Posts by femur

    Das ist kein reiner IPv6 Tunnel. Du hast lediglich kein dediziertes IPv4 Transportnetz spezifiziert. Das klappt aber nur für reine LAN-LAN Setups, nicht für Roadwarrior. AVM macht das auch so für enige Setups. Aber im Tunnel Setup erlaubst du IPv4 Netze, und das ist der Unterschied zu oben. Dort werden keine IPv6 Adressen im Tunnel erlaubt. Deshalb können dort keine IPv6 Daten fließen.


    Du hast auf beiden Seiten 0.0.0.0/0 in der Konfig. Würdest du mit einem Transportnetz arbeiten, würde das auf beiden Seiten das Internet komplett abklemmen. So taucht die Default Route dann nicht in der Übersicht auf. Entfernst du sie manuell? Die Zielrouten setzt du ja auch manuell. Geschickt ist es trotzdem ncht, da der Fokus des Tunnels nicht eingeschränkt wird.

    Ich hätte den Tunnel als IPv6-only Tunnel bezeichnet, weil die Tunnel-Interfaces selbst keine IPv4-Addressen zugewiesen haben. Natürlich hast du Recht, dass sehr wohl IPv4-Pakete darüber laufen. Der Tunnel sollte weiter eingeschränkt werden, das stimmt. Dieses Setup habe ich mal "auf die Schnelle" konfiguriert und ist nicht fertig. Die Routen sind alle manuell konfiguriert, deshalb gibt es auch keine Default-Route. Die wäre in diesem Fall sowieso sehr kontraproduktiv, vor allem so wie der Tunnel aktuell konfiguriert ist.

    Das ist im Grunde ein katastrophaler Fehler, denn die Netze überschneiden sich. Du hast Glück, dass die Maske auf ens4 kleiner ist, deshalb funktioniert es. Aber es ist extrem unsauber, und sobald sich Metriken ändern, geht das richtig schief.

    Das habe ich tatsächlich mit Absicht so gemacht. Die spezifischere Route /24 geht doch immer vor die weniger spezifische Route /16. Die Metrik greift erst später nach meinem Verständnis.

    Warum hast du auf dem externen Interface des RS eine ULA Adresse?

    Das ist ein VLAN-Interface, deshalb ist da eine ULA-Addresse drauf. Auf dem externen sind natürlich nur die externen, global routable Addressen drauf.

    Ich habe mir vor einiger Zeit ein Netzwerksetup eingerichtet um es zu untersuchen und besser zu verstehen. Ein IPv6-only Tunnel verbindet hier zwei IPv4-Netze. Vielleicht gibt das einen Ansatz, dass es möglich ist IPv4 durch einen IPv6-only Tunnel zu routen. Im Thread hier ging es zwar um die andere Richtung IPv6 durch einen IPv4-only Tunnel zu routen, aber das dürfte darauf gut übertragbar sein.


    Vielleicht kann ich damit der Diskussion einen sinnvollen Beitrag geben. :) Ich kam noch nicht wirklich dazu mir dieses Netzwerksetup genauer anzusehen und mit über Vor- und Nachteile Gedanken zu machen. Falls wir mehr darüber diskutieren wollen kann ich gerne einen neuen Thread aus diesem Beitrag machen.

    Das Interface ens4 ist einem vlan bei Netcup zugeordnet. Der Host 192.168.1.4, der später noch auftaucht, ist auch Teil dieses vlan.

    Code: tracepath vom netcup RS 192.168.1.2 zum Host in 192.168.2.0/24
    ❯ tracepath 192.168.2.1
     1?: [LOCALHOST]                      pmtu 1420
     1:  192.168.2.3                                          27.844ms
     1:  192.168.2.3                                          22.265ms
     2:  192.168.2.1                                          23.437ms reached
         Resume: pmtu 1420 hops 2 back 2
    Code: tracepath von Zuhause 192.168.2.3 zum Host in 192.168.1.0/24
    ❯ tracepath 192.168.1.4 -n
     1?: [LOCALHOST]                      pmtu 1420
     1:  192.168.1.2                                          27.543ms
     1:  192.168.1.2                                          25.709ms
     2:  192.168.1.4                                          18.525ms reached
         Resume: pmtu 1420 hops 2 back 2
    Code: tracepath von 192.168.1.4 zum Host in 192.168.2.0/24
    ❯ tracepath 192.168.2.1 -n
     1?: [LOCALHOST]                      pmtu 1500
     1:  192.168.1.2                                           0.481ms
     1:  192.168.1.2                                           0.328ms
     2:  192.168.1.2                                           0.387ms pmtu 1420
     2:  192.168.2.3                                          19.011ms
     3:  192.168.2.1                                          23.448ms reached
         Resume: pmtu 1420 hops 3 back 3
    Code: tracepath von 192.168.2.1 zum Host in 192.168.1.0/24
    ❯ tracepath 192.168.1.4
     1?: [LOCALHOST]                      pmtu 1420
     1:  192.168.2.3                                           0.997ms
     1:  192.168.2.3                                           0.823ms
     2:  192.168.1.2                                          26.869ms
     3:  192.168.1.4                                          19.053ms reached
         Resume: pmtu 1420 hops 3 back 3

    Wegen der fehlenden Vertragsbindung hab ich auch schon mal überlegt das einfach mal 2-3 Monate auszuprobieren. Ich hab hier zwar sehr gute Festnetzanbindung, aber so hätte ich eigene Erfahrungen mit Starlink machen können. Hab mich dann aber doch nicht durchgerungen das Geld auszugeben ^^


    Vor kurzem wurde hier ja von Telekom und Deutsche Glasfaser ausgebaut, wodurch Gigabit hier mit TV-Kabel und zwei Glasfaserkabel verfügbar ist..

    Statt Impressum soll auch ein Auszug der Denic-Daten ausreichen - fand ich sehr interessant:

    Ich hatte das einfach probiert, weil ich davon ausging, dass die Telekom schlussendlich nur eine ladungsfähige Anschrift möchte, um ihr Gegenüber zu "kennen". Und für die brauche ich ja keinen Webserver mit Impressum laufen lassen, das dann ja auch noch öffentlich ist.

    Ok, dass du diese Infos nicht in der Öffentlichkeit verteilen willst kann ich verstehen. Ich behaupte mich mit dem Netzwerkstack und den verschiedenen Protokollen sehr gut auszukennen. Ich bediene Wireshark vielleicht nicht wie ein Profi, das kann nämlich verdammt viel und ich nutze nur einen Bruchteil davon, aber kann dir bestimmt behilflich sein.

    Mir stellen sich direkt weitere Fragen um eingrenzen zu können wonach ich im Paketmitschnitt suchen würde. Ist dir bekannt über welches Protokoll die Dateiübertragung stattfand? Eine Auswahl an Beispielen sind HTTP, FTP, SSH oder reines TCP oder UDP. Ist bekannt über welche Adresse und/oder welchen Port die Kommunikation erfolgte (z.B. 443 weil HTTPS im Browser genutzt wurde). Ist der Mitschnitt auf dem eigenen Rechner erfolgt oder einem Router, etc. zwischendrin, z.B. einer Fritzbox. Welche Art Daten da übertragen wurde?


    Ich möchte dich dazu animieren alles was du weißt uns mitzugeben. Das steigert die Erfolgsaussichten ungemein Hilfe zu bekommen.

    Wenn Du mail.maildomain.net als Mailserver betreiben willst und http://www.meinetollewebsite.de als Webdomain, dann will halt T-Online zumindest eine einzige Rumpfseite (ohne jeden Inhalt) mit Impressum auf maildomain.net sehen.

    Ich habe der Telekom einen Auszug der DENIC-Daten für meine Domain geschickt, weil daraus auch hervorgeht wer der Betreiber des Mailservers ist. Das ging tatsächlich so durch und mein Mailserver wurde freigeschaltet.

    This error also happened when I wanted to log in. I could log in again after clearing the cookies for the page in my browser. Maybe that helps you regaining access to the CCP.

    - eine neue IP muss bei T-Online whitegelistet werden, hierfür muss man ein Impressum auf einer Website unterhalb der Maildomain nachweisen können (also auf http://www.meinedomain.de , wenn der rDNS Eintrag und Haupt MX auf mail.meinedomain.de auflöst/verweist).

    Ich habe nur den Link zum Whois-Auszug der DENIC an die Telekom weitergeleitet und wurde auch freigeschaltet.

    Vielleicht hilft es schon ein anderes Tool zu nutzen. Ich verwende gerne `dua` (https://github.com/Byron/dua-cli). In meinem Home-Ordner mit ~1,7 Mio Dateien und Ordnern gibt sich folgendes Bild:


    Ansonsten gäbe es mit Btrfs (und vermutlich ZFS) die Möglichkeit mittels Subvolumes und offenen Quotas das ganze mitzuzählen. Allerdings nimmt man da natürlich alle Vor- und Nachteile des Dateisystems mit und ich erwähne das nur der Vollständigkeit halber.

    Auch wenn wir hier bei Netcup sind: Kann man dem orangenen Server auch reverse DNS Namen vergeben?


    Das Netcup SCP ist deutlich schöner/funktionaler als die Admin-Oberfläche dort..

    Danke Moderators dafür, dass ihr die QA-Session aufgezeichnet habt und uns zur Verfügung stellt!


    Ich fand interessant, was Netcup im Hintergrund unternimmt und wie ihr bestimmte Features und Marktbewegungen bewertet (z.B. Mailplattform, Kreditkartenzahlung, ARM-Server). Ich war überrascht, dass Netcup schon ARM-Server intern testet und bin gespannt ob/wie ihr euch entscheidet daraus Produkte zu schnüren.


    Gebt das Dankeschön gerne auch an eure Kollegen weiter, die nicht so publikumswirksam wie die Moderation sind.

    Aber den A Eintrag einfach auf irgendeine Shopify IP umzubiegen, ist auch gefährlich. Die haben mehr als eine davon. Es gibt schon einen Grund dafür, dass sie CNAMEs fordern.


    Der CNAME für @ geht grundsätzlich nicht, auch bei anderen Anbietern nicht. Den CNAME für * solltest du wieder rausnehmen.

    Tatsächlich gibt Shopify das so vor, damit der Shop auch ohne Subdomain aufrufbar ist. Deshalb finde ich es kein Problem, die IP-Adresse direkt anzugeben.

    https://help.shopify.com/de/manual/domains/add-a-domain/connecting-domains/connect-domain-manual

    Der Eintrag "@ A 23.227.38.85" sollte reichen, damit deine Domain auf Shopify zeigt. Die Einträge mit "*" als Host würde ich wieder löschen. Die werden sowieso nicht verwendet, wenn die Domain ohne "www" abgefragt wird.


    Die Eintragungen sind soweit richtig. Hast du lange genug (1 Tag) gewartet, bevor du es probiert hast? Wird die Domain bei Shopify als verbunden angezeigt?

    Wenn ein CNAME Eintrag existiert, muss dieser der einzige für diesen "Host" sein. Deshalb ist im Bild oben der Eintrag "* A 23.227.38.85" unnötig bzw. ungültig. Daraus ergibt sich auch, dass der Apex (@) nicht mit CNAME als Alias verwendet werden kann, schließlich existieren die SOA und NS Einträge auch. Nur Subdomains können mit CNAME weitergeleitet werden.

    Mittlerweile arbeite ich im Schichtdienst Früh/Tag/Spät und Nacht auch an Wochenenden. Ich bin fast erstaunt wie gut ich damit zurechtkomme. Die Büroarbeitszeiten waren natürlich bequemer, aber jetzt hab ich unter der Woche freie Tage und Feierabend bedeutet Freizeit. Kein "Aber das muss doch heute noch fertig werden" oder "das geht noch schnell". Hat halt alles seine Vor- und Nachteile.


    Den Absatz zum delegieren kann ich nur unterstreichen. Oft fällt zusätzliche Arbeit nur an, weil andere Arbeitszeit nicht nutzbringend eingesetzt wurde, Kommunikation sich verirrt hat oder sehr viele Arbeitsschritte in der kritische Kette (Critical Chain) liegen.

    Ein Beispiel: Die Domain netcup.shop ist noch frei. Wenn sich diese jemand registriert und diese Mail gut imitiert, dann habe ich praktisch keine Chance den Phishingversuch zuverlässig zu erkennen. Schließlich gibt es ja netcup.news, netcup.de, netcup.net, netcup.com, netcup.eu und netcup-sonderangebote.de.


    EDIT: netcup.news leitet auch nicht zur netcup-Hauptseite weiter, man erhält nur eine "Forbidden" Seite. Das ist gar nicht gut..

    Ich mag die Ironie direkt nach dem Link darauf hinzuweisen nicht auf Links zu klicken. Und dieser Link führt dann auch noch auf mautic.netcup.news, entgegen dem Linktext, der zum Customer Control Panel führt. Wie soll man denn da noch Leuten beibringen was eine Phishing-Mail ist und was nicht? Wenn schon verlinkt dann doch bitte direkt, oder müsst ihr in dieser Warnung auch noch die Reichweite messen?


    So macht ihr, Netcup, es den Spammern auch einfacher sich zu tarnen. Woher soll denn ein Nutzer wissen, dass netcup.news auch Netcup gehört? Warum ist es hier in Ordnung, dass der Linktext und das Linkziel auf verschiedene Domains zeigt? Das wird in vielen Phishing-Trainings in den Firmen sogar explizit als Hinweis auf Phising genannt!


    Ich habe das Gefühl, dass hier auch wieder keine 5 Minuten über das Problem "authentische Mail / Phishing" nachgedacht wurde.