E-Smith
Det er faktisk super simpelt at få en server til at køre i hjemmet sammen med en eller flere pc'er via helt almindelig ADSL. Vi har testet det gratis server-styresystem E-Smith i et par måneder sammen med en standard ADSL-løsning fra Tiscali.
Selve serveren kan installeres og konfigureres på under en halv time. Men man slipper ikke for at ændre konfiguration på den router, der følger ADSL-abonnementet. Det er dog ikke så svært. Vi har brugt en Cisco 677, der er meget udbredt blandt danske teleselskaber som CyberCity og Tiscali.
Vi har tidligere omtalt produktet E-Smith, eller SME, som produktet også hedder, som lettest kan betegnes en mere simpel Linux end Linux. E-Smith er nemlig baseret på en Red Hat Linux, men produktet er så ændret, at man skal lede længe for at se, at der ligger noget fra Red Hat under kølerhjelmen.
Det tager under en halv time at installere styresystemet, og man behøver aldrig at se den underliggende Linux eller lære Linux-kommandoer. Alle væsentlige ting kan nemlig fjernstyres via en browser.
E-Smith har slet ikke nogen grafisk brugergrænseflade på selve serveren, fordi det er meningen, at alt skal styres fra andre computere. Vores server har heller ikke nogen skærm, for det behøves ikke. Det betyder også, at det blot fylder et par hundrede megabyte. Man downloader det som ISO-image, som brændes på en cd.
Derefter starter man pc'en med den hjemmefremstillede cd i. Hvis pc'en er så gammel, at den ikke kan starte op fra en cd, må man lave en start-diskette, hvilket også er forklaret på E-Smiths hjemmeside.
Vi installerede styresystemet på en gammel 450 MHz Pentium II med 256 megabyte hukommelse og 10 gigabyte harddisk. Og det er mere end nok til en lille hjemmeserver. Har du ikke en gammel pc til formålet, står ovennævnte højst i et par tusinde kroner brugt. E-Smith kan fungere som gateway med indbygget firewall, men vi valgte server-only under installationen. Den indbyggede firewall er dog ikke en "rigtig" firewall, men hvis man har behov for det, så kan man for eksempel benytte SmoothWall.
Installationen spørger i øvrigt om ganske få ting, der er nærmest selvforklarende. Man skal vælge og indtaste administrator kodeord, domænenavn, servernavn, netkort (findes automatisk), IP-nummer samt type. Sidstnævnte var server-only.
| Installationen af E-Smith er tekst-baseret, men den er meget let at finde ud af. |
E-Smith er ekstrem let at konfigurere, da alt kører, når man starter styresystemet. Man opretter en bruger én gang, og så har han adgang til alle serverprogrammer med samme brugernavn og kodeord. Sletter man ham, er han slettet alle steder.
Når E-Smith starter, er følgende dele kørende:
- Fil- og print-server til Windows- og MacOS-klienter (Samba)
- Webserver (Apache) med PHP og SSL
- Databaseserver (MySQL)
- Mail-server (QMail) med SMTP, POP3, IMAP og web-adgang
- FTP-server (ProFTPD)
- PPTP-server altså VPN-server
- Proxy-server (Squid)
- DNS-server (BIND)
- DHCP-server
- LDAP-server
- Fjernstyring via telnet eller SSH.
Switch
Har man én pc forbundet til internet via en router som Cisco 677, så er der ikke umiddelbart mulighed for at sætte flere pc'er eller en server på. Men det er simpelt og meget billigt at ændre. Man skal bruge en switch eller hub. Vi faldt over en 5-ports switch fra Eten med navnet 5-Ports 10/100 Nway switch, der koster cirka 345 kroner.
Typisk bruges et krydset kabel, hvis man forbinder en router direkte til pc'en, så man skal huske at købe nogle almindelige (ikke-krydsede patch) kabler, hvis man køber en switch. Har man en pc og en server, skal der bruges tre kabler i alt. De kan fås til omkring 10 kroner stykket.
Det krydsede kabel erstattes af det almindelige patch kabel, og så er der fire porte tilbage på switchen. De pc'er og servere, som man har, forbindes til switchen via almindelige patch kabler.
Simple og billige switche som den fra Eten skal slet ikke konfigureres. De kører, så snart man sætter strøm på. Det er kun, hvis man forbinder flere af slagsen sammen, at man skal ændre noget.
Gratis domænenavn
Du kan gå ud og købe et domænenavn som ditnavn.dk for noget, der ligner 60 kroner om året, og få det til at pege på din nye server. Du kan også vælge et gratis alternativ som DynDNS, som vi tidligere har skrevet om.
Her kan du få et navn som ditnavn.dyndns.org helt gratis. Hvis du har ADSL og et fast IP-nummer, skal du vælge Static DNS og ikke Dynamic DNS. Opret kontoen på DynDNS hjemmeside, og tast det IP-nummer ind, som du har fået af dit teleselskab i konfigurationen af DynDNS.
Bemærk, at under konfigurationen af DynDNS behøver du ikke at oprette Mail Exchanger eller Backup MX for at få en mail-server til at køre. Hvis du kun har én server, så er det nok at efterlade dette felt tomt.
Alle e-mail, der bliver sendt til xxx@ditnavn.dyndns.org, kommer til din server.
Det er en god ide at vælge Enable Wildcard, da din webserver så vil virke, uanset om brugerne taster www foran adressen eller ej.
IP-numre
Både Tiscali og Cybercity bruger routeren Cisco 677, men der kan være forskelle på den måde, hvorpå de er konfigureret, når du får den. Det betyder, at du må læse noget af den kryptiske tekst, der følger med omkring programmering af routeren og især NAT-funktionaliteten (Network Address Translation).
Når du har ADSL, kan du få ét fast IP-nummer som 213.234.66.150. Problemet er naturligvis, at det går ikke med flere pc'er eller servere. Løsningen er NAT. Det handler om at dele samme faste IP-nummer mellem flere computere. Internt på dit netværk bruger computerne så et andet adresserum.
Der er nogle adresser på internet, der er reserveret til den slags. Det vil sige, at det er adresser, der ikke kan bruges på internet, men godt kan bruges inde i dit netværk. Det gælder for eksempel de 256 adresser, der ligger i adresserummet 192.168.1.0 til 192.168.1.255.
Det betyder, at du skal give dine pc'er og servere IP-adresser i dette adresserum. Du kan for eksempel give din server adressen 192.168.1.2 og din pc adressen 192.168.1.3. Hvis du har en del pc'er på netværket, kan du vælge at køre DHCP via din E-Smith, så pc'en ikke skal have en foruddefineret adresse. Din router kan i øvrigt også fungere som DHCP-server, hvis du ønsker det.
Windows-klienter skal typisk have at vide, hvilken adresse, som din router (eller gateway) er på. Din router har nemlig også en adresse. Det vil typisk være 192.168.1.1, hvis du bruger dette adresserum. Adressen 192.168.1.0 skal ikke bruges af nogle enheder.
Windows-klienter skal også have at vide, hvor DNS-serverne er henne. Hvis du kører DNS-server på din E-Smith, så kan du vælge din egen server som primær DNS - altså 192.168.1.2. Den sekundære DNS-server kan så være dit teleselskabs DNS-server. Adressen på den står i din dokumentation.
| Her er IP-numrene i Windows' kontrolpanel |
Router
Opsætning af router
Problemet med flere pc'er bag en router som Cisco 677 er følgende: Hvis en bruger ude på internet prøver at få fat i din hjemmeside, så prøver han at åbne port 80 på din router og tale med din webserver.
Men din router ved jo ikke i forvejen, hvilken af dine computere, der er webserver. Derfor bliver man nødt til at fortælle den, at al trafik på port 80 skal dirigeres til din server, hvilket i vores eksempel er 192.168.1.2. Det samme gælder med alle andre serverprogrammer på din server. De står nemlig og lytter på disse porte, og det skal routeren vide.
En Cisco 677 har en web-grænseflade, men den kan ikke bruges til meget. Hvis du vil ændre noget, bliver du nødt til at gå gennem programmet Telnet på din pc. I Windows vælger du Start, Kør og taster Telnet efterfulgt af Enter. Adressen er i vores tilfælde 192.168.1.1. Skriv open 192.168.1.1 og tryk Enter.
Programmet, som du dermed starter, hedder i Ciscos tilfælde cbos. Det spørger om kodeord, hvilket typisk er langt og kryptisk - og kun at finde i de papirer, som du har fået af dit teleselskab.
Når du har logget ind, kan du ikke ændre noget. Du kan kun se data. Hvis du vil ændre NAT-indstillinger, skal du først skrive enable og trykke Enter. Programmet spørger så om kodeordet en gang til.
Nu kan du ændre dine NAT-indstillinger. Logikken bag én NAT-kommando er følgende:
set nat entry add [intern IP] [port] [ekstern IP] [port] [protokol]
Tager vi vores IP-numre fra før, og vil vi åbne for webserveren, så er kommandoen:
set nat entry add 192.168.1.2 80 213.234.66.150 80 tcp
Denne kryptiske kommando betyder, at alt tcp trafik på port 80 til 213.234.66.150 skal omdirigeres til port 80 på 192.168.1.2. Du kan læse mere om dette i denne glimrende artikel fra Cybercity.
Når du er færdig med at ændre din indstillinger, skal de gemmes, og routeren skal genstartes. Det gøres med følgende to kommandoer:
write
reboot
Din FTP-server skal have disse to indstillinger:
set nat entry add 192.168.1.2 20 213.234.66.150 20 tcp
set nat entry add 192.168.1.2 21 213.234.66.150 21 tcp
Din mail-server (indgående via POP3 og udgående via SMTP) skal have disse to:
set nat entry add 192.168.1.2 25 213.234.66.150 25 tcp
set nat entry add 192.168.1.2 110 213.234.66.150 110 tcp
Hvis du vil køre IMAP i stedet for POP3, skal du åbne for port 143:
set nat entry add 192.168.1.2 143 213.234.66.150 143 tcp
Hvis du vil have adgang til din MySQL database-server udefra, skal du gøre følgende:
set nat entry add 192.168.1.2 3306 213.234.66.150 3306 tcp
Hvis du vil have sikre (altså krypterede SSL-sider) på din webserver, skal du også åbne for det:
set nat entry add 192.168.1.2 443 213.234.66.150 443 tcp
set nat entry add 192.168.1.2 443 213.234.66.150 443 udp
Normalt er Telnet deaktiveret på din E-Smith server, for det er alt for usikkert. Telnet bruger i øvrigt port 23. I stedet bør du køre SSH, der er en krypteret version på port 22. Det giver følgende NAT:
set nat entry add 192.168.1.2 22 213.234.66.150 22 tcp
Der er ikke meget at bruge LDAP til med E-Smith på en hjemmeserver, men vil du bruge det, skal du lave følgende indstilling:
set nat entry add 192.168.1.2 389 213.234.66.150 389 tcp
Hvis du vil have VPN (her med protokollen PPTP), hvilket vil sige krypteret adgang til dit interne netværk udefra, så er det noget mere kompliceret. Du skal nemlig åbne for nogle porte, der ikke eksisterer - i hvert fald ikke i dokumentationen.
Vi fik det til at virke med disse fire kommandoer:
set nat entry add 192.168.1.2 1723 213.237.66.150 1723 tcp
set nat entry add 192.168.1.2 1723 213.237.66.150 1723 udp
set nat entry add 192.168.1.2 1723 213.237.66.150 1723 47
set nat entry add 192.168.1.2 0 213.237.66.150 0 47
DNS-serveren skal kun køre på det interne netværk, så den behøver ikke en NAT-indstilling. Det samme gælder proxy-serveren, DHCP-serveren og fil/print-serveren.
Bemærk, at der kan være NAT-indstillinger i din router, når du starter. I vores tilfælde med routeren fra Tiscali var der en indstilling, der reelt bare åbnede for det hele. Det kan du se ved, at der er en stjerne (*) i stedet for porte og protokoller. Den bør slettes, hvis du installerer en server. Man sletter ved at skrive:
set nat entry delete [intern IP] [port] [ekstern IP] [port] [protokol]
Du kan se dine NAT-indstillinger ved at skrive:
show nat
Indstillinger i Windows
Har du konfigureret en server, som vi har beskrevet her, og har du brugt DynDNS, så virker alle serverens programmer fra din pc, hvis du bruger det interne IP-nummer 192.168.1.2 eller adressen ditnavn.dyndns.org.
Du bør altid starte med at oprette en bruger i E-Smith. Du får adgang til serverens web-grænseflade ved at skrive dens IP-nummer efterfulgt af /e-smith-manager/. Brugernavnet er admin, og kodeordet er det, du valgte under installationen.
Din webserver er kørende. Du skal blot skrive enten http://ditnavn.dyndns.org eller http://www.ditnavn.dyndns.org i din browsers adressefelt.
Din mail-server virker også. Hvis du har oprettet brugeren mig med kodeordet kodeord, så kan andre sende e-mail til mig@ditnavn.dyndns.org.
Opsætningen af QMail i E-Smith accepterer ikke det, der kaldes relaying. Det betyder, at du kun kan sende e-mail, hvis du sidder inde på dit eget netværk. Du kan godt læse e-mail andre steder fra, men du kan ikke sende.
Det kan løses ved at bruge web-grænsefladen til postserveren, der også er installeret som standard. Adressen på den er http://ditnavn.dyndns.org/webmail.
På en pc i dit eget netværk skal du oprette en konto i for eksempel Microsoft Outlook Express, hvis du vil læse og sende post på din mail-server. Adressen på indgående POP3 server og udgående SMTP server er IP-nummeret 192.168.1.2 eller adressen ditnavn.dyndns.org. Brugernavn og kodeord er det, du valgte før - i alle E-Smiths serverprogrammer.
Alle brugere har automatisk adgang til E-Smiths filserver, og de har deres egen mappe på den. Kører din almindelige pc Windows, så vil du kunne se din mappe i programmet Stifinder. Bemærk også, at det brugernavn og kodeord, som du valgte under oprettelsen, virker alle steder.
Det gælder også til FTP-serveren. Alle brugere har FTP-adgang til deres egen mappe, og de mapper, der er delt i deres gruppe. Adressen på FTP-serveren er den samme som før: IP-nummeret eller ditnavn.dyndns.org.
Windows har desværre ikke en god indbygget FTP-klient, men du kan hente http://www.pcworld.dk/download.asp?Mode=2&ProgramID=500">Windows Commander her.
| E-Smiths meget brugervenlige web-grænseflade, hvor man kan administrere det meste. |
Avancerede muligheder
E-Smith rummer også en proxy-server, hvilket er en cache, der kan gøre det hurtigere for brugerne at browse på world wide web, fordi serveren gemmer websider og billeder i en buffer. Har du kun én pc, giver det naturligvis ikke meget mening, men det er et godt eksperiment.
Du får din Windows pc til at bruge proxy-serveren ved at vælge Funktioner, Internetindstillinger i Internet Explorer. Klik på forbindelser og klik så på LAN-indstillinger. Vælg brug en proxy-server. Adressen er igen 192.168.1.2, og porten er 3128.
Man kan godt sætte serveren op som det, der hedder transparent proxy, hvilket vil sige, at klienterne ikke skal konfigureres, men tvinges gennem proxy-serveren. Det kræver dog ændring på routeren, hvilket ikke beskrives her.
Du skal aldrig bruge Telnet til at administrere din server udefra, da det er for usikkert. Du skal hellere bruge SSH. Problemet er blot, at Windows ikke har en SSH-klient.
Du kan hente en gratis klient på denne adresse. SSH giver en kommandolinje (eller rettere shell), hvori du kan administrere alt på din E-Smith server. Men det foregår naturligvis med rå Unix-kommandoer. Bemærk i øvrigt, at du skal logge ind som root og bruge det kodeord, som du bruger i webgrænsefladen til selve serveren. Man kan ikke logge ind via SSH som normal bruger.
| Linux' shell eller kommandolinje er ikke ligefrem brugervenlig, men prøv midnight commander via kommandoen mc. Det er en Unix-klone af gamle Norton Commander. |
Nyere versioner af Windows har indbygget VPN-klient via protokollen PPTP, som E-Smith også anvender. Det vil sige, at du på dit arbejde eller andre steder fra kan logge ind på dit hjemmenetværk via en sikker og krypteret linje. Derefter vil du få samme rettigheder, som hvis du sad derhjemme.
Det betyder, at du for eksempel kan administrere din server via web-grænsefladen, du får adgang til dine egne mapper på serveren og du kan sende e-mail direkte fra Outlook.
I Windows 2000 skal du åbne kontrolpanelets Netværks- og opkaldsforbindelser. Vælg opret en ny forbindelse. Vælg opret forbindelse til et privat netværk via internettet. Adressen er ditnavn.dyndns.org, og du skal bruge det brugernavn og kodeord, du oprettede dig selv med. Her kan du ikke bruge det interne IP-nummer, da du forbinder dig udefra.
Hvis du sidder på dit arbejde og ikke kan få adgang til din hjemmeserver, så skyldes det sandsynligvis, at firewall'en på dit arbejde har lukket for de nødvendige porte. Og så er der ingen kære mor, med mindre du kan få systemadministratoren til at åbne for dem. I øvrigt er det ikke nogen god idé at åbne forbindelser mellem forskellige netværk, da det øger de potentielle sikkerhedsrisici. Så sørg for at indhente administratorens velsignelse - før du tester.
hvis du vil arbejde med databasen MySQL fra Windows, så kan du hente et gratis program som http://www.artronic.hr/ ">Artronic.
Et problem med E-Smith er, at de normale E-Smith brugere ikke har adgang til MySQL, og MySQL brugeren root har et ekstremt langt kodeord, der er godt gemt på serveren. Du kan bruge det, men det er noget lettere at oprette en ny bruger - for eksempel med samme brugernavn og kodeord, som du bruger i de andre programmer. Det gøres sådan:
Åbn en SSH session og log på som root. Kør derefter følgende kommandoer:
mysql
grant all privileges on *.* to ditnavn@"%" identified by 'kodeord' with grant option;
exit
Du skal dog være opmærksom på, at denne bruger nu har total kontrol over alle databaser. Han kan slette alt.
Der er som nævnt tidligere ikke meget idé i en LDAP-server på en hjemmeserver med én bruger. Hvis du alligevel vil lege med den, så skal den oprettes i et program som Outlook. Vælg Funktioner, Konti. Vælg Tilføj, Internetadresseliste. Adressen på din LDAP-server er som før ditnavn.dyndns.org.
En detalje, som du skal huske på, er, at der er et problem i mellem LDAP-serveren og Outlook. Hvis du bruger danske tegn som æ, ø og å, får du en ubrugelig fejlbesked i Outlook, når du søger efter personer.
Gode links
Her finder du flere informationer om emnet:
E-Smiths webside.
Anmeldelsen af E-Smith på PC World Online.
Hjælp til at brænde ISO-images på cd.
Gratis domænenavn hos DynDNS.
CyberCitys artikel om NAT med Cisco 677.
Linux-brugergruppen SSLUG har skrevet en række bøger, der ligger online, og som er helt gratis. Der kan man få hjælp til mere avanceret konfiguration af:
Et andet sted at få hjælp på dansk er GnuSkole-projektet. Her kan du læse om:En god http://lifewithqmail.org/">engelsk brugervejledning til QMail.Bemærk, at E-Smith bruger QMail som mailserver og ikke SendMail, som ellers er standard i for eksempel Red Hat Linux. Det betyder, at man ikke kan bruge de mange bøger og online-artikler om Linux på dette område. Det samme gælder FTP-serveren. E-Smith bruger ProFTPD i stedet for wu-ftpd.
