Linux Router

Installation von Fedora Core 2:

Hat man alle iso-Images heruntergeladen und mittels der md5-Summe deren Integrität überprüft, so kann man die Images auf CD brennen und mit der Installation beginnen. Es gibt auch Alternativen (fast) ohne CD brennen, vielleicht stelle ich die weiter unten noch vor. Die Installation von Fedora startet von CD1 wenn der Router sowas kann. Jeden Schritt möchte ich hier nicht besprechen, nur auf wichtige Punkte aufmerksam machen:

• Partitionierung: Wenn man noch eine alte Festplatte mit mindestens 1 GB Platz rumliegen hat, empfiehlt es sich, das System darauf zu installieren. Das macht das eigentliche System unabhängig von einer Datenfestplatte und umgekehrt. D.h. will man mal eine andere Distribution installieren, so sind die Daten auf der anderen Platte nicht in Gefahr. Möchte man umgekehrt die Datenplatte z.B. durch eine größere ersetzen, so bleibt das System davon unbehelligt.
  In diesem Fall kann man die Partitionierung den Installer automatisch erledigen lassen.
• Paketauswahl: Im Hinblick auf die Performance und Übersichtlichkeit sollte man so wenig Pakete wie möglich installieren. Deswegen wählt man hier ganz unten den Punkt "Minimal" und installiert die wirklich benötigten Pakete später mit yum. Somit hat man dann auch gleich aktuelle Versionen.
• Den Netzwerkkarten sollte man während der Installation feste IP-Adressen zuordnen, so sie denn erkannt werden. Die 100-MBit-Karte fürs interne LAN hat bei mir eine 192.168.1.X Adresse, die 10-MBit-Karte fürs DSL-Modem hat eine 192.168.128.X Adresse und die WLAN-Karte eine 192.168.2.X Adresse.
• Den Hostnamen gibt man manuell ein, z.B. "router"
• Die angebotene Firewall schaltet man aus, das machen wir später selbst.
• Sämtliche Hardware sollte während der Installation schon eingebaut sein. Durch die diversen Automatismen hat man dadurch später weniger Arbeit.

Nach der Installation:

Ist die Installation durchgelaufen, könnte man den Rechner theoretisch schon in den Keller, Kleiderschrank oder wohin auch immer verbannen. Das sollte man erstmal noch seinlassen, denn wenn durch eine Konfigurationspanne das Netzwerksystem ausfällt, muss man wieder Monitor und Tastatur zücken. Als ersten Schritt sollte man die Dienste abschalten, die man nicht braucht. Dazu gibt es den Befehl chkconfig. chkconfig Dienst on schaltet einen Dienst an, chkconfig Dienst off schaltet ihn ab. chkconfig --list zeigt eine Liste aller verfügbaren Dienste und deren Status an.
Ausschalten kann man: kudzu, anacron, nscd, acpid, irqbalance, isdn, autofs und yum

Dann steht erstmal ein Update des Systems an. Dazu richtet man wie weiter unten beschrieben zunächst die Internetverbindung ein und gibt dann yum update ein.

Dann installiert man in einem Rutsch alle Pakete die man später noch braucht und die in Fedora enthalten sind mit

Neu starten um den neuen Kernel in Betrieb zu nehmen.

Installation der Netzwerkkarten:

Als nächtes sollte man die Netzwerkkarten ans Laufen bringen. Wurde eine Netzwerkkarte nicht erkannt, so sind folgende Schritte durchzuführen:

1. Was ist das für eine Karte und welches Kernelmodul braucht sie? (In meinem Beispiel eine 3COM 3C509 mit Kernelmodul 3c509)
2. Das Kernelmodul einmal probeweise mit modprobe modul laden und dann einen Blick in /var/log/messages werfen. Gibts dort Fehlermeldungen oder wurde die Karte gefunden? Evtl. werden Parameter wie irq= o.ä. gebraucht.
3. Welches ist die nächste freie ethX Nummer? Bitte mit ifconfig prüfen. (In meinem Beispiel eth2)
4. Manche Treiber wollen eine ganz bestimmte ethX Nummer. Welche das ist, steht nach dem probeweisen Laden des Kernelmoduls auch in /var/log/messages. Diese muss man dann verwenden. In meinem Beispiel war das eth1 weswegen ich der WLAN-Karte dann eth2 zuweisen musste.
5. Jetzt kommt in /etc/modprobe.conf: alias eth1 3c509 (für mein Beispiel)
6. In /etc/sysconfig/network-scripts/ifcfg-eth1:

   # 3Com 3C509B EtherLink III:Unknown
   DEVICE=eth1
   ONBOOT=yes
   BOOTPROTO=static
   IPADDR=192.168.128.1
   NETMASK=255.255.255.0

7. In /etc/modprobe.conf sollte jetzt stehen:

   alias eth0 via-rhine
   alias eth1 3c509
   alias eth2 orinoco_pci

   und in /etc/sysconfig/network-scripts sollten dazu passende ifcfg-eth0 bis ifcfg-eth2 stehen.
8. Nach einem service network restart sollte die neue Karte bei ifconfig angezeigt werden. Notfalls neustarten.

Internet, Routing

Jetzt wird es Zeit, den Router ins Internet zu bringen. Dazu schließt man zunächst das DSL-Modem an die dafür vorgesehene LAN-Karte an (bei mir eth1, also die 3COM) und testet mit pppoe -I eth1 -A ob man eine Verbindung zum Access-Concentrator erhält. Wenn nicht, dann ist entweder die Netzwerkkarte kaputt, nicht richtig eingerichtet oder das Zusammenspiel Modem <-> Netzwerkkarte funktioniert nicht (bei mir manchmal der Fall). Dann einfach mal eine andere Netzwerkkarte probieren. Funktioniert hingegen alles, gilt es pppd zu konfigurieren. Dazu legt man die Datei /etc/ppp/peers/dsl mit folgendem Inhalt an:

pty "pppoe -m 1452 -I eth1"
connect /bin/true
user "benutzername"
usepeerdns
noipdefault
defaultroute
noccp

Dass Passwort kommt in die /etc/ppp/chap-secrets:

"benutzername" * "kennwort"

Nach Eingabe von pppd call dsl sollte ein ping 217.72.195.42 (web.de) eine funktionierende Verbindung signalisieren. Jetzt wollen wir eine funktionierende Namensauflösung, damit wir nicht mit IP-Adressen hantieren müssen. Dazu schauen wir mit cat /etc/ppp/resolv.conf, ob dort etwas eingetragen ist. Das ist nicht immer der Fall. Wenn nicht, müssen wir uns mit cat /var/log/messages | grep "DNS address" die Adresse des DNS-Servers selbst raussuchen. Dann schreiben wir in /etc/resolv.dnsmasq: nameserver aaa.bbb.ccc.ddd also die gerade herausgefundene DNS-Serveradresse. Nun installieren wir mit rpm -i dnsmasq-... unseren eigenen DNS-Server. Konfiguriert wird er in /etc/dnsmasq.conf:

listen-address=192.168.1.8
listen-address=127.0.0.1
resolv-file=/etc/resolv.dnsmasq

Mit dnsmasq wird er gestartet. Anschließend schreiben wir in /etc/resolv.conf:

nameserver 127.0.0.1
domain irgendwas.lan
search hostname

hostname ist der im Abschnitt "Installation" festgelegte Hostname. Jetzt sollte auch ein ping web.de zum Erfolg führen.

Installation der ISDN-Karten

cd /usr/src
wget ftp://ftp.in-berlin.de/pub/capi4linux/capi4k-utils-2005-07-18.tar.gz
tar xzf capi4k-utils-2005-07-18.tar.gz
cd capi4k-utils/capi20
./configure && make && make install
cd ../capiinit
./configure && make && make install
cd ../capiinfo
./configure && make && make install

Sonst gibt es an Hardware eigentlich nichts aufregendes, die HFC-Karte wird später mit bristuff in Betrieb genommen

DHCP-Server

Damit man nicht IP-Adresse, Gateway, Nameserver usw. bei jedem Client einzeln eintragen muss, kann man dies den dhcp-Server von zentraler Stelle aus erledigen lassen. Zu beachten ist hierbei, dass eine WLAN-Karte gleich alle Parameter mitgeteilt bekommt, die Dienste aber erst nutzen kann, wenn eine VPN-Verbindung besteht. Einzig der Gateway wird erst zugewiesen, wenn die VPN-Verbindung steht. Weiterhin kann man sehen, dass der Computer mit der MAC-Adresse 00:0E:A6:36:35:46 immer die IP-Adresse 192.168.1.1 zugewiesen bekommt. Das tut not, damit das Routing-Skript z.B. die ICQ-Pakete auch an den richtigen Rechner leiten kann. Die Konfiguration des dhcp-Servers geschieht über die Datei /etc/dhcpd.conf:

authoritative;
ddns-update-style none;
option domain-name "wg.lan";
max-lease-time 86400;
default-lease-time 86400;
option subnet-mask 255.255.255.0;

subnet 192.168.2.0 netmask 255.255.255.0 {
        range 192.168.2.20 192.168.2.40;
        option domain-name-servers 192.168.1.8;
        option netbios-name-servers 192.168.1.8;
}

subnet 192.168.1.0 netmask 255.255.255.0 {
        range 192.168.1.20 192.168.1.40;
        option domain-name-servers 192.168.1.8;
        option netbios-name-servers 192.168.1.8;
        option routers 192.168.1.8;
}

host johannes {
        hardware ethernet 00:0E:A6:36:35:46;
        fixed-address 192.168.1.1;
}

E-Mail-Server

Nachdem bis hierhin alles funktioniert hat, kommen wir zum Mail-Server. Wir wollen also mit einem POP3-Client unsere E-Mails z.B. von einem (oder mehreren) GMX-Accounts einsammeln und auf dem Server lagern. Dort werden sie dann über IMAP bereitgestellt. Der Vorteil dieses Vorgehens ist, dass die eigenem Mails an einem zentralen Punkt gespeichert sind und man so vom Heimrechner, vom Laptop und vom Rechner auf der Arbeit immer auf alle seine Mails zugreifen kann. Auch alle gesendeten Nachrichten werden zentral gespeichert.

Fangen wir mit dem IMAP-Server an, konfiguriert werden muss er ausnahmsweise nicht, nur aktivieren muss man ihn mit service dovecot start. Diesen Teil sollte man schonmal testen. Dazu richtet man sich mit adduser test einen Testbenutzer ein und weist ihm mit passwd test ein Passwort zu. Anschließend sendet man sich mit echo Hallo | mail test@localhost -s test selbst eine E-Mail. Dann richtet man auf einem Client ein imap-Konto ein und prüft ob die Testmail durchgekommen ist.

Wenn das funktioniert, muss noch fetchmail eingerichtet werden. Ich habe es für jeden Benutzer getrennt laufen damit es zu keiner Verwirrung kommt und etwas Diskretion gewährleistet ist. Man schreibt also (angemeldet als Benutzer test) in /home/test/.fetchmailrc:

server pop.puretec.de
proto pop3
user benutzer
pass geheim

WLAN und VPN

Da die WEP-Verschlüsselung schnell geknackt und bei einigen Windows-Treibern fehlerhaft implementiert ist, habe ich mich entschieden, den WLAN-Verkehr über einen verschlüsselten VPN-Tunnel zu leiten. Diesen Tunnel kann man doch auch gleich noch durchs Internet bauen und so von überall auf das heimische Netz zugreifen. Die WLAN-Karte konfiguriert man in /etc/sysconfig/network-scripts/ifcfg-eth2:

# Belkin: 802.11b Prism 2.5 Wireless network adapter
DEVICE=eth2
ONBOOT=yes
BOOTPROTO=static
IPADDR=192.168.2.1
NETMASK=255.255.255.0
ESSID=wlan
CHANNEL=6
MODE=Ad-Hoc
RATE=auto

Ein service network restart übernimmt die Änderungen. Auf dem Client nimmt man die gleichen Einstellungen vor, insbesondere Channel, ESSID und MODE müssen übereinstimmen. Den Rest übernimmt dhcp. Das sollte man auch gleich überprüfen. Wichtig: mit dem oben vorgestellten Firewall-Skript lässt sich die WLAN-Verbindung nicht über Ping testen!

Jetzt installieren wir die Software: (Alles in eine Zeile, URLs ggf. anpassen)

Dann wird der Server konfiguriert, /etc/ppp/options.pptpd:

lock
mtu 1450
mru 1450
auth
ipcp-accept-local
ipcp-accept-remote
lcp-echo-failure 3
lcp-echo-interval 5
nodeflate
nobsdcomp
debug
name pptpd
proxyarp
require-mppe
require-mschap-v2

option /etc/ppp/options.pptpd
localip 192.168.1.200
remoteip 192.168.1.201-230

"test"  pptpd   "/$%hf1ap21"  192.168.1.5

Die Konfiguration eines Windows Clients geht wie folgt:

• Netzwerkverbindungen -> Neue Verbindung erstellen -> Weiter
• ...VPN-Verbindung... -> Weiter
• Keine Anfangsverbindung -> Weiter
• Hostname: 192.168.2.1 (also die IP-Adresse der WLAN-Karte) -> Weiter
• egal -> Weiter
• egal -> Weiter
• Eigenschaften der neuen Verbindung aufrufen
• Auf Seite Sicherheit wechseln
• Erweitert -> Einstellungen
• Datenverschlüsselung erforderlich, alle Häkchen aus außer Microsoft CHAP, Version 2 -> OK -> OK

Telefonanlage mit Asterisk

• Ins Verzeichnis /usr/src wechseln
• Den neuesten Florz-Patch herunterladen (siehe oben)
• Die dazu passende Version des bristuff herunterladen (s.o.)
• chan_capi herunterladen (s.o.)
• Mit ln -s /lib/modules/`uname -r`/build linux einen Link zu den Kernelsourcen erstellen
• bristuff und chan_capi mit tar xzf ...tar.gz auspacken
• Ins Verzeichnis bristuff-0../zaphfc wechseln
• mit zcat ../../zaphfc...florz.diff.gz | patch -p1 den Patch anwenden
• Ein Verzeichnis hoch wechseln und mit ./install die Installation starten. Diese benötigt Kernelquellen sowie gcc.
• Ins Verzeichnis ../chan_capi-0.3.5/ wechseln
• patch -p1 eingeben und folgendes in die Konsole pasten:

  diff -ur chan_capi-0.3.5.orig/chan_capi.c chan_capi-0.3.5.new/chan_capi.c
  --- chan_capi-0.3.5.orig/chan_capi.c	2004-08-13 12:07:28.000000000 +0200
  +++ chan_capi-0.3.5.new/chan_capi.c	2005-05-14 15:47:36.164052000 +0200
  @@ -687,7 +687,7 @@
  	p = malloc(sizeof(struct capi_pipe));
  	memset(p, 0, sizeof(struct capi_pipe));
  	p->fd = fds[1];
  -	c->fds[0] = fds[1];
  +	c->fds[0] = fds[0];
  	p->PLCI = -1;
  	p->i = i;
  	p->c = c;

  Eingabe mit Strg+D abschließen
• Mit make && make install installieren.

loadzone=nl
defaultzone=nl

span=1,1,3,ccs,ami
bchan=1-2
dchan=3

alias char-major-196 zaphfc
options zaphfc modes=1
install zaphfc /sbin/modprobe --ignore-install zaphfc && /sbin/ztcfg

[channels]
switchtype=euroisdn
signalling=bri_net_ptmp
pridialplan=local
echocancel=yes
immediate=no
overlapdial=yes
group=1
context=default
channel=>1-2

[general]
port=5060
context=sip-in
bindaddr=0.0.0.0
disallow=all
allow=g729
allow=alaw
allow=ulaw
allow=gsm
maxexpirey=180
defaultexpirey=160
tos=lowdelay
register => 49681987654:passwort@sip.gmx.net/49681987654

[johannes-gmx]
host=sip.gmx.net
type=friend
username=49681987654
secret=passwort
fromuser=49681987654
fromdomain=sip.gmx.net
canreinvite=no
qualify=no