Fragen von Netcup-Neuling - VPN, mailcow, Docker, Traefik v2, webtop usw.

  • Hallo Zusammen,


    ich weiß - sehr aussagekräftiger Titel... :rolleyes:


    Ich habe den RS 2000 G9 erst seit ein paar Tagen, also bin Neukunde bei Netcup.


    Das erste was ich gemacht habe:


    - Ubuntu 20.04 drauf (Image von Netcup)

    - SSH Port von 22 auf 40xxx geändert

    - SSH nur mit Zertifikat (passwort-geschützt) und zusätzlich fail2ban installiert

    - Docker und Docker-Compose installiert

    - meine Domain-Records (A und AAAA) beim "all inclusiv"-Hoster auf die neue IP geändert


    Das funktioniert auch alles, ABER:


    - mein Mailserver ist aktuell mailcow, gehostet auf einem CX21 bei "großes H und kleines r am Ende in Nürnberg" - wie kriege ich den ohne Verluste und Unterbrechungen zu netcup?


    - ich bastele z.Zt. viel mit Docker und Traefik v2.. Heimdall, Bitwarden, Wordpress, LogicalDMS - alles Docker-Container und mit https/LetsEncrypt-Zertifikaten erreichbar über subdomain.meinedomain.it


    - Kopfschmerzen habe ich auch noch bei webtop (auch Docker) - also diverse Linux-Desktops im Browser, mit denen man gut arbeiten kann. Allerdings nicht gut, weil die jeder erreichen kann via http://ip:3000 -

    ich bekomme das mit Traefik nicht hin - wie könnte man das machen?


    Neben dem Server bei "großes H und kleines r am Ende in Nürnberg" habe ich noch 2 "1-Euro-vServer" bei "1+1" - war halt damals billig.. der eine läuft als OpenVPN-Server, der andere als DNS/pihole - brauche ich die noch? die haben nur 1 vCore CPU, 512 MB RAM, 10 GB SSD


    und letzte Frage: wieso funktioniert ufw nicht? wenn ich alles blocke (ufw deny) kann ich trotzdem meine Docker-Seiten aufrufen...


    Gruß, Kris

    Webhosting 8000 SE BF22, Webhosting 8000 NUE MA 24

    VPS 2000 G11, VPS 1000 ARM G11, VPS Piko G11s, 1 VPS Nano G11s

  • Guten Morgen,


    mein Mailserver ist aktuell mailcow, gehostet auf einem CX21 bei "großes H und kleines r am Ende in Nürnberg" - wie kriege ich den ohne Verluste und Unterbrechungen zu netcup?

    Entweder du erstellst ein Backup und führst ein Recovery am neuen Server durch: Backup - mailcow: dockerized documentation

    Oder du migrierst einfach die Daten und die Konfiguration vom alten Server zu dem neuen Server.


    der eine läuft als OpenVPN-Server, der andere als DNS/pihole - brauche ich die noch?

    Öhm, das musst du doch selber wissen? Du könntest den Netcup Server noch härter absichern, indem du kritische Zugänge z.B. SSH oder Zugänge zu irgendwelchen Admin Panels nur von dem OpenVPN Server zulässt.

    und letzte Frage: wieso funktioniert ufw nicht? wenn ich alles blocke (ufw deny) kann ich trotzdem meine Docker-Seiten aufrufen...

    Erstmals sei gesagt, dass UFW nur ein Frontend Tool für Iptables ist. Mit diesem Wissen kann man dir nun deine Frage beantworten, denn Docker verwendet nicht UFW sondern legt das Regelset direkt in Iptables an. Deshalb werden diese Regeln auch in UFW nicht angezeigt.


    Das kann man bei Docker auch deaktivieren, allerdings musst du dann sämtliche Firewall und NAT Regeln für Docker selber festlegen.


    MfG

  • Bei Docker und Mail kann ich nicht helfen, aber:

    der eine läuft als OpenVPN-Server, der andere als DNS/pihole - brauche ich die noch? die haben nur 1 vCore CPU, 512 MB RAM, 10 GB SSD

    Das müsstest du ja am besten wissen, oder? Ressourcentechnisch passen die sicher noch auf den RS, aber das musst du selber wissen, ob alles auf einer Maschine sein soll oder doch als getrennte Services :)


    und letzte Frage: wieso funktioniert ufw nicht? wenn ich alles blocke (ufw deny) kann ich trotzdem meine Docker-Seiten aufrufen...


    An ufw enable gedacht? Ist mir auch schon passiert ^^ Ansonsten meine ich (als nicht Docker Benutzer), dass Docker doch auch irgendwie an den iptables herumspielt...

  • Zu Docker: Vielleicht einfach nur auf localhost alles laufen lassen und davor direkt auf dem System einen ReverseProxy nutzen. Dann terminiert der RP SSL und es sollte das meiste auf Anhieb funktionieren.

  • Zu Docker: ich verwende in meinem Stack lieber https://nginxproxymanager.com/ als Reverse Proxy, da kapier ich wenigstens Prinzip und Bedienung. Mit diesem, aber auch mit Traefik kannst Du Webtop zum einen mit https (Let's Encrypt) versehen und zum anderen unter https://webtop.meinedomain.tld (ohne Port) verfügbar machen.


    Ein PiHole gehört doch ins heimische Netz würde ich sagen.Sonst kann den ja jede(r) im Internet als DNS Server verwenden.

    RS Ostern L OST22 (~RS "3000" G9.5) (8C,24GB,960GB) | RS Cyber Quack (1C,2GB,40GB)

    Edited once, last by TBT ().