blg.decon230.org

Automatisierung - Ansible & Gitlab - saubere Syntax im Playbook

2023-03-31T07:20:00+02:00

Für fehlerfreie Syntaxen in Playbooks oder gar das automatische Ausführen von Playbooks bieten sich Tools wie gitlab und gitlab-runner an.

Im folgenden Beispiel sollen nur Playbooks auf die Ansible Control Node (ACN) kopiert werden, welche erfolgreich durch den Syntax-Check von ansible-lint gelaufen sind.

Es werden ein gitlab Server und ein gitlab-runner benötigt. Die ACN sollte bereits vorhanden sein.

gitlab Repo einrichten

Es wird ein Projekt im gitlab eingerichtet, hier nennt es sich “pfsense”.

Das Repo wird per git clone git@10.10.10.97:root/pfsense.git geklont.

Die README.md wird geleert und eingecheckt.

echo "" > README.md
git add *
git commit -m "init"
[main 836cf99] init
 1 file changed, 1 insertion(+), 92 deletions(-)
 rewrite README.md (99%)
git push

gitlab Runner einrichten

Um automatisch bei einem commit die Playbooks auf ihre richtige Syntax zu prüfen, wird ein runner benötigt. Auf diesen muss sämtliche Software für ansible-lint installiert werden. Der Einfachheit halber wird die Software global installiert und nicht im User Kontext.

Runner installieren

Der Runner wird per Shellskript installiert.

curl -L "https://packages.gitlab.com/install/repositories/runner/gitlab-runner/script.rpm.sh" | sudo bash
dnf install gitlab-runner -y

Der Runner muss registriert werden. Dazu wird im gitlab unter Settings-CI/CD der Token ausglesen:

Runner registrieren

Der Runner kann jetzt registriert werden.

gitlab-runner register --url http://10.10.10.97/ --registration-token GR1348941ozPELDfBh6ciKzCNajud

Runtime platform                                    arch=amd64 os=linux pid=2675 revision=dcfb4b66 version=15.10.1
Running in system-mode.                            

Enter the GitLab instance URL (for example, https://gitlab.com/):
[http://10.10.10.97/]:
Enter the registration token:
[GR1348941ozPELDfBh6ciKzCNajud]:
Enter a description for the runner:
[runner3.decon230.org]:
Enter tags for the runner (comma-separated):

Enter optional maintenance note for the runner:

Registering runner... succeeded                     runner=GR1348941ozPELDfB
Enter an executor: virtualbox, docker+machine, instance, custom, docker-ssh, shell, docker-ssh+machine, kubernetes, docker, parallels, ssh:
shell
Runner registered successfully.

Der Runner wird jetzt gestartet.

gitlab-runner start

Nach einiger Zeit sollte der Runner im gitlab Repo auftauchen.

Software auf dem Runner installieren

Damit Playbooks (oder was auch immer an Software, Skripten getestet werden soll) geprüft werden können, wird jetzt ansible-lint auf dem Runner installiert.

dnf module enable python39
alternatives --config python

There are 3 programs which provide 'python'.

  Selection    Command
-----------------------------------------------
*  1           /usr/libexec/no-python
   2           /usr/bin/python3
 + 3           /usr/bin/python3.9

3

pip3 install ansible-core ansible ansible-lint
dnf -y install yamllint
ansible-galaxy collection install pfsensible.core

Pipe einrichten

Jetzt muss eine Pipe im gitlab Repo eingerichtet werden.

Unter *CI/CD->Editor* wird die .gitlab-ci.yml eingerichtet.

stages:  
  - test

unit-test-job:   
  stage: test
  script:
    - echo "Testing Ansible Syntax"
    - ansible-lint pb_pfsense_add_aliases.yml

Anschließend muss das Repo per git pull aktualisiert werden.

Jetzt wird das erste Playbook eingecheckt.

git add *
git commit -m "1st checkin"
[main 696846a] 1st checkin
 1 file changed, 24 insertions(+)
 create mode 100644 pb_pfsense_add_aliases.yml
heiko@jellyfish:~/virtenv/repo/pfsense$ git push
Enumerating objects: 4, done.
Counting objects: 100% (4/4), done.
Delta compression using up to 8 threads
Compressing objects: 100% (3/3), done.
Writing objects: 100% (3/3), 629 bytes | 629.00 KiB/s, done.
Total 3 (delta 0), reused 0 (delta 0), pack-reused 0
To 10.10.10.97:root/pfsense.git
   deda056..696846a  main -> main

Die ersten Jobs werden fehlschlagen.

Folgende Dinge werden von ansible-lint moniert:

Rule Violation Summary                 
count tag               profile  rule associated tags
1 yaml[empty-lines] basic    formatting, yaml     
1 yaml[indentation] basic    formatting, yaml     
1 yaml[truthy]      basic    formatting, yaml     
2 name[casing]      moderate idiom                
Failed after min profile: 5 failure(s), 0 warning(s) on 1 files.

Es handelt sich primär um Formatierungsfehler.

Diese müssen behoben werden, die Datei wird neu eingecheckt.

Anschließend wird der Test-Job erfolgreich durchlaufen.

Runner für Deployment vorbereiten

Damit der Runner die Playbooks auf die ACN kopieren kann, werden SSH-Keys benötigt.

ssh-keygen -t ed25519
Generating public/private ed25519 key pair.
Enter file in which to save the key (/home/gitlab-runner/.ssh/id_ed25519):
Created directory '/home/gitlab-runner/.ssh'.
Enter passphrase (empty for no passphrase):
Enter same passphrase again:
Your identification has been saved in /home/gitlab-runner/.ssh/id_ed25519.
Your public key has been saved in /home/gitlab-runner/.ssh/id_ed25519.pub.

Der SSH Key wird auf die ACN kopiert.

ssh-copy-id ansible@10.10.10.95

Jetzt muss die .gitlab-ci.yml erweitert werden.

stages:  
  - test
  - deploy

unit-test-job:       
  stage: test
  script:
    - echo "Testing Ansible Syntax"
    - ansible-lint *.yml


deploy-job:
  stage: deploy  
  environment: production
  script:
    - echo "Deploying Playbooks"
    - scp -r * ansible@10.10.10.95:/home/ansible

Der Job sollte erfolgreich durchlaufen und die Playbooks auf die ACN kopieren.

[root@ctlnode ~]# tree ~ansible/
/home/ansible/
|-- README.md
`-- pb_pfsense_add_aliases.yml

Damit funktioniert die Verteilung der Playbooks. Jetzt können noch weitere Jobs eingebaut werden, wie bspw. das automatische Ausführen der Playbooks.

Automatisierung - Ansible - pfSense

2023-03-17T12:44:00+01:00

Ansbile ist aktuell das Tool um Netzwerkequipment automatisch konfigurieren zu lassen. Im aktuellen Beispiel wird eine pfSense mittels Playbooks konfiguriert.

Derzeit ist es nicht möglich, virtuelle IPs über Ansible einrichten zu lassen. Clusterkonfigurationen müssen derzeit weiter per Hand eingerichtet werden.

Vorbereitung

Es muss das Modul “pfsensible.core” installiert werden. Ansible muss ebenfalls installiert sein, siehe hier.

Auf der pfSense muss sudo installiert sein.

ansible-galaxy collection install pfsensible.core

Es wird folgende Ordnerstruktur angelegt:

pfsense/
├── ansible.cfg
├── group_vars
│   └── all.yml
├── hosts
├── pb_pfsense_add_aliases.yml
├── pb_pfsense_add_if_pwf01.yml
├── pb_pfsense_add_if_pwf02.yml
├── pb_pfsense_add_if.yml
├── pb_pfsense_add_lab_net.yml
├── pb_pfsense_add_nat.yml
├── pb_pfsense_add_rules.yml
├── pb_pfsense_add_vlans.yml
├── pb_pfsense_del_aliases.yml
├── pb_pfsense_del_if_pwf01.yml
├── pb_pfsense_del_if_pwf02.yml
├── pb_pfsense_del_if.yml
├── pb_pfsense_del_lab_net.yml
├── pb_pfsense_del_nat.yml
├── pb_pfsense_del_rules.yml
└── pb_pfsense_del_vlans.yml

Ziel

Das Ziel ist es, zwei Netze einzurichten, die per VLAN-Tagging an das interne “LAN-Interface” der Firewall angebunden ist. Diese sollen per NAT auf die WAN-IP übersetzt werden, es soll als Start nur Surfen erlaubt sein.

Konfiguration und Inventory

Die Konfiguration von Ansbile sieht wie folgt aus:

[defaults]
inventory=hosts
retry_files_enabled=False
gathering=explicit
host_key_checking=False
action_warnings=False
deprecation_warnings=False
ansible_command_timeout=600
command_timeout=600
ask_pass=True

Das Inventory sieht folgendermaßen aus:

[dmzfirewall]
pf01    ansible_host=10.10.10.50

[dmzfirewall:vars]
ansible_python_interpreter=auto

Der Interpreter muss auf “auto” gesetzt werden, andernfalls bricht Ansible mit Fehlern ab, sobald mehr als ein Objekt eingerichtet wird.

Playbooks

Folgende Playbooks werden erstellt, um Netze anzulegen.

pb_pfsense_add_vlans.yml

Im ersten Schritt werden VLANs angelegt.

Wichtig: die Items müssen im Modul mit doppelten, geschweiften Klammern ({}) geschrieben werden. Dies gilt für alle Playbooks dieses Artikels.

Leider zeigt Jekyll die Notation nicht richtig an.

---
- name: create vlans
  hosts: dmzfirewall
  remote_user: admin
  become: yes
  become_method: sudo
  become_user: root

  tasks:

  - name: create vlans
    pfsensible.core.pfsense_vlan:
      interface: "{ item.if }"
      vlan_id: "{ item.vid }"
      descr: "{ item.descr }"
      state: present

    loop:
      - { if: 'em2', vid: '555', descr: 'LAB_Test55' }
      - { if: 'em2', vid: '556', descr: 'LAB_Test56' }

pb_pfsense_add_if.yml

Jetzt werden Interfaces konfiguriert.

---
- name: create interface pwf01
  hosts: pf01
  remote_user: admin
  become: yes
  become_method: sudo
  become_user: root

  tasks:

  - name: create interface on pwf01
    pfsensible.core.pfsense_interface:
      interface: "{ item.if }"
      ipv4_address: "{ item.ipv4 }"
      ipv4_prefixlen: "{ item.prefixv4 }"
      ipv4_type: static
      descr: "{ item.descr }"
      state: present
      enable: true

    loop:
      - { if: 'em2.555', ipv4: '172.17.55.1', prefixv4: '24', descr: '17_LAB_Test55' }
      - { if: 'em2.556', ipv4: '172.17.56.1', prefixv4: '24', descr: '17_LAB_Test56' }

pb_pfsense_add_aliases.yml

Es werden Aliases angelegt, was das Regelwerk leichter lesbar macht.

---
- name: create aliases
  hosts: dmzfirewall
  remote_user: admin
  become: yes
  become_method: sudo
  become_user: root


  tasks:

  - name: create host alias(es)
    pfsensible.core.pfsense_alias:
      name: "{ item.name }"
      address: "{ item.address }"
      descr: "{ item.descr }"
      type: "{ item.type }"
      state: present

    loop:
      - { name: 'VIP_lab_Test55', address: '172.17.55.1', descr: 'GW IP LAB Test55', type: 'host' }
      - { name: 'VIP_lab_Test56', address: '172.17.56.1', descr: 'GW IP LAB Test56', type: 'host' }
      - { name: 'NET_lab_test55', address: '172.17.55.0/24', descr: 'Netz LAB Test55', type: 'network' }
      - { name: 'NET_lab_test56', address: '172.17.56.0/24', descr: 'Netz LAB Test56', type: 'network' }

pb_pfsense_add_nat.yml

Die Netze werden auf die WAN IP genat’ed. Wichtig: die Outbound NAT muss auf manuell gesetzt sein.

---
- name: create nat
  hosts: dmzfirewall
  remote_user: admin
  become: yes
  become_method: sudo
  become_user: root

  tasks:

  - name: create outbound nat
    pfsensible.core.pfsense_nat_outbound:
      descr: "{ item.descr }"
      interface: "{ item.if }"
      address: "{ item.addr }"
      source: "{ item.source }"
      destination: any
      protocol: any
      before: bottom
      state: present

    loop:
      - { descr: 'NAT_LAB_Test55', if: 'wan', addr: '10.10.10.10', source: '172.17.55.0/24' }
      - { descr: 'NAT_LAB_Test56', if: 'wan', addr: '10.10.10.10', source: '172.17.56.0/24' }

pb_pfsense_add_rules.yml

Jetzt wird das Regelwerk erstellt.

---
- name: create std rule and separators
  hosts: dmzfirewall
  remote_user: admin
  become: yes
  become_method: sudo
  become_user: root

  tasks:

  - name: create icmp rule
    pfsensible.core.pfsense_rule:
      action: pass
      interface: "{ item.if }"
      ipprotocol: inet
      protocol: icmp
      icmptype: echorep, echoreq
      source: "{ item.source }"
      destination: any
      name: permit_ping
      state: present

    with_items:
      - { if: '17_LAB_TEST55', source: 'NET_lab_test55' }
      - { if: '17_LAB_TEST56', source: 'NET_lab_test56' }

  - name: create standard rules
    pfsensible.core.pfsense_rule:
      action: "{ item.action }"
      interface: "{ item.if }"
      ipprotocol: "{ item.ipproto }"
      protocol: "{ item.protocol }"
      source: "{ item.source }"
      destination: "{ item.destination }"
      destination_port: "{ item.dport }"
      name: "{ item.name }"
      state: present

    loop:
      - { action: 'pass', if: '17_LAB_TEST55', ipproto: 'inet', protocol: 'tcp/udp', source: 'NET_lab_test55', destination: 'VIP_lab_Test55', dport: '53', name: 'permit_dns' }
      - { action: 'pass', if: '17_LAB_TEST55', ipproto: 'inet', protocol: 'tcp/udp', source: 'NET_lab_test55', destination: 'grp_DNS_Server', dport: '53', name: 'permit_dns_grp' }
      - { action: 'pass', if: '17_LAB_TEST55', ipproto: 'inet', protocol: 'udp', source: 'NET_lab_test55', destination: 'VIP_lab_Test55', dport: '123', name: 'permit_ntp' }
      - { action: 'pass', if: '17_LAB_TEST55', ipproto: 'inet', protocol: 'udp', source: 'NET_lab_test55', destination: 'grp_NTP_Server', dport: '123', name: 'permit_ntp_grp' }
      - { action: 'pass', if: '17_LAB_TEST55', ipproto: 'inet', protocol: 'tcp', source: 'NET_lab_test55', destination: 'any', dport: 'srv_web_tcp', name: 'permit_http_s' }
      - { action: 'pass', if: '17_LAB_TEST56', ipproto: 'inet', protocol: 'tcp/udp', source: 'NET_lab_test56', destination: 'VIP_lab_Test56', dport: '53', name: 'permit_dns' }
      - { action: 'pass', if: '17_LAB_TEST56', ipproto: 'inet', protocol: 'tcp/udp', source: 'NET_lab_test56', destination: 'grp_DNS_Server', dport: '53', name: 'permit_dns_grp' }
      - { action: 'pass', if: '17_LAB_TEST56', ipproto: 'inet', protocol: 'udp', source: 'NET_lab_test56', destination: 'VIP_lab_Test56', dport: '123', name: 'permit_ntp' }
      - { action: 'pass', if: '17_LAB_TEST56', ipproto: 'inet', protocol: 'udp', source: 'NET_lab_test56', destination: 'grp_NTP_Server', dport: '123', name: 'permit_ntp_grp' }
      - { action: 'pass', if: '17_LAB_TEST56', ipproto: 'inet', protocol: 'tcp', source: 'NET_lab_test56', destination: 'any', dport: 'srv_web_tcp', name: 'permit_http_s' }


  - name: create separator general
    pfsensible.core.pfsense_rule_separator:
      name: General Rules
      color: warning
      interface: "{ item.if }"
      after: top
      state: present

    with_items:
      - { if: '17_LAB_TEST55' }
      - { if: '17_LAB_TEST56' }

  - name: create separator network
    pfsensible.core.pfsense_rule_separator:
      name: Network Rules
      color: info
      interface: "{ item.if }"
      after: permit_ping
      state: present

    with_items:
      - { if: '17_LAB_TEST55' }
      - { if: '17_LAB_TEST56' }

pb_pfsense_add_lab_net.yml

Alle Playbooks werden zusammengefasst.

---
- name: setting vlans
  import_playbook: pb_pfsense_add_vlans.yml

- name: setting ips
  import_playbook: pb_pfsense_add_if.yml

- name: setting alias
  import_playbook: pb_pfsense_add_aliases.yml

- name: setting nat
  import_playbook: pb_pfsense_add_nat.yml

- name: setting rules
  import_playbook: pb_pfsense_add_rules.yml

Damit wurde pfSense mittels Ansible konfiguriert.

Leider gibt es derzeit kein Modul um den DHCP-Server zu aktivieren.

Lediglich statische DHCP-Mappings können per Ansbile eingerichtet werden.

Automatisierung - Ansible - Installation

2023-03-17T12:23:00+01:00

Ansbile ist derzeit das Tool im Bereich Netzwerk, um Abläufe zu automatisieren. Bei den Netzwerkgeräten kommt es auf den jeweiligen Hersteller an, ob dieser unterstützt wird. Sollte der Drang bestehen, das Netzwerk komplett mit Ansible zu autmatisieren, sollte auf jeden Fall darauf geachtet werden, dass der Hersteller offiziell unter Ansible Galaxy vertreten ist.

Ansible Installation

Ansible kann über den Paketmanager des Systems installiert werden, die Version kann jedoch veraltet sein. Ich installiere Ansbile direkt über Python.

heiko@jellyfish:~/virtenv$ python -m venv ansi
heiko@jellyfish:~/virtenv$ cd ansi
heiko@jellyfish:~/virtenv/ansi$ source bin/activate
(ansi) heiko@jellyfish:~/virtenv/ansi$

Als weitere Pakete werden pip-review (Updates der Software) und pip_search (Suche nach Software) installiert.

(ansi) heiko@jellyfish:~/virtenv/ansi$ pip3 install pip-review
(ansi) heiko@jellyfish:~/virtenv/ansi$ pip3 install pip_search

Ein pip_search ansible listet u. a. folgendes Paket auf:

│ 📂 ansible-core       │ 2.13.5      │ 11-10-2022 │ Radically simple IT automation                   │

(ansi) heiko@jellyfish:~/virtenv/ansi$ pip3 install ansible-core

Jetzt ist Ansible installiert. Um Zugriff auf entsprechende Geräte zu erlangen, muss per Ansible Galaxy die entsprechende Kollektion heruntergeladen werden. Beispielsweise für Extreme Network:

(ansi) heiko@jellyfish:~/virtenv/ansi$ ansible-galaxy collection install extreme.exos
(ansi) heiko@jellyfish:~/virtenv/ansi$ ansible-galaxy collection install community.network

(ansi) heiko@jellyfish:~/virtenv/ansi$ ansible-galaxy collection list

Collection        Version
----------------- -------
ansible.netcommon 3.1.3  
ansible.utils     2.6.1  
community.network 4.0.1  
extreme.exos      0.1.1  

Damit sind die benötigten Module installiert. Jetzt kann die Umgebung noch aktualisert werden.

(ansi) heiko@jellyfish:~/virtenv/ansi$ pip-review -a

Diese Sammlung wird sich, je nach Anzahl der Hersteller im Netz, noch vergrößern.

Verzeichnisstruktur anlegen

Ansible setzt auf Variablen. group_vars und host_vars beschreiben Definitionen für die jeweiligen Geräte. Um alle Geräte mit Variablen auszustatten, kann die Datei group_vars/all.yml angelegt werden.

Um einzelne Hosts mit Variablen auszustatten wird eine entsprechende Datei unter host_vars/hostname.yml angelegt.

Das “Arbeitsverzeichnis” von Ansbile benötgt die Datei ansible.cfg. Diese sieht in etwa folgendermaßen aus (Beispiel Extreme Networks):

[defaults]
inventory=hosts
retry_files_enabled=False
gathering=explicit
host_key_checking=False
action_warnings=False
deprecation_warnings=False
ansible_user=bigboss
ansible_command_timeout=600
command_timeout=600
ask_pass=True

Anschließend folgt das Inventory, hier werden sämtliche Gruppen der jeweiligen Geräte eingerichtet. Das Inventory liegt im Regelfall in der hosts Datei.

[edge]
sw01
sw02
sw03
#sw04

[dev]
sw01

Es gibt die Gruppe edge und dev. Wenn edge jetzt andere Variablen erhalten soll als dev, wird unter group_vars die Datei edge.yml angelegt usw.

Ein Auflisten der Gruppen erfolgt mit ansible-inventory --graph und gibt folgendes aus:

@all:
  |--@ungrouped:
  |--@edge:
  |  |--sw01
  |  |--sw02
  |  |--sw03
  |--@dev:
  |  |--sw01

Damit ist Ansbile installiert, grob konfiguriert und kann verwendet werden.

Welche Zugriffsmöglichkeiten verwendet werden müssen, steht in der Ansible Dokumentation der Hersteller. Die meisten Möglichkeiten sind SSH, netconf, ssh mit sudo, APIs usw.

Multicast Routing mit VyOS

2023-02-10T13:09:00+01:00

VyOS ist in der Lage Multicast zu routen. Es wird PIM Sparde Mode, IGMP und IGMP-Proxy unterstützt. Im folgenden Beispiel soll Multicast über den Rendevouz Point rp1 gesteuert werden.

Folgende Topologie wird verwendet:

Basics

Im ersten Schritt werden die Netzwerkkarten eingerichtet. Alle Router erhalten eine Adresse im Managementnetz, eine Adresse in Richtung Internet und eine “Adresse” für das LAN.

mcr1

vyos@mcr1# show interfaces
 ethernet eth0 {
     address 172.23.40.11/24
     description "-> ISP"
     hw-id 00:0c:29:0f:32:0b
 }
 ethernet eth1 {
     address 10.10.10.111/24
     description MGM
     hw-id 00:0c:29:0f:32:15
 }
 ethernet eth2 {
     address 172.23.20.10/24
     description LAN
     hw-id 00:0c:29:0f:32:1f
 }
 loopback lo {
 }

mcr2

vyos@mcr2# show interfaces
 ethernet eth0 {
     address 172.23.40.12/24
     description "-> ISP"
     hw-id 00:0c:29:5a:17:8d
 }
 ethernet eth1 {
     address 10.10.10.112/24
     description MGM
     hw-id 00:0c:29:5a:17:97
 }
 ethernet eth2 {
     address 172.23.30.10/24
     description LAN
     hw-id 00:0c:29:5a:17:a1
 }
 loopback lo {
 }

rp1

vyos@rp1# show interfaces
 ethernet eth0 {
     address dhcp
     description Internet
     hw-id 00:0c:29:de:43:d5
 }
 ethernet eth1 {
     address 10.10.10.113/24
     description MGM
     hw-id 00:0c:29:de:43:df
 }
 ethernet eth2 {
     address 172.23.40.100/24
     description Transit
     hw-id 00:0c:29:de:43:e9
 }
 loopback lo {
 }

Dynamisches Routing mit IS-IS

Die Router sind soweit eingerichtet, allerdings haben mcr1 und mcr2 keinen Zugriff ins Internet. Ferner wird die PIM-RP Adresse noch nicht erreicht. Damit keine statischen Routen eingerichtet werden müssen, werden die Netze dynamisch geroutet. Als Protokoll kommt heute IS-IS zum Einsatz.

Der Designierte IS wird rp1. Als net Adresse wird das Schema 49.Area-ID.Router.Loopback.IP.00 verwendet. Zur Authentifizierung wird ein Passwort gesetzt, nicht benötigte Interfaces sind passiv.

Die Router werden als Level-1 eingerichtet, da sie nur Nachbarn in der gleichen Area haben und nur Routinginformationen über diese eine Area benötigen.

Konfiguration rp1

vyos@rp1# show interfaces loopback
 loopback lo {
     address 192.168.100.1/32
     description Loopback
 }

vyos@rp1# sh
 default-information {
     originate {
         ipv4 {
             level-1 {
             }
         }
     }
 }
 interface eth0 {
     passive
 }
 interface eth1 {
     passive
 }
 interface eth2 {
     password {
         plaintext-password 12341234
     }
 }
 interface lo {
     passive
 }
 level level-1
 log-adjacency-changes
 metric-style wide
 net 49.0023.1921.6810.0001.00

Konfiguration mcr1

vyos@mcr1# show interfaces loopback
 loopback lo {
     address 192.168.210.1/32
     description Loopback
 }

vyos@mcr1# show protocols isis
 interface eth0 {
     password {
         plaintext-password 12341234
     }
     priority 0
 }
 interface eth1 {
     passive
 }
 interface eth2 {
     passive
 }
 interface lo {
     passive
 }
 level level-1
 log-adjacency-changes
 metric-style wide
 net 49.0023.1921.6821.0001.00

Konfiguration mcr2

vyos@mcr2# show interfaces loopback
 loopback lo {
     address 192.168.220.1/32
     description Loopback
 }

vyos@mcr2# show protocols isis
 interface eth0 {
     password {
         plaintext-password 12341234
     }
     priority 0
 }
 interface eth1 {
     passive
 }
 interface eth2 {
     passive
 }
 interface lo {
     passive
 }
 level level-1
 log-adjacency-changes
 metric-style wide
 net 49.0023.1921.6822.0001.00

Anschließend sollten in der Routingtabelle IS-IS Routen auftauchen.

vyos@mcr2# run sh ip route isis
Codes: K - kernel route, C - connected, S - static, R - RIP,
       O - OSPF, I - IS-IS, B - BGP, E - EIGRP, N - NHRP,
       T - Table, v - VNC, V - VNC-Direct, A - Babel, F - PBR,
       f - OpenFabric,
       > - selected route, * - FIB route, q - queued, r - rejected, b - backup
       t - trapped, o - offload failure

I>* 0.0.0.0/0 [115/10] via 172.23.40.100, eth0, weight 1, 00:01:12
I   10.10.10.0/24 [115/20] via 172.23.40.11, eth0, weight 1, 00:01:12
                           via 172.23.40.100, eth0, weight 1, 00:01:12
I>* 10.23.4.0/23 [115/20] via 172.23.40.100, eth0, weight 1, 00:01:12
I>* 172.23.20.0/24 [115/20] via 172.23.40.11, eth0, weight 1, 00:01:12
I   172.23.40.0/24 [115/20] via 172.23.40.11, eth0 inactive, weight 1, 00:01:12
                            via 172.23.40.100, eth0 inactive, weight 1, 00:01:12
I>* 192.168.100.1/32 [115/20] via 172.23.40.100, eth0, weight 1, 00:01:12
I>* 192.168.210.1/32 [115/20] via 172.23.40.11, eth0, weight 1, 00:01:12

Multicast (PIM) einrichten

Auf allen Interfaces zum und vom RP wird PIM aktiviert. Auf Interfaces, die mit Clients in Kontakt kommen können, wird zusätzlich IGMP aktiviert. Der RP benötigt hier im Beispiel kein IGMP.

Konfiguration mcr1

vyos@mcr1# show protocols pim
 interface eth0 {
 }
 interface eth2 {
 }
 rp {
     address 192.168.255.1 {
         group 224.0.0.0/4
     }
 }

vyos@mcr1# show protocols igmp
 interface eth2 {
 }

Konfiguration mcr2

vyos@mcr1# show protocols pim
 interface eth0 {
 }
 interface eth2 {
 }
 rp {
     address 192.168.255.1 {
         group 224.0.0.0/4
     }
 }

vyos@mcr1# show protocols igmp
 interface eth2 {
 }

Konfiguration rp1

vyos@rp1# show interfaces dummy
 dummy dum0 {
     address 192.168.255.1/32
     description "RP Interface"
 }

vyos@rp1# show protocols pim
 interface dum0 {
 }
 interface eth1 {
 }
 interface eth2 {
 }
 rp {
     address 192.168.255.1 {
         group 224.0.0.0/4
     }
 }

Die Adresse vom Dummy Interface gelangt nicht automatisch in den Routingprozess, daher wird die IP 192.168.255.1 ins IS-IS redistributiert.

vyos@rp1# show policy
 prefix-list dummy-into-isis {
     rule 5 {
         action permit
         prefix 192.168.255.1/32
     }
 }
 route-map dummy-into-isis {
     description "Multicast Interface into ISIS"
     rule 5 {
         action permit
         match {
             ip {
                 address {
                     prefix-list dummy-into-isis
                 }
             }
         }
     }
 }

vyos@rp1# show protocols isis redistribute
 ipv4 {
     connected {
         level-1 {
             route-map dummy-into-isis
         }
     }
 }

Jetzt sollte die Adresse in der Routingtabelle von mcr1 und mcr2 auftauchen.

vyos@mcr1# run show ip route 192.168.255.1
Routing entry for 192.168.255.1/32
  Known via "isis", distance 115, metric 10, best
  Last update 00:04:20 ago
  * 172.23.40.100, via eth0, weight 1

Multicast Traffic erzeugen

Multicast Traffic wird auf zwei debian Systemen über das Tool mcjoin erzeugt.

root@mc01:/opt/mcjoin/bin# ./mcjoin -s 224.6.7.8

Der Client taucht auf dem RP auf:

yos@rp1:~$ sh ip pim join
 Interface  Address        Source  Group      State  Uptime    Expire  Prune  
 eth2       172.23.40.100  *       224.6.7.8  JOIN   00:01:49  03:10   --:--  

vyos@rp1:~$ sh ip pim upstream
 Iif   Source         Group            State      Uptime    JoinTimer  RSTimer   KATimer   RefCnt  
 dum0  *              224.6.7.8        J          00:02:06  00:00:53   --:--:--  --:--:--  1       

Auf dem zweiten Client wird ebenfalls mcjoin aktiviert.

root@mc02:/opt/mcjoin/bin# ./mcjoin -s 225.6.7.8

Dieser taucht ebenfalls auf dem RP auf.

vyos@rp1:~$ sh ip pim join
 Interface  Address        Source  Group      State  Uptime    Expire  Prune  
 eth2       172.23.40.100  *       224.6.7.8  JOIN   00:05:08  02:50   --:--  
 eth2       172.23.40.100  *       225.6.7.8  JOIN   00:00:26  03:03   --:--  

vyos@rp1:~$ sh ip pim upstream
 Iif   Source         Group            State      Uptime    JoinTimer  RSTimer   KATimer   RefCnt  
 eth2  172.23.30.128  224.1.2.3        NotJ       00:06:08  00:00:00   --:--:--  00:01:22  1       
 dum0  *              224.6.7.8        J          00:06:28  00:00:31   --:--:--  --:--:--  1       
 dum0  *              225.6.7.8        J          00:01:46  00:00:13   --:--:--  --:--:--  1            

Damit arbeitet das Multicast Routing.

BGP Routing mit Wireguard unter VyOS

2023-01-30T09:30:00+01:00

In den letzten Beispielen wurde statische Routen gesetzt, um lokale Netze zur Verfügung zu stellen. Im folgenden Beispiel kommen sieben Netze hinzu. Diese werden per BGP announciert werden, dafür wird lediglich eine statische Route zum Loopback Interface des Nachbarrouters benötigt.

Topologie

Anpassungen WG-R2

Das Loopback Interface wird eingerichtet, die statischen Routen werden entfernt.

set interfaces loopback lo address 10.2.2.2/32
del protocols static route 10.40.0.0/24
del protocols static route 192.168.0.0/24

Die 172.16er Netze werden ebenfalls aufs Loopback konfiguriert, das “DMZ” Interface eth3 wird konfiguriert.

set interfaces loopback lo address 172.16.0.1/24
set interfaces loopback lo address 172.16.1.1/24
set interfaces loopback lo address 172.16.2.1/24
set interface eth3 address 10.200.40.10/24

Die Loopback Interfaces müssen von beiden Routern erreichbar sein, damit die BGP Session aufgebaut werden kann. Dies wird über eine statische Route realisiert.

set protocols static route 10.1.1.1/32 interface wg0
set interfaces wireguard wg0 peer WG-R1 allowed-ips 10.1.1.1/32

Die Routingtabelle sollte folgendermaßen aussehen:

S>* 0.0.0.0/0 [1/0] via 172.23.30.10, eth1, weight 1, 05:34:45
S>* 10.1.1.1/32 [1/0] is directly connected, wg0, weight 1, 00:04:59
C>* 10.2.2.2/32 is directly connected, lo, 00:21:48
C>* 10.10.10.0/24 is directly connected, eth0, 05:34:49
C>* 10.30.0.0/30 is directly connected, wg0, 05:34:46
C>* 10.200.40.0/24 is directly connected, eth3, 02:43:56
C>* 172.16.0.0/24 is directly connected, lo, 00:15:08
C>* 172.16.1.0/24 is directly connected, lo, 00:15:08
C>* 172.16.2.0/24 is directly connected, lo, 00:15:08
C>* 172.23.30.0/24 is directly connected, eth1, 05:34:49
C>* 192.168.1.0/24 is directly connected, eth2, 03:04:09

Anpassungen WG-R1

Das Loopback Interface wird eingerichtet, die statischen Routen werden entfernt.

set interfaces loopback lo address 10.1.1.1/32
del protocols static route 192.168.1.0/24

Die 172.17er Netze werden ebenfalls aufs Loopback konfiguriert.

set interfaces loopback lo address 172.17.0.1/24
set interfaces loopback lo address 172.17.1.1/24
set interfaces loopback lo address 172.17.2.1/24

Die Loopback Interfaces müssen von beiden Routern erreichbar sein, damit die BGP Session aufgebaut werden kann. Dies wird über eine statische Route realisiert.

set protocols static route 10.2.2.2/32 interface wg0
set interfaces wireguard wg0 peer WG-R1 allowed-ips 10.2.2.2/32

Beide Loopbacks sollten jetzt pingbar sein, die Routingtabelle sollte folgendermaßen aussehen:

S>* 0.0.0.0/0 [1/0] via 172.23.20.10, eth1, weight 1, 05:32:16
C>* 10.1.1.1/32 is directly connected, lo, 00:05:27
S>* 10.2.2.2/32 [1/0] is directly connected, wg0, weight 1, 00:01:18
C>* 10.10.10.0/24 is directly connected, eth0, 05:32:20
C>* 10.30.0.0/30 is directly connected, wg0, 05:32:17
C>* 10.40.0.0/24 is directly connected, wg1, 04:27:12
C>* 172.17.0.0/24 is directly connected, lo, 00:05:27
C>* 172.17.1.0/24 is directly connected, lo, 00:05:27
C>* 172.17.2.0/24 is directly connected, lo, 00:05:27
C>* 172.23.20.0/24 is directly connected, eth1, 05:32:20
C>* 192.168.0.0/24 is directly connected, eth2, 05:32:20

BGP Policies

Folgende Policies werden im BGP eingerichtet:

Alle “connected” Netze werden ins BGP redistributiert.
Ausnahme bildet das Managementnetz 10.10.10.0/24, welches auf eth0 liegt.
Es wird ein Template “wireguard” erstellen.
- Maximal 10 Routen werden angenommen.
- Es wird das Passwort pass1234 verwendet.
- Routen werden über bgp-out exportiert.
- Routen werden über bgp-in importiert.
  - Es werden nur Routen mit “erlaubten” Communities angenommen.
  - Default Routen werden verworfen.

WG-R2 konfigurieren

Community-List

vyos@wgr2# show policy community-list
 community-list 1 {
     description "permit AS65100 routing updates"
     rule 1 {
         action permit
         regex 65100:100
     }
 }

Prefixlists

vyos@wgr2# show policy prefix-list
 prefix-list connected-into-bgp {
     description "connected prefixes into bgp"
     rule 5 {
         action permit
         le 24
         prefix 172.16.0.0/16
     }
     rule 10 {
         action permit
         prefix 10.200.40.0/24
     }
     rule 15 {
         action permit
         prefix 192.168.1.0/24
     }
 }
 prefix-list deny-incoming-routes {
     description "deny default gw"
     rule 5 {
         action deny
         prefix 0.0.0.0/0
     }
     rule 10 {
         action permit
         le 32
         prefix 0.0.0.0/0
     }
 }

Route-Maps

vyos@wgr2# show policy route-map
 route-map bgp-in {
     description "BGP incoming"
     rule 10 {
         action permit
         match {
             community {
                 community-list 1
             }
             ip {
                 address {
                     prefix-list deny-incoming-routes
                 }
             }
         }
     }
 }
 route-map bgp-out {
     description "BGP outgoing"
     rule 10 {
         action permit
         match {
             ip {
                 address {
                     prefix-list connected-into-bgp
                 }
             }
         }
         set {
             community {
                 replace 65200:100
             }
         }
     }
 }
 route-map connected-into-bgp {
     description "connected into bgp"
     rule 5 {
         action permit
         match {
             ip {
                 address {
                     prefix-list connected-into-bgp
                 }
             }
         }
     }
 }

BGP

vyos@wgr2# sh protocols bgp
 address-family {
     ipv4-unicast {
         redistribute {
             connected {
                 route-map connected-into-bgp
             }
         }
     }
 }
 neighbor 10.1.1.1 {
     peer-group wireguard
     remote-as 65100
 }
 parameters {
     router-id 10.2.2.2
 }
 peer-group wireguard {
     address-family {
         ipv4-unicast {
             maximum-prefix 10
             route-map {
                 export bgp-out
                 import bgp-in
             }
             soft-reconfiguration {
                 inbound
             }
         }
     }
     description "Wireguard Routers BGP"
     disable-connected-check
     password pass1234
     update-source lo
 }
 system-as 65200

WG-R1 konfigurieren

Community-List

vyos@wgr1# show policy community-list
 community-list 1 {
     description "permit AS65200 routing updates"
     rule 1 {
         action permit
         regex 65200:100
     }
 }

Prefixlists

vyos@wgr1# show policy prefix-list
 prefix-list connected-into-bgp {
     description "connected prefixes into bgp"
     rule 5 {
         action permit
         le 24
         prefix 172.17.0.0/16
     }
     rule 10 {
         action permit
         prefix 192.168.0.0/24
     }
     rule 15 {
         action permit
         prefix 10.40.0.0/24
     }
 }
 prefix-list deny-incoming-routes {
     description "filter incoming routes"
     rule 5 {
         action deny
         prefix 0.0.0.0/0
     }
     rule 10 {
         action permit
         le 32
         prefix 0.0.0.0/0
     }
 }

Route-Maps

vyos@wgr1# sh policy route-map
 route-map bgp-in {
     description "BGP incoming"
     rule 10 {
         action permit
         match {
             community {
                 community-list 1
             }
             ip {
                 address {
                     prefix-list deny-incoming-routes
                 }
             }
         }
     }
 }
 route-map bgp-out {
     description "BGP outgoing"
     rule 10 {
         action permit
         match {
             ip {
                 address {
                     prefix-list connected-into-bgp
                 }
             }
         }
         set {
             community {
                 replace 65100:100
             }
         }
     }
 }
 route-map connected-into-bgp {
     description "connected into bgp"
     rule 5 {
         action permit
         match {
             ip {
                 address {
                     prefix-list connected-into-bgp
                 }
             }
         }
     }
 }

BGP

vyos@wgr1# sh protocols bgp
 address-family {
     ipv4-unicast {
         redistribute {
             connected {
                 route-map connected-into-bgp
             }
         }
     }
 }
 neighbor 10.2.2.2 {
     peer-group wireguard
     remote-as 65200
 }
 parameters {
     router-id 10.1.1.1
 }
 peer-group wireguard {
     address-family {
         ipv4-unicast {
             maximum-prefix 10
             route-map {
                 export bgp-out
                 import bgp-in
             }
             soft-reconfiguration {
                 inbound
             }
         }
     }
     description "Wireguard Routers BGP"
     disable-connected-check
     password pass1234
     update-source lo
 }
 system-as 65100

Netze im VPN freischalten

Alle Netze müssen im Site-2-Site Tunnel noch freigeschaltet werden.

WG-R1

vyos@wgr1# show interfaces wireguard wg0
 address 10.30.0.1/30
 description VPN->WG-R2
 mtu 1420
 peer WG-R2 {
     address 172.23.30.11
     allowed-ips 10.30.0.0/30
     allowed-ips 192.168.1.0/24
     allowed-ips 10.200.40.0/24
     allowed-ips 172.16.0.0/16
     allowed-ips 10.2.2.2/32
     port 51820
     public-key DOEIvmBXgMOY3va+xCo9ag4F0pzTOC5VsfwuSbESvVM=
 }
 port 51820
 private-key 4IyNUD+pduTl4cdL1EKVs44Cdx3HtdxCFPeomXod2HM=

WG-R2

vyos@wgr2# show interfaces wireguard wg0
 address 10.30.0.2/30
 description VPN->WG-R1
 mtu 1420
 peer WG-R1 {
     address 172.23.20.11
     allowed-ips 10.30.0.0/30
     allowed-ips 172.16.0.0/16
     allowed-ips 10.40.0.0/24
     allowed-ips 192.168.0.0/24
     allowed-ips 10.1.1.1/32
     port 51820
     public-key Pz2oyw2876hk5+dOOqwWoN4bFsM9ThR20efHbgqAg1c=
 }
 port 51820
 private-key SOfyUcADKHg/aVBCv7WFJjfDzaIGFRWMSm+TDwNvTGc=      

Anschließend sollte der Zugriff auf alle Netze funktionieren.

Show Befehle

Die Routingtabellen sollten in etwa wie folgt aussehen:

vyos@wgr2:~$ sh ip bgp summary

IPv4 Unicast Summary (VRF default):
BGP router identifier 10.2.2.2, local AS number 65200 vrf-id 0
BGP table version 52
RIB entries 19, using 3648 bytes of memory
Peers 1, using 724 KiB of memory
Peer groups 1, using 64 bytes of memory

Neighbor        V         AS   MsgRcvd   MsgSent   TblVer  InQ OutQ  Up/Down State/PfxRcd   PfxSnt Desc
10.1.1.1        4      65100       252       257        0    0    0 02:45:35            5        5 N/A

Total number of neighbors 1

vyos@wgr2:~$ sh ip bgp

  Network          Next Hop            Metric LocPrf Weight Path
*> 10.40.0.0/24     10.1.1.1                 0             0 65100 ?
*> 10.200.40.0/24   0.0.0.0                  0         32768 ?
*> 172.16.0.0/24    0.0.0.0                  0         32768 ?
*> 172.16.1.0/24    0.0.0.0                  0         32768 ?
*> 172.16.2.0/24    0.0.0.0                  0         32768 ?
*> 172.17.0.0/24    10.1.1.1                 0             0 65100 ?
*> 172.17.1.0/24    10.1.1.1                 0             0 65100 ?
*> 172.17.2.0/24    10.1.1.1                 0             0 65100 ?
*> 192.168.0.0/24   10.1.1.1                 0             0 65100 ?
*> 192.168.1.0/24   0.0.0.0                  0         32768 ?

vyos@wgr2:~$ sh ip route
Codes: K - kernel route, C - connected, S - static, R - RIP,
       O - OSPF, I - IS-IS, B - BGP, E - EIGRP, N - NHRP,
       T - Table, v - VNC, V - VNC-Direct, A - Babel, F - PBR,
       f - OpenFabric,
       > - selected route, * - FIB route, q - queued, r - rejected, b - backup
       t - trapped, o - offload failure

S>* 0.0.0.0/0 [1/0] via 172.23.30.10, eth1, weight 1, 03:43:29
S>* 10.1.1.1/32 [1/0] is directly connected, wg0, weight 1, 03:43:29
C>* 10.2.2.2/32 is directly connected, lo, 03:43:32
C>* 10.10.10.0/24 is directly connected, eth0, 03:43:31
C>* 10.30.0.0/30 is directly connected, wg0, 03:43:29
B>  10.40.0.0/24 [20/0] via 10.1.1.1 (recursive), weight 1, 02:40:11
  *                       via 10.1.1.1, wg0 onlink, weight 1, 02:40:11
C>* 10.200.40.0/24 is directly connected, eth3, 03:43:31
C>* 172.16.0.0/24 is directly connected, lo, 03:43:32
C>* 172.16.1.0/24 is directly connected, lo, 03:43:32
C>* 172.16.2.0/24 is directly connected, lo, 03:43:32
B>  172.17.0.0/24 [20/0] via 10.1.1.1 (recursive), weight 1, 02:46:11
  *                        via 10.1.1.1, wg0 onlink, weight 1, 02:46:11
B>  172.17.1.0/24 [20/0] via 10.1.1.1 (recursive), weight 1, 02:46:11
  *                        via 10.1.1.1, wg0 onlink, weight 1, 02:46:11
B>  172.17.2.0/24 [20/0] via 10.1.1.1 (recursive), weight 1, 02:46:11
  *                        via 10.1.1.1, wg0 onlink, weight 1, 02:46:11
C>* 172.23.30.0/24 is directly connected, eth1, 03:43:31
B>  192.168.0.0/24 [20/0] via 10.1.1.1 (recursive), weight 1, 02:46:11
  *                         via 10.1.1.1, wg0 onlink, weight 1, 02:46:11
C>* 192.168.1.0/24 is directly connected, eth2, 03:43:31

Zugriff vom Client

Der Zugriff aus dem VPN Pool sollte ebenfalls funktionieren.

Ein Trace wird folgendes ausgeben:

client1:~# traceroute 10.200.40.100
traceroute to 10.200.40.100 (10.200.40.100), 30 hops max, 46 byte packets
 1  10.40.0.1 (10.40.0.1)  1.504 ms  1.890 ms  1.108 ms
 2  10.30.0.2 (10.30.0.2)  3.753 ms  3.686 ms  2.536 ms
 3  10.200.40.100 (10.200.40.100)  3.284 ms  4.484 ms  3.351 ms

Zugriff auf den Webserver funktioniert ebenfalls:

client1:~# curl 10.200.40.100
It works!

Damit ist die BGP Einrichtung abgeschlossen.

Remote Access mit Wireguard unter VyOS

2023-01-30T08:50:00+01:00

Wireguard ist eine Software zum Aufbau von verschlüsselten Verbindungen. Die Software ist ab Linux Kernel 5.6 direkt im Kern eingebaut und erlaubt somit höhere Verarbeitungsgeschwindigkeiten im Vergleich zu IPSec oder OpenVPN.

VyOS Router sind in der Lage, Remote Access VPN über das Wireguard Protokoll zu ermöglichen. Im folgenden Beispiel wird die Topologie vom Site-2-Site Tunnel erweitert.

Topologie

Erweiterung der Konfiguration von WG-R1

Auf WG-R1 wird das Interface wg1 für Remote-Access eingerichtet, der Wireguard Dienst läuft auf Port 2224.

vyos@wgr1# run generate pki wireguard key-pair install interface wg1

vyos@wgr1# show interfaces wireguard wg1
 address 10.40.0.1/24
 description Remote-VPN
 mtu 1420
 peer RemoteVPN {
     allowed-ips 0.0.0.0/32
     persistent-keepalive 15
     public-key NVWMpPecjOMhczxXOj9+bEiPfgvBBx9b9FRgaRNWf3M=
 }
 port 2224
 private-key 2BL+aYPsxkf89lOnDhJqIhAh/qjhS1I98jn6oyFwkFw=

Client Konfiguration erstellen

Mittels folgenden Befehl werden Konfigurationen sowohl für Router als auch für den Client erstellt:

generate wireguard client-config remote1 interface wg1 server 172.23.20.11 address 10.40.0.2/24

WireGuard client configuration for interface: wg1

To enable this configuration on a VyOS router you can use the following commands:

=== VyOS (server) configurtation ===

set interfaces wireguard wg1 peer remote1 allowed-ips '10.40.0.2/32'
set interfaces wireguard wg1 peer remote1 public-key 'hF0DUTJd71U8dBn5RiF1RW8LsnH5oHZGbUR+pnmWvXo='

=== RoadWarrior (client) configuration ===


[Interface]
PrivateKey = AC+077T2NP4iJMKzDp70NlOdQzfGIBOBRv2sWt4fW3c=
Address = 10.40.0.2/32
DNS = 1.1.1.1

[Peer]
PublicKey = NVWMpPecjOMhczxXOj9+bEiPfgvBBx9b9FRgaRNWf3M=
Endpoint = 172.23.20.11:2224
AllowedIPs = 0.0.0.0/0, ::/0

Beide set Befehle müssen auf dem Router noch ausgeführt werden.

Anschließend kann die Konfiguration des Routers bereinigt werden:

delete interfaces wireguard wg1 peer RemoteVPN

Diese wurde nur zum initialisieren auf wg1 benötigt.

Die finale Konfiguration sieht folgendermaßen aus:

yos@wgr1# show interfaces wireguard wg1
 address 10.40.0.1/24
 description Remote-VPN
 mtu 1420
 peer remote1 {
     allowed-ips 10.40.0.2/32
     persistent-keepalive 15
     public-key hF0DUTJd71U8dBn5RiF1RW8LsnH5oHZGbUR+pnmWvXo=
 }
 port 2224
 private-key 2BL+aYPsxkf89lOnDhJqIhAh/qjhS1I98jn6oyFwkFw=

Linux Client anpassen

Zum Test wird ein Rechner mit Alpine Linux verwendet.

apk add wireguard-tools
modprobe wireguard

cd /etc/wireguard

vi wg0.conf

[Interface]
PrivateKey = AC+077T2NP4iJMKzDp70NlOdQzfGIBOBRv2sWt4fW3c=
Address = 10.40.0.2/32
DNS = 1.1.1.1

[Peer]
PublicKey = NVWMpPecjOMhczxXOj9+bEiPfgvBBx9b9FRgaRNWf3M=
Endpoint = 172.23.20.11:2224
AllowedIPs = 0.0.0.0/0, ::/0

wg-quick up wg0

Der sollte sich der Client eingewählt haben. Jetzt sollte noch der Zugriff auf das LAN hinter dem zweiten Router WG-R2 ermöglicht werden.

Erweiterung der Konfiguration von WG-R2

Der VPN-Pool muss in den erlaubten IPs des Peers eingetragen werden.

set interfaces wireguard wg0 peer WG-R1 allowed-ips 10.40.0.0/24

Die Route muss statisch nachgetragen werden.

set protocols static route 10.40.0.0/24 interface wg0

Damit kann WG-R2 den Client pingen.

yos@wgr2# run ping 10.40.0.2
PING 10.40.0.2 (10.40.0.2) 56(84) bytes of data.
64 bytes from 10.40.0.2: icmp_seq=1 ttl=63 time=2.25 ms
64 bytes from 10.40.0.2: icmp_seq=2 ttl=63 time=3.58 ms
64 bytes from 10.40.0.2: icmp_seq=3 ttl=63 time=3.52 ms

Die Konfiguration ist somit abgeschlossen.

Site-2-Site Tunnel mit Wireguard unter VyOS

2023-01-29T08:33:00+01:00

VyOS Router sind ebenfalls in der Lage, Wireguard Verbindungen aufzubauen. Im folgenden Beispiel soll ein Site-2-Site Tunnel aufgebaut werden.

Topologie

Basis Konfigurationen

WG Router 1

vyos@wgr1# show interfaces
 ethernet eth1 {
     address 172.23.20.11/24
     description Uplink->ISP
     hw-id 00:0c:29:47:22:3d
 }
 ethernet eth2 {
     address 192.168.0.10/24
     description LAN
     hw-id 00:0c:29:47:22:47
 }
 loopback lo {
 }

 vyos@wgr1# sh protocols
 static {
     route 0.0.0.0/0 {
         next-hop 172.23.20.10 {
         }
     }
 }

WG Router 2

vyos@wgr2# show interfaces
 ethernet eth1 {
     address 172.23.30.11/24
     description Uplink->ISP
     hw-id 00:0c:29:40:be:74
 }
 ethernet eth2 {
     address 192.168.1.10/24
     description LAN
     hw-id 00:0c:29:40:be:7e
 }
 loopback lo {
 }

 vyos@wgr2# sh protocols
 static {
     route 0.0.0.0/0 {
         next-hop 172.23.30.10 {
         }
     }
 }

ISP Router

vyos@ISP# show interfaces
 ethernet eth0 {
     address dhcp
     description Uplink->Internet
     hw-id 00:0c:29:e2:1c:9b
 }
 ethernet eth1 {
     address 172.23.20.10/24
     description "--> WGR1"
     hw-id 00:0c:29:e2:1c:a5
 }
 ethernet eth2 {
     address 172.23.30.10/24
     description "--> WGR2"
     hw-id 00:0c:29:e2:1c:af
 }
 loopback lo {
 }

 vyos@ISP# sh nat
 source {
     rule 998 {
         description "NAT WG R2"
         outbound-interface eth0
         source {
             address 172.23.30.0/24
         }
         translation {
             address masquerade
         }
     }
     rule 999 {
         description "NAT WG R1"
         outbound-interface eth0
         source {
             address 172.23.20.0/24
         }
         translation {
             address masquerade
         }
     }
 }

Wireguard Konfiguration

Es müssen Schlüsselpaare erstellt werden.

WG Router 1 & 2

vyos@wgr1:~$ generate pki wireguard key-pair
Private key: 4IyNUD+pduTl4cdL1EKVs44Cdx3HtdxCFPeomXod2HM=
Public key: Pz2oyw2876hk5+dOOqwWoN4bFsM9ThR20efHbgqAg1c=

vyos@wgr2:~$ generate pki wireguard key-pair
Private key: WD67y3hWSGBDq4doe8399Sb48R6DHMZFgiSXHNhOrFU=
Public key: +Dz6G2VezJ9aGXFOVOsbl/ZU7HjaPe+Ej7CpAIjWX14=

Alle Schlüsselpaare sollten gesichert werden.

Jetzt werden beide Router als Wireguard Peer konfiguriert, verwendet wird das Interface wg0.

WG Router 1

vyos@wgr1# show interfaces wireguard wg0
 address 10.30.0.1/30
 description VPN->WG-R2
 mtu 1420
 peer WG-R2 {
     address 172.23.30.11
     allowed-ips 192.168.1.0/24
     allowed-ips 10.30.0.0/30
     port 51820
     public-key DOEIvmBXgMOY3va+xCo9ag4F0pzTOC5VsfwuSbESvVM=
 }
 port 51820
 private-key 4IyNUD+pduTl4cdL1EKVs44Cdx3HtdxCFPeomXod2HM=

WG Router 2

vyos@wgr2# show interfaces wireguard wg0
 address 10.30.0.2/30
 description VPN->WG-R1
 mtu 1420
 peer WG-R1 {
     address 172.23.20.11
     allowed-ips 192.168.0.0/24
     allowed-ips 10.30.0.0/30
     port 51820
     public-key Pz2oyw2876hk5+dOOqwWoN4bFsM9ThR20efHbgqAg1c=
 }
 port 51820
 private-key SOfyUcADKHg/aVBCv7WFJjfDzaIGFRWMSm+TDwNvTGc=

Damit beide internen Netze erreichbar sind, wird eine statische Route gesetzt.

WG Router 1

set protocols static route 192.168.1.0/24 interface wg0

WG Router 2

set protocols static route 192.168.0.0/24 interface wg0

Damit sollte der Tunnel online sein.

Show Befehle

vyos@wgr1:~$ show interfaces wireguard

Codes: S - State, L - Link, u - Up, D - Down, A - Admin Down
Interface        IP Address                        S/L  Description
---------        ----------                        ---  -----------
wg0              10.30.0.1/30                      u/u  VPN->WG-R2

vyos@wgr1:~$ show interfaces wireguard wg0 summary

interface: wg0
  public key: Pz2oyw2876hk5+dOOqwWoN4bFsM9ThR20efHbgqAg1c=
  private key: (hidden)
  listening port: 51820

peer: DOEIvmBXgMOY3va+xCo9ag4F0pzTOC5VsfwuSbESvVM=
  endpoint: 172.23.30.11:51820
  allowed ips: 192.168.1.0/24

Ein ping sollte jetzt die interne Router IP von WG-R2 erreichen.

vyos@wgr1:~$ ping 192.168.1.10
PING 192.168.1.10 (192.168.1.10) 56(84) bytes of data.
64 bytes from 192.168.1.10: icmp_seq=1 ttl=64 time=1.11 ms
64 bytes from 192.168.1.10: icmp_seq=2 ttl=64 time=2.37 ms
64 bytes from 192.168.1.10: icmp_seq=3 ttl=64 time=9.97 ms
64 bytes from 192.168.1.10: icmp_seq=4 ttl=64 time=2.18 ms
^C
--- 192.168.1.10 ping statistics ---
4 packets transmitted, 4 received, 0% packet loss, time 3007ms

Damit ist die Konfiguration abgeschlossen.

Cloud im Eigenbau - Übersicht

2022-08-26T10:51:00+02:00

Nextcloud kann auf einer einzelnen Platine installiert werden, in der Hoffnung, dass immer alles funktioniert, oder man investiert viel Zeit und baut einen HA-Cluster mit Nextcloud. Dies ist entsprechend aufwendig, mehrere Dinge sind hierbei zu beachten:

Datenbanken, Storage für User, Webserver, Nextcloud Applikation, Session Caching, Container für Apps.

Folgende Topologie wird exemplarisch eingerichtet:

Diese Topologie ist nicht gehärtet, alle Zugriffe erfolgen mittels root, es sind keine Einschränkungen durch Firewalls eingerichtet. Diese Topologie sollte nicht produktiv betrieben werden. Die einzelnen Beispielinstallationen können unten angeklickt werden.

Cloud im Eigenbau - Container

2022-08-26T10:50:00+02:00

Damit einige Dienste nicht doch plötzlich extern kommunizieren, müssen diese zusätzlich als Container betrieben werden. Im Beispiel kommen zwei Oracle Linux 8.6 Systeme zum Einsatz. Für den Betrieb wird docker verwendet. Die Systeme sind platt und nicht weiter konfiguriert.

OnlyOffice

OnlyOffice ermöglicht das gemeinsame Bearbeiten von Officedokumenten. Der Container wird folgendermaßen installiert:

/usr/bin/docker run -i -t -d -p 127.0.0.1:9981:80 -v onlyoffice-fonts:/usr/share/fonts --restart=always --name=office onlyoffice/documentserver

Um den Dienst zu nutzen muss dieser mittels Reverseproxy verfügbar gemacht werden.

DrawIO

DrawIO ermöglicht das Zeichen von diversen Diagrammen und Ablaufplänen. Damit keine Verbindung zu den Servern von DrawIO stattfindet, muss ein eigener Container betrieben werden. Der Container wird per

/usr/bin/docker run -i -t -d -p 127.0.0.1:8080:8080 --restart=always --name=draw fjudith/draw.io

installiert. Um den Dienst zu nutzen muss dieser mittels Reverseproxy verfügbar gemacht werden.

Imaginary

Imaginary soll das Rendern von Vorschaubildern beschleunigen. Dieser Container wird per

/usr/bin/docker run -i -t -d -p 9000:9000 --restart=always --name=image h2non/imaginary -p 9000 -enable-url-source

installiert. Der Dienst läuft auf Port 9000/tcp. Um den Dienst einzubinden wird die config.php um folgende Einträge erweitert:

'enabledPreviewProviders' => [
'OC\Preview\MP3',
'OC\Preview\TXT',
'OC\Preview\MarkDown',
'OC\Preview\OpenDocument',
'OC\Preview\Krita',
'OC\Preview\Imaginary',
],

'preview_imaginary_url' => 'http://10.10.10.11:9000',

Die IP stammt von einem Loadbalancer, da die Docker Container redundant ausgelegt sind.

Cloud im Eigenbau – Webserver

2022-07-22T14:49:00+02:00

Im Beispiel werden zwei Webserver eingerichtet. Die Systeme arbeiten als active/passive Cluster. Als Webserver kommt Apache mit PHP zum Einsatz, installiert unter Oracle Linux 8.6. Die Daten werden über DRBD synchron gehalten, die Dienste werden über Pacemaker gesteuert.

Folgende Topologie wird eingerichtet:

Festplatten einbinden

Die Userdaten liegen auf einer DRBD Partition. Es wird das Verzeichnis /cloudstore erstellt.

Das Device /dev/sda wird per LVM vorbereitet und der Volumegruppe ol hinzugefügt.

fdisk /dev/sda
n p 1   t 8e w
pvcreate /dev/sda1
vgextend ol /dev/sda1
lvcreate -n cloud -l +100%FREE ol
mkdir /cloudstore

Dies muss auf beiden Nodes ausgeführt werden.

DRBD installieren

Das Oracle 8 Epel Repo muss aktiviert werden.

dnf install oracle-epel-release-el8
dnf install drbd drbd-bash-completion

DRBD einrichten

Folgende Dateien werden angepasst.

/etc/drbd.d/global_common.conf

global {
usage-count no;

}

common {
       handlers {

       }

       startup {
       }

       options {

       }

       disk {
       }

       net {
       }
}

Jetzt wird für den Cloudspeicher das Device /dev/drbd0 eingerichtet.

/etc/drbd.d/cloud.res

resource cloud {
        protocol C;
        device /dev/drbd0;
        disk /dev/ol/cloud;
        meta-disk internal;
        handlers {
                split-brain "/usr/lib/drbd/notify-split-brain.sh root";
        }

        net {
        allow-two-primaries;
        cram-hmac-alg sha1;
        shared-secret "xxx";
        }

        syncer {
        rate 100M;
        verify-alg sha1;
        }

        on nc1.decon230.org {
        address 172.23.245.51:7789;
        }

        on nc2.decon230.org {
        address 172.23.245.52:7789;
        }
}

Wichtig: DNS muss funktionieren, sollte dies nicht der Fall sein, muss die /etc/hosts angepasst werden. Die DRBD-Nodes müssen mit der Bezeichnung von uname -a eingetragen werden, andernfalls werden keine DRBD-Devices erstellt.

drbdadm create-md cloud
initializing activity log
initializing bitmap (320 KB) to all zero
Writing meta data...
New drbd meta data block successfully created.

Dies wird auf beiden Nodes durchgeführt.

Auf der primary & secondary Node wird folgendes ausgeführt:

systemctl start drbd
drbdadm up cloud

Auf der primary Node

drbdadm primary cloud --force

ausführen.

Jetzt kann mit cat /proc/drbd der Status der Synchronisation geprüft werden.

version: 8.4.11 (api:1/proto:86-101)
srcversion: FC3433D849E3B88C1E7B55C
0: cs:SyncSource ro:Primary/Secondary ds:UpToDate/Inconsistent C r-----
ns:1312392 nr:0 dw:0 dr:1315928 al:8 bm:0 lo:0 pe:1 ua:2 ap:0 ep:1 wo:f oos:9169564
[=>..................] sync ed: 12.6% (8952/10232)M
finish: 0:04:06 speed: 37,168 (37,476) K/sec

Alternativ: watch -n1 'cat /proc/drbd'.

Ein drbdmadm status muss folgendes ausgeben:

cloud role:Primary
disk:UpToDate
peer role:Secondary
replication:Established peer-disk:UpToDate

Jetzt kann /dev/drbd0 formatiert werden.

mkfs -t ext4 /dev/drbd0
mount /dev/drbd0 /cloudstore/

Jetzt können Daten auf das Device kopiert werden. Anschließend wird das Device ausgehangen, drbdadm secondary cloud auf Node 1 ausgeführt, drbdadm primary cloud; mount /dev/drbd0 /cloudstore auf Node 2 ausführen. Die Daten sollten jetzt auf Node 2 zu sehen sein.

Die Schritte werden jetzt für die Inhalte des Webservers wiederholt, für das Device /dev/drbd1. Dieses basiert auf /dev/sdb, welches als LVM www erstellt wird.

/etc/drbd.d/web.res

resource web {
        protocol C;
        device /dev/drbd1;
        disk /dev/ol/www;
        meta-disk internal;
        handlers {
                split-brain "/usr/lib/drbd/notify-split-brain.sh root";
        }

        net {
        allow-two-primaries;
        cram-hmac-alg sha1;
        shared-secret "xxx";
        }

        syncer {
        rate 100M;
        verify-alg sha1;
        }

        on nc1.decon230.org {
        address 172.23.245.51:7790;
        }

        on nc2.decon230.org {
        address 172.23.245.52:7790;
        }
}

Cluster konfigurieren

Damit DRBD einen automatischen Failover durchführt, wird Pacemaker als Clustersoftware installiert.

Installation & Aktivierung des Clusters

dnf install pacemaker pcs corosync drbd-pacemaker

systemctl enable --now pcsd.service

usermod -s /bin/bash hacluster

mkdir /home/hacluster

passwd hacluster

Jetzt kann der Cluster initialisiert werden, die Schritte müssen nur auf einem Server ausgeführt werden.

[root@nc1 ~]# pcs host auth nc1
Username: hacluster
Password:
nc1: Authorized

[root@nc1 ~]# pcs host auth nc2
Username: hacluster
Password:
nc2: Authorized

[root@nc1 ~]# pcs cluster setup cloud nc1 addr=172.23.241.51 nc2 addr=172.23.241.52

Destroying cluster on hosts: 'nc1', 'nc2'...
nc1: Successfully destroyed cluster
nc2: Successfully destroyed cluster
Requesting remove 'pcsd settings' from 'nc1', 'nc2'
nc1: successful removal of the file 'pcsd settings'
nc2: successful removal of the file 'pcsd settings'
Sending 'corosync authkey', 'pacemaker authkey' to 'nc1', 'nc2'
nc1: successful distribution of the file 'corosync authkey'
nc1: successful distribution of the file 'pacemaker authkey'
nc2: successful distribution of the file 'corosync authkey'
nc2: successful distribution of the file 'pacemaker authkey'
Sending 'corosync.conf' to 'nc1', 'nc2'
nc1: successful distribution of the file 'corosync.conf'
nc2: successful distribution of the file 'corosync.conf'
Cluster has been successfully set up.

[root@nc1 ~]# pcs cluster start --all
nc1: Starting Cluster...
nc2: Starting Cluster...

[root@nc1 ~]# pcs cluster enable --all
nc1: Cluster Enabled
nc2: Cluster Enabled

pcs property set stonith-enabled=false
pcs property set no-quorum-policy=ignore

Damit ist der Clusterdienst eingerichtet.

[root@nc1 ~]# pcs status
Cluster name: cloud
Cluster Summary:
* Stack: corosync
* Current DC: nc2 (version 2.1.2-4.0.1.el8_6.2-ada5c3b36e2) - partition with quorum
* Last updated: Wed Jul 13 12:08:29 2022
* Last change: Wed Jul 13 12:06:55 2022 by root via cibadmin on nc1
* 2 nodes configured
* 0 resource instances configured

Node List:
* Online: [ nc1 nc2 ]

Full List of Resources:
* No resources

Daemon Status:
corosync: active/enabled
pacemaker: active/enabled
pcsd: active/enabled

Services einrichten

virtuelle IP

Die Services werden über die IP 172.23.241.50 erreichbar gemacht.

[root@nc1 ~]# pcs resource create VIP ocf:heartbeat:IPaddr2 ip=172.23.241.50 \
 cidr_netmask=24 op monitor interval=30s

[root@nc1 ~]# pcs resource
* VIP (ocf::heartbeat:IPaddr2): Started nc1

DRBD

Beim Dateisystem müssen Abhängigkeiten und Startreihenfolgen beachtet werden. Da diese Konfiguration komplex ist, wird sie im ersten Schritt in eine Konfigurationsdatei geschrieben, anschließend in den Cluster geladen.

[root@nc1 ~]# pcs cluster cib cluster.cfg

pcs -f cluster.cfg resource create clouddata ocf:linbit:drbd drbd_resource=cloud \
op monitor interval=30s

pcs -f cluster.cfg resource promotable clouddata clone_clouddata master-max=1 \
 master-node-max=1 clone-max=2 clone-node-max=1 notify=true

pcs -f cluster.cfg resource create fs_clouddata ocf:heartbeat:Filesystem \
device="/dev/drbd0" directory="/cloudstore" fstype="ext4"

pcs -f cluster.cfg constraint colocation add clone_clouddata with VIP INFINITY

pcs -f cluster.cfg constraint order VIP then clone_clouddata

pcs -f cluster.cfg constraint colocation add fs_clouddata with \
clone_clouddata INFINITY

pcs -f cluster.cfg constraint order promote clone_clouddata \
then start fs_clouddata

[root@nc1 ~]# pcs -f cluster.cfg resource status
* VIP (ocf::heartbeat:IPaddr2): Started nc1
* Clone Set: clone_clouddata [clouddata] (promotable):
* Stopped: [ nc1 nc2 ]
* fs_clouddata (ocf::heartbeat:Filesystem): Stopped

[root@nc1 ~]# pcs cluster cib-push cluster.cfg
CIB updated

Jetzt sollte die Partition /cloudstore gemountet sein.

[root@nc1 ~]# mount | grep -i cloud
/dev/drbd0 on /cloudstore type ext4 (rw,relatime)

[root@nc1 ~]# pcs status
Cluster name: cloud
Cluster Summary:
* Stack: corosync
* Current DC: nc1 (version 2.1.2-4.0.1.el8_6.2-ada5c3b36e2) - partition with quorum
* Last updated: Wed Jul 13 13:44:37 2022
* Last change: Wed Jul 13 13:32:35 2022 by root via cibadmin on nc1
* 2 nodes configured
* 4 resource instances configured

Node List:
* Online: [ nc1 nc2 ]

Full List of Resources:
* VIP (ocf::heartbeat:IPaddr2): Started nc1
* Clone Set: clone_clouddata [clouddata] (promotable):
* Masters: [ nc1 ]
* Stopped: [ nc2 ]
* fs_clouddata (ocf::heartbeat:Filesystem): Started nc1

Daemon Status:
corosync: active/enabled
pacemaker: active/enabled
pcsd: active/enabled

Jetzt muss die Partition für den Webserver eingerichtet werden.

pcs cluster cib apache.cfg

pcs -f apache.cfg resource create webdata ocf:linbit:drbd drbd_resource=web op monitor interval=30s

pcs -f apache.cfg resource promotable webdata clone_webdata master-ax=1 master-node-max=1 clone-max=2 clone-node-max=1 notify=true

pcs -f apache.cfg resource create fs_webdata ocf:heartbeat:Filesystem device="/dev/drbd1" directory="/var/www" fstype="ext4"

pcs -f apache.cfg constraint colocation add clone_webdata with VIP INFINITY

pcs -f apache.cfg constraint order VIP then clone_webdata

pcs -f apache.cfg constraint colocation add fs_webdata with clone_webdata INFINITY

pcs -f apache.cfg constraint order promote clone_webdata then start fs_webdata

pcs -f apache.cfg resource status

pcs cluster cib-push apache.cfg

Damit ist die Partition /var/www gemountet und einsatzbereit.

[root@nc1 ~]# mount | grep -i www
/dev/drbd1 on /var/www type ext4 (rw,relatime)

Apache

Für den Webserver muss ebenfalls eine Ressource erstellt werden, vorher muss dieser jedoch erstmal installiert werden.

dnf install oracle-epel-release-el8 -y
dnf install httpd mod_qos mod_ssl -y
cd /var/www
chown apache:apache /html
chmod 750 /html

Sollte mod_reqtime beim Apache in Verwendung sein, muss dieses Modul deaktiviert werden, andernfalls kommt es zu php_fcgid Fehlern.

vi /etc/httpd/conf.d/status.conf

    SetHandler server-status
    Require local

Jetzt muss die Clusterressource erstellt werden.

pcs cluster cib httpd.cfg

pcs -f httpd.cfg resource create httpd ocf:heartbeat:apache configfile=/etc/httpd/conf/httpd.conf statusurl=http://127.0.0.1/server-status

pcs -f httpd.cfg constraint colocation add httpd with VIP INFINITY

pcs -f httpd.cfg constraint order fs_webdata then start httpd

pcs -f httpd.cfg constraint order VIP then httpd

pcs cluster cib-push httpd.cfg

Anschließend sollte Apache starten.

[root@nc1 ~]# pcs status
Cluster name: cloud
Cluster Summary:
* Stack: corosync
* Current DC: nc1 (version 2.1.2-4.0.1.el8_6.2-ada5c3b36e2) - partition with quorum
* Last updated: Wed Jul 13 14:51:47 2022
* Last change: Wed Jul 13 14:50:47 2022 by root via cibadmin on nc1
* 2 nodes configured
* 8 resource instances configured

Node List:
* Online: [ nc1 nc2 ]

Full List of Resources:
* VIP (ocf::heartbeat:IPaddr2): Started nc1
* Clone Set: clone_clouddata [clouddata] (promotable):
* Masters: [ nc1 ]
* Stopped: [ nc2 ]
* fs_clouddata (ocf::heartbeat:Filesystem): Started nc1
* Clone Set: clone_webdata [webdata] (promotable):
* Masters: [ nc1 ]
* Stopped: [ nc2 ]
* fs_webdata (ocf::heartbeat:Filesystem): Started nc1
* httpd (ocf::heartbeat:apache): Started nc1

Daemon Status:
corosync: active/enabled
pacemaker: active/enabled
pcsd: active/enabled

Der Webserverprozess wird somit erst aktiviert, nachdem DRBD /dev/drbd1 nach /var/www gemountet hat. Diese Reihenfolge ist wichtig, anderfalls wird Apache nicht starten.

Durch Pacemaker kann apachectl nicht mehr verwendet werden, daher muss der Prozess mit pcs resource restart httpd gesteuert werden.

PHP

Als Skriptsprache wird PHP 8.0.x verwendet. PHP wird folgendermaßen installiert:

dnf install https://rpms.remirepo.net/enterprise/remi-release-8.rpm
dnf module reset php -y
dnf module enable php:remi-8.0

dnf install -y php php-cli php-common php-pdo php-fpm php-mbstring php-opcache php-sodium php-xml \
php-mbstring php-intl php-pecl-zip php-pecl-apcu php-gmp php-bcmath php-ldap php-pecl-xmlrpc \
php-process php-soap php-tidy php-pecl-imagick php-mysqlnd php-pear php-fedora-autoloader \
php-pecl-redis5 php-pecl-igbinary php-pecl-msgpack php-pecl-mcrypt php-gd
/etc/php.ini anpassen:
output_buffering = Off
max_execution_time = 300
max_input_time = 300
memory_limit = 4096M
post_max_size = 1024M
upload_max_filesize = 1024M
max_file_uploads = 100
file_uploads = On

Jetzt kann mittels systemctl restart php-fpm der Prozess gestartet werden, der Webserver sollte jetzt PHP-Skripte ausführen. PHP-FPM wird ebenfalls über Pacemaker gesteuert und nach dem Webserverprozess gestartet.

pcs cluster cib phpfpm.cfg

pcs -f phpfpm.cfg resource create phpfpm systemd:php-fpm

pcs -f phpfpm.cfg constraint colocation add phpfpm with VIP INFINITY

pcs -f phpfpm.cfg constraint order httpd then start phpfpm

pcs -f phpfpm.cfg constraint order VIP then phpfpm

pcs cluster cib-push phpfpm.cfg

Der Clusterstatus sollte jetzt so aussehen:

[root@nc1 ~]# pcs status
Cluster name: cloud
Cluster Summary:
* Stack: corosync
* Current DC: nc1 (version 2.1.2-4.0.1.el8_6.2-ada5c3b36e2) - partition with quorum
* Last updated: Fri Jul 15 17:28:39 2022
* Last change: Fri Jul 15 12:18:49 2022 by root via cibadmin on nc1
* 2 nodes configured
* 9 resource instances configured

Node List:
* Online: [ nc1 nc2 ]

Full List of Resources:
* VIP (ocf::heartbeat:IPaddr2): Started nc1
* Clone Set: clone_clouddata [clouddata] (promotable):
* Masters: [ nc1 ]
* Stopped: [ nc2 ]
* fs_clouddata (ocf::heartbeat:Filesystem): Started nc1
* Clone Set: clone_webdata [webdata] (promotable):
* Masters: [ nc1 ]
* Stopped: [ nc2 ]
* fs_webdata (ocf::heartbeat:Filesystem): Started nc1
* httpd (ocf::heartbeat:apache): Started nc1
* phpfpm (systemd:php-fpm): Started nc1

Daemon Status:
corosync: active/enabled
pacemaker: active/enabled
pcsd: active/enabled

Somit sind Dateisystem, Webserver und Cluster installiert und (grob) konfiguriert.

Nextcloud installieren

Nextcloud herunterladen, entpacken und in die Webserverroot kopieren.

wget https://download.nextcloud.com/server/releases/latest.zip
unzip latest.zip
cp -rv nextcloud/* /var/www/html
cd /var/www/html
chown -R apache:apache *
find . -type f -print0 | xargs -0 chmod 640
find . -type d -print0 | xargs -0 chmod 750

Das setzen der Rechte sollte, im Gegensatz zu GFS, schnell erledigt sein.

Anschließend wird https://172.23.241.50 aufgerufen (virtuelle IP des Webservercluster) und die Installation gestartet.

Wichtig: bei der Datenbankverbindung wird die virtuelle IP des DB-Loadbalancers eingetragen und Port 3307. Hier ist der HAProxyd gebunden.

Nach der Installation kann sich eingeloggt werden. Es tauchen diverse Fehler im Backend auf.

Nextcloud konfigurieren

Die config.php muss um alle Webnodes erweitert werden.

'trusted_domains' =>

array (

0 => 'nc1.decon230.org',
1 => 'nc2.decon230.org',
2 => 'nc.decon230.org',

),

Ein lokaler Cache muss angeben werden.

'memcache.local' => '\OC\Memcache\APCu',

Anschließend kann der Fehler

An unhandled exception has been thrown:
OCP\HintException: [0]: Memcache \OC\Memcache\APCu not available for local cache
(Is the matching PHP module installed and enabled?)

auftreten. Dieser wird mittels vi /etc/php.d/40-apcu.ini und dem aktivieren von apc.enable_cli=1 behoben.

Redis wird als Cache und File Locking Tool eingerichtet. Wer keinen Rediscluster benutzen möchte, verwendet folgende Einstellungen:

'filelocking.enabled' => true,
'memcache.locking' => '\OC\Memcache\Redis',
'memcache.distributed' => '\OC\Memcache\Redis',
'redis' => array(
'host' => '172.23.241.60',
'port' => 6379,
'dbindex' => 0,
'password' => 'xxx',
'timeout' => 0.0,
),

Ein Rediscluster wird folgendermaßen konfiguriert:

'filelocking.enabled' => true,
'memcache.locking' => '\\OC\\Memcache\\Redis',
'memcache.distributed' => '\\OC\\Memcache\\Redis',
'redis.cluster' =>
array (
'seeds' =>
array (
0 => '172.23.241.61:7000',
1 => '172.23.241.62:7000',
2 => '172.23.241.63:7000',
),
'timeout' => '0.0',
'read_timeout' => '0.0',
'password' => 'xxx',
'dbindex' => '0',
'failover_mode' => '\\RedisCluster::FAILOVER_ERROR',
),

Die Datenintegrität wird mittels sudo -u apache php occ maintenance:update:htaccess wiederhergestellt. Anschließend muss im Webinterface auf “Scan” geklickt werden.

Der Fehler Your web server is not properly set up to resolve "/.well-known/nodeinfo". wird mittels Anpassung im Apachen behoben, ebenfalls der HSTS Fehler.

/etc/httpd/conf.d/nextcloud.conf

Redirect 301 /.well-known/carddav /remote.php/dav
Redirect 301 /.well-known/caldav /remote.php/dav
Redirect 301 /.well-known/webfinger /index.php/.well-known/webfinger
Redirect 301 /.well-known/nodeinfo /index.php/.well-known/nodeinfo

Header always set Strict-Transport-Security "max-age=15552000; includeSubDomains; preload"

Weitere Anpassungen, die nützlich sind:

Telefonregion:

'default_phone_region' => 'DE',

Integritätsprüfung:

'integrity.check.disabled' => true,

Logging:

'loglevel' => 0,

Theme:

'theme' => '',

Apps installieren

Um Collaboration Features zu nutzen, müssen Apps nachinstalliert werden. Entweder geschieht dies über die WebGUI, oder per CLI. Um Deck zu installieren, wird folgender Befehl ausgeführt:

cd /var/www/html
sudo -u apache php occ app:install deck

Dies kann pro App einzeln ausgeführt werden, oder automatisch per Skript. Apps die sinnvoll sind, sind z. Bsp.

announcementcenter
bookmarks
calendar
contacts
files_accesscontrol
files_automatedtagging
files_markdown
notes
polls
quota_warning
tasks
guests
files_rightclick
files_mindmap
onlyoffice
deck
drawio
checksum
extract
files_downloadactivity
news
apporder
twofactor_backupcodes
twofactor_totp
collectives
circles
groupfolders

Standard Cronjob

Zwecks Verwaltung wird ein Cronjob benötigt. Dieser kann zwar als Webcron eingerichtet werden, wird jedoch nicht empfohlen. Der Cronjob muss in diesem Falle als Apache laufen.

crontab -u apache -e

*/15 * * * * /usr/bin/php /var/www/html/cron.php

Damit ist die Cloudsoftware installiert und konfiguriert.

Cluster Cronjob

Da es sich hier um einen aktiv/passive Cluster handelt ist das Dateisystem nur auf dem aktiven Clusternode vorhanden. Als Folge wird ein “normaler” Cronjob auf der passive Node ins Leere verlaufen und Fehlermeldungen bringen. Um dies zu verhindern wird der Cronjob ebenfalls per Pacemaker eingerichtet.

mkdir /opt/cron
vi /opt/cron/nccron
*/15 * * * * apache /bin/php -f /var/www/html/cron.php

Jetzt wird Pacemaker konfiguriert

pcs cluster cib cron.cfg

pcs -f cron.cfg resource create cron-nextcloud ocf:heartbeat:symlink \
link=/etc/cron.d/nccron target=/opt/cron/nccron op monitor interval=30s

pcs -f cron.cfg constraint colocation add cron-nextcloud with VIP INFINITY

pcs -f cron.cfg constraint order httpd then start cron-nextcloud

pcs -f cron.cfg constraint order VIP then cron-nextcloud

pcs cluster cib-push cron.cfg

Damit ist auch der Cronjob hochverfügbar.