Soekris wlan box

Dieses Thema im Forum "OpenBSD - Allgemein" wurde erstellt von littlebit, 13 Mai 2012.

  1. littlebit

    littlebit New Member

    Registriert seit:
    13 Mai 2012
    Beiträge:
    15
    Hallo Leute,

    ich habe mir eine soekris 5510 gekauft und habe vor die als wlan AP zu konfigurieren. Neben einer sicheren wlan Verschluesselung (WPA/WPA2) soll die kiste auch als DHCP, DNS und HTTP Proxy (squid) konfiguriert werden.
    Ich habe bis jetzt versucht die grundlegenden Dinge selber zu machen, dabei habe ich mich darauf konzentriert dass es funktioniert aber nicht darauf geachtet dass es sicher ist.
    Meine jetzige Konfiguration ist wie folgt:


    1. Als Wlan habe ich den Hersteller Ralink (RT2561T Chip) gewählt, und besetzt die miniPCI Schnittstelle. Ich habe versucht die Wlankarte mit unter der bridge mit unterzubringen aber ohne einer eigenen IP-Addresse würde ich keine Wlanverbindung mit den Clients aufbauen können, daher habe ich ihr eine eigene IP gegeben und hatte keine Probleme. Neben Notebooks, werden auch 2 bis 3 Repeater über diese Karte verbunden.
      Hier ist der Inhalt der hostname.ral0 Datei:
      Code:
      inet 10.0.0.2
      media autoselect mediaopt hostap nwid mynet chan 1 wpa wpapsk test1234
      up
      

    • Ueber die NICs vr0,vr1,vr2,vr3 sollen vom dhcpd IP Addressen vom Addressraum 10.0.0.0/24 vergeben werden.Dabei dachte ich mir, ich fasse alle NICs unter einer bridge zusammen und verpasse nur ein NIC eine IP wie 10.0.0.1
      Hier ist der Inhalt der hostname.bridge0 Datei:
      Code:
      add vr0
      add vr1
      add vr2
      add vr3
      up
      
      Hier ist der Inhalt der hostname.vr0 Datei:
      Code:
      inet 10.0.0.1 255.255.255.0
      up
      

    • An der PCI Schnittstelle habe ich eine herkoemmliche 3COM (xl0) Netzwerkkarte. Diese Karte soll zur Fritzbox angeschlossen sein, die (Fritzbox) eine DSL-Verbindung aufbaut.
      IP-Addresse dieser Karte ist wie folgt: inet 192.168.1.253 255.255.255.0
      Da diese die NIC die Verbindung zum Internet herstellt muss dann in deren hostname.if Datei die default route defeniert werden.

      Hier ist der Inhalt der hostname.xl0Datei:
      Code:
      inet 192.168.1.200 255.255.255.0 NONE
      !route add default 192.168.1.254
      !route add -net 10.0.0.0/24 10.0.0.1
      !route add -net 192.168.1.0/24 192.168.1.200
      


    • Um NAT zu ermöglichen habe ich diverse Beispiele im Internet gefunden und habe meine Konfiguration (noch nicht ausprobiert) von folgenden Link hergeleitet.
      Fürs erste ist mir ein Nacktes NAT wichtig, und da ich jedes mal die Soekris abstecken muss und sie an der Fritzbox anschließen muss die sich im Keller befindet habe ich es nicht getestet habe, würde ich in diesen Teil um eine kurze Bestätigung bitten ob es funktionieren würde oder nicht.

      Hier ist der Inhalt der pf.conf Datei:
      Code:
      IntNet="10.0.0.0/24" 
      Ext="xl0"             
      Int="vr0" 
      nat on $Ext from $IntNet to any -> $Ext static-port
      
      Und ich habe nicht vergessen "net.inet.ip.forwarding" auf 1 zu setzen.


    Ich vermute dass ich als Anfänger ein paar Sachen entweder umständlich gemacht habe, oder wie der Lügenbaron "zu Gutenberg" Sachen hier und da Kopiert habe, was ich gleich offen und ehrlich zu gebe. :rolleyes:
    Daher wollte ich jeden bitten der sich auskennt, mir zu zeigen wo man es verbessern kann.
    Bind und Squid sind jetzt für das erste auch nicht wichtig.


    Vielen Dank im Voraus an die Community...
  2. midnight

    midnight Member

    Registriert seit:
    1 Januar 2007
    Beiträge:
    117
    Ort:
    Saarlouis
    Ich habe auch eine 5501 als WLAN AP laufen. Funktioniert sehr gut bei mir. Ich schaue heute Abend oder morgen frueh mal in meine configs und vergleiche die mit deinen.
  3. midnight

    midnight Member

    Registriert seit:
    1 Januar 2007
    Beiträge:
    117
    Ort:
    Saarlouis
    Die pf.conf wuerde etwa so aussehen:

    Code:
     1  # cat /etc/pf.conf
     2  ext_if  = "xl0"         # externes Netz: DSL / ppp
     3  int_if  = "vr0"         # internes LAN-Netz
     4  wlan_if = "ral0"        # internes WLAN-Netz
     5
     6  # keine Packet-Filterungen auf lo (loopback-device)
     7  set skip on lo
     8
     9  # Alle eingehenden Pakete "normalisieren".
    10  match in all scrub (no-df max-mss 1440)
    11
    12  # NAT von int_if und wlan_if zu ext_if. Die Klammern () um das externe
    13  # interface ext_if bedeuten, dass die IP hier dynamisch ist uns wechseln kann.
    14  match out on $ext_if from ! $ext_if nat-to ($ext_if:0)
    15
    16  # alles blocken
    17  block all
    18
    19  # Antispoof aktivieren, um eingehende Packete mit gefaelschten IP's zu blocken.
    20  antispoof for lo0
    21  antispoof for { $ext_if, $int_if, $wlan_if } inet
    22
    23  # alles aus ext_if heraus lassen
    24  pass out on $ext_if
    25
    26  # alles vom int_if (aus dem internen LAN-Netz) hereinlassen
    27  pass in on $int_if
    28
    29  # alles vom wlan_if (aus dem internen WLAN-Netz) hereinlassen
    30  pass in on $wlan_if
    31
    32  # SSH-Verbindung Port 22 auf allen Interfaces erlauben. Sollte IMMER
    33  # die letzte Regel sein, damit bei falscher Konfigurationen der Firewall
    34  # immer eine SSH-Verbindung fuer Rettungsmassnahmen aufgebaut werden kann.
    35  pass in inet proto tcp to port 22
    Wenn Du unbedingt eine bridge nutzen moechtest, solltest Du deine config wie folgt abaendern:

    Code:
    1 # cp /etc/hostname.vr0 /etc/hostname.vether0
    2 # cp /etc/hostname.vr{0,1,2,3}{,.orig} && echo "up" > /etc/hostname.vr{0,1,2,3}
    Dann entsprechend `add vether0' noch oben in die /etc/hostname.bridge0 eintragen und auch in der pf.conf vr0 durch vether0 ersetzen.
    Zuletzt bearbeitet: 13 Mai 2012
  4. littlebit

    littlebit New Member

    Registriert seit:
    13 Mai 2012
    Beiträge:
    15
    Vielen Dank midnight,

    was mich auch interessieren wuerde ist die Konfiguration deiner Interfaces.

    Vielen Dank nochmals.

    littlebit
  5. midnight

    midnight Member

    Registriert seit:
    1 Januar 2007
    Beiträge:
    117
    Ort:
    Saarlouis
    vr0 ist hier zu Testzwecken an ein zusaetzliches gateway (hier www.gateway genannt) per dhcp angeschossen. Normalerweise nutze ich fuer sowas statische IP's. Ich habe einfach mal auf die Schnelle eine simple dhcpd.conf als Beispiel erstellt. Hierbei stellt jedes interface IP's per dhcp an die angeschlossenen / per WLAN verbundenen Rechner / Smartphones etc. zur Verfuegung. Ich nutze allerdings keine bridge.

    Code:
    # cat /etc/hostname.vr0
    dhcp
    
    # cat /etc/hostname.vr1
    inet 10.0.0.1 255.255.255.0 NONE
    
    # cat /etc/hostname.vr2
    inet 20.0.0.1 255.255.255.0 NONE
    
    # cat /etc/hostname.vr3
    inet 30.0.0.1 255.255.255.0 NONE
    
    # cat /etc/hostname.athn0
    inet 40.0.0.1 255.255.255.0 NONE media mode 11g mediaopt hostap nwid AABBCC chan 8 wpakey XXYYZZ
    
    # cat /etc/rc.conf.local
    ntpd_flags="-s"
    dhcpd_flags="vr1 vr2 vr3 athn0"
    
    # cat /etc/dhcpd.conf
    option domain-name "www.gateway";
    option domain-name-servers 192.168.199.254;
    
    max-lease-time 43200;
    default-lease-time 43200;
    
    subnet 10.0.0.0 netmask 255.255.255.0 {
            option routers 10.0.0.1;
            range 10.0.0.2 10.0.0.127;
    }
    
    subnet 20.0.0.0 netmask 255.255.255.0 {
            option routers 20.0.0.1;
            range 20.0.0.2 20.0.0.127;
    }
    
    subnet 30.0.0.0 netmask 255.255.255.0 {
            option routers 30.0.0.1;
            range 30.0.0.2 30.0.0.127;
    }
    
    subnet 40.0.0.0 netmask 255.255.255.0 {
            option routers 40.0.0.1;
            range 40.0.0.2 40.0.0.127;
    }
  6. littlebit

    littlebit New Member

    Registriert seit:
    13 Mai 2012
    Beiträge:
    15
    Ist denn die Konfiguration fuer so eine Loesung etwas umstaendlich? Es sei denn du teilst die 4 NICs von der Soekris fuer verschriedene Abteilungen ein die von einander abgeschottet werden sollen.
  7. midnight

    midnight Member

    Registriert seit:
    1 Januar 2007
    Beiträge:
    117
    Ort:
    Saarlouis
    Nein, seit es vether(4) gibt, macht es fuer deine Zwecke keinen Unterschied mehr, ob Du verschiedene subnets nutzt oder eine bridge. Vorher gabs es jedoch oefter Probleme, dass sich die vr(4) devices nach Ausschalten eines angeschlossenen PC's nicht mehr erreichen liessen und erst nach einem Neustart des routers oder nach einem ifconfig down und erneutem up wieder da waren.
  8. littlebit

    littlebit New Member

    Registriert seit:
    13 Mai 2012
    Beiträge:
    15
    Ah ok,
    dann wie wuerde dann die /etc/hostname.vether0 aussehen? Befindet sich darin die ipconfiguration
    "inet 10.0.0.1 255.255.255.0" ?
    Wie sieht denn hostname.vether0 aussehen?

    Und bei der /etc/pf.conf bei folgenden Linie:
    match out on $ext_if from ! $ext_if nat-to ($ext_if:0)

    Zum einen ist ext_if ist bei mir statisch und was bedeutet ":0" ?
    Zuletzt bearbeitet: 14 Mai 2012
  9. midnight

    midnight Member

    Registriert seit:
    1 Januar 2007
    Beiträge:
    117
    Ort:
    Saarlouis
    Habe heute mal wieder auf bridge umkonfiguriert. Hier meine komplette config:
    Code:
    # uname -a
    OpenBSD soekris.gateway 5.1 GENERIC#160 i386
    
    Code:
    # df -h
    Filesystem     Size    Used   Avail Capacity  Mounted on
    /dev/wd0a      1.9G    230M    1.5G    13%    /
    mfs:12576     61.9M    3.1M   55.7M     5%    /var
    mfs:17688      3.4M   32.0K    3.2M     1%    /dev
    
    Code:
    # mount
    /dev/wd0a on / type ffs (local, noatime, read-only)
    mfs:12576 on /var type mfs (asynchronous, local, noexec, nosuid, size=131072 512-blocks)
    mfs:17688 on /dev type mfs (asynchronous, local, noexec, nosuid, size=8192 512-blocks)
    
    Code:
    # cat /etc/hostname.bridge0
    add vether0
    add vr1
    add vr2
    add vr3
    add athn0
    up
    
    Code:
    # cat /etc/hostname.vether0
    inet 10.0.0.1 255.255.255.0 NONE
    inet6 2001::1 64
    
    Hinweis: vr0 ist mein externes interface
    Code:
    # cat /etc/hostname.vr0
    dhcp
    
    # cat /etc/hostname.vr1
    up
    
    # cat /etc/hostname.vr2
    up
    
    # cat /etc/hostname.vr3
    up
    
    # cat /etc/hostname.athn0
    up media mode 11g mediaopt hostap nwid NWID chan 8 wpakey WPAKEY
    
    Code:
    # cat /etc/hosts
    127.0.0.1       localhost
    ::1             localhost
    10.0.0.1        soekris.gateway soekris
    2001::1         soekris.gateway soekris
    
    Code:
    # cat /etc/sysctl.conf
    [snip]
    net.inet.ip.forwarding=1
    net.inet6.ip6.forwarding=1
    [/snip]
    
    Code:
    # cat /etc/pf.conf
    ext_if = "vr0"                          # externes Netz: DSL / ppp
    int_if = "{ vether0, vr1, vr2, vr3 }"   # internes LAN-Netz
    wlan_if = "athn0"                       # internes WLAN-Netz
    
    # keine Packet-Filterungen auf lo (loopback-device)
    set skip on lo
    
    # Alle eingehenden Pakete "normalisieren".
    match in all scrub (no-df max-mss 1440)
    
    # NAT von int_if und wlan_if zu ext_if. Die Klammern () um das externe
    # interface ext_if bedeuten, dass die IP hier dynamisch ist uns wechseln kann.
    match out on $ext_if from ! $ext_if nat-to ($ext_if:0)
    
    # alles blocken
    block all
    
    # Antispoof aktivieren, um eingehende Pakete mit gefaelschten IP's zu blocken.
    antispoof for $int_if
    antispoof for { lo0, $ext_if, $wlan_if }
    
    # alles aus ext_if heraus lassen
    pass out on $ext_if
    
    # alles vom int_if (aus dem internen LAN-Netz) hereinlassen
    pass in on $int_if
    
    # alles vom wlan_if (aus dem internen WLAN-Netz) hereinlassen
    pass in on $wlan_if
    
    # SSH-Verbindung Port 22 auf allen Interfaces erlauben. Sollte IMMER
    # die letzte Regel sein, damit bei falscher Konfigurationen der Firewall
    # immer eine SSH-Verbindung fuer Rettungsmassnahmen aufgebaut werden kann.
    pass in inet proto tcp to port 22
    
    Code:
    # cat /etc/rc.conf.local
    ntpd_flags="-s"
    dhcpd_flags="vether0"
    
    Code:
    # cat /etc/dhcpd.conf
    option  domain-name "www-gateway";
    option  domain-name-servers 192.168.1.1, 8.8.8.8;
    
    max-lease-time 43200;
    default-lease-time 43200;
    
    subnet 10.0.0.0 netmask 255.255.255.0 {
            option routers 10.0.0.1;
            range 10.0.0.2 10.0.0.127;
    }
    
    Code:
    # ifconfig
    lo0: flags=8049<UP,LOOPBACK,RUNNING,MULTICAST> mtu 33196
            priority: 0
            groups: lo
            inet6 ::1 prefixlen 128
            inet6 fe80::1%lo0 prefixlen 64 scopeid 0x7
            inet 127.0.0.1 netmask 0xff000000
    vr0: flags=8843<UP,BROADCAST,RUNNING,SIMPLEX,MULTICAST> mtu 1500
            lladdr 00:00:24:c9:2a:98
            priority: 0
            groups: egress
            media: Ethernet autoselect (100baseTX half-duplex)
            status: active
            inet6 fe80::200:24ff:fec9:2a98%vr0 prefixlen 64 scopeid 0x1
            inet 192.168.1.63 netmask 0xffffff00 broadcast 192.168.1.255
    vr1: flags=8b43<UP,BROADCAST,RUNNING,PROMISC,ALLMULTI,SIMPLEX,MULTICAST> mtu 1500
            lladdr 00:00:24:c9:2a:99
            priority: 0
            media: Ethernet autoselect (none)
            status: no carrier
            inet6 fe80::200:24ff:fec9:2a99%vr1 prefixlen 64 scopeid 0x2
    vr2: flags=8b43<UP,BROADCAST,RUNNING,PROMISC,ALLMULTI,SIMPLEX,MULTICAST> mtu 1500
            lladdr 00:00:24:c9:2a:9a
            priority: 0
            media: Ethernet autoselect (none)
            status: no carrier
            inet6 fe80::200:24ff:fec9:2a9a%vr2 prefixlen 64 scopeid 0x3
    vr3: flags=8b43<UP,BROADCAST,RUNNING,PROMISC,ALLMULTI,SIMPLEX,MULTICAST> mtu 1500
            lladdr 00:00:24:c9:2a:9b
            priority: 0
            media: Ethernet autoselect (none)
            status: no carrier
            inet6 fe80::200:24ff:fec9:2a9b%vr3 prefixlen 64 scopeid 0x4
    athn0: flags=8943<UP,BROADCAST,RUNNING,PROMISC,SIMPLEX,MULTICAST> mtu 1500
            lladdr 00:0c:42:65:cb:5d
            priority: 4
            groups: wlan
            media: IEEE802.11 autoselect mode 11g hostap
            status: active
            ieee80211: nwid NWID chan 8 bssid 00:0c:42:65:cb:5d wpakey 0x9cc241a6314dfc5f447166e07335f8bacf1322d5abfc676c702a2ddad6fa3621 wpaprotos wpa1,wpa2 wpaakms psk wpaciphers tkip,ccmp wpagroupcipher tkip
            inet6 fe80::20c:42ff:fe65:cb5d%athn0 prefixlen 64 scopeid 0x5
    enc0: flags=0<>
            priority: 0
            groups: enc
            status: active
    vether0: flags=8943<UP,BROADCAST,RUNNING,PROMISC,SIMPLEX,MULTICAST> mtu 1500
            lladdr fe:e1:ba:d0:93:97
            priority: 0
            groups: vether
            media: Ethernet autoselect
            status: active
            inet 10.0.0.1 netmask 0xffffff00 broadcast 10.0.0.255
            inet6 fe80::fce1:baff:fed0:9397%vether0 prefixlen 64 scopeid 0x8
            inet6 2001::1 prefixlen 64
    bridge0: flags=41<UP,RUNNING>
            groups: bridge
            priority 32768 hellotime 2 fwddelay 15 maxage 20 holdcnt 6 proto rstp
            athn0 flags=3<LEARNING,DISCOVER>
                    port 5 ifpriority 0 ifcost 0
            vr3 flags=3<LEARNING,DISCOVER>
                    port 4 ifpriority 0 ifcost 0
            vr2 flags=3<LEARNING,DISCOVER>
                    port 3 ifpriority 0 ifcost 0
            vr1 flags=3<LEARNING,DISCOVER>
                    port 2 ifpriority 0 ifcost 0
            vether0 flags=3<LEARNING,DISCOVER>
                    port 8 ifpriority 0 ifcost 0
    pflog0: flags=141<UP,RUNNING,PROMISC> mtu 33196
            priority: 0
            groups: pflog
    
    Zuletzt bearbeitet: 14 Mai 2012
  10. midnight

    midnight Member

    Registriert seit:
    1 Januar 2007
    Beiträge:
    117
    Ort:
    Saarlouis
    PF.CONF(5)
    :0 Do not include interface aliases.

    Du kannst die Klammer ruhig lassen, sie aber auch entfernen wenn sich deine IP nicht aendert.
  11. midnight

    midnight Member

    Registriert seit:
    1 Januar 2007
    Beiträge:
    117
    Ort:
    Saarlouis
    Es sollte eigentlich reichen, wenn Du folgendes in deiner /etc/hostname.xl0 hast:

    Code:
    inet 192.168.1.200 255.255.255.0 NONE
    
    und folgendes in deiner /etc/mygate
    Code:
    192.168.1.254
    
  12. midnight

    midnight Member

    Registriert seit:
    1 Januar 2007
    Beiträge:
    117
    Ort:
    Saarlouis
    Ein fuer mich grosser Nachteil von bridge und einige der Gruende, warum ich diese generell unter OpenBSD vermeide:

    pf.conf(5)
    Code:
    [...]
    Options returning ICMP packets currently have no effect if pf(4)
    operates on a bridge(4), as the code to support this feature has
    not yet been implemented.
    [...]
    Rules with synproxy will not work if pf(4) operates on a bridge(4).
    [...]
  13. littlebit

    littlebit New Member

    Registriert seit:
    13 Mai 2012
    Beiträge:
    15
    Verstehe,
    vielen Dank fuer die Aufklaerung, nur noch eine letzte Frage.
    Bei der Konfiguration von pf ab zeile 14:

    Danke.

    es wurde von dir kommentiert dass alles von int_if und wlan_if zu ext_if geNATtet wird, aber wo ist dann wlan_if?
  14. midnight

    midnight Member

    Registriert seit:
    1 Januar 2007
    Beiträge:
    117
    Ort:
    Saarlouis
    Alles was von `! $ext_if' (von NICHT $ext_if) kommt. Das bedeutet lo0 und die subnets von $int_if, $wlan_if -- alles ausser $ext_if. Man haette hier auch jedes subnet einzeln auffuehren koennen oder auch zwei match out Regeln. So ist es aber kuerzer.
    Zuletzt bearbeitet: 16 Mai 2012
  15. littlebit

    littlebit New Member

    Registriert seit:
    13 Mai 2012
    Beiträge:
    15
    stimmt. War nicht direkt in der manpage zu finden aber macht Sinn.

    Danke.
  16. littlebit

    littlebit New Member

    Registriert seit:
    13 Mai 2012
    Beiträge:
    15
    Bisher hat hat alles gut funktioniert. Nur beim WLan war ich nicht in der Lage es mit einer Fritzbox3020, konfiguriert als Repeater, die Reichweite zu erhöhen.
    Ich habe mögliche Fehler wie WPA2 Schlüssel, MAC-Addresse der eingebauten Ralink überprüft, daran liegt es nicht.
    Laut manpage von ral,
    ist die soekris schon in der richtigen Konfiguration. Hat jemand eine Ahnung wo das Problem ist?

    Danke.
  17. littlebit

    littlebit New Member

    Registriert seit:
    13 Mai 2012
    Beiträge:
    15
    Hallo Leute,
    es ist knapp ein Jahr her dass ich mich wieder melde. Mit der soekris klappt alles super und bin auch sehr zu frieden. Und versuche jetzt einen bind server auf der soekris zu konfigurieren. Erste quellen habe ich im Internet schon angeschaut, wie www.kernel-panic.it was sehr umfangreich ist fuer meine Bedürfnisse.

    Was ich machen will ist wie folgt:
    1. Ich will für zu Hause meine eigene Domäne haben "home.ger"
    2. Auf den verschiedenen NICs wie ral0 und vrX sollen verschiedene sudomänen sein, z.B. für ral0 soll die Domäne "wlan.home.ger" sein. Und bei vr0 soll die Domäne "keller.home.ger" vergeben werden.

    Erste Ansätze wie /etc/resolv.conf, /etc/hosts und /etc/dhcpd.conf sind korrekt konfiguriert.
    Woran bei mir hakt ist dass ich mein drucker und server, die sich im Keller befinden, erreichen kann.

    Das Problem möchte ich von euch nicht mit copy/paste lösen, sondern wäre euch dankbar wenn Ihr mir ein Musterbeispiel zeigt wo jedes NIC seine eigene Ipaddressen mit dem DHCP Server verwaltet und mit der Zusammenarbeit von bind die Namen auflöst.
    Wenn Ihr mir eine Troubleshootliste geben könntet die ich abarbeiten kann damit ich den Fehler finde wäre auch super.

    Vielen Dank für eure Hilfe im voraus.
    Zuletzt bearbeitet: 14 April 2013
  18. kmh

    kmh Member

    Registriert seit:
    7 Juni 2004
    Beiträge:
    249
    Ort:
    Paderborn
    Hallo littlebit,

    du vergibst einen hostname nicht an ein interface(ral0,vrX), sondern an eine IP-Adresse. Die IP-Adresse bindest du dann an ein interface. Ein interface kann mehrere IP-Adressen bedienen.

    Unter http://www.freebsd.org/doc/handbook/network-dhcp.html findest du ein Beispiel für FreeBSD um den DHCP-Server einzurichten.
    Unter http://www.freebsd.org/doc/handbook/network-dns.html findest du ein Beispiel für FreeBSD um den bind-Server einzurichten.

    Für OpenBSD sollte es quasi genauso aussehen.


    Was heißt denn bei dir du kannst deinen Server und Drucker im Keller nicht erreichen? Per IP? Per hostname? Hast du überhaupt einen nameserver laufen der dir die hosts auflöst? Da ansonsten nur deine soekris die hostnames kennt.
  19. littlebit

    littlebit New Member

    Registriert seit:
    13 Mai 2012
    Beiträge:
    15
    Hallo kmh,

    erstmals vielen dank für den Link. Ich werde mich erst mal nur auf die Domäne und eine Subdomäne konzentrieren. Wenn dies sauber defeniert ist kann man es abkupfern.

    Meine dhcpd.conf ist wie folgt:
    option domain-name "home.ger";
    option domain-name-servers 10.0.0.1, 8.8.8.8;
    subnet 10.0.0.0 netmask 255.255.255.0 {
    option routers 10.0.0.1;
    option domain-name "keller.home.ger";
    range 10.0.0.100 10.0.0.200;
    host static-client {
    hardware ethernet 22:33:44:55:66:77;
    fixed-address 10.0.0.5;
    }
    }


    Fowardlookup für home.ger (db.home.ger):
    $TTL 2D
    @ IN SOA iris.home.ger. admin.home.ger(
    2006032201 ; Serial
    8H ; Refresh
    2H ; Retry
    4W ; Expire
    3H ) ; NX (TTL Negativ Cache)

    @ IN NS iris.home.ger.
    IN A 192.168.1.2

    iris.home.ger. IN A 192.168.1.2

    gw.keller.home.ger. IN A 10.0.0.1


    Reverselookup von der Domäne home.ger (db.0.0.10):
    $TTL 2D
    @ IN SOA dns.home.ger. admin.home.ger. (
    2006032201 ; Serial
    8H ; Refresh
    2H ; Retry
    4W ; Expire
    3H ) ; NX (TTL Negativ Cache)

    @ IN NS iris.home.ger.
    IN A 192.168.1.2

    0.1 IN PTR gw.keller.home.ger.
    2.1.168.192 IN PTR iris.home.ger.


    Vom vielen rumprobieren bin ich mir sicher dass da Fehler sind, also bitte ich um etwas Verständnis.

    Vielen Dank im voraus.
  20. kmh

    kmh Member

    Registriert seit:
    7 Juni 2004
    Beiträge:
    249
    Ort:
    Paderborn
    Ähm du erwartest jetzt aber nicht, dass ich für dich die Fehler in deiner Config suche?! Es wäre einfacher du stellst konkrete Fragen, als einfach nur deine config hier rein zu kopieren.

    Wobei mir da ein paar sachen auffallen, die Liste mag unvollständig sein:

    Code:
    option domain-name-servers 10.0.0.1, 8.8.8.8;
    Du gibst 2 DNS-Server an?

    Code:
    0.1 IN PTR gw.keller.home.ger.
    2.1.168.192 IN PTR iris.home.ger.
    Ich habe noch nie einen Reverse-DNS Eintrag verwaltet, aber das sieht, aus dem Bauch heraus, nach Murks aus.

    Du hast wahrscheinlich in der named.conf so etwas in der Art stehen:

    Code:
    zone "0.10.IN-ADDR.ARPA" {
    	type master;
    	file "db.0.0.10";
    };
    Dann kann das hier auf keinen Fall passen:

    Code:
    IN A 192.168.1.2
    [...]
    2.1.168.192 IN PTR iris.home.ger.
    Du solltest vielleicht erst einmal dich im Netz schlau machen und dir die Dokumentation durchlesen. Es sieht einfach nach einem Durcheinander aus!
    Zuletzt bearbeitet: 14 April 2013
  21. makenoob

    makenoob Active OpenBSD User

    Registriert seit:
    5 Januar 2007
    Beiträge:
    1.379
    Ort:
    /Germany/Düsseldorf
    Wenn du auf verschiedenen Interfaces unterschiedliche Adressen vergeben möchtest, dann musst du mehrere Subnetze, jeweils pro Interface, definieren. Der dhcpd sucht sich dann das entsprechende Subnetz pro Interface raus, bindet sich an die Interfaces, die Netzdeklarationen in der Konfig haben und verteilt die entsprechenden Adressen. Daher braucht man sich um die Interfaceangaben beim Starten selten Gedanken machen, wenn die Konfig sauber ist ;):

    Zum Thema Bind:
    http://www.zytrax.com/books/dns/ Das ist sehr umfangreich und zeigt später auch, wie man views konfigurieren kann, mit denen du an unterschiedliche Clients unterschiedliche Adressen rausgibst. Die Reversezone solltest du auch nochmal gründlich überarbeiten. Als kleiner Tipp noch dazu: unterschiedliche Netze, unterschiedliche Zonendaten und A Records werden meistens in Forwardzones verwendet ;).
  22. littlebit

    littlebit New Member

    Registriert seit:
    13 Mai 2012
    Beiträge:
    15
    @kmh: nein das war nicht meine Absicht. Ich war nur etwas unter Zeitdruck und hatte nicht erwartet dass ich eine schnelle Antwort bekomme da es Sonntag war.
    Ist echt ein Geschmiere. :D

    • Zu den interfaces: xl0 wird an mein DSL Modem angeschlossen und hat die ip 192.168.1.2 vr0 bis vr3 haben die IPs 10.0.0.0/24 bis 10.0.3.0/24. Jedes der vrX-Interfaces sind jeweils in einer seperaten subdomäne.
      Ueber xl0 wird alles genattet.

    • DHCP Server: Vergibt Ipaddressen auf die Interfaces vr0 bis vr3

    • Zur Domäne:
      Die 10.0.x.x ist bei mir ist dann die home.ger Domäne.
      Und die Interfaces haben dann jeweils ihre subdomänen. Hier bin ich mir nicht sicher welche IP ich angeben soll. Ist es die von xl0 oder mache ich für jedes subnetz eine IP (gw.keller.home.ger sprich 10.0.0.1), was mir etwas kompliziert vorkommt.

    @makenoob: Danke für den Link, will erstmal kleine Brötchen backen. Und dann schauen wir mal weiter ;)
    Zuletzt bearbeitet: 15 April 2013
  23. midnight

    midnight Member

    Registriert seit:
    1 Januar 2007
    Beiträge:
    117
    Ort:
    Saarlouis
    Ich stehe mit bind auf dem Kriegsfuss und nutze daher den nsd(8) auf meinem Soekris net5501 fuer das lokale DNS. Ausserdem nutze ich unbound (noch nicht in base aber die devs arbeiten an eine base Integration) fuer DNS-Abragen und dnssec aus dem Internet. Funktioniert sehr gut, performant und ressourcenschonend. Falls Du mit bind nicht weiter kommst, sag bescheid und ich koennte dir bei nsd und unbound helfen.
  24. littlebit

    littlebit New Member

    Registriert seit:
    13 Mai 2012
    Beiträge:
    15
    Danke midnight für das Angebot, werde darauf zurück kommen. Vielleicht kannst du uns sagen warum du mit bind etwas allergisch bist.
    Bind ist hier so gängig wie Apache, obwohl die Konkurenten wie lighthttpd und nginx beser sind wird trotzdem Apache hergenommen, deswegen nehme ich bind.
    Ich kann es noch nicht abschätzen ob bind wirklich schwergängig ist für meine Anforderungen für zu Hause.
    Aber vom ersten Blick der manpage von nsd, erklärt es sich von selbst.
    Mal sehen.
  25. midnight

    midnight Member

    Registriert seit:
    1 Januar 2007
    Beiträge:
    117
    Ort:
    Saarlouis
    Weil ich scheinbar zu bloed fuer bind bin. :-) Ich habe mir damals zwei dicke Buecher ueber bind gekauft, weil ich das wirklich lernen wollte. Nach dem 1. Drittel des Buches habe ich nichts mehr verstanden und es dann beiseite gelegt. Ich bin kein Fan von copy&paste ohne zu verstehen was ich da mache. Daraum mag ich nsd. Sehr maechtig und schnell und die man-pages reichen um damit was anzufangen. :-)