Beiträge von margau

    Es sind LXC-Container, die aber einzelne Guests sind. Das Problem ist folgendes: Portweitereitung am Host ganz normal eingerichtet (80->10.0.0.1, etc.). Container 2 will jetzt example.com aufrufen. Example.com liegt auf demselben Host wie Container 2 -> Paket bleibt beim Host an der Innenseite "hängen".

    Und wenn die Portweiterleitung auch von innen doch funktioniert, passiert folgendes:

    1.1.1.1 ist die öffentliche IP des Hosts (A von example.com)

    10.1.1.1 ist Container mit Dienst

    10.1.1.2 ist anfragender Container

    1.1.1.1 hat DNAT auf 10.1.1.1 für Port 80...


    10.1.1.2 sendet Paket an 1.1.1.1, durch DNAT geht es an 10.1.1.1.

    10.1.1.1 sieht Paket von 10.1.1.2, und sendet Antwort über die Bridge zurück. 10.1.1.2 bekommt Antwort von 10.1.1.1, kann aber nix damit anfangen, da die Antwort von 1.1.1.1 kommen müsste.


    Ich hoffe ich konnte das Problem etwas besser erklären ;)


    Viele Grüße

    margau

    Hallo,

    nochmal zum klarstellen:

    vmbr0 ist WAN, hat eine Public IP.

    Die Gäste sind im vmbr1, und haben private IPs. Im host findet iptables-NAT von vmbr1 auf vmbr0 (ausgehend) statt.

    Das, was bei vmbr0 ankommt, wird portbasiert per DNAT auf den richtigen Container weitergeleitet.


    Das Problem ist, wenn ein Container aus vmbr1 über die öffentlichen IP wie alle anderen Zugreifen will, das Paket also eigentlich per DNAT angefasst werden muss.


    Viele Grüße

    margau

    margau bei mir auf den Heimservern ist die Host-Gast Kommunikation ein Feature des Switches. Es werden nämlich die Pakete ins physikalische Netz entlassen und wenn der Switch dann erkennt, das die Kommunikation wieder zurück an den Quellport muss und das auch unterstützt, dann funktioniert das ganze reibungslos. So habe ich das mal gelesen.

    Hallo, auf Layer 2 ist das bei mir auch kein Problem. Problematischer ist, dass auf Layer 3 für Iptables entsprechend umgebogen zu bekommen.


    Klar, eine Lösung wäre DNAT und SNAT für jede beliebige IP/Port Kombination - aber das will ja auch keiner konfigurieren...

    Viele Grüße

    margau

    Typisches Hairpin Problem. Entweder du rufst intern auch über interne IPs auf, oder du machst es wie ich und setzt einen internen DNS Recursor ein.

    Joa, das ist leider alles nicht "transparent" für Layer 3 -> an der Applikation/Container rumpfuschen, was ich vermeiden will.


    Gibt es irgendne Lösung, die Pakete von "innen" also Masquerade wieder als "von außen" ins DNAT einzuspeisen? Also alles was von vmbr an die IP vom eth0 kommt soll behandelt werden, als käme es von eth0 von außen?


    Viele Grüße

    margau

    Es gibt doch hier einige Leute, die Proxmox mit LXC und einer Public IP laufen haben.

    Hat jemand schonmal ein erfolgreiches Reflection NAT mit IPTables gebaut?


    Hintergrund: Habe eine öffentliche IP, und die Dienste kommen mit DNAT auf die richtige Private IP. Nur wenn ich von einem Container auf diesem Host einen anderen von der öffentlichen "Seite" aufrufen will, tut das DNAT so nicht mehr. Was ist da die einfachste Lösung?

    Da ich bestimmt 10 verschiedene DNATs pro Host habe brauche ich auch etwas, was "Flott" geht (und nicht für jede Kombination Container-anderer Container einzeln gebaut werden muss ^^)


    Danke und Viele Grüße

    margau

    Urlaub genutzt und OpenWRT durch EdgeRouter ersetzt - die Dinger machen echt Spaß, will garnicht mehr daran zurückdenken als hier noch ein Speedport stand ^^

    Und die Kombination mit Unifi und dem UNMS als Monitoring in der Cloud hat dann auch was recht elegantes.


    Viele Grüße

    margau

    Hallo,

    hat jemand schon Erfahrung mit dem VMX-Flag, Proxmox und KVM auf Netcup-Systemen gesammelt?

    Ich habe es mit LXC erfolgreich im Einsatz, brauche aber eventuell demnächst möglichst preiswertes KVM (Virtualisierung eines Freifunk-Offloaders).


    Viele Grüße

    margau

    Mach ich genau so, dann komm ich auch per IMAP und SMTP dran wenn was ist. Wenn schon zweiter MX dann doch gleich richtig.

    Kurzes andres Thema:

    Dachte mein (seit heute neues) Monitoring geht durch und zeigt Fantasiewerte an. Dann habe ich um 21:35 den Container mit Java drin gekillt...

    Hubble.PNG

    (sind übrigend Linux-Werte mit 4 Kernen, d.h. in dem Moment wo grün über gelb ist sind rechnerisch alle Kerne auf 100 %)


    Viele Grüße

    margau

    Und wenn der Server Aufgrund von mangelnder Absicherung gekapert wird und Angriffe durchführt übernimmst du die volle Haftung.


    Tut mir leid, aber Grundlagen lernt man nicht am frei zugänglichen Rootserver, sondern in der VM zuhause.


    Viele Grüße

    margau

    Hat zufällig jemand eine Idee, warum mein OpenWrt immer eine Route zu einer bestimmten IPv4-Adresse (/32 dev <UPLINK>) selber anlegt?


    Die Ziel-IP wird für OpenVPN und einen 6in4 Tunnel benutzt. Ich kann das Anlegen der Route aber nicht reproduzieren im laufenden Betrieb, egal welche Dienste oder Schnittstellen ich neu starte.


    Die Route bleibt bis zur manuellen Löschung bestehen, oder bis die dazugehörende Schnittstelle deaktiviert wird.

    Hallo,

    Ich tippe mal auf die interne OVPN-Config - bevor die irgendwelche Routen ändert, und sich selbst das Wasser abschneidet.


    Viele Grüße

    margau

    margau ja Dein Link sagt:

    "This is the way Let’s Encrypt validates DNS-01 challenges today. Boulder, the Let’s Encrypt server side CA software, loops over each TXT record and considers the validation successful when one matches the expected value"

    von daher kein Problem, aber der DNS-Server z.B. BIND läßt es mittels nsupdate nicht zu;


    von daher würde ich meinen, daß dieses DNS-01 ACME-challenge genau in dieser Konstellation ein Fehler by Design ist;

    Hallo,

    mit dehydrated geht es aber auch so:

    HOOK_CHAIN="no" in der Konfiguration sorgt dafür, das alle Challenges nacheinander kommen.

    Hallo,

    was mich doch mal interessieren würde:

    Gibt es irgendwo eine rechtssichere Vorlage für die Datenschutzerklärung etc.? Grade was die Dinge wie Auskunftspflicht betrifft, würde ich ungern etwas selbst formulieren. Und dass man mit einer kleinen WP-Webseite direkt einen Anwalt beauftragen muss erscheint mir irgendwie etwas Overkill und finanziell gar nicht machbar.


    Viele Grüße

    margau

    Hallo,

    Ich habe gestern mal länger danach gegoogelt: mehrere TXT-Records stellen kein Problem da (Laut Stackoverflow etc., hab leider keine RFC gefunden), es ist lediglich "zufällig", welcher zuerst ausgeliefert wird. Im Falle der challenge kann man alle auslesen (dig TXT_acme-challenge.example.com), und dann schauen, ob einer der gesuchten dabei ist.

    SPF ist Problematisch, da unklar ist welcher Record eigentlich gilt, das ist dann aber eine Ebene drüber.


    Viele Grüße

    margau


    Edit: Siehe

    https://community.letsencrypt.…or-acme-challenge/54260/2

    Hallo mainziman,

    Damit wir nicht aneinander vorbeireden: Aus DNS-Sicht ist der Schlüsselcode von LetsEncrypt der Wert, der Schlüssel wäre hier das "_acme-challenge."-Präfix gefolgt von der Domäne, bspw. "example.com" (analog zu den Schlüsseln "_adsp._domainkey", "_dmarc").

    Ich habe das acme.sh-Projekt gerade geclont und einen Beispiellauf mit "./acme.sh --test --issue -d mydomain.de -d '*.mydomain.de' --dns --yes-I-know-dns-manual-mode-enough-go-ahead-please" gestartet, woraufhin ich aufgetragen bekam zwei TXT-Einträge unter "_acme-challenge.mydomain.de" (CCP-Spalte "Host") mit abweichenden Werten (LetsEncrypt-Schlüsseln, CCP-Spalte "Destination") anzulegen.

    Und das Eintragen funktionierte testweise mit Pseudo-Werten auch genau so im CCP (analog zu anderen Beispielen wie TLSA-/CAA-Einträgen). Durchgeführt habe ich die Registrierung nach diesem Lauf nicht (weil ich explizit keine Wildcard-Zertifikate danach widerrufen mag), aber die Erfolgsmeldungen im LetsEncrypt-Forum sind bestimmt nicht geflunkert.

    Hallo,

    sehr ähnlich sah es bei mir aus: 2 unterschiedliche Records unter dem selben Schlüssel/Host,

    das sollte an sich auch Problemlos funktionieren. Probleme gibt es nur, wenn die alle von einem Protkoll (SPF ...) kommen, das das nicht mag.


    Viele Grüße

    margau