Der letzte Talk im Network Track mit den zwei schon bekannten Gesichtern und dem inzwischen auch schon bekannten Sofa. Wir machen das jetzt nochmal, damit am Ende auch wirklich alle wissen, wer hier sitzt.

Genau, ihr habt kein so gutes Gedächtnis mit die Zeit. Falk Stern, Fullstack Network Infrastructure Engineer bei der Profi AG, macht viel mit V6, macht Kubernetes Cluster, kann man mieten, gleiches gilt für Maximilian Wilhelm, Infrastructure

Architekt an der Universität Paderborn, so tagsüber nachts hackt er am Freifog-Hochstift-Netzwerk rum und zwischendurch kann man ihn auch käuflich erwerben für verschiedene Netzwerkfragen. Mieten, nicht erwerben. Nicht vollständig. Ich muss den wieder zurückgeben. Und jetzt?

Nein. Nein. So, und wir beenden den heutigen Track mit euren Fragen, und zwar alle, was ihr schon immer mal über Netzwerke wissen wolltet und euch noch nie getraut habt zu fragen und das zu unserer aller Unterhaltung doch jetzt bitte tut. And Action. Mit Stream und Aufzeitung, ihr müsst euch melden, damit ihr ein Mikro bekommt,

damit die ganze Welt was davon hat. Und es gibt keine doofen Fragen. Echt nicht. Wir haben Whisky hier stehen. Okay, einer fängt an. Nein, das ist keine Challenge. Okay, mich würde mal interessieren, ab wann ihr denn selbst so sagt, ihr geht den Weg

mit dem Software-Defined-Network, weil es ja doch ein bisschen ein Aufwand ist, der dahinter steckt und ein bisschen Overhead. Und ab wann ihr denn sagt, ihr macht das und ab wann ihr sagt, naja für die zwei Racks, da mach ich einfach ein Layer 2 oder halt ein paar WLANs und gut ist.

Müssten wir jetzt erstmal definieren, was genau ein Software-Defined-Network ist. Ich glaube, darüber könnten wir uns jetzt in 3 Viertelstunden lang streiten. Okay, dann sagen wir mal so in Richtung mit IP-Fabrik, so wie wir das in einem der Vorträge dann mal erfahren haben. Na ja, eine IP-Fabrik macht eigentlich nur Sinn, wenn ich irgendwie zwei Schränke habe oder mehr. Ansonsten habe ich ja nur einen Leaf, dann brauche ich keinen Spine, dann habe

ich keine Fabrik. Das würde ich persönlich ab, sagen wir mal, fünf Schränken oder so anfangen, glaube ich. Ja, die Frage ist ja auch, inwieweit ich eine Skalierbarkeit brauche. Also ich würde halt mit zwei Schränken auf jeden Fall schon mal anfangen, mir zumindest den Weg dahin nicht zu verbauen und das im Zweifelsfall umziehen

zu können. Und wenn ich mit dem Projekt dann plötzlich wachsen muss, weil o Gott o Gott kommerzieller Erfolg eintritt oder sowas, dann würde ich halt ganz schnell versuchen, in Richtung IP-Fabrik zu skalieren. Aber ist wahrscheinlich dann auch gar nicht so leicht, weil ich ja dann vielleicht mit Switchen geplant habe, die jetzt gar nicht so viele eventuell

10-G-Ports haben, um da jetzt nochmal so viele Spines und Leaves da reinzunehmen. Ja, das macht ja erst mal nichts. Das hatten wir tatsächlich, als ich diesen Mann mal gekauft habe, für uns hatten wir mal so eine Diskussion für einen neu geplanten Cluster tatsächlich, wo erst mal ein Layer-2-Netz geplant ist. Das heißt, ich habe irgendwie eine ganze Menge Switche, ein oder zwei pro

Schrank. Die gehen per Layer-2 nach oben zu einem Switch, der dann auch routen kann. Das heißt, ich könnte mir jetzt sagen, ich baue einen WLAN pro Schrank, also da oben hat WLANs, ein WLAN geht jeweils in einen Schrank, das route ich da oben. Das heißt, ich habe die Option, konzeptionell dieses WLAN jetzt in dem Schrank zu routen. Das heißt, ich könnte die Verbindung dazwischen auf IP umbauen und

sonst wird es jetzt so teuer auch nicht. Also ich habe zwar ein Layer-2-Netz, habe aber ein Konzept, was ich runterbrechen kann auf ein Netz pro Schrank und könnte das in eine IP-Fabrik stecken. Okay, dann war es ich mir dann vorhin so ein bisschen, also ich bin so ein Setup mal im Kopf durchgegangen. Das heißt, ihr würdet dann wahrscheinlich auch für die End-Server,

die gar nicht in diese Fabrik oder in diese Routing-Geschichte mit reinnehmen, weil wir hatten ja vorhin auch zum Beispiel die Beispiele und das fand ich ja auch sehr interessant. Ich kann ja meine Server dann zum Beispiel auch hochverfügbar anbinden, indem ich dann einen Software-Router da drauf installiere, Link-Local, eine externe IP-Adresse habe und die dann halb

BGP mit Equal-Cost-Multipath über mehr als einen Link, zum Beispiel 2 Anbinde und dann ist das Ding zum einen hochverfügbar und ich habe auch noch die Bandbreite und brauche nicht so etwas wie LACP. Würde ich jetzt einfach mal hergehen bei 4 Racks mit jeweils 20 Servern drin, habe ich 80 Server, mit 2-0-LEAF habe ich dann 88 Systeme

und dann hätte ich ja auch schon 88 Systeme im OSPF und im BGP. Ist das okay oder ist da OSPF schon irgendwie? OSPF würde ich da nicht machen. Ich würde das tatsächlich mit BGP aufziehen. Aber dann mache ich dann nur BGP, weil ich habe ja... Dann machst du nur BGP, weil du nämlich überall externe,

also unterschiedliche AS-Nummern verwendest, machst überall externe BGP, brauchst kein internal BGP-Peering links und rechts, sondern announced einfach nur über deine AS. Die IP-Adresse deines Hosts, fertig. Hast du einen Sack voll Slash 32 Routen in deiner Routing-Tabelle?

Das sind 88 Systeme, das sollte BGP abkörnen. Gerade so? Gerade so. Und du hast halt pro Rack deine 20 Neighbors mit deinen Top-of-Rack-Switchen. Hast dann deine 3 Neighbors mit deinen Spineswitchen und in dem anderen Rack halt auch nochmal mal 20 Neighbors. Also das hört sich jetzt erst mal groß an, ist es aber eigentlich gar nicht.

Okay. Aber zumindest in den Beispielen von vorhin war es ja immer so, dass die ihre Link-Local-Adressen ja dann durch OSPF gefunden haben erst. Du meinst die Loopback-Adressen? Die, Entschuldigung, die Loopback-Adressen, genau. Die haben wir für IBGP benutzt, damit zum Beispiel, wenn man uns das supporter anguckt, Router aus eurer Sicht links oben

müsste eh hängen, sich mit rechts zum Beispiel findet, entweder über den kürzesten Weg oder wenn ich den rausreiße über den längeren Weg. Das ist aber alles ein AS. Wenn ich jetzt Leaf-Spine baue, sind meine Spines ein autonomes System und jedes Leaf-Pärchen, üblicherweise setze ich da zwei hin aus Redundanzgründen,

ist ein anderes AS. Das heißt, da habe ich kein IBGP. Da brauche ich, diese Verbindung stelle ich nicht zwischen den Loopback-Adressen her, sondern den normalen IPs, die auf diesem Interface dazwischen sind. Das heißt, ich brauche deswegen gar keinen OSPF an der Stelle. Aber dann habe ich da so ein bisschen statisches Routing. Nee, hast du nicht. Du baust ja IBGP zwischen diesen beiden Geräten,

aber direkt über den IPs, die sie auf dem Kabel haben dazwischen. Ja, okay, aber da muss ich ja sowieso statisch sein. Ja, okay, die Transfernetze musst du halt einmal pro Host konfigurieren natürlich. Du kannst das aber auch wie Cumulus machen und Link-Local-IP vor sechs Adressen nehmen.

Ganz hart. Das klingt ja auch, ja. Ja, guck mal, habe ich mir noch was aufgeschrieben. Oder die andere Lösung wäre halt, das hast du vorhin glaube ich so ein bisschen angeschnitten, dass ich dann einfach sage, mein Rack ist dann einfach ein Layer 2.

Und damit lebe ich. Das kannst du natürlich auch machen, dass du sagst, dein Rack ist ein Layer 2 und den Rest machst du eine IP-Fabrik. Da bräuchte ich dann halt irgendwelche Switche, die vielleicht eine logische Einheit binden können. Und dann mache ich ein LACP zu den Servern. Und dann sind die auch, sage ich mal, einigermaßen safe. Okay, dann wärst du dann zum Beispiel bei Juniper EXen, die du zu einem,

ich glaube, Virtual Chassis wäre da, das Buzzword bauen kannst. Ja, so haben wir das zum Beispiel aktuell. Oder Nexus oder oder oder. Ja, nur halt jetzt nicht mit einer Fabrik oben drüber. Kannste trotzdem haben. Nur weil das zwei Switche sind, die ein Virtual Chassis etc. sind, kann ich oben drüber trotzdem eine IP-Fabrik haben.

Hier vorne ist noch eine Frage. Wieso hast du dich hier für die Demozwecke, für das Setup mit den APUs entschieden? Im Vergleich zu, möglicherweise hätte es ja auch irgendwie ein GNS3.

Weiß ich nicht. Wäre das eine Möglichkeit gewesen? Und ähnliche Frage fürs Labor zu Hause, wenn man Sachen ausprobieren möchte. Was möchte man sich da hinstellen, anschaffen? Das war seine Entscheidung aus metodidaktischen Gründen, um phenomenologisch zeigen zu können, was wir hier tun. Gesundheit.

Ernsthaft. Sinn der Übung war ja zu zeigen, wie man das alles unter Linux konfiguriert. Das heißt, GNS3, was ja ein Cisco Simulator primär ist, wäre an der Stelle nicht so richtig hilfreich gewesen. Weil einfach komplett andere Plattformen. Ich persönlich kann zwar Cisco-Config, finde die aber nicht schön. Also OSPF geht noch, bei BGP wird das relativ unhandlich.

Ich muss mir den Router definieren, dann muss ich ein paar dode Defaults wegkonfigurieren. Dann muss ich da irgendwann IP-Access-Prefix-Lists, heißt das glaube ich, Prefix-Listen-Konfigurieren für Filter. Vielleicht noch eine Route-Map, wenn ich was tun will. Das wäre mir persönlich viel zu kompliziert für Beispiele. Das kann ich an ein paar Birds viel schöner zeigen.

Außerdem war das halt auch Sinn der Übung, das mit Linux zu zeigen. Deswegen auch die Plattform der APU, weil für 180 Taler, glaube ich, an dieser Stelle noch ein ganz großer Dank an die AG Computer-Netzwerke, die diese fünf APUs da gesponsert hat, also extra für diesen Zweck hier angeschafft hat und für weitere Verwendung an der Uni, Klammer zu.

Das mit den Dingern zu zeigen, die halt sehr günstig zu haben sind, mit denen ich alles tun kann, weil einfach ein ganz normales Debian Linux ist. Ich muss dir aber nochmal bitte sprechen, der GN S3 kann nicht nur Cisco, den kann ich mittlerweile für alles Mögliche hernehmen. Der kann da die meisten Hersteller ja mittlerweile auf Linux vor allem setzen.

Da kann ich auch einen Komulus reinkippen. Da kann ich eine Johnnepa reinkippen. Da kann ich keine Ahnung, eine bekloppte Firewall reinkippen. Ob das jetzt eine FortiGate ist oder eine Palo Alto oder irgendwas, das läuft da drin. Braucht man dann eventuell nochmal Lizenzen für? Gerade für die virtuellen Maschinen kann sich das aber sehr schön zusammenklicken.

Sollte dann aber auch eine Kiste mit ein paar CPUs haben und mit echt viel Speicher. Also 32 GB aufwärts lohnt sich da. Es gibt noch einen weiteren Grund. Das war jetzt das, was ich mit phenomenologischer Ansatz umschrieben habe. Ich wollte, dass man die Dinger da sieht und ich ein Kabel reißen kann. Das kann ich bei irgendeiner Art der Virtualisierung nicht physisch tun.

Das heißt, ich könnte zwar behaupten, ich ziehe jetzt virtuell ein Kabel raus, dann müsste mir das aber glauben. Da habe ich das gemacht und konnte ich das live vorführen. Man hat einen Effekt gesehen, jetzt mit ein bisschen Verspätung aufgrund der Konfiguration. Aber man sah halt, dass sich der Distant Traffic dann einen anderen Weg nimmt. Das war tatsächlich Absicht.

Danke. Das war wirklich Sinn der Übung. Deswegen habe ich mal was mit Holz gemacht. Ach so, da war ein zweiter Teil der Frage. Genau, fürs Labor, wenn man testen möchte.

Dann nach der Antwort der ersten Frage, reichen vielleicht noch drei APU, oder? Das kommt jetzt so ein bisschen drauf an. Würde ich sagen, was du tun willst? Wenn du mit dem ganzen Linux-Kram spielen willst, kannst du entweder ein bisschen Geld auf den Tisch legen für die Boxen. Wenn es dir das wert ist, würde ich das tatsächlich empfehlen, weil man da viel mitmachen kann.

Oder du steckst ein paar WMs zusammen, kannst ja trotzdem tun. Oder GNS3. Wenn das ein Firmenlab ist, dann würde ich tatsächlich, wenn du mit Wendor Equipment am Ende arbeiten willst, das nutzen. Um wirklich ein realitätsnahes Lab zu haben, um vorher im Lab schon in die Box zu laufen, die du sonst in Prot findest und Mistgabe entfackeln.

Sie kennen das. Genau. Also was ich zu Hause gemacht habe, ich habe mir eine gebrauchte Foilzumüre gekauft. Die hat irgendwie zwei Sockel, mal vier Kerne, keine Ahnung. Du frisst irgendwie Speicher bis zum Umfallen und da läuft ein Linux drauf. Da läuft eine GNS3-VM drauf und ein möglich anderer Schrott.

Und sie zieht erstaunlich wenig Strom, wenn sie an ist. Und so ein Kubernetes, ne? Ja, und so ein Kubernetes dreht er auch noch drauf. Der nächste, bitte. Für zu Hause reicht aber, glaube ich, auch einfach Virtual Box zu nehmen, sich da ein paar VMs zusammen zu klicken.

Das braucht alles ja keine Ressourcen. So ein BGP, die man in der VM frisst ja nichts gerade im Lab, wenn du es testen und lernen möchtest. Dann kannst du dir irgendwie Bridges zusammen konfigurieren und klicken in deinem Virtual Box und hast da Infrastruktur drunter und fertig die Laube. Als wir vor mittlerweile zwei Jahren vom Freifunk Rheinland aus die Routing Days gemacht haben,

so ein bisschen ähnliche Show allerdings mit deutlich Praxisteilen, was hier jetzt nicht möglich war, haben wir uns dann dicken Hobel hingestellt. Jede Gruppe hatte, also jede Vierergruppe hatte vier VMs, die als Quadrat verbunden waren mit zwei Uplinks nach außen, die wir bereitgestellt haben auf einem dicken Hobel. Das heißt, damit kann man sich sowas zum Beispiel auch zusammenstöpseln.

Ich glaube, das war, es müsste KVM gewesen sein damals. Also wir haben ja, glaube ich, jetzt bewiesen, dass man mit Linux sehr viel zaubern kann. Das heißt, so ein Lab-Environment zum Rumspielen kann man sich mit Xen, KVM, Virtual Box, Dingen und Sachen zusammenstöpseln. Wenn es glücklich macht, vielleicht auch mit Docker. Nee.

Du kriegst die Netzwerkinterfaces schwer in die Namespaces. Das sind nur komische VET-Hs. Okay, aber macht es nicht glücklich. Genau. Aber wie gesagt, so ein Linux-Router braucht 64 MB RAM. Wenn man ein bisschen BGP macht, vielleicht noch ein bisschen mehr. Da muss man aber schon ganz viele Routen für reinstecken. Das heißt, ich kriege eine erkleckliche Anzahl Systeme, sogar auf dem Laptop zum Laufen.

Lieber Max, lieber Florian, ich habe da... Lieber Max, lieber Florian. Florian ist der, das ist Falk. Falk, Entschuldigung. Florian, hallo. Folgendes. Ich habe mich nie getraut zu fragen, warum man bei der Netzwerk-Schnittstelle nie die maximale MTU einträgt.

Ich weiß, das Internet spricht 1500, aber die Schnittstelle kann natürlich mehr. Und wieso das im eigenen Netzwerk nicht gemacht werden könnte, dass man die maximale MTU einträgt. Und dann habe ich noch eine Folgefrage. Wie ist eure Erfahrung mit der Segmentierung von Batman?

Wie es damit umgeht? Weil ich habe da ganz schlechte Erfahrungen gemacht. Dankeschön. Ich fange mal mit der MTU-Frage an, dann kann Max nachher die Batman-Frage beantworten. Das hatte ich mir fürchtet. Damit du die MTU auf tatsächlicher Maximum setzen kannst, 9216 irgendwas,

müssen alle Systeme in deinem lokalen Netzwerk diese MTU haben. Weil sonst schickste zu große Pakete los und der Rest versteht die Welt nicht mehr. Na, der Rest schmeißt sie weg. Oder der Rest schmeißt sie weg. Das heißt, wenn du auf deinem Rechner alleine die MTU hochdrehst, stehst du ganz alleine da. Du kannst das überall machen. Es wird nicht segmentiert in so einem Fall?

Wenn die MTU zu hoch ist, wird nicht segmentiert in so einem Fall? Doch, es wird fragmentiert, aber an einem Router. Das heißt, wenn ich das in einem LAN mache, muss ich in diesem LAN überall dieselbe MTU haben. Und ich habe zum Beispiel Geräte, da kann ich das nicht einstellen. Wenn ich jetzt so ein dusseliges SIP-Telefon habe, ich glaube nicht, dass ich dem eine 9000er MTU verkaufen kann.

Also MTU zu groß ist quasi ein schwarzes Loch. Wenn du jetzt zum Beispiel von deinem Laptop aus ein Paket mit einer 9000er MTU rausschickst, der Switch ist da nicht drauf eingestellt. Zum Beispiel der Cisco, der hier vorhin noch lag, wenn der nur auf 1500 eingestellt ist, schmeißt er das Paket weg.

Jetzt gehen wir davon aus, der Switch spielt schon mit. Dann hast du da jetzt zum Beispiel deine Fritzbox dran. Die rechnet nicht mit einer 9000er MTU. Das Paket wird in die Richtung der Fritzbox übertragen. Die stellt fest, es ist zu groß, Puff ist weg. Das ist doof zu debuggen. Path MTU Discovery, also über Router hinweg,

ist stellenweise schon kaputt, weil Leute es für eine gute Idee halten, ICMP zu filtern. Das heißt, die mögliche Antwort Packet too big heißt das glaube ich bei IPv4. Fragmentation needed. Also die dir dann zurückgeschickt wird per ICMP, hey mach mal kleiner. Wird manchmal weggefiltert, das heißt auch da ist das Problem.

Der MTU ist ein Thema voller Missverständnisse. Ja, das stimmt. Im Laden ist das echt schwer. In Infrastrukturnetzen, wo du alles kontrollierst, kannst du das machen. Im normalen Laden, wo im Zweifel ich mit meinem Laptop oder noch schlimmer Handy komme, no way. Ja und dann habe ich halt dieses Batman, was mir eigentlich die Pakete segmentieren soll.

Tut es aber nicht richtig. Entweder crash the kernel oder was kann man da machen? Was hast du ungefähr an Setup? Freifunk Wuppertal. Du hast wahrscheinlich Fast D Tunnel an oder Layer 2 Tunnel?

Genau, auf Fast D Tunnel. Und wenn ich jetzt L2TP da versuche mit reinzufremeln, dann stürzt irgendeine Kiste auf jeden Fall garantiert ab. Das ist sehr schade. Batman sollte tatsächlich fragmentieren. Das heißt er sollte die Ethernet Frames fragmentieren und hinterher wieder zusammenbauen, was jetzt nicht unbedingt ein Performance Gewinn ist.

Was du da versuchen könntest, ist die Layer 2 Tunnel, also Fast D L2TP entsprechend groß zu machen und unten drunter zu versuchen auf IP-Ebene zu fragmentieren. Letztlich schürzt du aber bei irgendeinem Tod immer sterben. Das hat uns noch nicht gebissen, glaube ich.

Das Batman-Umfeld wegen Fragmentierung. Der mault hier auf jeden Fall, wenn du ein Interface über das Batman sprechen sollst. Wenn du das konfigurierst und die MTU nicht passt, mault er dich an. Das kriegt er ja mit. Meistens stürzt er ab. Bevor er mault, ist die Kiste in der Werner.

Wenn du es konfigurierst oder wenn dann wirklich Traffic drüber geht? Wenn Traffic drüber geht. Wenn es konfiguriert ist, dann ist es ein Picobello. Da würde ich mal in den Gluon-Channel, ich glaube das ist im Hackint im IRC, kommen. Da gibt es jemanden, der nennt sich TX. Das müsste Simon Wunderlich sein. Der ist Colonel-Entwickler und baut diesen ganzen Batman-Kram. Hast du dem dein Leid mal geklagt?

Also früher habe ich mit denen irgendwas debarkt vor drei Jahren. Das hat wunderbar funktioniert und dann wurde immer wieder neu entwickelt. Und da ist dann Fehler reingekommen. Klingt eher nach einem Hack. Gut, ihr Lieben, ich danke euch herzlich. Gerne.

Der nächste bitte. Wir hatten ja vorhin auch mal erwähnt, dass ihr überall DNS und RDNS einsetzt.

Macht ihr sowas auch für interne IPs? Zumindest lokal? Aber natürlich. Auch mit RDNS? Also der Rückwärts-Auslösung? Aber natürlich. Okay. Das habe ich noch nie getan. Ich will in einem Traceroute keine IPs sehen in meinem eigenen Netz. Ich will wissen, wie das Gerät heißt und was ich zumindest tue. Danke Florian. Was ich tue ist, die IP jedes Interfaces im DNS einzutragen im Format Interface-Name.

Also wenn du hier zum Beispiel einen Traceroute machst, wirst du das sehen. eth0.cr-in.fc13-sdn-Klinik. Also ich habe das Interface und das Gerät im DNS stehen. Ja, okay. Alles in Ordnung. Ganz einfach, da muss ich mir beim Debugging nichts merken.

Und ich sehe es halt im Namen direkt. Und nichts nachgucken. Und um vielleicht noch mal kurz auf das von vorhin zurück zu kommen, bedeutet das, wenn ich meine Server da reinmache und wir in diesen eBGP-Setup sind, dass die Server dann auch ein eigenes AS sind oder sind die das AS vom Rack?

Die sind ein eigenes AS. Aber alle Server im Rack sind ein AS oder jeder Server ist ein eigenes AS? Du kannst jeden Server im Rack mit dem gleichen AS versehen. Das müsste eigentlich funktionieren.

Ja, müsste eigentlich. Weil bei den Spines machst du es ja auch so. Du hast ja dann nur die beiden Pfade durch dieses eine AS. Das ist ja auch nur eine Strote. Okay, das war's. Nächste bitte.

Bei diesen Switchen, die jetzt so super toll mit einem Linux laufen, ist das dann in der Regel eins vom Hersteller? Habe ich da freie Wahl? Und wenn das eins vom Hersteller ist, dann kann es ja sein, dass die Software, die ich da vielleicht nutzen möchte, da gar nicht drauf läuft.

Dazu gibt es, also du wirst auf dem Prozessor selber in so einem Switch jedes Linux installieren können, weil das meistens eine schimmelige Intel-CPU ist. Das Problem ist dann dieses Interface zwischen der Service-CPU und der Switch-Hardware, das die miteinander reden.

Das ist meistens ein Binary Blob. Wird von Cumulus auf jeden Fall entwickelt. Ich weiß nicht, ob es noch mehr irgendwie Linux gibt, die das machen. Und diesen Binary Blob kriegst du halt von Cumulus. Das ist das, wofür du Geld bezahlst. Das Viech heißt, glaube ich, das ist der Switch-D. Nehmen wir jetzt zum Beispiel mal so ein Cumulus-Ding.

Der Oberbegriff sind ja Open-Networking-Plattformen. Das heißt, die Grundidee ist schon, dass du das Linux austauschen kannst, wenn dir das Cumulus nicht schmeckt. Du kannst dir zum Beispiel einen Dell Open-Network-Switch kaufen und dann Cumulus drauf installieren, wenn dich das glücklich macht. Sollte gehen. Und dieser Binary Blob für die entsprechende Hardware-Plattform sorgt dafür,

dass alle IP-Adressen, Bridges, Routen, die in dem Linux sind, in Hardware gegossen wird. Und das ist der einzig kritische Punkt, diese Schnittstelle. Das heißt, ich könnte dann quasi so wie im Rest von meinem Netzwerk auch einen Debian oder einen CentOS nutzen? So wäre die Theorie.

Ja, ja, im Prinzip ja. Dafür müsstest du diesen Switch-D aber aus dem Cumulus rauspulen und irgendwie in dein CentOS bringen. Also das will ich eigentlich nicht. Das willst du eigentlich nicht. Du willst irgendwie im Zweifelsfall das fertige Cumulus-Image nehmen, da drauf bügeln, dann hast du etwas Debian-artiges,

was mit IfUpDown2 läuft, was halt auch ein IF Reload kann, das du mit Ansible orchestrieren kannst und wo halt irgendwie auch Standard-Debian-Pakete drauflaufen. Das heißt, du kannst dann eine ganze Telemetrie auch mit einem Prometheus-Exporter machen, also mit einem Node-Exporter und fertig. Okay, das heißt, ich kann dann so

Konfigurationsmanagement wie Puppet oder auch Ansible dann in der Regel so nutzen, als wäre es ein ganz normales System. Genau, als wäre es ein Linux-Server. Du kannst ja ganz gewöhnlich mit deinem Ansible das Puppet deinstallieren. Wenn man das möchte.

Ihr müsst schon mitmachen. Bei uns sitzen sie in der ersten Reihe. Ich bin sehr interessiert, wenn man im lokalen Netzwerk Telefonie betreibt,

die Do's und Don'ts, die man so machen lassen möchte. Bitte. Telefonie, Do's und Don'ts. Immer satt, Bandbreite zu haben. Oder tatsächlich, wenn du Hart-Telefonie machen willst

im lokalen Netzwerk, Quality-of-Service und Priority-Queuing auf deinen Switchen konfigurieren. Das ist ein eigenes, dunkles Thema voller Missverständnisse. Okay, die Handbewegung suggeriert. Ich möchte das noch mehr elaborieren, diesen Schmerz.

Wenn wir zum Beispiel den Greenbox-Vendor angucken, also zum Beispiel Cisco, habe ich da je nach Plattform, je nach Variation der Plattform, je nach Linecard, die in dem Router drinsteckt, unterschiedliche Anzahl Cues, wie die zu konfigurieren sind, etc., pp. Deswegen haben sie, wie heißt das?

Das ist, wie ich Epoch EM glaube ich jetzt eingebaut, ein Easy-Quiz, was da so ein bisschen eine Abstraktionsschicht oben drüber packt, weil sie selber gemerkt haben, dass das vielleicht nicht ganz ideal ist, so zu konfigurieren, oder vielleicht nicht ganz einfach, naheliegend, etc., pp. Das sind diese 1Q, 2P oder 3P, 8T-Dinger,

die bei den Interfaces immer dran stehen, falls ich euch gefragt habe, was das heißt. Das heißt, eine Priority-Q, 3 normale Cues, und 8 Thresholds, um Pakete aus Cues wegzuschmeißen. Diese Buchstaben-Zahlen-Kombination unterscheidet sich pro Plattform, pro Linecard, pro Modul, pro Dings, pro sonst was. Das heißt, wenn ich mir da einmal

ein Konzept überlege mit, ich hätte gerne eine Klasse für VoIP, eine Klasse für Katzenvideos, eine Klasse für SSH und Management, eine Klasse für, was weiß ich denn, für SAP-Zugriff, weil das muss auch immer gehen, und dann vielleicht noch normalen Web-Traffic, also Facebook und so. Kann ich das vielleicht nicht auf jeder Hardware, die ich da stehen habe, in meinem Zoo

abbilden? Ich kenne das nur von Cisco, mit anderen Vendoren habe ich mich noch nicht mit beschäftigt. Die sind genauso hässlich. Das hatte ich befürchtet. Und wenn ich dann wahrscheinlich noch ein Cross-Vendor-Netzwerk da stehen habe, wird das irgendwann sehr kompliziert. Ja, Cross ist eine schöne Sache. Das kostet aber richtig

und das musste ich zum Glück noch nie in diesem Leben. Dann würde ich gerne da noch eine Frage hinterherschieben, und zwar, ob es möglich ist, anhand bestimmter Parameter frühzeitig zu erkennen, dass demnächst etwas schieflaufen wird,

bevor man, also, die Scheiße riechen, bevor man reintritt, sozusagen. Das ist der heilige Gral des Monitorings. Das geht. Also je nachdem, welche Art von oder welche Geschmacksrichtung, Farbe, Konsistenz wir jetzt drüber reden, geht das. Beispiel Ports zum Beispiel, ich kann Error-Counter überwachen, zum Beispiel in einem Libre-NMS

kann da ein Threshold draufsetzen oder in einem Prometheus, wenn das halt in der ersten Ableitung hochgeht, dann könnte ich mal sagen, okay, hier das Kabel ist vielleicht doof oder das wird vielleicht bald umfallen oder das SFP wird bald explodieren oder sowas. Also da habe ich Chancen. Ja, oder wenn mein Traffic irgendwie spontan ansteigt, kann ich mich da auch alarmieren lassen, aber

ich sage mal so Predictive Failure, ich kann halt unheimlich viele Parameter überwachen, mir bei den Graphen mal so die erste Ableitung machen und gucken, wann die Steigung zu steil wird oder sowas. Damit sehe ich dann, okay, entweder die Festplatte läuft bald voll, ich habe zu viele Errors auf dem Interface, die Laser werden bald blind oder, oder, oder.

Aber so richtig Standards gibt es da meines Wissens nicht. Also wenn du da eine gute Idee hast, kannst du sehr reich werden, glaube ich. Nein, raus. IBM Watson oder sowas.

Darf ich noch eine? Bitte gerne. Das war lokal gefragt, jetzt mal die Strecke zum SIP Provider. Wenn ich da an einem kleinen Standort eine Leitung habe und dann macht der Voice-over-IP und irgendwas anderes macht mir die Leitung zu, dann ist vorbei,

kann man nichts machen, soweit ich weiß. Nun ist es aber so, dass vielleicht ein, zwei Provider gibt, die, wenn ich die Leitung und das SIP von demselben Provider habe, zumindest die eingehenden RTP-Pakete ankommen sollten. Welche Möglichkeiten gibt es da? Wie machen die das?

Die machen tatsächlich Quality-of-Service auf der PPPoE-Strecke. Dass sie sagen, pass auf, X Prozent der Bandbreite reserviere ich für diese doseligen SIP-Pakete. Die haben Vorfahrt, egal was da kommt. Und das kannst du halt auch tatsächlich nur machen, wenn du das aus einer Hand machst. So sprich, irgendwie die Kollegen in Magenta, die da irgendwo hinten

bei mir in der Nähe von meinem Hotel sitzen. Die machen tatsächlich, die machen auf der letzten Meile Quality-of-Service zu deinem DSL, zu dem entsprechenden SIP-Trunk. Und reservieren tatsächlich Bandbreite. Das tun sie auch für Fernsehen.

Hinter dir ist, glaube ich, gerade eine Hand. Der sympathische Mann mit den langen Haaren und dem Bart. Hallo, liebes Dr. Sommer-Team.

Ich hoffe, die Frage kam noch nicht, aber wie entscheide ich mich denn, ob ich OSPF oder IAS-IS haben möchte? Also ich weiß eigentlich, möchte ich OSPF haben, aber wann ist die Stelle erreicht, wo ich IAS-IS haben möchte? Ich weiß, ich will OSPF haben, würde ich, glaube ich, schon mal so nicht stehen lassen. Die haben beide Vor- und Nachteile.

Mit ich meinte ich mich nicht jeder. Das ist, glaube ich, mehr so eine Geschmacksrichtungsfrage. Und vielleicht das, was ich vorhabe. Ganz normales internes Routing können sie beide. IAS-IS vielleicht ein bisschen größer als OSPF. Da habe ich in den Größenordnungen keine

Erfahrungswerte. Weiß nicht, ob der Gentleman links neben mir das hat. IAS-IS hat den Charme, es kann von Haus aus alles Mögliche an Adressen tragen. Weil ich eigentlich nur Type-Length-Vector-Fields durch die Gegend schubse. Type-Length-Value-Fields durch die Gegend schubs. Das heißt, ich kann da V4, V6, MAC-Adressen,

Appletalk, IPX, Weistack und so was reinstecken. Muss mich unten drunter, aber darum kümmere ich mich darum, dieses dusselige classless-Networking zu konfigurieren. Das heißt, ich muss jedem Gerät irgendwo eine ISO-OSI-Adresse geben. Wenn ich jetzt ein größeres Netz habe und so in Richtung Traffic-Engineering gehen möchte, ist wahrscheinlich IAS-IS irgendwie verbreiteter, würde ich jetzt vermuten.

Für OSPF gibt es aber auch Extensions, dass ich damit machen kann. Vor drei Vorträgen stand der Takt hier und hat was zu MPLS und Segment-Routing erzählt. Das hat er vor, mit IAS-IS zu machen. Das müsste meines Wissens technisch aber auch mit OSPF machbar sein, ob ich das beides tun würde.

Wenn es wirklich nur um ein klassisches IGP geht, um ein paar Lupec-Adressen und vielleicht ein paar Managementnetze durch die Gegend zu schubsen, ist das glaube ich fast egal. Für IAS-IS gibt es im Open-Source-Bereich weniger Implementierungen. OSPF kann ein Bird, der kann kein IAS-IS. Ein Quacker kann meines Wissens beides, damit Freerange-Routing auch.

Ja, ist aber auch noch relativ neu. Der IAS-IS-Teil? Ja. Dingens hat da auf dem vorletzten Kongress noch darum rumgehackt. Also je nachdem, mit wem ich sprechen möchte, wenn es dann zum Beispiel um Linux-Kisten geht. Das OSPF, glaube ich, stand heute noch die bessere Idee.

Ja, das ist genau der Grund, warum ich sagte, ich weiß, ich will OSPF haben. Dann willst du OSPF haben. Bis wir mit Bio-Routing so weit sind, dass das I auch, also BGP-IS-IS-OSPF, dafür steht Bio, bis das I auch wirklich geschrieben werden darf. Aktuell ist es eigentlich nur ein B. Dann gibt es auch IAS-IS. Bruting.

Genau, Bruting. Ja, Bruting gibt es auch. Das gibt es im Netfilter. Das ist aber auch wieder eine andere Geschichte. Der Mann mit dem Flatrate-Bändchen. Das war eigentlich nur für Essen gedacht. Ja, Frage 5.

Oha. Ich habe gehört, dass der Strom ausgefallen ist. Ich glaube, warum jetzt der Strom ausgefallen ist, ist vielleicht gar nicht so wichtig, aber viel spannender finde ich. Das ist tatsächlich auch eine sehr spannende Geschichte. Ja. Ihr dürft gerne auch darüber erzählen, warum der Strom ausgefallen ist,

wenn ihr da Lust habt, darüber zu erzählen. Aber viel spannender würde ich noch finden, die Leute, die sich da eingemietet haben und auch ihre Hausaufgaben nicht gemacht haben, was da noch alles in die Luft geflogen ist. Was waren die Dones, die da getan wurden?

Na ja, was da in die Luft geflogen ist, waren die Leute, die nur einen DKX-Port hatten, der irgendwo da in FRA 5 war. Das ist in die Luft geflogen hauptsächlich. Dann ist mit FRA 5, glaube ich, der Routserver gestorben. Nee, also doch einer von zwei Routservern vom DKX stand da.

Aber auch nicht alle Leute hängen auf beiden Routservern. Das liegt aber an den Leuten. Der DKX bietet extra zwei an. Das ist also auch ein Problem von Teilnehmern. Und dadurch hat es ganz massiv gescheppert und viele Piercen weggeflogen. Also was ich gerade mal klarstellen möchte,

ist, dass es kein Fehler vom DKX gewesen, auch wenn der sehr viel haue gekriegt hat öffentlich. Das finde ich tatsächlich unverdient an der Stelle. Der Betreiber des Rechenzentrums Instant Interaction, die haben 12 oder 20 Standorte in Frankfurt, glaube ich. Und einer von diesen Rechenzentrumskomplexen ist umgefallen aufgrund von Stromproblemen. Das heißt, da war wirklich dunkel, Licht aus, nada.

Das ist einer von 21 DKX-Standorten. Das heißt, ein 21. DKX war kaputt, weil ein Vordienstleister irgendwie einen Mist gebaut hat. Da kann der DKX nichts für. Dass da jetzt zufällig einer von zwei Routservern stand, das war ein Pech gehabt, aber es gab ja noch einen zweiten. Das heißt, die haben eigentlich alles richtig gemacht,

die jetzt dann auch noch technisch ein bisschen gebissen. Da haben sie ein White Paper zugeschrieben, das kann man nachlesen. Also die hatten da Probleme mit ihrem Storage, der eigentlich auch hoch verfügbar hätte sein sollen. Was wollte ich noch erzählen? Ein großer deutscher Provider hat anscheinend den einzigen Einwahlserver oder nicht Einwahlserver, den Authentifikationsserver oder irgendetwas, was in dieser Kette war, da stehen gehabt.

Das heißt, manche Firmen, die sehr viel User Traffic haben zu Eyeball-Kunden, also sprich normalen Leuten zu Hause, DSL-Anschlüssen etc. pp., haben auf dem Peering zu diesem nicht zu nennenden deutschen ISP gesehen, dass um 21 DKX gingen die Lichter aus,

boof, Traffic aus, null. Woran lag das? Alle DSL-Sessions sind umgefallen. Das heißt, dieser Provider hatte anscheinend Interpretationen, ich habe keine Hintergrundinformationen dazu, nur Infra 5, entweder nur da sein Authentifikationssystem stehen oder was die Sessions kontrolliert oder das war dadurch geroutet, ich weiß es nicht.

Also da hat es richtig hart gescheppert. Und man hat auch gemerkt, also zu dem Zeitpunkt wollte ich gerade was konfigurieren und merkte irgendwie, ich komme nicht in eine Uni. Dachte schon, mein Uninetzwerk explodiert. Hab einen Trace Route gemacht. Kaputt. Unity Media gibt es noch, habe ich zu Hause, aber irgendwie DFN,

dann Uni, ist irgendwie alles hart am Brennen. Die Kisten laufen alle, was ist denn da los? Also das hat eine halbe Stunde lang gerappelt in diesem Internet, bis sich das alles wieder eingeschwungen hat. Das hat man schon deutlich gemerkt, dass da wirklich was umgefallen ist. Mittlerweile dürfte es da glaube ich auch ein paar Analysen zu geben. Ich weiß nicht, ob Ripelabs dazu was hatte. Aber es wird auf jeden Fall, wenn man googelt, Analysen geben,

was da alles durch die Gegend gewabert ist. Das war tatsächlich sehr eindrucksvoll. Und das waren ja zwei Ausfälle in der Nacht. Nachts kam einmal Strom wieder, dann ist es wieder umgefallen. Das ist komplizierter als das. Ich glaube da kann ich mal Interaction was dafür, weil wohl irgendwo auch der Mittelspannung irgendwas gesponnen hat.

Also da hat es richtig gerumpelt. Es waren auch ein paar Wartungsfehler da. Dumm gelaufen. Und um das noch mal festzustellen, wir waren eine Woche vorher in Interaction, aber wir waren in zwei, nicht in fünf.

Ihr wart das mit der Flex und dem Schloss? Ja, bei uns wurde der Schrank aufgebrochen. Die Story erzähle ich nicht, die ist zu traurig. Also bezüglich diesem ISP, man munkelt, der L2TP-Tunnel von der Telekom sei nur da angekommen. Das ist aber sportlich.

Das überrascht mich. Also Hörensagen, ne? Ja, ja. Ich nehme an, Sie haben was gelernt. Angeblich hat es auch Businesskunden betroffen, da lernt man wahrscheinlich mehr.

Der hat sich eine Liste gemacht, oder? Ist doch okay, wenn der Rest nicht mitspielen will. Gibt es vergleichbare Schluckaufs, ein Jahr zuvor? Wie oft passiert sowas?

In den Anfangszeiten ist der T6 häufiger umgefallen. Gerade als sie auf Force 10-Hardware umgestellt hatten, die ganz harte Probleme mit Port-Channeln hatten. Wie lange her ist Anfang? Das muss so 2004, 2005 gewesen sein.

Der D-Kix war früher mal eine kleine CISCO 6500. Drei Stück davon, oder? Erst war es eine, dann waren es drei. Oh ja, ich sah vor ein paar Monaten noch das Bild, wo Arnold den eingebaut hat. Ja, der 6500, das irgendwann mal nach Hamburg gewandert, und hieß dann HH CIX.

Ich bin mir nicht sicher, also das ist nur Vermutung. Und mal richtig gescheppert hat es irgendwann bei Level 3, als irgendein armer Network-Engineer das Redistribute-Kommando falsch rumgeschrieben hat und das BGP ins OSPF geschüttet hat.

Au! Das muss irgendwann um 2000 rum gewesen sein. Jedenfalls sah man erst so, das kam dann so von der US-Westküste langsam rübergerollt, und dann ging so langsam die Lichter aus. Die ersten Leute fingen halt an, irgendwie aus dem IRC zu droppen.

Besser? Ich wollte nur wissen, wie spät es ist. Es ist so tatsächlich von der Westküste rübergerollt. Die Leute sind teilweise echt spannend aus dem IRC geflogen. Irgendwann ging dann Slashdot nicht mehr.

Einige andere Webseiten gingen auch nicht mehr. Das war schon echt interessant. Also da haben sie, glaube ich, auch satte 4 Stunden gebraucht, bis das wieder im Laufen war. Na ja, wenn dein OSPF gerade umgefallen ist, brauchst du halt ganz viel OOB-Excess und so. Genau.

Wann war Budapest, das 2 Jahre her, das Ride-Meeting? Am 6. Nein, am 6 meine ich gar nicht. In Berlin war da irgendwas umgefallen. Ich glaube, Arkaden-Kontor war auch dunkel. Aber ab und zu kommt das durchaus mal vor.

Auf dem Ride-Meeting in London, ich glaube, vor 2 Jahren, hatten wir pünktlich zum Mittagessen der Event, wo ein guter Teil des Abstiegs umgefallen ist. Da konntest du so richtig sehen, wie beim Mittagessen alle Telefone anfingen, im Monitor in Panik zu schieben, alle liefen, Google blieb sitzen und sagt, na ja, geht der Treffpunkt anders hin.

Da passieren schon Sachen. Und dazu gibt es, wenn du dich interessierst, was passiert, wenn so ein Exchange ausfällt, zu dem Amstig-Event gibt es definitiv einen ganzen Haufen Measurements, RideLabs-Artikel, weil die Leute ganz viele Trace Route Measurements über diese Ride Atlas-Plattform machen. Und über den Fra-5-Inzident gibt es da definitiv auch was.

Das ist ganz hübsch. Zum Amstig gibt es noch eine Geschichte. Das war auch während eines Ride-Meetings in Amsterdam tatsächlich. Da hat jemand einen Kabel falsch gesteckt und einen 100 Gigabit Loop produziert. Oder einen virtuellen 100 Gigabit Loop produziert.

Da waren sehr viele App-Pakete sehr schnell unterwegs. Und man sagte auch, dass einige Leute sehr schnell aufspringen und laufen. Ja, das war in Budapest tatsächlich auch ganz witzig. Da waren so die ganzen deutschen Leute, die Blech in Berlin stehen hatten, wir unter anderem auch. Das ist ein Standort für Freifunk Rheinland-Backbone. Die standen halt um so ein paar Stehtische rum

und saßen an ihren Laptop und guckten gerade mal, was noch lebt und was nicht. Das war auch ein ekiges Standort in Berlin. Die üblichen Versächtigen versammelten sich und man hörte schlimme Flüche und Dinge. Was nimmt man denn als Referenz ins Monitoring rein, um zu sehen, ob gerade die eigene Hütte abgebrannt ist

oder ob es der Rest der Welt ist? Ausgezeichnete Frage. Ja, genau, der hinter mir hat gerade gesagt 8888. Aber ich glaube, das gab es auch irgendwie vor ein paar Monaten oder ein, zwei Jahren. Ich glaube, das ist der, der auch mal für ein paar Minuten weg ist. Und alle Leute, die glauben, wenn 8888 nicht da ist,

dass das Internet dann aus sei, dachten dann, das Internet ist jetzt aus, ist ja auch Quatsch. Also es hat einen Grund, dass Heise mittlerweile ASCMP blockt. Echt? Wie geil ist das denn? Also wir hatten auch beim Ride-Meeting dann mal die Theorie, wenn Google, Anycast, DNS tot ist und Heise

werden sehr, sehr viele Webseiten in Deutschland tot sein, weil die Shell-Skripte keins von beiden mehr pinken können. Richtig. Und wir haben dann mal jemanden von Google gefragt, wie viel ICMP-Traffic Sie da so eigentlich kriegen, weil Leute Ping-Probes dahin schicken. Wie viel Gigabit sind es denn? Also er hat dann mal geguckt, es war zu dem Zeitpunkt konstant ein Gigabit.

Nur ICMP. Und dann haben Sie mal überlegt, also vor zwei Jahren, ob Sie das jetzt mal anfangen zu Rate-Limiten, weil das ist auf Dauer dann doch ein bisschen viel Grundrauschen. Wenn du das Glück hast,

eine BGP-Session zu deinem Upstream zu haben, könntest du die monitoren. Wenn die umfällt, ist was kaputt, was du handeln willst. Also das wäre auf jeden Fall ein Actionable-Item, nur Dinge im Monitor, die man auch fixen kann. Den könntest du pingen. Wenn bei dem im Netz was kaputt ist, ist das natürlich schon deutlich komplizierter. Die Alternative ist, das haben wir als Uni zum Beispiel gemacht,

wir haben uns eine Hetsna-WM gemietet, auf der noch ein externes Monitoring ist, die guckt, ob sie zu uns kommt. Und dann von da aus, wir alarmieren per Telegram bei uns, das Ding alarmiert dann per Telegram, wenn es unser Netz nicht kriegt.

Kann auch sein, dass Hetsna ein Problem hat, aber dann kriege ich im Zweifel auch die Nachricht nicht, weil dann hoffentlich auch Telegram nicht erreichbar ist. Irgendeinem Tod muss man sterben. Und das ist zum Beispiel eine relativ günstige Lösung. Oder wenn du nicht das Glück hast, per BGP deinen Upstream zu kriegen, kannst du dir trotzdem eine WM-Meet, eine E-BGP-Session hinzumachen,

wenn die umfällt, ist dein Internet auch kaputt. Also die nicht für Routing nehmen, sondern wirklich nur gucken, ob du eine Session aufbauen kannst. Das kann man wieder trivial monitoren. Es gibt auf iSingahub so ein paar Checks für BIRD, die hat jemand geschrieben, um OSPF und BGP zu monitoren etc. Du kannst dir auch einfach deine externe VM-Monitor an der Webseite davon holen oder so.

Oder beim BGP die Anzahl der Routen, die du siehst, weil es kann ja sein, dass die Leitung zu deinem Upstream noch da ist, dass er dir noch nichts mehr announcing kann, weil er selber nichts mehr kriegt. Sobald die Anzahl der Routen in der BGP unter 1000 sind, hast du ein Problem. Wenn du eine Fulltable kriegst, sollte die 6-stellig sein.

Was für Wege wird man zum Alarmieren benutzen? Klassisch oder Hipster?

Hipster natürlich. Wenn du Hipster genug bist, nimmst du so etwas wie Pager Duty. Wenn du es auf jeden Fall verfügbar haben willst, nimmst du so ein Ollis Siemens M35 GSM-Bode und klappelst es an eine serielle Schnittstelle.

Florian platzt. Wenn du das mit dem Handy selber machst, solltest du darauf achten, dass die Antenne nicht im Rack ist, wo kein Empfang ist. Ja, das setze ich jetzt einfach mal voraus, weil du brauchst die Antenne ja sowieso draußen, damit du DCF 77 kriegst. Ja, haben Leute sehr schmerzhaft. Das kann ich mir vorstellen.

Aber man testet seine Alarmkette doch. SMS sind echt teuer. Du kannst SMS übrigens auch mit einem Festnetzanschluss machen. Musst dich zwingen, ein GSM-Bode haben. Aber auch dann will man wissen, ob der noch lebt. Frage beantwortet oder hast du noch?

Hallo. Einfache Frage. Kleine Firma, 10 Mitarbeiter, keine Ahnung. Ein Linux-Rekner bei mir als Entwickler. Kein Netzwerk, kenne ich ja nichts. DSL-Leitung, alle Switches.

Und jetzt bekomme ich ein paar Kisten, die ungeschützt sind. Die kann man nicht schützen. Da brauche ich irgendeinen Switch oder was, das den Zugriff kontrolliert. Was soll ich kaufen, was soll ich lernen, was soll ich tun?

Die Kisten, die ungeschützt sind, sind Server, die bei dir im Büro stehen oder sowas? Die sind kleine Industriegeräte, die steuern andere Sachen, die haben keinen Schutzmechanismus drin. Die Frage ist natürlich, wie weit vertraust du deinem lokalen Netzwerk? Wahrscheinlich gar nicht.

Ich würde mal gucken, dass du dir von Ubiquiti mal so ein Security Gateway anguckst. Das sind relativ kleine bezahlbare Boxen, die ein bis fünf Interfaces haben, wo man auch mit einem Web-Interface immer als unerfahrener Netzwerker

relativ gut Firewall-Regeln hinkriegt. Letztlich ist die implizierte Antwort, wahrscheinlich zwei virtuelle Netzwerke zu bauen und diese ganzen kleinen Geräte in ein eigenes Netz zu stecken, in der Hoffnung, dass die Maschinen, die Workstations, die mit den Dingern reden müssen,

nicht im selben Netz hängen müssen. Das könnte dich gegebenenfalls beißen, je nachdem, was das für eine Hardware ist. Da würde ich im Zweifel auch mal den Hersteller dieser Hardware fragen, wenn er schon keine Schutzmechanismen vorsieht, wie er sich denn das vorgestellt hat, dass man die nicht komplett im normalen Netz hängen hat, damit sie dann irgendwie ganz umfallen.

Und im Zweifel, wenn der Hersteller keine Vorstellung dazu hat, ihm sagen, was du davon hältst, das ist sehr üblich in der Industrie. Geschlossenes Netzwerk, SPS-Steuerung, keine Sicherheit.

Gleiche Firma, Windows Server,

möchte ich nicht mehr haben. Aber alle Windows-Clients brauchen Windows Server als DNS für ihren Grund. Oder kann ich das irgendwie ersetzen durch Linux Server überhaupt?

Kann man tun. Die Windows-Clients müssen eine DNS-Auflösung für die Domain haben. Eine AD-Domain ist ja ein DNS-Domain. Und da stehen einige Service-Records drin, wo die Domain-Controller zu finden sind etc. Das müssen die Windows-Systeme auflösen können. Dazwischen kann durchaus ein Linux-DNS-Server sein, wenn der weiß, wo dann die Windows-Domain liegt.

Das kann man bauen, entweder als Vorbord-Domain im Linux-DNS oder man kann versuchen, den Linux-DNS als Teil des Windows-AD-DNS einzubauen, als Slave-Server zum Beispiel. Den DNS-Server im Windows. Den gesamten Active Directory-Server

durch irgendetwas anderes ersetzen. Das kommt drauf an. Ja, nein, ich weiß nicht. Es gibt, ich glaube, von Univention sowas. Das kostet aber auch Geld.

Also das wird nicht günstiger dadurch. Da ist dann halt nur ein Linux statt ein Windows drauf. Ich habe dann allerdings auch so Möglichkeiten nicht mehr wie Updates zentral an Clients und so weiter zu verteilen. Das heißt, dass da so ein Windows-Server steht, hat möglicherweise für die Windows-Clients durchaus einen Sinn.

Auch so sehr ich Linux mag. Wenn du Windows Workstation hast, macht eine richtige Domäne, also ein wirkliches Active Directory durchaus Sinn. Dann kann ich da einen VESUS hinstecken, der mir die Updates runterlädt, an die Clients verteilt, per Gruppenrichtlinie eine schöne Katze als Hintergrund da einbinden oder sonstige Konfigurationen vornehmen. Samba gibt es, wenn es nur um Fileservices geht.

Das gibt es mittlerweile in Version 4. Da gibt es auch, gab es, weiß ich nicht, Bestrebungen, da auch einen Active Directory-Domain-Controller nachzubilden. Da hinten sind Wortmeldungen. Da ist jemand, der es wahrscheinlich besser weiß als wir. Dann lassen wir ihn noch reden. Genau. Wenn wir die Autoritäten da haben,

dann mögen Sie sich zu Wort melden. Ist da ein Mikro an? Jetzt ist es an. Grundsätzlich, Samba 4 kann einen Domain-Controller komplett ersetzen, inklusive Gruppenrichtlinien und Ähnlichem.

Bei 10 Clients fände ich das auch noch akzeptabel. Allerdings, das Gegenstück wieder, wenn man sowieso keinen hat, ist das nicht die richtige Lösung. Aber grundsätzlich möglich. Hab ich das richtig verstanden? Du bist Samba-Entwickler? Nein. Gutes Willen.

Hätte ja sein können. Gleicher Typ jetzt zu Hause. Ich versuche, OpenVPN zu lernen.

Es ist so, die meisten Leute zu Hause, die ich helfen möchte, haben diesen gleichen Bereich. 192, 186. 178, 0, 24. Okay, gut. Die Sache ist, wenn zwei von denen

diesen gleichen Bereich haben zu Hause, und ich möchte mich verbinden mit den zwei gleichzeitig, dann gibt es Probleme. Gibt es eine Abhilfe, eine Network-Adress-Translation, die ich irgendwie einschalten könnte? Max, hol mal den Schnaps raus.

Ich kann zwischen den beiden Netzen ein 1 zu 1-Natt machen, dass die eine Seite aussieht wie irgendwas anderes. Max hat da schon die Nattente auf seinem Schoß sitzen. Aber was ich da dann machen würde, wenn ich sowas regelmäßig habe, ich würde einfach irgendwo unterschiedliche IP-Adressen benutzen.

Also ich muss ja nicht dieses 192, 68, 178 von der Fritzbox benutzen. Ich kann das ja auch durchaus umkonfigurieren. Ja, aber ich habe wirklich keine Kontrolle. Und wenn eine Seite eine Firma ist mit einem Netzwerk, ich kann nicht den Netzwerk-Administrator da erzwingen.

Also ich habe keine Wahl oft. Dann würde ich tatsächlich bei mir das Netzwerk umkonfigurieren. Ich habe zu Hause 192, 68, 177. Also als V4 und jetzt V6 ist ja sowieso egal. Da brauchst du meistens keinen VPN mehr für.

Oder es sollte selbst wenn ich einen VPN brauche, überall unterschiedliche Prefixes haben. Richtig, weil ich ja globale Adressen habe. Und dann würde ich tatsächlich bei mir zu Hause das Netz ändern auf irgendwas, was mich nicht so häufig beißt.

Und wenn du dann trotzdem zwei verschiedene Kunden hast und die gleichzeitig online sein sollen in deiner VPN-Infrastruktur, dann kannst du das tatsächlich wirklich natten. Da wäre das Stichwort Netfilter und SameNet. Das ist glaube ich das richtige Zauberwort. Oder Netmap.

Netmap. Ja, hallo. Ich habe ein Netzwerk mit recht vielen Firewalls auch für unterschiedliche Kunden. Das sind ca. 10 Firewalls ungefähr mit verschiedenen Rulesets. Habt ihr irgendeine Empfehlung, wie ich die eventuell zentral verwalten kann um auch z.B. die Bereinigung zu vereinfachen?

Das ist Linux Boxen oder was ist das? Ganz unterschiedlich, von Cisco über Checkpoint, über... Das tut mir sehr leid für dich. Möchtest du einen Schluck Whisky? Sehr gerne. Dem kann ich mich nur anschließen. Gerade eine Checkpoint währt sich dagegen, mit irgendwas anderem verwaltet zu werden als mit dem Checkpoint-Interface.

Eine Cisco kriege ich halbwegs mit einem Ansible oder mit einem Napalm verwaltet. Möchtest du die anzünden? Ja natürlich. Bei einer Cisco geht das genauso. Eine Palo Alto wird auch schon wieder schwierig. Die möchte ihre eigene Management-Einheit haben.

FortiGate sieht glaube ich ähnlich aus. So schön ist das alles nicht. Das ist so ein großes Problem, was du heute in der Netzwerkwelt hast. Die ganzen Server-Hersteller, das ist Windows, das ist Linux. Das kann nicht alles irgendwie mit PowerShell oder Ansible oder was weiß ich, was verwalten, das geht ganz gut.

In der Netzwerkwelt kocht jeder Hersteller seine eigene Süppchen. Gibt da so Bestellribbungen wie Yung oder Netconf, die aber auch noch nicht überall durchgesetzt sind? Wenn ich einen Cisco Nexus 5000 habe, der spricht zwar Netconf, sobald ich mir etwas sagen möchte, sage ich, ich verstehe dich nicht.

Ich habe noch eine Folgefrage dazu. Wenn ich jetzt eine Verbindung über mehrere Firewalls habe, wie ist da der Best Practice Ansatz? Trage ich die Freischaltung auf jeder einzelnen Firewall frei oder versuche ich da größere Blöcke auf dem Source Gateway oder auf dem Destination Gateway freizuschalten?

Ich würde tatsächlich, wenn ich nur diese eine Verbindung freischalten würde, gerade wenn ich ein mehrstufiges Firewall-Konzept habe, dass auf jeder Firewall nur genau diese Verbindung freischalten. Wenn du natürlich größere Löcher an deine Infrastruktur reißen möchtest, kannst du das gerne tun.

Aber ich würde tatsächlich nur immer genau diese eine Verbindung schalten. Kommentar an die Regel schreiben sie hier irgendwie Firewall A und Firewall B. Und aus Firewall C musst du das auch noch rausnehmen. Einer geht noch. Zum ersten.

Oh, oh. Nein, nur was Lustiges. Wir hatten ganz am Anfang, um nochmal die Layer wieder runterzugehen, das Ding mit Leute filtern ICMP und machen PMTU Discovery kaputt. Das gibt sehr spannende

Fehlerfälle bei SMTP. Weil beide Server sagen, Timeout, der andere redet nicht mehr mit mir. Weil die ganzen One-Liner, so Helo und Data und so, die kommen durch. Und dann kommt die E-Mail mit dem großen ersten Paket und dann kommt die nicht an. Und dann sitzt man da mit TCP Dumps von beiden Admins auf beiden Seiten und stellt fest,

ja, da hört die Verbindung irgendwie auf. Das ist sehr schön. Genau, das ist belastend. Aber was gerade SMTP angeht, es gibt ja auch noch diese schöne Geschichte mit der 500-Meilen-E-Mail. Bitte was? Du kennst die nicht? Will ich das ändern? Ich hab gerade ein bisschen Angst.

Das ist Send-Mail. Ja, doch. Und ein Consultant kriegt eines morgens den Anruf von seinem Kunden, ja, wir können keine E-Mail weiter als eine Uni, wir können keine E-Mail weiter als 500-Meilen schicken. Wir haben verschiedene E-Mails ausprobiert, so 500-Meilen ungefähr kommt hin.

Ja, andere Briefe. Mailhost war eine Solarus-Mühle mit einem geupdateten Send-Mail. So, stellt sich raus, jemand hatte auf dieser Solarus-Mühle

Updates eingespielt. Vorher war auf dem Solarus ein hochgepatchter Send-Mail-8 drauf, nach dem Update war da ein Send-Mail-5.6 drauf, der mit der Konfig des Achter nichts mehr anfangen konnte und als Default-Timeout 0 Sekunden hatte. Das heißt, in den 30 Millisekunden,

die das Ding halt, also in den paar Millisekunden, die das Ding gebraucht hat um eine Verbindung aufzubauen, alles was irgendwie nahe genug dran war, so ungefähr bis 500 Meilen, hat schnell genug geantwortet, damit diese 0 Sekunden Timeout noch erreicht wurden. Alles was weiter weg war, nicht mehr.

Ja, ja, das ist schon was älter, aber das ist immer sehr erheiternd. Dazu fällt mir nur ein, jeder Admin sollte einmal eine Send-Mail-LC per Hand geschrieben haben. Man sagt auch, er ist verrückt, wenn er das ...

Zwei Mal tot, das tut mir sehr leid. Fünf Sechs mit Ida Patches oder schon acht? Oh Gott. Ich glaube damit schließen wir die Runde jetzt, bevor ich diese Flasche Whisky austrinke.