DSL Ausfall bei 1und1 in Braunschweig – Linux rettet den Tag

(Stand 14:26) Seit 13:45 Uhr am 1.9. ist in Braunschweig das DSL Netz von 1und1 in unserem Bereich ausgefallen. Dank Linux kein Problem, selbst für Geräte ohne WLAN 😀

DSL Ausfall bei 1und1 in Braunschweig – Linux rettet den Tag

Die DSL-Vermittlungsstelle (DSLAM) ist derzeit nicht erreichbar und das mitten im Arbeitstag. Der Linuxer ist aber nicht hilflos, so er denn ein Handy mit Linux hat, oder ein Linux Laptop und ein Android Handy ( aka. Hotspot ) . Das man Laptops leicht per Hotspot über ein Handy ins Internet bringen kann, muß ich Euch ja nicht erklären. Aber damit ist nur das Laptop im Netz, was ist mit all den anderen Geräten im Lan?

Nun, da kommt uns Linux als Helfershelfer in der Not gerade Recht. Den Laptop, oder wie in meinem Fall, dem Surface Tablet mit Linux, muß man nur mit dem LAN per Kabel verbinden. Via der noch funktionierenden, aber mit dem INET nicht mehr verbundenen Fritzbox, gibt es die übliche IP Adresse im eigenen Lan. Nun verbindet man das Laptop mit dem Hotpot, idealerweise hatte man das früher schon mal gemacht, wenn man entspannt arbeiten konnte, aber ein Passwort werdet Ihr jetzt sicherlich auch korrekt eingeben können. Nun hat das Laptop eine Internetverbindung und kann vom Desktop PC angepingt werden, jetzt müssen wir den Datenstrom nur noch routen 🙂

Auf dem Laptop und dem Desktop müßt Ihr nun Root werden.

Auf dem PC ruft Ihr route auf:

# route
Kernel IP Routentabelle
Ziel Router Genmask Flags Metric Ref Use Iface
default fritz.box 0.0.0.0 UG 0 0 0 enp7s0
192.168.0.0 0.0.0.0 255.255.255.0 U 100 0 0 enp7s0
192.168.122.0 0.0.0.0 255.255.255.0 U 0 0 0 virbr0

Die sogenannte Defaultroute schiebt alle Pakete, die nicht direkt im Lan ein Ziel haben an die Fritz.Box und die ins Netz.

Diese Route müssen wir auf das Laptop(hier Tablet) umleiten:

# route
Kernel IP Routentabelle
Ziel Router Genmask Flags Metric Ref Use Iface
default surface.fast 0.0.0.0 UG 0 0 0 enp7s0
192.168.0.0 0.0.0.0 255.255.255.0 U 100 0 0 enp7s0
192.168.122.0 0.0.0.0 255.255.255.0 U 0 0 0 virbr0

Das geht so:

route del default gw fritz.box
route add default gw surface.fast

(surface.fast steht in der /etc/hosts als Hostname für die IP vom LAN Anschluß des Tablets drin, es geht auch die IP direkt)

Auf dem Laptop/Tablet müssen wir noch das Routing und IP Masquerading aktivieren:

echo 1 > /proc/sys/net/ipv4/ip_forward ;iptables -t nat -A POSTROUTING -o wlp2s0 -j MASQUERADE;

Das WLAN Interface wlp2s0 könnte bei Euch anders heißen.

Damit routen die Pakete über das Tablet, jetzt brauchen wir noch einen anderen DNS-Server in Desktop PC in /etc/resolv.conf eintragen, z.b. 8.8.8.8 von Google ( in der Situation kann man das ruhig mal machen ). Damit ist der PC wieder am Netz.

Die Aufallzeit ist jetzt 1h05m, das ist ziemlich heftig für Tagsüber. Ich habe mir einen Spaß gemacht und einen Rückruf bei 1und1 gebucht, natürlich auf die Nummer mit dem Ausfall, damit die sofort Nachforschen 😉

An die IT der Stadt Braunschweig in Sachen MAILSERVER

Im Gegensatz zum letzten Lokalbeitrag über Lebensmittel bei Aldi Nord, kommt heute ein weniger ekliges Thema dran … Woher weiß man, daß man mit dem Mailserver der Stadt Braunschweig spricht?

An die IT der Stadt Braunschweig in Sachen MAILSERVER

Liebe IT-Verantworlichen der Stadt Braunschweig,

wie wir Euch 2018 schon einmal mitgeteilt haben, sind Eure SSL-Zertifikate im Mailserver nichts wert. Glauben Sie nicht? Bitte schön:

$ openssl s_client --connect mailin02.braunschweig.de:25 -starttls smtp -verify_hostname mailin02.braunschweig.de
CONNECTED(00000003)
depth=0 C = DE, ST = Niedersachsen, L = Braunschweig, O = Stadt Braunschweig, OU = IuK, CN = mailin02.braunschweig.de
verify error:num=20:unable to get local issuer certificate
verify return:1
depth=0 C = DE, ST = Niedersachsen, L = Braunschweig, O = Stadt Braunschweig, OU = IuK, CN = mailin02.braunschweig.de
verify error:num=21:unable to verify the first certificate
verify return:1
depth=0 C = DE, ST = Niedersachsen, L = Braunschweig, O = Stadt Braunschweig, OU = IuK, CN = mailin02.braunschweig.de
verify return:1
---
Certificate chain
0 s:C = DE, ST = Niedersachsen, L = Braunschweig, O = Stadt Braunschweig, OU = IuK, CN = mailin02.braunschweig.de
i:C = DE, ST = Niedersachsen, L = Braunschweig, O = Stadt Braunschweig, OU = IuK, CN = BSSUBCA02
---

Was bedeutet die Ausgabe?

Das jemand ein Zertifikat auf „mailin02.braunschweig.de“ ausgestellt hat und anstatt dies von einer anerkannten Autorität (CA) beglaubigen zu lassen, es mit einem anderen selbst gebauten Zertifikat und dessen Schlüssel unterschrieben hat. Das macht natürlich aus dem ersten Zertifikat mailin02.braunschweig.de auch kein anerkanntes Zertifikat, sondern nur ein weiteres Zert, dem man nicht vertrauen kann.

Das Emails bei der Stadt Braunschweig trotzdem eingehen, liegt einfach daran, daß derartige Fehler sooft vorkommen, daß wer ernsthaft die Autorität eines empfangenden Mailserver prüft, kaum noch Emails rausbekommt. Besser macht die Erkenntnis den Fall natürlich auch nicht, es bleibt ein Setupfehler.

Anders läge der Fall, wenn das Zert mit dem Kürzel BSSUBCA02 selbst von einer bekannten CA verifiziert und beglaubigt wäre. Das kann man aber nicht prüfen, weil das dafür nötige Zert nicht mitgeliefert wird. Pech.

Es bliebt also dabei, diesem Server kann man nicht glauben, daß er wirklich die Stadt Braunschweig repräsentiert.

Weiß hier A nicht, was B tut?

Wer sich mal die Webseite unter Braunschweig.de näher ansieht, findet dort ein Zert für „*.braunschweig.de“, ein sogenanntes Wildcard-Zertifikat. Dies ist für alle beliebigen Domainnamen gültig, auch für „mailin02.braunschweig.de„. Wieso man das dann nicht für den Mailserver nimmt, kann ich nicht beurteilen. Das Wildcard Zert ist nicht eingeschränkt auf das Web ( was gehen würde ), es kann also überall eingesetzt werden.

Basierend auf der Erfahrung mit der Stadt Wolfenbüttel ( gleich hier um die Ecke ), würde ich mich jetzt aus dem Fenster lehnen und behaupten, daß das IT-Managementsystem auf Windowsbasis, daß die Stadt einsetzen wird um deren Firewall und Mailserver zu verwalten, den Admins nur die Innenseite des Netzes anzeigt, aber nicht, was außen wirklich los ist. Ich vermute, intern wird schon seit einiger Zeit ein korrektes Zert angezeigt und das uns gezeigte Mailserverzert ist bloß ein Fragment eines Testsetups von früher.

Das „Root CA 2“ Zert der Stadt Braunschweig, ist scheinbar von 2016 und das „mailin02.braunschweig.de“ von 2017, aber mit einer Gültigkeit von 10 Jahren. Dies ist ein typisches Testsetup, denn normale Zertifikate werden nach 1-2 Jahren getauscht.

Gesundheitsgefährliches Brot bei Aldi Nord

Wer mal wissen wie, wie Brot von Aldi Nord einen Tag VOR Ablauf des Mindesthaltbarkeitsdatums aussieht, wenn es einen Tag alleine in der Küche lag, der sollte jetzt viel Mut aufbringen.

Gesundheitsgefährliches Brot bei Aldi Nord

Mindesthaltbarkeitsdatum 15.8.2021…. heute haben wir den 14.8.2021. Das hier abgebildete Brot muß unter katastrophalen hygienischen Umstanden produziert worden sein. Möglich wäre auch Umetikettierung von altem Brot, was Vorsatz wäre. Und jetzt macht lieber den Browsertab zu:

würg!

Fladenbrot von Goldähren

Rückseite

Wie sauer ich gerade bin, könnt Ihr Euch nicht vorstellen. Der weiße Schimmel steht in voller Blüte in der Packung. Ich hatte erst gedacht, daß grüne wäre ein Gewürz, das findet man öfters mal in der türkisch/Arabischen Küche, aber da hatte ich noch nicht die Unterseite und den Weißschimmel gesehen