Das Netzwerk in der Riesaer Str. 32
Vous ne pouvez pas sélectionner plus de 25 sujets Les noms de sujets doivent commencer par une lettre ou un nombre, peuvent contenir des tirets ('-') et peuvent comporter jusqu'à 35 caractères.
Astro f54fa47fd8 upstream4: add forwardPorts for jabber coturn il y a 3 heures
doc doc: dev env il y a 6 mois
nix upstream4: add forwardPorts for jabber coturn il y a 3 heures
openwrt openwrt: add tl-wr841-v{8,10,11} .config il y a 12 mois
salt switches/linksys-srw2048: do never deconfigure vlans il y a 4 semaines
salt-pillar hosts: fix jabber.serv ipv6 il y a 1 jour
.gitignore doc fixes il y a 5 ans
README.md README: doc cold standby il y a 2 mois
cabling.md switch-b2: deploy ap56 il y a 6 mois
contact.md.asc deploy priv40 il y a 8 mois
flake.lock flake.lock: update il y a 1 mois
flake.nix nixos-module/server/defaults: enable IPMI monitoring with collectd from nixpkgs-master il y a 2 mois
security.md more of the good stuff il y a 5 ans
subnets.md priv35, priv42: fix subnets il y a 1 mois

README.md

Netzwerk im Zentralwerk

Begrüßung von Menschen im Haus, die für ihren Anschluss Zugang zum Netzwerk brauchen

Zweck

Das Zentralwerk ist ein Gebäude, das bestmöglich vernetzt sein soll. Das beginnt mit der Bereitstellung vom Zugang zum Internet, reicht über das isolierte Zusammenführen von einzelnen Anschlüssen und endet mit Angebot von zeitgemäßen Diensten für alle, die das Netz nutzen wollen.

Anstatt irgendwie rumzukonfigurieren, soll es eine Nachvollziehbarkeit (Reproduzierbarkeit) der gemachten Einstellungen geben. Mit der Transparenz soll es möglich sein, dass das Netzwerk möglichst einfach verwaltet werden kann. (Stichworte sind: Zusammenarbeit, Wiederherstellbarkeit, Teilhabe, Mitmachen, Nachahmen, …)

Öffentlichkeit

Warum ist das alles einsehbar? Für maximale Transparenz! Wir sind kein Unternehmen das Geheimnisse schützen muss. Stattdessen wollen wir freie Kommunikation für alle!

Wie werden die (wenigen) persönlichen Daten "öffentlich" verwaltet? Mit entsprechender Verschlüsselung! Wir, ein kleiner Kreis von Menschen die das Netzwerk im Zentralwerk betreuen, haben dafür einen Geheimschlüssel. Im Übrigen behandeln wir gleichermaßen sicher die "heiligen" Zugangsdaten für die Geräte (und andere für den Betrieb wichtigen Instanzen).

Informationen für Lebewesen, die das Netzwerk mit verwalten

Inhaltsverzeichnis

Nixification Roadmap

  • Einlesen der Salt-Daten in Nix
  • Containererstellung
  • Migration der Container
  • device-scripts auf Site Config umstellen
  • Site Config ohne Entschlüsselung dumpen, Salt-Daten löschen

Development Setup

Get Nix with Flakes first:

nix-shell -p nixFlakes

To test-drive a server, run in a checkout of this repository:

nix run .#server2-vm

Login as root with an empty password. Use build-container $(ls -1 /etc/lxc/containers) to build and start the required containers.

If you encounter too many open files errors, bump limits for virtio with ulimit -n 524288 before starting QEMU.

For development purposes build-container can pick up container rootfs built outside QEMU when the container's prebuilt option is set.

Gerätekonfigurationen

nix build .#all-device-scripts
./result/bin/...

Server Setup

ssh root@server2.cluster.zentralwerk.org

Ein Checkout dieses Repositorys liegt in ~/network. Dorthin zeigt auch /etc/nixos so dass nixos-rebuild switch problemlos klappt. Ausserdem ist dieser lokale Checkout in der nix registry eingetragen, was von bspw. von build-container verwendet wird.

Der Flake-input zentralwerk-network-key ist mit einem lokalen Repository überschrieben, weshalb die flake.lock dirty ist.

LXC-Containers auf Server

Ein Server erwartet die für ihn (location = hostName) konfigurierten Container. systemd versucht sie zu starten. Das wird erst nach build-container funktionieren, welches das Rootfs anlegt.

Management per systemd-Service lxc@.service. Beispiel:

systemctl start lxc@pub-gw
lxc-attach -n pub-gw

Innerhalb eines Containers gibts erneut systemctl, journalctl, networkctl

Nix Flake

Segfaulting nix? Until resolved, export GC_DONT_GC=1

Site Config

Wir verwenden das Module-System von NixOS eigenständig in nix/lib/config weil:

  • Checks gegen options
  • Nutzbarkeit in Paketen (device-scripts) ausserhalb eines nixos-rebuild
  • Konfigurationsdaten über mehr als 1 Host

nixosConfigurations

Systemkonfigurationen für alle Hosts mit der role "server" oder "container"

nixosModule

Alle NixOS-Einstellungen

server1 als Cold Standby

Was ein Server kann, kann ein anderer auch. Er sollte gelegentlich gebootet und aufgefrischt werden.

Damit die LXC-Container ganz kontrolliert nur auf einem gestartet werden, muss die Datei /etc/start-containers vorhanden sein. Zum Umgang damit gibt es die zwei handlichen Befehle enable-containers und disable-containers.

Dinge die stets schieflaufen

pub-Netz läuft, aber kein DHCP+Internet darüber verfügbar

Eventuell hat uci bei der ap-Konfiguration die Switch-Konfiguration für dieses VLAN nicht in /etc/config/network angelegt.

  • Überprüfen: swconfig dev switch0 show