X-Git-Url: https://git.rohieb.name/stratum0-wiki.git/blobdiff_plain/0a372d031fc4c7d8afff0790efb69334a3cfe758..48f7062b157af93ab4824d3af15c19fdff3a3064:/Gandolf.mw?ds=sidebyside
diff --git a/Gandolf.mw b/Gandolf.mw
index 9439e2cff..4746e41b3 100644
--- a/Gandolf.mw
+++ b/Gandolf.mw
@@ -1,7 +1,7 @@
{{Hardware
-|kontakt=[[Benutzer:Kasalehlia|Kasalehlia]], [[Benutzer:Daniel Bohrer|Daniel Bohrer]]
+|kontakt=[[Benutzer:Kasalehlia|Kasalehlia]], [[Benutzer:Daniel Bohrer|Daniel Bohrer]], [[Benutzer:Emantor|Emantor]]
|status=working
-|ort=[[endor]]
+|ort=[[endur]]
|beschreibung=Web-Proxy für andere VMs
}}
@@ -28,17 +28,38 @@
== Doku ==
* Debian jessie mit systemd (be warned!)
-* externes Netz: eth0 144.76.9.122, per DHCP über Host-Bridge auf [[endor]]
+* externes Netz: eth0 144.76.9.122, per DHCP über Host-Bridge auf [[endur]]
* internes Netz: eth1 192.168.122.2/24, statisch über /etc/network/interfaces
* nginx:
-** Sites debian-typisch in /etc/nginx/sites-enabled/:
-*** pad.stratum0.org --> [[gapadriel]]
-*** gitli.stratum0.org --> [[gitli]]
+** Sites debian-typisch in /etc/nginx/sites-enabled/
** SSL-Config in /etc/nginx/ssl_params wird von allen Sites inkludiert -> zentrale Konfiguration von Ciphers etc.
-** SSL-Certs für jede Site in /etc/nginx/ssl/$sitename.{crt,key}
+** LetsEncrypt/certbot Certs in /etc/letsencrypt, nginx-Config in /etc/nginx/letsencrypt.conf
** Genereller Redirect von http auf https und HTTPS Strict Transport Security
+** sandbox.stratum0.org wird direkt gehostet
+*** sandbox.stratum0.org/blog als Proxy auf [[regolas]] für Blog-Preview
+* Port Forwardings:
+** 2222/tcp â [[theodem]]:22 (SSH für Vorstands-gitolite)
+** 20022/tcp â [[shelog]]:22 (SSH für Shell-Server)
+** 64738/tcp,udp â [[telmir]] (Mumble)
+** 61553/tcp,udp â [[fredo]] (tinc))
+** 113/tcp â [[metiadoc]] (identd für IRC-Bridge)
+* LetsEncrypt:
+** Relevante Doku in /usr/share/doc/letsencrypt.sh/
+** neue Domains in /etc/letsencrypt.sh/domains.txt eintragen
+** Hook in /etc/letsencrypt.sh/hooks.sh: aktualisiert DNS-TLSA-Records, wartet TTL ab und deployt Certs nach /var/lib/letsencrypt.sh/live-certs/
+** in cron.daily: letsencrypt.sh -c -k /etc/letsencrypt.sh/hooks.sh; systemctl restart nginx
+** für Tests bitte ''unbedingt'' die staging-API ohne Rate Limiting benutzen, siehe CA=... in /etc/letsencrypt.sh/config.sh
+
+== SSH-Proxy per Gandolf ==
+
+ Host gandolf
+ HostName gandolf.stratum0.org
+
+ Host telmir smaut huryn errond-1 jamwise gitli
+ ProxyJump gandolf
== Log ==
+* jessie-backports hinzugefügt und letsencrypt.sh installiert --[[Benutzer:Daniel Bohrer|Daniel Bohrer]] 22:49, 19. Okt. 2016 (CEST)
* unattended-upgrades eingerichtet, erstmal nur aus debian-security. siehe /etc/apt/apt.conf.d/02.periodic und /etc/cron.daily/apt für Doku --[[Benutzer:Daniel Bohrer|Daniel Bohrer]] 01:28, 23. Mai 2015 (CEST)
* /etc/nginx/ssl_params: remove Google DNS resolver for privacy reasons, remove resolve time directive --[[Benutzer:Daniel Bohrer|Daniel Bohrer]] 03:12, 22. Mai 2015 (CEST)
* Diese Seite in /etc/motd erwähnt. --[[Benutzer:Daniel Bohrer|Daniel Bohrer]] 03:12, 22. Mai 2015 (CEST)