Server administrieren - wo fange ich an?

  • Ich verwende keine Firewall. Ein von vorneherein nicht offener Port stellt auch kein Risiko dar. Bei allen webbasierten Anwendungen lege ich aber auch gar keine Ports heraus, sondern leite sie nur über NginxProxyManager.

    RS Ostern L OST22 (~RS "3000" G9.5) (8C,24GB,960GB) | RS Cyber Quack (1C,2GB,40GB)

  • Ich verwende diesen Ansatz manchmal auch, finde jedoch, das kommt immer auf den Einzelfall an.

    Ich habe Server, den eher für Tests und Entwicklung verwendet werden, deren Container sind recht volatil.

    Da kann es schonmal vorkommen, dass ein Port versehentlich öffentlich publiziert wird, da finde ich eine Firewall als zusätzlichen Schutz ganz hilfreich.

    Andererseits, wenn ein Produktions-Server ohnehin nur 80/443 für einen Reverse-Proxy o.ä. offeriert, sollte eine statisch FW mit eben diesen Ports auch nicht schaden, oder?

    RS 2000 G11 | VPS 1000 G11 | VPS 500 G8 Plus | RS X-Mas 2016 🎄 | VPS A Ostern 2017 | VPS [piko|nano|mikro] G11s | RS Cyber Quack 💗 | WH Expert Special 2018

    Edited 2 times, last by gem ().

    Like 3
  • Und ich suche noch eine gute Monitoring-Software, da CheckMK Raw hier raus ist...

    Ich nutze checkmk Cloud.

    Da hast du auch die Business Features wie die Agent Backery. Automatisches Ausrollen von Agent Updates an deine Agents - Musst bei neuen Plugins den Agent nicht selbst verteilen.

    Der Cloud Agent kann auch Messdaten an den Server Pushen. Vorher ging ja nur Pull.


    Edit: Und lässt sich auch Dockerized installieren


    Und ist nach der Trial kostenlos mit 750 Services

    pasted-from-clipboard.png

  • Ich fühle mich gerade so dumm, aber mein WireGuard-Server läuft immer noch nicht.
    Warum? Keine Ahnung. Eine Verbindung kann er offensichtlich aufbauen, denn er schreibt in die wg0.conf als Endpoint die IP meines Desktop-Rechners.
    Allerdings kann ich – sobald ich mich mit dem Server verbinde – keine Verbindung mehr mit dem Internet aufbauen.

    Code: Desktop
    [Interface]
    PrivateKey = desktop_private.key
    Address = 10.0.0.2/32
    DNS = 176.9.93.198, 176.9.1.117
    
    [Peer]
    PublicKey = server_public.key
    AllowedIPs = 0.0.0.0/0, ::/0
    Endpoint = rs.rubber.ducky.ip:51820

    Wie kann ich dem auf die Spur gehen? Funkt da UFW dazwischen?

    [RS] 2000 G11 | 1000 G11 | 2x Cyber Quack | Vincent van Bot

    [VPS] 2000 ARM G11 | 1000 G9 | mikro G11s | 4x nano G11s
    [WH] 8000 SE | 4000 SE | 2000 SE

    Edited once, last by Bud ().

    • Ist ip_forward aktiv?
    • Können sich beide Peers gegenseitig ping'en?
    • Heißt Dein Interface überhaupt eth0?

    Ansonsten mal mit tcpdump schauen, was auf wg0/eth0 ankommt und rausgeht. Und die Counter der Firewall ganz links beobachten bzw. die restlichen Regeln ansehen: iptables -nvL (-t nat)


    Einfach schrittweise den Weg der Pakete nachverfolgen.

    "Wer nur noch Enten sieht, hat die Kontrolle über seine Server verloren." (Netzentenfund)

    Edited once, last by KB19 ().

    Like 2
  • Hast Du IP-Forwarding aktiviert? Stimmen die Interfaces? Wenn Du UFW einsetzt, warum konfiguriert du IPTables?


    Mein Vorschlag wäre: Erstens ufw deaktivieren und nur die Wireguard-Konfiguration testen bis sie funktioniert. Sobald sie funktioniert auf ufw umschreiben.


    Im Client hast du eine Erlaubnis für IPv.6. Das ist aber nirgendswo sonst konfiguriert.

  • Ich bin überzeugt davon, dass es am "Rubber Ducky"-RS liegen muss, wenn die Tipps von KB19 und Loxley nicht weiterhelfen. Einfach einmal alle RS diesen Typs durchtesten und die kaputten danach über die Tauschbörse hier im Forum abstoßen. (Man hilft hier ja, wo man kann! :love: )


    Davon abgesehen würde ich in der Serverkonfiguration einmal in Zeile 3 die "/24" löschen (lies: eine einzelne IP einsetzen) und ein "PersistentKeepalive = 25" o. ä. bei den Peers mitaufnehmen.

    VServer IOPS Comparison Sheet: https://docs.google.com/spreadsheets/d/1w38zM0Bwbd4VdDCQoi1buo2I-zpwg8e0wVzFGSPh3iE

    Edited 4 times, last by m_ueberall ().

    Haha 6
  • Wie gehe ich vor, wenn ich einen WireGuard Client löschen oder umbenennen möchte?

    1. Reicht zum Löschen einfach das Löschen der client.conf und das Entfernen des entsprechenden [Peer] (usw.) aus der wg0.conf?

    2. Und kann ich eine client.conf auch einfach umbenennen?

    Nach beiden Vorgängen natürlich ein Neustart:

    Code
    sudo systemctl stop wg-quick@wg0
    sudo systemctl start wg-quick@wg0

    [RS] 2000 G11 | 1000 G11 | 2x Cyber Quack | Vincent van Bot

    [VPS] 2000 ARM G11 | 1000 G9 | mikro G11s | 4x nano G11s
    [WH] 8000 SE | 4000 SE | 2000 SE

    Edited once, last by Bud ().

  • Ich denke, da sollten wir schon ein wenig mehr Substanz reinbringen. Um welche Berichte geht es da? Bitte verlinke die mal. Wenn das wirklich ein Unterschied ist, dann hätten wir einen massiven Bug im gesamten Wireguard Routing Framework aufgedeckt, der das Konzept der Allowed IPs komplett infrage stellt. Die Folgen wären immens. Das sollte man dann schon tiefer legen.

  • Um welche Berichte geht es da? Bitte verlinke die mal.

    Sowas ist mir beim überfliegen mal übern Weg gelaufen, als ich in den letzten Tagen wild zu WG durch die Gegend gesurft bin.

    Aber beim näheren Überlegen gings da wohl eher um die "not-aus" Funktion die man damit kompensieren wollte...

  • und irgendwann kommt einer vorbei, und glaubt es.

    Man klammert sich halt an Strohhalme. :)

    Und ja, ich versuche durchaus auch Tipps, die vermeintlich unsinnig sind. Wenn sie sich als das herausstellen, sind sie eben wieder weg.

    Die Fehlerteufel stecken ja überall und die Gedankengänge von Programmierern sind eh unergründlich...

  • Guten Morgen zusammen,

    heute habe ich eher ein paar logische anstatt technische Fragen:

    Im Vereinsheim steht ein (Windows-)Server, auf welchem ein Verwaltungsprogramm vom Hersteller installiert wurde. Auf dieses Verwaltungsprogramm greift jeder Rechner im Netzwerk zu. Nun möchte ich einer Handvoll Personen aus unserem Führungskreis via WireGuard Zugriff auf dieses Netzwerk geben, bzw. auf das Programm geben.

    Wenn ich einen Tunnel zwischen der FritzBox des Vereins und einem WireGuard-Server herstelle, und dann entsprechend den Clients - haben diese dann Internetzugriff über die FritzBox des Vereinsheims?

    [RS] 2000 G11 | 1000 G11 | 2x Cyber Quack | Vincent van Bot

    [VPS] 2000 ARM G11 | 1000 G9 | mikro G11s | 4x nano G11s
    [WH] 8000 SE | 4000 SE | 2000 SE

  • Guten Morgen zusammen,

    heute habe ich eher ein paar logische anstatt technische Fragen:

    Im Vereinsheim steht ein (Windows-)Server, auf welchem ein Verwaltungsprogramm vom Hersteller installiert wurde. Auf dieses Verwaltungsprogramm greift jeder Rechner im Netzwerk zu. Nun möchte ich einer Handvoll Personen aus unserem Führungskreis via WireGuard Zugriff auf dieses Netzwerk geben, bzw. auf das Programm geben.

    Wenn ich einen Tunnel zwischen der FritzBox des Vereins und einem WireGuard-Server herstelle, und dann entsprechend den Clients - haben diese dann Internetzugriff über die FritzBox des Vereinsheims?

    Ganz klares Jain! :)


    Die Fritzbox verbieten den Peers nicht, sie als Gateway nach Draußen zu nutzen. In der "Vereinfachte Einrichtung" wird in der vorgebenden Client-Konfiguration sogar 0.0.0.0 in AllowedIPs gesetzt.


    Man kann natürlich die "Benutzerdefinierte Einrichtung" der Fritzbox wählen (oder die *.conf danach vor der Weitergabe händisch anpassen), aber die Fritzbox wird die Peers nicht dran hindern sie als Gateway zu nutzen, wenn das jemand nachträglich wieder abändert.


    Also die längere Antwort:

    - Standardeinstellungen nicht von dir angepasst, oder Client-Gerät nicht unter deiner Kontrolle -> Ja, sie haben Zugriff auf das Internet der Fritzbox

    - Standardeinstellungen von dir angepasst und du kannst sicherstellen, dass die Konfiguration am Client nicht geändert wird -> Nein, sie haben keinen Zugriff



    Edit:

    Was mir im Nachgang noch einfällt, von mir allerdings ungetestet. Wenn die WireGuard Peers in der Fritzbox als Gerät in der Netzwerkrubrik gelistet werden, kann man ggf. noch mit der Kindersicherung arbeiten, und den Geräten Internetverbot auf Lebenszeit geben.

    Aber wie gesagt, nicht getestet bisher. :)

    Web Expert M

    Root-Server M SATA v6

    RS 1000 SAS G7SEa3

    RS 1000 SAS G8 a1

    Edited once, last by GTAzoccer ().

  • Ja, sie haben Zugriff auf das Internet der Fritzbox

    Ich glaube du hast seine geplante Config missverstanden.

    Er nutzt die Vereinsbox NICHT als Endpunkt für alle Clients, sondern als Client.

    haben diese dann Internetzugriff über die FritzBox des Vereinsheims?

    Nur wenn du es so konfigurierst.

    Du kannst ja die Firewall des Servers so einstellen, dass sie ausschließlich den Zugriff auf die IP des Verwaltungsrechners zulässt.

    Und dass dann sogar noch auf den Port und das Protokoll beschränken.

    Die Clientfritz würde dann zwar den Zugang erlauben, aber dein Server nicht.