Am Mon, 2003-03-10 um 19.29 schrieb Guido Hennecke:
Hallo Thilo,
At 10.03.2003, Thilo Engelbracht wrote:
Hallo Liste!
Bei meinem Heim-Netzwerk (ein Linux-Server mit Debian GNU/Linux 3.0 mit
Kernel 2.4.18, drei Windows-Clients) möchte ich gerne dial-on-demand
einrichten. Für die Internet-Verbindung nutze ich eine DSL-Verbindung.
Der Server soll beim Booten KEINE automatische Verbindung zum Internet
aufbauen. Erst bei einer entsprechenden Anfrage meiner Windows-Clients soll
die Verbindung aufgebaut werden. Nach ca. 20 Minuten Leerlauf soll die
Verbindung wieder getrennt werden.
Meine Vorgehensweise:
1.) Mit pppoeconf habe ich die DSL-Verbindung konfiguriert. Klappt ohne
Probleme. Die DNS-Einträge werden von meinem Provider übernommen
(usepeerdns).
2.) Unter /etc/ppp/peers/dsl-provider habe ich u.a. folgendes eingetragen:
demand
idle 1200
3.) Mein Firewall-Skript wird bei Booten des Rechners ausgeführt.
4.) Die Default-Route sowie das IP-Forwarding wird durch ein Skript gesetzt,
welches unter /etc/ppp/ip-up.d liegt.
5.) Beim Trennen der Verbindung wird ein Skript ausgeführt, welches die
Default-Route löscht sowie das IP-Forwarding deaktiviert. Dieses Skript
liegt unter /etc/ppp/ip-down.d.
Trotzdem klappt mein dial-on-demand noch nicht
Wenn Du die default Route entfernst, woher soll der pppd denn ueberhaupt
wissen, wann er eine Verbindung aufbauen soll? Es werden ja keine Pakete
an dein PPP Interface geleitet.
Das ist das eine.
Ich denke aber, daß Du auch die /etc/ppp/ppp-on-boot nicht angelegt
hast. Du willst zwar die Verbindung nur bei Bedarf aufbauen, aber der
pppd muß zu dem Zeitpunkt schon laufen - und es muß eine Defaultroute
auf die Schnittstelle eingerichtet sein, sonst kann er ja die Verbindung
nicht aufbauen weil er das Päckchen nicht bekommt.
Kann das sein, daß Du bisher ein Problem hattest vor dem Starten des
pppd eine defaultroute auf ppp0 zzu setzen? Das dürfte daher kommen, daß
die ppp0 erst aktiviert wird, wenn der pppd läuft.
Etwas anderes ist es im Firewall. Da kannst Du Schnittstellen angeben,
die zum Zeitpunkt des Eintragens in den Firewall noch nicht existieren,
oder auch später wieder entfernt werden ohne daß die Firewallregel
dadurch unbrauchbar würde.
Und mit Windows Rechnern an einem DoD Router wuensche ich dir viel
Spass. Mal sehen, ob Du all den unsinnigen Traffic filtern kannst.
Lass Dich nicht entmutigen. Es ist nicht so viel was man wirklich filtern sollte :
- ein kleiner lokaler DNS auf Linux als DNS-Proxy ist sinnvoll (z.B.
dnsmasq). Der fängt dann schon viel unnötiges ab. U.U. solltest Du ihm
noch die eine oder andere von den MS-Kisten abgegraste Zone verpassen.
Setzt usepeerdns eigentlich die DNS-Einträge für deine Clients - z.B.
per DHCP? Soweit ich weiß verändert das nur die /etc/resolv.conf, was
weder für den lokalen DNS, noch für die Clients im lokalen Netz eine
Bewandniss hat. Ich habe das bei mir so gemacht, daß ich mir angesehen
habe, welche Adressen vom Provider übergeben werden, und diese dann als
forwarder-Adressen in den DNS auf dem Woody eingetragen habe. Die
Clients erhalten dann per DHCP (u.a.) die Woody-Kiste als DNS zugeteilt
- was man natürlich bei drei Rechnern auch per Hand machen kann.(Ich
habe Netze in denen einige Zig-Rechner IP-Adressen vom Woody wissen
wollen - das lass ich doch lieber den DHCP3 machen).
- Port 135 - 139 (UDP und TCP!) und 445 (TCP glaube ich; bin ich mir im
Moment aber nicht sicher ob das wirklich der MS-Active-Directory-Port
ist) im Firewall filtern : bei iptables in der input von ppp0, in der
output nach ppp0 und in der forward (ohne Interface ist das automatisch
von und nach ppp0)
- Ansonsten schau immer mal wieder in die Logdateien. Normalerweise
sollte unmittelbar vor dem Verbindungsaufbau eine Zeile im Log stehen
die beschreibt, was für ein Zugriff nach extern gerade die Verbindung
aktiviert hat.
Und wenn Du das nicht in den Griff kriegts : auch nicht schlimm - nimm
dir halt einen zeitlosen Tarif. Hier zuhause habe ich z.B. das
Internet.dsl 2GB von 1und1. Der Support für die ganzen Endkundenangebote
bei denen ist zwar keinen Schuß Pulver wert, aber für 9,90 EUR bin ich
so billiger als zu ISDN-Zeiten, und der Server ist dauernd online.
Gruss, Guido
--
Wilfried Essig
--
Haeufig gestellte Fragen und Antworten (FAQ):
http://www.de.debian.org/debian-user-german-FAQ/
Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED]
mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
