Posts by DaSch22

    Und muss ich für jede Anwendung zusätzlich zu

    Code
    /etc/nginx/sites-available/

    eine php *.conf in

    Code
    /etc/php/7.3/fpm/pool.d

    anlegen?

    Muss man nicht, kann aber unter Umständen Sinn machen. Auch um eine Trennung zwischen verschiedenen Anwendungen zu erhalten.

    Ich verwende z.B. für jede Domain einen eigenen PHP Pool. Damit setze ich dann unterschiedliche Prozess User und PHP Parameter.


    In den nginx /etc/nginx/sites-available/* Dateien kann man auch viel mit include "Verlinkungen" vereinfachen. Bietet sich für Einstellungen an, welche in allen Anwendungen gleich sein sollen.

    Beispiel wäre so was:

    Code
    server {
        ...
        include /etc/nginx/include.d/all-common;
        include /etc/nginx/include.d/ssl-common;
        ...
    }

    Da scheinen die Deal- und die Produktwebseite nicht syncron zu sein. Hatte auch direkt die Produktseite aufgerufen und konnte dort bestellen. Auf der Dealseite war der VPS 500 G11s BW24 Server schon als Ausverkauft markiert.

    Ok, dir geht es darum, einen AAAA-Record setzen zu können.

    Ja. Hatte ich so auch geschrieben.

    Könnte man machen, aber so ganz sehe ich den Sinn nicht,...

    Es geht darum, den vServer mit dem vorbelegten Netcup FQDN in der Namensauflösung verwenden zu können. Ich möchte nicht immer meine eigenen Domains dafür verwenden müssen. Erfordert ja auch weitere manuelle Pflege meinerseits.

    ...wenn du das erst selbst konfigurieren musst.

    Wenn der AAAA Eintrag schon für die im Image genutzte IP-Adresse gesetzt wird, müsste ich auch nichts manuell nachpflegen.

    Ich denke, das Problem ist folgendes: Du bekommst ein Präfix, nicht nur eine Adresse. Welche IPv6 Adresse hättest du denn gerne aufgelöst? Du kannst dir auf deinem Server immerhin eine oder mehrere aus 2^64 Adressen frei auswählen.

    Es geht um die von mir statisch vergebene IPv6 Adresse innerhalb des 64er Präfix. Einen IPv6 PTR Eintrag kann man ja heute schon setzen.

    Es wäre immerhin möglich, im DNS eine IPv6 aufzulösen. Jeder Server kommt mit einem installierten Image und mit einer konfigurierten IPv6 Adresse, also warum nicht diese im DNS als AAAA-Record für den vergebenen Default-Servernamen eintragen? Mit der IPv4 klappt es ja auch, möglich sollte es also sein...

    In meinem Fall müsste dies für die im Image verwendete IPv6 Adresse nicht sein, aber warum nicht.

    Hi nitram,

    ja, das Q&A wird wieder aufgezeichnet. :) Solltest du Fragen haben, kannst du uns diese gerne per PN zukommen lassen.

    Ich kann zum Event leider auch nicht vor Ort sein.


    Bei der Durchsicht meiner Server Logfiles ist aber gerade wieder eine Frage aufgekommen.

    Hatte ich hier auch schon mal gefragt:

    Keine IPv6 DNS Auflösung für Default VPS Server FQDN - netcup Kundenforum
    Hallo, ich wollte mit meinem VPS Server ( v220220419691187499.hotsrv.de ) IPv6 mit dem "Default" zugewiesenen FQDN testen. Leider funktioniert die Auflösung…
    forum.netcup.de

    Code
    warning: hostname xxx.happysrv.de does not resolve to address 2a03:4000:xxxx:xxxx::xxxx: No address associated with hostname


    Ich stelle die Frage mal öffentlich. Vielleicht ist da auch schon jemand drüber gestolpert. Im Helpcenter und im Forum konnte ich dazu nichts Neues finden.


    Frage:

    Zu jedem vServer gibt es eine IPv4 Adresse und ein IPv6 Netz. Die IPv6 Adresse kann innerhalb des Netzes frei vergeben werden. Standardmäßig hat jeder vServer einen Netcup FQDN wie zum Beispiel xxx.happysrv.de oder xxx..yourvserver.net. Die DNS Auflösung A für IPv4 funktioniert. Die DNS Auflösung AAAA für IPv6 für diese Default Domains geht aber nicht.

    Ist es irgendwann vorgesehen, dass die DNS Auflösung für IPv6 AAAA für die Netcup Default Domains standardmäßig auch möglich ist?

    Dafür hat man dann mit TB das Problem, dass es inzwischen fast unmöglich ist ein O365-Konto einzubinden.

    Ja, Microsoft gibt sich da recht Mühe.

    Siehe hier:

    Alles scheinbar sicherer machen.

    Mich würde es mittlerweile aber nicht mehr wundern, wenn solche 2FA Daten plötzlich zur freien Verfügung stehen...

    https://www.heise.de/news/Details-zum-Microsoft-Leak-Ueber-eine-Million-interne-Dateien-waren-oeffentlich-9681391.html

    Der ehemalige nginx-Entwickler mag sich ja in Moskau sicher fühlen...

    Den politischen Beißreflex mal außen vor...


    Der Fork ( https://freenginx.org ) betrifft doch den Open Source Teil ( https://nginx.org ) von Nginx und nicht den kommerziellen Teil davon ( https://www.nginx.com ), oder sehe ich das falsch?

    Oder habe ich Open Source falsch verstanden.

    ...Markenrechte von F5 verletzen sollte,...

    Mir ist schon klar, daß Juristen gern alles verklagen was denen irgendwie über den Weg läuft.

    Das scheint dann wohl das einzig funktionierende bei F5 sein. :whistling:

    Ein sofortiger Wechsel auf einen Fork, ohne dessen Zukunftsaussichten mit etwas (auch zeitl.) Abstand einzuschätzen, erschien mir schon immer ausgesprochen risikobehaftet (wenn ich nicht bei selbigem Fork involviert bin). Wenn sofortiger Handlungsbedarf bestünde, würde ich in diesem Fall ggf. sogar einen Produktwechsel vorziehen (wenn es einen etablierten Mitbewerber gibt).

    Sehe ich auch so. Man wird ja sehen was im Changelog bei https://nginx.org zukünftig passiert.

    Ich habe in meinem Webhosting ein Mailformular, welches über den netcup Mailserver mxXXXX.netcup.net Port 465 authentifizert Mails verschickt.


    Folgendes Verhalten:

    1. Mail an E-Mail Empfänger welcher auf netcup Mailserver mxXXXX.netcup.net gehostet ist. DKIM wird nicht verwendet, da Benutzer authentifiziert.
    2. Mail an E-Mail Empfänger welcher nicht netcup Mailserver mxXXXX.netcup.net gehostet ist (E-Mail Adresse des Nachrichtenversenders). DKIM, SPF werden verwendet und es gibt keine Fehlermeldungen.

    Da du Port 465 angegeben hast, gehe ich mal davon aus, dass du die Mail auch authentifizert versendest. Test meinerseits auf Port 465 ohne Authentifzierung geht nicht. Mailversand nicht authentifiziert wäre für mich Port 25.

    Laut Gematik direkt war wohl was bei Arvato: https://www.gematik.de/newsroo…ll-telematikinfrastruktur

    Da war wohl nicht nur das E-Rezept betroffen: https://fachportal.gematik.de/ti-status/stoerungen

    Quote
    Letzte Aktualisierung: 14.02.2024 11:00 Uhr:

    Zurzeit liegt eine zentrale Störung in der Telematikinfrastruktur vor. Dies kann zu Störungen beim Ausstellen des E-Rezepts, Einlesen von eGKs, Zugriff auf die elektronische Patientenakte oder auch beim Versenden von KIM-Nachrichten führen

    2024-02-15_11-20-56.png

    Ihre Daten in besten Händen...

    Ich teile das hier mal. Ist sicher für den ein oder anderen auch relevant: https://www.phoronix.com/news/Nginx-Forked-To-Freenginx

    Erinnert mich an Oracle und MySQL.

    Mit F5 willst du auch nicht wirklich was zu tun haben. Musste mich 2 Jahre mit deren Zeugs rumschlagen. Waren viele zusätzliche Nachtschichten zum beseitigen von Bugs und Sicherheitsproblemen.

    Was willste erwarten:

    Quote

    Unfortunately, some new non-technical management at F5 recently

    decided that they know better how to run open source projects. In

    particular, they decided to interfere with security policy nginx

    uses for years, ignoring both the policy and developers’ position.

    Nginx war und ist hoffentlich mit dem Fork auch weiterhin sehr wartungsfreundlich (Changelog).

    Im Gegensatz zu dem was F5 produziert.

    Mit meinem Global Admin Account der meinen Namen enthalten sendet Wordpress E-Mails raus. Dann habe ich einen Benutzt mit noreply@*** angelegt, dem eine Lizenz gegeben und versucht damit den Wordpress Mailversand zum laufen zu bekommen. Ich bekomme durchwegs die Fehlermeldung dass die Authentifizierung nicht möglich ist. Ich habe versucht den Account, ebenso wie meinen mit dem es ja funktioniert, ins 2fa aufzunehmen und allgemein irgendwie zu schauen wo der Unterschied zwischen den Accounts ist. Keinerlei Lösung bekommen.

    Vielleicht hilfreiche Hinweise für dich.


    Da ich auch Zugriffsprobleme bei einem Altlasten Outlook/Hotmail Account von mir hatte.

    Musste meinen POP3/SMTP Zugriff für Thunderbird auf OAuth2 umstellen, da es von einem Tag auf den anderen nicht mehr mit SSL/TLS funktionierte. Eine Vorwarnung bekam ich nicht.


    Musste nach Umstellung beim ersten Zugriff über OAuth2 einmalig Thunderbird als Anwendung über ein Popup in Thunderbird "freischalten", was du sicherlich im Admin Panel irgendwo machen kannst.


    Hier ein paar informative Links dazu:

    https://support.mozilla.org/en-US/kb/microsoft-oauth-authentication-and-thunderbird-202

    https://learn.microsoft.com/en-us/exchange/client-developer/legacy-protocols/how-to-authenticate-an-imap-pop-smtp-application-by-using-oauth


    Warum auch immer, ich habe vorher dort nichts angefasst (Ich schwöre bei meinem RAM!), ist es dem Global Admin Account durch explizite Nennung des Accounts erlaubt die MFA zu umgehen/ignorieren. Deswegen war mein Wordpress in der Lage mit dem Account die SMTP Verbindung herzustellen und Noreply durfte es nicht und war traurig. Stumpfe Lösung: Noreply ist jetzt auf Platz zwei in der Ausnahmeliste.

    Den Global Admin Account würde ich nicht in Anwendungen benutzen. Einen Generalschlüssel gibt man ja auch nicht in der ganzen Firma rum. Dafür legt man weitere "Standard Accounts" an.

    Yes, hab nen Webhosting. Geht mir nur darum, ob ich jetzt alle auffordern muss ihre Mails aus dem alten Account zu sichern. Aber wenn sie weiterhin drauf zugreifen können ist es entspannt.

    Nicht ganz ernst gemeint, aber macht Datenmigration nicht mehr der Admin? ^^

    Kannst du ggf. kurz dein Setup erläutern?

    Mein Setup bzw. meine Verwendung ist recht einfach.

    Heimnetzwerk (verschiedene Subnetze) -> Heimnetzwerkrouter/Firewall (OpenWrt) -> GatewayServer (VPS piko G11s) -> Internet


    Der OpenWrt Router baut den WG-VPN zum VPS Server auf, welcher dann per NAT den Traffik ins Internet weiterleitet. Damit auch kein Problem mit dynamischer IP-Adresse des Heimnetzwerkes.

    Die Subnetze im Heimnetzwerk verwenden die WG-VPN Interface IP-Adresse des OpenWrt Routers (NAT/Masquerading) in Richtung VPS. Damit keine zusätzlichen Routen in Richtung Heimnetzwerk auf dem VPS nötig.

    Im WG-VPN Interface des OpenWrt Router ist als Allowed IPs 0.0.0.0/0 hinterlegt und somit geht aller Traffik in Richtung VPS Server.


    Das war es auch schon.


    Hilfreiche Informationen.

    Debian: https://wiki.debian.org/SimplePrivateTunnelVPNWithWireGuard

    OpenWrt: https://casept.github.io/post/…server-on-openwrt-router/

    ...

    EDIT: Jetzt musste ich doch kurz schauen. Hab auf dem WG Interface jeweils die MTU auf 1420 gesetzt und bei meinen ersten Tests scheint es mit voller Geschwindigkeit zu laufen.

    ...

    MTU 1420 ist doch eigentlich der Default Wert des wg Interface. Zumindest bei mir.

    Ohne MTU Parameter in der Konfigurationsdatei des VPS Servers sieht es so aus:

    Meine Geschwindigkeit ist bei einer MTU von 1420 sogar noch schlechter als im auto. Aktuell fahre ich mit 1320 am besten.

    Mein wg0 Interface hat ja auch paar RX Fehler. Eine Änderung der MTU Größe auf z.B. 1380 hat diese aber nicht beseitigt. Muss ich mir nochmal mit tcpdump anschauen, was das verursacht. Auf den Datendurchsatz haben diese Fehler aber bislang keine Auswirkung. Vielleicht laufen diese Fehler auch im IPv6 auf, was ich aber nicht verwende.

    Bin neulich aber auf einen VPS nano umgestiegen. Überlege sogar auf einen piko runter zu gehen, weil ich glaube, dass der ausreichen würde. Die 80TB Traffic der normalen VPS hätte ich niemals erreicht.

    Also ich bin mit meinem VPS piko G11s als VPN (wireguard) Gateway zufrieden. Läuft mittlerweile über eine Woche 24/7 ohne Probleme.

    Wegen latest handshake. Nutze PersistentKeepalive nicht.

    Da ich keine "Dauerdownloads" laufen habe, sollte mich das mit dem Traffik auch nicht treffen bzw. stören.

    Traffic: Wenn der durchschnittliche Datenverkehr in den letzten 24 Stunden über 100 MBit/s liegt, erfolgt eine vorübergehende Drosselung auf 100 MBit/s