Admintagebuch - Dokumentation der Admintätigkeiten

Tj01 VM neu gestartet. VM war über Konsole erreichbar aber die Netzwerk Verbindungen waren tot. Wie seinerzeit bei Corny… War glaube ich damals ein Kernel Problem auf dem Blech… Müssen wir Mal beobachten…

• Unifi-Controller-VM neu gestartet, hat komisch gehangen:

  root@unifi ~ # reboot
  W: molly-guard: SSH session detected!
  Please type in hostname of the machine to reboot: unifi
  Failed to start reboot.target: Failed to activate service ‘org.freedesktop.systemd1’: timed out
  See system logs and ‘systemctl status reboot.target’ for details.
  Failed to open /dev/initctl: No such device or address
  Failed to talk to init daemon.

• Zeile aus dem crontab entfernt, weil es das Skript gar nicht gibt:

  1 0 * * 1 “/root/.acme.sh”/acme.sh --cron --home “/root/.acme.sh” > /dev/null

=> Zertifikate gehen jetzt wieder.

Updates auf dem Buildserver gemacht.

Voyager neu gestartet, weil die Auslastung bei über 18 lag.

iptables-restore < /etc/iptables/rules.v4
Auf Voyager ausgeführt da die Homepage nicht mehr via v4 erreichbar war. Wir müssen Mal analysieren warum das trotz iptables persistent nicht automatisch beim booten passiert…

Firmwareupdate auf beiden UniFi AP-AC Outdoor beim OVG

Wiki war kapod™, meldete 503.
Reboot tat gut.

Der Freifunk-Tester schickt seine Ergebnisse nun direkt an Icinga.

• Icinga- und nrpe-Rolle im Ansible angepasst
• FF-Tester-Skripte erweitert.

@mpw, die Änderungen liegen in root@remue:~/gits/tools . Mangels Berechtigung im Git konnte ich das nicht pushen. Könntest Du das übernehmen?

remue neu gestartet because of gona wild und so…
Bei der Gelegenheit auch gleich Updates auf dem Hypervisor gemacht…

Zusammen mit @stefan6 die Tunnel nach Frankfurt von allen an den FFNW angebunden Gateways mit neuem Endpunkt wieder in Betrieb genommen. Dabei die AMS Tunnel entfernt da aktuell eh tot.

Dann alle FFNW Gateways gebootet.

Die weiterleitung der adminteam Mail Adresse auf die neuen Mitglieder aktualisiert.

Großes Unifi Update aller Geräte, außer der EOL und der Offline Geräte

Bundeswehr
Geist
OVG ( EOL AP-AC Outdoor )
HBF
LAFP
Burse

@corny456 und ich haben Updates für die UniFi-VM installiert und der VM einen zweiten CPU-Kern spendiert. Dabei wurde der UniFi auf 5.6.36 aktualisiert.

Alle FFNW Tunnel abgedreht da nichts mehr durch ging. Siehe: Einzelne Dienste nicht erreichbar

Hab @stefan6 informiert…

Ping, undefinierbar was da los war:

7872327.556271] ip_tunnel: non-ECT from

Tonnenweise Nachrichten von euren Servern. Vielleicht hat da Hetzner uns nicht mehr gefunden, bei uns (FFNW) lief es.

Forum, Wiki aktualisiert, mit @Parad0x den Podcast Feed auf Wordpress umgestellt, Update bei iTunes dauert so ca 24h

DNS-Auflösung der Knotennamen repariert: DNS-Zone knoten.ffmsl.de kaputt

Zertifikate des Wikis repariert.

Da es dämlich ist, die Wiki-Konfiguration im Wiki zu sichern, mache ich das mal hier:

root@wiki ~ # cat /etc/apache2/sites-enabled/000-default.conf 
<VirtualHost *:80>
	Redirect permanent /secure https://wiki.freifunk-muensterland.de
	ServerName wiki.freifunk-muensterland.de
	ServerAlias wiki.freifunk-muensterland.org
	ServerAlias wiki.freifunk-muenster.de
	ServerAlias wiki.freifunk-muensterland.net
	ServerAlias wiki.ffmsl.de
	ServerAdmin info@freifunk-muensterland.de


	ErrorLog ${APACHE_LOG_DIR}/error.log
	LogLevel alert rewrite:trace6
	CustomLog ${APACHE_LOG_DIR}/access.log combined

	RewriteEngine on
	RewriteCond %{HTTPS} off [OR]
	RewriteCond %{HTTP:X-Forwarded-Proto} !https
	RewriteRule ^(.*) https://wiki.freifunk-muensterland.de/$1 [NC,R=301,L]
RewriteCond %{SERVER_NAME} =wiki.ffmsl.de [OR]
RewriteCond %{SERVER_NAME} =wiki.freifunk-muensterland.de
RewriteRule ^ https://%{SERVER_NAME}%{REQUEST_URI} [END,NE,R=permanent]
</VirtualHost>
root@wiki ~ # cat /etc/apache2/sites-enabled/001-default-le-ssl.conf 
Protocols h2 http/1.1
<IfModule mod_ssl.c>
SSLSessionCache memcache:127.0.0.1:11211
<VirtualHost *:443>
	Header set Strict-Transport-Security "max-age=10886400; includeSubDomains; preload"
	SSLProxyEngine on
	SSLProxyVerify none
	SSLProxyCheckPeerCN Off
        SSLProxyCheckPeerName Off
	ServerAdmin iotter@mac.com
#	DocumentRoot /var/www/html

	# Available loglevels: trace8, ..., trace1, debug, info, notice, warn,
	# error, crit, alert, emerg.
	# It is also possible to configure the loglevel for particular
	# modules, e.g.
	LogLevel info 


	ErrorLog ${APACHE_LOG_DIR}/error.log
	CustomLog ${APACHE_LOG_DIR}/access.log combined


	# For most configuration files from conf-available/, which are
	# enabled or disabled at a global level, it is possible to
	# include a line for only one particular virtual host. For example the
	# following line enables the CGI configuration for this host only
	# after it has been globally disabled with "a2disconf".
	#Include conf-available/serve-cgi-bin.conf
	SSLCertificateFile /etc/letsencrypt/live/hc.infrastruktur.ms/fullchain.pem
	SSLCertificateKeyFile /etc/letsencrypt/live/hc.infrastruktur.ms/privkey.pem
	Include /etc/letsencrypt/options-ssl-apache.conf
	ServerName hc.infrastruktur.ms

        AddOutputFilterByType DEFLATE text/html text/plain text/xml text/css text/javascript application/javascript application/json
	Header set Host hc.infrastruktur.ms

	SSLProxyCheckPeerName off
        SSLProxyCheckPeerExpire off
        ProxyPass / https://hc.infrastruktur.ms/
        ProxyPassReverse / https://hc.infrastruktur.ms/
        
</VirtualHost>


# vim: syntax=apache ts=4 sw=4 sts=4 sr noet
</IfModule>

Im Ordner /root liegt der certbot-auto von https://dl.eff.org/certbot-auto. Dieser hat noch einen Cronjob:

# Certbot-Auto
27 5 * * * "/root/certbot-auto -n renew"

Es sollten jetzt alle TLDs funktionieren.

assistent.ffmsl.de wieder in betrieb genommen. Wurde wenn ich mich recht erinnere deaktiviert da der Cert Renew auch umgeleitet wurde und fehl schlug. Das sollte jetzt durch einen Symlink behoben sein. Müssen wer beim nächsten Renew mal beobachten.

Unser Firmware-Downloader kann jetzt sysupgrade_only in der config.js.