Wieso sieht man am Handymarkt hauptsächlich nur die „Bigplayer“?

Was mir immer wieder auffällt ist, dass es am Markt von namhaften Herstellern nur so wimmelt. Obwohl es aber eine recht Breite Palette an Herstellern gibt, dominieren Samsung und Apple den Markt.

Will man vorne dabei sein (was ich für absoluten Unfug halte, denn ich persönlich benötige mein Smartphone rein für die Kommunikation) blättert man locker bis zu EUR 700,- für ein freies (nicht simlocked, ungebrandetes) Smartphone hin. Rufe ich mir nun in Erinnerung, wieviel die verbauten Komponenten grundsätzlich kosten, dreht sich mir der Magen um. Ist denn auf diesen Geräten eine derart hohe Gewinnspanne?

Immer wieder stellt sich mir die Frage: Wer braucht ein derartiges (Hardware-) Monster? Brauch ich denn die Killer-CPU, derart viel RAM, etc? Das Argument, dass ich am Smartphone spielen „muss“, lasse ich nicht gelten. Dafür gibts Konsolen 😉

 

Mein Knackpunkt – der Akku

Für wirklich wichtig halte ich die Akkuleistung. Und genau hier schwächeln die Platzhirsche – und das gehörig!

Die Kapazitäten bewegen sich zwischen 2550mAh (S6) und 3600mAh (S7 Edge) bzw. um die 1800mAh beim Iphone in Version 6. Durch die verbaute starke Hardware wird der Akku noch schneller leergesaugt.

Anstatt also hier etwas Innovatives zu bringen und die Akkuleistung zu verbessern, werden die Geräte lieber mit aktueller Hardware vollgestopft.

…es läuft alles ruckelfrei… beim Benchmark bin ich gaaaaaaanz vorne

und ohne Steckdose in Reichweite darf ich dann Rauchzeichen geben… 😉

…und gleich nochmal Akku

Hier möchte ich alle Hersteller ansprechen. Bitte verbaut doch wieder Akkus, die man tauschen kann. (Allein schon vom Umweltgedanken her!)

Alternative

Sucht man nun also nach Smartphones, die eine gute Akkuleistung aufweisen, sollte man zum Beispiel auf jeden Fall auch in Richtung Motorola oder Asus schielen.

Moto X Play

Motorola bietet das etwas höherpreisige Motorola MotoX Play, mit qualitativ sehr guter Kamera, einem tollen Display und einem wirklich starken Akku an (3630mAh).

Asus Zenfone 5 bzw. Zenfone MAX

Auch Asus lässt sich nicht lumpen. Ich hatte einige Zeit lang ein Asus Zenfone 5 im Einsatz, mit dem ich grundsätzlich sehr zufrieden war, es jedoch aufgrund der schwachen Akkuleistung weiterverkauft habe.

Grundsätzlich von Asus recht angetan, habe ich nun meine eierlegende Wollmilchsau gefunden. Das Asus Zenfone Max mit 5000mAh Akku.

Es macht also durchaus Sinn, auch mal abseits des „Mainstream“ zu suchen…

 

 

Owncloud bleibt nach Upgrade im Wartungsmodus

Immer wiedermal passiert es, dass meine Owncloud nach einem Upgrade (per apt-get) im Wartungsmodus hängen bleibt. Um diesem Umstand entgegen zu wirken, muss man in der config.php, welche sich in der Regel (Debian) unter:

  • /var/www/owncloud/config/config.php

befindet den Wartungsmodus abschalten.

Mit einem Texteditor eurer Wahl editiert ihr also die config.php folgendermaßen:

  • ‚maintenance‘ => true,

ändern in:

  • ‚maintenance‘ => false,

Um sicherzugehen, dass das Upgrade fehlerfrei gelaufen ist, kann man folgende Befehl in der Kommandozeile absetzen, sofern der Wartungsmodus bereits inaktiv geschaltet ist:

  •  sudo -u www-data /var/www/owncloud/occ upgrade

mit einem:

  •  sudo -u www-data /var/www/owncloud/occ status

 

lässt sich der Versionsstatus abrufen. In meinem Fall sieht das dann so aus:

  • – installed: true
  • – version: 9.0.0.19
  • – versionstring: 9.0.0
  • – edition:

VMWARE ESXI auf einem dedicated Server mit IPFire – LAN DMZ und WAN mit Zusatz-IPs

Generell würde ich sagen, gehöre ich speziell bezogen auf das IT Umfeld zu einem Menschen, der so gut wie niemals aufgibt. Gut – stimmt nicht – bei Vista und Windows ME habe ich hier eine Ausnahme gemacht ;-).

Geht nicht, gibts nicht…!

Aufgabenstellung:

  • Dedicated Rootserver
  • VMWARE ESXI Version 6.0
  • kompatible NIC (Intel)
  • Servermanagement per Remote (ILO)
  • Einsatz einer Router-VM, um die VMs entsprechend zu schützen und um WAN, LAN und DMZ realisieren zu können.
  • zusätzliche offizielle IP Adressen, um mehrere Server in der DMZ mit IP / FQDN ansprechen zu können.
  • VMs müssen auch ins Internet „raus“ kommen
  • Installation des ESXI sollte auf dem dedicated Server möglichst ohne „Krampf“ durchführbar sein.

Dedicated Rootserver

Ich habe einige bekanntere Rootserver Anbieter getestet. Darunter Hetzner, Server4you und Webtropia.

Server4you

Server4you brüstet sich NICHT damit, ESXI-kompatibel zu sein, bietet aber grundsätzlich recht gute Server und  angenehme Kommunikation. Selbst im Falle einer Kündigung des Vertrages lässt sich dies bequem über das Backend erledigen – keine Bürokratie!

Ein Grund für mich, einen Versuch zu starten…

Wenn ein Rescue-System auf S4Y läuft, könnte man lt. Auskunft (ohne Gewähr) über eine Drittanbieterseite (installserveros) einen Installationsversuch anstossen.

Versucht, gewartet und gescheitert.

Abgesehen davon: Niemand kennt diese Plattform, welches Image würde hier wohl installiert, man muss die Daten des Rescuesystems eingeben, damit die Site Zugriff auf den Server bekommt. Ja und was macht das Script dann? Ich weiß es nicht, …

Die Site funktioniert nicht und ist obendrein eventuell unsicher.

Fazit: Server4you für ESXI – no go!

 

Hetzner

Qualitativ hochwertige Server, sehr professioneller Auftritt. Bereitstellung der Geräte geht normalerweise rasch von der Hand. Mehrmals jedoch scheitere ich an der Verwendung der LARA. Dies ist eine Konsole, mit deren Hilfe man quasi direkten Zugriff auf den Server hat.

Immerwieder reagiert LARA nicht auf Tastatureingaben. Ich muss den Support mehrfach bemühen. (In Summe vergehen hiermit Stunden!).

Nebenbei erwähnt – LARA ist zeitlich limitiert und kostet nach Ablauf des  Gratispensums pro Stunde…

Mit dem Hetznerserver EX40 konnte ich es in weiterer Folge nicht schaffen, eine stabile Verbindung -> EXTERNE Zusatz-IP -> Router-VM -> DMZ -> Owncloud @ Debian zustande zu bringen, obwohl das Routing seitens Hetzner und auch die Konfiguration der Routing-VM stimmig war.

Getestete Routing-VMs: pfSense (mehrfach neu installiert), IP-Cop, ipFire.

Nicht ganz klar war mir, ob die Problematik vielleicht an der verbauten Realtek NIC lag.

Da Hetzner grundsätzlich wirklich gute Geräte anbietet, wollte ich noch einen weiteren Versuch mit einem PX60 (mit Intel-NIC) starten, gab dann aber schließlich auf, nachdem mich die LARA wieder zur Weißglut brachte.

Das Verhalten liegt lt. Hetzner daran, dass es Probleme mit der Einbindung des virtuellen Datenträgers gibt. O-Ton: „Kann funktionieren, aber muss nicht…“

Alternative: Man bittet den Support darum, das ISO File auf USB zu kopieren — Kostenpunkt allerdings EUR 25.00

 

Webtropia

Weiterer Anlauf, anderer Hoster. Wie im vorhergehenden Beitrag erwähnt, bietet meiner Meinung nach auch Webtropia recht gute Hardware. Vor allem Intel NICs (I350). Beim Server, der grundsätzlich als kompatibel zu ESXI 5.5 und 6.0 beschrieben ist, ist ein integriertes Management mit dabei, welches über separate IP und Webinterface (JAVA) ansprechbar ist.

Der Clou dabei: Es funktionierte bislang immer, ohne Ausnahme.

Webtropia bietet einen schönen Installer für diverse OS – und auch ESXI 5.5 und 6.0, der entweder per Backend angestoßen werden kann, oder per Bootmenu! — sehr schön, wie ich finde!

Somit sind die Kriterien:

 

  • Dedicated Rootserver
  • VMWARE ESXI Version 5.5 / 6.0
  • kompatible NIC (Intel)
  • Servermanagement per Remote (z.b. ILO)
  • Installation des ESXI sollte auf dem dedicated Server möglichst ohne „Krampf“ durchführbar sein.

erfüllt.

Konfiguration ESXI

Ich will mehrere Server in der DMZ (mehrere öffentliche IPs, die in die DMZ geroutet werden)

Genau genommen, habe ich mittlerweile aufgrund von Vererbung schon recht wenig Haare am Kopf. Nun, nach der ganzen Aktion habe ich definitiv noch weniger ;-). Nicht, dass es irgendein Problem seitens dem Anbieter (Webtropia) gab… Vielleicht hatte ich einfach einen Knoten im Hirn…

 

Switches und Netzwerk im ESXI

Das Managementnetzwerk ist auf die Haupt-IP gebunden und kann über diese IP über den Browser aufgerufen werden. Zu beachten ist hierbei, dass in der Grundkonfiguration JEDER aus dem Internet zumindest bis zum Login kommt.

Schnelle Abhilfe wäre, per Sicherheitsprofil den Zugriff per vSphereclient + sofern aktiv SSH-Server einzuschränken:

sicherheitsprofilesxi

Später sollte man das Managementnetz auf einen „internen Switch“ — (LAN) verlegen und ein VPN aufbauen, um darauf zuzugreifen.

Switches

Wir haben in der Grundkonfiguration 1x vSwitch0 (Managementnetzwerk). vSwitch0 ist an die physische NIC angebunden. Einen weiteren Switch für das LAN + einen Switch für die DMZ. LAN und DMZ-Switches sind sog. isolierte Switches. D.h. sie sind an keine Netzwerkkarte angebunden.

Das sieht dann so aus:

switchesipfire

 

To do, im Webtropia Backend

Über das Backend bei Webtropia bestellen wir uns zusätzliche IP Adressen. (ich hab mir 2 bestellt).

Wichtig: Bei den IPs kann man den Modus im Webtropia-Backend einstellen. Dieser Modus MUSS auf Virtualisierungs-IP stehen!

Noch viel Wichtiger: Man muss dem Support per Ticket mitteilen, dass alle weiteren bestellten Zusatz-IPs bitte auf die IP zu routen sind, die man auf dem WAN (red0) Port des IPfire vergeben hat. Also eine Zusatz-IP ist IPFire und jede weitere muss man auf die IP-Fire-IP routen lassen! Danke Herr Stevens! (Webtropia Support)

Lets fire it up – IPFire Installation

Wir erstellen uns im ESXI eine neue VM für die Installation von IPFire. Hierbei wählen wir „anderes Linux 2.6.x Linuxsystem – 64 Bit“ und folgende Konfiguration:

ipfireesxi

Wie man sieht 3x NICs / 3 Zonen…

Wichtig: Notiert euch die MAC-Adressen der NICs, welche man – während die VM läuft – über die Eigenschaften aufrufen kann. Dies braucht ihr nämlich, um -während des Setup von ipFire- die Interfaces korrekt zuzuordnen!

Netzwerkkonfig (Zonen)

In IPFire wählen wir während des Setup (welches man nach erfolgter Installation immer wieder mit dem Befehl „setup“ in der IPFire Konsole aufrufen kann die Netzwerkkonfiguration: GREEN (LAN) + RED (WAN) + ORANGE (DMZ).

NIC – Zuordnung

Hier werden die MAC Adressen schlagend. Darauf achten, dass die NICs den entsprechenden Zonen zugeordnet sind, sonst läuft nachher nichts!

nics_ipfire

IP –  Adressenzuordnung

WAN: Eine der georderten Zusatzadressen inkl. Gateway lt. Vorgabe des Hosters.
DMZ: Beliebiger interner IP Bereich. Ich hab hier 10.0.0.0/24 genommen. Gateway = Ipfire = 10.0.0.1
LAN: Ebenso beliebig. Meine Range: 192.169.1.0/24. Gateway = Ipfire = 192.168.1.1.

Hier könnte man dann noch in IP-Fire einen DHCP Server aktivieren, dann wirds ganz bequem. 🙂

DNS: Unbedingt angeben. Dies kann der vom Hoster bereitgestellte DNS sein, oder zb. auch der von Google. (Wenn man das mag…).

Standardgateway: Der Standardgateway zeigt auf den Gateway, der der Haupt-IP zugeordnet ist. (Die Zusatzip hat keinen expliziten Gateway!)

Der Gateway ist aber in einem andren Subnet

In IPFire muss man den Gateway an das red0 (WAN) Port binden und dann eine entsprechende Route setzen. Dies gelingt ausschließlich über die Konsole.

Um die Einstellungen persistent zu machen (Einstellungen überleben auch einen Neustart) ist mittels IPFire Konsole die Datei

/etc/sysconfig/rc.local

zu editieren und folgende Zeilen einzufügen:

route add -host  <Gateway> dev red0
route add default gw <Gateway>

Anmerkung: red0 = WAN-Port.

Nach einem Neustart des IPFire sollte diese Geschichte gegessen sein. Auch wenn er während des Bootvorganges meckert. Es funktioniert.

Versucht bitte nach erfolgtem Neustart eine IP zu pingen. Zb. den Standardgateway, der der Haupt-IP zugeordnet ist. Oder auch den Google-DNS – 8.8.8.8 (was hab ich nur mit Google?)

Der Routingtable des ipFire sieht bei mir dann so aus:

routing_fire

So, jetzt wo IPFire on fire ist, wirds Zeit für den Zugriff auf die GUI.

IP-Fire GUI Einstellungen – Firewallregeln

IP-Fire ist vom LAN aus von der entsprechend zugeordneten IP auf Port 444 über https zu erreichen.

Ich installiere mir in ESXI also eine VM (Linux Mint in meinem Falle), welche ich auf den LAN-VSwitch hänge. Ist ein DHCP Server konfiguriert, sollte Mint sich von selbst die korrekte IP Adresse holen. ACHTUNG: Es ist wichtig, dass auch der DNS stimmt, sonst liegt man bei Versuch eines WWW-Wellenrittes auf dem trockenen!

Kein DHCP: OK, dann bitte die LAN-IP + Gateway + DNS manuell zuordnen!

Ein Webserver in der DMZ

Weiters installiere ich ein Debian  „LAMP“ in ESXI und ordne es Netzwerkseitig der DMZ zu. Die IP von Debian ist 10.0.0.3 (Anm: Gateway = DMZ-Port von IPFire: 10.0.0.1)

So nun notiere ich mir die zweite Zusatz-IP die ich vom Hoster bekommen habe. Diese lautet in meinem Falle: 89.163.249.243

 

Zurück zur IPFire Gui

In der VM „Linuxmint“ rufe ich per Browser: https://192.168.1.1:444 auf (klick for bigger-Image):

ipfireonfire

Über Netzwerk –> Aliase lege ich dann einen Alias mit meiner Zusatz-IP an:

firealiasund gehe dann auf Firewall -> Firewallregeln -> Neue Regel:

rulesexternal

Weiter unten darauf achten, dass die Regel aktiv ist. (Haken gesetzt).

Der Firewall-Rulesbereich sieht dann so aus. (Anmerkung: ich habe hier noch weitere Rules, die Anfragen „abfangen“ und umleiten die direkt auf die IP von IPFire kommen. Bitte nicht beachten. Unsere Regel ist in Zeile 3 zu sehen:

rules_for_fire

 

Wenn man nun von einem beliebigen PC aus, die dem Webserver zugeordnete offizielle IP – in dem Fall also 89.163.249.243 – aufruft sollte sich Folgendes tun (klick for bigger view):

debian_fire

Tja, das wars dann mal soweit… Die Finger glühen, der Kopf raucht 🙂

Have fun!

Dankeschön + weiterführende Infos

PS: Danke an den Support von Hetzner, Server4you und Webtropia. So muss das laufen. TOP! Sehr bemüht, freundlich und schnell!

Nachsatz: Ein weiterführender Beitrag eines Bloggingkollegen bezogen auf Hetzner (nice!): https://virtpro.eu/vmware-esxi-hetzner-ex4-vorbereitung/

Opensource rules!

Danke an alle Entwickler und Unterstützer! You are awesome!

IPFire: http://www.ipfire.org/
PfSense: https://www.pfsense.org/
IPCop: http://www.ipcop.org/

Nicht vergessen möchte ich in diesem Zusammenhang auch VMWARE – (ESXI) für die unglaublich gute Virtualisierungsplattform!

VMWARE ESXI auf Webtropia

Update: 12.11.2015 — So funktionierts dann doch mit dem Portforwarding und Zusatz-IPs… falls man nicht an untenstehender Story interessiert ist 🙂

 

Bei Webtropia wird VMWARE Esxi erst ab dem „PowerServer“ zur Verfügung gestellt. Das Schöne daran ist, dass man zwischen der automatischen Installation von ESXI 5.5 und ESXI 6.0 wählen kann. (Nein, man muss kein ISO Image uploaden!)

Als NIC kommen INTEL I350 zum Einsatz. Neben den Intelnetzwerkkarten verrichtet eine Intel Xeon CPU D-1540 @ 2.00 GHZ ihren Dienst und wird dabei von 1TB SSD Festplatten (SATA) unterstützt.

Ein schönes Feature des Powerserver ist, dass ILO (Remote-Management über separate IP) möglich ist. Geht per VMWARE nichts mehr, kann man sich immer noch direkt auf den Server hängen und die Sachlage prüfen.

Netzwerkkonfiguration

Ich gehe hier jetzt gar nicht genauer auf die Installation von virtuellen Maschinen ein, sondern eher auf die Netzwerkeinstellungen.

Grundsätzlich bin ich bislang mit meinem Vorhaben pfSense als Firewall-Router einzusetzen gescheitert. (Dies wiederum liegt nicht unbedingt an Webtropia, vermutlich mache ich einfach irgendwo einen Fehler und komme nicht dahinter).

Die Idee, die ich primär hatte war (ähnlich wie bei meinem Hetzner-Artikel) zumindest eine WAN Schnittstelle und eine DMZ per IPSense zur Verfügung zu stellen und externe Anfragen von aussen (WAN) nach innen (DMZ) gefiltert weiterzuleiten.

Probleme…

Ab Bestellung bekommt man 2 IP Adressen. Eine IP Adresse wird für das ESXI Management „verbraten“, die andre liegt am ILO an.

Die IP, die für den ESXI Host verwendet wird, hat einen entsprechend zugehörigen Gateway im gleichen Subnet.

zusätzliche IP Adressen

Bestellt man sich nun zusätzliche IP Adressen, bekommt man selbige zwar sehr zackig zugeteilt, jedoch befinden sie sich in einem ganz andren Subnet wie die Haupt-IP. Ungeachtet dessen, haben Sie aber den gleichen Gateway wie die Haupt-IP. Der Gateway liegt aber in einem andren Subnetz wie die zusätzliche IP.

Modus der zusätzlichen IP Adressen

Im Kundenbackend von Webtropia hat man bei den zusätzlichen IPs 2 Varianten, wie mit diesen umgegangen werden soll:

1.) Server IP, hier wird geroutet

2.) Virtualisierungs-IP, hier wird gebridged

 

Server-IP Konfiguration

Die Adresse wird als Alias angelegt:

auto eth0:1
iface eth0:1 inet static
address aaa.bbb.ccc.ddd
netmask 255.255.255.255

Virtualisierungs-IP

Die Adresse wird in einem point-to-point Setup angelegt:

auto eth0
iface eth0 inet static
address 10.0.2.100
netmask 255.255.255.255
pointopoint 10.0.1.1
gateway 10.0.1.1

Woran ich mir bislang die Zähne ausbeisse…

Genau hier scheitere ich mit der Konfiguration von pfSense. Ich hätte ja den ESXI auf die Hauptadresse des Server gelegt, denn ich gehe davon aus, dass im routed Modus meine Zusatz-IPs über die Server-IP geroutet werden.

Somit könnte ich eingehende Anfragen je nach IP auf virtuelle Server in der VM / DMZ leiten.

ABER: Sobald ich dem ESXI-Host seine IP wegnehme, ist dieser nicht mehr erreichbar.

Wenn ich ihm eine Zusatz IP gebe, kann ich den ESXI host ebenso nicht mehr erreichen, da hier eine entsprechende Netzwerkkonfiguration (siehe am Beispiel Debian point-to-point) notwendig ist, die ich am ESXI Host direkt nicht umsetzen kann.

 

Update 12.11.2015

  • Router-VM: IPFire (basierend auf „Linux“).
  • Einstellungen im Kundencenter von Webtropia bezogen auf die IP-Adressen: Virtualisierung
  • Verwenden einer zusätzlich bestellten IP (nicht der Haupt-IP auf dem WAN-Interface der Router-VM).
  • Auch wenn der Gateway in einem andren Netzwerk liegt, kann man ihn auf die WAN NIC binden (WAN-NIC = red0) und dann die Standardroute auf das Gateway setzen.

Im Terminal von IPfire:

route add -host <Gateway-IP> dev red0
route add default gw <Gateway-IP>

Diese Konfiguration wird jedoch nicht gespeichert und sollte u.U. per Skript / Konfiguration (bei Systemstart) hinterlegt werden. Wird IPFire eingesetzt, sind diese 2 Zeilen in die Datei /etc/sysconfig/rc.local einzufügen.

Ein Interessanter Beitrag zum Thema „Gateway befindet sich in anderem Subnet“: http://blog.magiksys.net/pfsense-firewall-default-gateway-different-subnet

 

Was kann man nun mit dieser Konfiguration erreichen

 

  • IP-Fire lauscht auf einer der zusätzlichen IPs.
  • Portforwarding von extern in die DMZ ist ohne weiteres möglich.

 

Fazit zu Webtropia

Generell muss ich bislang festhalten, dass der Server recht schnell zur Verfügung gestanden ist. Bislang habe ich keinerlei Probleme.

Der Support antwortet recht zügig und gibt sich Mühe, um Probleme zu lösen.

1 2 3 61