Willkommen zur Eulenfunk-Dokumentation!¶

Voraussetzungen¶

Folgendes sollte euer Wunschserver leisten, damit er für FF tauglich ist:

• 100 Mbit garantierte Bandbreite
  • Nicht 100 Mbit Anbindung oder Peak Bandbreite! Der Server muss 24/7 100 Mbit abkönnen.
• Vollen Zugriff aufs Blech / den Hypervisor
  • Server neu installieren
  • Hardware reboot
  • IPs hinzufügen
• Leistungsstarke CPU
• Zusätzliche IPv4 Adressen (Failover IPs) “zu Einmal-Kosten”

Folgendes sind absolute Ausschlusskriterien für einen Server:

• Trafficbegrenzung
• Fair use
• Vserver

Hoster / Rechenzentrum¶

OVH bzw. deren preiswertere Marke “Soyoustart” (sys) sind gut geeignet.

Die auf “OVH” gebrandeten Server leisten kaum mehr als die SYS Maschinen, kosten aber unverhältnismäßig viel mehr.

Bestellvorgang¶

Wer bei OVH oder SYS die Server bestellt sollte, wenn er Neukunde ist, per Überweisung zahlen. Das erspart zusätzliche Authentifizierungsmethoden und geht daher schneller(!) als Paypal.

Sicherheit¶

Über das OVH/SYS Kundeninterface hat man die Möglichkeit den Server neu zu starten, neu zu installieren oder in den RescueMode zu booten. Man sollte daher dringend den Zugang zum Kundeninterface mit einer Two-Factor Login Methode zusätzlich absichern. Man kann die selbe OATH App nutzen, die man auch für Github und später das Proxmox Webinterface verwenden kann.

Für iOS wurde z.B. die App “OTP Auth” getestet. Auf Ubuntu-Phone lässt sich die App “Authenticator” einsetzen.

Einleitung¶

Proxmox stellt alle Funktionen für den Betrieb von virtuellen Maschinen bereit und bietet per Webinterface eine zentrale Möglichkeit, neue VMs anzulegen und bestehende zu verwalten, inkl. einer KVM-Konsole für VMs und auch den Host selbst. Das funktioniert ohne Spezial-Plugins (d.h. kein Flash, keine JRE etc.)

Die Einrichtung des Proxmox beschränkt sich auf folgende Punkte:

• Installation: Hoster wie OVH/Soyoustart nehmen euch die Arbeit ab
• Einrichtung des SSH Zugriffs per Public-Key
• Absicherung des SSH Servers
• Absicherung des Webinterfaces per Two-Factor-Authentication (Oath)
• Einrichtung des Monitorings per Check_MK
• Bereitstellung der ISO Datei für Ubuntu Server

Installation¶

Proxmox kommt entweder per Klick als Template vom Provider auf den Server oder muss von Hand installiert werden.

Hier ein Beispiel für die Installation über das Soyoustart Web-Frontend. Zunächst den passenden Server im Dropdown-Menü auswählen und dann auf “Installieren” klicken:

Im nächsten Schritt wählt man VPS Proxmox VE 3.4 (64Bit) als Template aus, der Haken bei “Personalisierte Installation” darf NICHT gesetzt sein. Mit Klick auf “Weiter” startet man jetzt die Installation.

Wenn die Installation seitens Soyoustart abgeschlossen ist, bekommt man eine Benachrichtigung per Mail.

SSH¶

Im laufenden Betrieb erfolgt die komplette Konfiguration über das Webinterface, trotzdem ist es wichtig, sich für Notfälle einen SSH Zugriff einzurichten und natürlich auch den SSH Server abzusichern.

Per SSH mit dem Server verbinden

ssh root@111.222.333.444

passwd

apt-get install sudo

useradd meinbenutzername

cd /home/meinbenutzername/
mkdir .ssh
nano .ssh/authorized_keys

nano /etc/ssh/sshd_config

#PasswordAuthentication yes

PasswordAuthentication no

Port 22

Port 62954

PermitRootLogin yes

PermitRootLogin no

/etc/init.d/ssh restart

ssh -p 62954 meinbenutzername@111.222.333.444

Updates einspielen¶

Nun Betriebsystemupdates einspielen und ggf. erfolgende Rückfragen mit einem “J” oder “Y” abnicken, das “autoremove wird nicht viel tun, aber der Vollständigkeit halber sollte man es sich gleich angewöhnen.

sudo apt-get update
sudo apt-get dist-upgrade
sudo apt-get autoremove

Eine Fehlermeldung im Bereich “Proxmox-Enterprise” kann man entweder ignorieren. Das gibt es nur wenn man ein Support-Abo abgeschlossen hat. Wenn Ihr die Arbeit des Proxmox-Teams unterstützen möchtet:

https://www.proxmox.com/de/proxmox-ve/preise

Optional:

Da einzelne Repositories wiederholt nicht oder sehr schlecht per IPv6 erreichbar sind und wir unsere Maschinen grundsätzlich zur IPv6-Nutzung befähigen, empfiehlt es sich, IPv6 zumindest für “apt-get” zu unterbinden.

Dazu wird einmalig aufgerufen:

sudo ...!! SDFSDF echo 'Acquire::ForceIPv4 "true";' > /etc/apt/apt.conf.d/99force-ipv4

Monitoring¶

Den Check_MK Agent steht in der Weboberfläche des Check_MK als .deb Paket bereit:

In die CheckMK-Instanz per Webbrowser einloggen. Dann suchen:

-> WATO Configuration (Menü/Box)
-> Monitoring Agents
-> Packet Agents
-> check-mk-agent_1.2.8p1-1_all.deb _(Beispiel)_

Den Download-Link in die Zwischenablage kopieren. Im SSH-Terminal nun eingeben: (die Download-URL ist individuell und der Name des .deb-Paketes ändert sich ggf.)

wget --no-check-certificate "https://monitoring.eulenfunk.de/heimathoster/check_mk/agents/check-mk-agent_1.2.8p1-1_all.deb"

Um das .deb Paket zu installieren wird gdebi empfohlen, ausserdem benötigt der Agent xinetd zum ausliefern der monitoring Daten. Die Installation von gdebi kann durchaus einige Dutzend Pakete holen. Das ist leider normal. Per SSH auf dem Server. (Auch hier: Name des .deb-Files ggf. anpassen)

sudo apt-get install gdebi-core xinetd

Rückfragen ggf. mit “J” beantworten. Mit dem nun installierten gdebi das check_mk-Paket installieren:

sudo gdebi check-mk-agent_1.2.8p1-1_all.deb

Nun noch zusätzliche Check_MK Plugins hinzufügen

cd /usr/lib/check_mk_agent/plugins
sudo wget --no-check-certificate "https://monitoring.freifunk-mk.de/heimathoster/check_mk/agents/plugins/smart"
sudo chmod +x smart

                        cd /usr/lib/check_mk_agent/local
sudo wget --no-check-certificate https://raw.githubusercontent.com/eulenfunk/check_mk/master/proxmox
sudo chmod +x proxmox

::

sudo nano /etc/xinetd.d/check_mk

Dort die Zeile

# only_from = 127.0.0.1 10.0.20.1 10.0.20.2

ändern in

only_from = 127.0.0.1 94.23.160.148

Damit diese Änderungen aktiviert werden, muss der xinetd durchgestartet werden

sudo /etc/init.d/xinetd restart

Der Rechner hält ab nun Daten zum Abruf bereit.

Eulenfunker müssen dann das Admin-Team kontaktieren, damit der Rechner im CheckMK eintragen wird.

Images hochladen¶

ISO Files zur installation können zwar über das Webinterface hochgeladen werden, aber je nach Internetanbindung dauert das lange. Per wget wird das Image direkt auf den Server geladen.

cd /vz/template/iso
wget http://releases.ubuntu.com/14.04.4/ubuntu-14.04.4-server-amd64.iso

OATH Two Factor¶

Der Zugang zum Proxmox ist absolut sicherheitskritisch, wer Zugriff auf den Hypervisor hat hat Zugriff auf alle Maschinen auf dem Blech. Daher muss zusätzlich der Login des Webinterface per OATH Two Factor Authentifizierung abgesichert werden.

-> https://pve.proxmox.com/wiki/Two-Factor_Authentication

Netzwerk einrichten¶

Ab jetzt geht die Konfiguration über das Proxmox Webinterface im Browser:

https://111.222.333.444:8006

Beim ersten Aufruf sollte man das Zertifikat im Browser dauerhaft akzeptieren.

Die Anmeldung erfolgt mit Benutzername, Kennwort und OTP Pin. Als Realm muss Linux PAM standard authentication (+ oath) ausgewählt werden.

Nachdem links in der Seitenleiste das Blech ausgewählt wurde rechts im Reiter Network zusätzlich zur vorhandenen vmbr0 über die das Internet rein kommt noch mindestens eine vmbr1 anlegen, über die die Supernodes mit dem Konzentrator kommunizieren.

Bei OVH/Soyoustart kann es sein, dass die vmbr schon vorhanden ist, dann müsst ihr nichts tun.

Beim Anlegen muss als Name vmbr1 eingetragen werden und der Haken bei Autostart gesetzt werden.

Die vmbr steht erst nach dem Neustart des Blechs zu Verfügung, daher in der Ecke oben rechts “Restart” auswählen.

Backup anlegen¶

Proxmox ermöglicht es ganz einfach und auf Wunsch automatisiert Backups von den Virtuellen Maschinen anzulegen. Im Idealfall sollten die Backups auf einen externen Server/Storage erfolgen. Aus Gründen der Einfachheit beginnen wir mit einem Backup auf den lokalen Storage. Von dort kann man die Dateien für den Fall eines Totalausfalls des Blechs bei Bedarf per scp oder rsync auf einen anderen Server oder den heimischen Computer sichern.

Das Backup auf dem lokalen Storage erzeugt massiv IO, denn neben den normalen Zugriffen, die die Maschinen im Betrieb erzeugen kommen noch Lesezugriffe auf die zu sichernde VM und Schreibzugriffe auf die Backupdatei dazu.

Sobald der IO die Kapazität des Storages übersteigt, gerade bei den einfachen Raids aus klassischen HDDs in den OVH/SYS Servern ist dies schnell der Fall, wird die Performance des gesamten Blechs und aller VMs darunter leiden.

Das Backup sollte daher zur Zeit der geringsten Auslastung erfolgen, z.B. jeden Montag um 1 Uhr in der Nacht.

Zuerst muss ein Backupstorage definiert werden, dazu muss links das Datacenter ausgewählt werden, rechts der Tab Storage und dort der lokale Storage konfiguriert werden.

Dort muss dann VZDump backup file zusätzlich ausgewählt werden (STRG+Klick)

Als nächstes im Reiter Backup einen Backupjob hinzufügen. Bei Node wird “– All –” und bei Mode Snapshot ausgewählt. Storage setzt man auf local. Als Compression wählt man “LZO (fast)” um die Prozessorauslastung gering zu halten.

Ubuntu Server Installieren¶

Die VM links auswählen und oben rechts starten und die Konsole öffnen

Deutsch als Sprache auswählen und nun Ubuntu Server Installieren

Als Installationssprache jetzt nochmal Deutsch auswählen,

die Auswahl trotz unvollständiger Unterstützung bestätigen,

den Standort auswählen (Deutschland),

das Tastaturmodell nicht automatisch erkennen lassen

Herkunftsland der Tastatur “Deutsch”

Tastaturbelegung “Deutsch”

Sobald der Server versucht das Netzwerk automatisch zu konfigurieren, dies abbrechen und die manuelle Netzwerkkonfiguration auswählen.

Die Failover-IP, für die wir vorhin die MAC-Adresse erstellt haben ist beispielsweise die 555.666.777.888

Die Subnetzmaske von 255.255.255.0 bleibt in der Regel so

Die Gateway Adresse sollte man beim Rechenzentrum erfragen.

Bei OVH/Soyoustart ist das IPv4 Gateway immer auf der 254, also 555.666.777.254

Als DNS geht z.B. der 8.8.8.8 von Google (Böse!).

Der Rechnername ist frei wählbar

Der Domainname ist hier einzutragen

Und der Benutzer angelegt werden. Zunächst der volle Benutzername

und dann das gewünschte Login

Das Kennwort sollte sicher sein und nicht bereits für einen anderen Zweck in Verwendung.

Da auf dem Server keine persönlichen Dateien gespeichert werden sollen ist es nicht notwendig den persönlichen Ordner zu verschlüsseln.

Zeitzone Prüfen und bestätigen.

Festplatte manuell formatieren

Freien Speicherplatz auswählen und enter

Partitionstabelle erstellen

Freien Speicherplatz auswählen und enter

Partitionsgröße 5 GB Primär am Anfang

Bootflag auf ‘ein’ setzen und ‘Anlegen beenden’

Freien Speicherplatz auswählen und enter

Eine neue Partition erstellen

Größe bestätigen

Primär

Benutzen als ‘Auslagerungsspeicher (SWAP)’

‘Anlegen beenden’

‘Partitionierung beenden’

Ja schreiben, noch sind ja keine Daten vorhanden, die überschrieben werden könnten.

Warten...

Proxy leer lassen

Warten...

Automatische Sicherheitsaktualisierungen auswählen

OpenSSH server auswählen (Leertaste benutzen) und weiter

Warten...

Die Installation des GRUB Bootloader bestätigen

Weiter

SSH¶

Per SSH mit dem Server verbinden

ssh meinbenutzername@111.222.333.444

Den Public-Key für den User hinterlegen:

cd /home/meinbenutzername/
mkdir .ssh
nano .ssh/authorized_keys

Im Editor dann den Public Key (“ssh-rsa AAA.....”) einfügen. Wichtig: Alles von diesem Key muss in eine Zeile. Weitere Adminuser können später angelegt werden.

Nun das Password-Login auf dem Server deaktivieren. Dazu die sshd_config editieren:

sudo nano /etc/ssh/sshd_config

Die Zeile

#PasswordAuthentication yes

ändern in

PasswordAuthentication no

Achtung, auch wenn ‘yes’ auskommentiert ist, besteht die Möglichkeit sich per Password zu verbinden, erst wenn ‘no’ gesetzt ist und nicht (mehr) auskommentiert ist, ist der Zugriff nur noch per Key möglich.

Um es den Script-Kiddies und Bots etwas schwerer zu machen, sollte der Port 22 auf einen hohen Port (mindestens über 1024) verändert werden. Dazu die Zeile

Port 22

ändern in

Port 62954

WICHTIG: Diesen Port muss man sich dann merken, da man ihn später beim Aufruf von ssh angeben muss.

Nun den direkten Rootlogin sperren.

PermitRootLogin yes

ändern in

PermitRootLogin no
UsePAM no

Danach den Editor wieder verlassen und den SSH Server neu starten um die Einstellungen zu übernehmen.

sudo service ssh restart

Den nachfolgenden ssh Kommandos muss man die Option “-p 62954” (kleines “p”!) und den scp Kommandos die Option “-P 62954” (großes “P”!).

ssh -p 62954 meinbenutzername@111.222.333.444

Systemaktualisierung¶

Als Nächstes steht die Systemaktualisierung an; auch hier beim erstmaligen Aufruf die Nutzung von IPv4 erzwingen für’s APT-Get

sudo apt-get update
sudo apt-get dist-upgrade
sudo apt-get autoremove

Pakete installieren¶

sudo apt-get install bird bird6 xinetd vnstat vnstati gdebi-core lighttpd git conntrack

• bird übernimmt das BGP routing
• bird6 tut das selbe für IPv6
• vnstat monitort den Netzwerktraffic
• vnstati erzeugt daraus Grafiken
• lighttpd stellt diese zum Abruf bereit
• gdebi-core ermöglicht uns die Installation des Check_mk Agents
• git wird für die Konfigurationsscripte benötigt
• xinetd ist der bei Debian übliche Super-Daemon, über ihn wird der Check_mk Agent angesprochen
• conntrack überwacht den Auslastungszustand der NAT-Engine

Hinzufügen einer Schnittstelle eth1¶

Für die Verbindung zwischen den Supernodes und dem Konzentrator legen wir eine zweite Netzwerkschnittstelle an. Dazu muss im Proxmox für die VM eine eth1 hinzugefügt werden, die auf der vmbr1 hängt und virtio verwendet.

Danach die VM einmal durchbooten.

Eulenfunk BGP-Konzentrator-Konfigurator¶

Ist leider noch Baustelle hier... Bis auf weiteres geht es mit unten bei ferm_einrichten_ weiter.

Die genauen Hintergründe sollten verstanden werden und sind weiter unten beschrieben!

Um die Konfiguration zu vereinfachen, wurde ein Script geschrieben, welches die nötigen Parameter abfragt und daraus die Konfigurationsdateien, bzw. Auszüge daraus erzeugt. Diese müssen dann nur noch an die richtige Stelle kopiert werden.

sudo mkdir -p /opt/eulenfunk/konzentrator
cd /opt/eulenfunk/konzentrator
sudo git clone https://github.com/eulenfunk/ff-bgp-konzentrator-konfigurator.git
cd ff-bgp-konzentrator-konfigurator
sudo ./bgp-konzentrator-setup.sh

Das Script fragt dann die nötigen Werte ab.

sudo cp bird.conf.bgp /etc/bird/bird.conf
sudo cp bird6.conf.bgp /etc/bird/bird6.conf
sudo mkdir /etc/ferm
sudo cp ferm.conf.bgp /etc/ferm/ferm.conf
sudo cp 20-ff-config.conf.bgp /etc/sysctl.d/20-ff-config.conf
sudo cat interfaces.bgp >> /etc/network/interfaces

sudo apt-get install ferm

cd /opt/eulenfunk/konzentrator
sudo git clone https://github.com/eulenfunk/konzentrator.git
cd konzentrator
sudo chmod +x *.sh
sudo mkdir config

sudo nano /etc/rc.local

#!/bin/sh -e
# rc.local
/opt/eulenfunk/konzentrator/konzentrator/bgp-konzentrator-rc.sh
exit 0

Monitoring¶

Das Monitoring beinhaltet folgende Komponenten:

• Check_MK ermöglicht das zentrale Monitoring aller Systemdaten aller eingebundenen Server
• vnstat erstellt Traffic Statistiken, die sich auf der shell anzeigen lassen
• vnstati generiert daraus Grafiken
• lighttpd stellt diese zum Abruf aus dem Internet bereit

-> WATO Configuration (Menü/Box)
-> Monitoring Agents
-> Packet Agents
-> check-mk-agent_1.2.8p1-1_all.deb _(Beispiel)_

wget --no-check-certificate \
https://monitoring.freifunk-mk.de/heimathoster/check_mk/agents/check-mk-agent_1.2.8p1-1_all.deb

sudo gdebi check-mk-agent_1.2.8p1-1_all.deb

cd /usr/lib/check_mk_agent/local
sudo wget -O konzentrator https://raw.githubusercontent.com/eulenfunk/check_mk/master/konzentrator
sudo chmod 755 konzentrator
sudo chmod +x konzentrator

sudo mkdir -p /var/www/vnstats/eth0
sudo mkdir -p /var/www/vnstats/eth1
sudo nano /etc/cron.d/vnstat

*/5 * * * * root vnstati -i eth0 -o /var/www/vnstats/eth0/hours.png -h
*/5 * * * * root vnstati -i eth0 -o /var/www/vnstats/eth0/days.png -d
*/5 * * * * root vnstati -i eth0 -o /var/www/vnstats/eth0/months.png -m
*/5 * * * * root vnstati -i eth0 -o /var/www/vnstats/eth0/summary.png -s
*/5 * * * * root vnstati -i eth1 -o /var/www/vnstats/eth1/hours.png -h
*/5 * * * * root vnstati -i eth1 -o /var/www/vnstats/eth1/days.png -d
*/5 * * * * root vnstati -i eth1 -o /var/www/vnstats/eth1/months.png -m
*/5 * * * * root vnstati -i eth1 -o /var/www/vnstats/eth1/summary.png -s

Ubuntu Server Installieren¶

Die VM links auswählen und oben rechts starten und die Konsole öffnen

Deutsch als Sprache auswählen und nun Ubuntu Server installieren

Als Installationssprache jetzt nochmal Deutsch auswählen, die auswahl trotz unvollständiger Unterstützung bestätigen und als nächstes das Tastaturlayout auswählen.

Sobald der Server versucht das Netzwerk automatisch zu konfigurieren, dies abbrechen und die manuelle Netzwerkkonfiguration auswählen.

Die IP zur mac ist beispielsweise die 555.666.777.888

Die Subnetzmaske von 255.255.255.0 bleibt in der Regel so

Die Gateway Adresse sollte man beim Rechenzentrum bekannt sein.

Bei einem großen Französichen RZ ist das IPv4 Gateway immer auf der 254, also 555.666.777.254

Als DNS geht z.B. der 8.8.8.8 von google.

Der Rechnername ist frei wählbar z.b. meinestadt-1

Der Domainname ist hier einzutragen

Und der Benutzername.

Das Kennwort sollte sicher sein und nicht bereits für einen anderen Zweck in Verwendung.

Da auf dem Server keine Persönlichen Dateien gespeichert werden sollen ist es nicht notwendig den persönlichen Ordner zu verschlüsseln.

Zeitzone prüfen und bestätigen.

Festplatte manuell formatieren

Freien Speicherplatz auswählen und Enter

Partitionstabelle erstellen

Freien Speicherplatz auswählen und Enter

Partitionsgröße 5 GB primär am Anfang

Bootflag auf ‘ein’ setzen und ‘Anlegen beenden’

Freien Speicherplatz auswählen und Enter

Einen neue Partition erstellen

Größe bestätigen

Primär

Benutzen als ‘Auslagerungsspeicher (SWAP)’

‘Anlegen beenden’

‘Partitionierung beenden’

Ja schreiben, noch sind ja keine Daten vorhanden, die überschrieben werden könnten.

Warten...

Proxy leer lassen

Warten...

Automatische Sicherheitsaktualisierungen auswählen

OpenSSH Server auswählen (Leertaste benutzen) und weiter

Warten...

Die Installation des GRUB Bootloader bestätigen

Weiter

SSH¶

Per SSH mit dem Server verbinden

ssh meinbenutzername@111.222.333.444

Den Public-Key für den User hinterlegen:

cd /home/meinbenutzername/
mkdir .ssh
nano .ssh/authorized_keys

Im Editor dann den Public Key (“ssh-rsa AAA.....”) einfügen. Wichtig: Alles von diesem Key muss in eine Zeile. Weitere Adminuser können später angelegt werden.

Nun das Password-Login auf dem Server deaktivieren. Dazu die sshd_config editieren:

sudo nano /etc/ssh/sshd_config

Die Zeile

#PasswordAuthentication yes

ändern in

PasswordAuthentication no

Achtung, auch wenn ‘yes’ auskommentiert ist, besteht die Möglichkeit sich per Password zu verbinden, erst wenn ‘no’ gesetzt ist und nicht (mehr) auskommentiert ist, ist der Zugriff nur noch per Key möglich.

Um es den Script-Kiddies und Bots etwas schwerer zu machen, sollte der Port 22 auf einen hohen Port (mindestens über 1024) verändert werden. Dazu die Zeile

Port 22

ändern in

Port 62954

WICHTIG: Diesen Port muss man sich dann merken, da man ihn später beim Aufruf von ssh angeben muss.

Nun den direkten Rootlogin sperren.

PermitRootLogin yes

ändern in

PermitRootLogin no
UsePAM no

Danach den Editor wieder verlassen und den SSH Server neu starten um die Einstellungen zu übernehmen.

sudo service ssh restart

Den nachfolgenden ssh Kommandos muss man die Option “-p 62954” (kleines “p”!) und den scp Kommandos die Option “-P 62954” (großes “P”!).

ssh -p 62954 meinbenutzername@111.222.333.444

Systemaktualisierung¶

Als Nächstes steht die Systemaktualisierung an; auch hier beim erstmaligen Aufruf die Nutzung von IPv4 erzwingen für’s APT-Get

sudo apt-get update
sudo apt-get dist-upgrade
sudo apt-get autoremove

Pakete installieren¶

Ergänzen der /etc/apt/sources.list um das fastd repository

sudo nano /etc/apt/sources.list

Folgende Zeile hinzufügen

deb http://repo.universe-factory.net/debian/ sid main

Editor schließen

sudo apt-get update
sudo apt-get install xinetd git vnstat vnstati gdebi-core lighttpd fastd build-essential \
bridge-utils isc-dhcp-server radvd libnl-3-dev pkg-config

Rückfrage mit “J” bestätigen

Um welche Paket handelt es sich?

• vnstat monitort den Netzwerktraffic
• vnstati erzeugt daraus Grafiken
• lighttpd stellt diese zum Abruf bereit
• gdebi-core ermöglicht uns die Installation des Check_mk Agents
• xinetd ist der bei Debian übliche Super-Daemon, über ihn wird der Check_mk Agent angesprochen
• Fastd baut Tunnelverbindungen zu den Routern auf
• build-essential wird zum kompilieren von Batman benötigt
• bridge-utils (brctl) steuert Netzwerkbrücken
• isc-dhcp-server (dhcpd3) verteilt IPv4 Adressen
• radvd verteilt die IPv6 Range
• git wird für die Konfigurationsscripte benötigt
• libnl-3-dev wird für batman benötigt
• pkg-config wird für batctl benötigt

Batman kompilieren¶

Batman kann man bei http://www.open-mesh.org/projects/open-mesh/wiki/Download herunterladen

cd ~
wget http://downloads.open-mesh.org/batman/stable/sources/batman-adv/batman-adv-2016.0.tar.gz
tar -xf batman-adv-2016.0.tar.gz
cd batman-adv-2016.0
make
sudo make install

Batctl kompilieren¶

cd ~
sudo wget https://downloads.open-mesh.org/batman/stable/sources/batctl/batctl-2016.0.tar.gz
tar -xf batctl-2016.0.tar.gz
cd batctl-2016.0
make
sudo make install

Batman Kernelmodul eintragen¶

Damit das Batman Kernelmodul beim boot geladen wird müssen wir es noch in die /etc/modules eintragen.

Mehr infos gibt es im ubuntuusers wiki https://wiki.ubuntuusers.de/Kernelmodule#start

sudo nano /etc/modules

# /etc/modules: kernel modules to load at boot time.
#
# This file contains the names of kernel modules that should be loaded
# at boot time, one per line. Lines beginning with "#" are ignored.
batman-adv

Fastd einrichten¶

• Verzeichnis für die Fastd Instanz anlegen
• Dummyverzeichnis für Clients anlegen
• fastd.conf erstellen

sudo mkdir -p /etc/fastd/client/dummy
cd /etc/fastd/client
sudo nano fastd.conf

bind any:10000 default ipv4;
include "secret.conf";
include peers from "dummy";
interface "tap0";
log level info;
mode tap;
method "salsa2012+umac";
peer limit 200;
mtu 1406;
secure handshakes yes;
log to syslog level verbose;
status socket "/run/fastd.client.sock";

on up "
                ip link set address 04:EE:EF:CA:FE:3A dev tap0
                ip link set up tap0
                /usr/local/sbin/batctl -m bat0 if add $INTERFACE
                ip link set address 02:EE:EF:CA:FE:FF:3A dev bat0
                ip link set up dev bat0
                brctl addif br0 bat0
                /usr/local/sbin/batctl -m bat0 it 5000
                /usr/local/sbin/batctl -m bat0 bl 0
                /usr/local/sbin/batctl -m bat0 gw server 48mbit/48mbit
                /usr/local/sbin/batctl -m bat0 vm server
";

on verify "/etc/fastd/client/blacklist.sh $PEER_KEY";

Nun das Blacklist-Script anlegen.

sudo nano /etc/fastd/client/blacklist.sh

Mit Inhalt:

#!/bin/bash
PEER_KEY=$1
echo peer "$PEER_KEY" joining
if /bin/grep -Fq $PEER_KEY /etc/fastd/client/fastd-blacklist.json; then
exit 1
else
exit 0
fi

dann die Datei ausführbar machen

sudo chmod +x  /etc/fastd/client/blacklist.sh

Und schließlich eine Dummy-Datei anlegen

sudo nano /etc/fastd/client/fastd-blacklist.json

dort hinein

{
"peers":
[
{
"pubkey":"0004df72c02827333bced7680acaf38f36b09597c55241571e90637465831000",
}
]
}

Den Editor wieder verlassen und nun einen fastd Key erzeugen, der in passender Syntax in “secret.conf” abgelegt wird.

sudo fastd --generate-key > secret.conf

In der Datei secret.conf müssen dann manuell Änderungen vorgenommen werden: Die Zeile mit ‘Public’ muss mit ‘#’ auskommentiert werden, die Zeile ‘Secret’ muss angepasst werden.

sudo nano secret.conf

secret "xxx...";
#Public: ...

Hinzufügen einer Schnittstelle eth1¶

Nun muss im Proxmox für die VM eine eth1 hinzugefügt werden, die auf der vmbr1 hängt und Virtio verwendet.

Danach die VM einmal durchbooten.

Verbindung zwischen Supernode und Konzentrator konfigurieren¶

sudo mkdir -p /opt/eulenfunk
cd /opt/eulenfunk
sudo git clone https://github.com/eulenfunk/supernode.git
cd supernode
sudo chmod +x *.sh
sudo chmod +x *.py

sudo nano /opt/eulenfunk/supernode/supernode.config

SUPERNODE_IPV6_PREFIX=2a03:2260:X:Y::/56
SUPERNODE_IPV4_CLIENT_NET=172.19.0.0/16
SUPERNODE_IPV4_TRANS_ADDR=172.31.254.1

cd /opt/eulenfunk/supernode
sudo ./supernode-setup.sh

Ausgaben in:
        interfaces.eulenfunk
        dhcpd.conf.eulenfunk
        radvd.conf.eulenfunk
        20-ff-config.conf.eulenfunk

sudo cp dhcpd.conf.eulenfunk /etc/dhcp/dhcpd.conf
sudo cp radvd.conf.eulenfunk /etc/radvd.conf
sudo cp 20-ff-config.conf.eulenfunk /etc/sysctl.d/20-ff-config.conf

sudo cat interfaces.eulenfunk >> /etc/network/interfaces

sudo nano /etc/rc.local

#!/bin/sh -e
#
# rc.local
#
# This script is executed at the end of each multiuser runlevel.
# Make sure that the script will "exit 0" on success or any other
# value on error.
#
# In order to enable or disable this script just change the execution
# bits.
#
# By default this script does nothing.

/opt/eulenfunk/supernode/supernode-rc.sh

exit 0

Check_MK Agent installieren¶

Den Check_MK Agent steht in der Weboberfläche des Check_MK als .deb Paket bereit:

In die CheckMK-Instanz per Webbrowser einloggen. Dann suchen:

-> WATO Configuration (Menü/Box)
-> Monitoring Agents
-> Packet Agents
-> check-mk-agent_1.2.8p1-1_all.deb _(Beispiel)_

Den Download-Link in die Zwischenablage kopieren. Im SSH-Terminal nun eingeben: (die Download-URL ist individuell und der Name des .deb-Paketes ändert sich ggf.)

wget --no-check-certificate \
https://monitoring.freifunk-mk.de/heimathoster/check_mk/agents/check-mk-agent_1.2.8p1-1_all.deb

Um das .deb Paket zu installieren wird gdebi empfohlen, ausserdem benötigt der Agent xinetd zum Ausliefern der Monitoring Daten.

Per SSH auf dem Server. (Auch hier: Name des .deb-Files ggf. anpassen)

sudo gdebi check-mk-agent_1.2.8p1-1_all.deb

Anschließend noch das Supernode-Plugin hinzufügen:

cd /usr/lib/check_mk_agent/local
sudo wget -O supernode https://raw.githubusercontent.com/eulenfunk/check_mk/master/supernode
sudo chmod 755 supernode
sudo chmod +x supernode

Der Rechner hält ab nun Daten zum Abruf bereit.

JJX Bescheid sagen, der kümmert sich dann darum.

Danach den Supernode rebooten.

Hier eine grafische Übersicht über die beteiligten Konfigurationsdateien auf dem Supernode:

cd /opt/eulenfunk/konzentrator/config
sudo nano meinestadt-1

# Beschreibender Name "stadt-N"
SUPERNODE_NAME=meinestadt-1

# Soll die Netzwerkkonfiguration automatisch beim Systemstart gesetzt werden
AUTOSTART=1

# IPv4 Konfiguration
SUPERNODE_CLIENT_IPV4_NET=<IPv4 Netz fuer die Clients, 172.XX.0.0/16>
SUPERNODE_TRANS_IPV4_NET=<IPv4 Transit-Netz, 172.31.YYY.0/24>
SUPERNODE_TRANS_IPV4_REMOTE=<Supernode IPv4 eth1 Adresse Transit-Netz, 172.31.YYY.1>

# IPv6 Konfiguration
SUPERNODE_CLIENT_IPV6_NET=<IPv6 Netz fuer die Clients, 2a03:2260:AAAA:BBBB::/64>
SUPERNODE_TRANS_IPV6_NET=<IPv6 Supernetz fuer Transit, 2a03:2260:AAAA:BBBB::/56>
SUPERNODE_TRANS_IPV6_LOCAL=<IPv6 Supernetz lokale Adresse, 2a03:2260:AAAA:BBBB::1>
SUPERNODE_TRANS_IPV6_REMOTE=<IPv6 Supernetz remote Adresse, 2a03:2260:AAAA:BBB::2>

cd /opt/eulenfunk/konzentrator
sudo ./supernode.sh start meinestadt-1

cd /opt/eulenfunk/konzentrator
sudo ./supernode.sh stop meinestadt-1

Benutzerkennwort zurücksetzen¶

Hat man sein Kennwort vergessen, kann man einen anderen Nutzer mit Źugriff auf den Server bitten ein neues Kennwort zu setzen

sudo passwd Meinbenutzername