Kategorien-Archiv Technik

Hardwareupdate (Update)

Unregelmäßig tauschen wir Server aus, bei redundaten Systemen merkt das niemand. Diesmal allerdings wird die WEB-Cloud aktualisiert, und da ist eine Downtime für die Webservices unumgänglich.

Der Umzug wird am 31.01.2019 gegen 09:30 Uhr stattfinden, und rund 40 Minuten Downtime zur Folge haben.

Es kann auch länger dauern, wenn die Einschätzung der Kopiergeschwindigkeit der Daten nicht angemessen war.

Es geht nur um die Web-Dienste und damit zusammenhängenden Datenbanken, alle anderen Systeme (Mail, DNS usw.) sind davon unberührt.

Nachdem der Umzug abgeschlossen ist, machen wir einen neuen Beitrag, der auch auf den Sozialen Medien zu finden ist. Bitte überprüfen Sie nun Ihre Webseiten innerhalb von drei Tagen auf korrekte Funktionsweise, insbesondere aktive Inhalte. Obwohl erfahrungsgemäß nur selten Probleme durch einen Umzug auftreten, kann es in einigen Fällen zu Inkompatibilitäten aufgrund unterschiedlicher Versionsnummern der eingesetzten Versionen von PHP, Perl und des MySQL Servers kommen. Sollten Sie Fehler feststellen, die Sie auf den Umzug zurückführen, kontaktieren Sie uns bitte unter Angabe einer möglichst genauen Fehlerbeschreibung.

(Update 7.12.2018: Termin verschoben)

Festplatte einer virtuellen Windows 10 Maschine in VMWare Fusion verkleinern

Nachdem man einen Physikalischen Rechner virtualisiert hat, möchte man eventuell die Festplatten auf eine sinnvolle Größe verkleinern. Wenn hierbei die Datenträger auch noch dynamisch sind, und jede Menge seltsame Unterteilungen aufweisen, wird es kniffelig – ich hab es hinbekommen, und beschreibe hier, wie es geklappt hat.

Die Ausgangssituation:

Ein Kunde ist von seinem Sammelsurium verschiedener Windows-Laptops auf einen Mac umgestiegen. Bei den Buchhaltungsprogrammen (und den recht teuren Lizenzen dafür) jedoch, ist er noch auf Windows angewiesen. Der Buchhaltungsrechner hatte im Original Windows 7, wurde aktualisiert auf Windows 10, hatte eine 500 GB Platte. Also wurde auf dem Mac VMWare Fusion installiert, und das Originalsystem darauf virtualisiert. Allerdings war diese Platte in verschiedene Volumes unterteilt, abgesehen vom Hauptlaufwerk (unter Windows Laufwerk C:)  hatte diese Platte noch eine UEFI, eine LRS_ESP und ein RESCUE-Volume, und jeweils davor und dahinter noch verschiedene leere Bereiche, auf die auch die Datenträgerverwaltung von Windows nicht zugreifen konnte. Die Virtuelle Disk hatte auf dem Mac noch einen Platzbedarf von 300 GB, obwohl effektiv nur rund 73 GB belegt waren (Angabe von Windows bei laufendem Betrieb – also incl. Auslagerungsdatei), nachdem alle Programme deinstalliert wurden, die nicht in einem Gastsystem nötig sind(z.B. Treiber für spezifische Hardware und deren Zubehör, Skype und Co.). Mit den Boardmitteln von Windows und VMWare war dem nicht mehr beizukommen.

Nun gilt es:

  1. Das aktive Volume zu verkleinern
  2. Das verkleinerte Volume auf eine „neue“ Platte (dieser Größe) umzuziehen
  3. Windows wieder zum Starten zu motivieren
  4. die alte Platte löschen

1.: Das Verkleinern:

Das Original-Volume des Haupt-Laufwerks hatte rund 450 GB. Nach dem Löschen der nicht mehr benötigten Programme und einem Defragmentierungs Durchlauf von Windows, konnte ich das Volume zwar etwas verkleinern, aber nicht genug, da sich die Dateien recht großzügig über die Platte verteilt hatten. Auch das Abschalten der Auslagerungsdatei brachte noch ein paar GB. Eine bessere Defragmentierung musste her, ich hab zu JKDefrag gegriffen, was ich noch von früher kannte.

Danach konnte ich das Volume auf die Größe verkleinern, die die Daten beanspruchen – ich hab noch ein paar GIG dazu gepackt, es soll ja noch weitergehen mit dem System.

Das hat leider keine Wirkung auf den Platzbedarf im Host-System gehabt.

Also musste ich eine neue Virtuelle Disk anlegen, auf die ich „umziehe“.

Erstmal auf Nummer sicher gehen:

Bein Platten umziehen von Windows ist damit zu rechnen, das die kopierte Festplatte nicht startet. Zur reaktivierung der Disk muss man in die Wiederherstellung von Windows. Das geht, in dem man die Original Windows-Installations-DVD verwendet – über das Mac-Festplattendienstprogramm kann man davon ein Image machen und später davon booten. Ich musste mir in Ermangelung dieser DVD ein „Wiederherstellungslaufwerk“ einrichten: einen USB-Stick (mindestens 8 GB werden benötigt). Leider bietet VMWare Fusion keine Möglichkeit, einen USB-Stick oder ein beschreibbares DVD-Laufwerk zu virtualisieren – es muss also ein physikalisch existierendes Gerät verwendet werden. An dieser Stelle empfiehlt es sich, den USB-Stick fest der virtuellen Maschine zuzuweisen, damit man später auch davon booten kann. Das Herstellen desWiederherstellungslaufwerks offeriert Windows in der Systemsteuerung – am besten über die Suche nach „Wiederherstellungs“. Das dauert einige Zeit, in der Zeit kann man schon mal die nächsten Schritte vorbereiten:

Platte erzeugen und Partitionen kopieren

Mein Werkzeug der Wahl ist immer wieder eine GParted Live CD zu verwenden. Das kann man schon mal herunterladen in der entsprechenden Version.

Wenn der Rechner sein „Wiederherstellungslaufwerk“ fertig kopiert hat richtet man die neue Festplatte in Fusion ein – ich hab statt einer SCSI-Disk eine SATA-Platte kreiert, die rund 5 GB mehr Kapazität mitbringt, als mein verkleinertes Volume groß ist.

Das GParted-ISO-Image kann man in der Virtuellem Maschine als CD abbilden und dann als Startvolume deklarieren. Dann von diesem CD-Image booten.

Kurztipp: ENTER, ENTER, 10, ENTER, ENTER

Die neue Platte muss zunächst einen Bootrecord bekommen (MBR) – dann kan man alle Partitionen von der alten auf die neue Platte kopieren. Das sollte man auch machen, denn Windows benötigt die verschiedenen Bereiche. Die neue Platte sieht dann zwar genauso schlampig aus wie vorher, ist aber kleiner.

Das geht wie folgt: Oben rechts im GParted kann man die Ansicht der Platten umschalten, dort wählt man bei der alten Platte jeweils einen Eintrag nach dem nächsten an. Bei kopierbaren Volumes wird der COPY-Knopf (oben Mitte) aktiv, den drückt man dann und wechselt zur neuen Platte, dort wird dann der „Paste“-Knopf aktiv. Beim ersten Einfügeversuch bekommt man den Hinweis, das die neue Platte zunächst einen bootrecord braucht, und dort steht auch, was dazu zu machen ist – MBR ist voll OK.

Beim einfügen des ersten Volumes bitte 128 MB Platz davor lassen, damit die Windows Wiederherstellung noch platz für seine Metadaten hat.

Bei mir sah das so aus:

Die alte Platte im GParted: 

Neue Platte (nach dem Copy&Paste, und noch vor dem APPLY drücken):

Danach APPLY drücken und abwarten – die Dauer hängt von der Host-Performance und Datenmenge ab.

Umschalten

Danach die Virtuelle Maschine herunterfahren, Die alte Platte entfernen (zur Sicherheit ohne die Dateien zu löschen), und in den USB-Einstellungen sicherstellen, das der Stick noch verbunden ist!

Der Start der VM schlägt erwartungsgemäß fehl, man wird dann in die UEFI-Startoptionen geleitet und kann dort angeben, vom USB-Stick zu booten. Optimisten können in der Reparaturkonsole die automatische Wiederherstellung probieren, bei mir hat das nie geklappt.

Ich musste immer in die Konsole/Eingabeaufforderung.

Starte dann das Programm „diskpart“ (direkt eingeben und Enter drücken). Dann:
list disk zeigt die Festplatten an
select disk x wählt die Festplatte x aus
list part zeigt die Partitionen der Festplatte x an
select part y wählt die Partition y aus
detail part zeigt Infos zur Partition an; z.B. aktiv oder nicht, versteckt oder nicht
active aktiviert die Partition als Bootpartition (dies dann wählen)

Dann VM neu starten, USB-Stick Verbindung beim Neustart wieder aktivieren und wieder in die Eingabeaufforderung.

Dann

bootrec /fixmbr schreibt den Master Boot Record neu an den Beginn der Festplatte – dazu hatten wir vorne den Platz gelassen, genau wie für die Metainformationen, die wir jetzt erzeugen:

mit bootrec /scanos  kann man prüfen, ob das Volume, um das es uns geht, überhaupt korrekt erkannt wird, falls ja, ist schon mal sicher, das wir weitermachen können. Falls hier das Windows nicht aufgelistet wird, ist irgendwo davor etwas gewaltig schief gegangen.

Der Befehl bootrec /rebuildbcd kann dieses Volume dann wieder in den Boot-Manager eintragen.

Wenn das klappt, sind wir hier fertig, und können starten – bei mir war das nicht so, es kam eine Fehlermeldung: „das angeforderte Systemgerät kann nicht gefunden werden

OK, da stimmt also was mit der UEFI-Partition nicht -also werden wir entsprechende Boot-Daten da noch mal reinschreiben.

Um das Volume ansprechen zu können, benötigt es einen Laufwerksbuchstaben, diese weisen wir mit diskpart zu:

diskpart aufrufen.

Wie oben mit list disk , select disk und list part die Partitionen anzeigen lassen, und diesmal die UEFI-Partition auswählen mit select volume y .

Dann einen Buchstaben zuweisen, wir nehmen das V , assign letter =v:, dann mit exit aus dem diskpart wieder raus, und auf dem UEFI-Laufwerk in den richtigen Pfad wechseln mit cd v:\EFI\Microsoft\Boot\ und die bootdaten mittels
bcdboot C:\windows /s V: /f UEFI  
erzeugen.

Danach neu starten – ich musste menügeführt von Windows noch einmalig das Betriebssystem auswählen, und das wars, die VM läuft auf ihrer „80 GB Platte“, die sogar die leeren Bereiche noch ungenutzt hat.

Danach noch die alte Platte wieder einbinden, und entfernen mit Löschen (damit ich nicht die Dateien zusammensuchen muss, die dazu gehören).

Die Ordner anschließend im Vergleich:

Jetzt kann ich Windows wieder gestatten, eine Auslagerungsdatei zu erzeugen, größer als 80 GB kann der Ordner kaum werden.

Mit Auslagerungsdatei ist der Ordner noch 2 GB voller geworden. Schneller ist es deutlich, aber das auch damit zusammenhängen, das die VM nun vollständig auf den SSD-Teil des Fusion-Drives passt.


Informationen bezogen von:

 

Server Aktualisierung vonnöten

Derzeit geht es verstärkt durch die Presse: ein 20 Jahre alter Fehler in fast allen CPUs ist bekannt geworden.

Wer es nicht weiss: hier gibt es weitere Informationen: Heise 1 / Heise 2 oder gleich die Suche bei Google News.

Da in Folge dieser notwendigen Updates mit Server-Downtimes zu rechnen ist, werde ich hier die entsprechenden Termine und zu erwartende Dauer veröffentlichen.

Diese Downtimes spielen im Regelbetrieb allerdings ohnehin nur bei den nicht-redundanten Webservern eine Rolle, alles andere ich nicht zu merken.

SSL ist Pflicht

… bei Verwendung von Kontaktformularen. Eine verschlüsselte Datenübertragung verlangt der Gesetzgeber aus Datenschutzgründen.

Die Schonfrist ist nun vorbei, uns ist mitgeteilt worden, das die ersten Abmahnungen bei gewerblichen Seitenbetreibern angekommen sind.

Bisher haben die hohen Kosten für Sicherheits-Zertifikate viele Seitenbetreiber von SSL abgehalten, die gern mal 400 Euro für 24 Monate (ohne Setup) kosten, aber das geht auch günstiger.

CRNET bietet ja schon seit 12-2015 Verschlüsselung über Let’s-Encrypt an, welches zwar kostenlose Zertifikate bereitstellt, diese aber nur 3 Monate gültig sind.

Für die meisten der bei uns gehosteten Seiten können wir inzwischen, entweder über einen Verschlüsselungsproxy oder am Webserver, SSL mit automatisierter Zertifikatsverlängerung anbieten.

Sollten Sie in diese „Zielgruppe“ gehören und noch kein SSL auf Ihrer Website verwenden, setzen Sie sich bitte mit uns in Verbindung, um das entsprechend einzurichten.

 

Netzwerksicherheit ist immer verbesserungsfähig

Netzwerksicherheit: Computernetzwerke sind inzwischen in jedem Büro Gang und Gäbe, sogar in privaten Haushalten finden sich inzwischen mehr Geräte im lokalen Netz, als vor 10 Jahren noch in manchen Unternehmen. Parallel dazu häufen sich die Berichte über Erpressungssoftware, zweckentfremdete Router, Internet of the (broken) things und dergleichen mehr. Zeit für JEDEN, sich über Netzwerksicherheit Gedanken zu machen

Insbesondere dann, wenn ein Internetzugang mehreren Zwecken zur Verfügung steht – z.B. dem Homeoffice und privater Nutzung, oder auch für Geräte die nach aussen kommunizieren, wie Solaranlagen oder Smart-Home-Komponenten, die zumeist bei der Netzwerksicherheit wenig zu bieten haben.

Im Heim- und Small Office-Bereich findet man zumeist die Frtiz!Box von AVM, diese bietet zumindest für WLAN schon mal einen Gastzugang an, damit Gäste zumindest am WLAN partizipieren können, und dennoch keinen Zugriff auf alle anderen vernetzten Geräte haben. Das ist ein guter Ansatz in Puncto Netzwerksicherheit! Aber was ist mit Selbständigen und Freiberuflern, die ihre Bürogeräte sicher wähnen, während der Junior mit seinem Rechner nebenan Seiten ansurft, die Schadsoftware verteilen, womöglich ohne jegliche Software für Netzwerksicherheit, wie Virenschutz o.Ä.? Leider bietet AVM keine Lösung für verkabelte Netztrennung.

In den letzten Jahren ist Fokus von CRNET immer mehr in den Bereich der Netzwerksicherheit gerückt. Bezeichnend dafür sind verschiedene Artikel in diesem Blog über Firewalls und VPNs. CRNET betreut Systeme der Anlagenkommunikation über VPN genau so wie Netzwerkinfrastrukturen in gemischten Büro- und Wohnhäusern. Letztere werden dann mit Multi-Port Firewalls in getrennte Netze aufgeteilt, die verschiedene Berechtigungsklassen aufweisen.

Es geht hierbei nicht nur um Angriffe von außen, sondern auch immer wieder von innen. Ich hab schon Firmen erlebt, die fast hätten schließen müssen, weil Mitarbeiter private USB-Sticks verwendeten, die leider mit Schadsoftware verseucht waren – gleich ab Werk. Oder der kleine Rachefeldzug des gekündigten Mitarbeiters – aber das ist eine andere Geschichte. Diese Dinge lassen sich nur durch ausgeprägte Zugriffsrestriktionen und/oder massive Backups in den Griff bekommen.

In diesem Zusammenhang haben sich Small-Clients als Windows-Terminals bewährt. Inzwischen sind Mini-Computer, wie der Raspberry Pi, oder NUCs durchaus in der Lage, flüssiges Arbeiten im Terminalmodus zu ermöglichen. Damit verhindert man schon rein Hardwaremäßig unerlaubte Zugriffe angeschlossener Geräte.

Diese Konzepte sind allerdings so individuell zu gestalten wie unsere Unternehmenslandschaft und Situationen. Eine pauschale Empfehlung gibt es hier nicht. Wenn Sie unsicher sind, lassen Sie die Dinge von einem Fachmann begutachten. Eine Analyse und gesprochene Empfehlung kann die Sinne schärfen, kostet nicht die Welt und beschert dem verunsicherten Unternehmer vielleicht einen ruhigeren Schlaf.

Gern schaue ich mir an, was man bei Ihnen besser machen kann – kontaktieren Sie mich!

 


Nachtrag/Korrektur: AVM’s Fritz!Box bietet bei etlichen aktuellen Modellen mit aktueller Firmware auch einen Gastzugang über verkabelte Netzwerke auf LAN-Port 4 an. Allerdings lassen sich da keine weiteren Einstellungen vornehmen.


Passend zum Thema fallen mir dazu 2 Werbefilme von HP ein, ignorieren Sie die Werbung und genießen die Unterhaltung – die Message kann nicht vorbeigehen.

pfSense Firewall auf gebrauchter Hardware – lohnt sich das?

Kaufmännisch und im Hinblick auf Zuverlässigkeit ist gebrauchte Hardware für eine professionelle Firewall durchaus eine Überlegung wert.

Werfen wir einen Blick auf den Kostenvergleich und dazu gebe einige Erfahrungen mit gebrauchter Hardware zum Besten.

Wer eine oder mehrere Filialen hat, und/oder in seinen Firmenräumen WLAN für Betriebsfremde oder Besucher anbieten möchte, kommt um eine gute Firewall nicht herum. Als wahres Universalgenie hat sich hier die pfSense herauskristallisiert, da es sich um eine skalierbare Lösung handelt, die nahezu jede Anforderung abdeckt. VPNs, Proxy, Antivirus, Certificates und derlei mehr sind mit pfSense konfigurierbar – je nach Hardware.

Die Software basiert auf FreeBSD und lässt sich auch auf PC-Hardware oder in Virtuellen Maschinen installieren. Da diese Systeme 24/7 in Betrieb sind, hat eigens für Firewalling/Routing abgestimmte Hardware durchaus ihre Berechtigung: diese braucht zumeist weniger Strom als vergleichbare PCs. Hauptsponsor und Lieferant der pfSense-Firewalls ist Netgate, ein Texanischer Anbieter ebensolcher, auf Routing und Firewall abgestimmter, Systeme. Aber die Amis lassen sich die Systeme auch ganz gut bezahlen, was immer wieder ein Grund ist, sich nach Alternativen umzusehen.

Probieren wir es aus:

gebrauchte Hardware WatchGuard Firebox mit pfSense Firewall für den professionellen Einsatz

WatchGuard Firebox: gebrauchte Hardware mit pfSense Firewall für den professionellen Einsatz

Für ein Projekt haben wir uns nun eine gebrauchte WatchGuard Firebox zugelegt, und da pfSense drauf installiert.

Das Gerät fanden wir gut, weil es 8 Gigabit-LAN-Anschlüsse an der Geräte-Vorderseite hat, und der Rest der technischen Daten war auch OK. Der Massenspeicher ist eine CompactFlash Card – im Original mit 256 MB – wir haben eine 4GB-Karte eingebaut, aber dazu später mehr. Das Gerät hat sogar einen Festplatten-Einschub, mit einem stärkeren Prozessor wäre sogar ein Proxy-Cache kein Problem.

Die Watchguard hat 8 Gigabit-Ports, von denen wir allerdings „nur“ 6 benötigen, vergleichbar wäre das mit der NetGate SG4860, von 19-Zoll Formfaktor und dem moderneren Prozessor mal abgesehen. Das werfen wir mit den 2 extra-Ports in die Waagschale, dann passt es wieder. Die NetGate liegt bei 800 $, also mit Versandkosten bei rund 800 Euro – das soll als Größenordnung reichen. Der Zoll möchte zwar 19% Mehrwertsteuer haben, aber das ist in einem Betrieb mit derartigem Bedarf irrelevant. In einem anderen Projekt haben wir die 19-Zoll Variante mit Extra-Disk eingesetzt, die schlug dann deutlich kräftiger zu Buche.

Dagegen bekommt man die Watchguard 1250e für knapp unter 400 Euro; es gehen auch mal welche für 200 raus, aber auch andere für 500. Die 400 Euro nehmen wir als kalkulatorische Größe.

Die Installation:

Um pfSense darauf zu installieren, benötigt man ein Nullmodemkabel, einen seriellen Port oder passenden USB-Adapter (siehe Bild), eine CF-Card mit 2 oder 4 GB, ein Lesegerät dafür als Werkzeuge, und das KnowHow und die Befähigung, damit auch umgehen zu können. Serielle Konsole und Diskimages sollten bekannt sein.

Allein die pfSense-Installation schreibt zwar knapp 60 Minuten auf die CF-Card, in der Zeit kann man aber die anderen Dinge Erledigen (BIOS Flashen etc) die zu tun sind. Nach der Grundinstallation muss man noch einige Anpassungen vornehmen, z.B. die Software für das LCD und die Kontrollampen installieren. Aufwand: ca. 2 Stunden – allerdings nicht beim ersten mal.

Wie das geht, teile ich am Ende des Artikels.

Die „Rechnung“

Sagen wir mal, als Installationspauschale 200 Euro, dann könnt man das als Service machen (hierbei ist allerdings die Garantie-Frage offen – speziall das BIOS-flashen ist nicht risikolos). Dann bleiben 25% reine Kosten-Ersparnis. Das Ergebnis zur neu gekauften Variante ist gut, hat aber: keine Garantie mehr, ältere Prozessoren (und damit bestimmt auch einen höheren Stromverbrauch), aber dafür 2 Ports mehr.

Benötigt man 8 Ports, hat man weniger die Wahl, bietet NetGate keine Variante mit mehr als 6 Ports an.

Bei kleineren Geräten (2- oder 4-Port) wäre der Aufwand der selbe, bei deutlich geringerem Spar-Potential. Also wenn überhaupt, lohnt es sich nur oberhalb der 4-Port-Grenze. Die Beschaffung der „Werkzeuge“ lohnt schon für eine einmalige Installation (rund 30 Eur).

Ein abschließendes Urteil kann man somit nicht fällen, kommt es doch immer auf die einzelne Situation an. Wer eine Entscheidung sucht, hat hier vielleicht ein paar Hilfen gefunden.

Erfahrung mit gebrauchter Hardware

Einen Rechner / Router / Switch etc., der 2 – 3 Jahre in einem Rechenzentrum gelaufen ist, und der jetzt aus dem Leasing heraus ist und dadurch auf dem Gebrauchtmarkt auftaucht, macht bestimmt keine Probleme. Eine gebrauchte Festplatte von ebay von privat ohne Gewährleistung hingegen, würde ich mir nicht mal ansehen.

Es gibt etliche Händler von gebrauchter Hardware, die genau die Komponenten aus dem ersten Beispiel mit Garantie anbieten.

Wir hatten auch gebrauchte Hardware im Einsatz, interessant sind dann (falls verfügbar) die Betriebsstatistiken. 26.000 Betriebsstunden bei 5 Einschaltvorgängen spricht für Rechenzentrums-umgebung – da kann man sich noch 5 Jahre drauf verlassen – das läuft. Mit derartigen „Kisten“ haben wir in den 15 Jahren Hardware-im-Rechenzentrum bessere Erfahrungen gemacht, als mit manchem Neugerät mit „Kinderkrankheiten“. Festplatten sind allerdings ein anderes Thema.

In unserem Fall sehe ich grundsätzlich zunächst kein Problem darin, eine Firewall als Gebrauchtgerät einzusetzen. Das von uns eingesetzt Gerät kam aus einem Universitäts-Rechenzentrum – also mit an Sicherheit grenzender Wahrscheinlichkeit aus einer klimatisierten Notstrom-versorgten Umgebung.


Links zu Seiten, auf denen steht wie man das macht

Wir sind vorgegangen nach:

https://www.hexhound.com/how-to-flash-pfsense-2-1-to-a-watchguard-firebox-x750e-x550e-ssl-500

Zusätzliche Treiber:

http://www.triebwerk23.de/joomla/index.php/firewalls/watchguard-firebox-x-core-e-x550e-x750e-x1250e-pfsense
Ab Punkt „D“.

Auf dieser Website findet man auch andere Beschreibungen zu pfSense-Installationen auf anderen Embedded-Systems.

 

VPN Infoseiten sind online

Ich hab eine kleine Seitensammlung mit meinen VPN-Erfahrungen zusammengestellt.

Das Thema ist wirklich kompliziert, und es gibt keine Lösung aus der Schublade. Jeder Tunnel hat andere Voraussetzungen und damit auch verschiedene Möglichkeiten aufgebaut und eingesetzt zu werden.

Dazu kommen die verschiedensten Verschlüsselungsmöglichkeiten, und diese hab ich noch nicht einmal angefangen zu beschreiben oder zu erklären.

Hier geht es los: VPN, Netzkopplung und Standortvernetzung

Das ist erst mal die Grundlage, es werden weitere Seiten zum dem Thema folgen. Vorschläge und Fragen sind willkommen.

EOL mail.crnet.de 17.11.2016

Es ist soweit, der „mail.crnet.de“-host geht in den Ruhestand am 17.11.2016 – da läuft das Zertifikat ab.

Das macht aber nichts, denn den Namen gibt es zwar noch, das System an sich ist aber schon lange weg, nämlich seit dem 28.05.2015.

Um nicht alle Konten auf einmal umziehen zu müssen, hatten wir auf den „richtigen“ Mailserver (mx.anycast.io) eine weitere IP-Adresse geschaltet, und diese als CRNET-Mailserver deklariert. Und alle Konten sind nach und nach umkonfiguriert worden, hier galt es nur, den Mailserver im Mailkonto von „mail.crnet.de“ auf „mx.anycast.io“ umzuschalten.

Wir werden nun noch beobachten, ob es noch User auf den CRNET-IPs gibt, und diese einzeln direkt benachrichtigen.

Wenn dann das Zertifikat abgelaufen ist, wird auch die IP abgeschaltet.

Das gleiche haben wir mit unseren Nameservern gemacht, davon hat aber kaum jemand etwas mitbekommen, denn da läuft alles „Backstage“.

Und was hat CRNET mit anycast.io zu tun?

Mail- und Nameserver hatte CRNET lange selber betrieben, weil die konventionellen Anbieter dieser Systeme nicht unseren Ansprüchen gerecht geworden sind. Klingt etwas hochtrabend, ist aber wirklich so:

  • Wir hatten schon lange (2010) unsere Nameserver Datenbankbasierend, um Ressourcerecords in Echtzeit umschalten zu können, das System hatten wir selber entwickelt.
  • Unser Mailserver hatte ebenfalls immer ein Datenbank-Backend – der letzte war auch eine Eigenentwicklung (zumindest im Backend-Bereich), mit etlichen besonders coolen Features – hier ein Beispiel: Domaintable.

Diese Dinge hatte ich mir auch damals nicht alleine ausgedacht, sondern mit Partnern – und einer davon hat mit einem anderen irgendwann anycast.io gegründet, um die coolen Funktionen noch cooler zu machen. Dazu kommen auch noch die ganzen Verschlüsselungs-Dinge auf uns zu: DNSSEC, PKI, Domainkeys und derlei mehr. Das alleine zu konfigurieren und sich ein Kundenfrontend auszudenken und auszutesten, macht nur im Team mit vielfältigen technischen Unterschieden Sinn, und so sind alle Features, die ich immer bei CRNET haben wollte und alleine nicht zusammenstecken wollte, bei anycast.io eingeflossen, oder befinden sich in der Entwicklung.

Bisher sind wir dort eine immer größer werdende Gruppe von Nerds Fachleuten, die alle das Domain- und Mail- und Reverseproxy- und Cache-System optimieren. Wir hoffen, in 2017 ein Rollout machen zu können, um die vielen Features auch ausserhalb vom Fachpublikum anbieten zu können.

z. B. auch DynDNS für IPv4 und IPv6, Varnish Cache as a Service, SSL-HTTP per Proxy kostenlos mit Lets-Encrypt und vieles mehr.

Bis dahin bleibt aber noch viel zu tun.

 

IPv6 Hau-Ruck-Aktion – Carpe diem

Kabel Deutschland / Vodafone hat eine Störung – allerdings „nur“ im IPv4-Bereich. Also nutzen wir die Gelegenheit und überprüfen unsere Infrastruktur auf IPv6.

Die Störungen bei Kabel Deutschland / Vodafone halten nach wie vor an. Betroffen waren bis zu knapp 1 Million Anschlüsse im Kabelnetz – Internet und Telefonie.  Angeblich soll es Gebietsweise wieder klappen, aber egal. Ich hab, um diese Monster Zeitverzögerungen zu vermeiden, erst einmal IPv4 komplett abgeschaltet. Erstes Problem: ich brauche einen Nameserver!

Ich benutze normalerweise 8.8.8.8 als Nameserver (das ist der von Google ohne Filterung), die IPv6-Adresse von dem Ding ist 2001:4860:4860::8844, das musste ich erst einmal in Erfahrung bringen, dann geht’s.

Unsere Mailserver waren von der Störung unbeeindruckt, die laufen schon lange auf V6, und nun auch alle Websites, die den Proxy in Amsterdam (mit oder ohne Verschlüsselung) verwenden. Ich hatte lediglich in den Domains bisher nur die IPv4-Adressen eingetragen, also ein DNS-Datenbank-Update und „alles“ läuft.

Kniffeliger war da der Trick mit meinem Abrechnungssystem, da es durch 2 verschlüsselte Tunnel geht, von denen einer kein IPv6 kann. Aber auch das funktioniert nun.

So, das bekomme ich als „kleiner“ Ein-Mann Betrieb innerhalb von 2 Stunden hin, darüber nachgedacht hatte ich gestern Abend schon, aber ich hatte einen Audienz-Termin bei König Fußball. Schauen wir doch mal, ob Firmen mit teurer IT-Abteilung auch schon fleissig und erfolgreich waren:

Google und Facebook sind natürlich kein Problem.

Heise und Golem funktionieren über IPv6.

Peinlich für die deutsche Presselandschaft: bei denen geht praktisch nichts. Nicht das ich die Copy&Paste-Journallien vermisse, aber das ist ein anderes Thema.

Auch unser Hamburger Haupt-Hostingpartner hat IPv6 nur mangelhaft bis garnicht implementiert.

Am peinlichsten finde ich aber, das Sony in seinem Entertainment-netzwerk nur IPv4 unterstützt, die Playstation 4 hat gleich mal garkeine IPv6-Adresse.


Vodafone/Kabel Deutschland-Störung Artikel von Heise

Störung bei Vodafone Artikel von GOLEM


Ha – da kommen grade die Mails von meinen Überwachungssystemen – IPv4 geht wohl wieder – na dann: weitermachen!

Störungen bei GMX und WEB.de

Die Gratis-Mail-Anbieter haben mal wieder Stress mit ihrer Technik. Das äußert sich so, das sie keine Mails annehmen und eine Verletzung der SPF-Policy vorwerfen.

Das ist Unfug, die eingerichteten Policies sind vollkommen korrekt, wir haben das jetzt von mehreren Seiten geprüft.

Vielleicht hat ja jemand mehr Erfolg als ich, dort anzurufen – ich hab nach dem 4. Versuch aufgegeben.

 

Update 15:40 Uhr: Ich hab für die Domains, die über die Artfiles Mailserver versenden, die SPF-Records aus dem DNS entfernt – je nach TTL-Zeit sollte DIESER Fehler nicht mehr auftreten.

Falls Sie nicht mehr wissen, was das ist. (Blogeintrag von 2007)