Erste Erfahrungen mit ADSL zuhause
Transcription
Erste Erfahrungen mit ADSL zuhause
UniAccess PC-Praxis Internet Unix etc. | Suchen | zum Inhalt von ZInfo Erste Erfahrungen mit ADSL zuhause Vom Kabelinternet zu ADSL Als Ende November wieder einmal eine Vertragsänderung von Cablecom für den Hispeed-Anschluss ins Haus flatterte, entschloss ich mich, die letzte Gelegenheit zu einer kurzfristigen Kündigung zu nutzen. Mein Wunsch, eine unveränderliche (fixe), öffentliche IP-Adresse für meinen Anschluss zu erhalten, wäre nämlich bei Cablecom nur für sehr viel Geld im Monat in Erfüllung gegangen. Glücklicherweise herrscht aber im Gegensatz zu den Kabelinternet-Anbietern, welche ein lokales Monopol haben (bei mir eben Cablecom), bei den ADSLAnbietern ein gewisser Wettbewerb. Zwar wird die Leitung durch Swisscom eingerichtet, aber das Abonnement und der effektive Zugang läuft über einen von verschiedenen Internet-Providern, die man in der ganzen Schweiz frei wählen kann (siehe www.enter-adsl.ch und www.comparis.ch für die Providerauswahl). Mit dem ADSL-Check von Swisscom konnte ich dann glücklicherweise feststellen, dass mein Telefonanschluss auch tatsächlich ADSL-tauglich ist (im anderen Fall kann es schwierig werden). Fixe IP-Adressen Eine fixe IP-Adresse hat den Vorteil, dass sie im Gegensatz zu einer dynamisch zugeteilten IP-Adresse, welche unter Umständen täglich oder bei jedem Einschalten des Computers wechseln kann, konstant bleibt. Das erlaubt es, problemlos vom Internet her Verbindungen zum eigenen Anschluss aufzubauen, sei es, um diesen zu kontrollieren oder Server-Dienste gegenüber dem Internet anzubieten (mit einem dynamischen DNS-Eintrag - vgl. dyndsns.org - kann man das auch erreichen, aber meine Erfahrungen damit sind nicht besonders gut). Weiter kann man eine fixe IP-Adresse bei IP-Filtern auf Firewalls, Routern oder Servern eintragen und dem entsprechenden Anschluss so besondere Rechte einräumen. Auch für VPN (Virtual Private Network)-Verbindungen ist eine fixe IP-Adresse in Richtung des Verbindungsaufbaus zwingend. Natürlich kann man dann eine fixe IP-Adresse auch im Zusammenhang mit einer eigenen Internet-Domain verwenden und im z.B. von mydns.com geführten DNS (Domain Name System) eintragen. Bestellung des ADSL-Abonnements Anfang Jahr war ich endlich zur Bestellung entschlossen und füllte am 5.1.2003 das Online-Formular des ADSL-Providers green.ch aus. green.ch hatte ich gewählt, nachdem ich bei Comparis nach Providern gesucht hatte, wo eine fixe IP-Adresse günstig erhältlich ist. Meine vorgängigen Fragen an den Provider waren schnell und kompetent per E-Mail beantwortet worden. Als Geschwindigkeit wählte ich 256/64 kBit/s. Falls ich später wider Erwarten doch noch eine höhere Geschwindigkeit benötigen würde, könnte ich jederzeit noch umstellen, ohne Modem/Router wechseln zu müssen. Bereits am 9.1.2003 erhielt ich eine E-Mail mit meinen ADSL-Zugangsdaten (Benutzername, Passwort für PPPoE, PPPover Ethernet) und der Mitteilung, dass der Anschluss innerhalb von fünf Arbeitstagen aufgeschaltet würde. Installation des ADSL Modems/ Routers Abb. 1: Schema ADSL-Anschluss über ISDN mit Splitter Für den ADSL-Anschluss wird entweder ein reines ADSL-Modem oder aber ein Kombigerät Modem/Router benötigt, welches je nach Provider gemietet, beim Provider gekauft oder aber auch selbst irgendwo gekauft werden kann. Bei mir traf letzteres zu, da ich eine günstige Bezugsquelle in der Familie habe. Ich hatte mich für den ZyXEL Prestige 650R-I entschieden, weil dies ein "echter" Router mit eingebautem ADSL-Modem für beliebig viele Computer ist und er an meinen ISDN-Telefonanschluss passt (650R ist dasselbe Modell für einen normalen analogen Telefonanschluss). Beim ISDN-Modell ist übrigens darauf zu achten, dass ein sog. "Splitter" mitbestellt wird, welcher das auf der Amtsleitung überlagerte Signal wieder für ISDN und ADSL trennt (beim analogen Telefonanschluss braucht es keinen Splitter, dafür werden kleine Filter - Mikrofilter genannt - vor jedes einzelne Telefon geschaltet). Abb. 2: ADSL-Splitter im Bild Ich holte also den Router zusammen mit dem Splitter am 13.1.2003 ab und installierte die beiden Teile am Abend zuhause. Bild 1 und 2 zeigen den Anschluss des Splitters schematisch und bildlich. Das grüne Kabel verbindet den Anschluss "Phone" am Splitter mit der U-Schnittstelle am Swisscom-ISDN-NT. Das schwarze Kabel verbindet den Anschluss "Modem" am Splitter mit dem Telefonanschluss am ADSL-Modem/Router. Beim Anschluss "Line" endet die Zuführung der Telefonleitung von Swisscom. Alle Anschlüsse am Splitter werden mit 8-poligen RJ-45-Steckern gesteckt, was auch zu neueren ISDN-NTs passt. Das schwarze und grüne Kabel werden mit ADSL-Modem/ Router resp. Splitter mitgeliefert. Schnell war der Router dann mit der Anleitung von green.ch mit einem Terminalprogramm vom Computer aus über die serielle Schnittstelle des Routers konfiguriert (andere Möglichkeit: Web-Konfigurator des Routers mittels WWWBrowser, wobei aber bei Computer und Router die IP-Adressen schon stimmen müssen). Leider funktionierte der Zugang noch nicht. Aber es waren ja auch noch nicht fünf Arbeitstage vergangen... Es blieb also auch noch Zeit, die Firmware des Routers gerade auf den neusten Stand zu bringen. Diese kann man vom WWW-Server des Herstellers herunterladen (geht auch via ISDN oder Modem, wenn ADSL noch nicht bereit) und am einfachsten mit dem WWW-Browser auf den Router laden - der WebKonfigurator des Prestige bietet eine entsprechende Option. Funktionsweise des ADSL Modems/ Routers Abb. 3: Schema ADSL-Anschluss mit Router Schauen wir in der Zwischenzeit noch ein bisschen die Funktionsweise des ADSLModems und des Routers an. Bild 3 gibt einen schematischen Überblick im wesentlichen auf Schicht 3 im OSI-Schichtenmodell . Das ADSL-Modem bzw. der entsprechende Teil in einem kombinierten Gerät empfängt und sendet die ADSLSignale auf der Telefonlinie. Es kommuniziert mit der Gegenstelle (ADSL-Modem und Konzentrator in der Swisscom-Ortstelefonzentrale) über bestimmte virtuelle Pfade und Kanäle und setzt die Datenpakete ins Ethernet-Format um. Es arbeitet im OSI-Schichtenmodell auf den Schichten 1 und 2. Der Router hingegen eröffnet die Verbindung zum Provider mit dem Protokoll PPPoE (PPP over Ethernet). Dabei passiert ein Login (Benutzername, Passwort) und die IP-Adresse wird der dem Internet zugewandten Schnittstelle des Routers zugewiesen (wenn man eine fixe IP-Adresse abonniert hat, trägt man diese von Hand selbst auf dem Router ein). Der Router entpackt die im Ethernet ankommenden IP-Pakete, adressiert sie neu, packt sie wieder neu in Ethernetpakete ein und leitet sie auf das lokale Ethernet weiter. Er arbeitet somit auf der Schicht 3. Zusätzlich setzt er die Adressen um (Adresstranslation oder NAT - Network Address Translation). Das bedeutet, dass er die Adressen aller am lokalen Ethernet (IP-Netzwerk mit sog. "privaten", d.h. im Internet nicht bekannten Adressen, siehe RFC 1918) angeschlossenen Computer kennt und deren private Absenderadressen bei Verbindungen zum Internet durch seine eigene, öffentliche Adresse ersetzt. Kommt die Antwort zurück, leitet der Router das Paket wieder zum richtigen Empfänger im lokalen Netzwerk weiter, was schon fast als Magie erscheint, wenn man es nicht genauer anschaut... Damit das funktioniert, braucht es auch noch die sog. PAT (Port Address Translation). Der Router verwaltet also auch eine Liste aller TCP- und UDP-Ports, die die Computer am lokalen Netz zum Senden und Empfangen benutzen. Das hat auch zur Folge, dass man von aussen nicht einfach eine Verbindung auf einen Computer im internen Netz eröffnen kann, ausser wenn man auf dem Router konfiguriert, dass Anfragen z.B. an den TCP-Port 80 (WWW) auf einen bestimmten internen Rechner weitergeleitet werden, damit dieser in diesem Beispiel als WWW-Server arbeiten kann. Somit hat das Gespann NAT/PAT bereits eine einfache, aber ziemlich wirksame Firewall-Funktion zur Folge. Genug nun der technischen Details, schauen wir weiter, wie die Inbetriebnahme ablief. Inbetriebnahme Am folgenden Tag, dem 14.1.2003, kam ich gespannt nach Hause. Würde der Zugang wohl heute abend laufen? Ich schaltete den Router kurz aus und wieder ein (gute Regel: zwischen Aus- und Einschalten 10 Sekunden verstreichen lassen), um ihn neu zu starten. Man soll den Router nämlich während der Installationsphase laufen lassen, damit Swisscom den Zugang von der Telefonzentrale aus testen kann. Und tatsächlich: Der Router zeigte eine stehende Verbindung mit 256 kBit/s downstream (von der Zentrale zu mir) und 64 kBit/s upstream (von mir zur Zentrale) an. Schnell den Browser starten: Tatsächlich, die Verbindung klappt! Eine gute Woche nach der Bestellung funktioniert der Anschluss. Das war bei Cablecom an beiden Orten, wo ich den KabelinternetAnschluss gehabt hatte, undenkbar gewesen... Ein Download einer ca. 11 MB grossen Datei (Mozilla 1.2.1-Installer für Windows) vom in der Regel schnellen Sunsite-Server ergab eine kontinuierliche Datentransferrate von ca. 220 kBit/s, was recht gut ist. Natürlich konnte ich auch die E-Mail im privaten Konto auf dem IMAP-Server von green.ch und im Konto an der Uni lesen (der Versand erfolgt immer über den SMTP-Server des Providers). Auch das Login via SSH auf ein Unix-Konto an der Uni klappte. Von dort konnte ich dann wieder die öffentliche IP-Adresse meines Routers anpingen und mittels des Tools "traceroute" den Weg zwischen Uni-Netz und meinem ADSL-Anschluss verfolgen. Erweiterung mit einer Firewall Abb. 4: Schema ADSL-Anschluss mit Router und Firewall Da ich beim Kabelinternet-Anschluss eine Firewall vom Typ ZyXEL Zywall 10 verwendet hatte, welche unter anderem auch VPN-Unterstützung bietet (das hat der Prestige 650R-I nicht), wollte ich diese Firewall auch noch integrieren. Bild 4 zeigt das Schema der Installation mit einem äusseren (192.168.2.0/24) und einem inneren (192.168.1.0/24) privaten Netz. Abb. 5: Firewall und ADSL-Modem/Router im Bild Dabei ist es so, dass der Router mit der NAT/PAT - von ZyXEL übrigens SUA (Single User Account) genannt - sämtliche Pakete an die "äussere" Adresse der Firewall (192.168.2.2) weiter leitet. Die Firewall macht ihrerseits nochmals NAT/PAT für das innere private Netz. Es wäre auch eine klassische 1:1-NAT ohne PAT zwischen den beiden privaten Netzen denkbar, die gewählte Lösung ist aber die am einfachsten zu konfigurierende und funktioniert gut. Im inneren Netz kann dann bei Bedarf ein Server auserkoren werden, welcher Anfragen vom Internet beantwortet. Dieser Server könnte übrigens auch im äusseren Netz vor der Firewall stehen, welches dann eine sog. DMZ (demilitarisierte Zone) wäre. Noch etwas zu den Netznummern: 192.168.1.0/24 bedeutet das Netz mit der Nummer 192.168.1.0, wobei die /24 bedeuten, dass die ersten 24 Bits (InternetAdressen des IP-Protokolls Version 4 haben 32 Bit) den Netzwerk-Anteil und die restlichen 8 Bits der Adresse den Host-Anteil bilden. Dem entspricht die Subnetzmaske 255.255.255.0, /24 ist also eine Kurzschreibweise dafür. Bild 5 zeigt links die Firewall und rechts ADSL-Modem/Router, welche ganz einfach durch ein gekreuztes Ethernet-Kabel (Crossover-Kabel) miteinander verbunden sind. Natürlich empfiehlt es sich, die Geräte zu beschriften: IP-Namen, IP-Adressen und Ethernet-Adressen aller Interfaces. Stabilität Der weitere Betrieb des Anschlusses verlief bis heute stabil. Bei verschiedenen Konfigurations-Umstellungen brachte ich den Prestige 650 jedoch mehrmals zum Absturz, wo nur noch ein Aus- und Wiedereinschalten half. Die mangelnde Stabilität der Produkte dieses Herstellers ist leider immer noch ein Problem. Eine gute Alternative gibt es nicht, denn die meisten Provider empfehlen die Produkte von ZyXEL und bieten für andere Produkte keine Unterstützung... Im laufenden Betrieb haben sich jedoch bis jetzt keine Probleme gezeigt. Andere Lösungen Abb. 6: Schema ADSL-Anschluss ohne Router Lösung ohne richtigen Router: Hier muss auf dem Computer ein PPPoE-Client installiert werden. Es gibt auch Modems/Router, die den PPPoE-Client zwar haben, aber nur ca. 4 Computer verbinden können (Prestige 650 ME). Auch ein ADSL-Modem für den Anschluss an genau einen Computer via USB-Anschluss existiert (Prestige 630). Das ist sicher die billigste, aber auch unflexibelste und unsicherste Lösung. Weiter gibt es Modems/Router mit integriertem Ethernet-Switch, WLAN (WirelessLAN) und/oder Firewall. Dazu ist zu sagen, dass die Integration aller Geräte in ein einziges Gerät zwar den Preis senkt, aber Unflexibilität bringt. So kann man z.B. bei einer Modem-Router-WLAN-Kombination später keine Firewall mehr zwischen Router und WLAN einfügen, um zum Beispiel zentral VPN-Tunnels aufzubauen. Oder wenn die sich Umbruch befindende WLAN-Technologie ändert (z.B. Upgrade auf 802.11g, 54 MBit/s) kann es vielleicht sein, dass man dann auch den Router gerade mitentsorgen muss. Zum Schluss noch 2 Installationsskizzen für alle diejenigen, welche aus was auch immer für Gründen (z.B. wegen der Redundanz TelefonanschlussAntennenanschluss) das Kabel-Internet bevorzugen: Abb. 7: Schema Kabel-Anschluss ohne Router Abb. 8: Schema Kabel-Anschluss mit Router oder Firewall Fazit Abb. 9: Das fertige Heimnetzwerk im Bild Die Inbetriebnahme verlief problemlos und in Rekordzeit (je nach Ausrüstungsstand der Ortstelefonzentrale kann es aber wegen des aktuellen ADSL-Booms auch längere Wartezeiten geben). Der neue Anschluss bringt eine stabile stehende Verbindung mit fixer IP-Adresse und guter Geschwindigkeit. Gegenüber dem vorherigen Kabelinternet-Anschluss treten keine Nachteile hervor. Bild 9 zeigt das fertige Heim-Netzwerk (inkl. ISDN-Telefonie). Von links nach rechts und oben nach unten: Firewall, ADSL-Modem/Router, ISDN-DECTFunktelefon-Basisstation, Swisscom-ISDN-NT, ISDN-Haustelefonzentrale, Telefonie-Schaltkasten (weiss), Ethernet-Switch, ISDN-/ADSL-Splitter, Patchpanel (Abgang zu Steckdosen in anderen Räumen), ISDN-S-Bus nach Haustelefonzentrale und ISDN-S-Bus zwischen NT und Haustelefonzentrale. Über die Informationen in diesem Bericht ("Disclaimer") Die Informationen in diesem Bericht sind persönliche Erfahrungen und Lösungen des Autors und nicht repräsentativ. Sie können auf Grund der einigermassen hohen Komplexität der darin involvierten Protokolle möglicherweise in bestimmten Fällen nicht zum gewünschten Ergebnis führen. Sie stehen lediglich zur allgemeinen Information und Anregung eigener Lösungen zur Verfügung. Für den Support privater ADSL-Anschlüsse von Uni-Angehörigen ist allein der jeweilige Provider verantwortlich. Die ID können hier keine Unterstützung anbieten. Fragen prinzipieller Art können aber per E-Mail an den Autor geschickt werden und werden nach Möglichkeit beantwortet. Daniel Sutter Zum Ausdrucken dieses Artikels steht Ihnen das PDF-Dokument zur Verfügung. Uni ZH | Informatikdienste | Glossar | InformeD | Archiv | UniAccess | Anfang | Inhalt Last update: 22.01.2003 by vo