Das längste Thema

    Irgendwann mache ich mir mal den Spass, meine alte, zugespammte, E-Mail-Adresse wieder zu aktivieren. Die bekommt heute noch täglich mehrere Spam-Mails, unter anderem von MS. Die Spam-Mails leite ich dann weiter zu einem meiner Kunden, der Outlook benutzt. Das Outlook stelle ich dann so ein, dass die Mails an Microsoft gemeldet werden als Spam. Wird aber wohl auch nichts weiter bringen, als dass meine zugespammte E-Mail-Adresse als Spammer gesperrt wird.


    Naja, an MS kann es scliesslich nicht liegen, die machen keine Fehler und versenden auch keinen Spam. Schliesslich sind sie die Guten :rolleyes: . Das Schlimme daran ist, die meisten ihrer User glauben das auch noch.

    Zitat von m_ueberall

    Geht es um die Kontaktaufnahme mit der Wireguard-UI über Port 5000 (Punkt 8 der Anleitung)? Die wird über die öffentliche IP-Adresse und mittels http:// angesprochen. Eine Dokumentation/Erwähnung erforderlicher Schritte, um einen Reverse-Proxy aufzusetzen, welchen man benötigen würde, um die Wireguard-UI hinter https://example.org erreichbar zu machen (wobei man diese dann intern nur via 127.0.0.1/im LAN erreichbar einrichten würde – das wird am Ende der Anleitung tatsächlich erläutert und sie ist dann nur noch im Wireguard-eigenen VPN erreichbar) kann ich der Anleitung aber nicht entnehmen.


    Die permanente öffentliche Erreichbarkeit der Wireguard-UI ist tatsächlich nicht sinnvoll. Via "Split-horizon DNS" und einem eigenen Zertifikat kann man natürlich gewährleisten, dass ein Ansprechen (bspw. wie oben/in der Anleitung gezeigt abgesichert im VPN) des Domänennamens unter Verwendung lokaler IP-Adressen funktioniert – für Demonstrations- oder Testzwecke ist das gar kein so abwegiges Szenario; dafür benötigt man aber zwingend einen entsprechenden DNS-Server und einen Webserver, welcher https-Aufrufe über den Domänennamen entgegennimmt und intern mit der Wireguard-UI via http kommuniziert.

    ja genau ich will einfach nur eine Verschlüsselte Verbindung.

    Welche Anleitung meinst du?

    ich muss gestehen dass ich max. die Hälfte verstanden habe :(

    es klingt wahnsinnig schwierig und ich grüble ob ich auf das UI

    verzichten kann , ich fand es nur schön einfach zu bedienen und besonders

    die QR-Code Generierung für die Mobilgeräte


    Zitat von TBT

    Warum nicht Netbird oder Netmaker? Beides controllerbasierte VPNs.

    ich kannte die einfach nicht.... ;)

    sehe ich mir aber an

    It's me, only me, pure michi 🦆

    RS 1000 SAS G8 | Cyber Quack

    VPS: 50 G7 |B Ostern 2017|200 | Karneval | piko

    WH: SmallEi | Adv17 Family |4000 SE|1000 SE

    Zitat von extremmichi

    ich kannte die einfach nicht.... ;)

    sehe ich mir aber an

    Hier nochmal die Links:

    NetBird - Zero configuration VPN for fast-moving teams

    Netmaker | Software-Defined Virtual Networking Platform with WireGuard


    Zudem proprietär:

    ZeroTier | Global Area Networking


    Bei allen dreien kann man den Controller des Anbieters nutzen (teils mit Mengenbeschränkungen) oder man lässt den Controller selbst laufen (relativ easy mit Docker), dann ist man unlimitiert.


    Ich nutze Netbird und Zerotier, Netmaker hat einige Male den Self Hosted Controller hart geschossen. Netbird und Netmaker sind recht neu, für Zerotier gibt es auch mobile Clients, für die beiden anderen noch nicht, wobei man Netmaker auch mit dem mobilen Wireguard Client verwenden kann.

    RS Ostern L OST22 (~RS "3000" G9.5) (8C,24GB,960GB) | RS Cyber Quack (1C,2GB,40GB)

    Eure Vorschläge habe ich mir angesehen aber ich glaube soviel brauche ich garnicht.

    ich nutze WG nur um in mein privates Netz zu kommen wo ich ein paar

    Dokumente für mich und ein paar Arbeitskollegen bereitstelle.

    So brauche ich im Router keine Portfreigaben machen und wir

    reden hier von <10 Personen. Meine Server hier hängen alle

    im Vlan und brauchen da nicht rein.


    ich denke ich habe jetzt für mich meine Lösung gefunden.

    Da das UI eh nur intern erreichbar ist, schalte ich das nur bei Bedarf an

    so oft ändern sich meine Konstellationen ja nicht.


    Danke für eure Hilfe

    michi

    It's me, only me, pure michi 🦆

    RS 1000 SAS G8 | Cyber Quack

    VPS: 50 G7 |B Ostern 2017|200 | Karneval | piko

    WH: SmallEi | Adv17 Family |4000 SE|1000 SE

    Gefällt mir 1
    Zitat von extremmichi

    ja genau ich will einfach nur eine Verschlüsselte Verbindung.

    Welche Anleitung meinst du?

    Na, die ursprünglich verlinkte:

    Zitat von extremmichi

    Es geht um wireguard-UI und ich bin nach dieser Anleitung vorgegangen:

    https://adminforge.de/linux-al…web-interface-einrichten/

    Die Verbindung zur Wireguard-UI ist ja verschlüsselt, sofern man die Anleitung von vorne bis hinten umsetzt, denn sie liegt ja abschließend im VPN. Dennoch ist die UI dann zunächst nur über http://<vpn-Adresse 10.x.y.z>:5000 erreichbar*, nicht über eine Domäne ("meinedomäne.de") – es sei denn, man hinterlegt einen A-Record für vpn-meinhost.meinedomäne.de, welcher auf die IP-Adresse 10.x.y.z im Wireguard-VPN zeigt. Das geht auch unter Verwendung öffentlicher DNS-Server (was man üblicherweise eher nicht macht, was aber funktioniert – in diesem Fall geht es ohne "Split-horizon DNS").

    (Statt "vpn-meinhost" kann man hier auch "wireguard-ui" verwenden, diese Kontext-Information würde ich aber nicht publik machen wollen.)

    Die Wireguard-UI ist in diesem Fall nicht öffentlich, weil man nur selbst die entsprechenden Wireguard-VPN-Schlüssel besitzt; das Wissen um die private IP-Adresse, die einem Host zugewiesen ist, hilft potenziellen Angreifern wenig.


    Was aber dann noch NICHT geht, ist das Ansprechen von https://vpn-meinhost.meinedomäne.de[:N]; dafür braucht es einen Reverse-Proxy (zur internen Verbindung von Port 443 [oder N, N≠5000] zu Port 5000 oben) und ein TLS-Zertifikat (von LetsEncrypt o. ä. Anbietern).


    *Zum Verständnis: Das http-Protokoll ist natürlich unverschlüsselt, aber bei Verwendung einer VPN-IP 10.x.y.z wird die Verschlüsselung durch die Kommunikation zwischen VPN-Knoten (durch Wireguard) gewährleistet, welche über öffentliche IP-Adressen abgewickelt wird. Deswegen bringt ein verschlüsseltes Protokoll wie https an dieser Stelle "nicht mehr viel" (sondern lediglich eine zusätzliche Verschlüsselung).

    VServer IOPS Comparison Sheet: https://docs.google.com/spreadsheets/d/1w38zM0Bwbd4VdDCQoi1buo2I-zpwg8e0wVzFGSPh3iE/edit?usp=sharing

    7 Mal editiert, zuletzt von m_ueberall ()

    Wäre es nicht klüger ein Wiki oder Nextcloud einzurichten, bevor du Arbeitskollegen in dein Netz lässt? Abgesehen davon, können die Infos nicht auch beim Arbeitgeber gespeichert werden? Abgesehen davon sind‘s hoffentlich keine Firmeninfos die ungefragt ausgelagert werden :P


    Bei Bookstack kannst ja beispielsweise auch Dateien anhängen. Ggf. noch Cloudflare Tunnel einrichten und SSO davor klatschen, wenns schnell gehen soll und eingeschränkt zugänglich sein muss. Nur so eine Idee.

    Zitat von engine

    Tailscale gäb‘s auch noch, bin damit sehr zufrieden.

    Kleine Ergänzung hierzu: da Tailscale Wireguard im Userspace realisiert, kann es nicht von der Kernelimplementation profitieren (Netmaker und Netbird können das schon). Es gibt Tests, die zeigen, dass Tailscale hinsichtlich Geschwindigkeit bei allen genannten VPN Lösungen eher das Schlußlicht darstellt. Als Vorteil wird bei dieser Implementation genannt, dass Tailscale auf mehr Plattformen als WG möglich ist.


    Wenn die Verbindung nur für die Fernverwaltung verwendet wird, ist all das natürlich irrelevant. Wenn darüber Transfers laufen, kann es schon Sinn machen, sich die performanteste Lösung rauszusuchen. Anscheinend sind das aktuell die Kernel-Wireguard Implementationen von Wireguard (itself), Netmaker und Netbird. Meiner Erfahrung nach sind die beiden Net... auch schneller als Zerotier, allerdings nicht um viel (ZT: ca 50 Mbytes/s, Net...: ca 60 Mbytes/s).

    RS Ostern L OST22 (~RS "3000" G9.5) (8C,24GB,960GB) | RS Cyber Quack (1C,2GB,40GB)

    2 Mal editiert, zuletzt von TBT ()

    Zitat von extremmichi

    Eure Vorschläge habe ich mir angesehen aber ich glaube soviel brauche ich garnicht.

    Das ist bei allen Lösungen gar nicht viel. ZT, Netbird bieten Controller vom Hersteller, bei denen man sich nur nen Account machen muss. Dann installiert man auf allen Rechnern die Software (ist bei Wireguard auch nötig) und verbindet sich. Eine solche Verwaltung von mehreren Personen ist bei den genannten Diensten deutlich einfacher, bei Netbird kann man auch Zugriff mit "Verfallsdatum" konfigurieren. Auch wenn Dus hierfür nicht brauchst, kann ich nur empfehlen sich das mal anzusehen. Damit kann man so viele Probleme erschlagen.


    Für den Einsatzzweck würde ich aber in der Tat auch eher eine andere Lösung empfehlen. Nebenbei könnten auch Synclösungen wie https://syncthing.net/ hier in Frage kommen, da brauchts dann gar kein VPN.

    RS Ostern L OST22 (~RS "3000" G9.5) (8C,24GB,960GB) | RS Cyber Quack (1C,2GB,40GB)

    Zitat von LebakaasSemme

    sind die Hosts die du überwachst hauptsächlich Windows ?

    Wir haben fast 1000 prtg Sensoren aktiv (ca 70 hosts) u haben den prtg Core-Server und 2 Probes an einem Standort installieren müssen.

    Grund sind hier nur die Anzahl der WMI-Sensoren. Wenn man das nicht aufgeteilt gabs Timeouts.

    Grundsätzlich finde ich PRTG spitze für den Preis! bin ein Fan!

    Tut mir leid, direkt nach meiner Nachricht lag ich krankheitsbedingt erstmal flach!

    Ja, es sind hauptsächlich Windows VMs. Leider haben sich meine Kollegen noch nie auch nur ansatzweise mit Linux beschäftigt und wollen sie auch nicht, weswegen das Icinga weg muss :(


    Irgendwie kommt mir das ganze so teuer vor, da 1 Sensor = 1 überwachter Service. Ich habe das Icinga seit über einem Jahr nicht mehr weiter ausgebaut, weil mir zu dem Zeitpunkt schon gesagt wurde, dass es "bald" abgelöst wird. Dort konnte ich aber je nach Lust und Laune einfach jede Menge Checks bereitstellen und musste mich gar nicht um irgendwelche Lizenzen kümmern, weil nur die Hardware das Limit war. Bei PRTG muss ich dann tatsächlich überlegen, ob ich für eine bestimmte Sache einen Sensor opfern will oder nicht. Ich bin echt gespannt wie das ganze wird und wie die Überwachung genau funktioniert :/ Jedenfalls hab ich im vCenter schon 2 PRTG Maschinen gesichtet ^^

    Zitat von TBT

    Kleine Ergänzung hierzu: da Tailscale Wireguard im Userspace realisiert, kann es nicht von der Kernelimplementation profitieren (Netmaker und Netbird können das schon). Es gibt Tests, die zeigen, dass Tailscale hinsichtlich Geschwindigkeit bei allen genannten VPN Lösungen eher das Schlußlicht darstellt. Als Vorteil wird bei dieser Implementation genannt, dass Tailscale auf mehr Plattformen als WG möglich ist.

    wobei es da kürzlich auch Verbesserungen gab: https://tailscale.com/blog/throughput-improvements/

    Zitat von SilSte

    Wackeln bei euch aktuell auch die Netzwerkverbindungen?

    Mein Smokeping zeichnet seit ca. einer Stunde deutlichen Packet Loss auf. IPv4 und IPv6, es ist laut MTR überall nur das Ziel (VPS/RS) betroffen.


    EDIT: Es betrifft nur einen Teil meiner VPS/RS.

    "Wer nur noch Enten sieht, hat die Kontrolle über seine Server verloren." (Netzentenfund)

    2 Mal editiert, zuletzt von KB19 ()