Unterschiede
Hier werden die Unterschiede zwischen zwei Versionen angezeigt.
| Beide Seiten der vorigen Revision Vorhergehende Überarbeitung Nächste Überarbeitung | Vorhergehende Überarbeitung | ||
|
invis_server_wiki:installation:basesetup-140 [2018/05/26 16:10] flacco [Festplatten-Management] |
invis_server_wiki:installation:basesetup-140 [2023/07/24 06:12] (aktuell) flacco [Netzwerkkonfiguration] |
||
|---|---|---|---|
| Zeile 1: | Zeile 1: | ||
| ====== Basis-Installation ====== | ====== Basis-Installation ====== | ||
| - | Eine Schritt für Schritt Anleitung zur Installation eines openSUSE Leap ollte wohl nicht erforderlich sein. Daher hier nur ein paar Anmerkungen zum Festplatten-Management, der Software-Paket-Auswahl sowie der anschließenden Netzwerkkonfiguration. | + | Eine Schritt für Schritt Anleitung zur Installation eines openSUSE Leap sollte wohl nicht erforderlich sein. Daher hier nur ein paar Anmerkungen zum Festplatten-Management, der Software-Paket-Auswahl sowie der anschließenden Netzwerkkonfiguration. |
| Zur Installation eines invis-Servers ab Version 14.0 wird ein [[https://software.opensuse.org/distributions/leap | openSUSE Leap 15.x]] vorausgesetzt. | Zur Installation eines invis-Servers ab Version 14.0 wird ein [[https://software.opensuse.org/distributions/leap | openSUSE Leap 15.x]] vorausgesetzt. | ||
| Zeile 55: | Zeile 55: | ||
| Verteilen Sie auf keinen Fall den gesamten zur Verfügung stehenden Plattenplatz auf die genannten Volumes. Mit einer ordentlichen Reserve, können ungenutzten Platz später nach Bedarf auf die vorhandenen Volumes verteilen. Weiterhin benötigen Sie eine Reserve die Sie temporär für LVM-Snapshots als Basis für Datensicherungen nutzen können. Die Größe dieser Reserve ist abhängig von den zu erwartenden "großen" Dateien. Wenn Sie beispielsweise virtuelle Maschinen mit großen Festplatten-Images einrichten müssen diese Images in die Reserve passen. | Verteilen Sie auf keinen Fall den gesamten zur Verfügung stehenden Plattenplatz auf die genannten Volumes. Mit einer ordentlichen Reserve, können ungenutzten Platz später nach Bedarf auf die vorhandenen Volumes verteilen. Weiterhin benötigen Sie eine Reserve die Sie temporär für LVM-Snapshots als Basis für Datensicherungen nutzen können. Die Größe dieser Reserve ist abhängig von den zu erwartenden "großen" Dateien. Wenn Sie beispielsweise virtuelle Maschinen mit großen Festplatten-Images einrichten müssen diese Images in die Reserve passen. | ||
| - | <WRAP tip>Wenn Sie genau wie wir auf die Kombination aus Software-RAID, LVM und dem ext4 Dateisystem setzen, kann es insbesondere bei RAID5 Systemen zu einer unglücklichen Situation kommen. Nach dem ersten Start des installierten Servers laufen zwei sich gegenseitig stark behindernde Prozesse ab. Die RAID-Erstsynchronisation zum einen und die Fertigstellung der ext4-Dateisysteme (ext4lazyinit) zum anderen.\\ Beide Prozesse behindern sich so sehr, dass weitere parallele Zugriffe auf die Datenträger kaum möglich sind. Währenddessen als an die weitere Installation des invis-Servers zu denken ist keine sehr spaßige Idee. Es kann vereinzelt sogar zu ernsten Problemen kommen.\\ | + | //**Achtung:** Wenn Sie genau wie wir auf die Kombination aus Software-RAID, LVM und dem ext4 Dateisystem setzen, kann es insbesondere bei RAID5 Systemen zu einer unglücklichen Situation kommen. Nach dem ersten Start des installierten Servers laufen zwei sich gegenseitig stark behindernde Prozesse ab. Die RAID-Erstsynchronisation zum einen und die Fertigstellung der ext4-Dateisysteme (ext4lazyinit) zum anderen.\\ Beide Prozesse behindern sich so sehr, dass weitere parallele Zugriffe auf die Datenträger kaum möglich sind. Währenddessen als an die weitere Installation des invis-Servers zu denken ist keine sehr spaßige Idee. Es kann vereinzelt sogar zu ernsten Problemen kommen.\\ |
| - | Es gibt aus dieser Situation einen recht einfachen Ausweg. Der Kernelprozess "ext4lazyinit" kann nur laufen, wenn das fertigzustellende Dateisystem gemountet ist. Booten Sie Ihr System nach der Basis-Installation einfach per CD/DVD in das SUSE Rettungssystem und warten Sie bis die RAID-Synchronisation abgeschlossen ist. Das dauert zwar je nach Plattengröße auch eine ganze Weile (mehrere Stunden) ist aber in der Summe immer noch deutlich schneller als alles gleichzeitig laufen zu lassen. Sie können der RAID-Synchronisation mit folgendem Kommando zuschauen:</WRAP> | + | Es gibt aus dieser Situation einen recht einfachen Ausweg. Der Kernelprozess "ext4lazyinit" kann nur laufen, wenn das fertigzustellende Dateisystem gemountet ist. Booten Sie Ihr System nach der Basis-Installation einfach per CD/DVD in das SUSE Rettungssystem und warten Sie bis die RAID-Synchronisation abgeschlossen ist. Das dauert zwar je nach Plattengröße auch eine ganze Weile (mehrere Stunden) ist aber in der Summe immer noch deutlich schneller als alles gleichzeitig laufen zu lassen. Sie können der RAID-Synchronisation mit folgendem Kommando zuschauen:// |
| <code> | <code> | ||
| Zeile 97: | Zeile 97: | ||
| <code> | <code> | ||
| - | linux:~ # wget -O invisprep.gz http://wiki.invis-server.org/lib/exe/fetch.php/invis_server_wiki:invisprep.gz | + | linux:~ # wget -O invisprep.gz https://wiki.invis-server.org/lib/exe/fetch.php?media=invis_server_wiki:invisprep.gz |
| </code> | </code> | ||
| - | Danach kann das invis-Setup Paket installiert werden: | + | Die Datei kann jetzt entpackt und ausgeführt werden: |
| <code> | <code> | ||
| - | linux:~ # zypper ref | + | invis:~ # gunzip invisprep.gz |
| - | linux:~ # zypper in invisAD-setup-13 | + | invis:~ # chmod +x invisprep |
| + | invis:~ # ./invisprep | ||
| </code> | </code> | ||
| - | (Stand Mai 2018: Für die Stable-Installation lesen Sie bitte [[https://wiki.invis-server.org/doku.php/invis_server_wiki:installation#installation_invis_ad_ab_version_110|hier]] weiter.) | + | Danach kann das invis-Setup Paket installiert werden: |
| - | + | ||
| - | oder "unstable" | + | |
| <code> | <code> | ||
| Zeile 119: | Zeile 118: | ||
| //**Hinweis:** Dass bei der Installation des invisAD-setup RPMs sehr viele weitere Software-Pakete installiert werden ist normal. ;-)// | //**Hinweis:** Dass bei der Installation des invisAD-setup RPMs sehr viele weitere Software-Pakete installiert werden ist normal. ;-)// | ||
| + | |||
| + | //**Hinweis:** Ab invis-Server Version 14.1 löst die Installation des Setup Pakets eine Reihe von Paketkonflikten aus. Genaugenommen sind das keine Konflikte sondern zyppers Weigerung automatisch zu akzeptieren, das lokal bereits installierte Pakete durch Pakete aus anderen Repositories aktualisiert werden. Erlauben Sie den Wechsel durch Auswahl von Lösungsvorschlag Nr.: **1**// | ||
| //**Hinweis:** Beim Installieren des Setup-Paketes bemängelt **zypper** einen Paketkonflikt bezüglich unseres eigenen DHCP-Server Pakets "invisdhcp". Wählen Sie Lösungsvorschlag Nr.: **1**// | //**Hinweis:** Beim Installieren des Setup-Paketes bemängelt **zypper** einen Paketkonflikt bezüglich unseres eigenen DHCP-Server Pakets "invisdhcp". Wählen Sie Lösungsvorschlag Nr.: **1**// | ||
| Zeile 124: | Zeile 125: | ||
| Um die Basis-Installation abzuschließen, müssen noch die beiden Netzwerkschnittstellen eingerichtet, sowie der voll qualifizierte Name ([[http://de.wikipedia.org/wiki/Domain#Fully_Qualified_Domain_Name_.28FQDN.29|FQDN]]) des Servers vergeben werden. | Um die Basis-Installation abzuschließen, müssen noch die beiden Netzwerkschnittstellen eingerichtet, sowie der voll qualifizierte Name ([[http://de.wikipedia.org/wiki/Domain#Fully_Qualified_Domain_Name_.28FQDN.29|FQDN]]) des Servers vergeben werden. | ||
| + | |||
| + | //**Achtung:** Verbinden Sie zwingend beide Netzwerkschnittstellen mit einem Gegenüber. Sie benötigen während der Installation natürlich Internetzugang, dass bedeutet, die externe Schnittstelle muss mit Ihrem Router verbunden sein, für die interne Schnittstelle genügt es sie mit einem Switch zu verbinden. Verbunden sein muss sie auf jeden Fall, da Ihr openSUSE Linux sie ansonsten deaktivieren würde, was sowohl das Netzwerksetup als auch die Installation des Servers sabotiert.// | ||
| **Bei der Namensvergabe gelten folgende Regeln:** | **Bei der Namensvergabe gelten folgende Regeln:** | ||
| * Der Name muss dem Schema **//host.domain.tld//** gehorchen. (//host.tld// ist **nicht** zulässig!) | * Der Name muss dem Schema **//host.domain.tld//** gehorchen. (//host.tld// ist **nicht** zulässig!) | ||
| - | * Für die Top-Level-Domain (TLD) sollte eine Fantasie-Domain wie beispielsweise //**.loc**//, //**.lan**// oder //**.corp**// verwendet werden. Die Verwendung einer im Internet gültigen bzw. bereits vergebenen Domain führt zu Problemen beim Routing und dem EMail-Handling. | + | * Für die Top-Level-Domain (TLD) sollte eine Fantasie-Domain wie beispielsweise //**.corp**//, //**.home**// oder auch //**.lan**// verwendet werden. Die Verwendung einer im Internet gültigen bzw. bereits vergebenen Domain führt zu Problemen beim Routing und dem EMail-Handling. |
| - | //**Hinweis:** Dieses Thema ist hoch umstritten. Die für die Zulassung von Top-Level-Domains zuständige Organisation ICANN warnt wegen der ständig neu zugelassenen TLDs vor Domain-Kollisionen, hat aber die Vergabe von beispielsweise .corp auf unbestimmte Zeit zurück gestellt. [[https://heise.de/-2062606|Infos zum Thema]]. Unserer Meinung nach fällt es gerade kleineren Unternehmen, an die sich unser Projekt ja wendet, schwer auch für interne Zwecke mit offiziell registrierten Domains zu arbeiten. Es steht Ihnen natürlich frei dies zu tun.// | + | //**Hinweis:** Dieses Thema war lange hoch umstritten. Die für die Zulassung von Top-Level-Domains zuständige Organisation ICANN warnt wegen der ständig neu zugelassenen TLDs vor Domain-Kollisionen und hatte etwa die Vergabe von beispielsweise .corp auf unbestimmte Zeit zurück gestellt. [[https://heise.de/-2062606|Infos zum Thema]]. Seit 2018 ist es allerdings amtlich. Die Top-Level Domains //**.internal**//, //**.intranet**//, //**.private**//, //**.lan**//, //**.corp**//, //**.home**// und //**.mail**// bleiben für interne bzw. private Nutzung reserviert. [[https://datatracker.ietf.org/doc/html/rfc6762#appendix-G|Siehe rfc6762]] und [[https://www.theregister.com/2018/02/12/icann_corp_home_mail_gtlds/|und hier]]. Leider gilt das nicht für das hier immer wieder beispielhaft verwendete //**.loc**//. Unserer Meinung nach fällt es gerade kleineren Unternehmen, an die sich unser Projekt ja wendet, schwer auch für interne Zwecke mit offiziell registrierten Domains zu arbeiten. Es steht Ihnen natürlich frei dies zu tun.// |
| Um die Benennung der Netzwerkschnittstellen mit den einzelnen Firewall-Zonen eines invis-Servers in Verbindung zu bringen, haben wir uns entschlossen, auf Basis von udev-Regeln klare Namen für die Netzwerkschnittstellen zu vergeben. Auch die Benennung der im Laufe des Setups einzurichtenden VPN-Schnittstelle wurde ein entsprechender Name gegeben: | Um die Benennung der Netzwerkschnittstellen mit den einzelnen Firewall-Zonen eines invis-Servers in Verbindung zu bringen, haben wir uns entschlossen, auf Basis von udev-Regeln klare Namen für die Netzwerkschnittstellen zu vergeben. Auch die Benennung der im Laufe des Setups einzurichtenden VPN-Schnittstelle wurde ein entsprechender Name gegeben: | ||
| ^ Früherer Gerätename ^ Aktueller Name ^ | ^ Früherer Gerätename ^ Aktueller Name ^ | ||
| - | | eth0 | extern | | + | | eth0 | extern | |
| - | | eth1 | intern | | + | | eth1 | intern | |
| - | | tun1 | vpn | | + | | //eth2// | //dmz// | |
| + | | tun1 | vpn | | ||
| Die erste Netzwerkkarte des Systems (extern) stellt die Verbindung des Servers mit dem Internet her - entspricht somit der externen Zone Ihrer Firewall. | Die erste Netzwerkkarte des Systems (extern) stellt die Verbindung des Servers mit dem Internet her - entspricht somit der externen Zone Ihrer Firewall. | ||
| Je nach dem, wie der dem invis-Server vorgeschaltete Router konfiguriert ist, müssen Sie "extern" als DHCP-Client oder gemäß den Vorgaben Ihres Providers Konfigurieren. | Je nach dem, wie der dem invis-Server vorgeschaltete Router konfiguriert ist, müssen Sie "extern" als DHCP-Client oder gemäß den Vorgaben Ihres Providers Konfigurieren. | ||
| + | |||
| + | Falls mehr als zwei Netzwerkschnittstellen vorhanden sind, wird die dritte Schnittstelle in **dmz** umbenannt, auch wenn das invis-Server Setup dies in keiner Weise nutzt. | ||
| Die zweite Netzwerkkarte (intern) muss mit einer festen IP-Adresse versehen werden. Selbst, wenn über den Internet-Service-Provider eine feste IP-Adresse zur Verfügung steht, ist für das interne Netz die Verwendung eines eigenen Netzes zwingend. | Die zweite Netzwerkkarte (intern) muss mit einer festen IP-Adresse versehen werden. Selbst, wenn über den Internet-Service-Provider eine feste IP-Adresse zur Verfügung steht, ist für das interne Netz die Verwendung eines eigenen Netzes zwingend. | ||
| + | |||
| + | //**Achtung:** Beim Konfigurieren der Netzwerkschnittstellen via YaST müssen Sie **unbedingt** darauf achten diese unmittelbar den richtigen Firewall-Zonen zuzuordnen. Diese sind: Für "intern" = "internal" und für "extern" = "external". Machen Sie dies nicht, werden die Schnittstellen später immer wieder von YaST, beispielsweise nach Updates, in die Standard-Zone "public" gepackt und Sie somit ausgesperrt. Ärgerlich, wenn der Server ein paar Hundert Kilometer entfernt von Ihnen steht.// | ||
| //**Achtung:** Bevor Sie jetzt die Netzwerkschnittstellen Ihres invis-Servers konfigurieren ein Hinweis dazu. invis-Server können lediglich mit 16 und 24 Bit breiten Netzwerkmasken also "255.255.0.0" (/16) und "255.255.255.0" (/24) umgehen. Idealerweise konfigurieren Sie für die interne Netzwerkschnittstelle ein privates IP-Netzwerk der Klassen "B" (172.16.0.0 bis 172.31.255.255) oder "C" (192.168.0.0 bis 192.168.255.255). Über die Unterstützung von Klasse "A" Netzen denken wir noch nach, erachten dies aber nicht wirklich als notwendig für "kleine" Netze.// | //**Achtung:** Bevor Sie jetzt die Netzwerkschnittstellen Ihres invis-Servers konfigurieren ein Hinweis dazu. invis-Server können lediglich mit 16 und 24 Bit breiten Netzwerkmasken also "255.255.0.0" (/16) und "255.255.255.0" (/24) umgehen. Idealerweise konfigurieren Sie für die interne Netzwerkschnittstelle ein privates IP-Netzwerk der Klassen "B" (172.16.0.0 bis 172.31.255.255) oder "C" (192.168.0.0 bis 192.168.255.255). Über die Unterstützung von Klasse "A" Netzen denken wir noch nach, erachten dies aber nicht wirklich als notwendig für "kleine" Netze.// | ||
| Zeile 149: | Zeile 157: | ||
| ^ typische IP Netze gängiger Router ^ | ^ typische IP Netze gängiger Router ^ | ||
| - | | 192.168.0.0/24 | | + | | 192.168.0.0/24 | |
| - | | 192.168.1.0/24 | | + | | 192.168.1.0/24 | |
| - | | 192.168.2.0/24 | | + | | 192.168.2.0/24 | |
| - | | 192.168.100.0/24 | | + | | 192.168.50.0/24 | |
| - | | 192.168.178.0/24 | | + | | 192.168.100.0/24 | |
| - | | 192.168.188.0/24 | | + | | 192.168.177.0/24 | |
| + | | 192.168.178.0/24 | | ||
| + | | 192.168.188.0/24 | | ||
| Wir unterteilen die Netze der beiden unterstützten Netzwerkklassen für den DHCP-Server in verschiedene Bereiche (Damit ist **kein** Subnetting gemeint). Die nachfolgende Tabelle zeigt die verschiedenen Bereiche, angezeigt wird jeweils nur der Host-Anteil der IP-Adressen. | Wir unterteilen die Netze der beiden unterstützten Netzwerkklassen für den DHCP-Server in verschiedene Bereiche (Damit ist **kein** Subnetting gemeint). Die nachfolgende Tabelle zeigt die verschiedenen Bereiche, angezeigt wird jeweils nur der Host-Anteil der IP-Adressen. | ||
| Zeile 192: | Zeile 202: | ||
| Konfigurieren Sie in YaST folgende Punkte: | Konfigurieren Sie in YaST folgende Punkte: | ||
| - | * **Hostname**, entsprechend der obigen Überlegungen | + | * **Hostname**, entsprechend der obigen Überlegungen. Der Hostname muss in YaST an zwei verschiedenen Stellen eingegeben werden. Einmal im Setup der internen Netzwerkschnittstelle und einmal unter Punkt "Hostname/DNS". Letzteres wirkt in Yast ein wenig merkwürdig. In älteren openSUSE Leap Versionen (bis 15.0) wurde hier ebenfalls der vollqualifizierte Name eingegeben. Unter 15.2 war und ist dies nicht möglich, da das Eingabefeld keine Punkte zulässt. Ab 15.3 können Punkte wieder eingegeben werden, dennoch **darf hier nur der Hostanteil des Namens eingegeben werden**! Im Punkt "Hostname/DNS" muss noch eingestellt werden, dass der Hostname des Servers **nicht** per DHCP überschrieben wird. Der entsprechende Parameter muss von "any" auf "no" geändert werden. |
| * **Externe Schnittstelle**: Bei Verwendung eines Routers mit DHCP-Server einfach als DHCP-Client einrichten. Bei Verwendung eines Routers ohne aktiven DHCP-Server ist die Schnittstelle statisch entsprechend der Netzwerk-Konfiguration des Routers einzurichten und zusätzlich der Router als Gateway zu konfigurieren. | * **Externe Schnittstelle**: Bei Verwendung eines Routers mit DHCP-Server einfach als DHCP-Client einrichten. Bei Verwendung eines Routers ohne aktiven DHCP-Server ist die Schnittstelle statisch entsprechend der Netzwerk-Konfiguration des Routers einzurichten und zusätzlich der Router als Gateway zu konfigurieren. | ||
| * **Interne Schnittstelle**: Hier ist eine statische Adresse einzurichten. Wichtig ist, dass mit der Adresse auch im letzten Eingabefeld der zuvor vergebene Hostname erneut einzugeben ist. Der Host-Teil der IP-Adresse sollte bezogen auf Ihr Netzwerk im Bereich von 1 bis 10 liegen, da ansonsten die Gefahr besteht, dass Ihr Server in einem der vom DHCP-Dienst verwendeten Bereiche liegt. Diese sind in obiger Tabelle aufgeführt.{{ :invis_server_wiki:installation:network_setup_intern.png?500 |}} | * **Interne Schnittstelle**: Hier ist eine statische Adresse einzurichten. Wichtig ist, dass mit der Adresse auch im letzten Eingabefeld der zuvor vergebene Hostname erneut einzugeben ist. Der Host-Teil der IP-Adresse sollte bezogen auf Ihr Netzwerk im Bereich von 1 bis 10 liegen, da ansonsten die Gefahr besteht, dass Ihr Server in einem der vom DHCP-Dienst verwendeten Bereiche liegt. Diese sind in obiger Tabelle aufgeführt.{{ :invis_server_wiki:installation:network_setup_intern.png?500 |}} | ||
| Zeile 222: | Zeile 232: | ||
| //**Hinweis:** Korrekt bemerkt, das in die Jahre gekommene Tool **ipconfig** ist nicht mehr Bestandteil von openSUSE leap 15.// | //**Hinweis:** Korrekt bemerkt, das in die Jahre gekommene Tool **ipconfig** ist nicht mehr Bestandteil von openSUSE leap 15.// | ||
| - | Zu prüfen ist auch ob der Hostname korrekt gesetzt wurde: | + | Zu prüfen ist auch ob der Hostname korrekt gesetzt wurde. Das nachfolgende Kommando muss den vollqualifizierten Namen (FQDN) ausgeben: |
| <code> | <code> | ||
| Zeile 228: | Zeile 238: | ||
| </code> | </code> | ||
| - | //**Achtung:** Wenn hierbei nach wie vor der von openSUSE während der Installation zufällig generierte Name (z.b. linux-lajhf1.site oder linux.suse) ausgegeben wird, kann das invis Server Setup **nicht** funktionieren. In diesem Fall bitte mit YaST das Setzen eines korrekten Hostnamens nachholen.// | + | //**Hinweis:** Ohne die Option ''-f'' darf hingegen nur der Hostanteil des Namens ausgegeben werden. Wird hier ebenfalls der FQDN ausgegeben, wurde via YaST im Punkt "Hostname/DNS" versehentlich der FQDN angegeben. Dies muss zwingend korrigiert werden!// |
| + | |||
| + | //**Hinweis:** Wenn hierbei nach wie vor der von openSUSE während der Installation zufällig generierte Name (z.b. linux-lajhf1.site oder linux.suse) ausgegeben wird, kann das invis Server Setup **nicht** funktionieren. In diesem Fall bitte mit YaST das Setzen eines korrekten Hostnamens nachholen.// | ||
| Damit sind Basisinstallation und Netzwerkkonfiguration abgeschlossen. | Damit sind Basisinstallation und Netzwerkkonfiguration abgeschlossen. | ||