In Sammlung (en) In der gespeicherten
  1. Keine Kategorie

hier ist mal kurz zusammen gestellt wie man einige fehler Quellen

Werbung 
hier ist mal kurz zusammen gestellt wie man einige fehler Quellen ausschliessen oder evtl auch
beheben kann.
Daten/Software die man sich vorher beschaffen sollte :
IP-Adresse des IPCOP-Servers (z.b. 10.4.0.1):
Netzmaske (z.b. 255.255.255.0):
Root Passwort für IPCOP-Server (z.b. XyZ1234H):
Putty, ein kleines, freies aber mächtiges Werkzeug mit dessen hilfe man sich beim IPCOP-Server
einloggen kann (von Windows aus...).
Es lang das Programm " putty.exe ", zu finden hier. http://chefax.fe.up.pt/putty/download.html
Von Windows aus erst mal testen ob die Verbindung zum IPCOP-Server (im folgenden IPCOP
genannt) besteht und fehlerfrei ist.
Start->Ausführen-> "cmd"
Eine Dos-Box wird geöffnet. Folgenden Befehl eingeben und ausführen:
ping <IP_von_IPCOP>
Sollte hier etwas anderes stehen wie 0%Verlust, nochmal wiederholen ansonsten jemand fragen
der sich mit Netzwerken auskennt(kann ein defekter/s Hub, Switch, Kabel etc. sein).
Verbindung besteht ohne Probleme, dann kann sich mit dem IPCOP verbunden werden.
Putty starten, unter "HOST Name" tragen sie die IP-Adresse von IPCOP ein. Protokoll ist SSH,
und Port muß auf 222 !!! gestellt werden.
Ein weiteres Fenster geht auf, in dem nach einem Login gefragt wird. Sie wollen sich als
Hauptadministrator also "root" einloggen.
root ENTER
Root-Passwort Enter
Unter Windows die Einstellungen kontrollieren
Als Gateway sollte die IP-Adresse des IPCOP eingetragen sein
Als DNS ebenso.
Die Netzwerkmaske muß der von IPCOP entsprechen.
zu kontrollieren unter
Start->Ausführen-> " cmd "
mit dem Befehl :
ipconfig /all
Änderungen sind zu machen unter:
Start->Einstellungen->Netzwerk und DFÜ-Verbindungen .
Rechtsklick (Kontext) auf "LAN Verbindung1" ->Eigensschaft
Internetprotokoll (TCP/IP) auswählen und Eigenschaften anzeigen lassen.
Hier können dann die nötigen Einstellungen gemacht werden.
Bei Fehlern oder Probleme bitte angeben bis wohin sie gekommen sind um eine möglichst
genaue Fehlerbeschreibung zu bekommen, und auch nachvollziehen zu können wo das Problem
liegt.
IPCop konfigurieren
Konfiguriere deinen IPCop mit einem roten Ethernet Interface. Bestimme für dieses rote
Interface IP Typ, -Nummer und Subnet-Maske und das PPTP-Protokoll.
Die standardmäßige IP Adresse für einen Alcatel Speedtouch Router ist 10.0.0.138 (Netmask
255.255.255.0), wähle also eine geeignete Adresse für dein ROTES Netzwerk (z.B.
10.0.0.1/255.255.255.0), wenn das so weiterhin gewollt ist. Wenn dein Alcatel Speedtouch
Router eine andere IP Adresse hat, stelle sicher, dass du eine gültige Rote IP Adresse für das
daran angeschlossen Netzwerk auswählst.
Normalerweise werden die Adressen für DNS Server und Default Gateway über PPP direkt vom
ISP vergeben, daher sollte es nicht nötig sein, irgendwelche Werte für DNS Server oder Default
Gateway anzugeben.
Verbinde dich mittels Web Browser über das grüne Netzwerk mit IPCop. Bestimme ein Profile
für deinen ISP und trage folgende Werte ein: Interface (PPTP), Persistent (YES), Connect on
Restart (YES), Max Retries (10 oder 0 für kontinuierlich), Idle Timeout (0), username (z.B.
[email protected]), password, PAP & CHAP; setze DNS auf Manual und trage IP
Nummern des ISP ein.
Fernwartung (Zugriff von einem anderen Rechner)
Wie kann ich IPCop am besten administrieren (verwalten und steuern) ?
Die von IP-Cop bereitgestellte Web Schnittstelle ist das beste Mittel deine Firewall zu verwalten.
Dazu wird keine Software auf dem Client-Rechner benötigt, die dort nicht bereits installiert
wäre.
Wenn Du irgendetwas komplizierteres machen musst, z.B. nachdem Du eine neue Netzwerkkarte
installiert hast, dann ist der Anschluss einer Tastatur und eines Monitors eine gute Möglichkeit
(und obendrein die einzige, wenn das Netzwerk runtergefahren ist).
Die andere Möglichkeit ist SSH (Secure Shell) zu verwenden. SSH ist eine gesicherte
Befehlsschnittstelle. Sie ist deswegen sicher, weil alle Befehle, die zum Zielrechner gesendet
werden, verschlüsselt werden und daher nicht von Dritten abgehört werden können. Es gibt SSH
Zugangsprogramme für fast alle Betriebssysteme.
Warum kann ich nicht mit telnet auf IPCop zugreifen ?
Viele gut dokumentierte Angriffsmöglichkeiten, zusammen mit leicht erhältlichen Telnet
Kennwort-abhörenden Werkzeugen, machen Telnet zu unsicher, als dass es Bestandteil von
IPCop sein könnte. Benutze stattdessen SSH.
Kann ich telnet auf IPCop einschalten ?
Natürlich kann man alles machen, aber es wäre wirklich nicht gut es einzurichten. SSH ist die
sichere Alternative zu telnet mit der selben Funktionalität.
Was ist SSH und warum ist es besser als Telnet?
SSH ist eine (S)ichere (SH)ell (=Kommandozeile) die Krypthografie
(Verschlüsselungstechniken) nutzt, um bekannte Schwächen von Telnet zu überwinden. Wenn
man sich mit telnet auf einem Server-Rechner anmeldet, werden sowohl der Benutzername als
auch das Passwort in Klartext übermittelt. Diese Informationen können von einem Angreifer
verwendet werden, um Zugriff auf den Zielrechner mit deinem Benutzernamen zu erlangen.
SSH Programme verschlüsseln den Datenverkehr mittels Chiffriertechniken, damit vertrauliche
Daten nicht im Netz abgehört werden können. Telnet wird normalerweise in der Windows Welt
verwendet, weil Windows nicht mit einem SSH Client-Programm ausgeliefert wird.
DHCP
What is DHCP?
DHCP = Dynamic Host Configuration Protocol
Jeder Computer im Internet hat eine eindeutige IP-Adresse wie z.B. 123.23.89.13. Keine zwei
Computer besitzen die gleiche Adresse und du kannst einfach nicht im Internet sein ohne dass
dein Rechner eine IP-Adresse besitzt. Normalerweise benutzen Menschen diese Nummern nicht
direkt sondern verwenden Adressen wie "ipcop.org". Dein Computer schaut dann nach der
entsprechenden IP-Adresse.
Wenn du deine IPCop-Firewall aufsetzt hat IPCop eine wirkliche IP-Adresse auf der roten
Netzwerkkarte und eine private IP-Adresse auf der "grünen" Netzwerkkarte
Den Regeln entsprechend nach RFC1918 solltest du für dein Netzwerk Adressen wie:D
10.x.x.x
172.16.x.x
192.168.x.x
...wobei du für x Werte zwischen 0 und 255 eintragen kannst...
Aber du brauchst immer noch für jeden Computer hinter der Firewall eine eindeutige IP-Adresse,
um mit dem "grünen Netzwerk" zu kommunizieren.
Für einen oder zwei Computer ist das keine große Sache. Gelegentlich werden aber auch
hunderte Computer hinter der IPCop-Firewall aufgestellt und ein Mensch ein Mensch versucht
soll die Übersicht darüber behalten, welcher Computer welche IP-Adresse besitzt, dann hat er ein
Problem. Dieses Problem wird von DHCP gelöst.
Ein DHCP-Server kann von IPCop gestartet werden. Seine Aufgabe besteht darin, IP-Adressen
an die Computer zu vergeben, die eine Adresse anfordern. Wenn du DHCP in IPCop installiert
hast, reservierst du einen Bereich von DHCP-Adressen in deinem privaten Subnetz und
configurierst die Clients so, dass diese den IPCop-DHCP-Dienst verwenden um ihre IP-Adresse
zu bekommen.
(von hier an nennen wir den IPCop DHCP-Server den DHCP-Host)
Wenn die Clients hochfahren und booten, fragen diese den DHCP-Host nach einer IP-Adresse.
Der DHCP-Host vergibt dann dem Client eine Adresse, die noch nicht in Benutzung ist. Der
DHCP-Host merkt sich, welche Adressen frei sind und welche an Clients vergeben wurden.
Die Clients besitzen die Adressen nicht, die Adressen werden für eine bestimmte Zeit verliehen
(geleast). Wenn der DHCP-Host dem Client eine Adresse vergibt, fängt eine Uhr an zu ticken.
Am Ende der Lease-Dauer prüft der DHCP-Host, ob ein Client die ihm vergebene Adresse noch
benutzt. Wenn dem so ist, wird die Lease erneuert (Die Uhr wird wieder auf Null gestellt).
Dieser Erkennungsprozess findet am Ende einer jeden Lease-Periode statt. Wenn der Client nicht
auf die Erneuerungsanfrage reagiert, wird die IP-Adresse wieder zum Pool der zu vergebenden
Adressen hinzugefügt und kann dann einem anderen Client zugeteilt werden.
Damit ist es recht einfach zu verfolgen, welcher Computer welche IP-Adresse verwendet. Wenn
du einmal DHCP installiert hast, darfst du einem Client keine statische IP-Adresse vergeben, die
im DHCP-Pool enthalten ist.
Üblicherweise wird ein Bereich von 192.168.1.100 bis 192.168.1.199 vergeben. Du kannst auch
einen anderen Bereich angeben, der zu der Größe des Unternehmens passt.
DHCP ist teilweise recht praktisch für Laptops. Du kannst dich einfach mit irgendeinem
Netzwerk verbinden ohne dich um die IP-Adressen kümmern zu müssen.
Wann sollte ich DHCP benutzen und wann nicht?
Du solltest DHCP nicht für Computer/Drucker oder andere Ausstattungen verwenden von dem
die meisten Leute annehmen, dass diese eine geteilte Resource sind.
Webserver, Drucker, Mailserver usw. bekommen fast immer eine statische IP-Adresse, so dass
immer über die gleiche Adresse auf die gleiche Resource zugegriffen werden kann.
Du brauchst nicht die fünf Minuten zu investieren um einen DHCP-Server aufzusetzen wenn du
nur einen Computer hast - ausser es ist ein Laptop. Dann könntest du den Laptop auf DHCP
einstellen und dich in andere DHCP-Netzwerke einfach einklinken.
Wenn du viele Computer zu konfigurieren hast, dann verwende DHCP für alle Rechner ausser
den geteilten Resourcen.
Wo bekomme ich eine Liste von DHCP-Leases die IPCop vergeben hat?
Schau in /var/lib/dhcp/dhcpd.leases
Anmerkung: Zeiten sind in GMT angegeben, nicht in der Lokalzeit.
Kann ich DHCP so konfigurieren, dass ein WINS-Server übergeben wird?
Nicht in der Version 0.1.1, erst ab Version 1.2
Was ist das mit den MAC-Adressen?
MAC-Adressen sind einzigartige Adressen, die auf jeder Netzwerkkarte fest im ROM
eingebrannt sind. Die MAC-Adresse ermöglicht es so dem DHCP-Server, einem bestimmten
Rechner immer wieder gleiche IP-Adresse zuzuweisen. Es gibt noch andere Anwendungsgebiete
für MAC-Adressen. Im Zusammenhang mit IPCop sind diese Gebiete aber nicht von Bedeutung.
Wie muss ich MAC-Adressen für eine statische DHCP-Zuordnung eingeben?
MAC-Adressen werden durch einen Doppelpunkt getrennt eingegeben, z.B.: aa:bb:cc:dd:ee:ff.
DNS
Notitz: DNRD v1.2.0 wurde durch DNSMASQ ersetzt. Mehr Info über DNSMASQ gibt's unter
http://thekelleys.org.uk/dnsmasq/doc.html
Kann ich IP Adressen hinzufügen?
Selbstverständlich! Es muß in der /etc/hosts eingetragen sein. DNRD versucht die IP Adressen
zu finden durch...
1 - suchen im Cache
2 - suchen in /etc/hosts
3 - DNS Suchdienste
DNRD lädt den inhalt der /etc/hosts beim Start. Ändern der /etc/hosts ohne Neustart von DNRD
bewirkt gar nichts.
VPN
Was ist VPN?
Ein VPN ist ein Virtual Private Network (virtuelles privates Netz).
Es täuscht Computern die real nicht direkt in einem Netzwerk verbunden sind vor, dass sie es
doch wären.
Die Grundidee ist, dass 2 IPCop Computer, welche weit voneinander getrennt arbeiten, so
verbunden werden, als würden sie in einem Netzwerk hängen.
Der Datenverkehr ist verschlüsselt, damit er relativ sicher ist.
DMZ
Was ist eine DMZ?
IPCops Aufgabe ist es, lediglich Netzwerkverkehr an die internen Rechner weiterzuleiten, der
durch Anfragen der internen Rechner zustande gekommen ist.
Beispiel: IPCop lässt interne Rechner Anfragen für eine Webseite senden, die Antwort der
Webseite kommt zu dem Anfragenden Rechner durch. Wenn aber jemand versucht Daten von
einem Deiner Rechner zu lesen als wäre er ein Webserver, wird IPCop dies nicht zulassen.=20
Nichtdestotrotz, manche benutzer wollen Webserver (oder andere Dienste) hinter Ihrer IPCop
Firewall anbieten.
Es ist wesentlich sicherer dies zu realisieren, indem man den Webserver auf einem komplett von
den internen Rechnern getrennten Netzwerk betreibt. Dies liegt daran, dass Computer die von
der Aussenwelt erreichtbar werden können per Definition mit Risiko behaftet sind. Es ist
wesentlich besser sie in einem 'Isolierten Bereich' zu betreiben, als im selben Netzwerk wie die
Rechner, die geschützt werden sollen.
Diese spereate Netzwerk wird in der Regel als DMZ, Demilitarisierte Zone bezeichnet, da dies
einer DMZ in einem bewaffneten Konflikt ähnelt. Die DMZ wird auch als das ORANGE
Netzwerk bezeichnet, während das Internet und IPCops Verbindung dorthin das ROTE und alle
geschützen Rechner das GRÜNE Netzwerk darstellen.
ROT = Gefahr (Internet Verbindung)
GRÜN = Sicher (Geschütztes lokales Netzwerk)
ORANGE = DMZ ('Mit Risiko behaftet', aber ein wenig abgesichert)
Was sind DMZ 'pinholes' (Schlupflöcher)?
Um einen Webserver (oder andere Server) in der DMZ zu betreiben, muss IPCop so konfiguriert
werden, dass Netzwerkverkehr vom und zu dem Webserver zugelassen ist. Das Konzept besteht
darin, den kleinst möglichen Durchgang zu öffnen um Netzwerkverkehr lediglich von und zu der
DMZ (ORANGE) zuzulassen, ohne das grüne Netzwerk zu gefährden.
Dieser kleinst mögliche Durchgang in der Firewall wird als 'Schlupfloch' (Pinhole) bezeichnet.
IP-Cop Anpassen
Kann ich meine IPCop Installation anpassen?
Da IPCop auf Linux basiert, können viele features die für Linux verfügbar sind auf Deiner
Firewall verfügbar gemacht werden. IPCop wurde für einfache Bedienung entwickelt, das
Web-Interface zeigt dies. Viele Features sind nicht über das Web-Interface erreichbar, aus dem
Grunde es einfach zu halten.
Man sollte nicht vergessen, dass IPCop primär eine Firewall und ein Router ist. Alle anderen
Features sind "nett zu haben". Veränderungen an der IPCop Installation könnten jedoch die
Effektivität reduzieren, und die Entwickler haben keine Informationen über Sicherheitslücken
von den hinzugefügten Programmen, Sie werden deswegen auch keine Patches dafür zur
Verfügung stelen.
Wenn Du etwas mit algemeinerem Anspruch suchst als eine dedizierte Firewall siehe Dir die
Gateways/Server an auf
[[http://www.thinkware.se/cgi-bin/thinki.cgi/FreeFirewallsRoutersAndGatew= ays][this
comparision list]].
Warum gibt es keinen FTP Zugang zum IPCop?
Der FTP Daemon läuft aus Sicherheitsgründen nicht am IPCop. FTP erlaubt den Usernamen und
das Passwort im Klartext zu übertragen, was ein Sniffen leicht ermöglicht.
2.1 ADSL Grundwissen
Wie funktioniert ADSL unter Linux?
Gar nicht. Warum? Es gibt kein "ADSL", sondern viel mehr gibt es ADSL-Lösungen
verschiedener Hersteller mit unterschiedlichen Protokollen. Wer also eine deutsche
Beschreibung liest wird damit im österreichischen Netz von wenig anfangen. Deshalb dieses
HOWTO: ADSL & Linux.
Was sind PPTP und PPoE?
Sowohl in Österreich wie auch in Deutschland wird für ADSL-Verbindungen "PPP"
(Point-to-Point-Protocol) verwendet. Dieses Protokoll ist der Standard für Modemverbindungen.
PPtP und PPoE tunneln eine PPP-Verbindung über ein lokales LAN welches im einfachsten Fall
nur aus dem ADSL-Modem und dem Arbeitsplatzrechner besteht:
PPoE
PPoE ist das ältere Protokoll ( RFC 2516) und wurde von UUNET/RedBack/RouterWare
entwickelt. Es setzt die PPP-Verbindung direkt auf Ethernet, die Verbindung zwischen zwei
Ethernet-Ports wird durch die Ethernet-Adressen und einer Session-ID identifiziert. Der größte
Nachteil dieses Protokolls ist, daß durch den zusätzlichen Rahmen die maximale Länge der
IP-Pakete reduziert wird (geringere MTU).
PPtP
PPtP ist ein in Redmond entwickeltes Protokoll ( RFC 2637) zur Tunnelung einer
PPP-Verbindung innerhalb einer IP-Verbindung. Obwohl typischerweise ebenfalls auf einem
Ethernet eingesetzt, ist eine PPTP-Verbindung genauso wie jede andere IP-Verbindung nicht an
ein bestimmtes Transportmedium gebunden. Der Preis für diese Flexibilität ist allerdings ein
erhöhter Overhead. Diese Protokoll wird von den ANTs im österreichischen Netz zur Zeit
benutzt. R4 Verschlüsselung wird von den ANTs nicht unterstützt, und damit entfällt auch die
Lösung diverser mit dieser Verschlüsselung zusammenhängender Probleme.
Wie ist das österreichische ADSL aufgebaut?
Der Arbeitsplatzrechner wird über ein Twistet-Pair-Kabel mit RJ-45 Steckern (1:1) mit der ANT
verbunden. Anfangs wurde das A1000, in der Zwischenzeit das Nachfolgemodell Speed
Touch(tm) Home verwendet. Dieses Modem setzt PPTP auf PPoA ( RFC 2364) Point-to-Point-over-ATM um. Dh. die PPP-Verbinung wird am österreichischen Netz über ATM
getunnelt. Die ATM-Strecke wird bis zum Internet-Provider geführt, bei diesem endet die
PPP-Verbindung.
Wie funktioniert PPTP?
Für den Verbindungsaufbau genügt es den Hostnamen (bzw. die IP-Adresse) der Gegenstelle zu
kennen (Default: 10.0.0.138). Innerhalb dieser Verbindung wird nun eine PPP-Verbindung
aufgebaut. Patches für bestimmte Hardware-Versionen waren nur beim A1000-Modem
notwendig. In Windows-Umgebung wird der Treiber für dieses (und andere) Protokolle als
"VPN-Modem" bezeichnet. Für den - eher unwahrscheinlichen Fall - das sich zwischen
ADSL-Modem und Rechner auf dem der PPTP-Client läuft, noch eine Firewall befindet, ist zu
beachten, daß PPTP neben einer TCP-Verbindung auf Port 1723 auch eine IP-Verbindung mit
der Protokoll-ID 47 (GRE) eröffnet; normalerweise befindet sich jedoch ohnehin die Firwall
hinter dem PPTP-Clientrechner.
Was ist bei der PPP-Verbindung zu beachten?
Der pppd wird vom pptp-Client automatisch gestartet. Es gibt hier eigentlich nur einen
wesentlichen Fallstrick - die Authentifizierung. Das ADSL Netz verwendet hier MS-CHAP
(ident MD5-CHAP). Es handelt sich dabei um eine von MS abgewandelte Form des CHAP. Für
Linux-Benutzer wesentlich: Es ist eine aktuelle Version von PPP erforderlich, oder ein Patch bei
einer älteren Version. Die "debug" Option ist am Anfang sehr nützlich, damit kann man den
Fortschritt beim Verbindungsaufbau im syslog (tail -f /var/log/messages) beobachten. Für die
MTU ist kein eigener Parameter erforderlich.
Was muß ich als ADSL Kunde besonders beachten?
Da manche ADSL Kunden in den Genuß eines (z. B. 1 GB) Download-Limits gekommen sind,
sollten Sie bei allen Einstellungen von sendmail, fetchmail, fetchnews, etc. darüber nachdenken
wieviel trafic durch ständiges Abholen von z. B. 50 Newsgroups verursacht wird. Die Kapitel
weiter oben (z. B. leafnode, etc.) sind zwar für ADSL User prinzipiell gültig, aber nicht darauf
abgestimmt möglichst wenig download-traffic zu verursachen.
Daher alle Einstellungen z. B. in der crontab möglichst restriktiv einstellen, oder gleich aus der
crontab aushängen und bei Bedarf von Hand starten. Das ist zwar dann alles nicht besonders
elegant, aber es betrifft ja auch nur ADSL Kunden die einen Provider mit Download-Limit
gewählt haben.
Sonstiges
Die ANT besitzt über die eigentliche Modemfunktion hinausgehend einige interessante
Fähigkeiten - etwa ein einfacher DHCP und DNS-Server mit dem man dem eigenen LAN
Adressen und Namen zuweisen kann. Es beherrscht darüber hinaus "Bridging" wie auch mehrere
parallele PPP-Verbindungen, beides wird jedoch im ADSL Netz nicht unterstützt, genaueres ist
dazu in der dem Modem beiliegenden Beschreibung zu finden.
2.2 Ausgangsannahmen
Der Zustand bevor Sie mit der Installation beginnen sollte folgendermaßen aussehen:
 eingeloggt als root
 ADSL Zugang mit
 "A1000" oder "Speed Touch(tm)" ADSL "Modem" (auch "ANT" genannt)
2.3 Ethernet konfigurieren
Entsprechend der Anleitung der eingesetzten Distribution die Netzwerkkarte konfigurieren
(SuSE: mit Yast; sonst: ifconfig).
IP-Adresse: 10.0.0.140
Subnetmask: 255.255.255.0
Rechnername: <rechnername>
(statt <rechnername> gewünschten Namen verwenden)
In /etc/hosts einen Hostnamen für den Ant vergeben:
10.0.0.138 alcatel
10.0.0.138 ist übrigens die IP, auf die der ANT werksseitig eingestellt ist. Wem das nicht
gefaellt, kann ja mal mit seinem WWW-Browser http://10.0.0.138 probieren :-)
In /etc/resolv.conf die Nameserveradressen eintragen, z.B. für den Provider INODE (Wien):
nameserver 195.58.160.2
nameserver 195.58.161.3
Zugehörige Unterlagen
IPcop, Web-/Mail-Server in der DMZ
IPcop, Web-/Mail-Server in der DMZ
AB_Vertiefung_DHCP_V1_2_hf
AB_Vertiefung_DHCP_V1_2_hf
herunterladen
herunterladen
1 - Hintergrundinformationen für die Lehrkraft Ein Rechnernetz ist
1 - Hintergrundinformationen für die Lehrkraft Ein Rechnernetz ist
DHCP
DHCP
1. Allgemeines Wenn Sie unsere Website besuchen
1. Allgemeines Wenn Sie unsere Website besuchen
Ein gemischtes Windows Netzwerk einrichten - L@N-ORG
Ein gemischtes Windows Netzwerk einrichten - L@N-ORG
Versuch 1: LAN
Versuch 1: LAN
tiptel 6000 business Internetzugang
tiptel 6000 business Internetzugang
2 Protokollanalyse mit Wireshark
2 Protokollanalyse mit Wireshark
1.3 Die Merkmale des DC
1.3 Die Merkmale des DC
XPORT über das Internet betreiben
XPORT über das Internet betreiben
Herunterladen
Werbung