Posts by perryflynn

    Ich habe seit 2017 zwei Geräte von APC.

    Hab die 900VA auch und auch seit einiger Zeit hier nen Ersatzakku liegen der auf Einbau wartet, da mein aktueller Akku 6 Jahre alt ist. Reiner Paranoia Tausch, weil bei einem Kumpel mal eine USV hoch gegangen (Akku ausgedehnt, nicht geplatzt, kein Feuer) ist. ^^


    Ansonsten bin ich mit der auch sehr zufrieden.

    Am wichtigsten ist zu Anfang der Plattenspeicher. Meine Instanz ist jetzt 72 Stunden alt und verbraucht schon 3GB Speicher für Daten. Andere schreiben von 40-50GB nach wenigen Monaten. Bei vielen Accounts noch mehr.


    Ansonsten hat meine Instanz aktuell 2 Cores und 4GB RAM, habe aber schon ein upscaling auf eine größere Maschine vorbereitet. Aktuell ist wenig bis keine Last auf dem System und von den 4GB RAM noch knapp 1GB frei.


    Das wegkapseln von Docker in LXC oder ähnliches ist aus meiner Sicht nicht nötig, sofern man die Docker Networks sauber nutzt und den Reverse Proxy auch als Container betreibt. Das geht sogar mit Traefik (hab ich schon bemerkt das Traefik klasse ist? ;) ).

    Bei mir hat das alles mal mit einem bind9 als "Hidden Primary" für meine Domains angefangen. Ich verwalte die Zonen meiner Domains auf diesem, von außen angesprochen werden kann dieser aber nicht. Änderungen werden auf die Nameserver meines Domain Providers veröffentlicht, und nur diese stehen via NS record auch in den Zonen drin. Heißt ich hab den Luxus echter nsupdate Requests aber muss mich nicht mit DoS und ähnlichem rumärgern.


    Vor einiger Zeit ist dann noch eine Interne Instanz dazu gekommen. Diese ist einerseits in meinem OPNSense Router für DHCP DynDNS (A & PTR Records) eingetragen, andereseits gibts ne echte Domain für meine Homelab Dienste, sodass ich auch via DNS Challenge Lets Encrypt Zertifikate holen kann.


    Auf dem ns2 nutze ich dafür bind views, die es erlauben unterschiedliche Zonen je nach Quell IP des Anfragenden bereit zu stellen. Heißt, kommt ein DNS Query von 192.168.0.0/16 ist dig brickburg.de A etwas anderes, als wenn das gleiche query von 8.8.8.8 kommen würde.


    ns1 bei mir im Homelab ist dabei der Primary für alles, und ns2 der Secondary. Ich kann also meinen Proxmox warten ODER das Internet kann aufallen, meine internen DNS Zonen sind verfügbar. Fällt beides aus, ists natürlich wieder kaputt.


    Sehr angenehm, wenn gerade Updates laufen und die VMs nacheinander rebooten. Man merkt nichts mehr davon.


    Zusätzlich gibts noch auf beiden Systemen einen pihole, der im Client VLAN als ns1 und ns2 im DHCP eingetragen ist und die Queries an die jeweiligen Nameserver forwarded, sofern es kein Junk Query ist.


    Beide Nameserver haben mindestens 2 interne IPs, sodass bind und pihole jeweils auf Port 53 mit eigener IP laufen können. ns2 bekommt diese IPs durch ein via OpenVPN geroutetes /27 Netz.


    Managed wird das alles via Ansible, ich hab ~250 Zeilen langes Konfigurationsobjekt, wo Zonen, HMAC Keys und Zugriffsregeln definiert sind und das Playbook erzeugt daraus die bind9 config files. Und macht anschließend Logik Checks wie "DNSSEC ist aktiv, gibts auch Keys?" oder "stimmen die NS Records in den Zones?" oder "Sind die SOA Records korrekt?".


    pasted-from-clipboard.png

    Naja du willst das halt nicht maintainen. Du kannst einfach nen PiHole aufziehen und den als Upstream nutzen.

    Maintainen ist da egal. Und auf nem Server brauch ich kein pihole, was auch noch ne UI und diversen anderen Kram mitbringt auf das man aufpassen muss. Hab jetzt ne Ansible Role, welche nen bind9 mit recursive-only und localhost-only einrichtet und die resolv.conf überschreibt.


    Hintergedanke der ganzen Aktion ist es, unabhängig von crappy Provider DNS oder anderen großen Anbietern zu sein. Das ist alles.


    Ich war mir eigentlich schon sicher, dass man es einfach machen kann, wollte nur noch mal auf Nummer Sicher gehen, ob ich nicht was übersehen habe.

    Gibt es eigentlich irgendein Argument welches dagegen spricht, einfach auf jeden Server nen Recursive Resolver zu installieren und diesen zu nutzen statt den üblichen Upstream Namservern von Google bzw Cloudflare?

    Sorry aber das ist bullshit. Wer die Firewall infiltriert hat die Schlüssel zum Königreich. Und ob man nun die drop regeln weg macht oder Port forwardings einrichtet ist rille.


    NAT hat NULL mit Sicherheit zu tun.

    Das einzige was bei ipv6 wegfällt ist NAT (...Nat, haha, Ente 🦆), was viele Menschen als Firewall missverstehen. Aber nur weil dein Gerät jetzt eine weltweit routbare IP bekommt heißt das noch lange nicht das dein Router das zulässt. Da ist weiterhin ne Firewall.


    Auch Datenschutz ist da ein Quatschargument.


    Du solltest definitiv noch Mal Argumente suchen. Einfach für dich selbst um es besser zu verstehen was da passiert.

    Das Ganze ist auf einem Windows Server ein bisschen fummelig, wenn man nicht das pkcs12 Format hat. Such die erst mal eine OpenSSL Installation (gibts auch für Windows) und wandel die PEM Zertifikate in pkcs12 Bundle um.


    Code
    openssl pkcs12 -export -in cert.cer -inkey cert.key -out cert.p12


    Danach öffnest Du über mmc.exe das Zertifikate Snap-In für den Computer-Account. NICHT Benutzer, NICHT Dienst!


    Nun unter "Eigene Zertifikate" -> "Zertifikate" -> Rechtsklick -> Alle Aufgaben -> Importieren und dort die p12 Datei importieren.


    Die sollte nun dort mit dem korrekten Domain Namen in der Liste auftauchen. Wenn man den Eintrag doppelklickt sollte der Status des Certs valide sein und der "Zertifizierungspfad" vollständig sein. Wenn nicht, fehlt ein Zwischenzertifikat (aka Intermediate), das muss dann entsprechend unter "Zwischenzertifizierungsstellen" -> "Zertifikate" importiert werden.


    Diesen Vorgang wiederholen solange bis die Kette als Vollständig und valide angezeigt wird.


    Anschließend müsste das Cert in den Bindungen der IIS Website auftauchen und kann dort ausgewählt werden.

    Hatte gehofft erklärt zu bekommen was ein "Gleichstromlogger 3Phasen WR" ist. :)


    Das Teil steht bei mir im Wohnzimmer auf dem Schrank.

    • Temperatur
    • Luftdruck
    • Lux
    • Luftfeuchte
    • eCO2

    Ist ein esphome, funkt via MQTT an mein Home Assistant.


    Von da aus gehts für bunte Graphen in eine InfluxDB mit Grafana.


    Home Assistant schickt mir mit den Werten zB pings zum lüften.