Vielleicht sollte ich nicht zuviel über Strato meckern, immerhin bleiben die Preisstabil ... Hetzner hat (wieder einmal) die Preise erhöht, weiß jetzt nicht, ob das meinen dedizierten Server getroffen hätte, auf jeden Fall sind die Preise in der Börse jetzt deutlich höher.
Jetzt weiß ich, warum die so günstignillig sind ... die haben nicht nur ein komplett lahmes 100 MBit/s Netzwerk eingerichtet, von dem sie dann stolz behaupten, ohne Limits nutzbar ... in Wahrheit drosseln sie nach 5 TB sogar noch weiter runter auf 10 MBit/s und man kann dann weiter 1 TB Scheibchen nachordern (immerhin kostenlos), aber auch das völlig intransparent. Vorgestern war ich auf 5,8T gelaufen. Ich musste dann getsren in deren Suchspielinterface die Stelle finden, wo ich dann angeblich 1T nachbestellen konnte. Da stand dann so was wie "jetzt 1 TB aufladen bis 6 TB Grenze" ... d.h. nach meiner Lesart hätte ich also nur noch 200 GB Luft.
Es kam aber noch schlimmer, dieser Zähler wird wohl nur einmal am Tag aktualisiert, der stand also gestern morgen bei mir auf 5.8 ... in der Zwischenzeit war aber schon was angelaufen und real war ich schon über 6 .... was dann eine andere Maske im Suchspielinterface auch anzeigte. Diese Situation sorgte dafür, das ich gestern gefühlt alle halbe Stunde wieder auf 10 MBit/s runtergedreht wurde, weil ja meine Erwiterung nur bis 6 TB ging .... extrem nervig, wenn man gerade in einem Serverumzug ist und ausnahmsweise mal viel Traffic braucht. In Normalfall brauche ich als Privatmensch niemals 5 TB im MOnat auf meinem Server, aber für Firmen ist das tödlich, wenn die plötzlich und unerwartet auf 10 Mbit/s gedrosselt werden .... Merker an mich selber, sollte ich mal im Firmenumfeld einen Server brauchen, mache einen großen Bogen um Strato .... als Spielzeug für Privat echt günstig und gut, aber für professionelle Sachen nicht zu gebrauchen.
Ich möchte einige Unwahrheiten, die ich hier so verbreite, korrigieren (weil ich inzwischen schlauer bin).
Als erstes ist das mit docker und den lxc's auch in incus längst gelöst, man muss nur mal vernünftig suchen (z.B. auch die Hints zu den Servereinstellungen in sysctl.cfg mal ernst nehmen). Somit ist meine Umstellung auf die zentrale Docker VM obsolet und ich werde das auch wieder zurückdrehen, weil ich festegestellt habe, das ich doch lieber eine lxc pro Dienst haben möchte.
Zweitens habe ich Unsinn erzählt, als ich meinte, wenn man den proxy auf NAT umstellt, kann man aus dem Bridgenetzwerk nicht mehr auf den Host zugreifen. Man kann wohl doch, wenn man, wie es auch im logfile steht (das man schon mal lesen sollte), vorher ein Modul lädt, das die incus Leute nicht automatisch laden, weil das potentiell die Firewallkonfig am Host kaputtmachen kann. Bei mir jetzt nicht, aber es gibt ja Rechner mit komplexen Firewallregeln und da richtet so ein Querschläger halt potentiell mehr Schaden an, deswegen haben sie es erst einmal aussen vor gelassen. Aber es gibt einen Hinweis im Forum darauf, den habe ich erst kürzlich entdeckt.
Da ich es immer wieder vergesse, hier noch mal zum mitschreiben:
incus launch images:debian/13 test --vm \
--config limits.cpu=4 \
--config limits.memory=8GiB \
-d root,size=50GiB
Ich bin ja jetzt einige Monate weg von proxmox und habe mir gedacht, ich schaue mal rein, was sich so getan hat.
Mein Eindruck, der Unterschied zwischen Version 8.4 (ich glaube, das war die letzte Version, die ich produktiv betrieben habe) und Version 9 ist nicht wirklich groß .... ich habe aber auch nur sehr oberflächlich geschaut, so mag das etwas unfair sein.
Ich finde ja immer noch das Webinterface von proxmox sehr gelungen und ich hatte ein wenig Wehmut ... ich mache ja jetzt quasi alles auf meinem Server in der Kommandozeile, weil das für mich einfach flexibler und vor allem schneller geht. Vor allem das schnelle Aufsetzen von Testinstanzen, bei denen ich gar kein Parameterfeintuning brauche, finde ich dann bei Proxmox inzwischen extrem umständlich ... wie schon mal irgendwann gesagt, auch in Proxmox kann man in der Kommandozeile schnell Instanzen aufsetzen, das ist aber nicht der Standardweg und ehrlich gesagt habe ich das in Proxmox nie gemacht.
Die Profiproxmoxer machen auch viel mit ansible o.ä., das geht aber auch mit incus, so ist das für mich kein Argument fürt eine Rückkehr.
Irgendwie möchte ich es aber nicht ganz links liegen lassen, wahrscheinlich werde ich es mal in einer VM aufsetzen und da nutzen.
Es gibt ja im Netz viele, die das andersrum nutzen, incus in einer Proxmox-VM. Das kann ich verstehen, wenn man über Jahre eine Proxmoxinfrastruktur aufgebaut hat, dann ist das nicht so mal schnell eben umgestellt. Ich bin ja nur privat und mein einziger wirklicher Enduser ist meine Frau, die einfach Emails und Bilder verwalten will, und solange das stabil läuft, kann ich da drunter machen, was ich will.
Die Einstellungsmöglichkeiten für den dedizierten Server bei Strato sind gegenüber dem Hetznerangebot allerdings spartanisch, letztens habe ich verweifelt den Knopf zum Reboot des Servers via Admininterface gesucht, und nur eine Notlösung irgendwo versteckt gefunden. Auch eine vorgestellte Firewall, wie sie sie bei ihren VPS Angeboten haben, fehlt bei den dedizierten Servern (brauche ich zwar nicht, ist aber in vielen Fällen sicher hilfreich).
Überhaupt alles sehr unübersichtlich, den reverse DNS Eintrag findet man unter Domains, wer sich dieses Suchspielinterface ausgedacht hat, gehört geteert und gefedert.
Überhaupt, da habe ich einen dedizierten Server und kann den nicht mal mittels ISO aufsetzen, die einzige Möglichkeit sind die vorgefertigten Images und man kann immerhin aus 2 unterschiedlichen Partitionsmöglichkeine auswählen .. bei einem Server mit zwei 4TB Platten wäre auch die Möglichkeit der Auswahl von Filesystemen (z.B. zfs oder btrfs) ganz nett.
Nun gut, Minimalinstallation und den Rest dann so formatieren, wie man ihn haben will, ist jetzt auch kein Hexenwerk und stellt jedenfalls mich zufrieden, aber ein wenig mehr Auswahlmöglichkeiten bei der Installation wäre schon schön, ich bin halt von Hetzner, Netcup, etc verwöhnt.
Ich bin jetzt Hetzner untreu geworden und habe mir einen dedizierten Server (gebraucht) bei Strato geholt, hauptsächlich wegen der Kosten. Auf dem Papier ist der Stratoserver etwas weniger leistungsfähig, aber ca. 13 Euro Preisunterschied pro Monat ist für mich als Privatperson entscheidend. So habe ich denn nur 32GB statt 64GB, aber ansonsten sind die Hardwaredaten des günstigeren Servers für mich mehr als ausreichend.
Nur eine Sache nervt, die stellen ihre dedizierten Server doch tatsächlich ins 100 Mbit/s -Netz, da wird eine Serverkopieraktion zur Qual, 1 Gbit kostet einen satten Aufpreis im Monat, da ist dann der Unterschied zu Hetzner fast wieder aufgebraucht.
Aber ich habe festgestellt, dass ich im laufenden Betrieb ganz gut auskomme mit der geringeren Bandbreite (ich betreibe ja keine Gameserver oder so, die Hoohgeschwindigkeitszugang brauchen).
Ein bisschen Email, nextcloud, Photoarchiv via immich, Dokumentenmanagement via paperless und noch ein paar private Spielereien bringen eine 100 Mbit Leitung nicht ins Glühen ... jedenfalls meine nicht.
Das ganze, bis auf Email (ich hatte mal darüber geschrieben), könnte ich auch lokal bei mir zuhause machen, da ich ja pangolin nutze, so ist ein dedizierter Server dafür purer Luxus, den ich mir gönne und wenn er ausreichend schnell ist, bin ich zufrieden, ich sehe mittelfristig keine Rückkehr zu Hetzner für mich.
Weil es bequem war, habe ich einige (die eifrige Leser erinnern sich) Dienste auf meinem Server mittels Docker in inucs LXCs realisiert. Damit bin ich jetzt ein wenig auf die Nase gefallen, reihenweise fallen diese Dockerinstanzen jetzt aus, nach einem Update starten die Images nicht mehr (cryptische Fehlermeldung), das betrifft wohl auch Proxmox-LXCs und ich habe irgendwo gelesen, das das in Proxmox wohl behoben worden ist, aver offensichtlich in incus nicht. Die im Internet kursierende Lösung, docker einfach auf eine ältere Version festzufrieren, hilft auch nur mittelfristig. Somit musste eine Lösung für mich her, ich habe also jetzt alles, für das ich unbedingt docker brauche (immich, dawrich, opencloud, etc.), zentralisiert in einer VM. Das hat auch weiter Vorteile, ich brauche nur noch einen warchdog container, der alles aktuell hält.
Ha, jetzt war ich mutig und hab auf der Domain gleich einen zweiten Chatmailrelay angelegt, der auf eine andere IP-Adresse zeigt (wegen der Emailports, die kann man auf einer IP nur einmal belegen, einen vernünftigen reverse proxy Ansatz für Email gibt es meines Wissens nicht) und der läuft jetzt brav in einem Incuscontainer, so möchte ich das haben ....
Wenn ich mal den Server wechseln will oder einen Totalcrash habe, möchte ich einfach den Container kopieren/wiederherstellen und alles läuft wieder, kein Gedöns mit cmdeploy halb aufsetzen, dann was kopieren, dann wieder hier was frickeln, und dann da und dann läuft es hoffentlich.
Die zwei Relayserver schicken munter auch Nachrichten hin und her, d.h. die lesen auch ihre DKIM-Keys richtig aus dem DNS aus, das war ja auch noch zu beweisen. Ich denke mal, ich lasse dann den zweiten laufen und mache den ersten platt und neu, somit haben alle, die sich bereits im ersten registriert haben, Pech und müssen sich auf dem zweiten Server unter
cm.pfrx.de
neu registrieren. Da sich meine Leserschaft hier in Grenzen hält (was noch ein große Übertreibung ist), betrifft das im wesentlichen mich und meine Frau ...
Nunja, so einfach, wie man das im Internet so darstellt, ist ein Chatmailserver nicht.
Einfach ein VPS irgendwo hinstellen und cmdeploy da drauf ist nur die halbe Miete, danach
kommt das Rumgefrickel mit den DNS Einstellungen ... aber das kann man eigentlich gar nicht denen ankreiden, das ist die Hampelei mit den Emeilprotokollen heutzutage (es gibt halt zuviel Spammer in der Welt).
Man braucht zwingend eine Domain, zum Glück habe ich davon ein paar, aber natürlich keine emailfreien Domains, will sagen, meine Domains laufen natürlich alle über meinen Stalwartserver als "normale" Emailempfänger. Ich habe jetzt eine davon, nämlich pfrx.de zusätzlich mit dem Chatmailreley beglückt, was empfangstechnisch wohl esrt mal kein Problem darstellt. Für die Domain ist ein MX Eintrag für @ gesetzt, ich habe jetzt noch einen zusätzlichen MX für chat.pfrx.de dazugetan, ob das so funktioniert, wird sich zeigen, falls mal jemand von ausserhalb mich erreichen will, zur Zeit sind meine Frau und ich auf demselben Server, das gibt es keine Probleme, sobald man aber auch andere Server erreichen will, muss das ganze DNS-Programm auch stehen, d.h. DKIM, SPF und DMARC ... und da stehen halt schon Einträge für meinen Stalwartserver, hoffentlich verträgt sich das und die Mails verteilen sich richtig ... bin ja mal gespannt.
Wie immer gibt es auch hier wieder etwas zu meckern, diese Installation ist nicht irgendwie Standard, sondern was ganz eigenes. Da muss man erst mal ein git-repository auf einen Installationsserver werfen, der dann über ssh auf dem eigentlichen Server die Installation übernimmt (vi eines Tools namens cmdeploy).
Dieses Tool zickt ziemlich herum, wenn es nicht genau auf die Umgebung trifft, die es haben will, ein Standarddebian 12 (13 geht nicht, ich habe es probiert) und es will nicht eine incus lxc installiert werden, da muss es schon eine vm sein (vielleicht ginge auch eine privilegierte lxc, habe es nicht probiert) und achja, und wenn systemd-resolved läuft (eigenltich ja auch eine Seuche), will es auch nicht.
Nunja, letztendlich habe ich meinen 1€ Stratoserver dafür "geopfert", der installiert da Dinge, die man im Leben nicht wieder los wird, deswegen wäre mir eine lxc lieber gewesen, die könnte man auch vernünftig klonen.
Es gibt zwar einen Migrationsplan, falls ich das Zeug mal auf eine andere Platform bringen möchte, das hört sich aber abenteuerlich an.
Eine incus lxc wäre mit
incus copy ...Tja, neu ist manchmal nicht unbedingt besser, ich habe mich der Möglichkeit beraubt, die Artikel zu korrigieren (noch). D.h. falls hier Tippfehler zu bewundern sind, könnt ihr das eine ganze Weile lang tun, bis ich Zeit gefunden habe, den Editor so zu modifizieren, das er auch alte Meldungen nimmt und korrigieren läßt.
Der geneigte Leser mag es bemerkt haben, es gab einen signifikanten Wechsel der Software.
Die Beiträge liegen jetzt nicht mehr im Filesystem herum, sondern in einer Datenbank (zur Zeit nutze ich noch sqlite3, das reicht für meine Zwecke völlig), könnte ich aber dann nach oben skalieren, falls mal Bedarf dazu ist.
Ein kleiner Editor ist dazugekommen, der ist aber noch extrem unausgereift, die Migration der drölftausend Beiträge hier hat 0.00025 Stunden gebraucht ... harhar.
Auch sieht das ganze anders aus, immer noch sehr spartanisch, aber ich kann es jetzt besser lesen als vorher.
Es ist zum Glück immer noch schlank und kommt ohne Gedöns aus ... mal sehen, wie lange noch.
Ich hatte vor einiger Zeit schon mal Deltachat probiert, weil das ja im wesentlichen mit jedem Emailserver funktioniert.
Irgendwie ist das aber kaputtgegangen bei der Migration von Mailcow zu Stalwart und ich habe es auch vernachlässigt.
Ich bin ja immer noch mit Whatsapp verwachsen, meine nicht It-affinen Kontakte sehen einfach das Risiko nicht oder wollen es nicht wissen.
Ich kann also wählen zwischen zähneknirschend akzeptieren und völlig abgeschnitten zu sein. Nun habe ich wenigstens meine Frau überzeugtgezwungen, Deltachat in der Kommunikation mit mir zu verwenden, was auch erstaunlich gut klappt momentan.
Und ich nutze nun nicht mehr meinen eigenen Emailserver, ich habe zusätzlich noch einen Chatmailrelay aufgesetzt, der ist extrem schlank und hat einige schöne Eigenschaften, z.B. läßt er nur verschlüsselte Kommunikation zu, speichert so gut wie nichts selbst und macht eine schlanke Anmeldung (Scan eines Barcodes reicht) möglich, man muss nicht mit Benutzer/Kennwort herumhantieren, ist superschnell online, so wünscht man sich das, ich hoffe, ich kann im Laufe der Zeit einige meiner Bekannten dazu bringen, zu wechseln.
Ich finde die Idee hinter Deltachat richtig gut, sowas muss unterstützt werden.
Wer noch keinen Account hat, kann sich bei mir schnell einen besorgen unter
Frischux chat mail relay server kann sich jeder einen Account erstellen. Das mache ich solange, wie ihr da draussen brav seid, illegale Dinge will ich nicht über meinen Server laufen lassen und ich kündige an, das sehr schnell zu beenden, wenn es Beschwerden gibt. Da das über Pangolin läuft, kann ich sehr schnell eine Authentifizierung davor schalten, wenn es zu bunt wird.
Ich habe ein neues Lieblingszugriffstool ... nexterm vereinigt eigentlich alles, was ich brauche,
insbesondere der einfache Zugang zur grafischen Oberfläche einer VM über den Browser ist super
gelöst.
Das Webinterface von incus ist, sagen wir mal, gewöhnungsbedürftig, während bei proxmox alles
web-first war, ist es bei mir und incus eher umgekehrt, web-last, wenn gar nichts anderes mehr
geht.
Und der umgedrehte Zertifizierungsweg ist aus verschiedenen Gründen bei mir nicht auf allen i
Rechnern möglich, d.h. ich konnte mit Incusbordmitteln nicht so einfach auf garische Oberflächen
zugreifen. Hier kommt nun nexterm ins Boot und schließt die Lücke nicht nur perfekt, sondern macht
auch noch andere Protokolle möglich. Ich habe festgestellt, das rdp z.Bsp. wesentlich schneller ist
als vnc. Selbst für Linuxserver lohnt sich xrdp zu verwenden, weil das dreht Remote Kreise um
den vnc-Desktop.
Ich als alter Debianer habe mir mal gesagt, ich schaue mal über den Tellerrand
und installiere mir was aus dem RHEL - Lager, hier konkret Alma.
Tja und wie ich feststellen musste, ist da einiges anders, insbsondere selinux
ist erst mal gewöhnungsbedürftig.
So simple Sachen wie einen Systemdservice aus einem Nichtstandardverzeichnis zu
starten, artet in einer wilden und kryptischen Tipperei obscurer selinux
Befehle aus ... ob das die Sicherheit wirklich erhöht oder nur die Komplexität
und damit Anfälligkeit des Systems, mag ich nicht zu beurteilen.
Mich als root selbst zu sakristeien finde ich ziemlich albern, anstatt eines
simplen Kommandos nun 3 zu tippen, finde ich irgendwie zweckbefreit. Aber nun
gut, viele schlaue Leute nutzen das und gewinnen dem etwas ab ... vielleicht
erschließt sich mir einfach nicht der Sinn.
Was mich wirklich geärgert hat war, daß man sich selbst ausschließen kann. Ich
habe so ein schönes Script, das nach dem Booten des Grundsystems erst mal die
verschlüsselte btrfs Partition entschlüsslt wird und dann alle datentragenden
Verzeichnisse mountet und ich war so frech, auch /root zu übermounten, weil da
stehen ja Zugangsdaten,keys u.ä. drin, jedenfalls bei mir.
Das mache ich auch automatisch, indem ich mir von einem anderen Rechner ein
keyfile hole, das dann zum entschlüsseln genutzt wird.
Nun, dieses übergemountete /root enthielt meine /root/.ssh/authorized_keys, mit
denen ich an das System komme (Passwortlogin für root drehe ich immer als
erstes ab), aber selinux sagt ... baeh, nada, das darfst du nicht lesen (warum?)
Also erst mal mit Rettungskonsole booten, das automatische Übermounten von
/root wieder rausnehmen. Nach Reboot also das Verzeichnis händisch übergemountet
und dann ein
restorecon -R -v /root/.ssh
Und dann konnte ich das automatische Übermounten wieder aktivieren.
Warum das jetzt der Sicherheit dient, muss mir mal einer erklären.
Ich hatte ja letztens erzählt, das incus beim kopieren von Instanzen die /etc/hosts vergißt,
es ist also eine blöde Idee, sich auf die Einträge dort zu verlassen. Eine viel zuverlässigere
Methode, ist der folgende Befehl:
incus network set fxbr0 raw.dnsmasq \'addn-hosts=/var/lib/incus/hosts\'
Damit definiere ich eine Art globale hosts-Datei, in der ich allen Instanzen gleichzeitig sagen
kann, welche interne IP zu welchem host gehört, eine Art incus internes DNS.
Das ist praktisch, wenn man einen mailserver im Incuscontainer betreibt und den Instanzen
dann Zugriff darauf geben will ... wir errinnern uns, mit proxy-forwarding kommen Instanzen
nicht an andere Instanzen mit der öffentlichen IP-Adresse (warum eigentlich, ist aber so ?), wenn
man an den Mailserver will, muss man innerhalb einer Instanz die interne IP des Mailservers wissen.
Newt mit pangolin ebenso und manche Services müssen sich selbst erreichen können, z.B. nextcloud oder
opencloud.
Ja, diese Geschichte läßt mich nicht los, ich bin einfach immer noch geschockt, daß die mich
einfach kein eigenes System installieren liessen, was ich irgendwie als Grundvorraussetzung eines
Rootservers ansehe (gut, es war ein VPS, aber sie werben mit vollem root Zugang).
So habe ich jetzt im Weihnachtsangebot bei netcup zugeschlagen und siehe da, alles möglich,
Neuinstallation von deren Images inklusive Repartitionierung (ich böser) und sogar die
angebotenenen ISO-Dateien sind nicht nur zum Bestaunen da, man kann sie sogar zur Installation eines
neuen Betriebssystems nutzen (seht euch das an ionos, das geht tatsächlich, wenn man die VPS
richtig konfiguriert, der Hammer war ja, das die mir gesagt haben, das geht grundsätzlich nicht,
das grenzt schon an Arbeitsverweigerung), das hinterher auch bootet.
Ich baue ja des öfteren meine Homelabumgebung um, und dafür eignet sich incus
ja wunderbar, weil man die Instanzen so schön hin- und herschubsen kann.
Erinnert sich noch jemand daran, das ich das proxyiing auf NAT umgestellt
hatte, und ich deswegen von innen nicht mehr auf den Host komme, ja, und die
Lösung dafür war, dann den Server einfach in die Hosts einzutragen. Also in
meinem Fall war das das Zusamenspiel von pangolin und newt. Hier habe ich im
newt-Container die interne IP-Adresse des Pangolinservers eingetragen, was
auch super funktioniert, solange man nicht auf die Idee kommt, den
Newtcontainer in einen anderen Pool zu schieben (ist jetzt ein move, passiert
aber auch genauseo bei copy).
Man sollte meinen, der übernimmt einfach alles im neuen Container, wie ich
jetzt gelernt habe, ein Trugschluss. Der löscht einfach die /etc/hosts und
initialisiert noch ein paar andere Dinge, was genau habe ich gar nicht
nachgefragt. Dazu habe ich mich extra im Incusforum angeldet (wollte ich eh
schon lange tun) und mal die Frage gestellt, warum das so ist, weil jedesmal,
wenn ich meinen newt verschiebe, der dann nicht mehr an meinen pangolin kommt,
bis ich das merke und daran denke, das es wieder datan liegt, vergeht meistens
eine kleine Zeit. Im Forum wurde mir dann auch erklärt, das die das so machen
wegen gleicher Macadressen im Netzwerk (was die hosts jetzt damit zu tun hat,
habe ich mich nicht mehr getraut zu fragen) und um das zu verhindern bei copy
(ja, und warum dann beim move auch, da besteht doch überhaupt keine Gefahr von
zwie gleichen Macadressen im Netzwerk) kopieren die halt einige Dateien nicht
mit beim "incus copy". Es gibt aber die schöne unintuitive option "--refresh",
die dann also doch /etc/hosts und alles andere mitkopiert, das ist dann sogar
schneller. Also mal ein Beispiel:
incus launch images:debian/13 ct1
incus copy ct1 ct2 --refresh
incus copy ct1 remote:ct2 -refresh
Im ersten Fall lokale Kopie, ct1 und ct2 sind komplett identisch, ihr
digitaler fingerprint ist also gleich, somit würde auch ein DHCP-Server ihnen
die gleiche IP zuweisen, was doof ist.
Im zweiten Fall unbedenklichi, wenn das remote system in einem anderen
Netzwerk hängt und eigentlich zu bevorzugen, weil man möchte ja
auf dem Remotesystem eine 1:1 Kopie haben.
Wie ich eben schon schrieb, im Prinzip könnte man jetzt den billigsten VPS für
die beiden wichtigen Dinge Email und pangolin, die zwingend eine feste IP im
Internet brauchen, nehmen und alles andere irgendwo unterm Schreibtisch
zuhause hosten.
Jaha, dazu kann ich eine tolle Geschichte beitragen, ich hatte das Wochenende
Besuch von meiner lieben 17-jährigen Tochter aus erster Ehe, und wie es bei
jungen Heranwachsenden so ist, ist die Stromversorgung des Mobiltelefons
oberste Priorität. Sie hat also mit einzigartiger Zuverlässigkeit genau den
einen Stecker gezogen, an dem mein ganzes (naja, halbes ... aber das macht
es auch nicht besser, das war halt die Hälfte mit den Incusinstanzen) hing.
Ich mich am nächsten Tag nur gewundert, warum ich überall rote Lampen blinken
sehe ... wie kommt man auf den Gedanken, ausgerechnet den Stecker zu ziehen.
Nunja, das ist eben die Gefahr zuhause, wenn man da nicht alleine lebt und eine
IT unaffine Familie um sich herum hat, dann kommt sowas durchaus öfters vor
(O-Ton meiner Frau letztens: "Schatz, ich hab da den Stecker gebraucht, jetzt
ist da bei dem Kasten da drüben der Blinker ausgegangen, das ist doch nicht
schlimm, oder ...").
Ja, und sowas passiert in einem professionellen Rechenzentum eben nicht (oder
wirklich sehr, sehr selten), deswegen werde ich mir meinen dedizierten Server
weiterhin leisten und die für mich persönlich wichtigen Dienste dort betreiben.
Ja, das fasziniert mich, das ist wirklich nur genau ein (1!) binary, das da
werkelt. Okay, das ist natürlich immer die große Gefahr, in einem Monolythen
geht eine Kleinigkeit kaputt, wird gleich alles mit runtergezogen, auch
sicherheitstechnisch problemtisch, eine fehlerhafte Protokollimplementierung i
kompromittiert alles, nicht nur den Dienst, der das Protokoll bereitstellt.
Aber ich nutze das hier privat, ich kann da locker drüber wegsehen, für meine
Zwecke ist das sicherheitstechnisch ausgereift genug, ob das für Firmen auch
gilt, müssen die selbst klären.
Aber das ist so schlank, das würde sogar auf meinem besagten 1€ Server von
Strato laufen ... so habe ich sogar noch einen Backupplan B im
Katastrophenfall, weil ja Emailserver (und pangolin) das einzige sind, was
nicht bei mir zuhause laufen kann.
Nun, ionos verbaut gerade gute Hardware in ihren VPS Servern, das hat mich bewogen,
das mal zu testen, vor allem, weil die auch preislich sehr weit vorne liegen.
ber was die mir da jetzt als VPS Server hingestellt haben, schockiert mich ehrlich
gesagt ein wenig.
Mal der Reihe nach:
Nach der Bestellung kommt ziemlich schnell die Benachrichtigung, dass dein Server
eingerichtet ist und du kannst dich mit root dort einloggen, gesagt, getan funktioniert
alles paletti.
Nun ist der Server in der Konfiguration (das Standardimage) nicht wirklich zum
arbeiten zu gebrauchen, ich brauche btrfs, Verschlüsselung und noch so einiges.
Nun gut, dafür gibt es ja ISO-Images (dachte ich zumindest). Die gibt es da auch und zwar
alles, was das Herz begehrt (Alma, Rocky, Debian, Ubuntu ... habe ich was vergessen).
Ich mich also mutig rangemacht und eine Debian 13 Installation von der vorgegebenen ISO
gemacht (man muss dazu sagen, das ich genau das vor einigen Wochen schon mal auf einer
ander ionis VPS gemacht habe, mit Erfolg ... dazu später mehr)
Mann, ist das eine Rennmaschine, so schnelles Setup habe ich Debian selten gesehen.
Es lief auch alles durch ... alles gut, keine Fehlermeldung, also Reboot,
noch die (virtuelle) DVD entfernt und dann stand ich da, im GRUB und es ging nicht weiter,
keinen Millimeter, einfach nur die Meldung "GRUB...." beim Booten und das Ding stand.
Ich also noch ein paar ISOs ausprobiert und überall das gleiche Ergebnis, Installation
funktioniert wunderbar, nur Booten von der frisch installierten Festplatte geht nicht ...
ich vermute mal, das sie das NVRAM, in dem UEFI die Booteinträge pflegt, nicht (mehr)
schreibbar mounten ... aber das ist ersten gefährliches Halbwissen meinerseits und ich
kann ja nicht in deren Rechenzentren schauen, ist mir auch egal, aber ich will ein
Betriebssystem, das ich installieren kann, auch booten. Und ionos ist als Billigheimer
auch nur solange gut, bis du den Support brauchst, was die mir da an hanebüchenem Unsinn
erzählt haben, das war schon ganz weit unten. Da wollte mir der
(extra verbundene "Experte") doch allen Ernstes weismachen, das alles diese schönen ISOs
gar nicht zum installieren gedacht sind (ja, was soll man sonst mit denen machen,
angucken, bestaunen, wie schön IONOS so eine ISO-Sammlung bereistellt?) sondern nur
eine Art rescue System bereitstellen sollen ... warum man dafür alle gängigen
Linuxdistributionen braucht konnte der mir dann aber nicht erzählen.
Ich bin ein pfiffiges Kerlchen, also dachte ich mir, wenn es mit der Installtion nicht
klappt, nehmen wir einfach eins von deren Images und ändern da die Partitionierung ein
wenig. Ja, aber auch das hat nur mittelgut geklappt. Mittels der GPARTED.iso, die sie
ja auch bereitstellen, kann man Partitionen verkleinern, er tut das dann auch ... nur
beim nächsten Reboot ist alles wieder weg (WTF) und auch hier kam vom Support nur
heisse Luft ("sie wollen Devices verkleinen (nein, will ich nicht), das ist nicht
erlaubt"). Dann kamen sie mit Prvisionierungsservice und ihrem interne
Ionos-Softwarestack, aber warum die mir in meiner VPS die Parttitionstabellen
überschreiben, wollte oder konnte mir kainer eklären. Vielleicht hat auch gerade der
eine Praktikant mit Ahnung in dem Laden gekündigt. Sie wollten mich nicht mit einem
Techniker reden lassen, alle meine verzweifeltn "aber, das könnt ihr doch nicht tun,
man muss doch in einer VPS etwas installieren und Partitionierung verändern können"
parierten sie mit "doch wir sind ionos und wir können das, leb damit oder geh" ...
tja, das habe ich letztendlich auch getan, sehr schade, denn wie gesagt, war das Ding
superperformant. Zum Glück gibt es bei denen ja die 30-Tage Testzeitraum, so bin ich
den Server noch schnell losgeworden.
Jetzt mache ich mir natürlich ein wenig Sorgen, was denn mit meiner Maschine, die ich dort
vor einigen Wochen für meinen Verein da eingerichtet habe, passiert.
Nicht, das sie jet die "neuen Richtlinien" da anwenden und anfangen, in meiner
Partituionierung herumzuwurschteln.
Wenn es einmal läuft, dann läuft es, habe ich mir gedacht .... ich habe mich da jetzt
aber bekannt gemacht als einer, der ihre heiligen Regeln (du darfst kein Betriebssystem
selbst installieren, du darfst keine Partionierung verändern) bricht, hoffentlich lassen
die den Server in Ruhe, mit dem bin ich sehr zufrieden.
Also, das ich das noch erleben darf, jemand tritt a, die altehrwürdigen Emailserverprogramme postfix und dovecot zu ersetzen mit was modernem, in Rust geschrieben, extrem schlank. performant.
Und was soll ich sagen, der hat jetzt erst mal meine mailcow-Installation verdrängt (ihr erinnert euch, die Mailkuh war eines der Beispiele, die ohne Docker echt komplex werden).
stalwart kommt als ladbares binary daher, kann direkt in einer lxc laufen, braucht kein docker, etc ... weil es eben nicht aus vielen Einzelservices zusammengestezt ist.
Und stalwart kann JMAP, was sonst keiner kann ausser ein paar Exoten .... nja, jetzt soll es thunderbird für IOS können, warum haben die das zuesrt dafür implementiert, keiner weiß es .... wer nutz im Iphone den Thunderbird, ich würde mal auf einige wenige tippen.
Thunderbird für Android soll bald folgen, dann der Desktop Thunderbird. JMAP hat das Potential, einige etablierte Zöpfe abzuschneiden, mal sehen, ob es sich durchstzen wird oder es endet wie in diesem xkcd
Nach dem ich einige Zeit, aus Faulheit oder aus anderen Gründen, so ziemlich alles in docker gemacht habe, bin ich jetzt dazu übergegangen, das wieder zurückzudrehen.
Ein gutes Beispiel ist dieses blog hier, ich hatte es (warum auch immer), in einem docker container in einer lxc am laufen. Das war mindestens eine Virtualisierungsstufe zu viel. Also habe ich jetzt plain ein nginx mit PHP Unterstützung in einem stinknormalen Debian 13 installiert und es läuft auch dort, ohne den Riesenoverhead, den docker so mitbringt. Einige Projekte kannst du ohne docker gar nicht vernünftig aufsetzen, da wird man wahnsinnig bei der Konfigurationsarie, aber einige meiner Services habe geradezu nach Verschlankung geschrien.
Ich habe ja letztens von meinem Maildesaster erzählt und das incus dran schuld war ... nunja, nicht ganz.
Man sollte auch ab und an die Doku lesen und sich damit beschäftigen, was man tut. Wenn ich also mit
incus config device add INSTANZ NAME proxy listen=tcp:0.0.0.0:PORT connect=tcp:127.0.0.1:PORT
wie es im Internet eigentlich immer benutzt wird, mache ich Non-NAT forwarding, das heißt er macht auf beiden Seiten eine Connection auf und tunnelt dannn die Verbindung da durch. Es steht auch explizit in der Beschreibung, das man dann die Sender-IP-Adresse verliert, wenn man also die IP Adresse des Senders erhalten will, was bei Mailverkehr sehr sinnvoll, wenn nicht zwingend ist, muss man NAT machen, d.h.
incus config device add INSTANZ NAME proxy listen=tcp:IP_HOST:PORT connect=tcp:IP_INSTANZ:PORT nat=true
Man braucht zwingend eine feste IP Adresse für die Instanz, mit Non-NAT kann man auch Instanzen mit DHCP Adressen ansprechen ... wie sinnvoll das auch immer sein mag.
Wenn ich also meine Mailserverports so freigebe, kommen die Original-IPs im Mailserver an und es entsteht kein offener Relay (das habe ich extra 3 mal überprüft).
So ein NAT proxy hat auch Nachteile, so ist der Server von innen, also aus dem incus DHCP Netz, nicht mehr über die externe IP-Adresse erreichbar. Man muss dann tricksen und in der Hosts dem Servernamen einfach die interne IP mitgeben. Wenn jemand eine schönere Idee hat, nehme ich sie gerne.
Seit ich incus nutze, sollte sich eigentlich diese Frage gar nicht mehr stellen ... haha
Aber leider ist die Welt nicht so einfach, es gibt komplexe setups, für die man manuell in einer LXC Umgebung viel Mühe hineinstecken müßte ... mailcow ist da so ein Beispiel, wunderschön zusammengestelltes setup einer Mailumgebung mit allem drum und dran, einfach aufzusetzen, einfach zu administrieren ... das ohne Docker hinzustellen braucht etwas (ich verweise hier gerne auf die Webseiten von Thomas Leister, der das sehr im Detail und schön beschreibt, habe ich lange so oder ähnlich betrieben).
Also nutze ich zur Zeit docker im Incuscontainer, wenn ich mal was mit docker machen will.
Die OCIS Implementierung von Incus nutze ich noch nicht, obwohl ich das ganz spannend finde, die Images direkt im Incus laufen zu lassen. Allerdings nutze ich ja meist die zusammengesetzten Setups, wofür ich docker compose für mich entdeckt habe, sowas gibt es (noch ... und da ist ein Projekt, das mit incus-compose so etwas ähnliches machen will) noch nicht, ich will da einfach eine docker-compose.yml reinschmeissen können und das läuft dann (nextcloud, mailcow, immich .... etc).
fulcrum mag ein schneller Server sein, aber in meiner Umgebung zickt er ziemlich rum.
Ständig verliert er die Verbindung zum bitcoin server (ist auf der gleichen Maschine im gleichen Subnetz, warum ?) und wenn man ihn unpassend herunterfährt (docker compose down zum falschen Zeitpunkt), korrumpiert er die Datenbank und man darf von vorne anfangen.
Und so ein initialer sync dauert mal ein paar Tage.
Dummerweise wollte ich gerade gestern was mit meinen paar Krümeln machen, stellt sich raus, fulcrum funktioniert nicht, hat irgendeinen Schluckauf beim Zugriff auf die Blockchain, logfile gab auch keinen entscheidenden Hinweis, ich also alles heruntergefahren (besagtes docker compose down) und wieder hoch (docker compose up -d), tja ... und dann meinte fulcrum, jetzt ist die Dabenbank kaputt, ich möge doch bitte alles neu synchronisieren.
Da ich ja wie gesagt ein ungeduldiger Mensch bin und den Zugriff auf meine Satoshis wirklich dringend brauchte, habe ich meine Infrastruktur überdacht ... brauche ich wirklich docker ? Nein, nicht wirklich ... also schnell bitcoin-core selbst kompiliert in der debian LXC, auf den existierenden full node ordner zeigen lassen und das funktionierte super ... nix mit neu synchronisieren.
Ich habe dann gelesen, das electrs schneller synchronisiert (aber dann hinterher langsamer ist) ... also ich dann noch in der selben LXC ein electrs aus den Sourcen gebaut und über Nacht synchronisieren lassen und der ist tatsächlich fertig geworden.
electrs macht aber nur unverschlüsselt auf Port 50001 (standardmäßig), das brachte mich zum Umdenken, muss ich wirklich einen Electrumserver in die weite Welt freigeben. Ein einfacher ssh Tunnel tut es doch auch udn so ist es nun auch, kein Proxy, keine Weiterleitung ... Zugriff direkt auf Port 50001 via ssh getunnelt.
electrs ist tatsächlich gefühlt etwas langsamer, wenn man ein wallet öffnet, da kann man beim Offnen ein paar Sekunden das Nachlesen der Transaktionen beobachten, fulcrum war da wirklich pfeilschnell ... aber es ist nicht so langsam, dass es mich stören würde.
Es wäre auch schick, wenn hier die alten Beiträge ausgeblendet werden könnten, so monatsweise oder so, aber dann wäre die Seite manche Monate ziemlich leer .... weil ich festgestellt habe, dass ich nicht nur schreibfaul, sondern auch extrem wenig öffentlich zu sagen habe .... hahaha
Also, ich habe mir über die letzten Jahre ein paar Krümel bitcoin zusammengeklaubt ... nicht wirklich viel, aber doch soviel das es wehtun würde, wenn die weg sind.
Ich hatte sie in einer wallet im bitcoin-core, den ich als pruned node zuhause betrieben habe (ca 12G Speicher, das geht). Die Idee dahinter war, ich brauche nur die wallet.dat sichern und dann bin ich fein.
Nun hatte ich mal auf meinem Hetznerserver eine neue Blockchain gesyncht (häßliche Arbeit, dauert ewig, verbraucht undendlich viel Resourcen) und siehe da, auf dieser wollte meine wallet.dat nicht (zu alt, Datenbank ird nicht mehr unterstützt, blabla), was mein Grundvertrauen in bitcoin-core zum Aufbewahren meiner Krümel erschüttert hat.
Eine neue Lösung muss her, nur was? Am liebsten was bip39-konformes, dann kann man sich 24 Wörter generieren und kann das dann damit jederzeit wieder herstellen, auch in 20 Jahren oder so.
Habe electrum probiert, weil überall empfohlen, hoher Datenschutz etc.! Ist auch superbequem und superschnell, weil es sich zu externen Electrumservern verbindet, die die Blochaindrecksarbeit machen. Mit der eigenen Blockchain kann electrum nicht arbeiten, barucht noch einen Electrumserver da drüber.
Nächster Versuch, sparrow! Ist mir, ehrlich gesagt, zu überfrachtet ... viele Funktionen, viele potentielle Fehler. Ist aber trotz allem überraschend einfach einzurichten, kann sich mit meiner lokalen Blockchain verbinden und arbeitet dann lokal.
Sparrow sagt aber selber, dass sie lieber mit einem Electrumserver zusammenarbeiten .... ich mich also eingelesen und fand plötzlich die Idee, einen eigenen Electrumserver zu haben gar nicht mehr so unattraktiv.
Gesagt, getan ... was nehme ich nur, electrumx, electrs, fulcrum ? Alles probiert, auch hier wieder, benötigen meist eine full node (fast 1 TB Speicherplatz) und brauchen tagelang für den initial sync.
Ich als notorisch ungeduldiger Mensch war hier wieder genervt, am Ende habe ich dann fulcrum bis zum Ende durchgehalten und das läuft jetzt erstmal.
Der Vorteil dabei ist, sowohl bitcoin core und fulcrum laufen out of the box ... das heißt, wenn es meinen Server zerreisst, muss ich die einfach neu einrichten (und wieder Tage bis Wochen warten, aber egal), da liegen jetzt keine Daten mehr von mir, ich brauche dieses TB-Monster nur zum Verifizieren für meine Wallet.
Schlüssel und Adresse liegen jetzt lokal bei mir zuhause und können zur Not auch mit bip39-konformen 24 Wörten (plus Passphrase) in jeder Wallet eingeladen werden. Probiert habe ich jetzt wieder electrum (da ich ja jetzt einen eigenen Server habe, könnte ich auch das nutzen) und sparrow und die könnte ich auch in die Tonne treten. solange ich die Wörter habe ... ich fühle meinen Schatz (harhar) viel sicherer behütet.
Und irgendwo im Hinterkopf höre ich leise jemand Quantencomputer murmeln und frage mich, ob und wie lange eine Infrastruktur, die im wesentlichen auf asymmetrischen Schlüsseln aufgebaut ist, Bestand hat
Ich habe jetzt den pangolin wieder auf den billig Stratoserver zurückportiert ... zum Glück ist das bei pangolin wirklich einfach, docker-compose.yml und config-Ordner auf den gewünschten Server kopieren und starten, schon läuft der Server, wenn die DNS Einträge darauf zeigen, geht alles wie gewohnt.
Ich habe das gemacht wegen des Umzugs gestern. Wenn der pangolin in einem incus container auf dem Host läuft, der viele (fast alle) Services hostet, dann ist eben auch alles abhängig davon, das du diesen Dienst hochziehst.
Ich hätte mir gewünscht, das ich das unabhängig voneinander machen kann.
Wenn mal der Hauptserver weg ist, möchte ich die wichtigsten Dienste (da fällt mir z.B. vaultwarden ein, ohne Passwörter bin ich aufgeschmisen) woanders laufen lassen. Mit pangolin auf einem externen Server kann ich das dann schön in die richtige Richtung routen.
Deswegen werde ich mir diesen einen Euro pro Monat wahrscheinlich dauerhaft leisten, damit ich mit meinem Hobel flexibel sein kann.
Ausserdem kann ich mir Portweiterleitungen auf Port 80 und 443 auf meinem Hauptserver einsparen, gibt ein besseres Sicherheitsgefühl.
Was ich an Proxmox mochte, war das einfache Zurückspielen von gesicherten Instanzen via Proxmox Backup Server, das war wirklich einfach, aber wie gesagt ... ich hatte immer Hemmungen, meine restic Infrastruktur aufzugeben und alles auf PBS zu setzen.
Vor allem, weil PBS wirklich nur im Proxmosuniversum gut funktioniert, für alles andere muss man sowieso etwas anderes verwenden.
Was ich an incus mag ist, dass es sich ins System integriert und es nicht assimiliert.
Bisher vermisse ich proxmox nicht wirklich, was mich überrascht, weil ich es wirklich mochte und intensiv genutzt habe.
Deswegen schreibe ich hier auch soviel darüber.
So ein Backup ist mitunter sehr hilfreich, vor allem sollte das restore hin und wieder geübt werden.
Heute hatte ich Gelegenheit dazu, bei meinem Serverumzug habe ich doch tatsächlich meinen paperless Container vergessen zu kopieren. Tja, der alte Server ist nun weg, also mutig das letzte Backup zurückgespielt:
restic restore 516d381b --target / --include /var/lib/incus/storage-pools/default/containers/paperless
Um das auch in incus bekannt zu machen jetzt noch ein
incus admin recover
Der findet dann den verwaisten Container und bindet ihn wieder ein.
Danach musste ich den Container nur starten und schon waren alle meine Dokumente wieder da .... das ist wirklich so einfach, wie es gedacht war.
Incus Instanzen lassen sich bequem miteinander verbinden.
Auf dem Ziel einen Schlüssel generieren mit:
incus config trust add name
Auf dem Rechner, mit dem ich das dann verbinden will ein:
incus remote add id IP-Adresse
Da muss ich dann den Hostschlüssel bestätigen und dann den oben generierten Schlüssel einfügen, und schon kann man mit z.B.
incus list id:
sich alle Container und virtuelle Maschinen auf dem entfernten Rechner auflisten, und sonst noch alles machen, was man mit incus so tun kann ....
Wie der Zufall so spielt ist gestern abend in der Hetznerbörse ein Server mit einer besseren CPU aber ansonsten den gleichen Rahmenbedingungen für den gleichen Preis wie mein alter angeboteno worden.
Erst war er noch einen Euro teurer, nach auslaufen der Frist haben sie ihn dann aber billiger reingesetzt und wenn ich ihn nicht genommen hätte, hätte sich ein anderer gefreut.
Das löst natürlich mein Problem mit der IP-Adresse (ein echter Arschlochmove für den armen Kerl, der dann meinen Rechner mit der verschlissenen IP-Adresse erbt).
Aber das ist auch eine gute Übung, wie lange ich brauche, alles rüberzukopieren .... mit Backup und allem habe ich immerhin 3TB an Daten zu kopieren.
Die incus Instanzen habe ich alle mit incus copy kopiert, den Rest mit rsync, da war er eine Nacht beschäftigt, aber heute morgen war alles drüben und ich konnte mein DNS auf den neuen Server stellen und alles ist gut.
Ohwe, hatte ich nicht von t-online gesprochen und das die meine IP mit bad reputation abgelehnt haben und das ohne Grund.
Nun, jetzt hätten sie einen Grund und ob ich jemals wieder ene good reputation bei yahoo, gmail und anderen haben werde, wage ich zu bezweifeln.
Incus Netzwerk ist simpel und einfach zu handhaben, aber, wie ich jetzt gelernt habe, mit Vorsicht zu geniesen.
Was ist passiert: Ich betreibe ja einen mailcow in einem incus container (früher proxmox lxc). Für diesen container habe ich per iptables einzeln die Ports 25,465,143,993 und 587 auf die entsprechende IP gelenkt. So habe ich das mit Proxmox gemacht und alles wunderbar, auch im Incus ging das gut. Dann aber habe ich gemeint, incus kann doch selbst die Portfreigaben verwalten, also habe ich mit
incus device add
die oben stehenden Ports gemappt. Auch das funktionierte gut. Was ich allerdings nicht beachtet habe, ist, das mit dieser Arte der Weiterleitung alles, was von aussen kommt, offensichtlich wie intern aussieht (macht der implizit auch Masquerading ?). D.h. ich habe einen astreinen anonymen Relayserver ins Internet gestellt ... und das mir, der letzte Woche noch behauptet hat, er wisse, was er tue .... muuhuuu ....
Hetzner hat mir dann netterweise eine abuse Meldung weitergeleitet, ich erst ungläubig und dann panisch, erst mal alles heruntergefahren und analysiert .... peinlich, peinlich.
Wie lange das jetzt ging, möchte ich gar nicht wissen :-) ... aber ich habe den Spammer bei br gestoppt, da hatte er aber schon tausende emails an a - br abgefeuert. Meine IP-Adresse ist jetzt bestimmt bis zum St. Nimmerleinstag gesperrt ... echt übel
Ollama bietet mir im übrigen gerade an, hier mitzuschreiben .... momentan bin ich nicht auf die Mithilfe einer KI angewiesen und ich kündige hiermit an, daß ich KI generierte Texte entsprechend kennzeichnen werde, wenn ich sie mal verwenden werde.
Nachdem ich ja eine AI-Schnarchnase bin und mich der Hype komplett kalt gelassen hat die letzten Jahre/Montae, habe ich jetzt mal zum Spass ollama in einem incus container installiert.
incus launch images:debian/12 ollama
incus shell ollama
/* alles weiter innerhalb der shell, selbstredend */
curl -fsSL https://ollama.com/install.sh | sh
ollama pull llama3.2
ollama run llama3.2
Und schon habe ich einen neuen besten Freund zum Quatschen, ich habe jetzt mal auf die Schnelle llama3, mistral:7b und gemma3 ausprobiert ... gemma3 gefiel mir erst mal am besten, aber ich bin ja erst ganz am Anfang.
Erstaunlich, wie einfach das inzwischen geht .....
Wann immer man seine Dienste in die weite Welt exportieren möchte, sei es für den Eigengebrauch oder doch für die Öffentlichkeit, hat man die Wahl zwischen VPN und Reverse Proxy (nun, es geht auch ohne, aber sobald man mehrere Dienste unter der selben IP anbietet, sollte man einen haben).
Nun, pangolin verbindet beides und das in einer sehr geschmeidigen Art, wie ich finde. Jeder, der mal über eine cascadierte Routerstrecke (Fritzbox - OpenWRT - opnSense) einen Dienst im Internet freigeben wollte, wird mit pangolin ein echtes Aha-Erlebnis haben.
Einfach ein newt im Netzwerk des Servers laufen lassen, der baut dann einen VPN-Tunnel zum Pangolinserver auf, den man irgendwo in der weiten Welt stehen haben kann ... für den Test habe ich mir direkt mal einen 1€ VPS bei Strato geholt, weil ich es eben genau nicht auf meinem Hetznerhobel haben wollte.
Auf dem Pangolinserver kann man dann schön einstellen, was von wo kommt und was man wie freigeben will, mit oder ohne Authorisierung vorne dran, d.h. man kann private Sachen noch extra absichern; ich bin hellauf begeistert und lasse jetzt alles da drüber laufen. Mal sehen, wie lange die Begeisterung anhält.
Wo der Pagolinserver letztendlich läuft ist auch egal, nach dem Test mit dem externen Server habe ich ihn jetzt \"heimgeholt\" in einen Container im Incus (hatte ich schon erwähnt, das ich großer Fan bin :-)), damit ich den Stratoserver wieder loswerden kann, auf Dauer möchte ich nicht 2 externe Server betreiben.
Dem Pangolinserver muss man Ports 80,443 (für den Webkram) und 51820/udp (für Wireguard) freischalten, danach muss man sich um Portfreigaben, etc. keine Gedanken mehr machen.
Naja, ausser du betreibst auch noch einen Mailserver.
Ich hatte noch kurz überlegt, ob ich meinen Mailserver auch hinter Pangolin betreibe, mich aber erst mal dagegen entschieden, weil ich ja dann alle Ports, die ich zum Mailserver leite, an Pangolin geben muss, ich gewinne also nichts und erhöhe nur die Komplexität des Systems. Wenn mir einer erklärt, das das doch eine tolle Idee ist und die Sicherheit um ein vielfaches erhöht, dann muss ich meine Entsheidung noch mal überdenken, aber zur Zeit ist es halt so.
Ich hatte die letzten Tage eine lustige Auseinandersetzung mit t-online. Ich betreibe ja schon seit Äonen meine eigenen Mailserver, zur Zeit ein mailcow in einem Incuscontainer auf meinem Hetzner Rootserver.
Nun habe ich den Rootserver gewechselt bei Hetzner, das tue ich hin und wieder mal, wenn ich in deren Serverbörse einen schöneren und/oder billigeren finde.
Das bedeutet dann jedesmal einen Wechsel meiner IP-Adresse, weil neuer Server. Das ist auch die letzten male gut gegangen.
Nun aber habe ich mich erdreistet, mit meinem neuen Server einem T-online-User eine Email zusenden zu wollen. Kam eine böse Email zurück, meine IP-Adresse hätte eine "bad/no reputation" und sie würden die Email erst mal nicht zustellen. Auf meine Nachfrage kam dann überraschend schnell die Antwort, sie hätten von meiner IP-Adresse noch nie was bekommen i(und ich hatte schon befürchtet, die steht auf einer schwarzen Liste, soll ja schon mal vorkommen) und deswegen müßte ich mich erst mal ausweisen, ob ich überhaupt Emails von meiner Domain versenden darf, das stände ja auch so in hren Regeln ... als ob ich von jedem Emailanbieter die Regeln inhaliere.
Wie eigentlich immer in so großen Unternehmen sind die einzelnen Mitarbeiter sehr nett, so auch derjenige, der mit meinem Fall betraut war, es gab ein paar Emails, die hin und her gangen über Privatsphäre und den Unterschied zwischen Firma und Privatperson, aber ohne öffentlich erreichbaren Internetauftritt nebst säuberlich gepflegtem Impressum darf man auch als Privatperson keine Emails an T-online-Empfänger senden. In so einem Impressum stehen dann ja auch sehr öffentlich sehr private Daten drin, deswegen habe ich mich etwas geziert.
Ich könne ja, genau mein Humor, die nächste Spamschleuder zum Versand meiner Emails nutzen, wenn ich anonym bleiben wolle. Ich will nicht anonym bleiben, meine Emails enthalten meistens meinen richtigen Namen und ich bemühe mich, einen halbwegs konformen Emailserver zu betreiben, der gerade nicht für Spam mißbraucht werden kann.
Ich will nur nicht meine Adresse und Telefonnumer in die Welt hinausposaunen müssen, nur um Emails zu versenden.
Letztendlich habe ich es dann doch getan, auch wegen dieses Blogs hier, ich hoffe. ich werde jetzt nicht mit Spam zugemüllt (mehr als üblich, meine ich).
Bei Proxmox hatte ich immer das Gefühl, den Host nicht anfassen zu dürfen, Proxmox übernimmt den Rechner und alles hat bitteschön dann über das Proxmoxinterface zu laufen. Es ist nicht wirklich so, ich weiß, das System dahinter ist ein normales Debian, aber ein wenig gibt einem Proxmox das Gefühl, das es nicht mag, wenn du hinter seinem Rücken irgendwas auf dem Host fummelst.
Incus dagegen verhält sich wie ein Paket im Debian (es soll ja bei Debian 13 auch direkt in den Paketquellen mit dabei sein) und kontrolliert Container und virtuelle Maschinen da drauf. Der Host gehört wieder mir und nicht dem Hypervisor.
Irgendwie mag ich auch das vorkonfigurierte abgeschottete Netzwerk mit eigenem DHCP und DNS (ich weiß, es ist nur ein dnsmasq, den kann man bei Proxmox auch leicht einrichten), hier kann man wunderbar dutzende Maschinen in Sekunden aufsetzen und miteinander vernetzen.
Das man das Webinterface nicht über User/Passwort erreichen kann (geht das ? Ich habe nicht herausgefunden wie) sondern nur über ein Schlüsselpaar, finde ich gut ... ich hatte immer ein ungutes Gefühl, in Proxmox mit root und Passwort arbeiten zu müssen.
Ich habe lange nach einer Möglichkeit gesucht, das loszuwerden, aber nach meinen Recherchen ging das nur mit Einschränkungen und Proxmox ohne root ging gar nicht gut.
Bei incus gebe ich einem User die Gruppen incus und incus-admin und schon kann ich mit dem so arbeiten wie mit root.
Das Webinterface von Incus dagegen finde ich so naja, es ist halt da für Leute, die es brauchen .... ich wurde bis jetzt noch nicht warm damit. Proxmox dagegen ist super, da habe ich alles mit dem Webinterface gemacht, das war superbequem und jeder, der die Kommandozeile nicht mag, sollte bei Proxmox bleiben.
Vorne weg, ich liebe Proxmox, genauer gesagt, ich liebte es, es ist wunderbar einzurichten, es gibt eine Tonne Doku im Internet darüber. Egal, was du mit Poxmox machen willst, irgendjemand hat das schon mal gemacht und hat darüber geschrieben.
Ich bin von Docker zu Proxmox, weil ich eben die Freiheit mag, mich zu entscheiden, ob ich Container will oder doch eine VM und das so wunderbar einfach geht.
Ja und vor einiger Zeit habe ich dann von Incus gehört und habe es ausprobiert und was soll ich sagen, es hat mich einfach geflasht.
Ich bin sowieso seit jeher in der Kommandozeile zuhause, Webinterface ist zwar mitunter bequem, aber ich bin meistens mit ein paar Befehlen in der Shell schneller, insbesondere mit Incus. Proxmox bietet das auch, aber irgendwie bin ich damit nie warm geworden und habe immer das Webinterface genutzt.
Erstellen eines neuen Containers x Klicks im Webinterface gegen ein Shellkommando im Incus ... gut, das mag unfair sein, war aber meine Wahrnehmung.
Lustigerweise hatte meine endgültige Entscheidung für Incus einen ganz anderen Grund. Backup! Proxmox bietet eine wundervolle Backupmöglichkeit mit dem Proxmox Backup Server, der ist wirklich gut und funktioniert im Proxmoxuniversum super. Ich hatte vorher (also vor proxmox) eine gut funktionierende Backuplösung mit restic (erst borg, dann restic .... ähnlich Geschichte dort), das führte dann dazu, das ich jetzt 2 Lösungen parallel gefahren habe, PBS für Proxmox und der Rest mit restic. Einige Versuche, das eine oder das andere zu ersetzen und nur noch eine Lösung zu nutzen sind irgenwie gescheitert. So musste ich mich bei der Erstellung neuer Container oder VMs entscheiden, binde ich ich Datenlaufwerke extern an und lasse Restic die Daten sichern oder lasse ich die Daten im Container und sichere im PBS ... am Ende eine unübersichtliche Architektur, ich wollte mich für eins entscheiden. Mit incus habe ich da nicht die Wahl (die haben schlicht sowas wie den PBS nicht), da muss ich mir meine Daten so hinlegen, dass ich sie mit restic sichern kann und das habe ich jetzt getan und das ist (für mich und meine Zwecke) viel einfacher und konsistenter.
Irgendwie bin ich auch begeistert von dem einfachen Herumgeschiebe von Containern im incus, ein incus copy oder incus move ..., das selbst über Rechnergrenzen hinweg auf andere Incusinstanzen, richtig cool ... so einfach habe ich das mit Proxmox nie hinbekommen (vielleicht war ich auch zu blöd dafür). Ausserdem nervte mich die "Nummerierung" der Maschinen im Proxmox, die man nicht einmal frei wählen konnte (warum geht das bei 100 los, warum kann ich keine 1 oder 0 haben ?). Incus läßt mich meine Maschinen so benennen, wie ich will und dann kann ich sie so ansprechen, z.b. meine Nextcloud heißt dann nextcloud und nicht 205 oder so ....
Alles vielleicht Gejammer auf hohem Niveau, aber das alles hier ist privater Spass, ich habe das Gefühl, mit Incus einfach schneller zum Ziel zu kommen, aber ich kann alles, was ich in Proxmox so liebe, auch in Incus umsetzen, deswegen mache ich das jetzt.
mkdir -p /etc/apt/keyrings/
wget https://pkgs.zabbly.com/key.asc -O /etc/apt/keyrings/zabbly.asc
sh -c \'cat \<\< _EOF > /etc/apt/sources.list.d/zabbly-incus-stable.sources
Enabled: yes
Types: deb
URIs: https://pkgs.zabbly.com/incus/stable
Suites: $(. /etc/os-release \&\& echo ${VERSION_CODENAME})
Components: main
Architectures: $(dpkg --print-architecture)
Signed-By: /etc/apt/keyrings/zabbly.asc
_EOF\'
apt-get update
apt-get install -y incus qemu-kvm incus-ui-canonical
Mein neues Lieblingsspielzeug, hat Proxmox abgelöst, erzähle ich später von
apt-get update
apt-get install ca-certificates curl
install -m 0755 -d /etc/apt/keyrings
curl -fsSL https://download.docker.com/linux/debian/gpg -o /etc/apt/keyrings/docker.asc
chmod a+r /etc/apt/keyrings/docker.asc
echo \
"deb [arch=$(dpkg --print-architecture) signed-by=/etc/apt/keyrings/docker.asc] https://download.docker.com/linux/debian \
$(. /etc/os-release && echo "$VERSION_CODENAME") stable" | \
tee /etc/apt/sources.list.d/docker.list > /dev/null
apt-get update
apt-get install docker-ce docker-ce-cli containerd.io docker-buildx-plugin docker-compose-plugin
Brauche ich extrem häufig und immer habe ich es nicht griffbereit, also wieder Google anschmeissen und ein 50tes Mal nachgeschaut ....
Also werde ich in naher Zukunft alles hier sammeln, was ich so täglich nutze, rund um Homeserver, Automation und ähnliches. Vielleicht sind dann einige Sachen, die ich hier schreibe, auch für andere dort draussen interessant ... zur Zeit ist das hier aber nur Selbstzweck
Das ist natürlich nur der Rohbau, sortieren, suchen, filtern geht alles noch nicht, das ist hier lediglich eine Textanzeigeseite, aber ich bin erstaunt, wieviel ich mit so wenig Code erreichen konnte.
Ich habe mir im Vorfeld die professionellen CMS-Systeme angeschaut. Die hatten alle viele tolle, flexible, fantastische und nutzlose Funktionen für meine Zwecke, auch die vorgeblich "schlanken" Systeme.
Dann hsbe ich mir überlegt, ob ich stundenlang damit beschäftigt sein will, ein solches System auf meine Bedürfnisse runterzukonfgurieren, oder aber meine bescheidenen Anforderungen selbst zu realisieren, was in ungefähr die gleiche Zeit dauerte.
Hier bin ich nun und werde erst mal damit arbeiten, mal sehen, wie lange es mitmacht.
Optische Ähnlichkeiten zu einem gewissen anderen berühmten Blog sind teilweise beabsichtigt, andererseits völlig zufällig, weil nunmal HTML im Standard so aussieht.
Ausserdem wünsche ich Fefe gute Besserung, anscheinend hat er üble gesundheitliche Probleme, hoffentlich erholt er sich wieder.