Konfiguration von ISCSI Targets unter Linux mit targetcli

Ein paar Videos zur Konfiguration von ISCSI Targets unter Linux mit targetcli
Part 1: http://www.youtube.com/watch?v=BkBGTBadOO8
Part 2: http://www.youtube.com/watch?v=mKjBsgOlYmE
Part 3: http://www.youtube.com/watch?v=f6cgZotqUj0
 
Quellen:
http://de.wikipedia.org/wiki/ISCSI
http://de.wikipedia.org/wiki/LIO
http://linux-iscsi.org/wiki/Main_Page
https://wiki.archlinux.org/index.php/ISCSI_Target
https://wiki.archlinux.org/index.php/ISCSI_Boot
https://wiki.archlinux.org/index.php/Persistent_block_device_naming
 

Umleitung des Netzwerkverkehrs auf eine neue IP Adresse mit IPtables

Bei der Migration bzw. Umzug von Diensten z.B. HTTP von einer alten Maschine auf eine neue Maschine kann eine zeitlich eingerichtete Umleitung sehr nützlich sein.
Gründe für eine Umleitung sind z.B.:

  • Benutzer verwenden die IP-Adresse anstatt des Domainnames
  • Andere Dienste oder Rechner verwenden die IP-Adresse anstatt des Domainnames
  • Die Umstellung des DNS-Namens auf eine andere IP-Adresse dauert länger bis alle DNS-Caches aktualisiert sind.

Wir gehen beim System davon aus, daß iptables noch nicht verwendet wird und insbesondere kein NAT eingerichtet ist.
Für die Umleitung benutzen wir die PREROUTING und POSTROUTING Chain benutzt und benutzen IPtables mit dem Masquerade Feature.
Forwarding aktivieren:

echo „1“ > /proc/sys/net/ipv4/ip_forward

 
Allen Netzwerkverkehr auf neue IP Adresse umleiten:

iptables -t nat -A PREROUTING -p tcp –dport 80 -j DNAT –to-destination x.x.x.x:80

 
Masquerade mit IPtables:

iptables -t nat -A POSTROUTING -j MASQUERADE

 
Optional kann man auch die Regel auf ein definiertes Quellnetzwerk bzw. -IP Adresse einschränken

iptables -t nat -A PREROUTING -s 192.168.1.1 -p tcp –dport 80 -j DNAT –to-destination x.x.x.x:80

oder:

iptables -t nat -A PREROUTING -s 192.168.1.0/24 -p tcp –dport 80 -j DNAT –to-destination x.x.x.x:80

Der Netzwerkverkehr wird nun von Port 80 (HTTP Port) auf die IP-Adresse x.x.x.x umgeleitet.
Auf dem Host x.x.x.x kann man mit tcpdump die Pakete vom Host, auf dem die Umleitung eingerichtet ist, beobachten.

OpenVPN Version 2.3 auf Debian Wheezy installieren

Wieso das frühe Upgrade auf OpenVPN 2.3?
Die Releasenotes beantworten eigentlich schon die Frage, hier nur ein kurzer Auszug davon:

  • komplette IPv6 Unterstützung für transport und payload
  • one-to-one NAT um Konflikte mit IP Adressen in lokalen und entfernten Netzen zu verhindern
  • Optinaler PolarSSL Support
Weiterführende Informationen findet Ihr in den Releasenotes.

 
OpenVPN in der Version 2.3 hat es bisher noch nicht in die offiziellen Repositories von Debian geschafft.
Laut der Homepage von OpenVPN ist die Version noch nicht getestet mit Debian 7 (wheezy).
Habe es trotzdem versucht und war positiv überrascht, wie reibungslos und schnell das Upgrade von OpenVPN 2.2 auf 2.3 funktioniert hat.
Notwendige Pakete für OpenVPN 2.3 nach installieren:

apt-get install openssl-blacklist openvpn-blacklist

Installation OpenVPN 2.3

cd /root
http://repos.openvpn.net/repos/apt/squeeze-snapshots/openvpn_2.3-alpha1-debian0_amd64.deb
dpkg -i openvpn_2.3-alpha1-debian0_amd64.deb

Version prüfen:

openvpn –version
OpenVPN 2.3-alpha1 x86_64-linux-gnu [SSL (OpenSSL)] [LZO2] [EPOLL] [PKCS11] [eurephia] [MH] [PF_INET6] [IPv6 payload 20110522-1 (2.2.0)] built on Feb 21 2012
Originally developed by James Yonan
Copyright (C) 2002-2010 OpenVPN Technologies, Inc. <sales@openvpn.net>
$ ./configure –enable-pthread –enable-password-save –host=x86_64-linux-gnu –build=x86_64-linux-gnu –prefix=/usr –mandir=${prefix}/share/man –with-ifconfig-path=/sbin/ifconfig –with-route-path=/sbin/route CFLAGS=-g -O2 build_alias=x86_64-linux-gnu host_alias=x86_64-linux-gnu LDFLAGS= CPPFLAGS= –no-create –no-recursion
Compile time defines: ENABLE_CLIENT_SERVER ENABLE_DEBUG ENABLE_EUREPHIA ENABLE_FRAGMENT ENABLE_HTTP_PROXY ENABLE_MANAGEMENT ENABLE_MULTIHOME ENABLE_PASSWORD_SAVE ENABLE_PORT_SHARE ENABLE_SOCKS USE_CRYPTO USE_LIBDL USE_LZO USE_OPENSSL USE_PKCS11 USE_SSL

 
 
 
 
Quellen:
http://repos.openvpn.net/repos/apt/squeeze-snapshots/
https://community.openvpn.net/openvpn/wiki/OpenvpnSoftwareRepos
http://openvpn.net/index.php/manuals/523-openvpn-23.html
http://openvpn.net/index.php/open-source/downloads.html
https://community.openvpn.net/openvpn/wiki/ChangesInOpenvpn23

Linux ISC DHCP Leases und Secondary IP Adresses

Problem:
In meinem Netzwerk werden den Servern per DHCP die IP-Adressen zugewiesen. Dabei hatte ich nach einiger Zeit ein Problem, daß ein Rechner per SSH ab und zu erreichbar war.
 
Ursache:
Die IP-Adresse wurde zweimal in dem Netzwerk vergeben.
Die beiden folgenden möglichen Ursachen war nicht der Grund für das Problem:
1.) Der ISC DHCP Server ist korrekt konfiguriert bzw. keine Überschneidung der DHCP Lease Pools
2.) Die Adresse wurde auch nicht statisch an einen Rechner vergeben und nicht aus dem DHCP Lease Pool ausgeschlossen.
Lösung:
Auf einem Rechner sind aus welchem Grund auch immer zwei DHCP Clients irgendwann mal aktiv gewesen und dabei ist eine Adresse davon als Secondary IP Address und die andere als Primary IP Address konfiguriert worden.
Läuft ein DHCP Lease aus so wird aber nur die Primary IP Address aktualisiert und die Secondary bleibt statisch erhalten.
Nach einem Neustart sind die Secondary IP Addresses gelöscht.
Der Trick zur Anzeige der Secondary IP Adresses ist die Benutzung von:

ip addr show

anstatt von

ifconfig

da ifconfig nur die Primary IP Address ausgibt.