Beiträge von Raybuntu

Ok mach ich. Nicht viel neues. Alles was in LE 8.2 landen wird. OpenSSL ist jetzt wieder Standard aber libressl ist für Kompatibilität mit drin. Baue Addons demnächst noch neu. Mediabuild ist etwas verbessert worden dank codesnake. Sonst noch einiges von kszaq kopiert.

Das Problem kenne ich. Es tritt nur mit tvheadend auf und Mediabuild Treibern. Verstehe aber bis heute nicht warum das so ist. Mit der irq.conf kann man da etwas gegensteuern.

Ich lade gerade ein neues rb-krypton 14 hoch. Sollte bald auch github sein. Hatte aber nicht viel Zeit DVB zu testen. Ob das Problem dadurch beseitigt ist weiß ich nicht.

EDIT: https://github.com/Raybuntu/Libre…ag/rb-krypton14

It's harmless. You have no rtc shield.

Das liegt an aarch64. Ich baue das repo nur für arm. Wenn du aarch64 willst würde ich das offizielle git/build nehmen.

Ich muss mal wieder etwas liebe in Agile stecken. Die aktuelle inputstream.agile hab ich auch noch nicht gebaut. Bin im Moment mit anderen Projekten beschäftigt.

@emka81 aarch64 ist falsch. arm musst du nehmen.

Should be inlcuded in my builds too:
https://github.com/Raybuntu/Libre…bc9a82d8bd46b51
I don't see huge improvents in zapping time.

@Mister XY Ja mache ich nächste Woche.

@emka81: Ich versuche das Modul zu aktivieren und baue dann ein neues build. Auch nächste Woche.
Die Unterschiede sind. Master folgt LE master 8beta folgt LE8 branch und Krypton ist einfach ein neuer Krypton branch der auf 8beta basiert aber anders heißt. 8beta wird nicht mehr gepflegt. Master hab ich auch lang nicht mehr gepflegt da ich im Agile branch gearbeitet hab der auch auf master basiert.

Dann am besten einen Bugreport bei LE absetzen ( Ich selbst bin keine LE Team Mitglied ). Ich kenne mich mit Hyperion auch nicht aus da ich das nicht nutze.

Will ich nicht ausschließen. Jedoch ist es das gleiche Paket wie im offiziellen LE. Der Fehler kann aber auch im Kernel hängen. Hast du den Fehler nicht mit offiziellem LE8?

Ja

Kommt bald. Ich wollte mich auch selbst um die GUI integration kümmern wenn ich Zeit finde. Einen Timeout wollte ich nicht machen aber eine Option um die "Firewall" zu deaktivieren in den LE Settings.

Zitat von infinity

Super, das ist perfekt

Wenn ich nun deine aktuellsten Regeln in deiner Krypton13 build nachtrage, werden die dann eigentlich überschrieben mit der irgendwann kommenden Krypton14 (wo sie dann ja im aktuellsten Stand drin sind)? In Krypton13 ist ja momentan noch dein erster Schwung an Regeln drin.
Grundsätzlich gilt das auch für eigene Anpassungen der regel-dateien: Besser vor einem buildupdate ein Backup der beiden v4 und v6 regelfiles anlegen, oder? Wenn man eh selbst rumgefummelt hat, weiß man ja, dass man das bei Updates im Hinterkopf haben sollte.

Ja ich hab das in k13 etwas anders gemacht. Da gab es nur die Regeln in /storage/.config/iptables/rules.v4 (v6). Das Problem ist wenn man die Datei löscht wird sie wieder neu angelegt. Wenn man sie ändert bleiben die Änderungen erhalten auch mit einem tar update. Jetzt hab ich das etwas "besser" gemacht. Die Regeln dich ich liefere liegen jetzt unter /etc/iptables/globalrules.v4 (v6). Diese werden immer geladen und auch geupdated. Der User kann seine eigenen Regeln in /storage/.config/iptables/localrules.v4 (v6) festlegen. Diese werden nicht überschrieben und wenn man die Datei wieder löscht werden die globalen Regeln geladen. Das heißt /storage/.config/rules.v4 (v6) macht dann nix mehr und man muss eigene Regeln dann in localrules.v4 migrieren.

Du kannst in den localrules.v4 auch was komplett eigenes machen z.b Default policy accept und dann alles explizit verbieten (also genau andersrum als ich das mache).

Zitat von infinity

Aaah! Das ist clever und sehr logisch. Zudem tolle Voraussicht, danke!

Vielleicht könntest du das sogar in der Readme so erläutern? Finde das durchaus wichtig, sodass jeder die zugrunde liegenden Gedankengänge/Philosophie deiner Regeln versteht und somit auch die Struktur leichter verständlich ist. Dann fällt es jedem auch leichter bei Bedarf zusätzliche Regeln hinzuzufügen oder sowas wie tun+ wegzulassen. Ich bspw habe das natürlich nicht bedacht, dass das whitelisten nur bestimmter Interfaces viel allgemeingültiger ist, als das stumpfe blacklisten von tun+/vpn+, welches sich irgendwann evtl. Bezeichnungstechnisch ändert oder sowas.

Dies erfasst dann auch generell alle Verbindungen die unaufgefordert durch ein tun+ etc. kämen, ja? Also egal was für ein subnetz (lokal, oder internet-global). Streaming (aufgefordert) sollte also durchkommen, aber jemand der einfach meine vpn ip abgreift und daraufhin über diese IP:8080 bzw. IP:22 oder auch nen "ping IP" durchführen will (dementsprechend unaufgefordert), kriegt nen timeout?

Ja die Default policy ist DROP. In der Output Chain sind ja alle neuen Verbindungen erlaubt. In der Input Chain sind zudem established und related Verbindungen erlaubt. Das heißt es kommen nur Pakete durch die du selbst beantragt hast.

Jemand der "nmap" nutzt um deine VPN IP zu scannen würde nicht sehen das du z.B Port 22 offen hast. Bei einem Reject würde man den Port als "filtered" sehen bei einem Drop kommt ein timeout. Pingen geht auch nicht.

@infinity Diese Regel würde ich nicht einfügen. Ich habe mich dagegen entschieden da sie nicht der Philosophie der Regeln entspricht die ich haben will. Grundsätzlich ist ja erstmal alles Verboten was nicht erlaubt ist. Die Reihenfolge ist auch sehr wichtig. Die Regel besagt: Akzeptiere neue Verbindungen aus folgenden Subnetzen auf allen Netzwerkschnittstellen die NICHT mit "tun" anfangen. Diese Schnittstellen Namen sind aber frei wählbar. Ich kann z.B für tun0 auch vpn0 nehmen. Deswegen hab ich mich lieber entschieden NUR explizit Schnittstellen Namen zu erlauben die für Ethernet und Wlan verwendet werden. Das sind unter LE: eth+ und wlan+. Um Zukunftssicher zu sein habe ich auch en+ und wl+ erlaubt. Das sind die neuen Schnittstellen Namen die von systemd vergeben werden. Ubuntu, ARCH Linux etc. nutzen diese neuen "Vorhersehbaren" Namen bereits. Soweit ich weiß macht LE das nicht jedoch kann ich nicht sicher sein das es in Zukunft auch so bleibt.

Daran wird das liegen. Entferne das autostart script und verbinde dich normal über connman bzw LE Settings über dhcp. Der C2 bootet viel zu schnell so das das Netzwerk noch nicht funktionsfähig ist.

@infinity: Ich hab soweit alles abgeschlossen mit iptables und denke das ist jetzt ok so:
https://github.com/Raybuntu/Libre…c506607afe40996
Hab da nun noch einiges geändert wie die Regeln geladen werden.
Erlaubt sind die privaten subnetze nur noch über eth+, en+ und wl+. Damit sollten alle physischen Adapter abgedeckt sein. Was ich jetzt noch gerne hätte wäre eine Einstellung in den LE Settings wo man die Filter allgemein abschalten kann. Wenn man zu viel spielt könnte man sich evtl. aussperren (mir selbst passiert).

@schmidex Ich nutzer selbst mariadb und habe keine Probleme. Solche Probleme kommen eigentlich immer wenn das Netzwerk noch nicht läuft und Kodi schon startet. In den LE settings unter Network gibt es eine Option "Wait for Network".
Die Option funktioniert nicht richtig wenn eine statische IP Adresse eingetragen ist weil das Netzwerk hier immer sofort da ist auch wenn es in Wahrheit noch nicht soweit ist.
Warum jetzt k8 läuft kann ich dir nicht sagen. Wenn alles nicht hilft mach mal ein [definition=12,0]debug[/definition] [definition='1','0']log[/definition] und schick es mir.

Hmmm das kommt immer drauf an was dein vpn client für routen setzt. Ich bin mir nicht ganz sicher ob das funktioniert. Jedoch kann ich zur Sicherheit nur private subnets erlauben die NICHT über tun interfaces reinkommen:

Das müsste gehen:
http://sprunge.us/UYiB

Zitat von muenster

Hallo Raybuntu,

nachdem der neueste "Patch" for KODI v17.3 ja nun auch für die WETEK Play 2 veröffentlich worden ist (LibreELEC v.8.0.2), wäre es super, wenn Du darauf basierend ein Build erstellen könntest, bei dem die "amcodec hardware Beschleunigung" funktioniert und die Erstellung von Bookmarks-Bildern ebenfalls, wenn diese genutzt wird (bisher erscheinen neben den Zeitmarken ja leider nur schwarze, leere Bilder ohne Inhalte)?

Danke im Voraus!

PS: Bitte nicht wundern, habe dieselbe Frage drüben im WETEK-Forum gerichtet an den User "codesnake" auch auf englisch gestellt

Alles anzeigen

Das ist doch bei meinem aktuellen und sogar vorletzten build schon da gewesen (amcodec und 17.3). Mit den Bookmarks weiß ich nicht hab ich nicht probiert. Was geht den nicht?
Edit: Oder verstehe ich dich falsch? Was ist mit "neuster Patch" gemeint?