Het grote Proxmox VE topic

Cyphax schreef op dinsdag 18 april 2023 @ 08:26:
[...]

Wat hebben die nucs voor voordelen boven de microservers? Mijn Proxmox-host is toevallig ook zo'n gen8 met een quad core en 16GB geheugen, en hoewel ie nog voldoet zijn er wel harde grenzen aan, dus ben ik voortdurend nieuwsgierig naar wat alternatieven (en onvermijdelijk een opvolger voor de microserver) aan voordelen bieden.

powerboat schreef op dinsdag 18 april 2023 @ 09:14:
Ik denk ILO op de gen8, gen10 heeft dit niet meer (standaard).

nero355 schreef op dinsdag 18 april 2023 @ 13:51:
[...]

Hij vroeg naar voordelen van de NUC niet naar nadelen van een nieuwere generatie!

Erg slecht van HPE trouwens!
De reden om Server grade spullen te kopen is onder andere juist de aanwezigheid van iets als iLO/iDRAC/IPMI voor beheer op afstand!

powerboat schreef op dinsdag 18 april 2023 @ 09:14:
[...]


Ik denk ILO op de gen8, gen10 heeft dit niet meer (standaard).

zeroday schreef op dinsdag 18 april 2023 @ 10:05:
[...]


euh .. nou .. ik heb zojuist 2 HP Gen8's uit mijn cluster gehaald (van 4) en heb gisteren alle VM's en LXC's eerst naar een gedeelde opslag gezet en daarna gemigreerd naar de NUC.

Voordeel voor mij:
minder HDD's, want de HDD's in die Gen8s zijn erg oud (8 jaar of ouder) ..
minder stroom als is dat niet eerder een argument geweest
gebruik van M2 SSD opslag
minder ruimte
Wel heb ik gekeken naar wat voor soort NUC wil ik hebben en dat was minimaal wel een i7 met 32GB
en een M2 erin. Nog op zoek naar 1 of 2
want ik wil eigenlijk mijn PBS ook wel naar een NUC en dan scheelt dat ook al heel veel.

En ik denk dat de i7 ook wel wat sneller is dan wat ik had met die 1265
https://cpu.userbenchmark...-i7-8559U/m20266vsm543591

En de CPU is wat nieuwer .. Het hoeft van mij allemaal niet splinternieuw als het maar werkt

zeroday schreef op maandag 17 april 2023 @ 22:06:
[...]


euh dat is nu het mooie van het hebben van een cluster, je kan hier gewoon rechtermuis doen en dan migrate (op de machine die je wilt migreren).. (moet je natuurlijk wel dezelfde soort storage hebben).

Ik heb vandaag een NUC in mijn cluster gehangen, van het weekend een NFS storage aangemaakt zodat ik de data van de hosts af kan krijgen en ik dan ook wat makkelijker HA kan opzetten.


Zometeen 2 HP gen 8 microservers uit en daarvoor een NUC in de plaats. Daarna nog een NUC zoeken en dan de laatste HP microserver ook uitfaseren ..

Koepert schreef op woensdag 19 april 2023 @ 11:20:
[...]


Ja idealiter wel, maar ik krijg timeouts op migratie-acties (of anything dat ik via webGUI wil doen).. en als ik n scherm aansluit (terwijl systeem aan blijft) krijgt die geen beeld.. niet via VGA, niet via DP.. dus voorlopig i'm stuck.. Dus wellicht dat ik de schijf er maar uit trek en extern probeer te klonen (geen scherm = geen controle over CloneZilla immers..)

[ Voor 6% gewijzigd door Koepert op 20-04-2023 11:47 ]

Koepert schreef op donderdag 20 april 2023 @ 11:46:
OK.. I bit the bullet.. Ik had alles zoveel als mogelijk veilig gesteld en toen een F.I. gedaan.

Dus een Fuck It: reboot dat ding maar.. kijken wat er gebeuren gaat.. en zowaar hij komt weer up!! Het lijkt dat ie zich verslikt heeft in een uptime van.... Immens lang!

Maar heeft iemand ooit een migratie gedaan van een Home Assistant VM met 3 USB aansluitingen? Wat is de "netste" manier van migreren? Ik dacht zelf:

- VM shutdown
- remove USB "hardware"
- migrate VM
- Lang wachten ivm disk van 4mb en 32Gb
- USB aansluiten en passthrough op andere host
- VM up..

Enige is.. Ik wil deze host dus asap voorzien van SSD en dan eigenlijk terugmigreren van Home Assistant..

Dus wellicht ook gewoon bovenstaande stappen uitvoeren maar dan nog ff niet de USBs aansluiten en VM aanzetten?

nero355 schreef op donderdag 20 april 2023 @ 14:55:
[...]

"That is the way!"

Prima aanpak zo!


[...]

Lijkt mij een prima idee


[...]

Wat voor SSD komt erin te zitten ?

- Als het een SATA ding is dan zou het eigenlijk geen probleem mogen zijn om alles meteen te doen.
- Als het een NVMe ding is dan heb je weleens kans dat het moederbord een beetje vreemd gaat doen en met wat adressen gaat zitten schuiven waardoor je Passthrough wordt aangetast, maar misschien ook niet...

Succes alvast in ieder geval!

Limbeckx schreef op maandag 24 april 2023 @ 10:05:
Zaterdag Proxmox geinstalleerd door eerst debian bullseye te installeren en daarboven op proxmox. Nu wil ik een linux bridge aanmaken en probeer ik ipv4/cidr te begrijpen. Mijn eigen router begint op 192.168.1.1. Wat zou ik dan logischerswijs moeten invullen bij ipv4/cidr?

Limbeckx schreef op maandag 24 april 2023 @ 13:55:
Werkt top! En in de gateway heb ik dan 192.168.1.1 gezet. Of moet dat het ip adres van de host zijn?

MakhouT schreef op dinsdag 25 april 2023 @ 09:18:
Kan iemand mij even helpen? Wat is de recommended way to go?
Scenario 1:
VM aanmaken en daarop docker draaien

Scenario 2:
Container aanmaken en de apps direct daarop draaien zonder docker (want docker draaien op een LXC werkt blijkbaar niet)

Apps dat ik zou willen draaien zijn plex, radarr, sonarr, etc

RobertMe schreef op dinsdag 25 april 2023 @ 09:21:
[...]

Scenario 3: Docker in LXC draaien, wat wel werkt en ik al 3 jaar doe

MakhouT schreef op dinsdag 25 april 2023 @ 09:25:
[...]


Ow?
Heb je die draaien als een privileged of unprivileged container?

RobertMe schreef op dinsdag 25 april 2023 @ 09:34:
[...]

Ja

Afgaande op wat ik in de config file zie gaat het IIRC op keyctl aan zetten en nesting aan zetten (beide zijn IIRC vinkjes in de web UI). Waarna het werkt als unprivileged container.

RobertMe schreef op dinsdag 25 april 2023 @ 09:21:
[...]

Scenario 3: Docker in LXC draaien, wat wel werkt en ik al 3 jaar doe

zeroday schreef op dinsdag 25 april 2023 @ 11:08:
[...]


Scenario 4: gewoon geen docker gebruiken en bijv. losse LXC's maken.

Enige wat niet automatisch bij mij kan updaten zonder abonnement volgens mij is Plex maar de rest gaat gewoon automatisch en ik heb er geen omkijken naar.

orvintax schreef op dinsdag 25 april 2023 @ 14:05:
[...]

Ik ga hier ook mee in. Ik blijf dit herhalen, maar Proxmox is gemaakt voor VMs en LXC containers. In sommige usecases loont het om Docker te draaien binnenin een VM. Maar als je toch van plan bent alles in Docker te draaien (geen idee of OP dat ook wilt) dan kun je die extra virtualisatie laag net zo goed overslaan.

Ondanks dat het kan in Proxmox met unprivileged containers, raad Proxmox dit zelf ook af vanuit een security perspectief. Bron

MakhouT schreef op dinsdag 25 april 2023 @ 14:56:
Ook als je meerdere LXC hebt, hoe werkt het dan met de filesysteem? Als LXC 3 een file binnenhaalt en plex draait op LXC 1, hoe geraken ze dan bij elkaar?

Sypher schreef op dinsdag 25 april 2023 @ 15:18:
[...]


Om containers bij elkaars data te laten kan je daarvoor een mount-point aanmaken zodat ze allebei in een map op je host filesysteem kunnen. Daar geef je bijvoorbeeld op dat de map /data van je hostsysteem onder /media beschikbaar is in je containers.

Ze delen dan die map dus als container 1 er iets in zet, kan container 2 dat meteen zien en er iets mee doen.

RobertMe schreef op dinsdag 25 april 2023 @ 15:39:
[...]

Als je zaken hebt die aan elkaar gerelateerd zijn hoort het gewoon in 1 LXC. Een LXC moet je vergelijken met een fysieke server of VM, en je gaat ook niet tich servers optuigen om op 1 server Plex te draaien, op 1 Sonarr, op 1 Radarr, op 1 een torrent client, .... Dan horen die zaken gewoon bij elkaar en knal je ze op 1 server. Waarbij er dus ook geen behoefte is om het bij LXC ineens wel te splitsen.

Bij Docker is het dan wel awesome om alleen s in losse containers te doen (en LXC zijn natuurlijk ook containers, waardoor meer dan eens de vergelijking wordt gemaakt). Maar de filosofie van Docker & LXC staat haaks op elkaar. Docker is gericht op het isoleren van 1 proces / programma zodat je dit kunt draaien zonder je zorgen te maken over dependencies etc en updaten "gestandaardiseerd" is (pull & run nieuw image). LXC is echt een volledig Linux OS met een init systeem / service management, package manager, ..., een VM zonder de echte virtualisatie dus maar puur isolatie.

• Security-wise wel zo fijn om alles gescheiden te hebben dat een exploit in app A niet meteen al je data van B, C, D, E en F ook op straat gooit
• Je kan qua dependencies (Python, Node, PHP etc) per container kiezen wat je nodig hebt zonder kunstgrepen
• Je kan LXC containers individueel herstarten, eventueel verplaatsen naar andere nodes als je een cluster hebt
• Je kan beter de performance in de gaten houden vanuit Proxmox UI
• Het is makkelijker om te mixen-en-matchen qua base images. Waar mogelijk pak ik altijd Alpine, maar soms heb je toch een full-blown libc nodig en kom je dus bij Ubuntu/Debian uit
• Voor sommige apps heb je dependencies nodig die alleen in oudere of nieuwere versies van je OS zitten, dus het is fijner zodat je ze op deze wijze zelf kan scheiden en bepalen wat/hoe je update
• Backups zijn makkelijker (+kleiner) want je maakt een backup van een container en bij herstel vervang je alleen de data voor die service ipv je "mega container" met al je media tools
• Even een app testen kan zonder dat je rommel achter laat.

MakhouT schreef op dinsdag 25 april 2023 @ 14:56:
Ik heb een hele dag in meeting gezeten, dus nog niet kunnen uitproberen. Waarschijnlijk als de kindjes vanavond in bed liggen


[...]


Hmmm LXC 1 draait plex, LXC 2 draait radarr, LXC 3 draait medusa, etc
Is dat de bedoeling? Ik heb die vraag in het verleden gesteld en er werd mij verteld wat ik zou doen als ik de server moest huren, meerdere servers huren voor elke app dat ik wil of 1 server met meerdere apps daarin.

Ook als je meerdere LXC hebt, hoe werkt het dan met de filesysteem? Als LXC 3 een file binnenhaalt en plex draait op LXC 1, hoe geraken ze dan bij elkaar?

[ Voor 12% gewijzigd door zeroday op 25-04-2023 16:18 ]

RobertMe schreef op dinsdag 25 april 2023 @ 16:34:
[...]

Dat is natuurlijk een flauwe vergelijking. Niemand die je verplicht om maar één LXC op te zetten en daar Docker in te draaien met alles dat je draait. Terugkomende op mijn eerdere bericht met gebruik van LXC om te segmenteren naar netwerk/VLAN: ik heb nu ook meerdere LXCs die in hetzelfde netwerk hangen. De LXC die als "prive NAS" dienst doet draait Samba, Syncthing en Paperless, maar er is ook een LXC in hetzelfde VLAN hangt die wat tooltjes draait (zoals bv Mozilla Sync).

MakhouT schreef op dinsdag 25 april 2023 @ 09:18:
Kan iemand mij even helpen? Wat is de recommended way to go?
Scenario 1:
VM aanmaken en daarop docker draaien

Scenario 2:
Container aanmaken en de apps direct daarop draaien zonder docker (want docker draaien op een LXC werkt blijkbaar niet)

Apps dat ik zou willen draaien zijn plex, radarr, sonarr, etc

RobertMe schreef op dinsdag 25 april 2023 @ 09:34:
[...]

Ja

Afgaande op wat ik in de config file zie gaat het IIRC op keyctl aan zetten en nesting aan zetten (beide zijn IIRC vinkjes in de web UI). Waarna het werkt als unprivileged container.

MakhouT schreef op woensdag 26 april 2023 @ 00:56:
Nog er wat mee zitten spelen en nu stoot ik op docker fouten op. Heeft dit met proxmox te maken of is het puur docker issue?

root@Plex:~# docker run hello-world
docker: Error response from daemon: OCI runtime create failed: container_linux.go:367: starting container process caused: process_linux.go:495: container init caused: process_linux.go:458: setting cgroup config for procHooks process caused: can't load program: operation not permitted: unknown.
ERRO[0000] error waiting for container: context canceled

MakhouT schreef op dinsdag 25 april 2023 @ 14:56:
Ik heb een hele dag in meeting gezeten, dus nog niet kunnen uitproberen. Waarschijnlijk als de kindjes vanavond in bed liggen


[...]


Hmmm LXC 1 draait plex, LXC 2 draait radarr, LXC 3 draait medusa, etc
Is dat de bedoeling? Ik heb die vraag in het verleden gesteld en er werd mij verteld wat ik zou doen als ik de server moest huren, meerdere servers huren voor elke app dat ik wil of 1 server met meerdere apps daarin.

Ook als je meerdere LXC hebt, hoe werkt het dan met de filesysteem? Als LXC 3 een file binnenhaalt en plex draait op LXC 1, hoe geraken ze dan bij elkaar?

krijn1985 schreef op woensdag 26 april 2023 @ 08:08:
[...]


Ben er geen expert in maar leest als docker/proxmox combi probleem. Welke LXC heb je gepakt?
Ik heb ook wel eens problemen gehad om docker in LXC te draaien omdat ik de LXC geupdatete had naar bullseye terwijl proxmox nog op buster zat (volgens mij). Is je proxmox installatie ook up to date?

root@pve:~# pveversion
pve-manager/7.3-3/c3928077 (running kernel: 5.15.74-1-pve)


root@Plex:~# hostnamectl
Static hostname: Plex
Icon name: computer-container
Chassis: container
Virtualization: lxc
Operating System: Debian GNU/Linux 11 (bullseye)
Kernel: Linux 5.15.74-1-pve
Architecture: x86-64

[ Voor 3% gewijzigd door MakhouT op 26-04-2023 09:39 ]

dcm360 schreef op woensdag 26 april 2023 @ 09:48:
Mijn gok is dat je de docker-versie uit de standaard sources van Debian gebruikt, en niet die van Docker? Tenminste, dat was het geval toen ik tegen die melding aan liep.

Nadien heb ik een docker-compose command gedraaid

dcm360 schreef op woensdag 26 april 2023 @ 09:48:
Mijn gok is dat je de docker-versie uit de standaard sources van Debian gebruikt, en niet die van Docker? Tenminste, dat was het geval toen ik tegen die melding aan liep.

curl -sSL https://get.docker.com/ | sh

RobertMe schreef op woensdag 26 april 2023 @ 10:03:
[...]

En dat zou dan weer kunnen door:

[...]

Als dat vooraf is gegaan door een apt install kan het zomaar zijn dat die uit de Debian repo is gekomen met dependency op de Debian repo Docker, en die uit de Docker repo dus verwijderd / vervangen is.

MakhouT schreef op woensdag 26 april 2023 @ 10:20:
[...]


Nee denk ik niet, ik heb deze command gebruikt

[...]


[...]


[/quote]

Kan ik die dan nog terug vervangen om het terug goed te krijgen? Of ben ik screwed en moet ik de install van de LXC gewoon terug doen?

MakhouT schreef op woensdag 26 april 2023 @ 10:20:
[...]


Nee denk ik niet, ik heb deze command gebruikt

[...]


[...]


[/quote]

Kan ik die dan nog terug vervangen om het terug goed te krijgen? Of ben ik screwed en moet ik de install van de LXC gewoon terug doen?

[ Voor 11% gewijzigd door dcm360 op 26-04-2023 10:51 ]

krijn1985 schreef op woensdag 26 april 2023 @ 10:45:
[...]


Ik heb even in mijn aantekening gekeken en heb zelf via de repository stappen docker geïnstalleerd: https://docs.docker.com/engine/install/debian/, maar gok dat dit niet heel anders zou moeten zijn dan via het script. Je LXC al even een reboot gegeven?

orvintax schreef op woensdag 26 april 2023 @ 10:47:
[...]

Wat heb je gebruikt om Docker compose te installeren?

1

apt install docker-compose

dcm360 schreef op woensdag 26 april 2023 @ 10:50:
De makkelijkste manier om te achterhalen of je de versie van Docker of de door Debian meegeleverde gebruikt is door 'docker version' uit te voeren. De Engine Version zou dan 23.0.4 moeten zijn (bij de versie van Docker die zou moeten werken).

root@Plex:~# docker version
Client:
Version: 20.10.5+dfsg1
API version: 1.41
Go version: go1.15.15
Git commit: 55c4c88
Built: Mon May 30 18:34:49 2022
OS/Arch: linux/amd64
Context: default
Experimental: true

Server:
Engine:
Version: 20.10.5+dfsg1
API version: 1.41 (minimum version 1.12)
Go version: go1.15.15
Git commit: 363e9a8
Built: Mon May 30 18:34:49 2022
OS/Arch: linux/amd64
Experimental: false
containerd:
Version: 1.4.13~ds1
GitCommit: 1.4.13~ds1-1~deb11u3
runc:
Version: 1.0.0~rc93+ds1
GitCommit: 1.0.0~rc93+ds1-5+deb11u2
docker-init:
Version: 0.19.0
GitCommit:

MakhouT schreef op woensdag 26 april 2023 @ 11:26:
[...]

Yes de LXC had ik al eens gereboot. Heeft niet geholpen. Ik heb ook docker manueel gestopt en terug opgestart, zonder succes.


[...]

Net even in mijn history gekeken en ik heb de volgende commando gebruikt om docker compose te installeren

code:

1	apt install docker-compose

[...]


Die zit bij mij dus niet op 23.0.4

[...]

dcm360 schreef op woensdag 26 april 2023 @ 11:34:
[...]
Als ik het zo lees moet je niet docker-compose maar docker-compose-plugin hebben tegenwoordig.

dcm360 schreef op woensdag 26 april 2023 @ 11:34:
[...]

Ahja, als ik docker-compose wil installeren, dan wordt de Docker-versie van Docker weer verwijderd en de versie van Debian weer geïnstalleerd. Als ik het zo lees moet je niet docker-compose maar docker-compose-plugin hebben tegenwoordig.

MakhouT schreef op woensdag 26 april 2023 @ 11:26:
[...]

Yes de LXC had ik al eens gereboot. Heeft niet geholpen. Ik heb ook docker manueel gestopt en terug opgestart, zonder succes.


[...]

Net even in mijn history gekeken en ik heb de volgende commando gebruikt om docker compose te installeren

code:

1	apt install docker-compose

[...]


Die zit bij mij dus niet op 23.0.4

[...]

[ Voor 9% gewijzigd door MakhouT op 27-04-2023 10:04 ]

MakhouT schreef op donderdag 27 april 2023 @ 10:01:
Ik heb gisteren alles aan de praat gekregen van mijn htpc. Enkel is er lag wanneer ik mijn media op Plex afspeel. Ik heb nochtans meer als genoeg resources toegekend aan mijn LXC, namelijk:

4 cores
8GB RAM
1.5TB storage

Dit draai ik dus op mijn NUC8i7BEH. Mijn LXC draait debian 11 bullseye.

Is er nog een setting van ProxMox dat ik moet nazien? Of moet ik best elders gaan kijken en is dit niet Proxmox gerelateerd?

EDIT: Ik speel alles af in original quality en er moet dus niet getranscode worden.

orvintax schreef op vrijdag 28 april 2023 @ 21:05:
[...]

Als het verbruik van je RAM/CPU niet rond de 100% ligt denk ik niet dat dat het probleem is.

Verder, is dit vanuit binnenshuis (local streaming) of niet? En wat stream je? 4K content? Dat zijn belangrijke details

Het zou me in ieder geval verbazen als dit uiteindelijk aan Proxmox zou liggen.

cat /sys/devices/system/cpu/cpu*/cpufreq/scaling_governor

Ja klopt gewoon binnenshuis, ik heb nog geen poort open gezet op mijn router om vanuit buiten mijn netwerk aan mij setup te komen.

[...]

MakhouT schreef op vrijdag 28 april 2023 @ 23:27:
[...]


Ja klopt gewoon binnenshuis, ik heb nog geen poort open gezet op mijn router om vanuit buiten mijn netwerk aan mij setup te komen.
Ik stream 1080p, bitrate van 30mbps.

Ik heb ook nog naar mijn BIOS settings gekeken en daar staat alles op max
Ook kunnen checken in mijn container met commando

[...]

En die staat gewoon op performance.

Ben wel benieuwd nu, wat het issue juist gaat zijn.

powerboat schreef op zaterdag 29 april 2023 @ 13:24:
[...]


Ik zou nooit een hypervisor rechtstreeks aan het internet hangen. Gebruik bij voorkeur een vpn

orvintax schreef op zaterdag 29 april 2023 @ 14:08:
[...]

Kijk je via WiFi of kabel? En ik zou ook kijken naar je Plex logs. Misschien dat daar iets uit komt.

MakhouT schreef op zaterdag 29 april 2023 @ 20:01:
Of moet ik een eigen VPN in een container draaien en het zelf hosten?
Hier ben ik nog wel totaal verdwaald.

DRaakje schreef op zaterdag 29 april 2023 @ 21:26:
wg easy

nero355 schreef op zaterdag 29 april 2023 @ 21:56:
[...]

Zoiets : https://pivpn.io/
In een LXC of VM en dan combineren met de webGUI van :

[...]

Lijkt me verdomd ideaal!

Een andere makkelijke methode is WebMin installeren en dan de OpenVPN plug-in toevoegen en daarmee alles doen!

offtopic:
Wireguard is een kernel module. Dus je hoeft niet en pivpn te gebruiken en wg easy. Eentje is wel voldoende. Of je gebruikt de ene tool om de kernel stuff te configureren of de ander, niet beide.

En persoonlijk krijg ik sowieso de kriebels elke keer als ik Wireguard + Docker lees. Dat voelt echt zo compleet niet "Docker". Dan heb je dus een network namespace, en dan ga je daarin vervolgens een nieuwe network interface aanmaken (ip link add type wireguard) wat dan weer niet bereikbaar is vanaf de host (want andere network namespace). Brrr. Of dan de Docker container draaien met network_mode: host zodat het uberhaupt niet in een network namespace zit. Maarja, waarom dan nog Docker gebruiken?

Terwijl je met network namespaces zoveel andere coole dingen kunt doen. Heb bij familie een Orange Pi liggen die ZFS snapshots van mijn Proxmox (+ andere ZFS systemen) backupped / send/received. Maar 1. ik wil geen poorten meer open zetten "thuis", laat staan 3x SSH. 2. ik zit met conflicterende subnets (192.168.1.0/24 aan beide kanten). Oplossing? Wireguard tunnel om de verbinding op te zetten. Vervolgens zelf in een script een extra network namespace aanmaken, de Wireguard tunnel naar die namespace verplaatsen, en dan het backup script (middels systemd) draaien in die network namespace. Dus het script ziet uberhaupt maar 1 interface en dat is de Wireguard interface. En de Wireguard interface stuurt zijn verkeer dan wel via de default namespace naar de buitenwereld. Wat dan is geinspireerd op: https://www.wireguard.com/netns/.

MakhouT schreef op zaterdag 29 april 2023 @ 20:01:
[...]


Dank je voor de tip! Ja zoals je leest, ben ik nog een leek in zulke zaken
Dus hier komen de leek vragen

Moet ik dan een VPN service aanschaffen zoals ProtonVPN of NordVPN?
Of moet ik een eigen VPN in een container draaien en het zelf hosten?
Hier ben ik nog wel totaal verdwaald.


[...]

De NUC is verbonden met kabel aan het internet. De client (mijn laptop) is gewoon via wifi.
Ik heb al zitten zoeken in de logs, en ben er nog steeds door aan het gaan. Momenteel zie ik er nog niets geks in. Ik heb zitten zoeken in de documentatie van Plex van hoe ik het moet debuggen en momenteel, lijkt alles ok.

MakhouT schreef op zaterdag 29 april 2023 @ 20:01:
[...]


Dank je voor de tip! Ja zoals je leest, ben ik nog een leek in zulke zaken
Dus hier komen de leek vragen

Moet ik dan een VPN service aanschaffen zoals ProtonVPN of NordVPN?
Of moet ik een eigen VPN in een container draaien en het zelf hosten?
Hier ben ik nog wel totaal verdwaald.


[...]

De NUC is verbonden met kabel aan het internet. De client (mijn laptop) is gewoon via wifi.
Ik heb al zitten zoeken in de logs, en ben er nog steeds door aan het gaan. Momenteel zie ik er nog niets geks in. Ik heb zitten zoeken in de documentatie van Plex van hoe ik het moet debuggen en momenteel, lijkt alles ok.

RobertMe schreef op zaterdag 29 april 2023 @ 22:24:

offtopic:
Wireguard is een kernel module.

offtopic:
I know!

offtopic:
Dus je hoeft niet en pivpn te gebruiken en wg easy. Eentje is wel voldoende.
Of je gebruikt de ene tool om de kernel stuff te configureren of de ander, niet beide.

offtopic:
Ik heb ooit gezien dat je de webGUI ook los kan gebruiken en daarnaast doet PiVPN dan effe relax al die Certificates zooi regelen dus dat was mijn idee dan

offtopic:
En persoonlijk krijg ik sowieso de kriebels elke keer als ik Wireguard + Docker lees.

offtopic:
Ik krijg sowieso de kriebels van al dat geDocker en mensen die totaal niet weten waar ze mee bezig zijn...

offtopic:
Dat voelt echt zo compleet niet "Docker". Dan heb je dus een network namespace, en dan ga je daarin vervolgens een nieuwe network interface aanmaken (ip link add type wireguard) wat dan weer niet bereikbaar is vanaf de host (want andere network namespace). Brrr. Of dan de Docker container draaien met network_mode: host zodat het uberhaupt niet in een network namespace zit. Maarja, waarom dan nog Docker gebruiken?

offtopic:
Volgens mij heb je een heleboel rare verschijnselen/bijwerkingen als je Docker Containers gebruikt en de Host van het een en ander gebruik wilt laten maken dus dat is sowieso een puinhoop!

offtopic:
Terwijl je met network namespaces zoveel andere coole dingen kunt doen.

Heb bij familie een Orange Pi liggen die ZFS snapshots van mijn Proxmox (+ andere ZFS systemen) backupped / send/received. Maar 1. ik wil geen poorten meer open zetten "thuis", laat staan 3x SSH. 2. ik zit met conflicterende subnets (192.168.1.0/24 aan beide kanten). Oplossing? Wireguard tunnel om de verbinding op te zetten. Vervolgens zelf in een script een extra network namespace aanmaken, de Wireguard tunnel naar die namespace verplaatsen, en dan het backup script (middels systemd) draaien in die network namespace. Dus het script ziet uberhaupt maar 1 interface en dat is de Wireguard interface. En de Wireguard interface stuurt zijn verkeer dan wel via de default namespace naar de buitenwereld.
Wat dan is geinspireerd op: https://www.wireguard.com/netns/.

offtopic:
Ik heb daar nog nooit wat mee gedaan, maar wat je omschrijft klinkt echt verdomd handig inderdaad!

nero355 schreef op zondag 30 april 2023 @ 20:32:
[...]

offtopic:
Ik heb ooit gezien dat je de webGUI ook los kan gebruiken en daarnaast doet PiVPN dan effe relax al die Certificates zooi regelen dus dat was mijn idee dan

offtopic:
Punt was meer: het is onzinnig om meerdere "frontends" voor hetzelfde "backend" te gebruiken. Of je nu wg (+ evt waar nodig ip) of PiVPN of wg easy gebruikt. Het zijn allemaal frontends die met dezelfde kernel interface babbelen. Dus waarom meerdere gebruiken als eentje voldoende is?
And besides: Wireguard gebruikt geen certificaten (maar public/private key pairs, al dan niet aangevuld met een preshared key). En dat is zo makkelijk als wg genkey om een private key te genereren, en evt wg genpsk voor de preshared key. Als je vervolgens de interface "hebt" kun je met wg show de status van alle interfaces zien (of je zet de interface naam er nog achter) en staat daar ook meteen de public key (of je stuurt de private key naar wg pubkey). En nadeel van alles op de server doen is natuurlijk ook nog eens dat de server alle private keys kent (al dan niet tijdelijk). Daar waar bij OpenVPN weer wordt aanbevolen om de certs op een airgapped machine te genereren. Wireguard heeft dat nadeel niet, omdat elke "client" zelf een public/private keypair kan genereren en je dan nog maar de public key hoeft over te nemen naar de "server" (/andere "client" ). En zoals de naam al aangeeft: die's public, dus mag "lekken".

ComTech schreef op zondag 30 april 2023 @ 21:15:
Ik heb tot voor kort altijd via een Samba share op mijn nas backups gedraaid dit werkt prima.
Nu heb ik het via NFS opgezet en dan krijg ik bij het backuppen van containers elke keer een error.
Waarom lukt dit wel via Samba en niet via NFS.
Backup van een VM gaat wel gewoon via dezelfde NFS share.

code:

1 2 3 4 5 6 7 8 9 10

INFO: CT Name: netserver INFO: including mount point rootfs ('/') in backup INFO: backup mode: snapshot INFO: ionice priority: 7 INFO: create storage snapshot 'vzdump' INFO: creating vzdump archive '/mnt/pve/Syno_NFS/dump/vzdump-lxc-101-2023_04_30-21_10_42.tar.zst' INFO: tar: /mnt/pve/Syno_NFS/dump/vzdump-lxc-101-2023_04_30-21_10_42.tmp: Cannot open: Permission denied INFO: tar: Error is not recoverable: exiting now INFO: cleanup temporary 'vzdump' snapshot ERROR: Backup of VM 101 failed - command 'set -o pipefail && lxc-usernsexec -m u:0:100000:65536 -m g:0:100000:65536 -- tar cpf - --totals --one-file-system -p --sparse --numeric-owner --acls --xattrs '--xattrs-include=user.*' '--xattrs-include=security.capability' '--warning=no-file-ignored' '--warning=no-xattr-write' --one-file-system '--warning=no-file-ignored' '--directory=/mnt/pve/Syno_NFS/dump/vzdump-lxc-101-2023_04_30-21_10_42.tmp' ./etc/vzdump/pct.conf ./etc/vzdump/pct.fw '--directory=/mnt/vzsnap0' --no-anchored '--exclude=lost+found' --anchored '--exclude=./tmp/?*' '--exclude=./var/tmp/?*' '--exclude=./var/run/?*.pid' ./ | zstd --rsyncable '--threads=1' >/mnt/pve/Syno_NFS/dump/vzdump-lxc-101-2023_04_30-21_10_42.tar.dat' failed: exit code 2

powerboat schreef op zondag 30 april 2023 @ 22:38:
[...]


In line 7 staat het "permission denied", je hebt niet de juiste rechten.

Welke nas gebruik je?

** Never mind ** niet goed gelezen, maar als een vm wel lukt zou een container ook moeten lukken.

Cardinal schreef op maandag 1 mei 2023 @ 10:30:
Wil het niet jinxen, maar sinds de problemen met HAOS heb ik de kernel naar 6.2 geholpen en de geupgrade naar 7.4 Op dit moment draait Home Assistent al een maand stabiel.

ook gij @stormfly ?

powerboat schreef op zaterdag 29 april 2023 @ 23:02:
[...]

Nee eigen vpn server opzetten in een vm of container

nero355 schreef op zaterdag 29 april 2023 @ 21:56:
[...]

Zoiets : https://pivpn.io/
In een LXC of VM en dan combineren met de webGUI van :

[...]

Lijkt me verdomd ideaal!

Een andere makkelijke methode is WebMin installeren en dan de OpenVPN plug-in toevoegen en daarmee alles doen!

DRaakje schreef op zaterdag 29 april 2023 @ 21:26:
Ik zou een docker container met wg easy doen. Heeft een webgui en je kan er gewoon QR codes in generen die je met de android wireguard app kan inlezen. In wireguard is uitermate makkelijk om een split tunnel mee te maken. Dan gaat al je verekeer gewoon buiten de VPN om, maar kan je nog steeds op je interne netwerk komen.

powerboat schreef op zaterdag 29 april 2023 @ 13:24:
[...]


Ik zou nooit een hypervisor rechtstreeks aan het internet hangen. Gebruik bij voorkeur een vpn

nero355 schreef op zondag 30 april 2023 @ 20:32:
[...]

offtopic:
Ik krijg sowieso de kriebels van al dat geDocker en mensen die totaal niet weten waar ze mee bezig zijn...

MakhouT schreef op maandag 1 mei 2023 @ 18:47:
[...]


[...]


[...]


Ik heb nog beetje research gedaan en jullie raden mij aan om het zelf te hosten in een container. Maar als ik het anders bekijk lijkt het me precies 'beter' om een betalende VPN service provider te gebruiken toch zoals een ProtonVPN? Toch?
Mijn redenen zijn dan:
1. Meer privacy
2. Verschillende locaties/regios (Library van Netflix Amerika bekijken bijvoorbeeld)

Mis ik dan iets waarom ik het eerder zelf zou hosten?

RobertMe schreef op maandag 1 mei 2023 @ 18:50:
[...]

Ja. Je mist het feit dat als je een abo op bv ProtonVPN neemt je buiten de deur nog steeds niet naar binnen kunt connecten met je eigen services. En volgens mij begon de vraag daar mee?

stormfly schreef op dinsdag 2 mei 2023 @ 13:24:
Ik heb nu mijn Docker containers naar een LXC container met Ubuntu verplaatst.

Je merkt in de apt update scroll snelheid dat wel winst hebt door het verwijderen van de VM laag.

stormfly schreef op dinsdag 2 mei 2023 @ 13:24:
@RobertMe
and others. ik heb nu mijn Docker containers naar een LXC container met Ubuntu verplaatst.

Eigenlijk veel simpler dan ik had gedacht. Heb jij nog specifiek tips of guides die je hebt gevolgd?

Je merkt in de apt update scroll snelheid dat wel winst hebt door het verwijderen van de VM laag.

Goede tip dank!

[ Voor 3% gewijzigd door zeroday op 03-05-2023 07:55 ]

DRaakje schreef op zaterdag 29 april 2023 @ 21:26:
Ik zou een docker container met wg easy doen. Heeft een webgui en je kan er gewoon QR codes in generen die je met de android wireguard app kan inlezen. In wireguard is uitermate makkelijk om een split tunnel mee te maken. Dan gaat al je verekeer gewoon buiten de VPN om, maar kan je nog steeds op je interne netwerk komen.

1
2
3
4
5
6
7
8
9
10
11
12
13

docker run -d \
  --name=wg-easy \
  -e WG_HOST=🚨YOUR_SERVER_IP \ # mijn wan ip adres gebruikt
  -e PASSWORD=🚨YOUR_ADMIN_PASSWORD \
  -v ~/.wg-easy:/etc/wireguard \
  -p 51820:51820/udp \
  -p 51821:51821/tcp \
  --cap-add=NET_ADMIN \
  --cap-add=SYS_MODULE \
  --sysctl="net.ipv4.conf.all.src_valid_mark=1" \
  --sysctl="net.ipv4.ip_forward=1" \
  --restart unless-stopped \
  weejewel/wg-easy

[ Voor 3% gewijzigd door MakhouT op 03-05-2023 17:16 ]

MakhouT schreef op woensdag 3 mei 2023 @ 17:10:
[...]


Ik ben voor deze oplossing gegaan. Want de UI van wg-easy ziet er slick uit. Enkel krijg ik het dus niet aan de praat

Mijn stappen:
- In Proxmox een nieuwe LXC aangemaakt met een static ip (192.168.1.122)
- wg-easy geinstalleerd met volgende commando

code:

1 2 3 4 5 6 7 8 9 10 11 12 13

docker run -d \ --name=wg-easy \ -e WG_HOST=🚨YOUR_SERVER_IP \ # mijn wan ip adres gebruikt -e PASSWORD=🚨YOUR_ADMIN_PASSWORD \ -v ~/.wg-easy:/etc/wireguard \ -p 51820:51820/udp \ -p 51821:51821/tcp \ --cap-add=NET_ADMIN \ --cap-add=SYS_MODULE \ --sysctl="net.ipv4.conf.all.src_valid_mark=1" \ --sysctl="net.ipv4.ip_forward=1" \ --restart unless-stopped \ weejewel/wg-easy

En nu kan ik de webui ervan bekijken op 192.168.1.122:51821 en daar heb ik een nieuwe client aamgemaakt.
-QR code gescand met de wireguard app en certificaat toegestaan en ik heb dus verbinding.

Maar geen internet en ik geraak dus niet op mijn lokaal netwerk. Moet ik nog iets configureren hiervoor?

EDIT: Ik weet niet of het gerelateerd is, maar ik heb nog een andere LXC waarop PiHole draait.

[ Voor 29% gewijzigd door BeefHazard op 03-05-2023 20:02 ]

[ Voor 18% gewijzigd door Limbeckx op 03-05-2023 20:22 ]

Limbeckx schreef op woensdag 3 mei 2023 @ 20:15:
nginx:

home-assistant.domein.tld naar https://internip:8123 (als ik direct naar die combi ga, is home assistant bereikbaar)

1
2
3
4
5

http:
  use_x_forwarded_for: true
  trusted_proxies:
    - 192.168.178.6 # nginx IP
    - ::1

[ Voor 26% gewijzigd door BeefHazard op 03-05-2023 20:55 ]

BeefHazard schreef op woensdag 3 mei 2023 @ 20:52:
[...]

Daar ga je. Intern gewoon http gebruiken, niet https. Haal die s eens weg en kijk wat er gebeurt

edit: en haal die ssl dingen uit je HA config. HA regelt je TLS/SSL niet, daar gebruik je nginx al voor.

Mijn HA config ter referentie:

code:

1 2 3 4 5

http: use_x_forwarded_for: true trusted_proxies: - 192.168.178.6 # nginx IP - ::1

Deshmir schreef op woensdag 3 mei 2023 @ 17:54:
[...]


Heb je ergens een optie om “Allowed IP’s” aan te passen?
Of zit dat ingebakken in de config van die container?

[ Voor 40% gewijzigd door MakhouT op 04-05-2023 00:14 ]

MakhouT schreef op woensdag 3 mei 2023 @ 22:29:
[...]


Zit ingebakken in de config van de container, maar ik kan de nieuwe value meegeven als param. Wat moet het dan juist zijn?

EDIT: Net nog een tutorial bekeken en die zegt dat je in de router een poort moet openzetten voor uw wireguard? Dan snap ik al helemaal niet waarom ik een VPN aan het opzetten ben hahaha, want in een eerdere reactie zei ik dat ik een poort moet openzetten in mijn router om aan mijn proxmox te geraken en zei iemand me dat het bad practice is en dat het beter is om een VPN op te zetten. Maar nu moet ik dan toch nog wel een poort openzetten voor die VPN? Is dat dan niet hetzelfde?

MakhouT schreef op woensdag 3 mei 2023 @ 22:29:
[...]


Zit ingebakken in de config van de container, maar ik kan de nieuwe value meegeven als param. Wat moet het dan juist zijn?

EDIT: Net nog een tutorial bekeken en die zegt dat je in de router een poort moet openzetten voor uw wireguard? Dan snap ik al helemaal niet waarom ik een VPN aan het opzetten ben hahaha, want in een eerdere reactie zei ik dat ik een poort moet openzetten in mijn router om aan mijn proxmox te geraken en zei iemand me dat het bad practice is en dat het beter is om een VPN op te zetten. Maar nu moet ik dan toch nog wel een poort openzetten voor die VPN? Is dat dan niet hetzelfde?

iGadget schreef op donderdag 4 mei 2023 @ 10:11:
Dus, eerst ruimte vrijmaken. Maar dat blijkt nog niet zo simpel:

- Eerst alles in /var/cache/apt verwijderd (3GB). Maar ipv dat ik nu 3GB vrij heb in de rpool, is het rootfs 3GB kleiner geworden en de available space nog steeds 0... Wait, what?
- Dus kennelijk schrijft er nog steeds iets heel hard (cache?) data naar die pool? Of is hier iets anders aan de hand?

RobertMe schreef op donderdag 4 mei 2023 @ 10:21:
[...]

Komt dat niet door snapshots? Je kunt wel data verwijderen, maar zolang er nog snapshots zijn met die bestanden nemen ze ook nog plek in beslag.

Ik zou dus beginnen om met een combinatie van du en zfs list proberen te achterhalen waar de opslagruimte daadwerkelijk naartoe is. En als je snapshots gebruikt zul je dus ook daar in moeten snijden om daadwerkelijk data te reclaimen.

1

zfs list -t all |grep rpool

1

zfs destroy -rv rpool/data/vm-113-disk-0

[ Voor 14% gewijzigd door iGadget op 04-05-2023 13:04 . Reden: brand geblust, nu de volgende stap ]

iGadget schreef op donderdag 4 mei 2023 @ 10:11:
Ok... I messed up. Bad.

Kennelijk heeft afgelopen nacht iets alle beschikbare ruiimte in mijn ZFS rpool opgevreten (waar ook PVE's rootfs huist), waardoor alle services op de PVE node down zijn gegaan, zelfs SSH. De machine zelf is up, pingbaar, maar kan er alleen nog via fysieke toegang bij.

iGadget schreef op donderdag 4 mei 2023 @ 11:14:
[...]

code:

1	zfs list -t all |grep rpool

1

zfs list -t snapshots -r rpool

1

zfs list -t snapshots -r rpool | grep 'GMT-2023.05' | xargs -L1 zfs destroy