Check alle échte Black Friday-deals Ook zo moe van nepaanbiedingen? Wij laten alleen échte deals zien

dinsdag 7 oktober 2025 20:18

Acties:
  • alex3305
  • Registratie: Januari 2004
  • Laatst online: 22:06

alex3305

Mars Warrior schreef op dinsdag 7 oktober 2025 @ 18:19:
Thanx voor de "heads up".
Ik draai - zoals vaker - nog heel wat oude versies in mijn setup. Ik update niet zo vaak.
Als de L4 plugin nu kapot is, dan ga ik daar ook veel last van krijgen. Dat is niet de bedoeling. Nu kun je met Docker gewoon weer de oude container starten, maar ik zit niet te wachten op dit soort gezeik na een update.
:Y Het is niet dat ik mensen vraag om mij te volgen, maar ik vind het wel leuk om mijn motieven hier te delen :). De L4 plugin werkt of zal binnenkort wel weer werken, maar ik vind nogal gaar om in Forgejo Actions een compleet irrelevante stack trace voor m'n giechel te krijgen als ik net een component heb toegevoegd:
code:
1
2
3
4
5
6
7
8
9
10
11

 > [builder 2/2] RUN GOTOOLCHAIN=go1.24.1 xcaddy build     --with github.com/caddy-dns/cloudflare     --with github.com/greenpau/caddy-security     --with github.com/hslatman/caddy-crowdsec-bouncer/http     --with github.com/hslatman/caddy-crowdsec-bouncer/layer4     --with github.com/hslatman/caddy-crowdsec-bouncer/appsec     --with github.com/lucaslorentz/caddy-docker-proxy/v2     --with github.com/mholt/caddy-l4     --with github.com/mholt/caddy-dynamicdns     --with github.com/WeidiDeng/caddy-cloudflare-ip:
124.4 go: added github.com/joho/godotenv v1.5.1
124.4 go: added github.com/lucaslorentz/caddy-docker-proxy/v2 v2.10.0
124.4 2025/08/19 10:48:01 [INFO] exec (timeout=0s): /usr/local/go/bin/go get -v github.com/mholt/caddy-l4 github.com/caddyserver/caddy/v2@v2.10.0 
124.5 go: downloading github.com/mholt/caddy-l4 v0.0.0-20250814163833-b0a5a508a938
124.8 go: accepting indirect upgrade from github.com/cloudflare/circl@v1.6.0 to v1.6.1
124.8 go: accepting indirect upgrade from github.com/quic-go/quic-go@v0.50.1 to v0.54.0
124.8 go: github.com/mholt/caddy-l4@v0.0.0-20250814163833-b0a5a508a938 requires
124.8   github.com/caddyserver/caddy/v2@v2.10.1-0.20250720214045-8ba7eefd0767, but v2.10.0 is requested
124.8 go: github.com/mholt/caddy-l4@upgrade (v0.0.0-20250814163833-b0a5a508a938) requires github.com/caddyserver/caddy/v2@v2.10.1-0.20250720214045-8ba7eefd0767, not github.com/caddyserver/caddy/v2@v2.10.0
124.8 2025/08/19 10:48:01 [FATAL] exit status 1


En dan heb ik net te weinig kaas gegeten van de moderne Go toolchain om daar chocola van te maken. Buiten dat ik ook gewoon geen zin heb in dit soort vage issues. Het versionen, en als dat maar met 0.0.1, vind ik dan een kleine moeite en voorkomt dit soort problemen.

Ik vond Traefik aan de praat krijgen best wel straight forward. Toegegeven ik ken geen grote of populaire reverse proxy waar ik geen (professionele) ervaring mee heb. Dus dat helpt wel enorm, maar kort door de bocht:

Docker Compose
YAML:
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38

services:
  traefik:
    container_name: traefik
    image: traefik:v3.5.3
    restart: on-failure:10
    networks:
      ingress:
      ipvlan:
        ipv4_address: 192.168.1.4
        ipv6_address: aaaa:aaaa:aaaa:1:b00b::135
      monitoring:
    volumes:
      - /etc/localtime:/etc/localtime:ro
      - /var/run/docker.sock:/var/run/docker.sock:ro
      - /opt/appdata/traefik/traefik.yaml:/traefik.yaml:ro
      - /opt/appdata/traefik/config:/configs:ro
      - /opt/appdata/traefik/certs/acme.json:/acme.json:rw
      - logs:/logs:rw
    security_opt:
      - no-new-privileges=true
    cpus: 1

networks:
  ingress:
    name: swarm-overlay
    external: true

  ipvlan:
    name: br0
    external: true

  monitoring:
    name: monitoring
    external: true

volumes:
  logs:
    name: traefik-logs


traefik.yaml
YAML:
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67
68
69
70
71
72
73
74
75
76

api:
  dashboard: True
  insecure: True

entryPoints:
  web:
    address: ":80"

    http:
      redirections:
        entryPoint:
          to: websecure
          scheme: https
          permanent: true

  websecure:
    address: ":443"
    asDefault: true
    http:
      tls:
        certResolver: letsEncrypt
        domains:
          - main: "example.com"
            sans:
              - "*.example.com"

      middlewares:
        - traefik-real-ip@file
        - security-headers@file
        - rate-limit@file

    http3:
      advertisedPort: 443

    forwardedHeaders:
      trustedIPs:
        - 127.0.0.1/32
        - 192.168.0.0/16
        - 172.16.0.0/12
        - 10.0.0.0/8
        # Cloudflare IPs kunnen hier

  dns-over-tls:
      address: :853/tcp
  mqtt-over-tls:
      address: :8883/tcp
  smtp-over-tls:
      address: :465/tcp
  ssh:
      address: :22/tcp

providers:
  providersThrottleDuration: 15s

  file:
    directory: "/configs"

  docker:
    watch: true
    exposedByDefault: false
    network: "swarm-overlay"

certificatesResolvers:
  letsEncrypt:
    acme:
      email: alex3305@tweakers.net
      storage: /acme.json
      dnsChallenge:
        # Provider credentials should be stored in environment variables.
        provider: cloudflare
        resolvers:
          - "1.1.1.1:53"
          - "1.0.0.1:53"

metrics:
  prometheus: {}


configs/middlewares.yaml
YAML:
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25

http:
  middlewares:
    traefik-real-ip:
      plugin:
        traefik-real-ip: {}

    local-ips-allowed:
      ipAllowList:
        sourceRange:
          - 192.168.0.0/16
          - 172.16.0.0/12
          - 10.0.0.0/8

    security-headers:
      headers:
        customResponseHeaders:
          browserXssFilter: true
          contentTypeNosniff: true
          frameDeny: true

    rate-limit:
      rateLimit:
        average: 100
        period: 1
        burst: 100
Ik heb eerder / vaker met Treafik gespeeld en gewerkt, maar vind dat nog steeds een enorm waterhoofd.
Ik heb hier wat ik geknipt, maar mijn basis Caddyfile was ook gewoon 190 regels ;). Zoveel doet dit dus niet voor elkaar onder.
De reden dat ik aan het experimentern was/ben met Traefik voor thuis is dat ik geen Cloudflare heb (veel docker services hangen aan verschillende subdomeinen en toplevel domeinen, die vanzelfsprekend extern worden beheerd). Nu gebruik ik wel wat WAFjes, maar ik wil eigenlijk het gros van het botverkeer met Anubis en Crowdsec eruit filteren, eigenlijk dus volgens jouw plaatje.

Caddy heeft icm Anubis meerdere lagen/instanties nodig, terwijl Traefik dat netjes met middlewares kan afhandelen.
Yes. Dat zit er dus echt nét in :). Met Caddy moest ik het e.e.a. doorverwijzen, terwijl ik het nu als middleware kan configureren. Ik ben daar echt blij mee. Ik gebruik dat voor mijn Forgejo instantie.

YAML:
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49

services:
  forgejo:
    container_name: forgejo
    image: codeberg.org/forgejo/forgejo:12.0.4
    networks:
      internal:
      ingress:
      forgejo:
    labels:
      traefik.enable: true
      traefik.http.routers.forgejo.rule: "Host(`example.com`)"
      traefik.http.routers.forgejo.middlewares: "forgejo-anubis@docker"
      traefik.http.services.forgejo.loadbalancer.server.port: "80"
      traefik.tcp.routers.forgejo-ssh.entrypoints: "ssh"
      traefik.tcp.routers.forgejo-ssh.rule: "HostSNI(`*`)"
      traefik.tcp.services.forgejo-ssh.loadbalancer.server.port: "22"

  anubis:
    container_name: forgejo-anubis
    image: ghcr.io/techarohq/anubis:v1.22.0
    networks:
      internal:
      ingress:
    environment:
      BIND: ":8080"
      TARGET: " "
      COOKIE_DOMAIN: "example.com"
      SERVE_ROBOTS_TXT: "true"
      REDIRECT_DOMAINS: "example.com"
      PUBLIC_URL: "https://anubis.example.com"
    labels:
      traefik.enable: true
      traefik.http.routers.forgejo-anubis.rule: "Host(`anubis.example.com`)"
      traefik.http.services.forgejo-anubis.loadbalancer.server.port: "8080"
      traefik.http.middlewares.forgejo-anubis.forwardauth.address: "http://anubis:8080/.within.website/x/cmd/anubis/api/check"

networks:
  internal:
    name: forgejo-internal
    attachable: false

  forgejo:
    name: forgejo
    attachable: true
    driver: overlay

  ingress:
    name: swarm-overlay
    external: true
Crowdsec heb ik nog niet naar gekeken, maar zou ik dan ook willen toepassen.

Heb jij enig idee hoeveel verkeer jij met Anubis en Crowdsec blokkeert, ondanks dat je ook al Cloudflare gebruikt? Ik lees sterk varierende cijfers als je geen Cloudflare gebruikt: daar claimen mensen dat ze 70-90% van het verkeer kwijt zijn op hun backend services. Als ik zie wat Wordfence op Wordpress al blokkeert, dan wil ik dat best geloven.
Van Crowdsec wel, Anubis niet. Crowdsec en inmiddels ook AppSec gebruik ik voor al mijn HTTP diensten die allemaal aan het internet hangen. Ik heb een aantal regioblokkades via Cloudflare lopen en de Unifi firewall filtert ook het e.e.a.. Toch heb ik momenteel 9 actieve bans en volgens de Crowdsec Console zijn er de afgelopen 7 dagen 4800 requests geblokkeert. De afgelopen 30 dagen blijkbaar zo'n 140 bans. Dat vind ik best wel veel.

Mijn doel is overigens niet om Cloudflare-vrij te worden, maar wel om minder afhankelijk te worden. Crowdsec en Anubis zijn daar mooie stappen voor.

dinsdag 7 oktober 2025 23:20

Acties:
  • orvintax
  • Registratie: Maart 2018
  • Laatst online: 18-11 17:01

orvintax

www.fab1an.dev

alex3305 schreef op dinsdag 7 oktober 2025 @ 19:39:
[...]
  • diensten zonder authenticatie beveiligen
Vooral die laatste use case vind ik enorm aantrekkelijk. Ik heb bijvoorbeeld mijn eigen gehoste shields instantie beveiligd door Forgejo als OAuth2 Server in te zetten. Deze dienst kan ik dus veilig ontsluiten naar het internet zonder dat er zonder toestemming gebruik van wordt gemaakt.
Misschien interpreteer ik dit nu te simpel, maar hier gebruik ik gewoon HTTP basic authentication met Caddy voor. Maar goed, mijn belangrijkste design punt voor mijn homelab is KISS :P

[ Voor 4% gewijzigd door orvintax op 07-10-2025 23:22 . Reden: Typo + link ]

https://dontasktoask.com/

woensdag 8 oktober 2025 10:15

Acties:
  • alex3305
  • Registratie: Januari 2004
  • Laatst online: 22:06

alex3305

orvintax schreef op dinsdag 7 oktober 2025 @ 23:20:
Misschien interpreteer ik dit nu te simpel, maar hier gebruik ik gewoon HTTP basic authentication met Caddy voor.
Nu haal je mijn post uit context. Waarom zou ik een OAuth of OIDC laag opzetten om daarna de helft met Basic Auth te authenticeren 8)7...

Daarnaast vind ik Basic Auth een beroerde manier om diensten te beschermen. In de eerste plaats omdat je met Basic Auth de credentials in 'plain text' opslaat, het lastig is om wachtwoorden te veranderen en het enorm lastig is om bijvoorbeeld te rate limitten.
Maar goed, mijn belangrijkste design punt voor mijn homelab is KISS :P
Ik dacht even dat ik op het Viva forum was beland, maar volgens mij zitten we hier op Tweakers O-). Daarbij wil ik ook aangeven dat ik Basic Auth geen KISS vindt, maar verleden tijd. Een Golf Mk1 is ook KISS en soms erg mooi, maar niet meer van deze tijd.

Pocket ID met Caddy Security opzetten is daarnaast niet het einde van de wereld. Het is ook aardig beheersbaar.

Docker Compose
YAML:
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44

services:
  caddy:
    container_name: caddy
    image: alex3305/caddy:v2.10.0
    networks:
      ingress:
      ipvlan:
        ipv4_address: 192.168.1.10
    cap_add:
      - NET_ADMIN
    environment:
      CADDY_INGRESS_NETWORKS: swarm-overlay
    volumes:
      - /opt/appdata/caddy:/config
      - caddy-data:/data
      - /var/run/docker.sock:/var/run/docker.sock:ro
    command: ["docker-proxy", "--caddyfile-path", "/config/Caddyfile"]

  pocket_id:
    container_name: pocket-id
    image: ghcr.io/pocket-id/pocket-id:v1.13.1
    restart: on-failure:10
    networks:
      ingress:
    volumes:
      - pocket-id-data:/app/data
    labels:
      caddy: "*.example.com"
      caddy.@pocket-id.host: "id.example.com"
      caddy.handle: "@pocket-id"
      caddy.handle.reverse_proxy: "{{ '{{' }}upstreams 1411{{ '}}' }}"

networks:
  ingress:
    name: swarm-overlay
    external: true

  ipvlan:
    name: br0
    external: true

volumes:
  caddy-data:
  pocket-id-data:

Wel moet je hiervoor een eigen Caddy bouwen met bovenstaande plugin en Docker Proxy.

Caddyfile
code:
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67
68
69
70
71
72
73
74
75
76
77
78
79
80
81
82
83
84

{
    order authenticate before respond
    order authorize before basicauth
    order authorize before reverse_proxy

    security {
        oauth identity provider pocket-id {
            realm pocket-id
            driver generic

            client_id CLIENT_ID_POCKET_ID
            client_secret CLIENT_SECRET_POCKET_ID
            scopes openid email profile groups
            extract all from userinfo

            base_auth_url https://id.example.com
            metadata_url https://id.example.com/.well-known/openid-configuration

            delay_start 3
        }

        authentication portal default-auth-portal {
            enable identity provider pocket-id

            crypto default token lifetime 86400
            crypto key sign-verify 703576704369326f4f6e11b1eeaf189a07f5590dd7fc983d1473efb6dbca4f49

            cookie domain example.com
            cookie insecure off

            cookie lifetime 172800

            ui {
                meta title "example.com Authentication Portal"
                meta author "example.com"
                meta description "Authentication portal for accessing homelab services"

                links {
                    "Apps" https://example.com/lovelace/apps icon "las la-sitemap"
                    "View Me" "/whoami" icon "las la-user"
                }
            }

            transform user {
                match role user
                action add role authp/user
            }

            transform user {
                match role admin
                action add role authp/admin

                ui link "User Management" https://users.example.com icon "las la-users"
                ui link "Whoami" https://whoami.example.com icon "las la-question-circle"
            }
        }

        authorization policy user_access {
            set auth url https://auth.example.com/oauth2/pocket-id/authorization-code-callback
            crypto key sign-verify 703576704369326f4f6e11b1eeaf189a07f5590dd7fc983d1473efb6dbca4f49

            allow roles user

            inject headers with claims
            inject header "X-Username" from "userinfo|preferred_username"
            inject header "X-Token-User-Picture" from picture

            validate bearer header
        }

        authorization policy admin_access {
            set auth url https://auth.example.com/oauth2/pocket-id/authorization-code-callback
            crypto key sign-verify 703576704369326f4f6e11b1eeaf189a07f5590dd7fc983d1473efb6dbca4f49

            allow roles admin

            inject headers with claims
            inject header "X-Username" from "userinfo|preferred_username"
            inject header "X-Token-User-Picture" from picture

            validate bearer header
        }
    }
}


Waarna diensten zeer eenvoudig beveiligd kunnen worden met authorization policies:
YAML:
1
2
3
4
5
6
7
8

services:
  my-service:
    labels:
      caddy: "*.example.com"
      caddy.@service.host: "service.example.com"
      caddy.handle: "@service"
      caddy.handle.authorize: "with user_access"
      caddy.handle.reverse_proxy: "{{ '{{' }}upstreams 80{{ '}}' }}"


En door SSO hoef ik dus maar één keer in te loggen in plaats van n-aantal keer bij n-aantal diensten. Dat is pas simpel :).

woensdag 8 oktober 2025 12:17

Acties:
  • orvintax
  • Registratie: Maart 2018
  • Laatst online: 18-11 17:01

orvintax

www.fab1an.dev

alex3305 schreef op woensdag 8 oktober 2025 @ 10:15:
[...]

Nu haal je mijn post uit context. Waarom zou ik een OAuth of OIDC laag opzetten om daarna de helft met Basic Auth te authenticeren 8)7...

Daarnaast vind ik Basic Auth een beroerde manier om diensten te beschermen. In de eerste plaats omdat je met Basic Auth de credentials in 'plain text' opslaat, het lastig is om wachtwoorden te veranderen en het enorm lastig is om bijvoorbeeld te rate limitten.


[...]

Ik dacht even dat ik op het Viva forum was beland, maar volgens mij zitten we hier op Tweakers O-). Daarbij wil ik ook aangeven dat ik Basic Auth geen KISS vindt, maar verleden tijd. Een Golf Mk1 is ook KISS en soms erg mooi, maar niet meer van deze tijd.

Pocket ID met Caddy Security opzetten is daarnaast niet het einde van de wereld. Het is ook aardig beheersbaar.

Docker Compose
YAML:
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44

services:
  caddy:
    container_name: caddy
    image: alex3305/caddy:v2.10.0
    networks:
      ingress:
      ipvlan:
        ipv4_address: 192.168.1.10
    cap_add:
      - NET_ADMIN
    environment:
      CADDY_INGRESS_NETWORKS: swarm-overlay
    volumes:
      - /opt/appdata/caddy:/config
      - caddy-data:/data
      - /var/run/docker.sock:/var/run/docker.sock:ro
    command: ["docker-proxy", "--caddyfile-path", "/config/Caddyfile"]

  pocket_id:
    container_name: pocket-id
    image: ghcr.io/pocket-id/pocket-id:v1.13.1
    restart: on-failure:10
    networks:
      ingress:
    volumes:
      - pocket-id-data:/app/data
    labels:
      caddy: "*.example.com"
      caddy.@pocket-id.host: "id.example.com"
      caddy.handle: "@pocket-id"
      caddy.handle.reverse_proxy: "{{ '{{' }}upstreams 1411{{ '}}' }}"

networks:
  ingress:
    name: swarm-overlay
    external: true

  ipvlan:
    name: br0
    external: true

volumes:
  caddy-data:
  pocket-id-data:

Wel moet je hiervoor een eigen Caddy bouwen met bovenstaande plugin en Docker Proxy.

Caddyfile
code:
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67
68
69
70
71
72
73
74
75
76
77
78
79
80
81
82
83
84

{
    order authenticate before respond
    order authorize before basicauth
    order authorize before reverse_proxy

    security {
        oauth identity provider pocket-id {
            realm pocket-id
            driver generic

            client_id CLIENT_ID_POCKET_ID
            client_secret CLIENT_SECRET_POCKET_ID
            scopes openid email profile groups
            extract all from userinfo

            base_auth_url https://id.example.com
            metadata_url https://id.example.com/.well-known/openid-configuration

            delay_start 3
        }

        authentication portal default-auth-portal {
            enable identity provider pocket-id

            crypto default token lifetime 86400
            crypto key sign-verify 703576704369326f4f6e11b1eeaf189a07f5590dd7fc983d1473efb6dbca4f49

            cookie domain example.com
            cookie insecure off

            cookie lifetime 172800

            ui {
                meta title "example.com Authentication Portal"
                meta author "example.com"
                meta description "Authentication portal for accessing homelab services"

                links {
                    "Apps" https://example.com/lovelace/apps icon "las la-sitemap"
                    "View Me" "/whoami" icon "las la-user"
                }
            }

            transform user {
                match role user
                action add role authp/user
            }

            transform user {
                match role admin
                action add role authp/admin

                ui link "User Management" https://users.example.com icon "las la-users"
                ui link "Whoami" https://whoami.example.com icon "las la-question-circle"
            }
        }

        authorization policy user_access {
            set auth url https://auth.example.com/oauth2/pocket-id/authorization-code-callback
            crypto key sign-verify 703576704369326f4f6e11b1eeaf189a07f5590dd7fc983d1473efb6dbca4f49

            allow roles user

            inject headers with claims
            inject header "X-Username" from "userinfo|preferred_username"
            inject header "X-Token-User-Picture" from picture

            validate bearer header
        }

        authorization policy admin_access {
            set auth url https://auth.example.com/oauth2/pocket-id/authorization-code-callback
            crypto key sign-verify 703576704369326f4f6e11b1eeaf189a07f5590dd7fc983d1473efb6dbca4f49

            allow roles admin

            inject headers with claims
            inject header "X-Username" from "userinfo|preferred_username"
            inject header "X-Token-User-Picture" from picture

            validate bearer header
        }
    }
}


Waarna diensten zeer eenvoudig beveiligd kunnen worden met authorization policies:
YAML:
1
2
3
4
5
6
7
8

services:
  my-service:
    labels:
      caddy: "*.example.com"
      caddy.@service.host: "service.example.com"
      caddy.handle: "@service"
      caddy.handle.authorize: "with user_access"
      caddy.handle.reverse_proxy: "{{ '{{' }}upstreams 80{{ '}}' }}"


En door SSO hoef ik dus maar één keer in te loggen in plaats van n-aantal keer bij n-aantal diensten. Dat is pas simpel :).
Voor de duidelijkheid ik zeg niet dat jouw opzet "fout" is. Ik was meer benieuwd of ik je op dat vlak goed had begrepen.

OAuth en OIDC in samenwerking met HTTP Basic authenticatie slaat nergens op nee. Maar mijn punt was dan ook dat je die lagen niet nodig hebt. Puur vanuit functioneel blik. Maar ik snap dat je het leuk vind om te doen :)

Dat HTTP Basic authenticatie niet meer van deze tijd is ben ik het absoluut niet mee eens. Het is oud, het werkt en het is simpel. Ik vind dat persoonlijk drie grote pluspunten. Ik ben zelf tegenwooridg best waakzaam met het introduceren van extra complexiteit. Zeker voor mijn HomeLab, die ik niet alleen gebruik om mee te spelen maar ook " persoonlijke productie" op draai.

Maar goed heel veel mensen vinden dat leuk, hip en spannend. Dat zie ik ook in de professionele wereld. Tevens vind ik het wel tof om te zien dat je het allemaal hebt draaien. Het is natuurlijk ook gewoon leuk, hip en spannend ;)

Voor de goede orde, als je HTTP Basic authenticatie gebruikt met Caddy worden de wachtwoorden gehashed opgeslagen. Dus die staan nergens in plaintext.

[ Voor 1% gewijzigd door orvintax op 08-10-2025 12:20 . Reden: Nederlands is moeilijk ]

https://dontasktoask.com/

woensdag 8 oktober 2025 13:27

Acties:
  • Mars Warrior
  • Registratie: Oktober 2003
  • Laatst online: 19-11 13:01

Mars Warrior

Earth, the final frontier

@alex3305 . Aangezien ik zowel http services als https services heb kan ik volgens mij geen automatische redirect configureren voor Traefik, en moet ik alle externe domeinen handmatig redirecten. Dat betekent dus dat 3 regels Caddy vertalen naar ca 10-12 regels Traefik...

YAML:
1
2
3
4
5
6
7
8
9
10
11
12

labels:
  - "traefik.enable=true"
  - "traefik.http.routers.any-service-rt.rule=Host(`as.example.com`)"
  - "traefik.http.routers.any-service-rt.entrypoints=websecure"
  - "traefik.http.routers.any-service-rt.tls=true"
  - "traefik.http.routers.any-service-rt.middlewares=security-headers@file,rate-limit@file,gzip-compress@file"
  - "traefik.http.services.any-service-svc.loadbalancer.server.port=80"
  # HTTP → HTTPS redirect
  - "traefik.http.routers.any-service-http-rt.rule=Host(`as.example.com`)"
  - "traefik.http.routers.any-service-http-rt.entrypoints=web"
  - "traefik.http.middlewares.any-service-redirect-mw.redirectscheme.scheme=https"
  - "traefik.http.routers.any-service-http-rt.middlewares=any-service-redirect-mw"


Edit:
Het kan nog 1 regel korter door de middleware voor te definieren:
YAML:
1

      traefik.http.routers.any-service-http-rt.middlewares: redirect-to-https@file

ChatGPT blijkt goed in staat om een docker compose file van ruim 2.000 regels van Caddy naar Traefik om te zetten, waarbij ik de Caddy labels laat staan, en de Traefik lables toevoeg. Daarmee kan ik namelijk makkelijk switchen tussen die 2 om te testen of alles nog werkt.

De compose files worden dus tijdelijk een heel stuk groter. Ik hak mijn huidige compose file namelijk ook meteen in stukken: dat maakt het ook eenvoudiger om een service of cluster van services toe te voegen en/of te verwijderen (tijdelijk). Dan is het namelijk enkel de include toevoegen/verwijderen.
Maakt het geheel ook een stuk overzichtelijker. :9~

Verder lijkt CrowdSec dus op alle domeinen te kunnen werken (onafhankelijk) en Anubis moet je dan per domein/subdomein koppelen, althans ik krijg daar geen hoogte van hoe je die ook tegelijkertijd op meerdere domeinen kan laten werken.

[ Voor 6% gewijzigd door Mars Warrior op 08-10-2025 14:05 ]

Material 3 Thema's voor HA | Swiss Army Knife custom card voor HA | AmoebeLabs

woensdag 8 oktober 2025 16:10

Acties:
  • alex3305
  • Registratie: Januari 2004
  • Laatst online: 22:06

alex3305

@Mars Warrior Ik heb dus geen enkele HTTP dienst :$. Alles gaat bij mij via HTTPs. Het zou echter wel wat makkelijker kunnen:

YAML:
1
2
3
4
5
6
7
8
9
10
11
12

services:
  traefik:
    labels:
      - "traefik.enable=true"
      - "traefik.http.middlewares.https-redirectscheme.redirectscheme.scheme=https"
      - "traefik.http.middlewares.https-redirectscheme.redirectscheme.permanent=true"

  any-service:
    labels:
      - "traefik.enable=true"
      - "traefik.http.routers.any-service-rt.rule=Host(`as.example.com`)"
      - "traefik.http.routers.any-service-rt.middlewares=https-redirectscheme, security-headers@file, rate-limit@file, gzip-compress@file"


Waarbij je de HTTPS redirect uiteraard ook in een file kunt doen. Volgens de documentatie luisteren services namelijk standaard naar alle EntryPoints
If not specified, HTTP routers will accept requests from all EntryPoints in the list of default EntryPoints. If you want to limit the router scope to a set of entry points, set the entryPoints option.
En de middleware leidt alleen om naar https wanneer het schema verschilt:
The RedirectScheme middleware redirects the request if the request scheme is different from the configured scheme.
Mars Warrior schreef op woensdag 8 oktober 2025 @ 13:27:
De compose files worden dus tijdelijk een heel stuk groter. Ik hak mijn huidige compose file namelijk ook meteen in stukken: dat maakt het ook eenvoudiger om een service of cluster van services toe te voegen en/of te verwijderen (tijdelijk). Dan is het namelijk enkel de include toevoegen/verwijderen.
Maakt het geheel ook een stuk overzichtelijker. :9~
Dat heb ik precies zo gedaan :Y . Alleen heb ik al mijn Compose opgesplitst en template ik via Ansible.
Verder lijkt CrowdSec dus op alle domeinen te kunnen werken (onafhankelijk) en Anubis moet je dan per domein/subdomein koppelen, althans ik krijg daar geen hoogte van hoe je die ook tegelijkertijd op meerdere domeinen kan laten werken.
CrowdSec werkt op alle domeinen. Anubis kan werken per cookie domein. Ik gebruik dus example.com als cookie domein en dat werkt dan ook voor shields.example.com. Meerdere redirect domains zijn wel mogelijk en volgens de documentatie zou de optie COOKIE_DYNAMIC_DOMAIN zijn die jij zoekt. Wel krijg je met een ander domain dan wel een nieuwe challenge, maar dat lijkt mij logisch.

woensdag 8 oktober 2025 17:29

Acties:
  • Mars Warrior
  • Registratie: Oktober 2003
  • Laatst online: 19-11 13:01

Mars Warrior

Earth, the final frontier

alex3305 schreef op woensdag 8 oktober 2025 @ 16:10:
@Mars Warrior Ik heb dus geen enkele HTTP dienst :$. Alles gaat bij mij via HTTPs. Het zou echter wel wat makkelijker kunnen:
Aha. Tsja, ik heb nog zitten denken als ik alles https doe, dan heb ik ook geen gezeik meer met browsers die vinden dat http onveilig is, of zelfs niet meer op http willen gaan zitten...

Als ik dan een ip-allow-list erbij gooi die enkel lokale addressen toestaat, dan kan ik volgens mij nog steeds Traefik certificaten (http/tls challenge) laten ophalen, maar kan niemand er van buitenaf bij 8)
Geeft wel een hele buts aan certificaten extra, maar ik zag dat LE per domein rate-limiting doet van 50/week. Dat zou dan best goed uitkomen met 50 containers verspreid over een serie domeinen.
YAML:
1
2
3
4
5
6
7
8
9
10
11
12

services:
  traefik:
    labels:
      - "traefik.enable=true"
      - "traefik.http.middlewares.https-redirectscheme.redirectscheme.scheme=https"
      - "traefik.http.middlewares.https-redirectscheme.redirectscheme.permanent=true"

  any-service:
    labels:
      - "traefik.enable=true"
      - "traefik.http.routers.any-service-rt.rule=Host(`as.example.com`)"
      - "traefik.http.routers.any-service-rt.middlewares=https-redirectscheme, security-headers@file, rate-limit@file, gzip-compress@file"


Waarbij je de HTTPS redirect uiteraard ook in een file kunt doen. Volgens de documentatie luisteren services namelijk standaard naar alle EntryPoints
Aha. Dus al die instellingen zijn dan overbodig omdat de service toch al op beide poorten luistert. Dan is dat impliciet, en ChatGPT houdt regelmatig van expliciete definities heb ik gemerkt.
Dat heb ik precies zo gedaan :Y . Alleen heb ik al mijn Compose opgesplitst en template ik via Ansible.
Ik template dus met ChatGPT. Ook best wel reproduceerbaar, maar niet te automatiseren nog. Maar met af en toe een extra container perfect te doen. Ik geef de compose definitie op (of laat ChatGPT zoeken), en geef aan wat ik erbij wil hebben.

De enige beperking is dat ChatGPT af en toe dement is, wel een file van 2.000 regels kan invoeren, maar die op geen enkele manier meer kan uitvoeren: dat moet in batches. Helaas lukt het me nog steeds niet om alle batches in één keer te laten doen: na elke batch moet ik "Ja" zeggen, doe ze allemaal maar, maar nee hoor, bij de volgende weer de vraag of dat ding verder moet :F
CrowdSec werkt op alle domeinen. Anubis kan werken per cookie domein. Ik gebruik dus example.com als cookie domein en dat werkt dan ook voor shields.example.com. Meerdere redirect domains zijn wel mogelijk en volgens de documentatie zou de optie COOKIE_DYNAMIC_DOMAIN zijn die jij zoekt. Wel krijg je met een ander domain dan wel een nieuwe challenge, maar dat lijkt mij logisch.
Aha. Nou eerst maar eens de basis leggen met Traefik werkende krijgen. Daarna volgt CrowdSec wel. Als ik dan al een hoop troep kwijt ben, ben ik al blij.


Verder klinken zowel Beszel (systeem en container monitoring) als VictoriaMetrics voor app performance metrics interessant. Beiden hebben dashboards zag ik. Die van Beszel zijn lekker ingebouwd en overzichtelijk. Meer heb ik toch niet nodig om af en toe te kijken hoe contaieners het doen, en wat het effect van wijzigingen is.

Material 3 Thema's voor HA | Swiss Army Knife custom card voor HA | AmoebeLabs

woensdag 8 oktober 2025 18:41

Acties:
  • RobertMe
  • Registratie: Maart 2009
  • Laatst online: 23:36

RobertMe

Mars Warrior schreef op woensdag 8 oktober 2025 @ 17:29:
[...]

Aha. Tsja, ik heb nog zitten denken als ik alles https doe, dan heb ik ook geen gezeik meer met browsers die vinden dat http onveilig is, of zelfs niet meer op http willen gaan zitten...

Als ik dan een ip-allow-list erbij gooi die enkel lokale addressen toestaat, dan kan ik volgens mij nog steeds Traefik certificaten (http/tls challenge) laten ophalen, maar kan niemand er van buitenaf bij 8)
Geeft wel een hele buts aan certificaten extra, maar ik zag dat LE per domein rate-limiting doet van 50/week. Dat zou dan best goed uitkomen met 50 containers verspreid over een serie domeinen.


[...]

Aha. Dus al die instellingen zijn dan overbodig omdat de service toch al op beide poorten luistert. Dan is dat impliciet, en ChatGPT houdt regelmatig van expliciete definities heb ik gemerkt.

[...]

Ik template dus met ChatGPT. Ook best wel reproduceerbaar, maar niet te automatiseren nog. Maar met af en toe een extra container perfect te doen. Ik geef de compose definitie op (of laat ChatGPT zoeken), en geef aan wat ik erbij wil hebben.

De enige beperking is dat ChatGPT af en toe dement is, wel een file van 2.000 regels kan invoeren, maar die op geen enkele manier meer kan uitvoeren: dat moet in batches. Helaas lukt het me nog steeds niet om alle batches in één keer te laten doen: na elke batch moet ik "Ja" zeggen, doe ze allemaal maar, maar nee hoor, bij de volgende weer de vraag of dat ding verder moet :F


[...]

Aha. Nou eerst maar eens de basis leggen met Traefik werkende krijgen. Daarna volgt CrowdSec wel. Als ik dan al een hoop troep kwijt ben, ben ik al blij.


Verder klinken zowel Beszel (systeem en container monitoring) als VictoriaMetrics voor app performance metrics interessant. Beiden hebben dashboards zag ik. Die van Beszel zijn lekker ingebouwd en overzichtelijk. Meer heb ik toch niet nodig om af en toe te kijken hoe contaieners het doen, en wat het effect van wijzigingen is.
VictoriaMetrics moet je wel meer vergelijken met Prometheus & InfluxDB. Het is puur een time series database. Hoe je de data er in krijgt is aan jou (wat dus zowel via node-exporter en dergelijke kan, of via Telegraf, of via <whatever>). En dashboards is bij VM ook net zo basic als Prometheus (/volgens mij letterlijk hetzelfde?). Grafana dus aan te bevelen (en die kun je dus ook alleen starten als je er naar wilt kijken :P)

woensdag 8 oktober 2025 20:08

Acties:
  • Mars Warrior
  • Registratie: Oktober 2003
  • Laatst online: 19-11 13:01

Mars Warrior

Earth, the final frontier

Nou, nou, dat Beszel is lichtgewicht en echt belachelijk eenvoudig met compose te installeren.
In de webinterface voeg je dan een systeem toe (je lokale agent), en je knipt/plakt ff de key en token in je compose file en je start de agent.

Klaar!

Dashboards zijn voorgedefinieerd en worden direct gevuld met informatie.
  • Processorgebruik is gewoon van 0..100%. Geen gezeik met die maffe Linux percentages. Ik zie nu dat het gemiddelde verbruik 2% is
  • Alles in NL
  • Met een hover zie ik direct alle 50 containers van veel naar weinig resource verbruik
  • Je kunt simpelweg filteren op container/service naam: ik heb overal de groepsnaam voor, dus ik kan nu wel vreselijk eenvoudig zien wat infra, of websites verbruiken
Afbeeldingslocatie: https://tweakers.net/i/nr24BDD-qOxLJXrwFQ-aJBdg0r4=/fit-in/4000x4000/filters:no_upscale():strip_exif()/f/image/uIdEAtPOAu7oD5GegszfTyNE.png?f=user_large

Afbeeldingslocatie: https://tweakers.net/i/DogWrapD1asnjEBvQs1oU70-tso=/fit-in/4000x4000/filters:no_upscale():strip_exif()/f/image/NnE1oIQMAUJQNPlYiLCbdjwo.png?f=user_large

Je kunt alleen niet het Schijf I/O per docker container zien, enkel overall. Ik zie nu ca 250kB/sec gemiddeld, maar dus geen idee of dat Ubuntu is (journal, etc) of welke Docker container continue staat te schrijven.

En hoppa: ik zit nu op 1,52% CPU verbruik: een container die nu helemaal niet gebruikt wordt blijkt een health-check te hebben: dat pakt al bijna gemiddeld 0,5%.

Heel veel containers laten netjes 0,00% CPU verbruik zien: die doen het goed als ze niks te doen hebben...

Kiek: daar gaat mijn CPU verbruik lekker omlaag *O*

Afbeeldingslocatie: https://tweakers.net/i/rfg5HclQFnHzK60GerldwDEDkzU=/x800/filters:strip_exif()/f/image/coozWifjXYS7I6EmMbNqixy1.png?f=fotoalbum_large

[ Voor 61% gewijzigd door Mars Warrior op 08-10-2025 21:08 ]

Material 3 Thema's voor HA | Swiss Army Knife custom card voor HA | AmoebeLabs

woensdag 8 oktober 2025 20:51

Acties:
  • alex3305
  • Registratie: Januari 2004
  • Laatst online: 22:06

alex3305

@Mars Warrior Certificaten worden onafhankelijk aangevraagd van eventuele IP allowlist. Zelf gebruik ik overigens een DNS Challenge zodat ik met wildcard certificaten kan werken. Dan komen specifieke apps eveneens niet voor in een eventuele transparency report.

Ik doe inmiddels al jaren alles op HTTPS met een split horizon DNS, waarbij de publieke DNS dus via Cloudflare loopt (zie flowchart boven) en intern of VPN verkeer dus direct via Traefik loopt. Ik heb hiervoor A-records toegevoegd in Unifi en AdGuard Home serveert ook nog eens een HTTPS record:

||example.com^$dnstype=HTTPS,dnsrewrite=NOERROR;HTTPS;1 . alpn=h3 ipv4hint=192.168.1.40

Hierdoor kan de browser direct via udp/443 HTTP/3 verbinden :).
Aha. Dus al die instellingen zijn dan overbodig omdat de service toch al op beide poorten luistert. Dan is dat impliciet, en ChatGPT houdt regelmatig van expliciete definities heb ik gemerkt.
Yes. Ik heb geen enkele moeite met de documentatie en schrijf al mijn code met het handje :+. Ik ben daarmee wellicht ouderwets, maar het meeste heb ik toch getemplate met Ansible. Daarmee is een uitrol inmiddels triviaal.
Verder klinken zowel Beszel (systeem en container monitoring) als VictoriaMetrics voor app performance metrics interessant. Beiden hebben dashboards zag ik. Die van Beszel zijn lekker ingebouwd en overzichtelijk. Meer heb ik toch niet nodig om af en toe te kijken hoe contaieners het doen, en wat het effect van wijzigingen is.
Leuke ontwikkelaar van Beszel ook. Alerting is ook echt dik in orde. Alleen wil ik gewoon wat meer. Ik wil bijvoorbeeld ook logging kunnen analyseren. Ook access logging bijvoorbeeld. En dan is Beszel onvoldoende.

Inmiddels heb ik besloten nav. posts hier om naar de TIG Stack te gaan kijken. Met InfluxDB zou ik logging namelijk ook kunnen tacklen.

woensdag 8 oktober 2025 21:04

Acties:
  • Mars Warrior
  • Registratie: Oktober 2003
  • Laatst online: 19-11 13:01

Mars Warrior

Earth, the final frontier

alex3305 schreef op woensdag 8 oktober 2025 @ 20:51:
@Mars Warrior Certificaten worden onafhankelijk aangevraagd van eventuele IP allowlist. Zelf gebruik ik overigens een DNS Challenge zodat ik met wildcard certificaten kan werken. Dan komen specifieke apps eveneens niet voor in een eventuele transparency report.
Mooi. Dan zou ik dus wel alles op https kunnen zetten, waarbij die sites enkel intern bereikbaar zijn
Ik doe inmiddels al jaren alles op HTTPS met een split horizon DNS, waarbij de publieke DNS dus via Cloudflare loopt (zie flowchart boven) en intern of VPN verkeer dus direct via Traefik loopt. Ik heb hiervoor A-records toegevoegd in Unifi en AdGuard Home serveert ook nog eens een HTTPS record:

||example.com^$dnstype=HTTPS,dnsrewrite=NOERROR;HTTPS;1 . alpn=h3 ipv4hint=192.168.1.40

Hierdoor kan de browser direct via udp/443 HTTP/3 verbinden :).
Ik wist niet dat dat zo heette. Ik gebruik de DNS Rewrite van AdGuard om een lokale DNS te hebben die alles simpelweg doorzet naar het IP adres van de server.
Is die regel hierboven uit AdGuard dan? Dat zegt me niks namelijk :'(
Yes. Ik heb geen enkele moeite met de documentatie en schrijf al mijn code met het handje :+. Ik ben daarmee wellicht ouderwets, maar het meeste heb ik toch getemplate met Ansible. Daarmee is een uitrol inmiddels triviaal.
Voor mij is veel documentatie onsamenhangend: leuk om elke optie apart uit te leggen, maar als ik iets integraals wil, dan wil ik de samenhang zien, en veel technische documentatie levert dat niet.

Ik kan dus best wel dingen lezen, maar vind vaak niet wat ik zoek. Een bot als ChatGPT is wel in staat om dingen integraal (als je dit wilt, dan heb je de volgende combinatie van instellingen nodig...) ff in een paar seconden neer te zetten. Dat scheelt gewoon bergen tijd.
Leuke ontwikkelaar van Beszel ook. Alerting is ook echt dik in orde. Alleen wil ik gewoon wat meer. Ik wil bijvoorbeeld ook logging kunnen analyseren. Ook access logging bijvoorbeeld. En dan is Beszel onvoldoende.
Yep. Ik zie Beszel enkel als systeem/docker monitoring. Dan heb je nog applicatie monitoring (metrics), en uiteindelijk logmonitoring voor de details.
Feitelijk dus 3 aparte systemen in mijn geval.
Inmiddels heb ik besloten nav. posts hier om naar de TIG Stack te gaan kijken. Met InfluxDB zou ik logging namelijk ook kunnen tacklen.
Ben benieuwd hoe dat bevalt!

Material 3 Thema's voor HA | Swiss Army Knife custom card voor HA | AmoebeLabs

woensdag 8 oktober 2025 21:06

Acties:
  • RobertMe
  • Registratie: Maart 2009
  • Laatst online: 23:36

RobertMe

alex3305 schreef op woensdag 8 oktober 2025 @ 20:51:
Ik doe inmiddels al jaren alles op HTTPS met een split horizon DNS, waarbij de publieke DNS dus via Cloudflare loopt (zie flowchart boven) en intern of VPN verkeer dus direct via Traefik loopt. Ik heb hiervoor A-records toegevoegd in Unifi en AdGuard Home serveert ook nog eens een HTTPS record:

||example.com^$dnstype=HTTPS,dnsrewrite=NOERROR;HTTPS;1 . alpn=h3 ipv4hint=192.168.1.40

Hierdoor kan de browser direct via udp/443 HTTP/3 verbinden :).
Heb je hier meer uitleg over / linkje? Nog nooit gehoord dat je HTTP/3 ook via DNS kunt adverteren (Traefik adverteert hem wel bij mij).
Inmiddels heb ik besloten nav. posts hier om naar de TIG Stack te gaan kijken. Met InfluxDB zou ik logging namelijk ook kunnen tacklen.
VictoriaMetrics & VictoriaLogs? O-)
Influx is bij mij een beetje afgedaan. Doe er eigenlijk vrijwel niks mee. Maar ze zijn niet heel "stabiel". In Influx v1 moest je data ophalen via SQL, vervolgens hebben ze hun eigen (query) taal bedacht, "flux". Toen kwam Influx 2 uit met alleen flux en geen SQL. En quess what? Influx 3 bevat weer alleen SQL :F . Als je dus "serieus" gebruik maakt van Influx mocht je de afgelopen jaren verplicht 3x de queries (her)schrijven.
En daarnaast is de OSS versie ook een onderschoven kindje meen ik. In de zin dat Influx 3 voor self hosting / open source lang op zich heeft laten wachten terwijl de cloud versie al lang beschikbaar was.

woensdag 8 oktober 2025 21:57

Acties:
  • alex3305
  • Registratie: Januari 2004
  • Laatst online: 22:06

alex3305

@Mars Warrior Voor de goede orde, het documentatiepunt was geen kritiek hè :). Ik snap niet dat mensen ChatGPT of iets vergelijkbaars eenvoudig vinden. Ik vind documentatie lezen dan vaak eenvoudiger :+.

@Mars Warrior @RobertMe HTTP/3 is een stuk complexer dan de voorgangers en gebruikt QUIC op basis van UDP voor bestandsoverdrachten. De 'standaardpoort' hiervoor is 443, maar dan moet een client - laten we zeggen een browser - dat wel weten. Een HTTPS record wordt daar dan als hint voor gebruikt. Er kan nog wel meer in, zoals ECH.

Cloudflare stuurt die hints al een tijdje standaard:
Members only:
Alleen zichtbaar voor ingelogde gebruikers. Inloggen
Door mijn split horizon DNS werkt dit dus niet (correct). Ik stuur dus vanuit AdGuard Home ook zo'n record mee. Alleen ondersteund AdGuard Home weer niet de hele subset/syntax. Althans niet op een eenvoudige manier.

Ik stuur die records al bijna een jaar mee zie ook mijn post in het AdGuard Home topic. Helaas zonder enige Henkjes :( :>

Afbeeldingslocatie: https://tweakers.net/i/cs3VSFj7Q0OwsnXb4rLoXrlsH84=/fit-in/4000x4000/filters:no_upscale():strip_exif()/f/image/oSFrlWPg63i6bQQwMqXY9EGq.png?f=user_large

Blijkbaar ben ik dus de enige die hier tegenaan loopt :+

woensdag 8 oktober 2025 21:58

Acties:
  • alex3305
  • Registratie: Januari 2004
  • Laatst online: 22:06

alex3305

RobertMe schreef op woensdag 8 oktober 2025 @ 21:06:
VictoriaMetrics & VictoriaLogs? O-)
Influx is bij mij een beetje afgedaan. Doe er eigenlijk vrijwel niks mee. Maar ze zijn niet heel "stabiel". In Influx v1 moest je data ophalen via SQL, vervolgens hebben ze hun eigen (query) taal bedacht, "flux". Toen kwam Influx 2 uit met alleen flux en geen SQL. En quess what? Influx 3 bevat weer alleen SQL :F . Als je dus "serieus" gebruik maakt van Influx mocht je de afgelopen jaren verplicht 3x de queries (her)schrijven.
En daarnaast is de OSS versie ook een onderschoven kindje meen ik. In de zin dat Influx 3 voor self hosting / open source lang op zich heeft laten wachten terwijl de cloud versie al lang beschikbaar was.
Ik heb dezelfde afkeer tegen InfluxDB... Maar heb je een linkje voor mij hoe ik bijv. nodes / Docker kan monitoren? Of logs kan verzamelen? Of een startpunt?

donderdag 9 oktober 2025 16:31

Acties:
  • Mars Warrior
  • Registratie: Oktober 2003
  • Laatst online: 19-11 13:01

Mars Warrior

Earth, the final frontier

Ik krijg alweer Déjà vu's...

code:
1
2
3
4
5
6
7
8
9

infra-traefik  | {"level":"error","error":"command traefik error: field not found, node: middleware","time":"2025-10-09T16:27:29+02:00","message":"Command error"}
infra-traefik  | {"level":"error","error":"command traefik error: field not found, node: middleware","time":"2025-10-09T16:27:30+02:00","message":"Command error"}
infra-traefik  | {"level":"error","error":"command traefik error: field not found, node: middleware","time":"2025-10-09T16:27:31+02:00","message":"Command error"}
infra-traefik  | {"level":"error","error":"command traefik error: field not found, node: middleware","time":"2025-10-09T16:27:32+02:00","message":"Command error"}
infra-traefik  | {"level":"error","error":"command traefik error: field not found, node: middleware","time":"2025-10-09T16:27:34+02:00","message":"Command error"}
infra-traefik  | {"level":"error","error":"command traefik error: field not found, node: middleware","time":"2025-10-09T16:27:36+02:00","message":"Command error"}
infra-traefik  | {"level":"error","error":"command traefik error: field not found, node: middleware","time":"2025-10-09T16:27:40+02:00","message":"Command error"}
infra-traefik  | {"level":"error","error":"command traefik error: field not found, node: middleware","time":"2025-10-09T16:27:47+02:00","message":"Command error"}
infra-traefik  | {"level":"error","error":"command traefik error: field not found, node: middleware","time":"2025-10-09T16:28:00+02:00","message":"Command error"}


Waar? Welk veld?

Ach ja. De ontwikkelaars van Treafik zijn in de loop der jaren geen steek veranderd |:(

Material 3 Thema's voor HA | Swiss Army Knife custom card voor HA | AmoebeLabs

donderdag 9 oktober 2025 17:22

Acties:
  • RobertMe
  • Registratie: Maart 2009
  • Laatst online: 23:36

RobertMe

alex3305 schreef op woensdag 8 oktober 2025 @ 21:58:
[...]

Ik heb dezelfde afkeer tegen InfluxDB... Maar heb je een linkje voor mij hoe ik bijv. nodes / Docker kan monitoren? Of logs kan verzamelen? Of een startpunt?
Uhm...

Ik heb toen gewoon Influx in Docker gestart (en later VictoriaMetrics), en Telegraf via de apt repo geïnstalleerd. V.w.b. Telegraf => Influx denk ik wel de docs gebruikt? Verder gewoon zelf het sample config bestand nagelopen en gekeken welke input ik aan of uit wilde hebben. Met de switch naar VM even gepuzzeld v.w.b. de juiste output config (IIRC moet dat influx (v1) zijn en niet influx_v2) en dat was het zo'n beetje.
Vrij letterlijk ook, want Grafana heb ik vrijwel niks in staan (en dus ook geen "standaard" dashboard over genomen).
Ik ben er dus niet heel fanatiek mee.

En v.w.b. VictoriaLogs weet ik uberhaupt alleen van het bestaan af. Nooit naar gekeken verder en heb het dus ook niet draaien.
Maar zou ik eigenlijk wel moeten doen, met in totaal 5 server like systemen. VPS, router, servertje, "NAS" (/server), en OrangePi voor backups bij familie. Allemaal Debian (/ARMBian op OrangePi). Jip. Dat is incl router die plain Debian draait.

donderdag 9 oktober 2025 17:32

Acties:
  • RobertMe
  • Registratie: Maart 2009
  • Laatst online: 23:36

RobertMe

Overigens weet ik niet of ik nog welkom ben in dit topic? :+

Vorige maand de NAS / server opnieuw geïnstalleerd en Podman er op gezet. En vervolgens was ik een week later, terwijl dat nog niet eens goed en wel draaide, de router ook aan het over zetten naar Podman. Dus van de 4 systemen met een OCI runtime zijn er nu nog maar 2 met Docker, en 2 met Podman.

Waarom Docker / Podman op een router? Nouja, bv Unbound als DNS :p. Maar gezien het "servertje" 8GB gesoldeerd RAM heeft en vol zit, en de router SODIMM heeft, en ik begon met 1 8GB reepje van een oude 16GB set, en daarvan al veel vrij was, en intussen het andere reepje er ook in zit, draait er veel meer op de router. Waaonder intussen ook Forgejo & Renovate. En beide zijn dan mini PCtjes met een Intel N5105, dus gelijke performance. De nu NAS, met 3x 3,5" HDD en dus onzuinig, heeft wel meer paardenkrachtjes (i3-9100, 32GB RAM), maar die staat alleen on-demand aan. Zowel router als servertje zit een 4TB SSD in voor opslag die nodig is, en de Linux ISOs worden permanent op de NAS bewaard zeg maar :+

Enige "issue" waar ik nu met Podman tegenaan loop is dat Telegraf draaiende onder de telegraf user natuurlijk geen toegang heeft tot de Podman socket (Docker compatibiliteit) aangezien Podman alles doet onder de user die het commando uitvoert en dus geen "extra" toegang geeft (zoals bij Docker zelf dus iedereen in de "docker" user group toegang heeft tot de socket).

donderdag 9 oktober 2025 19:40

Acties:
  • alex3305
  • Registratie: Januari 2004
  • Laatst online: 22:06

alex3305

RobertMe schreef op donderdag 9 oktober 2025 @ 17:32:
Overigens weet ik niet of ik nog welkom ben in dit topic? :+
Misschien is een topic naamswijziging wel op z'n plaats? Ik blijf OCI containers uit gewoonte nog toch steeds Docker containers noemen. Of die dan aangestuurd worden door de Docker of Podman runtime vind ik om het even. Ook heb ik uit gewoonte ook altijd een alias ingesteld op machines met podman.

Ik ben zelf al enige tijd aan het spelen met rootless containers. Ook in Docker. Zie bijvoorbeeld mijn Forgejo Runner + DIND image. Maar dat werkt niet optimaal. Ik krijg regelmatig vage foutmeldingen en VPNKit - die gebruikt wordt voor netwerktoegang - gebruikt soms achterlijk veel CPU. Ik heb dus ook al overwogen om dat om te bouwen naar Podman. En eventueel op termijn twee releases cq. Dockerfile's bij te houden.

donderdag 9 oktober 2025 21:36

Acties:
  • Mars Warrior
  • Registratie: Oktober 2003
  • Laatst online: 19-11 13:01

Mars Warrior

Earth, the final frontier

RobertMe schreef op donderdag 9 oktober 2025 @ 17:32:
Overigens weet ik niet of ik nog welkom ben in dit topic? :+
Alleen dit topic 🥴🤣 ?

Material 3 Thema's voor HA | Swiss Army Knife custom card voor HA | AmoebeLabs

donderdag 9 oktober 2025 21:42

Acties:
  • Mars Warrior
  • Registratie: Oktober 2003
  • Laatst online: 19-11 13:01

Mars Warrior

Earth, the final frontier

Nou. Na 4 uur kloten met Traefik en 50 containers draait het op de belangrijkste containers.

Wat een ongelofelijk fout gevoelig en irritant pakket om sommige vlakken. Caddy draaide na een paar minuten en heeft geen moeite met bijv niet-healthy containers om maar iets te noemen.

Traefik slaat ze gewoon over. Dus geen toegang, geen certificaat, niks nakkes nada. Ook niks zichtbaar op de webgui. Waar bemoeit dat pakket zich mee 🧐

Ben er ff helemaal klaar mee.

Material 3 Thema's voor HA | Swiss Army Knife custom card voor HA | AmoebeLabs

donderdag 9 oktober 2025 21:50

Acties:
  • RobertMe
  • Registratie: Maart 2009
  • Laatst online: 23:36

RobertMe

Mars Warrior schreef op donderdag 9 oktober 2025 @ 21:42:
Wat een ongelofelijk fout gevoelig en irritant pakket om sommige vlakken. Caddy draaide na een paar minuten en heeft geen moeite met bijv niet-healthy containers om maar iets te noemen.

Traefik slaat ze gewoon over. Dus geen toegang, geen certificaat, niks nakkes nada. Ook niks zichtbaar op de webgui. Waar bemoeit dat pakket zich mee 🧐
De container is unhealthy, dus...? Wat zou die er dan mee moeten doen? Daadwerkelijk requests uitvoeren kan die toch niet.

En ja, wellicht dat die iets er mee kan. Maar blijkbaar is de implementatie dat die de hele service/route pas toevoegt als die healthy/started is en verwijderd als dat niet meer de status is. An zich best iets voor te zeggen IMO.

En uiteraard kun je de services / routes ook op een andere manier vastleggen (in een file bv), dan bestaan ze wel altijd.

Overigens niet alles gevolgd, maar waarom ben je nu, zo ontzettend tegen je zin in, alsnog de overstap aan het maken? Je geeft uhm, al jaren op Traefik af en vind Caddy geweldig.

Edit:
Owja, trouwens is er ook [Traefik - Proxy/Loadbalancer] Ervaringen & Discussie Daar is het onderwerp Traefik veel meer ontopic :P

[ Voor 6% gewijzigd door RobertMe op 09-10-2025 22:03 ]

donderdag 9 oktober 2025 22:09

Acties:
  • alex3305
  • Registratie: Januari 2004
  • Laatst online: 22:06

alex3305

RobertMe schreef op donderdag 9 oktober 2025 @ 21:50:
Overigens niet alles gevolgd, maar waarom ben je nu, zo ontzettend tegen je zin in, alsnog de overstap aan het maken? Je geeft uhm, al jaren op Traefik af en vind Caddy geweldig.
Die snap ik ook niet helemaal eigenlijk. Misschien toch lichtelijke FOMO voor @Mars Warrior :P ? Dat zou mij namelijk ook kunnen gebeuren O-).

Ik begrijp alleen niet zo goed waarom @Mars Warrior unhealthy containers heeft eigenlijk. Ik heb geen enkele unhealthy container, maar ik heb wel een boel containers zonder health check. Meestal omdat ik niet de moeite heb genomen om de health check in te stellen in Compose O-). Het is overigens wel mogelijk om de health check uit te zetten als je er 'last van hebt':

compose.yaml
YAML:
1
2
3
4
5
6
7
8
9
10

services:
  # Oudere Docker Compose
  your-service:
    healthcheck:
      test: ["NONE"]

  # Moderne Docker Compose, waarschijnlijk wil je deze
  your-service:
    healthcheck:
      disable: true


Als ik het me goed kan herinneren scheelt dit ook (een aantal) CPU cycles :).

Eveneens lijkt het mogelijk om Traefik Docker health checks te laten negeren met de optie allowEmptyServices:

traefik.yaml
YAML:
1
2
3
4
5
6
7
8

providers:
  providersThrottleDuration: 15s

  docker:
    watch: true
    exposedByDefault: false
    allowEmptyServices: true
    network: "swarm-overlay"

donderdag 9 oktober 2025 22:16

Acties:
  • alex3305
  • Registratie: Januari 2004
  • Laatst online: 22:06

alex3305

Om nog even terug te komen op mijn monitoring vraag. Ik ben vandaag toch weer teruggegaan naar Beszel. Ik heb geen zin om Grafana te leren. Hoe zeer mijn FOMO dan opspeelt :+. Daarbovenop komt dan ook nog dat Docker stats - wat voor mij een basiscomponent is - lastig energiezuinig én betrouwbaar in Prometheus te krijgen zijn. Het zal allicht allemaal aan mij en mijn setup liggen, maar tegen het eenvoudige karakter van Beszel kan dit dan gewoon niet op.

Wel heb ik met Ansible de disk mounts toegevoegd aan de agent container(s). Die miste ik wel echt in Beszel en was ook een van de redenen dat ik over wilde gaan. Ik heb hiermee nog twee punten openstaan:
  • Reverse Proxy statistieken en access logging (Traefik en...? maar hier OT)
  • Uitval van statistieken bij hoge load (maar hier ook enigszins OT)
Waarbij dat laatste door Unraid en mijn Docker setup lijkt te komen.

Maar goed, ik ben blij met het resultaat, inclusief Intel GPU monitoring en dus de afzonderlijke disks:
Afbeeldingslocatie: https://tweakers.net/i/it-Ic-98YNlsQsiePDQdHkXFnrk=/232x232/filters:strip_exif()/f/image/YuEti3cN8VE5XdKhbOaoidzs.png?f=fotoalbum_tileAfbeeldingslocatie: https://tweakers.net/i/kKYompGGw29scaMv-SM5GpkarFk=/232x232/filters:strip_exif()/f/image/ry75pQj9UcY8yC4IuXW6QMJL.png?f=fotoalbum_tileAfbeeldingslocatie: https://tweakers.net/i/LWZXPuqBV465dVq09V4nd7aYvUc=/232x232/filters:strip_exif()/f/image/enNosT7qp8BR4E78jt09dxoT.png?f=fotoalbum_tile

donderdag 9 oktober 2025 22:22

Acties:
  • RobertMe
  • Registratie: Maart 2009
  • Laatst online: 23:36

RobertMe

alex3305 schreef op donderdag 9 oktober 2025 @ 22:09:
Ik begrijp alleen niet zo goed waarom @Mars Warrior unhealthy containers heeft eigenlijk. Ik heb geen enkele unhealthy container, maar ik heb wel een boel containers zonder health check. Meestal omdat ik niet de moeite heb genomen om de health check in te stellen in Compose O-). Het is overigens wel mogelijk om de health check uit te zetten als je er 'last van hebt':

compose.yaml
YAML:
1
2
3
4
5
6
7
8
9
10

services:
  # Oudere Docker Compose
  your-service:
    healthcheck:
      test: ["NONE"]

  # Moderne Docker Compose, waarschijnlijk wil je deze
  your-service:
    healthcheck:
      disable: true


Als ik het me goed kan herinneren scheelt dit ook (een aantal) CPU cycles :).
Ik denk dat @Mars Warrior daar bekend mee is. Want in het zuinige server topic begon die juist over een hoger stroomverbruik (of in ieder geval package power usage) door een container die "stiekem" een health check had geïntroduceerd :P

Bedoel je trouwens niet "Docker Compose" i.p.v. "oudere Docker Compose" en "Compose" i.p.v. "moderne Docker Compose" O-) De "nieuwe" is immers een semi onafhankelijke standaard.
Eveneens lijkt het mogelijk om Traefik Docker health checks te laten negeren met de optie allowEmptyServices:

traefik.yaml
YAML:
1
2
3
4
5
6
7
8

providers:
  providersThrottleDuration: 15s

  docker:
    watch: true
    exposedByDefault: false
    allowEmptyServices: true
    network: "swarm-overlay"
Cool. Gevalletje RTFM dus :+. Ik had wel even snel gezocht (/DuckDuckGo). En eerste hit was een issue met een "gaan we niet doen" reply en closed. Blijkbaar later dus alsnog toegevoegd.

vrijdag 10 oktober 2025 12:02

Acties:
  • Mars Warrior
  • Registratie: Oktober 2003
  • Laatst online: 19-11 13:01

Mars Warrior

Earth, the final frontier

RobertMe schreef op donderdag 9 oktober 2025 @ 21:50:
[...]
De container is unhealthy, dus...? Wat zou die er dan mee moeten doen? Daadwerkelijk requests uitvoeren kan die toch niet.
Als de health-check faalt wil dat niet per definitie zeggen dat er ook maar iets aan de container mankeert. Sommige containers hebben een manke health-check namelijk. Al mijn unhealthy containers werken gewoon, al jaaaaaaaaaaaaaaaaaaaaaren.

Het gedrag van Traefik in dit geval staat ook nergens uitgelegd als intro. Het is dat ik logging=DEBUG heb aangezet, dat ik die melding voorbij zag komen.

En ja, ook ik heb er op gezocht. Maar een naam als allowEmptyServices klinkt nu niet echt logisch, of wel?

De documentatie laat ook hier nogal wat steken vallen: https://doc.traefik.io/tr...providersThrottleDuration beschrijft geen defaults, laat staan of het ms/sec/uren zijn. Typische technische documentatie die voor mij zo ongeveer onbruikbaar is.
Overigens niet alles gevolgd, maar waarom ben je nu, zo ontzettend tegen je zin in, alsnog de overstap aan het maken? Je geeft uhm, al jaren op Traefik af en vind Caddy geweldig.
Ik vind de eenvoud van Caddy geweldig samen met de docker proxy plugin. 3 regels labels en gaan _/-\o_

Maar als je wat meer wilt, bijv met L4 of andere dingen, dan loop je tegen allerhande syntax problemen aan omdat de syntax soms conflicteerd met YAML maps, en dus ben ik veel tijd kwijt. Ook het niet kunnen mixen van een algemene config en de label config is soms een show stopper.

Verder heb ik steeds meer last van bots en andere irritante (AI) scrapers die robots.txt negeren en daarmee mijn back ends onnodig belasten: alles wordt wel tegengehouden dankzij WAFjes in de containers zelf, maar ik wil dat liever aan de voorkant allemaal om zeep helpen. Ik heb nu totaal richting de 2.000 (!!!) actieve lock-outs in de diverse containers.

Vandaar was ik al aan het inlezen over CrowdSec en Anubis, en stomtoevalig kwam @alex3305 vervolgens met wat voorbeelden op de proppen en liet dus zien hoeveel er - ondanks Cloudflare - toch wordt tegengehouden. En Traefik kan in deze een betere/makkelijkere integratie bieden dan Caddy, zeker als je het met de docker proxy plugin wilt regelen: dat is bijna geen doen :'(

En verder heb je tegenwoordig ChatGPT die de omzetting van Caddy labels naar Treafik labels stukken eenvoudiger maakt. Oké, dat ding verzint af en toe labels en functionaliteit die helemaal niet bestaan, maar dan crashed Traefik gewoon 8)7

En op mijn vraag waarom ChatGPT niet bestaande velden gebruikt...
💯 Hele terechte (en terechte felle 😉) vraag — en je hebt gelijk om dat scherp te stellen.
Laat me dat even goed uitleggen, want dit gaat over een grens tussen conceptuele uitleg en echte YAML-syntax bij Traefik.
🧩 1️⃣ Wat er precies gebeurde

Toen ik die snippet eerder schreef met:

regex: ".*(xx\\.com|yy\\.nl|zz\\.com).*"

… was dat bedoeld als commentaar / illustratief concept,
niet als geldige Traefik-config — maar ik heb dat niet duidelijk genoeg gemarkeerd.
In Caddy kun je soortgelijke domein-filters wél rechtstreeks doen in de global config,
en ik probeerde te laten zien hoe dat idee er in Traefik uit zou zien,
maar dat was fout geplaatst: het leek alsof dat veld echt bestond.

Kortom: mijn fout ✅ — dat hoort niet thuis in een echte traefik.yaml.
Dus ik was er al even mee bezig. Het is niet dat ik spontaan ff denk: ach laat ik ff voor de gein dingen gaan omzetten voor 50 containers die ook nog eens veel extern gebruikt worden :X

Ik heb nu weer een werkende config: ik zie wel dat Traefik ca 30ms trager is dan Caddy, maar dat is dan maar zo. Ik heb nog niet naar optimalisaties gekeken, of dat Redis oid nog kan helpen.

Ik ga ervan uit dat dankzij die enkele access.log van Traefik (ipv per domein/site) en de efficientie van CrowdSec, dat dit sowieso sneller is dan de PHP WAFjes op de backends.

Ook lijkt het minder werk dan alles met Fail2Ban trachten te regelen, zeker als ik ook de CrowdSec firewall gebruik die alles meteen op OS niveau blokkeert (iptables/nftables).

Dus er komen weer een paar leuke docker containers bij _/-\o_

Material 3 Thema's voor HA | Swiss Army Knife custom card voor HA | AmoebeLabs

vrijdag 10 oktober 2025 14:06

Acties:
  • Mars Warrior
  • Registratie: Oktober 2003
  • Laatst online: 19-11 13:01

Mars Warrior

Earth, the final frontier

Zo!
alex3305 schreef op woensdag 8 oktober 2025 @ 21:57:
@Mars Warrior Voor de goede orde, het documentatiepunt was geen kritiek hè :). Ik snap niet dat mensen ChatGPT of iets vergelijkbaars eenvoudig vinden. Ik vind documentatie lezen dan vaak eenvoudiger :+.
Mijn neurodiverse brein ziet liever plaatjes en samenhang. Die ontbreekt vaak, dus ik heb vaak moeite met tig pagina's documentatie lezen terwijl ik niet weet wat ik zoek :D

Als ik ChatGPT de link geef van de actuele documentatie, dan is die vaak goed in staat om dingen te zoeken en samen te vatten. Scheelt me gewoon veel tijd.

Het is wel zo dat je altijd kennis moet hebben van de materie, want ChatGPT verzint nogal eens wat, of claimt dat iets kan wat helemaal niet kan. Dus je zult moeten blijven vragen, zo van "Ken je dit pakket". "Welke versies ken je", etc. om te weten wat de referentie voor de antwoorden is.

Maar heb je eenmaal wat dingen op orde met ChatGPT dan kan deze dus heel goed labels vertalen in dit geval van Caddy naar Traefik, maar ook vertaalbestanden aanmaken voor Wordpress. Er zit vaak wel een beperking in de output qua regels, oftewel je zult dingen zelf moeten ophakken, of ChatGPT in batches laten werken, maar het gaat alsnog factoren sneller dan ik ooit zelf zou kunnen doen.

Met CrowdSec (zie hieronder voor metrics) had ik ook ff problemen met ChatGPT die de oude parameters in eerste instantie nam...

code:
1
2
3
4
5

| Situatie                    | Te gebruiken parameters                          |
| --------------------------- | ------------------------------------------------ |
| Oudere plugin (≤ 1.2)       | `api_url`, `api_key`, `log_level`                |
| Nieuwe plugin (≥ 1.3 / 1.4) | `CrowdsecLapiUrl`, `CrowdsecLapiKey`, `LogLevel` |
| Jouw foutmelding?           | Gebruik **de nieuwe** namen                      |

Maar dat eenmaal duidelijk kwamen alle definities voor crowdsec zelf en Traefik eruit rollen. Die heb ik in de betreffende yaml bestanden gezet, en gaan met die banaan...

Ik laat dit voorlopig ff draaien om te zien wat CrowdSec oppikt. AppSec komt dan later wel.
Ik zag wel dat de GUI niet meer wordt meegeleverd, en dat je nu moet koppelen met een gratis account in de cloud.

code:
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67
68
69
70

╭────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────╮
│ Acquisition Metrics                                                                                                        │
├──────────────────────────────────┬────────────┬──────────────┬────────────────┬────────────────────────┬───────────────────┤
│ Source                           │ Lines read │ Lines parsed │ Lines unparsed │ Lines poured to bucket │ Lines whitelisted │
├──────────────────────────────────┼────────────┼──────────────┼────────────────┼────────────────────────┼───────────────────┤
│ file:/var/log/traefik/access.log │ 467        │ 467          │ -              │ 12                     │ 457               │
╰──────────────────────────────────┴────────────┴──────────────┴────────────────┴────────────────────────┴───────────────────╯
╭─────────────────────────────────────────────────╮
│ Local API Decisions                             │
├───────────────────────┬────────┬────────┬───────┤
│ Reason                │ Origin │ Action │ Count │
├───────────────────────┼────────┼────────┼───────┤
│ ssh:exploit           │ CAPI   │ ban    │ 516   │
│ vm-management:exploit │ CAPI   │ ban    │ 35    │
│ generic:scan          │ CAPI   │ ban    │ 1185  │
│ http:bruteforce       │ CAPI   │ ban    │ 6384  │
│ http:crawl            │ CAPI   │ ban    │ 18    │
│ http:exploit          │ CAPI   │ ban    │ 16    │
│ http:scan             │ CAPI   │ ban    │ 4446  │
│ ssh:bruteforce        │ CAPI   │ ban    │ 2394  │
╰───────────────────────┴────────┴────────┴───────╯
╭────────────────────────────────────╮
│ Local API Metrics                  │
├────────────────────┬────────┬──────┤
│ Route              │ Method │ Hits │
├────────────────────┼────────┼──────┤
│ /v1/alerts         │ GET    │ 3    │
│ /v1/heartbeat      │ GET    │ 20   │
│ /v1/usage-metrics  │ POST   │ 1    │
│ /v1/watchers/login │ POST   │ 4    │
╰────────────────────┴────────┴──────╯
╭───────────────────────────────────────────╮
│ Local API Machines Metrics                │
├───────────┬───────────────┬────────┬──────┤
│ Machine   │ Route         │ Method │ Hits │
├───────────┼───────────────┼────────┼──────┤
│ localhost │ /v1/alerts    │ GET    │ 3    │
│ localhost │ /v1/heartbeat │ GET    │ 20   │
╰───────────┴───────────────┴────────┴──────╯
╭────────────────────────────────────────────────────────────────╮
│ Parser Metrics                                                 │
├────────────────────────────────────┬───────┬────────┬──────────┤
│ Parsers                            │ Hits  │ Parsed │ Unparsed │
├────────────────────────────────────┼───────┼────────┼──────────┤
│ child-crowdsecurity/http-logs      │ 1.40k │ 1.09k  │ 316      │
│ child-crowdsecurity/traefik-logs   │ 467   │ 467    │ -        │
│ crowdsecurity/dateparse-enrich     │ 467   │ 467    │ -        │
│ crowdsecurity/geoip-enrich         │ 10    │ 10     │ -        │
│ crowdsecurity/http-logs            │ 467   │ 467    │ -        │
│ crowdsecurity/non-syslog           │ 467   │ 467    │ -        │
│ crowdsecurity/public-dns-allowlist │ 467   │ 467    │ -        │
│ crowdsecurity/traefik-logs         │ 467   │ 467    │ -        │
│ crowdsecurity/whitelists           │ 467   │ 467    │ -        │
╰────────────────────────────────────┴───────┴────────┴──────────╯
╭────────────────────────────────────────────────────────────────────────────────────────────────────╮
│ Scenario Metrics                                                                                   │
├──────────────────────────────────────┬───────────────┬───────────┬──────────────┬────────┬─────────┤
│ Scenario                             │ Current Count │ Overflows │ Instantiated │ Poured │ Expired │
├──────────────────────────────────────┼───────────────┼───────────┼──────────────┼────────┼─────────┤
│ crowdsecurity/http-crawl-non_statics │ -             │ -         │ 9            │ 9      │ 9       │
│ crowdsecurity/http-probing           │ -             │ -         │ 3            │ 3      │ 3       │
╰──────────────────────────────────────┴───────────────┴───────────┴──────────────┴────────┴─────────╯
╭───────────────────────────────────────────────────────────────────────────────────────╮
│ Whitelist Metrics                                                                     │
├────────────────────────────────────┬─────────────────────────────┬──────┬─────────────┤
│ Whitelist                          │ Reason                      │ Hits │ Whitelisted │
├────────────────────────────────────┼─────────────────────────────┼──────┼─────────────┤
│ crowdsecurity/public-dns-allowlist │ public DNS server           │ 467  │ -           │
│ crowdsecurity/whitelists           │ private ipv4/ipv6 ip/ranges │ 467  │ 457         │
╰────────────────────────────────────┴─────────────────────────────┴──────┴─────────────╯

Edit:
Gratis account aangemaakt, en de eerste bans zijn inmiddels uitgedeeld _/-\o_

Material 3 Thema's voor HA | Swiss Army Knife custom card voor HA | AmoebeLabs

vrijdag 10 oktober 2025 22:40

Acties:
  • Mars Warrior
  • Registratie: Oktober 2003
  • Laatst online: 19-11 13:01

Mars Warrior

Earth, the final frontier

Nou. Crowdsec loopt lekker. Het aantal Alerts stijgt ook!

Maar wat me opvalt: Alle IP adressen van deze alerts staan ook in de lijst van https://threathive.net/
Deze IP lijst bevat iets van 120.000 IPv4 adressen van bekende etterbakjes en wordt elke 15 minuten bijgewerkt.

Er is een leuk script op deze site die deze lijst ophaalt en geschikt maakt om te importeren in CrowdSec. Dus misschien leuk om te gebruiken :D

Je bent dan in ieder geval van grote bekende overlastgevers af.

Material 3 Thema's voor HA | Swiss Army Knife custom card voor HA | AmoebeLabs

zaterdag 11 oktober 2025 12:07

Acties:
  • Mars Warrior
  • Registratie: Oktober 2003
  • Laatst online: 19-11 13:01

Mars Warrior

Earth, the final frontier

@alex3305 , heb jij nog een voorbeeld van AppSec config?

Ik heb deze guide gevolgd: https://docs.crowdsec.net...ppsec/quickstart/traefik/

Ik kom niet uit de documentatie qua wat nu aan elkaar hangt. Bij mij is elke keer als ik AppSec actief maak dat alle websites geblokkeerd worden.

Maar ik zie talloze voorbeelden daarna met "bouncer", "crowdsec-bouncer" en meer. Dus hoe moet dat heten? Er wordt ook een bouncer "TRAEFIK" aangemaakt zie ik via een environment var: die moet dan BOUNCER_KEY_TRAEFIK heten.

YAML:
1
2
3
4
5
6
7
8
9

  infra-crowdsec:
    image: crowdsecurity/crowdsec:latest
    container_name: infra-crowdsec
    environment:
      # - COLLECTIONS=crowdsecurity/traefik
      ## Please note the spaces between the collections names (hence why the quotes are needed)
      - 'COLLECTIONS=crowdsecurity/traefik crowdsecurity/appsec-virtual-patching crowdsecurity/appsec-generic-rules'
      - TZ=Europe/Amsterdam
      - BOUNCER_KEY_TRAEFIK="KEY"

Met wat geklooi heb ik nu 3 bouncers, ieder met hun eigen API key
code:
1
2
3
4
5
6
7

------------------------------------------------------------------------------
 Name              IP Address  Valid  Last API pull  Type  Version  Auth Type
------------------------------------------------------------------------------
 traefik-bouncer               ✔️                                   api-key
 TRAEFIK                       ✔️                                   api-key
 crowdsec-bouncer              ✔️                                   api-key
------------------------------------------------------------------------------


In traefik.yaml, conform voorbeelden:
YAML:
1
2
3
4
5

experimental:
  plugins:
    bouncer:
      moduleName: github.com/maxlerebourg/crowdsec-bouncer-traefik-plugin
      version: v1.4.5


Ik heb in middlewares.yaml:
YAML:
1
2
3
4
5
6
7
8
9
10
11

    crowdsec:
      plugin:
        bouncer:
          crowdsecLapiUrl:  "http://infra-crowdsec:8080/"
          crowdsecLapiKey:  "KEY"
          LogLevel: DEBUG
          enabled: false
          crowdsecAppsecEnabled: false
          crowdsecAppsecHost: infra-crowdsec:7422
          crowdsecAppsecFailureBlock: false
          crowdsecAppsecUnreachableBlock: false


De AppSec yaml file, met volgens de documentatie 0.0.0.0 adres vanwege docker.
YAML:
1
2
3
4
5
6
7

appsec_config: crowdsecurity/appsec-default
labels:
    type: appsec
listen_addr: 0.0.0.0:7422
# listen_addr: 127.0.0.1:7422
source: appsec
name: myAppSecComponent

Maar wat ik ook invul onder "bouncer", alle sites gaan op 403 op het moment dat ik enabled op true zet :'(

Enig idee wat ik nu weer fout doe?

Material 3 Thema's voor HA | Swiss Army Knife custom card voor HA | AmoebeLabs

zaterdag 18 oktober 2025 13:26

Acties:
  • Mars Warrior
  • Registratie: Oktober 2003
  • Laatst online: 19-11 13:01

Mars Warrior

Earth, the final frontier

Omdat @alex3305 zo aardig was om ff in het Traefik topic te helpen heb ik CrowdSec nu lekker draaien.

Ik krijg gemiddeld zo'n 100 alerts per dag. De gratis versie van de CrowdSec console toont enkel 500 alerts per maand: dat is voor mij dus na 5 dagen op :(
Gelukkig neemt dit aantal wel af doordat ik nu een dynamische bantijd gebruik: afhankelijk van het aantal voorgaande "decisions", wordt de bantijd nu verlengd!

Dus ik dacht ach: containertje erbij en hoppa: dan maak ik me eigen dashboards wel met Metabase:
  • Container erbij (enkel Metabase met eigen database, Postgres wilde niet op de één of andere manier)
  • Container erbij voor de ronde vlaggetjes (kon geen cdn vinden)
  • CrowdSec database ff leesbaar maken qua rechten
  • ChatGPT de queries laten maken nadat ik de tabel en veldnamen had doorgegeven. Dat ding snapt de queries voor SQLite zodat ik zonder zoekwerk die kolommen als "Geleden" en "Resterend" heb: dat zijn flinke CASE statements namelijk!
De Alerts, inclusief wat verdelingen naar land
Amerika en Japan zijn duidelijk de favoriteten, waarbij de ASN in heel veel gevallen of Amazon is, of Microsoft. Dus die cloud wordt goed gebruikt door de verschillende botjes :D

Afbeeldingslocatie: https://tweakers.net/i/2xyJBWru08GKgMP4H8mjCaAr1Z0=/800x/filters:strip_exif()/f/image/U5kNzYPNoCEQeC4ljdDyDJ8V.png?f=fotoalbum_large

De "Geleden" kolom in de "Laatste 100 Alerts" tabel als voorbeeld die ChatGPT er in één keer werkend uitpoepte. Of het allemaal perfect geoptimaliseerd is weet ik niet. De query duurt 6ms, dus ik maak me daar niet druk om:
SQL:
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50

SELECT
    id,
    datetime(created_at, 'localtime') AS "Tijdstip",

    CASE
        WHEN CAST((julianday('now') - julianday(created_at)) * 24 * 60 AS INT) < 60
            THEN printf('%d minuten geleden',
                CAST(((julianday('now') - julianday(created_at)) * 24 * 60) % 60 AS INT)
            )
        WHEN CAST((julianday('now') - julianday(created_at)) AS INT) = 0
            THEN printf('%d uur geleden',
                CAST(((julianday('now') - julianday(created_at)) * 24) % 24 AS INT)
            )
        WHEN CAST((julianday('now') - julianday(created_at)) AS INT) = 1
            THEN
                CASE
                    WHEN CAST(((julianday('now') - julianday(created_at)) * 24) % 24 AS INT) = 0
                        THEN '1 dag geleden'
                    ELSE printf('1 dag, %d uur geleden',
                        CAST(((julianday('now') - julianday(created_at)) * 24) % 24 AS INT)
                    )
                END
        ELSE
            CASE
                WHEN CAST(((julianday('now') - julianday(created_at)) * 24) % 24 AS INT) = 0
                    THEN printf('%d dagen geleden',
                        CAST((julianday('now') - julianday(created_at)) AS INT)
                    )
                ELSE printf('%d dagen, %d uur geleden',
                    CAST((julianday('now') - julianday(created_at)) AS INT),
                    CAST(((julianday('now') - julianday(created_at)) * 24) % 24 AS INT)
                )
            END
    END AS "Geleden",

    source_ip          AS "IP",
    source_country     AS "Land",
    source_as_name     AS "ASN naam",
    scenario           AS "Scenario",
    events_count       AS "Aantal events",
    CASE
        WHEN remediation = 1 THEN '✅'
        WHEN remediation = 0 THEN '❌'
        ELSE '❔'
    END AS "Remedie"

FROM alerts
WHERE source_scope = 'Ip'
ORDER BY created_at DESC
LIMIT 100;


De Decisions, inclusief wat verdelingen naar land
Je ziet hier duidelijk het resultaat van dynamische / progressieve bantijden: bij elke overtreding komt er een dag bij namelijk.
Er zijn nu dus 142 actieve bans! (let op: meerdere per IP, omdat CrowdSec zo werkt)

Afbeeldingslocatie: https://tweakers.net/i/TvsvJ8zJFwhAVqNJfvVIlH4szgA=/800x/filters:strip_exif()/f/image/2F789DMg5dUreiqcSajdShU0.png?f=fotoalbum_large

De WAFjes (Web Application Firewalls) op de backends hebben de laatste dagen steeds minder te doen, sommige melden al dagen helemaal niks meer. Een teken dat de CrowdSec + AppSec firewall in Traefik zijn/haar werk doet!

[ Voor 5% gewijzigd door Mars Warrior op 18-10-2025 19:09 . Reden: Nu met ronde vlaggetjes! ]

Material 3 Thema's voor HA | Swiss Army Knife custom card voor HA | AmoebeLabs

maandag 20 oktober 2025 18:08

Acties:
  • StarWing
  • Registratie: Januari 2003
  • Laatst online: 13:33

StarWing

Huh ?!?

Ik heb afgelopen weekend een aparte post gemaakt met een vraag, maar het lijkt me ondertussen beter dat ik deze hier stel.
Ik ben al een tijdje bezig met docker, en heb een aantal containers draaien. Ik ben verre van een expert, en er zitten geen ingewikkelde scripts achter, maar alles werkt :)
Enkel een directory \docker met elke container in een aparte submap en bijhorende docker-compose, en een watchtower die de boel up-to-date houd.
Deze docker host staat op een ESXi machine, maar ik wil hier op termijn van af. De bedoeling is van de resterende services die een aparte VM vereisen (oa Home Assistant) in een nieuwe docker container te gooien.
Echter zitten deze op een aparte IoT vlan. En da's waar ik een probleem heb. Ik snap het idee achter netwerken etc, maar heb totaal geen idee hoe ik dit moet configureren in docker. Laat staan zonder de huidige config te breken.
Ik heb me ondertussen ingelezen in dit topic, maar 100% zeker ben ik toch niet, en ik heb totaal geen zin om mijn bestaande docker host te slopen (zoals ik in het verleden wel eens gedaan heb).

In eerste instantie is het idee van op de ubuntu host een 2de netwerkkaart toe te voegen en aldaar een test container aan te hangen om te zien of mijn opzet werkt, cfr de eerdere post die ik gemaakt heb.
Naderhand wil ik in eerste instantie de resterende services migreren naar docker en nadien een nieuwe server bouwen, maar dan bare metal ipv met esxi.

Onderstaande is een tekening hoe ik het in gedachten heb, lijkt dit wat, of sla ik hier de bal mis met mijn beperkte kennis ? En vooral, hoe moet ik dit aanpakken qua docker configuratie en aanpassingen in de docker-compose bestanden?
Afbeeldingslocatie: https://tweakers.net/i/IvxhVy7VzPtjQMQHXzekm8XO44I=/fit-in/4920x3264/filters:max_bytes(3145728):no_upscale():strip_icc():strip_exif()/f/image/MRxiJ58Z1OSarQpajY5pIIXg.jpg?f=user_large

Page intentionally left blank.

maandag 20 oktober 2025 19:52

Acties:
  • Airw0lf
  • Registratie: Mei 2005
  • Laatst online: 21:42

Airw0lf

@StarWing - de werking op een host is niet anders dan in een VM.

Dit wil zeggen dat de ens160 van je Ubuntu host automagically in je management vlan komt te zitten - doorgaans vlan 1. In de host networking config voeg je daar een of meer virtuele interfaces toe - bijvoorbeeld ens160.10 en ens160.30 voor respectievelijk vlan 10 en 30 - elk met hun eigen subnet.

Als je de containers start met de host interface (i.p.v. de standaard bridge interface) dan zijn alle containers via alle interfaces bereikbaar. Als je de containers start met de bridge interface kan je het IP adres van een van de host interfaces toevoegen aan de poortnummers waardoor de container alleen via dat IP adres bereikbaar is.

Hoewel je in Ubuntu kunt werken met secondary IP adressen is het niet handig om op een interface meerdere IP adressen te hebben. Ik weet ook niet hoe Docker containers dat gaan zien - nooit geprobeerd.

Weet dat een HASS-VM functioneel niet gelijk is aan een Docker uitvoering - je gaat hiervoor waarschijnlijk meerdere Docker containers moeten starten.

Als je perse van ESX af wil ben je het beste af bent met de inzet van Proxmox. En via een Proxmox VM ga je dan de puzzel kunnen leggen om alles met Docker containers in te kleuren. Heb je dit in een VM allemaal draaien, dan kan je dan die config porten naar de host. Maar je gaat hoe dan ook een steile leercurve tegemoet met als mogelijk eindresultaat een Proxmox host met een of meer VM's en/of LXC containers. En daarbinnen een of meer Docker containers... bij mij heeft dat in ieder geval zo uitgepakt... :+

makes it run like clockwork

maandag 20 oktober 2025 21:14

Acties:
  • alex3305
  • Registratie: Januari 2004
  • Laatst online: 22:06

alex3305

@StarWing Docker containers in een eigen VLAN lijkt snel een enorme uitdaging, maar is vaak relatief eenvoudig :). Kort door de bocht zul je één of meerdere bruggen moeten slaan tussen het netwerk in de container en de buitenwereld. Ongeacht of daar onder water 1, 2 of 20 NICs aan hangen. Zo draaien mijn machines in het beheernetwerk op 192.168.1.0/24, maar hebben de containers een eigen VLAN. Bijvoorbeeld op 192.168.12.0/24.

Er zijn in Docker twee manieren, of eigenlijk netwerkdrivers, om dit te bereiken: ipvlan en macvlan. Met de macvlan driver krijgen de containers een eigen MAC-adres en worden ze dus als apart device door de (switch of) router gezien. Bij ipvlan krijgen ze hetzelfde MAC-adres als de host, maar hebben de containers een eigen IP-adres. Zelf heb ik de voorkeur voor ipvlan, vooral omdat MAC-adressen nog weleens willen wijzigen na bijvoorbeeld een reboot.

Het opzetten van een ipvlan netwerk is kinderlijk eenvoudig:
docker network create -d ipvlan \
    --subnet=192.168.1.0/24 \
    --gateway=192.168.1.1 \
    -o parent=enp3s0 \
    br0

Waarmee je netwerk br0 maakt zonder vlan tagging. Wil je ipvlan maken voor een vlan, dan is het commando net ff anders:
docker network create -d ipvlan \
    --subnet=192.168.38.0/24 \
    --gateway=192.168.12.1 \
    -o parent=enp3s0.12 \
    br0.12

Docker maakt nu voor mij het br0.12 netwerk aan en creeërt eveneens een nieuwe networkinterface:
$ ip a
2423: enp3s0.12@enp3s0: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc noqueue state UP group default

Docker containers kan ik vervolgens koppelen aan dit netwerk om te testen:
$ docker run --rm -it --network br0.12 alpine /bin/sh
/ # wget -O- tweakers.net
Resolving tweakers.net (tweakers.net)... 2.18.244.96, 2.18.244.78
Connecting to tweakers.net (tweakers.net)|2.18.244.96|:80... connected.
...


Wel opletten dat dit alleen werkt in een VLAN-aware omgeving. Met mijn oude ASUS router kreeg ik dit niet aan de praat. Op mijn Unifi spullen moet ik ook het 192.168.12.0/24 netwerk aangemaakt hebben om het werkend te krijgen. Zorg er dus voor dat je dit van te voren configureert!

Verder zie ik weinig brood in jouw opzet, maar dat komt omdat ik het groeperen niet helemaal begrijp. Maar goed, je moet het opzetten zoals jij het wilt. Ik heb bijvoorbeeld een reverse proxy die aan ipvlan netwerk zit en de rest gaat allemaal met overlay netwerken. Een enkele uitzondering nagelaten. Tegelijkertijd ben ik ook niet zo begonnen jaren geleden. Dat is allemaal natuurlijk gegroeid. D'r is geen goed of fout hè. Jij moet het beheren.

In Docker kun je overigens ook meerdere netwerken aan containers hangen. Ik snap dus niet helemaal wat @Airw0lf bedoelt. Er zijn containers bij mij bij die 3 of 4 IP-adressen hebben. Vooral intern. In totaal heb ik meer dan 25 netwerken met twee of meer containers. Zo vind ik het prettig.

Op mijn lijstje staat ook nog container isolatie binnen netwerken. Maar daar moet ik nog een keer uitgebreid voor gaan zitten.

maandag 20 oktober 2025 21:54

Acties:
  • Airw0lf
  • Registratie: Mei 2005
  • Laatst online: 21:42

Airw0lf

@alex3305 - misschien wat veel vragen tegelijk...
  1. Wat bedoel je precies met "meerdere netwerken aan containers hangen"?
  2. Wat is het idee achter "meer dan 25 netwerken met twee of meer containers"?
  3. Hoe doe je dat? Dat met 3 of 4 (interne) IP adressen aan een container?
Alvast unne dikke mercie voor de moeite! d:)b

[ Voor 40% gewijzigd door Airw0lf op 20-10-2025 21:58 ]

makes it run like clockwork

maandag 20 oktober 2025 22:19

Acties:
  • alex3305
  • Registratie: Januari 2004
  • Laatst online: 22:06

alex3305

Airw0lf schreef op maandag 20 oktober 2025 @ 21:54:
@alex3305 - misschien wat veel vragen tegelijk...
Nee joh, natuurlijk niet. Daarvoor is toch dit topic? :) Ik zal ze stuk voor stuk beantwoorden.
1. Wat bedoel je precies met "meerdere netwerken aan containers hangen"?
Netwerken werken in Docker net zoals in Linux, maar dat wist je al :). Echter kun je natuurlijk zoveel mogelijk netwerken aan een Docker container hangen als je wilt. Sterker nog, je kunt zelfs verschillende netwerktypes combineren voor soms wat bijzondere set-ups :9.

Ik heb dus setups (bijna allemaal O-) ) waar ik meerdere netwerken aan één container heb hangen. Bijvoorbeeld mijn Traefik (reverse proxy) container:

YAML:
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67
68
69
70
71
72
73
74
75
76
77

services:
  traefik:
    container_name: traefik
    image: traefik:v3.5.3
    networks:
      internal:
      ingress:
      ipvlan:
        ipv4_address: 192.168.10.10
        ipv6_address: 0123:4567:891a:1:b00b::135
      docker-socket:
      metrics:
    depends_on:
      - socket-proxy
      - valkey

  logrotate:
    container_name: traefik-logrotate
    image: ghcr.io/vegardit/traefik-logrotate:latest
    networks:
      docker-socket:
    depends_on:
      - traefik
      - socket-proxy
    volumes:
      - logs:/var/log/traefik:rw
    security_opt:
      - no-new-privileges=true

  socket-proxy:
    container_name: traefik-socket-proxy
    image: lscr.io/linuxserver/socket-proxy:latest
    restart: on-failure:5
    networks:
      docker-socket:
    environment:
      EVENTS: 1
      PING: 1
      VERSION: 1
      INFO: 1
      CONTAINERS: 1
      ALLOW_RESTARTS: 1
    volumes:
      - /var/run/docker.sock:/var/run/docker.sock:rw
    healthcheck:
      test: "wget --no-verbose --tries=1 --spider http://localhost:2375/info || exit 1"
    read_only: true
    tmpfs:
      - /run
    security_opt:
      - no-new-privileges=true

networks:
  internal:
    name: traefik-internal
    driver: overlay
    attachable: true

  ingress:
    name: swarm-overlay
    external: true

  ipvlan:
    name: br0.10
    external: true

  docker-socket:
    name: traefik-docker-socket
    attachable: false

  logging:
    name: logging-overlay
    external: true

  metrics:
    name: metrics-overlay
    external: true


Waarbij elk netwerk een eigen functie heeft:
  • internal: is een intern Swarm overlay netwerk voor Traefik waar Traefik, Redis en op mijn andere host traefik-kop aan gekoppeld zitten. Zo kan traefik-kop verbinding maken met Redis en Traefik voor config changes.
  • ingress: is het Docker Swarm overlay 'ingress' netwerk waar alle services aan zitten die naar buiten ontsloten worden.
  • ipvlan: zorgt voor de koppeling naar buiten via een eigen IPv4 en IPv6 adres. Deze adressen heb ik hier 'vast' geconfigureerd
  • docker-socket: koppelt aan een Docker Socket container die beperkte machtigingen heeft naar de Docker Socket onder water. Ook logrotate maakt hier gebruik van zodat logs veilig opgeruimd kunnen worden
  • logging: zorgt ervoor dat Grafana Alloy (ook in de stack) de logs van Traefik naar Grafana Loki kan krijgen
  • metrics: verzorgt de Prometheus metrics en zit dus gekoppeld aan... Prometheus :9.
Naast een vorm van veiligheid, zorgt deze segregatie er ook voor dat ik eenvoudig kan zien en bijhouden welke diensten waar gebruik van maken. Met docker network inspect logging kan ik bijvoorbeeld zien welke containers er überhaupt aan het logging netwerk hangen.

Elk netwerk heeft dus ook eigen permissies en eventuele afhankelijkheden. Mijn stack deploy ik met Ansible, waar ik dit ingeregeld heb. Daar heb ik ook variabelen voor deze netwerknamen. En als die missen zal het netwerk simpelweg niet gekoppeld worden :). Op die manier kan ik ook heel eenvoudig modulair onderdelen toevoegen of weghalen als ik ze niet meer wil gebruiken, zonder dat ik heel mijn stack om moet gooien.
2. Wat is het idee achter "meer dan 25 netwerken met twee of meer containers"?
Naast bovenstaand voorbeeld, vind ik Forgejo ook nog een mooi voorbeeld om dit mee te illustreren. De Forgejo Docker Compose stack maakt een netwerk aan bij de deployment. Dit interne Forgejo netwerk gebruik ik vervolgens voor o.a. de Forgejo Runner(s) en communicatie. Hierdoor kan een gedeelte van de communicatie binnendoor lopen en hoeft het niet allemaal (onnodig) langs de reverse proxy.
3. Hoe doe je dat? Dat met 3 of 4 (interne) IP adressen aan een container?
Al deze netwerken hebben een eigen subnet, al dan niet door mij aangemaakt. Voor elk netwerk maakt Docker in de container een interface aan met een bijbehorend IP adres. Er is een prioriteit mogelijkheid, maar die werkt niet. Ik heb daar eerder ook al iets over geschreven. In de praktijk is de prioriteit alfabetisch. Wel zou je per netwerk een hostname aan kunnen geven waarmee je dus specifiek per netwerk zou kunnen routeren.

Eerlijk gezegd heb ik hier nog nooit echt problemen mee gehad. Je kunt het natuurlijk zo eenvoudig of complex maken als je zelf wilt. Zoals ik in mijn vorige post al zei is het allemaal natuurlijk. Momenteel werkt dit voor mij prima en vind ik dit prettig, maar wellicht is dat over een tijdje weer anders.

Ik ben vooral te spreken over de overlay netwerken, aangezien ik Swarm en Compose gebruik. Daarmee is het heel erg eenvoudig om applicaties over meerdere nodes te deployen terwijl het verkeer toch nog op hostname / container name niveau kan gaan. Helaas blijft alleen de DNS nog weleens plakken waardoor je 'onbereikbare' applicaties krijgt zonder herstart. Een vast IPv6 of IPv4 zou dit oplossen, maar het komt zo sporadisch voor dat ik het nog niet heb opgepakt.

maandag 20 oktober 2025 22:20

Acties:
  • RobertMe
  • Registratie: Maart 2009
  • Laatst online: 23:36

RobertMe

Airw0lf schreef op maandag 20 oktober 2025 @ 21:54:
Wat bedoel je precies met "meerdere netwerken aan containers hangen"?
Ik ben dan niet @alex3305, maar je kunt prima bij een container meerdere netwerken opgeven. Zo zit bv bij mij de Unbound container (ik gebruik rechtstreeks Unbound met blocklists, geen PiHole / ADG) ook in een stuk of 5 verschillende netwerken.


En mijn opzet is weer heel anders. Doe vrijwel niks met IPv4 intern / op Docker (noch Podman). Container netwerken zitten in hun eigen ::/64 subnet (IPv6 dus) en kunnen rechtstreeks gerouteerd worden (de Docker / Podman host publiceert zijn "eigen" router advertisements dat verkeer voor die ::/64 naar hem gestuurd moeten worden, gaat dus niet expliciet over de router (alhoewel mijn zelfbouw router wel een Podman host is :+)). Indelen in VLANs gaat voor inkomend verkeer kinda vanzelf uiteraard afhankelijk van aan welke netwerken (/bridges) de container is gekoppeld. Uitgaand verkeer doe ik op basis van ip rules. Dus Linux weet bv dat als verkeer over br-prive het systeem verlaat dat die daarvoor de "prive" routing tabel moet gebruiken, en die tabel stelt dus weer dat de default gateway over de "prive" interface gaat (jip, mijn netwerk interfaces hebben logische namen i.p.v. eth0, eth1 of enp0s1, enp1s1, ...). Terwijl de main routing table als default gateway dan (bv) de "lan" interface heeft.

dinsdag 21 oktober 2025 08:22

Acties:
  • Airw0lf
  • Registratie: Mei 2005
  • Laatst online: 21:42

Airw0lf

@alex3305 en @RobertMe - ja - die Docker overlay netwerken... ik vermoede al dat het die kant op zou gaan... :+

Dat maakt het geheel er niet makkelijker op - sterker nog - de beheer(s)baarheid neemt af en de administratieve (netwerk)lasten verdubbelen omdat je twee keer iets van een IPAM moet opzetten - een voor de vlans en een voor de overlays... tis te zeggen... voor zover ik het begrijp kun je die twee niet bij elkaar vegen via zoiets als pihole/dnsmasq - toch?

Want dat is wat ik op dit moment heb lopen - alles aan vlans, dns en dhcp loopt via pihole/dnsmasq - met een L3-switch als default gateway voor alle vlans en subnetten. Deze aanpak lijkt niet bruikbaar te zijn bij de inzet van een of meer overlay netwerken waardoor er een andere, aanvullende IPAM aanpak nodig is - zo is mijn inschatting tot nu toe.

De inzet van IPv6 lijkt hier niet zo heel veel aan te veranderen.

Dan nog even terug naar de vraag van @StarWing - mijn inschatting is dat zijn/haar leercurve exponentieel toe gaat nemen met de inzet van overlay netwerkjes en het daarmee samenhangende engineering en beheer(s) vraagstuk. Ik denk dat het voor de korte termijn beter is om het vraagstuk te beperken tot de inzet van vlans. En hoe dat te doen met Docker containers. Waarbij er imho maar twee opties zijn: het Docker bridge of host netwerk - ik gok dat die materie bij elkaar al een redelijk stijle leercurve voor hem/haar gaat zijn... :Y

makes it run like clockwork

dinsdag 21 oktober 2025 09:05

Acties:
  • RobertMe
  • Registratie: Maart 2009
  • Laatst online: 23:36

RobertMe

Airw0lf schreef op dinsdag 21 oktober 2025 @ 08:22:
@alex3305 en @RobertMe - ja - die Docker overlay netwerken... ik vermoede al dat het die kant op zou gaan... :+
Ik gebruik helemaal geen overlay netwerk ;)

dinsdag 21 oktober 2025 09:10

Acties:
  • Airw0lf
  • Registratie: Mei 2005
  • Laatst online: 21:42

Airw0lf

RobertMe schreef op dinsdag 21 oktober 2025 @ 09:05:
[...]

Ik gebruik helemaal geen overlay netwerk ;)
Klopt - jij lost alles op met IPv6 - komt op hetzelfde neer... :+

makes it run like clockwork

dinsdag 21 oktober 2025 09:17

Acties:
  • RobertMe
  • Registratie: Maart 2009
  • Laatst online: 23:36

RobertMe

Airw0lf schreef op dinsdag 21 oktober 2025 @ 09:10:
[...]


Klopt - jij lost alles op met IPv6 - komt op hetzelfde neer... :+
Uhm, nee. Een overlay netwerk is toch echt een Docker specifieke feature (ok, K8s kan het ook). Slim het netwerk inrichten en Linux de juiste routing laten doen is niet afhankelijk van Docker. Noch dat ik het gebruik voor Docker. Containers op de verschillende hosts communiceren op exact dezelfde manier onderling als dat dat tussen PC/laptop en container gaat. (Syncthing op mijn laptop verbind ("hardcoded" / fixed address) met fd00:10:2::2:2000 (always on servertje) en fd00:10:3::2:2000 (on demand on NAS), en Syncthing op servertje verbindt (eveneens met fixed address) met fd00:10:3::2:2000 (NAS) en vise versa). En bv Home Assistant op het ene systeem verwijst ook op een soortgelijke manier naar Piper op het andere systeem. Ook voor die zaken die niet "publiekelijk" zijn maar wel over meerdere hosts draaien gebruik ik geen overlay.

Edit/aanvulling:
En exact hetzelfde kun je ook met IPv4 doen. Alleen is het makkelijker om met IPv6, via een router advertisement, een route naar een subnet te publiceren dan bij IPv4 (met DHCP?, geen idee of extra routes in een DHCP reply kunnen. In ieder geval kan het servertje nooit zijn eigen subnets bekend maken aangezien die geen DHCP server draait dus moet de router op de hoogte zijn van de routes die via het servertje moeten lopen).

[ Voor 17% gewijzigd door RobertMe op 21-10-2025 09:20 ]

dinsdag 21 oktober 2025 12:33

Acties:
  • alex3305
  • Registratie: Januari 2004
  • Laatst online: 22:06

alex3305

Airw0lf schreef op dinsdag 21 oktober 2025 @ 08:22:
Dat maakt het geheel er niet makkelijker op - sterker nog - de beheer(s)baarheid neemt af en de administratieve (netwerk)lasten verdubbelen omdat je twee keer iets van een IPAM moet opzetten - een voor de vlans en een voor de overlays... tis te zeggen... voor zover ik het begrijp kun je die twee niet bij elkaar vegen via zoiets als pihole/dnsmasq - toch?
Daar ben ik het dus compleet mee oneens. Het is een keuze om de IPAM-config op te zetten en zelf in te regelen. Ik laat dat gewoon aan de daemon zelf over en dat gaat vooralsnog prima. Een kennis van mij klaagde een tijdje terug dat de Docker daemon z'n interne netwerk hetzelfde subnet gaf als een VLAN in Unifi waardoor er vage problemen ontstonden. Echter heb ik dat nog niet eerder gezien, en om eerlijk te zijn heeft hij wel vaker van dit soort 'onbekende' problemen O-).

Overigens begrijp ik niet helemaal waarom je containers überhaupt via DNS of via een eigen DHCP wilt beheren. Op interne netwerken zijn containers sowieso bereikbaar op container naam, of op de hostname-optie, of met aliassen. Een voorbeeld vanuit Compose:

YAML:
1
2
3
4
5
6
7
8
9

services:
  mosquitto:
    container_name: mosquitto
    image: eclipse-mosquitto:2.0.22
    hostname: mosquitto.docker.internal
    networks:
      ingress:
        aliases:
          - mqtt


En in principe hoef ik alleen maar vanuit mijn ingress netwerk / container bij de applicaties te kunnen. Want naast Traefik, is AdGuard Home zowat de enige applicatie die nog aan mijn bridge netwerk hangt. ik wil voor DNS namelijk niet afhankelijk zijn van de reverse proxy.

Hoe de containers onderling adressen toewijzen zal me verder een spreekwoordelijke Unox wezen.
Dan nog even terug naar de vraag van @StarWing - mijn inschatting is dat zijn/haar leercurve exponentieel toe gaat nemen met de inzet van overlay netwerkjes en het daarmee samenhangende engineering en beheer(s) vraagstuk. Ik denk dat het voor de korte termijn beter is om het vraagstuk te beperken tot de inzet van vlans. En hoe dat te doen met Docker containers. Waarbij er imho maar twee opties zijn: het Docker bridge of host netwerk - ik gok dat die materie bij elkaar al een redelijk stijle leercurve voor hem/haar gaat zijn... :Y
Alhoewel ik zeker weet dat je het goed bedoelt, zie ik dat echt compleet anders. Overlay netwerken is misschien nog een brug te ver voor @StarWing, maar ik zou sterk adviseren om in ieder geval te starten met een ipvlan netwerk. Host netwerk is in 99% van de gevallen onnodig. Daarnaast kom je enorm vlug in de problemen met poorttoewijzingen. En het is enorm onveilig, omdat je de controle over poort mappings compleet uit handen geeft.

Het beste zou zijn om kennis over een reverse proxy - welke dan ook - op te gaan doen en op die manier containers te gaan ontsluiten. Dan maakt het uiteindelijk geen klap meer uit of het op een bridge, ipvlan of overlay netwerk draait. Simpelweg omdat je dat onderdeel niet meer naar buiten ontsluit.

dinsdag 21 oktober 2025 12:43

Acties:
  • alex3305
  • Registratie: Januari 2004
  • Laatst online: 22:06

alex3305

@RobertMe Jouw IPv6 aanpak klinkt enorm interessant. Doe jij de IPv6 configuratie in Compose? En dan met SLAAC?

Een tijdje terug heb ik wel getest om mijn complete Docker omgeving naar IPv6 om te zetten aangezien ik van KPN een /48 krijg, maar ik had niet per se het gevoel grip te hebben over de situatie. Vooral security maakte ik me wat zorgen over. Ik had ook best het e.e.a. alleen achter een IP whitelist hangen. En ja, ik had ook mijn IPv6 range toegevoegd, maar toch voelde het... niet lekker :/.

dinsdag 21 oktober 2025 12:51

Acties:
  • RobertMe
  • Registratie: Maart 2009
  • Laatst online: 23:36

RobertMe

alex3305 schreef op dinsdag 21 oktober 2025 @ 12:43:
@RobertMe Jouw IPv6 aanpak klinkt enorm interessant. Doe jij de IPv6 configuratie in Compose? En dan met SLAAC?
Ik gebruik intern sowieso meerdere ULAs (fd00:<VLAN ID>::/64 met voor de Docker hosts na het VLAN ID het volgende blok een 1 / 2 / 3 voor resp. router / servertje / NAS). En vervolgens gewoon statistische adressering aan de containers.

SLAAC werkt AFAIK uberhaupt niet. Of nouja, als je MACVLAN gebruikt werkt SLAAC gewoon maar dat gaat natuurlijk buiten Docker om. Gebruik je gewoon het bridge network (zoals ik doe) dan heb je geen SLAAC.
Een tijdje terug heb ik wel getest om mijn complete Docker omgeving naar IPv6 om te zetten aangezien ik van KPN een /48 krijg, maar ik had niet per se het gevoel grip te hebben over de situatie.
Belangrijkste ding bij het gebruik van GUAs is dat je waarschijnlijk geen statische prefix hebt en je niet elke keer je Docker + container config overhoop wilt gooien als je een nieuwe prefix krijgt. Heb je wel een statische prefix dan kun je containers ook een statisch IP geven natuurlijk.
Daarom doe ik verkeer uit containers gewoon NATen naar buiten toe. Niet de 100% ideale situatie (IPv6 wil je natuurlijk niet NATen), maar goed genoeg.

dinsdag 21 oktober 2025 13:02

Acties:
  • alex3305
  • Registratie: Januari 2004
  • Laatst online: 22:06

alex3305

@RobertMe Ik heb blijkbaar net te weinig kaas gegeten van IPv6 :9, maar ik begin te begrijpen hoe jouw setup in elkaar zit.

Ik wilde echt puur en alleen met een GUA gaan werken omdat die van KPN zo goad als statisch is. Daarnaast rol ik alles uit met Ansible en is het wisselen van prefix dus ook niet bijster veel werk. Ik heb dat dan zo geconfigureerd:

YAML:
1
2
3
4
5
6
7
8
9
10
11
12
13
14

# Global Network configuration
local_ip_range: 192.168.0.0/16
ipv6_prefix: "{{ vault_ipv6_prefix }}" # format 'a13c:3305:1337'

# Secondary Host specific config
ipvlan_ipv6_subnet: "{{ ipv6_prefix }}:2::/64"

# AdGuard Home (primary)
adguard_home_ipvlan_ipv6_address: "{{ ipv6_prefix }}:1:b00b::ad"
# AdGuard Home (secondary)
adguard_home_ipvlan_ipv6_address: "{{ ipv6_prefix }}:2:b00b::ad"

# Pocket ID configuration
pocket_id_local_ipv6_ranges: "{{ ipv6_prefix }}::/48"

Per comment / header een afzonderlijk bestand die wordt toegepast waar het nodig is, maar even om mijn punt te illustreren.

Misschien binnenkort toch nog eens uitproberen. Want het werkte op zichzelf prima :).

dinsdag 21 oktober 2025 14:22

Acties:
  • Airw0lf
  • Registratie: Mei 2005
  • Laatst online: 21:42

Airw0lf

alex3305 schreef op dinsdag 21 oktober 2025 @ 12:33:
[...]

Daar ben ik het dus compleet mee oneens. Het is een keuze om de IPAM-config op te zetten en zelf in te regelen. Ik laat dat gewoon aan de daemon zelf over en dat gaat vooralsnog prima.
Hoe werkt het dan met meerdere containers verdeeld over meerdere hosts? Waarbij alle containers bij elkaar in hetzelfde subnet moeten komen?
[...]

Alhoewel ik zeker weet dat je het goed bedoelt, zie ik dat echt compleet anders. Overlay netwerken is misschien nog een brug te ver voor @StarWing, maar ik zou sterk adviseren om in ieder geval te starten met een ipvlan netwerk. Host netwerk is in 99% van de gevallen onnodig. Daarnaast kom je enorm vlug in de problemen met poorttoewijzingen. En het is enorm onveilig, omdat je de controle over poort mappings compleet uit handen geeft.
Bij IP-VLAN heb je meerdere IP's op een MAC-adres zitten - dat kan ARP-alarmen triggeren van firewalls.
Hoe ga je daar dan mee om?

Mijn aanpak is alles met host network. En dan de firewall van de LXC-host gebruiken om alleen die poorten open te zetten die nodig zijn. Zit er een overlap in de TCP-poorten van twee containers, dan kijk ik of er via een env-var een aanpassing mogelijk is. Is die er niet, dan start ik een nieuwe LXC-host, voeg daar de nieuwe container toe met zijn firewall rules.

Wat is hier niet veilig aan? En wat heeft hier een IP-VLAN nog voor meerwaarde?

[ Voor 5% gewijzigd door Airw0lf op 21-10-2025 14:27 ]

makes it run like clockwork

dinsdag 21 oktober 2025 15:23

Acties:
  • alex3305
  • Registratie: Januari 2004
  • Laatst online: 22:06

alex3305

Airw0lf schreef op dinsdag 21 oktober 2025 @ 14:22:
Hoe werkt het dan met meerdere containers verdeeld over meerdere hosts? Waarbij alle containers bij elkaar in hetzelfde subnet moeten komen?
Dat regelt het overlay netwerk vanuit Docker Swarm.
Bij IP-VLAN heb je meerdere IP's op een MAC-adres zitten - dat kan ARP-alarmen triggeren van firewalls.
Hoe ga je daar dan mee om?
Niet, want hier heb ik nog nooit last van gehad.
Mijn aanpak is alles met host network. En dan de firewall van de LXC-host gebruiken om alleen die poorten open te zetten die nodig zijn. Zit er een overlap in de TCP-poorten van twee containers, dan kijk ik of er via een env-var een aanpassing mogelijk is. Is die er niet, dan start ik een nieuwe LXC-host, voeg daar de nieuwe container toe met zijn firewall rules.

Wat is hier niet veilig aan? En wat heeft hier een IP-VLAN nog voor meerwaarde?
Ja, maar dit is geen Docker (LXD) hè. Dit is LXC.

Jij hebt het eerder over beheerbaarheid en beheersbaarheid, maar ik vind dit dus enorm veel aan de beheerbaarheid toevoegen. Immers heb je nu twee containerlagen boven op elkaar, die allebei (waarschijnlijk) nét anders werken. Ik kan verder geen uitspraken doen over de veiligheid van een dergelijke setup. Of meerwaarde van ipvlan, want die is er in jouw geval denk ik niet.

Echter vind ik Docker hosts met daarop Docker containers - of podman met containers - een stuk eenvoudiger dan verschillende LXC containers die ik dan nog met een (eventuele) firewall aan elkaar moet knopen.

Maar uiteindelijk zet ik nagenoeg nooit meer poorten open en ontsluit ik alles via een reverse proxy. Dan hoef ik niet aan te klooien met env-vars of firewalls. Ik hoef alleen maar een paar labels toe te voegen om een dienst werkend en bereikbaar te krijgen.

dinsdag 21 oktober 2025 15:50

Acties:
  • Airw0lf
  • Registratie: Mei 2005
  • Laatst online: 21:42

Airw0lf

alex3305 schreef op dinsdag 21 oktober 2025 @ 15:23:
[...]

Dat regelt het overlay netwerk vanuit Docker Swarm.

[...]
Zorgt die Docker Swarm dan ook dat IP-adressen niet dubbel uitgegeven worden over hosts en containers heen?
[...]

Ja, maar dit is geen Docker (LXD) hè. Dit is LXC.
Eens
Jij hebt het eerder over beheerbaarheid en beheersbaarheid, maar ik vind dit dus enorm veel aan de beheerbaarheid toevoegen. Immers heb je nu twee containerlagen boven op elkaar, die allebei (waarschijnlijk) nét anders werken. Ik kan verder geen uitspraken doen over de veiligheid van een dergelijke setup. Of meerwaarde van ipvlan, want die is er in jouw geval denk ik niet.

Echter vind ik Docker hosts met daarop Docker containers - of podman met containers - een stuk eenvoudiger dan verschillende LXC containers die ik dan nog met een (eventuele) firewall aan elkaar moet knopen.
Wat zijn in jouw geval de "Docker hosts"?

Een LXC gedraagt zich als een VM - of zo je wil - als een bare metal host - in ieder geval bezien vanuit de Docker containers.
Maar uiteindelijk zet ik nagenoeg nooit meer poorten open en ontsluit ik alles via een reverse proxy. Dan hoef ik niet aan te klooien met env-vars of firewalls. Ik hoef alleen maar een paar labels toe te voegen om een dienst werkend en bereikbaar te krijgen.
Kortom... ieder zijn ding @alex3305 - de beheer(s)aspecten lijken wat anders te liggen - tis maar net wat iemand ervaart als handig(er). :+

[ Voor 6% gewijzigd door Airw0lf op 21-10-2025 15:57 ]

makes it run like clockwork

dinsdag 21 oktober 2025 18:08

Acties:
  • StarWing
  • Registratie: Januari 2003
  • Laatst online: 13:33

StarWing

Huh ?!?

Test gedaan, bos, bomen, verdwaald :)
Even een nieuwe vm opgezet, kale ubuntu + docker met 2 netwerkkaarten.
Bridge aangemaakt via onderstaand commando:

code:
1

sudo docker network create -d ipvlan  --subnet=10.0.2.0/24 --gateway=10.0.2.254 -o parent=ens192 br_iot


code:
1
2
3
4
5
6

sudo docker network ls
NETWORK ID     NAME      DRIVER    SCOPE
2ec0e2e687b7   br_iot    ipvlan    local
92770f7dfb59   bridge    bridge    local
80dd6a4467e3   host      host      local
684e8f327ad4   none      null      local


code:
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34

sudo docker network inspect br_iot
[
    {
        "Name": "br_iot",
        "Id": "2ec0e2e687b750e2a8a5531e1ab53d5566d50528e04cc322a2060b7c93bbdeba",
        "Created": "2025-10-21T15:53:04.352792291Z",
        "Scope": "local",
        "Driver": "ipvlan",
        "EnableIPv4": true,
        "EnableIPv6": false,
        "IPAM": {
            "Driver": "default",
            "Options": {},
            "Config": [
                {
                    "Subnet": "10.0.2.0/24",
                    "Gateway": "10.0.2.254"
                }
            ]
        },
        "Internal": false,
        "Attachable": false,
        "Ingress": false,
        "ConfigFrom": {
            "Network": ""
        },
        "ConfigOnly": false,
        "Containers": {},
        "Options": {
            "parent": "ens192"
        },
        "Labels": {}
    }
]



code:
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25

test@test:/docker/portainer$ ip a
1: lo: <LOOPBACK,UP,LOWER_UP> mtu 65536 qdisc noqueue state UNKNOWN group default qlen 1000
    link/loopback 00:00:00:00:00:00 brd 00:00:00:00:00:00
    inet 127.0.0.1/8 scope host lo
       valid_lft forever preferred_lft forever
    inet6 ::1/128 scope host noprefixroute
       valid_lft forever preferred_lft forever
2: ens160: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc mq state UP group default qlen 1000
    link/ether 00:0c:29:0f:ff:c4 brd ff:ff:ff:ff:ff:ff
    altname enp3s0
    inet 192.168.10.150/24 brd 192.168.10.255 scope global ens160
       valid_lft forever preferred_lft forever
    inet6 fe80::20c:29ff:fe0f:ffc4/64 scope link
       valid_lft forever preferred_lft forever
3: ens192: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc mq state UP group default qlen 1000
    link/ether 00:0c:29:0f:ff:ce brd ff:ff:ff:ff:ff:ff
    altname enp11s0
    inet 10.0.2.95/24 brd 10.0.2.255 scope global ens192
       valid_lft forever preferred_lft forever
    inet6 fe80::20c:29ff:fe0f:ffce/64 scope link
       valid_lft forever preferred_lft forever
4: docker0: <NO-CARRIER,BROADCAST,MULTICAST,UP> mtu 1500 qdisc noqueue state DOWN group default
    link/ether 06:4e:8c:77:13:8c brd ff:ff:ff:ff:ff:ff
    inet 172.17.0.1/16 brd 172.17.255.255 scope global docker0
       valid_lft forever preferred_lft forever


Ik kan pingen van mijn lan naar IOT:
code:
1
2
3

ping 10.0.2.95
Pinging 10.0.2.95 with 32 bytes of data:
Reply from 10.0.2.95: bytes=32 time<1ms TTL=64


Maar een test portainer container is niet bereikbaar:
code:
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20

services:
  portainer:
    image: portainer/portainer-ce:latest
    container_name: portainer
    restart: unless-stopped
    environment:
      TZ: 'Europe/Brussels'
    volumes:
      - /etc/localtime:/etc/localtime:ro
      - /var/run/docker.sock:/var/run/docker.sock:ro
      - /docker/portainer/data:/data
    ports:
      - '9000:9000'
    networks:
      - br0_IOT

networks:
  br0_IOT:
    external: true
    name: br_iot


Anderzijds, een ongewenst neveneffect. Op mijn bestaande dockerserver heb ik een extra netwerkkaart toegevoegd, en blijkbaar zijn de containers ook bereikbaar via deze netwerkkaart. Da's nu net niet de bedoeling. Waarschijnlijk simpel op te lossen, maar dat moet ik proberen uitzoeken.

//Edit:
Ik ben erachter gekomen dat de portainer-container blijkbaar een automagisch IP adress krijgt, en dit dus niet 10.0.2.95 is.
Toevoegen van:
code:
1
2
3
4
5
6
7

    networks:
       br0_IOT:
         ipv4_address: 10.0.2.100
networks:
  br0_IOT:
    name: br_iot
    external: true

En de container is bereikbaar op 10.0.2.100
Blijft de vraag of dit een correcte manier van werken is.
Indien ik nu een 2de container aanmaak, met 10.0.2.101, kunnen deze elkaar bereiken?

[ Voor 6% gewijzigd door StarWing op 21-10-2025 19:29 ]

Page intentionally left blank.

dinsdag 21 oktober 2025 19:50

Acties:
  • alex3305
  • Registratie: Januari 2004
  • Laatst online: 22:06

alex3305

Airw0lf schreef op dinsdag 21 oktober 2025 @ 15:50:
Zorgt die Docker Swarm dan ook dat IP-adressen niet dubbel uitgegeven worden over hosts en containers heen?
Yes. Nogmaals, ik werk nagenoeg nooit meer met IP-adressen. Niet voor containers, maar ook niet voor machines. In principe probeer ik zoveel mogelijk op hostname niveau te doen waar mogelijk. Die abstractie zorgt ervoor dat ik me niet druk hoef te maken waar applicaties zich ergens op het netwerk bevinden. Hostnames worden toegewezen vanuit de router of vanuit Docker configuratie.
Wat zijn in jouw geval de "Docker hosts"?
Ik heb een viertal Docker hosts, waarvan er twee in een Swarm hangen. Die twee zijn mijn primaire en secundaire machines met elk eigen verantwoordelijkheden. De primaire machine is het krachtigste en fungeert eveneens als mijn NAS.

De derde machine is een Pi 3B die dienst doet als mijn digitale elektrische boiler thermometer en nog wat kleine verantwoordelijkheden, zoals uptime rapportage.

Tot slot is de vierde machine een VPS die ik (hopelijk) nooit nodig ga hebben. Die machine staat in Canada en fungeert als backup server.

Het grootste deel van de workload vindt dus plaats op machine 1 en 2. En ik voel niet per se de behoefte om nog VM's of LXC containers - hehe pleonasme O-) - te maintainen.

Docker laat ik overigens door de package manager van het OS installeren. Op mijn primaire machine is dat unRAID en op de secundaire komt het uit Debian. Docker Compose en andere configuratie manage ik met Ansible. Die update o.a. Compose automatisch met Renovate en heb ik geen omkijken naar.

dinsdag 21 oktober 2025 19:59

Acties:
  • alex3305
  • Registratie: Januari 2004
  • Laatst online: 22:06

alex3305

StarWing schreef op dinsdag 21 oktober 2025 @ 18:08:
Test gedaan, bos, bomen, verdwaald :)
De rest van de post suggereert toch echt iets anders :). Volgens mij lukt het best aardig, maar schort het nog aan wat kennis.
Anderzijds, een ongewenst neveneffect. Op mijn bestaande dockerserver heb ik een extra netwerkkaart toegevoegd, en blijkbaar zijn de containers ook bereikbaar via deze netwerkkaart. Da's nu net niet de bedoeling. Waarschijnlijk simpel op te lossen, maar dat moet ik proberen uitzoeken.
Het is voor mij niet helemaal duidelijk wat je hiermee bedoelt. Welke containers op welke machine zijn vanuit welke bron bereikbaar? En wat zou je dan willen afschermen?
//Edit:
Ik ben erachter gekomen dat de portainer-container blijkbaar een automagisch IP adress krijgt, en dit dus niet 10.0.2.95 is.
Ja, Docker pakt een IP-adres uit de pool die je op hebt gegeven. In jouw geval is dat dan 10.2.0.0-10.2.0.254. Dit kun je afkaderen door een strikter netmask op te geven. Het is op deze manier ook mogelijk IP conflicten te krijgen, aangezien je nu twee DHCP's in een zelfde vijver laat vissen.
En de container is bereikbaar op 10.0.2.100
Blijft de vraag of dit een correcte manier van werken is.
Indien ik nu een 2de container aanmaak, met 10.0.2.101, kunnen deze elkaar bereiken?
Ja die kunnen elkaar dan bereiken. En dit kan een correcte manier van werken zijn. Maar dat is afhankelijk wat je wilt. Mijn AdGuard Home wil ik bijvoorbeeld op een vast IP-adres hebben en heb ik dus geconfigureerd in Compose. Mijn Mosquitto broker daarentegen benader ik alleen op hostname en kan het mij dus een spreekwoordelijke worst wezen waar die zich bevindt.

Als je echt compleet gesegregeerde netwerken wilt is een ipvlan wellicht niet de beste keuze. Of je moet met een VLAN werken en deze beperken in de router. Je zou dan eventueel voor een overlay netwerk kunnen gaan. Echter moet je dan wel weer een manier hebben om het e.e.a. te ontsluiten.

woensdag 22 oktober 2025 04:42

Acties:
  • StarWing
  • Registratie: Januari 2003
  • Laatst online: 13:33

StarWing

Huh ?!?

alex3305 schreef op dinsdag 21 oktober 2025 @ 19:59:
Het is voor mij niet helemaal duidelijk wat je hiermee bedoelt. Welke containers op welke machine zijn vanuit welke bron bereikbaar? En wat zou je dan willen afschermen?
Wel, als ik op mijn werkende docker host, welke een ip heeft van 192.168.10.155, een additionele netwerkkaart toevoeg via esxi, met ip 10.0.2.155, dan zijn alle dockers die ik heb, op beide ip's bereikbaar. Da's nu niet de bedoeling van een scheiding iot <> lan :).

Maar dit kan ik waarschijnlijk correct oplossen door in de docker compose een ip te specifieren.

Page intentionally left blank.

woensdag 22 oktober 2025 07:35

Acties:
  • Airw0lf
  • Registratie: Mei 2005
  • Laatst online: 21:42

Airw0lf

StarWing schreef op woensdag 22 oktober 2025 @ 04:42:
[...]

Wel, als ik op mijn werkende docker host, welke een ip heeft van 192.168.10.155, een additionele netwerkkaart toevoeg via esxi, met ip 10.0.2.155, dan zijn alle dockers die ik heb, op beide ip's bereikbaar. Da's nu niet de bedoeling van een scheiding iot <> lan :).

Maar dit kan ik waarschijnlijk correct oplossen door in de docker compose een ip te specifieren.
Klopt - en een standaard bridge netwerk werkt dan prima.

makes it run like clockwork

woensdag 22 oktober 2025 08:48

Acties:
  • ed1703
  • Registratie: Januari 2010
  • Niet online

ed1703

StarWing schreef op woensdag 22 oktober 2025 @ 04:42:
[...]

Maar dit kan ik waarschijnlijk correct oplossen door in de docker compose een ip te specifieren.
Ja, door dit in je ports op te geven:
code:
1
2
3

ports:
      - "ipv4adres:9000:9000"
      - "[ipv6adres]:9000:9000"

Overigens heeft het opgeven van ports in containers die onderdeel zijn van ipvlan of macvlan niet veel nut, want die zal docker negeren.

Zelf prefereer ik reverseproxy met caddy, npm of traefik. Die proxycontainer prop je samen met de container die je wilt gebruiken in een eigen netwerk en die benader je op naam. Het maakt namelijk geen drol uit welk ipadres dat ding dan heeft. Dat zoekt de proxy met docker wel voor je uit.
Hangt er verder wel een beetje vanaf wat je gaat doen welke proxy software je perse nodig hebt.

woensdag 22 oktober 2025 08:59

Acties:
  • Webgnome
  • Registratie: Maart 2001
  • Laatst online: 23:22

Webgnome

Vraagje voor de kenners. Tijdje terug Docker Desktop geinstalleer op Linux, nu wil ik eigenlik weer terug naar alleen de engine. Weet iemand wat de beste manier is om dat te doen zonder verlies van containers, images etc ?

Strava | AP | IP | AW

woensdag 22 oktober 2025 11:59

Acties:
  • alex3305
  • Registratie: Januari 2004
  • Laatst online: 22:06

alex3305

StarWing schreef op woensdag 22 oktober 2025 @ 04:42:
Wel, als ik op mijn werkende docker host, welke een ip heeft van 192.168.10.155, een additionele netwerkkaart toevoeg via esxi, met ip 10.0.2.155, dan zijn alle dockerscontainers die ik heb, op beide ip's bereikbaar.
Maar hoe zie je dat anders voor je dan? Dat Docker weet welke NIC jij in gedachte hebt bij welke container? Dat kan natuurlijk niet hè. Onder water werkt Docker 'gewoon' met iptables-regels. Out of the box zitten die regels aan alle NICs gekoppeld in de machine.
Da's nu niet de bedoeling van een scheiding iot <> lan :).
Ik begrijp nog steeds niet helemaal wat je nu wilt bereiken. Vooral niet omdat je in jouw spreadsheet voorbeelden geeft waarbij meerdere containers aan één /32 zitten. Waarom, geen idee... Containers zijn (heel kort door de bocht) gewoon lichte VM's. Daarvan wil je er ook niet meerdere aan één /32 hebben.

En of je de scheiding nu in /24, /16 of /8 maakt, maakt onder water vrij weinig uit. Jouw router routeert dat verkeer uiteindelijk toch. En eventuele blokkades zullen dan ook op dat niveau plaats moeten vinden.
ed1703 schreef op woensdag 22 oktober 2025 @ 08:48:
[...]

Zelf prefereer ik reverseproxy met caddy, npm of traefik. Die proxycontainer prop je samen met de container die je wilt gebruiken in een eigen netwerk en die benader je op naam. Het maakt namelijk geen drol uit welk ipadres dat ding dan heeft. Dat zoekt de proxy met docker wel voor je uit.
Hangt er verder wel een beetje vanaf wat je gaat doen welke proxy software je perse nodig hebt.
Maar uiteindelijk is dit het antwoord dus... Waarom aanklooien met NICs en IP-adressen? Laat dat onder water bestaan.

Geef elke container een eigen IP. Hoe je dat doet maakt geen klap uit. Het kan vanwege mDNS handig zijn dat bijvoorbeeld Home Assistant wel aan het netwerk hangt met bijvoorbeeld een host of ipvlan netwerk.

woensdag 22 oktober 2025 12:00

Acties:
  • Mars Warrior
  • Registratie: Oktober 2003
  • Laatst online: 19-11 13:01

Mars Warrior

Earth, the final frontier

Gelukkig ben ik niet zo goed in netwerken en lost Docker eigenlijk alles op in mijn geval:
  • Ik heb een "extern" netwerk met een vast IPv4 en IPv6 adres. De enige die in dat netwerk hangt is mijn proxy. Die is als enige bereikbaar over poort 80/443, ook extern. De rest van mijn docker netwerk is dus gewoon IPv4, maar dus via de proxy wel bereikbaar over IPv6
  • Dan heb ik een "proxy" netwerk waarin alle containers hangen, inclusief de proxy, die met de proxy moeten praten
  • En verder per set van applicaties die bij elkaar horen, of met elkaar moeten praten een eigen overlay netwerk. Apps praten dan via de service naam of alias.
Dit werkt gewoon. Behalve de proxy dus nergens port mappings of andere zaken. Om vanuit buiten bij een container te komen moet je voorbij de proxy weten te komen, oftewel je moet het domein (FQDN) weten.

In bovenstaand voorbeeld is het wel zo dat iedereen die in het "proxy" netwerk hangt elkaar ook kan bereiken. Als je dat niet wilt, dus dat een container enkel met de proxy kan praten, dan moet je dingen omkeren en moet je bijv. Traefik onderdeel maken van de overlay netwerken van de containers.
  • Traefik kan dan wel verkeer routeren naar de verschillende containers doordat deze in alle overlay netwerken zit.
  • Die containers kunnen enkel met Traefik en hun eigen containers praten, verder niet.
En als je Swarm gebruikt dan kun je ook "--internal" gebruiken voor je overlay netwerken. Dan heb je éénrichtingsverkeer, en kan een container gewoon niet naar buiten :9

Ik snap in deze het hele nut van vlans niet :?
alex3305 schreef op woensdag 22 oktober 2025 @ 11:59:
Geef elke container een eigen IP. Hoe je dat doet maakt geen klap uit. Het kan vanwege mDNS handig zijn dat bijvoorbeeld Home Assistant wel aan het netwerk hangt met bijvoorbeeld een host of ipvlan netwerk.
Of je gebruikt een mdns-repeater container. Die hangt natuurlijk wel aan je host netwerk, en gooit al die berichtjes door naar bijv. je docker bridge of het specifieke home assistant en/of jellyfin/plex overlay netwerk.

[ Voor 15% gewijzigd door Mars Warrior op 22-10-2025 12:15 ]

Material 3 Thema's voor HA | Swiss Army Knife custom card voor HA | AmoebeLabs

woensdag 22 oktober 2025 12:32

Acties:
  • Airw0lf
  • Registratie: Mei 2005
  • Laatst online: 21:42

Airw0lf

Mars Warrior schreef op woensdag 22 oktober 2025 @ 12:00:
Gelukkig ben ik niet zo goed in netwerken en lost Docker eigenlijk alles op in mijn geval:
  • Ik heb een "extern" netwerk met een vast IPv4 en IPv6 adres. De enige die in dat netwerk hangt is mijn proxy. Die is als enige bereikbaar over poort 80/443, ook extern. De rest van mijn docker netwerk is dus gewoon IPv4, maar dus via de proxy wel bereikbaar over IPv6
  • Dan heb ik een "proxy" netwerk waarin alle containers hangen, inclusief de proxy, die met de proxy moeten praten
  • En verder per set van applicaties die bij elkaar horen, of met elkaar moeten praten een eigen overlay netwerk. Apps praten dan via de service naam of alias.
Dit werkt gewoon. Behalve de proxy dus nergens port mappings of andere zaken. Om vanuit buiten bij een container te komen moet je voorbij de proxy weten te komen, oftewel je moet het domein (FQDN) weten.

In bovenstaand voorbeeld is het wel zo dat iedereen die in het "proxy" netwerk hangt elkaar ook kan bereiken. Als je dat niet wilt, dus dat een container enkel met de proxy kan praten, dan moet je dingen omkeren en moet je bijv. Traefik onderdeel maken van de overlay netwerken van de containers.
  • Traefik kan dan wel verkeer routeren naar de verschillende containers doordat deze in alle overlay netwerken zit.
  • Die containers kunnen enkel met Traefik en hun eigen containers praten, verder niet.
En als je Swarm gebruikt dan kun je ook "--internal" gebruiken voor je overlay netwerken. Dan heb je éénrichtingsverkeer, en kan een container gewoon niet naar buiten :9

Ik snap in deze het hele nut van vlans niet :?


[...]

Of je gebruikt een mdns-repeater container. Die hangt natuurlijk wel aan je host netwerk, en gooit al die berichtjes door naar bijv. je docker bridge of het specifieke home assistant en/of jellyfin/plex overlay netwerk.
Mja... wel bijzonder... je gebruikt de nodige overlays? Maar ziet vervolgens het nut van vlans niet? Wat denk je dat Docker gebruikt om dit allemaal te kunnen doen? Juist ja... :+

makes it run like clockwork

woensdag 22 oktober 2025 14:29

Acties:
  • Mars Warrior
  • Registratie: Oktober 2003
  • Laatst online: 19-11 13:01

Mars Warrior

Earth, the final frontier

Airw0lf schreef op woensdag 22 oktober 2025 @ 12:32:
[...]
Mja... wel bijzonder... je gebruikt de nodige overlays? Maar ziet vervolgens het nut van vlans niet? Wat denk je dat Docker gebruikt om dit allemaal te kunnen doen? Juist ja... :+
Docker gebruikt VxLANs, het is maar één letter verschil, maar daarmee totaal niet te vergelijken met VLANs.

Dus als je al VxLANs gebruikt, dan ontgaat mij totaal het nut van VLANs nog: Slechte / foutgevoelige isolatie & beheer van switches/ids/trunks, geen encryptie, maar 4K Ids ipv 16M, geen IP overlap mogelijk (in VxLANs kun je tenminste gewoon dezelfde IP adressen gebruiken per VNI :D), etc.

Maar goed. VxLANs zijn natuurlijk ook bedacht voor cloud / mult-tenant en multi-host toepassingen (Swarm/K*s), en VLANs zijn daar vziw nooit voor bedoeld.

Ik heb ooit - om te leren - 10 RPI's van mijn baas gekregen om een Docker Swarm cluster op te zetten en mee te spelen. Normaal is een cluster opzetten zonder netwerk kennis nogal een probleem, maar met een swarm was dat ook niet nodig. Elke ingress service krijgt automagisch een (gedistribueerde) VIP, zodat op welke van de RPI's ik ook kwam op poort 80 of 443, ik kwam altijd op de service proxy uit die op één of meerdere van de RPI's draaide. Alles dankzij load balancers en VxLANs!

Het was magisch _/-\o_

Op deze manier heb ik ooit ook die gevaarlijke Chinese camera's aan een macvlan gekoppeld: die konden dus enkel elkaar en die ene docker container zien. Meer niet. Beheer ging of via een WebSSH container in hetzelfde overlay netwerk, of via een WebGUI die enkel via een proxy beschikbaar was.

Material 3 Thema's voor HA | Swiss Army Knife custom card voor HA | AmoebeLabs

woensdag 22 oktober 2025 15:21

Acties:
  • Airw0lf
  • Registratie: Mei 2005
  • Laatst online: 21:42

Airw0lf

@Mars Warrior - ok - maar een VXLAN heeft toch altijd een L3 transport mechanisme nodig? Wat - zeker in grotere bedrijven - is ingevuld met subnetten "verpakt" in vlans (d.w.z broadcast domains)?

Hier kom je pas vanaf als alle aangesloten apparaten native VXLAN kunnen - pas dan kun je uit de voeten met één plat netwerk - theoretisch dan toch. Dit lijkt me killing voor de verdienmodellen van de grote netwerk fabrikanten zoals Cisco, HP/Juniper, etc. Maar klinkt me als muziek in de oren... zeker als de intelligentie vergelijkbaar is met die van Docker containers in een Swarm/overlay netwerk... oOo

Unne dikke mercie voor je tijd en uitleg - ook @alex3305 - top! Ik heb een hoop bijgeleerd en ben ook tot een paar andere inzichten gekomen! *O*

makes it run like clockwork

woensdag 22 oktober 2025 16:05

Acties:
  • alex3305
  • Registratie: Januari 2004
  • Laatst online: 22:06

alex3305

@Mars Warrior Het nut of onnut van VLANs komt bij de vraag van @StarWing vandaan. De vraag is niet per se duidelijk, heel erg eenvoudig of heeft een heel eenvoudig antwoord. ik zou hem adviseren om met een overlay netwerk en reverse proxy, of met een ipvlan netwerk te gaan werken. Dat laatste vond ik in ieder geval een veel eenvoudigere stap omdat applicaties dan ook nog via het netwerk routeerbaar zijn, waarna je eventueel een reverse proxy kunt toevoegen.

Mijn machines krijgen elk een /24 netwerk (VLAN) vanuit de router. Om de simpele reden dat ik op die manier eenvoudig containers kan scheiden per host en ik dus ook geen mogelijke IP collissions heb. Daarnaast heb ik er genoeg ruimte voor op mijn /16 netwerk. Dus waarom niet?

De communicatie tussen containers onderling vindt plaats via interne netwerken, dus VxLAN, of via de Traefik reverse proxy. Waarbij die laatste eveneens via een DNS toewijzing via het VLAN gaan. Elk Docker Compose project heeft, waar nodig, een eigen intern netwerk, waar ook geen andere container aan gekoppeld kan worden. Maar dit heb ik al eerder uitgebreid uitgelegd. Voor het ontsluiten zit het via een ingress overlay netwerk.

De mdns-repeater (waar ik overigens een eigen variant van heb O-) ) werkt in sommige gevallen niet helemaal zoals ik verwacht. Ik merkte dat niet alle SSDP berichten doorkomen bij mijn Home Assistant container. Bijvoorbeeld die van mijn Sonos of Chromecast. Dat staat nog op mijn todo lijst om op te pakken.

Ik gebruik ook geen Swarm deployments, maar alleen Compose met Docker in Swarm mode. Met Swarm kan ik namelijk geen CPU-affiniteit opgeven wat voor mij enorm belangrijk is met mijn energiezuinige server. Voor load balancen van o.a. Traefik en eerder Caddy heb ik nog gekeken naar keepalived. Maar uiteindelijk nog geen zin en tijd gehad om moeite in te steken.

woensdag 22 oktober 2025 16:21

Acties:
  • Mars Warrior
  • Registratie: Oktober 2003
  • Laatst online: 19-11 13:01

Mars Warrior

Earth, the final frontier

Airw0lf schreef op woensdag 22 oktober 2025 @ 15:21:
@Mars Warrior - ok - maar een VXLAN heeft toch altijd een L3 transport mechanisme nodig? Wat - zeker in grotere bedrijven - is ingevuld met subnetten "verpakt" in vlans (d.w.z broadcast domains)?

Hier kom je pas vanaf als alle aangesloten apparaten native VXLAN kunnen - pas dan kun je uit de voeten met één plat netwerk - theoretisch dan toch. Dit lijkt me killing voor de verdienmodellen van de grote netwerk fabrikanten zoals Cisco, HP/Juniper, etc. Maar klinkt me als muziek in de oren... zeker als de intelligentie vergelijkbaar is met die van Docker containers in een Swarm/overlay netwerk... oOo
Haha. Yep. En vanzelfsprekend is daar over nagedacht, want hoe krijg je nu die communicatie voor elkaar in die grote data centers zodat L3 gewoon op de juiste plek terechtkomt? Nou, met EVPN (Ethernet VPN). Dat is een BGP-based control-plane die VxLAN netwerken kan routeren. Net als op het grote boze internet (waar BGP vandaan komt) kan er op die manier worden gerouteerd tussen VTEPs (VxLAN endpoints).

En daarvoor zijn vanzelfsprekend door de grote hardware partijen switches bedacht die een hoop van de VxLAN zaken lekker in hardware implementeren/offloaden. (Cisco Nexus, Arista, Juniper QFX).
Dus die doen nog steeds leuk centjes verdienen, ook zonder VLANs 8)

Afbeeldingslocatie: https://www.juniper.net/documentation/us/en/software/junos/evpn-vxlan/images/g043185.gif

Voor thuis is dat natuurlijk onzin: elke switch kan gewoon L3 routeren, alleen dat kost net wat meer CPU.
Unne dikke mercie voor je tijd en uitleg - ook @alex3305 - top! Ik heb een hoop bijgeleerd en ben ook tot een paar andere inzichten gekomen! *O*
_/-\o_

Material 3 Thema's voor HA | Swiss Army Knife custom card voor HA | AmoebeLabs

woensdag 22 oktober 2025 17:11

Acties:
  • RobertMe
  • Registratie: Maart 2009
  • Laatst online: 23:36

RobertMe

Mars Warrior schreef op woensdag 22 oktober 2025 @ 16:21:
Voor thuis is dat natuurlijk onzin: elke switch kan gewoon L3 routeren, alleen dat kost net wat meer CPU.
Routeren hoort dan wel bij L3, maar zeker niet veel consumer switches kunnen L3 routeren. Een "gewone" switch werkt op L2 (ethernet), niet op L3 (IP).

Tenzij je bv Uniquitis Pro / Enterprise switches hebt thuis, die doen wel L3. Maar de standaard TP-Link / ... switch zeker niet.

donderdag 23 oktober 2025 13:04

Acties:
  • StarWing
  • Registratie: Januari 2003
  • Laatst online: 13:33

StarWing

Huh ?!?

alex3305 schreef op woensdag 22 oktober 2025 @ 16:05:
ik zou hem adviseren om met een overlay netwerk en reverse proxy, of met een ipvlan netwerk te gaan werken.
:)
Ik heb het ondertussen werkend gekregen. Het ontbreken van kennis en de angst om wat te slopen zorgt ervoor dat ik niet simpelweg commando's ga beginnen inrammen.
Met de info van hier en wat hulp van ChatGPT heb ik een nieuwe brigde gemaakt "docker_lan" waaraan ik de containers koppel met een vast IP via docker-compose. Deze zijn dan enkel benaderbaar op mijn lan.
Via ipvlan een nieuw "vlan" netwerk gemaakt, welke ik dan ook correct kan benaderen, enkel op de vlan.

Volgende stap, maar dan eerder als test, is om een globale docker compose te maken met een .env, zodat alle variabelen op 1 plaats heb, mocht ik een migratie moeten doen.

Page intentionally left blank.

donderdag 23 oktober 2025 21:11

Acties:
  • alex3305
  • Registratie: Januari 2004
  • Laatst online: 22:06

alex3305

@StarWing Heel goed dat het e.e.a. werkt :). Let op ChatGPT antwoorden aangezien die soms (wat) achterlopen.

Ben niet bang om dingen zomaar te slopen. Docker is daar precies voor bedoeld. Dat je eenvoudig herbruikbare omgevingen hebt. Eventueel die je op meerdere plekken kunt deployen. Zolang je netjes volume mounts gebruikt, kan er weinig misgaan. Sterker nog, ik undeploy ook nog weleens wat. Op mijn werk was dat zelfs een vereiste stap om te kijken of een herstel ook goed zou gaan :).

Ik kan je nog wel een andere tip geven - althans dat doe ik altijd O-) - zoek ook het tegenovergestelde commando op. Dus:
docker network create ... br-vlan
# docker network ls
# docker network inspect br-vlan
docker network rm br-vlan

En probeer die commando's ook uit. Dan leer je ook wat er 'achter de schermen' gebeurt en wordt het wellicht wat minder eng om dingen uit te proberen.

Anderzijds kun je ook gewoon een tweede VM opzetten en daar gaan spelen.

Ik zou je wel aanraden om meerdere Compose files te hebben, maar dat is mijn voorkeur. Ik manage die via Dockge omdat ik daarmee ook gewoon .env bestanden kan gebruiken. Met Portainer moeten die bestanden stack.env heten. Als je dat niet weet werkt het niet. Dat vond ik op z'n zachtst gezegd irritant.

vrijdag 24 oktober 2025 06:47

Acties:
  • Webgnome
  • Registratie: Maart 2001
  • Laatst online: 23:22

Webgnome

Even tussendoor. Het is inmiddels gelukt om docker helemaal opnieuw te installeren via de docs.

Kleine tip nog, gebruik op Linux nooit docker Desktop. Het gebruikt een vm laag die het ontzettend langzaam maakt in tegenstelling tot default docker engine.

Strava | AP | IP | AW

dinsdag 28 oktober 2025 19:00

Acties:
  • Mars Warrior
  • Registratie: Oktober 2003
  • Laatst online: 19-11 13:01

Mars Warrior

Earth, the final frontier

Ik heb inmiddels ook de CrowdSec firewall als docker container draaien :D
Omdat Docker officieel nog geen NFT tables ondersteund, draait de container netjes in iptables mode. Dat werkte in één keer goed.

De firewall van CrowdSec kan zowel in "managed" als in "set only" mode draaien. Ik heb hem gewoon in "managed" mode draaien.
In "managed" mode regelt CrowdSec alles, in "set only" mode moet je zelf die chains enzo aanmaken, en vult CrowdSec enkel wat er in moet of uit moet...

Verder heb ik logging aan staan, met prefix, zodat ik met journalctl (sudo journalctl -k | grep crowdsec) kan zien wat er geblokkeerd wordt.

De blocklists doen allemaal hun werk zie ik. Na 1 dag heb ik al 4.000 drops van de firewall. Ik zie dat sommige IP adressen wel 200x iets proberen met tussenpozen van 1 seconde.

De IPv4 en IPv6 logs na één dag, dus ca 4.000 blocks per dag op dit ogenblik:
  • blacklist 0 = crowdsec
  • blacklist 1 = community blocklist (15.000 adressen)
  • blacklist 2 = tor exit nodes.
Output van sudo nft list ruleset | grep -i crowdsec -A3
Bash:
1
2
3
4
5
6
7
8
9
10

        chain CROWDSEC_CHAIN {
                # match-set crowdsec-blacklists-2 src  counter packets 0 bytes 0 jump CROWDSEC_LOG
                # match-set crowdsec-blacklists-1 src  counter packets 2655 bytes 158060 jump 
                # match-set crowdsec-blacklists-0 src  counter packets 1308 bytes 74858 jump 
        }
        chain CROWDSEC_CHAIN {
                # match-set crowdsec6-blacklists-2 src  counter packets 110 bytes 9913 jump CROWDSEC_LOG
                # match-set crowdsec6-blacklists-1 src  counter packets 0 bytes 0 jump CROWDSEC_LOG
                # match-set crowdsec6-blacklists-0 src  counter packets 27 bytes 2160 jump CROWDSEC_LOG
        }


Logischerwijs heb ik nu dus ook factoren minder events en alerts (20-40% over, dus factor 2-5 minder) en vanzelfsprekend ook andere decisions: dat zijn enkel nieuwe overtreders, want de oude worden immers door de firewall bouncer tegengehouden. Ik ben dan ook van plan om de default ban tijd naar 576 uur (max van ipset regels vziw) te verhogen.

De configuratie van de cs-firewall-bouncer:

YAML:
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58

mode: iptables
update_frequency: 10s
log_mode: file
log_dir: /var/log/
log_level: info
log_compression: true
log_max_size: 100
log_max_backups: 3
log_max_age: 30
api_url: ${API_URL}
api_key: ${API_KEY}

## TLS Authentication
# cert_path: /etc/crowdsec/tls/cert.pem
# key_path: /etc/crowdsec/tls/key.pem
# ca_cert_path: /etc/crowdsec/tls/ca.crt
insecure_skip_verify: false
disable_ipv6: false
deny_action: DROP
#deny_log: false
deny_log: true

supported_decisions_types:
  - ban
#to change log prefix
deny_log_prefix: "crowdsec: "
#to change the blacklists name
blacklists_ipv4: crowdsec-blacklists
blacklists_ipv6: crowdsec6-blacklists
#type of ipset to use
ipset_type: nethash
#if present, insert rule in those chains
iptables_chains:
  - INPUT
#  - FORWARD
  - DOCKER-USER
iptables_add_rule_comments: true

## nftables
nftables:
  ipv4:
    enabled: false
    set-only: false
    table: crowdsec
    chain: crowdsec-chain
    priority: -10
  ipv6:
    enabled: false
    set-only: false
    table: crowdsec6
    chain: crowdsec6-chain
    priority: -10

nftables_hooks:
  - input
  - forward

# packet filter


En het docker compose gedeelte:

YAML:
1
2
3
4
5
6
7
8
9
10
11
12
13
14

  infra-cs-firewall-bouncer:
    image: ghcr.io/shgew/cs-firewall-bouncer-docker:latest
    container_name: infra-cs-firewall-bouncer
    network_mode: host
    cap_add:
      - NET_ADMIN
      - NET_RAW
    security_opt:
      - no-new-privileges:true
    volumes:
      - $DOCKERDIR/infra/cs-firewall-bouncer/config/crowdsec-firewall-bouncer.yaml:/config/crowdsec-firewall-bouncer.yaml:ro
      - $DOCKERDIR/infra/cs-firewall-bouncer/log:/var/log/
      - /etc/localtime:/etc/localtime:ro
    restart: always

Material 3 Thema's voor HA | Swiss Army Knife custom card voor HA | AmoebeLabs

woensdag 5 november 2025 17:52

Acties:
  • Mars Warrior
  • Registratie: Oktober 2003
  • Laatst online: 19-11 13:01

Mars Warrior

Earth, the final frontier

Nou, de crowdsec firewall doet zijn werk:
  • 0 = crowdsec decisions/ban list
  • 1 = CAPI list
  • 2 = tor list
  • 3 = handmatige decisions
En dat geeft voor IPv4 en IPv6 de volgende "efficiëntie" van deze blacklists:

BlacklistEntriesPacketsHits/IP% of total
crowdsec-blacklists-016320884128.0976.08
crowdsec-blacklists-11480748860.3317.81
crowdsec-blacklists-24731670.350.61
crowdsec-blacklists-317151489.065.52
crowdsec6-blacklists-05552130.380.78
crowdsec6-blacklists-159200.000.00
crowdsec6-blacklists-21024224.200.88
crowdsec6-blacklists-35702140.402.56
Total packets dropped27451


Conclusies:
  • De ban-list op basis van CrowdSec detecties is dus erg efficient: die houdt 76% van al het geblokkeerde verkeer tegen. En dat met enkel 163 IP adressen.
  • De handmatige lijsten (-3) zijn ook erg efficient, zeker op IPv6! Ik heb dan ook de meest bekende ASNs qua spam/botjes volledig geblokkeerd (hostglobal, censys arin 1/2/3).
  • Hele grote blocklists houden wel tegen, maar procentueel doen ze eigenlijk weinig.
  • Helt lijstje van 5 IPv6 adressen heeft de hoogste hit ratio. Best wel leuk.
Aangezien dit zo goed werkt wil ik de CrowdSec decisions lijst gaan omzetten naar een permanente ipset ban lijst die ik met een scripje vul.

Op sommige dagen zijn de botjes plotseling vreselijjk actief en zie ik ook een flinke stijging in het aantal bans per dag op basis van unieke IP adressen. De piek naar 27 bans kwam overeen met de dag dat de iptables firewall ca 10.000 packets aan het droppen was.

Botjes zijn lijkt wel af en toe boos en/of wat creatief in het proberen van andere IP adressen.

Afbeeldingslocatie: https://tweakers.net/i/qJCf2KKZ9DD5PLOmy3T1fraUJeU=/fit-in/4000x4000/filters:no_upscale():strip_exif()/f/image/g6crAlE8LZtMQ04ZewgzXYRV.png?f=user_large

Nog steeds blij dus met de Traefik, CrowdSec bouncer en CrowdSec Firewall bouncer containers!

Als ik nu terugkijk dan zou deze combi van containers eigenlijk standaard gereedschap moeten zijn voor elke Docker setup. Het is veiliger, maar ook zuiniger omdat heel wat CPU cycles niet meer nodig zijn dankzij het blokkeren van dit ongewenste verkeer.

Material 3 Thema's voor HA | Swiss Army Knife custom card voor HA | AmoebeLabs

woensdag 5 november 2025 22:27

Acties:
  • alex3305
  • Registratie: Januari 2004
  • Laatst online: 22:06

alex3305

@Mars Warrior Mooi om te zien dat het goed z'n werk doet :).

Ik mis denk ik iets, want hoezo heb jij nog extra blocklists? Ik heb de drie gratis blocklists een hele tijd terug toegevoegd, maar toen ik er 1 weghaalde of eigenlijk in wilde wisselen, heb ik dat slot niet meer teruggekregen :|.

Verder gebruik ik gewoon de standaard en heb ik er eigenlijk ook geen omkijken naar. Het lijkt allemaal z'n werk te doen. Dat is wel mooi :).
offtopic:
Ik zou eigenlijk nog eens een Crowdsec bouncer willen combineren met Unifi. Wellicht dat ik daar nog eens aan begin.

woensdag 5 november 2025 22:30

Acties:
  • alex3305
  • Registratie: Januari 2004
  • Laatst online: 22:06

alex3305

Ik ben niet snel van mijn stuk geslagen, maar recent ben ik gestart met de opzet van OpenCloud (OwnCloud Infinite Scale fork). Daar heeft men een Github repository voor, maar heel duidelijk vind ik het allemaal niet.

Mijn use-case lijkt enorm op de use-case die ik bij bijna al mijn hosted apps heb, namelijk dat de applicatie draait + een vorm van authenticatie gebruikt. Bij voorkeur OIDC / OAuth2 via Pocket ID, maar anders LDAP met LLDAP.

Door alle includes en verschillende compose bestanden (en omdat ik het wil omzetten naar mijn eigen Ansible format) is het allemaal niet super evident. De documentatie is ook wat karig op sommige punten. Ik vind het jammer dat er geen 'kant-en-klare' demo Compose is waar men dan verder op zou kunnen bouwen, zoals ik dat vaker bij andere projecten wel zie.

donderdag 6 november 2025 09:23

Acties:
  • Mars Warrior
  • Registratie: Oktober 2003
  • Laatst online: 19-11 13:01

Mars Warrior

Earth, the final frontier

alex3305 schreef op woensdag 5 november 2025 @ 22:27:
@Mars Warrior Mooi om te zien dat het goed z'n werk doet :).

Ik mis denk ik iets, want hoezo heb jij nog extra blocklists? Ik heb de drie gratis blocklists een hele tijd terug toegevoegd, maar toen ik er 1 weghaalde of eigenlijk in wilde wisselen, heb ik dat slot niet meer teruggekregen :|.
De cs-firewall-bouncer lijkt dus per blocklist, of bron/origin of scenario een blacklist set aan te maken. Ik doe daar niks mee. Gaat allemaal automatisch.
Verder gebruik ik gewoon de standaard en heb ik er eigenlijk ook geen omkijken naar. Het lijkt allemaal z'n werk te doen. Dat is wel mooi :).
offtopic:
Ik zou eigenlijk nog eens een Crowdsec bouncer willen combineren met Unifi. Wellicht dat ik daar nog eens aan begin.
Zo zal het bij mij ook wel gaan functioneren, maar ik wil altijd beetje begrijpen hoe dingen werken. En die standaard ban tijd van 4u heeft dus helemaal geen zin. Pas vanaf 24 dagen gaat alles goed werken, en zie je dus ook dat ik op dit ogenblik dus bijna 82% blokkeer met wat handmatige acties + die 150 bans van CrowdSec zelf.

De invloed van die CAPI lijst en de TOR lijst is dus veel beperkter dan dat ik in eerste instantie dacht. Het gros valt buiten deze lijsten. Ik zie nu ook voornamelijk IP adressen die ik voor het eerst zie (aantal bans = 1), waar ik voorheen met een kortere bantijd heel veel herhalingen zag.

Ben benieuwd of dit zich doorzet. Met 10 unieke bans per dag ga je al naar de 3600 op jaarbasis.

Material 3 Thema's voor HA | Swiss Army Knife custom card voor HA | AmoebeLabs

donderdag 6 november 2025 10:52

Acties:
  • alex3305
  • Registratie: Januari 2004
  • Laatst online: 22:06

alex3305

@Mars Warrior Ik heb mijn bantijden opgerekt naar 48 uur. Ik zag ook dat je de bantijden incrementeel kunt ophogen, maar dat was al teveel moeite voor me :+. Ik laat alleen verkeer via :443 binnen. En alleen via de IP's van Cloudflare. Dus mijn aanvalsvector is sowieso enorm klein.

donderdag 6 november 2025 11:23

Acties:
  • Mars Warrior
  • Registratie: Oktober 2003
  • Laatst online: 19-11 13:01

Mars Warrior

Earth, the final frontier

alex3305 schreef op donderdag 6 november 2025 @ 10:52:
@Mars Warrior Ik heb mijn bantijden opgerekt naar 48 uur. Ik zag ook dat je de bantijden incrementeel kunt ophogen, maar dat was al teveel moeite voor me :+. Ik laat alleen verkeer via :443 binnen. En alleen via de IP's van Cloudflare. Dus mijn aanvalsvector is sowieso enorm klein.
Een paar commentaarregels weghalen en hoppa :o

Maar als je voorbij de 24 dagen komt gaat ipset klagen dat het interval te groot is. Geen idee of CrowdSec dat corrigeert, dus na die 24 dagen en nog wat de ban weer opnieuw in de ipset gooit.

Dus daarom heb ik nu een vaste bantijd van 24 dagen. Scheelt zoals je in de grafiek ziet enorm veel bans/dag.

Material 3 Thema's voor HA | Swiss Army Knife custom card voor HA | AmoebeLabs

donderdag 6 november 2025 11:28

Acties:
  • Mars Warrior
  • Registratie: Oktober 2003
  • Laatst online: 19-11 13:01

Mars Warrior

Earth, the final frontier

alex3305 schreef op woensdag 5 november 2025 @ 22:30:
Ik ben niet snel van mijn stuk geslagen, maar recent ben ik gestart met de opzet van OpenCloud (OwnCloud Infinite Scale fork). Daar heeft men een Github repository voor, maar heel duidelijk vind ik het allemaal niet.

Mijn use-case lijkt enorm op de use-case die ik bij bijna al mijn hosted apps heb, namelijk dat de applicatie draait + een vorm van authenticatie gebruikt. Bij voorkeur OIDC / OAuth2 via Pocket ID, maar anders LDAP met LLDAP.

Door alle includes en verschillende compose bestanden (en omdat ik het wil omzetten naar mijn eigen Ansible format) is het allemaal niet super evident. De documentatie is ook wat karig op sommige punten. Ik vind het jammer dat er geen 'kant-en-klare' demo Compose is waar men dan verder op zou kunnen bouwen, zoals ik dat vaker bij andere projecten wel zie.
Ik dacht even dat de EU met iets bezig was, maar het is gewoon een commercieel bedrijf die -eu achter een domein heeft geplakt 8)

Documentatie is voor mij helemaal onleesbaar. Lekker nergens zeggen hoe het samenwerkt. Overal kleine stukjes, geen samenhang, niks. Bij KeyCloak haak ik vaak al af. Een Waterhoofd dat onnodig complex is qua GUI en enorm veel resources gebruikt voor iets simpels als inloggen.

Maar waarom geen NextCloud AIO? Dat is gewoon draaien, toch?

Material 3 Thema's voor HA | Swiss Army Knife custom card voor HA | AmoebeLabs

donderdag 6 november 2025 11:56

Acties:
  • alex3305
  • Registratie: Januari 2004
  • Laatst online: 22:06

alex3305

@Mars Warrior Volgens mij wordt het (deels) gefinancierd door de EU als alternatief tegenover de Amerikaanse reuzen. Niet slecht dunkt me.

Meestal lees ik wat (voorbeeld) code om eruit te komen voordat ik de documentatie induik. Maar allebei vind ik het onleesbaar. Ik vond wel dit blog die het e.e.a. uitlegt, maar die gozer doet security through obsecurity en daar krijg ik toch altijd een beetje de kriebels van.

Idem voor environment variabelen die je daarna include met iets andere namen. WAAROM?! Het zal mij een worst zijn of je nou:

YAML:
1
2
3
4
5

services:
  my-service:
    image: postgresql
    environment:
      POSTGRES_USER: ${DB_USER}


of

YAML:
1
2
3
4

services:
  my-service:
    image: postgresql
    env_file: [.env]


doet 8)7. Waarbij bij het eerste voorbeeld de variabele DB_USER en bij het tweede voorbeeld de variabele POSTGRES_USER in de env file staat.

En dan is dit een slecht voorbeeld, want voor 3, 4 of 8 variabelen vind ik het tot daaraan toe. Maar conform de repo heb ik een env file van 100+ regels. Wel met commentaar, maar na eenmalige configuratie kan me dat over het algemeen toch gestolen worden. Ook is de repo ook niet erg consistent in zaken zoals formatting. Dat stoort mij meer dan zou moeten O-).

Overigens lijk ik 90% te zijn, alleen de IdP integratie (Pocket ID) loopt enorm moeizaam. Ik verwacht simpelweg een Issuer URL, Client ID en Client Secret en dan gaan, maar blijkbaar denk ik dan te simpel. Volgens de Pocket ID documentatie zijn het PKCE clients zonder secret. Allemaal weer prima, alleen weer een extra afwijkende configuratie.
Maar waarom geen NextCloud AIO? Dat is gewoon draaien, toch?
Ik heb dat weleens geprobeerd. Ook de niet-AIO variant overigens. Maar ik vond dat een enorm log systeem en niet onderhoudbaar. Met mijn Renovate setup heb ik trouwens ook de spreekwoordelijke pleuris aan AIO deployments. Alhoewel het soms niet anders kan :|.

donderdag 6 november 2025 12:11

Acties:
  • Mars Warrior
  • Registratie: Oktober 2003
  • Laatst online: 19-11 13:01

Mars Warrior

Earth, the final frontier

alex3305 schreef op donderdag 6 november 2025 @ 11:56:
@Mars Warrior Volgens mij wordt het (deels) gefinancierd door de EU als alternatief tegenover de Amerikaanse reuzen. Niet slecht dunkt me.
Zeker niet, maar de pot was leeg toen men aan de documentatie begon zodat gebruikers het ook gaan gebruiken. Ach ja, prioriteiten...
Meestal lees ik wat (voorbeeld) code om eruit te komen voordat ik de documentatie induik. Maar allebei vind ik het onleesbaar. Ik vond wel dit blog die het e.e.a. uitlegt, maar die gozer doet security through obsecurity en daar krijg ik toch altijd een beetje de kriebels van.

Idem voor environment variabelen die je daarna include met iets andere namen. WAAROM?! Het zal mij een worst zijn of je nou:

YAML:
1
2
3
4
5

services:
  my-service:
    image: postgresql
    environment:
      POSTGRES_USER: ${DB_USER}


of

YAML:
1
2
3
4

services:
  my-service:
    image: postgresql
    env_file: [.env]


doet 8)7. Waarbij bij het eerste voorbeeld de variabele DB_USER en bij het tweede voorbeeld de variabele POSTGRES_USER in de env file staat.

En dan is dit een slecht voorbeeld, want voor 3, 4 of 8 variabelen vind ik het tot daaraan toe. Maar conform de repo heb ik een env file van 100+ regels. Wel met commentaar, maar na eenmalige configuratie kan me dat over het algemeen toch gestolen worden. Ook is de repo ook niet erg consistent in zaken zoals formatting. Dat stoort mij meer dan zou moeten O-).

Overigens lijk ik 90% te zijn, alleen de IdP integratie (Pocket ID) loopt enorm moeizaam. Ik verwacht simpelweg een Issuer URL, Client ID en Client Secret en dan gaan, maar blijkbaar denk ik dan te simpel. Volgens de Pocket ID documentatie zijn het PKCE clients zonder secret. Allemaal weer prima, alleen weer een extra afwijkende configuratie.
Rare manier van werken. Laten we piet jan noemen, jan klaas, en klaas weer piet |:(

Ik hou het wel ff bij Microsoft met OneDrive en online samenwerken. Dat doet het voor mijn behoefte.
Ik heb dat weleens geprobeerd. Ook de niet-AIO variant overigens. Maar ik vond dat een enorm log systeem en niet onderhoudbaar. Met mijn Renovate setup heb ik trouwens ook de spreekwoordelijke pleuris aan AIO deployments. Alhoewel het soms niet anders kan :|.
De ene gebruiker vindt het log, de andere heeft geen problemen. Bij mij was het bagger traag en teveel CPU belasting voor iets dat niks doet het gros van de tijd. En dat op een 13900K.

OpenCloud beweert dat het zelfs op een RPI nog goed draait. Dat zou dus wel een enorm verschil zijn. Wie weet zie ik ooit nog het nut om het eens te proberen!

Material 3 Thema's voor HA | Swiss Army Knife custom card voor HA | AmoebeLabs

donderdag 6 november 2025 12:28

Acties:
  • alex3305
  • Registratie: Januari 2004
  • Laatst online: 22:06

alex3305

@Mars Warrior OCIS en OpenCloud zijn volledig opnieuw opgebouwd op basis van Go ipv PHP. Bij mij was Nextcloud en Owncloud ook enorm traag.

donderdag 6 november 2025 12:29

Acties:
  • Mars Warrior
  • Registratie: Oktober 2003
  • Laatst online: 19-11 13:01

Mars Warrior

Earth, the final frontier

Ik ben nog aan het kijken naar een metrics setup, maar dan zonder de usual suspects als Grafana enzo.
Het moet zuinig en snel zijn, en daarnaast simpel (voor mij dan).

Een combi van Telegraf, CrateDB en Metabase ben ik nu aan het verkennen:
  • Telegraf zou met docker labels kunnen werken. Dan kan ik via labels pad, poort en interval kunnen opgeven
  • Ook zou een label de CrateDB tabel kunnen aangeven. Ik wil dan per service een aparte tabel. Mixen heeft voor mij geen nut.
  • CrateDB kan key/value pairs opslaan en is één van de snelste databases die ik ken
  • Metabase zou dan voor visualisatie zijn. Is simpel met SQL queries, dus ik kan ook custom queries maken die enkel CrateDB kent/snapt (key/value pairs)
  • Aangezien CrateDB Postgres praat is koppelen aan andere systemen ook geen probleem. Al die custom rare niet-SQL ben ik beetje zat.
Zou dan zoiets worden in Telegraf (bedacht door ChatGPT, dus kan nog totale onzin zijn, of een mix van versies, of iets dat helemaal nooit heeft bestaan):
TOML:
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28

[agent]
  round_interval = true
  metric_batch_size = 1000
  metric_buffer_limit = 10000
  omit_hostname = true

[[inputs.prometheus]]
  ## Automatisch containers met metrics.enable=true scrapen
  [inputs.prometheus.discovery]
    docker_labels_include = ["metrics.enable", "metrics.port", "metrics.path", "metrics.job", "metrics.interval"]
    docker_label_filter = { "metrics.enable" = "true" }

  ## Interval-label uitlezen (ondersteund sinds 1.30)
  interval_label = "metrics.interval"

  ## Vorm van de URL op basis van labels
  url_label = "metrics.path"
  job_label = "metrics.job"
  port_label = "metrics.port"

  ## Extra tag (servernaam)
  [inputs.prometheus.tags]
    node = "$METRICS_NODE"

[[outputs.postgresql]]
  address = "host=cratedb port=5432 user=crate dbname=metrics sslmode=disable"
  table_template = "metrics_{{ .Tags.job }}"
  create_templates = true


Telegraf draait al, dus enkel extra config erbij. CrateDB draait al in andere context, dus dat wordt een minimale container erbij die makkelijk op 1 core kan lopen wat mij betreft als ik elke 15minuten een scrape doe.
Metabase heb ik ook al in gebruik, dus dat is enkel een extra Postgres interface/bron erbij.

Wie weet O-)

Material 3 Thema's voor HA | Swiss Army Knife custom card voor HA | AmoebeLabs

donderdag 6 november 2025 14:34

Acties:
  • oohh
  • Registratie: Oktober 2009
  • Laatst online: 18:25

oohh

RobertMe schreef op donderdag 9 oktober 2025 @ 17:32:
Enige "issue" waar ik nu met Podman tegenaan loop is dat Telegraf draaiende onder de telegraf user natuurlijk geen toegang heeft tot de Podman socket (Docker compatibiliteit) aangezien Podman alles doet onder de user die het commando uitvoert en dus geen "extra" toegang geeft (zoals bij Docker zelf dus iedereen in de "docker" user group toegang heeft tot de socket).
Ik weet niet of je hier al verder mee bent gekomen maar probeer eens UserNs=keep-id, waarmee je de container draait als de user die de container start. Of mount de socket met selinux flag zoals “Z” of “z” indien meerdere containers toegang nodig hebben tot de socket.

donderdag 6 november 2025 19:32

Acties:
  • Mars Warrior
  • Registratie: Oktober 2003
  • Laatst online: 19-11 13:01

Mars Warrior

Earth, the final frontier

Mars Warrior schreef op donderdag 6 november 2025 @ 12:29:

Zou dan zoiets worden in Telegraf (bedacht door ChatGPT, dus kan nog totale onzin zijn, of een mix van versies, of iets dat helemaal nooit heeft bestaan):

Wie weet O-)
Afijn. ChatGPT zat weer duidelijk aan de paddo’s.

De hele setup is verzonnen. Niets kan op deze manier. Natuurlijk gaf ChatGPT als verweer dat die functionaliteit dan in de laatste versie is verwijderd.

Ach ja. Dat soort verweer ken ik inmiddels :(

Het is soms ongelofelijk hoeveel complete onzin er uit zo’n AI chatbot kan komen. Als werknemer zou je niet meer serieus worden genomen, maar als AI krijg je juist nog meer geld om nog meer onzin te verkondigen 😇

Helaas krijg ik VMAgent ook niet aan de praat. Dat is ook een gedrocht qua duidelijkheid en foutmeldingen.

Pech.

[ Voor 14% gewijzigd door Mars Warrior op 06-11-2025 19:42 ]

Material 3 Thema's voor HA | Swiss Army Knife custom card voor HA | AmoebeLabs

donderdag 6 november 2025 20:52

Acties:
  • alex3305
  • Registratie: Januari 2004
  • Laatst online: 22:06

alex3305

@Mars Warrior Ik ben super tevreden over mijn Beszel setup. Die heeft sinds kort ook Docker container stats support:

Afbeeldingslocatie: https://tweakers.net/i/wXZGVnXNiIrKzP6Ijir8apLtOXQ=/800x/filters:strip_exif()/f/image/OMINkki4HX39rkqY7JT5VXye.png?f=fotoalbum_large

Ik heb daar zelf een Ansible role voor ontwikkeld. Twee van mijn Docker nodes gebruiken dan de Beszel agent in Docker, de andere twee nodes gebruiken een native agent.

Het is bijzonder lichtgewicht en energiezuinig met alles erin. Waaronder notificaties, SSO en (live) grafiekjes. Updates zijn ook regelmatig met ook nieuwe functies.

Afbeeldingslocatie: https://tweakers.net/i/IrD9XjiImm7NuwKxUjtKbQrcUy4=/800x/filters:strip_exif()/f/image/7OQoLEOs1YjUSZzJ9lU7nBFV.png?f=fotoalbum_large

Afbeeldingslocatie: https://tweakers.net/i/Q865Sqw9-YUNvwOhQ3ARcwSpHkU=/800x/filters:strip_exif()/f/image/cr7u4KwhdM8n4T075FHcwIjz.png?f=fotoalbum_large

Voor access logging gebruik nu weer GoAccess. Met Caddy was dat echt een resource vreter, maar dat lijkt met Traefik wel goed te gaan.

donderdag 6 november 2025 21:05

Acties:
  • Mars Warrior
  • Registratie: Oktober 2003
  • Laatst online: 19-11 13:01

Mars Warrior

Earth, the final frontier

@alex3305 dan moet ik nodig updaten. Die overzichten zitten niet in mijn versie van Beszel.

Ik was ook niet van plan om docker stats met VMAgent te verzamelen. Enkel andere stats maar dat zit dus nog ff tegen.

Ik gebruik auto discovery. Die doet al raar maar het scrapen zelf geeft dus ook time-outs lijkt het. Er komt dus niks uit VMAgent.

VMAgent moet de data naar Telegraf doorzetten die zich voordoet als prometheus endpoint. En dan CrateDB in.

Material 3 Thema's voor HA | Swiss Army Knife custom card voor HA | AmoebeLabs

donderdag 6 november 2025 22:12

Acties:
  • ComTech
  • Registratie: November 2002
  • Laatst online: 18-11 21:34

ComTech

Mocht iemand tegen deze foutmelding aanlopen bij het starten van een container

code:
1
2
3

Error response from daemon: failed to create task for container:
OCI runtime create failed: runc create failed: unable to start container process:
error during container init: open sysctl net.ipv4.ip_unprivileged_port_start file: reopen fd 8: permission denied


Er zit blijkbaar een bug in Docker versie 28.5.2 en om precies te zijn in containerd v1.7.29 waardoor containers niet meer starten.
Oplossing is even downgraden van containerd.
Voor ubuntu 25.04 plucky:
code:
1
2

wget https://download.docker.com/linux/ubuntu/dists/plucky/pool/stable/amd64/containerd.io_1.7.28-1~ubuntu.25.04~plucky_amd64.deb
sudo dpkg -i containerd.io_1.7.28-1~ubuntu.25.04~plucky_amd64.deb


Heeft mij al een uur zoeken gekost 8)7

donderdag 6 november 2025 23:00

Acties:
  • Mich
  • Registratie: December 2000
  • Laatst online: 16:57

Mich

@Mars Warrior @alex3305

Hebben jullie ook ervaring met https://app.crowdsec.net/hub hier kan je crowdsec nog mee uitbreiden met verschillende dingen. Bijvoorbeeld door crowdsec in bepaalde log files te laten kijken en extra appsec rules. Ik heb zelf crowdsec draaien op opnsense. Zie in de firewall ook wel dat her en der wat geblokkeerd wordt maar moet me er nog wat meer in verdiepen. Ook welke gratis blocklists nu het beste zijn.

vrijdag 7 november 2025 10:07

Acties:
  • Mars Warrior
  • Registratie: Oktober 2003
  • Laatst online: 19-11 13:01

Mars Warrior

Earth, the final frontier

Mich schreef op donderdag 6 november 2025 @ 23:00:
@Mars Warrior @alex3305

Hebben jullie ook ervaring met https://app.crowdsec.net/hub hier kan je crowdsec nog mee uitbreiden met verschillende dingen. Bijvoorbeeld door crowdsec in bepaalde log files te laten kijken en extra appsec rules. Ik heb zelf crowdsec draaien op opnsense. Zie in de firewall ook wel dat her en der wat geblokkeerd wordt maar moet me er nog wat meer in verdiepen. Ook welke gratis blocklists nu het beste zijn.
Wij hebben beiden AppSec draaien ja. Die is bij mij voor het grootste deel verantwoordelijk voor alle decisions/bans, dus zeker doen. De Traefik logfile is natuurlijk de 1ste waar wat mee gedaan wordt. Daarmee kun je al veel met standaard configuratie tegenhouden.
AppSec controleert de URI tegen allerhande CVE's enzo. Hieronder zie je bij "Scenario" een aantal van die dingen.

Afbeeldingslocatie: https://tweakers.net/i/gQo2wRRzsS2U8j4vreTGvo3PKOc=/800x/filters:strip_exif()/f/image/eB4LAEQe6R6qG3N7Allg84L0.png?f=fotoalbum_large

Ik gebruik de CAPI lijst (15.000 adressen), de TOR lijst, en verder niet.
Zoals eerder aangegeven is 0 de CrowdSec bouncer, 1 de CAPI, 2 de TOR en 3 handmatig.
Data afgeleid uit iptables (via cs-firewall-bouncer container) om de efficientie van deze lijsten te bepalen.
BlacklistEntriesPacketsHits/IP% of total
crowdsec-blacklists-018522748122,9671,54
crowdsec-blacklists-11481154590,3717,17
crowdsec-blacklists-24941670,340,53
crowdsec6-blacklists-05432130,390,67
crowdsec6-blacklists-160200,000,00
crowdsec6-blacklists-21025025,000,79
crowdsec-blacklists-3172075122,066,53
crowdsec6-blacklists-35887177,402,79
Total packets dropped: 31799

En het script dat - na 5 pogingen - door ChatGPT is gemaakt. Ik ben zelf niet bepaald goed in bash en al die rare Linux commando's en tooltjes. Beetje abacadabra...

Bash:
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38

#!/bin/bash
# Toon overzicht van CrowdSec-ipsets met counters en efficiency (packets)

echo -e "Blacklist\tEntries\tPackets\tHits/IP\t% of total"

# 🧮 1. Verzamel alle match-set regels uit iptables en ip6tables
iptables_output=$(sudo iptables  -L CROWDSEC_CHAIN -v -n 2>/dev/null)
ip6tables_output=$(sudo ip6tables -L CROWDSEC_CHAIN -v -n 2>/dev/null)

# 🧮 2. Totaal aantal packets (alle regels samen)
total=$(
  echo "$iptables_output"$'\n'"$ip6tables_output" \
  | awk '/match-set/ {s+=$1} END{print s+0}'
)

# 🧮 3. Maak mapping ipset -> packets in één awk-run
declare -A pkts_map
while read -r name pkts; do
  [[ -n "$name" ]] && pkts_map["$name"]=$(( ${pkts_map["$name"]:-0} + pkts ))
done < <(
  echo "$iptables_output"$'\n'"$ip6tables_output" \
  | awk '/match-set/ {
      for (i=1; i<=NF; i++) if ($i=="match-set") print $(i+1), $1
    }'
)

# 🧮 4. Loop over alle ipsets
for set in $(sudo ipset list | awk '/Name: crowdsec/ {print $2}'); do
  entries=$(sudo ipset list "$set" | awk '/Number of entries/ {print $4}')
  pkts=${pkts_map["$set"]:-0}

  [[ "$entries" -gt 0 ]] && ratio=$(awk -v p="$pkts" -v e="$entries" 'BEGIN{printf "%.2f", p/e}') || ratio=0
  [[ "$total"   -gt 0 ]] && pct=$(awk -v p="$pkts" -v t="$total" 'BEGIN{printf "%.2f", (p/t)*100}') || pct=0

  printf "%-25s\t%10s\t%10s\t%10s\t%10s\n" "$set" "$entries" "$pkts" "$ratio" "$pct"
done | column -t

echo -e "\nTotal packets dropped: $total"

[ Voor 25% gewijzigd door Mars Warrior op 07-11-2025 10:11 ]

Material 3 Thema's voor HA | Swiss Army Knife custom card voor HA | AmoebeLabs

vrijdag 7 november 2025 12:00

Acties:
  • alex3305
  • Registratie: Januari 2004
  • Laatst online: 22:06

alex3305

@Mich Ik deploy al mijn (Docker) applicaties met Ansible. Ik voeg die collections dus toe aan mijn Ansible variables:
YAML:
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26

# CrowdSec
traefik_crowdsec_api_key: "{{ vault_traefik_crowdsec_api_key }}"
traefik_crowdsec_collections:
  - crowdsecurity/appsec-generic-rules
  - crowdsecurity/appsec-virtual-patching
  - crowdsecurity/appsec-crs
  - crowdsecurity/appsec-crs-inband
  - crowdsecurity/base-http-scenarios
  - crowdsecurity/home-assistant
  - crowdsecurity/http-cve
  - crowdsecurity/http-dos
  - crowdsecurity/http-extended-context
  - gauth-fr/immich
  - andreasbrett/paperless-ngx
  - crowdsecurity/plex
  - crowdsecurity/traefik
  - Dominic-Wagner/vaultwarden
  - crowdsecurity/whitelist-good-actors

traefik_crowdsec_additional_log_volumes:
  - src: "{{ home_assistant_config_dir }}"
    dest: /var/log/home-assistant
  - src: "{{ paperless_ngx_log_dir }}"
    dest: /var/log/paperless
  - src: "{{ vaultwarden_log_dir }}"
    dest: /var/log/vaultwarden


In de Compose Jinja template worden deze variabelen dan gebruikt om de uiteindelijke Compose op te bouwen:

YAML:
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27

#jinja2: lstrip_blocks: True, trim_blocks: True
---
{{ ansible_managed | comment }}

name: {{ _compose_stack_name }}

services:
  crowdsec:
    container_name: ${COMPOSE_PROJECT_NAME}-crowdsec
    image: ghcr.io/crowdsecurity/crowdsec:v1.7.3
    restart: on-failure:5
    environment:
      COLLECTIONS: "{{ traefik_crowdsec_collections | join(' ') }}"
    networks:
      internal:
      docker-socket:
    volumes:
      - {{ traefik_crowdsec_database_dir }}:/var/lib/crowdsec/data/
      - {{ traefik_crowdsec_config_dir }}:/etc/crowdsec/
      - logs:/var/log/traefik:ro
      {% if traefik_crowdsec_additional_log_volumes is defined %}
      {% for dir in traefik_crowdsec_additional_log_volumes %}
      - {{ dir.src }}:{{ dir.dest }}:ro
      {% endfor %}
      {% endif %}
    healthcheck:
      test: ["CMD", "cscli", "version"]


Ansible zet dit dan om tijdens de deployment naar de correcte waardes in yaml. Dat maakt het beheer bijzonder eenvoudig.

Deployments vinden overigens veelal automatisch plaats. Dit gebeurt wanneer Renovate merged naar main. Op mijn infra-repo is dat tussen doordeweeks tussen 9-20. En dan alleen van de componenten waarvan de bestanden zijn aangepast. Deze fail fast aanpak zorgt ervoor dat fouten snel worden gevonden. En door de strakke versioning van Renovate kan ik ook vrij snel vinden waar de fout is opgetreden en hoe ik eventueel terug moet.

Zoals ik eerder al zei kan ik maar twee blocklists gebruiken :|. Ik ben dus 1 slot kwijt, maar ik heb nog nergens gevonden waar ik dat kan melden.

vrijdag 7 november 2025 13:54

Acties:
  • Mars Warrior
  • Registratie: Oktober 2003
  • Laatst online: 19-11 13:01

Mars Warrior

Earth, the final frontier

@Mich , hier zie je ook nog een keer het effect van het combineren met de cs-firewall-bouncer waarmee bans in ip/nftables worden gezet, en Traefik en de CrowdSec bouncer die pakketjes niet meer zien.

Zo rond 27/28 oktober heb ik de firewall container acief gemaakt. Je ziet een enorme daling in het aantal events dat door CrowdSec wordt geregistreerd. Ik heb met de installatie van de firewall container ook de bantijd verhoogd naar 24 dagen / 576 uur.

Tegelijkertijd zie je ook een flinke daling in het aantal unieke bans per dag. Het zal nooit 0 worden, daarvoor zijn er teveel botjes en cloud centra die die botjes hosten. Ik zie ook in mijn dashboards nu voornamelijk FTO's (First Time Offenders).

Door die standaard bantijd van 24 dagen is de CrowdSec blacklist dus ook meteen de meest effectieve van alle blacklists die ik gebruik. Ze leren hier namelijk niks van en komen gewoon weer terug als de ban is opgeheven. Vandaar wil ik naar een permanente block in de firewall van alle ip adressen die door CrowdSec geblokkeerd zijn. Dan zie ik ze ook nooit meer terug.

Sinds activeren firewall (en geen reboots, want dan start de teller weer op 0) dus zo'n 32.000 packets dropped. Zeg 11 dagen, dus gemiddeld 2.900 per dag. En dat op een gewoon consumenten lijntje van de KPN.

Afbeeldingslocatie: https://tweakers.net/i/zd2c0lsjSZ2v-wDHRfqzcL5cL2Y=/800x/filters:strip_exif()/f/image/xWGvJJWCc9H9yqOSwqzsxuP6.png?f=fotoalbum_large

Afbeeldingslocatie: https://tweakers.net/i/F70BSOVKR_X3rYvG4fs4P-QHX5A=/800x/filters:strip_exif()/f/image/gfFJqIvnDQOmhAqdUQx9djfU.png?f=fotoalbum_large

Material 3 Thema's voor HA | Swiss Army Knife custom card voor HA | AmoebeLabs

vrijdag 7 november 2025 14:09

Acties:
  • Airw0lf
  • Registratie: Mei 2005
  • Laatst online: 21:42

Airw0lf

@Mars Warrior - maar het gebruik van IP adressen is redelijk vloeibaar - enerzijds door de handel in IPv4 adressen en anderzijds door VPN-achtigen. Waardoor een "eeuwige" ban op enige termijn ook tegen je kan werken. Hoe zie jij dat? Wat als je die ban op 3 of 6 maanden zou zetten?

makes it run like clockwork

vrijdag 7 november 2025 14:54

Acties:
  • Mars Warrior
  • Registratie: Oktober 2003
  • Laatst online: 19-11 13:01

Mars Warrior

Earth, the final frontier

Airw0lf schreef op vrijdag 7 november 2025 @ 14:09:
@Mars Warrior - maar het gebruik van IP adressen is redelijk vloeibaar - enerzijds door de handel in IPv4 adressen en anderzijds door VPN-achtigen. Waardoor een "eeuwige" ban op enige termijn ook tegen je kan werken. Hoe zie jij dat? Wat als je die ban op 3 of 6 maanden zou zetten?
Lastig. IPv4 adressen willen nog wel eens doorgeschoven worden, verhandeld of hergebruikt. Dus ja, dan kan het zijn dat een ip adres van een spammer plotseling bij een normale partij komt. Dan zou een permanente ban onterecht zijn.

Ik zit nu op die 24 dagen vanwege de maximale timeout van ipset.

Voorheen gebruikte ik Fail2Ban, en elke overtreder (na tig overtredingen) kreeg een permanente ban. Daar heb ik op zich nooit last van gehad.

Optie 1 met CrowdSec:
  • Na 24 dagen de ban gewoon laten verlopen, en als het ip adres weer komt, gewoon weer een ban van 24 dagen. Dus dan ga je wat cycli zien denk ik in de CrowdSec statistieken.
Optie 2 met CrowdSec:
  • Tracken van recidiven (deed ik al met een 24h ban) en dan bijv. de ban in stappen van 24 dagen verlengen naar zeg max 6-12 maanden.
Optie 3 CrowdSec combineren met bekende blocklists:

HIerbij kun je gebruik kunnen maken van de uceprotect lijsten (1, 2 of 3). Die worden dynamisch bepaald, en zijn dus actueel.
  • Als het ip adres in die lijst zit, de ban op voorhand verlengen of in stand houden
  • Als het ip adres niet meer in die lijst zit, de ban netjes laten verlopen
De uceprotect lijsten zijn wat speciaal in de zin dat zij complete ASN's kunnen blokkeren als er bijv binnen een /24 bereik meer dan 50 adressen zijn die spam/bot gedrag vertonen (lijst 3).

Iets speciaals doen bovenop standaard CrowdSec gedrag is natuurlijk allemaal extra werk. Als optie 1 toch blijkt te werken (24 dagen ban, na 24 dagen weer bannen als ip terugkomt), dan kan het zijn dat ik het daarbij houd.

Besef dat ik de grote spammers/botnetwerken al handmatig in een ban heb staan. Dat scheelt al bergen alerts en bans. Deze ASNs staan er overigens gewoon om bekend botnetwerken te hosten. Hostglobal staat in veel lijsten op #1. En Censys Arin is ook gewoon een bekend bot/scan netwerk.

Material 3 Thema's voor HA | Swiss Army Knife custom card voor HA | AmoebeLabs

vrijdag 7 november 2025 16:27

Acties:
  • Mars Warrior
  • Registratie: Oktober 2003
  • Laatst online: 19-11 13:01

Mars Warrior

Earth, the final frontier

@alex3305 . Leuk die nieuwe Beszel. Was alleen vergeten de Agent ook te pullen. Had dus lege docker stats.

Al mijn huidige metrics containers. Beszel zit strak op 0,00% CPU.

De vmagent die nog niks richting storage krijgt doet het ook aardig, al is het maar met 1 container.
Dat wat wel al met Telegraf wordt binnengehaald gaat zowel naar InfluxDB als naar CrateDB. De laatste is duidelijk een stuk zuiniger om die data te verwerken.

Afbeeldingslocatie: https://tweakers.net/i/ztV9kpOQDyyaOvP7d2qlfpFxIfk=/800x/filters:strip_exif()/f/image/uJVHrIHlclzcH17aPml1v1ZY.png?f=fotoalbum_large

Material 3 Thema's voor HA | Swiss Army Knife custom card voor HA | AmoebeLabs

vrijdag 7 november 2025 21:14

Acties:
  • alex3305
  • Registratie: Januari 2004
  • Laatst online: 22:06

alex3305

@Mars Warrior Ik heb ondanks advies eerder in dit topic afgezien van een Influx stack. Hoe mooi het misschien ook is. Met name omdat ik nog steeds een soort van PTSS heb van de InfluxDB 1 naar 2 overgang.

Grafana Loki en Prometheus werken prima, maar ik kan niet gewend raken aan Grafana. Hoe vaak ik het ook probleer. Ik vind dashboarding functionaliteit of LogQL / PromQL nou niet echt voor de hand liggend. Dat is overigens wel aardig een 'mijn probleem'. En cAdvisor ZUIPT stroom. Dat wil ik niet.

Netdata had ik ook nog even bekeken, maar dat belde nogal naar huis en dat mot ik niet. En de 1337-UI staat me niet aan. Bij andere concurrenten overigens ook. Dat komt mede omdat ik maar voor 20% zicht heb en dan zijn die kleine lettertjes of pictogrammen niet handig. Dan kun je wel weer zoomen, maar volgens ga ik dan het doel dashboard voorbij.

Met Beszel kun je overigens ook Docker logs zien en de container configuratie (Docker Inspect) als je een container aanklikt. Super handig :).

zondag 9 november 2025 10:26

Acties:
  • Airw0lf
  • Registratie: Mei 2005
  • Laatst online: 21:42

Airw0lf

Mars Warrior schreef op vrijdag 7 november 2025 @ 13:54:
@Mich , hier zie je ook nog een keer het effect van het combineren met de cs-firewall-bouncer waarmee bans in ip/nftables worden gezet, en Traefik en de CrowdSec bouncer die pakketjes niet meer zien.

Zo rond 27/28 oktober heb ik de firewall container acief gemaakt. Je ziet een enorme daling in het aantal events dat door CrowdSec wordt geregistreerd. Ik heb met de installatie van de firewall container ook de bantijd verhoogd naar 24 dagen / 576 uur.

Tegelijkertijd zie je ook een flinke daling in het aantal unieke bans per dag. Het zal nooit 0 worden, daarvoor zijn er teveel botjes en cloud centra die die botjes hosten. Ik zie ook in mijn dashboards nu voornamelijk FTO's (First Time Offenders).

Door die standaard bantijd van 24 dagen is de CrowdSec blacklist dus ook meteen de meest effectieve van alle blacklists die ik gebruik. Ze leren hier namelijk niks van en komen gewoon weer terug als de ban is opgeheven. Vandaar wil ik naar een permanente block in de firewall van alle ip adressen die door CrowdSec geblokkeerd zijn. Dan zie ik ze ook nooit meer terug.

Sinds activeren firewall (en geen reboots, want dan start de teller weer op 0) dus zo'n 32.000 packets dropped. Zeg 11 dagen, dus gemiddeld 2.900 per dag. En dat op een gewoon consumenten lijntje van de KPN.

[Afbeelding]

[Afbeelding]
Waar komt dit plaatje vandaan?

Ik gebruik zelf Swag als proxy - daar is een CrowdStrike mod voor.
Fail2Ban zou ik dan willen vervangen door CrowdStrike.
Mijn zorg zit hem in de dashboard mod - gaat die nog iets laten zien van de resultaten met CrowdStrike.

makes it run like clockwork

zondag 9 november 2025 12:38

Acties:
  • Mars Warrior
  • Registratie: Oktober 2003
  • Laatst online: 19-11 13:01

Mars Warrior

Earth, the final frontier

Airw0lf schreef op zondag 9 november 2025 @ 10:26:
[...]
Waar komt dit plaatje vandaan?
Eigen Metabase dashboard met Dark Reader plugin omdat de gratis versie van Metabase geen thema's toestaat |:(
Ik gebruik zelf Swag als proxy - daar is een CrowdStrike mod voor.
Fail2Ban zou ik dan willen vervangen door CrowdStrike.
Mijn zorg zit hem in de dashboard mod - gaat die nog iets laten zien van de resultaten met CrowdStrike.
Geen idee. Ik ken SWAG niet, dus ook het dashboard niet. Verwacht niet zomaar dat die de CrowdSec database kan uitlezen en verwerken, laat staan dat die toont wat jij wilt zien.

CrowdSec console kent wel wat dashboards, maar ook die zijn primitief en beperkt / expres kreupel gemaakt omdat ze je graag een betaalde versie willen aansmeren. Voorheen (2020 ofzo) leverde CrowdSec gewoon een Metabase container mee met dashboarding.

Ik maak dus liever mijn eigen dashboards. De SQL queries laat ik lekker door ChatGPT maken.

Afbeeldingslocatie: https://tweakers.net/i/YrgWyG-OVMBmyTLnKi5O_qxHdBM=/800x/filters:strip_exif()/f/image/B1CK2PEvg8oVHozuXiCY1abH.png?f=fotoalbum_large

De SQL Query voor het onderste dashbaord ziet er als volgt uit. Of het helemaal optimaal is weet ik niet. Dat laat ik dus aan ChatGPT over. Een view of metabase model zou zo'n query sterk kunnen vereenvoudigen omdat ik nu alle berekeningen ook in de query doe.

SQL:
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67
68
69
70
71
72
73
74
75
76
77
78
79
80
81
82
83
84
85
86
87
88
89
90
91
92
93
94
95
96
97
98
99
100
101
102
103
104
105
106

WITH latest_per_ip AS (
    SELECT
        value AS ip,
        MAX(created_at) AS last_created
    FROM decisions
    WHERE until > datetime('now')
      AND origin = 'crowdsec'
    GROUP BY value
)
SELECT
    datetime(d.created_at, 'localtime') AS "Tijdstip",

    -- Hoe lang geleden
    CASE
        WHEN CAST((julianday('now') - julianday(d.created_at)) * 24 * 60 AS INT) < 60
            THEN printf('%d minuten geleden',
                CAST(((julianday('now') - julianday(d.created_at)) * 24 * 60) % 60 AS INT)
            )
        WHEN CAST((julianday('now') - julianday(d.created_at)) AS INT) = 0
            THEN printf('%d uur geleden',
                CAST(((julianday('now') - julianday(d.created_at)) * 24) % 24 AS INT)
            )
        WHEN CAST((julianday('now') - julianday(d.created_at)) AS INT) = 1
            THEN
                CASE
                    WHEN CAST(((julianday('now') - julianday(d.created_at)) * 24) % 24 AS INT) = 0
                        THEN '1 dag geleden'
                    ELSE printf('1 dag, %d uur geleden',
                        CAST(((julianday('now') - julianday(d.created_at)) * 24) % 24 AS INT)
                    )
                END
        ELSE
            CASE
                WHEN CAST(((julianday('now') - julianday(d.created_at)) * 24) % 24 AS INT) = 0
                    THEN printf('%d dagen geleden',
                        CAST((julianday('now') - julianday(d.created_at)) AS INT)
                    )
                ELSE printf('%d dagen, %d uur geleden',
                    CAST((julianday('now') - julianday(d.created_at)) AS INT),
                    CAST(((julianday('now') - julianday(d.created_at)) * 24) % 24 AS INT)
                )
            END
    END AS "Geleden",

    -- Hoe lang nog actief
    CASE
        WHEN CAST((julianday(d.until) - julianday('now')) * 24 * 60 AS INT) < 60
            THEN printf('%d minuten',
                CAST(((julianday(d.until) - julianday('now')) * 24 * 60) % 60 AS INT)
            )
        WHEN CAST((julianday(d.until) - julianday('now')) AS INT) = 0
            THEN printf('%d uur',
                CAST(((julianday(d.until) - julianday('now')) * 24) % 24 AS INT)
            )
        WHEN CAST((julianday(d.until) - julianday('now')) AS INT) = 1
            THEN
                CASE
                    WHEN CAST(((julianday(d.until) - julianday('now')) * 24) % 24 AS INT) = 0
                        THEN '1 dag'
                    ELSE printf('1 dag, %d uur',
                        CAST(((julianday(d.until) - julianday('now')) * 24) % 24 AS INT)
                    )
                END
        ELSE
            CASE
                WHEN CAST(((julianday(d.until) - julianday('now')) * 24) % 24 AS INT) = 0
                    THEN printf('%d dagen',
                        CAST((julianday(d.until) - julianday('now')) AS INT)
                    )
                ELSE printf('%d dagen, %d uur',
                    CAST((julianday(d.until) - julianday('now')) AS INT),
                    CAST(((julianday(d.until) - julianday('now')) * 24) % 24 AS INT)
                )
            END
    END AS "Ban Resterend",

    printf('%s - %s', a.source_country, IFNULL(a.source_as_name, 'Onbekend'))  AS "ASN",
    concat('https://flags.example.com/hatscripts/circle-flags/', lower(a.source_country), '.svg') AS "Land",

    d.value AS "IP Adres",
    d.scenario AS "Scenario",
    a.events_count AS "Events",
    
    -- ✅ som van alle events over dit IP
    (
        SELECT SUM(a2.events_count)
        FROM alerts AS a2
        JOIN decisions AS d2
          ON a2.id = d2.alert_decisions
        WHERE d2.value = d.value
    ) AS "Totaal Events",
    
    printf(
        '%d / %d',
        (SELECT COUNT(*) FROM decisions d2 WHERE d2.value = d.value AND d2.until > datetime('now')),
        (SELECT COUNT(*) FROM decisions d3 WHERE d3.value = d.value)
    ) AS "Bans (act/tot)"

FROM decisions AS d
LEFT JOIN alerts AS a
  ON d.alert_decisions = a.id
JOIN latest_per_ip AS l
  ON d.value = l.ip AND d.created_at = l.last_created
WHERE d.until > datetime('now')
  AND d.origin = 'crowdsec'
ORDER BY d.created_at DESC;


Ik wilde bijv. ook weten hoeveel van de aanvallen op domeinen is, en hoeveel louter op IP adres.
Dat is wel even wat query en rekenwerk, want CrowdSec meldt niet overal netjes het domein bij, dus ik heb uit de Traefik log de router moeten halen om dit te vertalen naar een domein, maar het resultaat is dus dat ca 75% op IP adres is, dus ongevaarlijk, want dat komt dus op een 404 uit van Traefik zelf.

Afbeeldingslocatie: https://tweakers.net/i/rijmtfxjX5KmvOG5uf_gTXBcmaM=/800x/filters:strip_icc():strip_exif()/f/image/uow007DSbVSBZa4N0Dj7nFZI.jpg?f=fotoalbum_large

Allemaal dingen die geen enkel standaard CrowdSec dashboard je gaat vertellen. Die hebben het liefst dat alles gevaarlijk is, want dat verkoopt beter. Ze raden ook een maximale bantijd van 3 dagen / 72 uur aan om allerhande redenen. Één van de redenen is mij wel duidelijk: des te meer alerts, des te hoger het abbo dat je nodig hebt om op hun console dashboards alle alerts te tonen :X

Het is open source, dus ze zullen net als elk open source project toch ergens hun geld mee moeten verdienen. Ik heb echter op deze manier weinig tot niets aan hun dashboards, dus gebruik mijn eigen spullen. Dan kan ik ook drill-downs doen en alarmen zetten.

Ook dit soort cijfers komen nergens in CrowdSec voor. Het is nu een shell script, maar ik wil nog kijken of de metrics die CrowdSec levert ook dit soort info van af te leiden valt.

De handmatige blocks (de -3 namen), 17 IPv4 en 5 IPv6 adressen blijken dus vreselijk effectief te zijn _/-\o_

Bash:
1
2
3
4
5
6
7
8
9
10
11

Blacklist             Entries Packets Hits/IP % of total
crowdsec-blacklists-0   212    26592  125,43  72,11
crowdsec-blacklists-1   14632  5979   0,41    16,21
crowdsec-blacklists-2   470    167    0,36    0,45
crowdsec6-blacklists-0  543    213    0,39    0,58
crowdsec6-blacklists-1  567    0      0,00    0,00
crowdsec6-blacklists-2  11     257    23,36   0,70
crowdsec-blacklists-3   17     2699   158,76  7,32
crowdsec6-blacklists-3  5      972    194,40  2,64

Total packets dropped: 36879


Het zijn weer 3 extra containers (CrowdSec bouncer, CrowdSec firewall en Metabase), maar ik ben er blij mee

Material 3 Thema's voor HA | Swiss Army Knife custom card voor HA | AmoebeLabs

maandag 10 november 2025 14:28

Acties:
  • Mars Warrior
  • Registratie: Oktober 2003
  • Laatst online: 19-11 13:01

Mars Warrior

Earth, the final frontier

Om toch nog even door te gaan op de vraag die ik mezelf stelde, maar ook de vraag van @Airw0lf wat de kans is dat je een permantente block op een IP adres zet wat onterecht is, heb ik dus alle crowdsec decisions in mijn lijst (ca 230 nu) eens laten matchen (op DNS basis) met de Uceprotect 1, 2 en 3 lijsten.

TL;DR;
Als je de drie UCE lijsten combineerd dan komt 40% van de bans voor in deze lijsten. Je zou dus op voorhand van deze IP adressen de bantijd kunnen verlengen elke week zolang deze in één van de UCE lijsten voorkomt. Anders laten vervallen.

Aan de andere kant zie ik de laatste tijd voornamelijk First Time Offenders, en zou je gewoon CrowdSec zijn werk moeten laten doen omdat het verlengen van de bantijd geen enkele invloed heeft op deze nieuwe IP adressen.

Wat is de betekenis van die UCE lijsten?
  • UCE Level 1: op IP adres, dus nauwkeurig, en kleine kans op false positives
  • UCE Level 2: op subnet, dus grotere kans op missers
  • UCE Level 3: op ASN niveau, de meest grove block die UCE kent
En mijn matches op elk level?
  • UCE-L1 --> 30, 13%
  • UCE-L2 --> 49, 21%
  • UCE-L3 --> 75, 32%
Alle levels bij elkaar zijn 92 regels (40%) van de 230 die op één of meer van de levels matchen.
Enkel L1 en L2 zijn volgens Metabase 58 regels, dus 25% dekking.

Het geheel is volledig te automatiseren, dus vanaf de cscli decisions list tot aan het matchen en opvragen van ip adressen/ranges:
  • UCE L1 is dus een match op ip adres
  • UCE L2 geeft bij de details het subnet weer dat je zou moeten blokkeren
  • UCE L3 geeft in de basis de ASN, waarvan je de ip ranges bijv. bij whosi.radb.net kunt opvragen
Ik heb de hele CSV ff in Metabase geupload om te bekijken, en dan zie je in ieder geval de usual suspects terug, maar ook heel wat bans die in de UCE lijsten niet voorkomen.

Afbeeldingslocatie: https://tweakers.net/i/752xKt7qAhP3oVv_sjjXA1xBd-g=/800x/filters:strip_exif()/f/image/45HaNHTySrHk68jdy9zyNWcO.png?f=fotoalbum_large

En wat kun je hiermee?
Op zich is het dus mogelijk om een strategie in elkaar te flansen die bepaalde bans blijft uitbreiden afhankelijk in welk level ze voorkomen. Level 1 bijv 3 weken, level 2 2 weken en level 3 1 week. Als je dat elke week doet dan zorgen wijzigingen in deze lijsten ook dat ip adressen/ranges ook weer af kunnen vallen.

Zou het helpen om een flinke reductie in alerts/bans te krijgen?
Met de meest zekere lijst wordt in slechts 13% van de gevallen de ban op voorhand verlengd. Dat is niet echt schokkend. Je kunt ook de ban laten verlopen, en dan CrowdSec gewoon weer een ban laten uitdelen als dat ip adres weer langskomt.

Kijk je enkel of een IP in één van de lijsten zit, dan zou je de ban van ca 40% van de IP adressen verlengen. Dus niet een subnet of ASN blokkeren, maar puur het handhaven van het eerder geblokkeerde IP ares.

Sommige lijsten op internet bevatten ettelijke miljoenen ip adressen, dus dat geeft al aan hoeveel je zou moeten blokkeren op voorhand om een echte flinke reductie te krijgen. Zelfs de CAPI lijst van 15.000 adressen doet de laatste week maar 10% van de 230 bans die nu actief zijn.

Containertje erbij?
Ik heb er wel weer een Postgres container bij en zit nu op 60 containers. De Postgres database is nodig om de uploads in op te slaan. Zo werkt Metabase: een upload moet je aan een database toewijzen om deze te kunnen gebruiken 8)

[ Voor 14% gewijzigd door Mars Warrior op 10-11-2025 18:06 ]

Material 3 Thema's voor HA | Swiss Army Knife custom card voor HA | AmoebeLabs

dinsdag 11 november 2025 08:37

Acties:
  • Webgnome
  • Registratie: Maart 2001
  • Laatst online: 23:22

Webgnome

Heeft iemand wel eens het volgende gehad?
Vanmorgen wilde ik mijn development omgeving starten. We maken gebruik van Traefick ( latest ) en diverse andere containers die via labels zich kenbaar maken aan Traefick. Dat heeft altijd gewerkt als een tierelier. Nu draai ik elke ochtend een apt update etc en daarna werkte traefik discovery ineens niet meer lekker.

Na wat gerommel kwam ik dit tegen in de logs
1.24 is too old. Minimum supported API version is 1.44
Wat ik echter gek vind

1. Ik heb traefik latest image (docker compose file )
2. Docker versies zijn up to date ( beide v29, zowel client als server )
3. Het setten van de api version naar 1.24 wat volgens sommige bronnen zou werken zorgt er alleen maar voor dat heel docker er mee stopt (wat ergens logisch is )

Iemand enig idee wat hier nu aan te doen anders dan downgraden?

blijkbaar meerdere mensen last van: https://community.traefik...ld-api-version-1-24/29019

[ Voor 6% gewijzigd door Webgnome op 11-11-2025 08:43 ]

Strava | AP | IP | AW

dinsdag 11 november 2025 11:32

Acties:
  • DjoeC
  • Registratie: November 2018
  • Laatst online: 00:02

DjoeC

@Webgnome Docker is verhoogd naar versie 29.0 en die vereist minimaal API 1.44 (al bijna 2 jaar beschikbaar, huidige versie 1.51). Er zijn meer container images die "last" hebben van dit requirement, ikzelf met Portainer. De momenteel "aanbevolen" oplossing is om docker naar de laatste 28.x versie voor jouw platform te downgraden.

Ik blijf bij de nieuwe Docker versie en ga langzaam afscheid nemen van Portainer, dit is de 2e keer dat ze niet goed op niveau zitten en de boel gewoon klapt.........

dinsdag 11 november 2025 11:32

Acties:
  • ed1703
  • Registratie: Januari 2010
  • Niet online

ed1703

Webgnome schreef op dinsdag 11 november 2025 @ 08:37:
Heeft iemand wel eens het volgende gehad?
Vanmorgen wilde ik mijn development omgeving starten. We maken gebruik van Traefick ( latest ) en diverse andere containers die via labels zich kenbaar maken aan Traefick. Dat heeft altijd gewerkt als een tierelier. Nu draai ik elke ochtend een apt update etc en daarna werkte traefik discovery ineens niet meer lekker.

Na wat gerommel kwam ik dit tegen in de logs

[...]


Wat ik echter gek vind

1. Ik heb traefik latest image (docker compose file )
2. Docker versies zijn up to date ( beide v29, zowel client als server )
3. Het setten van de api version naar 1.24 wat volgens sommige bronnen zou werken zorgt er alleen maar voor dat heel docker er mee stopt (wat ergens logisch is )

Iemand enig idee wat hier nu aan te doen anders dan downgraden?

blijkbaar meerdere mensen last van: https://community.traefik...ld-api-version-1-24/29019
Dit dus getest?
code:
1
2
3
4
5
6

systemctl edit docker.service
Add this part above the line ### Lines below this comment will be discarded:
[Service]
Environment=DOCKER_MIN_API_VERSION=1.24
Save the file and exit
systemctl restart docker

Zonder heel erg belerend over te willen komen: Ik zou een beetje oppassen met de laatste versie willen draaien als er BREAKING CHANGES en ook geen CVE's in de Release Notes staan. Watchtower van containrrr zou ik sowieso vervangen voor iets anders voor degenen die dat draaien: https://github.com/nicholas-fedor/watchtower is misschien een optie.

Ben benieuwd of github gaat overstromen met issues die hieraan gerelateerd zijn.

dinsdag 11 november 2025 12:43

Acties:
  • Webgnome
  • Registratie: Maart 2001
  • Laatst online: 23:22

Webgnome

ed1703 schreef op dinsdag 11 november 2025 @ 11:32:
[...]

Dit dus getest?
code:
1
2
3
4
5
6

systemctl edit docker.service
Add this part above the line ### Lines below this comment will be discarded:
[Service]
Environment=DOCKER_MIN_API_VERSION=1.24
Save the file and exit
systemctl restart docker

Zonder heel erg belerend over te willen komen: Ik zou een beetje oppassen met de laatste versie willen draaien als er BREAKING CHANGES en ook geen CVE's in de Release Notes staan. Watchtower van containrrr zou ik sowieso vervangen voor iets anders voor degenen die dat draaien: https://github.com/nicholas-fedor/watchtower is misschien een optie.

Ben benieuwd of github gaat overstromen met issues die hieraan gerelateerd zijn.
Er zit in de code van traefik een constante die de versie van de api hard op 1.24 forceert. Env variabelen hebben er dus geen vat op. Daar zit het probleem. Gelukkig was de fix makkelijk. Even terug naar een veilige versie van docker en het werkt weer

Deze specifieke 'fix' had ik niet getest als zodanig. Echter had ik al snel gevonden dat het kwam door een issue in een forcering van de versie van de api die Traefik verwacht. Dus heb ik uiteindelijk een vorige versie van Docker geinstalleerd. Even afwachten wat Traefik gaat doen de komende uren/dagen.

[ Voor 13% gewijzigd door Webgnome op 11-11-2025 13:27 ]

Strava | AP | IP | AW

dinsdag 11 november 2025 13:05

Acties:
  • RobertMe
  • Registratie: Maart 2009
  • Laatst online: 23:36

RobertMe

Webgnome schreef op dinsdag 11 november 2025 @ 12:43:
[...]


Er zit in de code van traefik een constante die de versie van de api hard op 1.24 forceert. Env variabelen hebben er dus geen vat op. Daar zit het probleem. Gelukkig was de fix makkelijk. Even terug naar een veilige versie van docker en het werkt weer
Volgens mij heb je de suggestie niet gelezen? Die gaat namelijk over een "aanpassing" aan Docker (door een env var te zetten), en jij hebt het vervolgens over de code van Traefik.
En dat Traefik een specifieke API versie vraagt lijkt mij ook logisch. Dat is dan de API versie waarop hun implementatie gebaseerd is. Een andere versie werkt misschien, maar zal niet getest zijn. En als Docker meerdere versies ondersteund zou het gek zijn als de client ook weer met meerdere versies geschikt zou moeten kunnen zijn.

Overigens vind ik het ook bijzonder om op een ontwikkelomgeving elke dag de aller laatste (bleeding edge) versie te draaien. En vervolgens uren aan de baas zijn tijd weg te gooien hierdoor.

dinsdag 11 november 2025 13:16

Acties:
  • orvintax
  • Registratie: Maart 2018
  • Laatst online: 18-11 17:01

orvintax

www.fab1an.dev

Webgnome schreef op dinsdag 11 november 2025 @ 12:43:
[...]


Er zit in de code van traefik een constante die de versie van de api hard op 1.24 forceert. Env variabelen hebben er dus geen vat op. Daar zit het probleem. Gelukkig was de fix makkelijk. Even terug naar een veilige versie van docker en het werkt weer
Dit is tevens geen Traefik only probleem. Ik heb Docker op mijn dev machine ook (per ongeluk) bijgewerkt en nu kan Intellij ook niet meer verbinden met dezelfde error message.

https://dontasktoask.com/

dinsdag 11 november 2025 13:29

Acties:
  • Webgnome
  • Registratie: Maart 2001
  • Laatst online: 23:22

Webgnome

@RobertMe ja klopt, sorry my bad. Ik had er te snel overeen gelezen. Heb uiteindelijk een vorige versie van Docker geinstalleerd ( de vorige ) waardoor het nu nog wel werkt.

Dat ze tegen een specifieke versie aan willen praten snap ik, echter is dat het probleem van Traefik, niet van docker. Immers als ik naar de versie kijk die ze ondersteunden ( Traefik ) dan is dat een heel oude versie. We zitten inmiddels op 1.4x ? Om dan 1.24 nog te ondersteunen lijkt mij een beetje in de categorie ' zo lang het werkt hebben we het er niet over ' vallen.

En over je offtopic, dat is niet relevant aangezien het echt zeer zelden fout gaat. En juist dit soort dingen wil ik ver van te voren aan zien komen. Het alternatief is omdat op staging/test te doen en daar uren kwijt te zijn. Die uren, die ben je toch kwijt.

[ Voor 19% gewijzigd door Webgnome op 11-11-2025 13:30 ]

Strava | AP | IP | AW

dinsdag 11 november 2025 13:35

Acties:
  • DjoeC
  • Registratie: November 2018
  • Laatst online: 00:02

DjoeC

Het is een probleem in veel container images MAAR dat maakt t nog geen Docker probleem. 1.44 (laagst ondersteunde API versie) was er al in januari 2024. Als ontwikkelaars moet je toch een beetje bij de tijd blijven lijkt me, 2 jaar oud is tegenwoordig een eeuwigheid met bijkomende risico's...... En als Docker ouwe meuk moet blijven ondersteunen zal dat vooruitgang en/of refactoring hinderen, nog los van alle extra testwerk op ouwe meuk.....

De vraag is alleen of containerbouwers "leren" danwel of ze liever met hun eigen nieuwe functionaliteiten bezig zijn. Een API upgrade is werk maar levert geen onmiddellijke zichtbare verbetreringen.

@Webgnome Huidige API versie is 1.51 of misschien bij Docker 29.0 1,52 maar dat zie ik niet in de documentatie .

[ Voor 8% gewijzigd door DjoeC op 11-11-2025 13:42 ]

Pagina: 1 ... 15 16 Laatste
Reageer

Apple iPhone 17 LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2025 Hosting door TrueFullstaq