FreeNAS: ZFS-Replication über Wireguard

Bisher habe ich für den Abgleich meiner zwei FreeNAS-Boxen OpenVPN verwendet. Wireguard ist eine schnelle Alternative, dafür aber etwas komplizierter vom Setup.

Die ZFS-Replication ist ein praktisches Hilfsmittel, um Daten zwischen zwei FreeNAS-Installation synchron zu halten. Sinn des Ganzen ist die Schaffung eines Offsite-Backups, bei dem die Daten auch einen Wohnungsbrand oder Einbruch überstehen würde, ohne auf externe Cloud-Services zurückzugreifen (was zum einen aus Datenschutz-Aspekten schwierig ist und zum anderen auch ein Kostenfaktor wird, sobald es sich um mehrere Terabyte an Daten handelt).

Anders als OpenVPN ist Wireguard noch nicht Bestandteil von FreeNAS. Man muss es also anderweitig installieren. Um das FreeBSD möglichst unangetastet zu lassen, habe ich mich für eine Debian VM entschieden. Der Grundlegende Datenfluss sieht dann folgendermaßen aus.

  1. Ein ZFS-Snapshot wird erstellt
  2. Die Daten werden über eine statische Route an die Wireguard-Verbindung geleitet
  3. Das 2. FreeNAS-System im Zielnetzwerk verarbeitet die Daten

Dank der statischen Route sieht es für das sendende FreeNAS aus, als würde sich das empfangende im selben Netzwerk befinden. Wireguard liefert anders als OpenVPN eine deutlich bessere Auslastung der Schnittstelle (in meinem Fall VDSL mit 250/40 Mbit/s für FreeNAS-Box 1 und VDSL 50/10 Mbit/s für FreeNAS-Box 2. In Senderichtung liegt das Limit also bei 40 Mbit/s – für den Fall, dass ich das Backup benötige und wieder einspielen muss wäre vermutlich ein Datenträger-Versand schneller. Insgesamt sieht der Aufbau aus wie in dieser Darstellung:

Wireguard als Verbindung zwischen zwei Netzwerken

Luftfeuchte-Sensor mit Photovoltaik & Akku betreiben

Wer einen Luftfeuchte-Sensor einsetzt, ist erst einmal davon abhängig, dass eine Steckdose in der Nähe ist. Das lässt sich mit einer Solarzelle und einem Akku als Puffer umgehen.

Solarzelle mit NodeMCU ESP8266 und Luftfeuchte-Sensor

Grundlegend sollte man bereits einen funktionierenden Luftdaten-Sensor haben – dadurch vermeidet man schon mal eine Fehlerquelle, auch wenn in diesem Beitrag der Feinstaub-Sensor nicht am ESP8266-Modul angeschlossen wird. Um die Stromversorgung des ESP8266 von 5 Volt mittels Solarzelle und Akku sicher zu stellen, braucht es nur wenige Komponenten:

Wireguard: Peer-IP-Check

Wer Wireguard mit Peers benutzt, deren IP-Adresse sich ändert (z.B. weil sie an einem privaten DSL-Anschluss sind), muss regelmäßig die IP-Adresse überprüfen.

Wireguard selbst macht nur beim Starten der Schnittstelle eine DNS-Auflösung um die aktuelle IP-Adresse des Peers zu bekommen. Wenn sich aber z.B. die Adresse des Servers ändert, schlägt die Verbindung irgendwann fehl.

Zum Glück lässt sich dies mit einem kleinen Script, welches z.B. alle 10 Minuten ausgeführt wird, abfangen. Ein Ansatz ist das Script in der Ubuntu-Dokumentation zu Wireguard, welches aber auf meinem Debian-Client nicht ohne weiteres funktionierte (und mir auch etwas kompliziert vorkam).

#!/bin/bash
# Status von der Schnittstelle überprüfen
# wg0-client: Name der Schnittstelle, die geprüft werden soll
# meinpeer.dyndns.net: der Name des Peers, dessen IP geprüft werden soll
        
cip=$(wg show wg0-client endpoints | grep -E -o "([0-9]{1,3}[\.]){3}[0-9]{1,3}") 	
echo "$cip"
digIP=$(dig +short meinpeer.dyndns.net) # Die Adresse des Peers muss angepasst werden
   echo "$digIP"
     if [ "$digIP" != "$cip" ]
       then
          echo "Daten sind anders"
          /usr/sbin/service wg-quick@wg0-client restart
            
        else 
	  echo "Daten sind gleich"
	  #nichts zu tun
	 fi

Die wesentlichen Elemente des Scripts oben: in Zeile 6 wird mittels der wireguard-tools und grep die aktuelle IP-Adresse, die die Schnittstelle verwendet ermittelt. In Zeile 8 wird geprüft, welche IP-Adresse der Peer aktuell hat. Weichen diese beiden Werte voneinander ab, wird die Wireguard-Schnittstelle in Zeile 13 neu gestartet – dann erfolgt auch die Auflösung der IP-Adresse erneut und die Verbindung steht wieder.

Der Restart der Wireguard-Schnittstelle in Zeile 13 muss ggf. angepasst werden, abhängig davon wie die Schnittstelle in eurem Setup tatsächlich heißt.

Es gibt natürlich noch andere Ansätze, die IP-Auflösung durchzuführen, aber für mein Setup ist dies ein sehr einfacher Weg. Und in einem späteren Beitrag verrate ich euch dann, was das Setup eigentlich ist und wofür ich Wireguard verwende. Spoiler: es hat mit FreeNAS zu tun.

Xiaomi Redmi Note 5 Pro: VoLTE mit Android 9.0

Grundsätzlich sollten alle o2-Kunden (auch von anderen Anbietern wie Drillisch) VoLTE nutzen können. Bisher hat dies auf meinem Redmi Note 5 Pro („whyred“) nicht geklappt, mit HavocOS 2.1 (Android 9.0) klappt dies nun:

VoLTE mit Drillisch auf Xiaomi Redmi Note 5 Pro

HavocOS ist ein Custom-ROM, welches auf ASOP Android 9.0 basiert und von Google Pixel „inspiriert“ ist. Damit es installiert werden kann, muss zuerst das Gerät entsperrt werden. Danach kann dann TWRP als Custom Recovery eingerichtet werden.

Anscheinend liefert HavocOS – anders als Android 8.1.0 von Xiaomi – die entsprechenden Einstellungen für Voice over LTE mit. Die Vorteile: bessere Sprachqualität, schnellerer Verbindungsaufbau und problemlose Internetnutzung während eines Telefonats (weil es keinen Wechsel des Netzes z.B. zurück auf 2G gibt)

Allgemein läuft HavocOS sehr gut auf dem Redmi Note 5 Pro und bringt Android 9.0. Leider gibt es von Xiaomi zwar regelmäßig Updates für die MIUI-Oberfläche mit Werbung, aber keine neue Android Version bisher. Da bleibt nur der Wechsel auf ein Custom-ROM.

Vodafone Callya: Aufladen per Banküberweisung

Wer eine Vodafone Callya Prepaid-Karte nutzt, wird früher oder später über die doch eingeschränkten Auflademöglichkeiten stolpern. Per Banküberweisung kann man jedoch einfach aufladen, ohne den Service von Klarna („Sofortüberweisung“), Paypal oder eine Kreditkarte nutzen zu müssen.

Klarna ist zwar bisher ohne irgendwelche Skandale ausgekommen, zum Teil verbieten es aber die Banken, die Zugangsdaten zum Online-Banking dritten zur Verfügung zu stellen. Zudem ist es nicht jedem wohl dabei, einer Firma Zugriff auf das eigene Konto zu ermöglichen.

Die Lösung ist einfach und auch im offiziellen Vodafone-Forum von Moderatoren vorgestellt: Vodafone bietet es an, das man einen beliebigen Betrag überweist unter Angabe der Rufnummer als Verwendungszweck. Dieser wird dann der entsprechenden Prepaid-Karte gutgeschrieben.

Ein Dauerauftrag mit z.B. monatlich 10,-€ zu den Vodafone-Kontodaten erfüllt also den Zweck einer „Komfortaufladung“ – etwas unverständlich, warum Vodafone nicht selbst ein vernünftiges SEPA-Lastschriftverfahren anbietet. andererseits sind Prepaid-Karten natürlich vor allem für Kunden interessant, die ggf. nicht über eine ausreichende Kontodeckung verfügung – hier würden dann zusätzlich noch Gebühren für fehlgeschlagene Lastschriften anfallen.

Vodafone CallYa „Komfortaufladung“: Bankdaten

Vodafone GmbH
Deutsche Bank AG Düsseldorf
IBAN: DE68300700100250800000
BIC: DEUTDEDDXXX

Verwendungszweck: 0172XXXXXXXXXXX

Quelle: Vodafone Forum

Diese Auflade-Variante sollte mit allen CallYa-Tarifen funktionieren: CallYa Flex, CallYa Smartphone Special, CallYa Smartphone Allnet Flat.

Warum WordPress-Sicherheit wichtig ist

Wer einen kleinen Blog betreibt, mag sich vielleicht denken, dass ein sicheres Passwort oder 2-Faktor-Authentifizierung nicht so wichtig sind.

Das ist jedoch ein Trugschluss: auch ein Blog wenig nur ein paar Dutzend Zugriffen am Tag steht ausreichend im Fokus der „Hacker“, dass es pro Tag mehrere Login-Versuche täglich gibt.

Fail2Ban-Statistiken für drei Tage, nur WordPress-Logins

Mittels eines fail2ban-Plugins (ich verwende https://wp-fail2ban.com/) können fehlgeschlagene Login-Versuche protokolliert werden und die IP-Adressen, von denen die Angriffe ausgehen, blockiert werden.

In meiner Konfiguration werden IP-Adressen nach zwei Versuchen in einem Zeitraum von zwei Stunden für 24 Stunden komplett gesperrt. Die Sperre gilt nicht nur für den Login-Bereich, sondern für alle Seitenaufrufe.

Wer keine Möglichkeit hat, fail2ban für WordPress zu verwenden, sollte trotzdem ein Minimum an Sicherheitshinweisen befolgen: der Username sollte nicht unbedingt „admin“, „root“, „Administrator“ lauten, dass Passwort sollte mindestens 10 Zeichen inkl. Sonderzeichen & Zahlen lang sein und die Dateirechte für WordPress sollten möglichst restriktiv gesetzt sein. Für den letzten Punkt gibt es auf binary-butterfly.de eine sehr gute Anleitung: Dateirechte: warum eigentlich?

Wie sind eure Erfahrungen? Ist eure Webseite schon einmal Opfer eines Hackerangriffs geworden? Welche Sicherheitsmechanismen setzt ihr ein? Über Kommentare würde ich mich freuen!

FreeNAS: SMB/CIFS Auflistung beschleunigen

Wer mit FreeNAS eine Windows-Freigabe eingerichtet hat, kann die Zeit, die das Auflisten der Dateien in einem Ordner benötigt, deutlich verkürzen. Dafür müssen einige Parameter an Samba übergeben werden.

Dies lässt sich einfach über die Oberfläche realisieren, indem „Auxiliary Parameter“ für den SMB-Service hinterlegt werden.

ea support = no
store dos attributes = no
map archive = no
map hidden = no
use sendfile= no
aio read size = 1
aio write size = 1
map readonly = no
map system = no

Das Auflisten von Verzeichnissen und Dateien ist nach den Änderungen sehr viel schneller – bisher habe ich es auf die Verbindung mittels WLAN zwischen Client und Server geschoben. Diese funktioniert jedoch reibungslos mit ca. 55 Megabyte pro Sekunde netto Datenrate.

Xiaomi MIUI Werbung entfernen

In den aktuellen Android-Oberflächen von Xiaomi gibt es „Empfehlungen“, die nichts anderes als Werbung – zum Glück lassen sie sich abschalten, was in diesem Beitrag kurz beschrieben werden soll.

MIUI 10 mit App-Vorschlägen
MIUI 10 mit App-Vorschlägen

Xiaomi gibt sich Mühe, dass die Anzeigen bzw. Empfehlungen zwar deaktiviert werden können, macht es dem User aber nicht zu leicht. Zumindest ist das noch der Fall, es ist davon auszugehen, dass Xiaomi diesen Weg weiter gehen wird. 

Die englischsprachige Website androidauthority.com hat dem Thema einen längeren Artikel gewidmet, indem die Hintergründe der MIUI-Ads erklärt werden. Kurz zusammengefasst rechtfertig Xiaomi die Werbung in der Oberfläche mit dem günstigen Preis der Geräte. 

Wenn in einer App Werbung ausgespielt wird oder in einem Ordner Apps zum herunterladen empfohlen werden, kann man dies in den jeweiligen Settings (über das Zahnrad) anpassen.

Ob es für den Ruf der chinesischen Marke gut ist, dass potentiell trackende Werbung in der Oberfläche eingebunden wird – denn für alle Empfehlungen oder Anzeigen werden Daten an einen externen Server übermittelt.

FreeNAS 11.2: neues Webinterface & neue Funktionen

Nachdem FreeNAS 10 „Corral“ ein erster – schnell scheiternder – Versuch war, eine neue Benutzeroberfläche einzuführen, gibt es jetzt mit FreeNAS 11.2 ein neues, AngularJS basiertes UI. Dieses ist auch mobil optimiert.

FreeNAS 11.2 Dashboard auf einem HP Microserver Gen8

Abgesehen vom Webinterface, gibt es für FreeNAS 11.2 eine Reihe von Neuerungen, die die bisherige Entwicklung logisch fortführen und erweitern. Die wichtigsten Änderungen:

  • FreeBSD boot-loader anstatt von GRUB
  • Plugins und Jails werden statt von „warden“ von „iocage“ verwaltet, das bisherige System „warden“ wird nicht mehr gepflegt. 
  • Man kann mit verschiedenen Cloud-Diensten synchronisieren, darunter Amazon Cloud Drive, Box, Dropbox, FTP, Google Drive, HTTP, Hubic, Mega, Microsoft OneDrive, pCloud, SFTP, WebDAV, und Yandex. Verschlüsselt werden auch die Daten inklusive Dateinamen vor der Übertragung lokal, sodass kein Risiko für die Daten in der Cloud besteht.
  • Self-Encrypting Drives (SEDs) werden unterstützt, die entsprechenden Daten werden über die Oberfläche gepflegt.
  • ZFS ist auf dem aktuellen Stand – einmal durchgeführt, führt ein Upgrade eines Pools dazu, dass nur aktuelle FreeNAS bzw. FreeBSD-Versionen damit arbeiten können, ein Downgrade ist dann nicht mehr möglich

Das Update ist für bestehende Installation einfach über die Oberfläche möglich, in dem man den Update-„Train“ auf 11.2-stable stellt und nach Updates sucht. Für Neuinstallationen kann man die aktuelle Version auf der FreeNAS-Webseite herunterladen.

Supervectoring: Erfahrungen nach 10 Tagen

Nachdem die Telekom an meinem Standort als schnellstes Angebot Supervectoring 35b bereit stellt, habe ich den entsprechenden MagentaZuhause XL gebucht. 

Die Bereitstellung ausgehend von einem regulären Vectoring-Anschluss (100/40 MBit/s) war vollkommen problemlos: am angekündigten Umstellungstag war das Internet für ca. 15 Minuten weg, danach hat die Fritz!Box 7590 sich neu synchronisiert und seitdem ohne Reconnects stabile  265,5 Mbit/s Download und 42,5 Mbit/s upload erreicht. Netto kommen 249,5 Mbit/s down und 41,5 Mbit/s up. 

Fritzbox 7590 an Supervectoring Telekom-Anschluss

Der Preis ist mit monatlich € 54,95 zwar nicht gerade günstig, aber dafür bekommt man die Bandbreite zuverlässig, Speedtests zu verschiedenen Uhrzeiten dokumentieren selbst via WLAN sehr ordentliche Datenraten:

Leider ist die Auswahl an Routern mit Profil 35b, welches Anforderung für Super-Vectoring ist, recht eingeschränkt. Geizhals.de listet 16 Modelle mit entsprechendem Support.