Check your netmasks and default gateways on all machines. And your firewalls after that.
Beiträge von heppel
-
-
Lichtgeschwindigkeit in Singlemode-Glasfaser: ca. 200 000 km/s.
Mindest-RTT bei 400km hin plus 400km zurueck: 4 ms
Dazu kommen Delays durch Kabelwege, die nicht Luftlinie sind und durch aktive Komponenten.
Gemessem habe ich ca 9 ms zwischen den beiden Standorten.
-
Kannst meinen haben.
Ich muss nur klären, wenn ich den dir jetzt gebe und er wurde noch nicht berechnet da Sammeltrechnungen, geht dass dann an dich über?
Hab ich schon 2 mal probiert. Wenn der Server sofort uebertragen wurde, wurde er dem neuen Besitzer in Rechnung gestellt. Die urspruengliche Rechnung wurde gecancelt. bzw. erstattet. Als Grund dafuer wurde angegeben, dass das eine Massnahme gegen Geldwaesche sei.
-
Ich war zu ungeduldig. Hier die Antwort vom Support:
Der gewünschte Nameserver wurden manuell bei der EURID hinterlegt.
Das Problem sollte in Kürze behoben sein.
Und ja, sowohl im Whois als auch im DNS sieht meine Domain jetzt richtig aus.
-
Ich habe ein offenes Ticket, aber ausser der Mitteilung, dass es vom 1st-Level an die zustaendige Abteilung weitergeleitet wurde, habe ich noch keine Rueckmeldung bekommen.
Bei mir ist der problematische Server der einzige mit ".eu" Domain und deshalb auch der einzige, der Glue braucht. Ist das bei Dir auch so?
Machst Du bitte auch ein Ticket auf, damit der Support sieht, dass das kein isoliertes Problem ist?
-
Interessante Idee. Hat aber leider zu keiner Verbesserung gefuehrt.
-
Ok. Versprochen.
-
Vielen Dank Virinum. Ich hab noch ein bischen hin und her experimentiert, aber leider ohne Erfolg. Nach den Feiertagen mache ich ein Ticket auf.
-
Was sagt denn dig NS mydomain.eu @si.dns.eu?
The name server is already attached to the domain name. klingt irgendwie so, als sei genau dieser Satz an Nameservern bereits hinterlegt.
Da kommen eine leere Antwort-Sektion und eine Authority-Sektion mit ns1 und ns3. Kein Glue. So soll es wohl auch sein. Eine direkte Frage nach ns2 beantwortet der erwartungsgemaess auch nur mit einem Verweis auf ns1 und ns3.
-
Was sagen denn so Tools wie https://nast.denic.de oder https://zonemaster.net ?
Also du trägst ns1, ns2 und ns3 ein und nur bei ns2 die IP-Adressen/Glue? So wäre es aus meiner Sicht auch richtig.
Genau so mache ich es.
Nast sagt. dass alles gut ist. Keine Warnungen. Zonemaster zeigt 2 Warnungen. ns1 hat keine Reverse-Aufloesung bei IPv6 und die Zone ist schon DNSSEC-signiert, es ist aber noch kein DS-Record eingetragen. Beides war aber auch schon so, als ich die beiden ".de" Server erfolgreich eingetragen habe.
Gibt es bei Eurid vielleicht eine Sperrfrist nach jeder Aenderung des Eintrages? Ich habe online nichts dazu gefunden.
P.S.: ns2 und ns3 sind bei Netcup an verschiedenen Standorten. ns1 ist aus Redundanzgruenden bei einem Wettbewerber, der zwar keine Reverseaufloesung fuer IPv6 kann, aber Server in einem anderen AS und auf einem anderen Kontinent anbietet.
-
Moin,
ich habe mir bei der heutigen Aktion eine .eu Domain mit dem selben Namen, wie meine bestehende .de Domain geholt. Ich betreibe drei "authoritative" DNS-Server, die fuer alle meine Domains zustaendig sind. Die heissen ns1.mydomain.de, ns2.mydomain.eu und ns3.mydomain.de. Bitte beachtet das ".eu" bei ns2.
Ich kann die neue Domain problemlos an ns1 und ns3 delegieren. Aber wenn ich ns2 und den entsprechenden Glue bei Netcup in die Maske eingebe, bekoome ich diese Fehlermeldung:
CodeFehler: Die Nameserver konnten nicht aktualisiert werden. Domain update at registrar failed. Parameter value policy error: The name server is already attached to the domain name.
Kann mir das jemand erklaeren? Hat jemand erfolgreich Glue fuer eine ".eu" Domain registriert? Was muss ich aendern?
Ich habe natuerlich die NS-Records in meinen Servern vorher genau so eingestellt, wie ich sie registrieren will. Bei der ".de"-Domain klappt das auch.
TiA
-
Wenn Du wie in diesem Fall Server angibst, die nicht Namen aus der Domain haben, solltest Du keine IP-Adressen angeben. Dann wirdt Du auch die "102"-Warnung los.
Bist Du sicher, dass Du fuer eine bei Netcup registrierte Domain Nameserver von Htzner verwenden willst?
-
Gib Deine Daten doch mal vollstaendig bei https://nast.denic.de/ ein. Also alle NS ggf. mit Glue UND alle DS. Nach meiner Erfahrung werden Daten von NC nicht zum DENIC uebernommen, wenn da eine Warnung auftaucht. Ggf. die Warnungen beseitigen und die Daten im SCP noch mal abschicken.
HTH
-
die Härtung eines Debian-Servers bspw. umfasst 170 Seiten in aktueller Fassung
Ist das Dokument oeffentlich verfuegbar, oder ist das vertraulich?
Ich muss ja nicht alles umsetzen, aber fuer hilfreiche Anregungen bin ich immer dankbar.
-
Moin,
ich habe mal testweise ein Debian 12 auf einer Pico im UEFI-Bootmodus installiert. Das hat auch wie erwartet gut funktioniert.
Diese zwei Unterschiede zu einer klassischen Installation habe ich gefunden:
- Eine zusaetzliche EFI-Partition, die 512 MB belegt.
- Im Kernel muss das VFAT Dateisystem zugelassen werden, um die EFI=Partition mounten zu koennen.
Ich hatte gehofft, dann ein virtuelles TPM mit einer weiteren Quelle fuer Entropie vorzufinden. Das gibt es aber leider (noch?) nicht.
Bitte liebe Schwarmintelligenz, sag mir doch mal, was dafuer oder dagegen spricht, bei Linux-Neuinstallationen den UEFI-Modus zu benutzen. Bei echtem Blech kommt man ja bei neuerer Hardware kaum noch ohne UEFI aus.
-
Single Sign Key ist nicht gültig.
Bekomme ich bei dem Versuch, einen Server zu bestellen. Die Pin ist natuerlich korrekt und ich bin dann auch eingeloggt, aber der Bestellprozess geht nicht weiter.
Hat sonst noch jemand Prbleme? Ich bin auf Debian und Firefox-ESR unterwegs.
-
Mir sind nur ein paar Kleinigkeiten aufgefallen, die aber auch Geschmackssache sein koennten, oder darauf beruhen, dass ich nur Debian benutze und kein Ubuntu.
Das Port fuer SSHD legst Du sowohl in der Systemd-Unit, als auch in der sshd_config fest. Ich wuerde nur eine Stelle nehmen. Das ist eindeutiger.
Die Aenderungen fuer die sshd_config packe ich nach "sshd_config.d/". Das ist weniger Fehleranfaellig. Oder gibt es das unter Ubuntu nicht?
Bei IPv6 machst Du diese beiden Dinge:
# Disable IPv6 router advertisements
# Enable IPv6 privacy extensions
Das kann man durchaus so machen. Aber ich wuerde noch dokumentieren, warum dass so sein soll, denn die privacy extensions funktionieren nicht ohne die router advertisements.
-
Es ging mir nicht um die Sicherheit, sondern um die Interoperrabilitaet. "Sicher genug" sind die Algorithmen wohl alle. Aber ob auch alle verifizierenden Resolver alle Algorithmen implementieren, ist eine andere Frage.
-
$ dig +short filmroellchen.eu dnskey
257 3 15 uvfreAyBCM/OWvvVByYHdHMXcX5awD4bDsxYXWQL8t8=
257 ist bei "Flags" anzugeben (KSK bzw. CSK)
Die 3 besagt nur, dass es sich hier um DNSSEC handelt
15 ist der verwendete Algorithmus (ED25519). Der gehoert in das entsprechende Feld im CCP.
Der Rest ist der oeffentliche Schluessel.
ED25519 wird bei .de Domains nicht unterstuetzt. Wie das bei .eu aussieht, weiss ich nicht.
Generell ist ED25519 in RFC8624 nur RECOMMENDED, nicht MUST. Ich wuerde einen "MUST" Algorithmus nehmen.
-