<div dir="ltr"><div dir="ltr">Hi Nikos<div><br></div><div>Prefix propagation is a finicky part of the testbed.</div><div>See <a href="https://talks.ndn.today/" target="_blank">https://talks.ndn.today</a> <span class="gmail-il">PersonalCA_20200529</span>.pptx <span class="gmail-il">page</span> 32-37 and <span class="gmail-il">page</span> 19 for explanation. <br></div><div><br></div><div>Your end host must be able to satisfy Interests for not only your own certificates, but also every certificate in the certificate chain, in order to ensure a successful registration.</div><div>To confirm whether certificate retrieval is a problem:</div><div><ol><li>Stop NFD.</li><li>Start a traffic capture: sudo tcpdump -i eth0 -w 1.pcap 'port 6363'<br>Substitute eth0 with the network interface name that you are using to access the testbed.</li><li>Start NFD, connect to the testbed, and attempt a registration.</li><li>Stop the traffic capture by pressing CTRL+C on the tcpdump.</li></ol><div>Then analyze the traffic trace:</div></div><div><ol><li>Download NDN dissector for Wireshark from <a href="https://github.com/named-data/ndn-tools/tree/master/tools/dissect-wireshark">https://github.com/named-data/ndn-tools/tree/master/tools/dissect-wireshark</a></li><li>Start Wireshark with this command: wireshark -Xlua_script:ndn.lua 1.pcap</li><li>Look at the certificate retrieval Interests from the router to your end host: is there any Interest not satisfied?</li></ol></div><div><div>You can also send the traffic trace to this mailing list thread so that others can have a look.</div><div><br></div><div><br></div><div>Other problematic situations include:</div><div><ul><li>Your certificate or one of the intermediate certificates has expired.<br></li><li>The clock skew between your end host and the connected router must be sufficiently small (I think the limit is 120 seconds). This problem can be prevented by using NTP synchronization. You can view the testbed clock skew situation at <a href="https://ndndemo.arl.wustl.edu">https://ndndemo.arl.wustl.edu</a> page.<br></li><li>You are sharing the same key across multiple end hosts. This would trigger replay attack protection in Signed Interest validation. You need a unique key for each end host.</li><li>If a self-signed, expired, or otherwise invalid certificate is somehow published in the network and exists in the cache, the validator could receive that certificate and then return an authorization rejected error.<br><div>See <a href="https://talks.ndn.today/" target="_blank">https://talks.ndn.today</a> <span class="gmail-il">PersonalCA_20200529</span>.pptx <span class="gmail-il">page</span> 22 for explanation. The solution is #<a href="https://redmine.named-data.net/issues/5112">5112</a> but it wouldn't happen anytime soon.<br></div><div></div></li></ul></div><div></div></div><div><br></div><div>I have been wanting to make a chatbot that automatically diagnoses prefix propagation problems. See ideas in Slack:</div><div><a href="https://named-data.slack.com/archives/C8EUCRW81/p1557570826066700">https://named-data.slack.com/archives/C8EUCRW81/p1557570826066700</a><br></div><div><a href="https://named-data.slack.com/archives/C8P74KF2A/p1568140527179100">https://named-data.slack.com/archives/C8P74KF2A/p1568140527179100</a><br></div><div>Maybe this could happen at one of the future hackathons.</div><div><br></div><div>Yours, Junxiao</div></div><br><div class="gmail_quote"><div dir="ltr" class="gmail_attr">On Thu, Jan 28, 2021 at 12:19 PM Nikos Fotiou via Nfd-dev <<a href="mailto:nfd-dev@lists.cs.ucla.edu" target="_blank">nfd-dev@lists.cs.ucla.edu</a>> wrote:<br></div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex">Hi,<br>
<br>
I have some code that used to make prefix propagation successfully but now I receive an error like the following and my code have stopped working.<br>
<br>
DEBUG: [nfd.Readvertise] advertise /ndn/edu/colostate/%40GUEST/fotiou%<a href="http://40aueb.gr" rel="noreferrer" target="_blank">40aueb.gr</a> failure authorization rejected<br>
<br>
Moreover, I receive the same error when trying to use ndn6-serve-certs from <a href="https://github.com/yoursunny/ndn6-tools" rel="noreferrer" target="_blank">https://github.com/yoursunny/ndn6-tools</a><br>
<br>
Is there any change to the testbed? Or can you guess what might have changed?<br>
<br>
I have tried to attach to udp://<a href="http://ndn.netsec.colostate.edu" rel="noreferrer" target="_blank">ndn.netsec.colostate.edu</a> as well as to udp://<a href="http://mmlab-aueb-1.mmlab.edu.gr" rel="noreferrer" target="_blank">mmlab-aueb-1.mmlab.edu.gr</a> and I receive the same error. I have also tried to create fresh keys but I still get the same error. Finally, I have received keys for /ndn/gr/aueb/fotiou but neither this works.<br>
<br>
Best,<br>
Nikos<br><br>
</blockquote></div></div>