tunnel.</div><div>Dadurch wird ein Fenster geöffnet mit dem Titel Interface wg0, also dem ersten Wireguard Interface auf dem System.</div><div>Wir aktivieren <b>Enabled</b></div><div><b>Description: </b>Hier gibt man eine optionale Beschreibung des Tunnels an, zB. Remote Access.</div><div><b>Address: </b>Hier definiert man ein von allen anderen bestehenden Interfaces im System ein Subnet für IPv4 und für IPv6 sofern schon hoffentlich vorhanden, einen Präfix.</div><div>In meinem Fall vergebe ich hier mal ein /24 Subnet. 10.7.24.1/24. Bei init7 habe ich einen /48 Präfix, daraus vergebe ich ein /64 Netz. 2a02:168:79ef:724::1/64. Getrennt werden die zwei Werte durch ein Komma. Diese IP's werden auch gleich zur Tunnel wie auch Gateway IP. (Ich behalte mir vor die IP's und den Port zu jeder Zeit zu ändern (was schon geschehen ist) :) )</div><div><b>Listen Port: </b>Kann ein beliebiger Port sein. Im Falle von restriktiven Remote Netzen allenfalls auch zB. auch der http(s) Port. Per default ist des der Highport 51820. Im Beispiel nehme ich auch diesen.</div><div><b>Interface keys: </b>Der heilige Gral. Diese generieren wir mittels Generate ganz einfach und behalten diese auf jeden Fall diskret.</div><table align="center" cellpadding="0" cellspacing="0" class="tr-caption-container" style="margin-left: auto; margin-right: auto;"><tbody><tr><td style="text-align: center;"><a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEiEhn2W_m0FLab4Chyphenhyphenh8kRqnwhgHJs1JR9oF1OnDxfxAogCYTXIWBtYTcxqIOiJD8tGUUAPxvDEVMNWt9OzVxopJou54ZKD5q32UQDosjbseHVYf10_V3ZJ_PnW3-8GfSepRvGdt1cmVBo/s1209/2021-01-24_08-58-08.png" style="margin-left: auto; margin-right: auto;"><img border="0" data-original-height="544" data-original-width="1209" height="288" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEiEhn2W_m0FLab4Chyphenhyphenh8kRqnwhgHJs1JR9oF1OnDxfxAogCYTXIWBtYTcxqIOiJD8tGUUAPxvDEVMNWt9OzVxopJou54ZKD5q32UQDosjbseHVYf10_V3ZJ_PnW3-8GfSepRvGdt1cmVBo/w640-h288/2021-01-24_08-58-08.png" width="640" /></a></td></tr><tr><td class="tr-caption" style="text-align: center;">Wireguard Tunnel Konfiguration</td></tr></tbody></table><br /><div>Jetzt ist es an der Zeit zuerst mal auf Save zu drücken, noch bevor man an die Peers geht.</div><div><br /></div><div><h3 style="text-align: left;">Interface</h3><div>Als nächstes müssen wir unter Interfaces Assignements, das neue Wireguard Interface noch hinzufügen.</div><div>In der Drop Down Liste der Avaiable network Ports kann man das neue Interface finden und hinzufügen.</div><div>Im Reiter Interfaces findet man dieses ab sofort. Wir benennen es nach Wunsch und enablen das Interface. (Save, Apply changes)</div><div>Nun müssen wir nochmals kurz zum Tunnel. VPN, Wireguard, Tunnel bearbeiten (Stift Symbol) und da nochmals auf Save drücken.</div><div><br /></div><table align="center" cellpadding="0" cellspacing="0" class="tr-caption-container" style="margin-left: auto; margin-right: auto;"><tbody><tr><td style="text-align: center;"><a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEjjdW6X_pRAhuNGgpE5PcRNWiQrR8XDsmPj4AniF3u7slmpUVOf-24tfmQZ7FZgEsBeOX4k34Me7VHMbBQH5Ybn-MoYcofRzOSzy-rFVPQ928ygyQ2t7gQqOeECgWqQ6d8NCEoEf7g0UwY/s1228/2021-01-24_09-06-10.png" style="margin-left: auto; margin-right: auto;"><img border="0" data-original-height="581" data-original-width="1228" height="302" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEjjdW6X_pRAhuNGgpE5PcRNWiQrR8XDsmPj4AniF3u7slmpUVOf-24tfmQZ7FZgEsBeOX4k34Me7VHMbBQH5Ybn-MoYcofRzOSzy-rFVPQ928ygyQ2t7gQqOeECgWqQ6d8NCEoEf7g0UwY/w640-h302/2021-01-24_09-06-10.png" width="640" /></a></td></tr><tr><td class="tr-caption" style="text-align: center;">Wireguard Interface<br /></td></tr></tbody></table><br /><div><br /></div><div><b>Routing</b></div><div><div>Im nächsten Schritt gehen wir zu System, Routing und stellen die Gateway von Automatic auf die realen Gateway, sofern das nicht schon mal gemacht wurde. Dies verhindert das aus irgendwelchen Gründen mal das Wireguard Interface vom System als Gateway verwendet wird.</div><div><br /></div><div><br /></div><table align="center" cellpadding="0" cellspacing="0" class="tr-caption-container" style="margin-left: auto; margin-right: auto;"><tbody><tr><td style="text-align: center;"><a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEgVPbEnl-mwh83ObjLG70eosuoioyyEeVQV0uxtrlgIfohhdltlfpsmqANMxaADwXHHHWeJyeP9Mtt0tcV1dusmmH33IqO1MdLKeOGmBjEyleILlnziMGqIVadHcGJ_sO40uRtFWd8T-vQ/s1210/2021-01-24_09-18-15.png" style="margin-left: auto; margin-right: auto;"><img border="0" data-original-height="722" data-original-width="1210" height="382" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEgVPbEnl-mwh83ObjLG70eosuoioyyEeVQV0uxtrlgIfohhdltlfpsmqANMxaADwXHHHWeJyeP9Mtt0tcV1dusmmH33IqO1MdLKeOGmBjEyleILlnziMGqIVadHcGJ_sO40uRtFWd8T-vQ/w640-h382/2021-01-24_09-18-15.png" width="640" /></a></td></tr><tr><td class="tr-caption" style="text-align: center;">Gateway Routing</td></tr></tbody></table><br /><div><br /></div><div><br /></div><div><b>Peer erstellen pfSense</b></div><div><b><br /></b></div><div>Unter VPN, Wireguard, Tunnel bearbeiten, +Add peer, fügen wir nun den Remote Access hinzu.</div><div>Am besten nimmt man nun parallel noch das iOS Device dazu. Jetzt geht es unter anderem auch um den Schlüsselaustausch.</div><div><br /></div><div><b>Description: </b>Auch hier empfiehlt sich eine optionale Beschreibung</div><div><b>Public key: </b>Hier den öffentlichen Schlüssel vom iOS Client eintragen</div><div><b>Allowed IPs: </b>Hier gibt man die statische IP die man im Client konfiguriert ein. Als Beispiel hier: 10.7.24.10/32 und 2a02:168:79ef:724::10/128</div><div><b>Pre-shared key: </b>optional kann hier noch ein PSK generiert werden. Diesem müsste man im Client dann auch zusätzlich konfigurieren.</div><div><br /></div><div>Die anderen Werte wie Endpoint usw, sind für einen Remote Access nicht relevant.</div><div>Speichern via Update und beim Tunnel nochmals Save.</div><div><br /></div><table align="center" cellpadding="0" cellspacing="0" class="tr-caption-container" style="margin-left: auto; margin-right: auto;"><tbody><tr><td style="text-align: center;"><a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEiSozclQpzsqx7P-yho8u53v2clTP-VnR2JQ29DmFiaVSxtA4E56odY2VqSIYtkf71BDc1_RDDzyNeF1DgMs6icekVqSphIFZoJvM7AvcCmpvoxWYr8Loo0lKK1gw6wGPmtQMDrCvA17eE/s903/2021-01-24_10-48-31.png" style="margin-left: auto; margin-right: auto;"><img border="0" data-original-height="566" data-original-width="903" height="402" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEiSozclQpzsqx7P-yho8u53v2clTP-VnR2JQ29DmFiaVSxtA4E56odY2VqSIYtkf71BDc1_RDDzyNeF1DgMs6icekVqSphIFZoJvM7AvcCmpvoxWYr8Loo0lKK1gw6wGPmtQMDrCvA17eE/w640-h402/2021-01-24_10-48-31.png" width="640" /></a></td></tr><tr><td class="tr-caption" style="text-align: center;">Peer Konfiguration für iOS Remote Access Client</td></tr></tbody></table><br /><div><br /></div><h3 style="text-align: left;">Tunnel und Peer erstellen iOS Wireguard</h3><div>Im App Store kann man die offizielle Wireguard App herunterladen.</div><div>Es wird ein neuer Tunnel erstellt indem man auf das + oben rechts drückt und "Selbst erstellen" wählt.</div><div>Die Konfiguration gleicht man mit der Tunnel/Peer Konfiguration in der pfSense ab.</div></div></div><div><br /></div><div><br /></div><div><br /></div><div class="separator" style="clear: both; text-align: center;"><a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEh5fMUU9PyZhJ8htxuPexXZkqeU5FOxg1lIsj54gUoCy2i8BroQu_WHuu6t5iwxKtsiatnASTE_0N6y804Pn8ZIxJw3oP-_v2Qm9DWuYABdiqDuoHsaBVvKbMN-D1s0fXAPUPTQBtqfajw/s1696/Bildschirmfoto+2021-01-24+um+10.51.png" style="margin-left: 1em; margin-right: 1em;"><img border="0" data-original-height="1696" data-original-width="828" height="640" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEh5fMUU9PyZhJ8htxuPexXZkqeU5FOxg1lIsj54gUoCy2i8BroQu_WHuu6t5iwxKtsiatnASTE_0N6y804Pn8ZIxJw3oP-_v2Qm9DWuYABdiqDuoHsaBVvKbMN-D1s0fXAPUPTQBtqfajw/w312-h640/Bildschirmfoto+2021-01-24+um+10.51.png" width="312" /></a></div><div class="separator" style="clear: both; text-align: center;"><br /></div><div class="separator" style="clear: both; text-align: left;">Zuerst wird die Schnittstelle konfiguriert, danach innerhalb der Schnittstelle der Peer.</div><div class="separator" style="clear: both; text-align: left;"><br /></div><div class="separator" style="clear: both; text-align: left;"><b>Name: </b>Beliebiger Name für den Tunnel</div><div class="separator" style="clear: both; text-align: left;"><b>Öffentlicher Schlüssel: </b>Hier steht der public Key den man in der App generieren kann und in die Peer Konfiguration der pfSense kopiert.</div><div class="separator" style="clear: both; text-align: left;"><b>Adressen: </b>Hier gibt man die statischen IP's ein die man im Client nutzen will. Diese korrespondieren mit den allowed IP's aus der Peer Konfiguration der pfSense. In diesem Beispiel: 10.7.24.10/32 und 2a02:168:79ef:724::10/128</div><div class="separator" style="clear: both; text-align: left;"><b>DNS: </b>Hier gibt man den DNS Server ein die der Client nutzt <strike>(Vermutlich Bug related kann ich hier noch nicht den DNS Server des Tunnel Interfaces verwenden)</strike> Es kann auch der lokale DNS Resolver genutzt werden indem man die IP des wg Interfaces angiebt.</div><div class="separator" style="clear: both; text-align: left;"><br /></div><div class="separator" style="clear: both; text-align: left;">Die Peer Konfiguration ist folgend.</div><div class="separator" style="clear: both; text-align: left;"><br /></div><div class="separator" style="clear: both; text-align: left;"><b>Öffentlicher Schlüssel: </b>Hier kopiert man den public Key des pfSense Tunnels rein.</div><div class="separator" style="clear: both; text-align: left;"><b>Endpunkt: </b>Ist die IP, bzw. FQDN des Servers (öffentliche IP der pfsense) mit der Portangabe (Port den man für den Tunnel definiert hat). zB vpn.deindns.org:51820</div><div class="separator" style="clear: both; text-align: left;"><b>Zulässige IP: </b>Hier definiert man welche IP's über den Tunnel gerostet werden sollen. Soll zB nur ein bestimmtes Netz erreicht werden, gibt man dieses hier ein. Möchte man das der gesamte Remote Access Traffic über den Tunnel geoutet wird, gibt man folgendes ein: 0.0.0.0/0, ::0/0</div><div class="separator" style="clear: both; text-align: left;"><b>On-Demand:</b> Wireguard bietet hier die Möglichkeit, dass sich der Tunnel je nachdem auch automatisch verbinden wenn man sich im Mobilen Netz oder Wifi befindet.</div><div class="separator" style="clear: both; text-align: left;"><br /></div><div class="separator" style="clear: both; text-align: left;"><br /></div><h3 style="text-align: left;">pfSense Firewall rules</h3><div>Bevor man nun den Tunnel aktivieren kann, bzw, dieser auch funktioniert, braucht es noch mindestens 2 Firewall Regeln.</div><div><br /></div><h4 style="text-align: left;">WAN:</h4><div>Unter Firewall, Rules WAN Interface:</div><div>Es ist eine Regel zu erstellen die den UDP Traffic auf den definierten Wireguard Port erlaubt.</div><div>In diesem Fall hier im Dualstack auf Port 51820.</div><div><br /></div><table align="center" cellpadding="0" cellspacing="0" class="tr-caption-container" style="margin-left: auto; margin-right: auto;"><tbody><tr><td style="text-align: center;"><a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEixyOp5ThRPfZfwmGOu54-IOu50K9O7_HDuUTljLgZu-iO4VYCBAqGt3ea7IC1mQwWm-vq19PSoYnZuqieu3MNT64Inj0P9RNrWEd6iu7ZhR4VahB2FhLVhypKiBHEELRb_hcXJ6vRpP4I/s1164/2021-01-24_11-22-00.png" style="margin-left: auto; margin-right: auto;"><img border="0" data-original-height="763" data-original-width="1164" height="420" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEixyOp5ThRPfZfwmGOu54-IOu50K9O7_HDuUTljLgZu-iO4VYCBAqGt3ea7IC1mQwWm-vq19PSoYnZuqieu3MNT64Inj0P9RNrWEd6iu7ZhR4VahB2FhLVhypKiBHEELRb_hcXJ6vRpP4I/w640-h420/2021-01-24_11-22-00.png" width="640" /></a></td></tr><tr><td class="tr-caption" style="text-align: center;">Incoming WAN Rule</td></tr></tbody></table><br /><h4 style="text-align: left;">Wireguard Interface Rule:</h4><div>Nun muss man natürlich noch den Traffic für das Wireguard Interface selber erlauben.</div><div>pfSense hat unter den Firewall Rules jetzt schon 2 Reiter erstellt. Einen generellen Reiter Wireguard, welchen alle Wireguard Interfaces umfasst (mann kann ja mehrere erstellen), sowie unser Interface welches wir für den remote Access erstellt haben.</div><div>Ich bearbeite hier nur das Remote Access Interface.</div><div>Damit Traffic möglich ist, kann man eine any, any Rule erstellen. Je nach Konzept wird das hier natürlich anders konfiguriert.</div><div><br /></div><div class="separator" style="clear: both; text-align: center;"><a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEh-aj8P6AsttHnHWmSn9m6w1ljjF1h_W_mICk0uFWvVg9PVm18itgj6T2P2fHY5alcx27qWAqa59Q445vTEKXnX5n-O33LXTzlH18BaNyTpJVzxjSGA7yk3bqNz88s72vyZVkYJJsewZiQ/s1157/2021-01-24_11-28-33.png" style="margin-left: 1em; margin-right: 1em;"><img alt="Wireguard Interface Rule" border="0" data-original-height="647" data-original-width="1157" height="358" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEh-aj8P6AsttHnHWmSn9m6w1ljjF1h_W_mICk0uFWvVg9PVm18itgj6T2P2fHY5alcx27qWAqa59Q445vTEKXnX5n-O33LXTzlH18BaNyTpJVzxjSGA7yk3bqNz88s72vyZVkYJJsewZiQ/w640-h358/2021-01-24_11-28-33.png" width="640" /></a></div><br /><div><br /></div><h4 style="text-align: left;"><br /></h4><br /><div>So das wäre es damit auch schon. Ab sofort kann man in der App das Wireguard Interface aktivieren und nutzen.</div><div>Viel Spass dabei. Hast du Fragen oder Anmerkungen, lass es mich in den Kommentaren wissen.</div><div><br /></div><div><br /></div>Tux0nehttp://www.blogger.com/profile/00729275216054548167noreply@blogger.comtag:blogger.com,1999:blog-4882299951105462615.post-63106930688975630482021-01-22T18:09:00.003+01:002021-01-27T15:59:43.202+01:004 Nullen und die Reisschüssel<h2 style="text-align: left;">10gbps oder was ist ein Marketingopfer</h2><p style="font-family: "Helvetica Neue"; font-size: 11px; font-stretch: normal; line-height: normal; margin: 0px;"><br /></p><p style="font-family: "Helvetica Neue"; font-size: 11px; font-stretch: normal; line-height: normal; margin: 0px;"><br /></p><br /><br />Immer wieder lese ich das man bei Swisscom die angepriesenen 10Gbps nicht erreicht. Das sei Betrug oder unlauter. Andererseits werden Post’s gemacht wo der interne Speedtest um die 8Gbps zum Test-Server bringt.<br /><br />Wiederum andere kaufen sich sowohl ein Huawei wie auch ein Zyxel XGS PON taugliches Gateway, da diese immerhin einen echten 10gbps Ethernet Anschluss haben und damit zumindest annähernd die theoretisch maximal erreichbare Geschwindigkeit von 8.8gbps erreicht werden.<br /><br />Vergleiche mit Autos und PS werden gebracht. Immer. Man kennt es. Unter Männern muss das Auto als Vergleich hinhalten.<br /><br />So, Lineal auf den Tisch, wer hat den längsten Schwanz? Jetzt rede ich auch mal über Marketing und nutze dazu ebenfalls Autos.<br /><br /><br /><br /><br />10 Gbps XGS PON, für die Kunden die das schnellste und beste wollen, so die Swisscom.<br /><br />Bis zu 10gbps ist bei Swisscom mit einem Abo Internet L erhältlich. Dieses kostet nackt ohne weitere Extras 90 CHF. Kennt ihr den Vergleich mit der Automarke mit den 4 Nullen und einer beliebigen Reisschüssel? Nicht? Dann lernt ihr ihn nun kennen.<br /><br /><br /><br /><br />Swisscom gilt klar als Premiummarke und kann daher mit der Automarke Audi verglichen werden. Passend zum eigentlichen Produkt das ausser Marketing nicht viel Wert hat, fährt man mit 4 Nullen rum. Das ist bei Swisscom nicht anders!<br /><br /><br /><br /><br />Der Marktpreis für bis zu 10 Gbps XGS PON liegt in der Schweiz nämlich bei etwa 50 CHF.<br /><br />Ja bei Salt kann man 10gbps für 49.95 CHF haben.<br /><br />Salt ist nun unsere Reisschüssel. Nicht weil es eigentlich Franzosen sind, sondern weil bei diesen 49.95 CHF noch mehr dabei sind.<br /><br />Du bekommst ein Internet von bis zu 10gbps, dein Router hat einen echten 10gbps Ethernetanschluss. Dabei sind noch ein wirklich gutes TV (das man zu allem auch noch OTT nutzen kann) mit 7 Tagen Replay und 500 Aufnahmen. Vorbei? Nein, denn es hat auch noch einen Festnetzanschluss mit Schweizer Flat.<br /><br />Das wie gesagt für 49.95 CHF. Gut das Image und Prestige ist nicht so gut wie bei einer Premiummarke. Es genügt aber absolut. Nein die Pannenstatistik gegenüber dem Premium ist sogar noch besser…<br /><br />Haben wir was vergessen? Ja die apple TV Box ist dazu. Kann man Netflix, Disney+ und vieles mehr darauf laden.<br /><br /><br /><br /><br />Kommen wir nun wieder zu der Marke mit den 4 Nullen. 90 CHF Internet nackt. Swisscom TV dazu und noch ein Festnetz, zack du bist bei 140CHF. Ja der elektrische Fensterheber kostet natürlich Aufpreis. Du fährst nicht besser. Aber auf Instagram kannst du schöne Bilder posten. Wenn deine Mühle wieder mal liegen bleibt, erwähnst du das natürlich nicht.<br /><br /><br /><br /><br />So ist es jetzt in der Natur des Audi Fanboy, bzw. Swisscom, dass der Blutdruck bereits ein bisschen gestiegen ist. Im Quattro Fanboyforum spricht man es sich dann wieder schön und die Reisschüssel schlecht. Hey, dass Marketing funktioniert so gut, dass ihr locker das doppelte bezahlt ohne wirklichen Mehrwert.<br /><br /><br /><br /><br />Kann man machen. Aber wisst ihr was. Ihr seit echte Marketingopfer und es ist mir sogar egal.<br /><br />Genauso wie man über Influenzer in Instagram den Kopf schüttelt, so schütteln Techniker den Kopf über Speedpost mit XGS PON oder der Aussage bei Swisscom sei alles besser. Mir bleibt der Automechaniker im Kopf der bei der Merbag gearbeitet hat. Ich habe ihn gefragt was er den für einen Benz hat? Mit grossen Augen schaut er mich an. „Spinnst du, viel zu teuer, ich fahre Toyota!“<br /><br />Wisst ihr was. 10gps sind aktuell für die Tonne. Meine 95th Percentile liegt bei 18mbps bei eine 1Gbps Anschluss und das ist vermutlich schon sehr hoch! Peering, tiefe Latenz, Verfügbarkeit und Zuverlässigkeit, das ist wichtig und nicht ein Speedpost der nichts bringt.<br /><br /><br /><br /><br /><br /><br /><br />Damit will ich nicht sagen, wechselt alle zu Salt. Nein natürlich nicht. Ich sage, wechselt alle zu Init7 :) Und natürlich müsst ihr das auch nicht machen. Jeder Provider hat seine Vor und Nachteile und ich denke das es zu jedem Kunden einen passenden gibt. Doch der passende Provider ist nicht der mit dem lautesten Marktgebrüll.<br /><br /><br /><br /><br />Hebeds guet.Tux0nehttp://www.blogger.com/profile/00729275216054548167noreply@blogger.comtag:blogger.com,1999:blog-4882299951105462615.post-35200701077778124142019-11-14T11:31:00.000+01:002019-11-19T20:28:23.413+01:00Swisscom Box mit Entertainment OS4<h2>
Swisscom's Start ins Voice Assistant Geschäft</h2>
<div>
<br /></div>
<h3>
Einleitung</h3>
<div>
<a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEjIoAs6fkjoF60yMYMPYIxkDKW-7ChVVlrS6f1R3AvD-zIUoH-ZTqHrCwE5japUjM8zoOwfJ9m9xJcvmqromaIGZ2q5cwJbm3vjIHNcIsdwdCAoU8Ke7KaNn6E1s2rcAZNzznlcRDfkmZc/s1600/IP2000_2_small.jpg" imageanchor="1" style="clear: right; float: right; margin-bottom: 1em; margin-left: 1em;"><img border="0" data-original-height="306" data-original-width="544" height="180" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEjIoAs6fkjoF60yMYMPYIxkDKW-7ChVVlrS6f1R3AvD-zIUoH-ZTqHrCwE5japUjM8zoOwfJ9m9xJcvmqromaIGZ2q5cwJbm3vjIHNcIsdwdCAoU8Ke7KaNn6E1s2rcAZNzznlcRDfkmZc/s320/IP2000_2_small.jpg" width="320" /></a>"Hey Swisscom", so soll es bald in Schweizer Stuben ertönen.<br />
Heute hat die <a href="https://www.swisscom.ch/de/privatkunden.html" target="_blank">Swisscom</a> in Zürich ihre neuste Generation von TV Box vorgestellt. Eine Kombination aus Settop-Box und <a href="https://de.wikipedia.org/wiki/Smart_Speaker" target="_blank">Smart Speaker</a>, womit die Swisscom ihre Reise mit der Entwicklung eines <a href="https://de.wikipedia.org/wiki/Intelligenter_pers%C3%B6nlicher_Assistent" target="_blank">Voice Assistent</a> fortsetzt.<br />
Genannt wird dieses neue Gadget schlicht <b>Swisscom Box</b>. Tux0ne konnte das Gerät nun schon einige Wochen im Voraus testen und als erste Box im Kundennetz in Betrieb nehmen sowie die Entwicklung begleiten. Da die Katze nun aus dem Sack ist (Weidenkätzchen) könnt ihr hier einen von der Pressekonferenz weitestgehend unabhängigen Bericht zur neuen Box lesen. <br />
<br /></div>
<div>
Der Beitrag wiederspiegelt meine persönliche Meinung und wurde nicht durch Swisscom bezahlt noch explizit gebilligt. Wie immer :)</div>
<div>
<br />
<a name='more'></a><br /></div>
<h3>
Swisscom Box Hardware</h3>
<div>
<br />
<div class="separator" style="clear: both; text-align: center;">
</div>
<table cellpadding="0" cellspacing="0" class="tr-caption-container" style="float: left; margin-right: 1em; text-align: left;"><tbody>
<tr><td style="text-align: center;"><a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEgXgmBZCgkwb2TvDlsNxBzeg8gl6YZklmyXN0Hsy-p6hoLgHdvzBB6qhHGkJQUYu7H5c1VGfa17JLhRGP0KqEW7Pf8anXNyNIMdVWiLPHIAn8mkAaK5lBjX45835Su3D9uUytcg9W7tOUc/s1600/bild.png" imageanchor="1" style="clear: left; margin-bottom: 1em; margin-left: auto; margin-right: auto;"><img border="0" data-original-height="810" data-original-width="814" height="318" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEgXgmBZCgkwb2TvDlsNxBzeg8gl6YZklmyXN0Hsy-p6hoLgHdvzBB6qhHGkJQUYu7H5c1VGfa17JLhRGP0KqEW7Pf8anXNyNIMdVWiLPHIAn8mkAaK5lBjX45835Su3D9uUytcg9W7tOUc/s320/bild.png" width="320" /></a></td></tr>
<tr><td class="tr-caption" style="text-align: center;">Die Kundenversion erscheint heller als auf dem Bild. <br />
Vielen Dank für den Hinweis Roman.</td></tr>
</tbody></table>
Die neue TV Box wird von <a href="http://www.arcadyan.com/home.aspx" target="_blank">Arcadyan</a> hergestellt und trägt die Bezeichnung IP2000.<br />
Optisch scheint man sich am <a href="https://store.google.com/?srp=/product/google_home_mini" target="_blank">Google Home</a> mini zu orientieren und sich bei der Textur, die sie <a href="https://www.compo.de/ratgeber/pflanzen/gartenpflanzen/weidenkaetzchen" target="_blank">Weidenkätzchen Grau</a> nennen, im <a href="https://www.ikea.com/de/de/news/symfonisk-wifi-lautsprecher-moebel-pubaafe6500" target="_blank">Ikea Regal</a> bedient zu haben.</div>
<div>
Sie ist quadratische 13cm mit einer abgerundeten Form und gute 5cm hoch. Damit ist sie gegenüber der UHD <a href="https://www.swisscom.ch/de/privatkunden/hilfe/geraet/swisscom-tv/swisscom-tv-uhd-20.html#Installation_und_Anschluesse" target="_blank">Vorgängerbox</a> rund 1.5cm breiter und 2cm höher. Die Höhe ergibt sich durch den zusätzlichen Einbau eines Lautsprechers sowie der Unterbringung eines Mikrofons.</div>
<div>
Bezüglich einer Flat TV Montage an der Wand können sich dadurch Probleme ergeben, wobei Swisscom die <br />
Aufstellung der Box zwecks Spracherkennung auf einem Sideboard öä. empfiehlt und nicht hinter einem TV versteckt.</div>
<div>
Das Netzteil ist das selbe wie bei den Internet Boxen als auch der UHD TV Box. Allerdings ist der Energieverbrauch gegenüber der UHD Box gestiegen. Dies war während dem Test jedenfalls so messbar. Eventuell verbessert sich der Wert noch wenn die Assistant Komponente in Zukunft komplett deaktiviert werden kann. Zu wünschen wäre es, zumal gemäss Swisscom die Swisscom Box die neue Standard TV Box ist und jedem Kunden so ausgeliefert wird. Also auch den Kunden die gar keinen Sprachassistenten nutzen wollen und werden. Weiter ist ein gestiegener Energieverbrauch nicht im Sinne der aktuellen Klimawahl.</div>
<div>
<br /></div>
<h4>
Zu den technischen Kennzahlen:</h4>
<b>Fernbedienung</b><br />
<div>
<br /></div>
<div>
> Bluetooth 5.0 Low Energy<b><br /></b>> Benötigt keine Sichtverbindung zur Swisscom Box<br />
> Sprachsuche über Push-To-Talk (eingebautes Mikrofon)<br />
> AV Quellenwahl für den TV (Source Button)<br />
> 2 AAA-Batterien<br />
> Verbesserte Ergonomie<br />
<br />
<b>Anschlüsse der Swisscom Box</b><br />
> Infrarot Extender<br />
> USB 3.0 (USB A)<br />
> HDMI 2.0b<br />
> Gigabit Ethernet-Port<br />
> Audio Out (Kombi-Anschluss analog 3.5mm-Klinkenstecker und digital mini TOSLink)<br />
> 802.11ac WLAN<br />
> Anschluss für externes Netzteil (gleiches Netzteil wie bei der TV Box (UHD) kann verwendet werden)<br />
<br />
<b>Wireless</b><br />
<br />
> Bluetooth 5.0 Low Energy<br />
> 802.11ac WLAN (5 GHz)<br />
<br />
<b>Prozessor</b><br />
<div>
<b><br /></b>> Synaptics Quad Core ARM Cortex A53 mit 64 Bit Architektur<br />
<br />
<b>Video</b><br />
<br />
> Bis zu 2160p50 Ultra High Definition<br />
> HDR Unterstützung für HDR10 (PQ), HLG, Dolby Vision</div>
<div>
<br />
<b>Audio</b><br />
<br />
> Dolby Audio (DD2.0, DD5.1, DDP2.0, DDP5.1)<br />
> DTS 2.0 + Digital Out<br />
> DTS TruVolume<br />
> Eingebauter 3W Lautsprecher<br />
> Sprachsuche mittels zweier Far Field Mikrofone (der Schalter rechts an der Swisscom Box trennt die Mikrofone physikalisch)<br />
<br />
<b>Textilbespannung</b><br />
<br />
> Wasserabweisend<br />
> Gestricktes synthetisches Spezial-Textil für akkutische Geräte<br />
> Farbe: Weidenkätzchen Grau<br />
<br />
<b>Lieferumfang</b><br />
<br />
> Swisscom Box<br />
> SCTV RC2000 Fernbedienung<br />
> Batterien (2 x AAA)<br />
> Ethernet-Kabel (10m)<br />
> HDMI Premium zertifiziertes Kabel (1.8m)<br />
> Netzteil 12VDC/1.5A > Kurzanleitung</div>
</div>
<div>
<br /></div>
<div>
Besonderheit gegenüber den Vorgängern (neben dem Mikro und Lautsprecher) ist damit die verbesserten Netzwerkanbindung. Endlich hat die TV Box einen Giga Ethernet Anschluss. Damit ergeben sich in Cornecases auch keine Probleme mit Netgear Switches welche mit 100Mbps Links in Sättigung geraten konnten.</div>
<div>
Übrigens konnte ich den alten USB IR Dongle zur einer <a href="https://www.logitech.com/de-ch/harmony-universal-remotes?filters=consumer" target="_blank">Harmony</a> Fernbedienung problemlos 1:1 umstecken und sogleich die Box darüber steuern. Auch das nun Dolby Atmos unterstütz werden wird ist sicher eine Erwähnung wert.</div>
<div>
Die neue formschöne Fernbedienung konnte ich im Test noch nicht in den Händen halten.</div>
<div>
<br /></div>
<h3>
Swisscom Entertainment OS 4</h3>
<div>
<table cellpadding="0" cellspacing="0" class="tr-caption-container" style="float: right; margin-left: 1em; text-align: right;"><tbody>
<tr><td style="text-align: center;"><a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEjAxni6uY5jdXBwzOqCBTu_YbZnWiv682qP-i7qLJp2b27yS4VUrgjLd0O2kOyPVvBiTE9f2PtVpRADII3jRP6C1yL_kTcxrOkuC87Lo7PsqmlED6jG_hOyCbtolgped76m0SPzsSn6XmU/s1600/home.png" imageanchor="1" style="clear: right; margin-bottom: 1em; margin-left: auto; margin-right: auto;"><img border="0" data-original-height="869" data-original-width="1227" height="226" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEjAxni6uY5jdXBwzOqCBTu_YbZnWiv682qP-i7qLJp2b27yS4VUrgjLd0O2kOyPVvBiTE9f2PtVpRADII3jRP6C1yL_kTcxrOkuC87Lo7PsqmlED6jG_hOyCbtolgped76m0SPzsSn6XmU/s320/home.png" width="320" /></a></td></tr>
<tr><td class="tr-caption" style="text-align: center;">Home Screen</td></tr>
</tbody></table>
Mit der Swisscom Box wird auch Entertainment OS 4 eingeführt.</div>
<div>
Das Userface wurde überarbeitet. Der mit OS 3.2 eingeführte und aktuell weitestgehend beliebte Dark-mode wird zum Standard. Der helle Modus gibt es sogar nicht mehr. Damit hat man sich von der grauen Tapete welcher das Bild von Swisscom TV seit dem Wechsel zu Android prägte verabschiedet. Nicht ganz, da die graue Tapete in Form der Weidenkätzchentextur zumindest die STB selber noch bespannen darf.</div>
<div>
Wer nun beim durchgängig dunklem Design Mühe mit dem Lesen bekunden, kann dafür die Schriftgrösse auf gross stellen und so eine Verbesserung erzielen.</div>
<div>
Auffällig ist ebenfalls der Hintergrund im Homescreen, welcher nun mit grossen hochauflösenden Bildern der jeweiligen Sendung oder Titels füllt. Insgesamt wirkt EOS4 damit moderner und gleicht sich den bekannten <a href="https://de.wikipedia.org/wiki/Over-the-top_content" target="_blank">OTT</a> Anbietern wie <a href="https://www.netflix.com/ch/" target="_blank">Netflix</a> und <a href="https://www.amazon.de/Amazon-Video/b?ie=UTF8&node=3010075031" target="_blank">Amazon Prime Video</a> an. Darunter leidet meiner Meinung nach etwas die Steuerung da die Ladezeiten durch die grossen Bilder nicht kürzer wurden. Eventuell ist es auch nur ein Gefühl, aber die Navigation dünkt mich träger. Kann auch an dem Bildlauf der übergrossen Bilder auf meinem nicht ganz kleinen TV Screen liegen also einem psychologischen Effekt.</div>
<div>
Neu sind auch die zusätzlichen Banner, Themenwelten oder Deeplinks im Homescreen. So lassen sich die Banner von Netflix, Sky und DAZN aktivieren und damit Inhalte dieser Apps direkt aus dem Homescreen abrufen. Bezüglich Netflix ist zu sagen, dass Swisscom das <a href="https://www.hifi-regler.de/wissenswertes_und_kaufberatung/heimkino_technik/bild/24p_ruckeln.php" target="_blank">24p Ruckeln</a> leider noch immer nicht gelöst hat und damit für mich immer noch unbrauchbar ist.</div>
<div>
Weiter wurden wie immer viele weitere kleine Dinge verbessert dazu zB: Serienaufnahmen sind nun über alle Sender möglich die Voice Services wurden erweitert (dazu mehr im nächsten Kapitel), bei den Aufnahmen wird die Filmrolle des Schauspielers angezeigt. Insgesamt hat man mit Swisscom TV aber bereits ein so hohes Level erreicht, dass Neuerungen inzwischen nur noch marginal sind.<br />
EOS4 wird voraussichtlich nur auf der UHD Box und der Swisscom Box released werden. Die HD Box selber ist auch bezüglich Android Updates so langsam am Ende angekommen.</div>
<div>
<br /></div>
<div>
Eine Neuerung die technisch interessant ist und sicher auch kontrovers diskutiert werden wird und von den Konsumenten bejubel, ist Sharp Start und Skip Add.</div>
<div>
<br /></div>
<table align="center" cellpadding="0" cellspacing="0" class="tr-caption-container" style="margin-left: auto; margin-right: auto; text-align: center;"><tbody>
<tr><td style="text-align: center;"><a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEhSyHUEbTNydTzZQt54KC9EWwPLRTofHCbcGl7Rz7q84xIhN04i0MfC2oFavz3CxljHcjOXNWFfWE2qtlXLlJKyE822wJ3jrKWXJSSfscwRhHh40PZC8a-Xl5GO3OQnMteC7iO0060loP0/s1600/netflix.png" imageanchor="1" style="margin-left: auto; margin-right: auto;"><img border="0" data-original-height="614" data-original-width="1118" height="218" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEhSyHUEbTNydTzZQt54KC9EWwPLRTofHCbcGl7Rz7q84xIhN04i0MfC2oFavz3CxljHcjOXNWFfWE2qtlXLlJKyE822wJ3jrKWXJSSfscwRhHh40PZC8a-Xl5GO3OQnMteC7iO0060loP0/s400/netflix.png" width="400" /></a></td></tr>
<tr><td class="tr-caption" style="text-align: center;">Netflix Banner im Standbild noch ohne 24p Geruckel</td></tr>
</tbody></table>
<div>
<br /></div>
<h4>
Sharp Start und Skip Add</h4>
<div>
<table cellpadding="0" cellspacing="0" class="tr-caption-container" style="float: right; margin-left: 1em; text-align: right;"><tbody>
<tr><td style="text-align: center;"><a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEi-txxA3qy0-3yKuQXBBRean13OFaLC2_Z3y_U_9L9XZ_P_EmuCRZ01TkP9D6rl5u91SPjYENDAKV55BwLC5tOmDHqLD-oZV-kYGpMT7UM8MNPuu30x3QunZs39ztmfz-anw8yIxryNQp4/s1600/skip+ad.png" imageanchor="1" style="clear: right; margin-bottom: 1em; margin-left: auto; margin-right: auto;"><img border="0" data-original-height="647" data-original-width="1157" height="178" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEi-txxA3qy0-3yKuQXBBRean13OFaLC2_Z3y_U_9L9XZ_P_EmuCRZ01TkP9D6rl5u91SPjYENDAKV55BwLC5tOmDHqLD-oZV-kYGpMT7UM8MNPuu30x3QunZs39ztmfz-anw8yIxryNQp4/s320/skip+ad.png" width="320" /></a></td></tr>
<tr><td class="tr-caption" style="text-align: center;">Swica, sie können mich bezüglich Bezahlung<br />
dieses Adds gerne bei mir melden</td></tr>
</tbody></table>
Swisscom hat eine Bilderkennung entwickelt welche den genauen Startzeitpunkt einer Sendung sowie den Start einer Werbung sowie dessen Ende erkennt. Somit werden Aufnahmen genau beim korrekten Start der Sendung abgespielt und die Werbung kann einfach übersprungen werden! Ja richtig, Werbung kann man fast automatisch überspringen. Dazu reicht ein Knopfdruck beim Einblender oder ein Sprachbefehl. Und genau diese Funktion wird die Senderanbieter auf den Plan rufen. Einerseits ist es klar das der Konsument eigentlich kaum Werbung will, andererseits finanzieren sich diese Sender mit eben dieser Werbung. Die Industrie schafft es bisweilen aber nicht einen Standard und genaue Regelungen zu treffen wann wie und wo Werbung übersprungen werden kann. Das ist Schade und würde solche proprietären Lösungen unnötig machen.</div>
Die Funktion sharp start und skip add steht aktuell nur auf wenigen Sendern und nur bei Aufnahmen (nicht Replay) zur Verfügung. Dies wären im Moment SRF1, ORF1, ZDF, 3+, VOX, RTL, Pro7, DMAX und Super RTL, RTS un, RSI 1.<br />
<div>
<br /></div>
<h3>
Sprachassistent</h3>
<div>
Der TV Boxen Teil wäre damit eigentlich abgeschlossen. Kommen wir nun noch zur grössten Neuerung, dem Sprachassistenten. Dieser oder diese, es ist nämlich eine Sie die antwortet, hört auf Hey Swisscom.</div>
<div>
Ist der Schweizer Konsument bereit für einen Sprachassistenten? Diesen Versuch will die Swisscom starten und findet die TV Box genau den richtigen Ort um damit zu beginnen.</div>
<div>
Wie schon erwähnt soll die neue Swisscom Box die Standard TV Box bei neuen Bestellungen sein.</div>
<div>
Damit können potentiell viele dieser Sprachassistenten in die Stube verteilt werden.</div>
<div>
Sind Sprachassistenten gut oder böse? Dieses Thema werden wir hier nicht erörtern. Ich finde jeder sollte selber abwägen ob ihm der Komfort eines Sprachassistenten mehr Wert ist als die potentielle Gefahr der Privatsphäre. Kann Swisscom mit der Swissness gegenüber der Amerikanischen Konkurrenz in diesem Bereich punkten? Ja möglich das viele daran glauben. Hier möchte ich nur anfügen das bei Swisscom schon verschiedenste Datenpannen stattgefunden haben. Daten wurden abgefischt, Daten sind auch schon verloren gegangen. Daten werden bei <a href="https://www.swisscom.ch/de/privatkunden/mycloud.html" target="_blank">mycloud</a> entgegen der üblichen Industriestandards nicht verschlüsselt abgelegt usw.. Swisscom ist in diesem Bereich also noch sehr jung, hat Fehler begannen und sie teilweise noch nicht korrigiert kann aber wie jeder andere noch lernen.</div>
<div>
Wen das Wort Swiss aber beruhigt, kann mit diesem Sprachassistenten sicher mal einen sanften Start wagen. Ich selber würde mich bezüglich Sprachassistenten als Erfahren bezeichnen, nutze ich doch selber Goggle Assistant (und nutzte Alexa) mit vielen Skills, kann den Swisscom Sprachassistenten bezüglich Funktionen durchaus beurteilen.</div>
<div>
<br /></div>
<div>
Im Auslieferzustand ist der Sprachassistent der Swisscom Box deaktiviert was auch mit einer zusätzlichen roten LED im Betrieb signalisiert wird. Wer die Sprachsteuerung der Box nutzen möchte, muss dazu auf der Seite den Mikrofon Schalter auf Ein stellen. Ab diesem Moment hört die Swisscom Box zu und versucht das Aktivierungswort lokal zu erkennen. Es werden also noch keine Daten an Swisscom gesendet. Das Aktivierungswort lautet Hey Swisscom und lässt sich nicht ändern. Ein etwas besonderer Fetisch. Hey Swisscom durch die Wohnung zu rufen und dies nicht zu leise, da die Erkennung der Box relativ schwach ist, wird wohl nicht jedermanns Sache sein.</div>
<div>
Erkennt die Swisscom Box aber das Aktivierungswort, werden die folgenden 7 Sekunden gesprochenes an Swisscom übermittelt wo die AI mittels Sprach- und Absichtserkennung versucht einen Befehl auszuführen. Dies wird mit einem pulsieren der etwas gar hell geratenen LED Dioden an der TV Box signalisiert.</div>
<div>
Eine Variante light des Sprachassistenten besteht übrigens über die Fernbedienung. Wer nicht möchte das da eine TV Box die ganze Zeit zuhört und allenfalls Gespräche übermittelt weil das Aktivierungswort falsch erkannt wurde, kann die Sprachsteuerung via Fernbedienung nutzen. Dies ist schon aus der früheren Version von Entertainment OS bekannt als <a href="https://www.swisscom.ch/de/privatkunden/abos-tarife/inone-home/digital-tv/smartremote-tvbox.html" target="_blank">Smart Remote</a>, jetzt einfach mit zusätzlichen Befehlssätzen.</div>
<div>
In den Einstellungen der TV Box lässt sich noch einstellen ob Personen die Texte anhören, transkribieren und Befehlen zuordnen dürfen. Das können und werden gemäss Datenschutzbestimmungen auch sein, externe Firmen aus dem EU Raum. Es ist nicht anzunehmen das Swisscom dafür nun eine eigene Abteilung aus dem Boden gestampft hat. Aber ja, wer will darf Annehmen das Trudi von der 111 nun in dieser Abteilung arbeitet und auf ihre Pension wartet. Hoi Trudi. Die Daten werden bis zu 5 Jahren aufbewahrt.</div>
<div>
<br /></div>
<div>
Die Swisscom Box erkennt Deutsch, Schweizerdeutsch, Französisch, Italienisch, Englisch und kein Rumantsch. Durch gesammelte Stimmproben bei Kunden die dies nicht verweigern wird die Erkennung wie bei jedem Assistant stetig besser.</div>
<div>
<br /></div>
<div>
Aber was kann der Sprachassistent bisweilen?</div>
<div>
Man kann das TV Gerät steuern , Ein- Ausschalten (bei aktiviertem HDMI CEC) sowie die Lautstärke regeln.</div>
<div>
Die Navigation innerhalb von Entertainment OS ist bereits seit Smart Remote möglich. Weiter sind die Klassiker wie Wetterbericht und Nachrichten abhören oder Radio über Tune in abspielen möglich.</div>
<div>
Mittels <a href="https://www.swisscom.ch/de/privatkunden/smartlife/home-app.html" target="_blank">Home App</a> sollen sich noch weitere Skills aktivieren lassen wie Sonos, Philips Hue und Ikea Tradfri. Die Auswahl ist da stark beschränkt. Zudem funktioniert die Home App leider nur wenn man eine Internet Box als Gateway hat. Das ist schlecht weil man Skills auch unabhängig einer Internet Box aktivieren können dürfen und müsste.</div>
<div>
Weiter werden die Swisscom eigenen / bemutterten Skills wie <a href="https://mystrom.ch/de/" target="_blank">myStrom</a>, myCloud und die Internet Box selber (Wifi steuern) bedient.</div>
<div>
Swisscom will gemäss eigenen Angaben nicht den Umfang von Googel Assistant oder Alexa haben sondern sich auf wenige Produkte beschränken.</div>
<div>
Umgekehrt würde es für einige wohl eher Sinn machen das man einen Swisscom TV Skill für andere Sprachassistenten entwickelt, wie es zB. myStrom vorbildlich hat...</div>
<div>
</div>
<div>
Eingangs erwähnte ich, das die Swisscom TV Box ein Smart Speaker ist. Tut mir leid wenn ich da euch angelogen habe. Technisch gesehen ist die STB ein Smart Speaker. Aber das Ziel des eingebauten Lautsprechers ist aktuell selbst der Swisscom noch nicht bekannt. Zwar kann der Speaker bisweilen sprechen (sehr selten funktioniert das aktuell), aber zB Radio abspielen oder Musik hören, ist über diesen nicht möglich. Ob das bei der beschiedenen Qualität des Speakers auch überhaupt Sinn ergeben würde ist zwar fraglich. Der Wunsch eines vom Fernseher unabhängigen Radios hingegen wird aber immer wieder geäussert.</div>
<div>
<br /></div>
<div>
<br /></div>
<div>
Das Management von Swisscom geht mit der Swisscom Box eine Wette ein ob sie ihren Sprachassistenten an den Mann bringen kann und damit einen zusätzlichen Markt erschliessen wird.</div>
<div>
Swisscom Box, ein Name mit viel Aussagekraft. Nicht der Router, dass eigentliche Herzstück eines Netzwerkes und aller Internetservices trägt den Namen Swisscom, sondern everybody's darling die TV Box. Swisscoms Products & Marketing springt auf die TV Box um ihr Geschäftsfeld und Bündelung der Services und Produkte voranzutreiben. Jeder macht Smartspeaker, klar das PMK als Copycenter vieler Produkte hier auch einsteigen möchte. Weil PMK ab 2020 auch Sales & Services übernimmt, da Marc Werner sich in der Chemie <a href="https://www.netzwoche.ch/news/2019-10-31/swisscom-verliert-seinen-service-chef-und-legt-abteilungen-zusammen" target="_blank">versucht</a>, kann man sich auch vorstellen den Support mittels Voice und einer AI anzubieten. Eventuell heisst es ja bald: " Hey Swisscom ... warum funktioniert meine Portweiterleitung nicht?" Die AI sucht dann in der Community nach einer Antwort die Tux0ne sicher schon gegeben hat. Ist ja heute auch nicht anders, einfach da sind es noch Personen, manchmal :)<br />
Ob der Sprachassistant gut ankommt, wird sich zeigen. Swisscom selber zeigte in einem Artikel vor 2 Jahren selber noch Punkte auf warum diese Assistenten oft kritisch betrachtet werden <a href="https://magazin.swisscom.ch/digitalisierung-im-alltag/warum-wir-sprachassistentinnen-meiden/">https://magazin.swisscom.ch/digitalisierung-im-alltag/warum-wir-sprachassistentinnen-meiden/</a><br />
<br /></div>
<div>
Ist die Swisscom Box eine Alternative zu bekannten Sprachassistenten? Schwierig. Dagegen sprechen die wenigen Skills und die noch technisch enttäuschende Ausführung. So kommt der Smartspeaker in keiner Weise zB. an einen <a href="https://www.sonos.com/de-ch/shop/beam.html" target="_blank">Sonos Beam</a> oder One ran welcher sowohl Alexa als auch Google Assistant unterstützt.</div>
<div>
<br /></div>
<div>
Macht der Sprachassistent bei einer TV Steuerung Sinn? Teilweise. Eine spezifische Suche ist schneller gesprochen als getippt. Aber eine Fernbedienung ist bei Grundfunktionen immer schneller und akkurater. Zudem wer möchte schon während einem Film in der Runde sein Gefolge hören sagen "Hey Swisscom, mach mal leiser..."?</div>
<div>
<br /></div>
<div>
Begeistert die TV Box Sprachassistent Neulinge? Möglich. Dafür spricht die Möglichkeit zumindest mal einige Befehle via Smart Remote zu senden und das Gefühl bei Swisscom sicher aufgehoben zu sein. (Weil Datenschutzgesetze der Schweiz besser sind als im Ausland NOT)</div>
<div>
<br /></div>
<div>
Was haltet ihr von der neuen Swisscom Box? Habt ihr Fragen oder Meinungen? Bitte lasst es mich über die Kommentarfunktion wissen.</div>
Tux0nehttp://www.blogger.com/profile/00729275216054548167noreply@blogger.comtag:blogger.com,1999:blog-4882299951105462615.post-19809663753763048302019-06-16T11:40:00.003+02:002019-06-16T11:40:58.773+02:00TLS Terminal Verbindung zu SMTP <h2>
Verschlüsselte Terminal Verbindung zum Bluewin SMTP</h2>
<h3>
<a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEgp9ohznuyvX9HHW-4WYdLFJLQx0yGvdqSKQcIJzDT8zo_391cjzKUGYCLDGJu1zga3nsiV7wF_LzQgkqcEUHnVoNK38PkJliNy0QBE2si7tvROkK7lk3nfBUyzmO3N761aW5mLH-TYKhQ/s1600/220px-%2528at%2529.svg.png" imageanchor="1" style="clear: right; float: right; margin-bottom: 1em; margin-left: 1em;"><img border="0" data-original-height="220" data-original-width="220" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEgp9ohznuyvX9HHW-4WYdLFJLQx0yGvdqSKQcIJzDT8zo_391cjzKUGYCLDGJu1zga3nsiV7wF_LzQgkqcEUHnVoNK38PkJliNy0QBE2si7tvROkK7lk3nfBUyzmO3N761aW5mLH-TYKhQ/s1600/220px-%2528at%2529.svg.png" /></a>
Vorwort</h3>
<div>
Du möchtest in einem Mail Programm die Einstellungen vornehmen, aus irgendeinem Grund, scheint es aber nicht zu funktionieren. Das Mail Programm selber liefert dir aber keinen wirklichen Grund.</div>
<div>
Es kann sein das mit dem Passwort und Nutzername irgendwas nicht stimmt. Eventuell wurde aber auch deine IP gesperrt oder der Account deaktiviert.</div>
<div>
Zeit um sich mal mit dem Terminal zum <a href="https://de.wikipedia.org/wiki/Simple_Mail_Transfer_Protocol" target="_blank">SMTP</a> Server zu verbinden um zu schauen ob man da nicht bessere Informationen erhält.</div>
<div>
Der Beitrag verwendet als Zielsystem den verschlüsselten SMTP von Bluewin. Kann sinngemäss aber natürlich auch zur Verbindung mit anderen Servern genutzt werden.<br />
<a name='more'></a></div>
<div>
<br /></div>
<h3>
Base64 Codierung</h3>
<div>
Ist man später mit dem SMTP Server verbunden und möchte sich authentifizieren, so wird er Nutzername und Passwort in der <a href="https://de.wikipedia.org/wiki/Base64" target="_blank">Base64</a> Kodierung verlangen.</div>
<div>
Daher muss man sich Nutzername und Passwort zuerst mal Base64 kodiert besorgen. Das geht entweder über eine App via Smartphone oder auch direkt über das Terminal. In diesem Beispiel verwende ich das <a href="https://de.wikipedia.org/wiki/Windows_Subsystem_for_Linux" target="_blank">Windows Subsystem for (Ubuntu) Linux</a>. Wieso? Ja eigentlich nur um zu zeigen, dass keiner kommen muss er habe die nötigen Befehle und Programme nicht...</div>
<div>
<br /></div>
<div>
Let's go:</div>
<div>
<br /></div>
<br />Mittels <span style="font-family: Courier New, Courier, monospace;">echo -n 'Dein Mailaccount' | base64 </span>und<div>
<span style="font-family: "Courier New", Courier, monospace;">echo -n 'Dein Passwort' | base64 </span>bekommst du sie Base64 codiert.<br />Wie gesagt, diese Zugangsdaten werden in dieser Kodierung später benötigt.</div>
<div>
<br /></div>
<div>
<br /></div>
<div>
<a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEgZ82GWWL3iGyRjzwvLkt4SC9QJ4Z3HcrhR9GfHoHxJbjnjkhvJJkAu1XJz34dfqyU-CSZKpmmsLqGcT9eEzaUlVlOYM_m9Vh4M1UvSZBFvmi6lxUjyJI9nHGfywOfpmwYeHcchosfU-2I/s1600/base64.png" imageanchor="1" style="clear: left; float: left; margin-bottom: 1em; margin-right: 1em;"><img border="0" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEgZ82GWWL3iGyRjzwvLkt4SC9QJ4Z3HcrhR9GfHoHxJbjnjkhvJJkAu1XJz34dfqyU-CSZKpmmsLqGcT9eEzaUlVlOYM_m9Vh4M1UvSZBFvmi6lxUjyJI9nHGfywOfpmwYeHcchosfU-2I/s400/base64.png" /></a><b>Achtung. Der Nutzername und das Passwort werden damit nicht verschlüsselt, sondern nur Base64 kodiert. Teile diesen Nutzernamen und das Passwort auch in dieser Kodierung nicht öffentlich.</b></div>
<div>
<b><br /></b></div>
<div>
<b><br /></b></div>
<div>
<b><br /></b></div>
<div>
(Mit dem Befehl <span style="font-family: Courier New, Courier, monospace;">echo -n Base64kodiertesirgendwas | bas</span><span style="font-family: "Courier New", Courier, monospace;">e64 -d </span>kann man die Kodierung wieder in Klartext umwandeln.)<br /></div>
<div>
<br /></div>
<div>
<br /></div>
<div>
<a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEiRvVeMoYSxPX5Y0vOY5oEdlhz5DIuiZmhMEtQrr7dAVbgUHi1Gob8xKamjVbDeRF3Ikctke5qUneOwFguZamt8N9FrB_YktjW5IB5QJTihOZhyphenhyphen5M2Vsar6tvyTZoQiqTUXvg36YtYNyCU/s1600/openssl+connect.png" imageanchor="1" style="clear: right; float: right; margin-bottom: 1em; margin-left: 1em;"><img border="0" data-original-height="1600" data-original-width="746" height="400" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEiRvVeMoYSxPX5Y0vOY5oEdlhz5DIuiZmhMEtQrr7dAVbgUHi1Gob8xKamjVbDeRF3Ikctke5qUneOwFguZamt8N9FrB_YktjW5IB5QJTihOZhyphenhyphen5M2Vsar6tvyTZoQiqTUXvg36YtYNyCU/s400/openssl+connect.png" width="186" /></a><h3>
TLS Verbindung zum SMTP Server</h3>
<div>
Mit dem nächsten Befehl verbindet man sich zum SMTP Server.</div>
<div>
<span style="font-family: Courier New, Courier, monospace;">openssl s_client -connect TLS-smtpServer.generic.com:PORT</span></div>
<div>
<span style="font-family: Courier New, Courier, monospace;"><br /></span></div>
<div>
<span style="font-family: inherit;">Im Falle von Bluewin wäre dies:</span></div>
<div>
<span style="font-family: Courier New, Courier, monospace;">openssl s_client -connect smtpauths.bluewin.ch:465</span></div>
</div>
<div>
<span style="font-family: Courier New, Courier, monospace;"><br /></span></div>
<div>
<span style="font-family: inherit;">Im Normalfall kommt es nun zur Verbindung zum Server. Sollte jetzt schon etwas krumm laufen, so wäre der Server, Port, die Internetverbindung, Firewall uä. zu prüfen. Auch möglich, die IP wird beim Provider blockiert.</span></div>
<div>
<span style="font-family: inherit;"><br /></span></div>
<div>
<span style="font-family: inherit;"><br /></span></div>
<div>
<span style="font-family: inherit;"><br /></span></div>
<div>
<span style="font-family: inherit;"><br /></span></div>
<div>
<span style="font-family: inherit;"><br /></span></div>
<div>
<span style="font-family: inherit;"><br /></span></div>
<div>
<span style="font-family: inherit;"><br /></span></div>
<div>
<span style="font-family: inherit;"><br /></span></div>
<div>
<span style="font-family: inherit;"><br /></span></div>
<div>
<span style="font-family: inherit;"><br /></span></div>
<div>
<span style="font-family: inherit;"><br /></span></div>
<div>
<span style="font-family: inherit;"><br /></span></div>
<div>
<span style="font-family: inherit;"><br /></span></div>
<h3>
<span style="font-family: inherit;">Anmeldung am SMTP Server</span></h3>
<div>
<span style="font-family: inherit;">Nachdem die Verbindung funktioniert hat, kann man sich mit einem </span><span style="font-family: Courier New, Courier, monospace;">auth login</span><span style="font-family: inherit;"> anmelden.</span></div>
<div>
<span style="font-family: inherit;">Der Server verlangt zuerst den Base64 kodierten Username und danach das Base64 kodierte Passwort.</span></div>
<div>
<span style="font-family: inherit;">Stimmt beides funktioniert die Anmeldung. Sollte etwas davon nicht stimmen, so wird das der Server melden.</span></div>
<div>
<span style="font-family: inherit;"><br /></span></div>
<div>
<a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEhkaZGIecjtj_BS0n7emrB7bsI3SwoMcV2szNAwYE-o2qGR0cdCNIMcv__03zqqBWbl-w-vjPvA-d4gRw943II6p-2M0Mrf9X_bCgxDxxv-61IiSq0MByKPlh2S4CpidC_AX5PXxiwBNzE/s1600/login.png" imageanchor="1" style="clear: left; float: left; margin-bottom: 1em; margin-right: 1em;"><img border="0" data-original-height="181" data-original-width="1081" height="66" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEhkaZGIecjtj_BS0n7emrB7bsI3SwoMcV2szNAwYE-o2qGR0cdCNIMcv__03zqqBWbl-w-vjPvA-d4gRw943II6p-2M0Mrf9X_bCgxDxxv-61IiSq0MByKPlh2S4CpidC_AX5PXxiwBNzE/s400/login.png" width="400" /></a><span style="font-family: inherit;"><br /></span></div>
<div>
<span style="font-family: inherit;"><br /></span></div>
<div>
<span style="font-family: inherit;"><br /></span></div>
<div>
<span style="font-family: inherit;"><br /></span></div>
<div>
<span style="font-family: inherit;"><br /></span></div>
<div>
<span style="font-family: inherit;"><br /></span></div>
<div>
<span style="font-family: inherit;">Wer möchte, kann nun via shell auch gleich ein Mail senden. Weiterführende Informationen findet man unter diesem Link: </span><a href="https://de.wikihow.com/E-Mails-%C3%BCber-Telnet-verschicken">https://de.wikihow.com/E-Mails-%C3%BCber-Telnet-verschicken</a></div>
Tux0nehttp://www.blogger.com/profile/00729275216054548167noreply@blogger.comtag:blogger.com,1999:blog-4882299951105462615.post-43122563540960324182019-06-09T20:44:00.002+02:002021-01-27T16:00:00.675+01:00Swisscom Centro Business 2.0 Rollen und Funktionen<h2>
Centro Business 2.0 Rollen und Funktionen</h2>
<h3>
<a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEieHOybCc8K4Vxj23PHIhLohayiUWJwg94yWyDhwRI7iExodeYm-bex1G8DQnZCjmvzh8U_UXsewqzURVj1h4_8QUC1x6ycySlUMwcN5NApfyjID5p4gFi1jQNWW4tSJ4EXkLvBpWklegs/s1600/Logo.png" imageanchor="1" style="clear: right; float: right; margin-bottom: 1em; margin-left: 1em;"><img border="0" data-original-height="657" data-original-width="301" height="320" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEieHOybCc8K4Vxj23PHIhLohayiUWJwg94yWyDhwRI7iExodeYm-bex1G8DQnZCjmvzh8U_UXsewqzURVj1h4_8QUC1x6ycySlUMwcN5NApfyjID5p4gFi1jQNWW4tSJ4EXkLvBpWklegs/s320/Logo.png" width="146" /></a>Vorwort</h3>
<div>
Dieser Beitrag beschreibt die verschiedenen Rollen und Funktionen die der Swisscom <a href="https://www.swisscom.ch/de/privatkunden/hilfe/geraet/centro-business-einrichten.html" target="_blank">Centro Business 2.0</a> bereit hält.</div>
<div>
Swisscom bietet mit <a href="https://www.swisscom.ch/de/business/kmu/internet-festnetz-fernsehen/inone-kmu.html" target="_blank">inOne KMU</a>, <a href="https://www.swisscom.ch/de/business/kmu/internet-festnetz-fernsehen/angebote/smart-business-connect.html" target="_blank">Smart Business Connect Internet Services</a> und <a href="https://www.swisscom.ch/de/business/kmu/it-cloud/netzwerk/business-network-solutions.html" target="_blank">Business Network Solutions</a> bereits verschiedene Grundprodukte, wobei es da auch noch zusätzliche Module dazu gibt, die dem Business Router von Swisscom entsprechend unterschiedliche Rollen abverlangen. Hiermit sollen die unterschiedlichen Anforderungen der KMU erfüllt werden können. Aber auch Enterprise Kunden werden damit bedient. Ich gehe in diesem Beitrag aber nicht explizit auf die Enterprise Produkte ein, da diese Produkte meist einfach mit anderem Namen auch in der KMU Produktlinie erhältlich sind und die Rollen des Centro Business 2.0 dabei gleich sind.</div>
<div>
<br /></div>
<div>
Ich hoffe hier einen gewissen Praxisbezug zu den verschiedenen Rollen zu ermöglichen. Auch würde es mich freuen, wenn ihr eure Erfahrungen und Einsatzszenarios in den Kommentaren mit mir teilt.</div>
<div>
<br /></div>
<div>
<a name='more'></a><br /></div>
<div>
<br /></div>
<h3>
Standard Rolle</h3>
<div>
Bereits im Standard Modus sind schon verschiedene Funktionen möglich. Gedacht für kleine KMU oder Home Office, sind schon rudimentäre Netzwerk und Telefonie Funktionen vorhanden. Der Router selber ist bezüglich WLAN und Consumer Features sicher keine Rakete. Seine Stärken spielt er aus, wenn das Netzwerk von jemandem betreut wird.</div>
<div>
<br /></div>
<h4>
Netzwerk</h4>
<div>
Im Netzwerk hat man einfach ein LAN, dessen default Subnet 192.168.1.0/24 man nahezu beliebig anpassen kann. Mit einer aktuellen Firmware ist gar ein kleineres Subnet als /24 möglich. Damit erweitert sich der wählbare Bereich zwischen /8 (16 Mio IPv4) und /30 (2 nutzbare IPv4).</div>
<div>
Zur Verfügung steht auch ein separiertes WLAN (ehemals Gäste WLAN)</div>
<div>
<a href="http://documents.swisscom.com/product/1000260-Connectivity_Geraete_/Documents/Spezifikationen/Centro_Business2_Einstellungen_der_IP-Adresseriung_im_LAN-de.pdf">http://documents.swisscom.com/product/1000260-Connectivity_Geraete_/Documents/Spezifikationen/Centro_Business2_Einstellungen_der_IP-Adresseriung_im_LAN-de.pdf</a></div>
<div>
<br /></div>
<h4>
Firewall</h4>
<table cellpadding="0" cellspacing="0" class="tr-caption-container" style="float: right; margin-left: 1em; text-align: right;"><tbody>
<tr><td style="text-align: center;"><a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEjHT37IrfN44sN0fVPkfvR3W-me1QgY_kvGhaUSUPqvLXT2ue4rg3kWSaHE9MNrQQo2i2Je2O3R55HHg-7cNE7WOU18hxIwnIBK-JpK9CKVp3t3lTwb2E58GOEzLUf4iS3Snbm1MrcbXac/s1600/Firewall.png" imageanchor="1" style="clear: right; margin-bottom: 1em; margin-left: auto; margin-right: auto;"><img border="0" data-original-height="842" data-original-width="1279" height="210" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEjHT37IrfN44sN0fVPkfvR3W-me1QgY_kvGhaUSUPqvLXT2ue4rg3kWSaHE9MNrQQo2i2Je2O3R55HHg-7cNE7WOU18hxIwnIBK-JpK9CKVp3t3lTwb2E58GOEzLUf4iS3Snbm1MrcbXac/s320/Firewall.png" width="320" /></a></td></tr>
<tr><td class="tr-caption" style="text-align: center;">Vordefiniertes Ruleset. Default allow all in der Praxis nicht empfohlen</td></tr>
</tbody></table>
<div>
Schon vorhanden ist eine kleine Firewall. Diese hat 2 vordefinierte Rulesets (balanced und strict). Zudem kann man sie auf custom stellen und ein eigenes Ruleset definieren. Sie lässt sich aber auch ausschalten, so das nur noch ein NAPT zwischen der öffentlichen IP und dem Netzwerk steht.</div>
<div>
Von der Funktion her, ist die Firewall eher rudimentär, funktioniert aber immerhin schon mit IPv4 und IPv6.</div>
<div>
Es lassen sich eingehende wie auch ausgehende Regeln erstellen, wobei man mit einer Portweiterleitung bereites eine entsprechende Regel für eingehenden Verkehr generiert (praktisch).</div>
<div>
Verbindungen lassen sich akzeptieren, dropen oder verweigern. Quell sowie Zielports lassen sich konfigurieren wobei als Protokolle nur TCP und UDP zur Verfügung stehen. Als IP lassen sich angeben eine einzelne IP, Range oder Subnet sowohl für IPv4 als auch IPv6.<br />
Damit hat es sich bezüglich Firewall auch schon. Sehr einfach gehalten und damit für die Durchsetzung von Richtlinen in einem LAN kaum geeignet. Für einfache Szenarios wie einer Maschine die nur auf ein bestimmtes Subnet über bestimmte Ports kommunizieren darf aber genügend.</div>
<div>
<a href="http://documents.swisscom.com/product/1000260-Connectivity_Geraete_/Documents/Spezifikationen/Centro_Business2_Firewall_fuer_LAN_und_DMZ_einstellen-de.pdf">http://documents.swisscom.com/product/1000260-Connectivity_Geraete_/Documents/Spezifikationen/Centro_Business2_Firewall_fuer_LAN_und_DMZ_einstellen-de.pdf</a></div>
<div>
<br /></div>
<h4>
VPN</h4>
<table cellpadding="0" cellspacing="0" class="tr-caption-container" style="float: left; margin-right: 1em; text-align: left;"><tbody>
<tr><td style="text-align: center;"><a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEhxGtFnxqyNq0N5J11CbwKRm1pTO-DzSS-ouu3yqm9cds6eXXnkcio6Rjwi7ql02nSYi_VHFB2ODHIs3sveAjtiVZolewEA2yVIsHNJ3jDwUVkBlnZK0qZP7xWSzLEY4Pgr77KwGuu7CVg/s1600/VPN.png" imageanchor="1" style="clear: left; margin-bottom: 1em; margin-left: auto; margin-right: auto;"><img border="0" data-original-height="597" data-original-width="1053" height="181" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEhxGtFnxqyNq0N5J11CbwKRm1pTO-DzSS-ouu3yqm9cds6eXXnkcio6Rjwi7ql02nSYi_VHFB2ODHIs3sveAjtiVZolewEA2yVIsHNJ3jDwUVkBlnZK0qZP7xWSzLEY4Pgr77KwGuu7CVg/s320/VPN.png" width="320" /></a></td></tr>
<tr><td class="tr-caption" style="text-align: center;">VPN Verbindungsparameter</td></tr>
</tbody></table>
<div>
Der Centro Business bietet die Möglichkeit eines (oder mehrere) Side to Side VPN's.</div>
<div>
Damit lassen sich Standorte untereinander vernetzen. Das ist relativ einfach aufgesetzt, da die Verschlüsselung der Phasen bereits vorgegeben sind. Funktioniert aber auch zu anderen Firewall Produkten, sofern diese richtig konfiguriert sind. Es gibt aber bezüglich Firewall hier keine Möglichkeit den Zugriff über diesen IPsec Tunnel zu steuern. Eine Verbindung hat damit Zugriff auf das gesamte LAN.</div>
<div>
Um ein Home Office mit der Firmenzentrale zu verbinden (an der eine richtige Firewall steht), warum nicht. Funktioniert.</div>
<div>
Nicht verwechseln darf man dieses Side to Side VPN mit einem Roadwarrior VPN, wobei sich Mobile Clients direkt in das Netz einwählen. Diese Funktion ist in diesem Business Router selber nicht enthalten, was auch in Ordnung ist, da es hierzu alternative Setups gibt. Swisscom bietet diese Funktion nur auf ihren Consumer Router an! Wichtig zu wissen, da es hier scheinbar manchmal zu Irritationen kommt.</div>
<div>
<a href="http://documents.swisscom.com/product/1000260-Connectivity_Geraete_/Documents/Spezifikationen/Centro_Business2_Site_to_Site_VPN%20%C3%BCber_IPsec_einrichten-de.pdf">http://documents.swisscom.com/product/1000260-Connectivity_Geraete_/Documents/Spezifikationen/Centro_Business2_Site_to_Site_VPN%20%C3%BCber_IPsec_einrichten-de.pdf</a></div>
<div>
<br /></div>
<h3>
Telefonie</h3>
<div>
Auch in diesem Router ist die Standard Telefonie von Swisscom integriert. Zur Verfügung stehen 2 S0 sowie 2 analoge Schnittstellen. Integriert auch eine DECT Basistation nach Cat-iq 2.0, mit einer aktuellen Firmware auch mit dem HX Repeater von Gigaset kompatibel.</div>
<div>
Im Gegensatz zu den Consumer Router, ist hier aber keine kleine "Telefonanlage" integriert. Die zur Verfügung stehenden Telefonnummern lassen sich nur direkt in den Endgeräten programmieren. Interne Nebenstellen stehen nicht zur Verfügung. Man muss also entweder die Telefonnummern an eine eigene Intelligenz hängen (Gigaset DX800a oder kleine PBX) oder man löst mehrere Rufnummern und teilt jedem Endgerät eine eigene externe Rufnummer zu, womit "interne" Telefonie wieder möglich wäre. Vermutlich ist das so gelöst um die Produkte aus Smart Business Connect, namentlich hosted nicht zu kannibalisieren.</div>
<div>
Wenn ich diese Telefonie intigrieren muss, greife ich meist zu einem DX800a Set. Damit lässt sich doch einiges für ein kleines Office einrichten. Wenn es nur eine kleine Geschichte mit 2,3 Handsets ist und nur einer HRN und Fax kann man aber auch direkt mit dem Router arbeiten.</div>
<div>
<a href="http://documents.swisscom.com/product/1000506-My_KMU_Office/Documents/Anleitungen/Bedienungsanleitung_BT-de.pdf">http://documents.swisscom.com/product/1000506-My_KMU_Office/Documents/Anleitungen/Bedienungsanleitung_BT-de.pdf</a></div>
<div>
<br /></div>
<h4>
Internet Backup</h4>
<table cellpadding="0" cellspacing="0" class="tr-caption-container" style="float: right; margin-left: 1em; text-align: right;"><tbody>
<tr><td style="text-align: center;"><a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEjjF2tployk0iPAhzjgJREfkVU_V2qlI39xSbINUhoQoY-_S1_KrT3Agxyj7GR5_GDY0GwC5ZYxDuokWgCYM57r3OXtjvxBfzzxLRrLlP1GtE029-Cab8ugM6HOscFs31d6XMbHLkJbuO0/s1600/Centro_Business_2.0_Toolkit.png" imageanchor="1" style="clear: right; margin-bottom: 1em; margin-left: auto; margin-right: auto;"><img border="0" data-original-height="175" data-original-width="157" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEjjF2tployk0iPAhzjgJREfkVU_V2qlI39xSbINUhoQoY-_S1_KrT3Agxyj7GR5_GDY0GwC5ZYxDuokWgCYM57r3OXtjvxBfzzxLRrLlP1GtE029-Cab8ugM6HOscFs31d6XMbHLkJbuO0/s1600/Centro_Business_2.0_Toolkit.png" /></a></td></tr>
<tr><td class="tr-caption" style="text-align: center;">Toolkit Anbindung an den Centro Business</td></tr>
</tbody></table>
<div>
Je nach Abo bzw Internet Service den man bucht, hat man auch ein Internet Backup zur Verfügung.</div>
<div>
Das ist je nach Generation ein 3G oder 4G Stick oder gar neu ein Toolkit (abgesetzte Einheit).</div>
<div>
Ist es also wieder mal soweit und der berühmte Bagger kreuzt auf oder die Zentrale steht unter Wasser, so bietet das Internet Backup mit einem kurzen Unterbruch den Weiter-betrieb der Internet sowie Telefonie Services! Diese Funktion beeindruckt mich persönlich schon etwas. Da gibt es bei Swisscom nicht viel, aber diese Funktion ist wirklich eine die ich mag. Sobald der Router einen Unterbruch des Access detektiert, schaltet er auf den Internet Backup um. Dabei werden auch die Telefonie Services umgestellt, mittlerweile sogar die SIP Trunks! Hat man eine öffentliche IP oder eine Subnet, wird sogar dieses auf den Mobilen Zugang umgeroutet und dies innerhalb weniger Minuten! Einziger Wermutstropfen: Das Ganze funktioniert aktuell noch nur über IPv4.</div>
<div>
<a href="https://www.swisscom.ch/de/business/kmu/internet-festnetz-fernsehen/internet/zusatzdienste/ausfallsicherung-internet-backup.html">https://www.swisscom.ch/de/business/kmu/internet-festnetz-fernsehen/internet/zusatzdienste/ausfallsicherung-internet-backup.html</a><br />
<br />
<h4>
"Spezial" Ports</h4>
</div>
<div>
Bevor ich auf die verschiedenen Betriebsmodi zu sprechen komme, möchte ich noch die "speziellen" LAN Ports des Centro Business erwähnen. Der Centro Business verfügt über 4 1 GE LAN Ports die im Standardmodus als normaler Switch (Bridge) arbeiten.</div>
<div>
In den speziellen Betriebsmodi IP Passthrough, PPPoE Passthrough und DMZ LAN 1, wird dem Port 1 eben der jeweils gewünschte Modus zugeordnet.</div>
<div>
Auch Port 4 hat seine Eigenart. Auf Port 4 kann man im Falle von Internet Backup (oder Wireless Access) das Toolkit stecken. Beziehungsweise, dieser Port ist mit den nötigen VLAN für die Kommunikation zum Toolkit getaggd. Es handelt sich um die VLAN-ID 699 und 700. Wenn man das Toolkit über ein Netzwerk abgesetzt betreiben möchte, sind die Ports der Switches entsprechend zu taggen!</div>
<div>
Weiter kann der Port 4 bei BNS als own Gateway Zugang verwendet werden.</div>
<div>
<br /></div>
<div>
Nehmen wir also an, der Centro Business hat nur einen Link auf das aktuelle LAN, so empfehle ich Port 2 oder 3 zu verwenden. Sollte man später den Modus wechseln, schneidet man dieses Netzwerk nicht gleich ab, sondern kann es je nachdem noch via LAN des Centro Business weiter betreiben bis das restliche Setup betriebsbereit ist.</div>
<div>
<br /></div>
<div>
<br /></div>
<div>
<br /></div>
<h3>
IP Passthrough auf Security Gateway</h3>
<div>
Kommen wir nun zu den Spezialfunktionen.</div>
<div>
Den IP Passthrough kann man einsetzen, wenn man keine öffentlichen IP's gelöst hat und der Router damit nur eine dynamische IP über das Swisscom Netz bezieht. (Es geht auch mit statischen IP's, dann macht es aber keinen Sinn oder?) In dieser Rolle generiert der Router quasi ein Default Ziel für allen eingehenden Verkehr auf den LAN Port 1, ausgenommen von Port TCP:7547 (CWMP).</div>
<div>
Sollte man den Fernzugang freischalten, wird in dieser Zeit auch Port http
(80), https (TCP:443) und SSH (TCP:22) nicht weitergeleitet.</div>
<div>
In diesem Modus konfiguriert man das Security Gateway in ein vordefiniertes /30 Subnet mit der IP 172.31.255.6 und dem Gateway 172.31.255.5.</div>
<div>
Nachteil dieses Modus ist sicherlich das Doppel NAT welches man damit automatisch generiert.</div>
<div>
Vorteil ist, man braucht für einfache Szenarios keine zusätzliche kostenpflichtige statische IP.</div>
<div>
Weiter hat man auf den LAN Ports 2-4 und dem WLAN sowie separierten WLAN alle Funktionen zur Verfügung die in der Standard Rolle auch zur Verfügung stehen.</div>
<div>
Trotzdem, diesen Modus habe ich noch nie eingesetzt. Wenn dann möchte ich statische IP's und vor allem ein /48 IPv6 Subnet. Aber eventuell seid ihr Fan dieses Betriebs? Nimmt mich wunder, schreibt es doch in die Kommentare.</div>
<div>
<a href="http://documents.swisscom.com/product/1000260-Connectivity_Geraete_/Documents/Spezifikationen/Centro_Business2_IP_Passthrough-de.pdf">http://documents.swisscom.com/product/1000260-Connectivity_Geraete_/Documents/Spezifikationen/Centro_Business2_IP_Passthrough-de.pdf</a></div>
<div>
<br /></div>
<h3>
PPPoE Passthrough</h3>
<div>
Das ist der Hardcore Modus. Erinnerst du dich noch an den guten alten Bridge Mode? Hier hast du eine Variante davon. Dieser Modus steht nur zur Verfügung, wenn man mind. eine statische IP bei Swisscom gelöst hat. Damit trifft er bei Schmürzler schon mal nicht auf viel Gegenliebe.</div>
<div>
Trotzdem, hast du eine fixe IP oder ein Subnet und du möchtest wirklich alle deine IP's die du da kaufst selber nutzen, das ist der Modus den du wählen musst.</div>
<div>
<br /></div>
<div>
Bezüglich den öffentlichen IP's muss ich kurz etwas ausholen:</div>
<div>
Historisch hat Swisscom ein Netz welches sie über DHCP betreibt. In diesem Pool befinden sich alle nicht statischen IP's sowie das Service Netz von Swisscom wo sich die TV wie auch Telefonie Dienste befinden.</div>
<div>
Die statischen IP's laufen auf einem anderen Netz. Um diese statischen IP's zu beziehen, muss sich der Centro Business oder im Falle des PPPoE Passthrough ein eigener Router, via PPPoE anmelden.</div>
<div>
Der Centro Business ist nie nur ein reines Modem, da er sich mind. via DHCP an das Service Netz anmeldet. Löst man also fixe IP's, baut der Centro Business 2 Sessions auf, das sogenannte Dualsession Business Internet. In diesem Betrieb befindet sich der Centro Business also im Normalfall wenn man fixe IP's hat. Stellt man den PPPoE Passthrough ein, ändert sich sein Verhalten.</div>
<div>
<br /></div>
<div>
Der Centro Business trennt seine PPPoE Session und macht sie frei für einen Router der sich am LAN Port 1 mit den PPPoE Zugangsdaten, die man im Kundencenter findet, am statischen IP Netz von Swisscom anmeldet.</div>
<div>
Im LAN des Centro Business stehen damit nur noch die Swisscom Services TV und Telefonie zur Verfügung. Eine TV Box kann damit zwar TV Streams beziehen, Internet Services wie Netflix funktionieren dann aber nicht mehr. Auch kann man hosted Endgeräte oder einen Trunk in dieses LAN setzen. Aber auch hier, Internet Abfragen oder Fernzugriff ist damit nicht mehr möglich (ausgenommen hosted Konfig via Portal)</div>
<div>
<br /></div>
<div>
Dafür gewinnt man in diesem Betrieb alle IP's und ist Herr der Dinge.</div>
<div>
In einem /30 Subnet mit 4 IP's, kann man konkret nicht nur die nutzbare IP auf dem eigenen Router verwenden, sondern auch die Router IP, da man diese ja bezieht...</div>
<div>
Weiter ist man gegenüber Swisscom fast im stealth Modus. Zwar ist der Centro Business noch im Service Netz der Swisscom, womit auch Updates möglich sind, aber der Fernzugriff auf den Router wird sogar via Kundencenter damit unmöglich.</div>
<div>
<br /></div>
<div>
Das ist mein bevorzugter Modus mit statischen IP's wenn Internet Backup nicht gefragt ist, denn wichtig, Internet Backup funktioniert mit PPPoE Passthrough nicht! Zumindest nicht automatisch. Natürlich steht es jedem frei im Falle des Falles den Router in einen anderen Modus zu setzen und gegebenenfalls das Netz anzupassen...</div>
<div>
<a href="http://documents.swisscom.com/product/1000260-Connectivity_Geraete_/Documents/Spezifikationen/Centro_Business2_PPPoE_Passthrough-de.pdf">http://documents.swisscom.com/product/1000260-Connectivity_Geraete_/Documents/Spezifikationen/Centro_Business2_PPPoE_Passthrough-de.pdf</a></div>
<div>
<br /></div>
<h3>
Fixe public IP NAT 1:1</h3>
<div>
<a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEgYHf-3DXzi1_NDQbuvQ5uE43geF-jgoT2qz3ZIaQb4346VSG0G1xoyv0oaBnF1e3oa2qkTUNyOor0i0xtdy_8FtfAeF7h2oqfOB4yDFHfdYEA_6XY0QLpyo3Hye_qpYrXMDjI0e23MPfk/s1600/11+NAT.png" imageanchor="1" style="clear: left; float: left; margin-bottom: 1em; margin-right: 1em;"><img border="0" data-original-height="491" data-original-width="851" height="184" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEgYHf-3DXzi1_NDQbuvQ5uE43geF-jgoT2qz3ZIaQb4346VSG0G1xoyv0oaBnF1e3oa2qkTUNyOor0i0xtdy_8FtfAeF7h2oqfOB4yDFHfdYEA_6XY0QLpyo3Hye_qpYrXMDjI0e23MPfk/s320/11+NAT.png" width="320" /></a>Das ist jetzt ein Modus denn ich noch nie eingesetzt habe, aber ja es gibt ihn. Du hast ihn schon eingesetzt? Schreib es doch bitte in die Kommentare. Ich bin an praktischen Szenarios interessiert.</div>
<div>
Dieser Betrieb steht zur Verfügung, sobald man ein statisches Subnet also mind. 4 fixe IP's löst.</div>
<div>
Dabei bezieht der Centro Business die Router IP und die anderen nutzbaren statischen IP's stehen mittels einem 1:1 NAT zur Verfügung.</div>
<div>
Das heisst, der Router betreibt sein LAN ganz normal. Hat man nun eines Server im Netz, so hat dieser eine private IP aus dem LAN des Centro Business auf seinem Netzwerkinterface. Im Centro Business kann man nun aber ein 1:1 NAT mit einer nutzbaren öffentlichen IP konfigurieren.</div>
<div>
Vorteil dieses Modus ist, dass man für die Verteilung der öffentlichen IP's keinen eigenen Router braucht und alle Funktionen, TV, Telefonie, Backup des Standard Modus so funktionieren. Nachteil ist die eingeschränkte Funktion bezüglich Security die der Centro Business bietet. Host's sind damit aus dem LAN wie auch mit der öffentlichen IP erreichbar und im Centro Business selber können in diesem Modus keine DMZ Regeln erstellt werden. </div>
<div>
<a href="http://documents.swisscom.com/product/1000260-Connectivity_Geraete_/Documents/Spezifikationen/Centro_Business2_Fixe_public_IP_1_zu_1_NAT_ins_LAN_einrichten-de.pdf">http://documents.swisscom.com/product/1000260-Connectivity_Geraete_/Documents/Spezifikationen/Centro_Business2_Fixe_public_IP_1_zu_1_NAT_ins_LAN_einrichten-de.pdf</a></div>
<div>
<br /></div>
<h3>
LAN DHCP Pool mit öffentlichen fixen IP's</h3>
<div>
<a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEjO9aH1I6Hm3peet_zP_O6QylsYG_lZKZDD2UCz9FGY3_JjnFqwIa-haaq7NT4_TsUrYMEZg83vh7j8xHeAWk1V7i-a4V88pbbBExyIAKGECcEDQFq-SrAjwVstmzvMcvKa0Fmlnd278HE/s1600/dchp+pool.png" imageanchor="1" style="clear: right; float: right; margin-bottom: 1em; margin-left: 1em;"><img border="0" data-original-height="714" data-original-width="1230" height="185" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEjO9aH1I6Hm3peet_zP_O6QylsYG_lZKZDD2UCz9FGY3_JjnFqwIa-haaq7NT4_TsUrYMEZg83vh7j8xHeAWk1V7i-a4V88pbbBExyIAKGECcEDQFq-SrAjwVstmzvMcvKa0Fmlnd278HE/s320/dchp+pool.png" width="320" /></a>Auch dieser Betrieb steht erst mit einem statischen Subnet zur Verfügung.</div>
<div>
In diesem Betrieb steht dem LAN keine TV und Telefonie Services zur Verfügung. Eigentlich gibt es vom Centro Business gar kein LAN mehr, da die NAPT Funktion komplett deaktiviert wird.</div>
<div>
In diesem Modus stellt der Centro Business die PPPoE Session her. Die nutzbaren IP's kann man nun via DHCP im Netz verteilen.</div>
<div>
Dieses Szenario macht wie im Bild dargestellt eventuell Sinn, wenn man auf einer IP eine Firewall in Betrieb hat und auf einer anderen IP einen Server "abgeschottet" von der Firewall betreiben möchte der nicht hinter der Firewall betrieben werden soll. Warum auch immer :) Also ich weiss es gerade nicht. Aber stellen wir uns mal vor, dass der Betreiber der Firewall aus irgendeinem Grund nicht so begabt ist oder sonstwie kompliziert tut, man aber unbedingt einen Service mit fixer IP braucht. Ergo könnte man dies mit diesem DHCP Pool doch irgendwie hinbekommen, ohne dass der Betreiber der Firewall gross was davon mitbekommt.</div>
<div>
<a href="http://documents.swisscom.com/product/1000260-Connectivity_Geraete_/Documents/Spezifikationen/Centro_Business2_LAN_DHCP_Pool_mit_oeffentlichen_fixen_IPs-de.pdf">http://documents.swisscom.com/product/1000260-Connectivity_Geraete_/Documents/Spezifikationen/Centro_Business2_LAN_DHCP_Pool_mit_oeffentlichen_fixen_IPs-de.pdf</a></div>
<div>
<br /></div>
<div>
<br /></div>
<h3>
DMZ LAN 1 (Mail-, Webserver oder Security
Gateway in der DMZ betreiben)</h3>
<div class="separator" style="clear: both; text-align: center;">
<a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEiw6Nbrhgc9rX5MS3PsN0450cqJz1f80v_XZi9LtS_SItch8uu-8CKbZcGnleeNOOjabT5LcQJTdzNgeriXdfxSoHilh7GzYx9-qjtkNTt0TsZ25okoXAfHwtCOwiPSGp6KOe5XUQsjMUA/s1600/2017-08-05+16_51_34-%25C3%259Cberblick.png" imageanchor="1" style="clear: left; float: left; margin-bottom: 1em; margin-right: 1em;"><img border="0" data-original-height="367" data-original-width="1092" height="107" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEiw6Nbrhgc9rX5MS3PsN0450cqJz1f80v_XZi9LtS_SItch8uu-8CKbZcGnleeNOOjabT5LcQJTdzNgeriXdfxSoHilh7GzYx9-qjtkNTt0TsZ25okoXAfHwtCOwiPSGp6KOe5XUQsjMUA/s320/2017-08-05+16_51_34-%25C3%259Cberblick.png" width="320" /></a></div>
<div>
Auch dieser Modus steht erst mit einem statischen Subnet zur Verfügung.</div>
<div>
Eigentlich wird hier der Begriff DMZ aus meiner Sicht etwas strapaziert. Denn es werden lediglich die nutzbaren öffentlichen IP auf dem LAN Port 1 zur Verfügung gestellt. Damit wird kein zweites LAN erstellt. Auch ist zwischen dem Centro Business LAN und der hier konfigurierten DMZ intern gar keine Kommunikation möglich. Man müsste also über die öffentliche IP routen. So gesehen würde ich diesen Modus nicht für den Einsatz eines Mailservers oder was auch immer vorsehen. </div>
<div>
<br /></div>
<div>
Trotzdem ist dieser Modus mein liebster und meist eingesetzter, wenn man an die DMZ eine Firewall anschliesst. Warum ist das so:</div>
<div>
Der Centro Business baut noch immer die PPPoE Session auf. Damit stehen im LAN 2-4, und WLAN alle Dienste wie TV und Telefonie zur Verfügung und Internet Backup funktioniert! Das ist das Killer-Kriterium, denn sonst könnte ich auch auf PPPoE Passthrough umstellen. Mit der öffentliche Router IP liessen sich sogar noch Dienste im LAN des Centro Business bereitstellen wenn man möchte.</div>
<div>
Auf dem LAN 1 Port stehen nun via DHCP alle restlichen nutzbaren IP's zur Verfügung. Für mich auch wichtig, via DHCP6-PD kann man aus dem zugeteilten statischen /48 Netz einen /52 Prefix beziehen. Hierzu habe ich bereits mal einen <a href="https://www.tuxone.ch/2017/08/swisscom-business-internet-services-dmz.html" target="_blank">Blogpost</a> gemacht.</div>
<div>
Vorteil in diesem Modus ist also der Betrieb eines Security Gateways mit vollem Backup der Swisscom Services und statischen IPv4 sowie IPv6.</div>
<div>
Nachteil ist aus meiner Sicht höchstens der zusätzliche Hop durch den CB im Gegensatz zum PPPoE welcher kaum ins Gewicht fällt.</div>
<div>
Natürlich lassen sich in diesem Modus auch die Telefonie hosted, wie auch Trunk hinter dem eigenen Security Gateway auf LAN eins betreiben. Was nicht funktioniert, sind die Swisscom TV Services die man nativ so nicht einfach auf dem DMZ LAN 1 Port hat. Hier müsste man dem Security Gateway einen 2ten WAN Port konfigurieren, der auf das Centro Business LAN zugreift, möchte man die TV Services ebenfalls hinter dem Security Gateway steuern können. Möchte man das? Ja ich wollte das früher oft, Blogpost's dazu habe ich genügend. Heute? Nein von mir aus nicht, TV kann auch gut im LAN des Centro Business rumwursteln und gut ist.</div>
<div>
<a href="http://documents.swisscom.com/product/1000260-Connectivity_Geraete_/Documents/Spezifikationen/Centro_Business2_Mail_Webserver_SecurityGateway_in_der_DMZ_betreiben-de.pdf">http://documents.swisscom.com/product/1000260-Connectivity_Geraete_/Documents/Spezifikationen/Centro_Business2_Mail_Webserver_SecurityGateway_in_der_DMZ_betreiben-de.pdf</a></div>
<div>
<br /></div>
<h3>
BNS Business Network Solutions</h3>
<div>
<a href="https://www.swisscom.ch/de/business/kmu/it-cloud/netzwerk/business-network-solutions.html" target="_blank">BNS ist ein zusätzlicher Dienst</a>, denn man zum Smart Business Connect Business Internet Services dazubuchen kann. Klassisch gesehen sind die Business Internet Services von heute der Ersatz von Business Internet light und BNS ersetzt den ehemaligen Business Internet Standard, also die managten Internet Anschlüsse.</div>
<div>
Hat man BNS auf einem Anschluss aktiv, so erfolgt die Konfiguration neu ab einem Dashboard worauf der Kundentechniker und der Technische Administrator zugreifen können.</div>
<div>
Damit der Centro Business 2.0 diese Rolle übernimmt, muss man ihn am entsprechenden Standort aktivieren.</div>
<div>
Der Centro Business konfiguriert sich dabei zu einem lokalen Gateway und wird mehr oder weniger nur noch zu einem Switch. Der Verkehr wird ab sofort über das lokale Gateway des Centro Business zum Cloud Router bei Swisscom geroutet.</div>
<div>
So was ist jetzt der Witz an der Sache?</div>
<div>
BNS ist modular aufgebaut. Weitere Module wie Managed LAN, Managed Security, RAS, PWLAN usw lassen sich aktivieren, was natürlich weitere monatliche Zusatzkosten generiert.</div>
<div>
Mit Managed Security zB wird der gesamte Traffic über eine Cloud Firewall geroutet, die von Fortinet ist. Dazu lässt sich ein Webfilter und Antivirus aktivieren (mitm Prinzip--> TLS wird aufgebrochen, Zertifikate installieren)</div>
<div>
Mit Managed LAN lassen sich Aruba Switches und Access Points mieten und konfigurieren (VLAN's SSID's usw.). Weiter lässt sich ein Swisscom PWLAN am Standort einrichten, RAS Benutzer können konfiguriert werden und die Anbindung an den Swisscom DCS steht mit bis zu einem Gbps direkt zur Verfügung ohne Routing über das öffentliche Internet. Standortvernetzung zwischen BNS? Klick und fertig. Das mal grob zu den wichtigsten vorhandenen Features.</div>
<div>
Vorteil von BNS ist die Skalierbarkeit. Du hast ein Startup und weisst noch nicht wohin der Weg geht und wie schnell? BNS -> Top Produkt dazu. Klar kalkulierbare monatliche Kosten für Services und gemietete Hardware. Du brauchst einen grösseren Switch? Neuen Switch bestellen und einrichten, alten Switch abbestellen und zurücksenden, finito.</div>
<div>
Weiter ist ein BNS und die Hardware dazu unglaublich schnell konfiguriert. Es ist zwar viel Klickerei, aber das Ganze läuft unglaublich schnell und einfach ab ohne das Systemtechniker dazu in unterschiedlichster Hardware/Software geschult werden müssen.</div>
<div>
Nachteil ist für mich selber, es läuft aktuell nur auf dem IPv4 Stack. Die Firewall kann zwar schon einiges mehr, ist aber noch lange kein Vergleich zu einem System wie pfSense.</div>
<div>
Zudem sind die monatlichen Kosten natürlich höher als wenn man alles kauft. Alles in allem, wenn man Geschwindigkeit der Konfiguration und Lifetime der Hardware die bei der Miete jederzeit durch die aktuellste Technologie ausgetauscht werden kann betrachtet, ist der Preis dann schlussendlich aber gar nicht so hoch!</div>
<div>
<br /></div>
<div class="separator" style="clear: both; text-align: center;">
<iframe allowfullscreen='allowfullscreen' webkitallowfullscreen='webkitallowfullscreen' mozallowfullscreen='mozallowfullscreen' width='320' height='266' src='https://www.blogger.com/video.g?token=AD6v5dwqenP9hueBEeOtXDqqAxMgryybUnqxa-UGcyNCJAn3ITNRx1B-4-0UZsHlZoEMCX4n7lJpHN9OaLbjxo5VoA' class='b-hbp-video b-uploaded' frameborder='0'></iframe></div>
<h3>
Schlusswort</h3>
<div>
So, wie ihr seht, kann diese Olle Kiste doch die eine oder andere Funktion ausführen. Hast du selber Anmerkungen oder Fragen, fehlt was oder stimmt überhaupt nicht, so lass es mich wissen.</div>
<div>
Es freut mich deinen Kommentar zu lesen.</div>
<div>
<br /></div>
<div>
<br /></div>
Tux0nehttp://www.blogger.com/profile/00729275216054548167noreply@blogger.comtag:blogger.com,1999:blog-4882299951105462615.post-13136450812591630872019-01-19T17:50:00.004+01:002019-01-19T17:50:35.381+01:00Gastnetzwerk Erweiterung der Swisscom Internet Box<h2>
Isoliertes Netzwerk in der Swisscom Internet Box</h2>
<a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEgRM-_5t22SHlF42X4jt_sBYOdFnmz-a8_aTw2s2fMymRn8dDEfXDU1qkjmTReTcl9zOr50lEjbYQTWcfjYNRf-W57ygQAG7bqsMzZ3QcLayVErhrqBNxLNLWJZ9lujZPiazb9oBNNyOko/s1600/boxback.jpg" imageanchor="1" style="clear: right; float: right; margin-bottom: 1em; margin-left: 1em;"><img border="0" data-original-height="690" data-original-width="396" height="200" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEgRM-_5t22SHlF42X4jt_sBYOdFnmz-a8_aTw2s2fMymRn8dDEfXDU1qkjmTReTcl9zOr50lEjbYQTWcfjYNRf-W57ygQAG7bqsMzZ3QcLayVErhrqBNxLNLWJZ9lujZPiazb9oBNNyOko/s200/boxback.jpg" width="114" /></a><br />
<h3>
Vorwort</h3>
<div>
In diesem Beitrag erkläre ich wie man mit der aktuellen <a href="https://www.swisscom.ch/de/privatkunden/hilfe/internet/firmware-aktualisierungen-fuer-ihre-internet-box.t.3.html" target="_blank">Firmware</a> der Internet Boxen, ein Gastnetzwerk, auch bekannt als isoliertes Netzwerk im LAN oder eigener WLAN Hardware einsetzen kann.</div>
<div>
Ich habe nichts davon zu Hause, ist ja wohl klar, trotzdem seid versichert, dass diese Funktion die hier beschrieben wird genau so funktioniert.<a name='more'></a></div>
<div>
Warum ist dies möglich? <a href="https://www.swisscom.ch/de/privatkunden.html" target="_blank">Swisscom</a> hat mit ihren <a href="https://www.swisscom.ch/de/privatkunden/hilfe/geraet/internet-router.html" target="_blank">Internet Boxen</a> die Fähigkeit ein zweites Wifi aufzubauen, welches isoliert vom LAN / Standard - WLAN funktioniert. Mit dem Vertrieb der <a href="https://www.swisscom.ch/de/privatkunden/produkte/zubehoer/swisscom-tv-und-internet/wlan-box(,000000000011024867).html" target="_blank">WLAN Boxen</a>, ein Oma taugliches Swisscom Router gebundenes Wifi, Mesh System, kam von der Kundschaft immer wieder der Wunsch auf, das Gäste WLAN auch über dieses weiter zu verbreiten.</div>
<div>
Immerhin hat es Swisscom nun nach gut einem Jahr hingebracht, das dies mit der aktuellen Firmware für die Boxen auch funktioniert!</div>
<div>
Der Trick welcher dabei genutzt wir ist <a href="https://de.wikipedia.org/wiki/Virtual_Local_Area_Network" target="_blank">VLAN</a>. Zum Glück blockieren die aktuellen <a href="https://www.swisscom.ch/de/privatkunden/produkte/zubehoer/swisscom-tv-und-internet/ethernet-switch(,000000000011028114).html" target="_blank">Switches von Swisscom</a> nicht zugelassene <a href="https://www.thomas-krenn.com/de/wiki/VLAN_Grundlagen" target="_blank">Tags</a>, womit sie die "Hosen runterlassen" mussten. Daher ist bekannt, dass das Gästenetzwerk über VLAN 1977 (ist das ein Jahrgang?) abgewickelt wird. Für die Switches steht daher hier eine aktuelle <a href="https://www.swisscom.ch/de/privatkunden/hilfe/geraet/heimvernetzung/ethernet-switch.html" target="_blank">Firmware</a> zur Verfügung.</div>
<div>
<br /></div>
<h3>
Isoliertes Netzwerk nutzen</h3>
<div>
Die Nutzung des isolierten Netzes ist mit dieser Erkenntnis eigentlich relativ simpel.</div>
<div>
Ich gebe hier keine konkreten Anleitungen, da sich diese von Hardware zu Hardware unterscheiden. Falls trotzdem jemand ansteht, kann er sich via Kommentar hier melden. Auch Erfolgsmeldungen oder Konzepte lese ich sicher gerne.</div>
<div>
<br /></div>
<div>
Die Internet Box verwendet wie jede Hardware als Standard VLAN die 1. Damit das Gastnetzwerk isoliert ist, verwenden sie ein zweites VLAN. Dieses ist auf den Ethernet Ports der Internet Box mit der VLAN ID 1977 tagged. Das ist nötig, damit WLAN Boxen welche mittels LAN angebunden sind, also im AP Modus arbeiten, das Gastnetzwerk transporieren können.</div>
<div>
<br /></div>
<div>
VLAN ist aber ein Standard welchen man für andere Hardware oder Ideen gebrauchen kann.</div>
<div>
Zum Beispiel könnte man doch IoT Geräte auch in dieses Netz einbinden? Ja kann man.</div>
<div>
<br /></div>
<div>
Um das Netzwerk zu verbreiten tagged man nun Link von einem Switch oder Access Point zur Internet Box nun mit VLAN ID 1 und VLAN ID 1977. Auf einem Switch kann man nun die anderen Ports je nach Gusto auf das LAN und Guest Netz aufteilen. Dazu untagged man die entsprechenden Ports entweder mit VLAN ID 1 (LAN) oder VLAN ID 1977 (Guest).</div>
<div>
Schematisch habe ich das hier mal aufgezeichnet.</div>
<div>
<br /></div>
<div class="separator" style="clear: both; text-align: center;">
<a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEhF-pavhUqPgmRkeTX2HTYoxGmFXWIYTKN1gYd7TDlsuwN7thQOC-mv0QjQJDBEaBJ29iRqGygb2ZgdS5LIzk06jP_XUj6jOecYv0tKAXrJ9dr0wpBqoDKzBoO2IRgH32LLaOGBz2zspcw/s1600/vlan.jpg" imageanchor="1" style="margin-left: 1em; margin-right: 1em;"><img border="0" data-original-height="1289" data-original-width="1367" height="376" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEhF-pavhUqPgmRkeTX2HTYoxGmFXWIYTKN1gYd7TDlsuwN7thQOC-mv0QjQJDBEaBJ29iRqGygb2ZgdS5LIzk06jP_XUj6jOecYv0tKAXrJ9dr0wpBqoDKzBoO2IRgH32LLaOGBz2zspcw/s400/vlan.jpg" width="400" /></a></div>
<div class="separator" style="clear: both; text-align: center;">
VLAN Schema Internet Box</div>
<div class="separator" style="clear: both; text-align: center;">
<br /></div>
<h3 style="clear: both; text-align: left;">
Netzwerkadressierung<br /></h3>
<div>
Das isolierte Netzwerk hat damit eine IPv4 aus dem Netz 10.128.0/16</div>
<div>
Zudem wird ein /64 IPv6 Netz zur Verfügung gestellt. Dieses ist um 1 höher als das /64 Netz welches die Internet Box im LAN verwendet. Also 2A02:120B:XXXX:XXX1:: statt 2A02:120B:XXXX:XXX0::</div>
<div>
Die Netze lassen sich auf der Internet Box bekanntlich nicht anpassen, wie auch das Ruleset, deny All zwischen LAN und Guest Netz.</div>
<div>
<br /></div>
<div>
Eventuell hat ja jemand für diese Geschichte eine Anwendung? Wie auch immer, wie man sieht, Netzwerken ist keine Magie und man kann auch andere Hardware verwenden als eine Swisscom gebundene WLAN Box. Was übrigens auch für den Router selber gilt ;)</div>
Tux0nehttp://www.blogger.com/profile/00729275216054548167noreply@blogger.comtag:blogger.com,1999:blog-4882299951105462615.post-31483862143176370612018-10-28T08:44:00.003+01:002018-10-28T08:44:33.915+01:00MTA Name anpassen Synology Mail<h2>
Synology Mail MTA-Hostname / Helo-Banner bearbeiten</h2>
<div>
<br /></div>
<div>
<a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEjKZ0FtVFRe8AZz0zKdNSHpNtktn_1Hhr0h8QxZLjE2a5RZBrqym7dc8PY-VYrK743CT64Hrt9OrVAJlgp0fLptoHqzftXxnRAYpBJ_R5rfMpH0EoFhfw-aaN0OpPl8C-H31WfmrYhx584/s1600/MailServer.png" imageanchor="1" style="clear: right; float: right; margin-bottom: 1em; margin-left: 1em;"><img border="0" data-original-height="129" data-original-width="139" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEjKZ0FtVFRe8AZz0zKdNSHpNtktn_1Hhr0h8QxZLjE2a5RZBrqym7dc8PY-VYrK743CT64Hrt9OrVAJlgp0fLptoHqzftXxnRAYpBJ_R5rfMpH0EoFhfw-aaN0OpPl8C-H31WfmrYhx584/s1600/MailServer.png" /></a>Der Betrieb eines eigenen Mailservers erfordert einige Einstellungen im DNS, damit der Server / IP nicht gleich auf einer Blacklist landen oder die Mails bei einer üblichen Prüfung nicht verworfen werden.</div>
<div>
<br /></div>
<div>
Darunter gehört der <a href="https://de.wikipedia.org/wiki/Reverse_DNS" target="_blank">rDNS </a>Lookup welcher die IP des Mail-Servers auf einen Hostname auflöst.</div>
<div>
Dabei muss die Auflösung mit dem <a href="https://wiki.hetzner.de/index.php/Mailserver_Hostnamen" target="_blank">MTA-Hostname</a> übereinstimmen.<br />
<br />
<br />
<a name='more'></a><br /></div>
<div>
<br /></div>
<div>
Hat man nur eine Domain und konfiguriert diese im Synology Mail Server, so kann man den rDNS Eintrag so erstellen, dass die Auflösung auf diese Domain stimmt. Der Mails Server von Synology verwendet als MTA-Hostname nämlich den Domain Namen welchen man im SMTP Server angibt.</div>
<div>
<br /></div>
<div>
Jetzt kann es sein, dass man aber zusätzliche Domains auf dem Server betreibt. in diesem Fall verbleibt der MTA-Hostname aber auf der primären Domain welche man eingetragen hat. </div>
<div>
Bei einer Prüfung kommt es damit zu einem <a href="https://mxtoolbox.com/problem/smtp/smtp-banner-check" target="_blank">SMTP Banner mismatch</a>.</div>
<div>
<br /></div>
<div>
<br /></div>
<div>
Damit muss man mittels ssh die Konfiguration im Synology Server anpassen. Damit die Konfiguration dauerhafte Wirkung hat, muss die Änderung in der Vorlage gemacht werden.</div>
<div>
Der Pfad befindet sich unter <span style="font-family: "courier new" , "courier" , monospace;">/var/packages/MailServer/target/etc/template/main.template</span></div>
<div>
<span style="font-family: "courier new" , "courier" , monospace;"><br /></span></div>
<div>
<span style="font-family: inherit;">Hier such man die Sektion: </span></div>
<div>
<span style="font-family: inherit;"><br /></span></div>
<div>
<span style="font-family: "courier new" , "courier" , monospace;">#smtpd_banner = $myhostname ESMTP $mail_name</span></div>
<div>
<br /></div>
<div>
<span style="font-family: inherit;">und passt diese an</span></div>
<div>
<span style="font-family: inherit;"><br /></span></div>
<div>
<span style="font-family: "courier new" , "courier" , monospace;">smtpd_banner = server.deinedomain.ch ESMTP $mail_name</span></div>
<div>
<span style="font-family: "courier new" , "courier" , monospace;"><br /></span></div>
<div>
<span style="font-family: inherit;">speichern und dein NAS neu starten.</span></div>
<div>
<span style="font-family: inherit;"><br /></span></div>
<div>
<span style="font-family: inherit;">Ein Test auf </span><a href="https://mxtoolbox.com/diagnostic.aspx">https://mxtoolbox.com/diagnostic.aspx</a> sollte diesbezüglich nun keine Probleme mehr ergeben.<span style="font-family: inherit;"> </span></div>
Tux0nehttp://www.blogger.com/profile/00729275216054548167noreply@blogger.comtag:blogger.com,1999:blog-4882299951105462615.post-6161794968295394282018-05-10T20:25:00.000+02:002018-10-28T08:45:52.091+01:00DNS Lifehacks<h2>
Was dein DNS Server alles könnte, speziell pfSense</h2>
<h3>
Intro</h3>
<div>
<a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEigupPoxPfILhe8AUkZejYSTpTEEF5GDzckniu5R71C9aFjq0I6m6cHyjNt3Ow4mRHNoRx7TkBEVFD9fpWPRB3l_AUUkVRTEqdg2-p6pDxGHsT9RzuCFDZxq-rPMtmps0n-vMp9rgtTOIQ/s1600/www.tuxone.ch-2018-05-10-17_47_47-UTC.png" imageanchor="1" style="clear: right; float: right; margin-bottom: 1em; margin-left: 1em;"><img border="0" data-original-height="1547" data-original-width="1047" height="400" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEigupPoxPfILhe8AUkZejYSTpTEEF5GDzckniu5R71C9aFjq0I6m6cHyjNt3Ow4mRHNoRx7TkBEVFD9fpWPRB3l_AUUkVRTEqdg2-p6pDxGHsT9RzuCFDZxq-rPMtmps0n-vMp9rgtTOIQ/s400/www.tuxone.ch-2018-05-10-17_47_47-UTC.png" width="270" /></a>In diesem Artikel, geht es um die Möglichkeiten die ein aktueller <a href="https://de.wikipedia.org/wiki/Domain_Name_System" target="_blank">DNS Server</a> heute so bieten würde. Er soll ein kleiner Einblick in dieses breite Thema bieten und Anreize für ein eigenes Setup schaffen. Speziell geht es hier um Optionen welche man im Zusammenhang mit einer <a href="https://www.pfsense.org/" target="_blank">pfSense</a> Firewall hat. Viele Dinge haben aber Allgemeingültigkeit oder können auch mit einem <a href="https://de.wikipedia.org/wiki/Linux" target="_blank">Linux System</a> in ähnlicher Form aufgesetzt werden, womit ich hoffe, dass sich das Lesen auch für nicht pfSensler lohnt.<br />
<br />
<br />
Vielen ist kommt der DNS Dienst selber höchstens wieder mal in den Sinn, wenn etwas harzt. Können gewisse Internet Seiten nicht aufgerufen werden, so ist das 1.lv Haushaltsmittel vieler, mal in den Einstellungen des Betriebssystems den DNS Server von automatisch auf manuell zu ändern. Üblicherweise tauscht man dabei die DNS Anfragen von 192.168.1.1, was der heimische <a href="https://de.wikipedia.org/wiki/Router#DSL-Router" target="_blank">Router</a> wäre welcher normalerweise die Cache Server des Providers nutzt, auf den Dienst eines öffentlichen Resolvers wie den von <a href="https://developers.google.com/speed/public-dns/" target="_blank">Google</a> (8.8.8.8) oder auf etwas mehr anti Google, wie die <a href="https://www.quad9.net/" target="_blank">quad9</a> Betreiber (9.9.9.9). Jetzt kann es sein, dass diese Massnahme etwas bringt, weil der Provider entweder eine Netzsperre auf diese Seite eingerichtet hat oder man umgeht damit ein eigentliches Routing Problem, weil für das Ziel eine andere IP geliefert wurde.</div>
<div>
Dies beschreibt jetzt nur den einfachsten Fall. Themen wie Netzsperren, Authentizität, Kinder- und Datenschutz und viele weitere, sollten Anlass genug sein, sich mit einem der wichtigsten Dienste im Internet, dem DNS genauer auseinanderzusetzen. Und dies beginnt im heimischen Netz.</div>
<div>
<a name='more'></a><br /></div>
<div>
<br /></div>
<h3>
Forwarder vs. Resolver</h3>
<div>
Forwarder: Üblicherweise wird das Thema DNS Server auf den Heimrouter der Provider sehr stiefmütterlich behandelt. Gängig ist, dass auf dem Router eine Linux Variante werkelt und DNS über den Dienst <a href="https://en.wikipedia.org/wiki/Dnsmasq" target="_blank">Dnsmasq</a> bedient wird. DNSmasq ist ein einfaches robustes Programm welches gleichzeitig auch noch ein <a href="https://de.wikipedia.org/wiki/Dynamic_Host_Configuration_Protocol" target="_blank">DHCP Server</a> sein kann. Da DNS die meisten Heimanwender (bis jetzt) wenig interessiert hat, genügt dies auch. Dieses Programm nimmt die DNS Anfragen auf, leitet diese an einen Resolver weiter, welcher die Anfrage beantwortet. Je nachdem hat der Router dann noch einen kleinen Cache, womit eine erneute Anfrage innert kürzester Zeit nicht nochmals beim DNS Resolver des Providers angefragt werden muss. Bietet der Provider oder Routerlieferant sogar noch ein klein bisschen mehr als ein beschnittenes Webinterface, kann man für lokale Server gar eigene Einträge machen. So muss man den Drucker nicht mehr über 192.168.1.10 ansprechen, sondern kann dies über seinen FQDN zb. printer.home machen. Bringt vor allem etwas, wenn man sich die 128Bit einer IPv6 nicht merken will.<br />
Zugegeben, bei einem Provider Router darf man heute ja schon froh sein, wenn man die Forwarder Adressen welche der Router vom Provider bezieht, auf einen sich genehmen Dienst wechseln darf :) Grund genug also schon mal seinen eigenen DNS Dienst aufzubauen.</div>
<div>
<br /></div>
<div>
Resolver: Auch wenn der Provider den DNS Dienst oft verkrüppelt, so bleibt Dnsmasq trotzdem ein mächtiges Programm mit dem man viel machen kann. Bis zu pfSense 2.2 war der Dnsmasq Resolver auch hier der Standard. Seit 2.2 wir eine Standardinstallation aber mit einem Resolver ausgeführt und zwar <a href="https://www.unbound.net/" target="_blank">Unbound</a>. Hauptunterschied ist, dass man mit Unbound noch viel mehr machen kann und wie so eine Namensauflösung von statten geht. Während der Forwarder einfach den Resolver beim Provider oder einem Anbieter anfragt, macht der Resolver den Weg von der <a href="https://de.wikipedia.org/wiki/Root-Nameserver" target="_blank">Root</a> her bis er die Antwort vom autoritativen Server einer Domain bekommen hat. Vorteil ist, dass man genau die Antwort bekommen sollte, wie es der Betreiber einer Webseite vorgesehen hat, sofern nicht irgendeine Instanz (staatlich oder privat) eingreift. Weiter kann dieses DNS System durch <a href="https://de.wikipedia.org/wiki/Anycast" target="_blank">anycast</a> kaum "ausfallen". Selbst wenn der DNS Server des Providers wieder mal einen Tilt hat, egal das "echte" Internet wird abgefragt. Durch die Abfrage vieler DNS Server ist der Datenschutz theoretisch besser, da man nicht einen einzelnen Server abfragt welcher alles loggen kann. Der Datenschutz ist theoretisch, da der Traffic natürlich weiterhin durch den Provider läuft und DNS bekanntlich unverschlüsselt und plain über die Leitungen läuft.<br />
Ein Resolver kann aber auch einen gewichtigen Nachteil haben und zwar die Performance!<br />
Während ein Forwarder seine Anfrage an einen Resolver macht, welcher einen grossen und befeuerten Cache hat und diese Anfrage schnell bedienen kann, muss ein Resolver bei seiner ersten Abfrage oder nach einer gewissen Zeit den DNS Baum heraufklettern (ok die Wurzel steht in den meisten Diagrammen zuoberst, iknow). Dies braucht gegenüber einer gecacheden Antwort natürlich Zeit.</div>
<div>
Das ist auch der Grund, wieso man teilweise Foren-Einträge findet, dass der Resolver langsamer als der Forwarder ist und der Seitenaufbau beim surfen dadurch etwas harziger wirken kann.</div>
<div>
Nochmals zur Erinnerung, pfSense kommt bei einer Installation genau mit dieser Einstellung: Es ist der Resolver aktiv er arbeitet auch als solcher durch den DNS Baum.</div>
<div>
Nur ein beschäftigter Resolver ist ein schneller Resolver, kommt die Anfrage nämlich aus seinem cache, sind wir da im Heimnetz bei Antwortzeiten von unter 1ms! Kann man im Heimnetz einen Resolver aber zu Genüge beschäftigen? Kaum, daher...</div>
<div>
<br /></div>
<h3>
Forwarding Modus aktivieren beim Unbound Resolver</h3>
<div>
Kombiniert man die Möglichkeiten eines Resolvers (Unbound kann noch viel viel mehr...) mit der Geschwindigkeit eines Forwarders, so kann man die Vor- und Nachteile beider Varianten kombinieren. Natürlich versuchen wir hierbei die Vorteile zu kombinieren. Die Nachteile lassen wir mal bei den Provider CPE :)</div>
<div>
Um dem Resolver von pfSense etwas zu befeuern gibt man diesem Forwarding Server an.<br />
Unter Services > DNS Resolver TAB General Settings: aktiviert man Enable Forwarding Mode.</div>
<div>
<br /></div>
<div class="separator" style="clear: both; text-align: center;">
<a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEg65wWEcR1VtLgKLtT7w1Pj3BTlYFaz5I5-ZPEW3MppqVEffcFPE710utUZhF3i7Gx-wqK0fBNp0WtpKYOpe0zjrVvXWr5L7UAO0ymorS4XEEpPt13TwTZxYlqo-34Lu7XwR-p6mi-kH-Q/s1600/forwarding.png" imageanchor="1" style="margin-left: 1em; margin-right: 1em;"><img border="0" data-original-height="67" data-original-width="1047" height="40" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEg65wWEcR1VtLgKLtT7w1Pj3BTlYFaz5I5-ZPEW3MppqVEffcFPE710utUZhF3i7Gx-wqK0fBNp0WtpKYOpe0zjrVvXWr5L7UAO0ymorS4XEEpPt13TwTZxYlqo-34Lu7XwR-p6mi-kH-Q/s640/forwarding.png" width="640" /></a></div>
<div>
<br /></div>
<div>
Erst JETZT werden allfällig bezogene DNS Server des Providers oder andere DNS Dienste welche man in den Allgemeinen Einstellungen definiert hat, aktiv!<br />
Vorteil nun: Die Performance steigt, da ein Eintrag welcher nicht im Cache ist, nun von einem Server in der Forwarding Liste ziemlich zügig beantwortet werden sollte. Nachteil, den eingetragenen Servern sollte man trauen können.</div>
<div>
<br /></div>
<h3>
DNS Server im Router ändern</h3>
<div>
Es kann viele Gründe für das Ändern der DNS Server im Router geben. Es kann sein das der Provider ein langsames System hat, sollte er nicht, ist aber möglich. Weiter kann es sein, dass man dem Provider nicht traut oder diese DNS basierte Netzsperren aktiv hat, das kann bei einem der grossen Provider durchaus mal vorkommen, sind diese historisch Bedingt aus staatlichen Betrieben gewachsen. Es kann aber auch sein, dass man zB einen DNS Anbieter möchte, welcher gewisse Dienste bietet die der Standarddienst nicht kann. Namentlich zB. <a href="https://www.opendns.com/" target="_blank">OpenDNS</a>, ein Dienst welchen ich persönlich zwar Kacke finde, aber mit dem man einen einfachen DNS basierten "Kinderschutz" aktivieren kann. Gut, Daddys werden nach dem lesen dieses Artikels sich sogar mit diesem Dienst, auch tatsächlich im Heimnetz durchsetzen können ;)</div>
<div>
Im Falle von pfSense möchte ich jetzt die DNS Server eintragen / ändern, weil ich eine bessere Performance möchte und weil ich Dienste nutzen möchte, welche der DNS Server meines Providers (Swisscom), nicht anbietet. Nicht weil ich die Dienste des Providers aus Prinzip schlecht finde. Nein :) (wobei dies bei einem guten Glas (nosing) Whisky schnell mal zum Thema werden würde)</div>
<div>
<br /></div>
<div>
Also bei pfSense geht man unter System > General Setup und bearbeitet dort die DNS Settings.</div>
<div>
Hier trägt man seine DNS Server des Vertrauens ein und deaktiviert den DNS Server override, denn dieser würde die Provider Dienste aktivieren.</div>
<div>
In diesem Beispiel werden die Dienste von <a href="https://1.1.1.1/de-DE/" target="_blank">Cloudflare</a> genutzt. Da kann man jetzt sicher geteilter Meinung sein. Ich selber finde Cloudflare geil und nutze auch für die Domain diesen Dienst, welcher übrigens auch in der Gratis Version Tonnen an Einstellungen erlaubt.</div>
<div>
Wie auch immer, Cloudflare ist aktuell relativ angesagt und besagt von sich aus, die Logs alle 24h zu löschen. Eine Frage des Vertrauens. Was ich aber mit Bestimmtheit sagen kann, dein Provider in der Schweiz wird das ganz bestimmt nicht tun! Du kannst von mir aus Google, Quad9, deinen Provider oder gar einen Freakelserver eines Hinterhofaktivisten verwenden, mir egal.<br />
Die weiteren genannten Dienste werden aber auf jeden Fall von Cloudflare bedient. Kläre ab ob das dein Anbieter auch kann.</div>
<div>
<br /></div>
<div class="separator" style="clear: both; text-align: center;">
<a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEikI61_cX1ZqWzmbsxlijwBIg1aTezynFvtJrA77XpW8zaHccMYiy9eYduUW5SxIcesDzfmFIg-jGzgLd7u91vBZ5wVS13IBuW2Xj6AJBONuN5_ftfRPCNZkZDmSzOIRl1WlTBJmFTeFuU/s1600/dns+forwarder.png" imageanchor="1" style="margin-left: 1em; margin-right: 1em;"><img border="0" data-original-height="574" data-original-width="1140" height="322" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEikI61_cX1ZqWzmbsxlijwBIg1aTezynFvtJrA77XpW8zaHccMYiy9eYduUW5SxIcesDzfmFIg-jGzgLd7u91vBZ5wVS13IBuW2Xj6AJBONuN5_ftfRPCNZkZDmSzOIRl1WlTBJmFTeFuU/s640/dns+forwarder.png" width="640" /></a></div>
<div class="separator" style="clear: both; text-align: center;">
<br /></div>
<div>
<br /></div>
<div>
Wie man hier sehen kann, sind auch noch gleich die <a href="https://de.wikipedia.org/wiki/IPv6" target="_blank">IPv6</a> Server eingetragen. Normalerweise liefern die heutigen DNS Server auch über ihre <a href="http://ipv4/" target="_blank">IPv4</a> Adresse sowohl den <a href="https://de.wikipedia.org/wiki/A_Resource_Record" target="_blank">A</a> wie auch den <a href="https://de.wikipedia.org/wiki/AAAA_Resource_Record" target="_blank">AAAA Record </a>einer Domain. Sprich, um eine IPv6 Webseite zu erreichen genügt die IPv4 Version eines DNS Servers alleweil (vorausgesetzt der Access ist IPv6 tauglich).</div>
<div>
Wird man aber mal keinen IPv4 Access mehr haben, so ist die Erreichbarkeit eines IPv6 Servers natürlich eine Voraussetzung!</div>
<div>
Als IPv6 Freak ist es natürlich selbstverständlich, dass man hier IPv6 Server einträgt. Wenns nach mir ginge, sollte man sowieso alle Seiten auf IPv6 only umstellen. Bisweilen beschränke ich mich dabei auf Dienste welche ich nur selber brauche. Auch mir ist bewusst, dass etwa 99,99% der Bevölkerung zumindest im mobilen Netz etwas Probleme bekommen würde #menot</div>
<div>
<br /></div>
<h3>
DNSSEC</h3>
<div>
<a href="https://www.digitale-gesellschaft.ch/2017/03/20/it-sicherheit-die-schweiz-und-dnssec/" target="_blank">DNSSEC</a> ist tot, nein ist es nicht. DNS selber ist ein unsicheres Protokoll. Wenn ich eine Anfrage auf selfoss.tuxone.ch mache, wer garantiert mir dann dass die DNS Antwort für diese Seite auch tatsächlich dem entspricht, was eigentlich der DNS Server dieser Domain vorsieht? In diesem Fall DNSSEC und sonst nichts.</div>
<div>
DNSSEC signiert und garantiert damit, dass die DNS Daten der Quelle entsprechen und während der Übertragung nicht modifiziert wurden. Wichtig. Auch wenn man hier von Kryptografie spricht, so bleibt die DNS Anfrage weiterhin unverschlüsselt!</div>
<div>
Zusätzlich ist DNSSEC Grundlage weiterer Protokolle wie <a href="https://de.wikipedia.org/wiki/DNS-based_Authentication_of_Named_Entities" target="_blank">DANE</a>.</div>
<div>
Ein kleiner Überblick bietet dieses Video:</div>
<div>
<br /></div>
<div class="separator" style="clear: both; text-align: center;">
<iframe allowfullscreen="" class="YOUTUBE-iframe-video" data-thumbnail-src="https://i.ytimg.com/vi/2hAN4KBTt4Y/0.jpg" frameborder="0" height="266" src="https://www.youtube.com/embed/2hAN4KBTt4Y?feature=player_embedded" width="320"></iframe></div>
<div class="separator" style="clear: both; text-align: center;">
<br /></div>
<div class="separator" style="clear: both; text-align: center;">
<br /></div>
<div>
Damit DNSSEC genutzt werden kann, muss die entsprechende Domain mit DNSSEC gesichert werden und der Resolver muss dies validieren.</div>
<div>
Wie im Video gezeigt, kann die Validation auf verschiedenen Ebenen geschehen.</div>
<div>
Auf der lokalen Maschine, bleiben die Browser Hersteller der DNSSEC Validation schuldig. Abhelfen kann man sich mittels Browser Plugins: <a href="https://www.dnssec-validator.cz/pages/download.html#package">https://www.dnssec-validator.cz/pages/download.html#package</a></div>
<div>
Sofern der DNS Server welchen man einsetzt zumindest DNSSEC aware ist ( The server is able to provide RRSIG, DNSKEY and DS records, but does not validate any records.) findet die Validation direkt über das Plugin statt. Die DNS Server von Swisscom sind zB. DNSSEC aware. Da sie aber die Validation nicht selber machen, nützt dies den üblichen Kunden wenig. Die Validation müsste der Resolver auf dem CPE vornehmen, was dieser aber nicht macht...</div>
<div>
Mit pfSense ist die DNSSEC Validation schnell aktiviert:</div>
<div>
Services > DNS Resolver: DNSSEC Support aktivieren und fertig. Das funktioniert mit DNSSEC aware sowie validierenden Serven wie Bluewin, Google, Cloudflare, aber auch natürlich über die Root Server.</div>
<div class="separator" style="clear: both; text-align: center;">
<a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEh8Cbip751NRJvf3JqFododiMnsW1wKoZg6v3fYOzdh0_5yfWphfY5u0flfonR_3ZA3CnieER_eo176pU7n-yGCbY9CEZcPNjJ0fPOfAbE_aEJmX5EUfb22JI6ne7mYR145F-rYVAPdwcA/s1600/dnssec.png" imageanchor="1" style="margin-left: 1em; margin-right: 1em;"><img border="0" data-original-height="43" data-original-width="309" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEh8Cbip751NRJvf3JqFododiMnsW1wKoZg6v3fYOzdh0_5yfWphfY5u0flfonR_3ZA3CnieER_eo176pU7n-yGCbY9CEZcPNjJ0fPOfAbE_aEJmX5EUfb22JI6ne7mYR145F-rYVAPdwcA/s1600/dnssec.png" /></a></div>
<div>
<br /></div>
<div>
Möchtest du testen ob bei dir DNSSEC validiert wird, so kannst du dies über diesen <a href="https://dnssec.vs.uni-due.de/" target="_blank">Link</a> machen oder ein nslookup auf <a href="http://www.dnssec-failed.org/">www.dnssec-failed.org</a> ausführen. Es sollte ein Serverfail ergeben und keine IP!</div>
<div>
<br /></div>
<h3>
DNS over TLS</h3>
<div>
Bis jetzt sind alle DNS Anfragen über Port 53 unverschlüsselt. Auch DNSSEC bietet hier keine Hilfe. Zudem ist nicht sichergestellt, dass der DNS Server mit welchem man kommunizieren möchte, auch tatsächlich der ist, welchen man wünscht. Ähnlich wie es beim E-Banking der Fall sein sollte, wird die Übertragung zum DNS Server verschlüsselt und das Zertifikat wird (oder kann) geprüft werden.</div>
<div>
Oft beworben wird dabei auch der Privacy Aspekt, da die DNS Anfragen nicht mehr durch den Provider analysiert und gesammelt werden können. Dabei gibt es aber zu bedenken, dass der Socket dann ja aber trotzdem noch über den Provider läuft...</div>
<div>
<br /></div>
<div>
DNS over TLS läuft über TCP Port 853. Durch die Verschlüsselung sowie TCP statt UDP, kommt es zu einer höheren Latenz was die Namensauflösung betrifft.</div>
<div>
Trotzdem habe ich dies seit einigen Wochen aktiv und muss sagen: "Läuft auf der pfSense wirklich geil (flott).</div>
<div>
Also aktivieren wir doch das alles. Aktuell hat Netgate dazu einen Blogpost geschrieben:</div>
<div>
<a href="https://www.netgate.com/blog/dns-over-tls-with-pfsense.html">https://www.netgate.com/blog/dns-over-tls-with-pfsense.html</a></div>
<div>
Wer aber bereits pfSense ab 2.4.4 in betrieb hat #metoo, kann dass komfortabel über das WUI aktivieren:</div>
Services > DNS Resolver > General Settings > DNS Query Forwarding: einfach noch zusätzlich Use SSL/TLS for outgoing DNS Queries to Forwarding Servers aktivieren. Das setzt natürlich voraus, dass die Forwarding Server alle DNS over TLS unterstützen (Cloudflare zb, Bluewin wohl eher nicht :) )<br />
<div>
<br />
<div>
<br /></div>
<div class="separator" style="clear: both; text-align: center;">
<a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEhq9Dz1OaZbTpAo6q-WyApnA5wMW1Ic9-912-zyn2XCTjddqsg8PU79zpf_hc1epSUdk37wXdWbbIrldYpOlUoEVEg808wEXjAraas7P9jWWED_NWKSBOkfmWsM_MulTAIPnBOSZlMjqqY/s1600/tls.png" imageanchor="1" style="margin-left: 1em; margin-right: 1em;"><img border="0" data-original-height="166" data-original-width="1130" height="94" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEhq9Dz1OaZbTpAo6q-WyApnA5wMW1Ic9-912-zyn2XCTjddqsg8PU79zpf_hc1epSUdk37wXdWbbIrldYpOlUoEVEg808wEXjAraas7P9jWWED_NWKSBOkfmWsM_MulTAIPnBOSZlMjqqY/s640/tls.png" width="640" /></a></div>
<div class="separator" style="clear: both; text-align: center;">
<br /></div>
<div class="separator" style="clear: both; text-align: center;">
<br /></div>
<div>
<br />
<div>
Damit laufen alle Anfragen des Resolvers in der pfSense über TLS Port 853. Möchtest du jetzt noch einen Schritt weitergehen, so kannst du den Resolver selber auch noch über 853 TLS anbieten.</div>
<div>
Dazu:<br />
Services > DNS Resolver > General Settings > Enable SSL/TLS Service aktivieren. </div>
<div>
<br /></div>
<div class="separator" style="clear: both; text-align: center;">
<a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEj3PMrOr7QwKICY8PE-lhGKmS3t61-Y91bqUdRi382D1klXXdsGoGluKihdas10kn0Mq02d59p8bCdsgK6DAIiy_-Wnk-U-zFNdfpruYUbfuy5Aus-iJVTyJXClFW7LpW9i4Tmbe-ECCbc/s1600/resolver.png" imageanchor="1" style="margin-left: 1em; margin-right: 1em;"><img border="0" data-original-height="234" data-original-width="1126" height="132" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEj3PMrOr7QwKICY8PE-lhGKmS3t61-Y91bqUdRi382D1klXXdsGoGluKihdas10kn0Mq02d59p8bCdsgK6DAIiy_-Wnk-U-zFNdfpruYUbfuy5Aus-iJVTyJXClFW7LpW9i4Tmbe-ECCbc/s640/resolver.png" width="640" /></a></div>
<div>
<br /></div>
<div>
<br /></div>
<div>
Damit kann ein Client die Anfrage direkt auf den Resolver in der pfSense TLS gesichert abschliessen. Ein Stubresolver der dies kann ist <a href="https://dnsprivacy.org/wiki/display/DP" target="_blank">Stubby</a>. Zudem wird Android P DNS over TLS unterstützen!</div>
<div>
Das würde dann wohl in etwa so aussehen wenn man den Traffic analysiert:</div>
<div>
<br /></div>
<div class="separator" style="clear: both; text-align: center;">
<a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEgf_D2GVEKKg2pxPTm5d763Q65K-vjSSP3DsCCim9zUR79y5tpbaYk5AsOMXMDw2GUURGgCfPJC_QOa-tVk6KXvE7g7IrsLi6oZbCPef7NjYq5O80rZpCCF2gskM8NEq50P3B0ThExqQ8k/s1600/tsl+wire.png" imageanchor="1" style="margin-left: 1em; margin-right: 1em;"><img border="0" data-original-height="777" data-original-width="1600" height="310" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEgf_D2GVEKKg2pxPTm5d763Q65K-vjSSP3DsCCim9zUR79y5tpbaYk5AsOMXMDw2GUURGgCfPJC_QOa-tVk6KXvE7g7IrsLi6oZbCPef7NjYq5O80rZpCCF2gskM8NEq50P3B0ThExqQ8k/s640/tsl+wire.png" width="640" /></a></div>
<div>
<br /></div>
<div>
<br /></div>
<div>
<br /></div>
<h3>
DNS Anfragen umleiten</h3>
<div>
Jetzt lese ich in letzter Zeit, dass eine DNS Sperre im Zusammenhang mit einer Netzsperre jeweils inner 2 Minuten aufgehoben ist. Ziel ist, dass man statt dem DNS Server des Providers einen freien Resolver einträgt, welcher die gesperrten IP's immer noch auflöst. Auch staatliche Kontrollen konnte man schon umgehen, indem man zB 8.8.8.8 im System eingetragen hat.</div>
<div>
<br /></div>
<div class="separator" style="clear: both; text-align: center;">
<a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEitY7UG64xwYoGXQICoC_P5WrXlBPKouUh1tKcLRK_Nf-ughDBYlZqQ9d774CZHE6zhjbnBGq3n9-K1nWUZbnrhVlImChXkKkGkWNi50AZTT5y7dKIeUzFLJwspi5sO_LPXzgEDg9uWbjk/s1600/T%25C3%25BCrkei88888.jpg" imageanchor="1" style="margin-left: 1em; margin-right: 1em;"><img border="0" data-original-height="356" data-original-width="565" height="402" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEitY7UG64xwYoGXQICoC_P5WrXlBPKouUh1tKcLRK_Nf-ughDBYlZqQ9d774CZHE6zhjbnBGq3n9-K1nWUZbnrhVlImChXkKkGkWNi50AZTT5y7dKIeUzFLJwspi5sO_LPXzgEDg9uWbjk/s640/T%25C3%25BCrkei88888.jpg" width="640" /></a></div>
<div class="separator" style="clear: both; text-align: center;">
<br /></div>
<div class="separator" style="clear: both; text-align: center;">
<br /></div>
<div>
<br /></div>
<div>
Ist das also wirklich so einfach? Kann man zB einen DNS basierten Kinderschutz aktivieren und alles ist in Ordnung? Was wenn die Kids herausfinden dass sie auf dem Smartphone einfach den DNS Server ändern und Daddy das Gerät nicht gesperrt hat? Ist es sinnvoll dann bei allen Geräten die Konfig zu sperren? Ja schon, aber jetzt kommt mein Liebling Gag, welchen ich auch gewerblich gerne einsetze und das Gros der heimischen Sysadmins bereits vor eine hohe ( riesige) Hürde stellt :D (Layer 7 Inspection bleibt in diesem Post aussen vor. Falls Interesse besteht wie man zB. VPN Traffic auf Layer 7 analysiert und damit unterbindet, kann dies in den Kommentaren upvoten. Ich würde dann einen Post darüber machen)</div>
<div>
<br /></div>
<div>
Was vielen der selbsternannten heimischen Sysadmins nicht so geläufig ist. <a href="https://de.wikipedia.org/wiki/Port_Address_Translation" target="_blank">NAT</a>, funktioniert auch umgekehrt (eigentlich eine logische Voraussetzung...).</div>
<div>
Üblicherweise verwendet man NAT um eine öffentliche IP Adresse auf eine Private inkl Port umzusetzen (NAPT)</div>
<div>
<br /></div>
<div>
Mit diesem Wissen könnte man doch alle Anfrage welche auf irgendeine Adresse in das Web gehen sollen und als Ziel Port 53 haben, auf den lokalen DNS Resolver von pfSense umleiten und zwar 127.0.0.1.</div>
<div>
Und das geht so:</div>
<div>
<br /></div>
<div class="separator" style="clear: both; text-align: center;">
<a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEgiAzRXw_T422mREEJbzqL16JdX69Qzx0Bj4hfqxFj0OYRDKV7n-8IqbklNDBNyXriSC89w3mkaCtPy13pR0AVCQjeOXxrUIaCh3iyWhFouteM6FP0HXl1_v598IFfLYc7mNJIp4QssHD4/s1600/53+redirect.png" imageanchor="1" style="margin-left: 1em; margin-right: 1em;"><img border="0" data-original-height="1043" data-original-width="1145" height="582" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEgiAzRXw_T422mREEJbzqL16JdX69Qzx0Bj4hfqxFj0OYRDKV7n-8IqbklNDBNyXriSC89w3mkaCtPy13pR0AVCQjeOXxrUIaCh3iyWhFouteM6FP0HXl1_v598IFfLYc7mNJIp4QssHD4/s640/53+redirect.png" width="640" /></a></div>
<div>
<br /></div>
<div>
Herrlich dieser Gag! Die verdutzten Gesichter sind dir sicher :)</div>
<div>
Übrigens ist diese Art des Jugendschutzes eh schon fraglich. Diese Debatte müssen wir hier nicht führen. Der Port 53 Redirect ist aber auch sonst ziemlich nützlich, da es im Heimnetz viele Geräte gibt, welche auf die Namensauflösung via DHCP Vorgabe pfeifen und selbständig nach Hause kommunizieren möchten. Nennen wir da mal die Google Geräte welchen man so im Glauben lassen kann, dass alles i.O ist.</div>
<div>
<br /></div>
<div class="separator" style="clear: both; text-align: center;">
<a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEh0UnXMDRjsSwpsVLqwDwzi_D6ZD_1hO5RXCxCIA_U5FikX9E5PISmT5EeQraqdVwWDPmk90fBRoNqWqEGeUUBNtUREsfkqjiUOT4XW2baZ4nRVh-huTi9wbBwk8VSnOnOFcqfBdxCZUDg/s1600/namebench.png" imageanchor="1" style="margin-left: 1em; margin-right: 1em;"><img border="0" data-original-height="180" data-original-width="412" height="173" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEh0UnXMDRjsSwpsVLqwDwzi_D6ZD_1hO5RXCxCIA_U5FikX9E5PISmT5EeQraqdVwWDPmk90fBRoNqWqEGeUUBNtUREsfkqjiUOT4XW2baZ4nRVh-huTi9wbBwk8VSnOnOFcqfBdxCZUDg/s400/namebench.png" width="400" /></a></div>
<div class="separator" style="clear: both; text-align: center;">
<br /></div>
<div class="separator" style="clear: both; text-align: center;">
<br /></div>
<div class="separator" style="clear: both; text-align: center;">
<br /></div>
<h3>
Abschluss</h3>
<div>
So ich hoffe ich konnte einen kleinen Einblick geben, was mit einem DNS Resolver im Jahre 2018 so alles möglich wäre.</div>
<div>
Für Ergänzungen, Inputs und Fragen, steht die Kommentarfunktion jederzeit zur Verfügung.</div>
<div>
<br /></div>
<div>
<br /></div>
<div>
<br /></div>
<div>
<br /></div>
</div>
</div>
Tux0nehttp://www.blogger.com/profile/00729275216054548167noreply@blogger.comtag:blogger.com,1999:blog-4882299951105462615.post-9693508026714231412017-12-17T18:27:00.000+01:002017-12-17T18:27:08.013+01:00Let's encrypt Sicherheitszertifikat für das pf Webinterface<h2>
Verschlüsselung aber gültig</h2>
<div>
<a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEh2vjhIBrFlL4FX-ceQJV8qIh1D5MFnM01PmwPywl6LfXUAojoMbLJRHDxFCFdhwDhiDjBYdRmVbk9EOPmQ7wTGw9QYdSQs613Wb7CP7ksQhCkT5LJG0SNwN7AVTypBtTJaEWlAEtDbFcc/s1600/Login.png" imageanchor="1" style="clear: right; float: right; margin-bottom: 1em; margin-left: 1em;"><img border="0" data-original-height="335" data-original-width="834" height="128" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEh2vjhIBrFlL4FX-ceQJV8qIh1D5MFnM01PmwPywl6LfXUAojoMbLJRHDxFCFdhwDhiDjBYdRmVbk9EOPmQ7wTGw9QYdSQs613Wb7CP7ksQhCkT5LJG0SNwN7AVTypBtTJaEWlAEtDbFcc/s320/Login.png" width="320" /></a><a href="https://de.wikipedia.org/wiki/Transport_Layer_Security" target="_blank">Transportverschlüsselung</a> wird immer wichtiger. So wird der Webzugriff auf Appliances wie <a href="https://www.pfsense.org/" target="_blank">PFsense</a> schon seit vielen Jahren per Default auf https umgeleitet. Ganz im Gegenteil zu den vielen CPE's welche den Laien von ihren Providern sträflich ohne solch eine Funktion oder gar Möglichkeit aufs Auge gedrückt werden.</div>
<div>
Hinter dieser Funktion steckt jeweils ein selbst signiertes Zertifikat, welches man zB. selber beglaubigen und auf die Maschinen welche den Zugriff machen sollten, importieren könnte. Den Meisten dürfte solche ein Verhalten bestenfalls noch von einem allfälligen NAS bekannt sein. Üblicherweise quittiert der Browser dies mit einem roten <span style="color: red;">https</span> in der Adresszeile. Janu, damit ist die Verbindung zumindest verschlüsselt, aber wenig vertrauenerweckend.<br />
Da jetzt sogar <a href="https://de.wikipedia.org/wiki/Transport_Layer_Security" target="_blank">AVM für ihre Fritzboxen </a>beginnt gültige Zertifikate zu erstellen, möchte ich in diesem Beitrag das Pendant dazu in PFsense beschreiben.</div>
<div>
Ich erkläre wie man mit dem ACME Paket für pfsense eine Zertifikat mittels DNS Challenge anfordern kann und wie man dieses Zertifikat dann verwendet.<br />
Die DNS Challenge mag ich besonders, da man keinen Websocket dafür öffnen muss, auch nicht temporär und man in diesem Zusammenhang ja so oder so mit Domain Namen arbeitet. In diesem Beispiel mache ich die Challenge über Cloudflare.<br />
<a name='more'></a></div>
<div>
<br /></div>
<h3>
ACME Paket installieren</h3>
<div>
Unter System > Package Manager > Available Packages findet sich das <a href="https://doc.pfsense.org/index.php/ACME_package" target="_blank">acme package</a>, welches zu installieren ist. Dies geschieht mit all seinen Abhängigkeiten automatisch.<br />
<br />
<table align="center" cellpadding="0" cellspacing="0" class="tr-caption-container" style="margin-left: auto; margin-right: auto; text-align: center;"><tbody>
<tr><td style="text-align: center;"><a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEi3I07kIlOH5UHmg9YVVHJjp_FgY0sgF0C-a_MoAWhdCjSDhRKJkzTwvdewJJpSuFK-Zpc999s3Qefri8k4F2PgwtBv5Z8sq2_n585ViRpwgDmizfBeYOiHyaV5uKcMWNllpLSVZOqiBUk/s1600/acme+package.png" imageanchor="1" style="margin-left: auto; margin-right: auto;"><img border="0" data-original-height="102" data-original-width="1127" height="56" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEi3I07kIlOH5UHmg9YVVHJjp_FgY0sgF0C-a_MoAWhdCjSDhRKJkzTwvdewJJpSuFK-Zpc999s3Qefri8k4F2PgwtBv5Z8sq2_n585ViRpwgDmizfBeYOiHyaV5uKcMWNllpLSVZOqiBUk/s640/acme+package.png" width="640" /></a></td></tr>
<tr><td class="tr-caption" style="text-align: center;">acme package</td></tr>
</tbody></table>
<h3>
<br />Account key kreieren</h3>
<div>
<table cellpadding="0" cellspacing="0" class="tr-caption-container" style="float: left; text-align: left;"><tbody>
<tr><td style="text-align: center;"><a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEiUswludpJBIa91XLw8EAiNGsJnJF4CLVJWBKClqJM0X90iOr6_KFKqAZWj5FIlxq6VykmSVWvXy0QVfNmfv6IFbsMZpuS0AZEojHwZdh4mL3pKJcb9X_Y0ZfiJkGbnR-hq2vKPUZLuoJc/s1600/Account+key+1.png" imageanchor="1" style="clear: right; margin-bottom: 1em; margin-left: auto; margin-right: auto;"><img border="0" data-original-height="721" data-original-width="843" height="340" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEiUswludpJBIa91XLw8EAiNGsJnJF4CLVJWBKClqJM0X90iOr6_KFKqAZWj5FIlxq6VykmSVWvXy0QVfNmfv6IFbsMZpuS0AZEojHwZdh4mL3pKJcb9X_Y0ZfiJkGbnR-hq2vKPUZLuoJc/s400/Account+key+1.png" width="400" /></a></td></tr>
<tr><td class="tr-caption" style="text-align: center;">Acount key</td></tr>
</tbody></table>
Nach der Installation steht ACME unter Services > ACME auch schon zur Verfügung.</div>
<div>
Als erstes muss mann einen Account key eröffnen. Einen solchen Account key erstellt man üblicherweise pro Server einmal. Also in diesem Fall auch für die PFsense.<br />
<br />
Dem Account vergibt man einen Namen. Wer möchte kann dies unter<br />
Description noch etwas genauer beschrieben.<br />Unter Acme Server hat man die Wahl zwischen Production und Stagging. Production für den ordentlichen Betrieb, stagging wenn man mal etwas testen möchte.<br />
<br />
<br />
<br />
Als nächstest generiert man über "Create new account key" einen Schlüssel, welchen man danach mittels "Register acme account key" registriert.<br />
<br />
<br />
<h3>
<br />Zertifikat erstellen</h3>
Als nächstes erstell man das Zertifikat und zwar unter Services > Acme > Certificates<br />
<div class="separator" style="clear: both; text-align: center;">
</div>
<a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEg2RBtwKUy0ey5facq1lziOxozrP1k9j-Ql8AU7UN4a-0l-t-nlNsL8MCcnQhDVvZbRf73fb6-tP_z5nOZ53kgQ5ReHYXwA5PQ3uZXOJGb-KXe1yJyAZsJCbJyfAxNrntAjYI2ikozWrvU/s1600/Certificate.png" imageanchor="1" style="clear: left; float: left; margin-bottom: 1em; margin-right: 1em;"><img border="0" data-original-height="866" data-original-width="1444" height="238" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEg2RBtwKUy0ey5facq1lziOxozrP1k9j-Ql8AU7UN4a-0l-t-nlNsL8MCcnQhDVvZbRf73fb6-tP_z5nOZ53kgQ5ReHYXwA5PQ3uZXOJGb-KXe1yJyAZsJCbJyfAxNrntAjYI2ikozWrvU/s400/Certificate.png" width="400" /></a><br />
Auch hier vergibt man einen Namen und kann die Beschreibung noch ergänzen. Der Status ist aktiv. Unter Acme Account wählt man den zuvor erstellen Account. Die Key Grösse kann man hier möglichst gross wählen.<br />
Spannend wird es dann unter der SAN list. Beim Domainname gibt man den Namen an auf den das Zertifikat erstellt werden soll. Unter diesem Namen ist dann die pfsense<br />
<br />
später auch erreichbar. Als Challenge Methode mag ich wie in der Einleitung bereits geschrieben, DNS. Man hat hier diverse DNS Anbieter zur Wahl. Im Falle von Cloudflare benötigt man dazu nur die Mail-Adresse unter der man die Domain registriert hat und den API Key. Das alles speichert man und klickt in der nachfolgenden Übersicht das erste Mal auf Renew.<br />
<br />
<h4>
Webconfigurator anpassen</h4>
<div>
Das Zertifikat hat man von<a href="https://letsencrypt.org/getting-started/" target="_blank"> let's encrypt</a> zwar erhalten, genutzt wird es aber noch nicht. Um es zu verwenden braucht es unter System > Advanced > Admin Access noch zwei kleine Anpassungen.</div>
<div>
Als erstes wählt man unter SSl Certificates das erstellte Cert aus.</div>
<div>
Weiter unterscheidet sich PFsense von gewöhnlichen Scheissprodukten. Und zwar ist ein <a href="https://www.heise.de/security/artikel/Angepinnt-271004.html" target="_blank">dns rebinding Schutz</a> aktiv. Das lassen wir auch so, geben aber unter "Alternate Hostnames" noch den FQDN des Zertifikates an. Damit ist der rebinding Schutz für diesen Namen aufgehoben.</div>
<h4>
<br />Domain Namen bekannt machen</h4>
<div>
Damit man die PFsense in Zukunft auch über den Domain Namen erreichen kann, mit dem das Zertifikat auch verknüpft ist, muss man diesen noch bekannt machen. Kann man machen indem man einen A Record des Namens mit der öffentlichen IP des Anschlusses beim DNS Hoster macht. Finde ich nicht unbedingt sinnvoll, da damit der Name damit offiziell aufgelöst werden kann, dass Webinterface aber so natürlich nicht von extern erreichbar ist/bleibt.</div>
<div>
PFsense arbeitet in der Standard Konfiguration aber bereits als DNS Resolver. Aber selbst wenn man den Betrieb auf Forwarder geändert hat, so oder so, wir können DNS Namen im eigenen Netz propagieren.</div>
<div>
Unter Services > DNS Resolver (oder je nachdem DNS Forwarder) > General Settings</div>
<div>
Host Overrides, kann man entsprechend DNS Namen überschrieben, bzw. bekannt geben.</div>
<div>
Das kann man hier für IPv4 sowohl als auch IPv6 machen. Im Beispiel die Version mittels IPv6.</div>
<div>
Logische Konsequenz ist, dass ab sofort die Administration über IPv6, einem FQDN inkl Zertifikat welches offiziell beglaubigt ist, stattfindet. Schluss mit schnödem 192.168.1.1.</div>
<div>
<br /></div>
<div class="separator" style="clear: both; text-align: center;">
<a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEho4NeRYqBobLX3Ml8jc70rMQ58GcYJXPmyh0NLwFKpxiRWVQqYoxqUloDQoyvZsImGhx9s7_STW8kbH7Y8VTb5LmXoH4mogOaBCuUcNhoaG73ZsZfBGorhpR8FVVZ9EHGhcq3SaW_tLs8/s1600/Host+Override.png" imageanchor="1" style="margin-left: 1em; margin-right: 1em;"><img border="0" data-original-height="709" data-original-width="1451" height="312" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEho4NeRYqBobLX3Ml8jc70rMQ58GcYJXPmyh0NLwFKpxiRWVQqYoxqUloDQoyvZsImGhx9s7_STW8kbH7Y8VTb5LmXoH4mogOaBCuUcNhoaG73ZsZfBGorhpR8FVVZ9EHGhcq3SaW_tLs8/s640/Host+Override.png" width="640" /></a></div>
<div>
<br /></div>
<div>
<br /></div>
</div>
<h3>
</h3>
<span id="goog_2104919348"></span><span id="goog_2104919349"></span></div>
Tux0nehttp://www.blogger.com/profile/00729275216054548167noreply@blogger.comtag:blogger.com,1999:blog-4882299951105462615.post-50434869719547236402017-09-08T19:48:00.001+02:002017-09-08T19:48:21.014+02:00Google Familie für die Schweiz freigeschaltet<h2>
Google Family</h2>
<div>
<br /></div>
<div>
<a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEhNKSVz4kJVJR8OtZTmcoRnIVCw67bO8wd2KJe1c5_xx8k-kUd8BE2rMCVdQAnLkra_zEZkyt_Sh2xNG-SHFMk4YLUe8jSesB6Ujp1pw_WsFu2p3eH9F9jtw2Mw03m94zNUlssp8T13tlA/s1600/google-doodle-nationalfeiertag01.gif" imageanchor="1" style="clear: right; float: right; margin-bottom: 1em; margin-left: 1em;"><img border="0" data-original-height="124" data-original-width="304" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEhNKSVz4kJVJR8OtZTmcoRnIVCw67bO8wd2KJe1c5_xx8k-kUd8BE2rMCVdQAnLkra_zEZkyt_Sh2xNG-SHFMk4YLUe8jSesB6Ujp1pw_WsFu2p3eH9F9jtw2Mw03m94zNUlssp8T13tlA/s1600/google-doodle-nationalfeiertag01.gif" /></a>Endlich auch für die Schweiz, hat Google die Familien Funktion freigegeben.</div>
<div>
Mit dieser Funktion kann einen Familiengruppe erstellt werden.</div>
<div>
<br /></div>
<div>
Innerhalb dieser Gruppe können Käufe aus dem Google Play Store, Filme, Musik und weiteres geteilt, bzw genutzt werden. Dazu erstellt man eine Familienmediathek.</div>
<div>
Ebenfalls kann über den Google Music Family Tarif, Musik von mehreren Mitgliedern (gleichzeitig) genutzt werden. </div>
<div>
<br /></div>
<div>
Wie eine Gruppe errichtet wird, kann auf den Hilfeseiten von Google entnommen werden.</div>
<div>
<a href="https://support.google.com/googleplay/answer/7103337?hl=de">https://support.google.com/googleplay/answer/7103337?hl=de</a></div>
<div>
<br /></div>
<div>
Einen weiterführenden Artikel zur Familienmediathek ist zB. auf dem Produkte Blog von Google zu finden. Der Artikel wurde zwar für Deutschland geschrieben, gilt nun analog aber auch für die Schweiz.</div>
<div>
<a href="https://germany.googleblog.com/2016/07/google-play-familienmediathek.html">https://germany.googleblog.com/2016/07/google-play-familienmediathek.html</a></div>
<div>
<br /></div>
<div>
<br /></div>
<div>
<br /></div>
Tux0nehttp://www.blogger.com/profile/00729275216054548167noreply@blogger.comtag:blogger.com,1999:blog-4882299951105462615.post-90650072959277762017-08-26T12:20:00.001+02:002021-01-27T16:00:09.033+01:00pfSense Einstellung Swisscom Smart Business Connect Trunk (SIP-Direct)<h2>
UDP Timeout erhöhen</h2>
<br />
<h3>
Problembeschreib</h3>
<div>
<a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEiC3uGBnn6dy-wzGWxWHPZhaAkqNs5s_HZBUWg3CCagTsDm8UT9QMuGsSatu-o8lahDtoFs-uZCG7-J5qneU1zZwCv12al7rmOYCnLeOw5EqLhxtfFyM1zD1PMg_ka6nouEprfCawOLO4M/s1600/2017-08-26+12_03_27-Swisscom+-+Kundencenter.png" imageanchor="1" style="clear: right; float: right; margin-bottom: 1em; margin-left: 1em;"><img border="0" data-original-height="121" data-original-width="130" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEiC3uGBnn6dy-wzGWxWHPZhaAkqNs5s_HZBUWg3CCagTsDm8UT9QMuGsSatu-o8lahDtoFs-uZCG7-J5qneU1zZwCv12al7rmOYCnLeOw5EqLhxtfFyM1zD1PMg_ka6nouEprfCawOLO4M/s1600/2017-08-26+12_03_27-Swisscom+-+Kundencenter.png" /></a>Der Betrieb einer <a href="http://www.mitel.ch/products/unified-communications/mivoice-office-400" target="_blank">Mivoice Office 400 Anlage</a> mit <a href="http://documents.swisscom.com/product/1000614-Smart_Business_Connect/Documents/Marketing-_und_Verkaufsunterlagen/factsheet_smart_business_connect_trunk-de.pdf" target="_blank">SIP Trunk</a> zur Swisscom Smart Business Plattform, genannt SIP Direct, ist auch hinter einer Firewall möglich.</div>
<div>
Dazu müssen keine Ports von WAN zu LAN geöffnet werden.</div>
<div>
Ist der SIP Trunk hinter einer<a href="https://www.pfsense.org/" target="_blank"> pfsense</a>, kommt es vor, dass eingehende Anrufe nicht durchkommen (und dementsprechend auf eine programmierte Notlenkung landen), sowie ausgehende Calls nicht beim ersten Rufaufbau funktionieren (Überlast).</div>
<div>
Im MiVoice 400 System ist der Trunk in dieser Zeit auf Status grün, Registriert.</div>
<div>
<a name='more'></a><br /></div>
<h3>
Problemlösung</h3>
<div>
Smart Business Connect erfordert ein <a href="https://de.wikipedia.org/wiki/User_Datagram_Protocol" target="_blank">UDP</a> Timeout von 180s.</div>
<div>
Damit dies in pfSense gehandelt werden kann, muss das Timeout erhöht werden. Das Timeout von <a href="https://de.wikipedia.org/wiki/Pf_(Paketfilter)" target="_blank">pf</a> ist in der Standard Konfiguration zu kurz.</div>
Im <b>System > Advanced, Firewall/NAT</b> Tab, stellt man dazu <b>Firewall Optimization Options</b> auf <i>Conservative.</i><div>
Damit ist dieses Problem behoben. Das UDP Timeout wird erhöht und die States bleiben somit erhalten</div>
<div>
<a href="https://doc.pfsense.org/index.php/VoIP_Configuration">https://doc.pfsense.org/index.php/VoIP_Configuration</a></div>
<div>
<br /></div>
<div>
<br /></div>
<div class="separator" style="clear: both; text-align: center;">
<a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEiadDzN3aH6aVCbiQI6dVW4UzbdhvYHBe99avmF-WR99_STxtp8Ifl0DQgIyd9U1Q9ytB00PlGzGnoB7nxanzdlrs3_pUYlwwsbUtZkaR1ZsKM4aNSkqaLQL38obxPtAR4y22Nov7-piWA/s1600/2017-08-26+12_18_33-pfSense.delag+-+System_+Advanced_+Firewall+%2526+NAT.png" imageanchor="1" style="margin-left: 1em; margin-right: 1em;"><img border="0" data-original-height="477" data-original-width="1162" height="260" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEiadDzN3aH6aVCbiQI6dVW4UzbdhvYHBe99avmF-WR99_STxtp8Ifl0DQgIyd9U1Q9ytB00PlGzGnoB7nxanzdlrs3_pUYlwwsbUtZkaR1ZsKM4aNSkqaLQL38obxPtAR4y22Nov7-piWA/s640/2017-08-26+12_18_33-pfSense.delag+-+System_+Advanced_+Firewall+%2526+NAT.png" width="640" /></a></div>
<div>
<br /></div>
Tux0nehttp://www.blogger.com/profile/00729275216054548167noreply@blogger.comtag:blogger.com,1999:blog-4882299951105462615.post-61351656467428093472017-08-20T09:58:00.001+02:002017-08-20T09:58:13.137+02:00IPv6 Tunnel mit OpenVPN auf pfSense<h2>
IPv6 Roadwarrior Server-Tunnel</h2>
<h3>
<a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEgaeRQNUB1hJ-lzTA4zBliPME0nuvjGP6CcUcmVPgtAW1I-Ne8W8XkyxfYZfRTOpiMwyvERgKP1zPQvnXUJYmMYc-KA-3IJBUECqgKuaPuVc2sJuVOhY5aHYPLDp0pGIVUPiNZ8IPcgG5c/s1600/IPv6.png" imageanchor="1" style="clear: right; float: right; margin-bottom: 1em; margin-left: 1em;"><img border="0" data-original-height="1600" data-original-width="900" height="320" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEgaeRQNUB1hJ-lzTA4zBliPME0nuvjGP6CcUcmVPgtAW1I-Ne8W8XkyxfYZfRTOpiMwyvERgKP1zPQvnXUJYmMYc-KA-3IJBUECqgKuaPuVc2sJuVOhY5aHYPLDp0pGIVUPiNZ8IPcgG5c/s320/IPv6.png" width="180" /></a>Vorwort</h3>
<div>
In diesem Beitrag zeige ich kurz auf wie man seinen bestehenden <a href="https://de.wikipedia.org/wiki/OpenVPN" target="_blank">OpenVPN</a> Tunnel mit der <a href="https://de.wikipedia.org/wiki/IPv6" target="_blank">IPv6</a> Unterstützung aufrüstet.</div>
<div>
IPv6 steht auch heute noch in den Mobilen Netzwerken der Schweizer Carrier nicht als Internet Transport zur Verfügung. Leider darf man sagen, würde es doch gerade in diesen <a href="https://www.elektronik-kompendium.de/sites/net/0812111.htm" target="_blank">genateten</a> Netzwerken einen wesentlichen Benefit bringen.</div>
<div>
Überhaupt ist IPv6 das Protokoll der Stunde. Hier geht noch was.</div>
<div>
OpenVPN bietet seit der Version 2.3.0 offiziell die <a href="https://community.openvpn.net/openvpn/wiki/IPv6" target="_blank">IPv6 Unterstützung</a> an und natürlich ist bei <a href="https://de.wikipedia.org/wiki/PfSense" target="_blank">pfSense</a> das auch gleich dabei. Daher hier ein kleines how-to um seinen Tunnel zu ergänzen.</div>
<div>
<br /></div>
<div>
<br /></div>
<div>
<br /></div>
<div>
<br /></div>
<div>
<br /></div>
<div>
<br /></div>
<div>
<a name='more'></a><br /></div>
<h3>
IPv6 auf dem Server aktivieren</h3>
<div>
Ich davon aus, dass man bereits einen bestehenden (und funktionierenden) OpenVPN Roadwarrior Zugang hat. Falls nicht, hier die <a href="https://doc.pfsense.org/index.php/OpenVPN_Remote_Access_Server" target="_blank">Wegleitung</a> für solch einen Tunnel.</div>
<div>
Zudem muss man natürlich einen funktionierenden IPv6 Zugang auf der pfSense Maschine haben.</div>
<div>
Mit pfSense 2.3 oder 2.4 ist eigentlich bereits alles schon vorhanden.</div>
<div>
<br /></div>
<div>
Und zwar muss man im OpenVPN Server unter Tunnel Settings ein IPv6 Tunnel Network zur Verfügung stellen.</div>
<div>
Analog zu den IPv4 Regeln, darf sich dieses Netzwerk nicht mit einem bestehenden im System überschneiden. Mit IPv6 sollte das kein Problem sein. Im Beispiel verwende ich einfach eines der /64 Netze aus dem /48 Block welchen ich vom Provider habe. <a href="https://www.tuxone.ch/2017/08/swisscom-business-internet-services-dmz.html" target="_blank">[1]</a> <a href="https://www.tuxone.ch/2016/10/pppoe-passthrough-mit-swisscom-my-kmu.html" target="_blank">[2]</a></div>
<div>
Zu schreiben ist der Eintrag in der CIDR Netz-Notation also zB. 2a02:121f:abcd:1234::/64 </div>
<div>
Das Netz muss aber kein 64er sein. Es darf in diesem Fall auch mal kleiner sein.</div>
<div>
<br /><div class="separator" style="clear: both; text-align: center;">
<a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEgF9pIW2T8TVZyC-nK6ow8aZj-A55yHxCUMIzvsTIL5-Jjm4UpWfCH11ozpvuzfChxfSr59WicjE5Hadq-M82gqUaLzRBly3OryIAAWDxsGzKJUtkmDFptNYEWbhLdELC0j97tuTAYuQR0/s1600/2017-08-20+09_19_40-pfSense.tuxone+-+VPN_+OpenVPN_+Servers_+Edit.png" imageanchor="1" style="margin-left: 1em; margin-right: 1em;"><img border="0" data-original-height="653" data-original-width="1156" height="360" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEgF9pIW2T8TVZyC-nK6ow8aZj-A55yHxCUMIzvsTIL5-Jjm4UpWfCH11ozpvuzfChxfSr59WicjE5Hadq-M82gqUaLzRBly3OryIAAWDxsGzKJUtkmDFptNYEWbhLdELC0j97tuTAYuQR0/s640/2017-08-20+09_19_40-pfSense.tuxone+-+VPN_+OpenVPN_+Servers_+Edit.png" width="640" /></a></div>
<div class="separator" style="clear: both; text-align: center;">
<br /></div>
<div class="separator" style="clear: both; text-align: left;">
Weiter ist es möglich, den OpenVPN Clients einen IPv6 <a href="https://de.wikipedia.org/wiki/Domain_Name_System" target="_blank">DNS Server</a> mitzugeben.</div>
<div class="separator" style="clear: both; text-align: left;">
In meinem Beispiel mache ich dies nicht, da der vorhandene IPv4 DNS Server auch IPv6 Einträge übermittelt.</div>
<div class="separator" style="clear: both; text-align: left;">
Bei einem IPv6 only Tunnel oder bei einem IPv4 Server welcher diese Einträge nicht übermittelt, wäre dies aber nötig.</div>
<div class="separator" style="clear: both; text-align: left;">
Der DNS Eintrag kann auch ein öffentlich erreichbarer Server sein, zB. die Google DNS:</div>
<div class="separator" style="clear: both; text-align: left;">
<a href="https://developers.google.com/speed/public-dns/docs/using">https://developers.google.com/speed/public-dns/docs/using</a></div>
<div class="separator" style="clear: both; text-align: left;">
<br /></div>
<div class="separator" style="clear: both; text-align: center;">
<a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEg2OYNRgKU7CmwxXYJ_VDS_Ghy-_VDeNuZlrzRZoh8PKGpDnAwbyOmhYdf0Ws2d9_kGDF56hn3FP2NuN5UhMpnh_NpseuBJHiYQd7cZkcI4f0n8rBEMS7sq2rx4nJ3u_cH_csJqwGd4fs0/s1600/2017-08-20+09_30_07-pfSense.tuxone+-+VPN_+OpenVPN_+Servers_+Edit.png" imageanchor="1" style="margin-left: 1em; margin-right: 1em;"><img border="0" data-original-height="639" data-original-width="1156" height="353" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEg2OYNRgKU7CmwxXYJ_VDS_Ghy-_VDeNuZlrzRZoh8PKGpDnAwbyOmhYdf0Ws2d9_kGDF56hn3FP2NuN5UhMpnh_NpseuBJHiYQd7cZkcI4f0n8rBEMS7sq2rx4nJ3u_cH_csJqwGd4fs0/s640/2017-08-20+09_30_07-pfSense.tuxone+-+VPN_+OpenVPN_+Servers_+Edit.png" width="640" /></a></div>
<div class="separator" style="clear: both; text-align: left;">
<br /></div>
<div class="separator" style="clear: both; text-align: left;">
Wer jetzt möchte, dass der IPv6 Internet Traffic (und damit der Zugang zur IPv6 Welt aus IPv4 only Netzen) über den Tunnel geroutet wird, muss noch eine Push Route hinzufügen.</div>
<div class="separator" style="clear: both; text-align: left;">
Die Markierung des Redirect Gateways hat bis jetzt auf IPv6 noch keinen Einfluss.</div>
<div class="separator" style="clear: both; text-align: left;">
Aber auch dies ist schnell erledigt indem man einfach " push "route-ipv6 2000::/3"; " als Custom Option einfügt. Damit werden alle aktuell öffentlich zugeteilten IPv6 Adressen erreichbar.</div>
<div class="separator" style="clear: both; text-align: left;">
<br /></div>
<div class="separator" style="clear: both; text-align: center;">
<a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEjT6toTL8nr0Dv57MSQdKD0NsVWHUantLvm-bHeaa5AI9aRySeqXqu4edtVKRx1q1BqLbdh7UqLFoy9J71tztoV-g3N895G9vUy-lHCPf8LdR3nHybqQQtsO6kf6kkFmZOX-S5mqEYnGXw/s1600/2017-08-20+09_34_20-pfSense.tuxone+-+VPN_+OpenVPN_+Servers_+Edit.png" imageanchor="1" style="margin-left: 1em; margin-right: 1em;"><img border="0" data-original-height="572" data-original-width="1163" height="314" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEjT6toTL8nr0Dv57MSQdKD0NsVWHUantLvm-bHeaa5AI9aRySeqXqu4edtVKRx1q1BqLbdh7UqLFoy9J71tztoV-g3N895G9vUy-lHCPf8LdR3nHybqQQtsO6kf6kkFmZOX-S5mqEYnGXw/s640/2017-08-20+09_34_20-pfSense.tuxone+-+VPN_+OpenVPN_+Servers_+Edit.png" width="640" /></a></div>
<div class="separator" style="clear: both; text-align: center;">
<br /></div>
<div class="separator" style="clear: both; text-align: center;">
<br /></div>
<div class="separator" style="clear: both; text-align: center;">
<br /></div>
<div class="separator" style="clear: both; text-align: left;">
Somitt wäre dann auch der OpenVPN Server Teil erledigt. Nicht zu vergessen, ist jetzt noch die Firewall Regeln anzupassen. Und zwar ist unter Firewall > Rules >Tab OpenVPN im Minimum eine any to any IPv6 Regeln nötig. Natürlich kann man das dann auch wesentlich strikter handhaben.</div>
<div class="separator" style="clear: both; text-align: left;">
<br /></div>
<h3 style="clear: both; text-align: left;">
OpenVPN IPv6 Client</h3>
</div>
<div>
Der offizielle VPN Client für Mac und Windows enthält bereits die nötige IPv6 Unterstützung. Einfach über den Client Export herunterladen und gut ist.</div>
<div>
Bei Android Geräten kann ich <a href="https://play.google.com/store/apps/details?id=de.blinkt.openvpn&hl=de" target="_blank">OpenVPN für Android</a> empfehlen. Auch bei diesem Client lassen sich die Einstellungen und Zertifikate über den Client Export ab pfsense integrieren.</div>
<div>
Bei Android einfach noch eine Anmerkung: Falls der Tunnel aufgebaut wird, ein IPv6 Checker über den Browser aber keine Konnektivität anzeigt, kann es eben am Browser selber liegen. So habe ich die Erfahrung gemacht, dass der Chrome Browser erst ab Android 8.0 100% zufrieden mit der Konnektivität über den IPv6 Tunnel ist. Alternativen welche immer funktioniert haben, wäre zB der Firefox für Android.</div>
<div>
<br /></div>
<div>
Bei Fragen oder Anregungen steht wie immer die Disqus Kommentarfunktion zur Verfügung.</div>
<div>
<br /></div>
<div>
<br /></div>
<div class="separator" style="clear: both; text-align: center;">
<a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEgMUpQzIrcRxxJ2JBRI5Mh_1QEvRBcdjV_7nhXHHSNUZP7s518qQBiy6CxyWx5nq_xDoUbMWud_kIBwkHK58ua3CBuONjGAQlbehYCUGRbMO_rLOM4AOtje8wsE5azs6SF9eU-Go3fOTfY/s1600/Kurve.png" imageanchor="1" style="margin-left: 1em; margin-right: 1em;"><img border="0" data-original-height="900" data-original-width="1600" height="360" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEgMUpQzIrcRxxJ2JBRI5Mh_1QEvRBcdjV_7nhXHHSNUZP7s518qQBiy6CxyWx5nq_xDoUbMWud_kIBwkHK58ua3CBuONjGAQlbehYCUGRbMO_rLOM4AOtje8wsE5azs6SF9eU-Go3fOTfY/s640/Kurve.png" width="640" /></a></div>
<div>
<br /></div>
<div>
<br /></div>
<div>
<br /></div>
<div>
<br /></div>
Tux0nehttp://www.blogger.com/profile/00729275216054548167noreply@blogger.comtag:blogger.com,1999:blog-4882299951105462615.post-44407077696481975942017-08-13T11:16:00.002+02:002017-08-13T20:15:26.905+02:00IPv4 Adressen rechnen<h2>
IPv4 rechnen mit der Matrixmethode</h2>
<div>
<br /></div>
<h3>
Vorwort</h3>
<div class="separator" style="clear: both; text-align: center;">
<a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEjHTjXb7vuaWek4e5nsIgTbaFxmv0baFl5HGFTfyzgSXF-bz9vUlCqFhZ5C64JC4_JLKMgfUo-pXjJQuSjxhySa-COlLtdrSWWHhxKzGufdfWEMbRWWZVPxt7dgYLf6f5XdWSRvnJuQpHw/s1600/ip-adresse1.jpg" imageanchor="1" style="clear: right; float: right; margin-bottom: 1em; margin-left: 1em;"><img border="0" data-original-height="333" data-original-width="500" height="213" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEjHTjXb7vuaWek4e5nsIgTbaFxmv0baFl5HGFTfyzgSXF-bz9vUlCqFhZ5C64JC4_JLKMgfUo-pXjJQuSjxhySa-COlLtdrSWWHhxKzGufdfWEMbRWWZVPxt7dgYLf6f5XdWSRvnJuQpHw/s320/ip-adresse1.jpg" width="320" /></a></div>
<div>
Jeder welcher mit IP Netzwerken zu tun hat kennt das. Irgendwann kommt der Zeitpunkt wo man mit Fragen konfrontiert wird. Welches ist die Netzadresse, wie lautet die <a href="http://www.itwissen.info/Broadcast-Adresse-broadcast-address.html" target="_blank">Broadcast-Adresse</a>. Wie viele Host sind in diesem netz möglich? Wie unterteile ich dieses Netz in kleinere <a href="https://de.wikipedia.org/wiki/Subnetz" target="_blank">Subnetze</a>?</div>
<div>
Solche Fragen stellen sich bei den klassischen Netzklassen natürlich nicht. Der Heim User kommt damit idR. also gar nicht in Berührung. Würde er sich dafür interessieren, könnte sein <a href="https://www.swisscom.ch/de/privatkunden/internet-fernsehen-festnetz/internet/devices(000000000010233868).html" target="_blank">Blödelrouter</a> damit dann oftmals gar nicht umgehen :)</div>
<div>
Trotzdem kann es sein das man sich mal damit beschäftigen muss. Sei es wegen einer Prüfung oder weil man wirklich damit arbeiten muss.</div>
<div>
Jetzt gibt es dazu verschiedenste Methoden. Klar heute kann ich Online einen der vielen <a href="http://www.gestioip.net/cgi-bin/subnet_calculator.cgi" target="_blank">Subnet Kalkulkatoren verwenden</a> und die Geschichte ist erledigt.</div>
<div>
An einer Prüfung sind solche Kalkulatoren wohl meist nicht erlaubt. Hier ist etwas Brain mit der Unterstützung eines Formelbuches und einem Taschenrechner gefragt.</div>
<div>
Dazu gibt es schon viele Methoden wie der Subnet-Kuchen, irgendwelche logische UND Übungen oder das Abfüllen der Bits. Ich gratuliere jedem wer mit diesen Methoden schnell und gut arbeiten kann. Diese Personen müssen hier nicht weiterlesen. Dürfen es aber natürlich.</div>
<div>
Ich selber bin mit diesen Methoden nie ganz glücklich geworden. Daher habe ich meine eigene Art entwickelt. Eine Matrix welche Platz auf einer Seite im Formelbuch hat und ich mich darin bewegen kann. Eventuell ist diese Methode auch was für dich.</div>
<div>
<br />
<a name='more'></a><br /></div>
<h3>
IPv4 Basiswissen</h3>
<div>
In diesem Beitrag möchte ich das Basiswissen über den IPv4 Adress-Aufbau nicht erläutern. Dazu gibt es bereits gute Beiträge. http://www.elektronik-kompendium.de/sites/net/2011211.htm</div>
<div>
<a href="https://de.wikipedia.org/wiki/IP-Adresse#Netzklassen" target="_blank">https://de.wikipedia.org/wiki/IP-Adresse#Netzklassen</a></div>
<div>
<br /></div>
<div>
Ich gehe also davon aus das man weiss wie eine Subnetmaske aufgebaut ist, welchen Zusammenhang diese mit dem <a href="https://de.wikipedia.org/wiki/Classless_Inter-Domain_Routing" target="_blank">CIDR</a> hat und wie sich diese auf die IP-Adresse auswirkt.</div>
<div>
Ebenfalls muss bekannt sein das es eine Netzadresse und Broadcastadresse gibt und diese nicht für Host's genutzt werden können. Wenn ich von Anzahl an IP-Adressen spreche, so sind die Host und Broadcast Adressen immer inkludiert. Sprich, man muss selber darauf kommen diese noch abzuziehen. Zudem ist natürlich bekannt, dass die Netzadresse jeweils die niedrigste ist und die Broadcast Adresse die höchste IP Adresse ist.</div>
<div>
Ebenfalls setzt diese Methode voraus, dass man Binär rechnen kann oder wie ich zumindest weiss, wo sich die Taste für das Pontenzen Rechnen mit Basis 2 befindet...</div>
<div>
<br /></div>
<h3>
Die IPv4 Matrix</h3>
<div>
<br /></div>
<div>
Hier die von mir entwickelte IPv4 Matrix. Am einfachsten erklärt sich die Nutzung dieser an Hand einiger Beispiele.</div>
<div>
<br /></div>
<table align="center" cellpadding="0" cellspacing="0" class="tr-caption-container" style="margin-left: auto; margin-right: auto; text-align: center;"><tbody>
<tr><td style="text-align: center;"><a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEhHYZ1U6As39EwqRELFTro4f6JCK34JL749FHcoPWVC5y3b-BXaKlZ8-6p0oWTwvQuYiOPqWLtP8Pemy4WG9zS07iRahb3MeAmiSqVYclE-J8LIFFNQtNqL2oFvDS_-0vwTuKHJpUGmgGk/s1600/2017-08-13+09_07_37-Subnet+Matrix.pdf+-+Adobe+Acrobat+Pro+DC.png" imageanchor="1" style="margin-left: auto; margin-right: auto;"><img border="0" data-original-height="382" data-original-width="1348" height="181" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEhHYZ1U6As39EwqRELFTro4f6JCK34JL749FHcoPWVC5y3b-BXaKlZ8-6p0oWTwvQuYiOPqWLtP8Pemy4WG9zS07iRahb3MeAmiSqVYclE-J8LIFFNQtNqL2oFvDS_-0vwTuKHJpUGmgGk/s640/2017-08-13+09_07_37-Subnet+Matrix.pdf+-+Adobe+Acrobat+Pro+DC.png" width="640" /></a></td></tr>
<tr><td class="tr-caption" style="text-align: center;">IPv4 Matrix by Tux0ne</td></tr>
</tbody></table>
<div>
<br /></div>
<div>
Der Aufbau ist so:</div>
<div>
<ul>
<li>In den oberen 4 Zeilen (X, A, B, C) befindet sich die CIDR Notation. Sprich der Teil welcher einer IP Adresse als Beispiel so angehängt wird. 192.168.1.0 <span style="background-color: yellow;">/24</span></li>
<li><span style="background-color: white;">In der Zeile X.A.B.C befindet sich die Reihe der Subnetmaske. Hier gehe ich davon aus, dass man weiss wie man eine Subnetmaske abfüllt. Als Beispiel: 255.255.128.0</span></li>
<li><span style="background-color: white;">Dann folgt eine Zeile mit Subnetze. Diese gibt an wie viele Subnetze in dem jeweiligen Bereich erstellt werden können.</span></li>
<li><span style="background-color: white;">Die letzten 4 Zeilen geben an wie viele IP Adressen im jeweiligen Subnetz zur Verfügung stehen. Hier braucht der normale Bürger meist einen Taschenrechner...</span></li>
</ul>
<h3>
Beispiele</h3>
</div>
<h4>
Heimnetz Adresse</h4>
<div>
Fangen wir mit einem netz an welches wohl viele aus ihrem Heimrouter kennen.</div>
<div>
Und zwar nehmen wir hier die IP Adresse 192.168.1.1 mit der Subnetmaske 255.255.255.0</div>
<div>
Vielen wird diese Adresse als die Routeradresse bekannt sein.</div>
<div>
Jetzt möchten wir an Hand der Matrix wissen welches die Netz-, welches die Broadcastadresse ist und wie viele Host's wir da zur Verfügung haben.</div>
<div>
<br /></div>
<div>
192.168.1.1 255.255.255.0 Wir suchen in der Matrix die entsprechende Spalte.<br />
Ausschlaggebend in diesem Fall ist der letzte Teil der Subnetmaske welcher nicht 0 ist.</div>
<div>
Ergo 255.255.<span style="background-color: yellow;">255</span>.0</div>
<div>
<br /></div>
<table align="center" cellpadding="0" cellspacing="0" class="tr-caption-container" style="margin-left: auto; margin-right: auto; text-align: center;"><tbody>
<tr><td style="text-align: center;"><a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEh8QIpJMwuA1vCSiwmLoScl_Sm8l6LfKXpTOP8Zm8e_G_9-2HiGrbgym8ROXfz5MQ3R4ZIyg7M_G9Rrk5kTk_PuQCc0cn2E2z3PyUlLxj3zmWW_vmLgQY4kYbKQzlhl1Uypmx5L-2tmcw4/s1600/2017-08-13+09_23_47-Subnet+Matrix.pdf+-+Adobe+Acrobat+Pro+DC.png" imageanchor="1" style="margin-left: auto; margin-right: auto;"><img border="0" data-original-height="384" data-original-width="1349" height="182" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEh8QIpJMwuA1vCSiwmLoScl_Sm8l6LfKXpTOP8Zm8e_G_9-2HiGrbgym8ROXfz5MQ3R4ZIyg7M_G9Rrk5kTk_PuQCc0cn2E2z3PyUlLxj3zmWW_vmLgQY4kYbKQzlhl1Uypmx5L-2tmcw4/s640/2017-08-13+09_23_47-Subnet+Matrix.pdf+-+Adobe+Acrobat+Pro+DC.png" width="640" /></a></td></tr>
<tr><td class="tr-caption" style="text-align: center;">Beispiel Heimnetz</td></tr>
</tbody></table>
<div>
Als Orientierung haben wir also die letzte Stelle der Subnetmaske genommen welche nicht 0 ist.</div>
<div>
Damit befinden wir uns in der letzten Spalte.</div>
<div>
Überträgt man die Subnetmaske 255.255.<span style="background-color: yellow;">255</span>.0 auf das Raster X.A.<span style="background-color: yellow;">B</span>.C, <span style="background-color: white;">so stellt man fest, dass man sich in den Zeilen B befinden muss.</span></div>
<div>
<span style="background-color: white;">Damit ergibt sich als Schnittstelle die CIDR Notation /24 (also 192.168.1.1 /24) und wir haben 2 hoch 8 IP Adressen zur Verfügung, also 256 Stück. Davon kann man für Netz und Broadcast 2 abziehen, haben wir also nur noch 254.</span></div>
<div>
<span style="background-color: white;">Mit 256 Adressen reicht der IP Bereich von 192.168.1.0 - 192.168.1.255. Niedrigste IP ist die Netzadresse, höchste die Broadcast Adresse, alles dazwischen können wir für Host's verwenden.</span></div>
<div>
<span style="background-color: white;">Weiter wissen wir nun das mit CIDR /24 256 verschiedenen Subnetze möglich sind.</span></div>
<div>
<span style="background-color: white;">Also in diesem Fall 192.168.0.0 /24 - 192.168.255.0 /24</span></div>
<div>
<span style="background-color: white;">Stimmt es? Ja, denn diesen Bereich werden die meisten eh auswendig kennen.</span></div>
<div>
<span style="background-color: white;"><br /></span></div>
<h4>
<span style="background-color: white;">IP Adresse vorgegeben</span></h4>
<div>
<span style="background-color: white;">Nehmen wir eine X beliebige vorgegebene IPv4 Adresse und suchen daraus die Netz- sowie die Broadcast Adresse und die Anzahl der verfügbaren IP's.</span></div>
<div>
<br /></div>
<div>
80.66.130.37 /20 Ausschlaggebend ist hier die Subnetmaske in CIDR Notation, also die <span style="background-color: yellow;">/20</span>.</div>
<div>
<br /></div>
<div class="separator" style="clear: both; text-align: center;">
<a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEjmffGuDAF1xaD7Z3hntM7RbXrNP42Gil2yebX_ROcvvGupfuBPnOh1Tuql34DbqWcISyKlRLx2XjGYp5JFWR1sEkLUOMPSFQ0ym5C4pRfqDBi72jqYaVxxhZINfWSPMVDZLfdWlgCQ8JM/s1600/2017-08-13+09_42_05-Subnet+Matrix.pdf+-+Adobe+Acrobat+Pro+DC.png" imageanchor="1" style="margin-left: 1em; margin-right: 1em;"><img border="0" data-original-height="384" data-original-width="1348" height="182" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEjmffGuDAF1xaD7Z3hntM7RbXrNP42Gil2yebX_ROcvvGupfuBPnOh1Tuql34DbqWcISyKlRLx2XjGYp5JFWR1sEkLUOMPSFQ0ym5C4pRfqDBi72jqYaVxxhZINfWSPMVDZLfdWlgCQ8JM/s640/2017-08-13+09_42_05-Subnet+Matrix.pdf+-+Adobe+Acrobat+Pro+DC.png" width="640" /></a></div>
<div>
<br /></div>
<div>
Wir befinden uns also in der Spalte mit CIDR 20.</div>
<div>
Übertragen wir dies auf den Raster X.A.B.C, so sehen wir das die Stelle B der Subnetmaske zu 240 wird. Mit dem Basiswissen ergibt sich daraus die Subnetmaske 255.255.240.0</div>
<div>
Weiter wissen wir, dass man hier pro Netz 2 hoch 12 also 4096 IP Adressen zur Verfügung hat (Damit 4094 für Host's).</div>
<div>
Weiter sind in diesem IP Bereich 16 Subnetze möglich.</div>
<div>
In welchem dieser Subnetze wir sind, finden wir heraus, wenn wir die IP Adresse im Bezug auf das Raster durch 16 teilen. Also 80.66.<span style="background-color: yellow;">130</span>.37 durch 16 = 8.125</div>
<div>
Da wir bei IP nur ganze Zahlen haben, rechnen wir das wieder auf eine ganze Zahl hoch, also 8 x 16 = 128.</div>
<div>
Damit wissen wir nun, dass die Netzadresse dieser IP 80.66.128.0 /20 ist. Das nächste Netz wäre mit +16 dann 80.66.144.0 /20. Daher ist unsere Broadcast Adresse mit der höchsten uns zur Verfügung stehenden IP 80.66.143.255 /20.</div>
<div>
Alles zwischen 80.66.128.0 / 20 - 80.66.143.255 / 20 können wir also für unsere Host's verwenden.</div>
<div>
<br /></div>
<h4>
Subnetting</h4>
<div>
Nehmen wir an man hat die Aufgabe bekommen einen Netzplan für 50 Abteilungen à 500 Host's zu erstellen. Für die Abteilungen soll man jeweils ein Subnet bereitstellen.</div>
<div>
500 Host's bedeuten 502 IP Adressen, da wir Netz- und Broadcastadresse nicht nutzen können. Haben wir noch einen Router so entfällt nochmals eine IP. Rechnen wir zur Sicherheit mal einfach mit 510 IP Adressen pro Abteilung.</div>
<div>
2 hoch 9 ergeben 512 IP Adressen. Damit sind unsere 510 abgedeckt.</div>
<div>
<br /></div>
<div class="separator" style="clear: both; text-align: center;">
<a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEhlcJnUXEnO0m66RttQGT-KjATBwpNDkBs4MM4UAtm358QJxxYgyVNCwFmUleaSEz_kzI5wsGIYRFDRAF2k-8jRCcZqsWilhg308TbpM0wSRe1Kg668RNdbUw2C4daaA3QDjqWHIvN2ySg/s1600/2017-08-13+10_26_08-Subnet+Matrix.pdf+-+Adobe+Acrobat+Pro+DC.png" imageanchor="1" style="margin-left: 1em; margin-right: 1em;"><img border="0" data-original-height="382" data-original-width="1348" height="180" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEhlcJnUXEnO0m66RttQGT-KjATBwpNDkBs4MM4UAtm358QJxxYgyVNCwFmUleaSEz_kzI5wsGIYRFDRAF2k-8jRCcZqsWilhg308TbpM0wSRe1Kg668RNdbUw2C4daaA3QDjqWHIvN2ySg/s640/2017-08-13+10_26_08-Subnet+Matrix.pdf+-+Adobe+Acrobat+Pro+DC.png" width="640" /></a></div>
<div>
<br /></div>
<div>
<br /></div>
<div>
Wenn wir uns entscheiden mit dem Minimum an IP Adressen zu fahren, befinden wir uns in der Spalte mit der 9 bei den IP Adressen. Diese befindet sich auf Zeile B. Daraus ist ersichtlich, dass man mit dieser Subnetmaske 128 verschiedenen Subnetze erstellen kann. Damit sind unsere 50 Abteilungen also auch gedeckt. Weiter ergibt sich auf den Raster übertragen damit eine Subnetmaske von 255.255.254.0 also CIDR /23</div>
<div>
<br /></div>
<div>
Übertragen wir dies auf eine IP Adresse aus einem Privaten Range.</div>
<div>
Gemäss Raster X.A.B.C können wir <span style="background-color: cyan;">X</span> und <span style="background-color: cyan;">A</span> frei vergeben, <span style="background-color: orange;">B</span> und <span style="background-color: orange;">C</span> werden durch die Subnetmaske definiert.</div>
<div>
Nehmen wir als Beispiel eine <a href="https://de.wikipedia.org/wiki/Private_IP-Adresse" target="_blank">Private IP</a> <span style="background-color: cyan;">10.88</span><span style="background-color: orange;">.x.x</span></div>
<div>
<span style="background-color: white;">Wir Teilen 256 durch die 128 Subnetze und e</span><span style="background-color: white;">rhalten einen Netzgrösse von 2.</span></div>
<div>
<span style="background-color: white;">Dies können wir nun in unsere IP übertragen.</span></div>
<div>
<span style="background-color: white;">Dazu starten wir mit dem kleinsten möglichen Netz, also bei 0.</span></div>
<div>
<span style="background-color: white;">10.88.</span><span style="background-color: yellow;">0</span><span style="background-color: white;">.0 /23 Das nächst grössere Netz erhöht sich um 2 und wird fortlaufend so hochgerechnet. Also</span></div>
<div>
<span style="background-color: white;">10.88.2.0 /23</span></div>
<div>
<span style="background-color: white;">10.88.4.0 /23</span></div>
<div>
<span style="background-color: white;">10.88.6.0 /23</span></div>
<div>
<span style="background-color: white;">... bis</span></div>
<div>
<span style="background-color: white;">10.88.254.0 /23</span></div>
<div>
<span style="background-color: white;"><br /></span></div>
<div>
<span style="background-color: white;">Damit ist auch jeweils gleich die Netzadresse sowie die Broadcast Adresse gegeben:</span></div>
<div>
<span style="background-color: white;"><br /></span></div>
<div>
<div>
<span style="background-color: white;">10.88.</span><span style="background-color: yellow;">0</span><span style="background-color: white;">.0 /23 10.88.1.255 /23</span></div>
<div>
<span style="background-color: white;">10.88.2.0 /23 10.88.3.255 /23</span></div>
<div>
<span style="background-color: white;">10.88.4.0 /23 10.88.5.255 /23</span></div>
<div>
<span style="background-color: white;">10.88.6.0 /23 10.88.7.255 /23</span></div>
<div>
<span style="background-color: white;">... bis</span></div>
<div>
<span style="background-color: white;">10.88.254.0 /23 10.88.255.255 /23</span></div>
</div>
<div>
<span style="background-color: white;"><br /></span></div>
<div>
<span style="background-color: white;">In diesen jeweiligen Netzen können wir dann jeweils die 510 IP Adressen für Host's gebrauchen.</span></div>
<div>
<span style="background-color: white;"><br /></span></div>
<h3>
<span style="background-color: white;">Schlusswort</span></h3>
<div>
<span style="background-color: white;">So alles klar ??? ;)</span></div>
<div>
<span style="background-color: white;">Falls nicht, so kann es auch sein dass ich maschinell gerne <a href="https://de.wikipedia.org/wiki/Umgekehrte_polnische_Notation" target="_blank">RPN rechne</a>. Eventuell kannst du dich auch mit einer der vielen anderen Methoden anfreunden und findest diese hier doof oder kompliziert.</span></div>
<div>
<span style="background-color: white;">Wie auch immer. Falls du Fragen oder Anregungen hast, steht die Kommentarfunktion zur Verfügung.</span></div>
Tux0nehttp://www.blogger.com/profile/00729275216054548167noreply@blogger.comtag:blogger.com,1999:blog-4882299951105462615.post-34299530525583926342017-08-06T10:33:00.003+02:002021-05-30T06:54:34.502+02:00Swisscom Business Internet Services DMZ Mode, Einführung und Setup mit pfSense<h2>
Worum geht es?</h2>
<div>
Mit den <a href="https://www.swisscom.ch/de/business/kmu/internet-festnetz-fernsehen/angebote/business-internet-services.html" target="_blank">Business Internet Services von Swisscom</a>, erhältlich in den Produkten inOne KMU, my KMU Office und Smart Business Connect, haben Kunden diverse Möglichkeiten ihre Bedürfnisse zu realisieren.</div>
<div>
Den Part PPPoE Passthrough, mit der Idee die öffentlichen IP(s) direkt auf einem Security Gateway zu betreiben wie man es von allfälligen Bridge Modes her kannte, habe ich in diesem Beitrag bereits abgehandelt: <a href="https://www.tuxone.ch/2016/10/pppoe-passthrough-mit-swisscom-my-kmu.html">https://www.tuxone.ch/2016/10/pppoe-passthrough-mit-swisscom-my-kmu.html</a></div>
<div>
<br /></div>
<div>
Eine weitere Möglichkeit welche man hat, ist der Betrieb einer DMZ durch den <a href="https://www.swisscom.ch/de/business/kmu/hilfe/geraet/centro-business-einrichten.html" target="_blank">Centro Business</a> Router. Das kann jetzt sinnvoll sein wenn man zB. einen Web- oder Mailserver in dieser DMZ betrieben möchte. Weiterhin kann man dies aber auch für relativ komplexe Szenarios mit der Verwendung eines Security Gateways verwenden. Eine Idee dazu ist der folgenden Grafik zu entnehmen:</div>
<table align="center" cellpadding="0" cellspacing="0" class="tr-caption-container" style="margin-left: auto; margin-right: auto; text-align: center;"><tbody>
<tr><td style="text-align: center;"><a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEikufX_fSKjrU_bZIRt8bL4EQc_gKNgigsvy6IwEGEyiNuuSxr-sZUN3R8-ZnHFCrFmXfrgLVyrZpsJqZqmvO-bMKzhDIEGDtij6l_xh9PVkYOLVQMl-DeSIF6m6lU92XRdxHlyag6dBTM/s1600/2017-08-05+16_51_34-%25C3%259Cberblick.png" imageanchor="1" style="margin-left: auto; margin-right: auto;"><img border="0" data-original-height="367" data-original-width="1092" height="214" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEikufX_fSKjrU_bZIRt8bL4EQc_gKNgigsvy6IwEGEyiNuuSxr-sZUN3R8-ZnHFCrFmXfrgLVyrZpsJqZqmvO-bMKzhDIEGDtij6l_xh9PVkYOLVQMl-DeSIF6m6lU92XRdxHlyag6dBTM/s640/2017-08-05+16_51_34-%25C3%259Cberblick.png" width="640" /></a></td></tr>
<tr><td class="tr-caption" style="text-align: center;">Grobraster eines Security Gateways in der DMZ des Centro Business Routers<br />
<br /></td></tr>
</tbody></table>
<div>
<br />
<a name='more'></a> Auf den Betrieb eines Servers in der <a href="https://de.wikipedia.org/wiki/Demilitarized_Zone" target="_blank">DMZ</a> werde ich in diesem Beitrag nicht genauer eingehen. Da die gelieferte Firewall im Centro Business sehr einfach gehalten ist, ist die Konfiguration fast selbsterklärend. Weiter sind nur WAN-LAN / LAN-WAN und WAN-DMZ / DMZ-WAN Regeln möglich. Was man also noch so kennt, die LAN-DMZ Regulierung ist so direkt nicht vorhanden. Man geht quasi immer über das "WAN". So was interessiert mich also grundsätzlich schon mal nicht ;)</div>
<div>
<br /></div>
<div>
Möglich wird der DMZ Mode wenn man bei Swisscom mindesten 4 IP's kauft also ein /30 Subnet. Darin enthalten ist so oder so dann ein /48 IPv6 Netz.</div>
<div>
Bekanntlich kann man mit 4 statischen öffentlichen IP's, 2 davon dann auch tatsächlich nutzen. Ja, in diesem Fall wirklich 2. Wie sicher jeder weiss entfällt die Netz- sowie Broadcast-Adresse des zur Verfügung gestellten Netzbereiches. Bleiben noch die Router Adresse und die eine nutzbare Adresse. Da wir hier auf dem Router hocken, können wir seine Adresse dann halt eben quasi auch nutzen :)</div>
<div>
<br /></div>
<div>
Eingehen werde ich auf den betrieb eines Security Gateways in der DMZ, namentlich einer <a href="https://www.pfsense.org/" target="_blank">pfSense</a> Firewall. Zudem werden wir hier anschauen, wie man in der DMZ über <a href="https://en.wikipedia.org/wiki/Prefix_delegation" target="_blank">DHCP6-PD</a> einen Prefix bezieht und damit weitere IPv6 Netze erstellen kann.</div>
<div>
<br />
Vorteil des DMZ Modes gegenüber dem PPPoE Mode könnte sein:</div>
<div>
- Internet Backup über UMTS nutzbar im Falle eines Defektes der Hauptleitung.</div>
<div>
- Devices im LAN des Centro Business haben echten Internet Access. Auf den SCTV Boxen sind neben dem reinen TV schauen, auch die Apps und Dinge wie <a href="https://de.wikipedia.org/wiki/Hybrid_Broadcast_Broadband_TV" target="_blank">HbbTV</a> möglich.</div>
<div>
- Weil es komplexer ist, könnte es cooler sein.</div>
<div>
<br /></div>
<h2>
Konfiguration im Centro Business</h2>
<div>
Die Konfiguration im Centro Business geht schnell von der Hand. Eine Anleitung dazu stellt Swisscom <a href="http://documents.swisscom.com/product/1000260-Connectivity_Geraete_/Documents/Spezifikationen/Centro_Business_Mail_Webserver_SecurityGateway_in_der_DMZ_betreiben-de.pdf" target="_blank">hier zur Verfügung</a>.</div>
<div>
<br /></div>
<div>
Hier die Wegleitung: </div>
<div class="separator" style="clear: both; text-align: center;">
<a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEi7TG62ev8P-QejcF1IhGXwt2_9hcED8T_VbZjijV5xwc9Le9AB897MD2jWOoI_uN-Ev-_4ooLr4q9Im_FxG4zOaJoDeSs97gSWvQmQ-iPdSyXmSlsp-KlJ_oEDE5h_aXt2b3gSbWx8tI8/s1600/2017-08-05+19_38_30-%25C3%259Cberblick.png" imageanchor="1" style="clear: right; float: right; margin-bottom: 1em; margin-left: 1em;"><img border="0" data-original-height="398" data-original-width="398" height="320" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEi7TG62ev8P-QejcF1IhGXwt2_9hcED8T_VbZjijV5xwc9Le9AB897MD2jWOoI_uN-Ev-_4ooLr4q9Im_FxG4zOaJoDeSs97gSWvQmQ-iPdSyXmSlsp-KlJ_oEDE5h_aXt2b3gSbWx8tI8/s320/2017-08-05+19_38_30-%25C3%259Cberblick.png" width="320" /></a></div>
<div>
<br /></div>
<div>
<br /></div>
<div>
<br /></div>
<div>
Der Router befindet sich in der Default Konfiguration bereits in einem Dual Session WAN.</div>
<div>
Er baut also selber eine PPPoE Session auf und ist damit im Business Netz der Swisscom eingebucht, wo eben die Möglichkeit der Vergabe statischer IP's besteht.</div>
<div>
Nebenbei baut er eine DHCP Session auf, wobei er eine IP Adresse für die Swisscom Services bezieht (100.94.X.X). Dies wird für den Betrieb der Swisscom TV Boxen und die VoIP Services der Swisscom benötigt.</div>
<div>
Zu diesem Zeitpunkt nutz der Router nur die eine erhaltene Router IP aus dem Subnet. Zudem hat man ein /48 IPv6 Netz erhalten, genutzt wird im LAN des Centro Business selber aber nur das allererste /64 Netz.</div>
<div>
<br /></div>
<div>
<br /></div>
<div>
<br /></div>
<div class="separator" style="clear: both; text-align: center;">
<a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEgYSdH48V5mZEQaQka4nqTkE46ucgXqZAd6ZDDnNSkBXNcrDjfIgtUTvi4eCsgTdL52tiNDyoMG0TU8mwFrpw4gbKGbthVJD7ClfEOsDGl2jwLde_oYrK4NSZVGo0Ocg1mT_rav-p6Ev8o/s1600/2017-08-05+19_37_38-Netzwerk+_+%25C3%2596ffentliche+Adressen.png" imageanchor="1" style="clear: left; float: left; margin-bottom: 1em; margin-right: 1em;"><img border="0" data-original-height="510" data-original-width="726" height="280" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEgYSdH48V5mZEQaQka4nqTkE46ucgXqZAd6ZDDnNSkBXNcrDjfIgtUTvi4eCsgTdL52tiNDyoMG0TU8mwFrpw4gbKGbthVJD7ClfEOsDGl2jwLde_oYrK4NSZVGo0Ocg1mT_rav-p6Ev8o/s400/2017-08-05+19_37_38-Netzwerk+_+%25C3%2596ffentliche+Adressen.png" width="400" /></a></div>
<div>
Um den DMZ Mode auf dem LAN Port 1 zu aktivieren, geht man über Netzwerk > Öffentliche IP Adressen und aktiviert dort diesen Punkt.</div>
<div>
Der Router konfiguriert sich danach in wenigen Sekunden um. Im Gegensatz zum PPPoE Mode, macht er dabei nicht mal ein WAN Reset, denn WAN seitig, ändert sich für den Centro Business nichts!</div>
<div>
<br /></div>
<div>
<br /></div>
<div>
<br /></div>
<div>
<br /></div>
<div>
<br /></div>
<div>
<br /></div>
<div>
<br /></div>
<div>
Weiter geht es zu den Netzwerk > Grundeinstellungen</div>
<div>
Der IPv4 Teil ist wenig interessant. Verteilt werden via DHCP die weiteren nutzbaren öffentlichen IP's. That's it.</div>
<div>
Den IPv6 Teil kann man aber kurz genauer anschauen. Und zwar sieht man hier, dass die Prefixe sowohl im LAN wie auch in der DMZ gegeben sind. Wie schon angesprochen startet der Centro Business im allerersten /64 Netz</div>
<div>
2a02:1234:5678:000<span style="background-color: yellow;">0</span>::1 /64</div>
<div>
Für die DMZ stellt er dann denn nächsten Prefix zur Verfügung:</div>
<div>
2a02:1234:5678:000<span style="background-color: yellow;">1</span>::1 /64<br />
Genauer ist mit 2a02:1234:5678:0:: damit der erste /52 Prefix bereits verbraucht.</div>
<div>
<br /></div>
<div>
Den Suffix Part könnte man hier nun noch anpassen. Zumindest im DMZ Bereich kann man dies aber durchaus einfach so stehen lassen.</div>
<div>
Auch die IPv6 Adressverteilung kann man auf dem Standard <a href="https://www.elektronik-kompendium.de/sites/net/1902131.htm" target="_blank">SLAAC</a> belassen. Hat auf den möglichen IPv6 Prefix Bezug keinen Einfluss. Dieser steht auch ohne DHCPv6 Konfigurationsmodus zur Verfügung.</div>
<div>
IPv6 Prefix Bezug? Ja genau, dass interessiert uns :) </div>
<div>
<br /></div>
<div class="separator" style="clear: both; text-align: center;">
<a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEgXWLhBP-RhHL7eZRn-IDJqNldSAxDelH4yEsfaYFcbUYEwpnkU8TarlvfQnZBJWaGVWu79Whpa8gsW6opKlbzTqsJnGrdzOHBfTwC9HFP_4yQs-0OQJJFSNdnxxCe63dxDqG91Q_GAwNY/s1600/2017-08-05+19_42_12-Netzwerk+_+Grundeinstellungen.png" imageanchor="1" style="margin-left: 1em; margin-right: 1em;"><img border="0" data-original-height="213" data-original-width="867" height="155" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEgXWLhBP-RhHL7eZRn-IDJqNldSAxDelH4yEsfaYFcbUYEwpnkU8TarlvfQnZBJWaGVWu79Whpa8gsW6opKlbzTqsJnGrdzOHBfTwC9HFP_4yQs-0OQJJFSNdnxxCe63dxDqG91Q_GAwNY/s640/2017-08-05+19_42_12-Netzwerk+_+Grundeinstellungen.png" width="640" /></a></div>
<div>
<br /></div>
<div>
<br /></div>
<div>
<br /></div>
<div>
Bevor wir uns denn interessanteren Dingen zuwenden, macht es im Falle des Betriebes einen Security Gateways in der DMZ Sinn, die Firewall im Centro Business auf dieser Schnittstelle zu deaktivieren!</div>
<div class="separator" style="clear: both; text-align: center;">
<a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEgxsjIViyF7T6QMMR8nY-464dk2vaFg-yGs0oWT5f1tdJPvuEZR_qAI9oXSe_omynd39-Y08ePlkRSWXzy-SLJ3Z5qLHJeo5O2JOpq4yDj6D4ToVxvg5-xk43eXW0Eq7JqYd64CCgDb1KY/s1600/2017-08-05+19_46_34-Firewall+_+Grundeinstellungen.png" imageanchor="1" style="margin-left: 1em; margin-right: 1em;"><img border="0" data-original-height="304" data-original-width="717" height="267" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEgxsjIViyF7T6QMMR8nY-464dk2vaFg-yGs0oWT5f1tdJPvuEZR_qAI9oXSe_omynd39-Y08ePlkRSWXzy-SLJ3Z5qLHJeo5O2JOpq4yDj6D4ToVxvg5-xk43eXW0Eq7JqYd64CCgDb1KY/s640/2017-08-05+19_46_34-Firewall+_+Grundeinstellungen.png" width="640" /></a></div>
<div class="separator" style="clear: both; text-align: center;">
<br /></div>
<div class="separator" style="clear: both; text-align: center;">
<br /></div>
<h3 style="clear: both; text-align: left;">
IPv6 Excursion</h3>
<div>
<br /></div>
<div>
Mit dem Kauf einer statischen IPv4 oder eines <a href="https://de.wikipedia.org/wiki/Subnetz" target="_blank">Subnetzes</a>, bekommt man von Swisscom automatisch einen /48 IPv6 Präfix zugeordnet. Naja automatisch im Sinne das man da je nach Release bei der Bestellung den IPv6 Reiter entweder aktiviert oder deaktiviert. </div>
<div>
Was bedeutet dies aber?</div>
<div>
Grundsätzlich ist es so, das man bei IPv6 auf kleinster Netzebene mit /64 Netzen arbeitet. Denn bis hier hinunter funktioniert es mit der Autokonfiguration.</div>
<div>
In einem /64 Netz hat man 18'446'744'073'709'551'616 (öffentliche) IPv6 Adressen zur Verfügung. Also das wäre dann mal das kleinste praktische IPv6 Netz. Zur Erinnerung. Bei den Privatkundenprodukten hat man im Vergleich zu IPv4 dort gerade mal eine zur Verfügung. Im Falle von <a href="https://www.tuxone.ch/2015/12/ipv4-umstellung-auf-gcnat-bei-swisscom.html" target="_blank">CGNAT</a> übrigens dann gar keine (auf eine Device welches im Gegensatz zu den Fritzboxen kein DHCP6-PD kann) ;)</div>
<div>
<br /></div>
<div>
Mit einem /48 Präfix kann man dann 65'536 solcher /64 Netze generieren, was 1'208'925'819'614'629'174'706'176 IP Adressen entspricht.</div>
<div>
Der Centro Business stellt sowohl im LAN wie auch in der DMZ jeweils ein /64 Netz zur Verfügung. Was er aber auch ermöglicht, ist der Prefix Bezug in diesen beiden Netzen. Und zwar kann jeweils ein Prefix von bis zu /52 bezogen werden. Aus einem /48 Netz kann man theoretisch 16 /52 Netze machen. Beim Centro Business konnte ich in den tiefen des Supports nach diverser Korrespondenz entlocken, dass man mit einer fixen IPv4, davon 8 der möglichen 16 auch gebrauchen kann. (6 können softwaretechnisch nicht genutzt werden, vermutlich a-f. Von den restlichen 10 sind dann noch 2 reserviert) Jetzt wäre es natürlich interessant zu wissen welche das es nun sind. Ich weiss es nicht....<br />
<br /></div>
<div>
Stellt man sein Security Gateway auf Prefix Bezug, so wird er vom Centro Business ohne weiteren Angaben so etwas beziehen:</div>
<div>
<div>
2a02:1234:5678:<span style="background-color: yellow;">1</span><span style="background-color: lime;">000:x</span><span style="background-color: lime;">xxx:xxxx:xxxx:xxxx</span> /52</div>
Damit also den nächsten /52 Prefix welcher vom Centro Buiness selber bereits verbraucht ist 2a02:1234:5678:<span style="background-color: yellow;">0</span><span style="background-color: lime;">000:xx</span><span style="background-color: lime;">xx:xxxx:xxxx:xxxx</span> /52<br />
<div>
</div>
<br />
<div style="text-decoration-color: initial; text-decoration-style: initial;">
<div style="margin: 0px;">
<br />
<br />
Leider kann ich an dieser Stelle nicht weiter beschreiben, wie man mit pfsense einen der gemäss >3lv. Support 8 anderen möglichen Prefixe beziehen kann. Die Dokumentationen dazu sind spärlich. Die meisten sind wohl froh mit einem getrackten Interface überhaupt etwas zu erhalten.<br />
<br />
Wie auch immer. Mit diesem /52 Prefix können wir noch 4096 /64er Netze machen. Oder daraus weitere 256 /60er Prefixe delegieren. Der Phantasie sind mit pfsense mit damit noch 5'557'863'725'914'323'419'136 verfügbaren IPv6 Adressen wenig Grenzen gesetzt.</div>
<h2>
pfSense Konfiguration</h2>
<div style="-webkit-text-stroke-width: 0px; color: black; font-family: "Times New Roman"; font-size: medium; font-style: normal; font-variant-caps: normal; font-variant-ligatures: normal; font-weight: normal; letter-spacing: normal; text-transform: none; white-space: normal; word-spacing: 0px;">
<br /></div>
<h3>
WAN</h3>
<div>
<br /></div>
<div>
<a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEg4gmJmnGHbNW48t__llbVAYU2JNF84O9nvQBemUt7MPix0BluCILlkaztmD_3POTK37eXPjikw0YMM3Gtqtpn3xsExPvGY63L-_PMlQxex4Yi5yUKM-5ArL_tabmrQe7ryXzsoFfw16iI/s1600/2017-08-05+21_28_25-pfSense.tuxone+-+Interfaces_+WAN.png" imageanchor="1" style="clear: right; color: black; float: right; font-family: "times new roman"; font-size: medium; font-style: normal; font-weight: normal; letter-spacing: normal; margin-bottom: 1em; margin-left: 1em; text-transform: none; white-space: normal; word-spacing: 0px;"><img border="0" data-original-height="257" data-original-width="738" height="138" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEg4gmJmnGHbNW48t__llbVAYU2JNF84O9nvQBemUt7MPix0BluCILlkaztmD_3POTK37eXPjikw0YMM3Gtqtpn3xsExPvGY63L-_PMlQxex4Yi5yUKM-5ArL_tabmrQe7ryXzsoFfw16iI/s400/2017-08-05+21_28_25-pfSense.tuxone+-+Interfaces_+WAN.png" width="400" /></a><span style="font-family: "times new roman";">Ic</span>h gehe davon aus, das man die Interfaces der pfSense statisch konfigurieren möchten. Nur mit einer statischen Interface Konfiguration, kann man bei pfsense einen DHCPv6 Server konfigurieren (falls man das bräuchte...) Für dieses Ziel ist folgende Konfiguration nötig:</div>
<div style="-webkit-text-stroke-width: 0px; color: black; font-family: "Times New Roman"; font-size: medium; font-style: normal; font-variant-caps: normal; font-variant-ligatures: normal; font-weight: normal; letter-spacing: normal; text-transform: none; white-space: normal; word-spacing: 0px;">
<br /></div>
Im WAN konfiguriert man sowohl IPv4 wie auch IPv6 den IP Bezug über DHCP.<br />
<div style="-webkit-text-stroke-width: 0px; color: black; font-family: "Times New Roman"; font-size: medium; font-style: normal; font-variant-caps: normal; font-variant-ligatures: normal; font-weight: normal; letter-spacing: normal; text-transform: none; white-space: normal; word-spacing: 0px;">
<br /></div>
<br />
<br />
Weiter aktiviert man in der DHCP6 Client Configuration Sektion:<br />
- Advanced Option (Nötig für statische IPV6 Interface Konfig --> Bug)<br />
- Use IPv4 connectivity as parent interface<br />
- Request only an IPv6 prefix<br />
- und setzt DHCPv6 Prefix Delegation size auf /52<br />
<div>
<br /></div>
<div class="separator" style="-webkit-text-stroke-width: 0px; clear: both; color: black; font-family: "Times New Roman"; font-size: medium; font-style: normal; font-variant-caps: normal; font-variant-ligatures: normal; font-weight: normal; letter-spacing: normal; text-align: center; text-transform: none; white-space: normal; word-spacing: 0px;">
<a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEjzU70uHimR6OE6h0VS389t2jpPXFEdi55iJ7NXTySzaDnA9pQLmp8qnXd4oIxT9WuVuGxKnyLbqyeVSUuLybA_QPVZtcYfyn1SUibagPAyEMKT3AMuVqQRr0Rnw6SUs1xR7Ld2bemydKc/s1600/2017-08-05+21_29_57-pfSense.tuxone+-+Interfaces_+WAN.png" imageanchor="1" style="margin-left: 1em; margin-right: 1em;"><img border="0" data-original-height="483" data-original-width="1169" height="260" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEjzU70uHimR6OE6h0VS389t2jpPXFEdi55iJ7NXTySzaDnA9pQLmp8qnXd4oIxT9WuVuGxKnyLbqyeVSUuLybA_QPVZtcYfyn1SUibagPAyEMKT3AMuVqQRr0Rnw6SUs1xR7Ld2bemydKc/s640/2017-08-05+21_29_57-pfSense.tuxone+-+Interfaces_+WAN.png" width="640" /></a></div>
<div style="-webkit-text-stroke-width: 0px; color: black; font-family: "Times New Roman"; font-size: medium; font-style: normal; font-variant-caps: normal; font-variant-ligatures: normal; font-weight: normal; letter-spacing: normal; text-transform: none; white-space: normal; word-spacing: 0px;">
<br /></div>
<div style="-webkit-text-stroke-width: 0px; color: black; font-family: "Times New Roman"; font-size: medium; font-style: normal; font-variant-caps: normal; font-variant-ligatures: normal; font-weight: normal; letter-spacing: normal; text-transform: none; white-space: normal; word-spacing: 0px;">
<br /></div>
<div style="-webkit-text-stroke-width: 0px; color: black; font-family: "Times New Roman"; font-size: medium; font-style: normal; font-variant-caps: normal; font-variant-ligatures: normal; font-weight: normal; letter-spacing: normal; text-transform: none; white-space: normal; word-spacing: 0px;">
Bei den Advanced Options ist gleich wie im PPPoE Mode unter send options ia-pd 0, ia-na 0 zu ergänzen.</div>
<div style="-webkit-text-stroke-width: 0px; color: black; font-family: "Times New Roman"; font-size: medium; font-style: normal; font-variant-caps: normal; font-variant-ligatures: normal; font-weight: normal; letter-spacing: normal; text-transform: none; white-space: normal; word-spacing: 0px;">
<br /></div>
<div class="separator" style="clear: both; text-align: center;">
<a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEisv83Jvj8BRfi0jtJPIHxP_1_jpi9pI27cLdO4a2WaIMn2KuLk5Uz_IGTD-neaVUPzXwmCx_w24nKEA7TlOKIlo7JjLdqRupEuVSBZSLj80vByvEu_S2ENfBumZvdZXYfjhb1RjxKS-kM/s1600/2017-08-05+21_33_11-pfSense.tuxone+-+Interfaces_+WAN.png" imageanchor="1" style="margin-left: 1em; margin-right: 1em;"><img border="0" data-original-height="510" data-original-width="1153" height="281" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEisv83Jvj8BRfi0jtJPIHxP_1_jpi9pI27cLdO4a2WaIMn2KuLk5Uz_IGTD-neaVUPzXwmCx_w24nKEA7TlOKIlo7JjLdqRupEuVSBZSLj80vByvEu_S2ENfBumZvdZXYfjhb1RjxKS-kM/s640/2017-08-05+21_33_11-pfSense.tuxone+-+Interfaces_+WAN.png" width="640" /></a></div>
<div style="color: black; font-family: "times new roman"; font-weight: normal; letter-spacing: normal; text-transform: none; white-space: normal; word-spacing: 0px;">
<i><span style="font-size: x-small;"><br /></span></i>
<i><span style="font-size: x-small;">(Anmerkung. Für den Bezug anderer /52 Prefixe muss vermutlich der Part IPv6 Prefix angepasst werden. <a href="https://www.freebsd.org/cgi/man.cgi?query=dhcp6c.conf&apropos=0&sektion=0&manpath=FreeBSD+Ports+8.4-RELEASE&arch=default&format=html">https://www.freebsd.org/cgi/man.cgi?query=dhcp6c.conf&apropos=0&sektion=0&manpath=FreeBSD+Ports+8.4-RELEASE&arch=default&format=html</a> )</span></i></div>
</div>
<h3>
LAN bzw. weitere Interfaces</h3>
</div>
<div>
<a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEiJ6BxMpGzxm9tfFuwqn00miPCxmOqJlMMWXfB_xC7lXDY-9nfsZ2hPBCskyICu6x-RWyvcvF9ss3dJpFOX2Q8RRqRJoiTEVc7VZb3-hpzFNqNapyYheR7XtTrHbtcnQ3O-XpvuFGnR3wU/s1600/2017-08-05+21_38_02-pfSense.tuxone+-+Interfaces_+LAN.png" imageanchor="1" style="clear: left; float: left; margin-bottom: 1em; margin-right: 1em;"><img border="0" data-original-height="249" data-original-width="680" height="145" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEiJ6BxMpGzxm9tfFuwqn00miPCxmOqJlMMWXfB_xC7lXDY-9nfsZ2hPBCskyICu6x-RWyvcvF9ss3dJpFOX2Q8RRqRJoiTEVc7VZb3-hpzFNqNapyYheR7XtTrHbtcnQ3O-XpvuFGnR3wU/s400/2017-08-05+21_38_02-pfSense.tuxone+-+Interfaces_+LAN.png" width="400" /></a>Das LAN bzw. die weiteren OPT Interfaces setzen wir in diesem Fall statisch, basierend auf unserem Netzplan und dem zur Verfügung gestellten statischen Präfix:</div>
<div>
</div>
<div>
<br /></div>
<div class="separator" style="clear: both; text-align: left;">
<br /></div>
<div class="separator" style="clear: both; text-align: left;">
In diesem Beispiel wird das Vorgehen beschrieben. Der rote Teil ist der von Swisscom erhaltene statische /48 Prefix. Mit der blauen 1 wird der Prefix Bezug zu einem /52 Netz ergänzt. Denn grünen Teil kann man nun beliebig abfüllen. In diesem Fall wurde dem LAN ein /64 Netz zugeteilt, was so weit in einfachen Umgebungen sicher mal Sinn ergibt.</div>
<div class="separator" style="clear: both; text-align: left;">
Analog geht man bei den anderen Interfaces vor, mit der Berücksichtigung, das man keinen IP Konflikt generiert. Wer auf einem Netz später über den DHCPv6 Server selber wieder Prefix Delegation anbieten möchte, generiert ein grösseres Netz, zB ein /60er.</div>
<div class="separator" style="clear: both; text-align: left;">
<br /></div>
<div class="separator" style="clear: both; text-align: center;">
<a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEjDWC5OdqrLXysJ9TqVt6m7tidq882lhmUq1EgmgXR6qSXbKJ1jL6gJGoQD0YDx5Jgm7ai44V0_aO68B04fL1oT0xUbWpOOlNpyszPIUHFWxYr3FB72zH7Ks_BMUC5LlaNz0uTRJwErq3g/s1600/2017-08-06+09_59_43-pfSense.tuxone+-+Interfaces_+LAN.png" imageanchor="1" style="margin-left: 1em; margin-right: 1em;"><img border="0" data-original-height="256" data-original-width="1169" height="139" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEjDWC5OdqrLXysJ9TqVt6m7tidq882lhmUq1EgmgXR6qSXbKJ1jL6gJGoQD0YDx5Jgm7ai44V0_aO68B04fL1oT0xUbWpOOlNpyszPIUHFWxYr3FB72zH7Ks_BMUC5LlaNz0uTRJwErq3g/s640/2017-08-06+09_59_43-pfSense.tuxone+-+Interfaces_+LAN.png" width="640" /></a></div>
<div class="separator" style="clear: both; text-align: left;">
<br /></div>
<div class="separator" style="clear: both; text-align: left;">
Wer nun einfach die Interfaces abspeichert, wird aber feststellen, dass das WAN Interface der pfSense keine IPv6 konfiguriert und im weiteren Sinne auch kein Prefix bezogen wird. Grund ist, dass pfSense das announcement von einem bestimmten Port erwartet, der Centro Business diesen aber "random" nutzt.</div>
Ergo schaut man am einfachsten über Status > System Logs > Firewall wo der Destination Port UDP 546 geblockt wird und gibt diesen zB über eine easy Rule frei.<br />
<div class="separator" style="clear: both; text-align: left;">
<br /></div>
<div class="separator" style="clear: both; text-align: center;">
<a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEjxdEaUEDpP4uBDG6pD_-RNR_9k7d_ZXRhW-H25iAHuYdzroX-qM851FOk0sFHXCAqtMc1tMVZ6HRXChuzcBopkUzGEVN8nSJL5gL1mhfS7vZfV2fA2HAmiEu0mFGg4MUbD-MLnahzveWY/s1600/2017-08-06+10_11_02-pfSense.tuxone+-+Firewall_+Rules_+WAN.png" imageanchor="1" style="margin-left: 1em; margin-right: 1em;"><img border="0" data-original-height="85" data-original-width="1142" height="46" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEjxdEaUEDpP4uBDG6pD_-RNR_9k7d_ZXRhW-H25iAHuYdzroX-qM851FOk0sFHXCAqtMc1tMVZ6HRXChuzcBopkUzGEVN8nSJL5gL1mhfS7vZfV2fA2HAmiEu0mFGg4MUbD-MLnahzveWY/s640/2017-08-06+10_11_02-pfSense.tuxone+-+Firewall_+Rules_+WAN.png" width="640" /></a></div>
<div class="separator" style="clear: both; text-align: left;">
<br /></div>
<div class="separator" style="clear: both; text-align: left;">
<br /></div>
<div class="" style="clear: both; text-align: left;">
Mit diesen Schritten sollte man ein erfolgreiches Setup im DMZ 1 Mode des Centro Business erhalten haben.</div>
<div class="" style="clear: both; text-align: left;">
<a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEjanDfvkoU5cMq4wFkrE_AZ56ZIU-6NzuU_Zqb0jpWA9HtAfz4WXeGR0b5YRBEMD3XIVNfBJlEjZ4F8LoTf4u7ap4tRBsCWl2bGqd1GbD9Z7q-2BCY1_FF0THeegl4KrhiUkcLH9b4V1_U/s1600/2017-08-06+10_13_05-pfSense.tuxone+-+Status_+Dashboard.png" imageanchor="1" style="clear: right; float: right; margin-bottom: 1em; margin-left: 1em;"><img border="0" data-original-height="433" data-original-width="577" height="240" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEjanDfvkoU5cMq4wFkrE_AZ56ZIU-6NzuU_Zqb0jpWA9HtAfz4WXeGR0b5YRBEMD3XIVNfBJlEjZ4F8LoTf4u7ap4tRBsCWl2bGqd1GbD9Z7q-2BCY1_FF0THeegl4KrhiUkcLH9b4V1_U/s320/2017-08-06+10_13_05-pfSense.tuxone+-+Status_+Dashboard.png" width="320" /></a>Für Fragen und Ergänzungen nutzt bitte die Kommentarfunktion des Blogs.<br />
Viel Spass damit. IPv6 deaktivieren war vor -vorgestern.</div>
<div class="" style="clear: both; text-align: left;">
<i>(Setup funktioniert ab Centro Business Firmware 9.01.01.57 störungsfrei)</i></div>
Tux0nehttp://www.blogger.com/profile/00729275216054548167noreply@blogger.comtag:blogger.com,1999:blog-4882299951105462615.post-38213533586817411482017-05-04T19:19:00.002+02:002017-05-04T19:54:33.019+02:00Swisscom SIP Credentials mit nativem Android Client<h3>
Native Client Android gebrauchen</h3>
<div>
<br /></div>
<div>
<a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEi15JHro9hhyphenhyphenoD7TPjffVJJzcItwbUS3KpjXK9BkzbTcHHzaROtdLJXhO-yY8TXlIurwQvqDMjeQPF4Nyuley5PvTIl4DMfkf08HWCiHoEDmsWRwtLbpv01COYXIxj-WY45ZIkbGn0sWig/s1600/android-musical.jpg" imageanchor="1" style="clear: left; float: left; margin-bottom: 1em; margin-right: 1em;"><img border="0" height="130" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEi15JHro9hhyphenhyphenoD7TPjffVJJzcItwbUS3KpjXK9BkzbTcHHzaROtdLJXhO-yY8TXlIurwQvqDMjeQPF4Nyuley5PvTIl4DMfkf08HWCiHoEDmsWRwtLbpv01COYXIxj-WY45ZIkbGn0sWig/s200/android-musical.jpg" width="200" /></a>Auf Wunsch eine kurze Anleitung zur Einrichtung der Swisscom SIP Credentials auf dem nativen SIP Client von Android aka Telefon App.</div>
<div>
Ich empfehle die Nutzung der SIP Daten auf solchen Clients nur über gesicherte Verbindungen aus dem Heimnetz oder über ein VPN in das Swisscom Heimnetz.</div>
<div>
Ein Gebrauch ausserhalb dieser Netze bedeutet eine erhöhte Gefahr eines allfälligen Missbrauchs der Daten.<br />
<br />
<br />
<br />
<br />
<a name='more'></a></div>
<div>
<br /></div>
<div>
Warum könnte man den nativen Client von Android benutzen?</div>
<div>
<ul>
<li>Weil er bereits installiert ist</li>
<li>Weil er vertrauenswürdig ist und nicht irgendeine Drecksapp</li>
<li>Weil er einfach funktioniert</li>
</ul>
<div>
Warum ist der Android Client doch nicht so cool?</div>
</div>
<div>
<ul>
<li>Weil er sich nur umständlich ein und ausschalten lässt</li>
<li>Weil er wie alle Standby Apps relativ viel Akku braucht sofern man auch ankommende Anrufe möchte</li>
</ul>
<div>
<br /></div>
<div>
Nichts desto trotz. Hier die Anleitung:</div>
</div>
<div>
<br /></div>
<div>
Benötigt werden die SIP Credentials der Rufnummer, zu beziehen über das Swisscom Kundencenter unter Telefonie bzw. Business Telefonie.</div>
<div>
Über eine super sichere Prozedur werden über das supersichere SMS die SIP Credentials in nur einer Nachricht gesendet.</div>
<div>
<br /></div>
<div>
Weiter benötigt man nur folgende 4 Angaben:</div>
<br />
Benutzername = Ihre Festnetznummer: erhalten sie per SMS<br />
<br />
Authentifizierungsname = Erhalten Sie per SMS<br />
<br />
Passwort = Erhalten Sie per SMS<br />
<br />
Domain: swisscom.ch<br />
<br />
Outbound Proxy: fs1.ims.swisscom.ch<br />
<div>
<br /></div>
<div>
Nun kann man über die Einstellungen der Telefonie App unter Anrufe, Anrufkonten, ein SIP Konto erstellen:</div>
<div>
<br /></div>
<div class="separator" style="clear: both; text-align: center;">
<a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEj-SGpHW9zAu1m_V0E8J7jP6xwv_TIFiJ8S1HFSwAQnp6KsemtE9caqQ-KRn229hpJXkdoRcED9IfjwzMPG_mfccjEYYCWFqt7NbgZmQBSWyEA9da4iqgXzTrOv_7lkUXpY-7L7kb_WK8o/s1600/SIP+Einstellungen.png" imageanchor="1" style="clear: left; float: left; margin-bottom: 1em; margin-right: 1em;"><img border="0" height="400" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEj-SGpHW9zAu1m_V0E8J7jP6xwv_TIFiJ8S1HFSwAQnp6KsemtE9caqQ-KRn229hpJXkdoRcED9IfjwzMPG_mfccjEYYCWFqt7NbgZmQBSWyEA9da4iqgXzTrOv_7lkUXpY-7L7kb_WK8o/s400/SIP+Einstellungen.png" width="250" /></a></div>
<div>
<br /></div>
<div>
<br /></div>
<div>
Wie man sieht, ist der Nutzername die eigene Telefonnummer im kanonischen Format.</div>
<div>
<br /></div>
<div>
Das Passwort ist im SMS enthalten</div>
<div>
<br /></div>
<div>
Als Server geben wir swisscom.ch ein</div>
<div>
<br /></div>
<div>
Nun drückt man auf optionale Einstellungen, sonst kommt man nicht wirklich weiter.</div>
<div>
<br /></div>
<div>
Ah, hier poppt auch gleich der Benutzername für die Authentifizierung auf, dieses bekannte NCbalblabla@swisscom.ch</div>
<div>
<br /></div>
<div>
<br /></div>
<div>
<br /></div>
<div>
Und als ausgehenden Proxy den für die SIP Credentials generierten Server:</div>
<div>
fs1.ims.swisscom.ch</div>
<div>
<br /></div>
<div>
<br /></div>
<div>
<br /></div>
<div>
<br /></div>
<div>
<br /></div>
<div>
Weitere Anpassungen nimmt man nun wieder in der Hauptmaske der Anrufkonten vor:</div>
<div>
<br /></div>
<div>
<br /></div>
<div>
<br /></div>
<div>
<br /></div>
<div class="separator" style="clear: both; text-align: center;">
<a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEhNklzFHacq0OR4sSnaYuwvcS1w3ymiN4aZTLpppAXMix8nRE5WEkU6LT5mTHcGMTScAWpLftpDVVLAw_K5PHR4Iu9T_l2jFBwcbVq4JPwisVJA14IgfXw4qKcpfKXG_TEmE0Df_qkAju0/s1600/Anrufkonten+Einstellungen.png" imageanchor="1" style="clear: left; float: left; margin-bottom: 1em; margin-right: 1em;"><img border="0" height="320" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEhNklzFHacq0OR4sSnaYuwvcS1w3ymiN4aZTLpppAXMix8nRE5WEkU6LT5mTHcGMTScAWpLftpDVVLAw_K5PHR4Iu9T_l2jFBwcbVq4JPwisVJA14IgfXw4qKcpfKXG_TEmE0Df_qkAju0/s320/Anrufkonten+Einstellungen.png" width="223" /></a></div>
<div>
<br /></div>
<div>
<br /></div>
<div>
<br /></div>
<div>
Telefonieren mit. Kann man erst fragen wählen oder das bevorzugte Konto.</div>
<div>
<br /></div>
<div>
<br /></div>
<div>
<br /></div>
<div>
<br /></div>
<div>
SIP Telefonie nutzen. Hier wählt man vorerst mal <i>Für alle Anrufe</i>, sonst wird da nicht viel mit der SIP Telefonie (Ihr wählt ja Rufnummern und nicht direkt SIP URI's, nehme ich mal an...Also nicht wundern wenn ihr nicht mit der SIP Nummer rausgeht wenn ihr Mamas ultra heisses HD Phone Davos anwählt)</div>
<div>
<br /></div>
<div>
Optional kann man noch die eingehenden Anrufe ebenfalls aktivieren.</div>
<div>
<br />
<br />
<br /></div>
<div>
<br /></div>
<div>
<br /></div>
<div>
Wie ihr seht, keine Hexerei. Diese Anleitung lässt sich auf so viele SIP Clients adaptieren. Wichtigste Erkenntnis. Zuerst mal weitere oder optionale Einstellungen suchen, denn hier verbirgt sich meist der Authentifizierungsname für die bei der Swisscom nötige Konfiguration.</div>
<div>
(Getestet auf aktuellem Android 7.1.2 und seit einigen Jahren auf entsprechend älteren Releases)</div>
<div>
<br /></div>
<div>
Viel Spass</div>
Tux0nehttp://www.blogger.com/profile/00729275216054548167noreply@blogger.comtag:blogger.com,1999:blog-4882299951105462615.post-18577652522311411772017-04-24T17:10:00.000+02:002017-05-04T19:22:40.055+02:00Swisscom gibt SIP Zugangsdaten frei<h2>
Freigabe der SIP-Credentials bei Swisscom</h2>
<table cellpadding="0" cellspacing="0" class="tr-caption-container" style="float: right; margin-left: 1em; text-align: right;"><tbody>
<tr><td style="text-align: center;"><a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEgkPPB8MF8cAr7MhSbW1BetJgEMAD1ZoXCyUHISCWqmq2AaBnPJr-XDbmgS0kYuK0w_VH_hYo61KXS0CoGDTk5NKKFQSl90i-wmRVyndVo93LKkTc6Bd3EfGIfmFE0mcglT8LTNQocEfGE/s1600/OMEMO_logo.svg.png" imageanchor="1" style="clear: right; margin-bottom: 1em; margin-left: auto; margin-right: auto;"><img border="0" height="196" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEgkPPB8MF8cAr7MhSbW1BetJgEMAD1ZoXCyUHISCWqmq2AaBnPJr-XDbmgS0kYuK0w_VH_hYo61KXS0CoGDTk5NKKFQSl90i-wmRVyndVo93LKkTc6Bd3EfGIfmFE0mcglT8LTNQocEfGE/s320/OMEMO_logo.svg.png" width="320" /></a></td></tr>
<tr><td class="tr-caption" style="text-align: center;">OMEMO Logo. #Internet-Jargon als Danke für die Swisscom Trolls</td></tr>
</tbody></table>
<div>
Wie aus einem Post in der <a href="http://supportcommunity.swisscom.ch/t5/Diskussionen-%C3%BCber-das/SIP-Credentials-f%C3%BCr-FritzBox-User-Aktueller-Stand-Jan-2017/m-p/491922/highlight/true#M10274" target="_blank">Swisscom Supportcommunity</a> hervorgeht, wird Swisscom demnächst, sofern die Swisscom Quellen richtig unterrichtet sind morgen, dem 25.04.2017 die SIP Zugangsdaten endlich freigeben.</div>
<div>
<br /></div>
<div>
Dazu hat Swisscom auch eine <a href="https://goo.gl/Xy7oav" target="_blank">Info Seite</a> über das Vorgehen freigeschaltet.</div>
<div>
<br /></div>
<div>
Zum Vorgehen selber gibt es nicht viel zu sagen, ich denke es ist relativ selbsterklärend. Oh Wunder, auch Swisscom arbeitet mit SIP :)<br />
<a name='more'></a></div>
<div>
<br /></div>
<div>
An dieser Stelle möchte ich mich bei Swisscom mal ganz sicher nicht bedanken. Namentlich muss ich auch niemanden erwähnen. Tuxone.ch liegen zu viele Informationen über die langanhaltenden Missstände vor.</div>
<div>
<br /></div>
<div>
Der Dank gilt den vielen Usern welche nun schon seit vielen Jahren sanften Druck ausgeübt haben. Gemäss Swisscom Marketing sollen es ja nur rund 10 User sein :D</div>
<div>
<br /></div>
<div>
Ich denke aber das die Zahl der Fremdsysteme aber ab sofort relativ schnell ansteigen werden.</div>
<div>
Auch Smart Business Connect könnte unter Druck geraten, fehlt doch zwischen my KMU Office / inOne KMU und SMBCON ein Produkt, welches nun mit den SIP Zugangsdaten vom Markt selber generiert werden kann.</div>
<div>
Im Grundsatz also auch eine Chance für Swisscom, welche im KMU Bereich auch unter Preisdruck leiden muss.</div>
<div>
<br /></div>
<div>
An dieser Stelle möchte ich nochmals eindringlich vor dem Missbrauch der Daten warnen. Dazu habe ich diesen Beitrag mal geschrieben gehabt:</div>
<div>
<a href="https://www.tuxone.ch/2014/05/warnung-sorgfaltiger-umgang-mit-den-sip.html">https://www.tuxone.ch/2014/05/warnung-sorgfaltiger-umgang-mit-den-sip.html</a></div>
<div>
<br /></div>
<div>
Da man nun auch völlig frei ist was die Routerwahl anbetrifft, so könnte man als Fest den <a href="https://twitter.com/search?q=%23wreckyourrouterday&src=typd&lang=de" target="_blank">#wreckyourrouterday</a> ins Leben rufen. Vorschläge für die Zeremonie werden gerne angenommen :D</div>
<div>
<br /></div>
<div>
<i style="background-color: white; color: #222222; font-family: sans-serif; font-size: 14px;">So Long, and Thanks for All the Fish</i></div>
<div>
<br /></div>
<div>
<br /></div>
<div>
<br /></div>
Tux0nehttp://www.blogger.com/profile/00729275216054548167noreply@blogger.comtag:blogger.com,1999:blog-4882299951105462615.post-19581883584155606482017-02-19T15:45:00.002+01:002017-02-19T15:47:42.156+01:00https für tuxone.ch<h2>
tuxone.ch nun über https erreichbar</h2>
<div>
<br /></div>
<div>
<a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEjwC0dOKKgE2oXaCr-u-wSts4Atlp9Fr3OoALAakt9NP59bz5U7k1VW-PZpHJKT6RYpVMRh5RLhJxgzsaqx0cMBWiXYpt9ivxXk9Gez0oMEZ2hodZtX-O4lLStdJ6AIcrHgua-CCQG4Xyk/s1600/2017-02-19+15_41_40-Tux0ne.png" imageanchor="1" style="clear: right; float: right; margin-bottom: 1em; margin-left: 1em;"><img border="0" height="43" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEjwC0dOKKgE2oXaCr-u-wSts4Atlp9Fr3OoALAakt9NP59bz5U7k1VW-PZpHJKT6RYpVMRh5RLhJxgzsaqx0cMBWiXYpt9ivxXk9Gez0oMEZ2hodZtX-O4lLStdJ6AIcrHgua-CCQG4Xyk/s400/2017-02-19+15_41_40-Tux0ne.png" width="400" /></a>Die Seite ist seit einigen Wochen über <a href="https://de.wikipedia.org/wiki/Hypertext_Transfer_Protocol_Secure">https</a> erreichbar.</div>
<div>
Mit <a href="https://www.blogger.com/">Google Blogger</a> gar nicht so ein einfaches Unterfangen.</div>
<div>
Ich weiss, Blogger ist jetzt nicht so der Brüller was ein <a href="https://de.wikipedia.org/wiki/Content-Management-System">CMS</a> angeht. Aber es war zu Beginn dieses Blogs einfach, relativ stylisch und gratis. Was will man mehr?<br />
<a name='more'></a></div>
<div>
<br /></div>
<div>
<br /></div>
<div>
Blogger bietet zwar schon seit längerer Zeit die https Umleitung für ihr CMS an: https://support.google.com/blogger/answer/6284029?hl=de</div>
<div>
Doch leider ist diese Funktion für Custom Domains wie tuxone.ch nicht möglich.</div>
<div>
<br /></div>
<div>
Als Workaround wende ich hier nun die SSL Weiterleitung über das <a href="https://de.wikipedia.org/wiki/Content_Delivery_Network">CDN</a> von <a href="https://www.cloudflare.com/de/">Cloudflare</a> an.</div>
<div>
https://support.cloudflare.com/hc/en-us/articles/200170536-How-do-I-redirect-all-visitors-to-HTTPS-SSL-</div>
<div>
Dies funktioniert bekanntlich sehr gut und stellt für Blogs einen annehmbaren Workaround dar.</div>
<div>
<br /></div>
<div>
Probleme bereitete vor allem der Header Banner dieser Seite, welcher im Widget von Blogger partout über http geladen wird. Darum kam es auf jeder Seite zu einem <a href="https://developer.mozilla.org/de/docs/Sicherheit/MixedContent">mixed content Fehler</a>.</div>
<div>
Mit etwas Energie habe ich nun nochmals auf das CSS von Blogger eingeprügelt und ein zweites Header Widget ermöglicht, sowie das original Blogger Widget ausgeblendet.</div>
<div>
Zudem waren noch einige weitere kleine Anpassungen / Wermutstropfen nötig, </div>
<div>
Damit sind nun aber viele Seiten ohne Fehler zu erreichen :)</div>
<div>
<br /></div>
<div>
Sollte sich jemand trotzdem noch an Fehlern stören, so ist er gerne eingeladen dies in den Kommentaren, mit Bezug auf die Seite, zu erwähnen. Ich schaue dann was da gezielt noch zu machen ist.</div>
<div>
Natürlich kann man mir auch ein Mail machen oder via jabber anschreiben.</div>
<div>
Die Kontakte findet man in der Company Seite.</div>
<div>
<br /></div>
<div>
Viel Spass und liebe Grüsse</div>
<div>
<br /></div>
<div>
Tux0ne</div>
Tux0nehttp://www.blogger.com/profile/00729275216054548167noreply@blogger.comtag:blogger.com,1999:blog-4882299951105462615.post-26207566231930965992016-12-18T12:23:00.001+01:002016-12-18T14:30:18.406+01:00Netflix auf Schweizer Settopboxen<h2>
Netflix direkt über UPC und Swisscom TV verfügbar</h2>
<div>
<br /></div>
<div>
<a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEiobI031H0Y_5aOGANdXvKPvJD4e9U-uuFlbjc-HFvhfaGvjO-A3nlq-U9Ad4PRIewUEfbGudftr9KKjYAv_Usow-hUUvD2PV_K7y_vHwpf_DjfPQjKcU3N1ABU2AEUal97pmaHdpF9KoY/s1600/netflix_app_icon_with_logo.jpg" imageanchor="1" style="clear: right; float: right; margin-bottom: 1em; margin-left: 1em;"><img border="0" height="133" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEiobI031H0Y_5aOGANdXvKPvJD4e9U-uuFlbjc-HFvhfaGvjO-A3nlq-U9Ad4PRIewUEfbGudftr9KKjYAv_Usow-hUUvD2PV_K7y_vHwpf_DjfPQjKcU3N1ABU2AEUal97pmaHdpF9KoY/s320/netflix_app_icon_with_logo.jpg" width="320" /></a>Etwas "überraschend" haben diese Woche die beiden Grossmächte <a href="https://www.upc.ch/de/tv/sender/netflix/" target="_blank">UPC </a>und <a href="https://www.swisscom.ch/de/privatkunden/internet-fernsehen-festnetz/digital-tv/filme/netflix.html" target="_blank">Swisscom</a> die Integration von <a href="https://www.netflix.com/ch/" target="_blank">Netflix</a> in ihre Systeme bekanntgeben. Überraschend weil beide noch in diesem Jahr erst unter dem Druck von Netflix und deren User ein direktes Peering eingerichtet haben. Bei Swisscom bekannt als Blackmail. Auch <a href="https://www.tuxone.ch/2016/02/double-paid-traffic-oder-swisscom-gegen.html" target="_blank">Tux0ne berichtete darüber</a>. Nicht zu Vergessen auch der <a href="http://supportcommunity.swisscom.ch/t5/Diskussionen-zu-Swisscom/Netflix-Probleme-Swisscom-Backbone-%C3%BCberlastet/td-p/413682" target="_blank">Thread in der Swisscom Supportcommunity</a>. Dort kann auch heute noch gerne jeder selber nachlesen wer zu was Farbe bekannt hat und ein eigenes Score aufstellen.</div>
<div>
Vieles habe ich aus dieser Zeit noch nicht vergessen. Darum was soll diese Aktion nun? Ist nun Schluss mit <a href="https://en.wikipedia.org/wiki/Peering" target="_blank">settlement free peering</a>?<br />
<br />
<a name='more'></a><br /></div>
<div>
<br /></div>
<h3>
Was ändert sich?</h3>
<div>
Nun für viele Netflix User wird sich direkt mal wenig verändern. Bekanntlich ist Netflix bereits über verschiedenste Plattformen verfügbar. Da spielt es keinen grossen Tango ob dieses nun auch noch über die Provider Settopbox verfügbar ist.</div>
<div>
Rühmt sich in diesem kleinen Medienspiel UPC damit Netflix als Ersten zu haben. Ist bei Swisscom Netflix dafür in UHD verfügbar.</div>
<div>
Wohlgemerkt hat heute eigentlich jeder UHD Fernseher bereits einen Netflix Client integriert. Mit der Settopbox bekommt man also zuerst mal nur ein Downgrade geboten. Bei Swisscom ist aktuell kein <a href="https://de.wikipedia.org/wiki/5.1">5.1</a> und auch kein <a href="https://help.netflix.com/de/node/42384">HDR</a> verfügbar.</div>
<div>
Im Grundsatz bietet die Integration aktuell nur einen Mehrwert sofern der TV kein Netflix Client anbietet und man keine Alternative wie Chromecast in Betrieb hat.</div>
<div>
Mehrwerte könnten aber folgen. Indem zB. HDR angeboten wird. Um Samsung als Beispiel zu nennen. Fernseher aus dem Jahre 2015 haben bis heute keinen HDR fähigen Client erhalten, obwohl einige Geräte teilweise HDR fähig wären.</div>
<div>
Ein weiterer Mehrwert könnte eine perfekte Integration in die Bedienung der Settopbox, sprich des ganzen Systemes sein. Wie zum Beispiel der Vorschlag einer Sendung / Serie im Homescreen von Swisscom TV. Die Suche von Sendungen über die Box und nicht in der Netflix App auf der Box.</div>
<div>
Nur ist die Bedienung von Netflix nicht bereits von Haus auf schon fast perfekt? Wird also schwierig.</div>
<div>
Denkbar wäre auch die open pipe Schaltung der Streaming Services von Netflix. Damit man diesen Dienst in höchster Qualität auch mit einem niedrigen Internet Bundle geniessen könnte.</div>
<div>
Ein echter Mehrwert für die Schweiz kann aber das sogenannte <a href="https://www.swisscom.ch/de/privatkunden/hilfe/loesung/mobile-payment.html">Carrier Billing</a> sein und genau dies bietet Swisscom hier für Netflix an.</div>
<h3>
<br />Mit Carrier Billing das settlement free peering aufgehoben?</h3>
<div>
Mit dem Wissen das Swisscom sich stark gegen Netflix gewehrt hat, bleibt doch die Frage im Raum warum man nun doch so eng kooperieren möchte?</div>
<div>
Carrier Billing könnte eine Antwort sein.</div>
<div>
Es ist kaum davon auszugehen, dass Swisscom und auch UPC seit dem Einrichten der Peerings einfach nun tatenlos den Traffic schlucken.</div>
<div>
Bereits in diesem <a href="http://supportcommunity.swisscom.ch/t5/Diskussionen-zu-Swisscom/Netflix-Probleme-Swisscom-Backbone-%C3%BCberlastet/m-p/434139/highlight/true#M44849">Post in der Swisscom Community</a>, habe ich folgendes gesagt:</div>
<div>
<br /></div>
<blockquote class="tr_bq">
<div style="background-color: #e7f7ff; color: #333333; font-family: TheSaB5, "Trebuchet MS", Arial, Helvetica, sans-serif; font-size: 15px; padding: 0px;">
Netflix wird kaum etwas bezahlen.</div>
<div style="background-color: #e7f7ff; color: #333333; font-family: TheSaB5, "Trebuchet MS", Arial, Helvetica, sans-serif; font-size: 15px; padding: 0px;">
So sind die Verhandlungen sicher im Gange. Die Frage von Swisscom ist, ob es zu einer Win Win Situation kommen kann.</div>
<div style="background-color: #e7f7ff; color: #333333; font-family: TheSaB5, "Trebuchet MS", Arial, Helvetica, sans-serif; font-size: 15px; padding: 0px;">
Eigentlich hätte man diese nun bereits. Swisscom muss weniger Transit Traffic bezahlen und hat glücklichere Netflix Kunden. Netflix muss ebenfalls nichts in Transitprovider investieren und kann ihr global aufgebautes CDN zu recht nutzen...</div>
<div style="background-color: #e7f7ff; color: #333333; font-family: TheSaB5, "Trebuchet MS", Arial, Helvetica, sans-serif; font-size: 15px; padding: 0px;">
Eigentlich wären wir ja nun bereits bei WIn Win.</div>
<div style="background-color: #e7f7ff; color: #333333; font-family: TheSaB5, "Trebuchet MS", Arial, Helvetica, sans-serif; font-size: 15px; padding: 0px;">
<br /></div>
<div style="background-color: #e7f7ff; color: #333333; font-family: TheSaB5, "Trebuchet MS", Arial, Helvetica, sans-serif; font-size: 15px; padding: 0px;">
<br /></div>
<div style="background-color: #e7f7ff; color: #333333; font-family: TheSaB5, "Trebuchet MS", Arial, Helvetica, sans-serif; font-size: 15px; padding: 0px;">
Die Kunst von diesem <span style="line-height: 1.2;">Head of Over The Top Services at Swisscom wäre es nun herauszufinden, ob man Netflix irgendwie dazu zu bringen kann, eine App auf Swisscom TV zu entwickeln oder auch umgekehrt. Damit man Netflix potentiel noch mehr Kunden schmackhaft machen könnte oder selber sogar mehr Kunden gewinnen/binden könnte, um doch noch auf irgendeine Art Gewinn zu erzielen (abgesehen dass man den Kunden ja eigentlich bereits schon Breitbandanschlüsse verkauft). Mit dem Wissen natürlich, dass man damit allenfalls Teleclub Play tangiert. DTAG, BT usw. haben solche Apps auf ihren Systemen.</span></div>
<div style="background-color: #e7f7ff; color: #333333; font-family: TheSaB5, "Trebuchet MS", Arial, Helvetica, sans-serif; font-size: 15px; padding: 0px;">
<br /></div>
<div style="background-color: #e7f7ff; color: #333333; font-family: TheSaB5, "Trebuchet MS", Arial, Helvetica, sans-serif; font-size: 15px; padding: 0px;">
<span style="line-height: 1.2;">Aber aus Netflix Sicht muss eigentlich gar nichts geschehen...</span></div>
</blockquote>
<div>
<br /></div>
<div>
Nun es scheint so, dass man nicht untätig blieb. Dazu muss man wissen, dass Carrier Billing genau ein Produkt aus der OTT Sparte von Swisscom ist. Darunter bereits mit Kunden wie Google und Apple, welche per se ja einen hohen Anteil des Internet Traffics generieren. Mit diesem Service ist die Abrechnung über die Swisscom Rechnung möglich. Bekannt aus dem Google Play Store. Damit umgeht man hier die doch noch recht unbeliebte Kreditkarte, welche für Netflix bisher Voraussetzung war. Übrigens auch Sunrise bietet Carrier Billing an, womit man auch hier irgendwann mit einer möglichen Netflix Integration rechnen kann.</div>
<div>
Des weiteren wird man nun bei Swisscom gemäss <a href="https://www.blogger.com/blogger.g?blogID=4882299951105462615#editor/target=post;postID=2620756623193096599">Aussagen von Swisscom Mitarbeitern in digi-tv.ch</a> auch einen Netflix Cache Server in das Swisscom Netz stellen.</div>
<div>
<br /></div>
<div>
Aus meiner Sicht hat zumindest Swisscom nun doch noch ihren Weg gefunden, wie sie aus Netflix noch etwas Geld gewinnen können. Sei es mit einer möglichen Art Vermittlung über die Swisscom TV Plattform oder über die Abrechnung durch Carrier Billing.</div>
<div>
Es bleibt spannend wie sich der Markt hier entwickeln wird.</div>
<div>
<br /></div>
<div>
<br /></div>
<div>
<br /></div>
<div>
<br /></div>
<div>
<br /></div>
Tux0nehttp://www.blogger.com/profile/00729275216054548167noreply@blogger.comtag:blogger.com,1999:blog-4882299951105462615.post-30286196647882570302016-12-03T21:03:00.001+01:002016-12-18T14:30:42.145+01:00Swisscom Smarthome zum Dritten. Daten nun im Ausland. Irgendwo<h2>
Swisscom filmt Schweizer Stuben, gespeichert wird im Irgendwo, nur nicht in der Schweiz</h2>
<div class="separator" style="clear: both; text-align: center;">
<a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEiNGgW1sg6PSlpl87ThyDhRNl6NbMvw5UBJaYsG8-1bqe1IKCAouR1f8ScqIu0_wYahNI9HJ7DWhaJrJYtJPxWjs4rOI0LCxh6A8cYyxCSHTaauHsBPAo9enaVe1_i7Mjdk06GrufD3lSE/s1600/2016-12-03+20_45_28-QBee+Multi-Sensor+Kamera.+Die+smarte+Kamera%252C+die+Ihr+Wohnklima+kennt..png" imageanchor="1" style="clear: right; float: right; margin-bottom: 1em; margin-left: 1em;"><img border="0" height="320" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEiNGgW1sg6PSlpl87ThyDhRNl6NbMvw5UBJaYsG8-1bqe1IKCAouR1f8ScqIu0_wYahNI9HJ7DWhaJrJYtJPxWjs4rOI0LCxh6A8cYyxCSHTaauHsBPAo9enaVe1_i7Mjdk06GrufD3lSE/s320/2016-12-03+20_45_28-QBee+Multi-Sensor+Kamera.+Die+smarte+Kamera%252C+die+Ihr+Wohnklima+kennt..png" width="287" /></a></div>
<div>
<br /></div>
<div>
Erst kürzlich gab Swisscom bekannt, ihr <a href="https://www.swisscom-smartlife.ch/" target="_blank">Smartlife System</a>, ein Nachfolger des bereits eingestellten <a href="https://www.tuxone.ch/2012/12/quing-home.html" target="_blank">Quing </a>Home, einzustampfen. Mit Smartlife hatte Swisscom ein Überwachungssystem mit verschiedenen meist auf low Energy basierten Sensoren inkl. Backend zur Steuerung und Sammlung der Daten im Sortiment.</div>
<div>
Von der Einstellung betroffene Kunden können aktuell ihr System zurücksenden und erhalten zumindest 1000 CHF gut geschrieben. Damit hat man ein weiteres Kapitel Smarthome bei Swisscom eingestellt.</div>
<div>
<br /></div>
<div>
Aaaber nicht für lange. Stolz präsentierte man bald mal die:<br />
<br />
<a name='more'></a><br /></div>
<div>
<br /></div>
<div>
<br /></div>
<div>
<br /></div>
<div>
<br /></div>
<h3>
QBee Multi-Sensor Kamera</h3>
<div>
<a href="https://www.swisscom.ch/de/privatkunden/produkte/va-qbee-multi-sensor(000000000011020507).html" target="_blank">Diese Kamera</a> ist ein wahres Multitalent. Neben Funktionen wie Nachtaufnahme und der Bewegungserkennung, was eigentlich schon als must have einer Kamera anzuschauen ist, bietet sie noch weitere Funktionen. Dies wäre mal die Geräuscherkennung plus ein Temperatur-, Feuchtigkeits- und Lichtsensor um diese Werte zu speichern.</div>
<div>
Besonders hebt Swisscom die Integration dieses Devices in die <a href="https://www.swisscom.ch/de/privatkunden/hilfe/loesung/internet-box-app.html" target="_blank">Internet-Box App</a> hervor und stellt noch weitere Devices wie ein Switch-Button und intelligenter Glühbirnen (aus dem Hause<a href="https://mystrom.ch/de/" target="_blank"> myStrom</a>) in Aussicht.</div>
<div>
<br /></div>
<div>
Die Daten der Kamera werden in der Cloud gespeichert und stehen dort 7 Tage zur Verfügung, sofern man diese nicht speichert. Mit Cloud Lösungen kann man sich anfreuden oder auch nicht. Auch wenn die Cloud nicht gerade die günstigste Lösung was Datenschutz anbelangt angeht, kann man da doch bereits im Grundsatz epische Fehler begehen, Wie in diesem Fall Swisscom...</div>
<div>
<br /></div>
<h3>
Datenspeicherung in Deutschland (vermutlich) evtl. auch anderswo aber sicher nicht in der Schweiz</h3>
<div>
<br /></div>
<div>
Wie angetönt sammelt so eine Multi-Sensor Kamera vermutlich oder halt auch offensichtlich gewünscht verschiedene Daten. Das wären in diesem Fall, Video, Ton (inkl. Geräusche), Temperatur und Helligkeit.</div>
<div>
Diese Daten werden <a href="http://qbeecam.com/de/legal/" target="_blank">gemäss Herstellerangaben</a> 128 Bit SSL verschlüsselt auf den Server übertragen. Diese Server befinden sich aber schon mal nicht in der Schweiz. Was und wie auf den Servern gespeichert wird, weiss man auch nicht. Ja da klingelt es doch eigentlich schon beim Datenschutz. Du in deinem versabberten Unterhemd, die Eier kraulend auf dem Server im irgendwo. Wem es gefällt nur zu :)</div>
<div>
Swisscom sagt dazu: "Die Daten stehen nur 7 Tage auf dem Server zur Verfügung"</div>
<div>
Ja schon, 7 Tage für den Konsumenten. Allenfalls per Gesetz aber noch viel länger für den Staat...</div>
<div>
Gut, falls der Server nun zB. wirklich in Deutschland steht, müssen sich zumindest Deutsche Staatsangehörige nicht um eine allfällige Überwachung durch den BND besorgen (sofern diese schon im vornherein inländischen von ausländischem Content-Rechteinhaber unterscheiden könnten (also bevor sie den Content angeschaut haben und ooops einen Staatsangehörigen erkennen (höhö)))</div>
<div>
<br /></div>
<div>
Swisscom merkt an, dass dieses Produkt von <a href="http://www.shiftcontrolplay.com/" target="_blank">Qbee</a> (einer Gesellschaft von <a href="http://www.askey.com.tw/" target="_blank">Askey</a>, dem Hardwarehersteller der Internet-Boxen) stammt und daher kein Swisscom Produkt ist. Anmerkung von Tux0ne: Das Gerät lässt sich aktuell exclusiv nur über Swisscom beziehen und die Steuerung der Kamera ist aktuell nur über ein Internet Box pairing möglich, da der unabhängige Hersteller noch gar keine eigene App hat... Schon klar das der Käufer da KEINEN Zusammenhang zwischen dieser Kamera (ähhm Spitzel) und der Swisscom sieht.</div>
<div>
<br /></div>
<div>
Guuuuuuut, so viel mal zu diesem Thema. Lassen wir das auf uns wirken und schauen gespannt in die Zukunft, wie stümperhaft hier im Smarthome-Bereich der Swisscom weiterhin agiert wird.</div>
<div>
<br /></div>
<div>
In diesem Sinne, frohe Festtage, we are watching you ;)</div>
<div>
<br /></div>
<div>
<br /></div>
<div>
Und ja falls es nicht klar herübergekommen ist. Hey liebe Konsumenten, solche Geräte kauft man nicht! Return to sender...</div>
<div>
<br /></div>
<div>
<br /></div>
<div>
<br /></div>
<div>
<br /></div>
Tux0nehttp://www.blogger.com/profile/00729275216054548167noreply@blogger.comtag:blogger.com,1999:blog-4882299951105462615.post-59101766386516009562016-10-08T11:58:00.005+02:002021-09-29T16:47:39.453+02:00PPPoE Passthrough mit Swisscom inOne KMU, Business Internet Services auf pfSense<h2>
IPv6 via DHCPv6-PD auf pfSense nutzen</h2>
<h3>
Worum gehts?</h3>
<div>
<a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEi-cD0Tawr4_SR92j6vf6gWB0b28H6_GTBCEtGu8VZXwsJ98b1Q7VCwZdCJ1FS0Jpq3rvmEw6P9revZNj8HuhxE9skw_WLYMk-cx6ALwthdPro796817LJr0qHSGH0Ps_A9TEsjYIk-6Y8/s1600/Download.jpg" style="clear: right; float: right; margin-bottom: 1em; margin-left: 1em;"><img border="0" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEi-cD0Tawr4_SR92j6vf6gWB0b28H6_GTBCEtGu8VZXwsJ98b1Q7VCwZdCJ1FS0Jpq3rvmEw6P9revZNj8HuhxE9skw_WLYMk-cx6ALwthdPro796817LJr0qHSGH0Ps_A9TEsjYIk-6Y8/s1600/Download.jpg" /></a>In diesem Beitrag wird die Konfiguration von <a href="https://pfsense.org/" target="_blank">pfsense</a> beschrieben, um IPv6 hinter einem Centro Business 2.0 im PPPoE Passthrough Mode zu nutzen.</div>
<div>
Wie der PPPoE Passthrough aktiviert wird, ist diesem Swisscom Manual zu entnehmen: <a href="https://documents.swisscom.com/product/1000260-Connectivity_Geraete_/Documents/Spezifikationen/Centro_Business2_PPPoE_Passthrough-de.pdf" target="_blank">PPPoE-Passthrough</a><br />
<br />
<a name='more'></a><br /></div>
<div>
<span face=""roboto" , "helvetica" , "arial" , sans-serif" style="color: #444444; font-size: 13px;"><br /></span></div>
Der PPPoE Passthrough entspricht einem Bridge Mode, benötigt aber mindestens eine fixe IPv4 (+10CHF)<br />
Damit wird der Centro Business mit einem Dual Session WAN konfiguriert. DHCP für die Swisscom Services wie VoIP und TV. PPPoe als Internet Access mit fixer IP. Eben diese fixe IP kann man mit dem PPPoE Passthrough auf der Firewall terminieren.<br />
<div>
<br /></div>
<div>
<br />
Weitere Möglichkeiten sind der DMZ Mode usw. Diese werden in diesem Beitrag nicht behandelt.<br /><a href="https://documents.swisscom.com/product/1000260-Connectivity_Geraete_/Documents/Spezifikationen/Centro_Business2_Mail_Webserver_SecurityGateway_in_der_DMZ_betreiben-de.pdf" target="_blank">https://documents.swisscom.com/product/1000260-Connectivity_Geraete_/Documents/Spezifikationen/Centro_Business2_Mail_Webserver_SecurityGateway_in_der_DMZ_betreiben-de.pdf</a><br />
<h3>
Voraussetzungen und Einschränkungen von Swisscom</h3>
<div>
<br /></div>
<div>
<b>Voraussetzungen:</b> </div>
<div>
<br /></div>
<div>
• Swisscom Vertrag: Business Internet Services, My KMU Office </div>
<div>
• Mit Option fixen IP Adressen</div>
<div>
• Firmware-Version Centro Business 1.0: 07.02.06 und höher Centro Business 2.0: 8.00.04 und höher
• Der Zugriff auf das Router-Portal ist sichergestellt </div>
<div>
<br /></div>
<div>
<b>Einschränkungen: </b></div>
<div>
<b><br /></b></div>
<div>
• Internet Backup funktioniert nicht mehr </div>
<div>
• Der Centro Business-Router ist nicht mehr per Remotemanagement aus dem
Kundencenter erreichbar </div>
<div>
• Keine Internetverbindung für Geräte, welche den Centro Business als Gateway haben </div>
<div>
• Ein Gäste-WLAN auf dem Centro Business-Router kann bei aktiviertem PPPPassthrough
aktiviert werden, eine Verbindung ins Internet ist allerdings nicht mehr
möglich </div>
<div>
• Die integrierte Firewall des Centro Business-Routers ist für die Internetverbindung
nicht nutzbar </div>
<div>
• Wenn Sie PPPoE Passthrough aktiviert haben, können die Einstellungen öffentliche
DMZ, Internetkonnektivität und public IP Pool als DHCP Pool nicht konfiguriert
werden </div>
<div>
• TV 2.0 Apps im TV Menu wie Spiele oder YouTube können nicht genutzt werden</div>
<div>
• TV 2.0 Help Videos können nicht abgespielt werden </div>
<div>
• TV 2.0 Zusatzpakete wie Sprachpakete oder Teleclub können nicht via TV abonniert
werden. Die Aktivierung erfolgt ausschliesslich via Kundencenter
• Radio via TV 2.0 kann nicht genutzt werden </div>
<div>
<br /></div>
<h3>
Statische Interface Konfiguration</h3>
<div>
Für eine statische Interface Konfiguration sind folgende Einstellungen nötig:</div>
<div>
<br /></div>
<h4>
WAN</h4>
<div>
Im WAN Interface ist der IPv6 Configuration Type auf DHCP6 zu stellen. Natürlich wird IPv4 mittels PPPoE konfiguriert. Die Credentials findet man im Swisscom Kundencenter. Die MTU muss seit dem Firmwareupdate des Centro Business auf 9.04.xx übrigens auch bei einer PPPoE Konfiguration auf 1500 gesetzt sein.</div><div><br />
<div class="separator" style="clear: both; text-align: center;">
<div class="separator" style="clear: both; text-align: center;"><a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEhhA2P8X6eIAiBAOhWlA_zemO1CVhkJMYnSDsopFtSJ3j97ZQ_V2al2H_4GVUvYgQexf-v4IBeQAARHIfr8QTro-H23yv70C3k75b3jzsztONykhUTpl0Gbn-zriBzYYmSUWlupBJjG9p0/s1140/wan.jpg" style="margin-left: 1em; margin-right: 1em;"><img border="0" data-original-height="653" data-original-width="1140" height="366" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEhhA2P8X6eIAiBAOhWlA_zemO1CVhkJMYnSDsopFtSJ3j97ZQ_V2al2H_4GVUvYgQexf-v4IBeQAARHIfr8QTro-H23yv70C3k75b3jzsztONykhUTpl0Gbn-zriBzYYmSUWlupBJjG9p0/w640-h366/wan.jpg" width="640" /></a></div><br /><br /></div>
<div class="separator" style="clear: both; text-align: center;">
<br /></div>
<div class="separator" style="clear: both; text-align: left;">
Weiter aktiviert man nun unter DHCP6 Client Configuration:</div>
<br />
<br />
<ul>
<li>Advanced Configuration</li>
<li>Request a IPv6 prefix/information through the IPv4 connectivity link</li>
<li>Only request an IPv6 prefix, do not request an IPv6 address</li>
<li>DHCPv6 Prefix Delegation size /48</li>
<li>send options ia-na 0, ia-pd 0</li>
<li>Non-Temporary Address Allocation</li>
<li>Prefix Delegation</li>
</ul>
<br />
<div class="separator" style="clear: both;">
<br /></div>
<div class="separator" style="clear: both; text-align: center;">
<a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEhhyphenhyphenF3FwdjqYnaB4EMGt5fdz-n7dOCEPcmFkVnnyXULZDEIze0hjOlsQhOUGUyJc0fOH2iVfF38tfMgtdwWQmgTkdHV-nvCdyORqJcdECKvuGLeFBFWoBSb8AbIWk7HYEGzLceJk68zHwQ/s1600/2016-10-08+11_13_46-pfSense.tuxone+-+Interfaces_+WAN.png" style="margin-left: 1em; margin-right: 1em;"><img border="0" height="518" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEhhyphenhyphenF3FwdjqYnaB4EMGt5fdz-n7dOCEPcmFkVnnyXULZDEIze0hjOlsQhOUGUyJc0fOH2iVfF38tfMgtdwWQmgTkdHV-nvCdyORqJcdECKvuGLeFBFWoBSb8AbIWk7HYEGzLceJk68zHwQ/s640/2016-10-08+11_13_46-pfSense.tuxone+-+Interfaces_+WAN.png" width="640" /></a></div>
<div class="separator" style="clear: both; text-align: center;">
<br /></div>
<div class="separator" style="clear: both; text-align: left;">
Nach dem Speichern und Aktivieren besteht bereits eine Verbindung zum Gateway. IPv6 Link local</div>
<h4 style="clear: both; text-align: left;">
<br />Interfaces wie LAN/OPT</h4>
</div>
<div>
Durch die Konfiguration des WAN können den lokalen Interfaces nun statische IPv6 Adressen vergeben werden.</div>
<div>
In diesem Fall wird den Interfaces jeweils ein /64 Netz vergeben und RA sowie optional ein DHCPv6 Server aktiviert.</div>
<div>
<br /></div>
<div>
Das Interface stellt man auf Static IPv6<br />
<div class="separator" style="clear: both; text-align: center;">
</div>
</div>
<div>
Bei Swisscom bekommt man via Prefix Delegation ein /48 Netz. Aus diesem Netz können wir uns nun bedienen. In diesem Fall wird ein /64 Netz generiert.</div>
<div>
Dazu wird unter IPv6 Adress der Prefix des Anschlusses eingetragen und mit einem beliebigen Suffix passen ergänzt und natürlich die entsprechende Subnetzgrösse gewählt. (Das Subnetz kann auch grösser gewählt werden, zB. um in einem Netz via DHCPv6-PD weitere Router nachzuschalten.)</div>
<div>
<br /></div>
<div class="separator" style="clear: both; text-align: center;">
<a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEj9gQeVrbPo3KN2ZOivs5dCGW3JXTjUkbLiY6mXVLTRb1AGw5nCQUA6ttRKiCUbbvXuLY0xFu1U30WiPLJKBQTqbVHbuPcC3LsTwybtcGqsrrgoqngpyaQvdk4nE2O1atpuI6syAkklEeA/s1600/2016-10-08+11_22_31-pfSense.tuxone+-+Interfaces_+LAN.png" style="margin-left: 1em; margin-right: 1em;"><img border="0" height="520" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEj9gQeVrbPo3KN2ZOivs5dCGW3JXTjUkbLiY6mXVLTRb1AGw5nCQUA6ttRKiCUbbvXuLY0xFu1U30WiPLJKBQTqbVHbuPcC3LsTwybtcGqsrrgoqngpyaQvdk4nE2O1atpuI6syAkklEeA/s640/2016-10-08+11_22_31-pfSense.tuxone+-+Interfaces_+LAN.png" width="640" /></a></div>
<div>
<br /></div>
</div>
<div>
Dies kann man bereits abspeichern.</div>
<div>
<br /></div>
<div>
Die Übersicht der Interfaces kann man sich auf dem Dashboard aktivieren:</div>
<div>
<br /></div>
<div class="separator" style="clear: both; text-align: center;">
<a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEgiccFg_KH09lFO-vNVgoPGBehcOvIsV8bCTs2S2J73ARTX7_K3OZl6EnR6-eoI6Jo1tMHhIMxDd5DUpbp5Ie0q1i7fd3IVm5ZPgV4146bvh9-H0eNlXf7n-yai7yiF_roIVroep2DsEVw/s1600/2016-10-08+11_36_55-pfSense.tuxone+-+Status_+Dashboard.png" style="margin-left: 1em; margin-right: 1em;"><img border="0" height="276" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEgiccFg_KH09lFO-vNVgoPGBehcOvIsV8bCTs2S2J73ARTX7_K3OZl6EnR6-eoI6Jo1tMHhIMxDd5DUpbp5Ie0q1i7fd3IVm5ZPgV4146bvh9-H0eNlXf7n-yai7yiF_roIVroep2DsEVw/s640/2016-10-08+11_36_55-pfSense.tuxone+-+Status_+Dashboard.png" width="640" /></a></div>
<div>
<br /></div>
<div>
<br /></div>
<h4>
RA aktivieren</h4>
<div>
Damit im Netzwerk auch automatisch IPv6 verteilt werden, ist noch der entsprechende RA zu aktivieren. Falls man nicht wie im 2ten Schritt noch den DHCPv6 Server aktiviert, ist hier <b>Unmanaged</b> zu wählen!</div>
<div>
<br /></div>
<div>
<br /></div>
<div class="separator" style="clear: both; text-align: center;">
<a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEiX_l-J8TfDKyywmwzxT0ohPo7Cs3iJXSbSecSlEsIaPCAUpiRXzI5hy4GWGuKllOYiB-zn83PUupnOALW1QrGydMSshPHxS-0gzOVZEPsSoiB1qdx4J60MrlwY45rYtz0S9B_-lorYHfs/s1600/2016-10-08+11_31_00-pfSense.tuxone+-+Services_+DHCPv6+Server+%2526+RA_+LAN_+Router+Advertisements.png" style="margin-left: 1em; margin-right: 1em;"><img border="0" height="186" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEiX_l-J8TfDKyywmwzxT0ohPo7Cs3iJXSbSecSlEsIaPCAUpiRXzI5hy4GWGuKllOYiB-zn83PUupnOALW1QrGydMSshPHxS-0gzOVZEPsSoiB1qdx4J60MrlwY45rYtz0S9B_-lorYHfs/s640/2016-10-08+11_31_00-pfSense.tuxone+-+Services_+DHCPv6+Server+%2526+RA_+LAN_+Router+Advertisements.png" width="640" /></a></div>
<div class="separator" style="clear: both; text-align: center;">
<br /></div>
<div class="separator" style="clear: both; text-align: center;">
<br /></div>
<div class="separator" style="clear: both; text-align: left;">
Wer via DHCPv6 Adressen verteilen möchte kann unter Router Advertisement Assisted oder Managed wählen. Der DHCPv6 Range lässt sich anhand des Interfaces nun definieren.</div>
<div class="separator" style="clear: both; text-align: left;">
<br /></div>
<div class="separator" style="clear: both; text-align: center;">
<br /></div>
<div class="separator" style="clear: both; text-align: center;">
<a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEhsF5VYyJ0npMCuPVBsTCypAMWu0xt6pUbw15ST1p8C8Y3ORiWLX3-OuAbx2sMrfGDLqoC_Ymy-3lfW_FTCJd0ayRZpOa_ycks4rktGxH9Es5bDlzhe74gClnO5PEFuxyZ3oFkqc8Zj1tE/s1600/2016-10-08+11_29_19-pfSense.tuxone+-+Services_+DHCPv6+Server+%2526+RA_+LAN_+DHCPv6+Server.png" style="margin-left: 1em; margin-right: 1em;"><img border="0" height="300" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEhsF5VYyJ0npMCuPVBsTCypAMWu0xt6pUbw15ST1p8C8Y3ORiWLX3-OuAbx2sMrfGDLqoC_Ymy-3lfW_FTCJd0ayRZpOa_ycks4rktGxH9Es5bDlzhe74gClnO5PEFuxyZ3oFkqc8Zj1tE/s640/2016-10-08+11_29_19-pfSense.tuxone+-+Services_+DHCPv6+Server+%2526+RA_+LAN_+DHCPv6+Server.png" width="640" /></a></div>
<div class="separator" style="clear: both; text-align: center;">
<br /></div>
<div class="separator" style="clear: both; text-align: center;">
</div>
<div class="separator" style="clear: both; text-align: center;">
<br /></div>
<div class="separator" style="clear: both; text-align: center;">
<br /></div>
<div class="separator" style="clear: both; text-align: left;">
Spätestens nach dem Reboot hat man nun also eine native IPv6 Funktionalität über IPv6.</div>
<div class="separator" style="clear: both; text-align: left;">
Damit das IPv6 Routing auch funktioniert, müssen noch die entsprechenden Firewall Regeln erstellt werden. Per Default hat zumindest bei einer pfSense Neuinstallation das LAN bereits Erlaubnis IPv6 Verbindungen zu initiieren.</div>
<div class="separator" style="clear: both; text-align: left;">
Um Services im Netzwerk über IPv6 bereitzustellen, sind unter WAN die Port(s) oder Protokolle auf die entsprechenden Host zu erlauben. NAT oder gar NAPT entfällt.</div>
<div class="separator" style="clear: both; text-align: left;">
<br /></div>
<div class="separator" style="clear: both; text-align: left;">
<br /></div>
<h3 style="clear: both; text-align: left;">
Alternativ: Automatische Interface Konfiguration</h3>
<div>
<br /></div>
<div>
Wer schnell mal ein Interface automatisch konfigurieren möchte kann dies einfacher lösen:</div>
<div>
Unter WAN wird auch DHCP6 aktiviert. Die Advanced Configuration ist aber nicht zu aktivieren.</div>
<div>
Es reichen folgende Punkte:</div>
<div>
<ul>
<li>Request a IPv6 prefix/information through the IPv4 connectivity link</li>
<li>Only request an IPv6 prefix, do not request an IPv6 address</li>
<li>DHCPv6 Prefix Delegation size /48</li>
</ul>
<div>
Das Interface stellt man danach nicht auf Static IPv6 sondern auf Track Interface.</div>
</div>
<div>
Das Track Interface ist dabei WAN.</div>
<div>
Der RA ist auch noch zu aktivieren und schon läuft die Geschichte.</div>
<div>
<br /></div>
<h3 style="clear: both; text-align: left;">
Sidekicks</h3>
<div>
Mit my KMU Office kann man übrigens Reverse DNS Einträge sowohl seine IPv4 Adressen sowie der IPv6 Adressen ganz einfach via Kundencenter online eintragen.</div>
<div>
<br /></div>
<div class="separator" style="clear: both; text-align: center;">
<a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEibI28MEOiswYS3UnQRbC9kCV4p2xbQoGkqdNu27BzPNdo0_o13hdwCE7f3jtxMLznb_eOWpQDEr9y2RT1UFgWd5iwaJmbboLqkjqF3LZt2_wp_fml6enSRTIVxMIKml8-tBeXOn-w2iFs/s1600/2016-10-08+11_47_51-Swisscom+-+Kundencenter.png" style="margin-left: 1em; margin-right: 1em;"><img border="0" height="640" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEibI28MEOiswYS3UnQRbC9kCV4p2xbQoGkqdNu27BzPNdo0_o13hdwCE7f3jtxMLznb_eOWpQDEr9y2RT1UFgWd5iwaJmbboLqkjqF3LZt2_wp_fml6enSRTIVxMIKml8-tBeXOn-w2iFs/s640/2016-10-08+11_47_51-Swisscom+-+Kundencenter.png" width="598" /></a></div>
<div>
<br /></div>
<div>
<br /></div>
<div>
Anregungen und eigene Erkenntnisse bitte gerne via Disqus in diesem Beitrag.</div>
Tux0nehttp://www.blogger.com/profile/00729275216054548167noreply@blogger.com