Kaum ein anderes Element ist so essenziell für das Internet wie das Domain Name System. Ruckelts mal im DNS, reagieren Webseiten und überhaupt alle Internetanwendungen gleich langsamer oder gar nicht. Doch um Fehlerursachen zu ermitteln und zu beseitigen, brauchen Firmen- und Heim-Admins ein weitreichendes Verständnis der Zusammenhänge.
All posts by Johannes Weber
It’s Always DNS! @ SharkFest’23 EU
This time (2023) at the yearly Wireshark Developer and User Conference in Europe, I gave a talk about DNS. How could it have been any different –> The title simply had to be ‘It’s Always DNS‘. 😂
“This session dives deeper into the Domain Name System, covering recursive vs. iterative DNS queries, resource records types, TTL & caching, DNS errors, a little DNSSEC, flags, and of course: Wireshark with its useful display filters, custom columns, colouring rules, and so on. And we will explore some other tools to analyze and troubleshoot DNS even further.”
You can watch the whole session and download the slides. And you can do the six challenges at the end of the session as well. (The answers are not in the PDF, but shown in the video.)
It’s Always DNS – Poster
We all know the DNS, right? But when we need to troubleshoot it, it’s getting much more complicated than initially thought. DNS ≠ DNS ≠ DNS. And unfortunately: It’s Always DNS.
To get a better understanding of those different kinds of DNS servers (authoritative vs. recursive), DNS messages (recursive, iterative, zone transfer, …) as well as other techniques (conditional forwarding, DoH, …), I draw a poster to have it all at a glance! Here it is:
Wallbox: Die Qual der Wahl
Die Aufgabenstellung war klar: Eine Wallbox fürs Eigenheim muss her, schließlich ist das Laden an öffentlichen Säulen ein Trauerspiel. Aber die Entscheidung, welche Wallbox es sein soll, war dann alles andere als leicht. 🥴 Welche Kriterien muss eine Wallbox erfüllen? Welche Kriterien gibt es überhaupt? 22 kW? PV-Überschuss, und wenn ja, wie? Integrierter Stromzähler (MID-konform?) und Authentifzierung per RFID? Dann aber bitte auch getrennte Zähler pro User. Wie sieht es mit Schnittstellen aus? OCPP, evcc? Und gibt es auch eine (gute!) App?
Uiuiui, das war eine längere Prozedur als ursprünglich geplant. Viele DuckDuckGo-Recherchen, YouTube-Videos, persönliche Interviews und Testberichte später war meine Shortlist dann zwar kleiner, aber immer noch nicht offensichtlich. Hier fasse ich meine Gedanken mal zusammen und liste meine Tabelle als Entscheidungsgrundlage auf. Möge es euch dienen und weitere Diskussionen entfachen. 😂
Laden an öffentlichen Säulen: Ein Trauerspiel!
Seit einem Monat fahre ich erstmalig ein E-Auto. Und ebenso positiv euphorisch bin ich an das Laden an öffentlichen Säulen herangegangen. Dazu gab es auch allen Grund: Überall sieht man solche Stationen aus dem Boden sprießen und auch die Tank-App zeigt einem, wie dicht besiedelt Autodeutschland mit selbigen ist.
Die Ernüchterung folgte prompt: Bei meinen ersten zehn Ladeversuchen haben fünf nicht geklappt. Fehlerraten = 50 %. Ungelogen! Nahezu jeden erdenklichen Grund habe ich bereits erlebt. Die Daten in den Apps sind falsch, die Ladestationen dann doch nicht einsatzfähig oder belegt, wenn überhaupt die Ladekarte klappt oder die Säule reagiert. Uff.
Hier ein ehrlicher Bericht. Und für mich eine Verarbeitung der Erlebnisse. 😂
Continue reading Laden an öffentlichen Säulen: Ein Trauerspiel!
Joining an Active Directory: A Packet Capture
What happens on the network if you’re joining a Microsoft Active Directory domain? Which protocols are used? As I suspected, it’s a bit more complex than just seeing a single known protocol like HTTPS. ;)
Since a PCAP is worth a thousand words, I captured the process of a Windows PC joining an AD. Let’s have a look at it with Wireshark and NetworkMiner. And, as always, you’re welcome to download the packet capture to analyse it by yourself.
Continue reading Joining an Active Directory: A Packet Capture
Getting started with the APIs from Palo Alto Ntwks
You can talk to firewalls and Panorama from Palo Alto Networks in various ways. The well-known GUI (which I really love, by the way) and the CLI are quite common at first glance. Nearly everyone using the Palos is familiar with these configuration options.
When it comes to automation at some point, either to configure those devices or just to read out some KPIs for your monitoring, APIs are in place. Plural because Palo has two APIs: The so-called “XML API” and the “REST API“. Let’s get started with both of them:
Continue reading Getting started with the APIs from Palo Alto Ntwks
iPad Ping: WLAN vs. LAN
Meine Kids spielen derzeit häufig Brawl Stars, ein Echtzeit Onlinespiel. Und sie schauen auch immer mal Videos dazu, bei denen ihnen jetzt der Floh ins Ohr gesetzt wurde, dass man ein iPad ja auch per LAN-Adapter mit einem Netzwerkkabel ausstatten kann, was ja den Ping verbessert.
JAAAA, endlich waren meine Kenntnisse in Sachen Netzwerktechnik mal von meinen Kindern gefragt. “Papa, weißt du, was ein LAN-Kabel ist?” “Ja klar.” “Hast du so eines?” “Ja, circa Hundert.” “Waaas? Echt jetzt? Dann muss ich mir ja gar keins kaufen.” 😂
Neben der Subjektivität, ob das Zocken per LAN-Kabel jetzt merklich besser wird, wollte ich mal objektiv messen, wie sich die Latenz eines per Ethernet-Adapter angeschlossenen iPads denn nun wirklich verhält. Wie viel besser wird der Ping im Idle- bzw. im Volllastfall? Was sagt die Laufzeit zum Default Gateway? Hier ein paar Tests:
PANW: Dynamic Routing between Logical Routers
How to route traffic between multiple logical routers aka Inter-LR Routing on a Palo Alto Networks Strata firewall? More precisely, inclusive route redistribution rather than a few static routes. –> Via iBGP through loopback interfaces. ✅ Let’s go:
Continue reading PANW: Dynamic Routing between Logical Routers
BGP Route Filtering with Palo’s Advanced Routing Engine (ARE)
With PAN-OS 10.2, Palo Alto Networks has introduced the “Advanced Routing Engine” (ARE) with its “Logical Routers” (LR) rather than the legacy “Virtual Routers” (VR).
The neat thing, as always: You can configure everything through the GUI. Here’s a basic example of how I’m using a prefix list to filter incoming BGP routes:
Continue reading BGP Route Filtering with Palo’s Advanced Routing Engine (ARE)
Misusing Palo’s Captive Portal as a Guest Wi-Fi Welcome Page
I was faced with an interesting customer requirement: An existing guest Wi-Fi should be prefaced with a welcome page for accepting the terms and conditions. Since there was already a Palo Alto Networks firewall in place, could we perhaps use its captive portal directly for this purpose? It’s not about authenticating the users, but only for a single webpage with a simple check button that should appear once a month per device.
TL;DR: While we were able to redirect every device to a welcome page, we were not able to extend the lifetime of those sessions to longer than 24 hours. This might fit for short-term guest Wi-Fis, but is not appropriate for long-term connections aka BYOD. However, this is how we have done it:
Continue reading Misusing Palo’s Captive Portal as a Guest Wi-Fi Welcome Page
Dynamic DNS on a Palo
With PAN-OS 9.0 (quite some time ago), Palo Alto Networks has added Dynamic DNS for a firewall’s interfaces. That is: If your Internet-facing WAN interface gets a dynamic IP address via DHCP or PPPoE (rather than statically configured), the firewall updates this IP address to a configured hostname. The well-known DynDNS providers such as Dyn (formerly DynDNS), No-IP, or FreeDNS Afraid are supported. Since the Palo supports DHCP, PPPoE (even on tagged subinterfaces) as well as DHCPv6 respectively PPPoEv6, we can now operate this type of firewall on residential ISP connections AND still access it via DNS hostnames. Great. Let’s have a look at the configuration steps.
Spoiler: The DynDNS feature on a Palo only supports static IPv6 addresses rather than dynamic ones. 🤦🤦🤦 Yes, you haven’t misread. The DYNAMIC DNS feature does not support DYNAMIC IP addresses, but only STATIC ones. D’oh!
Some more Mail Captures
Email is still the most common communication protocol on the Internet. And since I was missing some variants of the related protocols, IMAP, POP3, and SMTP in the Ultimate PCAP, I did some captures. ✅ Here are a few details.
Akustikdämmung im Büro
Als Consultant im Homeoffice mache ich vor allem eins: Telefonieren und an Videokonferenzen teilnehmen, neudeutsch: Calls. Und es nervt mich total, wenn mein Gegenüber einen schlechten Ton hat. Also akutisch. Das verbaute Mikrofon im Notebook oder irgendwelche Raummikros gehen gar nicht. Gleichermaßen möchte ich selber auch nicht viele Stunden am Tag ein Headset aufhaben.
Was hilft: Ein Podcast-Mikrofon und eine gute Raumakustik, sprich: wenig Hall. Um letzteres habe ich mich die letzten Wochen gekümmert. Hier mein Erfahrungsbericht, Tonaufnahmen und Messergebnisse.
Palo’s Mgmt-Intf is not usable with IPv6 anymore
Wow, that was unexpected: With PAN-OS 11.1 the out-of-band management interface of Palo Alto Networks firewalls doesn’t accept an IPv6 default route pointing to one of its own data interfaces anymore. That is: In most setups, you can’t use IPv6 for management purposes anymore. “Works as expected.” Wow. Really?
Continue reading Palo’s Mgmt-Intf is not usable with IPv6 anymore