Setup eines ADSL Routers mit der Injoy Firewall.
Als Router habe ich einen Zyxel 650R
Der Router wird wie folgt verbunden:
TCP/IP Setup ist für den Beginner nicht ganz einfach.
Unter Warp 4 öffnen wir System-> Systemkonfiguration
->TCP/IP-Konfiguration
Wir können nun Die TCP/IP Adresse manuell eintippen oder per DHCP. Injoy Firewall bietet DHCP. Manuelle Eingaben haben den Vorteil das wir von anfang an wissen welcher Host (PC ) welche IP Adresse hat.
Als IP Adresssen können wir folgende Bereiche nutzen:
10.0.0.0 bis 10.255.255.255 :
Maximale Anzahl Hosts : 16'777'216
Netzwerkmaske 255.0.0.0 bis 255.255.255.255
172.16.0.0 bis 172.31.255.255
Maximale Anzahl Hosts : 2'097'152
Netzwerkmaske 255.31.0.0 bis 255.255.255.255
192.168.0.0 bis 192.169.255.255
Maximale Anzahl Hosts : 65536
Netzwerkmaske 255.255.0.0 bis 255.255.255.255
Brauche ich eine Netzwerkmaske ?
Ja, machen wir ein paar Beispiele mit dem Adressberich 192.168.0.0
Bei einer Netzwerkmaske 255.255.0.0 können wir alle PC's
adressieren.
Haben wir ein Netzwerk, aber zwei Gruppen von Benutzern. Die
erste Gruppe soll auf jeden PC zugreiffen können. Die zweite
Gruppe soll nur auf einen bestimmten Bereich zugreifen können:
Teil eins bekommt IP 192.168.1. 0 bis 192.168.1.255
Der zweite Zeil bekommt Die IP 192.168.2.0 bis 192.168.2.255
Um beide Teile unterscheiden zu können benutzen wir die
Netzwerkmaske.
Mit Netzwerkmaske 255.255.0.0 müssen die ersten zwei Zahlen der
IP übereinstimmen. Die letzten beiden können frei sein. Die
beiden
Teil Netzwerke können auf einander zugreiffen. Mit der
Netzwerkmaske
255.255.255.0 können die zwei Teilnetze nich auf einander
zurgeiffen,
da sich die IP Nummer an der dritten Stelle unterscheidet.
Im Normalfall genügt allerdings folgende Konfiguration :
IP 192.168.x.0 bis 192.168.x.255 mit einer Netzwerkmaske 255.255.255.0
Netzwerkmaske Ausrechnen:
255 - Anzahl notwendiger IP Adressen im Subnetz.
Beispiele : IP 192.168.1.0 bis 192.168.1.16
Die 192.168.1 sind für jeden Rechner im Netz die
gleichen. 255 - 16 = 239 Netzwerkmaske:
255.255.255.239
IP 192.168.0.0 bis 192.168. 16. 64 die ersten zwei Ziffern
sind gleich. 255 - 16 = 239 , 255 - 64 = 191
Netzwerkmaske: 255.255.239.191
Gibt es IP's die schon
vergeben sind ?
IP x.x.x.0 ist sehr oft
der Server
IP x.x.x.1 wird sehr oft als
Router benutz
IP x.x.x.254 wird auch oft als Router benutz
IP x.x.x.255 Ist die Broadcastadresse und soll
nicht benutz werden.
Was ist eine
Broadcastadresse?
Wir wollen einen Rechner im gelichen Netzwerk abfragen. Dieser
heist Test. Da wir den namen kennen senden wir einen Ping an Test. Test
hat eine IP, die weder in der Datei x:\MPTN\ETC\host noch in
einem internen DNS Server eingetragen ist. Da beide Versuche negativ
sind sendet unser host eine IP Packet an die Broadcastadresse x.x.x.255
mit der Frage "bist du der Rechner Test?". Jeder Rechner im
gesamten Netzwerk verarbeitet dieses Packet. Der richtige Rechner
antwortet. Alle anderen nicht. PC's ignorieren IP-Packete, die
nicht an die eigene Adresse gesendet werden. Ausser den Broadcast.
Würden wir einen Rechner mit der IP x.x.x.255 aufsetzen, dann
bremst dieser eine Rechner das gesammte Netzwerk.
Ein weiteres Netzwerk wird nur auf der Firewall aktiviert.
Für den Fall, dass wir auf dem eigenen Rechner einen Server haben,
aktivieren wir das loopback
interface:
IP ist 127.0.0.1 Netzwerkmaske ist nicht nötig.
Wir setzen den Default als 192.168.1.254 Und die anzahl Knoten
über
die wir ins Internet gehen. Man beachte, das bei Warp4 ein NET
erforderlich
ist.
Als Knoten oder auch node bezeichnet man die Verbindung zwischen zwei
PC's, PC und Router. Nicht aber HUB oder Bridge.
Der Host-Name ist der Name des Rechners. Der Domainname ist hier os2force.ch. Der komplette Name ist master.os2force.ch Als DNS geben wir die DNS des ISP's ein. Wenn wir die Injoy Firewall benutzen, dann sollten wir das DNS-Forwarding aktivieren und der DNS ist dann 1.1.1.1. Also nicht die oben eingetragene verwenden.
Hier geben wir die IP- Adresse der PC's in unserem Netz, sowie den Host namen der Rechner. Der TCP(IP Hostnamen kann, muss aber nicht der gleiche sein, wie der PEER Name des Rechners.
ECS, respektive MCP hat eine andere Oberfläche und braucht keinen Leitweg für's Netzwerk.
Beide schreiben ihre Daten in folgende Files:
x:\MPTN\ETC\hosts
127.0.0.1 localhost
192.168.1.15
Serv
Mail
192.168.1.10 Notebook
192.168.1.254 Fire
IP Nummer, Hostname Aliasname des Hosts.
Folgende Dateien müssen vorhanden sein
x:\MPTN\ETC\services und
x:\MPTN\ETC\protocol
Fehlern diese Dateien läuft ICMP nicht ( Internet Control Management Program ) Ping funktioniert nicht. Da Ping nicht antwortet bleibt der Rechner hängen. Die Dateien werden von der InstallationsCD kopiert.
Die Datei RESOLV2 enthält folgenden Inhalt:
domain Dummi.net
nameserver erster DNS
nameserver zweiter DNS
Fehlt eine eigene Domain, dann gibt man dem eigenen Rechner oder Netz einen eigenen Namen.
Domain eigenerName.Dummi.net
DNS :
Die beiden DNS müssen entweder öffentliche oder die vom
Provider
sein.
x:\MPTN\bin\SETUP.CMD
route -fh
arp -f
ifconfig lo 127.0.0.1
ifconfig lan0 192.168.1.11 netmask 255.255.255.0
REM ifconfig lan1 192.168.1.11 netmask 255.255.255.0
REM ifconfig lan2
REM ifconfig lan3
REM ifconfig lan4
REM ifconfig lan5
REM ifconfig lan6
REM ifconfig lan7
REM ifconfig sl0
route add default 192.168.1.254 1
route add net 192.168.1 192.168.1.254 1 netmask 255.255.255.0 >null
ipgate off
Die Zeile route add default hat die IP unseres Routers, also dem Firewallrechner.
Die Setup.cmd der Firewall injoy sieht leicht anders aus:
route -fh
arp -f
ifconfig lo 127.0.0.1
ifconfig lan0 192.168.1.254 netmask 255.255.255.0
ifconfig lan1 213.200.226.50 netmask 255.255.255.255
route add default 192.168.1.254
REM ifconfig lan2
REM ifconfig lan3
REM ifconfig lan4
REM ifconfig lan5
REM ifconfig lan6
REM ifconfig lan7
REM ifconfig sl0
ipgate on
lan0 ist das interne Nezt
lan1 ist die IP Adresse, die wir im Internet haben. Die
Netzwerkmaske
hat 255.255.255.255 und somit ist nur diese eine feste IP ansprechbar.
Die Zeile ipgate on bezichnet den Rechner als Router.
Spezielles:
Wenn wir die Injoy firewall verwenden, dann vergeben wir jeweil eine Dummi DNS:
1.1.1.1
Im Firewall Setup werden diese DNS auf die richtigen DNS Server umgeleitet.Wiso, welchen Vorteil verschafft uns das??
Wenn wir vier Rechner haben, dann können wir bei einem DNS wechsel noch einfach die neuen Werte eintragen. Mit je einem Reboot. Bei 100 oder mehr Rechnern sieht das ganze anders aus. Dann müssen wir nur an einem einzigen Ort diese Werte korrigieren und _alle_ PCs benutzen die neuen Werte.