* internes Netz: eth1 192.168.122.2/24, statisch über <tt>/etc/network/interfaces</tt>
* nginx:
** Sites debian-typisch in <tt>/etc/nginx/sites-enabled/</tt>
** SSL-Config in <tt>/etc/nginx/ssl_params</tt> wird von allen Sites inkludiert -> zentrale Konfiguration von Ciphers etc.
** LetsEncrypt/certbot Certs in <tt>/etc/letsencrypt</tt>, nginx-Config in <tt>/etc/nginx/letsencrypt.conf</tt>
** Genereller Redirect von http auf https und HTTPS Strict Transport Security
* internes Netz: eth1 192.168.122.2/24, statisch über <tt>/etc/network/interfaces</tt>
* nginx:
** Sites debian-typisch in <tt>/etc/nginx/sites-enabled/</tt>
** SSL-Config in <tt>/etc/nginx/ssl_params</tt> wird von allen Sites inkludiert -> zentrale Konfiguration von Ciphers etc.
** LetsEncrypt/certbot Certs in <tt>/etc/letsencrypt</tt>, nginx-Config in <tt>/etc/nginx/letsencrypt.conf</tt>
** Genereller Redirect von http auf https und HTTPS Strict Transport Security
* Port Forwardings:
** 2222/tcp → [[theodem]]:22 (SSH für Vorstands-gitolite)
** 20022/tcp → [[shelog]]:22 (SSH für Shell-Server)
** 64738/tcp,udp → [[telmir]] (Mumble)
** 61553/tcp,udp → [[fredo]] (tinc))
* Port Forwardings:
** 2222/tcp → [[theodem]]:22 (SSH für Vorstands-gitolite)
** 20022/tcp → [[shelog]]:22 (SSH für Shell-Server)
** 64738/tcp,udp → [[telmir]] (Mumble)
** 61553/tcp,udp → [[fredo]] (tinc))
** 113/tcp → [[metiadoc]] (identd für IRC-Bridge)
* LetsEncrypt:
** Relevante Doku in <tt>/usr/share/doc/letsencrypt.sh/</tt>
** neue Domains in <tt>/etc/letsencrypt.sh/domains.txt</tt> eintragen
** Hook in <tt>/etc/letsencrypt.sh/hooks.sh</tt>: aktualisiert DNS-TLSA-Records, wartet TTL ab und deployt Certs nach <tt>/var/lib/letsencrypt.sh/live-certs/</tt>
** in cron.daily: <tt>letsencrypt.sh -c -k /etc/letsencrypt.sh/hooks.sh; systemctl restart nginx</tt>
** 113/tcp → [[metiadoc]] (identd für IRC-Bridge)
* LetsEncrypt:
** Relevante Doku in <tt>/usr/share/doc/letsencrypt.sh/</tt>
** neue Domains in <tt>/etc/letsencrypt.sh/domains.txt</tt> eintragen
** Hook in <tt>/etc/letsencrypt.sh/hooks.sh</tt>: aktualisiert DNS-TLSA-Records, wartet TTL ab und deployt Certs nach <tt>/var/lib/letsencrypt.sh/live-certs/</tt>
** in cron.daily: <tt>letsencrypt.sh -c -k /etc/letsencrypt.sh/hooks.sh; systemctl restart nginx</tt>
+** für Tests bitte ''unbedingt'' die staging-API ohne Rate Limiting benutzen, siehe <tt>CA=...</tt> in <tt>/etc/letsencrypt.sh/config.sh</tt>
+
+== SSH-Proxy per Gandolf ==
+
+ Host gandolf
+ HostName gandolf.stratum0.org
+
+ Host telmir smaut huryn errond-1 jamwise gitli
+ ProxyCommand ssh -q -x gandolf -W %h:22