Unterschiede
Hier werden die Unterschiede zwischen zwei Versionen angezeigt.
| Beide Seiten der vorigen Revision Vorhergehende Überarbeitung Nächste Überarbeitung | Vorhergehende Überarbeitung | ||
|
invis_server_wiki:installation:basesetup-140 [2020/05/31 18:42] flacco [Letzte Vorbereitungen] |
invis_server_wiki:installation:basesetup-140 [2023/07/24 06:12] (aktuell) flacco [Netzwerkkonfiguration] |
||
|---|---|---|---|
| Zeile 131: | Zeile 131: | ||
| * Der Name muss dem Schema **//host.domain.tld//** gehorchen. (//host.tld// ist **nicht** zulässig!) | * Der Name muss dem Schema **//host.domain.tld//** gehorchen. (//host.tld// ist **nicht** zulässig!) | ||
| - | * Für die Top-Level-Domain (TLD) sollte eine Fantasie-Domain wie beispielsweise //**.loc**//, //**.lan**// oder //**.corp**// verwendet werden. Die Verwendung einer im Internet gültigen bzw. bereits vergebenen Domain führt zu Problemen beim Routing und dem EMail-Handling. | + | * Für die Top-Level-Domain (TLD) sollte eine Fantasie-Domain wie beispielsweise //**.corp**//, //**.home**// oder auch //**.lan**// verwendet werden. Die Verwendung einer im Internet gültigen bzw. bereits vergebenen Domain führt zu Problemen beim Routing und dem EMail-Handling. |
| - | //**Hinweis:** Dieses Thema ist hoch umstritten. Die für die Zulassung von Top-Level-Domains zuständige Organisation ICANN warnt wegen der ständig neu zugelassenen TLDs vor Domain-Kollisionen, hat aber die Vergabe von beispielsweise .corp auf unbestimmte Zeit zurück gestellt. [[https://heise.de/-2062606|Infos zum Thema]]. Unserer Meinung nach fällt es gerade kleineren Unternehmen, an die sich unser Projekt ja wendet, schwer auch für interne Zwecke mit offiziell registrierten Domains zu arbeiten. Es steht Ihnen natürlich frei dies zu tun.// | + | //**Hinweis:** Dieses Thema war lange hoch umstritten. Die für die Zulassung von Top-Level-Domains zuständige Organisation ICANN warnt wegen der ständig neu zugelassenen TLDs vor Domain-Kollisionen und hatte etwa die Vergabe von beispielsweise .corp auf unbestimmte Zeit zurück gestellt. [[https://heise.de/-2062606|Infos zum Thema]]. Seit 2018 ist es allerdings amtlich. Die Top-Level Domains //**.internal**//, //**.intranet**//, //**.private**//, //**.lan**//, //**.corp**//, //**.home**// und //**.mail**// bleiben für interne bzw. private Nutzung reserviert. [[https://datatracker.ietf.org/doc/html/rfc6762#appendix-G|Siehe rfc6762]] und [[https://www.theregister.com/2018/02/12/icann_corp_home_mail_gtlds/|und hier]]. Leider gilt das nicht für das hier immer wieder beispielhaft verwendete //**.loc**//. Unserer Meinung nach fällt es gerade kleineren Unternehmen, an die sich unser Projekt ja wendet, schwer auch für interne Zwecke mit offiziell registrierten Domains zu arbeiten. Es steht Ihnen natürlich frei dies zu tun.// |
| Um die Benennung der Netzwerkschnittstellen mit den einzelnen Firewall-Zonen eines invis-Servers in Verbindung zu bringen, haben wir uns entschlossen, auf Basis von udev-Regeln klare Namen für die Netzwerkschnittstellen zu vergeben. Auch die Benennung der im Laufe des Setups einzurichtenden VPN-Schnittstelle wurde ein entsprechender Name gegeben: | Um die Benennung der Netzwerkschnittstellen mit den einzelnen Firewall-Zonen eines invis-Servers in Verbindung zu bringen, haben wir uns entschlossen, auf Basis von udev-Regeln klare Namen für die Netzwerkschnittstellen zu vergeben. Auch die Benennung der im Laufe des Setups einzurichtenden VPN-Schnittstelle wurde ein entsprechender Name gegeben: | ||
| ^ Früherer Gerätename ^ Aktueller Name ^ | ^ Früherer Gerätename ^ Aktueller Name ^ | ||
| - | | eth0 | extern | | + | | eth0 | extern | |
| - | | eth1 | intern | | + | | eth1 | intern | |
| - | | tun1 | vpn | | + | | //eth2// | //dmz// | |
| + | | tun1 | vpn | | ||
| Die erste Netzwerkkarte des Systems (extern) stellt die Verbindung des Servers mit dem Internet her - entspricht somit der externen Zone Ihrer Firewall. | Die erste Netzwerkkarte des Systems (extern) stellt die Verbindung des Servers mit dem Internet her - entspricht somit der externen Zone Ihrer Firewall. | ||
| Je nach dem, wie der dem invis-Server vorgeschaltete Router konfiguriert ist, müssen Sie "extern" als DHCP-Client oder gemäß den Vorgaben Ihres Providers Konfigurieren. | Je nach dem, wie der dem invis-Server vorgeschaltete Router konfiguriert ist, müssen Sie "extern" als DHCP-Client oder gemäß den Vorgaben Ihres Providers Konfigurieren. | ||
| + | |||
| + | Falls mehr als zwei Netzwerkschnittstellen vorhanden sind, wird die dritte Schnittstelle in **dmz** umbenannt, auch wenn das invis-Server Setup dies in keiner Weise nutzt. | ||
| Die zweite Netzwerkkarte (intern) muss mit einer festen IP-Adresse versehen werden. Selbst, wenn über den Internet-Service-Provider eine feste IP-Adresse zur Verfügung steht, ist für das interne Netz die Verwendung eines eigenen Netzes zwingend. | Die zweite Netzwerkkarte (intern) muss mit einer festen IP-Adresse versehen werden. Selbst, wenn über den Internet-Service-Provider eine feste IP-Adresse zur Verfügung steht, ist für das interne Netz die Verwendung eines eigenen Netzes zwingend. | ||
| + | |||
| + | //**Achtung:** Beim Konfigurieren der Netzwerkschnittstellen via YaST müssen Sie **unbedingt** darauf achten diese unmittelbar den richtigen Firewall-Zonen zuzuordnen. Diese sind: Für "intern" = "internal" und für "extern" = "external". Machen Sie dies nicht, werden die Schnittstellen später immer wieder von YaST, beispielsweise nach Updates, in die Standard-Zone "public" gepackt und Sie somit ausgesperrt. Ärgerlich, wenn der Server ein paar Hundert Kilometer entfernt von Ihnen steht.// | ||
| //**Achtung:** Bevor Sie jetzt die Netzwerkschnittstellen Ihres invis-Servers konfigurieren ein Hinweis dazu. invis-Server können lediglich mit 16 und 24 Bit breiten Netzwerkmasken also "255.255.0.0" (/16) und "255.255.255.0" (/24) umgehen. Idealerweise konfigurieren Sie für die interne Netzwerkschnittstelle ein privates IP-Netzwerk der Klassen "B" (172.16.0.0 bis 172.31.255.255) oder "C" (192.168.0.0 bis 192.168.255.255). Über die Unterstützung von Klasse "A" Netzen denken wir noch nach, erachten dies aber nicht wirklich als notwendig für "kleine" Netze.// | //**Achtung:** Bevor Sie jetzt die Netzwerkschnittstellen Ihres invis-Servers konfigurieren ein Hinweis dazu. invis-Server können lediglich mit 16 und 24 Bit breiten Netzwerkmasken also "255.255.0.0" (/16) und "255.255.255.0" (/24) umgehen. Idealerweise konfigurieren Sie für die interne Netzwerkschnittstelle ein privates IP-Netzwerk der Klassen "B" (172.16.0.0 bis 172.31.255.255) oder "C" (192.168.0.0 bis 192.168.255.255). Über die Unterstützung von Klasse "A" Netzen denken wir noch nach, erachten dies aber nicht wirklich als notwendig für "kleine" Netze.// | ||
| Zeile 152: | Zeile 157: | ||
| ^ typische IP Netze gängiger Router ^ | ^ typische IP Netze gängiger Router ^ | ||
| - | | 192.168.0.0/24 | | + | | 192.168.0.0/24 | |
| - | | 192.168.1.0/24 | | + | | 192.168.1.0/24 | |
| - | | 192.168.2.0/24 | | + | | 192.168.2.0/24 | |
| - | | 192.168.100.0/24 | | + | | 192.168.50.0/24 | |
| - | | 192.168.178.0/24 | | + | | 192.168.100.0/24 | |
| - | | 192.168.188.0/24 | | + | | 192.168.177.0/24 | |
| + | | 192.168.178.0/24 | | ||
| + | | 192.168.188.0/24 | | ||
| Wir unterteilen die Netze der beiden unterstützten Netzwerkklassen für den DHCP-Server in verschiedene Bereiche (Damit ist **kein** Subnetting gemeint). Die nachfolgende Tabelle zeigt die verschiedenen Bereiche, angezeigt wird jeweils nur der Host-Anteil der IP-Adressen. | Wir unterteilen die Netze der beiden unterstützten Netzwerkklassen für den DHCP-Server in verschiedene Bereiche (Damit ist **kein** Subnetting gemeint). Die nachfolgende Tabelle zeigt die verschiedenen Bereiche, angezeigt wird jeweils nur der Host-Anteil der IP-Adressen. | ||
| Zeile 195: | Zeile 202: | ||
| Konfigurieren Sie in YaST folgende Punkte: | Konfigurieren Sie in YaST folgende Punkte: | ||
| - | * **Hostname**, entsprechend der obigen Überlegungen | + | * **Hostname**, entsprechend der obigen Überlegungen. Der Hostname muss in YaST an zwei verschiedenen Stellen eingegeben werden. Einmal im Setup der internen Netzwerkschnittstelle und einmal unter Punkt "Hostname/DNS". Letzteres wirkt in Yast ein wenig merkwürdig. In älteren openSUSE Leap Versionen (bis 15.0) wurde hier ebenfalls der vollqualifizierte Name eingegeben. Unter 15.2 war und ist dies nicht möglich, da das Eingabefeld keine Punkte zulässt. Ab 15.3 können Punkte wieder eingegeben werden, dennoch **darf hier nur der Hostanteil des Namens eingegeben werden**! Im Punkt "Hostname/DNS" muss noch eingestellt werden, dass der Hostname des Servers **nicht** per DHCP überschrieben wird. Der entsprechende Parameter muss von "any" auf "no" geändert werden. |
| * **Externe Schnittstelle**: Bei Verwendung eines Routers mit DHCP-Server einfach als DHCP-Client einrichten. Bei Verwendung eines Routers ohne aktiven DHCP-Server ist die Schnittstelle statisch entsprechend der Netzwerk-Konfiguration des Routers einzurichten und zusätzlich der Router als Gateway zu konfigurieren. | * **Externe Schnittstelle**: Bei Verwendung eines Routers mit DHCP-Server einfach als DHCP-Client einrichten. Bei Verwendung eines Routers ohne aktiven DHCP-Server ist die Schnittstelle statisch entsprechend der Netzwerk-Konfiguration des Routers einzurichten und zusätzlich der Router als Gateway zu konfigurieren. | ||
| * **Interne Schnittstelle**: Hier ist eine statische Adresse einzurichten. Wichtig ist, dass mit der Adresse auch im letzten Eingabefeld der zuvor vergebene Hostname erneut einzugeben ist. Der Host-Teil der IP-Adresse sollte bezogen auf Ihr Netzwerk im Bereich von 1 bis 10 liegen, da ansonsten die Gefahr besteht, dass Ihr Server in einem der vom DHCP-Dienst verwendeten Bereiche liegt. Diese sind in obiger Tabelle aufgeführt.{{ :invis_server_wiki:installation:network_setup_intern.png?500 |}} | * **Interne Schnittstelle**: Hier ist eine statische Adresse einzurichten. Wichtig ist, dass mit der Adresse auch im letzten Eingabefeld der zuvor vergebene Hostname erneut einzugeben ist. Der Host-Teil der IP-Adresse sollte bezogen auf Ihr Netzwerk im Bereich von 1 bis 10 liegen, da ansonsten die Gefahr besteht, dass Ihr Server in einem der vom DHCP-Dienst verwendeten Bereiche liegt. Diese sind in obiger Tabelle aufgeführt.{{ :invis_server_wiki:installation:network_setup_intern.png?500 |}} | ||
| Zeile 225: | Zeile 232: | ||
| //**Hinweis:** Korrekt bemerkt, das in die Jahre gekommene Tool **ipconfig** ist nicht mehr Bestandteil von openSUSE leap 15.// | //**Hinweis:** Korrekt bemerkt, das in die Jahre gekommene Tool **ipconfig** ist nicht mehr Bestandteil von openSUSE leap 15.// | ||
| - | Zu prüfen ist auch ob der Hostname korrekt gesetzt wurde: | + | Zu prüfen ist auch ob der Hostname korrekt gesetzt wurde. Das nachfolgende Kommando muss den vollqualifizierten Namen (FQDN) ausgeben: |
| <code> | <code> | ||
| Zeile 231: | Zeile 238: | ||
| </code> | </code> | ||
| - | //**Achtung:** Wenn hierbei nach wie vor der von openSUSE während der Installation zufällig generierte Name (z.b. linux-lajhf1.site oder linux.suse) ausgegeben wird, kann das invis Server Setup **nicht** funktionieren. In diesem Fall bitte mit YaST das Setzen eines korrekten Hostnamens nachholen.// | + | //**Hinweis:** Ohne die Option ''-f'' darf hingegen nur der Hostanteil des Namens ausgegeben werden. Wird hier ebenfalls der FQDN ausgegeben, wurde via YaST im Punkt "Hostname/DNS" versehentlich der FQDN angegeben. Dies muss zwingend korrigiert werden!// |
| + | |||
| + | //**Hinweis:** Wenn hierbei nach wie vor der von openSUSE während der Installation zufällig generierte Name (z.b. linux-lajhf1.site oder linux.suse) ausgegeben wird, kann das invis Server Setup **nicht** funktionieren. In diesem Fall bitte mit YaST das Setzen eines korrekten Hostnamens nachholen.// | ||
| Damit sind Basisinstallation und Netzwerkkonfiguration abgeschlossen. | Damit sind Basisinstallation und Netzwerkkonfiguration abgeschlossen. | ||