Posts by alhazred

    Danke für die Präzisierung. Genaugenommen wirkt es sich auf das Tun/Tap-Device aus, das den Tunnel repräsentiert.

    Wie dronedale angemerkt hat, ist das für die Nutzung mit Mobilfunkprovidern eher keine Option.

    Seit der Version 2.4 müsste OpenVPN doch Dual Stack tauglich sein. Hm, ich glaube ich weiss was ich die Tage mal testen muss :)

    Mssfix in OpenVPN kann einen Sekundärparameter bekommen, benötigt ihn aber nicht zwingend. Afaik ist die MSS typischerweise MTU - 40 Byte.

    Die Option wirkt sich allerdings nur auf TCP aus, nicht auf UDP. Siehe: https://de.wikipedia.org/wiki/Maximum_Segment_Size

    Das stimmt. In diesem Fall auch, aber für TCP im Tunnel.

    The –mssfix option only makes sense when you are using the UDP protocol for OpenVPN peer-to-peer communication, i.e. –proto udp.

    Ok, man muss sollte dann auch noch die MTU anpassen (das hätte ich auch noch dazu schreiben sollen). Man muss halt bei den DSLite Zugängen etwas testen.

    Die Verbindung hier auf v6 umzustellen, würde ggf. am besten sein.

    Ich habe nen KVM beim (Weltweit Platz3) nur für TS3. Und die schalten erst bei Angriffen den Filter an. Bei mir kam auch nie einer durch. Man wird direkt per Mail benachrichtigt.

    Alles nur eine Frage der Bandbreite, Geldes, Interesses. Wenn man es wirklich darauf anlegen will, dann schafft man es auch solche Provider (und sei es nur "kurzzeitig") in die Knie zu zwingen. Frag mal github. Da waren es 1.35 Terabyte pro sec. in der Spitze. Wenn du nur einen TS3 Server willst, dann bis du (IMHO) besser bei einem TS3 Anbieter aufgehoben.

    Bei einem Kunden habe ich mssfix auf 1300 eingestellt, da auch beim ihm am DSLite Anschluss der Durchsatz nicht so berauschend war.

    Du kannst natürlich den Server auf beides horchen lassen, v4 sowie v6. Der Tunnel vom DSLite Anschluss kommt über v6 und intern wird halt ein v4 aufgebaut.

    Andere Clients könnten weiterhin mittels v4 sich verbinden.

    Felix kann da auch nicht viel machen. Das Problem liegt auf der anderen Seite. Ich darf meine Systeme auch immer wieder versuchen bei MS freizuschalten.

    Ich lasse den MX freischalten, es geht eine Zeit lang. Dann ist nur wenig Trafic rüber zu MS. Nach einer Zeit landet das System (ohne was zu tun) wieder auf der Liste. Es reicht wenn einer deiner IP Nachbarn als Spam Sender (oder selbst einer deiner Empfänger kann das ja auch aus Spass machen) markiert wurde. MS sperrt dann einfach ganze Netze.

    Oh vielen Dank, ich hatte noch nie einen Server und wusste nicht, dass ich Windows noch installieren muss. Dann werde ich es nochmal versuchen.

    Die Gefahren sind mir nicht bwusst. Ich benötige des Server nur, um ein Programm zu öffnen und laufen zu lassen.

    Vielen Dank für eure Hilfen. Ich hoffe, ich bekomme es nun hin :)

    Ach brauchst keine Angst haben wenn du ein komplett gepatches Image für Windows (mit allen aktuellen Updates, Security Einstellungen, Firewall, sichere Kennwörter, MFA usw.) fertig hast, bevor das Dingen online ist, sollte alles gut gehen. Sonst könntest du (im schlimmsten Fall) einen guten Anwalt brauchen.

    Schaue dir das einmal mit den DevTools (z.B. Chrome) an.

    Bezogen auf neu:

    Das ist der Link der Vereinskachel: https://test.vkm-aachen.de/fil…der_vkm/Kachel_Verein.jpg

    Das ist der Link der Kachel daneben: https://test.vkm-aachen.de/fil…75702088_M_528dfef2f2.jpg

    Und das ist der Link auf der alten Seite zur Vereinskachel: https://alt.vkm-aachen.de/file…hel_Verein_dd2ac4f292.jpg

    Was ist das für ein CMS? Gibt es eine Möglichkeit der Wartungsjobs oder so?

    Also, ich vermute (wie gesagt, ich vermute) du hast das Problem einmal gehabt, als du ein Backup per phpmyadmin einspielen wolltest. Das Problem hier ist (es kann, muss aber nicht), dass die Max Script execution time (AFAIK müsste da so heissen) zu gering ist.

    Ein Backup solltest du jederzeit machen können. Hierbei immer schauen, das man das Backup vielleicht als zip/gz erstellt. Die meisten WP Backuptools speichern dieses (auch wieder AFAIK) im Web und da kann man das dann herunterladen.

    Wenn du eh einen vServer willst (unterschätze nicht den Admin Aufwand), dann ist das nach einem erfolgreichen Backup kein Thema mehr, dieses wieder einzuspielen.

    Ich bekomme kaum Spam (ISP mit etwas angepassten Regeln). Ich bin halt mit ISP zufrieden, da ich etwas mehr verwalte und der etwas geübtere Kunde das auch selber machen kann.

    Es gibt im ISP Forum eine Anleitung für den Umstieg auf rspamd. Das soll in Zukunft auch der Standard Filter sein.

    Oh doch war er am 2019-07-14 T 23:41:14.662762

    Code
    1. 3306
    2. tcp
    3. mysql
    4. MySQLVersion: 5.7.26-0ubuntu0.18.04.1

    Den aktuellen ist Zustand kenne ich nicht, ich habe mir einfach den Scan deiner IP bei Shodan angeschaut.

    Ach, da schon gelistet? Dann herzlichen Glückwunsch.

    Für Dinge die nicht auf Webservern laufen gibt es auch immer andere Lösungen. Man kann ja ruhig einen Server nutzen, aber die Dienste müssen nicht in die Welt posaunt werden.

    Wenn Leute abhängig von mir sind muss ich dann noch mehr darauf aufpassen.

    Einzelfälle dieser Art können dich den Kopf kosten. Da braucht (wie schon erwähnt) nur ein "Assi" das mal ausnutzen. Das mit dem SSH war hier in dem Rahmen "witzig" (nein ich war es nicht), aber es zeigt halt die Möglichkeiten. Ein "Assi" hätte sich einfach eine Backdoor installiert und bis du das bei der Last des Servers bemerkt hättest, wäre es im schlimmsten Fall existenzzerstörend gewesen.

    Vielleicht erst einmal zuhause alles in Ruhe testen und dann nach extern schieben.

    Das Problem ist halt z.B. das gewisse Provider (nennen wir die mal MS) gern schnell ganze IP Netze sperren, wenn nur eine IP aus diesem negativ auffällt. Es gibt auch andere Provider die auch bei bösen IPs mal links und rechts schauen.

    Wo wir das gelernt haben (bezogen nur auf mich):
    Im Studium, aber nicht in den Vorlesungen. Zwar auch durch testen usw. aber in gesicherten Umgebungen. Damals war das noch etwas komplizierter als heute mit VM Lösungen. Mittels einer VM (oder mehreren) kann man ganz viel erreichen. System aufsetzen und dann einfach mal mittels nmap usw. schauen was alles auf ist. Dann kann man sich auch noch die (inzwischen guten) Anleitungen bzgl. Hardening anschauen und anfangen diese mal umzusetzen. Und zuletzt (gemäß nach dem Motto ZDDK) nachdenken und vielleicht einfach vorher mal fragen. Was könnte passieren, wenn ich einen Cloud Torrent Dienst ungesichert laufen habe und das kriegt jemand mit....


    Ach, außerdem kann man einen offenen Server im RZ auch gut dazu nutzen, weitere intern anzugreifen. Einen guten Hopping Point weiss man zu schätzen.

    Wenn du selber in der IT tätig bist, dann bis du dir ja auch der Gefahren bewusst.

    Also entweder den Server zuerst ohne Netzwerk installieren und dann alle Dienste erst einmal abstellen bis du das System aktualisiert hast. Dann FW bis aufs VPN zumachen und die AD Dienste nur auf der internen Schnittstelle laufen lassen. Oder du mietest dir noch einen zweiten RS, installierst da dir ein Linux (pfsense mit OpenVPN) und bindest den Windows Server nur über das interne VLAN an.

    Was willst du auf dem Server hosten?

    Das Problem ist, solange die letzten Updates nicht installiert sind, kann es immer wieder zu Attacken kommen. Das in diesem Fall sicherste (solange zu keinen 2ten Linux Server als Proxy nutzen kannst) ist, erst einmal ohne Netzwerk über die KVM zu installieren und dann zuerst die Firewall komplett einzuschalten und keine Dienste nach außen freizugeben. Dann kannst du alle Updates installieren. Ich weiss nicht ob man ein Image mit den Updates hochladen und dann ohne Netz installieren kann.

    Aber am besten:

    Suche dir jemanden der dir hilft oder lerne das vorher in einer VM. So bis du für alles verantwortlich was mit diesem Server geschieht.

    Es muss noch nicht einmal verbrannt sein. Im Bereich Root Servern kann NC nichts machen, außer diese im Abuse Fall zu sperren (so wie auch andere Provider es machen). Das letzte Beispiel ist doch keine 2 Tage her hier im Forum. Server aufgesetzt, nichts gemacht und schon gehackt.

    Anbieter wie MS gehen dann halt mit der Holzhammer Methode vor. Eine IP macht Stress, also werden direkt Class C Netze gesperrt.

    tab Und genau diese Fälle sind der Grund, warum ich seit >20 Jahren meine Domains komplett separat verwalte (mit eigenen DNS bei einem Dienstleister). Ich versuche auch Provider zu vermeiden, wo ich keine externen Domains nutzen kann. Beim WCP muss ich leider etwas passen. Das war hier meine letzte Info :)