Moin liebe Linuxxer,
Hiermit eröffne ich den IPFire-Sammelthread.
ihvInhaltsverzeichnis:
1. Einleitung
2. Warum IPFire ?
3. Hardware-Empfehlungen
4. Installation von IPFire
5. Basis-Konfiguration
1. Einleitung
2. Warum IPFire ?
3. Hardware-Empfehlungen
4. Installation von IPFire
5. Basis-Konfiguration
Einleitung
1. Einleitung:
Mit den immer weiter ansteigenden möglichen Bandbreiten, sei es 25Mbit, 50Mbit oder gar 100Mbit und mehr, braucht man auch immer leistungsfähigere Router um diese Leitungen auch noch ausnutzen zu können.
Da stellt sich doch jedem pfiffigen User die Frage, warum 200€ für einen High-End-Router von AVM, Netgear und Konsorten auszugeben, wenn für ein vergleichbares Budget einen vollwertigen Rechner bekomme, der ein Vielfaches der Leistung eines solchen Routers bietet.
Und genau aus dieser Idee heraus wurde IPFire geboren.
Es basiert auf IPCop und Smoothwall, ebenfalls Firewall-Distributionen, erweitert deren Möglichkeiten und Umfang aber noch um ein Vielfaches. Damit ist es auch für Anwender ohne Linux-Kenntnisse sehr einfach zu installieren und einzurichten, wie ich im Weiteren noch erläutern werde.
Warum IPFire
2. Warum IPFire ?:
IPFire vereint die Vorzüge von Distributionen wie IPCop und Smoothwall zusammen mit umfangreichen Konfigurations- und Erweiterungsmöglichkeiten bei minimalen Hardware-Anforderungen und hoher Aktualität.
Dabei bleibt es aber dennoch so flexibel, dass es auch in den verschiedensten Einsatzzwecken seine Aufgaben optimal erfüllt.
IPFire besteht unter anderem aus einem Firewall-System basierend auf dem Kernel-Modul netfilter und iptables mit einer Stateful-Packet-Inspection-Funktionalität, schlanken und mächtigen Routing- und Masquerading Paketen für die Einwahl mit PPPoE, sowie viel weiteren Features wie bspw. DHCP-Server, Web-Proxy, VPN, DynDNS, QoS und Intrusion-Detection.
Das Hauptaugenmerk der Entwickler von IPFire liegt auf Sicherheit, sodass Patches und Updates für einzelne Paketen schnellstmöglich über die Paketverwaltung bereitgestellt werden. Außerdem werden Bugfixes und Optimierungen regelmäßig und schnell verteilt. Somit bildet IPFire selbst eine stets aktuelle und sichere Basis als Betriebssystem, die es auch braucht.
Einige Features im Überblick:
Monitoring
IPFire hat alle Mittel an Board um Daten über Temperaturen, Spannungen, Auslastungen (Speicher, Festplatte, Netzwerk) u.v.m. aufzuzeichnen und übersichtlich in Diagrammen darzustellen.
Web-Proxy
Auf Basis von Squid wird ein mächtiger Web-Proxy bereitgestellt, der über viele Konfigurationsmöglichkeiten verfügt und bei Bedarf leicht mit einem Virenscanner wie clamav kombiniert werden kann.
Update-Accelerator
Sammelt in einem Cache auf der Festplatte Updates von Betriebssystem oder Antiviren-Software, um sie weiteren Computern im Netzwerk schnell bereitzustellen, ohne dabei das Internet zu belasten.
DHCP-Server
Verteilt automatisch an alle angeschlossenen Clients IP-Adressen inklusive Informationen über Gateway und DNS-Server.
Connection Scheduler
Hiermit lassen sich viele Abläufe zu bestimmten Uhrzeiten zeitgesteuert auslösen wie bspw. die Internet-Verbindung nachts trennen und neu-verbinden oder das Verbindungs-Profil automatisch wechseln.
IPSec
Bietet die Möglichkeit sich über einen verschlüsselten TCP/IP-Tunnel mit entfernten IPSec-Gateways zu verbinden.
OpenVPN
Eignet sich optimal um sog. Roadwarrior-Verbindungen (z.B. von mobilen Laptops) in das eigene Netzwerk aufzubauen.
Dynamisches DNS
Nach Eintragen eines zuvor erstellten DynDNS-Accounts (z.B. von Managed DNS, Domain Names and more! - DynDNS.com) ist die dynamische IP-Adresse stets über denselben DynDNS-Namen zu erreichen.
Zeitserver
Synchronisiert regelmäßig die Zeit von IPFire selbst und stellt diese dann den anderen Clients zur Verfügung.
Quality of Server
Über QoS lassen sich garantierte Bandbreiten für wichtige Dienste wie z.B. Voice over IP (VoIP) reservieren.
Einbruchdetektierung
Das Intrusion-Detection-System erkennt anhand des Netzwerkverkehrs, ob gerade ein Angreifer versucht einzudringen.
ExtraHD
Ermöglicht das einfache Hinzufügen und Einhängen (mounten) von weiteren Festplatten.
Port-Weiterleitung
Für manche Dienste (z.B. VoIP) oder Spiele wird eine sog. Port-Weiterleitung benötigt, welche sich hiermit einrichten lässt.
Externer Zugang
Erlaubt das Konfigurieren und Öffnen eines externen Zugangs auf den IPFire.
Zugriff auf Blau (WLAN)
Die Verwaltung der WLAN-Clients vom blauen Netzwerk ins Internet wird hiermit bereitgestellt.
DMZ-Schlupflöcher
Für Zugriffe vom grünen oder blauen Netz in das orangene (DMZ) bohrt man sog. DMZ-Schlupflöcher.
Ausgehende Firewall
Bietet 3 verschiedene Modi zur Konfiguration einer ausgehenden Firewall.
Pakfire
Stellt eine Paketverwaltung bereit, die das einfache Hinzufügen und Entfernen von Addons ermöglicht.
Diese Features geben IPFire einen riesigen Umfang an möglichen Einsatz-Szenarios und Konfigurationsmöglichkeiten, welche sich jedoch alle kinderleicht über das sehr gut strukturierte und übersichtliche Webinterface einstellen lassen.
Trotz dieses Umfangs geht IPFire stets sehr sparsam mit den Ressourcen um und bietet somit auch auf älterer Hardware eine hervorragende Performance.
Dieses Gesamtpaket macht IPFire zu dem was es ist - eine mächtige und leistungsfähige Firewall-Distribution, die dennoch leicht zu Konfigurieren ist.
Hardware
3. Hardware-Empfehlungen:
Grundsätzlich ist ein Modem zwingend erforderlich, meist ADSL/ADSL2(+). Die meisten Router haben heutzutage bereits ein solche integriert und können auch als solches genutzt werden.
Dabei ist darauf zu achten, dass der Router eventuell in einen sog. "Modem Modus" umgeschaltet werden muss. Bei meinem Netgear DG834B ging das wie folgt:
http://vpncasestudy.com/download/DG/DG834_Tips100.pdf
Ob eure Easybox / Speedport / Fritzbox sowas kann, müsst ihr googlen, am Besten im Voraus
Zur Verwendung von IPFire wird mindestens eine i586er CPU (ab Intel Pentium) benötigt.
Hierbei sollte der Prozessor über mindestens 333Mhz verfügen, bei größeren Bandbreiten und/oder vielen Clients sollte man sich lieber in Richtung 800-1200Mhz umschauen.
Seit der Version 2.3 wird zur Disk-I/O-Minimierung eine stets erweiterbare Ramdisk erzeugt, weshalb 512MB empfohlen sind. Mit 256MB sollte es auch laufen, bei Verwendung von mehreren zusätzlichen Diensten kann es aber zum Swappen in die Auslagerungsdatei kommen.
IPFire selbst benötigt nichteinmal 200MB, allerdings sollte man für zahlreiche Logdateien und anderen Dateien (wie z.B. bei Verwendung von Proxy und Update-Accelerator) lieber etwas mehr einplanen und eine Größe von 1GB für das Systemlaufwerk nicht unterschreiten, besser sind 2GB. Man kann aus dem IPFire aber auch einen Fileserver erstellen und Festplatten im Terabyte-Bereich einbauen, es unterstützt IDE, S-ATA und SCSI sowie RAID-Verbunde.
Für den Routing- und Firewallbetrieb benötigt IPFire mindestens 2 Netzwerkkarten, wobei nach eigenen Angaben etwa 99% aller erhältlichen 100Mbit-Karten out-of-the Box funktionieren. 1Gbit-Karten werden seit Version 2.3 auch sehr gut unterstützt. Netzwerkkarten mit Chipsatz von Realtek (RTL) funktionieren erfahrungsgemäß in allen Geschwindigkeiten sehr gut.
Wenn man nun versucht, ein mini-ITX Board mit 2x LAN zu finden, stellt man schnell fest, dass dies sehr teuer werden kann. Meist haben diese teuren Boards im Vergleich zu anderen, die weit weniger kosten auch noch schwächere CPUs. Diese sollten zwar allemal noch ausreichen, aber man bekommt ja eigentlich schon "viel mehr" für weniger Geld (hinstlich der CPU Leistung).
Nun muss jeder selbst entscheiden, denn es gibt für die Zusammenstellung 2 Möglichkeiten (eigentlich auch 3, sofern man ältere rumliegende HW benutzen möchte):
a) Low-Cost mit größerem Case
b) So klein wie möglich, aber etwas teurer
außerdem möchte ich euch noch ein kompaktes Embedded-System vorstellen:
c) fit-PC2i
Im Folgenden werde ich für die beiden Varianten jeweils eine Beispielzusammenstellung zeigen.
Hardware.A
a) Low-Cost, aber größer:
Da es hierbei vermutlich etwas größer wird, kommen wir direkt zum Gehäuse. Preiswert zu nennen wäre Folgendes:
Codegen MX-31-A11 ~ 35 EUR
Es kostet nicht viel, sieht nicht aufdringlich aus und könnte auch im Wohnzimmer stehen.
Positiv zu vermerken sind die Einbaumöglichkeiten eines 5,25"-Slimline Laufwerks, einer 3,5" Festplatte und sehr interessant: Vollwertiger PCI-Slot.
Letzteres ermöglicht das einfache Erweitern der Netzwerkkarten ungemein, sofern das Mainboard nicht über 2x LAN verfügt (was bei einem Low-Cost Modell eigentlich nicht anders möglich ist).
Außerdem fällt die 80mm Lüfteröffnung im Heck auf, die gutes und leises (brauchbarer Lüfter @ 5V) Belüften erlaubt.
Negativ zu vermerken ist definitiv das Netzteil, das würde ich bei diesem Preis definitiv auch nicht nutzen, sofern mir meine Hardware lieb ist.
( Hinweis: Wer es hierbei kleiner haben möchte, aber auf den PCI-Slot nicht verzichten will/kann, sei das PCICASE / ProCase Noah ans Herz gelegt [ PCICASE Noah, Mini-ITX (CRS3988B80) | Geizhals.at Deutschland ], allerdings kostet dies erheblich mehr und benötigt zusätzlich noch eine Raiser-Card für den PCI-Slot. Daher fällt es aus der Low-Cost Betrachtung weg. )
Restlichen Komponenten:
Mainboard: Asus AT4NM10-I inkl. CPU: Atom D410 @ 1,67Ghz mit 10W TDP ~ 55 EUR
( Hinweis: Für einen Aufpreis von knapp 20 EUR bekommt man auch Boards mit einem Atom D525 Dualcore mit 1,8Ghz, welcher noch etwas mehr Dampf hat )
RAM: 1GB DDR2 sind ausreichend, derzeit am günstigsten: Kingston ValueRAM 1GB DDR2-800 CL5 ~ 12 EUR
Festplatte: 4GB USB2.0 Stick nach Wahl, Lesegeschwindigkeit sollte jedoch über 20MB/s liegen, bspw: Super Talent Pico-C 4GB ~ 10 EUR
Netzteil: idealerweise ein Pico-PSU, aber in das Case passt auch ein normales, weshalb wir uns für ein solches entscheiden, da dies günstiger ist, z.B.: Corsair CX 430W ~ 35 EUR
(Dieses ist zwar deutlich zu hoch dimensioniert, jedoch kann man hiermit auch einen größeren Fileserver betreiben oder das Netzteil ggfs. auch für einen kleinen Spiele-Rechner benutzen, sollte der IPFire nichtmehr genutzt werden.)
Nun zum spannenden Aspekt: Die zweite Netzwerkkarte.
Da durch die Wahl des Gehäuses der Einbau einer konventionellen PCI-Karte möglich ist, wäre dies die beste und preiserteste Lösung. Alternativ kann man einen USB-LAN 10/100 Adapter für ~15 EUR verwenden.
Hierbei sei anzumerken, dass ich selbst derzeit einen solchen USB-LAN Adapter in Gebrauch habe, der seinen Dienst super verrichtet (out-of-the-box). Mit seinen theoretischen 60MB/s sollte der USB-Port auch genug Reserve haben, um die maximal möglichen 100Mbit ( = 12,5MB/s) ausnutzen zu können, dies habe ich aber bislang noch nicht getestet.
Entweder man hat nun selbst noch eine PCI-NIC rumliegenden, welche man einfach dazusteckt, oder man besorgt sich eine für wenige Euro:
z.B.: TP-Link TF-3200 ~ 5 EUR
( Hinweis: Wer preisgünstig gleich 2 Ports mehr haben möchte, kann auch folgende Karte ordern: HP NC7170 Dual-Port 1Gbit, diese Karte ist zwar PCI-X, man kann den hinteren Teil jedoch ganz einfach mit Isolierband abkleben und über den Slot hinausstehen lassen. Wenn diese Karte dann jedoch im PCI 33Mhz Slot betrieben wird, stehen für beide Ports insgesamt nur 100MB/s zur Verfügung. Chipsatz der Karte ist von Intel, daher wärmstens zu empfehlen. Bei ebay und anderen Gebraucht-Shops wie z.B. ITSCO Second Hand Computer - Gebrauchte Hardware PCs und Laptops bekommt man eine solche Karte schon für 10-20 EUR [bei itsco z.Zt. ausverkauft: http://www.itsco.de/netzwerkkarte_hp_nc7170_dualport_1_gbit_pci-x_i0_4180.htm] )
Zusammenfassung:
Mainboard: Asus AT4NM10-I ~ 55 EUR
RAM: Kingston ValueRAM 1GB DDR2-800 CL5 ~ 12 EUR
Festplatte: Super Talent Pico-C 4GB ~ 10 EUR
NIC: TP-Link TF-3200 ~ 5 EUR
Netzteil: be quiet! Pure Power 300W ~ 35 EUR
Gehäuse: Codegen MX-31-A11 ~ 35 EUR
Kosten insgesamt: ~ 160 EUR
Hiermit landen wir etwa im Preisbereich der höherwertigen Fritzboxen, welche jedoch über keine 1,67Ghz CPU verfügen, geschweige denn 1GB RAM. Zudem lässt sich unser IPFire nach Belieben erweitern.
Hardware.B
b) So klein wie möglich, aber teurer:
Fangen wir diesmal mit dem Mainboard an und suchen uns eins mit 2x LAN onboard.
Günstigstes Board hierbei ist das Jetway J7F4K1G2E welches über eine VIA Eden 1,20Ghz CPU mit 7W TDP verfügt. ~ 125 EUR
Für knapp 30 Euro mehr bekommt man ein Supermicro X7SPA-H was einen Dualcore Atom D510 mit 1,67Ghz beherbergt, der eine TDP von 13W hat. Allerdings benötigt man hierfür SO-DIMM DDR2. Deutlicher Vorteil dieses Mainboards ist allerdings der größere Storage-Controller, der 6 S-ATA Ports zur Verfügung stellt, weshalb das Board deutlich attraktiver ist, sofern man auch plant ein NAS/Fileserver aus dem IPFire zu bauen.
Beim RAM kann man im Falle des Jetway Board's den gleichen 1GB Riegel wie von oben nehmen: Kingston ValueRAM 1GB DDR2-800 CL5 ~ 12 EUR
Ebenfalls die Festplatte kann bleiben, außer es soll intern werden (für den Fall könnte man auch eine USB2.0 PCI-Blende hernehmen, am Board anschließen und intern liegen lassen - Blende vorher abschrauben - und dort den USB-Stick anschließen).
Somit: Super Talent Pico-C 4GB ~ 10 EUR
Eine weitere NIC wird diesmal nicht benötigt, außer man möchte noch eine DMZ (Demilitarisierte Zone) für weitere Server erstellen.
Beim Gehäuse kann man nun Folgendes in die engere Auswahl nehmen: LC-Power LC-1320mi
Dieses Gehäuse hat bereits eine Art PicoPSU in Form von DC/DC Wandlern mit einer Leistung von 75W integriert und kommt komplett mit externem Laptop-Netzteil daher. Außerdem ist sehr klein und flach und bietet trotzdem noch die Möglichkeit eines Slimline-Laufwerks.
Für einen Preis von ca. 35 EUR bekommt man ein sehr nützliches Gehäuse, welches bereits mit einem vollständigen passiven Netzteil geliefert wird.
Alternativ zu nennen:
A+case Cupid 1 mit einem 90W PicoPSU, Slimline-Option und Multi-Cardreader für ~ 70 EUR
Grundsätzlich kann man jedes kleinere Mini-ITX Gehäuse mit einem PicoPSU nehmen, man sollte vorher jedoch nach Testberichten und User-Meinungen Ausschau halten und danach entscheiden, ob es für den eigenen Einsatzzweck passend ist.
Zusammenfassung:
Mainboard: Jetway J7F4K1G2E ~ 125 EUR
RAM: Kingston ValueRAM 1GB DDR2-800 CL5 ~ 12 EUR
Festplatte: Super Talent Pico-C 4GB ~ 10 EUR
Gehäuse: LC-Power LC-1320mi (inkl. NT) ~ 35 EUR
Kosten insgesamt: ~ 185 EUR
Wenn man nun beispielsweise das Supermicro Mainboard (mit einem 1GB SO-DIMM DDR2 für knappe 10 EUR) nimmt und eventuell ein höherwertigeres Gehäuse wie z.B. das von A+ , kommt man auf etwa 240 EUR.
Wie man sieht ist hier nach oben hin kein Ende gesetzt, die Basis-Config mit dem LC-Power Gehäuse ist nur wenig teurer als die o.g. Low-Cost Zusammenstellung aber deutlich kompakter. Allerdings weise ich nochmals daraufhin, dass speziell im Sommer eine zusätzliche Kühlung mit einem Lüfter notwendig werden kann.
fitPC2i
c) fit-PC2i:
Hiermit möchte ich euch noch ein superkompaktes Embedded-System der Firma fit-pc vorstellen:
Den fit-PC2i.
Dieses Embedded-System ist eine konfigurierbare Power-Maschine, hat allerdings auch ihren Preis.
Zunächst ein paar technische Daten:
CPU: Atom von Z510 (1,10Ghz) bis Z550 (2,00Ghz)
Chipsatz: Intel US15W SCH
RAM: 1GB oder 2GB DDR-533 onboard
Festplatte: 2,5" S-ATA Schacht vorhanden sowie ein miniSD Slot
VGA: Intel GMA500 mit Hardware-Beschleunigung für h.264, MPEG2, VC1 und WMV9, hat einen DVI-Ausgang an einer HDMI-Schnittstelle mit Auflösungen bis 1920x1200
Audio: Realtek ALC662 mit 5.1, Line-out, Line-in, Mikrofon und einem S/PDIF Ausgang
NIC: 2x 1Gbit Realtek RTL8111 [und 802.11n WLAN RaLink RT3070 - nur ab Modell mit Atom Z530]
Abmessungen: B x T x H 101 x 115 x 27 mm !
Ganz besonders interessant bei diesem System ist der Stromverbrauch, der von keinem anderen System zu schlagen ist:
1W im StandBy
6W bei wenig Last
8W bei Vollast
(Herstellerangaben - ohne Gewähr)
Allerdings hat ein solch leistungsfähiges und trotzdem sparsames Embedded-System seinen Preis:
Das kleinste Modell mit Atom Z510 (1,10Ghz), 1GB RAM und ohne WLAN kostet bereits $298 (umgerechnet derzeit etwa 212EUR, in Deutschland aber kaum erhältlich).
Bei dem deutschen offiziellen Reseller SH-EDV findet man alle hier verfügbaren Modelle.
Dennoch muss man sagen, dass dieses System alles in sich vereint, was man benötigt (sogar inkl. WLAN) und dabei superkompakt sowie sparsam ist.
Wer auch mal tiefer in die Tasche greifen kann und mag, macht mit einem solchen fit-PC2i absolut nichts falsch.
Liste aller offiziellen Reseller nach Land sortiert: fit-PC2 Reseller
Installation
4. Installation von IPFire:
Zunächst benötigen wir die aktuelle Version IPFire, welche wir hier finden: IPFire Downloads
In meiner nun folgenden Step-by-Step Anleitung beziehe ich mich auf das bootbare CD-Image, welches z.B. mit ImgBurn (Freeware) auf eine CD gebrannt werden kann.
Da IPFire aber vermutlich auf einem System ohne optisches Laufwerk installiert werden soll, kann man auch folgendes Tool nutzen, um das Image bootbar auf einen USB-Stick zu entpacken. Dabei reicht ein USB-Stick mit einer Größe von 128MB.
Das Tool heißt: unetbootin, dort dann einfach die Option "Abbild" auswählen, zum heruntergeladenen IPFire-ISO-Image navigieren, Ziellaufwerk auswählen und OK klicken.
Nun kann man das Setup von IPFire mit diesem USB-Stick starten, in dem wir den Stick anstecken, den Rechner starten und im Bios diesen USB-Stick als erstes Boot-Device einstellen.
Boot-Menü von IPFire:
Nach einem Druck auf ENTER geht der Bootvorgang des Installers los:
Hinweis: Wenn ihr mit unetbootin von einem Stick startet, sieht das Boot-Menü etwas anders aus, aber ihr müsst ebenfalls nur ENTER drücken.
--> Beim Navigieren im Installer ist die Leertaste die Auswahl-Taste, womit man Haken von Checkboxen (wie z.B. dem Lizenzabkommen) setzen kann, mit TAB (Tabulator) wechselt man zwischen den Flächen und mit ENTER betätigt man den aktuell ausgewählten "Knopf".
Nun können wir die Sprache auswählen, müssen anschließend die Lizenz akzeptieren, die Partitionierung bestätigen und das Dateisystem auswählen. Wie in der Auswahl deutlich gemacht wird, sollte man Flash-Speichern (wie z.B. USB-Sticks) als Zielfestplatte ext2 auswählen, ein Dateisystem ohne Journaling.
Anschließend läuft die Installation vollautomatisch ab, sobald folgende Meldung erscheint, ist die Installation fertig und wir bestätigen den angeforderten Neustart. Dabei solltet ihr darauf achten, entweder direkt wieder ins Bios zu gehen um den "Festplatten-Stick" nun als primäres Boot-Device einzustellen, oder aber ihr zieht den "Installations-Stick" rechtzeitig ab.
Nun sollte der Rechner vom soeben installierten System starten und begrüßt uns direkt mit dem Konfigurationsmenü der lokalen Einstellungen.
Zunächst müssen wir unser Tastatur-Layout auswählen, hierbei ist das (meist) automatisch erkannte "de-latin1-nodeadkeys" bereits passend. Mit TAB wechseln wir nach unten auf OK und bestätigen mit ENTER.
Zeitzone (Europe/Berlin), Hostname (z.B. ipfire, router, firewall, o.ä. --> Der Name „gateway“ ist reserviert und darf nicht verwendet werden.), und Domain-Suffix (z.B. localdomain, lan, home, o.ä.) einstellen:
root-Passwort (SSH) und admin-Passwort (Webinterface) eingeben [hierbei werden die eingegebenen Zeichen nicht wiedergegeben !]
Nun kommen wir ins Netzwerk-Konfigurationsmenü:
Hier wählen wir zunächst den Netzwerk-Typ aus, die Erläuterung der Farben und Kombinationsmöglichkeiten findet ihr hier:
Bei einer Standard-Installation sind das Green + Red, also 2 Netzwerke. Maximal sind 4 Netzwerke möglich: Green, Blue, Orange und Red.
( copyright (C) ipfire.org )
Anschließend ordnen wir unsere physischen Netzwerkkarten den Schnittstellen Green und Red zu:
Nun folgen die Adressen-Einstellungen:
- Green:
In einem "normalen" Netzwerk sitzt der Router bzw. das Internetgateway auf der x.x.x.1, was jeder bei sich auch entsprechend seines Netzwerkes so einstellen sollte. In meinem gezeigten Beispiel wurde der IPFire allerdings in ein bestehendes Netzwerk installiert und dient nur zu Demonstrationszwecken.
- Red:
Bei einem normalen DSL-Einwahl-Anschluss handelt es sich im PPPoE (Point-to-Point-Protocol over Ethernet), daher wählen wir PPP-Einwahl, die restlichen Optionen sind nun nichtmehr verfügbar.
Die DNS-und Gateway-Einstellungen bleiben leer.
Anschließend wird der DHCP-Server konfiguriert, welcher es unserem neuen IPFire-Router ermöglicht, IP-Adressen an alle Clients über DHCP-Anfragen zu vergeben. Dabei werden dann auch alle im IPFire bekannt gemachten Hosts über deren Domain-Name ansprechbar - durchaus nützlich also.
Man setzt das Häkchen bei "[*] aktiviert" mit der Leertaste und konfiguriert ihn. Dabei ist zu beachten, dass für ein lokales Netzwerk nur folgende Adressbereiche zur Verfügung stehen:
192.168.x.x (mit 255.255.0.0 - 255.255.255.0 Maske) und 10.x.x.x (mit 255.0.0.0 - 255.255.255.0 Maske). Wie bereits mehrfach erwähnt handelt es sich in meinem Fall um eine beispielhafte Installation in ein bestehendes Netzwerk ohne produktiven Einsatz, daher ist die Anfangs- und Endadresse nur beispielhaft gewählt. Mögliche Konfiguration wäre z.B.:
Anfangsadresse: 192.168.23.50
Endadresse: 192.168.23.200
Primärer DNS: 192.168.23.1 (hier muss die IP vom IPFire rein)
Nun ist die lokale Einrichtung fertig:
Anschließend werden die Einstellungen übernommen, ein paar Dienste neugestartet und das System vollständig gestartet bis wir bei einem Login-Prompt ankommen:
Somit ist die Installation und Basis-Konfiguration von IPFire fertig! Im folgenden Kapitel beschreibe ich noch die nötigsten Einstellungen im Webinterface um eine Internetverbindung herzustellen.
Konfiguration
5. Basis-Konfiguration:
Hier werde ich nun noch ein paar Einstellungen und Funktionen des sehr umfangreichen Webinterfaces beschreiben, die es euch ermöglichen mit dem IPFire eine Verbindung ins Internet aufzubauen und diese in euer lokales Netzwerk durch die Firewall des IPFire zu routen.
Wie bereits unter den Vorraussetzungen geschrieben braucht ihr hierfür nun ein DSL-Modem oder einen Router mit integriertem Modem, welcher sich in einen sog. "Modem-Mode" umschalten lässt.
Genau dies muss nun getan werden, die Modem-Benutzer verbinden nun einfach ihr Modem-Input mit der TAE-Dose / dem Splitter und den Modem-Output mit dem ROTEN Interface am IPFire.
Das GRÜNE Interface muss nun mit einem Switch im LAN oder mit einem Rechner verbunden werden, da es über diese Schnittstelle nun konfiguriert wird.
Ab hier sind im Normalfall keine Eingabegeräte am IPFire mehr nötig, er benötigt nur noch Strom, die Netzwerkkabel und den Stick, sofern auf solchem installiert wurde.
Um das Webinterface vom IPFire aufzurufen navigieren wir mit einem Browser nach Wahl (im Beispiel: IE9) über das https-Protokoll zur IP vom IPFire auf Port 444 (443 wäre Standard für https).
In meinem Fall also: https://192.168.2.123:444
Die nun folgende Sicherheitswarnung könnt ihr ignorieren und das Zertifikat dieser Seite zu den dauerhaften Ausnahmen hinzufügen, da ihr den Rechner kennt, der sich dort selbst-signiert authentifizieren will.
Haben wir das Zertifikat akzeptiert öffnet sich ein Login-Fenster, in dem wir uns nun mit dem Benutzer "admin" und dem in der Konfiguration gesetzten Passwortes anmelden.
Nach erfolgreichem Login landen wir auf der Startseite des IPFire, welcher uns direkt mitteilt, dass das aktuelle Verbindungs-Profil fehlerhaft ist:
Um ein Profil für die Einwahl anzulegen bzw. zu bearbeiten klicken wir rechts im "sidemenu" auf "Einwahl". Wir wählen im Dropdown-Menü das 1. Profil mit Namen "Unbenannt" aus und können es nun bearbeiten:
Bei einer DSL-Flat kann man die Leerlauf-Wartezeit auf 0 stellen, d.h. deaktivieren. In der Authentifizierung sind der DSL-Benutzername und das zugehörige Passwort erforderlich. Die Methode sollte auf PAP oder CHAP eingestellt sein.
Die DNS-Server können automatisch vom ISP (Internet Service Provider = Internet-Anbieter) abgerufen werden, oder manuell eingestellt werden. Ich empfehle sie auf "automatisch" zu lassen.
Abschließend können wir diesem Profil nun noch einen Namen geben und es speichern. Direkt danach wird sich IPFire evtl. mit dem Profil verbinden wollen. Sofern das klappt, hat man nichts weiter zu tun. Klappt es nicht, muss auf der Startseite noch einmal bei "Profil" das soeben konfigurierte Profil ausgewählt werden und auf "Verbinden mit Profil" geklickt werden. Nun sollte sich IPFire einwählen.
Sollte keine Verbindung zustande kommen:
- Verkabelung kontrollieren und alle Kabel auf festen Sitz prüfen
- DSL-Modem eingeschaltet ?
- Router (als Modem) im "Modem Mode" ?
- Verbindungsdaten (Benutzername und Passwort) erneut eingeben, eventuell vertippt ?
Für User, die bereits etwas Erfahrung im Umgang mit Linux haben, kann man auch einen SSH-Zugriff aktivieren, sofern gewünscht. Die Aktivierungsmöglichkeit findet sich im sidemenu unter "SSH-Zugriff".
Sofern dies nicht benötigt wird, kann man es ausgeschaltet lassen. Den Port würde ich 222 lassen, da die meisten Bruteforcer und Attacken auf Port 22 laufen, was SSH-Standard ist.
Falls auch die anderen User mal Interessiert, wie man sich dann per SSH einloggt, gibt es hinter dem nächsten Spoiler eine Kurz-Anleitung zu SSH mit Putty unter Windows
Hat man in der Paketverwaltung "Pakfire" (komme ich später nochmal drauf zurück) das Programm "htop" bereits installiert, kann man sich eine Art "Taskmanager" auf Konsolen-Basis anzeigen lassen. Ist "htop" noch nicht installiert, bietet "top" die klassische Standard-Übersicht. Es enthält zwar auch alle wichtigen Informationen, macht auf Neu-Einsteiger jedoch keinen so strukturierten und übersichtlichen Eindruck wie "htop".Zunächst wird "Putty" benötigt, dazu geht auf die Download-Page von PuTTY
Unter "For Windows on Intel x86" wählen wir nun putty.exe und laden diese herunter.
Nach einem Doppelklick öffnet sich ein Konfigurations-Fenster. In diesem tragen wir nun bei "Host Name (or IP address)" die IP vom IPFire ein und dahinter den Port 222 (wie im vorigen Absatz angesprochen).
Anschließend können wir diesem Profil einen Namen geben, diesen unter "Saved Sessions" in der Eingabezeile eintragen und auf "Save" klicken. Nun können wir diese Verbindung immer wieder leicht aufrufen.
Mit einem Klick auf "Open" bei ausgewähltem Profil kommt zunächst eine Warnung, dass der Server-Host-Key noch nicht in unserer registry gecached ist, diese bestätigen wir mit "Ja".
Nun öffnet sich ein Login-Prompt, wo wir uns mit dem User "root" und dem in der Konfiguration für "root" gesetzten Passwortes einloggen können:
Herzlichen Glückwunsch ! Somit besteht eine SSH-Verbindung zu deinem IPFire.
WARNUNG: Du bist hiernach mit dem Haupt-System-Administrator "root" eingeloggt und hast vollen Systemzugriff. Solltest du nicht wissen was du tust, solltest du dir zum Testen und Kennenlernen zunächst einen neuen Benutzer anlegen und nur mit diesem experimentieren!
* Für eventuelle Fehler und Probleme übernehme ich keine Haftung, alles auf eigene Gefahr *
Bei Zerstörung wichtiger System-Dateien oder Konfigurationen muss das System unter Umständen von Grund auf neu-installiert werden.
Zurück zum Webinterface:
Für schwächere Systeme oder für eine Beschleunigung im Seitenaufbau lässt sich die Oberfläche des Webinterfaces noch "reduzieren". Man kann z.B. den Überblendeffekt ausschalten, die automatische Aktualisierung der index.cgi deaktivieren und die Ajax Speed Anzeige (befindet sich ganz unten auf jeder Seite) ausstellen. Letztere bleibt bei mir aktiviert.
Unter dem Reiter in der Leiste oben finden sich noch mehrere Menüs, unter anderem auch "status" welches sämtliche Diagramme und Status-Informationen über das System darstellt.
Sehr interessant sind hierbei die "Hardware-Diagramme", welche sehr übersichtlich und gut visualisiert dargestellt werden. Für alle Nutzer von USB- oder Flash-Festplatten gibt es im Temperatur-Diagramm der Festplatte nicht viel zu bestaunen. Bei passiven System wird auch das "hwfan diagramm" eher langweilig sein. Durchaus nützlich sind jedoch die "hwtemp" und "hwvolt" Diagramme, die eine Temperatur-Überwachung auch über längere Zeit hinweg (man kann bei jedem Diagramm noch den Zeitraum wählen) ermöglichen. Das "hwvolt" Diagramm zeigt, ob ein evtl. verbautes Pico-PSU der Belastung gewachsen ist und keine Einbrüche zeigt.
Im Bereich "Net-Traffic" finden wir eine Traffic-Übersicht des aktuellen Monats. Anbei wieder eine Grafik, die ein paar gewählte Ausschnitte zeigt:
Im Reiter "Netzwerk" verbergen sich noch einige nützliche Funktionen wie beispielsweise der Web-Proxy auf squid-Basis mit URL-Filter, ein Update-Accelerator (nur in Verbindung mit Proxy nutzbar), das Menü des DHCP-Servers, Host-Verwaltung, MAC-Adressen zuweisen, Wake on LAN (WOL) und nicht zuletzt der "Connection Scheduler" auf den ich kurz zu sprechen kommen möchte:
In der Standard-Einstellung von IPFire gibt es bereits eine Beispiel-Aktion, welche sich "MorningReconnect" nennt. Sie ist jedoch standardmäßig deaktiviert.
Der Connection Scheduler eignet sich hervorragend, um Einfluss auf den Zeitpunkt der Zwangstrennung zu nehmen, sofern der Anbieter keine vorgegebenen Uhrzeiten hat.
Man kann nun entweder selbst ein neues Profil anlegen, das Beispiel "MorningReconnect" bearbeiten oder einfach aktivieren.
Wer nicht viel probieren will und/oder schnell zum gewünschten Ergebnis kommen möchte, setzt einfach den Haken in der Checkbox von "MorningReconnect".
Die Funktion "Quality of Service" (QoS) finden wir unter dem Reiter "dienste". Wer möchte, kann sich nach Eingabe seiner Verbindungsgeschwindigkeit eine Vorlage erstellen lassen, die in den meisten Fälle schon recht sinnvoll eingerichtet ist. Da dieses Thema jedoch sehr komplex und Umfangreich ist, werde ich hier nicht weiter darauf eingehen.
Für viele Nutzer dürften auch die Port-Freigaben nötig sein, sei es für VoIP-Dienste, externe Login-Möglichkeiten oder Ähnliches.
Diese Möglichkeit findet sich im Reiter "firewall" unter "Port-Weiterleitung".
Hier müssen Protokoll, Ziel-IP, und Ziel-Port zwingend ausgefüllt werden, da sonst keine gültige Regel zustande kommt. Quell-Port ist optional, da Pakete theoretisch nach/von außen extern über andere Ports geroutet werden können, als sie intern genutzt werden. Im Beispiel habe ich mal eine Port-Weiterleitung für einen Webserver erstellt, welcher hier im LAN die IP 192.168.2.124 hätte.
Abschließend möchte ich euch noch die Paket- und Update-Verwaltung des IPFire zeigen. Diese gibt es unter dem Reiter "ipfire", genannt "Pakfire".
Hier lässt sich im oberen linken Feld die Paket-Liste aktualisieren, sofern Core-Updates für den IPFire zur Verfügung stehen, werden diese im Feld rechts daneben angezeigt.
In der Zeile darunter lassen sich die Addons verwalten, in der linken Spalte finden sich die verfügbaren Addons, in der rechten die bisher installierten. Diese lassen sich ganz einfach über die Plus+ und Minus- Zeichen hinzufügen bzw. entfernen.
Wie bei der SSH-Verbindung bereits angesprochen ist "htop" ein nützliches Konsolen-Tool zur Auslastungs-Überwachnung, desweiteren wären noch "nano" als alternativer Text-Editor zu vi / vim zu nennen.
Somit sind die wichtigsten Funktionen des IPFire eingerichtet und konfiguriert !
Für alle weiteren Konfigurations-Möglichkeiten, Probleme und Informationen dient dieser Thread, ansonsten verweise ich auch auf das IPFire-Wiki und deren Forum für speziellere Fragen.
Ich hoffe, meine Anleitung ist soweit verständlich und hilft auch unerfahrenen Usern ein solches System zu planen, zusammenzubauen und einzurichten.
Und nun viel Spaß mit eurem neuen IPFire-Router !
mfg
foxxx
