Netzwerk: Unterschied zwischen den Versionen

aus Metalab, dem offenen Zentrum für meta-disziplinäre Magier und technisch-kreative Enthusiasten.
Wechseln zu: Navigation, Suche
(Netzwerk)
(Details)
(37 dazwischenliegende Versionen von 11 Benutzern werden nicht angezeigt)
Zeile 1: Zeile 1:
=Netzwerk=
+
= Netzwerk =
  
In letzter Zeit funktioniert das Netzwerk sehr Instabil, das ist bekannt, und auch mehrmaliges Beschweren hilft dem nicht weiter.  
+
Für Enduser:
 +
* Es gibt jede Menge [[Wlan|W-LAN]] und auch einige Netzwerkbuchsen. Hurra!
  
Was getan werden kann um eine vernünftige Anbindung über Funkfeuer hinzubringen:
+
== Generell ==
 +
Jeder, der am Netzwerk mitwerken will, kann gern IRL auf uns zu kommen.
  
*Viel Geld investieren (500-1000Eur wohl eher gegen letzteres) um einen Guten Knoten aufzubauen, mit einem Vernünftig montierten Masten und einer 5Ghz Linkstrecke zum Vivi.
+
== Ansprechpersonen ==
*Weniger Geld investieren um den Masten vernünftig aufzubauen und punkt 3 zu machen
+
* [[User:fin|fin]]
*Die Linksysen sowohl vom Metalab als auch das Gegenstück im Vivi abmontieren mit einer aktuellen Freifunk Firmware Flashen, wieder montieren und die Antennen fein justieren.
+
  
Der Knoten wie er jetzt steht wurde schnell in einem Nachmittag aufgebaut um die Easterhegg mit Netz zu versorgen, es wurde nie erwartet, dass dieser zuverlässig über längere Zeit funktioniert.
+
== Details ==
 
+
* [[Netzwerk/Adressen|Adressen]]
=Generell=
+
* [[Netzwerk/VLANs|VLANs]]
 
+
* [[Netzwerk/Verkabelung|Verkabelung]]
==Ansprechpersonen==
+
* [[Netzwerk/Services]]
 
+
*[[User:Mihi|Mihi]] Für den Uplink
+
 
+
==Änderungen bei SIP/VoIP Phones==
+
 
+
wenn ihr ein SIP Phone ins netz haengt, waere es sinnvoll, dem ne fixe IP zuzuweisen und das nat mit
+
einem statischen ephemeral port einzurichten, da es sonst bei viel traffic (==viele user) zu problemen
+
kommen kann. also das NOC/NSC darauf ansprechen.
+
 
+
=Aufbau=
+
 
+
Derzeit noch klein, bestehend aus:
+
*[[nacl]] (OpenBSD 3.8 mit dhcpd, ftpd, ntpd und caching-dns), die 10.42.23.0/24 auf 193.238.156.8 (metagw.funkfeuer.at) nattet
+
*einem hauptswitch im Maschinenraum,
+
**von dort 2 CAT5 Kabel Richtung Hauptraum;
+
***1es (war frueher in der Kueche, jetzt am Sicherungskasten) in die linksys von [[User:Lynx|Lynx]] (eh@metalab,dhcp v. nacl)
+
***1es quer ueber den Raum Richtung Fenster.
+
 
+
 
+
==Schematics==
+
[[Image:Metalab netmap 03042006.png|thumb|right|250px|Graphische Version des Ganzen]]
+
<pre>
+
 
+
 
+
((0xFF))      ((0xFF))
+
((.))        ((.))
+
  |            |
+
  \|/          \|/ 
+
  V            V
+
  |            |
+
+----------  +--------+
+
|metatovivi| |metaomni|
+
+----------+ +--------+ 
+
  |        |
+
  +----------
+
  |
+
  |             
+
  |193.238.156.0/22
+
  | olsr          ---
+
  |                |
+
  |193.238.156.8    |
+
  |  +------+      |      \        /
+
  +--+ nacl +-------+        +-------+
+
  xl0+------+rl0    +--------+linksys|
+
                    |        +-------+ ssid eh@metalab
+
                    |
+
                    |
+
                    |
+
                    |  +--------+
+
                    +---+ ph0ne1 | 10.42.23.23
+
                    |  +--------+
+
                    |
+
                    |
+
                    | 10.42.23.0/24                 
+
                    ---
+
 
+
</pre>
+
 
+
=Funktion=
+
 
+
ab hier kann's langweilig werden
+
 
+
==Generell==
+
 
+
wir filtern keinen traffic - wir natten nur und shapen den Traffic ein wenig
+
 
+
==Traffic Shaping==
+
 
+
Den einzigen Eingriff den wir uns im Netzwerkbereich erlauben ist das "hoeher priorisieren" von Packeten in der Queue am Gateway - wir regulieren den Verkehr um uns - aus Netzwerksicht - wichtigeren Protokollen den Vorzug vor anderen zu geben; klingt gemein, isses aber nicht; lies die nachfolgende Aufstellung und versuchs zu verstehen. Was wir hoeher priorisieren als Surfen, Chatten, Mails lesen und saugen (und den Rest):
+
 
+
*OLSR - das Routingprotokoll, das den Uplink ins Internet ueber 0xFF ueberhaupt erst moeglich macht ist.
+
*DNS - ohne DNS kannste gar nix. nix. ausser du denkst in IP Adressen, dann haelst du diese Priorisierung fuer ueberzogen ;)
+
*NTP - wir synchronisieren unser Gateway mit zuverlaessigen Zeitgebern - sehr wichtig um im Fehlerfall exakte Zeitstempel zu haben. Auch du kannst deinen Rechner mit 10.42.23.254 synchronisieren, wenn du im metalab bist.
+
*SSH - kommen wir nicht aufs Gateway ist das schlecht. Du kannst, z.B. via ssh auf deine Kiste zuhause - also ist das auch gut fuer dich.
+
*SIP - damit immer telefoniert werden kann
+
+
hast du sonst noch Ideen, wirf sie im NOC ein. Grundsaetzlich erscheinen uns aber nur obige Protokolle  lebenswichtig.
+
 
+
==Operations ==
+
 
+
folgende Datein gibts, die als Regelwerke herangezogen werden koennen:
+
<pre>
+
# ls -al /etc/pf* 
+
-rw-------  1 root  wheel  1168 May  1 11:57 /etc/pf-altq.conf
+
-rw-------  1 root  wheel  1180 May  1 12:02 /etc/pf.conf
+
-rw-------  1 root  wheel    914 May  1 11:57 /etc/pf.conf.orig
+
</pre>
+
 
+
*/etc/pf-altq.conf: hier werden Trafficpriorisierungen editiert und getestet, bevor die Date ueber
+
*/etc/pf.conf kopiert wird, die das derzeit aktive Ruleset darstellt; das letztgueltige (also funktionierende) Ruleset ist
+
*/etc/pf.conf.orig - wenn das ueber pf.conf kopiert wird und aktiv ist, funktioniert alles so wie vorher.
+
 
+
 
+
wenn Aenderungen passieren sollen, gehe wie folgt vor:
+
 
+
*kopiere bitte /etc/pf.conf nach /etc/pf-<insert tag>.conf und editiere die entstehende Datei.
+
*danach guckst du ob mit ''pfctl -nf /etc/pf-<insert date tag>.conf'' ob die Syntax stimmt.
+
*dann verwendest du dein Ruleset als aktives mit ''pfctl -f /etc/pf-<insert date tag>.conf'', laesst es laufen und schaust ob alles geht (red mit den Leuten)
+
*erst wenn du dir sicher bist das alles gut ist, kopierst du das letzt-aktive nach /etc/pf.conf.orig, kopierst dein /etc/pf-<insert date tag>.conf nach ''/etc/pf.conf'' und enablest es mit ''pfctl -f /etc/pf.conf''
+
 
+
bitte Kommentiere was du getan hast. Nur dann weigern sich die Leute nicht, dir zu helfen ;)
+
 
+
==aktives Ruleset==
+
 
+
hier das derzeit aktive ruleset:
+
 
+
<pre>
+
 
+
TRANSLATION RULES:
+
nat on xl0 inet proto udp from 10.42.23.23 to any -> 193.238.156.8 static-port
+
nat on xl0 inet from 10.42.23.0/24 to any -> 193.238.156.8
+
 
+
FILTER RULES:
+
scrub in all fragment reassemble
+
pass in all
+
pass out log quick on xl0 inet proto udp from any to any port = domain keep state queue infra
+
pass out log quick on xl0 inet proto udp from any to any port = ntp keep state queue infra
+
pass out log quick on xl0 inet proto udp from any to any port = 698 keep state queue infra
+
pass out log quick on xl0 inet proto udp from any to any port = sip keep state queue infra
+
pass out log quick on xl0 inet proto tcp from any to any port = ssh keep state queue infra
+
pass out log all
+
 
+
ALTQ:
+
queue infra priority 14 priq( red )
+
queue rest priority 10 priq( default )
+
</pre>
+
  
 
[[Kategorie:Dokumentation]]
 
[[Kategorie:Dokumentation]]
 +
[[Kategorie:Netzwerk]]

Version vom 31. Oktober 2010, 21:53 Uhr

Netzwerk

Für Enduser:

  • Es gibt jede Menge W-LAN und auch einige Netzwerkbuchsen. Hurra!

Generell

Jeder, der am Netzwerk mitwerken will, kann gern IRL auf uns zu kommen.

Ansprechpersonen

Details