• Keine Ergebnisse gefunden

DynDNS selbst- gemacht!

N/A
N/A
Info
Herunterladen
Protected

Academic year: 2022

Aktie "DynDNS selbst- gemacht!"

Copied!
2
0
0

Wird geladen.... (Jetzt Volltext ansehen)

Jetzt herunterladen ( 2 Seite )

Volltext

(1)

22

T i t e l t h e m a

4/2005

DynDNS selbst-

gemacht!

Dynamische IP-Adressen zu verwalten, bedarf einer zentralen Instanz, die über eine feste IP-Adresse erreichbar ist. Eine Möglichkeit, diese Informationen zu administrieren, ohne sie über einen DNS-Server öffentlich zu machen, wird in diesem Beitrag gezeigt.

HERMANN GOTTSCHALK UND THOMAS BIRNTHALER

D

as Bedürfnis, in unserer ver- netzten Welt Remotezugänge zu schaffen, ist offensichtlich. Sei es, um Mails auf dem heimischen PC mit einem Kommandozeilentool wie mutt oder pine abzurufen, Datenbe- stände über »dünne« Leitungen ab- zugleichen, Backups zu fahren (mit rsync oder cvs) oder den PC eines Heimmitarbeiters zu administrieren.

Allen diesen Anforderungen ist eine Hürde gemeinsam: Solche Systeme besitzen meist keine statische IP-Adres- se. Woher also die Information neh- men, unter welcher IP-Adresse die Gegenstelle zu erreichen ist?

Ein geläufiges Hilfsmittel ist DynDNS (http://www.dyndns.org), also ein Dienst, der diese Information zeitnah zur Verfügung stellt und aktuell hält. Je- doch ist dieser Dienst zumindest mit einer Registrierung und bei kom- merziellem Einsatz zusätzlich mit Kos- ten verbunden.

Besitzt man einen eigenen öffentli- chen DNS-Server, kann man das na- türlich selbst realisieren. Aus sicher- heitstechnischer Sicht ist es aber nicht immer erwünscht, Informationen über die eigene Netzwerkstruktur über DNS öffentlich zu machen. Im fol- genden wird eine einfache Möglich- keit gezeigt, diese Funktionalität ohne Einsatz eines DNS-Servers zu reali- sieren, die Informationen sind nur einer geschlossenen Benutzergrup- pe zugänglich.

Die Praxis zeigt, daß in den Außen- stellen häufig vom Provider mitge-

lieferte DSL-Router zum Einsatz kom- men, die die Internetverbindung her- stellen. In diese proprietären Syste- me jeweils ein spezielles Skript ein- zubauen, das die aktuelle IP-Adres- se einer zentralen Stelle übermittelt, erscheint doch sehr aufwendig. Auch könnte ein anderes System wie bei- spielsweise Windows als Zugangs- punkt zum Einsatz kommen, an dem man vielleicht noch nicht einmal Ein- stellungen vornehmen darf.

Netzwerkstruktur

Hinter einer DSL-Router-Anbindung wie oben beschrieben ist sowohl der Zeitpunkt des Verbindungsneuauf- baus als auch die neue IP-Adresse schwierig zu ermitteln; vor allem ist der Weg, um an diese Information zu gelangen, bei jedem System an- ders.

Die von uns gewählte Lösung be- darf keiner Anpassung und ist so- mit portabel einsetzbar, egal, welches System den Internetzugang realisiert.

Ein beliebiger Client im Netz der Außenstelle muß einfach periodisch eine Webseite abfragen. Das bekom- men die meisten Linux- (und Win- dows-) Benutzer sicherlich hin.

Zwingend notwendig ist ein mit sta- tischer IP-Adresse im Internet erreich- barer Server. Er wird eingesetzt, um die dynamischen IP-Adressen zu sam- meln und zur Verfügung zu stellen.

Alle anderen Einheiten sind mit dy- namischen IP-Adressen an das In-

ternet angebunden. Es wird ange- nommen, daß auf dem Server ein Webserver, beispielsweise Apache, installiert ist, Zugriff auf dessen Log- dateien besteht und Skripte abge- legt und ausgeführt werden kön- nen.

Server I

Der auf dem Server installierte Webser- ver muß die Zugriffe im Common Log Format (CLF) mitprotokollieren.

Es wird angenommen, daß die Log- datei access.log heißt sich unter /var/

www/logs befindet.

Auf dem Webserver wird eine Datei dslcheck.html angelegt, die eine kor- rekte, aber inhaltlich leere HTML- Seite enthält. Diese Seite wird von den auf diverse Standorte verteilten und mit dynamischen IP-Adressen ausgestatteten Clients minütlich ab- gerufen (siehe »Client I« weiter un- ten). Damit diese Aufrufe auswert- bare Einträge in der Logdatei hin- terlassen, die den Client identifizie- ren, muß diese Datei einer Zugangs- kontrolle unterworfen werden. Beim Apache-Webserver geschieht das mit einem Eintrag in der httpd.conf:

AuthType Basic AuthName "DSLCheck"

AuthUserFile /var/www/etc/passwd Require valid-user

Mit dem Tool htpasswd ist die Datei passwd auf dem Webserver anzule- gen und darin für jede zu verwal-

(2)

23 T i t e l t h e m a

4/2005

tende Außenstelle ein Benutzer ein- zutragen.

Clients I

In jeder Außenstelle muß auf einem Client das Programm wget installiert sein und ein Eintrag in einer crontab erfolgen:

* * * * * wget --http-user='office10' \ --http-passwd='secret' -O \

- http://foo.bar.com/dslcheck.html \

> /dev/null 2>&1

Diese Zeile generiert durch eine HTTP- Abfrage der Datei dslcheck.html jede Minute einen Eintrag in der Datei access.log des Servers in der Form 212.114.231.253 - office10 [09/Oct/2004 :00:55:22 +0200] "GET /dslcheck.html HTTP/1.0" 200 54

Server II

Um diese Einträge in der Datei access.log auszuwerten, wird auf dem Server minütlich eine ASCII-Text-Datei erstellt, die die Außenstellen bezie- hungsweise User mit ihren IP-Adres- sen enthält. Ein Skript, das über die crontab ausgeführt werden kann, ist im Listing fetch-dsl-ip.sh auf der CD- ROM zu dieser freeX enthalten.

Die so erzeugte Datei dsl-ip.txt wird in einem zugangsgeschützten Bereich /staff auf dem Webserver veröffent- licht, optimalerweise via https.

Clients II

Um nun auf die IP-Adresse einer Außenstelle zuzugreifen (hier auf die Außenstelle home10), muß clientseitig nur die Datei dsl-ip.txt vom Webserver angefordert und ausgewertet wer- den:

IP=$(wget --http-user="office10" \ --http-passwd="secret" -O - \ https://foo.bar.com/staff/dsl-ip.txt \ 2> /dev/null |

grep "home10" | cut -d " " -f3,3);

Diese Information kann nun für SSH- Verbindungen, in Skripten und so weiter ausgenützt werden. Natür- lich muß an den Außenstellen ein Dienst in irgend einer Form oder durch Portforwarding aktiv sein, der eine Verbindungsanfrage entgegen- nimmt.

Besitzt man bei einem Provider nur einen Webserver, darf aber darauf keine Shellskripten installieren, kann die beschriebene Vorgehensweise auch serverseitig durch den Einsatz eines PHP-Skripts realisiert werden (Listing fetch-dsl-ip.php auf der CD).

Dieses Skript wird nur bei Bedarf vom Client aufgerufen, beispielsweise per Wget oder in einem Browser.

Webzugriffe auswerten

Die Dateien dslcheck.html und dsl- ip.txt sind natürlich zu ignorieren, wenn die Zugriffe auf den eigenen Webserver beispielsweise mittels web- alizer ausgewertet werden. Die dann resultierenden Zugriffsstatistiken wären doch ein wenig zu optimi- stisch ;-)

Sicher wäre es geschickt, nur dann eine Meldung mit der IP-Informati- on an den Server zu senden, wenn sich die IP-Adresse ändert. Hinter einer DSL-Router-Anbindung wie oben beschrieben ist aber sowohl der Zeitpunkt des Verbindungsneuauf- baus als auch die neue IP-Adresse schwierig zu ermitteln, und vor al- lem ist der Weg, um an diese Infor- mation zu gelangen, bei jedem Sy- stem anders.

Auch DynDNS verwendet eine Ser- ver-Client-Lösung, die in periodischen Intervallen die IP-Information ab- gleicht. Es gibt keine andere prakti- kable und universell einsetzbare Lö- sung, die auf periodischen Verbin- dungsaufbau verzichtet. Die Inter- valle kann man vergrößern (beispiels- weise alle zehn Minuten statt jede Minute), um weniger Einträge in der Webserver-Logdatei zu erzeugen.

Angenommen, zehn Außenstellen ver- fahren gemäß dem obigen Schema.

Dann kommen pro Tag 10 x 1440 x 80 Byte und damit circa 1 MByte an Logdaten zusammen. Soviel ist das auch nicht, zumal ja von beiden Skrip- ten nur ein möglichst kleiner »hin- terer Teil« dieser Daten gelesen wird.

Werden die Logdaten einmal pro Woche beispielsweise mit logrotate komprimiert, ist das nicht der Rede wert. Dabei könnte man gleich noch

die nun überflüssigen Abfragen weg- werfen und/oder die Uptime-Zeit der Verbindung zu den Außenstellen aus- werten.

Die Vorgehensweise mit Shell- oder PHP-Skript haben spezifische Vor- und Nachteile. Die PHP-Variante be- lastet den Webserver nur bei Bedarf, erfordert jedoch eine PHP-Installa- tion. Die Shell-Variante arbeitet mit Unix-Bordmitteln, belastet aber das System mehr. Bekommt eine Außen- stelle eine neue IP-Adresse zugeteilt, dauert es maximal zwei Minuten – in der PHP-Variante sogar nur ma- ximal eine Minute – bis diese Infor- mation wieder für alle Clients zur Verfügung steht.

Bewertung der Lösung

Gibt es aus irgendeinem Grund kei- ne Möglichkeit, CGI- und/oder PHP- Skripten auszuführen, ist das Shell- skript das Mittel der Wahl (häufig soll auch die Installation von PHP vermieden werden). Aus Perfor- mancegründen wertet es analog dem PHP-Skript nicht die gesamte Log- datei aus, sondern holt sich die be- nötigte Information möglichst weit hinten (tail liest definitiv nicht die ganze Datei, PHP springt zum Ende der Logdatei). Weiterhin kann man davon ausgehen, daß das Ende ei- ner Logdatei meist noch im Spei- cher steht, wenn ständig in diese Datei geschrieben wird. Es finden also kaum echte Plattenzugriffe statt.

Fazit

Das beschriebenen Verfahren wird von uns für Remote-Datensicherung und Remote-Zugriff bei Kundensy- stemen eingesetzt. Sowohl die Kun- den als auch unsere Firma sind per DSL-Anschluß mit dynamischen IP- Adressen an das Internet angebun- den. Unser Webserver spielt den zen- tralen Part für die Ermittlung der IP-Adressen. Für einen Kunden si- chern wir beispielsweise jede Nacht seine Daten im Umfang von etwa 16 GByte (hier kommt natürlich rsync

zum Einsatz). u

Referenzen

Jetzt herunterladen ( PDF - 2 Seite - 79.52 KB )

ÄHNLICHE DOKUMENTE

DSLmaxx Business VDSL Connect IP. Leistungsbeschreibung Gültig für alle DSL-Produkte

Gamma ist berechtigt, dem Kunden für jede Störungsbeseitigungsmaßnahme, bei der die Störung im Verantwortungsbereich des Kunden oder eines Dritten lag, für den Gamma nicht

OBEN IST DAS NEUE VORN, WERDE DACHDECKER.

Denn wenn es um erneuerbare Energien und Energiesparen geht, bist du als Dachdecker ganz oben und ganz vorne mit dabei.. MACH

Anonym Surfen. Cookies. IP-Adresse

Der Internetanschluss wird von einem Provider (Internet Service Provider) für einen Zeitraum bereitgestellt (IP-Adresse).. Diesem ist bekannt, welcher Person diese IP-

…das BGM-Team mir die Rechnung als PDF an die oben genannte E-Mail-Adresse…das BGM-Team mir die Rechnung als PDF an die oben genannte E-Mail-Adresse…das BGM-Team mir die Rechnung als PDF an die oben genannte E-Mail- Adresse…das BGM-Team mir die Rechnun

Für alle Kurse des BGM (Präsenz- und Onlinetraining), für die Nutzung der Fitnessgeräteräume und für die SchichtCard können Sie sich online oder per Fax beim

…das BGM-Team mir die Rechnung als PDF an die oben genannte E-Mail- Adresse… BGM- Team mir die Rechnung als PDF an die oben genannte E-Mail-Adresse…das BGM-Team mir die Rechnung als PDF an die oben genannte E-Mail-Adresse…

Im Zentrum steht das Erlernen der Progressiven Muskelrelaxation (PMR) nach Jacobson, ein etabliertes Entspannungsverfahren, das in den 30er Jahren vom Amerikaner Edmund

(March 2005) DSL524TEUA1. DSL-524T ADSL Router User s Guide

What Is Not Cover ed: This limited warranty provided by D-Link does not cover: Products, if in D-Link’s judgment, have been subjected to abuse, accident, alteration,

Zur Klärung eventueller Nachfragen bin ich unter der oben genannten -Adresse, Telefonnummer oder Adresse jederzeit zu erreichen.

Da ich mich weiterhin sehr stark mit meiner deutschen Heimat und der deutschen Kultur identifiziere, viele Kontakte zu Familienmitgliedern und Freunden pflege und eine

DSL-1501G SHDSL Router. User s Guide. First Edition (July 2003)

Configure the WAN Connection Once you are able to access the configuration software you can proceed to change the settings required to establish the SHDSL connection and connect to