Posts by Exception

    Die Performance des Raids unter Proxmox war noch ok, aber in der VM unterirdisch - bin dann ganz sachte in Proxmox eingestiegen und habe mich etwas belesen und am Ende ein Debian mit mdadm Raid 1 installiert.

    Proxmox basiert auf Debian und nutzt für die Virtualisierung KVM/QEMU. Ich glaube, da hast du wohl eine Fehlkonfiguration gehabt, wenn du wirklich eine sehr schlechte Performance hattest. Besonders beim Einsatz von ZFS muss man auf vieles achten, ansonsten kann die Performance ziemlich flöten gehen.

    Du hast tatsächlich eine grafische Oberfläche in der VM laufen? =O8|

    Debian bietet einen grafischen Installer an. ;)


    @mfnalex

    Zeig mal bitte die aktuellen iptables des Hosts:

    Code
    iptables -L -v -n
    iptables -t nat -L


    Die VM hängt an der Bridge? Netzwerkkonfiguration ist richtig? Ansonsten mal tcpdump am Host für die Bridge anschalten und schauen was sich da tut. Ebenso mal statt den Installer das Livesystem booten und dann versuchen eine Verbindung herzustellen. Da stehen einem mehr Troubleshooting Tools zur Verfügung. ;)

    Guten Abend,

    Welche Adressen etc muss ich jetzt in den VMs hinterlegen? Kann ich mir einfach eine 10.3.5.X aussuchen?

    Ja. Im Prinzip ist eine Bridge nichts anders als ein Switch. Du hast nun den Host und die VM an den selben Switch angeschlossen. ;)

    Wenn ja, was muss ich als Gateway eintragen?

    Den Host (10.3.5.1), da dieser ja bei dir auch das NAT macht.

    Und wie kann ich dann einzelne Ports auf den Host weiterleiten?

    Der erste Befehl ist die PAT Regel und der zweite die Firewall Regel. (Achtung, du musst ggf. den Namen für das Interface anpassen)

    Bash
    iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 80 -j DNAT --to-destination 192.168.14.2
    iptables -A FORWARD -p tcp --dport 80 -j ACCEPT


    MfG

    Ich lasse das SSL überwachen, aber bekomme erst eine Meldung, wenn es schon passiert ist und wenn man gerade nicht am PC sitzt, kann das dann schon mal dauern.

    Dann hast du das Monitoring und den Certbot nicht richtig konfiguriert. Ich lasse meine Zertifikate 7 Tage vor Ablauf erneuern. Entsprechend kann man das Monitoring konfigurieren, so dass man wirklich auch gewarnt wird bevor das bisherige Zertifikat abläuft. Beispielsweise meldet mir das Monitoring eine Warnung, wenn 6 Tage vor Ablauf das Zertifikat nicht erneuert wurde und eine kritische Meldung folgt, wenn 3 Tage vor Ablauf das Zertifikat nicht erneuert wurde.


    Bist du dir da sicher?

    Habe dieses hier: https://www.netcup.de/bestellen/produkt.php?produkt=288

    Ja, das wird nicht automatisch verlängert. Das muss jedes Jahr erneut beantragt werden und die Zertifizierungsstelle wird erneut die erweiterte Validierung durchführen. Bei EV Zertifikaten würde ich daher mindestens 10 Tage vor Ablauf die Erneuerung beantragen, da der ganze Ausstellungsprozess entsprechend dauern kann.

    Mir passiert es ab und zu, dass LE nicht erneuert wird und bei meinen vielen Seiten, realisiere ich das manchmal zu spät.

    Lässt du deine Zertifikate nicht via Monitoring überwachen? Alternativ kann man auch eine E-Mail verschicken lassen, wenn Certbot einen Fehler meldet. Dann sollte das eigentlich keine Probleme machen.


    Auch ein Thawte SSL Zertifikat muss nach einer bestimmten Laufzeit Verlängert werden. Hier besteht dann eher die Gefahr, dass man die Verlängerung des Zertifikats vergisst, da die Laufzeit deutlich länger ist als bei Lets Encrypt mit nur 3 Monaten.

    Ich habe vor einiger Zeit meinen Telekom MagentaMobil Vertrag gekündigt, weil dieser Tarif einfach schlicht zu teuer ist. Nun hat mir die Telekom einen weiteren Grund für die Kündigung geliefert. Ich bekam heute einen Anruf von der Telekom und der Vertriebler wollte mir nun unbedingt einen neuen Vertrag unter die Nase jubeln. Natürlich hätte ich den neuen Vertrag sofort telefonisch zustimmen sollen...


    ...oh jetzt hat die Autokorrektur aus Vertriebler Vertreiber gemacht. Passt sehr gut. :P

    Moin,

    Ich möchte gerne ein eigenen ts haben und ein Paar spiele drauf haben so wie Eco und Arma 2 Epoch ein Kumpel von mir hat diese Seite empfohlen.

    Wäre es nicht sinnvoller, wenn du dir einfach bei einem Gaming Provider einen Managed Gameserver und Managed Teamspeak Server holst? Dürfte günstiger sein und du musst dich nicht selbst um die Einrichtung und um die Pflege des Servers und die jeweiligen Dienste kümmern.


    Das unmanaged Angebot von Netcup richtet sich ausschließlich an Kunden, die Ahnung von der Server Administration haben - auch wenn es so nicht direkt auf der Website steht. Bedenke: du bist als Server Admin für den Server verantwortlich und kannst im Schadensfall auch ggf. zur Haftung gezogen werden. Eine GUI wie bei einem Windows Server ersetzt nicht das notwendige Wissen.


    MfG

    Moin,


    was ist denn das konkrete Ziel? Für eine einmalige Installation würde ich OpenVPN kurz manuell installieren. Wenn es mehrere Instanzen sein sollen oder du OpenVPN als Docker Container im Cluster laufen möchtest, dann würde ich dir raten ein eigenes Script / Dockerfile zu entwickeln statt auf einem Drittanbieter zu setzen. Ist glücklicherweise bei OpenVPN kein großer Aufwand.


    MfG

    Netcup ist genau so chaotisch wie alle anderen.


    Auf eine Art ist es natürlich sehr schön, wenn man immer die aktuellen Versionen (zeitnah) hat.

    Auf der anderen ist es ein Unding einfach mal so ohne zu fragen etwas zu ändern, wobei dann die Gefahr besteht das irgendetwas nicht mehr funktioniert, was aber extrem wichtig ist.

    Kann das Problem jetzt ebenso nicht ganz nachvollziehen. Netcup hat das Upgrade doch ordentlich angekündigt? Von daher stimmt die Aussage so nicht. Du musst ebenso Bedenken, dass Netcup kein Premium Dienstleister ist, wo du einen exklusiven Projektleiter als Ansprechpartner hast, der sich nur um dich kümmert. Besonders nicht bei einem Shared Webhosting, welches man für 'n Appel und 'n Ei erhält. Sowas gibt es bei anderen Dienstleistern. Allerdings sind wir da in einer ganz anderen Preisklasse.


    Übrigens muss jeder verantwortungsvoller Dienstleister langsam aber sicher reagieren, denn der Support von der MySQL Version 5.7 endet in zwei Jahren (Oct 2023). Daher wird auch ein Wechsel des Dienstleisters nicht viel bringen. (Auch kein Managed Hosting). Du könntest zwar theoretisch einen eigenen Server mieten und dort eine veraltete Software drauf laufen lassen aber....erst vor kurzem hat ein Online Shop von der Datenschutzbehörde eine ordentliche Strafe erhalten, weil es zu einem Sicherheitsvorfall kam und bei der Ermittlung sich herausgestellt hat, dass der Online Shop veraltete Software eingesetzt hat. Ganz zu schweigen vom entstandenen Image Schaden. Mit anderen Worten: lieber nicht am falschen Ende sparen.

    Kann mir jemand Sinnvoll erläutern warum diese PFSense überhaupt existiert? Es macht doch eigentlich mit sämtlicher Vernunft so überhaupt keinen Sinn solch eine Lösung bei Netcup zu betreiben.

    Klar macht das Sinn. Zum einen weil du manche Systeme einfach nicht direkt am Netz haben möchtest, z.B. Datenbanken. Außerdem ist es deutlich einfacherer und übersichtlicher, wenn du zentral die Firewall Regeln verwalten kannst, statt auf jeden einzelnen Server. Auch kannst du zusätzliche Filterungen durchführen z.B. durch Einsatz einer WAF.


    Theoretisch kann man sich dadurch auch eine ganze Menge IPv4 Adressen sparen (bei Netcup leider derzeit nicht möglich...), weil man dann nur eine IPv4 Adresse als NAT Adresse benötigt. Manche Provider erhöhen deshalb nun die Preise weil IPv4 Adressen ausgehen....


    Also wie du siehst gibt es eine ganze Menge an Gründen. ;)


    // Edit:

    Quote

    Zumal 100Mbit (in der kostenlosen Version) für Interconnect und Backup sowieso keinen Spass macht. Selbst wenn du nur 100GB sichern möchtest.

    Also ich habe auch nur das 100 Mbit VLAN und das reicht für meine (privaten) Zwecke vollkommen. Ich selbst habe ebenfalls ein paar Server und die werden ebenfalls über das VLAN gesichert. Bislang läuft alles flott wie es soll. Es kommt halt immer auf den Zweck drauf an. Bei komplexen Infrastrukturen, weil es sich um eine Firma handelt, braucht man halt ein Paket mit höhere Bandbreite.

    Als du die pfSense zum ersten mal installiert und eingerichtet hast, da hast du bestimmt erstmals nur die primäre NIC eingerichtet, damit du Zugriff auf das Webinterface hast. Bei der ersten Konfiguration erstellt die pfSense eine sogenannte Anti Lockout Regel, damit man sich versehentlich bei der Konfiguration der Firewall nicht aussperrt.


    Diese Regel müsste daher nun fürs WAN Interface vorhanden sein. Das kannst du gerne auch mal bei den Firewall Regeln nachprüfen. Deshalb kannst du nach wie vor aus dem WAN auf das Webinterface zugreifen. Diese Anti Lockout Regel musst du in den Allgemeinen Einstellungen deaktivieren. Prüfe aber zwingend vorher, dass deine Firewall Regeln auch wirklich funktionieren so wie gewünscht.

    Oh, entschuldige. Ich habe den Thread nur halbwegs durchgelesen.

    Ich möchte auf beiden Servern ein paar gleiche dienste öffentlich erreichbar machen die über den Standard Port laufen sollen.

    Dann wäre ein Reverse Proxy hier das richtige für dich. (Zumindest wenn ich dich richtig verstanden habe)

    https://sysadms.de/2018/10/pfs…aproxy-als-reverse-proxy/


    Im Grunde möchte ich nur das die beiden Root Server hinter dem Firewall Schutz der PFsense hängen und mit ihrer normalen von Netcup zugewiesenen IP erreichbar sind. (falls es so direkt gehen würde)

    Das macht doch kein Sinn, wenn du die Server direkt öffentlich erreichbar machst. Dann kannst du dir die pfSense ja sparen?

    Hallo,


    ist doch ganz einfach. ;)


    Schritt 1: Du richtest bei allen Servern ein zusätzliches Netzwerk Interface ein. Dazu gehst du ins SCP auf Network -> Add Ethernet Interface (Menüpunkt nur sichtbar, wenn du die VLAN Erweiterung bereits bestellt hast).

    Schritt 2: Bei allen Servern die zusätzliche NIC konfigurieren.

    Schritt 3: Bei der pfSense die Firewall Regeln konfigurieren.

    Schritt 4: Kurz testen, ob du von der pfSense alle Server über das interne Netz (VLAN) erreichen kannst z.B. mit einem Ping. (Achtung! Bei Servern mit Windows als OS muss ICMP in der Windows Firewall explizit erlaubt werden!)

    Schritt 5: War Schritt 4 erfolgreich, dann kannst du bei allen Servern (mit Ausnahme der pfSense logischerweise) die primäre NIC mit der öffentlichen IP deaktivieren. Bei Netcup kann man derzeit leider noch keine Server ohne öffentliche IP bestellen.


    Bei welchem Schritt hast du schwierigkeiten?


    MfG

    kenne ich, allerdings sind die 40€/15 min abschreckend...
    und die erfahrung, die bei anderen Dienstleistern gemacht habe, sagen mir, da wird immer ein Begründung gefunden, warum es an mir lag.. und ich somit die kosten zu tragen habe..

    Diese Gebühr musst du nur zahlen, wenn du das Problem selbstverursacht hast. Übrigens gehst du bei einem Anruf nicht automatisch einen Kaufvertrag ein. Du wirst von dem Mitarbeiter selbstverständlich darüber informiert und er fordert selbstverständlich erstmals deine Einwilligung ein.


    Diese "Warnung" bzw. Gebührt wurde deshalb eingeführt um einen absichtlichen Missbrauch dieser Notfallnummer zu verhindern. Ist bei allen Providern so. Genau das gleiche wie mit Notfallrufnummern wie 112. In Notfällen darf bzw. soll man dort anrufen. Nur wenn festgestellt wird, dass man absichtlich falsche Angaben gemacht hat, dann hat man eine Straftat begannen.


    Und wie tab bereits mitgeteilt hat, bei einer hängenden Image Installation kann der Fehler nur bei Netcup liegen. Selbst bei einem Custom Image sollte die Installation bei einem Fehler automatisch sich beenden.

    Ist in den Einstellungen der VM bei der Bootreihenfolge die Option "Netzwerk" als oberste bzw. erste Priorität festgelegt? Normalerweise sollte auch ein Warnhinweis im SCP erscheinen wenn man das Rettungssystem aktiviert und dies nicht der Fall sein sollte.


    Ansonsten sollte die VM automatisch in das Rettungssystem starten. Ein weiterer Eingriff ist nicht notwendig.

    Von daher wende dich an den Netcup Support.