Beiträge von DatAres

Zitat von yuisheaven

Hi,

ich bin mal euren Vorgaben gefolgt @DatAres  void und stoße jetzt jedoch auf den Fehler:

Code

ERROR: Network nginx-proxy declared as external, but could not be found. Please create the network manually using `docker network create nginx-proxy` and try again.

Könnt ihr mir sagen, was ich falsch gemacht habe? Es scheint, als hätte ich etwas vergessen.

Viele Grüße

Tobi

Alles anzeigen

Das nginx-proxy Netzwerk ist einfach das Netzwerk deines Nginx Reverseproxys. Wenn das bei dir anders heißt, musst du den Namen natürlich ersetzen.

DMARC mit reject. Was anderes macht für mich eigentlich keinen Sinn.

So kleines Update zum Thema, nachdem ich mal wieder einen Snapshots gebraucht habe: Scheinbar war das Trimmen bereits standardmäßig aktiviert (Ubuntu 18.04), selbst mit LUKS. Mir wurde im SCP mehr als 3x so viel belegter Speicherplatz angezeigt, wie tatsächlich belegt wurde. Nach der Speicheroptimierung war das wieder korrekt. Hat sogar nur ein paar Minuten gedauert statt der angezeigten Stunde. Also kann man wohl nur empfehlen das mal zu machen

Hm ok, ich bin jetzt davon ausgegangen, dass das einen Unterschied macht, da der SSD-Server mit der gleichen Standard-Installationsroutine verschlüsselt wurde (nur unter Ubuntu 20.04 statt 18.04) und dort freier/gelöschter Speicherplatz nach außen sichtbar freigegeben wurde, aber auch nicht auf das GB präzise. Auf den ersten Blick sehe ich hier eigentlich auch keine Konfigurationsunterschiede.

In crypttab haben beide discard eingetragen, in der lvm.conf ebenso, in der fstab fehlt es bei beiden. Nach dem Eintragen sollte das das Hostsystem wohl mitbekommen (?). Fstrim wird laut einem Systemd Timer ja schon wöchentlich ausgeführt.

Der einzige "Nachteil" wäre wohl, dass theoretisch oberflächliche Infos zu Dateien oder zum Filesystem nach außen geleaked werden könnten. Von daher würde mir der Trim eigentlich auch manuell bei Bedarf ausreichen, wenn mal ein Snapshot o.ä. gebraucht wird.

Zitat von frostschutz

Benutzt du fstrim (LUKS mit --allow-discards)? Dann ist freier Speicher nach außen sichtbar, und kein Unterschied ob du verschlüsselst oder nicht.

Ich benutze tatsächlich noch einen Server mit SAS statt SSD :^) Der belegte Speicherplatz im SCP entspricht auch ungefähr 3x dem real belegten, während es beim SSD-Server korrekt angezeigt wird.

Also lese ich daraus, dass die Optimierung keine Probleme bereiten sollte, aber mir auch nur bedingt/kaum helfen wird.

Hi,

mein vServer wurde von Netcup auf ein neues Wirtssystem umgezogen, seitdem erhalte ich im SCP die Meldung "Es ist eine Speicher-Optimierung notwendig.". Grundsätzlich hätte ich nichts dagegen, da ich momentan wegen der Speicherbelegung auch keine Snapshots mehr erstellen kann. Stellt sich mir die Frage: Funktioniert das mit einem LUKS verschlüsselten System überhaupt? Kann man etwas Unlesbares viel optimieren? Kann das im blödesten Fall sogar Schaden anrichten, indem irgendwelche Daten verschoben/defragmentiert werden, die gar nicht "verstanden" werden können?

Danke im Voraus

Ist mir gestern bei LibreSpeed zu einem netcup Server auch aufgefallen. Der Download war circa 5-10 Mbit weniger und der Upload fast 15-20 Mbit.

Aber die Telekom ist denke ich mal dafür bekannt, bei ihren Peerings zu geizen bzw. öfter mal mehr ausgelastet zu sein als anderen Anbieter. Ist denke ich tagesabhängig.

Zitat von snax

Mailcow erfordert in diesem Umfeld aber enorme Anpassungen: Ich muss das mailcow-eigene acme raus nehmen und ihm die Zertifikate von meinem eigenen reverse proxy umbennen und "unterjubeln". Sowohl bei Github bei jwilder als auch bei mailcow gibt es unzählige Threads zu Usern mit Problemen in dem Setup.

Wer eine brauchbare docker-compose.yml hat die mailcow mit jwilder-nginx komplett lauffähig hat: immer gerne her dami

Bin ein bisschen late zu der Party, aber sorry, das stimmt nicht. Wer sich die Doku von jwilder + mailcow anschaut, bekommt das denke ich relativ gut hin. Mir ist es zumindest (damals) ohne große Docker-Erfahrung gelungen

An alle Googler:

Anpassung am mailcow nginx-Container:

environment:
...
- VIRTUAL_HOST=${MAILCOW_HOSTNAME}
- VIRTUAL_PORT=8080
- VIRTUAL_PROTO=http
- LETSENCRYPT_HOST=${MAILCOW_HOSTNAME}
- LETSENCRYPT_EMAIL=mail@example.org
...

#      ports:
#        - "${HTTPS_BIND:-0.0.0.0}:${HTTPS_PORT:-443}:${HTTPS_PORT:-443}"
#        - "${HTTP_BIND:-0.0.0.0}:${HTTP_PORT:-80}:${HTTP_PORT:-80}"
      expose:
         - "8080"

networks:
        mailcow-network:
          aliases:
            - nginx
        nginx-proxy:
          aliases:
            - mail.example.org

Anpassungen an networks:

nginx-proxy:
external: true

Und in der mailcow.conf:

HTTP_PORT=8080
HTTP_BIND=127.0.0.1

HTTPS_PORT=8443
HTTPS_BIND=127.0.0.1

SKIP_LETS_ENCRYPT=y

Die Zertifikate, die vom Letsencrypt Companion erstellt wurden, werden dann in die benötigten Container gemounted (dovecot, postfix, nginx):

volumes:
- /etc/nginx/certs/mail.example.org/fullchain.pem:/etc/ssl/mail/cert.pem:ro
- /etc/nginx/certs/mail.example.org/key.pem:/etc/ssl/mail/key.pem:ro

Ist vielleicht ein bisschen Denkarbeit, aber kein Hexenwerk.

Zitat von voja

Um welches Image handelt es sich? Auf Docker Hub findet man einige unbound. Wie wurde der Container gestartet? Gibt der Container UDP und TCP nach außen? Hast Du/der Container das auch entsprechend konfiguriert?

Rein aus Interesse: warum nimmst Du nicht das Ubuntu Paket?

Oh, jetzt wirds noch interessanter ...

Ich benutze den Unbound Container von mailcow. Ich habe den Nameserver in Netplan jetzt auf auf die 172.22er IP aus dem Mailcow Netzwerk gesetzt und jetzt funktioniert der Spaß auch ohne v6 Adresse. Allerdings wird mir bei einem nslookup immer noch die 127.0.0.20#53 als antwortender Server angezeigt. Bevor ich die IPs mit dem Tutorial oben statisch gesetzt habe, habe ich eben geschaut, welche DNS Server momentan verwendet werden und da ist überall die 0.20 aufgetaucht, weshalb ich die auch in Netplan wieder gesetzt habe.

Zitat von eripek

Ich kenne zwar nicht die Antwort, hätte aber eine Frage:

addresses: [127.0.0.20, "::1"]

respektive

addresses: [127.0.0.1, "::1"]

tut was?

Endet beides in einem Timeout bzw.

Temporary failure in name resolution mit Ping und

connection timed out; no servers could be reached mit nslookup

Zitat von eripek

Und dann würde ich gerne noch wissen, woher netplan weiß, welche der IPv6-Adressen es für Anfragen überhaupt nehmen soll?

Gibt ip -6 a s für irgendeine der Adressen ein preferred_lft 0 aus?

Ich versteh die Frage nicht ganz. Die v6 Adressen aus meinem Subnetz? Die ist ja statisch in der netplan Config hinterlegt. Ansonsten steht preferred_lft bei eigentlich allen IPs in ip a dabei.

Zitat von voja

nslookup ist kein Tool mit dem man sinnvoll DNS Probleme debuggen kann.

Hast Du unbound wirklich von Hand an 127.0.0.20 gebunden? Default Setups dürften 127.0.0.1 verwenden.

Installiere mal dnsutils, damit das dig Kommando zur Verfügung steht.

dig @127.0.0.20 netcup.de

sollte eine Antwort liefern.

Alles anzeigen

Unbound läuft in einem Docker-Container, also wurde nicht von mir konfiguriert.

Der Output von dig ist:

; <<>> DiG 9.11.3-1ubuntu1.3-Ubuntu <<>> @127.0.0.20 netcup.de
; (1 server found)
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 7265
;; flags: qr rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 0, ADDITIONAL: 1

;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags:; udp: 65494
;; QUESTION SECTION:
;netcup.de.                     IN      A

;; ANSWER SECTION:
netcup.de.              1934    IN      A       46.38.224.30

;; Query time: 1 msec
;; SERVER: 127.0.0.20#53(127.0.0.20)
;; WHEN: Sun Dec 16 17:13:03 CET 2018
;; MSG SIZE  rcvd: 54

Der Inhalt von /etc/resolv.conf ist ebenfalls nameserver 127.0.0.20

Ich meine an sich ist es mir ja egal ob der v6 Server da jetzt in netplan stehen bleibt oder nicht, solange es funktioniert. Ich fand es nur komisch bzw. wollte sicherstellen, dass der DNS für den Mailserver auch wirklich lokal aufgelöst wird, damit es keine Probleme gibt bzgl. Spam.

Moin,

ich bin gerade dabei meinem vServer eine IPv6 zuzuordnen wie hier beschrieben.

Soweit, so gut. Da ich allerdings einen lokalen DNS Server (unbound) nutze, habe ich die Spalte in in der netplan-Config

nameservers:
        addresses: [46.38.225.230, 46.38.252.230, "2a03:4000:0:1::e1e6", "2a03:4000:8000::fce6"]

durch

nameservers:
        addresses: [127.0.0.20]

ersetzt. Danach netplan apply und ab diesem Zeitpunkt kamen nur noch DNS Timeouts, d.h. Abfragen waren nicht mehr möglich (was vorher ging mit diesem DNS Server). Weder mit v4 noch v6.

Wenn ich jetzt allerdings

nameservers:
        addresses: [127.0.0.20, "2a03:4000:0:1::e1e6"]

eintrage, sind DNS Abfragen ohne Probleme möglich. Bei einem nslookup wird mir aber trotzdem 127.0.0.20 als abgefragter Server angezeigt.

nslookup -query=AAAA google.com
Server:         127.0.0.20
Address:        127.0.0.20#53

Non-authoritative answer:
Name:   google.com
Address: 2a00:1450:4001:80b::200e

------------------------------

nslookup -query=A google.com
Server:         127.0.0.20
Address:        127.0.0.20#53

Non-authoritative answer:
Name:   google.com
Address: 172.217.21.238

Aus welchem Grund ist dann der Eintrag mit dem externen IPv6 DNS nötig?