Beiträge von CmdrXay

Hay,

Zitat von scbawik

weil man weniger zahlt als bei der Konkurrenz

Da muss ich kurz mal korrigierend eingreifen

Nochmals, die Preise von Netcup sind gut bis sehr gut, wenn man Endnutzer (private und gewerbliche) betrachtet. Kein Zweifel, keine Diskussion. Letzlich bin ich über einen Preis-/Leistungsvergleich ja auch hier gelandet.

Hier geht es aber um Reseller-Konditionen, siehe Name des Threads.

Weil ich heute im Rahmen der Dt.-Einheitsaktion ein paar Domains rüberziehen wollte, war ich auch auf meinem Resellerbereich bei Provider-dessen-Name-nicht-genannt-werden-darf (wer will, stelle sich z.B. einen griechischen Buchstaben vor) und da sind es 29 Cent pro Monat pro de-Domain. Ich habe mich erstmal dann doch dagegen entschieden, die dort angesiedelten Domains hier herüber zu holen (selbst beim Dt.-Einheitspreis liegen sie noch zwei Jahre billiger dort durch überschneidende Abrechnungszeiträume und die "Anmeldegebühr" hier)... aber dennoch habe ich hier eben neun neue Domains registriert. Es wären mehr, wenn ich meinen USB-Stick mit meinen vorrecherchierten Domains nicht im Büro vergessen hätte Hoffe, morgen früh läuft die Aktion noch, wenn nicht, habe ich vorerst Pech gehabt. Und Kunden, die wechseln wollten und die ich angeschrieben habe, habe auch nicht schnell genug reagiert.

Ja, mir ist bewußt, dass einige kleine Private gerne Reseller-Status hätten, um billig an Domains zu kommen. Da stellt sich die Frage, welche Regeln Netcup aufstellt, um das vernünftig zu kanalisieren. Ob "groß" oder "Nur Firmen". Gut, "groß" ist relativ und zudem kann man darüber streiten, "Firma" bin ich - sogar drei Firmen, die pkdv (also diese hier) ist die kleinste davon. Ich persönlich würde den Reseller-Status etwas auf den Geschäftszweck in der Gewerbeanmeldung/HR-Auszug einschränken, also ein Autohändler oder Versicherungsmakler kann kein Reseller werden. Eine Firma mit deutlichem Hang in die IT schon.

CU, Peter

Hay,

Zitat von [netcup] Felix

Guten Tag,

Das reine Reselling von Domains ist schon seit einiger Zeit der Beta-Phase entwachsen. Es ist möglich Domains über das CCP für eigene Kunden zu bestellen und zu verwalten. In Arbeit ist derzeit ein API, damit die Verwaltung von Domains in eigene Software integriert werden kann. Anschließend werden wir für große Kunden, individuelle Preise für Domains anbieten.

Das ist sicherlich nicht unser Ziel da es mit unserer Geschäftsphilosophie nicht vereinbar ist. Wir wollen einer der günstigsten Anbieter für de-Domains werden. Wenn Sie eine entsprechende Einkaufsoption bei uns gebucht haben, können Sie schon jetzt durchgehend für 14 Cent Brutto / Monat de-Domains über uns registrieren. Das ist denke ich sehr günstig.

Die Aussage "günstigster Anbieter" ist für meinen Informationsbedarf qualitativ sogar hochwertiger als "größter".

Dass ich im Hinblick auf andere wichtige Projekten dafür Verständnis habe, habe ich bereits bekundet. Ein Reseller-Preis wurde in Aussicht gestellt und genau darauf bezog ich mich. Nun wurde die Aussage in Richtung "große Kunden" modifiziert, was nochmals eine andere Richtung vorgibt und die Aussage eines "generellen" Reseller-Preises wiederum einschränkt.

Die "entsprechende Einkaufsoption" hatte ich bislang nicht, wenn ich sie buchen kann - sofort! Wo? Ich werde jetzt bei der Deutschen-Einheits-Aktion auf jeden Fall schon mal zuschlagen, rd. 20 Domains habe ich dann mehr.

Außerdem sind die Punkte Domains und Server/Webhostings auch nicht 100% getrennt zu sehen. Je mehr Kunden ich hier raufhebe und umso mehr Domains ich hier habe, wird es bei dem einen Serverlein auch nicht blieben - spätestens wenn der erste meiner Kunden HA (oder niedriger angesetzt: Redundanz) haben will, müssen zwei weitere Server her - oder wenn einer keine Überschneidungen mit anderen Projekten haben möchte und ich für ihn einen eigenen Server betreibe, z.B. bin ich gerade im Gespräch mit einem DAX-Unternehmen bezüglich eines Human Ressources Projektes und die legen viel Wert auf Datenschutz bzw. insbes. getrennte Datenhaltung. Gleichzeitig hat das Projekt das Potenzial, aus Performance-Gründen mehrere Server zu belegen... somit hat die Domain durchaus auch vertriebliche Aspekte in anderen Produktkategorien - und wenn es nur 1 Domain aus 100 ist.

Es gibt freilich auch diejenigen, die nur Domains irgendwo horten, aber nicht wirklich damit einen Webspace verbinden. Denen geht es wirklich nur um den Preis - aber bzgl diese Kundenkategorie hat Netcup nichts zu befürchten, auch nicht bei 14 ct/.de-Domain. Das wären auch nicht die Kunden, die ich haben wollte, wenn ich Netcup wäre.

Zitat von Musashi

was sich manche hier vorstellen ist mir absolut fremd.

Die Preise sind so gering, ich kann nur mit dem Kopf schütteln in welcher Welt die Leute leben.

Manche stellen sich halt vor, dass Aussagen wie "es wird einen Resellerpreis geben" auch konkretisiert werden.

Die Preise von netcup sind sicher gut und das Gesamtpaket auch sehr wettbewerbsfähig. Doch aus meiner Sicht macht es durchaus einen Unterschied, ob ich 14 ct/Monat = 1.68 Euro/Jahr = 168 Euro/Jahr für 100 Domains zahle oder 500 Euro/Jahr. Wir reden von dieser Dimension und größer, ich kenne durchaus Kollegen, die mehrere tausend Domains haben. Da kommt es sehr wohl darauf an, wieviel man für eine Domain bezahlt. Als ich 1998 nur fünf Domains hatte und einen Webspace, war mir jeder Preis recht, das war eh' auf Taschengeldniveau. Das ist jetzt anders! Es hat den Hobbybereich schon längst verlassen, ich gebe eine gute dreistelle Zahl für Hostings/Server/Domans pro Monat aus und da gehören solche Diskussionen um Preise (insbesondere, wenn ein angenehmer Resellerpreis angekündigt wurde) natürlich dazu. Um mal meinen ersten Chef zu zitieren: "Das Geld wird im Einkauf verdient, nicht im Verkauf".

CU, Peter

Hay,

erneut sind sechs Wochen vergangen und ich bin mir bewußt, dass es sicherlich Wichtigeres bis jetzt gab, beta hier, beta da, was (mE) jetzt alles irgendwie in der Endphase liegt. Meine Hoffnung ist, dass wir hiermit jetzt auch auf die Zielgerade einbiegen.

Doch bitte ich außerdem darum, nicht komplett ignoriert zu werden. Wenn Netcup der größte Hoster für .de werden möchte (habe ich das nicht irgendwo gelesen?), dann geht das sicher nur durch reselling. Mein Ziel ist, mittelfristig hier weit über 100 Domains eingebucht zu haben. Nach oben offen, wie viel, hängt u.a. vom Preis ab.

Da nehme ich kein Blatt vor den Mund: im Moment ist da jeder andere besser aufgestellt (außer der mit dem logischen Operator im Namen). Mein persönlicher Wunsch ist, dass sich das ändert, denn mein erklärte Kundenwille ist, dass ich möglichst alles an einem Ort versammelt habe. HIER! Das ist doch ein positives Statement, oder nicht?

Selbst wenn es in den nächsten zwei Wochen noch keine Reseller-Preisliste gibt, hilft mir die Info schon weiter, für WANN eine solche geplant ist.

Also, wie schaut's aus?

Ich danke immer noch im voraus für eine Antwort.

CU, Peter

Hay,

und um es einfach zu machen, falls nicht automatisch mitinstalliert, mit diesem fail2ban Filterstring bekommst Du die obigen IPs gebannt:

failregex = ^%(__prefix_line)swarning: [-._\w]+\[<HOST>\]: SASL ((?i)LOGIN|PLAIN |(?:CRAM|DIGEST)-MD5) authentication failed(:[ A-Za-z0-9+/:]*={0,2})?\s*$

Hinweis: Bei einer zusätzlichen iptables-Firewall oder bei iptables-persistent darauf achten, dass nach einem Rechnerneustart alles auch wieder richtig losläd.

Mit anderen Worten, z.B. iptalbes-persistent vor fail2ban stoppen beim herunterfahren und vor fail2ban starten beim hochfahren. Wenn fail2ban nämlich herunterfährt, werden die zusätzlichen bans aus der iptables entfernt, woraufhin iptables-persistent die zu kleine iptables sichert - und beim Neustart startet fail2ban, läd seine bans, dann kommt iptables-persistent und läd die Einstellungen neu und damit fliegt alles wieder raus, was fail2ban schon gestartet hat.

CU, Peter

Hay,

wenn ich eine Webseite entwickle und teste, lege ich dieselbe Domain auf einem anderen Webserver an (aber ohne DNS-Eintrag, einfach einen virtuellen Host). Anschließlich ändere ich die hosts-Datei auf meinem Rechner, damit mein Browser die Domain auf die IP auflöst unabhängig davon, was der DNS dazu sagt... diesem Verhalten kommt man fatalerweise nicht mit nslookup auf die spur, weil der wiederum umgeht die hosts-Datei...

Das klingt irgendwie danach... und würde exakt die Kuriosität erklären.

CU, Peter

Hay,

schauen Sie in /var/log/asterisk.

Von Installation zu Installation können da unterschiedliche Dateien liegen. Diese werden in /etc/asterisk/logger.conf konfiguriert.

z.B. ist ein Standardeintrag "full => notice,warning,error,debug,verbose,dtmf,fax"

bedeutet: Dateiname "full" und dort fließen die Typen notice, warning... etc mit hinein.

Entweder "full" oder "messages" heißen die Dateien in der Regel, also mit vollem Pfad /var/log/asterisk/full. Da werden die SIP-Pakete zu dem Zeitpunkt ins Logfile hineingeschrieben, wann sie auftreten. D.h. man sieht, was vorher passiert und was nachher.

Gegebenenfalls schicken Sie dort, wo sie "sip set debug on" eingegeben haben (also die Kommandozeile der Asterisk) noch zusätzlich ein "core set verbose 5" und "core set debug 3". Standardmäßig liegt die Geschwätzigkeit der Asterisk bei 3, die setzen Sie damit auf 5 und normale Debug-Infos sind ausgeschaltet, die schalten Sie mit der 3 auf einem niedrigem Level ein. Mehr bekommen Sie mit höheren Zahlen, bis zur 9.

Nach dem Debuggen sollten sie wieder auf die Standardwerte zurückgehen, also nacheinander "sip set debug off", "core set verbose 3", "core set debug off". Sonst kommen uU sehr große Logfiles zustande!

CU, Peter

Hay,

Zitat von Gunah

moin,

deine IP ist hier gelistet

http://spfbl.net/en/delist/

auf grund deines PTR

Alles anzeigen

lol, aus irgend einem Grund war meine IP da drauf ("but not bad reputation"), habe den unblock-Key angefordert und bekomme ihn nicht, weil der Server, der ihn schicken soll, selbst das Verhalten eines spammenden Mailservers an den Tag legt und wegen meines greylistings (Response "451 4.7.1 Service unavailable - try again later") nicht zustellt...

Greylisting abgestellt, Mail gekommen, delisted, Greylisting wieder eingeschaltet...

CU, Peter

Hay,

zu kompliziert bzw. spezifisch für (dieses) Forum. Gehört besser in ein freepbx Forum, Ich habe Ihre PN beantwortet.

CU, Peter

Hay,

noch einmal ein Nachtrag - ich habe ja nicht berücksichtigt, dass es sich offensichtlich nicht um Einbruchsversuche handelt, sondern um "normale" und vermeitlich korrekte Anrufversuche. Insofern ist mein Geschreibsel leider nicht anwendbar und man müsste von Hand-Zu-Fuß sperren. Sorry.

Allerdings müssen auch Anrufer einen SIP-Absender stellen und diesen kann man dann im Extremfall per Dailplan und Tastendruck in eine sich selbst ergänzende Blacklist eintragen (sofern freepbx das Ergänzen von Dialplänen zulässt). Das birgt natürlich die Gefahr, auch zulässige Anrufer auszuschließen, z.B. wenn jemand eine korrekte deutsche Rufnummer als Absender mißbraucht.

Sofern man nur "normale" Telefonanrufe erwartet (von Festnetznummern oder Mobilrufnummer z.B.) sollte man den Wählplan schon eingehend entsprechend einschränken und nicht alle Anrufe generell annehmen (sondern nur das, was numerisch kommt, CALLERID(num) aufdröseln), sowie auswerten, ob tatsächlich ein konkretes Wählziel angegeben wurde (nicht "_." annehmen, sondern "_49640862070XX" am Beispiel meiner Nummer oder konkreter "4964086207010" für eine dedizierte Durchwahl) und alles in einen richtigen Context schmeißen (nicht "default" oder "public"). Aber das kann die Stelle sein, in der man gerne freepbx einsetzt, weil das nicht so kompliziert ist.

CU, Peter.

Hay,

Nachtrag: Selbst wenn durch das durchrotieren der IP-Adressen fail2ban vielleicht nicht korrekt anschlägt, sammelt es verdächte IP-Adressen, so wie bei mir. Ich schaue mir dann regelmäßig das fail2ban log an und wenn ich Muster erkenne, sperre ich die dann mit iptables manuell.

CU, Peter.

Hay,

ich weiß nicht, wie nativ man freepbx konfigurieren kann. Da freepbx auf Asterisk aufsetzt, würde ich so vorgehen - dabei gehe ich halbwegs von einer Standardinstallation aus, z.B. bezüglich der Pfade, außerdem setze ich die Asterisk 13 certified ein:

a) Security Log einschalten

/etc/logger.conf unter [logfiles]

security => security

Das erzeugt nach dem reload eine Datei /var/log/asterisk/security, dort versammeln sich Einträge wie (meine IP ausge-x-t)

[2017-09-17 07:25:13] SECURITY[2594] res_security_log.c: SecurityEvent="InvalidPassword",EventTV="2017-09-17T07:25:13.139+0200",Severity="Error",Service="SIP",EventVersion="2",AccountID="900972597719697",SessionID
="0x7f41e0076f88",LocalAddress="IPV4/UDP/xxx.xxx.xxx.xxx/5060",RemoteAddress="IPV4/UDP/155.94.65.20/5094",Challenge="1f957968",ReceivedChallenge="1f957968",ReceivedHash="0a19ca99e6c0ad6a6119fe1c0a54d395"

Das schöne daran ist, man braucht keinen Wireshark o.ä. mehr, die IP-Adressen stehen alle drin (IPV4/IDP/155.94.65.20 in dem Beispiel).

Auf dieses Security-Log kann man nun den fail2ban loslassen.

bei mir steht z.B. in /etc/fail2ban/filter.d/asterisk.conf diese Zeile in den failregex drin:

failregex = SECURITY\[.*\] .* SecurityEvent="InvalidPassword".*RemoteAddress="IPV4/UDP/<HOST>/.*".*

Die Zeile matched die obige Logfilezeile schön heraus und diese IP bekommt dann einen Strike verpasst Nach 5 Strikes innerhalb einer bestimmten Zeit wird diese IP bei mir gebannt und (wenn ich will) nach einer gewissen Zeit wieder frei gegeben.

Dialer sind grundsätzlich nicht verboten, aber es gibt Regeln - in GB in "Gesetzesform", hier eher implizit durch die Regulierungsbehörde. Die Regeln sind aber auf der einen sehr kompliziert, auf der anderen Seite kümmert das einen zentralchinesischen Hackern nicht... deswegen Selbstschutz z.B. a la fail2ban. Für größere Installationen reicht fail2ban nicht, da nimmt man eher einen vorgelagerten Proxy (inkl. "SIP-Firewall") wie Kamailio, der haut auch 1 Mio illegale Anrufe am Tag weg XD

CU, Peter.

Hay,

keine Reaktion ist auch eine Reaktion.

Ich persönlich werde genau dann sauer, wenn ich zu einer Reaktion genötigt werden oder sogar, wenn ich mich nur dazu genötigt fühle.

Ich habe eine Domain die einige Leute (früher) unbedingt haben wollen, die ich aber nicht abgeben wollte. Wenn man einmal, wie es mir passiert ist, einen Psychopathen auf der Gegenseite hatte, der lernt: Ignoranz ist ganz befreiend. Denn eine Absage ist für den das Signal, dass man kommunizieren möchte ("N.e.i.n."=Noch ein Impus notwendig), also schreibe ich schnell mal eine Antwort mit "Warum denn nicht? Ab wieviel könnten wir denn reden?" und irgendwann ist es einfach nur lästig. Lieber tot stellen, dann geht das schneller vorbei als bis die Gegenseite kapiert, dass man nur höflich ist und das "NEIN" weiterhin gilt.

Bitte, nicht böse sein. Aber wenn jetzt hier thematisiert wird, wie man jemanden möglichst dazu zwingen kann, doch zumindest eine "nette Antwort" oder "Absage" zu schreiben, damit man wenigstens eine Reaktion hat, dann ist das genau dies: lästig, stalking. Und wie eingangs beschrieben: Deine Reaktion hast Du. Nicht zu antworten ist nur bedingt unhöflich, auf eine Antwort zu bestehen, aber sehr wohl...

CU, Peter

Hay,

bei einem anderen Hoster habe ich auch Domains bestellt und die liegen dort (und so lange sich beim Domain-Reselling nichts bewegt, bleiben die auch dort... hint, hint...). Da ging es aber umgekehrt. Ich habe einen DNS gemietet, deswegen kann ich mir auch Domains bestellen. Auf den DNS habe ich vollen Zugriff, wobei es mir dort tatsächlich reichen würde, einen A-Eintrag für www zu haben und einen MX.

Einziger Weg ginge dann, einen eigenen Nameserver hier z.B. auf einem Rootserver zu betrieben und die NS-Einträge der Domain dann hierher zeigen zu lassen, so hast die komplette Verfügungsgewalt über den zone-Eintrag. Doch wenn * schon nicht geht, werden die beim NS sicher nicht plötzlich alle Freiheiten gestatten

CU, Peter

Hay,

Zitat von Marentis

Gibt es bekannte Probleme bei Verwendung einer externen Domain und des Lets Encrypt Plugins?

Ich erhalte lediglich den Fehler, dass das Authorization Token nicht gefunden werden konnte (klassischer 404).

Bei manueller Überprüfung des Folders ist dieses allerdings ordentlich angelegt worden.

Download per Browser funktioniert genauso wenig und ergibt ebenfalls lediglich den Fehler 404.

vielleicht ein Rewrite durch eine .htaccess im Verzeichnis (oder einem darüberliegendem)? Wenn man ein CMS installiert hat, möchte dies die http-Anfrage möglicherweise umleiten und dann stimmt der Pfad nicht mehr - oder auch ein Plugin wie z.B. RealURL-Extension bei typo3.

CU, Peter

Hay,

ich weiß nicht, wo Ihr schaut, aber ich sehe jeden einzelnen DNS-Record. Auch bei dig @8.8.8.8...

dig @root-dns.netcup.net ANY _sip._tls.impress-ev.de

; <<>> DiG 9.9.5-3ubuntu0.15-Ubuntu <<>> @root-dns.netcup.net ANY _sip._tls.impress-ev.de
; (2 servers found)
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 43271
;; flags: qr aa rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 3, ADDITIONAL: 6

;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags:; udp: 4096
;; QUESTION SECTION:
;_sip._tls.impress-ev.de.       IN      ANY

;; ANSWER SECTION:
_sip._tls.impress-ev.de. 86400  IN      SRV     100 1 443 sipdir.online.lync.com.

;; AUTHORITY SECTION:
impress-ev.de.          86400   IN      NS      second-dns.netcup.net.
impress-ev.de.          86400   IN      NS      third-dns.netcup.net.
impress-ev.de.          86400   IN      NS      root-dns.netcup.net.

;; ADDITIONAL SECTION:
root-dns.netcup.net.    2494    IN      A       46.38.225.225
third-dns.netcup.net.   2993    IN      A       188.68.63.68
third-dns.netcup.net.   6456    IN      AAAA    2a03:4001:0:106::3f44
second-dns.netcup.net.  2993    IN      A       37.221.199.199
second-dns.netcup.net.  6456    IN      AAAA    2a03:4000:2:24b::c7c7

;; Query time: 1 msec
;; SERVER: 46.38.225.225#53(46.38.225.225)
;; WHEN: Wed Sep 06 16:22:32 CEST 2017
;; MSG SIZE  rcvd: 280

Oder habe ich das Grundproblem nicht verstanden?

CU, Peter

Hay,

obwohl ich auch für alles Zertifikate habe und Mailtransfer vom Desktop genau so funktioniert, hat es bei meinem Tablet (Samsung Galaxy Tab A 2016 mit Android 7) auch erst geklappt, als ich auf "alle Zertifikate" gestellt habe. Insofern kann ich "funktionieren sollten alle" zwar unterstreichen, aber nicht verfizieren

Vielleicht fehlt im Android das Cert der passenden CA? Kein Bock da nachzuforschen, Hauptsache es geht

CU, Peter

Hay,

ich persönlich setze auch bevorzugt Piwik ein - für eine kleine private Webseite wäre es überdimensioniert, aber wenn es Firmenwebseiten, große Webseiten oder sogar Webshops sein sollen, dann ist es ziemlich genial (sofern man von google analytics unabhängig sein möchte).

Das Tool hat für mich einen sehr wichtigen Vorteil: Ich installiere es einmal auf meine zentrale Webpräsenz und lasse damit alle meine Webseiten zählen, egal unter welcher Domain oder bei welchem Hoster, alles wandert zu mir in eine gemeinsame Statistik (die ich natürlich auch nach Domains getrennt auswerten kann).

CU, Peter

Hay,

wenn Du den Eingang ins Postfach (auf dem Server selbst, nicht über den Client) sofort siehst, Du aber nicht benachrichtigt wirst, muss Du auf andere Antworten warten

Bei mir war aber auch immer eine Verzögerung vom Anzeigen im Logfile bis zur Auslieferung ins Postfach zu verspüren, 1-3 Minuten. Zuerst habe ich mich gewundert, da z.B. bei [selbst-zensur] sofort ausgeliefert wurde. Aber logisch lag es an mir, da ich den Server auf greylisting gestellt habe, d.h. der Eingang wird mit einer 450 Antwort verzögert und erst beim zweiten Versuch wirklich ins Postfach zugestellt wird, daher die Verzögerung bei mir.

CU, Peter

Hay,

und Du kannst es nochmal schwieriger machen - mein Nutzer, der sich root-Rechte nehmen kann, darf sich nur mit Keyfile anmelden, welches wiederum mit einer umfangreichen Passphrase geschützt ist.

Und trotzdem ist nach erfolgreichem Login noch einmal su für root-Rechte notwendig - mit nochmal Kennwort.

Und dann nochmals fail2ban drüber, wobei ich die Logfile-Hygiene durch die Blockierung nach 5 Erfolgversuchen fast noch mehr schätze als das Blocken an sich . Ist halt nervig, wenn man was schraubt und das syslog durchscrollt, weil jemand gerade sein Hackerscript laufen hat, welches alle potenziellen Standarduser und die beliebesten Namen durchprobiert...

CU, Peter

Hi Muso,

Du hast Mail.

CU, Peter