Tipps & Tricks

Unproblematische CPU-Kern­zahl bei Folding@home?

Ich habe gelesen, dass der F@h-Client die Berechnung von CPU-Workunits abbricht, wenn zu viele logische CPU-Kerne zur Verfügung stehen. Das ist mir nun auch einige Male passiert, und ich musste dem Rechen-Slot immer wieder manuell die Kernzahl vorgeben, die er nutzen soll. Das nervt, weil ich den Stillstand manchmal stundenlang nicht bemerke und nicht immer nachjustieren will. Gibt es keine Einstellung, die immer funktioniert?

Ein Tipp aus dem offiziellen „Folding-Forum“ lautet, dass die Werte 2, 4, 8, 12, 16, 24 und 32 immer funktionieren, weil diese Kernanzahl auch bei den Entwicklermaschinen der Wissenschaftler zum Einsatz kommt. Bedenken Sie aber, dass der Client noch je einen logischen CPU-Kern für das Betriebssystem und jeden GPU-Slot abzieht und es nicht mag, wenn sich die eingestellte Kernzahl in Primzahlen >3 zerlegen lässt. Bei einem Ryzen 9 3950X mit 16 Kernen und 32 Threads sind Sie also mit 24 Threads auf der sicheren Seite. (bkr@ct.de)

Linux: Monitor drahtlos anbinden

Ich habe Ihren Artikel zum Betrieb von Linux mit mehreren Monitoren interessiert gelesen („Gute Aussichten“, c’t 9/2020, S. 152). Dazu fehlt mir unter Ubuntu eine Lösung, wie ich einen Monitor drahtlos anbinde. Ich benötige das für Präsentationsbildschirme und für Schulungen. Haben Sie eine Lösung?

Dies gelingt recht einfach mit einem Chromecast-Empfänger und dem Browser Chrome beziehungsweise dessen Open-Source-Pendant Chromium. Installieren Sie Chromium beispielsweise unter Ubuntu über die Software-Verwaltung. Wählen Sie anschließend „Streamen“ aus dem Menü oben rechts. Dort werden Cast-Geräte aus ihrem lokalen Netzwerk aufgelistet – neben dedizierten Chromecast-Empfängern auch Fernseher mit ­integriertem „Google Cast“.

Mit der Schaltfläche „Quellen“ bestimmen Sie, was gestreamt wird: Zur Auswahl stehen Browser-Tabs, (Multimedia-)Dateien und der Desktop. Um die Übertragung zu starten, klicken Sie auf den ­gewünschten Chromecast-Empfänger. Haben Sie den Desktop als Quelle gewählt, fragt ein Dialog, ob Sie ein einzelnes Anwendungsfenster oder den gesamten Bildschirm übertragen wollen. Bei mehreren angeschlossenen Bildschirmen müssen Sie sich für einen entscheiden.

Während der Übertragung erscheint das Chromecast-Symbol in der Symbolleiste und leuchtet blau. Klicken Sie noch mal auf den Namen des Chromecast-­Gerätes, um das Streamen zu beenden. Möchten Sie öfter Inhalte mit Chromium streamen, dann können Sie mit der rechten Maustaste auf das Symbol klicken und im Kontextmenü „Symbol immer anzeigen“ auswählen. So haben Sie schnell ­Zugriff auf die Funktion. (ktn@ct.de)

TAN-Generatoren getrennt aufbewahren?

Im Internet stößt man immer wieder auf den Hinweis, dass chipTAN-Generatoren „separat aufzubewahren“ seien. Sogar auf Bankenwebsites findet man entsprechende Anweisungen. Aus den Artikeln von c’t schließe ich aber, dass es beim chipTAN-Verfahren nicht auf den Generator, sondern auf die Bankkarte ankommt. Wer hat recht?“

Die Sicherheit des chipTAN-Verfahrens fußt in der Tat auf einem Geheimnis im Chip der Bankkarte. Diese Karte müssen Sie ohnehin sicher verwahren und zwar – falls Sie App-Banking nutzen – getrennt vom Smartphone, damit nicht beide zusammen gestohlen werden können. Die chipTAN-Generatoren dienen lediglich der Kommunikation mit dem Chip und sind beliebig austauschbar. Diebe können also auch einfach einen eigenen Generator nutzen und wenn Ihnen ein chipTAN-­Generator abhanden kommt, ist das kein Sicherheitsproblem.

Von uns befragte Banken sehen das übrigens genauso. Möglicherweise rührt der Ratschlag von alternativen TAN-­Verfahren und wurde fälschlicherweise übertragen: Es gibt nämlich auch Verfahren, bei denen man nicht die Bankkarte in den Generator stecken muss. Dann trägt tatsächlich der Generator das relevante Geheimnis und muss entsprechend geschützt werden.

Manche Banken behalten den Hinweis deshalb bei, sodass Kunden sich nicht mit den Unterschieden zwischen TAN-­Generatoren beschäftigen müssen. Schaden kann eine getrennte Aufbewahrung nicht. (syt@ct.de)

Partition aktivieren unter Windows 10

Ich habe einen USB-Stick unter Windows 10 in der Datenträgerverwaltung neu partitioniert und formatiert. Damit er bootfähig ist, wollte ich die erste primäre Partition auf dem Stick aktiv setzen. Doch der Eintrag in ihrem Kontextmenü ist ­ausgegraut.

Das passiert, wenn der Stick als Partitionsschema nicht MBR, sondern GPT trägt – GPT kennt keine aktiven Partitionen. Das Problem kann aber auch bei MBR-partitionierten Sticks auftreten, was wir für einen Windows-Bug halten. Es passiert nämlich nach unseren Beobachtungen nur, wenn das gerade laufende Windows per UEFI bootete statt klassisch (Legacy BIOS). Dann will die Datenträgerverwaltung auf keinem Laufwerk eine Partition aktiv setzen, obwohl das wie bei Ihrem Stick erforderlich sein kann.

Immerhin gibt es mit dem Kommandozeilenprogramm Diskpart.exe ein weiteres Bordmittel zum Partitionieren, und das leidet nicht unter dem Bug. Eine ausführliche Einführung in Diskpart finden Sie in c’t 3/2018 auf Seite 144. Hier die Befehle in Kurzform: Drücken Sie Windows+R und tippen Sie diskpart ein. Verschaffen Sie sich mit list disk einen Überblick über die Laufwerke. Ihren Stick erkennen Sie meist an der Größe. Wenn er beispielsweise die Datenträgernummer 5 abbekommen hat, wählen Sie ihn mit select disk 5 aus. Mit detail disk bekommen Sie die Volumes auf dem Stick zu sehen, inklusive Laufwerksbuchstaben und -namen. Haben Sie den richtigen Datenträger erwischt, lassen Sie sich mit list partition die Partitionen darauf anzeigen. Suchen Sie die Partitionsnummer heraus und tippen dann select partition 1 ein (Nummer anpassen). Zum Schluss setzt der Befehl active die Partition aktiv. (axv@ct.de)

Fritz-VPN unter Windows 10

Schade, dass sich mit Windows-­10-Bordmitteln wegen der in Fritzboxen fehlenden IKEv2-Unterstützung keine VPN-Verbindung aufbauen lässt. Geht das vielleicht auf einem Umweg?

AVM beschreibt im Service-Bereich (siehe ct.de/yyxf), wie man mit den wichtigsten Mobil- und Desktop-Betriebssystemen eine Verbindung zum Fritz-VPN einrichten kann. Unter Windows 10 funktioniert der dort verlinkte Shrew-Soft-Client nach unserer Erfahrung immer noch gut. Für Linux gibt es jedoch keinen Tipp. Wir nutzen dafür das vpnc-Plug-in des NetworkManagers. Die nötigen Parameter zeigt die Fritzbox in den VPN-Einstellungen ihrer Nutzer an. Wo sie in die Einstellungen des vpnc-Plug-ins hingehören, erschließt sich leicht.

Der im Fritz-VPN nach wie vor verwendete IPsec-Schlüsseltauschalgorithmus IKEv1 wurde schon 2005 durch IKEv2 abgelöst. In den letzten Jahren offenbarten sich immer wieder IKEv1-Implementierungsfehler (ct.de/yyxf). Zwar gibt es ­bisher keine Anzeichen, dass auch die AVM-Implementierung anfällig wäre. Weil sie aber auch auf modernen Fritz­boxen langsam ist (c’t 11/2020, S. 20), sollten Sie einen separaten VPN-Router wie die „Schwesterkiste“ (siehe c’t 10/2019, S. 28) in Erwägung ziehen, die das moderne und effizientere VPN-Protokoll WireGuard nutzt. (ea@ct.de)

AVM-Tipps, Literatur: ct.de/yyxf

SD-Karte lässt sich nicht beschreiben

Ich will auf eine SD-Karte aus meinem Fundus ein neues Betriebssystem für einen Raspi installieren. Aber der Raspbian Installer meldet: „Error removing partitions“. Er scheint recht zu haben: Das manuelle Löschen der zweiten Partition auf der Karte funktioniert weder per Datenträgerverwaltung noch mit diskpart. Das Programm SD Formatter 4.0 steigt mit der Meldung „Disk write protected“ aus. Ist die Karte also nun hinüber? Oder gibt es eine Möglichkeit, ihr wieder Leben einzuhauchen? Ich würde mich notfalls auch mit weniger als den aufgedruckten 16 GByte zufriedengeben.

Wahrscheinlich ist die Karte kaputt. Und wenn sie das ist, dann gibt es auch keine Möglichkeit, sie mit weniger Kapazität wieder zum Leben zu erwecken. Die Meldung „schreibgeschützt“ ist ein deutliches Zeichen für einen Defekt.

Eine Möglichkeit gibt es aber noch: Vielleicht hat sich nur unbemerkt der kleine Schreibschutz-Schieber an der Karte verschoben. In der unteren Position – in Richtung der Kante mit den Kontakten – bewahrt er die Karte vor versehentlichem Überschreiben. Ein unwissentlich aktivierter Schreibschutz sieht aus wie ein Defekt. (ll@ct.de)

Docker für Windows: Uhr geht falsch

Auf meinem Windows 10 Pro mit Hyper-V nutze ich Linux-Container in Docker als Testumgebung. Wenn das Notebook einige Zeit im Ruhezustand war, verhalten sich hinterher die Container sehr seltsam. Es scheint, dass ihre Uhren nicht richtig gehen. Was kann ich dagegen tun?

In der Tat werden beim Aufwachen aus dem Ruhezustand die Uhren oft nicht mit der Systemuhr synchronisiert und gehen dann um die Dauer der Schlafphase nach. Die Synchronisierung können Sie erzwingen, indem Sie den Hyper-V-Integrationsdienst „Zeitsynchronisierung“ für die virtuelle Maschine von Docker ab- und wieder anschalten. Dazu geben Sie in eine PowerShell mit Admin-Rechten die folgenden beiden Befehle ein:

Disable-VMIntegrationService -Name Zeitsynchronisierung -VMName DockerDesktopVM
Enable-VMIntegrationService -Name Zeitsynchronisierung -VMName DockerDesktopVM

Mit dem WSL2-Backend tritt das Problem übrigens nicht auf. (Johannes Endres/ps@ct.de)

Steckplätze für RAM-Riegel frei?

Ich wurde zu einem Windows-10-PC zu Hilfe gerufen, dessen wesentliches Problem offenbar zu wenig Arbeitsspeicher ist. Also soll mehr RAM rein. Über das bordeigene Programm „Systeminformation“ (msinfo32.exe) finde ich zwar heraus, welches Mainboard im PC steckt, und kann mir so ergooglen, welche RAM-Riegel passen. Doch eine Frage bleibt: Sind noch Steckplätze frei oder nicht? Muss ich dafür wirklich extra den PC aufschrauben?

Das geht auch ohne. Starten Sie etwa mit der Tastenkombination Strg+Umschalt+Esc den Task-Manager. Klicken Sie unten auf „Mehr Details“ und danach auf den Reiter „Leistung“. Markieren Sie links „Arbeitsspeicher“. Unten können Sie nun ablesen, wie viele Steckplätze vorhanden und wie viele davon belegt sind.

Obacht: Während die Angaben bei Desktop-PCs üblicherweise zuverlässig sind, können sie sich bei Notebooks als nutzlos erweisen – nämlich dann, wenn das RAM nicht gesteckt, sondern aufgelötet und damit auch nicht auswechselbar ist. (axv@ct.de)

IPv6-Tunnel einrichten unter Linux

Ich bekomme IPv6 über einen Tunnel-Provider zur Verfügung gestellt. Wie konfiguriere ich den statischen IPv6-in-IPv4-Tunnel unter Linux?

Mit dem Kommando ip können Sie unterschiedliche Tunnelarten (GRE, IPv6 in IPv4, 6to4 etc.) konfigurieren. Für den angegebenen Fall legen Sie als Erstes mit dem Befehl ip link ein Tunnel-Interface an, beispielsweise namens „TUN6“, und aktivieren dieses. Im folgenden Beispiel enthält die Variable rem4 die IPv4-Adresse des Tunnelproviders und loc4 ist die Adresse einer lokalen Schnittstelle:

sudo ip tunnel add TUN6 mode sit \
  remote ${rem4} local ${loc4}
sudo ip link set TUN6 up

Anschließend konfigurieren Sie das IPv6-Subnetz der Punkt-zu-Punkt-Verbindung auf das Tunnel-Interface:

sudo ip addr add ${loc6}/64 dev TUN6

Zuletzt legen Sie für IPv6 eine Default-­Route auf das Tunnel-Interface. Da es sich um ein Punkt-zu-Punkt-Interface handelt, können Sie auf die Angabe eines Nexthop verzichten:

sudo ip -6 route add ::/0 dev TUN6

Die Kommandos packen Sie am besten in eine Skriptdatei, um diese automatisiert beim Start des Rechners auszuführen. (Holger Zuleger/ktn@ct.de)

Host-ID mit IPv6

IPv6-Adressen sind sehr lang. Ich habe verstanden, dass die linken 64 Bit die Subnetz-Adresse darstellen und zum großen Teil durch den Internetprovider vorgegeben sind. Die rechten 64 Bit identifizieren den Host innerhalb des Subnetzes (Host-ID) und sind ebenfalls sehr lang. Die IPv4-Adresse meines Servers ist die 192.168.1.27. Ich möchte gerne die „27“ als Host-ID für die IPv6 Adresse verwenden, also zum Beispiel als 2001_db8:1:1::27. Die statische Konfiguration der IPv6-Adresse führt nur kurzfristig zum Erfolg. Sobald ich von meinem Internetprovider ein neues Netz-Prefix bekomme, ist die IPv6 Adresse ungültig, da sich der Netzwerkanteil geändert hat.

Eine statische (manuelle) Konfiguration einer IPv6-Adresse ist generell keine gute Idee, auch nicht bei Servern. In IPv6 bildet sich ein Host seine IP-Adresse automatisch über das Netzwerk-Prefix, das vom Router bekanntgegeben wird, und einen 64 Bit langen Interface Identifier (Host-ID). Das Verfahren nennt sich Stateless Address Autoconfig (SLAAC) und erlaubt ein automatisches Ändern der IP-Adresse (Renumbering) im laufenden Betrieb eines Endsystems.

Der Host-Anteil der IPv6-Adresse kann durch unterschiedliche Verfahren ­gebildet werden. Früher wurde er meist aus der MAC-Adresse abgeleitet (EUI-64), heutzutage kommen häufig datenschutzfreundlichere Verfahren zum Einsatz. Alle nutzen dabei den Adressraum der 64 Bit vollständig aus, wodurch eine doppelte Adressbelegung wirkungsvoll verhindert wird.

Wer unbedingt einen bestimmten Host-Identifier verwenden möchte, setzt diesen Wert mithilfe des Subkommandos token bei einem Netzwerkinterface:

sudo ip token set ::27 dev eth0

Das Setzen des Tokens muss über sudo mit Systemverwalterrechten durchgeführt werden. Mit ip token list kontrolliert man den aktuell eingestellten Wert, und mit ip -6 a sieht man das vollständige ­Ergebnis. (Holger Zuleger/ktn@ct.de)