Projekte/Housing/Server-OOB: Unterschied zwischen den Versionen

Aus FunkFeuer Wiki
Zur Navigation springen Zur Suche springen
K (Neue Kontaktemailadresse housing-ticket@... eingetragen)
 
(3 dazwischenliegende Versionen von einem anderen Benutzer werden nicht angezeigt)
Zeile 5: Zeile 5:
== Einrichtung des Servers ==
== Einrichtung des Servers ==


# OOB-Interface des Serves konfigurieren (siehe unten).
* MAC-Adresse des OOB-Ports notieren.
# OOB-Port des Servers am Switch anschließen: Am Switch sind die OOB-Ports klar gekennzeichnet. Port notieren und im Housing-Frontend eintragen (Feld "Description").
* OOB-Interface des Serves konfigurieren.
# Es schadet auch nicht, die MAC-Adresse des OOB-Ports des eigenen Servers zu kennen und zu notieren.
** Adresskonfiguration: automatisch (IPv6: SLAAC/DHCP/RA; IPv4: DHCP)
 
** Gateway, DNS, NTP: 2a02:60:1:204::1, 192.168.204.1 (wird auch per DHCP mitgegeben)
== Netzwerkeinstellungen ==
* OOB-Port des Servers am Switch anschließen: Am Switch sind die OOB-Ports gekennzeichnet. Port notieren und im Housing-Frontend eintragen (Feld "Description").
 
* Adresskonfiguration: automatisch (IPv6: SLAAC/DHCP/RA; IPv4: DHCP)
* DNS: 2a02:60:1:204::1, 192.168.204.1 (wird auch per DHCP mitgegeben)
* NTP: 2a02:60:1:204::1, 192.168.204.1 (wird auch per DHCP mitgegeben)


== Einrichtung VPN ==
== Einrichtung VPN ==


* Die VPN-Software [https://www.wireguard.com/install/ WireGuard] installieren.
* Die VPN-Software [https://www.wireguard.com/install/ WireGuard] installieren.
* Ein Schlüsselpaar erstellen, z.B. mit
* Ein [https://www.wireguard.com/quickstart/#key-generation Schlüsselpaar erstellen], z.B. mit
  $ wg genkey | tee privatekey | wg pubkey > publickey
  $ wg genkey | tee privatekey | wg pubkey > publickey
* Den privaten Teil notieren
* Den privaten Teil notieren
* Folgendes an [mailto:housing@funkfeuer.at housing@funkfeuer.at] mailen:
* Folgendes an [mailto:housing-ticket__AT__funkfeuer.at housing-ticket__AT__funkfeuer.at] mailen:
# Den öffentlichen Teil des Schlüssels
# Den öffentlichen Teil des Schlüssels
# Die Nummer Eures Servers
# Die Nummer Eures Servers
Zeile 27: Zeile 23:
* Ihr bekommt anschließend eine WireGuard-Config, in die Ihr den privaten Teil einträgt retour sowie die zugeteilte IP-Adresse Eures Servers.
* Ihr bekommt anschließend eine WireGuard-Config, in die Ihr den privaten Teil einträgt retour sowie die zugeteilte IP-Adresse Eures Servers.


Der Prozess ist momentan noch recht manuell. Es besteht die Absicht, das Ganze in das Housing-Frontend zu integrieren und soweit es geht zu automatisieren. Fragen? [mailto:housing@funkfeuer.at housing@funkfeuer.at] hilft gerne.
Der Prozess ist momentan noch recht manuell. Es besteht die Absicht, das Ganze in das Housing-Frontend zu integrieren und soweit es geht zu automatisieren. Fragen? [mailto:housing-ticket__AT__funkfeuer.at housing-ticket__AT__funkfeuer.at] hilft gerne.


== Firewall ==
== Firewall ==

Aktuelle Version vom 15. Juni 2020, 07:01 Uhr

Einführung

Viele Server beherbergen ein OOB-Modul (OOB = out-of-band), das administrativen Zugriff ähnlich einer lokalen Konsole bietet, auch wenn der Server ausgeschaltet oder "hängen geblieben" ist. Hersteller haben sich dafür so klingende Namen wie CIMC und iLO ausgedacht, auch der generische Begriff IPMI begegnet einem öfter. Wir bieten die Möglichkeit, den eigenen Server zusätzlich an ein getrenntes OOB-Netz anzuschließen. Der Grund für ein separates Netz ist, dass die OOB-Module der Server nicht immer durch Hersteller und Admin so gewartet werden, wie sie sollten, sprich: oft steinalt sind und dadurch nicht direkt aus dem Internet erreichbar sein sollten. Der Zugriff auf dieses Netz erfolgt stattdessen per VPN.

Einrichtung des Servers

  • MAC-Adresse des OOB-Ports notieren.
  • OOB-Interface des Serves konfigurieren.
    • Adresskonfiguration: automatisch (IPv6: SLAAC/DHCP/RA; IPv4: DHCP)
    • Gateway, DNS, NTP: 2a02:60:1:204::1, 192.168.204.1 (wird auch per DHCP mitgegeben)
  • OOB-Port des Servers am Switch anschließen: Am Switch sind die OOB-Ports gekennzeichnet. Port notieren und im Housing-Frontend eintragen (Feld "Description").

Einrichtung VPN

$ wg genkey | tee privatekey | wg pubkey > publickey
  1. Den öffentlichen Teil des Schlüssels
  2. Die Nummer Eures Servers
  3. Die MAC-Adresse des Management-Ports Eures Servers
  • Ihr bekommt anschließend eine WireGuard-Config, in die Ihr den privaten Teil einträgt retour sowie die zugeteilte IP-Adresse Eures Servers.

Der Prozess ist momentan noch recht manuell. Es besteht die Absicht, das Ganze in das Housing-Frontend zu integrieren und soweit es geht zu automatisieren. Fragen? housing-ticket__AT__funkfeuer.at hilft gerne.

Firewall

  • Verbindungen, die von innen (OOB-Netz) nach außen (Internet) initiiert wurden, werden zugelassen, damit Updater etc. funktionieren.
  • Verbindungen von außen (Internet) nach innen (OOB-Netz) werden blockiert.