[FreeBSD] ADSL en NAT - Linux en overige clients

vrijdag 14 februari 2003 16:54

Acties:

Verwijderd

Topicstarter

Er is mij gevraagd om een netwerk met 8 PC's op te zetten, die via MXStream contact met het internet moeten maken.

Gezien mijn ervaring met Chello/LAN van universiteit, FreeBSD en meerdere PCs erachter leek me dat geen probleem. (Ikzelf heb nu een LAN-verbinding met daarbij een FreeBSD-doos die het internet verdeeld dmv. NAT/IPF voor mijn windows werkstations.) Dus ik heb die klus op mij genomen. Echter na wat leeswerk hier op GOT, http://www.xs4all.nl/~possamai/adsl/pptp/ en http://www.mostgraveconcern.com/freebsd/ begin ik nu toch ernstig te twijfelen of het wel gaat (NATD/IPFilter + FreeBSD server).

Het netwerk moet er dus als volgt uit komen te zien:

code:

1	Internet <-> ADSL modem <- PPTP-client -> Eth1 : FreeBSD box : Eth2 <-> HUB <-> PC 1-8

ADSL modem: intern IP, 10.0.38/255.255.255.0
Eth1: intern IP 10.0.0.1/255.255.255.0
Eth2: intern IP 192.168.1.1 / 255.255.255.0
PC1-8: intern IP 192.168.1. 2-9/255.255.255.0

Mijn vraag dus gaat dat lukken met MXStream? Ik heb namelijk zowiezo al het gevoel dat dat met die 255.255.255.0 subnets mis gaat.

Wat ik wel al weet:

* FreeBSD doos inrichten (IPF support in kernel compilen)
* PPTP client installeren (zie URL boven)

Als ik dingen moet verduidelijken dan roept u maar $_/-\o_$

vrijdag 14 februari 2003 17:06

Acties:

Verwijderd

Verwijderd schreef op 14 February 2003 @ 16:54:
Mijn vraag dus gaat dat lukken met MXStream? Ik heb namelijk zowiezo al het gevoel dat dat met die 255.255.255.0 subnets mis gaat.

Wat heb je al geprobeerd en waar loop je op vast? Wat is het probleem met die subnetten

vrijdag 14 februari 2003 17:07

Acties:

Jelmer

Mocht je het aandurven om je modem te tweaken, kan ik je SIP spoof aan bevelen (zie oa topic in mn sig)

Verder geeft het subnet aan hoeveel ip's er beschikbaar zijn. Bijv bij 10.0.0.0 met een 255.255.255.0 subnetmask, heb je 10.0.0.1 tm 10.0.0.254 voor pc's beschikbaar. Met een subnetmask van 255.0.0.0 heb je 255*255*255-2 ip's beschikbaar binnen de 10.0.0.0 range. Ditzelfde geld voor 192.168.x.x

vrijdag 14 februari 2003 17:07

Acties:

Verwijderd

al die ip adressen van je adsl en eth1 zijn dat static of kan je ook een ip via een dhcp server krijgen.
Mijn bro heeft adsl maar krijg een ip van een dhcp server hij hoeft dus niets statische in te vullen.

vrijdag 14 februari 2003 17:08

Acties:

Verwijderd

Topicstarter

Ik heb nog niets geprobeerd, want ik wil eerst even goed nadenken over hoe het netwerk eruit moet komen te zien voordat ik van alles ga proberen.

Dus als ik jou zo hoor moet het dat met die 255.255.255.0 subnetten van de 192.168.x.x IP range en 10.0.0.x IP range niet misgaan?

vrijdag 14 februari 2003 17:09

Acties:

NuKeFaCe

10.0.38/255.255.255.0 dat zou 10.0.0.138/255.0.0.0 moeten zijn.
Moet makkelijk te doen zijn met 8 pc's, alleen zou ik niet weten hou dat moet met die freebsd bak, ikzelf heb namelijk een vigor 2200E routertje

vrijdag 14 februari 2003 17:09

Acties:

Wilke

Mja...ik snap niet precies wat nu het probleem is

Je wilt natuurlijk van tevoren weten waar het mis kan gaan, maar het lijkt me dat een ADSL-verbinding delen met 8 computers prima gaat werken met FreeBSD + NAT?

Wat voor modem heb je trouwens precies, ik begrijp uit je verhaal dat het geen standaard 'ethernet' ding is of heb ik dat verkeerd?

vrijdag 14 februari 2003 17:15

Acties:

Verwijderd

Topicstarter

Het is een standaard ethernet ding en ik wil daar liever niets aan tweaken. Het komt straks in een andere stad als ikzelf woon te liggen/staan. Dus ik wil niet constant op en neer hoeven te tuffen als er iets mis gaat. Misschien dat dat de reden verduidelijkt waarom ik vooraf wil weten of het kan wat ik wil?

Om kort door de bocht te gaan zet ik dus dat netwerk hetzelfde op als wat ik nu heb. Op Eth1/ED1 (10.0.0.1/255.255.255.0) hangt de modem met zijn PPTP verbinding (het nieuwe dus), de FreeBSD bak met IPF/NAT en op Eth2/ED2 (192.168.1.1/255.255.255.0) hangt het netwerk.

------
Nu ik er zo over denk een simpele 8 poorts switch, zou dat ook werken en verder geen gedonder?

Ik vermoed nu dus ook dat je een NAT over NAT aan het doen bent (met dank aan Jellmer's draadje $_/-\o_$ )
------

[ Voor 17% gewijzigd door Verwijderd op 14-02-2003 17:19 ]

vrijdag 14 februari 2003 17:20

Acties:

mtjoeng

d'r is toch wel aan een cheap adsl/router/switch te komen, momenteel? alles erin pluggen, klaar.

heb zelf kabel/4xswitch_100mb en heb er wel eens een andere switch aan gehangen (uplinkpoort). plug and play (nouja, bijna). D'r zit tegenwoordig een browser based setup/firewall in de switch zelf!

koop adsl/(10x)100mb_switch/router, makkelijker is er toch echt niet.

oh ja, zoek na op router/switch met VNP capabilities, dat schijnt het nwste te zijn op gebied van home-networking, en veilig, kunne ze thuis verder typen.

(en inderdaad nu ik er over nadenk, de firewall in mij cheapo E-tech kan beter, da's bij duurder opgelost heb ik gelezen)

vrijdag 14 februari 2003 21:40

Acties:

AVL

OHMSS

Ik heb meerdere van deze systemen draaien (ADSL verdelen door een FreeBSD machine + ipnat + ipf + squid) bij verschillende bedrijven, en het geeft eigenlijk nooit problemen. Wel is het handig om het ip-adres van het modem op iets anders te zetten dan 10.0.0.138 zodat je niet in de knoop raakt met bestaande subnetten bij sommige bedrijven.

Ik zou zeggen, kom terug als je echt een probleem hebt

. En eventueel kan je me mailen als je wat info nodig hebt.

"I'd rather have a bottle in front of me than a frontal lobotomy."

vrijdag 14 februari 2003 21:52

Acties:

Verwijderd

Bij mij werkt het ook al 2 jaar prima.

zaterdag 15 februari 2003 13:27

Acties:

Verwijderd

Topicstarter

Great! die antwoorden was ik naar op zoek ... ik ga er mee aan de slag

zaterdag 15 februari 2003 13:55

Acties:

ferno

**********

Ik draai gewoon FreeBSD 4.7 met pptp ipf en nat en dat gaat erg goed.
Ik draai ook apache(mod_ssl, mod_php), MySQL, PureFTP, Postgres, Qmail, Courier etc. en maar op een pentium 233 met 128MB en het draait als een zonnetje.

Ik heb ook met MPD en IPFW geprobeerd in het begin maar dat kreeg ik niet voor elkaar maar met pptp client, ipf en ipnat gaat het perfect.

Ik heb nooit last van connection loss en mijn uptime wordt alleen beinvloed door geplande reboots.

Verwijderd schreef op 14 February 2003 @ 16:54:
Er is mij gevraagd om een netwerk met 8 PC's op te zetten, die via MXStream contact met het internet moeten maken.

Gezien mijn ervaring met Chello/LAN van universiteit, FreeBSD en meerdere PCs erachter leek me dat geen probleem. (Ikzelf heb nu een LAN-verbinding met daarbij een FreeBSD-doos die het internet verdeeld dmv. NAT/IPF voor mijn windows werkstations.) Dus ik heb die klus op mij genomen. Echter na wat leeswerk hier op GOT, http://www.xs4all.nl/~possamai/adsl/pptp/ en http://www.mostgraveconcern.com/freebsd/ begin ik nu toch ernstig te twijfelen of het wel gaat (NATD/IPFilter + FreeBSD server).

Het netwerk moet er dus als volgt uit komen te zien:
code:
1
Internet <-> ADSL modem <- PPTP-client -> Eth1 : FreeBSD box : Eth2 <-> HUB <-> PC 1-8
ADSL modem: intern IP, 10.0.38/255.255.255.0
Eth1: intern IP 10.0.0.1/255.255.255.0
Eth2: intern IP 192.168.1.1 / 255.255.255.0
PC1-8: intern IP 192.168.1. 2-9/255.255.255.0

Mijn vraag dus gaat dat lukken met MXStream? Ik heb namelijk zowiezo al het gevoel dat dat met die 255.255.255.0 subnets mis gaat.

Wat ik wel al weet:
* FreeBSD doos inrichten (IPF support in kernel compilen)
* PPTP client installeren (zie URL boven)

Als ik dingen moet verduidelijken dan roept u maar

640K Should be enough for everyone! ;) Bill Gates

zaterdag 15 februari 2003 14:02

Acties:

ferno

**********

Ah,

Dat was de vraag.

ik heb gewoon een 255.255.255.0 subnet en mijn machines zitten in de 192.168.x.x range de router zelf is 255.255.255.0 192.168.1.1 en de externe nic is 10.0.0.100 en subnet 255.255.0.0.

Je firewall is wat lastiger maar waar je op moet letten is dat je het GRE protocol niet blokeert.

Verwijderd schreef op 14 February 2003 @ 17:08:
Ik heb nog niets geprobeerd, want ik wil eerst even goed nadenken over hoe het netwerk eruit moet komen te zien voordat ik van alles ga proberen.

Dus als ik jou zo hoor moet het dat met die 255.255.255.0 subnetten van de 192.168.x.x IP range en 10.0.0.x IP range niet misgaan?

640K Should be enough for everyone! ;) Bill Gates

zaterdag 15 februari 2003 14:12

Acties:

ferno

**********

Een beetje offtopic maar ik maak toch gebruik van de kans,

Ondanks het dat het bij mij erg goed werkt zoals het nu staat met Freebsd ben ik toch van plan zo'n routertje te kopen.

De reden is dat ik een extra 4 poot switch nodig heb en deze bijna net zo duur zijn als zo'n sweex met ingebouwde router firewall etc.
Waar ik me wel een beetje zorgen over maak is dus de firewall en hoe goed is het, het.

Ook het feit dat een ids als Snort dan minder goed zijn werk kan doen (je kan niet dynamisch een poort dicht gooien op de firewall van de router en dat kan wel met snort en IPF) baart mij zorgen, in de sweex zit wel een mail funktie voor notificatie van de admin als er dos aanvallen etc. op de router gedaan worden maar dat is natuurlijk van het nieveau speelgoed ben ik bang voor.

Heb jij links naar reviews van dit soor devices?

Alast dank.

(en inderdaad nu ik er over nadenk, de firewall in mij cheapo E-tech kan beter, da's bij duurder opgelost heb ik gelezen)[/quote]

640K Should be enough for everyone! ;) Bill Gates

zaterdag 15 februari 2003 14:30

Acties:

Verwijderd

http://www.kjkoster.org/content/adsl.jsp

Sim-pel

zaterdag 15 februari 2003 20:51

Acties:

Infern0

Hou die ontzettende rust!!

Ik heb zeer goede ervaringen met het SIP Spoof gebruik van de ADSL modem. Ik heb het bij mijn ouders geinstalleerd en het enige wat ik nog hoef te doen is af toe ssh upgraden. Voordeel van SIP vind ik dat je gewoon direct op het internet zit, zonder al dat gezeur met VPN en dubbele nat. Ik had in het verleden meer problemen met een PPTP verbinding dan nu met SIP (maar dat kan ook aan de verbeterde kwaliteit van ADSL liggen)

[spam mode] op http://www.bsdfreaks.nl staan een 4 howto's over FreeBSD met MXstream[/spam mode]

http://www.bsdfreaks.nl Home site: http://rob.lensen.nu /me was RobL

dinsdag 18 februari 2003 23:32

Acties:

ferno

**********

[spam mode] op http://www.bsdfreaks.nl staan een 4 howto's over FreeBSD met MXstream[/spam mode]

Life Savers if I may say so.

640K Should be enough for everyone! ;) Bill Gates

dinsdag 18 februari 2003 23:39

Acties:

wizl

hmmz

waarom zo moeilijk allemaal?

ik heb gewoon

code:

1	LAN (192.168.49.0/24) <---> xl0 (192.168.49.1) FreeBSD 4.7 xl1 (10.0.0.1) <---> 10.0.0.138 (Alcatel Speedtouch 510)

De default gateway voor mijn werkstations is 192.168.49.1. De BSD bak draait ipf en ipnat voor firewalling en nat. Op de Alcatel router hoef je alleen 'default server' in te stellen op 10.0.0.1 en al het verkeer dat op de ppp0 interface van je ADSL router binnenkomt komt wordt 1 op 1 doorgesluisd naar 10.0.0.1. HOEF JE NIX VOOR TE DOEN

(ow ja, en de default gateway op BSD is natuurlijk 10.0.0.138)
De sshd die op BSD draait is dus gewoon te benaderen via zeg. 80.1.2.3.4:22 Eventuele redirects regel je in ipnat.

(vroeger moest dit dus d.m.v. die SIP spoof begrijp ik

)

Als je nog vragen hebt

[ Voor 18% gewijzigd door wizl op 18-02-2003 23:43 ]

dinsdag 13 mei 2003 20:15

Acties:

Verwijderd

Topicstarter

Ik word hier stapel gek van... dat PPTP werkte voor geen meter allemaal vage errors

Uiteindelijk maar de externe NIC ingesteld op DHCP en zowaar het werkt! Althans blijkt nu dat er maar 1 PC op het interne netwerk draait. Komt dat doordat FreeBSD via een DHCP contact maakt met de ADSL modem?

woensdag 14 mei 2003 12:57

Acties:

vso

tja...

Verwijderd schreef op 13 mei 2003 @ 20:15:
Ik word hier stapel gek van... dat PPTP werkte voor geen meter allemaal vage errors

Uiteindelijk maar de externe NIC ingesteld op DHCP en zowaar het werkt! Althans blijkt nu dat er maar 1 PC op het interne netwerk draait. Komt dat doordat FreeBSD via een DHCP contact maakt met de ADSL modem?

Beetje

DOH verhaal
1) Je modem is een advanced router dit betekend dat dat "ADSL" kreng al verbinding/inbelt (PPP over ATM/Ethernet) voor je ... dus het is ook al een DHCP server zeer waarschijnlijk en je NAT wordt ook al gedaan

(je huidige situatie-schets volgens mij)
[internet]---[DSL-Modem+firewall+NAT+DHCP]----[FreeBSD+IPFILTER+NAT]---[RESTANT-Netwerk]

2) zeer waarschijnlijk doet je BSD-bak en DSL modem hetzelfde.... beetje onzinig vindt je ook niet ?

-----------------------------------------------------------------------

ik zou of de BSD bak ertussen uit schoppen of je Advanced-DSL modem terug brengen naar een Bridge(pptp.ini van http://www.mxstream.nl site vandaan plukken) zodat je wel gebruik kan maken van pptp dailin mogelijkheden op je BSD bak, mocht je tunnels en advanced features willen gebruiken van je BSD-bak

[ Voor 3% gewijzigd door vso op 14-05-2003 12:58 ]

Tja vanalles

woensdag 14 mei 2003 16:05

Acties:

Verwijderd

Topicstarter

Je situatie schets klopt. Dus als ik de server eruit zou gooien en vervolgens alle windows PCs op DHCP zet met 10.0.0138 als gateway zou het volgens jou moeten werken?

En als ik de server wel wil laten staan zet ik dus de NIC die met de ADSL moden is verbonden op 10.0.0.150 / 255.255.255.0 ... tja het is het proberen waard.

woensdag 14 mei 2003 20:54

Acties:

Verwijderd

wizl schreef op 18 februari 2003 @ 23:39:
waarom zo moeilijk allemaal?

ik heb gewoon
code:
1
LAN (192.168.49.0/24) <---> xl0 (192.168.49.1) FreeBSD 4.7 xl1 (10.0.0.1) <---> 10.0.0.138 (Alcatel Speedtouch 510)
De default gateway voor mijn werkstations is 192.168.49.1. De BSD bak draait ipf en ipnat voor firewalling en nat. Op de Alcatel router hoef je alleen 'default server' in te stellen op 10.0.0.1 en al het verkeer dat op de ppp0 interface van je ADSL router binnenkomt komt wordt 1 op 1 doorgesluisd naar 10.0.0.1. HOEF JE NIX VOOR TE DOEN (ow ja, en de default gateway op BSD is natuurlijk 10.0.0.138)
De sshd die op BSD draait is dus gewoon te benaderen via zeg. 80.1.2.3.4:22 Eventuele redirects regel je in ipnat.

(vroeger moest dit dus d.m.v. die SIP spoof begrijp ik )

Als je nog vragen hebt

Die Speedtouch 510 is al een router. Is het dan niet verspilling om niet die functie te gebruiken. Of vindt je de router te karig?

donderdag 15 mei 2003 00:27

Acties:

wizl

hmmz

Verwijderd schreef op 14 May 2003 @ 20:54:
[...]
Die Speedtouch 510 is al een router. Is het dan niet verspilling om niet die functie
te gebruiken. Of vindt je de router te karig?

Yupz. Op de BSD bak kan ik veel preciezer redirecten, mappen, filteren, loggen, noem maar op

donderdag 15 mei 2003 10:09

Acties:

vso

tja...

wizl schreef op 15 mei 2003 @ 00:27:
[...]

Yupz. Op de BSD bak kan ik veel preciezer redirecten, mappen, filteren, loggen, noem maar op

de speedtouch is wel leuk maar heeft een " advanced" (lees Basic) aantal functionaliteiten. wat een BSD bak meer biedt is nog meer functionaliteiten en tja heb je dat echt nodig ?

Je situatie scDoor willblack - 14-05-2003 16:05hets klopt. Dus als ik de server eruit zou gooien en vervolgens alle windows PCs op DHCP zet met 10.0.0138 als gateway zou het volgens jou moeten werken?

En als ik de server wel wil laten staan zet ik dus de NIC die met de ADSL moden is verbonden op 10.0.0.150 / 255.255.255.0 ... tja het is het proberen waard.

Nee dat werkt niet. gewoon alles op DHCP zetten en de DSL-router doet de rest (daar zit toch immers ook een DHCP server in:?)

10.0.0.138 = de dsl modem
10.0.0.x is de (virtuele) netwerkkaart
Waarmee je verbinding maakt met het modem hiervoor moet je met een PPPoE of PPPoA prog connectie tussen 10.0.0.138 en 10.0.0.x maken. Wat je aanlegt is een VLAN en over die VLAN ga jij vervolgens nog een VLAN aanleggen om met je (PPP) provider verbinding te maken, zo werkt de PPPoE/A software

[ Voor 5% gewijzigd door vso op 15-05-2003 10:10 ]

Tja vanalles

donderdag 15 mei 2003 10:47

Acties:

MikeN

Ik ben bij het ADSL modem wat ik morgen ophaal van plan een SIP spoof te doen. Instructies daarvoor staan op http://jp.dhs.org/~jp/510.html .
Ik heb namelijk geen zin om met een hardware router te zitten (firewall regel ik liever zelf) en ik heb zeker al geen zin om met een dubbele NAT te zitten.

donderdag 15 mei 2003 11:24

Acties:

wizl

hmmz

MikeN schreef op 15 May 2003 @ 10:47:
Ik ben bij het ADSL modem wat ik morgen ophaal van plan een SIP spoof te doen. Instructies daarvoor staan op http://jp.dhs.org/~jp/510.html .
Ik heb namelijk geen zin om met een hardware router te zitten (firewall regel ik liever zelf) en ik heb zeker al geen zin om met een dubbele NAT te zitten.

Maar vgl. mij is die hele SIP-spoof dus niet nodig!. Het werkt op de manier zoals ik boven beschreven heb als een tierelier, precies hetzelfde, en zonder rare aanpassingen aan mijn Speedtouch.

[ Voor 22% gewijzigd door wizl op 15-05-2003 11:26 ]

donderdag 15 mei 2003 12:23

Acties:

Verwijderd

Topicstarter

Die Speedtouch 510 is al een router. Is het dan niet verspilling om niet die functie te gebruiken. Of vindt je de router te karig?

Vergeef me mijn onwetendheid maar als dat dus zo is moet hetvolgende dus ook werken:

code:

1	Internet (KPN) <--> ADSL modem 510 <--> switch <--> Windows PCs met DHCP naar ADSL modem

Bij de beschrijving van die Alcatel 510 modem schrijven ze nl dat dat ding kan NAT-ten en DHCP-en. Of ga ik hier nu te kort door de bocht?

donderdag 15 mei 2003 13:12

Acties:

wizl

hmmz

Ja dat werkt (en als een zonnetje I might add

)

donderdag 15 mei 2003 15:56

Acties:

MikeN

wizl schreef op 15 May 2003 @ 11:24:
[...]

Maar vgl. mij is die hele SIP-spoof dus niet nodig!. Het werkt op de manier zoals ik boven beschreven heb als een tierelier, precies hetzelfde, en zonder rare aanpassingen aan mijn Speedtouch.

Met het verschil dat jij dubbel NAT en dat jouw server zijn externe IP niet als "zijn" IP ziet. Verder is SIP-spoofing met de 510 serie geen "rare" aanpassing maar gewoon kwestie van 1 ini filetje laden.

Pagina: 1

Reageer