Beiträge von marcquark

    man pMTUd

    https://en.wikipedia.org/wiki/Path_MTU_Discovery


    Das Ungute an manuell gesetzter MTU ist, dass das Verhältnis von Nutzdaten zu Overhead sich dadurch nicht gerade verbessert.

    Die hat aber bei VPNs so ihre Probleme. Das Overlay kann ggf. gar nicht mitbekommen, wenn im Underlay fragmentiert wird, wenn die Implementierung da nicht einiges tut.


    Im Prinzip muss die VPN Implementierung irgendwelche Annahmen über die Topologie des Underlays treffen um innerhalb des Tunnels PMTUD irgendwie zu ermöglichen, oder selbst ständig eine PMTUD zwischen den Endpunkten machen um dann die MTU des Tunnelinterface dynamisch anzupassen.

    Theoretisch geht da einiges, meine persönliche Erfahrung, egal ob mit StrongSwan IPSec, OpenVPN oder Wireguard ist: Wenn es irgendeine dieser Implementierungen überhaupt macht, dann funktioniert es jedenfalls nicht.

    Wenn musst du die MTU auf beiden Seiten auf den kleinsten gemeinsamen Nenner setzen, da du ja in beide Richtungen die Pakete nicht größer machen kannst, als die "dünnste" Stelle zulässt. Wenn der Server ohne PPPoE 8 Byte mehr in den Tunnel stopfen kann als der Client, kommt es beim Client im besten Fall ja dann trotzdem fragmentiert an, aber wahrscheinlich eher einfach gar nicht. Somit hast du Packetloss oder Out-Of-Order Packets in den Tunnel eingebaut, was dann bspw. TCP wieder kompensieren muss. Pendelt sich irgendwann ein, ist aber schlechter, als die MTU einfach sicherheitshalber etwas (oder auch deutlich) kleiner zu wählen als das theoretische Optimum und das Problem so zu vermeiden. Ich hab als Erfahrungswert mittlerweile 1200 lieben gelernt...


    /e: bei iperf ohne parallele Verbindungen dürfte die Latenz auch eine große Rolle spielen, daher schließe ich mich der Empfehlung das mal zu testen an.


    Ich würde an deiner Stelle auch mal statt iperf etwas praxisnähere Tests fahren. Zieh z.B. mal auf dem Server einen kleinen Webserver hoch, schreib aus /dev/urandom ein GB oder so in ein File, und ruf das vom Client ab.

    my bad, ich hatte die Posts durcheinander geworfen und dachte du redest von einem emulierten Android auf x86.


    Anhand des UA könntest du auch Desktopclients filtern, wenn du mal von einem 0815 Anwender ausgehst, der eher aus Gewohnheit noch mit einer alten Möhre surft, als mit Absicht (gespoofter UA usw.). Trotzdem machen des die Banken ja mWn eher alle nicht.


    Und zumindest meine Banking App ist ans Secure Element mit PIN/Biometrie geknüpft, sodass ich direkt in der App eine Zahlung freigeben kann, ohne zusätzliche TAN App. Das ergibt für mich dann auch Sinn, dass sie für so eine App dann eine entsprechend strenge Schiene fahren, welche Versionen und ggf. auch Hardwareplattformen supported sind. Wer weiß vielleicht müssten sie für x86 Android, selbst wenn es die Voraussetzungen mitbringt, irgendeine Zertifizierung durchlaufen wo es einfach den Aufwand nicht wert ist?

    Du zäumst hier aber das Pferd von der falschen Seite auf. Auf dem Desktop funktioniert's vermutlich nur, weil die Bank es für zu riskant hält, solche Leute auszusperren (Image, "Diskriminierung", Klagen etc.). Auf mobilen Plattformen sind wir als Menschheit viel mehr daran gewöhnt, dass Gerät und Software irgendwann obsolet sind und man dann halt nicht mehr Banking machen kann, wenn z.B. der nötige Security Chip einfach fehlt, und es gibt weniger Empörung darüber. Außerdem sind durch die Appstores auch die Entwickler gezwungen ihren Mist aktuell zu halten. Niemand Schimpft auf Apple oder Google, wenn die vor 15 Jahren geschriebene Codebase, die nie maintained wurde, halt irgendwann aus dem Store fliegt. Man vergleiche das mit den Shitstorms und Medienberichten, wenn Microsoft versucht, irgendeinen noch so kleinen Dinosaurier aus der Windows API zu schmeißen.

    Weil ich keine Lust habe die privaten Handys zu supporten ist und ich entsprechende Kenntnisse im Umgang mit den Endgeräten nicht bei allen voraussetzen kann. Fängt schon an bei dem Hinweis, darauf zu achten, welcher Absender ausgewählt ist. Sinn des ganzen ist ja, die privaten und Vereinsangelegenheiten nicht zu vermischen. Deswegen haben wir uns geeinigt, dass alle über die Webmail Oberfläche arbeiten, weil dabei am wenigsten Fehler gemacht werden können.


    Dass es technisch mannigfaltige Möglichkeiten gibt, steht außer Frage, aber aus verschiedenen Gründen scheiden die halt aus und ich würde gerne wie im Eingangspost beschrieben mit Benachrichtigungen an die privaten Postfächer arbeiten.

    Hallo liebes Forum,


    Situation: Ich stelle für einen Verein ein Postfach in meiner Mailcow Instanz bereit. Emailkommunikation für Vereinsangelegenheiten läuft datenschutzfreundlich zentral über das Vereinspostfach. Allerdings müssen die verantwortlichen Personen regelmäßig übers Webmail reingucken, ob neue Mails da sind, was etwas umständlich ist. Ich würde gerne Notifications an die Privatadressen der zuständigen Leute verschicken, damit sie so mitbekommen, wenn was rein kommt.


    Normalerweise würde man das wohl mit einer Sieve Regel und enotify machen. Leider ist enotify nicht in Mailcow enthalten. Entsprechender Thread mit Lösungsansätzen

    Ich steh' bei so komplexen Projekten wie Mailcow nicht so drauf, von der Codebase abzuweichen. Das macht langfristig nur Ärger, den ich vermeiden möchte. Daher bin ich auf der Suche nach einer anderen Lösung. Ich stelle mir ein Programm oder Script vor, das per IMAP ins Postfach guckt und wenn was neues da ist eben eine Benachrichtigung versendet.


    Hat jemand so ein Tool schonmal eingesetzt und gute Erfahrungen gemacht? Entsprechende Clouddienste hatte ich gefunden, aber ich möchte das Passwort zum Postfach nicht einem Drittanbieter hinschmeißen.

    Hast du Nextcloud via Docker deployed? Ich nutze den community-maintained Stack fürs Microservice Deployment. Da ist ein selbst zu bauender nginx Container enthalten, der ist lediglich eine Kopie des nginx:alpine Images, in das eine nginx.conf eingebacken wird. Ich hab mir das klonen des Repos und ständiges neubauen gespart und stattdessen direkt das Basisimage genommen und die Konfig readonly rein gemounted. Dadurch sind Updates ein bisschen simpler. Warum erzähle ich das alles? Diese Konfig hat einige Aktualisierungen erfahren. Ich musste die neu runterladen (zuletzt vor 2 Jahren gemacht). Danach war das Problem weg.


    Eventuell musst du einfach mal git pull im ausgecheckten Repo machen und docker compose build hinterher

    Boote in ein Rescue System (wichtig wäre ein möglichst aktueller Kernel, du kannst z.B. ein up-to-date GRML ISO hochladen) und lass ein fstrim über das Dateisystem laufen, damit die ungenutzten Blöcke auch im Host freigegeben werden.


    Mit SCSI als Storagetreiber würde es auch unter Ubuntu 18.04 funktionieren. Wie ich kürzlich von anderen Usern hier lernen durfte, geht's mit neueren Kerneln auch mit virtio. Unter Ubuntu 18.04 höchstwahrscheinlich dann noch nicht.

    Um auch noch die Frage zu beantworten:


    Du kannst auf beiden Hosts ein Rescue System (oder z.B. GRML von ISO) booten und dann via DD über SSH von alt auf neu rüber spiegeln. Idealerweise hat neu natürlich mindestens genausoviel Kapazität wie alt, sonst musst du noch Dateisysteme und Partitionen verkleinern, was nicht wirklich Spaß macht und natürlich immer Daten verloren gehen können, wenn man dabei einen Fehler macht, sei es auch nur eine kleine Unaufmerksamkeit.


    Das funktioniert, hab ich auch schon gemacht. Empfehlen würde ich es aber nicht in deinem Fall, wenn der alte Server eh verhunzt ist.

    Es wäre ja z.B. auch eine super Gelegenheit, den neuen gleich komplett mit einem Konfigurationsmanagement Tool deiner Wahl (z.B. Ansible) hoch zu ziehen. Dann ist die darauffolgende Migration (sie kommt sowieso irgendwann) im Idealfall viel einfacher, weil du dieselbe Konfig einfach auf den noch neueren Server schießt und fertig bist.

    Praxiserfahrung: Klappt so zu 80% und ist für Einzelserver wahrscheinlich sogar weniger effizient als einfach zu dokumentieren. Macht aber viel Spaß, man lernt eine Menge, und kann's vielleicht irgendwann beruflich brauchen, wenn es plötzlich um zig oder hunderte Server geht. Da skaliert ein Konfigmanagement natürlich viel besser als Handarbeit


    /e: war wohl zu langsam

    Wie ich leider gerade feststellen muss, gibt es einen entscheidenden Nachteil:


    Zitat von SCP

    The creation of Snapshots is not possible if UEFI Boot is activated. UEFI Boot can be deactivated under Settings.


    Gibt's Pläne das in Zukunft zu supporten netcup?

    virtio-scsi ist außerdem in der Lage TRIM an den Host durchzureichen, virtio-blk nicht. Das hat Einfluss darauf, wie viel Belegung der Host sieht. Über die Dauer dürfte das bei virtio-blk auf 100% zusteuern, da nie Blöcke freigegeben werden. Und soweit ich weiß erlaubt einem netcup ja dann nicht mehr, noch Snapshots anzulegen. Wenn man die braucht, wäre das ein weiteres Argument für virtio-scsi.

    /e: das steht auch im weiter oben verlinkten Artikel


    Meine persönliche Erfahrung mit diversen RS bzgl. Performance ist, dass es ganz einfach vom Host abhängt. Gerade in Situationen, wo es selbst für meinen eigentlich genügsamen Workload zu schlecht wurde, hat dann der Treiber genau nichts gerissen. Besser gewirkt hat es, die Probleme zu dokumentieren und mich vom Support auf einen anderen Node migrieren zu lassen.

    Oder guck, dass alles über relative und keine absoluten Pfade abgerufen wird. Dann hast du auch kein CORS-Problem.

    Das ist mit Wordpress schwierig wenn nicht sogar unmöglich, leider... Bestimmt irgendein Suchmaschinenoptimierungskram...

    Ein Edgerouter X kann über den ersten Port per PoE gespeist werden und gleichzeitig auf dem letzten Port wieder PoE raus geben, habe so ein Setup seit längerem in Betrieb. Du kannst alle 5 Ports als Switch konfigurieren, dem Router aber gleichzeitig selbst auch noch eine IP verpassen fürs Management. Die mir bekannten 0815 PoE Switche brauchen afaik alle ein Netzteil. Der ER-X ist da glaube ich auch von der Größe her schon nah an einer idealen Lösung.


    /e: ui, okay, der empfohlene Nanoswitch könnte ggf. noch besser sein