Das klingt nicht so, als sollte das so sein. Werden die zugewiesenen IP(v4 u v6) Adressen nicht auf die MAC Adressen der jeweiligen VM Interfaces limitiert?
Ja, du hast recht, die Beschreibung war unpräzise. Die IP war als weitere IP auf eth0 angelegt. Auf einem dediziert angelegten dummy Device funktioniert es nicht ohne weiteres.
Bei meinen letzten Setups hier bei netcup war ein ndppd notwendig, da die Netze zu dem Zeitpunkt eben *nicht* gerouted waren.
Also ich glaube, hier geht in der Bezeichnung was durcheinander.
Geroutet werden die Subnetze auf jeden Fall, zumindest bis in die Infrastruktur unmittelbar "vor" dem zuständigen Host. Andernfalls wäre meines Erachtens gar keine Kommunikation möglich, auch schon nicht mit der "Standard-IP".
Bleibt die Nutzung von ndppd. Die Infrastruktur von netcup muss ja letzlich wissen, wohin sie ein spezifisches Paket zustellen muss. Also schickt sie ein "neighbor solicitation, who has [...]" raus, und zwar als Multicast. Das muss natürlich zunächst mal vom Host mit der gesuchten IP beantwortet werden.
Multicasts werden üblicherweise nicht weitergeroutet, also z.B. von einem Host in seine virtuellen Maschinen. Folglich wissen die virtuellen Maschinen auch nicht, dass sie gesucht werden und antworten nicht. Hier kommt der ndppd ins Spiel, der die Antworten in Vertretung für die VMs übernimmt. Anschließend landen die Pakete auf dem Host und können an die VMs weitergeroutet werden.
Meines Erachtens gibt es zwei Alternativen zu ndppd: Ein Multicast Router, der die neighbor solicitations durchleitet, oder eine transparente Bridge, in der alle Netzwerkinterfaces des Hosts und der VMs zusammengeschaltet werden, die auch L2 uneingeschränkt durchlässt. Letzteres ist nicht gut falls man nur eine öffentliche IPv4 hat. Firewall in den VMs ist ein weiterer Aspekt.
Ich habs gerade mal auf meiner VM getestet und von außen einen Ping auf eine Adresse aus meinem /64 Netz abgesetzt. Wie erwartet kamen direkt die neighbor solicitations für diese IP. Ich hab sie dann mal temporär einem dummy Netzwerkdevice zugeteilt, und sofort wurden die Pings auch beantwortet.
weiß jetzt nicht welches Paket das beeinflusst hat
vermutlich systemd.
Also auf dem Screenshot sehe ich "-O" anstatt "-o".
Die Frage ist, was soll nach stdout umgeleitet werden, die heruntergeladene Datei oder der Log? Und warum macht man das, wenn man später stdout eh nach /dev/null umleitet? Und zumal das Log standardmäßig auf stederr kommt, was auch umgeleitet wird?
Mir erschließt sich der Sinn dieses Cron Jobs noch nicht wirklich, aber seis drum.
Je nach Scriptsprache kann auch das "&" im Aufruf ein Problem sein. Vielleicht besser beide pipes dediziert nach /dev/null leiten.
Apache braucht sehr lange um zu antworten.
Aber genau das musst du doch aus den Logs holen können. Da siehst du doch genau mit Timestamp, wann ein Client welche Info abgerufen hat. Wie kann dann "alles normal" aussehen?
Und wie erklärt es sich, dass andere Nutzer kein Problem haben, auf deinen Content zuzugreifen?
Dann musst du wohl die anderen Logs analysieren. Die Aufrufe deiner Clients mit den ganzen GET statements sollten sich ja identifizieren lassen. Apache loggt die jedenfalls mit, ich vermute, nginx auch. Läuft da was schief? Gibt es Merkwürdigkeiten im zeitlichen Verlauf?
Das ist zumindest denkbar. "Normale" Browser zeigen hier einen Zertifikatsfehler, einige lassen einem dann die Wahl, die Seite trotzdem aufzurufen. Aber bei Tools wie Kodi oder dem Downloader kann ich mir gut vorstellen, dass ein Fehler sofort den Ladeprozess unterbricht.
Passen die Zeiten denn zu deinen Aufruf-Versuchen? Kriegst du auf einem "normalen" Rechner mit Browser eine Fehlermeldung?
Auf dem Server vermutlich unter /var/logs und dann weitersuchen, je nach apache oder nginx. Wenn du keinen Server, sondern ein Webhosting Paket hast, dann kann es auch sein, dass die Logs irgendwo im Customer Panel abrufbar sind. Damit kenne ich mich nicht aus.
Auf dem Amazon FireTV Stick per Downloader App
Das ist natürlich ein sehr abgespeckter Browser, der mit vielen Inhalten so seine Probleme hat. Ist das http oder https als Verbindung?
Auch nicht auf meinem Android Handy.
Auch da wieder: http oder https? Welcher Browser? Ist der Cache vollständig gelöscht? Was sagen die Logs?
Da greift er auf den Apache drauf zu und da braucht er einfach zu lange um zu antworten.
Nur per Kodi oder auch per Browser?
Möglicherweise ist es ein Reverse DNS Problem? Das erzeugt gerne mal lange Wartezeiten. Die Frage ist nur: ist sowas irgendwo aktiviert?
Die Kodi App? Meinst du das Mediacenter?
Welchen Dienst bietet dein Server denn an, der jetzt nicht mehr funktioniert? Ein Streaming Dienst?
Hast du die Header Informationen mal analysiert? Üblicherweise findet man dabei heraus, warum eine Mail im SPAM landet.
Braucht man da am Ende wieder ein Modem oder ist das dann ein gängiger Standard, der mit einem SFP+ Modul gespeist werden kann?
Da muss man sehr genau hinschauen, was genau am jeweiligen Wohnort zur Verfügung gestellt wird.
Es gibt AON und GPON Anschlüsse in Deutschland. Bei AON ist es relativ einfach, dafür gibt es SFP+ Module und mir ist in Deutschland momentan keine Konstellation bekannt, in der Fremdrouter nicht funktionieren. Deutsche Glasfaser und EWE sind dort sehr aktiv, aber auch einige Anbieter in Ostdeutschland. Was im Süden so los ist, weiß ich im Moment nicht.
Kompliziert wird es bei GPON. Hier gibt es zwar auch SFP+ Module aber die Probleme fangen dann erst an. Je nach Anbieter kann es nötig sein, ONT Kennungen oder Modem-Seriennummern simulieren zu müssen, das funktioniert aber nicht bei allen Gegenstellen. Zuweilen ist es auch so, dass es bei einem Anbieter in einigen Regionen funktioniert, in anderen nicht.
Bei anderen Anbietern muss man das eigene Equipment freischalten lassen, was im Moment noch Interaktion mit dem Kundensupport erfordert. Es gibt noch kein Kundenportal oder sowas dafür. Bei vielen Anbietern geht es im Moment auch noch gar nicht, sein eigenes Equipment direkt an der Faser anzuschließen, die haben die Prozesse dafür noch nicht. Da gibt es NTs oder Medienkonverter mit Gigabit-Kupfer-Ethernet als Ausgang, und ab da kann man sich dann austoben.
Also: wenn du exakt weißt, wie dein Glasfaseranschluss mal aussieht, dann kannst du dir Gedanken übers Equipment machen. Im Moment ist das pure Spekulation.
Vielleicht ist HE Net einen Versuch wert.
/48 für umsonst. Und von diversen Endpunkten ist RTT über HE auf einen Netcup Server schneller, als über die native Netcup IPv6. Im Mittel kostet es keine Performance.
Beachte, das Policy based Routing und die zugehörigen Firewall Regeln komplex sein können.
... und noch wählen (also Häckchen ja/nein) bei Domain und subdomain einschließen setzten.
Und ist das Häkchen gesetzt?
Das Zertifikat ist schlicht falsch. Es gilt ausschließlich für die Domain ohne www. Es ist ja problemlos möglich, bei Lets Encrypt Zertifikate anzufordern, die für mehrere Sub-Domains oder sogar für *.domain gelten.
Name des Zertifikates stimmt.
Und es ist auch sicher von Lets Encrypt? Wo ist dann dein Problem?
Die große Frage ist, ob ihnen bewusst ist, dass es sicherlich kein Zufall ist dass bei mehreren Kunden, auf dem defekten Hostsystem, das Dateisystem zerstört wurde zur Selben Zeit als das Hostsystem defekt war/wurde und die VMs umgezogen wurden
Wer ist denn noch betroffen?
Die Messwerte sehen gut aus.
Nur, warum langweilen sich dann meine Clients? Und der Server ist am Limit?
Der Server muss ja die Summe der Clients verwursten. Da kann halt einiges an Bandbreite zusammenkommen, wenn man tatsächlich den kompletten Traffic seiner Mitarbeiter aus dem Homeoffice über den Server leitet.
Ob aesni verwendet wird, kannst du ja mit "openssl speed" Kommandos herausfinden, mit Hilfe von -evp.
Jetzt habe ich vor ein paar Tagen meine Remote Standorte so eingestellt, dass wirklich alles über die VPN Verbindung geroutet wird.
Ich mache also Gateway Redirect und schicke alles aus dem Office / Home Office über die OPNSense im Netcup RZ und von dort aus ins Internet.
Warum würde man das wollen? Bzw welche Vorteil versprichst du dir davon, aus jedem Homeoffice Netflix und Facebook über deinen Server zu hetzen?
Welche Bandbreiten kommen da so zusammen? Da kann ich mir durchaus vorstellen, einen VServer an die Grenzen zu bringen.
//Nachtrag, hab deinen 2. Beitrag erst nach Absenden gesehen.
Auf meinem RS 2000 SAS G8 komme ich bei 70 MBIt/s OpenVPN auf ca. 30% CPU. Das Limit ist das Raspi auf der Gegenseite, der ist am Anschlag.
