Networking

[imgleft]http://www.bsdfreaks.nl/images/pics/41.jpg[/imgleft]Het is makkelijk om een OpenBSD gateway for je prive netwerkje te configuren.
In het volgende artikel kan je lezen hoe dit het beste kan.

[url=http://www.muine.org/~hoang/openpf.html]Het artikel[/url]

[quote]
It is really easy to configure an OpenBSD gateway for a private network. Here are the following steps:
[/quote]

1.0 Inleiding

Deze howto is geschreven voor mensen die hun Speedtouch USB modem willen gebruiken onder FreeBSD. Stap voor stap wordt uitgelegd hoe dit te realiseren is.

[img]http://www.bsdfreaks.nl/images/pics/3.jpg[/img]
[pagebreak]
2.0 Benodigheden

De driver is ontwikkeld onder FreeBSD 4.3‚ maar deze moet ook werken vanaf FreeBSD 4.2. Als je de ‘GENERIC’ kernel hebt kan je dit gedeelte hieronder overslaan en verdergaan naar 3.0 Installatie.

Als je de ‘GENERIC’ kernel niet hebt moet er eerst gecontroleerd worden of je kernel USB en PPP support heeft.

Deze 4 regels moeten in je kernel staan:

[shell]device usb # USB Bus (required)
device gen # Generic

pseudo-device ppp 1 # Kernel PPP
pseudo-device tun # Packet tunnel.
[/shell]

Staan deze er niet in dan zul je de kernel opnieuw moeten compileren.

3.0 Installatie

Als eerst moet je http://download.ethomson.com/download/speedmgmt.tar.gz downloaden.

[shell]# fetch http://download.ethomson.com/download/speedmgmt.tar.gz
[/shell]
Vervolgens pak je hem uit met:

[shell]# tar -zxvf speedmgmt.tar.gz
[/shell]

Daarna kopieer je ‘mgmt.o’ naar ‘/usr/local/libdata’.

Vervolgens download je http://www.xsproject.org/speedtouch/files/speedtouch-1.1b.tar.gz

[shell]# fetch http://www.xsproject.org/speedtouch/files/speedtouch-1.1b.tar.gz
[/shell]

En doe je hetvolgende:

[shell]# tar -zxvf speedtouch.tar.gz
# cd speedtouch
# make
# make install
[/shell]

Als het de eerste keer is dat je dit installeert dan doe je hetvolgende:

[shell]# cat ppp.conf.sample >> /etc/ppp/ppp.conf
[/shell]

Zoniet dan kan je de aanwezige ‘/etc/ppp/ppp.conf’ gebruiken.

4.0 Configuratie

De volgende informatie heb je nodig voor de configuratie.

– login (username@xs4all-basic-adsl bijvoorbeeld)
– wachtwoord
– De ‘vpi.vci’ die gebruikt wordt door je provider. 8.48 wordt in Nederland gebruikt.
– De locatie van mgmt.o

Wijzig het bestand ‘/etc/ppp/ppp.conf’ en verander de volgende regels:

[shell]authname login@provider
authkey password
[/shell]

Daarna moet ook ‘/etc/resolv.conf’ aangepast worden met de DNS servers die je van je provider hebt gekregen (is meestal wel te vinden op de site van je provider):

Voor xs4all kan je deze dns servers gebruiken (toevoegen aan resolv.conf dus):

[shell]nameserver 194.109.9.99
nameserver 194.109.6.66
[/shell]

5.0 Connectie maken

Het maken van een connectie is ingedeeld in 3 delen:

Het initialiseren van de modem:

[shell]# modem_run -f /usr/local/libdata/mgmt.o -m
[/shell]

De interface tussen de modem en ppp starten:

[shell]# pppoa2 -vpi 8 -vci 48 &
[/shell]

Starten van ppp:

[shell]# ppp -background adsl
[/shell]

Binnen een aantal seconden moet er een verbinding gemaakt zijn. Soms kan het wel langer duren‚ wacht dan gewoon even af.
Je kan ook het bijgeleverde script gebruiken om een verbinding te maken‚ je moet dan wel de ‘vci & vpi’ en het pad naar de microcode veranderen.

6.0 Vragen of problemen

Mochten er nog vragen of problemen zijn‚ dan kan je me mailen op avthart@xs4all.nl.

[b]FreeBSD/KAME IPSEC Tunneling to Linux/FreeSwan HOWTO.[/b]

Versie 0.1 door SiD

In deze howto beschrijf ik hoe je een IPSEC VPN tunnel kunnen bouwen tussen twee netwerken die zijn afgeschermd door enerzijds een FreeBSD/KAME server en anderzijds een Linux/FreeSwan server.

Voor het gemak ga ik van het volgende uit:

Netwerk A -> FreeBSD/KAME
Public IP : 100.100.100.100
Private IP : 192.168.0.254
Private Net : 192.168.0.0/24

Netwerk B -> Linux/FreeSwan (Bestaande server met FreeSwan geïnstalleerd)
Public IP : 200.200.200.200
Next Hop : 200.200.200.199
Private IP : 192.168.1.254
Private Net : 192.168.1.0/24

[b]Kernel aanpassen[/b]
Om IPSEC te kunnen gebruiken dient eerst ondersteuning voor IPSEC in de kernel worden geladen.
Voeg hiervoor de volgende regels toe aan de kernelconfiguratie

[file]options IPSEC
options IPSEC_ESP[/file]

Compile en installeer een nieuwe kernel en herstart de server. Zie [url=http://www.freebsd.org/doc/en_US.ISO8859-1/books/handbook/kernelconfig.html]FreeBSD handboek[/url] of [url=http://www.bsdfreaks.nl/index.php/front_howto/53/9][FreeBSD] Hoe een kernel te bakken?[/url]

[b]Aanpassen rc.conf[/b]
Zorg dat gateway_enable aan staat in “/etc/rc.conf”

[file]gateway_enable=”YES”[/file]

[b]Installeer racoon[/b]
Racoon is een IKE (ISAKMP/Oakley Key) management protocol voor het uitwisselen van sleutels met andere hosts.
Installeer racoon vanuit de ports als volgt:

[shell]cd /usr/ports/security/racoon
make install clean[/shell]

Onder de directory “/usr/local/etc/racoon” staan nu twee bestanden nl. “psk.txt.dist” en “racoon.conf.dist” kopieer deze naar respectievelijk “psk.txt” en “racoon.conf” en stel de rechten van deze bestanden in op (600)

[shell]cp /usr/local/etc/racoon/psk.txt.dist /usr/local/etc/racoon/psk.txt
cp /usr/local/etc/racoon/racoon.conf.dist /usr/local/etc/racoon/racoon.conf
chmod 600 /usr/local/etc/racoon/*[/shell]

[b]Configuratie Racoon[/b]

Open het bestand “racoon.conf” in een editor en voeg de volgende gegevens toe

[file]remote [200.200.200.200]
{
exchange_mode main;
doi ipsec_doi;
situation identity_only;
my_identifier address;
lifetime time 30 min;
proposal_check obey;
proposal
{
encryption_algorithm 3des;
hash_algorithm sha1;
authentication_method pre_shared_key;
dh_group 2;
}
}

sainfo [100.100.100.100] any [200.200.200.200] any
{
pfs_group 2;
lifetime time 3600 sec;
encryption_algorithm 3des;
authentication_algorithm hmac_sha1;
compression_algorithm deflate;
}[/file]

Open “psk.txt” in een editor en voeg de volgende regel toe:

[file]xxx.xxx.xxx.xxx password[/file]
xxx.xxx.xxx.xxx = IP nummer van de VPN host aan de andere kant
password = Gedeeld wachtwoord

Automatisch starten van Racoon
Maak onder “/usr/local/etc/rc.d/098racoon.sh” een bestand aan met de volgende regel

[file]/usr/local/sbin/racoon -f /usr/local/etc/racoon/racoon.conf -l /var/log/racoon.log[/file]

[b]Configuratie IPSEC Policy[/b]
Maak onder “/usr/local/etc/rc.d/099ipsec.sh” een bestand aan met de volgende regels

[file]#!/bin/sh
#
# Set up IPSEC SA/SP database
SRC=100.100.100.100
DST=200.200.200.200
SRCNET=192.168.0.0/24
DSTNET=192.168.1.0/24
SETKEY=”/usr/sbin/setkey”

$SETKEY -FP
$SETKEY -F
$SETKEY -c << EOF flush; spdflush; spdadd ${SRCNET} ${DSTNET} any -P out ipsec esp/tunnel/${SRC}-${DST}/require; spdadd ${DSTNET} ${SRCNET} any -P in ipsec esp/tunnel/${DST}-${SRC}/require; EOF[/file] Stel de rechten van dit bestand in op (700) [shell]chmod 700 /usr/local/etc/rc.d/099ipsec.sh[/shell] [b]Configuratie FreeSwan[/b] Open het bestand "/etc/ipsec.conf" in een editor en voeg de volgende regels toe [file]conn kame-freeswan auto=start type=tunnel left=100.100.100.100 leftsubnet=192.168.0.0/24 right=200.200.200.200 rightsubnet=192.168.1.0/24 rightnexthop=200.200.200.199 keylife=30m authby=secret[/file] Open het bestand "/etc/ipsec.secrets" in een editor en voeg de volgende regel toe [file]200.200.200.200 100.100.100.100 : PSK "password"[/file] [b]Testen van de VPN tunnel[/b] Ping vanaf de FreeBSD server het private IP nummer van de Linux server aan de andere kant van de tunnel [shell]ping -S 192.168.0.254 192.168.1.254[/shell] [b]Firewall[/b] Het is verstandig om de VPN servers tevens als Firewall te gebruiken. Hier zijn echter genoeg howto's over te vinden dus ga ik hier verder niet op in. Echter wanneer je de Firewall rules gaat instellen moet je zorgen dat het volgende verkeer word toegestaan: · Voor ESP moet protocol 50 (ESP) toegestaan worden tussen beide Public IP's · Voor IKE moet UDP poort 500 toegestaan worden tussen beide Public IP's · Verder moeten er rules aanwezig zijn die verkeer tussen beide private netwerken toestaan

M. Possamai schreef deze howto en wij mochten hem hier publiceren daarvoor onze dank.
Deze howto zet je verbinding op via SIP Spoof‚ hiervoor dient wel je modem getweaked te zijn.
SIP-Spoofing (Static IP Spoofing) is een manier om je adsl modem de verbinding te laten maken‚ maar door middel van wat routing truukjes er toch voor te zorgen dat je public IP wel aan je FreeBSD bak hangt.
Dus geen problemen meer met pptp verbindingen‚ maar ook geen gezeur met portforwarding omdat je toevallig een webserver hebt draaien‚ dit werkt nu gewoon allemaal direct.

[b]Het configureren van de modem.[/b]

[u]Stap 1[/u]
Wees er zeker van dat het modem een Alcatel Speedtouch Pro is (Zie [url]http://home.wanadoo.nl/vs_waart/alcatel[/url])

[u]Stap 2[/u]
Maak met een browser verbinding met het modem (10.0.0.138)

[u]Stap 3[/u]
Gooi alle ‘Bridge’‚ ‘PPP’‚ ‘CIP’‚ ‘Phonebook’ en ‘PPTP’ instellingen weg en zet DNS en DHCP uit.

[u]Stap 4[/u]
Ga naar ‘Phonebook’ en maak een nieuwe entry: Name: SIP_SPOOF VPI: 8 VCI:48 Type:ppp

[u]Stap 5[/u]
Klik de ‘Save All’ knop

[u]Stap 6[/u]
Ga weer na ‘PPP’ en klik ‘config’. Vul bij Authentication je ADSL/MxStream username en password in‚ en verwijder het vinkje bij NAT/PAT. Verder vul je als Local IP ‘1.2.3.4’ in en kies je als mode ‘Always-on’

[u]Stap 7[/u]
Klik ‘Apply’ en dan ‘Save All’

[u]Stap 8[/u]
Ga naar ‘Routing’. De eerste tabel kan je helemaal met rust laten. Scroll helemaal naar beneden naar de IP Route table.
Verwijder daar alles‚ behalve 127.0.0.1/32-any-127.0.0.1-loop en 10.0.0.0/8-any-10.0.0.138-eth0
Voeg een route toe met de volgende waarden: Destination: Source:Any Gateway:10.0.0.138

[u]Stap 9[/u]
Klik ‘Save All’

[u]Stap 10[/u]
Ga naar ‘PPP’ en zet de ‘SIP_SPOOF’ op ‘on’

[u]Stap 11[/u]
Klik ‘Apply’ en dan ‘Save All’

Het Configureren van de modem is nu klaar.
Log nu in op je FreeBSD machine en ga door met de volgende stappen:

[b]FreeBSD Instellen.[/b]

[u]Stap 12[/u]
Configureer met ifconfig je netwerkinterface naar het adsl modem met je ADSL ipnummer (bv. 213.84.82.51) en gebruik 255.255.255.255 als netmask
Voorbeeld:
[shell]ifconfig xl0 213.84.123.123/32[/shell]

[u]Stap 13[/u]
Voeg een route naar het modem toe met:
[shell]route add -net 10.0.0.138/32 -interface -cloning[/shell]

[u]Stap 14[/u]
Stel vervolgens het adsl modem in als default route:
[shell]route change default 10.0.0.138[/shell]
(of ‘add’ ipv ‘change’ als je nog geen default route had)
Als alles goed gegaan is zou je nu verbinding moeten hebben en de buitenwereld kunnen pingen.

Om dit statisch in je systeem te hebbn (dus dat het werkt bij het opstarten) typ je het volgende in /etc/rc.conf:
[file]ifconfig_=”inet netmask 255.255.255.255″
static_routes=”spt mxs”
route_spt=”-net 10.0.0.138/32 -interface -cloning”
route_mxs=”default 10.0.0.138″[/file]

Hou rekening met eventueel draaiende firewalls en NAT. Alles wat eerst op tun0 of ng0 draaide moet je nu aanpassen naar je netwerkkaart.

Deze howto is grotendeels mogelijk gemaakt door Enriko Groen.

[b]Bronnen[/b]
[url]http://www.xs4all.nl/~possamai/adsl/sip_spoof[/url]
[url]http://home.wanadoo.nl/vs_waart/alcatel[/url]
[url]http://www.jelmerbarhorst.com/mxstream.html[/url]
[url]http://jp.dhs.org/~jp/[/url]