[Sammelthread] Proxmox Stammtisch

[BobbyD]

ob die Windoofs-VMs das auch so schlucken

Sollten, sofern die Treiber installiert sind.

 

[Anarchist]

Shell im WebUI anwählen (KEIN extra Fenster) -> irgendein Programm ausführen ("exit" reicht) -> Tab wechseln -> Browser schließen mit dem großen X oben rechts.
Erwartet: Browser schließt einfach.
Realität: Browser springt auf den Tab mit der Shell und fragt, ob man das wahrlich will.

jo damit hab ichs genauso, Meldung kommt

 

[BobbyD]

Wenn ich statt xterm.js html5(noVNC) benutze, gibt es das Problem nicht, allerdings sieht diese Lösung nicht gut aus bei mir. Vermutlich hat proxmox irgendwann mal xterm.js verändert?

 

[Anarchist]

benutzt man das überhaupt so oft? also außer für Windows Kisten nutze ich die interne Konsole gar nicht, nur für die Installation.
und es geht ja auch alles einwandfrei

 

[BobbyD]

also außer für Windows Kisten

? Ich nutze das um PVE zu updaten/upgraden und auch sonst für die ganzen Linux-Gäste. "Extern" verbinde ich mich eher selten. Mit Windows hat das bei mir nix zu tun.

 

[Tundor]

Ich finde das total umständlich über den Browser. Hab inzwischen überall meinen SSH Key hinterlegt (passwort auth deaktiviert) und dann verbinde ich mich über das Terminal vom Desktop.

*edit*
Hab aber keine Windows VMs.

 

[Anarchist]

ja alles SSH, auch für die PVE Server

 

[BobbyD]

Bin ja nur Laie und nutze für die LXC nur Root ohne Passwort, kann also direkt loslegen und muss mich nicht einloggen. Ich nutze also fast ausschließlich das Web-UI.

 

[Tundor]

Muss ich auch nicht. SSH Private Key hat keine Passphrase weil der im Bitwarden liegt. Und da nutze ich den SSH Agent, d.h. jeder request für nen Key wird automatisch an Bitwarden geleitet, da muss ich nur kurz bestätigen. Finde das auf jeden Fall deutlich bequemer als mich im Browser durch den Stack zu klicken.

 

[BobbyD]

@Tundor Ok, aber wie behältst Du die Übersicht, zu welchem Server Du dich wie verbinden kannst. Ich nutze teilweise auch den OpenSSH-Client unter Windows, die Übersicht gibt mir zuvor WinSCP, wo die relevanten Hosts gelistet sind. Ein Button öffnet dann die SSH-Verbindung.
SSH-Key liegt bei mir in KeePassXC, welches ich wiederum mit einem Yubikey(-Imitat) öffne, auch sehr bequem. Aber ohne WinSCP würde mir die Übersicht fehlen.

 

[Tundor]

Es gibt doch auch unter Windows Tools ähnliche wie WinSCP wo du alle Hosts speichern kannst (Putty z.B.) ?
Ansonsten ich bin meistens auf meinem Linux Desktop (oder Mac OS aufm Notebook) unterwegs und da hab ich mir einfach Aliase angelegt die ich mir leicht merken kann. z.B. "pve" "pbs", "sense" usw..
Dann muss ich das nur fix ins lokale Terminal eingeben und ab gehts.

Die benötigte Lösung hängt hier vermutlich auch davon ab wie viele Sever man hat, bei mir sind es nur 6 Stück da kann ich mir das leicht merken. Wenn es bei dir 50 Stück sind dann ist das vlt. nicht die beste Option.

Ich glaube es reicht sogar, einfach nur alle Hosts in ~/.ssh/config einzutragen, dann macht er ja autocomplete sobald man ssh <hostname> eingibt. Dann könnte man z.B. noch ein Script bauen und als Alias hinterlegen das schnell die Hosts Datei übersichtlich ausgibt falls man mal alle sehen muss weil man nicht auf den Namen kommt. Wäre bei mir vlt. sogar die elegantere Lösung gewesen aber darauf bin ich erst jetzt gekommen

 

[BobbyD]

Ich glaube es reicht sogar, einfach nur alle Hosts in ~/.ssh/config einzutragen

Joar, mag da nicht rumfummeln, wäre aber eine Option. Da bei mir jeder Service ein eigener LXC ist (nutze kaum Docker), mit eigener IP-Adresse etc., ist es mir den Aufwand bis jetzt nicht wert. Wäre aber vermutlich deutlich sicherer als meine jetzige Lösung.

 

[Tundor]

Ich hab für alle Hosts nen entsprechenden DNS Override auf der Sense gemacht, damit ich nen sprechenden Namen nutzen kann, IP Adressen könnte ich mir auch nicht merken.

Joar, mag da nicht rumfummeln,

Ganz ehrlich, wenn ich das jetzt nochmal machen würde, dann würde ich mir die Datei schnell von Claude oder ähnliches machen lassen. Schnell nen Strukturierten Input mit ner Liste von IPs / Hosts / Domain / Name usw.. zusammenstellen und ihm sagen er soll entsprechend die Einträge für die .shh/config vorbereiten (oder Alternativ die Aliase). Kann man natürlich selber machen, aber das ist halt ne reine Fleißarbeit, daher sehe ich da keinen Mehrwert wenn ich das selber mache.

 

[besterino]

Pffff… Ihr n00bs, ich kenne die IP-Adressen aller meiner wesentlichen Geräte auswendig, von der kompletten Infrastruktur (Switches, APs, Router, Firewall etc.) über IPMI zu den Hosts bis runter in die VMs - verteilt auf inzwischen 7 Subnetze. Selbst im IoT-Subnetz weiss ich die IPs der wesentlichen Geräte oder zumindest die IP-Range gewisser Geräteklassen. Das dürften immerhin so 25-30 IPs sein.

Natürlich ist das einfach nur auf mein phänomenales Superhirn zurückzuführen und hat absolut gar nichts damit zu tun, dass sich das über Jahrzehnten entwickelt und die Logik dahinter nie geändert hat und vor allem ÜBERHAUPT GAR NICHTS damit, dass ich zu blöde war, es mir einfacher zu machen und gleichzeitig total oft irgendwas neu mache, verfummele oder sonst ändere, weshalb ich überproportional auf die Dreckskisten zugreifen muss und ich gar nichts zum Vergessen von irgendeiner IP komme (wobei vergessen natürlich prima funktioniert, wenn um die Details einer Konfig geht, die älter als ca. 90 Minuten ist).

 

[Prankst3r]

Joar, mag da nicht rumfummeln, wäre aber eine Option. Da bei mir jeder Service ein eigener LXC ist (nutze kaum Docker), mit eigener IP-Adresse etc., ist es mir den Aufwand bis jetzt nicht wert. Wäre aber vermutlich deutlich sicherer als meine jetzige Lösung.

Ganz ehrlich, wenn man mit Linux und SSH arbeitet, dann lohnt es sich extremst eine ssh user config Datei anzulegen. u.A. kann man sich dann super easy per Terminal verbinden (ssh host) oder im Filebrowser sftp://host nutzen. Keys entweder lokal oder in Bitwarden per ssh-agent. Zudem kann man da noch ein paar Spielereien nutzen ala:

Spoiler: config

### ssh config kiwi-client
Host *
ServerAliveInterval 60
ServerAliveCountMax 3
## sh3
# sh3.kiwi
Host sh3
HostName sh3.kiwi
User user
IdentityFile ~/.ssh/.sshsynched/xxx/local/sh3/sh3
Port 2222
ForwardAgent yes
# sh3.kiwi-preboot
Host sh3-preboot
HostName sh3.kiwi
User root
IdentityFile ~/.ssh/.sshsynched/xxx/local/sh3/sh3
Port 2223
# Tunnel to sh3.kiwi service - Portainer (9443)
Host sh3.kiwi-portainer
HostName sh3.kiwi
User user
Port 2222
IdentityFile ~/.ssh/.sshsynched/xxx/local/sh3/sh3
LocalForward 9443 127.0.0.1:9443
# downloads@m1
Host m1-downloads
HostName m1.kiwi
User user
Port 2224
CheckHostIP no
StrictHostKeyChecking no
UserKnownHostsFile=/dev/null
# restart vpn client
Host kiwi-master0-restart-vpn
HostName IP
User user
Port 2222
# IdentityFile ~/.ssh/.sshsynched/xxx/remote/xxx/kiwi-master/kiwi-master0
RemoteCommand docker restart kmvpn-client && exit
RequestTTY force
# Tunnel to kiwi-master0 WireGuard UI
Host kiwi-master0-wg-easy-ui
HostName IP
User user
Port 2222
IdentityFile ~/.ssh/.sshsynched/xxx/remote/xxx/kiwi-master/kiwi-master0
LocalForward 51821 127.0.0.1:51821

Meine config Datei ist symlinked zum .sshsynced Ordner, welcher wiederum per Nextcloud auf alle meine Desktop Systeme gesynced wird. Somit habe ich überall das gleiche Setup (ich synce auch noch viel mehr configs und Programmdateien damit; fahre ich den Rechner hier runter, dann kann ich an nem anderen Rechner fast direkt so weiter arbeiten wie am PC vorher ). Mit nem selfcodeed Script select-server kann ich dann meine Server per Terminal ganz einfach aufrufen (sitzt in ~/local/bin).

Spoiler: select-server

#!/bin/bash

set -f
select server in $(sed -n "s/^Host \(.*\)/\1/p" ~/.ssh/config | grep -v '[*?]') ; do [[ $server ]] && ssh $server ; break ; done

Weiterer Tipp wäre z.B. eine lokale nginx Instanz mit lokalen DNS Entries über Pihole und dann kann man z.B. cloud.sh3.kiwi nutzen mit https oder pihole.m1.kiwi für mein pihole oder transmission.m1.kiwi fürs Torrent WebUI.

Genauso kann man z.B. die authorized_keys Datei nutzen um bestimmten SSH Keys Commands o.Ä. zu geben, z.B. der sh3.kiwi-preboot Eintrag läuft so serverseitig ab. Sobald connected, wird direkt der luks-unlock command aufgerufen und ich kann das Luks PW eingeben, nichts weiteres ist möglich. (ich steige gerade von ssh unlock zu tang-clevis NBDE um, aber ich bastel da noch rum, migriere gleichzeitig von Debian Servern mit Docker zu Fedora CoreOS mit Podman )

Spoiler: Zukunft

Wenn ich mal fertig damit bin, wird mein komplettes Setup auch veröffentlicht (lokale Cloud und co mit VPN Masterserver mit z.B. extra VPN als exit Tunnel, die DNS anfragen sind dann z.B: anonymisiert oder Torrent oder was man grad so braucht, Geoblocking z.B.), damit man immer ne sichere Verbindung nach Hause hat und andere Leute können dann als VPN-Client auch drauf zugreifen oder haben ne eigene Node gehostet die das alles ins lokale Netz tunnelt). Ist alles noch sehr chaotisch, nutze ich aber seit Jahren so haha (never touch a running system). Aber effektiv verlasse ich meine Wohnnung mit Laptop oder Handy und dort bleiben alle DNS Einträge gleich, nur die Ip dahinter ändert sich vom lokalen Subnet zum VPN Subnet und alle Dienste sind wie gewohnt nutzbar, ohne Unterbrechung idr, wg-tunnel für Android ist da z.B. sehr nice oder eine eigene GNOME Extension, die dann passend den VPN anschaltet, wenn man ausm lokalen WLAN rausgeht und das lokale VPN-Gateway (Node mit gw) nicht mehr erreichbar ist).

und @besterino ich kenne auch alle meine v4 IPs :P

edit: @BobbyD ist dein Profilbild nicht der AnyDVD Fuchs? haha lustige Zeiten waren das xD

edit2: es gibt für Windows auch MobaXterm, der beste SSH/SFTP Client den ich kenne, habe ich auch jahrelang mit Wine unter Linux genutzt. Für Windows richtig gut.

 

[asm@s24]

Pffff… Ihr n00bs, ich kenne die IP-Adressen aller meiner wesentlichen Geräte auswendig

Aber nur v4. 🤪

 

[besterino]

Fair point.

V6 ist ja auch neumodisches Teufelszeug! Außer bei Motoren vielleicht…