Toon posts:

DNS-server zonder DHCP

Pagina: 1
Acties:

zondag 18 augustus 2013 00:19

Acties:
  • 0 Henk 'm!
  • HollowGamer
  • Registratie: Februari 2009
  • Niet online

HollowGamer

Topicstarter
Goedenavond,

De bedoeling is een DNS-server te draaien op een PC die server1 heet, dit ter vervanging van de DNS-server van mijn provider. Ook zou ik graag het mogelijk willen maken dat PC's in het LAN elkaar kunnen pingen op naam ipv. IP-adres.

Op dit moment heb ik dus server1 die ik steeds meer als centraal systeem wil inzetten. Er is al een DHCP-server aanwezig (modem) en deze werkt prima.

Ik heb nu dnsmasq op server1 geïnstalleerd (Ubuntu Server 13.04) met de volgende config:
code:
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42

cat /etc/dnsmasq.conf 
# Configuration file for dnsmasq.
#
# Format is one option per line, legal options are the same
# as the long options legal on the command line. See
# "/usr/sbin/dnsmasq --help" or "man 8 dnsmasq" for details.

# Listen on this specific port instead of the standard DNS port
# (53). Setting this to zero completely disables DNS function,
# leaving only DHCP and/or TFTP.
#port=5353

# The following two options make you a better netizen, since they
# tell dnsmasq to filter out queries which the public DNS cannot
# answer, and which load the servers (especially the root servers)
# unnecessarily. If you have a dial-on-demand link they also stop
# these requests from bringing up the link unnecessarily.

# Never forward plain names (without a dot or domain part)
domain-needed
# Never forward addresses in the non-routed address spaces.
bogus-priv


# Uncomment this to filter useless windows-originated DNS requests
# which can trigger dial-on-demand links needlessly.
# Note that (amongst other things) this blocks all SRV requests,
# so don't use it if you use eg Kerberos, SIP, XMMP or Google-talk.
# This option only affects forwarding, SRV records originating for
# dnsmasq (via srv-host= lines) are not suppressed by it.
#filterwin2k

# Change this line if you want dns to get its upstream servers from
# somewhere other that /etc/resolv.conf
resolv-file=/etc/resolv.dnsmasq.conf

# By  default,  dnsmasq  will  send queries to any of the upstream
# servers it knows about and tries to favour servers to are  known
# to  be  up.  Uncommenting this forces dnsmasq to try each query
# with  each  server  strictly  in  the  order  they   appear   in
# /etc/resolv.conf
strict-order

De rest is allemaal gecomment omdat ik de DHCP-mogelijkheden niet wil gebruiken.

/etc/resolv.dnsmasq.conf:
code:
1
2
3
4
5
6
7
8
9
10

# local
nameserver 127.0.0.1

# OpenDNS
nameserver 208.67.222.222
nameserver 208.67.220.220

# Google's nameservers
nameserver 8.8.8.8
nameserver 8.8.8.4


Dit werkt perfect op server1:
code:
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38

dig www.google.com localhost

; <<>> DiG 9.9.2-P1 <<>> www.google.com localhost
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 5015
;; flags: qr rd ra ad; QUERY: 1, ANSWER: 6, AUTHORITY: 0, ADDITIONAL: 0

;; QUESTION SECTION:
;www.google.com.            IN  A

;; ANSWER SECTION:
www.google.com.     280 IN  A   173.194.70.105
www.google.com.     280 IN  A   173.194.70.147
www.google.com.     280 IN  A   173.194.70.99
www.google.com.     280 IN  A   173.194.70.103
www.google.com.     280 IN  A   173.194.70.106
www.google.com.     280 IN  A   173.194.70.104

;; Query time: 0 msec
;; SERVER: 127.0.0.1#53(127.0.0.1)
;; WHEN: Sun Aug 18 00:15:23 2013
;; MSG SIZE  rcvd: 128

;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 51942
;; flags: qr aa rd ra ad; QUERY: 1, ANSWER: 1, AUTHORITY: 0, ADDITIONAL: 0

;; QUESTION SECTION:
;localhost.         IN  A

;; ANSWER SECTION:
localhost.      0   IN  A   127.0.0.1

;; Query time: 4 msec
;; SERVER: 127.0.0.1#53(127.0.0.1)
;; WHEN: Sun Aug 18 00:15:23 2013
;; MSG SIZE  rcvd: 43


Nu wil ik op de andere PC's (clients) deze DNS-server gebruiken ipv. mijn provider-toegewezen DNS-server(s). Dus ik vul op de client-pc (desktop1) het volgende dns-server adres in: 192.168.178.11 (server1-adres). Maar dit werkt niet. Ik krijg het simpelweg niet werkend. Pingen naar google.nl lukt niet ook niet naar PC's die ik heb gezet in /etc/hosts op server1:
code:
1
2
3

127.0.0.1   localhost
192.168.178.10  wap1
192.168.178.14  wap2


Doe ik nu iets fout? Moet ik op al mijn PC's (clients) nu ook iets installeren?

Google geeft mij helaas (op dit moment) geen antwoord. Ik ben dan ook bang dat ik de bedoeling van dnsmasq verkeerd begrijp. Kan dit wel wat ik wil bereiken (met dnsmasq)?

Alvast bedankt!

zondag 18 augustus 2013 00:21

Acties:
  • 0 Henk 'm!
  • DennusB
  • Registratie: Mei 2006
  • Niet online

DennusB

Staat er geen iptables aan op server1? Probeer eens "service iptables stop" en kijk dan eens of je er vanaf een andere pc bij kan :)

Owner of DBIT Consultancy | DJ BassBrewer

zondag 18 augustus 2013 00:26

Acties:
  • 0 Henk 'm!
  • HollowGamer
  • Registratie: Februari 2009
  • Niet online

HollowGamer

Topicstarter
DennusB schreef op zondag 18 augustus 2013 @ 00:21:
Staat er geen iptables aan op server1? Probeer eens "service iptables stop" en kijk dan eens of je er vanaf een andere pc bij kan :)
sudo ufw disable
Firewall stopped and disabled on system startup

Maar nog steeds geen DNS helaas. iptables niet geïnstalleerd.

[ Voor 88% gewijzigd door HollowGamer op 18-08-2013 01:01 ]

zondag 18 augustus 2013 00:36

Acties:
  • 0 Henk 'm!
  • DennusB
  • Registratie: Mei 2006
  • Niet online

DennusB

HollowGamer schreef op zondag 18 augustus 2013 @ 00:26:
[...]

sudo ufw disable
Firewall stopped and disabled on system startup

Maar nog steeds geen DNS helaas. iptables niet geinstalleerd.

De poorten staan open, ik kan deze ook bereiken vanaf pc1:
53/udp ALLOW Anywhere
53/tcp ALLOW Anywhere

EDIT:
portscan is gestart…

Port Scanning host: 192.168.178.25

Open TCP Port: 22 ssh
Open TCP Port: 53 domain <<
Wat zegt de logging van dnsmasq?

Owner of DBIT Consultancy | DJ BassBrewer

zondag 18 augustus 2013 00:38

Acties:
  • 0 Henk 'm!
  • HollowGamer
  • Registratie: Februari 2009
  • Niet online

HollowGamer

Topicstarter
DennusB schreef op zondag 18 augustus 2013 @ 00:36:
[...]


Wat zegt de logging van dnsmasq?
code:
1

log verwijderd


Is er een mogelijk nog verder te debuggen?

[ Voor 68% gewijzigd door HollowGamer op 18-08-2013 01:01 ]

zondag 18 augustus 2013 00:39

Acties:
  • 0 Henk 'm!
  • DennusB
  • Registratie: Mei 2006
  • Niet online

DennusB

HollowGamer schreef op zondag 18 augustus 2013 @ 00:38:
[...]

code:
1
2
3
4
5
6
7
8
9
10

Aug 17 23:34:27 nas1 dnsmasq[13374]: started, version 2.65 cachesize 150
Aug 17 23:34:27 nas1 dnsmasq[13374]: compile time options: IPv6 GNU-getopt DBus i18n IDN DHCP DHCPv6 no-Lua TFTP conntrack
Aug 17 23:34:27 nas1 dnsmasq[13374]: reading /etc/resolv.dnsmasq.conf
Aug 17 23:34:27 nas1 dnsmasq[13374]: using nameserver 8.8.8.4#53
Aug 17 23:34:27 nas1 dnsmasq[13374]: using nameserver 8.8.8.8#53
Aug 17 23:34:27 nas1 dnsmasq[13374]: using nameserver 208.67.220.220#53
Aug 17 23:34:27 nas1 dnsmasq[13374]: using nameserver 208.67.222.222#53
Aug 17 23:34:27 nas1 dnsmasq[13374]: ignoring nameserver 127.0.0.1 - local interface
Aug 17 23:34:27 nas1 dnsmasq[13374]: read /etc/hosts - 11 addresses
Aug 17 23:34:27 nas1 kernel: [465632.936584] type=1400 audit(1376775267.970:69468): apparmor="ALLOWED" operation="open" parent=1 profile="/usr/sbin/dnsmasq" name="/etc/resolv.dnsmasq.conf" pid=13374 comm="dnsmasq" requested_mask="r" denied_mask="r" fsuid=113 ouid=0


Is er een mogelijk nog verder te debuggen?
Op welk IP-adres bind dnsmasq? Toch niet 127.0.0.1? Want dan is hij alleen vanaf de eigen machine bereikbaar.
Edit : Doe even "netstat -taupen"

Owner of DBIT Consultancy | DJ BassBrewer

zondag 18 augustus 2013 00:42

Acties:
  • 0 Henk 'm!
  • HollowGamer
  • Registratie: Februari 2009
  • Niet online

HollowGamer

Topicstarter
DennusB schreef op zondag 18 augustus 2013 @ 00:39:
[...]


Op welk IP-adres bind dnsmasq? Toch niet 127.0.0.1? Want dan is hij alleen vanaf de eigen machine bereikbaar.
Edit : Doe even "netstat -taupen"
code:
1
2
3
4
5
6
7
8
9
10

# If you want dnsmasq to listen for DHCP and DNS requests only on
# specified interfaces (and the loopback) give the name of the
# interface (eg eth0) here.
# Repeat the line for more than one interface.
#interface=
# Or you can specify which interface _not_ to listen on
#except-interface=
# Or which to listen on by address (remember to include 127.0.0.1 if
# you use this.)
listen-address=127.0.0.1


Zou ik listen-address moeten veranderen in 192.168.178.25?

zondag 18 augustus 2013 00:43

Acties:
  • 0 Henk 'm!
  • DennusB
  • Registratie: Mei 2006
  • Niet online

DennusB

HollowGamer schreef op zondag 18 augustus 2013 @ 00:42:
[...]

code:
1
2
3
4
5
6
7
8
9
10

# If you want dnsmasq to listen for DHCP and DNS requests only on
# specified interfaces (and the loopback) give the name of the
# interface (eg eth0) here.
# Repeat the line for more than one interface.
#interface=
# Or you can specify which interface _not_ to listen on
#except-interface=
# Or which to listen on by address (remember to include 127.0.0.1 if
# you use this.)
listen-address=127.0.0.1


Zou ik listen-address moeten veranderen in 192.168.178.25?
Maak er maar 0.0.0.0 van. Dan bind ie op alle beschikbare interfaces!

Owner of DBIT Consultancy | DJ BassBrewer

zondag 18 augustus 2013 00:47

Acties:
  • 0 Henk 'm!
  • HollowGamer
  • Registratie: Februari 2009
  • Niet online

HollowGamer

Topicstarter
DennusB schreef op zondag 18 augustus 2013 @ 00:43:
[...]

Maak er maar 0.0.0.0 van. Dan bind ie op alle beschikbare interfaces!
Het werkt helaas nog niet op pc1. Ter duidelijkheid ik geef hier dus al dns-server 192.168.178.25 (server1 IP-adres op. Is dit correct?

[ Voor 59% gewijzigd door HollowGamer op 18-08-2013 01:02 ]

zondag 18 augustus 2013 00:47

Acties:
  • 0 Henk 'm!
  • DennusB
  • Registratie: Mei 2006
  • Niet online

DennusB

HollowGamer schreef op zondag 18 augustus 2013 @ 00:47:
[...]

code:
1
2
3
4
5
6
7
8
9
10

Aug 18 00:44:17 nas1 dnsmasq[24281]: started, version 2.65 cachesize 1500
Aug 18 00:44:17 nas1 dnsmasq[24281]: compile time options: IPv6 GNU-getopt DBus i18n IDN DHCP DHCPv6 no-Lua TFTP conntrack
Aug 18 00:44:17 nas1 dnsmasq[24281]: reading /etc/resolv.dnsmasq.conf
Aug 18 00:44:17 nas1 dnsmasq[24281]: using nameserver 8.8.8.4#53
Aug 18 00:44:17 nas1 dnsmasq[24281]: using nameserver 8.8.8.8#53
Aug 18 00:44:17 nas1 dnsmasq[24281]: using nameserver 208.67.220.220#53
Aug 18 00:44:17 nas1 dnsmasq[24281]: using nameserver 208.67.222.222#53
Aug 18 00:44:17 nas1 dnsmasq[24281]: using nameserver 127.0.0.1#53
Aug 18 00:44:17 nas1 dnsmasq[24281]: read /etc/hosts - 11 addresses
Aug 18 00:44:17 nas1 kernel: [469822.691928] type=1400 audit(1376779457.911:70582): apparmor="ALLOWED" operation="open" parent=1 profile="/usr/sbin/dnsmasq" name="/etc/resolv.dnsmasq.conf" pid=24281 comm="dnsmasq" requested_mask="r" denied_mask="r" fsuid=113 ouid=0


Het werkt helaas nog niet op pc1. Ter duidelijkheid ik geef hier dus al dns-server 192.168.178.25 (server1 IP-adres op. Is dit correct?
Ja dat klopt. Doe nog eens even "netstat -taupen | grep dns" en post dat eens?

Owner of DBIT Consultancy | DJ BassBrewer

zondag 18 augustus 2013 00:49

Acties:
  • 0 Henk 'm!
  • HollowGamer
  • Registratie: Februari 2009
  • Niet online

HollowGamer

Topicstarter
DennusB schreef op zondag 18 augustus 2013 @ 00:47:
Ja dat klopt. Doe nog eens even "netstat -taupen | grep dns" en post dat eens?
code:
1
2
3
4
5

sudo netstat -taupen | grep dns
tcp        0      0 0.0.0.0:53              0.0.0.0:*               LISTEN      0          3132859     24281/dnsmasq   
tcp6       0      0 :::53                   :::*                    LISTEN      0          3132861     24281/dnsmasq   
udp        0      0 0.0.0.0:53              0.0.0.0:*                           0          3132858     24281/dnsmasq   
udp6       0      0 :::53                   :::*                                0          3132860     24281/dnsmasq

Deze info is van de server.

zondag 18 augustus 2013 00:50

Acties:
  • 0 Henk 'm!
  • DennusB
  • Registratie: Mei 2006
  • Niet online

DennusB

HollowGamer schreef op zondag 18 augustus 2013 @ 00:49:
[...]

code:
1
2
3
4
5

sudo netstat -taupen | grep dns
tcp        0      0 0.0.0.0:53              0.0.0.0:*               LISTEN      0          3132859     24281/dnsmasq   
tcp6       0      0 :::53                   :::*                    LISTEN      0          3132861     24281/dnsmasq   
udp        0      0 0.0.0.0:53              0.0.0.0:*                           0          3132858     24281/dnsmasq   
udp6       0      0 :::53                   :::*                                0          3132860     24281/dnsmasq

Deze info is van de server.
Vaag, hij luistert wel op de goede poort.

Owner of DBIT Consultancy | DJ BassBrewer

zondag 18 augustus 2013 00:51

Acties:
  • 0 Henk 'm!
  • HollowGamer
  • Registratie: Februari 2009
  • Niet online

HollowGamer

Topicstarter
DennusB schreef op zondag 18 augustus 2013 @ 00:50:
[...]


Vaag, hij luistert wel op de goede poort.
Maar klopt het wel wat ik graag zou willen? Kan ik de DNS-server gebruiken binnen mijn LAN?

zondag 18 augustus 2013 00:52

Acties:
  • 0 Henk 'm!
  • DennusB
  • Registratie: Mei 2006
  • Niet online

DennusB

HollowGamer schreef op zondag 18 augustus 2013 @ 00:51:
[...]

Maar klopt het wel wat ik graag zou willen? Kan ik de DNS-server gebruiken binnen mijn LAN?
Dat kan. Maar aangezien hij toch alles forward naar Google DNS en OpenDNS vraag ik me sterk af waarom je die niet gewoon instelt op alle pc's :)

Owner of DBIT Consultancy | DJ BassBrewer

zondag 18 augustus 2013 00:53

Acties:
  • 0 Henk 'm!
  • HollowGamer
  • Registratie: Februari 2009
  • Niet online

HollowGamer

Topicstarter
DennusB schreef op zondag 18 augustus 2013 @ 00:52:
[...]


Dat kan. Maar aangezien hij toch alles forward naar Google DNS en OpenDNS vraag ik me sterk af waarom je die niet gewoon instelt op alle pc's :)
Het is bedoeling om meer performance te krijgen door deze te cachen (als dit echt een verschil maakt). Verder zou ik graag lokale namen willen pingen ipv. op IP-adres.

zondag 18 augustus 2013 00:54

Acties:
  • 0 Henk 'm!
  • DennusB
  • Registratie: Mei 2006
  • Niet online

DennusB

HollowGamer schreef op zondag 18 augustus 2013 @ 00:53:
[...]

Het is bedoeling om meer performance te krijgen door deze te cachen (als dit echt een verschil maakt). Verder zou ik graag lokale namen willen pingen ipv. op IP-adres.
Dat intern cachen maakt voor een thuis-situatie echt geen verschil. En het pingen van PC namen zou je router gewoon af moeten handelen :)

Owner of DBIT Consultancy | DJ BassBrewer

zondag 18 augustus 2013 00:55

Acties:
  • 0 Henk 'm!
  • Hero of Time
  • Registratie: Oktober 2004
  • Laatst online: 22:26

Hero of Time

Moderator LNX

There is only one Legend

HollowGamer schreef op zondag 18 augustus 2013 @ 00:19:
Nu wil ik op de andere PC's (clients) deze DNS-server gebruiken ipv. mijn provider-toegewezen DNS-server(s). Dus ik vul op de client-pc (desktop1) het volgende dns-server adres in: 192.168.178.11 (server1-adres). Maar dit werkt niet. Ik krijg het simpelweg niet werkend. Pingen naar google.nl lukt niet ook niet naar PC's die ik heb gezet in /etc/hosts op server1:
code:
1
2
3

127.0.0.1   localhost
192.168.178.10  wap1
192.168.178.14  wap2


Doe ik nu iets fout? Moet ik op al mijn PC's (clients) nu ook iets installeren?
HollowGamer schreef op zondag 18 augustus 2013 @ 00:47:
Het werkt helaas nog niet op pc1. Ter duidelijkheid ik geef hier dus al dns-server 192.168.178.25 (server1) IP-adres op. Is dit correct?
Welk adres heb je nou waar opgegeven? In je TS zeg je .11 op de clients ingesteld te hebben, maar je hebt het telkens over .25 dat je server is. Dan is het ook logisch dat 't niet werkt. 8)7

Commandline FTW | Tweakt met mate

zondag 18 augustus 2013 00:58

Acties:
  • 0 Henk 'm!
  • HollowGamer
  • Registratie: Februari 2009
  • Niet online

HollowGamer

Topicstarter
DennusB schreef op zondag 18 augustus 2013 @ 00:54:
[...]


Dat intern cachen maakt voor een thuis-situatie echt geen verschil. En het pingen van PC namen zou je router gewoon af moeten handelen :)
Ik heb het werkend!

listen-address=<server1-ipadres>

Nu kan ik ook pingen vanaf andere PC naar mijn wap1 device:
code:
1
2
3
4
5
6
7
8
9

ping wap1
PING wap1 (192.168.178.10): 56 data bytes
64 bytes from 192.168.178.10: icmp_seq=0 ttl=64 time=0.449 ms
64 bytes from 192.168.178.10: icmp_seq=1 ttl=64 time=0.509 ms
64 bytes from 192.168.178.10: icmp_seq=2 ttl=64 time=0.391 ms
^C
--- wap1 ping statistics ---
3 packets transmitted, 3 packets received, 0.0% packet loss
round-trip min/avg/max/stddev = 0.391/0.450/0.509/0.048 ms


code:
1
2
3
4
5
6
7

nslookup google.nl
Server:     192.168.178.25
Address:    192.168.178.25#53

Non-authoritative answer:
Name:   google.nl
Address: 173.194.65.94


Sweet! :D

Het kan helaas niet door de router worden afgehandeld. Volgensmij heeft deze geen DNS-server. De DNS-servers die je verkrijgt met DHCP verwijzen ook naar externe DNS-servers.
Hero of Time schreef op zondag 18 augustus 2013 @ 00:55:
[...]


[...]

Welk adres heb je nou waar opgegeven? In je TS zeg je .11 op de clients ingesteld te hebben, maar je hebt het telkens over .25 dat je server is. Dan is het ook logisch dat 't niet werkt. 8)7
Je hebt helemaal gelijk! Ik heb me helemaal vergist in de eerste post, het server adres eindigt met .25 ipv. .11. :|

[ Voor 23% gewijzigd door HollowGamer op 18-08-2013 01:00 ]

zondag 18 augustus 2013 01:05

Acties:
  • 0 Henk 'm!
  • Hero of Time
  • Registratie: Oktober 2004
  • Laatst online: 22:26

Hero of Time

Moderator LNX

There is only one Legend

Bij een beetje router/modem kan je de DHCP settings ervan aanpassen zodat het een opgegeven DNS server geeft aan je clients. Anders geeft 't zichzelf op als DNS server en zal 't niet meer doen dan alle DNS requests forwarden.

Commandline FTW | Tweakt met mate

zondag 18 augustus 2013 01:11

Acties:
  • 0 Henk 'm!
  • HollowGamer
  • Registratie: Februari 2009
  • Niet online

HollowGamer

Topicstarter
Hero of Time schreef op zondag 18 augustus 2013 @ 01:05:
Bij een beetje router/modem kan je de DHCP settings ervan aanpassen zodat het een opgegeven DNS server geeft aan je clients. Anders geeft 't zichzelf op als DNS server en zal 't niet meer doen dan alle DNS requests forwarden.
Helaas is dit mogelijk bij een *simpel* Ziggo (Ubee) modem. Er is nergens een optie beschikbaar. Ik zou eventueel de Ziggo modem op 'bridge-modem' kunnen laten instellen.

zondag 18 augustus 2013 01:28

Acties:
  • 0 Henk 'm!
  • MsG
  • Registratie: November 2007
  • Laatst online: 22:47

MsG

Forumzwerver

Weet je zeker dat je goed kijkt? Het Ziggo Cisco modem heb ik ook zo ingesteld. Ik weet haast wel zeker dat de Ubee dat ook moet kunnen.

Denk om uw spatiegebruik. Dit scheelt Tweakers.net kostbare databaseruimte! | Groninger en geïnteresseerd in Domotica? Kom naar DomoticaGrunn

zondag 18 augustus 2013 01:30

Acties:
  • 0 Henk 'm!
  • HollowGamer
  • Registratie: Februari 2009
  • Niet online

HollowGamer

Topicstarter
MsG schreef op zondag 18 augustus 2013 @ 01:28:
Weet je zeker dat je goed kijkt? Het Ziggo Cisco modem heb ik ook zo ingesteld. Ik weet haast wel zeker dat de Ubee dat ook moet kunnen.
Helaas niet, deze is in de laatste firmware verwijderd. Ik moet helaas dus bellen naar de Ziggo-helpdesk morgen(?)

zondag 18 augustus 2013 01:36

Acties:
  • 0 Henk 'm!
  • Craven
  • Registratie: Februari 2007
  • Laatst online: 18:12

Craven

Het lijkt me beter als de ubee in bridge mode zet. Dan kun je er gewoon een degelijke router achter zetten. Voor zover ik kan zien doet zo ongeveer iedere router wel wat jij wilt. Je kan er ook altijd eentje nemen die compatibel is met dd-wrt of een andere custom firmware. Van dd-wrt weet ik in ieder geval uit mijn hoofd dat er dnsmasq ingebakken zit.

Dan hoef je dus geen extra machine 24/7 te laten draaien specifiek voor DNS. Je bent ook niet afhankelijk van 2 devices om degelijk internet te leveren. Het scheelt je daarnaast ook nog is een berg stroom. Los routertje verbruikt een fractie van de stroom van een Pc.

zondag 18 augustus 2013 01:45

Acties:
  • 0 Henk 'm!
  • HollowGamer
  • Registratie: Februari 2009
  • Niet online

HollowGamer

Topicstarter
Craven schreef op zondag 18 augustus 2013 @ 01:36:
Het lijkt me beter als de ubee in bridge mode zet. Dan kun je er gewoon een degelijke router achter zetten. Voor zover ik kan zien doet zo ongeveer iedere router wel wat jij wilt. Je kan er ook altijd eentje nemen die compatibel is met dd-wrt of een andere custom firmware. Van dd-wrt weet ik in ieder geval uit mijn hoofd dat er dnsmasq ingebakken zit.

Dan hoef je dus geen extra machine 24/7 te laten draaien specifiek voor DNS. Je bent ook niet afhankelijk van 2 devices om degelijk internet te leveren. Het scheelt je daarnaast ook nog is een berg stroom. Los routertje verbruikt een fractie van de stroom van een Pc.
Ik heb een klein (zuinig) server(tje) gebouwd die 24/7 aanstaat. Het is de bedoeling deze ook vanaf buiten te benaderen met openVPN (dit werkt al). Ook gebruik deze ook als 'cloud'. Btsync, SMB, Spotweb, etc.
Een beetje als hobby project dus. ;)

Verder heb ik hier nog een Linksys router staan met dd-wrt, waar inderdaad ook dnsmasq opzit! Hier helemaal niet nagekeken. Ik vraag me dan wel af.. Hoe snel kan deze Linksys (WRT160NL) dit handelen t.o.v. een dual-core server? Daarbij probeer ik ook nog zoveel mogelijk 'te cachen'. Even goed nadenken, in theorie kan ik de server ook als DHCP laten dienen, maar als ik deze uitschakel heb ik natuurlijk weer geen DHCP.. pff.. keuzes. :P

zondag 18 augustus 2013 09:46

Acties:
  • 0 Henk 'm!
  • Craven
  • Registratie: Februari 2007
  • Laatst online: 18:12

Craven

Ik heb zelf ook een servertje staan maar ik heb DHCP en DNS gewoon op mijn router draaien. Ik heb graag alle services die nodig zijn voor internet ook op het device staan die nu toch al de SPOF voor internet is. Ik heb nog nooit meerwaarde gezien in een server als DNS of DHCP. Tenzij je iets als active directory gaat draaien.

Het cachen van DNS queries en beantwoorden kun je eventueel wel vergelijken met wat tests maar ik verwacht niet dat je server dit echt sneller gaat afhandelen dan je router.

Overigens heeft het ook 1 simpel praktisch voordeel. Als mijn uitvalt of ik moet wat onderhoud doen dan wil ik wel gewoon functionerend internet hebben.

zondag 18 augustus 2013 09:54

Acties:
  • 0 Henk 'm!
  • Hero of Time
  • Registratie: Oktober 2004
  • Laatst online: 22:26

Hero of Time

Moderator LNX

There is only one Legend

Craven schreef op zondag 18 augustus 2013 @ 09:46:
Overigens heeft het ook 1 simpel praktisch voordeel. Als mijn uitvalt of ik moet wat onderhoud doen dan wil ik wel gewoon functionerend internet hebben.
Precies, als je een update installeert en je config is naar de haaien of je hebt andere problemen met het systeem, kan de rest van 't huis het internet niet meer op. Jijzelf ook niet om naar een oplossing te zoeken!

Commandline FTW | Tweakt met mate

zondag 18 augustus 2013 10:53

Acties:
  • 0 Henk 'm!
  • Raymond P
  • Registratie: September 2006
  • Laatst online: 21:06

Raymond P

Als je zelf het internet niet meer op kan omdat je geen iptje krijgt van DHCPD dan moet je je hier inderdaad niet mee bezig houden. ;)
TS geeft aan dat het (gedeeltelijk) een hobby projectje is, en onder de noemer 'hobby' is bijna niets te gek.

Ik heb zelf lokaal een resolving/caching nameserver draaien op mijn homeserver die o.a. ook dienst doet als router en vind de setup toch wel erg prettig.
Benchen gaat trouwens makkelijk met bijvoorbeeld namebench.

- knip -

zondag 18 augustus 2013 11:39

Acties:
  • 0 Henk 'm!
  • Craven
  • Registratie: Februari 2007
  • Laatst online: 18:12

Craven

Raymond P schreef op zondag 18 augustus 2013 @ 10:53:
Als je zelf het internet niet meer op kan omdat je geen iptje krijgt van DHCPD dan moet je je hier inderdaad niet mee bezig houden. ;)
TS geeft aan dat het (gedeeltelijk) een hobby projectje is, en onder de noemer 'hobby' is bijna niets te gek.

Ik heb zelf lokaal een resolving/caching nameserver draaien op mijn homeserver die o.a. ook dienst doet als router en vind de setup toch wel erg prettig.
Benchen gaat trouwens makkelijk met bijvoorbeeld namebench.
Het fixen op 1 machine is geen moeilijk werk nee. Maar ik weet niet wat zijn situatie is. Ik zou er toch echt niet blij van worden als ik op alle devices even iets handmatig in moet stellen. Ga maar tellen, ik heb hier nu:
- 1 ipad
- 3 smartphones
- 3 laptops
- 1 server
- 1 HTPC
- 1 printer

Maakt in totaal 10 devices. Ga jij het overal aanpassen?

Als je het onder de noemer hobby plakt kan je alles wel goed praten. Ik vind het prima. Ik geef alleen argumenten om het niet te doen. Het is aan hem de keus wat hij hiermee doet.

Als je overigens argumenten hebt om het wel op een server te plaatsen dan hoor ik het graag. De setup "prettig vinden" vind ik niet bepaald een argument om het wel te doen.

zondag 18 augustus 2013 12:54

Acties:
  • 0 Henk 'm!
  • HollowGamer
  • Registratie: Februari 2009
  • Niet online

HollowGamer

Topicstarter
Craven schreef op zondag 18 augustus 2013 @ 09:46:
Ik heb zelf ook een servertje staan maar ik heb DHCP en DNS gewoon op mijn router draaien. Ik heb graag alle services die nodig zijn voor internet ook op het device staan die nu toch al de SPOF voor internet is. Ik heb nog nooit meerwaarde gezien in een server als DNS of DHCP. Tenzij je iets als active directory gaat draaien.

Het cachen van DNS queries en beantwoorden kun je eventueel wel vergelijken met wat tests maar ik verwacht niet dat je server dit echt sneller gaat afhandelen dan je router.

Overigens heeft het ook 1 simpel praktisch voordeel. Als mijn uitvalt of ik moet wat onderhoud doen dan wil ik wel gewoon functionerend internet hebben.
Daar zit inderdaad een kern van waarheid in. Als ik immers de server uitzet voor onderhoud, heb ik ook op alle andere devices geen internet (DHCP/DNS) meer.
Hero of Time schreef op zondag 18 augustus 2013 @ 09:54:
[...]

Precies, als je een update installeert en je config is naar de haaien of je hebt andere problemen met het systeem, kan de rest van 't huis het internet niet meer op. Jijzelf ook niet om naar een oplossing te zoeken!
Klopt helemaal. Ik denk dat deze en de vorige comment inderdaad belangrijke redenen zijn om toch de DNS/DHCP over te laten aan de router (met dd-wrt). :)
Raymond P schreef op zondag 18 augustus 2013 @ 10:53:
Als je zelf het internet niet meer op kan omdat je geen iptje krijgt van DHCPD dan moet je je hier inderdaad niet mee bezig houden. ;)
TS geeft aan dat het (gedeeltelijk) een hobby projectje is, en onder de noemer 'hobby' is bijna niets te gek.

Ik heb zelf lokaal een resolving/caching nameserver draaien op mijn homeserver die o.a. ook dienst doet als router en vind de setup toch wel erg prettig.
Benchen gaat trouwens makkelijk met bijvoorbeeld namebench.
Bedankt voor de namebench tip! Ik ga eens zeker kijken naar welke performance ik met deze setup haal.
Het gaat mij inderdaad om een leer/hobby-project. Als Tweaker zijnde wil je toch het maximale uit je apparaten/netwerk(en) halen! :P

Wat ik als prettig heb ervaren is dat de configs makkelijker zijn aan te passsen. Waarbij een router deze weer even opnieuw dient worden opgestart, gaat het net toch even wat makkelijker met service restart.

Ik ben nu wel wat meer enthousiast over dd-wrt. Hopelijk kan ik daar vandaag nog even aan 'prutsen'. :)
Craven schreef op zondag 18 augustus 2013 @ 11:39:
[...]

Het fixen op 1 machine is geen moeilijk werk nee. Maar ik weet niet wat zijn situatie is. Ik zou er toch echt niet blij van worden als ik op alle devices even iets handmatig in moet stellen. Ga maar tellen, ik heb hier nu:
- 1 ipad
- 3 smartphones
- 3 laptops
- 1 server
- 1 HTPC
- 1 printer

Maakt in totaal 10 devices. Ga jij het overal aanpassen?

Als je het onder de noemer hobby plakt kan je alles wel goed praten. Ik vind het prima. Ik geef alleen argumenten om het niet te doen. Het is aan hem de keus wat hij hiermee doet.

Als je overigens argumenten hebt om het wel op een server te plaatsen dan hoor ik het graag. De setup "prettig vinden" vind ik niet bepaald een argument om het wel te doen.
Daar zit ook een kern van waarheid in. Het is natuurlijk wel zo dat ik onderscheid maak tussen apparaten die altijd een vast IP-adres dienen te hebben en de rest die gewoon via de DHCP een IP-adres krijgen uitgedeeld. Mijn bedoeling is dan ook het mogelijk te maken om mijn netwerk-apparaten op basis van 'hostname' te benaderen i.p.v. IP. Dit is toch iets makkelijker te onthouden + als ik de DHCP-scope veranderd hoef ik me niet druk te maken dat ik op alle andere apparaten weer het correct IP-adres moet gaan invullen. Ik was zelf opzoek naar een zo licht mogelijke setup, nu met deze comments kom ik een stuk verder! :)

Bedankt allemaal voor de reacties. Ik ga proberen de setup van server1 te verplaatsen naar dd-wrt. Hierdoor kan ik ook een eigen DHCP/DNS draaien. Ziggo ondersteund alleen zijn eigen DNS-servers (Ubee modem) omdat deze altijd in verbinding moeten staan met de Ziggo server(s)? Tenminste dat lijkt me het idee erachter. ;)

zondag 18 augustus 2013 22:10

Acties:
  • 0 Henk 'm!
  • HollowGamer
  • Registratie: Februari 2009
  • Niet online

HollowGamer

Topicstarter
Inmiddels heb ik de configuratie kunnen overzetten naar DD-wrt. Daarop draait dan nu ook DNS en DHCP services op.

Nu zit ik wel met het volgende probleem, maar misschien doen ik iets verkeerd:
Op dit moment maak ik verbinding met OpenVPN naar mijn LAN. OpenVPN is geinstalleerd op server1. Dit werkt, ik geef ook hierbij aan dat ik DNS-server wil gebruiken op mijn (dd-wrt) router: 192.168.1.1

Nu krijg ik alleen geen verbinding met 192.168.1.1, ook niet als ik de route 192.168.1.0 meegeeft. Is het misschien ook beter om deze te verhuizen naar de dd-wrt? Krijg ik dan wel de DNS-entries mee van de router? Ik kan nu bijvoorbeeld pingen naar server1.lan.

Hopelijk kan iemand mij verder helpen, Google geeft mij helaas geen antwoord.

Alvast bedankt. :)

[ Voor 4% gewijzigd door HollowGamer op 18-08-2013 22:12 ]

dinsdag 20 augustus 2013 02:00

Acties:
  • 0 Henk 'm!
  • Brabix
  • Registratie: April 2012
  • Laatst online: 30-06 17:49

Brabix

Ik neem aan dat je een andere ip reeks gebruikt op je openvpn?

In dat geval misschien even een static route toevoegen aan je dd-wrt router. Die ziet nu verzoeken komen vanaf een niet rechtstreeks verbonden ip adres en geeft dus (in theorie) antwoord via zijn default gateway. Die zit op het internet bij je provider en dus komt het antwoord nooit aan in je openvpn.

dinsdag 20 augustus 2013 08:56

Acties:
  • 0 Henk 'm!
  • Hero of Time
  • Registratie: Oktober 2004
  • Laatst online: 22:26

Hero of Time

Moderator LNX

There is only one Legend

Heb je überhaupt toegang tot andere systemen op je netwerkt? Want het klinkt alsof je routing gedeelte van de VPN niet werkt. Je moet dat wel regelen, als je alleen maar OpenVPN installeert, kan je nog nergens heen, anders dan de server zelf.

Commandline FTW | Tweakt met mate

dinsdag 20 augustus 2013 13:08

Acties:
  • 0 Henk 'm!
  • HollowGamer
  • Registratie: Februari 2009
  • Niet online

HollowGamer

Topicstarter
Brabix schreef op dinsdag 20 augustus 2013 @ 02:00:
Ik neem aan dat je een andere ip reeks gebruikt op je openvpn?

In dat geval misschien even een static route toevoegen aan je dd-wrt router. Die ziet nu verzoeken komen vanaf een niet rechtstreeks verbonden ip adres en geeft dus (in theorie) antwoord via zijn default gateway. Die zit op het internet bij je provider en dus komt het antwoord nooit aan in je openvpn.
Ja, ik gebruik de default OpenVPN range: 10.*.*.*

Dit heb ik inmiddels gedaan en nu lukt het inderdaad wel, zie comment hieronder voor oplossing. :)
Hero of Time schreef op dinsdag 20 augustus 2013 @ 08:56:
Heb je überhaupt toegang tot andere systemen op je netwerkt? Want het klinkt alsof je routing gedeelte van de VPN niet werkt. Je moet dat wel regelen, als je alleen maar OpenVPN installeert, kan je nog nergens heen, anders dan de server zelf.
Hier ook inmiddels achter dat het routing gedeelte niet correct werkte, door de firewall op DD-WRT! Nadat ik alles opnieuw had geinstalleerd van openVPN en een nacht was beziggeweest (moet leren afschakelen 's avonds! :P), had ik maar eens alles opgegooid: server(-adres) in DMZ gezet en toen ging het opeens wel allemaal! Inmiddels weer DMZ uitgeschakeld, ik wil de server immers niet (helemaal) opengooien. ;)

Ik moest de volgende poorten openen op de router (DD-WRT):
code:
1
2
3
4
5

App         Port                From        IP                  To
OpenVPN     UDP                 1194        192.168.1.101       1194
NAT         Both                3074        192.168.1.101       3074
Kerberos    UDP                 88          192.168.1.101       88
DNS         BOTH                53          192.168.1.101       53

Zou dit niet eenvoudiger kunnen? Is dit wel correct en veilig? Het grappige is dat ik zonder deze poorten wel connectie kreeg, maar geen DNS en het (public) adres niet veranderde.

OpenVPN config:
code:
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67
68
69
70
71
72
73
74
75
76
77
78
79
80
81
82
83
84
85
86
87
88
89
90
91
92
93
94
95
96
97
98
99
100
101
102
103
104
105
106
107
108
109
110
111
112
113
114
115
116
117
118
119
120
121
122
123
124
125
126
127
128
129
130
131
132
133
134
135
136
137
138
139
140
141
142
143
144
145
146
147
148
149
150
151
152
153
154
155
156
157
158
159
160
161
162
163
164
165
166
167
168
169
170
171
172
173
174
175
176
177
178
179
180
181
182
183
184
185
186
187
188
189
190
191
192
193
194
195
196
197
198
199
200
201
202
203
204
205
206
207
208
209
210
211
212
213
214
215
216
217
218
219
220
221
222
223
224
225
226
227
228
229
230
231
232
233
234
235
236
237
238
239
240
241
242
243
244
245
246
247
248
249
250
251
252
253
254
255
256
257
258
259
260
261
262
263
264
265
266
267
268
269
270
271
272
273
274
275
276
277
278
279
280
281
282
283
284
285
286
287
288
289
290
291
292
293
294
295
296
297
298
299
300
301
302

#################################################
# Sample OpenVPN 2.0 config file for            #
# multi-client server.                          #
#                                               #
# This file is for the server side              #
# of a many-clients <-> one-server              #
# OpenVPN configuration.                        #
#                                               #
# OpenVPN also supports                         #
# single-machine <-> single-machine             #
# configurations (See the Examples page         #
# on the web site for more info).               #
#                                               #
# This config should work on Windows            #
# or Linux/BSD systems.  Remember on            #
# Windows to quote pathnames and use            #
# double backslashes, e.g.:                     #
# "C:\\Program Files\\OpenVPN\\config\\foo.key" #
#                                               #
# Comments are preceded with '#' or ';'         #
#################################################

# Which local IP address should OpenVPN
# listen on? (optional)
;local a.b.c.d

# Which TCP/UDP port should OpenVPN listen on?
# If you want to run multiple OpenVPN instances
# on the same machine, use a different port
# number for each one.  You will need to
# open up this port on your firewall.
port 1194

# TCP or UDP server?
;proto tcp
proto udp

# "dev tun" will create a routed IP tunnel,
# "dev tap" will create an ethernet tunnel.
# Use "dev tap0" if you are ethernet bridging
# and have precreated a tap0 virtual interface
# and bridged it with your ethernet interface.
# If you want to control access policies
# over the VPN, you must create firewall
# rules for the the TUN/TAP interface.
# On non-Windows systems, you can give
# an explicit unit number, such as tun0.
# On Windows, use "dev-node" for this.
# On most systems, the VPN will not function
# unless you partially or fully disable
# the firewall for the TUN/TAP interface.
;dev tap
dev tun

# Windows needs the TAP-Win32 adapter name
# from the Network Connections panel if you
# have more than one.  On XP SP2 or higher,
# you may need to selectively disable the
# Windows firewall for the TAP adapter.
# Non-Windows systems usually don't need this.
;dev-node MyTap

# SSL/TLS root certificate (ca), certificate
# (cert), and private key (key).  Each client
# and the server must have their own cert and
# key file.  The server and all clients will
# use the same ca file.
#
# See the "easy-rsa" directory for a series
# of scripts for generating RSA certificates
# and private keys.  Remember to use
# a unique Common Name for the server
# and each of the client certificates.
#
# Any X509 key management system can be used.
# OpenVPN can also use a PKCS #12 formatted key file
# (see "pkcs12" directive in man page).
ca ca.crt
cert **.crt
key **.key  # This file should be kept secret

# Diffie hellman parameters.
# Generate your own with:
#   openssl dhparam -out dh1024.pem 1024
# Substitute 2048 for 1024 if you are using
# 2048 bit keys. 
dh dh1024.pem

# Configure server mode and supply a VPN subnet
# for OpenVPN to draw client addresses from.
# The server will take 10.8.0.1 for itself,
# the rest will be made available to clients.
# Each client will be able to reach the server
# on 10.8.0.1. Comment this line out if you are
# ethernet bridging. See the man page for more info.
server 10.8.0.0 255.255.255.0

# Maintain a record of client <-> virtual IP address
# associations in this file.  If OpenVPN goes down or
# is restarted, reconnecting clients can be assigned
# the same virtual IP address from the pool that was
# previously assigned.
ifconfig-pool-persist ipp.txt

# Configure server mode for ethernet bridging.
# You must first use your OS's bridging capability
# to bridge the TAP interface with the ethernet
# NIC interface.  Then you must manually set the
# IP/netmask on the bridge interface, here we
# assume 10.8.0.4/255.255.255.0.  Finally we
# must set aside an IP range in this subnet
# (start=10.8.0.50 end=10.8.0.100) to allocate
# to connecting clients.  Leave this line commented
# out unless you are ethernet bridging.
;server-bridge 10.8.0.4 255.255.255.0 10.8.0.50 10.8.0.100

# Configure server mode for ethernet bridging
# using a DHCP-proxy, where clients talk
# to the OpenVPN server-side DHCP server
# to receive their IP address allocation
# and DNS server addresses.  You must first use
# your OS's bridging capability to bridge the TAP
# interface with the ethernet NIC interface.
# Note: this mode only works on clients (such as
# Windows), where the client-side TAP adapter is
# bound to a DHCP client.
;server-bridge

# Push routes to the client to allow it
# to reach other private subnets behind
# the server.  Remember that these
# private subnets will also need
# to know to route the OpenVPN client
# address pool (10.8.0.0/255.255.255.0)
# back to the OpenVPN server.
;push "route 192.168.10.0 255.255.255.0"
;push "route 192.168.20.0 255.255.255.0"
push "route 192.168.1.0 255.255.255.0"

# To assign specific IP addresses to specific
# clients or if a connecting client has a private
# subnet behind it that should also have VPN access,
# use the subdirectory "ccd" for client-specific
# configuration files (see man page for more info).

# EXAMPLE: Suppose the client
# having the certificate common name "Thelonious"
# also has a small subnet behind his connecting
# machine, such as 192.168.40.128/255.255.255.248.
# First, uncomment out these lines:
;client-config-dir ccd
;route 192.168.40.128 255.255.255.248
# Then create a file ccd/Thelonious with this line:
#   iroute 192.168.40.128 255.255.255.248
# This will allow Thelonious' private subnet to
# access the VPN.  This example will only work
# if you are routing, not bridging, i.e. you are
# using "dev tun" and "server" directives.

# EXAMPLE: Suppose you want to give
# Thelonious a fixed VPN IP address of 10.9.0.1.
# First uncomment out these lines:
;client-config-dir ccd
;route 10.9.0.0 255.255.255.252
# Then add this line to ccd/Thelonious:
#   ifconfig-push 10.9.0.1 10.9.0.2

# Suppose that you want to enable different
# firewall access policies for different groups
# of clients.  There are two methods:
# (1) Run multiple OpenVPN daemons, one for each
#     group, and firewall the TUN/TAP interface
#     for each group/daemon appropriately.
# (2) (Advanced) Create a script to dynamically
#     modify the firewall in response to access
#     from different clients.  See man
#     page for more info on learn-address script.
;learn-address ./script

# If enabled, this directive will configure
# all clients to redirect their default
# network gateway through the VPN, causing
# all IP traffic such as web browsing and
# and DNS lookups to go through the VPN
# (The OpenVPN server machine may need to NAT
# or bridge the TUN/TAP interface to the internet
# in order for this to work properly).
push "redirect-gateway def1 bypass-dhcp"

# Certain Windows-specific network settings
# can be pushed to clients, such as DNS
# or WINS server addresses.  CAVEAT:
# http://openvpn.net/faq.html#dhcpcaveats
# The addresses below refer to the public
# DNS servers provided by opendns.com.
;push "dhcp-option DNS 208.67.222.222"
;push "dhcp-option DNS 208.67.220.220"
push "dhcp-option DNS 192.168.1.1"
push "dhcp-option DOMAIN home.lan"

# Uncomment this directive to allow different
# clients to be able to "see" each other.
# By default, clients will only see the server.
# To force clients to only see the server, you
# will also need to appropriately firewall the
# server's TUN/TAP interface.
client-to-client

# Uncomment this directive if multiple clients
# might connect with the same certificate/key
# files or common names.  This is recommended
# only for testing purposes.  For production use,
# each client should have its own certificate/key
# pair.
#
# IF YOU HAVE NOT GENERATED INDIVIDUAL
# CERTIFICATE/KEY PAIRS FOR EACH CLIENT,
# EACH HAVING ITS OWN UNIQUE "COMMON NAME",
# UNCOMMENT THIS LINE OUT.
;duplicate-cn

# The keepalive directive causes ping-like
# messages to be sent back and forth over
# the link so that each side knows when
# the other side has gone down.
# Ping every 10 seconds, assume that remote
# peer is down if no ping received during
# a 120 second time period.
keepalive 10 120

# For extra security beyond that provided
# by SSL/TLS, create an "HMAC firewall"
# to help block DoS attacks and UDP port flooding.
#
# Generate with:
#   openvpn --genkey --secret ta.key
#
# The server and each client must have
# a copy of this key.
# The second parameter should be '0'
# on the server and '1' on the clients.
;tls-auth ta.key 0 # This file is secret

# Select a cryptographic cipher.
# This config item must be copied to
# the client config file as well.
;cipher BF-CBC        # Blowfish (default)
;cipher AES-128-CBC   # AES
;cipher DES-EDE3-CBC  # Triple-DES

# Enable compression on the VPN link.
# If you enable it here, you must also
# enable it in the client config file.
comp-lzo

# The maximum number of concurrently connected
# clients we want to allow.
;max-clients 100

# It's a good idea to reduce the OpenVPN
# daemon's privileges after initialization.
#
# You can uncomment this out on
# non-Windows systems.
user nobody
group nobody

# The persist options will try to avoid
# accessing certain resources on restart
# that may no longer be accessible because
# of the privilege downgrade.
persist-key
persist-tun

# Output a short status file showing
# current connections, truncated
# and rewritten every minute.
status openvpn-status.log

# By default, log messages will go to the syslog (or
# on Windows, if running as a service, they will go to
# the "\Program Files\OpenVPN\log" directory).
# Use log or log-append to override this default.
# "log" will truncate the log file on OpenVPN startup,
# while "log-append" will append to it.  Use one
# or the other (but not both).
;log         openvpn.log
;log-append  openvpn.log

# Set the appropriate level of log
# file verbosity.
#
# 0 is silent, except for fatal errors
# 4 is reasonable for general usage
# 5 and 6 can help to debug connection problems
# 9 is extremely verbose
verb 6

# Silence repeating messages.  At most 20
# sequential messages of the same message
# category will be output to the log.
;mute 20

Inmiddels kan ik dus ook pingen en connectie maken naar PC's in mijn eigen LAN: <hostname>.home.lan :)

Ik zou graag willen vragen of ik kan improven of het beter zo kan laten. Lees veel over bridge-mode, maar volgensmij is dit niet zo nodig, alleen als ik remote ook een IP-adres wil hebben van mijn LAN-range, toch? :X

Bedankt voor alle hulp zo ver! :D

PS:
Voor gebruikers die ook bezig zijn met OpenVPN, deze twee wiki's hebben mij ongelooflijk veel geholpen:
https://help.ubuntu.com/13.04/serverguide/openvpn.html
https://wiki.archlinux.org/index.php/OpenVPN (Vooral UFW gedeelte)

PS2:
Ik draai OpenVPN niet op de DD-WRT wegens lage CPU/MEM. De router moet stabiel blijven werken en niet crashen! :P

dinsdag 20 augustus 2013 21:52

Acties:
  • 0 Henk 'm!
  • Thc_Nbl
  • Registratie: Juli 2001
  • Laatst online: 21-05 22:24

Thc_Nbl

tjsa.. als je het echt goed wilt doen.

zet een 2e netwerk kaart in je server.
installeer een firewall . ufw of via gui een simpele is firestarter

bel ziggo laat je router in bridge zetten .

de truuk nu is dat alle programmas die je voor je lan wilt gebruiken laat je alleen op die netwerk kaart draaien.

b.v. zo.
nic 1 = internetip , apache vhost voor alleen de naam die je wilt. kan je websites draaien.
minder gezeur met routers die protocolen niet goed doorlaten en dergelijke.
( of niets en dan heb je prima firewall.
nic 2,= dhcp + dns , stop in je dns b.v. een ad-block iplijstje en je pc's internetten een stuk veiliger.
( ja ik weet het, niet fijn voor de website houders, maar moet er maar eerst een beter beleid en controle op ad's komen )

samba erbij en je hebt een server, of doe gek en zet er samba en zarafa op, heb je een exchange omgeving op Linux.
( zoek maar eens op jaffas, dan zie je dat dit opzetten niet zo moeilijk is. )
maar zou zeggen begin bij het begin.
2 nics, firewall en dhcp+dns, je zal merken dat je netwerk vlotter zal reageren.

zet je muziek op de server en installereer minidnla en je kan je muziek streamen, of doe gek en installer plexmedia server.. :+ zo heb je wat om over na te denken :+

ehhh.. noppes

dinsdag 20 augustus 2013 22:13

Acties:
  • 0 Henk 'm!
  • Wolfboy
  • Registratie: Januari 2001
  • Niet online

Wolfboy

ubi dubium ibi libertas

Als je meer performance wil hebben dan zou ik pdnsd (https://wiki.archlinux.org/index.php/Pdnsd) aanraden. Die kan parallel querien wat vooral erg handig is als je nogal variabele internet verbindingen hebt (i.e. dns van je isp, google en opendns tegelijk querien en de eerste resultaten pakken).

Geeft naar mijn ervaring veel betere internet performance als je op variabele locaties bent.

Blog [Stackoverflow] [LinkedIn]

woensdag 21 augustus 2013 18:01

Acties:
  • 0 Henk 'm!
  • ppl
  • Registratie: Juni 2001
  • Niet online

ppl

Craven schreef op zondag 18 augustus 2013 @ 09:46:
Ik heb zelf ook een servertje staan maar ik heb DHCP en DNS gewoon op mijn router draaien. Ik heb graag alle services die nodig zijn voor internet ook op het device staan die nu toch al de SPOF voor internet is. Ik heb nog nooit meerwaarde gezien in een server als DNS of DHCP. Tenzij je iets als active directory gaat draaien.
Als je graag iets van een netwerk in huis wil hebben zodat je bijv. op je tv de films die op je NAS staan kunt kijken dan is iets als DHCP en DNS van essentieel belang. Het is zeer zeker niet een mechanisme wat alleen maar bedoelt is om internettoegang te verschaffen. Het hebben van een SPOF van wat dan ook kun je thuis ook moeilijk afvangen. Buiten dat is het ook helemaal niet nodig.
Overigens heeft het ook 1 simpel praktisch voordeel. Als mijn uitvalt of ik moet wat onderhoud doen dan wil ik wel gewoon functionerend internet hebben.
Maar als je onderhoud aan je server doet kun je niet bij de services op je server. Idem voor je NAS en ga zo maar door. Kortom, als je iets in onderhoud wil nemen is het makkelijker om even na te denken alvorens je dat doet want er zullen dingen plat gaan/niet meer werken. Als je daar even over nadenkt is het ook al snel niet meer zo'n probleem waar iets als DHCP of DNS draait. Zelfs voor iets als AD (lokale accounts voor beheer!).
Pagina: 1
Reageer

Apple iPhone 17 LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2025 Hosting door TrueFullstaq