Das BIOS-Setup für IGEL-5/4
Das BIOS-Setup wird mit der “Enf”-Taste erreicht. Es sind einige wichtige Einstellungen zu tätigen:
- Standard CMOS Features
  Datum -- Uhrzeit -- die CF-Karte muss angezeigt werden.
- Advanced BIOS Features
  Quick Power...  Enabled
  First Boot...       USB-CDROM                                      für die Installation
  Second Boot ..  HDD-0
- Intergrated Peripherals
    - VIA OnChip PCI Device
        VIA-3058 AC97 Audio      Desabled                        kein Sound auf dem IPCOP
        VIA_3043 OnChip LAN    Enabled
        Onboard Lan Boot ROM  Disabled                         kein LAN-Boot
        OnChip USB Controller    All Enabled
        OnChip EHCI Controller   Enabled                         USB2 Unterstützung (für Netzkarten)
        USB Emulation                 ON
   - Super IO Device
         Onboard FDC Controller Disabled                         Floppy gibt es nicht
         ...
         Onboard Parallel Port      Disablet                          kein Druckerservice
   - Power Management Setup
         ACPI funktion                   Enabled
         ACPI Suspend Type         S1&S3
         .....
         Ac Loss Auto Restart       On                                    automatisches Einschalte nach Stromausfall
             - IRQ/Event Activity Detect                                   für WOL
                   ....
                   PowerOn by PCI Card       Enabled                 aktiv für Wake On Lan (WOL)
   - PnP/PCI Configurations
          PNP OS Installed                 Yes
          Reset Configuration Data    Enabled                        schlatet nach dem Neustart wieder ab
 

Die Installation des IPCOP
Zur Installation kann man ein aktuelles CD-Image aus dem Internet unter http://www.ipcop.org/download.php herunterladen. Es ist darauf zu achten die Version 2.x.x auszuwählen. Die 1.x.x-Version ist veraltet. Das heruntergeladene Image wird auf CD gebrannt und von dieser CD mit einem USB-CDROM gestartet. Eine umfangreiche Anleitung finden Sie unter http://www.ipcop-forum.de/dokumentation.php , auch hier wieder auf die Version 2.x.x achten. Es macht auch nötig sich im Forum anzumelden, da mann dann Zugriff auf den Downloadbereich für die nötigen zusätzlichen Module erhält. Weiterhin kann man damit das Forum mit umfangreichen Informationen nutzen.
Die Installation gestaltet sich sehr einfach und ist in der Installationsanleitung hervorragend beschrieben. Man beantwortet die Fragen und nach ca. 10 Minuten ist das Grundsystem installiert.
Um das System an die eigenen Bedingungen anzupassen werden noch einige “ADDONs” benötigt, die unter http://www.cobin.org/binary-v2.php zu finden sind.
- mc die Dateiverwaltung Midnight Commander
- openssh sichere Terminalverbindung zur Verwaltung des IPCOP
- rsync Software für die Backupverbindung zum Backupserver
http://www.ban-solms.de/t/IPCop.html zu finden sind
- Wake On Lan  zum einschalten von Computern über WOL
- digitemp Temperaturmessung mit DS1820 extern über COM-Schnittstelle
Die genannten ADDONs läd man auf einen USB-Stick, wobei das MC-ADDON schon entpackt werden sollte. Nach dem Einstecken des USB-Stick im IGEL-Terminal kann mit “mount /dev/sda1 /mnt” der USB-Stick gemoutet werden. Mit “cd /mnt/mc<TAB> Enter” geht man in das MC-Verzeichnis. Die Installation des MC erfolgt mit
“./install -i”. Nun kann der MidnightCommander mit “mc” gestartet werden und die weiteren ADDONs entpackt und ebenfalls mit “./install -i” installiert werden.

Abschließende Installation
ssh, Fernsteuerung und Time-Server aktivieren
Zur Aktivierung von SSH und den ersten Einstellungen stellt man an der Konsole des IPCOP das rote Segment auf eine freie Adresse und das Gateway, sowie den DNS-Server entsprechend dem vorhandenen Netzwerkes ein.
Das grüne Segment bekommt ein eigenes Netzwerk an das dann ein Computer zur ersten Konfiguration angeschlossen wird.
Die weitere Installation erfolgt mit Hilfe eines Browsers über “https://<IP-ADRESSE>:8443”. Im Browser muss dann ein Sicherheitszertifikat hinzugefügt werden und Benutzername “admin” und das Passwort angegeben werden. In den folgenden Internetseiten erfolgt die restliche Installation und die Konfiguration des IPCOP.
Es sollten als erstes die Updates gemacht werden über “SYSTEM > UPDATE”, um den IPCOP auf den neuesten Stand zu bringen.
Nun sollte man SSH aktivieren (“SYSTEM > SSH-ZUGRIFF”). Es werden der SSH-Zugriff an sich und neben “Version 1...” alle Optionen markiert.
Für eine Fernsteuerung aus dem Internet muß die Firewall angepasst werden.
Über “FIREWALL > FIREWALL REGELN” wird auf der Karte “Zugriff von extern auf IPCOP” eine Regel hinzugefügt (Bild 3). Die Quelle steht richtig auf “ROT” und “any”. Das Ziel wird auf “Standarddienste” > “IPCop ssh (8022)” gesetzt und abgespeichert. Es erfolgt eine Warnung, die man einfach akzeptiert, denn die Firewall wurde ja gerade geöffnet.
Eine weitere wichtige Einstellung ist der Time-Server unter “DIENSTE > ZEITSERVER”. Die korrekte Zeit ist in einem Netzwek sehr wichtig. Es wird der Zeitserver markiert und man kann als 1. Server
“0.ptbtime1.ptb.de” aus Braunschweig eintragen. Die weiteren zwei Server können belassen werden.

Einrichtung sicherer SSH-Zugriff mit Schlüsseln
Der einfache SSH-Zugriff mit Benutzername/Passwort ist für den Betrieb am Internet zu unsicher, deshalb wird der Zugang auf die Nutzung mit privatem und öffentlichem Schlüssel umgestellt. Dazu wird ein Schlüsselpaar erzeugt.
Es wird zunächst mit “mkdir /root/.ssh/” das Verzeichnis für die SSH-Schlüssel erzeugt. Nach “cd /root/.ssh”  wird der Schlüssel mit “ssh-keygen -t rsa -b 2048” erzeugt und das Schlüsselpaar als id_rsa und id_rsa.pub abgelegt. Das angeforderte Passwort sollte Zahlen, Buchstaben und Sonderzeichen enthalten und mindestens 12 Zeichen lang sein. Mit “cat ./id_rsa.pub >> ./authorized_keys” wird der öffentliche Schüssel an das Schlüsselbund “authorized_keys” angehangen.
 Der private Key wird auf den Computer übertragen, von dem aus auf den IPCOP zugegriffen werden soll und danach auf dem IPCOP aus Sicherheitsgründen gelöscht werden. Auf einem Linuxcomputer kann der private Key nun zur Authentifizierung verwendet werden. Auf einem Windows-PC muss der Key, zur Verwendung mit PUTTY, noch mit “puttygen” konvertiert und abgespeichert werden.

Zugriff von einem Windows-PC vom “roten Segment” auf IPCOP
Für den SSH-Zugriff von einem Windows-PC aus kann man für einen Test in der Konfiguration von Bild 2 arbeiten. Das rote Segment ist auf DHCP oder eine feste Adresse eingestellt. Als Software wird das Programm “putty” verwendet.
Es wird die IP-Adresse des roten Segments angegeben, das SSH-Port lautet auf 8022. Die Einstallungen bekommen einen Namen und werden abgespeichert (Bild 3).

Weiterhin wird unter der Rubrik “SSH” “”auth” markiert und dort der “Private key file for authentication” eingetragen. Da dieser Key mit dem Passwort über die Sicherheit des Zugangs entscheidet sollte man den auf einem USB-Stick oder in einem verschlüsselten Bereich
(siehe WindowsClient) ablegen.





Um auf die Browseroberfläche des IPCOP zugreifen zu können, muss noch ein Tunnel erzeugt werden. Der Tunnel verweist auf das grüne Segment (hier 192.168.50.249) mit dem IPCOP-Port 8443. Als SourcePort auf dem localen Computer kann man ebenfalls dieses Port angeben (nicht zwingend). Der Aufruf im Browser auf dem lokalen Computer lautet dann “http://localhost:8443”. Nach Eingabe von Benutzername/Passwort kann nun auf der Browseroberfläche des IPCOP gearbeitet werden.

Restabeiten
Nun können die USB-Ethernetadapter angeschlossen werden und an der Konsole des IPCOP mit “setup” die neuen Adapter eingebunden werden. Es ist der richtige Internetzugang (PPPOE, feste IP, DHCP usw.) für das rote Segment zu Installieren und zu konfigurieren.
Es wird nun auch den örtlichen Gegebenheiten entsprechend der eigentliche Internetzugang über “setup” und die Menüpunkte “ Netzwerkkonfiguratin < Verbindungsart für ROT”  an der Konsole des IPCOP vobereitet. Dann wird bei Bedarf der Zugag über die Browseroberfläche konfiguriert.
 Weitere Einstellungen werden bei der Installation der Serverkomponenten beschrieben.

Alle Schritte sind in der Dokumentation so gut beschrieben, dass die Installation auch Computereinsteigern mit einem Grundwissen gelingen sollte.