Admintagebuch - Dokumentation der Admintätigkeiten

Domäne 08 (Gescher) ist nun im Firmware Downloader freigeschaltet.

2 „Gefällt mir“

Knotenmigration in Domäne 08 (Gescher) ist abgeschlossen.

1 „Gefällt mir“

Ich habe heute die collectd rollen für l2tp und multi-instanzen angepasst. Auf remue-08 und greyworm-06 ausgerollt. Beim Ausrollen auf andere Maschinen ändert sich die Implementation der DHCP Erfassung ebenfalls, das macht aber nichts.

2 „Gefällt mir“

Im Laufe des Nachmittags wird die Rheinlandanbindung optimiert, da kann es eventuell etwas ruckeln oder kurze Ausfälle geben.

1 „Gefällt mir“
  • Anpassungen am backbone
    • des1
      • die IPv4 und IPv6 wurden geändert (Da ich ein /29 Subnet gebucht habe)
      • die NATv4 IP vom ffrl wurde geändert, da die Adresse aus dem alten Bereich nach DUS geroutet wurde
      • Von 2 ffrl tunneln wurde jetzt auf 6 ffrl tunnel ausgebaut, somit ist des1 jetzt vollverdrahtet mit dem ffrl backbone.
    • greyworm-07
      • ans ffrl backbone angeschlossen
      • ebenfalls mit 6 tunneln
    • anschließend wurden alle greyworm gateways an greyworm-07 angeschlossen und die tunnels zu den anderen BBs abgerissen
  • Bereitstellung VMs
    • des2…5 werden gerade installiert.
    • @MPW plant hier mindestens ein l2tp multi-dom gw zu installieren
  • ein bisschen debugging und malen nach zahlen gespielt
1 „Gefällt mir“

Was noch fehlt: Die AS-Nummer auf Des1 wurde korrigiert und ist jetzt genauso wie bei den anderen drei Backbones (ja wir haben jetzt vier Backbones!) und dadurch können wir bald iBGP sprechen.

Die neuen Natting-IPs sind übrigens 185.66.195.20/30, die werdet ihr also häufiger bei Speedtests sehen. Den 185.66.193.52/30-Block müssen wir bald wieder abgeben. Davon nutzen wir eh nur noch die 185.66.193.53 auf Des2.

Durch die neuen Nattings-IPs fließt der Traffic jetzt nicht mehr über Düsseldorf, obwohl wir an Des1 gar keinen Tunnel nach Düsseldorf haben. Die Verbindung Düs <-> Berlin hat bei den FFRL-Leuten auch nur 1 Gig, daher war das wohl der Engpass. Durch des1 gehen jetzt wieder wie gewohnt 150+ Mbit/s, statt nur 50-60.

Ein paar Tests haben gezeigt, dass Greyworm am Limit zu sein scheint. Da gehen 75 Mbit/s durch und MyLoc schießt 2% der Pakete weg.

bird6 lief auf greyworm-07 nicht, daher ging der ipv6 traffic der greyworm kisten durchs batman. das ist nun gefixt.

Default route für IPv6 in table ffnet:

descilla@des-nobody-knows:~/git/ansible/ansible-ffms$ ansible -u root -i hosts all -m shell -a "ip -6 r s t ffnet | grep default" | grep -iv "FAILED\|UNREACHABLE\|ERROR\|false\|\}"
remue-01 | SUCCESS | rc=0 >>
default via fe80::200:5efe:509:b42c dev gre-des1  proto bird  metric 1024 
des2 | SUCCESS | rc=0 >>
default via 2a03:2260:0:cd::1 dev tun-ffrl-ber1  proto bird  metric 1024 
greyworm-01 | SUCCESS | rc=0 >>
default via fe80::200:5efe:59a3:8110 dev gre-greyworm-07  proto bird  metric 1024 
greyworm-04 | SUCCESS | rc=0 >>
default via fe80::200:5efe:59a3:8110 dev gre-greyworm-07  proto bird  metric 1024 
remue-03 | SUCCESS | rc=0 >>
default via fe80::200:5efe:b009:587b dev gre-c1024  proto bird  metric 1024 
remue-06 | SUCCESS | rc=0 >>
default via fe80::200:5efe:509:b42c dev gre-des1  proto bird  metric 1024 
remue-04 | SUCCESS | rc=0 >>
default via fe80::200:5efe:b009:587b dev gre-c1024  proto bird  metric 1024 
parad0x-01 | SUCCESS | rc=0 >>
default via fe80::200:5efe:509:b42c dev gre-des1  proto bird  metric 1024 
greyworm-05 | SUCCESS | rc=0 >>
default via fe80::200:5efe:59a3:8110 dev gre-greyworm-07  proto bird  metric 1024 
greyworm-06 | SUCCESS | rc=0 >>
default via fe80::200:5efe:59a3:8110 dev gre-greyworm-07  proto bird  metric 1024 
c1024 | SUCCESS | rc=0 >>
default via 2a03:2260:0:3e::1 dev tun-ffrl-fra  proto bird  metric 1024 
remue-08 | SUCCESS | rc=0 >>
default via fe80::200:5efe:b009:587b dev gre-c1024  proto bird  metric 1024 
des1 | SUCCESS | rc=0 >>
default via 2a03:2260:0:2a7::1 dev tun-ffrl-ber1  proto bird  metric 1024 
greyworm-07 | SUCCESS | rc=0 >>
default via 2a03:2260:0:2a1::1 dev tun-ffrl-ber1  proto bird  metric 1024 
parad0x | SUCCESS | rc=0 >>
default via 2a03:2260:0:6e::1 dev tun-ffrl-dus  proto bird  metric 1024 
remue-05 | SUCCESS | rc=0 >>
default via fe80::200:5efe:b009:587b dev gre-c1024  proto bird  metric 1024 
remue-07 | SUCCESS | rc=0 >>
default via fe80::200:5efe:b009:587b dev gre-c1024  proto bird  metric 1024 
greyworm-02 | SUCCESS | rc=0 >>
default via fe80::200:5efe:59a3:8110 dev gre-greyworm-07  proto bird  metric 1024 
remue-02 | SUCCESS | rc=0 >>
default via fe80::200:5efe:b009:587b dev gre-c1024  proto bird  metric 1024 
greyworm-03 | SUCCESS | rc=0 >>
default via fe80::200:5efe:59a3:8110 dev gre-greyworm-07  proto bird  metric 1024

Default route für IPv4 in table ffnet:

descilla@des-nobody-knows:~/git/ansible/ansible-ffms$ ansible -u root -i hosts all -m shell -a "ip r s t ffnet | grep default" | grep -iv "FAILED\|UNREACHABLE\|ERROR\|false\|\}"
greyworm-01 | SUCCESS | rc=0 >>
default via 192.168.15.17 dev gre-greyworm-07  proto bird 
greyworm-04 | SUCCESS | rc=0 >>
default via 192.168.45.9 dev gre-greyworm-07  proto bird 
des2 | SUCCESS | rc=0 >>
default via 100.64.1.138 dev tun-ffrl-ber1  proto bird 
remue-03 | SUCCESS | rc=0 >>
default via 192.168.44.13 dev gre-c1024  proto bird 
parad0x-01 | SUCCESS | rc=0 >>
default via 192.168.53.9 dev gre-des1  proto bird 
remue-06 | SUCCESS | rc=0 >>
default via 192.168.53.13 dev gre-des1  proto bird 
remue-04 | SUCCESS | rc=0 >>
default via 192.168.64.9 dev gre-c1024  proto bird 
greyworm-06 | SUCCESS | rc=0 >>
default via 192.168.5.53 dev gre-greyworm-07  proto bird 
remue-08 | SUCCESS | rc=0 >>
default via 192.168.4.49 dev gre-c1024  proto bird 
des1 | SUCCESS | rc=0 >>
default via 100.64.5.104 dev tun-ffrl-fra1  proto bird 
remue-01 | SUCCESS | rc=0 >>
default via 192.168.13.9 dev gre-des1  proto bird 
greyworm-07 | SUCCESS | rc=0 >>
default via 100.64.5.92 dev tun-ffrl-fra1  proto bird 
parad0x | SUCCESS | rc=0 >>
default via 100.64.0.208 dev tun-ffrl-dus  proto bird 
greyworm-05 | SUCCESS | rc=0 >>
default via 192.168.65.13 dev gre-greyworm-07  proto bird 
remue-07 | SUCCESS | rc=0 >>
default via 192.168.144.13 dev gre-c1024  proto bird 
c1024 | SUCCESS | rc=0 >>
default via 100.64.0.108 dev tun-ffrl-fra  proto bird 
remue-05 | SUCCESS | rc=0 >>
default via 192.168.24.9 dev gre-c1024  proto bird 
remue-02 | SUCCESS | rc=0 >>
default via 192.168.34.9 dev gre-c1024  proto bird 
greyworm-02 | SUCCESS | rc=0 >>
default via 192.168.25.13 dev gre-greyworm-07  proto bird 
greyworm-03 | SUCCESS | rc=0 >>
default via 192.168.35.13 dev gre-greyworm-07  proto bird

Ich habe 4 Beiträge in ein neues Thema verschoben: (vermeintlicher) DoS auf Greyworm(-07)

Backbone Greyworm-07 wurde abgeschaltet. Alle VMs sind nun mit jeweils mit c1024 und des1 verbunden. Der nächste Schritt ist jetzt iBGP zu implementieren und die default-Routen granularer zu steuern.

2 „Gefällt mir“

Ich hab mein Kartenerzeugungsskript auf der Service-VM jetzt so erweitert, dass es auch Community-Karten erzeugt. Domänen-Community-Zuordnung ist in group_vars/all. Ergebnis ist hier: https://karte.freifunk-muensterland.de/

1 „Gefällt mir“

greyworm verucht wohl jemand per brute force einzusteigen.
Ich dreh mal am Netzwerk, dazu bouncen die VMs alle mal 60 Sekunden

Was hast du genau am Netzwerk gedreht?

SSH aus, Switch Port Tabelle vergrössert, Reboot

Wir sollten einfach die root-Passwörter löschen. Schlüssellogin ist denke ich sicher.

Ich habe heute Des2 konfiguriert und dort die Domäne 16 draufgelegt. Hat Anschluss an Des1, dort kommt jetzt die Burse rein.

Grüße
Matthias

Wenn du das root-Passwort löscht und irgendwie das Netwerk zerstörst, kommst du nicht mehr drauf, auch nicht per Konsole. Besser ssh-Auth per Passwort verbieten.

3 „Gefällt mir“

Nein,
Wenn kein root pw gesetzt ist, kann man sich dennoch einloggen. Einfach enter drücken und man ist drin (wie bei gluon). Man muss halt nur “lokal” (also via vnc oder libvirt viewer) sein. Ich setzte aus diesem grund trotzdem ein passwort, kann ja mal passieren, dass man versehentlich den vnc port nach außen exposed.

Daher würde ich einfach im sshd den passwort auth verbieten. Im ansible-hypervisor sind in der common rolle entsprechende tasks bereits definiert.

2 „Gefällt mir“

Ahh, es gibt Löschen und Löschen. Ich hatte jetzt daran gedacht, denn Passwort-Hash auf “x” zu setzen, um dadurch den root-Login per Passwort unmöglich zu machen. Ein leerer Passwort-Hash wäre natürlich noch unsicherer als als ein wenigen Leuten bekanntes, sicheres Passwort.

Ich habe das Wordpress-Plugin “WP Statistics” von 10.0.5 auf 10.1 aktualisiert. Es scheint nichts defektiert worden zu sein.

3 „Gefällt mir“

Auf c1024 was die conntrack Tabelle voll. Habe die conntrack-tool installiert und die Tabelle gelöscht. Läuft wieder…

dpkg -l conntrack

1 „Gefällt mir“

@Fungur und ich haben heute angefangen die bird-Rollen zusammen zu führen: Ansible-Konfiguration weiterentwickeln

Dabei haben wir auch iBGP angelegt, aber noch nicht getestet.

Es gibt ein neues Routingkonzept für Greyworm mit VMware: Internes Routing für Greyworm