DHCP

[Fruchtzwerg]

Liebe Leute vom Support,

Seit fast 8 Jahren betreibe ich privat den IP-Fire, eine äußerst flexible schnelle Linux Firewall, auf einer extra Hardware. Außer der Pseudonymisierung ist dort alles enthalten.
Irgend wann war ich am Ende "mit meinem Latein" bei den Blockungen des Datenstroms (da ich kein Fachmann bin) nach außen. Ich hatte schlicht zu viel geblockt, konnte mich zwar relativ sicher bewegen, aber Seiten wurden mir nicht mehr komplett angezeigt.
Das änderte sich, sei dem ich die TrutzBox einsetze. Einfach klasse!

Kopfzerbrechen macht mir noch die Administration des DHCP.
Wie kann ich den DHCP-Range anpassen und Ausnahmen definieren?
Auf Konfigurationsdatei-ebene im Linux-System?

Ich betreibe viele PCs, Notebooks, Server, Drucker, NasBoxen, Streaming Clients, Satellitenempfäner mit HbbTv, sowie einige Raspis jeder Evolutionsstufe. Da kommt einiges zusammen. Die IP-Adressen als Struktur würde ich gerne übernehmen wollen. Was empfehlen sie mir? Anleitung und Kompendiun geben mir keinen Input.
Ok, ich bin es gewohnt, alles selber zu konfigurieren und habe es dadurch ein wenig schwer, einen schon geebneten Weg zu gehen. Genauso lese ich selbstverständlich die Log-Datein meiner Firewall, um Verbesserungen zu entwickeln. Einige hunderte bis tausend Zeilen die Woche sind normal. Wo sind diese in der Truxbox? Ok, Schritt für Schritt. Erst ein mal nur DHCP.
Ich freue mich auf Ihre Antwort.

Besten Gruß

Fruchtzwerg

[comidio support]

Zunächst einmal vielen Dank für das Lob auf die TrutzBox. Gerade von jemanden, der Open-Source Firewalls kennt, schätzen wir ein solches Lob besonders.
Die Architekten der TrutzBox haben auch einige Jahre Erfahrung mit IP-Fire und anderen Open-Source Firewalls sammeln können, um dann eine Lösung zu entwickeln, die zusätzlich auch eine abhörsichere Mail-, Browser- und Audio-/Video- und Chat-Kommunikation ermöglicht.

Aber zu Ihren Fragen.

Log-Files:
Die meisten TrutzBox Log-Files liegen unter /tmp/var/log/comidio/. Aber sie können die wichtigsten Log-Files auch über das TrutzBox User-Interface über
- TrutzMail -> Status (TrutzMail Log-Files)
- System -> Debug (Proxy Log-Files)
- System -System-Updates (Update-Log-Files)
auf Ihren PC herunter laden.


DHCP Konfiguration:

Der DHCP Server auf der Trutzbox, der alle an der Trutzbox angeschlossenen Geräte mit der IP Adresse versorgt, ist in der Tat aktuell nur über ein Konfigurationsfile zu ändern. Wir nutzen als DHCP Server den DNSmasq

Die Konfigurationsdatei heißt dnsmasq.conf und ist unter /etc zu finden.

Sie können die Konfigurationsdatei entweder mit dem Filemanager unter System -> erweiterte Einstellungen (https://trutzbox:10000) editieren oder direkt über die Konsole.

Wir nutzen derzeit nur den IP Adress Bereich 192.168.195.50 bis 192.168.195.200. Alle IP Adressen davor oder darüber sind im Client mit dem IP Adressbereich 192.168.195.0/24 frei verwendbar.

In der dnsmasq.conf gibt es in der Zeile 141 einen Eintrag wie folgt:

dhcp-range=br0,192.168.195.50,192.168.195.199,255.255.255.0,24h



Dies können sie auf den gewünschten Wert ändern, z.b. können sie einen anderen IP Adress Bereich beschreiben oder die IP Adressen weiter einschränken.

Beispiel für IP Adressbereich 192.168.200.0:

dhcp-range=br0,192.168.200.50,192.168.200.199,255.255.255.0,24h



Nun müssen sie allerdings auch die IP Adresse der Trutzbox selbst auf den gewünschten Wert ändern (Ext-Anschluss) und das geht unter /etc/network/interfaces. Dort ist der Wert für das br0 Interface auf den gewünschten Wert einzustellen.

Danach die Trutzbox neu booten.

Vorsicht, Änderungen an der Netzwerkkonfiguration können dazu führen, dass die TrutzBox nicht mehr über das Netzwerk erreichbar ist. Die Änderung daher am besten gleich (falls möglich) über den Konsolen-Anschluss vornehmen (PC-Terminal an den Seriellen Anschluss anschliessen).



Übrigens können sie bei der Firewall einen dump erzeugen und sich damit die Regeln und logfiles anzeigen lassen.

Das geht unter Webmin (erweiterte Einstellungen) - TrutzBase - Shoreline Firewall. Dort einfach auf "Zeige Dump" klicken und sie bekommen den dump direkt angezeigt.

Für die dauerhafte logfile Aktivierung können sie ebenfalls unter webmin - TrutzBase - shoreline firewall die standard regeln oder die Firewall Regeln so ändern, dass dauerhaft logfiles erzeugt werden. Da es bei vielen Geräten auch sehr viele Logeinträge erzeugt, hatten wir diese logfile Generierung ausgeschaltet. Bitte das Ausschalten nicht vergessen, da sonst das Filesystem überlaufen kann.

Ihr Comidio Support

[Fruchtzwerg]

Lieber Support Mitarbeiter,

herzlichen Dank für Ihre Antwort, über die ich mich sehr gefreut habe.
Ihre Ratschläge und Hinweise sind für mich sehr wertvoll und werde sie versuchen schnell umzusetzen.
Gestatten Sie mir bitte ein wenig Zeit, bevor ich auf Ihre Mail weiter eingehe, da ich erst einiges ausprobieren möchte.

Noch etwas anderes: Als ich auf der Suche nach tiefgreifenden DHCP Informationen Ausschau hielt, habe ich selbstverständlich auch das Kompendium gelesen.
Das Kompendium ist eine Wucht!
Besonders möchte ich die ersten 49 Seiten hervorheben, die sind absolut erstklassig! Meine Hochachtung an Herrn Sauer! Jemand musste es einmal auf den Punkt bringen -Herr Sauer hat es getan-. Einfach Klasse.
Genau deshalb habe ich die Trutzbox!

Vielen Dank!

Ihnen ein schönes Wochenende.

Besten Gruß,

Fruchtzwerg

[comidio support]

Das geben wir gerne an Hern Sauer weiter. Vielen Dank für das Lob. Und natürlich freuen wir uns auch, wenn Sie Ihre Begeisterung in Ihrem Bekanntenkreis weiter kommunizieren

Falls Sie Zeit haben, kommen Sie doch bitte in Herrn Sauer´s Webinar am kommenden Donnerstag, das übrigens sicher und anonym über TrutzRTC statt findet. Dort können Sie ihm auch persönlich Fragen stellen. Lassen Sie uns über support@comidio.de wissen, falls Sie noch keine Einladung zu dem Webinar bekommen haben.

Ihr Comidio Support

[Fruchtzwerg]

Lieber Support Mitarbeiter,

es ist zwar schon eine Zeit lang her, aber ich bin weiterhin an dem Thema dran. Nach dem letzten Update ist scheinbar der Filemanager unter System -> erweiterte Einstellungen wegrationalisiert worden? Ich finde den nicht wieder. Es war eine super Möglichkeit, um schnell auf das Dateisystem zu gelangen und Dateien zu editieren. Bin ich blind, oder ist der wirklich weg...? Ich bin Ungereimtheiten auf der Spur und wollte sicher gehen, dass meine Änderungen auch noch so in der dnsmasq.conf stehen.

Haben Sie einen Tipp für mich?

Besten Gruß,

Fruchtzwerg

[comidio support]

Ohh, da ist uns durch einen Tippfehler tatsächlich der Filemanager abhanden gekommen. Ist sonst noch niemanden aufgefallen.

Vielen Dank für den Hinweis; wir werden ihn mit dem nächsten Update wieder frei schalten.

Ihr Comidio Support

[Fruchtzwerg]

Danke für Ihre Antwort.
Ich kann kein Update machen.

Zu allem Übel hat die Trutbox nach drei bis vier Tagen so viele verschiedene (im meinen Augen unnötige) Prozesse zu verarbeiten und hat deshalb eine so hohe Systemlast, dass 1. Das System thermisch abkocht und 2. auf keine Eingaben mehr reagiert. Mir blieb nun nichts andere übrig, das System hart auszuschalten, was ich schon alleine als unmöglich finde. Nach dem Einschalten lief die Trutzbox jedoch wieder. Aha, ein stabiles System also... Nach den nächste drei Tagen das gleiche Spiel. diesmal erhalte ich, wenn ich die Trutzbox aufrufe (https://trutzbox-IP) lediglich dies: "Service Unavailable
The server is temporarily unable to service your request due to maintenance downtime or capacity problems. Please try again later.
Apache/2.4.10 (Debian) Server at 192.168.195.200 Port 443"

Nach einem weiteren Kaltstart, das gleiche Spiel. Aha, doch nicht so stabil, das System...
Auch wenn im Kompendium vom lediglich Stecker ziehen geschrieben wird, womöglich ist das in meinem Fall doch nicht so gut gewesen.
Wo ich nun jetzt noch ´raufkomme, ist der Webmin.

Ich hatte noch die serelle Schnittstelle COM1 an der Trutbox im Hinterkopf, die zu Verwenden, um auf das System zu kommen. Eine Doku dazu finde ich leider nicht. Ich bin nun mit meinem Latein am Ende.

Haben Sie einen Tipp?

Grüße vom Fruchtzwerg

[comidio support]

Im Notfall die TrutzBox vom Strom zu nehmen ist wirklich nicht so gesund für die TrutzBox. Sollte also wirklich nur im Notfall gemacht werde, wenn nichts anderes mehr geht.

Solange Webmin (trutzbox:10000) noch funktioniert und das geht eigentlich so gut wie immer, kann man die TrutzBox auch damit sauber herunter fahren.

Wenn die TrutzBox jetzt überhaupt nicht mehr sauber hoch fährt, dann könnte bei dem harten Ausschalten teile des File-Systems zerstört worden sein.

Um die Ursache zu analysieren, bitten wir Sie, sich in Webmin einzuloggen und danach mit Eingabe von

https://trutzbox:10000/systeminfo.cgi

ein Systemlog zu ziehen und dieses uns per Mail an support@comidio.de zukommen zu lassen.

Danach bleibt jetzt wahrscheinlich nur noch die Möglichkeit, die TrutzBox auf Werkseinstellung zurück zu setzen und das Setup erneut durch zu führen. Bitte beachten Sie, dass dabei alle Ihre Daten, die noch auf der TrutzBox gespeichert sind, gelöscht werden. TrutzMails, die noch auf der TrutzBox liegen, sollten Sie evtl. zuvor noch sichern.

Auch der Werks-Reset kann über Webmin durchgeführt werden. Nachdem Sie sich mit trutzbox:10000 in Webmin eingeloggt haben, ist hier beschrieben, wie Sie den Werksreset anstossen. Der Werksreset kann sehr lange dauern, da dabei die Daten nicht nur gelöscht sondern sicher überschrieben werden:

https://comidio.de/wiki/index.php?title ... BCcksetzen

Danach bitte dann das Setup erneut durchlaufen. Am Ende des Setups werden alle Updates eingespielt. Da das mittlerweile sehr viele sind, kann auch das sehr lange Dauern (1-2h).

Ihr Comidio Support