Skip to content

Routerbau mit OpenBSD IV

Weitere Erfahrungen mit OpenBSD als Routersystem konnte ich in den letzten Wochen sammeln. Routing an sich funktioniert super, leider hatte der ral Treiber einen Bug der dafuer sorgte das es nach einer gewissen Zeit auf dem Wireless Lan Interface Ende Gelaende war und die mbufs nicht mehr ausreichten. Das Problem wurde mit einem Update auf OpenBSD 4.2 behoben. Unter OpenBSD 4.2 ist es auch nicht mehr notwendig den ral Treiber selbst zu bauen, sondern er ist im GENERIC Kernel mit drin. Am Paketfilter hab ich auch noch rumgeschraubt aber es gibt dort bestimmt noch Optimierungsmoeglichkeiten auf die ich bisher noch nicht gekommen bin, bzw. wo ich evtl. noch drauf stossen werde. Das PF Modul Authpf hat sich hervorragend bewaehrt. Da ich momentan noch einen zweiten Router aufbaue auf einer Sun Ultra 10 hat sich mir das Problem gestellt das die Buechse auch noch von "Menschen" benutzbar sein soll, welche sich nicht den ganzen Tag aus Spass mit der Kiste rumschlagen wollen, sondern evtl einfach nur mal die Kiste neu starten wollen oder kurz die Netzkonfig umaendern wollen, eine Dienst stoppen oder starten wollen. Also wird ein Frontend benoetigt. Da es fuer OpenBSD eine doch sehr ueberschaubare Auswahl an Webfrontends gibt, hab ich mich dafuer entschieden den guten alten Webmin einzusetzen und dann fuer die Maschine anzupassen. Gesagt getan: export PKG_PATH=ftp://ftp-stud.fht-esslingen.de/pub/OpenBSD/4.2/packages/sparc64/ bash-3.2# pkg_add p5-Crypt-SSLeay-0.54 Das Perlmodul wird benoetigt damit Webmin nachher auch mit SSL verwendet werden kann. bash-3.2# pkg_add p5-Crypt-SSLeay-0.54 Der Vollstaendigkeit halber habe ich diese Module noch mitgenommen. Essentiell notwendig waeren Sie aber nicht. p5-Crypt-OpenSSL-Bignum-0.03.tgz p5-Crypt-PasswdMD5-1.3.tgz Webmin auf OpenBSD ist ewas problematisch, da Webmin die PAM benutzt. In diesem Fall muss man unter OpenBSD etwas nachhelfen. Die Loesung heisst OpenPAM und das Perlmodul AUTHEN::PAM ohne diese beiden Komponenten wird Webmin dem Admin in seinem Log hoechstens eine lange Nase drehen. smile wget http://search.cpan.org/CPAN/authors/id/N/NI/NIKIP/Authen-PAM-0.16.tar.gz, OpenPAM besorgen: wget http://surfnet.dl.sourceforge.net/sourceforge/openpam/openpam-20071221.tar.gz gunzip Authen-PAM-0.16.tar.gz tar -xvf Authen-PAM-0.16.tar gunzip openpam-20071221.tar.gz tar -xvf openpam-20071221.tar cd Authen-PAM-0.16 perl Makefile.PL -t cd ../openpam-20071221 ./configure -with-pam-unix make install danach klappts auch mit der Authentifizierung ueber Webmin smile Webmin Installation: wget http://prdownloads.sourceforge.net/webadmin/webmin-1.390.tar.gz mv webmin-1.390.tar.gz /usr/local/ gunzip webmin-1.390.tar.gz tar -xvf webmin-1.390.tar cd webmin-1.390 ./setup.sh Sollte Webmin erreichbar sein werden fuer Benutzer aus dem WAN bietet sich folgendes an. vi /etc/pf.conf hinzufuegen zu den Inservices # Ports die nach aussen geoeffnet werden InServicesTCP = "{ ssh, auth, www, 10000 }" pfctl -f /etc/pf.conf Fertisch. Man kann in der /etc/miniserv.conf Noch verschiedene Geschichten drehen wie IP's gezielt erlauben. D.h man koennte nur eine bestimmte IP Adresse fuer den Zugrifff freischalten.

Trackbacks

Keine Trackbacks

Kommentare

Ansicht der Kommentare: Linear | Verschachtelt

Solarix am :

*undWenn ich Port 10000 nicht in die InServices setze ist er nur für das Intranet erreichbar. wink weil nur ssh, www und auth geöffnet sind. Von daher macht die Erwähnung doch Sinn, oder? laugh

Shortie am :

*>> Sollte Webmin erreichbar sein werden fuer Benutzer aus dem WAN Das ist ja wie bei einem Auto den Zündschlüssel stecken lassen und nur die Tür abzuschlieÃ

Kommentar schreiben

Umschließende Sterne heben ein Wort hervor (*wort*), per _wort_ kann ein Wort unterstrichen werden.
Standard-Text Smilies wie :-) und ;-) werden zu Bildern konvertiert.
Die angegebene E-Mail-Adresse wird nicht dargestellt, sondern nur für eventuelle Benachrichtigungen verwendet.
BBCode-Formatierung erlaubt
Pavatar, Gravatar, Favatar, MyBlogLog Autoren-Bilder werden unterstützt.
:'(  :-)  :-|  :-O  :-(  8-)  :-D  :-P  ;-) 
Formular-Optionen