![[Zobrazit/Skrýt nabídky vlevo]](img/icons/oleftcol.png "[Zobrazit/Skrýt nabídky vlevo]"){kind=icon}
![[Zobrazit/Skrýt nabídky vpravo]](img/icons/orightcol.png "[Zobrazit/Skrýt nabídky vpravo]"){kind=icon}
KlientAnnenskeSlatinneLazne
Annenske Slatinne Lazne a.s. (Lazne Belohrad)
Obecně
Provozuji slatinne lazne v Laznich Belohrad
web
www.belohrad.cz
www.treeoflife.cz
Pracovní doba
8-16:00
Kontaktní osoba
Michal Knap - knap v(e) belohrad.cz - 606 658 324
Servery
kromě Clusteru monitorujeme v Centreonu jen DSA, DSB a BSB, podle Honzy to bylo tak domluveno s Knapem, o ostatni servery se staraji sami
Cluster
Array01
| Array01 | BOSSON cluster | ||
| OS | CentOS 6.6 | ||
| Popis a HW | SUPERMICRO/128GB | ||
| IP | 10.108.0.2 a pro migraci 192.168.0.67 | ||
| IPMI | 10.108.0.4 | ||
| ARECA | 10.108.0.6 | ||
| Umístění | serverovna v Tree of life | ||
| Datum nákupu/instalace | 6/2015 | ||
Array02
| Array02 | BOSSON cluster | ||
| OS | CentOS 6.6 | ||
| Popis a HW | SUPERMICRO/128GB | ||
| IP | 10.108.0.3 a pro migraci 192.168.0.68 | ||
| IPMI | 10.108.0.5 | ||
| ARECA | 10.108.0.7 | ||
| Umístění | serverovna v Tree of life | ||
| Datum nákupu/instalace | 6/2015 | ||
Sambahost
| sambahost.lazne | host pro DSE | ||
| OS | CentOS 6.7 | ||
| Popis a HW | SUPERMICRO/12GB/4TB | ||
| IP | 192.168.0.61 | ||
| IPMI | 10.108.0.11 | ||
| ARECA | 10.108.0.9 | ||
| Umístění | serverovna v Tree of life | ||
| Datum nákupu/instalace | 10/2015 | ||
Backuphost
| backuphost.lazne | host pro BSA | ||
| OS | CentOS 6.7 | ||
| Popis a HW | SUPERMICRO/12GB/4TB | ||
| IP | 192.168.0.60 | ||
| IPMI | 10.108.0.10 | ||
| ARECA | 10.108.0.8 | ||
| Umístění | serverovna v Tree of life | ||
| Datum nákupu/instalace | 10/2015 | ||
Router - Firewall
| Router | router & antispam | ||
| OS | CentOS 6 | ||
| Popis a HW | Intel/4GB/80GB | ||
| IP | 192.168.0.11, 10.108.0.1, 10.108.0.12 (router-back.belohrad.cz) | ||
| Umístění | serverovna v Tree of life | ||
| Datum nákupu/instalace | 7/2010 | ||
Zrusen Server - Stary server drive DHCP, DNS, Exchange
| Server | Starý SBS 2003 server, sloužil jako DHCP,DNS a Exchange pro cca 25 uživatelů | ||
| OS | Windows SBS 2003 | ||
| Popis a HW | ProLiant? ML370 G3/ 4GB / | ||
| IP | 192.168.0.1 | ||
| Umístění | serverovna v Tree of life | ||
| Datum nákupu/instalace | 5/2004 | ||
Server2 - SQL Helios
| Server2 | Starý 2008 server, slouži jako SQL server pro helios a další podnikové aplikace | ||
| OS | Windows ServerR 2008 Standard SP2 | ||
| Popis a HW | ProLiant? ML370 G5/ 18GB / | ||
| IP | 192.168.0.2 | ||
| Umístění | serverovna v Tree of life - v Racku | ||
| Datum nákupu/instalace | 11/2008 | ||
DSA - AD, DNS, DHCP, File
| DSA | Nový 2008 server, AD, DNS,DHCP, file server | ||
| OS | Windows ServerR 2008 R2 Enterprise | ||
| Popis a HW | Virtual / 4GB | ||
| IP | 192.168.0.3 | ||
| Umístění | virtual | ||
| Datum nákupu/instalace | 7/2010 | ||
DSF
| DSF | 2016 server, AD, DNS, bude DHCP, file server | ||
| OS | Windows Server 2016 Standard | ||
| Popis a HW | Virtual / 4GB | ||
| IP | 192.168.0.8 | ||
| Umístění | virtual | ||
| Datum nákupu/instalace | 08/2017 viz AET95 | ||
DSQ
| DSQ | 2016 server, MsSQL | ||
| OS | Windows Server 2016 Standard | ||
| Funkce | Ms SQL server 2016 Standard, IIS Powerkey.belohrad.cz | ||
| Popis a HW | Virtual / 64GB | ||
| IP | 192.168.0.9 | 192.168.66.9 ve VLAN 66 | |
| Umístění | virtual | ||
| Datum nákupu/instalace | 08/2017 viz AET95 | ||
DST
| DST | 2016 server | ||
| OS | Windows Server 2016 Standard | ||
| Funkce | |||
| Popis a HW | Virtual / 8GB | ||
| IP | 192.168.0.10 | 192.168.67.9 ve VLAN 67 pro Unifi kontroler | |
| Umístění | virtual, RDS server, 25x WinRmtDsktpSvcsCAL? 2016 | ||
| Datum nákupu/instalace | 08/2017 viz AET95 | ||
DSB - Exchange 2010
| DSB | Nový 2008 server, Exchange 2010 | ||
| OS | Windows ServerR 2008 R2 Enterprise | ||
| Popis a HW | Virtual / 4GB | ||
| IP | 192.168.0.4 | ||
| Umístění | virtual | ||
| Datum nákupu/instalace | 7/2010 | ||
DSC - Terminal
| DSC | Nový 2008 server, Terminálový server, Unifi kontroler | ||
| OS | Windows ServerR 2008 R2 Enterprise | ||
| Popis a HW | Virtual / 3GB | ||
| IP | 192.168.0.13, 192.168.67.10 ve VLAN67 pro Unifi | ||
| Umístění | virtual | ||
| Datum nákupu/instalace | 7/2010 | ||
DSD - SQL
| DSD | Nový 2008 server, SQL server s mirrory databází | ||
| OS | Windows ServerR 2008 R2 Enterprise | ||
| Popis a HW | Virtual / 3GB | ||
| IP | 192.168.0.50; 192.168.0.49 zajistuje redirect na https pro Intranet.belohrad.cz zvenci, vede na ni z fw intranet.belohrad.cz port 80 | ||
| 192.168.66.10 druha sitovka , VLAN pro kamery asi | |||
| Umístění | virtual | ||
| Datum nákupu/instalace | 7/2010 | ||
BSB - DPM
| BSB | Nový 2008 server, DPM | ||
| OS | Windows ServerR 2008 R2 Standart 64bit | ||
| Popis a HW | 4GB | ||
| IP | 192.168.0.69 | ||
| Umístění | |||
| Datum nákupu/instalace | |||
DSE
| DSE | Samba uloziste. Samba pripojena do windows domeny. | ||
| OS | CentOS 6.7 | ||
| IP | 192.168.0.62 | ||
| Umístění | virtual | ||
| Datum nákupu/instalace | 10/2015 | ||
BSE
| BSE | BackupPC pro zalohu DSE. | ||
| OS | CentOS 6.7 | ||
| Popis a HW | backuppc na http://bse.lazne.local | ||
| IP | 192.168.0.63 | ||
| Umístění | virtual | ||
| Datum nákupu/instalace | 10/2015 | ||
HVT
| HVT | Hyper-V | ||
| OS | Windows Server Core 2016 | ||
| Popis a HW | Hyper-V 2016 | ||
| IP | 192.168.1.9 | ||
| Umístění | nevim, asi tam nekde je | ||
| Vzdaleny pristup | openport https://vpn.belohrad.cz | ||
| Heslo | syspass LAZNE\uvt | ||
| Datum nákupu/instalace | 06/2021 | ||
ZABBIXPROXY
| Platforma | LINUX CentOS Stream release 8 | ||
| Účel | Monitoring Zabbix | ||
| IP | 192.168.1.10/23 | ||
| Netbios/DNS | zabbixproxy.belohrad.cz | ||
| SSH | ssh root v(e) mail.belohrad.cz -p 10023 | ||
| Umístění | virtual na HVT | ||
| root | syspass | ||
| Datum nákupu/instalace | 11/2021 | ||
Pristupy na servery
| router | root | 1:5sGRlszR2sbBy6M= | 192.168.0.11 |
| router-back | root | 1:5sGRlszR2sbBy6M= | 10.108.0.12 |
| ipmi-array01 | ADMIN | 1:LCEpKVtYJQ0KHm8= | 10.108.0.4 |
| ipmi-array02 | ADMIN | 1:LCEpKVtYJQ0KHm8= | 10.108.0.5 |
| ipmi-sambahost | ADMIN | 1:LCEpKVtYJQ0KHm8= | 10.108.0.11 |
| ipmi-backuphost | ADMIN | 1:LCEpKVtYJQ0KHm8= | 10.108.0.10 |
| areca-array01 | admin | 1:qayg39qkr+o= | 10.108.0.6 |
| areca-array02 | admin | 1:qayg39qkr+o= | 10.108.0.7 |
| areca-sambahost | admin | 1:qayg39qkr+o= | 10.108.0.9 |
| areca-backuphost | admin | 1:qayg39qkr+o= | 10.108.0.8 |
Doménový správcovský účet pro nás
jméno LAZNE\uvt heslo: 1:zNPY1MOSk5KV6uvlog==
Konzole pro správu virtuálu na 192.168.0.66
root/1:GxYeHng=
Lokální síť a internet
Internet nove od lokalniho wifisty (Lukas Hampl - admin v(e) bartanet.cz)
| vnitrni IP | verejna IP | ||
| 10.111.4.11 | 194.213.46.211 | pouzita - bezne sitove sluzby | |
| 10.111.4.12 | ?? | pouzita - pouze sharepoint | |
| 10.111.4.13 | 85.163.73.57 | FREE | pouzita powerkey |
| 10.111.4.15 | ?? | WIAS | |
| maska | 255.255.255.0 | ||
| gw | 10.212.84.1 | ||
| dns | 10.0.0.1 | ||
Prepinani internetu
V openportu na vpn.belohrad.cz je pod uctem internet mozno prepnout internet na zalozni linku ADSL. Vzhledem k male kapacite linky je do ADSL routovana pouze firemni LAN sit, nikoliv hotely atp. (pozadavek MK).
| internet | 1:VEdSbHt4dGctIRU= | ||
Take maji nastaven sekundarni MX zaznam na mail2.belohrad.cz Taktez je zvenci dostupny webmail na adrese mail2.belohrad.cz pres toto ADSL.
ADSL modem je kompletne v jejich sprave, nastaveni modemu delal p. Knap sam
Zalozni router/firewall
Po upgradu hw routeru se stary hw stal zaloznim routerem. Routery jsou spojene po siti 10.108.0.0/24 a bezi na nich VRRP. Vsechny IP (vyjma teto) jsou nakonfigurovany jako plovouci, takze v pripade vypadku primarniho routeru prebira sekundarni router IP adresy, restartuje firewall, policy routing a shaping a stava se primarnim routerem.
Shaping internetu
Shaping se dela na routeru pomoci linuxiho TC. Vzhledem k tomu, ze linux umi shapovat a pujcovat si bandwidth pouze mezi tridami v ramci jednoho stromu (tj. interfacu), je potreba pouzit IFB interface, ktery sdruzi prichozi traffic (WAN->LAN) do jednoho ifacu, protoze na LAN strane je nekolik VLAN ifacu a shapovat lze pouze egress smer. Routing/firewalling funguje bezne, jen shaping se dela na IFB interfacu.
Smer WAN->LAN se rozdeluje do trid podle subnetu cilove site, smer LAN->WAN je jiz SNATovan, takze neni videt, z jake LAN site traffic jde, takze se musi pakety markovat v PREROUTINGu (to se dela ve firewallu) a podle techto marku se pozna, do jake tridy patri.
Zde je maly zadrhel. Protoze maji zaroven 2 uplinky do internetu, pouziva se mark take jako informace, odkud prisel (na jaky WAN iface zvenci) a tedy jakou routovaci tabulku si ma vybrat. Takze je nutno informace v marku maskovat. V prvnim bajtu je informace o prichozim ifacu, v druhem bajtu je informace o tom, z jake LAN paket prisel.
Maskovat je tedy nutno vsechny prace s markem:
Mark pro urceni prichoziho ifacu z WAN:
$IPTABLES -t mangle -A PREROUTING -j CONNMARK --restore-mark --mask 0xff $IPTABLES -t mangle -A PREROUTING -i $INET_IFACE -j MARK --set-mark 201/0xff ip rule add fwmark 200/0xff table 200
Mark pro urceni odchoziho ifacu z LAN:
$IPTABLES -t mangle -A PREROUTING -i ${LAN1_IFACE} -j MARK --set-mark 0x0100/0xff00
$TC filter add dev ${INET_IFACE} parent 1: protocol ip prio 1 u32 match mark 0x0100 0xff00 flowid 1:2
Pristup na switch pred firewallem:
| 192.168.0.30 | admin | 1:tK27ra2+zg== | |
Detska lecebna
Do lecebny vede optika z lazni, vedou tam vlany (uplink port sfp). Na port 8 je pripojen mikrotik RB951 (192.168.67.5) a to vlanou 67. Dale je tato vlan rozvedena do bridge67, odkud jsou managovane Planet AP (3ks). Mikrotik RB951 (zrejme od providera) ma vlastni internet (zdarma od providera) na bridge1, ktery je pomoci vlan id 300 rozveden do APcek, kde je SSID LECEBNA tagovano na vlan 300. Na RB951 je zakladni pravidlo zakazujici traffic z wifi LECEBNA do vlan 67.
Takze vlan 67 je pouze pro spravu RB a APcek, free internet ma LECEBNA separatni od providera (protisluzba za anteny na strese).
Jinak v lecebne pro sluzebni ucely je mikrotik CCR, ktery vicemene bridguje lan z lazni
| 192.168.0.59 | admin | 1:eXV7ZmE3NTYzKVJaAw== | |
Vzdálený přístup
VPN a openport na http://vpn.belohrad.cz / https://vpn.belohrad.cz:8080/ uzivatel karel/1:V1ZUQVJUV1YAAwIx
V tuhle chvíli je z domečku otevřené RDP na DSA a DSB na vpn.belohrad.cz, respektive vpn.belohrad.cz:3390
aby měl uživatel terminálový přístup, musí být ve doménové skupině Terminalisti a ve vlastnostech daného účtu v LOG ON TO musí být povolen příslušný server
Pouzivaji terminalovy pristup na 4 ruzne servery, prislusny uzivatel openportu musi byt v souboru pro prislusny server ktere jsou v adresari /chroots/proxy/usr/local/scripts/terminalusers
Admin do openportu:
| admin | 1:pfe3tbq3uPPA | ||
Lokální síťe
Lokalni sit je rozsahla pres nekolik budov celeho komplexu. Cela sit je postavena na switchich HP 2510(G) a par nejakych managovatelnych (starsich) 3COM switchich. Propoje mezi budovami je na optice (mini-gbic prip. prevodniky eth/fibre).
Pouziva se nekolik VLAN, vlan-id 1 pro firemni sit, vlan-id 44 pro WIAS, vlan-id 66 pro kamerove systemy, vlan-id 108 pro mgm serveru v nasi sprave, vlan-id 10 jako freenet pro hotely, vlan-id 22 pro pripojeni ADSL modemu coby zaloha internetu, vlan-id 67 pro mgm UNIFI zarizeni (tato vlana neni zakoncena na routeru, vede pouze do zarizeni a primo do virtualniho serveru s konzoli, viz nize).
Serverovna je v novem hotelu Tree of Life.
Lokalni síť 192.168.0.0/24, stanice nastavené na DHCP, Klientský rozsah 192.168.0.70-254
Reservations
192.168.0.100 PDAAM.LAZNE.local
192.168.0.234 telustr.
192.168.0.116 HP LJ 2100
192.168.0.39 TREEMAR.
Unifi
Unifi si spravuje Knap, maji jich aspon 25
v samostatne VLAN67 viz zakazka TF20
na serveru DSC je podle domluvy pridana sitovka ve VLAN67 a nainstalovan Unify Controller jako sluzba
https://dsc:8443/login
Admin
UFIna309
Stanice
O stanice se starají v zásadě sami
| Windows 2000 | cca 7 | ||
| Windows XP | cca 60 | ||
| Windows 7 | cca 5 | ||
| Poštovní klient | Outlook /outlook express (cca 20 stanic) | ||
| Antivir | |||
| Office | 2000-2007 | ||
| Web browser | IE 6+ | Mozilla | |
Všechny počítače jsou v doméně, login skripty a soubory se tahaly ze starého linuxového Samba serveru, bude se předělávat na jednotný logon skript z DSA
Instalační CD
Uživatelské účty, loginy k poště, VPN atp
![[přepni]](javascript:icntoggle('mod-Application_Menuleft1','module.png'); "[přepni]"){kind=small}