SONOS Netzwerk optimieren

SMA. Ein typisches Sonos Netzwerk umfasst einige Player (z.B. Play:1, Play:3 und/oder Play:5) dazu evtl. noch einen Connect oder eine Bridge. Sonos plant sich sein Netzwerk selber und kommuniziert unter den einzelnen Geräten auf einem WLAN Kanal. Dieses WLAN ist aber nicht sichtbar auf einem Computer/Notebook.

Meistens funktioniert diese automatische Netzwerkkonfiguration sehr gut. Aber leider nicht immer.

Wenn man häufige Unterbrüche hört oder das System langsam reagiert, sollte man sich die Konfiguration etwas genauer ansehen.

Auf allen Sonos Komponenten läuft ein Webserver, welcher man unter der URL
http://:1400/support/review erreicht. Um sich einen guten Überblick über sein System machen zu können empfehle ich die Verwendung des Links „Network Matrix“.

Das sieht dann etwa so aus. (Dieses Bild ist ein optimiertes Netz. Meistens gibt es orange oder sogar rote Felder.

Bild 1

  • Grün bedeutet sehr gut.
  • Gelb ist noch gut.
  • Orange ist knapp genügend.
  • Rot ist schlecht.

 

Hat man nun viele rote oder orange Felder kann man dies evtl. optimieren.

Als erstes sollte man probieren ob ein Wechsel des WLAN Kanals eine Verbesserung bringt

 

WLAN

Hier hilft am Besten das Programm inSSIDer. Das Programm zum Download findet man z.B. bei CHIP.

Auf diesem Bild empfiehlt sich z.B. den Kanal 11 zu verwenden. Aber sonst können sie die drei Varianten (1, 6, 11) auch probieren. Die Einstellung nehmen sie am Besten auf dem Client vor. Hier z.B. mit Windows:

SonosKanal

 

Eine weitere Option ist die Wahl der Root Bridge. Dies sollte die zentralste Sonos Komponente sein und am Besten noch per Ethernet-Kabel angeschlossen sein. Sollte Sonos nicht automatisch die Beste Auswahl treffen, können sie etwas nachhelfen:

Rufen sie diese Seite auf (auf dem Player, welchen sie zur Root Bridge machen wollen)

http://192.168.xxx.xxx:1400/advconfig.htm

und stellen sie FirstZP und Priority auf „enabled“.

sonosroot

Danach müssen sie den Sonos Player/Connect neu starten. Dies kann natürlich auch direkt im Browser erledigt werden:

http://192.168.xxx.xxx:1400/reboot

 

weitere Möglichkeiten des Web GUIs:

  • http://192.168.xxx.xxx:1400/region.htm  – setzt die WLAN Region   (bei uns EU – Europa)
  • http://192.168.xxx.xxx:1400/tools.htm – Netzwerk Tools (Ping, Traceroute, nslookup)
  • http://192.168.xxx.xxx:1400/status – etwas unübersichtliche aber ausführliche Statusseite
  • http://192.168.xxx.xxx::1400/wifictrl?wifi=off – Stellt das WIFI bis zum nächsten Reboot ab
  • http://192.168.xxx.xxx::1400/wifictrl?wifi=persist-off – Stellt das WIFI Interface komplett ab – Wenn man nur über Kabel arbeiten möchte

 

Weitere Infos findet man auch hier:

Print Friendly, PDF & Email

IPv6 Subnetting

Ausgangslage: Eine Firma mit mehreren Aussenstellen möchte gerne IPv6 Adressen verteilen. Jede Aussenstelle hat mehrere VLAN’s (Subnetze) für verschiedne Dienste (LAN, PublicWLAN, Vioce, Video). Aktuell sind alle Geräte, Computer, Drucker und Server mit privaten Adressen (10.x.x.x) adressiert.

Die Firma möchte alle Geräte auch mit IPv6 (dual stack) adressieren. So kann für einige Dienste auf NAT verzichtet werden.

  • Welche Ranges werden empfohlen?
  • Wie gross sollten die Subnetze sein?
  • Welcher Adress-Range soll man benutzen?
  • Ich empfehle folgendes:

    Grössere Firmen sollten bei der zuständigen Stelle Provider unabhängige (PI – Provider Independent) Adressen bestellen. Diese stellen wären:

  • RIPE NCC – Réseaux IP Européens Network Coordination Centre für Europa
  • AfriNIC – African Network Information Centre für Afrika
  • ARIN – American Registry for Internet Numbers für Nordamerika
  • APNIC- Asia-Pacific Network Information Centre für Asien und den pazifischen Raum
  • LACNIC – Latin American and Caribbean Internet Addresses Registry für Südamerika und die Karibik
  • Meistens erhält man von der RIR (Regional Internet Registry) einen /48 Range zugeteilt. Diesen kann man dann wie im unteren Schema gezeigt aufteilen.

    Jede Aussenstelle würde z.B. ein /56 Netz erhalten. Dann können pro Standort 256 Subnetze in maximal 256 Standorten adressieren.
    Oder man wählt das Netz vor Ort etwas kleiner: /60 So können 16 Netze in maximal 4096 Standorten adressiert werden.

    Ich empfehle kein Netz mit Endgeräten (PC, Drucker, Router, usw.) zu erstellen, welches kleiner als /64 ist.
    Man vergeudet leider sehr viele Adressen, da ein /64 Netz immerhin 18’446’744’073’709’551’616 Adressen umfasst. Aber es ist das kleinste Netz bei dem man Autoconfig/SLAAC verwenden kann.

    Will man kleine Netze empfehle ich, die Adressen statisch (von Hand) zu vergeben.

    Jeder IPv6 fähige Gerät richtet automatisch eine eigene link-lokale und globale Adressen ein. So kann ein Endgerät mit anderen Geräten problemlos kommunizieren. Doch bei einem Router oder bei Servern sollten sich die Adressen nicht ändern. Ausser sie haben einen internen dynamischen DNS Server. Aber auch hier empfehle ich statische Adressen zu verwenden. Und für den Zugang zum Internet muss ein Router zwangsläufig eine feste IPv6-Adresse haben. Dem Router und wichtigen Servern (AD, Exchange, File) sollte man die Adresse manuell zuweisen und bei Client Computern oder Applikationsservern kann man die Adressen zentral per DHCPv6 zuweisen (optional mit Reservierung).

    IPv6-Subnet Tabelle
    2a02:1368:0000:0000:0000:0000:0000:0000
    |||| |||| |||| |||| |||| |||| |||| ||||
    |||| |||| |||| |||| |||| |||| |||| |||128 Einzelne Adresse, Endpunkt, Loopback
    |||| |||| |||| |||| |||| |||| |||| |||127 Point2point Links
    |||| |||| |||| |||| |||| |||| |||| ||124
    |||| |||| |||| |||| |||| |||| |||| |120
    |||| |||| |||| |||| |||| |||| |||| 116
    |||| |||| |||| |||| |||| |||| |||112
    |||| |||| |||| |||| |||| |||| ||108
    |||| |||| |||| |||| |||| |||| |104
    |||| |||| |||| |||| |||| |||| 100
    |||| |||| |||| |||| |||| |||96
    |||| |||| |||| |||| |||| ||92
    |||| |||| |||| |||| |||| |88
    |||| |||| |||| |||| |||| 84
    |||| |||| |||| |||| |||80
    |||| |||| |||| |||| ||76
    |||| |||| |||| |||| |72
    |||| |||| |||| |||| 68
    |||| |||| |||| |||64 1 - kleinstes Netz für Autoconfig/SLAAC (Standardzuweisung für ein Enduser Netz)
    |||| |||| |||| ||60
    |||| |||| |||| |56 256 - Standardzuweisung für einen Kunden (so kann man 256 x /64 Netze Adressieren)
    |||| |||| |||| 52 4096 - (so kann man 4096 x /64 Netze Adressieren)
    |||| |||| |||48 65536 - Typisches Netz für Zuweisung von RIPE für PI Adressen oder Firmen (65536 /64)
    |||| |||| ||44
    |||| |||| |40
    |||| |||| 36
    |||| |||32 /32 - Typische Adressierung an einen LIR - z.B. an Arcade
    |||| ||28
    |||| |24
    |||| 20
    |||16
    ||12 Zuteilung an RIPE von der IANA (2a00:0000::/12RIPE NCC)
    |8
    4

    Siehe https://www.iana.org/assignments/ipv6-unicast-address-assignments/ipv6-unicast-address-assignments.xml

    Print Friendly, PDF & Email

    Exchange 2013 IPv6 Probleme

    Ausgehende Mails ab Exchange 2013 werden abgeleht.

    Wer mit einem Microsoft Exchange 2013 Server Mails an GMX oder gMail sendet kennt evtl. diese Meldungen:
    – Sender address rejected: Please see http://www.openspf.org/Why?….

    – The sender does not meet basic guidelines ipv6 sending of authentication and RDNs resolution of sending ip. Please review https://support.google.com/mail/answer/81126for more information. – gsmtp
    Your message was not delivered due to permission problems or safety. She may have been rejected by a moderator, the address only accepts mail from certain senders, or another restriction prevented delivery.

    Obwohl der Server eine fixe IP Adresse hat (IPv4 und IPv6) benutzt Exchange eine dynamische IPv6 Adresse zum Versenden von Mails. Das Problem existiert bei IPv4 nicht, da es dort keine stateless address autoconfiguration, Link-local oder Site-local Adressen gibt.

    Mails werden über die statische IPV6 Adresse empfangen (wie es im DNS erfasst ist).
    Die Mails werden aber nicht über die selbe Adresse wieder versendet (SMTP outgoing). Sondern für ausgehende Verbindungen wird die dynamische IPv6 (stateless address autoconfiguration) verwendet. Diese IPv6 Konfiguration macht an einem PC Sinn, da so die ausgehende Adresse immer wieder ändert und so das Tracking von Informationen eingeschränkt wird.

    Beim Versenden von e-Mails macht das allerdings wenig Sinn, da genau hier der Absender eindeutig identifizierbar sein sollte.

    Mittels der Exchange Shell kann man die abgehende Adresse aber festlegen:
    Beim „Send-Connector“ gibt es die Variable „SourceIPAddress“.

    Achten sie wie bei IPv4 darauf, dass die Adresse einen korrekten DNS Reverse Eintrag hat und, falls vorhanden, beim SPF Record korrekt erfasst ist.

    Weitere Infos auf der Microsoft Technet Seite:
    http://technet.microsoft.com/de-de/library/gg144561%28v=exchg.150%29.aspx

    Print Friendly, PDF & Email

    Windows 8.1 Ländereinstellungen für die Schweiz

    Unter Windows (hier das Windows 8.1 als Beispiel) sind die Dezimaltrennzeichen für die Schweiz wieder mal falsch.

    Kein Schweizer benutzt in Excel, Rechner oder anderen Windows Programmen ein Komma als Dezimaltrennzeichen. Es wird eigentlich immer ein Punkt verwendet.

    Umstellen kann man das in der Systemsteuereung.
    Systemsteuerung –> Sprache -> Datums-, Uhrtzeit- oder Zahlenformate ändern -> Weitere Einstellungen -> Dezimaltrennzeichen (von Komma auf Punkt umstellen)

    Print Friendly, PDF & Email

    Heartbleed SSL Bug

    Heartbleed SSL Bug

    In der viel benutzten SSL Library OpenSSL 1.0.1f war seit 2 Jahren ein Programmierfehler, welcher es erlaubt auf einem SSL Server 64kbyte aus dem Speicher auszulesen. Die Daten konnten User und Passwörter enthalten oder, in seltenen Fällen, den Private Key des Servers.

    Wie schützt man sich:
    – OpenSSL aktualisieren (z.B. yum update openssl)
    – Alle Services, welche OpenSSL verwenden, neu starten
    – Altes Zertifikat zurück ziehen lassen (das alte Zertifikat muss auf die CRL, Certificate Revocation List damit der Browser es nicht mehr akzeptiert)
    – Neues Zertifikat anfordern mit neuem Private Key (Einige Anbieter wie Verisign machen die kostenlos)
    – PFS Forward Secrecy aktivieren (ansonsten könnten alte, aufgezeichnete SSL Daten weiterverwendet werden)

    Viele sichere Seiten waren anfällig und haben die Schritte befolgt. Leider habe auch einige nur die ersten zwei Schritte ausgeführt. Dies schützt zwar vor neuem Auslesen des Speichers. Wenn aber jemand den Private-Key ausgelesen hat, kann er mit einer Phishing Seite immer noch Schaden anrichten.

    Alle Windows Server mit IIS sind nicht betroffen, da Microsoft eine eigene SSL Implementierung (SChannel) benutzt und nie auf OpenSSL zurück griff.

    Gute Infos zum Heartbleed Bug auch auf: http://www.golem.de/news/openssl-wichtige-fragen-und-antworten-zu-heartbleed-1404-105740.html

    Dies ist allerdings nicht die erste Lücke im ganzen SSL Prozess. Deshalb sollten alte Protokolle und Ciphers deaktiviert werden.
    SSL Labs hat eine Testseite für Server eingerichtet. https://www.ssllabs.com/ssltest/analyze.html
    Hier sollten einfache SSL Seiten auf ein „A-“ kommen. Shops, Kreditkartentransaktionen und Banking-Seiten sollten sicher mit „A“ bewertet werden.

    Eine sehr gute Anleitung wie man dies unser Windows Server 2008 R2 macht findet sich hier: http://www.hass.de/content/setup-your-iis-ssl-perfect-forward-secrecy-and-tls-12

    Mehr Infos zu SSL/TLS: http://www.msxfaq.de/signcrypt/tlssecurity.htm

    Print Friendly, PDF & Email

    Cisco VPN mit 1800er Router

    Beispielconfig für IPsec VPN mit Cisco 1800er Routern.

    ip domain name xxxxxxxxxx.xx
    
    crypto isakmp policy 10
     encr 3des
     authentication pre-share
     group 2
    crypto isakmp key VPNSECRETKEY address 111.111.111.111
    !
    !
    crypto ipsec transform-set TS_ESP-3DES esp-3des esp-sha-hmac
     mode tunnel
    
    
    crypto map IPSec-VPN 10 ipsec-isakmp
     description IPSec Tunnel to Honolulu
     set peer 111.111.111.111
     set transform-set TS_ESP-3DES
     match address 100
    
    interface Dialer1
     dialer pool 1
     encapsulation ppp
     ppp chap hostname <LOGIN>
     ppp chap password <PASSWORD>
     ppp pap sent-username <LOGIN> password <PASSWORD>
     ip address negotiated
     ip mtu 1492   
     ip tcp adjust-mss 1452
     ip nat outside
     crypto map IPSec-VPN
    !
    no ip route 0.0.0.0 0.0.0.0
    ip route 0.0.0.0 0.0.0.0 Dialer1
    
    ip route 10.0.0.0 255.0.0.0 Null0 254 name Drop-Private-IPs
    ip route 172.16.0.0 255.240.0.0 Null0 254 name Drop-Private-IPs
    ip route 192.168.0.0 255.255.0.0 Null0 254 name Drop-Private-IPs
    
    ip route 192.168.111.111 255.255.255.0 111.111.111.111 name Private Subnet on VN Target Site
    
    
    
    
    Print Friendly, PDF & Email

    Windows 8 – Nicht signierte Treiber installieren

    Windows 8 (und 8.1) verhindert dass man nicht digital signierte Treiber installiert. Es gibt aber immer noch Hersteller, welche keine expliziten Windows 8 oder eben keine signierten Treiber anbieten. Diese Treiber können natürlich ein System schädigen oder zum Absturz bringen- Falls man doch einen solchen Treiber installieren möchte geht das folgendermassen:

    – Windows Taste + I
    – Change PC Settings / PC Einstellung ändern
    – General / Allgemein
    – Advanced startup / Erweiterter Start

    Bild 6

    Der PC bootet danach in ein Startmenü.

    – Troubleshoot / Problembehandlung
    – Advanced options / Starteinstellungen
    – Restart / Neustart

    Hier kann mit der Taste 7 oder F7 die Einstellung für die signierten Treiber deaktiviert werden.

    IMG_3202

    IMG_3204

    IMG_3205

    Weitere Infos und Screenshots (englisch) http://www.nextofwindows.com/how-to-install-an-un-signed-3rd-party-driver-in-windows-8/

    Print Friendly, PDF & Email

    IIS 7 (2008R2) PHP Script Timeout

    Falls ein PHP Script auf einem Microsoft Windows IIS länger als 30 Sekunden läuft wird es abgebrochen und es erscheint:

    HTTP Error 500.0 – Internal Server Error

     

    The FastCGI process exceeded configured activity timeout

     

    Dazu muss man die Datei applicationHost.config bearbeiten.

     

    <fastCgi>
    <application fullPath=“<path>“ arguments=“<args>“ activityTimeout=“<value“> …<otherValues>…. />
    </fastCgi>

    z.B.:

    <fastCgi>
    <application fullPath=“C:\Program Files\PHP\php-cgi.exe“ requestTimeout=“10000″ />
    </fastCgi>

     

    In der php.ini müsste man dann die Timeouts auch noch korrekt anpassen.
    Nach einem Neustart der IIS Dienste (iisreset) dürfen die Scripte dann länger laufen.

    Mehr Infos unter: http://forums.iis.net/t/1150670.aspx

    Print Friendly, PDF & Email

    Active Directory DNS Einträge fehlen

    Auf dem Microsoft DNS Server in einer Active Directory Domain gibt es einige wichtige DNS Einträge. SRV Records, LDAP & Kerberos Einträge, usw.

    Falls diese fehlen läuft ein allfälliger Exchange Server nicht mehr. Auch Anmeldungen funktionieren nicht korrekt.

    Mittels diesen Befehlen kann man alle nötigen Einträge korrekt wiederherstellen:

    – ipconfig /registerdns
    – dcdiag /fix
    – netdiag /fix (Windows 2003 und älter)
    – nltest /dsregdns

    Bild 5

    – restart the NETLOGON service (net stop netlogon / net start netlogon)

    Print Friendly, PDF & Email

    Huawei E180 USB Stick mit Zyxel NBG4115 3G Router inkl. Unlock (SIM LOCK entfernen)

    Network Failover über das 3G Netz mit einem Zyxel 3G Router. Leider unterstützt der Zyxel NBG4115 nur sehr wenige in der Schweiz erhältliche USB 3G Modems. Eines davon ist der Huawai E180 Stick welchen man als Sunrise T@KE AWAY erhält.

    Für die Einrichtung mit Sunrise T@KE AWAY benötigt man folgende Daten:

    APN: internet
    Nummer wählen: *99#
    Benutzername leer
    Passwort leer

     

    Falls man aber den Stick mit Orange oder Swisscom verwenden möchte muss zuerst den SIM LOCK loswerden. (Dies darf man nur machen wenn für den Stick der volle Preis bezahlt wurde oder das Abo bereits mehr als 2 Jahre lang bezahlt wurde.)
    Ich musste Swisscom als Provider verwenden, da mit beiden anderen der Empfang ungenügend war. Mit Sunrise wurde nicht einmal die Verbindung aufgebaut. So geht man vor um den Huawei E180 neu zu programmieren:

    1) Das Firmware Upgrade benötigt ein Passwort. Dieses kann man anhand der IMEI Nummer herausfinden. Das Tool „Universal Master Code“ berechnet aus der IMEI Nummer das Passwort.
    Universal_MasterCode

    2)  Mit diesem Passwort kann man dann die Firmware flashen. Die Firmware kriegt man bei Huawei oder direkt hier: E180Update_11.126.10.01.68.B418.exe

    3) Nach dem Upgrade der Firmware wird noch die Software Partition auf dem Stick erneuert. Hier ist danach die Software für WindowsX; Vista, 7 oder 8 und Mac gespeichert.
    Customized Mobile Partner.exe

    4) Danach kann man die Software auf einem PC/Mac installieren und sein eigenes Profil erstellen. Für die Verwendung im Zyxel Router ist dies nicht notwendig.

    5) Zyxel NBG4115 Konfigurieren

    WAN Modus: 3G Modem
    APN: gprs.swisscom.ch
    Nummer wählen: *99#
    Benutzername leer
    Passwort leer

    oder für Orange

    WAN Modus: 3G Modem
    APN: internet
    Nummer wählen: *99#
    Benutzername leer
    Passwort leer

     

    Weitere Infos unter:
    http://www.modemunlock.com/huawei-e180-firmware-download-3g-modemnetsetter-dashboard.html

    Print Friendly, PDF & Email