/usr/share/doc/HOWTO/de-html/DE-ISDN-HOWTO-6.html is in doc-linux-de 2003.10-5.
This file is owned by root:root, with mode 0o644.
The actual contents of the file can be viewed below.
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131 132 133 134 135 136 137 138 139 140 141 142 143 144 145 146 147 148 149 150 151 152 153 154 155 156 157 158 159 160 161 162 163 164 165 166 167 168 169 170 171 172 173 174 175 176 177 178 179 180 181 182 183 184 185 186 187 188 189 190 191 192 193 194 195 196 197 198 199 200 201 202 203 204 205 206 207 208 209 210 211 212 213 214 | <!DOCTYPE HTML PUBLIC "-//W3C//DTD HTML 3.2 Final//EN">
<HTML>
<HEAD>
<META NAME="GENERATOR" CONTENT="LinuxDoc-Tools 0.9.65">
<TITLE>Linux ISDN HOWTO: Probleme mit dynamischen IP-Nummern </TITLE>
<LINK HREF="DE-ISDN-HOWTO-7.html" REL=next>
<LINK HREF="DE-ISDN-HOWTO-5.html" REL=previous>
<LINK HREF="DE-ISDN-HOWTO.html#toc6" REL=contents>
</HEAD>
<BODY>
<A HREF="DE-ISDN-HOWTO-7.html"><IMG SRC="next.png" ALT="Weiter"></A>
<A HREF="DE-ISDN-HOWTO-5.html"><IMG SRC="prev.png" ALT="Zurück"></A>
<A HREF="DE-ISDN-HOWTO.html#toc6"><IMG SRC="toc.png" ALT="Inhalt"></A>
<HR>
<H2><A NAME="DE-ISDN-HOWTO-dynIP"></A> <A NAME="s6">6.</A> <A HREF="DE-ISDN-HOWTO.html#toc6">Probleme mit dynamischen IP-Nummern </A> <!--IP!dynamische Adresse--> <!--ISDN!dynamische IP Nummern--> </H2>
<P>Was sind dynamische IP-Nummern?</P>
<P>IP-Nummern sind knapp und daher teuer. Die Provider versuchen deshalb,
IP-Nummern einzusparen, indem sie sich nur so viele
IP-Nummern zuweisen lassen, wie sich Kunden gleichzeitig bei Ihnen
einwählen können. Die Anzahl der potenziellen Rechner, die sich
einwählen könnten, ist aber höher; daher kann nicht mehr für
jeden Rechner eine IP-Nummer fest zugeordnet werden.</P>
<P>Der Trick besteht also darin, daß auf eine feste Zuordnung
Rechner - IP-Nummer verzichtet wird und stattdessen bei jedem
Verbindungsaufbau aus einem freien Pool eine ausgewählt wird,
die dem Client mitgeteilt wird.
Diese Technik wird nur beim PPP-Protokoll benutzt, nicht jedoch bei rawip.</P>
<P>Diese Methode ist prima, wenn man nur eine Arbeitsstation hat und
Session-orientiert arbeitet: Verbindung aufbauen, surfen, surfen,
Mails austauschen, surfen und schließlich Verbindung abbauen.</P>
<P>Will man nur ein klein wenig mehr (transparenten Internetzugriff),
stellt sich schnell heraus, daß das Internetkonzept und dynamische
IP-Nummern nicht zusammenpassen.</P>
<P>Folgende Punkte sind für einen transparenten Internetzugriff
wünschenswert:
<OL>
<LI>
<!--
ISDN!Dial-on-Demand
-->
<!--
Dial-on-Demand
-->
Dial-on-demand: es wird nicht manuell entschieden, daß
eine Verbindung auf- oder abgebaut werden soll. Wer soll das
in einem größeren Netz auch machen? Die Wählleitung wird
automatisch aufgebaut, sobald Pakete vorhanden sind, die
nicht im lokalen Netz zugestellt werden können.</LI>
<LI> Automatischer Verbindungsabbau, wenn eine gewisse Zeit
keine Pakete über die Leitung gehen.</LI>
<LI> Pausen verursachen keine Kosten, wenn keine Daten über
die Leitung gehen. Liest man z.B. eine etwas längere Web-Seite,
braucht die Wählleitung nicht aufgebaut zu bleiben.</LI>
<LI> Verhindern, daß vergessen wird aufzulegen. Es blinkt und
klackt ja nicht mehr bei ISDN :).</LI>
</OL>
</P>
<P>Dieses läßt sich mit ISDN wunderbar lösen, vor allem deshalb, weil der
Verbindungsaufbau im Gegensatz zu einem Modem sehr schnell geht.
Tatsächlich dauert er nur wenige Sekunden.</P>
<P>Folgende Punkte sind bei dynamischen IP-Nummern nicht realisierbar:
<OL>
<LI> Server-Funktionalität: die IP-Nummer des Rechners ist
für einen anderen Rechner im Internet nicht bestimmbar.
Außerdem wird der Provider vermutlich nicht selbst eine
Wählverbindung aufbauen wollen und können - zumindest nicht
bei diesen kostengünstigen Verträgen.</LI>
<LI> Mails können nicht direkt zum eigentlichen Mailserver
durchgestellt werden - denn an welche IP-Nummer sollten sie
geschickt werden - sondern sie müssen bei einem Provider
abgelegt werden, von dem sie vom IZG abgeholt werden.</LI>
<LI> Das <EM>Offene-Sockets-Problem</EM>:
Halten einer logischen Verbindung über die
Verbindungsunterbrechnung hinaus ist nicht möglich.
Loggt man sich beispielsweise per Telnet bei seiner Arbeitsstelle
ein, wird nach einer gewissen Zeit der Inaktivität aufgelegt.
Drückt man nun eine Taste, wird die Verbindung
automatisch wiederhergestellt, aber man bekommt eine
andere IP-Nummer zugewiesen. Die Socket-Verbindung zwischen dem
eigenen Rechner und dem Arbeitgeber ist damit ungültig geworden,
da für einen Socket u.a. Quell- und Ziel-IP-Nummern wichtig sind.
Die gleiche Problematik stellt sich bei WWW oder FTP-Verbindungen,
die unterbrochen werden.</LI>
</OL>
</P>
<P>Sehr wohl aber ist man genauso wie sonst auch nicht gegen Angriffe
aus dem Internet geschützt. Ein Hacker kann nur nicht voraussagen,
welchen Rechner er angreift; er sucht sich halt nur zufällig eine
IP-Nummer aus oder belauscht eine Verbindung und kann den Rechner
angreifen. Der Vorteil liegt allerdings darin, daß der Hacker weniger
Zeit hat, da die Verbindung abgebaut und mit einer neuen IP-Nummer
aufgebaut wird, wobei zwischen den beiden IP-Nummern erstmal
kein Zusammenhang zu erkennen
ist. Als wirksamer Schutz reicht dies aber nicht aus.</P>
<P>
<!--
ISDN!Offene Sockets Problem
-->
Aus dem <EM>Offene-Sockets-Problem</EM> ergeben sich zwei
Punkte, die bei einem IZG mit dynamischen IP-Nummern beachtet werden
müssen:
<OL>
<LI> Anfragen laufen in's Leere: Ein Web-Browser hat ein Socket
zum Web- oder Proxy-Server offen, nach dem Reconnect ist dieser
ungültig, aber der Browser hat keine Möglichkeit, dies zu
erkennen. Abhilfe schafft es hier, auf <EM>Abbruch</EM> und
<EM>Reload</EM> zu drücken.</LI>
<LI> Die Sockets bleiben auch nach Beendigung
des Client-Programms offen, es werden immer wieder Pakete
darüber geschickt, bis ein Timeout von etwa 20 Minuten
abläuft. In dieser Zeit wird <EM>ständig eine Verbindung
aufgebaut</EM> bzw. bleibt bestehen.</LI>
</OL>
</P>
<P>Abhilfe schafft für dieses Probem, daß man dem Client nicht erlaubt, direkt
in das Internet eine Verbindung aufzubauen (über Masquerading), sondern
nur über Proxies, siehe Abschnitt
<A HREF="DE-ISDN-HOWTO-10.html#DE-ISDN-HOWTO-squid">Squid</A>.
Aber auch diese Methode ist nicht zuverlässig.</P>
<H2><A NAME="DE-ISDN-HOWTO-rstPatch"></A> <A NAME="ss6.1">6.1</A> <A HREF="DE-ISDN-HOWTO.html#toc6.1">Der RST-Provoking Mode </A>
<!--ISDN!RST-Provoking Mode--> </H2>
<P>Wirkliche Abhilfe schafft nur die Aktivierung des
<EM>RST-Provoking Mode</EM>. Dabei wird bei dem Paket die Quell-IP-Nummer
gegen die jetzt aktuelle dynamische IP-Nummer ausgetauscht,
was bewirkt, daß beide Seiten diesen Socket schließen.</P>
<P>Dieser Modus ist leider noch nicht in den offiziellen Kernel
gekommen. Den Patch von Erik Corry findet man
hier:
<BLOCKQUOTE><CODE>
<A HREF="http://www.image.dk/~ehcorry/linux/">http://www.image.dk/~ehcorry/linux/</A></CODE></BLOCKQUOTE>
</P>
<P>Er ist für Kernel der Version bis 2.0.33 passend, ab Version
2.0.34 wird er vermutlich im Standardkernel sein. Im Standardkernel
von SuSE Linux 5.2 und im Quellpaket <CODE>lx_suse</CODE> ist dieser
Patch schon enthalten.</P>
<P>Zur Aktivierung gibt man dieses Kommando ein:
<BLOCKQUOTE><CODE>
<PRE>
echo 7 > /proc/sys/net/ipv4/ip_dynaddr
</PRE>
</CODE></BLOCKQUOTE>
Für den Quiet-Mode würde man statt dessen <CODE>5</CODE> verwenden.
Bei Erfolg sieht man in <CODE>/var/log/messages</CODE> Meldungen der
folgenden Art:
<BLOCKQUOTE><CODE>
<PRE>
ip_rewrite_addrs(): shifting saddr from 1.1.1.1 to 149.228.142.50 (state 2)
</PRE>
</CODE></BLOCKQUOTE>
</P>
<P>Um den Mode bei SuSE zu aktivieren, trägt man
in <CODE>/sbin/init.d/i4l_hardware</CODE> vor dem Start des
<CODE>isdnlog</CODE> folgende Zeilen ein:
<BLOCKQUOTE><CODE>
<PRE>
test -z "$I4L_DYNIP" ||
echo 7 > /proc/sys/net/ipv4/ip_dynaddr
</PRE>
</CODE></BLOCKQUOTE>
Außerdem muß die Datei <CODE>/etc/rc.config</CODE> so geändert
werden:
<BLOCKQUOTE><CODE>
<PRE>
I4L_DYNIP="yes"
</PRE>
</CODE></BLOCKQUOTE>
</P>
<H2><A NAME="DE-ISDN-HOWTO-ipDynWelche"></A> <A NAME="ss6.2">6.2</A> <A HREF="DE-ISDN-HOWTO.html#toc6.2">Welche IP-Nummer setze ich denn eigentlich? </A>
</H2>
<P>Der Provider stellt nur dynamische IP-Nummern zur Verfügung,
während der Konfiguration von i4l werde ich aber nach
IP-Nummern gefragt - welche IP-Nummer soll ich denn da angeben?</P>
<P>i4l arbeitet mit einer transparenten Netzanbindung, d.h.
logisch gesehen ist die Verbindung immer aktiv, auch
wenn noch gar nicht gewählt wurde und keine dynamischen
IP-Nummern ermittelt werden konnten. Um dieses Pseudo-Netzwerk
zu konfigurieren, müssen aber zwangsläufig IP-Nummern
angegeben werden.</P>
<P>Es empfiehlt sich daher, eine Pseudo-IP-Nummer zu benutzen,
z.B. dieselbe, die man auch für seine Ethernetanbindung
benutzt. Das ist möglich, da die PPP-Verbindung als
<CODE>pointopoint</CODE>-Verbindung (beim <CODE>ifconfig</CODE>) konfiguriert
wurde. Dies ist ein spezieller Modus, durch den der
Kernel weiß, daß hier nur eine Verbindung zwischen
zwei Punkten stattfindet. Warum Point-To-Point (PtP)
als <B>pointopoint</B> angegeben wird, weiß ich auch nicht.</P>
<P>Um keinen Konflikt mit offiziellen IP-Nummern zu provozieren,
sollte man eine aus dem privaten Bereich wählen, z.B.
192.168.1.1.</P>
<P>Falls man bei T-Online angeschlossen ist oder dies plant:
Benutze nicht 192.168.0.*. Darüber werden zum Teil
interne Dienste wie CEPT abgehandelt.</P>
<HR>
<A HREF="DE-ISDN-HOWTO-7.html"><IMG SRC="next.png" ALT="Weiter"></A>
<A HREF="DE-ISDN-HOWTO-5.html"><IMG SRC="prev.png" ALT="Zurück"></A>
<A HREF="DE-ISDN-HOWTO.html#toc6"><IMG SRC="toc.png" ALT="Inhalt"></A>
</BODY>
</HTML>
|