Linux, Adminzeugs

geht wie folgt:

-In der server.config die Option:
client-config-dir ccd
aktivieren
-In /etc/openvpn den Ordner ccd erstellen
-für jeden Client, der eine fixe IP haben soll, eine Datei mit dem Client-Namen erzeugen. Der Client-Name ist ident mit dem, der beim Erstellen des
Client-Zertifikats (also mit build-key ) angegeben wurde.

In der datei steht lediglich:
[root@fw openvpn]# cat ccd/client11-franz
ifconfig-push 10.7.0.101 10.7.0.100
[root@fw openvpn]#

Wobei die erste IP die des Clients ist und die zweite die des Point-to-Point-Gegenparts auf der Firewall.
ifconfig sagt dann auch am Client:

tun0 Link encap:UNSPEC Hardware Adresse 00-00-00-00-00-00-00-00-00-00-00-00-00-00-00-00
inet Adresse:10.7.0.101 P-z-P:10.7.0.100 Maske:255.255.255.255

Das wars dann schon. OpenVPN restarten und auf Client-Reconnect warten.

Upsa, schon ne Woche nix mehr gebloggt...
Naja, jedenfalls hats mich schon schon ne Zeitlang gestört, dass meine WIndows-Server alle mit unterschiedlicher Zeit laufen und mangels Domaincontroller ist auch keine zentrale Zeitquelle verfügbar. Also mal Tante Google bemüht und das da gefunden: NTP-Dienst für Windows.
Na also, geht doch...ich finde eh, dass mehr von den guten Unix-Sachen auf Windows portiert werden sollte.

Hab meine Linux-Box neulich ein wenig aufgerüstet, mit QuadCore und SSD. Hab bei der gelegenheit dann auch gleich den Sprung auf Fedora 11 gemacht, das ich auf die SSD installiert hab. F11 booted auf der Kiste in knapp 5s bis zum Anmeldebildschirm. Nach dem Anmelden dauerts dann nochmal ca. 5s, bis KDE geladen ist und man loslegen kann. Feine Sache, so eine SSD.
Das Drama begann dann heute Nachmittag, als ich den Rechner aufgedreht hab und er nach ner Minute noch immer nicht hochgefahren war. Fedora zeigt ja die ganzen Startmeldungen der Dienste nicht an, sondern man sieht nur einen Fortschrittsbalken. nachdem er dann hochgefahren war, herumgeschaut und mit smartctl Bus-CRC-Errors auf der neuen SSD gefunden. Rechner abgedreht, Kabel getauscht, wieder hochgefahren. keine Änderung. Dann drauf gekommen, den Diensten mal beim Starten zuzuschauen.
Und siehe da, Sendmail hat mal wieder (mir ist das schon mal passiert) minutenlang nach den fehlenden DNS-Einträgen der Rechner-IP gesucht...
Nachdem ich das korrigiert hab, passte auch das Tempo beim Hochfahren wieder. Ist halt witzig, wenn man neue Hardware einbaut und gleichzeitig ein Software-Problem auftaucht...natürlich gibt man zuerst der neuen Hardware die Schuld. Wieder mal was dazugelernt

Asterisk ab 1.4.20 oder so und die 1.6er Version sowieso wollen DAHDI anstelle von zaptel. Beide werden sowohl zum Ansteuern von Telefonie-Hardware als auch als Dummy-Timer (herst, was hab ich für nen Satzbau heute) für Telefonkonferenzen (MeetMe, zur Synchronisierung der unterschiedlichen Teilnehmer-Timings/zum Takten der Telefonkonferenz) benötigt.

Unter CentOS 5 geht das ganze folgendermassen halbwegs schmerzfrei:

Man erstellt folgende Datei:
[root@zensiert ~]# cat /etc/yum.repos.d/ATrpms.repo
[atrpms]
name=CentOS $releasever - $basearch - ATrpms
baseurl=http://dl.atrpms.net/el$releasever-$basearch/atrpms/stable
gpgkey=http://ATrpms.net/RPM-GPG-KEY.atrpms
gpgcheck=1

[root@zensiert ~]# yum install asterisk dahdi-linux-kmdl-2.6.18-128.1.10.el5 asterisk-extra-sounds-en

Ein Webinterface für die Asterisk-Administration ist ausserdem wichtig, will man nicht als Admin als einziger in der Lage sein, was umstellen zu können.
Mir persönlich hat das Digium-Webinterface für Asterisk überhaupt nicht gefallen, ich hab nach einiger Suche FreePBX gefunden.
Super Interface, einfach zu installieren und unterstützt die Vergabe von Rechten an verschiedene Webadmin-Benutzer, so dass die Urlaubsvertretung zwar neue Klappen
hinzufügen, aber nicht alles kaputtmachen kann.

Ok, weiter im Text:
Unter http://www.freepbx.org/support/documentation/installation/install-process-for-centos-5-1 gibts ne gute Step by Step-Anleitung für die Installation und konfiguration des Webinterfaces FreePBX.

Wer dies in einer virtualisierten Instanz unter XEN macht, hat ein Problem, den XEN erlaubt die Verwendung der RTC nicht.

Unter http://www.gradstein.info/software/asterisk/asterisk-dadhi-module-not-working-when-using-xen/ gibts Abhilfe.
In diesem Falle muss man dann das dahdi-linux-kmdl und dahdi-linux manuell mit RPM wieder raushauen, sich die aktuellen dahdi-sources auschecken und in dahdi_dummy.c #define USE_RTC auskommentieren:

[root@zensiert ~]# diff -u dahdi_dummy.c.bak dahdi_dummy.c
— dahdi_dummy.c.ori 2009-06-06 15:03:21.000000000 +0000
+++ dahdi_dummy.c 2009-06-06 15:05:56.000000000 +0000
@@ -59,11 +59,11 @@
#if defined(CONFIG_HIGH_RES_TIMERS) && LINUX_VERSION_CODE >= VERSION_CODE(2,6,22)
#define USE_HIGHRESTIMER
#else
-#define USE_RTC
+//#define USE_RTC
#endif
#else
#if 0
-#define USE_RTC
+//#define USE_RTC
#endif
#endif
#endif

Genaue Anleitung gibts in der obigen URL. Anschliessend dann mit make all && make install && make config dahdi installieren und dahdi anschliessend mit
service dahdi start starten.

Anschliessend kann dann die FreePBX-Anleitung weiterverfolgt werden. Dabei immer schön im Hinterkopf behalten, dass man dahdi und nicht zaptel verwendet!

Tjo, danach nur mehr auf die installierte Webseite gehen und seine Telefonanlage konfigurieren

Neulich auf der Fedora-Mailingliste:

Frage:
hi to list.
can i install fedora packages in my cellphone?
Best Regards,

Antwort:
Of course.
Dial #5516614*2*5*607#95982100992369 for ffmpeg
Dial &76961536240;5*642626&0447;9283 for j2se
Dial #71750197753***1683914114*25244 for xine

ROFL

ständig so beschissene Logfile-Einträge zu haben:

--------------------- vpopmail Begin ------------------------


No Such User Found:
access@ - 607 Time(s)
account@ - 604 Time(s)
admin@ - 552 Time(s)
administrator@ - 573 Time(s)
backup@ - 605 Time(s)
data@ - 608 Time(s)
info@ - 6 Time(s)
informix@ - 591 Time(s)
lizdy@ - 599 Time(s)
oracle8@ - 594 Time(s)
oracle@ - 577 Time(s)
postmaster@ - 4 Time(s)
pwrchute@ - 605 Time(s)
root@ - 523 Time(s)
server@ - 607 Time(s)
sybase@ - 593 Time(s)
test@ - 578 Time(s)
user@ - 568 Time(s)
web@ - 574 Time(s)
webmaster@ - 562 Time(s)
www@ - 570 Time(s)

Hab mich gestern endlich dazu entschlossen, mein Fedora 9 von der Platte zu werfen und durch ein Fedora 10 zu ersetzen.
Eigentlich wollt ich damit ja warten, bis ich mir ne SSD gekauft hab, aber egal.
DVD rein, Dateisysteme konfiguriert, meinem Daten-LVM nen Mountpoint zugewiesen, zu installierende Pakete ausgewählt, Installation gestartet.
Nach knapp 5 Minuten war F10 dann auf dem RAID, reboot, Updates eingespielt (um die 500 Pakete), SELinux abgedreht, Livna und rpmfusion
als zusätzliche Repositories eingestellt, NVIDIA-Treiber eingespielt, rebooted.
Und siehe da, xinerama/Dualhead (ein Desktop auf 2 Monitoren) lässt sich nun grafisch in 2 Minuten einstellen. Ohne grosse Qualen und
vi xorg.conf. Sehr gut! Die Sound-COnfig hab ich nicht mal anschauen müssen, lief out of the box.
Dann meine Benutzerdaten aus dem alten Userverzeichnis rüberkopiert, Samba- OpenVPN und Netatalk-Configs aus dem Backup zurückgespielt.
Ebenfalls grafisch meinen HP CLJ 3600n konfiguriert, übers Fedora-eigene grafische Tool.
Dann noch meinen KDE-Desktop customized gepimpt hergerichtet.

Insgesamt hat die Installation mit Wiederherstellen der Configs und allem dran um die 2 Stunden gedauert. War ein voller Erfolg, vollkommen problemlos.
Sehr geil, Linux am Desktop für den Laien rückt endlich in greifbare Nähe!

Nich meine, sonern die von Apple. Was mich an meinem Macbook pro extrem nervt, ist das Hochglanz-Display. Fettschmierer, Haare, Staub, jeden Mist sieht man drauf. Und so findet dann jede Woche eine Bildschirm-Polier-Aktion statt. Hab extra ein gutes Putzmittel dafür gekauft, das aber auch nur dann keine Schmierer macht, wenn das Display kalt ist. Also Laptop runterfahren, 10 min warten, Laptop im Licht platzieren und putzen. Nervig. Wie schön wars, als es noch matte Displays gab. Einmal mit nem trockenen Tuch drüber, Staub runterwischen und gut. Aber die gibts ja nicht mehr zur Auswahl. Seufz

Letzten Mittwoch kam ein grösseres Paket ins Haus. Keuchend drückte mir der UPS-Mensch die Lieferpapiere in die Hand und wie vermutet, wars der erwartete Dell-Server. Das Ding wiegt knappe 40 Kg, immerhin. Es handelt sich um einen Dell Power Edge 2950, 2 Höheneinheiten hoch, mit 2 QuadCore-CPUs a 2 Ghz, 8 GByte RAM und 4 TByte SATA-Festplattenplatz. Da das Ding in Wien im Rechenzentrum rennen soll, hab ichs zu mir nach Hause liefern lassen anstatt ins Büro, so hab ich kein so grosses Transportproblem.
Hab ihn dann mal ausgepackt und wie immer ein paar Stunden offen klimatisieren lassen, Montag wars nochr echt kalt und die Lagerhallen sind nie geheizt und feucht noch dazu, deswegen hab ich immer bissi Angst, dass der Hardware was passiert, wenn ich sie gleich nach der Lieferung einschalte. Ausser im Sommer natürlich, aber der hat ja erst vorgestern begonnen, Mittwoch war noch keine Spur davon

Ich bin ja eigentlich nicht so der Dell-Fanboy, sondern mehr ein HP-Mensch. Dell müht sich aber redlich ab, HP den Rang der Nummer eins bei den Servern abzulaufen, und so haben fast alle Server einen kräftigen Rabatt und Dell ist offenbar noch dazu handelsbereit, wenn man einen persönlichen Anspechpartner (aka "Key Account Manager") dort hat. So kamen wir dann recht günstig zu einer zweiten QuadCore-CPU und weiteren 4 GB RAM und waren noch immer knapp unter dem Preis eines entsprechenden HP ML-Servers.

Am nächsten Tag dann auf zur Installation:
Im Controller-BIOS ein RAID5 mit 4 TByte erstellt, initialisieren lassen, rebooted.

CentOS 5.2 DVD in der 64bit-Variante rein, booten, partitionieren. Der Installer meckerte dann, dass er von einem Laufwerk mit GPT-Partitionstabelle nicht booten kann. WTF? GPT? Gegoogled, gelernt, dass das herkömmliche DOS-Partitionsschema nur 2 TByte adressieren kann, weshalb der Controller eine GPT-Partitionstabelle geschrieben hat. Für den eigentlichen Bootvorgang ist das Problem der 2 TB-Adressierung im DOS-Partitionsschema aber egal, denn die Boot-Partition mit dem Kernel liegt ja ganz am Anfang der Platte. Also mal eben mit dd die ersten 640 KByte von SDA geleert, rebooted, und dann liess sich auch der Bootloader installieren. Weitere Probleme gabs keine.
Specs vom Betrieb unter Linux folgen dann noch, ich trau mich jetzt am Sonntag Vormittag nicht, die megalaute Kiste aufzudrehen

Ein paar iPhone-Fotos (wieder mal leicht miserabel), alle grösser-klickbar:

The Server himself


Frontansicht, 2 von 6 Festplatten-Einschüben, 4 sind mit einer 1 TB SATA-Platte bestückt.


Frontansicht Detail


Geöffneter Server, in der Mitte die CPU-Lüfter und der Belüftungskanal


Server von hinten, hochgeklappter Belüftungskanal und CPU-Kühlkörper, der Server darf übrigens nur bei geschlossenem Belüftungskanal eingeschaltet werden, sonst gibts angebrannte CPUs


Detail CPU-Kühlkörper


8 GByte RAM, es passen noch einmal 8 GByte rein

Normalerweise dauerts ja ewig und drei Tage, wenn man mit dd auf herkömmliche Art und Weise ein Disk-Image für ne neue VM haben will. Und mit nem miesen Controller pennt einem das System weg.
Besser gehts so, 19 GByte Image mit dd in 1 Sekunde ohne Systemlast erzeugt:

dd if=/dev/zero of=wsda.img bs=1k seek=19000k count=1

Erklärung: Es werden beim Schreiben der 19 Gbyte einfach 19 GByte übersprungen und quasi nur Anfang und Ende geschrieben. Spielt ja bei nem leeren Disk-Image auch keine grosse Rolle.

Natürlich. Es muss wieder die Hotspare kaputtgehen:

[root@exception-ng ~]# cat /proc/mdstat
Personalities : [raid1]
md0 : active raid1 sdc1[2](F) sdb1[1] sda1[0]
305088 blocks [2/2] [UU]

md1 : active raid1 sdc2[2](F) sdb2[1] sda2[0]
390403520 blocks [2/2] [UU]

Also gleich 2 neue 500er Seagates gekauft. Leider welche aus der Serie, die von einem Firmware-Fehler betroffen sind. Kann man hier anhand der Seriennummer
prüfen.

Immerhin liefert Seagate ein bootfähiges ISO, das man sich auf CD brennen und booten kann, um dann seine Platten mit der neuen Firmware zu flashen.

HA! Ich weiss schon, warum ich qmail und seinen Programmierer Daniel J. Bernstein so mag. DJB ist eigentlich Professor für Computerwissenschaften und Kryptograph und Programmierer. Und er hat mal versprochen, jedem, der eine SIcherheitslücke in seiner Software findet, 1000$ zu zahlen. naja, und jetzt ist es soweit, und er zahlt!
Ich mag Leute, die zu ihren Versprechen stehen. Thumbs up, djb!

Updates sind ja schön und gut. Auch das Update von Parrallels 3.0 auf 4.0 ist gut. Nicht gut ist hingegen, dass alle virtuellen Maschinen konvertiert und anschliessend die Parallels Tools neu installiert werden müssen. Dauert je VM etwa 20 Minuten auf meinem Macbook pro.
UND ICH HABE 12 VIRTUELLE MASCHINEN DA DRAUF...ARGL...

8 done, 4 to go...

Nunja...mach ich mir halt noch ne Dose Becks auf...löscht Admindurst...normal ja eher Budweiser, aber der Billa ums Eck hatte keins.

Es gibt Provider wie Onstage, bei denen stellt man seinen Server hin und es läuft. Jahrelang. Sehr super.

Und es gibt Provider, die nach einem Rackbesitzerwechsel nach der Maxime "Im Zweifel abdrehen" handeln. Und dann gleich beide Uplinks im Rack abdrehen. Die um 19 Uhr keine Techniker mehr im Interxion haben. Die dann für eine Technikerstunde 300 Euro verlangen, unabhängig davon, ob sie den Ausfall selbst verschuldet haben.

Und es gibt Firewall-Appliances, die mal eben den Dienst verweigern, nachdem der Uplink weg war und rebooted werden müssen.
Ich hab so Firewall-Appliances nie wirklich gemocht und mich schon ein paarmal mit Vorkommnissen dieser Art in meiner Ansicht bestätigt gefühlt.
Sind eh nur aufgebohrte Linux- oder BSD-Rechner.

Der Scheiss-Provider von oben und so Appliances gehören beide an den gleichen Ort: in die Tonne

Mal eben in der Konsole nachsehen, was Squid grad so tut, ohne grosses pipapo dahinter? Squidview nehmen.