Es muss nicht immer Cisco oder Grandstream sein: Von tiptel Yeastar gibt es ebenfalls günstige Analog-VoIP-Adapter mit deren Hilfe analoge Endgeräte wie Telefone oder Faxgeräte an die neue Telefonie-Welt angebunden werden können.

Der tiptel Yeastar Neogate TA200 bietet zwei analoge Schnittstellen, mit dem TA100 gibt es einen Adapter mit nur einen Anschluss. Laut Handbuch ist das Gerät von tiptel Yeastar leicht zu bedienen und die Web-Oberfläche wirkt aufgeräumt. Der Cisco SPA112 bietet ebenfalls eine ordentliche Oberfläche, während hingegen z.B. der Grandstream HT702 von der Oberfläche eher altbacken-rustikal wirkt und nicht gerade angenehm zu konfigurieren ist.

Ein weiterer Pluspunkt für tiptel Yeastar ist der integrierte OpenVPN-Client, so eignet sich der Adapter für Umgebungen wo mehr Sicherheit gefordert ist oder kann im SoHo verwendet werden. Ebenfalls hilfreich sind die integrierten Protokolle.

Leider hatte ich noch keine Gelegenheit einen solchen Adapter zu testen. Erfahrungswerte sind wie immer Willkommen.

Beim Grandstream HT702 handelt es sich um einen Analog-VoIP-Adapter (ATA) zum Anbinden von Endgeräten wie z.B. Telefonen via SIP. Reichen einem die analogen Anschlüsse an einer FRITZ!Box nicht aus, kann so günstig nachgerüstet werden.

Ein Kunde hat insgesamt vier analoge Endgeräte (3x Telefon, 1x Fax), die an eine FRITZ!Box 7490 angebunden werden mussten. Ein Telefon und das Fax konnten direkt mit den analogen Anschlüssen des Routers verbunden werden. Ein Austausch der Telefone kam nicht in Frage, da die weiteren zwei Telefone in einem anderen Gebäude stehen und nur via Telefonkabel verbunden sind.

Zunächst legt man in der FRITZ!Box zwei IP-Telefone an, anschließend konfiguriert man den Grandstream-ATA.

Grandstream HT702 konfigurieren

BASIC SETTINGS

• IP-Adresse und Zeitzone einstellen.

ADVANCED SETTINGS

• „Admin Password“ ändern (Standard lautet „admin“).
• Dial Tone: f1=425@-17,c=0/0;
• Ringback Tone: f1=425@-17,f2=425@-17,c=1000/4000;
• Busy Tone: f1=425@-21,c=480/480;
• Reorder Tone: f1=425@-21,f2=620@-21,c=250/250;
• Confirmation Tone: f1=350@-11,f2=440@-11,c=100/100-100/100-100/100;
• Call Waiting Tone: f1=425@-13,c=300/10000;
• Prompt Tone: f1=350@-17,f2=440@-17,c=0/0;
• NTP Server: de.pool.ntp.org

FXS-PORTx

• Account Active: Yes
• Primary SIP Server: <IP-Adresse der FRITZ!Box>
• SIP User ID: <Teilnehmer-Nr>
• Authenticate ID: <Teilnehmer-Nr>
• Authenticate Password:<Kennwort>
• Tel URI: User=Phone
• Unregister On Reboot: Yes
• Outgoing Call without Registration: No
• Enable Call Features: No
• Dial Plan: { x+ | *x+ | *xx*x+ | **x+ }
• SLIC Setting: GERMANY
• Caller ID Scheme: ETSI-FSK prior to ringing with LR+DTAS
• Hook Flash Timing: In 40-2000 milliseconds range, minimum: 80 maximum: 80
• On Hook Timing: 80
• Ring Frequency: 25

Bemerkung

Ganz ausgetestet sind diese Einstellungen noch nicht, falls sich noch etwas ändert oder auffällt, wird der Beitrag entsprechend geändert.

Quelle

IP-Phone-Forum – Hilfe beim Grandstream HT704 – Beitrag von „Maze007“ (10.02.2015, 11:31)

MSXFAQ – Grandstream HT502 ATA-Router SIP-Router/Analog-Gateway

Steffen Winkler – FRITZ!Box (Grandstream HT 7xx) VoIP Konfiguration

Sonntag-Mittag, ich sitze im Esszimmer und schmöckere ein bisschen im Netz der Netze, da fällt mir ein hochfrequentes Fiepen meines Lenovo ThinkPad T410 auf.

Zuerst nahm ich an, es liegt am Inverter des Displays, bei vielen Reparaturen von Notebooks unterschiedlicher Hersteller war das meist so. Um sicher zu gehen wurden die Lauscher aufgesperrt und am Gerät entlang gehorcht. Die Geräusche kamen allerdings nicht aus Richtung des Displays, sondern eher aus der Gegend des Prozessors.

Ein kurzer Blick mit der Suchmaschine der Wahl förderte zu Tage, das diese Geräusche bekannt sind. Abhilfe schaffte bei mir das Deaktivieren des „CPU Power Management“ im BIOS. Siehe dazu:

Lenovo – T510, T410, W510 ThinkPad – hochfrequentes Piepsen

Möglicherweise gibt es die Geräusche schon länger und sind erst jetzt in einer ruhigen Umgebung aufgefallen. Jedenfalls im Moment ist wieder Ruhe, mal sehen wie lange das so bleibt und wie lange das gute Stück noch läuft.

So kann man Windows oder einen PC im allgemeinen auch Sicher bekommen:

Ein Fujitsu Esprimo D556 mit Intel Core i5 6400-CPU, 8GB RAM und 256 GB SSD, der ohne Betriebssystem geliefert wurde (Messegerät, nette kleine Kiste), wurde mit Windows 7 Professional x64 neu installiert.

Während die Installation und die erste Runde der Windows Updates dank WSUS Offline schnell und gut durchlief, streikte das Gerät nach der nächtlichen Update-Runde. Es blieb einfach beim Starten am Windows-Logo hängen. Ein erneuter Neustart half ebenfalls nicht, ebenfalls klappte der Start von div. Boot-Medien nicht.

Nebenbei bemerkt: Treiber und BIOS wurden direkt nach der Installation bereits aktualisiert.

Zunächst machte sich etwas Ratlosigkeit breit, was denn nun los sei. Zur Sicherheit wurden die Komponenten überprüft und von der SSD eine Sicherung erstellt. Nachdem kein techn. Defekt ausgemacht werden konnte, wurde im BIOS alles unnötige deaktiviert und wie im Titel erwähnt war auch „TPM 2.0“ mit dabei. Siehe da, Windows startet wieder.

Möglicherweise spielt es eine Rolle, wie das BIOS eingestellt ist: So wurde auf eine UEFI-Installation als auch Secure Boot verzichtet und „Legacy only“ bzw. „CSM only“ (den genauen Wortlaut habe ich gerade nicht im Kopf) eingestellt.

Da TPM für diese Installation keine Rolle spielt, wurde darauf nun verzichtet und seitdem läuft der PC ohne Probleme.

Bei einem Windows-basierten TERRA PAD funktionierte der Touchscreen nicht mehr nach der Installation von Windows Updates. Bei näherer Begutachtung viel zudem auf das die Soundkarte nicht mehr erkannt wird und zudem die Akku-Anzeige fehlt. Mit hoher Wahrscheinlichkeit gibt es noch weitere Probleme, bis hierhin reichen bereits die bekannten.

Via Windows Update wurden neue Plattform-Treiber von Intel installiert, seitdem traten die Probleme auf. Gelöst wurde diese Situation durch die Reinstallation der Plattform-Treiber, die beim Herstellers des Tablets heruntergeladen wurden. Am Beispiel von Wortmann, dem Anbieter der TERRA PADs, lassen sich die passenden Treiber leicht über die Seriennummersuche ermitteln. Bei einer anschließenden Suche nach Windows Updates tauchten erneut die fehlerbehafteten Treiber auf, die sogleich ausgeblendet wurden.

Fährt Windows nicht sauber runter, ist die Festplatte beschädigt oder das Betriebssystem stürzt ab, kann es vorkommen, das beim nächsten Start eine automatische Prüfung samt Reparatur des Dateisystems stattfindet.

Grundsätzlich ist diese Funktion sinnvoll und sollte nicht deaktiviert werden! Auf jeden Fall sollte geklärt werden, warum es zur Prüfung kommt, vorallem dann, wenn es häufiger oder jedesmal dazu kommt.

Ein Neukunde wollte seinen PC schnellstens und sozusagen ohne Rücksicht auf Verluste wieder Einsatzfähig haben. Bei jedem Neustart kam allerdings die Prüfung hoch und wenn man nicht aufpasste und schnell genug die Beliebig-Taste drückte startete diese auch.

Über folgenden Eingriff in der Registry lässt sich die Dateisystemprüfung deaktivieren:

• „regedit“ mit erhöhten Rechten ausführen.
• Zu „HKLM\SYSTEM\CurrentControlSet\Control\Session Manager“ wechseln.
• Den Wert von „BootExecute“ zu „autocheck autochk /k:C *“ ändern.

Dadurch wird die Prüfung von Laufwerk C: deaktiviert. Man kann mehrere Laufwerke ausschließen: „autocheck autochk /k:CDE *“ (ungetestet).

Quelle

win-tipps-tweaks.de – Datenträger Konsistenzprüfung (CHKDSK) abschalten – Die dortige Angabe von „autocheck autochk:c *“ deaktivierte zwar Chkdsk, führte allerdings zu einer Fehlermeldung beim Start von Windows. Soll heißen: Eher fehlerhafter Befehl und deswegen keine Ausführung.

Chip – Datenträger Konsistenzprüfung (CHKDSK) abschalten

pfSense bietet sozusagen ab Werk die Möglichkeit manuell Computer über das Web-Interface per Wake-on-LAN (WoL) zu starten. Möchte man diesen Vorgang automatisieren, gibt es gleich mehrere Möglichkeiten. Nachfolgend wird ein Weg der über das Web-Interface aufgezeigt.

• Am Web-Interface anmelden.
• Über „System – Packet Manager“ das Paket „Cron“ installieren.
• Zu „Services – Cron – Add“ wechseln.
• Die Felder ausfüllen und als Befehl „/usr/local/bin/wol -i <Broadcast-IP> <MAC-Address>“ (z.B. „/usr/local/bin/wol -i 192.168.1.255 12:34:56:78:90:12“) eingeben.

Dieser Screenshot zeigt den Cronjob zum automatischen Start eines Computers von Montags bis Freitags um 09:00 Uhr:

Quelle

pfSense Forum – wake on lan & cron

Bei einem Kunden stand umzugsbedingt zum einen eine neue Telefonanlage in Form eines AskoziaPBX Telephony Servers an und zum anderen gibt es am neuen Standort nur noch einen All-IP-Anschluss der Telekom. Damit es mit Voice-over-IP (VoIP) keine Schwierigkeiten gibt, wurde die vorhandene Securepoint UTM RC100 entsprechend konfiguriert.

Die im Rahmen dieses Beitrags genannte Konfiguration kann selbstverständlich auf kleinere und größere Securepoint UTMs als für andere (Askozia-)Telefonanlagen angewendet werden.

Folgende Schritte werden über das Web-Interface der UTM durchgeführt.

VoIP-Module entladen

Über „Extras – CLI“ folgende Befehle ausführen:

debug kmod unload module nf_nat_sip
debug kmod unload module nf_nat_h323
debug kmod unload module nf_conntrack_sip
debug kmod unload module nf_conntrack_h323

Kopieren und Einfügen ist möglich. Dadurch werden die VoIP-Module aus dem Kernel entladen, da diese nur beim Einsatz des VoIP-Proxies relevant sind. Die CLI kann durch die Eingabe von „exit“ wieder verlassen werden.

Firewall-Regel einrichten

• Zu „Firewall – Portfilter – Netzwerkobjekte“ wechseln.
• Auf „+ Objekt hinzufügen“ klicken.
• Einen Namen (z.B. „AskoziaPBX“) eintragen, bei Typ „Host“ auswählen, bei „Adresse“ die IP der Telefonanlage eintragen und „Zone“ auf „Internal“ stellen. Auf „Speichern“ klicken.
• Zu „Portfilter“ wechseln.
• Auf „+ Regel hinzufügen“ klicken und wie im Screenshot konfigurieren:

Anmerkung: Zuvor wurde eine Regelgruppe „VoIP“ angelegt und dort die Regel gespeichert.

Letztlich sollte die Regel so im Portfilter erscheinen:

Danksagung

Vielen Dank an den Securepoint-Support für die Informationen und die Unterstützung.

Quelle

Securepoint Forum – VOIP-Proxy und Telekom – Einstellungen?

Andys Blog – Securepoint UTM: Ein paar Notizen zu VoIP über VPN am Beispiel einer Standortvernetzung

Werbung im Internet nervt, soviel steht fest. So mancher Website-Macher strapaziert die Besucher dabei auf unterschiedlichen Wegen mit Bannern, Overlays und Co. Von daher verwundert es nicht, das Werbefilter immer beliebter werden.

Seit langem nutze ich AdBlock Plus. Auch die Sache mit den akzeptaplen Ads (weniger nervende Werbeanzeigen) störte nicht weiter, wenn man diese einfach deaktiviert. Leider verliert dieser AdBlocker immer mehr an Wirkung. Dies dürfte an den „Gegenmassnahmen“ der Werbeindustrie liegen, sei es durch die rechtlichen Auseinandersetzungen mit Eyeo, der Firma die hinter AdBlock Plus steht oder eben durch technische Massnahmen. Schade.

Alternativen gibt es einige. Seit ein paar Tagen verwende ich AdBlocker Ultimate unter Firefox. Bislang macht sich dieses Plugin ganz gut. Auf Seiten wo ich öfters vorbeischaue und immer mehr Werbung trotz AdbBlock Plus „durchgeschlüpft“ ist, sind die Anzeigen verschwunden.

Was tun, wenn man ein neues Notebook hat und die Branchensoftware nicht läuft? Erstmal abklären wie die Systemvoraussetzungen lauten. Besser ist selbstverständlich, dies vorher zu tun, aber wenn’s passiert ist, muss man sehen wie es weiter geht.

Konkret geht es um ein Fujitsu Lifebook A557, aktuelle Hardware die seitens Fujitsu, Intel und Microsoft nur in Verbindung mit Windows 10 unterstützt wird. Leider gilt das nicht für die Branchenanwendung die bislang nur mit Windows 7 (oder älter) funktioniert.

Da schnell eine Lösung gefunden werden musste und Virtualisierung dank diverser Dongle keine Alternative darstellt, wurde kurzerhand das genannte Notebook mit Windows 7 Professional x64 installiert. Das klappte trotz fehlender Hersteller-Unterstützung erstaunlich gut.

Interessanterweise konnten die meisten Windows 10-Treiber von Fujitsu aus dem Supportbereich verwendet werden. Teilweise konnte allerdings nicht das Setup gestartet werden, so das entweder aus den Unterordnern die Installationsdateien ausgeführt werden mussten oder die Treiber über den Geräte-Manager installiert wurden.

Ausnahme: Netzwerkkarte

Für die Realtek-Netzwerkkarte half es den Treiber direkt vom Chip-Produzenten zu verwenden (Download).

Kaby Lake, Windows 7 und der Grafikkarten-Treiber

Dank des heise-Artikels Intel-Prozessoren „Kaby Lake“ unter Windows 7: Geht (halbwegs) doch! konnte schnell ein installierbarer Treiber für die Grafikkarte gefunden werden. Da die neurere Version von Asrock nicht heruntergeladen werden konnte, wurde die Version von Asus verwendet.

Im Gegensatz zur Angabe bei heise wurde bei diesem Gerät allerdings Windows 7 statt Windows Server 2008 R2 angezeigt. Bei YouTube-Videos konnte keine Einschränkung festgestellt werden, allerdings wurde nicht eingehend getestet und das Gerät soll hauptsächlich zum Arbeiten dienen.

Was bleibt übrig

Einzig für ein Fujitsu-Device konnte bislang kein Treiber gefunden werden, eine Einschränkung wurde dadurch nicht festgestellt.

Bemerkung

Mein größtes Hobby ist es nicht, auf nicht unterstützer Hardware ein bestimmtes Betriebssystem und ggf. Beta-Treiber zu installieren. Auf der anderen Seite bin ich soweit zufrieden damit, das es grundsätzlich läuft. Ob das auf die Dauer und bis zum Lebensende von Windows 7 so bleibt (Stichwort: Windows Updates) wird sich zeigen.

Eine relativ böse Überraschung gab es bei einem Kunden als der Hersteller einer Branchensoftware auf einen neuen Wortmann Terra Miniserver G3 mit Windows Server 2012 R2 Foundation einen Datenbank-Server auf Basis von Firebird installierte.

Als das Setup „Firebird-2.5.3.26778_0_x64.exe“ ausgeführt und Abhängigkeiten zu Microsoft Visuall C++ (MSVC) installiert wurden startete der Server ohne Vorankündigung und unvermittelt neu. Es handelte sich nicht um einen Bluescreen, sondern um einen Neustart zum Abschluss der Feature-Installation. Es dauerte trotz SSDs einige Zeit bis die 100% erreicht waren, allerdings erschien selbst nach 45 Minuten keine Anmeldemaske. Ein Reset brachte nur recht schnell wieder die 100% und keine Anmeldung hervor.

Da es sich um den einzigen Server im Netzwerk handelt, wurde über folgende Wege auf die Maschine zugegriffen, um in Erfahrung zu bringen, was los ist:

Auf Freigaben konnte zugegriffen werden, allerdings sowohl an der Konsole und via Remotedesktopverbindung gab es nur die „Feature/100%“-Meldung zu sehen.

Als nächstes wurde der Zugriff via PsExec auf die Eingabeaufforderung des Servers erfolgreich durchgeführt:

psexec \\<Server> -u administrator -p <Kennwort> cmd

Und dort die Firewall deaktiviert:

netsh advfirewall set allprofiles state off

Um auf die Ereignisprotokolle und Dienste zugreifen zu können, muss die MMC am eigenen Computer wie folgt aufgerufen werden:

runas /noprofile /netonly /user:administrator mmc

Nun das Kennwort eingeben und sobald die MMC geöffnet ist können die entsprechenden Snap-ins hinzugefügt werden. Die Logs waren allerdings relativ sauber und die Dienste liefen alle.

Um dahinterzukommen, was das System im Hintergrund ausführt wurde mittels WinTail auf das Protokoll

\\<Server>\c$\Windows\Logs\CBS\CBS.log

zugegriffen (Notepad geht auch, dann hat man allerdings kein „Live Update“). Dort konnte gut beobachtet werden, das ständig Pakete verarbeitet wurden. Summa summarum hat es eine gute Stunde gedauert, bis alle Pakete verarbeitet waren und die Anmeldemaske wieder zur Verfügung stand. Bei testweise weiteren durchgeführten Neustarts tauchte das genannte Verhalten nicht mehr auf.

Die integrierte Datensicherung von Keiro Connect arbeitet im Standard-Zeitplan so, das täglich um 01:00 Uhr nachts eine Datensicherung erfolgt. Dabei wird Sonntags immer eine Vollsicherung erstellt und an den anderen Tagen jeweils nur die Differenz. Die Besonderheit liegt allerdings darin, das Kerio Connect nur die Voll- und die letzte Differenz-Sicherung aufbewahrt. Die dazwischenliegenden differenziellen Sicherungen werden entfernt.

Am besten lässt sich das Anhand eines Screenshots verdeutlichen:

Die Archive die mit „F“ beginnen sind Vollsicherungen, wobei ab 2 GB Dateigröße gesplittet wird und alle Dateien die mit „D“ beginnen sind differentielle Sicherungen. Am Beispiel der markierten Dateien kann man erkennen, das am 22.01.2017 eine Vollsicherung erfolgte und im weiteren Verlauf Differentielle. An dieser Stelle fällt auf, das es kein Archiv vom 23.01.2017 gibt. Dieses wurde zwar am genannten Tag erstellt, nachvollziehbar ist das im Protokoll von Kerio Connect, wurde dann allerdings am 24.01.2017 zugunsten der neueren differentiellen Sicherung entfernt.

Der Hintergedanke dieses Verhaltens ist (vmtl.) das man schnell den letzten Stand zurücksichern kann, prinziell also nicht schlecht. Aber fällt einem auf das z.B. etwas bestimmtes zwischen der letzten Voll- als auch Differenz-Sicheurng fehlt oder sich verändert hat, hat man ein Problem, da kein Zwischenstand mehr vorhanden ist, aus dem man etwas wiederherstellen oder auf den man zurück gehen könnte.

Möchte man also z.B. ein Element vom 23.01.2017 wiederherstellen oder man merkt am 24.01.2017 oder später das Kerio Connect nicht mehr rund läuft, so bliebe nur der Weg zurück zur Vollsicherung vom 22.01.2017. Man würde also schlimmstensfalls mehrere Tage verlieren.

Archiviert man die E-Mails beispielsweise mit MailStore Server, so wären die Nachrichten zumindest kein Problem, aber was ist mit Terminen, Adressen usw.?! Besser wäre also, alle differentiellen Sicherungen aufzubewahren. Dazu bieten sich zwei Möglichkeiten an:

Sichert man den gesamten Server, so könnte man notfalls auf diese Sicherungen zurückgreifen und dort die jeweilige Voll- als auch passende Differentielle-Sicherung von Kerio Connect rausziehen und wiederherstellen. Ist das nicht der Fall oder möchte man auf jeden Fall die differentiellen Sicherungen eine zeitlang aufbewahren, sollte man diese kopieren. Unter Windows lässt sich das mit robocopy realisieren. Damit man nicht langsam aber sicher den Speicherplatz vollschreibt kann man regelmässig ältere Archive entfernen lassen. Nachfolgend ein Beispielskript:

@echo off

rem Konfiguration

 set source=C:\Program Files\Kerio\MailServer\store\backup
 set destination=D:\Kerio Connect Backup

rem Archive die aelter als 14 Tage sind entfernen

 delage64\delage64.exe "%destination%\*.zip" 15 > delage64\delage64.log

rem Aktuelle Datensicherung abgleichen

 robocopy "%source%" "%destination%" /copyall /np /log:kerio-backup.log

DelAge von Horst Schaeffer „räumt“ regelmässig das Ziel auf und robocopy kopiert die Sicherungen. Dadurch das nicht die Parameter „/mir“ oder „/purge“ angegeben sind, kopiert robocopy nur die jeweils neue differentielle Sicherung ins Ziel und ändert oder löscht dort nichts. Dadurch erhält man vollständige Sicherungssätze, d.h. Vollsicherung zzgl. der täglichen differentiellen Sicherungen.

Maël Hörz bietet mit HxD einen kompakten, smarten und flinken Hex-Editor für Windows an. Neben einer installierbaren gibt es zudem eine portable Version.

Auf der Homepage wird die OS-Unterstützung bis Windows 7 angegeben, der Editor lies sich allerdings ohne Probleme unter Windows 8.1 Pro 64-bit starten und Dateien bearbeiten. In wie weit die anderen Funktionieren anwendbar bzw. kompatibel sind wurde (da noch nicht benötigt) nicht getestet.

Das WLAN sorgte bei einem recht neuen Kunden ständig für Unmut, da die Verbindung je nach Gerät (verschiedene Notebooks, Smartphones, Tablets) gar nicht oder nicht immer Rund lief.

Die Geräte konnten sich zwar alle problemlos verbinden, allerdings konnten mitunter kaum Daten übertragen werden. Auffällig war zunächst nur, das ältere WLAN-Clients funktionierten. Der vorangegangene Dienstleister von dem die FRITZ!Box 7390 stammte „streikte“ nach mehreren Stunden „herumprobierens“ (Kundenaussage).

Beim ersten Vor-Ort-Termin viel zunächst nur auf, das im 1. OG die Verbindungsqualität schlecht und die Signalstärke mitunter ungenügend ist. Der Router ansich ist im EG untergebracht. Zunächst war der Gedanke naheliegend, das die Bausubstanz das Funksignal zu sehr beeinträchtigt. Die Einstellungen waren indes in Ordnung, die Box meldete keine Auffälligkeiten im Protokoll und auch sonstige Störquellen waren nicht weiter dramatisch. WLAN-Treiber als auch die Firmware der Box sind aktuell. Überlegt wurde entweder einen WLAN-Repeater zu setzen oder ggf. vorhandene Netzwerkleitungen in Ordnung bringen zu lassen (an diesen hatte sich sowohl der vorangegangene Dienstleister als auch ein Elektroinstallateur bereits „versucht“).

Zwischenzeitlich verschimmerte sich die Situation dahingehend, das selbst direkt neben der Box keine brauchbare WLAN-Kommunikation mehr zustande kam. Beim zweiten Vor-Ort-Termin wurde zur Sicherheit eine FRITZ!Box 7490 mitgebracht um diese Testweise laufen zu lassen, es könnte ja schließlich sein, dass das Bestandsgerät irgendein Problem hat. Kurz nach deren Inbetriebnahme und manuelle Konfiguration (um keine evtl. Fehlkonfiguration von der alten Box zu übernehmen, wurde auf die Wiederherstellung einer Datensicherung verzichtet) fiel auf, das kein 5 GHz-WLAN zur Verfügung stand. Der Grund war schnell ermittelt:

In der Nähe des Kunden befindet sich der Flugplatz Aschaffenburg-Großostheim (Ringheim). Höchstwahrscheinlich gibt es deswegen Schwierigkeiten beim 5 GHz-WLAN. Potentielle Abhilfe gibt es gleich mehrere:

So schreibt AVM folgendes dazu, wenn man das Ereignis anklickt:

Radarerkennung (DFS-Wartezeit) durch Kanalbelegung ausgelöst, 5 GHz Band temporär nicht nutzbar.

Plan B kann zudem sein, schlicht das 5 GHz-WLAN zu deaktivieren. In diesem Fall wurde nun erstmal auf das 5 GHz-WLAN verzichtet um die nächsten Tage zu sehen, ob die 2.4 GHz-Verbindung(en) stabil sind und ob weitere Unstimmigkeiten auftreten. Die 7390 bleibt erstmal außer Betrieb.

Ungeklärt ist, warum die Radarerkennung der FRITZ!Box 7390 nicht gegriffen hat. Zumindest lässt folgender Service-Beitrag vermuten, das diese Box diese Funktionalität gleichfalls unterstützen sollte:

FRITZ!Box 7390 Service – Wissensdatenbank – Statusmeldung „Radarerkennung (DFS-Wartezeit) durch Kanalbelegung ausgelöst, 5 GHz Band temporär nicht nutzbar“

Es kann mehrere Gründe dafür geben, auf alternative DNS-Server zurückzugreifen. So verteilen viele ISP keine festen Adressen für die Namensauflösung. Mitunter kann es auch vorkommen das die DNS-Dienste des Providers gestört sind oder man im Rahmen von Fallback-/Backup- oder Hochverfügbarkeitslösungen unterschiedliche Quellen nutzen möchte. Unerwähnt sollen auch solche Punkte wie Werbung oder Zensur nicht bleiben.

Die bekannteste alternativen DNS-Server dürften die von Google sein (IP-Adressen: 8.8.8.8, 8.8.4.4). Allerdings stellt sich beim Anbieter aus dem amerikanischen Mountain View schnell die Frage nach dem Datenschutz. Vom Namen her könnte man zwar bei OpenDNS meinen, das es dort anders aussehen könnte, allerdings gehört der Dienst seit einer Weile zu Cisco (siehe Wikipedia).

Vor der Umstellung auf Anycast war ORSN (Open Root Server Network) eine Alternative zu den von der ICANN koordinierten DNS-Rootservern. Nach einer „kurzen“ Pause zwischen Anycast-Einführung und den Snowden-Enthüllungen stehen diese Rootserver wieder zur Verfügung.

Als weiterer Anbieter kann OpenNIC genannt werden. Gut gefällt dabei, das sowohl Tier 1- als auch Tier 2-Server angeboten werden. Über die Seite OpenNIC Public Servers kann der nächstgelegende Server samt weiterer Informationen ermittelt werden.

Quellen

Wikipedia – OpenNIC

Wikipedia – Root-Nameserver

Vor gut einem Jahr wurde der Beitrag pfSense: Auf die Schnelle einen Fallback einrichten veröffentlicht und erfreut sich gewisser Beliebtheit (908 Zugriffe, Stand: 12.02.2017). Nun folgt die etwas professionellere Variante, bei der keine FRITZ!Box und/oder ein Smartphone zum Einsatz kommen, sondern vorab geplant, getestet und letztlich realisiert ein 4G LTE Modem vom Typ LB1111 von Netgear.

Die Vorteile bei den Geräten von Netgear liegen darin, das (zumindest beim LB1111, LT1110 nur via Netzteil) eine Stromversorgung via PoE möglich ist und somit ggf. nur ein Kabel zum Montageort gezogen werden muss. Die Anzeige der Signalstärke via LEDs direkt auf dem Gehäuse macht es zudem einfach, die optimale Possitionierung ohne Zusatzgeräte zu ermittelt und im Falle das keine Verbindung zum mobilen Internet möglich ist, zumindest was den Empfang betrifft sehen zu können ob ein Funk-Signal überhaupt anliegt. Ferner kann das Gerät als Router (Default) oder Bridge verwendet werden. Ein weiterer Pluspunkt ist die Möglichkeit, eine externe Antenne anzuschließen.

Aufmerksam geworden bin ich auf das LB1111 durch zwei Beiträge in der ct:

c’t 20/2016, S. 26 (LTE-Modem mit Fernspeisung)

c’t 02/2017, S. 44 (Schnelle Zweigstelle)

Zum eigentlichen Thema:

Beim vorliegenden Aufbau wird ein eigenes Interface (Netzwerkanschluss) für die Anbindung des LTE-Modems verwendet, die Voreinstellungen des LB1111 wird dabei nicht geändert, d.h. das Gerät läuft als Router und ist unter der IP-Adresse 192.168.5.1 erreichbar. Wenn es „nur“ darum geht, im Notfall eine Internetverbindung zu haben, so reicht dies als „Schnellschuss“ aus. Soll allerdings auch VoIP oder andere Dienste wie z.B. IPsec-basiertes VPN über den Fallback (eingehend) realisiert werden, so kann das Doppel-NAT (1x in der pfSense, 1x im LTE-Router) zu Problemen führen. Dann wäre auf jeden Fall der Bridge-Mode zu verwenden. Dazu entweder später in Form eines Updates oder eines eigenen Beitrags mehr.

Die folgenden Schritte werden im Web-Interface der pfSense durchgeführt:

Interface einrichten

• Über „Interfaces – Assign“ eine Netzwerkkarte zuordnen.
• Auf „Interfaces – <Interfacename>“ klicken, die Schnittstelle aktivieren und bei „IPv4 Configuration Type“ „Static IPv4“ einstellen.
• Bei „IPv4 Address“ „192.168.5.2“ eintragen und „/24“ auswählen.
• Bei „IPv4 Upstream gateway“ auf „+ Add a new Gateway“ klicken.
• „Gateway name“ und bei „Gateway IPv4“ „192.168.5.1“ eintragen und „Add“ klicken.
• Die Haken bei „Block private networks“ und ggf. bei „Block bogon networks“ entfernen.

Unter „Status – Interfaces“ kann geprüft werden ob das Interface „läuft“:

Bemerkung: Im Screenshot wurde die MAC-Adresse entfernt.

Zugriff für das LTE-Modem einrichten

Damit auf das Web-Interface des LTE-Modems zugegriffen werden kann, muss die pfSense entsprechend konfiguriert sein. Dieser Schritt ist zwar optional, aber dennoch empfohlen um z.B. den Verbindungstatus, Pin-Eingabe der SIM-Karte oder das verbrauchte Datenvolumen ablesen zu können.

• Auf „Firewall – NAT“ klicken.
• Zu „Outbound“ wechseln.
• „Hybrid Outbound NAT rule generation.
  (Automatic Outbound NAT + rules below)“ auswählen und „Save“ anklicken.
• Unter „Mappings“ auf „Add“ klicken.
• Bei „Interface“ das zuvor erstellte Interface auswählen.
• Bei „Source“ und „Destination“ die jeweiligen Netzwerke eintragen.

Gateway Group einrichten

Bevor es an die eigentliche Einrichtung der Gateway Group geht, muss für jedes Gateway eine „Monitor IP“ eingetragen werden. Dabei handelt es sich um eine externe IP-Adresse die vom jeweiligen Gateway aus regelmässig angepingt wird. Sollte diese Adresse nicht erreichbar oder die Roundtrip-Zeit zu hoch sein, so wird auf das jeweils andere Gateway (je nach Konfiguration und Gewichtung) gewechselt.

Unter „System – Routing – Gateways“ das jeweilige Gateway, z.B. „WAN_PPPOE“ und „FALLBACK_STATIC“, bearbeiten und jeweils eine „Monitor IP“ eintragen. Hier wurden die beiden Adressen von t-online.de verwendet:

• Zu „Gateway Groups“ wechseln.
• Auf „+ Add“ klicken.
• Einen „Group Name“ vergeben, bei „Gateway Priority“ für das WAN-Gateway „Tier 1“, für das LTE-Gateway „Tier 2“ und bei „Trigger Level“ „Member down“ auswählen.

Firewall-Rules anpassen

Damit die Firewall-Regeln nicht nur auf das Standard-Gateway (i.d.R. das erste WAN-Gateway bzw. -Interface) zugreifen, müssen diese für die „Gateway Group“ angepasst werden:

• Auf „Firewall – Rules“ klicken und zu „LAN“ wechseln.
• Nun z.B. die Regel „Default allow LAN to any rule“ bearbeiten, auf „Display Advanced“ klicken und bei „Gateway“ die zuvor erstelle „Gateway Group“ auswählen.

Um auf das Web-Interface des LTE-Modems zugreifen zu können, muss eine neue Regel angelegt werden, die vor der „Default allow LAN to any rule“ liegt und bei der das Gateway nicht auf die „Routing Group“ geändert wurde:

Diese Regel ist eine sogenannte „policy rule“, alternativ auch „routing rule“ genannt. Sie dient dazu, Datenverkehr der bestimmten Kriterien entspricht jenseits von Routing-Tabellen einem bestimmten Gateway zukommen zu lassen. Ohne diese Regel wäre das Web-Interface des LTE-Modems nicht erreichbar, da pfSense die Pakete die für 192.168.5.1 bestimmt sind über die Routing Group aufgrund der Gewichtung (Tier x) zunächst an das WAN_PPPOE Gateway weiterleiten würde.

DNS einrichten

Stellt die pfSense die Namensauflösung im LAN, so muss DNS für den Fallback entsprechend vorbereitet sein.

• Auf „System – General Setup“ klicken.
• Bei „DNS Server Settings“ min. für jedes Gateway einen unterschiedlichen Server eintragen:

Sollte es zu Schwierigkeiten bei der Namensauflösung im Fallback-Fall kommen bzw. diese nicht funktionieren, kann das Festlegen der ausgehenden Schnittstellen Abhilfe schaffen:

• Auf „Services – DNS-Resolver“ klicken.
• Bei „Outgoing Network Interfaces“ das Interface „WAN“ und „Fallback“ auswählen, alle Anderen abwählen.

Weiteres (Optional, nur wenn notwendig)

Werden mehrere unterschiedliche Netze durch eine pfSense mit dem Internet verbunden, müssen ggf. weitere „Routing Rules“ angelegt werden. Anbei ein Beispiel:

In der umgekehrten Richtung („PRIVAT“ zu „LAN“) müsste ebenso eine entsprechende Regel angelegt werden. Die Regel(n) mit der Routing Group (zuerkennen am Zahnradsymbol) sollten möglichst weit unten stehen.

Bei Telekom All-IP-Anschlüssen könnte man zudem Regeln hinzufügen, die VoIP über LTE blockieren, da dieser Anbieter keine Registrierung jenseits des xDSL-Anschlusses zulässt.

Quellen

pfSense – Accessing modem from inside firewall

pfSense – Multi-WAN

pfSense – What is policy routing

Mitunter muss man Abhängikeiten von Windows-Diensten (ein Dienst kann nur gestartet werden, wenn ein Anderer bereits läuft) ändern. Ein simples Editieren oder Löschen aus der Registry reicht dabei nicht aus. Einfach und vorallem erfolgsversprechender ist es, mit dem passenden Befehl zu arbeiten.

Auszug aus der Hilfe des „sc“-Befehls:

sc config [Dienstname] depend= <Abhängigkeiten (getrennt durch / (Schrägstrich))>

Zu beachten ist die Leerstelle nach „depend= „.

Alle Abhängikeiten entfernen:

sc config [DIENSTNAME] depend= /

Beispielsweise wurde bei einem Kunden benötigt, nachdem von MySQL 5.6 auf MySQL 5.7 umgestellt wurde und die Dienst-Abhängigkeit eines hMailServer zu ändern:

sc config hMailServer depend= RPCSS/MySQL57

Erst nach dieser Änderung lies sich der hMailServer-Dienst wieder erfolgreich starten.

Quelle

serverfault – How to add dependency on a Windows Service AFTER the service is installed

Ein Neukunde brachte sein Windows 10-Notebook mit diversen Problemen zu uns. Bei der Durchsicht viel unter anderem auf, das statt der Bedienelemente und des Status der Windows Updates nur eine leere weiße Seite angezeigt wird.

Dieser Umstand ist nicht unbekannt, wie dieser Eintrag in der Microsoft Community zeigt:

Win10 „Windows Update“ – No controls appear on Settings page

Die Lösung besteht darin, die Windows Updates zurückzusetzen. Hilfreich dabei ist dieses Skript:

Your Windows Guide – Windows update complete reset in Windows 10 and earlier versions of Windows

Bei diesem Gerät lies sich allerdings der „Windows Update“-Dienst nicht beenden bzw. dieser startete sofort wieder neu. Erst als wir diesen vorübergehend vom Starttyp „Manuell“ auf „Deaktiviert“ setzten konnte das das erfolgreich Skript durchlaufen (mit Ausnahme, das es den Windows Update-Dienst nicht starten konnte).

P.S.: Für Windows 7 und 8.x steht ebenfalls ein Skript zur Verfügung.

Bei einem Fujitsu Esprimo Q9000 Mini-PC zeigte sich in Verbindung mit Funk-Maus-/Tastatur-Sets ein seltsames Verhalten, das sich dahingehend äusserte das die Eingaben hingen. Der Mauszeiger blieb ständig hängen und Tastenanschläge kamen verzögert oder auch mal überhaupt nicht an.

Zuerst wurden die „üblichen Verdächtigen“, die da wären CPU-, RAM- und HDD-Auslastung, überprüft, da ein solches Verhalten ebenfalls bei hoher Beanspruchung auftritt. Der PC war allerdings sozusagen tiefenentspannt, da dieser eher als eine Art ThinClient, es werden nur RemoteApps verwendet, dient. Der Virenscanner wurde ebenfalls als Verdächtiger ausgeschlossen, der Einsatz von verschiedenen Funk-Sets änderte ebenso nichts. Mit kabelgebundenen Eingabegeräten gab es wiederum überhaupt keine Schwierigkeiten.

Als letzte Idee blieb nur noch ein BIOS-Update übrig. Installiert war noch eine 1.x-Version, aktuell ist 2.02 vom 24.02.2011. Der erste Versuch eines Updates lief allerdings schief, da das Windows-Tool mit einer Fehlermeldung abbrach. Erst das Update mittels USB-Stick klappte und danach war der Spuk vorbei.

Bemerkung: Zum Test wurde im BIOS beim USB-Controller „RMH“ de- und wieder aktiviert. Möglicherweise trug das ebenfalls zur Lösung bei.

Je nach Browser, Anzahl und Art der Plugins und/oder Addons und der geöffneten Seiten, kann der belegte Arbeitsspeicher recht hoch ausfallen. Der Beobachtung nach kommt es bei mir mit Mozilla’s Firefox unter Windows 8.1 Pro 64-bit immer dann zu Schwierigkeiten, wenn mehr als 1 GB Arbeitspeicher durch den Browser belegt sind. Nebenbei bemerkt: Es sind 8 GB RAM verbaut, im Schnitt ist gut die Hälfte frei. Zum einen wird der Browser dann langsam, mitunter kommt es vor das in neuen Tabs keine Seiten mehr geöffnet werden können oder es kommt die Anzeigefehlern. Abstürze kommen relativ selten vor.

Fairerweise muss dazu erwähnt werden, das recht viele Tabs bzw. Seiten geöffnet sind. Aber auch mit wenigen Seiten kann es zu ähnlichen Phänomenen kommen. Ob es sich dabei um ein Speicherleck (Memory Leak) handelt, vermag ich nicht zu beurteilen. Jedenfalls wird scheinbar kein Speicher freigegeben, selbst wenn Tabs geschlossen wurden (Boebachtet über einen Zeitraum von mehreren Stunden).

Abhilfe kann das Tool Firemin schaffen. Dieses kann installiert oder portable betrieben werden.

Ich habe das Tool seit gut einer Woche am Laufen und seitdem nicht mehr den Browser neustarten müssen. Aktuell belegt Firefox ca. 110 MB (ohne Flash Plugin, laut Task-Manager) bei 46 offenen Tabs. Wie man im Screenshot sehen kann, war das zur Startzeit von Firemin noch anders.

Parallel zu meinem Notebook prüfen wir noch, ob sich auf dem firmeneigenen Terminalserver der Browser ebenfalls „bändigen“ lässt. Dazu je nach Ausgang der Tests ein ander Mal ein Update.