Gemütlichkeitsdrohungen!

Ich bin im IRC auf einen Bericht zu automatisch übersetzter scareware hingewiesen worden.

In dem Zusammenhang habe ich dann mal versucht herauszufinden, was eine Gemütlichkeitsandrohung wohl ist. Es scheint sich um googles deutsches Wort für "privacy threat" zu handeln. Jedenfalls übersetzt Google:

>RFID travel cards‘ privacy threat => RFID reisen die Gemütlichkeitsdrohung von Karten

Bei der Suche bin ich dann auf
diese Seite hier gestossen. Mal im Ernst: Was hat man eigentlich davon, diese so dermassen verkorksten Übersetzungen zu lesen, wenn man kein Englisch kann? Selbst mir fällt es schwer zu verstehen, wass das im Original geheissen haben könnte, und ich behaupte mal der Sprache mächtig zu sein.

Es lohnt sich aber auf jeden Fall die Seite mal zu besuchen, hier einige der besten Stilblüten:


Das Versionszielen, nehmen Sie zwei
Microsoft kehrt Version um, die Verzug ins Visier nimmt
Leichte Firefox-Schläge: Handlung!
Auf der Sicherheit stirbt Windows ’98 mit einem Wimmern, nicht einem Schlag
Für gedrängte E-Mails ausgegebene 5 Milliarden $?!
Stiefellager tut Linux
…hat jetzt Linux zum Stiefelcampinglager hinzugefügt.
RFID reisen die Gemütlichkeitsdrohung von Karten
Alle Bit auf dem Deck!
Wir sind als als Lattenschlag zufrieden, Webentwerfer, CSS Sausen, Mikroformat-Händler, …
Nicht der Standardschalter Ihres Vaters

In diesem Sinne, schönen Freitag 😉

Veröffentlicht unter bugs, fun, rant | Kommentare deaktiviert für Gemütlichkeitsdrohungen!

nur ein Monat…

19.12.2008: Bundesrat nickt BKA-Gesetz endgültig ab
20.01.2009: BKA-Chef will Bundestrojaner auch gegen organisierte Kriminalität einsetzen

Im Februar dann gegen alle per EDV begangene Taten, wie üble Nachrede in einem Forum?

Veröffentlicht unter IT, leid, politik | Kommentare deaktiviert für nur ein Monat…

DHL-Update: Zweites Paket auch nicht zugestellt!

Es gibt Neuigkeiten zu meinem Versuchen, von DHL ein Paket zugestellt zu bekommen.

Damals hatte ich schon ein Update zum zweiten Teil dieser Geschichte geschrieben.

Nachricht via eBay

Diese Woche hat mir dann die Verkäuferin meines eBay-Artikels geschrieben. Der bestellte Scanner ist nach zwei Monaten im Paketzentrum an sie zurückgekommen. Angeblich würde die angegebene Packstation nicht mehr existieren. Also das Kontaktformular von DHL funktioniert ja echt klasse.

Mir hat bei meiner Nachfrage damals DHL mitgeteilt, das Paket sei in ihrem System nicht mehr nachweisbar – ich solle einen Nachforschungsauftrag durch den Absender veranlassen. Nun also bekommt der Absender das zurück. Warum man es dann nicht mir zustellen kann, frage ich mich dann allerdings doch – schliesslich sind auch meine Kontaktdaten im System vorhanden, und man könnte im Zweifel den Absender einfach mal fragen, ob die Adresse stimmt. grummel.

Die angegebene Packstation existiert übrigens noch. Jedenfalls steht da ein großer gelb-roter Kasten rum. Ich habe ausserdem mit exakt der selben Anschrift zwei Pakete zu Weihnachten erhalten. Sicherheitshalber habe ich nach der Mitteilung aber doch mal den Packstationfinder bemüht.

DHL hat die Packstation offenbar umbenannt!

Ich fass‘ es ja nicht. Meine Packstation 201¹ findet man nicht mehr – nun heisst sie 281¹. Einfach so. Kein Hinweis per SMS, keiner per Post, per Mail. Nix. Aber Sendungen an die 201¹ sind bisher angekommen.

Das allerbeste aber kommt zum Schluss…

Die Online-Sendungsverfolgung

Den 26.11. und den 29.12. finde ich ja am besten.

DHL scheint von ihren Kunden hellseherische Fähigkeiten zu verlangen, denn woher soll ich denn wissen, dass ein seit dem 26.11. im System nicht mehr nachweisbaren Paket, angeblich ab dem 22.12. in einer Filiale auf micht wartet? Und in welcher Filiale? Und warum nicht in der Packstation? Und warum habe ich keine Email und keine SMS erhalten und keine Karte im Briefkasten?!

AAarrghh!

Hier der gesamte Auszug, bevor DHL die Sendungsnummer recycled.

Fazit: Ich hätte doch nach Rüdersdorf fahren sollen um mein Paket selbst zu suchen…

Sendungsnummer    xxxxxxxxxxxxxxx

Details  Details
Produkt / Service:      DHL PAKET- Rücksendung
Empfänger:              XXXXXXX                  <- Der eBay-Verkäufer

Status:         Die Sendung wurde ausgeliefert.

Status von:     06.01.09 13:16

Verlauf Ihrer Sendung
Sendung oder Daten erhalten Transport Bearbeitung In Zustellung Zugestellt

Datum/Uhrzeit   Status  Beschreibung

24.11.08 17:12  Sendung in Filiale/Agentur eingeliefert
                Der Kunde hat die Sendung in der Filiale/Agentur
                eingeliefert.

24.11.08 20:18  Einlieferungs-Paketzentrum
                Die Sendung wurde im Einlieferungs-Paketzentrum bearbeitet.

25.11.08 04:55  Paketzentrum
                Die Sendung wurde im Paketzentrum bearbeitet.

25.11.08 05:05  Paketzentrum
                Die Sendung wurde im Paketzentrum bearbeitet.

25.11.08 05:31  Zustell-Paketzentrum    15 Rüdersdorf

25.11.08 05:31  Zustell-Paketzentrum    15 Rüdersdorf

26.11.08 08:58  Zustellbasis
                Die Sendung wurde in der Zustellbasis bearbeitet.

29.12.08 08:20  Abholung Filiale/Agentur
                Der Empfänger hat die Sendung innerhalb der siebentägigen
                Lagerfrist nicht in der Filiale abgeholt.

30.12.08 19:14  Paketzentrum
                Die Sendung wurde im Paketzentrum bearbeitet.

05.01.09 18:45  Einlieferungs-Paketzentrum
                Die Sendung wurde im Einlieferungs-Paketzentrum bearbeitet.

06.01.09 05:07  Zustell-Paketzentrum
                34 Staufenberg

06.01.09 08:24  Zustellbasis
                Die Sendung wurde in der Zustellbasis bearbeitet.

06.01.09 13:16  Zustellung
                Die Sendung wurde ausgeliefert.


¹ Name von der Redaktion geändert 😉

Veröffentlicht unter Ärger, de, DHL, leid | Kommentare deaktiviert für DHL-Update: Zweites Paket auch nicht zugestellt!

große pdf-Dateien mittels gimp und LaTeX verkleinern

Alles fing damit an, dass ich 10 Seiten Unterlagen von einer Bekannten kopiert haben wollte. Sie wohnt nicht in Berlin, also auf den Kopierer werfen ging nicht so einfach.

Sie hat aber einen Scanner und eine Software, die aus den Scans offenbar zusammenhängende pdf-Dateien erzeugen kann. Soweit so gut.

Als ich das pdf dann von ihrem Webspace gezogen habe, wurde ich ob der Größe der Datei schon einmal stutzig – war die Datei doch 38 Megabyte groß.

Ausserdem hatten die Scans schwarze Ränder – sowas mag ich beim Ausdruck nicht haben.

Erster Versuch

Man ist ja erfinderisch, also was tut man, richtig, man importiert das pdf erstmal in gimp und sagt, dass man keine einzelnen Ebenen pro Seite sondern eigene Bilder pro Seite haben will.

Mein Notebook knallte daraufhin seine 2GB Ram und 1GB SWAP zu und die CPU (Dualcore, 2,4 GHz) war auch beschäftigt. Gut, also war das keine gute Idee, alles auf einmal zu öffnen…

# killall gimp

Zweiter Versuch

Gut, versuchen wir es nur mit Seite 1 und 2. Klappt, wunderbar. Mist, 100 dpi sind zu wenig, da kann man nichts mehr lesen. Also nochmal mit 600 dpi.

krrrzzzsss Ah – er swappt. grummel…

Auch wenn wieder 1,2GB meines Arbeitsspeichers von gimp belegt waren, konnte ich die Bilder erfolgreich im Kontrast anpassen, gerade rotieren, schwarze Ränder abschneiden und die Palette von RGB auf schwarz-weiss ändern.

Das ganze als png gespeichert und aus gimp ausgedruckt. Die Druckjobs hatten alle unter 500kb.

Mein HP Laserjet 2200 (Postscriptfähig) brauchte dazu dann aber doch pro Seite 13(!) Minuten. *argh*

Das habe ich auch durchgezogen und 130 Minuten lang Seiten gewendet, weil doppelseitig drucken geht bei Einzelseiten nicht sooo gut.

Dritter Versuch

Heute morgen hatte ich dann eine hervorragende Idee: Latex kann doch Grafiken einbinden und ein pdf erzeugen!

Eine kurze Nachfrage im IRC channel #latex auf freenode ergab den Tipp, die png-Dateien nach pdf umzuwandeln und dann als einzelne Seiten einzubinden. Klappte via ‚pdfpages‘ super!

Die Umwandlung habe ich dann sogar per Webinterface gemacht, es waren keine kritischen Unterlagen. Danke nochmal tlhiv 😉 (URL: http://www.tlhiv.org/rast2vec/)

Die resultierende pdf-Datei hatte dann noch 2,2MB und war innerhalb von 3 Minuten gedruckt. Komplett, alle 10 Seiten. Und dafür hab ich die Nacht durchgemacht (unter Anderem) – aargh

Für alle, die es interessiert, hier ein Beispiel LaTeX-Schnipsel dazu:

\documentclass[a4paper,10pt]{report}
\usepackage[utf8]{inputenc}
    \usepackage[pdftex]{color}
    \usepackage[pdftex]{graphicx}
\pdfcompresslevel9
\newcommand{\checkpage}
{
\thispagestyle{empty}
} 
\usepackage[T1]{fontenc}
\usepackage{pdfpages}
\pagestyle{empty}
\begin{document}
\setlength{\topmargin}{-0.5cm}
\includepdf[pagecommand={\thispagestyle{empty}}]{p1.pdf}
\includepdf[pagecommand={\thispagestyle{empty}}]{p2.pdf}
\end{document}
Veröffentlicht unter IT, leid, Tipps | Kommentare deaktiviert für große pdf-Dateien mittels gimp und LaTeX verkleinern

Niedersachsens Innenminister…

Nach Meinung von Niedersachsens Innenminister Uwe Schünemann (CDU) sollen Internet-Provider künftig ihre Kunden vertraglich dazu verpflichten, eine Filter-Software zu installieren, die den Zugang zu kinderpornografischen Inhalten blockiert. Er werde die rund 75 Provider in Niedersachsen, die Endkunden versorgen, schriftlich dazu auffordern, die Filterpflicht in neue Verträge aufzunehmen und bestehende entsprechend zu ändern. Die Provider sollen dann erkennen können, ob die Filtersoftware beim Kunden aktiv ist, und diesem andernfalls den Zugang zum Internet verwehren. [Heisenews, 15.12.08]

Angesichts dieser Forderung: Was ist die Anforderung, um Innenminister zu werden?

Wenn das ja von irgendeinem Hinterbänkler gekommen wäre, der sich profilieren will/muß, aber nein, das stammt von einem Innenminister eines Bundeslandes! In Deutschland, nicht etwa in China!

Muss ich dieses Programm dann auch auf Handy, iPhone, dvbt-Receiver, WII, BlueRay-Laufwerk, Internetradio, Kühlschrank ‚aufspielen‘?

Reicht es, wenn das Programm in einem Virtuellen Rechner läuft, der Provider kann das gerne prüfen, er erreicht es ja dann.

Wie ist das mit Firmennetzen, was ist mit anderen Architekturen? Die schaffen ja nicht mal eine palttformunabhängige Elster

*Autsch* – Mein Drang auszuwandern ist wieder so stark wie lange nicht!

Man müsste mal eine Erhebung machen, wieviele Fachkräfte mittlwerweile nach abgeschlossener, teurer, Ausbildung ausgewandert sind. Ich kenne mittlerweile einige!

Veröffentlicht unter leid, politik | Kommentare deaktiviert für Niedersachsens Innenminister…

DHL-Zwischenstand: Einmal verloren, einmal retour.

DHL hat geantwortet. Sie wissen auch nicht wo mein mein Ebay bestellter Scanner ist.

Sehr geehrte Kundin, sehr geehrter Kunde, 

vielen Dank für Ihre E-Mail.

Wir bedauern Ihnen mitteilen zu müssen, dass Ihr DHL Paket mit dem Identcode xxxxxxxxxxxx 
seit dem 26.11.2008 nicht mehr in unserem System nachweisbar ist. 
Um für Sie genau zu klären, wo sich Ihre Sendung im Moment befindet,
 würden wir gerne eine Nachforschung einleiten. 
[...]

Nett formuliert. Das Paket ist nicht mehr nachweisbar. Nur warum zum Teufel forschen Die nicht einfach von sich aus schon mal nach?! Die haben es doch auch von sich aus verloren. *AAAARG*

Kleiner Knüller für alle Programmierer, in der Mail von DHL steht noch folgende Zeile:

 Sendungsstatus: null

Dem habe ich eigentlich nichts weiter hinzuzufügen!

Veröffentlicht unter Ärger, de, DHL | Kommentare deaktiviert für DHL-Zwischenstand: Einmal verloren, einmal retour.

DHL stellt nicht zu – gleich zweimal.

Es musste ja so kommen…

Nach 5 nervigen E-Mails an und 5 nervigen E-Mails vom amazon Kundenservice und einem Anruf dort habe ich den status quo wieder hergestellt.

[Übrigens, wenn man eine Telefonflatrate fürs Festnetz hat, sollte man bei der für das Ausland angegebenen deutschen Festnetznummer von amazon anrufen: 0941 – 78 87 88 ]

Die Bestellung ist storniert, der Betrag wird mir gutgeschrieben. Die Details erspare ich Euch, nur soviel: Wenn man schon ein Ticket aufmacht, weil man sich bei der Hausnummer geirrt hat, wieviel Sinn macht es wohl, die Ersatzlieferung an genau dieselbe Adresse zu senden?

Die Vorgeschichte findet sich hier.

DHL ist mittlerweile der Meinung, der Empfänger sei unbekannt verzogen. Das haben sie bemerkt, nachdem sie ein paar Tage eine erfolgreiche Zustellung im System hatten. Großes Kino!

Natürlich hat mich DHL nicht kontaktiert, bevor sie das Paket an amazon zurücksenden, wie auch, sie hatten ja nur meine Handynummer in einem offenen Ticket im Ticketsystem zu genau dieser Sendung. Da fragt man sich schon, wozu die eine Sendungsverfolgung mit Kontaktformular haben.

Und ja, ich habe zweimal angerufen, und beim zweiten Mal mir die Handynummer vorlesen lassen – sie war korrekt. Und ja, der Anruf erfolgte mehrere Tage vor der Rücksendung.

Noch’n Paket

Heute dann die zweite Ernüchterung. Ich warte seit über einer Woche auf ein Paket einer Ebay-Auktion. Ein Scanner für einen Euro. Die Verkäuferin tut mir mittlerweile echt leid.

Erst war sie krank und hat daher auf meine Mail nicht so schnell reagieren können und das Paket auch erst 2 Tage nach der Auktion losgeschickt, dann muss sie sich von mir noch anmotzen die Frage gefallen lassen, warum die Sendung nach einer Woche noch nicht da ist und ich melde den Konflikt schliesslich noch bei Ebay. Und nun stellen wir anhand der Sendungsnummer fest, dass das Paket seit über einer Woche in einem Paketzentrum vor sich hin dümpelt, vermutlich weil es vom Laster gefallen ist oder dergleichen.

Übrigens: Man kann auch die mit einem Punkt getrennten ‚Sendungsnummern‘, die eigentlich keine offiziellen Sendungsnummern von DHL sind, in das Feld ‚Sendungsnummer‘ eingeben, das System von DHL findet dann die passende 10-stellige echte Sendungsnummer.

Haben die bei DHL keinen Alarm, wenn sich der Zustand einer Sendung über eine Woche lang nicht ändert?!

Status:              Die Sendung wurde in der Zustellbasis bearbeitet.
Status von:          26.11.08 08:58
Nächster Schritt:    Die Sendung wird dem Empfänger voraussichtlich heute zugestellt.

Aaargh!

Veröffentlicht unter amazon, Ärger, de, DHL | Kommentare deaktiviert für DHL stellt nicht zu – gleich zweimal.

HOWTO: eigener primärer DNS mit BIND und Schlund

Vergangenen Freitag ging durch die einschlägigen Medien die Meldung über eine DDOS-Attacke auf InternetX, die einen Ausfall bzw. die Nicht-Erreichbarkeit ihrer Nameserver zur Folge hatte.

Die Nameserver vonInternetX werden z.B. von Schlund genutzt um die Domains ihrer Kunden darauf ‚abzulegen‘.

Auch ich bin ein Kunde von Schlund, alle meine Domains habe ich über das Webinterface ‚gekauft‘ und bisher auch darüber die Nameserver ns9.schlundtech.de und ns10.schlundtech.de ‚konfiguriert‘, sprich meine RR’s dort eingetragen.

Vergangenen Freitag konnte ich meine Domains dann allesamt nicht mehr auflösen. Etwas Recherche brachte zum Vorschein, dass die Nameserver von Schlund zwar wie DENIC vorschreibt in unterschiedlichen ‚Class C-Netzen‘ liegen, aber in einem gemeinsamen AS.

Seit der Einführung von CIDR (im Jahr 1993!) existieren aber diese Netzklassen so nicht mehr.
Wichtig ist spätestens seit dem, dass die Nameserver in unterschiedlichen autonomen Systemen (AS) liegen, da beim Ausfall des Routings zu einem AS dann immer noch der andere Nameserver erreichbar ist.

Nun gut, ich habe mich also am Samstag endlich daran gemacht, meinen eigenen BIND aufzusetzen. Alle Schritte, und die Einstellungen im Schlund-Interface, will ich beispielhaft im Folgenden dokumentieren. Ich konfiguriere einen primären und einen sekundären Nameserver und nutze den ns10 von Schlund als weiteren sekundären Nameserver.

Die 6 Schritte zum eigenen authoritativen Nameserver

  • Namen und IP-Adressen der Nameserver in die Zone eintragen (nur die A-Records)
  • sekundären BIND aufsetzen
  • primären BIND aufsetzen
  • Zonefiles schreiben
  • Testen ob die Zone beim sekundären Nameserver ankommt
  • Schlundtech konfigurieren

Das Szenario für dieses Beispiel

Es gibt zwei Server, 192.0.2.101 und 192.0.2.102, die als primärer und sekundärer Nameserver für die Domain example.org eingerichtet werden sollen. Für dieses Beispiel benutzen wir natürlich reservierte Namen und Adressen.

Namen und IP-Adressen in die Zone eintragen

DNS ist je nach Kofiguration ein recht träges System. Man weiss auch nie, welche Admins ihre Caches nicht im Griff haben, und auch nach Ablauf der TTL noch veraltete Daten ausliefern. Es ist daher immer gut, Änderungen die man später braucht, möglichst früh einzutragen und, wenn möglich, die TTL zu verringern. Auf das Verringern der TTL und ähnliches verzichten wir hier der Einfachheit aber mal, weil das Webinterface von Schlund da ein wenig unübersichtlich ist. Der von Schlund so genannte SOA-Level bleibt auf ‚Empfohlene Einstellungen‘.

Als erstes tragen wir die A-Records für unsere Nameserver ein.

ns01.example.org.   IN A 192.0.2.101
ns02.example.org.   IN A 192.0.2.102

Bitte bei Bind auf den Punkt am Ende der Namen achten oder die Domain und den Punkt weglassen. Bei Schlund: Entsprechend der vorhandenen Einträge machen – ich glaube ohne Punkt und ohne Domain ist korrekt.

Danach sollte man bei seinem Server-Hoster dafür sorgen, dass das Reverse-Lookup der IP-Adresse die oben angegebenen Namen liefert.

Jetzt können wir gemütlich einen Kaffee trinken gehen…nein, im Ernst, je nachdem wie paranoid man ist sollte man etwas warten, mindestens bis die Zeit für das negative Cachen abgelaufen ist. Da wir aber den ns10 weiter in Betrieb lassen kann es nur zu Verzögerungen beim Auflösen unserer Domain kommen, aber nicht zum Totalausfall, sofern ns10 noch zu erreichen ist.

Den sekundären BIND aufsetzen

Wir gehen davon aus, dass nach einem emerge -av net-dns/bind oder einem apt-get install bind9 der BIND installiert ist.

Die Konfiguration ist eigentlich ganz einfach – leider weichen bei Gentoo und Debian die Pfade ein wenig voneinander ab sowie das Konzept der Konfiguration.

Während bei Gentoo alles in einer Datei steht, teilt Debian die named.conf mittels include-Anweisungen in drei Dateien auf.

Wir gehen beim Sekundären mal von Debian aus…

In der Datei /etc/bind/named.conf müssen wir unter Debian nichts weiter für unser Beispiel einfügen, da diese zwei anderen Dateien inkludiert.

Man kann aber allerdings darüber nachdenken, den rootservern von .com und .net zu verbieten, nicht-registrierte Domains auf Suchseiten umzulenken:

 zone "com" { type delegation-only; };
 zone "net" { type delegation-only; };

In der Datei

named.conf.options

ändern wir am meisten, siehe Komentare in den Zeilen, es sollte selbsterklärend sein. Die folgende Datei ist ‚komplett‘:

acl myown-servers  {        
        127.0.0.1;        
        # Hinweis: hier alle eigenen Server/Netze eintragen, 
        # die den Server als normalen DNS benutzen dürfen.
        # Kann auch leer sein.
};

acl secondaries {
        62.116.163.100; # InternetX/Schlund
        62.116.162.121; # InternetX/Schlund
        192.0.2.102;    # unser sekundärer (dieser host selbst)
        127.0.0.1;
};

options {
        directory "/var/cache/bind";;
        forwarders {
                             # wenn wir selber auflösen wollen:
                192.0.2.14;  # erster Nameserver des ISP
                192.0.2.15;  # zweiter Nameserver des ISP
        };

        listen-on-v6 { none; }; # wird hier IPv6 aktiviert, müssen
                                # in den ACLs die Adressen auch in der
                                # alternativen Schreibweise erscheinen.

        listen-on { 127.0.0.1; 192.0.2.102;}; # logisch...

        transfer-source 192.0.2.102; # von dieser Adresse 
                                     # machen wir Zonentransfers
        version "get lost";
        allow-transfer {"none";};
        allow-recursion {myown-servers;}; 
        notify no;
        auth-nxdomain no;    # conform to RFC1035
};

Nun folgen noch die Zonendefinitionen in der Datei named.conf.local:

zone "example.org" in{
  type slave;
  file "slv/example.org.slave";
  masters {192.0.2.101;};
};

Danach das slv-Verzeichnis verlinken und eine leere Datei anlegen, in die bind schreiben darf:

  # cd /etc/bind
  # ln -s /var/cache/bind/slv slv
  # touch slv/example.org.slave
  # chown bind:bind slv/example.org.slave

Das slv-Verzeichnis habe ich angelegt, um nicht immer überlegen zu müssen, ob ich auf meinem Debian oder meinem Gentoo-Server eingeloggt bin.

Damit ist der Sekundäre Nameserver Einsatzbereit und kann so bleiben. Wir laden die Zone nicht neu, das erledigt der Server nachher hoffentlich von alleine, wenn er das Notify von unserem primären Nameserver erhält.

Bei Hosts mit mehr als einer IP-Adresse sind die Quelladressen anzugeben, weil der primäre Nameserver sonst u.U. keine Zonentransfers erlaubt.

primären BIND aufsetzen

Mein primärer Nameserver läuft auf einem aktellen Gentoo, daher hier ein leicht anderer Ansatz, wir schreiben alles in eine Datei und müssen den Symlink für das slv-Verzeichnis nicht anlegen.

Nach einem emerge -av net-dns/bind editieren wir die
/etc/bind/named.conf:

ACHTUNG: In der Originaldatei sind schon einige Zonen definiert, diese bleiben erhalten, ausserdem hat dieser Server nur eine IP-Adresse, daher müssen wir die Anaben zu den Quelladressen wie bei unserem Secondary oben nicht machen. In der folgenden Konfiguration sind nur Änderungen und Erweiterungen zur Originalversion der Datei aufgeführt:

acl myown-servers  {        
        127.0.0.1;
        ...;        #hier also wieder alle unseren server 
};
acl secondaries {
        62.116.163.100; # InternetX/Schlund
        62.116.162.121; # InternetX/Schlund
        192.0.2.102;    # unser sekundärer
        127.0.0.1;
};
options {
        directory "/var/bind";

        // uncomment the following lines to turn on DNS forwarding,
        // and change the forwarding ip address(es) :
        forward first;
        forwarders {
                DNS1;   # erster DNS unseres ISP
                DNS2;   # zweiter DNS unseres ISP
        };

        listen-on-v6 { none; };
        listen-on { 127.0.0.1; 192.0.2.101;};

        pid-file "/var/run/named/named.pid";
        max-journal-size 50k;
        version "get lost";
        allow-transfer {"none";};
        allow-recursion {myown-servers;};
};

zone "COM" { type delegation-only; };
zone "NET" { type delegation-only; };

zone "example.org" IN {
        type master;
        file "pri/example.org.zone";
        allow-transfer { secondaries; };
        notify yes;  #bei Änderungen die secundaries informieren
};

Wir haben die Konfiguration des Dienstes geschafft, nun müssen wir ihm noch die Daten geben, die er verteilen soll.

Zonefiles schreiben

Jetzt kommt der unangenehmste Teil der Arbeit, das manuelle Kopieren aller Einträge aus dem Schlund-Webinterface in eine Zonendatei.

Das wichtigste zuerst: Bei jeder Änderung der Zone muss die serial hochgezählt werden, sonst wird die Zone nicht auf die sekundären Server kopiert. Ausserdem muss das Retry-Interval größer als 30 Minuten sein, sonst nimmt Schlund die Zone nicht an. Und immer auf die Punkte am Ende der Hostnamen achten, ohne Punkt wird die Domain eingesetzt!

Wir legen nun im Unterverzeichnis pri das Zonenfile pri/example.org.zone an:

$ORIGIN example.org.
$TTL 2d    ; 172800 secs default TTL for zone
@             IN      SOA   ns01.example.org. hostmaster.example.org. (
                        2008112601 ; se = serial number
                        12h        ; ref = refresh
                        35m        ; ret = update retry
                        3w         ; ex = expiry
                        3h         ; min = minimum
                        )
              IN      NS      ns01.example.org.
              IN      NS      ns10.schlundtech.de.
              IN      NS      ns02.example.org.
              IN      TXT     "v=spf1 a mx ?all"
              IN      MX  10  mail1.example.org.
              IN      MX  20  mail2.example.org.
              IN      A       192.0.2.100
ns01          IN      A       192.0.2.101
ns02          IN      A       192.0.2.102
www           IN      CNAME   example.org.

Das ORIGIN der ersten Zeile definiert für den Rest der Datei, welche Domain wir da eigentlich vor uns haben. Ab der dritten Zeile findet sich der SOA-Eintrag, in dem der primäre Nameserver angegeben ist und eine Emailadresse des zuständigen Admins. Hier: hostmaster@example.org, das @ wird durch einen Punkt ersetzt. Es folgt die serial number, die bei jeder Änderung erhöht werden muß. Es empfiehlt sich das Datum und einen Zähler mit der Zahl der Änderung an diesem Tag zu nutzen. Die serial darf kein Zeichen länger sein, da sie sonst von Bind nicht angenommen wird.

Es folgen dann eine ganze Reihe von Timeouts und Intervallen, das Beispiel passt schon so…

Weiter unten in der Zone sind die Nameserver der Domain angegeben. Das ist wichtig. Bei uns stehen die Nameserver sogar noch in derselben Domain, für die sie auch zuständig sind. Daher müssen wir nachher in das Webinterface bei Schlund noch zusätzlich die IP-Adressen der Server angeben.

In dieser Zone sind auch gleich Beispiele für einen SPF-Record, Nameserver und einen CNAME für den WWW-Host, der auf den A-Record der Domain zeigt.

Wir können nun den bind auch beim Systemstart hochfahren lassen und starten:

 # rc-update add named default
 # /etc/init.d/named start

Damit sollte der primäre Nameserver fertig sein

Testen ob die Zone beim sekundären Nameserver ankommt

Wir loggen uns nun wieder bei unserem eben konfigurierten Sekundären Nameserver ein und schauen nach, ob die Zonendatei nun Daten enthält.

Wenn alles gut gegangen ist, hat der primäre Nameserver beim Starten unseren Secondaries ein Notify geschickt und sie zu einem Zonentransfer animiert. Der Server von Schlund ignoriert das Notify, da er unseren primären Nameserver ja noch nicht kennt.

Sollte die Zone noch leer sein, kann man vom sekundäen Server aus mit dem Utility dig mal einen Zonentransfer versuchen und dabei die Logausgaben des primären Nameservers anschauen.

  dig axfr example.org  @ns01.example.org

Hat man mehrere IP-Adressen hilft -b IP weiter.

Bei Änderungen an den Zonen muß der BIND nicht neu gestartet werden. Das Kommando rndc hilft weiter:

rndc reload

Schlundtech konfigurieren

Nachdem man die eigenen Server konfiguriert hat und alles funktioniert(!), kann man sich an das Webinterface von Schlund wagen.

Als Einrichtungsart unter ‚DNS-Einstellungen und Weiterleitungen‘ wählt man ’nur zweiter Nameserver‘ und auf dem ersten Registerblatt ‚Domain-Einstellungen‘ gibt man bei den Nameservern ein:

 ns01.example.org      192.0.2.101
 ns10.schlundtech.de
 ns02.example.org      192.0.2.102

Bei Nameservern, die in der Domain liegen, die sie auch verwalten, ist die Angabe der IP-Adresse essentiell!

Sobald man auf ‚Domain aktualisieren‘ klickt, sollte ein Zonentransfer vom primären DNS starten…

Um Fehlermeldungen zu lesen, die beim Zonentransfer auftreten können, muss man sich vom Webinterface abmelden, neu anmelden und auf der Startseite in der History klicken.

Der ns10 von Schlund erlaubt übrigens wohl gar keine Transfers.

Wenn alles gut geganten ist, kann man im whois seine Nameserver bewundern und bei einem dig nach den Nameservern der Domain die Additional-Records sehen, welche die IP-Adressen enthalten. Man sollte beim dig natürlich einen Nameserver vom ISP nehmen, nicht seinen eigenen, der funktioniert ja 😉

$ dig ns example.org
[...]
;; ANSWER SECTION:
example.org.  34422 IN NS ns01.example.org.
example.org.  34422 IN NS ns02.example.org.
example.org.  34422 IN NS ns10.schlundtech.de.

;; ADDITIONAL SECTION:
ns01.example.org. 34265 IN A 192.0.2.101
ns02.example.org. 34265 IN A 192.0.2.102
ns10.schlundtech.de. 2167 IN A 62.116.163.100

Bei allem Debugging mit AS’en und Nameservern, etc, ist die Webseite von robtex sehr praktisch, da sie Graphen für AS-Zuordnungen und DNS-Einträge zeichnen kann.

Veröffentlicht unter Linux, Technik, Tipps | Kommentare deaktiviert für HOWTO: eigener primärer DNS mit BIND und Schlund

VoIP’st Du schon oder telefonierst Du noch?

Vielleicht kommt dem Einen oder der Anderen folgende Situation bekannt vor?

Ich: Hallo Schatz, ich wollte Dich fragen ob ich Dir was zu Essen mitbringen soll…
Mein Schatz: Hallo – hallo, hörst Du mich?
Ich: ESSEN MITBRINGEN, ASIATE, Hallo? kannst Du mich hören?!
Mein Schatz: Hallo? grummelgrummelmotz*klick*

Und das, nachdem ich es erst vergeblich auf der einen Leitung versucht hatte (besetzt), dann auf der anderen (schlicht tot nach dem Wählen der Nummer), auf dem Handy und dann wieder auf der ersten Leitung. Mein Schatz war nachvollziehbarerweise genervt…

Damals bei Meucci, Reis, Bell et al kann es auch nicht viel anders gewesen sein…

Da dies nun schon mehrfach vorgekommen ist, habe ich eine Störung bei KabelDeutschland aufgegeben – satte drei Wochen nach Inbetriebnahme des Anschlusses.

Als Kontakt gebe ich meine Handynummer an. Wo rufen sie natürlich an? Auf dem gestörten Anschluß…

Die Installation der Hausanlage

Das dies alles unter keinem guten Stern steht, wurde schon bei der Neuinstallation des Kabelfernsehanschlusses deutlich. Dazu musste ein Kabelkanal vom Keller bis in den 10. Stock gelegt werden. Das hat einen gesamten Tag gedauert. Zwischen den Arbeitsschritten waren jeweils einige Minuten bis Stunden Pause, da sie immer nacheinander in allen 10 Wohnungen durchgeführt wurden:

  • Begutachten, ob jemand zu Hause ist und die Ecke im Wohnzimmer begehen, wo der Kanal hin soll
  • Mit einer großen HILTI die Löcher bohren, mit dem Azubi der den Staubsauger bedienen darf im Schlepptau.
  • An-die-Wand-schrauben des Kabelkanals.
  • 4 Antennenkabel durchziehen
  • festellen dass das nicht geht weil man das ganz alte DDR-Kabel getroffen hat
  • nachbohren und Loch durchstossen, dabei die Tapete einreißen
  • nochmal saugen
  • neue Antennendosen setzen (natürlich nicht an die Stelle, wo die alte war!
  • Löcher mit Silikon zuspritzen, fehlende Stücke der Fußleiste mit Silikon ersetzen und abgerissene Tapete an der Decke mit Silikon festkleben
  • Kabelkanal schliessen, dabei darauf achten, dass der Kunde nicht sieht, dass er gerissen ist

Für den Kunden (mich) bleibt dann noch:

  • Dreck unter dem Sofa auch wegsaugen
  • das weiche Silikon wenigstens annähernd der Form der fehlenden Fußleiste nachempfinden
  • eine Woche später den Riß im Kabelkanal entdecken
  • bemerken, dass der Kabelkanal an der Decke nicht bündig mit dieser endet

Bestellen des Anschlusses

Mit kleineren Pannen ging es natürlich weiter, konnte ja nicht anders sein 😉

Ich hatte mich also dazu entschieden, der Telekom den Rücken zu kehren…

Was ist das einfachste so einen Intenetanschluß zu bekommen? Klar, in einen Laden fahren, wo Kundenberater der gewünschten Firma rumspringen. Also auf zum Alex.

Nachdem dann einer der ‚Kundenberater‘ auch mal Zeit für mich hatte, kurz die Situation erklärt: Die Mindestlaufzeit des Telekomvertrages ist in 2 Monaten vorbei – ich will wechseln, was soll ich tun.

Und da passiert es, er rät mir dazu, den Vertrag bei der Telekom zu kündigen und den Wunsch einer Portierung zu KabelDeutschland in die Kündigung zu schreiben, weil sonst eventuell die Kündigungsfrist schon abgelaufen ist.

Was macht man als Kunde da? Man tut wie einem gesagt wird. Großer Fehler! In allen, wirklich allen FAQ’s und Hinweisseiten von KabelDeutschland steht Kündigen Sie keinesfalls selbst! – Toll! Super Berater.

Der Support…

Ein paar Tage nach meiner Unterschrift kam dann auch die Bestätigung per Post.

In den Unterlagen habe ich eine Angabe vermisst: Die bisherige Telefonnummer, die übernommen werden sollte!

Immerhin sind die Defaults im Vertrag ok: 0900 Sperre ist Standard, kein Eintrag im Telefonbuch, etc.

Also eine Email an den Support geschrieben, in der ich wissen wollte, ob sie denn meine Nummer im System haben, die ich portiert haben will. Außerdem der Hinweis, dass ich auf Anraten des Kundenberaters selbst schon gekündigt habe. Keine Reaktion.

Ein paar Tage später nochmal hingeschrieben, alles erklärt und nach der Portierung gefragt. Schließlich kam eine Email die aus Textbausteinen bestand, die mir erklären wie das Webinterface funktioniert (das ich als Neukunde noch nicht nutzen kann) und das ich nicht selber kündigen soll. Der letzte Absatz der Email besagte, bei Wünschen und Anregungen solle ich mich doch melden. Das tat ich auch, mit einem Wunsch: „Bitte lesen Sie meine Email!“

Dies hatte dann immerhin den Effekt, dass beim dritten Versuch eine Antwort zu erhalten auch eine Antwort auf meine Frage eintrudelte. Einen Tag später kam dann auch die Antwort auf meine allererste Email an den Support. Die Antwort bestand wieder nur aus Textbausteinen, wie beim ersten mal. Setzen, sechs!

Irrungen und Wirrungen…

Zu allem Überfluss hatte der Kundenberater den Wechsel etwa 4 Wochen zu früh terminiert, so dass ich 2 Monate hätte doppelt zahlen müssen. Dies ist dann einer Sachbearbeiterin bei KabelDeutschland aufgefallen, als sie mich auf dem Handy zwecks Terminvereinbarung anrief. Wir einigten uns also darauf, dass wir die Umstellung um 4 Wochen nach hinten schieben. War in meinem Interesse, der Telekomvertrag lief ja noch so lange.

Ein paar Tage später – ich steh im Supermarkt an der Kasse – ruft mich Kabel Deutschland an und fragt, warum ich denn den Vertrag wiederrufen hätte. WTF?!

Offenbar war der Eintrag, das um 4 Wochen zu verschieben, falsch in der Datenbank gelandet. Gut. Also dies mal eben richtiggestellt.

Noch mehr Chaos

Schliesslich wird ein Technikertermin vereinbart, zur Installation des Kabelmodems. Ich hatte den ganzen Tag frei und freute mich auf Bandbreite im Überfluss.

Es regnet wie aus Kübeln. Ab 8 Uhr soll ich mich für den Techniker bereithalten. *gähn*

Schließlich klingelt es und zwei Techniker stehen vor der Tür. Um ein Kabelmodem zu installieren. Nagut. Vielleicht müssen sie noch woanders hin und haben mich nur zwischengeschoben…

Was mich beeindruckt: Das sind die ersten Handwerker/Techniker, die sich Überschuhe über ihre nassen Schuhe ziehen, bevor sie meine Wohnung betreten! Whow!

Während der Eine langsam anfängt, den Karton mit dem Kabelmodem auszupacken, schließt der Andere sein Messgerät an die Kabeldose an und stellt erstaunt fest, dass da kein Signal drauf ist. Ja, meine ich, wir haben ja auch kein Kabelfernsehen.

Also gut, ab in den Keller. Kellerschlüssel hab ich, da mich das außerdem interessiert und ich weiss, wo der Verteilerkasten hängt, traben wir zusammen runter.

Die Schlüsselfrage

Der Techniker holt seinen großen Schlüsselbund mit 20-30 Schlüsseln und fängt an, einen nach dem anderen auszuprobieren. Keiner passt. Auch nicht der, der laut Dokumentation passen sollte. Noch ein Durchgang, es passt immer noch keiner.

Also wird in der Firma angerufen und nach einem Zentralschlüssel gefahndet, nachdem man im Auto auch keine passenden Schlüssel findet.

Die Techniker sind erstmal wieder weg. Schlüssel holen.

*aarghh* Ich koch erstmal Kaffee!

Kabelsalat

Nach zirka einer halben Stunde klingelt es wieder an der Tür.

Hurra, meine Techniker sind wieder da. Also ab in den Keller, schliesslich will ich in den Verteiler schauen.

Der Zentralschlüssel passt…nicht. WAS?! Hat da einer am Schloss rumgefummelt?! Wenn das Schloss kaputt ist wird das heute nix mehr. *seufz*

Beim dritten Anlauf und mit viel Gefühl am Anfang und sanftem Druck geht der Kasten schliesslich auf. (Du musst doch nur den Nippel durch die Lasche… jaja)

So, was sehen wir: Laut Beschriftung ist unsere Wohnung angeschlossen. Moment, was?!

Nachdem wir uns die anderen Verteiler angesehen haben stelle ich fest, dass die Monteure das Haus von der falschen Seite aus durchgezählt haben. Aufgang 1 ist Aufgang 6, Aufgang 2 ist Aufgang 5. Daraus folgt: Aufgang 3 ist Aufgang 4. Leider haben sie das bei allen ausser diesem mittleren Kasten verbessert. Grrrr.

Doch auch mit dieser Erkenntnis kommen wir nicht weiter: Die Wohnung ist angeschlossen.

Also die Beschriftung nochmal genau angesehen – aaahhh, sie fängt mit 0 an. Das Erdgeschoss ist 0, und nicht 1 wie im Aufzug beschriftet (und an den Türen und Briefkästen)

Ergebnis: Nimm die Wohnungsnummer und zieh 101 ab, dann hast Du die Kabelbeschriftung.

Das Kabel wird feierlich eingesteckt. Juhu, Internet!

Ach halt, das Kabelmodem…

Hallo hallo, ist da wer?

Also schnell hoch in die Wohnung, den beiden ebenfalls sichtlich frustrierten Technikern nen Kaffee angeboten, den sie gerne nahmen.

Während ich den Kaffee hole machen sich die beiden also wieder am Anschluss zu schaffen.

Ergebnis: Es rauscht und knattert zwar aus dem Testempfänger, aber für das Kabelmodem reichen die Pegel bei weitem nicht.

Für mich bedeutet das: Die machen intern einen Wartungsauftrag auf, ich muss mich gedulden bis ein Techniker die Anlage neu eingestellt hat.

Der zweite Anlauf

Mittlerweile sind ein paar Tage vergangen, ich rufe bei KabelDeutschland an, was mit dem neuen Termin ist, wann die Anlage neu eingestellt ist, mittlerweile ist der Vertrag mit der Telekom 2 Tage vor dem Ablaufen.

Man teil mir mit, im System würde ein Technikertermin stehen, am 1.10. zwischen 8 und 16 Uhr. Die Hotlinerin findet die Uhrzeit ebenso wie ich etwas großzügig angegeben und gibt mir die Nummer der lokal zuständigen Firma.

Mein Anruf dort ergibt, dass die für Technikertermine zuständige Dame nicht mehr im Hause sei und man den Termin auch nicht näher eingrenzen könne. Mein Einwand, der erste Termin sei auf eine halbe Stunde genau abgesprochen gewesen wird ignoriert.

Am nächsten Tag ist die zuständige Dame wieder nicht direkt erreichbar, da sie in einem Gespräch ist. grmpf. Ich verwickle die Hotlinerin so lange in ein Gespräch bis die andere frei ist. Ha!

Endlich bin ich richtig – mein Gegenüber meint, das sei ja mal wieder typisch KabelDeutschland, die Pferde scheu zu machen, natürlich würde man mit den Kunden einen genauen Termin vereinbaren, die 8-16 Uhr stünden nur dafür, dass man noch keine Absprache mit dem Kunden getroffen habe. Der Techniker würde sich noch heute bei mir melden um den Termin abzuklären.

10 Minuten später ruft mich die Dame von eben an und klärt mit mir den Termin ab. TILT.

Internet, Telefon, bitte …!

Der Techniker ist da. Diesmal ein anderer, und alleine.

Seine Ausrüstung ist moderner. Notebook und volldigitaler Kabelanalyzer.

Eben diesen hängt er ans Kabel und misst das Spektrum. Das Signal ist zu schwach. (ach!)

Er geht in den Keller und schraubt am Verstärker – ich erkläre ihm die falsche Beschriftung der Kabel, er ist verwirrt. Das Signal ist zu schwach.

Nach einigem Probieren meint er, wenn das Signal jetzt nicht reicht, müsse die gesamte Hausanlage überprüft werden. Er schliesst das Modem an, ohne auf die Messergebnisse Rücksicht zu nehmen. Das Modem synchronisiert sich!

Vielleicht hätte ich aber doch mißtrauisch werden sollen, als er meinte, das Signal des Rückkanals sei zu schwach, aber da „das Internet“ geht, würde der Rest auch funktionieren. Er hat mir sogar noch in seinem Browser mit einer Webseite (die ganz tolle Tachometer für Up- und Downloadrate hatte) gezeigt, dass ich 20/1 MBit/s habe. Ich hab dann doch noch mal mit iperf gemessen – kam sogar dasselbe raus 😉

Er meinte, er hätte den Verstärker im Keller jetzt voll aufgedreht, und wenn das nicht reicht, wäre die Hausanlage kaputt. Die ist aber erst ein halbes Jahr alt.

Ich ahne vorsorglich schon mal nichts Gutes, wegen der aktuellen Störungsmeldung.

Veröffentlicht unter Ärger, de, KabelDeutschland, Technik | Kommentare deaktiviert für VoIP’st Du schon oder telefonierst Du noch?

Xen und falsche tcp-checksums

Das Wichtigste zuerst – bei Problemen mit tcp-Checksums:

 # ethtool -K eth0  rx off tx off 

und wenn sich das Teil beschwert, es könne das für rx nicht ändern:

 # ethtool -K eth0  tx off 

Der Hintergrund:

Ich betreibe einen kleinen Xen-Server mit 2 virtuellen Maschinen als Router und Arbeitsgruppenserver. Heute wollte ich eine dritte Maschine installieren, ein Debian.

Das erste Problem: Nach dem debootstrap habe ich im chroot brav ein aptitude gemacht und diverse Dienste installiert die ich brauchte. Großer Fehler! Debian startet die nämlich dann auch sofort – was in einem chroot auf einer laufenden dom0 super toll kommt.

Das Ergebnis waren jedenfalls diverse Prozesse wie apache, ssh und postfix die da so halb am laufen waren. Leider wusste ich natürlich nicht, welche innerhalb und welche ausserhalb des chroot liefen. Also: reboot.

Nach den Dateisystemchecks (..has not been checked for 208 days…) schien auch alles zu laufen.

Leider falsch gedacht: einer der virtuellen Server machte nur Probleme. Ich konnte mich zwar einloggen, aber der Apache antwortete nur sporadisch, der irc-bouncer kam nicht ins Netz und ich konnte mich nicht mit dem Bouncer verbinden.

Was macht man also: wireshark

Die Wireshark-Katastrophe

Mein erster Gedanke: Huch – warum ist denn da soviel rot?

Ah – checksum offloading. Offenbar kann die Netzwerkkarte in meinem neuen Notebook die tcp-Checksumme in Hardware berechnen. Die Folge ist aber, dass die Pakete keine gültige Checksumme haben, bevor ich sie an die Karte sende. Also deaktiviere ich das mal schnell…

 $ ethtool -K eth0  rx off tx off 

Gut. Neuer Versuch. Immer noch alles rot. *grummel*

Vielleicht auf dem xen-server dasselbe machen. Mist, die Netzwerkkarten unterstützen das nicht. also liegt es nicht daran. Hmmm. Ausserdem müssten dann doch beide domU’s spinnen…?

Nach etlichen Reboots der nicht funktionierenden domU einfach mal das ethtool in der domU installiert und gestartet:

# ethtool -k eth0
Offload parameters for eth0:
Cannot get device rx csum settings: Operation not supported
Cannot get device udp large send offload settings: Operation not supported
rx-checksumming: off
tx-checksumming: on
[...]

Hmm – warum steht da on?

Ende gut, alles gut…

Ich hatte dann natürlich versucht rx und tx gleichzeitig auf off zu setzen, weil ich den Befehl noch im Buffer hatte. Da aber rx nicht von der ‚Hardware‘ unterstützt wurde schlug der gesamte Aufruf fehl. Die Lösung: das tx einzeln setzen!

 # ethtool -K eth0  tx off 

Das Ergebnis: Im Wireshark verschwand das rot – und der bouncer konnte sich wieder mit den IRC-Servern verbinden. puh!

Ergebnis: ein paar ausgerissene Haare, einige Erkenntnisse mehr und drei Stunden verlorene Arbeitszeit 🙁

Veröffentlicht unter de, Linux, Technik | Kommentare deaktiviert für Xen und falsche tcp-checksums