Beiträge von Domi83

Moin, da "Editieren" von Beiträgen nicht geht, habe ich noch einen Nachtrag... meine Vermutung war, dass es die Prüfung des "submission" Port 587 wäre und habe dann einmal gesagt, dass er ganz normal den SMTP via Port 25 prüfen soll.

Es ist nur ein einziger Server, bei dem Zabbix auch bei einem 5 Minuten Intervall glaubt, dass der SMTP Dienst inaktiv wäre. Anhang der fail2ban Auswertung für postfix-sasl, vermute ich mal dass dieser eine Server verdammt viele SMTP Anfragen rein bekommt und dann mal kurz pausiert oder ins stocken gerät. Dieses führt dann wohl dazu dass Zabbix denkt "er ist weg".

Gruß, Domi

Moin, ja... fail2ban läuft auf all meinen root Servern, um für ein wenig Ruhe zu sorgen. Die jail.local sieht wie folgt aus,

[DEFAULT]
bantime  = 1d
findtime = 1h
maxretry = 5
ignoreip = 188.xx.xx.xx 93.xx.xx.xx

[sshd]
enabled  = true
port     = ssh,xxxxx
findtime = 1d
bantime  = 4w

[pure-ftpd]
enabled  = true
port     = ftp
filter   = pure-ftpd
logpath  = /var/log/syslog
maxretry = 3

[dovecot]
enabled  = true
filter   = dovecot
logpath  = /var/log/mail.log
maxretry = 5

[postfix-sasl]
enabled  = true
port     = smtp
filter   = postfix[mode=auth]
logpath  = /var/log/mail.log
maxretry = 3

Ist aber primär nur einer von mehreren Servern. Meine privaten machen da keine Probleme, nur einer von den Servern von der Firma wo ich arbeite scheint da etwas "überlastet" zu sein. Bei dem Parameter "ignoreip" ist einmal die IP meines Zabbix Servers sowie die statische IPv4 unseres Büros hinterlegt. Und wenn ich bedenke wie lange ich die aussperre, dürfte Zabbix davon wesentlich länger betroffen sein. Aber es kommt einmal die Meldung "geht nicht" und sofort danach ist er dann wieder da.

Aber ich werde ihn mal alle 5 Minuten checken lassen... könnte theoretisch auch ausreichend sein

Moin Leute, nach längerer Zeit wollte ich mal zum Thema "Zabbix" etwas nachharken, falls den jemand hier aktiv / produktiv verwendet.

So an sich ist alles bestens, ich bekomme rechtzeitig meine Infos, kann pünktlich darauf reagieren, kann mich im großen und ganzen nicht beklagen. Ich würde nun allerdings etwas "optimieren" oder mal horchen wie ihr das so gemacht habt. Erst einmal was zu meiner Basis...

Kleiner Netcup vServer

- Ubuntu als OS

- Zabbix v5.0.14 (wegen LTS)

Ich habe dort meine Server hinterlegt und dann z.B. bei diesen das "Template App SMTP Service" hinterlegt, welches mittels "net.tcp.service[smtp]" oder "net.tcp.service[smtp,,587]" den Dienst als "Simple check" alle zwei Minuten prüft. Dann hab ich mir noch den Trigger angeschaut der wie folgt aussieht,

- {Template App SMTP Service:net.tcp.service[smtp].max(#3)}=0

- {Template App SMTP Service:net.tcp.service[smtp,,587].max(#3)}=0 (bei Systemen wo ich Submission teste)

Ab und an hab ich aber (gerade bei SMTP) den Fehlalarm, dass der Dienst nicht erreichbar ist. Macht es nun Sinn, die Prüfung nicht alle zwei Minuten durch zu führen, oder sollte man den Triggerwert (3) vielleicht auf 4 oder 5 anheben, gibt es da was sinnvolleres oder habt ihr das auch und ihr lebt einfach damit?

Das wäre jetzt eigentlich nur noch so etwas wie "jammern auf hohem Niveau", denn die Basis funktioniert soweit. Ein paar Optimierungen bei den Mails gibt es noch, aber dass bekomme ich vielleicht auch noch hin und wäre jetzt nicht so trivial.

Gruß, Domi

Hallo Leute Mir war gestern Abend ein wenig langweilig und ich sah, dass es von Zappix ne Appliance gibt. Dank VMware oder VirtualBox kann man dann ja mal gucken und schauen wie sich die Software so verhält etc.

Für meine rudimentären Dinge bietet das Teil relativ schnelle und einfache Settings, generell werde ich aber wohl "nur" 10% von dem nutzen was das kann. Aber es würde mir einen Vorteil bieten. Entweder hole ich mir bei Netcup einen kleinen 3 Euro VPS und überwache wirklich alle Server die dieses ermöglichen und arbeite mich hinein, oder ich schaue mich noch weiter um.

Was mir natürlich am Zabbix gefällt ist, dass der (je nach Einstellung) jede Minute, 30 Sekunden etc. meine Dienste überwachen kann. Er kann sogar gucken ob der Dienst nach drei Versuchen immer noch nicht da ist und erst dann ein "Problem" daraus machen. Uptime Robot ist gut, keine Frage... kann man auch empfehlen, allerdings... wenn z.B. ein Dienst in der 5. Minuten kurz offline ist, muss ich 5 Minuten warten um zu schauen ob es wieder OK ist, oder umgekehrt, es könnte jemand anderem schneller auffallen dass ein Dienst nicht geht bevor UR merkt dass es nicht klappt. Wobei man hier wieder sagen muss, dass kann natürlich auch bei Zabbix passieren Aber die Optionen und Möglichkeiten sind doch sehr schick... Ich könnte sogar Windows Server bei Kunden (besitze auch eine Selbstständigkeit im Nebenerwerb in der IT) besser im Auge behalten. Alternativ könnte ich sogar die Access Points im LAN meines Kunden durch den auf dem Kundenserver installierten Agent im Auge behalten. Letztens sagte nämlich Kunde als ich da war... "wo du gerade hier bist, könntest du mal gucken hinten bei XY geht kein WLAN", aber gemeldet hatte sich dazu niemand.

Kommen wir auf dieses DNS Thema zurück... meine "root-Server" sowie VPS sind bei Netcup als auch einem anderen Hoster verteilt und meine Domains liegen bei einem Domain Reseller... bis dato hatte ich dort noch keine DNS Probleme.

Gruß, Domi

Also was ich bei UR (Uptime Robot) interessant finde, sind die Push Benachrichtigungen von der App. Hab gestern erst einmal meine 10 Monitoring Dienste hinterlegt und als ich von Ubuntu 18 auf 20 aktualisiert habe, kam dann die Push Nachricht dass mein Apache gerade nicht erreichbar ist

Was den Zabbix angeht, vielleicht werde ich für 3 Euro im Monat mal einen kleinen vServer buchen und auch das Teil testen. Es kann ja nicht schaden, sich auch noch einmal Alternativen anzusehen. Wobei das mit der App vom UR und den Nachrichten schon eine sehr coole Geschichte ist, was auch funktioniert

Nabend und vielen Dank schon mal für die Rückmeldungen.

Uptime Robot sieht auf den ersten Blick ganz OK aus... vor allem, weil sie ne App haben und man dort (soweit ich das vorhin gelesen habe) darüber auch Push Nachrichten erhalten könnte und als der Name "monit" gefallen war, musste ich erst einmal überlegen. Ich glaube dieser Dienst war das, den ich mal auf einem meiner Server drauf hatte der (wenn möglich) via 'systemd' wieder etwas starten soll.

Beispiel, letsencrypt / certbot der durch prehook und posthook den Apache nicht mehr startet, wenn es Probleme beim "renew" von Zertifikaten gibt. Dafür hatte ich (glaube ich) mal Monit installiert, der dann schauen soll ob Apache aktiv ist und wenn nicht, den Dienst wieder starten soll.

Ich hatte mal Bloonix im Einsatz, damit habe ich meine privaten Server sowie den der Firma (wo ich hauptberuflich arbeite) überwacht. Der Bloonix Server + Agent war auf einem ganz kleinen VPS installiert und prüfte dann regelmäßig ob das Impressum einer Domain erreichbar war, ob IMAP, POP sowie SMTP funktionieren und den von mir gewählten Port für SSH. Natürlich hätte ich auch via ICMP prüfen können, ob die Kiste lebt... aber die Prüfung des SSH Ports hat mir auch ausgereicht

Was "Uptime Robot" angeht, natürlich könnte ich mir da jetzt einen Account erstellen und die testen... aber ich bin oftmals kein Freund von "stumpfen" registrieren mit all seinen Daten nur um etwas zu testen. Daher wäre noch eine Frage dazu... kann ich denn bei "Uptime Robot" und den 50 freien Monitors auch mehre Server prüfen, oder sind diese 50 Prüfungen auf einen einzigen Server beschränkt? Wenn mir das sogar zusagt, müsste ich mal bei uns in der Firma mit dem "Geldbeutel" quatschen und ihm das kostenpflichtige Paket aus den Rippen leiern. $21 pro Monat wäre vielleicht eine Investition wert und dann könnte ich am Ende auch meine drei Server dort mit unterbringen

Aber erst einmal wäre interessant, ob ich meine drei Server alle bei Uptime Robot prüfen lassen kann, oder ob halt nur ein Server aber mit 50 Monitors geht?!

Edit: Wobei man sich hier vor ein paar Jahren negativ zu Uptime Robot geäußert hatte.

Hallo Leute, da dieses eines der aktuelleren Topics zum Thema "Monitoring" ist, welches ich via Suche gefunden habe und auch kein neues Topic eröffnen wollte, stelle ich hier mal meine Frage.

Das Programm "munin" scheint hier oft erwähnt zu werden und "Zabbix" habe ich ebenfalls schon gesehen. Meine Ansprüche / Anforderungen sind gar nicht so groß... ich habe zwei Server bei Netcup und einen bei einem anderen Anbieter.

Ich würde gerne IMAP und SMTP sowie den SSH Port prüfen. Die SSH Port Prüfung ist eigentlich nur dafür da, um zu sehen ob der Server lebt. IMAP und SMTP wären wohl selbsterklärend. Der Webserver wäre noch interessant... da würde es mir aber reichen, wenn ich z.B. von einer der Domains schauen kann ob diese oder eine Unterseite der Domains erreichbar ist. Natürlich soll mich das Programm dann irgendwie informieren... E-Mail wäre z.B. eine Variante

Das ganze sollte sinnigerweise von extern getestet werden und im "low budget" Bereich liegen, daher dachte ich an einen VPS 200 G8... wenn das reicht

In einem anderen Topic hatte ich allerdings gesehen, dass "munin" wohl auf dem zu überwachenden Server installiert werden muss. Hab ich das richtig gelesen und verstanden, oder kann man damit doch von extern arbeiten?

Gruß, Domi

Ich behaupte mal, mit dem Teil macht es Spaß durch Stahlbeton zu bohren

Du meinst die Länge des Bohrers? Da ich einen 630mm Bohrer als 8er und 12er bei mir habe, dürfte dass das geringere Problem sein Das Gute ist ja, es existiert schon ein Loch in der Wand... da geht das Kabel zu meiner Unifi Kamera durch

Das Problem wäre natürlich, wenn ich mir die fertig machen lasse (also das Glasfaserkabel), hätte ich die Stecker schon drauf und ich müsste schauen dass die Länge (plus ein paar Meter) gut hinkommt und ich müsste wieder fette fette Löcher in die Wände bohren, da ja schon Stecker auf dem Kabel drauf sind.

Für einen anderen bekannten von mir, hatte ich schon mal einen Anbieter gefunden der die Kabel auf die entsprechende Länge fertig macht. Da war mir das dann aber auch wichtig, weil es da um knapp 850 Meter geht, die wir via Glasfaser überbrücken wollten. Haben das aber bis jetzt noch nicht umgesetzt, weil die Person bei den Kosten des Kabels erst einmal grübeln und schlucken musste

Zitat von joas

Kann ich dir Unifi empfehlen.

Würde ich ebenfalls so empfehlen... über die Jahre hinweg sieht mein gesamtes Setup (Switch, Router, Access Points, Kameras) so aus. Die Switche sollen zwar nicht so berauschend sein (gerade wenn man Telekom Entertain verwendet), aber dank der Unifi Controller oder Video Software (auf einem Linux Server im Haus), kann ich die Gerätschaften über zwei Oberflächen komplett bedienen.

Videoqualität ist auch ziemlich gut / angenehm und die Software (Unifi Video) bietet eine recht feine Einstellung für den "Motion" Bereich und diverse andere Settings. Aber im allgemeinen ist das auch eine Geschmacksfrage. Es wird auch Leute geben, die mit den Unifi Geräten gar nicht warm werden, von daher einfach mal irgendwo anschauen (wenn man die Möglichkeit hat).

Ich würde aber mal etwas anderes in den Raum werfen... Netzwerkkabel (Cat Kabel) verlegen ist für mich jetzt nicht so das Thema. Kann man mittlerweile auch selbst privat / Home Office die Glasfaserleitungen konfektionieren (Stecker drauf machen)? Ich überlege eine 20 - 30 Meter Leitung von mir zu meinem Nachbarn rüber zu legen. Damit es natürlich keine Spannungs-Spitzen wegen unterschiedlichem Potentialausgleich bei den Häusern gibt, wollte ich ungern Kupfer rüber ziehen. Es gibt zwar Geräte die eine galvanische Trennung durchführen und Lastspitzen bis 4 kV abfangen können, aber so 100% vertrauen würde ich der Sache nicht.

Grund der frage ist, dann muss ich in den Wänden keine 20er Löcher (oder größer) bohren. Dann reicht ein kleines 8er oder 10er Loch, Glasfaserleitung raus, ab in den Kabelkanal beim Nachbarn wieder raus, kleines Loch in die Wand, Stecker drauf, fertig ist. Bei mir und bei ihm in den Switch ein Gbic Modul rein und fertig wäre der Spaß

Da kann ich noch nicht mithalten... hab noch ein / zwei Server bei einem Mitbewerber. Die eine IP (der Server) wird auch nicht aufgegeben, weil das Ding halt eine spitzen Reputation (glaube so hieß das Wort) hat und die E-Mails von der Kiste eigentlich überall ankommen. Hab den Server auch schon knapp 6 Jahre (glaube ich)

Zumindest gibt es einige Möglichkeiten oder Wege sich dabei behilflich zu sein. Der Support von netcup hat mir ja auch schon versucht zu helfen. Das eine oder andere scheint auch schon zu klappen... MS ist da halt etwas doof. Und die Kunden davon zu überzeugen, mit ihren Postfächern nicht zu MS zu gehen wird dank deren Office Lösungen auch nicht immer einfach.

Ein Kunde von mir konnte einen seiner Kunden nicht anschreiben... sein Kunde hatte eine @firma.tld auf einem Microsoft System, weil es wunderbar mit Outlook funktioniert. OK, schön und gut... aber was soll ich da als IT Dienstleister großartig sagen "geht da weg, wir können dir nicht schreiben, dein Anbieter verursacht Magentumore"? Der denkt dann ich hab einen an der Pfanne...

OK, das wird jetzt etwas speziell... denn mit dem OpenVPN System von Netcup selbst habe ich noch keinen Kontakt gehabt. Ich habe selbst einige Server und auf dem einen oder anderen habe ich über die Konsole (SSH) meinen OpenVPN Server installiert und dann die .conf Datei bearbeitet...

Ich gehe aber mal stark davon aus, dass es in der WebGUI von Netcup auch die entsprechende Einstellung geben muss. Die Netzwork- oder VPN-Settings (links im Menü auf deinem Screenshot) würde ich mal durch gucken.

Die "Reale IP" sollte deine WAN IP (die IP von deinem DSL / Kabel-Anschluss) sein, die der Router oder das Modem zugewiesen bekommt. Dass das nicht klappt, dürfte dann am Paketfilter / Firewall des Routers und fehlendem NAT liegen. An sich möchtest du ja die IPs im Adressbereich 172.27.232.xx erreichen... da ich im Wiki leider nichts passendes gefunden habe, müsstest du mal in den erwähnten Einstellungen schauen ob du da eine "Client to Client" Option findest und diese aktivieren kannst.

Wenn das aktiviert ist, einfach mal neu mit dem VPN Server verbinden und schauen ob du die 172.27.232.17 (IP vom PI) erreichen kannst. Wenn es in der WebGUI noch so etwas wie "VPN Restart" gibt, würde ich OpenVPN auch noch einmal neu starten, damit deine Änderungen übernommen werden.

Gruß, Domi

Moin... Den Server hast du ebenfalls selbst erstellt auf den dein PI und dein PC zugreifen? Wenn ja, schaue mal ob in der server.conf (oder wie du sie genannt hast) ob das Semikolon vor dem Parameter "client-to-client" entfernt wurde. Dieser ist dazu da, dass die Clients sich untereinander sehen und erreichen können / dürfen.

Alternativ könnte man auch mit NAT auf dem Server arbeiten, so dass deine Anfragen an Port 80 (Apache) oder 22 (SSH) an deinen PI weitergeleitet werden, aber einfacher dürfte es sein wenn du die client-to-client Option einfach aktivierst. Dann kannst du ganz simple die IP 172.27.232.17 ansprechen

Gruß, Domi

Hallo Leute, ich wollte mich zu dem Thema auch mal melden... besitzt der eine oder andere von euch auch einen Server mit einer IP die von Microsoft noch nicht gesperrt ist? Wenn ja, wäre doch übergangsweise (bis man seinen Server aus deren Blacklist raus hat) die Option da, dass man diesen Server als Relay verwendet.

So mache ich es. Ein Server von mir wird für einen Kunden von mir betreut und darauf befindet sich ein Kerio Mailserver... dort konnte ich hinterlegen, dass er für den Versandt an die üblichen Microsoft Konten (Outlook, Hotmail etc.) meinen anderen Server verwendet um überhaupt erst einmal E-Mails versende zu können.

Wenn Ihr das schon gemacht habt, habe ich natürlich nichts gesagt

Gruß, Domi