Herzlich Willkommen

… zu der deutschsprachigen Installationsanleitung der IPFire-Firewall.

In diesem Dokument kann man nachlesen, wie man bei der Installation vorzugehen hat und was besonders beachtet werden muss. Der Vorgang dauert in der Regel und je nach der Geschwindigkeit des Rechners zwischen 10 und 15 Minuten, worauf dann die Konfiguration folgt.

Wenn sich Fragen ergeben, wendet man sich einfach an das Forum.

Die meisten Einstellungen, die hier erwähnt werden, können problemlos übernommen werden, sind jedoch auch andererseits nur als Vorschlag zu erachten. Zu allererst sollte man jedoch noch einmal in der Download-Section vorbeischauen und eine für die jeweilige Umgebung beste Installationsmethode wählen. Wir beginnen mit der Installation von CD, da diese für die meisten Benutzer zutrifft. Eine Installation per USB-Stick funktioniert im Prinzip gleich wie von der CD.

Hat man die CD gebrannt, legt man sie in den Rechner ein, der zum IPFire werden soll und stellt im BIOS entsprechend ein, dass von der Disc auch gebootet werden soll. Daraufhin erscheint der Bildschirm, wo man zur Auswahl aufgefordert wird. Im Normalfall drückt man hier einfach die Eingabetaste. Wird ein Monitor benutzt, der die Auflösung von 1024×768 nicht unterstützt, sollte man novga eingeben.

Folgende Bootoptionen sind:

• novga
• dma
• memtest

Der USB-Stick ist vorher vorzubereiten.

Installiert man von einem USB Stick und will ebenfalls auf ein zweites USB Device installieren, so kann es unter Umständen vorkommen, dass kein gültiges Boot Device vom BIOS gefunden wird. In diesem Fall erstmal vom ersten USB Stick booten und wenn der Begrüßungsbildschirm des Installers auftaucht das zweite USB Device verbinden, dann sollte das soweit klappen.

Nach ein paar Sekunden wird eine Sprachauswahl angezeigt. Hier kann die Sprache für die Installation und das Webinterface gewählt werden. Es stehen Englisch und Deutsch zur Verfügung. Möchte man den IPFire in eine andere Sprache übersetzen, darf man gerne das Entwicklerteam unter „entwickler@ipfire.org“ kontaktieren.

Mit Hilfe der Pfeiltasten und der Eingabetaste wird die Sprache ausgewählt. Im nächsten Dialogfeld erscheint ein Begrüßungsbildschirm in der gewählten Sprache. Hier wird darauf hingewiesen, dass, wenn man an einer der folgenden Stellen „Abbrechen“ drückt, das Setup nicht fertiggestellt und der PC neu gestartet wird.

Als nächstes wird nochmals darauf hingewiesen, dass alle Daten der Festplatte gelöscht werden und die erste Festplatte (Master an IDE1) für den IPFire vorbereitet wird. Hinweis: Es ist zu empfehlen, dass nur die Platte, auf die der IPFire installiert werden soll, angeschlossen ist, um Verwechslungen auszuschließen.

Danach folgt die Auswahl des zu verwendenden Dateisystems. Zur Verfügung stehen Reiser4, ReiserFs und ext3. Die meisten Installationen laufen mit ext3, manche unserer Entwickler sehen Reiser4 für größere Umgebungen besser geeignet. Wenn man weitere Informationen benötigt, kann man diese direkt bei den Entwicklern anfordern.

Jetzt wird die Festplatte endgültig partitioniert und formatiert. Dieser Vorgang dauert je nach Größe der Festplatte ein paar Minuten. Danach wird das System auf die Festplatte entpackt.

Nach dem Kopieren wird die CD ausgeworfen und sollte aus dem Laufwerk entfernt werden.

In den nächsten Bildschirmen werden das Tastaturlayout und die Zeitzone ausgewählt. Bei einer deutschen Installation wird hier „de-latin-nodeadkeys“ und „Europe/Berlin“ voreingestellt und sollte auch übernommen werden.

Ist die Tastatur und Zeitzone gewählt, geht es mit dem „Hostnamen“ weiter. Dies ist der Name, mit dem der IPFire im Netzwerk zu sehen ist. Soll mit VPN´s gearbeitet werden, sind unterschiedliche Namen für jeden IPFire notwendig.

Da eine Domain benötigt wird, wird diese in der folgenden Bildschirmanzeige abgefragt. Bei einer Standardinstallation heißt diese „localdomain“. Wenn Sie eine Domäne besitzen, sollten Sie diese dort eintragen.

Ist auch dieses erledigt, geht es mit den Passwörtern weiter.

Hier wird nach dem root-Passwort gefragt. Üblicherweise ist dies nicht gleich dem Admin-Passwort, das im darauf folgenden Dialog abgefragt wird. Lesen sie dazu auch hier.

siehe auch Netzwerktopologie

Nun geht es ans Eingemachte. Die Auswahl des Netzwerkes. Wie schon in der Vorbereitung beschrieben, sollte man sich im Klaren sein, wie das eigene Netzwerk aussehen soll.

Bei einem Standard-IPFire ist das Green + Red, also 2 Netzwerke. Maximal sind hier 4 Netzwerke möglich - nämlich Green, Blue, Orange und Red.

Red=externes Netzwerk, zum Internet hin gewandtes

Orange=DMZ (DeMilitarized Zone) , wo meistens Server stehen

Blue=Wlan, Drahtloses Internet, Notebook

Green=Internes/Privates Netz, von Internet abgewandt

Als nächsten muss den gewählten Netzwerken jeweils eine Netzwerkkarte zugeordnet werden. Eine Ausnahme bildet hier Red. Dort wird für einige Verbindungsart wie z.B. Modem keine Karte benötigt. Wenn ihnen bekannt ist welche MAC-Adresse welcher physikalischen Netzwerkkarte zugeordnet ist, können Sie sie explizit zuordnen. Wenn nicht, ordnet man sie einfach zu durch einen Ping von einem PC, der „dahinter“ steht und vertauschen die Netzwerkkabel bis man eine Antwort des Servers erhält.

Nun muss man den Netzwerken Adressen zuweisen. Hierbei sollte man nur IP-Adressen aus den für Lan-Netzwerke reservierten Bereichen verwenden. Hier stellt man für alle Netze jeweils eine IP und die zugehörige Netzmaske ein. Am besten man benutzt hier Standard-IP's (192.168.x.1 oder 192.168.x.254)

Bei der Installation kann man diese Warnung getrost ignorieren da sie noch nicht über das Netzwerk zugreifen.

Hier wieder der Spezialfall des Netzwerkes „Red“

Hier müssen je nach Verbindungsart die entsprechenden Parameter eingestellt werden. Weitere Informationen erhalten sie von Ihrem ISP (Internet Service Provider).

Als letzten Schritt ist es bei den meisten Verbindungsart nötig noch die IP des Gateway's und mindestens eines DNS Servers anzugeben. Weitere Informationen erhalten sie von Ihrem ISP.

Als nächstes ist der DHCP-Server für das grüne Netzwerk an der Reihe. Hier braucht nur ein Sternchen zu setzen und die Anfangs- und Endadresse einzusetzen. Üblicherweise wird hier 192.168.0.2 und 192.168.0.254 genommen. Hier dürfen wir nicht die IP-Adresse der grünen Netzwerkkarte nutzen und auch nicht die letzte IP Adresse, da diese für Netzwerkverkehr(Broadcast) reserviert ist. In unserem Beispiel 192.168.0.255. Da die Wenigsten aber 253 Rechner Zuhause haben, gibt man hier die maximale Anzahl von Rechnern an, die in dem Netzwerk sein werden. Diese Einstellung kann auch später im Webinterface geändert werden.

Ist das geschafft, ist man auch schon am Ende des Setups angekommen. Mit einem Klick auf „OK“ wird der IPFire neu gestartet.

Wer denkt, dass er fertig ist, hat sich getäuscht. Aber keine Panik - der Löwenanteil ist geschafft.

Soll IPFire auf einem USB Stick oder auf einer USB Festplatte installiert werden, so wird der Installer das Gerät als sd(X) erkennen. Nach dem booten kann es aber vorkommen, dass udev das Device einfach nach ub(X) umbennent, was in diesem Fall natürlich absolut ungünstig ist, da weder die grub.conf noch die fstab korrekt sind. Wenn dieses Problem auftritt sollte man sich zu aller erst den neuen Namen des USB Devices notieren (meist uba). Anschließend kann man es sich einfach machen und die Installation einfach nochmal starten und bevor der Installer zum Bestätigen des Reboots auffordert mit ALT+F2 auf die Konsole wechseln. Hier müsste unter /harddisk noch die aktuelle Zielfestplatte eingebunden sein. Jetzt noch in der Datei /harddisk/etc/fstab alles was sd(x) heisst nach ub(X) umbenennen. Dasselbe für die Datei /harddisk/boot/grub.conf wiederholen (kann man aber auch per edit beim booten machen). Jetzt mit ALT+F1 wieder in den Installer wechseln und normal booten.

Die etwas schnellere aber „etwas“ schwierigere Variante ist den Installer zwar zu starten aber auf die Neuinstallation zu verzichten. Stattdessen mountet man wieder über die Konsole (ALT+F2) die Zielplatten und ändert analog wie oben beschrieben die fstab und grub.conf (Hier sollte man sich mit mount und umount etwas auskennen).

Die Installation auf einem Alix-Board ist durchaus einen Artikel wert:

Als erstes lade das Image für Alix Boards von hier Downloads

herunter. Das Image trägt den Namen „ipfire-2.5.1gb-ext2-scon.i586-full-coreXX¹⁾.img.gz“. Der Name besagt, dass dieses Image für CF Karten ab 1GB geeignet ist und das Dateisystem ext2 verwendet. Ext2 bietet für CF-Karten den Vorteil, dass die Dateizugriffe minimiert werden, da ext2 keine Journaling-Funktion besitzt.

Mit dem Befehl „md5sum ipfire-2.5.1gb-ext2-scon.i586-full-coreXX.img.gz“ wird eine Kontrollsumme angezeigt. Die Berechnung dauert etwas. In der Zwischenzeit können Sie sich die Datei mit dem gleichen Namen, jedoch am Ende mit „md5“ anzeigen lassen. Ihre Prüfsumme als auch die aus der md5-Datei müssen gleich sein, dann haben Sie die Datei im Originalzustand auf Ihrem Computer.

Stecken Sie die CF-Card in Ihren Kartenleser.

Linux

Unter Linux kontrollieren Sie mit „tail -f /var/log/messages“ als welcher Datenträger es erkannt wurde. Wichtig ist ob der Datenträger als sde, sdf, sdc oder ähnlich bezeichnet wird. Aus dieser Anzeige kommen Sie mit Strg+C wieder heraus. Für Windows benötigen Sie das Programm physdiskwrite, hier sollten Sie ebenfalls in der Datenträgerverwaltung nachsehen, als welches Physikalische Laufwerk der Kartenleser anzusprechen ist.

Unter Ubuntu / Kubuntu werden Sie root mit „sudo su -“. In diesem Falle funktioniert ein einfaches „sudo“ nicht, da wir direkt auf die Hardware zugreifen werden. Mit

zcat ipfire-2.5.1gb-ext2-scon.i586-full-coreXX.img.gz > /dev/sdx

wird das Image auf die CF-Card geschrieben. Das sdx ersetzen Sie bitte unbedingt durch das was „tail -f /var/log/messages“ Ihnen mitteilte.

Windows

Unter Windows starten Sie physdiskwrite 0.52, alternativ über eine GUI, und wählen das Imagefile und Ziellaufwerk aus. WICHTIG: Unter Windows muss die Datei mit der Endung “.img.gz“ erst entpackt werden. Erst danach ist die Datei mit der Endung “.img“ auf die CF Karte zu flashen. Zum entpacken bietet sich das Packprogramm WinRAR an.

Dieser Vorgang dauert ca. 20 bis 30 Minuten, je nachdem wie schnell Ihr Computer ist. Sollten Sie eine größere CF Karten als 1GB verwenden so können Sie im nachhinein u.A auch mit einer Linux Live CD die letzte Partition auf den maximalen Platz vergrößern, sodass ihre CF Karte auch vollständig verwendet wird.

Stecken Sie die fertig bespielte CF-Card in das Alix-Board hinein. Schliessen Sie ein Nullmodem-Kabel an das Alix-Board an und das andere Ende an Ihrem Computer. Auf Ihrem Linux Computer starten Sie das Programm „minicom“, unter Windows entweder Hyperterminal oder Putty und stellen es ein, dass es mit dem Alix-Board kommunizieren kann:

In minicom sollten Sie wie folgt navigieren: Strg + A gefolgt von der Taste z führt Sie in das Hauptmenü. Mit O gehen Sie in die Konfiguration und danach in „Einstellungen zum seriellen Anschluss“. Hier sehen Sie die Daten zum seriellen Anschluss. Mit e wählen Sie die Übertragungsgeschwindigkeit aus und zwar 38400 (die Taste D). Nun sehen Sie dass die Baudrate 38400 markiert ist. Drücken Sie nun mehrere male Enter um die Menüs zu verlassen.

Schalten Sie das Alix-Board ein und verfolgen Sie das was auf dem Monitor passiert. Das Alix-Board überträgt das was es meldet auf den seriellen Anschluss und minicom zeigt Ihnen das was am Computer ankommt.

Sie sehen, dass das Alix-Board startet und dass Linux hochfährt. Beim ersten Start wird die Initramdisk neu aufgebaut und das Setup gestartet um die grundlegenden Einstellungen durchzuführen. Hier werden Sie nach der Tastaturbelegung und diverses gefragt. Des weiteren ist es wichtig Ihre Netzwerkschnittstellen zu belegen (mit rot, grün, orange und blau).

Der, bildlich gesprochen, rote Anschluss führt ins Internet, wo man sich auch gefährliches einfangen kann. Daher die Farbe Rot als Warnfarbe.

Der grüne Anschluss führt nach innen ins Netzwerk (zum Computer oder Switch). Hier kann gefahrentechnisch nichts passieren, daher die Farbe grün.

Die Farbe Orange zeigt an, dass hier etwas ist, was Aufmerksamkeit erfordert: nämlich Ihr Server, der ohne jeglichen Schutz, vollständig frei nach aussen hin angeschlossen ist.

Blau symbolisiert den Himmel… die Luft durch die Ihr wireless-LAN seine Daten überträgt… bis zu 300m Umkreis kann jeder Ihr wlan sehen und versuchen einzudringen. Daher ist besonders hier Sorgfalt bei der Konfiguration geboten!

Nun haben Sie die Anschlüsse mit der Funktion belegt, welche sie künftig erfüllen werden.

Als nächstes ist es wichtig den dhcp-Server zu aktivieren und einzustellen. Beachten Sie dass der ip-Bereich gleich mit der IP-Adresse des Routers sein muss. Hat der Router die Adresse 192.168.0.1 so ist der ip-Bereich 0 (die vorletzte Zahl). Der ip-Bereich ist sowas wie die Abteilung eines Unternehmens. Eine Abteilung sieht die andere nicht und daher müssen die ip-Bereiche gleich sein. Der dhcp-Server sollte also Adressen von 192.168.0.x bis 192.168.0.y vergeben.

Die Fehlermeldungen beim Neustart nach dem Setup sind normal da das Setup eigentlich für die CD-Installation gedacht war und die Skripte hier Dienste beenden wollen die noch nicht gestartet sind.

Geben Sie Strom auf das Gerät, so fährt es wieder ordnungsgemäss hoch und ist nach dem Booten (dem Startvorgang) unter der Adresse erreichbar, die Sie ihm gegeben haben. Für dieses Beispiel setze ich einfach mal voraus dass das die 192.168.0.1 ist. Der Port auf dem der Webserver lauscht ist der Port 444. Also geben Sie im Browser folgendes ein:

https://192.168.0.1:444

und drücken Enter. Nun erscheint die Weboberfläche. Sie werden aufgefordert das Zertifikat anzunehmen. Das Zertifikat ist der Beleg, den Ihr Browser benötigt, diesen Webserver als „Vertrauenswürdig“ einzustufen und das Betrachten der Seiten zuzulassen.

Nun können Sie die Webseiten durchgehen und u. a. Ihre Einwahldaten für Ihren Internet-Provider eingeben…

Viel Spaß!