Beiträge von xplod

Zitat von CmdrXay

IPv6 solltest Du auf dem Server statisch konfigurieren, damit fallen eine Vielzahl von Problemen weg:

Alle IP-Adressen (je eine V4 und V6) sind statisch konfiguriert.

Beim Server war eine IPv6 Address-Range von 64Bit enthalten, diese gehört auch zu Netcup (2a03:4000::x)

Im SCP habe ich die Adresse gelöscht und neu angelegt, aber das hat scheinbar nichts gebracht.

Im SCP ist als gateway fe80::1 angegeben, diese habe ich so übernommen. Wenn ich eine IPv6 IP traceroute ist 2a03:4000:23::2 der erste Hop.

Ein Traceroute auf ipv6.google.com wird komplett aufgelöst. Ein traceroute auf meine Fritzbox hingegen nicht...

Auch meine Fritzbox kann ipv6.google.com auflösen (allerdings mit anderer IP). Die Verbindung zu meinem Server klappt aber auch nicht.

Bei einem traceroute von meinem PC auf meinen Server sehe ich nichts, was ansatzweise nach Netcup aussieht (dafür sehr viele Sternchen)...

Über https://www.subnetonline.com/p…ools/online-ipv6-ping.php wiederum kann ich meinen Server erreichen.

Es sieht also so aus, als ob Deutschlandweit irgendwo eine Vermittlungsstelle abgebrannt wäre...

Ich habe gerade spaßeshalber mal einen DNS-Lookup für Netcup gemacht, und auch deren IPv6 (2a03:4000:0:0:0:0:0:e013) kann nicht angepingt werden...

Hat niemand von euch das gleiche Problem? Hab ich meine IPv6-Rechnung nicht bezahlt :heul:

Hallo zusammen.

Ich habe seit gestern ein eigenartiges Problem:

Eine Verbindung von extern auf meinen Server per IPv6 Adresse klappt nicht mehr.

Jedes ping6 oder traceroute6 arbeitet der Server ohne Probleme ab, (ipv6.google.com z.B.)

Problematisch wird's, wenn ich mich auf den Server verbinden will: Dann sagt mir leider jedes Tool "Netzwerk nicht erreichbar".

Auf dem Server läuft ein VPN (StrongSwan), das auch IPv6 tunnelt (und nebenbei alles aus dem VPN an der Firewall vorbeischläust).

Logge ich mich ins VPN ein, so kann ich den Server per IPv6 Adresse wiederum einwandfrei ansprechen.

Ich habe mal das Notfallsystem gebootet. Die Netzwerkkarte bekommt dort nur die Standard-IPv4. Wenn ich den dhclient -6 aufrufe, bleibt er beim aquire hängen.

Ist das ein Zeichen, dass nei Netcup die IPv6 Verteilung nicht funktioniert? Oder gibt es noch andere Möglichkeiten zu überprüfen, warum die Welt meint, dass es meine IPv6 nicht gibt?

Leider funktioniert IPv6 bei Unity auch nicht so wunderprächtig, und im mobilen Netz habe ich auch immer wieder Aussetzer. Dementsprechend bin ich mir gerade nicht sicher, wer den nun wieder der Schuldige ist...

Gruß,

_X_

Copy&paste vom Browser funktioniert leider nicht. Da hilft leider nur der Umweg, eine Textdatei hochzuladen (Also z.B. die URL in eine Textdatei "download.sh" einfügen, wget davor schreiben, hochladen und ausführbar machen)

"Server-intern" in Emacs kannst du die Buffer allerdings wie gewohnt nutzen.

Zitat von geekmonkey

Regional nutzen die Leute eben einen Messenger. Mit deiner self hosted Lösung erreichst am Ende 2 ?

Ja, und? Der Messenger soll für meine Familie und mich sein, um unsere Familienangelegenheiten nicht in die ganze Welt zu posaunen...

Wenn's dazu noch hilft, die neue Technik genauso weit zu verbreiten, wie die Emails heute, dann unterstütze ich solche Projekte auch gerne...

Ich finde die Einstellung "WhatsApp ist schei***, aber was soll man machen?" halt grundlegend verkehrt. Alternativen gibt's genug, man muss sie nur nutzen...

Zitat von mainziman

wofür soll das in der config

1. zone "1.1.10-in-addr.arpa" {
2. type forward;
3. };

dann gut sein?

<stammel> Das habe ich mir aus den vielen Beispielen bei Google so abgeschaut... Da BIND über Zonen gemeckert hat, habe ich die dort kurzerhand mal eingefügt... Hat mit und ohne nicht funktioniert...

Zitat von voja

xplod Die Zeile

allow-query { vpn;};

verhindert alle Abfragen außer vom VPN. Muss das Keyhelp keine authorativen Zonen hosten?

In VPN ist auch noch localhost mit dabei.

Wenn ich das richtig sehe, ist Keyhelp per Default so eingestellt, dass man den Server auch direkt als primären Nameserver benutzen könnte. Für "meine" Domains hingegen nutzte ich die offiziellen DNS von Netcup - Die haben mehr Ahnung vom Thema.

Somit wird BIND nur bemüht, wenn mein Server seine eigenen Domains auflösen soll... Aber korrigiert mich, wenn ich was Falsches sage...

Zitat von mainziman

hast Du Deine IPtables Firewall nach umgekehrtem Prinzip aufgebaut?

('es ist alles erlaubt außer explizit geblockt' vs. 'es ist alles geblockt außer explizit erlaubt')

Die Firewall ist auf "alles geblockt" konfiguiert, nur der Port 53 war explizit offen. Der ist jetzt komplett dicht...

Zitat

wo bedindet sich bei Deinem Setup tatsächlich die rDNS Zone f. Dein VPN-Subnet (10.1.1.0/24)?

daß dies durch 1.1.1.1 od. 8.8.8.8 bewerkstelligt wird, glaub ich weniger ...

Dein Argument wegen Privatsphäre und so:

wieso forwardest Du nach 1.1.1.1 bzw. 8.8.8.8 und macht das nicht direkt selbst als Caching-Resolver

Alles anzeigen

Ich verstehe deine Frage nicht... Was meinst du mit rDNS Zone? Reverse DNS, sprich aus der IP einen Namen auflösen? Wofür sollte ich das benötigen?

DNS-caching ist eins meiner nächsten Ziele, wenn ich mal wieder Langeweile habe. Aktuell soll Bind nur die gängige Werbung blockieren, und ansonsten einen der altbekannten DNS fragen...

Hallo zusammen.

Da meine Meinung von Whatsapp, Facebook, Twitter, .. immer weiter ins Bodenlose fällt, bin ich auf der Suche nach offenen, selbst-gehosteteten Alternativen...

Aktuell schaue ich mich im Bereich Fediverse um, und bin dort auf einen Dienst Namens Matrix.org gestoßen, der sich recht interessant anhört.

Hat jemand von euch damit Erfahrungen?

Kann man mit dem Docker-Image von Matrix-Synapse direkt brauchbar loslegen? Oder werden für den reibungslosen Einsatz erst noch Datenbank, TURN, .... was-weiß-ich für Dienste benötigt?

Es gibt ein fertiges Installationsskript, welches nginx mit dem Matrix-Synapse installiert, nur gehe ich stark davon aus,dass das einen bestehenden Webserver mit nginx und Apache komplett zerschießt, oder?

Aktuell sieht es so aus, dass man auch "einfach" die Python-Quellen herunterladen und den Server direkt starten kann. Ist die Frage, ob sich das lohnt...

Zitat von voja

...Dann würde ich den Bind an eine IP binden, die nur via VPN erreichbar ist. Das hilft jetzt aber der FritzBox noch nicht. Ich habe hier einen Raspi als DNS-Server im LAN. Die FritzBox kann ja leider noch kein DoH oder DoT.

Da der Bind Server von Keyhelp genutzt wird, muss er auf der Netzwerkschnittstelle (ens3) arbeiten.

Allerdings habe ich den Port per

acl vpn {10.1.1.0/24; localhost;};

options {
  allow-recursion { vpn;};
  allow-query { vpn;};
  ...
  forwarders {
     1.1.1.1;
  }

abgedichtet.

Dazu habe ich mittlerweile per iptables den Port 53 von extern blockiert, und nur für das 10.1.10/24 Subnetz erlaubt...

Wenn ich also das DNS meines Servers von der Fritzbox nutzen wollte, müsste ich die Fritzbox in das StrongSwan-VPN kriegen, was theoretisch wohl geht...

Aktuell sieht es so aus, dass es mehr Sinn ergibt, einen weiteren Router mit offener Software ins Haus zu holen, der z.B. die ganzen "Smart"-Devices versorgt, und nebenher noch als DNS Filter agiert...

Ich habe also noch reichlich zu tun

Zitat von voja

Mal eine Frage: was nutzt Du als VPN Server?

Strongswan. Das wird mittlerweile von Android unterstützt (man bemötigt leider eine App dafür),aber es geht dafür sparsam mit dem Handy um.

Davor hatte ich L2TP/IPSec am laufen (OpenSwan, war das, glaube ich) . Aber da war das Handy fast am glühen, und der Akku war schnell leer...

Mit Strongswan bin ich sehr zufrieden, und es funktioniert auch nativ mit Windows 10

Übrigens Danke noch mal für die Warnung mit dem Amplification-Angriffen. Der Server war keinen Tag am Laufen, und wurde schon für einen Angriff auf USADF.org misbraucht... Mal schauen, wann die Attacken aufhören, wenn der Server diese jetzt wieder ablehnt...

Ich hatte mal ein ähnliches Fehlerbild mit anderer Ursache:

Clients, die sich über die IPv6-Adresse verbunden hatten, hatten deinen Effekt, während ein Verbinden über IPv4 einwandfrei funktionierte.

Hast du IPv6 laufen? Nutzt du eine Domain, um dich mit dem Server zu verbinden? Ist für diese Domain ein A- und ein AAAA-Record angelegt?

Evtl. hilft es, sich dann direkt mit dem TS über die IPv4 oder IPv6 zu verbinden...

Danke für den Hinweis.

Ich hatte schon überlegt, per IP-Tables-Forward den dnsmasq virtuell vor BIND zu schieben. Der Server selbst hat keine 10.1.1.x Adresse (die Virtualisierung hatte mal Probleme bei Netzwerkkarten mit Alias-IP-Adressen, und Strongswan stellt kein Tunnel-Interface zur Verfügung).

Es wird also schwer, den dnsmasq nur mit dem VPN direkt zu verbinden...

Um wirklich sauber zu sein, sollte ich also noch eine Möglichkeit finden, dass wirklich nur meine Fritzbox DNS anfragen stellen darf, und nicht sämtliche Internet-Teilnehmer...

Hallo zusammen.

Vielleicht kann mir jemand bei meinem Problem mit Bind9 helfen.

Ich möchte meine (Android) Smartphones von all den Trackern befreien, die meine Privatsspäre verletzten. Dafür habe ich mir folgendes Setup überlegt:

[Blockierte Grafik: https://www.xplod.de/images/Nameserver.gif]

1.) Der (ohnehin vorhandene) BIND-Nameserver verwendet einen Filter von yoyo.org, somit kann ich in meinem Router einfach meinen Server als Nameserver angeben, und ein Großteil der Werbung ist damit futsch -> Klappt einwandfrei

2.) Die Smartphones gehen per VPN ins Internet, um Freifunk, Firmen-WLAN und sonstige Hotspots nutzen zu können -> Funktioniert auch super

3.) Nun hätte ich gerne, dass der BIND9 anhand der Quell-IP erkennt, wer sich da verbinden möchte, und die Anfrage

a.) erst durch den yoyo-Filter jagt, und ggf. an den öffentlichen Nameserver (Google, Cloudflare, ...) weiterzuleiten, oder

b.) die Anfrage direkt an dnsmasq weiterreicht, welcher dann über diverse Filter sämtlichen Werbung, Tracker, Pornos,... herausfiltert.

Bei Punkt 3 scheitere ich leider.

acl vpn { 10.1.1.0/24; };

view vpn_mobile {
     match-clients { vpn; };
     recursion yes;
     allow-query { any; };

     zone "1.1.10-in-addr.arpa" {
          type forward;
     };
     forward only;
     forwarders { 127.0.0.1 port (xy); };

     dnssec-enable yes;
     dnssec-validation yes;
     dnssec-lookaside auto;

     auth-nxdomain no;    # conform to RFC1035
};

view others {
     match-clients { any; };
     recursion yes;
     allow-query { any; };

     zone "1.1.10-in-addr.arpa" {
          type forward;
     };

     forward only;

     forwarders {
          1.1.1.1;
          8.8.8.8;
      };

     dnssec-enable yes;
     dnssec-validation yes;
     dnssec-lookaside auto;

     auth-nxdomain no;    # conform to RFC1035
};

Fehlermeldung BIND:

named[16608]: found 4 CPUs, using 4 worker threads
named[16608]: using 2 UDP listeners per interface
named[16608]: using up to 4096 sockets
named[16608]: loading configuration from '/etc/bind/named.conf'
named[16608]: /etc/bind/named.conf.local:11: when using 'view' statements, all zones must be in views
systemd[1]: bind9.service: Main process exited, code=exited, status=1/FAILURE
systemd[1]: bind9.service: Control process exited, code=exited status=1
systemd[1]: bind9.service: Unit entered failed state.
systemd[1]: bind9.service: Failed with result 'exit-code'.

named.conf.local beinhaltet die lokalen Domains:

zone "(servername)" {
  type master;
  file "/etc/bind/keyhelpdomain.conf";
};

Hat jemand eine Ahnung, wie ich die views ans Rennen bekomme, und dabei weiterhin keyhelp funktioniert?

Danke und Gruß,

Dirk

Ich hatte über längere Zeit ein Setup mit 2 Teamspeak-Instanzen auf 2 IPs, habe das aber etwas anders gelöst:

- Der Server hatte nur einen Netzwerkanschlus, die zweite IP wurde somit zusätzlich per /etc/network/interfacees "hinzugedichtet"

- Die beiden TS-Server lief auf den Standard Ports 9987 und 9988

- Per IPTables wurde der Traffic über die IP2:9987 an die IP1:9988 weitergeleitet.

Somit war der zweite Server insgesamt über 3 Wege zu erreichen:

IP1:9988

IP2:9987

IP2:9988

Als dann aber die Virtualisierungssoftware auf einmal Probleme bei mehreren IPs bekam, habe ich das Setup so wieder entfernt... Aktuell läuft alles über eine IP...

Hallo zusammen.

Ich betreibe nun seit gut 15 Jahren Server auf Linuxbasis, und kann damit, glaube ich, gut umgehen.
Bei einem Spiel stehe ich allerdings vor einem Problem:

DCS (Digital Combat Simulator) gibt's nur als Anwendung für Windows. Einen expliziten Dedicated Server gibt es nicht, eine Linuxversion schon garnicht

Nun frage ich micht, ob man eine normale Windows 10 (OEM?) Version nehmen kann, und diese sicher auf einem Server mit öffentlicher IPv4 verwenden kann.

Kann man ein Windows System ohne Router guten Gewissens direkt verwenden, oder kann man dann die Minuten bis zum ersten Hack an einer Hand abzählen?

Alternativ gibt es ja bei Ebay günstige Windows Server 2016 Versionen. Sind diese sicherer als Windows 10?

Der Server soll nur als Gameserver dienen. FTP, HTTP, etc. wird nicht benötigt...

Was sagt eure Erfahrung?

Gruß,

Dirk

Ich habe nun auch meine Plesk Lizenzen gekündigt, da mir die Richtung, in die Plesk will, nicht gefällt.

Vor Plesk habe ich mich schon einmal umgeschaut, und bin zuerst bei i-MSCP gelandet. Allerdings hatte ich da das Problem, das mit jeder Release immer irgendwas nicht ging. Dann sitzt man da und wartet auf Bufgfixes von Privatpersonen, und muss hoffen, das nichts Schlimmes passiert...

Deswegen ist es für mich Pflicht, dass hinter einer solchen Software eine Firma stecken muss, die sich auch verantwortlich fühlt. Das darf auch gerne Geld kosten...

KeyHelp sieht ja schon mal gut aus, Froxlor hingegen wirkt für mich wie eins dieser wird-nie-richtig-fertig-Community-Projekte.

Hat dazu schon jemand mehr Erfahrungen?

Zitat von killerbees19

Und, noch immer alles stabil?

Bei MIR hat das nichts gebracht. Ich tippe mal darauf, dass es mit der KVM Software Version zu tun hat, die sich evtl auf den Servern unterscheidet...

Es dürfte also Zufall sein, ob das Problem damit weg ist, oder nicht...

Das sollte keine Beleidigung oder ähnliches sein. War bei mir nicht Anders. Ich habe extra den Server auf Ubuntu 16 (vorher 14) neu aufgesetzt, um das Problem zu beheben.

Einen anderen Treiber habe ich selbst nicht ausprobiert, da ich Fehler eher systematisch begründen und dann beheben will... (Ich hatte auf ein Problem mit IPTables + StrongSwan VPN getippt, und die Version in U14 war schon sehr alt...)

Wenn man nach "linux kernel bug virtio" googled, findet man mittlerweile sehr viele Einträge, und nicht nur für Ubuntu, sondern auch CentOS und Windows. Also scheint es wirklich ein Bug in der KVM Software des Hosts zu sein, die wahrscheinlich mit irgendeinem Update (oder einem routinemäßigen Wechsel auf einen anderen Node?) eingeschleift wurde...

Ich bin zumindest froh, dass es jetzt wieder funktioniert... Und wer unbedingt mehrere IP-Adressen benötigt, kann ja mal E1000 als Alternative ausprobieren...

Zitat von RHA

Ich kann also nur empfehlen eine ggf. aktivierte zweite IP (Failover) auf dem Server zu deaktivieren (Netzwerk-Config auf eine IP stellen).

Ich stehe bzgl. des Problems noch mit dem Support in Kontakt. Ich bin gefragt worden, ob ich mal testweise den Netzwerk-Treiber von VirtIO auf E1000 umstellen könnte ... Bis jetzt habe ich damit noch keine Ausfälle gehabt. Wer unbedingt mehrere IPs benötigt, kann das ja mal ausprobieren...

Zitat von Ringelnatz

Die Antwort vom Support ist natürlich "ab ins Rettungssystem und MTR anfertigen" was nicht geht, da die Dienste erreichbar sein müssen. Wird man denn einfach so auf Wunsch auf einen anderen Node umgezogen oder wie habt ihr das gemacht?

Einfach so geschieht das nicht.

Ich habe zuerst die Logbücher meines Servers untersucht und versucht, Fehler einzukreisen. Damit konnte ich "beweisen", dass der Server komplette Aussetzer hat, und nicht nur ein Dienst spinnt.

Danach habe ich eine Anfrage an den Support gestellt, ob sie erkennen könnten, dass der Server Aussetzer hätte, oder ob ich testweise auf einen anderen Node portiert werden könnte. --> Da die Netzwerkverbindung zu 100% ok war, wurde ich dann auf einen anderen Node umgezogen --> Das Problem blieb bestehen.

Testweise habe ich nun alle IP-Adressen bis auf die Haupt-IP entfernt, den Server neu gestartet, und seitdem läuft der Server ohne Ausfälle.

Es scheint also eine Inkompatibilität zwischen der Virtualisierungsumgebung und Ubuntu (14 und 16, egal) zu sein...

Es scheint auch keinen Unterschied zu machen, ob man die mehrfachen IPs per Alias (ens3:1) oder direkt an die Netzwerkkarte (ip address add ip/32 dev ens) bindet -> Die Fehler treten bei mir mit mtr Recht schnell auf, sobald eine zusätzliche IP verwendet wird...