Archiv der Kategorie: Linux

Alles rund um die Pinguine – auf dem Desktop und dem Server

SORBS sucks

Die haben echt ein Rad ab bei SORBS. Von einem Tag auf den anderen taucht in deren Datenbank eine meiner IPs auf, die ich seit nunmehr 3 Jahren nutze, weil von dieser im März 2012 SPAM versendet wurde?

Versucht man sich bei SORBS anzumelden, wird es wild. An manchen Tagen schwächeln deren Server so, dass man von einem Loginfeld zum nächsten geführt wird und schlicht keine Meldungen oder Delisting-Einträge anlegen kann. Super Service, Super Server, Super Admins.

Bei der Qualität hab ich SORBS aus allen meinen Datenbanken geworfen.

Lokaler Mailserver unter Arch

Hier hatte ich vor einiger Zeit meine main.cf und dovecot.conf für Arch dokumentiert, war dann jedoch auf dem ollen Wind U100 zu Kali gewechselt. Auf einem meiner anderen Oldtimer – einem Dell Vostro 1510 – läuft jetzt wieder ein Arch. Es weiß mit alter Hardware sehr ressourcenschonend umzugehen – im Gegensatz zu bloated Ubuntu – und das Mehr an Gefummel ist auf einem Laptop, den ich nicht im Dauereinsatz habe, auch nicht weiter tragisch.

Zu Dokumentationszwecken erneut die main.cf und dovecot.conf für einen lokalen Mailserver als Speicherplatz für die E-Mails der letzten Jahre:

/etc/postfix/main.cf

# local paths
queue_directory = /var/spool/postfix
command_directory = /usr/bin
daemon_directory = /usr/lib/postfix/bin
mail_owner = postfix

# local domain settings
myhostname = dellaro 
# mydestination = $myhostname, localhost.$mydomain, localhost
mydestination = $myhostname, localhost.localdomain, localhost

# Timeout settings and limits
# not nec. needed on localhost
# but will not do any harm either
delay_warning_time = 1h
unknown_local_recipient_reject_code = 450
minimal_backoff_time = 300s
maximal_backoff_time = 1200s
maximal_queue_lifetime = 1d
bounce_queue_lifetime = 1d
smtp_helo_timeout = 60s
smtpd_soft_error_limit = 3
smtpd_hard_error_limit = 12

# SMTP settings
# SSL not needed on localhost
# but will not harm either
smtpd_tls_cert_file=/etc/ssl/certs/mail.crt
smtpd_tls_key_file=/etc/ssl/private/mail.key
smtpd_use_tls=yes
# add some modern SSL stuff 
smtpd_tls_received_header = yes
smtpd_tls_mandatory_protocols = SSLv3, TLSv1
smtpd_tls_mandatory_ciphers = medium
smtpd_tls_auth_only = yes

smtpd_tls_session_cache_database = btree:/var/lib/postfix/smtpd_scache
smtp_tls_session_cache_database = btree:/var/lib/postfix/smtp_scache
smtpd_tls_loglevel = 1
smtpd_sasl_auth_enable = yes

smtpd_recipient_restrictions = permit_sasl_authenticated,
                               permit_mynetworks,
                               reject_unauth_destination,
                               
# Sender SASL not needed on localhost
# but will not harm either
smtpd_sender_restrictions = permit_sasl_authenticated, permit_mynetworks
smtpd_sasl_security_options = noanonymous

# SASL
smtpd_sasl_type = dovecot
smtpd_sasl_path = /var/run/dovecot/auth-client

# Network settings
inet_interfaces = loopback-only
inet_protocols = all
mynetworks = 127.0.0.0/8 [::ffff:127.0.0.0]/104 [::1]/128 
relayhost =

smtpd_relay_restrictions = permit_mynetworks 
                           permit_sasl_authenticated
                           defer_unauth_destination

# Email and mailbox settings
alias_maps = hash:/etc/postfix/aliases
alias_database = $alias_maps
home_mailbox = Maildir/
mailbox_size_limit = 0

# misc other stuff
mailbox_command = /usr/lib/dovecot/deliver -c /etc/dovecot/dovecot.conf -m "${EXTENSION}"

smtpd_banner = $myhostname ESMTP
biff = no
append_dot_mydomain = no
debug_peer_level = 2
sendmail_path = /usr/sbin/sendmail
newaliases_path = /usr/bin/newaliases
mailq_path = /usr/bin/mailq
setgid_group = postdrop
html_directory = no
manpage_directory = /usr/man
sample_directory = /etc/postfix/sample
readme_directory = no
recipient_delimiter = +

/etc/dovecot/dovecot.conf

auth_mechanisms = plain login
mail_access_groups = mail
mail_location = maildir:~/Maildir
passdb {
  driver = pam
}
protocols = imap
service auth {
  unix_listener auth-client {
    group = postfix
    mode = 0660
    user = postfix
  }
  user = root
}
ssl_cert = </etc/ssl/certs/mail.crt
ssl_key = </etc/ssl/private/mail.key
userdb {
  driver = passwd
}
protocol imap {
  imap_client_workarounds = delay-newmail tb-extra-mailbox-sep
}

Scheint rund zu laufen. Zumindest werfen mir weder Postfix noch Dovecot noch Fehlermeldungen entgegen. Zur Einrichtung selbst siehe die entsprechenden Seiten im Arch-Wiki:

https://wiki.archlinux.org/index.php/postfix

https://wiki.archlinux.org/index.php/Dovecot

Wie immer bei meinen auf jedem Laptop vorhandenen lokalen Mailservern: Der Mailserver ist von außen Dank iptables nicht zu erreichen. Nur der lokale Thunderbird nimmt Kontakt auf. Sicherheitslücken in der Konfiguration sind deswegen nicht tragisch.

Auf gleichem Stand halte ich die lokalen Mailserver auf den Laptops im Moment noch mit rsync gegenüber meiner heimischen Workstation. Da muss ich mir mal was Neues überlegen …

Firefox 46 auf Kubuntu 14.04

Der Firefox-Dialog [Ziel speichern unter ,,,] ließ sich seit dem Update auf Firefox 46 unter Kubuntu 14.04 LTS nicht mehr richtig bedienen. Die Einträge in der linken Fensterhälfte unter Orte, Geräte und Lesezeichen reagierten nicht mehr auf Klicks und die Speichern bzw. Abbrechen Buttons reagierten zumindest komisch, mussten oft mehrfach angeklickt werden. Lediglich der Krümelpfad im Dialogfenster konnte noch zur Navigation in den Ordnern verwendet werden. Das könnte mit einem Bug im Zusammenhang stehen, der Firefox unter Ubuntu 12.04 im Moment komplett unbrauchbar macht.

Was hier geholfen hat, war, das Verzeichnis ~/.config/gtk-3.0/ zu löschen. In den KDE-Systemeinstellungen ist das GTK-3-Design danach auf Default zurückgestellt.

Firefox passt sich hiernach nicht mehr so hübsch in den Desktop ein. Die Fensterrahmen haben nun einen anderen graublauen Ton, als Firefox selbst.

gnupg 8192

Janis entdeckt (endlich wieder) Verschlüsselung. Enigmail will aber nicht funktionieren – deswegen muss gnupg direkt an die Arbeit.

Erstens eine Textdatei erstellen mit dem folgenden Inhalt:

Key-Type: RSA
Key-Length: 8192
Name-Real: Vorname Nachname
Name-Email: emailadresse@domain.tld
Expire-Date: 2y
Preferences: SHA512 SHA384 SHA256 SHA224 AES256 AES192 AES TWOFISH CAST5 BZIP2 ZLIB ZIP Uncompressed

und dann den Key erzeugen lassen mit

gpg --gen-key --batch --enable-large-rsa <dateinamevonoben>

Das dauert ne kleine Ewigkeit (je nach Rechner und vorhandenem Zufall).

Da fehlt nun das Passwort. Also zuerst die Schlüssel-ID herausfinden:

gpg --list-keys

und dann den Schlüssel editieren:

gpg --edit-key <Schluessel-ID>
gpg> passwd
gpg> save

Der Schlüssel lässt sich dann in Enigmail importieren. Das Widerrufszertifikat kann dann dort erstellt werden, oder eben auch mit gnupg:

gpg --output widerrufszertifikat.asc --gen-revoke <Schluessel-ID>

gnupg stellt dann einige simple Fragen und alles wird gut. Das Widerrufszertifikat dann am einfachsten als Anhang in keepassx speichern.

Das Einzige, was mich stört, ist, dass Janis nun längere Schlüssel hat als ich 🙂

conky 1.10

Mit conky 1.10 verändert sich die .conkyrc Syntax. Sieht jetzt mehr nach LUA aus. Ich bin also am Basteln, damit ich unter LXDE die wichtigsten Infos wieder sehen kann. Bis jetzt bin ich bei so was:

-- vim: ts=4 sw=4 noet ai cindent syntax=lua
--[[
Conky, a system monitor, based on torsmo

Any original torsmo code is licensed under the BSD license

All code written since the fork of torsmo is licensed under the GPL

Please see COPYING for details

Copyright (c) 2004, Hannu Saransaari and Lauri Hakkarainen
Copyright (c) 2005-2012 Brenden Matthews, Philip Kovacs, et. al. (see AUTHORS)
All rights reserved.

This program is free software: you can redistribute it and/or modify
it under the terms of the GNU General Public License as published by
the Free Software Foundation, either version 3 of the License, or
(at your option) any later version.

This program is distributed in the hope that it will be useful,
but WITHOUT ANY WARRANTY; without even the implied warranty of
MERCHANTABILITY or FITNESS FOR A PARTICULAR PURPOSE.  See the
GNU General Public License for more details.
You should have received a copy of the GNU General Public License
along with this program.  If not, see <http://www.gnu.org/licenses/>.
]]

conky.config = {
    alignment = 'top_right',
    background = false,
    border_width = 0,
    cpu_avg_samples = 2,
	default_color = 'white',
    default_outline_color = 'grey',
    default_shade_color = 'white',
    draw_borders = false,
    draw_graph_borders = true,
    draw_outline = false,
    draw_shades = false,
    use_xft = true,
    font = 'DejaVu Sans Mono:size=10',
    gap_x = 20,
    gap_y = 20,
    minimum_height = 5,
	minimum_width = 5,
    own_window_transparent = true,
    net_avg_samples = 2,
    no_buffers = true,
    out_to_console = false,
    out_to_stderr = false,
    extra_newline = false,
    own_window = true,
    own_window_class = 'Conky',
    own_window_type = 'desktop',
    stippled_borders = 0,
    update_interval = 2.0,
    uppercase = false,
    use_spacer = 'none',
    show_graph_scale = false,
    show_graph_range = false
}

conky.text = [[
Kernel $kernel on $machine 
$hr
${color grey}Uptime:$color $uptime
${color grey}Frequency (in MHz):$color $freq
${color grey}Frequency (in GHz):$color $freq_g
${color grey}RAM Usage:$color $mem/$memmax - $memperc% ${membar 4}
${color grey}Swap Usage:$color $swap/$swapmax - $swapperc% ${swapbar 4}

${color grey}CPU Usage:$color ${cpu cpu0%} 
${color grey}CPU 1:$color ${cpu cpu1%} ${cpubar cpu1 4}
${color grey}CPU 2:$color ${cpu cpu2%} ${cpubar cpu2 4}
$hr
${color grey}
  IO 
  Root ${diskio /dev/sda1} 
  Home ${diskio /dev/sda3}

  /     ${color grey}${fs_used /}/${fs_size /} 
  ${fs_bar 6 /}
  /home ${color grey}${fs_used /home}/${fs_size /home} 
  ${fs_bar 6 /home}
${color grey}
  ETH0
  Up:   $color ${upspeed enp7s0} ${color grey} - Down: $color ${downspeed enp7s0}
  ${color grey}WLAN0
  Up:   $color ${upspeed wlp6s0} ${color grey} - Down: $color ${downspeed wlp6s0}

$hr
Load: ${loadavg} 
${color lightgrey} ${loadgraph 25 -l}
${color grey}Processes:$color $processes  ${color grey}Running:$color $running_processes

${color grey}Name               PID   CPU%   MEM%
${color lightgrey} ${top name 1} ${top pid 1} ${top cpu 1} ${top mem 1}
${color lightgrey} ${top name 2} ${top pid 2} ${top cpu 2} ${top mem 2}
${color lightgrey} ${top name 3} ${top pid 3} ${top cpu 3} ${top mem 3}
${color lightgrey} ${top name 4} ${top pid 4} ${top cpu 4} ${top mem 4}
${color lightgrey} ${top name 5} ${top pid 5} ${top cpu 5} ${top mem 5}
${color lightgrey} ${top name 6} ${top pid 6} ${top cpu 6} ${top mem 6}
${color lightgrey} ${top name 7} ${top pid 7} ${top cpu 7} ${top mem 7}
${color lightgrey} ${top name 8} ${top pid 8} ${top cpu 8} ${top mem 8}
${color lightgrey} ${top name 9} ${top pid 9} ${top cpu 4} ${top mem 9}

$hr
Entropy: ${entropy_bar 6}

]]

RandR

Mein HP Elitebook 8460p kam leider mit einer AMD Grafikkarte und nicht wie bestellt mit einer von Intel. Die macht Probleme mit einigen Beamern. Trotzdem wollte ich nicht die proprietären AMD Treiber an Bord holen, sondern bei radeon bleiben. Tricks über die xorg.conf (wie hier für die proprietären Nvidia Treiber beschrieben) mit

Option  “ModeValidation” “AllowNonEdidModes”

oder verwandten Lösungen fielen somit erst einmal aus. Ich wollte eine Lösung mit randr und die scheint wie folgt zu gehen:

Einloggen und warten, bis der Desktop bereit ist. Dann den Beamer anstecken und dabei nachsehen, was er überhaupt an Auflösungen zu unterstützen behauptet:

sudo tail -f /var/log/Xorg.0.log

Da tauchen dann eine Reihe von Modelines auf, die nativ unterstützt werden – z.B.:

[   250.087] (II) RADEON(0): EDID vendor "BNQ", prod id 34305
[   250.087] (II) RADEON(0): DDCModeFromDetailedTiming: 1280x768 Warning: We only handle separate sync.
[   250.087] (II) RADEON(0): Printing DDC gathered Modelines:
[   250.087] (II) RADEON(0): Modeline "1280x800"x0.0   83.46  1280 1352 1480 1680  800 803 809 831 -hsync -vsync (49.7 kHz eP)
[   250.088] (II) RADEON(0): Modeline "1280x768"x0.0   68.25  1280 1328 1360 1440  768 771 778 790 -hsync -vsync (47.4 kHz e)
[   250.088] (II) RADEON(0): Modeline "800x600"x0.0   40.00  800 840 968 1056  600 601 605 628 +hsync +vsync (37.9 kHz e)
[   250.088] (II) RADEON(0): Modeline "640x480"x0.0   31.50  640 656 720 840  480 481 484 500 -hsync -vsync (37.5 kHz e)
[   250.088] (II) RADEON(0): Modeline "640x480"x0.0   31.50  640 664 704 832  480 489 492 520 -hsync -vsync (37.9 kHz e)
[   250.088] (II) RADEON(0): Modeline "640x480"x0.0   25.18  640 656 752 800  480 490 492 525 -hsync -vsync (31.5 kHz e)
[   250.088] (II) RADEON(0): Modeline "720x400"x0.0   28.32  720 738 846 900  400 412 414 449 -hsync +vsync (31.5 kHz e)
[   250.088] (II) RADEON(0): Modeline "1024x768"x0.0   78.75  1024 1040 1136 1312  768 769 772 800 +hsync +vsync (60.0 kHz e)
[   250.088] (II) RADEON(0): Modeline "1024x768"x0.0   75.00  1024 1048 1184 1328  768 771 777 806 -hsync -vsync (56.5 kHz e)
[   250.088] (II) RADEON(0): Modeline "1024x768"x0.0   65.00  1024 1048 1184 1344  768 771 777 806 -hsync -vsync (48.4 kHz e)
[   250.088] (II) RADEON(0): Modeline "800x600"x0.0   49.50  800 816 896 1056  600 601 604 625 +hsync +vsync (46.9 kHz e)
[   250.088] (II) RADEON(0): Modeline "800x600"x0.0   50.00  800 856 976 1040  600 637 643 666 +hsync +vsync (48.1 kHz e)
[   250.088] (II) RADEON(0): Modeline "640x480"x0.0   36.00  640 696 752 832  480 481 484 509 -hsync -vsync (43.3 kHz e)
[   250.088] (II) RADEON(0): Modeline "800x600"x0.0   56.25  800 832 896 1048  600 601 604 631 +hsync +vsync (53.7 kHz e)
[   250.088] (II) RADEON(0): Modeline "1024x768"x0.0   94.50  1024 1072 1168 1376  768 769 772 808 +hsync +vsync (68.7 kHz e)
[   250.088] (II) RADEON(0): Modeline "1280x1024"x0.0  108.00  1280 1328 1440 1688  1024 1025 1028 1066 +hsync +vsync (64.0 kHz e)

Eigentlich kann der olle BenQ demnach nur 1280×1024. Sagt er. Es geht aber mehr. Mein Laptop hat 1600×900 – und die will ich auch auf dem Beamer. Somit: Modeline für die auf dem Laptop vorhandene Bildschirmauflösung bestimmen:

gtf 1600 900 59.9

Die Antwort von gtf:

# 1600x900 @ 59.90 Hz (GTF) hsync: 55.83 kHz; pclk: 118.80 MHz
  Modeline "1600x900_59.90"  118.80  1600 1696 1864 2128  900 901 904 932  -HSync +Vsync

Die Modeling wird randr bekannt gegeben:

xrandr --newmode "1600x900_59.90"  118.80  1600 1696 1864 2128  900 901 904 932  -HSync +Vsync 
xrandr --addmode VGA-0 1600x900_59.90

Jetzt kann auch Kubuntu 14.04 den Beamer richtig ansprechen: Der entsprechende Dialog in den Systemeinstellungen (evtl. muss man das Paket kde-workspace-randr nachinstallieren) enthält die gewünschte Auflösung.

Diese lässt sich auch tatsächlich nutzen:

Der BenQ mault dann zwar kurz, dass er bessere Ergebnisse mit anderen Auflösungen erzielen könne, aber das Fensterchen ist bald verschwunden.

Klar wird hierdurch das Bild auf dem Beamer etwas matschig, weil er es skalieren muss. Aber das ist mir lieber, als selbst vor einem Laptop zu hocken, der nicht seine native Auflösung auf dem Bildschirm hat und deswegen MIR den Matsch zeigt.

Und: Es funktioniert auch mit einem NEC Beamer nicht anders, der nativ besser mit 1600×1200 betrieben würde und eine Auflösung von 1600×900 nicht in seinen EDID Informationen mit sich führt. Meine beiden Beamer tun also – jetzt teste ich mal noch in der LAK …

Redis Server und HSTS für ownCloud

Im Backend vermeldete ownCloud schon längere Zeit, dass es einen funktionierenden PHP Memory Cache vermisse. Bisher war mir das relativ egal, weil ich nicht viele Dateien und auch nicht viele Nutzer/innen hatte. Das hatte sich in den letzten Wochen und Monaten aber gründlich geändert, so dass ich bei drei meiner oC Installationen tätig werden musste. Nach dem Update auf oC 8.2.2 und Dank etwas freier Zeit ging ich das Problem endlich an.

APC und APCu waren zwar bei allen Servern an Bord, aber unter Ubuntu 14.04 und PHP5 „zu alt“. Ich probierte es mit Redis. Hier ist das PHP5 Modul von Ubuntu 14.04 zwar ebenfalls zu alt, aber es gibt in den PECL Repositories einfach zu installierenden Ersatz.

Ein

dpkg -l | grep php5-redis

klärt, ob ein solches PHP Modul installiert ist. Wenn ja, dann muss dieses zuerst runter vom Server. Danach kann der Redis Server an Bord:

apt-get install redis-server

Ein Blick in

/etc/redis/redis.conf

sollte ergeben, dass Redis an 127.0.0.1 lauscht und somit nicht von außen zu erreichen ist. Wer sich nicht sicher ist, kann von außen mit telnet nachsehen. Weiter sollte ein

service redis-server status

zeigen, dass der Redis-Server auch läuft.

Um PECL nutzen zu können benötigen wir noch die folgenden Pakete

apt-get install php-pear php5-dev

Wer, wie ich hier, Horde5 über PEAR bezieht, hat die Pakete schon. Ein

pecl install redis

bringt dann ein frischeres php Modul für Redis an Bord. Am Ende der Installation weißt PECL darauf hin, dass dieses Modul der vorhandenen PHP Umgebung bekannt gegeben werden muss. Da hilft

echo 'extension=redis.so' > /etc/php5/mods-available/redis.ini
php5enmod redis
service apache2 restart

Dann wird der Memory Cache ownCloud in

/pfad/zu/owncloud/config/config.php

bekannt gegeben, indem der folgenden Code ans Ende gehängt wird (vor die letzte schließende Klammer):

  'memcache.local' => '\\OC\\Memcache\\Redis',
  'filelocking.enabled' => 'true',
  'memcache.distributed' => '\\OC\\Memcache\\Redis',
  'memcache.locking' => '\\OC\\Memcache\\Redis',
  'redis' =>
    array (
      'host' => 'localhost',
      'port' => 6379,
      'timeout' => 0,
      'dbindex' => 0,
     ),

Im Backend von ownCloud herrscht nun etwas mehr Ruhe.

Was ownCloud leider nicht überprüft ist, ob es überhaupt über HTTP zu erreichen ist. Es schimpft immer über eine fehlende HSTS Konfiguration, bis eine solche eingerichtet ist.

Das ist mit

a2enmod headers

und dem Eintrag

Header always set Strict-Transport-Security "max-age=15768000; includeSubDomains"

für die ownCloud Domain dann nach einem Neustart des Apachen auch erledigt, hat aber Nebenwirkungen: HTTP Verbindungen sind hiermit für die gesamte Domain ab dem ersten Aufruf über HTTPS für den Client-Browser erledigt. Muss man wollen.

Geholfen beim Einrichten haben mir die folgenden empfehlenswerten Quellen: 1, 2, 3, 4

QR Code Generator

Ich war auf der Suche nach einem einfachen QR Code Generator und bin fündig geworden:

Oder schlichter:

sudo apt-get install qtqr

7ZIP Gui

Ich kann kaum einem meiner Kollegen zumuten, Befehlsfolgen wie

7za a archiv.7z -mhe -p datei.end

einzugeben, nur um ein verschlüsseltes Archiv mit 7ZIP zu erstellen und nicht einmal ein

7za x archiv.7z

würde sich verkaufen lassen. Shell ist schwarz. Schwarz ist böse. Was sich nicht klicken lässt, geht nicht. Also muss ein GUI her.

Da wir schulisch KDE einsetzen (mit einem Theme, das so schwer nach Win7 aussieht, dass sicherlich manche noch nicht einmal gemerkt haben, dass es gar kein Windows ist) war auch die Integration in das Kontextmenü gewünscht.

Alles das wird geliefert von: http://tomtomtom.org/p7zip-gui/

Eine evtl. auftretende Fehlermeldung ala

Fehler traten auf beim Bearbeiten von:

wird mit einem

sudo apt-get install -f

beantwortet, das die fehlenden Pakete nachzieht.

Bonding

Zwischenstadium beim Einrichten. Ein Upllink zu BelWue und der erste 4-er-Bond/Trunk zum Server.

Mit vier Netzwerkkabeln vom Server zum Core-Switch und vom dem aus weiter mit jeweils 4 Kabeln zum nächsten …

apt-get install ifenslave-2.6 net-tools ethtool

Die /etc/network/interfaces dazu

# The loopback network interface
auto lo
iface lo inet loopback

# Erst alle echten Interfaces hochziehen
auto eth0
iface eth0 inet manual
        bond-master bond0

auto eth1
iface eth1 inet manual
        bond-master bond0

auto eth2
iface eth2 inet manual
        bond-master bond0

auto eth3
iface eth3 inet manual
        bond-master bond0

# Trunk0 / Bond0
auto bond0
iface bond0 inet manual
        bond-slaves eth0 eth1 eth2 eth3
        bond-mode 0

# VLAN   FARBE   INHALT
# 100    BLACK   KABEL BW / Fritz BOX
# 101    GREY    Infrastruktur (Switches etc.)
# 102    RED     BELWUE Netze
# 20     BROWN   VWNetz
# 40     GREEN   paedagogisches Netz
# 41     BLUE    WLAN public (päd. Netz)
# 50     PINK    WLAN lehrer

# The LINK to BELWUE
auto bond0.102
iface bond0.102 inet static
        address xxx.xx.xx.194
        netmask 255.255.255.240
        network xxx.xx.xx.192
        broadcast xxx.xx.xx.207
        gateway xxx.xx.xx.193
        # dns-* options are implemented by the resolvconf package, if installed
        dns-nameservers xxx.xx.xx.4
        dns-search domain.tld
        # iptables vorbereiten - evtl. unnoetig
        up sysctl -w net.ipv4.ip_forward=1
        up modprobe ip_tables iptable_nat
        # Portweiterleitung von K9393 auf B443 fuer OMD
        up iptables -t nat -A PREROUTING -p tcp -i bond0.102 --dport 9393 -j DNAT --to-destination 192.168.0.2:443
        up iptables -A FORWARD -p tcp -d 192.168.0.2 --dport 9393 -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT


auto bond0.101
iface bond0.101 inet static
        vlan-raw-device bond0
        address 192.168.0.1
        netmask 255.255.255.0
        network 192.168.0.0
        broadcast 192.168.0.255
        dns-nameservers 127.0.0.1
        dns-search grey
        # add NAT / Masquerade for grey network
        up sysctl -w net.ipv4.ip_forward=1
        up modprobe ip_tables iptable_nat
        up iptables -A FORWARD -o bond0.102 -i bond0.101 -s 192.168.0.0/24 -m conntrack --ctstate NEW -j ACCEPT
        up iptables -A FORWARD -o bond0.102 -i bond0.101 -s 192.168.0.0/24 -m conntrack --ctstate ESTABLISHED,RELATED -j ACCEPT
        up iptables -t nat -A POSTROUTING -o bond0.102  -j MASQUERADE

auto bond0.40
iface bond0.40 inet manual
        vlan-raw-device bond0
        up ifconfig $IFACE up
        down ifconfig $IFACE down

auto bond0.41
iface bond0.41 inet manual
        vlan-raw-device bond0
        up ifconfig $IFACE up
        down ifconfig $IFACE down

auto bond0.50
iface bond0.50 inet manual
        vlan-raw-device bond0
        up ifconfig $IFACE up
        down ifconfig $IFACE down

auto bond0.20
iface bond0.20 inet manual
        vlan-raw-device bond0
        up ifconfig $IFACE up
        down ifconfig $IFACE down

Im Switch die Trunks einrichten und die VLANs den Trunks zuweisen. Reboot. Tut.

Die zentralen Switches sind nun verkabelt und auch der Neubau hängt mit immerhin 2 Glasfasterleitungen an der Strippe.

Zuerst hatten wir Mode 4 eingerichtet. Die Geschwindigkeit war aber enttäuschend. Mit Round Robin / Mode 0 geht jetzt aber heftig mehr durch die Leitungen, wenn auch nicht das 4-fache. Außerdem: Einzelne Räume bleiben etwas magerer angebunden – z.B. der Neubau, der nun mit „nur“ 2 Glasfaserleitungen am Core-Switch hängt.