Domainserver für kleines Geld und große Ansprüche

Als Rechner wurde ein gebrauchter Desktop-PC eingesetzt, der eine 64-Bit-CPU (Core Duo) hat. Diese ermöglicht auch die Virtualisierung von 64-Bit Betriebssystemen in einer virtuellen Maschine. Allerdings unterstützt der Chipsatz des Rechners keine I/O-Virtualisierung.

Aufgerüstet wurde der Rechner auf maximal mögliche 8 GByte Hauptspeicher und mit einer 500 GByte SSD-Platte. Die Investitionen betrugen weniger als 500 €. Ferner wurden dem Fundus eine zweite Netzwerkkarte sowie eine ISDN-Karte entnommen und eingebaut. Letztere wird von einem Asterisk-Telefonserver verwendet, der wegen fehlender I/O-Virtualisierung auf der Basismaschine laufen muss. Die Netzwerkanschlüsse (einer davon ist, wie heute üblich, bereits auf dem Board) bedienen den DSL-Anschluss und das lokale Netzwerk (LAN).

Die internen Verbindungen der verschiedenen virtuellen Maschinen werden mittels Software-Switches hergestellt. Da verschiedene unabhängige Verbindungen nötig sind, wurden mehrere Switches (für die verschiedenen Netze) aufgesetzt, obwohl der verwendete Software-Switch (»vde2«) auch die Einrichtung von virtuellen LANs ermöglicht.

Das private Netz wird im Wesentlichen zur Verbindung des Internetzugangs mit dem Router verwendet. So ist sichergestellt, dass der Zugangsrechner keine direkte Verbindung zum lokalen Netzwerk hat. Der Zugangsrechner ist nur vom Router aus erreichbar und auch nur mittels ssh-key.

Am internen Netz sind neben den virtuellen Maschinen auch die physischen Rechner sowie Drucker, Scanner und ein WLAN-Router angebunden. Zum Netz der demilitarisierten Zone (DMZ) gibt es keine Verbindung von innen. Ein Datenaustausch ist nur über ein gemeinsames Verzeichnis möglich.

Als Dienste laufen neben dem Internetzugang, natürlich mit Firewall, auch die üblichen Dienste einer Domain, wie DHCP, Nameserver und der Druckdienst CUPS.

Ohne Internet geht heute in der Computerei fast gar nichts mehr, sodass als erstes die virtuelle Maschine mit dem Internetzugang aufgesetzt werden sollte – sonst kann man bei Problemen keine Suchmaschine befragen und sei es nur mit einem textonly-Browser wie »elinks«.

Dazu muss die Netzwerkkarte, die mit dem DSL-Modem verbunden ist, entweder über ein TAP-Gerät (ein vom Kernel bereit gestelltes Software-Netzgerät) oder wie hier über einen Software-Switch mit der virtuellen Maschine verbunden werden. In der Maschine kann dann eine aktuelle Distribution oder auch eine spezielle Firewall-Distribution (z.B. RCP100) installiert werden.

Eine zweite Netzwerkkarte – verbunden mit dem privaten Netz – wird benötigt, um die Verbindung zum lokalen Netzwerk bzw. dem Router herzustellen. Selbstverständlich muss die virtuelle Maschine die Daten zwischen den Netzwerkschnittstellen austauschen können, also ebenfalls Routing-Funktionalität haben.

Das lokale Netzwerk benötigt weitere Netzwerkdienste. Diese sind mit ihren Konfigurationen in einer zweiten virtuellen Maschine zusammengefasst. Es stehen ein DHCP-Server für die Verteilung von IP-Adressen sowie ein Namensserver für die Auflösung der Rechnernamen im lokalen Netz als auch die Weiterleitung von Anfragen an externe Nameserver zur Verfügung. Da die Rechner des lokalen Netzes auch Zugriff auf das Internet haben sollen, wird die Weiterleitung zum Zugangsrechner durch NAT (network address translation) sichergestellt. Ein Proxyserver (privoxy) filtert auf Wunsch viel Werbung aus.

Schließlich bietet noch CUPS seine Dienste zum Drucken an und über einen »sane«-Server kann von jedem Arbeitsplatz aus eingescannt werden.

Da Informationen, die im lokalen Netzwerk zur Verfügung stehen, auch von außerhalb erreichbar sein sollen, ist ein sicherer Zugang dafür nötig. Der Zugang ist mit OpenVPN eingerichtet und wird von einer eigenen virtuellen Maschine zur Verfügung gestellt. Diese Maschine enthält wieder alle Konfigurationsdaten und die benötigten Schlüssel für den Betrieb.

Der OwnCloud-Server ist nur intern oder über VPN erreichbar. Hauptaufgabe ist es, einen Datei- und Bilderaustauschdienst sowie ein Adressbuch und einen Kalender anzubieten. Mittels VPN-App ist auch ein Zugriff per Mobiltelefon möglich.

Alte Rechner lassen sich relativ leicht in virtuelle Maschinen übertragen (beispielsweise mit »dd«), sodass alte Arbeiten, Rechnungen oder Spiele weiterhin zur Verfügung stehen, ohne das ein separater Rechner dafür »am Leben erhalten werden muss«. Diese Rechner sind durch die Firewall des Systems geschützt – wenn sie denn Internetzugang brauchen.

Gelegentlich können die alten Maschinen (wie freeDOS) nur von qemu – nicht von KVM – gestartet werden, da die alte Software mit den Kernelschnittstellen von KVM nicht zurecht kommt.

Es gibt beim Autor eine virtuelle Maschine, die eine ältere Distribution enthält, um eine LibreOffice-Version vorhalten zu können, die noch alte Star- bzw. OpenOffice-Dokumente anzeigen/konvertieren kann.

Solche Maschinen brauchen nur bei Bedarf gestartet zu werden.

• Drucken
• Versenden

• Kurz-URL

• Social Networks: mehr

Lesezeichen hinzufügen

• deli.cio.us
• Digg
• Facebook
• Folkd
• Google
• Identi.ca
• Linkarena
• Live
• Mr.Wong
• MySpace
• Newsvine
• Oneview
• reddit
• StudiVZ
• Stumble
• Twitter
• Yahoo!
• Yigg

• Tomb Raider 
• Inkscape für Einsteiger – Teil I:...