Posts by marpri

    Vielen Dank euch 4 für eure Hinweise und Vorschläge! Das hat mir schonmal sehr weitergeholfen.


    marpri Willst Du am anderen Server tatsächlich den originalen HTTP-Hostnamen haben? Kannst Du den dort richtig zuordnen/verarbeiten?

    Das Ziel der Proxyverbindung ist ein anderer Server, auf dem mehrer Instanzen einer Software mit embedded tomcat laufen. Der jeweilige tomcat, der die Verbindung entgegennimmt, arbeitet ohne vHost und dementsprechend ist für den der Hostname-Header nicht relevant. Ich möchte ja nur über den Port definieren, an welche Instanz der meiner Software die Verbindung geht


    Ich würde hier auch lieber auf explizite Ports prüfen. Denn ansonsten wird das ggf. zu einem Einfallstor.

    Die Links zu regex101 haben sehr geholfen. Mein Problem ist, dass ich nicht jedes mal, wenn ich eine neue Instanz meiner Software starte, die nginx Konfiguration um einen expliziten Port erweitern möchte, daher möchte ich ja die Subdomains (und damit die Ports) implizit per Regex auswerten. Aber die Idee, die Subdomain mit capturing groups weiter einzugrenzen, finde ich gut.

    Spricht etwas dagegen, die Firewall des "Zielservers" so zu konfigurieren, dass sie z.B. nur Verbindungen vom "nginx-Proxy-Server" auf Ports 1000 bis 2000 durchlässt? Dann könnte ich auf dem Zielserver Instanzen meiner Software starten, die tomcats an Ports in dieser Range binden und die Inszanzen über die Subdomains p1000 bis p2000 erreichen. Wenn dann auf Port 1234 keine Instanz meiner Software lauscht, gibt der Proxy halt Fehler 502 Bad Gateway zurück.

    Hätte ich dann ein Einfallstor oder wäre das aus eurer Sicht legitim?

    Danke und schönen Abend noch

    marpri

    Hallo alle zusammen,

    ich habe ein Problem mit der Konfiguration von nginx und hoffe hier hat jemand eine Idee.

    Mein Vorhaben: Ich möchte einen nginx vhost anlegen, der basierend auf der subdomain die Verbindung an einen anderen Port auf einem anderen Server weiterproxiet.

    Also z.B.
    p1234.example.com -> proxy zu http://andererserver:1234

    p1111.example.com -> proxy zu http://andererserver:1111

    p2222.example.com -> proxy zu http://andererserver:2222

    hallo.example.com -> Error 444


    Also alle gültigen Subdomains beginnen mit p, dann eine vierstellige Nummer, das Ziel der Proxyverbindung ist immer der gleiche Server, der Port entspricht der Nummer nach dem "p".

    Ungültige Subdomains (ohne p am Anfang) sollen mit Error 444 quittiert werden.


    Ausgangssituation:

    Diese Konfiguration funktioniert schon "ein Bisschen" ^^
    Ich habe aktuell das Problem, dass die Subdomains mit "p" beginnen. In der Variable $1 wird die Subdomain gespeichert, also wird eine Verbindung der Subdomain p1000.example.com geproxiet an "http://andererserver.domain.tld:p1000" , was natürlich ungültig ist...


    Also wie bekomme ich das p am Anfang der Variable $1 weg?

    Vielleicht kann mir ja ein Meister hier einen Rat geben :)


    Vielen Dank schonmal und viele Grüße

    marpri

    Hallo Josef ,


    das ist bei netcup eigentlich ganz einfach. Wenn deine Domain zu netcup transferiert wurde, werden bei der Denic alle alten Inhaberdaten mit den Daten überschrieben, die du im CCP findest. Im CCP unter "Stammdaten" kannst du deine E-Mail Adresse (E-Mail Vertragspartner) hinterlegen, die u.A. bei allen Domains deines Accounts als Inhaber-E-Mail eingetragen wird.


    Wenn die Domain gerade erst zu netcup transferiert wurde, würde ich noch einen Tag warten und dann sollte bei einer Abfrage der Denic die E-Mail an die Adresse aus dem CCP gesendet werden.


    LG marpri

    Hi chrko
    ich gebe hier mal meine persönliche Meinung zu dem Thema preis:


    Ich hatte auch schon das Problem, dass der netcup Support meine Anfrage nicht beantworten wollte, weil sie nicht von der autorisierten und im CCP hinterlegten Adresse kam. Grundsätzlich ist natürlich klar, dass der Support sicherstellen muss, dass Anfragen nur dann beantwortet werden, wenn man sich sicher sein kann, dass sie vom Kunden selbst kommen und nicht von jemandem, der sich nur als Kunde ausgibt. Zum einen könnte netcup ganz schnell einen Datenschutzverstoß begehen, wenn ein Mitarbeiter z.B. an eine wildfremde Adresse Zahlungsdetails, personenbezogene Daten oder Infos über gebuchte Produkte des Kunden sendet.

    Andererseits könnte ein Angreifer großen Schaden anrichten, wenn er z.B. gefälschte Kündigungen in fremdem Namen an netcup verschickt oder etwa: "Hilfe, ich komme nicht mehr an meine Server ran...bitte setzen Sie alle meine Server zurück, löschen Sie die Festplatte oder setze Sie sie neu auf!"

    Das sicherste Passwort, 2-Faktor-Authentifizierung, etc. hilft nicht, wenn ein Angreifer sich einfach als Kunde ausgibt und dann eine "menschliche Schwachstelle" im Support ausnutzt um Server zu übernehmen oder lahmzulegen. (Stichwort: Social Engineering)

    Es ist also klar, dass netcup so eine mögliche Schwachstelle ausschließen muss. Einerseits könnte man von vornherein jegliche Aufträge oder Anfragen über "unsichere Kanäle" blockieren und dem Kunden nur noch das Kontaktformular im CCP nach erfolgter Authentifizierung erlauben. Das wäre aber wenig komfortabel.


    Eine weitere Möglichkeit (mein persönlicher Favorit, wird von einigen anderen Firmen so gemacht) wäre, im CCP einen regelmäßig neu generierten Support-Pin anzuzeigen, den der Kunde am Telefon, per Mail etc. immer angeben muss. So ist sichergestellt, dass niemand in fremdem Namen den Support missbrauchen kann.


    Man könnte auch (macht netcup glaube ich am Telefon) die Kundennummer abfragen. Das ist m.M.n. sehr unsicher und sollte nicht zur Authentifizierung genutzt werden, da ich ja z.B. im Partnerprogramm die Kundennummern meiner geworbenen Kunden sehen kann. Die Kundennummer ist also nicht geheim.


    Per E-Mail kann man nun auf die Absender-Adresse, die im CCP hinterlegt sein muss, vertrauen. Das ist in meinen Augen suboptimal aber nicht so schlimm, wie du es in deinem Post darstellst. Natürlich kann jedes Script-Kiddy den From-Header einer Mail manipulieren, aber das heißt noch lange nicht, dass diese Mail dann vom netcup Support angenommen und bearbeitet wird. Wenn du im CCP eine Mail-Adresse einer Domain mit aktivem SPF, DMARC und DKIM hinterlegst, wird es ein Angreifer schwer haben, dem netcup-Mailserver eine gefälschte Mail zuzustellen. Und "seriöse" SMTP-Server wie z.B. die von GMAIL prüfen natürlich, ob du als User die im From-Header angegebene Adresse überhaupt verwenden darfst.

    (Natürlich setzt das Voraus, dass der netcup-Mailserver des Ticketsystems auch SPF, DKIM, etc. prüft, bevor ein Supportmitarbeiter die Mail zu Gesicht bekommt)

    Weiterhin kannst du die E-Mail Adresse im CCP einfach ändern und so sicherstellen, dass niemand außer dir überhaupt weiß, welche Absenderadresse du gerade autorisiert hast.

    Alles in allem finde ich, dass du einerseits Recht hast, dass man das vorhandene System verbessern könnet, andererseits muss ich deiner Aussage, jeder könne diese Absender-Prüfung umgehen, widersprechen.

    Eine weitere Diskussion dieses Themas auch mit einem netcup Mitarbeiter wäre super :thumbup:


    Viele Grüße

    marpri

    Ich sehe gerade, dass in deinen Logs nur steht, dass du SKIP_LETS_ENCRYPT=y benutzen kannst. Daher ist mein Vorschlag von weiter oben natürlich in deinem Fall nicht zielführend, sorry. Habe ich heute Nacht um halb 2 wohl nicht gecheckt :S

    Der Server ist über Port 80 erreichbar. Ein Reverse Proxy existiert nicht. Die Ports gehen direkt zum Container.

    Die Logs zeigen folgendes:

    Code
    1. 26.5.2019, 00:49:57 Use SKIP_LETS_ENCRYPT=y in mailcow.conf to skip it permanently.
    2. 26.5.2019, 00:49:57 Cannot validate hostnames, skipping Let's Encrypt for 1 hour.
    3. 26.5.2019, 00:49:57 Cannot match your IP NO_IPV6_LINK against hostname mail.domain.tld (IPv6)
    4. 26.5.2019, 00:49:57 Found AAAA record for mail.domain.tld: IPv6 - skipping A record check
    5. 26.5.2019, 00:49:57 Cannot match your IP NO_IPV6_LINK against hostname autodiscover.domain.tld (IPv6)
    6. 26.5.2019, 00:49:57 Found AAAA record for autodiscover.domain.tld: IPv6 - skipping A record check
    7. 26.5.2019, 00:49:53 OK
    8. 26.5.2019, 00:49:05 Detecting IP addresses...
    9. 26.5.2019, 00:49:05 Using existing Lets Encrypt account key /var/lib/acme/acme/account.pem
    10. 26.5.2019, 00:49:05 Using existing domain key /var/lib/acme/acme/key.pem

    In den Logs steht ja eigentlich schon ganz genau wo der Hund begraben liegt: Im obersten Ordner deiner Mailcow (z.B. /opt/mailcow-dockerized) liegt eine Datei mailcow.conf (ist glaube ich ein Symlink zu einem docker-compose file)

    In mailcow.conf gibt es eine Zeile "SKIP_LETS_ENCRYPT" welche bei dir auf Y gestellt ist. Also wird Let's Encrypt nicht verwendet. Stelle die Zeile auf "N" und nach einem

    Code
    1. docker-compose down
    2. docker-compose up -d

    sollte ein Zertifikat mit Let's Encrypt erstellt und von Mailcow verwendet werden.


    Viele Grüße

    marpri

    ikar.us Du hast aber schon gesehen, dass der Thread und vor allem das Zitat von Felix mehr als 7 Jahre und 4 Monate alt ist !?!?

    Und dir ist schon klar, dass sich seit Felix' damaliger Aussage viel getan hat?

    Ein paar Beispiele: GlobeSSL hat eine deutlich bessere Akzeptanz, dank Let's Encrypt bekommst du in jedem netcup Webhosting mittlerweile kostenlose Zertifikate für alle Subdomains, ...
    Warum gräbst du ein so altes Zitat aus?

    Ach ja E-Mails auf dem Handy sind schon was feines ^^

    Ich komme da nicht drauf klar. Vor allem regt es mich auf, dass sie auf keine Fragen antwortet, keine Vorschläge annimmt und stattdessen nur wirres Zeug antwortet. Vielleicht bin ich da auch heute leicht reizbar...

    Aber mal im Ernst: Ich habe mit vielen Leuten zutun, die technisch nicht versiert sind und mir am Telefon ähnliche Probleme schildern. Aber sowas hab ich noch nicht erlebt. Ich glaube wir haben hier den nächsten Troll...

    Hallo Munnie2008 ,


    dein Problem könnte mittlerweile schon 3 mal gelöst sein. Ich (und wahrscheinlich viele andere hier) habe schon einen Verdacht woran es liegen könnte. Auch auf die Gefahr hin, dass ich mich wiederhole: Wenn du Hilfe möchtest, beantworte bitte meine Fragen, sonst kann dir niemand helfen! Du hast die Hälfte der Fragen ignoriert!

    Quote

    Du möchtest also deine E-Mails auf deinem Android Handy abrufen. Wie gehst du da vor? Hast du eine App installiert oder verwendest du eine vorinstallierte "E-Mail" App? Versuchst du, dein E-Mail konto in so einer App hinzuzufügen?

    Oder öffnest du erst einen Browser (Firefox, Chrome, etc.) und öffnest dann eine Webseite um deine E-Mails abzurufen? Wenn ja, welche Webseite? https://webmail01.netcup.net/ ?

    Bitte beantworte mal diese Fragen ganz präzise!

    Dass du nicht technisch versiert bist, ist kein Problem, aber ein paar Fragen musst du beantworten, sonst versteht man nicht, was du möchtest. Aktuell wissen wir noch nicht mal genau, was du eigentlich vor hast (ja, deine Mails empfangen, aber wie?)


    Viele Grüße

    marpri

    Hallo Munnie2008 ,

    wenn man dir weiterhin alles aus der Nase ziehen muss, brauchst du nicht auf Hilfe zu hoffen. Du erzählst aus technischer Sicht ziemliches Durcheinander!

    Bitte gib uns jetzt mal ein paar klare Informationen, damit wir dir helfen können!


    Also, welches Netcup Produkt hast du? Ein Webhosting 1000?

    Du möchtest also deine E-Mails auf deinem Android Handy abrufen. Wie gehst du da vor? Hast du eine App installiert oder verwendest du eine vorinstallierte "E-Mail" App? Versuchst du, dein E-Mail konto in so einer App hinzuzufügen?

    Oder öffnest du erst einen Browser (Firefox, Chrome, etc.) und öffnest dann eine Webseite um deine E-Mails abzurufen? Wenn ja, welche Webseite? https://webmail01.netcup.net/ ?

    Bitte beantworte mal diese Fragen ganz präzise! Momentan widersprichst du dir selbst in deinen Beiträgen.


    Viele Grüße

    marpri

    Hi, ich würde dir gerne helfen, habe aber leider gerade meine Kristallkugel nicht zur Hand :(


    Quote

    ich habe den Server

    Welchen Server? Welches Produkt? Rootserver? VPS?


    Quote


    bis her hatte ich nie eine Fehlermeldung

    Nicht eine einzige Fehlermeldung im syslog? Respekt :thumbup:


    Quote


    habe ich im error log folgende Meldung

    Vielleicht ein paar zusätzliche Infos? Distribution? Version? Welcher error log?



    Vielleicht hilft dir das ja weiter:

    https://forum.netcup.de/admini…led-to-add-default-route/


    Viele Grüße

    marpri

    Ein Improvement wäre hier, wenn man mehrere Secrets erstellen könnte. Wenn dann ein Mitarbeiter das Unternehmen verlässt, kannst du sein Secret löschen. Aber die korrekte Lösung ist das vermutlich nicht..

    Das wäre schonmal ein gewisser workaround :thumbup:

    Vielleicht ist das für netcup ja als erster Schritt eingermaßen einfach zu implementieren

    Alternativ könnt ihr euch ein eigenes Interface bauen über die API von netcup. Je nachdem was ihr vorhabt hält sich der Aufwand halbwegs in Grenzen (Herunterfahren/Starten/Neustarten). Dann könnt ihr selbst die Berechtigungen an die entsprechenden Mitarbeiter geben und loggen.


    https://www.netcup-wiki.de/wiki/Netcup_SCP_Webservice

    Vielen Dank für den Hinweis, allerdings ist die API dazu noch zu eingeschränkt. Man müsste Server auch neu aufsetzen, rDNS verwalten und z.B. ISOs mounten können.

    Außerdem sind CCP und SCP meiner Meinung nach wirklich schick und funktionieren super, daher würde ich meine Kollegen lieber darin arbeiten lassen, als in einer von mir zusammengeschusterten Weboberfläche ;)

    Hallo alle zusammen,

    weiß jemand, ob es geplant ist, im neuen CCP bzw. SCP die Funktion einzubauen, Unterkonten anzulegen? Also z.B. ein Unterkonto, dem man nur Zugriff auf das SCP, oder nur auf die Rechnungen, nur auf einzelne Produkte, etc. gibt?
    Wenn man netcup als Firma nutzt und einige Maschinen laufen hat, ist es äußerst unschön, allen Mitarbeitern das Passwort für das CCP zu geben, das 2FA-Secret mit allen zu teilen, und jedes mal wenn jemand die Firma verlässt, das Passwort zu ändern. Hier wäre es äußerst wünschenswert, personalisierte Zugänge einrichten zu können (von mir aus erstmal ohne spezifische Einschränkungen, hauptsache personalisiert). Auch im Hinblick auf die Nachvollziehbarkeit einzelner Aktionen wäre das super (z.B. eine Spalte "Benutzer" in den Logs im SCP) sodass man sehen kann, welcher Benutzer einen Server neu gestartet hat etc.

    Wir haben aktuell noch einige Maschinen bei der großen Cloudtochter (3 Buchstaben) des Onlineshoppingriesen und aktuell ist die Mehrbenutzerfähigkeit das einzige, was uns davon abhält, diese alle in Rootserver bei netcup umzuwandeln.


    Würde mich mal interessieren, was [netcup] Felix P. dazu sagt, und ob es noch andere Kunden gibt, die diesen Vorschlag unterstützen.


    Danke und schönen Abend noch!

    marpri

    Hi,

    Oder trag alternativ für den SMTP-Server direkt dessen IP ein, falls das bei einem iPhone möglich ist. Dann kannst Du DNS schon mal ausschliessen.

    Das kann man zum testen mal kurzfristig machen, ist generell aber eine ganz schlechte Idee! Wenn du die IP anstatt eines korrekten FQDN einträgst, zwingst du deinen Mailclient dazu, den auftretenden Certificate-Name-Mismatch der TLS Verbindung zu ignorieren und stumpf jedes Zertifikat zu akzeptieren. Damit öffnest du jedem MITM-Angriff Tür und Tor. Das würde ich also lieber lassen.


    Also das Problem besteht nur in meinem WLAN @ Home. Also muss es doch an den Ports liegen. Komisch ist nur das ich meine ich alle gängigen Ports offen habe...

    Welche Ports brauche?

    Wie schon von anderen gesagt: Das hat mit offenen Ports nichts zu tun! Ports in deiner Fritzbox öffnest du, wenn du z.B. einen Webserver in deinem lokalen Netzwerk von außer erreichbar machen willst. (Stichwort Portweiterleitung) Öffne bloß nicht einfach irgendwelche Ports, damit reißt du ein Loch in deine Firewall und machst dich angreifbar, wenn du dich nicht auskennst!


    Was du stattdessen mal schauen könntest, ist, ob evtl. die "Kindersicherung" deiner FritzBox dazwischengrätscht. Damit kann man einzelnen Clients z.B. den Zugriff auf Torrents etc. verbieten. Schau mal, ob deine Clients alle das Profil "unbeschränkt" in der FB haben.


    Viele Grüße

    marpri

    Du gibst uns hier wirklich sehr wenige Informationen. Ich finde, es gehört zum guten Ton, die Leute, die man nach Hilfe fragt, mit genügend Informationen zu versorgen...

    Was bedeutet "meine SOGo Startseite" ? Groupware von netcup? selbst auf einem Server installiert? Über welche Domain erreichbar? Welches Server OS? Hinter einem Proxy? Über http oder https erreichbar?


    Was bedeutet "den normalen PC"? Welches Betriebssystem? Welcher Browser? Was bedeutet "nicht aufrufen"? Bekommst du einen Fehler angezeigt (Error 404, Error 403, ...) oder ein TimeOut Error? Wie ist dein PC mit dem Internet verbunden? DSL? IPv4, IPv6, beides?


    Es wäre super, wenn du wenigstens ein paar dieser Fragen beantworten würdest.


    Ich rate jetzt mal spontan ins blaue -> Deine SOGo Instanz ist korrekt über IPv4 erreichbar, über IPV6 gibt es einen Fehler. Je nachdem, ob dein Browser sich gerade für v4 oder v6 entscheidet, kannst du die Seite erreichen oder nicht. Über das Mobilfunknetz triff der Fehler nicht auf, weil du da nur eine IPv4 Verbindung hast


    Viele Grüße

    marpri

    Ich finde, man kann sich die OTPs ruhig in Bitwarden generieren lassen. Das untergräbt den Sinn von 2FA meiner Meinung nach höchstens ein bisschen. Grundsätzlich ist 2FA ja eine zusätzliche Hürde, falls jemand an dein Passwort gekommen ist. Das kann auf unterschiedlichste Weisen passieren:

    - unverschlüsselste oder minderwertige SSL/TLS Verbindung (MITM Angriffe)

    - Keylogger

    - jemand schaut dir über die Schulter

    - Du gibst das Passwort auf einer Phishing Seite ein


    Genau davor schützt 2FA auch dann noch, wenn du es in Bitwarden hinterlegst, denn das 2FA Secret bleibt geheim. Und wenn jemand tatsächlich Zugriff auf deinen Passwortmanager bekommen sollte, was einer mittleren Atomkatastrophe gleich käme, dann ist Hopfen und Malz sowieso verloren und du hast wahrscheinlich ganz andere Probleme als 2FA.


    Mal ganz abgesehen davon ist Bitwarden in meinen Augen ein hervorragender Passwortmanager (open-source, self-hosted, ...) und kann ruhigen Gewissens empfohlen werden!