Thomas Wiebe (00:00)
So, hallo und herzlich willkommen zusammen im Smart Hütte Podcast. Heute Episode Nummer 20. haben den 14. Dezember 2025 und wieder mit dabei der Andre.
Andrej Friesen (00:15)
Und der Thomas. Moin.
Thomas Wiebe (00:17)
Moin moin.
Sudele wir starten einfach mal ganz direkt Er hat eine zutschrift von Sebastian vielen dank dafür liebe grüße gehen raus du wirst uns ja wahrscheinlich dann gerade beim autofahren Genau und eine sache die du erwähnt hattest Was dir letztes mal beim TLS thema fehlte ist warum überhaupt also das haben wir tatsächlich gar nicht besprochen also wir reden ja vom vom lan bei dir zu hause warum solltest du
Andrej Friesen (00:49)
Zertifikaten
Thomas Wiebe (00:51)
Genau. Da kann man vielleicht erstmal unterscheiden. Gibt ja zwei Konstellationen, was das bedeuten könnte. Entweder selbstsignierte Zertifikate als Alternative, dann hast du zumindest TLS drin. Oder klassisch unverschlüsselt, wäre vielleicht auch noch eine Option. Können wir ja beides mal kurz beleuchten.
Andrej Friesen (01:12)
Jo, also das erste was mir einfällt und du hast das ja vorbereitet das Thema ist, was ist wenn du es nicht alleine nutzt und diese nervige Browserwarnung einfach weghaben möchtest.
Thomas Wiebe (01:23)
Ja, alle anderen Faktoren spielen eine Rolle, aber das Offensichtlichste wird einfach sein, der Browser nervt. Danke. an der Stelle, ne? Also tatsächlich ist das eine gute Sache, dass der Browser nervt. Mit der Warnung. guck mal, selbstsigniertes Zertifikat.
Andrej Friesen (01:43)
Ne ne, oder wenn er sagt, es ist unsicher, dann... Das führt ja dazu, dass die Leute denken, es ist okay, das wegzuklicken. Wenn du das zu Hause antrainierst mit Frau, Kind, was auch immer, Oder deine WG, whatever. Dann trainierst du den Leuten an, es ist völlig okay, ein Ding wegzuklicken. Das ist eine Art Automatismus und das ist eigentlich nicht gut. Weil wenn du das auf dem Internet triffst, dann würde ich die Seite für gewöhnlich nicht anzurffen.
Thomas Wiebe (01:53)
Mhm.
Andrej Friesen (02:09)
Klar, es jetzt irgendwie ein statisches Blog ist oder so eine Seite, ne? Völlig egal, aber wenn es ein Shop ist, hm, nein.
Thomas Wiebe (02:17)
Die Gefahr ist natürlich genau dann da, dass du deiner Familie antrainiert hast. ja, das wird kein Problem. Da kann man ja draufklicken. Die selbe Warnung kenne ich ja von zu Hause. Das ist, ich, ganz wichtiger Faktor, den man auch in anderen Bereichen hat. Wir haben nachher noch das Thema Monitoring. Und beim Thema Monitoring ist es ja auch so, du musst dir schon Mühe geben, dass im Normalfall alles grün ist. Denn wenn im Normalfall schon alles rot ist,
Es ist auch egal, wenn es im Ausfallfalle noch roter ist. Dann störst du dich da nicht so dran. Du machst eine Desensitivisierung oder wie das heißt.
Andrej Friesen (02:51)
Mhm.
Desensibilisierung.
Noise nennt man das ja bei uns auch. Also wenn das Morphing Noise zu hoch ist, dann guckst halt nicht drauf. Das Regel, ich eigentlich ganz gerne mag. gibt es auch einen super tollen... Das ist glaube ich ein Google Docs, kleines Dokument von einem ehemaligen Google SRE. Das kann ich mal verlinken. Da ist zum Beispiel auch drin, alles was Notification erzeugt soll Actionable sein.
Wenn du von Browser so eine Warnung kriegst, musst du dir eine Entscheidung treffen. Ja oder nein. Und wenn du die, du automatisierst die im Endeffekt, wenn du es okay machst. Auch genau so auch für Monitoring. musst eine Entscheidung treffen. Muss ich jetzt agieren oder nicht? Oder lese ich das einfach nur weg?
Thomas Wiebe (03:46)
Genau, also dieser Gewöhnungseffekt, ist tatsächlich das Kritische. Wenn du jetzt natürlich sagen würdest, alternativ dazu, nicht nur, dass du selbst signiert machst, sondern du würdest vielleicht sogar komplett nur HTTP machen, auch das ist größtenteils, soweit ich das beurteile, noch möglich. Wir müssen ein bisschen hypothetisch sprechen, weil wir es tatsächlich ja schon lange nicht mehr so praktizieren. Aber es dürfte alles noch funktionieren, was ich dazu... Wieso?
Andrej Friesen (04:12)
Er spricht nur von sich.
Ich habe auch noch ein paar Sachen mit IP und HTTP, ist mir egal. Wobei ich wechsle das gerade alles weg. Weil mein Ansatz ist ein bisschen Zero Trust. Das ist ja dieser Ansatz, mittlerweile in die Netzwerktechnik gekommen ist, über die letzten Jahre. Dass man einfach vom generellen her einfach nichts vertraut. Dass man davon ausgeht, dass das Netz kompromittiert ist im Endeffekt. Und dann sollte man vielleicht nicht mit Passwörtern über HTTP rüber schieben, weil dann hat man die Passwörter für die jeweiligen Applikationen.
Thomas Wiebe (04:18)
⁓ okay.
Andrej Friesen (04:44)
Es kann ja sein, dass irgend so ein Staubsaugeroboter, irgendein IoT-Gerät, was auch immer im Netzwerk einfach rumlauscht und es muss ja nicht sein, dass dann jeder das Passwort mitkriegt. Die kriegen ja schon so genug Infos, aber du kannst halt den Angriffsvektor dann ein bisschen verkleinern in dem Sinne, wenn du einfach den Traffic-Verschluss hälst.
Thomas Wiebe (05:04)
Ja, genau. Ich meine, alte Ansatz, du sagtest gerade Zero Trust und das ist schon ein gutes Stichwort, ich. Der alte Ansatz war ja, ja, und Perimeter, also Perimeter Security, also quasi du bestimmst einen gewissen Bereich als, betrachtest du einfach als sicher, nur weil es ein internes Netz ist und ja, baust dann einfach weniger andere Sicherheitshürden ein. Und das ist halt durchaus gefährlich, gerade
Andrej Friesen (05:12)
die DMZ.
Mhm.
Thomas Wiebe (05:34)
Also, gefährlich ist alles relativ, ne? Man muss mal nicht übertreiben, aber wir reden immer noch hier von deinem Laden und du bist halt kein großes Unternehmen, du bist ein Privatmann, aber...
Andrej Friesen (05:43)
Keine Angriffsfläche
in dem Sinne.
Thomas Wiebe (05:46)
Aber wenn du es halt ernst nehmen möchtest und wie du sagtest, Andrej, ich da muss halt nur mal ein Staubsauger-Roboter daherkommen, der in deinem WLAN hängt, potentiell kann er Schindel übertreiben. ⁓
Andrej Friesen (05:56)
Ja,
oder dem du kannst auch falsch konfigurieren so wie wir beide mal du hast mir doch mal Wir nutzen den traffic als web proxy und Irgendwann schickte thomas mir nur l Von einem system das eigentlich nur von intern erreichbar sein sollte Und dann war ich ein kleines bisschen schockiert weil das waren meine copia backups
Thomas Wiebe (06:01)
Was?
Andrej Friesen (06:24)
von all meinen Systemen im Endeffekt. heißt, jeder kann da draufkriegen, dass waren da noch die Compose-Files drin, dementsprechend auch die ENV-Dateien und auch die Passwörter. Also schon großer Gau. Und hätte ich zumindest den Kopierteil hinter Basic-Auth oder sowas hinterhergeschaltet, weil das war halt nackig im Netz bei mir, dann wäre er zwar im Netz, aber hätte keinen Zugriff. Die Backups, worüber er im Endeffekt gut Zugriff kriegen könnte, in der Theorie. Und das war so ein...
Thomas Wiebe (06:49)
Mhm.
Andrej Friesen (06:50)
Das war das hattest du ja auch so konfiguriert deswegen hast du das bei mir auch mal getestet
Thomas Wiebe (06:56)
Ja,
das ist gut, dass du das anbringst. Da lohnt sich wirklich mal die Klammer auf. Also was ist passiert? Ich war mal wieder an meiner Traffic-Konfiguration dran und es gab so ein Aha-Moment. Also gar nicht mal aus der Notwendigkeit heraus, sondern ich gucke mir einfach die Konfiguration an und denke mir, okay, ich verlasse mich hier gerade auf etwas, wo ich mir gar nicht so sicher bin, ob das reicht. Und was war das etwas? Du kannst in Traffic einstellen, zum Beispiel alle Hosts, über die du dich connecten können möchtest.
Und ich habe bei mir persönlich im Setup eine Subdomain Int und eine Subdomain Ext und alles was vor Int steht und alles was vor Ext steht ist jeweils so erreichbar. Also Int zeigt auf eine interne IP, Ext auf eine externe IP. Wenn ich also irgendwas über beides erreichbar machen möchte, explizit, dann kann ich auch zwei Hosts definieren in Traffic, das geht. Oder ich nehme halt nur Ext und dann läuft es kurz einmal über die Fritzbox am äußeren Teil meines Netzes und kommt dann wieder rein.
nicht so wild, wenn du jetzt nicht gerade da Backups die ganze Zeit überträgst. Ja, dann dachte ich mir, okay, das ist aber ja nur der Name, der Host, der HTTP Host. Und was man ja machen kann ist, du kannst eine Verbindung irgendwie aufbauen auf den Server, einfach auf die IP, Port 443 zum Beispiel, dann sagst du, ich setze den HTTP Host-Header und setze einen anderen Wert, der gar nichts mit der IP zu tun hat. ja.
Das funktioniert auch hier. Also effektiv machst du halt einfach das. Du meldest dich dann von außen auf der IP von zum Beispiel deiner X-Subdomain und sagst dann halt einfach, gib mir bitte, weiß ich nicht, Gitpunktintpunkt. Something, something. Und auf einmal kam das.
Andrej Friesen (08:40)
Wie Thomas die ganzen Domains für mich rausgekriegt, ist einfach auf... Wer ist das? Third.sh Genau, das ist einfach eine Suchmaschine für letzte Clipzertifikate Erkennt mein Domain, hat die eingedipped und dann kriegt er alle Subdomains So und dann kannst du die Attacke im Endeffekt fahren Dann hat er ein bisschen rumgeguckt bei mir im Netzwerk
Thomas Wiebe (08:45)
Ja, genau.
Ich glaube, kennen auch die wenigsten. SSL-Zertifikate, die hier man hier, also an der Stelle, müsst ihr ja fast sagen, hat das SSL-Zertifikat es leichter gemacht, dass ich rausfinden konnte, was bei dir so läuft. Weil SSL-Zertifikate sind öffentlich. Also es gibt so ein Ledger im Grunde, wie, weiß ich nicht, bei Bitcoin oder sonst was. Du gehst auf cat.sh, da kannst du einfach mal suchen nach dem Common Name des Zertifikats und dann findest du halt einfach alle Zertifikate.
die ausgestellt wurden jetzt aktuell oder auch in der vergangenheit ich weiß nicht ob es irgendwo ein threshold gibt mit sicherheit ja du kann okay das ist gut du hast auch einen mengen limit bei der bei dem result set also ich weiß nicht ob die noch nach wie vielleicht haben würde dir mehr zurückgeben aber zumindest auf der webseite 50 einträge oder sowas also
Andrej Friesen (09:36)
Ich glaube, haben ein Limit. Ich habe da schon einige nicht mehr gefunden, die ich früher hatte. Weil ich habe dann geprüft.
Thomas Wiebe (09:57)
Es ist jetzt nicht so leicht das gesamte Internet davon einmal zu crawlen.
Andrej Friesen (10:03)
Ja.
Das heißt Thomas hatte dann die Domain verfügbar bei CRT.sh wusste dadurch ja auch meine IP, konnte dann einfach mit Curl oder jedem anderen Tool was irgendwie web spricht den FQDN faken und einfach meine IP mit schicken und kam dann auf alle Systeme im Endeffekt drauf, obwohl ich das auch nicht wollte, so wie du das auch nicht wolltest. Und da ging mir erstmal kurz das Herz in die Hose.
Thomas Wiebe (10:24)
Ja, genau.
Andrej Friesen (10:31)
Die Lösung des Problems war relativ einfach dann. Was ich dachte wäre explizit, ist, dass man Traffic glaube ich nur sagt, genau, man musste eine, wie heißt das, Local File haben wir da glaube ich hingelegt, wo wir konfiguriert haben, für diese Domain bitte nur aus folgenden IP-Ranges, da haben wir die privaten definiert, also 10, 172 und 192, die kann man dann definieren und das muss man an jede, wirklich wichtig, jede
Docker Compose Komponent oder wo auch immer hier ein Traffic laufen hat, müssen wir das dran dengeln, weil sonst... exposed er das halt auch darüber.
Thomas Wiebe (11:08)
Also das war jetzt eine Middleware, die ein IP-Allow-Listing macht, wo du dann, ja, und dann nimmst dann einfach nur deine private Range und wahrscheinlich auch die Docker-Range, wenn du darauf zugreifst, dann auch das und genau.
Andrej Friesen (11:12)
... äh, App L auch, ja genau.
Ja, genau, die brauchen wir glaube ich auch.
Ich verlinke mal den IP-Loudest-Artikel von Traffic. Falls das auch wer hat.
Thomas Wiebe (11:24)
Ja, genau.
kannst natürlich auch noch einen Basic-Oft-Apport packen, das macht es dann nicht intern, das fügt einen Layern zu. Ja, es ist offensichtlich eigentlich, aber man rechnet halt nicht damit. Du sagst einfach, okay, ich nehme jetzt halt hier nur einen internen Domain-Namen, also ist es ja nur intern. Nein, das ist nicht nur intern, wenn du offen von extern erreichbar bist. Das war übrigens bei dir der Punkt, Andrej. Ich musste an deiner IP rankommen.
Durch die rein internen DNS-Einträge schaffe ich das ja nicht. Die zeigen ja auf etwas internes. Aber du hattest eine öffentliche Domain, die in derselben, also eine Subdomain derselben Domain war. Dadurch bin ich halt da rangekommen. Ich hatte ja dann quasi effektiv eine Liste an FQDNs, die ich mal auflösen kann.
Andrej Friesen (12:01)
Ja, ja genau.
Thomas Wiebe (12:17)
Da war da was dabei.
Andrej Friesen (12:21)
Ja, schön war das. Von daher habe ich dann bisschen angefangen mit per Default einfach abzusichern. Auch wenn es bisschen nervig ist, eigenen Netzwerk mit Basic Off und sowas zu arbeiten. Weil mein Password Manager jetzt nicht so gut mit umgeht. wenn was reinkommt, dann ist der Angriffsvektor einfach kleiner.
Thomas Wiebe (12:45)
Ja, es gibt ja viele Leute, die packen auch ihr, weiß ich nicht, ihr Home Assistant irgendwie öffentlich ins Internet oder andere Dinge. Man verlässt sich natürlich dann darauf, dass der Zugriffsmechanismus sauber funktioniert und das ist halt nicht immer der Fall. Also es gibt ja Sicherheitslücken, die entstehen irgendwo in einer Applikation. Und wenn die ausgenutzt werden, kommt man vielleicht auch ohne den validen Login schon rein.
Andrej Friesen (13:11)
Ja, kurz, ich meine, das wollen wir später machen, aber das passt grad thematisch. Diese Woche kam eine kleine News zu dem Gogs-Server. Gogs ist ein Git-Server im Endeffekt mit einem kleinen GUI und ein bisschen Automation dahinter. Und die haben wohl eine richtig böse Lücke aktuell, die Sicherheitsforscher auch schon vor einiger Zeit gemeldet haben, nämlich RUNI, dem Upstream-Projekt. Die haben aber noch nicht reagiert.
Und über Showdaten zum Beispiel kann man halt dann nach öffentlichen Gogs-Instanzen suchen. Und die Sicherheitsvorschriften haben herausgefunden, dass 50 % der 700 Instanzen, die die gefunden haben, schon kompromittiert sind von dieser Sicherheitslücke. Ich glaube, die besteht nur, wenn man irgendwie einen User... Wenn man das öffentlich registrieren erlaubt, dann kann es den User-Account machen. Und dieser User-Account kann dann einfach auf dem System Dateien erzeugen, wie zum Beispiel auch dieses H-Keys.
einfach reinschieben und dann hat er Zugriff auf den Server. Böse Lücke, kann eine Zero-Day sein, kann auch einfach sein, dass der Entwickler einfach nicht hört, keinen Bock hat, verstorben ist, was auch immer. Es gibt ja tausend Gründe, warum man etwas nicht tut und da ist man halt nicht gefeiert. daher, auch wenn man etwas online schaltet, muss man halt bisschen aufpassen, muss man gucken, was für ein Risiko geht man damit ein und manchmal ist es halt heftig.
Thomas Wiebe (14:34)
Und da ist tatsächlich, realistisch betrachtet, selbst die Perimeter Security ein hilfreiches Mittel. Also wenn du jetzt deinen Home Assistant nur in deinem privaten Netz bereitstellst und logst dich dann ein mit was auch immer für einer VPN-Lösung, dann hast du halt schon mal 99,9999 % der Requests, die irgendwie da normalerweise landen würden, nicht. Dann bleiben natürlich aber andere Dinge übrig.
Andrej Friesen (14:42)
Ja.
Ja.
Thomas Wiebe (15:03)
kann man die Klammer vielleicht gerade zumachen. Oder da auch interessant, für mich jetzt auch gerade, weil Andrej Duerts das ja in die Vorbereitungsliste reingepackt und es hatte es noch nicht auf dem Radar. Das ist dann im Mastodon Stream auch noch heute mir die Ohren geflogen, aber ich habe Gitea im Einsatz und Gitea ist ein Fork von Gogs. Ja, muss man mal prüfen, ob das betroffen ist und ich weiß auch, weil ich ein paar Server im Internet habe und
nutzt den Git-Server eben ⁓ die Compose-Files zu managen, dass der auch öffentlich ist.
Andrej Friesen (15:40)
Vielleicht macht da ein Tailscale Sinn oder whatever.
Thomas Wiebe (15:42)
Vielleicht, ja. Ja, das mag schon sein. Und Gitea wiederum wurde auch geforkt und ist jetzt hier für Codeberg im Einsatz. Forgejo? hab null Ahnung, wie man das ausspricht. Ich würde es ja instinktiv spanisch aussprechen, aber ich erspreche euch das mal. Ich weiß auch nicht, ob es stimmt. Genau.
Andrej Friesen (15:51)
Ach, Ding.
Ja und so, das finde ich ganz witzig, wir wollten das Thema halt angehen durch eine Frage und jetzt passt es im Endeffekt. Zero Trust musst du halt haben, weil in der Theorie musst du davon ausgehen, dass dein System kompromittiert ist. So denkst du zumindest Zero Trust. Die MTL ist halt, in ist sicher, Zero Trust ist in ist nicht sicher. Alles was egal war, ist unsicher. Und ja, muss man schauen, was für ein...
Risiko möchte man da eingehen. Was ist der Impact? Ganz wichtig. Man kann nicht fragen, wie mache ich es sicher? Sondern muss sich die Frage stellen, ganz konkret, wovor würde ich mich schützen? Das ist immer super wichtig, weil sonst hört es nie auf. Und wenn du jetzt sagst, ja gut, dann kommt er auf meine Gitsachen. Fine, ist nichts drin. Wenn du da war, weil du deinen eigenen Gitserver hast, deine Secrets drin hast für GitHub, für Gemini oder was auch immer, hast du auf einmal Kosten, du eventuell nicht haben möchtest. Ja. Getunen habe ich.
Thomas Wiebe (16:54)
Was man ja nicht sollte, aber was ich auch getun habe.
Andrej Friesen (16:59)
Die tun hab.
Thomas Wiebe (17:00)
Was ich noch tue. Ja, genau. Und da, guter Punkt, weil da könnte man jetzt sehr leicht argumentieren, ja, aber mein Kram läuft ja in einem Docker-Container. Okay, aber wenn du jetzt halt ein Docker-Netzwerk erstellst, standardmäßig, darf das überall entsprechen.
Auch in dein Laden, ins Internet, überall. Du kannst es explizit erstellen und sagst... Ich glaube, das Flag nennt sich irgendwie sowas wie no Internet oder sowas. Was effektiv, wenn ich mich recht erinnere, bedeutet no routing at all. Also von daher... Und klar, wenn es jetzt darum geht, Traffic mitzusniffen, wenn das in einem Docker-Container läuft, der ganz normales Docker-Netzwerk macht mit Bridge-Networking...
Andrej Friesen (17:34)
Cambridge.
Thomas Wiebe (17:51)
wird das wohl eher nicht funktionieren, aber...
Andrej Friesen (17:53)
Aber wenn du so
ein Assetter warst wie ich, ich muss aktuell noch alle Container einem Netzwerk haben. Also ich habe einen riesen Proxen Netzwerk, das sind dann die Datenmarken, ganzen Frontends für alle Sachen, die ich halt hoste. Das heißt, du kannst überall drauf. Weil bei mir, genau, du kommst auf die Datenmarken, dadurch kommst du sehr wahrscheinlich an Passwörter und dadurch halt auch an Lookins.
Thomas Wiebe (18:08)
Genau, du kommst ans Ziel zumindest, ne? Naja.
Andrej Friesen (18:18)
Und das möchte ich auch wegmachen, weil eigentlich wollte ich gerne für jede Applikation einen Docker Netzwerk haben, sodass es wenigstens ein bisschen encapsuliert ist. Irgendwie funktioniert das bei mir aber nicht, das haben wir auch schon mal durchgegangen, verstehen auch nicht warum. Vielleicht ist
Thomas Wiebe (18:32)
Meine
Erkenntnis irgendwann ja mal, das ist nicht dein Problem leider, aber Docker nimmt standardmäßig ein ganz schön großes Netz für jedes, also no-sys-sitter für jedes Netz. ich glaube wir reden hier von irgendwie einem Slash, weiß ich nicht mehr, 22, 21, 20, irgendwie sowas. Und es nimmt auch wiederum eine relativ kleine Range, wo die alle reinpassen. Und wenn das Limit erreicht ist, dann kannst du halt kein Docker Netzwerk mehr erstellen.
Andrej Friesen (18:40)
Mhm.
Ja.
Thomas Wiebe (18:59)
Du kannst das konfigurieren, ich müsste jetzt nachgucken, das ist nicht vorbereitet, du kannst deinem Docker sagen, normalerweise nimmt der ja dieses 172.10. slash irgendwas, da passen halt nur bedingt viele rein. Du kannst ihm aber zusätzlich auch noch eine zweite Range geben, wenn die eine erschöpft ist. Und was du ihm auch sagen kannst ist, mach mal kleine Netze. Ich meine mal, ernst, wie oft hast du mehr als 256 Container an einem Docker-Netz?
Andrej Friesen (19:17)
Mhm.
Meistens so zwei, vielleicht noch ein Cash, also drei.
Thomas Wiebe (19:27)
Ja,
genau. Und du könntest zur Not die Range halt auch immer noch, also die Größe des Netzes, die Bitmaske oder Bitbreite kannst du auch immer noch einstellen pro Netz, wenn du es erstellst, aber standardmäßig nimmt er halt irgendwie, man muss ja mal gucken, Slash 22 oder so? Richtig viel.
Andrej Friesen (19:43)
Aber ja, das heißt, macht schon Sinn intern zu verschlüsseln, einfach nur ums nervige für den Angreifer zu
Thomas Wiebe (19:52)
Weil alles, was mindestens mal direkt mit Hardware an deinem Netz hängt, kann potenziell schnüffeln. Schnüffeln ist, also Traffic mitleden muss man ja jetzt auch differenzieren, ist ja nicht einfach so, dass du einfach nur einen Finger hebst und sagst, ich hätte jetzt gerne allen Traffic. So funktioniert das dann auch nicht. Habe ich ja weis, so IP-Spoofing oder sowas, so von wegen ich... Ja, genau. Und dann kommt dann schon mal Traffic bei dir an und das führt dann auch in der Regel zu...
Andrej Friesen (20:08)
Nene.
bin jetzt folgender, stimmt aber gar nicht.
Thomas Wiebe (20:20)
komischen Artefakten, wenn du es nicht im Hintergrund dann auch wieder an den eigentlichen Server weiterleitest. ja, genau, es ist wahrscheinlich ein separates Thema, das wir irgendwann mal aufmachen könnten. Aber grundsätzlich, wir ein Beispiel bei Staubsaugerroboter, wenn du den jetzt nicht irgendwie extra in einen IoT-WLAN packst oder Client Isolation oder irgendeinem Kram aktivierst in deinem WLAN, dann könnte das Ding auch schon globa treiben bei dir im LAN.
dann ist natürlich, wenn du nur HTDP hast, sind auch deine Credentials abgreifbar. Potenziell. Und wenn du HTTPS machst, wäre man in the middle halt auch durchaus möglich. Also schnappt sich einfach dann die IP des Ziels und kann auch da wieder ähnliche Spiele treiben, wie das beim Traffic Sniffen wäre, dass er im Hintergrund den Traffic an den eigentlichen Server weiterleitet und aber halt sich in die Mitte setzt und dann darüber deine Credentials abfängt oder sonst was.
Na ja.
Andrej Friesen (21:22)
Ja, das ist ja auch der Nachverfond der verschlüsselten Traffic von den IoT-Geräten. Die sprechen ja mit ihren Cloud-Services meistens auch verschlüsselt. Und das heißt, du kannst gar nicht sehen, was die schicken. Das kann jetzt nur Telemetrie sein, wie... Ja, ich bin noch da, ich habe folgende Version, ich brauche bald ein Update, dies, das, jenes. Aber das kann halt auch mal, weiß nicht, die Karte deines blöden Hauses sein. Also wenn der...
Staube Roboter jetzt in der Kamera oder sowas hat. Gut und ja, muss man selber für sich entscheiden. Da gibt es keine pauschale Antwort. Aber für mich, ich würde sagen, mittlerweile sind Zertifikate so easy geworden durch Let's In Crypto Co. Kann man einfach machen. Und wenn man Let's In Crypto nicht vertraut, weil das jetzt Amis sind, kann man auch sagen, ja dann geht es so Zero Trust. Ich glaube, das ist die EU Alternative dafür. Ich meine, die kommen aus der EU. Ich weiß nicht wo.
Thomas Wiebe (22:15)
Ist das so? Es gibt auf jeden
Fall auch irgendwo einen...
Andrej Friesen (22:19)
Zero
Trust oder Zero Tier? Warte, wie hießen sie nochmal? Zero Tier, glaub ich.
Was ist das?
Mist. Ne, war das nicht. Wie heißt das nochmal? Let's Encrypt.
Hab ich auch schon mal benutzt, aber ich vergessen wie es heißt.
Zero SSL. So, das war's.
Thomas Wiebe (22:47)
Ist das der europäische? Es gibt nämlich nicht viele ACMI.
Andrej Friesen (22:54)
Dann ist er doch nicht europäisch.
Gibt noch ein aktales SSL, Italiener. Aber die nutzen halt alles gleich Protokoll, wenn man ein bisschen Konkurrenz suchen fertig ist.
Thomas Wiebe (22:57)
einen aktales genau ich glaube das sind genau
Ja, das ist gut.
Andrej Friesen (23:09)
Und
ist ja relativ einfach, von daher. Zudem finde ich Domains ein bisschen einfacher zu merken als IPs. Vor allem wenn wir im IPv6 Bereich sind. Dann wird das lächerlich irgendwann. Also das versuche ich jetzt gar nicht. Und ist einfach bequemer. was ich jetzt... Boah ja, boah, wie ist das... Vor allem haben dann fast alle Webapplikationen im E 8080 und dann stehst du da,
Thomas Wiebe (23:21)
Mhm.
Vor allem wenn du sonst noch Ports noch merken musst, weil die vielleicht alle direkt exposed werden.
Also
Andrej Friesen (23:39)
Ich hatte auch
für einige noch so ein richtiges wildes... Ich muss jedes Mal nachgucken.
Thomas Wiebe (23:45)
Ja, also ein paar Sachen, die habe ich auch nicht exposed über den Traffic, weil es vielleicht Sinn macht. So Syncfink zum Beispiel, das läuft irgendwie auf mehreren Systemen und dann läuft das da auf seinem Port irgendwie rum. Oder hier Backup-Lösungen, Kopier. Hat ja auch eine UI, auf die du dann per Web zugreifen kannst und das läuft nicht hinter einem Traffic. Das ist dann SSL-Geschütz, weil ich glaube die Dinger kommen wenigstens alle mit Self-Sign daher. Aber du musst halt auch...
Andrej Friesen (23:55)
Ja, ja.
Thomas Wiebe (24:14)
Allein schon das Merken geht mir so auf die... Also ich würde es allein schon aus... Auf die Noten. Genau, würde es allein schon aus Convenience-Gründen... Hätte ich gerne überall. TLS.
Andrej Friesen (24:18)
Nüsse.
Ja und ein anderer Faktor, der mir jetzt gerade durch meine Unifile Migration gekommen ist. Ich hätte gerne ein bisschen mehr DNS gehabt, durch die ganze IP-Geschichte ist man nicht ganz so flexibel, wenn man von einem Netzwerk ins andere ummigrieren möchte. Aber kommen wir gleich zu. Dann kann man nämlich einfach nur den Domain-DNS-Einteil anstatt die feste IP Und wenn man dann migriert, muss man halt dafür zwingen, entweder alles überall ändern und dann kommen wir gleich drauf.
Thomas Wiebe (24:41)
Mmh, ja.
Ahem.
Ein Faktor, der vielleicht noch relevant sein kann, wenn man nur HTTP spricht, ist einem das wahrscheinlich total egal, aber HTTP2 als Protokoll gibt es zwar eigentlich in verschlüsselt und unverschlüsselt, aber effektiv sprechen Browser nur dieser verschlüsselte Variante, also H2 und H2C. Und dementsprechend, du irgendwas über HTTP2 dem Browser
operieren möchtest, dann musst du halt verschlüsseln. Self-Sign ist dann okay, natürlich,
Andrej Friesen (25:28)
Frage
dazu, war da nicht auch Quick dabei, Protokoll?
Thomas Wiebe (25:35)
Quick war ein Precursor, ich. quasi Quick war eine... Jetzt muss ich mal nur gerade gucken. War Quick HTTP 2 oder 3?
Andrej Friesen (25:42)
Ich dachte das wäre HTTP 2.
Ah, das kann aus sein.
Thomas Wiebe (25:47)
Es war nach zwei, genau. Und dann ist das halt in drei reingeflossen. Ja, genau. Weil HTTP 2 läuft noch ganz normal über TCP, wenn ich mich nicht irre. Da ist leider mein Hirn nicht ganz up to date, so in dem Detail grad. Denn aus guter alter Hostingzeit weiß ich halt noch, da hat man halt sehr oft wirklich einfach HTTP 1.1 im Telnet gesprochen.
Andrej Friesen (25:49)
Okay, okay.
⁓ okay, ist nicht wichtig.
Ja.
Thomas Wiebe (26:14)
Wenn du Dinge testen willst, damals gab es, weiß ich ob es Curl schon gab, wahrscheinlich, aber ansonsten WeGate gab es, aber da hast du meistens einfach ein Telnet auf ein HTTP-Board gemacht und hast dann einfach losgeschrieben. Get irgendwas oder Het irgendwas oder sonst was, Host rein. So, das machst du nicht mehr, leider. Du könntest das zwar potenziell auch mit HTTPS auf HTTP 1.1 noch machen, weil du halt dann einfach, ich kann es halt nicht Telnet sprechen, Telnet.
Andrej Friesen (26:15)
Mhm.
Thomas Wiebe (26:43)
verschlüsselt halt nicht, aber du kannst ein OpenSSL S-Kline verwenden. Das geht auch, ist auch gut zu wissen tatsächlich. Mit dem OpenSSL Toolkit, eines der intuitivsten der Welt, kannst du auch TLS sprechen. Es gibt ja wirklich Tools, die sind eigentlich sehr, sehr geil. Die haben es halt nur nie geschafft, tolles Interface zu schaffen. geht es ein Paradebeispiel dafür?
Andrej Friesen (26:54)
KETZO!
Git!
Also die,
die... Da krieg ich wieder einen richtigen Rappel. Wenn ich Git minus H mache und dann kommt da diese... Entweder kriegst du die Manpage und dann denke ich, ne. Also die Manpage im Internet, glaub ich. Oder du kriegst diese ganz kurzen Abkürzungen, genauso wie bei Tar. Tar minus Help ist überhaupt nicht hilfreich. Da stehen einfach nur Buchstaben. Da steht nicht drin, was die Buchstaben machen. Genauso wie bei Git.
Thomas Wiebe (27:37)
⁓ Nee.
Andrej Friesen (27:40)
Git wird langsam besser, die haben ja jetzt auch neue Commandos eingeführt mit git switch und so anstatt checkout. Das macht jetzt von der Schrift, äh von der Nomenklatur ein bisschen mehr Sinn. Für Einsteiger.
Naja, verschlusset einfach.
Thomas Wiebe (27:58)
Genau. Also ich glaub damit haben wir so die wichtigen Dinge, die relevant sind.
Andrej Friesen (28:05)
Ein Thema noch, ist mir letztens aufgefallen.
Ich habe gerade etwas mit Bluetooth und dem Browser Und viele Sachen brauchen HTTPS. Gerade Browser-Funktialitäten. Ich wollte meinen ESP mit Bluetooth pairn mit dem Browser und dann was machen und bisschen rumgebastelt, bisschen gespielt. Winterzeit. Und da kommt es nicht drum herum. Du brauchst HTTPS. Und meistens auch sogar nicht Self-Sign.
Thomas Wiebe (28:29)
Ja, okay. Das heißt...
Der Browser gibt also gewisse Funktionalitäten gar nicht erst frei, wenn du nicht HTTPS sprichst. ⁓ okay.
Andrej Friesen (28:40)
Ich glaube, Kamera, Mikrofon, geht das gleiche.
Thomas Wiebe (28:43)
Jaja, ich bin darüber
gestolpert, aber ich hab's nicht verifiziert tatsächlich.
Andrej Friesen (28:48)
Achso,
ich hab's diese Woche durch Zufall gemacht. Und was auch nicht geht, ist, wenn du eine Software nutzt wie, sagen wir mal, N8N, die mit Webhooks arbeitet. ein Webhook braucht halt eine Callback-URL und die muss eigentlich immer verschlüsselt sein. Bei ganz vielen Diensten. Oder wenn du mit GitHub irgendwas bastelst, du machst dir einen Webhook, ich weiß es nicht, irgendwas deploit oder so auf dem Server.
Thomas Wiebe (28:50)
Okay.
Mhm.
Andrej Friesen (29:18)
Bei einem Commit... kommst nicht HDDPS drumherum.
Thomas Wiebe (29:23)
Das sind ja dann schon eventuell auch Fremdsysteme oder Systeme, irgendwo außen sind. Da kann es dann auch schon wieder relevant sein. Jedes Mal, wenn du self-signed verwendest, musst du halt irgendwo den Haken setzen. Ignoriere jegliche Art von Zertifikatsprüfung. Also diesen insecure Modus. Und wenn da vielleicht auch mal sensible Daten drin sind, dann bist du halt blind. Die Systeme haben alle ihr Hirn ausgeschaltet und schicken raus.
Andrej Friesen (29:37)
Ja.
Thomas Wiebe (29:52)
So, darauf musst du dich dann einlassen. Genau. Also egal, wer der Empfänger ist an der Stelle, und ob sich da mal jemand oder was falsch geroutet wird, also geroutet im Sinne von vielleicht eine HTTP-Route ist irgendwie falsch. Ich meine, in dem Fall, hatten ja vorhin gesprochen von Traffic und wie das in Docker integriert wird, oder beim letzten Mal auch, also diese Art von Service Discovery über die Labels. Nehmen wir mal an, du hast also jetzt irgendwo
Andrej Friesen (29:54)
verschlüsselt, aber halt nicht verifiziert verschlüsselt.
Thomas Wiebe (30:21)
Dein docker so halbwegs offen dass man da container auch neue starten kann dann kann es natürlich auch potenziell neuen container starten mit einem gewissen label dran was den traffic für irgendein host abgreift und dann kommt der traffic vielleicht woanders an als er eigentlich ankommen sollte alles alles angriffsszenarien die wahrscheinlich für die meisten leute zu hause keine rolle spielen somit kann man das durchaus gerne entspannt betrachten aber ich finde die konvinien anders die die sicherheit
die heutzutage relevant ist oder die State of the Art ist, die ist halt nicht mehr schwer zu erreichen. Das war mal anders. Deswegen sehe ich jetzt gerade für mich persönlich und für die meisten Anwendungsfälle keinen Grund es nicht zu tun, alleine schon, nicht die nervigen Browser Next Screens zu haben, die total berechtigt sind. Und in jedem Fall total nerven.
Andrej Friesen (30:56)
Das ist richtig. Das ist richtig.
Ja.
Aber es gibt auch ein bisschen nerviges Verhalten von Browsern. Wenn ich mal auf HTTP möchte und du bist mal aus Versehen hast du mal HTTP erst eingetippt. Meine Güte, dann kannst du Chrome so oft neu starten wie du willst. Der sagt, nee gibt's nicht. Doch, ich will aber HTTP, ich will 80, nicht 443. Nee, ich war aber schon mal auf 443, du kommst nicht mehr auf 80.
Thomas Wiebe (31:26)
Ja.
Ja, das ist super nervig.
Andrej Friesen (31:39)
Lass mich doof sein, ich
möchte doof sein, lass mich das machen.
Thomas Wiebe (31:42)
Also entweder halt hart deinen Cash flaschen oder den Networkinspector aktivieren und da auf Disable Cash gehen. Dann kriegst es hin. Und dann hat er das auch wieder danach vergessen, was er sich da mal gemerkt hat.
Andrej Friesen (31:44)
Ja.
Ja.
Aber wie oft ich da schon reingefallen bin und
dann denkst es funktioniert, weil die Seite halbwegs lädt. Das Frontend zumindest so und dann, cool, jetzt kann ich ja interagieren. Nö. Das ist einfach fürchterlich. Ich bin froh, dass die davon zurückgerudert sind, dass die Domains mittlerweile, die wollten ja eine Zeit lang Domains nicht anzeigen in Chrome. Ne anders, die wollten nur die Domain anzeigen und nicht den Pfad.
Thomas Wiebe (32:21)
Ja, das machen manche Browser auch wirklich per Default. Ich schalte das gerne aus. geht... Nee. Ja, es sieht sauberer aus. meine, wer ist da mal ein typischer Kandidat? Natürlich Apple, klar. Die machen das im Safari-Standard-mäßig. Steht da nur die Domain drin. Und klar, wenn du dann in das Feld reingehst, dann zeigt der dir das komplett an. Aber mich irritiert das. Ich muss einfach den Fad sehen.
Andrej Friesen (32:27)
Ne, geht nicht.
Thomas Wiebe (32:50)
Technische Brille ist halt immer auf.
Andrej Friesen (32:53)
Ja, machen wir einen Haken dran, wa?
Thomas Wiebe (32:56)
Jawoll ja. Ich hatte noch ein Update. Kleines Follow-Up zum Thema Intel-AMT. Ich glaube, ich hatte es angekündigt, dass ich das nochmal machen wollte. Zum einen das Thema mit, da ist da nur ein schwarzer Screen, wenn man auf die Remote-Desktop-Funktion geht. da gibt es dann halt so Komponenten, so kleine Pinöpel, die man sich in HDMI-Port stecken kann. Terminatoren oder Ghostplugs oder wie auch immer sie heißen.
die einfach nichts weiter machen als dem Rechner vor gaukeln, da hängt ein Monitor dran. Und wie wir jetzt wissen, wenn wir diesen hochwertigen chinesischen Artikeln, dass die Bildqualität auch grandios ist und super stabil. Genau. Es funktioniert. das war das zwar zu erwarten, aber ja, es funktioniert. Das heißt, wenn... Ja. Genau. Und ich hätte auch noch ein paar andere Erkenntnisse, weil ich ein paar Sachen...
Andrej Friesen (33:45)
Das heißt, seitdem hast du keinen Blackscreen mehr die ganze Zeit, sondern läuft.
Thomas Wiebe (33:54)
so semi richtig gesagt beim letzten mal oder unvollständig wir hatten das thema user consent und dass man so ein
Andrej Friesen (33:59)
Achso mit
diesem komischen Screen, dass er klicken muss, damit das überhaupt erlaubt ist. ja.
Thomas Wiebe (34:03)
Er muss einen Code eingeben.
Er sieht einen Code und muss dir den Code durchgeben, damit du den eingebst und dann den Zugriff hast. Und dann sagt dich noch so, den kann man aber auch online einfach remote deaktivieren. du kannst den Consent ausschalten. Remote. hm. Ist auch so. Aber das wiederum ist in diesem Management Engine konfigurierbar tatsächlich. Also sowohl der Default für den User-Consent ist er an...
Also ist er nur an für Remote Desktop, ist er an für alles Remote oder ist er aus? Das kannst du einstellen und du kannst auch einstellen, ob das ein Remote Admin umkonfigurieren darf. Und es gibt nach wie vor auch das User Management, wo wahrscheinlich auch noch ein bisschen was zu machen ist. Also sowas wie der doch Chef Admin, der darf das, aber der Praktikant nicht. da geht ein bisschen was. und zu guter Letzt, das ist zwar noch ein bisschen
Andrej Friesen (34:51)
Support albumen aber nicht.
Thomas Wiebe (35:01)
voreilig, aber wollte ich schon mal erwähnen, hatten auch das Thema, dass die sich dieselbe IP teilt, also das...
Andrej Friesen (35:09)
das Remote Interface und der Server selbst.
Thomas Wiebe (35:12)
Ja, genau. Und dann hatte ich, glaube ich, auch berichtet, dass wenn du dann den Server runterfährst, erst mal das Betriebssystem läuft, das Betriebssystem macht IP-Adressmanagement, du fährst den Server runter und eine Zeit lang ist dann die IP weg und zack kommt sie auf einmal wieder, obwohl die Kiste ausgeschaltet ist. Das sind genau die Effekte, die ich hatte. Da lässt sich auch was konfigurieren. Es gibt zwei Netzwerk-Modi, shared und dedicated. Bei dedicated kannst du auch da erst mal explizit sagen, DHCP oder statisch. Das habe ich noch nicht getestet mit statisch.
Doch, habe ich wohl getestet mit Statisch? Immediate Korrektur. Es funktioniert auf jeden Fall anders. Du hast immer noch, ich meine, hast dieselbe MAC-Adresse. Das Betriebssystem kriegt dann zum Beispiel die IP-Adresse vom DHCP, Kannst du auch mit dem Betriebssystem Statisch konfigurieren, auch möglich. Und dann dein AMT kriegt dann die andere, die du konfiguriert hast. da das wohl dieselbe MAC ist, das muss ich nochmal prüfen.
Andrej Friesen (35:45)
funktioniert das.
Thomas Wiebe (36:11)
Ich meine, hätte dieselbe Mac da gesehen. Kannst du natürlich nur einen der beiden Hosts per DACP konfigurieren lassen, sonst würden beide wieder dieselbe IP kriegen und das ist Sinn der Sache. So, ich nutze das momentan so. Kann aber noch nicht so richtig viel dazu sagen, ob damit die Stabilitätsprobleme, die ich beobachtet habe, komplett weg sind.
Andrej Friesen (36:18)
Ja klar.
Stabilität
im Sinne welches, was du jetzt kriegst, Remote oder Server.
Thomas Wiebe (36:35)
Naja, oder zumindest, wenn ich mich drauf connecte, hatte ich manchmal den Effekt, dass einfach nichts passiert ist. Es kam einfach nur ein Timeout. Und das war aber... Also... Ich hab da kein Schema festgestellt. Mal war das so, mal nicht. Das war also eine etwas unzuverlässige Geschichte. Und ich test das gerade mit mehreren dieser Think Centers und mal gucken, wie sich das so ergibt. Vielleicht sind ja dann die AMT-Stabilitätsprobleme auch ein bisschen im Griff. Schön wär's.
weil nützlich ist es allemal.
Andrej Friesen (37:08)
Das stimmt. Und ein bisschen günstiger als eine KVM. Egal welche man sich holt.
Thomas Wiebe (37:12)
Ich bin nach wie vor, also ich brauchte wieder den PyKWM für einen neuen Rechner, installiert wird und ich bin einfach gerade auch noch mal mit der aktuellen Software auf der Kiste. Das wirklich genial, Teil. Die Möglichkeit da USB-Devices und alles ran zu hängen, schnell mal eben was zu installieren. In der neuen Software-Version reagiert auch diese Bildschirmemulation einfach schneller. Das heißt, ich kriege schneller zum Beispiel wieder Bild nach einem Auflösungswechsel und so.
Andrej Friesen (37:28)
Hm.
Mhm.
Thomas Wiebe (37:41)
Tastatureingaben funktionieren gut. im Grunde sich durch einen Installer zu, also so ein Textinstaller, zum Beispiel Proxmox, durchzuhängeln mit der Tastatur, das fühlt sich richtig snappy an. Also ja, natürlich nicht SSH-Niveau snappy, aber also vorher hatte der deutlich mehr Delay dahinter. Gerade wenn es ⁓ weiß ich nicht, du navigierst vielleicht durch eine Liste und hältst einfach die nach unten Taste oder sowas. Das kannst du echt machen. Das funktioniert erstaunlich gut.
Andrej Friesen (37:55)
Ja gut. Aber es ist auch Grafik, die Tanzbrille.
Ich habe auch schon ein paar Mal Ubuntu Desktop installiert damit. Geht. Geht voll klar. Kann man nicht dran meckern.
Thomas Wiebe (38:15)
Mhm.
Als du Proxmox installiert hast, du das mit dem grafischen Installer gemacht oder dem Textinstaller. Weißt du das noch?
Andrej Friesen (38:30)
Jetzt das letzte Mal wo ich das EMMC und BIOS Flash gedebakel hatte, war das über den Monitor direkt und über das GUI. Gibt es da einen Text? Also ich hab gar nicht großartig geguckt. Ist der schneller? Kannste den Config-File rein drücken?
Thomas Wiebe (38:40)
Ja, genau. Wenn das Ding bootet.
nichts gesehen zu dem Thema. Also ist jetzt nicht so ein Headless Installer.
Andrej Friesen (38:52)
Das wäre natürlich geil, weil ich muss das ja 11 mal machen.
Thomas Wiebe (38:56)
Stimmt, mit den Odwides, ja. Ich meine, manche Betriebssysteme
haben sowas ja zumindest, Und, ähm, also manche Distribution und somit, äh, würde ich mal vermuten.
Andrej Friesen (39:04)
Der Debian ist ja da
drunter theoretisch, aber ob ich dann an die... naja, mal gucken.
Thomas Wiebe (39:08)
Ja, genau. Okay, guter Punkt. Sehr schön.
Andrej Friesen (39:13)
Ja das Thema
kommt aber erst noch, wenn ich den 3D Druck erstmal fertig hab und hab ja noch Zeit. Ich muss ja noch klären. Ich möchte das Cluster ja mitnehmen zu dem Event, was wir organisiert haben am 21.02. und da möchte ich erstmal wissen, wie denn da so die Internet und IP-Gegegenschaften sind, weil wenn ich mir jetzt da ein Netzwerk aufbaue mit 10 so und so und die haben auch 10, dann darf ich das alles nochmal von vorne machen, weil das sonst Konflikt hätte.
Thomas Wiebe (39:42)
Ja, stimmt. Ja, guter Punkt. Selbst wenn du das schon sagst, alles klar, ich spanne mein eigenes Netzsegment auf, ja, darf halt nicht Konflikten, ne? Ach so.
Andrej Friesen (39:50)
Ja, und wenn dann die
Fritz, ich nehme jetzt eine alte Fritz einfach mit als Router dafür, dann dachte ich so, ja bringt mir alles nichts, gut ich könnte die RCP an der Fritz machen und dann einfach die IP da ändern, aber dann habe ich halt random IPs wieder fürs Cluster und dann muss ich erstmal abwarten, ich kläre das nächste Woche. Hoffentlich.
Thomas Wiebe (40:11)
Okay, ähm, wo wollte ich hinaus? Achso, genau. Das bunte UI für die Installation. Da hatte ich zumindest mit der alten Version von dem KVM, von der Software, hatte ich das Problem, dass unten so ein Stück fehlte. Das war geil, weil wirklich bei... Ja, genau, das war der Apply-Button und bei jeder Seite.
Andrej Friesen (40:29)
Das ist Play Button.
Awww.
Thomas Wiebe (40:36)
Du musstest dann immer auf das letzte Feld gehen und ich glaube zweimal Tapp drücken und dann Space. Das hat man natürlich rausgefunden. Das war auch nicht auf den ersten Versuch. Das heißt irgendwann so vier Zack vorherige Seite. Ach so, das war es dann wohl nicht. Dann Tapp Tapp Space. Bis auf eine Seite glaube ich, dann war es glaube ich Tapp Tapp Tapp Space.
Andrej Friesen (40:58)
Geil, sowas ist immer genial.
Thomas Wiebe (41:00)
Ja, da war ich froh, dass ich, als ich das nochmal installieren musste, Gründen, dachte ich mir, was ist denn hier dieses Textding? habe das mal so anklicken und ja, ist ein, ja ja, genau, ist einfach ein Kursus und dementsprechend einfach zu bedienen.
Andrej Friesen (41:08)
Ist das einfach ein ncurses-Interface dann? Okay.
bisschen Pfeiltasten oder JK und dann Enter
Thomas Wiebe (41:22)
Gute Nacht!
So, ich markiere mal. Ich glaube, das Thema ist nämlich durch. Soll ich mal monitoring oder willst du erstmal? Ja, Alles klar. Ja, das geteaserte, angeteaserte Thema monitoring. Das ist lustig. Also, wenn man jetzt aus der IT kommt, dann hat man so eine professionelle Brille auf und
Andrej Friesen (41:27)
Intel AMT ist durch.
Ja? Wie du meinst?
Thomas Wiebe (41:51)
Monitoring ist halt im professionellen Umfeld natürlich absolut essentiell, aber auch nicht unbedingt ein leichtes Thema. Und es gibt viele Lösungen, die kennt man dann auch alle. Ich pauschalisier das jetzt einfach mal so. Man kennt ein Prometheus, also können ja nachher mal so in die Details eingehen, was so für was geeignet ist. Aber sagen wir mal, es gibt ein Prometheus, das ist schon was Neumodischeres, kommt aus der Cloudwelt. Es gibt ein... wie ist das Ding?
Andrej Friesen (41:59)
Nee, gar nicht.
Checker im Kack!
Thomas Wiebe (42:19)
ja, das habe ich auch mal gehört, Gesundheit. Zabbix gibt es da. Kein Gesundheit, das ist nämlich wirklich eigentlich ein tolles Stück Software, muss ich sagen. Ich kenne Leute, die wählen Unternehmen danach aus, ob es da einen Zabbix gibt.
Andrej Friesen (42:20)
topics.
What? Okay, obwohl ne, versteh ich, versteh ich.
Thomas Wiebe (42:35)
Ich sollte aus
Leute kein Plural machen. Lieber Gruß geht raus an Marcel, falls du uns hören solltest. Ähm, nein, äh genau, Zafix ist toll. Ähm, es gibt... Aisinga oder Nagios, das sind so die älteren...
Andrej Friesen (42:50)
Izinga, ja
stimmt, die alten Nagios hatte ich auch noch mal gesehen, ja.
Thomas Wiebe (42:53)
Ja, das ist schon wirklich bisschen altbacken. Klar modernisiert, aber jetzt nicht auf dem Niveau von einem Zabbix. Zabbix ist wirklich enterprise-grade, wenn man so möchte. Und die anderen sind so Einstiegslösungen. So hat alles seine kleine Nische, man so möchte. Kleine oder große.
Andrej Friesen (42:58)
Ja, kommt nicht ganz dran.
Ich würde aber viel größer, ich würde eine ganz andere Kategorie einteilen machen. Ich würde sagen es gibt Monitoring, gibt Logging und es gibt Tracing Tools. Manchmal mischen die sich. Monitoring im Sinne von CPU Lasts, Disk, wie viele Diskkasten noch, dies das, solche Werte. Logs. Logs. Falls das nicht obviel ist. Und Tracing halt.
Thomas Wiebe (43:17)
Ja, können wir auch sagen. Okay.
Andrej Friesen (43:35)
Ja, Informationen, das ist schwierig, das kannst du nur im Endeffekt machen, wenn du quasi die Applikationen besitzt, also die auch entwickelst, dann kannst du halt Tracing machen, da kannst du das mit Metriken und so füttern und das dann korrelieren. Schwierig im Self-hosting Bereich, würde ich mal behaupten, wenn überhaupt machbar. Aber wenn du jetzt irgendwie eine Third-Party-Applikation kriegst, da Tracing-Informationen rauszukriegen, ist schon...
Thomas Wiebe (44:02)
Lass uns noch einen Schritt zurückgehen. sagen wir einfach mal, es gibt verschiedene Arten von Monitoring als Überbegriff. gibt halt, also per Definition Google war das, Site Reliability Engineering. Es gibt Blackbox und es gibt Whitebox Monitoring. Also Blackbox ist das, man checkt, ob etwas funktioniert. Von außen. Man weiß nicht, was im Inneren vorgeht. Deswegen Blackbox.
Andrej Friesen (44:16)
Das richtig.
Das kann ja auch Literinier-Software sein, die nicht obendrauf ist, wo du nichts nachgucken kannst.
Thomas Wiebe (44:33)
Genau.
du kannst einfach nur von aussehen, guck mal das Ding hat eine Webseite, also kann ich mich da drauf verbinden und wenn alles funktioniert steht zum Beispiel unten ein Impressum Link.
Andrej Friesen (44:44)
Ja
genau, ja kenn ich leider auch.
Thomas Wiebe (44:47)
Im einfachsten Fall ist es das. Ja,
und wenn es nicht kaputt geht, dann ist er weg. Okay, zum Beispiel. Also Blackbox checkt, ob etwas funktioniert und Whitebox checkt im Grunde, warum es nicht funktioniert. Oder nicht checkt, aber Whitebox sagt dir, warum es nicht funktioniert. Und Whitebox ist halt genau das, was du meintest. So was wie Tracing. Wo du vielleicht Api-Calls...
in microservices untereinander irgendwie korrelieren kannst, sehen kannst, ist da einer fehlgeschlagen, weil microservices ja oft so, da kommt halt ein Call irgendwo rein und der multipliziert sich auf magische Art und Weise, weil halt einfach viele Systeme miteinander reden müssen und dann hast du auf einmal aus einem ApiCall vielleicht nachher 200, wäre jetzt denkbar tatsächlich. Nicht der einfache Use Case, aber denkbar. Und dann willst du natürlich wissen, warum ist der ApiCall denn jetzt fehlgeschlagen oder
Warum ist jeder 100. Apikol, dauert er nicht 100 Millisekunden, sondern 2 Sekunden? Da brauchst du Tracing für.
Ja, so ein Logging ist so ein Mittelding eigentlich. Also eigentlich ist Logging auch, ja eigentlich ist es klar, Whitebox, weil du, weil es Informationen bereitstellt, die aus der Applikation herauskommen und nicht die nur von, aber du brauchst halt immer noch den Admin-Zugriff, so zu sehen. Deswegen kann man das durchaus sagen, Whitebox.
Andrej Friesen (46:16)
Ich jetzt auf Blackbox sein.
kann man in der Applikationskonferenz oder Beispiel in der Log Server konfigurieren.
Thomas Wiebe (46:26)
Ja, aber das ist genauso wie mit Metriken. Also klar, wenn die Applikation dir einen Metrix Endpoint anbietet, kannst du den anzapfen. Aber der Inhalt, also was da an Informationen fließt, würde ich sagen, ist Whitebox, weil es kommt aus der Applikation heraus. Du erfährst darüber interner aus der Applikation. Genau, und dann dementsprechend Blackbox.
Andrej Friesen (46:27)
Aber das Herzbildding ist egal, wir kriegen Loks.
Okay, das macht Sinn. Verstehe. Ja. Gute Unterscheidung.
Thomas Wiebe (46:50)
Ziemlich stupide von außen drauf gucken, Whitebox, da sind wir aber genau bei den Themen, die du genannt hattest. Ich checke Funktionalitäten, checke Metriken, Log-Nachrichten, Tracing vielleicht sogar. Genau, das kannst du damit alles machen. Und im professionellen Umfeld hat man damit halt auch Kontakt. Genau.
Andrej Friesen (47:08)
Und viel zu tun.
Also wirklich viel. Wir haben ein ganzes Team, das nichts anderes macht gefühlt.
Thomas Wiebe (47:16)
Die ganze Architektur erst mal definieren, natürlich mit den anderen Teams reden, sicherstellen, dass sie ihre Daten auf eine gewisse Art und Weise irgendwie bereitstellen, damit die da und da landen. Wenn die da und da gelandet sind, werden sie nochmal aufbereitet, werden sie lokal bereitgestellt, aber auch zusätzlich noch irgendwo zentral geschippt, damit man da auch nochmal so einen globalen Überblick kriegt. Der ist aber vielleicht nicht in demselben Umfang, also nicht alle Metriken und alle Informationen wandern weiter und und und.
dann ist das ein bisschen, glaube ich, wie mit dem Schuster. Zu Hause hab ich da keinen Bock drauf. Das ist zu viel Arbeit. Deswegen würde ich sagen, einfach ist King bei so was. Also so zu Hause, wie gesagt. Weil... Also was war meine Ausgangssituation bis vor wenigen Wochen? Ich hab ein Zabbix laufen, tatsächlich, als Single. Wie heißt das Ding? Zabbix, wenn du das anschaust und du möchtest das betreiben, dann...
Andrej Friesen (47:51)
Hahaha
Thomas Wiebe (48:15)
kannst du das in Docker machen und die haben verschiedene Konstellationen, die können verschiedene Datenbanken sprechen, die können MySQL, die können ich glaube Postgres was und dann kriegst du schon eine spezialisierte Containerversion, die MySQL sprechen kann oder Postgres sprechen kann, das heißt da hast du schon eine Auswahl, dann gibt es ein SubX-Proxy, dann gibt es ein SubX-Agent, Agent läuft auf dem gemonitorten System, also nicht so relevant, Proxy kannst du verwenden wie so ein
Wenn du mehrere Netzsegmente hast zum Beispiel und dann steckst du ein Proxy in jedes Netzsegment, der sammelt dann schon mal ein und schickt das dann gezielt weiter. Kann helfen, aber auch da wieder zu Hause, Overkill. Genau, das kannst du alles machen und dann gab es irgendwie so eine simple Container-Instanz, wo du alles in einem Image hast, alles das was du brauchst.
Andrej Friesen (49:04)
Träumchen für zu Hause.
Thomas Wiebe (49:06)
Ja,
habe ich benutzt, Zeit lang, für exakt ein Use-Case. SNMP-Metriken von meiner Mikrotik-Netzwerkrahmen abgreifen und dann in Grafana auslesen, weil Grafana Visualisierungstool hat dann auch eine Data Source für Zerbix. Das lief und lief und lief. Jetzt habe ich mal gesehen, das Image ist jetzt sechs Jahre alt, weil das wurde irgendwann einfach nicht mehr aktualisiert.
Andrej Friesen (49:14)
Hm, das ist ein gut Kumpel.
Ich dachte nicht du hast es nicht akzeptiert sondern die. Verdammt.
Thomas Wiebe (49:36)
die
genau mein prozess läuft aber hätte ja okay ist nicht schlimm weil da lief ja nichts drin aber das war auch das einzige was im sub-ex ist ist auch immer noch da wird demnächst einfach mal umgezogen auf irgendwas anderes genau dann habe ich noch Prometheus laufen damit sammel ich fleißig Metriken von verschiedenen Systemen überall Notexporter also Prometheus funktioniert ein bisschen anders das ist so
Andrej Friesen (49:39)
Na nicht ganz, ihr hättet es schon kontrollieren
Thomas Wiebe (50:06)
Metriken basiertes monitoring Du verlässt dich eigen also eigentlich ist whitebox du verlässt dich darauf dass Applikationen interne Informationen bereitstellen Es gibt zusätzlich auch einen black box exporter also Prometheus arbeitet mit exporter statt agent sozusagen das heißt exporter stellen einfach nur Metriken bereit die kannst du auch Einfach abrufen die laufen üblicherweise auf einem slash metrics endpoint gehste drauf web browser oder köl und dann siehst du dann
Andrej Friesen (50:34)
kann so häufig bei super
vielen Applikationen einfach einschalten. Also ganz viele mittlerweile kommen einfach mit, hey soll ich den Prometheus Endpoint aktivieren, dann mach ich so einen Haken dran und dann hast du halt einen Slash Matrix und dann kriegt er die Daten.
Thomas Wiebe (50:40)
Hm?
Genau. Es hat sich sogar ein Standard draus gebildet, mein ich. Open-Metrics. Dementsprechend ist also dieser Matrix, dieses Format ist spezifiziert mittlerweile, ist offen. damit... Und das ist schön, es ist auch human readable. Also du kannst dir das Ding wirklich anzeigen lassen und du siehst einfach den aktuellen Stand der Metriken. Immer ein Snapshot.
Andrej Friesen (51:10)
Ja, es ist im Endeffekt ein Key-Value mit ein paar Labels dran.
Thomas Wiebe (51:13)
Ja. Und Prometheus geht dann einfach hin. Du musst Prometheus im Normalfall sagen, das und das und das sind deine Ziele. Also nennt sich Scraping. Du sagst, ruf da mal Informationen ab. Und dann macht er das regelmäßig. Konfigurierbarer Intervall, sagen wir mal zehn Sekunden, 30, 60, irgendwas in dem Bereich. Speichert dann die Werte, die er da abgeholt hat, bei sich lokal ab in seiner Time Series Database. Dann kannst du darauf Regeln definieren.
Diese Regeln können dann zum Beispiel einen Alarm auslösen, via so einem separaten Tool, Alert Manager. Ist gebaut für Cloud-Anwendungsfälle, also wo du halt im Grunde viele, genau. hier, Ansatz, das ist kein Pet, sondern es ist Cattle, also quasi ist es kein Haustier, sondern das ist Vieh. Ja, genau. Das heißt, funktioniert irgendeine Note gerade nicht, dann wird die einfach abgeschossen.
Andrej Friesen (51:52)
Spiel.
Thomas Wiebe (52:10)
Dann wird die weggeworfen und dann kommt eine neue. Da findet keine Liebe statt. Das kein Tamagotchi. Das musst du nicht am Leben halten. So funktioniert Prometheus im Grunde. Darauf ist es auch ausgelegt. Das heißt, du schreibst alles definiert als Code. Gewisse Dinge können dynamisch sein. Zum Beispiel diese Scrape-Targets. Die kannst du dann...
Andrej Friesen (52:19)
Da mag auch nichts gut, ja.
Thomas Wiebe (52:38)
abrufen lassen entweder kann es aus einer datei lesen lassen aber du kannst ja auch per htp irgendwo abrufen lassen oder irgendeine art von service discovery wo nach gewissen kriterien einfach am ende in der liste an ip port kombinationen für für prometheus rausfallen kann man machen habe ich auch zu hause laufen für ein paar services ist ok funktioniert auch es gibt so eine webseite irgendwo wo es so eine so eine so eine prometheus rule set gibt so als
Beispiel Da sind nämlich wirklich sehr viele Regeln drin und wenn man die alle aktiv lässt dann wird es auch so ein bisschen noisy gerne mal Aber genau kann man machen Das lief auch bei mir jahrelang aber damit War ich im Grunde schon zu weit box wenn man so möchte also quasi ich habe mir halt Metriken angeschaut von system aber ich habe nicht angeschaut ob die systeme funktionieren und das
Andrej Friesen (53:34)
Ja und ich sehe das Problem auch mit Prometheus gerade im Homebereich. Du hast halt nur Metriken. Du noch langs keinen Dashboard, hast keine Alertings, du musst dir das alles selber schreiben. Das ist verdammt viel Arbeit. Habe ich gar keinen Bock drauf. Ich möchte... Und dann machst du es häufig erst im Nachhinein. Also wenn was kaputt ist, dann guckst du nach. Das ist okay. Aber häufig möchtest du es ja auch vorher wissen.
Thomas Wiebe (53:59)
Mhm. Und so absurd das auch klingt.
Andrej Friesen (54:00)
Und da finde ich es dann,
gibt es dann auch bessere Tools, die dir halt viel mehr automatisch mitbringen. Also ich bin kein Fan von riesen, den Stack, den wir auf Arbeit nutzen und an anderen auch draußen zu nutzen. ist verdammt viel Arbeit.
Thomas Wiebe (54:15)
Ja, glaube, ich weiß, du nutzt ja was ganz anderes. Lass uns das gleich auch mal kurz beleuchten. Ganz kurz, aber genau dieser Part, nämlich dieses, ich hab jetzt so, ich hab super viele Daten, aber ich hab null Schirme, ob mein Kram funktioniert. Läuft der Shit? Keine Ahnung. Das wird sich, das zeigt sich immer wieder durch das Scream testen, ob der Shit läuft. Ja, und das ist doof, das ist genau.
Andrej Friesen (54:22)
Mmh.
Ja.
Wobei ich was gerade sagen wollte. Das schreit wer im Haus. Entweder du oder lieber
anders.
Thomas Wiebe (54:45)
Zu hause genauso doof wie mit deinen Kunden Du musst derjenige sein der weiß dass irgendwas nicht funktioniert und nicht deine user sonst Entwickelt sich halt dieses Miss nicht misstrauen sondern es fehlt das vertrauen in deine admin künste oder in deine also dein smart home hängt ja maßgeblich am Whatever acceptance vector ne family acceptance vector nennen wir es mal so ganz neutral
Andrej Friesen (55:13)
Significant Other.
Thomas Wiebe (55:15)
Ja, ich
dachte jetzt, komm, bringen wir auch noch vielleicht die Kids oder so mit rein. Ich hab kürzlich... Das war so geil. Ähm, was die Freak Show? War's Ralf? Ich glaube, es war die Freak Show und es war Ralf, der jetzt in der 300. Folge sowas sagte wie... Moment, krieg ich's auf die Kette. Alexa... oder Siri, whatever, ist die Technik, die meinen Kindern jegliches Vertrauen in Technologie entzogen haben.
Andrej Friesen (55:17)
Ja, ja, ja, einfach.
Weil es nicht vernünftig funktioniert. Ja.
Thomas Wiebe (55:43)
Ja,
es ist so gut. Ich lag lachend auf dem Boden, glaube ich. Weil it's funny because it's true. Wenn man wirklich nur mit solchen Technologien aufwächst, dann wie soll man da Vertrauen in Technologien schöpfen?
Andrej Friesen (56:01)
Ja, sowas Simples kann ich voll nachvollziehen, weil bei uns ist halt der Google Home Speaker same same but different, ne? Und das Ding geht mir so auf die Nüsse, wenn das nicht mal blöde Alben abspielen kann. Das ist nur für Mucke da und wieso kriegt es das nicht hin?
Thomas Wiebe (56:06)
Mhm.
Ich nicht ob chatgbt und co da gerade besser sind, die lügen dich halt einfach an. Weißt du, die wissen tendenziell eher was du willst.
Andrej Friesen (56:25)
Klar, ich spiele den Song und spiele den ganz
anderen. Das ist herrlich,
Thomas Wiebe (56:29)
Ach Träumchen, also
vielleicht nicht die beste Zeit, mit Technologie aufzuwachsen. Eventuell. Ja, wo waren wir? Genau, wir wollten einfach nur... Genau, die Family muss sich so ein bisschen... Du willst, dass die Leute sich darauf verlassen können, damit sie eben auch die Technologie embracen. Gott, Anglizismen.
Andrej Friesen (56:38)
Puzzerrand.
Family Acceptance.
Ich finde
bei Sprache oder generell sowas, bestimmte Anwendungsfälle, die müssen zu 100 % funktionieren, sonst nutzt du es nicht, weil es super frustrierend ist. Und das gilt auch für Smart Home in meinen Augen.
Thomas Wiebe (57:06)
Ja, Schnickel.
Andrej Friesen (57:07)
Weil du es halt
auch total gewohnt bist, wenn du ein Licht drückst, geht das an. Wenn du jetzt da rumfruchtest und das geht nicht an, ist das doof. Und dann wird nur noch meckert, warum muss da Smart gemacht werden? Dann gibt es keine Argumente, keine guten, für die Smart Home Geschichte. Genau das gleiche geht natürlich für alle möglichen Self-Reset Sachen. Wenn du jetzt sagst, hey, lass uns dieses Note-Hits zu nehmen, lass uns, weiß nicht, dich so das machen.
Thomas Wiebe (57:24)
Mhm.
Andrej Friesen (57:34)
Und das funktioniert nicht immer im Gegensatz zu den großen. Ja, das hat was falsch gemacht. Und da ist jetzt Thomas mit seinem Monitoring dabei.
Thomas Wiebe (57:42)
Ja, genau. Und du hast ja einen anderen Ansatz. Wir waren gerade bei Prometheus. Ich nehme mal an, du denkst an Netdata.
Andrej Friesen (57:50)
Ja, die denken nie daran, das ist das Geile.
Also ich nutze Netardar, so ein Agent, den installiere ich einfach auf ein System und der schiebt dann alle möglichen Daten rüber, gibt es dann Netdata Cloud, ist ein Cloudtour kostenfrei, zumindest in der Basic Version. Und was ich daran jetzt toll finde ist, die haben diese ganzen Dashboards, die haben die ganzen Metriken.
Und die liegen halt auch auf den Servern, das wird jetzt nicht zu denen gesendet, die speichern nichts. Das einzige was die machen, die bereitstellen mit der Cloud ist so ein Interface, welches die Daten von deinen Servern darstellen kann, aber nicht nur darstellen, sondern die haben ganz viele Basic Alerts schon drin. Und einige davon sind sowas wie eine Platte 80 % voll oder ich weiß nicht genau wo aber irgendwo voll oder hohe CPU-Last ganz lange. Da kannst du mal gucken, ist irgendwas nicht in Ordnung oder läuft gerade ein Scrap oder so oder Netzwerk down.
Diese ganzen Dinge, die musste ich gar nicht konfigurieren, die waren automatisch dabei. Einige sind ein bisschen nervig, aber ich lebe damit. Ich würde die gerne ausschalten und dann muss ich was im Monat bezahlen, habe ich keinen Bock drauf. Das funktioniert super. ich habe dadurch schon häufiger Dinge, wurde ich halt alertet, bevor überhaupt was richtig kaputt gegangen ist. BDFS Eros hatte ich mal in dem Raid, dann musste ich das mal fixen. Wann? Wann alt ist D? Wann?
Thomas Wiebe (59:12)
Mhm.
Andrej Friesen (59:19)
waren alte Eros von alten Platten, die noch in diesem Raid drin waren. Oder mal in dem Raid drin waren und WTFS löst die einfach nicht, muss die selber resetten. So, solche Sachen. Ja, oder der gibt mir auch ne Alert, wenn zum Beispiel von Unattended Upgrades wurden Pakete installiert oder upgedated und dann gibt der den Alert, hey, das System muss neu gestartet werden. Ich hab das jetzt so konfiguriert, dass Unattended Upgrades das sowieso macht für mich, den Neustart jeden Morgen 7 Uhr oder so.
Thomas Wiebe (59:27)
Mhm. Das hatte ich auch schon mal, ja.
Andrej Friesen (59:48)
Dann kommt dann auch ein Resolved. Ist fertig. Ist ganz nett. Aber das gibt dir halt eine Erinnerung, dass du das System neu starten musst, weil du nicht auf dem Laptop Körder oder Systemd, Networkd, was auch immer, nicht geladen worden bist. Das geht nicht.
Thomas Wiebe (1:00:04)
Für mich ist Netdata wie bei Autos diese ganzen neuen Sensoren. Dieser Blindsport, dieses Presense oder wie auch immer, wo du dann irgendjemand bremst, das Ding geht in die Eisen. Du willst es eigentlich ausschalten, weil es kann teilweise richtig nerven, aber dann hat es dir schon wieder mal die Eier gerettet und dann denkst dir, vielleicht las ich es doch an.
Andrej Friesen (1:00:16)
Ja, gute Vergleich.
Ja.
Ich find's gut.
Thomas Wiebe (1:00:28)
Hier so ist das
für mich so ein bisschen, muss ich sagen. Weil das Ding kann wirklich nerven, ne? manchmal hat's aber einen Grund. Genau wie du sagtest, so was wie der... dieser Error-Counter von BTRFS. Ich hab das auch Jahre... also Jahre lang vielleicht nicht, aber Monate lang, poppte immer wieder ein Error auf. Und ich dachte mir, hä? Meine Platte ist vielleicht nicht in einem guten Zustand. Irgendwas steht hier raus. Ja, der Counter wurde einfach nie resettet. Es waren nicht neue Fehler. Ich hätte sie einfach nur mal resetten müssen. Und diese Fehler sind bei meinem Server...
Andrej Friesen (1:00:31)
Dig... Ja.
Thomas Wiebe (1:00:56)
Die treten halt hin und wieder mal auf, der zu viele Eier hat oder so. Dann scheint irgendwas am Motherboard nicht so richtig gut zu funktionieren. Muss man neu. Muss man neu. Das müssen wir mal aufmachen.
Andrej Friesen (1:01:02)
Ich glaube du hast irgendwann Hardware-Error, auf jeden Fall. Ja, aber das ist halt die ganz andere Philosophie
und da wünschte ich mir, gäbe es vielleicht ein Tool, was halt nur zu Hause hochauspeist. Also, ist mir jetzt ganz bekannt bisher, aber auch nicht viel recherchiert, weil Netata hat ein Problem für mich gelöst, ohne dass ich jetzt eine Million Dashboards, die und die Query-Language lernen muss. Also ich meine, Influx und so kann ich ja alles, aber das ist trotzdem Arbeit.
Thomas Wiebe (1:01:27)
Mhm.
Andrej Friesen (1:01:28)
Und dann hast du ja erstmal nur Dashboards gebastelt, da musst du ja noch ne Alert schreiben. Für die Arbeit auf jeden Fall, machbar. Muss du auch machen, da hast du ja einen bestimmten Use-Case, bestimmte Szenarien. Weil zum Beispiel bei Disks auf Prozent zu alerten ist mittlerweile echt nicht so cool, wenn du halt 14TB hast. Da sind halt 10 % immer noch 1,4TB. Das ist halt voll viel. Dann musst du dir überlegen, wie machst du das denn dann? Dann gibt's dann so Fokker-Space-Write-Operation-Alert-Thing, wo du sagst...
Thomas Wiebe (1:01:45)
Ui ja...
Ja.
Andrej Friesen (1:01:58)
Okay, in den letzten drei Stunden wurden 800 Megabyte geschrieben. Wenn ich das extra poliere für die nächsten 24 Stunden ist die Platte in dann und dann voll. Dann wird es auch schon wieder so, muss das jetzt für zu Hause?
Thomas Wiebe (1:02:13)
Und da musst du auch gucken, was ist denn der Vorkast, weil wenn der Vorkast, sagen wir mal, auf die letzten 20 GB oder so guckt oder die letzten 10 Minuten, dann schlägt er halt fehl oder schlägt er Alarm, obwohl es eigentlich gar keinen Grund dafür gibt. Und das ist genau der Part mit dem Prometheus Ruleset, was ich meinte. Da gibt es schon was Fertiges. Frag mich jetzt gerade nicht mehr, wie das war. Ich guck mal, ob ich es nachher finde. glaube, da kannst du da auch irgendwie draufklicken und sagen, ja, die und die Sachen grob hätte ich gerne. Da ist aber sowas drin, nur ohne Vorkastgedöns. Und dann kriegst du halt...
Andrej Friesen (1:02:20)
Das war nur ein Backup.
Ja.
Ich möchte Link.
Ach, das krieg ich gar nicht.
Thomas Wiebe (1:02:42)
20 Prozent erreicht, kriegst du einen Fehler. Ja, aber 20 Prozent sind halt an der Stelle vielleicht auch noch vier Terabyte oder so. Hm, okay.
Andrej Friesen (1:02:51)
Das möchte ich aber wissen, es so ein Roosthead gibt, so ein starrer Ding. Den kenne ich noch gar nicht.
Thomas Wiebe (1:02:53)
Ja, ich suche es nachher mal
raus. Kannst du da irgendwas in die Liste reinpacken, so als Platzhalter, damit ich dran denke? Okay, so, Netdata ist interessant, gebe ich zu, geht aber ja am Ende sehr stark in die Richtung Prometheus. Es ist im Grunde ein Whitebox-Modul. Du kannst da irgendwelche Metriken rein und ja, es definiert automatisch Alerts, das ist gut, aber sagt dir immer noch nicht, ob deine Webseite läuft oder, ne, also ob der Home Assistant läuft, der Node-Red im Home Assistant läuft, der App-Deam läuft, ob...
Andrej Friesen (1:02:57)
Ja, mach ich.
Yes.
Thomas Wiebe (1:03:24)
Weiß ich nicht, dein Mini Flux läuft oder was auch immer. Und das ist der Part, den habe ich für mich jetzt endlich mal gelöst, nach langer, langer, langer Zeit, mit einer super einfachen Lösung. Die ist momentan auch relativ hip, möchte ich mal sagen. Also man trifft es an verschiedenen Stellen an. Und ich glaube, du könntest das in einer, sagen wir mal, in der originalen Version sogar schon kennen. Ich meine, du hast mir irgendwann mal erzählt, seit vor Jahren, vielen Jahren so.
6 plus oder so dass du bei dir irgendwas mit abt im robot überwachen lässt Jetzt gibt es halt abt im kuma Und abt im kuma ist nichts weiter als eine open source variante ohne abt im robot selber benutzt zu haben von dem was ich gesehen habe ist das wahrscheinlich mehr oder weniger einfach ein open source klon von ⁓
Andrej Friesen (1:03:59)
⁓ ja.
Ja ich meine, was machen die? Die pingen Sachen und machen grün. Hast du einen grünen oder einen roten Balken? So viele Unterschiede kannst du nicht machen.
Thomas Wiebe (1:04:19)
Genau. Ich kann...
Ich kann gar nicht überbetonen, wie toll es doch überhaupt erstmal ist, dieses Grün zu haben. Denn wenn du auf das Zabix-Interface gehst, ist es genau andersrum. Es gibt nicht alles Grün, es gibt nur Gelbe und Rot. So, das ist einfach mal von der Psychologie ist das ein toller Effekt, wenn du einfach siehst, guck mal, es ist alles Grün und...
Andrej Friesen (1:04:35)
Lerne!
andere Sichtweise.
Thomas Wiebe (1:04:46)
Das sind vielleicht sogar noch Zahlen daneben, so was wie 100 % oder in den letzten 24 Stunden oder 99%. Und ja, auf die Art und Weise tickt jetzt Abdae... Also was ist Abdae im Kuma? Es ist eine Monitoring-Lösung? Rein Black... Ja, ich wollte gerade sagen, rein Blackbox. Ich glaube, der... Das ist... Ja, genau, Request ist ja Blackbox. Also Request ist ja von außen betrachtet... Ich pinge etwas an, ich gehe auf eine Webseite und gucke, ob sie irgendwas zurückliefert. Was das Ding aber auch kann, es hat nämlich verschiedene...
Andrej Friesen (1:05:02)
Ja stimmt nicht, ihr könnt auch Request machen. Bestimmte.
Thomas Wiebe (1:05:16)
Monitortypen. kannst dir auch zum Beispiel kannst du auf ein MQTT connecten oder auf ein Redis oder ein Rabbit MQ oder ein Kafka und da was ausführen. Ich würde trotzdem sagen es ist tendenziell Blackbox, weil du machst das immer ⁓ zu gucken du machst irgendeinen Check zum Beispiel auch ich connecte mich auf ein MQTT und dann gibt es ihm ein Topic rein
Und das Topic muss einen gewissen Wert haben. In einer gewissen Zeit muss da ein Wert reingekommen sein, entweder retained oder nicht. Also entweder frisch oder retained. Das heißt, du erwartest immer noch ein Outcome, ganz konkret. Also es ist eher so, du checkst eine Funktion und nicht du rufst einfach wild irgendwelche interne Metriken ab und speicherst die mal lokal. Also du hast am Ende bei ApptimeKuma, du kannst Gruppen definieren, sagst du dann, keine Ahnung, zum Beispiel HomeLab oder Smart Home als Gruppe.
Andrej Friesen (1:05:58)
Mhm.
Thomas Wiebe (1:06:12)
Dann gehst du hin und sagst, ich füge einen Monitor hinzu, vom Typen zum Beispiel HTTP oder HTTPS, so im einfachsten Fall. Kannst aber auch TCP Port sagen, kannst Ping sagen, SMTP, da wird sein Protokoll spezifisch, nicht agnostisch. Kannst DNS machen, so Namensauflösung testen, all sowas. Und dann legst du einfach mal einen Check an. So hat es jetzt, sagen wir mal grob bei mir angefangen. Ich habe da mal einen Check angelegt.
auf Home Assistant. Also meine Home Assistant Domain wird aufgerufen und es wird einfach einen standardmäßigen Status Code erwartet, irgendwas im 200er Bereich. Wenn da was zurückkommt mit diesem Status Code, dann ist alles gut. Zusätzlich gibt es noch einen Haken, dass du bei Zertifikats
Andrej Friesen (1:06:43)
Mhm.
Thomas Wiebe (1:07:03)
Alles auf Englisch. Expiry? Ja danke, dass du da benachrichtigt wirst, damit du halt, damit du das im Blick hast. Sollte kein Ding sein, dein Let's Encrypt Gedüns, aktualisiert ja die Zertifikate sowieso regelmäßig, aber es ist halt nur ein Häkchen, das du einfach setzt, so kannst du das zusätzlich auch noch machen. Du kannst auch da TLS und SSL in insecure Mode setzen und sagen, ich ignoriere alle Zertifikatsissues auch. Fine.
Andrej Friesen (1:07:08)
Auslauf
Thomas Wiebe (1:07:33)
So, dann sagst du einfach vielleicht noch so was wie, wenn es zu einem Fehlerfall kommt, also alle 60 Sekunden wird zum Beispiel gecheckt und wenn es zu einem Fehlerfall kommt, bevor du irgendwas rausschickst, probierst noch zweimal oder dreimal oder fünfmal. Das kannst du alles einstellen. Aber es ist simpel. Es ist super simpel und das ist auf mehreren Ebenen simpel. Will heißen, da gibt es halt auch keine wiederverwendbaren Strukturen.
Andrej Friesen (1:07:45)
Hm.
Thomas Wiebe (1:08:00)
Das ist eigentlich üblich, dass du sowas... Nehmen wir jetzt mal Zappix als Beispiel. Du arbeitest mit Templates, die du immer wieder anwenden kannst, weil du vielleicht viele Systeme hast, die immer wieder dasselbe erfüllen. Also bei einem Zappix könnte es zum Beispiel sagen, ich provisioniere einen neuen Host und dieser neue Host ist auch eher hostfokussiert tatsächlich, Zappix. Dann provozierst du einen neuen Host und sagst, okay, da läuft zum Beispiel, ich weiß, läuft ein Web-Server drauf, ich weiß, da läuft vielleicht auch noch ein SMTP-Server drauf und ein DNS-Server.
Dann hast du Templates für alle diese einzelnen Gruppen an Funktionen. Für Web, für SMTP, für DNS. Und die sagst du dann einfach, die wendest du an. So vereinfacht gesagt. Und dadurch ist sehr vieles Don't Repeat Yourself, wenn man so möchte. Also du definierst das einmal irgendwo zentral nach deinem Wünschen und dann wendest du es nur noch an. Das hast du hier nicht. Absolut gar nicht. Das heißt, alles, was du definierst, ist erstmal
Andrej Friesen (1:08:33)
Mmh.
Mhm.
Thomas Wiebe (1:08:57)
Die vollständige konfigurierbare Einheit, da kannst du nichts wiederverwendbares reinpacken und am Ende fällt ein Alert raus. Es ist super einfach. Das hat bei mir dazu geführt, dass ich innerhalb von zwei Tagen... Wo sind wir jetzt? Wo muss ich klicken, damit ich das sehe? 76 Checks definiert habe.
Andrej Friesen (1:09:16)
Das weiß ich nicht.
Oha, so viel Service hast du laufen.
Thomas Wiebe (1:09:26)
Ja, ich habe da halt auch so Dinge drin wie Infrastruktur im Home Lab, also quasi alle DNS Resolver, die ich bei mir lokal betreibe, die werden einmal mit DNS gecheckt. Gewisse Hosts werden mit PING gecheckt. Die Access Points zum Beispiel werden mit PING gecheckt. Momentan nur nicht gut, weil PING sagt jetzt nichts über die Funktionalität aus. Aber es ist schon mal besser als nichts.
Dann habe ich diverse Webchecks auf jede der Docker-Applikationen, ich definiert habe. Das ist alles händisch gedengelt. Du kannst klonen. Immerhin, kannst klonen. Und das ist ein Eintrag. Du kannst auch Tags verwenden zum Beispiel, wo du sagen kannst, okay, das ist jetzt zum Beispiel Infrastruktur als Tag und HomeLab oder zum Beispiel auch hast du vielleicht auch so ein VPS, dann kannst du das. Kannst taggen, kannst gruppieren, das geht alles. Aber dann nur klonen. Willst du einen Tag anwenden auf 30 bestehende Einträge, so wie ich das gemacht habe?
Andrej Friesen (1:10:03)
Ja.
Thomas Wiebe (1:10:24)
Dann klickst du jetzt halt erstmal die nächsten vier Minuten. Das ist so. Also... kannst es halt einfach haben oder du kannst Komplex haben. Komplex kann aber auch gut natürlich sein. Komplex kann sein wie... Du kannst Hierarchien definieren. Du kannst sagen, ok, wenn mein Router down ist, dann melde das bitte, weil mein Internet down ist, aber dann brauchst du die ganzen VPS im Internet, brauchst du nicht checken. Also brauchst du mir nicht noch alerten. Es wird eh alles rot sein.
Andrej Friesen (1:10:27)
Ja gut, aber kommt nicht drum
dann darf das Ding aber nicht in deinem Netz stehen.
Ach so, ja.
Thomas Wiebe (1:10:54)
haste hier nicht.
Du hast einen Alarmsturm, wenn dein Internet ausfällt und du Dinge im Internet checkst. Das ist dann einfach so.
Andrej Friesen (1:11:01)
Haste
heute regeln wir sich durch deinen tollen Wittentheraum-Bieter.
Thomas Wiebe (1:11:04)
kannst Main... Ja, genau, Aber ich hab auch automatisch einen Fritzbox Reboot zweimal die Woche wegen hier Kapazitat...
Andrej Friesen (1:11:13)
Magnetfelderzeugung durch Capacitors. Kondensatoren.
Thomas Wiebe (1:11:14)
Ich komme mir manchmal bisschen deppert vor, weil ich hier immer Anglizismen reinwerfe.
Ja, Kondensatoren, genau. Nochmal zu den Anglizismen. Wir arbeiten im englischen Umfeld. Sorry, das ist einfach... Wir reden halt den ganzen Tag nur Englisch. Das ist manchmal echt schwer, IT-Begriffe oder sonst welche Begriffe auf Deutsch zu finden. Klingt... Wir sind nicht so duschberg, wie wir klingen vielleicht. Oder ich zumindest. Hoffe ich.
Andrej Friesen (1:11:23)
Wir sprechen auch nur Englisch.
Ein
Kollege von mir hat mal gesagt... Wie war das nochmal? Der meinte... Hallo, ich bin Andre und ich war ein Jahr in Australien. so, nach dem Motto, so Backpack. Jetzt kann man nur noch Englisch und so ein Blödsinn. Das Blöde ist, dass hier in Fengtai... Also bei mir zumindest... Es denkt halt mittlerweile auch in Englisch. Das ist... Das ist leider so. Manchmal sogar träumen. Das ist ein bisschen freaky.
Thomas Wiebe (1:11:55)
Mhm.
Ja,
ich wollte es gerade sagen, das ist wirklich skurril, wenn du anfängst eine andere Sprache zu treiben. ja, wenn du halt acht, neun, zehn Stunden am Tag mit deinen Kollegen auf Englisch redest, dann passiert das leider.
Andrej Friesen (1:12:10)
Oder was Mark letztens
zu mir meinte, der ist eigentlich Engländer, aber spricht sehr, sehr gutes Deutsch von so Firma und er meinte, hey mein Deutsch ist besser als dein, sei vorsichtig.
Thomas Wiebe (1:12:21)
Und auch da wieder. It's funny because it's true. Okay, also wir waren beim Kondensator, damit der hier seine Entlade Geschichte hat und das Kabelmodem noch sauber funktioniert, wird das zweimal die Woche neu gestartet. Das heißt, du kannst Maintenance Windows definieren und musst dann da definieren, auf welche Gruppen betrifft das. Du könntest also tatsächlich sagen, wenn die Fritzbox down geht,
Dann kannst du gerne immer noch dein Home Lab überwachen, aber überwach bitte nichts, was im Internet steht.
Andrej Friesen (1:12:52)
Hat er so Regeln gesetzt, dass du dann das... ⁓ freaky.
Thomas Wiebe (1:12:55)
Du
kannst auch recurring maintenance windows machen. es ist einfach wo der läuft.
Andrej Friesen (1:13:00)
Wo läuft der bei dir?
Wenn der Netzwerk läuft, bringt der keine Alert-Wars, wenn der Fritzbox down ist. Das ist ja dieses Thema. Wenn du Monitoring hast, brauchst du auch Meta-Monitoring, das Monitoring zu monitoren. Dann wirst du wieder crazy.
Thomas Wiebe (1:13:09)
Absolut. Jaja.
Ja ja ja ja, irgendwo.
Deswegen einfach. ist, also es hat schon diverse Ausfälle bei mir gemeldet. Unter anderem so Dinge wie, ich starte meinen Server, es läuft auf einem meiner, es läuft auf meinem dicksten Server zu Hause sozusagen. kein, nicht so ein thinn, klein, mini PC gedöhnt, sondern so ein normaler, Genau, die alte E7-Kiste, genau. Der Opa, läuft auf dem Opa. Was? Ich glaub, das gibt einen neuen Namen. Okay.
Andrej Friesen (1:13:36)
Dein alter E7.
Neuer
Halsniveau.
Thomas Wiebe (1:13:46)
Bis er verjüngt wird. also es läuft auf dem Oper. Ja, genau. So, und da überwacht er halt alles. Und wenn er was alerten möchte, dann läuft das bei mir jetzt aktuell über Push-Over. Hat halt mehrere Mechanismen, wie das halt so oft ist. Du kannst auch mehrere definieren. Du kannst sogar in Home Assistant alerten.
Andrej Friesen (1:13:49)
Der Opa ist ein Toter irgendwann, ne?
Thomas Wiebe (1:14:11)
Hab ich noch nicht angeschaut, ob das vielleicht so bisschen das Problem lösen könnte, wenn man offline ist. Aber Home Assistant Alert selber, Notifications selber laufen ja leider auch noch über die Cloud. Ist das bei Android eigentlich auch so? Laufen die nur über die Cloud?
Andrej Friesen (1:14:27)
Über Google Firebase,
Thomas Wiebe (1:14:29)
Okay. Also es fehlt noch an einem... Ich kenne kein Alerting-System, was rein im lokalen Netz funktioniert, es sei denn du brauchst dir vielleicht irgendwie eine interne Mail-Domäne auf oder sowas. Eventuell das, aber ansonsten fällt mir da leider nichts ein. Webhooks gehen auch. Also man hat viel Komplexität. Ich frage mich was KEEP in der Liste macht, ehrlich gesagt. Ob ihr dir dann irgendwie in eine Notiz was reinschreiben kann oder so. Eventuell.
Andrej Friesen (1:14:58)
Hey, worum geht's gerade? Ich bin gerade lost. Was für ein Keep.
Thomas Wiebe (1:15:01)
Ich nehme an Google Keep, aber ich habe keine Ahnung. Nee, nee, sorry. Einfach draufklicken hilft. Keep HQ Def. Keine Ahnung, was das ist. Klicke ich jetzt mal nicht drauf. Nee, also es kann verschiedene alerting Mechanismen und ich habe momentan Push Over aktiviert.
Andrej Friesen (1:15:03)
Ach so.
Thomas Wiebe (1:15:20)
So. Und das letzte hatte ich zum Beispiel den Fall, ich hab meine Oper neu gestartet und dann danach alle Container immer mal durch Geforce updated und einer lief aus irgendwelchen Gründen danach nicht. Also der Container lief, aber das war der Cybex Container, deswegen hab ich mir den auch nochmal angeschaut und er war aber nicht aufrufbar. Noch ein Force Update hat dann, also Force Update heißt so viel wie Docker Compose ab Force recreate.
Andrej Friesen (1:15:36)
...
Mhm, ja.
Thomas Wiebe (1:15:48)
Nach dem war es dann okay. Das ist aufgefallen, weil AbtimeKuma den halt gemeldet hat. Wenn du einmal deinen Server rebootest, und das dauert ein paar Minuten, also mehr als die Retries, du definiert hast, dann kriegst du es halt durchaus mit, dass du ihn rebootest, aber du kriegst es halt auch mit, dass irgendwie ein Alert nachher übrig bleibt. Also eigentlich...
Andrej Friesen (1:16:10)
Hm.
Thomas Wiebe (1:16:11)
Ich bin total happy. ist nicht happy, das ist nicht die perfekte Lösung, aber es ist die Lösung, wo ich es wirklich mal geschafft habe. Alles was zu Hause läuft innerhalb von wenigen Tagen spontan einfach mal rein zu hämmern, weil die Motivation da war, weil alles schön grün war vielleicht. Es gibt eine Statuspage auch. Du kannst dir Statuspages selber, also mehrere, beliebig viele, kannst du dir erstellen.
Und da habe ich mir zum Beispiel eine erstellt, die heißt Internet. Der Hintergedanke war, vielleicht kann ich das ja mal der Familie an die Hand geben, weil da steht dann so was drin wie Internetverbindung. Ist die gerade? Besteht die? Da stehen, da sind diverse öffentliche Webseiten einfach mal gemonitert, wo ich weiß, zum Beispiel da nutzen Leute Streaming-Angebote hier im Haus. Ist natürlich schwierig, wenn du sowas wie ARD.de an...
unsurfs, dann heißt das ja lange nicht, dass die Mediathek auch funktioniert.
Andrej Friesen (1:17:11)
Wollte
ich gerade sagen, das ist ja eventuell eine komplett andere Applikation.
Thomas Wiebe (1:17:14)
Ja,
aber besser als nichts würde ich sagen. gibt ja schon mal so ein... Also wenn alles rot ist, aber auch die Internetverbindung rot ist, weißt du zumindest schon mal, guck mal das Internet ist down. Wenn aber so join.de rot ist oder apple.de, dann weißt du zumindest schon mal... eigentlich funktioniert die Hälfte des ganzen Systems noch, aber der ein Zendizel könnte sein. Das wird wahrscheinlich auch fast so aussehen, als wenn deine Internetverbindung down wäre, ne?
Andrej Friesen (1:17:32)
Entweder nur Cloudflare oder Microsoft.
Ja, leider schon.
Thomas Wiebe (1:17:41)
Das habe ich also quasi Internetverbindung, öffentliche Webseiten gibt es so Sektionen und dann habe ich noch Infrastruktur zu Hause und öffentliche Infrastruktur. Also sowas wie den DNS von Google mal ange DNS und ange pingt. Google.de, Heise.de alles mal so ein bisschen ange pingt als Infrastruktur. Das ist dann eher für mich muss ich sagen. Wenn ich dann drauf gucke, dann weiß ich auch schneller was da wohl dauernd sein könnte.
Jetzt kommen wir zu einem anderen spannenden Part, wie kriege ich denn jetzt sowas wie Internet verbunden? Weil das ist ja eigentlich bisschen weniger Blackbox, wenn man so möchte.
Andrej Friesen (1:18:21)
Wenn du die Info von der Fritz oder rauskriegst, oder was auch immer du hast, kannst du ja...
Thomas Wiebe (1:18:26)
Da hilft mir
Home Assistant. Und jetzt würde ich als erstes mal sagen, auf professioneller Ebene würde ich mir jetzt die Hände über den Kopf zusammenschlagen, weil ich verlasse mich auf Informationen, die von einem Fremdsystem über ein anderes Fremdsystem ausgelesen und gesammelt werden und irgendwo bereitgestellt werden. Über ein weiteres Fremdsystem MQTT, da komm mal gleich zu. Das heißt, bist so, der Check ist nicht nah genug an dem eigentlichen Ding, was du checkst. Da sind so viele Schritte dazwischen, dass du am Ende sagen würdest, ja...
Andrej Friesen (1:18:45)
Das ist eine Kette.
Thomas Wiebe (1:18:55)
Der Monitoring Alert, ich weiß ja am Ende nicht, was ist kaputt. Ist es der MQTT? Ist es der Home Assistant? Ist es die Internetverbindung? Für zu Hause reicht's. Also, für zu Hause habe ich...
Andrej Friesen (1:19:04)
Für zu
Hause ist das Ergebnis wichtig, du musst dann nachher fixen. Auf der Arbeit ist wichtig für denjenigen, der erläutert wird, dass der halt das System anguckt, weil ich es kaputt ist. Aber wir müssen ja sowieso alles machen.
Thomas Wiebe (1:19:08)
Ja.
Und
im nachts im ideal fall dann auch noch so mit halbschlafenden augen erst mal ein gefühl dafür kriegt wo muss ich denn eigentlich gucken da ist natürlich Ja Also monitoring frameworks wie prometheus zum beispiel gehen ja sogar dahin standardmäßig ist eben der der ansatz die pullen metriken also der server meldet sich bei allen bekannten clients mit diesem scraping und holt informationen ab
Andrej Friesen (1:19:23)
Ja und nicht erstmal die Schippe rausholen und buddeln, das ist immer so ätzend.
Thomas Wiebe (1:19:44)
Die Alternative waren sie, dass wer pusht, Clients können auch pushen, gibt es auch. Es gibt auch diesen Agent Mode in Prometheus, wo du das machen kannst. Das sollte man halt so einsetzen, dass du im Grunde im Idealfall einen Prometheus hast, der mit sehr einfachem Netzwerk verbunden ist mit den Zielsystemen und da direkt pullen kann, da möglichst viele Faktoren ausschließen zu können. Also nicht irgendwie übers Internet quer und dann noch durch zwei Firewalls, sondern dann hinter den zwei Firewalls im Internet. Da läuft der Agent.
Andrej Friesen (1:20:13)
Mmh.
Thomas Wiebe (1:20:14)
Der scrapet alles lokal und pusht dann die Metriken an den globalen. Dann hast du den Informationsgehalt der Metriken ist einfach deutlich höher. Der Wert. So, das habe ich jetzt zu Hause nicht. Ist fein, weil ich will jetzt nicht einen eigenen... Was haben wir da? Fritzbox verwendet hier auch intern anscheinend dieses TR-064 oder so.
Andrej Friesen (1:20:35)
... dieses Protokoll,
wovor es die Provider benutzen, die zu konfigurieren.
Thomas Wiebe (1:20:39)
Ja, das will ich jetzt. Ich will mir da jetzt keinen Monitoring Check für selber bauen. Ich habe das halt integriert in die die Fritzbox in Fritzbox in Home Assistant und dann musste ich es aber aus Home Assistant rauskriegen. Also ich brauchte einen Sensor Status diese Internetverbindung connected. Das muss irgendwie aus dem Home Assistant raus. Ich habe es jetzt mal gemacht mit dem MQTT State Stream mit der Integration. Da kannst du quasi den Status und die Änderungen vom Status von Entities
Andrej Friesen (1:20:43)
Mh.
Thomas Wiebe (1:21:09)
in MQTT reinpushen.
Andrej Friesen (1:21:11)
Und den schickst du dann nach Abseimkummer oder der liest das?
Thomas Wiebe (1:21:14)
Abtemkuma liest von MQTT. Du kannst dem sagen... Ja, genau.
Andrej Friesen (1:21:17)
⁓ der subscribt also einfach den Topic. Mega, das wusste ich gar nicht. Also ich hab mir
mal so ein Uptime-Kummer geklickt in meinem Home Assistant, zu gucken wie das aussieht und so. Ja genau, ist einfach super easy zu installieren. Hab aber damit nicht viel gemacht, weil ich hab halt schon Uptime-Robot und das ist halt im Internet.
Thomas Wiebe (1:21:37)
Wofür verwendest du das?
Andrej Friesen (1:21:40)
Die wichtigen Sachen für mich ist das Home Assistant, wobei ich gerade sehe, dass... Also für meine Website und einmal für Home Assistant, weil mein Home Assistant war eigentlich immer online bisher. Aber ich verstehe gerade auch nicht, warum der sagt, dass der online ist, weil das funktioniert seit dieser Woche nicht mehr, seit meiner Uniform-Stellung. Und das muss ich gerade mal noch mal dran heute am Mittag.
Thomas Wiebe (1:22:01)
Ist das ein Webcheck einfach? So auf die UL und... Okay.
Andrej Friesen (1:22:05)
Das es oder?
Ja, also das wird, aber genau, dafür meine Websites. Und das war es ja mit dem Effekt auch schon. Fünf Seiten habe ich doch.
Thomas Wiebe (1:22:19)
Mhm. Okay.
Andrej Friesen (1:22:20)
Ich habe auch
nicht so oft Internetprobleme wie du, ich sagen.
Thomas Wiebe (1:22:23)
Ja, soll
solche glücklichen Menschen geben. Ja, okay. Also Abdaim Guma kann ich jetzt erstmal wärmstens empfehlen. Das ist eine relativ einfache Geschichte, ist schnell aufgesetzt, Datenbank ist, ich glaube SQLite. Bei Default kannst du natürlich auch was anderes reinpacken. Ich meine, das ist ein Node oder geschrieben oder TypeScript oder irgendwie sowas. Und es sieht toll aus. Also wirklich das Grüne. Ja.
Andrej Friesen (1:22:26)
Ja.
Ja, ja, das ist es.
Schwarz mit grün Balken.
Thomas Wiebe (1:22:49)
Und grün, wenn alles gut ist natürlich. Das hilft schon. Es hat Einschränkungen natürlich. Du guckst dir zum Beispiel einen Eintrag an und du kriegst einen Grafen dazu. Dieser Graf besagt dir über die letzten... Was haben wir hier? Standardmäßig...
Ich sehe jetzt hier gerade was von 10 Minuten. Ich habe irgendwo auch schon mal 20 Minuten, Stunde oder so gesehen. Kriegst du immer so grüne Balken. Das hängt wahrscheinlich vom Checkintervall ab. Ich glaube, einfach eine gewisse Menge an Checks speichert der. So und dann siehst du darüber halt grün, grün, grün, gelb, grün, grün. So die Ecke. Du siehst ein bisschen was aus der Vergangenheit. Du hast eine gewisse Statistik. Du hast auch einen Average Ping zum Beispiel oder einen Current Ping.
Uptime, ah ja, in Werten siehst du auch sogar ein bisschen was mehr. Uptime über 24 Stunden 100%, Uptime über 30 Tagen 100%, Uptime über ein Jahr 100%. Und da hört's auf. Da gibt's noch einen Graphen, der noch etwas detaillierter ist, mit den Ping-Response-Times zum Beispiel oder Web-Response-Times. Ist jetzt aber nicht so, als wenn du den... Den kannst du jetzt nicht unbedingt vergleichen mit einem Graphen, den du dir in Grafana selber gebaut hast, auf Basis von Prometheus-Metriken. Das ist halt... Genau. Das Tool ist...
Andrej Friesen (1:23:57)
Ja mein Gott, das sind aber auch ganz andere Ansprüche dann.
Thomas Wiebe (1:24:03)
Ganz klar auf einfach ausgelegt.
Andrej Friesen (1:24:05)
Und eine Sache möchte ich anwerfen. Nur wenn man einen Dashboard in Grafana gebaut hat, heißt es noch lange nicht, dass das richtig ist. Wie oft ich schon einen Dashboard hatte, das macht voll keinen Sinn. Dann guckt man sich die Query an, dann guckt man sich, entweder hat man Einheiten vertüdelt, passiert ja mal schnell, oder man hat den Graf in einer Relation. Du siehst halt einen totalen Anstieg, aber die Skala
Thomas Wiebe (1:24:08)
Ja.
Andrej Friesen (1:24:34)
Ist das auf einmal auf Kilobytes gewesen oder so? Und eigentlich geht es die Omega-Bytes und dann denkst du, boah, da ist was passiert. Dann skalierst du die Grafik mal schnell und ich sag, ja das war gar nichts. Das war nix.
Thomas Wiebe (1:24:37)
Ja.
kommt durch diese dynamische
Skalierung, die du auch fixieren kannst, wenn du möchtest. Du kannst jetzt sagen, wir reden hier von 0 bis 100 Mbit. So, das ist der fixe Wertebereich. Wenn du es nicht tust, dann wird er vielleicht dynamisch, weil in den letzten 24 Stunden immer nur zwischen 80 und 81 gewechselt ist. Siehst du halt, 18, mach min 80, max 81. Und dann sieht das wirklich aus wie ein Riesenschritt. Ist aber nicht.
Andrej Friesen (1:24:52)
Ja.
Ja und das ist halt
auch Statistik, ne? Und ne, wenn man halt ordentlich was machen möchte, dann muss man ein bisschen auch Statistik können, in meinen Augen ein bisschen mal drüber nachdenken, was teilt man durch was, halt einen vernünftigen Wert zu bekommen. Macht das überhaupt Sinn? Und dann gibt's dann auch das andere Problem, hast du zu viele Grafen, die gar nichts aussagen und deswegen find ich das, find die Abtime-Kummer oder in meinem Fall Abtime-Robot einfach da. Daumen hoch, Daumen runter, Der Rest muss fixen. Muss es sowieso.
Also ich glaube du würdest mehr Zeit daran verbringen diese ganzen Graphen und diese Systeme aufzusetzen als... Du würdest mehr Zeit verbringen daran, dieses ganze Setup, als an der Fixzeit, wenn du durch Abteilung Kuma einen Erläut bekommst. In deinem ganzen Leben. Vielleicht übertrieben aber okay.
Thomas Wiebe (1:25:53)
Und das schöne ist
es gibt dir so einen inneren Frieden weil du plötzlich mit sehr wenig aufwand Einfach genau weiß alles läuft also der schritt läuft es hängt natürlich an den checks aber du hast einfach dieses nicht mehr dieses frau Warum ist eigentlich das und das jetzt gerade warum funktioniert das nicht und vor allem manchmal passiert das ja nicht sofort manchmal passiert das ja auch irgendwie nach ein zwei tagen so und
Dann lief das also schon eine gewisse Zeit nicht, gewisse Frustration hat sich vielleicht schon aufgebaut. Also ich finde, ganz tolle Sache. Vielleicht noch ganz kurz, weil ich glaube sonst ist das Thema haben wir es durch, aber ich würde noch mal kurz reinpacken, weil ich bei meinem Home Assistant ja auch noch Automatisierung mit Node-Write und AppDaemon fahre.
die ich zwar größtenteils schon in Home Assistant migriert habe, aber für etwas komplexere Sachen kommt man halt mit Home Assistant manchmal nicht so richtig so weit. Dann lohnt sich vielleicht ein App-Demon. Ganz in Code zu schreiben ist dann deutlich einfacher. Was habe ich dafür gemacht? Also klar, du kannst den Home Assistant per Web aufrufen. Schwieriger wird es jetzt App-Demon oder Node-RED, weil die hängen halt hinter einer Authentifikation. Da müsstest du da im Update im Kuma schon irgendwie das Authentifizieren beibringen.
Ich nicht, wie einfach das ist. Ich habe es jetzt mal andersrum gemacht. Das Ding unterstützt auch Heartbeats. Du sagst, habe jetzt hier einen Check vom Typen Heartbeat und ich erwarte, ich innerhalb von 60 Sekunden einen Heartbeat empfangen habe und wenn der nicht da ist, dann betrachte ich das halt als fehlgeschlagen. Dann kannst du auch da dasselbe wie bei aktiven Checks sagen. Zwei Retries zum Beispiel, das heißt nach drei Minuten würde der alert.
müssen werden. Und dann habe ich sowohl in Home Assistant als auch in Node-RED als auch in Appdeam jeweils einen Job laufen, der alle 30 Sekunden ein Hard-Beat rausschickt über Home Assistant Automationen, Node-RED, wie hieß das Ding? glaube Inject Trigger oder so und dann halt Intervall 30 und bei Appdeam, da musste leider eine eigene App für schreiben.
Geht vielleicht auch anders, finde ich auch eine sehr valide Geschichte, weil das kann auch sehr interessant werden für sowas wie Cron-Jobs oder irgendwelche Dinge, die regelmäßig mal laufen, sodass du nach einem erfolgreichen Lauf von irgendeinem mal ein Heartbeat rausschickst. Ist ja nichts weiter als ein Sippler-HTTP-Call. Und wenn der zu lange nicht ankam oder wenn es zu lange kein Heartbeat gab, dann weiß dein Monitoring Bescheid, dass du mal guckst. Gerade für so... Ja, zum Beispiel.
Andrej Friesen (1:28:19)
Mmh.
so ein Scrap zum Beispiel.
Thomas Wiebe (1:28:30)
So einen Scrap habe ich
Andrej Friesen (1:28:30)
Nicht schlecht.
Thomas Wiebe (1:28:31)
jetzt abgedeckt über System Demonitoring von Prometheus. Das meldet sich dann, wenn was ist. Der checkt irgendwie alle Units und wenn irgendwas fehlgeschlagen ist, auch die One-Shot-Dinger, dann meldet er sich. Aber ja, könnte was sein.
So. Ich glaube, das wär's.
Andrej Friesen (1:28:55)
Na gut.
Thomas Wiebe (1:28:58)
Achso. Ja. Okay. Nee, nee, Doch. Wir lassen's. Komm. Vorher jetzt nicht. Doch. Okay. Einmal. Nein. Weil ich's noch nicht erwähnt hatte vorher. Ruhigst. Zutiefst. Nein, weil wir's noch nicht... Wir hatten andere Monitoring-Lösungen und ich sagte gerade... Also Prometheus, Savics und so weiter.
Andrej Friesen (1:29:00)
Mist doch nicht.
professionell.
Thomas Wiebe (1:29:24)
Und dass die halt alle so ihren Aufgabenbereich haben und ich sagte aber auch, dass ich jetzt öffentliche Infrastruktur überwache. Das ist jetzt, wie gesagt, im Abteil-Kuma-Fall, du hast da so rudimentären Informationsgehalt. Du siehst halt in etwa die Response-Time von einem einzelnen Ping. Richtig. Das darf man nicht vergessen. Das ist zwar eine uralte Lösung, die gab's, glaube ich, auch schon in den 90ern. Es gibt dieses Tool SmokePing, was intern irgendwie auf die Technologie RRD Tool aufsetzt. Das macht aktiv Pings.
Andrej Friesen (1:29:38)
Ach geht ja doch auf Smokeping oder was? Ne, okay.
Thomas Wiebe (1:29:53)
Ermittelt aber auch so ein bisschen also warum heißt das ding smoke ping weil du quasi bei hoher Variabilität wenn man so möchte in den antworten entwickelt sich so ein raucheffekt bei deinen messwerten und dadurch kannst du ziemlich gut beurteilen wie stabil deine verbindung mit dem ziel ist Und dieses rd tool ist auch vom slider ancient technology sozusagen also du kannst es aufsetzen du
Ich glaube, das bringt noch sogar ein Apache mit oder so im Docker-Container, aber es ist sehr lightweight und du kannst es anfangen. Also man nutzt es auch klassischerweise eben irgendwo in Unternehmen, IT oder sogar teilweise öffentlich, weil du sehr viel Informationsgehalt hast, sehr wenig Performance dafür opfern müsstest. Und wenn du also dein Internet gut überwachen möchtest und die Stabilität von gewissen Zielen, dann würde sich vielleicht auch immer das und SmokePink rentieren. Ich hab auch mal.
Andrej Friesen (1:30:50)
Der ist ganz nett,
ich hab den auch mal installiert, der kommt mit so ein paar Zielen per Default aus und das reicht auch schon für den ersten. Also der pingt halt jede Menge DNS Server, Google, Cloudflare, Quad und so weiter. Nee Quad gar nicht, aber OpenDNS. Und das kann ich zum Beispiel sehen, der Google ist ein gutes Stück langsamer bei mir als der von Cloudflare und ich hab den Google im Einsatz, vielleicht soll ich das mal anlernen.
Thomas Wiebe (1:31:00)
Mhm.
Hm.
Andrej Friesen (1:31:18)
weil so
groß Unterschiede sind die ja auch nicht, dann hast du ein paar Seiten nach Deutschland, ein paar Seiten ins Internet, die typischen Facebook, Google und Co.
Thomas Wiebe (1:31:28)
Nützt du bei dir
öffentliche Resolver oder nutzt du den der Fritzbox oder private?
Andrej Friesen (1:31:33)
öffentlich.
Also Cloudflare oder Google Meister.
Ja. Ganz nett zu sehen. Habe ich auch mal gesehen, als mein Telekommando, als ich den Telekommando hatte, als sie mal ein kleines Problem haben, dass die Ping-Zeiten ein bisschen hoch ging überall. Da habe gesagt, Leute, ihr habt da irgendwas nicht ganz richtig bei euch. Das Routing ist irgendwie komisch.
Thomas Wiebe (1:31:41)
Okay.
Ja, ist natürlich immer von zu Hause schwierig, kann auch an einem Download liegen. Also wenn deine Leitung ausgelastet ist, kommen solche Effekte natürlich auch schon mal zustande.
Andrej Friesen (1:32:01)
Ja, nee, bei mir. wusste es. Ja.
Aber das war konstant über mehrere Tage, das kann nicht sein. So viel download ich nicht.
Thomas Wiebe (1:32:09)
Okay.
Ich hab auch mal einen Prometheus... Wie soll man sagen? Eine neue Prometheus-basierte Version von SmokePing gesehen. Es gibt einen SmokePing-Exporter. Da gibt's einen Grafana-Dashboard dafür. Ich meine aber... Also, da sieht man wirklich die technologische Einfachheit von SmokePing.
wie schnell das rendert, Interface, wie simpel das ist. Und ein Grafana ist ja schon ein bisschen ballastvoll, wenn man so möchte.
Andrej Friesen (1:32:45)
Ja gut,
aber Grafana hat auch richtig krass Features, mit Time Ranges und dynamisch und Export von einem statischen Objekt, das ist ganz ganz viel.
Thomas Wiebe (1:32:48)
Jaja, absolut, absolut.
Ja,
und ich glaube aber der der black box exporter nicht der black box der smoke ping exporter der hatte auch performance technisch also der hat deutlich mehr sich bemerkbar gemacht als einfach nur das smoke ping so meine erinnerungen zumindest Also smoke ping kannst du mit laufen lassen merkst du praktisch nicht so effizient ist das
So jetzt haben wir es aber wirklich.
Andrej Friesen (1:33:16)
Nochmal einen Haken.
Thomas Wiebe (1:33:21)
Jetzt hast du auch noch schöne Sachen mitgemacht.
Andrej Friesen (1:33:23)
Jetzt bin ich langer
Glück, ich mache einen Link rein für Smokeping und jetzt bin ich bereit. Ja genau, ich habe mir Unified Hardware geholt. Aus verschiedenen Gründen. Und dass diese Woche, ich glaube Freitag oder Donnerstag, habe ich mir alles umgestellt. Da wollte ich einfach von meinen Erfahrungen berichten, wie ich das gemacht habe, sodass hier nicht so viel durcheinander ist. Genau.
Erstmal fettes Dankeschön an Jan Pörtner und Dennis von Raspberry Pi Cloud. Die haben richtig coole Videos gemacht zu der Thematik. Die haben mir geholfen im Vorhinein Entscheidungsfindungen zu treffen für Hardware, als auch wie ich dann diese Migration abschließe. Ich glaube der Jan kommt auch zum Home Assistant Mieter ab. Ich bin mir grad nicht hundertprozentig sicher, aber... Dann mach ich... Dann werd ich auf jeden Fall persönlich mal Danke sagen. Ja, zwei deutsche YouTuber, die...
Thomas Wiebe (1:34:16)
Die Jungs auf jeden Fall noch nicht. Noch nichts von denen gesehen.
Andrej Friesen (1:34:21)
Der Jan macht ganz viel Netzwerk, Unifile Kram und das war toll. Und was habe ich gemacht? Endeffekt aktuell ist es noch so, ich habe noch eine Fritz bei mir oder Ausgangslage. Ich hatte eine Fritzbox in meinem Abstellraum und dieses Haus ist eine Katastrophe, was WLAN angeht. du kriegst literally kein Signal vom Erdgeschoss ins Obergeschoss. Es geht nicht durch. Die Decke ist
Dicht. Gar nichts. Das ist komplett dicht. Fußbodenheizung, ist der... Leider sitzt die Fritzbox auch im Absteherraum. Dort, die ganze Elektronik und Wassergeschichten zusammen laufen, das Ding ist ein faradäischer Käfig im Endeffekt. Da kommst du nix raus. Das heißt, witzigerweise brauchte ich im Erdgeschoss, konnte ich die Fritzbox, die ursprünglich quasi gar nicht für Wi-Fi benutzen.
Thomas Wiebe (1:34:51)
Nur 5Gig oder auch 2,4? Wow.
Andrej Friesen (1:35:18)
weil diese Wände komplett zugekleistert sind mit Wasser und mit Metall und Elektroleitung und so weiter. Also ich musste noch eine Fritzbox ins Wohnzimmer stellen, was quasi daneben ist. Wirklich eine kleine Miniewanne dazwischen. Das funktioniert ganz gut, weil wir haben in den größten... Wir haben eigentlich in allen Räumen, außer in den Badezimmern, wir Netzwerk verlegt. in eine Dose. So, dann haben wir oben nochmal einen...
Thomas Wiebe (1:35:31)
Die haste dann.
Andrej Friesen (1:35:47)
Repeater im Schlafzimmer gehabt. Der hat dann Badezimmer und Schlafzimmer so versorgt. Aber der war nicht stark genug halt mein Büro und das Zimmer meiner Freundin, wahlweise auch den Garten dann auch auszuleuchten. Das heißt da musste ich noch einen Repeater holen, alles per Lan angebunden, der dann auf die Fensterbank kam und dann auch nach draußen gestrahlt hat und das Netzwerk für meine Freundin gemacht
Das heißt, das ging ein bisschen auf den Keks und war nicht so toll. Und jetzt habe ich mir Unify Hardware geholt, ein bisschen mehr Einsicht zu haben von dem Interface. Das ist ja doch schon bisschen besser von der... Es gibt halt mehr Graphen, du kriegst mehr Infos aus dem System raus. Fristpost finde ich immer noch top. Super Produkt in meinen Augen. Aber ich wollte das halt mal angehen. Dann habe ich mir jetzt ein Cloud Gateway...
Ultra für 80€ plus minus geholt, zwei 8-Port-Switche, einen kleinen 5-Port-Switch für die TV-Konsole, alles von UniFi und dann dazu noch zwei APs. 2U7, heißen sie glaube ich gerade.
Genau und dann muss man natürlich erstmal erstmal ja wie habe ich die Migration gemacht? Ich habe ja mein FritzBocknetz gehabt und ich hatte die ich habe meistens über DLCP auch meine Server. mein Gott und ein bisschen chaotisch bin ich da rangegangen weil ich mir denke mein Gott da merke ich mir die IP oder machen wir Leserzeichen. Und jetzt musste ich aber natürlich von dem auf das Cloud Gate wechseln und ich wollte nicht dass ich jeden Client anfassen muss.
Handy, Tablet, Fernseher. Wenn da jetzt IP drin war, wollte ich jetzt nicht unbedingt das Thema auch noch angehen. Ich wollte ein Problem lösen, das war das Netzwerk. Und dazu habe ich dann das folgendermaßen gemacht. Ich habe mir die Fritz geschnappt. So kann man ja auch die MAC-Adressen, oder man kann ja so einen Haken klicken, von wegen hier diese IP bitte immer gleich behalten für das Gerät. Das im Endeffekt eine statische DRCP-Konfiguration. Und davon habe ich mir eine Liste gezogen.
waren doch mehr Geräte als ich wollte, aber hey Ich glaube 10 oder so Die waren schon wichtig Mehr oder weniger Und dann habe ich das ClockGateway angeschlossen Und es gibt zwei Möglichkeiten das ClockGateway mit der Fritz zu verbinden Ich brauche die Fritz aktuell noch als Modem, weil das ClockGateway hat halt kein DSL Modem
Thomas Wiebe (1:38:02)
Wie viel etwa? Okay.
Andrej Friesen (1:38:23)
Und ich glaube das eine war, das nutze ich gerade, ist die statische Route. Das heißt in der Fritzbox treibe ich eine statische Route ein für IPv4 und sage hier, da ist das Netz für UniFi. Und der andere Weg, ich habe es dir geschrieben, aber ich habe vergessen wie der geht. Hast du noch einen Kopf?
Thomas Wiebe (1:38:42)
Was meinst du?
Andrej Friesen (1:38:43)
für Unify hinter Fritz Box.
Thomas Wiebe (1:38:46)
Bei mir läuft es, aber ich habe noch kein Unified da stehen, aber Mikrotik. Bei mir läuft es tatsächlich einfach. ist ein zweiter Router dahinter, weil es gäbe ja noch den Bridge Mode. Der Bridge Mode, der ist bei mir nicht erlaubt. Dementsprechend kann ich den auch nicht nutzen. Und selbst wenn, glaube ich, es schwierig, weil ich noch diese Telefoniefunktionalität von der Fritzbox nutzen möchte. Zumindest von dem, ich gelesen habe, ist das nicht ganz trivial. Somit... Ja.
Andrej Friesen (1:38:58)
Ach so. Ja.
Ihm ist es wieder eingefallen. Ich
könnte theoretisch in der Unify den Warnpol, wo die Fritze herkommt, PPPoE machen, also eine DSL Einwahl. Das war früher möglich bei meinem alten Anbieter, Nikolone, in Köln. Da habe ich eine zweite IP bekommen, aber bei NetAchen, wo ich aktuell bin, da ist das nicht erlaubt. Da kriege ich nur eine. Und ich habe es probiert. Kostet ja nichts.
Thomas Wiebe (1:39:20)
Ach die Variante. Ja, ja, ja.
Andrej Friesen (1:39:40)
Aber es hat nur rot gewesen und du hast kein Feedback bekommen, ob das jetzt ein Authentication-Fehler ist. Vielleicht kann man das irgendwo nachgucken. Vielleicht hätte da auch dann irgendwie gestanden und not already connected oder sowas, dass ich dann weiß, ja, okay, die erlauben wirklich nur eine. War nicht transparent genug für mich, da ich dann gerufen im Support und sagte, nee, pro Anschluss eine IP und eine, also eine Anfrage im Endeffekt. Ja, das heißt, der Weg war bei mir verschlossen. Das wäre am coolsten gewesen, weil dann hätte ich zwei getrennte Netzwerke. Das wäre richtig cool gewesen.
Aber dem ist nicht so. Was habe dann gemacht? Ich habe mir dann die IP-Range von der Fritzbox genommen, das alles notiert, das in der Cloud Gateway konfiguriert. Allerdings geht das natürlich nicht, während die Fritz noch das alte Netz hat, weil dann sagt, dass das Cloud Gateway eine IP von der Fritz Und dann ist halt Chaos. Das heißt, ich musste erstmal alles bei der Fritz in ein anderes Netz umwandeln. Ich habe dann in ein random Netz genommen, was ich nicht brauche.
und dann das CloudCad Version konfiguriert mit dem alten Netzwerk, das ich vorher hatte. dann, vorher hatte ich alle Geräte abgeschlossen, habe die ganzen IP-Adressen mit MAC-Adressen vor, also ich habe Devices erstellt, glaube ich, heißt es da, und dann MAC, IP und den Namen dann eingetragen. Dann habe ich die Geräte nach und nach angeschlossen, weil ich wusste natürlich auch.
Thomas Wiebe (1:41:00)
gibt es einen
import so csv oder so schade
Andrej Friesen (1:41:04)
⁓
Thomas Wiebe (1:41:08)
Ja klar, Aber jetzt... Okay.
Andrej Friesen (1:41:15)
Dann hab ich dann nach und nach die Netzwerkkabel reingesteckt. hab nämlich keine Labels an meine Kabel gemacht. Ist das Wohnzimmer, ist das Schlafzimmer. Ich bin immer runter gegangen, hab mein Kabel reingesteckt, wieder hochgegangen, hab geguckt.
Welche Geräte poppen am Eier? Das ist jetzt der Fernseher, das heißt Wohnzimmer, klar. Kurz eine Notiz gemacht im Unify Port und so. Das war alleine schon viel wert, weil jetzt kann ich einfach in die Konferenzion reingehen, oder ins Web Viewing und sehe, was ich wo angeschlossen habe. Das war ganz sexy. Genau, dann habe ich das peu peu gemacht. Alles umgeschlossen und dann war auch alles da, bis auf halt Port Forwarding. Das war noch natürlich nicht da. Was muss man dafür machen?
Das habe ich erst nicht ganz verstanden. Ich habe erst mal ein Pall-Forwarding gefunden in Unify, dann das konfiguriert, ging immer noch nicht. Dann habe ich eine Firewall-Regel geöffnet, dass Web-Server Traffic erlaubt ist, ging immer noch nicht. Dann gucke ich und gucke ich und gucke ich und dann irgendwann fiel mir ein und da war auch ein kleiner Hinweis bei Unify im Web-Interface. Hey, wenn du Pall-Forwarding machst, heißt das noch lange nicht, dass du hier Traffic bekommst, weil du hast ja ein Router vor dir.
Ja, und dann musste ich nochmal in die Fritzbox rein, was ich voll vergessen hatte. Ja, die Fritzbox hab ich natürlich auch so konfiguriert, dass ich dann vom UniFi Netzer drauf kann. Dann hab ich dort das Power... Nee, irgendwas...
Thomas Wiebe (1:42:30)
Mhm.
über Exposed Hosts wahrscheinlich dann, oder?
Also die Pod Forwarding Geschichte.
Andrej Friesen (1:42:43)
Nee, die Pofferwording hab ich wirklich reines Pofferwording angelegt.
Thomas Wiebe (1:42:47)
Aber wie landet denn der Traffic?
Andrej Friesen (1:42:49)
Ich sag in Fritzbox, sag ich 4483, gehen auf folgenden Host.
Thomas Wiebe (1:42:55)
⁓ okay. Alles klar.
Andrej Friesen (1:42:57)
Weil Unify listen'nt ja einfach da drauf und dann sieht die Unify so, ⁓ für mich? Für dich! Und schickt das dann an meinem Server weiter,
Thomas Wiebe (1:43:00)
Jaja, du hast...
Das heißt, musst jedes Mal oder das ist einfach also zwei Lösungsansätze. Der, den du jetzt gewählt hast, du sagst ganz krizial diese Ports bitte weiterleiten an den Unify. Was du auch machen kannst in der Fritzburg ist den Exposed Host. Das heißt alles landet auf diesem Host, alles an Traffic. Das könnte dann dein Unify Gateway sein und der nimmt sich dann halt einfach das, was er will. Port Forwarding oder sonst was.
Andrej Friesen (1:43:30)
Das hätte ich vielleicht besser machen sollen. Naja, man lernt nie aus. und ich mache das eh nur gerade kurzzeitig, weil ich hab mir eigentlich auch ein... Ich wollte die Fritzbox loswerden, weil es ist ein teures Gerät, kriege ich auch verkaufen. Ne, gar nicht, die will ich für mein Cluster hier benutzen. Für das Auto World Cluster für Boxbox als Router. Und ich hab mir jetzt einen Dreytech DSL Modem geholt. Ein Dreytech...
Thomas Wiebe (1:43:34)
Kann man schnell umstellen, kein Problem.
Andrej Friesen (1:43:57)
Vigor 167, das Ding gibt es euch schon seit Ewigkeiten. Und möchte das als DSL Modul nutzen. Ich habe es schon so weit konfiguriert, ich da vom UniFi Netzwerk da drauf komme und das verwalten kann. Es hat sein eigenes Verwaltungsnetzwerk jetzt und habe dann die Routen dann alle eingestellt. Mir fehlt noch ein Stück fürs Kabel. Ich habe nur Male of Male und ich brauche ein Female auf der einen Seite.
Thomas Wiebe (1:44:02)
Okay.
Andrej Friesen (1:44:26)
Ja, das eine Lahnkupplung nennt man das ja manchmal. Die wartet noch, es geht gerade Weihnachtszeit, das heißt, das ist alles wieder voll mit Paketen und kommt grad nicht. Aber dann möchte ich das umstellen. Dann kann ich ja die ganze Konfiguration in Unify E haben, dann brauch ich gar kein Exposedroid, weil ich krieg ja dann einfach Internet. Dann spar ich mir den Router. Hab Gott sei auch kein Doppelnatt, das war ja per default an, das kann man aber ausschalten.
Thomas Wiebe (1:44:44)
Ja. Noch besser. Absolut.
Andrej Friesen (1:44:56)
habe ich gar keinen bock drauf auf Doppelnut, kostet auf Performance, Nutting ist ein bisschen mehr Arbeit als Routing. genau, was ich noch mal kurz als Anekdote erzählen wollte, genau, es gibt ja dieses 192.168.1.1, das ist ja so eine IP, die ganz häufig für so Standardauslieferungen genutzt wird.
Du kannst mit dieser IP auf die Fritz kommen, auch wenn der Netzwerk kaputt ist. Du kannst mit dieser IP auf Unify kommen, wenn der Netzwerk kaputt ist. Und du kannst auch mit dieser IP auf Draytag gehen. Ich dachte, nehme ich das einfach für das Draytag-Gerät, ne? Okay, tippe ich das ein. Diesen Netzbereich, ne? Lande ich auf dem Unify-Clock, ich bin so, hä? Ja, das ist so eine Standard-IP, die ganz viele Geräte nutzen als Fallback. Und das ist komplett random, wo du nachher drauf landest. Das heißt, nehm dann lieber eine andere Range als diese.
Das ist sonst echt böse, sonst kommst du nachher nicht mehr vernünftig drauf.
Thomas Wiebe (1:45:56)
Manche
Gerätehersteller machen dann wenigstens irgendein anderes Subnetz aus diesem 192.68. Aber ja, die 1.1, Klassiker.
Andrej Friesen (1:46:03)
Ja.
Die
11, ne die war nicht raus, die muss sich da draus schmeißen. Ja ich habe jetzt vergessen, für Netz, ich habe mir alles aufgeschrieben in so einer Notiz, welche Netze wo sind. ich muss sagen, seitdem ich dieses, ich habe jetzt nicht nur Laden und so, sondern halt auch diese zwei WiFi Access Points bisschen rumgespielt mit, schon cool zu sehen, was die Nachbarn so machen mit ihren Utern. Also ganz andere Einsichten, also einer der Nachbarn hat hier Kanalbreite bei
von 160 Megajetzt oder so oder 180? Ich weiß nicht mehr, eine von den beiden 160, ja das wäre mal 2, ne? 20, 40, 80 und 160 und der kann die überhaupt nicht nutzen, weil das ist halt viel zu voll mit den Nachbarn. Ja, aber das ist auf jeden Fall ganz nett und ich bilde mir ein, dass, ich konnte es noch nicht richtig testen, aber eins der Probleme, was wir in diesem Haus hatten, war
Thomas Wiebe (1:46:42)
69? Ja.
Andrej Friesen (1:47:02)
standardmäßig Wifi-Callings aktiv bei so Handys und das war eine Katastrophe bei uns. konntest nicht mehr telefonieren. Problem ist allerdings auch, wir haben auch keinen guten Handyempfang in unserem Haus. Aufgrund der Decken. Die sind ja nicht nur gegen WLAN, sondern... Das ist schwierig. Da musst du mal ins Fenster gehen. Und ich hab's jetzt mal wieder angemacht, weil ich hab ein bisschen rumgetestet, also rumgelaufen mit dieser UniFi Wifi Man App und geguckt, wie der Durchsatz so ist, wie die Signale so sind, die Signalstärke.
Thomas Wiebe (1:47:13)
Ja.
Ja,
Andrej Friesen (1:47:32)
Und anstatt 3 APs... Ne, 4. Anstatt 4 APs habe ich jetzt halt nur 2. Und das funktioniert 10x besser. Ich habe die auch anders positioniert, bisschen strategischer, ne, klar. Aber das ist hervorragend. Und wenn ich jetzt die Treppe hochgehe, ich habe eine offene Treppe, wo einfach so Holzdielen die aneinander hängen, ne. Kannste durchgucken. Und während ich die Treppe hochgehe, sehe ich noch den Router von unten. Äh, den Router, den Exist Point.
und wenn ich dann noch höher gehe, sehe ich den von oben und die Decke schneidet im Endeffekt
Thomas Wiebe (1:48:10)
Vielleicht ist
das sogar was wirklich Gutes. Tatsächlich. Es gibt ja bei Unify auch diesen Mesh Ansatz. Früher hat man diese kleinen Mesh-Sticks oder so verwendet, Mesh Points oder wie die heißen. Die sehen ganz skurril aus, so lange Dinger mit zwei Antennen oder sowas. Und da war der Ansatz ja, die Dinger fahren eine Asset mit derselben, mit demselben Kanal und ich glaube auch derselben Mac Adressor oder so. Und...
Andrej Friesen (1:48:13)
Ja, also in dem Sinne schon.
Diese Käfer oder wie sie aussehen.
Ja, ja.
Thomas Wiebe (1:48:39)
Im Grunde wird dann irgendwo über den Controller gesteuert, mit welchem du dich jetzt gerade verbindest aktiv. Du siehst das aber gar nicht. Du siehst gar nicht mit wem du verbunden bist. Das ist jetzt bei dem normalen Unify Access Point Netz ist das halt anders. gibt es zwar so Mechanismen, die du konfigurieren kannst, dass zum Beispiel dein Client vielleicht ein Signal kriegt, verbinde dich doch mal bitte mit einem anderen Access Point. Aber da muss man stark mit aufpassen, weil manche Clients mögen das gar nicht und dann kriegst du plötzlich Probleme damit.
Also es gibt dieses neue Roaming Assist, das ist eher so ein Hint, so natsch natsch, verbinde dich doch mal mit dem anderen. Dann gibt es auch andere, da ist das ein bisschen, ich sage mal radikaler oder aggressiver. Und meine Clients haben da teilweise nicht gut drauf reagiert. Das heißt, meine persönliche Erfahrung war immer, es war immer noch besser den Client auswählen zu lassen, mit wem er sich gerade verbindet. Und das kann natürlich, wenn du viele Signale gleichzeitig hast, die so unterschiedliche P-Klaren, kann es ein bisschen schwieriger sein. Wenn du aber diesen harten Cut hast, vielleicht ist das was Gutes.
Andrej Friesen (1:49:31)
Hmm.
Also bisher gut, ich war auch sehr verwundert. Manchmal sind ja, manchmal ist WLAN auch komisch. Ich hab die gleiche SSID genommen, gleiche Passwort, also exakt alles gleich, weil ich wollte nicht bei meiner Freundin am Handy, am Laptop und so rumtütteln. Und lustigerweise hat das einzige, was natürlich nicht funktioniert, war das Handy von meiner Freundin, die wollte auf einmal das WLAN-Passwort wieder haben. War ich nicht verstanden. Ganz normales Android, keine Ahnung, Pixel. Das hat dann irgendwie nicht geklappt, aber sonst...
Thomas Wiebe (1:49:50)
Ne.
100%.
Andrej Friesen (1:50:04)
Wo ich dann eher Sorgen hatte waren diese ganzen IoT-Geräte, ne? Da hatte ich gedacht, hm, vielleicht macht da eins nicht ganz mit, weil, weiß ich nicht, ne, Mac, äh, ist das? Nö, war alles in Ordnung. Ja. Genau.
Thomas Wiebe (1:50:15)
Hast du jetzt
für IoT dann so einen WLAN genommen mit 2,4 ein Netz?
Andrej Friesen (1:50:20)
Ne ne, ich hab ein Netz aktuell,
...ein einziges flaches Netz. Erstens macht das die Migration einfacher. Und zweitens muss ich erstmal die Zone-Base-Fireworks verstehen, das versteh ich noch nicht so ganz da, das ist ein bisschen... Also ich versteh die Grundzüge, aber das Interface ist im Vergleich zu ner Fritzburg halt ein bisschen mächtiger halt und damit hat auch mehr zu tun. Ich wollte erstmal nur... Ich mach das immer so schrittweise, ich möchte nur den Zustand haben, den ich aktuell hab. Danach hab ich ja alle Möglichkeiten der Welt.
Was ich jetzt gemacht habe ist WLAN verbessert währenddessen. Das einzige was ich bei WLAN nicht automatisch gemacht habe ist, ich habe einen Kanal gesperrt und zwar den Kanal 1 im WIFI, das ist der Kanal 11 im Zigbee Modus. Denn was mir nicht bewusst war, ist dass die APs Zigbee Traffic gar nicht sehen, obwohl das das gleiche Band ist.
Die sehen jetzt nicht, dass da jetzt ein Zigbee-Netz aufgestanden ist, obwohl das 2,4-11er-Kanal defaultmäßig ist, was im WLAN-Kanal Kanal 1 wäre, wenn ich mich richtig erinnere. Und da ich aber gesagt habe, ja gut, dann sperre ich Kanal 1 einfach mal in meinem Haus, sodass die APs sich andere Kanäle holen zwischen oben und unten, das nicht interferiert.
Thomas Wiebe (1:51:35)
Meinst du sie sehen es nicht im Sinne von bei der Channel Selection? Also dann nehmen die halt eher einen Kanal, also nehmen die eventuell den Kanal, obwohl es da schon, obwohl da schon gefunkt wird. Ja wahrscheinlich ist auch Zigbee.
Andrej Friesen (1:51:43)
Yes. Ja.
Wahrscheinlich ist das anderer Chip und deswegen... Also die würden das vielleicht als eine Differenz sehen können, vielleicht?
Thomas Wiebe (1:51:51)
Das
würde ich vermuten, weil du kannst dir ja anzeigen lassen, wie viel Noise sozusagen auf dem Kanal ist. Da müsste der das eigentlich sehen, aber vielleicht ist Zigbee Traffic halt auch... Es ist ja wirklich wenig, weil viele Devices ja battery powered sind.
Andrej Friesen (1:51:57)
Genau.
Ja.
Ich hab's einfach gesagt, komm, ich hab genug Kanäle, die Wände sind gut abgeschottet zu den Nachbarn. Dann... Ja, die Wände gehen noch, die sind okay. Die Decke leider ist das Problem. Ja. Genau, dann hab ich nur den Kanal 1 abgeschaltet, hab dann mal so... Habt ihr mal gesagt, hier, mal die besten Kanäle für dich. Hat jetzt statisch konfiguriert. Ich hoffe, dass dadurch, dass ich das dann mehr oder weniger statisch hab, dass...
Thomas Wiebe (1:52:12)
Du bist ja fast isolierter, ne? ist ja schon... Okay. Okay.
Andrej Friesen (1:52:35)
Die Nachbarrouter, was ja 90 % Fritzboxen sind, die sind ja per default so eingestellt, dass sie Autokanalsuche machen, dass sie sich dann verziehen aus den Kanälen, wo ich halt funke, wenn es denn zu viel Stress ist im Netzwerk. Aber bisher bin ich super zufrieden, also Download und so ist natürlich eine ganz andere... Die Bandbreite, ich da habe, ist natürlich richtig ordentlich zwischen den APs, das ist vernünftig, das schwoppt richtig, das macht Spaß. Das ist schon eine andere Nummer.
Thomas Wiebe (1:52:48)
Mhm.
Andrej Friesen (1:53:06)
Und das einzige was ich noch testen muss, aber das ist noch gar nicht die Zeit für, ist ob der AP auch für den Garten reicht. Also Garten oder Terrasse. Ich hab kurz gestern Abend mal, bin ich da hergegangen mit dem Handy, Signet, Strength und Durchsatzgelad gemessen, das sollte eigentlich ausreichen. Schauen wir mal was die Sommerzeit zu bringen. Genau.
Thomas Wiebe (1:53:31)
Mhm.
Andrej Friesen (1:53:32)
Das haben wir noch gemacht. Ich warte noch auf die Kupplung für Straight Tag, dann wird die Fritz ersetzt. Genau. Ich glaube.
Thomas Wiebe (1:53:37)
Das Garten
ist ja für euch dann jetzt Terrasse, oder? Wenn man so möchte. Mhm, ja.
Andrej Friesen (1:53:40)
Der Garten geht nicht, das ist zu weit weg. Vor
allem ist da noch Haus mit Parteien dazwischen. Wir wohnen halt auf so einem Bauernhof und der Innenhof ist halt die Terrasse und muss man so 100, 200 Meter gehen bis man dann in den Gartenbereich kommt und da muss man durch ein Tor und da ist ein Gebäude zu... Das können wir knicken, das LTE, das einzige was geht. Könnten wir Richtfunk aufs andere Dach packen, aber nee. Ist ja nicht meins.
Thomas Wiebe (1:54:08)
Pass
auf den Empfänger.
Andrej Friesen (1:54:10)
Ja, brauch ich auch ne
Fänge.
Genau. das fand ich... Also ich positive Erfahrung. Aber ich muss sagen, das Unifile-Interface ist schon komplex. Ohne die Suche im Unifile-Interface... Vor allem, dann guckst dir mal so Video an für einen Überblick. Und dann versuchst das nach... Ich mich schon wieder alles geändert, Boah. Also das ist ja auch gut, dass Entwicklung passiert. Das heißt ja auch, dass das gepflegt wird. Aber meine Herren, da kommst ja gar nicht hinterher. Und das Fritzbox-Interface ist gefüllt seit 10 Jahren gleich.
Thomas Wiebe (1:54:29)
Ja, da passiert echt viel.
Andrej Friesen (1:54:44)
Und ich weiß ganz genau wo ich was klicken muss und wie ich das machen muss. Hat alles seine Vor- Nachteile. Also für den Standard Heimnetz würde ich immer noch Fritzbox empfehlen, ganz ehrlich. Also so ein Unifine Netz finde ich schon sehr komplex. Da muss man Bock drauf haben.
Thomas Wiebe (1:54:59)
Ja schon. ist cool, das ist ja dieser, wie soll man sagen, dieser semi-professionelle Bereich, dieser, wie nennt sich das, Prosumer? Ja, genau. Ich habe ja momentan noch Mikrotik und also Router und vorher auch Access Points. Access Points sind jetzt schon UniFi und Router wird jetzt auch und Switches gehen auch auf UniFi. ja, Mikrotik ist halt nochmal eine ganze Ecke komplexer vom Interface.
Andrej Friesen (1:55:07)
Ja, prosuma.
Holla die Waldfee
ist das eine Ecke. Das UI
Thomas Wiebe (1:55:25)
Ja.
Das ist wieder ein reines Technikinterfekt, genau wie das Proxmox Ding. Also wenn man sich damit auskennt, alles fein. Ein paar Sachen finde ich zu kompliziert, ein andere Sachen sind eigentlich vollkommen okay, aber du kriegst halt kein Händchenhalten, gar nicht.
Andrej Friesen (1:55:40)
Null. Das ist
nicht mein Tooltip. Gar nichts. Das steht da einfach.
Thomas Wiebe (1:55:44)
Bei gewissen Dingen ist einfach der Automat ist aktiv sozusagen, ne? Wähle automatisch irgendwas. Aber glaub mal nicht, dass das eine Recommendation ist oder so, dass das also wirklich dazu führt, du eine gute Lösung findest, sondern du solltest vielleicht doch hier und da ein Häkchen setzen. Was richtig schwierig ist, ist viel an...
Andrej Friesen (1:55:58)
Was
ich okay fände, wenn du eine gute Dokumentation hast und gute Geilte und so weiter, aber was ich eine Katastrophe finde, ist, dass du Dinge machen kannst auf deinen Geräten, die das Gerät gar nicht kann.
Das ist für mich komplett nicht verstanden nach Wortsieber. Du kaufst dir einen Switch und nicht einen Router, du hast trotzdem das Router-Interface. Warum zum Geier?
Du kannst das alles konfigurieren, kannst da klink klink klink klink klink klink...
Thomas Wiebe (1:56:27)
Es ja
zwei Betriebssysteme, weiß nicht, es gibt SwitchOS und RouterOS bei denen. Und wenn du RouterOS hast...
Andrej Friesen (1:56:32)
Ja, aber es gibt ja zum Beispiel auch
Router, die zum Beispiel kein Wi-Fi haben, ist trotzdem das Wi-Fi Interface.
Thomas Wiebe (1:56:38)
Jaja, ja. Wahrscheinlich gibt es auch Kombi-Devices oder sowas und kann das eine Rolle spielen. Aber ja, so bisschen selektiver, klar. Nee, da haben sie es nicht mit.
Andrej Friesen (1:56:39)
Warum? Mach das weg!
Da gab es
Ja,
Ich verstehe es von deren Seite, ist halt 1US.
Thomas Wiebe (1:56:57)
Ja, und viele Dinge da musst du halt auch aufpassen, weiß ich nicht. Gewisse Dinge können in Hardware passieren, können aber auch in Software passieren. Du kriegst jetzt aber nicht den Hinweis, dass wenn du da einen Haken machst, dass plötzlich in Software passiert oder dass du vielleicht mehrere Bridges auf dem Gerät hast und wenn du zwischen den Bridges redest, geht es irgendwie über die CPUs oder sowas. Welche Informationen, die hast halt einfach nicht.
Andrej Friesen (1:57:17)
Und du
kannst auf mehrere unterschiedliche Arten weisen, die das gleich erreichen. Also auf viel zu viele unterschiedliche Arten weisen. Und das fand ich dann doch sehr abtörend nach einer Zeit. Vor allem weil ich Eken.
Thomas Wiebe (1:57:27)
Da ist
es schon eher Pro als Prozoomer, aber im Preissegment von Pro. Jetzt sind wir ein bisschen günstiger.
Andrej Friesen (1:57:30)
Dafür haben die natürlich ganz anderes Preis-Leistungs-Verhältnis.
diesen Top, also richtig gute Hardware auch.
Thomas Wiebe (1:57:38)
Hm.
Yep. Genau.
Andrej Friesen (1:57:43)
Genau,
da möchte ich auch eine Anekdote zu erzählen. Ich habe auch kleine Zeigen gemacht für meine anderen Sachen, für die Repeater, die ich nicht mehr brauche. Ich hatte auch einen kleinen 5-Port Mikrotik-Switch, der ist auch direkt abgekommen.
Die erste Anfrage, die ich bekommen habe, da stand drin, jung wie sieht denn dein Laminat aus, wer das denn verlegt? Kleiner Anzeigen mal wieder, ich hab mich so kaputt gelassen. Ich hab das Ding halt in der Ecke auf den Boden gestellt, ein Foto gemacht und dann Kleiner Anzeige angelegt und ich so, ja sorry, das ist ein Steinboden, aber hier wurde ganz schön viel gefuscht. Aber bei uns kann man zum Beispiel auch nirgends wo einen vierbeinigen Stuhl hinstellen, der wird immer wackeln. Das ist egal wo, du brauchst einen dreimeinigen, das ist eine Katastrophe hier.
Thomas Wiebe (1:58:10)
Hehehehehe
Andrej Friesen (1:58:31)
Ich bin froh, dass ich Mieter bin.
Thomas Wiebe (1:58:33)
Mhm.
Andrej Friesen (1:58:34)
Ja, und dann noch ein paar... Ach, Kleinanzeigen ist immer eine Goldgrube, ne? Dann so ein paar... Ja, ich biete dir so und so viel. Ich sag, nee, das ist Festpreis. Ja, dann nicht, okay? Dann, ja, ich biete dir so und so viel. Ich ja, okay, dann biete halt so und so viel. Wie bezahlen wir denn? Ich sag, nur über sicher kleine... Nur über sicher bezahlen von Kleinanzeigen. Weil meine Freundin und haben in letzter Zeit ein paar Scams mitgemacht und haben ja keinen Bock drauf über Paypal und so.
Thomas Wiebe (1:58:36)
Herrlich.
Andrej Friesen (1:59:03)
Und dann sag ich, ne ich mach nur, mach nur Kleine zeigen. Dann sagt er, ne das Kritikkarte, das mach ich nicht. Okay, fair enough. Wer heute keine Kritikkarte hat, okay. Dann das andere, ja nur über sich ja Kleine zeigen. Ne ich mach nur Paypal. Brudi du kannst mir vertrauen. So bestimmt nicht. Brudi du kannst mir vertrauen.
Thomas Wiebe (1:59:23)
Das ist wie Premium auf ein Produkt zu schreiben, beim Aldi oder so. Weißt du direkt
Bescheid? Okay.
Andrej Friesen (1:59:29)
Ja, du wolltest ja das Paypal-Business machen, das ist das Schlimmste, was du machen kannst als E-Buy-Verkäufer. Weil dann können die einfach einen Claim machen, dann hängst du da dran. Oh, ich hab das schon ein paar Mal gemacht, das ist zum Katzen. Ja, ah herrlich. Aber dann hatte ich auch eine gute Erfahrung. Kam ja pünktlich alles weg. Also hatte ich schon weg, Alle drei Geräte von drei Tagen. Ich dachte hier, Weihnachtszeit ist Busset-Zeit. Ich glaube da haben wir paar mehr Leute Bock, ihre Netze umzubauen.
Thomas Wiebe (1:59:49)
Auch schick. Sehr schön.
Ja,
ich muss mich beeilen. Ich hab ja noch zwei Wappax liegen von Femmechotik. Die muss ich eigentlich nur inserieren.
Andrej Friesen (2:00:04)
Na gut, dann glaube ich war es das Thema. Ich werde mich nochmal zurückmelden, wenn das Stratec angeschlossen ist. Lustigerweise habe ich da schon ein Update gemacht. Also die sind echt wie Hauenregen-mäßig Updates für das Ding aus. Was auch immer das macht. Fixed im UI und...
Thomas Wiebe (2:00:11)
Mhm.
Ich kenne diese Firma seit ca. 20 Jahren, weil wir irgendwann im Büro, also so ein kleines Büro, keine Ahnung, 5-10 Leute, brauchten wir eine Routerlösung und fragten mich nicht, wieso kam jemand mit Railtag an. Ich kannte die Firma damals nicht und ich bin total perplexe, dass es hier immer noch gibt.
Andrej Friesen (2:00:45)
Ja, es gibt, so wie ich das gelesen habe, Modem-Hersteller, also Dreytech und Zyxel, glaube ich, hat auch welche im Angebot. Habe ich aber selber nicht gesehen. Ich hatte keinen Bock noch mal zu recherchieren, weil...
Thomas Wiebe (2:01:00)
Also reine Modems, die du als Endkunde kaufen kannst für dich.
Andrej Friesen (2:01:03)
Genau,
weil die sowieso im ähnlichen Preissegment liegen sollen, habe ich dann gedacht ach komm, was auch immer, dann zeige ich dir die 103 Euro. Lustigerweise habe ich das dann gekauft, das liegt jetzt hier und gestern, nee, war das vorgestern am Freitag, kam dann hier so ein Vertreter von DN Connect entgangen und hat mir einen Glasfaservertrag jetzt gegeben. Das heißt, ich habe hier ein DSL-Mode im Liegen.
Aber ich überhalte die Verpackung und alles, dann kann ich das wie original verpackt verticken, wenn ich Glasfaser haben sollte. Theoretisch habe ich bis 2027 noch meinen DSL-Anschlussvertrag, von daher habe ich davon auch bisschen Nutzen. Mal gucken, ob die so ein Erkönigungsrecht haben, wenn Glasfaser angeboten wird. Ich weiß es gar nicht.
Thomas Wiebe (2:01:40)
Cool.
Ich vermute nicht. Also beim selben Anbieter würdest du natürlich dann einen kriegen, wenn der das machen würde.
Andrej Friesen (2:01:50)
Ich vermute auch nicht.
Ne ne, ich muss ja exklusiv dann bei denen bezahlen.
Dann krieg ich dann 600 down, 300 ab. Das ist dann schon ordentlich. Aber da auch noch. Daher bleibt das Draytag erstmal hier und die Fritz kommt ins Klassa.
Thomas Wiebe (2:02:13)
...
Andrej Friesen (2:02:15)
Haken dann.
So dann wollte ich noch ganz kurze zwei Themen ansprechen. zwar einmal... Ich hatte die Überlegung, mir diese Ubuntu-Updates langsam auf den Keks gehen. Ist egal, welche. Ubuntu, Debian, whatever. Sobald man dann ein paar Repositores reinhaut, dann... wird das nicht immer so easy. Und da hatte ich mit dir auch schon mal kurz gesprochen. Hey, vielleicht macht das Sinn, auf CentOS Stream zu wechseln. Die haben ja jetzt ein Rolling-Release-Thema. Mit ihrer...
Thomas Wiebe (2:02:22)
Mhm.
Andrej Friesen (2:02:48)
Distro gemacht und dann dachte ich ja cool dann hast du ja immer ein OS und dann musst du nur die Updates regelmäßig machen dann hast du weil CentOS ja auch RedHit Enterprise nicht Vorgänger wie heißt das Vorbote oder Opfer ist halt über CentOS wird das getestet und RedHit Enterprise kriegt dann die kriegt dann die stabilen Ja ist überhaupt nicht so CentOS Stream hat pro Version
ein rolling release und es gibt keinen offiziellen upgrade fad von 7 auf 8 von 8 auf 9 genau das genau du hast einen rolling release mit ohne upgrade fad es gibt einen inoffiziellen das ist ein tool das heißt elevate kann ich auch mal verlinken habe ich mir noch nur kurz angucken aber als ich das gelesen habe ich schon gar keinen bock auf den kabel dann lasse ich doch lieber ubuntu da ⁓
Thomas Wiebe (2:03:24)
so das schlechteste von beiden Welten sozusagen.
Ja,
da du wahrscheinlich... Aber da hast du jetzt auch nichts gewonnen, ne? Dann guckst du dir halt die... Weil Centos war ja mal anders, ne? Centos war ja mal im Grunde ein Red Hat Enterprise Linux. Einfach nur mit den Paketen, mit den öffentlich verfügbaren Sourcen, glaube ich, gebaute Pakete. Und jetzt ist es halt anders und es gibt jetzt noch Rocky und Alma Linux, die...
Andrej Friesen (2:04:02)
einmal linux
genau einmal linux ist dann auch nach meiner recherche das welches das elevate tool gebaut hat für sich selbst vielleicht ist das noch ein gang aber weiß ich nicht habe ich halt auch keinen bock drauf das dann hast du so ein third party tool welches dann die community machen muss
Thomas Wiebe (2:04:22)
Du auf jeden Fall immer noch deine Upgrades, weil es bleibt halt nicht dauerhaft rolling.
Andrej Friesen (2:04:24)
Ja, das ist gleiche Problem.
Moment, Elevate. dann... Ist auch nur eine kurze Mini-Recherche, da hab ich jetzt nicht großartig mit Erfahrung gesammelt. Aber dann kam mir ein Thema auf, dass ich vielleicht ein bisschen Zeit investieren werde. Und zwar ist das Thema ein bisschen CoreOS und Bluefin oder UCore. Oder Fedora Atomic heißt das, ich auch. Das ist jetzt... Es gibt von Fedora... Fedora ist hier der erste Stream, dann kommt der CentOS und kommt Retard Enterprise Linux.
Fedora hat auch eine Atomic Distro, ist dieses Immutable Linux Geschichtchen, du dann welcher Art und Weise halt Immutable Linux hast, also ein nur belesbares Datalsystem. Und da hat sich dann ein Spin von entwickelt, auch ein Community Ding glaube ich, Bluefin heißt es. Und die Jungs haben eine richtig spannende Idee. Und zwar...
Thomas Wiebe (2:05:14)
Mhm.
Andrej Friesen (2:05:29)
haben die halt auch immutable, das heißt, hier ist alle Route und so, das ist alles read-only, das heißt du kannst da nicht mal eben reintütteln. Und was die machen ist, die bieten dir diverse Desktop Distributionen an, einmal basierend für Steam Deck, fürs Zocken, gibt auch welche fürs normale Alltagslinux Geschichtchen, gibt auch welche für Entwicklung, aber auch ein Server. U-Core heißt das dann, ich. Muss ich nochmal genau recherchieren.
Und dort bieten die dir auch so Flavors an, wo die sagen, hey, das ist jetzt U-Core mit NVIDIA, falls du eine Karte hast für deinen Jedi Film Plex oder wie auch immer. Oder für dein KI Kram. Die bieten dir auch Images an, die ZFS Tools drin haben. Also die machen mehr, die machen halt auch unfreie Software rein, was du bei Fedora Atomic Per Default nicht hast. Und das fand ich super spannend, weil mir war das überhaupt nicht bewusst.
Es gibt ja OCI Images, also Open Container Initiative, das ist ja was Docker Mendefekt gemacht hat oder Docker mittlerweile seit ewigen Jahren kompatibel zu ist. Also Container sind OCI Images oder OCI Container. Es gibt aber auch Container, mit und Container haben ja die Applikation und das Betriebssystem drin. Sei es ein Debian plus deine App, sei es ein Ubuntu plus deine App. Und was die sich erteilen ist der Kernel.
Das spannende ist, es gibt jetzt auch Container und das ist das was die machen, die den Köln auch drin haben. Also das gesamte System, das nennt sich Boot C diese Geschichte. Super oberflächlich gerade, weil tiefer bin ich auch nicht drin. Und was die machen, ist im Endeffekt den Docker Approach. Du hast halt Layer von deinem Betriebssystem, die du da drauf packen kannst. Und dann packst du da entweder deine Software drauf oder deine Funktionalitäten.
Was nicht Encouraged wird, also die wollen nicht, dass du zu viel reinpackst, weil dann hast du zu viel Abhängigkeitsgeschichten und so weiter. Die Leute arbeiten lieber mit, für Desktop-Applikationen mit Flatpak, das ist auch ein Sandboxing-Container-Geschichtchen für deine GUI-Apps. Oder Distrobox, was auch so eine Art Sandboxing-Geschichte ist, wo du deine Entwicklungsumgebung verbasteln kannst. Ein bisschen so wie Toolbox von Fedo, falls du es noch kennst von Flatpak. Nee, nicht Flatpak, wie heißt es? Flatcar? Weiß nicht.
Ja, das ist ja auch von Fedora das Toolbox-Ding. Das ist im Endeffekt ein Container, wo ganz viele Dinge drin sind. halt Netzwerke zu testen, was auch immer. Aber das haben die mit DistroBox, glaube ein bisschen aufgebohrt. Das heißt, hast da einen VSCode drin, du da eine Tools für deine Entwicklungen, du kannst mehrere davon haben. Du installierst also gar nichts mehr auf dem Hostsystem. Sondern alles in diese Sandbox-Environments. Also komplett anderes Linux-Gedenke. Aber...
Was ich dann auch verrückt fand, dass du dann quasi sagen kannst, möchte jetzt das Image vom Bluefin nicht mehr nutzen, die Community ist gestorben, ich rebase das auf ein ganz anderes.
Die arbeiten da auch ganz viel mit GitHub Actions, wo die dann diese Images bauen. Wenn das Image gebaut hat, ist es auch bootbar. Und dann kannst du einfach über ein Reboot die neue Version ein bisschen so was wie wir verarbeitet hatten mit Flat Car Linux.
Thomas Wiebe (2:08:45)
Ja, ich frag mich gerade, wie sich das abgrenzt. Kannst du das... Also, Flat-K Linux? Okay.
Andrej Friesen (2:08:48)
Ja, da kann ich noch nicht genau sagen.
Wie sich das abgrenzt, ist technisch basiert auf RPM, OS-Tree anstatt halt auf Partition, so wie ich es verstanden habe. Und Bootsy als Technologie. Das schaue ich mir, glaube ich, den nächsten Wochen mal so pööpö mal an. Fand ich dann ganz nett zu sagen, ja gut, vielleicht baue ich mir einfach mein eigenes Base Image, wo ich dann auch Butter-FS drin habe, falls das nicht drin ist. Und dann...
dann reboot ich einfach den Server und der hat ein OS-Update und das ist immutable und da kann nichts mehr passieren und Docker ist drin, Portman ist drin, wenn man möchte
Thomas Wiebe (2:09:25)
weiß noch, wie wir das letzte Quatsch haben und ich meinte irgendwie, überlege ich ja, will man nicht eigentlich einen Container Linux-Sauce am Server haben und dann haben wir beide irgendwie, ⁓ ne bloß nicht, weil es ja schon viel Komplexität, also du musst viel kapseln und vielleicht schwierig, ich liebe Uigl irgendwie immer noch ein bisschen damit, also vielleicht ist es interessant.
Andrej Friesen (2:09:44)
Also
so reines Containerlinus würde ich nicht nehmen, wo du nur Container laufen lassen kannst. Im Sinne von... Also das ist ja super für so kubiniertes Host oder sowas, Aber ich will halt schon Compose noch benutzen können. Weil ich hab keinen Bock auf Kubernetes zu haben, da machen wir genug auf Arbeit, gar keine Lust drauf. Und... ... halt andere Tools, die du mal brauchst, ne? Wenn du was... Wenn ich zum Beispiel mit, ähm... Wie heißt's? Mit Yachto rumspielen möchte, meinen Server benutzen möchte und nicht mein Laptop, weil der ein bisschen mehr Dampf hat.
Thomas Wiebe (2:10:00)
Stimmt.
Andrej Friesen (2:10:13)
Dann möchte ich das halt auch machen können. Dann kannst du halt andere Toolings benutzen, wie Distro Box. Und das halt darauf ausprobieren. Und das finde ich ganz interessant von der Sichtweise. Du hast trotzdem die Möglichkeiten rumzuspielen.
Thomas Wiebe (2:10:26)
⁓ noch bisschen hänge ist also wenn ich mir die Webseite anschauen erstmal geiles Logo oder Vogel ist jetzt im Weihnachtsmodus der hat
Andrej Friesen (2:10:31)
Nach der... Dieser Dino oder so, ne?
Habe ich noch gar nicht gesehen. Geil. Eine Weihnachtsmütze.
Thomas Wiebe (2:10:39)
Aber ich sehe ja nirgendwo irgendwas von Server stehen. Das ist ja alles so Explicit Workstation.
Andrej Friesen (2:10:42)
Warte.
Nee, Workstation gibt's genau. Es gibt aber auch... Mein Gott, es müsste Ucore heißen. Ja, die Website ist nicht so...
Genau, Fedora Universal... Ne... Genau. Es gibt die Universal-Blue.org Seite, da hast du dann einmal Aurora, das ist für einen normalen Desktop, dann gibt's Bear Site, das ist dann für Zocker, dann gibt's Project Bluefin, Bluefin ist was anderes. Okay, das ist Workstation, ach guck, die heißen alle. Und dann gibt's das Project UCore. Und dann gehst du auf UCore, das ist eine GitHub-Seite, verlinken wir nachher und einfach rein. Und da gibt's dann eine kleine...
Thomas Wiebe (2:11:16)
Okay.
Andrej Friesen (2:11:26)
ReadMe, wo du dann sehen kannst, welche Base-Images die dir anbieten. NVIDIA, nicht NVIDIA, ZFS, ZFS nicht. Und dann erklären die dir auch, wie das Distro-Box funktioniert, wie du Samba-Shares machen kannst. Weil das war auch so Thema, ich angesprochen habe. Was hast du auf dem Server? Ein Samba-Share. So, in einem Container-Linux, wo du eigentlich nichts machen kannst, wo nur Container drauf laufen und dann Samba zum Laufen zu kriegen, ist auch schon wieder ätzend. Haben wir ja schon mal gemacht über einen Container, macht gar keinen Spaß, man geht über einen Körner.
Thomas Wiebe (2:11:53)
Mach ich immer noch. Kein
Andrej Friesen (2:11:55)
Zu Hause?
Thomas Wiebe (2:11:55)
Problem. Ja klar.
Andrej Friesen (2:11:57)
⁓ nee.
Thomas Wiebe (2:11:59)
Ne Moment, das was wir auf Arbeit gemacht haben war NFS. Das mach ich nicht mehr. Aber war auch... Nee, ja, es ein bisschen work around it. Jaja. Okay.
Andrej Friesen (2:12:02)
⁓ stimmt, sorry. Jaja, hast recht. Jaja, voll vertan. Das ist doof, ja.
Ich
hau das mal in die Links, falls das euch interessiert. Ich finde das ganz spannend als Thema. Ich möchte regelmäßig upgraden, habe ich kein Problem mit. Ich habe auch kein Problem mit dem Reboot. Ich möchte allerdings nicht diese alljährlichen, riesen Updates haben, wo ich was planen muss. Das nervt ein bisschen, finde ich.
Thomas Wiebe (2:12:35)
Ja, zumal das ist ja genau das, wo wir angefangen haben mit dem Podcast, wo ich irgendwie die ersten ein, zwei Episoden direkt von berichten konnte, wie hier Oper-Server aktualisiert wurde und danach war der ZFS-Support. Ja, und alles wurde lahm und ich hatte nur noch die Flucht nach vorne. Ich konnte ja nicht mehr zurück. Ich konnte nicht auf den Ubuntu 22 zurück, was erstmal mein Problem wieder gelöst hätte. Nein, ich konnte nur nach vorne. konnte dann von LTS auf...
Andrej Friesen (2:12:50)
Medium.
Ja.
Thomas Wiebe (2:13:03)
normale Releases und jetzt stehe ich da. Also wirklich eine spannende ich mir auch mal anschauen. Und früher hatten wir ja mal CoreOS im Einsatz auf Arbeit. CoreOS war auch schon eben ein Container Linux. Dann wurde da, gab es dann eine größere Umstellung. Ich weiß gar nicht, ob das zeitlich was zusammenhing mit der der Centos Geschichte oder ob das komplett separat war, weil beides war ja Red Hat und...
Andrej Friesen (2:13:29)
Also das Co-OS, was heute existiert, hat nichts zu tun mit dem Co-OS, was wir damals genutzt haben. Das Co-OS wurde zu Flatcar Linux. Ja genau. Und das neue Co-OS ist das, was die Jungs mit dem U-Blu als Basis nehmen. Weil das Co-OS damals war glaube partition-based, so wie unser Flatcar. Und das, was jetzt da ist, das ist RPS, RPM, OS3 und noch Buzi und andere...
Thomas Wiebe (2:13:30)
Genau.
ist ein Fog davon.
Hm.
Ich bin auf jeden Fall schon begeistert, dass das mit ZFS Support kommt. Das finde ich gut. Ich hoffe auch für ZFS auf dem Root-Dateisystem, denn das ist leider immer ein Krampf.
Andrej Friesen (2:14:02)
Genau.
Das weiß ich nicht.
Das ist wirklich ein Krampf. Wenn das da nicht buten kann, weil die Module fehlen, ist immer meh.
Thomas Wiebe (2:14:17)
Ich
habe ein paar Server laufen, die einfach nur die Booten von einem Xt4, aber alles was mit Daten zu tun hat, wo ich Snapshotten möchte und so, das ist dann halt ein separates Dateisystem ZFS.
Andrej Friesen (2:14:30)
Aber...
Hier brauchst du den Gedanken ja gar nicht mehr haben, weil das ist ja ein Image.
RUTE. Du brauchst gar kein ZFS, ist scheißegal. Also den Gedanken kannst du dir dann sparen, weil die... Ich weiß gar nicht was die benutzen, aber du hast ein Image. Wie ein Docker-Image, eine Layer, die du einfach bootest.
Thomas Wiebe (2:14:39)
stimmt.
Alles klar, muss man sich anschauen. Danke, dass du es mal erwähnt hast.
Andrej Friesen (2:14:52)
Genau, ich haue mal die Links rein. gibt einmal die UniversalBlue.org. Da sind dann alle Projekte... Nein, ich lüge. Ich überlasse das denn jetzt. Doch, genau, UniversalBlue, da sind dann alle beschrieben. Desktop und Server und so. Und dann kann man halt auf die einzelnen Produkte gehen. Es gibt auch so... Da kann man sich zum Beispiel auch... Ich glaube so ein... Was war das? Man geht dann auf Bayside. Dann kann man sich auch so was für Hardware hat man denn, ne? Und weil das halt imagebasiert ist...
Thomas Wiebe (2:15:02)
Doch, doch, die Use im Aussehen Blue. Da kannst du runterscrollen.
Andrej Friesen (2:15:20)
Ist es halt schwierig jetzt ein generisches Image zu bauen, dann muss man sich halt aussuchen, ja habe ich, genau, select hardware. Ist das ein Desktop-PC? Ist das ein Home Theater? Ist das ein Framework Desktop? Also speziell darauf sogar. Dann ist das ein Steam Deck. Ist das ein Intel? Ist das ein Tablet? Also die bauen halt super viele Images, weil die halt speziell für die Hardware sind. Was ich ganz interessant fand von dem Ansatz her ist, dass die das Argument haben, was ich auch teilweise nachvollziehen kann ist,
Thomas Wiebe (2:15:38)
Mhm.
Andrej Friesen (2:15:49)
Hey, wenn was defekt ist in dem System, dann können wir das relativ easy fixen für alle, weil das Image ist ja exakt das gleiche. Das hast du bei einer Distro von Ubuntu natürlich nicht.
Thomas Wiebe (2:16:04)
Das war wieder, Upgrade-Fade von verschiedenen Quellversionen. Das muss in allen funktionieren.
Andrej Friesen (2:16:08)
Ja, und
so viel Gefruchtel da zwischendrin, das ist ja nicht mehr feierlich. Und ich schließe mich da ja nicht aus.
Ja, naja, mal gucken. Ich wollte es nur mal anteasern oder vielleicht jemanden dazu bringen, die Arbeit für uns zu machen und dann sagen, hey, ich habe da voll Planform, komm jetzt in den Podcast und erkläre euch das. Das wäre natürlich genial, ne? Bitte, Gibt es auch ein Weihnachtsmaffi. Den kaufe ich dafür, gar kein Thema. Ja. So, das war es dann aber auch von meiner Seite aus.
Thomas Wiebe (2:16:26)
Bitte.
Okay. Wieder ein buntes Potpourri an Themen.
Andrej Friesen (2:16:52)
Sollen wir abmoderieren?
Thomas Wiebe (2:16:53)
Ja, machen wir.
Andrej Friesen (2:16:56)
Machen wir. Okay.
Thomas Wiebe (2:16:58)
Also wenn ihr Ahnung von dem Thema habt, uCore oder sonst was oder Alternativen dazu, die in dieselbe Richtung gehen auf dem Server, meldet euch gerne. Wenn ihr Feedback habt, meldet euch auch bitte gerne an podcast.smarthuette.de oder auf master dann entweder Andrej oder mich. Wir sind da namentlich auffindbar. Aber wir haben auch Links auf unserer podcast.smarthuette.de Webseite mit den ganzen üblichen sozialen Dinge.
Wir sind auch immer wieder sehr dankbar für Feedback, also gerne Herren damit.
Andrej Friesen (2:17:33)
Ja oder
nicht nur Feedback, sondern auch Themenvorschläge. Wenn das dann da reinkommt, dann weder Plan von haben oder Bock. Dann gucken wir uns das an und besprechen das hier einfach mal. Nichts anderes war ja die Frage mit dem TLS heute.
Thomas Wiebe (2:17:41)
Ja, sehr gerne.
Genau, oder wenn wir irgendwo nicht tief genug angetaucht sind oder so, gerne auch das. Ist immer ein schwieriges Thema. Wo holt man seine Zuhörer ab? Zu früh, zu spät, irgendwo in der Mitte. Wir versuchen es mit irgendwo in der Mitte eigentlich und adjusten aber auch gerne nach. Korrigieren aber auch gerne nach. Das mit dem englischen Hörner. Furchtbar. Genau.
Andrej Friesen (2:18:10)
wie Opfer.
Thomas Wiebe (2:18:14)
Ja cool, mir hat's Spaß gemacht. Danke euch fürs Zuhören und bis zum nächsten Mal.
Andrej Friesen (2:18:21)
Bis zum nächsten Mal, ciao.