Konfiguration Internetgateway

Gemeinsam ins Internet mit Firewall und Proxy.
Antworten
dura4cell
Beiträge: 13
Registriert: 01.10.2009 10:40:38

Konfiguration Internetgateway

Beitrag von dura4cell » 20.10.2011 12:04:00

Hallo Allerseits,

ich bitte im voraus um Entschuldigung für Schreibfehler und kleine Ungnauigkeiten - bin gerade im Stress und hab kein Zugriff auf den entsprechenden Rechner :-(

Das Ziel ist ein Router (Rechner), der
- mit der externen Netzwerkkarte an DSL hängt
- mit der internen Netzwerkkarte DHCP bereitstellt
- DNS vom Provider ans LAN weiterleitet
- keine Pakete von außen rein läßt
- alles vom LAN ins Internet raus lässt

Der Stand ist
- Debian Squeeze Grundinstallation
- PPPoE an der externen Netzwerkkarte funktioniert (über Paket pppoeconf an eth1)
- DHCP ist installiert (über Paket isc-dhcp-server, funktioniert aber nicht)

Im Internet gibt es unzählige Konfigurationsbeispiele, die aber leider nicht das wiederspiegeln was ich möchte, oder zu viel des Guten...
Na ja - ist auch oft die 5.0er Version. Teilweise habe ich dort Sachen übernommen, aber leider ging das bisher nirgends zu 100% :-(

Hier meine Fragen:

1. Konfiguration eth0 (LAN-Interface)
BISHER IN /etc/network/interfaces WURDE FOLGENDES AM ENDE ERGÄNZT

Code: Alles auswählen

iface eth0 inet static
address 192.168.4.1
netmask 255.255.255.0
In anderen Konfigurationen habe ich gesehen, dass oft noch andere Angaben hinzugefügt werden. Aber brauche ich die wirklich?
Bei mir soll eth0 nur Pakete entgegennehme und sie ins Internet weiterleiten.
Muss ich dann an dieser Stelle unbedingt ein Gateway, eine Broadcast-Adresse und Domains definieren?
Was für eine Minimalkonfiguration reicht an dieser Stelle aus?
Aus dem letzten Link (s.u.) deute ich Mal, dass hier noch mehr angegeben werden muss, obwohl das Interface doch nur Pakete empfängt und weiterleitet...
MUSS AUCH NOCH ERGÄNZT WERDEN
network 192.168.4.0
broadcast 192.68.4.255
>> PROBLEM WAR HIER; DAS "autoplugin" NICHT VOR DER IFACE-DEFINITION STAND

2. Konfiguration von DHCP
Hier habe ich den Adressbereich angegeben samt Interface auf welches der Dienst lauschen soll.
BISHER IN /etc/dhcp/dhcpd.conf FOLGENDES AM ENDE ERGÄNZT

Code: Alles auswählen

subnet 192.168.4.0 netmask 255.255.255.0 {
  range 192.168.4.2 192.168.4.254;
}
(SCHEINT WOHL WIRKLICH AUSZUREICHEN - von den 1. 55 Besuchern kam ja bisher nicht irgendein Feedback - vielleicht äußert sich ja jemand zu Punkt 4...)
IN /etc/dhcp/dhcpd.conf FOLGENDE ZEILE AKTIVIERT

Code: Alles auswählen

authoritative;
IN /etc/default/isc-dhcp-server FOLGENDES EINGETRAGEN

Code: Alles auswählen

INTERFACES="eth0"
Beim Ausführen von

Code: Alles auswählen

etc/init.d/isc-dhcp-server restart
/
kam beim 1. Versuch ein FAILED was das Stoppen anging, aber danach startete der Dienst. Ein an das Interface angeschlossener PC konnte die 192.168.4.1 anpingen und bekam eine IP zugewiesen.
Nachher hatte ich versucht die Weiterleitung zu aktivieren mit

Code: Alles auswählen

ip_forward=yes und ip4.forwarding = 1
Nachdem ich dann Debian neu startete funktionierte es nicht mehr. Der DHCP-Dienst gab ein FAILED fürs Starten aus.
Was muss ich denn minimal konfigurieren, damit der DHCP-Dienst erfolgreich läuft? Wie gesagt nur das Minimum ;-):-)
>> FUNKTIONIERT JETZT NACHDEM DER 1. PUNKT FUNKTIONIERT

3. Weiterleitung der Pakete vom LAN ins Internet
BISHER TESTWEISE IN /etc/network/options WURDE FOLGENDES AM ENDE ERGÄNZT

Code: Alles auswählen

ip_forward=yes
ERGÄNZT bzw. AKTIVIERT
(bin mir hier nicht ganz sicher, hab momentan leider keinen Zugriff auf den Rechner)
Hier habe ich die Weiterleitung für IP4 aktiviert (mit ...forwarding=1)
Was muss ich hier installieren bzw. konfigurieren, damit das funktioniert?
>> WIRD WOHL FUNKTIONIEREN (siehe Link kabelverhau.ch, wenn noch ergänzungen bei 2 vorgenommen werden...)

4. DNS-Weiterleitung vom Provider ins LAN
Hier habe ich noch nichts installiert bzw. konfiguriert. Hat da jemand einen Tipp für mich?
Oder reicht es womöglich aus, an einer Stelle in einer Konfigurationsdatei eine Option zu aktivieren?
Gibt es ein Paket, welches installiert werden muss/kann? VIELLEICHT OHNE BIND ZU INSTALLIEREN...
Wenn ich bind9 installiere, geht es auch ohne einen Schlüssel zu erzeugen?
>> WIRD WOHL AUCH OHNE VERSCHLÜSSELUNG FUNKTIONIEREN (siehe Link kabelverhau.ch, wenn noch ergänzungen bei 2 vorgenommen werden...)

5. Firewall
Wahrscheinlich muss ich iptables nutzen.
Oder werden automatisch alle Pakete von innen nach außen weitergeleitet und von außen nach innen geblockt?
Hier hab ich jetzt unter /etc/network/if-up.d eine Datei namens my-iptables angelegt und mit chmod die Attribute auf 755 gesetzt.
Als Regeln hab ich nur

Code: Alles auswählen

"echo 1 >/proc/sys/net/ipv4/ip_forward".
"iptables -t nat -A POSTROUTING -s 192.168.0.0/24 -d 0/0 -o ppp0 -j MASQUERADE"
hinzugefügt. Aber beim

Code: Alles auswählen

ifdown eth0 und ifup eth0 kommt die Meldung
Exec format error
Das hat Mal funktioniert. Was ist hier nicht richtig?
Vielleicht hat ja der 77 Leser Mal eine Antwort...

WÄRE AUCH SUPER, WENN FEEDBACK ZU EINZELNEN PUNKTEN KÄME ;-):-)
Vielleicht von oben angefangen, dann kann man Stück für Stück die Installation fertigstellen.
Sonst bin ich auch dankbar für Tipps zu den einzelnen Punkten!

Bisher habe ich folgende Links im Internet gefunden, die aber nicht 100% passten:
http://emanuelduss.ch/2011/08/ein-dhcp- ... inrichten/
http://linuxwiki.de/NetzwerkKonfiguration
http://saarbruecken.co.uk/index.php?page=99 (sehr gut, aber zu viel des guten)
http://layer9.wordpress.com/tag/netzwerk-appliance/ (Brauche ich wirklich bind? Was ist, wenn ich Squid gar nicht nutzen will?!)
http://www.wer-weiss-was.de/Anfragen/ww ... arten.html (beantwortet wohl die Fragen zu 2)
http://www.kabelverhau.ch/elwms/de_dienste.php (man muss wohl doch keinen schlüssel erzeugen, wenn man BIND zusammen mit DHCP nutzt)

Vielleicht toppe ich noch den Bind9-Eintrag von feldmaus mit seinen 78 zugriffen und 0 Antworten...

Gruß dura4cell
Zuletzt geändert von dura4cell am 01.12.2011 16:54:14, insgesamt 1-mal geändert.

wilfried
Beiträge: 153
Registriert: 04.12.2009 12:32:16

Re: Konfiguration Internetgateway

Beitrag von wilfried » 23.10.2011 08:37:11

Hallo,
ich weiss nicht ob ich dir tatsächlich helfen kann,
aber ich würde erstmal versuchen, herauszufinden, warum der dhcp-server nicht startet.
event. liegt es daran, das die eth0 nicht automatisch aktiviert ist,
ergänze mal deine /etc/network/interfaces mit dem Eintrag:
auto eth0
iface eth0 inet static
address 192.168.4.1
netmask 255.255.255.0

was sagen denn deine logs?
Debian testing (wheezy)
Kernel Linux 3.2.0-3-686-pae
Mainboard: Fujitsu D3041-A1
CPU: Intel Pentium Dual-Core E5800 @ 3.20GHz, 4 GB RAM
Grafik: ATI RV710 [Radeon HD 4350]
eth0: RTL8111/8168B PCI Express Gigabit Ethernet

Cae
Beiträge: 6349
Registriert: 17.07.2011 23:36:39
Wohnort: 2130706433

Re: Konfiguration Internetgateway

Beitrag von Cae » 23.10.2011 11:31:56

Code: Alles auswählen

# ifconfig -a
# ifconfig
# route
# iptables-save
dura4cell hat geschrieben:Vielleicht toppe ich noch den Bind9-Eintrag von feldmaus mit seinen 78 zugriffen und 0 Antworten...
Mission accomplished.
Wenn du schon keine Zeit für dein Problem hast und hier einen unformatierten und u.a. WEGEN STÖRENDER UND WENIG SINNHALTIGER GROßSCHREIBUNG schwer zu lesenden Post absetzt, brauchst du dich nicht wirklich zu wundern. Es hat drei Tage bis zur ersten Antwort gedauert, da hättest du fünf Minuten in die Formatierung stecken können, auch wenn du in Eile bist. Wir machen das hier freiwillig.

Für's nächste Mal: Code-Boxen. Ganze Konfigs posten, wenn es mehr wird, nach NoPaste. Es ist wenig zielführend, wenn du einen richtigen Eintrag ergänzt, aber in der Zeile davor noch Müll steht.

Ich hab jetzt keinen Bock, aus dem ganzen Buchstabensalat zu quoten, also schau einfach, wo die Antwort hinpasst.
DNS und DHCP haben zunächst nichts miteinander zu tun. Allerdings kannst du bei einem lokalen DNS-Server automatisch einen neuen Eintrag hinzufügen lassen, wenn der DHCP-Server einen neuen Client eingefangen hat. Folglich ist jener neue Client nun per <hostname>.domain ansprechbar. Dafür muss sich der DHCP-Server am DNS-Server authentifizieren. Dies geht über jenen Schlüssel bzw. ein Zertifikat. Eine gesonderte Verschlüsselung findet nicht statt.
restart heißt stop und danach start. Wenn der Dienst nicht läuft, lässt er sich nicht stoppen => wenig bedenkenswert.
Wozu brauchst du einen DNS-Server (bind)? Die ganzen Clients können über DHCP irgendeinen externen DNS-Server bekommen. Falls es dennoch nötig wird, wäre vllt. der Debiandnscache interessant.
dura4cell hat geschrieben:"iptables -t nat -A POSTROUTING -s 192.168.0.0/24 -d 0/0 -o ppp0 -j MASQUERADE"
Dies ist Müll. Dein Netz ist 192.168.4.0/24.

Gruß Cae
If universal surveillance were the answer, lots of us would have moved to the former East Germany. If surveillance cameras were the answer, camera-happy London, with something like 500,000 of them at a cost of $700 million, would be the safest city on the planet.

—Bruce Schneier

dura4cell
Beiträge: 13
Registriert: 01.10.2009 10:40:38

Re: Konfiguration Internetgateway

Beitrag von dura4cell » 23.10.2011 23:13:21

Allen vielen Dank für die Hilfe!!!!!!!!!!!!!!

Sorry, war und bin nach wie vor voll im Stress. Ich update den Beitrag sobald wie möglich richtig!

Antworten