Posts by Exception

    (Außerdem muss man vs code ja quasi boykottieren weil es von M$ kommt)

    Man muss fairerweise sagen, dass VS Code wirklich (ausnahmsweiße) ein sehr gutes Produkt von MS ist. Bei mir hat der Editor die fetten IDEs komplett abgelöst. Sehr schlank, performant, mit zahlreichen Plugins individuell erweiterbar und man kann den Editor für sämtliche Zwecke verwenden. Bei IDEs wie IntelliJ oder Visual Studio muss man ja für alles ein separates Projekt erzeugen.


    Ich bin schon sehr gespannt wenn Jetbrain Fleet rausbringt. Die Vorteile von VS Code + der Code Engine von Intellij = <3

    Wieso findet man eigentlich zu VPN-Server-Einrichtungen ausschließlich Einrichtungen unter Linux oder mittels Fremdanbieter?

    Normalerweise lässt man einen VPN ausschließ auf bzw. zwischen Firewalls terminieren aber aus Sicherheitsgründen nicht auf Server oder Clients im internen Netz direkt. Sowas sollte man eher nur in Ausnahmefällen machen.


    Von den ganzen Fremdanbietern (VPN Hosting Provider) sollte man dringend die Finger davon lassen. Zumindest wenn einem Sicherheit und Datenschutz wichtig sind.

    Man kann ja auch einen Windows-integrierten VPN-Adapter gezielt für bestimmte Nutzer erstellen und sich dahin verbinden - ganz ohne Dritt-Software oder Dritt-Verbindung.

    Das geht durchaus. Windows hat einen eigenen Routing und Remotezugriff Service (RAS) am Board mit vielen gängigen VPN Protokollen. Leider befindet sich darunter auch ein sehr altes und sehr unsicheres VPN Protokoll. Von daher bitte nicht das PPTP Protokoll verwenden!


    Ich würde dir zu L2TP/IPSec raten. Dazu gibt es hier ein Tutorial:

    How to Setup L2TP/IPsec VPN on Windows Server 2019 (msftwebcast.com)


    Alternativ würde ich dir einfach zu OpenVPN raten. Das ist ebenfalls sehr geeignet für Anfänger. Es gibt zahlreiche Tutorials und was die Zertifikate angeht, dafür gibt es die Easy-RSA Skripte, die für dich die Erstellung der passenden Zertifikate für Server und Clients übernimmt.

    Hallo,


    vorweg gesagt habe ich keine Ahnung von SoftEther. Aber wenn der VPN steht, dann einfach in der Windows Firewall die RDP Freigabe ausschließlich auf das VPN Netz beschränken. Je nach dem wie scharf du das Teil abhärten möchtest, kannst du noch als zusätzliche Schutzmaßnahme via GPO den Zugriff einschränken.


    Bräuchte man hierzu einen separaten Netzwerk-Adapter auf dem Windows-Server (woher nehmen?)


    Also bei OpenVPN wird ein virtuelles Interface eingerichtet. Ich vermute mal, dass es bei SoftEther ähnlich ist (?)


    MfG

    Ich auch, man kann damit genug machen für den privaten Gebrauch zumindest. Hatte nie das Bedürfnis iptables direkt zu nutzen, wenn es mit ufw "einfacher" geht.

    Hm, ich kann es irgendwie nicht nachvollziehen, was an der iptables / nftables Syntax sooo komplex und schwierig sein soll. Klar, man muss sich damit beschäftigen. Das muss man aber auch mit jedem anderen Tool ebenso. Die ganzen Parameter kann man sich easy merken, wenn man versteht wie eine Firewall funktioniert. Meiner Meinung nach sind iptables / nftables sogar einfacher zum bedienen als ein Wrapper Tool wie UFW, weil man sich unter anderem viel Tipparbeit sparen kann.

    Man muss zwischen OpenVPN (VPN Software die unter GPL steht und kostenlos angeboten wird) und dem OpenVPN Access Server (bietet zusätzliche Features z.B. LDAP Anbindung sowie eine grafische Managment Oberfläche) unterscheiden. Letzteres ist kostenpflichtig, wobei eine VPN Verbindung gratis ist.

    Ich bin nicht sicher, ob Vmware hier wirklich harte Systemvoraussetzung oder eher ein Beispiel ist.

    Ein Hersteller gibt nicht zum Spaß Mindestsystemvoraussetzungen an.


    Selbst wenn du das System unter den Systemvoraussetzungen zum laufen bekommen solltest, dann:

    1. Wirst du mit Sicherheit kein Support mehr durch VMware erhalten
    2. Könnte das System ziemlich instabil und lahm sein

    Such dir ein Provider, welcher dir ein Blech gibt, dessen Systemvoraussetzungen für VMware ESXi erfüllt. Nested Virtualisierung ist ohnehin ziemlich Blödsinnig und macht definitv kein Spaß. Selbst wenn es nur eine Testumgebung werden soll.

    Klar gibt es viele Profis die auf Arch Linux schwören (und das jedem ungefragt sagen müssen :P )

    Was is den Archlinux? :/:D

    Quote

    Debian hat wohl den Nachteil dass es recht alte Softwareversionen hat

    Und das soll ein Nachteil sein? Im Serverbetrieb ist das eigentlich erwünscht, dass man dort nur stabile, ausgereifte Software erhält. Es sei denn, man kommt aus der Windows Welt. Dort spielen die Admins gerne Glückspiel. Microsoft bezeichnet das als Patchday, welches einmal im Monat stattfindet. ;)

    Den Vorteil sehe ich darin, dass Leute die eigentlich eh keinen Mail-Server betreiben wollen (Game-Server, "Online-Shop-Clickbot"-Leute, etc), dann zumindest schonmal kein potenzieller Spammer mehr werden können (ich verweise mal grob auf den Beitrag von vornhin, wo du ja mitgelesen hast und mir noch Popcorn schuldest :) ).

    Um Mails zu verschicken braucht man kein Port 25. Also schützt diese Maßnahme auch nicht, dass diese Spammer werden z.B. wenn der Server gehackt wird. Selbst wenn man alle möglichen Ports blockt, so gibt es auch noch andere Möglichkeiten den Server zu missbrauchen, sodass die IP auf einer Blacklist landet.

    Es muss ja einen Grund haben, warum andere Provider nicht so arge Probleme wie netcup mit der Mail-Zustellung haben, und ich glaube nicht dass die alle fleißig an UCE... bezahlen, oder dass die nur gelernte Sysadmins als Kunden haben.

    Auch andere Massenhoster landen regelmäßig auf Spamlisten. Sogar häufiger als bei Netcup. Das bekommt man aber meistens halt nicht mit, u.a. weil die meisten Provider nicht so transparent sind wie es bei Netcup ist und/oder weil diese kein Kundenforum oder andere Kommunikationskanäle für die Kunden anbieten.


    Das UCE ohnehin eine unseriöse Liste ist wurde bereits in anderen Threads mehrfach diskutiert. Dagegen kann man sich nur schützen, indem man solche Listen einfach nicht verwendet. Diejenigen die solch eine unseriöse Liste verwendet, diejenigen sollten aufgeklärt werden, sodass diese die Liste wieder entfernen.

    ist das eine art freizeitbeschäftigung?

    Naja, wenn das ausgehend gewesen wäre, dann würde ich das durchaus ernst nehmen. Könnte ja sein, dass ein interner Client infiziert ist und nun versucht Daten aus dem Netzwerk zu schleusen oder ein Loch in das Netz zu bohren um weitere Angriffe ausführen zu können. Von daher ist es schon sinnvoll auch mal ein Blick in das Log der Firewall zu werfen (oder Monitoring für Richtlinienverstöße bei ausgehendem Traffic einzurichten).

    Hallo,


    das meiste wurde ja schon bereits genannt. Was noch fehlt wäre ein ordentliches Berechtigungskonzept.


    Viele nutzen zwar Sudo (weil es bereits durch die Distribution vorinstalliert ist) aber nutzen leider nur die Standardkonfiguration. (Benutzer hat standardgemäß volle Sudo bzw. Root Rechte - was natürlich nicht sinnvoll ist und natürlich auch nicht der Gedanke von Sudo ist)


    MfG

    Ubuntu 21.10 ist keine LTS Version.Und naja, wer will den ernsthaft was anderes verwenden für einen Serverbetrieb?

    Leider war es als Image und CDROM nicht verfügbar und so musste ich den Umweg über netboot.xyz.iso nehmen.

    Leider ist netboot.xyz.iso ebenfalls nicht standartmäßig verfügbar und musste erst von mir hochgeladen werden.

    Da hättest du direkt gleich die ISO von der Ubuntu Website herunterladen können. Welchen Vorteil hat es, wenn man den Umweg über dieses Netboot macht?

    Hallo,


    wieso möchtes du noch zusätzlich einen VPN haben, wenn du bereits das Cloud VLAN hast? Je mehr Protokolle zum EInsatz kommen, desto größer auch der Overhead. Könnte also hier ein MTU Problem sein.


    Ich würde das ganze also mal mit tcpdump oder wireshark prüfen.


    MfG

    Kann man eigentlich ein vLan kündigen, ohne etwas kaputt zu machen? Es ist ja reingehängt im SCP. Aber in den Systemen habe ich damit nichts gemacht. Nur zum schnellen Backupschaufeln verwendet.

    Ja, kann man. Wenn du ganz sicher sein möchtest, dann entferne einfach die zusätzliche vNIC vom Server. (Zuvor die NIC hoch herunterfahren, falls du das im laufenden Betrieb entfernen möchtest)

    die Spitznamen länger als ~25 Zeichen machen kann wäre das echt Knorke!

    Wie benennst du denn deine Server? Verwendest du den FQDN als Spitznamen oder wie kommst du auf über 25 Zeichen? :D

    Werden in dem Dropdown Menü überhaupt so lange Namen eingeblendet? Die werden doch dann bestimmt gekürzt? :/

    Guten Morgen,


    mein Mailserver ist aktuell mailcow, gehostet auf einem CX21 bei "großes H und kleines r am Ende in Nürnberg" - wie kriege ich den ohne Verluste und Unterbrechungen zu netcup?

    Entweder du erstellst ein Backup und führst ein Recovery am neuen Server durch: Backup - mailcow: dockerized documentation

    Oder du migrierst einfach die Daten und die Konfiguration vom alten Server zu dem neuen Server.


    der eine läuft als OpenVPN-Server, der andere als DNS/pihole - brauche ich die noch?

    Öhm, das musst du doch selber wissen? Du könntest den Netcup Server noch härter absichern, indem du kritische Zugänge z.B. SSH oder Zugänge zu irgendwelchen Admin Panels nur von dem OpenVPN Server zulässt.

    und letzte Frage: wieso funktioniert ufw nicht? wenn ich alles blocke (ufw deny) kann ich trotzdem meine Docker-Seiten aufrufen...

    Erstmals sei gesagt, dass UFW nur ein Frontend Tool für Iptables ist. Mit diesem Wissen kann man dir nun deine Frage beantworten, denn Docker verwendet nicht UFW sondern legt das Regelset direkt in Iptables an. Deshalb werden diese Regeln auch in UFW nicht angezeigt.


    Das kann man bei Docker auch deaktivieren, allerdings musst du dann sämtliche Firewall und NAT Regeln für Docker selber festlegen.


    MfG

    Kann ich verstehen, dass das nicht gut ankommt. Aber das direkt alles gesperrt wird finde ich recht extrem. Ok, AGB eben, muss ich schlucken

    Naja, einerseits verständlich aber auf der anderen Seite musst du halt berücksichtigen, dass du beim Webhosting den Webserver mit anderen Kunden teilst. Wenn bei einem Kunden plötzlich ein Skript anfängt Amok zu laufen, sodass andere Kunden negative Performance Probleme erleiden, dann muss Netcup schnell reagieren. Kritische Websites würde ich daher auch niemals auf einem Shared Webhosting betreiben wollen.

    Ich kann verstehen, dass ich dafür verantwortlich war und deswegen einzustecken habe, aber wenn ein VPS mal down ist weil dies oder jenes, was nicht von mir verursacht wurde, dann bleibt mir auch nichts anderes übrig als nur rumzuwarten. Irgendwie nicht fair.

    Das war doch dein Skript was die Sperre ausgelöst hat? Und Netcup hat nun mal eben auch noch ganz viele andere Kunden. Auch wenn dein Fall sehr schnell gelöst wäre, so gibt es eben noch andere Tickets die nach der Priorisierung abgearbeitet werden. Andernfalls wäre das nicht fair gegenüber den anderen Kunden.