Beiträge von xplod

    Alles, was nicht bereits sicher(!) verschlüsselt auf den Server übertragen wird, ist prinzipiell unsicher. Es ist nur eine Frage des Aufwands.

    Ich wage zu bezweifeln, dass ein normalsterblicher User ein sicheres aber trotzdem benutzbares System aufsetzen kann. Mir geht es eher darum, die Hürden für einen Angriff so hoch zu legen, dass es lohnendere Ziele gibt wie mich...


    Ich denke, ich werde ein ecryptfs Verzeichnis auf dem lokalen Laufwerk anlegen, und den Schlüssel dafür im gemounten Storage Space ablegen. Damit liegen dann die Daten zumindest verschlüsselt auf der Platte, und sollten bei einem Übergabe an Dritte unkritisch sein...

    tab: Hier ist die rechtliche Lage doch recht eindeutig: Email-Adressen sind personenbezogene Daten, und dürfen nicht ohne Weiteres weitergegeben werden.

    Die rechtlich saubere Lösung wäre, alle 200 Abonomennten darüber zu informieren, das Anbieter XY als Newsletter-Anbieter verwendet wird, und die Abonemennten dem Zustimmen. Das hätte dann aber wahrscheinlich das Resultat, dass man danach keine Abonomenten mehr hat, weil keiner Bock hat, sich das durchzulesen...


    Aber einfach nur die Emailadressen weiterzureichen, da kommt man schnell in Teufels Küche...

    Ganz zu schweigen davon, dass eine Übergabe der Email-Adressen an einen Email-Dienstleister nicht DSGVO konform ist, und somit abgemahnt werden kann... Bei gewerblicher Nutzung zahlst du dann mal so richtig drauf...


    Ich habe nach meinem Server-Update mittels https://mxtoolbox.com/ solange optimiert, bis keine Probleme mehr gemeldet wurden. Seit dem klappt es auch mit den Emails...

    Die Web-GUI wäre schon recht wichtig, da ich das Teilen doch häufig nutze...


    Aber wenn ich richtig überlege, ist der einzige Anwendungsfall, wo verschlüsselung etwas bringt, der, dass der Hoster nach einem HW-Defekt die SSD nicht verschrottet wird, sondern wieder den Weg in den Markt findet. Dann wären die privaten Daten offen dort, wo ich sie nicht haben will...


    Somit wäre wahrscheinlich die Verschlüsselung des Docker-Root-Ordners die beste (und einfachste) Option... Leider kann ich nicht direkt abschätzen, wie gefährlich es wäre, wenn der Festplatteninhalt meines Servers direkt zugänglich wäre. Mit dem Erzeugen neuer Schlüssel und PWs sollte man das System ja wieder ausreichend absichern können...

    Das hat nicht unbedingt mit Netcup zu tun. Gmail ist extrem aggresiv was SPAM angeht. Damit das klappt, musst du erstmal 2 Dinge tun:

    - In Google den Domain Authentificator anschmeißen und den dort erzeugten Schlüssel in den DNS eintragen (steht aber in deinem Link, wie das geht)

    - Eine DMARC Eintrag im DNS anlegen


    Nachdem ich beides erledigt hatte, hat's ca. ne Woche gedauert, bis die Mails endlich ankamen...

    Ich frage mich halt, ob die Verschlüsselung überhaupt Sinn ergibt. Wird die NC-Instanz kompromitiert, so kann man wahrscheinlich eh auf die entschlüsselten Dateien zugreifen. Wenn die Polizei, warum auch immer, den Server beschlagnahmt, sorgen die schon dafür, dass der Server nicht heruntergefahren wird, also bleibt auch die Partition erstmal entschlüsselt... Sprich würde die Verschlüsselung überhaupt irgendwo helfen, oder ist sie nur eine Leistungsbremse?

    Hallo zusammen.


    Ich würde gerne meinen Server weiter absichern, und als nächstes hätte ich gerne die Daten der Nextcloud (docker container) auf der SSD verschlüsselt.

    Hat jemand schon Erfahrungen damit?


    Welche Technologien gibt es (hätte jetzt ecryptfs auf dem Docker-Ordner angewendet? Frisst die Verschlüsselung viel Performance? Gibt es andere Lösungen?

    Ich würde ungern den ganzen Server verschlüsseln, da das eingeben des Schlüssels für jeden Reboot ein (für mich) unnötiges Risiko darstellt. Deswegen sieht die Verschlüsselung einzelner Ordner deutlich besser aus. Aber erhöht das die Sicherheit überhaupt auf einem V-Server? Oder hat der Admin des Hypervisors dann eh immer Möglichkeiten, auf die Daten zuzugreifen?


    Gruß,

    Dirk

    Liebes Netcup Team.


    Ich würde gerne von meinem RS2000G8 BF19 auf einen aktuelleren RS4000G9.5 wechseln. In den vergangenen Jahren hat es sich immer gelohnt, auf den Black Friday zu warten, um interessante Angebote zu bekommen. Da es sich um eine private Spielwiese handelt, muss ich aber leider auf mein Budget achten...


    Wird es in Hinsicht auf die aktuelle Situation wieder einen BF22 geben?


    Ansonsten vielen Dank für die vielen Jahre an hervorragender Leistung!

    Hallo zusammen.


    Ich würde gerne ein virtuelles Smartphone betreiben, um darauf z.B. Whatsapp, Signal und Co zu installieren, um dann auf meinem Gerät nur Matrix/Element verwenden zu können.

    (Einen Matrix-Server mit WhatsApp und Signal Bridge habe ich schon am LAufen, ich benötige dafür leider immer ein Smartphone, auf dem die WhatsApp-App läuft...)


    Kann mir jemand sagen, ob ich auf einem kleinen vServer einen Android-Simulator betreiben könnte?

    Auf meinem "dicken" Root-Server habe ich versucht, ein Docker-Image mit Android zu starten, bekomme aber Probleme mit der KVM Virtualisierung...


    Gruß,

    _X_

    Hallo zusammen.


    Ich hätte da mal eine Frage an diejenigen, die selber einen TURN Server betreiben (sei es für Nextcloud oder Synapse/Riot):

    Was habt ihr für Erfahrungen damit?

    Ich würde coturn gerne für Telefonie- und Videochat nutzen. Aber leider klappt die Verbindung nicht immer. im Coturn-Log sieht man keine einzige Fehlermeldung, es scheint einfach so, als ob das Herausfinden der Tunnel-IP einfach so lange dauert, dass die entsprechende Software (z.B. Riot für Android) einfach zwischenzeitlich aufgibt.

    Hat jemand von euch ähnliche Erfahrungen? Oder läuft bei euch coturn einwandfrei?


    Also, wenn du es unbedingt machen musst, würde ich es mit solchen Aliasen versuchen:

    Code
    auto ens3:1
    iface ens3:1 inet6 static
          address 2a03:4000:1:2:3::1
          netmask 64
          gateway fe80::1

    Allerdings würde ich dir von den virtuellen IPs abraten.

    Ich hatte gerade erst massiv Probleme, weil die Virtualisierungssoftware beim Standardtreiber nicht mit 2 "einfachen" IPv4 Adressen zurecht kam. Da gab's auf einmal Packet Loss und Verbindungsabbrüche...


    Wäre 6in4, wie es he.net und die anderen noch verbliebenen Tunnelbroker anbieten, eventuell eine Lösung? Dort bekommst Du pro Tunnel einen Prefix, der an ein spezifisches Gateway statisch geroutet wird, womit solche Asymmetrien in aller Regel nicht auftreten können.

    Das Problem ist, dass viele Unitymedia Kunden genau dieses Problem mit meinem Server haben.

    Die Leute mit DSL-Lite haben eine native IPv6 Adresse und müssen IPv6 nutzen, da die IPv4-Tunnel massiv Probleme verursachen.

    Meinereiner mit einer nativen IPv4 Adresse hingegen könnte IPv4 bevorzugen, muss es aber verwenden, da die Cloud-Dienste aufgrund der IP-Knappheit immer mehr auf IPv6 setzen werden...


    Das ist doch zum Mäusemelken... 20 Jahre IPv6, und die Provider kriegen es immer noch nicht flächendeckend fehlerfrei hin???

    Das ist alles sehr seltsam. Das scheint irgendwas mit 6to4 zu tun zu haben (nutzt meine Fritzbox)...


    Nochmal die Kurzform:

    - Meine Fritzbox kann meinen Server nicht per IPv6 erreichen (auch netcup.de nicht)

    - Mein Server kann meine Fritzbox per IPv6 nicht erreichen (kenne leider keine weitere 6to4 Adresse

    - Meine Fritzbox erreicht allerdings ipv6.google.com

    - Über http://www.ipv6now.com.au/pingme.php kann ich meine Fritzbox und den Server erreichen


    Somit scheint Netcup nicht an dem 6to4 Tunnel "angeschlossen" zu sein, den Unitymedia verwendet. Ich frage heute mal nach, ob ich eine native IPv6 Adresse bekommen kann... Hat jemand noch andere Vorschläge?

    Ein Profi kriegt vielleicht ein Serverupdate innerhalb von 15 Minuten hin. Wenn allerdings noch Zusatzsoftware installiert werden soll (Steam, ...) braucht man deutlich länger...


    Für jemanden, der nicht in der Materie drin steckt, würde ich dir raten

    a.) Für einen Monat einen vServer zu mieten, den TS dort zu installieren, und die Domain auf die neue IP umzubiegen...

    b.) (wenn du kurz vor einer Vertragsverlängerung stehst): Bestell dir bei Netcup einen neuen Server, kündige den alten, und installier auf dem neuen Server in Ruhe ein neues OS + Umgebung

    ens3:1 könntest Du Dir eventuell schenken, wenn Windows das auch auf dem Loopback-Interface akzeptiert. Es sollte an sich nichts ausmachen, aber das Interface hat dieselbe Broadcast-Domain wie ens3 und die private IP hat dort IMO nichts verloren. Freilich kannst Du auch das Gratis cloud VLAN dazubuchen und dessen Interface verwenden. Das ist aber nicht das Hauptthema.

    Leider nein. Windows mit IKEv2 hat trotz Tunnel die seltsame Eigenschaft, den Datenverkehr zu dem VPN-Server nicht zu verschlüsseln. Quasi alles, was direkt an die Server-IP geht, geht in Klartext raus. Somit muss es leider eine IP geben, auf die der Server hört, und die in jedem Fall durch das VPN geroutet wird...


    Zitat von eripek

    Die Vorgehensweise mit ICMPv6 solltest Du überdenken. Echo request und echo reply allein genügen nicht für eine funktionierende Neighbor Discovery. https://de.wikipedia.org/wiki/Neighbor_Discovery_Protocol

    Wie gesagt NDP ersetzt ARP in IPv6 und ist Voraussetzung, dass IPv6 überhaupt routen kann. Wenn Dir ip -6 n oder ip -6 n s lauter „incomplete“ Werte ausspuckt, ist das ein sicheres Indiz dafür, dass Du zuviel blockst. Neben Typ 128 und 129 sollten schon auch zumindest Typ 135 und 136 zugelassen sein. Typ 2 ist bei abweichenden MTUs unentbehrlich - ist nur die Frage, ob der Rechner auch als Router fungiert - VPN deutet darauf hin.

    Ich habe jetzt spaßeshalber alle ICMP Pakete erlaubt, das ändert auch nichts.

    Kann es denn überhaupt eine Fehlkonfiguration sein, wenn z.B. http://ipv6-test.com und https://lg.netcup.net/ die IPv6 richtig auflösen können?


    Mein Server löst z.B auch netcup.de zu "2a03:4000:e013::" auf, mein Rechner zuhause hingegen kann diese IPv6 nicht auflösen...
    Also sieht es so aus, als ob Unitymedia Probleme mit allem hat, was aus dem Netcup Bereich kommt, aber warum bin ich der einzige, dem das auffällt? Kann das mal jemand, der auch bei Unitymedia Kunde ist, verifizieren?

    Dass IPv6 Adressen 128 Bit breit sind, schenke ich mir mal. Die 64 Bit auf die du abzielst, sind wahrscheinlich die Subnetzmaske.

    Meinetwegen. Ich meinte den mir zugewiesenen Adressbereich...


    Betriebssystem: Ubuntu 16.04 LTS

    Netzwerk-Konfig ens3 (Treiber steht im SCP auf virtio, Komplett statische IP-Adressen (kein DHCP))

    ens3: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc pfifo_fast state UP group default qlen 1000

    link/ether (mac) brd ff:ff:ff:ff:ff:ff

    inet (ipv4)/22 brd 185.228.139.255 scope global ens3

    valid_lft forever preferred_lft forever

    inet 10.1.1.1/24 brd 10.1.1.255 scope global ens3:1

    valid_lft forever preferred_lft forever

    inet6 (ipv6)/64 scope global

    valid_lft forever preferred_lft forever

    inet6 fe80::3845:5dff:fe8c:b529/64 scope link

    valid_lft forever preferred_lft forever


    ens3:1 wird für einen Zugriff von Windows über einen VPN Tunnel benötigt...

    ip6tables hat die Default-Policy DROP, ICMP echo-request und echo-reply sind explizit freigegeben.

    Bei Teamspeak z.B. sind die gleichen Ports für IPv4 und IPv6 freigegeben, und über IPv4 kann ich mich verbinden, IPv6 klappt nicht.


    Lustigerweise gibt es Leute, die sich über IPv6 verbinden können (z.B. über 1+1). Das Netcup-Lookingglas kann per ping6 normal auf den Server zugreifen...


    Es sieht so aus, als ob irgendeiner der großen Routing-Dienstleister meinen Adressbereich nicht auflösen möchte/kann. Aber ich wüsste nicht, wen man diesbezüglich fragen bzw. eine Störung melden könnte...

    Der Reverse Eintrag (ip6.arpa) hat nichts, aber schon gar nichts mit dem Routing zu tun.

    Das im SCP angezeigte IPv6-Prefix ist nicht durch Dich selbst änderbar.


    Sind weitere Zuteilungen vorhanden (gebuchte zusätzliche Präfices, Failover-Subnets?)

    Nein, keine weiteren Zuteilungen...


    Erstaunlicherweise hatte ich gerade wieder einen Connect über IPv6 aus dem 1+1 Netz. Somit scheint irgendwie Unitymedia Probleme zu haben. Aber warum bin ich der einzige, der das bemerkt?