Re: DSL-Router und dial-on-demand

To: "Debian-User (german)" <debian-user-german@lists.debian.org>
Subject: Re: DSL-Router und dial-on-demand
From: Wilfried Essig <wedebianlsts@essignetz.de>
Date: 10 Mar 2003 21:30:32 +0100
Message-id: <[🔎] 1047328231.1807.59.camel@nb-bwe1.essignetz.de.local>
In-reply-to: <[🔎] E18sS1M-0004BK-00@debian.dyndns.org>
References: <[🔎] 002601c2e72d$e187e780$0a00a8c0@pc1> <[🔎] E18sS1M-0004BK-00@debian.dyndns.org>

Am Mon, 2003-03-10 um 19.29 schrieb Guido Hennecke:
> Hallo Thilo,
> 
> At 10.03.2003, Thilo Engelbracht wrote:
> > Hallo Liste!
> > 
> > Bei meinem Heim-Netzwerk (ein Linux-Server mit Debian GNU/Linux 3.0 mit
> > Kernel 2.4.18, drei Windows-Clients) möchte ich gerne dial-on-demand
> > einrichten. Für die Internet-Verbindung nutze ich eine DSL-Verbindung.
> > Der Server soll beim Booten KEINE automatische Verbindung zum Internet
> > aufbauen. Erst bei einer entsprechenden Anfrage meiner Windows-Clients soll
> > die Verbindung aufgebaut werden. Nach ca. 20 Minuten "Leerlauf" soll die
> > Verbindung wieder getrennt werden.
> > 
> > Meine Vorgehensweise:
> > 1.) Mit "pppoeconf" habe ich die DSL-Verbindung konfiguriert. Klappt ohne
> > Probleme. Die DNS-Einträge werden von meinem Provider übernommen
> > ("usepeerdns).
> > 2.) Unter "/etc/ppp/peers/dsl-provider" habe ich u.a. folgendes eingetragen:
> > demand
> > idle 1200
> > 3.) Mein Firewall-Skript wird bei Booten des Rechners ausgeführt.
> > 4.) Die Default-Route sowie das IP-Forwarding wird durch ein Skript gesetzt,
> > welches unter "/etc/ppp/ip-up.d" liegt.
> > 5.) Beim Trennen der Verbindung wird ein Skript ausgeführt, welches die
> > Default-Route löscht sowie das IP-Forwarding deaktiviert. Dieses Skript
> > liegt unter "/etc/ppp/ip-down.d".
> > 
> > 
> > Trotzdem klappt mein dial-on-demand noch nicht........
> 
> Wenn Du die default Route entfernst, woher soll der pppd denn ueberhaupt
> wissen, wann er eine Verbindung aufbauen soll? Es werden ja keine Pakete
> an dein PPP Interface geleitet.
Das ist das eine. 

Ich denke aber, daß Du auch die /etc/ppp/ppp-on-boot nicht angelegt
hast. Du willst zwar die Verbindung nur bei Bedarf aufbauen, aber der
pppd muß zu dem Zeitpunkt schon laufen - und es muß eine Defaultroute
auf die Schnittstelle eingerichtet sein, sonst kann er ja die Verbindung
nicht aufbauen weil er das Päckchen nicht bekommt.

Kann das sein, daß Du bisher ein Problem hattest vor dem Starten des
pppd eine defaultroute auf ppp0 zzu setzen? Das dürfte daher kommen, daß
die ppp0 erst aktiviert wird, wenn der pppd läuft.
 
Etwas anderes ist es im Firewall. Da kannst Du Schnittstellen angeben,
die zum Zeitpunkt des Eintragens in den Firewall noch nicht existieren,
oder auch später wieder entfernt werden ohne daß die Firewallregel
dadurch unbrauchbar würde.

> Und mit Windows Rechnern an einem DoD Router wuensche ich dir viel
> Spass. Mal sehen, ob Du all den unsinnigen Traffic filtern kannst.

Lass Dich nicht entmutigen. Es ist nicht so viel was man wirklich filtern sollte : 

- ein kleiner lokaler DNS auf Linux als "DNS-Proxy" ist sinnvoll (z.B.
dnsmasq). Der fängt dann schon viel unnötiges ab. U.U. solltest Du ihm
noch die eine oder andere von den MS-Kisten abgegraste Zone verpassen.

Setzt "usepeerdns" eigentlich die DNS-Einträge für deine Clients - z.B.
per DHCP? Soweit ich weiß verändert das nur die /etc/resolv.conf, was
weder für den lokalen DNS, noch für die Clients im lokalen Netz eine
Bewandniss hat. Ich habe das bei mir so gemacht, daß ich mir angesehen
habe, welche Adressen vom Provider übergeben werden, und diese dann als
forwarder-Adressen in den DNS auf dem Woody eingetragen habe. Die
Clients erhalten dann per DHCP (u.a.) die Woody-Kiste als DNS zugeteilt
- was man natürlich bei drei Rechnern auch per Hand machen kann.(Ich
habe Netze in denen einige Zig-Rechner IP-Adressen vom Woody wissen
wollen - das lass ich doch lieber den DHCP3 machen).

- Port 135 - 139 (UDP und TCP!) und 445 (TCP glaube ich; bin ich mir im
Moment aber nicht sicher ob das wirklich der MS-Active-Directory-Port
ist) im Firewall filtern : bei iptables in der input von ppp0, in der
output nach ppp0 und in der forward (ohne Interface ist das automatisch
von und nach ppp0)

- Ansonsten schau immer mal wieder in die Logdateien. Normalerweise
sollte unmittelbar vor dem Verbindungsaufbau eine Zeile im Log stehen
die beschreibt, was für ein Zugriff nach extern gerade  die Verbindung
aktiviert hat.

Und wenn Du das nicht in den Griff kriegts : auch nicht schlimm - nimm
dir halt einen "zeitlosen" Tarif. Hier zuhause habe ich z.B. das
Internet.dsl 2GB von 1und1. Der Support für die ganzen Endkundenangebote
bei denen ist zwar keinen Schuß Pulver wert, aber für 9,90 EUR bin ich
so billiger als zu ISDN-Zeiten, und der Server ist dauernd online.

> Gruss, Guido
-- 
Wilfried Essig

Reply to:

References:
- DSL-Router und dial-on-demand
  - From: "Thilo Engelbracht" <te@engelbracht.de>
- Re: DSL-Router und dial-on-demand
  - From: Guido Hennecke <debian-user-german@debian.dyndns.org>

Prev by Date: Re: vorgehen bei installationen
Next by Date: Re: emacs auf der Konsole keine Umlaute
Previous by thread: Re: DSL-Router und dial-on-demand
Next by thread: Deutsche Tastatur nach Upgrade
Index(es):
- Date
- Thread