Beiträge von X-Nightmare-X

Moinsen,

meine Frage:
Wieso hat die Shell und der Aufruf über die Domain andere Rechte bzw. einen anderen Benutzer?

Habe NextCloud installiert und hatte Probleme dabei.

Über den Web Installer gab es erst Probleme, dann habe ich es über occ per Shell versucht, was auch wiederum zu Problemen führte.
Im nachhinein hab ich herausgefunden, dass es unter anderem an einem "."-Punkt im Namen der Datenbank lag.

Was mir aber zusätzlich dabei aufgefallen ist, ist die Tatsache, dass bei der Webinstallation jetzt zwar alles läuft aber, wenn ich per Shell/occ einen Befehl ausführen möchte, wird mir mitgeteilt, dass Berechtigungen fehlen und ich den richtigen Benutzer nutzen soll.
Das gleiche Verhalten hatte ich umgekehrt bei der Installation über occ auch. Da wurde mir in der Webseite gesagt, dass die Berechtigungen nicht passen und ich den passenden Benutzer nutzen soll.

Dementsprechend gehe ich stark davon aus, dass die Aufrufe per Domain einen anderen Benutzer (Standard Benutzer) wählen und damit ausgeführt werden und die Shell dann irgendeinen anderen Benutzer oder Berechtigungen benutzt.

Jetzt stellt sich mir die Frage, wie kann ich die Kommandos auf der Shell mit dem gleichen "hostingxxxxxx" Benutzer ausführen wie die Scripte die per Web-Aufruf ausgeführt werden?

Jemand eine Idee woran das liegt oder ob das so gewollt/normal ist oder hab ich irgendwas übersehen oder falsch verstanden?

MfG und danke für weitere Infos

Zitat von TBT

Puh, wie unpraktisch! D.h. Du willst nach jedem IP Wechsel erst mal den Client freigeben? Wie stellst Du Dir das auf einem mobilen Endgerät vor, wo sich die IP ständig ändert und nur begrenzt SSH Möglichkeiten vorhanden sind? Wie "gibt der Client die IP von sich preis"? Bis diese Änderung nicht durch ist, können entsprechend konfigurierte Clients ausschließlich IP Adressen erreichen.

Naja unpraktisch ist ja relativ.

Also bis jetzt läuft das frei schalten ohne Probleme, da ich ja ne direkte Verbindung per IP nutzen kann. Mein Server hat ja ne feste IP. Auf dem Handy gibt's Apps, die Sachen automatisieren. Zur Not könnte man auch selbst eine entwickeln. Aber nutze schon länger eine um gewisse Sachen automatisch auszuführen und die habe ich dafür jetzt einfach mit genutzt.

Also das sehe ich nicht unbedingt als Problem. Funktioniert ja bei mir ohne irgendwelche Fehler.

Nutze ja auch nur ich. Wie praktikabel das ist, ist ja für andere uninteressant. Soll ja nur für mich sein.

Die Änderung ist in maximal 1 Minute durch.

Zitat von TBT

Puh, wie unpraktisch! D.h. Du willst nach jedem IP Wechsel erst mal den Client freigeben? Wie stellst Du Dir das auf einem mobilen Endgerät vor, wo sich die IP ständig ändert und nur begrenzt SSH Möglichkeiten vorhanden sind? Wie "gibt der Client die IP von sich preis"? Bis diese Änderung nicht durch ist, können entsprechend konfigurierte Clients ausschließlich IP Adressen erreichen.

Zitat von TBT

Du lässt Dich offensichtlich weder von den Entwicklern von Pi Hole (!), noch von besseren (lokalen) Alternativen noch von uns von diesem Vorhaben abhalten. Daher sag ich: renn doch ins Verderben wenn Du ein Tool nicht bestimmungsgemäß verwendest. Aber komm nicht hierher, wenn Dich Netcup wegen einer DNS Amplification Attacke sperrt.

Naja zum Teil schon, und mache mir da auch Gedanken drüber und nehme das Ernst, so ist es nicht. Mir erschließt sich nur keine Angriffsmöglichkeit, wenn nur ich auf den Service zugreifen kann.

Dementsprechend hat mich bis jetzt noch nichts überzeugt, das ganze zu lassen.

Ich werde gerne darüber berichten, wie das ganze Läuft und welche Probleme evtl. doch aufgetreten sind.

Zum Thema, wenn NetCup da irgendwelche Probleme bemerkt und das sperrt, brauche ich ja auch nicht im Forum dafür irgendwas zu schreiben.

Das ist dann ja ne Sache zwischen NetCup und mir. Das gehört ja an sich nicht in ein Forum, wo dann eh keiner was machen kann.

Erkläre mir bitte wie IPTables umgangen werden kann. Aber dann kann ich am besten komplett das Hosting von Servern aufgeben, sowie jeder andere auch. Also zumindest in dem Fall so wie geschildert.

Sehe da halt keine Möglichkeit dran zu kommen an PiHole und das ganze in irgendeiner Form auszunutzen.

Würde ich den Port einfach offen lassen für alle, könnte ich deine Argumentation voll und ganz nachvollziehen und dir auch Recht geben. Aber in dem Fall, wie gesagt, kein Plan wie da jemand ne Angriff starten sollte.

Das würde mich halt noch sehr interessieren.

Ansonsten renn ich halt ins Verderben, weil anscheinend keiner ne Ahnung davon hat, wie man mich sinnvoll überzeugen kann, dass ganze zu lassen.

Dann hätten alle meine Webserver und Webseiten sowie alle anderen Dienste ja auch schon in den 5 Jahren gehackt werden müssen, da ja IPTables und Portfreigabe nichts bringt, weil alles öffentlich wäre.

Verstehe ich ehrlich gesagt nicht.

Zitat von computerwuffi

Aus leidvoller Erfahrung mit Netcup Nameservern kann ich unter bestimmten Umständen andere DNS empfehlen. Insbesondere wenn du einen Mailserver (als einziges vorhandenes Mailkonto betreibst) Da beißt sich die Katze in den Schwanz wenn dieser auf Grund von DNS-Problemen - die bei Netcup sporadisch vorkommen - nicht erreichbar ist. Dann meldest du womöglich eine Störung bei Netcup, die aber leider nicht bearbeitet werden kann, da sie nicht von dem bei Netcup hinterlegten EMail-Konto kommt, welches jedoch wegen der Störung nicht funktioniert. Pech gehabt - ist mir leider mehrmals passiert.

Okey, das ist natürlich ärgerlich aber eigentlich auch selbsterklärend, für solche Sachen immer n E-Mail Provider zu nehmen der getrennt davon ist.

Zitat von cltrmx

Ich denke das wurde im Forum schon zur Genüge empfohlen: Die Email-Adresse, welche bei Hostern/ISPs hinterlegt ist, sollte immer unabhängig der Anbieter sein.

Eigentlich selbsterklärend und logisch.

Zitat von TBT

Doch, machst Du ja offensichtlich auf dem Netcup Server. Oder Du hast Dich bisher extrem unklar ausgedrückt. Und in der Tat, PiHole ist nicht dafür gedacht als Open Resolver zu fungieren.

Naja öffentlich und wirklich öffentlich ist wohl noch ein Unterschied.

Oder sind alle Dateien, Scripte und Services die auf den NetCup Server laufen gleich öffentlich? Ich glaube wohl nicht. Ansonsten dürfte man ja gar nichts betreiben.

Anscheinend hab ich mich da wohl noch nicht ganz klar ausgedrückt.

Zitat von TBT

Google "DNS amplification attack" für einen Grund dagegen. Schau Dir DNS amplification DDoS attack | Cloudflare an.

Dazu ein Ausschnitt aus der Seite:

https://www.cloudflare.com/de-de/learning/ddos/dns-amplification-ddos-attack/

Zitat

Reduzieren Sie die Gesamtanzahl offener DNS-Resolver

Eine grundlegende Komponente von DNS-Amplification-Angriffen ist der Zugriff auf offene DNS-Resolver. Wenn schlecht konfigurierte DNS-Resolver dem Internet verfügbar gemacht werden, muss ein Angreifer lediglich einen DNS-Resolver entdecken, um ihn benutzen zu können. Im Idealfall sollten DNS-Resolver ihre Dienste nur Geräten zur Verfügung stellen, die ihren Ursprung innerhalb einer vertrauenswürdigen Domain haben. Im Fall von Reflection-basierten Angriffen antworten die offenen DNS-Resolver auf Abfragen von überall im Internet und lassen möglichen Missbrauch zu. Wenn ein DNS-Resolver so eingeschränkt wird, dass er nur auf Abfragen von vertrauenswürdigen Quellen antwortet, wird der Server zu einem schlechten Vehikel für jeden Amplification-Angriffstyp.

Es sind ja nur meine beiden IP Adressen frei geschaltet.

Zitat von TBT

Sondern? Wenn er auf dem Root bei Netcup läuft, ist er öffentlich.

Es ist ja wie oben schon gesagt nicht gleich öffentlich.

Ich kann alles mögliche auf meinem Server laufen haben, so lange ich kein Port oder Verbindung öffne, ist da ja nichts dran "öffentlich".

Oder verstehe ich gerade nicht wie du das meinst?

Zitat von TBT

Und Du bist erneut auf dem besten Weg dahin.

Noch, wage ich das zu bezweifeln.

Also seit locker 5 Jahren oder mehr hab ich keinerlei Probleme, was die Sicherheit auf meinen Servern an geht. Scheine da wohl bisher nicht mehr ganz so viel verkehrt gemacht zu haben.

Aber Fehler schleichen sich natürlich immer Mal ein.

Zitat von TBT

Und das kommt von jemand, dem o.g. passiert ist...? Sorry wenn ich skeptisch bin.

Naja, finde ich ne doofe Aussage. Jedem passieren Fehler, daraus lernt man halt auch. Deswegen heißt es nicht, dass ich nicht IP Adressen/Ports freigeben oder sperren könnte.

Zitat von TBT

?? Dann kann der Server gar nichts mehr an jemand anderen ausliefern, was den Server quasi nutzlos für andere Anwendungen (z.B. Websites) macht.

Naja nur weil ich z. B. DNS Anfragen zu bestimmten IPs oder Diensten Sperre, sind ja andere Dienste davon nicht zwangsläufig betroffen. Als Beispiel, wenn ich zum Beispiel Cloudflare zum Auflösen von DNS benutze und komplett alle anderen DNS Services sperren würde, könnte ja keine Angriffe mehr entstehen, zumindest an DNS Dienste. Also zumindest von außen. Wenn man natürlich auf dem Server selbst sich rein hacken würde dann wäre eh alles gelaufen.

Zitat von TBT

Wenn sich Deine IP ändert, was passieren wird, wenn Du nicht gerade eine fixe IP hast (beim Mobiltelefon definitiv permanent), wird nichts mehr funktionieren, da Deine Endgeräte keinen DNS Server mehr erreichen können.

Ja die IPs ändern sich, wie bei fast jedem privaten Provider. Dementsprechend halt einfach die neue IP frei schalten und die alte Freigabe raus löschen. Schon läuft alles weiter.

Zitat von TBT

Deine Infos sind so schwammig, dass Du erst mal mehr Infos über das Vorhaben liefern solltest, bevor wir mehr Infos geben (können).

Entschuldige bitte, wenn ich mich anscheinend so unklar ausgedrückt habe.

Dachte eigentlich, dass man das oben so versteht.

Naja nochmal kurz und knackig:

Root-Server: PiHole mit Unbound im Hintergrund.

Client gibt IP von sich preis, diese wird auf dem Server für DNS freigegeben.

(Da nochmal zur Sicherheit) - Daten verschlüsselt, mit Passwort gesichert, getrennt von dem Rest. Damit nicht einfach irgendwer ne IP freigeben kann.

ufw allow from IP proto UDP to any port 53

Danach funktioniert die DNS Auflösung.

Hoffe, dass es ein wenig verständlicher wird.

Wie gesagt generell ist Port 53 dicht. Nur die IPs die ich freigebe, können überhaupt auf den PiHole Service zugreifen.

Standard-Port hatte ich auch geändert gehabt auf einen eigenen, ist aktuell nur zur Kompatibilität auf 53 zurück gestellt.

Macht wahrscheinlich durch die Art der Freigabe eh keinen wirklichen Unterschied.

MfG ✌🏼

Wieso sollte man das so nicht nutzen?

Hast du zufällig da mehr Infos zu?

Also ich packe den ja nicht öffentlich rein oder so. Dafür ist PiHole auch wohl kaum gedacht.

Aber für den Server und 2 Clients die DNS Anfragen aufzulösen kann ja eigentlich kein Problem darstellen.

Es ist ja kein "Public facing DNS".

Also in dem Sinne, dass ich den Service ja nicht öffentlich im Web für alle zur Verfügung stelle. Auf die Idee würde ich auch ehrlich gesagt nicht kommen.

Hab halt schon Mal schlechte Erfahrungen gemacht, wo ich n NTP Server ohne große Erfahrung laufen lassen hatte. Daraus hab ich "gelernt" nichts einfach so frei im Internet verfügbar zu machen.

NetCup hat mir damals wegen dem 5GBit/s DDoS den Server abgedreht. Das passiert mir so definitiv nicht nochmal.

Dazu muss man nochmal zusätzlich sagen, dass NetCup wirklich sehr Kulant und meines Erachtens nach echt gut gehandelt hat. Da NetCup ja einige Leute hat, die sich beschweren wie mit solchen Sachen umgegangen wird.

Hab alles wieder in Ordnung gebracht und dicht gemacht und das auch so vermittelt, mich entschuldigt und das Thema war durch und Server wieder online.

Aber nochmal zurück zum PiHole.

Der läuft maximal auf 2 IP Adressen, die freigeschaltet sind. Alles andere wird schon von ufw/iptables her geblockt. Und zusätzlich halt im Pi-Hole und Unbound Rate Limit usw aktiviert, sodass an sich nicht viele Anfragen raus gehen dürften, wenn trotzdem was passieren könnte.

Dementsprechend kann ja meines Erachtens nach keiner überhaupt den Service online sehen und somit überhaupt auf die Idee kommen das ganze auszunutzen. Und selbst wenn das jemand weiß, das PiHole dort läuft, kann doch trotzdem keiner drauf zugreifen?!

Bin auch am überlegen, wenn ich das gerade noch so lese, zusätzlich noch ne Blockade für alle anderen ausgehenden Verbindungen zu erstellen die Nichts mit meinem Heimnetz Provider zu tun haben.

Also selbst bei Spoofing oder ähnlichem könnte dann ja trotzdem keiner Anfragen an andere Services generieren.

Aber wie oben schon erwähnt, lasse mich gerne eines besseren belehren und würde in dem Fall dann auch um mehr Informationen bitten. Da ich mir nicht wirklich vorstellen kann, wie man ne IP-Freigabe so umgehen kann, dass man da was an stellen kann, ist mehr Info wünschenswert.

MfG ✌🏼

Zitat von perryflynn

Eigener resolver ist easy, sofern man aufpasst das nur bestimmten Servern geantwortet werden darf. Dann gibt's auch kein Problem mit reflection Angriffen.

Ich selbst habe ne ansible Role die einfach auf allen Servern einen Bind als recursive resolver installiert der nur lokal erreichbar ist.

Also mein Server antwortet nur auf meine Heim IP und auf meine Handy IP. Die wird direkt aktualisiert, sobald ich eine neue IP zugewiesen bekomme. Dementsprechend alte Freigabe raus löschen und neue rein packen.

Glaube damit sind so gut wie alle Angriffe ausgeschlossen.

Außer jemand spooft vielleicht gerade genau meine IP die ich aktuell habe an den Server. Aber das ist wohl so unwahrscheinlich.. und würde wohl kaum was bringen. Außerdem ist Rate Limit und ne allgemeine ufw/iptables Regel erstellt, die kaum Datenverkehr nach außen lässt, der nicht explizit gewünscht oder freigegeben ist.

Denke Mal das wird so in Ordnung sein aber lasse mich gerne trotzdem eines besseren belehren. Man kann ja nicht alles wissen oder alle Angriffsvektoren.

Zitat von TBT

Es ist durchaus sinnvoll, die standardmäßig eingetragenen Netcup DNS Server auf andere zu ändern, deren Betreiber die Sache deutlich besser machen (Netcups DNS Server sind ein Graus, schon seit Monaten/Jahren).

Also außer im Root Server bis jetzt hab ich die eh immer gewechselt.

Hab da beim Root zwar ab und an Mal drüber nachgedacht aber es dann immer nach hinten geschoben, da ich keine Probleme oder ähnliches bemerkt habe und da auch andere Sachen wichtiger waren.

Webhosting hab ich auch erst über NetCup benutzt und dann aber erstmal zum Testen der Funktionen auf Cloudflare umgestellt. Und jetzt ist bei mir Webhosting technisch alles auf Cloudflare. Finde die Funktionen mit Proxy usw. halt auch sehr praktisch.

Und halt was noch ausschlaggebender "gegen" NetCup ist, ist die Tatsache, dass das Update der Einträge teilweise ewig gebraucht hat und die Oberfläche bzw. das einstellen der Einträge bei NC halt nicht wirklich schön ist.

Da ist Cloudflare deutlich besser aufgestellt was das gesamte DNS/Proxy Paket an geht.

Privat hab ich früher Mal Google benutzt und jetzt auch alles nur noch Cloudflare. Mit DoT usw. Aber jetzt da ich Pi-Hole (auch mit Cloudflare) im LAN benutze, hab ich dann Mal geschaut wegen Unbound und Recursive DNS ist halt wohl von der Privatsphäre noch besser, weil ansonsten halt Cloudflare auch alles weiß.

Zitat von TBT

So kannst Du z.B. die Cloudflare, Google oder sonstige öffentliche DNS Server verwenden. Wenn Du Google nicht Deine Daten schenken willst, verwende https://www.cloudflare.com/de-…ning/dns/what-is-1.1.1.1/

Dementsprechend jetzt halt PiHole mit Unbound.

Zitat von TBT

Private DNS Server einzutragen, die hinter einem DSL/Kabelanschluss hoffentlich NICHT öffentlich erreichbar sind, ist technisch (über VPN) zwar theoretisch machbar, aber höchst instabil. Wenn das VPN nicht läuft, gibts keine DNS Auflösung was tonnenweise Probleme verursachen wird.

Wenn ich das richtig verstanden habe, wäre das ja auch total dämlich. Warum sollte ich auf meinem Server meine Pi-Hole oder ähnliches von Zuhause eintragen? Ich meine das genau anders herum. Glaube das hast du falsch verstanden. Oder ich verstehe gerade nicht wie du das meinst.

Also aktuell ist das so, dass ich auf meinem Server die Pi-HoleFTL Software laufen habe, die dann mit Unbound Rekursiv die DNS Anfragen auflöst.

Das ganze nutze ich dann halt auch am Handy, so ist mein Plan.

Damit ich nicht nur alleine in meinem Heimnetz den PiHole verwenden kann.

Zitat von TBT

Wozu man unbedingt auf einem Rootserver (auf der Konsole?) Adblock brauchen sollte, entzieht sich meiner Vorstellung.

Naja AdBlocker brauche ich ja nicht auf meinem Root-Server. Meine Frage war hauptsächlich ob da was gegen Spricht das im Server gleich mit zu nutzen.

Auf der anderen Seite finde ich das persönlich gar nicht Mal so schlecht, zu sehen, welche DNS Anfragen mein Server so schickt und dementsprechend auch ne Übersicht und Statistik gleich mit dabei zu haben. Außerdem kann das blocken von DNS Anfragen auch auf einem Server Sinn machen, denke ich zumindest Mal.

Wenn normal irgendwelche Sachen angefragt werden, mit denen ich nichts zu tun habe, erhält man so einen Überblick. Ist aber wie gesagt halt nicht hauptsächlich für den Server gedacht. Ist nur n extra oben drauf zu meinem eigentlichen Vorhaben.

Alleine jetzt sind mir schon n paar Domains auf meinem Server untergekommen, wo ich mich frage, warum der die überhaupt anfragt. Dementsprechend kann ich das ganze nachschauen, besser nachvollziehen und zusätzlich draus lernen.

MfG

Zitat von m_ueberall

dnscrypt, um die direkte, unverschlüsselte Anfrage bei den üblichen Verdächtigen (1.1.1.1, 8.8.8.8, 9.9.9.9) zu umgehen und ggf. vorgenannte Funktionen teilweise bei Dritten zu nutzen).

Das muss ich mir Mal anschauen.

Hoffe dass ich das mit PiHole umgesetzt bekomme. Also bis jetzt läuft das was ich erreichen wollte soweit. Bis auf einen Fehler in der Auflösung von einem bestimmten Service aber den finde ich bestimmt auch noch.

Das einzige Quasi was mir jetzt noch fehlt, ist die Verschlüsselung der Anfragen von meinem Client zu meinem PiHole/Unbound Server.

Also wie halt DoH/DoT zu Cloudflare oder ähnlichen. Nur halt dementsprechend zu mir.

Dann hab ich quasi die Vorzüge von beidem. Also Recursive DNS für mehr Privatsphäre was die Anfragen allgemein an geht und dann die Verschlüsselung vom Client zum Server. Dementsprechend dürfte das wahrscheinlich die "sicherste" bzw. Datenschutz technisch beste Variante sein DNS zu nutzen.

Nochmal um drauf zurück zu kommen auf die DNS Änderung des Servers.

Macht es da denn Sinn das über Unbound/PiHole mitlaufen zu lassen?

Okey, hab ich mir irgendwie schon gedacht.

Naja lokale Anfragen im Sinne von die Domains usw von NetCup die sowieso dort liegen und auch direkt von denen beantwortet werden.

Aber eigentlich auch irgendwie überflüssig. Fällt mir auch gerade so auf.

Naja extra VPN einrichten, müsste ich Mal schauen. Das hab ich mit Server und Client so noch nicht gemacht bzw. müsste mich darüber informieren.

UDP Reflection Attacks hab ich kein Plan von. Müsste ich auch Mal googlen.

Aber kann ich nicht theoretisch das auch so absichern, dass ich allgemein für alle n DNS anbieten kann?

Ist jetzt zwar nicht mein Plan aber muss ja theoretisch auch gehen.

Wie sollten sonst andere DNS Server anbieten können.

Aber hab da damals schon meine Erfahrungen mit NTP machen dürfen. Hab den ohne viel Erfahrung laufen lassen, und nicht weiter drüber nachgedacht und n 5GBit/s DDoS ausgelöst 😅👍🏼

Naja also da man wohl keine Authentifizierung oder ähnliches machen kann, hab ich mich einfach dazu entschieden automatisch meine IP vom Handy frei zu schalten.

Hab das gerade eben erst umgesetzt. Und funktioniert bis jetzt.

Gibt noch ein paar Verbesserungen die ich machen muss aber ich kann halt den DNS auch so benutzen.

Reicht das nicht auch zum "absichern"?

Hab ich da noch was übersehen?

Muss jetzt nur noch schauen, wie ich meine Heimnetz IP und Mobil IP gleichzeitig freigeschaltet bekomme.

Aber das ist ne reine programmier Geschichte in meinem Script. Da muss ich noch überlegen wie ich das Smart umsetze. Hab zwar schon Ideen aber keine Lust alles doppelt laufen zu haben.

Moinsen,

folgende Frage(n).

Ist es "sinnvoll" die DNS Server von NetCup zu wechseln in meinem Root-Server?

Hab ehrlich gesagt da Anfangs nicht großartig drüber nachgedacht.

Aber ich möchte für mich privat auf meinem Server PiHole und Unbound laufen lassen, um auch unterwegs die Vorzüge davon wie im LAN nutzen zu können.

Jetzt ist meine Frage, ob das sinnig ist, die Standard-Nameserver auf meinem Server auch dahin zu ändern.

Hätte halt den bekannten Vorteil wie halt mit PiHole privat. Und Unbound dazu ist halt auch noch mehr Privatsphäre.

Ist es mit der Performance usw zu empfehlen das zu tun?

Hat jemand ne Ahnung davon, wie sich das ändern der Nameserver auf meinen Server auswirkt?

Ist was zu beachten, wegen lokalen Anfragen usw?

Für hilfreiche Tipps und Erfahrungen bin ich dankbar

MfG ✌🏼

Also ich kann bis jetzt insgesamt positiv berichten, von der Kulanz in mancherlei Hinsicht genauso wie den Umgang mit einem. Das einzige was manchmal etwas komisch ist bzw. stört, dass man immer Mal andere Leute hat, die auf Mails antworten. Aber trotzdem kommt man zum Ergebnis und die Leute wirken trotzdem kompetent. Hab mich schon Mal zu sowas geäußert und hab da auch geschrieben, dass es natürlich immer schwarze Schafe gibt und je größer das Unternehmen wird desto schwieriger ist es teilweise das alles im Blick zu behalten.

Ich habe bei NetCup angefangen (also als Kunde) wo noch mit 50000 Kunden "geworben" würde. Mittlerweile 75000. Da tut sich natürlich viel.

Aber trotzdem kann ich bis jetzt NetCup vor allem auch Preis -Leistungs technisch nur weiter empfehlen.

Klar gab's auch Mal Ausfälle und andere Störungen und Probleme aber soweit alles kompetent und recht schnell behoben worden.

Das einzige was ich nicht nutze, ist halt der DNS Service. Da ich Cloudflare deutlich angenehmer finde zum konfigurieren usw. Deutlich mehr Möglichkeiten auch mit dem Proxy usw.

Außerdem noch stark ausschlaggebend ist die Geschwindigkeit des DNS.

NetCup kann da nicht mithalten meines Erachtens nach.

Cloudflare ist so schnell was die Änderungen und Auslieferung der jeweiligen Records an geht, das könnte man im DNS Bereich gefühlt als Echtzeit bezeichnen.

Bei NetCup hab ich bei DNS Änderungen auch schon relativ lange warten müssen. Muss natürlich auch nicht immer so sein aber bei Cloudflare gebe ich was ein und Zack ein paar Minuten später ist es weltweit "Online".

Außerdem hatte ich auch Mal DNS Probleme, so dass NetCup bzw. Cloudflare keine Domains ausliefern konnte. Lag damals auch an NetCup, war bekannt und wurde behoben. Sowas gibt's halt immer und überall.

Aber wie gesagt dennoch definitiv ne Empfehlung für NetCup.

MfG

Also ich habe das jetzt tatsächlich zumindest spontan für eine Domain wieder geändert und jeder Sub einzeln die Zertifikate zugewiesen.

Kein Bock alle 90 Tage bzw. davor die Zertifikate zu aktualisieren.

Da es ja anscheinend auch nicht so einfach möglich ist, einfach nur 1 Zertifikat zu verwenden.

Mal schauen wie da so die Zukunft aussieht.

Fand es halt irgendwie übersichtlicher oder besser, nur 1 Zertifikat in der Liste zu haben aber nun ja..

Und wenn ich das Mal vergesse, wie es jetzt vorgekommen ist, ist es auch doof ne Website zu haben die quasi offline ist.

Werde mir das Mal in Zukunft noch weiter anschauen aber dann lass ich das erstmal so.

Ist jetzt zwar wieder alles ne Config Arbeit aber nun ja.

Und zu der Frage wie viele Subs, es sind 6 Domains mit jeweils 4 Subs und eine mit 9 Subs.

Dementsprechend etwas nervig gerade aber wenn ich danach ruhe habe soll's mir Recht sein.

Danke auf jeden Fall für eure Hilfe und Bemühungen da Mal einen Blick mit drauf zu werfen.

Finde halt schade, dass die Möglichkeit nicht alle so genutzt werden können, wie sie in Plesk eigentlich vorhanden sind.

MfG

Also meinst du, für jede Sub-Domain ein eigenes Zertifikat?

Hab ich tatsächlich bei meinem alten Hosting so gemacht.

Aber dachte mir ein Zertifikat für alle Subs wäre "besser" bzw komfortabler, da ich dann nur 1 Cert verwalten müsste.

Außerdem nutze ich das Zertifikat auch für meinen Root Server um da auch ein paar Unterseiten zu bedienen.

Muss dementsprechend nur 1 Zertifikat rüber laden anstatt für mehrere Subs jeweils die Zertifikate.

Warum sollte ich das lieber sein lassen?

Hört sich so an als ob das irgendwie negativ behaftet wäre. Spricht doch grundsätzlich nichts gegen oder?

Außer halt, dass es nicht automatisiert klappt.

Verstehe sowieso nicht, warum NetCup das nicht irgendwie implementiert. Wenn es da ist, wird es ja wohl auch wer nutzen bzw. nutzen wollen. Es dann einfach unbenutzbar zu lassen ist auch nicht schön.

Hab aber auch schon drüber nachgedacht einfach wieder zurück zu wechseln und dann einfach nur trotzdem ein WildCard für den RS zu generieren.

Mfg

Okey, das ist schon Mal ein guter Tipp. Danke dafür.

Die Frage wäre dann, wie ich das dann mit dem Plesk vom Webhosting verwende.

Ich müsste ja in Plesk die DV Validierung anstoßen und den Key dann abfragen, diesen dann im DNS eintragen lassen, ne Zeit lang warten und dann wieder im Plesk auf "Weiter", sodass die ACME Challenge dann vollendet und das Zertifikat aktiviert wird.

Hab halt öfters schon gehört, dass das beim Webhosting in Plesk halt Probleme macht.

Weiß halt nicht ob man das mit der API umsetzen kann.

Da ja auch der App Login wohl nicht geht, da es bei NetCup ne angepasste Version von Plesk sein soll.

Moinsen, wollte mal fragen ob wer Ahnung davon hat ob es eine Möglichkeit gibt, die ACME Challenge bei DV Zertifikaten zu automatisieren, wenn die Domain bei Cloudflare gemanaget wird.

Danke schon Mal im voraus für Infos.

Falls weitere Infos meinerseits benötigt werden, einfach fragen.

MfG

Also hauptsächlich geht es mir an sich um die DB Verbindungsverschlüsselung.

Die Ideen mit VPN sind auch gut. Habe das Mal mit Zerotier getestet. Aber irgendwie geht das noch nicht wirklich.

Angeblich braucht man nichts großartig konfigurieren.

Habe mir einen Free Account gemacht, Netzwerk erstellt, Client auf Hand und PC zum testen installiert.

Angeblich soll man jetzt auch laut einiger Anleitungen im Netz einfach über die IP (von ZeroTier) auf den jeweiligen Netzpartner zugreifen können.

Habe testweise einfach Mal in XAMPP den Apache laufen lassen. Kann aber über die Remote IP von Handy nicht drauf zugreifen.

Muss ich nochmal weiter schauen, wie ich das umsetze bzw. was noch zu konfigurieren ist.

Für mein Heimnetz und die Anwendung mit Google hilft das wahrscheinlich trotzdem nicht. Aber hat dann auch hier nichts mehr direkt mit dem Thread bei NetCup zu tun.

Aber ZeroTier scheint an sich vielversprechend, was meine Anwendung mit der Datenbank an geht. Und es ist eine gute Idee für weitere Dinge die ich implementieren möchte.

Muss ich schauen, wie das alles umzusetzen ist. Danke auf jeden Fall für die vielen Ideen und die Hilfe ✌🏼👍🏼😀

Schaue ich mir auf jeden Fall Mal an.

Aber angeblich gibt's ja auch bei IPv6 bzw DS-Lite Probleme mit VPN usw. Hab gerade keine Ahnung was es damals genau war.. dachte auch schon an solche Sachen wie Teamviewer weil da kann man ja auch zugreifen. Aber naja muss mal schauen wie ich das alles am besten umsetze.

Ist halt auch viel gebastel, da ich gerne neue Sachen ausprobiere.

Was halt praktisch wäre, einfach eigentlich wie gewohnt beim Festnetz direkt auf die Fritz zugreifen zu können. Aber ich les mich da Mal noch weiter ein.

Zerotier hört sich auf jeden Fall sehr interessant an.

Sind jetzt gerade einige Sachen durcheinander gewürfelt..

Also die Probleme hab ich nicht mehr in dem Sinne.

Bei mir Zuhause geht halt eigentlich über den Mobil Router IPv4 & 6 aber an der Fritz kann ich nur v4 nutzen.

Alles noch etwas verwirrend wie das zu ändern ist.

Okey nice danke

Gut okey, bei ner gewissen Masse, macht das natürlich schon was aus.

Aber trotzdem, würde ich es gerne nutzen. Zumindest überhaupt erstmal korrekt hin bekommen.

Dbeaver sieht interessant aus. Muss Mal schauen ob's Source Code gibt, wo das umgesetzt wird. Weil jetzt n komplettes Programm einbinden für eigentlich wahrscheinlich 1-2 Zeilen Code fände ich da zu viel.

Es geht wie gesagt hauptsächlich um die Außenanbindung von meinem RPi Zuhause.

Soweit ich alles konfiguriert habe läuft ja alles. Nur halt SSL/TLS möchte ich noch aktivieren.

Wenn ich direkt auf mein Heimnetz zugreifen könnte, hätte ich das ganze evtl. Anders lösen können aber so wie ich mein Gateway im RasPi programmiert habe, ist das wahrscheinlich wohl auch sicherer die Daten abzufragen anstatt zuschicken zu lassen.

Außerdem habe ich noch keine Lösung gefunden, wie ich von außen auf mein Netzwerk zugreifen kann. Hab n Mobilrouter für Internet Empfang und ne Fritzbox dahinter fürs Heimnetz und das ganze macht irgendwie die Portfreigaben nicht mit.