Nettstunt 2005

(Denne er lagt direkte under historisk dokumentasjon :-P)

Natt til 7. mai 2005 satte byggeprosjektet UKA (ved DG) opp en vegg i fyrrommet, og kom samtidig borti fiberen som hang like ved. Resultatet var at samtlige fiberkabler (minus én multimode-kabel til Trafon) knakk, og Samfundet mistet nett. Det å få skjøtet fiber før mandag var uaktuelt, så lørdag morgen gjorde man følgende stunt:

gleipne, en boks som egentlig skulle være sekundær KDC, med ren Debian sarge-installasjon, ble flyttet opp til serverrommet på hovedbygget, der hb-gw sto. Den har fått IPen 129.241.93.16 (akkurat høyt nok til at ITEA ikke blokker den ut i ACLene sine, og akkurat lavt nok til at den er reservert :-) ), og er plugget rett inn i 6509-en der oppe. Videre har den fått hele 93-VLANet til seg; essensielt sett betyr dette at alt som går til 129.241.93.0/24 går rett til denne kabelen, og så regner hb-gw med at det når destinasjonen sin på et eller annet vis. (ITEA ville ikke sette opp en tunnel selv i hb-gw, og ei heller sette 129.241.93.16 som gateway for 93-nettet, så da ble det slik.)

På Samfundet har altersex fått et sekundært interface som er koblet rett til et ADSL-modem fra Telenor (pga. billettsystemet har Samfundet en 1024/256 ADSL-linje fra Telenor, som er uavhengig alt annet nett på huset), og snakker PPPoE rett mot dette som enhver annen abonnent. (Denne har den dynamisk tildelte IPen 193.213.35.31, dersom Telenor gir oss en annen IP er vi nødt til å bytte manuelt.) Videre har altersex en fast route som sier at 129.241.93.16 skal kjøres ut på ADSL-linja, og det er laget en tunnel med 129.241.93.16 og 193.213.35.31 som endepunkter. Denne tunnelen er naturlig nok en peer-to-peer-link, med interne link-IPer; altersex er 10.0.0.1 og gleipne er 10.0.0.2.

Når så tunnelen er oppe og kjører, er det bare for altersex å ha defaultroute ut via 10.0.0.2, og gleipne kan ha route til 129.241.93.0/24 via 10.0.0.1. Deretter er det bare å sette opp proxyarp slik at altersex annonserer sin egen MAC-adresse som gyldig destinasjon for 129.241.93.17 opp til 129.241.93.254 (så ting som vil kommunisere med Samfundet-IPer sender dem til altersex), og når så forwarding er skrudd på på begge boksene, har Samfundet igjen nett via sin vanlige IP-range, slik at mail, DNS, web o.l. fungerer.

For å spare litt på trafikken kjører begge boksene Squid med transparent proxying; alle forespørsler på port 80 redirectes (via iptables) til Squid, som står og cacher. Dette fører til at statiske bilder (som f.eks. de femten småbildene på www.uka.no) og andre sider som ikke endrer seg ofte blir dratt rett fra gleipne i stedet for å måtte gå via ADSL-linken til Samfundet, som allerede er ganske overbelastet (naturlig nok), i hvert fall mht. utlinje. (For å lette litt på trykket har cirkus fått mod_gzip på begge Apachene sine.) Dessuten er det satt ACLer slik at båndbreddeintensive tjenester som debian.samfundet.no, pr0n.sesse.net o.l. ikke sendes ut, men i stedet får en pen og informativ feilmelding om at vi dessverre ikke har nok båndbredde til slikt for øyeblikket. Videre fryses automatisk alle eposter over en halv megabyte i Exim, etter en del problemer med at retry til brukne kontoer spiste store mengder utbåndbredde. Utover dette er det ingen firewaller e.l..

Tilsvarende er det altså en lik løsning på altersex, som cacher ting som vg.no og whatnot slik at man ikke trenger å bruke linje på det når alle tross alt surfer på det samme uansett. :-)

Trafikkgrafer oppdateres løpende på http://mrtg.samfundet.no/ntnu.html.

Lenker: Start, fiber fra gløshaugen, gammel dokumentasjon