Esta es de \u00abaviso a navegantes\u00bb.<\/p>\n
Contrato un servidor dedicado a estos sinverg\u00fcenzas<\/a>. Y claro, 1and1 no puede evitar darme un regalo de cumplea\u00f1os que \u00abmerezca la pena\u00bb.<\/p>\n Configurando ya el Apache de uno de los dominios que tengo hospedado en el servidor dedicado de 1and1, se me cae la conexi\u00f3n.<\/p>\n Entro por consola serie remota, y veo algo como esto en arranque:<\/p>\n [ 1.706310] forcedeth: Reverse Engineered nForce ethernet driver. Version 0.61. (...)<\/p>\n [ 12.139235] eth0: no link during initialization. adem\u00e1s:<\/p>\n s15310050:\/# cat \/sys\/class\/net\/eth0\/carrier <\/code><\/p>\n Para los no inform\u00e1ticos, y administradores de sistemas de 1and1; significa \u00abhe reconocido una tarjeta de red, pero como no tiene enlace -porque el cable o el switch fallan- no puedo obtener la IP por DHCP\u00bb. Esto es un problema de la red de 1and1, y es el tipo de problemas que todos los proveedores de hospedaje, todos, solucionan cuanto antes.<\/strong> Porque si es mi cable, es mi problema. Pero si es mi switch que ha muerto, es adem\u00e1s el problema de todos los servidores conectados a dicho switch. 24 o 48 servidores que est\u00e1n fuera de red, perdiendo pasta, y que a 1and1 le da lo mismo. Cobran funcione o no la salida a red.<\/strong><\/p>\n Otras cosas. S\u00ed, la IP es fija: la 213.165.84.97. La dan por DHCP, pero es fija. De esto te enteras luego. Vamos a dejarlo ah\u00ed. No quiero que me hierva la sangre, se supone que hoy es mi cumplea\u00f1os.<\/p>\n Mando el correo; teniendo en cuenta el tipo de problema que es, espero respuesta r\u00e1pida. Pasa un dia. Nadie contesta. Sigo entrando por consola. Sigue sin ver enlace. Hago pruebas est\u00fapidas, a ver si algo funciona. (Como ponerle a mano la IP). Pero es est\u00fapido, ya que como no hay enlace, no sirve para nada.<\/p>\n Despu\u00e9s hago lo que hace toda persona desesperada: llamo al amigo que me recomend\u00f3 1and1. Tiene varios dominios y m\u00e1quinas contratadas all\u00ed. Un buen cliente. Le comento el caso, y me dice que porqu\u00e9 no he tomado un ticket, en lugar de un correo electr\u00f3nico. Que los tickets los deber\u00edan atender al momento. Se me queda cara de tonto, y siento alivio. Vale, estaba haciendo las cosas mal, los partes se dan por tickets. Pasamos la pr\u00f3xima hora, el en su ordenador en su casa, y yo en la m\u00eda, en el panel de control buscando en enlace a los tickets. Sorpresa: 1and1 ha eliminado la posibilidad de tickets de soporte de su web: manda un correo, y ya te contestar\u00e1n.<\/p>\n Mal rollo cuando una empresa de este tipo elimina el sistema de tickets: o su sistema es perfecto y no tiene sentido los tickets, o simplemente da tantos fallos que pasan de tener un mecanismo de trazabilidad de los problemas, porque objetivamente no los van a resolver. Entonces viene el momento que temo: cuando abro el caj\u00f3n, y leo el contrato otra vez. Como dec\u00eda un jefe del que aprend\u00ed mucho, los contratos est\u00e1n para comprobar que todos estamos hablando de lo mismo, y despu\u00e9s guardarlos en el caj\u00f3n. Y cuando necesitas abrir el caj\u00f3n, es muy mala se\u00f1al. Leo la letra peque\u00f1a, y veo dos cosas: la primera, que pueden cortarte el enlace si no les gusta el uso que haces de su m\u00e1quina, o ven que te han entrado. Pero te tienen que avisar con un correo. Ese correo no me ha llegado, y adem\u00e1s el \u00fanico servicio activo era el ssh, y la \u00fanica persona que hab\u00eda entrado era yo. Lo segundo, que no te garantizan servicio, ni disponibilidad, ni que nada funcione. Lo de los nueves est\u00e1 en la publicidad, pero no en el contrato. Cuando lo le\u00ed por primera vez no le di tanta importancia y lo achaqu\u00e9 a una cl\u00e1usula defensiva de cara a reclamaciones judiciales ante problemas graves -todos los que hemos administrado sistemas a principios de siglo conocemos a nuestro amigo \u00abel tio de la pala excavadora\u00bb-. Pero el problema es que lo de no asegurarte el servicio los sinverg\u00fcenzas de 1and1 lo llevan muy en serio.<\/p>\n Evidentemente, no se puede llegar ni al servidor ftp para hacer backup que te pone 1and1. Le doy a \u00abrestaurar imagen servidor\u00bb, lo que b\u00e1sicamente te instala una debian nueva, desde cero. Lo pierdes todo. Pierdes un d\u00eda de trabajo completo, que es lo que tengo desde el \u00faltimo backup. Pero el servidor tiene que andar; tienes clientes que no puedes dejar tirados. Aqu\u00ed se abren tres alternativas -teniendo en cuenta que las IPs las sirven por dhcp-. La primera, que tengan un pool de m\u00e1quinas con distros preinstaladas, en cuyo caso al formatear cambias de m\u00e1quina f\u00edsica. La segunda, que esto haga que un operador humano se levante y mueva el culo, porque el proceso no est\u00e9 automatizado. Y la tercera, que el proceso est\u00e9 automatizado; y que, como no funciona la red porque no hay enlace, la m\u00e1quina no sea capaz de restaurar la imagen. <\/p>\n \u00bfSab\u00e9is que ha pasado?<\/p>\n Pues que la m\u00e1quina se ha arrancado, no ha conseguido acceder por dhcp a la reinstalaci\u00f3n, y ha entrado como si nada. Es decir, que no puedo hacer nada m\u00e1s que aguantarme. Al menos me dar\u00e1 pie para que el lunes pueda montarle el numerito a los de 1and1. Lo que probablemente no sirva absolutamente para nada; ya que no es t\u00e9cnicamente un problema de mala atenci\u00f3n, sino de ignorar a un cliente con un problema a nivel de enlace. Un problema f\u00edsico. Desde luego, si ni restaurar el sistema a un debian limpio desde el interfaz web de 1and1 funciona, est\u00e1 claro que el problema no es de software<\/strong><\/p>\n Esto supone dos escenarios, a cada cual m\u00e1s desasosegador:<\/p>\n El segundo, que 1and1 tiene administradores que, o no atienden las peticiones de soporte, o no saben como atenderlas. Un d\u00eda de downtime, y aumentando. O, dicho de otra forma, que salvo que arda el datacenter, el que tienen ah\u00ed estar\u00e1 jugando al buscaminas. Y si arde el datacenter, como saltar\u00e1n los extintores de Xen\u00f3n, dejar\u00e1 de jugar al buscaminas.<\/p>\n (El tercero, actualizaci\u00f3n) Xen, Qemu o cualquier aplicaci\u00f3n de virtualizaci\u00f3n en un servidor dedicado 1and1 se interpreta como una interpretaci\u00f3n de seguridad.<\/p>\n (El cuarto, actualizaci\u00f3n) Diga lo que diga el contrato, 1and1 te puede cortar el servicio cuando quiera, el tiempo que quiera, sin preaviso, y dejarte sin servicio una navidad o una semana santa completa. Basta emplear como escusa la \u00abseguridad\u00bb. Actualizaci\u00f3n a 6\/7\/2009:<\/strong> Finalmente me lo han arreglado, despu\u00e9s de 60 horas de downtime. No han contestado el correo, ni han dado se\u00f1al de vida. Simplemente, han vuelto a conectar el p[r-z]t? enlace:<\/p>\n s15310050:~# cat \/sys\/class\/net\/eth0\/uevent <\/code><\/p>\n He llamado para darme de baja al servicio, al 902 882 11; la primera vez la centralita estaba saturada. La segunda, me han puesto con una se\u00f1orita que me ha informado de que:<\/p>\n No puedo darme de baja hasta dentro de un a\u00f1o. (esto me lo supon\u00eda… ten\u00eda dudas de que fuera como telefon\u00eda, en la que si firmas permanencia y te das luego de baja, basta conque pagues la \u00abmulta\u00bb, y puedes hacerlo. Mea culpa, por contratar el pack de un a\u00f1o como un imbecil, por ahorrar pasta. Al final la broma son 12*40 euros de algo que no me sirve para nada)<\/p>\n La baja es por fax, al 902023296; y hay que mandar fotocopia del dni por dos caras, id cliente, nombre, dni, listado exaustivo de todos los productos contratados para que no te cobren por una ip suelta aunque hubieras dado de baja el servidor -palabras textuales de la que me atendi\u00f3-, fecha y firma.<\/p>\n Actualizaci\u00f3n 2 a 6\/7\/2009:<\/strong><\/p>\n Un par de horas despu\u00e9s de hablar por tel\u00e9fono con la chica de la baja, recibo el correo adjunto:<\/p>\n Como informaci\u00f3n de su inter\u00e9s le proporcionamos el log del sistema a Jul 4 00:45:07 sw-prtr-XX-c.lan.XX.XXXX.XXX 8144: Jul 3 22:45:06.296 En estos momentos su servidor dedicado responde correctamente a las En caso de que desee configurar una IP en su servidor, le recomendamos La \u00abviolaci\u00f3n de seguridad\u00bb es que se dan cuenta que estoy empleando Xen. Lo pintoresco es que, seg\u00fan contrato, me deber\u00edan haber mandado un correo antes<\/em> del corte, explicando la situaci\u00f3n.<\/strong> Yo habr\u00eda explicado que no es un ataque, que mire la MAC, que es una MAC del rango de Xen. Y no habr\u00eda habido problemas. Pero es m\u00e1s sencillo tirar del cable, y que el pr\u00f3ximo d\u00eda laborable el cliente haga penitencia para conseguir recuperar su sistema. Lo siento, pero ya estoy muy mallorcito para ponerme de rodillas a decirle el Mater Ecclesiae, ora pro nobis a alguien con pocas luces y menos conocimiento.<\/p>\n Mi contestaci\u00f3n, por correo:<\/p>\n Lo que usted denomina \u00abMAC spoofing\u00bb es una m\u00e1quina virtual Xen con un dominio contratado a ustedes, en un servidor dedicado contratado a ustedes, empleando una IP contratada a ustedes. Mis limitad\u00edsimos conocimientos sobre el tema no permiten percibir donde est\u00e1 el problema de seguridad en esto; especialmente cuando para hacer MAC spoofing hay que suplantar la identidad de otra MAC ya existente en la red; y, hasta donde llegan mis limitados conocimientos, las MACs del rango 00:16:3e:xx:xx:xx est\u00e1n reservadas para m\u00e1quinas virtuales Xen. El administrador que le llega un paquete de respuesta a petici\u00f3n ARP con MAC 00:16:3e:xx:xx:xx no lo tiene muy complicado para sospechar que si sale por un puerto f\u00edsico un paquete con una MAC de Xen, es una m\u00e1quina virtual de Xen.<\/p>\n Que me conste, el uso de Xen o de cualquier soluci\u00f3n de virtualizaci\u00f3n o de emulaci\u00f3n para separar los dominios contratados y as\u00ed reforzar la seguridad del servidor final ni est\u00e1 prohibido por contrato, ni es un abuso de sus recursos por mi parte. Lo he hecho numeros\u00edsimas veces en entornos de producci\u00f3n. De hecho, este domingo finalmente contrat\u00e9 servidor dedicado en otro proveedor, he hecho la instalaci\u00f3n, y funciona sin ning\u00fan problema. Me ha costado ir a dormir a las tres de la ma\u00f1ana, y que el fin de semana de mi cumplea\u00f1os me quede currando como un burro, pero el problema est\u00e1 resuelto -en otro proveedor.<\/p>\n > En estos momentos su servidor dedicado responde correctamente a las Les recuerdo que seg\u00fan sus condiciones de servicio, mandan un correo al cliente antes de cortarle la conexi\u00f3n si consideran que hay un problema de seguridad.<\/p>\n Si me cortan arbitrariamente el servicio fuera de horario de oficina, espero que el mismo especialista que lo ha cortado lo notifique, y que no me deje colgado hasta que haya alguien localizable. M\u00e1s que nada, por si me hacen esto antes de semana santa o navidad y el corte no es de 60 horas, sino de 150.<\/p>\n La parte positiva es que he aprendido antes de poner algo cr\u00edtico que ustedes pueden cortarme el servicio en cualquier momento, sin previo aviso, aunque eso suponga un incumplimiento por parte de ustedes de sus propias condiciones contractuales. Tambi\u00e9n que por \u00abproblema de seguridad\u00bb basta cualquier cosa que la persona que est\u00e9 a cargo no entienda. Esto me muestra que ustedes pueden ser \u00fatiles para poner unas paginas web est\u00e1ticas no cr\u00edticas, pero no para que ning\u00fan profesional serio ponga ah\u00ed nada que le genere dinero o que sea importante.<\/p>\n La parte negativa es que esta ma\u00f1ana he ido a darme de baja, y me han comunicado que tendr\u00e9 que aguantarles durante un a\u00f1o completo, ya que comet\u00ed el error en confiar y contratar un a\u00f1o de permanencia.<\/p>\n Ustedes est\u00e1n en su derecho de hacerme cumplir el contrato, aunque no cumplieron su parte (vale, aceptamos Xen como peligrosa vulneraci\u00f3n de la seguridad, pero deber\u00edan haber mandado el correo preavisando del corte). Yo estoy en el m\u00edo de, en mis limitad\u00edsimos medios, de contar como me ha ido la historia con ustedes. Conclusi\u00f3n: Con cualquier cosa que est\u00e9 por encima del \u00abumbral de dolor de seguridad\u00bb de 1and1 te cortan la conexi\u00f3n sin previo aviso. Para que entendamos donde est\u00e1 el umbral de dolor de los se\u00f1ores de 1and1, una MAC de Xen se considera \u00abMAC Spoofing\u00bb y una terrible violaci\u00f3n de las normas de seguridad.<\/p>\n En caso de que haya cualquier incidente de seguridad, entendiendo como tal que a alguien de 1and1 se le pase por la cabeza de que algo de lo que utilizas no le gusta, o que el patr\u00f3n de uso de la red no le mola, te cortan el servicio sin preaviso. Y ya lo recuperar\u00e1s, rogando, el pr\u00f3ximo dia laborable.<\/p>\n 1and1 no tiene servicio de tiquets ni personal t\u00e9cnico fuera de horario de oficina para atender incidentes de nivel 1: problemas de hardware o de red achacables a 1and1. Independientemente de la excusa de que fue un problema de \u00abseguridad\u00bb -llamar\u00e9 a McAffee, finalmente ha salido un virus funcional para Linux, se llama Xen-, he \u00abdisfrutado\u00bb todo el mecanismo de atenci\u00f3n a cliente de 1and1 en caso de problemas atribuibles a nivel 1: no son notificables fuera de correos que se atender\u00e1n en horario de oficina. \u00bfRecomendar\u00edas 1and1? No. Especialmente despu\u00e9s de que OVH me prov\u00e9a un servidor con Mandriva un domingo, en media hora, y haya sido capaz de hacer lo que en 1and1 me ha llevado d\u00edas, 60 horas de cortes de servicio, y no haya sido capaz finalmente de hacerlo. <\/p>\n \u00bfRecomendar\u00edas salir escopeteado de 1and1? Si tienes p\u00e1ginas web est\u00e1ticas, o c\u00f3digo cuyo tr\u00e1fico jam\u00e1s pueda ser interpretado como malicioso -lo sea o no-, y te da lo mismo que en fines de semana, noches, y fiestas de guardar el servicio pueda no funcionar, y no te estresar\u00e1s, pues… cada uno donde le pique. Pero a cualquier persona que necesite que el servicio funcione, y si casca la red o el servidor alguien intente solucionarlo, 1and1 es para huir.<\/p>\n Actualizaci\u00f3n a 7\/7\/2009:<\/strong> Finalmente estube hablando con la persona que me mand\u00f3 el correo anterior. Xen no se puede utilizar; y, como el servidor no ha llegado a estar realmente en funcionamiento y lleva contratado tres d\u00edas, con dos de downtime, me permiten cancelar el contrato y no pagar todo un a\u00f1o, sino s\u00f3lamente un mes.<\/p>\n Tags:1and1<\/a><\/span><\/p>\n","protected":false},"excerpt":{"rendered":" Esta es de \u00abaviso a navegantes\u00bb. Contrato un servidor dedicado a estos sinverg\u00fcenzas. Y claro, 1and1 no puede evitar darme un regalo de cumplea\u00f1os que \u00abmerezca la pena\u00bb. Configurando ya el Apache de uno de los dominios que tengo hospedado … Continue reading <\/p>\n
\n[ 1.732654] forcedeth 0000:00:14.0: PCI INT A -> Link[LNKL] -> GSI 23 (level, high) -> IRQ 23
\n[ 1.749683] forcedeth 0000:00:14.0: setting latency timer to 64
\n[ 2.273729] forcedeth 0000:00:14.0: ifname eth0, PHY OUI 0x732 @ 1, addr 00:19:99:27:83:8d
\n[ 2.290238] forcedeth 0000:00:14.0: highdma pwrctl timirq gbit lnktim desc-v3<\/p>\n
\n[ 12.148893] ADDRCONF(NETDEV_UP): eth0: link is not ready
\nListening on LPF\/eth0\/00:19:99:27:83:8d
\nSending on LPF\/eth0\/00:19:99:27:83:8d
\nSending on Socket\/fallback
\nDHCPDISCOVER on eth0 to 255.255.255.255 port 67 interval 7
\nDHCPDISCOVER on eth0 to 255.255.255.255 port 67 interval 12
\nDHCPDISCOVER on eth0 to 255.255.255.255 port 67 interval 19
\nDHCPDISCOVER on eth0 to 255.255.255.255 port 67 interval 18
\nDHCPDISCOVER on eth0 to 255.255.255.255 port 67 interval 5
\nNo DHCPOFFERS received.
\nNo working leases in persistent database - sleeping.
\ndone.
\n<\/code><\/p>\n
\ns15310050:\/# cat \/sys\/class\/net\/eth0\/uevent
\nPHYSDEVPATH=\/devices\/pci0000:00\/0000:00:14.0
\nPHYSDEVBUS=pci
\nPHYSDEVDRIVER=forcedeth
\nINTERFACE=eth0
\nIFINDEX=2<\/p>\n
\n0<\/p>\n
\n El primero, que 1and1 tiene el servicio desatendido. Si arde su datacenter, se enterar\u00e1n el lunes a las nueve de la ma\u00f1ana.<\/p>\n
\n<\/strong>
\n No se cual de los dos me da m\u00e1s grima, pero los dos me dan grima. As\u00ed que la cosa est\u00e1 clara: a llevarme los dominios a otro proveedor que no sea 1and1. Lo que me duele es que les he pagado un a\u00f1o de permanencia, y es un servidor que no me va a servir para nada. 480 euracos tirados. Pero al menos, aviso a los que le\u00e1is esto. Est\u00e1is avisados de como funciona 1and1.<\/p>\n<\/p>\n
\nPHYSDEVPATH=\/devices\/pci0000:00\/0000:00:14.0
\nPHYSDEVBUS=pci
\nPHYSDEVDRIVER=forcedeth
\nINTERFACE=eth0
\nIFINDEX=2
\ns15310050:~# cat \/sys\/class\/net\/eth0\/carrier
\n1<\/p>\n
\nLamentamos su malestar con respecto a esta situaci\u00f3n. Su servidor
\ndedicado, con ID de contrato XYZ, fue bloqueado temporalmente en
\nnuestros switchs por motivos de seguridad, dado que se detect\u00f3 un env\u00edo
\nde paquetes no registrados originado en su servidor. Debe tener en
\ncuenta que este tipo de acciones tienen la consideraci\u00f3n de MAC
\nspoofing, una pr\u00e1ctica no permitida en los servidores alojados en
\nnuestro centro de datos, a fin de proteger a los clientes bajo nuestra
\ninfraestructura.<\/p>\n
\neste respecto:<\/p>\n
\nUTC: %PORT_SECURITY-2-PSECURE_VIOLATION: Security violation occurred,
\ncaused by MAC address 0016.3e49.6873 on port FastEthernet0\/5.<\/p>\n
\nconexiones a trav\u00e9s del protocolo SSH, as\u00ed como a las peticiones ping.
\nLe recordamos que el horario de nuestro servicio de atenci\u00f3n al cliente
\ny soporte t\u00e9cnico es de lunes a viernes de 9 a 21 horas.<\/p>\n
\nque use la configuraci\u00f3n DHCP para ello, teniendo en cuenta que puede
\ncomprobar la configuraci\u00f3n de su Ip actual en \/etc.resolve.
\n<\/em><\/p>\n
\n> conexiones a trav\u00e9s del protocolo SSH, as\u00ed como a las peticiones ping.
\n> Le recordamos que el horario de nuestro servicio de atenci\u00f3n al cliente
\n> y soporte t\u00e9cnico es de lunes a viernes de 9 a 21 horas.<\/p>\n
\n<\/em><\/p>\n
\n<\/strong><\/p>\n