Tip: linux router distributies

gedeco · 16 feb 2003, 17:17

Eventjes een licht werpen op linux router distributies.
Deze minder bekende distributies werden ontwikkeld om een pc om te toveren in een Router/Internet Server. Meestal heeft men op deze distributies geen X-windows geinstalleerd en gebeurd administratie via webinterfaces of via de linux command prompt.

http://forum.minddigger.com is een gespecialiseerd nederlandstalig forum waarin problemen en vragen behandeld worden over bestaande linux router distributies.

enkele voorbeelden

E-smith
Smoothwall
ClarkConnect
Frisco

Geert

16 feb 2003, 17:40

Thanks, ik was juist bezig aan een tutorial van zo'n linux router distributie voor op de nieuwe sub site waarop een tutorial moet komen te staan van zowat alle internet sharing mogelijkheden.
Ik heb gekozen voor IPCop, deze distributie is standaard al heel handig, maar mits een paar kleine ingrepen kan je hem nog handiger maken

Ik zal even een regel quoten uit het begin van mijn voorlopige tutorial:

...
FreeSCO, Coyote Linux, Fli4L, BBIagent, Clark Connect, Mandrake Soft SNF, SmoothWall GPL (waarvan IPCop een aftakking is) etc zijn hier allemaal de revue gepasseerd en ik vond IPCop het evenwichtigst qua functionalliteit, gebruiksgemak, hardware eisen (en wat je ervoor terugkrijgt) en niet te vergeten safety. Natuurlijk heeft IPCop ook zijn nadelen tov enkele andere distributies zoals bvb het feit dat je een hard disk nodig hebt terwijl andere distributies gewoon op één bootable floppytje passen. Aangezien er gebruik wordt gemaakt van een harde schijf is men ook niet meer gelimiteerd door de krappe opslagruimte van een floppy en kan men nu makkelijk alle logs en andere zaken bewaren, dit was niet altijd mogelijk met een floppy
...

Voordelen van een combinatie oude pc met IPCop:
- Makkelijk op te zetten, te installeren en in te stellen
- Meer mogelijkheden dan een router die je kan kopen bij de lokale pc boer
- Uitbreidbaar (en makkelijk up to date te houden)
- Veilig
- Ondersteund ook de SpeedTouch USB modem
- Grote online gebruikersgroep die men kan raadplegen in geval van een probleem
- Indien u nog een oude pc heeft liggen + netwerkkaarten + eventueel al een hub/switch heeft,
dan is deze optie goedkoper dan een routertje te kopen

Nadelen van een combinatie oude pc met IPCop:
- Een harde schijf nodig (maar dit wordt goedgemaakt door de extra opties)
- Geen port ranges toe voegen via webinterface (wel via command line)
- Geen mogelijkheid om via de webinterface bepaalde gebruikers op bepaalde uren
toegang tot bepaalde diensten of internet te ontzeggen (dit is wel mogelijk via de command line)
- Een combinatie oude pc en hub/switch neemt wat meer plaats in in vgl met een
router met ingebouwde switch die je kan kopen in een lokale pc shop
- Zo'n oude pc zal ook wel iets meer stroom verbruiken
...

Een klein fragment

(links naar de distro's kon ik niet meeposten...

html staat nogtants aan)

Bedankt voor de link naar het forum, ik was dit forum al tegengekomen, maar was toen de link vergeten in mijn bookmarks te zetten. Nu staat hij er wel in

20 feb 2003, 16:41

Ondertussen heb ik IPCop gestaakt en ben ik op zoek naar een andere, want door IPCop bleek ik zo maar eens even 700-800kbit/s van mijn bandbreedte te verliezen :cry:

Heel spijtig, want IPCop is echt wel de beste distro die er is, maar het bovenstaande is spijtig genoeg onaanvaardbaar

gedeco · 21 feb 2003, 13:52

Volgens mij maakt ipcop gebruik van een squid proxy
http://www.ipcop.org/cgi-bin/twiki/view ... Q#IP_Proxy

Squid proxy bezit het nadeel dat de snelheid van de verbinding afhankelijk is van de gebruikte HW (disk) en dat de default squid.conf niet is geoptimaliseerd.
Bij trage verbindingen (PSTN) levert dit snelheidswinst op.
Bij heel snelle verbindingen (ADSL, CABLE) moet je aan snelheid inboeten.
De winst die je hier maakt bevindt zich niet op het vlak van de snelheid, maar op het kleinere volume dat wordt gedownload.

enkele configuratie tips (voor een andere distro):

http://ccfaq.valar.co.uk/modules.php?na ... le&sid=146

Geert

21 feb 2003, 14:01

dat is de moeite om hetr nog eens te proberen

gedeco · 21 feb 2003, 16:37

Je kan de snelheid van een rechtstreekse verbinding maar tot een 80 a 98 % benaderen. Het ideaal is een extra HD, met lage accestime, dedicated voor de squid cache.
De andere optie bestaat erin om squid uit te schakelen.

Geert

21 feb 2003, 17:21

Mja, maar aan squid zal het niet liggen want die staat af

heb al eens zoveel mogelijk dingen afgezet... maar het hielp niets.
Volgens mij slechte PPPoE drivers ofzo.

Heb ondertussen clarkconnect geprobeerd maar dat is echt een ramp (begint al bij de installatie waar niet gevraagd wordt naar keyboard type...).

gedeco · 21 feb 2003, 21:23

MTU?
ifconfig ppp0 moet op 1492 ingesteld zijn.
hardware?
geen idee.

BTW Clarkconnect is inderdaad setup in Querty.
nadien heb je geen klavier meer nodig aan de router. Admin via ssh.
mocht je dit toch nodig willen aanpassen
[green]
/usr/sbin/kbdconfig
[/green]

Geert

21 feb 2003, 21:47

gedeco schreef:MTU?
ifconfig ppp0 moet op 1492 ingesteld zijn.
hardware?
geen idee.

Allemaal nagekeken.
MTU stond goed, op clarkconnect dat toch iets zwaarder is dan ipcop was de downloadsnelheid normaal. Op BBIagent werkte ook alles normaal.
Hardware zou genoeg moeten zijn: p133 48MBram 1Gb HD

gedeco schreef:BTW Clarkconnect is inderdaad setup in Querty.
nadien heb je geen klavier meer nodig aan de router. Admin via ssh.
mocht je dit toch nodig willen aanpassen
[green]
/usr/sbin/kbdconfig
[/green]

Geert

Ja inderdaad, het was maar een voorbeeld dat ik aanhaalde. Een niets vermoedende gebruiker zou misschien wel eens een verkeerd paswoord kunnen ingeven hierdoor en dus via de webinterface niet kunnen inloggen.
Ik heb bvb even moeten zoeken waarom mijn modem niet connecteerde (at the middle of the startup nog voor de webinterface of sshd was geladen, wat ik redelijk irritant vond)... bleek dat ik per ongeluk Alt Gr+2 heb gebruikt (terwijl het shift + 2 moet zijn) en dat gaf @ dacht ik met die querty... het gaf eigenlijk een 0@ ... en die 0 was er teveel aan (aangezien mijn login nummer ook eindigde op 0 was het moeilijk te zien).

Ik draai nu terug mijn IPCop met alle mods etc... was geinstalled in minder dan een kwartier ! (eens je je weg kent...)
Voorlopig wacht ik nog even met naar een andere distro te zoeken en zal ik dat bandbreedteverlies maar even door de vingers zien

26 feb 2003, 20:52

Een paar dagen terug heb ik bij een vriend ook IPCop geinstalled. Ik was erg benieuwd of hij ook een probleem zou hebben met zijn bandbreedte. Zijn router was ietsje zwaarder (p200 64mb ram tov mij met p133 48mb ram). Na de installatie bleek dat hij helemaal geen last had van een lagere bandbreedte... het moest dus aan mijn pc liggen (die niet sterk genoeg is dus).
Toen ik thuiskwam heb ik toch nog maar eens alle mogelijkheden bekenen... en deze keer heb ik het gevonden

(vorige keer niet ... geen geluk gehad zekers

).
Ik heb Snort even af gezet omdat deze alle packetjes nakijkt en dat vraagt bij hoge bandbreedtes wel wat recources.. en ja, mijn speed was al direct hoger

De speed is nog niet helemaal wat het moet zijn (gemiddeld mis ik zo'n 100-200kbit/s), maar daar kan ik zeker wel mee leven

(die vriend met zijn p200 miste trouwens geen speed.. alles dik in orde)
Feit is dus dat je eigenlijk wel best een iets krachtigere pc nodig hebt dan ze soms zeggen.
Toch wil ik nog iets opmerken. ClarkConnect had ik ook op dezelfde pc gesintalled. Deze ClarkConnect had veel meer en zwaardere dingen draaien dan IPCop (printserver, ook snort etc etc) en toch kon ik daar mijn volle snelheid mee behalen

In ieder geval ga ik nu zeker verder werken aan de tutorial over IPCop

airzimmy · 26 feb 2003, 21:23

al eens met OpenBSD geprobeerd? volgens mij nog steeds de snelste NAT en je krijgt een degelijk OS ook : )

gedeco · 26 feb 2003, 22:02

NuKeM schreef:Ik heb Snort even af gezet omdat deze alle packetjes nakijkt en dat vraagt bij hoge bandbreedtes wel wat recources.. en ja, mijn speed was al direct hoger
De speed is nog niet helemaal wat het moet zijn (gemiddeld mis ik zo'n 100-200kbit/s), maar daar kan ik zeker wel mee leven (die vriend met zijn p200 miste trouwens geen speed.. alles dik in orde)
Feit is dus dat je eigenlijk wel best een iets krachtigere pc nodig hebt dan ze soms zeggen.
Toch wil ik nog iets opmerken. ClarkConnect had ik ook op dezelfde pc gesintalled. Deze ClarkConnect had veel meer en zwaardere dingen draaien dan IPCop (printserver, ook snort etc etc) en toch kon ik daar mijn volle snelheid mee behalen

In ieder geval ga ik nu zeker verder werken aan de tutorial over IPCop

Misschien enkele tips ivb snort

Eerst en vooral kan een en ander te maken hebben met de gebruikte versie van snort (De laatste versie is 1.9 rpm -qa | grep snort)en misschien zelfs met de gebruikte kernel.
Gezien het gebruik van poptop voor de VPN, gaat het waarschijnlijk over een gepatchte kernel.
Maar gezien het op een ander toestel wel werkt, hoogst onwaarschijnlijk.

Waarschijnlijker: meer geheugen plaatsen en de config van snort aanpassen. Heel wat snort loggings zijn waarschijnlijk false positives van het eigen netwerk.
Deze vermijden, vermijd read/write operaties naar de HD.
Nog een extra reden voor een snelle HD. extra loggings naar de HD kosten tijd en resources.

Geert