PDA

Archiv verlassen und diese Seite im Standarddesign anzeigen : dhcp problem



morpheus2001
30.07.02, 15:56
Hi,
hab ein Problem!
mein Netzwerk:


[server]
eth0
IP:10.0.0.1
NM:255.255.0.0
BC:10.0.255.255
...

eth1
IP:***.***.30.10
... (verbindung internet)


Die Clients bekommen per DHCP eine IP zwischen 10.0.1.1 und 10.0.1.254 zugewiesen.

Soweit keine Probleme bei den Clienten. IPs werden vom DHCP fehlerfrei vergeben. DNS alles ok. Wenn ich jedoch nachdem ich in den TCP/IP Einstellungen alle Einträge (auch bei Stasndard Gateway) gelöscht habe und dann die neue IP bekomme und ins Inet (Íexplorer, Modzilla, etc..) will, bekomm ich zuerst keine Verbindung. Ich muss den Proxyserver (10.0.0.1) mit dem Proxyport (3128) in den Einstellungen des Internet Explorers angeben. Erst dann komm ich rein.

Meine Frage: Kann ich mithilfe des DHCP meinen Clienten die Standardgateway Adresse (10.0.0.1) automatisch übermitteln? Bzw. wie kann ich umgehen dass die gesamten Clienten in ihren ganzen Programmen jetzt ein Proxyserver angeben müssen?

Ich benutze den SQUID Proxyserver. Er reagiert auf Port 3128.
Hier hab ich noch eine Frage: Wenn ich jetzt Emails bei meinen Clienten abholen möchte. Kann ich das auch mit Hilfe von Squid? Oder muss ich dann mit den iptables (Masquerading) die Teile ins Inet leiten??

Danke im vorraus
MfG
Daniel

howlcoyote
30.07.02, 16:21
Original geschrieben von morpheus2001
[B]
Meine Frage: Kann ich mithilfe des DHCP meinen Clienten die Standardgateway Adresse (10.0.0.1) automatisch übermitteln? Bzw. wie kann ich umgehen dass die gesamten Clienten in ihren ganzen Programmen jetzt ein Proxyserver angeben müssen?


Ganze Programme? Doch wohl nur den Browser. Das kannst Du bei Windows durch einen Verzeichnisdienst (+ IE) umgehen.



Ich benutze den SQUID Proxyserver. Er reagiert auf Port 3128.
Hier hab ich noch eine Frage: Wenn ich jetzt Emails bei meinen Clienten abholen möchte. Kann ich das auch mit Hilfe von Squid? Oder muss ich dann mit den iptables (Masquerading) die Teile ins Inet leiten??


Emails von Clients abholen? Wie soll das gehen? Emails POPt man üblicherweise von einem Server. Und: Squid beherrscht weder POP3 noch SMTP. Was iptables jetzt damit zu tun hat, weiß ich nicht. Redest Du da von NAT?

geronet
30.07.02, 18:24
>Kann ich mithilfe des DHCP meinen Clienten die Standardgateway Adresse (10.0.0.1) automatisch übermitteln?

Sicher doch das ist der Sinn von DHCP, in der manpage von dhcpd.conf steht drin:

option routers 10.0.0.1

>Bzw. wie kann ich umgehen dass die gesamten Clienten in ihren ganzen Programmen jetzt ein Proxyserver angeben müssen?
Das geht auch mit DHCP aber bei vielen Clients funktioniert das nicht weil sie die Option nicht kennen. Da hilft nur ein transparenter Proxy, also dass du alle Pakete die zum Port 80 über den Router gehen nach 3128 redirectest und dem squid das sagst, wie steht im
Transparent Proxy mini HOWTO (http://www.tldp.org/HOWTO/mini/TransparentProxy.html)

Grüsse, Stefan

morpheus2001
30.07.02, 21:15
thx@stefan mehr wollt ich eigentlich auch gar nicht wissen. :-)
gruß

morpheus2001
31.07.02, 12:41
hi,

nochmals ich.
ich hab jetzt alles so gemacht wie es im howto steht. funktionert wunderbar bin überglücklich ;)

jetzt hab ich allerdings ein weiteres problem.
ich hab per DNS Namen an bestimmte IP Adressen vergeben, zum Beispiel führt azeit.k2l.net direkt auf 10.0.0.20. Ich kann auch Problemlos auf einem win2k clienten den Namen azeit.k2l.net pingen, Namensaufslöung funktioniert problemlos. Wenn ich jedoch im Inet Explorer auf die Adresse azeit.k2l.net (dahinter sitzt ein apache webserver mit einem azeit programm) gehe, kommt eine Squid Fehlerseite, die mir sagt dass es diese Seite nicht gibt. Geb ich die IP Adresse an funktioniert das ganze wieder.

Jemand eine Idee?
Danke im Vorraus.

mfg
Daniel

Jasper
31.07.02, 13:02
die namensauflösung auf der squid-box klappt nicht. dazu müsstest du erstmal die namensauflösung auf der squid-box generell testen und dir die squid-config ansehen um zu sehen, wie squid namensauflösing betreibt. die squid-logs könnten auch interessant sein.

-j

morpheus2001
31.07.02, 13:28
k naja das ist etwas komisch...

es existieren zwei namen:

internet.k2l.net --> 10.0.0.1
azeit.k2l.net --> 10.0.0.1

jetzt kommt das was ich nicht verstehe:

internet.k2l.net funktioniert!
azeit.k2l.net hier kommt die Fehlerseite vom squid. Obwohl beide auf die gleichen Adresse verweisen.

Meine Squid.conf:

##################
#Squid Config File
acl all src 0.0.0.0/0.0.0.0
acl intern src 10.0.0.0/255.255.0.0
http_access allow intern
http_access deny all
httpd_accel_host virutal
httpd_accel_port 80
httpd_accel_with_proxy on
httpd_accel_uses_host_header on
cache_effective_user squid
cache_effective_group squid
#####################

THX
gruss
daniel

morpheus2001
31.07.02, 13:33
ok vergessen wirs ich hab das Problem umgangen.

morpheus2001
31.07.02, 13:40
und gleich weiter zum nächsten Problem :D ...

wie ganzen oben schon geschrieben hab ich jetzt ein Netzwerk:

server (10.0.0.1) --> azeit.k2l.net
hier läuft dhcp
hier läuft dns
hier läuft squid (iptables) -> Transparent Proxy mini HOWTO


client (10.0.1.*)
bekommt alles automatisch vom dhcp -> inet läuft


Wenn ich jetzt auf einem Clienten Emails abholen will, muss das ganze natürlich mit pop3 und smtp irgendwie laufen. dank howlcoyote weiß ich jetzt dass das squid nicht kann. Ich nehm an das kann man anhand der iptables (hinter dessen logik ich bis jetzt noch nicht kam :( ) und der NAT Tabelle so hinbiegen, dass mein Server das alles umleitet, damit die Kollegen ihren Emails bekommen!

Kann mir da jemand helfen? THX
gruss
daniel

Thomas Mitzkat
31.07.02, 15:47
ich verteile das /home- und /var/mail-verzeichnis per nfs im lokalen netz und verteile die emails aus dem internet per fetchmal in den lokalen mailboxen.

morpheus2001
31.07.02, 16:18
hi,

ich habe das Problem jetzt anhand eines IPTABLE Scripts gelöst:
http://www.linuxwall.de/german/artikel/artikel.3.html

Schön wärs wenn die Probleme jetzt aufhören würden ... :mad:

Ok jetzt kann ich wunderbar Emails abholen. Leider wird jetzt alles gnadenlos ins Web geschaufelt. Auch meine per named eingerichteten Namen. Mein DNS Suffix bei den Clients lautet k2l.net. Jetzt wird jede Anfrage an k2l.net (INET) weitergeleitet. Zum Beispiel funktioniert die Auflösung des Namens azeit.k2l.net wiedermal NICHT. Pinge ich azeit.k2l.net (oder irgendeine nicht exisitierende domain) dann pingt er sofort die k2l.net Domain im Internet an. :ugly: :ugly:

Auf das mir der Strick erspart bleibt... ich hoffe immernoch auf Hilfe.
gruss
daniel

morpheus2001
31.07.02, 16:52
ich muss sagen ich bin schon der chegger ;) ;) ;)

bis jetzt gabs keine weitere Probleme.
ich hab das iptable script von dem link oben etwas umgeformt, um mein oben beschrieben problem zu lösen:


#############
#!/bin/sh
INTERFACE=eth1

insmod ip_tables >/dev/null
insmod ip_conntrack >/dev/nul
insmod ip_conntrack_ftp >/dev/nul
insmod ipt_state >/dev/nul
insmod iptable_nat >/dev/nul
insmod ipt_MASQUERADE >/dev/nul

iptables -F

iptables -N block
iptables -A block -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A block -m state --state NEW -i ! $INTERFACE -j ACCEPT
iptables -A block -j DROP

iptables -A INPUT -j block
iptables -A FORWARD -j block

iptables -A POSTROUTING -t nat -o $INTERFACE -j MASQUERADE
echo 1 > /proc/sys/net/ipv4/ip_forward
iptables -A PREROUTING -t nat -p tcp --dport 80 -i eth0 -j DNAT --to 10.0.0.1:3128
###############

Tut eigentlich nur alle Pakete, die von innen kommen UND eine Verbindung eröffnen oder zu einer bestehenden Verbindung gehören, sowie alle Pakete von aussen, die zu einer bestehenden Verbindung kommen durchlassen. Gleichzeitig holt es alle Pakete raus, die auf den Port 80 gerichtet sind und drückt diese in den Port 3128. Dahinter versteckt sich widerrum der Squid, der dann entweder das ganze ins Web lässt oder wenn vorhanden Intern Weiterleitet.

mfG
daniel

geronet
31.07.02, 17:26
Jo ein transparenter Proxy und Masquerading halt.
Du kannst das doch.

Grüsse, Stefan