Beiträge von frank_m

Zitat

da auf meinem 3ten vServer das Problem nicht exisitert; habe ich dort mal den tcpdump f. einige Minuten laufen lassen;

4891 Einträge in 6¼ Minuten => rd 13 Einträge pro Sekunde

beim Piko mit diesem Problem 21875 Einträge in 4¼ Minuten => rd. 85 Einträge pro Sekunde

beim RS mit diesem Problem waren es gewaltige 596781 Einträge in 96¾ Minuten => rd. 103 Einträge pro Sekunde

Ich denke, die Anzahl pro Sekunde ergibt sich einfach aus der Anzahl der Maschinen, die in dem Bereich aktiv sind. Ich hab auf meinen drei Maschinen auch erhebliche Unterschiede in der Anzahl dieser Solicitations festgestellt, aber grundsätzlich sind sie auf allen Maschinen da, aber auf der Maschine mit den wenigsten Solicitations ist die Neighbour Table am längsten.

Sollten es nicht auch eher die neighbor advertisements, die die Tabelle füllen?

Ich hab exakt diese neighbor solicitations auch im Dump. Sie kommen von Juniper Hardware, also vielleicht von Switches.

Aber bei mir führen sie nicht zum Overflow der Neighbour Table. Vor allem auf meinem Piko hab ich da nur ne Handvoll Einträge, obwohl die solicitations tonnenweise vorbeikommen. Ich bin da auf Standard Einstellungen von Ubuntu und Debian unterwegs. Hast du da was verändert?

Das sieht erst mal alles ok aus. Ich bleibe dabei, wir müssen uns den Traffic ansehen. Ich denke immer noch, dass der Traffic nicht da hinfließt, wo er hin soll.

Zeig mal mit tcpdump den resultierenden Traffic auf den Systemen (auf allen Interfaces), um exakt nachzuvollziehen, was die clients auf die Reise schicken (und wohin), was beim Server ankommt, was dieser Server als Antwort auf die Reise schickt (und wohin) und was davon beim Client wieder ankommt.

Vielleicht die Routen? Wie sieht die gesamte Netzwerkkonfiguration aus auf dem OPNSense System? Von welcher Quell-IP greifst du zu?

Zitat von Interessent

Das ist das Problem an den Foren in letzter Zeit. Unverständliche, unvorstellbare Broken hinwerfen.

Sie sind nur so lange unverständlich, wie man sich nicht damit befasst.

Bei tailscale und zerotier muss man sich darüber klar sein, dass wertvolle Metadaten auf jeden Fall und ggf. auch Nutzdaten für den Betreiber sichtbar sind. Das muss kein Problem sein, aber man sollte es auf dem Schirm haben. Dann doch lieber eine Portfreigabe und alles selber unter Kontrolle.

Zitat von DC2022

Naja also ich habe es noch nicht fertig bekommen das man mit der normalen Installationsroutine eine Datei Namens /etc/network/interfaces.d/50-cloud-init.cfg bekommt.

Eben. Deshalb ist es nicht vergleichbar. Genau davon rede ich.

Ich empfehle gängige Anleitungen aus dem Internet. Lese sie, verstehe sie und passe sie an deine Bedürfnisse an. Das geht schneller, als wenn wir hier alles abtippen. Am Ende steht doch das gleiche drin, wie in vorhandenen Anleitungen.

Das kann man überhaupt nicht vergleichen. Das eine ist ein fertig konfiguriertes Image, das andere ein Installationsmedium, wo man durch die Konfiguration noch komplett durchmuss. Wie gesagt, nicht vergleichbar.

Kein Problem. Im Moment nutze ich noch ipset, da nftables unter Ubuntu 22.04 noch ein Problem mit doppelten Einträgen hat*), aber testweise hab ich das schon mit über 200k Einträgen benutzt. Ist grundsätzlich kein Problem. Performance Einbußen sind nicht spürbar.

*)Besonders, wenn man exakte IPs in der Liste hat, die auch durch einen Subnetz-Eintrag abgedeckt sind. Ich hab für den Versuch die nftables Version von Ubuntu 22.04 händisch aktualisiert.

Meine Kollegen wissen Bescheid: Morgens um 8 ist der gefährlichste Ort der Welt zwischen mir und der Kaffeemaschine. Von daher gibt es solche Diskussionen bei uns nicht.

Munin.

Nur bei HWE, sonst ist es 5.15.

Zitat von Win98SE4ever

Ein gutes OS mit Nutzersouveränität blendet nach dem Herunterfahren eine orangene Schrift auf schwarzem Hintergrund ein 'Sie können den Computer jetzt ausschalten'...

Das fände ich übergriffig. Woher will das Betriebssystem wissen, dass ich das kann?

Da mtrs mit verbindungslosen Daten arbeiten, würde ein Problem auch in eingehender Richtung sofort auffallen. Die Traces oben sind sauber, da gibt es kein Problem. Allerdings sind 100 Pakete auch nicht viel.

Das Setzen der preferred_lft hat für mich immer noch am besten funktioniert. Ist auch in den anderen Threads beschrieben

Zitat von cltrmx

Konkret geht es darum möglichst mit einem Gerät 2,5 Stockwerke (Erdgeschoss, Obergeschoss und etwas Keller) abzudecken.

Ganz ehrlich: Vergiss es. Mir ist kein Produkt bekannt, mit dem das sinnvoll möglich wäre, auch aus dem hochpreisigen Segment. Du wirst immer Stellen haben - auch mitten im freien Raum - wo der Empfang schlecht ist. Einige der Stellen werden an Orten sein, wo man das WLAN regelmäßig nutzen will.

Zitat von cltrmx

Eine Verbindung über LAN-Kabel ist nicht möglich, da (wie immer) keine baulichen Maßnahmen geschehen sollen und natürlich auch keine LAN-Kabel oder Leerrohre vorhanden sind.

Das geht ja auch ggf. auch ohne bauliche Maßnahme. Ich sehe dazu auf Dauer keine Alternative.

Eventuell kann man mit einer Basis und zwei Repeatern eine mehr oder weniger zufriedenstellende Lösung hinbekommen, wenn man die Repeater wirklich unmittelbar über und unter der Basis platzieren kann. Aber spätestens, wenn wir über Streaming reden, wird es problematisch. Auch wenn die Bandbreiten da nicht so hoch sind: Der Bedarf für permanente, gleichmäßige Versorgung wird zum Problem.

Oh bitte. Hast du Interesse an einer ernsthaften Auseinandersetzung mit dem Thema, oder nicht? Du bist wahrhaftig nicht in der Situation, dir solche Scherze erlauben zu können.

Zitat von Pflichtfeld

Das müssten Sie dann selber herausfinden.

Da reicht ja schon ein einfaches netstat mit vulscan Scripten.

Zitat von Pflichtfeld

Aber wir sollten auch die Bezahlung/Aufwandsentschädigung klären, welche ich Ihnen bei Erfolg zukommenlassen würde.

Wie wäre es mit dem Versprechen, die Kiste offline zu nehmen bei Erfolg?

Zitat von Irrwisch

Rein juristisch betrachtet ist Transportverschlüsselung die absolute Mindestmaßnahme um die gesetzlichen Anforderungen zu erfüllen.

Richtig. Im Sinne der DSGVO aber nur im Einflussbereich des Diensteanbieters.

Zitat von Irrwisch

Und man kann es auf so einfache Weise so viel besser machen, ganz ohne Zwischenparteien, warum das Schöngerede hier?

Dass man es besser machen kann, bezweifelt ja niemand. Aber noch mal: Darum geht es bei der DSGVO nicht. Es geht darum, einen Prozess zu definieren, der die DSGVO erfüllt. Darin können Ausweisfotos genauso vorkommen, wie E-Mails, das ist überhaupt kein Problem, wie ich dir aus eigener Erfahrung sagen kann. Nur aus dem Umstand, dass die Fotos per Mail angefordert werden, kann man überhaupt nicht ableiten, dass es datenschutzrechtlich in irgendeiner Form bedenklich ist. Es kommt ausschließlich darauf an, wie damit umgegangen wird.

Zitat von Irrwisch

Und Kunden müssen nicht immer erfahrene ITler sein, es kann auch vorkommen dass das private Postfach bei einem Freemailanbieter liegt, dann werden die entsprechenden Daten darüber übertragen, ggf. mit dem ganzen Trackingspaß, denn solche Anbieter wollen das beste des Kunden: seine Daten.

Naja gut, wenn der Kunde so datenschutzaffin ist und es dann selber verdaddelt ... wie war das mit den an den Haaren herbeigezogenen Argumenten?

Zitat von Irrwisch

Bisschen Äpfel mit Birnen Vergleich an der Stelle.

Rein juristisch nicht. Ihr macht immer den Fehler, die technischen Aspekte der Übertragung zu betrachten. Darum geht es bei der DSGVO nicht.