Posts by gunnarh

Mein OwnCloud-Client nervt mich seit ein paar Wochen alle paar Minuten mit der Nachricht, dass mein OwnCloud 10.3.2 Server veraltet wäre und ich doch auf 10.4.1 upgraden soll. Das klappt allerdings nicht, weil 10.4 nicht mehr auf PHP7.0 lauffähig ist und ich mich bislang nicht überwinden konnte auf meiner Ubuntu 16.04 LTS Maschine eine neuere PHP-Version aus einem Fremd-Repo zu installieren.

Gut... Heute Regenwetter - dann mach ich das mal.

Eine Stunde später, PHP 7.4 mit allen Modulen die ich auch unter 7.0 genutzt habe läuft.

Ich will das OwnCloud-Update machen => und .... Fehlermeldung 7.4 wird nicht unterstütz.

Freilich könnte man die Systemanforderungen auch vorher lesen. Aber was solls... jetzt habe ich mir eine unstable Owncloud 10.5 Beta 2 draufgebügelt, auf PHP 7.3 downgraden tu ich mir jetzt auch nicht an wegen der paar Wochen bis OwnCloud 10.5 production stable ist.

Wie viele Stunden pro Monat soll diese Windows-VM denn eingeschaltet sein? Wenn da nur eine Banksoftware darauf läuft, dann ja eventuell nur wenige Stunden pro Monat?

Die Windows-10-VM wirst du bei Netcup soweit ich das beurteile leider nicht korrekt lizenzieren können. In der hauseigenen Cloud des Betriebssystemherstellers (Az...) ist das Windows-OS bereits in den Kosten für die VM-Laufzeit enthalten. Sofern die VM nur wenige Stunden pro Monat benötigt wird (z.b. nur 10% der Zeit des Monats läuft) und den Rest ausgeschaltet verbleibt, ist der Betrieb dort sogar günstiger als eine kleine VM hier den vollen Monat Laufzeit zu bezahlen. Und da bereits angesprochen wurde, dass es sinnvoll ist ein Windows hinter eine Firewall zu packen: Die VMs in der Cloud des Betriebssystemherstellers hängen standardmäßig hinter einem Load-Balancer der nur freigeschaltete Ports (z.B. RDP) weiterleitet. (Sorry dafür, dass ich hier ausnahmsweise nicht zu Netcup rate, aber Windows 10 und Netcup, das geht meiner Meinung nach rechtlich nicht sauber - daher sehe ich da, solange Netcup kein geeignetes Angebot ins Sortiment aufnimmt - keine andere Lösung).

Die Vorgehensweise einen "hidden DNS Master" zu betreiben ist - so wie du sie beschreibst - aus meiner Sicht korrekt. Sollte gültig sein. Wenn Du Bedenken hast, dann prüfe doch mal mit einem der vielen DNS-Zone-Checker Tools - ich verwende z.b. gerne den https://www.zonemaster.net/ Check.

Das Formular zum Hinterlegen deines DNSSEC Public-Keys findet sich direkt unterhalb der (von mir im Post darüber bereits gescreenshotteten) Nameserver-Einträge.

Du meinst diese Fehlermeldung?

IP des Nameserver ns1.box.domain.tld im falschen Format. Bitte geben Sie die IP des Nameservers als IPv4 oder IPv6 an.

Sind die beiden Nameserver korrekt autoritativ für die Zone box.domain.tld konfiguriert und antworten?
Ist die Schreibweise der IPv4 und/oder IPv6 korrekt? Gerade bei IPv6 gibt es da ja mehrere Varianten - hier meine Settings mit IPv4 + IPv6 Glue-Records:

2020-05-13 20_50_55-netcup ccp und 3 weitere Seiten - Gunnar – Microsoft​ Edge.png

Die Formulierung "access it remotely" bzw "remote User" bezieht sich nicht darauf, ob man mittels eines Netzwerkprotokolls wie RDP zugreift, sondern auf den physischen Standort des Blechs auf dem die VM läuft. Und für "zuhause" gilt ohnehin "wo kein Kläger da kein Richter". Man kann jedoch kein öffentlich von Netcup beworbenes Produkt basierend auf einer nicht korrekt lizenzierbaren Softwarelösung anbieten, dieses Risiko würde ein seriöses mitteleuropäisches Unternehmen wohl kaum eingehen. Und wie gesagt: Es gibt ja Lösungen dies zu lizenzieren, nicht aber für den Endkunden sondern für den Serviceprovider.

Die Windows 10 Lizenzbestimmungen untersagen es folgendes zu tun:

install the software on a server and allow users to access it remotely, or install the software on a device for use only by remote users

Microsoft sieht die Installation von Win10 auf einem Server der nur remote genutzt wird als VDI Lösung - mit einer Retail-Version von Windows kann man dies meines Wissens daher nicht korrekt lizenziert betreiben.

Im heutigen Thread nebenan "Anfänger sucht hilfe ^^ (Windows 10 Server)" ging es heute ja wieder rund. Da versuchte ein Neuling Win10 Home auf einem NetCup vServer zu betreiben.

Der Thread-Hersteller hat eingesehen die VM herunterzufahren und zu kündigen... alle sind happy.

Alle? Nun ja - eigentlich nicht, denn bei genauerer Betrachtung wurde der Thread-Ersteller vergrault und Netcup hat einen Kunden verloren.

Ich frage mich, ob das so sein muss?

Das meine ich jetzt nicht in Bezug auf jene die hier im Thread beraten haben - sondern ich stelle mir ernsthaft die Frage, ob es für den Bedarf des Thread-Erstellers nicht ein Produkt-Angebot geben kann.

Was müsste passieren, damit man tatsächlich eine Windows 10 VM bei NetCup mit wenig Aufwand "mieten" und betreiben könnte.

1. Es bräuchte VMs die über keine öffentliche IP-Adresse verfügen sondern zumindest über ein NAT geroutet werden und Incoming-Connections unterbunden werden

2. Die Bandbreite sollte vielleicht zur Sicherheit auf ein auch für den Home-Betrieb gängiges Maß von z.B. 100MBit reduzierbar sein

3. Eine Firewall die ungewöhnlichen Traffic der auf BotNet etc... hindeutet sollte die VM abschirmen

1-3 sind technische Komponenten, die man mit gängiger Hard- oder Software jedoch seitens NetCup für dieses Produktangebot bereitstellen könnte.

4. Die Lizenzfrage wäre zu klären. Es gibt keinen legalen Weg Windows 10 auf einer Netcup VM zu installieren. Diesen Weg könnte nur NetCup selbst ebnen, indem es VMs mit Windows-OS-Lizenz die über ein Microsoft Service Provider Licensing Agreement (SPLA) lizenziert sind anbietet

Ist soetwas angedacht?

Wenn nein, warum nicht? Zu hoher Aufwand? Kein Interesse seitens NetCup? Will man dieses Kundensegment bewusst nicht bedienen sondern anderen überlassen?

[netcup] Lucia wrote:

Um die Auswertung für uns leichter zu machen, ersuchen wir euch, diesen Thread ausschließlich für das Feedback von Bugs zu nutzen.

Gibt es einen separaten Thread für Feature-Wünsche?

• Habe zwar zur Kenntnis genommen, dass es nicht eure Absicht ist in der App auch einen aktuellen Konsolen-Screenshot anzuzeigen - hätte einen solchen aber dennoch gerne und wüsste auch nicht warum das technisch anspruchsvoll wäre (im SCP bekomme ich ja in der Desktop-Ansicht in der Zusammenfassung auch einen angezeigt).
• Und wie bereits erwähnt fehlt mir der Mehrwert den diese App mir hier bereitstellen soll. Für all das was aktuell hier an Möglichkeiten skizziert wurde brauche ich die App nicht, das geht mit der mobilen Website bereits genauso ohne eine App installieren zu müssen. Ich würde daher tatsächlich gerne irgendwo einen Ausblick haben welche Möglichkeiten man mit der App zukünftig unterstützen möchte, welche mit der (mobilen) Website nicht oder nur ungenügend adressiert werden können.
• Stichwort "Monitoring" => ein tatsächlicher Mehrwert wäre es z.B. wenn mich die App benachrichtigen würde, wenn konfigurierbare Schwellwerte des Servers überschritten wurden.
• Weitere Notify-Wünsche
  • wenn z.B. im SCP wieder mal neue Hinweise wie "neue KVM Version verfügbar, Server hierzu rebooten" oder ähnliches auftauchen, wäre es nett wenn die App mich hierüber aktiv notifiziert (ohne in die App einsteigen zu müssen)
  • wenn Wartungstätigkeiten oder Restarts geplant sind (z.B. wie letztes Jahre im Zuge der Spectre/Meltdown-Patches) würde ich mir erwarten das mich die App hier live notifiziert.
  • Man hätte über die App endlich einen von E-Mail unabhängigen Kommunikationskanal um in Echtzeit Aktivitäten die Server betreffend zum Kunden zu pushen.

Mir erschließt sich die Notwendigkeit und der Vorteil den diese App bieten soll derzeit (noch) nicht.

Das https://www.servercontrolpanel.de/ funktioniert völlig zufriedenstellend auch am Smartphone in der mobilen Ansicht im Browser, das Design ist responsive und die Bedienung OK.

Worin soll der Vorteil bestehen sich die App zu installieren? Der Funktionsumfang ist geringer. Momentan merkt sich die App leider nicht einmal die Zugangsdaten - im Browser kann ich die Daten wenigstens mittels Passwort-Manager automatisch befüllen.

Habe die App kurz durchgeklickt, folgendes Feedback hierzu:

• Die Traffic-Anzeige in der App meint Traffic aktueller Monat 118GB, im servercontrolpanel.de sehe ich hingegen 149,31 angegeben. Bei gleicher Datenbasis erscheint mir das doch bemerkenswert.
• Die Möglichkeiten der Steuerung sind in der App nicht die gleichen wie im servercontrolpanel.de, die App stellt weniger bereit.
• Statistiken: Die Skalierung bzw. Skala der X-Achse ist etwas merkwürdig. Man würde doch erwarten, dass das Grid einen Stundenraster abbildet und nicht irgendwelche krummen/unerwarteten Werte.
• Konfigurationsmöglichkeiten die im servercontrolpanel.de existieren (HDD, CPU Sockets etc...) existieren in der App nicht. Unterwegs am Smartphone brauche ich diese allerdings auch nicht - in der mobilen Version des SCP wären diese jedoch vorhanden.
• Eine Konsolen-Ansicht stellt die App leider auch nicht bereit. Auch in der mobilen Ansicht des servercontrolpanel.de gibt es leider keine Konsolen-Ansicht. Dass man am Smartphone eher kaum zuverlässig die Konsole bedienen wird können ist mir klar - aber zumindest einen aktuellen Screenshot der Konsole würde ich gerne sehen (und zwar sowohl in der App, als auch in der mobilen Ansicht des servercontrolpanel.de)

Dein WebServer antwortet korrekt unter [2a03:4000:3b:275:589a:a5ff:fe84:cda].

Wie das nun zu Deiner Config passt, die ja [2a03:4000:3b:275::1] lauten sollte ist mir allerdings ein Rätsel. Best Guess: Deine static Config wirkt nicht.

1. Ich fragte nach der tatsächlichen Netzwerk-Konfiguration die aktuell wirksam ist, Du hast uns aber lediglich config-Files gezeigt. Ein "ip addr show eth0" wäre hilfreich.

2. Ich fragte nach der Routing-Table, Du hast uns nur deine IPv4 Routing-Table gezeigt, gemeint habe ich freilich die IPv6 Routing Table, also z.B. "route -6 -n"

1. Ping/Traceroute von 2a03:4000:3b:275::1 zeigt keine Antwort, dein Server ist also nicht korrekt konfiguriert

2. Dein DNS-Eintrag ist falsch, er zeigt nicht auf 2a03:4000:3b:275::1 sondern auf 2a03:4000:3b:275::

Um zu ergründen warum Dein Server nicht über IPv6 erreichbar ist, solltest Du uns schon mehr Infos geben. Wie sieht die tatsächlich derzeit wirksame Interface-Konfiguration und Routing-Table aus? Welche OS / Distribution hast Du installiert? Und vielleicht ganz banal: Ist dein Netzwerk-Adapter wirklich eth0?

Die Begründung der Mozilla-Group ist nachvollziehbar, ich bin aber etwas skeptisch ob die Welt da draußen schon soweit ist, dass man seine Website nur mehr mit "Modern Browsers" zugreifbar braucht. Es soll ja - nicht hier in Mitteleuropa, aber z.B. in Asien - durchaus noch eine signifikante Menge an WinXP-Altgeräten geben, bzw. Anwender die immer noch mit Internet Explorer Surfen. Und nicht zu vergessen die vielen alten Android-Handys, die seit Jahren keine Updates mehr erhalten. Wenn man die nicht bedienen will oder muss, dann ja. Andernfalls wird man wohl noch die eine oder andere Non-PFS-Ciphersuite hinzufügen müssen.

Cloud vLAN Giga: https://www.netcup.de/bestellen/produkt.php?produkt=2298

Zitat: Maximale Bandbreite im vLAN: 1 GBit/s *

*) abhängig vom gebuchten Root-Server, VPS oder Storage-Server. Root-Server ab Generation 8 erreichen den maximal möglichen Durchsatz. Bei anderen Root-Server- und Storage-Server-Produkten sind bis zu 500 MBit/s Durchsatz maximal möglich. VPS schaffen maximal 200 MBit/s Durchsatz. Mehrere Cloud vLANs die auf den selben Root-Server, Storage-Server oder VPS geschaltet werden, teilen sich die maximal verfügbare Bandbreite untereinander je Root-Server, Storage-Server oder VPS auf.

Gut, um bei Deinem Maserati-Vergleich zu bleiben: Du darfst Deinen Maserati gerne mit 300 am gesperrten Nürburgring fahren, wirst aber auf der Autobahn angesichts der Vielzahl an anderen Verkehrsteilnehmern wohl kaum auf mehr als die von Dir angesprochenen 160 kommen. Daran ist nicht der Maserati schuld, sondern der übrige Verkehr. Wenn Du Dir also einen Maserati gekauft hast um auf der Autobahn 300 zu fahren, und nun draufkommst das die Autobahn für dich nicht exklusiv gesperrt wird nur weil Du nun einen Maserati erworben hast, dann sind nicht alle anderen schuld sondern Deine Erwartungshaltung ist wohl unrealistisch.

Und um den hinkenden Vergleich noch zu vervollständigen: Du beschwerst Dich gerade, weil du nicht 300 sondern nur 240 fahren kannst. (1000 versus 800).

Deine Messung ergibt also 80MB/s "Downloadspeed von ..." => das ergibt inklusive Overhead also ohnehin fast 800MBit der genannten Maximalleistung von 1000MBit. Dein Vergleich mit dem Maserati hinkt also.

• Du übergibst eine wohlsortierte Liste. In der Liste sehe ich die AES128-Ciphersuiten vorgereiht
• Du drehst aber andererseits den "SSLHonorCipherOrder" auf Off, somit bestimmt nicht der Server die Order, sondern der Client

Um zu erreichen was du möchtest, drehst du den SSLHonorCipherOrder Switch auf on und sortierst die Liste dergestalt, dass die von dir präferierte CipherSuite vorne ist. Ich bin mir allerdings - angesichts Deiner Fragestellung - nicht ganz sicher, ob Du dazu ohne Hilfe in der Lage bist. Ich würde Dir daher zum Beispiel den Firefox SSL-Configuration-Generator empfehlen: https://wiki.mozilla.org/Security/Server_Side_TLS

Noch ein Hinweis: Praktisch ist derzeit kein Angriff gegen AES128 möglich, die Verwendung von AES256 für eine TLS-Verbindung zu einem WebServers daher eher Kosmetik als tatsächlich nötig.

Dass die von Netcup angebotene VXLAN Lösung offenbar nicht immer die erwartete Bandbreite liefert hat man hier im Forum schon mehrfach vernommen. Ob die Erwartungshaltung berechtigt und zu erfüllen ist, oder die von H6G angeführten Überlegungen vom Kunden zu berücksichtigen sind (obwohl ja nicht Teil der Leistungsbeschreibung) ist denke ich Ansichtssache - ich möchte mich da weder auf die eine, noch auf die andere Seite schlagen.

Einen Aspekt an der Schilderung den ich allerdings nicht verstehe ist: Wofür benötigst Du diese Bandbreite denn überhaupt? Wie viele gleichzeitge RDP Sitzungen sollen das denn sein? Ich kann mir ad-hoc kein Szenario mit RDP vorstellen, wo man mit dem kostenfreien 100MBit vLAN Adapter nicht auch bereits auskommen würde.

Ich bin mit AppArmor leider (noch) nicht vertraut.

Soweit ich das verstehe kann der AppArmor-Schutz aber nicht einfach durch Stoppen des Service abgeschaltet werden. Dafür müsste man schon einen Kernel-Parameter ändern und neu starten.

Wenn ich

https://wiki.ubuntu.com/DebuggingApparmor

richtig verstehe, wäre die empfohlene Vorgangsweise:

auszuführen, um für den named-Prozess AppArmor temporär außer Kraft zu setzen.