Beiträge von gunnarh

1. Ping/Traceroute von 2a03:4000:3b:275::1 zeigt keine Antwort, dein Server ist also nicht korrekt konfiguriert

2. Dein DNS-Eintrag ist falsch, er zeigt nicht auf 2a03:4000:3b:275::1 sondern auf 2a03:4000:3b:275::

Um zu ergründen warum Dein Server nicht über IPv6 erreichbar ist, solltest Du uns schon mehr Infos geben. Wie sieht die tatsächlich derzeit wirksame Interface-Konfiguration und Routing-Table aus? Welche OS / Distribution hast Du installiert? Und vielleicht ganz banal: Ist dein Netzwerk-Adapter wirklich eth0?

Die Begründung der Mozilla-Group ist nachvollziehbar, ich bin aber etwas skeptisch ob die Welt da draußen schon soweit ist, dass man seine Website nur mehr mit "Modern Browsers" zugreifbar braucht. Es soll ja - nicht hier in Mitteleuropa, aber z.B. in Asien - durchaus noch eine signifikante Menge an WinXP-Altgeräten geben, bzw. Anwender die immer noch mit Internet Explorer Surfen. Und nicht zu vergessen die vielen alten Android-Handys, die seit Jahren keine Updates mehr erhalten. Wenn man die nicht bedienen will oder muss, dann ja. Andernfalls wird man wohl noch die eine oder andere Non-PFS-Ciphersuite hinzufügen müssen.

Cloud vLAN Giga: https://www.netcup.de/bestellen/produkt.php?produkt=2298

Zitat: Maximale Bandbreite im vLAN: 1 GBit/s *

*) abhängig vom gebuchten Root-Server, VPS oder Storage-Server. Root-Server ab Generation 8 erreichen den maximal möglichen Durchsatz. Bei anderen Root-Server- und Storage-Server-Produkten sind bis zu 500 MBit/s Durchsatz maximal möglich. VPS schaffen maximal 200 MBit/s Durchsatz. Mehrere Cloud vLANs die auf den selben Root-Server, Storage-Server oder VPS geschaltet werden, teilen sich die maximal verfügbare Bandbreite untereinander je Root-Server, Storage-Server oder VPS auf.

Gut, um bei Deinem Maserati-Vergleich zu bleiben: Du darfst Deinen Maserati gerne mit 300 am gesperrten Nürburgring fahren, wirst aber auf der Autobahn angesichts der Vielzahl an anderen Verkehrsteilnehmern wohl kaum auf mehr als die von Dir angesprochenen 160 kommen. Daran ist nicht der Maserati schuld, sondern der übrige Verkehr. Wenn Du Dir also einen Maserati gekauft hast um auf der Autobahn 300 zu fahren, und nun draufkommst das die Autobahn für dich nicht exklusiv gesperrt wird nur weil Du nun einen Maserati erworben hast, dann sind nicht alle anderen schuld sondern Deine Erwartungshaltung ist wohl unrealistisch.

Und um den hinkenden Vergleich noch zu vervollständigen: Du beschwerst Dich gerade, weil du nicht 300 sondern nur 240 fahren kannst. (1000 versus 800).

Deine Messung ergibt also 80MB/s "Downloadspeed von ..." => das ergibt inklusive Overhead also ohnehin fast 800MBit der genannten Maximalleistung von 1000MBit. Dein Vergleich mit dem Maserati hinkt also.

• Du übergibst eine wohlsortierte Liste. In der Liste sehe ich die AES128-Ciphersuiten vorgereiht
• Du drehst aber andererseits den "SSLHonorCipherOrder" auf Off, somit bestimmt nicht der Server die Order, sondern der Client

Um zu erreichen was du möchtest, drehst du den SSLHonorCipherOrder Switch auf on und sortierst die Liste dergestalt, dass die von dir präferierte CipherSuite vorne ist. Ich bin mir allerdings - angesichts Deiner Fragestellung - nicht ganz sicher, ob Du dazu ohne Hilfe in der Lage bist. Ich würde Dir daher zum Beispiel den Firefox SSL-Configuration-Generator empfehlen: https://wiki.mozilla.org/Security/Server_Side_TLS

Noch ein Hinweis: Praktisch ist derzeit kein Angriff gegen AES128 möglich, die Verwendung von AES256 für eine TLS-Verbindung zu einem WebServers daher eher Kosmetik als tatsächlich nötig.

Dass die von Netcup angebotene VXLAN Lösung offenbar nicht immer die erwartete Bandbreite liefert hat man hier im Forum schon mehrfach vernommen. Ob die Erwartungshaltung berechtigt und zu erfüllen ist, oder die von H6G angeführten Überlegungen vom Kunden zu berücksichtigen sind (obwohl ja nicht Teil der Leistungsbeschreibung) ist denke ich Ansichtssache - ich möchte mich da weder auf die eine, noch auf die andere Seite schlagen.

Einen Aspekt an der Schilderung den ich allerdings nicht verstehe ist: Wofür benötigst Du diese Bandbreite denn überhaupt? Wie viele gleichzeitge RDP Sitzungen sollen das denn sein? Ich kann mir ad-hoc kein Szenario mit RDP vorstellen, wo man mit dem kostenfreien 100MBit vLAN Adapter nicht auch bereits auskommen würde.

Ich bin mit AppArmor leider (noch) nicht vertraut.

Soweit ich das verstehe kann der AppArmor-Schutz aber nicht einfach durch Stoppen des Service abgeschaltet werden. Dafür müsste man schon einen Kernel-Parameter ändern und neu starten.

Wenn ich

https://wiki.ubuntu.com/DebuggingApparmor

richtig verstehe, wäre die empfohlene Vorgangsweise:

sudo aa-complain /usr/sbin/named

auszuführen, um für den named-Prozess AppArmor temporär außer Kraft zu setzen.

Hat es schon mal funktioniert?
SELinux/AppArmor - Berechtigungen und ALCs (getfacl) wären die üblichen Verdächtigen. Aber das hast Du ja scheinbar schon gecheckt.

Mein HowTo zu diesem Thema ist hier: https://hitco.at/blog/sicherer…ste-anbieter-dnssec-dane/

Konkretes PDF hier:

https://hitco.at/blog/wp-conte…DANE-HowTo-2016-04-28.pdf

Auf Seite 24 siehst Du, wie ich den Domains-Ordner mit Ownership und Berechtigungen versehe.

Um einen Webshop zu besuchen wir TOR wohl ausreichend schnell sein.

Mir scheint ja der hier dargelegt Grund ohnehin nur irgend ein vorgeschobenes Argument zu sein um den wahren (vermutlich illegalen?) Einsatzzweck nicht preisgeben zu müssen. Ein WebShop der pro Kunde nur ein Stück liefern will wird wohl die Kundendaten auch auf Zahlungs/Empfänger-Dubletten abgleichen und nicht auf "gleiche IP-Adresse" matchen. Gleiche IP-Adresse ergibt in Zeiten von Carrier-Grade-NAT ja auch gar keinen Sinn mehr.

Warum verwendest Du nicht einfach TOR mit wechselnden Exit-Nodes?

Er hat ja zuhause einen Server laufen, auf dem er das hosten kann.

Wenn der nicht läuft, dann bringt das ganze Vorhaben ja nichts

Man muss dafür keinen Server mieten, ein WebHosting-Paket reicht aus.

Eine weitere Möglichkeit wäre keinen externen DynDns-Dienst zu verwenden, sondern den A-Record mittels API gescriptet immer dann zu ändern, wenn Dir eine neue IP-Adresse zugewiesen wird. Gescriptete Lösungen die dies umsetzen wurden hier im Forum soweit ich das gesehen habe schon vorgestellt. Ein paar Scripts die genau das tun findest Du auf GitHub mit den Keywords NetCup dynamic DNS API

Da das kein Standard ist, sondern eine proprietäre Idee von Cloudflare kann ich mir das kaum vorstellen.

CNAME-Flattening ist nichts anderes als ein fancy Begriff für eine sehr eigenwillige, proprietäre "CNAME Resolver" Implementierung.

Ein Nameserver der das unterstützt wird so konfiguriert, dass er den CNAME nicht an den anfragenden Client als CNAME ausliefert, sondern die Ziel-IP-Adresse wie ein Resolver anhand des hinterlegten "CNAME Ziels" dynamisch ermittelt und dessen IP-Adresse als A-Record ausliefert.

Aus Sicht des Clients wird also ein A-Record geliefert.

Dann bin ich ja beruhigt, dass ich nicht der Einzige hier bin der Deine geringschätzigen Attribut-Zuweisungen entgegennehmen darf.

=> Baba, und foi ned!

Ich staune nicht schlecht.

Der Thread ist ein halbes Jahr alt, so lange später nochmals vom OP eine Rückmeldung zu erhalten - damit hätte wohl niemand mehr gerechnet

Und danke ASS für die Verleihung des "Korinthenkxxxer" der "andere Schulmeistern muss" und dem es an "Sozialkompetenz / kognitiven Fähigkeiten mangelt". Im Gegensatz zu Deiner Wortspende habe ich versucht dem OP Hilfestellung zu geben, worin nun Dein geschätzter Beitrag hier besteht entzieht sich aktuell meiner Wahrnehmung. Sehr wohl nehme ich aber wahr, dass Deine Wortspende nicht nur mich sondern auch Maxel20 geringschätzt.

Zitat

Er hat dann zwar ein Laufwerk gefunden aber moniert, dass Windows nicht auf der Partition installiert werden kann

Es ist stets hilfreich wortgetreue Fehlermeldungen zu posten. Mit dieser (Deiner) interpretierten Wiedergabe lässt sich wenig anfangen.

Best-Guess: Dein Server ist/war bereits mit Linux vorinstalliert, Windows mag die bestehenden Partitionen nicht => also alle löschen und dem Windows-Installer die Partitionierung vornehmen lassen.

Define "nobody can intercept" please.

And: Is passive eavesdropping OK but Interception is not?

Who is "nobody"? Other Netcup-Customers? Everyone? Nobody but Netcup?

Of course at least Netcup could technically do both, passive eavesdropping as well as active interception.

Other Netcup-Customers having control over Virtual Machines should not be able to do eavesdropping or active interception that easy. Other Netcup-Customers having access to a physical Network-Port (e.g. customers which are renting a physical server) shouldn't have an easy possibility to do eavesdropping or interception too, but I think for them it is only the L2-Network-Environment protecting your encapsulated Ethernet-Frames with a very low guarantee regarding this request (e.g. typically Attacks in L2-Networks like ARP-Spoofing or Flooding the SAT-Tables etc... are maybe not 100% mitigated).

Regarding Netcups DDOS-Protection I cannot tell you anything helpful for your decision. I never noticed a DDOS on my services the last 4 years - but just use the Forum-search, some other users noticed attacks. Nobody like me not noticing any attacks will ever submit a forum-post like "glad to have Netcups DDOS protection", but every single customer having any Performance/(D)DOS-Issue will likely fire up a new Forum-Post complaining to be victim.

What I noticed is, that there was a discussion about "UDP DDOS Traffic" which seems to be not detectable / filtered by Netcups DDOS-Infrastructure. As you seem not to speak german and machine-based language-translation probably will not provide you the information, that the the referenced Forum-Thread-Author seems to be a very young and/or unexperienced person (disclaimer: this is just my personal view, based on the style of writing), I would suggest to focus on the Postings of "[netcup] Felix" in this thread which give some insights you maybe like to read.

Regarding CloudFlare and Latency: A "standard web application" will not noticeable suffer by the "cloudflare latency". But as you seem to have a certain type of Web-Application where latency is a key indicator I would suggest:

1. prepare and test your setup for cloudflare (or a similar service)

2. disable cloudflare for regular (day to day, high-performance) service usage

3. re-enable cloudflare in the case of a DDOS to provide additional protection "on demand"

4. automate the switch between cloudflare enabled / disabled to make it as easy and trivial as possible for you to quickly add additional protection in case of needed