Posts by NieSommer

    MTU bei Kabel auf IPv4:

    1500 – 20 Bytes (IPv4) – 8 Bytes (UDP) – 32 Bytes (WG) = 1440 Bytes


    Bei IPv6 40 Bytes abziehen anstatt 20.


    Aber mal der Reihe nach.

    1. ICMP (Ping Echo Response) temporär auf WAN erlauben

    2. MTU am WAN Interface Zuhause und in der Remote Firewall auf 1500 setzen

    3. Prüfen mittels MTU-Checker (Google kennt mehrere)

    4. Entweder es passt direkt, oder du reduzierst die MTU bis es genau passt.


    Die WG MTU ist 60 (IPv4) oder 80 (IPv6) bit weniger als die WAN MTU.


    Solltest du ganz seltsame UDP Probleme haben, die sich nicht greifen lassen:

    Hast du von DS Lite auf DS umstellen lassen? Im Zweifel mal den Support anrufen und um Abschaltung von "DS LIte" bitten.

    Bei mir hat danach UDP zuverlässig funktioniert.


    Hint1: Bei einem DSL Anschluss noch einmal 8 bit abziehen.

    Doppelte NAT müssten weitere Abzüge erfordern. Aber sowas machen wir ja nicht...


    Hint2: UDP und Wireguard über Mobilfunk ist oft reine Glückssache. Ich hab damit letztes Jahr ganz schlechte Erfahrungen gemacht. Da wird bei Last der UDP Traffic richtig fies gebremst.


    Hint3: Site2Site, wo die FW selber routen muss erfordert meistens eine explizite Definition der Gateways. Wenn du nur WG intern routest via Keys, dann ist das ziemlich egal. Aber wenn du Netzwerkgrenzen überschreiten willst reicht es einfach die Gateways passend zu den WG interfaces anzulegen.


    So hab ich bei mir WG richtig stabil bekommen.

    Vielleicht ist das auch eine brauchbare Lösung für dich:

    Ich hab zwei ältere NAS von Synology dafür genutzt. Das eine erstellt mittels installiertem Agent brauchbare, inkrementelle Backups.

    Das Backup wird dann von ersten NAS auf das zweite repliziert.


    Die Backup Software von Synology echt gut und läuft eben auch auf dem WIndows Server kostenlos.

    I would recommend using a cluster of servers for such a large database.

    But we warned, running clusters is not that easy or cheap for production use cases.

    You could also start to think about big data solutions in this context.


    Or... You might be better off with reducing your data.

    For my metrics, I usually keep only the data for the last 14 days.

    Older data gets aggregated to average values. Like hourly values instead of every x seconds.


    At the end, it depends on your use case, database type and data. Most times it is wise to use a specialized database for time series data instead of simply scaling up a relational database like MariaDB or MSSQL But talking about such big databases, I guess you already made this step.

    Aktuell würde ich nach Intel N6005 suchen mit mindestens 4 Intel NICs mit jeweils 2.5 Gbit.

    Kostenpunkt bei 8GB RAM (mehr brauchst du bei ner Firewall definitiv nicht) sollte so bei 350 Euro liegen.

    Das ist erhelblich günstiger als bei Netgate und reicht fürs Heimnetz mehr als aus.


    Dummerweise wurde das Ding auf Youtube von den Influencern ziemlich gefeiert und ist vergriffen aktuell.


    Ich habe einige 10Gbit Geräte und bin deswegen direkt auf ein Netgate Gerät mit passenden Anschlüssen gegangen.

    Allerdings mache ich ausgerechnet kein Inter-VLAN-Routing zwischen den 10Gbit Geräten, daher hätte es eigentlich gereicht wenn ein externer Switch das VLAN intern macht und fertig. Vielleicht ist es ja bei dir ähnlich.

    Mein Vorschlag:

    Route über deinen VPN Server nur den Traffic zwischen den LAN Netzen und NICHT den Traffic fürs Internet.


    Einfache Sache:

    Gibt jedem LAN eindeutige IPs.

    Trage bei AllowedIPs nur die internen IP Adressen der jeweils entfernten Netzwerke ein und deines VPN Servers.


    Double checken:

    VPN Server muss IP forwarding erlauben

    Alle können sich zum VPN Server verbinden

    Firewall des VPN Servers so einstellen, dass da Traffic zu den jeweiligen Zielen geroutet werden kann.

    Die clients sollten ein KeepAlive senden, wenn keine Portfreigabe am Router vorhanden ist.


    Das geht definitiv alles mit Wireguard. Ich mach damit deutlich schlimmere Sachen...


    Wenn du nicht wirklich auf die Konsole willst kannst du dir auch eine kleine VM mieten und einfach PfSense oder OpnSense installieren.

    Die kannst du als VPN Server verwenden und die Firewall Regeln sind einfacher einzustellen. Die Firewall kannst du dann nutzen um deine teurere VM zusätzlich zu schützen.

    Schön zu hören ;) Ich lasse mich überraschen


    Da sehe ich aktuell keinen Vorteil zu Unbound als DNS Resolver auf allen Kisten der im Zweifel auch noch gecachte bereits abgelaufene Antworten liefern kann. Irgendwo her muss die Firewall Kiste dann ja auch wieder die Einträge bekommen und eigentlich 2 davon wegen SPOF. Klar kann ich CF, G00gle und Co. in meine resolv.conf eintragen, aber eigentlich will ich dass mein Cluster bei Verlust der externen Konnektivität nicht direkt Amok rennt ( Erfahrungen aus dem Berufsleben )-

    Unbound auf der PfSense hat mehrere Vorteile:

    1. Du hast eine GUI und bessere Beschreibungstexte.

    2. Du kommst nicht in eine Schräglage durch abweichende DNS Antworten. Das kann dir zum Beispiel passieren, wenn ein CDN oder Cloudanbieter für 2 IPs unterschiedliche GEO daten hat und nicht auf die gleiche Region matcht. Das ist mir tatsächlich schon mehrfach passiert und das will man einfach nicht haben.

    3. Am Caching und asynchronen Nachladen ändert sich ja nichts. Deinem Cluster ist es ja egal wo er den DNS Eintrag herbekommt. Zumal viele Cluster selbst interne DNS Server betreiben.

    4. Resolver pro Server verursachen unnötigen Traffic und Last. Das macht man nicht und die Dienstanbieter bitten auch deutlich darum, das nicht zu tun. Dann lieber einen Public DNS Eintragen und Forwarden.

    Du kannst dir z.B. eine PfSense Firewall auf einen zweiten kleinen Server installieren und beide mit einem VLAN verbinden.

    So kannst du einrichten, dass Traffic an deinen Mailserver erst durch die Firewall hindurch muss.


    Benefit:

    Du kannst z.B. mittels Suricata traffic analysieren und blockieren.

    Du kannst mit PfBlocker z.B. als böse gelistete IPs blockieren.

    Du kannst bequem VPNs aufsetzen, um einen nicht öffentlichen SSH Zugang auf deinen Mailserver zu haben.


    Das ist aber eine Lösung, die deutlich mehr Einarbeitung erfordert.

    Du kannst natürlich auch eine IPS Lösung nativ installieren. Suricata kann man auf den meisten Systemen betreiben, also zusätzlich zur rudimentären Firewall wie ufw.

    Wenn man mehrere Server bei Netcup hat lohnt es sich vielleicht einen weiteren als Firewall (z.B. Pfsense, OpnSense) und Service Provider einzusetzen.

    Ich nutze die Firewall einen DNS Resolver zu betreiben und um einen zentralen Zeitserver zu haben.

    Das hat den Charme, dass ich manche DNS Einträge gezielt von Dritten auflösen lassen kann, um zum Beispiel auch "Private DNS" von Cloudanbietern bequem nutzen zu können. Die Einträge kurz zu flushen ist natürlich auch kein Problem...


    Wenn man keine Firewall benötigt, dann ist das natürlich ein wenig über das Ziel hinaus...

    Windows Server hat die relevanten Features schon nach der Installation aktiv.

    Dein Administrativer Benutzer sollte nicht admin heißen. Erstelle einen neuen admin Account, benenne ihn schwer erratbar OmisKatze oder sonst was.

    Deaktiviere den ursprünglichen administrativen account.

    Generiere dir ein sicheres Passwort mit Keypass.


    Das war die Pflichtübung.


    EIne 1+ mit Sternchen gibts wenn du den RDP nur via VPN zugänglich machst.


    Von da an heißt es munter Updates installieren und Backups machen. Letzteres mindestens einmal pro Tag.

    Hi,

    Gleiche Problem hatte ich ebenfalls urplötzlich. Ebenfalls mir einem 2012 R2 System auf einem G6 Server.

    Bei mir hat auch das setzten des UTC Registry Flags nichts gebracht. Als letzter Ausweg mach ich den Time Sync alle 15 Minuten + direkt beim Remote-Login.

    Mittelfristig bin ich dann auf ein G7 mit Windows Server 2016 migriert und es gibt keine Probleme.


    Ob das Problem nun durch eine Änderung am Host oder durch ein Windows Update verursacht worden ist kann man vermutlich nicht ohne erheblichen Aufwand sagen. Es ist aber spannend dass noch jemand dieses Problem hat.

    Abgesehen von kleinzeug wie EMails verwende ich den Server für kleine Technologiedemos oder weil mich irgendwas ausreichend stark genervt hat.


    Als kleines Beispiel:

    Im Sommer hat es an meinem Arbeitsplatz gut und gerne mal über 30 Grad.

    Arbeitgeber scheuen Veränderungen, daher sollte man schon sachlich belegen können.


    In ein paar Büros werden bei uns nun Temeraturen aufgezeichnet. Zum betrachten der Werte habe ich eine Webseite bereitgestellt, wo man mittels Charting-Framework die Werte analysieren kann.

    Da die Kollegen immer was zu meckern finden wurde noch ein professioneller Wetterdienst angebunden, welcher Echtzeitwerte liefert. Und wenn man schon sowas hat, dann hat baut man gleich noch einen richtingen Echtzeitpush auf die Webseite. Und wenn wir schon beim Pushen sind - ach dann sollen die Werte der Sensoren auch gleich mit Pushen.


    Ein anderes Thema war die Dokumentation von Datenbanken. Professionelle Tools sind viel zu teuer und man kann das ja auch wunderbar in Confluence und Excel pflegen... *hust*

    Also wieder ein Tool gebaut das die Datenbankstruktur analysiert und wo man vernünftig Dokumentation pflegen und durchsuchen kann. Da ging es auch darum Datenquellen und Senken mit zu Dokumentieren.


    Das peinliche an der Geschichte mit dem Server ist, dass ich für solche Prototypen echt viele tolle Ideen habe. Aber daran welchen Inhalt ich auf meine Hauptdomain werfen soll, darüber grübele ich seit 7 Jahren ohne Pause und bis heute ist da nichts... :D

    Ganz ehrlich, mir gehen aktuell die Ideen aus.


    Nur um sicher zu gehen:
    Fahre den Server mal komplett herunter und starte ihn übers Webinterface neu. Sinn dahinter ist dass KVM den Container noch mal neu initialisiert, was bei einem reinen Restart von Windows nicht passiert.
    Wenn er läuft schieb ne Testseite in den IIS und versuch deinen Server mal so zu erreichen. Wenn du eine Domain hast kannst du auch diverse Webanalyse Tools drauf los lassen.


    Ansonsten bin ich leider Ratlos.

    Meinst du damit ich soll den e1000 (Intel Pro...) anstatt den virtio im VCP einstellen?! Das hatte ich auch schon versucht, allerdings noch nicht vor einer Neuinstallation, sondern bisher immer erst nachdem ich gemerkt habe, dass es mit virtio nicht geht!

    Genau das mein ich. e1000, keinen extra Treiber während der Windows Installation fürs Netzwerk laden. Um die anderen extra Treiber kommt man meines Wissens nicht herum.

    Danke für deine Antwort.


    Vermutlich hätte ich noch dazu sagen sollen das Docker eine Virtualisierung ist und unter Windows2016 Hyper-V vorraussetzt.
    Auf dem Papier kann man ja Virtualisierungen innnerhalb von Virtualisierungen betreiben, allerdings kommt man schnell in unruhiges Wasser wenn man verschiedene Produkte kombiniert.


    Einfachstes Beispiel ist wenn die Prozessorflags für die Virtualisierung nicht weitergereicht werden.