Soekris wlan box

[littlebit]

Hallo Leute,

ich habe mir eine soekris 5510 gekauft und habe vor die als wlan AP zu konfigurieren. Neben einer sicheren wlan Verschluesselung (WPA/WPA2) soll die kiste auch als DHCP, DNS und HTTP Proxy (squid) konfiguriert werden.
Ich habe bis jetzt versucht die grundlegenden Dinge selber zu machen, dabei habe ich mich darauf konzentriert dass es funktioniert aber nicht darauf geachtet dass es sicher ist.
Meine jetzige Konfiguration ist wie folgt:

1. 
   Als Wlan habe ich den Hersteller Ralink (RT2561T Chip) gewählt, und besetzt die miniPCI Schnittstelle. Ich habe versucht die Wlankarte mit unter der bridge mit unterzubringen aber ohne einer eigenen IP-Addresse würde ich keine Wlanverbindung mit den Clients aufbauen können, daher habe ich ihr eine eigene IP gegeben und hatte keine Probleme. Neben Notebooks, werden auch 2 bis 3 Repeater über diese Karte verbunden.
   Hier ist der Inhalt der hostname.ral0 Datei:
   

   inet 10.0.0.2
   media autoselect mediaopt hostap nwid mynet chan 1 wpa wpapsk test1234
   up

• 
  Ueber die NICs vr0,vr1,vr2,vr3 sollen vom dhcpd IP Addressen vom Addressraum 10.0.0.0/24 vergeben werden.Dabei dachte ich mir, ich fasse alle NICs unter einer bridge zusammen und verpasse nur ein NIC eine IP wie 10.0.0.1
  Hier ist der Inhalt der hostname.bridge0 Datei:
  

  add vr0
  add vr1
  add vr2
  add vr3
  up

  
  Hier ist der Inhalt der hostname.vr0 Datei:
  

  inet 10.0.0.1 255.255.255.0
  up

• 
  An der PCI Schnittstelle habe ich eine herkoemmliche 3COM (xl0) Netzwerkkarte. Diese Karte soll zur Fritzbox angeschlossen sein, die (Fritzbox) eine DSL-Verbindung aufbaut.
  IP-Addresse dieser Karte ist wie folgt: inet 192.168.1.253 255.255.255.0
  Da diese die NIC die Verbindung zum Internet herstellt muss dann in deren hostname.if Datei die default route defeniert werden.
  
  Hier ist der Inhalt der hostname.xl0Datei:
  

  inet 192.168.1.200 255.255.255.0 NONE
  !route add default 192.168.1.254
  !route add -net 10.0.0.0/24 10.0.0.1
  !route add -net 192.168.1.0/24 192.168.1.200

• 
  Um NAT zu ermöglichen habe ich diverse Beispiele im Internet gefunden und habe meine Konfiguration (noch nicht ausprobiert) von folgenden Link hergeleitet.
  Fürs erste ist mir ein Nacktes NAT wichtig, und da ich jedes mal die Soekris abstecken muss und sie an der Fritzbox anschließen muss die sich im Keller befindet habe ich es nicht getestet habe, würde ich in diesen Teil um eine kurze Bestätigung bitten ob es funktionieren würde oder nicht.
  
  Hier ist der Inhalt der pf.conf Datei:
  

  IntNet="10.0.0.0/24" 
  Ext="xl0"             
  Int="vr0" 
  nat on $Ext from $IntNet to any -> $Ext static-port

  
  Und ich habe nicht vergessen "net.inet.ip.forwarding" auf 1 zu setzen.

Ich vermute dass ich als Anfänger ein paar Sachen entweder umständlich gemacht habe, oder wie der Lügenbaron "zu Gutenberg" Sachen hier und da Kopiert habe, was ich gleich offen und ehrlich zu gebe.
Daher wollte ich jeden bitten der sich auskennt, mir zu zeigen wo man es verbessern kann.
Bind und Squid sind jetzt für das erste auch nicht wichtig.


Vielen Dank im Voraus an die Community...

 

[midnight]

Ich habe auch eine 5501 als WLAN AP laufen. Funktioniert sehr gut bei mir. Ich schaue heute Abend oder morgen frueh mal in meine configs und vergleiche die mit deinen.

 

[midnight]

Die pf.conf wuerde etwa so aussehen:

 1  # cat /etc/pf.conf
 2  ext_if  = "xl0"         # externes Netz: DSL / ppp
 3  int_if  = "vr0"         # internes LAN-Netz
 4  wlan_if = "ral0"        # internes WLAN-Netz
 5
 6  # keine Packet-Filterungen auf lo (loopback-device)
 7  set skip on lo
 8
 9  # Alle eingehenden Pakete "normalisieren".
10  match in all scrub (no-df max-mss 1440)
11
12  # NAT von int_if und wlan_if zu ext_if. Die Klammern () um das externe
13  # interface ext_if bedeuten, dass die IP hier dynamisch ist uns wechseln kann.
14  match out on $ext_if from ! $ext_if nat-to ($ext_if:0)
15
16  # alles blocken
17  block all
18
19  # Antispoof aktivieren, um eingehende Packete mit gefaelschten IP's zu blocken.
20  antispoof for lo0
21  antispoof for { $ext_if, $int_if, $wlan_if } inet
22
23  # alles aus ext_if heraus lassen
24  pass out on $ext_if
25
26  # alles vom int_if (aus dem internen LAN-Netz) hereinlassen
27  pass in on $int_if
28
29  # alles vom wlan_if (aus dem internen WLAN-Netz) hereinlassen
30  pass in on $wlan_if
31
32  # SSH-Verbindung Port 22 auf allen Interfaces erlauben. Sollte IMMER
33  # die letzte Regel sein, damit bei falscher Konfigurationen der Firewall
34  # immer eine SSH-Verbindung fuer Rettungsmassnahmen aufgebaut werden kann.
35  pass in inet proto tcp to port 22

Wenn Du unbedingt eine bridge nutzen moechtest, solltest Du deine config wie folgt abaendern:

1 # cp /etc/hostname.vr0 /etc/hostname.vether0
2 # cp /etc/hostname.vr{0,1,2,3}{,.orig} && echo "up" > /etc/hostname.vr{0,1,2,3}

Dann entsprechend `add vether0' noch oben in die /etc/hostname.bridge0 eintragen und auch in der pf.conf vr0 durch vether0 ersetzen.

 

[littlebit]

Vielen Dank midnight,

was mich auch interessieren wuerde ist die Konfiguration deiner Interfaces.

Vielen Dank nochmals.

littlebit

 

[midnight]

vr0 ist hier zu Testzwecken an ein zusaetzliches gateway (hier www.gateway genannt) per dhcp angeschossen. Normalerweise nutze ich fuer sowas statische IP's. Ich habe einfach mal auf die Schnelle eine simple dhcpd.conf als Beispiel erstellt. Hierbei stellt jedes interface IP's per dhcp an die angeschlossenen / per WLAN verbundenen Rechner / Smartphones etc. zur Verfuegung. Ich nutze allerdings keine bridge.

# cat /etc/hostname.vr0
dhcp

# cat /etc/hostname.vr1
inet 10.0.0.1 255.255.255.0 NONE

# cat /etc/hostname.vr2
inet 20.0.0.1 255.255.255.0 NONE

# cat /etc/hostname.vr3
inet 30.0.0.1 255.255.255.0 NONE

# cat /etc/hostname.athn0
inet 40.0.0.1 255.255.255.0 NONE media mode 11g mediaopt hostap nwid AABBCC chan 8 wpakey XXYYZZ

# cat /etc/rc.conf.local
ntpd_flags="-s"
dhcpd_flags="vr1 vr2 vr3 athn0"

# cat /etc/dhcpd.conf
option domain-name "www.gateway";
option domain-name-servers 192.168.199.254;

max-lease-time 43200;
default-lease-time 43200;

subnet 10.0.0.0 netmask 255.255.255.0 {
        option routers 10.0.0.1;
        range 10.0.0.2 10.0.0.127;
}

subnet 20.0.0.0 netmask 255.255.255.0 {
        option routers 20.0.0.1;
        range 20.0.0.2 20.0.0.127;
}

subnet 30.0.0.0 netmask 255.255.255.0 {
        option routers 30.0.0.1;
        range 30.0.0.2 30.0.0.127;
}

subnet 40.0.0.0 netmask 255.255.255.0 {
        option routers 40.0.0.1;
        range 40.0.0.2 40.0.0.127;
}

 

[littlebit]

Ist denn die Konfiguration fuer so eine Loesung etwas umstaendlich? Es sei denn du teilst die 4 NICs von der Soekris fuer verschriedene Abteilungen ein die von einander abgeschottet werden sollen.

 

[midnight]

Nein, seit es vether(4) gibt, macht es fuer deine Zwecke keinen Unterschied mehr, ob Du verschiedene subnets nutzt oder eine bridge. Vorher gabs es jedoch oefter Probleme, dass sich die vr(4) devices nach Ausschalten eines angeschlossenen PC's nicht mehr erreichen liessen und erst nach einem Neustart des routers oder nach einem ifconfig down und erneutem up wieder da waren.

 

[littlebit]

Ah ok,
dann wie wuerde dann die /etc/hostname.vether0 aussehen? Befindet sich darin die ipconfiguration
"inet 10.0.0.1 255.255.255.0" ?
Wie sieht denn hostname.vether0 aussehen?

Und bei der /etc/pf.conf bei folgenden Linie:
match out on $ext_if from ! $ext_if nat-to ($ext_if:0)

Zum einen ist ext_if ist bei mir statisch und was bedeutet ":0" ?

 

[midnight]

Habe heute mal wieder auf bridge umkonfiguriert. Hier meine komplette config:

# uname -a
OpenBSD soekris.gateway 5.1 GENERIC#160 i386

# df -h
Filesystem     Size    Used   Avail Capacity  Mounted on
/dev/wd0a      1.9G    230M    1.5G    13%    /
mfs:12576     61.9M    3.1M   55.7M     5%    /var
mfs:17688      3.4M   32.0K    3.2M     1%    /dev

# mount
/dev/wd0a on / type ffs (local, noatime, read-only)
mfs:12576 on /var type mfs (asynchronous, local, noexec, nosuid, size=131072 512-blocks)
mfs:17688 on /dev type mfs (asynchronous, local, noexec, nosuid, size=8192 512-blocks)

# cat /etc/hostname.bridge0
add vether0
add vr1
add vr2
add vr3
add athn0
up

# cat /etc/hostname.vether0
inet 10.0.0.1 255.255.255.0 NONE
inet6 2001::1 64

Hinweis: vr0 ist mein externes interface

# cat /etc/hostname.vr0
dhcp

# cat /etc/hostname.vr1
up

# cat /etc/hostname.vr2
up

# cat /etc/hostname.vr3
up

# cat /etc/hostname.athn0
up media mode 11g mediaopt hostap nwid NWID chan 8 wpakey WPAKEY

# cat /etc/hosts
127.0.0.1       localhost
::1             localhost
10.0.0.1        soekris.gateway soekris
2001::1         soekris.gateway soekris

# cat /etc/sysctl.conf
[snip]
net.inet.ip.forwarding=1
net.inet6.ip6.forwarding=1
[/snip]

# cat /etc/pf.conf
ext_if = "vr0"                          # externes Netz: DSL / ppp
int_if = "{ vether0, vr1, vr2, vr3 }"   # internes LAN-Netz
wlan_if = "athn0"                       # internes WLAN-Netz

# keine Packet-Filterungen auf lo (loopback-device)
set skip on lo

# Alle eingehenden Pakete "normalisieren".
match in all scrub (no-df max-mss 1440)

# NAT von int_if und wlan_if zu ext_if. Die Klammern () um das externe
# interface ext_if bedeuten, dass die IP hier dynamisch ist uns wechseln kann.
match out on $ext_if from ! $ext_if nat-to ($ext_if:0)

# alles blocken
block all

# Antispoof aktivieren, um eingehende Pakete mit gefaelschten IP's zu blocken.
antispoof for $int_if
antispoof for { lo0, $ext_if, $wlan_if }

# alles aus ext_if heraus lassen
pass out on $ext_if

# alles vom int_if (aus dem internen LAN-Netz) hereinlassen
pass in on $int_if

# alles vom wlan_if (aus dem internen WLAN-Netz) hereinlassen
pass in on $wlan_if

# SSH-Verbindung Port 22 auf allen Interfaces erlauben. Sollte IMMER
# die letzte Regel sein, damit bei falscher Konfigurationen der Firewall
# immer eine SSH-Verbindung fuer Rettungsmassnahmen aufgebaut werden kann.
pass in inet proto tcp to port 22

# cat /etc/rc.conf.local
ntpd_flags="-s"
dhcpd_flags="vether0"

# cat /etc/dhcpd.conf
option  domain-name "www-gateway";
option  domain-name-servers 192.168.1.1, 8.8.8.8;

max-lease-time 43200;
default-lease-time 43200;

subnet 10.0.0.0 netmask 255.255.255.0 {
        option routers 10.0.0.1;
        range 10.0.0.2 10.0.0.127;
}

# ifconfig
lo0: flags=8049<UP,LOOPBACK,RUNNING,MULTICAST> mtu 33196
        priority: 0
        groups: lo
        inet6 ::1 prefixlen 128
        inet6 fe80::1%lo0 prefixlen 64 scopeid 0x7
        inet 127.0.0.1 netmask 0xff000000
vr0: flags=8843<UP,BROADCAST,RUNNING,SIMPLEX,MULTICAST> mtu 1500
        lladdr 00:00:24:c9:2a:98
        priority: 0
        groups: egress
        media: Ethernet autoselect (100baseTX half-duplex)
        status: active
        inet6 fe80::200:24ff:fec9:2a98%vr0 prefixlen 64 scopeid 0x1
        inet 192.168.1.63 netmask 0xffffff00 broadcast 192.168.1.255
vr1: flags=8b43<UP,BROADCAST,RUNNING,PROMISC,ALLMULTI,SIMPLEX,MULTICAST> mtu 1500
        lladdr 00:00:24:c9:2a:99
        priority: 0
        media: Ethernet autoselect (none)
        status: no carrier
        inet6 fe80::200:24ff:fec9:2a99%vr1 prefixlen 64 scopeid 0x2
vr2: flags=8b43<UP,BROADCAST,RUNNING,PROMISC,ALLMULTI,SIMPLEX,MULTICAST> mtu 1500
        lladdr 00:00:24:c9:2a:9a
        priority: 0
        media: Ethernet autoselect (none)
        status: no carrier
        inet6 fe80::200:24ff:fec9:2a9a%vr2 prefixlen 64 scopeid 0x3
vr3: flags=8b43<UP,BROADCAST,RUNNING,PROMISC,ALLMULTI,SIMPLEX,MULTICAST> mtu 1500
        lladdr 00:00:24:c9:2a:9b
        priority: 0
        media: Ethernet autoselect (none)
        status: no carrier
        inet6 fe80::200:24ff:fec9:2a9b%vr3 prefixlen 64 scopeid 0x4
athn0: flags=8943<UP,BROADCAST,RUNNING,PROMISC,SIMPLEX,MULTICAST> mtu 1500
        lladdr 00:0c:42:65:cb:5d
        priority: 4
        groups: wlan
        media: IEEE802.11 autoselect mode 11g hostap
        status: active
        ieee80211: nwid NWID chan 8 bssid 00:0c:42:65:cb:5d wpakey 0x9cc241a6314dfc5f447166e07335f8bacf1322d5abfc676c702a2ddad6fa3621 wpaprotos wpa1,wpa2 wpaakms psk wpaciphers tkip,ccmp wpagroupcipher tkip
        inet6 fe80::20c:42ff:fe65:cb5d%athn0 prefixlen 64 scopeid 0x5
enc0: flags=0<>
        priority: 0
        groups: enc
        status: active
vether0: flags=8943<UP,BROADCAST,RUNNING,PROMISC,SIMPLEX,MULTICAST> mtu 1500
        lladdr fe:e1:ba:d0:93:97
        priority: 0
        groups: vether
        media: Ethernet autoselect
        status: active
        inet 10.0.0.1 netmask 0xffffff00 broadcast 10.0.0.255
        inet6 fe80::fce1:baff:fed0:9397%vether0 prefixlen 64 scopeid 0x8
        inet6 2001::1 prefixlen 64
bridge0: flags=41<UP,RUNNING>
        groups: bridge
        priority 32768 hellotime 2 fwddelay 15 maxage 20 holdcnt 6 proto rstp
        athn0 flags=3<LEARNING,DISCOVER>
                port 5 ifpriority 0 ifcost 0
        vr3 flags=3<LEARNING,DISCOVER>
                port 4 ifpriority 0 ifcost 0
        vr2 flags=3<LEARNING,DISCOVER>
                port 3 ifpriority 0 ifcost 0
        vr1 flags=3<LEARNING,DISCOVER>
                port 2 ifpriority 0 ifcost 0
        vether0 flags=3<LEARNING,DISCOVER>
                port 8 ifpriority 0 ifcost 0
pflog0: flags=141<UP,RUNNING,PROMISC> mtu 33196
        priority: 0
        groups: pflog

 

[midnight]

Und bei der /etc/pf.conf bei folgenden Linie:
match out on $ext_if from ! $ext_if nat-to ($ext_if:0)

Zum einen ist ext_if ist bei mir statisch und was bedeutet ":0" ?

PF.CONF(5)
:0 Do not include interface aliases.

Du kannst die Klammer ruhig lassen, sie aber auch entfernen wenn sich deine IP nicht aendert.

 

[midnight]

Hier ist der Inhalt der hostname.xl0Datei:

inet 192.168.1.200 255.255.255.0 NONE
!route add default 192.168.1.254
!route add -net 10.0.0.0/24 10.0.0.1
!route add -net 192.168.1.0/24 192.168.1.200

Es sollte eigentlich reichen, wenn Du folgendes in deiner /etc/hostname.xl0 hast:

inet 192.168.1.200 255.255.255.0 NONE

und folgendes in deiner /etc/mygate

192.168.1.254

 

[midnight]

Ist denn die Konfiguration fuer so eine Loesung etwas umstaendlich? Es sei denn du teilst die 4 NICs von der Soekris fuer verschriedene Abteilungen ein die von einander abgeschottet werden sollen.

Ein fuer mich grosser Nachteil von bridge und einige der Gruende, warum ich diese generell unter OpenBSD vermeide:

pf.conf(5)

[...]
Options returning ICMP packets currently have no effect if pf(4)
operates on a bridge(4), as the code to support this feature has
not yet been implemented.
[...]
Rules with synproxy will not work if pf(4) operates on a bridge(4).
[...]

 

[littlebit]

Verstehe,
vielen Dank fuer die Aufklaerung, nur noch eine letzte Frage.
Bei der Konfiguration von pf ab zeile 14:

# NAT von int_if und wlan_if zu ext_if. Die Klammern () um das externe
# interface ext_if bedeuten, dass die IP hier dynamisch ist uns wechseln kann.
match out on $ext_if from ! $ext_if nat-to ($ext_if:0)

Danke.

es wurde von dir kommentiert dass alles von int_if und wlan_if zu ext_if geNATtet wird, aber wo ist dann wlan_if?

 

[midnight]

Verstehe,
vielen Dank fuer die Aufklaerung, nur noch eine letzte Frage.
Bei der Konfiguration von pf ab zeile 14:



Danke.

es wurde von dir kommentiert dass alles von int_if und wlan_if zu ext_if geNATtet wird, aber wo ist dann wlan_if?

Alles was von `! $ext_if' (von NICHT $ext_if) kommt. Das bedeutet lo0 und die subnets von $int_if, $wlan_if -- alles ausser $ext_if. Man haette hier auch jedes subnet einzeln auffuehren koennen oder auch zwei match out Regeln. So ist es aber kuerzer.

 

[littlebit]

stimmt. War nicht direkt in der manpage zu finden aber macht Sinn.

Danke.

 

[littlebit]

Bisher hat hat alles gut funktioniert. Nur beim WLan war ich nicht in der Lage es mit einer Fritzbox3020, konfiguriert als Repeater, die Reichweite zu erhöhen.
Ich habe mögliche Fehler wie WPA2 Schlüssel, MAC-Addresse der eingebauten Ralink überprüft, daran liegt es nicht.
Laut manpage von ral,

Host AP In this mode the driver acts as an access point (base
station) for other cards.

ist die soekris schon in der richtigen Konfiguration. Hat jemand eine Ahnung wo das Problem ist?

Danke.

 

[littlebit]

Hallo Leute,
es ist knapp ein Jahr her dass ich mich wieder melde. Mit der soekris klappt alles super und bin auch sehr zu frieden. Und versuche jetzt einen bind server auf der soekris zu konfigurieren. Erste quellen habe ich im Internet schon angeschaut, wie www.kernel-panic.it was sehr umfangreich ist fuer meine Bedürfnisse.

Was ich machen will ist wie folgt:
1. Ich will für zu Hause meine eigene Domäne haben "home.ger"
2. Auf den verschiedenen NICs wie ral0 und vrX sollen verschiedene sudomänen sein, z.B. für ral0 soll die Domäne "wlan.home.ger" sein. Und bei vr0 soll die Domäne "keller.home.ger" vergeben werden.

Erste Ansätze wie /etc/resolv.conf, /etc/hosts und /etc/dhcpd.conf sind korrekt konfiguriert.
Woran bei mir hakt ist dass ich mein drucker und server, die sich im Keller befinden, erreichen kann.

Das Problem möchte ich von euch nicht mit copy/paste lösen, sondern wäre euch dankbar wenn Ihr mir ein Musterbeispiel zeigt wo jedes NIC seine eigene Ipaddressen mit dem DHCP Server verwaltet und mit der Zusammenarbeit von bind die Namen auflöst.
Wenn Ihr mir eine Troubleshootliste geben könntet die ich abarbeiten kann damit ich den Fehler finde wäre auch super.

Vielen Dank für eure Hilfe im voraus.

 

[kmh]

Hallo littlebit,

du vergibst einen hostname nicht an ein interface(ral0,vrX), sondern an eine IP-Adresse. Die IP-Adresse bindest du dann an ein interface. Ein interface kann mehrere IP-Adressen bedienen.

Das Problem möchte ich von euch nicht mit copy/paste lösen, sondern wäre euch dankbar wenn Ihr mir ein Musterbeispiel zeigt wo jedes NIC seine eigene Ipaddressen mit dem DHCP Server verwaltet und mit der Zusammenarbeit von bind die Namen auflöst.
Wenn Ihr mir eine Troubleshootliste geben könntet die ich abarbeiten kann damit ich den Fehler finde wäre auch super.

Unter http://www.freebsd.org/doc/handbook/network-dhcp.html findest du ein Beispiel für FreeBSD um den DHCP-Server einzurichten.
Unter http://www.freebsd.org/doc/handbook/network-dns.html findest du ein Beispiel für FreeBSD um den bind-Server einzurichten.

Für OpenBSD sollte es quasi genauso aussehen.


Was heißt denn bei dir du kannst deinen Server und Drucker im Keller nicht erreichen? Per IP? Per hostname? Hast du überhaupt einen nameserver laufen der dir die hosts auflöst? Da ansonsten nur deine soekris die hostnames kennt.

 

[littlebit]

Hallo kmh,

erstmals vielen dank für den Link. Ich werde mich erst mal nur auf die Domäne und eine Subdomäne konzentrieren. Wenn dies sauber defeniert ist kann man es abkupfern.

Meine dhcpd.conf ist wie folgt:
option domain-name "home.ger";
option domain-name-servers 10.0.0.1, 8.8.8.8;
subnet 10.0.0.0 netmask 255.255.255.0 {
option routers 10.0.0.1;
option domain-name "keller.home.ger";
range 10.0.0.100 10.0.0.200;
host static-client {
hardware ethernet 22:33:44:55:66:77;
fixed-address 10.0.0.5;
}
}

Fowardlookup für home.ger (db.home.ger):
$TTL 2D
@ IN SOA iris.home.ger. admin.home.ger(
2006032201 ; Serial
8H ; Refresh
2H ; Retry
4W ; Expire
3H ) ; NX (TTL Negativ Cache)

@ IN NS iris.home.ger.
IN A 192.168.1.2

iris.home.ger. IN A 192.168.1.2

gw.keller.home.ger. IN A 10.0.0.1

Reverselookup von der Domäne home.ger (db.0.0.10):
$TTL 2D
@ IN SOA dns.home.ger. admin.home.ger. (
2006032201 ; Serial
8H ; Refresh
2H ; Retry
4W ; Expire
3H ) ; NX (TTL Negativ Cache)

@ IN NS iris.home.ger.
IN A 192.168.1.2

0.1 IN PTR gw.keller.home.ger.
2.1.168.192 IN PTR iris.home.ger.

Vom vielen rumprobieren bin ich mir sicher dass da Fehler sind, also bitte ich um etwas Verständnis.

Vielen Dank im voraus.

 

[kmh]

Ähm du erwartest jetzt aber nicht, dass ich für dich die Fehler in deiner Config suche?! Es wäre einfacher du stellst konkrete Fragen, als einfach nur deine config hier rein zu kopieren.

Wobei mir da ein paar sachen auffallen, die Liste mag unvollständig sein:

option domain-name-servers 10.0.0.1, 8.8.8.8;

Du gibst 2 DNS-Server an?

0.1 IN PTR gw.keller.home.ger.
2.1.168.192 IN PTR iris.home.ger.

Ich habe noch nie einen Reverse-DNS Eintrag verwaltet, aber das sieht, aus dem Bauch heraus, nach Murks aus.

Du hast wahrscheinlich in der named.conf so etwas in der Art stehen:

zone "0.10.IN-ADDR.ARPA" {
	type master;
	file "db.0.0.10";
};

Dann kann das hier auf keinen Fall passen:

IN A 192.168.1.2
[...]
2.1.168.192 IN PTR iris.home.ger.

Du solltest vielleicht erst einmal dich im Netz schlau machen und dir die Dokumentation durchlesen. Es sieht einfach nach einem Durcheinander aus!

 

[mapet]

Hallo kmh,

erstmals vielen dank für den Link. Ich werde mich erst mal nur auf die Domäne und eine Subdomäne konzentrieren. Wenn dies sauber defeniert ist kann man es abkupfern.

Meine dhcpd.conf ist wie folgt:
option domain-name "home.ger";
option domain-name-servers 10.0.0.1, 8.8.8.8;
subnet 10.0.0.0 netmask 255.255.255.0 {
option routers 10.0.0.1;
option domain-name "keller.home.ger";
range 10.0.0.100 10.0.0.200;
host static-client {
hardware ethernet 22:33:44:55:66:77;
fixed-address 10.0.0.5;
}
}

Fowardlookup für home.ger (db.home.ger):
$TTL 2D
@ IN SOA iris.home.ger. admin.home.ger(
2006032201 ; Serial
8H ; Refresh
2H ; Retry
4W ; Expire
3H ) ; NX (TTL Negativ Cache)

@ IN NS iris.home.ger.
IN A 192.168.1.2

iris.home.ger. IN A 192.168.1.2

gw.keller.home.ger. IN A 10.0.0.1

Reverselookup von der Domäne home.ger (db.0.0.10):
$TTL 2D
@ IN SOA dns.home.ger. admin.home.ger. (
2006032201 ; Serial
8H ; Refresh
2H ; Retry
4W ; Expire
3H ) ; NX (TTL Negativ Cache)

@ IN NS iris.home.ger.
IN A 192.168.1.2

0.1 IN PTR gw.keller.home.ger.
2.1.168.192 IN PTR iris.home.ger.

Vom vielen rumprobieren bin ich mir sicher dass da Fehler sind, also bitte ich um etwas Verständnis.

Vielen Dank im voraus.

Wenn du auf verschiedenen Interfaces unterschiedliche Adressen vergeben möchtest, dann musst du mehrere Subnetze, jeweils pro Interface, definieren. Der dhcpd sucht sich dann das entsprechende Subnetz pro Interface raus, bindet sich an die Interfaces, die Netzdeklarationen in der Konfig haben und verteilt die entsprechenden Adressen. Daher braucht man sich um die Interfaceangaben beim Starten selten Gedanken machen, wenn die Konfig sauber ist :

Apr 15 09:38:54 router dhcpd:
Apr 15 09:38:54 router dhcpd: No subnet declaration for re0 (88.152.XXX.XXX).
Apr 15 09:38:54 router dhcpd: ** Ignoring requests on re0. If this is not what
Apr 15 09:38:54 router dhcpd: you want, please write a subnet declaration
Apr 15 09:38:54 router dhcpd: in your dhcpd.conf file for the network segment
Apr 15 09:38:54 router dhcpd: to which interface re0 is attached. **
Apr 15 09:38:54 router dhcpd:

Zum Thema Bind:
http://www.zytrax.com/books/dns/ Das ist sehr umfangreich und zeigt später auch, wie man views konfigurieren kann, mit denen du an unterschiedliche Clients unterschiedliche Adressen rausgibst. Die Reversezone solltest du auch nochmal gründlich überarbeiten. Als kleiner Tipp noch dazu: unterschiedliche Netze, unterschiedliche Zonendaten und A Records werden meistens in Forwardzones verwendet .

 

[littlebit]

@kmh: nein das war nicht meine Absicht. Ich war nur etwas unter Zeitdruck und hatte nicht erwartet dass ich eine schnelle Antwort bekomme da es Sonntag war.
Ist echt ein Geschmiere.

• 
  Zu den interfaces: xl0 wird an mein DSL Modem angeschlossen und hat die ip 192.168.1.2 vr0 bis vr3 haben die IPs 10.0.0.0/24 bis 10.0.3.0/24. Jedes der vrX-Interfaces sind jeweils in einer seperaten subdomäne.
  Ueber xl0 wird alles genattet.

• 
  DHCP Server: Vergibt Ipaddressen auf die Interfaces vr0 bis vr3

• 
  Zur Domäne:
  Die 10.0.x.x ist bei mir ist dann die home.ger Domäne.
  Und die Interfaces haben dann jeweils ihre subdomänen. Hier bin ich mir nicht sicher welche IP ich angeben soll. Ist es die von xl0 oder mache ich für jedes subnetz eine IP (gw.keller.home.ger sprich 10.0.0.1), was mir etwas kompliziert vorkommt.

@makenoob: Danke für den Link, will erstmal kleine Brötchen backen. Und dann schauen wir mal weiter

 

[midnight]

Ich stehe mit bind auf dem Kriegsfuss und nutze daher den nsd(8) auf meinem Soekris net5501 fuer das lokale DNS. Ausserdem nutze ich unbound (noch nicht in base aber die devs arbeiten an eine base Integration) fuer DNS-Abragen und dnssec aus dem Internet. Funktioniert sehr gut, performant und ressourcenschonend. Falls Du mit bind nicht weiter kommst, sag bescheid und ich koennte dir bei nsd und unbound helfen.

 

[littlebit]

Danke midnight für das Angebot, werde darauf zurück kommen. Vielleicht kannst du uns sagen warum du mit bind etwas allergisch bist.
Bind ist hier so gängig wie Apache, obwohl die Konkurenten wie lighthttpd und nginx beser sind wird trotzdem Apache hergenommen, deswegen nehme ich bind.
Ich kann es noch nicht abschätzen ob bind wirklich schwergängig ist für meine Anforderungen für zu Hause.
Aber vom ersten Blick der manpage von nsd, erklärt es sich von selbst.
Mal sehen.

 

[midnight]

Danke midnight für das Angebot, werde darauf zurück kommen. Vielleicht kannst du uns sagen warum du mit bind etwas allergisch bist.
Bind ist hier so gängig wie Apache, obwohl die Konkurenten wie lighthttpd und nginx beser sind wird trotzdem Apache hergenommen, deswegen nehme ich bind.
Ich kann es noch nicht abschätzen ob bind wirklich schwergängig ist für meine Anforderungen für zu Hause.
Aber vom ersten Blick der manpage von nsd, erklärt es sich von selbst.
Mal sehen.

Weil ich scheinbar zu bloed fuer bind bin. :-) Ich habe mir damals zwei dicke Buecher ueber bind gekauft, weil ich das wirklich lernen wollte. Nach dem 1. Drittel des Buches habe ich nichts mehr verstanden und es dann beiseite gelegt. Ich bin kein Fan von copy&paste ohne zu verstehen was ich da mache. Daraum mag ich nsd. Sehr maechtig und schnell und die man-pages reichen um damit was anzufangen. :-)