Der bereits erwähnte Debian Router soll nun um einen DHCP Server erweitert werden. Der DNS Server wurde bereits im ersten Teil der Debian Router Installation installiert. Er muss nun noch konfiguriert werden.

Dabei sollen 2 Subnetze angelegt werden, ein sicheres (192.168.0.0) sowie ein Subnetz für Gäste (192.168.1.0)

Die Konfiguration des DHCP und DNS Servers erfolgt am einfachsten mit Webmin. Leider ist das Standard Webmin DNS Modul dafür nur bedingt geeignet. Man sollte sich das Bind9 Webmin Modul herrunterladen und installieren. (http://sourceforge.net/projects/b9ddns)

Nun kann man unter Webmin im Menü “Server” den DNS Server unter “BIND 9 dynamic DNS Server” den DNS Server konfigurieren:

Zuerst müssen drei neue “Master Zones” angelegt werden:

Zone type:                      Forward
Domain name / IP subnet:        network.lan
Master server:                  ROUTER.
Email address:                  root@localhost

Zone type:                      Reverse
Domain name / IP subnet:        192.168.0
Master server:                  ROUTER.
Email address:                  root@localhost

Zone type:                      Reverse
Domain name / IP subnet:        192.168.1
Master server:                  ROUTER.
Email address:                  root@localhost

Nun muss man diese Zonen in dynamische Zonen umwandeln. Dies ist notwendig, damit der DHCP Server die Informationen des DNS Servers aktualisieren kann. Dazu wird unter “Access Controll List” eine neue “ACL” angelegt.

Name:                   dhcp
Matching addresses:     127.0.0.1
                        192.168.0.1
                        192.168.1.1

In jeder Zone kann man nun unter “Edit Zone Options” dhcp in das Feld “Allow updates from …” eintragen. Der Titel “Static Master Zone” sollte sich nun in “Dynamic Master Zone” geändert haben.

Nun kann man die /etc/resolv.conf Datei anpassen. Dort sollten aktuell die Nameserver des Providers eingetragen sein, diese können entfernt werden und durch diesen Eintrag ersetzt werden:

nameserver 127.0.0.1
search network.lan

Jetzt muss natürlich verhindert werden, das bei der nächsten ppp Einwahl wieder die Nameserver des Providers eingetragen werden. Dazu editiert man die Datei /etc/ppp/peers/dsl-provider und kommentiert den Eintrag “usepeerdns” aus.

Da der Router selbst natürlich seine IP Adressen nicht dynamisch vom DHCP Server bezieht (lokal), muss er manuell im DNS Server hinterlegt werden. Dazu bearbeitet man die “Master Zone” “network.lan”. Unter dem Menüpunkt “Address” kann man manuell einen “Address Record” hinzufügen:

Name:                   ROUTER
Address:                192.168.0.1
Create reverse record?: Yes or update existing  

Damit wäre der DNS Server soweit konfiguriert und man kann sich nun den DHCP Server vornehmen.

Installation:

aptitude install dhcp3-server

Die Konfiguration erfolgt nun wieder mit Hilfe von Webmin. Diese ist in Webmin unter “Servers – > DHCP Server” zu finden.

Wie bereits erwähnt, soll das Subnetz 192.168.0.0 als sicheres Subnetz dienen. Das heißt es sollen nur bekannte Clients und Server eine IP Adresse vom DHCP Server erhalten. Jeder dieser bekannten Clients und Server muss unter “Hosts” einzeln angelegt werden:

Hostname: TESTCLIENT
Hardware : XX:XX:XX:XX:XX:XX

Als nächstes müssen die entsprechenden Subnetze angelegt werden:

Network address:                              192.168.0.0
Netmask:                                      255.255.255.0
Address ranges:                               192.168.0.100 - 192.168.0.200
Dynamic DNS enabled?:                         Yes
Dynamic DNS reverse domain:                   0.168.192.in-addr.arpa
Dynamic DNS domain name:                      network.lan
Server is authoritative for this subnet?:     Yes
Allow unknown clients?:                       Ignore
Hosts directly in this subnet:                TESTCLIENT

Network address:                              192.168.1.0
Netmask:                                      255.255.255.0
Address ranges:                               192.168.1.100 - 192.168.1.200
Dynamic DNS enabled?:                         Yes
Dynamic DNS reverse domain:                   1.168.192.in-addr.arpa
Dynamic DNS domain name:                      network.lan
Server is authoritative for this subnet?:     Yes
Allow unknown clients?:                       Allow

Außerdem muss man die globalen Clienteinstellungen unter “Edit Client Options” anpassen:

Domain name: network.lan
DNS servers: 192.168.0.1 192.168.1.1
Dynamic DNS enabled? Yes
Dynamic DNS update style: Interim
Allow unknown clients?: Ignore

Zum Schluß müssen noch die entsprechenden dynamischen Zonen, welche im DNS Server angelegt wurden, im DHCP Server eingetragen werden. Dies geschieht über “Add a new DNS zone”:

Name of zone:           network.lan
IP of primary NS:       127.0.0.1

Name of zone:           0.168.192.in-addr.arpa
IP of primary NS:       127.0.0.1

Name of zone:           1.168.192.in-addr.arpa
IP of primary NS:       127.0.0.1

Unter “Configfile” kann man sich nun die entsprechend erzeugten Einträge ansehen. Hier muss man die “zone” Einträge suchen und die “key ;” Zeilen auskommentieren. Auf diese Einträge werden wir später noch eingehen.

Jetzt fehlen nur noch die entsprechenden Rechte und man kann DNS und DHCP Server mit der neuen Konfiguration starten:

chmod g+w /etc/bind
/etc/init.d/bind9 restart
/etc/init.d/dhcp3-server restart

Mit “dhclient eth0″ kann man nun auf dem Testclient eine IP-Adresse vom DHCP Server anfordern. Diese sollte man auch im Webmin unter “DHCP Leases” einsehen können. Zusätzlich sollte im DNS Server auch in jeder der drei angelegten Zonen unter “Address” ein Eintrag mit dem Namen und der Adresse des Testclients angelegt worden sein.

Nun wollen wir auf die “key” Einträge zurückkommen. Diese dienen dazu die Verbindung zwischen DNS und DHCP Server weiter abzusichern. Im Syslog findet man aktuell noch Einträge dieser Art:

named[30576]: zone 'network.lan' allows updates by IP address, which is insecure
named[30576]: zone '0.168.192.in-addr.arpa' allows updates by IP address, which is insecure
named[30576]: zone '1.168.192.in-addr.arpa' allows updates by IP address, which is insecure

Dies liegt daran, dass die Authentifizierung anhand einer ACL, welche beim DNS Server eingerichtet wurde funktioniert. (siehe Beginn des Artikels) Diese Methode ist einfacher, und ist für die ersten Funktionstests ausreichend. Nun soll sie durch eine RNDC-Key Authentifizierung ersetzt werden. Der dafür notwendige Schlüssel wurde bereits bei der “bind9″ installation automatisch erzeugt und in der Datei /etc/bind/rndc.key gespeichert. Zuerst muss dieser Key nun kopiert werden:

cp /etc/bind/rndc.key /etc/rndc.conf

Danach wird die Datei /etc/rndc.conf bearbeitet, sodass sie folgendes Aussehen hat:

key "rndc-key" {
    algorithm hmac-md5;
    secret "HERE_IS_YOUR_OWN_KEY";
};
options {
    default-server localhost;
    default-key "rndc-key";
};

Nun muss dieser Schlüssel in die Datei /etc/bind/named.conf eingebunden werden. Dazu muss zuerst der entsprechende ACL-Eintrag

acl dhcp {
    127.0.0.1;
    192.168.0.1;
    192.168.1.1;
};

entfernt werden und durch den Schlüsseleintrag ersetzt werden.

include "/etc/bind/rndc.key";
controls {
    inet 127.0.0.1 allow {localhost;} keys {rndc-key;};
};

Danach muss bei jeder Zone im DNS Server der Eintrag

allow-update { dhcp; };

durch diesen ersetzt werden

allow-update { key "rndc-key"; };

Nun kann man auch den DHCP Server auf die neue authentifizierung anpassen indem man folgende Zeile in der Datei /etc/dhcp3/dhcpd.conf hinzufügt:

include "/etc/bind/rndc.key";

Die vorher auskommentierten “key ;” Einträge werden nun durch

key rndc-key ;

ersetzt.

Zum Schluss muss man nur noch DHCP und DNS Server neu starten

/etc/init.d/bind9 restart
/etc/init.d/dhcp3-server restart

Links:

http://www.linux-home-server.de
http://wiki.slashconcept.com/index.php/BIND_9_DNS_Server_unter_Debian_GNU_Linux_4.0_Etch_Howto_(LAN)
http://linuxwiki.de/debian-dhcp
http://www.howtoforge.com/dhcp_server_linux_debian_sarge
http://www.schoki.org/ddns/ddns.html

In diesem Beispiel ist das DSL-Modem an eth0 angeschlossen. An eth1 und eth2 befindet sich das interne Netzwerk.

Zuerst benötigt man die zur DSL Verbindung notwendigen Pakete sowie den DNS Server bind9:

aptitude install bind9 ppp pppoe 

Als nächstes müssen die DSL Zugangsdaten in die Datei “/etc/ppp/pap-secrets” eingetragen werden. Im Falle von T-Online sieht dies ca. so aus:

"11111111111111111111111100001@t-online-com.de" * "DSL_PASSWORD"

Die Nummer setzt sich zusammen aus “T-Online-Nummer” “Anschlusskennung” “00001″ jeweils ohne Leerzeichen hintereinander geschrieben. Bei einem anderen Provider müssen die Zugangsdaten entsprechend angepasst werden.

Der Benutzer muss nun auch in die Datei “/etc/ppp/peers/dsl-provider” eingetragen werden:

user "11111111111111111111111100001@t-online-com.de"

Anschließend muss noch der Eintrag:

net.ipv4.ip_forward = 1

in der Datei “/etc/sysctl.conf” eingefügt bzw. auskommentiert werden. Damit wird die Weiterleitung von IP Paketen ermöglicht.

Mit dem Befehl

sysctl -p

werden die Einstellungen übernommen.

Für die automatische Einwahl, wird die ppp Verbindung zur Netzwerkinterfacekonfiguration “/etc/network/interfaces” hinzugefügt:

# DSL Network Interface
auto t-online
iface t-online inet ppp
provider dsl-provider

Zusätzlich sind in dieser Datei noch die beiden folgenden Einträge erforderlich:

pre-up iptables-restore < /etc/iptables.up.rules
pre-down iptables-save > /etc/iptables.up.rules

Diese sorgen dafür das die IPTables gespeichert werden und beim Wiederherstellen der Netzwerkverbindungen neu geladen werden.

Nun kann man einige Basic IP-Tables einspielen. Die folgenden Befehle legen diese an und stellen damit die Grundlegende Routerfunktionalität bereit.
Desweiteren stellen sie bereits eine einfache Firewall dar. Diese sollte natürlich noch erweitert werden.

# Eingangseinstellungen
iptables -A INPUT -p ALL -i lo0 -j ACCEPT
iptables -A INPUT -p ALL -i eth0 -j ACCEPT
iptables -A INPUT -p ALL -i eth1 -j ACCEPT
iptables -A INPUT -p ALL -i eth2 -j ACCEPT
iptables -A INPUT -p ALL -i ppp0 -m state --state ESTABLISHED,RELATED -j ACCEPT

# Ausgangseinstellungen
iptables -A OUTPUT -m state -p icmp --state INVALID -j DROP
iptables -A OUTPUT -p ALL -o lo -j ACCEPT
iptables -A OUTPUT -p ALL -o eth0 -j ACCEPT
iptables -A OUTPUT -p ALL -o eth1 -j ACCEPT
iptables -A OUTPUT -p ALL -o eth2 -j ACCEPT
iptables -A OUTPUT -p ALL -o ppp0 -j ACCEPT

# Routing
iptables -t nat -A POSTROUTING -o ppp0 -j MASQUERADE

# Standardverhalten
iptables -P INPUT DROP
iptables -P OUTPUT DROP
iptables -P FORWARD ACCEPT

Als nächstes kann man nun eine DSL-Verbindung aufbauen:

pppd call dsl-provider

Bei einem Neustart des System oder durch das Neustarten des Linux Networkings “/etc/init.d/networking restart” passiert dies automatisch.

Nun sollte eine ppp0 Verbindung hergestellt worden sein (“ifconfig”) und die Routerkonfiguration ist damit abgeschlossen.

Die Hardware besteht aus einem Jetway 1,2 GHz passiv gekühlten Epia Mainboard, 2 SATA 160GB Festplatten, 1GB Arbeitsspeicher sowie einer 3x Gigabit Extension von Jetway.

Die Festplatten sind in einem Linux Softwareraid konfiguriert.

Außerdem kommt eine ISDN Karte zum Einsatz um als Fax-Funktionen zu ermöglichen, sowie um eine alternative Einwahlmöglichkeit bereitzustellen.

Das ganze wurde in einem 2HE Gehäuse von visual-data verpackt.

Auf die Konfiguration der einzelnen Softwareteile werde ich in folgenden Artikeln näher eingehen.

[Show as slideshow]