<div>On Mon, 9 Dec 2019 at 12:07, Martin Hoffmann <<a href="mailto:martin@nlnetlabs.nl">martin@nlnetlabs.nl</a>> wrote:</div><div><div class="gmail_quote"><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">
> Now, what is very curious to me is that based on the same data input,<br>
> rpki-client and routinator don't /always/ produce the same output. I'd<br>
> say that it seems that 80% of the time they have the same output, and<br>
> 20% of the time there are minute differences such as below:<br>
> <br>
>     hanna:~ job$ diff rpki-repository.6E17IG9pm/export-routinator.cvs<br>
> rpki-repository.6E17IG9pm/export-rpki-client.cvs 34792d34791<br>
>     < AS207036,<a href="http://200.1.154.0/24,24,lacnic" rel="noreferrer" target="_blank">200.1.154.0/24,24,lacnic</a><br>
> <br>
> Does any one have an idea what can explain these differences? Is there<br>
> perhaps some timestamp difference in an intermediate certificate where<br>
> routinator decides that the ROA for <a href="http://200.1.154.0/24" rel="noreferrer" target="_blank">200.1.154.0/24</a> is not valid, or is<br>
> there some check that rpki-client is maybe skipping over? What made<br>
> '<a href="http://200.1.154.0/24,24,AS207036" rel="noreferrer" target="_blank">200.1.154.0/24,24,AS207036</a>' valid in the eyes of rpki-client, but not<br>
> in the eyes of routinator?<br>
<br>
Isn’t it the other way around? At least I thought the "<" points to the<br>
side where the line actually is?</blockquote><div dir="auto"><br></div><div dir="auto">Yes, routinator has produced a VRP for <a href="http://200.1.154.0/24">200.1.154.0/24</a> - while rpki-client did not produce a VRP covering that prefix. The “<“ means that the line is present in the routinator output, but not the rpki-client output.</div><div dir="auto"><br></div><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">In any case, Routinator does accept it:<br>
<br>
| m@glaurung:/tmp/foo$ faketime "2019-12-05 23:30" \<br>
| > routinator --disable-rrdp -t ~/.rpki-cache/newtals/ -r /tmp/foo/ \<br>
| > vrps -nf csv | grep 200.1.154.0<br>
| AS207036,<a href="http://200.1.154.0/24,24,lacnic" rel="noreferrer" target="_blank">200.1.154.0/24,24,lacnic</a></blockquote><div dir="auto"><br></div><div dir="auto">Yeah - see Claudio’s email. It appears that there is a difference in the validation process between routinator and rpki-client, we need to understand what the correct (and safe) way of handling this particular input data is.</div><div dir="auto"><br></div><div dir="auto">Kind regards,</div><div dir="auto"><br></div><div dir="auto">Job</div><div dir="auto"><br></div><div dir="auto">Ps. I wasn’t aware of “faketime” as a utility! Thanks - that is very useful :-)</div></div></div>