PING Mobile/Messe-Server

Der PING Mobile-Server (aus historischen Gründen messe genannt) dient der Versorgung temporärer Installationen mit Internet und PING-Konnektivität. Des Weiteren kann der Server mehrere ThinClients sowie ein Präsentationsdisplay versorgen.

Hardware

Internet

Die Anbindung wird in /etc/rc.local via netzwaehler-Script (liegt in /opt/ping/netzwaehler) gestartet, das Script verwendet die üblichen Debian-Mechanismen (ifup und pon) um das ausgewählte Interface einzuschalten. Die Auswahl wird aus /etc/netzwaehler.conf gelesen, ein kleines GUI (netzwaehler-gui.pl) zur Selektion liegt ebenfalls in /opt/ping/netzwaehler. Die Configdatei muss dem User gehören der die GUI aufruft, die Konfigurationsdatei kennt zwar Kommentare (siehe Beispieldatei im Scriptverzeichnis), aber sie wird von der GUI komplett überschrieben.

Die Firewall+NAT wird von einem kleinen Eigenbau-Script /etc/init.d/local-iptables eingeschaltet, es ist in der init.d-Reihenfolge noch vor dem Start der Netzwerkinterfaces einsortiert. Die zugehörigen Einstellungen sind in /etc/default/local-iptables abgelegt. Zur Zeit werden von externen Interfaces (schliesst das openvpn-Interface ein) nur Verbindungen auf Port 22 angenommen. Das Firewall-Script konfiguriert Regeln für IPv4 und IPv6, reagiert auf "reload" sinnvoll und versucht zu keinem Zeitpunkt während der Rekonfiguration oder nach dem Anhalten mit "stop" unerwünschte Verbindungen zuzulassen.

UMTS

Vorkonfiguriert für den PING UMTS-Stick mit Vodafone-SIM, Einwahl via event.vodafone.de. Die PIN kann bei Bedarf in /etc/wvdial.conf geändert werden, der dort eingetragene Dialler "umts" wird nicht verwendet. Bei Nutzung eines anderen UMTS-Sticks müssen evtl. die tty-Devices in /etc/wvdial.conf und /etc/ppp/peers/umts angepasst werden.

DSL

Im Netzwähler vorhanden, aber Konfigurationsfile /etc/ppp/peers/dsl fehlt komplett.

Ethernet

DHCP via eth1, Nameserver und Domainname werden in der /etc/dhcp/dhclient.conf mit festen Werten überschrieben damit der Rechner den eigenen Nameserver (ohne Forwarder) verwendet.

internes Netz

192.168.0.0/24, Hostsystem auf der .1, LTSP-Server-VM auf der .2, einige weitere feste Einträge im DHCP für die vier Dell-Recher (plug, play, drag, drop), dynamische Adressen von .129 bis .248

Für plug, play, drag, drop wird von DHCP-Server ein Boot als LTSP-Client vorgegeben, andere Systeme erhalten bei PXE-Bootversuch ein Auswahlmenu mit Installern für Debian squeeze und Ubuntu 11.04 (beides i386+amd64); Live-"CDs" von Ubuntu 11.04 (i386/amd64), Xubuntu 11.04 (nur i386) und GRML release? (i386/amd64); memtest86/memtest86+.

WLAN

Via Netzwähler kann ein hostapd auf dem Router gestartet werden. Zur Zeit ist dieser lediglich mit einem einzelnen statischen WPA-Passwort "dot11WPApassphrase4PING" und Bridging zwischen WLAN und LAN konfiguriert. Um das WLAN mit einem getrennten Subnetz zu verwenden muss die Konfiguration von wlan0 in /etc/network/interfaces angepasst werden.

X11/Präsentation

Auf dem Router läuft ein Multiseat-X11, um für einen Präsentationsmonitor eine getrennte Ausgabe auf dem gleichen Rechner erzeugen zu können. Die Onboard-Grafik ist dabei für die "Konsole" (ebenfalls X11) vorgesehen, die zusätzliche Grafikkarte für die Präsentation. Bei Nutzung von zwei Monitoren an einer dieser beiden Karten (Clone-Modus) treten leider Grafikfehler auf einem der gecloneten Monitore auf, der Grund ist noch nicht geklärt.

Da eine echte Multiseat-Konfiguration verwendet wird hat jeder Head eine fest zugewiesene Maus und Tastatur. Die aktuelle Konfiguration verwendet zur Unterscheidung zwei private USB-PS/2-Adapter, altenativ kann auch eine Zuweisung nach USB-Port verwendet werden. Zur Umstellung müssen die vier InputDevice-Sections in der /etc/X11/xorg.conf editiert werden, Einträge für statische Portzuweisung (by-path) sind auskommentiert vorhanden.

Aktuell besteht noch das Problem, dass ein Logout des Präsentationsusers auch den X-Server des Konsolenusers unbrauchbar macht, da der Präsentations-X-Server nicht die "-sharevts"-Option verwendet. Wenn diese für beide X-Server aktiv ist landen alle Tastatureingaben zusätzlich im getty auf tty1 und die Verwendung von Alt-F1 bis Alt-F6 wechselt auf eine der Textkonsolen ohne Möglichkeit wieder zum X-Server zurückzuschalten. Ein Logout am "Konsolenmonitor" ist problemlos möglich.

Als Greeter wird kdm verwendet, die Kommandozeilenoptionen beider X-Server lassen sich in /etc/kde4/kdm/kdmrc einstellen.

VPN

Es wird OpenVPN eingesetzt, Gegenstelle ist leary.ping.de. Es werden Zertifikate benutzt, welche von der PING-CA ausgestellt werden. Es ist darauf zu achten, dass rechtzeitig neue Zertifikate und ggf. Schlüssel erstellt werden.

Webcam

Die Axis-Webcams sind unter http://cam1.messe.ping.de/ (192.168.0.10) und http://cam2.messe.ping.de/ (192.168.0.12) erreichbar, Username und Passwort stehen auf den Geräten.

Der Service bildertx sended bei freier Bandbreite die Bilder der beiden Webcams an aktiv.ping.de (zur Zeit auf collab.ping.de beheimatet), wo der Service bilderrx diese entgegen nimmt. Beide Services werden von daemontools/supervise verwaltet.

Die Bilder werden unterhalb von /srv/www/messecam in den Verzeichnissen cam1 und cam2 abgelegt, diese müssen für den Benutzer von bilderrx (aktuell mb) schreibbar sein. Benötigte Unterverzeichnisse werden automatisch erstellt. Die Partition ist aktuell nicht groß genug um Bilder von mehr als einem Auftritt zu speichern, alte Bilder müssen an anderer Stelle archiviert oder gelöscht werden, bevor neue Bilder empfangen werden können.

Das folgende shell-snippet kann benutzt werden, um die Unterverzeichnisse mit aktuell korrekten Rechten anzulegen:

cd /srv/www/messecam
mkdir cam1 cam2
chown aktivwiki:aktivwiki cam1 cam2
chmod 0775 cam1 cam2
setfacl user:mb rwx cam1 cam2

Auch das Verzeichnis /srv/www/messecam muss für den Benutzer von bilderrx schreibbar sein.

Zwischen zwei Einsätzen müssen auf aktiv.ping.de einige Anpassungen vorgenommen werden:

IPv6

Für die IPv6-Konnektivität wird ein SixXS-Tunnel eingesetzt:

Je nach Einsatzgebiet muss evtl. der Tunnelendpunkt umgezogen werden, dieses wird mit SixXS-Credits berechnet.

Debian-/Ubuntu-Mirrors

Auf dem Hostsystem (.1) werden via http Mirrors von Debian squeeze und Ubuntu 11.04 (beides i386 und amd64) in den üblichen Unterverzeichnissen angeboten. Das mirrors-Volume ist unter /var/www/mirrors gemountet, mit dem dort liegenden Script domirror kann der Benutzer "ping" die Abzüge aktualisieren. Falls der Vorgang mit einem anderen Benutzer durchgeführt werden soll muss dieser Schreibrechte für die Verzeichnisse erhalten und die im Hauptverzeichnis des Volumes liegende Datei "trustedkeys.gpg" in ~/.gnupg des Nutzers kopiert werden.

Weitere Services des Routers

Squid3-Proxyserver auf Port 3128, bind9 zur Namensauflösung

Terminalserver (LTSP)

Auf der 192.168.0.2 läuft ein Ubuntu i386 11.04 als LTSP-Terminalserver zur Versorgung der Surfrechner. Der DHCP-Server auf der .1 verweist für Rechner aus der entsprechenden Gruppe auf den TFTP-Server auf der .2 um ein System als LTSP-Terminal zu booten.

Der Terminalserver ist eine mittels libvirt (kvm/qemu) eingerichtete VM auf dem Host, ihr sind 4GB Ram, vier CPU-Kerne und 500GB Plattenplatz (Volume ltsp als "Raw-Image") zugewiesen. Der ping-User hat Verwaltungsrechte für libvirt und kann mittels virt-manager auch die grafische Konsole des LTSP-Servers nutzen um z.B. den Referenzuser anzumelden wenn Änderungen an den Voreinstellungen der vier Surfuser vorgenommen werden sollen.

* Referenz+Surfbox-User * Autologin-Details * Kiosk-Mode (Firefox+ldm-Script) * gelegentliche Gnome-Warnmeldungen beim Login * Scripte in /opt/ping/ltsp (rebuild-homes, chroot-Tool)

Plattenplatz

Sowohl die Host-Platte als auch die virtuelle Platte der VM sind mit LVM aufgesetzt, auf beiden ist noch ungefähr die Hälfte der Volume-Group unbelegt.

sonstiges

Software/messe (last edited 2011-10-15 17:29:30 by ik)