【圖解教學】 免費路由器 IPCOP (含proxy功能)

[bayern]

那如果RED介面的網卡已經用作pppoe來連接ADSL,那怎樣辦?
需要加裝一張網卡嗎?

[shung0116]

不好意思，這是有關gateway及mail的使用問題(在ipcop server環境下)，如果使用者電腦設定為自動取得ip，它的gateway會抓取到ipcop server的ip，比方為192.168.3.151，但是在這種情況下，它沒辦法連結到我們公司的mailserver，我解決方式是使用把ip改為指定ip方式，比方指定A電腦(NOTEBOOK)為192.168.3.199，gateway則指定為兩個，一個為ipcop server的ip：192.168.3.151，另外一個設為MAILSERVER內部IP：192.168.3.1，如此不知道是否會影響到Ipcop server的proxy 功能呢？
可是這樣的設定雖能夠上網且能收發信，但是會有個情況，當A使用者把它的NOTEBOOK拿到別的位置的網路線來上網時，就沒辦法上網了。他必須把IP從新改為自動取得IP，並且從新執行ipconfig/release→ipconfig/renew的動作，是否有其他方式可讓A電腦不管在那各位置都能使用單一設定來上網呢？
煩請各位學長指點
謝謝

[linux_xp]

不好意思，這是有關gateway及mail的使用問題(在ipcop server環境下)，如果使用者電腦設定為自動取得ip，它的gateway會抓取到ipcop server的ip，比方為192.168.3.151，但是在這種情況下，它沒辦法連結到我們公司的mailserver，我解決方式是使用把ip改為指定ip方式，比方指定A電腦(NOTEBOOK)為192.168.3.199，gateway則指定為兩個，一個為ipcop server的ip：192.168.3.151，另外一個設為MAILSERVER內部IP：192.168.3.1，如此不知道是否會影響到Ipcop server的proxy 功能呢？
可是這樣的設定雖能夠上網且能收發信，但是會有個情況，當A使用者把它的NOTEBOOK拿到別的位置的網路線來上網時，就沒辦法上網了。他必須把IP從新改為自動取得IP，並且從新執行ipconfig/release→ipconfig/renew的動作，是否有其他方式可讓A電腦不管在那各位置都能使用單一設定來上網呢？
煩請各位學長指點
謝謝

假設子網遮罩都是 255.255.255.0

IPCOP(預設閘道)：192.168.3.151
MAIL server：192.168.3.1
區網內由DHCP指派的IP網段介於：192.168.3.0/255.255.255.0

理論上，區網內的電腦，要連接 mail server
封包是不需要上閘道器的
換句話說，就算gateway留空白，照樣可以連上區網內電腦主機
因為都是在同網段內(區網內)

但是這有一個前提
就是區網內電腦，和mail server
網路線都插在邏輯上為同一部的 swich (交換器)或 HUB

由敘述來看，判斷有幾個可能性：

1.
貴公司網路架構本身就有問題
可能是使用了多部 HUB，亂接一通
例如：一個樓層一台HUB，或一個房間一個HUB

在由 HUB組成的網路架構中，必須遵守「543原則」

語法:

# 區域網路上面，節點或者其他的設備太多，過去我們常以所謂的 543 原則來說明：

    * 5個網段(segment)。所謂segment就在物理連接上最接近的一組電腦﹐在一個BNC網段裡面最多只能接30台電腦﹐且網線總長不能超過185m。
    * 4個增益器(repeater)。也就是將信號放大的裝置。
    * 3個電腦群體(population)。這個不好理解﹐也就是說前面所說的5個segment之中﹐只能有3個可以裝電腦﹐其它兩個不行。

http://linux.vbird.org/linux_server/...ct_network.php

若違反這個原則
一般來說，網路一樣可以通，但是封包的走向會很亂
會有大量的封包碰撞，減低網路效能
或是封包到達不了區網內某些主機的情況產生

解決方法：強制靜態路由

如同前面幾篇所述的 IPCOP 內建有 route 這個指令
可以讓使用者自行設定「靜態路由」

關於 route 的用法，請參考鳥哥的網站

2.
mail server 本身有自帶防火牆，把一些區網內的IP deny掉了，導致連不進去，若是這個因素，修改防火牆規則即可。

3.
DNS 的問題
例如要開mail時，是使用 mail.xxxx.com.tw 這種網址
但是要了解，所謂的 mail.xxxx.com.tw，是由DNS server去解析的
DNS解析出來的，絕對不會是 192.168.3.1這種私人IP
它一定是真實IP，也就是ADSL的固定IP，所以封包會上閘道器
而上了閘道器之後，閘道器卻發現這個IP就是它自己本身
除非在DNS上，mail server有另外取別名
否則這個封包是無法到達內部mail server的

這個問題牽涉到 DNS，要自行架設 DNS server才能解決
最簡單的辦法就是
要連mail server時候，不要打網址的，直接打IP
在pop3內送及外寄的欄位，就直接打 192.168.3.1，這樣就行了
如此便不會遷涉到DNS解析的問題

[attack-max]

1. 543 原則只適用於早期 BNC RG58 bus 佈線法之同軸電纜線路
此規則與現今之 RJ45 絞線線路無關


3. 請多善用 Local Hosts 功能
當區網無 DNS 可做解析時, 路由器都有提供此項基本功能
不想讓區網笨笨的由 WAN 再轉 LAN 繞一圈連入
IPCOP 的設定請至 Current hosts 設定

將區網內需要解析的各 Server 或 Client 填入後
記得把路由器 DHCP DNS 第一順位主機指向 Router LAN IP
第二順位再指向 ISP 之 DNS 主機
如此不用大費周章的架設 DNS 主機, 且 Client 端都乖乖在區網直接連線區域 Server

[shung0116]

不好意思，目前也遇到兩種奇怪的情況，
狀況一：https://192.168.3.151:445/要連結到ipcop server，有時候可以連，有時候又不能連接了，但是我ping 其ip都是有回應的，我需要把ipcop從新開機後，才又可以連

狀況二：這是防火牆的設定問題，主要是跟我的網路結構有關係，如下所述
ADSL→IP SHARING(WMS2208R：以MAILSERVER當IP分享器：192.168.3.1)→Client PC 2F A部門→Switch HUB→Client PC 2F B部門→Switch HUB→Client PC 1F C部門→Switch HUB→Client PC 及IPCOP SERVER
或許各位學長會問說為什麼需要用到那麼多hub，這跟電腦的位置及建築物的結構有關係，為什麼要用mail server來當ip 分享器呢？因為我們是跟外面廠商買的server，它的位置剛好是放在ADSL出來的位置，
我的防火牆是設定在ip sharing(192.168.3.1)上，設定規則主要是針對1樓電腦來設置，如果說我讓使用者自動取得IP，gateway會抓到192.168.3.151(Ipcop server)，如此會造成我設定在192.168.3.1的防火牆完成失去作用
是否有什麼方式可以避面這樣的狀況呢？
謝謝

[bayern]

想問IPCOP的VPN問題,因為我現在看到的vpn狀態是關閉的,上次linux_xp大大說過RED介面要改成PPTP.我照著改了,但是vpn狀態依然是關閉

[shung0116]

不好意思，針對此下列狀況在此再跟各位學長討論
問題：https://192.168.3.151:445/要連結到ipcop server，有時候可以連，有時候又不能連接了，但是我ping 其ip都是有回應的

我在討論區找到的回覆如下所述
→為何無法連接到IPcop的Web管理介面?
IPcop的Web管理介面,預設僅允許內部網路連接，若要透過外部連接,來使用IPcop的Web管理介面則需要開啟防火牆-->外部連接,增加兩條連線規則
填入來源IP位置與目的地81連接埠以及目的地445連接埠
(註：後來我有作這個設定了)

可是還是有時候能連結，有時候又不能連結了，有時候連結的時候，是到第2個畫面，如下所示

按下是 按鈕後過不到幾秒鐘後，就出現找不到伺服器或dns錯誤的訊息(但仍然是ping的到該網址的)，或者第2的畫面沒出現，就直接出現找不到server或dns錯誤的訊息

我目前的設定如下：
使用兩片網路卡，接在同一個hub上


RED 部份如下所示



(註：default gateway為ip sharing的ip)

至於Green的部份，則是設定如下
ip:192.168.3.151
Submask:255.255.255.0

至少到目前為止，實在不知道為什麼有時候能連，有時候不能連，就算我使用putty的ssh連線，也是有時候能夠連結，但是有時候又不行了
煩請各位學長指點
謝謝

[linux_xp]

無法從遠端登入 IPCOP
最主要的問題，是因為被 IPCOP 的防火牆擋住了
IPCOP 的防火牆規則，預設會丟棄所有封包
在 WEB管理介面，[防火牆] - [外部連接/訪問] 中
要新增兩條規則，允許 port 222,445 進入
才不會出現這個問題

但是已經無法遠端登入了，要如何解決呢？
必須從「本機」下指令，把防火牆規則全部清空：

清空 iptables 所有規則，並關閉防火牆：
(註：指令大小寫，是有差別的)

語法:

iptables -P INPUT ACCEPT
iptables -P OUTPUT ACCEPT
iptables -P FORWARD ACCEPT
iptables -t filter -F
iptables -t nat -F
iptables -t filter -X
iptables -t nat -X

清空防火牆規則後，就可以用web管理介面登入了

至於 VPN，因為小弟沒用過VPN的環境，所以不太清楚
可以到 IPCOP 繁體中文研究站
問問看，說不定會有解答

[shung0116]

不好意思，關於attack-max學長所說的，在此跟各位學長確認我的想法是否正確，如下圖所示


且我發現proxy的作用好像沒有我想像中好，因為我原本以會藉由proxy功能來加快區網電腦的上網速度及記錄區網電腦上網記錄，可是今天測試後，連結有些網站都會有停頓現象，這是否跟我的網路環境有關係呢？
煩請各位學長指點
謝謝

[shung0116]

不好意思，再請教各位學長，我再IPCOP中文討論區中看到的文章內容說明，如下所述
1.使用Web管理介面,網頁有時會是空白?
→請找到httpd.config設定檔
httpd.config設定檔是放在/etc/httpd/conf/目錄下
加入AddDefaultCharset utf-8這段文字到httpd.conf檔案裡面
最後重新啟動IPcop主機
可是我們在WIN系列的作業系統裡，要切換資料匣是用cd\資料匣名稱，如果要編輯檔案是用edit或直接使用文字檔編輯，那麼在IPCOP中，要如何來切換其編輯檔案內容呢？

2.IPcop的Web管理介面如何中文化?
→將這兩個檔案上傳至IPcop主機的/var/ipcop/langs目錄下
在WIN系統中是使用ftp或直接經由網芳來把檔案作上傳更新動作，那在IPCOP中，要如何來直行這個動作呢？(我第一個想到的是會不會是用SSH或PUTTY呢)
煩請各位學長指點
謝謝