Fragen zur Netzwerkkonfiguration des IPfires

7111 · 19. Februar 2019 um 22:42

Hallo,

ich hab mal wieder ein paar Fragen und hoffe auf eure Hilfe…

Ich würde gerne im blauen Netz die Anzahl der vom DHCP verfügbaren IPs vergrößern. Den Thread Unifi: DHCP bei "blau" aufbohren habe ich gelesen.

Meine /var/ipfire/dhcp/dhcpd.conf würde dann so aussehen:

subnet 172.16.0.0 netmask 255.255.240.0 #BLUE
{
range 172.16.1.1 172.16.15.254;
option subnet-mask 255.255.240.0;
option domain-name “linuxmuster-net.lokal”;
option routers 172.16.0.1;
option domain-name-servers 172.16.0.1;
default-lease-time 3600;
max-lease-time 7200;
} #BLUE

Und meine /var/ipfire/ethernet/settings für Blau so:

BLUE_ADDRESS=172.16.0.1
BLUE_NETMASK=255.255.240.0
BLUE_NETADDRESS=172.16.0.0
BLUE_BROADCAST=172.16.15.255

Ich denke man müsste außerdem noch im Webinterface nach “Geräte auf blau” schauen und dort 172.16.0.0/20 eintragen.

Sieht da jemand ein Problem oder habe ich etwas übersehen ? Im blauen Netz hat nur der IPfire eine feste IP, sonst gibts da nur dynamische Zuweisungen im Wlan.

Wir denken darüber nach, die DMZ des IPfire für einen Server zu nutzen. In der Doku zur Installation des IPfire ( http://docs.linuxmuster.net/de/latest/systemadministration/install-from-scratch/firewall.html ) wird darauf verwiesen, dass man als Netzwerkkonfiguration unbedingt ROT+GRUEN+BLAU wählen soll, weil die Installation ohne Blau nicht klappt.

Könnte es Ärger geben wenn Orange dazu kommt ?

Danke für Mitdenken !

Gruß
Martin

alois · 19. Februar 2019 um 23:24

Mit der Netz-Maske habe ich es auch mal versucht. Das funktionierte nicht. Die Netz-Maske 255.255.0.0 funktionierte dann.

Gruß Alois

baumhof · 20. Februar 2019 um 08:16

Hallo Martin,

Ich würde gerne im blauen Netz die Anzahl der vom DHCP verfügbaren IPs
vergrößern. Den Thread Unifi: DHCP bei „blau“ aufbohren
https://ask.linuxmuster.net/t/unifi-dhcp-bei-blau-aufbohren/1946 habe
ich gelesen.

Meine /var/ipfire/dhcp/dhcpd.conf würde dann so aussehen:

subnet 172.16.0.0 netmask 255.255.240.0 #BLUE
{
range 172.16.1.1 172.16.15.254;
option subnet-mask 255.255.240.0;
option domain-name “linuxmuster-net.lokal”;
option routers 172.16.0.1;
option domain-name-servers 172.16.0.1;
default-lease-time 3600;
max-lease-time 7200;
} #BLUE

bei mir:

subnet 172.16.0.0 netmask 255.255.0.0 #BLUE
{
	range 172.16.16.10 172.16.255.200;
	option subnet-mask 255.255.0.0;
	option domain-name "linuxmuster.local";
	option routers 172.16.255.254;
	option domain-name-servers 129.143.2.4, 172.16.255.254;
	default-lease-time 360000;
	max-lease-time 720000;
} #BLUE

Und meine /var/ipfire/ethernet/settings für Blau so:

BLUE_ADDRESS=172.16.0.1
BLUE_NETMASK=255.255.240.0
BLUE_NETADDRESS=172.16.0.0
BLUE_BROADCAST=172.16.15.255

bei mir:

BLUE_ADDRESS=172.16.255.254
BLUE_NETMASK=255.255.0.0
BLUE_NETADDRESS=172.16.0.0
BLUE_BROADCAST=172.16.255.255

Ich denke man müsste außerdem noch im Webinterface nach “Geräte auf
blau” schauen und dort 172.16.0.0/20 eintragen.

bei mir hab ich noch unter NEtzwerk->DHCP Server nachgeschaut ob da
alles stimmt.

Wir denken darüber nach, die DMZ des IPfire für einen Server zu nutzen.
In der Doku zur Installation des IPfire (
http://docs.linuxmuster.net/de/latest/systemadministration/install-from-scratch/firewall.html
) wird darauf verwiesen, dass man als Netzwerkkonfiguration unbedingt
ROT+GRUEN+BLAU wählen soll, weil die Installation ohne Blau nicht klappt.

Könnte es Ärger geben wenn Orange dazu kommt ?

ich hab schon lange kein Orange mehr, weil hinter unserem Router sowiso
alles eine DMZ ist (vor dem IPFire, aber hinter dem Router, der ja auch
den Zugriff beschränkt).

Ich denke aber nicht, dass das ein Problem ist.

Kleine Empfehlung: vor den Umbauten ein
linuxmuster-ipfire --backup
machen, und wenn es Probleme gibt, die alte config vom server aus zurück
spielen und IPFire neu starten.

LG

Holger

7111 · 24. Februar 2019 um 19:44

Hallo,

und sorry für die späte Antwort, es brennt leider gerade noch anderen Fronten…

Danke für die Hinweise zum DHCP, ich probiere das dann mal mit euren Einstellungen.

An die De-facto-DMZ hinter dem Router hatte ich gar nicht gedacht. Das Einzige was mir vielleicht fehlen würde, wäre die Möglichkeit, die Fiewallregeln etws feiner einstellen zu können. Das brauchen wir aber wahrscheinlich nicht

Gruß
Martin

7111 · 26. März 2019 um 00:38

Hallo Liste,

rotes Netz als DMZ funktioniert inzwischen.

Falls es jemand mal gebrauchen kann: Ich wollte zusätzlich noch den Zugriff auf den Server in der DMZ von innen direkt auf die lokale IP umbiegen. Das klappt auch, dank einer Datei für Unbound:

/etc/unbound/local.d/lokal.conf

mit Inhalt…

server:

local-zone: „domain.de.“ static
local-data: „server.domain.de. IN A 192.168.2.3“
local-data-ptr: „192.168.2.3 server.domain.de“

Gruß
Martin