https://www.amazon.de/Ubiquiti-ER-X-Netzwerk-Router/dp/B011N1IT2A/
Das Gerät hat kein WLAN, schon gar kein Dualband. Auch das Gewicht von einem Gramm kann man anzweifeln.
Wie kommt eine solche Beschreibung zustande?
https://www.amazon.de/Ubiquiti-ER-X-Netzwerk-Router/dp/B011N1IT2A/
Das Gerät hat kein WLAN, schon gar kein Dualband. Auch das Gewicht von einem Gramm kann man anzweifeln.
Wie kommt eine solche Beschreibung zustande?
Das ist irre. Ich bewundere den Mann nicht, bin aber beeindruckt.
Ohne Handschuhe!
Das ist auf der zweitgrößten Insel Spitzbergens: Nordaustlandet, konkret Bråsvellbreen, irgendwo hier.
Wie immer hat Rolf Stange ausführliche Hintergundinformationen.
Ich kann mir nicht vorstellen, daß der Sysselmesteren die Aktion genehmigt hat, die Norweger sind da sehr rigide, und die ganze Insel ist Nationalpark.
Das ist noch stark verbesserungswürdig.
Das wäre doch was für eine KI!
Als ich eben durch Haus ging: In der Küche wäscht der Geschirrspüler, in der Flurecke wartet der Saugroboter auf Befehle. Oben im Bad wäscht die Waschmaschine, trocknet der Trockner.
Meine/unsere erste Waschmaschine war eine WM66, mit dazugehöriger TS66. Diese war gräßlich: man mußte die nasse Wäsche gleichmäßig einlegen, ansonsten lief sie unrund und war auch mit festem Griff nicht zu halten. Dann hat man eben zwei Paar Socken und einen Schlüpfer (wir hatten ja nix, nicht einmal Slips) 90 Grad verdreht neu eingelegt. Neuer Versuch. Ich weiß nicht mehr, ob wir immer die Schleuder festhalten mußten, aber sicher meistens.
Später dann, Ehekredit, der ausgegeben werden mußte, kam ein Rolls Royce: Ein Vollautomat (also mit Schleuder) und: LEDs! Toplader, man mußte die Trommel händisch so weit drehen, daß der Deckel oben war. Schleuder mit 800 upm, glaube ich.
Aber egal, sie hat uns noch Jahre gute Dienste geleistet.
Das erste nach der Währungsunion: Ein Geschirrspüler, von Quelle, Privileg. (Nein, das erste war U2: Joshua Tree)
Und jetzt freue ich mich über all die Helfer, die uns Zeit im Haushalt sparen. Das ist Lebenszeit.
Ja, wir konnten die Windeln auch in der Waschmaschine auskochen, dann in die Schleuder verfrachten, dann aufhängen, so daß das Studentenzimmer von 24 m² ständig feucht war, wir waren zu viert in diesem Zimmer.
Schön war das nicht im Rückblick, ich bin doch froh, daß es so ist wie es jetzt ist.
Vorhin sehe ich auf dem Handy in meine Mailbox: Es gibt eine Mail von der Barmer.:
im Postfach liegt noch eine ungelesene Nachricht für Sie bereit.
Loggen Sie sich auf www.barmer.de oder in der BARMER-App ein, um diese zu lesen.
Ja dann schickt mir die Mail doch einfach!
Na gut, ich möchte mich einloggen (immernoch auf dem Handy). Login/Paßwort sind glücklicherweise im Bitwarden hinterlegt, und modern wie die Barmer zu sein halluziniert, schicken sie mir dann eine SMS-TAN 🤦♂️.
Nein, lesen kann ich die “Mail” natürlich noch nicht wegen Cookieterrorbanner. Nein, ich will eure Kekse nicht haben, auch nicht die, die angeblich unerläßlich sind, aber die kann ich natürlich nicht ablehnen.
Da ist ein Fragebogen als PDF drin. Na mal reinsehen.
Aber nicht doch!
Popups! Die 2000-er sind zurück! Ich bin mir sicher, daß ein Großteil der Nutzer gar nicht weiß, was im Browser ein Popup ist.
Hilft ja nichts, also am Rechner die ganze Prozedur mit Einloggen und SMS-TAN und Cookieterrorbanner.
Das sind übrigens die funktional notwendigen Cookies:
Ja schon klar.
Jedenfalls kann ich jetzt das PDF laden. Und was steht drin?
[…]
Antworten Sie uns einfach und schnell online! Rufen Sie dazu unseren Online-Service auf. Diesen erreichen Sie über den Link in Ihrer persönlichen Postfachnachricht.
[…]
In diesem PDF, das in der “Mail” steckt, steht also: Bitte den Link in der “Mail” klicken. Ganz großes Tennis!
Ich komme also zu einem mehrseitigen Formular, welches ich ausfüllen soll.
Natürlich unterscheiden sich die Seiten, bis auf:
Die haben doch nicht alle Latten am Zaun 🙁
Liebe Barmer, falls ihr mitlest: hier entlang ☞ Eure Merkbefreiung, bitte selber ausfüllen.
Heute kam ein neues Smart TV, das alte hat nach ca. 13 Jahren den Geist aufgegeben (genauer: verständlichen Ton aufgegeben) Dyon heißt die Marke, hatte ich noch nie gehört, angeblich sogar ein deutscher Hersteller (https://www.dyon.eu/) — ich glaube das nicht, vermutlich kommen die Geräte doch direkt aus China.
Da wir kein Antennen- oder Sat-TV haben, ging die Inbetriebnahme schnell vonstatten, auch Netz war sofort da:
Die 192.168.1.88 ist ein pihole, der Fernseher soll ja auch was gutes bekommen.
Alles funktioniert also, die diversen Streaming-Dienste sind eingerichtet und funktionieren.
Abschließend werfe ich noch einen Blick in die Logs des pihole um zu sehen, zu welchen Heimtelefonier-Seiten der Fernseher petzen möchte. Stellt sich raus: Der Fernseher benutzt den pihole gar nicht! (und auch nicht die 192.168.1.41)
Ein Verdacht kommt auf. Ich logge mich also auf dem Router ein und mache:
root@sokoll-router:/config# tcpdump -i switch0 -n host 192.168.1.92 and port 53 tcpdump: verbose output suppressed, use -v or -vv for full protocol decode listening on switch0, link-type EN10MB (Ethernet), capture size 262144 bytes 21:17:09.293692 IP 192.168.1.92.49962 > 8.8.8.8.53: 45092+ AAAA? logs.netflix.com. (34) 21:17:09.293699 IP 192.168.1.92.49962 > 8.8.8.8.53: 17557+ AAAA? nrdp.prod.cloud.netflix.com. (45) 21:17:09.293704 IP 192.168.1.92.49962 > 8.8.8.8.53: 15435+ A? nrdp51-appboot.netflix.com. (44) 21:17:09.293708 IP 192.168.1.92.49962 > 8.8.8.8.53: 49981+ AAAA? nrdp51-appboot.netflix.com. (44) 21:17:09.293715 IP 192.168.1.92.49962 > 8.8.8.8.53: 52581+ A? nrdp.nccp.netflix.com. (39) 21:17:09.293719 IP 192.168.1.92.49962 > 8.8.8.8.53: 42306+ AAAA? nrdp.nccp.netflix.com. (39) 21:17:09.293724 IP 192.168.1.92.49962 > 8.8.8.8.53: 27213+ A? api-global.netflix.com. (40) 21:17:09.321424 IP 192.168.1.92.49962 > 8.8.8.8.53: 60092+ A? logs.netflix.com. (34) 21:17:09.344818 IP 8.8.8.8.53 > 192.168.1.92.49962: 45092 6/0/0 CNAME logs.dradis.netflix.com., CNAME logs.eu-west-1.internal.dradis.netflix.com., CNAME apiproxy-logging-7d0bf81651765786.elb.eu-west-1.amazonaws.com., AAAA 2a05:d018:76c:b684::5a89:1099, AAAA 2a05:d018:76c:b680::5a89:1099, AAAA 2a05:d018:76c:b682::5a89:1099 (254) 21:17:09.346588 IP 8.8.8.8.53 > 192.168.1.92.49962: 17557 6/0/0 CNAME nrdp.prod.dradis.netflix.com., CNAME nrdp.prod.eu-west-1.internal.dradis.netflix.com., CNAME apiproxy-nrdp-prod-nlb-1-bc4243efc68f31ae.elb.eu-west-1.amazonaws.com., AAAA 2a05:d018:76c:b685:9ae6:e07a:670d:52e4, AAAA 2a05:d018:76c:b683:194f:a5df:2ad1:ab02, AAAA 2a05:d018:76c:b684:b7f5:7e97:3e99:751e (283) 21:17:09.346728 IP 8.8.8.8.53 > 192.168.1.92.49962: 52581 8/0/0 CNAME nrdp.nccp.dradis.netflix.com., CNAME nrdp.nccp.eu-west-1.origin.prodaa.netflix.com., A 52.19.104.71, A 52.49.155.216, A 54.76.160.164, A 52.210.130.122, A 52.210.124.147, A 52.18.41.61 (214) 21:17:09.346868 IP 8.8.8.8.53 > 192.168.1.92.49962: 49981 10/0/0 CNAME appboot.dradis.netflix.com., CNAME appboot.eu-west-1.origin.prodaa.netflix.com., AAAA 2a01:578:3::3410:ea4e, AAAA 2a01:578:3::34d3:322, AAAA 2a01:578:3::34d4:c576, AAAA 2a01:578:3::34d3:3154, AAAA 2a01:578:3::3430:8bf6, AAAA 2a01:578:3::369a:f1ed, AAAA 2a01:578:3::22f0:a04c, AAAA 2a01:578:3::36f6:b554 (343)
Au weia! Es wird ungebeten Googles DNS verwendet!
Fragen kommen auf: Das Teil erkennt die per DHCP zugewiesenen Nameserver — und verwendet sie nicht. Warum? DasTeil hat kein v6 und fragt doch nach AAAA. Warum?
Nun, ich ziseliere mir eine Firewall-Regel:
ubnt@sokoll-router:~$ show configuration commands […] set firewall group address-group google-dns address 8.8.4.4 set firewall group address-group google-dns address 8.8.8.8 […] set firewall name LAN_OUT rule 20 action reject set firewall name LAN_OUT rule 20 description 'Dem Fernseher Google DNS verbieten' set firewall name LAN_OUT rule 20 destination group address-group google-dns set firewall name LAN_OUT rule 20 destination port 53 set firewall name LAN_OUT rule 20 log disable set firewall name LAN_OUT rule 20 protocol udp set firewall name LAN_OUT rule 20 source address 192.168.1.92 set firewall name LAN_OUT rule 20 source mac-address '18:84:c1:bf:66:f1' […]
Und das wirkt, tataa!
root@sokoll-router:/config# tcpdump -i switch0 -n host 192.168.1.92 and port 53 tcpdump: verbose output suppressed, use -v or -vv for full protocol decode listening on switch0, link-type EN10MB (Ethernet), capture size 262144 bytes 21:32:35.659906 IP 192.168.1.92.34723 > 8.8.8.8.53: 23537+ A? logs.netflix.com. (34) 21:32:35.659911 IP 192.168.1.92.34723 > 8.8.8.8.53: 44326+ AAAA? nrdp.prod.cloud.netflix.com. (45) 21:32:35.659916 IP 192.168.1.92.34723 > 8.8.8.8.53: 22112+ A? nrdp51-appboot.netflix.com. (44) 21:32:35.659920 IP 192.168.1.92.34723 > 8.8.8.8.53: 57120+ AAAA? nrdp51-appboot.netflix.com. (44) 21:32:35.659924 IP 192.168.1.92.34723 > 8.8.8.8.53: 44242+ A? nrdp.nccp.netflix.com. (39) 21:32:35.659928 IP 192.168.1.92.34723 > 8.8.8.8.53: 19783+ AAAA? nrdp.nccp.netflix.com. (39) 21:32:35.659932 IP 192.168.1.92.34723 > 8.8.8.8.53: 25321+ A? api-global.netflix.com. (40) 21:32:35.662950 IP 192.168.1.92.43839 > 8.8.8.8.53: 22191+ AAAA? api-global.netflix.com. (40) 21:32:35.662958 IP 192.168.1.92.43839 > 8.8.8.8.53: 64306+ A? secure.netflix.com. (36) 21:32:35.663031 IP 192.168.1.92.43839 > 8.8.8.8.53: 32983+ AAAA? secure.netflix.com. (36) 21:32:35.663041 IP 192.168.1.92.43839 > 8.8.8.8.53: 58766+ A? uiboot.netflix.com. (36) 21:32:35.663049 IP 192.168.1.92.43839 > 8.8.8.8.53: 59032+ AAAA? uiboot.netflix.com. (36) 21:32:35.663094 IP 192.168.1.92.43839 > 8.8.8.8.53: 47968+ A? customerevents.netflix.com. (44) 21:32:35.663132 IP 192.168.1.92.43839 > 8.8.8.8.53: 27882+ A? ichnaea.netflix.com. (37) 21:32:35.663181 IP 192.168.1.92.43839 > 8.8.8.8.53: 18226+ A? cdn-0.nflximg.com. (35) 21:32:35.663231 IP 192.168.1.92.43839 > 8.8.8.8.53: 20002+ A? nrdp.prod.ftl.netflix.com. (43) 21:32:35.663263 IP 192.168.1.92.43839 > 8.8.8.8.53: 42457+ AAAA? nrdp.prod.ftl.netflix.com. (43) 21:32:35.883642 IP 192.168.1.92.43839 > 8.8.8.8.53: 13421+ A? nrdp.prod.cloud.netflix.com. (45) 21:32:36.634192 IP 192.168.1.92.43839 > 8.8.8.8.53: 13421+ A? nrdp.prod.cloud.netflix.com. (45) 21:32:36.787647 IP 192.168.1.92.43839 > 8.8.8.8.53: 44242+ A? nrdp.nccp.netflix.com. (39)
Er befragt weiterhin Google, bekommt aber keine Antworten mehr 🤓
Und gleichzeitig füllt sich das Log vom pihole. Und natürlich funktioniert das Smart am TV immer noch.
Hm, mir fällt gerade auf, daß ich
set firewall name LAN_OUT rule 20 protocol udp
auf
set firewall name LAN_OUT rule 20 protocol all
ändern sollte, nicht daß das Teil auf TCP umschwenkt irgendwann.
Was machen 99% der SmartTV-Nutzer? Die haben weder das Wissen noch die Technik, dem Spionieren wenigstens ein wenig entgegenzutreten. Klar könnte man das Ethernet ziehen und einen Firestick oder so direkt an HDMI anflanschen. Aber ob der weniger spionieren würde?
Wobei ich sagen möchte: Dem TV-Hersteller werfe ich keine Bösartigkeit vor, er liefert seine Kunden mangels Sorgfalt einfach den Datenkraken aus, was im Endeffekt aber egal ist. Das TV soll einfach das annehmen, was man ihm sagt, und gut wäre es.
Google hyperventiliert, wenn ich mit v6 von tunnelbroker.net komme. Also habe ich meinem Nameserver gesagt, er möge für google.com doch bitte keine AAAA-RRs zurückgeben.
Ich habe v6:
❯ ping6 -c1 heise.de PING6(56=40+8+8 bytes) 2001:470:6d:c40:bced:266f:8a1e:ef35 --> 2a02:2e0:3fe:1001:302:: 16 bytes from 2a02:2e0:3fe:1001:302::, icmp_seq=0 hlim=54 time=63.475 ms
Klappt aber (wie gewollt) nicht für Google, weil der Nameserver nur A zurückgibt:
❯ ping6 -c1 google.com ; host -t aaaa google.com ping6: getaddrinfo -- nodename nor servname provided, or not known google.com has no AAAA record
Aber wenn Chrome zu Google geht — tadaa!
Dieses Netzwerk ist aufgrund unbeantworteter Missbrauchsbeschwerden über böswilliges Verhalten gesperrt. Auf dieser Seite wird überprüft, ob es sich wirklich um einen Menschen handelt, der die Anfragen sendet, und nicht um einen Roboter, der aus diesem Netzwerk stammt.
IP-Adresse: 2001:470:6d:c40:bced:266f:8a1e:ef35
Wie kann das sein?
Ich habe Chrome gesagt, er soll meinen Server verwenden:
Und ja, mein Nameserver macht DNSSEC:
❯ dig +dnssec sokoll.com | grep flags ;; flags: qr rd ra ad; QUERY: 1, ANSWER: 3, AUTHORITY: 5, ADDITIONAL: 6
Was könnte hier falsch sein?
Sind SIE hinter mir her?
Ist eben nur ein Name und nicht notwendig der Bot.
fail2ban vermutet eine DOS-Attacke auf www.example.com und blockt:
root@www:~# fail2ban-client status apache-dos-1 Status for the jail: apache-dos-1 |- Filter | |- Currently failed: 53 | |- Total failed: 1894165 | `- File list: /var/log/apache2/www.example.com-access.log |- Currently banned: 1 |- Total banned: 4 `- Banned IP list: 45.137.22.238
Beginn:
45.137.22.238 - - [02/Nov/2023:20:14:00 +0100] "GET / HTTP/1.1" 302 5289 "-" "Googlebot/2.1 (+http://www.google.com/bot.html)"
Ende:
45.137.22.238 - - [02/Nov/2023:20:15:49 +0100] "GET /pfad/zu/ressource HTTP/1.1" 200 22386 "-" "Googlebot/2.1 (+http://www.google.com/bot.html)"
Dazwischen 1235 Requests — nicht schlecht, Herr Specht! Ist Google völlig durchgeknallt? Aber Moment:
❯ host 45.137.22.238 238.22.137.45.in-addr.arpa domain name pointer hosted-by.rootlayer.net.
Das ist doch gar nicht Google?
Nein, ist es nicht:
❯ whois 45.137.22.238 […] inetnum: 45.137.20.0 - 45.137.23.255 netname: BD-ROOTLAYER-20190805 […] organisation: ORG-RWSL1-RIPE org-name: RootLayer Web Services Ltd. country: BD org-type: LIR address: 134/7 B, Furfura Sharif Road, Darus Salam, Mirpur, Dhaka address: 1216 address: Dhaka address: BANGLADESH
Wenn das Google ist, dann bin ich Jesus.
Trau schau wem!
Heute waren wir auf Usedom am Strand — in Karlshagen.
Nach der Sturmflut gibt es jetzt große Flächen voller Muscheln am Strand, an denen sieht man den Sand nicht mehr. Und die Muscheln verrotten, es stinkt, wenn man in Windrichtung steht, doch ziemlich.
Aber für die Möwen ist es ein Fest.
Da ist kein Sand, das sind alles Muscheln.
Wagenknecht und ein paar weitere verlassen also Die Linke. Deren Aufschrei ist nun groß, wohl vor allem wegen des Fraktionsstatus im Bundestag — ohne Fraktionsstatus gibts weniger Geld und Redezeit.
Mit oder ohne Wagenknecht: Die Linke hat es während ihrer gesamten Existenz, ein paar Jahrzehnte schon, nicht geschafft, die Klientel zu überzeugen, also Arbeiter, Angestellte, kleine Unternehmer, Transferempfänger… Die wählen eher AfD als Linke. Warum das so ist, hat sie ausführlich zur Unzeit analysiert: https://rainer.sokoll.com/?p=7435
Zur Unzeit, weil das Buch im Frühjahr 2021 erschien, im September waren Bundestagswahlen, die Vorwürfe an sie von der Parteibürokratie: Nestbeschmutzung. Ich finde ja, daß “Nestbeschmutzer” eine ehrenwerte Tätigkeit ist, jedenfalls solange schon vorher Schmutz im Nest war.
Wie auch immer, spätestens seitdem war der Riß öffentlich und Die Linke ist für noch weniger Menschen wählbar geworden. Mit anderen Worten: Die Partei hat es verkackt, auf ganzer Linie.
Warum also sollte Wagenknecht dort bleiben, und warum also sollte ihr Weggang der Linken schaden? Oder anders: Warum sollte Schaden bei der Partei “Die Linke” irgendwo außerhalb der Partei schädlich sein?
Ich gestehe, vielmals die Linke gewählt zu haben, in letzter Zeit nicht und mangels Alternativen dann eher Kleinstparteien, welche: fast egal (natürlich nicht NPD und die anderen)
Die Partei “Die Linke” hat sich irrelevant gemacht. Sie wird aus dem Bundestag fliegen und in den allermeisten Landesparlamenten nicht vertreten sein. Und das ist gewiß nicht Wagenknechts Schuld, soviel Blödsinn sie auch in letzter Zeit geäußert hat.
Ich glaube ja nicht, daß sie eine Chance hat, sie selber ist nicht der Typ Volkstribun. Aber eine linke Partei wäre wichtig. Vermutlich wird diese Partei es nicht werden.