FreeBSD 10.0-Release DHCP+DNS+Gateway Помогите поднять

[RastaMasta]

Доброго времени суток!
Помогите правильно собрать указанную в сабже систему:

задача:
1: Поднять домашний сервер с доступом локальных (домашних) компов в интернет и автоматической настройкой сети на них посредством DHCP на машине с FreeBSD.
2: В перспективе хочу на нем же держать папку с доступом извне по http (сейчас держу зеркало NOD32 update, с которого обновляются машины с работы. Все это дело успешно работает под виндой, но твердо решил переходить на FeeeBSD)

Что есть:

Скачал CD 10.0 i386 Release ISO, прожег болванку, поставил систему используя весь диск по умолчанию, обновил дерево портов:

Код: Выделить всё

#portsnap fetch extract
#portsnap update

успешно

Внимательно скурив прилично мануалов по старым версиям (9,2 более менее подошли инструкции) - добился того, что DHCP таки заработал и успешно раздает адреса домашним машинам. Но в интернет пока не пускает. Некоторые вещи я просто не в силах понять на данном этапе своего знакомства с FreeBSD. Сдался. Прошу помощи.

[Хостинг HostFood.ru]

Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/

[alex3]

поднять NAT.

[SiAl]

Поднять домашний сервер с доступом локальных (домашних) компов в интернет

Если через комп будешь гонять машинки в сеть, то как тебе написали выше без NAT-а никак. Проще всего поднять встроенный файервол IPFW, либо попроще от OpenBSD PF тем более в 10-ке его сделали многопоточным таки.

добился того, что DHCP таки заработал и успешно раздает адреса домашним машинам

Так с DHCP помощь не нужна? Если имеется в виду DHCP клиент, то он встроен. Ниже на всякий случай по клиенту.

Код: Выделить всё

#   настройка встроенного dhclient
   sysctl kern.conftxt | grep bpf		# Проверка установлен ли bpf (bpf является также тем самым устройством, которое позволяет работать программам-снифферам пакетов)
      device  bpf
   #ee /etc/rc.conf	
     ifconfig_em0="DHCP"			# Для осуществления фонового конфигурирования по DHCP (асинхронный режим)
     #ifconfig_em0="SYNCDHCP"			# Для откладывания запуска стартовых скриптов до завершения конфигурирования по DHCP (синхронный режим)
     #dhclient_program="/sbin/dhclient"
     #dhclient_flags=""
   #sh -nf /etc/rc.conf				# Проверка правильности синтаксиса
   /etc/dhclient.conf				# настроечный файл - настройки не требует
   /var/db/dhclient.leases			# В этом файле клиент DHCP хранит базу данных выданных к использованию адресов в виде журнала
   dhclient em2  				# Запуск клиента DHCP на интерфейсе em2 для автоматической настройки сети

DNS Помогите поднять

С 10-ки от встроенного BIND-а отказались, по дефолту unbound, здесь есть по нему материалы, вот еще по нему

Код: Выделить всё

man unbound
man unbound.conf
man unbound-checkconf

pgrep -lf dhclient                # Просмотрим настройки
	1157 dhclient: lagg0
	1121 dhclient: lagg0 [priv]
cat /etc/resolv.conf          # Файл с настройками DNS серверов провайдера или других
	# Generated by resolvconf
	nameserver 192.168.0.1    #IP адрес с которого получаем DNS - в данном случае указан роутер
	#nameserver 8.8.8.8         #Публичный адрес DNS Google
time host www.freebsd.org
	www.freebsd.org is an alias for wfe0.ysv.freebsd.org.
	wfe0.ysv.freebsd.org has address 8.8.178.110
	wfe0.ysv.freebsd.org has IPv6 address 2001:1900:2254:206a::50:0
	wfe0.ysv.freebsd.org mail is handled by 0 .
	0.005u 0.023s 0:00.03 66.6%     60+330k 0+0io 0pf+0w

# Настройка кеширующего и локального сервера имен - DNS unbound
echo 'local_unbound_enable="YES"              # Enable local caching resolver' >> /etc/rc.conf
grep -i yes /etc/rc.conf							# Просмотр всех включенных сервисов
sh -nf /etc/rc.conf								# Проверка правильности синтаксиса /etc/rc.conf
service local_unbound start							# При первом запуске создаются файлы конфигурации
	Performing initial setup.
	Extracting forwarders from /etc/resolv.conf.
	/var/unbound/forward.conf created
	/var/unbound/unbound.conf created
	/etc/resolvconf.conf created
	original /etc/resolv.conf saved as /etc/resolv.conf.20140205.172522
	Starting local_unbound.
pgrep -lf unbound
	2555 /usr/sbin/unbound -c/var/unbound/unbound.conf
ps aux | grep unbound
	unbound 1170   0,0  0,1 32592 8260  -  Is   17:50    0:00,22 /usr/sbin/unbound -c/var/unbound/unbound.conf
cat /var/unbound/unbound.conf							# Просмотр конфига сервера
	# Generated by local-unbound-setup
	server:
		interface: 192.168.0.5			# Интерфейс на котором будем слушать 53-й порт
		interface-automatic: no
		outgoing-interface: 192.168.0.5		# ip адрес интерфейса, который подключен к интернет
	        access-control: 172.16.0.0/24 allow	# Подсети которые смогут обращаться к DNS серверу
	        access-control: 192.168.0.0/24 allow
		username: unbound
		directory: /var/unbound
		chroot: /var/unbound
		pidfile: /var/run/local_unbound.pid
		auto-trust-anchor-file: /var/unbound/root.key

	include: /var/unbound/forward.conf
cat /var/unbound/forward.conf				# Просмотр конфига forward
	# Generated by local-unbound-setup
	forward-zone:
		name: .
		forward-addr: 192.168.0.1
cat /etc/resolv.conf					# 
	# Generated by resolvconf
	# nameserver 192.168.0.1
	nameserver 127.0.0.1
	options edns0
	
# По умолчанию сервер запустился в режиме "validator iterator" и не отвечал на запросы.
host www.freebsd.org								# Просмотр сколько времени уходит на DNS запрос
	Host www.freebsd.org not found: 2(SERVFAIL)
ee /var/unbound/unbound.conf							# Настройка файла конфигурации
	module-config: iterator							# режим работы как исключительно DNS кеша
        verbosity: 1								# уровень verbosity от 1 до 4 (4 - максимальное) 2 для просмотра запросов
        #logfile: /var/unbound/unbound.log
	#use-syslog: no
unbound-checkconf								# Проверка конфига
	unbound-checkconf: no errors in /var/unbound/unbound.conf
ee /etc/syslog.conf								# Настройка логирования
	!unbound
	*.*                                             /var/log/unbound.log
touch /var/unbound/unbound.log							# Создание файла для логов
#chown unbound /var/unbound/unbound.log						# Смена владельца если не через syslog
ee /etc/newsyslog.conf 
	/var/log/unbound.log                        644  1     100  *     J	# усечение лога unbound при достижении размера 100 килобайт и сохранение одной предыдущей копии лога, сжатых архиватором bzip2
service syslogd restart
service newsyslog restart
service local_unbound restart							# Перезагрузка сервера после изменения конфигурации
tail -fn 30 /var/log/unbound.log							# Просмотр лога

sockstat -4L | grep unbound						# Просмотр открытых сокетов
	unbound  unbound    32686 5  udp4   192.168.0.5:53        *:*
	unbound  unbound    32686 6  tcp4   192.168.0.5:53        *:*
tcpdump -i lo0 udp port domain							# Просмотр трафика на 53-м udp порту
	tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
	listening on lo0, link-type NULL (BSD loopback), capture size 65535 bytes
	22:12:59.233753 IP localhost.60431 > localhost.domain: 43700+ A? www.freebsd.org. (33)
	22:12:59.427928 IP localhost.domain > localhost.60431: 43700 2/3/0 CNAME wfe0.ysv.freebsd.org., A 8.8.178.110 (160)
	22:12:59.430735 IP localhost.26612 > localhost.domain: 28908+ AAAA? www.freebsd.org. (33)
	22:12:59.504319 IP localhost.domain > localhost.26612: 28908 2/3/0 CNAME wfe0.ysv.freebsd.org., AAAA 2001:1900:2254:206a::50:0 (172)
	22:12:59.505898 IP localhost.59615 > localhost.domain: 39082+ MX? www.freebsd.org. (33)
	22:12:59.579812 IP localhost.domain > localhost.59615: 39082 2/3/0 CNAME wfe0.ysv.freebsd.org., MX . 0 (159)
time host www.freebsd.org							# Просмотр сколько времени уходит на DNS запрос
	0:00.37									# Первичный запрос
time host www.freebsd.org							# Просмотр сколько времени уходит на DNS запрос
	0:00.02									# Выдача из кэша быстрее

touch /var/unbound/localdomain.conf						# Создание файла конфигурации для локального домена
chown root:unbound /var/unbound/localdomain.conf				# Смена прав на конфиг
ee /var/unbound/localdomain.conf						# Запись конфига
server:
        private-domain: "localsite.ru"

        local-zone: "localsite.ru." static
                local-data: "localsite.ru. 10800 IN NS localsite.ru."
                local-data: "localsite.ru. 10800 IN SOA localsite.ru. hostmaster. 1 3600 1200 604800 10800"
                local-data: "localsite.ru. 10800 IN MX 10 mx.localsite.ru."

                local-data: "localsite.ru. IN A 192.168.0.5"
                local-data: "mx.localsite.ru. IN A 192.168.0.5"
                local-data: "home.localsite.ru. IN A 192.168.0.5"

        local-zone: "0.168.192.in-addr.arpa." static
                local-data: "0.168.192.in-addr.arpa. 10800 IN NS localsite.ru."
                local-data: "0.168.192.in-addr.arpa. 10800 IN SOA localsite.ru. hostmaster. 1 3600 1200 604800 10800"
                local-data: "0.168.192.in-addr.arpa. 10800 IN MX 10 mx.localsite.ru."

                local-data-ptr: "192.168.0.5  localsite.ru"
                local-data-ptr: "192.168.0.5  mx.localsite.ru"
                local-data-ptr: "192.168.0.5  home.localsite.ru"

        local-zone: "time.windows.com" redirect
                local-data: "time.windows.com A 127.0.0.1"

ee /var/unbound/unbound.conf							# Настройка файла конфигурации
include: /var/unbound/localdomain.conf

unbound-checkconf								# Проверка конфига

host -v localsite.ru								# Просмотр глобальных DNS записей 
	Trying "localsite.ru"
	;; ->>HEADER<- opcode: QUERY, status: NOERROR, id: 3881
	;; flags: qr rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 0, ADDITIONAL: 0
service local_unbound restart							# Перезагрузка сервера после изменения конфигурации

drill localsite.ru								# drill - замена dig
;; ->>HEADER<- opcode: QUERY, rcode: NOERROR, id: 49220
;; flags: qr aa rd ra ; QUERY: 1, ANSWER: 1, AUTHORITY: 0, ADDITIONAL: 0
;; QUESTION SECTION:

host time.windows.com
	time.windows.com has address 127.0.0.1

sockstat | grep unbound
	unbound  unbound    1323  3  udp4   127.0.0.1:53          *:*
	unbound  unbound    1323  4  tcp4   127.0.0.1:53          *:*
	unbound  unbound    1323  5  udp4   192.168.0.5:53        *:*
	unbound  unbound    1323  6  tcp4   192.168.0.5:53        *:*
	unbound  unbound    1323  7  stream -> ??
	unbound  unbound    1323  8  stream -> ??

# На этом настройка закончена
cat /var/unbound/unbound.conf
	# Generated by local-unbound-setup
	server:
		#interface: 0.0.0.0
		interface: 127.0.0.1
		interface: 192.168.0.5
		interface-automatic: no
		outgoing-interface: 192.168.0.5
		verbosity: 1
		#logfile: /var/unbound/unbound.log
		#logfile: /var/log/unbound.log
		access-control: 172.16.0.0/24 allow
		access-control: 192.168.0.0/24 allow
		access-control: 127.0.0.0/16 allow
		module-config: iterator

		username: unbound
		directory: /var/unbound
		chroot: /var/unbound
		pidfile: /var/run/local_unbound.pid
		auto-trust-anchor-file: /var/unbound/root.key

	include: /var/unbound/forward.conf

	include: /var/unbound/localdomain.conf

[RastaMasta]

Спасибо всем ответившим. Не помогло ничего. Слишком много у меня вопросов, на которые нет ответов. Очень жаль, что документация для простых смертных отстает от версии системы. Отложил до лучших времен 10ку. Взял другой HDD, поставил на него 9.2 i386. И по книжке г-на Корниенко "FreeBSD 9 Корпоративный Интернет сервер" - настроил каким то образом - что работает и DHCP и DNS и в интернет ходят машины.

Я конечно рад, что все работает, но спать не могу - т.к. НЕ ПОНЯЛ как у меня это получилось. В процессе настройки (ночь ушла) - было куча несоответсвий даже с такой простой для понимания литературой как вышеуказанная.

1. Ядро пересобрать (для ядерного NAТ) - не получилось. Были ошибки и оно осталось прежним.
2. При установке софта из портов - вообще волосы дыбом:
ставлю mc:

#make install clean (из каталога порта) ... все по книжкам... по мануалам... элементарные вещи пытаюсь сделать...
не устанавливается. (Куча непонятных зависимостей... в подробности не стал вдаваться...)

# pkg install mc
- пара минут делов и вот он установлен и работает. (Качалось с репозитория, ругалось, но установилось и работает).

Дальше был DHCP.
Я уже не могу найти ту страницу в сети по которой его настраивал (но вот мой dhcpd.conf):

option domain-name "bsd.home.local";
option domain-name-servers 192.168.1.1;
default-lease-time 3600;
max-lease-time 86400;
subnet 192.168.1.0 netmask 255.255.255.0 {
range 192.168.1.10 192.168.1.100;
option routers 192.168.1.1;
}

Вобщем... думаю не стоит продолжать эту тему, т.к. начинал с 10ки - а настроил все на 9.2. Удалите пожалуйста ее, а то начнут новички типа меня искать инфу по 10ке а попадут на обсуждение 9.2.

[RastaMasta]

Кстати, Брал еще один HDD, пробовал повторить все с нуля на нем - т.е. с установки системы до момента решения задачи.
Ставил уже с флешки (радует, что подготовка оной к установке opensource систем - во сто крат проще, да и болванки кончились)

Делаю все то же самое (повторение мать учения) - но ебическая сила! опять оно не работает! Как найти ошибку? убил целый день - так и не настроил то, что настроил днем раньше.

Сейчас с ужасом думаю - как подключить винт на котором рабочие конфиги, и сравнить их с теми, над которыми бьюсь сейчас.
На сколько проще в "окнах" решаются такие элементарные вещи - как подключение нужного винта.

Вобщем пока что мои выводы удручающие... то что делается под виндой в 2 клика и работает безупречно - ЗДЕСЬ с непривычки занимает в сотню раз больше времени. Плюс во FreeBSD - ИМХО только один - бесплатно и легально. Сэкономил - значит заработал ))

[snorlov]

Молодой человек, дык при установки операционки и софта, а также при чтении документации и руководств надо извилинами иногда шевелить и хоть какие-то познания по IT иметь и стремится их получить, при чем это относится не только к *nix, но и к винде. То, что в винде вы кликали мышкой и все получилось, не означает, что вы понимали, что вы конкретно делаете... Если очень хочется потыкать мышкой, то надо было взять специализированный дистрибут ака pfSense...

[RastaMasta]

г-н snorlov, сами подумайте, допустим в винде я кликал и извилинами не шевелил... но вы же не будете утверждать что ими не надо шевелить, и тем более не иметь каких нибудь знаний по IT - впервые настраивая FreeBSD?
Оказывается наличие мозгов у юзеров ставят под сомнение не только Microsoft но и представители форумов ака гн snorlov.

Мне уже почти нравится секс с FreeBSD и я уважаю ее сообщество, но охота задавать вопросы на форуме, получая в ответ "ты недоразвитый" - отпадает очень быстро ввиду вездесущих задротов ботаников которые не устали еще мериться письками.
То что вы знаете про дистрибутив ака pfSense - это не означает, что вы компетентны в вопросе настройки типичного шлюза на freeBSD.

Еще раз спасибо всем ответившим. Задача решена.

[Aries]

Я в общем согласен с RastaMasta. Очень трудно новичку "въехать" в тему. Куда не ткнись ничего не работает, документация устаревшая. В книгах и манах всегда что-нибудь опушено (мол это элементарный) Здесь нужен как-бы быстрый старт, чтобы заработало хоть что-то, с чего можно начать дальнейшее изучение. В книгах и документации все настолько размазано, что чтобы разобраться в самом элементарном, приходиться перелопатить не одну сотню страниц учебников и сайтов. А если обратишься за помощью, то за частую начинают издеваться. Ведь начинающий иногда даже не знаешь в чем проблема. Для него всё ОДНА БОЛЬШАЯ ПРОБЛЕМА.

Вообще правильно поставленный вопрос - это уже половина ответа. А новичку это сделать ООЧЧЕНЬ трудно.

Я тоже новичок, и попробую помочь. (у меня ушла почти неделя, чтобы просто настроить шлюз).

Устанавливайте всё по книге Корниенко. Если в сети у Вас имеется dhcp установите сеть сразу при установки системы, чтобы потом не настраивать. В качестве DNS укажите DNS провайдера или гугла 8.8.8.8. Лучше указать оба. После установки создайте пользователя в группе wheel.

Первым делом конфигурируем пакетный менеджер. Просто введите команду pkg. Он сделает всё сам.

Код: Выделить всё

# pkg
....
....

Дальше я сразу устанавливаю редактор nano либо mc. Вместо BIND, ставлю dnsmasq. Простая служба dns+dhcp, кстати кеширующая.

Код: Выделить всё

# pkg install nano
...
# pkg install dnsmasq
...

Ядро пересобирать не нужно. Редактируем /etc/rc.conf. (у вас могут отличаться интерфейсы и адреса.)
# nano /etc/rc.conf

Код: Выделить всё

hostname="sun.galaxy.net"

# Этот интерфайс смотрит в инет. Параметры получает автоматом
ifconfig_ae0="DHCP"

# Моя локальная сеть.Статический адрес.
ifconfig_vr0="inet 192.168.10.1 netmask 255.255.255.0"

# Включаем шлюз, нат, файер
gateway_enable="YES"
natd_enable="YES"
# Интерфайс который смотрит в инет
natd_interface="ae0"
firewall_enable="YES"
# Правила для файера будут находиться в этом файле.
firewall_type="/etc/firewall.conf"

# Простая служба DNS+DHCP
dnsmasq_enable="YES"

dumpdev="NO

Правила для нашего файервола как у Корниенко
# nano /etc/firewall.conf

Код: Выделить всё

# ae0 смотрит в инет
add 4000 divert natd ip from any to any via ae0
add 65500 allow ip from any to any

Дальше, минимально настраиваем dnsmasq. Оригинальный конфиг сначала переименуйте. Потом почитаете и перенастроите как Вам нужно. А пока Вам хватит того что ниже.

# mv /usr/local/etc/dnsmasq.conf /usr/local/etc/dnsmasq.conf.orig
# nano /usr/local/etc/dnsmasq.conf

Код: Выделить всё

domain-needed
bogus-priv

# Какой интерфайс слушаем
interface=vr0
# Выдавать адреса с этого диапазона, сроком на 24 часа
dhcp-range=192.168.10.10, 192.168.10.250,24h

# Запросы адресов поступающие из этого домена должны обрабатываться dnsmasq
local=/galaxy.net/

domain=galaxy.net
expand-hosts

# Куда записывать логи
log-facility=/var/log/dnsmasq.log

# Будут записываться каждый пересылаемый dns
log-queries

# Асинхронная запись логов
log-async=25

Запускаем все это хозяйство.
# natd –n ae0
# /etc/rc.d/ipfw restart

Или перегружаемся.

Теперь все должно работать. Сервер должен раздавать адреса, и у подключенных должен быть инет. Надеюсь ничего не забыл (писал по памяти)
Будут вопросы, пишите отвечу, если смогу, сам новичек.

[Aries]

Забыл.

Сервис dnsmasq нужно перезапустить

# service dnsmasq restart
либо
# /usr/local/etc/rc.d/dnsmasq restart

[zombie_lucis]

Проблемма примерно такая же сейчас IP адресса раздаются ДНС тоже работает потому как машинки понимают что ping google.com гугл єто определенный ip адресс но вот в сам интернет машинки не ходят и вот вообще не понятно почему (создано єто на двух виртуальных машинках в виртуал боксе)

Код: Выделить всё

hostname="test"
ifconfig_em0="inet 192.168.0.104 netmask 255.255.255.0" #внешний адаптер
ifconfig_em1="inet 10.0.1.254 netmask 255.255.255.0" #внутриний адаптер
defaultrouter="192.168.0.1" #шлюз на внешнем адаптере
gateway_enable="YES"
dhcpd_enable="YES"
dhcpd_flags="-q"
dhcpd_ifaces="em1"
dhcpd_conf="/usr/local/etc/dhcpd.conf"
dhcpd_withhumask="022"
dhcpd_withuser="dhcpd"
dhcpd_withgroup="dhcpd"
local_unbound_enable="YES"
natd_enable="YES"
natd_interface="em0"
sshd_enable="YES"
ntpd_enable="YES"
# Set dumpdev to "AUTO" to enable crash dumps, "NO" to disable
dumpdev="AUTO"
zfs_enable="YES"

[ski]

Здесь нужен как-бы быстрый старт, чтобы заработало хоть что-то, с чего можно начать дальнейшее изучение.

А теперь о наболевшем (С)
Нет никакого быстрого старта. Это миф, сказка. Единственный быстрый старт для человека, уткнувшегося в freebsd, это http://www.freebsd.org/doc/en_US.ISO885 ... /handbook/

Все, других путей нет. Человек, осиливший хендбук, спокойно пересоберет ядро так, чтобы заработал ядреный нат, осилит отключить unbound и поставить из портов бинд, если уж хочется по хаутушкам без объясненй копипастом настроить и уж точно осилит настройку dhcp, благо, все это там есть чуть ли не в примерах (к примеру:
http://www.freebsd.org/doc/en_US.ISO885 ... -dhcp.html
http://www.freebsd.org/doc/en_US.ISO885 ... k-dns.html
по ядреному нату, правда, придется man ipfw сделать, NAT, REDIRECT AND LSNAT, прям в примерах все).
Не надо пренебрегать официальной документацией на систему, в которой собираетесь работать. более того, с нее надо начинать.
Иначе можно, конечно, идти по другому пути. Например, я счс возьму и выложу свои конфиги домашнего сервака. Скажу, че убрать, каких портов постаить. Объяснять буду мало и невнятно, птоому-что на это надо много времени его нет у меня. По результату получим работающую систему, полное отсутствие понимания и необратимый долгосрочный даун при неполадках. ибо как починить - опять на форум идти.
Извините за патетику.

[SiAl]

Aries
Даже не удосужился прочитать/понять о чем чел пишет, а туда же флудить с умным видом и как, как раз писал человек - с устаревшими рекомендациями. Ну не хочется помогать, не помогайте, ток не набивайте себе цену в темах для новичков.