Netzwerk

Aus Nerdberg
Wechseln zu:Navigation, Suche

Netzwerkeinstellungen

DHCP regelt die IPs.

IP Netze:

  • 10.73.36.0/23 dynamisch
  • 10.73.37.0/24 für statische IPs, werden auch vom DHCP vergeben
  • DHCP range 10.73.36.10-10.73.37.254

Geräte wie der Laser, die kein DHCP sprechen, werden statisch in das 36er Netz zugeteilt und der Start der DHCP range entsprechend angepasst.

Statische IPs

  • 10.73.36.1 Gateway/Modem/FritzBox
  • 10.73.36.2 DHCP / DNS
  • 10.73.36.3 TFTP Server
  • 10.73.36.4 Proxmox Hypervisor
  • 10.73.36.5 Laser!
  • 10.73.36.6 Laser VM
  • 10.73.37.14 freepbx
  • 10.73.37.3 door server


DNS

Es gibt drei DNS-Server, die alle auf dem dhcp.nerdberg.de laufen.

  • dnsmasq lauscht auf Port 53531, macht dhcp und ist authoritativ für die zone "dhcp.nerdberg.de". Diese zone wird via cronjob (nsd-control force_transfer dhcp.nerdberg.de && nsd-control write dhcp.nerdberg.de) 1x/minute per AXFR zone transfer an NSD übermittelt.
  • unbound lauscht auf Port 53, ist der rekursive resolver. Er verweist auf nsd für die nerdberg.de zone und auf dnsmasq für die dhcp.nerdberg.de zone, sowie für die internen reverse dns zonen. Ansonsten verweist er auf den DNS server von Bisping für upstream.
  • nsd lauscht auf Port 53530 und ist der authoritative DNS Server für die nerdberg.de zone. Die dhcp.nerdberg.de zone ist als secondary ebenfalls vorhanden. Er ist von extern auf port 53 erreichbar.

Das zonefile für nerdberg.de liegt unter /etc/nsd/zones/nerdberg.de.zone. Nach anpassen der zone die serial inkrementieren und systemctl restart nsd unbound ausführen.

= Lets Encrypt

Damit Dienste wie der Türserver ein gültiges Zertifikat bekommen, gibt es auf dem dhcp ein Dienst auf Port 8080 eine API, die ein ACME Key im DNS hinterlegen kann.

Aufruf: http://dhcp.nerdberg.de:8080?token=$PASS&challenge=$CERTBOT_VALIDATION&domain=$SUBDOMAIN

Das ganze deployen und verteilen auf allen Nameservern dauert ca. 10 Sekunden. Danach kann mit Certbot eine Abfrage gemacht werden.

Für Apache hat sich folgender Befehl bewährt:

certbot certonly --manual -d door.nerdberg.de --preferred-challenges dns --agree-tos --manual-auth-hook /opt/certbotdns.sh --manual-public-ip-logging-ok -i apache