(den Letztstand finden Sie hier) Austrian Highspeed Internetconnection & Linux HOWTO Heimo Schn Version 4.04, 27. Jnner 2009 Setup einer Highspeed Internetanbindung mit Linux. Zugeschnitten fr sterreichische Providerverhltnisse. Dieses HOWTO untersttzt zur Zeit ``ADSL''-, ``ISDN''- und ``Kabel'' (Chello/Telekabel, Kabelsignal, ...) Zugnge. 1. Allgemeines zu diesem HOWTO 1.1. Disclaimer 1.1.1. Comments/Kommentare I would appreciate (but do NOT REQUIRE) that any changes (bugs, new features or spelling errors) be sent to me for inspection, discussion and possible inclusion into the next version. Ich wrde es begren (es besteht aber keine Verpflichtung) da 0erungen (Fehler, neue Funktionen, Rechtschreibfehler, etc.) an mich gesendet werden, zur Inspektion und Diskussion und mglicherweise zur Einarbeitung in die nchste Version dieses Dokuments. 1.1.2. Copyright Dieses Dokument ist urheberrechtlich geschtzt. Das Copyright liegt bei Heimo Schn und den auf der Titelseite genannten CO-Autoren fr die Kapitel ADSL, Masquerading, ICQ, Kabel, uvm. Das Dokument darf gem der GNU General Public License verbreitet werden. Insbesondere bedeutet dieses, da der Text sowohl ber elektronische wie auch physikalische Medien ohne die Zahlung von Lizenzgebhren verbreitet werden darf, solange dieser Copyright Hinweis nicht entfernt wird und das Dokument in seiner Gesamtheit erhalten bleibt, somit weder fremde Texte hinzugefgt werden oder Teile des Dokuments entfernt werden. Eine kommerzielle Verbreitung ist erlaubt und ausdrcklich erwnscht. Bei einer Publikation in Papierform oder auf elektronischem Weg (Internet) ist der (sind die) Autor(en) zu informieren: Bernhard Roessmann Roland Seuhs August Hrandl Heimo Schn Weder der Autor noch die CO-Autoren garantieren fr die Funktion dieses HOWTOs. Es wird keine wie auch immer geartete Haftung oder Gewhrleistung fr dieses HOWTO durch den Autor oder die CO-Autoren bernommen. Weder der Autor noch die CO-Autoren haften fr Schden oder Kosten oder sonstige Schwierigkeiten, die durch dieses HOWTO entstehen. Sie sollten eine Kopie der GNU General Public License besitzen. Sollte dies nicht der Fall sein, schreiben Sie an Free Software Foundation, Inc., 675 Mass Ave, Cambridge, MA 02139, USA. 1.1.3. Links Alle Links auf dieser Site werden in der Hoffnung zur Verfgung gestellt, das sie sinnvoll sind; aber OHNE GARANTIE, nicht einmal der impliziten Garantie fr die VERWENDBARKEIT FR EINEN BESTIMMTEN ZWECK. Die Links auf dieser Site fhren zu Ressourcen, auf die die Autoren dieses HOWTOs keinen Einflu haben. Die dargestellten Inhalte und Meinungen mssen daher nicht mit der Meinung der HOWTO Autoren bereinstimmen. Die HOWTO Autoren bernehmen keine Verantwortung fr diese Inhalte und Meinungen. Falls Sie diesen Haftungsauschluss nicht zustimmen, drfen Sie die Links in diesem HOWTO nicht verwenden. The links on this site are distributed in the hope that they will be useful, but WITHOUT ANY WARRANTY; without even the implied warranty of MERCHANTABILITY or FITNESS FOR A PARTICULAR PURPOSE. This site links to pages, which are not under the control of the HOWTO-writers. The presented contents and opinions are not the opinions of the HOWTO- writers. The HOWTO-writers are in no form responsible for this contents and opinions. If you don't agree to the the above lack of warranty, you aren't allowed to to use the links in this HOWTO. 1.2. Einleitung Dieses Dokument soll einen kleinen Leitfaden bieten, wenn Sie Ihren Linux Rechner den Internetzugang mit ``ADSL''-, ``ISDN''- oder ``Kabel''-Zugang mit dem Netz-der-Netze verbinden wollen. Wenn Sie Ideen oder Anregungen zu diesem HOWTO haben, dann fhlen Sie sich frei sich bei mir zu melden. +o Heimo Schn +o http://heimo.co.at Ich bin dankbar fr alle Korrekturen und Anregungen. Wenn Sie spezielle Problemlsungen bentigen, dann mu ich Sie auf das Kapitel ``Probleme mit ADSL und deren Lsung'' und das Kapitel ``Support'' hinweisen. Individuelle Hilfe erhalten Sie (unter Beachtung der Nettikette) in der Newsgroup at.linux. Wir (die Autoren) bitten um Ihr Verstndnis, da dieses HOWTO Non- Profit-Projekt entsteht, und wir (fast) alle unselbstndig erwerbsttig sind. Wir knnen Ihnen daher (selbst gegen Bezahlung) keinen ``Support'' bieten. Bevor Sie sich an die Autoren wenden, "qulen" Sie bitte Ihre Logfiles und danach Ihren Provider. Sollten Sie alle Einstellungen entsprechend diesem HOWTO vorgenommen haben, und bieten auch die Logfiles und Debug-Outputs keine Anzeichen fr einen Fehler in Ihrer Installation, dann liegt der Verdacht nahe, da der Fehler beim Provider liegen knnte. Dieses HOWTO entstand aus Anregungen von Kollegen und Bekannten (siehe auch Kapitel ``Danksagung'') und vielen Notizen die ich. Es war eigentlich nur als Sammlung fr mich gedacht, damit ich beim nchsten Update nicht wieder alles zusammensuchen mu. Wir (die Autoren) wnsche Ihnen noch viel Erfolg bei der Installation und dann noch viel Spa mit Ihrem ``ISDN'', ``ADSL'' oder ``Kabel'' Internetzugang mit dem erfolgreichsten Internet-Betriebssystem Linux. Das Kapitel ``ADSL'' wurde von Bernhard Roessmann erarbeitet. Das Kapitel ``Linux als Internetgateway'' wurde von Roland Seuhs ! zur Verfgung gestellt und soll dem Leser das IP-Masquerding nherbringen. Hier finden Sie die Homepage von Roland Seuhs Szomraky Stefan hat das Kapitel ``ICQ'' erstellt. Internet ber ``Kabel'' (Chello/Telekabel) stammt von Stefan Szomraky und August Hrandl Von Ing.Christian Pohanka stammt das Kapitel ``Eine dyndns.org - Variante'' 1.3. Einige Links zu verwandten und weiterfhrenden Themen +o Driver Linux pour modem ECI HiFocus ADSL USB et modems avec puce Globespan +o SpeedTouch USB-HOWTO mit den Benoit - Papillault's Open-Source Treibern +o Unsere germanischen "Lieblingsnachbarn" drfen hier weiterlesen http://www.adsl4linux.de +o ADSL-Router auf zwei Floppies +o Die MCCA FAQ +o Linux Router mit ISDN und dial-on-demand +o http://www.gnustuff.com/pub/doc/adsl-howto/adsl-howto.html +o Icewalkers ADSL-HOWTO for Linux Systems +o DSL-HOWTO for Linux +o Wirklich tolle Arbeit wurde geleistet im Linux - Router - Masquerading - Proxy - Workshop (und darber hinaus sogar in Deutsch :-))) +o ADSL - Preisvergleich von Gerald Holl +o ADSL - Preisvergleich von Reini +o Ein ADSL rpm Paket von Friedrich Lobenstock finden Sie hier als rpm +o Alle inode Kunden finden hier die Linux Tips die sie bentigen +o Alle kpnquest Kunden finden hier die Linux Tips die sie bentigen +o Viele Tips und Tricks bietet die Internethilfe +o Firewalling +o sterreichisches ADSL Forum von Michael Simon +o Masquerading Applications +o ADSL - Forum +o Linux IP Masquerade HOWTO +o RADAWANA ADSL-HOWTO +o Firewall und Masquerading auf SuSE Linux 6.4 +o Handbuch zum ADSL-Modem +o ANT ANT DSL Page +o pap findet man in der RFC 1334 +o chap findet man in der RFC 1994 +o ppp findet man in der RFC 1661 +o Sicherheit im Kabelnetz +o ISDN-Router on a disk +o Ein ISDN-Router HOWTO, jedoch ganz stark auf Verhltnisse in de zugeschnitten und eigentlich nur einen einzigen Provider (T-Online) erklrend. Auerdem geht es nur von einer einzigen Distribution aus. +o Linux im Teleweb: Firewall Beispiel von Thomas Wenrich. +o The Network Administrators Guide +o http://www.skysurf.at/index2.htm +o Speziell fr Kabelnetze +o Ethernet-HOWTO +o DHCP mini-HOWTO +o The Linux Plug and Play HOWTO +o Von einigen HOWTOS gibt es auch eine deutsche bersetzung: Deutsches Linux HOWTO Projekt 1.4. Danksagung Ohne August Hrandl ( http://links.ee.htlw16.ac.at/~hoerandl ) wre das alles nicht zum Laufen gekommen - Danke! Besten Dank auch an die Autoren der Kapitel ``ICQ'', ``Linux als Internetgateway'', ``ADSL'', etc. (siehe Kapitel ``Danksagung'') und an die vielen Tester die auf unterschiedlichsten Wegen zu diesem HOWTO gekommen sind und Ihre Erfahrungen reported haben. Dank gebhrt auch allen die Ihre Tips&Tricks beigesteuert haben, wie z. B. +o tuxx@tuxx-home.at (Alexander Griesser) +o Reinhard Schlager , +o Andreas Werschlan , +o Oliver Bogen , +o Leo Eibler , +o Ing.Christian Pohanka +o , +o Kirsten Peter Rabitsch, +o Georg Maunz , +o Philipp Schmid , +o Friedrich Lobenstock , +o Manfred Larcher , +o Stefan Huber , +o Peter Chiocchetti , +o Erich Brunner , +o Marco Kammerer , +o Dieter WERNER , +o Andy Dunkl , +o Dieter Hfler , +o Zbigniew Strzempa +o Harald Mller (Gonzo) +o Roland Lezuo +o adi@selingers.com (adi) +o Christian Eder +o Zimmermann Thomas +o Erich Birngruber +o Aljosha +o Stefan Mannsbart +o Wolfgang Winkler +o Daniel Imrich +o Martin Grohauser +o Georg Naggies +o Wolfgang Hackl +o Klaus Triendl +o Patrick Eixelsberger +o Anton Steiner +o hans-peter.lackner@netstruct.at (Hans-Peter Lackner) +o Filip Ljubas +o Jacob Rief +o Florian Lentsch +o uvm. 1.5. Version History +o 0.1 01 Dec 1999 first trial +o 0.2 12 Dec 1999 Korrekturen nach Anmerkungen von August Hrandl +o 1.0 26 Dec 1999 Erste Verffentlichung in der at.linux +o 1.1 27 Dec 1999 Korrekturen auf Grund zahlreicher Rckmeldugnen +o 1.2 30 Dec 1999 Kapitel ``ADSL'' von Bernhard Roessmann inkludiert +o 1.3 31 Dec 1999 Kapitel IP-Masquerading von Roland Seuhs eingefgt und Kapitel ssh erstellt +o 1.4 2 Jan 2000 Kapitel /etc/ppp/ip-up berarbeitet, Kapitel Datum/Uhrzeit berarbeitet und in Kapitel ``ADSL'' die Spitzen Klammern in Ordnung gebracht +o 1.5 3 Jan 2000 kleinere redaktionelle 0erungen, Adapterliste fr wvdial.conf begonnen +o 1.6 5 Jan 2000 Untersttzung fr interne TA eingefgt +o 1.7 6 Jan 2000 internen TA gendert +o 1.8 8 Jan 2000 reduce verbosity of pppd +o 1.9 8 Jan 2000 neue Version des Kapitel 7 von Bernhard integriert +o 1.10 15 Jan 2000 Kapitel route eingefgt, Hinweis auf firewall wenn 24 Stunden online, Link auf ADSL-Forum eingefgt. +o 1.11 16 Jan 2000 Korrekturen die sich aus dem Korrekturlesen der Verffentlichung in PCNEWS ergaben +o 1.12 18 Jan 2000 crontab fr news aktualisiert +o 1.13 22 Jan 2000 http Erklrung eingefgt, Kapitel ``Support'' eingebracht +o 1.14 23 Jan 2000 script line 1 von /bin/sh auf /bin/bash gendert, script push-index die Rechte des .netrc korrigiert +o 1.15 25 Jan 2000 Umstellung auf Querverweise vua Labels, Link auf das deutsche ISDN-LINUX-HOWTO http://www.franken.de/users/klaus/DE- ISDN-HOWTO/html/DE-ISDN-HOWTO.html von Klaus Franken eingefgt. +o 1.16 26 Jan 2000 Kapitel ``dynamische DNS Anbieter'' mit Leben befllt +o 1.17 27 Jan 2000 In Kapitel sendmail RELAY integriert +o 1.18 30 Jan 2000 some minor changes/bugfix +o 1.19 1 Feb 2000 wvdial & tty9 problem solution +o 1.20 2 Feb 2000 ``Eine dyndns.org - Variante'' von Christian eingefgt, Kapitel ``Generierung und upload von index.html'' nach Ideen von August Hrandl und Leo Eibler umgebaut. +o 1.21 11 Feb 2000 Bernhards 0erungen im Kapitel ``ADSL'' eingefgt +o 1.22 14 Feb 2000 Links auf elina korrigiert +o 1.22 14 Feb 2000 Anregungen von Kirsten Peter Rabitsch eingefgt +o 1.23 16 Feb 2000 mywvdial aktualisiert +o 1.24 17 Feb 2000 Link auf das RADAWANA ADSL-HOWTO eingefgt +o 1.25 25 Feb 2000 Kapitel ``ADSL'' nach Ideen von Georg Maunz erweitert. +o 1.26 25 Feb 2000 Kapitel ``ADSL'' mit einem Beitrag von Philipp Schmid aus der Newsgroup at.linux ergnzt +o 2.00 15 Mar 2000 Nachdem nun Bernhard das Kapitel ``ADSL'' neu berarbeitet hat und nun die Anmerkungen der letzten Wochen alle ausgebessert sind, habe ich mich entschlossen die Major-Version auf 2.00 zu erhhen. +o 2.01 9 Apr 2000 squid.conf entsprechend einem Posting von August Hrandl in der at.linux gendert +o 2.02 30 Apr 2000 Workaround bei ISDN-Problemen in Kapitel ``Probleme beim Verbindungsaufbau'' eingefgt +o 2.03 28 May 2000 /etc/ppp/options im Kapitel ADSL korrigiert - Anmerkung eingefgt, da der Kundenname die Teilnehmerkennung ist (Besten Dank an P. Kronfuss und J. Tinnacher fr den Beitrag in der at.linux) +o 2.04 30 May 2000 --- 0erung rckgngig gemacht am 27.7.2001 --- +o 2.05 4 Jun 2000 Links auf RFCs in Kapitel ``ADSL'' eingefgt und kleinere Fehler behoben +o 2.06 10 Jun 2000 Als Vorbereitung auf die nchsten ADSL Provider wurden nun alle Verweise auf den Musterprovider entfernt (soweit dies sinnvoll und mglich war). +o 2.07 16 Jun 2000 adsl.sh im Kapitel ``ADSL'' eingefgt. Das Script adsl.sh ist erledigt bei Roland die Wiedereinwahl bei ADSL Verbindungsausfllen +o 2.08 22 Jun 2000 Inode Verweise in die Kapitel ``Links zu verwandten Themen'' und ``ADSL'' eingebaut. +o 2.09 23 Jun 2000 Script /bin/datetimenow aktualisiert +o 2.10 26 Jun 2000 Einarbeitung der Anregungen und Ergnzungen von Alois Martin Hopfer einem der Sysadmins von http://www.inode.at +o 2.11 9 Jul 2000 Die Umstellung auf AT-HIGHSPEED-HOWTO ist erfolgt und der Link auf die aktuelle Heimat des HOWTOs wurde in den Titel eingefgt. Weitere Verweise auf den ursprnglichen Provider ausgebaut. Anmerkungen im Kapitel Firewall ergnzt +o 2.12 10 Jul 2000 Link auf das ADSL rpm Paket von Friedrich Lobenstock auf http://www.fl.priv.at/adsl/ eingefgt +o 2.13 12 Jul 2000 Gerhard Maly's Tip, fr fetchmail ein eigenes Kapitel zu spendieren, wurde eingebaut und ein Hiweis wo man fetchtmail bei SUSE findet. +o 2.14 16 Jul 2000 Im Kapitel ``ADSL'' einen Tip aus der at.linux eingefgt, Links auf die RFCs von ppp, chap und pap eingefgt, Link auf Sicherheit in Kabelnetzwerken eingefgt +o 2.15 28 Jul 2000 ediffen der 0erungen die Bernhard Rssmann in das Kapitel ``ADSL'' eingearbeitet hat / Link auf die ADSL Preisvergleiche eingefgt. / PAP/CHAP Umstellung beschrieben. +o 2.16 2 Aug 2000 Fehlerbehebung von Leo Eibler in den checkisdn scripts (fr interne und externe TAs) eingebaut, indem beim ping ein -t8500 mitgegeben wird um die Ping-Wartezeit zu erhhen. +o 2.17 14 Aug 2000 Kommentar von Manfred Larcher im Kapitel ``ADSL'' eingearbeitet. +o 2.18 24 Aug 2000 Beitrag von Stefan Huber im Kapitel dyndns eingearbeitet, den Link ISDN-Router on a disk aufgenommen, Beitrag zum Reseten der ANT von Manfred Larcher im Kapitel ``ADSL'' eingearbeitet. +o 2.19 4 Sep 2000 Link auf den Linux - Router - Masquerading - Proxy - Workshop eingefgt +o 2.20 10 Sep 2000 Link auf das Icewalker ADSL HOWTO eingearbeitet +o 2.21 12 Sep 2000 Beim Erzeugen dern Links mit ln --symbolic war der falsche Dateinamen angegeben (Besten Dank an alle die das reportet haben), Tip von Peter Chiocchetti im Kapitel ``Probleme mit ADSL und deren Lsung'' eingearbeitet +o 2.22 24 Sep 2000 Link S22adsl auf S23adsl korrigiert (Tip von Erich Brunner ) +o 2.23 29 Sep 2000 Kleinere Korrekturen im Kapitel ``Linux als Internetgateway'', struktureller Umbau des HOWTO in die Hauptkapitel ``ADSL'', ``Kabel'', ``ISDN'' und die dazugehrigen ``Internetdienste'' (sendmail, ...). +o 2.24 5 Okt 2000 Beginn der Erstellung des Kapitels ``Unterbrechungsfreie Stromversorgung'' +o 2.25 6 Okt 2000 Kapitel ``Unterbrechungsfreie Stromversorgung'' mit der PIN-Belegung des 9 poligen Steckers ergnzt +o 2.26 15 Okt 2000 Fehler in wvdial.conf behoben und Kapitel ``SMS'' eingearbeitet. +o 2.27 16 Okt 2000 Links aktualisiert im Kapitel ``Links zu verwandten Themen'' +o 2.28 5 Nov 2000 Tip von Marco Kammerer eingearbeitet: ``Rcksetzen der ANT'' funktioniert nur bei Onetouch- Typen; andere ANT-Typen haben damit Probleme. +o 2.29 17 Dec 2000 Kapitel ``Suse-Firewall und ADSL'' von Dieter WERNER eingearbeitet im Kapitel ``ADSL'', +o 2.30 16 Mar 2001 Verweis auf den KPNQwest Linux Support eingefgt +o 2.31 17 Mar 2001 Hinweis auf die Distribution/Version Abhngigkeit der der Lokalitt der Start-/Stop-Scripts eingefgt (/sbin/init.d /etc/init.d /etc/rc.d usw.) +o 2.32 24 Mar 2001 Kapitel ``ADSL-Modem Speed Touch (tm) USB'' eingefgt +o 2.33 15 Apr 2001 Kapitel ``ADSL vs. Security?'' eingefgt +o 3.0 16 Apr 2001 Chello/Telekabel Howto in Kapitel ``Kabel'' eingefgt (AH) +o 3.1 17 Apr 2001 Kapitel ``Kabel'' minor bugs fixed (HS) +o 3.2 29 Apr 2001 Chello/Telekabel Howto in Kapitel ``Kabel'' Update (AH), Kapitel ``TODO'' eingefgt (HS), Link auf das Speedtouch-USB- HOWTO eingefgt (HS) +o 3.3 1. Mai 2001 Fehlender chmod a+x adsl eingebaut (Tipp von Dieter Hfler ) (HS) +o 3.4 7. Mai 2001 Link zum ADSL-Router auf zwei Floppies von Zbigniew Strzempa eingefgt. +o 3.5 10. Jun 2001 Im Kapitel ``adsl-usb'' wurde ein Link eingearbeitet, der auf die Beschreibung von Harald Mller (Gonzo) verweist, in der der Setup von SpeedTouch USB unter Linux sehr einfach und bersichtlich erklrt wird. +o 3.6 10. Jun 2001 Im Kapitel ``ADSL Wiedereinwahlscript'' wurde ein Unterkapitel ``Variante ip-down'' von Dieter WERNER eingefgt, der das Reconnecten der ADSL- Verbindung ber das ip-down script regelt. +o 3.7 11. Jun 2001 Bugfixes in ``Variante ip-down'', Verweis auf das Script im Kapitel ``Automatisches Login/Logout''. Extension in ``Links zu verwandten Themen'' +o 3.8 19. Jun 2001 Ein Kapitel Links im Disclaimer spendiert. +o 3.9 5. Jul 2001 Roland ist bersiedelt ;-) Neue Mailadresse und Homepage eingetragen +o 3.10 17. Jul 2001 Beitrag von Roland Lezuo in Kapitel ``Probleme mit ADSL und deren Lsung'' eingefgt. Von Dieter WERNER stammt das neue Kapitel ``Auswertung des syslog'' +o 3.11 27. Jul 2001 Rckbau aller Eintrge von Version 2.04 vom 30 May 2000 (auf Wunsch des damaligen Autors) und aller dazugehrigen Beitrge. Rckbau aller Hinweise auf den ANT Hersteller (lediglich die Links wurden belassen). +o 3.12 3. Aug 2001 Anmerkung im Kapitel ``ppp-options'' und das neue Kapitel ``DNSmasq'' eingefgt. Alle Ergnzungen stammen von Sebastian C. B. Sauer (nochmals besten Dank frs mehrmalige Fehlerlesen) +o 3.13 16. Aug 2001 Kleiner Korrekturen im Kapitel Telekabel +o 3.14 8 Sep 2001 kpnquest Verweise im Kapitel ``Links zu verwandten Themen'' eingebaut. +o 3.15 15 Sep 2001 bersiedelung des HOWTO auf http://howto.htlw16.ac.at +o 3.16 2 Okt 2001 Auf meinem SBC 5820 is die Harddisk eingegangen. Bei der Gelegenheit hatte ich endlich mal die Chance von Grund auf neu zu installieren. Natrlich alles wie hier im HOWTO beschrieben. Und prompt fanden sich einige notwendige Korrekturen. Ergebnis: AON-Complete nach allen Regeln der Kunst, von einer frischen HD beginnend, sollte in einem (laaaangen) Abend aufgesetzt werden knnen :-)) +o 3.17 9 Okt 2001 Neues Kapitel ``dhcpcd Fehlermeldung'' im Kapitel ``Kabel'' eingefgt. +o 3.18 30 Dez 2001 Im Kapitel ``adsl-usb'' einen Artikel von adi@selingers.com (adi) aus der at.linux eingearbeitet. +o 3.19 30 Dez 2001 Im Kapitel ``SMS'' einen Beitrag von Christian Eder als neues Kapitel ``SMS-Routinen von Christian Eder '' eingearbeitet. +o 3.20 7 Jan 2002 Im Kapitel ``adsl-usb'' den Link auf Linux Driver page for SpeedTouch USB ADSL Modem eingefgt. +o 3.21 12 Jan 2002 Link auf "altes" TK-HOWTO entfernt +o 3.22 26 Mar 2002 E-Mail Adress changed of schmidp@o000o.org +o 3.23 24 Apr 2002 Im Kapitel ``adsl-usb'' einen Link auf das AT- Speedtouch-HOWTO von tuxx@tuxx-home.at (Alexander Griesser) eingefgt +o 3.24 13 Aug 2002 Anmerkung 3 in Kapitel ``pap-secrets'' nach einem Hinweis von Zimmermann Thomas eingefgt. Link zum SpeedTouch USB-HOWTO mit den Benoit - Papillault's Open- Source Treibern eingefgt im Kapitel ``Links zu weiterfhrenden Themen'' +o 3.25 8 Nov 2002 Wieder einmal wurde das Wiedereinwahlscript von Dieter Hfler gendert. Diesmal machten wir daraus gleich ein neues Kapitel ``SuSE 8.1''. Von Erich Birngruber wurde im Kapitel ``Rcksetzen der ANT'' ein Scriptvorschlag eingearbeitet, der auf expect basiert. +o 3.26 18 Nov 2002 neues Kapitel ``pptp ausfhrbar machen'' gespendet von Aljosha wurde eingefgt. +o 3.27 30 Dez 2002 neues Kapitel ``xDSL'' von Bernhard Roessmann eingefgt. +o 3.28 27 Mar 2003 Von Stefan Mannsbart stammt eine berarbeitete Version des Scripts adsl, da beim automatischen Start nun die richtige Variable (ADSL statt AON) auswertet. +o 3.29 1 Jun 2003 Von Wolfgang Winkler wurde das Kapitel ``Manuelle Konfiguration + DHCP-client'' gespendet und integriert +o 3.30 8 Jun 2003 Von Daniel Imrich stammt der Hinweis auf das Suse Config-SpeedTouch-HTML-HOWTO +o 3.31 13 Jul 2003 Von Martin Grohauser statmmt ein Beitrag im Kapitel ``ADSL Wiedereinwahlscript'' wurde die ``Variante direkt in der cron-tab'' eingefgt. Zustzlich wurde von Martin Grohauser das Kapitel ``pptp und BSD'' gespendet. +o 3.32 10 Aug 2003 Von Georg Naggies stammt der Hinweis, da jetzt "pptp 10.0.0.138 --localbind 10.0.0.140" anstatt wie bisher "pptp 10.0.0.138 10.0.0.140" getippt werden mu. Und von Wolfgang Hackl stammt ein weiteres xDSL-Script, da sich nun im Kapitel ``xDSL Script von Wolfgang Hackl'' findet +o 3.33 7 Sep 2003 "Netteres" Wording im Kapitel ``xDSL Script von Wolfgang Hackl''. Von Klaus Triendl stammen die neuen Kapitel ``ADSL & Debian'' und ``Variante persist Option'' +o 3.34 8 Dez 2003 Hinweis auf Zusammenhang von Netzwerkkarten und Verfgbarkeit von Leitungen, eingefgt im Kapitel im Kapitel ``Probleme mit ADSL und deren Lsung''. Im Kapitel ``ppp-options'' die Option replacedefaultroute nach einem Tip von Patrick Eixelsberger eingebaut +o 3.35 15 Jun 2004 Von Anton Steiner stammen die neuen Kapitel ``Kabelzugang ber den USB- Anschluss'' ``Kabelzugang ber Salzburg-Online'' +o 3.36 12 Sep 2004 Von hans-peter.lackner@netstruct.at (Hans-Peter Lackner) stammt ein neues Startscript fr Fedora. Eingefgt im Kapitel ``Automatisches Login/Logout'' als Unterkapitel ``Fedora''. +o 3.37 25 Nov 2004 Von Filip Ljubas wurde im Kapitel ``adsl-usb'' das neue Unterkapitel ``USB Modem Zyxel Prestige'' eingefgt. +o 3.38 4 Jan 2005 Von Wolfgang Hackl wurde ein neues ``xDSL Script'' eingearbeitet, da nun auch PPPoE untersttzt, das seit 2004 von Inode erhltlich ist. +o 3.39 17 Mrz 2005 Von Jacob Rief stammt das neue Kapitel ``xDSL Einwahl bei INODE'' +o 3.40 15 April 2005 Von Florian Lentsch kam der Hinweis, da bei AON-Kunden nicht die 10-stellige Kundennummer, sondern die Teilnehmerkennung als Anmeldenamen zu verwenden ist. Die 0erung wurde eingebracht in den Kapiteln ``/etc/ppp/options'' ``/etc/ppp/pap-secrets'' Anm. von H.Schn: noch verwirrender als das Nummernchaos von AON, geht es eigentlich gar nicht? Alle kundenfreundlichen Provider haben den Realname als Kundennamen und eine Kundennummer fr die interne Verwaltung. Bei der AON ist die Teilnehmerkennung eine genauso nichtssagende Nummer, wie die Kundennummer. Ausser zur Verwirrung der Kunden, sehe ich keinen Grund darin. iche Hinweise gab es vor langer Zeit auch im Kapitel ``hndischer HP upload'' +o 4.01 10 November 2006 Ein neues Kapitel ``UMTS'' wurde begonnen, in dem ich alles sammeln mchte was man fr ``UMTS'' in sterreich alles tun muss um es unter Linux zum Laufen zu bringen. Im Moment ist das Kapitel nur eine Sammlung von Notizen. Vielleicht findet sich jemand, der es schn aufbereiten mchte. Ideen und Anregungen sind ausdrcklich willkommen. Viel Spass. +o 4.02 19 Feb 2007 Von David Whrer stammt das neue Kapitel ``ADSL & Debian - Stand 2007'' +o 4.03 1 Mar 2007 Einige tote Links entfernt und ein Beispiel des Files /etc/ppp/options eingefgt im Kapitel ``/etc/ppp/options'' +o 4.04 27 Jnner 2009 Kapitel ``UMTS - 2009'' eingefgt 1.6. TODO 1.6.1. ``ADSL'' nothing todo 1.6.2. ``Kabel'' http://wet.port5.com/ ------------ http://www.mindstorm.com/~sparlin/demos/fwconfig/ ------------------ http://www.oreilly.de/german/freebooks/linux_netz/inhalt.html ----------------- Masquerading MINI-HOWTO Dieses Dokument beschreibt folgende Situation und lst das Problem vollstndig: 1 Linux (oder kompatible :) Rechner (2.2.x er Kernel oder hher) mit Internetanbindung 1 oder mehrere Rechner (beliebiges Betriebssystem) ohne Internetanbindung, welche angebunden werden sollen. Beliebige Netzwerkkonstellation Der Internetzugang am Linuxrechner mu bereits konfiguriert worden sein, wenn nicht lesen Sie bitte das Internet mit Linux Tutorial.. a) Am Linux Rechner - Kernel mit Masquerading Support compilen cd /usr/src/linux make xconfig - fr Konfiguration von X-Windows aus make menuconfig - fr Konfiguration im Textmodus (ncurses men) make config - fr Konfiguration im Textmodus (nicht empfohlen) Einstellungen vornehmen nach belieben, jedoch in der Sektion Networking Options (mindestens) follgende Einstellungen vornehmen: (wenn mglich, bzw. ntig kann anstatt yes auch module genommen werden) TCP/IP Networking: yes IP: Firewalling: yes IP: Always defragment: yes IP: transparent proxy support: yes IP: masquerading: yes IP: ICMP masquerading: yes (ab hier folgen nur noch optionale Einstellungen) Masquerading special modules support: yes IP: ipautofw masq support (EXPERIMENTAL): modules (empfohlen) (Achtung! Sie men in der Section Code Maturaty Level Options Ask for incomplete/developement drivers auf yes setzen) IP: ipportfw masq support (EXPERIMENTAL): modules (empfohlen) (Achtung! Sie men in der Section Code Maturaty Level Options Ask for incomplete/developement drivers auf yes setzen) IP: ipfw masq-forwarding support(EXPERIMENTAL): modules (empfohlen) (Achtung! Sie men in der Section Code Maturaty Level Options Ask for incomplete/developement drivers auf yes setzen) -- In der Section Filesystems men sie /proc filesystem unbedingt auf YES setzen!!! Ansonsten wird masquerading nicht mglich sein!!! Dannach auf Save+Exit gehen und folgendes ausfhren: make dep && make zImage && make zlilo Achten Sie auf die Gro/Klein Schreibung! Falls dies fehl schlgt: make dep && make bzImage && make bzlilo Dannach make modules && make modules_install Achtung! Bei manchen Systemen ist noch cd / cp vmlinuz System.map /boot/ lilo notwendig... Dannach bitte neustarten shutdown -r now ctrlaltdel reboot (restart) oder einfach STRG+ALT+ENTF drcken (keine Angst, Linux fngt dies ab, und fhrt das script restart aus) - Masquerading aktivieren Nach jedem Neustart des Systems mu ipchains -P forward DENY ipchains -A forward -i eth0 -j MASQ echo 1 > /proc/sys/net/ipv4/ip_forward eingegeben werden... Ersetzen sie eth0 gegebenenfalls duch ihr Netzwerkinterface (ppp0, eth1....) Wenn sie sich mich ipchains auskennen knnen sie jetzt auch noch diverse Services sperren, oder gewisse IPs... Wie sie es bewltigen das jedesmal auszufhren bleibt ihnen berlassen (init.d script empfohlen...) b) Clientseitige konfiguration Die IP vergabe bleibt ihnen berlassen, stellen sie jedoch sicher das der Linuxrechner pingbar ist. Wichtig ist, das sie bei ihren TCP/IP einstellungen, die IP des Linuxrechners (internet IP) als Gateway angeben... Manchmal ist es notwendig die externe (Internet) IP des Linuxrechners als Gateway anzugeben ---------------------------- Roland Seuhs -- Gerasdorf bei Wien/Austria http://Roland.Seuhs.com +43/(0)699/10073892 Mail in German, French or English please Linux als Internetgateway Was macht ein Gateway? Ein Gateway ist im Prinzip nichts anderes als Netzwerkpakete von einen Netzwerk in ein anderes zu transportieren. Ein anderes Wort fr Gateway ist Router. Um auf zwei Netzwerke zugreifen zu knnen, mu ein Gatewayrechner zwei Gerte zu Verfgung haben um Netzwerke anzusprechen. Also zum Beispiel zwei Netzwerkkarten, oder eine Netzwerkkarte und ein Modem. Wenn beide Netzwerke auf dem Rechner bereits laufen und funktionieren, kann man den Gateway aufsetzen. Wenn Sie ein lokales Netzwerk haben und ein Rechner in diesen Netz verfgt ber einen Internetanschlu, so knnen Sie dann mit allen anderen Rechnern im Netz ebenfalls auf das Internet zugreifen, wenn Sie diesen Rechner als sogenannten Gatewayrechner betreiben. Da die Lizenzgebhren fr Windows NT als Gateway sehr teuer sind, bietet sich Linux fr diesen Zweck geradezu an. Nun stellt sich folgendes Problem: Die lokalen Netzwerkadressen (z.B. 192.168.x.x) werden nicht ins Internet geroutet. - Logischerweise, denn diese Adressen mssen offiziell nicht angemeldet werden und sind fr lokale Netzwerke reserviert. Man htte tausende gleiche IP Adressen wenn diese ins Internet geroutet werden. Die Lsung ist IP Maskierung. Bei diesem Verfahren werden die Pakete mit der IP Adresse des Gateways weitergeschickt. Um bei den vom Internet zurckgeschickten Paketen unterscheiden zu knnen welches Paket zu welchen Computer weitergeleitet werden soll, werden den Rechnern verschiedene Ports zugeordnet. (Die Antworten aus dem Internet gehen dann an diese Ports und werden dann vom Gateway an die jeweiligen Rechner weitergeleitet) Der Rechner, der die Pakete schickt, merkt nicht, da der Gatewayrechner die Pakete an andere weiterleitet. Es werden Pakete an die selbe IP Adresse, aber an verschiedene Ports geschickt. - Aber das kann durchaus auch beim normalen Betrieb passieren; So benutzen z.B. Telnet, ftp und http verschiedene Ports. Voraussetzungen Um IP Maskierung einzurichten, mu man (neben einen Internetzugang und einen lokalen Netz) unter Umstnden den Kernel neu konfigurieren. - Bei modernen Distributionen (z.B. SuSE 6.3 ist das jedoch nicht erforderlich) Probieren Sie es einfach aus; Falls sich die Module nicht laden lassen, mssen sich folgende Optionen bei der Neukompilation anwhlen: * Prompt for development and/or incomplete code/drivers CONFIG_EXPERIMENTAL - this will allow you to select experimental IP Masquerade code compiled into the kernel * Enable loadable module support CONFIG_MODULES - allows you to load ipmasq modules such as ip_masq_ftp.o * Networking support CONFIG_NET * Network firewalls CONFIG_FIREWALL * TCP/IP networking CONFIG_INET * IP: forwarding/gatewaying CONFIG_IP_FORWARD * IP: firewalling CONFIG_IP_FIREWALL * IP: masquerading CONFIG_IP_MASQUERADE * IP: ipportfw masq support CONFIG_IP_MASQUERADE_IPPORTFW - recommended * IP: ipautofw masquerade support CONFIG_IP_MASQUERADE_IPAUTOFW - optional * IP: ICMP masquerading CONFIG_IP_MASQUERADE_ICMP - support for masquerading ICMP packets, recommended. * IP: always defragment CONFIG_IP_ALWAYS_DEFRAG - highly recommended * Dummy net driver support CONFIG_DUMMY - recommended * IP: ip fwmark masq-forwarding support CONFIG_IP_MASQUERADE_MFW - optional Falls diese Optionen in Ihren Kernel nicht vorhanden sind, kompilieren Sie einen neuen Kernel. Bevor Sie den Computer neu starten, fgen Sie folgende Zeilen in ein geeignetes (soll beim booten ausgefhrt werden; /sbin/init.d/boot.local fr SuSE) Skript ein. Schalten Sie auerdem noch IP-forwarding ein: Unter SuSE: Setzen Sie die Variable IP_FORWARD in /etc/rc.config auf yes Unter RedHat wird es folgendermaen eingeschalten: echo 1 > /proc/sys/net/ipv4/ip_forward Sie sollten das auch unter SuSE machen, weil viele Programme diese Datei berprfen. Wenn ihr Kernel nun geeignet ist um IP-Maskierung zu betreiben, dann geben Sie folgendes ein und achten Sie auf Fehlermeldungen: # IP Masquerading: ############################ # Module laden: /sbin/depmod -a /sbin/modprobe ip_masq_ftp /sbin/modprobe ip_masq_raudio /sbin/modprobe ip_masq_irc /sbin/modprobe ip_masq_cuseeme /sbin/modprobe ip_masq_vdolive # Forwarden einschalten (nur einmal notwendig: #echo 1 > /proc/sys/net/ipv4/ip_forward # Einstellungen machen: ipchains -P forward DENY ipchains -A forward -s 192.168.x.0/255.255.255.0 -j MASQ Die letzte Zeile erlaubt dem Netz 192.168.x.0 IP-Maskierung zu benutzen. Wenn alles klappt, dann tragen sie obiges in /sbin/init.d/boot.local (SuSE) oder in ein anderes geeignetes Bootskript ein. Erklrung: Zuerst werden die bentigten Kernelmodule geladen. Dann werden die Einstellungen zur Sicherheit gesetzt: ipchains -P forward DENY bestimmt, da die Standardeinstellung fr alle Rechte die Verweigerung der IP Maskierung ist. Andernfalls knnte jemand seine Identitt verschleiern indem er Pakete durch Ihr Gateway schickt. (Ist zwar fr einen Whlleitungszugang unwahrscheinlich, aber die Konsequenzen knnen sehr rgerlich sein, wenn jemand Illegales ber Ihr Gateway gemacht hat.) Prinzipiell sollte man nur das ntigste erlauben, also erlauben wir IP Maskierung nur fr unser lokales Netz mit ipchains -A forward -s / -j MASQ Selbstverstndlich knnen Sie IP-Maskierung auch nur fr einzelne Rechner zulassen: ipchains -A forward -s / -j MASQ Bedenken Sie aber, da jemand, der auf einen von den Rechnern ber das Netz einloggen kann, trotzdem die IP Maskierung benutzen kann. Wenn Sie die IP-Maskierung ausprobieren, versuchen Sie zuerst einmal IP Nummern anstatt normaler Namen; Vielleicht stimmt Ihre Nameservereinstellung nicht. Einrichtung der Maschinen, die ber das Netz IP-Maskierung nutzen wollen: SuSE: YaST -> Administration des Systems -> Netzwerk konfigurieren -> Netzwerk Grundkonfiguration -> F6 (IP-Adressen) bei dem entsprechenden Netz drcken -> Adresse default-Gateway eintragen: (=Adresse des Servers) /usr/sbin/rcroute restart Allgemein: Eintrag default in /etc/route.conf eintragen Routing neu starten ----------------------------------------- 1.6.3. ``ISDN'' nothing todo 1.7. Support Aus gegebenem Anla: Es hat keinen Sinn wenn Sie die Autoren mit Mails bombardieren oder versuchen telephonisch zu erreichen! Wenn in diesem HOWTO etwas miverstndlich erklrt ist, oder etwas aus anderen Grnden bei Ihnen nicht funktioniert, wenden Sie sich bitte vertrauensvoll an die Newsgroup at.linux oder noch besser an den Support Ihres Providers. *1) dort werden Sie geholfen ;-) (frei nach Verona Feldbusch) Andernfalls sind die Autoren nur noch mit 1st-level-support beschftigt und finden keine Zeit mehr an diesem Dokument zu arbeiten. Sollten Sie aber eine Lsung fr Ihr Problem haben, dann sind sie selbstverstndlich herzlich eingeladen die Lsung an einen der Autoren zu senden. Wir werden dann gerne die notwendigen 0erungen und Ergnzungen vornehmen. Da wir das HOWTO in unserer Freizeit "non- profit" betreiben, sind wir nur nicht zur Lsung individueller Probleme in der Lage. Dazu fehlt (zumindest mir - Heimo Schn) sowohl die Erfahrung, als auch ein ADSL-Zugang und Hardware zum Testen verschiedener Konfigurationen. BESTEN DANK FR IHR VERSTIS !!! *1) Ich wei das es fast schon zynisch klingt, wenn ich Sie an Ihren Provider verweise, da die meisten sterreichischen Provider (z.B.AON) die Existenz von Linux bestreiten. Auch wenn Sie Hilfe z. B. aus der at.linux erhalten, sollten Sie den Provider darauf hinweisen, da Sie mit Ihren Beitrgen auch die Hotline bezahlen, die Hotline Ihnen aber nicht helfen kann, weil Linux nicht untersttzt wird. Wenn gengend Leute die Hotline qulen, dann wird auch der Provider irgendwann zur Kenntnis nehmen mssen, da es Linux gibt. Danke fr Ihr Verstndnis und fr Ihre Mitarbeit bei der Verbreitung von Linux. Ich kann daher allen Linux-Newbies nur empfehlen, erkundigen Sie sich z.B. bei Freunden, oder in der at.linux inwieweit sterreichische Provider auch Linux Support anbieten. Bei AON sind Sie z.B. vllig falsch. Da werden Sie an der Hotline kaltschnuzig abgewiesen, wenn Sie Linux erwhnen. Der Provider Inode hingegen, betreibt eine wunderbares Linux-HOWTO fr seinen ADSL Zugang, das vor allem fr Anfnger hervorragend (wenn nicht sogar besser wie wie dieses HOWTO) geeignet ist, fr die ersten Schritte mit ADSL unter Linux. Provider mit Linux Support in sterreich (die Liste ist noch ein bischen sprlich ;-) : +o Bei Inode finden Sie ADSL- Support unter Linux! +o Andy Dunkl verweist nicht ganz zu unrecht auf den KPNQwest Linux Support Ich bin fr alle Tips dankbar, sollten sich weitere Provider finden die schon von Linux gehrt haben. 2. UMTS 2.1. UMTS - 2006 Dieses Kapitel basiert auf diversen Postings und einem PDF-File die unter folgenden Links gefunden wurden: http://joergweis.wordpress.com/tag/linux/ http://www.linuxforen.de/forums/showthread.php?t=157913 http://joergweis.wordpress.com/files/2006/06/vodafone_gt3g_emea_HOWTO.pdf Dieses Kapitel ist also nur eine kurze Sammlung von Tips wie man UMTS mit einer A1-Vodafon-Karte in sterreich zum Laufen bringt. Andere Lnder werden hier nicht behandelt. Ich habe mit den Typangaben auf meiner Karte nach folgendem String im Internet gesucht: "Vodafone GT 3G+ linux" und habe dabei die obigen Links gefunden. Wahrscheinlich gibt es noch viel mehr, aber die obigen Links haben bei mir zum Erfolg gefhrt (Vielen Dank an Jrg Weis, ...) Trickreich ist, da man einen Kernelmodul herunterladen muss (als Source-tgz), den ich aber dort wo im obigen PDF angegeben, nicht gefunden habe. Unter dem nachfolgenden Link bin ich dann fndig geworden: http://packages.debian.org/unstable/net/nozomi-source Das tgz-File ist 25 kbyte gross und mit einem beherzten make compilierbar (getestet auf einer Suse 10.1). Das make install geht leider nicht, weil der modprobe -r (nona) nicht klappt, aber das einzige cp das make-install dort macht kann man auch per Hand machen (also cat Makefile und den cp ganz am Ende per Hand machen: cp -f nozomi.ko /lib/modules/$(uname -r)/kernel/drivers/pci/hotplug Dann ein beherztes modprobe nozomi.ko und die Karte in den GPRS-Slot und schon hat man 4 neue devices /dev/noz0 bis /dev/noz3 und dmesg besttigt die gefundene Karte. Weiter gehts dann wie im oben erwhnten PDF-File beschrieben. 2.2. UMTS - 2009 Von der Seite http://www.blogeee.net/2008/03/14/tutorial-une-cle-3g- sur-votre-ultraportable-pour-30e/ habe ich das File wget http://asuseee.free.fr/tuto/01/icon225.tar.gz heruntergeladen, das im Wesentlichen aus folgenden zwei Teilen besteht, die ich beide in mein Homedirecotory auf einer Suse 11 kopiert habe: script connect.sh in eine Datei kopieren und ausfhrbar machen mit chmod a+x connect.sh #!/bin/sh ################################################################################################# # Script: hso_connect.sh # Purpose:Bring the interface up and down, send the needed AT commands to connect ################################################################################################# # checking for root USERID=`id -u` if [ "$USERID" != "0" ] then echo "Need root permissions to run this script" exit fi # always start with checking if a connection data file has been supplied CONNECTIONFILE="conninfo.ini" if [ -z "$2" ] then if [ ! -f $CONNECTIONFILE ] then echo "# this file contains the connection information for your subscription" >> $CONNECTIONFILE echo "APN=web.pro.be" >> $CONNECTIONFILE echo "# USER=" >> $CONNECTIONFILE echo "# PASS=" >> $CONNECTIONFILE echo "# PIN=" >> $CONNECTIONFILE fi else if [ -f $2 ] then CONNECTIONFILE=$2 else echo "Supplied file $2 does not exist" exit 1 fi fi DEVICE=/dev/ttyHS0 NETDEV=hso0 TMPFIL=/tmp/connect.$$ OUTPUTFILE=/tmp/output.$$ SCRIPTFILE=/tmp/scriptfile.$$ ################################################################################################# # METHOD: Connect # PURPOSE:Connect to the specified APN with the specified user and pass and get the ip # set the IP to the interface ################################################################################################# Connect() { echo "Initializing..." #============================================================ # get the APN, USER, PASS and PIN out of the connection file #============================================================ APN=`grep '^APN=' $CONNECTIONFILE | cut -d= -f2` USER=`grep '^USER=' $CONNECTIONFILE | cut -d= -f2` PASS=`grep '^PASS=' $CONNECTIONFILE | cut -d= -f2` PIN=`grep '^PIN=' $CONNECTIONFILE | cut -d= -f2` if [ -z "$APN" ] then echo "Please provide an APN (eg web.pro.be)" exit fi #============================================================ # send the PIN, APN, USER and PASS #============================================================ rm -f $SCRIPTFILE echo "ABORT ERROR" > $SCRIPTFILE echo "TIMEOUT 10" >> $SCRIPTFILE echo "\"\" ATZ" >> $SCRIPTFILE if [ -n "$PIN" ] then echo "OK \"AT+CPIN=\\\"$PIN\\\"^m\"" >> $SCRIPTFILE fi echo "OK \"AT+COPS=0^m\"" >> $SCRIPTFILE echo "OK \"\d\d\d\d\d\d\dAT+COPS=?^m\"" >> $SCRIPTFILE echo "OK \"AT+CGDCONT=1,,\\\"$APN\\\"^m\"" >> $SCRIPTFILE if [ -n "$USER" -a -n "$PASS" ] then echo "OK \"AT\$QCPDPP=1,1,\\\"$PASS\\\",\\\"$USER\\\"^m\"" >> $SCRIPTFILE fi echo "OK \"\"" >> $SCRIPTFILE #============================================================ # run the script #============================================================ echo "Trying $APN ..." rm -f $OUTPUTFILE ( /usr/sbin/chat -E -s -V -f $SCRIPTFILE <$DEVICE >$DEVICE ) 2> $OUTPUTFILE ISERROR="`grep '^ERROR' $OUTPUTFILE`" if [ -n "$ISERROR" ] then echo "Failed to initialize connection" cat $OUTPUTFILE echo " " rm -f $OUTPUTFILE exit fi ISERROR="`grep '^+CME' $OUTPUTFILE`" if [ -n "$ISERROR" ] then echo "Failed to initialize connection" cat $OUTPUTFILE echo " " rm -f $OUTPUTFILE exit fi rm -f $SCRIPTFILE sleep 2 #============================================================ # now actually connect #============================================================ echo "Connecting..." stty 19200 -tostop # make the call script echo "ABORT ERROR" > $SCRIPTFILE echo "TIMEOUT 10" >> $SCRIPTFILE echo "\"\" ATZ" >> $SCRIPTFILE echo "OK \"AT_OWANCALL=1,1,0^m\"" >> $SCRIPTFILE echo "OK \"\d\d\d\d\dAT_OWANDATA=1^m\"" >> $SCRIPTFILE echo "OK \"\"" >> $SCRIPTFILE PIP="" COUNTER="" while [ -z "$PIP" -a "$COUNTER" != "-----" ] do echo "trying$COUNTER" sleep 2 rm -f $OUTPUTFILE ( /usr/sbin/chat -E -s -V -f $SCRIPTFILE <$DEVICE > $DEVICE ) 2> $OUTPUTFILE ISERROR=`grep '^ERROR' $OUTPUTFILE` if [ -z "$ISERROR" ] then PIP="`grep '^_OWANDATA' $OUTPUTFILE | cut -d, -f2`" NS1="`grep '^_OWANDATA' $OUTPUTFILE | cut -d, -f4`" NS2="`grep '^_OWANDATA' $OUTPUTFILE | cut -d, -f5`" fi COUNTER="${COUNTER}-" done echo Connected #============================================================ # always check the IP address #============================================================ if [ -z "$PIP" ] then echo "We did not get an IP address from the provider, bailing ..." cat $OUTPUTFILE rm -f $OUTPUTFILE exit fi rm -f $OUTPUTFILE #============================================================ # setting network settings #============================================================ echo "Setting IP address to $PIP" ifconfig $NETDEV $PIP netmask 255.255.255.255 up echo "Adding route" route add default dev $NETDEV mv -f /etc/resolv.conf /tmp/resolv.conf.hso echo "Setting nameserver" echo "nameserver $NS1" > $OUTPUTFILE echo "nameserver $NS2" >> $OUTPUTFILE mv $OUTPUTFILE /etc/resolv.conf echo "Done." } ################################################################################################# # METHOD: Disconnect # PURPOSE:disconnect from the providers network ################################################################################################# Disconnect() { echo "Bringing interface down..." ifconfig $NETDEV down echo "Disconnecting..." # make the disconnect script rm -f $SCRIPTFILE echo "TIMEOUT 10" >> $SCRIPTFILE echo "ABORT ERROR" >> $SCRIPTFILE echo "\"\" ATZ" >> $SCRIPTFILE echo "OK \"AT_OWANCALL=1,0,0^m\"" >> $SCRIPTFILE echo "OK \"\"" >> $SCRIPTFILE #============================================================ # run the script #============================================================ /usr/sbin/chat -V -f $SCRIPTFILE <$DEVICE >$DEVICE 2> /dev/null if [ -f /tmp/resolv.conf.hso ] then echo "Reset nameserver..." mv -f /tmp/resolv.conf.hso /etc/resolv.conf fi echo "Done." } ################################################################################################# # METHOD: usage # PURPOSE: ################################################################################################# usage() { echo Usage: $0 \(up\|down\|restart\) } ################################################################################################# # Choose your action ################################################################################################# case "$1" in up) Connect ;; down) Disconnect ;; restart) Disconnect Connect ;; *) usage ;; esac Die Datei conninfo.ini legen Sie im selben Directory an, wie die obige Datei connect.sh. Bei dieser Datei sind die Zugriffsrechte egal. Zumindest Readrechte fr Root sollten bestehen: # this file contains the connection information for your subscription APN=business.gprsinternet # USER= # PASS= # PIN= Bei der Suse 11.0 ist unter dir /lib/modules/2.6.27.7-9-default/kernel/drivers/net/usb/hso.ko der passende Treiber fr den Webnwalk-Stick schon dabei. Man kann daher die anderen Files aus obigem Download getrost weglassen. Man muss lediglich +o booten +o Kommando usb_modeswitch eintippen +o in das Directory wechseln wo die beiden obigen Files liegen +o Kommando su eingeben +o Kommando ./connect.sh up eintippen Wird die Verbindung nicht mehr bentigt, gengt ein beherztes +o Kommando ./connect.sh down und schon wird die UMTS-Verbindung wieder unterbrochen. Bei Problemen knnen Sie prfen ob nach dem Kommando usb_modeswitch die Dateien /dev/ttyHS0, /dev/ttyHS1 und /dev/ttyHS2 erzeugt wurden. Wenn nicht, dann wurde kein HSO Stick gefunden. Dann haben Sie keinen web'n'walk Stick in Verwendung. Ein weiteres Problem knnte der PIN sein. Ich hab bei mir den Stick einmal unter Windows gestartet und gleich den PIN ausgeschaltet. Damit kann ich unter Linux den PIN weglassen. Wenn der Verbindungsaufbau trotzdem nicht funktioniert, legt das Script einige Files im Directory /tmp an. Die Files sind mit Prozessnummern durchnummereriert, soda keine verloren gehen. Dort kann man nachlesen was passiert oder auch nicht. 3. ADSL Dieses Kapitel wurde von Bernhard Roessmann zusammengetragen. Inode Kunden finden hier eine wunderbare Anleitung zur Installation von ADSL unter Linux. Weiters gibt es von Friedrich Lobenstock ein ADSL rpm, da Sie von hier abholen knnen. 3.1. ADSL Grundwissen 3.1.1. Wie funktioniert ADSL unter Linux? Gar nicht. Warum? Es gibt kein "ADSL", sondern viel mehr gibt es ADSL- Lsungen verschiedener Hersteller mit unterschiedlichen Protokollen. Wer also eine deutsche Beschreibung liest wird damit im oesterreichischen Netz von wenig anfangen. Deshalb dieses HOWTO: ADSL & Linux. 3.1.2. Was sind PPTP und PPoE? Sowohl in Oesterreich wie auch in Deutschland wird fuer ADSL- Verbindungen "PPP" (Point-to-Point-Protocol) verwendet. Dieses Protokoll ist der Standard fuer Modemverbindungen. PPtP und PPoE tunneln eine PPP-Verbindung ueber ein lokales LAN welches im einfachsten Fall nur aus dem ADSL-Modem und dem Arbeitsplatzrechner besteht: 3.1.2.1. PPoE PPoE ist das aeltere Protokoll (RFC 2516) und wurde von UUNET/RedBack/RouterWare entwickelt. Es setzt die PPP-Verbindung direkt auf Ethernet, die Verbindung zwischen zwei Ethernet-Ports wird durch die Ethernet-Adressen und einer Session-ID identifiziert. Der groesste Nachteil dieses Protokolls ist, da durch den zusaetzlichen Rahmen die maximale Laenge der IP-Pakete reduziert wird (geringere MTU). 3.1.2.2. PPtP PPtP ist ein in Redmond entwickeltes Protokoll (RFC 2637) zur Tunnelung einer PPP-Verbindung innerhalb einer IP-Verbindung. Obwohl typischerweise ebenfalls auf einem Ethernet eingesetzt, ist eine PPTP- Verbindung genauso wie jede andere IP-Verbindung nicht an ein bestimmtes Transportmedium gebunden. Der Preis fuer diese Flexibilitaet ist allerdings ein erhoehter Overhead. Diese Protokoll wird von den ANTs im sterreichischen Netz zur Zeit benutzt. R4 Verschlsselung wird von den ANTs nicht unterstuetzt, und damit entfaellt auch die Loesung diverser mit dieser Verschlsselung zusammenhaengender Probleme. 3.1.3. Wie ist das sterreichische ADSL aufgebaut? Der Arbeitsplatzrechner wird ueber ein Twistet-Pair-Kabel mit RJ-45 Steckern (1:1) mit der ANT verbunden. Anfangs wurde das A1000, in der Zwischenzeit das Nachfolgemodell Speed Touch(tm) Home verwendet. Dieses Modem setzt PPTP auf PPoA (RFC 2364) - Point-to-Point-over-ATM um. Dh. die PPP-Verbinung wird am sterreichischen Netz ueber ATM getunnelt. Die ATM-Strecke wird bis zum Internet-Provider gefuehrt, bei diesem endet die PPP-Verbindung. 3.1.4. Wie funktioniert PPTP? Fuer den Verbindungsaufbau genuegt es den Hostnamen (bzw. die IP- Adresse) der Gegenstelle zu kennen (Default: 10.0.0.138). Innerhalb dieser Verbindung wird nun eine PPP-Verbindung aufgebaut. Patches fuer bestimmte Hardware-Versionen waren nur beim A1000-Modem notwendig. In Windows-Umgebung wird der Treiber fuer dieses (und andere) Protokolle als "VPN-Modem" bezeichnet. Fuer den - eher unwahrscheinlichen Fall - das sich zwischen ADSL-Modem und Rechner auf dem der PPTP-Client laeuft, noch eine Firewall befindet, ist zu beachten, dass PPTP neben einer TCP-Verbindung auf Port 1723 auch eine IP-Verbindung mit der Protokoll-ID 47 (GRE) eroeffnet; normalerweise befindet sich jedoch ohnehin die Firwall hinter dem PPTP-Clientrechner. 3.1.5. Was ist bei der PPP-Verbindung zu beachten? Der pppd wird vom pptp-Client automatisch gestartet. Es gibt hier eigentlich nur einen wesentlichen Fallstrick - die Authentifizierung. Das ADSL Netz verwendet hier MS-CHAP (ident MD5-CHAP). Es handelt sich dabei um eine von MS abgewandelte Form des CHAP. Fuer Linux-Benutzer wesentlich: Es ist eine aktuelle Version von PPP erforderlich, oder ein Patch bei einer aelteren Version. Die "debug" Option ist am Anfang sehr nuetzlich, damit kann man den Fortschritt beim Verbindungsaufbau im syslog (tail -f /var/log/messages) beobachten. Fuer die MTU ist kein eigener Parameter erforderlich. 3.1.6. Was mu ich als ADSL Kunde besonders beachten? Da manche ADSL Kunden in den Genu eines (z. B. 1 GB) Download-Limits gekommen sind, sollten Sie bei allen Einstellungen von sendmail, fetchmail, fetchnews, etc. darber nachdenken wieviel trafic durch stndiges Abholen von z. B. 50 Newsgroups verursacht wird. Die Kapitel weiter oben (z. B. leafnode, etc.) sind zwar fr ADSL User prinzipiell gltig, aber nicht darauf abgestimmt mglichst wenig download-traffic zu verursachen. Daher alle Einstellungen z. B. in der crontab mglichst restriktiv einstellen, oder gleich aus der crontab aushngen und bei Bedarf von Hand starten. Das ist zwar dann alles nicht besonders elegant, aber es betrifft ja auch nur ADSL Kunden die einen Provider mit Download- Limit gewhlt haben. 3.1.7. Sonstiges Die ANT besitzt ueber die eigentliche Modemfunktion hinausgehend einige interessante Faehigkeiten - etwa ein einfacher DHCP und DNS- Server mit dem man dem eigenen LAN Adressen und Namen zuweisen kann. Es beherrscht darueber hinaus "Bridging" wie auch mehrere parallele PPP-Verbindungen, beides wird jedoch im ADSL Netz nicht unterstuetzt, genaueres ist dazu in der dem Modem beiliegenden Beschreibung zu finden. 3.2. Ausgangsannahmen Der Zustand bevor Sie mit der Installation beginnen sollte folgendermaen aussehen: +o eingeloggt als root +o ADSL Zugang mit +o "A1000" oder "Speed Touch(tm)" ADSL "Modem" (auch "ANT" genannt) 3.3. Ethernet konfigurieren Entsprechend der Anleitung der eingesetzten Distribution die Netzwerkkarte konfigurieren (SuSE: mit Yast; sonst: ifconfig). IP-Adresse: 10.0.0.140 Subnetmask: 255.255.255.0 Rechnername: (statt gewnschten Namen verwenden) In /etc/hosts einen Hostnamen fr den Ant vergeben: 10.0.0.138 alcatel 10.0.0.138 ist brigens die IP, auf die der ANT werksseitig eingestellt ist. Wem das nicht gefaellt, kann ja mal mit seinem WWW-Browser http://10.0.0.138 probieren :-) In /etc/resolv.conf die Nameserveradressen eintragen, z.B. fr den Provider INODE (Wien): nameserver 195.58.160.2 nameserver 195.58.161.3 Oder fr den Provider AON: nameserver 195.3.96.67 nameserver 195.3.96.68 ACHTUNG!! Bei SuSE stattdessen folgendes in /etc/rc.config eintragen und danach SuSEconfig starten (resolv.conf wird automatisch erzeugt): INODE (Wien): SEARCHLIST="inode.at" NAMESERVER="195.58.160.2 195.58.161.3" AON: SEARCHLIST="aon.at" NAMESERVER="195.3.96.67 195.3.96.68" Neu boooten ;-) (es reicht auch beenden und neustarten aller Netzmodule z. B.: /sbin/init.d/network restart ) Netzwerk testen mit "ping ", es sollte in etwa folgende Ausgabe erscheinen: 64 bytes from 10.0.0.140: icmp_seq=0 ttl=255 time=0.128 ms 64 bytes from 10.0.0.140: icmp_seq=1 ttl=255 time=0.207 ms ANT testen mit "ping alcatel": 64 bytes from 10.0.0.138: icmp_seq=0 ttl=15 time=1.464 ms 64 bytes from 10.0.0.138: icmp_seq=1 ttl=15 time=1.496 ms Der Ping zum Point-to-Point Partner sollte ca. 20 ms dauern (am Abend gelegentlich auch 200ms). TODO: Die Installation eines eigenen Caching-Name-Servers macht Sinn (eine DNS-Aufloesung dauert ansonsten jedes Mal ca. 100ms, liegt das Record im Cache nur ca. 1ms) 3.4. ppp konfigurieren 3.4.1. /etc/ppp/options In /etc/ppp/options sollte folgendes eingetragen sein: noipdefault name "" noauth defaultroute replacedefaultroute Anmerkung1: "" ist der Name der einem vom Provider zugeteilt wurde in Anfhrungsstrichen (z. B. die Teilnehmerkennung bei AON Kunden bzw. Benutzername@provider.at bei allen anderen sterreichischen Providern). Anmerkung2: Im File /etc/ppp/options sollten die folgenden beiden Zeilen eingetragen werden: lcp-echo-failure 10 lcp-echo-interval 10 Ein ppp options file das fr PPTP / ADSL ANT gedacht ist, findet sich hier : # /etc/ppp/options # # Not every option is listed here, see man pppd for more details. This file # is read by the pppd, it is an error when it is not present. # # Use the following command to see the active options: # grep -v ^# /etc/ppp/options | grep -v ^$ # # The name of this server. Often, the FQDN is used here. #name # Enforce the use of the hostname as the name of the local system for # authentication purposes (overrides the name option). #usehostname # If no local IP address is given, pppd will use the first IP address # that belongs to the local hostname. If "noipdefault" is given, this # is disabled and the peer will have to supply an IP address. noipdefault # With this option, pppd will accept the peer's idea of our local IP # address, even if the local IP address was specified in an option. #ipcp-accept-local # With this option, pppd will accept the peer's idea of its (remote) IP # address, even if the remote IP address was specified in an option. #ipcp-accept-remote # Run the executable or shell command specified after pppd has terminated # the link. This script could, for example, issue commands to the modem # to cause it to hang up if hardware modem control signals were not # available. # If mgetty is running, it will reset the modem anyway. So there is no need # to do it here. #disconnect "chat -- \d+++\d\c OK ath0 OK" # Increase debugging level (same as -d). The debug output is written # to syslog LOG_LOCAL2. #debug # Enable debugging code in the kernel-level PPP driver. The argument n # is a number which is the sum of the following values: 1 to enable # general debug messages, 2 to request that the contents of received # packets be printed, and 4 to request that the contents of transmitted # packets be printed. #kdebug n # noauth means do not require the peer to authenticate itself, this must # be set if you want to use pppd to connect to the internet. In this case # *you* must authenicate yourself to the peer(internet provider), so do # not disable this setting unless you are the dial-in server which where # the peer has to autenticate to. noauth # Use hardware flow control (i.e. RTS/CTS) to control the flow of data # on the serial port. crtscts # Specifies that pppd should use a UUCP-style lock on the serial device # to ensure exclusive access to the device. lock # Use the modem control lines.(is default) modem # The opposite: local # # Description: # Don't use the modem control lines. With this option, pppd will ignore the # state of the CD (Carrier Detect) signal from the modem and will not change # the state of the DTR (Data Terminal Ready) signal. # # You need to disable modem and enable local if you want to connect to anoter # system without using a modem: #local # async character map -- 32-bit hex; each bit is a character # that needs to be escaped for pppd to receive it. 0x00000001 # represents '\x01', and 0x80000000 represents '\x1f'. # To allow pppd to work over a rlogin/telnet connection, ou should escape # XON (^Q), XOFF (^S) and ^]: (The peer should use "escape ff".) #asyncmap 200a0000 asyncmap 0 # needed for some ISDN Terminaladaters, namely ELSA, those seem to have # problems with asyncmap negotiation, so you can turn off this procedure # in case your ISDN box has trouble with it, by enabling this option. # You have to disable the asyncmap option to be sure to have it # active. If you use wvdial, set the ISDN parameter in /etc/wvdial.conf # instead. #default-asyncmap # Set the MRU [Maximum Receive Unit] value to for negotiation. pppd # will ask the peer to send packets of no more than bytes. The # minimum MRU value is 128. The default MRU value is 1500. A value of # 296 is recommended for slow links (40 bytes for TCP/IP header + 256 # bytes of data). The value 1492 is for DSL connections (PPP Default - # PPPoE Header: 1500 - 8 = 1492) # mru 1492 # Set the MTU [Maximum Transmit Unit] value to . Unless the peer # requests a smaller value via MRU negotiation, pppd will request that # the kernel networking code send data packets of no more than n bytes # through the PPP network interface. The value 1492 is for DSL connections # (PPP Default - PPPoE Header: 1500 - 8 = 1492) # mtu 1492 # Set the interface netmask to , a 32 bit netmask in "decimal dot" # notation (e.g. 255.255.255.0). #netmask 255.255.255.0 # Don't fork to become a background process (otherwise pppd will do so # if a serial device is specified). nodetach # If this option is given, pppd will send an LCP echo-request frame to # the peer every n seconds. Under Linux, the echo-request is sent when # no packets have been received from the peer for n seconds. Normally # the peer should respond to the echo-request by sending an echo-reply. # This option can be used with the lcp-echo-failure option to detect # that the peer is no longer connected. lcp-echo-interval 30 # If this option is given, pppd will presume the peer to be dead if n # LCP echo-requests are sent without receiving a valid LCP echo-reply. # If this happens, pppd will terminate the connection. Use of this # option requires a non-zero value for the lcp-echo-interval parameter. # This option can be used to enable pppd to terminate after the physical # connection has been broken (e.g., the modem has hung up) in # situations where no hardware modem control lines are available. lcp-echo-failure 4 # Send up to 60 LCP configure-request during negotiation. With a value # of 2 for lcp-restart below, this might take up to 2 minutes. lcp-max-configure 60 # Resend unanswered LCP requests after 2 seconds. lcp-restart 2 # Specifies that pppd should disconnect if the link is idle for n seconds. idle 600 # Specifies the maximal number of attempts to connect to the server. This # is useful for dial on demand. Default value is 10. #maxfail 3 # Disable the IPXCP and IPX protocols. noipx # In the file /etc/ppp/filters are some active-filter rules. See man pppd # and man tcpdump for more informations. file /etc/ppp/filters #------------------------------------------------------------------------- # The next two options are only interesting for you if you are admin of # a system with other users that use ppp, and those users are normally # never allowed to add default route, or you do not want users to # replace the default route. #------------------------------------------------------------------------- # enable this to prevent users from attempting to add a default route. # Use this option with caution: If the user needs to use a program like # wvdial, he will not be able to connect because wvdial forces defaulroute # but this is rejected by this option and the user will not be able to # connect to the internet. #nodefaultroute # enable this to prevent users from replacing an existing default route. #noreplacedefaultroute #------------------------------------------------------------------------- # All options below only make sense if you configure pppd to be a dial-in # server, so don't touch these if you want dial into your provider with # PPP! #------------------------------------------------------------------------- # Set the assumed name of the remote system for authentication purposes # to . #remotename # Add an entry to this system's ARP [Address Resolution Protocol] # table with the IP address of the peer and the Ethernet address of this # system. {proxyarp,noproxyarp} #proxyarp # Use the system password database for authenticating the peer using # PAP. Note: mgetty already provides this option. If this is specified # then dialin from users using a script under Linux to fire up ppp wont work. #login # Specify which DNS Servers the incoming Win95 or WinNT Connection should use # Two Servers can be remotely configured #ms-dns 192.168.1.1 #ms-dns 192.168.1.2 # Specify which WINS Servers the incoming connection Win95 or WinNT should use #ms-wins 192.168.1.50 #ms-wins 192.168.1.51 3.4.2. /etc/ppp/pap-secrets In /etc/ppp/pap-secrets sollte folgendes eingetragen sein: * * Damit auch bei CHAP-Authentifizierung alles klappt, tippen Sie: cp /etc/ppp/pap-secrets /etc/ppp/chap-secrets Damit wird dann sowohl fr PAP, als auch fr CHAP ein korrekter Eintrag mit Ihren Providerdaten gefunden. Achten Sie darauf, da Sie danach 0erungen immer in beiden Files fhren, damit Sie keine bsen berraschungen erleben, wenn dann doch das Anmeldeverfahren durch Ihren Provider gewechselt wird. Ihr chap-secrets und pap-secrets knnte dann so aussehen : # Secrets for authentication using CHAP # client server secret IP addresses "yourlogin@YOURPROVIDER" * "yourpassword" * Anmerkung1: ist der Name der einem vom Provider zugeteilt wurde (z. B. die Teilnehmerkennung bei AON Kunden bzw. Benutzername@provider.at bei allen anderen sterreichischen Providern) ohne Anfhrungsszeichen und ist das Zugangspawort das Ihnen vom Provider zugeteilt wurde. Anmerkung2: Nextra und Netway Anmerkung: August Hrandl mute fr seinen Nextra-Zugang in pap-secrets die Zeile * * * eintragen, um eine Verbindung zustande zu bekommen. Sollten Sie bei der Anmeldung Probleme haben, knnte das eventuell helfen. Speziel z. B. NAK nach einem AuthReq, sollte durch diese 0erung behoben werden knnen. Anmerkung3: Zimmermann Thomas berichtete am 13.8. : UTA hat vor ca. 1 Woche alle User von PAP auf CHAP umgestellt. D.H. es geht nur mehr mit der chap-secrets. Die pap-secrets sollte man loeschen. Folgendes Problem tritt auf: Kunde wird bei UTA fuer die Einwahl gesperrt (wenn mit PAP authentifiziert) Nach Anruf des Kunden wird dieser wieder freigeschaltet, muss sich dann aber das 1. mal richtig authentifizieren, sonst wird er wieder gesperrt! Danach sind wieder 20 Fehlversuche moeglich. 3.5. Hintergrund warum es Unterschiede zwischen AON und z. B. inode gibt: Bei alle Providern (auer AON) ist es wichtig, da der Name vollstndig eingegeben wird, und zwar inkl. dem Teil hinter "@", da die Authentifizierung zuerst ber einen Radius - Proxy bei der TA luft, der erst mit dieser Angabe den richtigen Tunnel zum jeweiligen Provider ffnet. Bei Inode wre das also: username@inode.at Besten Dank an Alois Martin Hopfer einen der Sysadmins von http://www.inode.at fr die berarbeitung und den Test dieses Kapitels. 3.6. pptp installieren Den aktuellen pptp client finden Sie unter http://pptpclient.sourceforge.net/ (MPPE bentigen Sie fr ADSL nicht.) 3.6.1. pptp ausfhrbar machen Sollten Sie Probleme mit pptp haben, bitte berprfen Sie ob die Datei pptp ausfhrbar ist (eXecute Rechte auf dem File gesetzt). Kontrollieren Sie mit ls -al /usr/sbin/pptp ob das x in den Rechten fr alle owner,group,others gesetzt ist. Sollte das nicht der Fall sein, oder sollten Sie daran zweifeln, dann geben Sie folgendes Kommando ein: chmod a+x /usr/sbin/pptp Bedenken Sie, da die Kommandos nur dann funktionieren, wenn Sie Ihren pptp in das Directory /usr/sbin kopiert haben. Dieses Kapitel wurde spendiert von Aljosha 3.6.2. pptp und BSD Von Martin Grohauser stammt der Hinweis, da der BSD-user zum betrieb von pptp den kernel neu kompilieren muss, und die option "pseudo-device GRE" abschuschalten ist. 3.7. Verbindung testen Testen des Verbindungsaufbau: pptp alcatel Verbindung wieder abbauen killall pppd killall pptp Wenn die Verbindung steht, sollte ifconfig etwa folgendes ausgeben: ppp0 Link encap:Point-to-Point Protocol inet addr:10.66.8.39 P-t-P:172.19.90.132 Mask:255.255.255.255 UP POINTOPOINT RUNNING NOARP MULTICAST MTU:1500 Metric:1 RX packets:346 errors:0 dropped:0 overruns:0 frame:0 TX packets:352 errors:0 dropped:0 overruns:0 carrier:0 collisions:0 txqueuelen:10 3.8. Automatisches Login/Logout Nach erfolgreicher Ausfhrung der nun folgenden Schritte loggt sich das System in Zukunft immer selbstndig beim Hochfahren beim Provider ein (bei erreichen des runlevel 3). ALLE Benutzer haben ab dann Zugriff auf das Internet, auch wenn sie keine root-Rechte haben. Beim Niederfahren des Systems (runlevel <3) wird automatisch ausgeloggt. Die Angaben beziehen sich auf SuSE! Folgende Zeile ins File /etc/rc.config eintragen: ADSL="yes" Nun das SuSE-Konfigurationsskript aufrufen (Schreibweise beachten!): SuSEconfig Folgendes Skript unter dem Namen adsl nach /sbin/init.d (oder wo immer in Ihrer Distribution die Startscripts liegen (SUSE < 7.1 /sbin/initd, SUSE >= 7.1 /etc/init.d, RedHat /etc/rc.d, usw.) kopieren. Das File mit chmod a+x adsl ausfhrbar machen. Nach /sbin/init.d/rc3.d wechseln und 2 symbolische Links erzeugen ln --symbolic ../adsl K18adsl ln --symbolic ../adsl S23adsl Anmerkung 1: Das HOWTO wurde zum Groteil unter SUSE 6.x geschrieben. Sollten die Links K18 oder S23 schon vergeben sein, dann suchen sie bitte nach der nchsten freien K(kill) oder S(tart) Nummer im Directory /sbin/init.d/rc3.d . Sollte die Start/Kill-Nummer schon vergeben sein, dann suchen Sie eine freie und passen die obigen ln -s Kommandos entsprechend an. Hier die ls Kommandos: ls -alp /sbin/init.d/rc3.d/K18* ls -alp /sbin/init.d/rc3.d/S23* Anmerkung 2: Fr Redhat User sei hier noch angemerkt, da die Startscripts bei Redhat in /etc/rc.d und nicht unter /sbin/init.d liegen. So nun sollten wir mit dem auto-login-logout fertig sein. Mit root- Rechten kann man das adsl-Skript auch hndisch aufrufen. Folgene Parameter sind mglich: +o adsl start : Logon beim Provider +o adsl stop : Logoff +o adsl restart : Logoff und danach Login +o adsl status : Gibt aus, ob der pptp luft oder nicht 3.8.1. Fedora Von hans-peter.lackner@netstruct.at (Hans-Peter Lackner) stammt die neue Version des adsl-Skripts, dass auch unter Fedora funktioniert (getestet mit Version Fedora Core 2 final) #! /bin/sh # # chkconfig: 2345 26 74 # description: for starting adsl # # Author: B.R. Jan 07 2000 # modified by StM - Mar 27 2003 # # /sbin/init.d/adsl # . /etc/rc.d/init.d/functions base=${0##*/} link=${base#*[SK][0-9][0-9]} test $link = $base && ADSL=yes test "$ADSL" = yes || exit 0 test -x /usr/sbin/pptp || exit 0 return=$rc_done case "$1" in start) echo -n "Login ADSL..." touch /var/run/adsl_up daemon /usr/sbin/pptp alcatel || return=$rc_failed echo -e "$return" ;; stop) echo -n "Logout ADSL..." rm -rf /var/run/adsl_up status /usr/sbin/pppd || return=$rc_failed killproc /usr/sbin/pptp || return=$rc_failed echo -e "$return" ;; restart) $0 stop && $0 start || return=$rc_failed ;; reload) ;; status) echo -n "Checking for connection to ADSL... " status /usr/sbin/pptp && echo "online" || echo "offline" ;; probe) ;; *) echo "Usage: $0 {start|stop|status|restart}" exit 1 esac test "$return" = "$rc_done" || exit 1 exit 0 3.9. Speed Touch(tm) USB Mit freundlicher Erlaubnis von tuxx@tuxx-home.at (Alexander Griesser) drfen wir hier das AT-Speedtouch-HOWTO zur Verfgung stellen. Die Beschreibung von Harald Mller (Gonzo) erklrt einfach und bersichtlich den Setup eines SpeedTouch USB unter Linux. Die folgenden Links bringen sie zu den Treibern fr das Speed Touch(tm) USB-Modem : http://www.alcatel.com/consumer/dsl/dvrreg_lx.htm Eine Anleitung zu Configuring the Speedtouch USB ADSL Modem . Hier wird erklrt was alles zu tun ist um das Speedtouch USB unter Linux zum Laufen zu bringen. Linux Driver page for SpeedTouch USB ADSL Modem 3.9.1. Inode USB Modem Zyxel Prestige Internetverbindung Von Filip Ljubas wurde uns dieses Kapitel zur Verfgung gestellt. Es beschreibt die Installation eines USB Modems Zyxel Prestige 630-41 mit Inode xDSL@home 3.9.1.1. http://eciadsl.flashtux.org/ Unter http://eciadsl.flashtux.org/ ist beschrieben wie man das Modem installiert. Wichtige Punkte sind: +o Dokumentation lesen (es gibt auch eine auf Deutsch) +o Beginners Tutorial lesen +o FAQ lesen (Besonders bei Problemen) +o beachten, dass der Kernel OK ist (ab 2.6.7 kein patchen notwendig) +o bei synchro files nehmt ihr Nr. 42 (WICHTIG!!! Sollten jedoch Probleme beim Synchronisationsvorgang auftauchen, knnt ihr auch ein anderes ausprobieren). Bei weiteren Problemen/Fragen knnt ihr das Forum der Seite verwenden und auch der IRC Channel (alles auf http://eciadsl.flashtux.org/ angefhrt)! Nachdem ihr dass Modem installiert habt und es sich auch richtig synchronisiert (beide Lmpchen leuchten und sonst keine Fehlermeldungen), knnt ihr versuchen eine Verbindung aufzubauen. Doch bevor ihr dass knnt, msst ihr Punkt 2 erledigen: 3.9.1.2. http://www6.inode.at/support/internetzugang/xdsl_student/konfigura- tion_ethernet_linux.html Vom Link http://www6.inode.at/support/internetzugang/xdsl_student/konfiguration_ethernet_linux.html das tar.gz Packet herunteladen und installieren. Eine Beschreibung befindet sich ebenfalls auf dieser Inode-Seite. Dabei geht man genau so vor, wie wenn man ein Ethernet Modem htte. Bei der Netzwerkkarte gebt ihr aber an: tap0 tap0 ist die Schnittstelle eures USB Modems (Es ist mglich, dass euere USB Schnittstelle anders lautet). Der Rest ist gleich, wie beim Ethernet Modem. Auch die Verbindung stellt ihr her, wie von Inode beschrieben. Verwendete Distribution: +o SuSe 9.2 +o Kernel 2.6.8 3.10. xDSL (von inode) Von Bernhard Roessmann stammt diese Anleitung fr ein inode@student xDSL login/logout script. Der "normale" inode-Zugang ist bei inode wunderbar beschrieben und erklrt. Es gelten fr dieses Kapitel folgende Anmerkungen: +o Fuer xdsl@student von Inode +o Fuer Debian +o DHCP-Client vorher installieren (unter Debian mit: apt-get install dhcp-client) Das Skript (siehe am Ende dieses Kapitels) kennt 3 Aufrufmoeglichkeiten: +o xdsl status : Gibt an, ob online oder offline +o xdsl start : Einloggen beim Provider +o xdsl stop : Ausloggen beim Provider Weiters habe ich einen cronjob (in /etc/crontab) installiert, der jede Minute nachschaut, ob die Verbindung steht (ohne dass Traffic produziert wird!) und gegebenenfalls das Skript aufruft. * * * * * root /sbin/start-stop-daemon --start --quiet --test --exec /usr/sbin/pptp && /etc/init.d/xdsl start 3.10.1. xDSL Script von Bernhard Roessmann Hier nun das Script von Bernhard Roessmann: #!/bin/sh # xdsl login/logout # Bernhard Roessmann 2002-12-29 MYSELF="$0" CMD="$1" ANT="10.0.0.138" test -f /usr/sbin/pptp || exit 1 if test ! -s /var/lib/dhcp/dhclient.leases then echo "no dhcp lease available" logger $MYSELF": no dhcp lease available" exit 1 fi case $CMD in start) if ! start-stop-daemon --start --quiet --test --exec /usr/sbin/pptp >>/dev/nul then echo "already online" exit 1 fi echo -n "logging in" logger $MYSELF" login..." #Man nehme die grobe Kelle ;-) fuer die Gateway-IP set $(grep "option routers" /var/lib/dhcp/dhclient.leases | tail -1 | cut -f5 -d' ' | tr -d ";") ROUTER="$1" if route -n | grep $ANT >>/dev/nul then /sbin/route del $ANT fi /sbin/route add $ANT gw $ROUTER start-stop-daemon --start --quiet --exec /usr/sbin/pptp $ANT >>/dev/nul & for foo in 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 do echo -n . sleep 1 if ifconfig | grep ppp0 >>/dev/nul then #Nochmal die grobe Kelle ;-) fuer die richtige default-Route set $(ifconfig ppp0 | grep P-t-P | tr -s [:blank:] | cut -f4 -d' ' | cut -b7-) GATEWAY="$1" /sbin/route del default /sbin/route add default gw $GATEWAY echo "successful" logger $MYSELF" login: successful" exit 0 fi done echo "failed" logger $MYSELF" login: failed" start-stop-daemon --stop --quiet --exec /usr/sbin/pptp >>/dev/nul route del $ANT exit 1 ;; stop) if start-stop-daemon --start --quiet --test --exec /usr/sbin/pptp >>/dev/nul then echo "already offline" exit 1 fi echo -n "logging out" logger $MYSELF" logout..." start-stop-daemon --stop --quiet --exec /usr/sbin/pptp >>/dev/nul for foo in 1 2 3 4 5 do echo -n . sleep 1 if ifconfig | grep ppp0 >>/dev/nul then continue else echo "successful" logger $MYSELF" logout: successful" route del $ANT exit 0 fi done echo "failed" logger $MYSELF" logout: failed" exit 1 ;; status) if ifconfig | grep ppp0 >>/dev/nul then echo "online" else echo "offline" fi exit 0 ;; reload|force-reload) ;; *) echo "Usage: $MYSELF start|stop|status" exit 1 ;; esac 3.10.2. xDSL Script von Wolfgang Hackl Wolfgang Hackl hat festgestell: Das von Inode zur Verfgung gestellte Script hat leider ein paar Macken (drfte auf einer lteren Distribution entwickelt worden sein?). Wesentlich war allerdings, da die Routen nicht richtig gesetzt wurden, d. h. es wurde eine Verbindung aufgebaut, ber die nichts geschickt wurde. Ich habe das Script abgendert und mittlerweile ist es auch auf mehreren Distributionen im Einsatz, weil ich auf Debian Woody umgestellt habe. Ein Kollege hat das Script auch auf RedHat in Verwendung, weil er mit der Inode-Anleitung auch nicht zurechtgekommen ist. Und hier nun das Script von Wolfgang Hackl #!/bin/sh # /etc/init.d/xdsl base=${0##*/} link=${base#*[SK][0-9][0-9]} test $link = $base && XDSL=yes test "$XDSL" = yes || exit 0 test -x /usr/sbin/pptp || exit 0 GATEWAY="`/sbin/route -n|/bin/grep "^0.0.0.0"|/usr/bin/cut -c17-32`" case "$1" in start) echo -n "Connecting to XDSL@inode" route del default eth1 route add -host 10.0.0.138 eth1 /usr/sbin/pptp inode defaultroute cp /etc/resolv.conf.bak /etc/resolv.conf echo -e "$return" ;; stop) echo -n "Disconnecting from XDSL@inode" killall -9 /usr/sbin/pppd killall -9 /usr/sbin/pptp /sbin/route del -host 10.0.0.138 echo -e "$return" ;; restart) $0 stop && $0 start ;; reload) ;; status) echo -n "Checking for XDSL connection: " STATE=`ps aux|grep pptpd|grep -v grep` if [ X$STATE = "X1" ] then echo "online" else echo "offline" fi ;; *) echo "Usage: $0 {start|stop|status|restart}" exit 1 esac exit 0 3.10.3. xDSL Script von Wolfgang Hackl fr Einwahl ber PPPoE Wolfgang Hackl hat das folgende Script zur Verfgung gestellt, mit dem man bei Inode XDSL ber PPPoE einwhlen kann. Der Zugang wurde mit pppoeconf eingerichtet. #!/bin/sh export PATH=/usr/local/sbin:/usr/sbin:/sbin:/usr/local/bin:/usr/bin:/bin case "$1" in start) echo -n "Connecting to XDSL@inode" route del default eth1 /usr/bin/pon dsl-provider defaultroute ;; stop) echo -n "Disconnecting from XDSL@inode" /usr/bin/poff dsl-provider killall -9 pppd ;; restart) $0 stop && $0 start ;; status) echo -n "Checking for XDSL connection: " ifconfig ppp0 2>&1 > /dev/null STATE=`echo $?` if [ X$STATE = "X0" ] then echo "online" else echo "offline" fi ;; *) echo "Usage: $0 {start|stop|status|restart}" exit 1 esac 3.10.4. xDSL Einwahl bei Inode Von Jacob Rief stammt dieses Kapitel Sicherstellen, dass die RPM-Pakete dhclient, ppp und pptp installiert sind. pptp ist nicht in der Standard-Distribution vorhanden, man muss es also gegebenenfalls nachinstallieren, z.B. von http://pptpclient.sourceforge.net/ Die Netzwerkeinstellungen mssen auf DHCP eingestellt sein, die Datei /etc/sysconfig/network-scripts/ifcfg-eth0 sollte wie folgt aussehen DEVICE=eth0 ONBOOT=yes BOOTPROTO=dhcp Nach einem Netzwerk neustart # /etc/init.d/network restart sollten das Ethernet-Interface eine IP-Adresse zugewiesen bekommen. Dies kann man wie folgt berprfen. # /sbin/ifconfig eth0 Protokoll:Ethernet Hardware Adresse 00:11:22:33:44:55 inet Adresse:10.89.0.250 Bcast:10.89.255.255 Maske:255.255.0.0 inet6 Adresse: fe80::230:1bff:feb6:4426/64 Gltigkeitsbereich:Verbindung UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1 RX packets:12545 errors:0 dropped:0 overruns:0 frame:0 TX packets:9365 errors:0 dropped:0 overruns:0 carrier:0 Kollisionen:0 Sendewarteschlangenlnge:1000 RX bytes:6011628 (5.7 MiB) TX bytes:1168102 (1.1 MiB) Interrupt:10 Speicher:e8020000-0 lo Protokoll:Lokale Schleife inet Adresse:127.0.0.1 Maske:255.0.0.0 inet6 Adresse: ::1/128 Gltigkeitsbereich:Maschine UP LOOPBACK RUNNING MTU:16436 Metric:1 RX packets:1698 errors:0 dropped:0 overruns:0 frame:0 TX packets:1698 errors:0 dropped:0 overruns:0 carrier:0 Kollisionen:0 Sendewarteschlangenlnge:0 RX bytes:2312190 (2.2 MiB) TX bytes:2312190 (2.2 MiB) Nun muss dhclient noch dazu gebracht werden, dass auch der ppp-Tunnel mittels pptp aufgebaut wird. Hierzu muss die Datei /etc/dhclient-exit- hooks erstellt werden: MODIP="10.0.0.138" if [ x$reason = xBOUND ] || [ x$reason = xRENEW ] || \ [ x$reason = xREBIND ] || [ x$reason = xREBOOT ]; then route del default 2>/dev/null route del -host $MODIP 2>/dev/null for route in $new_routers; do route add -host $MODIP gw $route done pptp $MODIP return 0 fi Jetzt muss nur noch der ppp-Daemon konfiguriert werden. In der Datei /etc/ppp/options lock name loginame@home defaultroute noipdefault noauth asyncmap 0 ersetzt man loginname@home mit dem Inode-Loginnamen. In diesen beide Dateien trgt man den Loginnamen und dass Inode- Passwort ein: /etc/ppp/chap-secrets und /etc/ppp/pap-secrets "loginname@home" * "password" Nach einem weiteren Netzwerk neustart, sollte mittels pptp ein ppp- Tunnel zum Inode Server aufgebaut werden. Dies kann mittels ifconfig berprft werden. # /sbin/ifconfig <...snip...> ppp0 Protokoll:Punkt-zu-Punkt Verbindung inet Adresse:83.64.19.245 P-z-P:62.99.171.103 Maske:255.255.255.255 UP PUNKTZUPUNKT RUNNING NOARP MULTICAST MTU:1500 Metric:1 RX packets:6977 errors:0 dropped:0 overruns:0 frame:0 TX packets:6599 errors:0 dropped:0 overruns:0 carrier:0 Kollisionen:0 Sendewarteschlangenlnge:3 RX bytes:5376573 (5.1 MiB) TX bytes:614146 (599.7 KiB) Fr Fragen und Anregungen bin ich unter Jacob Rief erreichbar. 3.11. Anmerkungen +o Erweiterte Debug-Meldungen des pppd knnen mittels Option DEBUG in /etc/ppp/options eingestellt werden +o Alte Versionen des pppd machen oft Probleme, neueste Version besorgen! +o Debug Ausgaben anzeigen z.B. mit "tail -f /var/log/messages" +o Das Login-Skript bercksichtigt keine Einwahlprobleme +o Quelle: http://infolibre.free.fr/adsl/adsl.html +o Weitere interessanter Link zum Thema: RADAWANA ADSL-HOWTO. +o Kommentare/Verbesserungsvorschlge ausdrcklich erwnscht 3.12. ADSL Wiedereinwahl Script 3.12.1. Variante adsl.sh Von Roland Seuhs (Hier gibts Rolands Homepage) stammt das folgende Script adsl.sh. Dieses Script verwendet Roland um sich erneut einzuwhlen, sollte die Verbindung abbrechen. Im Script sind die IP-Adressen eventuell zu korrigieren, da diese von Provider zu Provider unterschiedlich sein knnen. (Und natrlich das chmod a+x adsl.sh nicht vergessen, damit das Script auch ausfhrbar ist). #!/bin/sh LOGFILE=/var/log/adsl.log Firewall() { IPCHAINS=/sbin/ipchains #INET_DEV=$3 #INET_IP=$2 INET=0.0.0.0/0 #LNET_DEV=eth0 #LNET_IP=192.168.0.4 #LNET=192.168.0.0/24 LNET_DEV=$2 LNET=$3 LNET_IP=$4 INET_DEV=$5 INET_IP=$6 INET_DEV2=eth0 INET_IP2=10.0.0.140 #*********************************** case "$1" in start) # route add default $INET_DEV echo Inet-Dev: {INET_DEV} Inet-IP: {INET_IP} # flush all rules # $IPCHAINS -F $IPCHAINS -F input $IPCHAINS -F output # set default policies $IPCHAINS -P input DENY $IPCHAINS -P output DENY # $IPCHAINS -P forward DENY # INPUT-chain # full access for LAN # $IPCHAINS -A input -i ${LNET_DEV} -s ${LNET} -d ${INET} -j ACCEPT # no IP spoofers wanted (log that) $IPCHAINS -A input -i ${INET_DEV} -s ${LNET} -d ${INET} -j DENY -l # $IPCHAINS -A input -i ${INET_DEV2} -s ${LNET} -d ${INET} -j DENY -l # turn on ports from 1023+ # ACHTUNG! ssh funktioniert nur noch mit der Option -P !!! echo 1023+ $IPCHAINS -A input -i ${INET_DEV} -p tcp -s ${INET} -d ${INET_IP}/32 1023:65535 -j ACCEPT $IPCHAINS -A input -i ${INET_DEV} -p udp -s ${INET} -d ${INET_IP}/32 1023:65535 -j ACCEPT # turn on ssh echo turn on ssh $IPCHAINS -A input -i ${INET_DEV} -p tcp -s ${INET} -d ${INET_IP}/32 22 -j ACCEPT # $IPCHAINS -A input -i ${INET_DEV} -p tcp -s ${INET} -d ${INET_IP}/32 80 -j ACCEPT # $IPCHAINS -A input -i ${INET_DEV2} -p tcp -s ${INET} -d ${INET_IP2}/32 22 -j ACCEPT # ICMP answers allowed $IPCHAINS -A input -i ${INET_DEV} -p icmp -s ${INET} -d ${INET_IP}/32 -l -j ACCEPT # local interface OK $IPCHAINS -A input -i lo -j ACCEPT $IPCHAINS -A input -l $IPCHAINS -A input -i ${LNET_DEV} -j ACCEPT # $IPCHAINS -A input -i ${INET_DEV} -j ACCEPT $IPCHAINS -A input -i ${INET_DEV2} -j ACCEPT # OUTPUT-chain $IPCHAINS -A output -i ${LNET_DEV} -s ${INET} -d ${LNET} -j ACCEPT # LAN via ppp reachable?? $IPCHAINS -A output -i ${INET_DEV} -s ${INET} -d ${LNET} -j DENY -l # trash unmasked packets $IPCHAINS -A output -i ${INET_DEV} -s ${LNET} -d ${INET} -j DENY # trash SMB/NBD packets. # $IPCHAINS -A output -i ${INET_DEV} -p tcp -s ${INET} 137:139 -d ${INET} -j DENY -l # $IPCHAINS -A output -i ${INET_DEV} -p udp -s ${INET} 137:139 -d ${INET} -j DENY -l # masqd, INET is dest -> ok $IPCHAINS -A output -i ${INET_DEV} -s ${INET_IP}/32 -d ${INET} -j ACCEPT $IPCHAINS -A output -i ${INET_DEV2} -s ${INET_IP2}/32 -d ${INET} -j ACCEPT # local interface ok $IPCHAINS -A output -i lo -j ACCEPT #log anything else $IPCHAINS -A output -l $IPCHAINS -A output -i ${LNET_DEV} -j ACCEPT # $IPCHAINS -A output -i ${INET_DEV} -j ACCEPT $IPCHAINS -A output -i ${INET_DEV2} -j ACCEPT # FORWARD-chain # masquerade ip-addr. local -> inet # $IPCHAINS -A forward -i ${INET_DEV} -s ${LNET} -d ${INET} -j MASQ # $IPCHAINS -A forward -l ;; stop) # route del default # $IPCHAINS -F $IPCHAINS -P input ACCEPT $IPCHAINS -F input # $IPCHAINS -P forward ACCEPT $IPCHAINS -P output ACCEPT $IPCHAINS -F output ;; *) echo "Usage: $0 {start|stop} " return 1 esac return 0 } verbinden() { echo Verbindung aufbauen killall -w pptp rm -rf /var/run/pptp/* pptp 10.0.0.138 10.0.0.140: >> /tmp/adsl.output & sleep 40 IPNummer=`/sbin/ifconfig | grep -2 ppp | grep addr | cut -f2 -d: | \ tr " " : | cut -f1 -d:` if ping -c 1 $IPNummer then # Alles OK echo echo alles OK, Verbindung steht! echo `date` Verbindung steht: $IPNummer >> $LOGFILE # Achtung! Firewall argumente vorher berprfen! Firewall start eth1 192.168.0.0 192.168.0.1 `/sbin/ifconfig | \ grep ppp | tr " " : | cut -f1 -d:` $IPNummer else sleep 10 echo echo `date` Einwahl fehlgeschlagen, versuche es nochmal echo `date` Einwahl fehlgeschlagen, versuche es nochmal >> $LOGFILE killall pptp fi } echo "Skript fr sterreichische ADSL Provider Anbindung" echo " (c) Roland Seuhs 2000" echo "Dieses Skript versucht eine stndige Internetverbindung aufrecht zu erhalten." echo "Wenn alles OK ist, schreibt es Punkte an die Standardausgabe" while true do if /bin/ping -c 1 dns1 > /dev/null 2> /dev/null then echo -n . else if /bin/ping -c 1 dns2 > /dev/null 2> /dev/null then echo -n . else echo echo baue Verbindung auf #date >> /root/Verbindung.log verbinden sleep 80 # Das kann dauern, bis die Verbindung steht ;-) fi fi sleep 30 done Sollte obiges Script nicht funktionieren, sei noch angemerkt neuerdings heit es: pptp 10.0.0.138 --localbind 10.0.0.140 anstatt wie bisher pptp 10.0.0.138 10.0.0.140: 3.12.2. Variante ip-down Von Dieter WERNER stammt die folgende Variante das Wiedereinwahlproblem zu lsen. Um nicht stndig PINGs mit dem Provider austauschen zu mssen scheint am einfachsten die Verwendung von /etc/ppp/ip-down (bei SuSE), das sowieso ausgefhrt wird wenn die PPP Verbindung abbricht. Mit dem Script adsl im Kapitel ``Automatisches Login/Logout''. lt sich das schn realisieren: Einfach im "start" Zweig die Zeile touch /var/run/adsl_up einfgen und im "stop" Zweig ein rm -f /var/run/adsl_up einfgen. Dann noch in /etc/ppp/ip-down (oder bei SuSE /etc/ppp/ip-down.local) im "...down" Zweig die Zeile test -f /var/run/adsl_up && adsl restart Die entsprechende Zeile sieht so aus (die "sleep" sollen sicherstellen, dass die alte Verbindung komplett abgebaut ist): test -f /var/run/adsl_up && (/usr/bin/killall pppd;sleep 5;/usr/bin/killall pptp;sleep 15;/sbin/startproc /usr/local/sbin/pptp alcatel) Gegenber der ping Lsung hat diese Lsung den Vorteil, dass man sich "Netzwerklast" und einen Proze spart und vor allem dass der neue Verbindungsaufbau direkt durch den Verbindungsabbau getriggert wird. 3.12.3. Variante direkt in der cron-tab Von Martin Grohauser stammt die Idee, das Erkennen der ausgefallenen Leitung direkt in der crontab zu erkennen und dort direkt zu beheben. Hierzu fgen Sie in der Datei /etc/crontab die nachfolgende Zeile ein. Die Zeile teilt dem cron-dmon mit, jede Minute einen ping auf die angegebene Adresse auszufhren. Im Falle das dieser Ping mit Fehler endet, wird das Script adsl mit dem Parameter reconnect aufgerufen. 0-59 * * * * root ping -c 1 ip.ad.res.se || adsl reconnect Nachteil: sollte der gepingte Rechner nicht erreichbar sein, dann wird jede Minute die adsl-Verbindung frisch aufgebaut. Gegenmanahme: suchen Sie einen Server von dem Sie sicher sind, da wenn der nicht da ist, sie hchst wahrscheinlich nicht mehr weiterarbeiten mchten und Ihnen dieser "Nebeneffekt" damit egal ist. Dieses Kapitel wurde eingefgt, da lt. Martin Grohauser die anderen Varianten seit Suse 7.x nicht mehr funktionieren. Dafr funktioniert diese Variante auch unter netbsd1.6.1 3.13. Script zum Rcksetzen der ANT Von Manfred Larcher stammt dieses Kapitel Das Modem kann sich ja immer wieder mal so ganz ohne weiteres Zutun aufhngen und wenn man dann nicht immer selbst oder jemanden anderen hinschicken will zum Ein- und Ausschalten, dann kann man folgendes Script verwenden um einen Reset und damit eine neue Leitungsyncronisation zu erzwingen! ############### #!/bin/sh ( echo -n -e '\r' sleep 2 echo -n -e root'\r' sleep 2 echo -n -e system'\r' sleep 2 echo -n -e reboot'\r' sleep 2 ) | telnet alcatel rm /var/run/pptp/10.0.0.138 sleep 60 pptp alcatel & ############### Zur Erkrung, es wird einfach eine Telnet Verbindung aufgebaut und die ntigen Befehle fr einen Reset geschickt. Danach noch das Verbindungs- File in /var/run/pptp lschen und nach weiteren 60 Sekunden (Leitungssynchronisation) starten wir den pptp wieder. (alcatel sollte natrlich in der /etc/hosts eingetragen sein) Idealerweise baut man das ganze dann noch in das Script ein welches via Ping die Verbindung berwacht und man wird so schnell keine Probleme mehr haben! 3.13.1. Anmerkung von Heimo Hat jemand Lust das Script auf expect umzustellen? Dieses hardcoded sleeps gefallen mir nicht wirklich und ich habe selber leider kein ADSL. 3.13.2. ACHTUNG A1000 User!!! Marco Kammerer hat herausgefunden, das dieses RESET Script leider nur bei der One-Touch Version(tm) funktioniert. Das A1000 (ISDN) bentigt ein Pawort fr den telnet-Zugang. 3.13.3. Eine Variante des Rcksetz-Scripts auf Basis von Expect Erich Birngruber schickt uns das folgende Script. Das Script setzt die ANT zurck. Es basiert auf der Verwendung von expect und sollte sich daher leicht in bergeordnete Scripts integrieren lassen. #!/usr/bin/expect # Benutzername, Passwort und Hostname fuer ANT set USERNAME "antuser" set PASSWORD "strenggeheim" set ANT "alcatel" # Langsamere Zeichenuebergabe war bei mir # notwendig, damit der ANT die Befehle # annimmt set send_slow {1 .1} # Telnet Verbindung herstellen spawn telnet $ANT # am ANT anmelden expect "User : " send "$USERNAME\r" expect "Password : " send "$PASSWORD\r" # ins Menue "system" wechseln und neustarten expect -e "=>" send -s "system\r" expect -e "[system]=>" send -s "reboot\r" exit 3.14. ADSL vs. Security? Anfang April 2001 kam die Sicherheit der ANT ins Gerede. Fr alle die sich mal mit dem Expert-Mode Ihrer ANT spielen wollen, gibt es hier die Mglichkeit sich das Pawort fr den Expert-Mode zu holen. Sie mssen nur die MAC-Adresse Ihrer ANT in das Eingabefenster eingeben und erhalten das Pawort zurck. Die Texteingabe mu lauten (ohne Hochkomma) : "SpeedTouch (MAC-adresse)" Der Link : http://security.sdsc.edu/self-help/alcatel/challenge.cgi Hier noch ein paar Links zum Thema (ohne Wertung und Gewichtung): +o http://security.sdsc.edu/self-help/alcatel/ +o http://slashdot.org/articles/01/04/11/1249209.shtml +o http://www.alcatel.com/consumer/dsl/security.htm +o http://security.sdsc.edu/self-help/alcatel/alcatel-bugs 3.15. Auswertung des Syslog Dieter WERNER hat dieses Kapitel und die drei Scripts downlamount, logsurf und logsr spendiert. Bei bestehender ADSL Verbindung sind zwei Arten von Eintrgen in /var/log/messages besonders interessant: Meldungen der Firewall ber verdchtige Pakete und die Meldungen des pppd ber die empfangene Datenmenge als Kontrolle ber das Downloadlimit. Mit einfachen Scripts kann man diese Information extrahieren und aufbereiten. Hier drei Beispiele, die Lokalisierung der Dateien entspricht SuSE. 3.15.1. Firewallauswertung mit logsurf und logsr logsurf ist ein Script das aus /var/log/messages Meldungen mit REJECT/DENY/ACCEPT fr einen bestimmten Tag extrahiert. Dieser Tag ist entweder das aktuelle Datum (aus der letzten Zeile in /var/log/messages) oder ein Datum das in der Shellvariable TAG bergeben wird. Dabei muss auf die korrekte Notation geachtet werden (6 Zeichen, davon 3 Zeichen Monat, 1 oder 2 Leerzeichen, 2 oder 1 stellig Tag des Monats - die Angabe wird direkt fr ein grep verwendet). ZB: $ export TAG="Jun 17" ; logsurf $ export TAG="Jun 7" ; logsurf logsr verwendet logsurf und reduziert die Ausgabe weiter. Bestimmte Eintrge werden verworfen (die ICMP Pakete von AON) und die Ausgabe gekrzt. zB aktuelles Datum: $ unset TAG ; logsr Der Inhalt der Variable TAG wird etwas plausibilisiert, allerdings kann man ohne weiteres einen 39. Februar eingeben und erhlt dann natr- lich keine Ausgabe. 3.15.2. Downloadvolumenauswertung mit downlamount Beim Beenden einer PPP Verbindung schreibt der pppd die Anzahl der empfangenen und gesendeten Bytes in /var/log/messages. Das bietet sich an um die Downloadmenge zu kontrollieren. Das Script downlamount durchsucht /var/log/messages nach diesen Meldungen fr ppp0 (falls man mehrere PPP Verbindungen hat kann man die gewnschte also auswhlen, es sollte nur immer die selbe sein) und summiert die einzelnen Verbindungen fr ein Monat auf. Es nimmt entweder das aktuelle Monat (aus dem letzten Eintrag in /var/log/messages) oder ein gewhltes Monat aus der Variable MONAT (Jan|Feb|Mar|Apr|May|Jun|Jul|Aug|Sep|Oct|Nov|Dec). Bei fehlerhafter Monatsangabe wird das aktuelle Monat verwendet. Anmerkungen: Falls /var/log/messages (eventuell bei bestimmter Gre automatisch) komprimiert wird sollte man rechtzeitig zuvor die bis dahin angefallenen Werte notieren. Falls der pppd zu unsanft beendet wird (zB beim Shutdown oder kill -9) kommt er nicht mehr dazu diese Meldungen zu schreiben. Da /var/log/messages nur von root gelesen werden knnen verwende ich "sudo" und "alias": alias log='sudo /usr/local/sbin/logsr' alias dla='sudo /usr/local/sbin/downlamount' zum Beispiel: $ log $ dla $ export MONAT=Mai ; dla $ export TAG="Jun 1" ; log 3.16. zwei Netzwerkkarten und ADSL In der at.linux schreibt Philipp Schmid folgenden Tip, den ich Ihnen nicht vorenthalten mchte: Zitat: Da ich zwei Netzwerkkarten habe mu ich immer angeben ber welche ich die ppp Verbindung aufbauen will. Bei mir geht das mit pptp 10.0.0.138 10.0.0.140: Wobei 10.0.0.140 die ip meiner netzwerkkarte ist und 10.0.0.138 die vom ant. (Den doppelpunkt hinter der zweiten ip nicht vergessen). Sollte der pptp nicht funktionieren, sei noch angemerkt neuerdings heit es: pptp 10.0.0.138 --localbind 10.0.0.140 anstatt wie bisher pptp 10.0.0.138 10.0.0.140: 3.17. SuSE 3.17.1. SuSE 8.1 Dieter Hfler hat uns folgenden Beitrag spendiert und schrieb: Ich habe gerade eine ADSL Verbindung unter SuSE 8.1 mit Hilfe Ihres ADSL HOWTOs eingerichtet. Dabei haben sich einige 0erungen zur bisherigen Vorgehensweise ergeben: +o die Nameserver werden am besten nun auch mit Hilfe von YAST im Netzwerk/Basis, gleich bei der Konfiguration der Netzwerkkarte (10.0.0.140) mitangelegt. +o das PPTP Protokoll habe ich weiterverwendet Die grten 0erungen betreffen die automatische Einwahl: Das System der rc.config wurde aufgegeben und durch ein anderes System ersetzt. Dies macht 0erungen am ADSL Skript notwendig (Skript liegt bei). Dieses wird nach /etc/rc.d/ kopiert und mit chmod +x adsl lauffhig gemacht. (wie bisher) Um nun das Skript in die entsprechenden Runlevels einzubinden mu der Runlevel Editor in YAST-System gestartet werden. dort wird dann der entsprechende Runlevel (meist 3 und 5) makiert und beim Button Anwenden/Zurcksetzen auf Dienst aktivieren gesetzt. Das Skript kann in der Konsole mit rcadsl start (stop, restart, oder status) manuell bedient werden. Weitere Details zu den Optionen des Scripts, finden Sie im Script selbst. Das Script bekommen Sie hier (download eventuell mit SHIFT und linke Maustaste.) Nach dem download mu das Script renamed werden auf adsl: mv adsl-8.1 adsl chmod a+x adsl 3.17.2. SuSE 8.2 An dieser Stelle sein noch darauf hingewiesen, da Daniel Imrich mit dieser Anleitung sehr gute Erfolge bei SuSE 8.2 hatte. Als VPI/VCI-Nummern mu man fr sterreich 8.48 eintragen. Bei Daniel Imrich hat das auf Anhieb geklappt. 3.17.3. Suse-Firewall und ADSL Dieses Kapitel zeigt die Verwendung und Konfiguration der SuSE Firewall (Pakete "ipchains" und "firewals") fr ADSL. Fr dieses Kapitel bedanken wir uns bei Dieter WERNER Nach der Entscheidung fr einen ADSL Zugang und nach Meldungen, da auch zunehmend Linux Systeme Ziele von Angriffen sind, (Anm.d.Red.: Linux Systeme weisen zwar eine der Konstruktion des Betriebssystems anhaftende natrliche Festigkeit gegenber Angriffen von auen auf, aber entschuldigt deshalb noch lange nicht das Fehlen einer Firewall. Vorallem bei lteren Linux Installationen sollten die Server und Dmonen regelmig aktualisiert werden um bekannte Lcher zu stopfen). habe ich mich zur Installation einer Firewall entschlossen. Zu diesem Zeitpunkt hatte ich einen Modem-Dialup Zugang, d.h. eine bestehende ppp Konfiguration unter SuSE 7.0 mit wvdial. Mit dem Umstieg auf eine quasi-Standleitung ber ADSL wurde dann eine Firewall notwendig. Als Firewall Laie habe ich einfach die SuSE Pakete "ipchains" und "firewals" aus der Serie "sec1" installiert. Voraussetzung ist auch, da man einen Kernel verwendet bei dessen Erstellung die Parameter CONFIG_FIREWALL=y CONFIG_IP_FIREWALL=y gesetzt waren (bei den SuSE Kerneln ist das der Fall). Zustzlich braucht man nur in der Datei /etc/ppp/ip-up das Kommentarzeichen vor den Zeilen test "$START_FW" = yes && /sbin/SuSEfirewall (fr den case "ppp" "ip-up" und "ip-down") zu entfernen und am besten mit YaST die Variablen START_FW=yes und FW_DEV_WORLD=ppp0 zu setzen. /sbin/SuSEfirewall setzt bei Aktivierung des ppp-Interfaces mittels ipchains die Firewall Regeln in Abhngigkeit von weiteren Variablen. Die Defaultkonfiguration dieser weiteren Variablen (sie beginnen alle mit "FW_") war fr meinen Einsatzzweck bereits ausreichend. SuSEconfig erzeugt mit den FW_ Variablen die Datei /etc/rc.config.d/firewall.rc.config in der die gesetzten Variablen enthalten und ausfhrlich kommentiert sind. Z.B. kann man mit FW_ALLOW_PING_FW=yes/no konfigurieren, ob die Firewall einen ankommenden ping beantwortet oder nicht. Die Firewall wird jetzt bereits beim Eintritt in runlevel 2/3 initialisiert. Zu diesem Zeitpunkt existiert das ppp Interface noch nicht was zu einer Warnung fhrt die ignoriert werden kann. Sobald da ppp Interface aktiv wird werden die ipchains Regeln via /etc/ppp/ip-up und /sbin/SuSEfirewall gesetzt und beim Abbruch der Verbindung durch /etc/ppp/ip-down und /sbin/SuSEfirewall wieder gelscht. Die Firwall loggt in "/var/log/messages" oder "/var/log/firwall" verworfene (DENY) und verdchtige angenommene (ACCEPT) Pakete mit. Das logging level lt sich ebenfalls konfigurieren. Fr die Benutzung von ADSL bzw. generell fr die Benutzung weiterer Netzwerkinterfaces mu man nun folgendes bercksichtigen: die Firewall kann angeschloene Netze in drei Kategorien teilen +o intern (trusted, FW_DEV_INT) +o extern (untrusted, FW_DEV_WORLD) +o demilitarisierte Zone (FW_DEV_DMZ) (siehe dazu die links weiter oben) fr die man jeweils eigene Regeln setzen kann. Im Falle von ADSL erfolgt die Anbindung an das Internet via ppp, daher stimmt weiterhin FW_DEV_WORLD=ppp0. Allerdings hat man die Verbindung zum ANT via Ethernet Karte. Damit diese Verbindung nicht durch die Firewall geblockt wird mu man FW_DEV_INT="eth0" setzen (vorausgesetzt eth0 stellt die Verbindung zum ANT dar). Falls man mehrere Netzwerkkarten hat kann man mittels "ifconfig" feststellen, welche Interfaces (eth0, eth1,...) womit verbunden sind und diese dann ebenfalls bei FW_DEV_INT (oder FW_DEV_WORLD oder FW_DEV_DMZ) angeben. Mit FW_PROTECT_FROM_INTERNAL="no" gewhrleistet man nun, da alle Daten des internen Interfaces (das zum ANT) ungefiltert die Firewall passieren. Fr einen EinzelPC oder einfaches Heim-LAN ist das eine ausreichende Konfiguration. Da diese Konfiguration wirklich einfach ist und sie doch einiges an Sicherheit bringt sollte man sich wirklich die Zeit nehmen dies durchzufhren und nicht ohne Firewall ans Netz zu gehen. Schlielich wollen wir doch alle, da die Anzahl gehackter Linux Systeme deutlich unter der einer bestimmten anderen Betriebssystem Familie liegt. Von der Sicherheit der eigenen Daten ganz zu schweigen. 3.18. Debian Von Klaus Triendl stammt dieses Kapitel fr Debian- User. Mit den folgenden Schritten, loggt sich das System automatisch beim Provider ein (beim Erreichen des Runlevel 2+) bzw. beim Herunterfahren (oder Neustarten) automatisch wieder aus. Auerdem whlt sich pppd bei einem Verbindungsabbruch automatisch wieder ein. Das unten stehende Skript nach /etc/init.d/adsl kopieren und mit chmod a+x adsl ausfhrbar machen. Dann folgende Zeile auf der Konsole eingeben (mit root-rechten): update-rc.d adsl defaults 21 18 Damit wird bei den runlevels 2-5 das adsl-Skript mit Startnummer 21 eingefgt und bei den runlevels 1+6 mit Killnummer 18. Sollten die Nummern schon vergeben sein, einfach nach freien Nummern suchen oder die alphabetische Ordnung gelten lassen. ALLE Benutzer haben ab dann Zugriff auf das Internet, auch wenn sie keine root-Rechte haben. Beachten Sie, da eine allfllige Firewall dementsprechend eingerichtet ist, bevor eine adsl-verbindung hergestellt wird, sonst bleibt das skript schon beim start hngen. Wenn Sie noch keine Firewall haben, aber eine bentigen, werfen Sie einen Blick auf http://fireflier.sourceforge.net (als Debianpakete fireflier-server und fireflier-client-(gtk|qt) verfgbar). Mit root-Rechten kann man das Skript auch hndisch aufrufen. Folgende Parameter sind mglich: +o adsl start : Logon beim Provider +o adsl stop : Logoff +o adsl restart: Logoff und danach Logon +o adsl reload : Logoff und danach Logon, pptp und pppd werden nicht beendet Hier nun das ADSL-Script: #!/bin/sh # (C) 2003 by triendl.kj # dieses skript dient zur herstellung einer adsl-verbindung in sterreich; # Voraussetzugn ist, da sie grundstzlich eine erfolgreiche verbindung # herstellen knnen. # genauere Informationen dazu finden sie im sterreichischen adsl-howto # http://howto.htlw16.ac.at/at-highspeed-howto.html PATH=/bin:/usr/bin:/sbin/:usr/sbin DAEMON=/usr/sbin/pptp PPPD=/usr/sbin/pppd # verwenden sie fr die pid-datei den namen des Interface ber das die # adsl-verbindung luft; # wenn das interface z.b. ppp1 ist, dann ist das /var/run/ppp1.pid PIDFILE=/var/run/ppp0.pid MODEM="10.0.0.138" # ip-adresse des adsl-modems, standard: 10.0.0.138 OPTS="persist maxfail 0" # automatische wiedereinwahl ohne ende ARGS="$MODEM $OPTS" test -x $DAEMON || exit 0 test -x $PPPD || exit 0 case "$1" in start) echo -n "Starting adsl" if start-stop-daemon --quiet --stop --signal 0 --pidfile $PIDFILE --name pppd; then echo ": already running." exit 0 fi if start-stop-daemon --start --quiet --exec $DAEMON -- $ARGS; then echo "." else echo ": not started" fi ;; stop) echo -n "Stopping adsl" if start-stop-daemon --quiet --stop --signal 0 --pidfile $PIDFILE --name pppd; then # nach sptestens drei sekunden aufgeben if start-stop-daemon --stop --retry 3 --quiet --pidfile $PIDFILE --exec $PPPD --name pppd; then sleep 3 echo "." else echo ": not stopped." exit 1 fi else echo ": not running."; fi ;; reload) #SIGHUP senden, siehe pppd-manual if [ ! -z "`echo persist | grep -i persist`" ]; then echo -n "trying to reestablish adsl-connection: " # wenn nach sptestens 7 sekunden pppd nicht beendet ist, # dann war wiedereinwahl erfolgreich if ! start-stop-daemon --quiet --stop --retry -1/7 --exec $PPPD --name pppd; then echo "connection reestablished." else echo "connection terminated." fi else echo "reestablishing adsl-connection is only possible if $PPPD was started with the "persist"-option." fi ;; force-reload|restart) $0 stop && $0 start ;; *) echo "usage: adsl start|stop|restart|reload|force-reload" exit 1 ;; esac exit 0 3.19. ADSL & Debian - Stand 2007 Von David Whrer stammt dieses Kapitel fr Debian-User. Ich selbst verwende Debian testing, und bin beim Klagenfurter Provider Linea7.com. Bevor ich das Howto fand, versuchte ich, mit Hilfe der Anleitung fr Windows und lesen der relevanten man-Pages, ADSL zum Laufen zu bringen. Deshalb ist meine Lsung etwas anders als eure. Ich weiss nicht, ob sie besser ist, aber fr den Fall, dass sie hilfreich sein knnte, schicke ich sie euch jedenfalls. (Anm.d.Red: und wir verffentlichen das auch ;-) Bei mir startet nicht pptp den pppd, sondern umgekehrt. Die Datei /etc/ppp/peers/provider sieht bei mir so aus: user dwuehrer@linea7.com pty "/usr/sbin/pptp 10.0.0.138 --nolaunchpppd" noipdefault #usepeerdns defaultroute replacedefaultroute hide-password lcp-echo-interval 10 lcp-echo-failure 10 connect /bin/true noauth persist noaccomp default-asyncmap Das Modem weist meinem Rechner ber DHCP eine IP-Adresse zu, wrde dabei aber die nameserver des Providers aus /etc/resolv.conf lschen, deshalb ist usepeerdns auskommentiert. Zustzlich, vielleicht redundant, habe ich das Paket resolvconf installiert, damit die nameserver in jedem Fall eingetragen bleiben. (Die nameserver von Linea7 sind brigens 195.16.224.2 und 195.16.224.3, falls es von Interesse ist.) Die Werte fr die lpc-echo-Eintrge habe ich aus eurem Howto bernommen. Statt eines init.d-Skripts habe ich im Verzeichnis /etc/network/if- up.d eine ausfrbare Datei, die so aussieht: #!/bin/sh /usr/sbin/pppd call provider Damit wird beim Systemstart ADSL gestartet. Wenn man das nicht will, kann man stattdessen die Befehle pon und poff verwenden, die mit Debian mitgeliefert werden. Entsprechend habe ich in /etc/network/if-down.d das Gegenstck: #!/bin/sh /usr/bin/killall pppd (Ein anderer Befehl wre vielleicht eleganter, und bestimmt notwendig, wenn man mehr als eine PPP-Verbindung hat. Aber fr eine Verbindung ist das recht zuverlssig.) Entsprechend euren Empfehlungen habe ich auch einen DNS-Cache (totd) und einen Web-Cache (polipo) installiert. Wie gesagt, meine Lsung ist anders als eure, und ich weiss nicht, ob mein Beitrag irgendetwas bringt. In jedem Fall will ich mich fr das Howto bedanken. Es ist die beste bersicht ber ADSL und wie man es verwenden kann, die ich kenne. 3.20. Weitere ADSL Informationen 3.20.1. Tip Eine sehr umfangreiche und deutsprachige Sammlung mit Informationen rund um ADSL hat Michael Simon in seinem sterreichischen ADSL Forum zusammengetragen. Im Archiv des Diskussionsforum finden sich die Antworten zu den meisten Fragen die einem bei ADSL einfallen. ADSL User sollten dort einmal vorbeigesurft sein. 3.20.2. Variante persist Option Von Klaus Triendl stammt die Variante, die "persist"-Option fr pppd zu nutzen, um stndig online zu bleiben. aus dem pppd-Manual: persist versucht, eine Verbindung nach Abbruch wieder zu ffnen; die "maxfail"-Option regelt die Anzahl der Versuche. Do not exit after a connection is terminated; instead try to reopen the connection. The maxfail option still has an effect on persistent connections. maxfail n Abbruch nach n aufeinanderfolgenden Fehlversuchen. Der Wert 0 bedeutet unbegrenzt. Standardwert ist 10. Terminate after n consecutive failed connection attempts. A value of 0 means no limit. The default value is 10. Alle Optionen, die pptp nicht verarbeiten kann, leitet es an pppd weiter. Somit kann pptp mit folgenden Parametern aufgerufen werden: pptp 10.0.0.138 persist maxfail 0 bzw. knnen Sie die beiden Optionen auch in /etc/ppp/options eintragen. Damit erbrigen sich alle bisher vorgestellten Varianten zur automatischen Wiedereinwahl, weshalb diese Variante sicher die am einfachsten zu handhabende ist. Ein vollstndiges Skript finden Sie im Abschnitt ``ADSL & Debian'' . 3.21. Probleme mit ADSL und deren Lsung 3.21.1. PPTP-Verbindung bricht ab: Mglichkeit 1: Problem bei der "eigenen" Hardware, event. ANT defekt. Mglichkeit 2: Im Netzwerkkarten SETUP (DOS-Programm das zumeist auf Floppy mit der Netzwerkkarte mitgeliefert wird ;-) haben Sie Full- Duplex aktiviert. Probieren Sie das auszuschalten und checken Sie ob es dann besser funktioniert. (Der Hinweis stammt von Peter Chiocchetti ) 3.21.2. PPP-Verbindung bricht ab: ADSL bzw. ATM-Verbindung unterbrochen. Bricht die eigenen Verbindung immer wieder ab, waehrend andere Speed-Teilnehmer in der Umgebung keine Probleme haben, dann handelt es sich meist um Stoerungen auf der eigenen "last mile". Sind von der Stoerung mehrere Teilnehmer betroffen, dann ist das ATM-Netz gestoert. Tritt dieses Problem dauernd auf, so hilft auch ein Wechsel des Providers nichts. 3.21.3. PPP-Verbindung steht, aber es werden keine Daten uebertragen: Test ob ein ping zum Point-to-Point-Partner funktioniert. Wenn ja, weiterer Test, ob ein Traceroute ins Internet (zB. www.orf.at) funktioniert. Funktioniert der Ping, Traceroute bricht aber irgendwo am Weg zum Ziel ab, so ist eine IP-Verbindung unterbrochen bzw. ein Router defekt. Von einem solchen Problem sind viele Teilnehmer des selben Providers gleichzeitig betroffen, in dem Fall kann man nur warten. 3.21.4. Verfgbarkeit der Verbindung: Michael Prochaska schrieb: Das sich das modem hin und wieder aufhngen kann wissen wir ja, bei mir hat sich dieses problem allerdings erledigt, seit dem ich eine teure 3com netzwerkkarte verwende (seit ca. 2 jahren kein einziger hnger, ich schwre *g*, davor alle 2-3 stunden) 3.21.5. ANT Varianten: Wenn ADSL keinesfalls zum Laufen zu bringen ist, dann knnte dieser Beitrag von Roland Lezuo noch einen Versuch wert sein: Hallo Heimo, erst mal Dank fr das tolle ADSL howto, war sehr hilfreich. Allerdings habe ich viele Stunden damit verbracht ADSL auf meiner LinuxBox zum laufen zu bringen, schuld war das Modem, und bevor andere verzweifeln, vielleicht kannst Du ja folgende Info in das HowTo aufnehmen: Symptom : pptp stellt verbindung zu modem her pppd whlt sich ein, Auth klappt IP Adressen, Gateway, DNS-Server werden eingetragen es geht kein ping auf den ptp partner und auch auf sonst nix Lsung: Das "Speed touch home" Modem hat zwar als Versionsnummer bcaa aufgedruckt luft aber nur mit der pptp Version fr das bbaa Modem Arg, bis ich das versucht habe hat es wriklich lange gedauert! Ach ja, noch etwas, wenn man in der /etc/ppp/options zustzlich noch die Zeile "usepeerdns" eintrgt (bin mir jetzt nicht ganz sicher, hab das man auf diesem Rechner nicht installiert) dann werden die DNS Server automatisch in die /etc/resolv.conf eingetragen, und beim Abbruch der Verbindung wieder mit den alten Einstellungen der /etc/resolv.conf berschrieben mfg Roland Lezuo -- Trennt sich das Ross von seinem Reiter, geht das Rennen nicht mehr weiter. ICQ: 98409354 3.21.6. Zusammenfassung: Bei den wenigsten dieser Probleme kann eine Hotline weiterhelfen. Kein Wunder - Linux wird offiziell nicht unterstuetzt und Leute welche Kentnisse auf diesem Niveau besitzen, sind in Betrieb und Wartung besser aufgehoben. Schliesslich betreffen ueber 90% der Hotline- Anrufe einfache Konfigurationsprobleme. Hilfe bieten hier die news- Diskussionsforen at.linux bzw. local.*, letztere nur am Provider- Server. 3.21.7. Diverses Aus der at.linux: Andreas Ender wrote: > So ca. einmal im Monat erhalte ich folgede Meldung: > > warn[open_unixsock:pptp_callmgr.c:308]: Call manager for 10.0.0.138 is > already running. > fatal[callmgr_main:pptp_callmgr.c:124]: Could not open unix socket for > 10.0.0.138 > fatal[launch_callmgr:pptp.c:213]: Call manager exited with error 256 > startproc: exit status of /usr/sbin/pptp: 1 ==> rm -fR /var/run/pptp/ MfG / Regards Friedrich Lobenstock 3.21.8. Anmerkungen: Anmerkung von Manfred Larcher : Wenn das Modem stndig LCP Requests sendet und nach ca. 9 Versuchen hngen bleibt ohne jemals eine Antwort auf den Request bekommen zu haben (Ping geht aber), dann hat sich das Modem ganz einfach "verabschiedet". Die Lsung: Einfach das Modem (min. 1 Minute) abschalten und wieder einschalten, dann synchronisiert es sich wieder und alles klappt wieder wie am Schnrchen. Anmerkung der Redaktion: Offenbar kein Linux in der ANT !? ;-) 4. Kabelnetze 4.1. bersicht Mglichkeiten und Vorgehensweise bei der Anbindung eines Linux Rechners an das Chello/Telekabel Netzwerk Der Anschlu erfolgt mittels einer von Chello beigestellten Netzwerkkarte mittel Twisted Pair Kabel an ein entsprechendes Modem. 4.1.1. Mglichkeiten Es werden mehrere Mglichkeiten der Konfiguration beschrieben. +o statisch: die IP Adressen werden fix eingetragen - es werden die Adressen z.B. aus Windows bernommen +o DHCP / BOOTP: die Adressen werden durch automatische "Anfrage" bei Telekabel bestimmt Den dynamischen Methoden sollte der Vorzug vor dem statischen Eintrag der IP Adressen gegeben werden - nur so werden eventuelle 0erungen der Konfiguration von Telekabel automatisch bercksichtigt. Achtung: Telekabel setzt mehrere verschiedene Arten der Netzwerkkarte ein, d.h. die angegebenen Typen bzw. Treiber sind nur beispielhaft angegeben. Ebenso sind die angegebenen IP Adressen (Rechner und Gateway) nur als Beispiel zu sehen und auf jeden Fall durch die eigenen Werte zu ersetzen, Da Chello "echte" IP Adressen verwendet ist der Rechner weltweit erreichbar. Die Installation einer Firewall bzw. eines IP Packetfilters wird unbedingt empfohlen - siehe ``Links'' 4.1.2. Empfohlene Literatur 4.1.2.1. Einfhrung siehe ``Links'' 4.1.3. Feedback Kommentare und vor allem aktive Beitrge zu diesem Teil des Dokuments (Kabelnetze) sind jederzeit willkommen. Bitte senden sie Hinweise/Kommentare zu dieser Version an mich (). 4.1.4. Version / History des Chello/Telekabel Howtos Dieses Teil des Howto ist aus einigen Postings in news:telekabel.linux und news:at.linux entstanden. +o Version 0.1 - 6. August 1999 +o Version 0.2 - 15. August 1999: added: Manuelle Konfiguration +o Version 0.3 - 20. August 1999: sgml, first public Version +o Version 0.4 - 21. September 1999: howto links, redhat by Walter Haschka +o Version 0.5 - April 2001 +o integration in das at-highspeed howto 4.2. Installation mit SuSE Falls es sich um eine PnP (Plug & Play) Netzwerkkarte handelt, sollte diese Funktion vorher abgeschaltet werden - ``Anleitung''. Die statische Variante ist lnger, funktioniert aber immer, die DHCPClient Variante geht eventuell nur mit einem neueren dhcpclient (neuer als SuSE 6.1) - siehe ``update''). Ab SuSE 7.0 gibt es auch im Handbuch eine Anleitung zur Installation. Siehe auch SuSE Support Datenbank. Achtung: da die Leasetime (Gltigkeitsdauer) der Adresse auf unendlich gesetzt ist, beendet sich das Script bei SuSE sofort und meldet einen Fehler, trotzdem funktioniert es perfekt. Notwendige Information: +o statische Variante: IP Adresse und Gateway - zB. aus der Windows Systemsteuerung oder mit Winipcfg festellen) - siehe auch ``PnP'' +o Art der Netzwerkkarte 4.2.1. Statische Variante Siehe auch SuSE Support Datenbank Kommandozeile: YaST aufrufen +o Administration des Systems +o Hardware ins System integrieren +o Netzwerkkarte konfigurieren +o Typ des Netzwerks: eth0 +o Art der Netzwerkkarte: deine Auswhlen (oder ansonsten NE2000 kompatible) Netzwerk konfigurieren Netzwerk Grundkonfiguration +o erste Zeile auswhlen (Nummer [0]) +o F5 (Device) -> Ethernet +o F6 (IP) -> IP-Adresse Ihres Rechners: :deine IP +o Netmask: 255.255.255.0 +o Adresse default ``Gateway'': deine IP, aber letzte Stelle .1 +o IP-Adresse des PointToPoint-Partners : nix +o mit F4 sicherstellen das das [x] bei aktiv da ist. Rechnername ndern: beliebiger ``Rechnername'' Domain: telekabel.at Netzwerkdienste konfigurieren: +o inetd... JA +o portmap ... NEIN +o Posting zeile: TK212017125181.telekabel.at +o Konfiguration ``Nameserver'': +o mchten sie auf NS zugreifen... JA +o Liste der IP addressen: 195.34.133.10 195.34.133.11 +o Liste der domains: telekabel.at +o Sendmail konfigurieren: +o Rechner mit permanenter Netzanbindung (SMTP) Danach YaST beenden. Neustarten des Systems oder: init 1 eingeben und warten bis der runlevel 1 erreicht ist und dann init 2 eingeben (oder init 3 fr X). Die Konfiguration kann mit ``BOOTP'' oder ``DHCP'' vereinfacht werden. Kontrollieren Sie nun mit ifconfig ob Sie ein Device lo (loopback) und ein Device eth0 (1. Ethernetdevice) erhalten haben. Sollte eth0 fehlen, dann haben Sie bei der Auswahl der Netzwerkhardware ein falsches Gert gewhlt, oder Ihre Karte reagiert nicht auf der eingestellten IO-Adresse oder dem eingestellten Interrupt. 4.2.2. DHCP Client Variante siehe auch ``update''. Siehe auch SuSE Support Datenbank Achtung: Das eigentliche Programm/Paket heisst: dhcpcd (DHCP Client Dmon) - NICHT das Paket dhclient verwenden. Kommandozeile: YaST aufrufen Administration des Systems Installation festlegen/starten (je nachdem welche Installationsart du gewhlt hast kommt jetzt ein Dialog) +o Konfiguration ndern/erstellen +o Netzwerk-Support (TCP/IP, UUCP, Mail, News) +o dhclient DHCP Client auswhlen (Leertaste) (Achtung: NICHT dhcp ISC DHCP Server auswhlen) +o dann F10 (Ende) +o dann nochmals F10 +o dann Installation starten eventuell kommt ein Dialog wo "Abhngigkeiten" berprft werden,wenn ntig auf AUTO gehen. +o dann warten, ... +o dann ESC, dann bist du (nach den Konfig-Scripts) wieder im YAST Konfigmen Dort auf Administration des Systems +o dann bei Hardware ins System integrieren +o die Netzwerkkarte auswhlen (siehe ``statische methode'') +o dann Netzwerk konfigurieren, +o dort DHCP Client auswhlen +o Mchten sie DHCP verwenden... JA dann Konfig Scripts laufen lassen dann den Rest so wie bei der statischen Methode machen, (die Mens die grau sind, und deshalb nicht ausgewhlt werden knnen, einfach berspringen) 4.2.3. DHCP Client - Tips Nach dem Booten sollte man kontrollieren, ob die Netzwerkkarte richtig erkannt wurde: mit Shift-PgUP (Bild-Oben) oder mit "dmesg" die Ausgaben des Kernels kontrollieren; eventuell mu das entsprechende Modul 3c59x geladen werden. Zuerst wird die Netzwerkkarte mit einer beliebigen Adresse initialisiert: "ifconfig 192.168.1.1". Dann wird "dhclient eth0" aufgerufen - in weiteren Fenstern kann man mit "tcpdump" den Verkehr am Netz beobachten bzw. mit "watch ifconfig" die Konfiguration kontrollieren - irgendwann sollte dhclient Erfolg melden bzw. ifconfig eine andere Adresse (statt 192.168.X.X) anzeigen - die Datei /var/state/dhcp/dhclient.leases enthlt nach erfolgter dhcp Konfiguration die erhaltenen Daten und kann damit auch zur Kontrolle verwendet werden. Die Routen und der Nameserver werden von dhclient automatisch gesetzt d.h. keine weiteren Schritte notwendig. 4.2.4. Update DHCP Client Der dhclient der mit SuSE 6.1 kommt ist scheinbar nicht kompatibel mit dem Telekabel Server - ich habe mir eine neuere Version (dhcp-2.0b1pl27) von geholt und bersetzt (im README gibt es eine genaue Anleitung: ./configure und make); Ich habe nur den neuen client aus dem Verzeichnis client nach /sbin kopiert. Ab Version 7.0 ist bei SuSE ein neuer Client (dhcpcd) dabei - damit sollte es perfekt funktionieren. 4.3. PNP - Plug & Play Falls es sich um eine PnP (Plug & Play) Netzwerkkarte handelt, sollte diese Funktion vorher abgeschaltet werden. Der passende Treiber heit 3Com EtherLink III EISA (3C579) und kommt direkt von der Diskette auf der auch das Tool zum Deaktivieren von pnp ist. Nicht der von der Win95 CD. Mit dem hat's bei mir nicht geklappt. In den Eigenschaften dieses Treibers gibt's, trotz non pnp, gar keine Einstellungen zu IRQ und I/O. Hinweis: Die Diskette mit den entsprechenden Treibern gibt es meiste auf der Hompage des Kartenherstellers. Es gibt auch einige Utilities fr Linux: Linux Network Drivers Weitere Links fr 3Com Karten: 3c509b Umschaltung/Konfiguration Installationshinweise 3Com Suchmaschine Man kann auch eine andere (nicht PnP) Karte einsetzen -- siehe ``andere Karte''. Unter Systemsteuerung/Netzwerk hab ich die Protokolle fr pnp gar nicht entfernen mssen. (sind jetzt alle doppelt vorhanden) Noch mal alle Schritte: +o Mit Bootdisk starten und pnp deaktivieren +o Windows booten -> Treiber installieren +o Nach dem Reboot sollte die Verbindung zu TW unter Win wieder stehen +o Das Programm Winipcfg im Verzeichnis c:/Windows starten und eigene IP notieren +o Linux booten und im Fall von SuSE Yast starten: (siehe ``statische methode'' oder ``mit DHCP'') 4.4. Redhat Die nachfolgende Anleitung hat auf einem RedHat 5.1 System (inkl. einiger Update-Packages) zu einem funktionierenden TK-Anschlu gefhrt. In diesem Kapitel stehen alle IP-Nummern der Art 99.99.99.99 fr die eigene IP-Adresse und mssen durch diese ersetzt werden. Fr das Gateway steht 99.99.99.1, fr das Netzwerk 99.99.99.0; hier sind statt der 9er- Gruppen jeweils die ersten drei Zahlen der eigenen IP-Adresse einzusetzen. Zunchst eine (nicht notwendigerweise vollstndige) Liste der Packages, welche installiert sein mssen: +o netkit-base +o net-tools +o bind-utils berprfung durch befragen der RPM-Datenbank: rpm -q net-tools netkit-base bind-utils liefert z.B. net-tools-1.46-1 netkit-base-0.10-13 bind-utils-4.9.6-11 Im X das Control-Panel starten (unter Administration enthalten). +o Klick auf System Configuration (Dirigent; ggf. nach unten rollen oder Fenster vergrern) +o Reiter: Einstellungen - Button: Netzwerk +o Im neuen Fenster "Netzwerkverwaltung" +o Reiter: Client Aufgaben - Button: Rechner Basisinformation +o Im neuen Fenster "Basiskonfiguration dieses Rechners" +o Reiter: Rechnername oder IP-Nummer +o Im Textfeld den gewnschten ``Rechnername'' eingeben z.B. Marilyn +o Reiter: Adapter 1 +o Checkbox 'aktiviert' ein +o Optionen 'Konfigurationsmodus' manuell (statt DHCP, Bootp) +o Textfeld 'Rechnername + Domne' ? (zB. Marilyn.telekabel.at) +o Textfeld 'Aliase (opt.)' (zB. MM) +o Textfeld 'IP Adresse' (zB. 99.99.99.99) +o ComboBox 'Netmask (opt.)' 255.255.255.0 < auswhlen> +o ComboBox 'Netzwerkgert' eth0 +o ComboBox 'Kernel Modul' 3c59x +o Textfeld 'I/O/port (opt)' +o ComboBox 'Irq (opt)' +o mit "Besttigen" das Fenster "Basiskonfiguration dieses Rechners" schliessen. Im Fenster "Netzwerkverwaltung" nun whlen: +o Reiter: Client Aufgaben - Button: Name Server Specifikation (DNS) +o Im neuen Fenster "Resolver configuration" +o Checkbox 'DNS usage / DNS required' ? (bei mir aus) +o Textfeld 'default domain' ? (bei mir leer) +o Textfeld '``nameserver'' 1' 195.34.133.10 +o Textfeld 'nameserver 2 (opt)' 195.34.133.11 +o Textfeld 'nameserver 3 (opt)' 128.130.2.3 +o Textfeld 'search domain 1 (opt)' telekabel.at die weiteren 'search domain 2-6' knnen leer bleiben +o mit "Besttigen" das Fenster "Resolver configuration" schliessen. Im Fenster "Netzwerkverwaltung" nun whlen: +o Reiter: Verschiedenes - Button: Informationen ber andere Rechner +o Im neuen Fenster "/etc/hosts" +o Button: Neu +o Im neuen Fenster "Rechner/Netzwerkdefinition" die Daten des eigenen Rechners angeben wie unter "Rechner Basiskonfiguration": +o Textfeld 'Rechnername + Domne' zB. Marilyn.telekabel.at +o Textfeld 'Aliase (opt.)' zB. MM +o Textfeld 'IP Adresse' z.B 99.99.99.99 +o Textfeld 'Kommentar (opt)' zB. Des bin i +o mit "Besttigen" das Fenster "Rechner/Netzwerkdefinition" schliessen. +o Im Fenster "/etc/hosts" nun wieder +o Button: Neu +o Im neuen Fenster "Rechner/Netzwerkdefinition" die Daten des Loopback device angeben: +o Textfeld 'Rechnername + Domne' localhost +o Textfeld 'Aliase (opt.)' +o Textfeld 'IP Adresse' 127.0.0.1 +o Textfeld 'Kommentar (opt)' zB. Loopback device +o mit "Besttigen" das Fenster "Rechner/Netzwerkdefinition" schliessen. +o mit "Besttigen" das Fenster "/etc/hosts" schliessen. Es gibt noch die Mglichkeit /etc/networks zu bearbeiten. Bei mir ist das leer. Falls es Sinn macht, dort was reinzuschreiben: Der Ablauf ist analog zu /etc/hosts, nur dass das erste Fenster eben /etc/networks heisst. Alle anderen Fenster/Felder sind ident. Der Aufruf geht so: +o Im Fenster "Netzwerkverwaltung" nun whlen: +o Reiter: Verschiedenes - Button: Information ber andere Netzwerke +o mit "Beenden" das Fenster "Netzwerkverwaltung" schliessen. +o mit "Beenden" das Fenster "Linuxconf 1.11" schliessen. +o Im neuen Fenster "Zustand des Systems" den Button: aktivieren auswhlen. Nach einer kleinen Nachdenkpause bleibt nur noch das Control-Panel brig. Letzter Schritt: Konfiguration der Netzwerkkarte beim Start automatisch durchfhren +o Eine Datei in /etc/rc.d anlegen, zB. /etc/rc.d/MyRouteInit und mit dem Editor Deiner Wahl wie folgt eintragen (siehe auch Default ``Gateway''): # /etc/rc.d/MyRouteInit # # Module laden # ifconfig lo ifconfig eth0 # # LoopbackDevice konfig und Route setzen # ifconfig lo 127.0.0.1 route add 127.0.0.1 # # selbes mit eth0, incl. Default Gateway # ifconfig eth0 99.99.99.99 netmask 255.255.255.0 route add -net 99.99.99.0 route add default gw 99.99.99.1 # # testen # route -n # +o auf der Shellebene / im Konsolen-Fenster ausfhren: cd /etc/rc.d chmod 0755 MyRouteInit Kontrolle mit ls -l My* -rwxr-xr-x 1 root root 534 Aug 18 19:52 MyRouteInit +o Damit's wirkt muss man das Skript jetzt noch ausfhren: ./MyRouteInit +o Jetzt sollte die Verbindung stehen. Die folgenden Befehle sollten problemlos funktionieren: ping 195.34.133.11 ping www.orf.at traceroute 199.183.24.225 +o mit dem Editor Deiner Wahl die Datei /etc/rc.d/rc.local bearbeiten: Am Besten nach den Eingangs-Kommentaren die folgenden Zeilen einfgen: : : # set my network environment # if [ -f /etc/rc.d/MyRouteInit ]; then /etc/rc.d/MyRouteInit fi # # on with the original stuff : : 4.5. Manuelle Konfiguration 4.5.1. Konfiguration Nameserver: siehe ``Nameserver'' und ``Gateway'' Datei /etc/resolv.conf search telekabel.at nameserver 195.34.133.10 nameserver 195.34.133.11 Datei /etc/host.conf order hosts bind multi on Datei /etc/nsswitch.conf (? nur wenn vorhanden - nur glibc2 ?) hosts: files dns networks: files dns 4.5.2. Konfiguration Netzwerk: zuerst das looopback device (lo) +o setzen: ifconfig lo 127.0.0.1 +o testen: ifconfig lo +o Route setzen: route add 127.0.0.1 +o Routen anzeigen: route -n +o jetzt sollte ein ping gehen: ping 127.0.0.1 selbes mit eth0 (Nummern bitte anpassen) +o setzen: ifconfig eth0 212.17.17.14 netmask 255.255.255.0 +o testen: ifconfig (es sollte das Device lo und das eth0 sichtbar sein) +o Route setzen (lokales Netz): route add -net 212.17.17.0 +o Routen anzeigen: route -n +o testen: ping 212.17.17.1 +o Route setzen (``default gateway''): route add default gw 212.17.17.1 +o jetzt sollte ein ping gehen: ping 128.130.2.3 +o auch mit symbolischen Namen: ping tunamea.tuwien.ac.at Verbesserung: Alle Rechner in /etc/hosts eintragen - dann kann man auch Namen statt der Nummern verwenden (siehe ``Rechnername'' und ``Gateway'') 127.0.0.1 localhost 212.17.17.14 dein.rechner.name 212.17.17.1 default.gateway Die Konfiguration kann mit ``BOOTP'' vereinfacht werden. 4.5.3. Autokonfiguration mit Bootp Linux bietet auch die Mglichkeit, die IP Adresse direkt vom Kernel via BOOTP Protokoll zu bestimmen. Dazu mssen bei der Konfiguration eines 2.2.x Kernels folgende Optionen ausgewhlt werden: +o Networking options +o IP: kernel level autoconfiguration +o BOOTP support Damit wird die IP Adresse und der "Default Gateway" via BOOTP Protokoll abgefragt und die Netzwerkkarte konfiguriert. Achtung: Im Gegensatz zu der Konfiguration mit DHCP werden dabei z.B. die Nameserver nicht automatisch konfiguriert. 4.5.4. Manuelle Konfiguration + DHCP-client Dieser Kapitel von Wolfgang Winkler beschreibt alles noetige um einen Linux-PC, der ueber kein geeignetes ein Konfigurationswerkzeug verfuegt, ans chello-Netz zu bringen. Diese Methode funktioniert wahrscheinlich fuer jedes Betriebssystem, vorausgesetzt der dhcp-client ist verfuegbar oder laesst sich kompilieren. In der Dokumentation werden folgende genannt: +o {,Free-,Net-}BSD +o OSF +o SunOS Ich gehe davon aus, dass die Bedeutung/Aufgabe von Konfigurationsdateien wie z.B. /etc/resolv.conf bekannt ist und auch wie man sie erfolgreich editiert. Software: dhcp-3.0pl2 (am 11.05.2003) Das Packet enthaelt DHCP-client und -server, es wird aber nur der Client benoetigt). Bei Bedarf source von ftp://ftp.isc.org/isc/dhcp/dhcp-3.0pl2.tar.gz (845 kB) runterladen, kompilieren und installieren. config-file fuer dhclient: /etc/dhclient.conf #/etc/dhclient.conf #based on instructions taken from BLFS-BOOK: http://beyond.linuxfromscratch.org #eth0 bei Bedarf aendern !! timeout 45; retry 30; interface "eth0" { prepend domain-name-servers 127.0.0.1; request subnet-mask, broadcast-address, time-offset, routers, domain-name, domain-name-servers, host-name; require subnet-mask, domain-name-servers; } # end /etc/dhclient.conf Die Zeilen timeout 45 und retry 30 sind optional und legen das Verhalten fuer den dhclient fest, wenn nicht gleich eine Antwort vom Chello-DHCP-Server kommt. In so einem Fall geht dhclient nach timeout Sekunden in den Hintergrund, wartet retry Sekunden, und versucht dann wieder eine IP-Adresse vom DHCP-Server zu bekommen. Details zur Konfiguration: man dhclient.conf Zum Konfigurieren der Netzwerkkarte reicht dann das Starten des Programms dhclient als root. Das sieht normalerweise dann so aus: Internet Software Consortium DHCP Client V3.0pl2 Copyright 1995-2001 Internet Software Consortium. All rights reserved. For info, please visit http://www.isc.org/products/DHCP Listening on LPF/eth0/xx:xx:xx:xx:xx:xx (MAC-Adresse der Netzwerkkarte) Sending on LPF/eth0/xx:xx:xx:xx:xx:xx (MAC-Adresse der Netzwerkkarte) Sending on Socket/fallback DHCPDISCOVER on eth0 to 255.255.255.255 port 67 interval 7 DHCPOFFER from 10.34.14.1 DHCPREQUEST on eth0 to 255.255.255.255 port 67 DHCPACK from 10.34.14.1 bound to xxx.xxx.xxx.xxx -- renewal in 1094119969 seconds. dhcp-3.0pl2 bringt das script dhclient-script mit, das automatisch von dhclient gestartet wird und die Informationen, die vom chello-DHCP- Server kommen, automatisch in die entsprechenden config-files eintraegt. /etc/resolv.conf sollte jetzt so aehnlich ausschauen: search chello.at nameserver 127.0.0.1 nameserver 195.34.131.180 nameserver 195.34.133.10 Das Kommando route -n sollte dann aehnliches auswerfen: Kernel IP routing table Destination Gateway Genmask Flags Metric Ref Use Iface 195.34.151.0 * 255.255.255.0 U 0 0 0 eth0 0.0.0.0 195.34.151.1 0.0.0.0 UG 0 0 0 eth0 Beispiel-Bootscript fuer Sys V-style-init Pfade anpassen wenn notwendig! #!/bin/sh #starten mit "dhcp start" oder "dhcp stop" case "$1" in start) echo "setting up eth0..." #Bei Problemen eventuell noetig (vgl. /etc/modules.conf) # modprobe eth0 /sbin/dhclient ;; stop) echo "shutting down eth0..." /sbin/dhclient -r ;; *) echo "Usage: $0 {start|stop}" exit 1 ;; esac 4.5.5. Kabelzugang ber den USB-Anschluss Dieses Kapitel wurde gespendet von Anton Steiner Anforderung: Kernel 2.6.x (hier 2.6.6) - selbstkompiliert und Kabelmodem (hier Motorola Surfboard) mit USB Anschluss. Achtung: Nur Anschlu ber Netzwerkkarte ODER USB Module: CDCEther (Devicedriver --> USB Support --> CDC Ethernet Support) usbnet (Devicedriver --> USB Support --> Multipurpose USB Network Framework) Die Module knnen entweder direkt in den Kernel oder als Module kompiliert werden. Als Module mssen sie mit modprobe CDCEther modprobe usbnet eingebunden werden (man modules, update-modules, modules, modprobe) Das Kommando ifconfig -a zeigt das Gert als hchstes ethX Device (z.b. eth0 --> keine Netzw- erkkarte vorhanden , eth1 --> eine Netzwerkkarte ist vorhanden). Weitere Installation wie bei ``Manuelle Konfiguration + DHCP-client'' 4.5.6. Nachtrag fuer Student-Connect - Benutzer Es gilt (Mai 2003) die Regelung, dass max. 1 GB/Monat traffic ueber die Leitungen von Chello geschickt werden darf, daher ist es wohl empfehlenswert den proxy-server der Uni zu verwenden. Sofern der jeweilige Client das Autokonfigurationsscript (http://www.univie.ac.at/proxy fuer UNI Wien) versteht, gibts keine Probleme. Eine manuelle Konfiguration ist auf keiner Support-Seite zu finden, laut ZID-Mitarbeitern ist der Proxy unter tk-proxy.univie.ac.at:3128 zu erreichen. Wer sicher gehen will, dass der jeweilige Client auch wirklich den Proxy benutzt, kann sich unter: +o http://elina.htlw16.ac.at/~hoerandl/ nachschauen welche IP-Adresse angegeben wird (131.130.1.135, 131.130.1.143, 131.130.1.150 ist o.k. das sind tk-proxy{1,2,3}.univie.ac.at) +o http://www.stilllistener.addr.com/checkpoint1/ dasselbe, nur etwas ausfuehrlicher Hier noch ein Vorschlag fuer die Konfiguration von wget: ~/.wgetrc enthaelt dann folgendes: http_proxy = http://tk-proxy.univie.ac.at:3128/ ftp_proxy = http://tk-proxy.univie.ac.at:3128/ use_proxy = on 4.6. Anhang 4.6.1. Fehlersuche ifconfig zeigt kein eth0 an: Treiber fehlt ping xx.xx.xx.1 (IP Adresse des ``Gateway'') geht nicht: IP Adresse nicht gesetzt (ifconfig) oder keine Route gesetzt ping gateway funktioniert, ping auf alle anderen Rechner geht nicht: Route nicht gesetzt (route) ping mit Nummer (IP Adresse) geht - mit Namen nicht: der Rechner findet den Name Server nicht 4.6.2. Dateien siehe ``Manuelle Konfiguration'' 4.6.3. Rechnername +o der Rechnername kann beliebig gewhlt werden. +o offizieller Name: tk(IP-Adresse ohne Punkte).telekabel.at (zB. TK212017123123.telekabel.at) oder tk212017123123.tuwien.teleweb.at (beim Studenten Account) oder 212186004001.11.vie.surfer.at +o Bestimmung des offiziellen Namens: nslookup ip.adresse oder dig -x ip.adresse 4.6.4. Gateway Adresse des Default-Gateway: deine IP, aber letzte Stelle (letzte Gruppe nach dem Punkt) .1 zb: meine IP: 195.34.12.234, mein Gateway: 195.34.12.1) 4.6.5. Nameserver Telekabel verwendet folgende Rechner (IP-Adressen) als Nameserver: 195.34.133.10 195.34.133.11 4.6.6. Proxy Konfiguration Teleweb untersttzt die automatische Proxy-Einstellung. gib unter edit|preferences|advanced|proxy die URL http://www.teleweb.at/autoproxy ein und aktiviere die automatische Einstellung. 4.6.7. Links Weiterfhrende Konfigurationshinweise (Browser, Mail, News etc.) gibt es bei Chello. 4.6.8. Andere Karte Wenn es mit der von Telekabel gelieferten Karte absolut nicht funktionieren will: man kann auch eine andere Karte einsetzen. Bei der statischen Methode sollte es keine Probleme geben. Bei der DHCP Variante sollte folgender Eintrag in der Datei /etc/dhclient vorgenommen werden: send dhcp-client-identifier xx:xx:xx:xx:xx:xx:xx Anstelle der xx ist die alte (von der original-tk-karte) MAC-Adresse einzusetzen. Bei einigen Karten kann auch direkt die MAC Adresse gendert werden: ifconfig eth0 hw ether xx:xx:xx:xx:xx:xx:xx damit funktioniert auch DHCP (Achtung: dieses Kommando muss vor dem Aktivieren der Karte ausgefhrt werden). 4.6.9. dhcpcd Fehlermeldung Fehlermeldung: dhcpcd[...] Infinite IP addresses lease time.Exiting failed Infinite lease heit nur, da sich der Client nicht nach einer bes- timmten Zeit (=lease time) eine neue IP holen mu bzw. die alte IP wieder reservieren muss. Der Client beendet sich deshalb, nur die SuSE Skripts sehen das als Fehler -- die Verbindung funktioniert trotzdem. 4.6.10. Kabelzugang ber Salzburg-Online 4.6.10.1. Cabellink Home Dieses Kapitel wurde gespendet von Anton Steiner Konfiguration ber DHCP - Client: /etc/dhclient timeout 60; retry 60; interface "ethX" { # entsprechend ifconfig -a anpassen prepend domain-name-servers 127.0.0.1; request subnet-mask, broadcast-address, time-offset, routers, domain-name, domain-name-servers, host-name; require subnet-mask, domain-name-servers; } Einbinden des DHCP-Client wie mit dem Bootscript unter ``Manuelle Kon- figuration + DHCP-client'' beschrieben. Die Konfiguration des Zuganges (Mailboxen, Webspace usw.) erfolgt ber https://service.sbg.at Zuletzt auch noch eine etwas verbesserte Version des dhclient Startscripts: #!/bin/sh #starten mit "dhclient start" oder "dhclient stop" test -x /sbin/dhclient || exit 0 case "$1" in start) echo "Starting DHCP-Client: " #Bei Problemen eventuell noetig (vgl. /etc/modules.conf) # modprobe ethX /sbin/dhclient eth1 ;; stop) echo "Stopping dhclient: dhclient " /sbin/dhclient -r ;; restart) $0 stop sleep 2 $0 start ;; *) echo "Usage: $0 {start|stop|restart}" exit 1 ;; esac 5. ISDN 5.1. Einleitung In diesem Kapitel mchte ich beschreiben welche Hardware ich verwendet und getestet habe um meinen ISDN Zugang mit einigen Besonderheiten zum Laufen zu bringen, die wahrscheinlich viele andere User auch haben werden und wie ich das ganze konfiguriert habe. 5.2. Ablauf des Umstiegs In der Vorbereitungszeit habe ich mir einen Zyxel-TA gekauft. Bedingungen fr den TA waren: +o mindestens 2 a/b Anschle +o externer TA um einen embedded PC verwenden zu knnen +o Nach Mglichkeit ein TA der in der SUSE Support Datenbank positiv erwnt wird Zuerst habe ich die Umstellung auf ISDN bestellt. Innerhalb weniger Tage wurde durch die Telekom die ISDN Verbindung hergestellt und die NT1 montiert. Neben der NT1 habe ich meinen Terminaladapter Zyxel-LCD montiert und die beiden Gerte mit einem S0 Kabel verbunden. Dann wurden die Verbindung von einer der beiden a/b Buchsen des Zyxel zu der alten Telephonverkabelung im Haus wiederhergestellt und schon funktionierten alle Telephone und das Modem wie vor dem Umbau. Mit wenigen Stunden Unterbrechung haben alle analogen Komponenten wieder funktioniert. Sogar der analoge Internetzugang funktionierte wieder. ber das analoge Modem, die a/b Buchse des ISDN-TA, und die NT1 kam ich noch immer ins Internet. Damit konnte ich nun in aller Ruhe einen kleinen Linux-PC in der Nhe des Zyxel TAs installieren und langsam einen Dienst nach dem anderen von der alten analogen Modemverbindung auf den neuen digitalen Zugang bernehmen. Durch die Erhaltung des analogen Zugangs konnte ich noch immer per E-Mail bei Kollegen anfragen oder im Internet blttern. Der Clou war whrend der Inbetriebnahmephase konnte ich ber den "neuen" PC, den ISDN-TA und den ISDN Zugang ins Netz einwhlen, mit ifconfig die IP-Adresse auslesen und dann (gleichzeitig) mit dem analogen Modem und dem alten ISP einwhlen und dann mit ping, telnet, rlogin, etc. den "neuen" Rechner "abklopfen". Mit nmap findet man damit schnell die noch offenen Schlupflcher und kann die firewall hinter der ISDN Leitung abdichten. 5.3. bersicht der eingesetzten Hardware Von der Telekom wurde als Abschlu des Zweidraht vom Amt, ein Network- Terminator NT1 installiert. An den NT1 habe ich ein Zyxel-LCD angeschlossen. Der Firewall/Gateway luft auf einem Advantech 5820/L Der Winzling verschwindet unter dem ISDN-TA. Auerdem kommt er fast ohne bewegte Teile aus (abgesehen von der Harddisk, besitzt er keine Lfter, etc.) und sollte daher mit hoher Verfgbarkeit glnzen. Der Stromverbrauch von ca. 10 W (auf der 220V Seite gemessen) hilft beim 24 Stundenbetrieb stromsparen. Das hilft vorallem bei der Diminsionierung einer USV. 5.4. wvdial 5.4.1. wvdial konfigurieren Die wvdial Konfiguration geht am schnellsten indem Sie mit YAST die Files erstellen. Das geht bei SuSE wie folgt: +o Administration des Systems +o Netzwerk konfigurieren +o PPP-Netzwerk konfigurieren +o Konfigurieren Sie Ihren Provider dort habe ich folgende Werte eingetragen: Telefonnummer: "194040" Benutzerkennung: "" Passwort: "" [*] Automatische Nameserverkonfiguration - wenn mglich (Tone-Dial) Whlverfahren [*] Modem an Telefonanlage (kein Whlton) (PAP/CHAP) Einwahlmodus Fr alle "nicht SuSE-User" sollte dann in /etc/wvdial.conf folgendes stehen. Auch SuSE-User sollten nocheinmal kontrollieren ob die wvdial.conf die folgenden Werte erhalten hat. [Dialer Defaults] Username = Modem = /dev/ttyS0 Password = Init1 = ATZ # Erluterung zu Init2: # B40 ... ppp async auf sync umsetzen # &O2 ... (O wie Oje ;-) ATDs, ATDPs, ATDTs werden zu ATDIs (ISDN-Call) umgesetzt Init2 = ATB40&O2 Compuserve = 0 Tonline = 0 Dial Command = ATX3DT Phone = 194040 Baud = 115200 Auto DNS = 1 Stupid Mode = 1 New PPPD = 1 Nun ist man schon so weit, da man den Zugang ber ppp einmal ausprobieren kann, indem man in einem Fenster mit root Rechten das Kommando wvdial eingibt. Damit sollte ber den ISDN-TA die ppp Verbindung aufgebaut werden. Anmerkung: Der Init2 String mu hndisch angepat werden und stimmt hier nur fr das Zyxel omninet LCD. Bitte konsultieren Sie das Handbuch Ihres Terminaladapters. (Der INIT2 String der von den wvdial-tools bei mir eingetragen wurde, hat zu einigen Problemen gefhrt). 5.5. pppd 5.5.1. pppd konfigurieren Bei der wvdial Konfiguration sollte von Yast schon die Datei /etc/ppp/pap-secrets generiert worden sein, in der am Ende des Files folgende Zeile stehen sollte: "" * "" * und mssen mit Ihrer Teilnehmerkennung und Ihrem Passwort aus dem Provider-Kuvert bereinstimmen. Damit auch bei CHAP- Authentifizierung alles klappt, tippen Sie: cp /etc/ppp/pap-secrets /etc/ppp/chap-secrets Damit wird dann sowohl fr PAP, als auch fr CHAP ein korrekter Eintrag mit Ihren Providerdaten gefunden. Achten Sie darauf, da Sie danach 0erungen immer in beiden Files fhren, damit Sie keine bsen berraschungen erleben, wenn dann doch das Anmeldeverfahren durch Ihren Provider gewechselt wird. Wenn die Verbindung luft, kann man /var/log/messages schonen indem man den ppp-daemon ein bischen weniger verbose macht. Hierfr wird in /etc/ppp/options die Zeile debug hinter Kommentarzeichen gestellt: # Increase debugging level (same as -d). The debug output is written # to syslog LOG_LOCAL2. #debug 5.6. Terminaladapter Dieses Kapitel soll Besonderheiten verschiedener TAs beschreiben. 5.6.1. Zyxel Das Kapitel ``ISDN'' wird anhand eines externen Zyxel TA erklrt. Daher sind fr die Zyxel TA IMHO keine speziellen Anmerkungen erforderlich. 5.6.2. Lasat Speed II Reinhard Schlager brachte seinen Lasat Speed II Adapter mit folgender Einstellung zum laufen: Dial Command = ATX3 &B2DT 5.6.3. interne TAs Nach einem Posting in der Newsgroup at.linux, erarbeitete Andreas Werschlan den Tip, wie wvdial auch mit internen TA verwendbar ist, wenn man wvdial.conf wie folgt gegenber den obigen Einstellungen, ndert: Modem = /dev/ttyI0 Init2 = AT&E(Deine MSN) <--- MSN einfgen (ohne Klammern!) Dial Command = ATD 1. man startet sein Lieblings-Terminalprogramm (z.B. minicom) Nhere Informationen zu den AT Befehlen und der "Modem Emulation" (natrlich keine richtige, es wird nur das serielle Interface simuliert) findet sich in /usr/src/linux/Documentation/isdn/README. Bei SUSE-Distributionen kann der interne TA auch ber YAST eingestellt werden, ohne ihn mit wvdial wie ein Modem zu betrieben: Administration des Netzwerks Hardware ins System integrieren ISDN Hardware konfigurieren Jedoch drfte es zur Zeit noch keine geeigneten Reconnect Mechanismen geben, um den 8 Stunden Timeout meines ISDN-Providers zu umgeben. Daher wird z. Zt. AFAIK zumeist die wvdial-Methode verwendet. Hier noch einige Links zu internen TAs: +o Aus der Suse-Supportdatenbank http://sdb.suse.de/sdb/de/html/aaaisdnhowto.html +o die SDB finden Sie auch lokal file:/usr/doc/packages/i4l +o Ein deutsches HOWTO hat Andreas auch noch gefunden : http://www.franken.de/users/klaus/DE-ISDN-HOWTO/html/DE-ISDN- HOWTO.html 5.6.4. interne TAs In der at.linux schrieb adi@selingers.com (adi) am 26.11.2001 im Beitrag <591f5097.0111260526.30ea04a2@posting.google.com> folgendes: Ich habs geschafft, fritz!x usb unter suse 7.3 Anleitung: 1. fxsuse7.2 von avm runterladen 2. suse kernelquellen installieren 3. fxsuse entpacken 4. ins verzeichnis fritz wechseln 5. datei install: zeile 11 auf KERNEL=2.4.10-4GB ndern 6. als root: ln -s /usr/src/linux-2.4.10.SuSE /lib/modules/2.4.10-4GB 7. als root: cp /boot/vmlinuz.version.h /lib/modules/2.4.10-4GB/build/include/linux/version.h 8. im verzeichnis fritz/src.drv/ das makefile editieren: zeile 9: CCFLAGS = -c $(DEFINES) -O2 -Wall -I /lib/modules/2.4.10-4GB/build/include 10. im verzeichnis fritz: make eingeben 11. cp fritz/src.drv/fxusb.o fritz/ 12. ./install 13. rpm -i usbmgr-0.4.8-1.i386 14. pppd-2.4.0 installieren (pppd-2.4.1 funkt nicht) 15. "pppd call isdn/provider usepeerdns" und es funkt (die providerdateien einfach im verzeichnis /etc/ppp/peer/isdn abndern) thats ist PS: die dateien die ihr bentigt, und einen anleitung fr teledat ist auf http://ds9.esmartweb.com 5.7. pppd beim Booten starten: Nun macht es aber keinen Spa nach jedem Boot wieder die Modemverbindung mit dem Kommando wvdial neu zu starten. Daher fgt man in der Datei /etc/inittab die folgende Zeile ein: 9:123:respawn:/bin/mywvdial tty9 Das Script /bin/mywvdial knnte wie folgt aussehen. #! /bin/bash # wvdial starter /bin/mywvdial # # Copyright (C) 1999 Heimo Schn # # This program is free software; you can redistribute it and/or modify # it under the terms of the GNU General Public License as published by # the Free Software Foundation; either version 2, or (at your option) # any later version. # # This program is distributed in the hope that it will be useful, # but WITHOUT ANY WARRANTY; without even the implied warranty of # MERCHANTABILITY or FITNESS FOR A PARTICULAR PURPOSE. See the # GNU General Public License for more details. # # You should have received a copy of the GNU General Public License # along with this program; if not, write to the Free Software # Foundation, Inc., 675 Mass Ave, Cambridge, MA 02139, USA. # clear screen on tty9 an print startmessage clear > /dev/tty9 echo mywvdial is starting at `date` on $HOSTNAME ... > /dev/tty9 # do some logging and counting xx=`cat /tmp/wvdial_counter` expr $xx + 1 > /tmp/wvdial_counter echo $xx `date` >> /tmp/wvdial.log # start wvdial /usr/bin/wvdial Defaults 0< /dev/tty9 2>&1 3>&0 | tee -a /tmp/wvdial.out echo wvdial died at `date` >> /tmp/wvdial.log # sleep a little bit for not so fast restarting sleep 1 # Die nachfolgenden Zeilen sind ein Sicherheitsnetz fr # eventuell noch hngende pppd und wvdial Prozesse: # zuerst schieen wir mit Platzpatronen (vielleicht schreckt er sich ;-) /usr/bin/killall wvdial /usr/bin/killall pppd # und jetzt wird scharf geschossen /usr/bin/killall -9 wvdial /usr/bin/killall -9 pppd wvdial hat sich aber trotzdem massiv dagegen gewehrt auf /dev/tty9 auszugeben. Daher habe ich noch das console-device verbogen: mv /dev/console /dev/console.old ln -s /dev/tty9 /dev/console Dann noch einmal killen von wvdial, mywvdial und pppd (processids erhlt man mit ps xafe oder man nimmt killall wvdial mywvdial pppd) und dann hat es endlich funktioniert, da wvdial nur noch auf /dev/tty9 geschrieben hat. 5.8. route In /etc/route.conf darf keine default-route gesetzt sein. Die Zeile # default 192.168.0.1 ist daher hinter Kommentarzeichen # zu stellen. Die einzige Zeile in meiner route.conf ist 192.168.1.0 0.0.0.0 255.255.255.0 eth0 5.9. DNS-Cache Nun ist es an der Zeit einen DNS-Cache zu aktivieren. Zwei Vorschlge hierzu finden Sie in den Kapiteln ``bind'' und ``DNSmasq'' (siehe dort). 5.10. firewall Wenn man mit dem ISDN Zugang 24 Stunden online sein mchte, dann sollte man den Linux Rechner vor den 100 Millionen potentiellen Angreifern schtzen. Dieser Schutzwall vor dem Internet wird firewall genannt. Die Firewall habe ich aktiviert durch folgende Zeilen in /sbin/init.d/network (die Zeilen habe ich vor dem exit 0 eingefgt): # Firewall aktivieren (1.12.99 / Heimo) /sbin/ipchains -F /sbin/ipchains-restore < /etc/ipchains.default /sbin/ipchains -L > /tmp/ipchains.bootup # Firewall Ende Setzen Sie die Variable IP_FORWARD in /etc/rc.config auf yes Eine andere Variante fr den Start der Firewall wre in /sbin/init.d/boot.loacl die oben gezeigten Zeilen einzufgen. Welchen Weg Sie whlen, bleibt ganz Ihrem Geschmack berlassen. Hierzu bentigt man noch eine Datei /etc/ipchains.default die wahrscheinlich 1:1 von mir bernommen werden kann: :input ACCEPT :forward ACCEPT :output ACCEPT -A forward -s 192.168.1.0/255.255.255.0 -i ppp0 -j MASQ -A input -s 0.0.0.0/0.0.0.0 -d 0.0.0.0/0.0.0.0 80 -i ppp0 -p 6 -j ACCEPT -y -A input -s 0.0.0.0/0.0.0.0 -d 0.0.0.0/0.0.0.0 22 -i ppp0 -p 6 -j ACCEPT -y -A input -s 0.0.0.0/0.0.0.0 -d 0.0.0.0/0.0.0.0 113 -i ppp0 -p 6 -j ACCEPT -y -A input -s 0.0.0.0/0.0.0.0 20 -d 0.0.0.0/0.0.0.0 -i ppp0 -p 6 -j ACCEPT -y -A input -s 0.0.0.0/0.0.0.0 -d 0.0.0.0/0.0.0.0 -i ppp0 -p 6 -l -y -A input -s 0.0.0.0/0.0.0.0 -d 0.0.0.0/0.0.0.0 -i ppp0 -p 6 -j DENY -y (Anm.: Beim Ausdrucken bitte landscape whlen, da sonst u. U. rechts ein paar Spalten verloren gehen. Ich mchte aber nicht backslash umbrechen, da sonst mglicherweise die Newbies Probleme haben). Wer diese Standardkonfiguration erweitern mchte, oder andere Verbindungen bentigt, sollte unbedingt das Firewall HOWTO gelesen haben, bevor er sich an die Konfiguration seiner Firewall wagt. Der Vollstndigkeit halber sei noch erwhnt, da obiges script /etc/ipchains.default nur eine "Idee" sein sollte wie andere Leute Ihre Firewall konfiguriert haben. Jeder gewissenhafte Betreiber eines High-speed Internetzugangs sollte sich des Risikos bewut sein, und sich mit dem Script so weit auseinandersetzen, da er einigermaen versteht was es tut. Hierzu kann ich nur nocheinmal auf Firewall HOWTO verweisen. 5.11. /etc/ppp/ip-up Das File /etc/ppp/ip-up wird vom pppd gestartet, wenn eine Verbindung hochkommt oder abgebaut wird. Das gibt uns die Mglichkeit, Dinge zu tun, sobald sind im Status unserer ppp-Verbindung etwas ndert. Da bei bei meinem Provider die Verbindung nur maximal 8 Stunden besteht und dann vom Provider gekappt wird, ist die Wiederherstellung der Verbindung vermutlich die interessantere Phase. Ich will an dieser Stelle nur ein paar Ideen geben was man mit ip-up "treiben" kann. Es soll aber keine vollstndige Liste sein. Z. B. kann es sinn machen andere Kollegen oder sich selber im Bro mitzuteilen, ber welche IP-Adresse man erreichbar ist. Symbolisch angedeutet ist nachfolgend die structur des ip-up scripts. : case "$INTERFACE" in ippp*) : ppp*) : case "$BASENAME" in ip-up) : Ich habe im case INTERFACE=ppp* und BASENAME=ip-up folgende Zeilen eingefgt (Die Zeile mit wwwoffle kann entfallen, wenn squid verwendet wird): /usr/bin/wwwoffle -online echo "http://$LOCALIP" | mail -s "http://$LOCALIP" anybody@anywhere echo "http://$LOCALIP" | mail -s "http://$LOCALIP" heimo@office case "$INTERFACE" in ppp0) su - -c "/bin/push-index $LOCALIP" ;; esac su - -c "/usr/bin/ssh -l " Mit der ersten Zeile wird wwwoffle online geschaltet (siehe auch Kapitel ``wwwoffle''.) Per Mail wird die aktuelle IP-Adresse weitergeleitet (einmal an einen Kollegen anybody und ins Bro) Es kann auch ein Script gestartet werden, da z. B. eine neue Homepage mit der aktuellen IP-Adresse generiert und mit ftp irgendwo hinkopiert (hier mit push-index angedeutet). Fr fgen Sie jenen account-namen ein unter dem push-index laufen soll. (wie so ein Script push-index aussehen knnte, ist im Kapitel ``homepage'' beschrieben). mit der letzten Zeile wird eine Secure-shell Verbindung symbolisch dargestellt, die auf einem anderen Rechner Funktionen ausfhrt. 5.12. Probleme beim Verbindungsaufban Hufig haben die Rechner bei meinem Provider ein Problem beim Verbindungsaufbau. Manchmal funktioniert die automatische Einwahl bei meinem Provider wochenlang problemlos und dann bleibt oft mehrmals hintereinander der Verbindungsaufbau regelrecht stecken. IMHO wird beim Provider nach der Einwahl keine Authentizierung gestartet und dadurch kommt keine ppp-Verbindung zustande. Als workaround fr dieses Problem hat sich folgendes script bewhrt. Das Script gibte es hier fr externe TAs: #! /bin/bash # checkisdn - check if isdn connection is up-and-running and kill # wvdial, when no isdn found for more then 10 seconds # # Copyright (C) 1999 Heimo Schn # # This program is free software; you can redistribute it and/or modify # it under the terms of the GNU General Public License as published by # the Free Software Foundation; either version 2, or (at your option) # any later version. # # This program is distributed in the hope that it will be useful, # but WITHOUT ANY WARRANTY; without even the implied warranty of # MERCHANTABILITY or FITNESS FOR A PARTICULAR PURPOSE. See the # GNU General Public License for more details. # # You should have received a copy of the GNU General Public License # along with this program; if not, write to the Free Software # Foundation, Inc., 675 Mass Ave, Cambridge, MA 02139, USA. export ISDN_UNREACHABLE=`fping -t8500 195.3.96.67 | grep unreachable` if test -n "$ISDN_UNREACHABLE" ; then echo `date` : $ISDN_UNREACHABLE - 1st test >> /tmp/checkisdn.log sleep 10 export ISDN_UNREACHABLE=`fping -t 8500 195.3.96.67 | grep unreachable` if test -n "$ISDN_UNREACHABLE" ; then echo `date` : $ISDN_UNREACHABLE - 2nd test >> /tmp/checkisdn.log # here you can do, what you think that should be done # User with external TAs can do this: killall wvdial fi fi Und hier gibt es noch den Vorschlag von Leo Eibler fr interne TAs: #! /bin/bash # checkisdn - check if isdn connection is up-and-running and kill # wvdial, when no isdn found for more then 10 seconds # # Copyright (C) 1999 Heimo Schn # # This program is free software; you can redistribute it and/or modify # it under the terms of the GNU General Public License as published by # the Free Software Foundation; either version 2, or (at your option) # any later version. # # This program is distributed in the hope that it will be useful, # but WITHOUT ANY WARRANTY; without even the implied warranty of # MERCHANTABILITY or FITNESS FOR A PARTICULAR PURPOSE. See the # GNU General Public License for more details. # # You should have received a copy of the GNU General Public License # along with this program; if not, write to the Free Software # Foundation, Inc., 675 Mass Ave, Cambridge, MA 02139, USA. export ISDN_UNREACHABLE=`fping -t8500 195.3.96.67 | grep unreachable` if test -n "$ISDN_UNREACHABLE" ; then echo `date` : $ISDN_UNREACHABLE - 1st test >> /tmp/checkisdn.log sleep 10 export ISDN_UNREACHABLE=`fping -t8500 195.3.96.67 | grep unreachable` if test -n "$ISDN_UNREACHABLE" ; then echo `date` : $ISDN_UNREACHABLE - 2nd test >> /tmp/checkisdn.log # here you can do, what you think that should be done # User with internal TAs can do this: isdnctrl hangup ippp0 /sbin/init.d/i4l stop /sbin/init.d/i4l_hardware stop /sbin/init.d/i4l_hardware start /sbin/init.d/i4l start isdnctrl dial ippp0 fi fi Whlen Sie nun das script aus, je nachdem ob Sie einen internen oder einen externen TA haben. Legen Sie es z. B. in die Datei /bin/checkisdn. Vergessen Sie nicht das Script exekutierbar zu machen mit: chmod a+x /bin/checkisdn Um das script regelmig laufen zu lassen, wird folgende Zeile in die crontab eingefgt: 0-59/3 * * * * root test -x /bin/checkisdn && /bin/checkisdn Nun mssen Sie nur noch cron neu starten und schon wird alle 3 Minuten berprft ob die Einwahl hngegeblieben ist. Wird lnger als 10 Sekunden keine Verbindung zum Provider gefunden, wird die ISDN-Verbindung geschlossen und eine neue Einwahl gestartet. 6. Internetdienste 6.1. sendmail In /etc/sendmail.cf mssen folgende Zeile gendert werden: # "Smart" relay host (may be null) DSemail.aon.at # class E: names that should be exposed as from this host, even if we masquerade # class L: names that should be delivered locally, even if we have a relay # class M: domains that should be converted to $M #CL root CL heimo.schoen # who I masquerade as (null for no masquerading) (see also $=M) DMaon.at 6.2. fetchmail Zustzlich wird in der Datei /etc/fetchmail eingetragen, von welchen Servern Mails abgeholt werden sollen. Das knnte wie folgt aussehen: poll pop.gmx.net proto pop3 user "uuuu" pass pppp is llll poll mailbox.aon.at proto pop3 user "aon.kkkk" pass pppp is llll Fr uuuu tragen Sie den Usernamen am jeweiligen pop-server ein. Fr pppp das Pawort zu uuuu. Fr llll tragen sie den Usernamen ein, fr den die Post am lokalen System zur Verfgung gestellt werden soll. Anstatt kkkk tragen Sie Ihre Provider Kundennummer ein (werden Sie zumeist in einem Kuvert erhalten). Damit nun regelmig Mails abgeholt werden habe ich in der Datei /etc/crontab folgende Zeile eingetragen: 0-59/1 * * * * root /bin/mailnow In der Datei /bin/mailnow ist folgender komplexe Inhalt ;-) #! /bin/bash # fetch mails from isp /usr/bin/fetchmail -f /etc/fetchmail Anm.: fetchmail findet man in der SUSE-Distribution in der Gruppe n unter pop In der Datei /etc/inet.conf die Zeile in der popper gestartet wird, vom Kommentarzeichen befreien. Das -s kann auch entfernt werden. Ich habe einfach die Zeile kopiert, und ohne das -s und ohne Kommentarzeichen am Zeilenanfang, in einer neuen Zeile angefgt. Das sieht dann so aus: # pop3 stream tcp nowait root /usr/sbin/tcpd /usr/sbin/popper -s pop3 stream tcp nowait root /usr/sbin/tcpd /usr/sbin/popper Danach sollten Sie den inetd neu starten mit /etc/rc.d/inetd restart Nun sollten Sie von Ihren Clientmaschinen bereits Mails abholen knnen. 6.3. sendmail relaying Es gibt zwei Mglichkeiten sendmail dazu zu bewegen als Relay fr client Rechner zu fungieren. In /etc/mail/access habe ich die folgende Zeile eingefgt: 192.168.1 RELAY Man mu danach die access.db neu erzeugen. Das macht man mit dem Kommando makemap hash access < access Die andere Methode ist in /etc/mail/relay-domains alle Maschinen eintragen, von denen aus gemailt werden soll. Die Datei /etc/mail/relay-domains knnte so aussehen: ternitz1.ternitz ternitz1 192.168.1.1 6.4. wwwoffle Zur Aktivierung von wwwoffle sollten Sie in rc.config die Environmentvariable START_WWWOFFLE auf yes setzen und die Variable START_SQUID auf no. Nach dieser Arbeit mssen sie /etc/wwwoffle/wwwoffle.conf anpassen. Hier werden nur die zu ndernden Rubriken aufgezhlt. Der Rest bleibt unverndert: Zuerst den Proxyserver Proxy { # http://* = none http://* = proxy.aon.at:8080 #### Example #### # Use www.foo.com as a default http proxy server on port 8080 # Except for the foo.com domain which has no proxy. # http://* = www.foo.com:8080 # *://foo.com = none } Nun die zustndigen Hosts beim Provider. LocalHost { # localhost 127.0.0.1 195.3.96.67 195.3.96.68 www.aon.at #### Example #### # The server is on www.foo.com, with IP address 11.22.33.44. # www.foo.com # 11.22.33.44 } In der nachfolgenden Rubrik tragen Sie alle Ihre Maschinen ein die auf den wwwoffle Ihres Gateways zugreifen drfen. Ich habe nachstehend folgende Maschinen freigegeben (schreibweise wie es auch in /etc/hosts stehen knnte): +o 192.168.1.1 example1.example example1 +o 192.168.1.2 example2.example example2 AllowedConnectHosts { ternitz1.ternitz ternitz1 192.168.1.1 ternitz2.ternitz ternitz2 192.168.1.2 #### Example #### # Only allow connections from hosts in the foo.com domain. # *.foo.com } Da es keinen etwas angeht "welche Applikation" hier surft, sollten Sie die nachfolgend gezeigte Zeile ndern. Braucht ja keiner zu wissen, da hier ein wwwoffle die Seiten fetcht und in einem Hausnetz zur Verfgung stellt, denn so wie es bei mir, ist immer nur ein client aktiv und die ganze "bung" mit Linux und wwwoffle ist nur als Verlngerung der ISDN Leitung gedacht, da die Telekom mir das Kabel nicht bis ins Arbeitszimmer gelegt hat, sondern nur bis in den Keller. Also steht dort ein kleiner Rechner und wandelt ISDN auf TCP/IP um. CensorHeader { ### Example ### # Don't send the username. # From = # Don't send Cookies back # Cookie = # Lie about the Browser type. # User-Agent = WWWOFFLE/2.4 User-Agent = Mozilla/faked } Infomrationen zu wwwoffle finden Sie unter /usr/doc/packages/wwwoffle. 6.5. squid Da in der ersten Version dieses HOWTOs beinahe ein "Glaubenskrieg" ausbrach, ob nun wwwoffle oder squid das bessere Tool ist, findet sich hier der Setup fr squid. Ich gebe zu, da ich um squid in dem HOWTO zu dokumentieren, squid auf meinem Gateway installiert habe und er dort heute noch luft, was aber umso mehr beweist, da es IMHO egal ist was ich verwende. Zur Aktivierung von squid sollten Sie in rc.config die Environmentvariable START_SQUID auf yes setzen und die Variable START_WWWOFFLE auf no. Nach dieser Arbeit mssen sie /etc/squid.conf anpassen. Hier werden nur die zu ndernden Rubriken aufgezhlt. Der Rest bleibt unverndert: # TAG: cache_dir # Usage: # # cache_dir Directory-Name Mbytes Level-1 Level2 # # You can specify multiple cache_dir lines to spread the # cache among different disk partitions. # # 'Directory' is a top-level directory where cache swap # files will be stored. If you want to use an entire disk # for caching, then this can be the mount-point directory. # The directory must exist and be writable by the Squid # process. Squid will NOT create this directory for you. # # If no 'cache_dir' lines are specified, the following # default will be used: /var/squid/cache. # # 'Mbytes' is the amount of disk space (MB) to use under this # directory. The default is 100 MB. Change this to suit your # configuration. # # 'Level-1' is the number of first-level subdirectories which # will be created under the 'Directory'. The default is 16. # # 'Level-2' is the number of second-level subdirectories which # will be created under each first-level directory. The default # is 256. # cache_dir /var/squid/cache 400 16 256 So knnten Ihr ACLs aussehen. Das ist nur ein Beispiel und entsprechend Ihren Bedrfnissen anzupassen. Vor allem localnet werden Sie entsprechend Ihren Netzwerkgegebenheiten anpassen mssen: # ACCESS CONTROLS # ----------------------------------------------------------------------------- # TAG: acl # Defining an Access List # # acl aclname acltype string1 ... # acl aclname acltype "file" ... # # when using "file", the file should contain one item per line # # acltype is one of src dst srcdomain dstdomain url_pattern # urlpath_pattern time port proto method browser user # # By default, regular expressions are CASE-SENSITIVE. To make # them case-insensitive, use the -i option. # # acl aclname src ip-address/netmask ... (clients IP address) # acl aclname src addr1-addr2/netmask ... (range of addresses) # acl aclname dst ip-address/netmask ... (URL host's IP address) # acl aclname myip ip-address/netmask ... (local socket IP address) # # acl aclname srcdomain foo.com ... # reverse lookup, client IP # acl aclname dstdomain foo.com ... # Destination server from URL # acl aclname srcdom_regex [-i] xxx ... # regex matching client name # acl aclname dstdom_regex [-i] xxx ... # regex matching server # # For dstdomain and dstdom_regex a reverse lookup is tried if a IP # # based URL is used. The name "none" is used if the reverse lookup # # fails. # # acl aclname time [day-abbrevs] [h1:m1-h2:m2] # day-abbrevs: # S - Sunday # M - Monday # T - Tuesday # W - Wednesday # H - Thursday # F - Friday # A - Saturday # h1:m1 must be less than h2:m2 # acl aclname url_regex [-i] ^http:// ... # regex matching on whole URL # acl aclname urlpath_regex [-i] \.gif$ ... # regex matching on URL path # acl aclname port 80 70 21 ... # acl aclname port 0-1024 ... # ranges allowed # acl aclname proto HTTP FTP ... # acl aclname method GET POST ... # acl aclname browser [-i] regexp # # pattern match on User-Agent header # acl aclname ident username ... # # string match on ident output. # # use REQUIRED to accept any non-null ident. # acl aclname src_as number ... # acl aclname dst_as number ... # # Except for access control, AS numbers can be used for # # routing of requests to specific caches. Here's an # # example for routing all requests for AS#1241 and only # # those to mycache.mydomain.net: # # acl asexample dst_as 1241 # # cache_peer_access mycache.mydomain.net allow asexample # # cache_peer_access mycache_mydomain.net deny all # # acl aclname proxy_auth username ... # # list of valid usernames # # use REQUIRED to accept any valid username. # # # # NOTE: when a Proxy-Authentication header is sent but it is not # # needed during ACL checking the username is NOT logged # # in access.log. # # # # NOTE: proxy_auth requires a EXTERNAL authentication program # # to check username/password combinations (see # # authenticate_program). # # # # WARNING: proxy_auth can't be used in a transparent proxy. It # # collides with any authentication done by origin servers. It may # # seem like it works at first, but it doesn't. # # acl aclname snmp_community string ... # # A community string to limit access to your SNMP Agent # # Example: # # # # acl snmppublic snmp_community public # # acl all src 0.0.0.0/0.0.0.0 acl manager proto cache_object acl localhost src 127.0.0.1 acl localnet src 192.168.1.0/255.255.255.0 acl SSL_ports port 443 563 acl Safe_ports port 80 21 443 563 70 210 1025-65535 acl CONNECT method CONNECT Jetzt wird es Zeit Die Zugriffsrechte einzuschrnken. Zuerst erlauben wir den Zugriff von localhost und localnet (haben wir gerade die acl eingerichtet) und dann drehen wir alles andere wieder ab (die Originalzeile .. allow all .. bitte hinter Kommentar stellen - sonst steht Ihre Maschine ungeschtzt in der weiten Welt): # TAG: http_access # Allowing or Denying access based on defined access lists # # Access to the HTTP port: # http_access allow|deny [!]aclname ... # # Access to the ICP port: # icp_access allow|deny [!]aclname ... # # NOTE on default values: # # If there are no "access" lines present, the default is to allow # the request. # # If none of the "access" lines cause a match, the default is the # opposite of the last line in the list. If the last line was # deny, then the default is allow. Conversely, if the last line # is allow, the default will be deny. For these reasons, it is a # good idea to have an "deny all" or "allow all" entry at the end # of your access lists to avoid potential confusion. # #Default configuration: #http_access allow manager localhost #http_access deny manager #http_access deny !Safe_ports #http_access deny CONNECT !SSL_ports # # INSERT YOUR OWN RULE(S) HERE TO ALLOW ACCESS FROM YOUR CLIENTS # http_access allow localhost http_access allow localnet http_access deny all # http_access allow all # TAG: icp_access # Reply to all ICP queries we receive # icp_access allow all # TAG: miss_access # Use to force your neighbors to use you as a sibling instead of # a parent. For example: # # acl localclients src 172.16.0.0/16 # miss_access allow localclients # miss_access deny !localclients # # This means that only your local clients are allowed to fetch # MISSES and all other clients can only fetch HITS. # # By default, allow all clients who passed the http_access rules # to fetch MISSES from us. miss_access allow all Die wohl wichtigste Funktion ist wie bei wwwoffle das faken der Browserkennung # TAG: fake_user_agent # If you filter the User-Agent header with 'anonymize_headers' it # may cause some Web servers to refuse your request. Use this to # fake one up. For example: # # fake_user_agent Nutscrape/1.0 (CP/M; 8-bit) # (credit to Paul Southworth pauls@etext.org for this one!) # fake_user_agent Gozilla/4711.0815 (CP/M; 11-bit; 59 MByte) Mehr habe ich fr meinen squid nicht gendert. Der Rest blieb hinter Kommentarzeichen. 6.6. leafnode Als Newsserver habe ich leafnode gewhlt. Hierzu sind folgende Schritte notwendig. Zuerst sollten Sie das leafnode Konfigurationsfile wie folgt anpassen. Hier ist nur der Anfang des Files gezeigt. Der Rest des Files kann so bleiben. Sie sollten aber gelegentlich man leafnode verinnerlichen und die Parameter ihrem News-Verhalten entsprechend anpassen, sonst haben Sie entweder nie die News die sie gerade lesen wollen oder Ihre Harddisk quillt ber, etc. ## This is the NNTP server leafnode fetches its news from. ## You need read and post access to it. Mandatory. server = news.aon.at ## Unread discussion threads will be deleted after this many days if ## you don't define special expire times. Mandatory. expire = 400 timeout = 60 ## ## All the following parameters are optional ## ## I have free access to my news server. If you don't have, comment out ## the following two lines and change them accordingly. # username = #password = Im obigen Listing-Ausschnitt der Datei /etc/leafnode/config ist wichtig, da die Zeilen username und password hinter Kommentaren bleiben. Damit leafnode auch von anderen Servern fetcht habe ich folgende Zeilen eingefgt: ## This is a news server which does not understand the ## "LIST NEWSGROUP news.group" command. For this reason, we don't try to ## download newsgroups descriptions when getting new newsgroups. This is ## achieved by putting "nodesc = 1" somewhere behind the server/supplement ## line. supplement = news.wu-wien.ac.at supplement = news.univie.ac.at supplement = newscache.infosys.tuwien.ac.at supplement = euklid.nt.tuwien.ac.at supplement = news2.informatik.uni-bremen.de # nodesc = 1 ## Here we have another news server which has a very slow connection. For ## that reason, we wait a full minute before we give up trying to connect. ## The default is 10 seconds. supplement = news.inode.at timeout = 60 Zu guter Letzt noch die leafnode/config fr den User news lesbar machen. Am Besten gleich mit: chmod a+r /etc/leafnode/config 6.7. bind In /etc/named.conf wird folgender Block aktiviert: options { .... forwarders { 195.3.96.67 195.3.96.68 # = die beiden DNS Server des Providers hier eintragen }; .... }; In rc.config mu die Variable START_NAMED=yes gesetzt werden. Dieses Kapitel stammt von Leo Eibler . 6.8. DNSmasq DNSmasq ist eine sehr schlanke alternative zu bind mehr dazu findet man/frau auf http://www.thekelleys.org.uk/dnsmasq/doc.html Vorteile gegenueber bind: +o als caching only DNS is bind viel zu 'aufgeblaeht' und resourcen- fressend. +o DNSmasq ist immun gegen 'bind exploits' +o DNSmasq ist sehr einfach zu installieren +o DNSmasq hat kein eigens config-file; es verwendet die eintraege aus /etc/resolv.conf und /etc/hosts Im Linux-WiKi gibt es eine schne Beschreibung zu dnsmasq http://linuxwiki.de/dnsmasq 6.8.1. crontab Um leafnode dazu zu bewegen regelmig news zu fetchen, sind folgende Zeilen in /etc/crontab einzufgen: 34 2 * * * root test -x /usr/sbin/fetchnews && /usr/sbin/fetchnews -f 0-59/5 * * * * root test -x /usr/sbin/fetchnews && /usr/sbin/fetchnews -v -l Das bewirkt da alle 5 Minuten ein fetch -v -l durchgefhrt wird der alle neuen Artikel fetcht aber nicht die supplementery server befragt und da um 02:34 tglich ein fetch forced durchgefhrt wird, der alle Inhaltsverzeichnisse neu ldt. Dieser Vorgang kann einige Stunden dauern und wurde daher auf 02:34 gelegt da um 02:30 ein fetchnews -f -l luft der bis um 02:34 fertig sein sollte. Wenn Sie zustzlich noch die folgende Zeile einfgen, dann wird alle 60 Sekunden alles was in /var/spool/news/outgoing liegt gepostet. 0-59/5 * * * * root test -x /usr/sbin/fetch && /usr/sbin/fetch -P -l 6.8.2. inetd.conf In der Datei /etc/inetd.conf habe ich vor der Zeile in der folgender Inhalt steht, das Kommentarzeichen entfernt: nntp stream tcp nowait news /usr/sbin/tcpd /usr/sbin/leafnode 6.9. Date/time Damit mein Rechner im richtige Uhrzeit hat, habe ich /etc/crontab folgende Zeile eingefgt. 5 0-24/4 * * * root test -x /bin/datetimenow && /bin/datetimenow Das Script /bin/datetimenow sieht bei mir folgendermaen aus: #! /bin/bash # time adjustement from some timeservers and write time to hardwareclock /usr/sbin/netdate elina.htlw16.ac.at \ ts1.univie.ac.at \ time.tu-graz.ac.at \ time.vbs.at \ ts2.univie.ac.at \ 2>&1 > /dev/null \ && \ /sbin/hwclock --systohc Vorsicht beim Kopieren mit drag-n-drop: Nach dem Backslash drfen keine Zeichen im Script stehen (auch keine Leerzeichen und Tabulatoren). 6.10. Anmerkung zur Systemsicherheit Bei allen diesen Scripts die ich in diesem HOWTO beschrieben habe, wird hier am Beispiel des Scripts datetimenow, noch etwas fr die Systemsicherheit getan. Es sollte mit chmod a-rwx /bin/datetimenow fr alle User alle Rechte abdrehen und dann mit chmod u+rwx /bin/datetimenow nur dem User die Rechte zurckgeben Auerdem macht es Sinn wenn Sie noch kontrollieren ob diese Files auch dem User Root und der Gruppe root gehren. chown root.root /bin/datentimeow 6.11. httpd Versuchsweise hatte ich einmal einen httpd gestartet. Da es IMHO in den AGB meines Providers nicht verboten ist, aber in der Leistungsbeschreibung des Produkts auch nicht ausdrcklich erlaubt ist, habe ich den http-Server wieder abgeschaltet. Wenn Sie dies auch einmal ausprobieren wollen, dann ndern Sie folgende Zeilen in /etc/http/httpd.conf: Zuerst alles was mit den Serverprozessen und Servereinstellungen zu tun hat. Doppelpunkte deuten an, da dazwischen noch so manche andere, aber unvernderte Zeile vorkommt. Nach Mglichkeit steht hinter Kommentarzeichen oberhalb der genderten Zeile, die Originalzeile wie Sie bei Ihnen zu Anfang noch sein knnte/sollte. : MinSpareServers 5 MaxSpareServers 10 : StartServers 5 : MaxRequestsPerChild 30 : ServerAdmin heimo.schoen@gmx.at : #DocumentRoot "/usr/local/httpd/htdocs" DocumentRoot "/home/heimo/public_html" : # Options -FollowSymLinks Options FollowSymLinks AllowOverride None : # : # Options Indexes -FollowSymLinks +Includes Options Indexes FollowSymLinks Includes ExecCGI : # AllowOverride None AllowOverride All : # # AllowOverride FileInfo AuthConfig Limit # Options MultiViews Indexes SymLinksIfOwnerMatch IncludesNoExec # # Order allow,deny # Allow from all # # # Order deny,allow # Deny from all # # AllowOverride FileInfo AuthConfig Limit Options MultiViews Indexes SymLinksIfOwnerMatch Includes ExecCGI Order allow,deny Allow from all Order deny,allow Deny from all : #ServerSignature On ServerSignature EMail : #ScriptAlias /cgi-bin/ "/usr/local/httpd/cgi-bin/" ScriptAlias /cgi-bin/ "/home/heimo/public_html/cgi-bin/" : # # AllowOverride None # Options None # Order allow,deny # Allow from all # AllowOverride All Options All Order allow,deny Allow from all AllowOverride None Options All Order allow,deny Allow from all : # #AllowOverride None AllowOverride All : #DocumentRoot "/usr/local/httpd/htdocs" #ServerName boole.suse.de #ServerAdmin root@boole.suse.de DocumentRoot /home/heimo/public_html ServerName pc104-1.ternitz ServerAdmin heimo.schoen@gmx.at : Damit auch in .html Files eingebettete Skripts ausgefhrt werden, sollte die letzte Zeile des nachstehenden Blocks eingefgt werden (die ersten beiden Zeilen gibt es schon im Original httpd.conf). # # To use server-parsed HTML files # AddType text/html .shtml AddHandler server-parsed .shtml AddHandler server-parsed .html 6.12. SMS 6.12.1. SMS-Routinen von http://idefix.htl-tex.ac.at Dieses Kapitel soll zeigen welche Mglichkeiten die SMS Dienste der Handy-Provider bieten. Einerseits habe ich im File /etc/ppp/ip-up folgende Zeile eingefgt an der Stelle wenn die PPP-Verbindung hochgefahren wird: # Ein SMS knnte ich mir auch noch schicken echo "ip-up on ppp0 $LOCALIP $USER" | mail -s "xxxx-" 436763163472@max.mail.at Wobei xxxx- der PIN ist, den Sie als Antwort auf das erste SMS erhal- ten, da Sie an ein maxmobil-Handy senden. Das Minus am Ende des PIN teilt dem max.mail.at mit, da er keine Zustellungsquittung senden soll. iche Zeilen knnen Sie auch in anderen Scripts einfgen. Z. B. in /etc/profile.local kann ein SMS Ihnen mitteilen, wenn sich jemand auf Ihrem Gateway einloggt. Wie Sie ein Mail als SMS an Ihr Handy weiterleiten knnen wird in SMS- forward unter Linux erklrt. 6.12.2. SMS-Routinen von Christian Eder Von Christian Eder stammt der folgende Beitrag mit einigen Scripts zum Senden von SMS an One-Handies: OneSMS.java ist ein Javaprogramm, dass eine SMS an ein One Handy schickt. Aufruf: java OneSMS [Onenummer ohne Vorwahl] [Nachricht]. Ich hab dieses Programm geschrieben, da die im vorigen Kapitel erwhnten SMS Skripts nicht mehr funktionieren (One hat den WebSMS Dienst etwas gendert). Prinzipiell msste das Programm auch fr A1 und Max funktionieren, wenn man den Wert der Variablen gsmnet entsprechend ndert. newip.sh ist ein Skript, da berprft ob sich die IP-Addresse gendert hat und in diesem Fall die neue IP-Addresse als SMS ans Handy schickt. .forward und handymail.sh kann man verwenden, um beim Eintreffen einer neuen EMail Absender und das Subject als SMS aufs Handy zu bekommen. 7. client setup Dieses Kapitel ist zum Teil noch in Arbeit (Wenn Sie einen guten Beitrag haben, dann her damit). 7.1. ssh / VPN Wenn Sie die ISDN Verbindung aufgesetzt haben, steht einer Verbindung Ihres PCs mit einem anderen PC im Internet nichts mehr im Weg. Wenn Sie Maschinen ber das Internet verbinden, dann mssen Sie diese Maschinen gegen fremden Zugriff schtzen. Hierzu wird ein VPN (virutell private network) aufgebaut. Wir bauen hier also ein privates Netzwerk ber das Internet auf, wobei dieses so geschtzt sein soll, da niemand unsere Netzwerkdaten einsehen oder mitlesen kann. Dieses Kapitel soll die Schritte erklren die fr ein einfaches aber effektives VPN notwendig sind. Bevor Sie eine Verbindung ber das Internet mit einem anderen Rechner aufbauen knnen, tauchen zwei Schwierigkeiten auf: +o Ihr Rechner hat alle paar Stunden eine andere IP-Adresse. +o Ihr Rechner und der Rechner auf der anderen Seite sind mit Firewalls gegen Zugriffe von auen gesichert Zum ersteren Punkt gibt es eine Randbedingung. Mindestens eine Maschine im VPN mu eine fixe IP-Adresse haben. Nur dann kann zwischen den VPN Teilnehmern ber /etc/ppp/ip-up eine Verbindung wiederhergestellt werden, wenn der 8 Stunden timeout zugeschlagen hat. Der Aufbau der Verbindung wird mit ssh vorgenommen (s.u.) Natrlich knnen zwei Partner mit wechselnder IP-Adresse auch ein VPN ber einen dritten Rechner mit konstanter IP-Adresse aufbauen. Wichtig dabei ist immer nur, da wenigstens ein Rechner immer die gleiche IP- Adresse hat. Anm.: Es sollte auch zwischen zwei Usern mit wechselnder IP klappen, allerdings wird dann das Scripting etwas komplizierter. Man mte sich z. B. die IP-Adresse beim Verbindungsaufbau gegenseitig mailen. Auch das wre denkbar. Hier betrachten wir im Moment nur die Variante, da ein VPN-Teilnehmer eine fixe IP (Chello User) hat. Zuerst lsen wir den zweiten Punkt, die Aufweichung der Firewalls. Bei allen VPN Teilnehmern mssen am Beginn des Files ipchain.defaults, folgende Zeilen eingefgt werden: -A input -s x.x.x.x/255.255.255.0 -d 0.0.0.0/0.0.0.0 -i ppp0 -p 6 -j ACCEPT wobei fr x.x.x.x die IP-Adresse des VPN-Teilnehmers mit der fixen IP- Adresse einzusetzen ist. Zur Aktivierung einer ssh Verbindung sind folgende Schritte notwendig: Wir verwenden die RSAAuthentication bei der nur keys verwendet werden. Wir generier einen private-key mit: (user@home):[~] > ssh-keygen Generating p: ......++ (distance 92) Generating q: ............++ (distance 178) [...] Your public key has been saved in /home/user/.ssh/identity.pub Es wird keine Passphrase fr den key eingegeben. (Es wird zweimal mit ENTER quittiert). Allerdings ist der private Schlssel ungeschtzt, und es mu daher darauf geachtet werden, da niemand auer Ihnen einen privilegierten Zugang auf diesen Rechner hat. Der private-key liegt nun im File /.ssh/identity und der zugehrige public-key liegt unter /.ssh/identity.pub. der private key ist unverschlsselt. Nun gehen Sie auf die Maschine, auf der Sie ohne Passwort einloggen wollen (z. b. als root@office), und erstellen dort die Datei /.ssh/authorized_keys. In diese Datei kommt nun der _public_ key ders user@home eingetragen. Beim pasten mu darauaf geachtet werden, da der public key aus einer einzigen langen zeile besteht. (root@office):[~] # vi .ssh/authorized_keys [ ... paste den inhalt von user@home:~/.ssh/identity.pub ...] 1024 33 168976988564775763....064089023 user@home ! Damit wird festgelegt, da jeder User der den private key des user@home vorweisen kann, ber ssh als root@office einloggen darf, weil der private key beim Erstellen nicht mit einer passphrase geschtzt wurde, deshalb mu man spter bem Verbindungsaufbau keine mehr eingeben. Der private key ist zu schtzen. Wird er gestohlen, kann jeder als root@office einloggen, ohne nach einem weiteren Pawort gefragt zu werden. Nun wird die ssh Verbindung aufgebaut: (user@homee):[~] > ssh -v -l root office [...] home: Trying RSA authentication with key 'user@home' home: Received RSA challenge from server. home: Sending response to host key RSA challenge. home: Remote: RSA authentication accepted. home: RSA authentication accepted by server. [...] (root@office):[~] # In diesem Beispiel wurde gezeigt wie man root User z.B. bei einer Verbindung auf die Maschien office wird. blicherweise werden Sie ssh Verbindungnen nicht fr den User root einrichten sondern mit Ihrem privaten Account von einer local-machine auf den selben privaten Account auf eine remote-machine gehen. Sollten Sie auf der remote-machine den root account bentzen wollen, dann mu die option "PermitRootLogin yes" in /etc/sshd_config aktiviert sein. Um RSA-Authentication zum Laufen zu bringen mu in /etc/sshd_config die Option "RSAAuthentication yes" gesetzt sein. Diese Einstellung ist ein default . Um die ssh Verbindung bei jeder Aktivierung der ppp Verbindung zu aktivieren, wird die Zeile case "$INTERFACE" in ppp0) su - user -c "/usr/bin/ssh -v -l root office /bin/startppp" ;; esac in der Datei /etc/ppp/ip-up eingefgt. Der beste Platz wird in am Ende folgender symbolisch angedeuteter Struktur sein: : case "$INTERFACE" in ippp*) : ppp*) : case "$BASENAME" in ip-up) : Das auf der Maschine office gestartete Script /bin/startppp startet eine ppp Verbindung ber die ssh Verbindung. Dadurch knnnen dann alle gewohnten Dienste (rlogin, telnet, rcp, etc.) im VPN genutzt werden, ohne eine nennenswerte Verschlechterung der Sicherheit im VPN. Alle Teilnehmer des VPN mssen sich aber dessen bewut sein, da wenn Sie selbst geknackt werden, alle anderen auch gegenber dem Internet offen stehen. Es sollte daher mit Vorsicht und Sorgfalt gearbeitet werden. Daher mchte ich an dieser Stelle nocheinmal auf Sicherheit im Kabelnetzwerk und Firewall HOWTO verweisen. 7.2. ICQ Die Ideen zu disem Kapitel stammen von Szomraky Stefan . Danke Stefan! Fr ICQ Setup sind folgende Arbeiten notwendig. (untested!!! Bitte schicken Sie mir Ihre Erfahrungen, wenn Sie nach diesem Kapitel ICQ aktiviert haben!) Die empfohlenen Kernerleinstellungen sind : Sektion Networking Options TCP/IP Networking: yes IP: Firewalling: yes IP: Always defragment: yes IP: transparent proxy support: yes IP: masquerading: yes IP: ICMP masquerading: yes IP: masquerading special modules support: yes IP: ipautofw masquerade support (Experimental): module IP: ipportfw masquerade support: module IP: ipmarkfw masquerade support: module ICQ-Client Einstellung "I'm behind a firewall or proxy" => "other Proxy" => use TCP Range: 20000-20020 am ersten Client, 20021-20040 am zweiten Client, usw. Der Abstand kann auch auf 10 reduziert werden. (Auch wenn ICQ sich dann beklagt.) Das Modul ip_masq_icq bekommt man von http://members.xoom.com/djsf/masq-icq/ Nach dem download mu man es noch compilieren, und zwar NACHDEM man den kernel neukompiliert hat. Auchtung das ICQ Module hat einen groben Fehler im Makefile! Man mu