2006 г.

Настройка dial-in модемного пула

Денис Шергин, "Slackware Linux в Томске"

Постановка задачи

Допустим, у вас есть подключенная к сети по скоростному каналу машина под управлением Linux, модем и телефонная линия (или несколько линий и модемов). В такой ситуации возникает соблазн сделать из всего этого dial-in сервер, чтобы иметь dial-up доступ к этой машине и к сети из любого места.

Необходимо заметить, что модемы при этом должны быть настроены на автоответ на входящий звонок (как именно это сделать - смотрите в документации к вашему модему). Кстати, если вам понадобится программа-терминал для конфигурирования модема - можете воспользоваться minicom (входит в комплект пакетов Slackware).

Конфигурация ядра

Собираем ядро с поддержкой PPP (Point to Point Protocol), поддержкой асинхронных последовательных линий и поддержкой алгоритмов компрессии для PPP соединений (секция Network device support):

CONFIG_PPP=y # PPP (point-to-point protocol) support
CONFIG_PPP_ASYNC=y # PPP support for async serial ports
CONFIG_PPP_DEFLATE=y # PPP Deflate compression
CONFIG_PPP_BSDCOMP=y # PPP BSD-Compress compression

Так как скорее всего вам не захочется тратить реальные адреса на модемные соединения (или у вас просто нет лишних адресов), вполне логично использовать IP-адреса из серого диапазона и воспользоваться механизмом MASQUERADE. Секция Networking options:

CONFIG_NETFILTER=y # Network packet filtering (replaces ipchains)
CONFIG_INET=y # TCP/IP networking

в подменю IP: Netfilter Configuration:

CONFIG_IP_NF_CONNTRACK=y # Connection tracking (required for masq/NAT)
CONFIG_IP_NF_IPTABLES=y # IP tables support (required for filtering/masq/NAT)
CONFIG_IP_NF_NAT=y # Full NAT
CONFIG_IP_NF_TARGET_MASQUERADE=y # MASQUERADE target support

После этого соответственно нужно пересобрать ядро и перезагруться с ним.

Установка и настройка mgetty

Нам понадобится mgetty+sendfax (домашняя страница проекта). На текущий момент последняя beta версия mgetty - 1.1.30, однако опытным путем выяснилось, что лучше использовать версию 1.1.28, ибо 1.1.30 у меня как-то странно глючила.

Распаковываем тарбол:

% tar zxvf ./mgetty1.1.28-Jan10.tar.gz
% cd ./mgetty-1.1.28

копируем дефаултный policy.h, на базе него будем составлять свою конфигурацию:

% cp ./policy.h-dist ./policy.h

Редактируем policy.h, переназначая консоль для вывода сообщений, чтобы всякая ерунда не сыпалась на экран (если нужно - в логах все можно посмотреть):

#define CONSOLE "/dev/null"

Редактируем Makefile:

CFLAGS= -DAUTO_PPP
prefix=

Компилируем и устанавливаем mgetty:

% make
% make install

Редактируем /etc/mgetty+sendfax/login.config, добавляя туда строчку:

/AutoPPP/ -     a_ppp   /usr/sbin/pppd file /etc/ppp/options

В /etc/mgetty+sendfax/mgetty.config для каждого порта прописываем (соответственно указывая ttyS0, ttyS1...):

port ttyS0
    debug 3
    data-only y

Добавляем в /etc/inittab запуск mgetty init'ом (по строчке на каждый порт):

d0:23:respawn:/sbin/mgetty ttyS0

Перезапускаем init (необходимо делать после каждого изменения inittab):

% kill -1 1

Настройка pppd

За PPP соединения отвечает демон pppd, настроим его так. чтобы при установлении соединения интерфейсу выдавался серый IP-адрес.

В /etc/ppp/options прописываем (информацию по этим опциям можно найти, почитав man pppd):

modem
crtscts
-detach
mru 1500
mtu 1500
auth
+pap
login
ms-dns 192.168.100.1
netmask 255.255.255.0

значение ms-dns - адрес вашего DNS-сервера, netmask - сетевая маска, выставляемая для всех поднимаемых интерфейсов.

Создаем для кажого порта файлик /etc/ppp/options.ttySX (options.ttyS0, options.ttyS1...) и прописываем в нем комбинацию шлюз:адрес (адрес, естественно, для каждой линии свой):

192.168.0.1:192.168.0.10

Заводим в системе модемного пользователя, указывая в качестве шелла /usr/sbin/pppd. Будем пользоваться системной базой паролей, в файлик /etc/ppp/pap-secrets для каждого модемного пользователя добавляем запись:

user * "" *

Если вам необходимо как-то производить учет и ограничение доступа (accounting/billing) пользователей к пулу (например, установить им временной лимит использования пула), можно для этих целей воспользоваться скриптами /etc/ppp/auth-up, /etc/ppp/ip-up и /etc/ppp/ip-down, /etc/ppp/auth-down, которые исполняются при установлении и окончании соединения соответственно.

Настройка masquerade

Если проделать вышеописанные действия, уже будет работать доступ до нашего dial-in сервера, но мы хотели пускать дозвонившихся дальше в сеть, для этого-то и воспользуемся MASQUERADE для всей задействованной серой подсети:

% /usr/sbin/iptables -t nat -A POSTROUTING -i ppp+ -s 192.168.0.0/24 -j MASQUERADE

Для создания более сложных конфигураций почитайте документацию к iptables и netfilter вообще.

Как все это работает

Теперь окинем взором всю связку:

• удаленный пользователель звонит в наш пул, модемы устанавливают соединение
• процесс mgetty, обслуживающий эту линию, после установления соединения и определения его типа, запускает процесс pppd и сам тихо умирает
• pppd, в свою очередь, авторизует пользователя по системной базе и если все в порядке, поднимает IP-интерфейс в соответствии с конфигом этого порта
• IP-пакеты за счет masquerade бегают от пользователя в сеть и обратно, пользователь наслаждается интернетом
• по какой-либо причине модемное соединение разрывается (обрыв связи, преднамеренное окончание сеанса со стороны клиента или сервера), процесс pppd, обслуживавший его, запускает финальные скрипты и умирает
• init вновь порождает процесс mgetty, призванный обслуживать освободившуюся линию, система готова к следующему звонку

Устойчивого CONNECT'а вам!