BSDFreaks.nl

1.0 Inleiding

Deze howto is geschreven voor mensen die hun Speedtouch USB modem willen gebruiken onder FreeBSD. Stap voor stap wordt uitgelegd hoe dit te realiseren is.

[img]http://www.bsdfreaks.nl/images/pics/3.jpg[/img]
[pagebreak]
2.0 Benodigheden

De driver is ontwikkeld onder FreeBSD 4.3‚ maar deze moet ook werken vanaf FreeBSD 4.2. Als je de ‘GENERIC’ kernel hebt kan je dit gedeelte hieronder overslaan en verdergaan naar 3.0 Installatie.

Als je de ‘GENERIC’ kernel niet hebt moet er eerst gecontroleerd worden of je kernel USB en PPP support heeft.

Deze 4 regels moeten in je kernel staan:

[shell]device usb # USB Bus (required)
device gen # Generic

pseudo-device ppp 1 # Kernel PPP
pseudo-device tun # Packet tunnel.
[/shell]

Staan deze er niet in dan zul je de kernel opnieuw moeten compileren.

3.0 Installatie

Als eerst moet je http://download.ethomson.com/download/speedmgmt.tar.gz downloaden.

[shell]# fetch http://download.ethomson.com/download/speedmgmt.tar.gz
[/shell]
Vervolgens pak je hem uit met:

[shell]# tar -zxvf speedmgmt.tar.gz
[/shell]

Daarna kopieer je ‘mgmt.o’ naar ‘/usr/local/libdata’.

Vervolgens download je http://www.xsproject.org/speedtouch/files/speedtouch-1.1b.tar.gz

[shell]# fetch http://www.xsproject.org/speedtouch/files/speedtouch-1.1b.tar.gz
[/shell]

En doe je hetvolgende:

[shell]# tar -zxvf speedtouch.tar.gz
# cd speedtouch
# make
# make install
[/shell]

Als het de eerste keer is dat je dit installeert dan doe je hetvolgende:

[shell]# cat ppp.conf.sample >> /etc/ppp/ppp.conf
[/shell]

Zoniet dan kan je de aanwezige ‘/etc/ppp/ppp.conf’ gebruiken.

4.0 Configuratie

De volgende informatie heb je nodig voor de configuratie.

– login (username@xs4all-basic-adsl bijvoorbeeld)
– wachtwoord
– De ‘vpi.vci’ die gebruikt wordt door je provider. 8.48 wordt in Nederland gebruikt.
– De locatie van mgmt.o

Wijzig het bestand ‘/etc/ppp/ppp.conf’ en verander de volgende regels:

[shell]authname login@provider
authkey password
[/shell]

Daarna moet ook ‘/etc/resolv.conf’ aangepast worden met de DNS servers die je van je provider hebt gekregen (is meestal wel te vinden op de site van je provider):

Voor xs4all kan je deze dns servers gebruiken (toevoegen aan resolv.conf dus):

[shell]nameserver 194.109.9.99
nameserver 194.109.6.66
[/shell]

5.0 Connectie maken

Het maken van een connectie is ingedeeld in 3 delen:

Het initialiseren van de modem:

[shell]# modem_run -f /usr/local/libdata/mgmt.o -m
[/shell]

De interface tussen de modem en ppp starten:

[shell]# pppoa2 -vpi 8 -vci 48 &
[/shell]

Starten van ppp:

[shell]# ppp -background adsl
[/shell]

Binnen een aantal seconden moet er een verbinding gemaakt zijn. Soms kan het wel langer duren‚ wacht dan gewoon even af.
Je kan ook het bijgeleverde script gebruiken om een verbinding te maken‚ je moet dan wel de ‘vci & vpi’ en het pad naar de microcode veranderen.

6.0 Vragen of problemen

Mochten er nog vragen of problemen zijn‚ dan kan je me mailen op avthart@xs4all.nl.

[b]FreeBSD/KAME IPSEC Tunneling to Linux/FreeSwan HOWTO.[/b]

Versie 0.1 door SiD

In deze howto beschrijf ik hoe je een IPSEC VPN tunnel kunnen bouwen tussen twee netwerken die zijn afgeschermd door enerzijds een FreeBSD/KAME server en anderzijds een Linux/FreeSwan server.

Voor het gemak ga ik van het volgende uit:

Netwerk A -> FreeBSD/KAME
Public IP : 100.100.100.100
Private IP : 192.168.0.254
Private Net : 192.168.0.0/24

Netwerk B -> Linux/FreeSwan (Bestaande server met FreeSwan geïnstalleerd)
Public IP : 200.200.200.200
Next Hop : 200.200.200.199
Private IP : 192.168.1.254
Private Net : 192.168.1.0/24

[b]Kernel aanpassen[/b]
Om IPSEC te kunnen gebruiken dient eerst ondersteuning voor IPSEC in de kernel worden geladen.
Voeg hiervoor de volgende regels toe aan de kernelconfiguratie

[file]options IPSEC
options IPSEC_ESP[/file]

Compile en installeer een nieuwe kernel en herstart de server. Zie [url=http://www.freebsd.org/doc/en_US.ISO8859-1/books/handbook/kernelconfig.html]FreeBSD handboek[/url] of [url=http://www.bsdfreaks.nl/index.php/front_howto/53/9][FreeBSD] Hoe een kernel te bakken?[/url]

[b]Aanpassen rc.conf[/b]
Zorg dat gateway_enable aan staat in “/etc/rc.conf”

[file]gateway_enable=”YES”[/file]

[b]Installeer racoon[/b]
Racoon is een IKE (ISAKMP/Oakley Key) management protocol voor het uitwisselen van sleutels met andere hosts.
Installeer racoon vanuit de ports als volgt:

[shell]cd /usr/ports/security/racoon
make install clean[/shell]

Onder de directory “/usr/local/etc/racoon” staan nu twee bestanden nl. “psk.txt.dist” en “racoon.conf.dist” kopieer deze naar respectievelijk “psk.txt” en “racoon.conf” en stel de rechten van deze bestanden in op (600)

[shell]cp /usr/local/etc/racoon/psk.txt.dist /usr/local/etc/racoon/psk.txt
cp /usr/local/etc/racoon/racoon.conf.dist /usr/local/etc/racoon/racoon.conf
chmod 600 /usr/local/etc/racoon/*[/shell]

[b]Configuratie Racoon[/b]

Open het bestand “racoon.conf” in een editor en voeg de volgende gegevens toe

[file]remote [200.200.200.200]
{
exchange_mode main;
doi ipsec_doi;
situation identity_only;
my_identifier address;
lifetime time 30 min;
proposal_check obey;
proposal
{
encryption_algorithm 3des;
hash_algorithm sha1;
authentication_method pre_shared_key;
dh_group 2;
}
}

sainfo [100.100.100.100] any [200.200.200.200] any
{
pfs_group 2;
lifetime time 3600 sec;
encryption_algorithm 3des;
authentication_algorithm hmac_sha1;
compression_algorithm deflate;
}[/file]

Open “psk.txt” in een editor en voeg de volgende regel toe:

[file]xxx.xxx.xxx.xxx password[/file]
xxx.xxx.xxx.xxx = IP nummer van de VPN host aan de andere kant
password = Gedeeld wachtwoord

Automatisch starten van Racoon
Maak onder “/usr/local/etc/rc.d/098racoon.sh” een bestand aan met de volgende regel

[file]/usr/local/sbin/racoon -f /usr/local/etc/racoon/racoon.conf -l /var/log/racoon.log[/file]

[b]Configuratie IPSEC Policy[/b]
Maak onder “/usr/local/etc/rc.d/099ipsec.sh” een bestand aan met de volgende regels

[file]#!/bin/sh
#
# Set up IPSEC SA/SP database
SRC=100.100.100.100
DST=200.200.200.200
SRCNET=192.168.0.0/24
DSTNET=192.168.1.0/24
SETKEY=”/usr/sbin/setkey”

$SETKEY -FP
$SETKEY -F
$SETKEY -c << EOF flush; spdflush; spdadd ${SRCNET} ${DSTNET} any -P out ipsec esp/tunnel/${SRC}-${DST}/require; spdadd ${DSTNET} ${SRCNET} any -P in ipsec esp/tunnel/${DST}-${SRC}/require; EOF[/file] Stel de rechten van dit bestand in op (700) [shell]chmod 700 /usr/local/etc/rc.d/099ipsec.sh[/shell] [b]Configuratie FreeSwan[/b] Open het bestand "/etc/ipsec.conf" in een editor en voeg de volgende regels toe [file]conn kame-freeswan auto=start type=tunnel left=100.100.100.100 leftsubnet=192.168.0.0/24 right=200.200.200.200 rightsubnet=192.168.1.0/24 rightnexthop=200.200.200.199 keylife=30m authby=secret[/file] Open het bestand "/etc/ipsec.secrets" in een editor en voeg de volgende regel toe [file]200.200.200.200 100.100.100.100 : PSK "password"[/file] [b]Testen van de VPN tunnel[/b] Ping vanaf de FreeBSD server het private IP nummer van de Linux server aan de andere kant van de tunnel [shell]ping -S 192.168.0.254 192.168.1.254[/shell] [b]Firewall[/b] Het is verstandig om de VPN servers tevens als Firewall te gebruiken. Hier zijn echter genoeg howto's over te vinden dus ga ik hier verder niet op in. Echter wanneer je de Firewall rules gaat instellen moet je zorgen dat het volgende verkeer word toegestaan: · Voor ESP moet protocol 50 (ESP) toegestaan worden tussen beide Public IP's · Voor IKE moet UDP poort 500 toegestaan worden tussen beide Public IP's · Verder moeten er rules aanwezig zijn die verkeer tussen beide private netwerken toestaan