SuSE Linux: Version 8.0
Sie haben einen Rechner mit ISDN Anschluss, z.B.T-ISDN von T-Online oder Arcor-ISDN Flatrate. Diesen möchten Sie als Internet Gateway für Ihr lokales Netzwerk verwenden.
Da solch komplexe Themen nicht durch den Installationsupport abgedeckt sind, soll diese kurze Anleitung Ihnen beim Aufbau eines solchen Gateways behilflich sein.
Bitte beachten sie, dass dieser Artikel nicht die Grundlagen über Firewalling und Systemsicherheit vermitteln kann.
Literatur zu diesen finden Sie z.B. in unserem Verlag "SuSE Press" im Internet
http://www.susepress.de/.
Wir können keine Gewährleistung für Schäden übernehmen, die aufgrund des Gebrauchs eines Gateways an Ihren Daten oder lokalem Netzwerk entstehen.
Hier eine Schritt für Schritt Anleitung inklusive einiger Tests der Konfiguration.
Anmerkung:
Im folgenden wird der Rechner, der als Gateway funktionieren soll Gateway genannt, die Rechner in Ihrem internen LAN Clients.
Im Gateway brauchen Sie eine Netzwerkkarte und eine ISDN Karte. Diese richten Sie bitte mit dem YaST2 ein. YaST2 -> Netzwerk Basis -> ISDN Konfiguration beziehungsweise YaST2 -> Netzwerk Basis -> Konfiguration der Netzwerkkarte. Zuerst richten Sie die Netzwerkkarte für das interne LAN ein. Vergeben Sie eine statische IP Adresse.
IP Adresse: 192.168.0.1 Subnetzmaske: 255.255.255.0
Am Rechnernamen und am Routing brauchen Sie nichts zu verändern. Speichern Sie die Konfiguration ab.
Anmerkung:
Wenn Sie ein bestehendes internes Netzwerk haben, muß die IP Adresse eine Adresse aus Ihrem bestehendem internen Netzwerk sein.
Eine gute Wahl für Ihr internes Netzwerk sind die Adressen aus dem 192.168er Bereich. In unserem Beispiel hat das interne Netzwerk
IP Adressen aus dem Bereich 192.168.0.0 bis 192.168.0.255.
Pingen Sie die soeben eingerichtet Netzwerkkarte mit dem Befehl ping -c 2 192.168.0.1. Sie sollten ungefähr folgende Ausgabe bekommen:
PING 192.168.0.1 (192.168.0.1) from 192.168.0.1 : 56(84) bytes of data. 64 bytes from 192.168.0.1: icmp_seq=1 ttl=255 time=0.655 ms 64 bytes from 192.168.0.1: icmp_seq=2 ttl=255 time=0.329 ms --- 192.168.0.1 ping statistics --- 2 packets transmitted, 2 received, 0% loss, time 1008ms rtt min/avg/max/mdev = 0.329/0.492/0.655/0.163 ms
Sollten Sie diese Ausgabe nicht erhalten, hat etwas bei der Konfiguration der Netzwerkkarte nicht geklappt und Sie sollten diese noch einmal
vornehmen. Sie können übrigens den Befehl ping jederzeit mit der Tastenkombination STRG + C abbrechen.
Ist der Test der Netzwerkkarte erfolgreich gewesen, sollten Sie testen, ob Sie vom Gateway
die Clients erreichen können. Dies können Sie wiederum mit dem Befehl ping tun. Auf den Befehl
ping -c 3 -b 192.168.0.255 sollten Sie von einigen Clients eine Antwort erhalten. Die Ausgabe dieses Befehls
sollte ungefähr so aussehen wie unten stehendes Beispiel.
WARNING: pinging broadcast address PING 192.168.0.255 (192.168.0.255) from 192.168.0.1 : 56(84) bytes of data. 64 bytes from 192.168.0.1: icmp_seq=1 ttl=255 time=0.774 ms 64 bytes from 192.168.0.2: icmp_seq=1 ttl=64 time=1.19 ms (DUP!) 64 bytes from 192.168.0.3: icmp_seq=1 ttl=255 time=1.30 ms (DUP!) 64 bytes from 192.168.0.4: icmp_seq=1 ttl=64 time=1.57 ms (DUP!) --- 192.168.0.255 ping statistics --- 2 packets transmitted, 2 received, +3 duplicates, 0% loss, time 1010ms rtt min/avg/max/mdev = 0.325/1.033/1.573/0.438 ms
Wie Sie hier sehen, antworten die Rechner mit den IP Adressen 192.168.0.1 (Gateway) und 192.168.0.2 bis 192.168.0.4 (Clients). Wenn Sie die IP Adresse eines Clients kennen, können Sie diese auch direkt pingen, um die Verbindung zu testen.
Es ist essentiell, dass Sie vom Gateway aus die Clients erreichen können und anders herum. Sollte diese Verbindung nicht funktionieren, brauchen Sie gar nicht erst weiter zu machen. Beheben Sie zuerst die Probleme im internen LAN und kümmern Sich dann um die Verbindung des LANs mit dem Internet.
Richten Sie auf dem Gateway Ihren ISDN Zugang gemäß dem Basis Handbuch, Seite 99 ein. Die Firewall aktivieren Sie bitte nicht. Wenn Sie Dial on Demand aktivieren, stellt der Gateway eine Verbindung ins Internet her, sobald eine Anfrage ins Internet, vom Gateway oder von einem Client aus, gestellt wird. Beachten Sie bitte, dass dies nur sinnvoll ist, wenn Sie eine Flatrate haben.
Testen Sie die Verbindung ins Internet vom Gateway. Mit dem Befehl cinternet können
Sie die Verbindung manuell aufbauen (cinternet -start) und abbauen (cinternet -stop). Bauen Sie die Verbindung
auf, warten 30 Sekunden und testen dann wieder mit dem Befehl ping die Verbindung. Pingen Sie zum Beipiel unseren Webserver
www.suse.de mit ping -c 4 www.suse.de. Die Ausgabe sollte ungefähr wie folgt aussehen.
ping -c 4 www.suse.de PING www.suse.de (213.95.15.200) from 217.225.119.194 : 56(84) bytes of data. 64 bytes from Turing.suse.de (213.95.15.200): icmp_seq=1 ttl=251 time=23.9 ms 64 bytes from Turing.suse.de (213.95.15.200): icmp_seq=2 ttl=251 time=23.7 ms 64 bytes from Turing.suse.de (213.95.15.200): icmp_seq=3 ttl=251 time=24.0 ms 64 bytes from Turing.suse.de (213.95.15.200): icmp_seq=4 ttl=251 time=24.0 ms --- www.suse.de ping statistics --- 4 packets transmitted, 4 received, 0% loss, time 3030ms rtt min/avg/max/mdev = 23.775/23.941/24.035/0.184 ms
Es ist genauso essentiell, dass diese Verbindung funktioniert, wie dass die Verbindung zu den Clients funktioniert. Sollte diese Verbindung nicht funktionieren, sollten Sie erstmal die Probleme bei der Internet-Verbindung lösen und sich dann um die Verbindung des LANs mit dem Internet kümmern.
Nun müssen Sie den Gateway darauf vorbereiten, Anfragen vom internen LAN ins Internet weiterzuleiten. Die einfachste Lösung ist die SuSE personal-firewall. Dies ist ein einfacher, iptables-basierter Paketfilter, der alle unerlaubte Pakete aus dem Internet abweist und dafür Sorge tragen kann, dass Anfragen aus dem internen LAN ins Internet weitergeleitet werden. Die SuSE personal-firewall hat eine Konfigurationsdatei
/etc/sysconfig/personal-firewall
mit einer Konfigurationsvariable REJECT_ALL_INCOMING_CONNECTIONS. Editieren sie diese Datei und nehmen bitte folgende Einstellung vor.
REJECT_ALL_INCOMING_CONNECTIONS="ippp0 masq"
Zusätzlich müssen Sie noch dem Kernel mitteilen, dass Sie gerne Pakete weiterleiten möchten. Dies tun Sie in der Datei
/etc/sysconfig/sysctl
Editieren Sie diese Datei und ändern die Variable IP_FORWARD in
IP_FORWARD="yes"
Als letztes müssen Sie noch dafür sorgen, dass die SuSE personal-firewall beim Booten Ihres Gateways gestartet wird. Dies tun Sie mit den Befehlen:
insserv personal-firewall.initial
insserv personal-firewall.final
Damit diese Einstellungen ohne einen Reboot übernommen werden, führen Sie bitte folgende Befehle aus:
echo "1" > /proc/sys/net/ipv4/ip_forward rcpersonal-firewall start
Starten Sie noch einmal die Verbindung in das Internet mit dem Befehl cinternet -start und prüfen Sie mit dem Befehl
ping, wie im letzen Test-Abschnitt beschrieben, die Internet Verbindung.
Im letzten Schritt müssen Sie den Clients mitteilen, dass ab sofort der Gateway eine Internet Verbindung zur Verfügung stellt. Dies tun Sie auf einem SuSE Linux 8.0 Client, indem Sie in YaST2 -> Netzwerk/Erweitert -> Routing die IP Adresse des Gateway als Standard Gateway angeben. In diesem Fall wäre das
Standardgateway: 192.168.0.1
Zusätzlich müssen die Clients noch wissen, wie sie einen Nameserver erreichen können, um Domainnamen in IP Adressen auflösen zu können. Hierzu lesen Sie aus der Datei
/etc/resolv.conf
auf dem Gateway bei bestehender Internetverbindung die Nameserver aus. In diesem Beispiel ist es ein Nameserver von T-Online. Tragen Sie diesen auf den Clients ein. Auf einem SuSE Linux 8.0 Client können Sie hierzu YaST2 -> Netzwerk/Erweitert -> Hostname und DNS verwenden. Den Host und Domainnamen lassen Sie so, wie er ist.
Liste der Nameserver: 217.89.23.137
Domain-Suchliste: .de
Nachdem Sie auf Ihren Clients den Standardgateway und den Nameserver gesetzt haben, testen Sie mit dem Befehl ping die Verbindung
ins Internet, wie im letzten Test-Abschnitt beschrieben.
Sind alle diese Tests erfolgreich verlaufen, steht ab sofort den Clients die Internet Verbindung des Gateways zur Verfügung.