Linux: Google Chromecast og brannmur

Denne posten gjelder linux-PC-er som benytter seg av UFW-brannmuren, f.eks. Debian og Ubuntu. Selv fikk jeg dette problemet i Debian 10.

Problem og diagnose: Chromecast virker ikke
Hvis du har problemer med å spille av Chromecast fra en Linux-PC som bruker brannmuren UFW, er det mulig at det nettopp er brannmuren som forårsaker problemet. Dette tester du enkelt med å deaktivere brannmuren:

ufw disable

Deretter prøver du på nytt å caste fra f.eks. VLC eller Gnomecast. Hvis Chromecast fungerer når brannmuren er slått av, har du et helt klart et brannmurproblem. Nå som diagnosen er på plass, kan vi aktivere brannmuren igjen:

ufw enable

Selvfølgelig kan man deaktivere brannmuren hver gang man skal caste, og skru den på igjen etterpå, men det innebærer plunder hver gang, og plunder er kjipt.

Saken er den at Chromecast ikke virker med mindre spesifikk trafikk tillates å passere brannmuren. Hvordan fikser vi det? Først og fremst må du sørge for at Chromecast tildeles en fast IP-adresse i nettverket ditt. Dette kan du gjøre i innstillingene for ruteren din ved å knytte IP-adressen til Chromecasts unike MAC-adresse (sjekk manualen for ruteren din).

Løsning (i terminal)
Når Chromecast har fått fast IP på nettverket, kan du legge til to regler der du erstatter de røde ip-adressene med de som er korrekte i ditt nettverk (192.168.1.40 under er ip-adressen til Chromecast; 192.168.1.2 er ip-adressen til maskinen du konfigurerer):

ufw allow from 192.168.1.40 to 192.168.1.2
ufw allow from 192.168.1.40 to 239.255.255.250

Løsning (GUFW)
Dette kan også gjøres i brannmurgrensesnittet GUFW, som er en enkel måte styre brannmuren UFW på. Denne løsningen krever også at Chromecast har fast ip-adresse på lokalnettet. Det er mulig du må installere GUFW før du setter igang. I Debian og Debian-baserte distroer kan du bruke kommandoen:

apt install gufw 

Når dette er gjort, sjekker du at de generelle innstillingene i GUFW er som dette:

Du går inn under fanen «Regler» og legger til en regel. Klikk +-tegn og gå inn under fanen «Avansert».

Du må bytte ut ip-adressene «Fra:» og «Til:» med det som er korrekt på ditt nettverk. Fra-adressen skal være Chromecast-dingsens adresse og til-adressen er ip-en til den maskinen du konfigurerer. Når du er ferdig trykker du på «Bruk». Regelen tillater trafikk fra Chromecast til linuxboksen din.

Deretter legger du til enda en regel som skal se slik ut, og der du KUN endrer fra-adressen til den som Chromecast har på ditt nettverk. Til-adressen må stå som på bildet.

Når du har aktivert begge regler, skal du kunne sende til Chromecast fra linux-PC-en din!

OpenWrt – ta kontroll over ruteren

Ruterne i hjemmet er viktige. De fleste har en boks som styrer trafikken mellom Internett og hjemmenett. Den samme boksen vil i de fleste tilfeller kontrollere hjemmenettverket og levere trådløst nett. Alt som foregår på nettet går gjennom ruteren, og for at dette skal fungere, må ruteren kjøre programvare som sender nettverkspakkene dit de skal.

Når oppsettet er slik, vil ruteren oftest komme fra nettleverandøren, som også oppdaterer ruterens programvare automatisk. Oppdatering er viktig fordi alt nærvær på Internett innebærer en risiko for angrep av ulike slag. Du stoler på at leverandøren tar vare på sikkerheten ved å oppdatere ruterens programvare (fastvare eller eng. firmware). En del av dette ansvaret er å sikre at sensitiv informasjon ikke kommer på avveie, eller at en eller annen tredjepart kan overvåke trafikken din.

Hvis du stoler på nettleverandøren, er ikke dette et problem. Men… Det er ikke uvanlig at vi bygger ut nettet med flere trådløse tilgangspunkter (som også er rutere) for eksempel på et kablet nettverk. Da blir situasjonen mer kompleks: Vi må stole på at fastvaren i de andre ruterne tar vare på sikkerhet og privatliv.

Det er ikke så lett alltid å stole på akkurat det, siden oppdateringer ikke alltid skjer automatisk på trådløsruterne. Ofte må man logge seg på ruteren via en nettleser og oppdatere manuelt. Enda viktigere er det at oppdateringene tar slutt på ett eller annet tidspunkt. Dette er selvfølgelig risikabelt når trusselbildet til stadighet endrer seg på Internett. Betyr dette at vi må kjøpe nye trådløsrutere ofte for å være sikre på at de er oppdatert?

Nei. Det finnes en løsning som er mer miljøvennlig og langt på vei sikrere. Man kan bytte ut fastvaren i ruterne med et operativsystem som er laget for en mengde rutere: OpenWrt. Dette er en strippet versjon av Linux som inneholder et ganske enkelt brukergrensesnitt tilgjengelig via en nettleser. Operativsystemet er basert på åpen kildekode, som betyr at alle kan lese koden og sjekke den for svakheter og feil. Med mindre ruteren er så gammel at den ikke klarer å levere det du trenger av hastighet og kapasitet, er det altså likevel håp for den.

Det forutsetter at du kan litt om nett eller er villig til å lære det: Du vet hva en IP-adresse er, hva en port er, og hva LAN er, og du er innstilt på å fikle litt med innstillinger og lese tips på OpenWrts hjemmesider. I så fall er det bare å besøke openwrt.org, sjekke at rutermodellen din er støttet og så erstatte den gamle fastvaren i tråd med instruksjonene på nettsidene.

Enda bedre: Hvis du vil, kan du gjøre svært mye med OpenWRT. Operativsystemet er i praksis Linux, og det finnes en mengde av programvare du kan installere på ruteren. Du kan gjøre den om til en VPN-server. Du kan rute all trafikk gjennom en ekstern VPN-server. Du kan bruke den som filsørver (samba). Og så videre… Openwrt anbefales!

What Ubuntu needs

This is a gonzo-review starting already before the installation is finished. It takes a looong time for anything to happen. But, OK, the netbook or whatever you call it, is an old Atom thing from before the Arabian spring. The version of Ubuntu is something like 13.10 or perhaps 13.90?

(…) It is installed and running quite nicely. However, one thing struck me like a rabbit screaming for more: The version system is obsolete. There needs to be ONE Ubuntu for each supported architecture, and a continuous updating on all levels.

(…) The problem of arbitrariness in hardware is, however, as huge as it is in Windows. Fuck MacOS, which is developed to a limited set of component combinations.

The world needs to change. There must a limited number of component combinations, or else … or else the fucking world will seize to exist. Our way of life will be impossible under the spell of the arbitrariness of unlimited hardware combinations.

Hence, the NEXUS, hence that fucking iPad, hence Dell. Hence, that rotten apple of euphoric delusions!

Ubuntu must be bundled with SYSTEMS, only some SYSTEMS, and BIOS upgrade must be part of the OS upgrade system. Die, the PC!