NBase-T Upgrade Teil 2

So sieht das dann in Aktion auf der Macbook-Seite aus:

Und so sieht das auf der NAS-Seite aus:

2.5 GigaBit/sec lesen und schreiben vom Macbook auf das NAS. Nbase-T geht durch den USB 3 Port also anstandlos durch. Dafür, daß USB mal als Ersatz für die serielle Schnittstelle angefangen hat, ziemlich beeindruckend.

Netzwerk Upgrade: NBase-T und 10 Gigabit Ethernet

Gigabit-Ethernet ist ein echtes Erfolgsmodell, aber auch schon ganz schön alt. Da muss mal ein kleines Upgrade her. Immerhin ist 10 Gigabit Ethernet auch schon von 2006.

Ich habe lange mit den Netgear-Geräten geliebäugelt, denn der Markt für NBase-T (2,5 und 5 Gigabit) und 10 Gigabit Ethernet Switche ohne Lüfter ist sehr übersichtlich. Aber der Netgear GS110MX hat leider nur 2 schnelle Ports, einen für den Uplink und einen für das NAS und schon ist alles dicht. Und die Netgears mit mehr Ports haben leider wieder alle Lüfter.

Zyxel hat neue Switche rausgebracht 🙂 Mein letztes Gerät von Zyxel war ein analoges Modem (U-1496), Gott ist das lange her.

Die kommmen in zwei einfachen braunen Kartons, was völlig ok ist. Niemand braucht für diese Geräte eine Hochglanz-Verpackung, die kauft ohnehin niemand nach Aussehen im Supermarkt.

Acht mal Gigabi, zweimal NBase-T und zweimal SFP+ und das ohne Lüfter; wahlweise mit (Zyxel XGS1210-12) oder ohne (XGS1010-12) Management-Interface. In die SFP+ Slots passen die 10GBase-T Module für Cat6A Kupferkabel rein, die sind inzwischen recht preiswert geworden. Da macht sich die Cat6A-Verkabelung im Haus endlich bezahlt. Also kommt ein Modell mit Management-Modul in das Rack und ein Modell ohne Management in das Büro. Dazwischen gibt es dann eine 10GbE Uplink Verbindung.

Die Inbetriebnahme ist harmlos, ist halt ein Switch. Komisch ist nur, daß bei dem Modell mit Management das DHCP abgeschaltet ist; dafür ist eine IP-Adresse voreingestellt. Das voreingestellte Passwort muss direkt geändert werden, sehr vernünftig. Dafür kann das Management-Webinterface kein HTTPS sondern nur HTTP, was schade ist. SNMP oder SSH etc kann das Gerät gar nicht, andere offene Ports findet nmap auch nicht.

Die Geräte werden doch recht warm. Insbesondere die SFP+ Slots werden sehr sehr warm. Fasst man die Geräte dort unvorbereitet an, lässt man sie spontan wieder fallen. Laut FritzDect 200 Energiemessung verbraucht der XGS1010-12 mit 6 aktiven Gigabit-Ports und aktivem 10GbE-Uplnk gut 11 Watt.

Das Management-Modul des XGS1210-12 ist recht einfach gehalten, so richtig viel kann man dort nicht machen. Das war für den Preis aber auch nicht zu erwarten.

Das Trunking des Switches ist Murks. Das ist kein 802.3ad sondern irgendwas selbstgebautes von Zyxel. Was dort genau passiert ist nur sehr ungefähr beschrieben. Und mit dem QNAP NAS TS-469L habe ich den Trunk gar nicht zum Laufen bekomen. Sobald ich das Trunking im Switch aktiviert habe, war das QNAP nicht mehr zu erreichen. Die verschiedenen Trunk-Modi auf dem QNAP habe ich alle durchprobiert, das ändert auch nichts.

Das 802.3AZ ist merkwürdigerweise im Auslieferzustand abgeschaltet. Ich konnte noch keinen Unterschied messen, aber vielleicht sind die Fritzdosen dafür auch einfach nicht genau genug.

Postiv ist, daß der Switch IGMPv3 kann. Aber MLD fehlt leider, IPv6 wird halt immer noch stiefmütterlich behandelt. Telekom Entertain sollte damit funktionieren, habe ich aber noch nicht ausprobiert.

Das einzige Feature welches mir echt fehlt, ist eine Möglichkeit die Ports zu beschriften, damit man noch weiß, welches Gerät in welchem Port drinsteckt.

Installiert war eine Firmware vom November 2019, da gibt es schon eine deutlich neuere auf den Support-Seiten.

Das Macbook bekommt ein Club 3D USB Nbase-T Interface. In dem USB-Adapter steckt ein Realteak RTL8156 Chip drin. Nach Installation des Treibers sieht das dann so aus:

Geht auch mit Automatik, ist dann aber schlechter zu lesen:

Etwas blöd ist, daß man einen Treiber installieren muss. Es gibt einige Macs mit NBase-T Ports, MacOS muss also Treiber dafür haben. Vermutlich sind das aber irgendwelche Chips, die man einzeln für USB-Adapter nicht bekommt, da sie in einem Chipsatz drinstecken.

Bis dato gefallen mir die Switche gut: stabiles Metall-Gehäuse (brauchen die bei der Wämeentwicklung auch), lautlos, ein vernünftiger Preis und bislang laufen sie stabil (sind jetzt aber auch erst ein paar Tage alt).

Die alten Cisco-Switche haben nach neun Jahren würdige Nachfolger bekommen. Die Ciscos können zwar ordentliches IPv6 (inkl. MLD), statisches Routing, … das braucht man allerdings in einem Heimnetzwerk nicht wirklich. Das hatte zwar einen gewissen Spielwert, aber der nutzt sich ab. Und weniger Strom verbrauchen die ZyXELs auch noch. Wobei Geräte ohne NBase-T und ohne 10 Gigabet-Ethernet natürlich noch weniger Energie verbrauchen würden. Irgendwas ist halt immer.

FIDO2 mit SoloKey

FIDO2 ist in letzer Zeit ja immer wieder durch die Presse gerauscht, da musste ich mir das mal in live anschauen.

Fedoraproject.org verwendet seit Ewigkeiten die Yubikeys, die fand ich immer etwas suspekt. Bei den Yubikeys war mir die Funktionsweise nie so ganz klar, zumal man für die Yubis (zumindest die klassischen) auch ein Yubi-Backend braucht. Zumindest für Fedora werde ich meinen alten Yubi-Key aber wohl noch eine Weile weiter benutzen müssen.

FIDO2 funktioniert so ähnlich wie eine Smartcard, nur daß dort nicht nur ein Zertifikat drauf ist, sondern der Key für jeden Dienst ein eigenes Schlüsselpaar erzeugt. Da ist auch keine PKI oder so im Spiel, das PKI-Konzept skaliert ja nicht so richtig gut. Im Prinzip sind das Wegwerf-Zertifikate, die werden pro Dienst erzeugt, wenn man sich bei einem Dienst anmeldet. Kommt doch mal eines abhanden (wie auch immer das passieren sollte), ist daher auch nur der eine Dienst betroffen

Die FIDO2 Leute haben da eine sehr schöne Zusammenfassug was bei der Registrierung und dem Login passiert: How FIDO Works.

Ich habe mir drei Solokeys bestellt. Zwei mit USB-C (NFC) und einen mit USB-A.

Einrichten muss man da nichts (zumindest unter MacOS und Linux), keine Treiber, keine Tools. Wennn man den Stick z.B: be Gitlab angemeldet hat, kommt beim Anmelden dieser Dialog im Browser hoch:

Dadurch fängt der Stick an zu bllnken und man bestätigt per Knopfdruck.

Einzig um meinen USB-Port habe ich da etwas Angst; wenn man von oben drauf drückt, biegt der sich doch ganz gut durch. Zumal man für den Button etwas Kraft aufbringen muss, nix mit Touch. Aber zum Glück sind weitere Gummihüllen dabei:

Das sind perfekte Abstandshalter für Macbook Pros, als wenn die dafür gemacht wären.

Verliert man einen Stick, oder geht einfach mal einer kaputt, meldet man am besten noch einen zweiten beim Dienst an. Oder alternativ ein OTP über einen SW-Authenticator. Gitlab, Google, Github, … bieten auch noch Recovery-Codes an.

Ich finde, daß ist ein richtiger Fortschritt zum Thema Sicherheit. Jetzt müssen nur noch mehr Dienste das supporten, die US-Firmen sind da leider deutlich weiter als deutsche Firmen.

GPG für Apple Mail auf dem Mac

Die die PGP-verschlüsselten Mails in letzter Zeit wieder mehr werden, musste mal etwas mehr Komfort her. Und das GPG-Plugins für Apple Mail ist wirklch gut. Nach der Installation muss es noch angeschaltet werden; das ist in der FAQ recht weit unten etwas versteckt beschrieben.

Die Aufregung wegen der Kosten kann ich nicht so ganz nachvollziehen. Da stecken ein paar Leute Arbeit rein und legen dann auch noch den Code offen. Die 20€ finde ich ok, die werden da vermutlich keine Millionen Umsatz mit machen. Und wenn sich dann jemand um die Fehler-Behebung kümmert, ist doch alles gut. Und wenn die Leute da Millionen Umsätze mit machen, freuen wir uns alle, das eMail-Sicherheit endlich einen Sprung nach vorne macht.

Hinten kommen dann ordentlich verschlüsselte Mails raus:

Content-Type: multipart/encrypted;
boundary=“Apple-Mail=_C980E551-3324-4331-AE9F-8F28638F4042″;
protocol=“application/pgp-encrypted“
Subject: Test Test
This is an OpenPGP/MIME encrypted message (RFC 2440 and 3156)
–Apple-Mail=_C980E551-3324-4331-AE9F-8F28638F4042
Content-Transfer-Encoding: 7bit
Content-Type: application/pgp-encrypted
Content-Description: PGP/MIME Versions Identification

Version: 1

–Apple-Mail=_C980E551-3324-4331-AE9F-8F28638F4042
Content-Transfer-Encoding: 7bit
Content-Disposition: inline;
filename=encrypted.asc
Content-Type: application/octet-stream;
name=encrypted.asc
Content-Description: OpenPGP encrypted message

—–BEGIN PGP MESSAGE—–
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=SE59
—–END PGP MESSAGE—–

Sicherheit an der falschen Ecke

Plötzlich will mein Rechner nicht mehr drucken.

Des Rätsels Lösung ist ein abgelaufenes Self-Signed-Certificate. OSX steurt den Drucker über IPP an und hat gemerkt, daß der Drucker behauptet, daß er TLS kann. Was auch stimmt. Nur ist leider vorgestern eben jenes Zertifikate abgelaufen.

Alles kein Hexenwerk, aber für die meisten Anwender vermutlich weitgehend unverständlich was denn jetzt wieder los ist.