Am Mon, 2003-03-10 um 19.29 schrieb Guido Hennecke:
> Hallo Thilo,
>
> At 10.03.2003, Thilo Engelbracht wrote:
> > Hallo Liste!
> >
> > Bei meinem Heim-Netzwerk (ein Linux-Server mit Debian GNU/Linux 3.0 mit
> > Kernel 2.4.18, drei Windows-Clients) m�chte ich gerne dial-on-demand
> > einrichten. F�r die Internet-Verbindung nutze ich eine DSL-Verbindung.
> > Der Server soll beim Booten KEINE automatische Verbindung zum Internet
> > aufbauen. Erst bei einer entsprechenden Anfrage meiner Windows-Clients soll
> > die Verbindung aufgebaut werden. Nach ca. 20 Minuten "Leerlauf" soll die
> > Verbindung wieder getrennt werden.
> >
> > Meine Vorgehensweise:
> > 1.) Mit "pppoeconf" habe ich die DSL-Verbindung konfiguriert. Klappt ohne
> > Probleme. Die DNS-Eintr�ge werden von meinem Provider �bernommen
> > ("usepeerdns).
> > 2.) Unter "/etc/ppp/peers/dsl-provider" habe ich u.a. folgendes eingetragen:
> > demand
> > idle 1200
> > 3.) Mein Firewall-Skript wird bei Booten des Rechners ausgef�hrt.
> > 4.) Die Default-Route sowie das IP-Forwarding wird durch ein Skript gesetzt,
> > welches unter "/etc/ppp/ip-up.d" liegt.
> > 5.) Beim Trennen der Verbindung wird ein Skript ausgef�hrt, welches die
> > Default-Route l�scht sowie das IP-Forwarding deaktiviert. Dieses Skript
> > liegt unter "/etc/ppp/ip-down.d".
> >
> >
> > Trotzdem klappt mein dial-on-demand noch nicht........
>
> Wenn Du die default Route entfernst, woher soll der pppd denn ueberhaupt
> wissen, wann er eine Verbindung aufbauen soll? Es werden ja keine Pakete
> an dein PPP Interface geleitet.
Das ist das eine.
Ich denke aber, da� Du auch die /etc/ppp/ppp-on-boot nicht angelegt
hast. Du willst zwar die Verbindung nur bei Bedarf aufbauen, aber der
pppd mu� zu dem Zeitpunkt schon laufen - und es mu� eine Defaultroute
auf die Schnittstelle eingerichtet sein, sonst kann er ja die Verbindung
nicht aufbauen weil er das P�ckchen nicht bekommt.
Kann das sein, da� Du bisher ein Problem hattest vor dem Starten des
pppd eine defaultroute auf ppp0 zzu setzen? Das d�rfte daher kommen, da�
die ppp0 erst aktiviert wird, wenn der pppd l�uft.
Etwas anderes ist es im Firewall. Da kannst Du Schnittstellen angeben,
die zum Zeitpunkt des Eintragens in den Firewall noch nicht existieren,
oder auch sp�ter wieder entfernt werden ohne da� die Firewallregel
dadurch unbrauchbar w�rde.
> Und mit Windows Rechnern an einem DoD Router wuensche ich dir viel
> Spass. Mal sehen, ob Du all den unsinnigen Traffic filtern kannst.
Lass Dich nicht entmutigen. Es ist nicht so viel was man wirklich filtern sollte :
- ein kleiner lokaler DNS auf Linux als "DNS-Proxy" ist sinnvoll (z.B.
dnsmasq). Der f�ngt dann schon viel unn�tiges ab. U.U. solltest Du ihm
noch die eine oder andere von den MS-Kisten abgegraste Zone verpassen.
Setzt "usepeerdns" eigentlich die DNS-Eintr�ge f�r deine Clients - z.B.
per DHCP? Soweit ich wei� ver�ndert das nur die /etc/resolv.conf, was
weder f�r den lokalen DNS, noch f�r die Clients im lokalen Netz eine
Bewandniss hat. Ich habe das bei mir so gemacht, da� ich mir angesehen
habe, welche Adressen vom Provider �bergeben werden, und diese dann als
forwarder-Adressen in den DNS auf dem Woody eingetragen habe. Die
Clients erhalten dann per DHCP (u.a.) die Woody-Kiste als DNS zugeteilt
- was man nat�rlich bei drei Rechnern auch per Hand machen kann.(Ich
habe Netze in denen einige Zig-Rechner IP-Adressen vom Woody wissen
wollen - das lass ich doch lieber den DHCP3 machen).
- Port 135 - 139 (UDP und TCP!) und 445 (TCP glaube ich; bin ich mir im
Moment aber nicht sicher ob das wirklich der MS-Active-Directory-Port
ist) im Firewall filtern : bei iptables in der input von ppp0, in der
output nach ppp0 und in der forward (ohne Interface ist das automatisch
von und nach ppp0)
- Ansonsten schau immer mal wieder in die Logdateien. Normalerweise
sollte unmittelbar vor dem Verbindungsaufbau eine Zeile im Log stehen
die beschreibt, was f�r ein Zugriff nach extern gerade die Verbindung
aktiviert hat.
Und wenn Du das nicht in den Griff kriegts : auch nicht schlimm - nimm
dir halt einen "zeitlosen" Tarif. Hier zuhause habe ich z.B. das
Internet.dsl 2GB von 1und1. Der Support f�r die ganzen Endkundenangebote
bei denen ist zwar keinen Schu� Pulver wert, aber f�r 9,90 EUR bin ich
so billiger als zu ISDN-Zeiten, und der Server ist dauernd online.
> Gruss, Guido
--
Wilfried Essig
--
Haeufig gestellte Fragen und Antworten (FAQ):
http://www.de.debian.org/debian-user-german-FAQ/
Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED]
mit dem Subject "unsubscribe". Probleme? Mail an [EMAIL PROTECTED] (engl)
