[Eisfair] Spiegel-Server

Nelson Matias nelson at anires.de
Mo Dez 11 18:26:48 CET 2023 

Hallo Helmut,

Helmut Pohl schrieb am Sat, 9 Dec 2023 21:59:55 +0100:
>>> Ich habe eine VM als Spiegelserver definiert und die heißt
>>> xen-eismirror. Alle anderen VM's sollen von diesem Spiegelserver ihre
>>> Pakete zum updaten abholen. Mit den meisten VM's funktioniert das auch,
>>> allerdings mit Auffälligkeiten an 2 VM's derart, dass nicht alle URL's
>>> abgerufen werden.
>>> 2 PC's mit echter Hardware werden nicht bedient, es erfolgt die Meldung:
>>>
>>> warning: failed to download 
>>> "https://xen-eismirror.gallien/eis64/index.txt"!
>>> warning: failed to download
>>> "https://xen-eismirror.gallien/jaehrling-e64/index.txt"!
>>> warning: failed to download
>>> "https://xen-eismirror.gallien/baeumer-e64/index.txt"!
>>> warning: failed to download
>>> "https://xen-eismirror.gallien/quast-e64/index.txt"!
>>>
>>> Die Netzwerkverbindung zu diesen PC's und auch allen VM's ist vorhanden,
>>> es lassen sich alle anpingen und man kann sich auch über ssh einloggen.  
>> 
>> Nur das ein Paketserver nicht per ICMP ausliefert. Und per ssh wohl auch 
>> nicht. Kannst du den port an dem dein mirror lauscht von allen anderen 
>> systemen aus erreichen. Z.B. mit 'telnet -p80 <deine-server-IP>'  
>
>Hmm, telnet liefert bei mir:
>
>eis64-home # telnet -p80 xen-eismirror.gallien
>telnet: invalid option -- 'p'
>Usage: telnet [-8] [-E] [-L] [-S tos] [-a] [-c] [-d] [-e char] [-l user]
>         [-n tracefile] [-b hostalias ] [-r]
>         [host-name [port]]
>
>die Option -p gibt es wohl nicht bei meiner Version.

Für dich wäre der Aufruf:
telnet xen-eismirror.gallien 80

>Aber ein  wget xen-eismirror.gallien/eis64/index.txt liefert:
>
>--2023-12-09 19:44:13--  http://xen-eismirror.gallien/eis64/index.txt
>Resolving xen-eismirror.gallien (xen-eismirror.gallien)... 192.168.1.30
>Connecting to xen-eismirror.gallien 
>(xen-eismirror.gallien)|192.168.1.30|:80... connected.
>HTTP request sent, awaiting response... 200 OK
>Length: 556750 (544K) [text/plain]
>Saving to: 'index.txt.2'
>
>index.txt.2         100%[===================>] 543.70K  --.-KB/s    in 
>0.004s
>
>2023-12-09 19:44:13 (119 MB/s) - 'index.txt.2' saved [556750/556750]
>
>
>Demzufolge kann er den Namen auflösen und hat Zugriff auf den Spiegelserver.

Per http ja. Aber eisman greift bei dir per https zu. Also musst du
auch https prüfen. Wenn dein Webserver ein selbstsigniertes Zertifikat
hat wird das zu Problemen bei den anderen Hosts führen. Denen musst du
das Zertifikat erst beibringen oder auch 'nur' per http zugreifen. 

>Ich habe auf den dom0's keine zusätzliche Firewall eingerichtet. Die 
>domU's können auch auf andere domU's auf anderen dom0's zugreifen. Ist 
>quasi eine DMZ mit mehreren VM's und Wirten.

In dieser Konstellation würde ich http nutzen solange kein Zugriff von
außen auf den Spiegel erfolgt. Das spart dir die Zertifikatsverteilung.

-- 

Gruß
Nelson

-- 
Nelson Matias

Mehr Informationen über die Mailingliste Eisfair