Posts by eripek

    mainziman endlich hats einer erkannt. (Holt seine Triumph Adler raus), was meinst du, warum es TeleTypeWriter heißt

    Ich hoffe, dass ist eine rein mechanische Schreibmaschine in schwarzer Optik. Wir könnten unsere Beiträge in der nächsten Woche auf Papier verfassen, einscannen und hier posten.


    zum Briefe senden braucht ma auch kei Post, des geht auch mit Brieftauben, die ma dann abschlachtet

    Unterschätze nie die Bandbreite einer Brieftaube mit einem ausreichend großen USB-Stick. (In Anlehnung an ein Zitat Tannenbaums: „

    Never underestimate the bandwidth of a station wagon full of tapes hurtling down the highway.“


    H6G killerbees19

    so sieht das sit1 Device am Router aus

    Also uhr.ptb.de - die senden nicht einmal ein ICMP type 2 zurück. Ich würde ja noch verstehen, wenn sie echo replies verwerfen... völlig kaputt.

    mainziman : mit iproute2 könntest Du für TCP-Verbindungen die MSS der defaultroute des Tunnels ankündigen (advmss x | x=MTU - 40 - 20 für IPv6). ip -6 r c default dev sit1 via tunnel-prefix::2 mtu 1480 advmss 1420 ... oder ähnlich. Damit könnten zumindest die HTTPS-Verbindungen wieder klappen, solange die MTU-Werte in beide Richtungen symmetrisch sind.

    Streng genommen läßt sich jedes Argument mit einem Bewohner der Stadt bzw. mit offiziellen Dokumenten widerlegen. Also spaßige Sache, aber Geld wird am Ende wohl niemand sehen 😂 Marketing at its best 👌😎

    Am Wettbewerb teilnehmen, verlieren, vor dem Amtsgericht Bielefeld klagen, verlieren und in die nächste Instanz gehen, weil das Amtsgericht nicht in der Lage war, seine eigene Existenz zu leugnen. Beweis erbracht. Da es Bielefeld nicht gibt, wird man aber kein Geld bekommen.

    Eigentlich muss man nur Blödsinn einreichen und jedem der drei Mitglieder des Prüfgremiums 250.000€ abgeben. Easy viertel-Mille würde ich sagen

    Oder einen derart genialen Blödsinn einreichen, der der Jury auch noch schmeichelt, weil sie nicht erkennt, wie genial er ist, sodass man am Ende gewinnt. Die Frage ist nur, ob ein Physikerwitz, ein Witz basierend auf mathematischer Logik/Logikparadoxon oder doch etwas, was die Masse versteht, sinnvoller ist...


    Wieviel Masse hätte Bielefeld eigentlich, wenn es nicht masselos wäre?

    Ich habe es noch nicht laufen, weil im Froxlor-Repository noch keine Pakete für Buster zu sehen sind. Wenn Du in Experimentierlaune bist, lautet meine Einschätzung, dass es bei letsencrypt mit der 2.0er-API und mit Dovecot kleinere Probleme geben könnte, wenn Du upgradest.

    Bei einer Neuinstallation könnte eben dovecot ein paar Handgriffe benötigen.

    Das stimmt. In diesem Fall auch, aber für TCP im Tunnel.

    Danke für die Präzisierung. Genaugenommen wirkt es sich auf das Tun/Tap-Device aus, das den Tunnel repräsentiert.


    Die Verbindung hier auf v6 umzustellen, würde ggf. am besten sein.

    Wie dronedale angemerkt hat, ist das für die Nutzung mit Mobilfunkprovidern eher keine Option.


    Und, dass DS-Lite nicht das Gelbe von Ei ist, ist klar. Eine Fragment Size von 1460 , tun-mtu 1500 und mssfix ohne Sekundärparameter, sonst 1420 sollte wohl in diesem Fall das Optimum darstellen, oder?

    Siehe auch https://tools.ietf.org/html/rfc6333#page-7 5.3 zweiter Absatz.

    Ich habe die Verschlüsselung schon von 256 auf 128 runtergesetzt, ohne erkennbaren Erfolg. Sollte ich da noch weiter runtergehen?

    Habe den mtu Wert mal auf 1432 reduziert, mit subjektiv leicht erhöhter Geschwindigkeit(ca 1 MB/s). Vielleicht sollte ich diesen Wert noch weiter optimieren? Muss ich den Wert server- sowie clientseitig anpassen?

    Bei der Option „fragment“ hatte ich gelesen, dass dann per ios keine Verbindung zum VPN mehr möglich sei, kann das stimmen?

    Du schreibst, dass Openvpn generell nicht sehr „performant“ sei, sollte ich darüber nachdenken, einen anderen VPN Dienst zu nutzen? Kannst du da was empfehlen?

    Ein PC oder Einplatinencomputer, der AES unterstützt, würde etwaige Prozessorengpässe für OpenVPN besser handeln. Wie stark Deine CPU während eines Datentransfers tatsächlich ausgelastet ist, darüber gibt Dir etwa „top“ Auskunft.

    Zur MTU - wenn Du Deine beiden Endpunkte mit gesetztem Don't Fragment Flag pingst, erfährst Du den optimalen Wert: ping -Mdo -s1472 -c1 [openvpn-server-externe-ip] und von dort, soweit möglich, den Client in derselben Weise zu pingen, ermittelt den Maximalwert, den Du für Fragment einstellst. Wenn die Nutzlast von 1472 zu einem Timeout oder einer Antwort „message too big“ führt, pings sonst aber funktionieren, dann ist die MTU geringer als 1500 (1472 + 8 + 20). Da UDP und ICMP-Header gleich lang sind, können die Werte auf diese Weise leicht ermittelt werden.


    In der Wildnis häufig anzutreffende Werte für die Nutzlast sind etwa: 1412, 1432, 1452, 1454, 1460, 1462 oder 1464 und eben 1472.


    Mssfix in OpenVPN kann einen Sekundärparameter bekommen, benötigt ihn aber nicht zwingend. Afaik ist die MSS typischerweise MTU - 40 Byte.

    Die Option wirkt sich allerdings nur auf TCP aus, nicht auf UDP. Siehe: https://de.wikipedia.org/wiki/Maximum_Segment_Size



    Zu fragment und ios kann ich nichts sagen, aber, wenn tun-mtu als Parameter verwendet wird, soll laut OpenVPN-Dokumentation stets auch fragment verwendet werden. Man kann alternativ auch mit mtu und mtu-extra arbeiten, aber fragment liefert zuverlässige Ergebnisse, da die ausgehenden Pakete samt Overhead nie größer als das werden.


    OpenVPN arbeitet auf dem Application-Layer und hat keine Kernel-Module. D.h. es interagiert auf einem höheren Level, als notwendig wäre. In der Folge leidet es wohl auch eher an Bufferbloat. Zudem benützt es pro Dienst nur einen Prozessorkern, was bei fehlender AES-Unterstützung zusätzlich ins Gewicht fällt. Derzeit wird das zuvor schon erwähnte Wireguard als Lösung angepriesen, es soll aber auch noch ein paar Kinderkrankheiten haben. https://www.wireguard.com/



    Die Vorteile von OpenVPN liegen im Verbreitungsgrad der Software und ihrer Vielseitigkeit. Darin liegt aber auch die Komplexität. pmtud funktioniert nicht immer und auf allen Plattformen, die Verwendung von Kompression ist im Moment nicht unbedingt zu empfehlen, wenn zugleich 2.4.x und 2.3.x verwendet werden soll. Wie immer ist es wichtig, Logfiles lesen zu können und auch zu lesen. Irreführend ist oft, dass man glaubt, eine Verbindung seit aufgebaut, nur weil der Dienst im Log als laufend angezeigt wird, oder periodische Einträge aufgrund von ping/ping-restart (Option) aufscheinen. Das ist wertlos, solange nicht „connection initialized“ oder ähnlich geloggt wird. Fehler hingegen stechen mit „error“ auch heraus.

    Fragment-Errors - bei Verwendung einer falschen Fragmentgröße (die muss auf beiden Seiten gleichwertig eingestellt sein) - werden indes recht penetrant aufgezeichnet und fallen auf, wenn man sie sieht.

    dronedale also die Konfiguration schaut schon einmal nicht wirklich übel aus. Was mir Sorgen macht, ist die hohe Verschlüsselung, die Du dem RPi3 abverlangst. Bedenke, dass OpenVPN mit Multithreading nicht wirklich umgehen kann. Zwar taktet der BCM2837 mit 1,2GHz einigermaßen hoch, er unterstützt nach meinem Kenntnisstand jedoch kein instruction set für AES-Beschleunigung. D.h. der Quad-Core kann de facto nur mit einem Kern die Daten verarbeiten und muss dort komplexe Berechnungen anstellen, um die AES-Verschlüsselung, die Du eingestellt hast, zu verarbeiten. OpenVPN ist auch nicht unbedingt bekannt für hohe Performanz.


    Weitere Punkte, die mir aufgefallen sind:

    1. tun-mtu 1500, aber keine Definition von „fragment“. Der Standardwert 1472 für eine MTU Deiner Internetverbindung von 1500 wäre korrekt. Bei DS-Lite ist die MTU vermutlich geringer. IPv6 kann da generell nur 1480 nützen (da der IP-Header gegenüber IPv4 um 20 Byte länger ist). Darin wird zudem dann IPv4 verkapselt, d.h. weitere 20 Byte für den IP-Header gehen verloren. Effektiv wird das wohl nur Fragmente von 1432 verarbeiten können. Der Rat von H6G , den Tunnel -sofern möglich- auf IPv6 aufzubauen, ist da sicher hilfreich. Der Wert für fragment sollte dann 1452 betragen. (1500 MTU - 40 Byte IPv6-Header - 8 Byte UDP)

    2. kein mssfix - eventuell ergänzen.

    3. Du kannst noch mit txqueuelen spielen: 1000 ist default, 10000 könnte auf Kosten erhöhter Latenz mehr Durchsatz bringen.

    4. Die Werte für sndbuf und rcvbuf sind ok, könnten aber auch etwas höher sein. OpenVPN regelt das an sich selbst, es gab jedoch Bugs auf diversen Platformen.

    5. Cipher - wie gesagt, wohl für den Raspi zuviel. Für die Auth-Header sind 512 Byte Cipherlänge wohl auch etwas zu hoch. Auf einem PC, der AES-NI beherrscht, sollte das weniger ins Gewicht fallen.

    E605


    War das nicht Kupfervitriol? Ohne das jetzt gegoogelt zu haben...

    Na das ist doch ganz einfach. Sobald der Strom bekommt, heizt der sich und seine Umgebung instant um 10°C auf.

    Ich dachte, sobald er Strom bekommt, springt ein Peltierelement an und kühlt das Ding damit die 95% humidity non-condensing außerhalb der Platine erreicht werden *ducknrun*


    mainziman : ich denke, es sitzen täglich mehr Affen hinterm Steuer, als auf der Autobahn spazieren gehen... ich sag nur „Gartenschlauch“ - know what I mean, *twinkletwinklenatchnatchknowwhatimean*


    timkoop : Was ist eigentlich der Usecase für einen Switch am Dachboden, der kein PoE(passiv oder aktiv) kann?

    Es ist bei mir schon eine Weile her, aber ich vermute, es geht um den JoomlArt Extension Manager, und darum ein Repository für das Template einzurichten:

    /administrator/index.php?option=com_jaextmanager&view=repo


    Sobald das Template und die Purity-Libraries/Extensions installiert sind, kann man es über den Joomla /administrator/index.php?option=com_templates aktivieren.

    Das ist ja nicht das Problem. Ich warte hier gefühlt Jahre auf eine DNS Antwort.

    Da lob ich mir meine Funkfeuer-Community in Wien. Es ist nicht immer alles Wonne und Waschtrog, die Meinungen divergieren, wir „fetzen“ uns auch ab und zu, aber, wenn ein Link Probleme macht, springen zwei oder drei Leute auf und reparieren es in Rekordzeit und unter der Reaktionszeit jedes kommerziellen Providers. Macht mehr Community-Netze!

    Edit: Aber das hat das syslog mitgeschrieben:

    Ich denke aufgrund Deiner divergierenden dmesg-Ausgaben, dass Dein P410i, respektive der Kernel des grml zwar die logische Blockgröße von 512 erkannt hat, nicht aber die (modernere) physische Blockgröße von 4096 bei Advanced Format. Möglicherweise hat die (laut Laptop-Kernel als) 512e (erkannte) -Firmware der Platte oder die des P410i da einen Bug. Das würde die Fehlermeldung zum GPT „mismatch“ erklären, dass Daten auf dem HP über den Sektor hinausgehen. Der Controller wird seit 2015 nicht mehr supportet (https://h20195.www2.hpe.com/v2/GetPDF.aspx/c04111713.pdf) - ist denn die letzte Firmware (6.64B) drauf?


    Pardon, falls ich eine Info, über die eventuell diskutiert worden ist, überlesen haben sollte.


    Was die Performanceprobleme anbelangt, siehe: https://serverfault.com/questi…-proliant-dl385-g7/221553