SOLVED: e4crypt
> > ich schreibe gerade am Notfallhandbuch > OK, sollte man ja haben. > Nutzt Du da eine bestimmte Vorlage und passt Sie an oder erstellt nach > Bedarf? > Keine Vorlage, nur Stichpunkte für den panischen/hektischen Admin zum desaster recovery. > Hierbei hab ich immer das -S Argument benötigt um es auf anderen Geräten > nutzen zu können. > Ich habe es gerade verstanden und selber gelöst. Der "-S" Hinweis ist da genau das richtige. - aktiviert man die crypt features mittels tune2fs, wird pro device ein salt angelegt. - am Backupsystem habe ich zwei solcher Platten/Partitionen - mein Skript mountet EINE davon (EIN Salt) und fragt nach dem key, das führt zu EINEM descriptor - später mounte ich die zweite Platte und offenbar hatte ich dort mittels "e4crypt set_policy" diesen EINEN descriptor aus dem salt der ERSTEN Platte verwendet - für die Notfalltest hatte ich nun genau diese zweite Platte in der Hand und "e4crypt add_key" ohne "-S" nimmt nun das salt eben dieser zweiten Platte und führt zu einen abweichenden descriptor - jedes weitere "e4crypt add_key" spuckt nun nach dem zweiten mount auch immer zwei descriptoen (einen für jedes salt) aus - mittels "e4crypt add_key -S $salt_der_ersten_platte" bekomme ich nun auch die zweite aufgeschlossen. Mit freundlichen Grüßen / Kind regards Ronny Seffner
AW: e4crypt
> > ich schreibe gerade am Notfallhandbuch > > Oh, das klingt spannend. An welchem? Oder "nur" an einem speziellen, > nicht allgemein hilfreichen? > An einem Speziellen, nix was "recyclebar" ist. > Vielleicht hilft dir dieser Eintrag aus dem Archwiki: > https://wiki.archlinux.org/title/Fscrypt > Danke für den Hinweis. Da es an einem System aber mit e4crypt geht, will ich als "Ersatz" meiner Unfähigkeit nicht am anderen "fscrypt" verwenden. Mit freundlichen Grüßen / Kind regards Ronny Seffner
e4crypt
Hallo Gruppe, ich schreibe gerade am Notfallhandbuch und versuche eine ext4 crypted Verzeichnisstruktur an einem beliebigen anderen Rechner zu lesen. Hängt die Backupplatte am zu sichernden Rechner, verwende ich 'e4crypt add_key -k @u /backup/crypted' und erhalte "Added key with descriptor [***719]" Hänge ich die Platte an einen anderen Rechner (auch debian 12 amd64, gleicher kernel) und verwende den gleichen Befehl, erhalte ich: "Added key with descriptor [***870]" "Error [File exists] setting policy" "The key descriptor [***870] man not match the existing encryption context for directory [/backup/crypted]" Die Verzeichnisstruktur ist dann für mich unlesbar (Buchstabensalat) und in die Dateien darf ich nicht reinschauen (cat $FILE ... Der notwendige Schlüssel ist nicht verfügbar) Ich bin sicher, dass ich beide Male das gleiche Kennwort eingebe. Ich bin sicher, dass beide Keyboard-Layouts identisch sind. Ich habe schon einen 3. Rechner probiert - gleiches Phänomen. 'e4crypt add_key -k @u' auf der Backupmaschiene, gefüttert mit "bernd" liefert: Enter passphrase (echo disabled): Added key with descriptor [b975e6332e33edb7] Added key with descriptor [f33468f048ce7354] Das gleiche auf den anderen "restore"-Testmaschinen leifert hingegen: Enter passphrase (echo disabled): Added key with descriptor [f33468f048ce7354] Warum hat das Backupsystem ZWEI descriptoren? Ich bin ratlos, hat wer eine Idee? Mit freundlichen Grüßen / Kind regards Ronny Seffner
composer Probleme mit Versionen
Hallo Gruppe,
ich komme absolut nicht mit den composer Versionierungen/Einschränkungen
zurecht. Da ich das "Werkzeug" eigentlich nie nutze, hoffe ich hier auf
schnelle Hilfe, statt mich da jetzt tief einzulesen.
Installiert wurde einst mautic 4.4.? via composer - und auch immer fleissig
bis 4.4.11 aktualisiert.
Dazu gab es ein composer.json welches u.a. Folgendes enthielt (wenn mehr
benötigt wird, gern fragen):
"require": {
"composer/installers": "^1.11",
"mautic/core-composer-scaffold": "4.x-dev",
"mautic/core-lib": "4.4.11",
"mautic/core-project-message": "4.x-dev",
"mautic/grapes-js-builder-bundle": "4.4.11",
...
"minimum-stability": "dev",
"prefer-stable": true,
...
Der Update-Leitfaden meint, ein aktuelles composer.json zu laden und
"composer update" auszuführen (was bisher auch immer gut funktioniert hat).
Die neue composer.json enthält aber (das "x-dev" verschwindet zu Gunsten
einer Versionsnummer):
"require": {
"composer/installers": "^1.11",
"mautic/core-composer-scaffold": "4.4.12",
"mautic/core-lib": "4.4.13",
"mautic/core-project-message": "4.4.12",
"mautic/grapes-js-builder-bundle": "4.4.12",
...
"minimum-stability": "dev",
"prefer-stable": true,
...
Das "composer update" schlägt nun fehl mit:
Problem 1
- Root composer.json requires mautic/core-composer-scaffold 4.4.12,
found mautic/core-composer-scaffold[dev-RCheesley-patch-1, 3.x-dev, 4.x-dev]
but it does not match the constraint.
Problem 2
- Root composer.json requires mautic/core-project-message 4.4.12, found
mautic/core-project-message[3.x-dev, 4.x-dev] but it does not match the
constraint.
Ich habe schon "composer require $PAKET:4.4.12" erfolglos probiert. Auch den
composer cache habe ich gelöscht. Ferner habe ich die beiden Pakete aus
vendor und die composer.lock mal testweise gelöscht.
Wie kann man denn "erzwingen", dass da jetzt die 4.4.12 einzusetzen wäre
statt der 4.x-dev?
Richtig blöd wird es mit der Migration auf Version 5, da hält der composer
immer noch an den 4.x-dev fest ;-(
Mit freundlichen Grüßen / Kind regards
Ronny Seffner
AW: hat jemand gentoo-Erfahrung
Hallo Falk, werte Mitleser, > meinst Du mit Schnittstellen irgendwas hardwareseitiges? > Nein, eher CIFS und AFP. Das Ding ist quasi eine Appliance/ein NAS (Certon Systems). > Bzw. worauf ich hinaus will, zwecks debuggen/rumprobieren und > zukunftsfähigen Betriebs - das Elend in ne KVM stecken? > Wir haben - mit Unterstützung aus der Gruppe hier - herausgefunden, dass die busybox in der initrd mit Scripten gespickt ist, die gegen verbaute Hardware prüft. Das Ersatzmainboard z.B. ist nicht in der Liste der dort geführten Mainboards - das führt dann zum gewollten Abbruch des Bootvorganges. Ob der Hersteller damit "nur" eine Art Kopierschutz erreichen wollte oder mehr ist unklar. Unser Auftrag ist nicht das forensisch rückzuentwickeln. Die 22TB Daten sind ja mit live-OS lesbar und werden dann jetzt dem Kunden wohl anderweitig übergeben. Hatte nur gehofft, es ist ne Kleinigkeit, wir reparieren was an der Bootumgebung und das System läuft wieder. Danke für die Teilnahme. Mit freundlichen Grüßen / Kind regards Ronny Seffner
hat jemand gentoo-Erfahrung
Hallo Gruppe, ich habe hier ne Hardware hingestellt bekommen, die wohl so eine Art Fotospeicher mit GUI und Schnittstellen ist. Der Hersteller ist längs vom Markt verschwunden. Das Mainbord hat den Geist aufgegeben und mit einem Ersatz aus der Generation (Sockel, RAM) rennt die Kiste in eine Kernel-Panic. Ich habe da unter Knoppix mal ins Storage (RAID-Controller, SATA-Boot-Device) geschaut. Ist wohl ein gentoo 1.12.xx - Wikipedia kennt 1.1, 1.4 und 12.x. Das 12.x ist aus 2012, die Dateien im System aus 2013 - ich tippe daher auf eines dieser 12er gentoo. Alles was ich beim Booten beobachten kann, ist das init daran scheitert /root zu verwenden und dann kommts zur kernel panic. Ich würde jetzt in einem mir bekannten Linux im Bootloader (grub) schauen ob root= irgendwie valide scheint und ggf. die initrd neu bauen (ich einer chroot-Umgebung). Hier liegt /root aber als squashfs-Datei vor. Ich glaube irgendwie nicht, dass es gut wird, wenn ich unter einem knoppix die Partitionen zusammen mounte, mit chroot da rein wechsle und mkintiramfs ausführe. Ich fühle mich in der Konstellation einfach zu unsicher. Hat hier jemand ausreichende gentoo Rettungserfahrungen und kann das remote oder vor Ort mit hoher Sicherheit bootbar bekommen? Dem "Kunden" ist das bares Geld wert, also muss kein Freundschaftsdienst sein. Oder gibts nen howto, dass ich noch nicht fand aber lesen sollte? Antworten auch gern per PN oder an 0174 9474439. Mit freundlichen Grüßen / Kind regards Ronny Seffner
Re: "Connection refused" von Redhat8
Wer sagt denn, dass "Firewalls" - hier vermutlich Paketfilter (iptables, nft) - nur über Netzgrenzen hinweg funktionieren. Das ist falsch!Am 14.06.2024 23:52 schrieb "Preuße, Hilmar" :Moin, gegeben sind 3 Linux-Server auf Redhat8 (virtuelle Maschinen, ob VMWare oder KVM kann ich auf Anhieb nicht sagen). Alle Maschinen stehen topologisch (IPv4) im selben Netz (CIDR /24). Folgendes Verhalten: TCP von ServerA -> TCP/5665 ServerC -> TCP Connect OK TCP von ServerB -> TCP/5665 ServerC -> Connection refused Selbes Verhalten auf TCP/22. Die Host FW auf ServerC ist angeblich down (prüfen kann ich das nicht [kennt jemand eine Methode, wie ich das als non-root testen kann?]). Man verweist mich jetzt auf ein mgl. Netz-FW, aber FW's funktionieren doch nur über Netz-Grenzen, also müßten die 3 Kisten in unterschiedlichen Netzen stehen, um eine FW zum Einsatz zu bringen. Jemand eine Idee, was hier los sein könnte? H. -- sigfault
AW: SSH mit agent forwarding
Hat denn da keiner eine Idee, wie ich da weiter vorgehen kann. Es muss doch an irgendeinem Setting der beteiligten Server oder Client liegen, wenn es denn grundsätzlich funktioniert. Mit freundlichen Grüßen / Kind regards Ronny Seffner
SSH mit agent forwarding
Hallo Gruppe, ich möchte mit einem Client per SSH zu einem Server1 und von dort zu anderen Hosts (wieder per SSH). Wenn der Client putty/win oder termius/android ist und Server1 ein Debian12, dann klappt der Zugriff im terminal des Server1 auf weitere Hosts problemlos. Ist der Client hingegen juicessh/android kommt es dann zu keiner Sitzung auf weitere Hosts von Server1 aus. (Der SSH-Client startet und fragt oder meldet nichts mehr) - ich kann aber vom Client juicessh/android problemlos direkt auf die weiteren Hosts zugreifen - wenn Server1 ein Debian9 ist, klappt es auch mit juicessh/android = tausche ich in der Konstellation nur juicessh/android aus geht es = tausche ich in der Konstellation meinen "Hop-"Server geht es auch Ich schlussfolgere daher eine Kombination aus juicessh/android und Debian12 (bzw. meinen Settings dort). Wie kann ich denn nun weiter debuggen, wo da genau auf Geige klemmt. Die Entwickler sind da keine rechte Hilfe. Mit freundlichen Grüßen / Kind regards Ronny Seffner
AW: kein reboot nach "etwas" Laufzeit möglich
Hallo Gruppe, Hallo Andreas, ich sah halt nur die md-Meldungen und in Zusammenhang mit "never shutdown" dann eine angebliche md vs. EFI Unverträglichkeit. Hab mich da wohl irritieren lassen. > Das Problem liegt denke ich woanders. > Ich habe jetzt "watchdog" installiert. So wie ich das verstehe, schreibt das ein "alive" alle 60 Sekunden in den kernelspace, und wenn das mal nicht kommt, geht der kernel in den reboot. Bei einem gewünschten reboot hat mir das schon geholfen - empirisch ist das aber noch nicht. Vor allem aber bringt mich das der Ursache ja nicht näher. Mit freundlichen Grüßen / Kind regards Ronny Seffner -- Ronny Seffner | Alter Viehweg 1 | 01665 Klipphausen www.seffner.de | ro...@seffner.de | +49 35245 72950 7EA62E22D9CC4F0B74DCBCEA864623A568694DB
AW: Kein FTP mehr möglich mit Debian 11 - Firewallproblem
> Man koennte auch sagen: FTP ist broken by design :) > Lag mir auf der Zunge - hilft dem Luca ja aber nicht. > fuer sftp mit (ich meine das SSH-Subsystem, nicht FTP ueber SSL). > ... heißt ja dann auch FTPs ... während du in deinem FTP-Server aber oft mehr oder weniger out-of-the-Box virtuelle Nutzer und chroot hast, konfrontiert dich sftp(scp|ssh) gleich mit Systemnutzern und den Schwesterprotokollen - Luca meint ja auch, der Client kann/will nicht anders und von FTP(s) zu SFTP ist es eben ein konzeptioneller Wechsel > eine zweite Verbindung, kein Gehampel mit irgendwelchen conntrack- > Helpern > Es sei denn du machst über diesen Portfilter auch noch VoIP oder so, das ist kaum besser. > Welchen Grund ausser "wir machen das schon immer so" gibt es, heute > noch FTP zu benutzen? > S.o.: Konzeptwechsel, virtuelle Nutzer, ..., keinen, der nicht lösbar wäre Mit freundlichen Grüßen / Kind regards Ronny Seffner
AW: AW: Kein FTP mehr möglich mit Debian 11 - Firewallproblem
> Das mit dem ctstate habe ich auch probiert, leider hat das auch nichts > gebraucht. > Ich denke aber hier ist die Ursache. > OUTPUT-Regel gibt es weder bei dem Server noch bei dem Client. > Eine Policy? Irgenwas muss es ja geben. > Leider konnte ich nicht finden, wie ich diese erlauben kann, ohne > pauschal alles, was über 1024 ist, zu erlauben... > Du kannst in Deinem FTP-Server die Portrange dafür festlegen. Z.B. "PassivePorts 49152 49161" für proFTPd Wie viele parallele FTP-Verbindungen erwartest Du? 10? Dann mach doch quick-and-dirty diese 10 Ports auf (habe ich hier auch so, wegen FTPs wo conntrack keine Macht hat). Mit freundlichen Grüßen / Kind regards Ronny Seffner -- Ronny Seffner | Alter Viehweg 1 | 01665 Klipphausen www.seffner.de | ro...@seffner.de | +49 35245 72950 7EA62E22D9CC4F0B74DCBCEA864623A568694DB
AW: Kein FTP mehr möglich mit Debian 11 - Firewallproblem
Moin,
FTP unterscheidet sich ein wenig von den meisten Protokollen mit denen man
sonst so zu tun hat.
Es ist aufgeteilt in einen Steuerkanal (i.d.R. TCP 21) und einen Datenkanal
(kann TCP 20 sein, kann aber auch ein beliebiger highport sein).
Der Steuerkanal macht z.B. login oder changedir. Dazu baut der Client von einem
TCP highport eine Verbindung zum FTP-Server TCP 21 auf, dieser antwortet dann
auch auf diesem Wege.
Das ist das übliche für Paketfilter - auf der Clientseite ausgehend erlaubt,
vermutlich noch NAT und auf Serverseite in&out erlaubt.
Nun ist die Frage, hat Dein Client aktives oder passives FTP angefordert?
Aktiv läuft so, dass der Server den Client über den Steuerkanal mitteilt, dass
der Client an einem beliebigen highport _lauschen_ und diesen dem Server
mitteilen soll.
Datentransfer würde dann so laufen, dass der Server von TCP 20 den Client am
vereinbarten highport kontaktiert. Server out sicher erlaubt aber Client in
(und dann ggf noch das NAT)?
Das versucht das connection tracking modul zu lösen, indem es auf dem
Steuerkanal mithört was vereinbart wird und dann dynamisch Regeln nachbaut.
Wann funktioniert das nicht? Richtig, wenn TLS im Einsatz ist.
Das war wohl auch den Protokolldesignern aufgefallen und man entwarf noch den
passive-mode. Hier teilt der Server dem Client mit, auf welchem highport (die
Range kannst Du i.d.R am FTP-Server definieren) der Server auf Clientanfragen
lauscht. Hier müssen am Server also noch diese möglichen highports in offen
sein (auch das kann conntrack wohl übernehmen) und auf Clientseite das
entsprechende out (was man aber i.d.R. zu hat, also auch hier conntrack).
> Login kein Problem, aber keine Dateiauflistung und Übertragung.
>
Der Steruerkanal läuft bei Dir - Du sagtest ja: login geht.
> root@ns:~# lsmod | grep conn
> nf_conntrack_ftp 24576 0
> nf_conntrack 176128 7
>
Auf connection tracking bist Du auf Serverseite auch vorbereitet, die nötigen
Module sind geladen.
> -A INPUT -m state --state RELATED,ESTABLISHED -m comment --comment
> "Connection tracking" -j ACCEPT
> -A INPUT -d 91.216.245.10/32 -i isp0 -p tcp -m multiport --dports 20,21
> -m comment --comment Rico -j ACCEPT
>
Die eingehenden Server-Regeln für die bekannten Ports hast Du und alles
Verbindungszugehörige (established, related) auch.
Leider bist Du schuldig geblieben, wie das ausgehend so aussieht. Ob Du den FTP
auch wirklich an 21 gebunden hast und ob die IF stimmen, musst du allein
prüfen. Vom Client wissen wir auch nix.
Wie Du meiner Beschreibung nun aber hoffentlich entnehmen kannst, ist auch der
Paketfilter auf Clientseite entscheidend - hier könntest Du mit z.B. 'tcpdump'
mal einem Verbindungsaufbau und dann vor allem versuchtem PUT/GET/DIR|LS auf
beiden Kisten zuschauen, um herauszufinden, welche Seite hier Pakete
verwirft/blockiert.
Ferner ist mir so, als müsse man bei neueren Kernen (ab oder größer 4.7?) das
connection tracking jetzt erst "initialisieren".
In 'nftables'/'nft' läuft das z.B. so
nft add ct helper inet $TABLE ftp { type "ftp" protocol tcp; }
nft add rule inet $TABLE INPUT ct helper ftp accept #auch für OUTPUT und
FORWARD ggf.
mit 'iptables' sollte das wohl so aussehen
iptables -A $CHAIN -m conntrack --ctstate RELATED -m helper --helper ftp -d
$DESTINATION -p tcp --dport 1024: -j ACCEPT #statt der 1024: auch gern die
Portrange des FTP-Servers; gilt dann für passives FTP
conclusion
- SSL am FTP-Client aus
- active und passive probieren - vielleicht geht ein Mode schon
- kernel und helper initialisierung prüfen
- mit 'tcpdump' debuggen
Mit freundlichen Grüßen / Kind regards
Ronny Seffner
Re: Kein FTP mehr möglich mit Debian 11 - Firewallproblem
FTP aktiv oder passiv? Platin oder mit SSL. Was genau heißt "geht nicht" - kein Banner, kein Login oder "nur" kein Dateilisting/Übertragung?Zeig 'lsmod', 'iptables -S' und 'iptables -S -t nat'. Oder hast Du doch schon nftables, dann 'nft list ruleset'.Am 12.12.2023 21:42 schrieb Luca Bertoncello :Hallo Leute! Auf einem Debian 11 Server ist Proftp installiert. In sich funktioniert das Programm problemlos. Sobald aber die Firewall (iptables) eingeschaltet wird, ist FTP nicht mehr zu nutzen. Ich habe bereits die Regel /sbin/iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT -m comment --comment "Connection tracking" hinzugefügt und das Modul nf_conntrack_ftp ist auch geladen. Ich bin 100% sicher, dass als das System noch mit Debian 10 lief, funktionierte das FTP einwandfrei. Hat jemand eine Ahnung, was geändert wurde und wie ich das Problem lösen kann? Besten Dank Luca Bertoncello (lucab...@lucabert.de)
AW: ENSO blockiert die root-DNS-Server
Oh man ... Einer meiner Kollegen hat sich in einer wireguard-Konfiguration vertippt. Quasi eine route angelegt mit 192.x.x.x/4 statt 192.x.x.x/24. > From SuS-GW (10.13.6.2) > Diese Quelladresse brachte mich drauf. Aber was das für Kreise zieht: - bind (ohne forwarder) löst nicht mehr auf, protokolliert aber, dass er Probleme mit libuv hat - ich reinstalliere den ganzen bind9 und Abhängikeitshaufen (libuv1 usw.) neu : ohne Erfolg - ein pihole auf derselben Kiste geht aber - nach einem Tag Gesuche und Ersatz des bind9 durch powerdns (ging natürlich auch nicht) die Frage : was ist am pihole anders - heute am 3. Tag dann die Erkenntnis : pihole hat einen forwarder bind9/powerdns hatten keinen - also forwarder im bind konfiguriert : tut - Schlussfolgerung : rekursives Auflösen über die root-Server und TLD geht nicht, forwarding an Dritte DNS-Server schon - voreilige Schlussfolgerung : der pöse(tm) Provider hat ... - dann doch mal ein dig gegen root-servers.net und auch mal ein ping : lieferte einen Fehler, den google immer wieder wireguard zuordnete und dann die Quell-IP meiner Kiste, die einem wg-Tunnelende enspricht = Ursache siehe erster Satz, mein routing war kaputt und das erst nach einem reboot, weil der Kollege zwar die wg-Konfig editierte, aber nicht gleich den wg neu startete Ich roll mich hier mal ganz klein zusammen ;-( Mit freundlichen Grüßen / Kind regards Ronny Seffner
ENSO blockiert die root-DNS-Server
Hallo, ist noch wer Kunde der ENSO/von SachsenNetze/SachsenGigabit und folgendes nachvollziehen? SuS-GW:~# dig pl @a.root-servers.net netmgr/uverr2result.c:98:isc___nm_uverr2result(): unable to convert libuv error code in udp_send_cb (netmgr/udp.c:802) to isc_result: -89: destination address r equired ;; communications error to 198.41.0.4#53: timed out - vs. - SuS-GW:~# dig pl @8.8.8.8 ; <<>> DiG 9.18.19-1~deb12u1-Debian <<>> pl @8.8.8.8 ;; global options: +cmd ;; Got answer: ;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 15097 ;; flags: qr rd ra ad; QUERY: 1, ANSWER: 0, AUTHORITY: 1, ADDITIONAL: 1 ;; OPT PSEUDOSECTION: ; EDNS: version: 0, flags:; udp: 512 ;; QUESTION SECTION: ;pl.IN A ;; AUTHORITY SECTION: pl. 1800IN SOA a-dns.pl. dnsmaster.nask.pl. 1701934234 900 300 2592000 3600 ;; Query time: 35 msec ;; SERVER: 8.8.8.8#53(8.8.8.8) (UDP) ;; WHEN: Thu Dec 07 09:47:29 CET 2023 ;; MSG SIZE rcvd: 88 - and - SuS-GW:~# ping -4 a.root-servers.net PING a.root-servers.net (198.41.0.4) 56(84) bytes of data. >From SuS-GW (10.13.6.2) icmp_seq=1 Destination Host Unreachable ping: sendmsg: Es ist eine Zieladresse notwendig - vs. anderer Provider - ns1:~# ping -4 a.root-servers.net PING (198.41.0.4) 56(84) bytes of data. 64 bytes from a.root-servers.net (198.41.0.4): icmp_seq=1 ttl=56 time=10.5 ms Mit freundlichen Grüßen / Kind regards Ronny Seffner
AW: debian bookworm bind9 vs. libuv
Moin, ich vermelde einen Teilerfolg. Es war ja so, dass ich von bind9 und einem testweise installierten powerdns-recursor schlicht ein SERVFAIL bekam, wenn ich etwas (nicht lokal bekanntes, wie ich jetzt weiß) auflösen wollte. Ein parallel auf anderer IP lauschendes pihole/dnsmasq funktionierte aber tadellos. Der Unterschied liegt in den Konfigurationen: pihole hat einen forwarder, die anderen nicht. Kaum einen forwarder (8.8.8.8) in bind9 gesetzt, geht wieder alles. Ich vermute: mit dem reboot, der scheinbar alles auslöste, erfolgte auch eine neue Einwahl beim Provider (ENSO) der mir eine veränderte "config" überhalf, mit der ich jetzt nicht mehr selber auflösen kann. Hat hier einer eine Idee, was die Provider da so anstellen könnten? Ist dazu schon etwas bekannt? Mit freundlichen Grüßen / Kind regards Ronny Seffner
AW: debian bookworm bind9 vs. libuv
> Grüße von der T2, > Wer oder was ist "T2"? > https://gitlab.isc.org/isc-projects/bind9/-/issues/2466 > Hatte ich schon vor Augen. Matcht nicht wirklich. > Das Stichwort Zeit / DNSSEC fiel hier schon. > * Zeit checken (sieht ja offenbar "gut" aus?) > Da läuft ntp - Zeitstempel passt. (Ronnys "IT-Regeln" sagen auf Platz 3 "DNS-Prüfungen sind billig, DNS ist fast immer Schuld" und Platz 4 "Zeit prüfen ist billig. Zeitabweichungen sind oft Schuld" ;-) > * mal testweise dnssec ausmachen > Im pdns-recursor eben mal deaktiviert: keine Besserung. > * was sagt strace > Der "ich" kennt das tool im Grunde nicht. > * ggf. anderen Bind installieren / selber bauen o.Ä. > Das habe ich mit einem 32-bittigen bind im chroot und ersatzweise einem pdns-recursor getan. Beide gleiches Verhalten - aber der/die/das pihole tut wunderbar (auf ner anderen IP). Mit freundlichen Grüßen / Kind regards Ronny Seffner
AW: port 53 magic : WAS debian bookworm bind9 vs. libuv
In meiner Not, DNS an den Start zu bekommen, habe ich mal schnell pdns-recursor installiert. - auf der betroffenen Kiste : SERVFAIL - auf einer beliebigen anderen Debian 12 Kiste : geht = es liegt nicht am bind, ob sich was eingenistet hat und an meinen Paketen rumpopelt? Mit freundlichen Grüßen / Kind regards Ronny Seffner
AW: debian bookworm bind9 vs. libuv
Habe eben den apt cache geleert und ALLE installierten Pakete mit apt install --reinstall neu überinstalliert. Hilft nicht. Ein Bitfehler irgendwo scheidet also vermutlich auch aus. Rechte? Kernel? Ging ja aber schon mit dem Kern, der gerade läuft. Hardware? Ich habe noch eine i386 schroot-Umgebung auf der amd64-Kiste, bekomme dort zwar einen bind installiert - auch der verhält sich so. Mit freundlichen Grüßen / Kind regards Ronny Seffner
debian bookworm bind9 vs. libuv
Guten Morgen, meine Nikolausüberraschung ist ne doofe. Linux-Gateway wegen Kernelaktualisierung (baue selber) neu gebootet und plötzlich geht der bind nicht mehr. Ein dig @127.0.0.1 liefert nun SERVFAIL und folgende Logeinträge: 06-Dec-2023 07:21:32.145 general: error: netmgr/uverr2result.c:98:isc___nm_uverr2result(): unexpected error: 06-Dec-2023 07:21:32.145 general: error: unable to convert libuv error code in udp_send_cb (netmgr/udp.c:802) to isc_result: -89: destination address required 06-Dec-2023 07:21:32.145 resolver: info: resolver priming query complete: unexpected error Was liegt nahe? Änderungen rückgängig machen. Also reboot zum vorherigen Kern - Fehler bleibt. Blick ins dpkg.log, was sich in letzter Zeit noch so änderte - nix auffälliges auch nur in der Nähe von bind9 oder libuv. Jetzt wirds hilflos, weil auch google nix weiß. Remove und purge (mit manueller Kontrolle) von bind9* und libuv -> reinstall - Fehler (auch ohne meine config und zonen) wieder da. Auch ein "rndc trace 9" scheint um den Fehler rum kein Indiz zu liefern: 06-Dec-2023 07:55:19.881 database: debug 5: dns_adb_destroyfind on find 0x7f53a10c2300 06-Dec-2023 07:55:19.881 database: debug 5: dns_adb_destroyfind on find 0x7f53a10c2500 06-Dec-2023 07:55:19.881 general: error: netmgr/uverr2result.c:98:isc___nm_uverr2result(): unexpected error: 06-Dec-2023 07:55:19.881 general: error: unable to convert libuv error code in udp_send_cb (netmgr/udp.c:802) to isc_result: -89: destination address required 06-Dec-2023 07:55:19.881 resolver: debug 5: QNAME minimization - minimized, qmintype 2 qminname google.com 06-Dec-2023 07:55:19.881 resolver: debug 1: fetch: google.com/NS 06-Dec-2023 07:55:19.881 database: debug 5: dns_adb_destroyfind on find 0x7f53a1473600 06-Dec-2023 07:55:19.881 database: debug 5: dns_adb_destroyfind on find 0x7f53a1473700 06-Dec-2023 07:55:19.881 resolver: debug 3: fctx 0x7f53a14d3400(google.com/NS): createfind for - success 06-Dec-2023 07:55:19.881 resolver: debug 3: fctx 0x7f53a14d3400(google.com/NS): createfind for - success Leider ists dringend, weil dahinter ein Netz auf Funktion wartet. Und ich möchte das ungern zum Anlass nehmen mich in dnsmasq, unbound oder so einzuarbeiten. Ideen? Mit freundlichen Grüßen / Kind regards Ronny Seffner
AW: ciphers gehen plötzlich nicht mehr
> gabs evtl. openssl-Updates / wurden da eingespielt? > Sowas ist im Abgleich last vs. Dpkg.log eben nicht auffällig. > Für sowas empfiehlt sich "needrestart" mit den entsprechenden apt- > Hier rennt dann einmal ansible über die Kisten und verteilt das wildcard bis in die M$-Welt hinein. Der public key im bisherigen Zertifikat war irgendwas mit RSA und 4kBit groß, jetzt im neuen ist das irgendwas mit EC/ED und nur 384Bit. Ich habe mir von mozilla für meine Dienste einfach aktuelle "medium" Empfehlungen geholt und die "eingebaut". Jetzt rennen alle Dienste wieder und die Clients weinen nicht mehr. Nur restlos verstanden habe ich den Hokus-Pokus nicht. Es hat ja nach immer das neue Zertifikat, die bis dato funktionierenden Ciphers "ungültig" gemacht. Mit freundlichen Grüßen / Kind regards Ronny Seffner
UPD: ciphers gehen plötzlich nicht mehr
Da lief ein acme-cron-script, welches das wildcard-Zertifiakt neu beantragt (aber noch nicht auf den zweiten Server ausgerollt) hat. Damit weiß ich schonmal, wer/was zur gegebene Zeit am Server "rumgepopelt" hat. Konkretisiert sich die Frage auf : was hat das Zertifikat mit den einsetzbaren Ciphers zu tun? Was kann ich tun um ein Zertifikat zu erhalten, welches wieder mit "meiner" Cipher-Auswahl tut? Mit freundlichen Grüßen / Kind regards Ronny Seffner
ciphers gehen plötzlich nicht mehr
Hallo Liste, ich begreifs gerade nicht ... gegeben: - 2 Server, Debian 11 + openssl + dovecot + postfix - 10-ssl.conf von beiden dovecots md5 identisch - /etc/ssl/openssl.cnf auf beiden Kisten md5 identisch - main.cf auf beiden Kisten an den SSL-Parametern identisch, auch das gleiche wildcard Zertifikat im Einsatz - dpkg -l auf beiden Kisten identisch Ohne Login (last) und ohne reboot sowie mit dovecot und postox-Diensten, die laut 'ps' seit 13.3. laufen, können wir seit gestern 22:30 Uhr rum mit der einen Kiste kein POP3s, IMAPs, SMTP_TLS mehr machen wegen "no shared cipher". Ich habe bei postfix und dovecot nun von der, durch mich eingegrenzten, ciper-Auswahl auf die defaults gewechselt und es geht wieder. Ja es war M$-Patchday, aber auch thunderbird, ungepatchte Windos/Outlook und fetchmail sind als Clients betroffen. Was kann dem dem postfix/dovecot-openssl-Stack fehlen, dass plötzlich die ciphers nicht mehr "da" sind? Die identische Konfiguration geht ja auf dem zweiten Server. Ideen? Mit freundlichen Grüßen / Kind regards Ronny Seffner
md Management
Hallo Gruppe, auf ein gesundes Neues Ich nutze für eine externe Kopie eines Backups ein md-array. Da wird jeden Montag mittels mdadm -f und mdadm -r die USB-Platte auf fehlerhaft gesetzt und entfernt. Dann kommt eine andere - im Wochenwechsel - mit mdadm --add dran. Bisher und bei einem zweiten Array auch jetzt noch, führt das Anschließen mit mdadm --add dann zu einem Resync auf die eben angesteckte USB-Platte. Neuerdings versagt der resync reproduzierbar, ich muss da erst mit dd viel überschreiben auf der USB-Platte, damit ein Resync stattfindet. Das geht doch sicher auch intelligenter. Wie? (Und warum denkt das Raid, die Platte von vor 7 Tagen [mit genug Änderungen] sei ok?) Mit freundlichen Grüßen / Kind regards Ronny Seffner -- Ronny Seffner | Alter Viehweg 1 | 01665 Klipphausen www.seffner.de | ro...@seffner.de | +49 35245 72950 7EA62E22D9CC4F0B74DCBCEA864623A568694DB
AW: IPoE mit Linux, Modem und ENSO
Zur Erinnerung: die Herausforderung war, das ENSO VDSL mit einem Modem zu verbinden, so dass dahinter ein Linux als erster IP-Client / Router stehen kann. Also die ENSO macht hier im OT Grumbach von Wilsdruff wirklich IPoE, d.h. ist das VDSL2-Modem synchron, genügt dahinter ein DHCP-Client (ganz ohne Authentifizierung). Hat man die Option "fixed IP" gebucht, sollte man der ENSO die MAC-Adresse der Schnittstelle mit der man DHCP macht, mitteilen, damit die ENSO diese in ihrer Konfiguration hinterlegen können. Eine "moderne" Fritz!Box oder eine Fritz!Box mit "moderner" Frimware lässt sich nicht mehr in den Modem-only Modus versetzen. PPPoE-passthru hilft hier nicht, da kein PPPoE zum Einsatz kommt. Eine Fritz!Box selber kann aber als Router mit dieser Art Anschluss zusammenarbeiten. Draytek hat in der Vigor-Linie auch Modems. Weil die ja unbedingt ein GUI haben müssen, ist da ein Switch und "Intelligenz" eingebaut. Diese(r) verhindert offenbar den DHCP-Broadcast eines dahinter stehenden Clients zum DSL-Interface durchzureichen. Letztlich rennt jetzt hier ein Gerät von Bintec, welches in der Lage ist VDSL und einen LAN-Port zu bridgen. Die fast baugleichen "Digitalisierungsboxen" können das wiederum nicht, weil vermutlich die GUI-Intelligenz nicht alle Konfigurationsmodi vorsieht, bzw. das mit telnet in der CLI Vorgenommene beim Speichern mit "Schema F" (teil-) zerstört. Bintec und Digi-Box können aber als Router auch mit dieser Art Anschluss umgehen. Vielen Dank auch an dieser Stelle nochmals für Alexanders Hilfe. Mit freundlichen Grüßen / Kind regards Ronny Seffner
AW: IPoE mit Linux, Modem und ENSO
Mit DrayTek telefoniert. Das wäre ein Dummes Modem und schickt jedes Paket durch. Mit der ENSO telefoniert. Wir machen nur DHCP und Ethernet, die MAC spielt erstmal keine Rolle. Erstmal, weil wer fixed IP will muss uns die MAC nennen für den DHCP-Server. Und: wir sehen hier am Paketfilter deiner DSL-Leitung nichts von den DHCP-Requests die Du gerade life einkippst. Meine Vermutung: Das "dumme Modem" hat ja 2 LAN-Ports und einen Webserver für die Konfiguration, vielleicht filtern die doch die DHCP-Broadcasts, so dass diese nicht zum Provider kommen. Mit freundlichen Grüßen / Kind regards Ronny Seffner -- Ronny Seffner | Alter Viehweg 1 | 01665 Klipphausen www.seffner.de | ro...@seffner.de | +49 35245 72950 7EA62E22D9CC4F0B74DCBCEA864623A568694DB
Re: IPoE mit Linux, Modem und ENSO
Hi Alexander,die MAC hat uns die ENSO vorgelesen, als die Fritz!Box funktionierend dran hing.Alle Versuche laufen jetzt mit dieser auf das Linux gespooften MAC. Oder kann jetzt das Vigor Modem mit einer eigenen MAC im Wege stehen? Die Option fixes IP ist auch in meinem Fall gebucht.RonnyAm 16.12.2021 14:03 schrieb Alexander Tomisch :
Hallo,
Am 15.12.21 um 20:18 schrieb Ronny Seffner:
> mir stellt die ENSO (jetzt SachsenNetze) in Wilsdruff OT Grumbach nach
> eigener Aussage VDSL2 auf einer Telekom Kupferdoppelader zur Verfügung.
Die ENSO macht schlicht DHCP und nicht mehr ("früher" stand in den FAQ
auch mal was von VLAN) ...
Die Erfahrung, das es mit der zum Anschluss gehörenden FritzBox klappt
und mit etwas anderem (bintec be.IP) nicht, hab ich auch schon gemacht.
... ich hatte Erfolg, in dem ich im bintec die MAC vom VDSL-Modem auf
die des VDSL-Modems der FritzBox verändert habe.
Der betroffene Anschluss hatte das bei ENSO optional buchbare
Leistungsmerkmal "öffentliche IP" ... wäre interessant, ob das in diesem
Fall auch so ist.
Gruß aus Grumbach,
Alex
> Dazu habe die mir eine FritzBox gegeben und schreiben in ihrer dünnen
> FAQ von IPoE und DHCP. Die FritzBox ist schnell synchron und bezieht
> eine IP - ganz ohne Anmeldedaten.
>
> Ich mag einen eigenen Linux.Router einsetzen und mag kein doppeltes NAT.
> Da Die FritzBoxen kein Modem-only mehr können (nur noch PPPoE passthru)
> habe ich ein VDSL2.Modem gekauft (Vigor 267). Das ist auch schnell
> synchron aber wie weiter?
>
> Ein Linux dahinter bezieht mit dem DHCP-Client allein noch keine IP.
>
> Hat da jemand Erfahrung oder Ideen? Danke im Voraus.
>
> Gruß Ronny
AW: IPoE mit Linux, Modem und ENSO
> Das sollte man aber mit tcpdump/wireshark sehen ob das betrieben wird, > Leider habe ich keine Ahnung, wie ich tcpdump/wireshark an die Kupfer-Doppelander hänge. Fritte hinter Vigor hat ja leider nicht funktioniert ;-( Mit freundlichen Grüßen / Kind regards Ronny Seffner
AW: IPoE mit Linux, Modem und ENSO
Hallo Alexander, dann muss ich mir dieses EAP mal anschauen. Deine Darlegungen klingen recht plausibel und Heiko vermutetet gestern auch schon etwas "Magie" in meinem DHCP-request. Danke für die Anregung. Die ENSO meinte, sie möchten meine MAC wissen - aber wohl eher um mir via DHCP immer die selbe statische IP zuzuweisen. Mit freundlichen Grüßen / Kind regards Ronny Seffner -- Ronny Seffner | Alter Viehweg 1 | 01665 Klipphausen www.seffner.de | ro...@seffner.de | +49 35245 72950 7EA62E22D9CC4F0B74DCBCEA864623A568694DB
AW: IPoE mit Linux, Modem und ENSO
Der Provider hat mir eine Fritz!Box 7530 mitgegeben, die nicht unbedingt
gebranded wirkt.
Stelle ich beim Internetprovider "automatisch beziehen" ein, habe ich schnell
eine Verbindung. Im Status steht dann "Fritz!Box nutzt eine direkte
IP-Verbindung zu einem Internetanbieter".
Da das ja TR069 sein kann/wird, könnte ja trotzdem PPPoE zum Einsatz kommen.
Also Gegenprobe.
"weiterer Internetanbieter" + "anderer Internetanbieter" + "am DSL-Anschluss" +
Zugangsdaten : nein + kein VLAN + Kapselung bridged (IP über DHCP beziehen)
ergibt auch einen nutzbaren Connect.
Damit ist klar kein VDSL der T-Com, denn das hätte ein VLAN7 erfordert und kein
PPoE, denn ich arbeite ja gänzlich ohne Zugangsdaten und mit DHCP.
Ich kann Screenshots von den Einstellungen anbieten. Ferner habe ich die Config
zum Zeitpunkt der automatischen Konfiguration mal ausgespielt (Auszug s.u.)
Dann habe ich das Vigor Modem synchronisieren lassen und die Fritz!Box
dahintergeklemmt. Statt "Anschluss an DSL habe ich "Anschluss an externes
Modem" gewählt und wieder keine Zugangsdaten und DHCP : geht nicht. Es gibt
dann auch einen "IP-Client" Modus, da habe ich die Verbindung zur Fritz!Box
verloren. Ich vermute, weil die dann vermutlich die statischen IP 192.168.178.1
aufgegeben hat. Man kann dann über Notfall-IP 169.254.1.1 noch ran.
Mit freundlichen Grüßen / Kind regards
Ronny Seffner
ar7cfg {
mode = dsldmode_router;
active_provider = "ENSO AG";
active_name = "";
igddenabled = yes;
wan_bridge_with_dhcpc = yes;
wan_bridge_gateway = 0.0.0.0;
dhcpc_use_static_dns = no;
dhcp_dslforumorg = no;
ethmode = ethmode_bridge;
tcom_targetarch = no;
vdsl_resalearch = no;
aontv_arch = no;
bng_arch = yes;
hsi_use_wan_vlan = yes;
hsi_vlancfg {
vlanencap = vlanencap_none;
tagtype = vlantagtype_customer;
vlanid = 0;
vlanprio = 0;
tos = 0;
}
mtu_cutback_mode = mtumode_auto;
mtu_cutback = 1500;
StatisticStartOfMonth = 1;
enable_mac_override = yes;
macdsl_override = 00:00:00:00:00:00;
ipv6mode = ipv6_off;
ipv4mode = ipv4_normal;
serialcfg {
mode = serialmode_off;
mbim = mbimmode_off;
number = "*99#";
provider = "internet.t-mobile";
username = "ppp";
passwd = "ppp";
connect_chatscript = "ABORT BUSY ABORT 'NO CARRIER'",
"ABORT VOICE ABORT 'NO DAILTONE'",
"ABORT 'NO ANSWER' ABORT DELAYED",
"ABORT ERROR", "TIMEOUT 20",
"''
'AT+cgdcont=1,\\"IP\\",\\"${provider}\\"'",
"OK 'ATDT${number}'", "CONNECT",
"WAIT 2";
stay_always_online = no;
inactivity_timeout = 1m;
backup {
enabled = no;
quickstart = serialquickstart_off;
downtime = 3m;
reverttime = 30m;
}
}
ethinterfaces {
name = "eth0";
dhcp = no;
ipaddr = 192.168.178.1;
netmask = 255.255.255.0;
dstipaddr = 0.0.0.0;
dhcpenabled = yes;
dhcpstart = 0.0.0.0;
dhcpend = 0.0.0.0;
is_guest = no;
is_hotspot = no;
multicast_snooping = yes;
is_public = no;
} {
name = "eth0:0";
dhcp = no;
ipaddr = 169.254.1.1;
netmask = 255.255.0.0;
dstipaddr = 0.0.0.0;
dhcpenabled = yes;
dhcpstart = 0.0.0.0;
dhcpend = 0.0.0.0;
is_guest = no;
is_hotspot = no;
multicast_snooping = yes;
is_public = no;
} {
name = "wlan";
dhcp = no;
ipaddr = 192.168.182.1;
netmask = 255.255.255.0;
dstipaddr = 0.0.0.0;
interfaces = "ath0", "ath1", "wdsup?";
dhcpenabled = yes;
dhcpstart = 0.0.0.0;
dhcpend = 0.0.0.0;
is_guest = no;
is_hotsp
AW: IPoE mit Linux, Modem und ENSO
Hallo Konrad, ich verstehe deinen Ansatz zur Hilfe. 9x% der Zugänge da draußen sind PPPoE - dennoch möchte ich, dass wir uns hier auf meine Fragestellung und IPoE konzentrieren. Btw. Natürlich habe ich auch schon PPPoE probiert, mit der Fritz!Box und ppoeconf unter Linux - allen Anzeichen nach hat der Provider mit seiner Selbstdarstellung recht und bietet kein PPPoE an. > Telekom-Leitungen haben IMMER PPPoE egal wer sie angemietet hat. > Die ENSO hat nur das Kupfer gemietet und das Adernpaar auf eigene Technik geklemmt. Nichtmal VLAN7 muss ich verwenden. > kann nix machen. Ein DSL-Modem gibt Dir in Deutschland immer PPPoE am > Ich habe extra das DrayTek Vigor 167 genommen, weil da IPoE in den specs auftaucht - so wie die ENSO das angeblich betreibt. > Logisch. Ist ja kein pures IP auf der DSL-Leitung, sondern ein PPP auf > https://en.wikipedia.org/wiki/IPoE > Gegenvorschlag: kauf Dir eine eigene FritzBox, dann kannst Du TR-069 > Ich habe eine Fritz!Box und will die aber nicht nutzen, weil ich gern auf deren eingebauten Filter (das müssen wir jetzt hier bitte nicht diskutieren) verzichten möchte. Doppeltes NAT brauche ich dann auch nicht. > Warum willst Du unbedingt einen selbstgestrickten Router? Hast Du ein > Netzwerkforschungszentrum in Deinem Wohnzimmer aufgebaut? (Das war > Ja habe ich, fast. Ohne "Forschung" wäre ich mit IPv6 auch nicht weiter wie viele der aktuellen Provider da draußen. Glaube mir, ich weiß was ich in IP-Netzwerken mache. Mir ist nur IPoE fremd. Mit freundlichen Grüßen / Kind regards Ronny Seffner
IPoE mit Linux, Modem und ENSO
Hallo Gruppe,mir stellt die ENSO (jetzt SachsenNetze) in Wilsdruff OT Grumbach nach eigener Aussage VDSL2 auf einer Telekom Kupferdoppelader zur Verfügung. Die Telekom kann dort um 2mbit, ENSO bis zu 100mbit - dazu hatten die eigene Technik in oder an den Telekomkasten eine Kreuzung weiter gebaut.Dazu habe die mir eine FritzBox gegeben und schreiben in ihrer dünnen FAQ von IPoE und DHCP. Die FritzBox ist schnell synchron und bezieht eine IP - ganz ohne Anmeldedaten.Ich mag einen eigenen Linux.Router einsetzen und mag kein doppeltes NAT. Da Die FritzBoxen kein Modem-only mehr können (nur noch PPPoE passthru) habe ich ein VDSL2.Modem gekauft (Vigor 267). Das ist auch schnell synchron aber wie weiter?Ein Linux dahinter bezieht mit dem DHCP-Client allein noch keine IP.Hat da jemand Erfahrung oder Ideen? Danke im Voraus.Gruß Ronny
AW: nftables DNAT using SETs
Hier habe ich eine Lösung gefunden. Das sieht aus wie eine Map kombiniert
mit einem Set, läuft aber als Map.
https://wiki.nftables.org/wiki-nftables/index.php/Multiple_NATs_using_nftabl
es_maps#Multiple_NAT_mapping_with_address_and_port
Nur kann ich die Regel (aus obigem Beispiel) nun nicht mehr recht lesen.
% nft add map nat foo { type inet_service : ipv4_addr . inet_service ; }
% nft add element nat foo { \
1100 : 192.168.1.2 . 5061, \
1101 : 192.168.1.3 . 5061, \
1400 : 192.168.1.4 . 5061 \
}
% nft add rule nat pre ip protocol udp dnat ip addr . port to udp dport map
@foo
Funktion ist hier, dass Pakete an die eigenen Ports 1100, 1101 usw. auf
Hosts mit den Adressen 192.168.1.x und andere Ports dort umgeschrieben
werden (DNAT).
Jetzt zerlegen wir mal die Regel:
"nft add rule nat pre ..." - füge eine Regel in die Tabelle nat und Chain
pre hinzu
"...ip protocol udp..." - matcht für Pakete vom Typ UDPv4 ...
Und jetzt meine Unklarheiten
"...dport map @foo" - ... an den EIGENEN Port "dport", der in der Map "foo"
zu suchen ist?
"...dnat ip addr . port to udp..." - und mache DNAT auf das "ip addr .
port"-Paar aus der entsprechenden Zeile in der Map; das "to udp" am Ende
irritiert an dieser Position
Mit freundlichen Grüßen / Kind regards
Ronny Seffner
nftables DNAT using SETs
Hallo Gruppe,
Ich habe in einem Skript mehrere IPv4 Portweiterleitungen einzurichten und
dachte ein SET zu nehmen wäre "state of the art".
nft add table ip TABLE_NAT
nft create chain ip TABLE_NAT PREROUTING { type nat hook prerouting priority
dstnat\; }
nft add set ip TABLE_NAT DMZ_SET { type inet_service . ipv4_addr .
inet_service }
nft add element ip TABLE_NAT DMZ_SET { 443 . 192.168.1.1 . 443, 80 .
192.168.100.2 . 80 }
Obiges bereitet alles soweit vor (Gedächtnisprotokoll).
Nun soll es zur Regel kommen, die das Set nutzt:
nft add rule ip TABLE_NAT PREROUTING ip daddr 2.3.4.5 tcp dport . dnat to .
: . @DMZ_SET
-> syntax error, unexpected dnat
nft add rule ip TABLE_NAT PREROUTING ip daddr 2.3.4.5 tcp dport 23 dnat to
192.168.1.3 : 23
Funktioniert hingegen. Also sollte die nft-Syntax doch ok sein.
Irgendwas läuft doch mit der Nutzung des Set schief? Ist allerdings nicht
mein erstes und ich sehe nicht was ich bei anderen Sets anders mache, außer,
dass diese einspaltig sind.
Kann mich bitte jemand auf den richtigen Pfad bringen?
Mit freundlichen Grüßen / Kind regards
Ronny Seffner
AW: DNS Fragen bei IPv6
Moin,
> 1. In der ersten Zeile wird als Host * angegeben.
> Verstehe ich das richtig, daß damit alle Hostnamen
> (wrdlwrmpf.hilmar-preusse.de, xyz.hilmar-preusse.de) ein Alias auf die
> Himbeere sind?
>
Ja.
> Damit sollten die Spezial-Einträge weiter unten
> eigentlich nur erforderlich sein, wenn diese auf andere Hosts zeigen sollen?
>
mail, nextcloud und www sind durch * schon mit abgedeckt und machen eigentlich
nur Sinn, wenn diese ein anderes Ziel hätten.
> Ist der Eintrag unbedingt nötig oder kann der auch weg?
>
Welcher "der"?
Der mit * kann weg, wenn Du kein Interesse an den Hosts/Subdomains wrdlwrmpf
und xyz hast. Sonst könnten die anderen 3 weg.
> 2. Was ist der "@ A ..." Eintrag?
>
Das ist der sogenannte origin und entspricht somit einem Eintrag
"hilmar-preusse.de IN A 46.38.243.234".
> Es wird hier auf eine IP verwiesen,
> die im Netz des Domain-Verkäufers liegt, damit erscheint mir der Eintrag
> nicht sinnvoll. Kann der einfach weg?
>
Wenn Du den nicht benötigst, kann der weg (glaube ich recht stark).
> Angeblich soll es ja bei IPv6 keine A-Records geben.
>
A-record = IPv4
-record = IPv6
> Wenn man http://hilmar-preusse.de/ ansteuert kommt man auf eine
> "Domain
> ist geparkt" Seite.
>
Klar, der origin ("@") zeigt ja auf deinen Provider/Hoster und der hat sicher
(noch?) keinen Kontent zum Ausliefern via http/https.
> Der Versuch die 46.38.243.234 auch durch einen
> DNS-Alias zu ersetzen schlug fehl.
>
Inwiefern?
Ein A-record lässt nur die Angabe einer IPv4 zu.
Hast Du versucht auf einen CNAME-record zu wechseln?
Das geht nicht, solange es noch andere Values für das origin gibt und die hast
Du ja mit CAA und MX.
Wo war jetzt das im Betreff angesprochene IPv6? 😉
Mit freundlichen Grüßen / Kind regards
Ronny Seffner
AW: AW: NextCloudPi-Update fehlgeschlagen
> ich werde dem noch nachgehen. Denn eigentlich ist redis installiert. Muss es > denn konkret "php8.0-redis" heißen? Bevor ich in den Urlaub bin, hatte ich Den Paketnamen "php8.0-redis" hatte ich aus vorangegangener Kommunikation abgeleitet. Du brauchst das redis Paket für PHP, zu der PHP-Version, unter welcher auch der VHost läuft. Mit freundlichen Grüßen / Kind regards Ronny Seffner
AW: NextCloudPi-Update fehlgeschlagen
> OC\\HintException: [0]: Memcache \\OC\\Memcache\\Redis not available > Da kannst Du in der config.php der OC dem MemCache-Eintrag auskommentieren (zum Test, oder sofern Du keinen MemCache benötigst) - oder - "php8.0-redis" nachinstallieren. Mit freundlichen Grüßen / Kind regards Ronny Seffner
AW: Festplatte kopieren
> bash: dd/if=dev/sda1: No such file or directory > > Wie kann ich den if adressieren, dass mein Vorhaben gelingt? > Leerzeichen statt "/" hinter dd und den "/2 dafür an die richtige Stelle. mint@mint:~$ dd if=/dev/sda1 bs =1M | gzip >/media/mint/forro-20-12/imange-RechnerA-sda1.gz Mit freundlichen Grüßen / Kind regards Ronny Seffner
AW: AW: Samba als AD-Controller: Daten migrieren
> > Da gibt es sicher Anleitungen dazu. > > Kennst du schon was? Bisher habe ich nur Samba als AD-Controller oder > Nein, leider nicht. Mit freundlichen Grüßen / Kind regards Ronny Seffner -- Ronny Seffner | Alter Viehweg 1 | 01665 Klipphausen www.seffner.de | ro...@seffner.de | +49 35245 72950 7EA62E22D9CC4F0B74DCBCEA864623A568694DB8
AW: Samba als AD-Controller: Daten migrieren
Mahlzeit Luca, > Würde es reichen, /var/lib/samba/ und /var/cache/samba/ zu kopieren? > Gibt es ein besseres und sicheres Verfahren? > Der microsoft'sche Weg ist, den neuen Server in die Domäne aufzunehmen, zum AD-Controller hochzustufen (so findet eine Datenreplikation statt) und dann die Betriebsmasterrollen zu übertragen, bevor der alte Server heruntergestuft und entfernt wird. Warum sollte das mit Samba anders sein? Ich hätte eher Bedenken, dass irgendwas bricht, wenn ich einfach /var/lib/irgendwas_mit_samba von einer Kiste mit sambaY auf eine andere Kiste mit sambaZ und anderer Netzwerkkonfiguration kopiere. Da gibt es sicher Anleitungen dazu. Mit freundlichen Grüßen / Kind regards Ronny Seffner -- Ronny Seffner | Alter Viehweg 1 | 01665 Klipphausen www.seffner.de | ro...@seffner.de | +49 35245 72950 7EA62E22D9CC4F0B74DCBCEA864623A568694DB8
AW: [OT?] Nutzt jemand DeutschlandLAN IP bei der Telekom?
Hallo nochmal, ich habe zu zeitig auf Senden gedrückt ;-( Ich denke, die route für IPv6 kommt also über die router advertisements. Wie aber kommt meine Kiste zur IPv6? - vermutlich doch über den dhcpv6 (der nichts loggt) Dabei war ich mir so sicher, das einst statisch gesetzt zu haben. Der Blick in die Kiste spricht aber anderes. Entschuldige die Verwirrung. Mit freundlichen Grüßen / Kind regards Ronny Seffner -- Ronny Seffner | Alter Viehweg 1 | 01665 Klipphausen www.seffner.de | ro...@seffner.de | +49 35245 72950 7EA62E22D9CC4F0B74DCBCEA864623A568694DB8
AW: [OT?] Nutzt jemand DeutschlandLAN IP bei der Telekom?
Hi Luca, > Ich kenne nun auch meine feste IPs, so wollte ich sie einfach in > /etc/network/interfaces (auf dem Gateway) und per Dibbler verteilen. > Das geht, natürlich, aber wenn ich so mache geht kein Paket raus aus > meinem lokalen Netz... > ... > Wie hast du das Problem gelöst? > "geht kein Paket raus" liest sich so allein ja wie: - es fehlt eine Route - ein Paketfilter / eine Firewall verhindert da etwas Hat den ppp0 bei Dir schon einen öIP bekommen? Ich habe mal in mein gewachsenes Setup geschaut - im pppd-peer steht defaultroute, replacedefaultroute und noipdefault - in der network/interfaces zu ppp0 nur der Verweis auf pppd mittels "provider ..." - und tatsächlich läuft ein wide-dhcpv6-client, der aber keinen IP-Adressbezug loggt (ich denke, den kann ich deaktivieren, nur geht das jetzt besser nicht live) = ich denke, das Geheimnis liegt in accept_ra = 2 (akzeptiere router_advertisements UND erlaube forwarding) auf dem ppp0 [forwarding = 1 muss trotzdem gesetzt werden!] Mit freundlichen Grüßen / Kind regards Ronny Seffner -- Ronny Seffner | Alter Viehweg 1 | 01665 Klipphausen www.seffner.de | ro...@seffner.de | +49 35245 72950 7EA62E22D9CC4F0B74DCBCEA864623A568694DB8
AW: AW: AW: Asterisk und Deutsche Telekom: gestörte Gespräche
> Ich verstehe also immer noch nicht was du meintest... > Ich hatte nur "T-Com" und "VLAN" im Kopf und nicht recherchiert. Mir stellte sich die Frage, "warum will man das" und eine Antwort war um Traffic zu priorisieren. Das hätte zu Deinem VoIP-Problem passen können. Wie wir jetzt wissen tut es das aber nicht, das der Verbraucher nicht zwei VLAN bekommt für Daten und Sprache. Mit freundlichen Grüßen / Kind regards Ronny Seffner
AW: AW: Asterisk und Deutsche Telekom: gestörte Gespräche
Hi Luca, > > War da nicht etwas mit VLAN an den T-Com Anschlüssen? > > Was meinst du genau? > Aus dem Modem kommt das ppp wohl mit VLAN ID 7. Hat wohl mehr mit deren Struktur und Differenzierung zu tun, als mit der Trennung Daten ./. VoIP beim einzelnen Anschluss. Sorry für die Verwirrung (ich nutze ja das VoIP der T-Com nicht). > Ja, ich habe ein Traffic-Shaper auf der Linux-Gateway. Da garantiere ich > Es sollte nur eine Denkanregung sein. Du hast das ja offenbar schon verifiziert. [OT] p.s. Ein Kumpel (Max) meldet sich wegen der NetApp. Gruß Ronny
AW: Asterisk und Deutsche Telekom: gestörte Gespräche
> Mein Problem: oft (und in der letzten Zeit noch öfter) ist die > Verbindung etwas gestört, also man hört kleine Unterbrechungen im > Gespräch... > War da nicht etwas mit VLAN an den T-Com Anschlüssen? Vielleicht oder sogar recht sicher machen die auf ihren Haus-und-Hof-Routern da QoS für VoIP. Bildest Du ähnliches bei Dir ab, damit nicht ein langes "ls -l" in einer Terminalsitzung das Telefonat des Kollegen stört? Mit freundlichen Grüßen / Kind regards Ronny Seffner -- Ronny Seffner | Alter Viehweg 1 | 01665 Klipphausen www.seffner.de | ro...@seffner.de | +49 35245 72950 7EA62E22D9CC4F0B74DCBCEA864623A568694DB8
AW: AW: [OT?] Nutzt jemand DeutschlandLAN IP bei der Telekom?
> Ist es so, dass DeutschlandLAN IP _STATISCHE_ IPv4-Adresse und > _STATISCHE_ IPv6-Subet hat? > Ja. Wollte mir vorher auch keiner für IPv6 versprechen ist aber seit über einem viertel Jahr bei sicher einem Dutzend Routerneustarts so - statisch. > Wie groß ist das IPv6-Netz? Auch eine 56er-Subnet? > Es gibt 2 IPv6 Netze: WAN /64 und LAN /56 - beide routbar, also ist das LAN und WAN nur kosmetisches T-Com Sprech. > Geht die Abfrage der IPv6 genau so wie bei Magenta Zuhause, > also mit RDisc und DHCPv6? > Ich weiß nicht wie es bei Magenta Zuhause geht. Da mir die statischen Netze bekannt sind (Kundecenter T-Com), verteile ich diese nur noch nach innen per "radvd". Der pppd bezieht die linklokale Route zur T-Com, forwarding an und gut. > Wie ist es dann mit der Telefonie? > Wird hier nicht genutzt. Wir wollten features, die nfon für einen schmalen Taler hat und die T-Com dann erst in einer zugekauften und für den Kunden teuren VoIP-Appliance annähernd realisiert. > Ist die Telefonie weiterhin einfach VoIP, so dass ich eventuell nur neue > Zugangsdaten angeben soll? > Ja, so soll es sein. Hörensagen, keine eigene Erfahrung. > Wie bist du im Allgemein mit dem Dienst zufrieden? > Verfügbarkeit besser als der Vorgänger, der nicht von der T-Com kam. Keine Störungen und daher keine wirkliche Supporterfahrung vorhanden. Vertrieb unaufdringlich, kennt aber das Produkt nicht, schickt dafür "Fachmann" (VoIP/TK) der auch nichts über den Tellerrand der T-Com weiß und kennt. Und IPv6 kennen die ja nach 15 Jahren noch nicht so recht. > Probleme gehabt? Wie schnell und wie gut war die Reaktion? Wie > In der Vergangenheit und an anderen Standorten bin ich mit der Entstörung der T-Com sehr zufrieden. Es kam in 10 Jahren nur zu 3 Fällen und entstört war teils deutlich unter, aber immer innerhalb einer Stunde. > Zum Thema Router/Modem: was nutzt du? > Die haben mir ein weißes Modem an die Wand geklebt - neben die riesige FTTH-Dose, in die eigentlich ein Modem rein soll. Die Wettbewerbshüter haben das nach dem Produktdesign wohl verboten. Dahinter Debian 10 mit ppp, radvd, dhcpd, ... > Sind irgendwelche Einschränkungen dir bekannt? > Nein. Speedversprechen übererfüllt und stabil. > Wie schnell war das Wechseln zu den Tarif gewesen > Dort komme ich von Richtfunk. Die Anschaltung war wegen FTTH mit einem Technikerbesuch verbunden. Als er ging, war der Anschluß funktional. Eine alte DSL-Leitung (Cu) daneben funktioniert weiterhin. Ronny Seffner
AW: [OT?] Nutzt jemand DeutschlandLAN IP bei der Telekom?
> möge er mir bitte eine E-Mail schicken... ;) > Vielleicht sind andere am "Wissen" ja auch interessiert, darum hier. > Nutzt vielleicht jemand dieses Tarif bei der Telekom? Ich hätte ein paar > Ich habe eine DeutschlandLAN IP Voice/DATA ... unter meiner administrativen Hoheit inkl. fixer IPv4 und IPv6-Netz mit pppoe usw.. Ronny Seffner
AW: Windows 10 Spionage - Umfang
Na was Du nicht so alles weißt. Aber dann weißt Du ja sicher auch, dass Du Deinen "Games" so absolut umfänglich vertrauen kannst. Was war die Frage ... ob MS ... EXT4 ... ? Du wirst mir nicht vertrauen, warum sollte ich antworten? Mir wird glaubhaft gemacht, dass MS EXTn nicht nativ, nur mit Treibern, kann. Wenn dem so wäre, warum und wie sollten sie dann eine andere Partition abschnorcheln. Aber Wissen ist das nicht. Und was ist mit Intel/Realtek/Broadcom/*, die sitzen auf Storeagecontrollern und der Netzwerkkarte und spiegeln sicher auch alles ... ganz bestimmt. Sorry, ich habe gerade gelesen, meine Mimik zukünftig auch verstecken zu müssen und bin der Freiheitsberaubung wegen entsprechend angefressen. Diese Anfrageart hier passt so wunderbar zu den Pest-Panikern - womit ich nicht sagen will, dass ein gesundes Maß an Bedachtheit nicht sinnvoll wäre. Mit freundlichen Grüßen / Kind regards Ronny Seffner -- Ronny Seffner | Alter Viehweg 1 | 01665 Klipphausen www.seffner.de | ro...@seffner.de | +49 35245 72950 7EA62E22D9CC4F0B74DCBCEA864623A568694DB8
AW: iptables(-legacy) zu nft - Target NETMAP
Hallo Heiko, > Verwendest Du OpenVPN? Das mappt doch m.W. auch, oder? > ja, es geht in erster Linie um openVPN. Und genau die haben auch das iptables target NETMAP in der Doku : https://openvpn.net/faq/remap-local-addresses-to-connect-two-networks-with-an-overlap-in-the-private-address-range/ Ich habe irgendwo zu nft noch gesehen, dass zumindest SNAT mehrere Adressen schluckt, das Beispiel sieht aber nicht symmetrisch aus und ich weiß nicht ob man das auf DNAT ummünzen kann. [...] # It is possible to NAT to a range of address: nft add rule nat post ip saddr 192.168.56.0/24 oif wlan0 snat 192.168.1.137-192.168.1.140 [...] Mit freundlichen Grüßen / Kind regards Ronny Seffner -- Ronny Seffner | Alter Viehweg 1 | 01665 Klipphausen www.seffner.de | ro...@seffner.de | +49 35245 72950 7EA62E22D9CC4F0B74DCBCEA864623A568694DB8
IPv6 router advertisements und forwarding
Hallo, ich habe ein Linux als Router hinter einem Kabelmoden. Dort bekomme ich per iface eth0 inet6 dhcp eine IPv6-Adresse und dank /proc/sys/net/ipv6/conf/*/accept_ra=1 eine Route. Leider komme ich nur remote zu diesem Linux. Leider, denn wenn ich echo "1" > /proc/sys/net/ipv6/conf/*/forwarding mache, ist sofort meine SSH-Verbindung weg. Per IPv4 komme ich da nicht hin, das ist wie bei LTE eine geNATete Adresse. Nun entnehme ich der Dokumentation ja - accept_ra=0 keine Router Advertisements annehmen - accept_ra=1 Advertisements annehmen, wenn ich nicht selber Router bin, was wohl am Forwarding festgemacht wird - accept_ra=2 Advertisements annehmen, obwohl ich selbst forwarde Also könnte es sein, dass weil ich accept_ra=1 habe, ich nicht forwarding!=0 setzen darf/kann oder damit die default Route gelöscht wird. Ich setzte also accept_ra=2 nach dem Booten, als dank sysctl noch accept_ra=1 herrschte und ich einen router bekam und ich kann das Forwarding aktivieren. Allerdings verliere ich nach N<60 Minuten unvermittelt die default Route. Kann mir das wer erklären? Mit freundlichen Grüßen / Kind regards Ronny Seffner -- Ronny Seffner | Alter Viehweg 1 | 01665 Klipphausen www.seffner.de | ro...@seffner.de | +49 35245 72950 7EA62E22D9CC4F0B74DCBCEA864623A568694DB8
iptables(-legacy) zu nft - Target NETMAP
Hallo Gruppe, für iptables(-legacy) gab es das Target NETMAP, welches ganze Netze mappen konnte. Ich setze das ein, da manche Zielnetze zu denen ich VPN habe, lokal identische Netzkonfigurationen haben (und das kann/will/werde ich nicht ändern). https://netfilter.org/documentation/HOWTO/de/netfilter-extensions-HOWTO-4.ht ml#ss4.4 Nun finde ich in nft überhaupt keine Entsprechung dafür. Übersehe ich was oder muss ich das nun irgendwie ganz anders gestalten (wie)? Mit freundlichen Grüßen / Kind regards Ronny Seffner -- Ronny Seffner | Alter Viehweg 1 | 01665 Klipphausen www.seffner.de | ro...@seffner.de | +49 35245 72950 7EA62E22D9CC4F0B74DCBCEA864623A568694DB8
AW: Iso in spurces verwenden
> Schlauch. Wie kann ich die DVD-Isos als Surce in der sources.list eintragen > https://lmgtfy.com/?q=apt+sources+iso ISO mounten, file: als Quelle mit Pfad des Mountpunktes in sources aufnehmen. Mit freundlichen Grüßen / Kind regards Ronny Seffner -- Ronny Seffner | Alter Viehweg 1 | 01665 Klipphausen www.seffner.de | ro...@seffner.de | +49 35245 72950 7EA62E22D9CC4F0B74DCBCEA864623A568694DB8
Re: Grub Defaulteinstellung des bootenden Systems manuell abaendern
Menüpunkt erster Ebene > zweiter Ebene1>2 zb für Kern2Kern1Kern1 Kern1 Special Kern1 Recovery Kern2Am 28.03.2020 14:49 schrieb Robert Drechsel : Hallo, ich stelle das ganze bei mir zu hause gerade nach, damit das bei ihm fehlerfrei funktioniert. In der /etc/default/grub finde ich die Variable GRUB_DEFAULT=saved - abaenderung auf 0 haette ich genau den Kernel ausgewaehlt, den ich nicht moechte, Abaenderung auf 1 waere es im erstem Submenu die erste Auswahl, die wiederum der gleiche kernel waere :/ 2.3 oder so funktioniert leider nicht, da lande ich bei mir beim dritten Auswahlpunkt. Das Problem fuer mich ist gerade das Submenu und die Fuehrung dadurch. gibt es eine Moeglichkeit aus dem update-grub oder etwas anderem eine Zahl oder so aus dem Hut zu ziehen welchen Kernel er auswaehlt? Vielen Dank schon mal Robert Am 28.03.20 um 14:23 schrieb ronny@seffner.de: Unter Debian und vermutlich auch Ubuntu /etc/default/grub und dann update-grub sowie reboot. Am 28.03.2020 14:16 schrieb Robert Drechsel : Hallo liebe Liste, mein Vater, in einer anderen Stadt, hat sich leider durch ein Update die Defaulteinstellung im grub zu einem kernel gebogen, der den WLAN-Treiber nicht als Modul hat. Dadurch hat er kein Internet mehr an seinem Rechner. Beim installierten LTS Kernel sollte das Modul noch vorhanden sein. Nun gibt es das zusaetzliche Problem, dass mein Vater es nicht schafft im grub die Auswahl zu nutzen - kA ob da die Tastatur spinnt oder weswegen das System durchstartet. Daher waere meine Frage wo die Variable gespeichert wird, fuer die Defaultauswahl beim grub, so dass man diese manuell, per Telefon durchgegeben, umgestellt bekommt. Vielen Dank fuer Tipps Robert
Re: Grub Defaulteinstellung des bootenden Systems manuell abaendern
Unter Debian und vermutlich auch Ubuntu /etc/default/grub und dann update-grub sowie reboot.Am 28.03.2020 14:16 schrieb Robert Drechsel :Hallo liebe Liste, mein Vater, in einer anderen Stadt, hat sich leider durch ein Update die Defaulteinstellung im grub zu einem kernel gebogen, der den WLAN-Treiber nicht als Modul hat. Dadurch hat er kein Internet mehr an seinem Rechner. Beim installierten LTS Kernel sollte das Modul noch vorhanden sein. Nun gibt es das zusaetzliche Problem, dass mein Vater es nicht schafft im grub die Auswahl zu nutzen - kA ob da die Tastatur spinnt oder weswegen das System durchstartet. Daher waere meine Frage wo die Variable gespeichert wird, fuer die Defaultauswahl beim grub, so dass man diese manuell, per Telefon durchgegeben, umgestellt bekommt. Vielen Dank fuer Tipps Robert
Re: Problem mit MariaDB - Zugriffe werden blockiert während Stored Procedure läuft
> Nein! 0.5-1, mit 4 CPUs... Die Last kann doch auch auf dem Storage sein.
Re: Aw: Re: Seltsames Phenomen Dell inspirion 7720
Bei "export" muss auf das "$" vor "PATH" verzichtet werden.
AW: Erfahrungen mit Datenrettungs-Dienstleistern
> Wer von Euch hat schon einmal persönlich Erfahrungen mit Dienstleistern > zur Datenrettung gemacht - speziell mit der Wiederherstellung von Daten > von einer defekten mechanischen Festplatte? > Wir / ich > Kann jemand eine Empfehlung geben? > Bestimmt / Vermutlich ... Empfehlung : ontrack, Erfolg ist klein 3-stellig möglich, habe aber auch schon 5-stellig gesehen. Bekam in letztem Fall ein directory listing was widerherstellbar sein könnte, gut 15% der dort gelisteten Dateien waren inhaltlich dann trotzdem defekt. Mit freundlichen Grüßen / Kind regards Ronny Seffner -- Ronny Seffner | Alter Viehweg 1 | 01665 Klipphausen www.seffner.de | ro...@seffner.de | +49 35245 72950 7EA62E22D9CC4F0B74DCBCEA864623A568694DB8
AW: openssh sftp und Rechte
Hi Chris, ich habe mich beim pseudonymisieren von Verzeichnissen, Nutzern und Gruppen für die Frage zu "später Stunde" völlig verhaspelt und daher meine Frage nochmal korrigiert in die Liste gekippt. > Zunaechst mal: Mit libnss-extrausers habe ich keine Erfahrung. > Falls dieses schraege Konstrukt eigene Fehler verursacht, dann > kenne ich die nicht. > Der Verdacht steht an, aber libnss-extrausers wirkt ja aufs gesamte System, das Phänomen welches ich beschreibet tritt unter /var/www/webs/ auf aber nicht unter /home. Kann immer noch an diesem Paket liegen, wird wie ich finde aber unwahrscheinlicher. > Ausserdem ist nicht klar, um welchen User es Dir geht. > Oben zeigst Du Eintraege fuer den user1, unten verwendest Du > aber den user0. > Siehe oben, ich konnte nicht mehr klar Abreiten. > Falls user0 auch ins Verzeichnis user1 darf, muss er der Gruppe its > angehoeren. Info ueber den user0 fehlt aber in Deiner Mail. > 0 war 1 und 1 war 2 😉 Es ist so, dass die Nutzer jeweils nur in der Gruppe stecken, die ihrem Nutzernamen entsprechen, Nie gemeinsam in eiern Gruppe und nicht über Kreuz. Dennoch kann der eine Nutzer in das Verzeichnis des anderen obwohl die ACL sagen : others haben keine Rechte. Ich habe ja "sftp-internal" des sshd in Verdacht. > Da getfacl hier nur Verzeichnisname/Owner/Group sowie die klassischen > UGO-Permissions anzeigt, ist die ACL leer und ein simples > "ls -ld user0" haette ausgereicht. > Hätte ich da geliefert, hätte man (zu Recht) gefragt: ACLs? Da will man es einmal gleich richtig machen ... 😉 > Siehe oben. Uebersehe ich was? > Keine Ahnung, ich hatte das ja nicht gut vorbereitet und habe das jetzt im 2. Anlauf hoffentlich besser gemacht. Danke erstmal. Mit freundlichen Grüßen / Kind regards Ronny Seffner -- Ronny Seffner | Alter Viehweg 1 | 01665 Klipphausen www.seffner.de | ro...@seffner.de | +49 35245 72950 7EA62E22D9CC4F0B74DCBCEA864623A568694DB8
openssh sftp und Rechte
Hallo Gruppe, ich sitze gerade vor einem seltsamen Phänomen (vermutlich sehe ich den Baum vor lauter Holzfällern nur nicht, oder so 😉 in der sshd_config ist für SFTP deklariert: Subsystem sftpinternal-sftp Ich habe einen Nutzer in /var/lib/extrausers/passwd|group|shadow: getent group its user1:x:10002:user1 getent passwd its user1:x:10002:10002:User:/var/www/webs/user1/:/bin/false Nun kann dieser Nutzer unter /var/www/webs aber per SFTP in alle Verzeichnisse (also z.B. auch user0) ... drwxr-x--- 36 user0 itcdd4096 Okt 29 15:03 user0 drwxr-x--- 12 user1 its 4096 Okt 31 16:56 user1 ... getfacl user0 # file: user0 # owner: user0 # group: user0 user::rwx group::r-x other::--- Das gleiche Spiel klappt aber unter /home nicht überall (z.B. esets) getfacl /home/esets # file: home/esets # owner: esets # group: esets user::rwx group::r-x other::--- Wieso gelingt user0 über SFTP das change directory und mehr (read von Dateien) unter /var/www/webs/user0, nicht aber in /home/esets? Welche Infos zur Beantwortung der Frage, die schlussendlich der Sicherung der Maschine dienen soll bin ich Euch noch schuldig? Vermutlich klatsche ich gleich die Hände vor die Stirn. Mit freundlichen Grüßen / Kind regards Ronny Seffner -- Ronny Seffner | Alter Viehweg 1 | 01665 Klipphausen www.seffner.de | ro...@seffner.de | +49 35245 72950 7EA62E22D9CC4F0B74DCBCEA864623A568694DB8
AW: logcheck? Ehemals: Auswerten von /var/log/messages?
Mahlzeit Thomas, > Was für ein logcheck nimmst du? Wir hatten früher unser eigenes für > In Debian heißt das Paket einfach "logcheck". Es gibt ein ganz gutes Set an Regex für Ausschlüsse, welches Du jederzeit erweitern kannst. Ich "trainiere" einen neuen Server i.d.R. über weniger als eine Woche. Einfach in die Mails vom logcheck schuane, und Regex ergänzen. Danach kommen Mails so vereinzelt, dass entweder wirklich was ist oder der Admin das mit einer Installation eines Dienstes vermutlich provoziert hat. Mit freundlichen Grüßen / Kind regards Ronny Seffner -- Ronny Seffner | Alter Viehweg 1 | 01665 Klipphausen www.seffner.de | ro...@seffner.de | +49 35245 72950 7EA62E22D9CC4F0B74DCBCEA864623A568694DB8
AW: Auswerten von /var/log/messages?
Hallo Thomas,
> Wie macht ihr das? Pflegt ihr zig regex-Ausdrücke um alles unwichtige
> auszublenden?
>
Ja, genau so. Ich habe einige Kisten, auf denen "logcheck" mit durch mich
ergänzten Regeln läuft.
Wenn Du aber weißt, was Du sehen willst, suche doch explizit danach.
Mit freundlichen Grüßen / Kind regards
Ronny Seffner
--
Ronny Seffner | Alter Viehweg 1 | 01665 Klipphausen
www.seffner.de | ro...@seffner.de | +49 35245 72950
7EA62E22D9CC4F0B74DCBCEA864623A568694DB8
md + samba + windows_server_sicherung geht nicht (mehr)
Hallo in die Runde, ich habe durch trial&error den Verdacht, dass die Windows Server Sicherung (im Folgenden WSS) empfindlich darauf reagiert, wenn man in einen mit samba bereitgestellten share sichert, der auf einem md-Raid liegt. Dazu habe ich eine SATA-HDD und eine USB3-HDD als md-Raid-1 (weil ich dann wöchentlich durch Auflösen und neu Zusammensetzen des Raid eine Platte der Datensicherung extern lagern kann). Sichere ich mit WSS nun über den share auf dieses Raid, gelingt mir das vielleicht in 1 von 10 Fällen, die anderen 9 brechen nach verschiedenen Volumina (7-24gb) mit "Netzwerkfehler, Prüfen Sie den Zugriff auf das Zielmedium" ab. Sichere ich auf einen share, dem kein md zugrunde liegt, sind 5 von 5 Sicherungen erfolgreich. Warum ist nun wahrscheinlich md (mit)schuld? - ich habe dem Raid die USB-Platte entnommen und ohne Erfolg gesichert - ich habe dem Raid sie SATA-Platte entnommen und ohne Erfolg gesichert - ich habe die entnommene SATA-Platte (auch) mit ext4 formatiert und mit Erfolg gesichert - ich habe das selbe mit der USB-Platte auch erfolgreich hinbekommen = Ports, Geräte, Dateisystem, Anbindung (Netzwerk), Sicherungsclient und -Software waren dabei immer identisch Und warum könnte samba (mit)schuldig sein? - ich konnte auf das md-Raid direkt (also ohne samba dazwischen) größere Datenmengen mit rsnapshot (rsync) sichern, was mich einen Zusammenhang zwischen samba und md oder WSS (also der Art, wie das auf Storage wirkt) und md vermuten lässt. Nun zur Frage: Hat einer ähnliches erlebt und gelöst oder zumindest Ideen ob man mit (welcher?) Parametrierung an samba bzw. md da noch irgendwas experimentieren kann? Ich habe ja nichtmal eine Idee, wieso sich rsync und WSS unterschiedlich auswirken (rsync in kleinen Blöcken, WSS als Stream?). ps : Das obige Vorhaben hat mit Debian Stretch funktioniert, seit Buster habe ich die Probleme; in beiden Fällen nutze ich den gleichen selbstgebackenen Kern - es hat sich also vor allem samba geändert (vllt. auch Kernelparameter dank sysctl oder systemd). pps : ich nutze eigentlich zusätzlich noch die ex4 Verschlüsselung und musste beim Wechsel auf Buster feststellen, dass der smbd nun nicht mehr den Schlüsselring des Nutzers "erbt", vielmehr hat Pöttering da was am Verfahren geändert und den Unit-Parameter KeyringMode vorgesehen, den ich nun auf "shared" setzen muss. Sicher bin ich nur zu einfältig, aber systemd k***t mich an - angetreten um init zu ersetzen ist das inzwischen ein halbes Betriebssystem und widerspricht Teilen der Unix-Philosophie. Mit freundlichen Grüßen / Kind regards Ronny Seffner -- Ronny Seffner | Alter Viehweg 1 | 01665 Klipphausen www.seffner.de | ro...@seffner.de | +49 35245 72950 7EA62E22D9CC4F0B74DCBCEA864623A568694DB8
AW: Probleme mit Aktualisierung von Paket
> > Außer zu versuchen per Hand die Datei zu korrigieren (blöde "Lösung"), > > was kann ich machen? Die betreffende Datei an genannter Stelle öffnen und den einen Check für den Zeitraum des Installierens auskommentieren. Also: - comment + save - apt ... - uncomment + save Hat hier wunderbar funktioniert. Mit freundlichen Grüßen / Kind regards Ronny Seffner -- Ronny Seffner | Alter Viehweg 1 | 01665 Klipphausen www.seffner.de | ro...@seffner.de | +49 35245 72950 7EA62E22D9CC4F0B74DCBCEA864623A568694DB8
AW: System haengt beim Booten (war: Keine Ethernetverbindung bis Console-Login)
Hallo, > Symptom hier ist: System bootet und bleibt noch vor dem Starten der > Login-Prompts haengen. Dieser Zustand wird erst verlassen, wenn > ausreichend viel auf der Tastatur rumgetippt wurde. Das fuellt den > Entropie-Pool im Kernel und fuehrt schliesslich dazu, dass das > blockierende getrandom() zurueckkehrt. Der Aufruf von getrandom() > scheint in diesem Fall direkt im systemd stattzufinden. > Hilft es hier dann (auch) z.B. haveged zu installieren? Das mache ich sonst häufig auf Kisten mit zuwenig Zufall. Ob Christian Recht hat, ließe sich mit einem Blick in /proc/sys/kernel/random/entropy_avail belegen - vielleicht durch einen at/cron-Job, der das im Hintergrund auch vor Login mal testweise protokolliert. Mit freundlichen Grüßen / Kind regards Ronny Seffner -- Ronny Seffner | Alter Viehweg 1 | 01665 Klipphausen www.seffner.de | ro...@seffner.de | +49 35245 72950 7EA62E22D9CC4F0B74DCBCEA864623A568694DB8
AW: chroot und TERM
Hallo Heiko, > Was steht denn drin in TERM, wenn Du Dich angemeldet hast? > Das, was auch im Putty gesetzt ist: - Standard = putty-256color - im putty auch möglich z.B. xterm - aber ich weiß ja nicht, mit was für Umgebungen die Nutznießer dieser chroot-Umgebungen dann so kommen werden > Vi und Cursorsteuerung? Geht das? ;) > Im nano gings gleich. Für vi habe ich inzwischen noch "set nocompatible" gefunden um es auch in meiner Umgebung zu realisieren. > Vielleicht bekommst Du kein Terminal. Dann kannst Du TERM setzen, wie Du > möchtest, es wird nicht oder nur bedingt helfen. (Hint: ssh > pseudo-terminal allocation). > Auch das Ändern von TERM in der chroot-shell hat die Fehlermeldung nur entsprechend verändert. Was offenbar wirklich sein muss ist, /lib/terminfo/ zumindest in Auszügen in das chroot zu kopieren. Nun muss ich den Betroffenen entweder mitteilen, welche Modi ich unterstütze oder ich zwinge denen eines auf. Da ich das nicht per .profile oder .bashrc hinbekomme, danke ich Dir für den Tipp, das im SSH zu suchen. > Geht es denn bei einem lokalen chroot, also ohne die SSH dazwischen zu > haben? > Naja, die Kiste ist reichlich 100km von mir entfernt. Wenn ich jetzt per SSH als root drauf wäre und dann chroote vererbe ich das putty-TERM ja auch nur 😉 > Geht es, wenn Du mit Busybox-static eine chroot-Umgebung baust? > Das ist mal überhaupt ein interessanter Ansatz fürs chroot, statt Binaries und deren benötigte Bibliotheken rekursiv zusammenzusuchen (und später auch zu pflegen). > Vielleicht kann man auch einen Nspawn-Wegwerf-Container starten, und > das Home-reinmontieren. Nicht probiert, nur so ein Gedanke > Das ist eine Idee für einen freien Nachmittag. Mit freundlichen Grüßen / Kind regards Ronny Seffner -- Ronny Seffner | Alter Viehweg 1 | 01665 Klipphausen www.seffner.de | ro...@seffner.de | +49 35245 72950 7EA62E22D9CC4F0B74DCBCEA864623A568694DB8
chroot und TERM
Hallo, ich merke immer wieder, dass ich von Linux zu wenig weiß. Mittels sshd_config, einem Match User Filter und einer ChrootDirectory %h Anweisung möchte ich bestimmten Nutzern zwar ne Shell, aber doch eine eingeschränkte Umgebung bieten. Dazu lege ich u.a. im Home des Nutzers /dev/[null,random,tty,zero] an und kopiere - nein hardlinke - neben einer bash auch Tools wie vi und alle mittels ldd ermittelten Bibliotheken da rein. Login klappt, viel Tools tun nur z.B. mit den Editoren wie vi/vim oder nano haperts mangels passendem TERM. "Error opening terminal: putty-256color." Auch Anpassung z.B. mittels export TERM=xterm hilft da nicht. Nun habe ich aus ncurses-term die terminfo-Verzeichnisse gefunden, die die Fehlermeldung zwar verhindern, dann aber noch immer keine Cursorsteuerung in den Editoren erlauben. Chroot mit "debootstrap" mag ich nicht haben willen, das sind jedes Mal gleich 250mb. Wo genau muss ich denn jetzt wie fummeln, damit die Umgebung passt? Mit freundlichen Grüßen / Kind regards Ronny Seffner -- Ronny Seffner | Alter Viehweg 1 | 01665 Klipphausen www.seffner.de | ro...@seffner.de | +49 35245 72950 7EA62E22D9CC4F0B74DCBCEA864623A568694DB8
AW: IPv6 und fehlende Antwortpakete
> $ tracepath > > Das sollte natuerlich auf einem Client im LAB gemacht werden, weil > bei den Clients im LAN die lokale MTU (Interface) schon auf dem > IPv6-Minimum (1280) sitzt. > Das liefert im fehlerhaften Zustand: 1?: [LOCALHOST] 0.010ms pmtu 1500 ... Resume: pmtu 1470 hops 8 back 8 Und nun, wo ich den radvd angepasst habe: 1?: [LOCALHOST] 0.011ms pmtu 1280 ... Resume: pmtu 1280 hops 8 back 8 D.h. mit 1470 sollte ich auch arbeiten können und muss nicht auf 1280 runter? Mit freundlichen Grüßen / Kind regards Ronny Seffner -- Ronny Seffner | Alter Viehweg 1 | 01665 Klipphausen www.seffner.de | ro...@seffner.de | +49 35245 72950 7EA62E22D9CC4F0B74DCBCEA864623A568694DB8
AW: IPv6 und fehlende Antwortpakete
Hallo Konrad, > > Das SYN-Paket in lab.dump wird mit mss 1440 gesendet, abgeleitet von der > > Interface-MTU 1500. Da der Server auch mss 1440 verwendet, sind fuer > > diese TCP-Verbindung groessere Pakete erlaubt, die dann wahrscheinlich > > irgendeinem Router auf der Strecke vom Server zum Client zu gross > > werden. > > Ist ein DSL-Link oder sowas dazwischen? Dann wäre die Path-MTU maximal > 1492. > Genau da lag wohl das Übel. Vielen Dank. Mit freundlichen Grüßen / Kind regards Ronny Seffner -- Ronny Seffner | Alter Viehweg 1 | 01665 Klipphausen www.seffner.de | ro...@seffner.de | +49 35245 72950 7EA62E22D9CC4F0B74DCBCEA864623A568694DB8
AW: IPv6 und fehlende Antwortpakete
Hallo Christian, > Ohne radvd besonders gut zu kennen faellt mir auf, dass Du nur fuer > eth0 (LAN) die Link-MTU der Clients auf 1280 senkst, bei eth1 (LAB) > tust Du das nicht. Entsprechend setzen die Clients im LAN ihre > Interface-MTU auf 1280, waehrend die Clients im LAB die Interface-MTU > beim Default, also 1500 belassen. > Der Hinweis war wohl Gold wert. Danke. Mit freundlichen Grüßen / Kind regards Ronny Seffner -- Ronny Seffner | Alter Viehweg 1 | 01665 Klipphausen www.seffner.de | ro...@seffner.de | +49 35245 72950 7EA62E22D9CC4F0B74DCBCEA864623A568694DB8
IPv6 und fehlende Antwortpakete
Hallo,
ich habe hier einen Router mit 2 NIC, die je einen IPv6-Adressbereich
beziehen und an Clients dahinter verteilen.
Nun ist es so dass Clients aus dem einen Netz Probleme mit HTTPS haben und
die des anderen Netzes nicht. Schaue ich mir das aus Sicht des Webservers
an, so sendet dieser in beiden Fällen Antworten Richtung anfragendem Client,
schaue ich auf dem Router bleiben für die fehlerhaften Clients diese
Antworten aber aus. Für mich schien klar, der Provider filtert da aus nicht
nachvollziehbaren Gründen das eine Netz. Wohlgemerkt mit z.B. SMTP habe ich
das Problem nicht.
Zum Glück heißt der Provider nicht TELEKOM oder so, sondern ist bis zum
Router runter ansprechbar. Auch dieser sieht schon die Antworten des
Webservers angeblich nicht und auch sein Vorgeschalteter würde nicht
filtern. Wir halben mal das komplette IPv6-Netz gewechselt, aber das Bild
bleibt gleich das erste Segment kann arbeiten, das zweite wieder nicht. Mein
Provider meint, es läge an meinem Router (Debian 9, Kernel 4.19, netfilter)
- erklärt das aber nicht genauer. Ich komme beim Provider nun nicht mehr
weiter und will der Behauptung meine Technik sei Schuld eine Chance geben.
Ich beziehe mit wide-dhcpv6 über ppp0 einen Adressbereich und ordne ihn auf
zwei Interfaces wie folgt zu:
profile default
{
information-only;
request domain-name-servers;
request domain-name;
script "/etc/wide-dhcpv6/dhcp6c-script";
};
interface ppp0 {
send ia-pd 999;
};
id-assoc pd 999 {
prefix ::/56 infinity;
prefix-interface eth0 {
sla-len 8;
sla-id 0;
ifid 1;
};
prefix-interface eth1 {
sla-len 8;
sla-id 16;
ifid 1;
};
};
Zusätzlich verteile ich die Netzinformation für die dahinterliegenden
Clients mit radvd wie folgt:
interface eth0 {
AdvSendAdvert on;
AdvManagedFlag on;
AdvOtherConfigFlag on;
AdvDefaultPreference high;
AdvLinkMTU 1280;
prefix 2a00:fda0:6:cd00::/64 {
AdvOnLink on;
AdvAutonomous off;
AdvRouterAddr on;
};
RDNSS 2a00:fda0:6:cd00::221 2a00:fda0:6:cd00::222 {
#
};
DNSSL its-local {
#
};
};
interface eth1 {
AdvSendAdvert on;
prefix 2a00:fda0:6:cd10::/64 {
AdvOnLink on;
AdvAutonomous on;
AdvRouterAddr on;
};
RDNSS 2001:4860:4860:: 2001:4860:4860::8844 {
#
};
};
Nennen wir das Netz hinter eth0 LAN und das hinter eth1 LAB.
Auf mindestens einen Webserver im WAN mit IPv6 habe ich Zugriff. Daher hier
mal die Paketmitschnitte aus Sicht dieses Webservers, wenn eine Anfrage aus
dem LAN kommt und eine aus LAB.
Kann denn da einer von Euch orakeln, warum ein Teil der Antworten an LAB
irgendwo verloren gehen?
Ich kann auch Dumps von dem zeigen, was mein Router davon noch sieht.
Mit freundlichen Grüßen / Kind regards
Ronny Seffner
--
Ronny Seffner | Alter Viehweg 1 | 01665 Klipphausen
www.seffner.de | ro...@seffner.de | +49 35245 72950
7EA62E22D9CC4F0B74DCBCEA864623A568694DB8
lab.dump
Description: Binary data
lan.dump
Description: Binary data
AW: Passwortsafe
Moin, > ich bin auf der Suche nach einem unabhängigen sicheren Passwortsafe > den ich von Windows, IOS, Mac und Android nutzen kann. > Die Datei sollte ich möglichst in meiner Owncloud ablegen können. > Mir fällt da sofort keepass [1] ein. [1] https://de.wikipedia.org/wiki/KeePass Mit freundlichen Grüßen / Kind regards Ronny Seffner -- Ronny Seffner | Alter Viehweg 1 | 01665 Klipphausen www.seffner.de | ro...@seffner.de | +49 35245 72950 7EA62E22D9CC4F0B74DCBCEA864623A568694DB8
AW: Von NFS zu ???
Hallo, Microsoft kennt dafür eine Art Lösung und nennt sie "roaming profiles". Hat der Client beim Login Netz, prüft er, ob die lokale Kopie des home aktueller ist, als die servergespeicherte Kopie. Ist dem nicht so, zieht er die Kopie vom Server. Beim Logout schiebt der Client sein home auf dem Server, wenn er ihn erreicht. Dazu gibt’s blacklists für Dateien/Ordner, weil so ein MS-Nutzerprofil schon mal riesig sein kann und Synchronisierungs-Intelligenz wie rsync bei MS nicht existiert. Der Ansatz kann ja aber auch für Dich die Lösung sein. Wichtig ist, dass es keine konkurrierenden Zugriffe on- und offline gibt (ein als Bernd angemeldeter Nutzer im Zug und einer im Büro gleichzeitig) - da gewinnt dann eben immer das aktuellste Profil. - prüfe bei Login auf Serververfügbarkeit - finde das aktuellere home und synchronisiere bei Bedarf (- touche einen Zeitstempel/lock/was auch immer) - lass den User arbeiten (- touche einen Zeitstempel/lock/was auch immer) - versuche bei logout das home auf den Server zu bekommen Ich würde da mit rsync arbeiten. Mit freundlichen Grüßen / Kind regards Ronny Seffner -- Ronny Seffner | Alter Viehweg 1 | 01665 Klipphausen www.seffner.de | ro...@seffner.de | +49 35245 72950 7EA62E22D9CC4F0B74DCBCEA864623A568694DB8
AW: Logdateien plötzlich binär laut grep nach Upgrade
Hallo Fabian, auch Dir ein Dank für die Ideen. > Ich würd zur manuellen Binärbaumsuche greifen: teile die Datei in zwei > Hälften (dd), greppe in beiden nach irgendwas vorhandenem (ein "e"), mit > einer matchenden Hälfte wieder von vorn beginnen, bis die Hälfte klein > genug ist, dass man es mit bloßem Auge sofort sieht. > Ich bin anders rangegangen aber mit der selben Motivation. Ich habe die Datei im vi offen und sehe zwischen der letzten grepbaren Zeile bis zum ersten Auftreten des Suchstrings im "binären Bereich" eben nichts augenscheinliches. Muss man vi noch befähigen "Sonderzeichen" sichtbar zu machen? Mit freundlichen Grüßen / Kind regards Ronny Seffner -- Ronny Seffner | Alter Viehweg 1 | 01665 Klipphausen www.seffner.de | ro...@seffner.de | +49 35245 72950 7EA62E22D9CC4F0B74DCBCEA864623A568694DB8
AW: Logdateien plötzlich binär laut grep nach Upgrade
Hallo Christian, danke, dass Du Dich meiner annimmst. > Um welche Logdateien geht es genau? > Zum Beispiel auth.log, syslog oder auch mail.log. Also alles was durch syslog-ng verwaltet wird. > Du koenntest zunaechst mal "file" und "file -i" auf die betreffenden > Dateien ansetzen. > Das hatte ich schon am Start: ns2:~# file /var/log/syslog /var/log/syslog: ASCII text, with very long lines ns2:~# file -i /var/log/syslog /var/log/syslog: text/plain; charset=us-ascii ns2:~# locale LANG=de_DE.UTF-8 LANGUAGE= LC_CTYPE="de_DE.UTF-8" LC_NUMERIC="de_DE.UTF-8" LC_TIME="de_DE.UTF-8" LC_COLLATE="de_DE.UTF-8" LC_MONETARY="de_DE.UTF-8" LC_MESSAGES="de_DE.UTF-8" LC_PAPER="de_DE.UTF-8" LC_NAME="de_DE.UTF-8" LC_ADDRESS="de_DE.UTF-8" LC_TELEPHONE="de_DE.UTF-8" LC_MEASUREMENT="de_DE.UTF-8" LC_IDENTIFICATION="de_DE.UTF-8" LC_ALL= Mit freundlichen Grüßen / Kind regards Ronny Seffner -- Ronny Seffner | Alter Viehweg 1 | 01665 Klipphausen www.seffner.de | ro...@seffner.de | +49 35245 72950 7EA62E22D9CC4F0B74DCBCEA864623A568694DB8
Logdateien plötzlich binär laut grep nach Upgrade
Hallo, ich habe ein System von Debian 8 auf 9 angehoben, das mache ich nicht zum ersten Mal. Diesmal habe ich aber Nachwehen mit grep und logcheck. Grep matcht in den Logfiles bis zum Tag des Upgrades und meldet dann noch "Übereinstimmungen in Binärdatei gefunden". Logcheck arbeitet mit einem ignore-file voller regex, die plötzlich nicht mehr matchen, ich vermute hier einen Zusammenhang. Ich könnte grep -a nehmen. Ich könnte die logs einmal rotieren (verifiziert, funktioniert dann wieder alles). Ich möchte aber lieber wissen, was da warum passiert ist. Ich möchte nicht mitten im Monat die Logs rotieren. Ich kann nicht alle Helfer pauschal auf grep -a umstellen. Wie also kann ich Dateien identifizieren, bei denen grep auf die Binäridee kommen wird (offenbar werden die ja erst "mittig" binär)? Wie kann ich die Dateien konvertieren? Ich suche was in der Art 'finde dateien | prüfe und konvertiere'. Mit freundlichen Grüßen / Kind regards Ronny Seffner -- Ronny Seffner | Alter Viehweg 1 | 01665 Klipphausen www.seffner.de | ro...@seffner.de | +49 35245 72950 7EA62E22D9CC4F0B74DCBCEA864623A568694DB8
AW: Hilfe mit IPv6
> Ich nutze auch wide-dhcpv6-client. Ich denke, ich muss also dort einen
> Abschnitt für das zweite Netz hinzufügen, richtig?
>
So siehts hier aus mit Aufteilung auf 2 Interfaces/Netze.
profile default
{
information-only;
request domain-name-servers;
request domain-name;
script "/etc/wide-dhcpv6/dhcp6c-script";
};
# my_provider
interface ppp0 {
send ia-pd 999;
};
id-assoc pd 999 {
prefix ::/56 infinity;
prefix-interface eth0 {
sla-len 8;
sla-id 0;
ifid 1;
};
prefix-interface eth1 {
sla-len 8;
sla-id 16;
ifid 1;
};
};
Mit freundlichen Grüßen / Kind regards
Ronny Seffner
--
Ronny Seffner | Alter Viehweg 1 | 01665 Klipphausen
www.seffner.de | ro...@seffner.de | +49 35245 72950
7EA62E22D9CC4F0B74DCBCEA864623A568694DB8
AW: Hilfe mit IPv6
Hi Luca,
> interface dsl0 {
> # Request Prefix Delegation on isp0, and give the received prefix id
> 0
> send ia-pd 0;
> };
>
Bei uns war es zum Schluß entscheidend, nicht die ia-pd 0 zu nehmen - das lag
aber wohl an den "microtik"-Routern des ISP.
Mit freundlichen Grüßen / Kind regards
Ronny Seffner
--
Ronny Seffner | Alter Viehweg 1 | 01665 Klipphausen
www.seffner.de | ro...@seffner.de | +49 35245 72950
7EA62E22D9CC4F0B74DCBCEA864623A568694DB8
AW: Hilfe mit IPv6
Hallo Luca, ich habe hier auch eine Weile gebraucht bis dass mit IPv6 vom Provider richtig funktioniert hat. Unter Debian laufen dafür hier jetzt "radvd" und "wide-dhcpv6-client". Vielleicht helfen Dir diese Stichpunkte weiter um a) vom Provider das Netz zu beziehen und es b) nach innen weiterzuverteilen. Mit freundlichen Grüßen / Kind regards Ronny Seffner -- Ronny Seffner | Alter Viehweg 1 | 01665 Klipphausen www.seffner.de | ro...@seffner.de | +49 35245 72950 7EA62E22D9CC4F0B74DCBCEA864623A568694DB8
AW: SCSI_Kabel
Moin,
> Alternativ wäre aus eine Adaptec AHA 2940UW mit 68-poliger Buchse
> (weiblich) denkbar.
>
ich habe hier einen AHA 2940UW PCI mit SCSI-3 also 68 HD weiblich. SCSI 2 auf 3
Adapter habe ich leider nur "anders-herum" und auch nur in HD. Den
Centronics-Kram habe ich noch zu SCSI-Zeiten entsorgt, als LVD endlich
verbreitet war.
Wermutstropfen : Versand oder Du musst mal an die AS Wilsdruff A4 rauskommen.
Ich will den Controller auf jeden Fall zurück, denn wer weiß ob man nochmal
über ein passendes Gerät stolpert 😉 Ach, ein Kollege könnte den nach Feierabend
auch in DD Strießen bereithalten.
Mit freundlichen Grüßen / Kind regards
Ronny Seffner
--
Ronny Seffner | Alter Viehweg 1 | 01665 Klipphausen
www.seffner.de | ro...@seffner.de | +49 35245 72950
7EA62E22D9CC4F0B74DCBCEA864623A568694DB8
AW: ext4 encryption und samba
Ach man. Der user auf den samba den share mappt hatte keinen ausreichenden Zugriff auf den key im keyring, den es zum ver/entschlüsseln des Verzeichnisses braucht. Allerdings hatte ich da ALLES-oder-NICHTS erwartet und nicht eine Vervierfachung von create sowie das Nullen für den change eines files. Jetzt muss ich mich also mal in keyring/keyctl einlesen, wie man einen key über eine shell hinweg einem anderen Nutzer nutzbar macht. Mit freundlichen Grüßen / Kind regards Ronny Seffner -- Ronny Seffner | Alter Viehweg 1 | 01665 Klipphausen www.seffner.de | ro...@seffner.de | +49 35245 72950 7EA62E22D9CC4F0B74DCBCEA864623A568694DB8
ext4 encryption und samba
Hi, hat das im Betreff Stehende schon mal einer probiert? Hinterlege ich den Key mit e4crypt add_key, kann ihn der smdb noch nicht verwenden. Also ist e4crypt set_policy $descriptor gefragt. Lege ich jetzt von Windows aus in einem share, den samba lokal in einem verschlüsselten Verzeichnis abbildet, eine Datei an, so entstehen 4 Stück! Kopiere ich von Windows aus eine Datei, die schon auf den share steht nochmal auf den share, so ist die resultierende Dateikopie leer. Lesen kann ich den Inhalt der Quelldatei aber mittels Editor. Kopiere ich Dateien anderer Quellen durch Windows auf diesen share, versucht er auch mehrere Kopien anzulegen und alles bleibt leer. Und da nutze ich noch keine MS Office Produkte, die für ihre Eigenheiten beim Anlegen, Öffnen und Speichern bekannt sind. WTF? Touch, mv und cp unter Linux in das verschlüsselte Verzeichnis funktionieren erwartungsgemäß. Muss ich jetzt den samba "erziehen" mit encrypted ext4 besonders umzugehen? Wie? Mit freundlichen Grüßen / Kind regards Ronny Seffner -- Ronny Seffner | Alter Viehweg 1 | 01665 Klipphausen www.seffner.de | ro...@seffner.de | +49 35245 72950 7EA62E22D9CC4F0B74DCBCEA864623A568694DB8
SMB Verbindungsabbruch je nach device/fs
Hallo, ich habe hier ein Debian 9 als Datenstorage für Windows-Backups (wbadmin), welches sich seit ein paar Wochen komisch verhält. Leider ist die Konfiguration so komplex, dass ich gern das Vorgehen mal mit anderen Augen beleuchte hätte. Eigentlich habe ich zwei Platten als md-raid 1 - ehemals mittels truecrypt verschlüsselt, jetzt mit luks/cryptsetup geöffnet - und ext4, auf die der smb-share zeigt. Hier pricht ziemlich reproduzierbar (ob, nicht wann) die Sicherung zwischen 2 und 30gb ab. Laut smb-logs so, als würde der client die Verbindung normal schließen. Ich habe am Samba konfiguriert, ich habe den Kern von 4.14.67 (vanilla) auf 4.15.18 (pve) gewechselt - das brachte beides nichts. Ne andere Kiste mit debian 9 und gleicher smb.conf tut. Also bleibt Hardware oder eben die Geschichte mit md und crypt. Sichere ich auf die "fehlerhafte" Kiste auf eine andere Platte durch den gleichen kern und samba, sogar durch die gleiche NIC und den gleichen SATA-controller, gibt es keinen Abbruch. Also was ist jetzt anders? Keine Sicherung: - ext4 - md - crypt - ein device an sata - ein device an usb (jetzt mach das mit md und crypt vielleicht in euren Augen einen Sinn) Funktionierende Sicherung - ext3 - ein (anderes) device an sata Was sollte ich als nächstes in Betracht ziehen und wie? Werden die abgehangenen fs eine Rolle spielen? Sollte ich einen crypt-container mit ext4 auf dem ext3 anlegen und dort rein sichern? Soll ich mal usb hart aus dem md entfernen? Übrigens jede andere Art von großem Datenvolumen kann ich auf dem ext4 ohne Abbruch sichern - in Foren bekommt man aber den Eindruck, dass "wbadmin" besonders empfindlich ist. Das System hat so jahrelang funktioniert, beide Parteien bekommen aber regelmäßig Updates nur kann ich das Auftreten der Ersten Fehler leider nicht mehr zeitlich mit einem Update in Korellation bringen. Mit freundlichen Grüßen / Kind regards Ronny Seffner -- Ronny Seffner | Alter Viehweg 1 | 01665 Klipphausen www.seffner.de | ro...@seffner.de | +49 35245 72950 7EA62E22D9CC4F0B74DCBCEA864623A568694DB8
Re: Hilfe mit Gesetzt: löschen der E-Mails
Hallo Luca,gilt für den Provider der Tochterfirma deutsches Recht?Ich kenne da kein konkretes Gesetz, nur Rechtsprechung. Bedroht der Inhalt der Mail die Sicherheit von Systemen (was bei Viren angenommen wird) darf der Provider diese löschen sofern auf diese Funktion deutlich hingewiesen wurde bzw. der Kunde das explizit wünscht.Also Blick in die Mailkontosettings und AGB. Ein globales "darf nicht", gibt's nicht. Fehlt die Kenntniss des Postfachinhabers vom Schutzmechanismus hat er gute Chancen auf Schadensersatz.Dies war keine Rechtsberatung.Mit freundlichen Grüßen / Kind regards Ronny Seffner -- Ronny Seffner | Alter Viehweg 1 | 01665 Klipphausen www.seffner.de | ro...@seffner.de | +49 35245 72950 7EA62E22D9CC4F0B74DCBCEA864623A568694DB8
AW: Datenschutz auf dieser Liste
Hallo Heiko, > Habt ihr eigentlich verschlüsselt kommuniziert? > Nee. Ich habe ja keinen Namen oder andere personenbezogene Daten (pD) genannt. Außer meiner Mailadresse und IPs beteiligter Server was sich auch durch Verschlüsselung nicht verbergen ließe. Ich erwarte auch in seiner Antwort keine pD. Ich sah also schlicht keine Notwendigkeit der Geheimhaltung/des Schutzes. Es gibt ohne social engineering noch keinen Bezug zu Dir. Du musst also nicht handeln, wobei mich das Thema nun interessieren würde und am Ende sicher eine Referenz für andere ML-Betreiber sein kann (zumindest in Sachsen). Es besteht aber auch das Risiko, dass nach amtlicher Bekanntmachung (nach Deiner Anfrage wissen die ja dann genau was Du wo falsch machst) die ML so wie sie ist eingestampft werden muss. Mit freundlichen Grüßen / Kind regards Ronny Seffner -- Ronny Seffner | Alter Viehweg 1 | 01665 Klipphausen www.seffner.de | ro...@seffner.de | +49 35245 72950 7EA62E22D9CC4F0B74DCBCEA864623A568694DB8
AW: Datenschutz auf dieser Liste
Hallo Heiko, ich habe die Zwischenergebnisse der von mir begonnenen Diskussion mal pseudonym an unsere Aufsichtsbehörde geschickt mit der Bitte um Aufklärung. Es ging darum ob als Rechtsgrundlage die Einwilligung oder ein Vertrag herhält, was organisatorisch in Richtung des Archives unterschiedliche Auswirkungen haben kann. Ferner habe ich speziell für das Archiv an Artikel 89 DSGVO gedacht, als Joker sozusagen. [...] Ein befreundeter Unternehmer betreibt die Infrastruktur (An-/Abmelde-Webseite, Mailserver, Archiv) für eine Mailingliste für technisch Interessierte zum Austausch untereinander und wir fragen uns, wie nach der DSGVO und dem BDSG nF nun korrekt mit den Betroffenenrechten umgegangen werden muss. Nach wie vor kommt technisch ein double opt-in-Verfahren zum Einsatz. Recht klar scheint, dass in Kombination mit dem "Abonnieren"-Knopf eine Datenschutzinformation platziert werden muss. Nun wird trefflich diskutiert, ob als Rechtsgrundlage hier der Vertrag Art. 6 Abs. (1) b) DSGVO oder die Einwilligung Art. 6 Abs. (1) a) DSGVO als Basis angenommen werden muss. Faktisch macht das wohl keinen großen Unterschied denn was bei der Einwilligung der Widerruf ist, ist beim Vertrag die Kündigung, beides entzieht die Rechtsgrundlage und führt mangels gesetzlicher Aufbewahrungspflichten zur Löschung. Dennoch würde uns interessieren, wie man hier abwägt und warum z.B. auch Newsletterabos im breiten Feld unter der Einwilligung betrachtet werden. Das eigentliche Problem ist wohl, dass alle Nachrichten, die über die Mailingliste ausgetauscht werden, in einem Archiv landen, welches zudem öffentlich abrufbar ist. Diese Funktion ist eines der Anliegen einer Mailingliste - Dokumentation für Recherchezwecke. Es ist nicht mit vertretbarem Aufwand realisierbar, bei Widerruf oder Anspruch des Löschrechtes die Nachrichten eines Abonnenten zu löschen oder von personenbezogenen Daten zu befreien. Darf sich ein solches Projekt auf Art. 89 Abs. (3) berufen? [...] Man glaubt ja nicht was da als nicht zielführende Antwort zurückkam. [...] Wie Ihnen sicher bekannt ist, ist die unverschlüsselte Übermittlung personenbezogener Informationen per E-Mail über das Internet mit erheblichen datenschutzrechtlichen Risiken verbunden. Eine unverschlüsselte E-Mail ist weder gegen eine Kenntnisnahme durch Unbefugte noch gegen eine inhaltliche Veränderung geschützt. Das bedeutet, dass es unbefugten Personen ohne großen Aufwand möglich ist, eine unverschlüsselte E-Mail zu lesen und inhaltlich nach Belieben abzuändern. Eine unverschlüsselte E-Mail ist letztlich einer mit Bleistift geschriebenen Postkarte vergleichbar. Als Sächsischer Datenschutzbeauftragter kontrolliere ich die Einhaltung der datenschutzrechtlichen Vorschriften im Freistaat Sachsen. Dementsprechend ist die Gewährleistung einer datenschutzgerechten Bearbeitung der mich erreichenden Anfragen ein Grundstein meiner täglichen Arbeit. Damit ich auch das von Ihnen geschilderte Anliegen datenschutzgerecht bearbeiten, meine Zuständigkeit prüfen und dem Verantwortlichen das Ergebnis meiner Prüfung mitteilen kann, bitte ich Sie, den von Ihnen benannten befreundeten Unternehmer zu empfehlen, sich diesbezüglich unter Angabe seiner Postanschrift (oder seines PGP-Schlüssels) sowie der URL seiner Website direkt und selbst an mich zu wenden. [...] Die einzigen personenbezogenen Daten der Anfrage und sicher auch einer möglichen Antwort sind im Mailheader nachvollziehbar. Keine Spur einer fragebezogenen Antwort aber ein Hinweis auf Mailverschlüsselung. Danke! Jetzt musst Du (Heiko) es also im Zweifel selber weiterverfolgen. Mit freundlichen Grüßen / Kind regards Ronny Seffner -- Ronny Seffner | Alter Viehweg 1 | 01665 Klipphausen www.seffner.de | ro...@seffner.de | +49 35245 72950 7EA62E22D9CC4F0B74DCBCEA864623A568694DB8
Re: Datenschutz auf dieser Liste
Guten Morgen Jens, Ich bin der Meinung, dass durch die Anmeldung ein Vertrag geschlossen wird indessen Zusammenhang natürlich über den Datenschutz informiert werden muss wie angegeben(gesetzliche Grundlage). Du hast vollkommen Recht damit, dass man eine Einwilligung lieber nicht will. Leider ist aus mir durch die Datenschutzschulungen, den "Erhalt der Fachkunde" und auch mehrjährige Praxis kein Jurist geworden. Man könnte der Definition eines Vertrags entnehmen, dass sich auch beim ML-Abo zwei Parteien zum Austausch von Leistungen oder Waren einigen. Ich kann das fachlich nicht widerlegen, aber mein Bauch - der oft recht liegt - fragt dann, warum ist dann nicht jedes Newsletterabo auch ein Vertrag und warum binden sich dann alle (also auch die mit großen Rechtsabteilungen) diese Einwilligung ans Bein? Kämen wir zu dem Schluss, dass sich das ML-Abo als Rechtsgrundlage dem Vertrag (Art. 6 Abs. 1 (b)) bedienen kann, bleibt die Informationspflicht bestehen. Es sollte also noch immer in der Nähe des "Abonnieren"-Knopfes eine Datenschutzerklärung geben, dann ohne die "ich erkenne an"-Vertextung. Man könnte sich den Widerruf sparen, die Rechtsgrundlage fiele aber mit Kündigung des Abos weg und man müsste löschen wie beim Widerruf oder Löschrecht auch. Also braucht es bei der Vertragsbetrachtung den "Löschen geht nicht, weil Archiv"-Text dann nicht nur in der Datenschutzerklärung sondern bei Vertragsschluss - sprich direkt verbindlich beim "Abonnieren"-Knopf. Am Ende ist es also egal, welche der genannten Rechtsgrundlagen in diesem Fall gewinnt. Man muss vollumfänglich informieren, das ist im Moment ausbaufähig. Und man muss auf das Archiv und die damit einhergehende Einschränkung der Betroffenenrechte hinweisen. Ein Detailunterschied ergibt sich noch nicht einmal bei der Protokollierung der Abos, sowohl Verträge als auch Einwilligungen muss man nachweisen können. Eine Aufsichtsbehörde wird sich mittelfristig nicht für die LUG-DD interessieren. Ich unterstelle den Abonnenten auch Zurechnungsfähigkeit und Vernunft. Im Zweifel gibt es aber immer einen Idioten (hier denke ich an Abmahnanwälte), der dann Heiko ans Bein pinkeln könnte. Das muss nicht der Dank für den unentgeltlichen Beitrag zur Community sein. -- Mit freundlichen Grüßen / Kind regards Ronny Seffner
Re: Datenschutz auf dieser Liste
ab, das das Recht auf Löschung nicht umgesetzt werden kann. Etwas vergessen? Siehe meine gesamten Ausführungen. Da ein Forum gar nicht so weit weg von einer Mailingliste ist, schau doch mal hier zur Inspiration in die Datenschutzerklärung : https://www.bfdi.bund.de/bfdi_forum/showthread.php?p=16 Gern schaue ich über eine neue Datenschutzerklärung drüber oder entwickle sie mit. Dies dann aber PN. -- Mit freundlichen Grüßen / Kind regards Ronny Seffner
AW: postgresql Hilfe erbeten
Hallo Jens, Hallo Mitleser, > die einfachste Lösung, wenn gleich auch aus der Kategorie quick & dirty wäre > das Ergebnis deiner Anfrage noch einmal nach den Standorten zu Gruppieren > und dabei Summe der Clients und Server aufsummieren. > Als Ansatz ist mir das so auch als Idee gekommen, offenbar kenne ich aber zu wenig Syntax um das umzusetzen. Nach einer Nacht Schlaf, habe ich mein Ansatz mit einem weiteren Select gekapselt: SELECT Kunde, SUM(Client)-SUM(Server) as Clients, SUM(Server) as Servers FROM ( Jetzt der Code den ich schon hatte ) x group by Kunde Das Ergebnis scheint zu stimmen, aber vermutlich hast Du recht und das ist von gutem Code und Optimierung noch weit weg. Danke. Mit freundlichen Grüßen / Kind regards Ronny Seffner -- Ronny Seffner | Alter Viehweg 1 | 01665 Klipphausen www.seffner.de | ro...@seffner.de | +49 35245 72950 7EA62E22D9CC4F0B74DCBCEA864623A568694DB8
postgresql Hilfe erbeten
Hallo Gruppe, da ich ja weiß, dass es hier mindestens ein Leut gibt, welches SQL wohl mit der Muttermilch aufgesogen hat, möchte ich es mir nach 2h Experimentiererei doch versuchen mal leicht zu machen. Über Verkettung von Tabellen komme ich an Standorte (branch_office), denen eine Anzahl Clients zugeordnet ist von denen wiederum einige den Kommentar "Server" haben können. Als Ergebnisset wünsche ich mir eine sortierte Tabelle mit den Spalten "Standort", "# Clients"(Gesamclients-Server) und "# Server"(die mit dem Kommentar). Ich muss schon jedesmal bei join die Doku lesen, weil ich SQL einfach zu selten vor der Nase habe. Jetzt habe ich noch das UNION gefunden, welches zwei Ergebnissets kombinieren kann. Algorithmisch gedacht ist mir klar, dass das Überlagern zweier rows eigentlich nicht ohne Regeldefinition funktionieren kann, ich will doch aber das erreichte jetzt nicht noch mit $scriptsprache oder gar Excel zu dem machen, was ich erwarte. Diesen Code habe ich bis jetzt: select branch_office_name as Kunde, count (*) as Client, 0 as Server from managedcomputer left join branchmemberresourcerel ON managedcomputer.resource_id=branchmemberresourcerel.resource_id left join branchofficedetails ON branchmemberresourcerel.branch_office_id=branchofficedetails.branch_office_i d left join managedcomputerextn ON managedcomputer.resource_id=managedcomputerextn.resource_id where description IS NULL group by branch_office_name UNION select branch_office_name as Kunde, 0 as Client, count (*) as Server from managedcomputer left join branchmemberresourcerel ON managedcomputer.resource_id=branchmemberresourcerel.resource_id left join branchofficedetails ON branchmemberresourcerel.branch_office_id=branchofficedetails.branch_office_i d left join managedcomputerextn ON managedcomputer.resource_id=managedcomputerextn.resource_id where description IS NOT NULL group by branch_office_name order by kunde, client und er liefert z.B. AT 0 6 AT 26 0 BL 7 0 CL 0 2 CL 6 0 was ich mir wünsche ist aber AT 20 6 BL 7 0 CL 4 2 Möchte sich der/die Angesprochene(n) gern an dieser Aufgabe austoben? Mit freundlichen Grüßen / Kind regards Ronny Seffner -- Ronny Seffner | Alter Viehweg 1 | 01665 Klipphausen www.seffner.de | ro...@seffner.de | +49 35245 72950 7EA62E22D9CC4F0B74DCBCEA864623A568694DB8
Re: multi-ISP Probleme
Am 2018-03-03 01:12, schrieb Heiko Schlittermann: Hast du *.rp_filter an? Natürlich, rp_filter, das war es worauf ich die Nacht nicht kam. Aus der Kenel-Dokumentation : "If using asymmetric routing or other complicated routing, then loose mode is recommended." Danke, den Wert von 1 auf 2 und meine Welt ist wieder heile. -- Mit freundlichen Grüßen / Kind regards Ronny Seffner -- Ronny Seffner | Alter Viehweg 1 | 01665 Klipphausen www.seffner.de | ro...@seffner.de | +49 35245 72950
multi-ISP Probleme
Hallo Gruppe, offenbar ist es für mich schon zu Freitagabend, denn ich verstehe gerade ein mittelkomplexes IP-Setup nicht. Gegeben sei ein Router mit ADSL IP 1.2.3.4 (GW 1.2.3.254) der Maskiert, VPN-Server spielt und DNAT in eine DMZ macht. Nun bekommt der einen schnelleren SDSL (IP 5.6.7.8, GW 5.6.7.254), der perspektivisch den ADSL ablösen soll. Vorerst muss aber Parallelbetrieb gewährleistet sein, bis alle roadwarrior usw. umgestellt sind. Man möchte dabei aber schon in den Genuss der neuen Bandbreite kommen. Die /etc/network/interfaces führt den SDSL wie folgt iface eth0 inet static address 5.6.7.8 netmask 255.255.255.0 gateway 5.6.7.254 und den ADSL so iface eth3 inet static address 1.2.3.4 netmask 255.255.255.0 post-up ip route add default via 1.2.3.254 dev eth3 table adsl post-up ip rule add fwmark 2 table adsl post up ip rule add from 1.2.3.4 table adsl Dazu muss nun die /etc/iproute2/rt_tables folgendes enthalten 2 adsl Ich habe der mangle Tabelle von iptables (noch?) nichts hinzugefügt. In der nat Tabelle hingegen gibt es: -A POSTROUTING -s 192.168.0.0/24 -o eth0 -j MASQUERADE #mask für LAN2WAN am SDSL-Interface -A PREROUTING -d 5.6.7.8 -i eth0 -p tcp --dport 443 -j DNAT --to-destination 192.168.0.11:443 #https SDSL WAN2GW ins LAN -A PREROUTING -d 1.2.3.4 -i eth3 -p tcp --dport 443 -j DNAT --to-destination 192.168.0.11:443 #https ADSL WAN2GW ins LAN Nun funktioniert (iptables Policy DROP, paar mehr Regeln, logging an, hoffe nix vergessen zu haben): - LAN to WAN maskiert - SSH vom WAN zu ADSL und SDSL - ping vom WAN an ADSL und SDSL incl. Antwort - traceroutes mit nur je einem hop zu den beiden xDSL-Gegenstellen - WAN to SDSL https liefert die Seite vom Webservers des LAN Was mir nicht einleuchtet: - WAN to ADSL https ist mit tcpdump noch an eth3 eingehen zu beobachten aber ... - das DNAT müsste dazu führen, dass ich am LAN interface den traffic sehe, tue ich im Gegensatz zum SDSL aber nicht - meine letzten iptables Regelen sind Logeregeln, die zeichnen davon nix auf Also habe ich die Routentabelle "adsl" noch ergänzt: ip route add 192.168.0.0/24 dev eth2 table adsl #auf src verzichtet, damit DNAT Erfolg haben kann Dass ich mit tcpdump vom DNAT nichts am LAN interface sehe, wenn ich ADSL anspreche, kann doch erstmal nur am Routing liegen oder? Was verdammt nochmal übersehe ich gerade? -- Mit freundlichen Grüßen / Kind regards Ronny Seffner -- Ronny Seffner | Alter Viehweg 1 | 01665 Klipphausen www.seffner.de | ro...@seffner.de | +49 35245 72950
Re: Problem mit Fritzbox und IPv6
wird die IPv6 des Routers gegeben, und nicht vom PC. Du wirst vom PC aus DDNS updaten müssen, oder wenn die IP fest sein sollte, kannst DDu diese in der Fritz!Boy statt dem Platzhalter einsetzen. Es gibt doch sicher noch DDNS-Clients, die individuelle URL zulassen und nach dyndns-Standard arbeiten. Alternativ findet sich sicher auch curl für den PC : curl -6 -s "https://LOGIN:passw...@ddns.seffner-schlesier.de/nic/update?hostname=HOSTNAME.ddns.seffner-schlesier.de"; -- Mit freundlichen Grüßen / Kind regards Ronny Seffner -- Ronny Seffner | Alter Viehweg 1 | 01665 Klipphausen www.seffner.de | ro...@seffner.de | +49 35245 72950
Re: Routing mit IPv6
Rechner A hängt am Internet und arbeitet als Firewall und Proxy-Server. Dazu hat er zwei LAN-Ports. eth0 hat vom Provider eine IPv4-Adresse und einen IPv6-Block ( /64) erhalten. Diesen IPv6 /64 hat er vermutlich auf der Außenseite. Auch wenn es da nur ein kleines Transfernetz ist. Ich vermute hier eine Unschärfe in des OP Formulierung. Bei allen Providern, die ich bisher mit IPv6 sah, bekommt der Router eine IPv6 UND ein Subnetz. Meine Antworten bezogen sich dann auf die "Verteilung" der Subnetzdaten. das sie über die IPv6-Adresse Deiner Außenseite routen wollen. Dann kannst Du Dir da eine /64 Scheibe rausschneiden und nach innen weiterreichen (radvd wäre Dein Freund). ... Die Gegenseite Deiner Außenseite wird davon ausgehen, daß das komplette /64 zwischen ihr und Dir liegt, also ggf. die IPv6-Entsprechung von Arp-Requests (Neighbourhood Detection oder so) versuchen, wenn eine der Adressen angesprochen wird. Warum sollte dann letztere Aussage zum 64er Netz nicht auch für das vorher erwähnte 48er oder 56er gelten? Wenn man aus dem dem einen Netz was schneidet und damit ARP und Co. aus dem Tritt bringt, warum dann nicht aus dem anderen? Wenn man tatsächlich einen Proxy für NDP betreiben müsste, sollte das folgendermaßen gehen: sysctl -w net.ipv6.conf.all.proxy_ndp=1 ip -6 neigh add proxy IPv6:of:routers:internal:side::interface dev ethX -- Mit freundlichen Grüßen / Kind regards Ronny Seffner -- Ronny Seffner | Alter Viehweg 1 | 01665 Klipphausen www.seffner.de | ro...@seffner.de | +49 35245 72950
Re: Routing mit IPv6
n'Abend,router advertisement und neigbourhood detection mittels radvd ermöglichen.oderdhcpv6 (gibt's in statefull und stateless)alles bisschen komplizierter unter IPv6 ;-)Oder aber B nutzt per IPv4 konsequent den Proxy auf A, denn der Proxy löst dann DNS auf und nicht B.Mit freundlichen Grüßen / Kind regards Ronny Seffner -- Ronny Seffner | Alter Viehweg 1 | 01665 Klipphausen www.seffner.de | ro...@seffner.de | +49 35245 72950 7EA62E22D9CC4F0B74DCBCEA864623A568694DB8
AW: SSH Zertifkate und Putty
> > > benutzt jemand von Euch SSH Zertifikate im Putty-Client? > > > (Ja, SSH, nicht SSL). > Hier habe ich VOR meiner ersten Antwort wohl nicht gründlich gelesen. OpenSSH, und nur openssh, beherrscht das. Ein entsprechender feature request [1] bei putty hängt da seit Jahren rum und wird nicht bearbeitet [2]. [1] https://www.chiark.greenend.org.uk/~sgtatham/putty/wishlist/ssh2-openssh-certkeys.html [2] https://superuser.com/questions/1234846/is-it-possible-to-use-ca-signed-keys-to-ssh-from-windows-to-linux-with-putty Mit freundlichen Grüßen / Kind regards Ronny Seffner -- Ronny Seffner | Alter Viehweg 1 | 01665 Klipphausen www.seffner.de | ro...@seffner.de | +49 35245 72950 7EA62E22D9CC4F0B74DCBCEA864623A568694DB8
AW: SSH Zertifkate und Putty
> benutzt jemand von Euch SSH Zertifikate im Putty-Client? > (Ja, SSH, nicht SSL). > Hier, ich. Wie wird die Frage dazu? Mit freundlichen Grüßen / Kind regards Ronny Seffner -- Ronny Seffner | Alter Viehweg 1 | 01665 Klipphausen www.seffner.de | ro...@seffner.de | +49 35245 72950 7EA62E22D9CC4F0B74DCBCEA864623A568694DB8
AW: Upgrade debian 8 auf 9
Hallo Heiko, Hallo Gruppe, [mdadm] > Oft habe ich mehr Erfolg, wenn ich die /etc/mdadm.conf wegschmeisse > und danach eine initrd baue. Dann greifen die Automatismen, und die > Das hat geholfen. Das md wird nun beim Booten korrekt zusammengesetzt. > > SuS-GW:~# mdadm -E /dev/sde > > /dev/sde: > > Magic : a92b4efc > > Version : 0.90.00 > >UUID : 7c56f51b:0b50436c:4d887eeb:e6a02b93 > > Offenbar keine Partitiontable, sondern nur Nullen, denke ich. > Aber die UUID passt zu oben. ... > Ich täte auf beide eine korrekte Partition-Table drauf tun, in der die > Raidkomponente als solche drin steht. > Das ist da zu sehen, ist denn das keine Partitionstabelle? SuS-GW:~# fdisk -l /dev/sde Disk /dev/sde: 1,8 TiB, 2000365289472 bytes, 3906963456 sectors Units: sectors of 1 * 512 = 512 bytes Sector size (logical/physical): 512 bytes / 512 bytes I/O size (minimum/optimal): 512 bytes / 512 bytes Disklabel type: dos Disk identifier: 0xe1fdfbf4 Device Boot StartEndSectors Size Id Type /dev/sde12048 3906963455 3906961408 1,8T fd Linux raid autodetect [d.o.d - d.o.boot] Da bin ich noch nicht weiter. Wenn das System bootet, kommt das hier: Aug 23 19:14:09 SuS-GW pppd[4505]: Plugin rp-pppoe.so loaded. Aug 23 19:14:09 SuS-GW ifup[2295]: Plugin rp-pppoe.so loaded. Aug 23 19:14:09 SuS-GW pppd[4506]: pppd 2.4.7 started by root, uid 0 Aug 23 19:14:09 SuS-GW pppd[4506]: PPP session is 3841 Aug 23 19:14:09 SuS-GW pppd[4506]: Connected to 02:66:77:fa:97:e8 via interface eth2 Aug 23 19:14:09 SuS-GW pppd[4506]: Using interface ppp0 Aug 23 19:14:09 SuS-GW pppd[4506]: Connect: ppp0 <--> eth2 Aug 23 19:14:09 SuS-GW systemd[1]: networking.service: Main process exited, code=exited, status=1/FAILURE Aug 23 19:14:09 SuS-GW pppd[4506]: Terminating on signal 15 Aug 23 19:14:09 SuS-GW pppd[4506]: Connection terminated. Aug 23 19:14:09 SuS-GW pppd[4506]: Failed to disconnect PPPoE socket: 114 Operation already in progress Aug 23 19:14:09 SuS-GW pppd[4506]: Exit. Wenn ich 'pon woa-provider' absetze dagegen das hier: Aug 23 19:15:02 SuS-GW pppd[4286]: Plugin rp-pppoe.so loaded. Aug 23 19:15:02 SuS-GW pppd[4310]: pppd 2.4.7 started by root, uid 0 Aug 23 19:15:02 SuS-GW pppd[4310]: PPP session is 3840 Aug 23 19:15:02 SuS-GW pppd[4310]: Connected to 02:66:77:fa:97:e8 via interface eth2 Aug 23 19:15:02 SuS-GW pppd[4310]: Using interface ppp0 Aug 23 19:15:02 SuS-GW pppd[4310]: Connect: ppp0 <--> eth2 Aug 23 19:15:02 SuS-GW pppd[4310]: CHAP authentication succeeded Aug 23 19:15:02 SuS-GW pppd[4310]: peer from calling number 02:66:77:FA:97:E8 authorized Aug 23 19:15:02 SuS-GW pppd[4310]: Unsupported protocol 'MPLSCP' (0x8281) received Aug 23 19:15:03 SuS-GW pppd[4310]: local LL address fe80::31e9:b848:5614:15ff Aug 23 19:15:03 SuS-GW pppd[4310]: remote LL address fe80::::00f2:73e2 Aug 23 19:15:03 SuS-GW pppd[4310]: local IP address 213.187.70.7 Aug 23 19:15:03 SuS-GW pppd[4310]: remote IP address 213.187.70.1 Aug 23 19:15:03 SuS-GW pppd[4310]: CCP terminated by peer (No compression negotiated) Aug 23 19:15:03 SuS-GW pppd[4310]: Compression disabled by peer. Wer oder was ist denn der Prozess "ifup" beim automatischen Versuch? Ich vermute hier ja parallelen Einwahlversuch. Mit freundlichen Grüßen / Kind regards Ronny Seffner -- Ronny Seffner | Alter Viehweg 1 | 01665 Klipphausen www.seffner.de | ro...@seffner.de | +49 35245 72950 7EA62E22D9CC4F0B74DCBCEA864623A568694DB8
AW: Upgrade debian 8 auf 9
Hallo Heiko, Hallo Gruppe,
[mdadm]
> In der Initrd. Die verwendet die mdadm.conf, die beim Erstellen
> derselben reinkopiert wird.
>
Ich habe sowas geahnt. Jahrelang fuhr ich mit eigenen monolithischen Kernen und
konnte so auf initrd verzichten, jetzt habe ich das auch und zusammen mit dem
neuerlichen systemd ist Linux plötzlich wieder ein bisschen Magie für mich 😉
> Oft habe ich mehr Erfolg, wenn ich die /etc/mdadm.conf wegschmeisse und
> danach eine initrd baue. Dann greifen die Automatismen, und die
>
Ich probiere es, mit : 'update-initramfs -u'
> Gibt mdadm -{D,E,Q} vielleicht Information preis, die zur Fehl-Erkennung
> bei fehlender/defekter mdadm.conf führen können?
>
SuS-GW:~# mdadm -D /dev/md3
/dev/md3:
Version : 0.90
Creation Time : Thu Jan 23 19:14:36 2014
Raid Level : raid1
Array Size : 1953480640 (1862.98 GiB 2000.36 GB)
Used Dev Size : 1953480640 (1862.98 GiB 2000.36 GB)
Raid Devices : 2
Total Devices : 2
Preferred Minor : 3
Persistence : Superblock is persistent
Intent Bitmap : Internal
Update Time : Tue Aug 22 09:17:14 2017
State : clean
Active Devices : 2
Working Devices : 2
Failed Devices : 0
Spare Devices : 0
UUID : 7c56f51b:0b50436c:4d887eeb:e6a02b93
Events : 0.1207267
Number Major Minor RaidDevice State
0 8 170 active sync /dev/sdb1
1 8 651 active sync /dev/sde1
und
SuS-GW:~# mdadm -E /dev/sdb
/dev/sdb:
MBR Magic : aa55
Partition[0] : 3906961408 sectors at 2048 (type fd)
SuS-GW:~# mdadm -E /dev/sde
/dev/sde:
Magic : a92b4efc
Version : 0.90.00
UUID : 7c56f51b:0b50436c:4d887eeb:e6a02b93
Creation Time : Thu Jan 23 19:14:36 2014
Raid Level : raid1
Used Dev Size : 1953480640 (1862.98 GiB 2000.36 GB)
Array Size : 1953480640 (1862.98 GiB 2000.36 GB)
Raid Devices : 2
Total Devices : 2
Preferred Minor : 3
Update Time : Tue Aug 22 09:17:14 2017
State : clean
Internal Bitmap : present
Active Devices : 2
Working Devices : 2
Failed Devices : 0
Spare Devices : 0
Checksum : 860d0238 - correct
Events : 1207267
Number Major Minor RaidDevice State
this 1 8 651 active sync /dev/sde1
0 0 8 170 active sync /dev/sdb1
1 1 8 651 active sync /dev/sde1
Gehe ich recht in der Annahme, dass da was mit dem Superblock nicht stimmt
(immerhin sind die Ausgaben zu sdb und sde völlig verschieden)?
SuS-GW:~# mdadm -Q /dev/sdb1
/dev/sdb1: is not an md array
/dev/sdb1: device 0 in 2 device active raid1 /dev/md3. Use mdadm --examine for
more detail.
SuS-GW:~# mdadm -Q /dev/sde1
/dev/sde1: is not an md array
/dev/sde1: device 1 in 2 device active raid1 /dev/md3. Use mdadm --examine for
more detail.
SuS-GW:~# mdadm -Q /dev/md3
/dev/md3: 1862.98GiB raid1 2 devices, 0 spares. Use mdadm --detail for more
detail.
[d.o.d.]
> hatte das Gefühl, daß im Kontext von systemd einige Probleme auftauche,
> die auf schlecht gelöste zeitliche Abhängkeiten zurückgehen.
>
Oh ja, das habe ich auch und quick and dirty mit sleep in den init scripten
gefummelt, bis ich dann die units und den userkonformen Ablageort dafür
entdeckte.
Habe mich mal zu "auto-hotplug" vs. "auto" belesen. Für statisch verbaute if
würde ich dann bei "auto" bleiben, damit man bei Fernarbeit das Netzwerk
neustarten könnte. Ich probiere das "auto-hotplug" dann aber mal für das ppp
obwohl pppoeconf das ja mit "auto" eintrug.
> Die Direktiven: After=, Before=, … können helfen.
>
In der interfaces? Das gibt die manpage gar nicht her ...
Danke bis hierher.
Mit freundlichen Grüßen / Kind regards
Ronny Seffner
--
Ronny Seffner | Alter Viehweg 1 | 01665 Klipphausen
www.seffner.de | ro...@seffner.de | +49 35245 72950
7EA62E22D9CC4F0B74DCBCEA864623A568694DB8
Upgrade debian 8 auf 9
Hallo Gruppe, ich war mal so mutig und habe ein in-place-upgrade gewagt. Es tun nur zwei Dinge nicht, die wohl für meinen Adminalltag zu profan sind 😉 - dial on demand : ich muss jetzt nach reboot ein 'pon providerscript' absetzen obwohl in der /etc/interfaces auto providerscript drinsteht ? Wo findet die dod-Magie statt, dass ich mal nachgucken kann? - mdadm : der baut mir nach reboot das raid als raid0 und inactive obwohl in der mdadm.conf die richtigen informationen stehten ? Wer oder was baut das Raid zusammen. Sagt bitte nicht initrd (zum Glück betrifft das nur eine Datenpartition) = momentan hilft nur mdadm --stop /dev/md2; mdadm --assemble --scan; und dann das Hinzufügen der zweiten (USB)-Platte an das nun korrekt erkannte Raid1 Mit freundlichen Grüßen / Kind regards Ronny Seffner -- Ronny Seffner | Alter Viehweg 1 | 01665 Klipphausen www.seffner.de | ro...@seffner.de | +49 35245 72950 7EA62E22D9CC4F0B74DCBCEA864623A568694DB8
