Gestern bind9 mit erweiterter Ansible-Rolle auf allen neuen Domänen ausgerollt.
Zweck ist die Erweiterung der zone “ffms.”. Testweise wurde hierzu auf remue-01 (soll demnächst auf Service-VM o. Ä. wandern) die zone “ffms.” als Master konfiguriert. Alle anderen Gateway-Server wurden als Slave auf diese Zone konfiguriert.
Es wurde für jede Domäne ein eigener View angelegt, sodass z. B. node.ffms je nach Domäne anders aufgelöst werden kann.
Außerdem lassen sich Gateways nun über [name].gw.ffms und Backbone-Server über [name].bb.ffms (hier sind jedoch öffentlichen Adressen hinterlegt) erreichen. Für gw.ffms. und bb.ffms. werde ich in Zukunft noch eine eigene Zone anlegen, sodass diese nicht für jede Domaene erneut generiert werden müssen (sind ja identisch). Aber praktisch hat das keien Auswirkungen; mit Ansible hat das bisherige keinen Mehraufwand.
Musste gerade die Anzahl der fastd Connections auf kgbvax02 drastisch reduzieren da die Kiste droht ins Throtteling zu laufen (9,7TB outbound Traffic diesen Monat).
Sind jetzt so wenige das es auch throttled noch funktionieren sollte.
Ich bestelle jetzt die Aufhebung des Limits und werde das dann wieder hochsetzen.
Commander hat uns seine VM frisch mit Debian 8 Jessie aufgespielt. @descilla und ich planen anhand der VM jetzt die Ansible-Rollen für das Backbone fertig zu stellen.
Das Backbone in der hosts-Datei wird dann vorläufig Fanlin, Commander und Des1 enthalten. Die anderen werden wir in eine Gruppe legacy-Backbone oder so ausgliedern.
Heute ist gegen 04:02 Uhr ffwaf-srv3 mir kernel-panic gestorben. Damit ist der Server tapfer seit dem Sat Dec 19 21:32 durchgelaufen. Der Kernel ist im batman_adv gestorben.
Gegen 16:28 Uhr wurde der Server rebootet. Allerdings war der „plötzlich“ nicht mehr reboot-fest:
die Interface-MTU zu fanlin musste von 1280 auf default (1476) angepasst werden
die interface.d Skripte für das mesh-interface haben angenommen, dass bird6 schon läuft. Das ist nach einem Reboot nicht der Fall. Damit war das interface nicht vollständig im up Status. In die entsprechende Zeile habe ich ein „|| true“ eingefügt.
tunneldigger.service war nicht enabled und musste von Hand gestartet werden.
Die Redundanz hat insgesamt gegriffen. Es kann jedoch sein, dass es zwischen 16:28 Uhr (reboot) und 17:07 Uhr (Abschluss der Tätigkeiten oben) zu Störungen gekommen ist: von meinem Freifunk-Knoten aus, der mit ffwaf-srv2 verbunden war habe ich zwar nichts festgestellt, jedoch hab ich in einem Smoke-Ping von ffwaf-srv1 in dem Zeitraum Lücken.
Gesten Abend habe ich auf ffwaf-srv2/3 jeweils einen caching DNS installiert (bind9). DHCP/radv(bird) verteilen die neuen Dienste.
In dem Zusammenhang fiel auf, dass Clients an srv3 die public IPv6 Adresse des srv2 nicht erreichen konnten. IPv4 sowie IPv6 Link-Lokal waren ok. Von srv3 aus war die public IPv6 Adresse von srv2 zunächst auch nicht zu erreichen. Nach einem erfolgreichen Ping von srv2 -> srv3 war der Teil des Problems behoben. Ich habe das insgesamt mit tcpdump und Co nicht weiter einkreisen können. Nach einem reboot von srv2 trat das Problem bisher nicht wieder auf.
Im Gegensatz zu den anderen Test-Domänen sind srv2/3 über eine bridge verbunden, nicht direkt über das batman-Interface. Dabei setze ich auch das Feature bridge loop avoidance.
Seit ca. gestern 23:00 schien der Grahite-Dienst im überlast zu laufen.
Das Problem konnte ich heute durch neustarten des Docker Containers beheben.
Wenn der Umzug des Graphite auf die neue Service-VM hier keine Verbesserung bringt müssen wir hier ggf. die Datenanlieferung durch die collectd-Dienste auf den Servern reduzieren (aktuell alle 10 Sek.)
Ich habe heute um 15:00 die Firmware-Version 191 auf stable gesestzt und die Manifeste aus dem Git-Repo aktualisiert.
Bis heute Abend sollte der größte Teil der Knoten bereits aktualisiert sein.
ffwaf-srv2 ist jetzt l2tp-only. Um das MainIF/MAC beizubehalten habe ich ein dummy-device angelegt, dass als erstes in die batman-bridge kommt: Name supernode.
MainIF/MAC: supernode/de:ad:be:ef:43:02
Den Trick hatte ich im großen Forum aufgeschnappt. Kürzlich hatte ich nach einem restart des fastd ein Phantom gejagt, weil immer die MAC eines anderen LT2P Interface als MainIF/MAC genutzt wurde. Ich schlage vor, das so auf allen Systemen zu übernehmen.
Ich bitte darum, die Maschinen ins Ansibel aufzunehemen. Der erste Schritt wäre die ssh-keys zu verteilen. Bitte darum deswegen mit mir Kontakt aufzunehmen!!
Firmware-Downloader der Internetseite auf Version 191 umgestellt.
Wegen dem fehlenden ForcePull-Feature von Docker über Kommentar-“Trick” in der git-pull-Zeile ein nicht verwenden des Cache erzwungen.
P.S.: Durch den großen Community-Druck wird es das Feature in 2016 hoffentlich geben.