Netzwerk: Unterschied zwischen den Versionen

Aus RaumZeitLabor Wiki
(→‎VLAN Default (172.22.36.0/23, fd4e:a4d9:1add:1::/64): ungenutzte IP-Adressen rausgeworfen)
 
(11 dazwischenliegende Versionen von 5 Benutzern werden nicht angezeigt)
Zeile 76: Zeile 76:
| 172.22.36.4 || wlanap-01 || WLAN AP 2,4+5 GHz
| 172.22.36.4 || wlanap-01 || WLAN AP 2,4+5 GHz
|-----
|-----
| 172.22.36.5 || ungenutzt ||
| 172.22.36.5 || switch03 || Tischswitch E-Ecke
|-----
|-----
| 172.22.36.6 || wlanap-03 || WLAN AP 2,4+5 GHz
| 172.22.36.6 || wlanap-03 || WLAN AP 2,4+5 GHz
Zeile 82: Zeile 82:
| 172.22.36.7 || [[apfelkirsch_(Server)|apfelkirsch]] || Root-Server bei Hetzner
| 172.22.36.7 || [[apfelkirsch_(Server)|apfelkirsch]] || Root-Server bei Hetzner
|-----
|-----
| 172.22.36.8 || ungenutzt ||  
| 172.22.36.8 || RIPE atlas probe || https://atlas.ripe.net/
|-----
|-----
| 172.22.36.9 || ungenutzt ||  
| 172.22.36.9 || snom0002 || snom-Telefon im Keller
|-----
|-----
| 172.22.36.10 || pi-star || DMR Hotspot
| 172.22.36.10 || pi-star || DMR Hotspot
|-----
|-----
| 172.22.36.11 || ungenutzt ||
| 172.22.36.11 || [[Rarity]] ||
|-----
|-----
| 172.22.36.12 || [[cookiemonster]] || Cookiemonster (Backup-Server)
| 172.22.36.12 || [[cookiemonster]] || Cookiemonster (Backup-Server)
Zeile 96: Zeile 96:
| 172.22.36.14 || fritzbox || Fritzbox (ISDN<->SIP Ersatz)
| 172.22.36.14 || fritzbox || Fritzbox (ISDN<->SIP Ersatz)
|-----
|-----
| 172.22.36.15 || ungenutzt ||  
| 172.22.36.15 || snom0003 || snom-Telefon in der Küche
|-----
|-----
| 172.22.36.16 || ungenutzt ||  
| 172.22.36.16 || ungenutzt ||  
Zeile 104: Zeile 104:
| 172.22.36.18 || [[Onkyos|onkyo03]] || [[Onkyos]]
| 172.22.36.18 || [[Onkyos|onkyo03]] || [[Onkyos]]
|-----
|-----
| 172.22.36.'''19 - 108''' || ''reserved'' || Derzeit ungenutzt
| 172.22.36.19 || [[Onkyos|rzl-lounge]] || [[Onkyos]]
|-----
| 172.22.36.'''20 - 108''' || ''reserved'' || Derzeit ungenutzt
|-----
|-----
| 172.22.36.109 || [[libella]] || VM-Host und Vortrags-PC
| 172.22.36.109 || [[libella]] || VM-Host und Vortrags-PC
Zeile 138: Zeile 140:
| 172.22.36.243 || cis-phone-01 || Cisco VoIP Phone 01
| 172.22.36.243 || cis-phone-01 || Cisco VoIP Phone 01
|-----
|-----
| 172.22.36.245 || cis-phone-02 || Cisco VoIP Phone 02
| 172.22.36.245 || ungenutzt ||
|-----
|-----
| 172.22.36.246 || cis-phone-03 || Cisco VoIP Phone 03
| 172.22.36.246 || cis-phone-03 || Cisco VoIP Phone 03
Zeile 217: Zeile 219:
|-----
|-----
| 198.51.100.2 || fd4e:a4d9:1add:4::2 || abrock || wireguard, rzl_abrock01
| 198.51.100.2 || fd4e:a4d9:1add:4::2 || abrock || wireguard, rzl_abrock01
|-----
| 198.51.100.3 || fd4e:a4d9:1add:4::3 || dk1sel || wireguard, rzl_dk1sel
|-----
|-----
| 198.51.100.4 || fd4e:a4d9:1add:4::4 || nachtb4r || wireguard, rzl_g4
| 198.51.100.4 || fd4e:a4d9:1add:4::4 || nachtb4r || wireguard, rzl_g4
|-----
| 198.51.100.5 || fd4e:a4d9:1add:4::5 || TabascoEye || wireguard, rzl_tabasco
|-----
| 198.51.100.6 || fd4e:a4d9:1add:4::6 || DerLalo || wireguard, rzl_DerLalo
|-----
| 198.51.100.7 || fd4e:a4d9:1add:4::7 || Cheatha || wireguard, rzl_cheatha
|-----
|-----
| 198.51.100.17 || fd4e:a4d9:1add:4::11 || marco || wireguard, rzl_marco
| 198.51.100.17 || fd4e:a4d9:1add:4::11 || marco || wireguard, rzl_marco
Zeile 228: Zeile 238:
|}
|}


==== How to get VPN ====
==== How to get VPN in Linux ====
# Du hast Zugang zum DN42? ⇒ Melde dem [[NOC-Team]] deine IP-Netze. Sie werden freigeschaltet.
# Du hast Zugang zum DN42? ⇒ Melde dem [[NOC-Team]] deine IP-Netze. Sie werden freigeschaltet.
# Schlüselpaar generieren: <code>wg genkey | tee privatekey | wg pubkey > publickey</code>
# Schlüselpaar generieren: <code>wg genkey | tee privatekey | wg pubkey > publickey</code>
Zeile 243: Zeile 253:
  # ip route add 172.22.36.0/23 dev wg0
  # ip route add 172.22.36.0/23 dev wg0
  # ip route add fd4e:a4d9:1add::/48 dev wg0
  # ip route add fd4e:a4d9:1add::/48 dev wg0
==== How to get VPN in Windows ====
# Installiere dir wireguard (download unter https://www.wireguard.com/install/)
# Klicke auf "Tunnel hinzufügen" -> "Einen leeren Tunnel hinzufügen"[[Datei:wireguard1.png|200px|thumb|inline|Schritt 2]]
# Das Fenster "Einen neuen Tunnel erstellen" wird angezeigt. Vergib einen Namen (RZL ist ein guter Vorschlag). Der PrivateKey ist geheim und sollte das auch bleiben![[Datei:wireguard2.png|200px|thumb|inline|Schritt 3]]
# Kopiere den Öffentlichen Schlüssel und schicke ihn zusammen mit einer freien IP-Adresse aus der Tabelle oben jemandem aus dem [[NOC-Team]].
# Das [[NOC-Team]] weist dir einen Hostnamen und Port zu, über den du dich verbinden kannst. Weiterhin bekommst du einen Public-Key für die Gegenstelle vom RZL.
# Wenn du die Daten hast, wähle den Tunnel im Hauptfenster aus und klicke unten rechts auf "Bearbeiten". Ein neues Fenster öffnet sich, in das du die folgenden Daten einträgst. Die ? musst du natürlich durch deine Daten ersetzen. Klicke dann auf Speichern. [[Datei:wireguard3.png|200px|thumb|inline|Schritt 6]]
<syntaxhighlight lang="">
[Interface]
PrivateKey = ?
Address = 198.51.100.?/32, fd4e:a4d9:1add:4::?/128
[Peer]
PublicKey = ?
AllowedIPs = 172.22.36.0/23, 10.5.0.0/24, fd4e:a4d9:1add::/48
Endpoint = ?.peers.raumzeitlabor.de:420??
</syntaxhighlight>
# <li value="7"> Normalerweise wird dann der Status grün und aktiv, das ist aber noch kein sicheres Zeichen, dass die Verbindung auch funktioniert. Dazu muss im unteren Teil die Zeile "Letzter Schlüsseltausch" erscheinen. </li>[[Datei:wireguard4.png|200px|thumb|inline|Es läuft]]


== VLANs ==
== VLANs ==

Aktuelle Version vom 25. März 2024, 20:24 Uhr

     
Netzwerk

Release status: stable [box doku]

Beschreibung
Kategorie  Infrastruktur
Verantwortliche(r)  NOC-Team
Inzwischen aktuelles Netzwerkdiagramm

Hier wird/ist die Netzwerkstruktur im Raum dokumentiert.

Ansprechpartner

Bei jeglichen Fragen zum Netz bitte das NOC-Team ansprechen, auf keinen Fall selbst Änderungen an Router oder Verkabelung vornehmen und keine IP-Adressen selber zuweisen!

Aktuelle Probleme

Derzeit keine Probleme bekannt. Bitte Probleme an das NOC-Team melden.

Rack

Das Rack befindet sich in der E-Ecke und enthält das Patchpanel, unseren Switch, unseren Router sowie diverse andere Hardware, z.B. für die Türsteuerung. Die Belegung der Pachpanel ist unter Verkabelung_Netzwerk dokumentiert.

Uplink

Wir haben mittlerweile eine eigene Leitung. Mehr dazu gibt es unter Internet.

IPv4

Geht derzeit **direkt** raus über die Deutsche Telekom.

IPv6

Es werden Präfixe aus dem Netz der Deutschen Telekom (veränderlich) und dem DN42 (statisch) verteilt.

Sicherheit

Wenn du im Netzwerk (mit oder ohne Kabel) hängst, ist dein Computer im dn42.net und via IPv6 öffentlich (!) erreichbar.

dn42

Das dn42 ist ein VPN, welches Chaostreffs, Hackerspaces und sonstige Chaoten vernetzt. Siehe dn42.net

Wir nehmen als AS64636 teil mit 2 verschiedenen Peerings (zu hax404, lutoma).

Unsere Zuteilungen:

- IPv4: 172.22.36.0/23
- IPv6: fd4e:a4d9:1add::/48

WLAN

Unser WLAN ist WPA2-verschlüsselt. Der Key hängt im Raum aus, oder wird dir gerne auf Nachfrage mitgeteilt :)

Aktive Access Points

  • 2x UniFi Pro (2,4GHz und 5GHz simultan): "RZL-hardcore", "RZL-hardcore5"(5GHz only) sowie "RZL-hardcore24"(2.4GHz only).
    • Liegt auf der Beamerplattform und im Nebenraum.
    • Läuft mit original Firmware.

Hosts

Netzwerkinfrastruktur

  • IP-Adresse bitte via DHCP beziehen, feste IP-Adressen bitte bei den obigen Ansprechpartnern anfragen.
  • Subnetzmaske: 255.255.254.0
  • Gateway: 172.22.36.1
  • DNS-Server: 172.22.36.250 (direkt auf mate.rzl)
  • NTP-Server: 172.22.36.1
  • DHCP-Server: 172.22.36.1

VLAN Default (172.22.36.0/23, fd4e:a4d9:1add:1::/64)

IP-Adresse Hostname Beschreibung
172.22.36.1 firebox Router
172.22.36.2 reserved Reserviert für Infrastruktur
172.22.36.4 wlanap-01 WLAN AP 2,4+5 GHz
172.22.36.5 switch03 Tischswitch E-Ecke
172.22.36.6 wlanap-03 WLAN AP 2,4+5 GHz
172.22.36.7 apfelkirsch Root-Server bei Hetzner
172.22.36.8 RIPE atlas probe https://atlas.ripe.net/
172.22.36.9 snom0002 snom-Telefon im Keller
172.22.36.10 pi-star DMR Hotspot
172.22.36.11 Rarity
172.22.36.12 cookiemonster Cookiemonster (Backup-Server)
172.22.36.13 beamer Beamer
172.22.36.14 fritzbox Fritzbox (ISDN<->SIP Ersatz)
172.22.36.15 snom0003 snom-Telefon in der Küche
172.22.36.16 ungenutzt
172.22.36.17 onkyo02 Onkyos
172.22.36.18 onkyo03 Onkyos
172.22.36.19 rzl-lounge Onkyos
172.22.36.20 - 108 reserved Derzeit ungenutzt
172.22.36.109 libella VM-Host und Vortrags-PC
172.22.36.110 ultimaker Ultimaker
172.22.36.111 ungenutzt
172.22.36.112 ungenutzt
172.22.36.113 reserved Reserviert für Infrastruktur
172.22.36.123 dance-master-5k AVR Onkyo TX-NR646
172.22.36.126 Chromecast Chromecast. Hängt an einem HDMI-Eingang des Dancemaster 5k
172.22.36.127 InfoScreen auf dem Kühlschrank
172.22.36.133 annette XEROX-Drucker auf Olymp
172.22.36.137 CV630-IP Hauptraum PTZ Cam
172.22.36.138 HEV-10 Hauptraum HDMI capture
172.22.36.139 Cisco SG 500 Workshopraum
172.22.36.140 - 199 reserviert Ungenutzt
172.22.36.238 Mate_(Server)/unifi.vm.rzl Ubiquiti Unifi Management VM
172.22.36.241 cis-phone-06 Cisco VoIP Phone 06
172.22.36.243 cis-phone-01 Cisco VoIP Phone 01
172.22.36.245 ungenutzt
172.22.36.246 cis-phone-03 Cisco VoIP Phone 03
172.22.36.247 cis-phone-04 Cisco VoIP Phone 04
172.22.36.248 cis-phone-05 Cisco VoIP Phone 05
172.22.36.254 reserved Reserviert für Geräte
172.22.37.10 - 110 dhcp DHCP-Range (unfiltered)

VLAN 42 IoT (10.5.0.0/24, fd4e:a4d9:1add:3::/64)

VLAN für Internet of Things. Zugriff nur aus default-VLAN. Ausgehend nur Zugriff auf ausgewählte Dienste wie DNS, NTP, MQTT-Broker.

IP-Adresse Hostname Beschreibung
10.5.0.1 firebox Router
10.5.0.2 unused unused
10.5.0.3 unused unused
10.5.0.4 cashdesk VM für Fnordcredit
10.5.0.5 unused unused
10.5.0.6 unused unused
10.5.0.7 unused unused
10.5.0.8 unused unused
10.5.0.9 unused unused
10.5.0.10 - 254 dhcp DHCP-Range

VLAN 64 NAT64 (WIP, fd4e:a4d9:1add:2::/64)

VLAN für Praxistests in einer IPv6-only Umgebung.

ToDo: NAT64 hochziehen.

10.23.42.0/24

Management-Netzwerk für Switches und Access Points.

IP-Adresse Hostname Beschreibung
10.23.42.1 firebox Router
10.23.42.2 Cisco SG 500 Switch-Stack im Hauptraum
10.23.42.3 EdgeSwitch PoE 24 Switch im Nebenraum
10.23.42.4 Netgear ProSAFE Switch auf dem Hauptraumtisch, Mitte
10.23.42.5 Netgear ProSAFE Switch auf dem Hauptraumtisch, bei Rednerpult
10.23.42.6 skalarwelle MikroTik POE Switch
10.23.42.7 chemtrail MikroTik 24 Port Switch

Laboranten-VPN (198.51.100.0/24, fd4e:a4d9:1add:4::/64)

Netzwerk für den remote-Zugang von Laboranten zu RZL-Infrastruktur. Der Zugang über dieses Netz wird gewählt, wenn der Laborant keine eigene Anbindung an das DN42 hat.

IPv4-Adresse IPv6-Adresse Laborant Beschreibung
198.51.100.1 fd4e:a4d9:1add:4::1 router (reserviert)
198.51.100.2 fd4e:a4d9:1add:4::2 abrock wireguard, rzl_abrock01
198.51.100.3 fd4e:a4d9:1add:4::3 dk1sel wireguard, rzl_dk1sel
198.51.100.4 fd4e:a4d9:1add:4::4 nachtb4r wireguard, rzl_g4
198.51.100.5 fd4e:a4d9:1add:4::5 TabascoEye wireguard, rzl_tabasco
198.51.100.6 fd4e:a4d9:1add:4::6 DerLalo wireguard, rzl_DerLalo
198.51.100.7 fd4e:a4d9:1add:4::7 Cheatha wireguard, rzl_cheatha
198.51.100.17 fd4e:a4d9:1add:4::11 marco wireguard, rzl_marco
198.51.100.42 fd4e:a4d9:1add:4::2a Lynn wireguard, rzl_lynn
198.51.100.69 fd4e:a4d9:1add:4::45 helix wireguard, rzl_helix69

How to get VPN in Linux

  1. Du hast Zugang zum DN42? ⇒ Melde dem NOC-Team deine IP-Netze. Sie werden freigeschaltet.
  2. Schlüselpaar generieren: wg genkey | tee privatekey | wg pubkey > publickey
  3. Freie IP-Adresse oben reservieren.
  4. Public-Key jemandem aus dem NOC-Team geben.
  5. Das NOC-Team weist dir einen Hostnamen und Port zu, über den du dich verbinden kannst. Weiterhin bekommst du einen Public-Key für die Gegenstelle vom RZL.
  6. Konfiguration unter Linux mittels iproute2:
# ip link add dev wg0 type wireguard
# ip address add dev wg0 198.51.100.?/32 peer 198.51.100.1/32
# ip address add dev wg0 fd4e:a4d9:1add:4::?/128 peer fd4e:a4d9:1add:4::1/128
# wg set wg0 private-key privatekey
# wg set wg0 peer $(cat pubkey-rzl) endpoint laborant?.peers.raumzeitlabor.de:420?? allowed-ips 172.22.36.0/23,fd4e:a4d9:1add::/48
# ip link set wg0 up
# ip route add 172.22.36.0/23 dev wg0
# ip route add fd4e:a4d9:1add::/48 dev wg0

How to get VPN in Windows

  1. Installiere dir wireguard (download unter https://www.wireguard.com/install/)
  2. Klicke auf "Tunnel hinzufügen" -> "Einen leeren Tunnel hinzufügen"
    Schritt 2
  3. Das Fenster "Einen neuen Tunnel erstellen" wird angezeigt. Vergib einen Namen (RZL ist ein guter Vorschlag). Der PrivateKey ist geheim und sollte das auch bleiben!
    Schritt 3
  4. Kopiere den Öffentlichen Schlüssel und schicke ihn zusammen mit einer freien IP-Adresse aus der Tabelle oben jemandem aus dem NOC-Team.
  5. Das NOC-Team weist dir einen Hostnamen und Port zu, über den du dich verbinden kannst. Weiterhin bekommst du einen Public-Key für die Gegenstelle vom RZL.
  6. Wenn du die Daten hast, wähle den Tunnel im Hauptfenster aus und klicke unten rechts auf "Bearbeiten". Ein neues Fenster öffnet sich, in das du die folgenden Daten einträgst. Die ? musst du natürlich durch deine Daten ersetzen. Klicke dann auf Speichern.
    Schritt 6
[Interface]
PrivateKey = ?
Address = 198.51.100.?/32, fd4e:a4d9:1add:4::?/128

[Peer]
PublicKey = ?
AllowedIPs = 172.22.36.0/23, 10.5.0.0/24, fd4e:a4d9:1add::/48
Endpoint = ?.peers.raumzeitlabor.de:420??
  1. Normalerweise wird dann der Status grün und aktiv, das ist aber noch kein sicheres Zeichen, dass die Verbindung auch funktioniert. Dazu muss im unteren Teil die Zeile "Letzter Schlüsseltausch" erscheinen.
  2. Es läuft

VLANs

VLAN-ID Beschreibung
(Untaggt) Default-Netz
42 IoT
64 NAT64
666 Uplink
2342 Management-Netz

Vorgehensweisen

Host hinzufügen/entfernen

  • Eintrag Tabelle oben drüber; Gibts eine Wikiseite?
  • (r)DNS-Zonen gibts auf Mate unter /var/lib/bind/
  • statisches DHCP gibts auf der firebox