Beiträge von dfroe

Zu der ganzen Sache mit dem tun-Device in Verbindung mit OpenVPN gibt es hier im Forum schon mehrere Threads. Hätte man u.U. auch vor dem Kauf finden können.

Du hast eben keinen Server mit einer vollwertigen HW/SW-Umgebung, sondern eine virtualisierte Umgebung. Zur Realisierung einer Virtualisierung gibt es nun viele verschiedene Ansätze.

• Linux-vServer/OpenVCP (netcup)

Sämtliche Gastsysteme teilen sich den Kernel des Wirtssystems. Darunter fallen auch Kernel Ressourcen wie z.B. Routen u.v.a. Diese Art der Virtualisierung ist relativ effizient, bringt aber für die Gastsysteme auch die ein oder andere Einschränkung mit.

• Virtuozzo (HostEurope, Server4You, u.v.a. "große" Anbieter)

Kommerzielle Lösung, tun-Device muss explizit vom Admin des Wirtssystems freigegeben sein. Ist dies der Fall, lässt sich OpenVPN wie gewohnt nutzen.

• XEN

Der Kernel des Gastsystems wird mit XEN gepatched, man erhält anschließend eine virtuelle Umgebung, die sich fast wie ein echter Server anfühlt. Das tun-Modul wird per modprobe geladen, das tun-Device angelegt, und mittels ifconfig und route konfiguriert. Der Administrationsaufwand von XEN ist etwas höher, da ein spezieller XEN-Kernel verwendet werden muss.

• KVM

Neuster Sprößling aus der Familie der Virtualisierungstechniken. Wurde mittlerweile in den Mainstream-Kernel aufgenommen und wird daher offiziell vom Linux-Kernel unterstützt. Es wird eine CPU mit Virtualisierungstechnik auf dem Wirtssystem benötigen. KVM kann anschließend beliebige Gast-Betriebssysteme ohne Modifikation virtualisieren. Das Gastsystem sieht einen nahezu "echten" Server, d.h. u.a. eine frei partitionierbare Festplatte, und muss auch einen kompletten Linux-Kernel, Bootloader etc. mitbringen. Dadurch dass jedes Gastsystem seinen eigenen Kernel mitbringen muss entsteht bei vielen gleichen Gastsystemen ein gewisser Overhead. Dafür hat man innerhalb des Gastsystems große Freiheiten.

=> Es gibt nicht die Virtualisierungslösung, sondern viele verschiedene. Jeder Provider hat hier so seine eigenen Vorlieben. Genauso kann man nicht sagen, A wäre generell besser oder schlechter als B. Sie haben alle ihre Vor- und Nachteile. Wenn man spezielle Wünsche hat, lohnt es sich jedoch, sich vor dem Kauf eines vServer über die eingesetzte Virtualisierungstechnik (und deren Grenzen) zu informieren.

Zu deiner Frage mit dem tun-OpenVPN Einsatzzweck: Wie gesagt, P2P-Verbindungen sind möglich. Wenn du also exakt zwei Server hast, du die miteinander verbinden willst, so funktioniert das. Was nicht funktioniert sind mehrere Verbindungen, z.B. über den "server"-Modus von OpenVPN. Also um z.B. einen Netcup-vServer als Slave an einen anderen Master-Server anzukoppeln (z.B. für MySQL-Replikationen, zentrales Logging, uva.) ist die P2P-Lösung durchaus praktikabel.
Was nicht funktioniert, ist eine Point to Multipoint Lösung, also das sich dein Netcup-vServer zu mehreren anderen Servern via VPN verbindet.

Und ob man VoIP über TCP in SSH tunneln möchte, ist vermutlich Geschmackssache. Der RTP-Datenstrom besteht aus vielen winzigen UDP-Paketen. Jedes einzelne dieser Pakete nun in ein TCP-Paket zu verpacken, und vorallem jedes einzelne Paket via TCP-ACK bei der Übertragung bestätigen zu lassen, Retransmission bei Packet Loss usw... Ich denke es gibt schon gute Gründe für UDP und gegen TCP bei VoIP.

Als Alternative würde ich es nicht zwangsläufig in einen SSH-Tunnel packen, sondern eher versuchen, die VoIP-Verbindung direkt in der Applikation zu verschlüsseln.

Wenn du Asterisk und dessen IAX-Protokoll verwendest, so bringt Asterisk bereits alles notwendig mit, um ohne irgendwelchen zusätzlichen Aufwand den Datenstrom zu verschlüsseln.

http://www.voip-info.org/wiki/view/IAX+encryption

Die Authentifizierung kann über einen MD5-Hash geschehen, und der gesamte Datenstrom lässt sich via AES verschlüsseln.

"After successful (md5) authentication the whole channel including control data and voice data is encrypted with AES128."

Ich persönlich würde auf jeden Fall diese Lösung bevorzugen.

Zitat

Naja, jetzt, wo du es sagst: Meine SIP-Verbindungen dürften gerne ne Verschlüsselung abbekommen. Schließlich werden user+pw im Plaintext übertragen. Und mit den Daten könnte man schon Mist bauen (z.B. meine telefonrechnung in den 4-stelligen Bereich treiben).

Da helfen auch einfachere Mittel. SIP lässt sich nämlich optional auch von Haus aus TLS verschlüsseln - nennt sich SIP over TLS und besteht prinzipiell aus einem TCP SIP, welches in einem TLS-Tunnel verpackt wird; natürlich sofern es Server und Client unterstützen. Asterisk und OpenSER unterstützen beide SIP over TLS. Da braucht's dann gar keinen extra Tunnel-Daemon. Bleibt nur zu hoffen, dass alle deine Geräte vom Telefon über den vServer bis hin zum SIP-Provider SIP/TLS unterstützen; sonst musst du irgendwo in dieser Kette doch wieder auf Klartext zurück greifen.

Nachtrag: Interessate Lektüre zu dem Thema
http://www.site.uottawa.ca/~bo…tAuthenticationReport.pdf

Darin wird auch auf MD5 Digest Authentification eingegangen. In wie fern MD5 Digest aber in der SIP-Praxis verwendet bzw. unterstützt wird, da muss ich passen.

Was mich zu dem Thema mal interessieren würde, wären genauere Studien bezüglich des Overheads.
Eine weitere Möglichkeit zum Tunneln von TCP-Verbindungen wäre über SSL mittels stunnel. Bei dieser Lösung fand ich es jedoch äußerst unschön, dass bei jeder neuen TCP-Verbindung ein kompletter SSL-Handshake mit Zertifikatsaustausch etc. durchgeführt werden muss.
SSH gefällt mir da schonmal deutlich besser, wobei ich immer noch nicht ganz genau sagen kann, wie hoch der Overhead z.B. bei mehreren simultanen TCP-Verbindungen ausfällt, wie es sich mit der Segmentierung verhält (MTU) usw.
OpenVPN ist in dieser Hinsicht am elegantesten, weil es etwas tiefer ansetzt und nach dem einmaligen Verbindungsaufbau nur noch ein marginaler Overhead hinzukommt, sowie sich die entsprechend geringere MTU direkt über das tun-Device einstellen lässt.

Zitat

Was es an UDP-Traffic gibt, den man verschlüsseln muss, weiß ich jetzt aus dem Stegreif nicht.

Spontan fällt mir dazu klassisches Syslog ein. Da verwende ich gerne einen zentralen Syslog-Server. Wobei man auch wieder dazu sagen muss, dass z.B. Rsyslog mittlerweile wahlweise ebenfalls TCP verwenden kann, so dass sich auch das via SSH tunneln lässt. DNS verwende ich zwischen den Servern nur für den Zonentransfer, und das geschieht ja ebenfalls über TCP. In sofern hast du Recht, dass UDP in dieser Hinsicht eine eher unbedeutende Rolle spielt. Multimedia-Anwendungen wie VoIP würde wohl niemand zwischen vServern tunneln wollen.

Bleibt wohl als letzter Punkt: Ein einziger OpenVPN-Daemon sieht schöner aus als zig SSH-Instanzen plus jeweils ein AutoSSH-Daemon.

Kommt drauf an. Einen OpenVPN-Server kann man wie gesagt nicht einrichten, für manche Anwendungszwecke tut aber auch eine P2P-Verbindung ihren Dienst. Wenn ich z.B. lediglich eine P2P-Verbindung zu einem anderen Master-Server benötige, um verschlüsselt auf SQL-DB, Syslog etc. des Hauptservers zuzugreifen, ist so ein P2P-VPN schon ganz praktisch.

Wenn man einzelne TCP-Verbindungen verschlüsseln möchte haben sich auch die guten alten SSH-Tunnel bewährt.
http://www.wh-netz.de/knowledgebase/SSH-Tunnel
Zusammen mit Tools wie z.B. AutoSSH lässt sich damit auch auf höheren Schichten ein zuverlässiger Tunnel aufbauen. Kommt eben immer auf den konkreten Anwendungsfall an. SSH ist schnell und einfach, tunnelt jedoch nur gezielte TCP-Verbindungen, keine kompletten IP-Adressen. Für UDP-Traffic ist OpenVPN Pflicht.

Kleiner Tipp: Nicht auf die Idee kommen, ein bestehendes Ubuntu per apt-get auf die neue Version zu aktualisieren. Es gibt nämlich bekannte Probleme im Zusammenspiel zwischen Upstart und Linux-vServer.
http://linux-vserver.org/Upstart_issues
Mutige vor, mir ist es jedenfalls auf einem Testsystem nicht gelungen, das System so zu aktualisieren, dass es anschließend auch bootet. Also lieber warten bis von Netcup ein offizielles entsprechend angepasstes Image angeboten wird anstelle irgendwelcher Bastelversuche.

Hallo Tobias,
du kannst auf vServern (mit OpenVCP) keine IP-Adressen oder Routen setzen. Somit funktioniert das von dir angedachte vorhaben nicht. Was du machen kannst, ist vom Support ein fixes tun-Device mit einer festen IP-Adresse einrichten lassen. Damit kannst du dann immerhin eine P2P-Verbindung über OpenVPN aufbauen. Details dazu findest du in älteren Threads hier im Forum.

Zitat

...das ???-cert. stellen schluessel weitergegeben haben ist nichts neues...nur weiterträumen von wegen sicherheit.

Ich würde auch keiner CA meinen privaten Schlüssel anvertrauen sondern höchstens die Zertifikatsanfrage (CSR). Und was die CA nicht hat kann sie somit auch nicht weitergeben.

StartSSL verwende ich für interne Projekte auch ganz gerne. Angenehm ist, dass das Root-Zertifikat in sämtlichen Mozilla-Produkten bereits als vertrauenswürdig vorinstalliert ist, und auch Microsoft dieses via Windows Update seit September 2009 verteilt.

Es handelt sich hierbei natürlich um domain-verifizierte Zertifikate. Das heißt es wird geprüft, ob man der Eigentümer der Domain ist (bzw. Zugriff in Form einer Mailadresse) darauf hat. Dies lässt sich vollkommen automatisiert abwickeln (bzw. bei StartSSL auch mit vereinzelten Stichproben manuell), so dass solche Zertifikate relativ günstig sind. StartSSL kostenlos, ansonsten von den üblichen verdächtigen CAs 10-30 Euro. Möchte man neben seiner Domain auch eine persönliche Verifikation (so dass z.B. auch der Firmenname im Zertifikat hinterlegt wird), wird's natürlich entsprechend teurer. CA-Cert ist von der Idee gut, hat sich meiner Meinung nach aber irgendwie nie so wirklich durchsetzen können.

Zitat

Hab inzwischen eine Alternative gefunden (echter Mini-Rootserver bei OVH).

Als "Alternative zu dieser Alternative" habe ich sehr gute Erfahrungen mit vServern auf XEN Basis gemacht. Mein Haupt-Server läuft so seit einigen Monaten auf einer XEN-virtualisierten Plattform und ich war überrascht, wie "echt" sich dieser vServer anfühlt. Es lassen sich beliebige tun-Devices direkt über ifconfig anlegen, die Routing-Tabelle ist frei konfigurierbar, iptables lassen sich direkt nutzen - bis auf das Laden irgendwelcher Kernel-Module fast wie ein echter vServer. Je nach persönlichen Bedürfnissen lohnt es sich daher durchaus, mehrere Alternativen zu prüfen.

Hallo Christian,
das Pflegen der Routing-Tabellen ist auf den netcup vServern leider nicht möglich. Du kannst somit lediglich direkte P2P-Verbindungen über OpenVPN fahren. Ein echter Routing-Betrieb um auch dahinter liegende Subnetze erreichen zu können ist leider nicht möglich, da in den virtualisierten vServern keine Änderungen der Routing-Tabelle möglich sind. Egal ob du die Route über OpenVPN anlegen lässt, manuell als statische Route einrichtest, oder dynamisch über Routingprotokolle einpflegen willst, es gibt immer nur ein "Zugriff verweigert" vom Kernel zurück.
Ich hatte mich anfangs auch über OpenVPN gefreut, musste dann aber ebenfalls schnell wieder zurück stecken, als ich mitbekommen habe, dass das ganze lediglich auf ein direktes P2P ohne Routing beschränkt ist.
Es wäre ja auch schon fast zu schön gewesen, direkt vom vServer auf die NAS-Box in meinem Keller zugreifen zu können.

Meine Stimme ging wohl gerade deshalb an Postfix, weil es nicht unbedingt der schlankeste Vertreter seiner Art ist. Auch der Betrieb mittel-komplexer Mailsysteme gelingt mit Postfix eigentlich ganz gut. Viele Features sind bereits mit an Board, und der gesamte Aufbau des Postfix-Systems lässt sich relativ gut um eigene Features erweitern. Von daher, bietet mir alles was ich brauche, was will ich mehr.

Was machten die alten Griechen, wenn sie auf der Suche nach einem Rat waren? Sie befragten einfach ihr Orakel. Und was damals funktioniert hat, tut auch in unserer modernen Zeit noch seinen Dienst - nur dass du mittlerweile noch nicht einmal mehr nach Delphi reisen musst
http://www.google.de/search?q=avahi

Da kannst du dir ja einfach den Avahi-Eintrag im Ubuntu-Wiki durchlesen, da steht eigentlich alles wissenswerte drin.

Zitat

Avahi ist eine freie Implementation von Zeroconf einer Technik zur Vernetzung von Geräten in einem lokalen Netzwerk, ohne dass diese konfiguriert werden müssen. So ist es möglich, zwei Rechner über ein Netzwerkkabel zu verbinden und sofort Daten austauschen zu können. Es brauchen keine IP-Adressen eingestellt zu werden usw.
[...]
Ein anderes beliebtes Beispiel ist die Freigabe von Musikbibliotheken im Netzwerk. So kann man die Musiksammlung eines Rechners auf einem anderen nutzen, ohne dass man sich mit Dateifreigaben beschäftigen muss.

--> Plug&Play-Vernetzung eines Heimnetzwerkes hat auf einem Server nichts verloren.

Hallo,
beende den Avahi Daemon doch einfach. Ich wüsste nicht, was der überhaupt auf einem Server zu suchen hätte.

Schau doch mal im Mail-Header der bei web.de angekommenen Mail nach, ob dort ein Grund für die Spameinschätzung zu finden ist. Bei mir war so z.B. einmal ein falsch gesetzter SPF-Record Schuld an solch einem Übel.

Als kleine Ergänzung würde ich auf dem "Kleinst-vServer" eher zum 32bit Betriebssystem greifen. Der Memory-Footprint ist dort marginal geringer. Zum anderen wirst du aber bei 80 MB RAM nie die Vorteile von 64bit ausspielen können, die ja erst in Dimensionen jenseits der 3 GB zu tragen kommen.
In sofern bringt das 32bit-OS keinerlei Nachteile. Im Gegenteil eher ein Quäntchen mehr Kompatibilität wenn z.B. statisch kompilierte Closed-Source Applikationen gestartet werden sollen (z.B. TeamSpeak).

Was deine konkrete Frage angeht würde ich dir aber auch eher von dem Kleinst-vServer abraten. Den würde ich außer Static HTTP, DNS-, Mail Fallback oder kleinen TS-Server für nichts größeres verwenden wollen. Da geht ihm doch ganz schnell die Puste aus.

Hallo,
bist du dir sicher, dass du ein "Netcup-Zertifikat" auf deinem Mailserver verwendest? Ich vermute eher, dass dort ein einfaches selbstsigniertes Zertifikat eingerichtet ist, welches dein Server selber erstellt hat (und daher nicht als vertrauenswürdig eingestuft wird).

Entweder, du sagst nun jedem deiner Mailclients, diese Sicherheitswarnungen zu ignorieren (geht im Thunderbird z.B. mit dem Addon Remember Mismatched Domains), oder du kaufst dir ein SSL-Zertifikat von einer vertrauenswürdigen CA (Verisign, Thawte, GeoTrust, uvm., ca. 20 EUR).

Zitat

Kann es deswegen auch sein, dass der (auschließlich) lokale Mailversand mit exim4 bei mir nicht funktioniert? Weil exim4 lauscht auch auf 127.0.0.1

Durchaus möglich, denn wie gesagt, es gibt schlichtweg keine 127.0.0.1 und auch kein Loopback-Device. Sämtliche Dienste, die ein lo-Dev verwenden, sind daher dementsprechend umzukonfigurieren. Die Nicht-Existenz des lo-Devs ist auf unixoiden System zwar etwas ungewöhnlich, es lässt sich aber grundsätzlich alles was auf 127.0.0.1 lauscht auch auf 10.0.0.1 binden.

Hallo,
ein Loopback-Device gibt es aus technischen Gründen in der Virtualisierungsumgebung deines vServers nicht. Dafür kannst du aber beim Support eine Netzwerkschnittstelle mit privater 10er IP-Adresse beantragen. Das hat im Prinzip den selben Effekt, da private IP-Adressen nicht ins Internet geroutet werden.
Konfigurationsanleitungen für Postfix, Amavis & Co. dürften eigentlich im Internet in ausreichender Menge verfügbar sein. Die genauen Konfigurationparameter bekommst du meist direkt auf den Doku-Seiten des entsprechenden Projekts.
Du kannst dir aber auch diesen Amavis-Thread hier im Forum mal durchlesen, da steht bereits einiges dazu drin. Vorallem im Post #28 sind einige der wichtigsten Parameter zusammengefasst. Es lohnt sich aber durchaus, auch mal den gesamten Thread durchzulesen, da sind damals einige interessante Informationen zusammengekommen.

Kein Thema, dann sind wir nach dieser Diskussion immerhin alle ein klein wenig schlauer geworden.

Nachschub: Mit den NS-Records kannst du immerhin festlegen, dass dein Nameserver (und da reicht auch einer), ausschließlich für eine bestimmte Subdomain zuständig ist. Wäre vielleicht ein akzeptabler Kompromiss.

Der Records
meinServer IN NS 10.10.20.1
würde dazu führen, dass für alle Hostnamen innerhalb der Subdomain meinServer dein eigener Nameserver befragt werden würde. So könntest du unterm Strich Hostnamen nach dem Schema meineHeimIP.meinServer.meineDomain.de realisieren.

Zitat

Ich glaube das ist ein bisschen zu viel des guten.
Mein Geldbeutel weint schon vor schmerzen...

Kommt halt immer drauf an, was man will.

Aber rein finanziell sind Domains, die du direkt selber administrierst, oftmals sogar günstiger zu bekommen, als "normal" über einen ISP.

Und wenn es am zweiten Nameserver scheitern sollte: Netcup bietet hierfür ideal passend einen ganz kleinen Mini-vServer an, der für solche Zwecke dicke ausreicht. Nur muss man vorher mit dem Support abklären, dass sich dieser dann auch in einem anderen IP-Subnetz befindet - sonst wird's von der DE-NIC nicht akzeptiert. Als Slave-Nameserver konfiguriert ist das gute Teil dann sogar absolut wartungsfrei, und bezieht die aktuellen Zonefiles automatisch vom Hauptserver.

So habe ich das ganze realisiert (billiger Netcup Zweit-Server, und direkte Domainverwaltung über einen sog. Domainrobot). Wenn man diesen Komfort (und Aufwand) einmal schätzen gelernt hat, möchte man ihn nicht mehr missen.
Kommt natürlich ganz auf den individuellen Fall drauf an. Für eine einzige Domain lohnt sich der Aufwand sicherlich nicht.

Zitat

Das Hauptproblem ist halt, wie ich den DNS Servern meines ISPs die Einträge meines BINDs mitteile.

Gar nicht. Hierfür müsstest du direkt bei der DE-NIC zwei öffentliche Nameserver von dir hinterlegen, die sich in zwei getrennten Subnetzen befinden. Dann geht die gesamte DNS-Auflösung direkt über deine Nameserver und nicht mehr über die deines Providers. Dafür bist du dann aber auch voll und ganz verantwortlich, d.h. Nameserver tot, Domain tot.