Technical Note #006 Auteur: Sander Temme Gemaakt op: 18 juni 1998 Bijgewerkt op: 11 februari 2000
Ongewenste DoD verbindingen met de Netopia De ISDN-versie van de Netopia Internet Router belt uit zodra er dataverkeer is voor een remote LAN of het Internet. Misverstanden over wat wel- en niet geldig dataverkeer is kunnen een hoge telefoonrekening tot gevolg hebben. In deze Technical Note een aantal tips om het uitbelgedrag van de Netopia Internet router binnen de perken te houden.
Inleiding Elke ISDN Netopia router kan werken met Dial on Demand (DoD). Dit betekent dat de Netopia uitbelt zodra hij constateert dat er netwerkverkeer wordt aangeboden voor een remote LAN of voor het Internet. Het kan voorkomen dat de Netopia dataverkeer fout interpreteert, waardoor hij uitbelt terwijl dat niet nodig is. Als dit vaak voorkomt, kan de telefoonrekening hoog oplopen. In deze Technical Note staat een aantal tips om dit ongewenst uitbelgedrag aan banden te leggen. Zie ook Technical Note #017: Verhelpen van problemen met Dial on
Demand Deze Technical Note behandelt: 1. Ongewenst uitbellen door Windows computers. 2. Ongewenste Appletalk-verbindingen door Quark Xpress. 3. DNS lookups. 4. Gebruik van IP-adresreeksen. 5. Appleshare verbinding houdt de lijn open. 6. TCP/IP verbinding houdt de lijn open. 7. Scheduled calls 8. Call windows en call accounting (firmware 3.2 of hoger). Om een vlotte behandeling mogelijk te maken vooronderstellen we kennis van de betreffende operating systems. Disclaimer Deze Technical Note heeft niet de pretentie volledig te zijn. Aan de verstrekte informatie of het ontbreken daarvan kunnen geen rechten worden ontleend.
Ongewenst uitbellen door Windows computers Dit probleem wordt veroorzaakt door het gebruik van Netbios over TCP/IP. Netbios is door IBM ontwikkeld en wordt door Microsoft gebruikt voor netwerkfaciliteiten voor Windows en Windows NT. Het probleem ontstaat wanneer client of server gaan broadcasten. Een broadcast is een efficiente manier om een datapakketje naar alle computers op het netwerk tegelijk te sturen. Het broadcast–adres voor een netwerk is in principe het hoogste hostnummer. Probeert een computer een nog hoger IP-adres aan te
2
TopIT Technical Note: Ongewenste DoD verbindingen met de Netopia +-#---Source IP Addr---Dest IP Addr-----Proto-Src.Port-D.Port--On?-Fwd-+ +----------------------------------------------------------------------+ | 1 0.0.0.0 0.0.0.0 UDP NC =137 Yes No | | 2 0.0.0.0 0.0.0.0 UDP NC =138 Yes No | | |
Figuur 1
sturen, dan ziet de Netopia dit als verkeer buiten het eigen netwerk, en opent een ISDNverbinding. Voor dit probleem bestaan verschillende oplossingen: 1. Verbreek de binding tussen de Client voor Microsoft Netwerken en het TCP/IP protocol. Dit is minder gek dan het lijkt, want als u op het netwerk geen file service gebruikt of u gebruikt hiervoor Netware, dan heeft die Client voor Microsoft Netwerken niets te zoeken op het TCP/IP protocol. Als u de netwerkverbinding met een NT-server wel over TCP/IP laat lopen, bent u aangewezen op een andere oplossing. 2. Maak een IP Filter Set (firewall) en verbind die met elk Netopia Connection Profile waar TCP/IP over loopt. Deze filter set bevat twee Outgoing filters, respectievelijk voor UDP poort 137 en 138. Het lijstje outgoing filters ziet er uit als in Figuur 1. Voordeel van deze techniek is, dat de instellingen van een individueel werkstation geen problemen kan veroorzaken. Nadeel is dat een LAN to LAN koppeling van Windows NT-netwerken niet mogelijk is, omdat we hier precies de service afvangen waarom het allemaal gaat. Om de verbindingskosten in de hand te houden bent u hier aangewezen op call schedules (zie pagina 4). Dit probleem wordt behandeld in Netopia Technical Note nummer NIR_025. Waar u die vindt staat op pagina 5.
Ongewenste Appletalk-verbindingen door Quark Xpress (alleen PN450) Quark Xpress is (meestal) beveiligd met een dongle. Naast deze beveiliging gaat het op het Appletalk-netwerk op zoek naar andere Xpressen met hetzelfde serienummer. Hierbij beperkt het zich niet tot de lokale zone: ook zones achter een ISDN-verbinding zijn niet veilig. Nu is Xpress niet het enige programma dat naar serienummers zoekt: Photoshop en Filemaker doen dit bijvoorbeeld ook. Het verschil is dat Xpress af en toe opnieuw verifieert of er geen gelijke serienummers actief zijn. Elke keer gaat opnieuw de AURPverbinding open. Dit probleem is zo storend dat Netopia in firmware 3.1.3c een Appletalk filter heeft opgenomen dat voorkomt dat Quark Xpress telkens de ISDN-verbinding opent. Upgrades naar nieuwe firmware zijn gratis; in de handleiding van de Netopia staat hoe die geinstalleerd kunnen worden. Dit probleem wordt behandeld in Netopia Technical Note nummer NIR_029. Waar u die vindt staat op pagina 5.
DNS lookups Domain Name Service is een wereldwijde database die machine-namen aan IP-adressen koppelt. Omdat de meeste sites, waar een Netopia geïnstalleerd is, geen eigen name server draaien, wordt op de werkstations meestal gebruik gemaakt van de name server(s) van de Internetprovider. Voor gewoon websurfen is dit niet erg, omdat DNS queries altijd gevolgd worden door een http-request naar de webserver waarvan net het IP-adres is opgezocht.
2/11/00 2:18 PM
Sander Temme
TopIT Technical Note: Ongewenste DoD verbindingen met de Netopia
3
Lokaal kunnen wel problemen optreden, bijvoorbeeld met Windows PC’s en SMTP mail. In de Netwerk-setup van Windows moet naast het IP-adres van een DNS-server ook een eigen hostname ingevuld worden. Anders wil dat dialoogvenstertje niet dicht. Wordt nu vanaf die PC contact gelegd met een SMTP-server, dan meldt de PC zich met het SMTPcommando HELO
. De mailserver gaat vervolgens proberen die naam te verifiëren bij een DNS… van de Internetprovider die van die hele PC–laat staan zijn naam–nog nooit gehoord heeft! Dit is zonde van de verbindingskosten en het kost nog extra tijd ook, want de PC moet wachten tot de DNS query op de mailserver door zijn time-out heen is. Een Macintosh heeft geen last van dit probleem omdat’ie zijn eigen hostname niet kent. De oplossing voor dit probleem is een lokale nameserver installeren of een Hosts file te gebruiken op de mailserver. In die Hosts file komen dan de namen van alle PC’s, gekoppeld aan het IP-adres. Het formaat van de hosts file verschilt per platform. Op de Macintosh is het formaat door Apple vastgelegd in TIL article 19646. Op Windows PC’s staat het in het bestand C:\WINDOWS\HOSTS.SAM. Als u een lokale nameserver installeert, kunt u een zone maken met daarin de namen en IPadressen van alle lokale machines. U kunt deze nameserver ook als cache gebruiken, wat de belasting van de Internetverbinding vermindert en de responsetijd kan verhogen. MacDNS van Apple is hier een uitstekende oplossing voor; een URL staat op pagina 5. Voor andere platforms bestaat ongetwijfeld ook DNS software.
Gebruik van IP-adresreeksen Het is van belang dat op het LAN consequent dezelfde adresreeks gebruikt wordt. De Netopia bepaalt namelijk op basis van de bestemming van TCP/IP-dataverkeer of er uitgebeld moet worden. De adresreeks die de Netopia als lokaal beschouwt wordt bepaald door de combinatie van Ethernet IP-adres en het bijbehorende subnet-mask. Dit probleem laat zich het best uitleggen aan de hand van een voorbeeld: ik ben ooit een situatie tegengekomen waarin de Netopia het adres 102.168.10.1 had met netmask 255.255.255.0. Elders op het netwerk draaide een Filemaker server met IP-adres 193.0.0.1. De clients die met die Filemaker server moesten communiceren hadden adressen 193.0.0.2 t/m 7. En die Netopia maar bellen, want alle verkeer tussen Filemaker server en –clients zag hij als extern verkeer. Zorg dat dit soort onzin op uw netwerk niet voorkomt. Als op het netwerk al een IP-reeks gebruikt wordt, pas de Netopia daar dan in. Krijgt u IP-adressen van de ISP, houd u daar aan. Zijn er niet genoeg IP-adressen voorhanden, vraag de ISP om een groter blok. Krijgt u geen adressen van de ISP, kies dan voor één van de speciale offline adresblokken. Deze zijn: 10.0.0.0 172.16.0.0 192.168.0.0
-
10.255.255.255 172.31.255.255 192.168.255.255
Deze adresbereiken zijn vastgelegd in RFC 1597 (zie pagina 5). Een goede verhandeling over TCP/IP adressering staat in de Reference Manual van de Netopia.
Appleshare verbinding houdt de lijn open Tussen een Appleshare server en een –client gaan regelmatig ‘keep-alive’ pakketjes heen en weer. Als de server aan de ene, en de client aan de andere kant van een AURP-tunnel tussen twee ISDN Netopia’s staat, blijft de ISDN-lijn open zo lang een server-volume bij Sander Temme
2/11/00 2:18 PM
4
TopIT Technical Note: Ongewenste DoD verbindingen met de Netopia
de client op het bureaublad staat. De enige oplossing hiervoor is het server-volume te unmounten zodra er geen gebruik meer van gemaakt wordt. Er bestaat een extensie die dit automatisch doet: The Unmounter. Een URL staat op pagina 5. Dit programma wordt niet ondersteund door TopIT of Netopia. Dit probleem is aan de orde met zowel de oude Appleshare over Appletalk en samengebruik tussen Macs onderling als de nieuwe Appleshare IP. Ook andere Appletalkverbindingen kunnen dit probleem veroorzaken.
TCP/IP verbinding houdt de lijn open Ook TCP/IP programma’s kunnen een verbinding in stand houden. Een screensaver als Pointcast kan continu een verbinding onderhouden met de server. Een verbinding tussen een Filemaker Pro client en dito server betekent ook een open TCP/IP socket, wat vooral vervelend is voor thuiswerkers. Dit kan niet worden verholpen behalve door een backup/synchronize constructie te ontwikkelen met Filemaker databases. Andere producten (bijvoorbeeld Omnis client met Openbase server) houden geen continue verbinding met de server. Als Netscape Navigator op de Mac afgesloten wordt, maakt het opnieuw verbinding met de laatst bezochte server. Ook dit kan een ongewenste dial-out tot gevolg hebben, maar ook hier is erg weinig tegen te doen.
Scheduled calls Onrustig geworden door al die doemverhalen over DoD? De Netopia kan werken met Scheduled Connections, verbindingen die volgens een vast rooster worden opgebouwd. Zo kunt u kiezen om bijvoorbeeld om negen uur in te bellen, en om vijf uur s’middags weer neer te leggen. Dit kost u dan, uitgaande van een lokaal gesprek, Fl. 26,88 per dag1, oftewel Fl. 537,60 op maandbasis. Hoger wordt die telefoonrekening niet, want het connection profile staat niet op Dial on Demand. Nadeel is dat buiten die Scheduled Connection tijd geen verbinding gemaakt kan worden, tenzij die op de webpagina of console van de Netopia met de hand gestart wordt. Hoe u scheduled connections configureert staat op pagina 2.49 van de Netopia Reference Manual.
Call windows en call accounting (firmware 3.2 of hoger) Firmware 3.2 bereidt de Scheduled Calls functie uit met demand-allowed en demandblocked periode. Wie op wil vallen op verjaardagen noemt zoiets een call window, op dezelfde manier als de NASA praat over launch windows. Als u een scheduled connection maakt met een demand-allowed periode, kan op dat connection profile binnen die tijdsperiode een DoD verbinding gemaakt worden, buiten dat call window is dat niet mogelijk. Tenslotte biedt firmware 3.2 of hoger de mogelijkheid om het aantal telefoontjes en de duur daarvan bij te houden. U kunt ook een maandelijkse limiet instellen voor gebruik van de telefoonlijn: bij overschrijden van de limiet gaat de ISDN-interface op slot tot u met telnet of een terminalprogramma de teller weer op nul zet.
1
Bron: telefoonboek PTT Telecom mei 1997. Exclusief BTW, verder ontken ik elke betrokkenheid.
2/11/00 2:18 PM
Sander Temme
TopIT Technical Note: Ongewenste DoD verbindingen met de Netopia
5
Relevante Technical Notes en lectuur URL voor het downloaden van MacDNS: ftp://ftp.info.apple.com/Apple_Support_Area/Apple_Software_Updates/US/Macintosh/ Networking-Communications/Other_N-C/MacDNS_1.0.3.sea.bin TIL article over de Hosts file op een Mac: open http://www.apple.com/til/ en doe een Article ID query naar nummer 19646. De titel is TCP/IP Control Panel: Syntax of Hosts File. De Netopia Reference Manual staat op de Netopia Bonus CD als PDF (Adobe Acrobat) document. De nieuwste versie staat op http://www.netopia.com/support/technotes/hardware/dialup/netrregu.pdf Een aantal Netopia Technical Notes staat ook op de Netopia Bonus CD, maar de hele collectie is te vinden op http://www.netopia.com/support/technotes/hardware/ . Het gebruik van NetBIOS over TCP/IP wordt gedefiniëerd in: 1001 Protocol standard for a NetBIOS service on a TCP/UDP transport: Concepts and methods. NetBIOS Working Group. Defense Advanced Research Projects Agency, Internet Activities Board, End-to-End Services Task Force. Mar-01-1987. (Format: TXT=158437 bytes) (Status: STANDARD) RFC 1002 Protocol standard for a NetBIOS service on a TCP/UDP transport: Detailed specifications. NetBIOS Working Group. Defense Advanced Research Projects Agency, Internet Activities Board, End-to-End Services Task Force. Mar-01-1987. (Format: TXT=170262 bytes) (Status: STANDARD) Het document dat de offline adresreeksen definieert is: RFC 1597 Address Allocation for Private Internets. Y. Rekhter, B. Moskowitz, D. Karrenberg & G. de Groot. March 1994. (Format: TXT=17430 bytes) (Obsoleted by BCP0005, RFC1918) (Status: INFORMATIONAL) Alle numerieke informatie met betrekking tot protocol- en service-nummers staan in: RFC 1700 ASSIGNED NUMBERS. J. Reynolds,J. Postel. October 1994. (Format: TXT=458860 bytes) (Obsoletes RFC1340) (Also STD0002) (Status: STANDARD) U kunt de volledige RFC collectie vinden op ftp://ftp.ripe.net/rfc/ . Er zijn er meer dan 2300. De Unmounter agent kunt u vinden op http://www.douwere.com/shareware/
Sander Temme
2/11/00 2:18 PM