Erstes Login für einen absoluten Neuling und weitere Fragen

  • Hallo netcup-Forenuser,


    ich bin absoluter Neuling auf einem netcup Server. Etwas Linux-Kenntnisse sind vorhanden, aber ich bin nicht der Freak und weiß einiges was ich mit Hilfe des Internets so zusammen gesucht habe

    Ich habe einen Server bei netcup gebucht um zu testen ob ich damit klar komme.

    Per FTP kann ich die Ordner cdrom und images sehen, aber ich wollte mal zum probieren ein ISO hoch laden hat nicht funktioniert kam eine Meldung kritischer Übertragungsfehler, was auch immer das nun ist..? Ist jetzt erstmal zweitrangig.


    Dann habe ich eine Frage um eine Domain zum Server zu verbinden, da ich mit Hilfe dieser Domain einen Nginx-Proxymanager befüttern möchte.

    Die Domain erscheint als zusätzliche Domain was bei einem Server normal ist, da ich sie gestern vom alten Provider mit Webhosting transferiert habe.

    Inklusiv Domain gibt es nur bei Webhosting Paketen, habe ich erfahren.


    Ich wollte nun gern wissen wie man es macht, wenn ich zuhause auf meinem Nginx-Proxymanager die Subdomains leiten möchte.

    Unter Domains habe ich schon die DNS Einträge mit meiner IP belegt, dass ist erledigt.


    Muss oder soll ich dazu einen VPN Tunnel erstellen vom Server zu meinem Proxmox zuhause erstellen.?

  • Hay,


    "absoluter Neuling" und dann einen VPS/root-Server sehe ich erstmal kritisch. Werden andere sicher noch was dazu sagen.


    Es ist aber nicht so klar, was Du möchtest, wenn ich es richtig verstanden habe, hast Du eine Domain zu netcup transferiert, die grundsätzlich auf Deinem Server bedient werden soll, aber Subdomains dazu von einem Server, der bei Dir zuhause steht.


    Einfachste Lösung - und völlig ohne VPN:


    Insofern braucht der DNS für die Subdomains die IP von zuhause, d.h. Du braucht in Deinem häuslichen Router z.B. einen dynDNS-Service, d.h. Deine häusliche IP-Adresse, auch wenn sich diese ggf. durch Zwangstrennung ändert, wird mit einer synthetischen Domain verbunden, unter der sie erreibar bleibt, z.b. irgendwas mit myhome.dyndnsservice.org kommmt da raus.


    Anschließend trägst Du die Subdomains in den DNS ein, aber nicht mit einem AA/AAAA-Record (="IP Adresse"), sondern mit einem CNAME-Record. In diesen trägst Du myhome.dyndnsservice.org jeweils ein. Dann schaut ein Browser bei Deiner Subdomain erst nach dem DNS, DNS antwortet: Such die IP vom CNAME, CNAME liefert Haus-IP und schwupps landet die Anfrage dort. Dann muss Dein Hausserver nur noch auf die Domain antworten und gut ist.


    [Dass man ähnliches auch mit der DNS API von Netcup selbst bauen kann, erwähne ich nur. Nix für Neuling!]


    Die Hauptdomain bzw (www) setzt Du mit der IP von Deinem neuen Server in den DNS.


    Fertig.


    Dann nur noch schnell den Server absichern (root-login sperren, privaten key einrichten, sudo einrichten, firewall konfigurieren, fail2ban installieren usw.) und Du bist durch (hahahaha). Und Finger weg von E-Mail fürs erste. Und ich hoffe, Dein Server steckt nicht einem Netzwerksegment, in dem einer von meinen auch steckt.


    CU, Peter

    Peter Kleemann // https://www.pkleemann.de // +49 621 1806222-0 // Kann Programme, Internet, Netzwerke und Telefon.

    5 Mal editiert, zuletzt von CmdrXay ()

  • Ich habe einen Server bei netcup gebucht um zu testen ob ich damit klar komme.

    Zu deinem ersten Satz..... Deshalb schrieb ich es auch so ;)


    ...und ja ich weiß oder wußte es nicht das es so kompliziert ist.


    Ich erkläre es mal kurz und evtl. habt ihr eine Lösung dazu.

    Ich habe hier zuhause einen Proxmox Server laufen, da drauf ein LXC mit dem eigentlich überall bekannten Nginx Proxymanger.


    Der NPM hat eben Subdomains enthalten die auf z.B. Kameras gehen oder eben andere Geräte. Das hat bisher alles gut geklappt, bis vor ca. 2 Wochen, da ging gar nichts mehr.

    Der Grund war meine IPv4 wurde von der Fritzbox temporär blockiert... weil ich mit meinem DS-lite Glasfaseranschluß nur noch eine IPv6 bekomme.

    Die DNS Adressen waren nicht mehr aufrufbar. Fragt mich nicht warum der alte Provider mit dem Webhosting dort konnte mir nicht mehr weiterhelfen.

    Das Update in der Fritzbox funktionierte nicht mehr.


    Egal die Fritzbox ist sicher nicht das beste, aber ich muss sie wegen der Telefonie über Glasfaser lassen.

    Den alten Webhosting Tarif habe ich zum Endtermin gekündigt und so kam mir die Idee mit dem Server bei netcup

    Ich dachte mir das ich mit einem Server (netcup) der evtl. auch Proxmox drauf hat und den NPM, dass ich dann über VPN in mein Netzwerk zu meinem lokalen Proxmox komme. Der läuft sowieso schon mit einigen LXCs.


    Ob ich da nun den richtigen Ansatz habe weiß ich nicht, also nicht über mich lustig machen, dass hilft mir nicht weiter ich dachte das Forum ist da um auch Neulingen beim Einstieg zu helfen.


    Wie gesagt bitte den 1. Satz beachten, es ist ein testen oder probieren könnt ihr euch aussuchen ;) man gut das ich nicht so empfindlich bin 8o


    Und evtl. ergeben sich noch ander tolle Dinge die ich mit dem Server machen kann... und wenn nutze ich ihn eben nicht mehr, dass wird sich zeigen.

  • Ich dachte mir das ich mit einem Server (netcup) der evtl. auch Proxmox drauf hat

    Debian installieren über die Images oder bereits verfügbaren ISOs.

    Proxmox mit dieser Anleitung installieren: https://pve.proxmox.com/wiki/I…_VE_on_Debian_11_Bullseye


    Zu dem Rest: Willst du wirklich deine Kameras für das ganze Internet über einen Server erreichbar machen?

    Wenn ja, kannst du über den Server auf eine IPv6 Adresse weiterleiten über einen Proxy - der über IPv4 dann im Internet erreichbar ist.

    Dafür brauchst du kein VPN, und kein Proxmox.

  • Hay,


    nur zum Verständnis aus "unserer" Sicht - also die der langjährigen Forenteilnehmer und User:


    Du kannst und darfst einen Server, der öffentlich erreichbar ist, NUR ernsthaft betreiben, da ist "nur zum testen" / "nur um zu zu spielen" genau das, was die Sache für uns negativ werden lässt. Dinge, die Du auf dem Server falsch machst und deswegen gehackt wirst - oder zur Spamschleuder wirst - wirken sich auf die Netzwerknachbarn negativ aus.


    Ansonsten sieht mir das alles, was Du machen möchtest, recht kompliziert aus. Wen Du zuhause keine öffentliche IP Adresse bekommst (also carrier grade nat, CGN), hilft Dir tatsächlich nur ein reverse Proxy auf dem Server selbst und tatsächlich dann ein VPN (OpenVPN, WireGuard etc.).


    Wenn es kein CGN ist, sondern "nur" statt IPv4 eine IPv6, dann gilt alles wieder so, wie ich geschrieben habe - auch IPv6 funktionieren mit einem passenden dynDNS-Service, es sind dann aber halt keine AA, sondern AAAA records.


    NIemand macht sich über Dich lustig (außer Du provozierst es und verhälst Dich selbst wie ein Kasper). Aber wir warnen. Das Forum ist nicht nur zur Hilfe gedacht, sondern auch zur Gefahrenabwehr, also um Leute von Schritten abzuhalten, die (auch) anderen Schaden verursachen. Man ist im Netz nicht alleine. Und auf einem Server von Neulingen ist dieser ggf. auch nicht lange alleine.


    CU, Peter

    Peter Kleemann // https://www.pkleemann.de // +49 621 1806222-0 // Kann Programme, Internet, Netzwerke und Telefon.

    Gefällt mir 3
  • Du kannst und darfst einen Server, der öffentlich erreichbar ist, NUR ernsthaft betreiben, da ist "nur zum testen" / "nur um zu zu spielen" genau das, was die Sache für uns negativ werden lässt. Dinge, die Du auf dem Server falsch machst und deswegen gehackt wirst - oder zur Spamschleuder wirst - wirken sich auf die Netzwerknachbarn negativ aus.

    da bin ich voll bei dir, das hatte ich so auch nicht vor.


    Habe ja nun schon einen Ansatz und werde ich mit allem ausgiebig beschäftigen und weiter fragen.


    Zu dem Rest: Willst du wirklich deine Kameras für das ganze Internet über einen Server erreichbar machen?

    Wenn ja, kannst du über den Server auf eine IPv6 Adresse weiterleiten über einen Proxy - der über IPv4 dann im Internet erreichbar ist.

    Dafür brauchst du kein VPN, und kein Proxmox.

    da denke ich noch drüber nach wie ich das am besten machen kann. Bei VPN denke ich immer das es über solch einen Tunnel am sichersten ist.?!

    Ich kann ja über den NPM alles mit Passwort zugänglich machen.

  • AA/AAAA


    keine AA, sondern AAAA records.

    Ein A genügt für IPv4. <ironie>Nicht, dass jemand auf die Idee kommt 64 Bit breite IP Adressen zu erfinden und es dann IPv5 zu nennen.</ironie>

    Finde ich eigentlich eine gute Eselsbrücke: IPv4: 32 Bit => ein A | IPv6: 128 Bit => vier A (4 x 32 = 128)


    Back to topic:



    Bei VPN denke ich immer das es über solch einen Tunnel am sichersten ist.?!

    Zumindest musst du dann keinen Port an deiner Fritzbox öffnen. Ein Tunnel erlaubt dir nur, das "Sicherheitsgateway" auszulagern auf einen Server.

    Wenn dort die Sicherheit unzureichend ist, kann über den Tunnel auf dein Netzwerk zugegriffen werden.

    Ein Vorteil hat es, du musst dich nur einmal um TLS / https kümmern.


    Ich kann ja über den NPM alles mit Passwort zugänglich machen.

    Ja, wenn die Zugangsdaten nicht durch Bruteforce zu erraten sind. Die Absicherung über htaccess sollte jedoch immer überprüft werden.


    Wenn du der Einzige bist, der darauf Zugriff benötigt, bietet sich auch ein SSH Tunnel an. Das ist nochmal sicherer und bietet Fremden noch weniger Angriffsfläche.

  • Hay,

    Ein A genügt für IPv4

    sorry, natürlich. Hatte in der letzten Zeit zuviel mit Batterien zu tun (mich nervt nämlich gerade, dass mein Fotoapparat jede Woche einen Satz AA Batterien frißt, aber AA Akkus zu schwach sind), wo es bekanntermaßen AA und AAA gibt - womit wir dann endgültig alle /A{1-4}/ zusammenhätten.


    CU, Peter

    Peter Kleemann // https://www.pkleemann.de // +49 621 1806222-0 // Kann Programme, Internet, Netzwerke und Telefon.

    Einmal editiert, zuletzt von CmdrXay ()

    Haha 5 Ente gut, alles gut 1
  • Was für ein Glasfaseranschluss ist es denn überhaupt? Evtl kann man ja das Grundproblem lösen und braucht sich dann nicht um Krücken (VPN über Server) unterhalten.


    Und was für Kameras sind es. Denn evtl geht ja auch hier etwas.

    RS Ostern L OST22 (~RS "3000" G9.5) (8C,24GB,960GB) | RS Cyber Quack (1C,2GB,40GB)

  • Hay,

    Bei VPN denke ich immer das es über solch einen Tunnel am sichersten ist.?!

    ich möchte es etwas differenzierter formulieren:


    Ja sicherer unter diesen Aspekten:

    • Wenn Du den Tunnel (nur) über einen reverse Proxy für HTTP/HTTPS benutzt, exponierst Du Deine häusliche IP-Adresse der Fritzbox nicht
    • Angriffsvektor existiert in dem Fall nur über Vulnerabilitäten des Webservers zuhause - was aber auch mit der CNAME/DynDNS-Konstruktion der Fall wäre

    Nein, unsicherer unter diesem Aspekt:

    • Wenn Dein Server gehackt wird und Du über Deinen Heimserver keine weiteren Sicherheitsmaßnahmen ergriffen hast, liegt Dein Heimnetzwerk offen. Und wenn der Hacker den Server knacken konnte, wird ihn ggf. der Heimserver nicht aufhalten

    Deswegen: Auf dem Heimserver müssen mindestens dieselben Sicherheitsmaßnahmen ergriffen werden wie auf dem VPS/root-Server. Der Heimserver sollte in einer DMZ stehen, so dass Heimnetz zum Heimserver noch zusätzlich abgeschirmt wird. Idealerweise tunnelst Du nur den Server (also client-to-client-VPN) und nicht das Netzwerk (network-to-network VPN).


    Aber ich glaube, das wird jetzt zu detailliert...


    CU, Peter

    Peter Kleemann // https://www.pkleemann.de // +49 621 1806222-0 // Kann Programme, Internet, Netzwerke und Telefon.

  • Was für ein Glasfaseranschluss ist es denn überhaupt? Evtl kann man ja das Grundproblem lösen und braucht sich dann nicht um Krücken (VPN über Server) unterhalten.


    Und was für Kameras sind es. Denn evtl geht ja auch hier etwas.

    Es ist ein DS-lite Anschluß.

    AVM schreibt für seine Fritzboxen dazu folgendes


    Zitat

    Mit DS-Lite sind fast alle IPv4-Anwendungen uneingeschränkt nutzbar. Lediglich der Zugriff über das Internet auf die FRITZ!Box oder Geräte im Heimnetz ist per IPv4 nicht möglich, da die FRITZ!Box vom Internetanbieter keine öffentliche IPv4-Adresse erhält. Im Heimnetz betriebene Server sind somit nicht per IPv4 aus dem Internet erreichbar.

    Die Kameras sind Mobotix etwas ältere M10 und MX-12


    Zu den Absicherungen, ich überlege noch ob ich es über meine OPNsense mache, mit der stehe ich aktuell noch auf Kriegsfuß oder ich nutze ein VLAN meines Edgerouter-X und auch dieser hat ja eine Firewall mit drin, ob und wie ich sie nutze weiß ich noch nicht.

    Bin da noch am überlegen welches die beste Möglichkeit ist.

    Ein extra VLAN ist aber auf jeden Fall unumgänglich

  • Anbieter ist htp Hannover Surf & Fon 250.000er

    Laut https://www.faktorzwei.de/blog…_oder_ipv4_oder_dualstack kann man sich anscheinend von HTP Dualstack (IPv4 und IPv6) schalten lassen. Das würde ich auch unbedingt anstreben. Damit ist dann Dein ganzes Vorhaben unnötig.


    Die Kameras sind Mobotix etwas ältere M10 und MX-12

    Die sind aber schon wirklich alt. Modernere Hardware könnte sich über PoE mit Strom versorgen und auf Apps streamen, auch ohne DynIP und sonstiges Zeuch (z.B. Unifi).

    RS Ostern L OST22 (~RS "3000" G9.5) (8C,24GB,960GB) | RS Cyber Quack (1C,2GB,40GB)

    Einmal editiert, zuletzt von TBT ()

  • Ja die sind alt werden aber auch über PoE betrieben ;) und funktionieren seit vielen Jahren ohne Problem

    ...aber die UniFi Protect G4-Bullet habe ich auf dem Schirm und möchte ich gerne haben ;)


    Das andere Thema schaue ich mir mal an...

  • Ich habe ebenfalls als Neuling direkt mit einem VPS angefangen. 3 Jahre später ist immer noch nichts schlimmes passiert.

    fast dito. also nur 2 Jahre. Trotzdem habe ich immer wieder mal Anfängerfragen. vorher,beim roten H, gab es nicht so eine tolle und kompetente Community wie hier.


    Man sollte aber auch nicht vergessen - viele hier haben das gelernt , machen das beruflich.. haben Kundensysteme laufen.. Für mich ist das Privatvergnügen. Mit Rücksicht auf die Nachbarn sollte man aber wissen,wie man einen Server absichert , bevor man sich einen VPS/RS zulegt.

    RS 3000 G9.5 SE auch genannt OST22 L - 24 GB RAM, 8 Kerne, AMD Epyc, 960 GB SSD

    Webhosting 8000 SE BF22

    Gefällt mir 2 Traurig 1