Pad-Service de corny456


#1

Fortsetzung der Diskussion von Etherpad als Internen Dienst:

Ich eröffne hiermit mal einen Fork, weil ja eventuell noch andere in dem Thema ihre Erfahrungen kund tun möchten.

Bei mir sieht es flüssig aus. Ich bin dem Pad /test beigetreten. Da war noch wer anders, der hat aber nicht reagiert. Was ich darin schrieb machte bei mir auf dem Monitor direkt keine Verzögerungen. Gutes Zeichen.

/test2 habe ich alleine bearbeitet/erstellt und auch da keine Verzögerungen.

Ich weiß nun nicht, wie es aussieht, wenn jemand anderes schreibt. Vielleicht öffne ich mal mehrere Browserfenster. Aber mit der selben IP ist das vermutlich keine gute empirische Grundlage.


Etherpad als Internen Dienst
#2

Das hört sich doch schon mal gut an…

wir können ja mal nen Termin ausmachen und treffen uns mit alle mann auf einem Pad… Stresstest quasie… :stuck_out_tongue_winking_eye:

Danke fürs Testen :smile:


#3

Dass ist etherpad lite, oder?

Ich persönlich bevorzuge das alte bzw original, ist aber im erster Linie Geschmacksache.

Außer vielleicht, dass so nette Möglichkeiten gibt, wie z.b.
Teampads und div. Access Einstellungen wie z.B. public read only (super wenn das Pad getrollt wird)

MfG


#4

Korrekt… ist Etherpad lite da das alte nicht mehr gepflegt wird und im Git vom Etherpad steht:

Etherpad (this version) has been superseded by Etherpad Lite
Etherpad Lite is a simplier, faster, lighter solution for collaborative editing. Please use that and develop on that as it is the active project. https://github.com/ether/etherpad-lite

EtherPad is a web-based realtime collaborative document editor.

EtherPad currently lives at http://etherpad.org

Daher hatte ich mich für Etherpad lite entschieden…


#5

So brauch da mal ein bisschen Hilfe von den Admins.
Wenn ich meinen Etherpad Server jetzt ins Freifunk Netz hängen möchte, einfach vom DHCP eine Adresse geben lassen und wenn @kgbvax seinen DynDNS dienst am rennen hat DynDNS einrichten oder doch lieber zusätzlich zum DynDNS eine Feste IP vergeben? Und wenn ja aus welchem IP-Bereich?
Die IP’s sind doch aus allen Domänen erreichbar so wie ich das verstanden habe oder?

Wie sieht das mit IPv6 aus? ich muss gestehen ich bin absoluter IPv6 noob… Da die IPv6 Adressen ja Public sind währe es ja sinnvoll dem Server zu verbieten sich eine IPv6 vom DHCP Server geben zu lassen damit es auch wirklich ein interner Dienst ist. Aber wie mache ich das am geschicktesten?

Was sollte ich in Sachen Sicherheit noch beachten? SSH mit Key drauf und Login via Kennwort ausschalten ist klar aber was gibt’s sonst noch für Falltüren?

Danke schon mal
Gruß Marius


#6

Korrekt. Du kannst dir aus deiner Domäne einfach eine aus dem Bereich 10.43.8*Domänen-ID.10-25 nehmen. Das ist dann von überall aus dem Freifunk Münsterland erreichbar. Wir vergeben keine IPs, das hat was mit Verantwortung zu tun. Einfach selbst nehmen und statisch eintragen. Wenn der Dyndns-Dienst einsatzbereit ist, kann alternativ oder zusätzlich darauf umgestellt werden. Beim DynDNS-Dienst geht es aber vorallem um eine DNS-Auflösung, weniger um eine feste IP. Die müsstest du dir so oder so selbst nehmen.

Das sollte deine Kiste selbst tun. Je nach Distribution musst du noch die privacy Extension abschalten. Privacy Extension bedeutet, dass er sich eine zufällige IPv6 nimmt. Die Alternativ ist, dass die aus der Mac berechnet wird, wie es auf den Knoten der Fall ist. Wenn du eine Anwendungsdistribution hast, ist das in der Regel aktiviert, um den Nutzer vor Tracking zu schützen, wenn du eine Serverdistri hast, ist es in der Regel deaktiviert, weil ein Server immer unter derselben Adresse erreichbar sein sollte. Die IPv6 ist dann automatisch von überall wo es IPV6 gibt erreichbar. Wenn es wirklich intern sein soll, dann musst du IPV6 abschalten, ich würde mir aber wünschen, dass es von überall aus erreichbar ist.

Nur SSH-Schlüssel, Passwörter sollte man da nicht verwenden. Ansonsten ist nicht viel zu beachten, wichtig ist es, immer alle Aktualisierungen regelmäßig einzuspielen.

Fragen:

  1. Wie machen wir das Ding aus der Warpzone nutzbar. Dort gibt es nur IPV4 und man muss im Warpzone-Netz sein, damit man den Chrome Cast verwenden kann.

  2. Hast du schon ein Datensicherungskonzept?

Grüße
Matthias


#7

Ok gut. Im Wiki eine Liste darüber zu führen wer welche IP nutzt spricht wahrscheinlich auch gegen die Sache mit der Verantwortung oder?

Währe klar von Vorteil das ist richtig.

Das ist ne gute Frage… Kann ich dir so spontan nicht beantworten…
Ich bin mir noch nicht so ganz schlüssig ob der Server an meinem DSL mit 2,5 Mbit/s Upload stehen bleibt oder ob ich ihn an einem von mir betreuten Knoten mit 100 Mbit/s Glas Uplink aufstelle / aufstellen darf. An meinem Anschluss könnte man dem Server eine 2. Netzwerkkarte verpassen und ihn parallel z.B. unter http://pad.hellmann.me/pad erreichbar machen. Das dürfte an dem Glas Anschluss schwer werden da es keine Public sondern nur geNATtete IPv4’s von der Deutschen Glasfaser gibt… :flushed:

nö… :grin:
Im Moment läuft das ganze auf einem alten Shuttle Barebone mit AMD Sempron und Debian Jessie…
Ich hab im Moment noch keinen schimmer wie groß die MySQL Datenbank mal wird/werden könnte…
Da der Server mit samt Betriebssystem binnen 2 Std. aufgesetzt ist denke ich das es reichen sollte regelmäßige SQL Dump’s irgendwo hin zu schieben oder was meinst du?

Gruß Marius


Etherpad als Internen Dienst
#8

Joa, du baust in zwei Jahren unseren ersten internen Dienst. Ich glaube nicht, dass es da bald einen Engpass geben wird. Von daher halte ich das schlicht nicht für nötig.

Wenn da alle Daten drin sind, ja.


#9

Ich glaube, das mit dem DynDNS von @kgbvax lässt sich gar nicht so leicht in unsere Infrastruktur integrieren, da sein Dienst ein seperater DNS-Server ist, der nicht auf einem unserer Gateways oder Backbones oder Service-VM laufen klann, da jeder schon einen DNS-Server laufen hat.

Um den Dienst von überall aus erreichbar zu machen, könnte man auf der Service-VM einen Reverse-Proxy-Eintrag machen, so dass das Pad z.B. unter https://service.freifunk-muensterland.de/cornypad/ erreichbar ist. Das wäre dann aber händisch zu konfigurieren und keine gute Lösung für viele Dienste.

Bzgl. IP: Die 10.43.x.11 wird von der Service-VM genutzt. Bitte vor Nutzung einer IP mit ping testen, ob es sie schon gibt.


#10

Sieht wohl so aus… Werde das aber nochmal verifizieren…

Für https gibt es im Freifunk Netz außer einem selbst signierten Zertifikat wahrscheinlich keine alternative oder? Lets Encrypt wird wohl nicht klappen da die ja die Domain testen beim Zertifikat erstellen und die xyz.ffms wohl nicht aufgelöst bekommen. :stuck_out_tongue_winking_eye:


#11

Hmm, die Lösung mit https://service.freifunk-muensterland.de/cornypad/ könnte man theoretisch auch mit https://cornypad.freifunk-muensterland.de/ machen und dafür würde dann auch ein Zertifikat ausgestellt werden können.


#12

Also das heißt wenn es einen internen Dienst gibt der extern über z.b. https://cornypad.freifunk-muensterland.de/ erreichbar ist könnte man Lets Encrypt mit z.b.:
letsencrypt certonly --standalone -d cornypad.freifunk-muensterland.de -d cornypad.ffms
laufen lassen und hätte ein zertifikat für cornypad.freifunk-muensterland.de und cornypad.ffms ???


#13

Ich habe den Beitrag in ein vorhandenes Thema verschoben: Etherpad als Internen Dienst


#14

Ist ziemlich einfach zu integrieren:
Eine eigene Zone unter dyn.freifunk-muensterland.de oder so der an den @kgbvax’schen server delegiert und fertig. Ist ansatzweise schon drin aber wohl noch nicht korrekt.


#15

Ich finde es unelegant nicht zentrale Dienste über zentrale Infrastruktur zu supporten oder Abhängigkeiten zu schaffen.


#16

sehe ich auch so… dann doch lieber einen wirklich Internen Dienst betreiben der von der Infrastruktur weitestgehend unabhängig ist mit selbst signiertem Zertifikat… Habe nur aus Interesse nachgehakt ob und wie und warum :wink:


#17

OK, ich ziehe das zurück mit Reverse-Proxy auf service.freifunk-muensterland.de. Das könnte zwar irgendwie gehen, aber es macht aus verschiedenen Gründen keinen Sinn.

Die Richtige Lösung ist der DynDNS-Dienst von @kgbvax, den wir wie er geschrieben hat auf einem seperaten Server laufen lässt. Dann kann jeder Namen unter dyn.freifunk-muensterland.de anmelden, z.B. corny.dyn.freifunk-muensterland.de und dafür kann man dann auch ein Let’s-Encrypt-Zertifikat erhalten - wenn denn die IP-Adresse von überall erreichbar ist.

Leider kann man nur Zertifikate für Namen erhalten, deren Adressen auch erreichbar sind. Das könnte noch ein Problem sein.


#18

… was ja mit v6 ginge… und wie gerade gesprochen würde ich dann v6 support (AAAA) nachrüsten.


#19

So… ich hab das Pad mal ins Freifunk Netz gehängt und mir eine IP rausgepickt…
—> 10.43.48.10 <—

Aus der Domäne 06 ist das Pad erreichbar ob aus den anderen auch konnte ich grad noch nicht testen.

HTTPS läuft leider nur mit selbst signiertem Zertifikat aber immerhin…

Via IPv6 ( 2a03:2260:115:600:230:1bff:feb6:1afd ) Funktioniert der Aufruf eines Pad’s leider aktuell noch nicht, ich nehme an wegen dem Apache Reverse Proxy… Falls jemand eine Idee hat immer mal her damit… :smile:

Ein Backup der Pad’s für den Fall das der Server schlapp macht gibt es aktuell noch nicht kommt aber als nächstes…

Gruß Marius


#20

Domäne 9 geht auch :+1: