Verabschieden wir uns also von unserem alten Netzwerk und ziehen um:
Alles was jetzt sonst noch am Plasterouter hängt ausmachen und abstöpseln, bzw. Wlan Verbindungen trennen.
Die DHCP Konfiguration anpassen mit:
Jetzt kommen die Dateien aus den beiden vorherigen Kapiteln wieder ins Spiel. Jeder neue Client ( jedes neue netzwerkfähige Gerät also ) möchte (immer) in die DHCPconfig und (vielleicht;-)) in die DNSconfig eingepflegt werden.
Und das jedesmal, wenn ein neues Gerät ins Haus kommt.
Was also liegt näher als ein Script zu schreiben, das uns dazu ein wenig Arbeit abnimmt?
Script schreiben?
Ok, das heben wir uns mal für später auf, aber ein oder zwei „Aliase“ wären mal wieder nicht schlecht….
gateway: ~ #nano .bashrc
alias dhcpd='nano /etc/dhcp/dhcpd.conf' alias bindf='nano /etc/bind/erstes.netz.db' alias bind0='nano /etc/bind/0.0.10.in-addr.arpa' alias bind1='nano /etc/bind/1.0.10.in-addr.arpa'
gateway: ~ #dhcpd
und im jeweiligen Bereich alle Clients mit MAC und gewünschter IP eintragen. ########################################################### ############ fixed IP section ################ ########################################################### ############ erstes.netz ################ ########################################################### host meinPC { hardware ethernet 5c:86:fa:00:fc:c2; fixed-address 10.0.0.2; } host client1 { hardware ethernet [MAC-von-client1]; fixed-address 10.0.0.3; } host meinSmartphone { hardware ethernet [MAC-von-meinSmartphone]; fixed-address 10.0.0.20; } host DruckerOben { hardware ethernet [MAC-von-DruckerOben]; fixed-address 10.0.0.70; } usw.
Dabei ist der Name frei wählbar, er darf nur nicht doppelt vergeben werden. Gerne darf er aber aussagekräftig sein, wie man jetzt oben sieht, ist client1 ein gutes Beispiel, aber nicht aussagekräftig. client1 könnte alles mögliche sein, und bei client1,2,3,4,5 nützen einem die schönsten Namen nichts. DruckerOben, meinSmartphone ist da schon klarer. Die gezeigte Schreibweise mit Grossbuchstaben ist nicht notwendig, sie hebt aber Zuordnungen übersichtlicher hervor, vor allem wenn es mehrere NameSmartphone, NameTablet, DruckerOrt u.ä. gibt.
Weiter ist es zwar nicht erforderlich, aber ungemein sinnvoll, genau diese Namen auch im Nameserver zu verwenden. Dem Nameserver ist die Großschreibung im übrigen völlig egal, er vermittelt auch DRuCkerobEn.
Damit will ich sagen, später, wenn man die Namen im Heimnetz nutzen möchte, kann man wie bei E-Mailadressen einfach alles klein schreiben. Mir dient das hier ausschliesslich zur Übersichtlichkeit in der eventuell recht langen Konfigurationsdatei.
Die MAC Adresse muss gewissenhaft eingetragen werden, auch hier ist das System unbedarft mit Großschreibung ( not case-sensitive ), ganz egal was Dein Gerät anzeigt.
Ob 00:1C:42:C1:CF:22 oder 00-1C-42-C1-CF-22
im DHCP MUSS es mit Doppelpunkten stehen, kann aber gerne auch so
00:1c:42:c1:cf:22
aussehen.
Die IP-Adresse kann natürlich auch frei gewählt werden, sie muss nur zwischen 1 und 254 liegen, darf nur einmal vergeben werden und darf nicht im "range" liegen, hier also 180-189.
Aber auch hier nochmal zum "Plan".
Wieviele PC's, Smartphones, Tablets, Drucker, Multimediageräte sind dort vermerkt?
Starte ich mit den Smartphones bei 20, mit den Tablets bei 50 und mit den Druckern bei 70, alles MultiMedia läuft ab 80....schon klar oder?
Jetzt kann auch Oma, Opa, Tante und Onkel mit dem Smartphone kommen, aber wenn die 7 nicht mehr für die Drucker reicht haben wir ein Problem.
Kurz: es bleibt übersichtlich.
Absolut nicht notwendig, aber trotzdem!
speichern und schliessen und neustart
gateway: ~ #systemctl restart isc-dhcp-server
und als nächstes:
gateway: ~ #bindf für den Forward Lookup
$TTL 604800 @ IN SOA gateway.erstes.netz. root.erstes.netz. ( 8 ; Serial 604800 ; Refresh 86400 ; Retry 2419200 ; Expire 604800 ) ; Negative Cache TTL ; @ IN NS localhost. @ IN A 127.0.0.1 gateway IN A 10.0.0.1 gateway IN A 10.0.1.1 meinPC IN A 10.0.0.2 meinSmartphone IN A 10.0.0.20 DruckerOben IN A 10.0.0.70 ap1 IN A 10.0.0.100 ap2 IN A 10.0.1.100 Name Tabulator IN A Tabulator IP wird der Platz für die Namen zu eng, ( ich plädiere eher für kurze Namen, ehrlich, bei mir wäre das eher Mfon und LPog ) können es auch gerne 2 oder 3 Tabs sein, aber keine Leerzeichen. Die Tabulatortaste ist übrigens neben dem Q, sagte ich das schon? Und ja, es ist wahr, hier stehen am Ende KEINE Punkte! speichern und schliessen
gateway: ~ #bind0 für den Reverse Lookup im Netz 10.0.0.0
; ; BIND reverse data file for local subnet 10.0.0.0 ; $TTL 604800 @ IN SOA gateway.erstes.netz. root.erstes.netz. ( 8 ; Serial 604800 ; Refresh 86400 ; Retry 2419200 ; Expire 604800 ) ; Negative Cache TTL ; @ IN NS gateway. 1.0.0 IN PTR localhost. 1 IN PTR gateway.erstes.netz. 2 IN PTR meinPC.erstes.netz. 20 IN PTR meinSmartphone.erstes.netz. 70 IN PTR DruckerOben.erstes.netz. 100 IN PTR ap1.erstes.netz. Det läuft analog, wichtig wieder! Die Punkte am Ende nicht vergessen! speichern und schliessen
gateway: ~ #bind1 für den Reverse Lookup im Netz 10.0.1.0
;
; BIND reverse data file for local subnet 10.0.1.0
;
$TTL 604800
@ IN SOA gateway.erstes.netz. root.erstes.netz. (
8 ; Serial
604800 ; Refresh
86400 ; Retry
2419200 ; Expire
604800 ) ; Negative Cache TTL
;
@ IN NS gateway.
1.1.0 IN PTR localhost.
1 IN PTR gateway.erstes.netz.
2 IN PTR zoneminder.erstes.netz.
50 IN PTR camEingang.erstes.netz.
51 IN PTR camGarage.erstes.netz.
52 IN PTR camTreppe.erstes.netz.
53 IN PTR camTerasse.erstes.netz.
100 IN PTR ap2.erstes.netz.
speichern und schliessen und neustart
gateway: ~ #systemctl restart bind9
Nun nehmen wir ein Gerät nach dem anderen wieder in Betrieb, stöpseln das Netzwerkkabel an den entsprechenden Switch des Subnetzes 10.0.0.0 oder 10.0.1.0 oder verbinden mit dem Wlan AP1 oder AP2.
Jedes Gerät muss jetzt die ihm zugeordnete IP-Adresse bekommen, oder, wenn da was mit der MAC-Adresse nicht gestimmt hat, eine aus dem Bereich 180-189.
Läuft unser SmartWatch noch? Er schickt uns jetzt eine Mail, wenn eine IP aus dem Range verteilt wird. Und zwar inklusive der korrekten MAC-Adresse!
( nochmal: In der Regel sind die MAC-Adressen auf einem Rechner oder SmartTV für die kabelgebundene Schnittstelle und die Wlan Schnittstelle unterschiedlich! )
Eine weitere Möglichkeit die Arbeit des DHCP zu beobachten, ist, ein Blick in die Logs zu werfen.
Neben dem bekannten „cat“ zum auswerfen des Dateiinhaltes bietet sich hier ein neuer Befehl, „tail“ an.
tail -f listet den laufenden Prozess einer vom System befüllten Datei in Echtzeit auf, sehr praktisch zum betrachten einer Logdatei.
gateway: ~ #tail -f /var/log/syslog
zeigt uns jetzt was das System alles loggt, u.a. eben auch was passiert, wenn ich meinSmartphone mit AP1 verbinde.
Um das Ganze etwas übersichtlicher zu machen, können wir dem noch einen zweiten Befehl anhängen, „grep“.
grep „WAS-AUCH-IMMER“ schränkt dabei die Ausgabe auf alle Zeilen ein, die „WAS-AUCH-IMMER“ enthalten.
Ein zweiter Befehl in einer Zeile folgt immer der „Pipe“, dem senkrechten Strich „|“ ; auf der normalen Tastatur ( Alt-Gr + < ), beim Mac ( option + 7 ).
also:
gateway: ~ #tail -f /var/log/syslog | grep DHCP
gateway: ~ # tf /var/log/syslog | grep DHCP
Nov 6 20:58:39 gateway dhcpd[28633]: DHCPDISCOVER from [MAC-von-meinSmartphone] via eth1
Nov 6 20:58:39 gateway dhcpd[28633]: DHCPOFFER on 10.0.0.20 to [MAC-von-meinSmartphone] via eth1
Chic, oder?
Wir können jedes Gerät nacheinander anmachen und sehen sofort ob alles geklappt hat. Sobald eine falsche IP vergeben wird, können wir mit dem Alias „dhcpd“, gerne auch wieder in einem zweiten Terminalfenster oder Tab, schauen was nicht stimmt und verbessern.
Internet und E-Mailverkehr muss jetzt für alle Geräte in beiden Subnetzen 10.0.0.0 (loc) und 10.0.1.0 (cid) uneingeschränkt funktionieren, die Zeitsynchronisation muss sowohl mit unserem Zeitserver NTP auf 10.0.0.1 und 10.0.1.1 laufen, als auch mit allen Zeitservern im Internet.
All das sollte jetzt für jedes neue Gerät getestet werden.
Dein Gerät hat noch eine statische IP, z.B. 192.168.0.28 ?
Das ist ganz schlecht und muss geändert werden.
Entweder auf DHCP (empfohlen) oder zumindest auf die richtige statische IP!
Sonst kann da nichts gehen, klar, oder?
Dein Gerät sendet E-Mails noch unverschlüsselt auf Port 25?
Auch schlecht, das wollen wir nicht mehr. Stell Dein Gerät auf verschlüsselten Versand/Empfang um, Dein Provider unterstützt das mit Sicherheit;-)
TLS oder SSL, Port 143/587 oder 993/465 sind hier die zielführenden Angaben.
Im Prinzip war es das, und im Prinzip geht es jetzt auch erst richtig los!
Kontrolle! ist jetzt angesagt. Jetzt kommt mal wieder unser Plan nach oben und wir schauen mal was da so an Programmen draufsteht.
Sehr viele Dienste laufen schon alleine durch die Freigabe des WorldWideWeb auf http (Port 80, unverschlüsselt) und https (Port 443, verschlüsselt), also grundsätzlich alles was man mit einem Webbrowser wie Firefox, Chrome oder Safari aufruft ( um nur mal den Mainstream zu nennen, es gibt wohl hunderte „Browser“ ), aber auch Streamingdienste wie Netflix, die App für Youtube auf dem Tablet, und und und nutzen diese Ports und sind bereits uneingeschränkt nutzbar.
Aber natürlich gibt es auch tausende Varianten, was jetzt noch nicht geht – oder vielleicht geht, aber eben nicht soll!
next > Regeln, Regeln und noch mehr Regeln!