Laberthread: Rootserver mit Debian Jessie *FULL ENCRYPTED* inkl. Iptables-Firewall...

[Dersch]

Auf Kimsufi und ja ich habe ne statische IpV4. Allerdings ging durch das howto nun die v6 Anbindung verloren. Ich bin mir nicht zu 100% sicher an welchen Stellen geschraubt werden muss um v6 zum laufen zu bekommen.

So wie ich das sehe müsste einmal hier

echo eureipadressevomserver euerhostname >> /etc/hosts

auch die vorher gesichert IPv6 eingetragen werden.

Aber hier müsste auch was geändert werden denke ich:

DEVICE=eth0
IP=ipvomserver::gatewayvomserver:subnetvomserver:hostnamevomserver:eth0:off
DROPBEAR=y

und nach evtl weiteren Schritten die v6 Anbindung steht muss natürlich noch die firewall.sh angepasst sein.

Grüße

 

[axel]

Hi,

So in der Richtung, denke ich auch.

Mit den Iptables für IPV6 kann ich nicht helfen, nicht so meins, selbst abgekupfert.

Vielleicht kann @T1x was dazu sagen.

Gruß

Gesendet von meinem SM-G920F mit Tapatalk

 

[flytaxi]

Hallo und schöne Grüße
Ich wollte mich bei dir für die tolle Anleitung bedanken.
Leider komme ich nicht weiter. Die ganze Anleitung hab ich durch, und es funktioniert alles wunderbar.
Ich weiß einfach nicht was jetzt zu tun ist.
Soll ich die Oscam Configs in usr/local/etc mit Hilfe von Winscp hinzufügen ?
Was mich wundert ist, dass die Oscam.bin sich jetzt in Bulid Archiv befindet und nicht usr/local/bin.
Sorry für dumme Fragen, aber das ist mein erste Server den ich selbständig aufbaue
Wenn jemand bereit wäre, mir per PM zu helfen, würde ich mich sehr freuen.
Gruß

 

[DEF]

Oscam mit Simblebuild läuft etwas anders ab

Da muss man ein wenig Hand anlegen und einen Ordner für Oscam + die Configs erstellen.

Dann noch einen User für Oscam oder zwei wenn es ein Dual-Oscam (1x Oscam + 1x CE Instanz ) werden soll.

+ Startscript und Cronjob zur Prüfung ob Dein Oscam läuft.

Ist in ein paar Minuten gemacht - also das dauert keine Stunde

 

[axel]

Hi,

Ich schreibe da morgen/übermorgen was zusammen.

Wo die Konfigs am Ende liegen, ist Geschmackssache, bei mir liegt alles (Binaries + Konfigs) in /home/. Dazu noch Watchdogs eingerichtet und diese via rc.local gestartet, fertig ist die Laube.

Gruß

Gesendet von meinem SM-G920F mit Tapatalk

 

[axel]

Hi,

hier nun meine Lösung "ohne IPC" mit 2x Oscam Instanzen. Wie gesagt liegt bei mir alles in /home/,
aus dem einfachen Grund via Winscp "mal eben" eine Sicherung der Konfigs durchführen zu können.

Folgendes Skript liegt hierzu 2x in /home/ (Watchdog):

#!/bin/sh
# OSCam User Autorestart Script
# crontab -e
# edit crontab and add
# */1 * * * * /home/server1.sh &


# Hier den User angeben so das diese instanz als user lauft
OSCAMUSER=oscam1


# Hier das Verzeichnis angeben
OSCAMDIR=/home/oscam1


# Hier das oscam Config Verzeichnis angeben
CONFDIR=/home/oscam1/conf


# Hier das tmp Verzeichnis angebnen
TMPDIR=/home/oscam1/tmp


#Hier die oscam datei angeben zb. oscam.x64
DAEMON=oscam1


# Hier Zeit in sek. angeben
CHECKTIME=3


# Ab hier nichts mehr ändern
###############################################################
while sleep $CHECKTIME
do
APP=$(ps aux | grep -v grep | grep $DAEMON) >/dev/null
if [ -z "$APP" ];
then
echo "OScam 1 wird gestartet!!!"
rm -r $TMPDIR/*
su $OSCAMUSER -c "touch $TMPDIR/lb.log"
su $OSCAMUSER -c "$OSCAMDIR/$DAEMON -c $CONFDIR -t $TMPDIR &"
su $OSCAMUSER -c "date +'OScam 1 Offline, %A %d.%m.%Y um %H:%M:%S !!!' >> $OSCAMDIR/$DAEMON-crash.log"
else
  echo "OScam 1 ist aktiv"
fi
done

Das Skript muss dementsprechend angepasst werden, klar (auch den User "oscam1" bzw. "oscam2" muss es dafür geben (adduser oscam1)).

Um das ganze bei reboot des Servers zu starten, habe ich das ganze noch in die Datei /etc/rc.local eingetragen:

#!/bin/sh -e
#
# rc.local
#
# This script is executed at the end of each multiuser runlevel.
# value on error.
#
# In order to enable or disable this script just change the execution
# bits.
#
# By default this script does nothing.

# 2x OScam Instanz
/home/oscamstart1.sh &
/home/oscamstart2.sh &

# Firewall starten
/etc/init.d/firewall.sh start &

# IP Forwarding VPN
echo 1 > /proc/sys/net/ipv4/ip_forward

# System-Zeitabgleich Physikalisch Technische UNI Braunschweig
ntpdate ptbtime1.ptb.de &

exit 0

Gruß

 

[DEF]

...Du hast das "chmod 777 -R /home" vergessen ^^

Sonst haben wir hier noch 10 weitere Fragen à la "Script eingebaut aber es lädt nichts"

 

[janni1]

#!/bin/sh # OSCam User Autorestart Script
# crontab -e
# edit crontab and add
# */1 * * * * /home/server1.sh &

Die Erklärung im Script irritiert etwas.
Hier steht, man soll es im Crontab hinzufügen und jede Minute ausführen lassen,
aber weiter unten lässt du es selbst per "while do" noch alle 3 Sekunden prüfen?
Nutzt du denn überhaupt einen Cronjob?

Wie startest, stopst oder restartest du die "Oscams" in deinem Beispiel?

 

[axel]

Hi,

ja irritiert, die Zeilen können eigentlich weg, haben ja keine Funktion (auskommentiert).

Einen Cronjob nutze ich dafür nicht, nein.

Wie startest, stopst oder restartest du die "Oscams" in deinem Beispiel?

Gar nicht, das Skript ist da sehr "aggressiv". Um die Binary auszutauschen, "kille" ich die jeweiligen PIDs.

Gruß

PS: Gerne andere Lösungen/Skripte/Watchdogs dazu, diese habe ich mal aus dem Netz gefunden/zusammengebastelt.

 

[janni1]

Hi,
ich würde das "heut zutage" alles über service bzw systemctl lösen.
z.B. so etwa:

Man legt sich einen neuen Service unter /etc/systemd/system an
Nennen wir ihn hier mal "oscam1.service"

Spoiler: oscam1.service

[Unit]
Description=OScam1 daemon
After=tmp.mount network.target


[Service]
Type=forking
ExecStart=/usr/local/bin/oscam1 -b -B /var/run/oscam1.pid -p 256 -w 5 -r 2 -c /usr/local/etc/oscam1


[Install]
WantedBy=multi-user.target

In diesem Fall käme die Bin namens "oscam1" nach /usr/local/bin/ und die Configs nach /usr/local/etc/oscam1.

Mit "systemctl enable oscam1.service" könnte man nun den automatischen Start aktivieren.

Mit "systemctl start oscam1.service" oder "service oscam1 start" könnte man oscam1 starten.
Mit "systemctl stop oscam1.service" oder "service oscam1 stop" könnte man oscam1 stopen.

Als Watchdog würde ich mir dafür folgendes Script "oscam1-watchdog.sh" nach z.B. /usr/local/etc/script legen

Spoiler: oscam1-watchdog.sh

#!/bin/bash
TIMESTAMP=$(date +"%d.%m.%Y %H:%M:%S")
PID="$(pgrep -x oscam1)"
if [[ ! -z $PID ]] ; then
    :
else
    echo "$TIMESTAMP    oscam1 neu gestartet" >> /var/log/oscam/o-watchdog.log
    service oscam1 start
fi

exit 0

und diese Script dann zb. alle 5 Minuten per Cronjob ausführen

*/5 * * * * root /usr/local/etc/script/oscam1-watchdog.sh > /dev/null 2>&1 # Teste ob OSCam1 laeuft (alle 5 Minuten)

ach und natürlich noch
chmod 755 /usr/local/etc/script/oscam1-watchdog.sh

Für eine weiter Instanz würde ich einfach überall "oscam1" durch "oscam2" ersetzen.

Zum regelmäßigen Backupen per Cron benutze ich zB. folgendes Script von

Sie müssen registriert sein, um Links zu sehen.

Spoiler: backup.sh

#!/bin/bash
DATE=$(date +%Y-%m-%d-%H%M%S)

# pfad sollte nicht mit "/" enden!
# Dies ist nur ein Beispiel - bitte an eigene Bedürfnisse anpassen.
# Man muß schreibberechtigt im entsprechenden Verzeichnis sein.
BACKUP_DIR="/usr/local/backup"

# Hier Verzeichnisse auflisten, die gesichert werden sollen.
# Dies ist nur ein Beispiel - bitte an eigene Bedürfnisse anpassen.
# Bei Verzeichnissen, für die der User keine durchgehenden Leserechte hat (z.B. /etc) sind Fehler vorprogrammiert.
# Pfade sollte nicht mit "/" enden!
SOURCE="/usr/local"

tar -cjpf $BACKUP_DIR/backup-$DATE.tar.bz2 $SOURCE --exclude="backup" --exclude="man" --exclude="share" --exclude="src" --exclude="sbin" --exclude="lib" --exclude="include" --exclude="games"

diese legt mir eine .tar.bz2 von /usr/local/bin , .../etc und .../script an.

 

[Dersch]

Ich beschäftige mich grade mal weiter damit IPv6 wieder zum laufen zu bekommen.

Sie müssen registriert sein, um Links zu sehen.

Das hier habe ich grade gefunden und beschreibt ja ziemlich genau was das Problem sein könnte. Ich berichte weiter ob ich es nachvollziehbar hinbekomme.

EDIT: Ja funktioniert und auch die firewall.sh! Ich schreibe in Ruhe zusammen wie es geht und @axfa77 kann sich überlegen ob er es in das HowTo mit aufnimmt.

 

[Dersch]

Etwas komisches ist aber noch vorhanden. Eben merkte ich das über v6 der Host nicht mehr anpingbar ist. Auch rauspingen konnte ich über v6 nicht. Adressen gingen aber nicht verloren. eth0 hatte seine v6 und alles schien korrekt.

Bei näherer Betrachtung fällt mir auf das die v6 Routen von Kimi eine zeitliche Begrenzung haben, ich habe aber einfach die originale interfaces kopiert.

Nun habe ich einfach wieder ein ifdown && ifup gemacht und v6 geht wieder. Via ip -6 route show bekomme ich nun wieder die routen angezeigt aber halt mit zeitlicher Begrenzung. Das verstehe ich grade nicht so ganz. Kann das jemand nachvollziehen?

Edit: Hier scheint auch die Lösung bzw Begründung zu stehen:

Sie müssen registriert sein, um Links zu sehen.

Ich werde das beobachten und erst behaupten es läuft wenn es auch dauerhaft so ist. Kimsufi bzw OVH scheint sehr eigenartig mit v6 zu Verfahren.

 

[axel]

Hi,

wozu genau brauchst Du die IPv6 Adresse? Verstehe ich nicht, ist doch eine sexy IPv4 Adresse inklusive.

Gruß

Gesendet von meinem SM-G920F mit Tapatalk

 

[Dersch]

Diese Frage bin ich fast leid gestellt zu bekommen. Aber dafür kannst du nichts und man muss es einfach predigen ...

IPv6 ist schon lange flächendeckend überfällig und es regt mich jeden Tag auf wie störrisch die Menschen und vorallem deutsche Provider an v4 festhalten bzw es einfach falsch umsetzen (wie die Telekom z.b. mit wechselnden Präfix bei privat Anschlüssen??? Die habe einfach nichts verstanden). Ich vermute weil die meisten einfach Angst vor der Veränderung haben und v6 einfach nicht richtig verstehen. IPv6 kennt kein NAT, rechnerisch gibt es kaum eine Limitierung an verfügbaren Adressen, zumal macht IPv6 völlig überteuerte statische IP's für Anschlüsse überflüssig (bzw könnte), IPv6 ist sicherer wenn es richtig eingesetzt wird, es bietet mehr Flexibilität und und und ....
IPv4 ist einfach veraltet und sollte höchstens nur noch für private Netze eingesetzt werden. Wenn nicht jeder daran mitarbeitet wird v6 nie v4 endlich flächendeckend ablösen. Leider Leben wir grade in einer Zeit in der wir uns mit beidem beschäftigen müssen, aber ein System oder einen Dienst ohne v6 kann und will ich nicht akzeptieren.

Ich empfehle dir folgende Literatur die es sicher besser erklären kann als ich:

Sie müssen registriert sein, um Links zu sehen.

Sie müssen registriert sein, um Links zu sehen.

Sie müssen registriert sein, um Links zu sehen.

Grüße

 

[axel]

Hi,

Ich bin CCNA zertifiziert u.a. (lang ists her...), trotzdem kann ich nur IPv4 "bevorzugen"...

Danke für die Links, werde ich morgen lesen.

Gruß

Gesendet von meinem SM-G920F mit Tapatalk