Beiträge von voja

Ich möchte noch anmerken dass nur alte Zertifikate von dem Vertrauensentzug betroffen sind. Reissue und gut ist. Es entsteht also eigentlich gar kein Problem da bis dahin die Zertifikate entweder abgelaufen sind oder neu ausgestellt wurden.

LE läuft erst mit den neueren certbot Versionen problemlos. Bei den älteren fehlte öfter mal der Cron. Monitoring ist bei LE noch wichtiger, da zu vorher nicht unbedingt ersichtlichen Zeitpunkten der Webserver neu startet. Das führt zu einem kurzen Ausfall.

Bei manuellem Austausch hat man darüber mehr Kontrolle.

MySQL Workbench hat soweit ich mich erinnere eine Option sich per SSH auf einen Server zu verbinden und dann via Tunnel auf den MySQL Server zuzugreifen.

Zitat von [netcup] Felix

SCSI unterstützt fstrim und wird von uns mittlerweile empfohlen. Bitte beachten Sie, dass sich beim Ändern des Treibers ggf. die Bezeichnungen der Festplatten im System ändern. Bsp. von /dev/vdaX nach /dev/sdaX.

Ist die Einstellung SCSI performanter als virtio?

Wenn Du eine https only Seite willst, musst Du in Wordpress die siteurl mit https Prefix einstellen. Wenn dort http drin steht, schickt Dich Wordpress auf http und Cloudfare auf https usw.

Alternativ gibt es auch Plugins mit denen Du steuern kannst welche Teile der Webseite https sein sollen und welche nicht. Das muss aber mit den Cloudflare Einstellungen zusammen passen.

Okay, danke für die Hinweise. Wird dann doch etwas teuer für drei Server.

Zitat von fuerni

Mehr Sicherheit kannst du erreichen, wenn du dir einen zweiten kleinen vServer holst, der als Firewall fungiert.

Dazu brauchst du dann allerdings ein eigenes VLAN, welches 15 € pro Monat kostet: https://www.netcup.de/bestellen/produkt.php?produkt=911

Gibt es eigentlich irgendwo eine Anleitung von netcup die erklärt wie das VLAN funktioniert?

Ich lese von Heise und die c't und iX im Abo. Kann man auch von der Steuer absetzen.

Zitat von Fox1401

Sowohl Erreichbarkeit als auch Dienste, CPU, RAM und co.

Zum Dienste überwachen schwöre ich inzwischen auf Icinga2. Ich habe dort aber noch nichts aktiv mit Graphen ala Munin. Werde ich später nachrüsten.

Hallo,
da VMX keine auf der Homepage angebotene Option ist, war mir das nicht bekannt. Ich habe jetzt aber diesen Thread gefunden wo darauf eingegangen wird: nested virtualization in Root/Vserver G7 nun möglich?

Gegen Aufpreis ist das also möglich. Damit kommt es drauf an was man genau machen will und ob man den Aufpreis zahlt.

Viele Grüße

Hallo,
Du kannst Container Virtualisierung machen. Ich habe Ubuntu Xenial mit lxd hergenommen.
Das Netzwerk-Setup wurde unter Netzwerk für Container LXD / OpenVZ mit eigener IP auf Netcup Root Server KVM erläutert.
Viele Grüße

Hallo,
ich würde auch vorschlagen die Bridge nicht auf eth0/ens3 zu legen und unabhängig zu betreiben. Das primäre Netzwerk-Interface habe ich auch statisch konfiguriert, die Bridge kriegt die Zusatz IPs geroutet, da diese AFAIR keine eigene MAC haben und der Router nur Pakete von der MAC deines primären Interfaces akzeptieren wird. Gilt für IPv4 und IPv6.

Danke für die Denkanstöße

Durch das tcpdump bin ich drauf gekommen dass das KVM wirklich nur mit der ens3 MAC-Adresse redet. Die Container hängen wie oben besprochen an der Bridge von ens3. Vom Container aus wird IPv4 auf die Haupt-IP der VM geroutet, damit die Pakete mit der MAC vom ens3 Device zum Router geschickt werden. So weit so klar.

Im Bezug auf IPv6 heisst das: die proxy ndp Einstellungen vom Linux Kernel helfen hier nicht weiter. Die Container können zwar auf die Frage welche MAC Adresse zu einer IPv6-Adresse gehören antworten. Die kommen aber von der Container MAC und erreichen damit den Router gar nicht.

Ohne den ndppd kommt man an der Stelle dann also nicht weiter. Das schöne ist, dass die aktuelle ndppd Version in Ubuntu 16.04 eine neue Option static hat. Darüber können dann für Einzel IPv6 (/128) oder auch kleine Netze die NDP Anfragen mit der ens3 MAC beantwortet werden, ohne dass das komplette Subnetz mit allen IPs aufgelöst werden kann. Das könnte ja die internen Tabellen sprengen.

Wenn man den ndppd verwendet muss man aber trotzdem noch proxy ndp im Kernel für alle Devices erlauben. Ich habe nicht verstanden wieso, aber nur mit der Option klappt es.

Generell habe ich noch nicht verstanden ob mit der Methode irgendwelche Pakete doppelt im Container ankommen können. Auf jeden Fall war ich mit der Erreichbaren Datenrate im Container ganz zufrieden.

Und wo ich noch drüber gestolpert bin: in ufw muss man natürlich die Default Regeln für die FORWARD Queue auf ACCEPT stellen, sonst geht auch kein Traffic durch.

Insgesamt funktioniert nun LXD prima in dem Root-Server. Ich werde nun die Container mit meinen Diensten aufsetzen und dann mal weiter sehen wie der Root-Server so läuft.

Folgendes gibt das tcpdump aus, wenn ich versuche von extern eine SSH-Verbindung auf den Container (anonymisiert als 2a03:4000:A:B::C) aufzubauen:

23:27:17.496502 IP6 (class 0xc0, hlim 255, next-header ICMPv6 (58) payload length: 32) fe80::f21c:2d00:797d:40c0 > ff02::1:ff00:53: [icmp6 sum ok] ICMP6, neighbor solicitation, length 32, who has 2a03:4000:A:B::C
23:27:17.496858 IP6 (hlim 255, next-header ICMPv6 (58) payload length: 32) 2a03:4000:A:B::C > fe80::f21c:2d00:797d:40c0: [icmp6 sum ok] ICMP6, neighbor advertisement, length 32, tgt is 2a03:4000:A:B::C, Flags [solicited, override]
23:27:18.495848 IP6 (class 0xc0, hlim 255, next-header ICMPv6 (58) payload length: 32) fe80::f21c:2d00:797d:40c0 > ff02::1:ff00:53: [icmp6 sum ok] ICMP6, neighbor solicitation, length 32, who has 2a03:4000:A:B::C
23:27:18.496153 IP6 (hlim 255, next-header ICMPv6 (58) payload length: 32) 2a03:4000:A:B::C > fe80::f21c:2d00:797d:40c0: [icmp6 sum ok] ICMP6, neighbor advertisement, length 32, tgt is 2a03:4000:A:B::C, Flags [solicited, override]
23:27:19.528440 IP6 (class 0xc0, hlim 255, next-header ICMPv6 (58) payload length: 32) fe80::f21c:2d00:797d:40c0 > ff02::1:ff00:53: [icmp6 sum ok] ICMP6, neighbor solicitation, length 32, who has 2a03:4000:A:B::C
23:27:19.528573 IP6 (hlim 255, next-header ICMPv6 (58) payload length: 32) 2a03:4000:A:B::C > fe80::f21c:2d00:797d:40c0: [icmp6 sum ok] ICMP6, neighbor advertisement, length 32, tgt is 2a03:4000:A:B::C, Flags [solicited, override]

Das sieht für mich wie das richtige Frage/Antwortspiel vom NDP aus.

Hallo,

hat es eigentlich jemand mal hinbekommen die IPv6 Adressen aus dem /64 direkt an die Container zu verteilen?

Ich scheitere dran, dass die IPv6 Adressen von extern erreichbar sind. Der LXD Host kann ohne Probleme den Container pingen und umgekehrt, aber leider kommt von extern kein Traffic durch.

Viele Grüße
Volker