05.07.2020 10:00
Das Routing-Problem zwischen Osteuropa und Asien ist gelöst. Irgendwo beim oder in der Nähe vom Upstream in Osteuropa gab es wohl Probleme. Ich konnte mein als temporary workaround konfiguriertes 5 faches AS-Path prepend wieder aus meiner Border-routerconfig herausnehmen, jetzt wo meine Verbindungen Richtung Asien wieder über Osteuropa läuft sind sie etwa 30-50 ms schneller. Das Problem erinnert mich an 2003 als ich den Provider einer sehr großen Computerzeitschrift als Upstream nutzte und eigentlich dachte die müssen es ja am besten wissen was gut ist. Das war ein Zebra-Router nahe Hauptbahnhof in Frankfurt (landet am Bahnhof das deutsche Bahn netz mannesmann/arcor – heute vodafone - seine Fiber an?) damals der den Peering-Traffic per Tunneln über ein drahtloses Drittnetz weiterreichte (ich wollte keinerlei Telekom-drähte oder Fasern auf diesem Weg involviert wissen) und mit dem anderen Border-Router auf Zebra-Basis in einem andern Rechen-zentrum in der Frankfurter Innenstadt seine BGP-Routen-Updates und Traffic austauschte. Dieser Tier1-Upstream-Provider (der das andere große Netz in Deutschland als Infrastruktur nutzt, das der Deutschen Telekom) gehört zu den Top5 weltweit und verfügt in den USA über eigene Infrastruktur. Und als dieses Peering ausfiel hakte es ganz plötzlich wenn man über das andere Peering Pakete in die USA sendete, soweit ich erinnere irgendwo bei Colocrossing/Buffalo oder so die in Nordamerika was unsren Traffic anging einen hohen Anteile erzielt haben als Knoten damals. Was war geschehen? Nun, von dort aus wurde Traffic über Infrastruktur des Tier1 Provider geschickt (niedriger dreistellige ASN) der in Europa/Frankfurt ausgefallen dem wir unsere Routen announcten.

---

-------- Nachricht --------
Betreff: Re: [Ticket #787001] Cannot reach anything within
193.109.132.0/23 AS21158 using your looking glass
Datum: Mon, 29 Jun 2020 22:49:42 +0300
Von: *** L2 technical <***@***.***>
Antwort an: *** L2 technical <l2tech@***.***>
An: Maximilian Baehring <maximilian.baehring@googlemail.com>



***.*** <https://***.*** >


Ticket #787001

Cannot reach anything within 193.109.132.0/23 AS21158 using your looking
glass

I'm sorry but I can't find a question in these piles of text.
If this is regarding /24 - currently we are installing new router
(already received one).
When it will be in production (this week or early next week) we will
stop filtering /24 networks and everything will be fine.
*** ***


Review the ticket
< https://***.***/*** >


[...]

---

Die hatten nun im globalen Routing wohl einen Filter drinne der Traffic an uns und zurück nur über deren direktes Peering in Frankfurt ausleitete. Und sobald der Traffic den wir dem andere Provider sendeten in den US in dern Netz gelangte versuchten die den über das ausgefallene Peering zurückzusenden anstatt über das zwote mit dem zwoten Upstream. In deren IBGP/IGP könnte irgendwo unsere /23 Route vorhanden gewesen sein, vielleicht weil das Peering in Frankfurt EBGP-Multihop war. Statt aber diese route mit extrem niedriger Priorität (geringer als das was nachher per BGP in die Routingtabelle kommt) nur für den EBGP-Next-hop zu setzen könnte die dann per IGP/IBGP bis in die USA weiterverteilt worden sein was hätte verhindert werden müssen. Reine Spekulation aber das ist ein mögliches Szenario. Die route zum EBGP next-hop muß immer statisch sein genau wie man am besten eine /32 Host-Route zu jeweils andern der beiden EBGP-Speaker setzt auf den Hops dazwischen. Es könnte auch an einem prefix- oder as-path-filter gelegen haben. Das mochte ich an dem andern global operierenden TIER1 Provider im oberen dreistelligen AS-Bereich so gerne mit dem ich mal peerte daß der für Europa und USA eigene AS-Nummern verwendete aber die waren dann zu dämlich ordentlich mehrere Leitungen zu loadbalancen was dazu führte daß von zwo E1 die eine E1 zu denen 2/3 und die ander 1/3 Traffic bekam. Sowas passierte da nicht. Jedenfalls: Irgend so ein Problem wird auch das aktuell gerade gelöste Problem zwischen Asien und Osteuropa gewesen sein denn nutzte man andere IP-Adressen stad der Pfad so rein hard-waretechnisch/physikalisch, das war ein reines Routingproblem. AS-Pfad Filter darf man an den AS-Pfad Endpunkten eines Netzes setzen aber niemals in Netzen die andere ASe durchleiten.

Routen Filtern kann man was eingehenden Traffic angeht sehr gut aber wo der Traffic rausgeht kann man kaum (nur über den Umweg von do-not-announce-to BGP-Communities und auch nur dann wenn ein Upstream das unterstützt/dokumentiert) steuern. Ich announce mein/e Netz/e immer nicht nur meinem Upstream sondern auch zeitglich all den Netzen mit denen er verbunden ist. Ich muß also das Netz eines Providers durch den hindurch mein Traffic geleite wird nicht selber sehen und erreichen können es genügt vollauf wenn ich selbst eine Route zum Zielnetz habe (und sei es eine Fallback-Default Route) und meinen nächsten Hop dorthin sehe. Das Zielnetz wiederum muß mein Netz sehen und seinen nächsten Hop, der Rest ist das Problem Dritter. Jeder Upstream von mir reicht meine Route/n – um sein vorangestellten AS-Pfad erweitert – weiter durch (Ausnahme: ich weise per BGP Community setzen einen Upstream der das implementiert hat an das nicht zu tun) da brauch ich mich nicht drumm zu kümmern. Nicht ich kontrolliere ob das Ziele oder ein Hop dazwischen meine route sieht sondern der jeweils nächste Hop beim um seinen AS-Pfad ergänzten Durchreichen meiner Route/n. Beweis: siehe neuerdings häufiger in traceroutes sichtbare Transfernetze aus dem Privaten Adress-Bereich 10.0.0.0/8, 172.16.0.0/12 192.168.0.0./16 zwischen öffntlichen IP-Adressen (die bei lokaler RFC1918 Reverse-Namensauflösung DNS-namen bekommen könne die im lokalen Netz vergeben sind, daher wird der cimp of weggfiltert, man isht dann Sternchen) wegen knapp werdender IPv4-Adressen, besonders in den USA: Ich muß immer nur meinen eignen nächsten Hop und das Ziel sehen, nicht zwingend jeden einzelnen Router dazwischen.


202007051000-0-1.jpg
[0] "202007051000-0-1.jpg"

202007051000-0-2.jpg
[1] "202007051000-0-2.jpg"

202007051000-0-3.jpg
[2] "202007051000-0-3.jpg"

202007051000-0-4.jpg
[3] "202007051000-0-4.jpg"
05.07.2020 12:30
#EinUnMöglicherHärtefall Wer keinen Ehevertrag (hilfs-/ersatzweise das geteilte Sorgerecht) unterschreiben will (bei Geschäftspartner-schaften Konkurrenzklauseln) dem geht es nur ums Geld, darum den andern finanziell zu übervorteilen. „Du mußt mir vertrauen um?“ Bullshit. Wer dem anderen sein Rechte nicht zugestehen will der hat keinerlei ehrliche Absichten. Punkt. Lustig fand ich den alten greisen Anwalt mit seinen Abrechnungen und vermiedenen Kosten. Nicht daß eine gierige Ex-Frau noch die Tankstellenkarte eines Konzerns wegzupfänden versucht was dazu führt so daß der komplette Außen-dienst der Fima des Ex seine Firmenfahrzeug nicht mehr betanken kann so in etwa wie bei den Öloptionen der Metallegesellschaft AG. In den meisten Gesllschaftsverträgen stehen Klauseln drinn die (Ex-) Frauen und Kinder/Erben ausdrücklich von der Teilnahme an der Gesellschaft ausschließen weil viel Geschiedene Gesellschafter- Gatinnen bei der Scheidung auf die Idee kommen sich Firmenver-mögen das ihnen nicht zusteht unter den Nagel reissen zu wollen und die Firmen teils ganz empfindlich schädigen. Manche Ex-Frauen spekulieren dann betrügerischauf einmalig Abfindungen nach § 34 GmbHG wenn der Gatte der Gefahren für die Rest-gesellschafter einer Scheidung wegen die Anteile aufgeben muß. Das ist vom Prinzip her nichts anderes als wenn sie nem Bankdirektor oder dessen Kindern die Waffe an den Kopf setzen damit er den Tresor aufmacht. Die vergehen sich am Vermögen Dritter, nämlich der An-/Einleger und Mitgesellschafter/Partner des Ex-Mannes. Und die verstehen in solchen fällen keine Späße was das angeht. Druckmittel Kind hin oder her. Das kann auf gigantische Schaden- ersatzforderungen gegen verleumdende Ex-Frauen hinauslaufen.

https://www.tvinfo.de/fernsehprogramm/1238979407-ein-unmoeglicher-haertefall
http://zettel.dynip.name/ (oder, alternativ http://take-ca.re/zettel.htm )

202007051230-0-1.jpg
[0] "202007051230-0-1.jpg"

202007051230-0-2.jpg
[1] "202007051230-0-2.jpg"
05.07.2020 13:45
Ich bin ja prinzipiell ein Freund von Müllvermeidung und Nachfüll-packs aber wenn ich den Nachfüllinhalt des Herstellers A in das leere Behältnis des Herstellers B gieße, stimmen dann auch die aufge-druckten Warnhinweise auf Behälter und Nachfüllpackung überein?

202007051345-0-1.jpg
[0] "202007051345-0-1.jpg"

202007051345-0-2.jpg
[1] "202007051345-0-2.jpg"
05.07.2020 14:30
Als ich gestern #TheJericoProject mit dem Typen der sich die in sein Gehirn übertragenen Erinnerungen von jemand anderem zunutze machte und musste ich an Leute denken die - im geheimen – Tage-bücher führen. Sowas kann für Leute mit denen die Kontakt haben extrem gefährlich werden weil wenn Tagbücher in falsche Hände geraten sie hohes Erpressungspotential haben. Denken wir nur mal daran eine im Untergrund lebende Tagebuchschreiberin, sagen wir eine RAF Terroistin hätte in Tagebüchern vermerkt wo sich all die anderen RAF Terroristen aufhalten. Hätte man die Bücher bei einer Festnahme gefunden worde wären die alle aufgeflogen. Es ist daher sehr, sehr unwahrscheinlich das jemand der sich versteckt sowas führt. Ich war etwa als Kind dagegen als ich damals in Thailand mal mitbekam daß meine Mutter etwas über mich aufschrieb. Ich bin damit nämlich gegenüber anderen Leuten über die nichts aufge-zeichnet wurde im Nachteil. Bei einem für jedermann einsehbaren Blog ist es anders, das weiß man was über einen geschrieben steht, kanns ich Abwehrmöglichkeiten überlegen wenn einem daraus Nachteile entstehen sollten. Beim geheimen Tagebuch das in die Hände eines Erpesser gerät ist das ganz anders. Als die Mutter der Mutter meiner Tochter sagte in ihrer Sekte würden sie sich auch Gedanken lesen können hab ch das als große Gefahr angesehen. Wer wird wohl als erstes einhelocht wenn Passwörter zu Bank konten gestohlen wurden die nirgendwo aufgeschieben waren oder Militärgeheimnisse publik werden, Luet die keine Gedanken lesen können oder Leute die damitt prhlendas zu können? Lernt so jemand dann eine Formel/ein Gedicht wirklich auswendig oder liest er es in Gedanken aus dem Hirn eines Mitschülers?

https://www.tvinfo.de/fernsehprogramm/1238979412-das-jerico-projekt

Bei #TheJericoProject geht es ja auch im weitesten Sinne um Identitätsdiebstahl. Bei einem öffentlich geführten Blog kann jeder schauen welche „Sicherheitsfragen“, „shared secrets“ also Fragen die nur er und jemand anders beantworten können Dritten bekannt geworden sind und daher nicht mehr zu Identifizerung eines Gegen-übers taugen. Das lustuiste finde ich immer wenn Leute was mit Aufzeichnungen nachweisen wollen die sie selbst geschrieben haben, sie also höchst subjektiv sind. Es gibt da das geflügelte Wort von „nur Statistiken“ zu „glauben die man selbst gefälscht“ habe. Kriegsstagebücher hingegen kenn man zwischen Feinden abgleichen ob etwa der vermeldet Abschuss eines Flugzeuges auch wirklich mit einem gemeldeten Verlust auf der Gegensite übereinstimmt oder nur ne Propagandalüge war. #WagTheDog #Schtonk

202007051430-0-1.jpg
[0] "202007051430-0-1.jpg"

202007051430-0-2.jpg
[1] "202007051430-0-2.jpg"

202007051430-0-3.jpg
[2] "202007051430-0-3.jpg"