Für die alte Karte, also alle URLs die auf https://freifunk-muesterland.de/map/ verweisen habe ich eine Weiterleitung auf die neue Karet eingerichtet so dass diese Links auch weiterhin funktionieren.
Wieder Lebenserhaltende Maßnahmen für die Münsterland-Domäne, auf beiden Gateways:
ip (-6) Regeln für die Tunnel-Schnittstellen und br0 eingetragen
Aus irgendeinem Grund bevorzugen beide Systeme /56 unrechable vor /64 dev br0 für unser IPv6-Präfix. Daher hab ich die unrechable jetzt auf „via “br0”“ im bird6 geändert
@Parad0x und ich haben gerade die von @Fungur und mir gebaute Rolle zur Vernetzung des Backbones ausgerollt. Somit hat jede Backbone-VM jetzt zu jeder einen GRE-Tunnel.
Darüber wird aber noch nicht geroutet, das kommt erst im nächsten Schritt.
Die von @descilla angesprochenen IP Regeln sind eigentlich im Ansible vorhanden, scheinbar sind die nie korrekt ausgerollt worden.
Es ist aufgefallen, dass die Ansible-Rolle die auf den Backbones den Kernel aktualisieren soll, nicht aktiv ist. Das müssen wir alle bald nochmal ausrollen.
Fixed. apt-transport-https musste installiert werden. wollte erst nicht, habe dann alle repos außer die hetzner deaktiviert, ging dann, dann wollte http://repo.universe-factory.net noch einen neuen key haben, jetzt alles wunderbar.
Habe gerade die Knoten gleichmäßig(er) auf die Server verteilt. Dabei gab es Probleme. service fastd restart scheint wohl nicht ganz sauber zu laufen. Außerdem braucht er ewig, bis er wieder Verbindungen aufbaut.
Daher wie folgt: echo "peer limit 75;" >> /etc/fastd/vpn/fastd.conf && sleep 1 && service fastd stop && sleep 2 && service fastd start && sleep 2 && service fastd status
Die sleep’s kann man ggf. weglassen. Wollte aber nicht ein weiteres mal daneben landen und die Sekunden hatte ich dann noch.
Edit: Limit nach erfolgreicher Verteilung natürlich wieder entfernt: sed -i '$ d' /etc/fastd/vpn/fastd.conf && sleep 1 && service fastd stop && sleep 2 && service fastd start && sleep 2 && service fastd status
net.netfilter.nf_conntrack_max war in /etc/sysctl.conf korrekt gesetzt, jedoch war ein viel geringerer Wert (32k) in Verwendung. Das lag vermutlich daran, dass der Wert Hash-Wert (warum auch immer) zu klein gesetzt war/wurde. Wert in /sys/module/nf_conntrack/parameters/hashsize neu gesetzt und Einstellungen mit /sbin/sysctl -p neu geladen. Nun glühen die Leitungen wieder.
Zusammen mit @Parad0x habe ich gerade die Domäne-14 ins Ansible gesteckt und auf Remue-07 ausgerollt. Zusätzlich wurden für ffwaf-srv4 Tunnel auf Fanlin angelegt.
Zu meinem Bedauern hat sich @paulinsche für Ubuntu statt Debian entschieden, sodass er diesen Host alleine aufsetzen und verwalten muss. Die Tunnel stehen jedenfalls bereit.
Dazu haben wir zunächst die bestehende bind-Rolle in bind_services für die Service-VM und bind_gateway für den Teil, der auf den Gateways läuft, aufgeteilt und geprüft, dass alles noch läuft.
Danach haben wir die automatische Serialisierung der Zonen per Linux-Zeitstempel eingebaut. Das führt leider dazu, dass auf der Service-VM jedes mal in Ansible eine Änderung durchgeführt wird. Dies lässt sich nicht verhindern, da man nicht zuverlässig prüfen kann, ob irgendwo sich irgendwas verändert hat. Die Einträge sind also immer gelb, das ist aber auch nicht weiter schlimm.
Es muss jetzt noch der Zonentransfer an die Backbone-Server konfiguriert werden, wir brauchen von @void eine Liste mit allen derzeitigen Einträgen und dann, wenn alles läuft, kann bei der domainfactory der Eintrag geändert werden.