Beiträge von H6G

Ohje.

Erstmal etwas zu den Servern: die werden dir hier nicht weiter helfen. Die Seite hat andere Probleme. Wenn du dich doch davon nicht abbringen lässt, gibt es bei Netcup Managed Server.

Die Ladezeiten sind sehr gut.

Deine erste Seite alleine ist 2 MB groß.

Hier schickst du ganz FontAwesome und andere CSS Inhalte an die Nutzer. 70% deiner Seite sind CSS & JavaScripte, die auf eine nicht parallelisierbare Art und Weise raus geschickt werden, bevor der Nutzer überhaupt irgendwelche Inhalte bekommt (HTML Body). Das ist sehr schlecht.

Diese solltest du als eigene Dateien auslagern und ggf. über ein CDN ausliefern. Die meisten Websiten verwenden eh so Sachen wie FontAwesome, daher haben die meisten Browser immer eine frische Kopie von FontAwesome im Cache.

Was du dir evtl. auch überlegen solltest: die ganze Seite über Cloudflare ausliefern. Die Cachen für dich statischen Content (z.B. Fotos) und bringen diese näher an den Nutzer.

Die Geschwindigkeit des Webhostings ist hier nicht das Problem.

(Ich meine sogar, dass das nicht die minifizierte Version von FontAwesome ist)

Zitat von wadriller

Wenn ich aber eine Mail von meiner Arbeit z.B. an die Adresse schicke ist der Header drin.

Okay, bist du dir dann sicher, dass der Header von Netcup kommt, und nicht vom Mailserver deiner Arbeit?

Zitat von whoami0501

Und die routing Regeln (siehe unten) funktionieren auch...

Das sind immer noch keine Routing Regeln, sondern ein Paketfilter?

Wie soll man das denn debuggen, wenn überall die Source Adresse gewechselt wird?

iptables -S
iptables -t nat -S
sysctl net.ipv4.ip_forward

Einmal bitte die Ausgaben. Die letzten zwei Oktette von Public Adressen kannst du ja zensieren.

Zitat von whoami0501

Es scheint also, wie ich bereits vermutete, am OpenVPN Server zu liegen, dass der das nicht weiter routet. Aber woran könnte das liegen?

Das hatte ich auch schonmal, dort blieb der Traffic aber im Tunnel stecken.

Kommt denn der Traffic im Tunnelinerface auf der anderen Seite an?

Was sagt denn die Firewall an 172.21.0.1?

Zitat von wadriller

Nicht wundern, die Mails werden von NetCup aktuell an meine T-Online Adresse weitergeleitet.

Egal wie gut die Spammail gemacht ist, da muss doch eigentlich das X-Spam inkl. Score gesetzt werden, oder ?

Hier mal ein Header von solch einer Mail an meine Adresse:

Wie sehen denn die Header im Original aus, sprich wie liegt sie im WCP?

Wenn t-online hier eigene Spamheader setzt und diese für die Kunden dann entfernt, sind die originalen Header natürlich weg.

Zitat von whoami0501

Und hier der VPN Server... kann den Container nicht erreichen...

Erreicht er denn 172.21.0.2?

Stell dich mal an jedem Hop mit tcpdump -nni ethX icmp und gucke, wo der Traffic verschluckt wird.

Wenn ein Hop von einem Interface ins andere routet, beide Interfaces scannen.

Auch auf die Source IPs achten, dass die so gewollt sind wegen dem NAT.

Zitat von ChrisFragt

Warum müssen Zugriffe von eigenen Servern auf einen anderen geblockt werden? Wenn X Kunden auf einem Server liegen wieso dürfen es dann nur 10 gleichzeitig sein? Ich bin noch immer etwas Fassungslos, dass etwas von heute auf morgen nicht mehr funktioniert, auf das ich keinen Einfluss habe.

Die E-Mail Situation bei Netcup ist unschön.

Ich meine, hier wird auf einen BruteForce Angriff geblockt, und nicht bei zehn parallelen Verbindungen?

Beim Webhosting hat ja jeder Tenant seine eigene IPv6 Adresse, leider haben die Mailserver keine IPv6 Adresse im DNS hinterlegt, so könnte man sonst das Problem lösen.

Ist ein Netzwerk konvergent? Client A soll Client B erreichen.

Client A hat folgende Config:

#ip a
inet 172.20.25.8/24 brd 172.20.25.255 scope global ens6
#ip r l
10.68.255.0/31 via 172.20.25.1 dev ens6 proto zebra metric 20

#ip a
inet 10.68.255.0/31 scope global wg0
#ip r l
172.20.25.0/24 via 10.68.255.1 dev wg0 proto bird metric 64

Beide sehen sich, beide wissen, wie sie einander erreichen über einen Dritten. Die Routingtabellen sind Konvergent.

Zitat von whoami0501

Öhm. Na die markierte da, das müsste ja zeitgleich auch die Rückroute sein.

Das ist keine Rückroute, das ist ein SNAT, ein SNAT hält automatisch den Rückkanal offen, für eine gewisse Zeit.

Mit Rückroute meine ich, dass das Proxmox Netz auch weiß, über welchen Weg es das OpenVPN Netz erreichen kann.

Aber ein NAT da drinne macht es nicht unbedingt leichter.

Zitat von whoami0501

nach 172.25.0.0/16@vmbr0 routen.

Wissen denn die Clients im Proxmox Netz, wie sie 172.21.0.0/16 erreichen können?

Gibt es eine konfigurierte Rückroute?

Edit:

/sbin/iptables -t nat -A POSTROUTING -s $udp_net -o $pve_int -j MASQUERADE # VPN Netz(e) -> PVE Netz # Das hier geht nicht
/sbin/iptables -t nat -A POSTROUTING -s $pve_net -o $udp_int -j MASQUERADE # PVE Netz -> VPN Netz(e)
/sbin/iptables -A FORWARD -i $udp_int -o $pve_int -j ACCEPT
/sbin/iptables -A FORWARD -i $pve_int -o $udp_int -j ACCEPT

NAT oder Forward. Mit beidem wirst du nicht glücklich.

Wieso nattest du zwischen den Netzen?

Zitat von mainziman

so sieht das sit1 Device am Router aus

Bekommst du auch eine MTU von 1480 durch? Evtl. geht die PTB von 1500 Byte breiten Frames aus.

Zitat von mainziman

Du hast ja auch einen HE-Tunnel, oder?

Was bekommst du denn ohne Fragmentierung in ein Paket?

Zitat von mainziman

UND

diese IPv6 ist NICHT per ICMP aber per HTTP(S) erreichbar und kann

mir zum Test einen URL verraten?

reicht wenn IPMPv6 per drop gesperrt ist? Wenn ja, ziehe ich dir kurz einen Container hoch

Zitat von mainziman

wie nennt man den, der es schafft es sogar zu vierteln?

Zitat von mainziman

wobei welchen Sinn hat eine Whitelist, wo man doch von der anderen Richtung mittels Blacklists

die Mails, welche man gleich gar nicht annimmt aussiebt?

Die Liste wird verwendet um False-Positives herauszufinden und entgegenzuwirken.

Du hast dazu noch eine Betreiber-ID mit der sämtliche deiner Zonen und Mailserver dort hinterlegt sind und welche Art von Organisation du bist. Jeder Mailserver hat zudem eine Wahrscheinlichkeit, dass er gutartig ist und eine Statistik, wie oft die Adresse abgefragt wird. (Grob)

Zitat von mainziman

FMA

Fernmeldeamt

Zitat von voja

Auf der Bridge für die VMs liegt das /64 Netz und gut ist.

Der findet doch dann nicht mehr die ::1?

Ganz so einfach ist das bei mir auch nicht.

Ich habe eine Bridge br0, die hat die Phy-NIC mit drinne. Die soll Public IPv4 und Public IPv6 machen (2a01:bade:affe:cafe::/80).

Eine weitere Bridge macht private IPv4 mit SNAT und ggf. DNAT (10.68.9.0/25) und Public IPv6 (2a01:bade:affe:cafe:1::/80).

Eine dritte Bridge macht alles Privat (10.68.9.128/25 / fd68::/75).

Lukay die schnellere Festplatte hat 2534h

Zitat von voja

Alternativ die Bridge für die VMs nicht auf die primäre Netzwerkkarte laufen lassen sondern separat, dann passiert das nicht.

Hatte ich mir auch überlegt, allerdings schreiben sich die IPv6 Adressen dann nicht mehr so flüssig runter.

Ggf. müsste ich die PHY-NIC auf ein anderes /80er Subnetz legen.

Hatte ich nach Reflex eingerichtet, müsste aber nur der ARP Traffic sein, weil der reguläre Traffic macht definitiv über den Kernel einen L3 Abstecher und die SRC-MAC stimmt auch.

Edit:

Lukay die eine hat 34256h

Läuft bei mir in einer ZFS Mirror Konfiguration, deswegen mache ich mir da keine Gedanken.

Zitat von timkoop

Wie sind die so?

Es sind halt dedizierte Server - da hast du kein CD Laufwerk und kein VNC (es sei denn du buchst einen mit IPKVM).

Du hast einen Ein-Aus Schalter, der durch einen Mitarbeiter gedrückt werden kann, einen Webreset und Netboot Optionen, die dir eine SSH Verbindung aufbauen, wo du dann ein Betriebssystem auf die lokale Platte packen kannst.

Mindestvertragslaufzeiten sind 1 Monat, es gibt ein Monitoring dazu und du kannst recht einfach ganze Subnetze buchen und RIPE Handles hinterlegen.

Der Rest ist von der gebuchten Hardware abhängig. Festplatten sind relativ frisch, das Alter habe ich nicht überprüft, nur den Durchsatz.

Zitat von timkoop

Ist das ein Server von der Serverbörse

Ja