ADSL & *NIX


MXS_HOME

Voor het gebruik van het adsl modem voldoet de fabrieksinstelling van het modem niet, op de door KPN meegeleverde CD staat een eenvoudig programmatje voor windows dat het modem van de juiste instellingen voorziet. Helaas echter voor de *NIX gebruikers is er alleen met de mac en windows gebruikers rekening gehouden. Om deze reden heb ik aan de hand van een dump die ik gemaakt had van het verkeer tussen een windows doos en het modem een perl scriptje in elkaar gekutseld dat de zelfde acties uitvoert als het mxs_home programma op de KPN CD. Om het te kunnen gebruiken heb je de Expect perl module nodig die opzich weer een tweetal andere perl modules vereist.

Deze modules en dit script zijn tevens opgenomen in adsl4linux

Let verder op dat als je dit script bijzonder vaak nodig hebt, omdat je modem vaak hangt, en je niets anders meer kunt dan fysiek de modem resetten, dat je vermoedelijk last hebt van een bug in de modem firmware dat optreed bij collisions in 2 gevallen: Het is momenteel verstandig om geen HUB op de modem aan te sluiten in verband met deze problemen, en om bij een Fast abbonement de PC die communiceert met het modem van een 2e netwerk kaart te voorzien en deze als router in te richten.
Verder is het voor fast gebruikers met meer dan 1 IP adress vaak wenselijk om meer dan 1 tunnel door deze gateway af te laten handelen. Dit kan zijn omdat het verstandig is om firewalling op een enkele machine af te handelen, maar kan ook zijn om machines met besturingssystemen die geen pptp ondersteunen alsnog op een eigen IP adress aan te sluiten.
Voor beiden mogelijkheden heb ik een aangepaste versie gemaakt van het mxs_home scriptje die drie IP adressen en een extra routering toevoegd aan de Modem.
Richt het router/gateway systeem in met aan de modem kant het IP adress 10.0.0.1, en aan de netwerk kant 192.168.1.1, en zet forwarding aan.
Zet de andere computers op 192.168.1.2 tm 192.168.1.4, en voeg op deze systemen een statische route toe:
   route add -net 10.0.0.0 netmask 255.255.255.0 gw 192.168.1.1
Je hebt dan een eenvoudig gerouteerd netwerkje en bent weer in staat om zonder de reset problemen gebruik te maken van 4 vpn tunnels, om zodoende alle systemen op hun vaste IP adress te kunnen zetten zonder voorgenoemde problemen.

Meer dan 1 tunnel op de linux gateway

Het kan voor de Fast-adsl gebruikers zinnig zijn om alle 4 de tunnels op een enkele gateway te laten eindigen. Met de
1.0.2 versie van pptp met de pc1 patch en fast-adsl patch is dat echter lastig omdat de "pc1" waarde hard ingecompileerd was.
Ik heb een 'quick&dirty' patch gemaakt waarbij de pptp client aangeroepen word met een extra parameter, en afhankelijk hiervan 'pc1' .. 'pc4' word aangekozen. Omdat ik nog niet heb kunnen patchen op een zo structurele manier dat er meer tunnels tussen de zelfde 2 IP adressen mogelijk zijn, is het boven genoemde scriptje nodig om meerdere IP adressen toe te kennen aan het modem. Ik heb besloten gezien het feit dat deze q&d patch werkt, en gezien het feit dat ik niet enorm gecharmeerd ben van het ontwerp van de applicatie om geen tijd te steken in een 'mooie' patch, maar om wat energie te steken in een PPTP client rebuild (Zie ook pptp/pptp2-dev/ in de ADSL4Linux CVS tree) Deze gepatchte versie dient (na het draaien van het mxs_gwconf script) op de volgende manier te worden aangeroepen:
  pptp 10.0.0.138 1 file /etc/ppp/options.pc1
  pptp 10.0.0.139 2 file /etc/ppp/options.pc2
  pptp 10.0.0.140 3 file /etc/ppp/options.pc3
  pptp 10.0.0.141 4 file /etc/ppp/options.pc4
De tunnels 2,3 en 4 kunnen dan vervolgens via 1op1 NAT doorgemapt worden naar de machines 192.168.1.2, 192.168.1.3 en 192.168.1.4, en de overige IP adressen op het 192.168.1.x netwerk kunnen via standaard NAT naar buiten via de het IP adress van de 1e tunnel.
De gateway kan tenslotte op deze manier gebruikt worden om firewalling centraal te kunnen doen.
Een hybride configuratie, waarbij bv de 1e tunnel zoals beschreven gebruikt word voor standaard NAT, de 2e tunnel voor 1op1 nat met een server systeempje, en de 3e en 4e tunnel niet op de de gateway eindigen, maar gerouteerd worden opgezet vanaf de clients is verder een optie die tot de mogelijkheden behoort. Deze 2e optie heeft verder een minder strakke firewall mogelijkheid tot gevolg, maar kan in verband met applicaties die niet door NAT werken wenselijk zijn.


Een aantal belangrijke aandachts punten

Ik ben tijdelijk gestopt met m'n effords om een waterdichte procedure en HOWTO te schrijven voor deze configuratie in verband met het feit dat het er sterk op begint te lijken dat de extra IP adressen gaan verdwijnen. Nieuwe aansluitingen krijgen volgens dit bericht alleen nog maat 1 IP adres, bij bestaande aansluitingen gaan de IP op (een nog niet nader genoemde termijn) verdwijnen, en zoals het er nu uitziet is de enige mogelijkheid om staks nog meerdere IP adressen te gebruiken het afsluiten van een vele malen zo duur 'zakelijk' abbonenment. Als deze wijzigingen door gaan heeft de boven gemoemde configuratie niet veel toekomst.
Het meest krom is nog de motivering 'Van de meegeleverde IP-adressen gebruiken Fast ADSL-klanten er meestal maar een' in dit bericht, zonder boven genoemde config is het vrijwel onmogelijk om 'stabiel' meer dan 1 IP adres te gebruiken, het gevolg van een brakke implementatie wordt dus gebruikt als argument om ons de IP adressen te ontnemen die ons belooft waren. Dit zijn echt het soort acties dat je alleen van een monopolist als KPN kunt verwachten, de meeste van ons kunnen immers nergens anders heen. Het enige wat we momenteel kunnen doen is afwachten.

Eigen domain met adsl

Een van de grote voordelen van adsl in combinatie met een vast IP adres is de mogelijkheid om eigen servertjes te draaien. Nog leuker wordt zo'n servertje als hij onder een eigen .com .org of .net domain draait.
Omdat je een vast IP adress hebt kun je zelf in principe de primaire DNS draaien, voor het inrichten van een nameserver kun je gebruik maken van bind of de DNS server van de cduck kit:
Vervolgens heb je voor je je domain gaat registreren ten minste een secundaire nameserver nodig. Helaas is de daar voor bestemde egroup opgehouden te bestaan, voor diegene die gebruik wensen te maken van de C-Duck software kan je echter gebruik maken van het cduck_peers forum van het cduck sourceforge project, waar je op zoek kunt gaan naar mensen die deel willen nemen aan een 'distributed url cloacking group'.

Tenslotte kun je je domain bij b.v.Joker.com voor EUR 12,- per jaar je domain registreren, en de diverse nameservers (totaal max 6) opgeven.

Rob J Meijer 12/2000 rmeijer@xs4all.nl