Beiträge von OliverN

    Leider kann ich gerade nicht mehr bearbeiten.

    Da ich eh drei eigene Nameserver mit PowerDNS betreiben möchte, müsste ich ggf nochmals überlegen auf die drei gleich noch einen DNS Resolver zu installieren anstelle ubound auf jedem Mailserver.

    Ich denke das es nur die Namensauflösung ist.

    Auch ein apt-get install schlägt so natürlich fehl.


    Ein Ping auf verschiedene IPs funktioniert ohne Probleme.

    Code
    1. ping -c 10 -n 8.8.8.8
    2. PING 8.8.8.8 (8.8.8.8) 56(84) bytes of data.
    3. 64 bytes from 8.8.8.8: icmp_seq=1 ttl=123 time=3.66 ms
    4. 64 bytes from 8.8.8.8: icmp_seq=2 ttl=123 time=3.71 ms
    5. 64 bytes from 8.8.8.8: icmp_seq=3 ttl=123 time=3.70 ms
    6. 64 bytes from 8.8.8.8: icmp_seq=4 ttl=123 time=3.72 ms

    tcpdump.

    Vor der Upstellung erhalte ich sehr viele von diesen Einträgen:

    Code
    1. 07:15:46.751956 IP <mein.rdns.tld>.ssh > <meine.isp.kennung>.50816: Flags [P.], seq 892388:892432, ack 2625, win 315, length 44
    2. 07:15:46.752107 IP <meine.isp.kennung>.50816 > <mein.rdns.tld>.ssh: Flags [.], ack 873008, win 256, length 0

    Nach der Umstellung nur noch so:

    Code
    1. 07:18:49.585165 IP <meine isp IP>.50816 > <mein.rdns.tld>.ssh: Flags [.], ack 3027000, win 260, options [nop,nop,sack 1 {3026388:3026520}], length 0
    2. 07:18:49.585233 IP <mein.rdns.tld>.ssh > <meine isp IP>.50816: Flags [P.], seq 3032176:3032220, ack 2377, win 315, length 44

    Ein ping auf einen anderen Server von mir verläuft ohne Probleme. Ein ping auf den Nameserver von Netcup geht dann nicht mehr

    Code
    1. ping 46.38.225.230
    2. PING 46.38.225.230 (46.38.225.230) 56(84) bytes of data.
    3. ^C
    4. --- 46.38.225.230 ping statistics ---
    5. 9 packets transmitted, 0 received, 100% packet loss, time 8197ms/et    

    Ich denke hier liegt dann auch das Problem. Wenn ich meine Nameserver anpasse auf google Plublic DNS (8.8.8.8) funktioniert es. Dann komme ich auch mit der FailoverIP raus.


    Nun ist natürlich die Frage ob dies einfach ein "Problem" bei netcup ist, oder ob es ggf nicht Empohlen ist die Nameserver von netcup zu verwenden. Die von google und Co sollte man ja auch nicht verwenden vorallem wenn ein Mailserver installiert ist mit postscreen

    Danke. Dies habe ich sogar so gemacht.


    Sobald ich aber den Befehl

    Code
    1. ip route change default via ***.***.56.1 src ***.***.230.137

    verwende, bekomme ich keine ausgabe mehr bei wget.


    Bei ip -4 route zeigt er die Failover jedoch an

    Code
    1. ip -4 route
    2. default via ***.***.184.1 dev ens3 src ***.***.43.12 (Dies ist meine Failover)
    3. ***.***.184.0/22 dev ens3 proto kernel scope link src ***.***.184.231

    Das ganze ohne Failover:

    Code
    1. ip -4 route
    2. default via ***.***.184.1 dev ens3 onlink
    3. ***.***.184.0/22 dev ens3 proto kernel scope link src ***.***.184.231

    Ein ping auf meine Failover IPv4 von einem anderen Server funktioneirt jedoch und läuft nicht ins leere. Der Server ist also erreichbar. Nur gibt es keine ausgabe mehr bei

    Code
    1. wget -q -O - https://ip4.anysrc.net/banner
    2. wget -q -O - https://ip6.anysrc.net/banner
    3. ping4 google.de
    4. ping: google.de: Temporärer Fehler bei der Namensauflösungcat /et    
    5. ping6 google.de
    6. ping: google.de: Temporärer Fehler bei der Namensauflösung

    Meine Nameserver sind die von Netcup

    Code
    1. $ cat /etc/resolv.conf
    2. nameserver 46.38.225.230
    3. nameserver 46.38.252.230

    Die Failover IP wird von Netcup auf die primäre IP von Deinem Server gerouted. Ich denke also nicht dass es vom Routing her funktionieren kann die als ausgehendes Default Gateway zu verwenden.

    Ah ok. Dann erklärt es mir. Aber ich dachte es müsste gehen da die IPv6 ausgehend ja zum Standard geht und ich diese "deaktivieren" kann wie oben besprochen.

    Ich habe nun die IPv6 angepasst das diese nicht als Ausgehend verwendet wird. So geht das alles.

    Wie gesagt war zu Übungszwecken

    Vielen Dank. Das funktioniert super.


    killerbees19 Hast du das mit der Failover eigentlich mal versucht?

    Code
    1. up ip route change default via 172.31.1.1 src 172.16.1.1
    2. down ip route change default via 172.31.1.1

    Ich habe mal testweise versucht die FailoverIPv4 als Ausgehender Traffic zu verwenden einfach damit ich die Befehle besser verstehe. Aber dann hab ich gar kein Zugriff mehr nach extern auch wenn die IP geroutet ist :D

    voja : Vielen Dank für deine Antwort.


    das hat mit der IPv6 Source Address Selection zu tun. Die letzte hinzugefügte IP wird ausgehend verwendet.

    Das wusste ich nicht ;) gilt dies bei IPv4 auch?


    Setze im Zweifelsfall die zusätzlichen IPs per Script auf:


    ip -6 addr add 2001:db8::42/64 dev ens3 preferred_lft 0

    Ich nehme an das selbe kann ich mit der FailoverIPv4 machen. Was verstehst du unter per Script? Ich hätte dies nun in die Interfaces gelegt. Ich habe bei der IPv6 einfach meine FailoverIPv6 eingefügt, der Ping geht jedoch trotz neustart nach wie vor nicht. Sorry falls ich da was Missverstanden habe.


    Was ich mir noch nicht ganz sicher sind. Ich habe nun einmal gefunden mal soll den Befehl direkt in der Console einmalig ausführen, und in der interfaces diesen Block dann trotzdem lassen

    Code
    1. iface ens3 inet6 static
    2. address 2a03:4000:XX:XX::2
    3. netmask 64

    Wäre dies der richtige weg? Irgendwie ist so einfach die Failover dann auch nicht mehr von aussen erreichbar. Ggf habe ich es aber auch Missverstanden.


    Ich habe dies nun einmal für die IPv6 "ip -6 addr..." und einmal für die IPv4 (ip addr...) eingefügt.

    Hi


    Ich habe eine IPv4 und eine IPv6 FailoverIP. Konfiguriert sind diese in der interfaces.


    Hier die gekürzte Version

    Wenn die Failover IPs auf den Server geroutet sind kann ich ping4 und ping6 versenden und entsprechend auch Updates fahren. Wenn ich nun aber die FailoverIP gerade nicht auf diesem Server habe und Updates machen möchte, funktionierten diese zwar auf IPv4 (und somit ping4), versuche ich aber ein Update bei denen IPv6 Server vorhanden sind oder mache ich ein ping6 geht dies nicht.


    Dies liegt an der Failover IPv6, da wenn ich diese auskommentiere geht es wieder. Diese soll aber natürlich nicht auskommentiert sein :D


    Kann ich die "original IP" irgendwie schlau Priorisieren, oder wie macht ihr das mit der Konfiguration?


    Gruss und Danke


    Oliver

    Ich habe gerade einen VPS gekündet. In der Bestätigungsmail fehlen alle Umlaute:

    "Besttigung Ihrer Kndigung"

    "mit Bedauern haben wir Ihre Kndigung erhalten, Unter Bercksichtigung der vereinbarten Kndigungsfristen...."


    Edit: Schön wäre es noch wenn das Logo oben rechts verlinkt wäre mit der Übersichtsseite. Ich - und ich denke auch viele andere - sind sich gewohnt das man da wieder zur Stratseite kommt :)

    Zur Info falls es jemanden Interessieren könnte.


    Ich habe mir nun mal die Version 4.2 Alpha 1 installiertund folgenden DNS Eintrag erstellt.

    Code
    1. www IN LUA A "ifportup(443, {'192.0.2.1', '192.0.2.2'})"

    TTL ist auf 1. Das hat wunderbar funktioniert. Es gibt nur dann ein Problem, wenn beide IPs tot wären. Dann wechselt er die IPs immer durch.


    Für jemand der die Failover IP nur für das braucht ist das natürlich eine Hammer Möglichkeit.


    Ich denke dies geht auch mit dem MySQL Port. Das habe ich aber noch nicht versucht.


    So kann man eigentlich ein MariaDB Galera Cluster erstellen damit man nicht auf jedem einzelnen Server der eine DB braucht eine Installation braucht.

    Ich merke schon irgendwie komme ich um eine normale Failover IP kaum rum. Diese erleichtert es glaube ich sehr.

    Eine andere Alternative die ich jedoch noch nicht testen konnte wäre ein LUA Rekord welcher mit Power DNS 4.2 eingefügt wurde. Ggf wäre dies ja noch eine Lösung.

    voja Wollen ist fraglich aber nur schon für den Lerneffekt sicher Interessant.

    Ich habe es bisher wie folgt angedacht:

    1 Server mit PowerDNS und PowerDNS-Admin als Master, welcher jedoch von aussen nicht erreichbar ist.

    2 bis 3 Slave Server mit PowerDNS

    Diese verwende ich als Nameserver. Dies funktioniert auch hervorragend.


    Wenn ich dich richtig verstehe, so würdest du den Internen Resolver mit den 2 bis 3 Slaves Server machen? Wie müsste ich da am besten vorgehen? Bitte entschuldige die eventuell blöde Frage. Ich bin mit PowerDNS jedoch noch am lernen und kenne bei weitem nicht alles. Das ist auch der Grund weshalb alles noch lange nicht Produktiv eingesetzt wird.


    Für das Failover müsste ich ja vermutlich einfach den TTL auf z.B: eine Sekunde setzen oder?

    Ich habe mich gestern im Thema leider verklickt und haben den Beitrag im falschen erstellt. https://forum.netcup.de/admini…let-s-encrypt/#post109915


    Ich habe dazu nun einiges Gesucht und ich hoffe soweit alles Verstanden zu haben wo die Unterschiede liegen. Bisher hätte ich ja meine 2 - 3 Nameserver für die DNS Verwaltung. So wie ich das verstanden habe kann ich diese nicht für mein Vorhaben verwenden. Ich bräuchte also Separat noch zwei DNS Server (falls einer sich verabschiedet) ähnlich wie man es Zuhause verwenden kann um eine Domain zuhause.local zu verwenden.

    Wenn ich google damit Quälte geht dies am besten mit BIND9. Wie es mit PowerDNS Recursor gehen würde habe ich bisher kaum etwas gefunden. Da ich für die Nameserver schon PowerDNS Einsetze wäre es für mich eigentlich logisch ebenfalls PDNS zu verwenden..

    Diese beiden DNS Server sollen jedoch nur für meine Server erreichbar sein. Ich denke es wäre am einfachsten jeden eingehenden Traffic über die öffentliche IP mit iptables zu Blockieren und die DNS Anfragen von meinen Servern über das Cloud vLAN zu leiten. Aber das wird ein anderes Thema sein :)


    Ich frage mich nun natürlich, ob mein Vorhaben wirklich nur mit zwei kleinen vServern zu erledigen wäre. Eine IPv4 und IPv6 Failover IP kosten auch nicht wenig, so dass ich mit zwei VPS200 preislich interessant fahren würde für die DNS Verwaltung. Ich denke so könnte ich einerseits mein Failoversystem erstellen für die internen IP's, hätte aber auch gleich einen eigenen Resolver z.B: für den E-Mailserver. Dort sind ja die Provider Nameserver nicht so gut wegen Postscreen.


    Nun würde ich gerne wissen wie ich das am besten Umsetzen könnte. Zum PDNS Recursor gibt es leider wirklich kaum Anleitungen, und ich wüsste da noch nicht wie ich es bewerkstellige das z.B. die domain server.local nie gecached wird sondern immer frisch auf dem Resolver abgerufen wird für die Failover Geschichte.


    Ich bedanke mich erneut für jede Hilfestellung.


    Gruss


    Oliver

    Danke für eure Antworten.


    Ich habe Filover IPs das ist nicht das Problem. Vielleicht habe ich mich blöd ausgedrückt.


    Ich habe meine DNS Server mit PowerDNS welche ich als Nameserver für meine Domains verwende. Dies klappt super.


    Nun überlege ich mir ein MariaDB Gaöera Cluster zu machen, damit nicht jeder Server einen eigenen MariaDB Server haben muss.


    Wenn der Galera aus drei Server bestwht, habe ich drei IPs. Diese Server sollen mit dem cloud vLAN erreichbar sein. Also 192.1.1.10,11 und 12


    Da sie von aussen nicht erreichbar sein sollen dachte ich mir, dass ich nicht Filover IPs für die DB bestelle sondern einen A Rekord db.domain.tld auf 192.168.1.10 lege und diese Domain dann als DB Adresse auf allen Servern verwende.


    Nun würde ich die drei Server Monitoren. Sobald der Server .10 nicht mehr erreichbar ist hätte ich mittels der PowerDNS API den a Rekord nach entsprechender Prüfung auf .11 geändert. Und da wäre es natürlich Fatal wenn diese Domain von z.B. der Webserver die Adresse Cached und so kein Datenbank Zugriff mehr hätte.


    Ps. Sorry den Beitrag wollte ich beim PowerDNS Thread erstellen

    Ich muss ehrlich sein ich weiss es nicht. Ich habe mich erst neu mit dem Thema Beschäftigt und habe ihn ohne spezielle Konfiguration als Nameserver erstellt.


    Was müsste ich denn haben damit mein Vorhaben einee Failover Lösung mit einem A Rekord zu erstellen?

    Ich habe noch eine Verständnisfrage zum Thema DNS.


    Auf dem Server habe ich die DNS Server von Netcup eingetragen.


    Nun setze ich mir eigene Nameserver mit Power DNS auf. Da sind mir zwei Fragen aufgetreten.


    Sollte ich nun auf den anderen Servern die PowerDNS Server anstelle der Netcup eintragen?


    DNS Einträge werden ja gecached. Daher die Regel mit den 24-48 Stunden. Gibt es eine Möglichkeit, dass der eigene Server (z.B. Webserver) teils keine gecachten Eintäge verwendet? Ich möchte gerne einen eintrag (A Rekord) server.domain.tld erstellen welche auf eine interne (192.168.1...) IP vom Cloud vLAN zeigt. Nun möchte ich da als eine art Failover die IP wechseln können ohne das ich wenn es blöd läzft 48 Stunden warten muss bis der Server kapiert die IP hinter server.domain.tld hat sich geändert

    Ansible führst du dann entweder lokal auf deiner Workstation aus oder von einem zentralen "Ansible Host". Dieser braucht lediglich SSH Zugriff auf die zu administrierenden Hosts. Daher lässt sich das sehr flexibel einsetzen.

    Dies wird sicher Interessant wenn ich es so hinbekomme wie ich möchte. Denn das Ziel wäre es das ein Teil der Server die nicht im Internet benötigt werden nur mittels Cloud vLAN erreichbar sind. So ist die Administration von einem Zentralen Server möglich.

    Ich werde mich damit mal Beschäftigen und schauen was rauskommt.

    Paul Danke. Ich habe im Off Topic bereits den Tipp erhalten für die Verteilung der Let's Encrypt Zertifikate. Ich kam aber noch nicht dazu dies genauer anzusehen. Wenn dies natürlich so Multifunktionell ist muss ich mir das mal genauer anschauen. Mit YAML habe ich mich noch nicht beschäftigt. Aber ich denke auch das kann man lernen ^^

    Hallo Zusammen


    Bisher habe ich Bash Script und PHP gemischt für meine Automatisierungen der Verwaltungsaufgaben auf dem Server.

    Ich habe Bash Scripte erstellt welche mir z.B. eine neue vHost Datei inkl. den PHP FPM Pool etc erstellen. Mittels PHP Scripten bediene ich noch eine DNS API welche abgelöst wird. Das ganze läuft soweit aber ist mir noch zu Umständlich.


    Da ich demnächst PowerDNS einsetzen möchte, möchte ich die ganze Verwaltung einfacher machen. Mein Ziel wäre es nur noch wenige Scripts zu haben. Mir stellt sich nun jedoch die Frage welche Scriptsprache da ggf am einfachsten zu verwenden wäre.


    Es müssen aufgaben erledigt werden wie:

    • Parameter übergeben, oder ggf auch (optional) parameter abfragen
    • Dateien Kopieren und Werte daraus anpassen
    • Konfigurationsdateien anpassen oder weitere Zeilen einfügen
    • PowerDNS API verwalten
    • Weitere JSON API verwalten
    • Let's Encrypt Zertifikate beantrage. Hier habe ich immer certbot verwendet. Es ist jedoch sehr mühsam für jede Domain einen neuen Cronjob zu erstellen für die Erneuerung. Hier überlege ich noch etwas wie https://github.com/lukas2511/dehydrated zu verwenden. Da ich jedoch den Ablauf Zertifikat mittels DNS Challenge beantragen/verlängern sowie TLSA Einträge hinzufügen/löschen automatisieren möchte weiss ich noch nicht was das richtige sein wird. Falls ihr Vorschläge habt könnt ihr mir diese gerne geben.
    • MySQL Daten eintragen/ändern/löschen
    • Natürlich SSH Befehle ausführen können.

    Ich denke das ganze würde sich sicherlich auch so erledigen wie ich es bisher habe. Aber ggf habt ihr andere Vorschläge was hier besser geeignet sein könnte.


    Die SSL Zertifikate werden neu von einem einzigen Server beantragt. Hier muss ich noch schauen wie ich die Verteilung an die anderen Server mache. Von Mounten wurde mir abgeraden. Daher wird dies sicherlich auch mit den Scripten die ich erstellen möchte noch ein Thema sein. Auch hier könnt ihr mir gerne Vorschläge machen :)


    Bevor ich jetzt alles anfange und versuche mit sh Scripts umzusetzen dachte ich ich frage mal ob es ggf bessere alternativen gibt.


    Gruss und Danke


    Oliver