Debian 9 : Gateway mit DNS und DHCP

1.) Aufsetzten des Gateways mit DNS und DHCP für das interne Netzwerk
2.) installieren des Debian Grundsystems und aktualisieren auf den aktuellsten Stand
3.) installieren der benötigten Packete für den Gateway
apt install dnsmasq vim resolvconf iptables-persistent
benötigte Einstellungen im Kernel vornehmen.
vi /etc/sysctl.conf
# auskommentieren von 
net.ipv4.ip_forward=1
benötigte Einstellungen in den IP-Tables vornehmen
vi /etc/iptables/rules.v4
das reinkopieren, hier ist gleich der port 22 für ssh geöffnet und die Weiterleitung von Port 80 und 443
auf den internen Server 172.16.0.10 umgesetzt.

enp0s3 und enp0s8 sind meine Netzwerkkarten sollten die bei euch einen anderen Namen tragen
Muss dieser natürlich angepasst werden

*nat
-A POSTROUTING -o enp0s3 -j MASQUERADE
-A PREROUTING -i enp0s3 -p tcp --dport 80 -j DNAT --to 172.16.0.10:80
-A PREROUTING -i enp0s3 -p tcp --dport 443 -j DNAT --to 172.16.0.10:443
COMMIT
# -----------------------------------------------------
*filter
-A INPUT -i lo -j ACCEPT
# wenn angefragt dann erlauben
-A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
# ssh erlauben
-A INPUT -i enp0s3 -p tcp -m tcp --dport 22 -j ACCEPT
# Webserver
-A FORWARD -p tcp -d 172.16.0.10 --dport 80 -j ACCEPT
-A FORWARD -p tcp -d 172.16.0.10 --dport 443 -j ACCEPT
# Alles andere DROP
-A INPUT -i enp0s3 -j DROP
COMMIT
Aktivieren der IPTABLES mit
iptables-restore /etc/iptables/rules.v4
Konfigurieren der Netzwerkschnittstelle ins interne LAN
vi /etc/network/interfaces
das reinkopieren
# internal LAN (int)
allow-hotplug eth1
iface enp0s8 inet static
address 172.16.0.1
broadcast 172.16.0.254
netmask 255.255.255.0
dann kümmern wir uns direkt um die dnsmasq.conf
vi /etc/dnsmasq.conf
Da jedes Netzwerk anders ist kann meine nur als Anregung verstanden werden, für meinen Test habe ich alle Kisten in der Domain ph.lan
# DNS CONFIG
domain-needed
bogus-priv
interface=enp0s8
listen-address=127.0.0.1
listen-address=172.16.0.1
bind-interfaces
domain=ph.lan
local=/ph.lan/
# DNS Weiterleitung
server=8.8.8.8
server=8.8.4.4
filterwin2k
# -------------------------------------------------------------
# DHCP CONFIG
# -------------------------------------------------------------
dhcp-range=lan,172.16.0.2,172.16.0.254,12h
dhcp-option=lan,3,172.16.0.1
dhcp-option=lan,6,172.16.0.1
# FESTE HOSTS
# dhcp-host=[E/A nach dem Muster XX:XX:XX:XX:XX:XX],[HOSTNAME],[IP-ADRESSE],infinite
dhcp-host=08:00:27:cc:69:b0,web-lb,172.16.0.10,infinite
so damit wird uns jetzt nicht selbst verarschen editieren wir noch die Datei /etc/hosts
127.0.0.1       localhost
#127.0.1.1      web-gw.ph.lan   web-gw
172.16.0.1      web-gw.ph.lan   web-gw
# The following lines are desirable for IPv6 capable hosts
::1     localhost ip6-localhost ip6-loopback
ff02::1 ip6-allnodes
ff02::2 ip6-allrouters
wenn wir das nicht machen antwortet auf einem Ping des Gateways immer die 127.0.1.1 die Datei wird auch zur Auflösung der Adressen im Netzwerk hergezogen.

Jetzt passen wir noch die Datei /etc/resolvconf/resolv.conf.d/head an. Hier mein Inhalt.
# Dynamic resolv.conf(5) file for glibc resolver(3) generated by resolvconf(8)
#     DO NOT EDIT THIS FILE BY HAND -- YOUR CHANGES WILL BE OVERWRITTEN
nameserver 172.16.0.1
search ph.lan
keine Angst die Warnung können wir hier ignorieren, beim start wird die Datei /etc/resolv.conf gebaut, damit man in dieser Datei (etc/resolv.conf) nichts ändert ist diese Warnung da.

Jetzt starten wir mal die Kiste durch
systemctl restart

Wenn hier alles richtig gemacht wurde ist der web-gw jetzt konfiguriert jetzt könnt ihr einen 2. Server aufsetzen der seine Netzwerkkarte nur im internen Netzwerk hat. Alle Rechner/Server bekommen jetzt im internen Lan ihre DHCP / DNS Einstellungen vom Server web-gw, jetzt kann man anfangen das Apache Loadbalancing aufzubauen. Dazu folgt aber ein weiterer Eintrag von mir.

Fritzbox: Benutzeroberfläche aufrufen, wenn IP-Adresse unbekannt ist (Notfall-IP)

Problem:
Ich hatte eine FritzBox, die ich resetten wollte, aber keine IP-Adresse wusste. Einen externen Reset-Button fand ich nicht, außerdem wollte ich die Config einsehen.

Lösung:
Es gibt eine Notfall-IP, über die ist jede FrizBox erreichbar. Dazu müssen einige Vorbereitungen getroffen werden:

1.) Ziehen Sie alle Netzwerkkabel von der FritzBox
2.) Drücken Sie die WLAN-Taste um die WLAN-Funktion abzuschalten.
3.) Verbinden Sie einen Computer über ein Netzwerkkabel mit der FritzBox.
4.) Achten Sie darauf, dass Ihr Computer seine Adresse über DHCP bezieht oder geben Sie Ihm die feste IP 169.254.1.2
4.) Öffnen Sie im Browser die IP-Adresse http://169.254.1.1 (APIPA-Bereich)
5.) Jetzt können sie die FritzBox administrieren - falls diese kennwortgeschützt ist, müssen Sie dieses haben!

Quelle:
FRITZ!Box 7330 Service: Notfall-IP

Windows-Firewall: WMI für Firewall

Problem
Man möchte mittels WMI auf einen PC zugreifen wir jedoch von der Firewall blockiert.
Die Firewall-Konfiguration stellt den WMI-Dienst nicht zur Verfügung um diesen freizugeben.

Lösung
Die einfachste Möglichkeit die Freigabe zu aktivieren stellt der netsh-Befehl zur Verfügung.
Einfach in der Shell des Remote-Computers folgenden Befehl ausführen:

netsh firewall set service RemoteAdmin enable


Quelle: poweradmin.com: Enable WMI (Windows Management Instrumentation)

Windows 7/Vista: TCP Auto-Tuning abschalten

Problem
Windows 7/Vista-Clients haben das Problem, dass es gelegentlich zu Netzwerkabbrüchen bzw. Speicherproblemen im Netzwerk kommt.
Auf den Switchen wird ein CRC-Error oder Excessiv Broadcast gemeldet.

Lösung
Man kann versuchen, die TCP Auto-Tuning Einstellungen, die bei Windows 7 und Vista standardmäßig aktiv sind, zu deaktivieren.

Mit folgendem Befehl wird das Auto-Tuning deaktiviert:
netsh interface tcp set global autotuning=disabled


Mit folgendem Befehl wird das Auto-Tuning wieder mit dem Standardwert aktiviert:
netsh interface tcp set global autotuning=normal


Hinweis:
Man beachte, bei aktivierter UAC, dass man CMD als Administrator ausführt!!

Quelle: mydigitallife.info: Disable TCP Auto-Tuning to Solve Slow Network, Cannot Load Web Page or Download Email Problems in Vista

Win XP: Oakley-Protokolls erstellen lassen (IPSEC)

Problem

Standardmäßig wird kein LOG-File beim Aufbau einer IPSEC-Verbindung angelegt

Lösung

Entwickler und Netzwerkadministratoren, die IKE-Wissen erweitert haben, können die Registrierung ändern, um ein Oakley-Protokoll zu erhalten. Verwenden Sie dazu Registrierungs-Editor, um den folgenden Registrierungsunterschlüssel zu suchen. Erstellen Sie es, wenn der Unterschlüssel nicht existiert.

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\PolicyAgent\Oakley

Fügen Sie einen Eintrag des REG_DWORD-Typenwerts, der "EnableLogging" benannt wird, hinzu Weisen Sie diesem Eintrag einen Wert 1 zu. Danach den IPSEC-Dienst (Policy-Agent) neu starten, damit die Einstellung aktiv wird. Bei einem Verbindungsaufbau wird nun ein Log-File Oakley.log im %systemroot%\Debug-Ordner erstellt.

Hinweis:
Weisen Sie einen Wert 0 dem EnableLogging-Eintrag zu, um die Protokollierung zu deaktivieren.
“Die Organisationen stecken Millionen von Dollars in Firewalls und Sicherheitssysteme und verschwenden ihr Geld, da keine dieser Maßnahmen das schwächste Glied der Sicherheitskette berücksichtigt: Die Anwender und Systemadministratoren.”
Kevin Mitnick