IPCop-Forum.de

www.ipcop-forum.de


IPCop-Community
CL-Systems
Home Home   Doku Doku   Links Links   Downloads Downloads
UnIPCop Der (Un)IPCop   IFS IPCop-ForumSpy
CopTime CopTime   Galerie IPCop-Galerie   IPCop Userkarte Userkarte
Aktuelle Zeit: 26.04.2018, 13:36

Alle Zeiten sind UTC+02:00




Ein neues Thema erstellen  Auf das Thema antworten  [ 8 Beiträge ] 
Autor Nachricht
BeitragVerfasst: 25.09.2016, 20:54 
Offline
Chief Superintendent
Themenstarter
Chief Superintendent

Registriert: 05.06.2009
Beiträge: 602
Wohnort: Nordlicht im Ländle
Hallo zusammen,

ich habe ein Zyxel VMG1312-B30a im Einsatz, derzeit noch mit ADSL, ab Dezember dann mit VDSL. Den Zugriff auf das Web-Interface habe ich nach der Anleitung http://www.ipcop-forum.de/forum/viewtop ... 63&t=29127 eingerichtet, das funktioniert aus Grün heraus alles soweit wie gewünscht.

Das DSL-Modem hat auch die Möglichkeit, sich die Zeit via NTP zu holen. Der direkte Zugriff auf einen Timeserver im Internet funktioniert aber nicht. Im Firewall-Log sehe ich auch nicht, daß Pakete verworfen werden.

Daher habe ich als Timeserver den IPCop angegeben und eine Firewall-Regel über das GUI eingerichtet (192.168.201.1 ist das DSL-Modem, 192.168.201.2 die rote Schnittstelle des IPCop):
Zitat:
Rot-Rot 192.168.201.1 : 123 >> IPCop IPCop : ntp NTP Zugriff für DSL-Modem

Nun sehe ich im Firewall-Log, daß NTP-Pakete den IPCop erreichen. Diese werden aber verworfen. Auszug aus dem Firewall-Log:
Code:
20:45:28    ROT-ROT DROP    wan-1    UDP    192.168.201.1   49398    28:28:5d:0f:6f:2d    192.168.201.2    123(NTP)


Muß ich in /etc/rc.d/rc.firewall.local weitere Regeln einfügen, wenn ja welche? Und warum?

Grüße, zargano


Nach oben
   
BeitragVerfasst: 25.09.2016, 21:35 
Offline
Superintendent
Superintendent
Benutzeravatar

Registriert: 27.11.2005
Beiträge: 599
Wohnort: Internet
vermutlich hört der NTP nicht auf Rot, sondern nur auf indernen Schnittstellen.

keine Ahnung, ob man das umbiegen kann. Ich würd es lassen. Der Zyxel benötigt eigentlich keine exakte Uhrzeit, um richtig zu funktionieren.... Ich habe bei meinem nach dem letzten Firmwareupdate nichtmals mehr die IP geändert, dass er erreichbar ist...

_________________
APU3B2 2GB-RAM; Red-Green-Blue-Orange, nun mit IpFire... RIP IpCOP


Nach oben
   
BeitragVerfasst: 26.09.2016, 09:35 
Offline
Deputy Commissioner
Deputy Commissioner

Registriert: 09.06.2006
Beiträge: 800
Hallo,
keine Regel ... ist unsinnig weil das genatted wird ;)
Ein einfacher Portforward würde es tun auf den NTP-Server, aber ob das nötig ist und klug ist?
welche Internet-ntp-server antworten denn nicht dem Modem !
Ist das wirklich ein Modem ? kein Router .

Fred


Nach oben
   
BeitragVerfasst: 26.09.2016, 19:32 
Offline
Chief Superintendent
Themenstarter
Chief Superintendent

Registriert: 05.06.2009
Beiträge: 602
Wohnort: Nordlicht im Ländle
Nukelodeon hat geschrieben:
vermutlich hört der NTP nicht auf Rot, sondern nur auf indernen Schnittstellen.
Ich wüßte dazu gerne Fakten.
Nukelodeon hat geschrieben:
Der Zyxel benötigt eigentlich keine exakte Uhrzeit, um richtig zu funktionieren
Schon richtig, das stelle ich nicht in Frage. Nur: ich hatte einen seltsamen Effekt auf meiner DSL-Leitung. Wenn ich nun Logs auf dem DSL-Modem hätte, wäre es gut, nicht eine willkürliche Uhrzeit (d.h. Startzeit des Modems) angezeigt zu bekommen. Nicht lebenswichtig, aber schon "sehr nett".
ymfred hat geschrieben:
keine Regel ... ist unsinnig weil das genatted wird
:?: Ich verstehe Deinen Einwurf nicht. Wie soll ein Paket vom IPCop genatted werden, das beim Eintreffen schon verworfen wird.
ymfred hat geschrieben:
Ist das wirklich ein Modem ? kein Router .
Beides in einem. In der betriebenen Konfiguration arbeitet es als Modem, nicht als Router :arrow: http://www.ipcop-forum.de/forum/viewtop ... 63&t=29127
ymfred hat geschrieben:
aber ob das nötig ist und klug ist?
Siehe zweiten Kommentar zu Nukelodeon oben.
ymfred hat geschrieben:
welche Internet-ntp-server antworten denn nicht dem Modem !
Also, so wie ich das verstehe, schickt das DSL-Modem mit der Adresse 192.168.201.1/24 erst einmal zum IPCop mit 192.168.201.2 als roter Schnittstelle. Dort werden die Pakete verworfen. Demzufolge wird kein (NTP-)Paket vom Modem ins Internet laufen.
ymfred hat geschrieben:
Ein einfacher Portforward würde es tun auf den NTP-Server,
:?: Wie genau setze ich das auf? Der IPCop "mag" kein Portforwarding-Ziel, das er selber ist...

Grüße, zargano


Nach oben
   
BeitragVerfasst: 26.09.2016, 21:45 
Offline
Superintendent
Superintendent
Benutzeravatar

Registriert: 27.11.2005
Beiträge: 599
Wohnort: Internet
zargano hat geschrieben:
Nukelodeon hat geschrieben:
vermutlich hört der NTP nicht auf Rot, sondern nur auf indernen Schnittstellen.
Ich wüßte dazu gerne Fakten.


/var/ipcop/time/ntp.conf
Code:
# Configuration file for ntpd, created by time.cgi.
# Do not edit manually.
#
restrict default kod limited nomodify nopeer noquery notrap
restrict 127.0.0.1
# Our networks
restrict 192.168.0.0 mask 255.255.255.0 nomodify noquery notrap
restrict 192.168.3.0 mask 255.255.255.0 nomodify noquery notrap
# Servers
server 0.ipcop.pool.ntp.org iburst
server 1.ipcop.pool.ntp.org iburst
server 2.ipcop.pool.ntp.org iburst
# Local clock
server 127.127.1.0
fudge  127.127.1.0 stratum 7
# Other settings
driftfile /var/log/ntp/drift
tinker panic 0
logconfig +allsync +allclock +allsys


und zwar die #our networks Einstellung ... (bei mir die grüne und die blaue schnittstelle)

wenn du fit in CGI bist, kannst du vielleicht die time.cgi umbiegen, dass die rot-rot da mit reingeschrieben wird. Ich habs bis jetzt nicht geschafft... :) (habe gleiche Config, und andere Ansätze mit öffentlichen Zeitservern sind bisher auch ins Leere gelaufen)

_________________
APU3B2 2GB-RAM; Red-Green-Blue-Orange, nun mit IpFire... RIP IpCOP


Nach oben
   
BeitragVerfasst: 26.09.2016, 21:57 
Offline
Superintendent
Superintendent
Benutzeravatar

Registriert: 27.11.2005
Beiträge: 599
Wohnort: Internet
ich habs...

ntp.conf:
Code:
# Our networks
restrict 192.168.0.0 mask 255.255.255.0 nomodify noquery notrap
restrict 192.168.3.0 mask 255.255.255.0 nomodify noquery notrap
restrict 192.168.178.0 mask 255.255.255.0 nomodify noquery notrap


die letzte Zeile mit Hilfe der time.cgi eingebaut:
(Zeile 335)
Code:
    print FILE "restrict 192.168.178.0 mask 255.255.255.0 nomodify noquery notrap\n" ;


das ist die IP der rot-rot-Schnittstelle.

schaut dann so aus:
Code:
 print FILE "# Our networks\n";
    foreach my $itf (@ITFs) {
        my $icount = $netsettings{"${itf}_COUNT"};
        while ( $icount > 0 ) {
            print FILE "restrict " . $netsettings{"${itf}_${icount}_NETADDRESS"} . " mask " . $netsettings{"${itf}_${icount}_NETMASK"} . " nomodify noquery notrap\n" if ( $netsettings{"${itf}_${icount}_NETADDRESS"} );
            $icount--;
        }
    }
   print FILE "restrict 192.168.178.0 mask 255.255.255.0 nomodify noquery notrap\n" ;

    print FILE "# Servers\n";


dann noch entsprechende Firewallregel (Zugriff auf den IPCOP) und dann holt sich das Modem die Zeit vom Cop.

Ich werde die Firewall-Regel aber abschalten, denke ich, es ist ein Sicherheitsrisiko.

_________________
APU3B2 2GB-RAM; Red-Green-Blue-Orange, nun mit IpFire... RIP IpCOP


Nach oben
   
BeitragVerfasst: 27.09.2016, 19:48 
Offline
Chief Superintendent
Themenstarter
Chief Superintendent

Registriert: 05.06.2009
Beiträge: 602
Wohnort: Nordlicht im Ländle
Nukelodeon,

danke dafür 8-) Ich habe eine Menge gelernt :respekt: Und auch, daß ich so schnell darauf gekommen wäre, daß in der Datei /var/ipcop/time/ntp.conf (die Datei sieht bei mir logisch genauso aus; welch ein Zufall...) dem NTP-Dienst Antworten in Richtung der roten Schnittstelle untersagt sind. Aber ich hätte es mir denken können für ein gehärtetes Firewall-System.

Nun ja, die Idee, an der time.cgi zu "basteln", gefällt mir nicht so gut, denn das ist ja eine Datei der IPCop-Distribution, die ja eigentlich nicht für "Frickeleien" vorgesehen ist. Ich werde mir das Ganze mal durch den Kopf gehen lassen.

Danke, zargano


Nach oben
   
BeitragVerfasst: 27.09.2016, 21:17 
Offline
Superintendent
Superintendent
Benutzeravatar

Registriert: 27.11.2005
Beiträge: 599
Wohnort: Internet
jo, ich hab die Änderung jetzt mal so gelassen, nur die Firewall wieder zugemacht, falls der Router neu bootet, kann ich ja den Hacken wieder reinsetzen.

Der andere Ansatz war, dem Zyxel die Routen zu den externen Zeitservern beizubringen. Bis zum Cop hat das auch geklappt, aber irgendwie wollte sich die Zeit nicht einstellen.

> Network setting > Routing -> add new static route und hier die IP des externen Timeservers eintragen mit der rot-rot- IP des Cops als Gateway.
dann der Zeitserver afu die selbe IP unter Maintenance -> Time an erster Stelle einzutragen...

mit entsprechender Regel aufm Cop, müssten die Pakete dann im Netz landen (ich hatte sogar ein Accept, aber wohl keine Antwort vom Zeitserver, denn die Zeit stellte sich nicht ein)

Kannst ja mal den Ansatz testen, ich hab derzeit keine Lust dazu...

_________________
APU3B2 2GB-RAM; Red-Green-Blue-Orange, nun mit IpFire... RIP IpCOP


Nach oben
   
Beiträge der letzten Zeit anzeigen:  Sortiere nach  
Ein neues Thema erstellen  Auf das Thema antworten  [ 8 Beiträge ] 

Alle Zeiten sind UTC+02:00


Wer ist online?

Mitglieder in diesem Forum: 0 Mitglieder und 1 Gast


Du darfst keine neuen Themen in diesem Forum erstellen.
Du darfst keine Antworten zu Themen in diesem Forum erstellen.
Du darfst deine Beiträge in diesem Forum nicht ändern.
Du darfst deine Beiträge in diesem Forum nicht löschen.

Suche nach:
Gehe zu Forum:  
Powered by phpBB® Forum Software © phpBB Limited
Deutsche Übersetzung durch phpBB.de