Beiträge von infinity

Stimmt für Android könnte das Momentan sogar die einzige Möglichkeit sein (zumindest las ich, dass zattoo pvr in kodi auf dem FireTV nicht mehr geht oder sowas)

Aaah! Das ist clever und sehr logisch. Zudem tolle Voraussicht, danke!

Vielleicht könntest du das sogar in der Readme so erläutern? Finde das durchaus wichtig, sodass jeder die zugrunde liegenden Gedankengänge/Philosophie deiner Regeln versteht und somit auch die Struktur leichter verständlich ist. Dann fällt es jedem auch leichter bei Bedarf zusätzliche Regeln hinzuzufügen oder sowas wie tun+ wegzulassen. Ich bspw habe das natürlich nicht bedacht, dass das whitelisten nur bestimmter Interfaces viel allgemeingültiger ist, als das stumpfe blacklisten von tun+/vpn+, welches sich irgendwann evtl. Bezeichnungstechnisch ändert oder sowas.

Zitat von Raybuntu

Grundsätzlich ist ja erstmal alles Verboten was nicht erlaubt ist

Dies erfasst dann auch generell alle Verbindungen die unaufgefordert durch ein tun+ etc. kämen, ja? Also egal was für ein subnetz (lokal, oder internet-global). Streaming (aufgefordert) sollte also durchkommen, aber jemand der einfach meine vpn ip abgreift und daraufhin über diese IP:8080 bzw. IP:22 oder auch nen "ping IP" durchführen will (dementsprechend unaufgefordert), kriegt nen timeout?

Ich finde diese Entwicklung schon lange überfällig. Man hat schon vor über 10 Jahren versprochen, dass bald schneller nichtflüchtiger Speicher kommen werde. Mittlerweile haben sich SSDs ja Gott sei dank überall durchgesetzt und es fehlen denen einfach nur noch etwas die ultraschnellen Zugriffszeiten auf RAM-Niveau. Das schöne ist dann ja einfach, dass ein system instant-heruntergefahren werden kann, ohne, dass was vom RAM auf die SSD geschrieben werden muss.

Ich finde es zwar etwas schade, dass die X-Point Technologie nicht die ursprünglichen Ankündigungen und Versprechungen einhalten kann, aber der erste Schritt ist getan und von hier aus kann es gerne weitergehen :). Ich glaube momentan ist auch der Stromverbrauch ziemlich hoch (wobei in Relation zur Leistung wiederum vertretbar), bloß die absolute Leistungsaufnahme ist leider bei Mobilen Geräten viel wichtiger als der relative zur Leistung.

Ich hoffe ja, dass die das Zeug stark in den Markt drücken, wie damals die SSD, damit sich das nicht hinzieht und man die SSD melkt bis zum geht nicht mehr, und somit X-Point nur für Hochpreisige Systeme vorbehält, um über die Marge richtig abzusahnen.

So als reiner Ram-Ersatz sind die glaube ich noch nicht so ganz auf der Höhe, was Zugriffszeiten usw angeht. Aber vielleicht wirds ja noch.

Zitat von Snickers

Schau dir mal in der Nerds Repo unter Diense das IPTV Proxy Addon an! Noch viel geiler als der Zattoo PVR Client!

UND funktioniert!!

Hmm... was ist denn daran viel geiler? So wie ich das verstehe ist es lediglich eine Umleitung zum IPTV-Simple client.
Folglich fallen damit schonmal folgende Zattoo-Features weg:

• Aufnahmefunktion
• Re-Play

Auf der Haben-Seite:

• ?

Zitat von Raybuntu

@infinity: Ich hab soweit alles abgeschlossen mit iptables und denke das ist jetzt ok so:
https://github.com/Raybuntu/Libre…c506607afe40996
Hab da nun noch einiges geändert wie die Regeln geladen werden.
Erlaubt sind die privaten subnetze nur noch über eth+, en+ und wl+. Damit sollten alle physischen Adapter abgedeckt sein. Was ich jetzt noch gerne hätte wäre eine Einstellung in den LE Settings wo man die Filter allgemein abschalten kann. Wenn man zu viel spielt könnte man sich evtl. aussperren (mir selbst passiert).

Ich bin leider auch in dieser Thematik ein Laie, jedoch kann ich zumindest einige der Regeln nachvollziehen und finde den Ansatz der Whitelist für eth+ usw. ziemlich logisch. Die "Backlist"-Regel für das tun+ aus deinem vorigen Post ist da nun nicht drin. Aber so wie ich das verstehe wäre sie deinem jetzigen Ansatz nach eher redundant, oder?
-A INPUT ! -i tun+ -s 10.0.0.0/8,172.16.0.0/12,192.168.0.0/16 -m state --state NEW -j ACCEPT
Wenn ich die dennoch hinzufügen wollen würde, an welcher Stelle könnte ich das machen? Ich lese bei iptables nämlich öfter den Hinweis, dass die Reihenfolge wichtig ist, da eine Regel an der chronologisch falschen Stelle alle davorliegenden aushebeln könnte.

Ich finde ansonsten auch, dass diese Iptables-Filter zum LibreELEC Standardfeature gehören sollten. Am besten in dem LibreELEC Settings, da wo man auch den Network Delay und DHCP einstellen kann usw. Wie du schon sagst... man kann sich schnell mal aussperren (auch mir ist das schon passiert, haha) und wenn man zumindest die Option in der GUI hat, kann man das mit einer IR- oder CEC-Fernbedienung wenigstens noch rückgängig machen. Vielleicht wird ja jemand noch mal irgendwann ein Addon dazu machen.
Momentan ist es sowieso klasse, dass du dir da die Mühe gemacht hast, das einzubringen und zudem dank der Readme auch die Funktionsweise zu dokumentieren, damit auch jemand wie ich versteht, wie man damit noch rumspielen kann. Habe nämlich bei deiner Krypton13 echt gegrübelt, wie ich Iptables nun eigentlich ausgeschaltet bekomme, wenn ich mal so einen cross-check machen will.

Klasse und mal wieder danke für die super Arbeit!!

Zitat von Raybuntu

Also ich versuche mal auf alles zu Antworten (ist viel). Ich nutze auch einen systemd Service eigentlich sogar 2. Einen für ipv4 und einen für ipv6 iptables. Geladen wird über iptables-restore bzw ip6tables-restore. Dann hab ich noch ein script was iptables-flush heißt (entfernt alle iptables ip6tables regeln)
Deine tun0 regel ist überflüssig. Ich nutze Default policy DROP, d.h alles was nicht explizit erlaubt ist wird verboten in input und output und forward. Ich nutze sogenannte statefull inspection filter. Das bedeutet Verbindungen werden auf ihren State untersucht. Z.b ob es neue oder bestehende Verbindungen sind. Ich versuche nicht weiter auf die Details einzugehen. Lese dich am besten mal ein.

Ersteinmal danke! Ich muss mich definitiv mal mehr in iptables einlesen. Mir ist noch nicht ganz klar was in deinem LibreELEC nun für das Laden der Regeln verantwortlich ist, aber ich nehme an, dass es nun ein im system integrierter service ist. Da ich keinen iptables bezogenen service im .config/system.d Ordner sehe. Normalerweise habe ich da meinen eigenen iptables.service drin und kann den bei bedarf mit systemctl stop [start] [restart] iptables.service stoppen usw. Was die Regeln angeht, werde ich mich mal schlau machen

Zitat von Raybuntu

Dein Angriff Szenario funktioniert nicht da sich der Angreifer bereits in deinem Lokalen Netz befinden muss. Der Angreifer müsste in der Lage sein deine Routing Tabelle zu manipulieren. Natürlich könnte mal über VPN auch private subnets vergeben aber das ist eigentlich nicht der Fall. Welche IP Adresse bekommst du den von deinem VPN (ersten 3 Zahlen reichen). In dem Fall könnte ich noch nachbessern.

Das mit dem root passwd hat vpeter gemacht. Ist auch ein paar Monate her und er hat auch einen PR schon lange mit dem fix offen.

Also meinst du, dass folgendes Szenario nicht wirklich möglich wäre?

Ich mein... so ein Angreifer oder Botnetz legt es ja drauf an Systeme zu knacken und zu infiltrieren, daher gehe ich davon aus, dass das Anlegen einer lokalen IP Adresse wie 192.168.1.55 eine der ersten Sachen wäre, die der Angreifer einstellt.
Meine Sorge ist halt - wie im Bild ersichtlich - dass jemand zunächst meine vom VPN-Provider zugewiesene VPN-IP "136.0.2.131" erfasst, dann rückwärts über den VPN irgendwie direkt auf den LibreELEC Rechner zugreift und in dem Fall nicht gefiltert wird, weil die VPN-Verbindung irgendwie von seiner eigenen Heimnetzadresse 192.168.1.55 zu meiner 192.168.1.2 erfolgt. In dem Fall würden deine Regeln denken, dass es ok ist, weil ja die 192.168.x.x Adressen ungefiltert sind.

Allerdings weiß ich halt dabei nicht, wie er so eine punkt-zu-punkt Verbindung von sich aus aufbauen könnte. Könnte mir aber vorstellen, dass es ein Leichtes wäre, wenn derjenige den Server des VPN-Providers dafür misbraucht. Das Problem ist einfach, dass mein kack VPN-Provider (PureVPN) einfach so Verbindungen in meine Richtung durchlässt.

Das sollte kein Trollen sein... Man sollte zwischen zwei Szenarien unterscheiden:
1. Eigenen Server über eigene Domain erreichen (dns Adresse, die leicht und einprägsam ist) --> Das was du offenbar beschreibst und was ok ist (mache ich auch)
2. VPN Verbindung ins eigene Netzwerk aufbauen auf fremden Rechnern, oder Internetcafe --> sollte man nicht tun.

Ich hatte vorhin irgendwie angenommen, dass du von bei deinem Internetcafe Beispiel von der VPN-Verbindung sprachst.

Zitat von Snickers

Du bist im Urlaub an einem Fremden Rechner im Internet Cafe oder sonstwo.
Es ist meine Meinung und du hast eine andere und damit ist ja auch gut aber mit 1995 hat das jedenfalls nicht zu tun nur weil du deine Infrastruktur anders nutzt.

Ja genau ipSec wars!

Also ich finde in dieser Diskussion gehts nicht um Meinungen und verteidigen seiner eigenen Meinung, sondern um eine konstruktive Diskussion.

Ich will zudem denjenigen sehen, der tatsächlich vom Internetcafé oder von einem fremden Rechner aus mit MyFritz auf seine Fritzbox zugreift und einen Direkten Tunnel ins sensibelste seines Netzwerks durch alle Firewalls macht. Sowas würde/sollte/darf niemand machen...Ich traue mich das ja nicht mal von meinem Smartphone aus über eine Mobile Internetverbindung...

Zitat von Snickers

Ich installiere eine App/Programm oder es ist schon integriert. Man nehme z.b. in Windows einen OpenVPN Server, richtest ihn ein und den Port gibst du am Router frei. Das wars....!
Ja, ganz allgemein gesagt aber es sind 3 Schritte nur das du auf der Fritzbox nichts mehr installieren musst nur ist es dort halt ipsec

Und er fragte halt einfach wie du das machst und möchte quasi deine Erfahrungen darüber wissen. Aber nicht was im Allgemeinen geht... das kann man auch auf tausenden von Seiten ergooglen. Ist doch immer am besten, wenn jemand genauer sein Setup erklärt, was du auch mit dem Port-Freigeben usw. nun erläutert hast. Der Nachteil wäre bei deinem Fall halt, dass man eine weitere Maschine laufen lassen müsste, die das handlet. Muss der Server dann nicht auch als der DNS-Server im Netzwerk herhalten, damit man darüber dann auch auf alle anderen Geräte im LAN Zugriff bekommt? Kenne mich mit Netzwerken leider zu wenig aus.

Zitat von Johnny2000

Guten Tag,

Bis jetzt habe ich keine ZATTOO PVR CLIENT Version für die folgenden Geräte und Systeme gefunden . Vielleicht weil ich mich hiermit nicht so richtig auskenne. Ich meine die sind wie folgt:

1) Wetek Play 2, OpenELEC 8 mit Kodi 17

2) Humax H1, Android, Kodi 16

Danke.

Da die Wetek Play 2 offenbar den S905H chip nutzt (aarch64) und OpenELEC dann folglich als 64Bit Version vorliegt, wird es die aarch64 Version sein, die ich hier neulich verlinkt habe: Zattoo PVR Client (Das ist leider nur eine HLS version, also ohne DASH --> lange zapping zeiten und ohne Replay dann). Ich schätze die müsste auf deinem System funktionieren.

Beim humax wäre theoretisch die "arm" Version aus dem verlinkten Thread passend, aber da es android ist, bezweifle ich, dass die gehen wird (ist für arm LibreELEC kompiliert).

Zitat von Snickers

zu 1. Weil ich mir keine Ellenlange Adresse einprägen kann und ab und zu möchte man ja von außen weil man auf Arbeit sitzt und schnell mal was auf den Server schieben möchte. (Nicht an jedem Rechner verbindet man sich schnell mal mit VPN)

Also ich kann das Argument ja halbwegs nachvollziehen, aber es ist doch sehr realitätsfern, da wir nicht im Jahr 1995 leben. Sobald man einmal die Adresse im Browser eingegeben hat, wird er sie beim Eintippen der ersten 2 Zeichen schon automatisch vervollständigen. Zudem kann man auch Lesezeichen in jedem Browser einsetzen. Ich nutze myfritz schon ewig und bin ziemlich happy, dass avm diesen DNS service umsonst und sehr zuverlässig anbietet, ohne, dass man zudem immer drauf achten muss die Adresse nach der Zwangstrennung oder so zu aktualisieren.

Zitat von Snickers

2. Sorry, mir ist gerade das Protokoll entfallen aber dieses was die Fritzbox nutzt ist nicht auf dem Satnd so wie man sich VPN wünscht aber für den normalen Gebrauch reicht es natürlich. Wenn man aber mehr haben könnte wäre es halt toll.
OpenVPN kann die Fritzbox nicht und somit kannst du es auch nicht einrichten.

Die Fritz!Box nutzt glaub ich IPsec. Und ja, falls es IPsec ist, gilt dieses schon lange als unsicher und wird auch eigentlich nirgends mehr verwendet. OpenVPN sollten die echt mal einführen, aber ich könnte mir vorstellen, dass die eher Rechenleistung sparen wollen, die bei den Fritzboxen absolut nicht im Übermaß vorhanden ist.

Zitat von Snickers

3. Es liegt an deinem Betriebsystem welches du laufen hast und da ich keine Glaskugel habe kann ich dir auch nicht sagen wie es funktioniert! Aber Ja fast jedes Betriebsystem hat die möglichkeit einen VPN server zu installieren und dann musst du nur noch den Port am Router freigeben.

Er hat dich ja gefragt wie du das machst, weil er neugierig ist wie du es löst. Da er keine Glaskugel besitzt, finde ich seine Frage durchaus nützlich, weil ich mir auch gute Lösungen gerne anhöre ;).

Ganz konkret kann ich dir nicht weiterhelfen, aber hast du mal versucht in yatse für das Kodi-über-wlan mal einen eigenen Host hinzuzufügen? Also ein zweites Yatse Profil/Gerät? Ich bin mir selbst nicht sicher wie yatse das macht, aber es könnte sein, dass es die Geräte auch in Verbindung mit der MAC-Adresse identifiziert. Hättest dann halt zwei Yatse "Geräte", welche natürlich dasselbe Gerät sind:
1. KODI LAN
2. KODI WLAN

Vielleicht klappt das schonmal als erster Workaround.

Wow, viele Neuerungen!

Das mag jetzt doof klingen, aber ich hab besonderes Interesse an einigen der Sicherheits-Punkten, daher Diskussionsbedarf, also sorry schon mal im Voraus

Zitat von Raybuntu

https://github.com/Raybuntu/Libre…ag/rb-krypton13

-Aktuelles Kodi 17.3
-Aktuelle LE updates

Ich schätze das neueste Sicherheitsproblem bzgl. Samba konnte noch nicht behandelt werden, oder?

Zitat von Raybuntu

https://github.com/Raybuntu/Libre…ag/rb-krypton13
-Man kann jetzt das root password direkt mit dem Befehl "passwd" ändern. danke an @vpeter

Wie habt ihr das hinbekommen? Ich danke das ginge schon allein aus dem Grunde nicht, weil man ein Read-Only-System hat? Wird das auch irgendwann in offizielle LibreELEC Builds einfließen? Super Sache auf jeden Fall!!

Zitat von Raybuntu

https://github.com/Raybuntu/Libre…ag/rb-krypton13
-Standard Firewall mit iptables die alle Verbindungen die nicht aus dem privaten Subnetz kommt blockiert, damit man nicht teil eines IoT Botnetz wird irgendwann.
über die Datei /storage/.config/iptables/rules.v4 bzw rules.v6 kann die Firewall angepasst werden. Erlaubte Subnetze: 10.0.0.0/8, 172.16.0.0/12, 192.168.0.0/16, fc00::/7

Eeeeendlich... habe mir damals im OpenELEC-Forum, dann hier im Kodinerds-Forum, und am Ende im LibreELEC Forum, die Finger wundgetippt und wurde besonders hier als Spinner abgetan. Finde das mit iptables ist ein längst überfälliger Schritt gewesen.

Hier habe ich allerdings den Diskussionsbedarf: Verstehen tue ich nicht genug von Netzwerken, sehe den Ansatz mit den lokalen Subnets und lokalen IP-Ranges als sinnvoll an und habe ich anfangs in LibreELEC auch so gemacht. Allerdings stellte sich mir dann irgendwann die Frage - besonders, wenn man einen VPN nutzt, und somit leicht zum BotNet-Mitglied wird - ob ein Angreifer nicht einfach auf seiner Seite eines VPN's oder was auch immer auch einfach genau diese Ranges für sich einstellen würde? Also bei einer Punkt-zu-Punkt Verbindung wie einem VPN, ist das ja ein leichtes genau diese 192.168.0.0 auf dem Rechner zu machen. Die Firewall würde denken, dass alles OK ist und das nicht filtern.

Ich persönlich bin ja erst mit dem Thema in Berührung gekommen, nachdem es dank meines VPN-Einsatzes schon zu spät war. Jedenfalls hat @Tuxino dann irgendwann mal den sehr hilfreichen Post gemacht, wie man VPN-Verbindungen sehr leicht grundsätzlich schonmal absichern kann: tun0 filtern

escalade vom LibreELEC Team hat das dann durch den sehr nützlichen Zusatz nachgebessert, und das ganze dann für alle virtuellen VPN-Adapter umsetzbar gemacht (quasi wildcard, damit die Regel nicht nur tun0, sondern auch für tun1, tun2 etc.):
tun+ filtern

Wodurch werden nun die Filterregeln in /storage/.config/iptables/rules.v4 beim Start geladen? Ich nutzte dafür bislang einen systemd service, aber ich sehe nicht, dass deine build sowas nutzt. Eine Autostart.sh gibt es auch nicht, welche die Regeln laden würde.

Ich würde jedenfalls irgendwie noch folgende regeln für VPN-Nutzer hinzufügen:

*filter
-A INPUT -i tun+ -m state --state ESTABLISHED,RELATED -j ACCEPT
-A INPUT -i tun+ -j DROP
COMMIT

Damit verhindert man, dass beim Nutzen eines VPN-Providers jemand einfach durchs Wissen deiner IP (wird ja beim Streamen als Zugriffsquelle übermittelt) sich direkt mit deinem LibreELEC verbinden kann (SSH, Samba, Kodi Webserver etc.)

Gibt es zu diesen iptables Regeln und dem nun änderbaren root-Passwort irgendwo einen Diskussionsthread?

Zitat von Kladderadatsch

https://forum.armbian.com/index.php?/top…s905-and-s905x/

Cool, danke für den Link! Hätte nicht gedacht, dass ArmBian damit kompatibel ist. ARMBian ist so ziemlich die beste Distribution für diese ganzen SBCs, wenn man einfach nur ein headless system haben möchte. Wenn sone Box jetzt noch USB3 könnte, wäre es mit armbian perfekt als billig test-NAS geeignet.

Zitat von tosa1965

Kurz zum 3D:
Genau deswegen schreib ich dazu auch nichts. Ich wüsste nicht, welcher Player 3D kann? Muss grad schmunzeln drüber

Eigentlich nur der raspberry pi

Naja, du siehst das grade alles nur aus deiner Perspektive. Der Pi war nicht als MediaCenter oder First-Choice Kodi Hardware gedacht. Er wurde es aber, weil viele Entwickler das Ding interessant fanden, weil günstig, ausreichend, und flexibel. Manche hatten das Ding wahrscheinlich ohnehin für
Programmierspielchen, für Projekte wie Automatisierung, Sensoren, Robotik, etc. Dann kam halt Kodi hinzu. Ohne die ganze Pi Vorarbeit für die ARM Plattform hätten diese ganzen Amlogic Boxen usw. bestimmt auch nicht die Verbreitung und LibreELEC Unterstützung gefunden, die sie jetzt haben.

Die Boxen sind halt billig, weil sie einfach auf den Markt geworfen werden und mit Massig features beworben werden. Grade dein Beispiel zeigt das typische Bild: UHD 4K 3D K3 KIII Smart TV BOX Android 5.1 S905 2G+16G KODI WIFI BT4.0 1000M Lan
3D hat das Ding ja nicht wirklich, jedenfalls nicht mehr, als eine 10 Jahre alte WD TV HD Box, die rauskam, bevor es 3D überhaupt gab. Das halt nur mal so als Beispiel. Die Hardware wird halt nicht unterstützt und lebt nur davon, dass Hardkernel mit dem C2 massig Arbeit in die Unterstützung des S905 Chips gesteckt hat. Auch das ist einfach ein Glücksgriff für diese China-Box Hersteller.

Du kannst allerdings mit diesen Boxen auch nicht wirklich viel anderes machen. Die haben kein GPIO, keine Linux Distribution, die du drauftun kannst, einfach keine Entwicklung.

Das lässt sich halt mit einem C2 oder Raspberry Pi nicht vergleichen, denn diese werden ausdrücklich als Entwicklerboards vermarktet. Mit den GPIOs kannst du massig sachen machen. Die Boards sind ultra flexibel für alles einsetzbar. Für jeden, der coden kann, hat der Markteintritt des Raspberry Pis eine ganz neue Welt der Möglichkeiten eröffnet. Bei mir werkelt ein Banana Pi als Seafile Cloud, der Odroid C2 als MediaPlayer, der RPi2 hat als solcher erstmal ausgedient und dient mir hin und wieder als Testgerät. Wenn du den RPi2 also als MediaCenter ausrangiert hast, kannst du den immernoch für 100 andere Sachen gebrauchen. Wenn sone China-Box ausgedient hat, kannst du nichts mehr mit der anfangen.

Ich freue mich dennoch über den Erfahrungsbericht und habe mir das Ding nun auch mal auf meine Liste geschrieben, für den Fall, dass ich mich entscheide sowas für meine Eltern hinzustellen. Als IPTV Box ist es halt perfekt und günstig.

Ja eigentlich schon mehrmals neugestartet, aber wohl jedes mal was dabei schiefgegangen oder sowas. Jedenfalls kam es immer zu demselben Fehler. Aber ich schaue mir das nachher mal genauer an.

Du wirst in diesem Thread hier schauen müssen: https://forum.libreelec.tv/thread/2156-8-…for-s905-s905x/

Bei dem USB-SD Creator wirst du keine Version auswählen können, weil der S905X nicht offiziell unterstützt wird. Die passende Build wirst du also über das Tool nicht auswählen und herunterladen können. Allerdings kriegst du die Build dann wohl unter dem oben genannten build für "community" versionen (S905X gibt es nur als community builds) heruntergeladen.

Nach dem Herunterladen kannst du dann allerdings wieder den USB-SD Creator nehmen und dort in der Mitte einfach auf "Datei auswählen" die von dir heruntergeladene Build nehmen und auf die SD-Karte schreiben lassen.

Ich weiß nicht genau wie das bei den Android Boxen in Verbindung mit LibreELEC läuft, aber es sieht so aus, als müsse man die passende Device Tree (DT) Datei zu deiner Box nehmen und irgendwo auf die SD-Karte kopieren, damit das lauffähig ist. Eine kurze Suche im Thread hat zumindest deine Box mehrmals erwähnt.

Nochmal mit dem default 12345 Port probiert:

18:07:24.595 T:3639452576    INFO: initializing python engine.
18:07:24.595 T:3639452576   DEBUG: CPythonInvoker(19, /storage/.kodi/addons/plugin.audio.connectcontrol/plugin.py): start processing
18:07:24.623 T:3639452576   DEBUG: -->Python Interpreter Initialized<--
18:07:24.623 T:3639452576   DEBUG: CPythonInvoker(19, /storage/.kodi/addons/plugin.audio.connectcontrol/plugin.py): the source file to load is "/storage/.kodi/addons/plugin.audio.connectcontrol/plugin.py"
18:07:24.623 T:3639452576   DEBUG: CPythonInvoker(19, /storage/.kodi/addons/plugin.audio.connectcontrol/plugin.py): setting the Python path to /storage/.kodi/addons/plugin.audio.connectcontrol:/storage/.kodi/addons/script.module.pyxbmct/lib:/storage/.kodi/addons/script.module.requests/lib:/storage/.kodi/addons/script.module.six/lib:/usr/share/kodi/addons/script.module.pil/lib:/usr/lib/python27.zip:/usr/lib/python2.7:/usr/lib/python2.7/plat-linux2:/usr/lib/python2.7/lib-tk:/usr/lib/python2.7/lib-old:/usr/lib/python2.7/lib-dynload:/usr/lib/python2.7/site-packages:/usr/lib/python2.7/site-packages/gtk-2.0
18:07:24.624 T:3639452576   DEBUG: CPythonInvoker(19, /storage/.kodi/addons/plugin.audio.connectcontrol/plugin.py): entering source directory /storage/.kodi/addons/plugin.audio.connectcontrol
18:07:24.624 T:3639452576   DEBUG: CPythonInvoker(19, /storage/.kodi/addons/plugin.audio.connectcontrol/plugin.py): instantiating addon using automatically obtained id of "plugin.audio.connectcontrol" dependent on version 2.4.0 of the xbmc.python api
18:07:24.909 T:4113883712   DEBUG: ------ Window Deinit (DialogAddonInfo.xml) ------
18:07:24.910 T:4113883712   DEBUG: Keyboard: scancode: 0x1c, sym: 0x000d, unicode: 0x0000, modifier: 0x0
18:07:25.093 T:3639452576   DEBUG: ConnectControl: the redirect uri is:http://192.168.***.**:12345/
18:07:25.097 T:3639452576   DEBUG: ConnectControl: Please navigate here: https://accounts.spotify.com/authorize?scope=playlist-modify-private+playlist-modify-public+playlist-read-collaborative+playlist-read-private+user-follow-modify+user-follow-read+user-library-modify+user-library-read+user-modify-playback-state+user-read-birthdate+user-read-email+user-read-playback-state+user-read-private+user-top-read&redirect_uri=http%3A%2F%2F192.168.***.**%3A12345%2F&response_type=code&client_id=******
18:07:25.097 T:3639452576   DEBUG: ConnectControl: wait for token
18:07:28.476 T:4113883712   DEBUG: Previous line repeats 3 times.
18:07:28.476 T:4113883712   DEBUG: Keyboard: scancode: 0x1c, sym: 0x000d, unicode: 0x0000, modifier: 0x0
18:07:28.576 T:4113883712   DEBUG: OnKey: return (0xf00d) pressed, action is Select
18:07:28.577 T:4113883712   DEBUG: ------ Window Init (DialogAddonInfo.xml) ------
18:07:29.101 T:3639452576   DEBUG: ConnectControl: wait for token
18:07:29.793 T:4113883712   DEBUG: Keyboard: scancode: 0x1c, sym: 0x000d, unicode: 0x0000, modifier: 0x0
18:07:29.910 T:4113883712   DEBUG: OnKey: return (0xf00d) pressed, action is Select
18:07:29.911 T:4113883712   DEBUG: Keyboard: scancode: 0x1c, sym: 0x000d, unicode: 0x0000, modifier: 0x0
18:07:29.911 T:3563770784   DEBUG: Thread LanguageInvoker start, auto delete: false
18:07:29.911 T:3563770784    INFO: initializing python engine.
18:07:29.911 T:3563770784   DEBUG: CPythonInvoker(20, /storage/.kodi/addons/plugin.audio.connectcontrol/plugin.py): start processing
18:07:29.937 T:3563770784   DEBUG: -->Python Interpreter Initialized<--
18:07:29.937 T:3563770784   DEBUG: CPythonInvoker(20, /storage/.kodi/addons/plugin.audio.connectcontrol/plugin.py): the source file to load is "/storage/.kodi/addons/plugin.audio.connectcontrol/plugin.py"
18:07:29.938 T:3563770784   DEBUG: CPythonInvoker(20, /storage/.kodi/addons/plugin.audio.connectcontrol/plugin.py): setting the Python path to /storage/.kodi/addons/plugin.audio.connectcontrol:/storage/.kodi/addons/script.module.pyxbmct/lib:/storage/.kodi/addons/script.module.requests/lib:/storage/.kodi/addons/script.module.six/lib:/usr/share/kodi/addons/script.module.pil/lib:/usr/lib/python27.zip:/usr/lib/python2.7:/usr/lib/python2.7/plat-linux2:/usr/lib/python2.7/lib-tk:/usr/lib/python2.7/lib-old:/usr/lib/python2.7/lib-dynload:/usr/lib/python2.7/site-packages:/usr/lib/python2.7/site-packages/gtk-2.0
18:07:29.938 T:3563770784   DEBUG: CPythonInvoker(20, /storage/.kodi/addons/plugin.audio.connectcontrol/plugin.py): entering source directory /storage/.kodi/addons/plugin.audio.connectcontrol
18:07:29.938 T:3563770784   DEBUG: CPythonInvoker(20, /storage/.kodi/addons/plugin.audio.connectcontrol/plugin.py): instantiating addon using automatically obtained id of "plugin.audio.connectcontrol" dependent on version 2.4.0 of the xbmc.python api
18:07:30.103 T:3639452576   DEBUG: ConnectControl: wait for token
18:07:30.242 T:4113883712   DEBUG: ------ Window Deinit (DialogAddonInfo.xml) ------
18:07:30.243 T:4113883712   DEBUG: Keyboard: scancode: 0x1c, sym: 0x000d, unicode: 0x0000, modifier: 0x0
18:07:30.360 T:3563770784   DEBUG: ConnectControl: the redirect uri is:http://192.168.***.**:12345/
18:07:30.365 T:3563770784   ERROR: EXCEPTION Thrown (PythonToCppException) : -->Python callback/script returned the following error<--
                                             - NOTE: IGNORING THIS CAN LEAD TO MEMORY LEAKS!
                                            Error Type: <class 'socket.error'>
                                            Error Contents: [Errno 98] Address already in use
                                            Traceback (most recent call last):
                                              File "/storage/.kodi/addons/plugin.audio.connectcontrol/plugin.py", line 171, in <module>
                                                token = util.prompt_for_user_token(username, cachepath, client_id=client_id, client_secret=client_secret, ip=ip, port=port)
                                              File "/storage/.kodi/addons/plugin.audio.connectcontrol/resources/lib/spotipy/util.py", line 63, in prompt_for_user_token
                                                server = HTTPServer((ip, int(port)), TokenHandler)
                                              File "/usr/lib/python2.7/SocketServer.py", line 417, in __init__
                                              File "/usr/lib/python2.7/BaseHTTPServer.py", line 108, in server_bind
                                              File "/usr/lib/python2.7/SocketServer.py", line 431, in server_bind
                                              File "/usr/lib/python2.7/socket.py", line 228, in meth
                                            error: [Errno 98] Address already in use
                                            -->End of Python script error report<--
18:07:30.375 T:4113883712   DEBUG: ------ Window Init (DialogNotification.xml) ------
18:07:30.518 T:3563770784    INFO: Python script stopped
18:07:30.518 T:3563770784   DEBUG: Thread LanguageInvoker 3563770784 terminating
18:07:31.104 T:3639452576   DEBUG: ConnectControl: wait for token
18:07:36.193 T:4113883712   DEBUG: Previous line repeats 5 times.
18:07:36.193 T:4113883712   DEBUG: ------ Window Deinit (DialogNotification.xml) ------
18:07:37.111 T:3639452576   DEBUG: ConnectControl: wait for token
18:07:47.627 T:3857556384   DEBUG: Previous line repeats 10 times.

Also wenn ich die lokale IP anpinge, kriege ich nen ping. Ich kann natürlich keine IP:12345 anpingen, da kommt nichts. Den Kodi Webserver erreiche ich über den Browser mit IP:8080. Über das standard http interface mit Port IP:80 komme ich natürlich nicht durch, da der Server über 8080 erreichbar ist. Da ich auch mit IP:12345 nichts erreiche, läuft der Server wohl nicht?

EDIT
Ach so, ja wenn ich diese lange URL im Browser eingebe, so muss ich mich in Spotify einloggen, aber danach ist es eine Endlosschleife mit Timeout.

Jap, slash ist da auf der Spotify Website:
hab nun testweise überall nen anderen Port gewählt (12356)

hier der Log-Ausschnitt:

17:53:00.015 T:4115825216   DEBUG: Keyboard: scancode: 0x1c, sym: 0x000d, unicode: 0x0000, modifier: 0x0
17:53:00.175 T:3499094944   DEBUG: ConnectControl: the redirect uri is:http://192.168.***.**:12356/
17:53:00.180 T:3499094944   DEBUG: ConnectControl: Please navigate here: https://accounts.spotify.com/authorize?scope=playlist-modify-private+playlist-modify-public+playlist-read-collaborative+playlist-read-private+user-follow-modify+user-follow-read+user-library-modify+user-library-read+user-modify-playback-state+user-read-birthdate+user-read-email+user-read-playback-state+user-read-private+user-top-read&redirect_uri=http%3A%2F%2F192.168.***.**%3A12356%2F&response_type=code&client_id=******************
17:53:00.180 T:3499094944   DEBUG: ConnectControl: wait for token

Okay, das war eine sehr gute Erklärung. Habe mir das so ähnlich gedacht! Dieser Redirect funktioniert (im Moment?) nicht und wird irgendwann mit einem Timeout quittiert. den Port 12345 habe ich so belassen und wüsste nicht, dass der benutzt wird. Muss man denn im Addon dann auch localhost gegen die lokale IP austauschen, oder ist es da egal? Wobei, doch muss man eigentlich, sonst wird diese URL das ja nur auf das eingebettete"localhost" umleiten. Was wiederum schonmal eins der Probleme von @Deadpool ist. Er muss im Addon die lokale IP seines LibreELEC RPis angeben, damit diese Debuglog-Redirection URL auch die richtige IP eingebettet bekommt.