Admintagebuch - Dokumentation der Admintätigkeiten

kgbvax · 3. Dezember 2015 um 23:21

\o/

MPW · 4. Dezember 2015 um 01:12

Bericht von heute:

Remü-01 hab ich erstmal abgeschaltet. Der Host stürzt ständig ab, Arbeiten auf der Ansible-VM ist praktisch nicht mehr möglich (Michael und Void haben es wohl probiert und soll ziemlich ätzend gewesen sein). Daher habe ich die Remü-01-VM aus der Domäne-01 geschmissen. Dort sind jetzt noch Sense-02 und Greyworm-01.
Routingproblem gelöst: Ich hab mir einen Filter gebaut, der prüft ob eine IP aus unserem internen Netz kommt. Auf den Backbones werden dann per OSPF nur noch Routen zu diesem Netzen akzeptiert:

filter freifunk {
if net ~ 10.43.0.0/16 then accept;
if net ~ 10.0.0.0/16 then accept;
if net ~ 192.168.0.0/16 then accept;
reject;
};

Und im OSPF entsprechend:

import filter freifunk;

Mir Präferenzen zu arbeiten funktioniert irgendwie nicht richtig, da Bird wohl OSPF immer wichtiger nimmt als BGP. Warum das so ist weiß ich nicht. Analog für IPv6 genauso, dort eben auf 2a03:2260:115::/48. Wichtig ist, dass diese Filter nur auf den Backbones eingesetzt werden, die anderen Rechner wollen ja gerade explizit ihre Standardroute (default) per OSPF lernen.

Die Netztopologie sieht jetzt so aus:

Fanlin <---GRE / Layer 3---> Greyworm-01 <----GRETAP / Layer 2----> Sense-02 <----GRE / Layer 3----> Des1

Die Einträge der Routingtabelle sehen gut aus. Einen Knoten habe ich jetzt noch nicht dran gehangen.

Grüße
Matthias

descilla · 5. Dezember 2015 um 13:14

Wir (@MPW, @descilla) haben heute für die DHCP Leases eine RAM-Disk konfiguriert (tmpfs). Folgendes wurde auf allen drei GW-Servern eingerichtet:

/etc/fstab

tmpfs   /var/lib/dhcp     tmpfs   defaults,size=100M        0       0

sowie

/etc/rc.local

[ -e /var/lib/dhcp/dhcpd.leases ] || touch /var/lib/dhcp/dhcpd.leases
[ -e /var/lib/dhcp/dhcpd6.leases ] || touch /var/lib/dhcp/dhcpd6.leases
chown root:root /var/lib/dhcp /var/lib/dhcp/dhcpd.leases /var/lib/dhcp/dhcpd6.leases
if [ -e /var/lib/dhcp/dhcpd.leases~ ]; then
chown root:root /var/lib/dhcp/dhcpd.leases~
fi
if [ -e /var/lib/dhcp/dhcpd6.leases~ ]; then
chown root:root /var/lib/dhcp/dhcpd6.leases~
fi

Daruch ist die iowait der CPU auf allen GWs massiv abgefallen: https://freifunk-muensterland.de/grafana/dashboard/db/spielwiese-von-descilla

Die Anzahl der Clients ohne Leases bewegt sich nun zwischen 250 und 300 (Vormals 500+, https://freifunk-muensterland.de/grafana/dashboard/db/gateway-ubersicht ). Die größten Auswirkungen hatte die Änderungen auf das GW parad0x, hier war auch ein gesteigerter Durchsatz ins Rheinland nach den Änderungen zu erkennen. Ebenfalls bei parad0x wurde berücksichtigt, dass ihr ein dhclient für eth0 läuft, daher ist dort die Konfiguration ein wenig anders.

descilla · 5. Dezember 2015 um 21:13

Auf sn-sense war eine falsche Version von batman-adv installiert (2014.3 anstatt 2013.4). Dadurch konnte diese VM nicht korrekt mit dem restlichen Netz kommunizieren. Korrekte Version von batman-adv installiert, jetzt sieht es wieder besser aus. PS: Nebenbei 90 Knoten hinzugewonnen.

MPW · 5. Dezember 2015 um 23:18

In diesem Artikel habe ich übrigens angefangen die Tunnel-IPs zu dokumentieren: https://freifunk-muensterland.de/wiki/doku.php?id=intern:tunnelips

MPW · 6. Dezember 2015 um 02:37

Domäne-02: Domäne-02 kann getestet werden

paulinsche · 6. Dezember 2015 um 17:54

Habe tunnel zwischen fanlin <> ffwaf-srv3 in Betrieb genommen. Damit hängt Warendorf jetzt so drin:

des1 <> ffwaf-srv2 <> ffwaf-srv3 <> fanlin.

Bitte das neue Interface in Ansibel aufzunehmen. ACHTUNG: das Interface heißt “gre-zu-ffwafs3”, denn “gre-zu-ffwaf-srv3” war zu lang; eins der Skripte hat sich beschwert.

Habe auf fanlin etckeeper installiert.

Einen Fehler in gefunden (/etc/network/interfaces.d/*):

in den interfaces.d muss das “post-down ip link delete $IFACE” im inet6 Anteil erledigt werden. Steht das schon im inet4 Anteil, dass sind schlage einige down Anteile im inet6 fehl. Vergleiche 41_gre-zu-sense-03.cfg und 41_gre-zu-ffwaf-srv3.cfg. Bitte das im Ansibel zu korrigieren!

Den Tunnel des1 <> ffwaf-srv3 habe ich deaktiviert.

MPW · 6. Dezember 2015 um 18:01

Das ganze Interface ist doch schon weg, wenn ip link del gemacht wird. Braucht man nochmal ip -6 link del? Oder löscht das Routingeinträge?

Fungur · 6. Dezember 2015 um 18:52

Im inet6-Abschnitt von 41_gre-zu-ffwaf-srv3.cfg steht jetzt

post-down ip link delete $IFACE

Wenn das im inet-Abschnitt steht (wo es vorher stand), wird es zu früh ausgeführt.
Das muss in den anderen Dateien auch noch angepasst werden.

Fungur · 6. Dezember 2015 um 19:02

Ich habe jetzt die Service-VM etwas weiter konfiguriert (ansible-ffms-Branch ffservice). Die Karte ist schon unter http://89.163.231.228/map/ erreichbar, enthält aber nur legacy und Warendorf, da die gretap-Tunnel noch fehlen. Außerdem fehlt batctl und wäre im Repository nur in Version 2014.3.0-2 verfügbar. Ich dachte, wir hätten mit Debian8 ein aktuelles batman (Kernel ist 3.16.7-ckt11-1+deb8u6)? Muss ich noch was zusätzlich installieren? Oder kann man ein altes batctl weiterverwenden?

Parad0x · 6. Dezember 2015 um 19:40

Routing der zusätzlichen IPs vom Host greyworm gefixt.

Siehe https://freifunk-muensterland.de/wiki/doku.php?id=intern:infrastruktur:greyworm#besonderheiten_zu_beachten

MPW · 6. Dezember 2015 um 19:41

@Fungur: Batctl musst du immer manuell installieren. Ich habe dazu die Ansible-Rolle im Entwicklungszweig kürzlich angepasst.

Parad0x · 6. Dezember 2015 um 19:42

Können wir uns darauf einigen, dass hier nur Admin-Tätigkeiten geschrieben werden, und bei der ersten Frage zu einer Sache direkt ein neuer Thread auf gemacht wird? Bitte hier keine Antwort sondern einfach machen THX

kgbvax · 7. Dezember 2015 um 14:43

greyworm: VMs waren down, keine Ahnung warum. Bevor ich ergründen konnte warum hat “Trigger-Finger” @mpw den host gebootet. Was ich aus den Augenwinkel gesehen habe ist das die VMs durchaus nach Boot hochlaufen, es muss sie also irgendein Ereignis runtergeholt.
Merke auf: Beim nächsten mal erst ins Log schauen bevor man reset drückt

Komischerweise hat der Reboot nicht geklappt, Host hing (reset).
Dabei die VMs von 4Gb auf 1Gb RAM reduziert - mehr als genug.

kgbvax · 9. Dezember 2015 um 00:22

greyworm unter VMWare neu aufgesetzt. greyworm-1 bereitgestellt, keys drauf. Bon Voyage!

kgbvax · 10. Dezember 2015 um 19:03

Habe ich wohl vergessen zu erwähnen: greyworm-2 und greyworm-3 sind auch ready mit Schlüsseln daruf. greyworm-4 mache ich gerade noch “auf Halde”, dann sind mir auch die IPs ausgegangen.

kgbvax · 12. Dezember 2015 um 00:40

greyworm-1 neu gestartet @mpw

kgbvax · 12. Dezember 2015 um 19:53

Ich habe für greyworm mal einen Service-Account eingerichtet mit dem man die VMs neustarten kann, auf die Konsole schauen kann sowie Snapshots erstellen und wiederherstellen kann.
Der ist bei @mpw und @void (aber nur weil ich von den anderen keinen PGP key zur Hand hatte)

Weiterhin habe ich einen zusätzlichen Admin Acount erstellt da der Default Account durch Script-Kiddies immer wieder gelockt wurde.

Host und VMs haben jetzt DNS Einträge (greyworm-1 … greyworm-4.kgbvax.net)

MPW · 15. Dezember 2015 um 00:12

Ich hab auf Des1 und Des2 per default bgp_local_pref die standard IPv6-Route von Fra nach Ber verlegt, da die Pakete ohnehin von dort reinkommen und es bei Verbindungen über Fra Paketverluste gab.

Grüße
Matthias

MPW · 15. Dezember 2015 um 01:12

Auf Des2 war das IPv4 auch auf Fra gestellt, das hab ich auch noch geändert.

Und Greyworm-01 hat seit heute Nachmittag wieder Anschluss an @FanLin s Gateway. Die Konfiguration des GRE-Tunnels erfolgte erstmals durch Ansible. @Fungur hat dazu die Templatedatei für die Ansible-Rolle tun_ffms_supernodes noch robuster gemacht.