Posts by OliverN

    Zu 2: genau das ist es. Sass zu lange dran. 25 wird einfach nicht genutzt aber ist natürlich da. Ich denke mein Problem könnte das Abwarten sein da es noch keine 48 Stunden seit dwm DNS Eintrag her ist


    Leider ist es so, das dort wo ich die DNS Verwaltung habe aktuell keine Wildcard Einträge für TLSA verwenden kann

    Aber unbedingt auf die Let's Encrypt Rate Limits achten (https://letsencrypt.org/docs/rate-limits/). Genau aus diesem Grund ist so ein zentraler Server eigentlich keine so gute Idee, auch wenn ich prinzipiell absolut dafür wäre, einen zentralen Service zu haben, der Zertifikate verwaltet und verteilt.

    Ja das mit den Limits ist wirklich so eine Sache. Beziehen die sich pro IP oder pro E-Mail die man angibt bei der ersten generierung auf dem Server?

    Entschuldigt bitte den zweiten Beitrag. Eine Frage habe ich vergessen. Ich könnte immer wenn ein Zertifikat erneuert wird automatisch die TLSA DNS Einträge per API updaten. Wäre das Problematisch da die DNS Einträge ja in einem Cache sind und teils 24-48 Stunden benötigen bis jeder die neuen Werte hat?

    Wenn ja müsste ich wohl wie hier beschrieben vorgehen damit diese nicht jedesmal ändern :)

    https://legacy.thomas-leister.…ncrypt-mit-hpkp-und-dane/

    Ich habe hier in diesem Thema mal etwas von einem Zentralen Let's Encrypt Server gelesen? Gäbe das ggf sinn einen Server zu verwenden, und dann mittels nginx Proxy oder so die Anfragen an diesen Weiterzuleiten damit die Zertifikate alle Zentral liegen? Dank Cloud VLAN könnte ich ja dann das let's Encrypt Verzeichnis auf dem Webserver und Mailserver mounten.

    Gibt es damit irgendwelche Vorteile?

    Hallo


    Da ich mich nach wie vor mit DANE beschäftige ist mir ein kleineres Problem aufgefallen und frage mich wie ihr das löst. Vielleicht überlege ich gerade auch nur falsch.

    Als Anleitung habe ich dies verwendet: https://forum.netcup.de/sonsti…ane-tlsa-mit-letsencrypt/


    Im zusammenhang mit dieser Anleitung aber auch mit dem Test von https://dane.sys4.de ergeben sich für mich einfach noch Fragen wo ich nicht weiter komme.


    Ich habe dies mal Testweise für ein Wildcard SSL Zertifikat gemacht, und habe den TLSA Eintrag auf _443._tcp.www. gesetzt. Beim Test von https://en.internet.nl ist es dann trotzdem nicht korrekt.Der Fehler ist "Your website domain does not contain a TLSA record for DANE.". Vielleicht muss ich auch einfach 24-48 Stunden warten bis die Einträge dort erkannt werden. Aber das ist ein anderes Thema :)


    Was ich noch nicht ganz verstehe:

    • Weshalb muss ich die TLSA Einträge für mein cert.pem von Let's Encrypt und auf das Let’s Encrypt Authority X3 (IdenTrust cross-signed)? Das erste ist mir ja noch logisch. Das zweite irgendwie nicht.
    • Beim Test von sys4.de wird immer SMTP nicht erkannt. Ich gehe mal davon aus, weil mein SMTP Server nicht auf Port 25 lauscht? Falls dies so ist: Klappt DANE für den Webserver nur mit Port 25, oder ist dies einfach nur bei diesem Test von sys4 so?
    • Reicht es für den Webserver den TLSA Eintrag nur auf _443._tcp und _443._tcp.JedeSubdomain zu legen, und für den Mailserver auf _993._tcp.mx und _587._tcp.mx? Oder habe ich damit etwas vergessen?


    Ich hoffe die Fragen sind nicht ganz dämlich wie ich mir gerade vorkomme. Irgendwie sehe ich glaube ich einfach grad den Wald vor lauter Bäumen nicht.


    Gruss


    Oliver

    In einem vHost die Compression aktiv konfiguriert, wird angemäkelt, in einem vHost ohne explizite Konfiguration kommt keine Meldung.

    Hast du einfach direkt in der Seitenkonfiguration gzip off;? Ich habe dies mal in der nginx.conf sowie der seiten Konfiguration und bekomme es bemängelt.


    Habe es jetzt auch mal gelöscht aber habe das selbe.

    Abgesehen davon gibt es für beide vHosts einen Score von 100% ....

    Gut zu wissen. Wäre aber natürlich noch Interessant weshalb dies bemängelt wird.

    Da alle von Bitwarden am schwärmen sind, habe ich es nun auch mal installiert

    Ich habe das am Wochenende auch mal getestet. Sieht Interessant aus und ich werde mal einen Versuch machen LastPass damit zu ersetzen. So weiss man wenigstes wo die Daten gespeichert sind. Etwas schade ist, dass es eine Lizenz benötigt für Familienmitglieder wenn man die Kennwörter Teilen möchte. Aber mit 12$ pro Jahr ist es ja kostengünstig.

    Das besagt nur ob die Nameserver auch per IPv6 Erreichbar sind, auch Nameserver die "nur" per IPV4 Erreichbar sind können ja auch IPV6 Adressen zurückliefern, nicht verwirren lassen.

    Danke. Dachte das wäre die logische Schlussvolgerung das dort dann auch die beiden IPv6 Adressen zu finden sind :)

    Schnell nach GZIP Test gegoogelt. Lt. einer anderen Seite wird google.de komprimiert. Deine Testseite bestätigt das Ergebnis.

    Danke. Ich habe gzip (gzip off;) auch bereits in der nginx.conf sowie den Host Dateien deaktiviert und wird dort trotzdem bemängelt. Aber wenn ich mich so umschaue haben die meisten Seiten GZIP aktiviert

    Danke. Hier noch die ipv6

    https://www.netcup-wiki.de/wiki/Nameserver

    Ich würde das ganze gerne nochmals kurz aufgreifen. Ich habe die eingetragen und es läuft auch sauber. Bei einer Abfrage über cat /etc/resolv.conf ist mir jedoch aufgefallen, dass nur die beiden ipv4 Nameserver angezeigt werden. Ist dies ein Problem von resolve? Weil die IPv6 Nameserver scheinen zu funktionieren da ich sonst kein ping6 oder so ausführen könnte.

    Guten Morgen


    Ich bin mich aktuell mit Themen wie DANE, DNSSEC und Co am beschäftigen, da ich dies mal in einem produktiven System einsetzen möchte. Unteranderme habe ich dafür folgenden Test gefunden: https://en.internet.nl


    Dort wird auch ein Punkt "HTTP compression" angezeigt, welcher eigentlich überal als Fehlerhaft angezeigt wird. Selbst Seiten wie google.de haben diese aktiv. Ich habe dazu reichtlich wenig gefunden. Es stand das nginx glaub ab 10.3 das Standardmässig deaktiviert hat. Ich setze 1.15.8 ein.


    Gerne würde ich wissen, ob ich dies irgendwie prüfen kann oder an dem Test einfach was "faul" ist. Ich denke Seiten wie google oder auch netcup müsste das doch sicher korrekt haben. Aber auch dort wird es "bemängelt"


    Gruss


    Oliver

    H6G Habe nun nochmals einen Test gemacht. Es ist definitiv im neuen Debian Stretch Minimal Image drin :)

    Ich habe nun mal die Netinstall CD Hochgeladen und Installiert. Klappt einwandfrei. Weisst du per Zufall ob im Netcup Image noch Treiber oder ähnliches sind welche ich beachten müsste?

    H6G ich habe auch erst gedacht das es Ubuntu ist. Aber es ist tatsächlich das neuste Debian Stretch Minimal Image welches Netcup hier anbietet.

    Ich denke das mit der Netinstall von Debian als Image könnte ganz schlau sein.

    Ps. Dachte bei minimal ist es bereits ein Nacktes Debian 😲

    Ich habe aktuell auch wieder das Problem mit der hängenden Installation. Letztes mal dauerte das zwei Tage. Der Support meinte beim letzten mal sie sehen kein Fehler und klnnen nichts machen.


    oliver.g Das Debain Image wurde angepasst. Hatte auch eben Probleme mit der Netzwerkko figuration (siehe Off Topic Beitrag)

    Vielleicht wurde da was angepasst das auch das VLAN anders eingerichtet werden muss.

    - m.E. fehlt da ein "allow-hotplug eth0"


    - mich wundert, dass /etc/network/interfaces nicht da ist, das File würde ich deinem Inhalt anlgen, dass sollte zumindest als Fallback greifen

    Danke dir. Die Datei ist da, aber nur mit dem Verweis auf include.d. Aber unterdessen habe ich das Problem. Es gibt keine DNS Einträge mehr im neuen Image.


    Auf dem alten Image waren wohl Standardmässig welche eingetragen. Im neuen ist die resolv.conf leer.

    Wenn ich dns-nameservers hinzufüge klappt es. Im neuen Image werden folgende zwei eingetragen:

    Code
    1. dns-nameservers 46.38.252.230 2a03:4000:8000::fce6

    Was wäre schlau zu verwenden? Die von google? Für den Mailserver wie hier in der Anleitung https://thomas-leister.de/mailserver-debian-stretch/ wird ja ein eigener installiert. Was ist aber schlau auf einem Webserver welcher nicht als Mailserver verwendet wird?


    PS. Ich glaube Netcup hat irgendwelche Probleme. Bei einem Server kann ich nun nichts mehr machen wegen der Meldung "Es kann keine Aktion für diesen Server ausgeführt werden, da bereits folgende Aktion gerade auf dem Server ausgeführt wird:". Das habe ich heute schonmal im Forum gelesen. Beim letzten mal ging das bei mir 2 Tage und der Netcup Support meinte sie können da nichts machen.

    Das ist nicht nett. netcup hat wohl die Images geupdatet :huh:. Ich habe nun auf einem Testserver ein neues Debian Stretch minimal Image installiert und merke meine alte Konfiguration geht damit nicht mehr ;(


    Vor wenigen Tagen habe ich noch in der nano /etc/network/interfaces direkt meine Netzwerkkonfiguration in Form von

    eingetragen. Alles hat damit funktioniert. Neu gibt es meinen ens3 nicht mehr, und mein Interface heisst eth0.

    Zusätzlich ist in der interfaces nur noch das include zum Verzeichnis interfaces.d.

    Darin befindet sich die Datei

    Code
    1. /etc/cloud/cloud.cfg.d/99-disable-network-config.cfg

    mit folgendem Inhalt

    Da ich hier und in diversen Anleitungen schon gelesen habe das man die Version mit :n vermeiden sollte, habe ich die Datei gelöscht, die Datei /etc/cloud/cloud.cfg.d/99-disable-network-config.cfg erstellt und anschliessend eine Datei eth0 mit dem Inhalt wie ich es früher in der Interface hatte.


    Und was passiert? Na ganz einfach. Der Server ist zwar erreichbar, ich kann von dem entsprechenden Server jedoch keine Funktionen mehr nutzen wie apt-get update oder ein Ping da er keine Verbindung mehr hat


    Also verwundert euch nicht wenn ihr einen Testserver neu Aufsetzt und eine Konfiguration kopiert welche ihr früher hattet und es dann nicht klappt ;(


    Falls natürlich jemand grad den Fehler sieht habe ich auch nichts dagegen. Der weilen suche ich mal weiter in der Hoffnung das ich rausfinde an was es liegt.