Skip to content

Eine Defaultroute überschreiben, ohne sie zu überschreiben

Eine gängige Herausforderung, Fall 1: Ein mobiles Clientsystem soll mit HIlfe eines VPN-Clients mit einem geschützten Netzwerk verbunden werden. Dabei ist gewünscht, dass während der Tunnel aufgebaut ist der gesamte Netzwerktraffic des Clients über das VPN geht. Nach Abbau des Tunnels soll wieder alles so sein wie vorher.

Fall 2: Ein Dual-Homed Host in einem RZ (z.B. ein Proxy) soll im Wartungsbetrieb seine Defaultroute "nach innen" gesetzt haben, so wie sie auch aus dem Deployment-System herausfällt. Im Wirkbetrieb jedoch soll die Defaultroute "nach außen" gesetzt sein, damit die Kommunikation mit dem Internet möglich wird.

Beide Aufgaben erfordern ein temporäres Umsetzen der Defaultroute. Macht man das auf dem naiven Weg, muss man sich irgendwie merken, wohin die Defaultroute vor dem Umsetzen zeigte, um sie danach wieder herzustellen.

In diesem Artikel stelle ich einen einfachen und eleganten Weg vor, um sich die Zwischenspeicherung der "alten" Defaultroute zu sparen. Ich kenne ihn schon seit ein paar Jahren aus der OpenVPN-Welt und bin immer wieder über die Situation gestolpert, dass er an einer Stelle hilfreich ist und ich ihn den Leutern erklären muss, die ihn noch nicht kennen. Mit diesem Artikel möchte ich mir diese Erklärungen in der Zukunft etwas einfacher machen.

Continue reading "Eine Defaultroute überschreiben, ohne sie zu überschreiben"

IP-Routing für Anfänger

Als Systemadministrator hat man im Idealfall mit IP-Routing nur dann zu tun, wenn man seinen Systemen eine Defaultroute setzt und dann nie wieder. Mit Wissen auf diesem Niveau kann man jahrelang in unserem Handwerk arbeiten.

Bis es mal nicht tut, oder besondere Anforderungen auch besondere Maßnahmen erfordern. Dann sieht man sofort, wo das Grundwissen fehlt. In diesem Artikel möchte ich eine - hoffentlich minimale - Menge dieses Grundwissens vermitteln. Aufgrund meines fachlichen Fokus beschränke ich mich hier auf Linux; die Theorie dahinter ist aber für alle internettauglichen Betriebssysteme identisch, so dass man sich nur an die verwendeten Tools, ihre Parameter und ihre Ausgabeformate anpassen muss.

Continue reading "IP-Routing für Anfänger"

Debian blind installieren

Ich habe mir nach langer Abstinenz mal wieder einen Server bei Hetzner gemietet. In der Serverbörse verschachert der Anbieter ältere Geräte als Einzelstücke, die von ihrem bisherigen Mieter zurückgegeben wurden und die teilweise aufgrund individueller Ausstattung nicht in den Mainstream hineinpassen. Dabei kann man als Kunde auch richtige Schnäppchen machen.

So bin ich seit zwei Wochen stolzer Mieter eines Hetzner-Servers mit Core i7-Vierkerner der Bloomfield-Generation mit Hyperthreading mit stolzen 48 GB RAM. Die Miete liegt bei unter 40 Euro im Monat und lässt den ähnlich alten, zum Mai gekündigten 1&1 Rootserver, der mit nur 4 GB RAM ähnlich viel Geld kostet, ziemlich alt aussehen.

Aber so ein Schnäppchen hat natürlich auch Nachteile. So gibt es nur eine einzige IPv4-Adresse, und IPv6-Adressraum, der über das standardmäßig dazugehörende einzelne /64 hinausgeht, lässt sich der Anbieter mit einer Einrichtungsgebühr in der Größenordnung von zwei Monatsmieten relativ fürstlich bezahlen. Und es gibt keine serielle Konsole. Man kann sich für einen bestimmten Zeitraum ein KVM-over-IP-Gerät anschließen lassen und die ersten x Stunden sind sogar inklusive, aber das ist natürlich nur ein magerer Ersatz. Die vom Anbieter angepriesene vnc-Installation funktioniert freilich nur für die von ihm vorbereiteten Systeme; bei näherer Betrachtung liegt das aber auch auf der Hand: Wie soll das sonst ohne Spezialhardware gehen.

In diesem Artikel soll es darum gehen, wie ich mein zgserver-Debian "blind" auf die Maschine bekommen habe.

Continue reading "Debian blind installieren"

Domain, Zone, Web- und Nameserver, Ägypten?

Aus aktuellem Anlass hier ein aus den wegen dummer Software derzeit unerreichbaren "Zugschlus' manchmal nützlichen Antworten" schnell reingepasteter Artikel

Ungenaue Terminologie wird im Internet oft von Leuten verwendet, die zwar ungefähr wissen, wie die Dinge funktionieren, sich aber nicht im hinreichenden Maße mit den Hintergründen beschäftigt haben. Dies erschwert die Kommunikation und ist oft dafür verantwortlich, dass ein Auftragnehmer nicht das ausführt, was sein Auftraggeber eigentlich möchte.

Ein besonders von diesem Problem geplagter Bereich der Internet-Technik ist der Domain Name Service (DNS), da hier in besonderem Maße die Kommunikation zwischen verschiedenen Leistungsträgern in unterschiedlichen Unternehmen notwendig ist.

Mit diesem Text will ich versuchen, etwas Klarheit in die Terminologie zu bringen.

Continue reading "Domain, Zone, Web- und Nameserver, Ägypten?"

fail2ban andersrum

Auf einem Webserver möchte ich nicht, dass phpmyadmin, das Dokumentations-Wiki und das awstats von überall verfügbar sind. Andererseits möchte derjenige, der das CMS auf eben dieser Maschine betreut, genau diese Webapplikationen jederzeit und von überall benutzen können. Was tun?

Continue reading "fail2ban andersrum"

ping ist boese?

Vermieter von dedizierten Mietservern sind offensichtlich nicht daran interessiert, dass ihre Kunden im Störungsfall in der Lage sind zu diagnostizieren, wo die Störung liegt. Denn sonst wäre es nicht so üblich, auf den Coreroutern nicht auf ICMP echo requests zu antworten. Das ist doof, denn so erzeugt mein Nagios viel mehr Alarme als er müsste.

Bleibt also nur, im Störungfall stets sofort den Anbieter zu nerven - denn er will es offensichtlich so.

P.S. Ich will ein Nagios-Plugin das traceroutes auswerten kann. TTL exceeded verschicken die Corerouter der Serveranbieter nämlich immer.

DSL and E-Mail providers

Daniel, why do you insists on having your e-mail service with the ISP who serves your home IP connection? In my opinion, it would be a much better idea to separate IP and mail services to different companies - it is much easier to change one of them if no other services depend on it.

And, btw, it is a pain to have an uncommentable blog.

First Dedicated Power Server S Limited Edition

Ich habe damals entgegen meiner Ankündigung meinen Hetzner DS1000 nicht gekündigt und das System als torres.zugschlus.de in Betrieb genommen. Dabei wäre es geblieben, wenn nicht Hetzner zum 1. April 2007 den Preis für den DS1000 von 19,90 auf 29,90 Euro erhöhen würde.

Das habe ich zum Anlass genommen, einkaufen zu gehen und bin diesmal bei First Dedicated gelandet. Dort gibt es - nach Anwendung eines Einkaufstricks - einen Celeron 2400 mit 512 MB und 80 GB Platte für 19,90 Euro im Monat. Das ist eine ganz ähnliche Maschine wie der Strato-Powerserver, für den ich 29 Euro im Monat bezahle. Für zehn Euro weniger Geld gibt es auch eine ganze Menge weniger Leistung. You get what you pay for.

Continue reading "First Dedicated Power Server S Limited Edition"

New DNS setup getting productive

For nearly two years, I have been pondering about a good and failure-resilient DNS setup to implement for my own domains. In the last days, I have set the first prototype into use.

No, I haven't dared to touch zugschlus.de, my most important domain, yet. This is planned for the weekend. So, if you experience difficulties in accessing any of my Internet services, please inform me and allow me to fix the issue.

Continue reading "New DNS setup getting productive"

Domaintransit

Bei der Einstellung der Dienste von Alturo kommt eine neue kleine Falle auf die ehemaligen Kunden zu: Die Domains wurden von Alturo in den Transit-Status gegeben.

Ich ging in meinem Domainhalbwissen davon aus, dass Transit bedeutet, dass die Domains an DENIC zurückgegeben werden und dort, wenn man nicht innerhalb von n Tagen den Transfer zu einem anderen ISP auslöst, verfallen. Genauso wollte ich mit den beiden zu meinen Ex-Alturo-Servern gehörenden Domains verfahren, die ich niemals genutzt habe und eigentlich auch nicht haben wollte.

Continue reading "Domaintransit"

Hetzner DS 3000

kju hat mir netterweise einen Server von Hetzner zum Test zur Verfügung gestellt. Der DS 3000 ist ein Athlon 64 3700+ mit 1 GB RAM und zwei 160 GB-SATA-Platten inklusive 6 IP-Adressen, 50 GB Backupspace und einer Trafficflatrate. Das Spiel kostet 99 Euro Einrichtungsgebühr, 39 Euro im Monat und ist monatlich zu kündigen.

Continue reading "Hetzner DS 3000"

STRATO Power-Server S

Als Ersatz für mein Entwicklungssystem nechayev habe ich einen STRATO Power-Server S aus der Alturo-Aktion bestellt. Da seit meinem letzten Test eines STRATO-Rootservers schon wieder fast ein Jahr vergangen ist, nutze ich die Gelegenheit, meinen Test von damals zu wiederholen und den Testbericht entsprechend anzupassen.

Continue reading "STRATO Power-Server S"

Alturo-Ersatz

Alturo macht dicht. Das dürfte sich unter den Mietserverbetreibern inzwischen herumgesprochen haben. Laut der Pressemitteilung und Kündigung meiner Verträge (die Alturo nach seinen AGB mit einer Frist von 30 Tagen aussprechen zu dürfen meint), wendet sich die Zielgruppe zunehmend den Markenprodukten zu.

Continue reading "Alturo-Ersatz"

dedizierter Low-Cost-Rootserver von Netdirekt

Es ist mal wieder an der Zeit für einen Rootservertest. Was ich zu den Produkten von Strato und dem inzwischen nicht mehr neu bestellbaren Produkt von Alturo (das allerdings große Ähnlichkeit zu den Produkten der anderen United-Internet-Firmen hat) geschrieben habe, findet man in den referenzierten Artikeln.

Im heutigen Test geht es um den für fünfzehn Euro im Monat erhältlichen 733-MHz-Server von Netdirekt.

Continue reading "dedizierter Low-Cost-Rootserver von Netdirekt"