Einleitung
Beabsichtigt man den Aufbau eines WLAN-Systems in einem kleinen Büro, Gemeinschaftsunterbringung oder einfach Zuhause bietet sich IP Fire an.
Netzaufbau
Tutorial | Installation von Ipfire auf einem PC
1.Benötigte HW
Für ein LAN/WLAN-Netz mit dem Ipfire sind mindestens erforderlich
- Ein PC, möglichst aus dem Profibereich mit mindestens
- 2,5 GHz, 2GB RAM und 80 GB HD und
- 2 zusätzlich installierte LAN Karten (10/100)+ die interne Netzbuchse
- Ein externes Modem für ADSL2
- Einen Switch und
- robuste Access-Points für hohe Dauerlasten
2. SW-Download
Man bekommt sie auf http://www.ipfire.org/download.
Sie muss auf eine CD gebrannt werden
Die Installation wird für Core 81 beschrieben
3. SW Installation auf PC
Ein sehr gutes Tutorial ist bei http://wiki.ipfire.org/de/installation/start
Man braucht hierfür nur noch einen Monitor und ein Keyboard.
Die CD startet automatisch.
Als HD Dateiensystem ist ext4 üblich
Bei der Wahl der Passworte ist zu beachten, dass die Zeichen unsichtbar übereinander geschrieben werten (Ein SW Fehler!!!!!!)
Man sollte die rot, grün und blau Konfiguration wählen.
Günstigist für blau (WLAN) die interne Buchse.
Bei der Zuweisung der LAN-Karten ist nicht immer klar, wo sich die Karten befinden.
Ggf kann man die beiden Karten später im Gerät nach seinen Wünschen tauschen.
Als Schnittstellen sind zu empfehlen
- Rot für Internet pppoE Einwahl
- Grün für LAN 192.168.0.1
- Blau für WLAN 192.168.1.1
Anmerkung Arbeitskreis zu Rot: anstatt pppoR Einwahl kann der IPFire PC hinter einem WAN-Router konfiguriert werden. In diesem Fall bezieht IFFire eine interne IP Adresse vom Router über LAN.
Bei den beide DHCP -Clients sollte man mindestens die IPs bis 150 zugelassen,
darüber werden sie für Sonderfälle vergeben.
Nach der Beendigung der Konfiguration wird das System neu gestartet und das Skript auf
dem Monitor angezeigt.
Man kann sich jetzt als root mit root-Passwort wieder einloggen und mit ‘setup’ etliche
Dinge wieder ändern.
!!!!!!!!!!!!die einfachste Möglichkeit die Passwörter wieder zu ändern!!!!!!!!!
Jetzt ist der PC mit dem LAN Interface an die grüne Buchse anzuschließen.
Er ist vorher auf LAN- Betrieb ‘mit IP automatisch beziehen’ einzustellen.
Login mit https://192.168.0.1:444 oder bei Defaulteinstellung ipfire.localdomain
Sicherheitswarnungen werden übergangen:
- Ich kenne das Risiko
- Ausnahme hinzufügen
- Sicherheitsausnahmeregel hinzufügen
4. Konfigurationen
4.1 System/Einwahl
Hier können mehrere Profile eingegeben werden. Es empfiehlt sich die Einwahl vom
Einsatzort und von der Wohnung des Administrators (für Reparaturen) einzugeben:
- Schnittstelle PPPoE
- Wiederverbinden dauerhaf
- MPU 1492
- Benutzername
- Kennwort
- Methode PAP oder CHAP
- Profilname
4.2 System /SSH Zugriff
Der Zugriff ist zu bestätigen
4.3. Web-Proxy
Aktiviert auf grün
Transparent auf grün
Aktiviert auf blau
Transparent auf blau
URL-Filter aktiviert
Protokoll aktiviert.
4.3. URL-Filter
Im Auslieferungszustand hat das URL-Filter nur eingeschränke Möglichkeiten.
Es sind umgehend die vollständigen Listen von Shalla Secure Service oder andere zu laden
Jetzt updaten die Listen werden geladen
und dann unbedingt Speichrn und Neustart!!!!!!!!!!!
Automatisches Update aktivieren (für jeden Tag!)
Als gesperrte Seiten auswählen:
- download
- proxy
- rederector
porno
und zusätzlich:
- Sperre Seiten auf die über die IP-Adresse zugegriffen wird !
Nach Änderungen der Einstellung unbedigt immer Speichern und Neustart
Sicherheitshalber den ipfire sogar neu starten !!!!!!!!!!!
4.4 DHCP-Server
Blau aktivieren
Die aktuelle IP-Adresse des Administrators mit ‘Hinzufügen’ als feste Zuordnung
speichern (auch in aktuelle externe Liste).
Gleichzeitig eine Adresse für Blau festlegen mit X.X.1.X statt X.X.0.X.
Die dazugehörende MAC-Adressein Firewall Zugriff auf Blau eintragen und
als IP Adressen in URL-Filter Ungefilterte IP-Adressen eintragen.
Danach wieder Speichern und Neustart.
Damit hat der Administrator vollen Zugang zum System.
Uwe Lehmann GU Dachau
4.5. Dienste
4.5.1 Dynamischr DNS
Muss extern bei einem Anbieter beschafft werden:
zB https://secure.selfhost.de/cgi-bin/selfhost?
p=order&paket=free&dns=free&domain=selfhost&tld=biz&CGISESSID=ecc27e98d1
2f54444405e08b6bce7ceb
zB asylxyz.selfhost.biz zusätzlich gibt es Benutzernahmen und Passwort
Danach im Ipfire unter DYNDNS Dienste den bestehenden Dienst hinzufügen.
Dienstname selfhost.de
Hostname s.o.
Benutzername s.o
Kennwort s.o
eintragen.
Man kann sich bei Selfhost mit Benutzernamen und Kennwort einloggen und die aktuelle IP
des Ipfire kontrollieren.
4. 5.2 Open VPN
Open VPN auf rot
Die Domain ist unter
- Lokaler VPN Hostname/IP zB asylxyz.selfhost.biz
einzutragen
in erweiterter Serveroption
- Client to Client und
- Rederect-Gateway def 1
Wählen
Dann Speichern !!!!
Danach in Host Zertifikat
Client Paket zip in den Steuer-PC herunterladen (dekomprimiert 2 Dateien).
Keine anderen!!!
Danach OpenVPN für Windows? 32/64 bit? herunterladen und
unter c:programmeopenvpnconfig die beiden Dateien einfügen
Danach den Rechner konfigurieren.
4.5.3 Zeitserver
Externen Anbieter verwenden
Setzen beim Bootvorgang
4.5.4 Logs
Logdatei EinstellungLogübrsicht
Zusammenfassung aufheben für mindestens 100 Tage
5.Hilfmittel bei der Fehlersuche
5.1 Hilfsprogramme
WinSCP Programm
Einwahl 192.168.0.1:222 Root / Passwort eingeben SFTP Protokoll
Ermöglicht den vollen Zugriff auf alle Router Dateien (Setups Logs usw)
oder auch remote mit Putty auf Root setup
Es ist leichter mit einem Monitor und Keybord das setup zu erreichen
Wichtige Adressen im Linux Filesystem:
rootvaripfireurlfilterblacklists oder
rootvaripfireurlfilterDHCP
rootvaripfirewirlessconfig
um Listen direkt zu editieren
5.2 Status/ Dienste
Bei der Fehlersuche kann man feststellen welche Programme gestartet sind
6. Administration
6.1 Anmelden neuer und abmelden alter Geräte.
Nach Einwahl ins WLAN ist die MAC Adresse in Firewall Zugriff auf Blau einzutragen
oder einfach mit dem Bleistiftsymbol hochzubringen.
Im DHCP-Server wird die gerade gewählte IP/MAC-Zuordnung durch ‘Hinzufügen’ fest
gespeichert.
Es werden in einer ständig aktualisierten Liste (Exel) folgenden Details gespeichert:
Name/ Vorname aus dem Ausweis !!!!| MAC des Gerätes | und zugewiesene IP Adresse
Handelt es sich um einen Gerätewechsel, sind die alten Einträge in der DHCP und der
MAC Zugangsliste zu löschen.
6.2 Systemkontrollen
Diese Arbeiten können einfach über OpenVPN gemacht werden:
Unter StatusSystem ist das Lastdiagramm der CPU zu bewerten.
Große relativ hohe Ausschläge (50%) von etlicher Dauer können für P2P Verkehr sprechen
(Filesharing?) ggf muss man sich den WEB-Log für diese Zeit ansehen.
Wichtig sind auch die Traffic-Statistiken hier gibt normalerweise typische Werte.
Ist der Datenverkehr erheblich vermindert, sollte man mit ping feststellen, ob Hotspots
vielleicht blockiert sind.