Google Groups no longer supports new Usenet posts or subscriptions. Historical content remains viewable.
Dismiss

(In-)Kompetente Hoster

147 views
Skip to first unread message

Florian Zumbiehl

unread,
May 9, 2016, 3:30:04 PM5/9/16
to
Hallo zusammen,

Sagt mal ... gibt es da draussen irgendwo noch faehige Hoster?

Ich suche nach einer Ersatz-Anbindung fuer meinen heimischen
Mail-und-so-Zeug-Server (da die T die alte DSL-Infrastruktur abbauen will).
Meine Idee war, irgendwo einen kleinen virtuellen Server zu mieten und mir
dessen Adresse wegzutunneln.

Aber die Anbieter, die man auf den ueblich verdaechtigen Vergleichsseiten so
findet, scheinen alle inkompetent zu sein. Entweder es geht ARP-Spoofing, oder
es fallen einem auch einfach so fremder Leute Unicast-Pakete entgegen, oder die
Mails vom (inkompetenten) Kundenservice sind Outlook-zertifizierter MIME-Muell,
oder es gibt irgendwelche Portfilter im ephemeral port range, oder die
Management-Webseite laedt tonnenweise Javascript aus dubiosen Quellen in ihren
Origin, oder nennenswerte Teile des Angebots sind gleich mittels hoch
vertrauenswuerdiger Wolkendienste implementiert (der Betrieb eines Mailservers
faellt ja offensichtlich nicht in den Kompetenzbereich eines Internet-Hosters),
oder es gibt irgendwelches Anti-DDoS-Snake-Oil in der Leitung, von dem einem
niemand erklaeren kann, was es tut, ... - und meistens mehrere davon auf
einmal.

Urspruenglich hatte ich mal die naive Idee, auch noch auf ein ordentliches
v6-Netz zu achten, aber das habe ich inzwischen aufgegeben, die Anbieter
scheinen besessen davon zu sein, v6-Adressen zu sparen (und manche erzaehlen
einem die spannendsten Maerchen, warum ein ganzes /64 ja schon viel zu viel
waere!11).

Nunja, ich will es nicht in einen richtigen Rant ausarten lassen - wer hat
Empfehlungen, wo ich fuendig werden koennte? Ich nehme auch Eigenwerbung per
E-Mail entgegen, falls jemand sich berufen fuehlt :-)

Und ja, eine Anbindung, die gewissen Qualitaets-Mindeststandards entspricht,
waere sehr recovery fuer den Admin! ;-)

Gruss, Florian

Marc Haber

unread,
May 9, 2016, 4:29:17 PM5/9/16
to
Florian Zumbiehl <fl...@florz.de> wrote:
>Und ja, eine Anbindung, die gewissen Qualitaets-Mindeststandards entspricht,
>waere sehr recovery fuer den Admin! ;-)

Ich bin mit Strato im Rahmen seiner Möglichkeiten sehr zufrieden, habe
aber immer Blech gemietet. Aber: you get what you pay for.

Grüße
Marc
--
-------------------------------------- !! No courtesy copies, please !! -----
Marc Haber | " Questions are the | Mailadresse im Header
Mannheim, Germany | Beginning of Wisdom " | http://www.zugschlus.de/
Nordisch by Nature | Lt. Worf, TNG "Rightful Heir" | Fon: *49 621 72739834

Bodo `Garfield' Bellut

unread,
May 9, 2016, 7:02:10 PM5/9/16
to
Florian Zumbiehl <fl...@florz.de> wrote:
>Sagt mal ... gibt es da draussen irgendwo noch faehige Hoster?

[...]

>Nunja, ich will es nicht in einen richtigen Rant ausarten lassen - wer hat
>Empfehlungen, wo ich fuendig werden koennte? Ich nehme auch Eigenwerbung per
>E-Mail entgegen, falls jemand sich berufen fuehlt :-)

Es sind noch einige der ehemaligen IN-Mitglieder übrig, Wikipedia
liefert eine Liste von 2010:

https://de.wikipedia.org/wiki/Individual_Network

Mehr Kontrolle wirst Du nirgends bekommen. Die meisten lassen allerdings
nur die private Nutzung zu.

Full Disclosure: Ich bin der aktuelle Vorstandsvorsitzende des PING e.V.

cu, Bodo
--
Bodo Bellut bo...@bellut.net | USE PGP! +-----------+
Talstr. 8d Fax/Mobile: just ask | (key via server |\ O---m /|
44267 Dortmund Fon: +49-700-77-BELLUT | or on request) |/---------\|
PGP: 768/FA18A639 AE 5A 47 40 5A A0 D6 15 8E 54 44 AA 8D DD 6E BD+-----------+

Friedemann Stoyan

unread,
May 9, 2016, 10:58:42 PM5/9/16
to
Marc Haber wrote:
> Florian Zumbiehl <fl...@florz.de> wrote:
>>Und ja, eine Anbindung, die gewissen Qualitaets-Mindeststandards entspricht,
>>waere sehr recovery fuer den Admin! ;-)

> Ich bin mit Strato im Rahmen seiner Möglichkeiten sehr zufrieden, habe
> aber immer Blech gemietet. Aber: you get what you pay for.

Strato ist einer der wenigen (der einzigste?) Hoster, wo du ein /56 bekommst.
Das ist sehr hübsch, Du kannst Dur das ja per VPN wegtransportieren. Aber
wehe, wenn aus der HW Flammen schlagen. Das Feststellen dass kaputt und die
Reparatur können schon mal 3-4 Tage dauern. Die Standardinstallation ist
natürlich völlig panne und unbrauchbar. Man muss sich das händisch selbst
machen.

mfg Friedemann

Dietz Pröpper

unread,
May 10, 2016, 2:50:02 AM5/10/16
to
Friedemann Stoyan wrote:

> Marc Haber wrote:
>> Florian Zumbiehl <fl...@florz.de> wrote:
>>>Und ja, eine Anbindung, die gewissen Qualitaets-Mindeststandards
>>>entspricht, waere sehr recovery fuer den Admin! ;-)
>
>> Ich bin mit Strato im Rahmen seiner Möglichkeiten sehr zufrieden, habe
>> aber immer Blech gemietet. Aber: you get what you pay for.
>
> Strato ist einer der wenigen (der einzigste?) Hoster, wo du ein /56
> bekommst. Das ist sehr hübsch, Du kannst Dur das ja per VPN
> wegtransportieren. Aber wehe, wenn aus der HW Flammen schlagen. Das
> Feststellen dass kaputt und die Reparatur können schon mal 3-4 Tage dauern.

Biddewie?! Bei gemieteter Hardware? Das ist übel. Hetzner hat die letzten
beiden Male die Platten innerhalb von 30min nach Meldung getauscht.

Aber iesch weiß, Hätzner ist bäbä, weil man sich nicht an willkürliche,
liebgewonnene Prozeduren hält.

> Die Standardinstallation ist natürlich völlig panne und unbrauchbar. Man
> muss sich das händisch selbst machen.

Naja, *davon* ist immer auszugehen.

Stefan Froehlich

unread,
May 10, 2016, 4:05:47 AM5/10/16
to
On Tue, 10 May 2016 08:47:27 Dietz Pröpper wrote:
> Hetzner hat die letzten beiden Male die Platten innerhalb von
> 30min nach Meldung getauscht.

> Aber iesch weiß, Hätzner ist bäbä, weil man sich nicht an
> willkürliche, liebgewonnene Prozeduren hält.

Hetzner ist eigentlich ziemlich gut, ja. Aber dafür habe ich dort,
wie gerade erst anderswo geschrieben, immer wieder einmal Probleme,
meine Mails (insbesondere an Microsoft-Kunden) loszuwerden. Wobei
das anderswo wahrscheinlich auch nicht sehr viel besser sein wird.

Servus,
Stefan

--
http://kontaktinser.at/ - die kostenlose Kontaktboerse fuer Oesterreich
Offizieller Erstbesucher(TM) von mmeike

Stefan: Ein netter Gedanke.
(Sloganizer)

Joerg Dorchain

unread,
May 10, 2016, 12:48:11 PM5/10/16
to
Florian Zumbiehl <fl...@florz.de> wrote:
> Hallo zusammen,

> Sagt mal ... gibt es da draussen irgendwo noch faehige Hoster?

Ich bin ueber Umwege mal bei fusa.be gelandet. Klein (1-Mann?),
aber relative brauchbar. Der kostenloses Best-Effort ist fuer
mich mit <2Tagen akzeptabel. Telefonisch praktisch nicht zu
erreichen, dafuer Ticket-reponses-times <5 minuten.

Am switchport kommt relativ viel vorbei, was nicht wirklich fuer
mich bestimmt ist (udp multicast port 1900 von mikrotik
routerboard z.B.) aber unicast habe ich noch nicht gesehen.

IPv6 geht auch, wenn auch mit leicht eigenwilligem setup.

HTH,

Joerg

Dietz Pröpper

unread,
May 10, 2016, 1:10:02 PM5/10/16
to
Stefan Froehlich wrote:

> On Tue, 10 May 2016 08:47:27 Dietz Pröpper wrote:
>> Hetzner hat die letzten beiden Male die Platten innerhalb von
>> 30min nach Meldung getauscht.
>
>> Aber iesch weiß, Hätzner ist bäbä, weil man sich nicht an
>> willkürliche, liebgewonnene Prozeduren hält.
>
> Hetzner ist eigentlich ziemlich gut, ja.

Ich kenne den einen oder anderen, der deren Abuse-Procedere ganz arg böse
findet.

> Aber dafür habe ich dort,
> wie gerade erst anderswo geschrieben, immer wieder einmal Probleme,
> meine Mails (insbesondere an Microsoft-Kunden) loszuwerden. Wobei
> das anderswo wahrscheinlich auch nicht sehr viel besser sein wird.

SPF scheint da durchaus hilfreich zu sein.

Juergen P. Meier

unread,
May 11, 2016, 12:13:20 AM5/11/16
to
Florian Zumbiehl <fl...@florz.de>:
> Hallo zusammen,
>
> Sagt mal ... gibt es da draussen irgendwo noch faehige Hoster?

Hetzner. Spacenet. Erster ist mein persoenlicher lieblingshoster,
letztere hostet fuer meinen Arbeitgeber (und da sind wir auch
zufrieden).

> Ich suche nach einer Ersatz-Anbindung fuer meinen heimischen
> Mail-und-so-Zeug-Server (da die T die alte DSL-Infrastruktur abbauen will).
> Meine Idee war, irgendwo einen kleinen virtuellen Server zu mieten und mir
> dessen Adresse wegzutunneln.

Ok, mit Vservern hab ich keine Erfahrung, ich miete mir Blech. Gibts
auch fuer billig, wenn man nicht das allerneueste und groesste haben
will.

> Aber die Anbieter, die man auf den ueblich verdaechtigen Vergleichsseiten so
> findet, scheinen alle inkompetent zu sein. Entweder es geht ARP-Spoofing, oder
> es fallen einem auch einfach so fremder Leute Unicast-Pakete entgegen, oder die
> Mails vom (inkompetenten) Kundenservice sind Outlook-zertifizierter MIME-Muell,

Ich weis ja nicht, wo du wen vergleichst, aber mein Lieblingshoster
sieht anders aus.

> oder es gibt irgendwelche Portfilter im ephemeral port range, oder die

Aeh, was? Ich bezahle bei meinem Hoster fuer ungefiltertes Internet,
also bekomme ich ungefiltertes Internet.

Misbrauch wird Organisatorisch verhindert.

> Management-Webseite laedt tonnenweise Javascript aus dubiosen Quellen in ihren
> Origin, oder nennenswerte Teile des Angebots sind gleich mittels hoch
> vertrauenswuerdiger Wolkendienste implementiert (der Betrieb eines Mailservers
> faellt ja offensichtlich nicht in den Kompetenzbereich eines Internet-Hosters),

Bei meinem hoster kommt aller Content ausschliesslich vom Server des
hosters. Leider braucht der interaktive Robot Javascript, dafuer er aber
eine API (JSON sowie YAML) zum scripten an:
https://wiki.hetzner.de/index.php/Robot_Webservice

> oder es gibt irgendwelches Anti-DDoS-Snake-Oil in der Leitung, von dem einem
> niemand erklaeren kann, was es tut, ... - und meistens mehrere davon auf
> einmal.

Ernsthaft? Auf welche kaputten Hoster bist du denn schon reingefallen?

> Urspruenglich hatte ich mal die naive Idee, auch noch auf ein ordentliches
> v6-Netz zu achten, aber das habe ich inzwischen aufgegeben, die Anbieter

Also das gehoert mittlerweile zum Standard.

> scheinen besessen davon zu sein, v6-Adressen zu sparen (und manche erzaehlen
> einem die spannendsten Maerchen, warum ein ganzes /64 ja schon viel zu viel
> waere!11).

Also bei meinem wird dir immer ein ganzes /64 direkt geroutet. Wenn du mehr
brauchst, musst du nur fragen und bekommst mehr. Zur Zeit kostenfrei.
Zusaetzlich IPv4 kostet halt richtig Geld, aber Das Ist Auch Gut So[tm].

Und Spacenet zaehlt zweifelsfrei zu den Pionieren was IPV6 angeht.
Dort hast du schon richtig IPv6 bekommen, als andere Hoster noch nicht
einmal IPv4 richtig konnten. (ok, da einige das immer noch nicht
richtig koennen, formuliere ich das mal anders: vor ueber 15 Jahren)

> Nunja, ich will es nicht in einen richtigen Rant ausarten lassen - wer hat
> Empfehlungen, wo ich fuendig werden koennte? Ich nehme auch Eigenwerbung per
> E-Mail entgegen, falls jemand sich berufen fuehlt :-)

Meinen Hoster Hetzner kann ich auch ganz oeffentlich empfehlen.

> Und ja, eine Anbindung, die gewissen Qualitaets-Mindeststandards entspricht,
> waere sehr recovery fuer den Admin! ;-)

Also meine Hetzner-Server haben z.B. bessere weltweite Connectivity
als manch ein Server von Kollegen bei Strato, von denen aus bestimmte
recycelte IP-Ranges in Asien routingtechnisch nicht erreichbar waren
(und Strato's Support hat nicht einmal Ansatzweise verstanden, was
fuer ein Problem sie genau hatten, also das die Prefixe ihrer
Hosting-Kunden aus bestimmten Regionen gar nicht erreichbar sind
und damit z.B. eine Kommunikation zwischen einem Geschaeftsstelle aus
Malaysia und dem bei Strato gehosteten Mailrelay unmoeglich ist).

Mit Hetzner IPv4 hatte ich bisher keine Routing Black Holes. Meine Server
dort leisteten im Gegenteil schon wertvolle Hilfe beim Troubleshooting
von solchen Problmen bei Kundenanbindungen und weltweiten VPN-Konstruktionen.
BTDTMT.

Juergen
--
Juergen P. Meier - "This World is about to be Destroyed!"
end
If you think technology can solve your problems you don't understand
technology and you don't understand your problems. (Bruce Schneier)

Juergen P. Meier

unread,
May 11, 2016, 12:18:36 AM5/11/16
to
Dietz Pröpper <dietz...@rotfl.franken.de>:
> Friedemann Stoyan wrote:
>
>> Marc Haber wrote:
>>> Florian Zumbiehl <fl...@florz.de> wrote:
>>>>Und ja, eine Anbindung, die gewissen Qualitaets-Mindeststandards
>>>>entspricht, waere sehr recovery fuer den Admin! ;-)
>>
>>> Ich bin mit Strato im Rahmen seiner Möglichkeiten sehr zufrieden, habe
>>> aber immer Blech gemietet. Aber: you get what you pay for.
>>
>> Strato ist einer der wenigen (der einzigste?) Hoster, wo du ein /56
>> bekommst. Das ist sehr hübsch, Du kannst Dur das ja per VPN
>> wegtransportieren. Aber wehe, wenn aus der HW Flammen schlagen. Das
>> Feststellen dass kaputt und die Reparatur können schon mal 3-4 Tage dauern.
>
> Biddewie?! Bei gemieteter Hardware? Das ist übel. Hetzner hat die letzten
> beiden Male die Platten innerhalb von 30min nach Meldung getauscht.
>
> Aber iesch weiß, Hätzner ist bäbä, weil man sich nicht an willkürliche,
> liebgewonnene Prozeduren hält.

Hae?

Bisher ist jeder meiner Bekannten, Kollegen etc. die ich zu Hetzner
empfahl hellauf begeistert.

Und mehr als ein /64 bekommste auch wenn du richtig fragst.

>> Die Standardinstallation ist natürlich völlig panne und unbrauchbar. Man
>> muss sich das händisch selbst machen.
>
> Naja, *davon* ist immer auszugehen.

Bei Hetzner besteht die Standardinstallation eines Root-servers aus
einem Linux Image in das ueber eine sichere Methode deine SSH-Keys
implantiert werden, und von wo aus du beliebig ein passendes System
installieren kannst.

Panne und unbrauchbar ist das nicht.

Juergen P. Meier

unread,
May 11, 2016, 12:26:26 AM5/11/16
to
Stefan Froehlich <Stefan...@Froehlich.Priv.at>:
> On Tue, 10 May 2016 08:47:27 Dietz Pröpper wrote:
>> Hetzner hat die letzten beiden Male die Platten innerhalb von
>> 30min nach Meldung getauscht.
>
>> Aber iesch weiß, Hätzner ist bäbä, weil man sich nicht an
>> willkürliche, liebgewonnene Prozeduren hält.
>
> Hetzner ist eigentlich ziemlich gut, ja. Aber dafür habe ich dort,
> wie gerade erst anderswo geschrieben, immer wieder einmal Probleme,
> meine Mails (insbesondere an Microsoft-Kunden) loszuwerden. Wobei
> das anderswo wahrscheinlich auch nicht sehr viel besser sein wird.

Das war bei Hetzner? Welches RZ, welcher IP-Range ist das?

Ich habe zwei Server aus 78.46.0.0/15 HETZNER-RZ-NBG-BLK5 und
213.239.192.0/18 HETZNER-RZ-NBG-BLK2, und keine Probleme mit
Microsoft outlook.com/office365.com Empfaengern.

Juergen P. Meier

unread,
May 11, 2016, 12:30:05 AM5/11/16
to
Dietz Pröpper <dietz...@rotfl.franken.de>:
> Stefan Froehlich wrote:
>
>> On Tue, 10 May 2016 08:47:27 Dietz Pröpper wrote:
>>> Hetzner hat die letzten beiden Male die Platten innerhalb von
>>> 30min nach Meldung getauscht.
>>
>>> Aber iesch weiß, Hätzner ist bäbä, weil man sich nicht an
>>> willkürliche, liebgewonnene Prozeduren hält.
>>
>> Hetzner ist eigentlich ziemlich gut, ja.
>
> Ich kenne den einen oder anderen, der deren Abuse-Procedere ganz arg böse
> findet.

Ich kann das nur anhand eines einzelnen Falls beurteilen:
Hetzner bittet bei Abuse-Report gegen ihren Kunden diesen um
Stellungnahme. Die Stellungnahme wird verstanden, und dem abuse-reporter
als Ergebnis der Untersuchung mitgeteilt. Ende. (in dem Fall war der
Abuse-Report ungerechtfertigt)

Andere Beispiele sind mir tatsaechlich nicht bekannt, hast du mehr Infos?

Dietz Pröpper

unread,
May 11, 2016, 2:15:02 AM5/11/16
to
Ich selber hatte auch noch keinerlei Probleme

> Andere Beispiele sind mir tatsaechlich nicht bekannt, hast du mehr Infos?

Iirc gab es da vor einigen Jahren den Fall, dass irgendein IRC-OP lernen
musste, dass er keinen Sonderstatus genießt.

Dietz Pröpper

unread,
May 11, 2016, 2:20:02 AM5/11/16
to
Juergen P. Meier wrote:

> Dietz Pröpper <dietz...@rotfl.franken.de>:
>> Friedemann Stoyan wrote:
>>> Strato ist einer der wenigen (der einzigste?) Hoster, wo du ein /56
>>> bekommst. Das ist sehr hübsch, Du kannst Dur das ja per VPN
>>> wegtransportieren. Aber wehe, wenn aus der HW Flammen schlagen. Das
>>> Feststellen dass kaputt und die Reparatur können schon mal 3-4 Tage
>>> dauern.
>>
>> Biddewie?! Bei gemieteter Hardware? Das ist übel. Hetzner hat die letzten
>> beiden Male die Platten innerhalb von 30min nach Meldung getauscht.
>>
>> Aber iesch weiß, Hätzner ist bäbä, weil man sich nicht an willkürliche,
>> liebgewonnene Prozeduren hält.
>
> Hae?
>
> Bisher ist jeder meiner Bekannten, Kollegen etc. die ich zu Hetzner
> empfahl hellauf begeistert.

Ich bin seit Jahren dort Kunde und ebenfalls nicht unzufrieden.

Marc Haber

unread,
May 11, 2016, 2:54:11 AM5/11/16
to
Friedemann Stoyan <use...@ip6-mail.de> wrote:
>Marc Haber wrote:
>> Florian Zumbiehl <fl...@florz.de> wrote:
>>>Und ja, eine Anbindung, die gewissen Qualitaets-Mindeststandards entspricht,
>>>waere sehr recovery fuer den Admin! ;-)
>
>> Ich bin mit Strato im Rahmen seiner Möglichkeiten sehr zufrieden, habe
>> aber immer Blech gemietet. Aber: you get what you pay for.
>
>Strato ist einer der wenigen (der einzigste?) Hoster, wo du ein /56 bekommst.

Bei 1&1 ein /60.

>Das ist sehr hübsch, Du kannst Dur das ja per VPN wegtransportieren. Aber
>wehe, wenn aus der HW Flammen schlagen. Das Feststellen dass kaputt und die
>Reparatur können schon mal 3-4 Tage dauern.

Das ist leider richtig, ja.

> Die Standardinstallation ist
>natürlich völlig panne und unbrauchbar. Man muss sich das händisch selbst
>machen.

Auch das ist richtig, aber dank Rescuesystem und serieller Konsole
professionell und ohne Blindflüge machbar.

Marc Haber

unread,
May 11, 2016, 2:55:00 AM5/11/16
to
Dietz Pröpper <dietz...@rotfl.franken.de> wrote:
>Aber iesch weiß, Hätzner ist bäbä, weil man sich nicht an willkürliche,
>liebgewonnene Prozeduren hält.

Hetzner hat IPv6 nicht verstanden, sich lange Zeit angemaßt
willkürlich Ports zu filtern und hat keine brauchbare verlässiglich
Konsole. Dafür sind sie halt billitsch.

Marc Haber

unread,
May 11, 2016, 2:56:10 AM5/11/16
to
"Juergen P. Meier" <nospa...@jors.net> wrote:
>Ich kann das nur anhand eines einzelnen Falls beurteilen:
>Hetzner bittet bei Abuse-Report gegen ihren Kunden diesen um
>Stellungnahme.

... IIRC unter Bekanntgabe der Daten des Beschwerdeführers. In
Antispammerkreisen ist das listwashing und damit Böse Böse.

Marc Haber

unread,
May 11, 2016, 2:56:53 AM5/11/16
to
"Juergen P. Meier" <nospa...@jors.net> wrote:
>Und mehr als ein /64 bekommste auch wenn du richtig fragst.

Das würd mich interessieren, erzähl mal.

Das "richtig fragen müssen" alleine ist natürlich bereits fragwürdig.

Marc Haber

unread,
May 11, 2016, 3:00:30 AM5/11/16
to
"Juergen P. Meier" <nospa...@jors.net> wrote:
>Und Spacenet zaehlt zweifelsfrei zu den Pionieren was IPV6 angeht.
>Dort hast du schon richtig IPv6 bekommen, als andere Hoster noch nicht
>einmal IPv4 richtig konnten. (ok, da einige das immer noch nicht
>richtig koennen, formuliere ich das mal anders: vor ueber 15 Jahren)

Spacenet ist technisch sicher über jeden Zweifel erhaben. Was kostet
denn einmal Hosting Dedicated Basic für einen Privatkunden? Gibt es
ein Rescuesystem? Remote Reset? Serielle Konsole?

Florian Zumbiehl

unread,
May 11, 2016, 11:15:03 AM5/11/16
to
Hallo,

On 2016-05-11, Marc Haber <mh+usene...@zugschl.us> wrote:
> Dietz Pröpper <dietz...@rotfl.franken.de> wrote:
>>Aber iesch weiß, Hätzner ist bäbä, weil man sich nicht an willkürliche,
>>liebgewonnene Prozeduren hält.
>
> Hetzner hat IPv6 nicht verstanden, sich lange Zeit angemaßt
> willkürlich Ports zu filtern und hat keine brauchbare verlässiglich
> Konsole. Dafür sind sie halt billitsch.

Der Mangel an Konsole waere fuer mich verkraftbar, aber diese willkuerliche
Filterei und der Umgang mit v6 und sowas sind doch sehr symptomatisch fuer die
Inkompetenz des Ladens. Die haben zwar ihre Prozesse ganz gut im Griff, um die
Rechner am Laufen zu halten, aber fachliches Verstaendnis von Netzwerken
scheint doch eher duenn gesaet zu sein.

Vor allem war dieser Filter ja nicht einfach nur ein Filter, der es unmoeglich
machte, Dienste auf dem dort gehosteten Rechner auf Port 6667/TCP zu hosten
(was schon doof genug waere), sondern zum einen betraf der sinnvollerweise auch
UDP(!?), zum anderen auch ausgehende Pakete. Wenn also jemand z.B. ein SYN von
Port 6667 seiner Adresse (oder seines NAT-Gateways oder so) an einen Server bei
Hetzner schickte, und der Server darauf mit SYN+ACK antwortete, bekam der
darauf ein ICMP dest unreachable zurueck und die Verbindung hing aus Sicht des
Clients.

Und nicht zu vergessen, wie lange bei denen ARP-Spoofing ging ...

Gruss, Florian

Florian Zumbiehl

unread,
May 11, 2016, 11:45:03 AM5/11/16
to
Hallo,

On 2016-05-10, Juergen P. Meier <nospa...@jors.net> wrote:
> Florian Zumbiehl <fl...@florz.de>:
>> oder es gibt irgendwelche Portfilter im ephemeral port range, oder die
>
> Aeh, was? Ich bezahle bei meinem Hoster fuer ungefiltertes Internet,
> also bekomme ich ungefiltertes Internet.

... was bei Hetzner aber doch auch eher eine neue Entwicklung ist :-)

Und in dem Fall ging es nicht um Missbrauch, sondern darum, dass die wohl
irgendwelche Boards mit unsicherem IPMI im Netz hatten, und da das IPMI halt
auf einem Port im ephemeral range lauscht, haben sie den Port dann global dicht
gemacht.

>> oder es gibt irgendwelches Anti-DDoS-Snake-Oil in der Leitung, von dem einem
>> niemand erklaeren kann, was es tut, ... - und meistens mehrere davon auf
>> einmal.
>
> Ernsthaft? Auf welche kaputten Hoster bist du denn schon reingefallen?

Etliche. Also, "reingefallen" ist vermutlich das falsche Wort, da ich ja nichts
davon gekauft habe, aber das scheint wohl so das Niveau der Anbieter auf den
Hoster-Vergleichsseiten zu sein. Nicht auszuschliessen, dass es darunter auch
bessere gibt, aber die gehen dann leider im Rauschen unter.

>> Urspruenglich hatte ich mal die naive Idee, auch noch auf ein ordentliches
>> v6-Netz zu achten, aber das habe ich inzwischen aufgegeben, die Anbieter
>
> Also das gehoert mittlerweile zum Standard.

In meiner Erfahrung ist der Standard bei V-Servern entweder einzelne Adressen,
oder, wenn Anbieter ganz besonders spendabel sind, ein /64. Selbst bei Hostern,
die selber RIPE-Mitglied sind.

>> scheinen besessen davon zu sein, v6-Adressen zu sparen (und manche erzaehlen
>> einem die spannendsten Maerchen, warum ein ganzes /64 ja schon viel zu viel
>> waere!11).
>
> Also bei meinem wird dir immer ein ganzes /64 direkt geroutet. Wenn du mehr
> brauchst, musst du nur fragen und bekommst mehr. Zur Zeit kostenfrei.

Bei Hetzner kriegt man mehr als ein /64 ohne Aufpreis? Haben sie etwa auch
diesen Irrweg nach nur acht Jahren als solchen erkannt?

Gruss, Florian

Juergen P. Meier

unread,
May 11, 2016, 11:56:44 AM5/11/16
to
Florian Zumbiehl <fl...@florz.de>:
> Der Mangel an Konsole waere fuer mich verkraftbar, aber diese willkuerliche
> Filterei und der Umgang mit v6 und sowas sind doch sehr symptomatisch fuer die
> Inkompetenz des Ladens. Die haben zwar ihre Prozesse ganz gut im Griff, um die
> Rechner am Laufen zu halten, aber fachliches Verstaendnis von Netzwerken
> scheint doch eher duenn gesaet zu sein.
>
> Vor allem war dieser Filter ja nicht einfach nur ein Filter, der es unmoeglich
> machte, Dienste auf dem dort gehosteten Rechner auf Port 6667/TCP zu hosten
> (was schon doof genug waere), sondern zum einen betraf der sinnvollerweise auch
> UDP(!?), zum anderen auch ausgehende Pakete. Wenn also jemand z.B. ein SYN von
> Port 6667 seiner Adresse (oder seines NAT-Gateways oder so) an einen Server bei
> Hetzner schickte, und der Server darauf mit SYN+ACK antwortete, bekam der
> darauf ein ICMP dest unreachable zurueck und die Verbindung hing aus Sicht des
> Clients.

Hmm, Hetzner hat bei meinen Root-servern noch nie IRC blockiert.
(Ich nutze IRC dort seit vielen Jahren, seit ich dort meinen ersten
Root-server mietete)

Wann und wo war das?

> Und nict zu vergessen, wie lange bei denen ARP-Spoofing ging ...

Das war auf der ganz alten Infrastruktur, wo mehrere Kunden echte Subnetze
teilten. Natuerlich ging da ARP-Spoofing, darum hat man auch Arpwatch
gemacht und Hetzner hat die ARP-Spoofer auch schnell gekuendigt. BTDT.

Juergen P. Meier

unread,
May 11, 2016, 12:06:53 PM5/11/16
to
begin 1 followup to Florian Zumbiehl <fl...@florz.de>:
> Hallo,
>
> On 2016-05-10, Juergen P. Meier <nospa...@jors.net> wrote:
>> Florian Zumbiehl <fl...@florz.de>:
>>> oder es gibt irgendwelche Portfilter im ephemeral port range, oder die
>>
>> Aeh, was? Ich bezahle bei meinem Hoster fuer ungefiltertes Internet,
>> also bekomme ich ungefiltertes Internet.
>
> ... was bei Hetzner aber doch auch eher eine neue Entwicklung ist :-)

Ich kann mich nicht erinnern selbst bei meinem alten Server den ich
immerhin seit 2007 bis vor paar Jahren hatte auf einer der IPv4 Adressen
kein IRC nutzen zu koennen. Ich hatte das /28er Subnetz damals sogar
extra wegen IRC (mehre Sessions zum selben Irc-Netz) mit bestellt.
In den Jahren seit dem wurde bei mir nix gefiltert.

Kann sein, dass ich als guter Bestandskunde verschont blieb, das mag
ich nicht beurteilen.

> Und in dem Fall ging es nicht um Missbrauch, sondern darum, dass die wohl
> irgendwelche Boards mit unsicherem IPMI im Netz hatten, und da das IPMI halt
> auf einem Port im ephemeral range lauscht, haben sie den Port dann global dicht
> gemacht.

Auch davon war ich nicht betroffen, und ich haette das anhand meines
Monitorings bemerkt.

>> Ernsthaft? Auf welche kaputten Hoster bist du denn schon reingefallen?
>
> Etliche. Also, "reingefallen" ist vermutlich das falsche Wort, da ich ja nichts
> davon gekauft habe, aber das scheint wohl so das Niveau der Anbieter auf den
> Hoster-Vergleichsseiten zu sein. Nicht auszuschliessen, dass es darunter auch
> bessere gibt, aber die gehen dann leider im Rauschen unter.

Ah, ok.

>>> Urspruenglich hatte ich mal die naive Idee, auch noch auf ein ordentliches
>>> v6-Netz zu achten, aber das habe ich inzwischen aufgegeben, die Anbieter
>>
>> Also das gehoert mittlerweile zum Standard.
>
> In meiner Erfahrung ist der Standard bei V-Servern entweder einzelne Adressen,
> oder, wenn Anbieter ganz besonders spendabel sind, ein /64. Selbst bei Hostern,
> die selber RIPE-Mitglied sind.

Wie schon gesagt, mit V-servern kenne ich micht nicht aus. Ich teile
meine HArdware nicht gerne mit anderen.

>> Also bei meinem wird dir immer ein ganzes /64 direkt geroutet. Wenn du mehr
>> brauchst, musst du nur fragen und bekommst mehr. Zur Zeit kostenfrei.
>
> Bei Hetzner kriegt man mehr als ein /64 ohne Aufpreis? Haben sie etwa auch
> diesen Irrweg nach nur acht Jahren als solchen erkannt?

Preise listen sie zumindest nur fuer IPv4.
Davor war ja zusaetzliches IPv4 auch kostenfrei.

Aber wenn du Hetzner aus den genannten Gruenden nicht magst, dann kann
ich dir nur noch Spacenet empfehlen.

Florian Zumbiehl

unread,
May 11, 2016, 12:45:03 PM5/11/16
to
Hallo,

On 2016-05-09, Marc Haber <mh+usene...@zugschl.us> wrote:
> Florian Zumbiehl <fl...@florz.de> wrote:
>>Und ja, eine Anbindung, die gewissen Qualitaets-Mindeststandards entspricht,
>>waere sehr recovery fuer den Admin! ;-)
>
> Ich bin mit Strato im Rahmen seiner Möglichkeiten sehr zufrieden, habe

Leidet man da nicht unter dem Peeringverhalten der DTAG?

Und zumindest die Webseite will auch erstmal JS von Google runterladen.

> aber immer Blech gemietet. Aber: you get what you pay for.

Tja, wenn das mal so waere ... :-)

Gruss, Florian

Marc Haber

unread,
May 11, 2016, 12:56:23 PM5/11/16
to
Florian Zumbiehl <fl...@florz.de> wrote:
>
>On 2016-05-09, Marc Haber <mh+usene...@zugschl.us> wrote:
>> Florian Zumbiehl <fl...@florz.de> wrote:
>>>Und ja, eine Anbindung, die gewissen Qualitaets-Mindeststandards entspricht,
>>>waere sehr recovery fuer den Admin! ;-)
>>
>> Ich bin mit Strato im Rahmen seiner Möglichkeiten sehr zufrieden, habe
>
>Leidet man da nicht unter dem Peeringverhalten der DTAG?

Nein, Strato darf das alleine entscheiden und tut das auch. Meine
Conncectivity zu Strato leidet manchmal darunter, dass mein
Heim-IP-Lieferant Untauglichmedia an die Upstream-Entscheidungen
seiner Muttergesellschaft gebunden ist und die sind oftmals, eh,
seltsam.

Florian Zumbiehl

unread,
May 11, 2016, 1:15:03 PM5/11/16
to
Hallo,

On 2016-05-11, Juergen P. Meier <nospa...@jors.net> wrote:
> Florian Zumbiehl <fl...@florz.de>:
>> Vor allem war dieser Filter ja nicht einfach nur ein Filter, der es unmoeglich
>> machte, Dienste auf dem dort gehosteten Rechner auf Port 6667/TCP zu hosten
>> (was schon doof genug waere), sondern zum einen betraf der sinnvollerweise auch
>> UDP(!?), zum anderen auch ausgehende Pakete. Wenn also jemand z.B. ein SYN von
>> Port 6667 seiner Adresse (oder seines NAT-Gateways oder so) an einen Server bei
>> Hetzner schickte, und der Server darauf mit SYN+ACK antwortete, bekam der
>> darauf ein ICMP dest unreachable zurueck und die Verbindung hing aus Sicht des
>> Clients.
>
> Hmm, Hetzner hat bei meinen Root-servern noch nie IRC blockiert.
> (Ich nutze IRC dort seit vielen Jahren, seit ich dort meinen ersten
> Root-server mietete)
>
> Wann und wo war das?

Ah, ich hatte mich in der Tat im Detail geirrt. Es betraf nur eingehende
Pakete, aber auch ausgehende Verbindungen, wenn diese lokal Port 6667 nutzten.

Hier kann man die Details praktischerweise noch nachlesen: :-)
http://blog.zugschlus.de/archives/468-Hetzner-DS-3000.html

>> Und nict zu vergessen, wie lange bei denen ARP-Spoofing ging ...
>
> Das war auf der ganz alten Infrastruktur, wo mehrere Kunden echte Subnetze
> teilten. Natuerlich ging da ARP-Spoofing, darum hat man auch Arpwatch
> gemacht und Hetzner hat die ARP-Spoofer auch schnell gekuendigt. BTDT.

Ja, warum das ging, ist ja klar, aber warum betreibt man sein Netz so? Und dass
die da ernsthaft Arpwatch genutzt hatten, hatte ich auch eher nicht den
Eindruck, aber im Zweifel erinnere ich mich da auch nicht mehr an alle Details.

Gruss, Florian

Florian Zumbiehl

unread,
May 11, 2016, 1:30:03 PM5/11/16
to
Hallo,

On 2016-05-11, Juergen P. Meier <nospa...@jors.net> wrote:
> begin 1 followup to Florian Zumbiehl <fl...@florz.de>:
>> Und in dem Fall ging es nicht um Missbrauch, sondern darum, dass die wohl
>> irgendwelche Boards mit unsicherem IPMI im Netz hatten, und da das IPMI halt
>> auf einem Port im ephemeral range lauscht, haben sie den Port dann global dicht
>> gemacht.
>
> Auch davon war ich nicht betroffen, und ich haette das anhand meines
> Monitorings bemerkt.

Das bezog sich nicht auf Hetzner.

> Wie schon gesagt, mit V-servern kenne ich micht nicht aus. Ich teile
> meine HArdware nicht gerne mit anderen.

Da ich da ja nur einen Tunnelendpunkt fuer relativ wenig Traffic hinpflanzen
will, scheint mir das fuer den Anwendungszweck ein wenig overkill.

>>> Also bei meinem wird dir immer ein ganzes /64 direkt geroutet. Wenn du mehr
>>> brauchst, musst du nur fragen und bekommst mehr. Zur Zeit kostenfrei.
>>
>> Bei Hetzner kriegt man mehr als ein /64 ohne Aufpreis? Haben sie etwa auch
>> diesen Irrweg nach nur acht Jahren als solchen erkannt?
>
> Preise listen sie zumindest nur fuer IPv4.
> Davor war ja zusaetzliches IPv4 auch kostenfrei.

Auf der Webseite kann ich so auf Anhieb gerade auch nichts (mehr) dazu finden -
gefunden habe ich nur das hier:

https://wiki.opennet-initiative.de/wiki/IPv6#Heimnetze

Demnach Stand Oktober 2015 49 EUR Einrichtung und 12 EUR/Monat fuer ein /56.

Gruss, Florian

Dietz Pröpper

unread,
May 11, 2016, 5:00:02 PM5/11/16
to
Marc Haber wrote:

> "Juergen P. Meier" <nospa...@jors.net> wrote:
>>Ich kann das nur anhand eines einzelnen Falls beurteilen:
>>Hetzner bittet bei Abuse-Report gegen ihren Kunden diesen um
>>Stellungnahme.
>
> ... IIRC unter Bekanntgabe der Daten des Beschwerdeführers. In
> Antispammerkreisen ist das listwashing und damit Böse Böse.

Warum das? Würde der Spammer ein paar hitmen vorbei schicken, dann könnte
ich's ja verstehen. Aber wenn der die fragliche Adresse austrägt, dann ist
doch alles gut, oder?

Volker Borchert

unread,
May 11, 2016, 5:02:21 PM5/11/16
to
Marc Haber wrote:
> "Juergen P. Meier" <nospa...@jors.net> wrote:
> >Ich kann das nur anhand eines einzelnen Falls beurteilen:
> >Hetzner bittet bei Abuse-Report gegen ihren Kunden diesen um
> >Stellungnahme.
>
> .... IIRC unter Bekanntgabe der Daten des Beschwerdefuehrers. In
> Antispammerkreisen ist das listwashing und damit Boese Boese.

-v bitte

--

"I'm a doctor, not a mechanic." Dr Leonard McCoy <mc...@ncc1701.starfleet.fed>
"I'm a mechanic, not a doctor." Volker Borchert <v_bor...@despammed.com>

Dietz Pröpper

unread,
May 11, 2016, 5:15:02 PM5/11/16
to
Marc Haber wrote:

> Dietz Pröpper <dietz...@rotfl.franken.de> wrote:
>>Aber iesch weiß, Hätzner ist bäbä, weil man sich nicht an willkürliche,
>>liebgewonnene Prozeduren hält.
>
> Hetzner hat IPv6 nicht verstanden,

*Das* kann ich nicht bewerten.

> sich lange Zeit angemaßt willkürlich Ports zu filtern

Ticket aufmachen, nach 30min Antwort "ist bei Ihnen raus genommen". Sie haben
btw. (eingehend) irc-Ports und SMB gefiltert. Das ist für 90% der Kunden
vermutlich eher nützlich.

> und hat keine brauchbare verlässiglich Konsole.

Konsole wie in "Webkonsole" oder wie in "irgendeine Terminalemulation"? In
ersterem Fall, das Webinterface funktioniert meiner Erfahrung nach recht
zuverlässig.
In letzterem, Ticket aufmachen, dann wird remote-foo angeklemmt und man
bekommt quasi vga+Tastatur (sorry für die holprige Beschreibung, ich hab's das
letzte Mal 2012 benutzt und bin zu faul, zu suchen). Ja. Böses Java-Applet.
Für mich ausreichend.

> Dafür sind sie halt billitsch.

Was ist Deine Empfehlung für "günstig" (d.h. gut und nicht zu teuer)?

Juergen P. Meier

unread,
May 12, 2016, 12:15:21 AM5/12/16
to
Florian Zumbiehl <fl...@florz.de>:
> Ja, warum das ging, ist ja klar, aber warum betreibt man sein Netz so? Und dass

Weil es zu der Zeit nichts anderes gab. Das war bis nach der
Jahrtausendwende nunmal Stand der Technik[tm]. War eh schon
fortschrittlich, dass die Subnetze vergleichsweise klein waren (/27).

> die da ernsthaft Arpwatch genutzt hatten, hatte ich auch eher nicht den
> Eindruck, aber im Zweifel erinnere ich mich da auch nicht mehr an alle Details.

Ich erinnere mich deswegen noch, weil ich mal von so eienm ARP-Spoofer
betroffen war. Das Problem wurde recht bald nach Eroeffnen des Tickets
beseitigt. OB der schnellen Abhilfe empfand ich das damals nicht als
schlimm, auch weil andere HOster zu der damaligen Zeit die gleiche
Architektur hatten.

Juergen P. Meier

unread,
May 12, 2016, 12:39:31 AM5/12/16
to
Marc Haber <mh+usene...@zugschl.us>:
> "Juergen P. Meier" <nospa...@jors.net> wrote:
>>Ich kann das nur anhand eines einzelnen Falls beurteilen:
>>Hetzner bittet bei Abuse-Report gegen ihren Kunden diesen um
>>Stellungnahme.
>
> ... IIRC unter Bekanntgabe der Daten des Beschwerdeführers. In
> Antispammerkreisen ist das listwashing und damit Böse Böse.

Nicht wenn dieser einer Weitergabe seiner Daten widerspricht.
Bei qualifizierten Beschwerdemails sollte das eh ein Standard-
Textbaustein sein.

Es ist bei Domain- ebenso wie Netzinhabern sowieso erst einmal der
oeffentlich ausgehaengte verantwortliche ABusekontakt (whois) zu
kontaktieren und erst wenn dieser nicht helfen kann oder will der
Provider.

Oder erwartest du z.B. bei einer Spam-Beschwerde an Abuse@denic,
dass das DeNIC dir als Domaininhaber und offiziellem Abuse-Kontakt
nicht einfach diese weiterleitet sondern als anonymisierende
Schlichtungsstelle, Exekutive und Judikative auftritt?

In meinem Fall hatte Hetzner mit der Beschwerde erstmal nichts zu
tun, die haette der Beschwerdefuehrer an meinen Abusekontakt
schicken muessen. Die waren nur nicht faehig den Output ihres tollen
Antivirus-Autobeschwerdemeldungstools richtig zu interpretieren und
haben blindlinks auf "Beschwerdemail senden!!1" geklickt, weil
deren AV-Produkt auf meinem Webserver (Domaininhaber und
Abuse-kontakt @jors.net) ein EICAR Antivirus Test Pattern entdeckt
hat. Das AV-Autobeschwerde-Tool hat diese aber an den Ownerkontakt
des uebergeordneten PI-Netzobjektes anstatt den Abuse-Kontakt des
eigenetlichen PA Netz-Objektes (damals hatte ich noch mein eigenes
Subnetz mit meinem eigenen Whois-Eintrag dafuer bei RIPE) geschickt.

Juergen

Stefan Froehlich

unread,
May 12, 2016, 1:01:27 AM5/12/16
to
On Wed, 11 May 2016 06:18:44 Juergen P. Meier wrote:
> > Hetzner ist eigentlich ziemlich gut, ja. Aber dafür habe ich dort,
> > wie gerade erst anderswo geschrieben, immer wieder einmal Probleme,
> > meine Mails (insbesondere an Microsoft-Kunden) loszuwerden. Wobei
> > das anderswo wahrscheinlich auch nicht sehr viel besser sein wird.

> Das war bei Hetzner? Welches RZ, welcher IP-Range ist das?

5.9.99.224/27 und 5.9.160.48/27, beide aus HETZNER-RZ-FKS-BLK5.

(Vermutlich trifft es den ganzen Block und nicht nur die beiden Teile
davon, aber im SNDS von Microsoft sehe ich halt nur Dinge, für die ich
mich als zuständig deklarieren kann)

Zum Jahreswechsel war auch 136.243.0.0/16 HETZNER-RZ-BLK-ERX3 davon
betroffen, aus dem man mir Adressen zum Austausch anbieten wollte.

Lustig ist, wenn im SNDS konsequent steht "Blocked due to user complaints
or other evidence of spamming", die Liste der Inicdents aber ebenso
konsequent leer ist. Und nein, Nachfrage hat um den Jahreswechsel herum
genau gar nicht geholfen.

> Ich habe zwei Server aus 78.46.0.0/15 HETZNER-RZ-NBG-BLK5 und
> 213.239.192.0/18 HETZNER-RZ-NBG-BLK2, und keine Probleme mit
> Microsoft outlook.com/office365.com Empfaengern.

Glück gehabt...

Servus,
Stefan

--
http://kontaktinser.at/ - die kostenlose Kontaktboerse fuer Oesterreich
Offizieller Erstbesucher(TM) von mmeike

Stefan, so sauer wie der Spaß.
(Sloganizer)

Marc Haber

unread,
May 12, 2016, 1:21:08 AM5/12/16
to
v_bor...@despammed.com (Volker Borchert) wrote:
>Marc Haber wrote:
>> "Juergen P. Meier" <nospa...@jors.net> wrote:
>> >Ich kann das nur anhand eines einzelnen Falls beurteilen:
>> >Hetzner bittet bei Abuse-Report gegen ihren Kunden diesen um
>> >Stellungnahme.
>>
>> .... IIRC unter Bekanntgabe der Daten des Beschwerdefuehrers. In
>> Antispammerkreisen ist das listwashing und damit Boese Boese.
>
>-v bitte

Was gibt es da zu verbosisieren?

Marc Haber

unread,
May 12, 2016, 1:21:40 AM5/12/16
to
"Juergen P. Meier" <nospa...@jors.net> wrote:
>Es ist bei Domain- ebenso wie Netzinhabern sowieso erst einmal der
>oeffentlich ausgehaengte verantwortliche ABusekontakt (whois) zu
>kontaktieren und erst wenn dieser nicht helfen kann oder will der
>Provider.

Lall.

Marc Haber

unread,
May 12, 2016, 1:23:12 AM5/12/16
to
"Juergen P. Meier" <nospa...@jors.net> wrote:
>OB der schnellen Abhilfe empfand ich das damals nicht als
>schlimm, auch weil andere HOster zu der damaligen Zeit die gleiche
>Architektur hatten.

Zu der Zeit als ich meine rootservertests machte, war Hetzner mit
solcher Konstruktion alleine auf weiter Flur. Oder, mindestens Strato
und 1&1 machten es zu dieser Zeit schon richtig.

Juergen P. Meier

unread,
May 12, 2016, 1:45:12 AM5/12/16
to
Stefan Froehlich <Stefan...@Froehlich.Priv.at>:
> On Wed, 11 May 2016 06:18:44 Juergen P. Meier wrote:
>> > Hetzner ist eigentlich ziemlich gut, ja. Aber dafür habe ich dort,
>> > wie gerade erst anderswo geschrieben, immer wieder einmal Probleme,
>> > meine Mails (insbesondere an Microsoft-Kunden) loszuwerden. Wobei
>> > das anderswo wahrscheinlich auch nicht sehr viel besser sein wird.
>
>> Das war bei Hetzner? Welches RZ, welcher IP-Range ist das?
>
> 5.9.99.224/27 und 5.9.160.48/27, beide aus HETZNER-RZ-FKS-BLK5.

5/8? Urgs. Das ist zweitklassig. Lass dir nen anderen Prefix verpassen.

> (Vermutlich trifft es den ganzen Block und nicht nur die beiden Teile
> davon, aber im SNDS von Microsoft sehe ich halt nur Dinge, für die ich
> mich als zuständig deklarieren kann)

Ja. 5/8 wurde von einigen misbraucht bevor die IANA das als letzte
Reserve an RIPE delegiert hat, und leider auch danach. Da musst du mit
sowas (und anderen Unbillen) rechnen. Weltweite konnektivitaet braucht
man bei solchen Netzbloecken nicht erwarten, leider. Zu viele filtern
nach wie vor ehemals reservierte und oft auch intern misbrauchte
Netzbloecke. U.A. nutzte das ein VPN-Tunnelprovider fuer seine
Tunnel-interfaces, deswegen tauchten IPs aus diesem Range gerne mal
als Source auf, lange bevor RIPE das vergab.

> Zum Jahreswechsel war auch 136.243.0.0/16 HETZNER-RZ-BLK-ERX3 davon
> betroffen, aus dem man mir Adressen zum Austausch anbieten wollte.

Hmm, das sollte schnell beseitigbar sein.

> Lustig ist, wenn im SNDS konsequent steht "Blocked due to user complaints
> or other evidence of spamming", die Liste der Inicdents aber ebenso

Wirklich der komplette Block?

> konsequent leer ist. Und nein, Nachfrage hat um den Jahreswechsel herum
> genau gar nicht geholfen.

Naja, ueber die christlichen Feiertage, da darf man bei US-Firmen nicht
mit schnellem Support rechnen.

Thomas Hochstein

unread,
May 12, 2016, 3:15:01 PM5/12/16
to
Dietz Pröpper schrieb:

> Biddewie?! Bei gemieteter Hardware? Das ist übel. Hetzner hat die letzten
> beiden Male die Platten innerhalb von 30min nach Meldung getauscht.

Hetzner ist da absolut vorbildlich.

Strato und auch 1&1 sind da eher ... aufwendiger.

Florian Zumbiehl

unread,
May 18, 2016, 2:15:04 PM5/18/16
to
Hallo,

On 2016-05-11, Florian Zumbiehl <fl...@florz.de> wrote:
> Demnach Stand Oktober 2015 49 EUR Einrichtung und 12 EUR/Monat fuer ein /56.

ich habe bei Hetzner mal nachgefragt, und die Auskunft erhalten, dass ein /56
tatsaechlich 49 EUR für die Einrichtung kosten soll. Von monatlichen Kosten war
keine Rede, aber ich habe da auch nicht weiter nachgefragt. Ob sich das fuer
Hetzner tatsaechlich rechnet? Ich vermute ja eher Inkompetenz am Werk.

Gruss, Florian

Christian Meier

unread,
May 20, 2016, 4:07:01 PM5/20/16
to
On Wed, 11 May 2016 22:59:54 +0200, Dietz Pröpper
<dietz...@rotfl.franken.de> wrote:

>> ... IIRC unter Bekanntgabe der Daten des Beschwerdeführers. In
>> Antispammerkreisen ist das listwashing und damit Böse Böse.
>
>Warum das? Würde der Spammer ein paar hitmen vorbei schicken, dann könnte
>ich's ja verstehen. Aber wenn der die fragliche Adresse austrägt, dann ist
>doch alles gut, oder?

https://en.wikipedia.org/wiki/Mailing_list#Listwashing

Dietz Pröpper

unread,
May 21, 2016, 9:20:02 AM5/21/16
to
Ja. Und? Wie geschrieben - wer sich beschwert wird ausgetragen. Sowas als
"böse" zu titulieren deutet auf Zeloten hin.

Jens K. Loewe

unread,
Jun 1, 2016, 4:23:13 PM6/1/16
to
Florian Zumbiehl schrob am 09. Mai. 2016 um 19:18 Uhr dies:

> Sagt mal ... gibt es da draussen irgendwo noch faehige Hoster?

Einfaches (aber sehr umfangreiches) Webhosting: uberspace.de.

(Virtuelle) Server: netcup.de.

Gehen einem beide nicht auf den Sack, haben beide ein nettes Angebot und
sogar mal einen freundlichen Support.

--
Kann Spuren von Nüssen und Umlauten enthalten.

Jamma Tino Schwarze

unread,
Jun 5, 2016, 5:51:53 PM6/5/16
to
Dietz Pröpper <dietz...@rotfl.franken.de> wrote:

>>>> Strato ist einer der wenigen (der einzigste?) Hoster, wo du ein /56
>>>> bekommst. Das ist sehr hübsch, Du kannst Dur das ja per VPN
>>>> wegtransportieren. Aber wehe, wenn aus der HW Flammen schlagen. Das
>>>> Feststellen dass kaputt und die Reparatur können schon mal 3-4 Tage
>>>> dauern.
>>>
>>> Biddewie?! Bei gemieteter Hardware? Das ist übel. Hetzner hat die letzten
>>> beiden Male die Platten innerhalb von 30min nach Meldung getauscht.

Ich hab letztens eine alte Möhre abgelöst, die ist von *blätter* Ende
2006, also fast 10 Jahre alt, unterste Kategorie physische Maschine. Die
hat mal in Phasen Mucken gemacht (dass die keine Hochqualitätshardware
verbauen, ist klar) und wurde, so sie denn mal gemuckt hat, innerhalb
erfreulich kurzer Zeit repariert. Wobei sich der Support i.d.R. als
mitdenkend herausgestellt hat.

>>> Aber iesch weiß, Hätzner ist bäbä, weil man sich nicht an willkürliche,
>>> liebgewonnene Prozeduren hält.
>>
>> Hae?
>>
>> Bisher ist jeder meiner Bekannten, Kollegen etc. die ich zu Hetzner
>> empfahl hellauf begeistert.
>
> Ich bin seit Jahren dort Kunde und ebenfalls nicht unzufrieden.

Dito. Bisher ist Hetzner mir nicht durch Inkompetenz aufgefallen. Gut,
meine Ansprüche sind relativ gering. Aber immerhin.

Jamma.

--
"What we nourish flourishes." - "Was wir nähren erblüht."

www.tisc.de

Dietz Pröpper

unread,
Jun 6, 2016, 2:45:02 AM6/6/16
to
Jamma Tino Schwarze wrote:

> Dietz Pröpper <dietz...@rotfl.franken.de> wrote:
>
>>>>> Strato ist einer der wenigen (der einzigste?) Hoster, wo du ein /56
>>>>> bekommst. Das ist sehr hübsch, Du kannst Dur das ja per VPN
>>>>> wegtransportieren. Aber wehe, wenn aus der HW Flammen schlagen. Das
>>>>> Feststellen dass kaputt und die Reparatur können schon mal 3-4 Tage
>>>>> dauern.
>>>>
>>>> Biddewie?! Bei gemieteter Hardware? Das ist übel. Hetzner hat die letzten
>>>> beiden Male die Platten innerhalb von 30min nach Meldung getauscht.
>
> Ich hab letztens eine alte Möhre abgelöst, die ist von *blätter* Ende
> 2006, also fast 10 Jahre alt, unterste Kategorie physische Maschine. Die
> hat mal in Phasen Mucken gemacht (dass die keine Hochqualitätshardware
> verbauen, ist klar) und wurde, so sie denn mal gemuckt hat, innerhalb
> erfreulich kurzer Zeit repariert. Wobei sich der Support i.d.R. als
> mitdenkend herausgestellt hat.

Meine Erfahrung ist ähnlich. Iirc hatte beim Vorgänger der jetzigen Box auch
mal das MB gesponnen. Ansage vom Support, "könnte MB, Speicher oder CPU sein.
Wollen Sie, dass wir komponentenweise tauschen oder ziehen wir die Platten in
eine neue Maschine um?".

Kann man nicht meckern.

>>>> Aber iesch weiß, Hätzner ist bäbä, weil man sich nicht an willkürliche,
>>>> liebgewonnene Prozeduren hält.
>>>
>>> Hae?
>>>
>>> Bisher ist jeder meiner Bekannten, Kollegen etc. die ich zu Hetzner
>>> empfahl hellauf begeistert.
>>
>> Ich bin seit Jahren dort Kunde und ebenfalls nicht unzufrieden.
>
> Dito. Bisher ist Hetzner mir nicht durch Inkompetenz aufgefallen. Gut,
> meine Ansprüche sind relativ gering. Aber immerhin.

Wenn ich es richtig verstanden habe, dann gab es Fälle mit Spam-Meldungen und
Beschwerden von IRC-Ops, wo die jeweiligen Beschwerden dem Auslöser der
Beschwerde incl. persönlicher Daten des Beschwerdeführers übermittelt wurden.
Das war wohl in grauer Vorzeit nicht so üblich (IRC-Ops und Spamkämpfer haben
ja Sonderrechte...), und so manch einer hat sich da wohl nass gemacht.

Wobei ich sagen muss, dass ich eine Beschwerde ohne Daten des Beschwerde-
führers in aller Regel schnell nach /dev/null verschieben würde. Wen
interessieren anonyme Feiglinge.

Florian Zumbiehl

unread,
Jun 9, 2016, 11:15:03 PM6/9/16
to
Hallo,

On 2016-06-01, Jens K. Loewe <jens.k...@googlemail.com> wrote:
> (Virtuelle) Server: netcup.de.

https://www.netcup.de/ueber-netcup/ddos-schutz-filter.php

"schlechter Traffic"/"Guter Traffic" ... aha!

Und mit "Traffic-Flatrate", deren Kleingedrucktes dann besagt, dass nach 10 GB
Traffic auf 1 kbit/s gebremst werden kann (ist nicht so formuliert, aber darauf
laeuft es hinaus).

Ja, nee, danke, genau solchen Rotz will ich nicht haben.

Gruss, Florian

Friedemann Stoyan

unread,
Jun 10, 2016, 2:47:55 AM6/10/16
to
Florian Zumbiehl wrote:

> https://www.netcup.de/ueber-netcup/ddos-schutz-filter.php
> "schlechter Traffic"/"Guter Traffic" ... aha!

DDoS Schutz ist außerhalb des Privatkunden/Verramscherbereichs durchaus
üblich. Wer einen DDoS mal miterlebt hat, wird das zu schätzen wissen.

mfg Friedemann

Dietz Pröpper

unread,
Jun 10, 2016, 3:25:02 AM6/10/16
to
Friedemann Stoyan wrote:

> Florian Zumbiehl wrote:
>
>> https://www.netcup.de/ueber-netcup/ddos-schutz-filter.php
>> "schlechter Traffic"/"Guter Traffic" ... aha!
>
> DDoS Schutz ist außerhalb des Privatkunden/Verramscherbereichs durchaus
> üblich.

Snake oil ist b2b halt noch wesentlich lukrativer als gegen Privatkunden.

> Wer einen DDoS mal miterlebt hat, wird das zu schätzen wissen.

Angst ist ein schlechter Ratgeber.

Friedemann Stoyan

unread,
Jun 10, 2016, 3:41:15 AM6/10/16
to
Dietz Pröpper wrote:

>>> https://www.netcup.de/ueber-netcup/ddos-schutz-filter.php
>>> "schlechter Traffic"/"Guter Traffic" ... aha!
>>
>> DDoS Schutz ist außerhalb des Privatkunden/Verramscherbereichs durchaus
>> üblich.

> Snake oil ist b2b halt noch wesentlich lukrativer als gegen Privatkunden.

DDoS Schutz ist, im Gegensatz zu Viren-"Schutz", kein Schlangenöl.

>> Wer einen DDoS mal miterlebt hat, wird das zu schätzen wissen.

> Angst ist ein schlechter Ratgeber.

Du sitzt an Deinem Arbeitsplatz. Das "Internet" funktioniert. Und plötzlich, von
einer Sekunde auf die andere nicht mehr. Als ob jemand den Stecker gezogen
hat. Der Stecker ist aber noch drin. Nur schickt man Dir gerade eine 15GBit/s
UDP Flood auf deine Internetanbindung, die physikalisch aber nicht 15GBit/s
kann. Aus die Maus. Wohl noch nicht selber erlebt?

mfg Friedemann

Dietz Pröpper

unread,
Jun 10, 2016, 4:10:02 AM6/10/16
to
Friedemann Stoyan wrote:

> Dietz Pröpper wrote:
>
>>>> https://www.netcup.de/ueber-netcup/ddos-schutz-filter.php
>>>> "schlechter Traffic"/"Guter Traffic" ... aha!
>>>
>>> DDoS Schutz ist außerhalb des Privatkunden/Verramscherbereichs durchaus
>>> üblich.
>
>> Snake oil ist b2b halt noch wesentlich lukrativer als gegen Privatkunden.
>
> DDoS Schutz ist, im Gegensatz zu Viren-"Schutz", kein Schlangenöl.

Aha.

>>> Wer einen DDoS mal miterlebt hat, wird das zu schätzen wissen.
>
>> Angst ist ein schlechter Ratgeber.
>
> Du sitzt an Deinem Arbeitsplatz. Das "Internet" funktioniert. Und plötzlich,
> von einer Sekunde auf die andere nicht mehr. Als ob jemand den Stecker
> gezogen hat. Der Stecker ist aber noch drin.

Horror. Der pure, ungeschminkte Horror. Aber sowas von.

> Nur schickt man Dir gerade eine
> 15GBit/s UDP Flood auf deine Internetanbindung, die physikalisch aber nicht
> 15GBit/s kann. Aus die Maus. Wohl noch nicht selber erlebt?

Und wie unterscheidet der "automatische Filter" von oben "guten" von
"schlechtem" Traffic? Woran erkennt er einen "Angriff"?

Und "erleben" tue ich das regelmäßig - z.B. bei einem größeren Transfer in
Richtung daheim. Der läuft über einen UDP-basierten VPN-Tunnel. Sieht von
außen vermutlich so aus, als würde mich jemand DOSen.

Werner Flamme

unread,
Jun 10, 2016, 4:22:34 AM6/10/16
to
Dietz Pröpper [10.06.2016 10:08]:
>
> Und wie unterscheidet der "automatische Filter" von oben "guten" von
> "schlechtem" Traffic? Woran erkennt er einen "Angriff"?
>
> Und "erleben" tue ich das regelmäßig - z.B. bei einem größeren Transfer in
> Richtung daheim. Der läuft über einen UDP-basierten VPN-Tunnel. Sieht von
> außen vermutlich so aus, als würde mich jemand DOSen.
>

Wer das als DOS erkennt, hat nicht aufgepasst.

Einen Angriff könnte man etwa daran festmachen, dass er eben nicht von
einer einzelnen Adresse kommt. Ich nehme nicht an, dass das bei Dir
befindliche Ende des Tunnels mehrere Adressen gleichzeitig zum Versenden
benutzt.

--

Friedemann Stoyan

unread,
Jun 10, 2016, 4:23:19 AM6/10/16
to
Dietz Pröpper wrote:

> Und wie unterscheidet der "automatische Filter" von oben "guten" von
> "schlechtem" Traffic? Woran erkennt er einen "Angriff"?

Automatisch? Das ist immer (?) manuell. Jemand mit Ahnung kuckt sich das an,
holt sich das Permit, und filtert den Traffic weg. Oder per Geo-IP (nur China
wegfiltern).

> Und "erleben" tue ich das regelmäßig - z.B. bei einem größeren Transfer in
> Richtung daheim. Der läuft über einen UDP-basierten VPN-Tunnel. Sieht von
> außen vermutlich so aus, als würde mich jemand DOSen.

Ist ja wie bei mir…

mfg Friedemann

Joerg Dorchain

unread,
Jun 10, 2016, 8:50:06 AM6/10/16
to
Dietz Pröpper <dietz...@rotfl.franken.de> wrote:

> Und wie unterscheidet der "automatische Filter" von oben "guten" von
> "schlechtem" Traffic? Woran erkennt er einen "Angriff"?

Am evil-bit. Ist doch klar.

Dietz Pröpper

unread,
Jun 10, 2016, 12:00:03 PM6/10/16
to
Werner Flamme wrote:

> Dietz Pröpper [10.06.2016 10:08]:
>>
>> Und wie unterscheidet der "automatische Filter" von oben "guten" von
>> "schlechtem" Traffic? Woran erkennt er einen "Angriff"?
>>
>> Und "erleben" tue ich das regelmäßig - z.B. bei einem größeren Transfer in
>> Richtung daheim. Der läuft über einen UDP-basierten VPN-Tunnel. Sieht von
>> außen vermutlich so aus, als würde mich jemand DOSen.
>>
>
> Wer das als DOS erkennt, hat nicht aufgepasst.

Keine Frage.

> Einen Angriff könnte man etwa daran festmachen, dass er eben nicht von
> einer einzelnen Adresse kommt. Ich nehme nicht an, dass das bei Dir
> befindliche Ende des Tunnels mehrere Adressen gleichzeitig zum Versenden
> benutzt.

Mich stört das "automagisch erkennen". Ich kenn's halt so, dass man im
Zweifelsfall den "DDOS"-Schutz wenn nötig (per Telefon) "aktiviert".

Dietz Pröpper

unread,
Jun 10, 2016, 12:05:02 PM6/10/16
to
Friedemann Stoyan wrote:

> Dietz Pröpper wrote:
>
>> Und wie unterscheidet der "automatische Filter" von oben "guten" von
>> "schlechtem" Traffic? Woran erkennt er einen "Angriff"?
>
> Automatisch? Das ist immer (?) manuell. Jemand mit Ahnung kuckt sich das an,
> holt sich das Permit, und filtert den Traffic weg. Oder per Geo-IP (nur
> China wegfiltern).

Aus dem Link von ganz oben, "Dieser Filter wird automatisch aktiv, sobald eine
ungewöhnlich große Anzahl von Paketen oder eine entsprechend hohe Bandbreite
von Traffic zu Ihrem Server aus dem Internet geschickt wird.".

Manuell filtern ist eine ganz andere Sache.

Dietz Pröpper

unread,
Jun 10, 2016, 12:15:02 PM6/10/16
to
Wie konnte ich das vergessen...

Daniel Krebs

unread,
Jun 10, 2016, 9:28:02 PM6/10/16
to
Dietz Pröpper <dietz...@rotfl.franken.de> wrote:

> > Aber dafür habe ich dort,
> > wie gerade erst anderswo geschrieben, immer wieder einmal Probleme,
> > meine Mails (insbesondere an Microsoft-Kunden) loszuwerden. Wobei
> > das anderswo wahrscheinlich auch nicht sehr viel besser sein wird.
>
> SPF scheint da durchaus hilfreich zu sein.

Theoretisch hast Du da sicher Recht.
Daniel

--
"Die Ratten schrubben das sinkende Schiff
mit der Zahnbürste, mit der Klobürste,
mit der Nietzsche-Büste."
Baader

Thomas Hochstein

unread,
Jun 13, 2016, 3:15:02 PM6/13/16
to
Dietz Pröpper schrieb:

> Mich stört das "automagisch erkennen". Ich kenn's halt so, dass man im
> Zweifelsfall den "DDOS"-Schutz wenn nötig (per Telefon) "aktiviert".

Für unter 15,- € im Monat? Den Anbieter möchte ich auch.

Juergen P. Meier

unread,
Jun 13, 2016, 11:37:16 PM6/13/16
to
Thomas Hochstein <t...@inter.net>:
> Dietz Pröpper schrieb:
>
>> Mich stört das "automagisch erkennen". Ich kenn's halt so, dass man im
>> Zweifelsfall den "DDOS"-Schutz wenn nötig (per Telefon) "aktiviert".
>
> Für unter 15,- ? im Monat? Den Anbieter möchte ich auch.

Vielleicht ist dieser "DDoS-Schutz" ja auch einfach nur das Alibi um
unliebsamen teuren Traffic zu blockieren.
Mit so einem Teil kann man quasi willkuerlich Traffic der Kunden blocken.

Dietz Pröpper

unread,
Jun 14, 2016, 8:05:02 AM6/14/16
to
Ja, den hätte ich auch gerne ;-). Wobei gerüchtehalber hier Hetzner auch ganz
brauchbar sein soll. Selber habe ich's noch nicht gebraucht.

Und halte es für nahezu ausgeschlossen, dass dieser "DDOS"-Schutz irgendeinen
wie auch immer gearteten nützlichen Zweck erfüllt. (Außer natürlich
uninformierte Kunden zu ködern.)

Arnim Sommer

unread,
Jun 14, 2016, 1:14:02 PM6/14/16
to
Dietz Pröpper schrieb am 14.06.2016 um 14:01:
> Und halte es für nahezu ausgeschlossen, dass dieser "DDOS"-Schutz irgendeinen
> wie auch immer gearteten nützlichen Zweck erfüllt. (Außer natürlich
> uninformierte Kunden zu ködern.)
>
.oO(Uniformierte Kunden?)

A°S
--
Sysadmins sind eine Randgruppe ...

... die man nicht verärgern sollte.
Lutz Donnerhacke in de.alt.sysadmin.recovery

Dietz Pröpper

unread,
Jun 15, 2016, 5:00:03 AM6/15/16
to
Arnim Sommer wrote:

> Dietz Pröpper schrieb am 14.06.2016 um 14:01:
>> Und halte es für nahezu ausgeschlossen, dass dieser "DDOS"-Schutz
>> irgendeinen wie auch immer gearteten nützlichen Zweck erfüllt. (Außer
>> natürlich uninformierte Kunden zu ködern.)
>>
> .oO(Uniformierte Kunden?)

Uninformierte, uniformierte Kunden?

Joerg Dorchain

unread,
Jun 16, 2016, 10:52:33 AM6/16/16
to
Dietz Pröpper <dietz...@rotfl.franken.de> wrote:

> Uninformierte, uniformierte Kunden?

Violetter Stoffetzen an der Schulter mit gelber Binde mit 3
Punkten auf olivfarbenen Stoff?


Dietz Pröpper

unread,
Jun 16, 2016, 11:10:02 AM6/16/16
to
Lief das nicht unter "Tarnung"?

Joerg Dorchain

unread,
Jun 20, 2016, 6:58:18 AM6/20/16
to
Eher unter eindeutige Kennzeichnung.
0 new messages