GNU/Linux >> LINUX-Kenntnisse >  >> Panels >> Webmin

PPP-Wählserver

Auf dieser Seite wird beschrieben, wie Sie ein Linux-System mit angeschlossenem Modem als Einwahlserver unter Verwendung des Punkt-zu-Punkt-Protokolls einrichten (PPP), damit andere Computer sich einwählen und auf verbundene Netzwerke zugreifen können.

Inhalt

Einführung in PPP unter Linux

Jedes Linux-System mit angeschlossenem Modem kann so konfiguriert werden, dass andere Computer sich einwählen und eine PPP-Sitzung starten können, wodurch sie TCP/IP-Zugriff auf das System und alle Netzwerke erhalten, mit denen es verbunden ist. Dadurch kann es sich wie ein Miniatur-ISP verhalten, und tatsächlich wurden einige kleine ISPs mit Linux-Systemen mit mehreren seriellen Portkarten als Zugriffsserver betrieben.

Zwei getrennte Programme sind für unterschiedliche Teile des Einwahldienstes zuständig. Die erste ist mgetty , das über eine serielle Schnittstelle mit einem angeschlossenen Modem kommuniziert und dieses anweist, den Anruf anzunehmen. Sobald die Server- und Client-Modems verbunden sind, mgetty zeigt eine Text-Anmeldeaufforderung an und wartet entweder auf einen Benutzernamen oder den Start einer PPP-Sitzung. Ein Client kann sich im Textmodus anmelden und einen Unix-Shell-Prompt erhalten, ohne überhaupt eine PPP-Sitzung starten zu müssen, aber das wird heutzutage selten gemacht. Sobald der Client die Verbindung trennt oder sich abmeldet, mgetty legt das Modem auf und wartet auf eine neue Verbindung.

Um mgetty zu installieren Sie können das Modul Softwarepakete verwenden.

Da die meisten Clients eine PPP-Sitzung starten, sobald sie sich verbinden, mgetty ist normalerweise so konfiguriert, dass der separate pppd ausgeführt wird Programm, wenn es eine PPP-Verbindung erkennt. Dadurch wird eine PPP-Netzwerkschnittstelle auf dem Server erstellt, der Client authentifiziert, eine IP-Adresse zugewiesen und das Senden und Empfangen von Daten über das PPP-Protokoll gestartet. Die zugewiesene IP-Adresse und andere Konfigurationsoptionen werden pro seriellem Port festgelegt, sodass Sie mehrere Modems haben und gleichzeitig mehrere Clients mit unterschiedlichen Adressen unterstützen können.

Das PPP Dialin Server-Modul erlaubt Ihnen, sowohl mgetty als auch pppd einzurichten damit Clients sich einwählen und PPP-Sitzungen starten können. Wenn Sie es aus der Kategorie Netzwerk aufrufen, zeigt die Hauptseite einfach vier Symbole, unter denen sich die tatsächlich konfigurierbaren Optionen befinden.

Derzeit kann das PPP-Dialin-Server-Modul nur auf Linux- und Solaris-Systemen verwendet werden, obwohl mgetty auf einigen anderen Unix-Versionen verfügbar ist. Wenn keines der von ihm konfigurierten Programme installiert ist, zeigt die Hauptseite eine Fehlermeldung an - alle Linux-Distributionen enthalten jedoch Pakete für pppd und mgetty auf ihren CDs oder Websites. Wenn nur mgetty installiert ist, können Sie die Serielle Portkonfiguration verwenden und Anrufer-ID-Zugriff Merkmale. Wenn dagegen nur pppd installiert ist, können Sie nur auf die PPP-Optionen zugreifen und PPP-Konten Seiten.

Wenn Sie das Modul verwenden, um mgetty so einzurichten, dass es Anrufe an einer seriellen Schnittstelle entgegennimmt, wird ein Eintrag zu /etc/inittab hinzugefügt -Datei, sodass init den mgetty-Prozess beim Booten ausführt und bei Bedarf erneut ausführt. Sie können diesen Eintrag im SysV-Init-Konfigurationsmodul sehen, sollten ihn dort jedoch nicht bearbeiten, es sei denn, Sie wissen, was Sie tun.

Obwohl dieses Kapitel für Linux geschrieben wurde, verhält sich das Modul unter Solaris fast identisch. Der einzige Unterschied sind die Namen der Gerätedateien der seriellen Schnittstelle - wohingegen /dev/ttyS0 die erste serielle Schnittstelle unter Linux ist, würde Solaris /dev/term/a verwenden stattdessen.

Konfigurieren eines PPP-Servers

Hauptbildschirm des PPP-Einwahlservers

Bevor Sie ein System so einrichten können, dass Clients sich mit PPP verbinden können, muss es entweder über ein Modem an einem seriellen Port verfügen oder über ein Nullmodemkabel mit einem anderen Computer verbunden sein. Interne Modems, die eine serielle Schnittstelle emulieren, können ebenfalls verwendet werden, obwohl sie nicht empfohlen werden, da sie keine gut sichtbaren LEDs haben, die anzeigen, ob das Modem angeschlossen ist, sendet und so weiter. USB-Modems sollten funktionieren, solange sie vom Kernel erkannt werden - sie werden jedoch wahrscheinlich eine spezielle Gerätedatei verwenden. Modems, für deren Betrieb spezielle Treiber erforderlich sind (allgemein bekannt als Winmodems), können überhaupt nicht verwendet werden, es sei denn, es ist ein Treiber für das Modem unter Linux verfügbar.

Natürlich muss jedes Modem an eine Telefonleitung angeschlossen sein. Da Ihr System so konfiguriert ist, dass es den Anruf nach einigen Klingeltönen entgegennimmt, sollte die Telefonleitung nicht für andere Zwecke verwendet werden – andernfalls werden Anrufe von Sprachanrufern vom Modem beantwortet, was nicht sehr freundlich ist.

Konfiguration der seriellen Schnittstelle

Sobald die gesamte Hardware bereit ist, führen Sie die folgenden Schritte aus, um Ihr System als PPP-Server einzurichten:

  1. Klicken Sie auf der Hauptseite des Moduls auf Serial Port Configuration Symbol. Dadurch gelangen Sie zu einer Seite, auf der alle vorhandenen Ports aufgeführt sind, die für PPP oder Voicemail konfiguriert wurden.
  2. Klicken Sie auf Neue serielle Schnittstelle hinzufügen Link, der das im ersten Screenshot unten gezeigte Port-Konfigurationsformular öffnet.
  3. Stellen Sie das Serielle Gerät ein an den Port, an dem Ihr Modem oder Nullmodemkabel angeschlossen ist. Serieller Anschluss 1 entspricht der Gerätedatei /dev/ttyS0 usw. Wählen Sie für Modems auf seriellen Geräten, die nicht mit /dev/ttyS beginnen (z. B. USB-Modems), Anderes Gerät aus Option und geben Sie den vollständigen Gerätedateipfad in das Textfeld neben dem Menü ein.
  4. Legen Sie den Typ fest Option entweder auf Direkte Verbindung (für ein über ein Nullmodemkabel verbundenes System) oder Modem (für ein echtes Einwahlmodem).
  5. Der Hafen Das Geschwindigkeitsfeld sollte auf die Baudrate eingestellt werden, die die Modem- oder Nullmodemverbindung verwenden wird. Dies muss eine der Standardgeschwindigkeiten sein, z. B. 57600 oder 33600.
  6. In der Antwort Geben Sie nach dem Feld nach die Anzahl der Klingelzeichen ein, auf die mgetty warten soll, bevor es den Anruf entgegennimmt. Wenn die Telefonleitung Ihres Modems auch zum Empfangen von Sprachanrufen verwendet wird, können Sie dies auf etwas Großes wie 20 einstellen, um genügend Zeit zu haben, das Telefon zu beantworten, bevor das Modem dies tut. Bei Nullmodem-Verbindungen hat diese Option natürlich keine Bedeutung.
  7. Klicken Sie auf Erstellen Taste. Der Datei /etc/inittab wird ein neuer Eintrag hinzugefügt, und Sie kehren zur Liste der seriellen Anschlüsse zurück.
  8. Klicken Sie auf Konfiguration übernehmen um mgetty auf dem neuen Port zu aktivieren. Telefonanrufe auf der Leitung Ihres Modems sollten jetzt nach der konfigurierten Anzahl von Klingeltönen beantwortet werden. Wenn Sie sich nur für Nur-Text-Clients interessieren, müssen Sie nichts weiter tun - sie können sich einwählen, sich am Anmeldeprompt authentifizieren und Shell-Befehle ausführen.
PPP-Optionen
  1. Um PPP einzurichten, klicken Sie auf die PPP-Optionen Symbol zurück auf der Hauptseite. Dadurch gelangen Sie zu dem im zweiten Bild unten gezeigten Formular, in dem Sie Optionen festlegen können, die für alle PPP-Verbindungen gelten.
  2. Sofern Sie nicht möchten, dass sich Clients im Textmodus anmelden und den pppd-Befehl manuell starten, ist es am besten, die Option *Automatisch PPP-Verbindungen auf seriellen Ports erkennen?* auf Ja zu setzen . Wenn diese Option aktiviert ist, erkennt mgetty, dass der Client eine PPP-Sitzung starten möchte, wenn der Server auf eine Anmeldeaufforderung wartet, und führt pppd automatisch aus.
  3. In der PPP-IP-Adresse Geben Sie in die Felder die IP-Adresse ein, die das Server-Ende der Verbindung verwenden soll (die *Lokale IP*), und die Adresse für das Client-Ende der Verbindung (die Remote-IP). ). Normalerweise befinden sich diese Adressen nicht in Ihrem lokalen LAN, sondern in einem anderen Subnetz. Andere Systeme im Netzwerk sollten so konfiguriert werden, dass sie Datenverkehr für die Adresse des Clients an Ihr System weiterleiten, damit sie kommunizieren können. Wenn keine Adressen angegeben sind, verwendet der PPP-Server die vom Client bereitgestellten Adressen. Dies kann sinnvoll sein, wenn Sie zwei Computer über ein Nullmodem verbinden, funktioniert jedoch nicht mit den meisten DFÜ-Clients. Es ist möglich, dem Client eine IP-Adresse zuzuweisen, die im Bereich des lokalen LANs liegt, indem Sie Proxy-ARP-Eintrag erstellen? aktivieren Möglichkeit. Wenn dies aktiviert ist, geben Sie eine unbenutzte LAN-IP-Adresse in die Remote-IP ein Feld und die aktuelle Ethernet-IP Ihres Systems in die Lokale IP Feld.
  4. Stellen Sie den Steuerlinienmodus ein Feld auf Lokal für eine Nullmodemverbindung oder Modem wenn an der seriellen Schnittstelle ein echtes Modem angeschlossen ist.
  5. Sofern Sie keine Nullmodemverbindung einrichten, sollten Clients gezwungen werden, sich zu authentifizieren, um zu verhindern, dass potenzielle Angreifer eine Verbindung herstellen. Um die Authentifizierung zu aktivieren, setzen Sie das Feld *Authentifizierung erforderlich?* auf Ja . Um es für die Nullmodem-Nutzung vollständig auszuschalten, setzen Sie das Feld auf Nein . Informationen zum Festlegen von Benutzernamen und Passwörtern für Clients zur Authentifizierung finden Sie im Abschnitt *Verwalten von PPP-Konten* weiter unten.
  6. Um Clients zu trennen, die über einen längeren Zeitraum inaktiv waren, geben Sie eine Anzahl von Sekunden in die Leerlaufzeit vor Trennung ein Feld.
  7. Geben Sie die IP-Adressen aller DNS-Server in Ihrem Netzwerk in die DNS-Server für Clients ein Feld. Client-Betriebssysteme wie Windows verwenden sie automatisch, was ihre Konfiguration vereinfacht.
  8. Klicken Sie abschließend auf Speichern Taste. Clients sollten sich jetzt einwählen, eine PPP-Sitzung aufbauen und auf Ihr System und Netzwerk zugreifen können!
Anrufer-ID-Zugriff

Wenn Ihr System mehrere gleichzeitig verbundene PPP-Clients haben soll, müssen Sie für jeden seriellen Anschluss unterschiedliche Optionen einstellen. Insbesondere muss jeder Client eine andere entfernte IP-Adresse haben, obwohl die lokale Adresse wiederverwendet werden kann.

Um verschiedene PPP-Optionen für jeden seriellen Port einzurichten, gehen Sie wie folgt vor:

  1. Klicken Sie auf der Hauptseite des Moduls auf die PPP-Optionen Symbol. Ändern Sie die PPP-IP-Adressen Feld zurück zu Von Kunde , und setzen Sie alle anderen Optionen, die Sie pro Port festlegen möchten, ebenfalls auf ihre Standardwerte zurück.
  2. Gehen Sie zurück zur Hauptseite, klicken Sie auf Serial Port Configuration und dann auf Bearbeiten Link unter Port PPP Config für den seriellen Anschluss, für den Sie Optionen festlegen möchten. Dadurch gelangen Sie zur Seite mit den Optionen pro Port, die dem in Abbildung 18-2 gezeigten Formular für globale PPP-Optionen sehr ähnlich ist.
  3. Geben Sie entfernte und lokale IP-Adressen ein, denen PPP-Clients, die sich über diesen Port verbinden, zugewiesen werden sollen, und ändern Sie alle anderen Optionen, die nicht auf der Seite mit den globalen PPP-Optionen festgelegt wurden.
  4. Wenn Sie fertig sind, klicken Sie auf Speichern Taste. Clients, die sich über den konfigurierten Port verbinden, verwenden von nun an die neuen Optionen.

Der einfachste Weg, Ihr System daran zu hindern, als PPP-Server zu fungieren, besteht darin, einfach den Konfigurationseintrag für den seriellen Anschluss für Ihr Modem zu entfernen. Wenn Sie mehrere Modems angeschlossen haben, können Sie mit den folgenden Schritten eines ohne Auswirkung auf die anderen deaktivieren:

  1. Klicken Sie auf der Hauptseite auf Konfiguration der seriellen Schnittstelle und dann auf den Gerätenamen des Ports mit dem angeschlossenen Modem.
  2. Klicken Sie auf der Seite mit den Anschlussoptionen auf Löschen Schaltfläche in der unteren rechten Ecke. Der entsprechende Eintrag wird aus der Datei /etc/inittab entfernt und Sie kehren zur Liste der aktivierten Ports zurück.
  3. Klicken Sie auf Konfiguration übernehmen Schaltfläche, um die Änderung zu aktivieren. Von nun an wird Ihr System keine eingehenden Telefonanrufe mehr beantworten oder mit einem anderen Computer kommunizieren, der über ein Nullmodemkabel angeschlossen ist.

PPP-Konten verwalten

Wenn Sie den Einwahlzugriff auf Ihr System aktivieren, sollten Sie alle Clients dazu zwingen, sich selbst zu authentifizieren, indem Sie die Option „Authentifizierung erforderlich?“ aktivieren. Option in den PPP-Optionen Seite. Auch wenn Sie der Meinung sind, dass Ihr Server Clients nicht authentifizieren muss, weil nur Sie die Telefonnummer der Leitung kennen, auf der sich Ihr Modem befindet, ist es dennoch eine gute Idee, es zu aktivieren, falls jemand versehentlich über die Nummer stolpert - oder hinein Falls ein „War Dialer“, der Hunderte von Telefonnummern auf der Suche nach unsicheren Servern durchprobiert, ihn findet. Sobald die Authentifizierung aktiviert ist, können Sie ein neues Konto hinzufügen, das sich anmelden darf, indem Sie die folgenden Schritte ausführen:

  1. Klicken Sie auf der Hauptseite des Moduls auf die PPP-Konten Symbol. Dadurch gelangen Sie zu einer Seite, auf der alle vorhandenen Konten aufgelistet sind, einschließlich derer, die zum Hinauswählen zu anderen Servern erstellt wurden.
  2. Folgen Sie dem Abschnitt Neues PPP-Konto erstellen Link, der Sie zum unten gezeigten Formular zur Kontoerstellung führt.
  3. Geben Sie einen Anmeldenamen in den Benutzernamen ein Feld und vergewissern Sie sich, dass es Beliebig ist Option ist nicht ausgewählt.
  4. Stellen Sie sicher, dass der Server Feld ist auf Beliebig gesetzt . Wenn Sie es auf etwas anderes einstellen, wird der Benutzername nur akzeptiert, wenn der Hostname des Clients mit dem übereinstimmt, was Sie eingeben.
  5. Wählen Sie Einstellen auf Option im Feld Passwort * , *und geben Sie ein Passwort für das Konto in das Textfeld daneben ein. Es ist auch möglich, dass der PPP-Server das Passwort aus einer separaten Datei liest, indem Sie Aus Datei auswählen Option und geben Sie einen Dateinamen in das Textfeld ein. Oder Sie können die Eingabe eines Passworts vollständig aufheben, indem Sie Keine auswählen - Dies ist jedoch aus sicherheitstechnischer Sicht keine sehr gute Idee.
  6. Unter der Annahme, dass allen Clients IP-Adressen zugewiesen werden, stellen Sie die Gültigen Adressen ein Feld auf Alle zulassen . Wenn jedoch auf der Seite PPP-Optionen keine Adressen angegeben sind, können Sie Aufgelistete zulassen auswählen und akzeptable Adressen in das Textfeld darunter eingeben.
  7. Klicken Sie abschließend auf Speichern Schaltfläche und das neue PPP-Konto wird erstellt. Es kann sofort verwendet werden, indem Clients verbunden werden.
Erstellen eines neuen PPP-Kontos

Um ein bestehendes PPP-Konto zu bearbeiten, klicken Sie einfach auf seinen Benutzernamen in der Kontenliste. Dadurch gelangen Sie zum Kontobearbeitungsformular, das fast identisch mit dem im obigen Bild gezeigten Erstellungsformular ist. Ändern Sie den Benutzernamen, das Passwort oder andere Optionen und klicken Sie auf Speichern Schaltfläche, um Ihre Änderungen zu speichern und sie sofort zu aktivieren. Oder klicken Sie auf Löschen Schaltfläche auf dem Bearbeitungsformular, um stattdessen das Konto zu entfernen.

Standardmäßig fügt Webmin neue Benutzer zur Datei /etc/ppp/pap-secrets hinzu. Dies wird vom PPP-Server nur bei der PAP-Authentifizierung gelesen, die standardmäßig verwendet wird. Wenn Sie Ihr System manuell so konfiguriert haben, dass Clients stattdessen mit dem sichereren CHAP-Protokoll authentifiziert werden, müssen Sie Webmin so konfigurieren, dass stattdessen die chap-secrets-Datei bearbeitet wird. Klicken Sie dazu auf Module Config Link in der oberen linken Ecke der Hauptseite und Ändern der PAP-Secrets-Datei Feld nach /etc/ppp/chap-secrets.

Zugriffsbeschränkung nach Anrufer-ID

Wenn Ihre Telefonleitung die Anrufer-ID aktiviert hat und Ihr Modem dies unterstützt, kann mgetty so konfiguriert werden, dass bestimmte Anrufer basierend auf ihren Telefonnummern blockiert werden. Standardmäßig darf jeder Anrufer eine Verbindung herstellen. Sie können dies jedoch so ändern, dass nur wenige Nummern zulässig sind, indem Sie die folgenden Schritte ausführen:

  1. Klicken Sie auf der Hauptseite des Moduls auf Anrufer-ID-Zugriff Symbol. Dadurch gelangen Sie zu einem Formular mit eingeschränkten Nummern, das wahrscheinlich leer ist, wenn Sie noch keine hinzugefügt haben.
  2. Klicken Sie auf Neue Anrufer-ID-Nummer hinzufügen Link, der Sie zu einem Formular zur Eingabe der neuen Nummer führt.
  3. Legen Sie die Telefonnummer fest Option zu Nummern beginnend mit , und geben Sie in das Feld daneben eine teilweise oder vollständige Telefonnummer ein, die Sie zulassen möchten. Wenn Sie beispielsweise nur 555 eingeben , jeder Anrufer, dessen Telefonnummer mit 555 beginnt (z. B. 555-1234 ) Wird erlaubt sein.
  4. Legen Sie die Aktion fest Feld auf Zulassen .
  5. Klicken Sie auf Erstellen Schaltfläche, die die Nummer speichert und Sie zur Liste der erlaubten und verweigerten Nummern zurückführt.
  6. Um eine weitere zulässige Nummer hinzuzufügen, wiederholen Sie die Schritte 2 bis 5.
  7. Klicken Sie abschließend auf Neue Anrufer-ID-Nummer hinzufügen erneut und auf dem Erstellungsformular Telefonnummer eingeben zu Alle Nummern und die Aktion zu Verweigern .
  8. Klicken Sie auf Erstellen klicken, um diesen endgültigen Deny-Eintrag zur Liste hinzuzufügen. Von nun an können nur die Telefonnummern verbunden werden, die Sie ausdrücklich zugelassen haben.

Da das System jeden Eintrag in der Liste der Reihe nach überprüft und stoppt, wenn es einen passenden findet, muss jeder Eintrag, der alle Anrufer ablehnt (oder zulässt), am Ende der Liste erscheinen – andernfalls werden die darauffolgenden niemals verarbeitet. Wenn Sie zukünftig eine neue Telefonnummer zulassen möchten, klicken Sie nach dem Hinzufügen auf die Pfeile in Verschieben Spalte muss verwendet werden, um sie über den letzten Eintrag zu verschieben, der alle verweigert.

Da einige Clients möglicherweise keine Anrufer-ID-Informationen bereitstellen, werden die Unbekannten Nummern Option für das Feld Telefonnummer* kann verwendet werden, um ihre Anrufe abzugleichen. Das Zulassen aller unbekannten Anrufer ist jedoch keine gute Möglichkeit, bekannte Angreifer zu blockieren, da sie möglicherweise nur das Senden von Anrufer-ID-Informationen über ihre Telefonleitung deaktivieren.

Anrufer-ID-Einschränkungen sollten niemals die einzige Form der Sicherheit auf Ihrem Einwahlserver sein, da Anrufernummern von der Telefongesellschaft bereitgestellt werden und daher nicht vollständig unter Ihrer Kontrolle stehen. Die PPP-Authentifizierung sollte ebenfalls aktiviert werden, damit alle Clients gezwungen werden, sich anzumelden.

Modulzugriffskontrolle

Wie andere hat dieses Modul mehrere Optionen, die Sie im Webmin-Benutzermodul festlegen können, um zu steuern, welche seiner Funktionen ein Benutzer verwenden kann. Sie sind am nützlichsten, um Teile des Moduls zu deaktivieren, die auf einem bestimmten System nicht verwendet werden - zum Beispiel möchten Sie vielleicht, dass die Seite PPP-Konten nur für einen bestimmten Benutzer sichtbar ist.

Gehen Sie wie folgt vor, um die Zugriffssteuerungsoptionen in diesem Modul für einen Benutzer oder eine Gruppe zu bearbeiten:

  1. Klicken Sie im Webmin-Benutzermodul neben dem Namen eines Benutzers, dem Zugriff auf das Modul gewährt wurde, auf PPP-Einwahlserver.
  2. Für die verfügbaren Seiten deaktivieren Sie die Symbole auf der Hauptseite des Moduls, auf die der Benutzer keinen Zugriff haben soll. Wenn die PPP-Optionen deaktiviert sind, kann er die Optionen, die für einen einzelnen seriellen Anschluss gelten, ebenfalls nicht bearbeiten.
  3. Wenn dem Benutzer nur Zugriff auf eine einzelne Seite gewährt wird, setzen Sie die Option Direkt zu einer Seite? Feld auf Ja bewirkt, dass der Browser direkt zu dieser Seite springt, wenn das Modul aufgerufen wird. Dies ist nützlich, um die Hauptseite des Moduls zu überspringen, wenn sie nur ein einziges Symbol enthalten soll.
  4. Klicken Sie auf Speichern Schaltfläche, um die Zugangskontrolleinstellungen zu aktivieren.

Webmin
  1. Jabber IM-Server

  2. PostgreSQL-Datenbankserver

  3. ProFTPD-Server

  4. iSCSI-Server

  5. Starten Sie einen Server neu

LDAP-Server

MySQL-Datenbankserver

OpenSLP-Server

Postfix-Mailserver

SSH-Server

PPP-DFÜ-Client