C't 6/2023 Zomeractie 2023

Page 1

Conferentiesysteem

MESH-WIFISYSTEMEN

SYSTEMEN

 Hoe werkt dat?

 Uitgebreide test

 Effectief installeren

Effectief installeren

HPE MicroServer Gen10 Plus v2 server

Gigabyte uATX Q47EA-moederbord

Asus ExpertBook B9400CB-laptop

QNAP TS-264/TS-253E 2-bay NAS

Nobara Linux 37

Filius netwerksimulatie

PEER-TO-PEER-VPN’S

• Remote servers, shares, pc’s, smartphones

• Verbinding maken met behulp van ZeroTier

RASPBERRY PIALTERNATIEVEN

• Op basis van x86-hardware en microcontrollers

• Projecten: NAS, firewall, ESP32camera, thin-client

• Opensource remote-beheer

• Technologie achter ChatGPT

• Malware filteren met TLS

• Verboden mappen in Verkenner

• Toegangsrechten met Udev

DOE MEE MET HET GROTE C’T LEZERSONDERZOEK www.ct.nl
2023 6

30 Mesh-wi systemen

Mesh-wifisystemen beloven snel draadloos internet door het hele huis, met een optimale verbinding als je je door de ruimte verplaatst. We bespreken wat een mesh precies is en hoe je dat e ectief installeert. Bovendien stellen we zes populaire meshkits met Wi-Fi 6 op de proef.

40 Raspberry Pi-alternatieven

De Raspberry Pi is voor niet voor alle projecten het optimale hardwareplatform − bovendien is hij nog steeds moeilijk verkrijgbaar. We bieden je een overzicht van Raspberry Pi-alternatieven en vier concrete projectideeën: een OpenWrt-firewall, een miniserver, een slimme wificamera op basis van ESP32 en hoe je een oude thin-client inzet als hobbyplatform.

62 Peer-to-peer-VPN’s

We bekijken een viertal VPN’s voor kleine werkgroepen met elegante client-to-client-verbindingen. Daarnaast werpen we een blik op PGPP voor extra bescherming op smartphones en gaan we aan de slag met ZeroTier.

4 www.ct.nl

Inhoud

Thema’s

Mesh-wifisystemen

30 Mesh-wifisystemen: begrippen en tips

34 Zes meshsystemen met Wi-Fi 6 getest

Raspberry Pi-alternatieven

40 Overzicht Raspberry Pi-alternatieven

44 NanoPi R2S en R4S met OpenWrt

46 Odroid H3 als NAS en thuisserver

50 Slimme wificamera op basis van ESP32

54 Fujitsu Futro S740 thin-client voor hobbyprojecten

Peer-to-peer-VPN’s

62 Wat moderne VPN’s te bieden hebben

64 Vier VPN’s voor remote beheer en shares

70 Hoe PGPP je smartphone beschermt

72 Apparaten en thuisnetwerken verbinden met ZeroTier

Nieuws

6 Algemeen

8 Hardware

10 Streamingdiensten: nog steeds niet winstgevend

12 Processors

Software

104 Opensource remote-beheerprogramma’s

114 Netwerken simuleren met Filius

Hardware

16 Xiaomi 13 Pro smartphone

16 Jabra Elite 4 draadloze in-ears met ANC

17 Trust Lyra toetsenbord

17 Meeting Owl 3 conferentiesysteem

20 Gigabyte uATX-Q47EA embedded moederbord

20 Mackie MP-20TW draadloze in-ears

21 Tomlov DM201 Pro digitale microscoop

21 QNAP TS-264 en TS-253E 2-bay NAS-apparaten

22 Asus ExpertBook B9400CB 14-inch laptop

23 HPE MicroServer Gen10 plus

58 High-end processors: AMD Ryzen 9 7950X3D en Intel Core i9-13900KS

96 Ssd’s met PCIe 3.0 en 4.0 getest

Achtergrond

76 ChatGPT: doorbraak nieuwe technologie

128 Malware filteren via TLS-analyse

Praktijk

82 c’t-KeyFinder: installatiesleutels uitlezen

86 c’t-KeyFinder: resultaten interpreteren

90 c’t-KeyFinder: FAQ

108 Servers voor opensource remote-beheer

120 Verkenner verbiedt soms zelfs admins toegang

124 WireGuard-VPN tussen Fritzbox en OpenWrt

132 OPNsens-firewall als TLS-analyse instellen

136 Met udev toegangsrechten instellen

140 Tips en trucs

Vaste

17 Meeting Owl 3 conferentiesysteem

20 Gigabyte uATX-Q47EA embedded moederbord

22 Asus ExpertBook B9400CB 14-inch laptop

23 HPE MicroServer Gen10 plus

104 Opensource remote-beheerprogramma’s

120 Verkenner verbiedt soms zelfs admins toegang

132 OPNsens-firewall als TLS-analyse instellen

136 Toegangsrechten instellen met Udev

Abonnement afsluiten?

Kijk voor actuele aanbiedingen op op www.ct.nl/abo

14 Linux 26 Lifestyle 28 Sur ips
24 Nobara Linux 37 27 Apps 29 Game: Tchia
rubrieken
Voorwoord
Inhoud
Colofon
Volgend nummer 6/2023 uitgave 6/2023 5
3
4
145
146

OPGERUIMDE LINUX-DESKTOP

Gnome 44

De nieuwe versie van de Linux desktopomgeving Gnome hee veel detailverbeteringen gekregen. Oude afhankelijkheden zijn verwijderd en er zit eindelijk een zeer lang verwachte functie in.

Het momentum dat de ontwikkeling van Gnome sinds versie 40 te pakken hee , wordt met de nieuwe versie 44 voortgezet. De talloze vernieuwde menu’s en geherstructureerde dialogen maken de nieuwe Gnome-versie aantrekkelijk, hoewel het voornamelijk om kleine veranderingen gaat. De verwijderde oude items hebben bijvoorbeeld plaatsgemaakt voor de nieuwe bestandsselectiedialoog met voorbeeldweergave.

ALLEEN NOG MAAR GTK4

De ontwikkelaars hebben de laatste resten aan afhankelijkheden van de grafische bibliotheek GTK3 verwijderd uit de Gnomeshell, de centrale gebruikersinterface van de desktop. De Gnome-desktop is nu volledig gebaseerd op de GTK4-versie. Alleen applicaties die nog niet geport zijn, hebben nog GTK3 nodig. De GTK-bibliotheken

leveren widgets en interfaces voor grafische programma’s.

Een daarvan is de bestandsselectiedialoog (Gtk FileChooser). In tegenstelling tot de bestandsmanager gaf die vroeger de inhoud van mappen alleen als lijsten weer en niet in een raster met een preview van de bestandsinhoud – luttele 19 jaar nadat er voor het eerst om een rasterweergave werd gevraagd, is deze er nu. Uiteraard alleen voor programma’s die GTK4 gebruiken.

De GTK-erfenis is ook verwijderd uit de vensterbeheerder Mutter, die ook de beelduitvoer naar de grafische driver regelt. Daarnaast is ondersteuning voor OpenGL 2.1 uit de compositor geschrapt, maar dit hee alleen gevolgen voor oudere grafische chips die Open GL ES 2.0 niet onder steunen.

Daarnaast gebruikt Mutter in de Wayland-modus nu de zogeheten ‘trans-

acties’. Dat is een nieuwe manier om vensterinhoud te synchroniseren. Dit voorkomt dat gpu- intensieve toepassingen de hele desktop vertragen. Tot nu toe konden die leiden tot een schokkerige Gnome-shell met een moeilijk te controleren muis.

Het nieuwe concept zorgt voor stabiele framerates voor het hele bureaublad, zelfs als het renderen van een programma de computer zwaar belast. Op onze oude testcomputer met Intel graphics (Core i57Y54) was de verbetering duidelijk zichtbaar: hoewel de 3D-animatie in het venster schokte, bleef de weergave van het venster zelf soepel als we het verplaatsten.

FINETUNING VAN DE INTERFACE

Ook is het menu voor de snelle instellingen rechtsboven in de werkbalk verder bijgewerkt. Je kunt daar nu de bluetooth-, wifi- en netwerkknoppen uitklappen. Bij het openen zie je een lijst met verbonden apparaten die je met een klik kunt koppelen of ontkoppelen.

Nieuwe apparaten moet je nog steeds via het instellingenmenu koppelen. Met een klik op het luidspreker- of microfoonpictogram naast de volumeregelaar demp je het audiokanaal.

Nieuw in het menu is een deel voor achtergrondtoepassingen. Dit verschijnt alleen als er een vensterloze Flatpak-toepassing op de achtergrond draait, zoals een mediaspeler of een back-uptool.

Keywan Tonekaboni en Daniel Dupré
14www.ct.nl

Daarmee vervalt de irritante pop-upmelding dat er nog een programma op de achtergrond draait. De vermelde programma’s zou je moeten kunnen stoppen via een kleine knop, maar dit werkte in onze test onbetrouwbaar. Bovendien verschijnen uitsluitend achtergrondprogramma’s die via Flatpak zijn ingesteld, omdat de functie een interface van de XDG Desktop Portals gebruikt. Flatpak-apps draaien in een sandbox en communiceren met het besturingssysteem via de portals.

INSTELLINGEN OPGEPOETST

Er zijn ook veel wijzigingen aangebracht in het programma voor de instellingen. Dat is geherorganiseerd en is nu duidelijker. Zo zijn de instellingen voor de muis en het touchpad gescheiden in afzonderlijke tabbladen. Kleine animaties leggen duidelijk het verschil uit tussen traditioneel en natuurlijk scrollen.

Onder Toegankelijkheid zijn categorieën als zien of wijzen en klikken nu onderverdeeld in submenu’s in plaats van één lange lijst. Hetzelfde geldt voor de geluidsinstellingen, waar de volumeregeling voor afzonderlijke toepassingen is verplaatst naar een dialoogvenster.

In de wifi-instellingen is er naast opgeslagen netwerken nu ook een knop om de aanmeldgegevens via een QR-code te delen, die je met een smartphone kunt scannen. Daarnaast is het eindelijk mogelijk om WireGuard VPN-verbindingen te maken via de netwerkinstellingen.

BESTANDSBEHEER

Het Gnome-bestandsbeheer was al in versie 43 omgezet naar GTK4. Door complicaties werd echter één functie weggelaten: uitklapbare mappen in de lijstweergave, ook wel TreeView genoemd. Dat is opgelost en de uitklapfunctie kan weer worden ingeschakeld.

Nieuw in het bestandsbeheer zijn uitgebreide functies voor tabbladen. Via het contextmenu kun je alle andere tabbladen sluiten of het huidige tabblad naar een nieuw venster verplaatsen.

Bovendien kun je afbeeldingsgegevens van het klembord als PNG-bestand opslaan door met de rechtermuisknop te klikken. Bij netwerkmappen zagen we het bestand echter pas nadat we het venster verversten.

ALLES OPENSOURCE

Het installatieprogramma van de Gnomeso ware biedt een optie om alleen toepassingen weer te geven die als vrije so ware

zijn aangemerkt. Alle programma’s met propriëtaire componenten van bijvoorbeeld Flathub worden dan er uitgefilterd. Flatpak runtimes die niet meer nodig zijn worden opgeruimd door ze automatisch te verwijderen. Bij het updaten van op image gebaseerde systemen zoals Fedora Silverblue, toont Gnome een voortgangsbalk en toont informatie over de nieuwe functies van de programma’s.

Er zijn ook kleinere maar nuttige vernieuwingen in andere apps. De terminalapp Console toont open tabbladen in een rasteroverzicht. Dat is handig voor als je het overzicht kwijt bent.

Het tabbladoverzicht wordt ook gebruikt door de browser Gnome Web (Epiphany), die ook is omgezet naar GTK4.

Deze ziet er niet alleen moderner uit, maar komt ook met herziene website-rendering. De ontwikkelaars werken momenteel aan hardwareversnelde videoweergave en onder steuning voor Firefox-extensies. Langzaam wordt Web als lichte browser weer een interessant alternatief.

Je kunt Gnome 44 uitproberen via de Gnome OS Nightly images, die het Gnomeproject levert voor de Flathub-variant van Gnome Boxes voor het beheer van virtuele machines of voor installatie op testsystemen. Daarbij formatteert het installatieprogramma de hele gegevensdrager. Gnome 44 is al opgenomen in openSUSE Tumbleweed en zal het deel uitmaken van Fedora Linux 38 en Ubuntu 23.04, die binnenkort verschijnen.

Nieuws/Linux
De browser Gnome Web is ook omgezet naar GTK4 en in een modern jasje gestoken: hij hee een herziene website-rendering gekregen en binnenkort moet er ook ondersteuning voor Firefox-extensies komen.
uitgave6/202315
De dialoog voor het selecteren van bestanden biedt eindelijk een rasterweergave, wat vooral handig is bij het openen van foto’s.

Mackie MP20TWS

De MP-20TWS van Mackie klinken helder en precies ondanks de krachtige bas. Ook de batterijduur van de in-ears is indrukwekkend.

Robin Brand

Gigabyte uATX-Q47EA

De uATX-Q47EA van Gigabyte is een industrieel moederbord in het kleine micro-ATX formaat. Het kleine moederbord is voorzien van een heleboel aansluitmogelijkheden, wat een brede reeks aan toepassingsgebieden mogelijk maakt.

Embedded systemen zijn in principe een soort minicomputers die vaak maar één zeer specifieke taak hoeven uit te voeren. Dat kan van alles zijn, variërend van magnetrons, fabricagemachines, pinautomaten, en ga zo maar door. Het zijn meestal specialistische apparaten die voor zeer specifieke toepassingen geschikt zijn. Mocht je op zoek zijn naar een mini-pc om vergelijkbare specifieke taken uit te voeren, dan kun je ook een kleine pc samenstellen op basis van een micro-ATX-moederbord.

De uATX-Q47EA van Gigabyte is er zo een. De zijden van het kleine LGA 1200-moederbord in uATX-formaat zijn maar 24 centimeter lang. Het past daarmee in kleine behuizingen.

Er zit een Q470E Express-chipset van Intel in en ondersteunt 11-gen Intel-processors – van Celeron tot Intel Core i9-cpu’s. De vier RAM-slots ondersteunen tot 128 GB DDR4 2933-geheugen en het bord is voorzien van twee M.2-slots, waarvan één 2280 PCIe gen3-slot en één 2230 M.2 PCIe x1-slot.

Het interessantste deel zit echter aan de achterkant. Naast de enkele HDMI- en DisplayPort-aansluitingen en vier USB 2.0-poorten is de uATX-Q47EA namelijk voorzien van maar liefst vier gigabit-ethernetpoorten en acht USB 3.2 Gen 1-aansluitingen.

Met dat grote aantal netwerkpoorten zijn er toepassingen denkbaar zoals het aansluiten van meerdere ip-camera’s voor surveillancedoeleinden of om meerdere aparte netwerken centraal te configureren. De vele usb-aansluitingen kunnen handig zijn in scenario’s waarbij je veel periferieapparaten wilt aansluiten, bijvoorbeeld

meerdere microscopen of andere apparaten in een laboratorium.

Afhankelijk van je toepassingsgebied kun je het Q47EA-moederbord voorzien van een eenvoudige Celeron-cpu of een krachtige Core i9-processor – dan zul je uiteraard wel voor de nodige koeling moeten zorgen, die afhankelijk van de processor ook meer of minder geluid zal produceren. Daar zul je bij het plaatsen van het apparaat rekening mee moeten houden.

Datzelfde zal uiteraard ook meespelen bij de behuizing die je voor dit moederbord gaat gebruiken, want in kleinere behuizingen hoopt de warmte zich snel op en moet de koeling harder – en daarmee luider –werken om de onderdelen op temperatuur te houden.

Door de combinatie van meerdere netwerkpoorten en veel usb-poorten is het lastig het Q47EA-moederbord in een bepaald segment te pinpointen. Als je mogelijke toepassingsscenario’s weet te bedenken, dan heb je aan dit moederbord in ieder geval een betrouwbaar uitgangspunt.

 Intel-moederbord in uATX-formaat

 veel aansluitingen op I/O-shield

 alleen voor specifieke toepassingen

chipset, cpu

Intel Q470E Express-chipset, 10/11-gen Intel Core-cpu’s aansluitingen intern

4 × DDR4, M.2 PCIe Gen3 x4, 4 × SATA 6Gb/s, 4 × PCIe Gen3 uitbreidingsslots aansluitingen achter

4 × GbE LAN, 8 × USB 3.2 Gen 1, 4 × USB 2.0

€ 320

Deze in-ears ondersteunen Bluetooth 5.2 en de gebruikelijke codecs SBC en AAC, maar geen LDAC en aptX. Ze ondersteunen ook geen multipoint-bluetooth, dat verbinding maakt met twee afspeelapparaten tegelijk.

De bediening gaat via tikken op de buitenkant – te sterke aanrakingen klinken luid door. Er is geen app waarmee je de bediening of het geluid kunt aanpassen. Er worden drie eartips meegeleverd, we hadden graag meer tussenmaten gezien.

Vooral voor het basbereik is het geluid alleen aangenaam bij een perfecte pasvorm. Dan halen de in-ears diepe, zuivere bassen. Het zijn vooral de kristalheldere hoge tonen die zich onderscheiden. Dat is een genot als je geconcentreerd naar muziek luistert, maar voor wat achtergrondmuziek kan het vermoeiend worden.

De actieve ruisonderdrukking werkt effectief tegen constante bromgeluiden. De transparantiemodus is aangenaam, maar met een hoorbare ruis. De Mackie MP-20TWS klinkt uitstekend en doet niet onder voor veel duurdere in-ears. Ook de batterijduur is prettig – het ontbreken van voorzieningen als multipoint-bluetooth en betere ruisonderdrukking zijn tolereerbaar.

 lange accuduur

 zeer goed geluid …  … afhankelijk van pasvorm

accuduur 12 uur muziek, 6 uur met ANC/bellen, case goed voor circa 4 keer opladen gewicht 8 g (per in-ear), 43 g (case)

€ 170

20www.ct.nl

Tomlov DM201

Voor heel nauwkeurige soldeerklussen is een microscoop met scherm zoals de Tomlov DM201 Pro een onmisbaar stuk gereedschap.

Jan Mahn

Voor het solderen van componenten kun je met een microscoop de nauwkeurigheid enorm vergroten. De Tomlov DM201 Pro zit tussen een eenvoudige webcammicroscoop en een professioneel apparaat in. Het apparaat maakt een solide indruk, het scherpstellen werkt precies en soepel. De scherptediepte is niet groot, zodat je soms moet beslissen waar je op wilt scherpstellen.

De Tomlov heeft een helder en contrastrijk 7-inch display met voldoende resolutie. De automatische belichtingsregeling van de ingebouwde leds werkt goed. De HDMIuitgang en de opslagfunctie voor microSDkaarten zijn handig. De microscoop meldt zich via usb op een pc aan als webcam.

De sensor registreert 5376 × 3024 pixels (16,2 megapixels) – veel meer dan het display. Met de infrarood afstandsbediening maak je foto’s of start je video’s zonder de microscoop aan te hoeven raken. Voor het vergroten is er de 16x digitale zoom, wat wel beeldruis oplevert.

De Tomlov-microscoop is een nuttige tool voor je elektronicawerkplaats als je werkt met millimetergrote componenten.

 om nauwkeurig te solderen

 slimme functies

 maximale digitale zoom ruist

display

7 inch, 1024 × 600 pixels

sensor

16,2 megapixels, 5376 × 3024 pixels

aansluitingen

USB-C (voeding en webcam), HDMI, MicroSD accu

2000 mAh, niet verwisselbaar

QNAP TS-264 en TS-253E

QNAP heeft kort na elkaar twee zeer vergelijkbare x86-netwerkopslagapparaten geïntroduceerd die nauwelijks van elkaar verschillen. We waren benieuwd of hetzelfde geldt voor de prestaties.

Ernst Ahlers

De nieuwkomers van QNAP verschillen minimaal: de TS-253E (rechts op de foto) heeft twee schermaansluitingen, de TS-264 slechts één, maar wel een PCI Express-slot voor hardware-uitbreiding. QNAP belooft dat de 253E ondersteund zal worden tot 2029.

De 264 zou met een optionele edge TPU-module beelden herkennen via kunstmatige intelligentie, bijvoorbeeld bij videobewaking. Beide gebruiken het QTS NAS-besturingssysteem van QNAP, dat veel ook voor bedrijven handige functies bevat, uitbreidbaar is via add-ons en eenvoudig via een browserwizard kan worden ingesteld.

Hun zeer vergelijkbare Intel-processors van de 2021-generatie leveren vrijwel dezelfde prestaties. De coderingssnelheid gemeten met openssl correleert met de integerprestaties. Met WireGuard-versleuteling (ChaCha20-Poly1305) op één kern lag de Celeron N5095 in de TS-264 met 566 MB/s slechts iets voor op de J6412 van de TS253E (526 MB/s). Met AES-256-CBC en AESNI ondersteuning was het 809 MB/s tegen 781 MB/s.

Het schrijven en lezen van verschillende bestandsgroepen ging ook praktisch gelijk op. Een 2,5Gbit/s LAN-verbinding, die in het beste geval netto 290 MB/s transporteert, kon door beide NAS-systemen met grote bestanden in ruime mate worden gebruikt. De gebruikte schijven halen ongeveer 250 MB/s. We vonden geen noemenswaardige verschillen bij toegang tot een niet-versleutelde of een versleutelde share.

Beide apparaten hebben twee M.22280-slots voor NVMe-ssd’s, die als cache de toegang kunnen versnellen. Dat deed

aansluitingen

2 × RJ45 (tot 2,5 Gbit/s), 2 × USB 2.0, 2 × USB 3.2 Gen 2 (10 Gbit/s), HDMI 1.4a (TS-253E: 2×HDMI), (TS-264: 1 × PCIe 3×2)

RAM / cpu

8 GB (vast) / TS-264: Celeron N5095 (4 core 2,9 GHz); TS-253E: Celeron J6412 (4 core 2,6 GHz)

geteste firmware

QTS 5.0.1.2248

€ 520 (QNAP TS-264)

weinig voor de lineaire bestandstoegang. Alleen het schrijven van veel middelgrote bestanden ging in onze test met de TS-253E iets sneller (73 in plaats van 52 MB/s).

De ssd-cache bevorderde vooral willekeurige benaderingen, zoals bij databases veel voorkomt. Zonder cache toonde de DiskSpd-benchmark ongeveer 650 benaderingen per seconde tot een 48 GB testbestand op beide NAS-apparaten (Input/ Output Operations per Second, IOPS, 4K blokken, lezen/schrijven 80/20 procent). Met de cache werden de IOPS dertig keer zo hoog – voor de TS-264 20.100 en voor de TS253E: 22.500.

Het energieverbruik hangt vooral af van de schijven en het gebruik: met twee ST12000VN0008-hdd’s was het rond 24 watt. Als die schijven na een instelbare tijd zonder benaderingen in de slaapstand gingen, daalde het verbruik naar 16 watt (TS264) en 14 watt (TS-253E).

Terwijl de TS-253E van een al minder goed hoorbare 0,9 sone bijna geheel onhoorbaar werd (0,1 sone), bleef het bedrijfsgeluid van de TS-264 hetzelfde (0,6 sone). De fabrikant onderzoekt nog hoe dat komt. Deze twee QNAP NAS-apparaten voor kleine en middelgrote bedrijven verschillen alleen in details. De TS-264 is uitbreidbaar via een PCIe-slot, de TS-253E is lang beschikbaar met langdurige ondersteuning. Je zult met geen van beide de fout ingaan en kunt dan ook kiezen op basis van de beschikbare functies.

 compacte, snelle NAS-apparaten

 goede software

 TS-264 relatief luid in slaapstand

€ 650 (QNAP TS-253E) uitgave6/202321

€ 200

Review/Hardware

SNELLER DAN JE DENKT

ChatGPT tussen economische efficiëntie en wensgedachte

Taalmodellen zoals ChatGPT leggen de wereld uit zonder deze te begrijpen. Maar is semantisch begrip ook daadwerkelijk nodig? Of zou dit juist een obstakel vormen voor AI-bedrijven op weg naar economisch succes? De geschiedenis leert dat er voor een succesvolle doorbraak van nieuwe technologieën meerdere factoren meespelen.

Als je naar de actuele debatten over taalmodellen zoals ChatGPT luistert, zou je denken dat er nauwelijks grenzen zijn aan de mogelijkheden van de machinale taalverwerking. Of het nu gaat om een zakelijk rapport, een krantenartikel, een proefschrift of een roman – chatbots lijken alles te beheersen. Veel stemmen gaan ervan uit dat machinaal ge -

genereerde teksten binnenkort de norm zullen zijn in plaats van door mensen geschreven teksten. Daardoor zou ook het verwachtingspatroon bij het lezen van teksten veranderen: door AI geproduceerde teksten zullen de regel worden, door mensen geschreven teksten de uitzondering.

De AI-systemen hebben echter nog steeds ernstige tekortkomingen. Iedereen die experimenteert met ChatGPT komt fouten tegen. Het basisprobleem is dat de AI niet begrijpt waar hij het over heeft. Wat voor het menselijk brein semantische tekens zijn die betekenis overbrengen, verwerkt de software als syntactische en wiskundige verbanden die zijn afgeleid van trainingsgegevens en statistische berekeningen. Systemen als ChatGPT functioneren op basis van het uitganspunt dat het betekenisniveau van taal kan worden afgeleid via numerieke relaties. Zijn spraak- en schrijffuncties daarmee functies die kun-

Illustratie AI Midjourney | nabewerking c’t
76 www.ct.nl

nen worden berekend, net als routes in Google Maps, matches op Parship, of voorspellingen voor het weer?

De prestatiesprongen die taalmodellen de afgelopen jaren hebben gemaakt zijn verbluffend. Het laat zien hoe ver de aanpak van het aan elkaar rijgen van woorden en woordreeksen op basis van statistische waarschijnlijkheden komt. Toch is er geen bewijs dat semantiek volledig kan worden afgeleid uit syntactische relaties. Het omgekeerde is echter ook niet aantoonbaar.

Zou dit betekenen dat het slechts een kwestie van tijd is voordat systemen het niveau van betekenis beheersen – zij het dat ze echt taalbegrip ontwikkelen, of dat ze het in voldoende mate simuleren om overtuigend genoeg te zijn? Of zijn er categorische grenzen aan AI waarboven het niet kan uitstijgen?

EINDELOZE BÈTAFASEN

Het hoort bij de aard van software dat deze in een permanente modus van bètaversies en updates verkeert. Dit geldt met name voor de huidige taalmodellen, die bovendien niet-deterministisch zijn. Voor een en dezelfde input – of dat nu een vraag, een beschrijving of een commando is – produceren de generatieve systemen telkens weer een ander resultaat, en de ontwikkelaars passen de software voortdurend aan. Producenten zoals OpenAI houden de interne werking van hun AI echter voor de buitenwereld grotendeels geheim, al is dat vermoedelijk vooral in de hoop om hun voorsprong op de concurrentie te behouden.

In tegenstelling tot de gebruikers profiteren AI-ontwikkelaars van de haast mythische mist die rond AI hangt. Zij verwachten niet alleen kritiek, maar eisen ook feedback. Want daarmee kunnen de lerende systemen verder worden getraind en geoptimaliseerd. Op die manier zetten de producenten tekortkomingen om in beloftes tot optimalisatie. Hoewel

de intelligentie van de systemen permanent afhankelijk is van correctie door gebruikers, interpreteren de producenten dit niet als een zwakte, maar verkopen ze het als potentieel: met meer data zullen de taalmodellen steeds beter worden, zo luidt de belofte.

AANDACHTSECONOMIE

Het succes van software wordt echter niet alleen bepaald door de technische prestaties. Daar is ChatGPT een goed voorbeeld van: het succes van de chatbot is zeker niet in de laatste plaats gebaseerd op de aandacht die producent OpenAI heeft weten te trekken. De debatten rond ChatGPT – in de vorm van fictie, reportages of speculaties – zijn een intrinsiek onderdeel van het huidige succes. De overhaaste reactie van Google op de enorme respons die ChatGPT genereerde, die de makers van de chatbot zelf ook overviel, is daar een resultaat van. Het moment van de presentatie van Googles chatbot Bard begin februari werd niet bepaald door de technische prestaties, maar door aandachtseconomie.

Je zou verwachten dat de aandachtseconomie volgens het simpele principe ‘hoe meer, hoe beter’ werkt. Maar blijkbaar kan er soms ook te veel van het goede zijn. ChatGPT op basis van het GPT-3.5 taalmodel was nog niet op de markt verschenen, of er volgde al een update voor Microsofts zoekmachine Bing. De geruchtenmolen over de opvolger GPT-4 draaide zo hevig dat de baas van OpenAI, Sam Altman, zich in de aanloop naar de release medio maart genoodzaakt voelde de verwachtingen te temperen. ‘Mensen smeken erom teleurgesteld te worden – en dat zullen ze ook zijn,’ verklaarde hij begin februari in een interview met Silicon Valley-watcher StrictlyVC. Hoewel de nieuwe versie van het taalmodel die is vrijgegeven veel minder fouten zou maken en niet zo gemakkelijk kan worden misbruikt, zit hij nog steeds op de stand van kennis van september 2021.

Feitelijke juistheid van taalmodellen

GPT-4 wordt geacht op verschillende kennisgebieden nauwkeuriger antwoorden te geven dan zijn voorgangers. De gegenereerde uitspraken zijn echter nog lang niet 100% feitengetrouw.

Achtergrond / Grenzen van de AI-taal Bron OpenAI
0 10 20 30 40 50 60 70 80 90 100
Economie Aanbevelingen Wetenschap Wiskunde Geschiedenis Schrijven Techniek Leren [in procenten] Programmeren
gpt-4 chatgpt-v4 chatgpt-v3 chatgpt-v2
uitgave 6/2023 77

VPN-BRIDGE

WireGuard-VPN tussen Fritzbox en OpenWrt

Steeds meer Fritzbox-modellen van AVM krijgen op dit moment het snelle en eenvoudig te configureren WireGuard-VPN. Daarmee is het voor het eerst ook mogelijk om het opensource routersysteem OpenWrt zonder complicaties met FritzOS te verbinden – hier lees je hoe!

Het routerbesturingssysteem OpenWrt is opensource en verandert de daarmee compatibele routers in netwerkallrounders. Duizenden softwarepakketten maken het mogelijk het basissysteem aan te passen aan je eigen wensen. Er is één uitzondering: IPsec-VPN-verbindingen met een Fritzbox hebben bij onze tests nooit betrouwbaar gewerkt. Dat is vooral vervelend voor gebruikers van reisrouters die onderweg met hun mobiele apparaten veilig toegang willen krijgen tot hun thuisnetwerk [1].

AVM biedt met firmware FritzOS 7.50 een oplossing: WireGuard. Dat VPN-protocol is niet alleen meestal sneller op een Fritzbox dan het wat bejaarde IPsec, maar ook zeer eenvoudig om te configureren. Alle WireGuard-clients kunnen hun weg evenzo makkelijk vinden naar het Fritz-thuisnetwerk, en met een paar eenvoudige stappen in OpenWrt kan al het dataverkeer door de tunnel naar de thuisverbinding en vandaar naar het internet worden geleid. Op die manier kun je veilig reizen in openbare netwerken zonder een extra VPN-provider te hoeven betalen.

SYSTEEMEISEN

In dit artikel leggen we stap voor stap uit hoe je een verbinding opzet van een mobiele OpenWrt-router naar een Fritzbox. Enige basiskennis op netwerkgebied over wifi en IPv4 is handig.

We raden je aan om OpenWrt te gebruiken met Engelse taalinstellingen. Er bestaan vertalingen, maar de meeste documentatie en tutorials op internet zijn in het Engels. Die zijn makkelijker te volgen als de knoppen en menu’s niet terugvertaald hoeven te worden. De Engelse benamingen vind je terug in deze tekst.

Om ervoor te zorgen dat de weg naar huis toegankelijk is als je onderweg bent, moet je router zowel een IPv6-adres als een openbaar IPv4-adres hebben en toegankelijk zijn via een DynDNS-hostnaam. Dat laatste kun je regelen via de MyFritz-service (ga in het Fritzbox-menu naar ‘Internet / MyFRITZ!-account’) of met een onafhankelijke DynDNS-service zoals dynv6. com.

Hoewel WireGuard in FritzOS ook IPv6-verbindingen accepteert, ontbreekt dat protocol nog bij veel hotspot-netwerken. Als de router thuis geen openbaar IPv4-adres heeft, heb je bij VPN naar het thuisnetwerk een probleem. Vraag je internetprovider of hij je een openbaar IPv4-adres kan toewijzen.

Momenteel transporteert de WireGuard-oplossing op de Fritzbox alleen IPv4 binnen de tunnel. Bovendien mag het aan te sluiten subnet (met de OpenWrt-standaard 192.168.1.0/24) niet samenvallen met dat van de Fritzbox of een reeds aangesloten router – ongeacht of dat via VPN of rechtstreeks gebeurt.

Je kunt subnet-overlappingen elimineren door bij de OpenWrt-webinterface bij het menu-item ‘Network /Interfaces’ bij de netwerkbrug br-lan op Edit te klikken en het ‘IPv4 address’ te wijzigen – bijvoorbeeld van 192.168.1.1 naar 192.168.171.1.

Bevestig de wijziging met Save en Save & Apply. Je hebt dan 90 seconden om de webinterface op te roepen onder het nieuwe ip-adres, anders maakt OpenWrt de wijziging ongedaan. Als je geen vast ipadres op je computer hebt ingesteld, is het voldoende om de wifiverbinding met de OpenWrt-router even te verbreken zodat je computer via DHCP een adres van het nieuwe subnet krijgt.

Om de VPN-instellingen te testen, mag je de internetverbinding van je OpenWrt-router niet via je thuisnetwerk tot stand brengen – anders zijn er twee routes naar hetzelfde netwerk. Gebruik gewoon het gastnetwerk van de Fritzbox, dat daarvoor geschikt is. Mogelijk moet je de toepassingblokkering van het gasttoegangsprofiel verwijderen (‘Internet / Filters / Toegangsprofielen’), omdat dat anders de WireGuard-poort blokkeert.

INSTALLEREN

FritzOS 7.50 was bij het schrijven van dit artikel al voor een aantal Fritzbox-routers beschikbaar. Als je een update nog niet gedaan hebt, kun je dat doen bij de Fritzbox-webinterface in het menu ‘Systeem / Update’ op het tabblad FRITZ!OS-versie.

Andrijan Möcker en Noud van Kruysbergen
124 www.ct.nl

Bij OpenWrt installeer je WireGuard bij de webinterface via het pakketbeheer onder ‘Systeem / Software’ – uitgaande van een internetverbinding. Een klik op ‘Update lists…’ zorgt ervoor dat het systeem de pakketlijsten bijwerkt. Zoek vervolgens in het filterveld naar luci-app-wireguard en installeer het pakket uit de resultatenlijst. Daarbij is luci-app-wireguard slechts de naam van de WireGuard-integratie voor de OpenWrt-webinterface LuCI. De pakketbeheerder installeert echter automatisch ook WireGuard en eventuele andere benodigde pakketten, dus je bespaart jezelf een paar klikken. Een herstart (‘System / Reboot’) zorgt ervoor dat de nieuwe modules geladen worden.

BRUG NAAR HET THUISNETWERK

Ongeacht of je later het volledige internetverkeer door het VPN wilt tunnelen, moet je eerst een brug naar het thuisnetwerk maken. Dat kan heel eenvoudig via de WireGuard-wizard in FritzOS. Klik daarvoor in de Fritzbox-webinterface onder ‘Internet / Toegang verlenen’ op het tabblad VPN (WireGuard) en vervolgens op ‘Verbinding toevoegen’. Bij de wizard kies je ‘Aangepaste configuratie’ en klik je op Volgende.

Vervolgens selecteer je dat de WireGuard-verbinding bij de remote site nog niet is aangemaakt en dat ‘de nieuwe WireGuard-verbinding’ niet ‘tegelijkertijd met een bestaande verbinding met de remote site’ mag worden gebruikt. Geef daarna aan dat het apparaat aan de andere kant compatibel is met WireGuard.

Bij de verbindingsinstellingen geef je een naam op, voer je het subnet van de OpenWrt-router bij de velden in – bijvoorbeeld 192.168.171.0 – evenals het subnetmasker – in kleinere netwerken meestal 255.255.255.0 – en bevestig je de instellingen. Sla het configuratiebestand uit het volgende venster lokaal op en ga dan verder met de webinterface van de OpenWrt-router.

Om de WireGuard-interface aan te maken, klik je op ‘Add new interface...’ in het menu onder ‘Network / Interfaces’. Geef een naam op, selecteer WireGuard VPN als protocol en bevestig de instellingen met ‘Add interface’. Bij het volgende menu importeer je de Fritzbox-configuratie via de knop ‘Load configuration’. Open daarvoor het eerder door de Fritzbox aangemaakte .conf-bestand met een tekstverwerker en verwijder de twee ‘DNS =’-regels omdat de WireGuard-plug-in van OpenWrt die niet begrijpt. Kopieer en importeer de configuratie uit de tekstverwerker vervolgens in het importveld bij OpenWrt.

De belangrijkste dingen zijn dan gedaan. Er zijn echter nog een paar kleine instellingen nodig. Klik bij de Firewall Settings op de zoneselectie en wijs in het onderste veld een nieuwe zonenaam toe, zoals vpn of wireguard – meer daarover na de WireGuard-configuratie. Open (Edit) op het tabblad Peers de geïmporteerde peer en geef die een geschiktere beschrijving dan ‘Imported peer configuration’. Om ervoor te zorgen dat WireGuard de kernel ook voorziet van routes voor de externe netwerken, moet het selectie -

vakje ‘Route Allowed IPs’ worden aangevinkt. Bevestig vervolgens de instellingen in de peer bij de WireGuard-interface en met ‘Save & Apply’ in het interface-overzicht. Ze worden pas geaccepteerd nadat je de WireGuard-interface via Restart opnieuw hebt geladen.

Je moet ervoor zorgen dat de OpenWrt-firewall de routing tussen de netwerken toestaat. Onder ‘Network / Firewall’ staan de instellingen voor de zones. Bewerk eerst de LAN-zone en sta je nieuwe VPN-zone toe onderaan het menu onder ‘Allow forward to destination zones’ en ‘Allow forward from source zones’.

Bij de firewallinstellingen kun je met een paar klikken regelen welk dataverkeer naar welke bestemming mag stromen, zodat het thuisnetwerk zonder omwegen door de tunnel wordt geleid.

Praktijk / OpenWRT
De webinterface LuCI van OpenWrt geeft toegang tot alle belangrijke netwerkinstellingen.
uitgave 6/2023 125

Turn static files into dynamic content formats.

Create a flipbook
Issuu converts static files into: digital portfolios, online yearbooks, online catalogs, digital photo albums and more. Sign up and create your flipbook.