Auteur Cees Epema <cw.epema@noorderpoort.nl>

1. Voorbereiding

Voordat je begint: in dit document staan de volgende afkortingen:

  1. <WAN_NIC> de naam van jouw WAN netwerkkaart. Meestal is dit ens33 in Debian. Hetzelfde geldt voor

  2. <LAN_NIC>. Dit is de adapternaam van je LAN kaart (Vaak ens34)

1.1. Image downloaden

Eerst de Debian netinstall iso downloaden vanaf debian.org: Debian netinstall

1.2. VM sjabloon maken (VirtualBox/VMWare)

  • 2048 GiB RAM

  • 1 NIC voor WAN (NAT)

  • 1 NIC voor LAN (LAN-Segment of Internal network)

  • 40 GiB disk

1.3. Installatie

  • Hostname gateway

  • Desktop en Printserver uitschakelen

  • SSH inschakelen voor toegang via host bridge adapter (Alleen wanneer nodig)

1.4. VM Clonen

Clone deze machine, zodat je later een verse Debian hebt voor andere projecten!

2. Configuratie in guest (Alle instructies als # root)

2.1. Aanpassing in /etc/hosts

Controleer of je hostnaam en FQDN (=fully qualified domainname) goed staan in je /etc/hosts bestand. Het zal er zo uit moeten zien:

192.168.199.1 	gateway.dominion.lan 	gateway

'gateway.dominion.lan' is de FQDN en 'gateway' de hostname, dominion.lan is de domeinnaam.

2.2. Configuratie WAN en LAN in /etc/network/interfaces

source /etc/network/interfaces.d/*

## Loopback
auto lo
iface lo inet loopback

## WAN
auto enp0s3
allow-hotplug enp0s3
iface enp0s3 inet dhcp

## LAN
auto enp0s8
iface enp0s8 static
address 192.168.199.1
netmask 255.255.255.0
network 192.168.199.0
broadcast 192.168.199.255
gateway 192.168.199.1
dns-domain dominion.lan
dns-nameservers 192.168.199.1, 208.67.220.220
dns-search dominion.lan

2.3. Ipv4 forwarding instellen

Voeg de volgende regel toe:

nano /etc/sysctl.conf
net.ipv4.ip_forward = 1

2.4. Bind9 DNS installeren en configureren

Installeren van bind9:

apt install bind9

Template /etc/bind/db.local kopieren naar /etc/bind/db.forward.com

cp -av /etc/bind/db.local /etc/bind/db.forward.com

Template /etc/bind/db.empty kopieren naar /etc/bind/db.reverse.com

cp -av /etc/bind/db.empty /etc/bind/db.reverse.com

2.5. /etc/bind/named.conf.local aanpassen:

zone "dominion.lan" {
type master;
file "/etc/bind/db.forward.com";
};

zone "199.168.192.in-addr.arpa" {
type master;
notify no;
file "/etc/bind/db.reverse.com";
};

2.6. named.conf.options aanpassen:

acl "trusted" {

	127.0.0.1; # loopback
	192.168.199.1; # ns1
	192.168.199.2; # repo
	192.168.199.3; # mail
	192.168.199.6; # fileserver (via sshfs)
	192.168.199.7; # web
	192.168.199.8; # proxy
	192.168.199.9; # samba (fileserver via samba)
};

options {

	directory "/var/cache/bind";

   	forwarders {

		1.1.1.1; # (Hier mag je ook Google's 8.8.8.8 resolver neerzetten, maar ik heb een beetje een hekel aan Google)
		208.67.220.220; # (OpenDns)
	};

	allow-query {

		192.168.199.0/24;
		127.0.0.1;
	};

	allow-transfer {

		192.168.199.0/24;
		127.0.0.1;
	};

	dnssec-validation yes;
	version "Not available";
	recursion yes;
	allow-recursion { any; };
	querylog yes;

};

2.7. Inhoud /etc/bind/db.forward.com (Forward zones)

$TTL	604800
@	IN	SOA	ns.dominion.lan. root.localhost. (
				     2	; Serial
				604800	; Refresh
				 86400  ; Retry
			       2419200  ; Expire
				604800  ; Negative Cache TTL
;
@		IN	NS	ns.dominion.lan.
ns		IN	A	192.168.199.1
repo		IN	A	192.168.199.2
mail		IN	A	192.168.199.3
fileserver	IN	A	192.168.199.6
web		IN	A	192.168.199.7
proxy		IN	A	192.168.199.8
samba		IN	A	192.168.199.9

2.8. Inhoud /etc/bind/db.reverse.com (Reverse zones)

$TTL	604800
@	IN	SOA	ns.dominion.lan. root.localhost. (
				     2	; Serial
				604800	; Refresh
				 86400  ; Retry
			       2419200  ; Expire
				604800  ; Negative Cache TTL
;
@		IN	NS	ns.
1		IN	A	ns.dominion.lan.
2		IN	A	repo.dominion.lan.
3		IN	A	mail.dominion.lan.
6		IN	A	fileserver.dominion.lan.
7		IN	A	web.dominion.lan.
8		IN	A	proxy.dominion.lan.
9		IN	A	samba.dominion.lan.

2.9. isc-dhcp-server installeren en configureren

Installatie isc-dhcp-server:

apt install isc-dhcp-server

2.10. LAN adapter toevoegen in /ec/default/isc-dhcp-server

Nu weet de dhcp server op welke interface hij zijn diensten aan moet bieden! Oude situatie:

INTERFACESv4=""

Wijzigen in:

INTERFACESv4="<LAN_NIC>"

2.11. Aanpassen van /etc/dhcp/dhcpd.conf

Ik noem hier alleen de opties die van belang zijn en laat alle becommentarieerde regels weg…​

option domain-name dominion.lan;
option domain-name-servers ns.dominion.lan;

default-lease-time 600;
max-lease-time 7200;

ddns-update-style interim;
ddns-update;
update-static-leases on;

authorative;

subnet 192.168.199.0 netmask 255.255.255.0 {
 option domain-name-servers 192.168.199.1, 192.168.199.254;
 option domain-name "ns.dominion.lan";
 option routers 192.168.199.1;
 option broadcast-address 192.168.199.255;
 pool {
	default-lease-time 600;
	max-lease-time 7200;
	range 192.168.199.50 192.168.199.200;
      }
}

host repo {

	hardware ethernet 08:00:27:f7:88:02;
	fixed-address 192.168.199.2;
	max-lease-time 84600;
}
host mail {

	hardware ethernet 08:00:27:f7:88:03;
	fixed-address 192.168.199.3;
	max-lease-time 84600;
}
host printserver {

	hardware ethernet 08:00:27:f7:88:04;
	fixed-address 192.168.199.4;
	max-lease-time 84600;
}
host fileserver {

	hardware ethernet 08:00:27:f7:88:06;
	fixed-address 192.168.199.6;
	max-lease-time 84600;
}
host web {

	hardware ethernet 08:00:27:f7:88:07;
	fixed-address 192.168.199.7;
	max-lease-time 84600;
}
host proxy {

	hardware ethernet 08:00:27:f7:88:08;
	fixed-address 192.168.199.8;
	max-lease-time 84600;
}
host samba {

	hardware ethernet 08:00:27:f7:88:09;
	fixed-address 192.168.199.9;
	max-lease-time 84600;
}

Herstart nu bind9 en isc-dhcp-server. Wanneer dat niet goed gaat, reboot je je machine. (Gewoon reboot als commando intikken)

systemctl restart bind9 isc-dhcp-server

Als het goed is krijg je nu geen foutmeldingen meer van bind9 of isc-dhcp-server.

3. /etc/resolv.conf aanpassen met permanente resolvconf service

Bij elke reboot, worden de gegevens in /etc/resolv.conf overschreven door de netwerkinstellingen, die bij de installatie van het besturingssysteem werd gemaakt. Het heeft met andere woorden, weinig zin om veranderingen in dit bestand aan te brengen. Ze worden immers toch weer overschreven.

Een oplossing kan de resolvconf service bieden. De service zorgt ervoor dat /etc/resolv.conf door jou beheerde instellingen overneemt. Zo heb je de controle weer terug! Belangrijk is dan wel dat je /etc/network/interfaces de regels dns-nameservers en dns-search bevat. Controleer dat.

3.1. Eerst de service installeren:

apt install resolvconf

3.2. Inhoud /etc/resolv.conf wissen

Wis de inhoud van /etc/resolv.conf:

cat > /etc/resolv.conf /dev/null

3.3. Configuratie aanpassen

In de map /etc/resolvconf/resolv.conf.d/ staan vier bestanden: * original * head * base * tail

Pas het /etc/resolvconf/resolv.conf.d/base bestand aan.

nameserver 192.168.199.1
search dominion.lan

Leeg ook het original bestand:

cat > /etc/resolvconf/resolv.conf.d/original /dev/null

De overige bestanden kun je ongemoeid laten

Herstart je systeem om te kijken of /etc/resolv.conf de juiste info heeft.

reboot

Controleer /etc/resolv.conf. In ieder geval zou je moeten zien

nameserver 192.168.199.1
search dominion.lan

Wanneer dit niet werkt, pas je in /etc/resolvconf/resolv.conf.d/ het bestand head aan.

echo "nameserver 192.168.199.1 \n search dominion.lan" >> /etc/resolvconf/resolv.conf.d/head

4. Firewall instellen voor het NAT-ten van verkeer vanaf aangesloten clients

  • Verwijder de bestaande iptables regels:

iptables -F
  • Verwijder de bestaande NAT regels:

 iptables -F -nat

Dit commando werkt niet altijd. Soms moet je in Debian expliciet aangeven dat je mangle - en nat regels wil verwijderen. Soms verwijder je ze ook in een keer met iptables -F

  • Verwijder de bestaande FORWARD regels:

iptables -F -mangle

Dit commando werkt niet altijd. Soms moet je in Debian expliciet aangeven dat je mangle - en nat regels wil verwijderen. Soms verwijder je ze ook in een keer met iptables -F

  • Bekijk de inhoud (er mogen geen regels meer instaan:

 iptables -L
  • Sta inkomend verkeer toe op de loopback adapter:

iptables -A INPUT -i lo -j ACCEPT
  • Sta inkomend verkeer toe van services die al verbonden zijn (ESTABLISHED) en services die gebonden zijn aan een bestaande NIC:

iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
  • Sta inkomend verkeer toe vanaf alle lokale interfaces naar de WAN interface. (Vind de interface naam met 'ip -l')

iptables -A INPUT -m state --state NEW -i <WAN_NIC> -j ACCEPT
  • Laat verkeer door vanaf de WAN interface naar de LAN interface

iptables -A FORWARD -i <WAN_NIC> -o <LAN_NIC> -m state --state ESTABLISHED,RELATED -j ACCEPT
  • Laat ook verkeer door van de LAN interface naar de WAN interface

iptables -A FORWARD -i <LAN_NIC> -o <WAN_NIC> -j ACCEPT
  • Stuur verkeer door wat door de WAN NIC ge-nat moet worden

iptables -t nat -A POSTROUTING -o <WAN_NIC> -j MASQUERADE
  • Nu zou je een gevulde iptables moeten hebben. Controleer het met:

 iptables -L
  • Sla je regels op:

 iptables-save >/etc/firewall.conf
  • Inlezen van regels:

iptables-restore </etc/firewall.conf
  • Voeg de onderstaande regel (15) toe aan /etc/network/interfaces Tussen de WAN en de LAN interface:

pre-up iptables-restore </etc/firewall.conf

5. Test je systeem

  • Herstart je gateway machine

  • Test of iptables regels goed ingeladen zijn met

iptables -L
  • Bekijk de status van je DNS service:

systemctl status bind9
  • Bekijk de status van je isc-dhcp-server

systemctl status isc-dhcp-server
  • Kijk of je de DNS records goed kunt vinden (Hiervoor moet je de package dnsutils installeren (apt install dnsutils)

nslookup ns.dominion.lan

6. Nieuwe debian testclient maken

  • Maak een nieuwe Debian vm

  • Zet de nieuwe Debian in het zelfde LAN-segment (VMWare)/Internal-network(VirtualBox) als de gateway OF

  • Zet de nieuwe Debian op host-only, wanneer je geen netwerk segment gebruikt

  • Start de nieuwe machine

  • Kijk of je een ip adres van je gateway dhcp server krijgt

ip a
  • Pas de hostname aan naar een machine, die ook in je dns-records voorkomt. Bijv. web, proxy of mail

hostnamectl set-hostname web
  • Zoek uit welk mac adres je nieuwe machine heeft (Zie het door : gescheiden adres bij link/ether)

ip a
Vb 08:ea:06:e6:bd:0a
  • Kopieer dit mac adres en zet het in je gateway machine in /etc/dhcp/dhcpd.conf bij de sectie hardware-address 'host web'

  • Herstart je nieuwe machine

reboot
  • Kijk of je het juiste ip adres hebt gekregen met ip a

7. Klaar!

Je gateway zou nu goed moeten werken.