Falls jemand eine eigene CA mit ein paar S/MIME-Zertifikaten (für ein Team etc... Ende-zu-Ende verschlüsselter S/MIME Mail Austausch) erstellen möchte,
hatte da einen Anwendungsfall und habe daher was handliches gebastelt - vielleicht kann das ja jemand brauchen:
Mein OwnCloud-Client nervt mich seit ein paar Wochen alle paar Minuten mit der Nachricht, dass mein OwnCloud 10.3.2 Server veraltet wäre und ich doch auf 10.4.1 upgraden soll. Das klappt allerdings nicht, weil 10.4 nicht mehr auf PHP7.0 lauffähig ist und ich mich bislang nicht überwinden konnte auf meiner Ubuntu 16.04 LTS Maschine eine neuere PHP-Version aus einem Fremd-Repo zu installieren.
Gut... Heute Regenwetter - dann mach ich das mal.
Eine Stunde später, PHP 7.4 mit allen Modulen die ich auch unter 7.0 genutzt habe läuft.
Ich will das OwnCloud-Update machen => und .... Fehlermeldung 7.4 wird nicht unterstütz.
Freilich könnte man die Systemanforderungen auch vorher lesen. Aber was solls... jetzt habe ich mir eine unstable Owncloud 10.5 Beta 2 draufgebügelt, auf PHP 7.3 downgraden tu ich mir jetzt auch nicht an wegen der paar Wochen bis OwnCloud 10.5 production stable ist.
Wie viele Stunden pro Monat soll diese Windows-VM denn eingeschaltet sein? Wenn da nur eine Banksoftware darauf läuft, dann ja eventuell nur wenige Stunden pro Monat?
Die Windows-10-VM wirst du bei Netcup soweit ich das beurteile leider nicht korrekt lizenzieren können. In der hauseigenen Cloud des Betriebssystemherstellers (Az...) ist das Windows-OS bereits in den Kosten für die VM-Laufzeit enthalten. Sofern die VM nur wenige Stunden pro Monat benötigt wird (z.b. nur 10% der Zeit des Monats läuft) und den Rest ausgeschaltet verbleibt, ist der Betrieb dort sogar günstiger als eine kleine VM hier den vollen Monat Laufzeit zu bezahlen. Und da bereits angesprochen wurde, dass es sinnvoll ist ein Windows hinter eine Firewall zu packen: Die VMs in der Cloud des Betriebssystemherstellers hängen standardmäßig hinter einem Load-Balancer der nur freigeschaltete Ports (z.B. RDP) weiterleitet. (Sorry dafür, dass ich hier ausnahmsweise nicht zu Netcup rate, aber Windows 10 und Netcup, das geht meiner Meinung nach rechtlich nicht sauber - daher sehe ich da, solange Netcup kein geeignetes Angebot ins Sortiment aufnimmt - keine andere Lösung).
Die Vorgehensweise einen "hidden DNS Master" zu betreiben ist - so wie du sie beschreibst - aus meiner Sicht korrekt. Sollte gültig sein. Wenn Du Bedenken hast, dann prüfe doch mal mit einem der vielen DNS-Zone-Checker Tools - ich verwende z.b. gerne den https://www.zonemaster.net/ Check.
Das Formular zum Hinterlegen deines DNSSEC Public-Keys findet sich direkt unterhalb der (von mir im Post darüber bereits gescreenshotteten) Nameserver-Einträge.
Du meinst diese Fehlermeldung?
IP des Nameserver ns1.box.domain.tld im falschen Format. Bitte geben Sie die IP des Nameservers als IPv4 oder IPv6 an.
Sind die beiden Nameserver korrekt autoritativ für die Zone box.domain.tld konfiguriert und antworten?
Ist die Schreibweise der IPv4 und/oder IPv6 korrekt? Gerade bei IPv6 gibt es da ja mehrere Varianten - hier meine Settings mit IPv4 + IPv6 Glue-Records:
2020-05-13 20_50_55-netcup ccp und 3 weitere Seiten - Gunnar – Microsoft Edge.png
Die Formulierung "access it remotely" bzw "remote User" bezieht sich nicht darauf, ob man mittels eines Netzwerkprotokolls wie RDP zugreift, sondern auf den physischen Standort des Blechs auf dem die VM läuft. Und für "zuhause" gilt ohnehin "wo kein Kläger da kein Richter". Man kann jedoch kein öffentlich von Netcup beworbenes Produkt basierend auf einer nicht korrekt lizenzierbaren Softwarelösung anbieten, dieses Risiko würde ein seriöses mitteleuropäisches Unternehmen wohl kaum eingehen. Und wie gesagt: Es gibt ja Lösungen dies zu lizenzieren, nicht aber für den Endkunden sondern für den Serviceprovider.
Die Windows 10 Lizenzbestimmungen untersagen es folgendes zu tun:
install the software on a server and allow users to access it remotely, or install the software on a device for use only by remote users
Microsoft sieht die Installation von Win10 auf einem Server der nur remote genutzt wird als VDI Lösung - mit einer Retail-Version von Windows kann man dies meines Wissens daher nicht korrekt lizenziert betreiben.
Im heutigen Thread nebenan "Anfänger sucht hilfe ^^ (Windows 10 Server)" ging es heute ja wieder rund. Da versuchte ein Neuling Win10 Home auf einem NetCup vServer zu betreiben.
Der Thread-Hersteller hat eingesehen die VM herunterzufahren und zu kündigen... alle sind happy.
Alle? Nun ja - eigentlich nicht, denn bei genauerer Betrachtung wurde der Thread-Ersteller vergrault und Netcup hat einen Kunden verloren.
Ich frage mich, ob das so sein muss?
Das meine ich jetzt nicht in Bezug auf jene die hier im Thread beraten haben - sondern ich stelle mir ernsthaft die Frage, ob es für den Bedarf des Thread-Erstellers nicht ein Produkt-Angebot geben kann.
Was müsste passieren, damit man tatsächlich eine Windows 10 VM bei NetCup mit wenig Aufwand "mieten" und betreiben könnte.
1. Es bräuchte VMs die über keine öffentliche IP-Adresse verfügen sondern zumindest über ein NAT geroutet werden und Incoming-Connections unterbunden werden
2. Die Bandbreite sollte vielleicht zur Sicherheit auf ein auch für den Home-Betrieb gängiges Maß von z.B. 100MBit reduzierbar sein
3. Eine Firewall die ungewöhnlichen Traffic der auf BotNet etc... hindeutet sollte die VM abschirmen
1-3 sind technische Komponenten, die man mit gängiger Hard- oder Software jedoch seitens NetCup für dieses Produktangebot bereitstellen könnte.
4. Die Lizenzfrage wäre zu klären. Es gibt keinen legalen Weg Windows 10 auf einer Netcup VM zu installieren. Diesen Weg könnte nur NetCup selbst ebnen, indem es VMs mit Windows-OS-Lizenz die über ein Microsoft Service Provider Licensing Agreement (SPLA) lizenziert sind anbietet
Ist soetwas angedacht?
Wenn nein, warum nicht? Zu hoher Aufwand? Kein Interesse seitens NetCup? Will man dieses Kundensegment bewusst nicht bedienen sondern anderen überlassen?
Um die Auswertung für uns leichter zu machen, ersuchen wir euch, diesen Thread ausschließlich für das Feedback von Bugs zu nutzen.
Gibt es einen separaten Thread für Feature-Wünsche?
Mir erschließt sich die Notwendigkeit und der Vorteil den diese App bieten soll derzeit (noch) nicht.
Das https://www.servercontrolpanel.de/ funktioniert völlig zufriedenstellend auch am Smartphone in der mobilen Ansicht im Browser, das Design ist responsive und die Bedienung OK.
Worin soll der Vorteil bestehen sich die App zu installieren? Der Funktionsumfang ist geringer. Momentan merkt sich die App leider nicht einmal die Zugangsdaten - im Browser kann ich die Daten wenigstens mittels Passwort-Manager automatisch befüllen.
Habe die App kurz durchgeklickt, folgendes Feedback hierzu:
Dein WebServer antwortet korrekt unter [2a03:4000:3b:275:589a:a5ff:fe84:cda].
Wie das nun zu Deiner Config passt, die ja [2a03:4000:3b:275::1] lauten sollte ist mir allerdings ein Rätsel. Best Guess: Deine static Config wirkt nicht.
1. Ich fragte nach der tatsächlichen Netzwerk-Konfiguration die aktuell wirksam ist, Du hast uns aber lediglich config-Files gezeigt. Ein "ip addr show eth0" wäre hilfreich.
2. Ich fragte nach der Routing-Table, Du hast uns nur deine IPv4 Routing-Table gezeigt, gemeint habe ich freilich die IPv6 Routing Table, also z.B. "route -6 -n"
1. Ping/Traceroute von 2a03:4000:3b:275::1 zeigt keine Antwort, dein Server ist also nicht korrekt konfiguriert
2. Dein DNS-Eintrag ist falsch, er zeigt nicht auf 2a03:4000:3b:275::1 sondern auf 2a03:4000:3b:275::
Um zu ergründen warum Dein Server nicht über IPv6 erreichbar ist, solltest Du uns schon mehr Infos geben. Wie sieht die tatsächlich derzeit wirksame Interface-Konfiguration und Routing-Table aus? Welche OS / Distribution hast Du installiert? Und vielleicht ganz banal: Ist dein Netzwerk-Adapter wirklich eth0?
Die Begründung der Mozilla-Group ist nachvollziehbar, ich bin aber etwas skeptisch ob die Welt da draußen schon soweit ist, dass man seine Website nur mehr mit "Modern Browsers" zugreifbar braucht. Es soll ja - nicht hier in Mitteleuropa, aber z.B. in Asien - durchaus noch eine signifikante Menge an WinXP-Altgeräten geben, bzw. Anwender die immer noch mit Internet Explorer Surfen. Und nicht zu vergessen die vielen alten Android-Handys, die seit Jahren keine Updates mehr erhalten. Wenn man die nicht bedienen will oder muss, dann ja. Andernfalls wird man wohl noch die eine oder andere Non-PFS-Ciphersuite hinzufügen müssen.
Cloud vLAN Giga: https://www.netcup.de/bestellen/produkt.php?produkt=2298
Zitat: Maximale Bandbreite im vLAN: 1 GBit/s *
*) abhängig vom gebuchten Root-Server, VPS oder Storage-Server. Root-Server ab Generation 8 erreichen den maximal möglichen Durchsatz. Bei anderen Root-Server- und Storage-Server-Produkten sind bis zu 500 MBit/s Durchsatz maximal möglich. VPS schaffen maximal 200 MBit/s Durchsatz. Mehrere Cloud vLANs die auf den selben Root-Server, Storage-Server oder VPS geschaltet werden, teilen sich die maximal verfügbare Bandbreite untereinander je Root-Server, Storage-Server oder VPS auf.
Gut, um bei Deinem Maserati-Vergleich zu bleiben: Du darfst Deinen Maserati gerne mit 300 am gesperrten Nürburgring fahren, wirst aber auf der Autobahn angesichts der Vielzahl an anderen Verkehrsteilnehmern wohl kaum auf mehr als die von Dir angesprochenen 160 kommen. Daran ist nicht der Maserati schuld, sondern der übrige Verkehr. Wenn Du Dir also einen Maserati gekauft hast um auf der Autobahn 300 zu fahren, und nun draufkommst das die Autobahn für dich nicht exklusiv gesperrt wird nur weil Du nun einen Maserati erworben hast, dann sind nicht alle anderen schuld sondern Deine Erwartungshaltung ist wohl unrealistisch.
Und um den hinkenden Vergleich noch zu vervollständigen: Du beschwerst Dich gerade, weil du nicht 300 sondern nur 240 fahren kannst. (1000 versus 800).
Deine Messung ergibt also 80MB/s "Downloadspeed von ..." => das ergibt inklusive Overhead also ohnehin fast 800MBit der genannten Maximalleistung von 1000MBit. Dein Vergleich mit dem Maserati hinkt also.
Um zu erreichen was du möchtest, drehst du den SSLHonorCipherOrder Switch auf on und sortierst die Liste dergestalt, dass die von dir präferierte CipherSuite vorne ist. Ich bin mir allerdings - angesichts Deiner Fragestellung - nicht ganz sicher, ob Du dazu ohne Hilfe in der Lage bist. Ich würde Dir daher zum Beispiel den Firefox SSL-Configuration-Generator empfehlen: https://wiki.mozilla.org/Security/Server_Side_TLS
Noch ein Hinweis: Praktisch ist derzeit kein Angriff gegen AES128 möglich, die Verwendung von AES256 für eine TLS-Verbindung zu einem WebServers daher eher Kosmetik als tatsächlich nötig.
Dass die von Netcup angebotene VXLAN Lösung offenbar nicht immer die erwartete Bandbreite liefert hat man hier im Forum schon mehrfach vernommen. Ob die Erwartungshaltung berechtigt und zu erfüllen ist, oder die von H6G angeführten Überlegungen vom Kunden zu berücksichtigen sind (obwohl ja nicht Teil der Leistungsbeschreibung) ist denke ich Ansichtssache - ich möchte mich da weder auf die eine, noch auf die andere Seite schlagen.
Einen Aspekt an der Schilderung den ich allerdings nicht verstehe ist: Wofür benötigst Du diese Bandbreite denn überhaupt? Wie viele gleichzeitge RDP Sitzungen sollen das denn sein? Ich kann mir ad-hoc kein Szenario mit RDP vorstellen, wo man mit dem kostenfreien 100MBit vLAN Adapter nicht auch bereits auskommen würde.
