|
|
(54 dazwischenliegende Versionen von 19 Benutzern werden nicht angezeigt) |
Zeile 1: |
Zeile 1: |
| =Netzwerk= | | [[Datei:Netzwerkschrank.jpg|300px|thumb|right|viele bunte Kabel]] |
| | = Netzwerk = |
|
| |
|
| =Generell=
| | Für Enduser: |
| | * Es gibt jede Menge [[Wlan|W-LAN]] und auch einige Netzwerkbuchsen. Hurra! |
|
| |
|
| ==Ansprechpersonen== | | == Generell == |
| | Jede*r, der*die am Netzwerk mitwerken will, kann gern IRL auf uns zu kommen oder die Ansprechpersonen via digitalem Messenger kontaktieren. |
| | <br> |
| | BITTE! Wenn euer Projekt eine statische IP benötigt dann verwendet bitte nicht 10.20.31-32.X/16 sondern 10.20.30.0/16 oder 10.20.35-37.X/16. |
|
| |
|
| *[[User:Teemu|Teemu]]
| | == Hilfe bei Netzwerkproblemen und Fragen == |
| *[[User:Mihi|Mihi]] Für den Uplink
| | Bitte wende dich bei Fragen oder Problemen zum Thema Netzwerk an die Mitglieder in unserem [https://matrix.to/#/#metalab:matrix.org Metalab Matrix Raum]. |
|
| |
|
| ==Änderungen bei SIP/VoIP Phones== | | == Ansprechpersonen == |
| | * [[User:Hetti|Hetti]] |
| | * [[User:Datacop|Datacop]] |
|
| |
|
| wenn ihr ein SIP Phone ins netz haengt, waere es sinnvoll, dem ne fixe IP zuzuweisen und das nat mit
| | == Details == |
| einem statischen ephemeral port einzurichten, da es sonst bei viel traffic (==viele user) zu problemen
| | * [[Netzwerk/Adressen|Adressen]] |
| kommen kann. also das NOC/NSC darauf ansprechen.
| | * [[Netzwerk/IPv6|IPv6]] |
| | * [[Netzwerk/VLANs|VLANs]] |
| | * [[Netzwerk/Verkabelung|Verkabelung]] |
| | * [[Netzwerk/Services|Services]] |
|
| |
|
| =Aufbau=
| | [[Kategorie:Netzwerk]] |
| | |
| Derzeit noch klein, bestehend aus:
| |
| *[[nacl]] (OpenBSD 3.8 mit dhcpd, ftpd, ntpd und caching-dns), die 10.42.23.0/24 auf 193.238.156.8 (metagw.funkfeuer.at) nattet
| |
| *einem hauptswitch im Maschinenraum,
| |
| **von dort 2 CAT5 Kabel Richtung Hauptraum;
| |
| ***1es (war frueher in der Kueche, jetzt am Sicherungskasten) in die linksys von [[User:Lynx|Lynx]] (eh@metalab,dhcp v. nacl)
| |
| ***1es quer ueber den Raum Richtung Fenster.
| |
| | |
| | |
| ==Schematics==
| |
| | |
| <pre>
| |
| | |
| | |
| ((0xFF)) ((0xFF))
| |
| ((.)) ((.))
| |
| | |
| |
| \|/ \|/
| |
| V V
| |
| | |
| |
| +---------- +--------+
| |
| |metatovivi| |metaomni|
| |
| +----------+ +--------+
| |
| | |
| |
| +----------
| |
| |
| |
| |
| |
| |193.238.156.0/22
| |
| | olsr ---
| |
| | |
| |
| |193.238.156.8 |
| |
| | +------+ | \ /
| |
| +--+ nacl +-------+ +-------+
| |
| xl0+------+rl0 +--------+linksys|
| |
| | +-------+ ssid eh@metalab
| |
| |
| |
| |
| |
| |
| |
| | +--------+
| |
| +---+ ph0ne1 | 10.42.23.23
| |
| | +--------+
| |
| |
| |
| |
| |
| | 10.42.23.0/24
| |
| ---
| |
| | |
| </pre>
| |
| | |
| =Funktion=
| |
| | |
| ab hier kann's langweilig werden
| |
| | |
| ==Generell==
| |
| | |
| wir filtern keinen traffic - wir natten nur und shapen den Traffic ein wenig
| |
| | |
| ==Traffic Shaping==
| |
| | |
| Den einzigen Eingriff den wir uns im Netzwerkbereich erlauben ist das "hoeher priorisieren" von Packeten in der Queue am Gateway - wir regulieren den Verkehr um uns - aus Netzwerksicht - wichtigeren Protokollen den Vorzug vor anderen zu geben; klingt gemein, isses aber nicht; lies die nachfolgende Aufstellung und versuchs zu verstehen. Was wir hoeher priorisieren als Surfen, Chatten, Mails lesen und saugen (und den Rest):
| |
| | |
| *OLSR - das Routingprotokoll, das den Uplink ins Internet ueber 0xFF ueberhaupt erst moeglich macht ist.
| |
| *DNS - ohne DNS kannste gar nix. nix. ausser du denkst in IP Adressen, dann haelst du diese Priorisierung fuer ueberzogen ;)
| |
| *NTP - wir synchronisieren unser Gateway mit zuverlaessigen Zeitgebern - sehr wichtig um im Fehlerfall exakte Zeitstempel zu haben. Auch du kannst deinen Rechner mit 10.42.23.254 synchronisieren, wenn du im metalab bist.
| |
| *SSH - kommen wir nicht aufs Gateway ist das schlecht. Du kannst, z.B. via ssh auf deine Kiste zuhause - also ist das auch gut fuer dich.
| |
| *SIP - damit immer telefoniert werden kann
| |
|
| |
| hast du sonst noch Ideen, wirf sie im NOC ein. Grundsaetzlich erscheinen uns aber nur obige Protokolle lebenswichtig.
| |
| | |
| ==Operations ==
| |
| | |
| folgende Datein gibts, die als Regelwerke herangezogen werden koennen:
| |
| <pre>
| |
| # ls -al /etc/pf*
| |
| -rw------- 1 root wheel 1168 May 1 11:57 /etc/pf-altq.conf
| |
| -rw------- 1 root wheel 1180 May 1 12:02 /etc/pf.conf
| |
| -rw------- 1 root wheel 914 May 1 11:57 /etc/pf.conf.orig
| |
| </pre>
| |
| | |
| */etc/pf-altq.conf: hier werden Trafficpriorisierungen editiert und getestet, bevor die Date ueber
| |
| */etc/pf.conf kopiert wird, die das derzeit aktive Ruleset darstellt; das letztgueltige (also funktionierende) Ruleset ist
| |
| */etc/pf.conf.orig - wenn das ueber pf.conf kopiert wird und aktiv ist, funktioniert alles so wie vorher.
| |
| | |
| | |
| wenn Aenderungen passieren sollen, gehe wie folgt vor:
| |
| | |
| *kopiere bitte /etc/pf.conf nach /etc/pf-<insert tag>.conf und editiere die entstehende Datei.
| |
| *danach guckst du ob mit ''pfctl -nf /etc/pf-<insert date tag>.conf'' ob die Syntax stimmt.
| |
| *dann verwendest du dein Ruleset als aktives mit ''pfctl -f /etc/pf-<insert date tag>.conf'', laesst es laufen und schaust ob alles geht (red mit den Leuten)
| |
| *erst wenn du dir sicher bist das alles gut ist, kopierst du das letzt-aktive nach /etc/pf.conf.orig, kopierst dein /etc/pf-<insert date tag>.conf nach ''/etc/pf.conf'' und enablest es mit ''pfctl -f /etc/pf.conf''
| |
| | |
| bitte Kommentiere was du getan hast. Nur dann weigern sich die Leute nicht, dir zu helfen ;)
| |
| | |
| ==aktives Ruleset==
| |
| | |
| hier das derzeit aktive ruleset
| |
| | |
| <pre>
| |
| | |
| TRANSLATION RULES:
| |
| nat on xl0 inet proto udp from 10.42.23.23 to any -> (xl0) round-robin static-port
| |
| nat on xl0 inet from 10.42.23.0/24 to any -> (xl0) round-robin
| |
| | |
| FILTER RULES:
| |
| scrub in all fragment reassemble
| |
| pass in all
| |
| pass out log quick on xl0 inet proto udp from any to any port = domain keep state queue infra
| |
| pass out log quick on xl0 inet proto udp from any to any port = ntp keep state queue infra
| |
| pass out log quick on xl0 inet proto udp from any to any port = 698 keep state queue infra
| |
| pass out log quick on xl0 inet proto udp from any to any port = sip keep state queue infra
| |
| pass out log quick on xl0 inet proto tcp from any to any port = ssh synproxy state queue infra
| |
| pass out log all
| |
| | |
| ALTQ:
| |
| queue infra priority 14 priq( red )
| |
| queue rest priority 10 priq( default )
| |
| </pre>
| |
| | |
| [[Kategorie:Dokumentation]] | |