Unterschiede
Hier werden die Unterschiede zwischen zwei Versionen angezeigt.
| Beide Seiten der vorigen Revision Vorhergehende Überarbeitung Nächste Überarbeitung | Vorhergehende Überarbeitung | ||
|
invis_server_wiki:installation:basesetup-160 [2026/02/15 10:07] flacco [Festplatten-Management] |
invis_server_wiki:installation:basesetup-160 [2026/02/16 11:15] (aktuell) flacco [Netzwerkkonfiguration] |
||
|---|---|---|---|
| Zeile 52: | Zeile 52: | ||
| </code> | </code> | ||
| + | ===== Letzte Vorbereitungen ===== | ||
| + | Um das invis-Setup einzuleiten benötigen Sie unser Setup-Paket "invisAD-setup". Dieses Paket ist nicht in den Standard-Repositories enthalten. Es muss also ergänzend eines unserer Repositories eingebunden werden. | ||
| + | |||
| + | Zur Verfügung stehen folgende Repositories zur Vefügung: | ||
| + | |||
| + | - **spins:invis:stable** - Stabile Version der invis-Server Setup Pakets. Nutzen Sie dieses Repository für produktiv genutzte invis-Server | ||
| + | - **spins:invis:unstable** - In Entwicklung befindliche Versionen der invis-Server Setup Pakets. Nutzen Sie dieses Repository, wenn Sie uns mit Rat, Tat, Lob oder Kritik bei der Weiterentwicklung unterstützen möchten. | ||
| + | |||
| + | Zur Einbindung des gewünschten Repositories haben wir mit //**invisprep**// ein Script erstellt, welches diesen Schritt automatisch durchführt. | ||
| + | |||
| + | **Download: {{:invis_server_wiki:installation:invisprep.gz|invisprep}}** | ||
| + | |||
| + | Laden Sie es auf Ihren Server herunter, entpacken Sie es und führen Sie es aus. | ||
| + | |||
| + | //**Hinweis:** Beim direkten Download der Datei mit **wget** ändert sich der Name der Datei. Das kann beim Entpacken zu Verwirrung führen. Dabei hilft folgende Kommandozeile:// | ||
| + | |||
| + | <code> | ||
| + | linux:~ # wget -O invisprep.gz https://wiki.invis-server.org/lib/exe/fetch.php?media=invis_server_wiki:installation:invisprep.gz | ||
| + | </code> | ||
| + | |||
| + | Die Datei kann jetzt entpackt und ausgeführt werden: | ||
| + | |||
| + | <code> | ||
| + | invis:~ # gunzip invisprep.gz | ||
| + | invis:~ # chmod +x invisprep | ||
| + | invis:~ # ./invisprep | ||
| + | </code> | ||
| + | |||
| + | Danach kann das invis-Setup Paket installiert werden: | ||
| + | |||
| + | <code> | ||
| + | linux:~ # zypper ref | ||
| + | linux:~ # zypper in invisAD-setup-16 (vorerst noch -15) | ||
| + | </code> | ||
| + | |||
| + | Seit Version 11 des invis-Servers ist die Major-Release-Nummer teil des Paketnamens. Sie müssen sie natürlich korrekt angeben. Es ist beispielsweise möglich, dass speziell im "unstable" Repository mehrere Versionen vorhanden sind. | ||
| + | |||
| + | //**Hinweis:** Dass bei der Installation des invisAD-setup RPMs sehr viele weitere Software-Pakete installiert werden ist normal. ;-)// | ||
| + | |||
| + | |||
| + | ===== Netzwerkkonfiguration ===== | ||
| + | |||
| + | Durch den Wegfall von YaST mit Leap 16 hat sich hier einiges geändert. Auch "wicked" als Dienst zum Management der Netzwerkschnittstellen ist nicht mehr Teil von openSUSE Leap. openSUSE Leap setzt zunächst voll und ganz auf den Networkmanager. Dieser spielt seine Stärken vor allem auf Desktop-Installationen aus, da es damit normalen Usern ohne administrative Rechte gestattet ist beispielsweise einen WLAN-Zugriff zu konfigurieren. Für Server-Installationen ohne grafische Oberfläche ist er unserer Meinung nach eher nicht geeignet. Daher ersetzen wir ab invis-Server 16, den Networkmanager, respektive "wicked" durch "systemd-networkd", eine Komponente des Systemd, wie unschwer am Namen zu erkennen ist. | ||
| + | |||
| + | Der Wechsel erfolgt automatisch mit dem Ausführen des Scripts **//netsetup//**. | ||
| + | |||
| + | Unverändert bleibt, dass beim invis-Server die einzelnen Netzwerkschnittstellen entsprechend Ihrer Verbindung, bzw. Firewall-Zone benannt werden. | ||
| + | |||
| + | Um die Benennung der Netzwerkschnittstellen mit den einzelnen Firewall-Zonen eines invis-Servers in Verbindung zu bringen, werden die Namen der Netzwerkschnittstellen auf Basis von udev-Regeln vergeben. Auch die Benennung der im Laufe des Setups einzurichtenden VPN-Schnittstelle wird ein entsprechender Name gegeben: | ||
| + | |||
| + | ^ Vom System vergebener Gerätename ^ Aktueller Name ^ | ||
| + | | eth0 oder enpXsY | extern | | ||
| + | | eth1 oder enpXsY | intern | | ||
| + | | //eth2 oder enpXsY// | //dmz// | | ||
| + | | tun1 | vpn | | ||
| + | |||
| + | Die erste Netzwerkkarte des Systems (extern) stellt die Verbindung des Servers mit dem Internet her - entspricht somit der externen Zone Ihrer Firewall. | ||
| + | Je nach dem, wie der dem invis-Server vorgeschaltete Router konfiguriert ist, müssen Sie "extern" als DHCP-Client oder gemäß den Vorgaben Ihres Providers Konfigurieren. | ||
| + | |||
| + | Die zweite Netzwerkkarte (intern) muss mit einer festen IP-Adresse versehen werden. Selbst, wenn über den Internet-Service-Provider eine feste IP-Adresse zur Verfügung steht, ist für das interne Netz die Verwendung eines eigenen Netzes zwingend. | ||
| + | |||
| + | Falls mehr als zwei Netzwerkschnittstellen vorhanden sind, wird die dritte Schnittstelle in **dmz** umbenannt, auch wenn das invis-Server Setup dies (derzeit) in keiner Weise nutzt. | ||
| + | |||
| + | Die Erstellung der UDEV-Regeln wird mittels unseres Script **//netsetup//** erledigt, aufgerufen wird es ohne weitere Parameter: | ||
| + | |||
| + | <code> | ||
| + | localhost:~ # netsetup | ||
| + | localhost:~ # reboot | ||
| + | </code> | ||
| + | |||
| + | Im Anschluss an dessen Ausführung muss das System neu gestartet werden. **//netsetup//** sorgt automatisch dafür, dass die externe Schnittstelle versucht sich eine IP-Adresse per DHCP zu besorgen. Wenn alles gut geht, ist der Server also nach dem Reboot per **SSH** erreichbar. | ||
| + | |||
| + | Die Konfiguration der internen oder weiterer Schnittstellen erfolgt mittels des neuen Scripts **//netdevconf//**. | ||
| + | |||
| + | //**Achtung: Vermeiden Sie es Ihrem lokalen Netzwerk typisch Adressbereiche gängiger Router-Modelle wie auch üblicher Docker Konfigurationen zu verpassen. Hier ein paar Beispiele von denen Sie die Finger lassen sollten:**// | ||
| + | |||
| + | ^ typische IP Netze gängiger Router und Docker-Installationen ^ | ||
| + | | 192.168.0.0/24 | | ||
| + | | 192.168.1.0/24 | | ||
| + | | 192.168.2.0/24 | | ||
| + | | 192.168.50.0/24 | | ||
| + | | 192.168.100.0/24 | | ||
| + | | 192.168.177.0/24 | | ||
| + | | 192.168.178.0/24 | | ||
| + | | 192.168.188.0/24 | | ||
| + | | 172.16 - 24.0.0/16 | | ||
| + | |||
| + | Achtung: Bevor Sie jetzt die Netzwerkschnittstellen Ihres invis-Servers konfigurieren ein Hinweis dazu. invis-Server können lediglich mit 16 und 24 Bit breiten Netzwerkmasken also „255.255.0.0“ (/16) und „255.255.255.0“ (/24) umgehen. Idealerweise konfigurieren Sie für die interne Netzwerkschnittstelle ein privates IP-Netzwerk der Klassen „B“ (172.16.0.0 bis 172.31.255.255) oder „C“ (192.168.0.0 bis 192.168.255.255). Über die Unterstützung von Klasse „A“ Netzen denken wir noch nach, erachten dies aber nicht wirklich als notwendig für „kleine“ Netze. | ||
| + | |||
| + | **//netdevconf//** erfordert als Aufrufparameter zunächst den Namen der Schnittstelle und dann die gewünschte IP-Adresse nebst Netzwerkmaske in Kurzschreibweise: | ||
| + | |||
| + | <code> | ||
| + | localhost:~ # netdevconf intern 172.26.0.10/16 | ||
| + | </code> | ||
| + | |||
| + | Wir unterteilen die Netze der beiden unterstützten Netzwerkklassen für den DHCP-Server in verschiedene Bereiche (Damit ist **kein** Subnetting gemeint). Die nachfolgende Tabelle zeigt die verschiedenen Bereiche, angezeigt wird jeweils nur der Host-Anteil der IP-Adressen. | ||
| + | |||
| + | ^ Geräteklasse ^ Klasse C Netz ^ Klasse B Netz ^ | ||
| + | ^ Server | .11 - .19 | .0.11 - .0.253 | | ||
| + | ^ Drucker | .20 - .50 | .1.1 - .1.254 | | ||
| + | ^ IP-Geräte | .60 - .90 | .2.1 - .3.254 | | ||
| + | ^ PCs | .120 - .199 | .4.1 - .4.254 | | ||
| + | ^ dyn. Bereich | .200 - .220 | .200.1 - .200.254 | | ||