Tag Archives: ma-sa

hpe idiocy

Una din firmele mele de idioti favorita este HPE. Ca da, dupa ce lucrezi mult in industria asta ai si firme favorite care’s pline de cretini ca stii la ce sa te astepti :)

Anyway. Cautam un update de firmware pentru un switch, si de candva de anul trecut nu mai este la liber portalul de unde downloadezi software. No biggie, facem cont, downloadam si uitam de el.

Sa nu faca lumea conturi aiurea, te pune sa validezi adresa de mail. Primesti mail, dai click pe link, adresa de email validata, te loghez in contul nou creat.

Ce crezi ca se intampla dupa ce te loghezi in nou cont? Pai te pune sa validezi adresa de mail. Cum? Pai iti dai un mail cu un link pe care sa dai click. Sa fie ei super siguri ca aia e adresa de mail. Ca validarea de la crearea contului nu era suficient de buna.

Trecem peste, tre sa scriu si date de firma. Cineva de la ei a vrut sa fie inteligent(a) si a zis “ba sa vezi jmecherie, tu scrii doar numele firmei si completam noi daca stim informatiile despre adresa, cod postal etc. si tu ne zici daca’s bune si le salvam”. Si fix asa a fost, au gasit adresa corporatiei, au autocompletat acolo lucuri si am dat Next. Am mai scris niste alte info, am dat Finish si a aparut o semi-eroare care trebuie remediata. Dau click pe link-ul spre eroare, si imi zice ca nu e bun codul postal pe care ei l-au pus acolo. Ca are caractere in plus. Pe care ei le-au pus acolo. Am corectat ce era de corectat si s-a inverzit campul ala. Semn ca e totul bine.

Intr-un final am ajuns la pagina de ma interesa, aia cu downloade de firmware. Am bagat PN la switch si primul rezultat e un firmware din 2014. Sortarea rezultatelor era “Most relevant”. Cum s-a gandit cineva ca un firmware vechi de aproape 10 ani e cel mai relevant rezultat…

Dar macar n-am fost dezamagit de cat de cretini au ramas. So yey! Cumva.

Lamulteani!

juniper ex & vmx

VMX

In lumea asta a virtualizarii, si producatorii de routere s-au apucat sa vand variantele virtuale ale produselor lor. Si cea mai simpla treaba e sa vinzi un router, ca acum in zilele noastre cu un procesor multicore poti plimba multe multe pachete dintr-o parte in alta si pana la cativa zeci de gigabiti nu ai neaparat nevoie de un ASIC dedicat pentru asta.

Din varii motive, imi place JUNOS si pe la ce clienti am mai instalat una alta, daca era si Juniper pe lista de producatori acceptati, le propuneam o solutie cu produsele lor. Din categoria oricum toata lumea pune Cisco, hai sa folosim si altceva similar.

Mno, acum cativa ani, a scos Juniper si varianta virtuala a routerelor MX pe care a botezat-o in mod foarte creativ VMX…

E. Toate bune si frumoase. Ideea la Juniper, dar cum e si la restul de producatori, presupune ca ai un “control card” si una sau mai multe “forwarding cards” si alea au ASIC-uri si ce trebuie, si control card-urile doar se ocupa de programare. Easy-peasy.

Ce-a zis Juniper: pai facem la fel, un routing engine si un line card pe care punem cate porturi o fi nevoie. Treaba cu Juniper e ca RE-ul ruleaza un FreeBSD modificat. Pentru line-card au zis ca pot folosi Linux + ceva modificari de la ei sa “mearga repede”.

Si daca vrei un router din asta virtual de la Juniper, tre sa pui doua masini virtuale: una cu FreeBSD si una cu Linux. Nu suna rau in teorie, insa in practica necesita destul de multe resurse. Da sa zicem ca iau un server dedicat pentru asta si aia e.

Din motive care insa imi scapa, Juniper s-a apucat sa foloseasca Windriver Linux, siii…. au inventat un soft care ruleaza intr-un super tight-loop care se ocupa de forwarding-ul de pachete. Si ai un sistem care e totul tipul cu CPU-urile in 100% fara absolut nici un motiv. Zici ca aia care au facut modulul vietii nu stiu ca Linux stie sa proceseze singur pachetele cat mai eficient posibil, nu trebuie sa ti-o arzi prostu cu “sunt pachete? sunt pachete? sunt pachete?” pe queue-urile de primire din kernel.

Si tot in inteligenta lor nemasurata, n-au inteles cum sa-si faca singuri update la JUNOS si daca vrei sa faci upgrade la o versiune noua procesul este interesant de simplu: faci backup la configuratie si la licente (ca logic ca e cu licenta, mai ales ca explica acolo ca e spre binele meu, cum sa nu…), reinstalezi masinile virtuale si re-aplici configuratia si licentele pe versiunea noua.

Da cred ca asta e pretul pe care-l platesti cand ai nevoie doar de 10-20Gbps de routare si nu vrei sa dai 50-60K EUR pe un router “hardware” cand poti scoate totul in 15K cu un server.

Da sa moara bibi, sa nu fii capabil sa faci doua OS-uri sa se updateze singure cu ceva gen snapshot-uri si alte nebuneli…

EX

Tot acum ceva ani, s-a apucat Juniper de facut si switch-uri, ca au auzit ei ca se saturase lumea de Cisco si vor niste switch-uri si mai scumpe. Asa s-a inventat linia de produse EX.

Anii au trecut si au evoluat si switch-urile. Si acum ai un switch care are pentru partea de control are un Linux de ruleaza niste VM-uri care contin softul care vorbeste cu ASIC-urile de pe porturile de switching. Inception modern. Teoria fiind ca atunci cand faci update de OS poti s-o faci online, doar cu o intrerupere minora de trafic. In practica nu prea merge ISSU/TISSU deloc. Dar banuiesc ca vroia si Juniper momentul lor de faima pe care l-a avut Cisco acum 20 de ani cand au inventat Online Insertion & Removal pe 7500, care invariabila rebuta routerul cand cand bagai un card nou. Si asa OIR s-a transformat in Online Insertion & Reboot. Asa si astia, 20 de ani mai tarziu nu poti face online upgrade…

In 2023 Linuxul pe care l-au pus astia pe post de OS este CentOS 6.2. Da, fix ala cu kernel 2.6.32. De nici internetul nu mai stie de el. Si astia se mai lauda ca au si divizii care fac produse de securitate…

De cretinatatea asta cu EX nu vroiam sa scriu, dar m-au scos din minti ca am incercat sa instalez versiunea de OS recomandata de ei pe site, si dupa reboot s-a pisat cu bolta pe mine qemu de pe host ca nus’ce segmente nu ajung nu stiu unde si a durat o vesnicie sa copiez versiunea anterioara de software la 10kB/s prin SCP ca stateau procesoarele in 100% ca au muit virtualizarea. Si sa copiezi aproape 700MB cu 10kB… dureaza ceva.

Cam asa mi-am petrecut un weekend din Ianuarie intr-un datacenter. Macar era mai cald acolo decat afara si am facut un pic de economie la gaze ca am oprit centrala cat am fost plecat :))

Morala povestii e ca nu trebuie avut nici un fel de increde in firme din astea care’s obisnuite sa vanda cutii sa se prieapa la lucruri un pic mai complicate gen virtualizare sau similar.

ubuntu pro rant

root@ops:~# apt upgrade
Reading package lists... Done
Building dependency tree       
Reading state information... Done
Calculating upgrade... Done
The following security updates require Ubuntu Pro with 'esm-apps' enabled:
  redis redis-tools redis-server
Learn more about Ubuntu Pro at https://ubuntu.com/pro
The following packages will be upgraded:
  ubuntu-advantage-tools
1 upgraded, 0 newly installed, 0 to remove and 0 not upgraded.
Need to get 173 kB of archives.
After this operation, 3072 B of additional disk space will be used.
Do you want to continue? [Y/n] y

Azi avusei neplacuta surpriza sa fac niste lucruri pe o masina si sa aflu ca daca vreau update-uri la Redis pe Ubuntu LTS trebuie sa dau niste bani. Gen $400/an pe masina.

Si abia ce terminasem cu hatereala fata de aia de la RedHat care si-au batut joc de CentOS ca sa forteze lumea sa cumpere subscriptii de RHEL.

migra

Viata fara drama e pustiu.

anca14

Mno, saptamana asta a trebuit sa ma car aproape de pe o zi pe alta pana in Tijuana sa lipesc cu banda adeziva niste lucruri de-un tavan. Bine, impropriu spus, sa ma duc sa lipeasca niste oameni niste lucruri de tavan si eu sa vad daca e bine sau nu.

Am gasit cea mai lunga combinatie de bilete doar ca sa imi iasa o conexiune in MEX ceva mai lunga, ca dureaza un pic procedurile de imigrare acolo. Dupa un zbor de 12 ore si un pic, din care 11 si ceva efectiv in aer, am ajuns oarecum pisat de somn in MEX. Mi-au facut acolo semn niste oameni pe scria Marina la ce ghiseu sa ma duc, m-am dus, si bai fix in fata mea s-au nimerit doi care nu erau foarte siguri de ce au ajuns acolo si nici pe tipul de la imigrari nu l-au convins ce cauta in Mexic. Nici in engleza, nici in spaniola. Le-a luat pasapoartele si a mai chemat pe cineva sa se uite la ele.

O tantina tot de la Marina mi-a facut semn sa ma duc la alt ghiseu ca a vazut ca acolo se lungeste treaba, m-am dus, am dat de o tipa, m-a intrebat ce fac la ei in tara, zic business, uite aici hotel si bilete de intoarcere, stau un pic de tot. Imi zice bine, treci.

Am trecut, am mai verificat o data ca bagajele o sa ajunga la destinatie si nu trebuie sa le transfer eu de pe o banda pe alta, ca anul trecut asa a fost. Nup, ajung direct la destinatie. Zic ce tare.

M-am plictisit de moarte vreo 3 ore pana la urmatorul zbor. Eu la momentul asta cam nedormit de vreo 24 de ore cred. Zborul spre TIJ a plecat cu intarziere si a ajuns cu intarziere. Am incercat sa dorm un pic, da nu prea mi-a iesit, mai mult am motait. Ocazie cu care am mai schimbat doua fuse orare.

Well, in TIJ fix inainte sa ma duc sa-mi ridic bagajele filtru de la imigrari. Le zic ca vin din MEX si am facut acolo formalitatile, nu conteaza, da pasaportul. Le dau pasaportul, eu si cam toti de nu eram mexicani si am ramas intr-un fel de tarc.

Dupa o vreme ma intreaba unul cu ce treaba in Mexic, zic business, incerc sa-i explic incet combinatia, si imi zice ca pentru business imi trebuie o scrisoare de la locul unde ma duc. Ii zic evident ca n-am, ca habar n-aveam de asta si zice ca ar fi bine sa produc una.

2 noaptea in Tijuana. Eu nedormit de aproape de 30 de ore, m-am trezit instant.

Sun pe responsabilul de aici, oha. Ca na, numar necunoscut, ca m-a dus creierul nu stiu cum sa-mi iau un SIM in MEX, ca poate nu merge WiFi in TIJ si sa nu bananani aiurea dupa Uber.

Dau mesaj sa-i zic cine-l suna, mai bag o fisa cu telefonul. Si vine altul de la imigrari, ca n-ai voie sa suni, doar mesaje. Zic bine sefu, dam mesaje. Ii dau la asta mesaj, 2 noaptea, probabil tragea basini in somn grupa mare. Ii dau mesaj la seful lui, ca tot era dimineata spre pranz in Europa, nici ala n-a raspuns, ca probabil sedinte sau ceva.

Dau mesaj in .ro, in timp ce astia ma intrebau unde e scrisoarea. Sa nu mai zic ca luau telefoanele de la oameni de li se parea lor ca vorbesc cam mult la ele sau ceva. In .ro lumea mai alerta, mi-a raspuns, “bai m-a oprit immigration, trebuie sa scrieti o poveste”, se mai activeaza si altii de prin Europa intre timp. In timpul asta ma bucuram ceva, si vine unul sa-mi ia telefonul. I-am explicat ca mi-a zis colegul lui sa dau mesaje sa obtin scrisoare, cu el pe masa sa vada ce scriu, nimic dubios… ma lasa sa scriu.

Intre timp, au inceput sa incoloneze oamenii si sa plece primul grup la un centru de imigrari. Not fun. Unul de la imigrari imi zice ca “better hurry up, you don’t have much time”. Pai da, ca asta era ce-mi doream, sa dorm cu altii printr-o celula ca n-am scrisoare. Ii zic ca uite, incerc, si sunt aproape. Da din umeri si pleaca.

Deja eram pe mesaje cu “sa va grabiti ca ma iau astia”. Tot butonam acolo si asteptam raspuns, cand zice unul in spaniola ceva de genul: e un roman p’aci si n-are “scrisoare” sau acte, ca spaniola pricep cat sa comand tacos si bere p’aci.

Intre timp imi aduce unul bagajele, ca nu ajunsesem la banda sa le iau.

Vine un ce cred eu supervizor, si imi zice care e problema. Ca pe pasaport zice pe stampila ca-s turist, dar eu le-am zis business si ca nu e bine. Ma compun un pic, ii explic ca uite, am mai fost o data, tot asa am zis business si nu stiu ce scrie pe stampila si care e problema, dar am bilete de intoarcere, hotel scump ca asa e cand iei de pe o zi pe alta, le zic adevarul. Se lumineaza un pic, cauta in pasaport stampila de data trecuta, vede ce scrie acolo, si imi explica ca uite, acum scrie T si trebuia sa scrie N (Negotio = Business) si ca nu e ok. Ii mai explic si astuia ca m-a intreba tipa din MEX ce si cum si i-am zis business si ca pana sa-mi arata eu nu stiam ce e cu literele si cifrele pe stampila. I-am explicat cum se cheama unde ma duc, adresa, chestii din astea, a cautat pe Google Maps sa vada ca exista si cum. S-a mai uitat prin pasaport, a vazut toate gramezile de stampile de US si de alte tari, s-a gandit un pic si mi-a dat pasaportul. Cu mentiunea ca trebuie scrisoare daca e business cu adresa cu ce trebuie sa poata verifica ca exista firma si ca nu-i intereseaza foarte tare ce-o sa fac acolo cat timp arata scrisoarea bine.

Ba imi venea sa-l iau in brate, ca astia in spate deja aranjau in sir indian al doilea grup. Si cu vreo doi copii mici plangand, cu tot tacamul, ca la televizor.

Acum to be fair cum se zice, aveau si astia suspiciunile lor, da mai mult pe natiile din apropiere, ca – nu mai stiu daca dupa mine sau inaintea mea, ca eram confuz cu ce se intampla, ca la un moment dat l-au intrebat pe ce cred un american cu ce treaba in Tijuana. Si dialogul a fost ceva de genul:

  • Cu ce scop in Tijuana?
  • Turism.
  • Si ce vrei sa vizitezi, pe unde vrei sa te duci?
  • Nu stiu.
  • Pai si cum te-ai decis sa vii aici daca nu stii?
  • Mi-au zis niste prieteni ca e frumosa vremea acum.
  • Cine crezi tu ca face turism in al cincilea cel mai periculos oras din lume?
  • (pauza)

De asta uitasem pana azi acu. Fix cum dadeam sa virez stanga sa ies din terminal vine si scrisoarea semnata frumos, in care le explica ca sunt baiat bun si nu vreau sa imigrez la ei in tara. Si ca semnatarii scrisorii platesc toate alea cat stau eu p’aci.

A fost si un pic de aventura cu Uber ca erau inchise sosirile si a trebuit sa merg cu geamantanele dupa masina pana in afara aeroportului.

Problema e ca era trecut de pranz in Romania si eu nu puteam sa dorm, ca “I was this fucking close” sa petrec noaptea prin alte locuri decat pe unde-mi imaginam.

Fun times.

linkedin app

Din motive profesionale mi-o mai ard si pe LinkedIn, ca mai aflu una alta. Trecand peste faptul ca toata lumea de pe LinkedIn traieste intr-un univers paralalel[1][2][3], informatiile prezentate acolo sunt okish. Si mai apuc si sa trollez pe unul sau pe altul.

Anyway, articolele acolo sunt de doua feluri: posturi de LinkedIn sau link-uri la articole pe care le vezi in browserul din aplicatie. Care cred ca tot un Safari e, da mai ascuns asa.

E, inteligentii aia de PO si programatori de la Microsoft au venit cu cea mai retardata idee: daca cumva inchizii aplicatia ca esti intr-un apel telefonic si termini peste 5-10 minute apelul, cand te intorci in aplicatie iti face refresh la tot feed-ul. Inclusiv daca ramasesei citind un articol si erai pe la jumate. Pula sa ramana de unde ai lasat-i si sa-i dai tu refresh.

Nu boss, n-ai citit la timp, soarta. Ca uite, a mai scris gigel ce darnic a fost el azi cu un caine pe strada si ce fluffy l-a facut asta sa se simta pe interior. Si Ionela care si-a invins emotiile si a avut o discutie cinstita cu un subordonat si l-a indrumat cum sa evolueze in corporatie.

Srsly, ce pula calului? E asa greu sa faci o aplicatie care sa nu-si dea refresh la cinci minute ca vrei sau nu vrei? Ce sloboz de woke shit e asta?

[1] https://every.to/cybernaut/linkedins-alternate-universe-21780381-7883

[2] https://imirzadeh.me/post/linkedin/

[3] https://news.ycombinator.com/item?id=25320536

ing si parolele

Astia de la ING inca sunt convinsi ca schimbatul parolelor des ajuta la securitate. Da sa zicem ca poate lache a[l|i]a/ de la compliance n-a mai pus pana pe o carte de securitate in ultimii zece ani si a ramas fixat ca trebuie parola schimbata la 6 luni.

Anyway, imi apare promp sa schimb parola, zice browseru “Sefule nu vrei tu o parola d’aia smechera facuta pe comanda doar pentru site-ul asta?” – pai cum sa nu, dau acolo OK imi pune in campurile alea parola si ce ce zice site-ul de la ING?

Baa, pai cum sa zici ma ca nu e cea mai tare parola pana la capat? Ce se asteptau? Sa pun ca parola ]vlBJ~Se{7,ek;0) si sa-mi zica dupa ca nu e suficient de lunga? Sau se asteptau s-o tin minte?

Ba, mai puneti si voi mana pe o carte d’asta de cybersecurity cum se cheama acu domeniul asta si mai vorbiti si cu altii din domeniu, nu mai vorbiti doar voi astia de la banci intre voi, ca e mai rau ca intr-un echo chamber.

jocul d’a securitatea in IT

De cand mi-o ard prin IT-ul asta, mare parte din timp mi-am petrecut-o si mi-o petrec in ceea ce lumea numeste cybersecurity, sau cum au tradus prostii aia de la academia rromana sau ceva: securitatea cibernetica.

Distractia asta e cam asa: tu ca si firma pui pe internet niste jucarii si niste baieti si/sau fete incearca sa-ti strice jucariile. Si pentru asta iti pui firewall-uri, antivirusi (antimalware acu), WAF-uri, IPS-uri, anti-zloboz etc. Si dupa aia te lauzi peste tot ce ce sigur esti :))

Din cand in cand mai apare prin presa ca o mai suge pana la cotor cate o firma din asta de e tare in gura pe security. Gen Microsoft, Solarwinds, Okta etc. Si multe alte firme mai mici.

Pe langa astia, sunt tot felul de alti omuleti care ar vrea ca aia de le-au dat-o astora sa infunde puscaria, ca nu e frumos ce-au facut, ca nu este legal, ca e furt, ca morti si raniti.

Opinia mea e ca in toata distractia cu cybersecurity, aia de reusesc sa sparga una alta si sa obtina informatii ar trebui premiati din oficiu. Ca sunt mai destepti decat aia de au programat sau configurat prost sisteme. Necesita mai multa inteligenta sa dai in cap la un sistem fara nici un fel de cunosinte despre el decat e sa-l configurezi prost cu toate informatiile despre el.

Si niste carnati isi doresc ca astia sa intre la parnaie. Ca si cum daca pierzi un joc de StarCraft online sa vina militia sa-l aresteze pe ala de te-a facut din butoane.

Asta e primul of cu starea industriei, ca de fapt toata lumea cumpara si sper sa fie bine, da nimeni nu vrea sa depuna efortul ala sa faci lucrurile ca la carte. Cum era acum multi ani, cand au zis aia de la BNR ca poti avea internet banking, o cerinta era ca fie dai bani la o firma sa faca “code audit” pe aplicatie sau sa-ti pui un WAF, ca sa asiguri cumva securitatea datelor. Cre’ca toate bancile si-au pus WAF, au bifat cerinta si si-au vazut in continuare de aplicatiile lor de cacat de internet banking – pentru cine e suficient de batran sa-si aminteasca ce oribile erau site-urile alea. Si exemplele pot continua.

Al doilea of pe care-l am, e cu “initiativa” diverselor companii de software cu notiunea de “responsible disclosure”. Adica gasesti o vulnerabilitate, o raportezi doar lor, si astepti cuminte s-o fixeze cand au ei chef si dupa faceti un fel de “press release” comun in care tu cercetator iti asumi creditul ca ai gasit problema si aia ca uite, au rezolvat-o ca’s baieti buni.

Eu cred ca daca erau baieti buni nu scriau cod prost. Si ca imediat cum gasesti o vulnerabilitate s-o dai la liber sa foloseasca fiecare cum doreste informatia respectiva. Si atunci sa vedem daca firmele astea sunt bune si scot imediat un fix sau ii doare la banana si doar plang ca li s-a stricat planning-ul ca uite, acum trebuie sa fixeze ceva ce au facut prost de la inceput. Si ca din cauza cercetatorilor pot sa sufere clientii – alt text care-mi place maxim cand e folosit de lenesi.

lucratul la o agentie UE

In 2020, pe la inceput de pandemie ma gandeam ca hai ca poate o sa fie pe bune pandemia asta, vine apocalipsa si zic sa nu mor prost sa nu vad si eu cum e sa fii contractor la UE.

And how luck would have it, cum zic prietenii mei de peste ocean, am dat de unii de cautau pe cineva pe security si in acelasi timp sa faca mai multe lucuri: de la endpoint la network si ceva IAM pe la mijloc. Interviul in sine a fost o discutie de o ora in care toti aia prezenti m-au intrebat daca am lucrat cu X, Y si Z si sa le dau niste exemple. Destul de pe repede inainte toata treaba.

Contractul asta era B2B si era un trenulet asa de firme intermediare pana la clientul final, ca deh, toata lumea trebuie sa manance ceva.

Dupa un pic de certat cu firma prin care urma sa facturez pe aia cu care faceam treaba la agentie, ca initial mi-au dat un contract prin care trebuia sa vin cu bani d’acasa daca stranutam in directia gresita sau nu clipeam cum trebuie si alte clauze contractuale sa zicem interesante, am reusit sa ne intelegem.

Vreo trei luni am lucrat “remote” pe un proiect “air gapped” :)) Bine, sunt un pic carcotas, ca a fost frumos, am citit documentatie pe bani de Europa la costuri de .ro. Si nici nu mi-a venit somn cand citeam cum mi se intampla de obicei cand citesc.

Proiectul presupunea si munca on-site – ca security & stuff.

Si ajung eu in orasul unde era agentia intr-o miercuri ca joi trebuia sa fac treaba la prima ora. Joi la prima ora n-am facut treaba ca nu eram pe lista de intrare. Si nici urmatoarele doua saptamani n-am fost pe lista de intrare. Si am mai muncit un pic remote sa citesc documentatie si sa am teleconferinte cu diversi oameni povestindu-le ce chestii jmechere o sa le fac dupa ce ma lasa inauntru.

Intr-un final glorios, m-au pus pe lista de intrare. Mi-am frecat palmele, si zic, gata, sa facem si treaba pe bune, ca de vorbit toata lumea se pricepe.

M-am dezumflat repede, ca din cauza de securitate, nu puteam sa-mi pun laptop-ul in retea si sa fac treaba, era musai sa folosesc un calculator de-al lor. Care avea nevoie de utilizator si parola. Pentru care a mai durat o saptamana si un pic sa le primesc.

Si dupa ce le-am primit si le-am scris cu chiu cu vai pe o tastatura frantuzeasca, m-au pus sa schimb parola. Pe o tastatura frantuzeasca si cu OS-ul pus pe tastatura QWERTY. Sa zicem ca nu a fost asa amuzant pe cat suna.

Dupa ce m-am logat pe calculator, a mai durat cred ca vreo saptamana asa sa mearga ping-ul.

Pentru cine mai zice ca in vest lucurile sunt organizate, sa suga preventiv o ceapa.

Asta a fost inceputul.

Pentru o entitate care avea treaba cu IT-ul, era foarte paranoia cu securitatea fizica. Primii oameni pe care i-am vazut cu gard electric in jurul sediului. Intre alte doua garduri.

Dar nu asta era problema. Ci faptul ca in fiecare dimineata trebuia sa arat buletinul la un paznic, care sa vorbeasca cu alt pazic sa deschida o usa. Dupa care sa dau iar buletinul la altul sa ma scrie pe o foaie. Dupa care sa trec printr-un detector de metale si sa bag rucsacul la X-Ray. Dupa care sa dau buletinul la alti oameni, care sa-mi ia amprentele si sa-mi dea o legitimatie sa pot sa deschid o usa.

Acu, cu detectorul de metale era o schema: daca aveai ceva bluza cu fermoar trebuia data jos, daca nu, nu trebuia. Si uite asa am purtat aceeasi bluza in fiecare zi, care n-avea fermoar, doar de-al dracu’ sa nu le dau satisfactie cu regulile lor de cacat.

Astia de la security erau mai mult pe principiul noi muncim, nu gandim. Si incercau sa fie amuzanti prin a schimba regulile de intrare. Cea mai tare chestie, not. Adica ori trebuia lista data zilnic, ori saptamanal. Sau cardul primit mergea la niste usi intr-o zi si a doua zi nu mai mergea la aceleasi usi… Cam in fiecare saptamana jucam un joc din ala in cap in care eram curios daca o sa ajung la birou sau o sa raman blocat pe la vreo usa :))

Asa, cu securitatea fizica, sa continui. Intr-o zi ajung acolo, trec de primii doi, dau sa trec prin detectorul de metale dar in el era unul pus care-mi face semn sa ma opresc. Se da in spate si imi face foarte protocolar asa semn sa trec. Se uita la mine ca la butelie. Si il intreb care-i combinatia, ca de obicei era unul singur acolo. Si imi raspunde senin: sa fim siguri ca treci prin detectorul de metale. Ma uit la el, ma uit la gardul din stanga si dreapta detectorului si ii zic ca n-am pe unde altundeva sa trec. Asta fara sa clipeasca: da, dar trebuie sa fim siguri. Am mai clipit o data ca nu puteam sa-l injur.

Tot asa intr-o zi, in timp ce-mi scanau suba de iarna ca nu cumva sa introduc ceva ilegal in curtea lor, se opresc, mai cheama pe vreo doi si panica mare. Ca e ceva in suba si ei sunt de parere ca e un cutit. Eu zic, ba n-am cutit, ca nu-mi trebuie. Ei nu, ca e metalic si uite e ascutit pe scanner. Si deschid buzunarul la geaca sa le arat la destepti ca nu e ce cred ei ca e. Si era telefonul care se pusese la miscare cumva pe o muchie si statea in picioare. Acu mi-ar placea sa pot sa injunghii pe cineva cu iPhone-ul, dar nu prea se poate :))

Din motive care-mi scapa si in ziua de azi, aveau o obsesie cu apa la tine. Nu ca era ilegal, da cand le aparea apa pe ecranul ala de la X-Ray, sa moara Bibi, incepeau sa se agite de parca o gasisera pe Elodia. Distractia asta a culminat intr-o zi cand m-a pus unul sa deschid sticla de apa sa fie el sigur ca e apa inauntru…

Intr-o alta zi, tot inteligentii astia de la paza au zis sa organizeze un exercitiu de incendiu. Si in loc sa dea alarma si sa astepte sa iasa lumea, au dat c-o grenada fumigena in sala de mese, “sa fie real” – dupa spusele lor. Si a fost bine, ca le-a iesit la final e ca au scapat peste 90% din oameni din cladire, “grate success” si aia a fost.

Asa, pe partea cu apasatul butoanelor n-a mers mai grozav. Ca nu e cum stiam eu cu statul din .ro, unde faceai treaba, oamenii erau multumiti ca merge, mai scriai acolo si un pic de documentatie si iti vedeai de viata.

Nu, aici prima oara scriai un eseu despre ce vrei sa faci si il trimiteai la revizuit. Si primeai inapoi comentarii foarte pertinente precum:

  • culoarea fontului nu este corecta
  • la paragraful 2 nu a fost indentata corect o lista
  • pe FTP se downloadeaza, nu se transfera
  • nu se face update de software, se face upgrade de software

Si corectai ce ai scris gresit, si mai trimiteai o data. Intr-un final ti se aproba esesul si puteai sa apesi niste butoane.

Cireasa de pe tort? Toate comentariile astea le primeai intr-un Excel in care trebuia sa scrii si ca ai remediat problema. Si dupa ce trimiteai documentul nou cu tot cu Excelul, se stabilea ziua de revizuit in care intram multi oameni intr-o teleconferinta si era asa o schema: le aratam Excelul, unde ziceam ca am remediat, dupa care le aratam documentul unde se vedea ca am remediat si dupa aia scriam in Excel ca intr-adevar s-a remediat ce era de remediat. Si la fel scriam si in document ca am remediat ce era de remediat folosind comentarii.

Macar nu faceam conferinte cu video, ca probabil m-ar fi concediat daca ma vedeau cum le arat pula la fiecare comentariu cretin pe care trebuia sa-l justific…

Asa am aflat ca e nu pot sa ma duc de capul meu cu un computer sa-l conectez pe seriala la un echipament, ca daca pun virusi pe echipament la 9600bps? Nu mai bine ma supravegheaza cineva cand dau comenzi? Si mai bine ca cine ma supraveghea nu avea treaba cu IT-ul? Because fuck logic, that’s why.

Atatea chestii retardate la un loc n-am vazut niciodata. Si nu ca n-am vazut, da’ erau la nivelul ala la care nici nu te gandesti ca ar putea fi.

Proiectul la care lucram in teorie era misto, in practica a iesit o struto-camila atat de complicata ca sa dea dracii cand s-o strica ceva ca nimeni n-o sa stie de unde s-o apuce. Si nu neaparat asta, da am descoperit ca’s oameni de operatiuni care nu stiu sa citeasca un mesaj de eroare si sa-l interpreteze. Si un sa zicem stack trace, din alea simple, gen “Ce inseamna Connection Refused”. True story :(

As mai fi scris, da imi incalc zecile de pagini de NDA pe care a trebuit sa le semnez.

Anyway, acu pot sa o bag p’aia ca am si experienta la UE :))

ios-xe port channels & switchports

Am avut prin August un mic proiect sa bag niste Layer 2 peste balta la un client. In general, daca nu am constrangeri, folosesc Juniper pe switch-uri managed L2/L3 din motive de obisnuinta, familiaritate etc.

Anul asta, din cauza de pandemie si timpi de livrare mari, peste 4 luni in medie, am pus niste Cisco Catalyst cu IOS-XE.

Mno, pentru redundanta & stuff, sunt mare fan bundle-uri de X x 1GE sau X x 10GE (in functie de nevoi & stuff).

Pe Juniper, la modul cel mai simplu, un port channel se cheama o interfata ae (aggregated ethernet) si se configureaza in doi pasi.

Prima oara ii zici la interfata fizica din ce port-channel face parte:

ge-0/0/0 {
    description "to xyz vmnic0";
    ether-options {
        802.3ad ae1;
    }
}

ge-1/0/0 {
    description "to xyz vmnic1";
    ether-options {
        802.3ad ae1;
    }
}

Si dupa configurezi si interfata de port channel:

description "to xyz";
mtu 9216;
unit 0 {
    family ethernet-switching {
        interface-mode trunk;
        vlan {
            members [ v101, v121 ];
        }
    }
}

Easy peasy lemon squeezy.

Cu Cisco nu prea am avut treaba in ultimii ani, si am zis ca hei, trebuie sa fie la fel din ce mai tineam eu minte de and era la moda sa fac PAgP pe IOS clasic.

E, e cam la fel si pe IOS-XE. La nivel de interfata ii zici:

interface TenGigabitEthernet1/1/3
 channel-protocol lacp
 channel-group 1 mode active
 lacp rate fast
!
interface TenGigabitEthernet1/1/4
 channel-protocol lacp
 channel-group 1 mode active
 lacp rate fast
!

Si dupa configurezi interfata PortChannel1

interface Port-channel1
 switchport trunk allowed vlan 101-121
 switchport mode trunk
!

E, si te astepti ca la un “sh ru” sa vezi prin configuratie fix acelasi lucru.

Dar nu, IOS-XE e cu “surprise motherfucker”, si zice asa:

interface Port-channel1
 switchport trunk allowed vlan 101-121
 switchport mode trunk
!
interface TenGigabitEthernet1/1/3
 switchport trunk allowed vlan 101-121
 switchport mode trunk
 channel-protocol lacp
 channel-group 1 mode active
 lacp rate fast
!
interface TenGigabitEthernet1/1/4
 switchport trunk allowed vlan 101-121
 switchport mode trunk
 channel-protocol lacp
 channel-group 1 mode active
 lacp rate fast
!

Cand am vazut asta, zic ma oi fi fost io obosit si am scris gresit, si am bagat configuratia si la interfata si la port channel. Si m-am mancat in cur sa “repar” de la distanta treaba asta. Si am sters configuratie de switchport si trunk de pe te/1/1/3. N-a fost chiar cea mai buna idee a mea.

Dupa ce am reparat printr-o sesiune de TeamViewer problema, in sensul ca am facut de la zero toata configuratie de port channel, m-am dus sa ma culc ca se facuse tarziu la mine.

Fast forward vreo 2-3 saptamani, iar a trebuit sa umblu un pic la switch-uri sa mai adaug ceva VLAN-uri, si bam, iar configuratie de switchport pe interfetele din port chanel. Si eram, ba da am sters si-am pus la loc. Ce mortii ma-sii se intampla. Si atunci mi s-a aprins un pic beculetu, si zic ia sa vad daca adaug un VLAN pe interfata de port channel, se pune si in configuratie la interfetele care formeaza port channel-ul?

Raspunsul e da. Si uite asa am invatat eu ca IOS-XE mirroreaza configuratia de pe PortChanel pe interfetele prinse in port chanel.

Nu e mare inginerie treaba asta cu un port channel intre 2 switch-uri, dar lucrurile par complicate cand nu prea ai parte de experienta pe niste echipamente si lucrezi cu ele doar din joi in pasti. Exista si un termen sa zicem stiintific pentru asta: skill fade. Si problema e ca ti se pare ca stii, da de fapt nu prea :(

google cloud support

Una din corporatiile pe unde ma mai duc la produs are chestii in GCP. Si pe acolo am facut si eu un proiect sa tin cateva VM-uri, nimic complicat. VM-urile alea trebuie sa vorbeasca cu niste componente care sunt intr-una din locatiile clientului. Pentru asta am facut un tunel IPSec intre GCP si locatie.

Asta se intampla la inceputul lui August. Acu vreo saptamana, intr-o luni, ma suna omenii din locatia respectiva ca “nu mai merge ping-ul din google la ei in locatie”. Ma uit si eu, si chiar nu mai exista conectivitate. Ma uit pe acolo prin dashboard-ul de la GCP, toate verzi. Ma uit la mine, toate verzi.

Au astia la GCP un “Connectivity tester” si alea zicea ca poa sa dea ping. Nu chiar pana la capat, da a dedus el ca ar trebui sa mearga. Nu vroia ping-ul ala sa mearga neam. Am sapat pe acolo prin loguri pana mi-au sarit mucii, nimic util. Zic bine, hai sa pun tcpdump sa vad ce si cum.

Dau ping din locatie intr-un VM din GCP, ajung pachetele la ala, raspunde la ele, la mine in locatia ajungea fix o pula. M-am scremut un pic sa fac o captura de pachete la mine, ca firewall-urile astea enterprise sunt la fel de utile ca igrasia cand ai de debugat, ca abia poti vedea una alta. Nimic util, nici un pachet.

Zic trec la planul B, imi fac un Linux cu Strongswan si vad pe ala ce se intampla, ca macar pot sa-l debughez calumea. Mai fac repede un tunel cu GCP, se ridica imediat, dau ping, la fel, ajungeau cum trebuie pana acolo, cand sa se intoarca… se intorceau prin gura.

Ma zic, nu e de la mine, hai sa vad daca e de la astia. Ca na, se mai strica si cloud-ul din cand in cand si zic poate pot sa-mi zica si mie daca din “Google Cloud VPN” ies pachetele cum trebuie, ca era pe traseu singura necunoscuta.

Dau acolo $100 sa pot sa deschid caz, fac cazul cu toate astea si in vreo doua-trei ore asa imi raspunde un baiat ca s-a uitat el prin loguri si problema e ca e de la mine, ca nu stie VPN-ul de la mine sa faca tunele ESP, ca zice clar in loguri ca “ESP_TFC_PADDING_NOT_SUPPORTED” si ca sa il configurez sa faca tunele cum trebuie. Si ii zic, bosulache, ia fii atent aici schema: pleaca pachetele de la mine, ajung la voi, VM-ul meu raspunde la ele, dar de la voi ciuciu, deci nu ca nu fac eu tunelul cum trebuie. Si i-am explicat si ce cacat e TFC, sa nu mai aibe idei pe langa daca mai vede asta vreodata. Asa mult imi displac oamenii astia de la suport pe care-i doare in pula de problema ta si cauta repede “error” in loguri ca poate, poate e de la tine ceva si nu trebuie ei sa faca nimic.

Aproape o zi liniste, gen vreo 21-22h de liniste de puteai sa auzi pachetele pe cablu. Mai bag o fisa si upgradez la $250 sa pot sa apas pe butonul de escalate, in ideea ca o sa ma bage cineva in seama. Intr-o ora-doua asa imi raspunde iar baiatul asta si zice ca da, interesant, dar poate e din cauza ca am firewall pus si de aia nu merge. Ii trimit screenshot cu “n-am nimic pus”, si dupa mai raspunde tot asa un pic cu intarziere ca este posibil sa necesite investigatii amanuntite treaba asta si sa completez un template de sloturi disponibile sa facem un call cu screen sharing sa se uite si aia sa vada ce si cum.

Ne intelegem la un slot orar pe la 10 noaptea la mine si ma paseaza la o alta echipa. Se face ora, intra doi in call si le arat exact ce si cum, fix cat puteam sa vad eu loguri in GCP acolo. O ora jumate si dupa ce am trecut cred ca de 4-5 ori prin fix aceleasi meniuri, loguri, pasi. M-au intrebat si astia daca n-am firewall, le-am aratat ca nici macar iptables nu aveam pe una din masini. Astia foarte “thorough” asa, au vrut sa vada de cel putin vreo 2-3 ori daca chiar n-am firewall pe masini. Si intr-un final mi-au zis ca ei n-au acces asa sa vada ce se intampla cu VPN gateway-ul lor si daca scoate pachete cum trebuie.

Dimineata imi dau mail ca “fii antena, tre sa dezactivezi VPC mode auto, ca de aia nu-ti merge ca ai facut VPN-ul gresit”. Zic babaieti, mergea de vreo luna jumate pana cand brusc n-a mai mers. Si a doua la mana, mai am un VPN facut tot asa, fix in proiectul asta care ala n-a sughitat deloc. Nu mai bine reparati voi ce-ati stricat si sa faceti sa mearga lucrurile asa cum erau inainte?

Si ce sa vezi, alt mesaj cu “Nu, la noi e ok, daca schimbi cum ti-am zis o sa mearga, ca asa cum e acum nu are cum sa mearga”. Le mai dau o data screenshot-ul ala cu alt VPN mergand, l-au ignorat cu succes si au tinut-o pe a lor.

Pentru ca statea productia, am facut ce vroiau ei si a luat-o. Doar, doar sa nu se uite la ei sa vada ce sloboz au stricat si sa repare.

Din tot ce am investigat si asa, parea destul de clar ca era o problema de rutare pe undeva prin burta lu’ GCP, ca pachetele ajungeau teoretic unde trebuie, doar ca nu erau criptate mai departe si trimise la mine.

Am trecut in 3 zile prin 4 oameni, unu’ cu cea mai mare durere posibila in pula, altii doi un fel de Lolek si Bolek, ei nu stiau, da erau convinsi ca nu poa’ sa fie de la ei, si un al treilea la care am tipat ca si asta era “noi nu gresim”. Doar, doar sa nu dea un tcpdump la ei sa vada daca ies pachetele cum trebuie sau daca nu ies, sa vada de ce nu ies.

M-au umplut de spume, ca in primul rand i-a durut fix in cur de problema, probabil daca nu dadeam mai multi bani sa pot apasa butonul de escalate raspundea baiatul ala cand ii mai venea lui cheful, probabil peste cateva zile dupa ce-si facea siesta. In al doilea rand au facut tot posibilul sa nu investigheze ceva pe partea lor. In al treilea rand ca mi-au dat un workaround pe post de solutie, desi nu cred ca a fost vreun mesaj in care sa nu le amintesc ca “a mers si brusc n-a mai mers”. Si in al patrulea rand pentru “stonewalling” si faptul ca desi le aratam ca merge ce ziceau ei ca nu merge, insistatau ca nu are cum – ba cu poza in fata gen, ei erau cu “nu merge, ti se pare”.

Ca si cu multe altele, e bine sa n-ai probleme cu cloud-ul, ca daca ai, o sugi cu gratie ca nu-i pasa nimanui de la suport sa-ti rezolve problema.