Lintrack als LAN-Gateway und OpenVPN-Bridge
Dieses Tutorial führt Sie durch die Installation und Konfiguration von Lintrack, einer auf Netzwerkaufgaben spezialisierten GNU/Linux-Distribution. Wir werden zwei LANs zusammen mit DHCP- und DNScache-Servern Zugang zum Internet geben und dann unsere Netzwerke mit OpenVPN im Bridging-Modus verbinden. Dank der einheitlichen Konfigurationsschnittstelle von Lintrack sollten Sie all dies in weniger als einer Stunde ausführen.
Der Plan
Das folgende Diagramm zeigt das Netzwerk, das wir erstellen werden.
Die Hosts rt1 und rt2 sind unsere Router, auf denen Lintrack läuft. Beide haben eine Internetverbindung (z. B. über DSL-Modems), eine öffentliche IP-Adresse, die auf der eth0-Schnittstelle verfügbar ist, und ein lokales Netzwerk dahinter.
Sie benötigen zwei x86-Hosts (ein typischer PC sollte ausreichen) mit mindestens 128 MB RAM und 256 MB Speicherplatz (kann eine Compact-Flash-Karte sein), einige Fast/Gigabit-Ethernet-Karten und, wenn Sie möchten, WiFi-Karten basierend auf Atheros-Chipsätze, z.B. dem beliebten AR5213.
Wenn Sie Lintrack auf VMware installieren, stellen Sie sicher, dass Sie eine IDE-Festplatte anstelle der Standard-SCSI-Festplatte verwenden. Wenn Sie qemu bevorzugen, testen Sie es bitte bei Problemen mit und ohne aktiviertem kqemu.
Installation
- Lintrack 2.0 Installations-CD herunterladen:
wgethttp://prdownloads.sourceforge.net/lintrack/lintrack-mini-2.0.iso?download
- Brennen Sie das ISO-Image mit Ihrem bevorzugten CD-Brenner.
- Starten Sie den Zielcomputer von CD und drücken Sie die Eingabetaste, wenn Sie dazu aufgefordert werden.
- Geben Sie 'setup' ein und drücken Sie die Eingabetaste, das Lintrack-Installationsprogramm wird gestartet. Lesen Sie die kurzen Informationen und drücken Sie die Eingabetaste.
- Sie werden nach der Zielpartition gefragt, drücken Sie die Eingabetaste, um die Standardauswahl zu akzeptieren, cfdisk auszuführen, um eine zu erstellen.
- Navigieren Sie mit den Pfeiltasten auf der Tastatur durch cfdisk und erstellen Sie eine neue Partition vom Typ Linux (0x83). Sie benötigen keine Swap-Partition.
- Nachdem Sie cfdisk verlassen haben, geben Sie die Zielpartition ein oder drücken Sie einfach die Eingabetaste, um die Standardauswahl von /dev/hda1 zu akzeptieren.
- Das Installationsprogramm bietet an, die Zielpartition als ext3 zu formatieren, also können Sie YES in Großbuchstaben eingeben und die Eingabetaste drücken, um sie zu formatieren (falls Sie dies noch nicht getan haben). Wenn Sie einen Fehler gemacht haben, drücken Sie schnell Strg+C.
- Nun beginnt der Installationsprozess und sollte je nach Hardware weniger als 5 Minuten dauern.
- Am Ende werden Sie gefragt, ob Sie den Lintrack-Bootloader (GRUB) in den MBR installieren möchten. Höchstwahrscheinlich sollten Sie hier einfach die Eingabetaste drücken, andernfalls geben Sie NO ein und drücken Sie die Eingabetaste.
- Entfernen Sie die Installations-CD und starten Sie neu, um Lintrack zu starten.
Grundlegendes Netzwerk
Zuerst werden wir den Internetzugang und grundlegende Dienste für das lokale Netzwerk konfigurieren, also melden Sie sich als root mit dem Passwort „asn“ an.
Lintrack wird von fcctool konfiguriert, also starten wir es auf Host rt1 und führen einige grundlegende Konfigurationen durch:
fcc
?
ls
cd sys
ls
Hostnamen rt1.lan setzen
hostip 192.168.1.1 setzen
Hinweis:Sie können die automatische Tab-Vervollständigung (wie in Bash) ausprobieren, um das Eingeben der Befehle zu vereinfachen.
Jetzt fügen wir die eth0-Schnittstelle hinzu und konfigurieren sie:
cd / net if eth
add +if eth0
cd eth0
set descr "Internet uplink"
add ip +addr main
set ip main addr 80.40.1.1/ 30
Die LAN-Bridge:
cd ..
add +if eth1
cd .. br
add +if br0
cd br0
set descr "LAN bridge"
add +if eth1
add ip +addr main
set ip main addr 192.168.1.1/24
Standardroute und DNS-Server (ersetzen Sie dns.server.ip.address durch die richtige IP-Adresse):
cd / net
set route quickgw 80.40.1.2
add dns +servers dns.server.ip.address
Die Firewall mit zwei Zonen - "Internet":
cd fw
add +zone internet
cd internet
add +matches uplink
set uplink if eth0
set srv forwarding to
set actions masq true
...und "lan":
cd ..
add +zone lan
cd lan
add +matches bridge
set bridge if br0
cd srv
set forwarding on igmp true dhcp true dns true
cd .. actions
set clampmss true
Schließlich aktivieren wir dnsmasq als DNS-Cache und DHCP-Server:
cd / srv dnsmasq
set boot true
set dhcp true auth true von 192.168.1.50 auf 192.168.1.150
Führen Sie nun die gleichen Schritte auf rt2 durch und ersetzen Sie den Hostnamen, die IP-Adressen und den DHCP-Adressbereich (z. B. von 192.168.1.151 bis 192.168.1.250).
Beachten Sie, dass fcc so etwas wie eine Konfigurationsdatei ist – das bedeutet, dass die vorgenommenen Änderungen nicht sofort angewendet werden. Wir werden jedoch das grundlegende Netzwerk manuell aktivieren, um uns über SSH anmelden zu können, z. von einem komfortableren grafischen Terminal mit Zwischenablagefunktionalität. Beenden Sie fcc, indem Sie Strg+D drücken oder quit eingeben und auf beiden Hosts Folgendes tun:
cd /etc/rc.d
./rc.firewall restart
./rc.eth eth0 start
./rc.eth eth1 start
./rc.br br0 start
./rcS.d/S40staticrt
Dadurch sollten Sie über das Internet und das kabelgebundene LAN auf beide Computer zugreifen können.
Drahtloser Zugriff
Jetzt fügen wir einen WLAN-Zugangspunkt mit WPA2-PSK-Sicherheit hinzu. Fahren Sie mit dem nächsten Abschnitt fort, wenn Sie Ihren Benutzern kein drahtloses Internet zur Verfügung stellen möchten.
Starten Sie wie gewohnt fcc onrt1 oder rt2 (oder beide) und geben Sie die folgenden Befehle ein:
cd / net if ath
info countrycode
set countrycode 840
set xchanmode true
add +if wifi0
cd wifi0
set list freq true
Aktenliste
Kanal 6 einstellen
Beachten Sie, dass die Ausgabe des Befehls „act list“ Änderungen am Ländercode der Karte, am Funkmodus (a/b/g) usw. nicht sofort berücksichtigt der madwifi treiber lädt mit newsettings.
Jetzt haben wir ein physisches Funkgerät konfiguriert, also erstellen wir darüber eine Netzwerkschnittstelle:
add +if ath0
cd ath0
set descr "AP for LAN"
set mode ap
set essid "lintrack"
Und um es zu sichern, aktivieren wir WPA2-PSK:
cd wpa
set mode server
set pskpass SomeVeryVeryLongPasswordToYourLocalAreaNetwork
Schließlich fügen wir ath0 zur lokalen Brücke br0 hinzu, damit WLAN-Benutzer mit Ethernet-Benutzern sprechen können.
cd / net if br br0
füge +if ath0 hinzu
OpenVPN hinzufügen
Zum Schluss verbinden wir beide LANs mit OpenVPN.
Machen Sie rt1 zum OpenVPN-Server:
cd / net if openvpn
add +if tap0
cd tap0
set descr "VPN to rt2" mode server tmode tap syscert false
set genkey sure true
act genkey
statischen Schlüssel abrufen
Kopieren Sie den statischen OpenVPN-Schlüssel in die Zwischenablage und führen Sie die ähnlichen Befehle auf rt2 aus:
cd / net if openvpn
add +if tap0
cd tap0
set descr "VPN to rt1" mode client tmode tap syscert false
set real 80.40.1.1
set statischer Schlüssel
Der letzte Befehl startet vim, einen Dateieditor. Es lohnt sich zu lernen, wie man es benutzt, aber jetzt drücken Sie einfach 'a', fügen Sie den kopierten Schlüssel ein, drücken Sie Escape, schreiben Sie ':wq' und drücken Sie die Eingabetaste. Sie können den Dateieditor ändern, indem Sie die Umgebungsvariable $EDITOR exportieren, bevor Sie fcc starten, z. setze es auf mcedit.
Falls Sie kein grafisches Terminal haben, verwenden Sie scp, um die Datei /etc/fc/net/if/openvpn/tap0/statickey von rt1 nach rt2 zu kopieren.
Tap0 zu lokalen Bridges hinzufügen - auf beiden Hosts:
cd / net if br br0
füge +if tap0 hinzu
Neustart und das war's;-).
Falls Sie Probleme mit OpenVPN haben, können Sie es jederzeit im Debugging-Modus von der Shell neu starten mit:
/etc/rc.d/rc.openvpn tap0 restart debug
Weiter gehen
Nachdem Sie sich vergewissert haben, dass alles richtig funktioniert, ist es auf jeden Fall eine gute Idee, das Root-Passwort zu ändern (verwenden Sie den Befehl passwd) und das System zu aktualisieren:
pkg-Update
pkg-Upgrade
Weitere Informationen über Lintrack finden Sie auf seiner Website - http://www.lintrack.org/. Verpassen Sie nicht unser Wiki, Forum, Trac und vor allem einen ausführlicheren Einführungsartikel über das großartige Portal von PolishLinux.org.