bsd named pppoe tdsl again

[ydab]

Hi @all

bin gerade mit installieren/konfigurieren von einem freebsd 6.0 system beschäftigt.
soll mal unseren linux server ersetzen.

die verbindung zu t-online (t-dsl) wurde unter dieser anleitung gemacht:
http://www.ruhr.de/home/nathan/FreeBSD/tdsl-freebsd.html

dabei ist folgendes problem aufgetreten:

PPPoE funzt, mit ping kann ich heise.de, google usw. erreichen (kein X11, nur konsole, also auch kein browser da).

zugriff von anderen rechnern des lan's geht aber immer noch nicht.

dazu stören mich folgende zeilen in /etc/rc.conf:
named_enable="YES" #ist noch ok
named_flags="-u bind -g bind" # '-g bind' ?! wieso? wozu?

laut man ist '-u' flag - user angabe. ist hier 'bind' angebracht? '-g' ist die ausführung im vordergrund - wozu ist es da? wieso steht 'bind' dahinter wenn '-g' nix weiter erwartet?

ach ja, der script(aus dem text) wird anscheinend auch nicht richtig (oder garnicht) ausgeführt, sowohl mit 'top' als auch in /var/run sind ipfw und natd nicht zu entdecken

kernel hab ich nicht angefasst(trotz des hinweises im tutorial), da der artikel für viel ältere bsd versionen geschrieben wurde -ist das mein fehler?

gehören diese zeilen wirklich in /etc/rc.firewall ? oder doch /etc/rc.conf?

firewall_enable="YES"
firewall_script="/usr/local/etc/no.firewall"
firewall_logging="YES"

wenn ja. soll ich restlichen inhalt der datei behalten oder entfernen?

langsam aber sicher verzweifle ich

ein dank im voraus
ydab

p.s. bin absoluter anfänger was unix angeht

 

[cheasy]

bin gerade mit installieren/konfigurieren von einem freebsd 6.0 system beschäftigt. soll mal unseren linux server ersetzen.

Selber hi. Ordentliche Groß-/Kleinschreinung erhöht übrigens die Antwortwahrscheinlichkeit.

die verbindung zu t-online (t-dsl) wurde unter dieser anleitung gemacht:
http://www.ruhr.de/home/nathan/FreeBSD/tdsl-freebsd.html
dabei ist folgendes problem aufgetreten:

PPPoE funzt, mit ping kann ich heise.de, google usw. erreichen (kein X11, nur konsole, also auch kein browser da).

zugriff von anderen rechnern des lan's geht aber immer noch nicht.

Wie ist named konfiguriert? Was sagt nslookup auf einem der LAN-Clients? Welcher DNS-Server ist auf den LAN-CLients konfiguriert?

dazu stören mich folgende zeilen in /etc/rc.conf:
named_enable="YES" #ist noch ok
named_flags="-u bind -g bind" # '-g bind' ?! wieso? wozu?

laut man ist '-u' flag - user angabe. ist hier 'bind' angebracht?

Ja.

'-g' ist die ausführung im vordergrund - wozu ist es da? wieso steht 'bind' dahinter wenn '-g' nix weiter erwartet?

Gute Frage.

ach ja, der script(aus dem text) wird anscheinend auch nicht richtig (oder garnicht) ausgeführt, sowohl mit 'top' als auch in /var/run sind ipfw und natd nicht zu entdecken

IPFW und NATD sind Kernel-Module, keine Programme.

kernel hab ich nicht angefasst(trotz des hinweises im tutorial), da der artikel für viel ältere bsd versionen geschrieben wurde -ist das mein fehler?

Nein.

gehören diese zeilen wirklich in /etc/rc.firewall ? oder doch /etc/rc.conf?

firewall_enable="YES"
firewall_script="/usr/local/etc/no.firewall"
firewall_logging="YES"

wenn ja. soll ich restlichen inhalt der datei behalten oder entfernen?

Ein Blick in man rc.conf sollte dies beantworten.

RTFM

 

[asg]

Hi @all
PPPoE funzt, mit ping kann ich heise.de, google usw. erreichen (kein X11, nur konsole, also auch kein browser da).

zugriff von anderen rechnern des lan's geht aber immer noch nicht.

Was geht nicht? Kannst Du von den Rechner im LAN die IP von heise.de anpingen? Welches default Gateway haben diese eingetragen? Ist in der /etc/rc.conf Deiner BSD Kiste das gateway auf "enable" gesetzt?

dazu stören mich folgende zeilen in /etc/rc.conf:
named_enable="YES" #ist noch ok
named_flags="-u bind -g bind" # '-g bind' ?! wieso? wozu?
laut man ist '-u' flag - user angabe. ist hier 'bind' angebracht? '-g' ist die ausführung im vordergrund - wozu ist es da? wieso steht 'bind' dahinter wenn '-g' nix weiter erwartet?

Schau Dir mal /etc/default/rc.conf an (dort aber NICHTS ändern).
Was stteh da? Genau:

named_flags="-u bind"

ach ja, der script(aus dem text) wird anscheinend auch nicht richtig (oder garnicht) ausgeführt, sowohl mit 'top' als auch in /var/run sind ipfw und natd nicht zu entdecken

Ich habe keine Lust zig links zu folgen und zu suchen, also was steht in dem Script?

gehören diese zeilen wirklich in /etc/rc.firewall ? oder doch /etc/rc.conf?

firewall_enable="YES"
firewall_script="/usr/local/etc/no.firewall"
firewall_logging="YES"

In die /etc/rc.conf.
Wie wäre es auf die FW zu verzichten und erstmal zu testen ob alles geht. Ob die Büchsen im LAN auch rauskommen. Erst danach mit der FW anfangen.

p.s. bin absoluter anfänger was unix angeht

Dann solltest Du JETZT damit anfangen das FreeBSD handbook zu lesen.

 

[ydab]

Selber hi. Ordentliche Groß-/Kleinschreinung erhöht übrigens die Antwortwahrscheinlichkeit.

Danke für den Tip.

Wie ist named konfiguriert? Was sagt nslookup auf einem der LAN-Clients? Welcher DNS-Server ist auf den LAN-CLients konfiguriert?

Auf den LAN-Clients soll die IP von dem FreeBSD-Server als DNS-Serv. configuriert werden.

named:
forwarders 194.25.2.129 // ip auf T-Online DNS-Server geändert
query-source address * port 53 // Komentar gelöscht

soll ich ganzes named.conf posten?

named funzt anscheinend richtig, da nirgendwo sonst ip DNS-Servers eingetragen ist.

IPFW und NATD sind Kernel-Module, keine Programme.

Wie kann ich rausfinden das die Beiden richtig gestartet sind?
tcpmssd ist ein Programm, und sollte doch auch im Script gestartet werden.

soll ich rc.conf posten?

RTFM

Das Handbuch hab ich schon auf En, De, und Ru gelesen. Nun genau dieser Artikel ist nichts wert...

mfg.
ydab

 

[ydab]

Was geht nicht? Kannst Du von den Rechner im LAN die IP von heise.de anpingen?

anpingen-geht, mit IPs der Webseiten zu surfen-geht. Mit 'www.blah.bla' zu surfen geht nicht... (sorry das ich das nicht früher erwähnt habe)

Welches default Gateway haben diese eingetragen?

den FreeBSD-Server(der gerade "gemacht" wird)

Ist in der /etc/rc.conf Deiner BSD Kiste das gateway auf "enable" gesetzt?

yepp.

Schau Dir mal /etc/default/rc.conf an (dort aber NICHTS ändern).
Was stteh da? Genau:

named_flags="-u bind"

du meinst /etc/defaultS/rc.conf ?

Ich habe keine Lust zig links zu folgen und zu suchen, also was steht in dem Script?

Auszug aus dem Text:

Jetzt muß noch ein minimaler Firewall konfiguriert werden. Dieser hat nicht die Aufgabe, das System abzusichern (dazu können auch weiterhin die Filter von ppp(8) dienen), sondern er soll nur die Pakete für die ADSL-Strecke durch natd(8) und tcpmssd(8) schicken. Vorher muß natürlich noch der tcpmssd(8) gestartet werden, sonst landen alle Pakete in der Tonne statt bei der Telekom oder T-Online.

Die einfachste Variante dafür ist ein kleines Shellscript, das alle diese Schritte erledigt. Dazu dient normalerweise /etc/rc.firewall, dieses Script muß jetzt durch eine Variante ersetzt werden, die den tcpmssd(8) startet und dann die passenden Regeln erzeugt. Dazu müssen die folgenden Einträge in die /etc/rc.firewall aufgenommen werden:

firewall_enable="YES"
firewall_script="/usr/local/etc/no.firewall"
firewall_logging="YES"


Der dritte Schritt ist die Erzeugung des Scripts, das die eigentliche Arbeit erledigt. Hier ist die Minimalversion, die keinen Schutz bietet:

############
# Minimal-Konfiguration für die Einbindung von tcpmssd und natd via ipfw
# Dieses Script bietet keinerlei Schutz vor Angreifern!
# Grundlage: src/etc/rc.firewall,v 1.37

# Konfigurationsdateien laden
if [ -r /etc/defaults/rc.conf ]; then
. /etc/defaults/rc.conf
source_rc_confs
elif [ -r /etc/rc.conf ]; then
. /etc/rc.conf
fi

############
# Defaults setzen, falls nicht passiert
tcpmssd_program=${tcpmssd_program:-/usr/local/bin/tcpmssd}
tcpmssd_port=${tcpmssd_port:-1234}
tcpmssd_mtu=${tcpmssd_mtu:-1492}
tcpmssd_interface=${tcpmssd_interface:-tun0}
tcpmssd_flags="-m ${tcpmssd_mtu} -p ${tcpmssd_port}"

############
# Set quiet mode if requested
#
case ${firewall_quiet} in
[Yy][Ee][Ss])
fwcmd="/sbin/ipfw -q"
;;
*)
fwcmd="/sbin/ipfw"
;;
esac

############
# tcpmssd starten
${tcpmssd_program} ${tcpmssd_flags}

############
# natd eintragen, falls erwünscht
case ${natd_enable} in
[Yy][Ee][Ss])
if [ -n "${natd_interface}" ]; then
${fwcmd} add 50 divert natd all from any to any \
via ${natd_interface}
fi
;;
esac

############
# tcpmssd auf jeden Fall eintragen
${fwcmd} add 51 divert ${tcpmssd_port} tcp from any to any \
via ${tcpmssd_interface} setup

############
# Minimalkonfiguration, entspricht firewall-type="open"
${fwcmd} add 100 pass all from any to any via lo0
${fwcmd} add 200 deny all from any to 127.0.0.0/8
${fwcmd} add 65000 pass all from any to any


Das Script als /usr/local/etc/no.firewall abspeichern. Nochmals alle Setting kontrollieren und dann booten.

Wie wäre es auf die FW zu verzichten und erstmal zu testen ob alles geht. Ob die Büchsen im LAN auch rauskommen. Erst danach mit der FW anfangen.

Mit FW hab ich mich auseinandergesezt nur wegen tcpmssd, wie es im Text gesagt wurde.(deswegen hab ich ja den link gepostet (auf den ich per handbook kekommen bin), damit hier verstanden wird, was ich so mache und welche einstellungen ich vorgenommen habe)

Ohne ging es auch nicht.
also ohne tcpmssd, ohne natd (ppp_nat wurde stattdessen benutzt), ohne firewall...

Dann solltest Du JETZT damit anfangen das FreeBSD handbook zu lesen.

[/QUOTE]

Ach wirklich?! ich dachte Handbücher sind nur so da, damit die Leutchen was schreiben und im Internet posten können...

@ALL Ich lese viel lieber FMs als die Foren, die sind genauer und schneller.
Also kommt mir nicht mit "RTFM". Obwohl links auf Tutorials, Artikel etc. erwünscht sind.

 

[asg]

Du sagst Dein namesever rennt anscheinend. Aber die Clients können nur via IP auf eine Seite connecten. Also stimmt da was nicht.
Was sagt das log zu named?
Es liegt dann augenscheinlich nicht an der FW oder anderem, sondern nur an der Namensauflösung. Trage doch bei Clients mal den Nameserver Deines ISP ein, dann sollte es auch mit der Auflösung funktionieren. Danach musst Du nur noch sehen das der named richtig konfiguriert ist und was dieser evtl. ins log schreibt.

 

[ydab]

was der Log sagt kann ich im zur Zeit nicht sagen.

wenn mit ISP Internet Service Provider gemeint ist, so ist es eine Lösung die recht unangenehm ist. Ich würde das nur im absolutem notfall benutzen.
(die IPs der LAN-(DNS)-Server in mehreren WGs sind gleich, also müssen die laptops nicht ständig umkonfiguriert werden).
Außerdem was Linux kann, kann BSD schon lange, oder?

Also das Ziel ist : ein FreeBSD-Server, der einen angenehmen zugang zum Internet bietet, ftpd laufen hat, aMule(oder änliches) per WebInterface zugänglich macht, ne Firewall hat, Samba, später Apache(maybe). Außerdem wäre es schön wenn die Verbindungen unterschiedliche Priorität haben könnten...

mfg

P.S. wie siehts mit dem Text aus? ist die tcpmssd lösung noch aktuell? gibt es andere gute Artikel zum Thema?
soll ich vieleicht die conf dateien posten?
finde ich vom client aus wieso die Namensauflösung nicht funzt?
wo finde ich was zu named.conf(man hilft mir nich wirklich weiter)

 

[MrFixit]

Was tcpmssd sein soll, weiss ich zwar nicht, fuer T-DSL brauchst du das aber garantiert nicht. Auch auf natd(8) (ist uebrigens ein Prozess, kein Kernelmodul) wuerde ich verzichten, und das NAT von ppp(8) selbst machen lassen.

Lass den Paketfilter erstmal komplett aussen vor, das erschwert nur die Suche, und wenn du NAT ueber ppp machst, dann kannst du spaeter eh alle drei Paketfilter nach belieben austauschen (mit NAT im PF ist das immer so ne Sache ...)

Dann wollen wir mal: Welche DNS ist auf dem Router in /etc/resolv.conf eingetragen? Da sollte 127.0.0.1 stehen, schliesslich willst du nen caching named. Dann probierst du mal 'nslookup www.heise.de 127.0.0.1', wenn das nicht klappt verbosity/debug_level von named hochschrauben und gucken wo's haengt.

Erst wenn alles ohne PF klappt, kannst du dich dranmachen einen Step-by-Step zu erstellen.

 

[ydab]

Was tcpmssd sein soll, weiss ich zwar nicht, fuer T-DSL brauchst du das aber garantiert nicht.

dafür liebe ich foren

die verbindung zu t-online (t-dsl) wurde unter dieser anleitung gemacht:
http://www.ruhr.de/home/nathan/FreeB...l-freebsd.html

Auch auf natd(8) (ist uebrigens ein Prozess, kein Kernelmodul) wuerde ich verzichten, und das NAT von ppp(8) selbst machen lassen.
Lass den Paketfilter erstmal komplett aussen vor, das erschwert nur die Suche, und wenn du NAT ueber ppp machst, dann kannst du spaeter eh alle drei Paketfilter nach belieben austauschen (mit NAT im PF ist das immer so ne Sache ...)

Mit FW hab ich mich auseinandergesezt nur wegen tcpmssd, wie es im Text gesagt wurde.(deswegen hab ich ja den link gepostet (auf den ich per handbook kekommen bin), damit hier verstanden wird, was ich so mache und welche einstellungen ich vorgenommen habe)

Ohne ging es auch nicht.
also ohne tcpmssd, ohne natd (ppp_nat wurde stattdessen benutzt), ohne firewall...

Dann wollen wir mal: Welche DNS ist auf dem Router in /etc/resolv.conf eingetragen? Da sollte 127.0.0.1 stehen, schliesslich willst du nen caching named.

yepp

Dann probierst du mal 'nslookup www.heise.de 127.0.0.1', wenn das nicht klappt verbosity/debug_level von named hochschrauben und gucken wo's haengt.

werds versuchen

 

[ydab]

Also nochmal.

das steht in /etc/resolv.conf

nameserver 127.0.0.1

/etc/rc.conf

keymap="german.cp850"

#network
hostname=bn_server
#defaultrouter="127.0.0.1"

#routing
gateway_enable="YES"

#DNS - named
named_enable="YES"
named_flags="-u bind"

#inetd deamon
#inetd_enable="YES"

#nforce - local network
ifconfig_nve0_name="lan"
ifconfig_lan="inet 192.168.0.47 netmask 255.255.255.0 up"

#realtek - internet
ifconfig_rl0_name="www"
ifconfig_www="up" # is configured by PPPoE in ppp.conf

#DSL-PPPoE
ppp_enable="YES"
ppp_mode="ddial"
ppp_profile="tdsl"
ppp_nat="NO"

#named
natd_enable="YES"
natd_interface="tun0" #tun0 is created by PPPoE
natd_flags="-dynamic -l"

/etc/ppp/ppp.conf

default:
tdsl:
	set device PPPoE:www # or rl0
	set MTU 1492
	set MRU 1492
	set dial
	set crtscts off
	set speed sync
	accept lqr
	disable deflate
	disable pred1
	disable vjcomp
	disable acfcomp
	disable protocomp
	enable mssfixup
#	enable dns
#	nat enable yes
	set log Phase LCP IPCP CCP Warning Error Alert
	set ifaddr 10.0.0.1/0 10.0.0.2/0 0.0.0.0 0.0.0.0
	add default HISADDR
	set login
	set authname "blah"
	set authkey "blah"

/etc/namedb/named.conf
soll ich listen-on "{ 127.0.0.1; };" auskommentieren?

// $FreeBSD: src/etc/namedb/named.conf,v 1.21.2.1 2005/09/10 08:27:27 dougb Exp $
//
// Refer to the named.conf(5) and named(8) man pages, and the documentation
// in /usr/share/doc/bind9 for more details.
//
// If you are going to set up an authoritative server, make sure you
// understand the hairy details of how DNS works.  Even with
// simple mistakes, you can break connectivity for affected parties,
// or cause huge amounts of useless Internet traffic.

options {
	directory	"/etc/namedb";
	pid-file	"/var/run/named/pid";
	dump-file	"/var/dump/named_dump.db";
	statistics-file	"/var/stats/named.stats";

// If named is being used only as a local resolver, this is a safe default.
// For named to be accessible to the network, comment this option, specify
// the proper IP address, or delete this option.
	listen-on	{ 127.0.0.1; };

// If you have IPv6 enabled on this system, uncomment this option for
// use as a local resolver.  To give access to the network, specify
// an IPv6 address, or the keyword "any".
//	listen-on-v6	{ ::1; };

// In addition to the "forwarders" clause, you can force your name
// server to never initiate queries of its own, but always ask its
// forwarders only, by enabling the following line:
//
//      forward only;

// If you've got a DNS server around at your upstream provider, enter
// its IP address here, and enable the line below.  This will make you
// benefit from its cache, thus reduce overall DNS traffic in the Internet.
/**/
	forwarders {
		194.25.2.129; //127.0.0.1;	// changed by ydab
	};

	/*
	 * If there is a firewall between you and nameservers you want
	 * to talk to, you might need to uncomment the query-source
	 * directive below.  Previous versions of BIND always asked
	 * questions using port 53, but BIND versions 8 and later
	 * use a pseudo-random unprivileged UDP port by default.
	 */
	 query-source address * port 53; // changed by ydab
};

// If you enable a local name server, don't forget to enter 127.0.0.1
// first in your /etc/resolv.conf so this server will be queried.
// Also, make sure to enable it in /etc/rc.conf.

zone "." {
	type hint;
	file "named.root";
};

zone "0.0.127.IN-ADDR.ARPA" {
	type master;
	file "master/localhost.rev";
};

// RFC 3152
zone "1.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.IP6.ARPA" {
	type master;
	file "master/localhost-v6.rev";
};

// NB: Do not use the IP addresses below, they are faked, and only
// serve demonstration/documentation purposes!
//
// Example slave zone config entries.  It can be convenient to become
// a slave at least for the zone your own domain is in.  Ask
// your network administrator for the IP address of the responsible
// primary.
//
// Never forget to include the reverse lookup (IN-ADDR.ARPA) zone!
// (This is named after the first bytes of the IP address, in reverse
// order, with ".IN-ADDR.ARPA" appended.)
//
// Before starting to set up a primary zone, make sure you fully
// understand how DNS and BIND works.  There are sometimes
// non-obvious pitfalls.  Setting up a slave zone is simpler.
//
// NB: Don't blindly enable the examples below. :-)  Use actual names
// and addresses instead.

/* An example master zone
zone "example.net" {
	type master;
	file "master/example.net";
};
*/

/* An example dynamic zone
key "exampleorgkey" {
        algorithm hmac-md5;
        secret "sf87HJqjkqh8ac87a02lla==";
};
zone "example.org" {
	type master;
	allow-update {
		key "exampleorgkey";
	};
	file "dynamic/example.org";
};
*/

/* Examples of forward and reverse slave zones
zone "example.com" {
	type slave;
	file "slave/example.com";
	masters {
		192.168.1.1;
	};
};
zone "1.168.192.in-addr.arpa" {
	type slave;
	file "slave/1.168.192.in-addr.arpa";
	masters {
		192.168.1.1;
	};
};
*/

Der FreeBSD-Server kommt problemlos ins netz.
Die Clients dagegen, können nur mit IPs surfen.
also klappt etwas mit Namensauflösung nicht.
WAS?
nslookup ausgeführt auf den Clients meldet Timeouts.
Es ist keine FW aktiviert.

Wie kann ich rausfinden was auf dem Server falsch konfiguriert ist/sein kann?

 

[marzl]

Probier es mal mit:
listen-on { 127.0.0.1; 192.168.0.47; };
und
forward only;

Damit wird dein DNS zum im Netzwerk erreichbaren "Durchreiche DNS".

 

[ydab]

jetzt geht's
danke @all

 

[rosa]

Was tcpmssd sein soll, weiss ich zwar nicht, fuer T-DSL brauchst du das aber garantiert nicht.

dafür liebe ich foren

Du sagt selber Du liest lieber nach?!
Ok, dann lese in "/usr/ports/net/tcpmssd/pkg-descr" selber nach was das Modul macht.

Gruß paefchen

PS.: und nein, normal brauchst Du das für den Telekomikerkram nicht.

 

[ydab]

*LOL* [verzweifeltes, psyhotisches lachen]
Kein Kommentar