Differences

This shows you the differences between two versions of the page.

--- publicipdebian [2009/03/28 14:19] – LAN-Settings strukturierter PeterGantner
+++ publicipdebian [2013/03/04 21:57] (current) – ChristianPointner
@@ Line 1: / Line 1: @@
-/* UndefinedMacro: TableOfContents(None) */
+<<[[:TableOfContents|TableOfContents]]>>
 ====== Public IP Setup auf Debian ======
-Dieses Howto beschreibt das Public IP Setup für Debian/Ubuntu. Howtos für andere Firmware Images und grundsätzliche Informationen können auf der Seite [[:PublicIP|PublicIP]] gefunden werden.
+:!: Dieses Howto beschreibt das Public IP Setup für Debian/Ubuntu. Howtos für andere Firmware Images und grundsätzliche Informationen können auf der Seite [[PublicIP]] gefunden werden.
@@ Line 11: / Line 11: @@
 ====== Vorbereitungen ======
-Wie schon auf [[:PublicIP|PublicIP]] beschrieben verwendet dieses Howto einen etwas anderen Ansatz als die anderen Public IP Howtos.
+Wie schon auf [[PublicIP]] beschrieben verwendet dieses Howto einen etwas anderen Ansatz als die anderen Public IP Howtos.
-Die Idee bei diesem Setup ist das man einfach ein zusätzliches kleines Subnetz zwischen dem Router am Dach und dem Rechner den man zb als Server betreiben will schaltet.  Wenn man dieses Subnetz dann per OLSR am Router announced wird der Server innerhalb des Funkfeuer Netzes direkt erreichbar. Dies befähigt ihn dazu direkt mit dem Gateway zu kommunizieren ohne selbst OLSR zu benötigen. Genau diese direkt Verbindung ist auch das einzige das nötig ist um eine Public IP zu benützen.
+Die Idee bei diesem Setup ist, dass man einfach ein zusätzliches kleines Subnetz zwischen dem Router am Dach und dem Rechner, den man z.B. als Server betreiben will schaltet.  Wenn man dieses Subnetz dann per OLSR am Router announced wird der Server innerhalb des Funkfeuer Netzes direkt erreichbar. Dies befähigt ihn dazu, direkt mit dem Gateway zu kommunizieren ohne selbst OLSR zu benötigen. Genau diese direkte Verbindung ist auch das einzige, das nötig ist, um eine Public IP zu benützen.
@@ Line 29: / Line 29: @@
   :                                              :                   --  ... LAN
   :............ ( IP-IP tunnel ) ................:
-.10.10.10 <-> 193.33.15x.x/32
+.12.34.56 <-> 193.33.15x.x/32
 </file>
-Dafür muss der Router am Dach vorbereitet werden.  Dieser Router benötigt aber weder unser spezielles Public-IP Firmwareimage, es kann jede Funkfeuer fähige Firmware verwendet werden. Die speziele Firmware funktioniert auch, solange man darauf die Public IP unkonfiguruert lässt.
+Dafür muss der Router am Dach vorbereitet werden.  Dieser Router benötigt aber nicht unbedingt unser spezielles Public-IP Firmwareimage, es kann jede (funkfeuerfähige!) Firmware verwendet werden (aber die spezielle Firmware funktioniert auch, solange die Public IP unkonfiguriert bleibt).
-Wie man also schon erkennen kann ist ein zusätzliches Subnetz vonnöten, und da es ja wie bei allen anderen IP Adressen diese eindeutig innerhalb des Netzes sein muss, muss ein passendes von uns zugewiesen werden.  Also der erste Schritt besteht darin neben der Public IP auch noch ein kleines Subnetz [[:Standort_eintragen|bei uns zu holen]].
+Wie man also schon erkennen kann ist ein zusätzliches Subnetz vonnöten, und da diese - wie bei allen anderen IP Adressen - eindeutig innerhalb des Netzes sein muss, muss ein passendes von uns zugewiesen werden.  Also der erste Schritt besteht darin neben der Public IP auch noch ein kleines Subnetz [[Standort_eintragen#head-87b3cfef201070ded7c51d49ac5dbd29697e1c9d|bei uns zu holen]].
+  * **Anm.:** Überlege vor der Anforderung, wieviele IPs du in diesem Subnetz betreiben willst - dieses HOWTO geht von zwei aus (eine am Router, eine am Server), was das Minimum ist und normalerweise ausreichen wird. Daraus ergibt sich die zu verwendende Subnetzmaske (s.u.).
 Danach kann mit der Konfiguration begonnen werden.
@@ Line 44: / Line 46: @@
 Im folgenden wird davon ausgegangen das der OLSR Router über dessen Lan Port mit Server verbunden ist. Sollte der Standort aus mehr als einen Router bestehen so muss bei diesem Router der WAN Port für die Verbindung zu den restlichen Routern des Standorts verwendet werden.
-**OLSR** Da wir auf dem Subnetz-Interface //nicht// mit OLSR arbeiten (Protokoll = statisch) müssen OLSR dazu bringen das Subnetz dem restlichen Netz bekannt zu machen. Dies kann man per HNA machen. In die Zeile für HNA4 trögt man dafür das Subnetz ein. Dabei ist darauf zu achten das hier die CIDR Notation für die Netzmaske zu verwenden ist (also z.B. /24 statt 255.255.255.0).
+**OLSR:** Da wir auf dem Subnetz-Interface //nicht// mit OLSR arbeiten (Protokoll = statisch) müssen OLSR dazu bringen das Subnetz dem restlichen Netz bekannt zu machen. Dies kann man per HNA machen. In die Zeile für HNA4 trägt man dafür das Subnetz ein. Dabei ist darauf zu achten das hier die CIDR Notation für die Netzmaske zu verwenden ist (also z.B. /24 statt 255.255.255.0).
@@ Line 58: / Line 60: @@
 Hosts/Net: 2                     Class A, Private Internet
 </file>
-in der Zeile ''Network'' beginnt steht hier die Ausgabe des Netzes in CIDR Notation ''10.12.230.20/30''. Genau das muss in dem Feld im Webinterface eingetragen.
+in der Zeile ''Network'' steht hier die Ausgabe des Netzes in CIDR Notation ''10.12.230.20/30''. Genau das muss in dem Feld im Webinterface eingetragen.
 Weiters muss noch die Public IP selbst announced werden und eine statische Router dafür eingetragen sein. Also zusätzlich zu dem Subnetz noch ''<public ip>/32'' in das Feld für HNA4 sodass das Feld dann z.B. so aussieht:
@@ Line 70: / Line 72: @@
-  * Protokoll statisch
+  * LAN-Protokoll: statisch
   * LAN-IP: die routerseitige IP im Subnetz (10.12.230.xx)
   * LAN-Netzmaske: richtige Subnetzmaske verwenden (in unserem Beispiel hier 255.255.255.252)
@@ Line 82: / Line 84: @@
 <file>193.33.15x.xx:255.255.255.255:<ip des server im 10.12er subnetz>:1:vlan0
 </file>
-(**Anm.: ** je nach router kann es sein dass ein anderes Interface als ''vlan0'' gültig ist. z.B. ''br0''.  Herauszufinden ist as im Webinterface unter ''Status -> Übersicht -> Schnittstellenkonfiguration -> lan_ifname'' oder mit dem Kommando ''nvram show | grep lan_ifname='')
-== Reboot ==  Nachdem alle obigen settings vorgenommen worden sind, muss man den Router rebooten.
+  * (**Anm.:** je nach router kann es sein dass ein anderes Interface als ''vlan0'' gültig ist. z.B. ''br0''. Herauszufinden ist das im Webinterface unter ''Status -> Übersicht -> Schnittstellenkonfiguration -> lan_ifname'' oder mit dem Kommando ''nvram show | grep lan_ifname='')
+**Reboot:** Nachdem alle obigen settings vorgenommen worden sind, muss man den Router rebooten.
@@ Line 96: / Line 98: @@
 </file>
 Zusätzlich muss im Kernel IP-IP tunneling kompiliert und das Modul ggf. geladen sein. Debian/Ubuntu bringen dieses Modul im Standardkernel mit. Bei selbstgebautem Kernel: (Option //CONFIG_NET_IPIP// unter "Networking Options" -> "TCP/IP Networking" ). Das Modul heisst //ipip//.
-Auf der Seite des Servers kann man das Netzwerkinterface über die Datei ///etc/network/interaces// konfigurieren. Wichtig ist dabei das in der Datei **kein gateway angegeben wird** (auch bei keinem anderen Interface) denn genau diesen müssen wir später in etwas anderer Form selbst eintragen. Eine Beisipielkonfiguration ist hier zu sehen:
+**Konfiguration** Auf der Seite des Servers kann man das Netzwerkinterface über die Datei ///etc/network/interaces// konfigurieren. Wichtig ist dabei das in der Datei **kein gateway angegeben wird** (auch bei keinem anderen Interface) denn genau diesen müssen wir später in etwas anderer Form selbst eintragen. Eine Beisipielkonfiguration ist hier zu sehen:
@@ Line 117: / Line 119: @@
-<file>#! /bin/sh
+<file>#!sh (-)
+#! /bin/sh
 #
-GATEWAY="10.10.10.10"
+GATEWAY="10.12.34.56"
 PUBLIC_IP="<public ip einsetzen>"
 OLSR_ROUTER="<ip des olsr routers einsetzen>"
@@ Line 164: / Line 167: @@
 Danach sollte das Setup funktionieren und der Server ist aus dem Internet unter dessen Public IP erreichbar.
-(**Anm.: ** wenn der Server noch weitere Netwerkverbindungen am selben Interface besitzt, z.B. ein internes LAN oder eine weitere Internetverbindung, wird das routing eine Spur komplizierter. Man kommt dann kaum ohne policy routing am Server aus. Wichtig dabei, dass Pakete, die //von// der public IP kommen, über das richtige Interface gehen, und dass sich die Routen via 10.0.0.0/8 und 10.12.230.x nicht überschneiden)
+  * (**Anm.: ** wenn der Server noch weitere Netwerkverbindungen besitzt, z.B. ein internes LAN oder eine weitere Internetverbindung, wird das routing eine Spur komplizierter. Man kommt dann kaum ohne policy routing und mehreren default routen am Server aus.)
+====== Sicherheitshinweis ======
+Der Server hängt jetzt tatsächlich und wirklich im echten Internet. Da sich dort nicht ausschliesslich nette Menschen und freundliche Software tummeln sei der Besitzer einer Public IP dazu angehalten, seine Firewall und andere sicherheitsrelevanten Einstellungen zu kontrollieren. Im speziellen sei auf ports wie 25 (SMTP), 135:137, 445 (netbios), rdp, samba, NFS etc. hingewiesen.