[译文] Lintrack As A LAN Gateway And An OpenVPN Bridge

DreamCat

Lintrack 作为局域网网关和 OpenVPN 网桥

本教程将指导你完成 Lintrack（一个专用于网络任务的 GNU/Linux 分版）的安装及配置。我们把两个使用 DHCP 及 DNS 缓冲服务的局域网连接到 internet，然后我们将在桥接模式下用 OpenVPN 连接把我们的网络连接起来。完成这些应该少于一个小时的时间，感谢 Lintrack 的统一配置工具。

计划

下面的插图呈现了我们要建立的网络。

                               
登录/注册后可看大图

      主机 rt1 和 rt2 是我们运行 Lintrack 的路由器。两个都有 Internet 连接（比如通过 DSL 调制解调器），eth0 上有一个公共的 IP 地址，后面则是局域网。

      你需要两个 x86 主机（典型的PC应该足够好了），至少 128MB 内存和 256MB 的存储空间（可以是CF卡），一些 Fast/Gigabit 以太网卡（百兆/千兆），如果你希望，可以使用基于 Atheros 芯片的 WiFi 卡，比如 AR5213（译者注：尚未查看都支持哪些无线网卡）。

      如果你打算在 vmware 上安装 Lintrack，确认你使用的是 IDE 磁盘而非默认的 SCSI。如果你喜欢 qemu，在遇到问题时，请启用或关闭 kqemu 运行测试一下。

安装

• 下载 Lintrack 2.0 安装 CD： LINUX 下，执行命令：wget http://prdownloads.sourceforge.n ... ni-2.0.iso?download
• 用你喜欢的刻录软件烧录 ISO 镜像。
• 用光盘启动目标计算机，在看到提示时按下 Enter。
• 输入 'setup' 并按下 Enter，启动 Lintrack 安装器。阅读简短的信息后按下 Enter。
• 安装程序会询问安装的分区，按下 Enter 进入默认的选择：运行 cfdisk 建立一个分区。
• 使用 cfdisk 并建立新的分区，分区类型为 0x83。不需要建立交换分区。
• 退出 cfdisk 后，输入目标分区的名称，或直接按下 Enter 使用默认选择的分区： /dev/hda1。
• 安装程序会提示格式化目标分区为 ext3，所以你可以输入大写的 YES 并按下回车进行格式化（如果你尚未进行过格式化）。如果遇到错误，按下 Ctrl+C 退出即可。
• 现在，安装开始了，依赖于你的硬件，这个过程应该少于 5 分钟。
• 安装结束之后，会询问你是否在 MBR 上安装 Lintrack 启动器（GRUB）。多数情况下只需要按下 Enter，否则输入 NO 并按 Enter 键。
• 取出安装光盘并重新启动进入 Lintrack。

基本的网络

首先，我们将配置 Internet 访问及用于局域网的基本的服务，作为 root 登录，口令为 "asn"。
Lintrack 使用 fcc 工具来配置，在主机 rt1 上运行 fcc 进行基本的配置：

1. fcc
   
2. ?
   
3. ls
   
4. cd sys
   
5. ls
   
6. set hostname rt1.lan
   
7. set hostip 192.168.1.1

复制代码

提示：你可以尝试用 Tab 进行输入的自动完成（类似 Bash），这可以使命令的输入更容易写。

现在，我们添加并配置 eth0 接口：

1. cd / net if eth
   
2. add +if eth0
   
3. cd eth0
   
4. set descr "Internet uplink"
   
5. add ip +addr main
   
6. set ip main addr 80.40.1.1/30

复制代码

LAN 网桥的设置：

1. cd ..
   
2. add +if eth1
   
3. cd .. br
   
4. add +if br0
   
5. cd br0
   
6. set descr "LAN bridge"
   
7. add +if eth1
   
8. add ip +addr main
   
9. set ip main addr 192.168.1.1/24

复制代码

缺省路由 和 DNS 服务器（用正确的 IP 地址替换 dns.server.ip.address ）：

1. cd / net
   
2. set route quickgw 80.40.1.2
   
3. add dns +servers dns.server.ip.address

复制代码

配置两个带防火墙的区--"internet"：

1. cd fw
   
2. add +zone internet
   
3. cd internet
   
4. add +matches uplink
   
5. set uplink if eth0
   
6. set srv forwarding to
   
7. set actions masq true

复制代码

...以及 "lan"：

1. cd ..
   
2. add +zone lan
   
3. cd lan
   
4. add +matches bridge
   
5. set bridge if br0
   
6. cd srv
   
7. set forwarding on igmp true dhcp true dns true
   
8. cd .. actions
   
9. set clampmss true

复制代码

最后 - 启用 dnsmasq 作为 DNS cache 和 DHCP 服务器：

1. cd / srv dnsmasq
   
2. set boot true
   
3. set dhcp true auth true from 192.168.1.50 to 192.168.1.150

复制代码

现在，在 rt2  做同样的步骤，替换主机名，IP 地址和 DHCP 地址范围（比如，从 192.168.1.151 到 192.168.1.250）。
注意：fcc 的操作在某些方面更象一个配置文件 ---- 这意味着所作的改动并不立即生效。所以，我们要手动启用基本的网络以便能够使用 SSH 登录，比如从一些用着更舒服的带剪贴板的图形终端 。按下 Ctrl+D 或输入 quit 从 fcc 退出，在两个主机上分别执行下面的命令：

1. cd /etc/rc.d
   
2. ./rc.firewall restart
   
3. ./rc.eth eth0 start
   
4. ./rc.eth eth1 start
   
5. ./rc.br br0 start
   
6. ./rcS.d/S40staticrt

复制代码

这样就可以从 Internet 和 wired LAN 访问这两个主机了。

无线访问
现在，我们添加一个 WiFi 访问点 with WPA2-PSK security。如果你不想让你的用户能够无线访问 Internet 跳到下一节。
和前面一样，在 rt1 及 rt2  上启动 fcc，并输入如下命令：

1. 
   
2. cd / net if ath
   
3. info countrycode
   
4. set countrycode 840
   
5. set xchanmode true
   
6. add +if wifi0
   
7. cd wifi0
   
8. set list freq true
   
9. act list
   
10. set channel 6

复制代码

注意 "act list" 命令的输出并不立即 take into account changes made to card's country code, radio mode (a/b/g), etc. The simplest solution is to reboot after making such low-level changes in order to let the madwifi driver load with new settings.

Now, we have a physical radio configured, so let's create a real network interface on top of it:

1. add +if ath0
   
2. cd ath0
   
3. set descr "AP for LAN"
   
4. set mode ap
   
5. set essid "lintrack"

复制代码

并进行加密，我们启用 WPA2-PSK:

1. cd wpa
   
2. set mode server
   
3. set pskpass SomeVeryVeryLongPasswordToYourLocalAreaNetwork

复制代码

最后，添加 ath0 到 local bridge br0 以使 WiFi 用户在以太网上通信。

1. cd / net if br br0
   
2. add +if ath0

复制代码

配置 OpenVPN

最后，我们把两个局域网用 OpenVPN 连接起来。

在 rt1 上配置 OpenVPN 服务：

1. cd / net if openvpn
   
2. add +if tap0
   
3. cd tap0
   
4. set descr "VPN to rt2" mode server tmode tap syscert false
   
5. set genkey sure true
   
6. act genkey
   
7. get statickey

复制代码

将 static OpenVPN 密钥 复制到剪贴板上，在 rt2 上进行类似的命令：

1. cd / net if openvpn
   
2. add +if tap0
   
3. cd tap0
   
4. set descr "VPN to rt1" mode client tmode tap syscert false
   
5. set real 80.40.1.1
   
6. set statickey

复制代码

最后的命令启动 vim，一个文件编辑器。这个编辑器值得学习如何使用，不过现在只需要 按下 'a'，粘贴复制的密钥，按下 Escape，输入 ':wq' 并按下 Enter。你可以在启动 fcc 之前通过导出 $EDITOR 环境变量的方式修改所使用的文件编辑器，比如设置成使用 mcedit （译者注：middle night 中集成的文件编辑器）。

如果你没有图形终端，使用 scp 把 rt1 上的文件 /etc/fc/net/if/openvpn/tap0/statickey 复制到 rt2.

为逻辑桥添加 tap0  - 两个主机上都这么做：

1. cd / net if br br0
   
2. add +if tap0

复制代码

重新启动，就是这样 ;-).

如果 OpenVPN 的运行有问题，可以在 debugging 模式下用 shell 重新启动它：

1. /etc/rc.d/rc.openvpn tap0 restart debug

复制代码

Going Further

在所有的一切都工作正常之后，很明确的一个好主意是修改 root 密码（使用 passwd 命令）并更新系统：

1. pkg update
   
2. pkg upgrade

复制代码

你可以在 Lintrack 的站点上（http://www.lintrack.org/）找到关于Lintrack 的更多信息。不要错过我们的 wiki, forum, Trac，尤其是一篇更有深度的 introductory article on the great PolishLinux.org vortal.


译者注：到此为止，应该清楚了FCC配置的方式了，尤其是“区”的概念。

[ 本帖最后由 DreamCat 于 2007-5-27 13:19 编辑 ]

DreamCat

还是老样子，中文水平还是不见长。一不想意译，二不想破坏原文结构。自己的中文水平愈发感觉不足，本来是打算以后不翻译东西了，这次又看到了LINTRACK，只好又动手了。

此帖翻译完毕后删除。

这个就暂时翻译到这里了，WIFI的偶不熟悉，有些东西不太确定。还没想好怎么译。

[ 本帖最后由 DreamCat 于 2007-5-27 13:00 编辑 ]

georgetan

嗯。不错。 之后我是弄过linux的。。感觉这个东西有linux的环境。。现在没有时间来看这个了。。到时再回过头来。。

wuyouyin2

OUT了吧，“无忧隐藏”是一款保护电脑隐私的软件，能快速隐藏网页、游戏、聊天等窗口,而且能同时能关闭声音。