Schlagwort: Networking (Seite 12 von 12)

BF2: Mehr Speed für besseres Gaming-Erlebnis

20. August 2009 / Sebastian van de Meer / Keine Kommentare

Veraltet: Battlefield 2 wurde 2014 von EA abgeschaltet. Die hier beschriebenen Netzwerk-Tweaks sind nicht mehr relevant.

Moin moin…

Ich habe hier mal ein paar Tipps zusammengetragen, die dabei helfen BF2 das Ruckeln abzugew?hnen.

Sollte noch jemand ein paar mehr haben, wird sich wohl jeder ?ber eine Erweiterung des Posts freuen, oder?

Um Missverst?ndnisse aus dem Weg zu r?umen, gleich etwas vor weg.
– Ich habe BF2 auf meinem System unter C:GAMESBattlefield2 installiert. Alles wird sich also auch auf diesen Pfad beziehen.
– Alles l?uft auf meinem System so schon l?nger und ist von mir daher auch ausgiebig getestet.
– Alles ist sauber. D.h.: keine dieser Einstellungen verst??t gegen Regeln!

1. Die Anwendung frei stellen!

Geht einfach hin und benennt eure bf2.exe in bf2speed.exe um. Das ist auch schon alles (nein keine Änderungen in der Reg. usw..). Warum das in den meisten F?llen hilft dem ganzen etwas mehr Performance zu geben kann ich auch nicht genau sagen. Im Internet gibt es da mehrere „Ideen“ zu. Irgendwie h?ngt es wohl mit den Nvidia und Ati Treibern zusammen. Denen ist die BF2.exe bekannt. Man kann ja in den Treibereinstellungen bestimmte Profile f?r Anwendungen hinterlegen. Daher muss die bf2.exe dem Treiber ja auch bekannt sein. Die Treiber checken also st?ndig ab die Anwendung l?uft und reagieren irgendwie drauf. Das ganze Spielchen ben?tigt aber ungew?hnlich und unn?tig viel Systemleistung. Also umbenennen!

2. BF2 mit einer hohen Priorit?t starten!

Euer tolles OS vergibt an jede Anwendung eine Priorit?t. Grob vergleichbar mit einem Krankenwagen. Der hat auch eine hohe Priorit?t. Er kann ?ber rote Ampeln fahren, darf heizen wie Sau und jeder muss erstmal auf ihn warten und ihm Platz machen. So klappt das auch mit euren Anwendungen.

Ihr k?nnt jetzt nach jedem Start von BF2 im Taskmanager die Prio. hoch setzten, ich finde das aber affig. Es geht auch einfacher. Folgende kleine Stapelverarbeitungsdatei nimmt euch die Arbeit ab.

Geht in euer BF2-Homeverzeichniss (bei mir C:GAMESBattlefield2) erstellt dort mit rechte Maustaste  Neu  Textdatei eine neue Textdatei. Diese benennt ihr nun in bf2.cmd um. Achtet darauf das ihr auch den Dateipr?fix txt in cmd ?ndert!!!

Nun k?nnt ihr mit: rechte Maustaste auf bf2.cmd  Bearbeiten den Inhalt festlegen. Der sollte so ausschauen:

Rem Datei Anfang
cd /d “ C:GAMESBattlefield2″
start /high bf2speed.exe +menu 1 +fullscreen 1
Rem Datei Ende

Jetzt k?nnt ihr von eurer bf2.cmd eine Verkn?pfung auf dem Desktop erstellen oder wo ihr sie sonst braucht. Immer wenn ihr nun BF ?ber diese Datei startet l?uft es automatisch mit einer hohen Priorit?t d.h.: ihr habt bei eurem Audi 100 gerade das Blaulicht eingeschaltet!

3. Die Punkbusterchecks einschr?nken.

Im normalen Betrieb checkt euer toller Punkbuster alle 60 Sekunden eure Dateien auf der Festplatte. Habt ihr wenig RAM, nicht gerade die schnellste HDD oder sonst was dann kann das schon mal zu lags f?hren oder halt zu Performanceeinbr?cken. Das kann man aber ?ndern!

Logt euch auf einem Ranked-Server ein, auf dem das Spiel auch l?uft (also nicht „Das Spiel startet wenn sich.. nur um sicher zu gehen!) dann geht in die Konsole. Tippert mal pb_sleep rein! Jetzt wird euch die aktuelle Einstellung angezeigt und auch der erlaubte Rahmen (20 – 500). Warum also nicht den Punkbuster anstelle aller 60 Sekunden alle 500 Sekunden mal die Dateien pr?fen lassen? Daher direkt den n?chsten Befehl nachwerfen:
pb_sleep 500 (zwischen pb_sleep und 500 ist 1 Leerzeichen)

Fertig ist…. Damit dass jetzt nicht jedes mal gemacht werden muss noch schnell folgendes hinterher:

pb_writecfg

Geil wa?

4. Die Shader und bla Optimierung

Bei jeder Änderung der Grafikeinstellungen unter BF oder im System, bei jedem Treiberupdate oder jedem Patch werden die Shader usw.. ganz oder zum Teil neu an das System und dessen Leistungsm?glichkeiten angepasst!

Leider gibt es da ein kleines Problem… Habt ihr zuf?llig im Hintergrund den Antivirus laufen lassen oder Winamp oder ein Video oder kopiert gerade ne Datei oder sonst was… Hat das nat?rlich Auswirkungen auf die Leistung. Zu dem bekommt es BF2 auch einfach hin und wieder nicht mit das etwas ge?ndert wurde oder beim stundenlangen anpassen der Shader fliegt ihr als Idler vom Server, wobei der Vorgang dann unsanft abgebrochen wird. Was nun?

Grafikeinstellungen ?ndern und hoffen das BF2 es merkt…. Die Idee ist gut, leider wird bei so etwas aber nicht alles neu optimiert sondern nur Teile und bei unserem Gl?ck nicht die Teile, die wir brauchen!

Was also tun?

Ganz einfach! Geht mal unter C:Dokumente und Einstellungen[euer Username]Eigene DateienBattlefield 2modsbf2

Dort findet ihr einen Ordner mit dem Namen: cache

L?scht diesen einfach mal. Jetzt stellt ihr euer ganzes System genau so ein wie ihr auch sp?ter zocken wollt. Logt euch in BF2 ein und starte mal ein Singelplayer Spiel… Nun werden ALLE Einstellungen neu angepasst. Ihr verliert aber keine Daten und auch nicht euer Sound, Grafik, Kontroll und bla Einstellungen….

5. Datei und Druckerfreigabe

Was das ist muss ich wohl nicht erl?utern. Braucht ihr das wirklich? Ja.. manche brauchen es andere aber nicht.

Daher sollten diese es dann auch deaktivieren. Warum? Tja… es werden immer zu Nachrichten an das Netzwerk geschickt. Es wird Leistung und Bandbreite f?r diese Dinge reserviert. Hier und da h?ngt dann noch die Windows-Firewall mit drin usw. usw… Die Leistung brauchen wir aber eher zum zocken, also aus damit!

Start  Einstellung  Netzwerkverbindungen  rechte Maustaste auf die genutzte LAN-Verbindung  Eigenschaften  Hacken bei Datei- und Druckerfreigabe… weg und wieder mit OK raus. Fertig!

Ich habe da auch noch etwas f?r Leute mir zwei physikalischen Festplatten. Das tipper ich dann aber mal erst auf Anfrage, ok?

So long…

SSH/OpenSSH

19. August 2009 / Sebastian van de Meer / Keine Kommentare

SSH (SecureShell) ist inzwischen sehr verbreitet. Es hat bzw. sollte Telnet überall ersetzt haben. SSH nutz eine Verschlüsselung um zwischen zwei Rechnern Daten auszutauschen. SSH kann aber noch vieles mehr. Z.B. kannst du mit scp einfach, schnell und sicher Dateien von einem Rechner auf einen anderen Kopieren.

scp dateien user@rechner:/pfad

Du kannst aber auch X-Weiterleitungen sehr einfach realisieren. Hierzu musst du einfach in deine sshd_config folgende Option auf yes setzten.

X11Forwarding yes

Mal angenommen du besitzt ein altes (SEHR) altes Notebook. Dieses Notebook hat gerade noch genug Leistung zum Hochfahren und starten des X-Servers. Dieses Notebook könntest du jetzt als eine Art X-Terminal benutzen. D.h.: du tipperst ein:

ssh -X rechner

in deine X-Konsole und meldest dich nun mit deinen Usernamen an einem Zweitrechner in deinem Netzwerk an, welcher etwas mehr Leistung hat und auch gleich noch die Programme installiert sind, mit denen du jetzt gerne auf dem Notebook arbeiten willst. Du tipperst nach der Anmeldung also ooffice oder was du halt gerade brauchst ein. Darauf bekommst du dann nur die GUI auf dein Notebook. Die gesamte Datenverarbeitung und Rechenleistung für das genutzte Programm kommt nun vom anderen Rechner. Bist du mal über eine sehr schwache Leitung an dein System angeschlossen kann dir die Option -C sehr helfen. Diese sorgt dafür das der gesamte Datenstrom komprimiert wird. So ist die zu übertragende Datenmenge kleiner und alles sollte flotter gehen.

ssh -C rechner

Wie sicher ist dieses SSH denn nun?

Man kann sagen, recht sicher. Es gibt natürlich keine absolute Sicherheit und es hängt auch immer ein großer Teil vom User und der Konfiguration ab. Du solltes also einige Punkte in der Konfiguration seines SSH-Servers ändern. Diese liegt fast immer unter: /etc/ssh/ und schimpft sich sshd_config! – Nur SSH2 Das SSH1 Protokoll gilt als unsicher. Programme wie z.b.: ettercap sind in der Lage hier Kennwörter und Usernamen herauszulesen. Zu dem bietet SSH2 eine ganze Stange mehr an Möglichkeiten. Daher sollte nur das Protocol 2 genutzt werden.

Protocol 2

– Root-Login is nicht Der User Root braucht keinen direkten Login. Wer wirklich von extern auf seinem Rechner administrieren will der kann als User auch su oder sudo benutzen. Da SSH2 wohl kaum zu entschlüsseln ist, wird ein Angreifer es meist mit Brute Force versuchen. Er braucht zu dem Kennwort welches er damit bekommen möchte erst mal einen Usernamen. Da er Root haben will und dieser wohl auch immer auf einer Linux-Kiste zu finden ist, wird er es auch auf diesen Account probieren. Verbieten wir jetzt aber den Login für den User Root kann der Angreifer es sehr lange Probieren.

PermitRootLogin no

– Kein User/Passwort verfahren Die Geschichte mit dem Brute Force hatten wir ja jetzt. Was aber wenn der Angreifer einen Usernamen von unserem System kennt. Dann ist es erstmal nur noch eine Frage der Zeit. Tja und da die meisten User keine „guten“ Passwörter haben….. Viel besser ist es wenn der User ein Zertifikat hat, mit welchem er sich anmelden darf. Weiter unten zeige ich wie es gemacht wird. Hier aber erstmal das User/Passwort verfahren verbieten!

PasswordAuthentication no

Das Public-Key-Verfahren (jetzt kommt die Beschreibung) ist da viel besser. Zuerst bauen wir einen schön langen Schlüssel auf dem Client:

ssh-keygen -b 4068 -t dsa

Nun tauchen im Homeverzeichniss des Users, mit dem wir den Schlüssel erstellt haben, unter: ~/.ssh/ zwei Dateien auf: id_dsa und id_dsa.pub. Den Publickey id_dsa.pub packen wir nun auf den Server. Direkt in die Datei authorized_keys (vielleicht müssen wir diese noch mit der Hilfe von touch anlegen). Die Datei sollte im Homeverzeichniss des zu autorisierenden Users im Ordner .ssh angelegt werden. Haben wir das alles so eingetragen brauchen wir kein Kennwort mehr.

Wie wäre es mit einem Tunnel durch die Firewall?

OK… klingt ja ganz nett. Aber warum sollte ich einen Tunnel in meine Firewall machen? Das kann ich dir erklären. Stell dir mal vor du sitzt mit deinem Notebook in einem Netzwerk wo du dir nicht sicher bist das keiner deine Verbindungen abhört oder gar die Verbindungen über bestimmte Ports blockiert sind. Du willst nun aber eine E-Mail schreiben! Oder bestimmte Ports sonst wie durch diese oder eine andere Firewall verschlüsselt tunneln. Um einen einfachen Tunnel zu basteln musst du jetzt nur noch folgendes machen: Computer2:

ssh -N -R 5555:localhost:22 user@erreichbarer_rechner

Jetzt passiert etwas feines 🙂 Denn nun geht am „erreichbarer_rechner“ der Port 5555 auf und der beamt dann alles durch den Tunnel an Computer2 an den Port 22 weiter. Du kannst nun also sitzen wo du willst. Sobald du versuchst dich auf Port 5555 mit dem Computer „erreichbarer_rechner“ zu verbinden, wird deine Anmeldeanfrage direkt an Computer2 weitergeleitet. So bekommst du also sofort das Login von Computer 2.

ssh erreichbarer_rechner -p 5555

Geil, was?

Siehe auch: SSH-Server mit MFA absichern

Fragen? Einfach melden.

CAcert

19. August 2009 / Sebastian van de Meer / Keine Kommentare

Veraltet: CAcert hat es nie in die Browser-Truststores geschafft. Die CA existiert zwar noch, spielt aber keine praktische Rolle mehr. Dieser Beitrag ist nur noch als Zeitdokument interessant.

Jeder der etwas mit EDV vertraut ist, wird mir sicher zustimmen. Daten im Rechner oder aus dem Internet sind schön und gut. Nur sind sie auch wirklich vom Autor, welcher im Dokument steht? Sind die Daten vielleicht verändert worden? Unterhalte ich mich auch gerade wirklich mit dem Server oder hat mit ein Hacker über einen fake-dns auf seinen Server geleitet? Genau um solche Dinge sicher zu stellen, gibt es Zertifikate. Eine gute Möglichkeit für Privatleute oder kleine Firmen ist da CAcert.





CAcert:

CAcert ist eine gemeinschaftsbetriebene nicht kommerzielle Zertifizierungsstelle (Root CA), die kostenfrei X.509-Zertifikate für verschiedene Einsatzgebiete ausstellt. Damit soll eine Alternative zu den kommerziellen Roots CAs geboten werden, die zum Teil recht hohe Gebühren für ihre Zertifikate erheben. Die Dienstleistungen der CAcert sind allgemein. Jeder kann sich Zertifikate auf seinem Namen bzw. auf seinen Server ausstellen lassen, nachdem er seine Identität ausreichend belegt hat.

Zertifikate
Folgende Zertifikate und Signaturen werden angeboten:

Client-Zertifikate
Diese Zertifikate sind personalisiert, sie dienen zum Beispiel zum Verschlüsseln und Signieren von E-Mails und anderen Daten, aber auch Authentifikation an Servern oder zum Signieren von Softwarecode.

Server-Zertifikate
Server-Zertifikate stellen die Identität eines Servers sicher und dienen als Basis für verschlüsselte SSL/TLS-Verbindungen. Es gibt eine Bandbreite von Diensten, bei denen Server-Zertifikate zum Einsatz kommen. Dazu gehören u. a. HTTPS, FTP(S), SMTP(S), POP(S) und IMAP(S).

Signatur des PGP-Schlüssels
Man kann den eigenen PGP-Schlüssel zur Signatur einreichen. Die CAcert bestätigt dann die Identität des Schlüsselbesitzers.

Assurance / Identitätsprüfung
Um ein Zertifikat zu erhalten, muss man sich zunächst auf der Seite https://www.cacert.org/index.php?id=1 als Benutzer anmelden. Jedem Benutzerkonto sind Punkte (Assurance Points) zugeordnet, die auf verschiedenen Wegen von anfänglich 0 bis auf 150 Punkte erhöht werden können. Die Punkte geben an, wie genau die Identität eines Benutzers überprüft wurde (bis 100 Punkte) bzw. wieviele Punkte er beim Überprüfen der Identität eines anderen Benutzers vergeben darf (ab 100 Punkten).

Die Authentifikation der eigenen Identität gegenüber CAcert kann auf zwei Arten erfolgen:
Zum einen besteht ein Netzwerk aus Freiwilligen (Web of Trust), gegenüber denen sich der neue Benutzer ausweisen kann, um Punkte zu erhalten. Eine Liste der freiwilligen Assurer ist auf der Internetseite zu finden. Sie können maximal 35 Punkte vergeben. Bei besonderen Veranstaltungen wie z.B. Messen können Super-Assurer sofort die maximalen 150 Punkte vergeben.
Zum anderen sind ‚Vertrauenswürdige Dritte‘ (Trusted Third Parties) wie Notare zugelassen, die aufgrund ihrer Position (Beruf) die Identität des Benutzers bestätigen können. Hier können auch bis zu 150 Punkte erlangt werden.

Quelle: http://de.wikipedia.org/wiki/CAcert http://www.cacert.org/

Ich selbst bin auch ein solcher Assurer und kann die begehrten Punkte vergeben.
Interessierte schicken mir bitte eine kurze E-Mail. Dann können wir ein Treffen absprechen!

Wer sich für CAcert interessiert, sollte sich auch unbedingt den Beitrag: „StartSSL“ anschauen.

IPv6: Adressarchitektur, Autokonfiguration und radvd unter Linux

23. März 2003 / Sebastian van de Meer / Keine Kommentare

Meine IPv6-Reise begann 2003. Damals kam IPv6 vom eigenen ISP nicht in Frage, also ging es über einen Tunnelbroker. SixXS stellte kostenlos IPv6-Tunnel bereit und vergab auf Antrag sogar ein komplettes /48 Netz. SixXS wurde 2017 eingestellt, aber die Grundlagen von IPv6 haben sich nicht geändert. Heute liefern die meisten ISPs IPv6 nativ aus.

Adressformat

IPv6-Adressen sind 128 Bit lang. Das sind 2¹²⁸ mögliche Adressen, ausgeschrieben: 340.282.366.920.938.463.463.374.607.431.768.211.456. Geschrieben werden sie hexadezimal, jeweils zwei Bytes durch Doppelpunkt getrennt:

2a01:0198:0200:0945:0000:0000:0000:0002

Führende Nullen darf man weglassen. Ein zusammenhängender Block aus Nullen kann einmal durch :: ersetzt werden:

# Führende Nullen weg
2a01:198:200:945:0:0:0:2

# Ein Nullblock durch :: ersetzt
2a01:198:200:945::2

# Als Netz
2a01:198:200:945::/64

Wichtige Adressen

::1 ist der Localhost. fe80::/10 sind Link-Local-Adressen, die jedes Interface automatisch bekommt. ff02::1 erreicht alle Hosts im lokalen Netz, ff02::2 alle Router. 2001:db8::/32 ist für Dokumentation reserviert.

# Alle Hosts im lokalen Netz anpingen
ping6 -I eth0 ff02::1

# Alle Router im lokalen Netz anpingen
ping6 -I eth0 ff02::2

Adressbildung und EUI-64

Link-Local-Adressen bildet der Host selbst aus dem Prefix fe80 und der MAC-Adresse im EUI-64 Format. Die MAC-Adresse hat 48 Bit, EUI-64 erweitert sie auf 64 Bit. Zusammen mit dem 64-Bit-Prefix ergibt das die vollen 128 Bit. IPv6 ist damit bereits auf 64-Bit-MAC-Adressen vorbereitet, falls die 48-Bit-Adressen irgendwann knapp werden. Duplicate Address Detection (DAD) stellt sicher, dass keine Adresse doppelt vergeben wird.

Autokonfiguration mit radvd

ARP wurde durch Neighbor Discovery (ND) ersetzt. IPv6 ist auf Autokonfiguration ausgelegt. Ein Router Advertisement Daemon (radvd) teilt allen Hosts im Netz das IPv6-Prefix mit. Die Hosts bilden sich ihre Adresse selbst. Kein DHCP nötig für die Grundkonfiguration.

Forwarding aktivieren und radvd konfigurieren:

echo 1 > /proc/sys/net/ipv6/conf/default/forwarding

# /etc/radvd.conf
interface eth0
{
    AdvSendAdvert on;
    AdvLinkMTU 1280;
    MaxRtrAdvInterval 300;
    prefix 2a01:198:200:945::/64
    {
        AdvOnLink on;
        AdvAutonomous on;
    };
};

Nach dem Start von radvd holen sich alle Hosts im Netz automatisch eine Adresse aus dem Prefix. Prüfen mit:

ip addr show eth0

Kein NAT mehr

Mit IPv6 ist NAT nicht mehr nötig. Jedes Gerät bekommt eine eigene öffentliche Adresse. Das bedeutet aber auch: Jedes Gerät ist direkt aus dem Internet erreichbar. Eine Firewall ist Pflicht. IPv6 hat einen eigenen Paketfilter, ip6tables statt iptables. Wer iptables kennt, kann auch ip6tables.

Über die Probleme die durch fehlende IPv6-Unterstützung bei Diensteanbietern entstehen habe ich separat geschrieben.

Hurricane Electric IPv6 Zertifizierung

Hurricane Electric bietet eine kostenlose IPv6-Zertifizierung an. Man arbeitet sich durch verschiedene Levels, vom ersten Tunnel bis zum voll IPv6-fähigen Mailserver. Am Ende gibt es ein T-Shirt.