Zufall nehme ich mal an
Nein. Wenn eine SubSubDomain existiert, gilt für die SubDomain der Wildcard Record bei Netcup nicht. Letztens gab es das schonmal im Forum.
Weil die normale domain sowie mail. gehen noch, obwohl die auch ACME Einträge haben.
Ist ja auch kein Wildcard.
Kann mal ein DNS Experte drüber schauen, warum meine Wildcard nicht greift?
Einfach gelöst, dennoch bräuchten wir bei solchen Sachen die Domain - meistens sieht man das anhand des Screenshots nicht.
Naja ein reverse-Domain-Name-Server Eintrag hat für mich schon was mit einer Domain zu tun. Bei Produkten denke ich an Kugelschreiber oder in dem Fall an Dienstleistungen oder sowas.
Kannst du übrigens auch im SCP einstellen.
Die Einstellung findet man im CCP nicht unter "Domains"
Hat ja auch nichts mit der Domain zu tun, sondern mit der IP. Und die gehört zum Produkt.
Lukay habe ich absichtlich weggelassen. Es sind ja nur Server und Client im Tunnel (max clients 1)
Deswegen gehe ich nicht davon aus, dass es daran liegt.
Update: wenn ich den OpenVPN Tunnel durch einen weiteren Tinc-Tunnel ersetze (IPs bleiben gleich), dann funktioniert es.
Aber was habe ich bei OpenVPN übersehen?
hast du die route mal statisch gesetzte was dann passiert?
es kommt ja schon am richtigen Interface an, nur durch den Tunnel gehen die Pakete nicht.
Die Pakete sind am Interface tun1 abgreifbar. Mit den Routen stimmt also alles. Ich muss irgendwas bei OpenVPN übersehen.
IP Forwarding ist an? Sind auf den tinc Nodes überall Routen auf das VPN Netz via OpenVPN Server gesetzt?
IP Forwarding ist an. Hat ja schonmal funktioniert - nur auf beiden Systemen getrennt.
Der erste Tinc Node hat die Route zurück (ist ja auch der erste OpenVPN Server) - ich komme ja aber nichtmal zu dem Endpunkt, weil am Tunnel ist Schluss.
iptables -t nat -A POSTROUTING -o tunDeviceWelchesSourceIstALsoTincd -j MASQUERADE
Kein Masquerading - die Header sollen gleich bleiben. Links und rechts vom Tunnel soll jeder jeden erreichen.
Ich stehe gerade auf dem Schlauch.
Ich habe folgende VPN Site Konfigurationen:
172.20.20.0/24 <=> 172.20.20.172 < = OPENVPNLINK 10.8.0.128/25 = > Netcup ServerDie Netcup Server sind untereinander mit Tinc verbunden (172.20.25.0/24) der Server auf dem OpenVPN läuft, hat eine interne Tinc IP 172.20.25.7
Von 172.20.20.172 aus kann ich 172.20.25.7 anpingen.
Von dem restlichem 172.20.20.0/24 Netz nicht.
Ich sehe die Pakete auf dem Gerät 172.20.20.172 in das Interface tun1 reingehen (Routen stimmen also), aber sie tauchen auf dem Interface-Gegenstück tun0 auf dem NC Server nicht auf. Weder mit tcpdump noch mit iptables-log. Firewalls sind offen (sowohl implizit als auch explizit) - ich vermute ein Problem mit OpenVPN.
Wo muss ich da ansetzen, was mache ich falsch?
Würde auch das einspielen von Updates um einiges erschweren
Davon ab dürft es bei IPv6 kaum einen Unterschied für netcup machen ob nur intern geroutet wird oder man Zugriff auf das ganze Internet hat, IPv6-Adressen gibt es auch mehr wie genug. Im Gegenteil, der Zugriff auf das komplette Internet ist bereits implementiert, die Implementierung für den Sonderfall "nur intern" kostet vermutlich mehr wie die möglicherweise anfallenden Kosten für den zusätzlichen externen Traffic. Und wer sich aus dem Internet aussperren will kann dies ja immer noch über iptables und co machen
Da wäre aber ein Dual-Stack Lite Setup ganz interessant, sodass die VMs nur eine Adresse aus dem 10.0.0.0/8er Netz bekommen, aber Internetzugang trotzdem IPv4 Outbound möglich ist.
Wie wichtig ist Ihnen eigentlich unsere doch recht hohe garantierte Mindestverfügbarkeit von 99,6% bei unseren VPS? Würde jemand von Ihnen VPS mit 98% Mindestverfügbarkeit kaufen, wenn der Preis dafür halbiert wäre?
Mit freundlichen Grüßen
Felix Preuß
Ja und nein. Für ressourcenarme aber wichtige Dienste setze ich auf die VPS (LDAP, DNS) - dafür lohnen sich Root Server nicht - da wären die VPS mit 99,6% essentiell.
Ich kann mir aber auch Dienste vorstellen, die auf VPS mit 98% sehr gut laufen könnten.
Alles anzeigenkann es sein, daß hier https://forum.netcup.de/sonsti…/10531-webhosting-vs-nas/
der falsche Ansatz gemacht wird?
ein NAS¹ als Mail-/Webserver zu vergewaltigen finde ich sehr mutig;
¹ wir sprechen hier doch von Plastikboxen, in die man 1-4 oder so Platten einbaut und nicht große Storage Systeme
welche in Rechenzentren stehen...
Es würde ja nicht mal funktionieren: IP in der PBL, Reverse DNS, Hostname...
Natürlich ist das der falsche Ansatz.
ich kann nur 1 bis 2 Snapshoots machen bis der Server folgende Meldung bringt:
die Snapshots verbrauchen auch Speicherplatz. Wenn die Platte zu 35% belegt ist, benötigt ein Snapshot ebenso 35%.
3 x 35 >= 100
Kann man Beiträge hier nicht editieren?
Nur bis zu 10 Minuten nach dem Posten. Danach ist es nicht mehr möglich.
Hallo,
magst du einmal die Konfigurationen für die Interfaces posten?
Ein Ausschnitt aus ip addr ist auch ausreichend.
Ein virtuelles Interface mit dem Kernelmodul vlan ist nur notwendig, wenn du mit einzelnen VLANs in einem Trunk arbeiten möchtest. Das ist hier nicht der Fall.
CmdrXay es wurde auch von Mitarbeitern gesprochen. Vereine können ja auch Verwaltungen haben, die als juristische Personen mit Handelsregisterbezug auftreten. Vgl.: https://de.wikipedia.org/wiki/FC_Bayern_M%C3%BCnchen_AG
Das wurde hier eben nicht spezifiziert. Trotzdem ist ein NAS dort die komplett falsche Lösung und funktioniert technisch immer noch nicht.
das hat aber keine Auswirkungen auf ausgehende Mails
nur als Anstoß was mir dennoch an der Konfiguration nicht gefällt.
Ich weiß, dass das mit dem eigentlichen Problem nichts zu tun hat.
Ich bin kein Dienstleister, ich mache das ehrenamtlich!
Das solltest du nicht tun, und dein Geschäftsführer sollte dich da nicht ran lassen. Das kann unschön für beide Seiten sein.
Insbesondere müssen einige Fragen geklärt werden:
- was passiert wenn das Ding 6h offline ist und wer ist schuld?
- was passiert wenn ihr euch ein neues "NAS" kauft?
- wie bekommt ihr die Daten runter?
- was ist mit Datenredundanz (RAID zählt nicht)?
Bei 40 Mitarbeitern sind wir schon im Bereich der GoBD und Mailarchivierung.
Da fallen sowohl NAS als auch Webhosting aus - und den Schaden hat dein Geschäftsführer und du zu tragen, wohl möglich, weil du ihn nicht ordnungsgemäß beraten hast.
Und es gibt da auch einen Dienstleister, der immer mal einen Blick darauf wirft, was ich verzapfe.
Sehr ungewöhnlich.
Der Dienstleister bekommt immerhin Geld für seine Dienstleistungen und kann euch eine ordentliche Beratung geben.
In einem Forum gestaltet sich das schwierig. Ich habe dir das bereits mit einer PN angeboten, stattdessen versuchst du hier witzige Aussagen einzubauen - wir wollen dir nur helfen.
Evtl. solltet ihr euer Mailserver ganz von dem Dienstleister betreuen lassen. NAS ist die schlechteste Idee und wird so nicht funktionieren.
Ja, klar, aber er ist in dem Fachenglisch versierter und durchschaut das Große und Ganze dann doch etwas besser als ich.
Das ändert doch aber nichts an unserer Einschätzung, dass wenn man wenig Erfahrung im Umgang mit solchen Themen hat, dass man da keine Infrastruktur für ein Unternehmen entwirft und betreibt. Insbesondere gibt es später böse Minen, wenn eine gewisse Beratung seitens des IT Dienstleisters (in deinem Falle du) unterbleibt. (Von unglücklicher Kunde bis Haftung ist da alles dabei)
smtpd_tls_cert_file = /etc/ssl/server/v22018076672370890.powersrv.de.pem
Selbstsigniert oder steht da eine öffentliche CA hinter?
Zur Not studiert mein Sohn angewandte Informatik, der sitzt aber nicht immer neben mir.
Angewandte Informatiker lernen Softwareengineering, aber weniger wie sie ein Linux bedienen und wie man Mailserver aufsetzt und entsprechende Architekturen gestaltet.
