Admintagebuch - Dokumentation der Admintätigkeiten

Was noch fehlt: Die AS-Nummer auf Des1 wurde korrigiert und ist jetzt genauso wie bei den anderen drei Backbones (ja wir haben jetzt vier Backbones!) und dadurch können wir bald iBGP sprechen.

Die neuen Natting-IPs sind übrigens 185.66.195.20/30, die werdet ihr also häufiger bei Speedtests sehen. Den 185.66.193.52/30-Block müssen wir bald wieder abgeben. Davon nutzen wir eh nur noch die 185.66.193.53 auf Des2.

Durch die neuen Nattings-IPs fließt der Traffic jetzt nicht mehr über Düsseldorf, obwohl wir an Des1 gar keinen Tunnel nach Düsseldorf haben. Die Verbindung Düs <-> Berlin hat bei den FFRL-Leuten auch nur 1 Gig, daher war das wohl der Engpass. Durch des1 gehen jetzt wieder wie gewohnt 150+ Mbit/s, statt nur 50-60.

Ein paar Tests haben gezeigt, dass Greyworm am Limit zu sein scheint. Da gehen 75 Mbit/s durch und MyLoc schießt 2% der Pakete weg.

bird6 lief auf greyworm-07 nicht, daher ging der ipv6 traffic der greyworm kisten durchs batman. das ist nun gefixt.

Default route für IPv6 in table ffnet:

descilla@des-nobody-knows:~/git/ansible/ansible-ffms$ ansible -u root -i hosts all -m shell -a "ip -6 r s t ffnet | grep default" | grep -iv "FAILED\|UNREACHABLE\|ERROR\|false\|\}"
remue-01 | SUCCESS | rc=0 >>
default via fe80::200:5efe:509:b42c dev gre-des1  proto bird  metric 1024 
des2 | SUCCESS | rc=0 >>
default via 2a03:2260:0:cd::1 dev tun-ffrl-ber1  proto bird  metric 1024 
greyworm-01 | SUCCESS | rc=0 >>
default via fe80::200:5efe:59a3:8110 dev gre-greyworm-07  proto bird  metric 1024 
greyworm-04 | SUCCESS | rc=0 >>
default via fe80::200:5efe:59a3:8110 dev gre-greyworm-07  proto bird  metric 1024 
remue-03 | SUCCESS | rc=0 >>
default via fe80::200:5efe:b009:587b dev gre-c1024  proto bird  metric 1024 
remue-06 | SUCCESS | rc=0 >>
default via fe80::200:5efe:509:b42c dev gre-des1  proto bird  metric 1024 
remue-04 | SUCCESS | rc=0 >>
default via fe80::200:5efe:b009:587b dev gre-c1024  proto bird  metric 1024 
parad0x-01 | SUCCESS | rc=0 >>
default via fe80::200:5efe:509:b42c dev gre-des1  proto bird  metric 1024 
greyworm-05 | SUCCESS | rc=0 >>
default via fe80::200:5efe:59a3:8110 dev gre-greyworm-07  proto bird  metric 1024 
greyworm-06 | SUCCESS | rc=0 >>
default via fe80::200:5efe:59a3:8110 dev gre-greyworm-07  proto bird  metric 1024 
c1024 | SUCCESS | rc=0 >>
default via 2a03:2260:0:3e::1 dev tun-ffrl-fra  proto bird  metric 1024 
remue-08 | SUCCESS | rc=0 >>
default via fe80::200:5efe:b009:587b dev gre-c1024  proto bird  metric 1024 
des1 | SUCCESS | rc=0 >>
default via 2a03:2260:0:2a7::1 dev tun-ffrl-ber1  proto bird  metric 1024 
greyworm-07 | SUCCESS | rc=0 >>
default via 2a03:2260:0:2a1::1 dev tun-ffrl-ber1  proto bird  metric 1024 
parad0x | SUCCESS | rc=0 >>
default via 2a03:2260:0:6e::1 dev tun-ffrl-dus  proto bird  metric 1024 
remue-05 | SUCCESS | rc=0 >>
default via fe80::200:5efe:b009:587b dev gre-c1024  proto bird  metric 1024 
remue-07 | SUCCESS | rc=0 >>
default via fe80::200:5efe:b009:587b dev gre-c1024  proto bird  metric 1024 
greyworm-02 | SUCCESS | rc=0 >>
default via fe80::200:5efe:59a3:8110 dev gre-greyworm-07  proto bird  metric 1024 
remue-02 | SUCCESS | rc=0 >>
default via fe80::200:5efe:b009:587b dev gre-c1024  proto bird  metric 1024 
greyworm-03 | SUCCESS | rc=0 >>
default via fe80::200:5efe:59a3:8110 dev gre-greyworm-07  proto bird  metric 1024

Default route für IPv4 in table ffnet:

descilla@des-nobody-knows:~/git/ansible/ansible-ffms$ ansible -u root -i hosts all -m shell -a "ip r s t ffnet | grep default" | grep -iv "FAILED\|UNREACHABLE\|ERROR\|false\|\}"
greyworm-01 | SUCCESS | rc=0 >>
default via 192.168.15.17 dev gre-greyworm-07  proto bird 
greyworm-04 | SUCCESS | rc=0 >>
default via 192.168.45.9 dev gre-greyworm-07  proto bird 
des2 | SUCCESS | rc=0 >>
default via 100.64.1.138 dev tun-ffrl-ber1  proto bird 
remue-03 | SUCCESS | rc=0 >>
default via 192.168.44.13 dev gre-c1024  proto bird 
parad0x-01 | SUCCESS | rc=0 >>
default via 192.168.53.9 dev gre-des1  proto bird 
remue-06 | SUCCESS | rc=0 >>
default via 192.168.53.13 dev gre-des1  proto bird 
remue-04 | SUCCESS | rc=0 >>
default via 192.168.64.9 dev gre-c1024  proto bird 
greyworm-06 | SUCCESS | rc=0 >>
default via 192.168.5.53 dev gre-greyworm-07  proto bird 
remue-08 | SUCCESS | rc=0 >>
default via 192.168.4.49 dev gre-c1024  proto bird 
des1 | SUCCESS | rc=0 >>
default via 100.64.5.104 dev tun-ffrl-fra1  proto bird 
remue-01 | SUCCESS | rc=0 >>
default via 192.168.13.9 dev gre-des1  proto bird 
greyworm-07 | SUCCESS | rc=0 >>
default via 100.64.5.92 dev tun-ffrl-fra1  proto bird 
parad0x | SUCCESS | rc=0 >>
default via 100.64.0.208 dev tun-ffrl-dus  proto bird 
greyworm-05 | SUCCESS | rc=0 >>
default via 192.168.65.13 dev gre-greyworm-07  proto bird 
remue-07 | SUCCESS | rc=0 >>
default via 192.168.144.13 dev gre-c1024  proto bird 
c1024 | SUCCESS | rc=0 >>
default via 100.64.0.108 dev tun-ffrl-fra  proto bird 
remue-05 | SUCCESS | rc=0 >>
default via 192.168.24.9 dev gre-c1024  proto bird 
remue-02 | SUCCESS | rc=0 >>
default via 192.168.34.9 dev gre-c1024  proto bird 
greyworm-02 | SUCCESS | rc=0 >>
default via 192.168.25.13 dev gre-greyworm-07  proto bird 
greyworm-03 | SUCCESS | rc=0 >>
default via 192.168.35.13 dev gre-greyworm-07  proto bird

Ich habe 4 Beiträge in ein neues Thema verschoben: (vermeintlicher) DoS auf Greyworm(-07)

Backbone Greyworm-07 wurde abgeschaltet. Alle VMs sind nun mit jeweils mit c1024 und des1 verbunden. Der nächste Schritt ist jetzt iBGP zu implementieren und die default-Routen granularer zu steuern.

2 „Gefällt mir“

Ich hab mein Kartenerzeugungsskript auf der Service-VM jetzt so erweitert, dass es auch Community-Karten erzeugt. Domänen-Community-Zuordnung ist in group_vars/all. Ergebnis ist hier: https://karte.freifunk-muensterland.de/

1 „Gefällt mir“

greyworm verucht wohl jemand per brute force einzusteigen.
Ich dreh mal am Netzwerk, dazu bouncen die VMs alle mal 60 Sekunden

Was hast du genau am Netzwerk gedreht?

SSH aus, Switch Port Tabelle vergrössert, Reboot

Wir sollten einfach die root-Passwörter löschen. Schlüssellogin ist denke ich sicher.

Ich habe heute Des2 konfiguriert und dort die Domäne 16 draufgelegt. Hat Anschluss an Des1, dort kommt jetzt die Burse rein.

Grüße
Matthias

Wenn du das root-Passwort löscht und irgendwie das Netwerk zerstörst, kommst du nicht mehr drauf, auch nicht per Konsole. Besser ssh-Auth per Passwort verbieten.

3 „Gefällt mir“

Nein,
Wenn kein root pw gesetzt ist, kann man sich dennoch einloggen. Einfach enter drücken und man ist drin (wie bei gluon). Man muss halt nur “lokal” (also via vnc oder libvirt viewer) sein. Ich setzte aus diesem grund trotzdem ein passwort, kann ja mal passieren, dass man versehentlich den vnc port nach außen exposed.

Daher würde ich einfach im sshd den passwort auth verbieten. Im ansible-hypervisor sind in der common rolle entsprechende tasks bereits definiert.

2 „Gefällt mir“

Ahh, es gibt Löschen und Löschen. Ich hatte jetzt daran gedacht, denn Passwort-Hash auf “x” zu setzen, um dadurch den root-Login per Passwort unmöglich zu machen. Ein leerer Passwort-Hash wäre natürlich noch unsicherer als als ein wenigen Leuten bekanntes, sicheres Passwort.

Ich habe das Wordpress-Plugin “WP Statistics” von 10.0.5 auf 10.1 aktualisiert. Es scheint nichts defektiert worden zu sein.

3 „Gefällt mir“

Auf c1024 was die conntrack Tabelle voll. Habe die conntrack-tool installiert und die Tabelle gelöscht. Läuft wieder…

dpkg -l conntrack

1 „Gefällt mir“

@Fungur und ich haben heute angefangen die bird-Rollen zusammen zu führen: Ansible-Konfiguration weiterentwickeln

Dabei haben wir auch iBGP angelegt, aber noch nicht getestet.

Es gibt ein neues Routingkonzept für Greyworm mit VMware: Internes Routing für Greyworm

Da seit der Doppelbenennung von Des2 die intere DNS-Auflösung in der Testdomäne kaputt war, habe ich firmware.ffms jetzt auf Des2-Alt lokal gesetzt, damit die letzten vier Knoten aus der Testdomäne umziehen können.

Danach wird die dicht gemacht.

Grüße
Matthias

Und weg damit: Die Testdomäne ist Geschichte

Server ist aus.

1 „Gefällt mir“

nf_conntrack_count Anpassungen mittels Ansible ebenfalls auf alle Gateways ausgerollt (im gleichen Zuge ebenfalls tunearpcache ausgerollt) und Erfassung der nf_conntrack Statistiken ebenfalls für Gateways aktiviert.

1 „Gefällt mir“

ip_conntrack Tabelle auf Backbone c1024 geflusht. Dort waren wieder über 200k Einträge. Derzeit wächst die Tabelle auf c1024 täglich um ca. > 50k Einträge, während sie auf des1 (um die 50k Einträge) konstant bleibt. Genaue Ursache noch nicht gefunden.

(Durch das Flushen werden wohl alle (tcp) Verbindungen (ipv4) über c1024 kurz abgerissen worden sein.)

Auf des2 manuell networking stop; networking start ausgeführt, weil bat12 nicht aktiv war. Es war schon korrekt angelegt, aber irgendwie nicht gestartet worden.

Ansible auf Service-VM ausgerollt.

Die Domänen zwölf und 13 liegen auf Des2 und Remü-08.

barristan.kgbvax.net auf Wunsch von @mpw wieder eingeschaltet.
(Cloud Modell, man bezahl “on time” daher war das Ding aus)

Technische Daten die ich genannte habe waren falsch,
korrekt:
8 Core (C2750) 2.4 Ghz, heisst eher übersichtliche Compute Performance
16 G RAM
500 MBit connect

1 „Gefällt mir“