Konnte mich noch nicht von meinem "VPS 50 G7" trennen und habe ihn mal als zusätzlichen Server für meine ansible Spielereien (managed host) genutzt.
Werde ich wieder lassen, ist echt lahm - läuft aber prinzipiell mit fedora 34, podman + docker-compose.
Von den 30GB sind noch 25GB übrig - gar so schlimm ist der Platzverbrauch von docker / podman also gar nicht. Der Memory ist Übel #1, die CPU natürlich auch keine Wucht. Dafür ist er mit 0,79€/Monat eine Abgabe nicht wert
> Nur mal zum Verständnis: Wenn 10.1.100.0 auf 10.1.110.0 zugreifen soll und umgekehrt, muss es dann nicht 10.1.100.0/16 und 10.1.110.0/16 sein (statt /24)?
Ich kenne den SW Stack nicht - aber eigentlich gehe ich davon aus das beide Netzwerke über die VPN Endpoints geroutet werden - dann wäre /24 schon richtig. Mit /16 müssten sich alle Rechner direkt (layer 2) sehen, denke ich. Und das ist nicht der Fall.
Gib doch bitte mal den output von "ip r" auf jeweils einem client der beiden Seiten. Damit sieht man die definierten routen.
Das sieht auf meinem 'router' z.B. so aus:
# ip r
default via 192.168.178.1 dev eth0
192.168.176.0/20 dev eth0 proto kernel scope link src 192.168.179.2
192.168.200.0/24 via 192.168.177.124 dev eth0
192.168.178.0/20 ist mein Heimnetz [192.168.17[6789] sind da enthalten
192.168.200.0/24 ist mein VPN Netzwerk (also z.B. mein handy wenn es unterwegs ist). Das Netzwerk liegt ausserhalb von 192.168.176.0/20
192.168.177.124 ist ein container der auch eine IP im 192.168.200.0/24 Netz hat.
-> Lokal via /20 spricht jeder direkt an
-> Ins VPN (192.168.200.0/24) muss er über den vpn container (192.168.177.124)
-> Wenn das nicht ausreicht um an die Zieladresse zu kommen wird über 192.168.178.1 (Fritzbox) geroutet
So in der Richtung muss das aufgedröselt werden, meine ich. Wenn die Fritzboxen VPNs bauen erscheint das einfacher, weil das routing intern gehandelt wird. Ggf. kann man aber auch dort (also auf dem default gw) noch eine Route via 192.168.177.124 definieren, ich meine die Oberfläche gibt das her.
Frohe Verwirrung (sorry),
ItsMee
Hi,
welches NetCup Produkt verwendest du? Mir erscheint die fehlende Authentifizierung fragwürdig - ich bin aber immer heilfroh wenn ich nach einem Gerätetausch wieder ans Postfach komme, also kein Profi.
Gab es eine Fehlermeldung / was genau war das Problem?
Die entsprechenden Wiki Einträge kennst Du?
https://www.netcup-wiki.de/wik…zum_Einrichten_in_das_WCP
ItsMee
Letztendlich steht es NetCup frei was sie wem / wie oft und ob überhaupt anbietet.
Das momentane Konzept (ewiges suchen nach dann nicht vorhandenen Angeboten in Kombination mit dem Gerücht das einzelne ungebührlich 'Absahnen') fühlt sich aber für mich als 'Normalo' mit Spass am Schnäppchen nicht spassig an.
Vielleicht wäre eine Limitation pro Teilnehmer doch am schnellsten / sinnvollsten umzusetzen. Oder ich sollte auch die Spielumgebungen regular kaufen & weniger Zeit mit NetCup Marketing verbringen.
ItsMee
Geht mir ähnlich - würde mich über einen Tip zum "VPS Ostern L OST21" freuen..
ItsMee
Ich suche schon den halben Tag nach VPS, aber alles was ich finde sind RS.
Akzeptierte Anwort, danke!
*schubs*
Würde mich immer noch über einen Kommentar von netcup freuen.
Grüße,
Alex
Hallo,
mir ist aufgefallen das zwei meiner Container nicht mehr sauber mit dem von NetCup bereitgestellten Mailserver kommunizieren. So sagt z.B. imapfilter
# /usr/local/bin/imapfilter.sh
# imapfilter: initiating SSL connection to mxf948.netcup.net; error:1425F102:SSL routines:ssl_choose_client_version:unsupported protocol
# imapfilter: login request to xxx@xxx.de@mxf948.netcup.net failed
# stack traceback:
# [C]: in ?
# [C]: in function 'error'
# /usr/share/imapfilter/account.lua:81: in function '_check_result'
# /usr/share/imapfilter/account.lua:97: in function '_login_user'
# /usr/share/imapfilter/account.lua:59: in function 'IMAP'
# /root/.imapfilter/config.lua:5: in main chunk
# imapfilter: initiating SSL connection to mxf948.netcup.net; error:1425F102:SSL routines:ssl_choose_client_version:unsupported protocol
Wenn ich das MinProtocol von TSLv1.2 auf TLSv1.0 heruntersetze funktioniert die Verbindung wieder.
cat /etc/ssl/openssl.cnf |grep -i tls
MinProtocol = TLSv1.0Dazu habe ich jetzt zwei Fragen:
- Bei der Suche habe ich diverse Empfehlungen gesehen TLSv1.0 abzuschalten. Ich bin kein Sicherheitsfanatiker, aber bevor ich die clients anpasse wäre die Frage ob ich Serverseitig Einfluss nehmen kann / etwas geplant ist.
- Der zweite Container versteckt noch vor mir wo das MinProtocol gesetzt wird.
Kommentare / Verbesserungen / Hinweise welcome.
Alex
Vielleicht blauäugig oder leicht off topic - aber ich stehe ja auf Port knocking.
Gibt es in diversen Variationen, auch als Dienst oder / und mit einer Sequenz von Ports. Für den gelegentlichen ssh Zugriff halte ich das für mehr als ausreichend sicher.
## Knock on 5226 required! (e.g. "ssh host -P 5226 &")
-A INPUT -p tcp -m tcp --dport 5226 -m recent --set --name SSH --mask 255.255.255.255 --rsource -m comment --comment "SSH Knock"
## sequential port scanning will check this port - and close the open Port again
-A INPUT -p tcp -m tcp --dport 5225 -m recent --remove --name SSH --mask 255.255.255.255 --rsource -m comment --comment "SSH Knock"
-A INPUT -p tcp -m tcp --dport 5227 -m recent --remove --name SSH --mask 255.255.255.255 --rsource -m comment --comment "SSH Knock"
## Only if knocked within the last 30 seconds - ssh is open
-A INPUT -p tcp -m conntrack --ctstate NEW -m tcp --dport 5229 -m recent --rcheck --seconds 30 --name SSH --mask 255.255.255.255 --rsource -j ACCEPT -m comment --comment "SSH when Knocked"
-A INPUT -p tcp -m conntrack --ctstate ESTABLISHED -m tcp --dport 5229 -j ACCEPT -m comment --comment "SSH Knock when established"Dazu dann natürlich noch ein Drop all auf dem entsprechenden Interface - IPv6 nicht vergessen.
ItsMee
Fiese Sache - crontab debugging. Bei mir liegt es i.d.R. an einem nicht gesetzten Pfad, d.h. ich rufe "meinScript.sh" auf, /usr/local/bin ist über .bashrc gesetzt, fehlt dann aber wenn ich via cron aufrufe.
Einen solchen Fehler sehe ich bei dir auf Anhieb nicht - aber vielleicht liegt es ja z.B. an config files für ssmtp die nicht gesourced werden? Schau doch mal was da includiert werden muss, und lass dir ggf. die gesetzten Variablen ausgeben ("set > /tmp/log.file" ) um sie mit deiner funktionierenden Variante zu vergleichen.
Grüße,
ItsMee
Hi,
Du lagst richtig - an anderer Stelle habe ich einen Pfad wie von dir beschrieben gefunden. Damit klappt auch htpasswd 1a. So richtig klar ist mir nicht wofür der Inhalt der Xe steht - aber da ich den für mich passenden Pfad jetzt kenne brauche ich das evlt. auch nicht zu verstehen.
Respekt für die Frage nach den Linebreaks - kreative nach Problemen gesucht!
/var/www/vhosts/hostingXXXXX.afXXXXX.netcup.net/httpdocs/
/edit/ Auch kapiert - findet man im WCP als Default domain /edit/
Danke Dir!
ItsMee
Strange,
klappt auch per copy & paste bei mir nicht. Vielleicht noch ein accountsetting? Habe aber gesehen als 2tschönste Lösung gibt es eine WebOption 'passwordgeschützte Verzeichnisse' im WCP.
Bin aber noch experimentierfreudig wenn es weitere Tips gibt..
Alex
Habe mich doch nur mal umgedreht und schon eine Antwort - man seid Ihr schnell
Der Tip mit php.ini war gut - so habe ich es jetzt probiert.
AuthUserFile /var/www/vhosts/system/DOMAIN.de/httpdocs/.htpasswdWas du mit den xxxen meinst hat sich mir nicht erschlossen. Aber die phpinfo zeit mir das hier als php.ini
AuthUserFile /var/www/vhosts/system/DOMAIN.de/etc/php.ini
Klappt leider immer noch nicht 
Alex
Hi,
ich versuche einen Basis Passwortschutz zu implementieren - und denke das ich nicht den richtigen Pfad kenne. Habt Ihr Tips für mich?
Der Passwortpromt kommt, aber ich finde keinen Weg eine valide user/passwd zu generieren.
# .htaccess-Datei für Web-Verzeichnis
BasicAuthName "Password Required"
AuthUserFile .htpasswd
Require myuser
Das habe ich noch probiert - gleiches Ergebnis.
AuthUserFile /httpdocs/.httaccess
Ich vermute es müsste so aussehen, da appache nicht in meinem chroot environment läuft. Ich war überrascht nichts derartiges in der wiki / forum zu finden, vielleicht liege ich falsch?
AuthUserFile /..whatever_real_path../httpdocs/.httaccess
Ich habe eine valide .htpasswd mit einem sehr einfachen temporärten Passwort.
cat .htpasswduser:$1$rx[wKD@a$Vae8CQSBHf3390yKSVqVg.Thanks!Alex
