Re: Thunderbird importeren
Hoi Paul, Complimenten, en dank voor je (uitgebreide) beschrijving. MJ
Re: inkomende mail met poort 25 geblokkeerd
Hoi, Op 26-03-2022 om 15:14 schreef Martijn van de Streek: Persoonlijk zou ik hiervoor een (virtueel) servertje huren voor een paar euro per maand. Dan kun je een tunnel (bijv. WireGuard) opzetten tussen je mailhost thuis en die VPS, wat port forwards instellen en zo voor een "vast IP" voor je mailserver zorgen. Ja, ook over zitten denken. Dat kan natuurlijk altijd. En bij een ISP switch zal ik dit zeker meenemen. Ik zit op zichzelf nu wel heel goed: hoge snelheid en weinig kosten. Probeer toch nog even om via t-mobile een werkende oplossing te krijgen. En dan het liefst op een andere manier dan dynu.com, hoewel die goed werkt, maar waar je voor elk domain apart moet betalen. Dank voor alle reacties, ook offlist. De gouden vonst zit er echter nog niet tussen. Keep 'm coming. :-) Fijn weekend allen! MJ
Re: inkomende mail met poort 25 geblokkeerd
Hoi! Op 26-03-2022 om 11:40 schreef Diederik de Haas: Heb je al aan t-mobile gevraagd of ze het voor jou willen de-blokkeren? Ik kan me voorstellen dat ze het *by default* blokkeren omdat de meeste van hun klanten waarschijnlijk te weinig kennis hebben om hun systemen zo in te richten en bij te houden dat hun systemen NIET gebruikt worden door kwaadwilligen en enorme hoeveelheden spam versturen ... met als gevolg dat (alle) t-mobile hosts op een blacklist terecht komen, inclusief t-mobile zelf. Nee niet gevraagd nee... ik lees op hun fora dat er meer mensen over klagen, dus ik denk dat ze dat niet doen. Ik krijg ook geen statisch ip van ze. Dat wisselt. Denk dus eigenlijk niet dat ze dat gaan doen, maar kan het eens proberen. Zelfs al zou het alleen zijn alleen om een signaal af te geven. Overigens, https://www.dynu.com/ doet ook wat ik zoek, ZONDER het To: adres te herschrijven. Ik heb dus een oplossing, voor jaarlijks 10 dollar per domain. Andere oplossingen ben ik nog steeds in geinteresseerd, dus als iemand input/suggesties heeft? MJ
inkomende mail met poort 25 geblokkeerd
Hoi! Niet debian specifiek, maar hopelijk toch relevant en wellicht interessant. Ik wil graag thuis (via mn glasvezel) een mailserver draaien, echter t-mobile blokkeert poort 25, zowel in als uit. Uit is geen probleem, want kan natuurlijk versturen via een smarthost. Ik zit een beetje met inkomende mail. Ik ken inmiddels forwardemail.net, waarmee je inkomende email kunt laten 'her-bezorgen' op een andere poort dan 25. Precies wat ik zoek dus. Alleen lijkt forwardemail ook het domain van het To: adres te herschrijven naar het fqdn van de mailserver. Ik ben bij hen een ticket hierover begonnen. Ik ben vast niet de enige hier die zoiets probeert te doen, met een ISP die poort 25 blokkeert. Zijn er mensen hier met tips of suggesties? Ik kan natuurlijk altijd ergens een cloud server nemen en daar zelf de 'herbezorging-naar-huis' regelen, of de hele mailserver in de cloud neer zetten. Maar ik wil proberen het thuis te doen, en dus zoek ik een oplossing voor het poort-25 probleem. Tips, ideeen? MJ
Re: Agenda software
Op 13-12-2021 om 15:27 schreef Paul van der Vlis: Ik vind het interface niet heel beroerd of ouderwets eigenlijk. Maar Geert is op zoek naar o.a. een agenda-server en niet naar een bijna-alles-in-een oplossing lijkt me. En dat is SOGo wel. Onze gebruikers klagen er steen en been over, en er is er niet eentje uitgesproken positief. De meesten denken wel met veel plezier terug aan de v2 interface. Maar inderdaad: het is persoonlijk. MJ
Re: Agenda software
Op 12-12-2021 om 23:03 schreef Paul van der Vlis: Op 12-12-2021 om 19:36 schreef Geert Stappers: Hoi, Wat gebruiken jullie zoal aan agenda software? Qua server gebruik ik SOGo, maar dat is een complexe webapplicatie, eigenlijk denk ik niet dat je er heel blij van gaat worden. https://www.sogo.nu/ https://packages.debian.org/bullseye/sogo Wij gebruiken ook SOGo, en hoewel het in feite een heel goed product is, kan ik niet anders zeggen dan dat ik óók denk dat niemand er echt blij van zal worden. Het heeft super veel potentie en mogelijkeden, alleen de grafische interface is ZO beroerd en ZO ouderwets aandoend, dat het diep tragisch is. Vooral voor feitelijk zo'n interessant en veelbelovend product. MJ
Re: Thunderbird en firefox-esr
Op 02-12-2021 om 16:54 schreef Paul van der Vlis: Misschien is Sylpheed een optie, dat is opensource en cross-platform, maar ik heb er niet goed naar gekeken omdat het geen caldav en carddav heeft. Lijkt mij altijd dat dat een beetje stilstaat. MJ
Re: Thunderbird en firefox-esr
Hoi, Interessant, vandaag, over (oa) thunderbird: https://www.heise.de/news/BigSig-Luecke-Mozilla-schliesst-kritische-Schwachstelle-in-Krypto-Bibliothek-NSS-6281977.html en https://www.mozilla.org/en-US/security/advisories/mfsa2021-51/ MJ
Re: Thunderbird en firefox-esr
Hoi, Op 01-12-2021 om 12:30 schreef Sjoerd Hiemstra: Ik ken Interlink. Dat is gebaseerd op een oudere versie van Thunderbird (versie 52) met een aantal toegevoegde verbeteringen. https://binaryoutcast.com/projects/interlink/ Add-ons, die het in de huidige Thunderbird niet meer doen, zoals de Dorando keyconfig, doen het hier nog wel. (Ook dit bericht verstuurd met Interlink.) Ik heb daar ooit ook over gelezen ja. Ik had het idee dat interlink gebaseerd was op een snapshot-in-time van thunderbird, en dat die snapshot verder ontwikkeld wordt. Klopt dat? Ik nam aan dat daardoor nieuwe ontwikkelingen in thunderbird niet in interlink terecht komen. Dat is dan wel weer jammr... Ik vind thunderbird qua GUI de laatste tijd gelukkig wel weer een beetje in beweging. Pluspunt is dat daardoor oude addons het in interlink natuurlijk wel gewoon bijven doen.
Re: Thunderbird en firefox-esr
Op 30-11-2021 om 11:28 schreef Paul van der Vlis: Zelf vind ik Thunderbird toch prettiger, vooral omdat ik er aan gewend ben. Maar ik heb wat stabiliteitsproblemen met Thunderbird die ik maar niet opgelost krijg, vandaar dat ik alternatieven goed in de gaten hou. En misschien zelfs ga overstappen. Het grote voordeel dat wij zien aan thunderbird is dat het cross-platform en open source is. Als je een alternatief vindt met diezelfde eigenschappen, hou ons [ = de lijst] dan vooral op de hoogte. Ik heb regelmatig gezocht, maar vind eigenlijk niet echt een goed alternatief. Ik heb overigens geen stabiliteitsproblemen met thunderbird. MJ
Re: dkim / postfix
Hoi Rutger, On 11/10/2021 09:59, Rutger wrote: Wat betreft je criteria, helaas is dat meer projecten ook het geval. Maar goed, het werkt en doet wat het moet doen. Kortom, opendkim is een prima keuze. Ik kan na twee weken inderdaad nog steeds niks anders zeggen. :-) Thanks, voor je reactie! MJ
dkim / postfix
Hoi, Een korte vraag. Ik ben bezig met spf, dkim, dmarc, dat soort dingen. Nu wordt in de meeste howto's over DKIM / postfix die ik via google vind de variant openDKIM gebruikt. (https://www.sidn.nl/en/news-and-blogs/hands-on-implementing-spf-dkim-and-dmarc-in-postfix) (https://www.linuxbabe.com/mail-server/setting-up-dkim-and-spf) Wanneer ik echter kijk naar de opendkim site (http://www.opendkim.org) dan valt op dat hij http-only is, werken diverse links op de site bij mij niet, heeft het project op sourceforge de status "inactive", noem maar op. Kortom: op basis van de vorige alinea zou ik niet snel voor opendkim gekozen hebben. Nu toch gedaan, en alles is inmiddels operationeel, dus het werkt allemaal wel gewoon. :-) De vraag: is opendkim toch nog steeds de manier om DKIM met postfix te doen, of hebben er hier mensen andere tips..? Groet! MJ
Re: regex tutorial vraag
Hoi!
Bedankt voor jullie reacties.
Lijkt erop dat de perl regexes gebruikt worden op regextutorials.com, en
die werken ook met grep -P.
Ik denk dat mn vraag eigenlijk was: welke van die regex varianten zou nu
het handigst zijn om je in te verdiepen. Ik heb nu gekozen voor de perl
variant.
Bedankt!
MJ
Op 15-09-2021 om 22:05 schreef Geert Stappers:
On Wed, Sep 15, 2021 at 01:33:02PM +0200, Martijn van de Streek wrote:
mj schreef op wo 15-09-2021 om 12:44 [+0200]:
Op bijvoorbeeld http://regextutorials.com/ leren ze je dat \w hele
woorden matcht, \d voor decimals, etc. (en nog veel veel zulke
handige shortcuts)
\w matcht "word characters" (niet hele woorden). Wat dat precies
betekent is afhankelijk van je locale/taalinstellingen en het programma
waarmee je de regex match doet.
In sommige locales kan "\w" naast "a-zA-Z" ook tekens als "ë" of zelfs
"и" matchen en "\d" tekens als "٣".
Op alle andere tutorials die ik vind is dat helemaal anders,
Begrijpelijk
en lijkt
de backslash vooral een escape character om bv een letterlijke PUNT
('\.') te matchen, en dat is ook wat ik merk als ik het test met
"grep -E"
Kan iemand van hier daar iets zinnigs over zeggen..?
"\" is over het algemeen inderdaad een escape-character, maar alleen
voor niet-letters. Veel "\ + letter"-combinaties hebben zulke speciale
betekenissen.
Kan iemand me een site aanraden (a la regextutorials.com) die ik zou
kunnen gebruiken om regex zoals bv "grep -E" ze gebruikt te
leren/oefenen?
Voor echt grondige kennis (en naslag) kan ik "Mastering Regular
Expressions" van Jeffrey Friedl aanraden (ISBN: 978-0-596-52812-6)
Daarnaast ben ik zelf vooral bekend met de handleidingen van Perl. Die
beschrijven de "Perl-smaak" van regex (je kunt "grep" vragen om Perl-
stijl regex te gebruiken dmv. "grep -P" - dit gebruikt "PCRE", Perl-
Compatible Regular Expressions):
Daar staat eigenlijk
dat grep meerdere "Regular Expression Engines" heeft.
$ perldoc perlretut
$ perldoc perlre
$ perldoc perlrebackslash
De basis van de meeste regex-dialecten is vrijwel hetzelfde,
Inderdaad, er zijn meerdere regex-dialecten.
dus de
kennis die je hieruit haalt is over het algemeen 1 op 1 toepasbaar voor
"grep -E". De verschillen zitten vooral in hoeveel en waar je moet
escapen en in complexere/nieuwere features zoals "negative zero-width
look-ahead".
Yep, er zijn verschillen.
En als je dat niet weet (als verwacht "allemaal hetzelfde")
dan kan het je akelig opbreken.
Zoals Martijn zegt: Basis van regex is hetzelfde.
Groeten
Geert Stappers
regex tutorial vraag
Hoi,
Beetje off-topic, maar hopelijk geen probleem.
Ik ben bezig met het leren van regex, en vraag me iets af.
Op bijvoorbeeld http://regextutorials.com/ leren ze je dat \w hele
woorden matcht, \d voor decimals, etc. (en nog veel veel zulke handige
shortcuts)
Op alle andere tutorials die ik vind is dat helemaal anders, en lijkt de
backslash vooral een escape character om bv een letterlijke PUNT ('\.')
te matchen, en dat is ook wat ik merk als ik het test met "grep -E"
Kan iemand van hier daar iets zinnigs over zeggen..?
Kan iemand me een site aanraden (a la regextutorials.com) die ik zou
kunnen gebruiken om regex zoals bv "grep -E" ze gebruikt te leren/oefenen?
Bedankt, en hopelijk toch topic-related genoeg om hier relevant te zijn.
Groet,
MJ
Re: Microsoft teams in browser
Hoi Paul, Ja, ervaring hier. Zowel met de linux (beta) teams app, als met de browser (chrome) versie. Beide werken gewoon goed. Moet zeggen dat microsoft met teams best iets goeds neergezet heeft. Het was een jaar geleden onvergelijkbaar met de alternatieven, maar inmiddels (enorm snelle ontwikkeling) is het een prima werkbaar stuk software. Ik hoop nog wel op firefox compatibility. MJ On 7/5/21 10:00 PM, Paul van der Vlis wrote: Hallo, Ik moet wellicht binnenkort een Microsoft teams meeting bijwonen. De vorige keer vertelde men me dat ik geen software hoefde te installeren, alleen op een link te klikken. Dat heb ik toen gedaan maar het ging niet goed, hij bleef maar proberen een connectie te maken, maar die kwam niet. We hebben toen telefonisch verder gepraat, maar dat was officieel niet geldig. Daarom komen ze nu weer. Weet iemand of dit werkt zonder closed source software, dus alleen met een browser? Ik heb Chromium 90.0.4430.212 en Firefox 78.11.0esr beschikbaar, de browsers in Debian stable dus. Volgens deze pagina werkt het met Fedora 31 en Chromium 80, zie op het eind, "run in browser": https://www.faschingbauer.me/blog/2020/03/ms-teams-on-linux.html Iemand ervaring? Groet, Paul
Re: https://certbot.eff.org/lets-encrypt/debianbuster-nginx
Hoi, On 6/23/20 10:39 AM, Paul van der Vlis wrote: Hiervoor worden bestaande dns en http servers gebruikt. Maar zoals gezegd: misschien dat er een standalone optie is. Ja, dat had ik erbij moeten zeggen, sorry. Ik gebruik acme.sh, en die kan inderdaad een draaiende apache 'hergebruiken', maar ook --standalone via port 80, en dat kan (natuurlijk) niet wanneer apache daarop draait. MJ
Re: https://certbot.eff.org/lets-encrypt/debianbuster-nginx
Hoi, On 6/23/20 10:00 AM, Paul van der Vlis wrote: Nee. Anders zou je het niet samen met b.v. Apache kunnen gebruiken. Volgens mij kan dat ook niet, en zou je het daarom wel als een (heel specifiek soort van, en uiterst tijdelijk draaiende) webserver kunnen beschouwen. Wanneer apache luistert op 80, kan acme.sh (dat ik gebruik ipv certbot) die poort niet gebruiken voor verificatie doeleinden. Wat is certbot volgens jou? Ik zie het als een acme-client. Ik ook. En acme kan over dns en http. Waarbij dns mijn voorkeur heeft, omdat je dus geen poort conflicten krijgt tijdens certificaat renewals, met apache op 443/80. (plus: het is heel gemakklijk te automatiseren met: https://github.com/joohoi/acme-dns) Groet, MJ
Re: fileshare
Hoi, On 5/28/20 2:18 PM, Richard Lucassen wrote: Lighttpd wil niet renamen, dan geeft-ie "400 bad request". Die van de backports geeft weer een "failed: 308 Permanent Redirect". De stretch versie die geen bugs zou hebben eindigt in een dependency hell. Dus dat schrijf ik af. Ik vrees dat Apache toch teveel resources vreet. Verder is er nog WsgiDAV, een SIMPLE webdav server, let op, er staat "SIMPLE", die ik, na een python error hell, na ruim een uur (!) compileren gestopt heb. Ok, ik heb niet veel resources, maar ik versta toch iets anders onder "simple". Wij gebruiken vooral apache met webdav, en daar hebben we weinig problemen mee, maar dat vind jij te zwaar. Misschien zou je daarom ook eens moeten kijken naar nginx met webdav..? Nginx wordt gezien als lichter en meer performant dan apache, en misschien werkt webdav/nginx wel even goed...? MJ
Re: afstandsbediending TV, maar dan anders
Hoi, Ik heb laatst zoiets gedaan, maar dan met altijd dezelfde webpagina op een raspberry met raspbian. Auto-login aanzetten tijdens de install, dan: bestandje maken, genaamd: ~/.config/autostart/autoChromium.desktop met deze inhoud: [Desktop Entry] Type=Application Exec=/usr/bin/chromium-browser --incognito --kiosk --noerrdialogs --disable-session-crashed-bubble --disable-infobars --kiosk http://www.website.com Hidden=false X-GNOME-Autostart-enabled=true Name[en_US]=AutoChromium Name=AutoChromium Comment=Start Chromium when GNOME starts Maar ik begrijp dat jij telkens een andere site wil laten zien. Daar heb ik geen intructies voor liggen. :-) MJ On 25/05/2020 17:12, Geert Stappers wrote: Hoi, Eerst mijn uitdaging dan wel wens, daarna vraag om jullie advies. Afstandsbediending TV, maar dan anders: Aan de andere kant van de ruimte staat een groot scherm, dat aangestuurd wordt door, zeg een raspberrypi. Vanaf mijn kant van de ruimte wil ik "remote" aan het begin van de dag een webbrowser opstarten. Daarom log ik in. Ik bezoek URL en op het grote scherm komt de bezochte webpagina. Ik log uit van de Rpi. Op de "TV" staat de rest van de dag de webpagina. Welke software zou ik dan nodig hebben? Groeten Geert Stappers
Re: Verkeerde tijd ondanks NTP
Hoi, Geen oplossing voor dit probleem, maar sinds wij chrony hebben ontdekt, kijken we niet meer naar ntp(d). We hadden ook dergelijke problemen als jij beschrijft, en merken ook in ons ceph cluster dat chrony de tijd aanzienlijk preciezer in sync houdt dan ntpd. On 5/4/20 1:12 PM, Paul van der Vlis wrote: Hoi, Ik zie regelmatig servers met NTP die een helemaal verkeerde tijd geven, dus niet paar seconden maar meer dan een uur. Gisteren had ik het ook weer, een mailserver met Debian9 stond 1 uur en 7 minuten fout. Na een "apt install --reinstall ntp" is de tijd dan weer goed. Iemand een idee wat dat is? Ik kom er meestal achter tijdens een storing, waarbij ik dan andere dingen aan mijn hoofd heb. Dan zie ik dat de logs een verkeerde tijd geven. Groeten, Paul
Re: iptables traag in reverse dns
Hoi! On 3/30/20 2:16 PM, Richard Lucassen wrote: Gebruik iptables -nL dan heb je dat reverse lookup gezeur niet. Er zijn altijd figuren die de boel niet op orde hebben en bovendien gaat -n vele malen sneller, ook al werkt de DNS. Maar is het punt niet dat ook wanneer lieden hun DNS niet op orde hebben, een NXDOMAIN nog steeds instant zou moeten komen... Maar inderdaad: ik doe normaal ook -nL Zie bij iptables sowieso altijd liever IP's dan dns namen. MJ
Re: iptables traag in reverse dns
Hoi allemaal! On 3/30/20 2:35 PM, Richard Lucassen wrote: On Mon, 30 Mar 2020 12:51:54 +0200 mj wrote: Weet iemand waar ik iets zou kunnen checken? Hier geprobeerd, de eerste keer 3 sec, de tweede keer (cache) net zo snel als -n Het lijkt niks met een cache te maken te hebben: tien keer achter elkaar "iptables -L", en tien keer even langzaam op de IP's. Ook nadat ik de cache eerst 'geladen' heb met "host 45.142.195.2" MJ
Re: iptables traag in reverse dns
Hoi, On 3/30/20 2:43 PM, Richard Lucassen wrote: Ik heb wel op een firewall met 3000 rules dat de -L blijft hangen op een server die niet werkt: $ host 198.17.62.23 ;; connection timed out; no servers could be reached Dat is helemaal geen antwoord. Het 17.198.in-addr.arpa domein heeft geen NS record. Is het niet zoiets? Bij mij krijg ik vanaf die server dus wel antwoord van DNS, en telkens ook instant. Er lijkt op zich dus niks met DNS aan de hand te zijn. En inderdaad geen timeout, maar NXDOMAIN. MJ
iptables traag in reverse dns
Hoi, Ik zie op een machine dat iptables -L output blijft hangen op IP adressen: target prot opt source destination **5 sec delay REJECT all -- 45.142.195.2 anywhere reject-with icmp-port-unreachable REJECT all -- ip-38-66.ZervDNS anywhere reject-with icmp-port-unreachable **5 sec delay REJECT all -- 45.133.99.3 anywhere reject-with icmp-port-unreachable REJECT all -- ip-38-82.ZervDNS anywhere reject-with icmp-port-unreachable RETURN all -- anywhere anywhere Ik kan natuurlijk met iptables -L -n zorgen dat de output nummeriek blijft, en dan is ie inderdaad snel. Maar: ik verwacht dus dat er op dat systeem een probleem is mbt dns resolving. Dus verwacht dat het volgnde ook traag is: root@server:/etc# host 45.142.195.2 Host 2.195.142.45.in-addr.arpa. not found: 3(NXDOMAIN) root@server:/etc# host 45.133.99.3 Host 3.99.133.45.in-addr.arpa. not found: 3(NXDOMAIN) Echter: beide "not founds" zijn instant. De vraag: waarom zou iptables resolving traag zijn, en 'host' gewoon snel? Dns config op de machine al eens gewijzigd naar 8.8.8.8, maar geen verschil. Weet iemand waar ik iets zou kunnen checken? MJ
Re: Let's encrypt rate limits
Hoi, Heb t ook wel eens gehad, en 'oefen' daarom nu vrij strak altijd eerst op hun staging evironment. De client die ik tegenwoordig gebruik (acme.sh in combi met acme-dns, https://github.com/joohoi/acme-dns) maakt dat ook enorm gemakkelijk allemaal. Heb t sindsdien nooit meer gehad. En ik weet't... hier heb je op dit moment niks aan. :-| Gezondheid gewenst aan allen hier. MJ On 3/25/20 12:42 PM, Paul van der Vlis wrote: Hoi, Ik probeer Jitsi-meet te installeren, echter de configuratie zit daar zo in elkaar dat het ophalen van het SSL-certificaat mislukte. En omdat ik het een paar keer probeerde heb ik nu een rate-limit: --- An unexpected error occurred: There were too many requests of a given type :: Error creating new order :: too many failed authorizations recently: see https://letsencrypt.org/docs/rate-limits/ --- Eerder loste ik dat op door een iets ander certificaat aan te vragen (extra naam). Maar dat lijkt niet meer te werken. Moet je nu echt een week wachten voordat zoiets voorbij is? Ik red me hier nu best wel uit met b.v. een ander IP, maar het lijkt me dat zoiets in een ander geval heel grote problemen kan geven. Wat is jullie ervaring? Groeten, Paul
Re: alleen maar ARP
Hoi, Geen idee, maar ik had laatst zoiets, en dat was een gevalletje van Asymmetric Routing. Dus, je zou kunnen checken dat de routering correct is: Weet je router waarheen hij pakketjes voor je VMs moet routeren? Ik neem aan dat er geen NAT in het spel is? MJ On 1/23/20 6:49 PM, Geert Stappers wrote: Hoi, Een computer-netwerk-uitdaging die ik momenteel heb. De situatie: Fysieke server heeft twee Network Interface Cards. Beide NICs zitten in een "bond", 'bond0'. De "bond" zit in "bridge" 'br0'. 'br0' heeft IP-adres van de fysieke server. En is daar op te benaderen. Op de fysieke server ligt KVM-QEMU (libvirt / virt-manager) Binnen KVM-QEMU draaien twee virtueele machines. Die 2 VMs leunen (zijn aangesloten) op 'br0'. Op de fysieke server is met `brctl show br0` te zien dat er de interfaces 'vnet0', 'vnet1' en 'bond0' in zitten. En `brctl showmacs br0` laat de MAC-addressen van de VMs zien. In de VM heb ik "link detect". Ping naar fysieke host is mogelijk. Een ping naar de router vanuit de VM is niet mogelijk. Met behulp van port mirroring op fysieke netwerk switch zie ik ARP pakketten voorbij komen (beide kanten op) In de arp-cache in de VM is het MAC-address van de router te zien. Dus er zijn netwerkpakketten heen en terug gegaan. ARP en `ping fysieke-host` is echter het enige wat werkt. Wat de uitdaging compleet maakt, is dat het eerder deze week wel gewerkt heeft. Na de reboot van fysieke server niet meer. Welke mogelijkheden zie jij om meer dan "ARP" te kunnen doen? Groeten Geert Stappers
Re: ip / mac / arp probleem
Hallo allemaal, On 1/3/20 9:17 PM, Geert Stappers wrote: Maar euh, laat gerust weten wat jou oplossing was. Mijn oplossing is nu: sophos XG (wat we hier ook draaien) heeft zo'n functie: "Enable spoof prevention" waarin je valide combi's van MACs/IPs kunt invoeren. (a la arpalert / arpwatch dus eigenlijk) Vriendelijk bedankt voor het meedenken allemaal. MJ
Re: Off_Topic: Stamtafel [Was: Re: ip / mac / arp probleem]
Hoi, Ik zelf heb helemaal geen bezwaar tegen dit soort berichten hier op debian-user-dutch. Zo'n drukke lijst is het nu ook weer niet. :-) Ik zelf zou me denk ik niet snel erbij abonneren op iets als debian-stammtisch...@lists.debian.org Licht off-topic, maar wel gerelateerd aan debian / netwerken, etc: wat mij betreft welkom hier... En a propos mijn vraag: Ik ben nu aan het kijken wat HP aanbiedt, a la Cisco's "ip arp inspection" en "ip verify source" (zie https://community.cisco.com/t5/switching/ip-arp-inspection-vs-ip-verify-source/td-p/1864717) MJ On 12/30/19 2:35 PM, mai...@posteo.org wrote: On 27/12/2019 21:02, mj wrote: Hoi, Tikkeltje off-topic, hopelijk stoort niemand zich eraan... anders bij voorbaat: excuus... Helemaal niet en misschien is het niet verkeerd om voor dit soort vragen, welke niet specifiek Debian gerelateerd zijn, een stamtafel in het leven te roepen. Weet niet hoe andere gebruikers van deze ML er tegen aankijken maar een: debian-stammtisch-belg...@lists.debian.org lijkt me wel wat
Re: ip / mac / arp probleem
Hoi Paul, On 12/28/19 10:21 AM, Paul van der Vlis wrote: Wat mij een goede oplossing lijkt is dat 1 persoon verantwoordelijk is voor het netwerk en de IP-adressen uitdeelt. En dit ook documenteert voor een vervanger. Uiteraard is alles wat je hierboven schrijft het geval. Het gaat hier om een externe monteur die op eigen houtje, zonder overleg, zomaar iets gedaan heeft, en ons daar enorme problemen mee bezorgde. Ik wil dat voor een volgende keer sowieso direct ontdekken, door bv arpalert, zoals gesuggereerd door Geert. Maar nog liever wil ik dit voorkomen, onmogelijk maken. Daarom heb ik zulke devices inmiddels op een speciaal VLAN gezet, maar hoop ik ook op één of andere config (acl of zo) voor de procurves. Als een manager een andere techneut toelaat zonder overleg, dan lijkt het me logisch wie hier de fout heeft gemaakt. Daar is ook geen enkel misverstand over. MJ
Re: ip / mac / arp probleem voorkomen, ARP table bewaken
Hoi Geert, On 12/27/19 9:21 PM, Geert Stappers wrote: De switch lekker op layer 2 laten en dan arpalert of arpwatch (ik kan die twee nog steeds goed uit elkaar uithouden). Dank, die kende ik nog niet, maar ga ik zeker ook inzetten..! En misschien nog andere ideeën, opties die wel op de switch kunnen..? MJ
ip / mac / arp probleem
Hoi, Tikkeltje off-topic, hopelijk stoort niemand zich eraan... anders bij voorbaat: excuus... Laatst grote problemen gehad doordat onze debian router / gateway (en dat was de link met debian-user-dutch...) met IP adress .1 van ons netwerk 'gedrukt' werd door en ander device waar één of andere monteur óók IP .1 op gezet had. Die twee gingen de strijd met elkaar aan om dat ip adres, met voortdurende, rare en onvoorspelbare resultaten. Duurde lang voordat ik door had wat er speelde. De vraag: heeft iemand hier een idee hoe ik zoiets in de toekomst zou kunnen voorkomen? Ik denk aan iets op onze procurve switches, bv: - het ip adress .1 alleen toestaan op specifieke poorten of - het ip .1 alleen toestaan in combinatie met een specifiek mac adres Iemand met tips of andere ideeen om dit te voorkomen..? Groet en fijne dagen gewenst! MJ
helpdesk software suggesties
Hoi, Iemand hier die gebruikt maakt van een (open source) helpdesk ticketing systeem, liefst draaiend op linux/debian..? Een snelle google geeft allerlei antwoorden (waaronder bv zammad wat interessant lijkt) maar ik ben ook op zoek naar praktijk ervaringen en suggesties van jullie. :-) Bedankt! MJ
Re: Tekenen van client-server communicatie
Misschien hier eens naar kijken? http://www.mcternan.me.uk/mscgen/ MJ On 3/10/19 10:24 AM, Geert Stappers wrote: Hoi, Met welke tools maken jullie zoal tekeningen van client-server communatie? Tekeningen als op https://lwn.net/Articles/508865/ Op http://graphviz.org/gallery/ is niets wat er op lijkt. Wel is graphviz het soort programma wat mijn voorkeur heeft. Dus dat je in tekst beschrijft wat je wilt en dat er dan een plaatje wordt gegeneerd. Groeten Geert Stappers
Re: Grub komt niet
Hoi, On 11/26/18 4:09 PM, Paul van der Vlis wrote: chrooten, en ik kan grub opnieuw installeren (zie mijn reactie op Frans). Ja, zag het. Ik dacht echter dat je probleem nog niet opgelost was, en in zo'n geval heeft booten vanaf de supergrub iso mij wel eens wat verder op weg geholpen. mj
Re: Grub komt niet
Hoi,
In soortgelijke situaties (maar dan baremetal) heb ik hier wel eens wat
aan gehad:
https://www.supergrubdisk.org/
Wie weet heb je er wat aan.
MJ
On 11/26/18 11:43 AM, Paul van der Vlis wrote:
Hallo,
Ik heb een -niet zo belangrijke- virtuele machine die niet meer wil
booten. Dit stoort me, ik heb tot nu toe mijn virtuele machines steeds
kunnen repareren bij problemen. Een andere keer zou ditzelfde misschien
kunnen gebeuren bij een belangrijke virtuele machine, toch?
Platform is kvm/qemu met libvirt, ik gebruik qcow2 virtuele disks. Deze
gedragen zich eigenlijk gewoon als een disk.
Na booten van de VM wordt grub niet gestart. De VM staat wel als
"running" in "virsh list", en ik kan er ook naartoe connecten via de
virtuele console. Normaal verschijnt Grub, maar nu niets.
Ik heb een fsck uitgevoerd en er was weliswaar een probleem, maar dat is
nu opgelost. Ik kan nu bij het filesysteem en dan chrooten. In de logs
van de VM zie ik geen pogingen tot booten.
Uiteraard heb ik grub opnieuw geïnstalleerd met de optie "--recheck",
dan zie ik verder geen foutmelding.
Virsh met debug opties ("virsh -d4 start ..") geeft ook niets.
In de logs van libvirt lijkt de VM gewoon te starten.
Andere virtuele machines doen het goed.
Ik heb even geen idee meer, jullie misschien?
Groet,
Paul
lpic certificeringen
Hoi, Ik heb het plan opgevat om mezelf te certificeren, en na wat googles ben ik via de lpimarketplace op ucertify terecht gekomen. Ik ben net begonnen met de verplichte eerste cursus "Linux Essentials", maar kom nu licht gefrustrerd hier even wat checken... Een voorbeeld vraag uit hun cursus: "wat is de alternatieve interface naast de command line die wel meer resources van de pc vraagt"? Mijn (text, geen multiple choice) antwoord was: "GUI". Fout. Ok... ik moet dus geen afkortigen gebruiken. Toen kwam dezelfde vraag opnieuw terug, en ik wist het nog! Mijn antwoord was: "graphical user interface". Opnieuw FOUT! Het juiste antwoord moest zijn: "Graphical User Interface". (andere hoofdletters worden dus keihard fout gerekend..!) Voor een andere praktijk vraag gebruikte ik "ip" ipv "ifconfig", om achter ip/mac/broadcast te komen. Ook dat werd fout gerekend. (en "uname -a" om achter een kernel versie te komen is ook fout) Grr... Nu is mijn vraag: hebben jullie ervaringen met die certificeren, en tips over online cursussen die misschien beter zijn dan die van ucertify, of moet ik mezelf gewoon aapassen om het hier mee te leren doen..? En er zijn hier vast veel mensen die die examens allemaal gedaan hebben..: Zijn de echte examens ook zo principeel, dat bijvoorbeeld "graphical user interface" FOUT is..? Groet en dank voor reacties, MJ
Re: SSH
On 10/20/2018 10:14 AM, Huub Reuver wrote: Tot slot: sudo is handig voor enkele specifieke commando's. Apt hoort niet in combinatie met sudo. Daar heb je "su - " voor, Oh? Nooit eerder gehoord. Waarom geen sudo bij apt..? mj
Re: Npostart en Chromium
Hoi Paul, Hier, met chromium 68.0.3440.106 (Official Build), running on LinuxMint 18.2 (64-bit) (gebaseerd op stretch/sid) werkt 't gewoon. MJ On 09/10/2018 10:54 AM, Paul van der Vlis wrote: Beste mensen, Nu ik toch met npostart bezig ben (en het verfoeilijke DRM), vraag ik me af wat de reden is dat het niet werkt onder Chromium. Ik installeer Chromium altijd standaard, zodat mensen een alternatief hebben bij problemen. Werkt het bij jullie? Bij mij niet. Dezelfde problemen als bij Firefox een paar dagen geleden. Dus wel reclames (niet altijd), en daarna alleen een ronddraaiend cirkeltje. Kennen jullie een andere website waar DRM gebruikt wordt, en werkt het daar wel misschien? (Netflix bijvoorbeeld, daar heb ik geen account). ( En nee, ik heb geen DRM-zooi op mijn gewone PC. Maar ik heb wel een multimedia PC waarop ik het heb. ) Groetjes, Paul
installer met kernel van backports
Hoi, Kan iemand me een tip geven of (en hoe) het mogelijk is om stretch te installeren, maar direct (tijdens installatie dus) met een kernel uit backports? Het gaat om root-device hardware compatibilty, waarvan ik vermoed dat de kernel uit backuports die wèl heeft, en de normale stretch kernel nog niet. Ik zou natuurlijk ook een tijdelijk ander root device kunnen gebruiken, dan kernel updaten, en dan root device aanpassen. Maar vraag me af of bovenstaande oplossing ook (eenvoudig) mogelijk is..? Specifiek: het gaat om een server met intel vroc / vmd ssd nvme devices, waarop ik dus debian root raid wil installeren. (https://downloadmirror.intel.com/27332/eng/Intel(R)_VROC_Linux_5_3_Release_Notes.pdf) MJ
Re: Gedeelde opslag
On 04/13/2018 04:50 PM, Frans van Berckel wrote: Leuk, altijd doen. Wat kost Proxmox? Niks zolang je genoegen neemt met de minder goed geteste community packages repo. Ze hebben ook de subscription repo, waarin de packages beter getest zijn, daarvoor betaal je wel. Maar wij vinden de community repo best prima. Nooit problemen gehad, hoewel ik incidenteel op de mailinglist wel eens iets lees. Wij updaten ook telkens slechts één host per keer, dan kun je ook wel wat ellende hebben, en draaien je VMs toch gewoon door op de resterende hosts. (worst case) MJ
Re: Gedeelde opslag
On 04/13/2018 04:31 PM, Paul van der Vlis wrote: Hoeveel geheugen en hoeveel cores je CPUs hebben lijkt me toch niet echt van belang voor de setup? Wel uiteraard voor hoeveel VM's je kunt draaien. Nou, wel voor de ceph storage. Die 'berekent'namelijk waar de data staan. Next generation storage, heel interessant. Google er maar eens over. Heeft dus méér cpu nodig dan een gewone storage oplossing. Welke journals zet je op SSD? Ceph gebruikt journals, die dus. Die worden dan later geflushed naar de spinning disks. Maakt groot verschil voor performance. Maar je moet wel de juiste enterprise SSDs nemen. ook daarover kan google je veel vertellen, of de ceph mailinglist. Draai je ook nog raid op je machines, of is dat niet meer nodig bij Ceph? Nee, geen raid. Ceph wil graag praten met echte individuele disks, ZONDER vrstorende raid adapter ertussen. (zelfs JBOD wordt afgeraden) Je kunt er ook een oudere machine neerzetten lijkt me, als het toch alleen voor storage is. Toch? Ja, maar wel weer met de kanttekening dat cepg dus relatief ceel cpu gebruikt. Méér dan je verwacht wanneer je zegt: storage-only node. Gebruik je een 10 Gbit netwerk voor de replicatie, of sneller? Nee, wij doen 10GB. En dat saturates in onze omgeving dus niet. (zeker niet structureel) Bedankt voor je aanbod, Ceph lijkt heel interessant. Ik kan zeggen dat het dat ook is. :-) Ik krijg net een uitnodiging van iemand hier in Groningen om eens te komen kijken naar zijn Proxmox. Ja, nou ja, je bent hier ook welkom :-) Hmm, waarom zit Proxmox eigenlijk niet in Debian? Zie andere reply. Fijn weekend, MJ
Re: Gedeelde opslag
On 04/13/2018 04:56 PM, Paul van der Vlis wrote: Ik kwam wel dit tegen: https://packages.debian.org/buster/python3-proxmoxer Ik vraag me dan af of die "Proxmox REST API v2" ook in Debian zit of hoe dat werkt. Je kunt proxmox er wel gewoon bij zetten, in een normale debian install: https://pve.proxmox.com/wiki/Install_Proxmox_VE_on_Debian_Stretch MJ
Re: Gedeelde opslag
Hoi Paul, On 04/13/2018 02:45 PM, Paul van der Vlis wrote: Hallo, Ik heb een paar virtualisatie-servers in het datacenter, en nu wil ik het zo gaan maken dat ik een guest over kan zetten naar een andere server. Daarvoor is een vorm van gedeelde opslag nodig. Wat ik wil delen zijn vooral virtuele disks (ik gebruik nu qcow2 images). Uiteraard zou dat kunnen met een fileserver met iets als NFS of Samba. Daar denk ik dan niet direct aan, maar: Alternatief lijkt het me ook te kunnen met een SAN-oplossing op basis van Debian, dus een systeem wat blockdevices via het netwerk deelt. Dat zou dan kunnen met een protocol als iSCSI, AoE, of FCP. Dit is meer de richting die ik dan op denk. Voor NAS/SAN gebruiken wij alleen geen debian, maar freenas, op basis van zfs. Dit gebruiken we al jaren, en is echt fantastisch. Onze virtualisatieomgeving is gebaseerd op proxmox, en dat heeft ceph als storage oplossing. Dat is helemaal fantastisch, en heeft alle features. Proxmox virtualisatie moet je even uitchecken denk ik: gebaseerd op debian, met ceph geintegreerd, live migration, alles erop en eraan. Ceph is echter wel vooral goed als je omgeving iets groter is: min 3 fysieke servers die alle drie ook de storage doen, SNELLE netwerking (min 10G) onderling, en genoeg disks per machine om alle reads/writes over te verdelen. Wij draaien 3x supermicro met 8 4TB disks per server, en journals op SSD, 128GB memory, 12 core CPUs. Draait goed en hééĺ stabiel, alleen is dit wel de minimum setup. Ik wil er graag nog een vierde storage-only machine bij zetten, vooral om ceph sneller te maken. En om het nog interessanter te maken zou het ook nog kunnen met een cluster lijkt me. Ik kwam bijvoorbeeld Ceph, DRBD en BeeGFS tegen. CLVM kun je er denk ik ook toe rekenen, dat is de cluster-variant van LVM. Als ik het goed begrijp heb je met zo'n cluster geen centrale fileserver meer, maar heb je een soort raid tussen verschillende machines. Klinkt wel heel interessant, je hebt dan geen single point of failure meer. En wellicht hoeft de data bij lezen niet meer over het netwerk in mijn situatie, wat wellicht toch voordelen heeft. Als je meer over onze setup (of ceph) wil weten, dan zeg t maar. Maar proxmox zou ik gewoon eens installeren, dan zie je al snel hoe t werkt. Zonder ceph kun je het gewoon op één enkele machine uittesten. MJ
Re: Waarom ging de server uit?
Hoi, On 04/13/2018 07:55 AM, Geert Stappers wrote: Korte stroom onderbreking? ( en geen "resume after powercut" ) Dit is waar ik direct aan denk. Ik heb ooit zoiets gehad: een machine die een paar keer onverklaarbaar ineens uit was. Ik heb er toen een UPS tussen gezet, en toen is het niet opnieuw gebeurd, en die UPS heeft een paar keer een stroomuitval alert gegenereerd. Raar genoeg: andere machines hadden er geen last van, en andere UPSen (andere groepen) ook geen probleem. De alerts ONBATT en ONLINE kwamen ook op dezelfde seconde, dus het is denk ik meer een dip dan een echte stroomuitval. MJ
Re: tail -f logfile | webpage
Wij doen dat dmv graylog: https://www.graylog.org/ Maar dat installeren *alleen* voor jouw doel is uiteraard overkill. Maar daarin kun je dan een specifiek dashboard maken de logfile(s) in kwestie, en dan een login/role maken met rechten op dat dashboard. Kunnen ze er direct ook in zoeken enzo, geeft je heel veel mogelijkeden. Is overigens sowieso een fantastisch stuk software. MJ On 03/18/2018 12:47 PM, Geert Stappers wrote: On Sun, Mar 18, 2018, Eerste Reactie wrote: Geert StappersDate: Sun, 18 Mar 2018 10:34 Hoi, Gezocht/gevraagd: tail -f logfile | webpage Dat updates van een logfile verschijnen op een webpagina. Is om inzage in logfile te geven zonder dat er SSH toegang is. Je kan een logfile ook direct naar een webserver directory sturen en dan kan iemand er gewoon naartoe gaan. Ja, en dan wat subtieler. Groeten Geert Stappers
Re: Certbot problemen (Letsencrypt)
On 03/15/2018 05:36 PM, Paul van der Vlis wrote: Een oplossing heb ik nog niet (anders dan upgraden naar Debian9). Of dit gaan gebruiken: https://github.com/Neilpang/acme.sh Werkt prima hier, ook onder debian 8. MJ
Re: Mijndomein Websites die niet werken met Firefox-esr
On 02/24/2018 03:28 PM, Diederik de Haas wrote: Ik vind het verbazingwekkend hoe mild er over mijndomein wordt geoordeeld. +1
Re: nvme vs m.2
On 02/25/2018 07:05 PM, Frans van Berckel wrote: Voor mij was nvme nieuw, en zocht even op YouTube ... M.2 vs NVME: What's the difference? https://www.youtube.com/watch?v=fJCHx7mZEKo Ja, echt hele coole technologie, hè. :-) MJ
Re: nvme
Hoi Mart, Bedankt voor je reactie! MJ On 02/25/2018 02:21 PM, Mart Lubbers wrote: On Sun, Feb 25, 2018 at 12:45:02PM +0100, mj wrote: Hoi, Zijn hier mensen met ervaring met nvme N.2 harddisks (bv samsung evo/pro) met daarop stretch? Is dat gewoon installeerbaar/bruikbaar gelijk een normale harddisk..? (root op nvme, bedoel ik) MJ Hoi MJ, Mijn desktop heeft een evo 960 en die werkt out of the box met stretch. Gr. Mart
Re: Snelheid harddisk
On 02/12/2018 05:15 PM, Paul van der Vlis wrote: Volgens mij is dat niet zo bij deze disks, het lijkt echter toch niet zo'n heel goede keus als ik het vergelijk. Wij gebruiken voor backups-to-disks veel WDC WD60EFRX, en ik moet zeggen: geen problemen mee, wij zijn juist wel fans van de WD Red series. Maar we gebruiken ze vooral in freenas, en eigenlijk niet op fileservers. Ik moet zeggen dat ik niet zo erg hou van die enorme 8TB en meer schijven, maar liever kleinere pak, maar dan meer in een raid. (het rebuilden van 8TB duurt (zeker als network usage gewoon doorgaat) best lang, en de kans dat er in die tijd een tweede uit knalt is mij te groot. Maar ik wilde vooral onze ervaringen met WD Red even delen. MJ
Re: Mijndomein Websites die niet werken met Firefox-esr
On 02/12/2018 02:46 PM, Paul van der Vlis wrote: om in ons systeem binnen te dringen. Helaas is er geen onderscheiding in de useragents tussen de verschillende versies van Firefox 52 vandaar dat we hebben besloten heel Firefox 52 te blokkeren. Wat verbijsterend! En dat beslist die hoster dus gewoon voor je. Ik zou alles bij mijndomein.nl weghalen. MJ
Re: ssh naar Linux computer achter "router"
Hoi, En hier dan het plaatje B --- M === A Wat bestaat er aan Debian packages voor zulke situaties? Dat zou je toch kunnen oplossen met reverse ssh? Lees bv: https://www.howtoforge.com/reverse-ssh-tunneling MJ
Re: chinese tekens
Hoi Bram, Jouw suggestie werkte niet direct, maar stuurde me wel in de juiste richting: Maar nadat ik dmv "dpkg-reconfigure locales" de default charset van het systeem op en_US.UTF-8 zette, stuurt cron inderdaad utf8 mails, en kloppen de tekens. Waarvoor mijn dank! MJ On 02/23/2017 02:58 PM, Bram wrote: Je kunt de charset van de e-mails aanpassen zodat deze overeenkomt met de charset die je jobs genereren. Waarschijnlijk is UTF-8 wel een veilige gok. Zie bijvoorbeeld dit antwoord: http://serverfault.com/a/642184 Quote: Solved my issue by adding in to a crontab: |crontab -e | At the top of file i wrote: |CONTENT_TYPE="text/plain; charset=utf-8" | Now all of my cron job email's are in UTF-8 Charset. End Quote. Groet, Bram 2017-02-23 14:48 GMT+01:00 mj <li...@merit.unu.edu <mailto:li...@merit.unu.edu>>: Hoi, Ik heb hier een rsync cron job draaien om bestanden op twee machines gesynchroniseert te houden. Ik krijg een overzicht van elke rsync sessie, om te zien welke bestanden gekopieerd zijn. Daartussen zitten ook chinese bestanden, bv: 课题雇佣的科研助手费用备足 (ik hoop dat die tekens goed overkomen) De chinese bestanden lijken aan beide kanten correct op het filesysteem te staan. Zowel bash als bv midnight commander geeft ze op beide machines correct weer. De output van die cron job wordt gemailed naar root, echter in die mails zien de chinese bestanden er zo uit: \#346\#210\#221\#347\#232\#204/\#346\#22 Doet dit een belletje rinkelen bij iemand? Waar is iets te checken? Het is geen vreselijk probleem, want het eindresultaat is prima, alleen zouden die mailtjes er beter uitzien wanneer de bestandsnamen kloppen. De machine die via rsync pulled en het mailtje verstuurt draait up-to-date debian jessie met postfix. Tips? MJ
chinese tekens
Hoi, Ik heb hier een rsync cron job draaien om bestanden op twee machines gesynchroniseert te houden. Ik krijg een overzicht van elke rsync sessie, om te zien welke bestanden gekopieerd zijn. Daartussen zitten ook chinese bestanden, bv: 课题雇佣的科研助手费用备足 (ik hoop dat die tekens goed overkomen) De chinese bestanden lijken aan beide kanten correct op het filesysteem te staan. Zowel bash als bv midnight commander geeft ze op beide machines correct weer. De output van die cron job wordt gemailed naar root, echter in die mails zien de chinese bestanden er zo uit: \#346\#210\#221\#347\#232\#204/\#346\#22 Doet dit een belletje rinkelen bij iemand? Waar is iets te checken? Het is geen vreselijk probleem, want het eindresultaat is prima, alleen zouden die mailtjes er beter uitzien wanneer de bestandsnamen kloppen. De machine die via rsync pulled en het mailtje verstuurt draait up-to-date debian jessie met postfix. Tips? MJ
Re: exim en spamassassin - ik zie iets over het hoofd
On 11/23/2016 12:08 PM, Paul van der Vlis wrote: Kan ik me iets onder voorstellen inderdaad. Ik ken Dovecot eigenlijk alleen met Maildir. Maar weinig ervaring met dit programma. Wij zijn grote fans :-) Extreem stabiel bij ons. Letterlijk (!) NOOIT iets mee. MJ
Re: exim en spamassassin - ik zie iets over het hoofd
On 11/23/2016 10:43 AM, Paul van der Vlis wrote: Is dat niet standaard zo bij Dovecot? Kan beide, maar wij draaien dovecot gewoon met virtual users. Met echte users (en mails onder /home etc) zijn dingen als mailboxen delen direct een stuk ingewikkelder. MJ
Re: nfs / hosts.deny & alow
Hoi Paul, On 11/06/2016 12:07 PM, Paul van der Vlis wrote: Niet elke applicatie ondersteund tcp wrappers, soms moet support daarvoor specifiek worden ingecompileeerd. Hoe dit zit bij NFS weet ik niet. Verder doet de naam "tcp wrappers" mij denken dat het wellicht alleen werkt bij TCP, en NFS is veelal UDP. NFS4 is tcp volgens mij, en: root@server:~# ldd /sbin/rpcbind | grep wrap libwrap.so.0 => /lib/x86_64-linux-gnu/libwrap.so.0 (0x7f110ca2b000) root@server:~# ldd /sbin/rpcbind | grep wrap libwrap.so.0 => /lib/x86_64-linux-gnu/libwrap.so.0 (0x7f05f8a72000) root@server:~# ldd /sbin/rpc.statd | grep wrap libwrap.so.0 => /lib/x86_64-linux-gnu/libwrap.so.0 (0x7f8af2fff000) root@server:~# Dat betekent volgens mij dat tcp wrappers 'erin' zouden moeten zitten. Ik zie daar geen fout. Ja, sorry, die foutmelding had ik al eerder laten zien: root@client:/srv# showmount -e server clnt_create: RPC: Port mapper failure - Authentication error Zie mijn opmerking boven. Uiteraard worden andere IP's ook geblokkeerd doordat alleen jouw IP in /etc/export staat van de server. Je instelling is dus dubbel op. Als je dat toch graag wilt zou ik dat doen via een firewall. Yep, dat kan natuurlijk ook. Maar ik ben vooral nieuwsgierig waarom dit niet werkt, in vrijwel alle HOWTO's wordt aangeraden om de zaak dmz hosts.deny/allow verder dicht te timmeren. Maar de suggestie Rik heeft één en ander verklaart, dus de zaak kan wat mij betreft gesloten worden. Dank voor t meedenken, Paul, Rik, en Geert! Fijne zondag, MJ
Re: nfs / hosts.deny & allow
Hoi Geert, Ik geloof eigenlijk niet dat ik je antwoord helemaal begrijp, sorry. On 11/05/2016 09:11 PM, Geert Stappers wrote: Mijn inschatting is dat er de situatie is als bij server niet bereikbaar. Dat kan voorkomen bij "Network File System". De client zal "gewoon" een mount doen. Wat bedoel je met dat laatste? Als de server toegang zou moeten deny-en, dan kan de client natuurlijk proberen te mounten wat ie wil, maar dan kan de client gewoon niet bij de data..? En mijn inschatting is dat bij daadwerklijk van de remote disk gebruik maken, dat dan de tcpwrappers (NFS is overigens UDP) wel verschil maken. NFSv4 is volgens mij juist TCP. Maar ik KAN gebruik maken van de NFS export op de client. Read-only, zoals geconfigureerd, maar ik kan de export mounten, en inhoud van bestanden lezen. Maar wellicht mis ik de essentie van wat je probeert te zeggen? Groet, MJ
nfs / hosts.deny & alow
Hoi allemaal, Ik wil een directory exporten naar een andere machine, over nfs. Heb op de server in /etc/exports een export geconfigureerd: > /srv/datashare 192.168.2.5(ro,no_subtree_check) Daarna nfs-kernel-server gestart, en kan hem nu op de client met success mounten, zelfs met nfs4. Prima. Nu wil ik graag tcp wrappers gebruiken om de zaak wat verder dicht te timmeren. Dus, op de server in hosts.deny: rpcbind : ALL rpc.statd : ALL rpc.idmapd : ALL rpc.mountd : ALL En dan, op de client, zoals verwacht: root@client:/srv# showmount -e server clnt_create: RPC: Port mapper failure - Authentication error Dan, allow de specifieke client in hosts.allow op de server: > rpcbind : 192.168.2.5 > rpc.statd : 192.168.2.5 > rpc.idmapd : 192.168.2.5 > rpc.mountd : 192.168.2.5 En inderdaad, op de client: root@client:/srv# showmount -e server Export list for server: /srv/datashare 192.168.2.5 ECHTER (en nu komt het..!) het mounten van deze nfs share op de client werkt stelselmatig wèl, ook ZONDER de uitzondering in hosts.allow op de server. Dus, wanneer ik géén uitzondering maak in hosts.allow, kan ik op client 192.168.2.5 TOCH de nfs export met succes mounten en de (actuele, real-time) inhoud bekijken. Dus showmount geeft inderdaad een fout, maar: > mount /srv/datashare werkt gewoon TOCH. Bovenstaande mount komt uit fstab, als: server.company.com:/srv/datashare/srv/datashare/nfs4 ro,intr,noexec 0 0 Ik geloof niet dat ik snap waarom het gewoon blijft werken. Iemand hier wel? Wat zie ik over het hoofd? Waarom wordt hosts.deny / hosts.allow genegeerd bij het daadwerkelijk mounten..?? Groet en dank, MJ
Re: script vraag
Hoi Vincent, lijst,
Bedankt voor je uitleg!
Wat ook werkt:
if test $(find $errorfile -mmin +5); then
Groet,
MJ
On 10/24/2016 04:32 PM, Vincent Zweije wrote:
On Mon, Oct 24, 2016 at 02:04:43PM +0200, mj wrote:
|| Alleen de regels volgend op
|| > if test 'find $errorfile -mmin +30'; then
|| worden TELKENS uitgevoerd, en niet alleen slechts wanneer de $errorfile
|| ouder is dan 30 minuten.
De enkele quotes (') maken dat de string 'find $errorfile -mmin +30'
zonder verdere interpretatie als command line argument aan het test
programma wordt gegeven. Het test programma stelt vast dat dit geen lege
string is, en levert succes op. De then-code wordt dus altijd uitgevoerd.
Zonder veel verder te kijken: misschien bedoel je:
if find $errorfile -mmin +30 >/dev/null; then
Vincent.
script vraag
Hoi, Ik heb onderstaand script in elkaar gezet: #!/bin/bash errorfile="/tmp/ceph-error" node=$(cat /etc/hostname) email="notificati...@company.com" health=$(/usr/bin/ceph health) if [ "$health" != "HEALTH_OK" ] && [ ! -f $errorfile ]; then # health not ok, and file does not yet exist echo "health not ok, and file does not yet exist" touch $errorfile echo "Bad news: Ceph cluster node $node health status became "$health"" | mail -s "ERROR! ceph status $node" $email fi if [ "$health" != "HEALTH_OK" ] && [ -f $errorfile ]; then # health not ok, errorfile already present # check age of errorfile if test 'find $errorfile -mmin +30'; then echo "errorfile older than 30 minutes" # fresh timestamp on errorfile touch $errorfile # and notify again echo "FYI: Ceph cluster node $node health status is still "$health"" | mail -s "ERROR! ceph status $node" $email fi fi # then assuming health IS ok, we can delete errorfile if [ "$health" = "HEALTH_OK" ] && [ -f $errorfile ]; then # health is ok, error file exists, so can be removed rm -f $errorfile echo "good news" echo "Good news: Ceph cluster node $node health status is again "$health"" | mail -s "ceph status $node" $email fi Alleen de regels volgend op > if test 'find $errorfile -mmin +30'; then worden TELKENS uitgevoerd, en niet alleen slechts wanneer de $errorfile ouder is dan 30 minuten. Dat snap ik niet. Kan iemand me dat uitleggen? Als ik het vanaf de cli uitvoer, lijkt t wel te werken: > find /tmp/ceph-error-more -mmin +30 geeft alleen resultaat, wanneer het bestand ouder is dan 30 minuten. MJ
Re: Remote access toestaan naar MariaDB server
Hoi Paul, Wij doen dit als volgt:: mysql tunnelen over ssh. Kan met elke ssh client (putty, onder windows) maar wij gebruiken navicat: https://www.navicat.com/download/ Dit is een mysql client met ingebouwde ssh functionaliteit. Maakt eerst een ssh naar je mysql server, en van daaruit connect ie naar mysql op localhost. Hoef je dus alleen ssh open te zetten. Groet, MJ On 09/16/2016 09:18 AM, Paul van der Vlis wrote: Op 15-09-16 om 22:45 schreef Geert Stappers: Heeft er hier iemand tips? * Verder zoeken naar een mariadb met SSL, ook meteen naar clients zoeken. * Zelf compileren en als je toch bezig bent, ook clients. Het lijkt er op dat er toch SSL mogelijk is, dat je de MariaDB server moet starten met de "--ssl" optie. Waarschijnlijk kan dit via een optie in my.cnf. http://stackoverflow.com/questions/24058225/debian-mysql-yassl-setting-up-certificates https://mariadb.com/kb/en/mariadb/secure-connections-overview/ MariaDB [(none)]> SHOW VARIABLES LIKE 'have_ssl'; +---+--+ | Variable_name | Value| +---+--+ | have_ssl | DISABLED | +---+--+ 1 row in set (0.01 sec) Als het er geen SSL in zou zitten, zou deze value "NO" zijn begrijp ik. * Tunnel technieken als VPN Uiteraard kan dat, maar is lastiger natuurlijk. Ik vond/vind het trouwens wel een interresante vraag. Ik had niet gedacht dat MySQL zelf SSL zou kunnen doen. Dank voor het vergroten van mijn wereld. Het schijnt al ondersteund te worden sinds 2001 volgens deze pagina: https://mariadb.org/state-ssl-mariadb/ Maar volgens mij wordt het niet veel gebruikt. Hier nog een manual voor MySQL 5.5: http://dev.mysql.com/doc/refman/5.5/en/creating-ssl-files-using-openssl.html Debian schijnt Yassl te gebruiken terwijl verder openssl gebruikt wordt, dit Yassl schijnt in het MySQL package zelf te zitten lees ik o.a. hier: https://www.debian.org/security/key-rollover/notvuln.en.html Groeten, Paul.
Re: pinning vraag
Hoi Heiko & lnx, Mooie uitleg, Heiko! Nu man apt_preferences ook gelezen. Beide hartelijke dank, fijne avond, MJ On 09/07/2016 02:52 PM, Heiko wrote: Hoi MJ, On 2016-09-07 11:37, mj wrote: Hoi, Ik denk een eenvoudige vraag betreffende het 'pinnen' van packages, maar toch helpt google me niet: Wie kan me uitleggen, of een link sturen, waarin wordt uitgelegd wat o= n= a= betekent in het volgende: Package: * Pin: release a=testing Pin-Priority: 50 Ik volgde een howto waarin geadviseerd werd: a=xxx, dit werkte echter helemaal niet. Toen vond ik een andere howto, waarin ineens stond n=xxx. En dit werkte wel. Waar kan ik een legenda van a, n, o (en misschien nog wel meer opties?) vinden? Toevallig was ik gisteren op zoek naar hetzelfde, en ik kon het ook niet echt makkelijk te vinden. Wat ik er van ben komen te begrijpen: Apt slaat informatie over de package repositories op in de /var/lib/apt/lists/*_Release files. Dit zijn leesbare tekstfiles met een aantal informatie velden (en een groot aantal md5sum's van files in de repositories). Voorbeeld: Origin: Debian Label: Debian Suite: stable-updates Codename: jessie-updates Date: Sun, 04 Sep 2016 15:37:46 UTC Valid-Until: Sun, 11 Sep 2016 15:37:46 UTC Architectures: amd64 i386 Components: main contrib Description: Updated packages for Debian 8 MD5Sum: [] Om hier met apt-pinning op te selecteren gebruikt apt een "ingedikte" vorm van een deel van deze informatie-velden. Bovenstaande wordt bijvoorbeeld: o=Debian,a=stable-updates,n=jessie-updates,l=Debian,c=main o=Debian,a=stable-updates,n=jessie-updates,l=Debian,c=contrib Daarbij is dan "Origin: Debian" omgezet naar "o=Debian", en "Suite: stable-updates" is "a=stable-updates" geworden. Merk op dat niet alle velden worden gebruikt, en dat de inhoud van de velden vrij ingevuld kan worden door de maker/beheerder van de repository. Als je dus repositories van andere partijen in je sources.list hebt staan kan de informatie minder duidelijk zijn. Bijvoorbeeld van de nvidia .deb repository heb ik gezien: o=NVIDIA,l=NVIDIA CUDA,c= En van ownCloud: o=obs://build.opensuse.org/isv:ownCloud:desktop/xUbuntu_14.04,n=xUbuntu_14.04,l=isv:ownCloud:desktop,c= Minder mooi, maar toch ook nog steeds wel bruikbaar voor apt-pinning. Als je "apt-cache policy" zonder package-naam draait geeft hij voor elke repository die ingedikte vorm van de repository informatie: apt-cache policy | grep release Daarmee kun je dan zien wat je in je apt-preferences voor pinning kunt gebruiken. De beste (maar nog steeds summiere) informatie die ik gisteren wel had gevonden: https://www.debian.org/doc/manuals/repository-howto/repository-howto.en.html#release https://www.debian.org/doc/manuals/apt-howto/ch-apt-get.en.html#s-pin Vriendelijke groeten, Heiko Groet, MJ
pinning vraag
Hoi, Ik denk een eenvoudige vraag betreffende het 'pinnen' van packages, maar toch helpt google me niet: Wie kan me uitleggen, of een link sturen, waarin wordt uitgelegd wat o= n= a= betekent in het volgende: Package: * Pin: release a=testing Pin-Priority: 50 Ik volgde een howto waarin geadviseerd werd: a=xxx, dit werkte echter helemaal niet. Toen vond ik een andere howto, waarin ineens stond n=xxx. En dit werkte wel. Waar kan ik een legenda van a, n, o (en misschien nog wel meer opties?) vinden? Groet, MJ
Re: Ervaringen met Letsencrypt
Hoi Paul, lijst, Grappig, ik ben er sinds vrij kort ook mee bezig, en werkt ook hier eigenlijk prima. Ik gebruik wel een andere client: http://acme.sh Stukje lichter dan de normale lets encrypt client. Groet, MJ On 05/25/2016 10:34 AM, Paul van der Vlis wrote: Hoi, Ik heb wat experimenten gedaan met Letsencrypt, en het werkt best heel aardig. Installeren van Letsencrypt gaat zo: apt-get -t jessie-backports install letsencrypt En verder iets specifiek voor je server, ik gebruik Apache: apt-get -t jessie-backports install python-letsencrypt-apache Mocht je geen jessie-backports in je sources.list hebben dan moet je dat natuurlijk wel eerst doen: http://backports.debian.org/Instructions/ Dit commando vraagt een certificaat aan, en installeert hem ook: letsencrypt --apache -t -m p...@vandervlis.nl -d test.freecafe2.nl Resultaat zie hier: https://test.freecafe2.nl https://www.ssllabs.com/ssltest/analyze.html?d=test.freecafe2.nl=91.198.178.59 Als je "letsencrypt" zonder argumenten ingeeft, dan wil hij alle domeinen op je server van certificaten voorzien. Gelukkig vraagt hij nog wel even. Wat me opviel was dat je twee certifcaten nodig hebt voor "domein.nl" en "www.domein.nl". Dat is normaal meestal niet zo. Het commando "letsencrypt renew" checkt of er certificaten vernieuwd moeten worden. Zo ja, dan vernieuwd het ze, en installeert ze. Te draaien vanuit crontab. Echte ervaring heb ik hier nog niet mee, maar het lijkt goed te gaan. Ik hoor graag ook ervaringen van anderen. Met vriendelijke groet, Paul van der Vlis.
Re: kvm | shared san storage
Hoi Wouter, allen, On 05/04/2016 07:21 AM, Wouter Verhelst wrote: Omdat je er expliciet naar vraagt (en omdat ik zelf de reference-implementatie ervan beheer): nbd wordt meer en meer het Ja fijn, dank voor de uitgebreide info. Ik heb, puur uit interesse, afgelopen weekend ook eens een paar benchmarks gedraaid (AoE vs iSCSI vs NBD, alles over 1GigE tussen dezelfde client en server), en daaruit had ik het gevoel dat NBD niet hoeft onder te doen (qua performance) tov de andere twee. Details zet ik later nog op mijn blog. Benieuwd, heb je blog via google inmiddels gelocaliseerd. :-) Laat je hier even weten wanneer je die details op je blog gezet hebt..? (dan hoef ik die url niet zo strak in de gaten te houden) Qua configuratie is iSCSI wel een ramp. Veel complexer dan noodzakelijk; duidelijk een geval van "design by committee". AoE werkt enkel over ethernet (zoals de naam al zegt) en is dan ook niet routable (wat voor iSCSI en NBD wél het geval is). Verder is er ook nog iets dat FCoE heet, maar daar heb ik niet naar gekeken. Ik vind iSCSI inderdaad vreselijk, zoveel gedoe voordat je iets geconfigureerd hebt. Wanneer het dan eenmaal werkt, werkt het overigens wèl heel goed, moet ik zeggen. (wij gebruiken iscsi naar freenas) Voor virtualisatie met iscsi / nbd zouden we dan nog een aparte san moeten implementeren, terwijl in geval van proxmox de san 'ingebakken' zit in het product: drie nodes, alle drie als virtualisatie hosts, met op alle drie tevens de ceph storage. (rbd) Ik heb proxmox nu draaien in een testopstelling, en tot nu toe ben ik zeer onder de indruk. MJ
Re: kvm | shared san storage
On 05/01/2016 05:46 PM, Geert Stappers wrote: En misschien komt er misschien nog wel een storage advies voorbij. (dat was de oorspronkelijk vraag (staat nog in het subject)) Waar ik zelf benieuw naar ben, is naar het networking gedeelte. (kort berichtje "ook OpenVswitch" of naam andere S/W is al fijn) De laatste keer liet ik 'proxmox' vallen, en toen kwam er ineens wat reactie. Ik zal nu eens iets vallen waar ik qua shared storage naar kijk: - iscsi of nfs op freenas (freenas gebruiken we hier al als backup-to-disk target met replicatie oplossing, kennen we dus goed) - ceph (zit ingebakken in proxmox, wat weer op debian gebaseerd is) Opmerkingen, of andere, betere ideeën? MJ
Re: kvm | shared san storage
Hoi Richard, Dank voor je uitgebreide info. Ik ga zeker een test opstelling maken, maar pas dinsdag tijd voor. Fijne dag allemaal, en dank voor de reacties. MJ Richard Lucassen <mailingli...@lucassen.org> schreef op 1 mei 2016 11:27:54 CEST: >On Sun, 01 May 2016 10:11:22 +0200 >MJ <li...@merit.unu.edu> wrote: > >> Gebruik je ook die geïntegreerde ceph storage? > >Nee, ik ben uiteindelijk teruggegaan naar de meest simpele oplossing: >raw images op lokale storage (wel met een NFS share als centrale >backup) > >Ik kan dus niet live VM's van de ene proxmox naar de andere slepen. >Maar dat heb ik ook niet nodig, ik kan ze wel van het ene stuk ijzer >naar het andere verslepen, maar dan gaat de VM even down. Ook voor >backups zet ik de VM op stop, dan heb ik altijd een werkende image. > >> Waar zijn je ervaringen daarmee? > >De enige negatieve ervaring heb ik al gemeld, maar ik draai alleen maar >servers die meervoudig zijn uitgevoerd en dan is het dus niet erg als >er eentje even down gaat (zoals front-end mailservers) > >Maar ik houd dus de zaak zo simpel mogelijk en dat kan ik ook in die >omgeving. Maar ik zou gewoon proxmox installeren en er even mee spelen. >Op de site staan vele voorbeelden en howto's. Als je die aanwijzingen >stipt opvolgt dan gaat het meestal goed. > >Aangezien je achteraf geen ip-nummers kunt veranderen in een cluster >draai ik het clusternetwerk altijd op een apart stukje netwerk en ik >verbind de stukken ijzer dan via de hosts file. Mocht de "voorkant" van >ip wijzigen dan blijven de proxmoxen elkaar herkennen via de hosts file >en het aparte stukje netwerk. > >Dit zijn de bijna identieke /etc/hosts files van proxmox1 t/m proxmox4 >(het enige verschil is de "pvelocalhost"): > >127.0.0.1 localhost.localdomain localhost >192.168.255.1 proxmox1.example.com proxmox1pvelocalhost >192.168.255.2 proxmox2.example.com proxmox2 >192.168.255.3 proxmox3.example.com proxmox3 >192.168.255.4 proxmox4.example.com proxmox4 > >127.0.0.1 localhost.localdomain localhost >192.168.255.1 proxmox1.example.com proxmox1 >192.168.255.2 proxmox2.example.com proxmox2pvelocalhost >192.168.255.3 proxmox3.example.com proxmox3 >192.168.255.4 proxmox4.example.com proxmox4 > >127.0.0.1 localhost.localdomain localhost >192.168.255.1 proxmox1.example.com proxmox1 >192.168.255.2 proxmox2.example.com proxmox2 >192.168.255.3 proxmox3.example.com proxmox3pvelocalhost >192.168.255.4 proxmox4.example.com proxmox4 > >127.0.0.1 localhost.localdomain localhost >192.168.255.1 proxmox1.example.com proxmox1 >192.168.255.2 proxmox2.example.com proxmox2 >192.168.255.3 proxmox3.example.com proxmox3 >192.168.255.4 proxmox4.example.com proxmox4pvelocalhost > >Keep things as simple as possible, but not any simpler > >R. > >-- >richard lucassen >http://contact.xaq.nl/
Re: kvm | shared san storage
Hoi. Openstack kan ook lokaal. Maar ik denk er inderdaad ook niet direct aan. Maar ik begon de thread om mogelijkheden te inventariseren, en een mogelijkheid is het wel. Bedankt, MJ Paul van der Vlis <p...@vandervlis.nl> schreef op 1 mei 2016 10:14:50 CEST: >Op 30-04-16 om 21:14 schreef Jos Wolfkamp: >> Ik zou dan zeker eens gaan spelen met OpenStack, via cloudvps.nl ben >ik >> op dit moment voor een prepaid bedrag van 20 euro van alles aan het >> uitproberen. > >Zal Openstack voor een kleine organisatie niet wat teveel van het goede >zijn? Als je zelf je eigen hardware wilt hebben, met maar een paar >machines. > >Groet, >Paul. > >> Groet, >> >> Jos. >> Op 30-04-16 om 21:06 schreef mj: >>> Hoi Wouter, allen, >>> >>> On 04/30/2016 05:50 PM, Wouter Verhelst wrote: >>>> Ik kan niet zeggen dat ik het al gedaan heb, maar als je dat wilt >doen >>>> heb je een hoop infrastructuur nodig om dat klaar te kunnen >krijgen. Het >>>> gaat immers niet alleen over het migreren van je VM, maar je moet >ook >>>> dingen doen zoals automatisch de netwerkrouting aanpassen eens de >>>> live-migratie gebeurd is, in het oog houden dat de gevirtualiseerde >>>> hardware (o.a. aangezette processor-features) op alle hypervisors >>>> dezelfde is, enzovoort enzovoort. >>> Deels is dat afhankelijk van de virtualisatie implementatie die je >>> kiest, maar uiteraard moet er heel wat research en praktijk-testing >>> aan zo'n project vooraf gaan. >>> >>> Vandaar dan ook mijn vraag hier naar praktijk ervaringen. >>> >>>> Dit is zeer uitgebreid en complex om goed te krijgen. Als je dat >wilt >>>> opzetten (en je wilt er geen jaren van je leven aan kwijt) dan kan >je >>>> best een kant-en-klare cloud-infrastructuur installeren (iets stijl >>>> OpenStack) die dat dan allemaal voor jou regelt, in plaats van het >>>> allemaal zelf te proberen uit te vogelen. >>> Ik zit nu bv te kijken naar proxmox, dat zo'n schil biedt zoals je >>> aangeeft. Ook xenserver.org is zoiets, en oVirt. Kortom: ik heb mn >>> research gedaan, er is vanalles te krijgen en te proberen. (en dit >ga >>> ik ook allemaal testen) >>> >>> Ik vraag hier of mensen zelf ervaring hebben met oplossingen >(positief >>> of negatief) en welke producten dat dan zijn. >>> >>>>> Waarom ik dit vraag: wij doen op dit moment heel 'basic' >>>>> virtualisatie: elke >>>>> guest draait op zijn eigen debian host, geen shared storage, geen >live >>>>> migration & backups middels het backuppen van de hele qcow2/raw >image. >>>> >>>> Daar is an sich niks mis mee, denk ik dan? >>> An sich niet, maar wel beperkt. Ik hoor van collega's wat die >allemaal >>> kunnen: live migration bv, waarmee je eenvoudig een host bij kunt >>> zetten en die beschikbaar maken voor je hele pool VM's. Alleen dat >is >>> al een geweldige optie. >>> >>>>> Zijn hier mensen die dit doen: heeft het zin om hier vragen over >dat >>>>> onderwerp te stellen? >>>> Dat laatste, zeker :-) >>> Dat blijkt :-) >>> >>> Dank voor je reactie, >>> MJ >>> >>> >> > > > >-- >Paul van der Vlis Linux systeembeheer Groningen >https://www.vandervlis.nl/
Re: kvm | shared san storage
Hoi, Kijk, dat soort reacties, dank :-) Gebruik je ook die geïntegreerde ceph storage? Waar zijn je ervaringen daarmee? Fijne zondag, MJ Richard Lucassen <mailingli...@lucassen.org> schreef op 30 april 2016 23:56:11 CEST: >On Sat, 30 Apr 2016 21:06:42 +0200 >mj <li...@merit.unu.edu> wrote: > >> Ik zit nu bv te kijken naar proxmox, dat zo'n schil biedt zoals je >> aangeeft. > >Proxmox heb ik goede ervaringen mee. Al jaren. Wel is het zo dat als je >linuxservers draait waar in de fstab staat "errors=remount-ro" dat je >dan flinke problemen kunt hebben als je even een hic-up hebt in je >storage network. Dan draai je verder met een root partitie die >read-only is en als je dan mailservers o.i.d. draait dan word je niet >blij. > >Maar dat is AFAIK niet zozeer een proxmox issue, dat zal misschien met >alle platforms kunnen gebeuren. > >-- >richard lucassen >http://contact.xaq.nl/
Re: kvm | shared san storage
Hoi Wouter, allen, On 04/30/2016 05:50 PM, Wouter Verhelst wrote: Ik kan niet zeggen dat ik het al gedaan heb, maar als je dat wilt doen heb je een hoop infrastructuur nodig om dat klaar te kunnen krijgen. Het gaat immers niet alleen over het migreren van je VM, maar je moet ook dingen doen zoals automatisch de netwerkrouting aanpassen eens de live-migratie gebeurd is, in het oog houden dat de gevirtualiseerde hardware (o.a. aangezette processor-features) op alle hypervisors dezelfde is, enzovoort enzovoort. Deels is dat afhankelijk van de virtualisatie implementatie die je kiest, maar uiteraard moet er heel wat research en praktijk-testing aan zo'n project vooraf gaan. Vandaar dan ook mijn vraag hier naar praktijk ervaringen. Dit is zeer uitgebreid en complex om goed te krijgen. Als je dat wilt opzetten (en je wilt er geen jaren van je leven aan kwijt) dan kan je best een kant-en-klare cloud-infrastructuur installeren (iets stijl OpenStack) die dat dan allemaal voor jou regelt, in plaats van het allemaal zelf te proberen uit te vogelen. Ik zit nu bv te kijken naar proxmox, dat zo'n schil biedt zoals je aangeeft. Ook xenserver.org is zoiets, en oVirt. Kortom: ik heb mn research gedaan, er is vanalles te krijgen en te proberen. (en dit ga ik ook allemaal testen) Ik vraag hier of mensen zelf ervaring hebben met oplossingen (positief of negatief) en welke producten dat dan zijn. Waarom ik dit vraag: wij doen op dit moment heel 'basic' virtualisatie: elke guest draait op zijn eigen debian host, geen shared storage, geen live migration & backups middels het backuppen van de hele qcow2/raw image. Daar is an sich niks mis mee, denk ik dan? An sich niet, maar wel beperkt. Ik hoor van collega's wat die allemaal kunnen: live migration bv, waarmee je eenvoudig een host bij kunt zetten en die beschikbaar maken voor je hele pool VM's. Alleen dat is al een geweldige optie. Zijn hier mensen die dit doen: heeft het zin om hier vragen over dat onderwerp te stellen? Dat laatste, zeker :-) Dat blijkt :-) Dank voor je reactie, MJ
Re: kvm | shared san storage
Hoi Paul, Bedankt voor je reactie. Ik gebruik ook KVM, maar bij mij is het ook behoorlijk basic. Ik doe het helemaal op de commandline met een terminal op de virtuele seriele poort voor noodgevallen. Backuppen doe ik vanuit de guest met rsync. Ik heb systemen met qcow2 en systemen met LVM. Dat is inderdaad precies wat wij ook doen. Maar ik wil dat eigenlijk uitbreiden met live migration and shared storage. Ga volgende week eens wat testen met verschillende producten, en op dit moment staat op nummer één: proxmox. Lijkt super interessant. Iemand hier op de lijst die dat gebruikt? (https://www.proxmox.com/) MJ
kvm | shared san storage
Hoi, Zijn hier mensen die in hun netwerken gebruik maken van kvm virtualisatie onder debian, shared storage op SAN, live guest machine migration, dat soort dingen? Waarom ik dit vraag: wij doen op dit moment heel 'basic' virtualisatie: elke guest draait op zijn eigen debian host, geen shared storage, geen live migration & backups middels het backuppen van de hele qcow2/raw image. Ik zou t fijn vinden om wat tips en truucs te krijgen van iemand die dit in de praktijk doet. Zijn hier mensen die dit doen: heeft het zin om hier vragen over dat onderwerp te stellen? Groet, MJ
Re: Web interface om users aan te maken
Hoi Paul, Wij hebben altijd LAM gebruikt, voordat we overstapten op samba4/AD met ADUC. https://www.ldap-account-manager.org/ Maar LAM is wel ldap-centriek, en daar vroeg je niet specifiek naar, dat realiseer ik me. MJ On 04/07/2016 02:01 PM, Paul van der Vlis wrote: Hallo, Ik ben op zoek naar een simpel webinterface om users aan te maken en lid te maken van groepen. Ook moet te zien zijn welke user lid is van welke groep. Het zou heel mooi zijn als het interface op de achtergrond scripts aanroept, die ik kan aanpassen. Omdat ik daarin LDAP commando's kan geven, lijkt het me niet perse nodig dat het interface LDAP kan. Mocht dit er niet zijn, dan ben ik eventueel ook geïnteresseerd in mensen die dit voor me zouden willen maken. En het liefst ook in Debian packagen. Met vriendelijke groet, Paul van der Vlis.
Re: softraid vraag
On 01/23/2016 06:54 PM, Paul van der Vlis wrote: Inderdaad. Ik zag overigens dat Debian 8.3 net uitgekomen is. Met de nieuwe versie van mdadm! Groet, Paul. Wat toevallig! Ik ga morgen eens een harddisk uittrekken, en kijken of en hoe t systeem dan boot. :-) Dank voor t meedenken, groet, MJ
Re: softraid vraag
For the archives: On 01/24/2016 01:38 PM, mj wrote: Ik ga morgen eens een harddisk uittrekken, en kijken of en hoe t systeem dan boot. :-) Ik heb net met "mdadm --manage /dev/md0 --fail /dev/sdb2" een disk failure gesimuleerd, en gereboot. Werkt nu perfect. Opgelost dus. :-)
Re: softraid vraag
Hier het (volgens mij) bij ons probleem horende debian bugreport: https://bugs.debian.org/cgi-bin/bugreport.cgi?bug=784070 Raar dat zo'n kritisch probleem nog steeds bestaat...
Re: softraid vraag
Hoi, Ik ben nu niet onsite, dus kan niks testen, maar heb vanmorgen wel deze link gevonden: http://serverfault.com/questions/688207/how-to-auto-start-degraded-software-raid1-under-debian-8-0-0-on-boot Dit lijkt wel erg op hetgeen ik zie. Ik zal komende week eens proberen of de daar voorgestelde oplossing voor ons ook werkt. Zo niet, dan zal ik de suggestie van Paul eens proberen. Als die link klopt, en jessie een degraded array inderdaad niet automatisch start, dan is dat toch raar, en zou dat toch een veel gehoord probleem moeten zijn?? Groet, MJ On 01/22/2016 05:52 PM, Paul van der Vlis wrote: Op 22-01-16 om 17:11 schreef Paul van der Vlis: Zelf doe ik dit andersom. Ik maak eerst een md-device, en daar bovenop zet ik LVM. Andersom lijkt me erg raar, geen idee of dat kan. Ik vergis me geloof ik, jij maakt ook een LVM bovenop een raid. Waar je misschien nog wat aan hebt is het volgende: ik heb onlangs ook geprobeerd GPT te gebruiken met bios (CSM mode van UEFI), maar dat ging niet. Vroeger ging dit wel. Volgens mij zit GPT tegenwoordig nogal vast aan UEFI, en ik zie geen UEFI partitie, dus dit zal bios zijn. Wat ik gedaan heb is GPT verwijderen en vervangen door een DOS-partitie tabel, dat was nog best lastig. Uit mijn aantekeningen: --- gpt verwijderen (getest en werkt, lukt niet met fdisk): 1. Type "parted /dev/", usually "parted /dev/sda". 2. Once inside parted type "mktable": -> Table type: msdos -> Destroy data: yes -> quit 3. GPT should now be removed. Geen idee of dat voor jou een optie is. Ik heb overigens geen ervaring met raid10, maar waarschijnlijk ondersteund grub2 dat wel. Groet, Paul.
ian
Hallo, Jullie hebben t vast allemaal gehoord & gelezen, maar voor die enkeling die t nog niet wist...: http://blog.docker.com/2015/12/ian-murdock/ Ik kwam er net pas achter. MJ
