Durch den Kleinkunstpreis drüber gestolpert. Abgrundtief Böse.

Ich bin eben über diesen Artikel gestolpert: Some thoughts on security after ten years of qmail 1.0

Und ich muss sagen. "I am not impressed." Qmail ist so veraltet das es seit Jahren keinerlei relevanz mehr hat und damit auch als attack surface nicht untersucht wird.

Und jetzt stolz drauf zu sein das es keine Bugs gibt ist halt so ein Captain Obvious.

Ich habe noch einen Informatiklehrer im Ohr: "Fehlerfreie Software ist veraltet" und hier scheint Qmail echt ein Paradebeispiel für zu sein.

Das Qmail in sauberer Weise mit defensive programming implementiert ist will ich nicht abstreiten.

Heute morgen DSL und ISDN tot - NTBA leuchtet nicht. Also ist wohl irgendwas an der Leitung.

Telekom angerufen unter 0800-3301000 - man weiss das ja mittlerweile Auswendig:

"Welchen Router haben sie angeschlossen?"
"Das ist doch irrelevant - Der NTBA leuchtet auch nicht - Da ist die Leitung unterbrochen - Es liegt ein Baum auf der Freileitung"
"Ohne den Routertyp kann ich keine Störung auf machen"

Aus dem Kopf den Speedport W700V erwähnt - Eigentlich habe ich da immer noch 5€ Thomson Speedtouch modems dran weil die am besten gehen. Aber soll ich denen noch erklären das ein Debian/GNU/Linux der Router ist?

"Welche Lampen leuchten denn?"
"Keine ausser Power"
"Einen moment ich messe ihre Leitung"

Das Africa Eco Race 2018 hat angefangen und De Rooy ist mit dem Iveco dabei.

Da haben wir ja wirklich Bugs apokalyptischen Ausmaßes. Das spannende ist eigentlich das speculation immer schon ein Problem war.

1996 kam der R10000 oder R10k von Mips Inc. Schon in der Entwicklung war klar das es Probleme mit speculative loads und stores gab. D.h. die CPU hat einfach mal im Speicher gelesen was sie so meinte was demnächst gebraucht werden könnte. Da die Mips CPUs alle einen Soft TLB haben ist das natürlich sofort aufgefallen das da loads laufen und der entsprechende Prozess wurde entsprechend gekillt. Es gab dann je nach Workstation unterschiedliche Workarounds die entsprechend cache invalidation betrieben haben oder über das mapping von teilen des Kernels und Userspaces eben auch wie die aktuelle Kernel Page Table Isolation den Kernel unerreichbar machten.

Zur fast derselben Zeit (1995) kam die Intel P6 Architektur mit dem Pentium Pro. Alle Intel CPUs bis auf wenige Ausnahmen sind von den jetzigen Problemen betroffen. Man hat bei Intel 22 JAHRE! gebraucht um den Side Channel zu entdecken.

Ein Schelm wer böses dabei denkt. Vielleicht wollte man den Side Channel einfach nur für die Schlapphüte offen lassen.

Nun jedoch ist das Chaos perfekt. Jegliche Arten von memory protection über die MMU sind ad absurdum geführt. Es gibt microcode updates, kernel patches und natürlich jede menge neue Browser um die möglichkeit der Ausnutzung über den untrustet code in der Javascript JIT engine zu minimieren.

Dabei ist das ausmaß des Totalschades noch nichteinmal absehbar.

Klar ist - Wir brauchen komplett neue CPU designs. Vielleicht war ia64 von Intel doch der richtige weg.

I used to be running a Bulletin Board System back in the good old days. It was running on an Amiga 3000T040 with the famous C-Net BBS System.

After Harald Welte opened the bbs-revival mailing list i did some research what happened to the software i used to run more than 20 years ago.

C-Net seems to be sold to some Texas Company called Storm's Edge Technologies and is mostly dead since long before. I'd be grateful if the source would be released - somewhere on github. Its some remarkable piece of history.

There is a website called www.cnetbbs.net which is about C-Net.

In the peak times i was running C-Net with 6 lines with US Robotics Courier V.Everything modems on a single Amiga with BSC MFCIII (Multiface 3) serial cards. The MFCIII added another 2 serial ports in a Zorro II slot.

As the Amiga had preemtive multitasking it was no problem to run multiple lines on the same machine. The lack of memory protection made it a little instable but C-Net was a well written piece of software. Together with TrapDoor a FIDO Frontend and AmiTCP + AmiUUCP we had connectivity via "real email".

My Linux "career" began when Linux got its IP stack which was a lot more stable than AmiTCP. I started polling mails from the Linux machine with UUCP and transported it via an Arcnet and AmiTCP + UUCP over IP to the Amiga and my BBS users.

Later i offered IP and ISDN dialup which was served by the Linux system and users of the BBS faded. Around 1994-1996 the Amiga system and the BBS were decommissioned.

Es ist nicht vorgesehen das man bei einem Tolino EBook reader aus dem Browser Formdata cache irgendwas entfernt oder korrigiert.

Also muss man das dingen rooten um dann in dem sqlite des HTMLViewer das manuell zu fixen.

flo@p4:~$ adb shell
# cd /data/data/de.telekom.epub/databases/
# sqlite3 webview.db
> select * from password;

In diesem Fall musste ich ein falsches Password bzw Username in der Onleihe fixen. Die Stadtbücherei Rheda-Wiedenbrück gibt zwar lange Ausweisnummern raus, übermittelt an die Onleihe aber nur 6 Ziffern davon - Das geht auch besser.

Perl wird heute 30 Jahre - Meine rapid-prototyping Sprache der Wahl heute wie seit 10 Jahren - Perl 5.

Ich weiss nicht warum Heise einen abgesang auf Perl5 schreibt. Das CPAN ist bis heute deutlich besser als alles was die anderen Programmiersprachen so bieten.

Sehr schade - Nach 20 Jahren wird AIM abgeschaltet.

(2017-12-14 10:16:02) AOL System Msg: Final reminder: Effective tomorrow, December 15, 2017, AIM will no longer work and you will not be able to sign into any AIM software or apps. Thank you for being an AIM user - we loved working on this product for you. Learn more here: https://help.aol.com/articles/aim-discontinued.

Die sind ja süß von der Sparkasse. Beim ersten Einloggen auf den Webseiten der jetzt fusionierten Sparkasse Gütersloh-Rietberg zeigt die Sparkasse mir meine Stammdaten an und bittet um bestätigung.

Soweit macht das ja Sinn - Ab und zu mal dem Kunden die Stammdaten zeigen.

Aber was entdecken da meine Augen. Angeblich habe ich der Werbung auf den Telefonnummern zugestimmt. Ich bin mir ganz sicher das ICH das nie gemacht habe. Ich bin der erste der solche Absätze in irgendwelchen Verträgen sofort streicht und ganz genau liest.

Also - Wollen wir das ändern. Da reicht nicht etwas da Häkchen wegmachen. Man muss jeden Haken einzeln mit dem TAN Generator bestätigen.

Nachdem ich die Telefonnummern durch habe fällt mir auf das eine entsprechende Spalte bei der Adresse fehlt. Warum? Also mal auf Adressdetails editieren und auch da ein Haken das Werbung erwünscht sei. Also auch den eliminiert.

Und hinterher gleich noch eine Mail an die Sparkasse wo wir der Werbung explizit mit Unterschrift zugestimmt haben. Ich bin mir sicher das ich das nie habe.

Ist das wirklich pfiffig das der Bind ab version 9.9 die secondary zonen, also die für die er slave ist, als binary im filesystem ablegt?

Binary formate haben ja oft das problem das wenn sie corrupten sie auch wirklich gleich ganz verloren sind. Im Ascii file kann der Mensch noch dinge reparieren. Deshalb halte ich u.a. das systemd-journald Thema für abgrundtief kaputt.

Damit ist das mit dem "wir gucken uns mal eben die zone an" auch vorbei.

0x00000000: 00000002 00000001 59D7DE61 00000000     ........Y��a....
0x00000010: 00000000 00000000 00000068 00010006     ...........h....
0x00000020: 00000036 EE800000 00010012 0C726F6F     ...6�........roo
0x00000030: 742D7365 72766572 73036E65 74000040     t-servers.net..@
0x00000040: 01610C72 6F6F742D 73657276 65727303     .a.root-servers.
0x00000050: 6E657400 056E7374 6C640C76 65726973     net..nstld.veris
0x00000060: 69676E2D 67727303 636F6D00 783A3E14     ign-grs.com.x:>.

Dazu kommt das das space saving eher marginal ist:

-rw-r--r-- 1 bind bind    1929 Oct 11 07:25 root-servers.net
-rw-r--r-- 1 root root    2505 Oct 11 09:44 root-servers.net.ascii

Und man kann die raw Files natürlich konvertieren - was aber länger dauert als das parsen/laden einer ASCII Zone mit dem Bind was mir völlig unerklärlich ist.

Dazu kommt das named-compilezone ziemlich komisch agiert. Wenn ich den namen der Zone nicht kenne oder falsch angebe dann lässt sich das Zonefile nicht von raw nach ASCII konvertieren. D.h. im raw File scheinen Informationen zum verstehen des Files zu fehlen.

Ausserdem scheint named-compilezone auch noch Netz zu brauchen um Glue records aufzulösen. Das finde ich an sich schon absolut Kaputt. Wenn dann auf der ISS oder in der Neumayer Station am Nordpol jemand lokale Zonefiles konvertieren muss geht nichts weil gerade der Satellitenlink kaputt ist. Kritische Infrastrukturkomponenten wie DNS, DHCP, Authentisierung müssen im Zweifelsfalle ohne externe Abhängigkeiten funktionieren.

Alles in allem keine wirklich vertrauenserweckende Lösung.

Es scheint aber die möglichkeit zu geben wieder zum alten Verhalten zurück zu kommen in dem man in allen Slave zonen ein

masterfile-format text;

setzt.

An der ganzen Apple APFS Encryption Geschichte finde ich eigentlich nicht das Faktum interessant das das Password angezeigt wird. Am ende ist das ein kleines Programmierfehler

- printf("%s", password);
+ printf("%s", hint);

Fixed. Was ich viel spannender finde.

WARUM HABEN DIE DAS KLARTEXT PASSWORD?

Normalerweise sollte mit dem Password nur der encryption key unlocked und dann vergessen werden. Das Klartext Passwort sollte nirgends gespeichert werden und am besten nicht einmal im Speicher oder Swap verbleiben.

Das ganze Thema ist mega fishy. Da ist mehr kaputt als nur das einzeigen eines Passwords - Da ist das gesamte Handling von Passwörten und Encrpytion Keys kaputt. Und wenn man mal ehrlich ist hört sich das einer semi einfachen Backdoor an. Da ist irgendwo das Passwort - man muss es nur finden.

Mir war das gar nicht so aufgefallen die letzten Jahre das dinge wie httpredir.debian.org etc einzug gehalten haben. Ich hatte die diskussion um die sicherheit von HTTP Redirects verfolgt (Ursprünglich ist apt keinen redirects gefolgt). Heute habe ich dann mal gesucht was es mit dem cdn-fastly so auf sich hat und wieder ein Erkenntnisgewinn in diesem Debian Wiki Artikel.

Alles was wir kannten ist Deprecated. Wer also noch ein httpredir.debian.org, cdn.debian.org, oder debian.net deb sources in der apt/sources.list findet kann das alles rauswerfen. Das zu nutzende CDN ist deb.debian.org was von Fastly und Amazon Cloudfront bereitgestellt wird.

Ouch... Das scheint eine Breitseite für dnsmasq zu sein. Gerne genommen in allen möglichen Cloud stacks um die VMs mit IP Adressen zu versorgen.

Sollte jeder mal schnell nachsehen. OpenWRT und diverse CPEs auf Linux Basis könnten auch noch betroffen sein.

Ich habe mich ja lange dem ganzen Twitter krams verweigert. Die Leute denen ich folgen wollte habe ich mir via RSS eingebunden. Das hat Twitter ja ohne Not vor ein paar Jahren mal beerdigt. Also gibts keine schöne Lösung mehr tweets zu folgen.

Dementsprechend ab sofort: @fl0h0ff

Solange ich keinen schönen command line client habe wird sich das vermutlich auf Langeweilelesen beschränken.

Weil sich am stunnel/openssl ständig was ändert hier nochmal mein Setup für andere:

Auf dem Client in der /etc/postfix/main.cf

default_transport = uucp
relayhost = pax.zz.de

In der /etc/postfix/master.cf in der Zeile mit dem uucp transport das "-r" entfernen damit bei dem queue einer mail sofort das remote system "angerufen" wird.

In der /etc/uucp/port

port SSL
  type    pipe
  command /usr/bin/openssl s_client -host \H -port 4031  

In der /etc/uucp/sys

system pax.zz.de
    call-login *
    call-password *
    time any
    address pax.zz.de
    port SSL
    protocol g

Wenn man dann alle 10 Minuten nach Mails auf dem Server sehen will noch einen schnellen cron eintrag in z.b. /etc/cron.d/uucico

*/10 *  * * *   root    /usr/sbin/uucico -Spax.zz.de

Dann noch in der /etc/uucp/call systemname/login/password hinterlegen und schon ist der client fertig. Schon ist das uucp/mail setup für das Roadwarrior Notebook fertig.

Es gibt so tage da möchte man einfach ins essen Brechen. Nachdem ich vor ein paar tagen ja über das squid apt proxy Paket berichtete ist mir heute aufgefallen das das ganze nur "manchmal" funktioniert.

Ursache ist das der Telekom Speedport W503V der hier noch als WLAN Access Point und 5 Port Switch fungiert einfach alles was nach IPv4 multicast aussieht wegwirft. Damit funktioniert natürlich sowas via Zeroconf/Avahi/Multicast DNS nicht. Damit funktioniert natürlich auch die Proxy detection nicht.

Schön ist das obwohl ich kein IPv6 habe das Avahi trotzdem eine IPv6 Link Local mit dem Proxy findet. Leider kann apt das nicht weshalb die IPv6 Link Locals verworfen werden.

Also muss jetzt ohne alternative halt ein IPv6 ULA (Unique Local Address) her - das equivalent zu RFC1918 im IPv4. Nicht schön - aber mal sehen was wir uns da jetzt für Probleme einhandeln.

Natürlich kommen jetzt so sachen hoch das ACLs nicht mehr passen weil natürlich die clients nicht mehr aus fe80::/14 kommen sondern aus fd::/7:

Spass mit IPv6

Update 20170927:

Bug#876996: squid-deb-proxy-client: ipv6 should be preferred if dualstack

Icinga1 ist ja ein wenig in die Jahre gekommen und trotzdem gibt es noch reichlich installationen. Nicht nur wegen des elendigen mod_perl removals in icinga2.

Leider lässt sich in der Classicui wenig modifizieren weil der gesamte code/html aus C Programmen erzeugt wird. Hier hat man in der Vergangenheit auf templating verzichtet. Wenn man jetzt nicht Wild im C Code hacken will bleibt einem nicht viel andere über als einen Umweg zu gehen.

Dazu bietet es sich an einfach den mitgelieferten javascript code zu erweitern. Am einfachsten ist es skinnytip.js das bei einem aktuellen Debian unter /usr/share/icinga/htdocs/js/skinnytip.js liegt zu ergänzen.

Ein einfacher Hack um einen zusätzlichen Button zu bekommen wäre dieses:

$(document).ready(function() { $(".serviceTotalsCommands").append('<button id="mybutton" type="submit">Ack with RT</button>'); $("#mybutton").click(function() { $("#tableformservice").attr("action", "/cgi-bin/ackwithrt.cgi"); $("#tableformservice").submit(); e.preventDefault(); }); });

skinnytip.js wird schon im Body der Seite durch status.cgi geladen, dennoch verwenden wir jquerys ready Funktion um aufgerufen zu werden sobald die Seite vollständig ist, und fügen dann über dem Drop down der Actions noch einen Button ein. Sollte dieser geklickt werden wird die action url der Form geändert und submitted. Das ganze ist das ein POST und bekommt alle geklickten Services übermittelt.

Der bekommt dann als Parameter im POST:

hostservice: "pax.zz.de^Current+Load"
hostservice: "pax.zz.de^Current+user"

Hier sieht man das das erste der Hostname ist, getrennt durch eine Tilde ^ und den jeweiligen Service.

Damit kann man dann zum Beispiel eine Liste der Tickets anzeigen die zulest eröffnet worden sind, und diese Services damit Acknowledgen, bzw die damit Acknowledgten Services als comment ins Ticket packen. Alternativ kann man ein neues Ticket eröffnen. Nicht selten ist der Workflow ja das nachträglich Events auftreten die zu einem vorherigen Ticket gehören. Schon sind im Incident handling wieder 10 Klicks und Übertragungsfehler eliminiert.

Ich las gerade einen Artikel auf LinkedIn und mir sprang ein Satz ins Auge:

The best people always suffer the worst from bad leadership.

Deshalb sind Firmen die gute Leute gewinnen und halten können so selten. Man macht den besten Techniker zum Teamleiter und dann gilt das Peter Prinzip. Ab hier geht es dann nur noch Bergab.

Sehr spannendes Profil sucht die dSpace da.

Einen Arzt für

Herz- und Gefäßchirurgie Tätigkeit im OP-Bereich sowie auf der operativen Intensivstation

Wenig später soll der Bewerber noch mitbringen:

MicroAutoBox Embedded SPU Eigenständige Entwicklung von Treibern, Ethernet-Stacks, Bootloadern oder Root-Filesystemen sowie Portierung von geeigneter Open-Source-Software auf dem eingebetteten Linux-Betriebssystem [ ... ] C, C++ oder einer anderen höheren Programmiersprache Sehr gute Kenntnisse in Linux-Kernel- und Treiberprogrammierung.

Irgendwie sieht das ja nach einen Bug in der LinkedIn Software aus die da 2 Stellenausschreibungen ineinanderwurstet. Mittendrin tauchen auch noch spannende "CDATA" tags auf.

Eben per Zufall entdeckt - 2 Pakete die zum einen einen squid auf einem host aufsetzen optimiert für apt/deb's und einen host via mdns aka avahi/zeroconf announcen, und zum anderen ein paket das apt so konfiguriert das er nach ebendiesem host sucht:

squid-deb-proxy-client
squid-deb-proxy

Sehr schicke schnelle Lösung um einem DSL Light Beine zu machen.

Zu mediaWays Zeiten haben wir uns einen Spaß daraus gemacht am Pfeifen die Modulation/Carrier zu erkennen. Mit ein bisschen Erfahrung hat das immer Funktioniert. Nur was man da im Detail hört war uns nicht klar.

Hier mal eine Erklärung für einen V.90/V.92 connect - Sehr spannend.

Ich bin um die Jahrtausendwende ja mal in Neufundland gewesen. Der östlichste Teil Kanadas ist traumhaft und vor allem ziemlich dünn besiedelt.

Hier ist jemand mal mit dem Fatbike in Neufundland unterwegs gewesen und zeigt die schönheit dieses Landesteils:

Vorletztes Wochenende bin ich mit 2 Kollegen auf der FrosCon gewesen. Viele Vorträge mit wechselnder Qualität - nichtsdestotrotz eine Quelle neuer Inspiration.

Ein Vortrag der mir besonders gefallen ist von Martin Hoffmann von der Commitor. Ursprünglich reizte mich das Thema VMS (Ich habe selber noch eine MicroVAX 3100 mit einem VMS 5.41 mit der Inventarnummer "ZIR01"). Viel spannender waren aber am Ende die Zwischentöne und ganz besonders der Hinweis auf Clare Graves Theorie "The Emergent Cyclical Levels of Existence Theory" und deren weiterentwicklung Spiral Dynamics. Es waren nur 3 Minuten in denen er darauf eingegangen ist aber es hat mich animiert hinterher zu recherchieren und es ist wie eine Offenbarung.

Mit einem mal landen Linux Kernel mails in der Inbox. Nichts ungewöhnliches - von zeit zu zeit ändern die Mailinglisten halt ihre EMail Adressen oder List-IDs ... Aber diesmal war es anders - Das .procmaillog spuckte einen Fehler aus:

procmail: Opening "lists/linux-kernel"
procmail: Acquiring kernel-lock
procmail: Error while writing to "lists/linux-kernel"
procmail: Truncated file to former size
procmail: Unlocking "lists/linux-kernel.lock"

WTF? Was geht denn hier ab - Warum kann der nicht mehr in die Datei schreiben?

flo@pax:~$ ls -la Mail/lists/linux-kernel
-rw------- 1 flo flo 999999904 Aug 28 12:47 Mail/lists/linux-kernel

Warum zum Henker hat procmail ein 1GB Limit für eine Mailbox?

Ganz spannender Foliensatz für Menschen die sich noch nie mit Optik im Netzbereich beschäftigt haben.

Chromatische Dispersion, Multi vs. Singlemode fiber etc:

https://www.nanog.org/sites/default/files/2_Steenbergen_Tutorial_New_And_v2.pdf

Das neue Internet Meme zum Thema Schrauben:

Wir werden morgens wach weil es beginnt zu Regnen - Also schnell aus dem Zelt und alles unter einen Pavillion retten. So kann das Zelt trocknen während wir Frühstücken. Nach ein paar Stunden ist alles auf und in den Rädern und im Anhänger da bemerkt Henri einen Plattfuß am selbigen.

Also alles wieder raus - Räder ab und Flicken - Ein Glassplitter

Danach kann es losgehen. Anfänglich noch weit vom Wasser entfernt um die Vororte von Kopenhagen herum, später dann in den Vororten 50m neben dem Wasser 20km auf Kopenhagen zu. Anfänglich ist es noch Grau und es Regnet und wir sind komplett Nass. Kaum kommt Kopenhagen näher hört es auf und die Sonne kommt raus so das wir in der Sonne irgendwann am Strand entlangradeln.

Man merkt den Urbanen einfluss. Überall Rennradfahrer, Jogger, Nordic Walker teilweise hat man den Eindruck man muss Slalom um alle drumherum fahren.

In Kopenhagen dann 3 Spurige Radwege mit Abbiegespuren, Ampeln mit eigenen Fahrradphasen und mehrstöckige Fahrradparkhäuse am Bahnhof.

Ein Erlebniss - aber nur dann wenn man nicht 2 kleine Kinder hinter sich herfahren hat die mit der Situation noch überfordert sind.

In Kopenhagen angekommen ging es direkt zum Hauptbahnhof was alleine schon ein Abenteuer ist wenn man sich mit einem mal auf 3 Spurigen Fahrradwegen wiederfindet die mit einem mal in alle richtungen Abbiegespuren haben. Angekommen direkt zum Reiseauskunft und 5 vor 6 da reingeschlüpft. Nach nur einer Stunde die ernüchtende Auskunft. Vor Mittwoch wird das mit der Heimreise nichts. Die Strecken Kopenhagen/Hamburg wird von der Deutschen Bahn bedient und die hat im IC wie wir ja schon wissen nur begrenzte mitnahmekapazitäten für Fahrräder.

Also war guter Rat teuer. Erster Versuch - Ein Mietwagen - Rund 800-1000€ teuer (da nur oneway) und natürlich eh am heiligen dänischen Samstag nicht mehr zu bekommen. Ab 15:00 am Samstag sind selbst die Nationalen Hotlines von Hertz, Avis, Europcar und Sixt auf den Anrufbeantworter geschaltet.

Die Nächste Idee - Wir fahren mit dem Regionalzug bis Rodby und dann mit dem Rad auf die Fähre nach Puttgarden um dann von Puttgarden mit dem Regionalexpress weiter. Nach ein wenig Bahnverbindungen studieren hätte das funktioniert, allerdings auch erst am Sonntag.

Nächste Idee - Flixbus - Die Einzige verbindung von Kopenhagen nach Deutschland die noch Radkapazitäten hatte war Samstag Abend 21:55 ab Kopenhagen bis 6:30 Bremen am morgen. Lange in der Hotline gehangen wegen dem Anhänger der ja auch irgendwie mit musste und final dann doch selber gebucht über die Webseite. Schnell noch den Bushalt gesucht (und gefunden). Dann hatten wir noch ein paar Stunden die wir mit ein wenig Sightseeing und Karten schreiben verbracht haben.

Um 22 Uhr kam dann der Bus und das verladen der Räder, Anhänger, Satteltaschen und Co war überhaupt kein Problem und so fuhren wir in die dänische Nacht.

Nach einigen halten waren wir tatsächlich morgens um 6:30 am Bremer Hauptbahnhof. Kaum aus dem Bus begann auf der anderen Straßenseite eine Schlägerei mit lautem Gebrüll. Als ich einen Anwohner drauf ansprach meinte der nur "Das ist hier jeden Tag so" ... Schnell die Räder zusammengesetzt und den Anhänger zusammengebaut, beladen und ins Bahnhofsgebäude geflüchtet. Zwischendurch flogen noch ein paar Bierflaschen an uns vorbei. Im Bahnhof war Ruhe - Dank der Bundespolizei die relativ martialisch aussehende Kollegen direkt an den Eingangstüren postiert hatte.

Also Frühstücken und auf den Bahnsteig - Erster halt Wunstorf. Angezeigt war das der Fahrradwagon am Ende war. Natürlich als der Zug einfuhr war er am Anfang. Also eilig auf die andere Seite radeln - nicht ohne sich anzuhören das man auf dem Bahnsteig nicht rad fahren darf.

In Wunstorf raus und siehe da - Von gleis 2 auf 7 ist doch nur einmal ebenerdig am Bahnhofsgebäude vorbei. Eine halbe Stunde warten und eine Minute bevor der Zug einfährt eine Anzeige das der Zug auf Gleis 9 einfährt. Alle spurten los - aber der Zug ist weg bevor wir das erste Rad in den Tunnel getragen haben weil Gleis 7 keinen Fahrstuhl hat.

Also auf den nächsten Zug gewartet der auch Planmäßig auf Gleis 7 einfährt und ab nach Minden. In Minden auch nur ein kurzer Aufenthalt dann weiter nach Gütersloh wo welch Wunder der Fahrstuhl funktioniert.

Liebe Deutsche Bahn: Ihr seid ein absolutes Desaster.

Erst ist der Fahrstuhl in Rheda-Wiedenbrück mit Bauschutt blockiert. Dann ist schon auf der Hinreise im IC die Radplätze doppelt gebucht. Dann brauchen wir im Bahnhof Berlin mehr als 45 Minuten um mit 3 Rädern zum Ausgang zu kommen weil der Fahrstuhl nur ein Rad aufnimmt und ewig braucht um wiederzukommen - Und das abends um 22:00. Auf der Rückfahrt dann keine Kapazitäten im Fernverkehr, unzuverlässige Angaben wo die Fahrradmitnahme im Zug möglich ist d.h. kein Wagenstandsanzeiger für den Regionalverkehr. Dann Züge die mit 2 Minuten voranküngigung auf einem anderen Gleis einfahren und fehlende Fahrstühle.

Fahrrad mit der Deutschen Bahn ist mehr Abenteuer als bequem - so ein bischen wie die Minen von Moria.