DSL Router auf Debian Basis

frank60 · 13.05.2006

Gandalf_the_Grey schrieb:
ich bin mit den Gefahren im Intra- und Internet sehr wohl vertraut, ich kann das Risiko das ein solches vorgehen mit sich bringt sehr wohl abschätzen und brauche DAFÜR keine Hilfe.

Scheinbar doch nicht.

Gandalf_the_Grey schrieb:
Also würde ich mich freuen wenn alle die nichts zur Lösung des Problems beizutragen haben, sondern sich über die Philosophie (Router / Server bzw. welches Linux ist die bessere Distri für einen Server usw.) unterhalten möchten, dies im Smaltalk oder einem anderen Bereich des Forums tun.

Nein, das ist hier genau richtig, denn dieser Thread wird vielleicht auch mal von einem Anfänger ohne nähere Kenntnisse gelesen. Da sollte man schon auf solche Probleme hinweisen. Dies ist immer noch ein öffentliches Forum zur Meinungsäußerung. Also mußt Du auch mit Kommentaren leben, die Dir nicht so recht sind.

Gandalf_the_Grey schrieb:
Lieber Frank und @alleanderenschlaumeier

Und ein Grund zu Beleidigungen ist es erst recht nicht.

Im Übrigen kann IP Forwarding zwar zwischen Subnetzen routen, aber kein NAT.
Außerdem, wozu definierst Du in bind Zonen, wenn Du sie nicht nutzt? (forward only

???

RavensMetaller · 13.05.2006

Hi,

Leute, bitte bleibt beim Thema.

Gruß
Sven

KerstenG · 14.05.2006

Hallo,

einen noch daneben! ich hät' keinen Router sondern einen Proxy gemacht.

So fangen wir bei deinem DNS an!

funktioniert die lokale DNS-Auflösung?

Also am Server selbst? - ich denke nein!

Sie sollte als erstes funktionieren dann bei den Clientsß
bekommen die Client per DHCP die notwendigen Info's?
DNS-Server z.B. richtiges Gate?

die etc/resolv.conf könnte so ausssehen

#
nameserver 192.168.1.250
nameserver 194.25.2.129
#
die Such Anweisung kann weg

Gandalf_the_Grey · 14.05.2006

Hallo zusammen,

sorry das die versprochenen Infos nicht gekommen sind. Ich liege derzeit etwas flach wegen Erkältung und versuche die Infos morgen oder so nachzuliefern.

Gandalf_the_Grey · 15.05.2006

frank60 schrieb:
Im Übrigen kann IP Forwarding zwar zwischen Subnetzen routen, aber kein NAT.

NAT ist auch erstmal gar nicht gefordert. Ich möchte das die Anfragen aus dem Intranet ins Internet weitergeleitet werden. Also von einem Interface zum anderen. Dazu benötige ich IMHO IP Forwarding

frank60 schrieb:
Außerdem, wozu definierst Du in bind Zonen, wenn Du sie nicht nutzt? (forward only ???

Die Option forward only ist notwendig, sonst werden unbekannte Adressen überhaupt nicht aufgelöst.

Quelle: http://www.pro-linux.de/t_netzwerk/print/dns.html

Reicht das als Begründung wofür ich foward only benötige?!?!

KerstenG schrieb:
Hallo,

einen noch daneben! ich hät' keinen Router sondern einen Proxy gemacht.

Proxy und Firewall ist die nächste Stufe. Dann geht das Ding auch in den aktiven Betrieb über.

KerstenG schrieb:
So fangen wir bei deinem DNS an!

funktioniert die lokale DNS-Auflösung?

Also am Server selbst? - ich denke nein!

Ja, sonst würde ja kein Ping auf DNS Namen funktionieren bzw. kein Zugriff via DNS Namen auf die APT Server. Also DNS am Server selbst läuft.

KerstenG schrieb:
Sie sollte als erstes funktionieren dann bei den Clientsß
bekommen die Client per DHCP die notwendigen Info's?
DNS-Server z.B. richtiges Gate?

Wie ich weiter oben schon beschrieben habe kriegen die Clients die richtigen Optionen mitgeteilt.

Sie haben sowohl als DHCP, DNS und default Gateway die IP Adresse 192.168.1.250 mitgeteilt bekommen. Also genau das was ich in der Serverkonfiguration eingestellt habe. Nur irgendwie scheint das routing zu klemmen.

KerstenG schrieb:
die etc/resolv.conf könnte so ausssehen

#
nameserver 192.168.1.250
nameserver 194.25.2.129
#
die Such Anweisung kann weg

Wieso sollte Sie so aussehen? Die Nameserver stelle ich via BIND ein. Sobald der lokale Nameserver im eigenen Netz nicht auflösen kann, holt er sich von aussen Unterstützung bei der Namensauflösung.

Ich habe das wie in den ganzen Tutorials beschrieben eben über die BIND Konfiguration abgedeckt und nicht via /etc/resolv.conf.

P.S. Ich schaue weiterhin das ich die aktuellsten Konfig Files heute Abend uploaden kann und noch ein paar Worte zum aktuellsten Teststatus von mir verliere.

frank60 · 15.05.2006

Gandalf_the_Grey schrieb:
NAT ist auch erstmal gar nicht gefordert. Ich möchte das die Anfragen aus dem Intranet ins Internet weitergeleitet werden. Also von einem Interface zum anderen. Dazu benötige ich IMHO IP Forwarding

Ich denke mal, Dir fehlen erst einmal grundlegende Kenntnisse. NAT benötigst Du für einen Internet Router auf jeden Fall, wenn das LAN IP Adressen aus dem privaten Bereich hat.

Gandalf_the_Grey schrieb:
Die Option forward only ist notwendig, sonst werden unbekannte Adressen überhaupt nicht aufgelöst.

Quelle: http://www.pro-linux.de/t_netzwerk/print/dns.html

Zum Vergrößern anklicken....

Reicht das als Begründung wofür ich foward only benötige?!?!

Lies die offizielle bind Dokumentation, die besagt etwas anderes als Deine Interpretation. forward only bewirkt, daß alle Anfragen sofort an die Forwarder weitergeleitet werden. Somit werden Deine eigenen internen Zonen eben nicht ausgewertet. Im Übrigen habe ich noch keinen funktionierenden bind gesehen, bei dem forward only gesetzt war. Aber gut, wenn Du es besser weißt.

Gandalf_the_Grey schrieb:
Wieso sollte Sie so aussehen? Die Nameserver stelle ich via BIND ein. Sobald der lokale Nameserver im eigenen Netz nicht auflösen kann, holt er sich von aussen Unterstützung bei der Namensauflösung.

Oha, und wie löst der Server dann Namen auf, wenn der bind mal aus irgend einem Grund nicht läuft?

Gandalf_the_Grey · 15.05.2006

Also, ich wollte mir einen solchen Kommentar eigentlich sparen, und diesen Thread (weil Problemorientiert) nicht für Diskussionen missbrauchen. Leider hast du mich gerade auf dem falschen Fuß erwischt, und ich mich genötigt fühle dir zu antworten.

Was ist dein Problem frank60?

Das ich etwa nicht deinen Vorstellungen von Sicherheit folge und dir contra gegeben habe?

Ich habe eine klar Problemstellunge vorgegeben zu der ich Hilfe bräuchte.

Außer ein paar flüchtigen Seitenhieben habe ich von dir bisher nichts produktives gehört.

Ja ich bin BIND (DNS) und DHCP Newbie. Deswegen bin ich wohl auf diese Probleme gestoßen und habe um Hilfe zu einem Problem gebeten.

Ich habe sowohl einschlägige Howtos wie auch die offiziellen Doku's zu bind9 und dhcp3 gelesen.

Sonst wäre ich wohl kaum soweit wie ich jetzt bin.

Das NAT zu einem vollwertigen Router dazugehört ist mir ebenso klar wie die Tatsache das man Serverdienste von einem Router tunlichst getrennt halten sollte.

Aber du solltest die Tatsache akzeptieren können das es

a) Leute gibt mit anderen Sicherheitsvorstellungen / Prioritäten
b) Nicht jeder deine Meinung teilt
c) Leute gibt die nicht blöd oder unwissend sind weil Punkt a) und b) für Sie zutreffend sind.

Ich habe das Projekt so konzipiert und bin mir der Schwachstellen durchaus bewusst und nehme diese auch bewusst in kauf. Also wieso kannst du das nicht akzeptieren?

Das Argument das andere Anfänger ohne weitere Vorkentniss dies hier lesen könnten und es falsch machen könnten ist derart weit aus der Luft geholt das ich schon beim Gedanken daran lachen muss.

Ein absoluter Newbie wird wohl kaum dafür Interesse haben bzw. verstehen worum es hier geht.

Fakt ist und bleibt:

1) Projekte wie fli4l oder ipcop können mir gestohlen bleiben weil Sie für meine Zwecke nicht ausreichen. Für die Anwendergruppe auf die diese Projekte abzielen ist das ganze sicher mehr als genial. Für mich NICHT.

2) Ich möchte mich nicht, weil ich Hilfe gesucht habe hier für mein vorgehen rechtfertigen müssen. Wo kommen wir denn dann hin?

3) Ich habe nach wie vor die ungelösten Probleme und würde mich freuen wenn ich technische Hilfe zu den Problemen bekomme. (Also wie kriege ich Problem XY gelöst).

Der Ton macht die Musik, und genau wie du mich vorher auf meinen Ton aufmerksam gemacht hast, möchte ich dies bei dir tun.

Du musst nicht ausfallen werden.

Du hättest mir ruhig und sachlich erklären können das die Option forward only in dem Howto falsch beschrieben ist, und das die Bind Doku da was anderes hergibt.

So wie es Ravensmetaller z.B. bei der Option auth-nxdomain gemacht hat.

Amen. Ich hoffe wir können diesen ganzen Glaubenskrieg hier endgültig beerdigen und uns wieder problemorientiert unterhalten.

P.S. Wenn bind nicht läuft dann habe ich eh ein Problem. Dann juckt es mich auch nicht wenn die Namensauflösung am Server selbst nicht läuft.

Es handelt sich hier um einen Router für ZUHAUSE. Da hängt kein sicherheitskritisches Firmennetzwerk dran.

connyas · 15.05.2006

Damit sollte es nun genug an >> OFFTOPIC << sein, weitere Postings, die NICHT zur Problemstellung beitragen, werden gelöscht.
Besteht trotzdem noch weiterer Diskussionsbedarf, macht es bitte untereinander z.B. per KN aus

Hier:

3) Ich habe nach wie vor die ungelösten Probleme und würde mich freuen wenn ich technische Hilfe zu den Problemen bekomme. (Also wie kriege ich Problem XY gelöst).

gehts weiter.

KerstenG · 15.05.2006

Hallo,

Hilfestellungen wurden bereits gegeben! sollten auch umgesetzt werden!

Beschäftige dich nochmal mit den Optionen zu bind!

forward only zerlegt diese Option selbst dann solltest du drauf kommen was es bedeutet!

der Kopf könnte etwa so aussehen

# named.conf by Kersten Griebel

options {
Listen-on port 53 {
192.168.1.250;
};

directory /etc/named;
notify no;
forward first;
forwarders { 194.25.2.129};
};

und überdenke nochmal deine resolver Datenbank!
deine leere such - Anweisung kann raus

aber trage einen echte DNS-Server ein!

weil dein DNS-Server wenn er Fragen stellt halt auch bloß ein Client ist, und der fragt nun mal den Resolver!

Ja, sonst würde ja kein Ping auf DNS Namen funktionieren

Hmm, ein ping hat recht wenig mit DNS zu tuen!

Wie sieht das Ergebnis diesen Befehl's aus
dig www.google.de

und von einen Client!
nslookup www.google.de

und das vom Client

ipconfig/all

Gandalf_the_Grey · 17.05.2006

So, die Konfig Dateien sind endlich geupdatet.

DNS Auflösung vom Server aus funzt. dig google.de bringt eine korrekte Ausgabe.

3 Probleme die mir aber aufgefallen sind:

1) Der Server baut nicht automatisch eine Verbindung ins Internet auf (soll er aber später)
2) seitdem ich mit dem Tool pppoeconf gespielt habe wird jedesmal nach dem verbinden ins Inet die resolv.conf mit den aktuellen Nameservern des Anbieters versorgt (das soll er deffinitiv NICHT).
3) seitdem ich mit dem Tool pppoeconf gespielt habe muss ich jedesmal die default route auf ppp0 von Hand setzen. Sonst funktioniert keine Namensauflösung und gar nix.

So langsam verzweifel ich.

Ich hasse es wenn ich etwas versaubeutelt habe und nicht mehr weiß an welcher Schraube ich zuletzt gedreht habe. *grummel*

Hat jemand einen Tipp wie ich die 3 oben genannten Probleme erstmal in den Griff kriege?

Achso, vom Client aus geht nach wie vor nix. ipconfig /all bzw. ifconfig von den Clients spar ich mir. Die Ausgabe habe ich a) gerade nicht zur Hand und b) habe ich oben glaube ich oft genug gepostet was beim Client rauskommt wenn ich ipconfig /all eingebe.

KerstenG schrieb:
aber trage einen echte DNS-Server ein!

weil dein DNS-Server wenn er Fragen stellt halt auch bloß ein Client ist, und der fragt nun mal den Resolver!

Ich dachte dazu sei dieser Eintrag im DNS gut:

forwarders { 194.25.2.129};

KerstenG · 17.05.2006

Hallo,

1) wie ist das zuverstehen wenn eine Anfrage in's Netz kommt z.B. vom Browser eine Seite aufrufen, geht er dann nicht online?

2) Da dein PC gleichzeitig DHCP-Server und Client ist, ist das erstmal so!
Aber du kannst (so ist es bei RH-basierten) in der Konfigurationsdatei der entsprechenden Karte den Eintrag peerdns= no hinzufügen.

Dann sollte er deine resoler in Ruhe lassen.

3) wie sieht die veränderte Route aus?

Achso, vom Client aus geht nach wie vor nix. ipconfig /all bzw. ifconfig von den Clients spar ich mir. Die Ausgabe habe ich a) gerade nicht zur Hand und b) habe ich oben glaube ich oft genug gepostet was beim Client rauskommt wenn ich ipconfig /all eingebe.

Eben und deshalb wäre es nicht schlecht diese mal zu sehen!
Genn wenn es nicht funktioniert ist
A) dein DNS nicht richtig konfiguriert und/oder
B) dein DHCP fehlerhaft!

Gandalf_the_Grey · 30.05.2006

Sorry, hatte bisher keine Zeit das Projekt nochmal anzugehen bzw. mich nochmal ran zu setzen. Die Ausgabe von IPCONFIG /ALL folgt die kommenden Tage (vermutlich Donnerstag).

Ich hätte mal eine andere Frage, was ist von DNSMASQ als DNS und DHCP Server zu halten? Oder ist eventuell Tinydns besser?

Ich habe durch eine Unterhaltung mit einem bekannten den Tipp bekommen mich mal über diese beiden Alternativen schlau zu machen.

Er sagte Bind bzw. dhcp3 wären nicht nur Oversized sondern auch leider durch den alten Quellcode etwas unsicherer als z.B. Tinydns.

Außerdem sollte ich mir doch auch noch DNSMASQ anschauen da dies wirklich IDEAL für meine Zwecke wäre. (Erfüllt ja mittlerweile DNS UND DHCP bei Bedarf).

Leider habe ich keine Erfahrungswerte um die Systeme effektiv zu vergleichen und würde daher mal gerne eure Meinung einholen.

Was würdet ihr für solch ein Projekt favorisieren?

Bind9 & DHCP3
Tinydns & ?
DNSMASQ

oder eine andere Kombination (z.B. DNSMASQ & DHCP3)???

Gandalf_the_Grey · 01.06.2006

So, hier wie versprochen die Ausgabe von IPCONFIG /all.

Windows-IP-Konfiguration

Hostname. . . . . . . . . . . . . : dijon

Primäres DNS-Suffix . . . . . . . :

Knotentyp . . . . . . . . . . . . : Unbekannt

IP-Routing aktiviert. . . . . . . : Nein

WINS-Proxy aktiviert. . . . . . . : Nein

Ethernetadapter LAN-Verbindung:

Verbindungsspezifisches DNS-Suffix:

Beschreibung. . . . . . . . . . . : SiS 900-PCI-Fast Ethernet-Adapter

Physikalische Adresse . . . . . . : 00-40-33-E2-15-0D

DHCP aktiviert. . . . . . . . . . : Ja

Autokonfiguration aktiviert . . . : Ja

IP-Adresse. . . . . . . . . . . . : 192.168.1.81

Subnetzmaske. . . . . . . . . . . : 255.255.255.0

Standardgateway . . . . . . . . . : 192.168.1.250

DHCP-Server . . . . . . . . . . . : 192.168.1.250

DNS-Server. . . . . . . . . . . . : 192.168.1.250

Lease erhalten. . . . . . . . . . : Donnerstag, 1. Juni 2006 16:14:35

Lease läuft ab. . . . . . . . . . : Donnerstag, 1. Juni 2006 17:14:35

Irgendwie komme ich bei dem ganzen Kram nicht weiter. Müsste NMAP nicht eigentlich offene Ports für DNS und DHCP anzeigen? Tut es nämlich nicht.

Ich werd mich jetzt nochmal dran machen und das komplette System von Grund auf neu aufsetzen.

Vieleicht habe ich ja bei der Installation schon irgendwo etwas verbogen. Ich wüsste zwar nicht was, aber ich muss irgendwas tun...

Gandalf_the_Grey · 04.06.2006

So, da mir auch hier keiner von euch helfen konnte, und ich kurzfristig einen Software Router aufsetzen musste, habe ich mir IPCOP mal näher angeschaut.

Es ist zwar nicht 100% das was ich will, aber vorübergehend wird es seinen Zweck erfüllen.

Das ursprüngliche Projekt liegt also derzeit wieder auf Eis.

DSL Router auf Debian Basis

frank60

RavensMetaller

KerstenG

Gandalf_the_Grey

Gandalf_the_Grey

frank60

Gandalf_the_Grey

connyas

KerstenG

Gandalf_the_Grey

KerstenG

Gandalf_the_Grey

Gandalf_the_Grey

Gandalf_the_Grey

DSL Router auf Debian Basis

ANGEBOTE & SPONSOREN

Neueste Themen

Statistik des Forums