Beiträge von chrko

Du musst in dem Profil folgende Zeile auf deine Pfade angepasst hinzufügen:

/etc/bind/zones/** rw,

Ich habe mich leider auch noch nicht im Detail mit apparmor weiter auseinander gesetzt. Bei mir (Debian 10/Buster) existiert /etc/apparmor.d/local/README, die die Unterscheidung erklärt. Ich hatte beim "schnell schnell" fixen einfach den Eintrag in /etc/apparmor.d/usr.sbin.named hinzugefügt an entsprechender Stelle. Am Ende der Datei wird jedoch die Datei /etc/apparmor.d/local/usr.sbin.named eingebunden, so dass auch hier diese Zeile einfach einfügen kannst.

Viele Grüße

Richtig, mit aa-status findest du auch den aktuellen Zustand der einzelnen Prozesse und Profile heraus. Unter Debian Buster musst du da ggf eine zusätzliche im Profil hinzufügen (/etc/apparmor.d/usr.sbin.named.conf)

Zitat von Krautsalatmission

Hallo Zusammen!

Aufgrund im Titel beschriebene Probleme bin ich vom Str4to (keine Ahnung warum das zensiert wird) vserver auf Netcup Root Server umgestiegen.

Leider muss ich nun entäuscht feststellen das ich immer noch kein Iptables, Modprobe und paar andere "Befehle" bzw Funktionen von einer richtigen Debian Installation habe.

Benötige dieses jedoch unbedingt, damit ich OpenVPN nutzen kann.

Mache ich irgendwas falsch?

Alles anzeigen

Beschreibe doch mal präzise, was du gerade genau versuchst. Da netcup mit QEMU/KVM virtualisiert und du deinen eigenständigen Kernel hast, hast du rein technisch gesehen seitens netcup die Möglichkeit dazu. Daher leider eher ein Problem bei der Anwendung von dir

Na, dedizierter CPU Kern bezieht sich wie üblich auf einen Hyper-Thread.

Das gibt’s bei den Root-Servern.

Die vServer haben einerseits allgemeine CPU-Kerne und werden buntgemischt verteilt und ebenso auch überbucht. Meiner Erfahrung nach hat das netcup hier bei den vServern doch ziemlich gut im Griff.

Ja, der Witz an der Sache ist: Um mit deinem vServer beginnen zu können und Systeme ohne weitere Einschränkung im Netz zu betreiben, brauchst du ein gewisses Grundwissen. Dazu gehört dann auch zu zu hören, dass man sich nicht mit Passwörtern via SSH einloggt als auch Passwörter nicht ohne weiteres erneut verwendet. Insbesondere nicht, wenn sie bereits via Mail verschickt wurden.

Und wenn du einen Server nun gemietet hast, hast du auch das volle Programm am Hut!

Dein konkretes Problem hört sich übrigens nach Tastaturlayout Diskrepanzen zw VNC Konsole, deiner Wahl in Debian und bei dir Lokal an.

Das Problem ist "netcup-spezifisch". Wie dan3o3 bereits geschrieben hat, ist die gängige Lösung dazu gewesen, dass man den ndppd nutzt. Die sysctl Variable net.ipv6.conf.interface.proxy_ndp kannte ich bis jetzt noch nicht und habe ich noch nicht genutzt.

Das erste IPv6 Netz einer KVM-Maschine bei netcup wird nicht geroutet, sondern "geswitcht". Dass bedeutet eben auch, dass du dich mit der Neighbour Discovery rumschlagen musst.

Alle weiteren Netze, welche du hinzubuchen kannst und dem Server zu gewiesen sind, werden auf die angezeigte Adresse geroutet. Die Adresse setzt sich aus dem 64-Bit Präfix des ersten IPv6-Netzes zusammen und die letzten 64-Bit sind die "modified eui 64" der Ethernet-MAC-Adresse.

Für deinen Anwendungsfall, dass du einen netcup Server als VPN-Server nutzen möchtest, welcher ein Netz nach hinten weiterreicht, ist das mit einem zusätzlichen v6-Netz von netcup deutlich einfacher, da du dann eben kein Neighbour Discovery Proxying machen musst, sondern ganz normal routest.

Falls du stattdessen neben dem ersten IPv6-Netz von netcup dir einen Tunnel von Hurricane Electric legst, denke daran, dass du dann auch Source Based Routing machen musst, da du den Traffic nicht über das netcup-Netz ausleiten kannst.

Ich möchte noch auf den modernen Ersatz aus der iproute2 Suite hinweisen:

Statt arp nimmt man dann ip neigh. Mehr dazu in der dazugehörigen manpage: ip-neighbour(8)

Zitat von flipreverse

Dankeschön! Leider ist mein Image verschlüsselt, so dass das System denkt, dass ich keine Platz mehr zu Verfügung habe. Deshalb kann ich keine Snapshots erstellen.

Sollte das dann nicht mit dem durchreichen von discards auf die eigentliche Platte lösen lassen?
Damit kannst du trotz Verschlüsselung deiner Platte sagen, welche Blöcke nicht benutzt sind. Das Kommando um dies explizit zu machen nennt sich fstrim(8).

VG

Zitat von mainziman

und dass hier jemand was einträgt - simple registrierung genügt - was so gar nicht past,

läßt SPAM dann auch leichter durchflutschen ...

Du hast dich anscheinend bereits registriert und Eintragungen vorgenommen, sehe ich das richtig?

Die Eintragungen werden reviewed.

Und wenn auch nicht, würde ich deine SPAM-Filterung für sehr fragil halten, wenn es nur dieser eine Faktor aus macht

Und Jimi: Ich kann es nur noch mal betonen: Verwende deinen eigenen lokalen Resolver. Irgendwelche gemeinsam genutzten DNS Resolver, wie netcup, Google oder ähnliche, laufen halt gerne ins Rate Limit.

DNSWL hat Rate Limits. Daher immer einen eigenen lokalen Resolver betreiben!

https://www.dnswl.org/?page_id=110

Hallo netcup und Kunden,

gerade spiele ich mal wieder das Spiel mit dem Support, dass darauf bestanden wird, dass die Absenderadresse (also der FREI wählbare From-Header einer Mail) nicht mit dem hinterlegten Account übereinstimmt.

Wieso wird nicht durch das Antworten an die hinterlegte Adresse verifiziert? Im konkreten Fall setze ich sogar den Reply-To-Header, so dass der Support-Mitarbeiter mit mir sogar über die hinterlegte Adresse kommuniziert.

Mal ganz wild gesponnen: Setze ich die Mail-Adresse beim Kontaktieren des Support auf irgendeinen Quatsch (wie z.B. die Mail-Adresse von [netcup] Felix P.), habe ich dann "erhöhte"/andere Berechtigungen durchs Ticket-System? (Oder böswillig: Ich setze die Mail-Adresse eines anderen Kunden und autorisiere dann Änderungen an dessen Infrastruktur?)

Um es noch mal zu betonen: Die Absender-Adresse einer Mail kann völlig freigesetzt werden, und das setzen eines Reply-To-Headers wird ohne Beachtung des Ziel auch einfach durchgeführt und akzeptiert.
Kann daher die Verifikation durch des Empfangen auf der eingetragen Mail-Adresse erfolgen?

Viele Grüße

Ich habe ein paar (wirklich) kleine Fehler in den Texten gefunden:

"Anzahl der Kunden die Sie in dem Reseller Webhosting anlegen können." - Hinter Kunden fehlt ein Komma.

"Der Speicherplatz für Ihre Kunden in der Cloud für Webseite. E-Mails und Datenbanken." - Hinter Webseite steht anstatt einem Komma ein Punkt.

"Für jede Domain die Sie über uns beziehen erhalten Sie in einem Expert-Tarif kostenlos ein SSL-Zertifikat von Let's Encrypt. Unser System richtet die SSL-Zertifikate innerhalb weniger Sekunden ein und sorgt für regelmässige Aktualisierungen der SSL-Zertifikate." - Hinter "Domain" und "beziehen" fehlt ein Komma.

Viele Grüße

Prometheus

Ich bin nie mit den anderen Tools warm geworden - also die Klassiker Icinga, Zabbix…

Mein eigentliche Prometheus Konfiguration ist auch ziemlich nackt, denn die eigentlichen Targets kommen via Service Discovery herein.

Zitat von sysbug

da netcup diese möglichkeit herrvorhebt um nach support zu fragen landen dann auch solche "ärsche" wie ich hier und schreien mal darauf los. kontakt zu netcup ist aufgebaut, aber seit ca. 2h keine Rückmeldung. da scheint es hier wohl mehr leute zu geben die hier mehr zeit haben privat als manche kollegen von NC@job

Warum eskalierst du es dann nicht via Notfall Hotline? :o

Also in dem Sinne verstehe ich die Aufregung nicht. Wenn es ein Problem gibt, dass im Zuständigkeitsbereich von netcup liegt und außerhalb der regulären Arbeitszeiten auftritt, Mail schreiben und bei Dringlichkeit anrufen.

Und wenn dein Server so wichtig ist, verstehe ich auch nicht, warum man eine Erinnerung braucht, oder das System nicht redundant ausgelegt ist. :o

Hübsch und nett wäre die Anzeige der Reboot Zeitfenster im CCP und/oder SCP, aber die zwingende Notwendigkeit erkenne ich da nicht.

Nachtrag:

https://www.kernel.org/doc/html/latest/networking/alias.html

Sie heißen nicht virtuelle Interfaces, sondern Alias Interfaces.

Wieso hast du "post-up ifup […]" gesetzt? Wendern sind die Interfaces eh schon Up…

# The loopback network interface
auto lo
iface lo inet loopback

auto eth-extern
iface eth-extern inet static
    address     37.120.191.247
    network     37.120.188.0
    netmask     255.255.252.0
    broadcast   37.120.191.255
    gateway     37.120.188.1
    dns-nameservers 46.38.225.230 46.38.252.230
auto eth-extern:1
iface eth-extern:1 inet static
    address     37.120.182.214
    netmask     255.255.255.255
iface eth-extern inet6 static
    address     2a03:4000:6:b19d::1
    netmask     64
    gateway     fe80::1
    post-up     ip -6 route change default via fe80::1 dev eth-extern src 2a03:4000:6:b19d::1
    dns-nameservers 2a03:4000:0:1::e1e6 2a03:4000:8000::fce6
    up ip -6 addr add 2a03:4000:6:b19d::20/64 dev eth-extern
    down ip -6 addr del 2a03:4000:6:b19d::20/64 dev eth-extern || true
    up ip -6 addr add 2a03:4000:6:b19d:b4db:d5ff:fec8:3cb1/64 dev eth-extern
    down ip -6 addr del 2a03:4000:6:b19d:b4db:d5ff:fec8:3cb1/64 dev eth-extern || true
auto br-lxc
iface br-lxc inet static
    address     10.180.13.1
    network     10.180.13.0
    netmask     255.255.255.0
    broadcast   10.180.13.255
    bridge_ports none
iface br-lxc inet6 static
    address     2a03:4000:20:fb::10
    netmask     64

Laut https://askubuntu.com/a/795543 müsstest du übrigens auch gar keine zusätzlichen Interfaces oder komische Kommandos wie ich verwenden, sondern kannst stattdessen folgendes machen:

auto lo
iface lo inet loopback

auto ens3
iface ens3 inet static
    address 37.120.164.232/22
    dns-nameservers 46.38.225.230 46.38.252.230 2a03:4000:8000::fce6
    gateway 37.120.164.1

iface ens3 inet6 static
    address 2a03:4000:6:43e3::1000
    netmask 64
    gateway fe80::1

iface ens3 inet6 static
    address 2a03:4000:6:43e3::2000
    netmask 64
    gateway fe80::1

iface ens3 inet6 static
    address 2a03:4000:6:43e3::3000
    netmask 64
    gateway fe80::1

Ich würde auch noch vermuten, dass die weiteren Gateways allesamt nicht funktionieren werden.

Zitat von janxb

Wenn man es denn schafft, sein Passwort ohne doppelte oder verschluckte Zeichen einzugeben..

https://github.com/carnager/rofi-pass tippt für mich

Du brauchst eine spezifischere Regel vor der allgemeinen MASQUERADE Regel, die explizites Source NATting macht: https://netfilter.org/document…HOWTO/de/NAT-HOWTO-6.html

Stattdessen müsstest es auch funktionieren, wenn du die zusätzliche IP direkt dem Container zuweist und einfach statt NAT Routing betreibst

Die ISO ist vermutlich sehr sehr schnell da. netcup hat ja auch kein Interesse daran, dass jeder die ISO selbst hochlädt und die Infrastruktur belastet.

Bis das Image verfügbar ist, dauert etwas.

Es ist der feine Unterschied zwischen blockieren und drauf hören/reagieren:

Im Netcup v6 Setup werden auch vom Router Router Advertisments gesendet. Da dies aber gerne mal zu Problemen führt, sollte man die default route statisch konfigurieren und das Verarbeiten derer deaktivieren, siehe die Empfehlungen sysctl Einstellungen im netcup Wiki.