Benutzerhandbuch für die DrayTek Vigor 2600 Serie - DESY
Transcription
Benutzerhandbuch für die DrayTek Vigor 2600 Serie - DESY
Benutzerhandbuch für die DrayTek Vigor 2600 Serie. Über dieses Handbuch Dieses Installationshandbuch soll den Benutzern des DrayTek Vigor Routers Hilfe leisten. Die Informationen in dieser Dokumentation wurden mit Sorgfalt auf Korrektheit überprüft. Eine Garantie für die Korrektheit des Inhalts kann jedoch nicht gegeben werden. Die Informationen in dieser Dokumentation können ohne besondere Ankündigung geändert werden. Revision Juni , 2006 Copyright Diese Dokumentation enthält Informationen, die urheberrechtlich geschützt sind. Diese Dokumentation darf ohne die schriftliche Zustimmung der Eigentümer weder ganz noch teilweise in irgendeiner Form reproduziert, übertragen, vervielfältigt, in elektronischen Systemen gespeichert oder in eine andere Sprache übersetzt werden. Copyright © 2006 TwoCom® im Auftrag der VIGORKOM GmbH. Alle Rechte vorbehalten Warenzeichen Microsoft ist eingetragenes Warenzeichen der Microsoft Corporation. Windows, Windows 95, Windows 98, Windows NT, Windows 2000 und Windows XP sind Warenzeichen der Microsoft Corporation. Alle anderen Warenzeichen und eingetragene Warenzeichen, auf die in dieser Dokumentation hingewiesen wird, sind das Eigentum der jeweiligen Besitzer. Konformitätserklärungen Dieses Gerät erfüllt die Anforderungen der EU-Richtlinie: 1999/5/EG Richtlinie über Funkanlagen und Telekommunikationseinrichtungen und die gegenseitige Anerkennung Ihrer Konformität. Die Konformität mit der oben angegebenen Richtlinie wird durch das CE-Zeichen auf dem Gerät bestätigt. Die Konformitätserklärung kann unter folgender Adresse eingesehen werden: http://www.draytek.com/about_us/R_TTE_Certification.php. Für ISDN-Router: Dieses Produkt ist geeignet für das ISDN-Netzwerk innerhalb der EU und der Schweiz. Für ADSL-Router: Dieses Produkt ist geeignet für das ADSL-Netzwerk innerhalb der EU und der Schweiz. Beachten Sie bitte die unterschiedlichen DSL-Ausführungen Annex A und Annex B und nutzen Sie nur ein Endgerät, welches Ihrer DSL-Leitung entspricht. Für Funk-Router: Dieses Produkt ist geeignet für das 2,4 GHz Funknetz innerhalb der EU und der Schweiz mit folgenden Einschränkungen: Frankreich – Betrieb nur innerhalb von Gebäuden erlaubt Italien – Betrieb nur auf eigenem Gelände erlaubt Für Router mit PSTN-Port: Dieses Produkt ist geeignet für das analoge Telefonnetz in der EU und der Schweiz - Seite 1 von 172 - Inhaltsverzeichnis 1. 2. 3. 4. 5. 6. 7. 8. 9. 10. 11. 12. 13. 14. 15. 16. 17. 18. 19. 20. 21. 22. 23. 24. 25. 26. 27. 28. 29. 30. 31. 32. 33. 34. 35. 36. 37. 38. 39. 40. 41. 42. 43. 44. 45. 46. 47. 48. 49. 50. 51. 52. 53. 54. 55. Sicherheitshinweise ............................................................................................... 4 Hinweise vor der Installation sowie Setup ................................................................. 5 DrayTek Vigor 2600plus - Lieferumfang und Anschlüsse .............................................. 6 DrayTek Vigor 2600G - Lieferumfang und Anschlüsse ................................................. 7 DrayTek Vigor 2600i - Lieferumfang und Anschlüsse................................................... 8 DrayTek Vigor 2600Gi - Lieferumfang und Anschlüsse................................................. 9 Hardware Installation ........................................................................................... 10 Informationen zur Konfigurations Ihres Management Computers: ............................... 12 Administrator Passwort......................................................................................... 21 Einwahl mit ADSL über PPPoE................................................................................ 22 Einwahl ins Internet (ISDN) – Einwahl über einen ISP ............................................... 28 Ethernet – LAN IP Adresse .................................................................................... 30 Ethernet DHCP Server .......................................................................................... 32 Ethernet DNS...................................................................................................... 34 Ethernet IP Routing ............................................................................................. 35 WLAN Basiskonfiguration ...................................................................................... 37 WLAN Zugriffskontrolle......................................................................................... 39 WLAN WEP/WPA Verschlüsselung........................................................................... 40 VPNoW – VPN over WLAN ..................................................................................... 43 WLAN - Liste der Clients ....................................................................................... 46 WLAN - Liste der Access Points .............................................................................. 48 WLAN – WDS ...................................................................................................... 49 Grundeinstellungen ISDN...................................................................................... 54 Verbindungseinstellungen PPP/MP .......................................................................... 56 ISDN – Fernaktivierung ........................................................................................ 58 ISDN – Vorwahlen und Rufnummern sperren ........................................................... 60 ISDN – Externe Einwahl (RAS) .............................................................................. 61 NAT – Network Adress Translation ......................................................................... 67 NAT – Portumleitung ............................................................................................ 68 NAT – Offene Ports (Portbereiche öffnen) ................................................................ 70 NAT – DMZ Host.................................................................................................. 72 UPnP – Universal Plug and Play.............................................................................. 73 IP Filter / Firewall Einstellungen ............................................................................. 74 Firewall – DoS (Denial of Service) .......................................................................... 80 Firewall – Inhaltsbezogener Filter/Dateiformate blocken ............................................ 83 VLAN / Bandbreite ............................................................................................... 86 PING Block ......................................................................................................... 88 Feste Adressumleitung – Static Route..................................................................... 89 VPN – Virtual Private Network und LAN zu LAN Grundeinstellungen............................. 92 VPN – LAN zu LAN Beispiel .................................................................................. 102 VPN – IPSec Grundeinstellungen .......................................................................... 111 VPN – Externe Nutzer (RAS)................................................................................ 113 VPN – Externe Einwahl Win 2000 ......................................................................... 117 VPN – Smart VPN Tool........................................................................................ 122 QoS – Quality of Service..................................................................................... 126 QoS – Quality of Service erweitert ....................................................................... 131 Printserver – Windows 2000................................................................................ 135 Dynamisches DNS - DynDNS............................................................................... 143 Zeit und Datum ................................................................................................. 146 Verbindungstimer .............................................................................................. 147 Systemverwaltung – Fernwartung ........................................................................ 150 Systemverwaltung – Telnet................................................................................. 152 Systemverwaltung – Erstellen/Laden eines Backups ............................................... 155 Systemverwaltung – Hardware Reset ................................................................... 157 Systemverwaltung – Firmware Update.................................................................. 158 - Seite 2 von 172 - 56. 57. 58. 59. 60. 61. 62. 63. Onlinestatus ..................................................................................................... 161 Diagnose - ISDN/WAN Verbindungen.................................................................... 163 Diagnose – Anwahl-Auslöser ............................................................................... 165 Diagnose – DHCP Tabelle.................................................................................... 166 Diagnose – ARP-Cache Tabelle ............................................................................ 167 Diagnose – Aktive Portumleitungen ...................................................................... 168 Diagnose – NAT Tabelle ...................................................................................... 169 Syslog und Mail Alarm ........................................................................................ 170 - Seite 3 von 172 - 1. Sicherheitshinweise Ihr neuer DrayTek Vigor Router ist ein elektronisches Präzisionsgerät. Wie bei den übrigen Komponenten Ihres Computersystems auch, ist während der Installation und der Benutzung ein gewisses Maß an Sorgfalt erforderlich. Lesen Sie dieses Handbuch bitte aufmerksam durch und bewahren Sie es griffbereit auf. Benutzen Sie es bei der Installation und beim Betrieb. Sie dürfen den DrayTek Vigor auf keinen Fall öffnen. Es befinden sich keinerlei Teile im Geräteinnern, die für den Normalbetrieb benötigt werden. Stecken Sie keine Fremdkörper in den DrayTek Vigor Router, dadurch kann die hochwertige Elektronik beschädigt werden. Lassen Sie den DrayTek Router nicht fallen und vermeiden Sie Stoßeinwirkungen. Reinigen Sie den DrayTek Vigor mit einem weichen Tuch. Bringen Sie den Vigor nicht in Kontakt mit Feuchtigkeit oder Flüssigkeiten, einschließlich Wasser, Reinigungsflüssigkeiten oder Lösungsmitteln. Verdünner, Benzin oder alkoholische Lösungsmittel können die Oberfläche des DrayTek Routers angreifen. Stellen Sie keine mit Flüssigkeiten gefüllten Gefäße (Vasen oder ähnliches) auf den Vigor Router. Schützen Sie das Gerät vor Feuchtigkeit und extremer Hitze. Für Schäden, die durch unsachgemäße Eingriffe entstehen übernimmt der Hersteller keine Garantie. Für Reparaturen uns Service wenden Sie sich bitten an Ihren Fachhändler oder an den technischen Support von DrayTek. - Seite 4 von 172 - 2. Hinweise vor der Installation sowie Setup • • • • • • • Stellen Sie sicher dass das verwendete Netzteil das original DrayTek Netzteil ist. Ansonsten besteht die Möglichkeit das der Router gar nicht oder fehlerhaft funktioniert. Im Fehlerfall des Routers, trennen Sie Ihn als erstes vom Netz. Arbeiten Sie in einer sauberen und trockenen Umgebung Alle Kabel müssen korrekt mit dem Router verbunden sein damit der Router nicht beschädigt wird. Verlegen Sie keine Kabel über Laufflächen. Bei Verwendung eines DSL Modems, stellen Sie sicher dass dieses ein Ethernet Interface hat. Wenn nicht können Sie den Router nicht mit dem Modem verbinden. Nur für Geräte mit ISDN Interface: Beachten Sie dass das ISDN Kabel welches Sie mit dem Router verbinden nicht länger als 100 Meter ist. Stellen Sie sicher, dass Sie über einen Mehrgeräte (EuroISDN) Anschluss verfügen (sollten Sie über einen ISDN Anlagenanschluss verfügen, muss der Router an einen aktiv durchgeschliffenen S0-Bus angeschlossen werden.) Vor der Router Konfiguration suchen Sie sich einen Ihrer Rechner aus welchen Sie als Management Computer verwenden möchten und betreiben diesen zum Anfang allein mit dem Router. Etwaige andere Rechner Ihres Netzwerkes können Sie dann später hinzufügen. Halten Sie sich dafür folgende Werkseinstellungen vor Augen: IP Netzwerk Einstellung des Routers: • • IP Adresse : 192.168.1.1 Subnet Mask: 255.255.255.0 DHCP Server: Eingeschaltet • • Start IP Adresse: 192.168.1.10 IP Pool Counts (Anzahl der möglichen IP Adressen): 50 Web Konfigurator: • • Benutzername: admin Passwort: (Es ist in der Grundkonfiguration kein Passwort vergeben. Vergeben Sie dieses als ersten Konfigurationsschritt innerhalb Ihrer Konfiguration) Telnet Konsole: • Passwort: (Es ist in der Grundkonfiguration kein Passwort vergeben. Vergeben Sie dieses als ersten Konfigurationsschritt innerhalb Ihrer Konfiguration) - Seite 5 von 172 - 3. DrayTek Vigor 2600plus - Lieferumfang und Anschlüsse Zum Lieferumfang des DrayTek Vigor 2600plus gehören: DrayTek Vigor 2600plus 230V Netzteil für deutsche Steckdosen RJ-45 Ethernet Kabel RJ-45 Splitter Kabel Installationsanleitung CD-ROM Anschlüsse des Vigor 2600plus: Hier die Anschlüsse des Vigor 2600plus von links nach rechts: To Printer: USB Anschluss zum Anschluss eines USB Druckers PWR: Anschluss für das mitgelieferte Netzteil (Stromversorgung) Power Switch: Ein/Aus Schalter Switch: Anschlüsse (1-4) für die direkte Ethernetverbindung zwischen Rechner/Client und Router über ein RJ-45 Patchkabel ADSL: Anschluss für die Verbindung zum Splitter (DSL) Factory Reset: Button zum Rücksetzen auf Werkseinstellungen - Seite 6 von 172 - 4. DrayTek Vigor 2600G - Lieferumfang und Anschlüsse Zum Lieferumfang des DrayTek Vigor 2600G gehören: DrayTek Vigor 2600G 230V Netzteil für deutsche Steckdosen RJ-45 Ethernet Kabel RJ-45 Splitter Kabel Zwei externe Antennen Installationsanleitung CD-ROM Anschlüsse des Vigor 2600G: Hier die Anschlüsse des Vigor 2600G von links nach rechts: Buchse für den Anschluss einer der externen Antennen To Printer: USB Anschluss zum Anschluss eines USB Druckers PWR: Anschluss für das mitgelieferte Netzteil (Stromversorgung) Power Switch: Ein/Aus Schalter Switch: Anschlüsse (1-4) für die direkte Ethernetverbindung zwischen Rechner/Client und Router über ein RJ-45 Patchkabel ADSL: Anschluss für die Verbindung zum Splitter (DSL) Factory Reset: Button zum Rücksetzen auf Werkseinstellungen Buchse für den Anschluss einer der externen Antennen - Seite 7 von 172 - 5. DrayTek Vigor 2600i - Lieferumfang und Anschlüsse Zum Lieferumfang des DrayTek Vigor 2600i gehören: DrayTek Vigor 2600i 230V Netzteil für deutsche Steckdosen RJ-45 Ethernet Kabel RJ-45 Splitter Kabel ISDN Kabel Installationsanleitung CD-ROM Anschlüsse des Vigor 2600i: Hier die Anschlüsse des Vigor 2600plus von links nach rechts: To Printer: USB Anschluss zum Anschluss eines USB Druckers PWR: Anschluss für das mitgelieferte Netzteil (Stromversorgung) Power Switch: Ein/Aus Schalter Switch: Anschlüsse (1-4) für die direkte Ethernetverbindung zwischen Rechner/Client und Router über ein RJ-45 Patchkabel ADSL: Anschluss für die Verbindung zum Splitter (DSL) ISDN: Anschluss für die Verbindung zum NTBA (ISDN) Factory Reset: Button zum Rücksetzen auf Werkseinstellungen - Seite 8 von 172 - 6. DrayTek Vigor 2600Gi - Lieferumfang und Anschlüsse Zum Lieferumfang des DrayTek Vigor 2600Gi gehören: DrayTek Vigor 2600Gi 230V Netzteil für deutsche Steckdosen RJ-45 Ethernet Kabel RJ-45 Splitter Kabel ISDN Kabel Zwei externe Antennen Installationsanleitung CD-ROM Anschlüsse des Vigor 2600Gi: Hier die Anschlüsse des Vigor 2600Gi von links nach rechts: Buchse für den Anschluss einer der externen Antennen To Printer: USB Anschluss zum Anschluss eines USB Druckers PWR: Anschluss für das mitgelieferte Netzteil (Stromversorgung) Power Switch: Ein/Aus Schalter Switch: Anschlüsse (1-4) für die direkte Ethernetverbindung zwischen Rechner/Client und Router über ein RJ-45 Patchkabel ADSL: Anschluss für die Verbindung zum Splitter (DSL) ISDN: Anschluss für die Verbindung zum NTBA (ISDN) Factory Reset: Button zum Rücksetzen auf Werkseinstellungen Buchse für den Anschluss einer der externen Antennen - Seite 9 von 172 - 7. Hardware Installation Verbinden des Netzteils: • • • Stecken Sie das Netzteil in die 220V Steckdose; das anderer Ende verbinden Sie mit der „PWR“ Buchse auf der Rückseite des Routers. Überprüfen Sie die „ACT“ LED, Sie sollte stetig 2 Mal pro Sekunde blinken. Bei DrayTek Geräten mit WLAN schrauben Sie vorsichtig die Antenne(n) an die dafür vorgesehenen Anschlüsse am Router. Anschluss an das Netzwerk: A. Anschluss an einen PC: • • • Verbinden Sie das mitgelieferte blaue Netzwerkkabel oder ein anderes Standard Netzwerkkabel mit einem der LAN Ports des DrayTek Vigor Routers (P1-P4). Das andere Ende verbinden Sie mit der Netzwerkkarte Ihres PCs bzw. Macs. Die LAN LED für den jeweiligen Port (P1-P4) am Router und an Ihrer Netzwerkkarte (sofern vorhanden) muss leuchten, wenn die Verkabelung in Ordnung ist. B. Anschluss an einen Switch: • Sie haben auch die Möglichkeit den Draytek Vigor mit einem weiteren Switch zu verbinden. Verbinden Sie die beiden Geräte einfach mit einem standard RJ-45 Kabel. Bei eigentlich allen aktuellen DrayTek Vigor Modellen sind die Ports 1-4 „selbsterkennend“. Es ist also egal ob man ein normales „gerades“ oder ein „gekreuztes“ (Crossover) RJ-45 Ethernetkabel verwendet. Verbinden des ISDN Anschlusses (nur DrayTek Geräte mit ISDN Interface): • • • Verbinden Sie das mit gelieferte schwarze ISDN Kabel oder ein anderes Standard ISDN Kabel mit dem ISDN Port auf der Rückseite des Routers. Verbinden Sie das andere Ende z.B. mit dem NTBA Ihres Mehrgeräte ISDN Anschlusses. Hinweis: Der direkt Anschluss des Routers an einen Anlagen ISDN Anschluss NTBA ist nicht möglich. Sie müssen dann den Router an einen Wandler oder an eine TK Anlage anschließen welche den S0 Bus rausführt. Ist die Verkabelung korrekt, leuchtet die ISDN Diode am Router. Hinweis: Unter Umständen leuchtet die ISDN Diode am Router erst auf, nachdem der S0Anschluss das erste Mal angesprochen wurde oder ein ausgehender Ruf getätigt wurde. Die LED kann auch im laufenden Betrieb ausgehen und dann wieder angehen, wenn ein Ruf getätigt wird. Verhalten ist durchaus normal und teilweise auch von der Vermittlungsstelle abhängig. Verbinden mit dem Splitter (nur DrayTek Geräte mit integriertem DSL Modem): • Verbinden Sie den WAN/DSL Anschluss Ihres DrayTek Vigor Routers mit dem mitgelieferten Kabel mit dem Splitter den Sie von Ihrem Internetprovider geliefert bekommen haben. - Seite 10 von 172 - Verbinden eines DSL Modems mit dem Router (nur DrayTek Geräte ohne integr. DSL Modem): • • Sie können den Router nur an ein DSL/Kabel Modem anschließen welches einen Ethernet Anschluss bietet. Bei korrekter Verbindung leuchtet die WAN LED am Router. Verbinden Sie das von Ihrem ISP mitgelieferte Kabel mit dem WAN Port des Routers. - Seite 11 von 172 - 8. Informationen zur Konfigurations Ihres Management Computers: Der Router verfügt über einen integrierten HTTP (Web) Server für die Konfiguration. Bevor Sie den Router zum Zugang in das Internet verwenden können, müssen Sie Ihren Management Rechner konfigurieren damit Sie Zugriff auf den Router erlangen. Sie können Ihren Management Computer mit einer festen IP (erteilt vom Benutzer) oder mit einer dynamischen IP (erteilt vom Router) konfigurieren. Als feste IP Adresse können Sie eine aus dem 192.168.1.0/24 Netzwerk verwenden, wie z.B. die IP Adresse 192.168.1.200 Bedenken Sie, dass der Router werksmäßig mit der IP Adresse 192.168.1.1 konfiguriert ist und das niemals 2 Geräte die gleiche IP Adresse zugeordnet bekommen. Für eine dynamische IP Adresse (erteilt vom Router) müssen Sie Ihren Rechner als DHCP Client einrichten damit er die IP-bezogenen Einstellungen vom Router anfordern kann. Wir gehen im Ursprungszustand davon aus, dass Ihre Netzwerkkarte innerhalb Ihres Management Rechners korrekt eingebaut ist und die Treiber installiert sind. Erläuterung des Begriffs „Management Computer“: Sollten Sie nur über bedingte Netzwerkkenntnisse verfügen arbeiten Sie bei der Inbetriebnahme des Routers bzw. des Netzwerkes erstmal mit nur einem Rechner um von Anfang an so viele Fehlerquellen wie möglich ausschließen zu können. Erst wenn der Management Computer reibungslos mit dem Router zusammenarbeitet sollten Sie etwaige weitere Rechner an den Router anschließen und diese dann am besten auch nacheinander anschließen und konfigurieren. Hinweis: Die hier abgebildeten Bilder beziehen sich auf Windows 2000. Die Konfigurationen für andere Windows Versionen sollten Sie aber trotzdem ohne Probleme aus dieser Beschreibung ableiten können. - Seite 12 von 172 - Konfiguration des Management Rechners (DHCP/automatische Zuweisung der IP) Öffnen Sie das „Netzwerk“ Fenster indem Sie mit der rechten Maustaste auf Netzwerkumgebung / Eigenschaften oder innerhalb der Systemsteuerung auf Netzwerk klicken. Suchen Sie sich nun die LAN Verbindung und klicken wieder auf Eigenschaften. Bei erfolgreicher Installation Ihrer Netzwerkkarte sollte das TCP/IP Protokoll hier verfügbar sein. Hier nun ein Doppelklick auf TCP/IP->„meine Netzwerkkarte“ bzw. Internetprotokoll TCP/IP. - Seite 13 von 172 - Bestätigen Sie nun mit OK und Ihr PC sollte vom DrayTek Router eine IP Adresse automatisch zugewiesen bekommen. Sie können nun mit der Konfiguration des Routers anfangen. - Seite 14 von 172 - Konfiguration des Management Rechners (mit fester IP) Öffnen Sie das „Netzwerk“ Fenster indem Sie mit der rechten Maustaste auf Netzwerkumgebung / Eigenschaften oder innerhalb der Systemsteuerung auf Netzwerk klicken. Suchen Sie sich nun die LAN Verbindung und klicken wieder auf Eigenschaften. Bei erfolgreicher Installation Ihrer Netzwerkkarte sollte das TCP/IP Protokoll hier verfügbar sein. Hier nun ein Doppelklick auf TCP/IP->„meine Netzwerkkarte“ bzw. Internetprotokoll TCP/IP. - Seite 15 von 172 - Um Ihren PC auf eine feste IP Adresse zu konfigurieren tragen Sie hier bitte die gewünschte Adresse ein. Die jeweilige Subnetzmaske wird automatisch von Windows ergänzt. Als Standardgateway tragen Sie bitte die IP Adresse des DrayTek Vigor Routers ein. Beim DNS Server tragen Sie nach Möglichkeit bitte den DNS Server ein, den Ihnen Ihr Internetprovider zusammen mit Ihren Zugangsdaten hat zukommen lassen. Alternativ können Sie auch erstmal die hier im Beispiel gezeigten DNS Server eintragen. Klicken Sie bitte nun noch auf „OK“. Nun gehen sämtliche Anfragen aus dem lokalen Netzwerk zuallererst an den Router und dieser entscheidet dann, ob die Anfrage für das Internet oder einen anderen Rechner im lokalen Netzwerk ist und leitet die Pakete dann dementsprechend weiter. - Seite 16 von 172 - Konfiguration des Routers unter MacOS Im folgenden Kapitel werden wir erklären, wie man den Mac für den Internetzugang über den DrayTek Vigor konfiguriert. Es gibt zwei Arten der Konfiguration. a) Der Router vergibt den Klienten (Macs) Ihre IP Adresse (die Rechner bekommen nicht immer die gleiche IP Adresse zugewiesen) b) Sie Arbeiten mit festen IP Adressen und vergeben diese von Hand Konfigurationsmethode a) [DHCP – Der Router verteilt die IP Adressen] Bevor Sie beginnen, stellen Sie bitte folgende Dinge sicher: 1. Das TCP/IP Protokoll muss auf Ihrem Mac Rechner installiert sein 2. Der Router muss mit dem Mac via Netzwerk Kabel verbunden sein. 3. Die anzuschließenden Rechner sollten mit mind. MacOS 7.5.5 zzgl. aktivierter Opentransport-Netzwerk-Software oder MacOS 8 oder 9 ausgestattet sein. Nun werden Sie den Mac Schritt für Schritt so einstellen damit er Zugriff auf den DrayTek Vigor Web-Konfigurator bekommt. Schritt 1: Öffnen Sie das TCP/IP Window innerhalb des Mac OS Klicken Sie auf das Apple Symbol oben links auf Ihrem Desktop und bewegen Sie den Mauszeiger auf das "Kontrollfelder" Icon. Ein weiteres Pop-Up-Menü erscheint, nun klicken Sie bitte auf "TCP/IP" um das "TCP/IP" Window zu öffnen. Schritt 2: Konfiguration der TCP/IP Einstellungen Innerhalb des "TCP/IP" Windows, sollten Sie folgende Einstellungen vornehmen: Verbindung : "Ethernet" Konfigurationsmethode: "DHCP Server" - Seite 17 von 172 - Konfigurationsmethode b) [Manuelle Vergabe der IP Adressen] Öffnen Sie über das Apfelmenü das Kontrollfeld TCP/IP. Machen Sie nun die dementsprechenden Einstellungen für Ihr Netzwerk.. IP-Adresse: tragen Sie hier die IP Adresse ein, die der Rechner im lokalen Netzwerk haben soll (z.B. 192.168.1.2) Teilnetzmaske: tragen Sie hier die Teilnetzmaske ein. (255.255.255.0) Router Adresse: hier tragen Sie bitte die IP-Adresse des Routers ein (Standard=192.168.1.1) Name Server Adresse: die DNS Adresse die Sie von Ihrem Provider erhalten haben tragen Sie bitte hier ein. (z.B. 194.25.2.129) Nachdem Sie diese Einstellungen gemacht haben klicken Sie auf den kleinen Button oben Links innerhalb des "TCP/IP" Windows um das Window zu schließen. Nun erscheint die folgende Dialogbox wo Sie die Einstellungen speichern. Schritt 3: Neustart des Mac Klicken Sie innerhalb des "Spezial" Menüs auf "Neustart" um den Mac neu zu starten. (Dieser Schritt ist nicht unbedingt notwendig.. kann aber nicht schaden.) Schritt 4: Öffnen des Browsers um den Router zu konfigurieren Nach dem Neustart starten Sie bitte Ihren Browser: Jetzt können Sie http://192.168.1.1 eingeben (Default Adresse des Routers) um den WebKonfigurator des Routers zu öffnen. Wenn alles richtig eingegeben wurde erhalten Sie nun Zugriff auf den Web-Konfigurator des Routers. Hinweis: Beachten Sie bitte auch, dass in den Einstellungen Ihres Browsers kein Proxy Server aktiviert ist.. - Seite 18 von 172 - Konfiguration des Routers unter MacOS X Auch unter MacOS X gestaltet sich die Konfiguration des Routers denkbar einfach. DHCP Konfiguration (Der Router vergibt den Rechnern die IP Adresse) Öffnen Sie bitte in den Systemeinstellungen das Kontrollfeld Netzwerk. Wählen Sie bitte bei Verbindung „Ethernet“ aus, stellen die Konfiguration auf „DHCP“ und tragen dann noch die DNS Adresse ein, die Sie von Ihrem Provider erhalten haben (alternativ: 194.25.2.129). Schauen Sie ruhig noch mal bei den Proxies nach und deaktivieren diese gegebenenfalls. Nun klicken Sie bitte noch auf „Sichern“. - Seite 19 von 172 - Konfiguration mit fester IP Adresse (IP des Rechners wird von Ihnen festgelegt) Auch hier öffnen Sie bitte in den Systemeinstellungen das Kontrollfeld Netzwerk. Wählen Sie bitte bei Verbindung „Ethernet“ aus und stellen die Konfiguration auf „manuell“. Nun tragen Sie bitte bei IP-Adresse die Adresse ein (192.168.1.2), die Ihr Rechner im lokalen Netzwerk haben soll. Nun noch die Teilnetzmaske (255.255.255.0), die IP-Adresse des Routers (192.168.1.1) und die DNS Adresse die Sie von Ihrem Provider erhalten haben (alternativ: 194.25.2.129). Schauen Sie ruhig noch mal bei den Proxies nach und deaktivieren diese gegebenenfalls. Nun klicken Sie bitte noch auf „Sichern“. Jetzt können Sie http://192.168.1.1 in Ihrem Browser eingeben (Default Adresse des Routers) um den Web-Konfigurator des Routers zu öffnen. Wenn alles richtig eingegeben wurde erhalten Sie nun Zugriff auf den Web-Konfigurator des Routers. Hinweis: Beachten Sie bitte auch, dass in den Einstellungen Ihres Browsers kein Proxy Server aktiviert ist.. - Seite 20 von 172 - 9. Administrator Passwort In diesem Teil des Webkonfigurators können Sie das Passwort für die Konfiguration des Routers jederzeit ändern. Beachten Sie bitte, dass bei der Auslieferung des Routers kein Passwort vergeben ist. Ändern Sie das Passwort also möglichst schnell bzw. vergeben eines, damit nicht jeder, eventuell auch unbefugte, Änderungen an der Konfiguration des Routers vornehmen kann. Geben Sie für die Änderung zunächst das alte Passwort ein. (Werkszustand = kein Passwort) Danach haben Sie die Möglichkeit ein neues Passwort (bis zu 23 Zeichen) zu vergeben und dieses dann zu bestätigen. Verwenden Sie für das Passwort bitte nur Standardzeichen wie A-Z oder 0-9. Durch klicken auf „OK“ wird das Passwort dann dauerhaft geändert. Hinweis: Sollten Sie Ihr Passwort einmal vergessen haben, können Sie den Router auf Werkseinstellungen zurücksetzen. Dieses können Sie tun, indem Sie den Reset Knopf auf der Rückseite des Gerätes mit einem spitzen Gegenstand (aufgebogene Büroklammer) während des Betriebs ca. 5 Sekunden lang gedrückt halten. Sie erkennen am Blinken der LED's wenn der Router sich zurücksetzt und einen Neustart durchführt. Danach ist das Gerät dann wieder im Werkszustand (IP Adresse 192.168.1.1, Login: admin und kein Passwort) und muss komplett neu konfiguriert werden. - Seite 21 von 172 - 10. Einwahl mit ADSL über PPPoE Nach dem erfolgreichen Setup der Hardware des Routers kümmern wir uns nun um den Internetzugang. Geben Sie in Ihrem Webbrowser bitte die IP Adresse des Routers im Adressfeld des Browsers ein (Standard = http://192.168.1.1) und bestätigen durch drücken der „Enter“ Taste. Nun sollte das folgende Fenster erscheinen in dem Sie aufgefordert werden den Namen und das Passwort für die Routerkonfiguration einzugeben. Geben Sie als Namen/Login bitte „admin“ ein. Das Passwort lassen Sie bitte leer, da im Werkszustand des Routers kein Passwort vergeben ist. Klicken Sie zur Bestätigung dann auf „OK“. Haben Sie alles richtig konfiguriert kommen Sie nun in den Webkonfigurator des DrayTek Vigor Routers. Nun bringen wir den DrayTek Router mit wenigen Schritten ins Internet. Klicken Sie dazu bitte auf der rechten Seite auf „Einwahl ins Internet“. - Seite 22 von 172 - Klicken Sie hier bitte nun auf PPPoE / PPPoA um eine DSL Verbindung zu dem meisten Deutschen Internetprovidern herstellen zu können. Aktivieren Sie zunächst PPPoE/PPPoA. Die DSL Modem Einstellungen für die Deutsche Telekom sind ab Werk voreingestellt. Für eine U-R2-Verbindung gelten folgende Einstellungen für das DSL Modem: VPI (Virtual Path Identifier): 1 VCI (Virtual Channel Identifier): 32 Kapselung: LLC/SNAP Protokoll: PPPoE Modulation: G.DMT Die Funktion Multi-PVCs (PVC= Permanent Virtual Circuits) wird in Deutschland zur Zeit noch nicht unterstützt. Belassen Sie deshalb die Einstellung bei "Multi-PVC Kanal" auf der Voreinstellung. Für manche DSL Provider ist es nötig den VPI und VCI Wert für das DSL Modem zu verändern. In diesen Fällen wählen Sie bitte bei VPI = 8 und VCI = 35 aus. - Seite 23 von 172 - Tragen Sie einen ISP Namen ein, den Sie frei wählen können. Bei Benutzername und Passwort tragen Sie bitte die von Ihrem Provider zugeteilten Zugangsdaten ein. Bitte beachten Sie auch die korrekte Zusammensetzung des Benutzernamens, wie z.B. Bei TOnline... Beispiel Ihr T-Online-Benutzername setzt sich aus verschiedenen Nummern zusammen: Zuerst Ihre T-Online-Anschlusskennung (beginnt meistens mit 000) Ihre T-Online-Nummer, besteht in der Regel aus der Ortsnetzkennzahl und der Telefonnummer Ihres T-Online Anschlusses. Falls die T-Online-Nummer kürzer als 12 Stellen ist, muss noch eine Raute "#" angefügt werden. Zum Schluss fügen Sie noch die Mitbenutzernummer ein, die im Regelfall 0001 lautet, gefolgt von @tonline.de Als Passwort verwenden Sie Ihr persönliches T-Online Kennwort. Ihr Benutzername müsste dann folgendermaßen aussehen: [email protected] oder falls Ihre T-Online Nr. kürzer als 12 Stellen ist: 00045678990912345678901#[email protected] Beachten Sie auch das keine Lücken bei der Eingabe entstehen. Weiterhin können Sie noch wählen ob die Internetverbindung durch den Router „immer aktiv/in Betrieb“ oder „automatisch“ gehalten bzw. aufgebaut werden soll. Entscheiden Sie sich für „automatisch“ können Sie noch die Zeit der Inaktivität (Leerlaufzeit) bestimmen, nach der der Router die Internetverbindung automatisch trennt (Standardwert 180 Sekunden). Achtung: Stellen Sie den Router nur auf „immer aktiv/in Betrieb“ wenn Sie über eine Flatrate verfügen. Der Router hält bei dieser Auswahl die Verbindung zum Internet konstant und Ihnen können hohe Kosten entstehen, sollten Sie keine Flatrate haben. - Seite 24 von 172 - Hier nun noch ein Paar weitere Beispiele für die Zusammensetzung der Benutzernamen einiger anderer deutscher Internetprovider: 1&1 "1und1/<Benutzerkennung>@online.de" Beispiel: "1und1/[email protected]" Schlund + Partner "s+p/<Benutzerkennung>@online.de" Beispiel: "s+p/[email protected]" GMX "GMX/<Benutzerkennung>@online.de" Beispiel: "GMX/[email protected]" T-DSL Business "t-online-com/<Benutzerkennung>@t-online-com.de" Beispiel: "t-online.com/[email protected]" Alternativ können Sie den Router auch nur als reines DSL Modem verwenden. In diesem Falle aktivieren Sie die Funktion und verwenden den PPPoE Treiber, den Ihr Betriebssystem Ihnen zur Verfügung stellt. Für 99% aller Anwender ist das jedoch nicht notwendig, da Sie damit die Routerfunktionalität komplett umgehen würden. Für den normalen Betrieb lassen Sie also beide Häkchen deaktiviert. Verbindungstimer: Geben Sie hier die Profile für die zeitgesteuerte Einwahl in das Internet an. Auf diese Timerfunktion wird in einem anderen Kapitel dieses Handbuchs noch genauer eingegangen. ISDN-Backup Einstellungen: Diese Funktion steht nur bei DrayTek Vigor Modellen mit integriertem ISDN Interface zur Verfügung. Das ISDN Backup wird aktiv, sollte die PPPoE-Verbindung nicht aufgebaut werden können (z.B. DSL Störung) und die Einstellung nicht auf "Aus" konfiguriert wurde. Es gibt die Modi "nein" und "automatisch" und „immer in Betrieb“. Die ISDN-Verbindung muss zusätzlich, wie im Abschnitt „Einwahl ins Internet – Einwahl über einen ISP“ beschrieben, eingerichtet werden. Die ISDN Verbindung ist unabhängig von der DSL-Verbindung, Sie - Seite 25 von 172 - können hier einen völlig anderen Provider einstellen oder den gleichen Provider wie für die DSL-Verbindung nutzen. Hinweis: Eine Einwahl über ISDN kann zusätzliche Kosten verursachen, sofern Sie nicht über eine ISDN Flatrate verfügen. Gehen Sie also mit der ISDN-Backup Option vorsichtig um. Immer in Betrieb: Aktivieren Sie diesen Punkt, wenn Sie eine Flatrate haben und der Router die Verbindung in das Internet immer halten soll. Max. Leerlaufzeit: Dieser Parameter wird in Sekunden angegeben. Wenn innerhalb des angegebenen Zeitraums kein Datenaustausch mehr stattfindet, wird die Verbindung unterbrochen. Feste IP: Wenn hier “JA” ausgewählt wurde wird der Router veranlasst während der IPCP (Internet Protocol Control Protocol) Phase über die eingetragene IP-Adresse mit dem Zugriffsserver zu kommunizieren. Wenn „Nein“ aktiviert wurde erhält der Router die IP-Adresse vom Zugangsserver für die PPPoE-Verbindung (Diese Einstellung funktioniert mit den meisten Internet Providern). Feste IP Adresse: Die Feste IP Adresse sollte genutzt werden wenn auch unter “Feste IP” , “JA” ausgewählt wurde. Klicken Sie nun noch mal auf „OK“. Sind alle Einstellungen korrekt baut der Router nun eine Verbindung mit dem Internet auf. Prüfen der DSL-Verbindung: Öffnen Sie im Hauptmenü den „Onlinestatus“. Hier überprüfen Sie, ob der Router eine Hardware-Verbindung zum DSL hat und mit dem DSLAM synchronisiert. Ist das Kabel zwischen Router und Splitter nicht angeschlossen, so wird "INITIALIZATION" als Status für DSL gezeigt: Sobald ein Kabel angeschlossen wird, versucht der Router sich mit dem DSL Anbieter zu synchronisieren. Eine erfolgreiche(r) Synchronisation/Verbindungsaufbau wird durch den Eintrag "SHOWTIME" angezeigt. Nur wenn dieser Eintrag als Status der ADSL-Verbindung erscheint, kann der Router eine DSL Verbindung zum Internetprovider aufbauen. In manchen Fällen kann es aber einige Minuten dauern bis der Eintrag "SHOWTIME" angezeigt wird. - Seite 26 von 172 - Falls bei Ihnen dieser Eintrag einige Zeit nach Anschluss an die DSL-Leitung nicht erscheint (nach ca. 10 Minuten), kann der Router nicht synchronisieren. Überprüfen Sie in diesem Fall bitte die Verkabelung zwischen dem DSL-Splitter und dem DrayTek Vigor Router. Eventuell besteht auch ein Problem mit der DSL-Leitung. Danach testen Sie, ob die Internet-Verbindung mit den eingetragenen Zugangsdaten aufgebaut werden kann. Über den Button „PPPoE" besteht die Möglichkeit eine manuelle Verbindung in die Wege zu leiten. Sollte keine Verbindung zum Internet aufgebaut werden können, sehen Sie die folgenden Einträge im WAN-Status: Unterhalb des WAN-Status erscheinen regelmäßig Meldungen über die DSL-Verbindung. Die Nachricht „Message [ PPP Shutdown ]" im Bildbeispiel besagt, dass zur Zeit keine PPPoE oder PPPoA Verbindung besteht. Klicken Sie auf „PPPoE", um eine manuelle Verbindung zu initiieren. Haben Sie alles korrekt Konfiguriert, sehen Sie nach kurzer Zeit folgende Anzeige: Sie sehen nun Daten wie eine WAN IP-Adresse und die übertragene Pakete für die aktuelle Verbindung. Sollten Sie falsche Zugangsdaten für Ihren Zugang in das Internet konfiguriert haben, wird keine Verbindung aufgebaut. In diesem Falle sehen Sie die folgende Fehlermeldung: Überprüfen Sie bei dieser Fehlermeldung Ihre konfigurierten Zugangsdaten. - Seite 27 von 172 - 11. Einwahl ins Internet (ISDN) – Einwahl über einen ISP Diese Option steht nur bei DrayTek Geräten mit ISDN Interface zur Verfügung. Sie können diesen Mode auswählen um sich via ISDN mit Ihrem ISP zu verbinden. Das Kanalbündelungs-Protokoll MLPPP wird je nach Bedarf unterstützt. Name des Anbieters: Hier können Sie den Namen Ihres ISP mit max. 15 Zeichen eintragen. Einwahlnummer: Hier geben Sie die Einwahlnummer Ihres ISP mit max. 16 Zeichen an. Benutzername: Hier geben Sie Ihren Benutzernamen mit max. 48 Zeichen an. Passwort: Hier geben Sie Ihr Passwort mit max. 48 Zeichen an Rückrufoption aktiv (CBCP): Falls Ihr ISP oder Zugangsserver das Feature Callback (CBCP) unterstützt aktivieren Sie es hier. Die Callback Funktion wird per CBCP (Callback Control Protocol) aktiviert. Dabei wird zuerst eine Verbindung zum ISP aufgebaut. Nachdem sich der Anrufer identifiziert hat, ruft der Router der ISP auf der zuvor festgelegten Nummer (diese muss im DrayTek Vigor als MSN eingetragen sein) zurück und baut dann die Verbindung auf. Für die normale Einwahl in das Internet sollte diese Funktion immer deaktiviert bleiben. Verbindung/Verbindungsart: Innerhalb dieses Modes unterstützt der Router die 64kbps, 128kbps sowie BOD (Bandwith on Demand) Einwahl. Die Parameter für BOD können in den „Erweiterten Einstellungen“ im - Seite 28 von 172 - Menüpunkt „Verbindungseinstellungen PPP/MP“ eingestellt werden. Achtung: bei 128k, sowie Dynamisch BOD fallen, teilweise oder ganz, die Gebühren für die Einwahl mit dem 2. B-Kanal an. Wählen Sie also für den normalen Betrieb „Einwahl mit 64k“ aus. PPP Authentifizierung: Bei der Auswahl von "PAP oder CHAP", wählt der Router automatisch welches Authentifikations-Protokoll beim Austausch von Benutzernamen und Passwörtern mit dem Zugangsserver, verwendet werden soll. MS-CHAP für den Zugang auf Windows™ NT Server wird ebenfalls unterstützt. Wird nur „PAP“ ausgewählt wird der Router gezwungen nur klare Text-Passwörter an den Zugangsserver zu senden. Max. Leerlaufzeit: Dieser Parameter wird in Sekunden angegeben. Wenn innerhalb des angegebenen Zeitraums kein Datenaustausch mehr stattfindet, wird die Verbindung unterbrochen. Wenn die Verbindung niemals unterbrochen werden soll, setzt man hier den Wert „0“. Feste IP: Wenn hier “JA” ausgewählt wurde wird der Router veranlasst während der IPCP (Internet Protocol Control Protocol) Phase über die eingetragene IP-Adresse mit dem Zugriffsserver zu kommunizieren. Wenn „Nein“ aktiviert wurde erhält der Router die IP-Adresse vom Zugangsserver für die PPP-Verbindung (Diese Einstellung funktioniert mit den meisten Internet Providern). Feste IP Adresse: Die Feste IP Adresse sollte genutzt werden wenn auch unter “Feste IP” , “JA” ausgewählt wurde. Nachdem Sie die Zugangsdaten konfiguriert haben baut der Router eine ISDN Verbindung zu Ihrem Internetprovider auf. Dieses geschieht allerdings nur, wenn gleichzeitig keine DSL Verbindung aktiv ist. Überprüfen können Sie den Onlinestatus über den gleichnamigen Menüpunkt des Webkonfigurators. - Seite 29 von 172 - 12. Ethernet – LAN IP Adresse Unter Grundeinstellungen „LAN und DHCP“ können Sie dem DrayTek Vigor Router eine andere IP Adresse geben bzw. den Adressbereich des lokalen Netzwerks ändern. Dieses kann nötig sein, wenn Sie den Router in ein schon bestehendes Netzwerk integrieren möchten oder diesen einfach nicht unter der voreingestellten IP Adresse im lokalen Netzwerk LAN betreiben möchten. Werksseitig ist der DrayTek Vigor Router auf die IP Adresse „192.168.1.1“ konfiguriert. Die dazugehörige Subnetzmaske ist „255.255.255.0“. Diese Teilnetzmaske bestimmt, dass Geräte, deren IP-Adresse in den ersten drei Ziffern mit der Router IP-Adresse übereinstimmt, auf den DrayTek Router zugreifen können. Ab Werk können also Clients/Rechner, deren IP Adresse mit 192.168.1 beginnt, sich mit dem Router im Netzwerk verbinden. 1te IP-Adresse: Der Eintrag bei "1te IP-Adresse" ist die IP-Adresse des Vigor im lokalen Netzwerk (LAN). Unter dieser Adresse kann der Vigor im lokalen Netzwerk erreicht/konfiguriert und angesprochen werden. 1te Subnetz Maske: Die Subnetzmaske bestimmt, welche IP-Adressen Teil eines lokalen Netzwerks sind, bzw. dazugehören. Weitergehende Informationen zu IP Adressen und Subnetzen finden Sie im Internet. Achtung: Weisen Sie dem Router eine andere Adresse und/oder eine andere Teilnetzmaske im lokalen Netzwerk (LAN) zu, müssen Sie natürlich auch die TCP/IP Einstellungen dieser Rechner dementsprechend anpassen, damit sie den Router unter den neuen Einstellungen erreichen können. - Seite 30 von 172 - Ein Rechner muss sich immer im selben Subnetz (Teilnetz) befinden wie der Router. Und die Router IP Adresse muss in den Netzwerkeinstellungen unter Gateway bzw. Router eingetragen werden. Die Teilnetzmasken (Subnetz) der Geräte im Netzwerk sollten immer übereinstimmen und deren LAN IP-Adressen entsprechend der Teilnetzmaske dem gleichen Teilnetz angehören. Bei der gebräuchlichsten Teilnetzmaske 255.255.255.0, liegen die IPAdressen dann im gleichen Teilnetz, wenn die drei ersten Ziffern der IP-Adressen übereinstimmen. Beispiel: Sie verfügen bereits über ein lokales Netzwerk, in dem sich Ihre Rechner, Server, Netzwerkdrucker etc. befinden. Die Teilnetzmaske, die Sie den Rechnern des lokalen Netzes vergeben haben, ist 255.255.255.0. Das heißt der Adressbereich dieses Netzwerks ist 192.168.2.0 - 192.168.2.254. In diesem Adressbereich wollen Sie den Router mit der IP-Adresse 192.168.2.100 konfigurieren. Tragen Sie diese IP Adresse des Routers bei den Netzwerkeinstellungen der Rechner des Netzwerks unter Router bzw.- Gatewayadresse ein. Ändern Sie dann hier im Menü des Routers die neue IP des Vigors unter "1te IPAdresse" auf 192.168.2.100. Die Subnetzmaske 255.255.255.0 ändert sich nicht. Nach Aktivierung der Einstellungen können Sie den Router ans Netzwerk anschließen und weiter konfigurieren. Klicken Sie auf „OK“ am Ende des Konfigurationsmenüs um die Änderungen zu aktivieren. Klicken Sie auf „Aktuelle Konfiguration übernehmen“ und danach auf „OK“ um den Router neu zu starten. Danach ist der Router dann unter „192.168.2.100“ zu erreichen. - Seite 31 von 172 - 13. Ethernet DHCP Server Der DrayTek Vigor Router kann als DHCP Server arbeiten. Wozu benötige ich diese Funktion? Jeder Client/Rechner in einem Netzwerk benötigt gewisse Grundeinstellungen für das Netzwerk bzw. die Anbindung an das Internet. Zu diesen gehören z.B. IP-Adresse, Teilnetzmaske (Subnetz), Router bzw. Gateway Adresse und eventuell DNS Server. Wenn Sie Ihr Netzwerk ausschließlich mit festen IP Adressen konfigurieren bzw. betreiben wollen, müssen Sie diese Informationen in jedem Rechner/Client von Hand eintragen bzw. diesen konfigurieren. Diese Arbeit kann Ihnen der DrayTek Router jedoch abnehmen. Wird der DrayTek Router als DHCP Server verwendet übernimmt er diese Konfiguration für die Rechner/Clients, sofern diese als DHCP Client konfiguriert sind (IP Adresse automatisch beziehen). Bis zu einem Neustart vergibt dann der Router dynamisch eine IP Adresse, die dazugehörige Subnetzmaske (Teilnetz), sowie die Informationen über Gateway und DNS Server. Der DHCP Server des DrayTek Vigor Routers ist ab Werk auf „aktiv“ gesetzt. Sollten Sie schon einen DHCP Server in Ihrem lokalen Netzwerk betreiben oder nur mit festen IP Adressen arbeiten, können Sie diese Funktion natürlich im Webkonfigurator ausschalten. Dieses geschieht unter „Grundeinstellungen -> LAN und DHCP“. Schalten Sie hier den DHCP Server des Vigor Routers aktiv, inaktiv oder auf Relay Agent. "Server aktiv": Der Vigor fungiert als DHCP-Server. Konfigurieren Sie dazu "Startadresse", "IP-Pool" und "Gateway IP Adresse". - Seite 32 von 172 - Start IP-Adresse: Die Startadresse bezeichnet die erste vom DHCP-Server zu vergebende IPAdresse für DHCP-Clients/Rechner an. Die Startadresse muss im IP-Adressbereich des Routers liegen (wird durch LAN-Adresse und Subnetzmaske definiert). IP-Pool (max. Anzahl): Diese Zahl bestimmt die maximale Anzahl der per DHCP zu verteilenden IP-Adressen. Im Bildbeispiel bedeutet das also: Die erste zu vergebende IP Adresse ist die 192.168.1.10 und es werden nach Bedarf Adressen bis 192.168.1.59 vergeben. Gateway IP-Adresse: Unter "Gateway IP-Adresse" wird derjenige Router im Netzwerk angeben, der DHCP-Clients für den Internetzugang mitgeteilt wird. Im Allgemeinen ist hier die IP-Adresse des DrayTek Vigor selbst einzutragen. "inaktiv": Deaktiviert den DHCP-Server des DrayTek Routers. "DHCP Server IP-Adresse f. Relay Agent": In dieser Einstellung kann der Vigor die DHCPAnfragen an einen anderen DHCP-Server im Netzwerk weiterleiten. Tragen Sie dazu die IP des Rechners, auf dem Ihr eventuell schon vorhandener DHCP Server läuft, unter "Externer DHCPServer" ein. Beachten Sie bitte, dass sämtliche zu einem Netzwerk zusammengefassten Geräte sich immer im selben IP Adressbereich und dem Selben Subnetz (Teilnetz) befinden müssen. Beispiel: Der Router hat die IP Adresse „192.168.1.1“ und die Subnetzmaske „255.255.255.0“. Der DHCP Server ist auf aktiv und verteilt Rechnern/Clienten die als DHCP Client konfiguriert sind automatisch IP Adressen von 192.168.1.10 bis 192.168.1.59. Weiterhin können Sie natürlich noch Geräte mit festen IP Adressen im selben Netzwerk haben wie z.B. einen Netzwerkdrucker der dann die IP Adressen 192.168.1.150, das Subnetz 255.255.255.0 und als Gateway den Router 192.168.1.1 konfiguriert hat. Es dürfen allerdings niemals 2 Geräte in einem Netzwerk die gleiche IP Adresse haben, sonst kommt es zu einem IP Adresskonflikt. Die Teilnetzmaske 255.255.255.0 besagt, dass sämtliche Geräte die mit 192.168.1.x konfiguriert sind, Teil eines gemeinsamen Netzwerks sind und nur durch die letzte Zahl unterschieden werden. - Seite 33 von 172 - 14. Ethernet DNS DNS Server werden vom DrayTek Vigor Router dazu benutzt, Internetadressen in Worten und Zeichen, wie man sie als Benutzer kennt, in die zugehörige IP-Adresse im Internet zu übersetzen, unter der die Seite im Internet erreicht werden kann. Er dient also der Auflösung von Namen zu IP-Adresse. Die Adresse www.draytek.com wird vom DNS Server aufgelöst zu „210.243.151.187“. Normalerweise erhält der Vigor bei einer Internetverbindung automatisch vom Internet Service Provider gültige DNS-Adressen zugewiesen. Möchten Sie trotzdem noch „eigene“ DNS Server angeben, die der DrayTek Vigor verwenden soll, können Sie dieses hier unter DNS Server Einstellungen tun. Bestätigen Sie wie immer mit „OK“. - Seite 34 von 172 - 15. Ethernet IP Routing Einige Internetprovider bieten zusätzlich zu einer festen, für Sie reservierten (public) IP Adresse im Internet zusätzlich ein ganzes Subnetz (Teilnetz) mit mehreren IP Adressen im Internet. Mit der IP Routing Funktion des DrayTek Vigor Routers können Anfragen auf IP Adressen die in diesem Internet IP Adressbereich liegen direkt in das lokale Netzwerk des Routers weitergeleitet werden (ohne NAT / Network Adress Translation). Es existiert dann also ein zweites Subnetz in Ihrem LAN (lokalen Netzwerk). Rechner bzw. Clients aus diesem Subnetz (Teilnetz) haben also eine public (öffentliche) Internet IP Adresse. Die nötigen Informationen hierzu werden Ihnen von Ihrem Internetprovider mitgeteilt. Beachten Sie bitte, dass Rechner bzw. Clienten die über IP Routing erreichbar sind nicht von der NAT-Firewall des DrayTek Routers geschützt werden und somit sozusagen direkt mit dem Internet verbunden sind. Zum Aktivieren dieser Funktion klicken Sie im Menü „LAN und DHCP“ auf IP-Routing „aktiv“. Nun können Sie dem DrayTek Router unter „2te IP-Adresse“ und „2te Subnetz Maske“ eine zweite IP Adresse und zweites Subnetz konfigurieren. Nach der Bestätigung der Eingaben durch klicken auf „OK“ können Sie nun noch die IP Adressvergabe (DHCP) für dieses zweite Teilnetz konfigurieren. Dabei werden die Clients mit Ihrer Hardware-MAC Adresse ausgewählt. - Seite 35 von 172 - Bei Start IP-Adresse definieren Sie bitte den IP Adressbereich ab dem der Vigor den Clients per DHCP IP Adressen zuweisen soll. Es können maximal 10 IP Adressen für das zweite Subnetz / IP Routing vom Vigor Router per DHCP vergeben werden. Im unteren Teil dieses Menüs haben Sie die Möglichkeit die MAC Adressen für die Clients/Rechner hinzuzufügen bzw. zu entfernen, zu ändern oder zu löschen. Bestätigt wird das Ganze dann wie immer mit „OK“. Nach erfolgter Konfiguration starten Sie den DrayTek Vigor Router bitte mit den aktuellen Einstellungen neu. - Seite 36 von 172 - 16. WLAN Basiskonfiguration Dieser Abschnitt befasst sich mit der Konfiguration der Einstellungen für das Funknetz (WLAN / drahtlose LAN). Dieser Teil des Webkonfigurators erscheint nur bei DrayTek Vigor Modellen die über eine integrierte Basisstation (Access Point) verfügen. Die aktuellen DrayTek Vigor Modelle mit WLAN arbeiten nach dem 54Mbit 802.11g Standard, der natürlich auch abwärtskompatibel zum 802.11b Standard mit 11Mbit ist. Diese WLAN Funktion ermöglicht es jedem beliebigen Client/Rechner, der mit einer dieser beiden Standards kompatibel ist, drahtlos auf das Internet bzw. andere Rechner im lokalen Netzwerk zuzugreifen. Bei Apple heißt das Ganze dann Airport bzw. Airport Extreme (Appletalk wird unterstützt). - Seite 37 von 172 - Mit „Wireless LAN aktiv“ bestimmen Sie ob das WLAN Interface des Routers ein- bzw. ausgeschaltet sein soll. Bei eingeschaltetem Funknetz können sich Clients am Router anmelden, ist die Funktion deaktiviert ist das WLAN Interface des Routers komplett abgeschaltet. Modus definiert, welcher der Standards für Ihre drahtlose Kommunikation verwendet werden soll. gemischt(11b+11g): Sowohl 54Mbit (IEEE802.11g) als auch 11Mbit (IEEE802.11b) werden unterstützt. In diesem Fall können drahtlose Clients sich nach dem IEEE802.11g und IEEE802.11b Standard am DrayTek Vigor Router anmelden. Nur 11g: Das WLAN verwendet nur IEEE802.11g (54 Mbit). Nur 11b: Das WLAN verwendet nur das langsamere IEEE802.11b (11Mbit). Der Verbindungstimer ermöglicht die zeitgesteuerte Benutzung des drahtlosen Netzwerks. Aktivieren oder deaktivieren Sie das WLAN Interface des Routers automatisch mit dieser Funktion zu bestimmten Zeiten. Jede Basisstation (Access Point) verwendet eine eigene SSID. Hier tragen Sie den Namen Ihres Drahtlosnetzwerks zur Identifikation ein. Das hilft Ihnen Ihr drahtlos Netzwerk von anderen in der nähe befindlichen Funknetzen zu unterscheiden. Der WLAN Client muss zur Kommunikation mit dem Router auf dieselbe SSID wie der Router konfiguriert werden. Beim DrayTek Router ist diese SSID „default“. Unter „Kanal“ stellen Sie den Kanal ein, auf dem der DrayTek Router betrieben werden soll. Da das 2.4GHz Band nicht nur für WLAN reserviert ist kann es einen Vorteil bringen bei schlechter Sende/Empfangsleistung den Kanal zu wechseln um so eventuelle Störungen des WLANs durch z.B. DECT Mobiltelefone zu vermeiden. Der WLAN Client muss zur Kommunikation mit dem Router auf demselben Kanal wie der Router konfiguriert werden. Sollten Sie mehrere DrayTek WLAN Router in Reichweite haben stellen Sie sicher, dass diese im Normalbetrieb mit mindestens 3 Kanälen Unterschied voneinander konfiguriert sind (z.B. Router 1 = Kanal 1 & Router 2 = Kanal 4). "SSID verbergen" ermöglicht es Ihnen, die Funknetzkennung (SSID) zu „verstecken“. Der Router sendet diese SSID nicht aus. Dieses ist ein kleiner Schutz, und erschwert Anderen das Auffinden Ihres Funknetzwerks. Verwenden Sie die Option "Long Preamble" bitte nur, falls Sie einen Rechner mit einer älteren 802.11b Funkkarte benutzen und Verbindungsprobleme auftauchen. - Seite 38 von 172 - 17. WLAN Zugriffskontrolle In diesem Menü können Sie zur zusätzlichen Sicherheit MAC (Hardware Geräteadressen) Adressen von den WLAN Clients hinzufügen, denen der Zugriff auf den DrayTek Vigor Router erlaubt werden soll. Setzen Sie dazu einfach das Häkchen bei „aktiv“. Es können dann nur die Rechner, deren MACAdressen in der Liste aufgeführt sind, den Router erreichen. Anschließend können Sie Änderungen an der Liste vornehmen (Hinzufügen, Entfernen etc.). Wollen Sie einen Eintrag ändern, wählen Sie ihn mit einem Mausklick aus. Dann erscheint der Eintrag wieder in den Feldern unter "MAC-Adresse" und kann mit "Ändern" und "Entfernen" bearbeitet werden. - Seite 39 von 172 - 18. WLAN WEP/WPA Verschlüsselung Sicherheit geht vor und deshalb können Sie hier die Verschlüsselung für Ihr drahtloses Netzwerk konfigurieren. Standardmäßig ist die Verschlüsselung ausgeschaltet, Sie sollten diese aber schnellstmöglich aktivieren. Mit dieser Funktion verschlüsseln Sie Ihr drahtloses Netz und stellen sicher, dass nur berechtigte Clients/Rechner drahtlos auf Ihr Netzwerk bzw. das Internet zugreifen können. Der DrayTek Vigor unterstützt die Methoden WPA (Wi-Fi Protected Access), WPA 2 und WEP (Wired-Equivalent-Privacy). Im Menü „Verschlüsselung“ wählen Sie bitte zuallererst die für Ihr Funknetz zu verwendende Verschlüsselung aus. Zwischen folgenden Arten der Verschlüsselung können Sie hierbei wählen: inaktiv: Keine Verschlüsselung wird verwendet. WEP: Es wird WEP verwendet. Konfigurieren Sie weiter unten noch den Schlüssel (Key/Passwort) für Ihr Funknetz. WEP mit 802.1x: Es wird WEP verwendet. Der Schlüssel wird über einen Radius-Server dynamisch erzeugt. WEP oder WPA/PSK: Sowohl WEP als auch WPA werden verwendet. Konfigurieren Sie weiter unten noch den/die Schlüssel (Key/Passwort) für Ihr Funknetz. WEP oder WPA mit 802.1x: Sowohl WEP als auch WPA werden verwendet. Die Schlüssel werden über einen Radius-Server dynamisch erzeugt. WPA/PSK: Es wird WPA verwendet. Konfigurieren Sie den Pre-Shared Key (WPA-Schlüssel) weiter unten. WPA mit 802.1x: Es wird WPA verwendet. Der Schlüssel wird über einen Radius-Server dynamisch erzeugt. Wählen Sie eine Verschlüsselungsmethode mit der Einstellung "mit 802.1x", ist es erforderlich, die Konfiguration für den Radius-Server zu definieren. Wählen Sie dazu im Hauptmenü unter "Erweiterte Einstellungen" den Punkt "RADIUS". Gehen wir nun genauer auf die einzelnen Verschlüsselungsmethoden ein: - Seite 40 von 172 - WEP Verschlüsselung: Der DrayTek Vigor Router unterstützt 64 und 128Bit WEP Verschlüsselung. Hierbei kann ausgewählt werden ob der Schlüssel (Key) als ASCII Text (reiner Text) oder hexadezimal eingetragen wird. 64 Bit ist die niedrigste, 128 Bit die höchste Verschlüsselung. Sie sollten sich also für 128Bit Verschlüsselung entscheiden. In diesem Menü haben Sie die Möglichkeit bis zu vier Schlüssel (Keys) zu konfigurieren. Dabei können Sie im Webinterface markieren, welcher dieser 4 Schlüssel gerade aktiv sein soll. Sollten Sie sich für die ASCII Eingabe entscheiden beachten Sie bitte die exakte Länge des Schlüsselworts: 64Bit ASCII = 5 Zeichen z.B. ABCDE 128Bit ASCII = 13 Zeichen z.B. ABCDE12345678 Bei der hexadezimalen Eingabe sieht es dann folgendermaßen aus: 64Bit HEX = 0x0102030405 128Bit HEX = 0x01020304050607080901020304 Gültig für die HEX Eingabe sind „0-9“ und „A-F“. Bestätigen Sie abschließend Ihre Einstellungen mit "OK". - Seite 41 von 172 - WPA Verschlüsselung: WPA Verschlüsselung bietet gegenüber der WEP Verschlüsselung noch mehr Sicherheit. Tragen Sie unter "WPA-Verschlüsselung" Ihren Schlüssel (Pre-Shared Key-PSK) ein. Sie haben die Möglichkeit, den Code als ASCII Zeichenfolge (8 bis 63 Zeichen) oder als Hexadezimalzahl (16 bis 126 Zeichen) einzutragen. Gültige Hexadezimalziffern sind die Zahlen 0 bis 9 und die Buchstaben a bis f. Bestätigen Sie Ihre Einstellungen wie immer mit "OK". Hinweis. Durch die Verschlüsselung kann es zu einer reduzierten Leistung in der Funkübertragung der Daten kommen, da sowohl Router als auch Rechner alle Datenpakete „encoden“ bzw. dekodieren müssen. Weiterhin beachten Sie bitte, dass sowohl der Router, als auch die Clients natürlich auf die selbe SSID, den selben Kanal und den selben Schlüssel konfiguriert sind. Nur dann steht Ihrer drahtlosen Kommunikation nichts mehr im Wege. Nicht alle Funknetzkarten unterstützen alle Methoden der Verschlüsselung. Bitte informieren Sie sich jeweils in der zugehörigen Dokumentation, welche Verschlüsselungsmethoden vom Hersteller Ihrer Funknetzkarte unterstützt werden. - Seite 42 von 172 - 19. VPNoW – VPN over WLAN Der DrayTek Vigor Router bietet neben der Möglichkeit den drahtlosen Datenverkehr zwischen Client und Router mit WEP oder WPA zu verschlüsseln weiterhin die Möglichkeit diese Verbindung noch über ein VPN (Virtual Private Network) aufzubauen. Folgendes Beispiel zeigt die Konfiguration des Vigor Routers für einen drahtlosen Zugriff über einen MPPE verschlüsselten Tunnel. Profil konfigurieren: Wir konfigurieren zuerst einmal ein Profil für die Einwahl eines externen Nutzers. Dazu gehen wir über das Hauptmenü in den Menüpunkt Erweiterte Einstellungen -> VPN und externe Einwahl und wählen dort den Menüpunkt „Externe Benutzer (Teleworker)“ aus. Dort wählen wir ein freies Benutzerprofil aus, das wir nun folgendermaßen konfigurieren: Zuerst aktivieren wir dieses Benutzerkonto durch Setzen des Häkchens. Weiterhin setzen Sie bitte die max. Leerlaufzeit auf „0“, da sonst die Funkverbindung nach der dort voreingestellten Zeit abgebrochen werden würde. Um eine Verbindung über PPTP zuzulassen, aktivieren Sie bei „Einwahl erlauben/zulassen über“ nur die PPTP Funktion. Weiterhin vergeben Sie bitte einen Benutzernamen und ein Passwort für die Verbindung. In unserem Beispiel ist das „drahtlos1“ und „test“. Achten Sie bitte hier auf Groß- und Kleinschreibung. Nun bestätigen Sie das Ganze mit klicken auf „OK“. Der nächste Schritt führt uns in das Menü „VPN und externe Einwahl“ und dort auf „Einwahlmöglichkeiten“. Hier überprüfen Sie bitte ob auch alle Protokolle bzw. das für unser Beispiel verwendete PPTP aktiviert ist. Bitte bestätigen und übernehmen Sie die Einstellung wie immer durch klicken auf „OK“. - Seite 43 von 172 - WLAN Konfigurieren: Stellen Sie sicher, dass das Funknetzwerk generell aktiviert ist. (Wireless Lan -> Basiskonfiguration) Wechseln Sie nun in das Menü Funknetz -> Zugriffskontrolle. Hier setzen Sie nun bitte ein Häkchen bei „aktiv“. Damit wird der Router nur noch Clients akzeptieren, deren MAC Adresse (Hardwareadresse) in der untenstehenden Liste hinterlegt ist. Damit sich ein Client per VPN mit dem Router drahtlos verbinden kann, muss ein Häkchen bei „VPN über WLAN erforderlich“ gesetzt werden. Tragen Sie nun die MAC Adresse des Client Rechners ein, setzen das Häkchen und klicken dann auf „Hinzufügen“. Genauso können hier natürlich die schon vorhandenen Einträge geändert oder gelöscht werden. - Seite 44 von 172 - Nachdem Sie die MAC Adresse des Clients hinzugefügt haben, tragen Sie bitte noch die IP Adresse des Routers als VPN Server ein. In unserem Beispiel ist das die Standard IP Adresse des Vigor Routers „192.168.1.1“. Nachdem wir die Konfiguration mit „OK“ bestätigt haben ist der Vigor Router nun für den drahtlosen Zugriff über VPN vorbereitet. Verwenden Sie nun einen VPN Client bzw. Windows, um über VPN und drahtlos auf den Vigor Router zuzugreifen. Als zu verbindende IP Adresse geben Sie die IP des DrayTek Routers an (192.168.1.1), und als Benutzer und Passwort verwenden Sie „drahtlos1“ und „test“ wie beim externen Nutzer konfiguriert. Die MPPE Verschlüsselung wird vom Vigor bei der Einwahl ausgehandelt, falls dieses möglich ist. Sie können die erfolgreiche Einwahl jederzeit im VPN Status Menü des Webkonfigurators überprüfen. - Seite 45 von 172 - 20. WLAN - Liste der Clients In diesem Menüpunkt erhalten Sie eine Übersicht über die mit dem DrayTek Vigor Router verbundenen bzw. sich in der nähe befindlichen drahtlosen Clients/Rechner. MAC-Adresse zeigt Ihnen in diesem Falle die Hardwareadresse (MAC-Adresse) des drahtlosen Clients an. Unter Status signalisiert Ihnen der DrayTek Router die Art der Verbindung des Clients mit dem Router. Dabei steht vor jeder MAC Adresse ein Buchstabe. - Seite 46 von 172 - Diese Buchstaben bedeuten im Einzelnen: C: Verbunden ohne Verschlüsselung E: Verbunden mit WEP-Verschlüsselung P: Verbunden mit WPA-Verschlüsselung A: Verbunden mit WPA2-Verschlüsselung B: Client abgewiesen - MAC ohne Zugangsberechtigung N: Versuch eines Verbindungsaufbaus F: Authentifizierung mit 802.1x/WPA fehlgeschlagen Weiterhin können Sie in diesem Menü auf einfache Art und Weise Clienten in die Liste der erlaubten MAC Adressen für die Zugriffskontrolle übernommen werden. - Seite 47 von 172 - 21. WLAN - Liste der Access Points Die Liste der Access Points ermöglicht Ihnen sich einen genauen Überblick über die in der Nähe befindlichen WLAN Access Points zu verschaffen. Klicken Sie auf den „Suchen“ Button und der Router startet einen Suchvorgang. Während dieses Vorgangs sollte kein Client mit dem Router über WLAN verbunden sein. Nach ca. fünf Sekunden werden Ihnen die vom DrayTek Vigor identifizierten Access Points in einer Liste mit zusätzlichen Informationen wie z.B. dem verwendeten Kanal und der SSID angezeigt. So sehen Sie genau welche Stationen sich in Ihrer Nähe befinden und welcher Kanal verwendet wird. Weiterhin können Sie auf den „Statistik“ Button klicken, um sich vom Router für die Verwendung empfohlene Kanäle anzeigen zu lassen. Im unteren Teil dieses Menüs können Sie nun auch einfach einzelne Access Points mit Ihrer MAC Adresse zu einem WDS (Wireless Distributed System) hinzufügen. Wählen Sie dazu einfach einen Access Point aus und klicken auf den „Hinzufügen“ Button. - Seite 48 von 172 - 22. WLAN – WDS WDS (Wireless Distributed System) dient dazu, die Reichweite Ihres Funknetzwerks zu erweitern und zwar ohne, dass die diversen Access Points/Router per Kabel miteinander verbunden sein müssen (Repeater Funktion). Alternativ können Sie auch zwei verschiedene Netzwerke (unterschiedliche IP-Adressbereiche) miteinander Verbinden (Bridge Funktion). - Seite 49 von 172 - Im folgenden Menü des DrayTek Vigor Routers können Sie die WDS Funktion konfigurieren: Als Beispiel wird die Konfiguration im Bridge Mode erklärt. Achten Sie zuerst darauf, dass sich beide Router/Access Points im selben IP-Adressbereich befinden. (Beispiel: Router LAN1 = 192.168.1.1 / Router LAN2 = 192.168.1.2) Weiterhin müssen beide Router in der WLAN Konfiguration auf den gleichen Kanal konfiguriert werden. Stellen Sie nun den WDS Modus in beiden Geräten auf „Bridge“. Sie haben nun die Möglichkeit, die WDS Verbindung zwischen den Routern optional zu verschlüsseln. Da es bisher keinen einheitlichen Standard für WDS gibt kann es sein, dass TKIP Verschlüsselung im Zusammenhang mit Access Points anderer Hersteller nicht funktioniert. Wählen Sie in diesem Fall die WEP Verschlüsselung aus. - Seite 50 von 172 - Sollten Sie in den „normalen“ WLAN Einstellungen des Routers WEP Verschlüsselung verwenden, nutzen Sie diese auch für das WDS. Verwenden Sie WPA/Pre-Shared Key wählen Sie diesen bitte auch für Ihr WDS. Anderenfalls erhalten Sie die folgende Fehlermeldung: Hier nun eine Übersicht über die für WDS zur Verfügung stehenden Sicherheitsmodi: Aktivieren Sie die Funktion „den selben WEP-Schlüssel verwenden wie in den Einstellungen Verschlüsselung“, verwendet der Router den selben Schlüssel für das WDS. Anderenfalls können Sie für das WDS einen „eigenen“ Schlüssel konfigurieren. Achtung: Beachten Sie, dass für die WDS Verbindung in allen Routern/Access Points identische Schlüssel konfiguriert sein müssen. Nun aktivieren Sie im rechten Teil des Menüs bitte die zum WDS gehörenden Access Points bzw. Router und tragen dort die WLAN MAC (Hardware) Adressen der Geräte ein. Achten Sie darauf, dass Sie nicht die LAN MAC Adressen verwenden, sondern die des WLAN Interfaces des Routers. Beim DrayTek Vigor finden Sie diese im Wireless LAN Menü. - Seite 51 von 172 - Nun aktivieren oder deaktivieren Sie bitte die Access Point Funktion für dieses Gerät. Schalten Sie diese auf „inaktiv“ wird das WLAN Interface des DrayTek Vigor Routers ausschließlich für das WDS verwendet, und kein Client kann sich über Wireless Lan mit dem Router verbinden. Richten Sie das WDS ausschließlich mit DrayTek Vigor Routern ein, können Sie noch die „Sende Hallo“ Funktion aktivieren und haben die Möglichkeit sich über den Button „Verbindungs-Status“ weitere Infos zur Konnektivität anzeigen zu lassen. Repeater Funktion: Um Die Reichweite eines WDS zu vergrößern, können Sie einen dritten Vigor als Repeater konfigurieren. Gehen wir davon aus, dass Sie bereits zwei Draytek Router als Bridge WDS (wie oben beschrieben) konfiguriert haben... Geben Sie dem dritten Router (dem Repeater) nun auch eine IP Adresse aus dem IPAdressbereich der beiden anderen Geräte. (Beispiel: Router3/Repeater = 192.168.1.3) Weiterhin muss auch dieser Router auf den selben WLAN Kanal wie die beiden anderen Router Konfiguriert sein. Schalten Sie nun bei diesem Gerät (Router 3) den WDS Mode auf „Repeater“ - Seite 52 von 172 - und konfigurieren auch hier die WLAN Schlüssel (identisch mit denen von Router 1 und 2). Nun konfigurieren Sie in Router 3 bei „Bridge“ noch die WLAN MAC-Adressen von Router 1 und 2, und in Router 1 und 2 bei „Repeater“ die WLAN MAC-Adresse von Router 3. Damit ist das Setup abgeschlossen. - Seite 53 von 172 - 23. Grundeinstellungen ISDN In diesem Menü legen Sie die Grundeinstellungen für ISDN fest. Dieser Teil des Webkonfigurators erscheint nur bei Modellen mit ISDN Interface. Zu allererst können Sie die ISDN Schnittstelle des DrayTek Vigor Routers hier aktivieren bzw. deaktivieren. Ab Werk ist diese per Voreinstellung aktiv. Bei der Länderkennung wählen Sie bitte das Land aus in dem Sie den DrayTek Vigor am ISDN Betreiben wollen. In unserem Falle wäre das „Germany“. Die "Eigene Nummer" dient der Übermittlung Ihrer MSN an die Gegenstelle. Tragen Sie bitte die Nummer ein, die im Display der Gegenstelle erscheinen soll. Beachten Sie, dass dieses MSN Nummer nicht immer zwangsläufig übermittelt wird. Die Übermittlung kann z.B. auch von Ihrer Telefonanlage oder der Telekom unterbunden werden. ISDN-Mehrfachrufnummern (MSN) Hier können Sie die Rufannahme des DrayTek Vigor auf bis zu drei Rufnummern einschränken. Unter diesen Rufnummern ist der DrayTek Router von außen (für die Einwahl in das lokale Netzwerk) erreichbar. Geben Sie hier keine spezifischen Nummern an, nimmt der Router unabhängig von der Rufnummer alle Anrufe entgegen. Als Rufnummer ist entweder eine MSN oder die interne Rufnummer der Telefonanlage einzutragen. - Seite 54 von 172 - Beachten Sie bitte, dass der Draytek Vigor nur mit Euro-ISDN (DSS1) und nicht mit dem teilweise noch älteren 1TR6 funktioniert. Weiterhin kann der Vigor nicht an einem Anlagenanschluss betrieben werden. Mit einem ISDN Mehrgeräteanschluss erhält man vom Netzbetreiber (Telekom, Arcor etc..) eine oder mehrere MSN Nummern - in Deutschland 3 Stück (optional bis zu 10). Diese werden im Normalfall zum Telefonieren verwendet (1 MSN=Telefon, 1 MSN=Faxgerät, 1 MSN=Frau oder Kind). Soll der DrayTek Router nun von außen erreichbar sein, trägt man eine MSN (meist 5- oder mehrstellig) in eines der 3 freien Felder ein. Beispiel: Telefonnummer 030/78000940, MSN: 78000940, 78000944 und 78000945. Es wird 78000945 in das Feld "1." eingetragen, da 78000940 für Telefon und 78000944 für Fax bereits in Gebrauch sind. Der Vigor ist damit für die Einwahl unter der Rufnummer 030/78000945 erreichbar. Hinweis: Bei einem internen ISDN-Anschluss einer kleineren Telefonanlage, die ihrerseits an einem Mehrgeräteanschluss betrieben wird, funktioniert diese Konfiguration unter Umständen nicht. Das kann daran liegen, dass ein ISDN Mehrgeräteanschluss nicht „wirklich“ durchwahlfähig ist. Versuchen Sie dann einfach mal, als Rufnummer die hausinterne Durchwahl im Feld Rufnummer einzutragen. Führt dies auch nicht zum Erfolg, so ist es besser, den DrayTek Router direkt mit dem S0-Bus der Telekom (NTBA) zu verbinden und wie oben schon beschrieben mit einer MSN zu konfigurieren. Bei einer Durchwahl einer Telefonanlage am sogenannten Anlagenanschluss (= aktiv durchgeschliffener S0-Bus) ist darauf zu achten, dass die Durchwahl nicht von einem anderen Anschluss verwendet wird. Beispiel: Telefonnummer 030/7800094-0, Durchwahlen sind zweistellig von 10-99. Es wird 90 in das Feld "1." eingetragen und der DrayTek Router ist damit unter der Rufnummer 090/7800094-90 erreichbar. Wichtig: Der interne ISDN-Anschluss der Telefonanlage muss nach der Euro-Norm (DSS1) beschaltet sein. Der 1TR6 Standard, der vereinzelt noch bei größeren Telefonanlagen hausintern vorkommt, wird vom DrayTek Vigor nicht unterstützt. Kontaktieren Sie bitte in diesem Falle Ihre Telekommunikationsgesellschaft und fragen, wie man den Anschluss auf Euro ISDN umstellen lassen kann. Diese Umstellung stellt in der Regel keinen größeren Aufwand dar. 1TR6 wird seit vielen Jahren auch nicht mehr von der Telekom verwendet, so dass dieses nur in ein Paar ausgewählten Fällen nötig sein sollte. - Seite 55 von 172 - 24. Verbindungseinstellungen PPP/MP Die DrayTek Vigor Router, die über ein ISDN Interface verfügen, können eine ISDN Internetverbindung mit einem ISDN B-Kanal (64k), mit 2 ISDN B-Kanälen (128k) oder mit BOD (Bandwidth on Demand) aufbauen. Bei der Verwendung von BOD entscheidet der DrayTek Router anhand der aktuellen Übertragungsrate ob der zweite Kanal dazugeschaltet bzw. abgeschaltet werden soll oder nicht. Hinweis: Die Benutzung von beiden ISDN B-Kanälen bringt Ihnen zwar Geschwindigkeit bei der Übertragung Ihrer Daten, verursacht aber auch zusätzliche Kosten. Sie können für die BOD Funktion in diesem Menü einige Einstellungen vornehmen auf die wir jetzt etwas genauer eingehen. Die Wahlwiederholungen bzw. das Wahlwiederholungsintervall geben an wie oft bzw. in welchen Abständen der Vigor Router versuchen soll die Verbindung aufzubauen, sollte die angewählte Rufnummer z.B. besetzt sein. Weiterhin unterstützt der DrayTek Router die Fernaktivierung (Einwahl in das Internet) bei einem Anruf von einer bestimmten Telefonnummer. Diese Funktion beschreiben wir in einem anderen Kapitel des Handbuchs. Unter „Grundeinstellungen" sehen Sie noch einmal die Einstellungen zur Internetverbindung über ISDN, die Sie bereits bei der Konfiguration des Internetzugangs über ISDN vorgenommen haben. Wenn Sie diese hier ändern, werden also auch Ihre Einstellungen für Ihre ISDNInternetverbindung geändert. Im Bild ist die Internetverbindung auf BOD (Bandwidth on Demand) konfiguriert. Unter „Automatische Bandbreitenvergabe" können die Übertragungsraten für die Aktivierung bzw. Deaktivierung des zweiten ISDN-Kanals eingestellt werden. Die Einstellungen werden nur aktiv, wenn „Dynamisch (BOD)" eingestellt ist und der DrayTek Vigor Router eine ISDN - Seite 56 von 172 - Wählverbindung nutzt. Die im Beispiel eingestellten Werte bewirken, dass bei der Überschreitung einer Übertragungsrate von 7000cps (characters per second, entspricht ungefähr 7k pro Sekunde) für mehr als 30 Sekunden automatisch der 2. ISDN B-Kanal aktiviert wird. Fällt die Übertragungsrate für mehr als 30 Sekunden unter 6000 cps, so wird der 2. B-Kanal automatisch abgebaut. Bestätigen und übernehmen Sie Ihre Einstellungen mit "OK". - Seite 57 von 172 - 25. ISDN – Fernaktivierung Ein weiteres Feature des DrayTek Vigor Routers ist die Fernaktivierung der Interneteinwahl über ein Telefon bzw. Mobiltelefon. Diese Funktion funktioniert natürlich nur, wenn der Anrufer seine Rufnummer an de Vigor Router übermittelt (CLIP) und wenn der DrayTek Vigor über ein ISDN Interface verfügt. Nehmen wir an, Sie haben keine DSL Flatrate möchten aber hier und da mal auf Ihr Netzwerk zu Hause über das Internet zugreifen... Sie haben nun die Möglichkeit dem Router eine Telefonnummer bzw. einen Teil einer Nummer zu hinterlegen. Wenn Sie dann von dieser Nummer aus beim Vigor anrufen, baut dieser z.B. Ihre DSL Verbindung auf. Konfigurieren Sie sich zuallererst einen DynDNS Account. Dieses Thema wird in einem anderen Kapitel behandelt. Achten Sie bitte darauf, dass die Einwahlmöglichkeit für ISDN aktiviert ist. Wenn nicht aktivieren Sie die ISDN Einwahl bitte unter „VPN und externe Einwahl". Klicken Sie dort auf "Einwahlmöglichkeiten". Bestätigen Sie wie immer mit „OK“ und öffnen Sie dann über das Hauptmenü den Eintrag „Verbindungseinstellungen PPP/MP". - Seite 58 von 172 - Tragen Sie in dieses Feld bitte die Telefonnummer bzw. die Endung der Telefonnummer ein, bei deren Anruf der Vigor die Internetverbindung aufbauen soll. Beispiel: Sie wollen, dass der Router die Internetverbindung aufbaut, sobald Sie von Ihrem Handy anrufen. Ihre Handynummer ist: 0179/1234567. Tragen Sie dann in das Feld z.B. „34567“ ein. Der Vigor überprüft die Telefonnummer des Anrufers von rechts nach links. Nur bei Übereinstimmung mit der hier eingegebenen Nummer wird die Einwahl ins Internet erfolgen. - Seite 59 von 172 - 26. ISDN – Vorwahlen und Rufnummern sperren Im Vigor können zur Sicherheit bestimmte Vorwahlen oder ganze Telefonnummern für die Anwahl per ISDN gesperrt werden. Dieses bietet Ihnen die Möglichkeit z.B. 0190 oder 0900 Nummern (die meistens mit kostspieligen Mehrwertdiensten verbunden sind) im Router zu sperren. Der Vigor schaut also immer nur auf den Beginn der Telefonnummer. Wenn Sie nur eine ganz bestimmte Rufnummer sperren wollen, geben Sie einfach die komplette Telefonnummer ein. Bestätigt wird das Ganze wie immer mit „OK“. - Seite 60 von 172 - 27. ISDN – Externe Einwahl (RAS) Eine externe Einwahl über ISDN (RAS) ist eigentlich ganz einfach zu konfigurieren, die folgenden Schritte zeigen Ihnen wie man eine Einwahlmöglichkeit von außen auf den Router ermöglicht. Gehen Sie erst mal auf das Hauptmenü des Webkonfigurators in das „ISDN“ Setup. Dort tragen Sie bitte bei den MSN’s eine Telefonnummer ein, unter der der Router überhaupt erreichbar sein soll. Wenn Ihre Telefonnummer z.B. 030/78000943 ist. Tragen Sie bitte dort 78000943 ein. Bestätigen Sie mit klicken auf „OK“ und wechseln dann wieder in das Hauptmenü VPN und externe Einwahl -> Einwahlmöglichkeiten. - Seite 61 von 172 - Stellen Sie hier bitte sicher, dass die Einwahl über ISDN aktiv ist. Nun wechseln wir wieder in das Menü VPN und externe Einwahl und dort auf die „PPP Einstellungen“. - Seite 62 von 172 - Auf der linken Seite des Menüs lassen Sie bitte alles so wie es ist und tragen bitte nur rechts bei -> „IP Adressenzuweisung für einwählenden Benutzer“ die IP Adresse ein, die der Benutzer der sich von außerhalb einwählt, in Ihrem lokalen Netzwerk zugeteilt bekommen soll. Gesetzt den Fall Sie haben ein 192.168.10.X Netzwerk nehmen sie einfach eine in diesem Netzbereich noch „freie“ bzw. nicht vergebene IP Adresse . (Beispiel: 192.168.10.200) Bei der PPP Authentifizierung werden sowohl PAP als auch CHAP vom Router akzeptiert. Sollten Sie gegenseitige Authentifizierung als zusätzliches Sicherheitsfeature benutzen wollen aktivieren Sie dieses bitte und tragen noch einen Benutzernamen und ein Passwort für die doppelte Authentifizierung ein. Bestätigen Sie das Ganze mit „OK“ und gehen zurück ins Hauptmenü. Klicken Sie im Menü "VPN und externe Einwahl" auf "Externe Benutzer (Teleworker)" um Benutzerkennungen und Passwörter für externe Benutzer festzulegen. - Seite 63 von 172 - Insgesamt können bis zu 20 Profile für verschiedene Nutzer im DrayTek Router konfiguriert werden. Wählen Sie also eines der freien Konten aus um mit der Konfiguration fortzufahren. - Seite 64 von 172 - Dort aktivieren Sie bitte erst einmal das Benutzerkonto, vergeben einen Benutzernamen und Passwort für den einwählenden Benutzer. Beachten Sie bitte hierbei möglichst keine Sonderzeichen zu verwenden, sondern nur normale Zahlen & Buchstaben zu verwenden. Bei „Max. Leerlaufzeit“ können sie die Zeit in Sekunden angeben, nach der der Router die Verbindung trennt wenn kein Datenaustausch mehr über diese Verbindung läuft. Nun können Sie noch die Caller ID Überprüfung bei „Fernzugriff definieren“ aktivieren. Dieses ist ein zusätzliches Sicherheitsfeature. Wenn Sie die Telefonnummer des Anrufers kennen bzw. nur jemandem von einer bestimmten Nummer aus die Einwahl gestattet werden soll, tragen sie dort noch die dementsprechende MSN ein. Auf der rechten Seite können wir nun nach die Rückruffunktion aktivieren. Sollten sie unter Umständen wollen, dass der Router den Einwählenden Benutzer zurückruft, aktivieren Sie bitte diese Funktion und tragen dort die Telefonnummer für den Rückruf ein. (Vorwahl+Nummer) Das Aktivieren des Rückrufzeitkontos bewirkt, dass der Router nach einer Bestimmten Zeit die man dort angeben kann, die Rückrufverbindung wieder trennt. Beachten Sie, dass die Rückruffunktion von der Software des sich einwählenden Benutzers unterstützt werden muss. Nun wieder mit „OK“ bestätigen und das war’s mit der Konfiguration des Routers. - Seite 65 von 172 - Der einwählende Benutzer muss nun auf dem Remote Rechner von dem die Einwahl erfolgen soll mit Hilfe des MS Internet Setup Assistenten eine ganz normale Internet Verbindung konfigurieren. Dort wählt er als zu benutzendes Protokoll PPP aus, als Telefonnummer gibt er die Nummer an die wir im ISDN Setup des Routers angegeben haben (030/78000943) und als Benutzernamen und Passwort trägt er die Daten ein, die wir im Router für dieses Profil eingetragen haben. Wenn sich der externe User nun einwählt, bekommt er sozusagen über die ISDN Leitung eine IP im lokalen Netz des Routers zugewiesen und kann, wenn dementsprechende Freigaben gemacht wurden, Daten austauschen, den Router Konfigurieren, oder andere Services nutzen. Er kann, wenn er die IP Adresse des Rechners mit dem er Daten austauschen möchte kennt, dann bei sich auf dem Rechner auf „Computer suchen“ gehen, gibt dort die IP Adresse des zu suchenden Rechners ein und kann auf die freigegebenen Verzeichnisse zugreifen. Die RAS Konfiguration ist damit abgeschlossen. Diese Funktion wurde von uns oft getestet und funktioniert einwandfrei, sollten Sie Probleme haben liegt das wahrscheinlich an nicht vorhandenen oder falschen Freigaben oder es ist ein Problem des lokalen Netzwerkes. - Seite 66 von 172 - 28. NAT – Network Adress Translation NAT steht für Network Address Translation. Im Normalfall bekommen Sie von Ihrem ISP eine „public“ (WAN) IP Adresse zugewiesen, sobald Sie sich mit dem Internet verbinden. Über diese IP sind Sie dann normalerweise über das Internet zu erreichen. Lokale Rechner benutzen allerdings „private“ Netzwerk IP Adressen. Der Router übersetzt nun „private“ IP Adressen auf die IP Adresse, die Sie von Ihrem Provider bekommen haben. Dieses wird z.B. benötigt wenn Sie auf einem oder mehreren Rechnern Ihres lokalen Netzwerkes FTP Server laufen lassen, die dann auch dementsprechend über Ihre momentane „public“ IP Adresse erreichbar sein sollen. Also man kann sagen, dass NAT den Router eigentlich erst zum Router macht. Man kann aufgrund von NAT mehrere Rechner mit nur einer IP-Adresse im Internet surfen lassen. Weiterhin bietet die NAT Funktion Sicherheit gegenüber Angriffen von außen (NAT-Firewall). Die Adresse der internen Rechner in Ihrem lokalen Netzwerk ist dem externen Rechner nie bekannt. Einzig der DrayTek Vigor kennt die Adresse(n) des/der internen Rechner(s). Um ausgewählte Rechner oder Dienste im lokalen Netz aus dem Internet erreichbar zu machen, ist es möglich, Ports zu öffnen: Eine Anfrage an den Router auf einem solchen Port wird dann in das lokale Netzwerk des Routers an den zugehörigen Rechner weitergeleitet. Internet Hosts können so über Ihre WAN IP Adresse auf bestimmte Services innerhalb Ihres Netzwerks (FTP,WWW etc..) zugreifen. Beim DrayTek Vigor Router kann man dazu Portumleitungen für einzelne Ports, Portöffnungen für ganze Portbereiche (offene Ports) oder sogar einen DMZ Host (alle Ports) konfigurieren. Dabei folgt der DrayTek Vigor folgenden Prioritäten: 1. Ist für einen Port eine Portumleitung aktiv, geht das Paket an den hier angegebenen Rechner. 2. Liegt der Port in einem geöffneten Portbereich, und ist keine Portumleitung aktiv, geht er zu dem hier eingetragenen Rechner. 3. Ist der Port unter 1. und 2. nicht angegeben, landen die Daten beim DMZ-Host. - Seite 67 von 172 - 29. NAT – Portumleitung Freigeben von Internen Servern für den Zugriff über das Internet: Der Portumleitung kann benutzt werden um interne Server für den Zugriff über das Internet freizugeben, oder um eine bestimmte Portnummer auf einen Port des internen Netzwerks „durchzuschleifen“. Internet Hosts können so über Ihre WAN IP Adresse auf bestimmte Services innerhalb Ihres Netzwerks (FTP,WWW etc..) zugreifen. Das folgende Beispiel zeigt, wie ein interner/lokaler FTP Server über den Port Redirection Table für den Internetzugriff „geöffnet“ wird. Gehen wir mal davon aus, der interne FTP Server läuft auf einem Rechner ihres lokalen Netzwerks, mit der IP 192.168.1.10 . Wie oben zu erkennen ist bietet der Port Redirection Table die Möglichkeit 10 Port-Mapping Einträge für interne Hosts zu machen. Bezeichnung: Hier Tragen Sie den Namen des Services ein. Protokoll: Gibt an, welches Protokoll genutzt werden soll. (TCP oder UDP) Öffentlicher Port: Gibt an, über welchen „öffentl.“ Port der Service erreichbar sein soll. - Seite 68 von 172 - Private IP: Ist die lokale IP Adresse des Rechners auf dem der Service läuft. Privater Port: Gibt an, welchen Port der Service lokal benutzt. Aktiv: Hier aktivieren Sie den Port Mapping Eintrag. Ein anderes Anwendungsbeispiel wäre z.B. Sie möchten einen Web (HTTP)-Server, der auf einem Ihrer lokalen Rechner läuft, von außen erreichbar machen. Dafür müssen Sie zuallererst den Konfigurationsport von Ihrem Router ändern. Der Vigor selbst hat ja einen implementierten HTTP Server (Web Konfigurator) über den die Konfiguration erfolgt. Dieser benutzt normalerweise den Port 80. Ihr Web-Server benutzt aber auch den Port 80. Gehen sie im Hauptmenü auf den Punkt „Verwaltung“, dort haben Sie nun die Möglichkeit den Konfigurationsport für den Vigor zu „verbiegen“. Tragen Sie dort einfach beim benutzerdefinierten http Port die 8080 anstatt der 80 ein. Achtung: Wenn Sie nun auf den Web Konfigurator Ihres Routers zugreifen wollen müssen Sie im Browser hinter der IP Adresse des Routers dann natürlich auch die Port Adresse 8080 angeben. Das sieht dann folgendermaßen aus: http://192.168.1.1:8080 Tragen Sie nun im NAT Setup -> Portumleitung den Service für den Web Server ein. Bezeichnung: Web Server Protokoll: TCP Öffentlicher Port: 80 Private IP: 192.168.1.10 (oder die IP Adresse auf der Ihr HTTP Server im Lan erreichbar ist) Privater Port: 80 Und aktivieren Sie das Ganze. Nun ist Ihr Web Server über Ihre WAN IP Adresse erreichbar. Wichtiger Hinweis Um zu testen, ob Sie nun über das Internet auf Ihren Server zugreifen können, dürfen Sie keinen Rechner verwenden, der hinter dem Router, bzw. im selben Subnetz wie die anderen Rechner hängt. Sie würden sonst nicht auf den FTP bzw. Web Server kommen. Benutzen Sie zum Testen bitte einen Rechner der unabhängig von Ihrem LAN ist, und der über ISDN bzw. Modem mit dem Internet verbunden ist oder geben Sie einem Freund oder Bekannten einfach einmal Ihre aktuelle WAN IP Adresse und lassen diesen Testen. - Seite 69 von 172 - 30. NAT – Offene Ports (Portbereiche öffnen) Das NAT Ports Setup ist eigentlich nur ein erweitertes NAT Setup bei dem man im Gegensatz zur Portumleitung nicht nur einzelne Ports auf bestimmte Rechner durchschleifen kann, sondern komplette Port Bereiche Hier besteht nun die Möglichkeit noch einmal 10 verschiedene Einträge zu machen. Klicken Sie nun bitte auf Index 1 und folgendes Menü erscheint auf dem Bildschirm: - Seite 70 von 172 - In diesem Beispiel haben wir einen Eintrag für ein fiktives Spiel gemacht. Gehen wir davon aus Sie haben ein Spiel was für das Spielen über das Internet folgende Ports benötigt: 1580-1600 TCP/IP und 666-888 UDP, und Sie haben dieses Spiel auf Ihrem Rechner mit der lokalen IP Adresse 192.168.1.2 installiert. Ihre Einträge müssten dann wie in dem oberen Bild gezeigt erfolgen. PC wählen – zeigt eine Liste mit den in LAN verfügbaren Klienten Abbrechen – bricht die aktuelle Eingabe ab Löschen – löscht die kompletten Einträge für diesen Index OK – bestätigt die aktuellen Einträge und aktiviert Sie, wenn Sie das Häkchen oben gesetzt haben Der Router weiß nun, dass sämtliche Pakete die über die oben spezifizierten Ports und Protokolle „fließen“ and den Rechner in Ihrem lokalen Netz mit der IP Adresse 192.168.1.2 weitergeleitet werden sollen. - Seite 71 von 172 - 31. NAT – DMZ Host Das DMZ Host Setting ermöglicht es einem lokalen User Applikationen wie Netzwerk Spiele, oder Netmeeting etc. zu benutzen. (Also auch Spiele z.B. im Servermodus laufen zu lassen.) Aktiv: Private IP: Hier aktivieren Sie die DMZ Host Funktion Hier geben Sie die IP Adresse des lokalen Rechners an, auf dem die Applikation oder das Spiel läuft. Achtung: Das setzen eines Rechners als DMZ Host bewirkt, dass dieser sozusagen direkt im Internet steht und nicht mehr von der Firewall des DrayTek Vigor Routers geschützt ist. Damit ist dieser Rechner auch direkt eventuellen Hackerangriffen ausgesetzt. Sorgen Sie für zusätzliche Sicherheit wenn Sie einen Rechner als DMZ Host konfigurieren. - Seite 72 von 172 - 32. UPnP – Universal Plug and Play Oftmals ist es nötig die Firewall des DrayTek Vigor Routers für ein Programm zu öffnen. Normalerweise konfiguriert man als Benutzer dazu einfach eine Portumleitung mit der NAT Funktion des Routers. Manchmal kennt man aber die für eine Applikation zu öffnenden Ports und Protokolle nicht. Mit UPnP kann dieser Vorgang automatisiert werden, die Konfiguration wird dadurch vereinfacht, UPnP birgt aber Sicherheitsrisiken. UPnP erlaubt es einer Applikation die Öffnung notwendiger Ports selbständig zu veranlassen. Von einem Client/Rechner im lokalen Netzwerk des DrayTek Vigor Routers kann sich ein UPnPfähiges Programm an den Vigor wenden. Ist dann im Vigor die UPnP Funktion aktiviert, öffnet der Router ohne weitere Prüfung die angeforderten Ports. Sie finden dieses Feature im Hauptmenü unter „Erweiterte Einstellungen" bei "Universal Plug and Play (UPnP)". Achtung: Bedenken Sie, dass UPnP leicht missbraucht werden kann. Sollte ein beliebiger Client/Rechner in Ihrem Netzwerk von einem Virus befallen werden (z.B. Trojaner), kann dieser mit Hilfe von UPnP relativ schnell und unkompliziert das komplette Netzwerk für einen Angreifer öffnen. Deshalb ist die UPnP Funktion seitens DrayTek standardmäßig deaktiviert. - Seite 73 von 172 - 33. IP Filter / Firewall Einstellungen Grundsätzlich ist der DrayTek Vigor Router schon einmal sicher, da die NAT Funktion einige Vorarbeit im Bezug auf die Sicherheit Ihres lokalen Netzwerks leistet. Generell ermöglicht eine Firewall das Blockieren von ungerechtfertigten Zugriffen, und das sowohl aus dem Internet in das interne Netzwerk, als auch vom internen Netzwerk in das Internet. Die Firewall der DrayTek Vigor Router Serie wurde von diversen Fachzeitschriften (unter anderem auch der c't) aufs höchste gelobt. Im DrayTek Vigor Router können Sie bis zu 12 Filter definieren, wobei jeder Filter bis zu sieben Regeln enthalten kann. Man unterscheidet zwischen „Call Filtern“ und „Data Filtern“. Call Filter: Ein "Call Filter" ist nur aktiv, wenn gerade keine Verbindung zum Internet besteht, er prüft, ob das Paket berechtigt ist eine Anwahl auszulösen. Bei bestehender Verbindung zum Internet sind Call Filter unwirksam. Data Filter Ein "Data Filter" prüft bei bestehender Verbindung zum Internet, ob ein Paket weitergeleitet werden kann. Es können Datenpakete eines bestimmten Typs gezielt passieren oder bewusst blockiert werden. - Seite 74 von 172 - Gehen Sie nun zunächst einmal in die Basiskonfiguration. Hier können Sie den ersten AnrufFilter und den ersten Daten-Filter spezifizieren. Bevor der Router eine Internetverbindung herstellt, werden die Pakete an den ersten Anruf-Filter (Call-Filter) geschickt. Bevor eine Internetseite im Internet aufgerufen wird oder Daten aus dem Internet heruntergeladen werden, werden diese zum ersten Daten-Filter geschickt. Sie können von einem Filter auf einen anderen verweisen, so dass die Erstellung komplexer Verknüpfungen möglich ist. Öffnen Sie danach „Filter 2", der ab Werk als erster Daten-Filter konfiguriert ist. Voreingestellt ist hier bereits die Filterregel "xNetBios -> DNS". - Seite 75 von 172 - Sie haben hier die Möglichkeit über Filterregeln "2-7" weitere Regeln hinzuzufügen. Die Filterregeln werden in jedem Filter von oben nach unten durchgearbeitet. Über "Nächster Filter Satz" können die Pakete anschließend an einen anderen Filter weitergeleitet werden. Im oberen Beispiel werden die Datenpakete nach der Prüfung in Filter 2 direkt an den Filter 3 geschickt. Nun können Sie einen weiteren Filter (Filter 3) zusätzliche Filterregeln definieren. - Seite 76 von 172 - Unter "Bezeichnung/Beschreibung" geben Sie dem Filter einen Namen: Aktivieren Sie die Filterregel 1 mit einem Klick auf "Aktiv" und öffnen Sie das Konfigurationsmenü, durch klicken auf die Taste "1". Jetzt können Sie die erste, „eigene“, Filterregel konfigurieren. - Seite 77 von 172 - Folgende Filterregel z.B. blockiert, dass der Client mit der lokalen IP-Adresse 192.168.1.10 Webseiten aufrufen kann, die über den Standardport 80 angesprochen werden (das sind fast alle Webseiten im Internet). Die Regel bewirkt also, dass man auf dem betroffenen Rechner quasi nicht surfen kann (Services wie FTP, Email etc. Funktionieren natürlich weiterhin.). Um auch die Einwahl des DrayTek Vigor Routers in das Internet zu verhindern, müsste eine zusätzliche Regel für den UDP-Port 53, über den der DNS zur Adressauflösung angefragt wird, als zusätzlicher „Call Filter“ eingerichtet werden. Hier nun noch weitere Erläuterungen zu den einzelnen Punkten: sofort Durchlassen Ist die Regel erfüllt, darf das Datenpaket passieren. sofort Blockieren Ist die Regel erfüllt, wird das Paket blockiert. Durchlassen, falls keine weitere Übereinstimmung Wenn das Datenpaket dieser Regel entspricht, aber keine der folgenden Regeln in diesem Filtersatz erfüllt wird, darf es passieren. Blockieren, falls keine weitere Übereinstimmung Wenn das Datenpaket dieser Regel entspricht, aber keine der folgenden Regeln in diesem Filtersatz erfüllt wird, wird es blockiert. - Seite 78 von 172 - Weiterhin können Sie noch bestimmen, ob diese Regel für ausgehende bzw. ankommende Datenpakete gültig ist. Diese Funktion wählen Sie bitte bei „Richtung“. Quelle definiert die Anforderungen, die die Quell IP-Adresse eines Datenpaketes erfüllen muss. In unserem Beispiel ist das der Rechner mit der lokalen IP Adresse 192.168.1.10. Zusätzlich zum Protokoll können Sie als „Start-" und „Stopp-Port" gezielt einzelne Ports oder einen Portbereich definieren. Unter Ziel werden die Anforderungen an den Empfänger des Paketes definiert. Im Bildbeispiel wird der Port 80 gesperrt. Das ist der Standardport für HTTP (Surfen auf Webseiten). Als IP Adresse für Ziel ist im Beispiel "any", d.h. ALLE Adressen angegeben, das bedeutet die Regel gilt für alle Zieladressen im Internet. Beachten Sie, dass Sie zu den jeweiligen IP Adressen auch immer das jeweilige, passende, Subnetz definieren. Ein falsches Subnetz könnte die Wirkung der Filterregel negativ beeinflussen. Achtung. Wenn Sie bei "Quelle" oder "Ziel" einen Start und/oder Stop Port festlegen wollen, achten Sie darauf, dass Sie bei Protokoll nicht "Jedes" anwählen, denn dann kann der Vigor die Start- und Stopp-Ports nicht speichern. Nach Klicken von "OK" erscheint dann zwar keine Fehlermeldung, die Werte für die Ports sind aber nicht übernommen worden. Wählen Sie in diesem Falle eines der zur Verfügung stehenden Protokolle aus (wie z.B. TCP). Sollten Sie weitergehende Informationen zur Konfiguration der DrayTek Firewall benötigen empfiehlt sich z.B. die Anleitung von Michael König, die Sie im Internet finden können. - Seite 79 von 172 - 34. Firewall – DoS (Denial of Service) Denial of Service-Angriffe zielen darauf ab einen Server durch Überlastung mit einer extremen Anzahl von Paketen lahm zu legen. Die DoS-Funktion des DrayTek Vigor Routers erlaubt es Ihnen, diese Angriffe abzufangen bzw. die Wirkung abzumildern und erfolgte Angriffe über die SysLog Funktion zu melden. Ein SYN-Flood Angriff, zum Beispiel, macht sich folgendermaßen bemerkbar: Ein Router erhält plötzlich eine Vielzahl von Anfragen aus dem Internet, genauer SYN-Pakete. Eigentlich dienen diese Pakete dazu, die Kommunikation zwischen dem Router und dem anfragenden Internetrechner einzuleiten. Deshalb antwortet der Router normalerweise auf diese Anfragen und wartet auf eine Rückantwort. Diese SYN-Pakete jedoch haben keine korrekte Absenderadresse. Deshalb geht die Antwort des Routers ins Leere und er wartet erfolglos auf eine Rückantwort. Durch die Vielzahl der Anfragen, die fast gleichzeitig ankommen und alle verarbeitet werden müssen, ist der Puffer, den der Router zur Verfügung hat, aber bald aufgebraucht. Jetzt kann ein Nutzer, der normal auf den Server zugreifen will, den Server nicht mehr erreichen, der Angreifer hat sein Ziel erreicht. In der Regel werden DoS-Angriffe auf bekannte und öffentliche Domains großer Firmen oder Institutionen durchgeführt. Im Fall von bei der Einwahl in das Internet dynamisch vergebenen IPs ist ein DoS-Angriff eher selten, daher ist die Funktion ab Werk deaktiviert. Gehen Sie zur Konfiguration auf die IP Filter / Firewall Einstellungen im Hauptmenü und dann auf DoS (Denial of Service). - Seite 80 von 172 - In der Grundeinstellung ist die DoS-Abwehr deaktiviert. Um DoS Atacken erfolgreich zu verhindern bzw. zu vermindern aktivieren Sie bitte diese Funktion. Nun können Sie gezielt auswählen welche Art von DoS Angriffen vom DrayTek Vigor Router verhindert, überwacht und protokolliert werden sollen. Setzen Sie einfach bei den dementsprechenden Punkten ein Häkchen. SYN Flood, UDP Flood, ICMP Flood Bei SYN Flood, UDP Flood und ICMP Flood wird der Router die Annahme weiterer SYN, UDP oder ICMP Pakete verweigern, wenn über den unter „Zeitlimit" eingetragenen Zeitraum eine Masse von solchen Paketen eingegangen ist, die den unter „Schwellenwert" eingetragenen Wert übersteigt. Hierbei muss das Zeitlimit über 5 Sekunden hinausgehen, als Schwellenwert muss ein Eintrag größer als 150 gewählt werden. Aktiviere Port Scan Abwehr PortScans, die die unter „Schwellenwert" angegebene Geschwindigkeit übertreffen, werden protokolliert. Auch hier muss der Schwellenwert über 150 liegen. - Seite 81 von 172 - Blocke IP Optionen Der Router „blockt“ alle IP-Pakete, mit Optionen im Header. Blocke Land-Attacken Der DrayTek Router nimmt keine SYN-Pakete an, deren Absender- und Empfängeradressen übereinstimmen. Blocke Smurf-Angriffe Der Router blockiert sämtliche ICMP Pings, die auf seine Broadcast-Adresse gerichtet sind. Blocke Trace Route Trace Route (tracert) Pakete werden abgefangen. Blocke fragmentierte SYN-Pakete TCP SYN Frames, bei denen das More-Flag gesetzt ist, blockieren. Blocke Fraggle-Attacken Fraggle Attacken werden durch das blockieren ankommender Broadcast UDP-Pakete verhindert. Blocke TCP Flag Scan TCP/IP Pakete mit regelwidrig gesetzten Flags werden blockiert. Ein solches Paket könnte einem möglichen Angreifer eine Sicherheitslücke eröffnen. Blocke Teardrop-Attacken Teardrop-Angriffe abwehren. Teardrop Angriffe verwenden falsch konfigurierte IP-Paket Fragmente. Blocke Ping of Death Pakete mit überhöhter oder regelwidriger Größe werden blockiert. Diese könnten einen Systemabsturz hervorrufen. Blocke fragmentierte ICMP-Pakete ICMP Frames, bei denen das More-Flag gesetzt ist, stoppen. Unbekannte Protokolle verbieten IP-Pakete mit undefiniertem Protokolltyp blockieren. - Seite 82 von 172 - 35. Firewall – Inhaltsbezogener Filter/Dateiformate blocken Neben der Möglichkeit der Filterregeln bietet Ihnen der DrayTek Vigor Router auch die Möglichkeit den Zugriff auf bestimmte Adressen (URLs) im Internet zu sperren bzw. bestimmte Dateiformate gar nicht erst aus dem Internet herunterzuladen. Weiterhin können Sie auch einen Wortfilter definieren. Enthält eine Webseite dieses definierte Wort, wird Sie nicht angezeigt. Diese Funktionen können Sie im Menüpunkt „Inhaltsbezogener Filter“ in den Firewalleinstellungen konfigurieren. Um die URL (inhaltsbezogene) Filter Funktion zu nutzen aktivieren Sie diese durch Setzen eines Häkchens. Im DrayTek Vigor können Sie nun 8 Einträge mit bis zu 31 Zeichen hinterlegen. Sie können pro Eintrag auch mehrere Schlüsselworte angeben. Diese trennen Sie dann bitte durch ein Leerzeichen, ein Komma oder ein Semikolon. Alternativ können Sie auch eine komplette URL eintragen. Hinterlegen Sie die zu filternden Schlüsselworte bitte in kleinen Buchstaben und vergessen Sie nicht den jeweiligen Eintrag (1-8) noch durch Setzen eines Häkchens zu aktivieren. Wie Sie ja eventuell wissen kann man Seiten im Internet nicht nur über Ihren Namen, sondern auch über Ihre IP Adresse ansprechen. Mit der Funktion „Seitenaufrufe per IP blockieren“ verhindern Sie den Seitenaufruf über eine IP Adresse. Beispiel: Sie definieren als URL „www.google.de“ und setzen den Filter auf aktiv. Wenn Sie nun im Browser „www.google.de“ eingeben, wird diese Seite Ihnen nicht angezeigt. Geben Sie allerdings die IP Adresse von Google ein (66.249.93.99) wird Ihnen diese URL vom Router aufgerufen. „Seitenaufrufe durch Eingabe der IP-Adresse unterbinden“ verhindert diesen Aufruf über die IP Adresse. Wenn Sie Syslog verwenden erscheint im Syslog Utility ein Eintrag mit dem Hinweis einer vom Router geblockten Seite. - Seite 83 von 172 - Eingeschränkte Web-Features / Dateiformate stoppen: Um diese Funktion zu nutzen, muss sie auch wieder aktiviert werden. Hier definieren Sie bitte welche Formate der Router über HTTP/Web beim Surfen gar nicht erst nicht ins interne Netzwerk durchlassen soll. So verhindern Sie z.B. den Download von .zip Dateien, ausführbaren Dateien etc... Aktivieren Sie hier einfach die gewünschten Dateitypen, die vom DrayTek Vigor blockiert werden sollen. Beachten Sie dabei, dass der Router nur die Dateiendung prüft. Lädt man eine Datei deren Endung geändert wurde oder die erst gar keine Endung hat, wird die Datei trotzdem heruntergeladen. Im Einzelnen blockieren die Einträge folgende Dateiendungen: Zip-Dateien: *.zip, *.rar, *.arj, *.ace, *.cab, *.sit Exe-Dateien: *.exe, *.com, *.scr, *.pif, *.bas, *.bat, *.inf, *.reg Multimedia-Dateien: *.mov, *.mp3, *.rm, *.ra, *.au, *. wmv, *.wav, *.asf, *.mpg, *.mpeg, *.avi, *.ram Weiterhin haben Sie die Möglichkeit bestimmte Rechner (IP Adressen) bzw. Teilnetze von dieser Filterung auszuschließen. Im oberen Beispiel würde der Rechner mit der IP Adresse 192.168.1.10 vom URL Filter außen vor gelassen. Natürlich können Sie hier auch mit einem Teilnetz/Subnetz arbeiten. - Seite 84 von 172 - Zu guter letzt haben Sie noch die Möglichkeit den URL Filter auf bestimmte Wochentage bzw. Zeiten zu konfigurieren. Machen Sie einfach die gewünschten Einstellungen unter Hauptmenü > Verbindungstimer und tragen dann hier die Nummer des entsprechenden Profils ein. - Seite 85 von 172 - 36. VLAN / Bandbreite Der DrayTek Vigor Router bietet Ihnen die Möglichkeit virtuelle LANs einzurichten. Jeder einzelne Ethernetanschluss am Router (P1-P4) kann einem virtuellen LAN zugeordnet werden ein Datenaustausch ist nur innerhalb des gleichen VLANs möglich. So kann man z.B. das Netzwerk vom Heimbüro und den Kindern separieren. Beide können den Router für den Internetzugriff nutzen, aber untereinander nicht kommunizieren. Setzen Sie hier einfach Häkchen, welcher Ethernetport des Routers welchem VLAN zugehörig sein soll. Beispiel: VLAN1 und Häkchen 1 & 2 , VLAN2 und Häkchen 3 & 4... Die Rechner die am Router an Port 1 & 2 angeschlossen sind befinden sich im gleichen virtuellen LAN (VLAN). Diese beiden Rechner können sich „sehen“ und sind im selben Netz. Die Rechner die am Router an Port 3 & 4 angeschlossen sind befinden sich auch im gleichen virtuellen LAN. Diese beiden Rechner können sich ebenfalls „sehen“ und sind im selben Netz. Es ist allerdings nicht Möglich von dem Rechner der an Port 1 angeschlossen ist auf einen der Rechner an Port 3 oder 4 zuzugreifen, da diese virtuell in einem anderen Netz sind. Alle Rechner können jedoch normal auf das Internet zugreifen. Bitte beachten Sie, dass Clients, die über WLAN, VPN oder als externe Nutzer angeschlossen sind alle VLANs erreichen können und von allen VLANs aus erreicht werden können. Außerdem haben Sie die Möglichkeit die maximale Bandbreite / den maximalen Datendurchsatz für die einzelnen Ethernetports zu bestimmen. - Seite 86 von 172 - Setzen Sie diese Funktion dazu auf aktiv. Jetzt können Sie für jeden einzelnen Ethernet-Port (P1 - P4) die Bandbreiteneigenschaften festlegen. Konfigurieren Sie für jeden Port den gewünschten Maximalwert für Upload- und Download. Raus: bestimmt die Upload-Bandbreite für den Ethernet-Port. Rein: bestimmt die Download-Bandbreite für den Ethernet-Port. Bandbreite: Tragen Sie hier den Maximalwert für die Bandbreite ein. Dieser Wert muss ein Vielfaches von 32 sein und kann maximal 100000 betragen. Es ist beispielsweise möglich, Nutzern, die über Port1 angeschlossen sind, nur 512 KBit/s (Kilobit pro Sekunde) maximale Bandbreite zur Verfügung zu stellen. Die Rechner, die über die anderen Ethernet-Ports angeschlossen sind, teilen sich dann die restliche Bandbreite. Ein Standard-DSL-Anschluss der Telekom (T-DSL 1000) hat max. 1024 KBit/s Bandbreite für den Download und 128 KBit/s für den Upload. - Seite 87 von 172 - 37. PING Block Ein „PING" Befehl ist ein Datenpaket, das man an eine beliebige IP-Adresse sendet. Der Ping Befehl wurde entwickelt um die Laufzeit von Datenpaketen über das Internet zu bestimmen. Kommt ein „PING“ bei der „angepingten“ Adresse an, wird er normalerweise von dieser auch beantwortet. Der Ping Befehl wird gern von „bösen Buben“ missbraucht um Rechner für potenzielle Angriffe ausfindig zu machen. Deswegen ist diese PING Block Funktion werksseitig im DrayTek Vigor Router aktiviert. Ein- bzw. Ausschalten kann man diese Funktion unter dem Menüpunkt „Verwaltung“ des Hauptmenüs. - Seite 88 von 172 - 38. Feste Adressumleitung – Static Route Eine statische Route gibt an, über welchen Gateway bestimmte Subnetze/Teilnetze erreichbar sind. Diese Subnetze können Sie normalerweise nicht über das Internet erreichen. Standardmäßig leitet der DrayTek Vigor sämtliche Anfragen, die nicht an Rechner innerhalb des eigenen Netzes gehen, direkt in das Internet weiter. Das bezeichnet man als „default Route“. Mit der „festen Adressumleitung“ haben Sie nun die Möglichkeit abweichende, sog. „statische“, Routen zu konfigurieren. Wählen Sie zunächst ein freies Profil zur Konfiguration aus. - Seite 89 von 172 - IP-Zieladresse, Subnetzmaske: Konfigurieren Sie hier die Adresse und die Maske des Teilnetzes ein, für das eine statische Route eingerichtet werden soll. Im Bildbeispiel sind dies alle IP-Adressen, die mit 192.168.50 beginnen. Gateway-IP-Adresse: Tragen Sie hier die IP-Adresse eines zweiten Routers ein, über den die Anfragen stattdessen geleitet werden sollen. Im Bildbeispiel ist das ein Router mit der IP 192.168.1.7. Netzwerkschnittstelle: „LAN" besagt, dass der weitere Router im lokalen Netzwerk des DrayTek Vigors liegt. Wählen Sie „WAN", falls der zweite Router über den WAN-Port des DrayTek Vigors erreicht wird. Bestätigen Sie die Konfiguration Ihrer statischen Route und schauen sich im Hauptmenü „Diagnose Tools“ dann die aktuelle Routingtabelle an. - Seite 90 von 172 - Sie sehen in der ersten Zeile, dass das Teilnetz 192.168.50.0 nun über die IP Adresse 192.168.1.7 angesprochen wird: Alle Anfragen an eine IP-Adresse, die mit 192.168.50 beginnt, werden also an diese IP Adresse (diesen Router) weitergeleitet. Der zweite Router sollte die nun bei Ihm eintreffenden Pakete entsprechend seiner Konfiguration bearbeiten: Denkbar wäre, dass er über seinen Ethernet-WAN-Port direkt an das Netzwerk 192.168.50.0 angebunden ist und die Pakete an die dortigen lokalen Rechner weiterleiten kann. Mit dieser statischen Route könnten dann über den DrayTek Vigor neben Rechnern im lokalen Netz und dem Internet auch die Rechner hinter diesem zweiten Router erreicht werden. Wenn Sie die feste Adressumleitung (statische Route) wieder löschen wollen, wählen Sie in der entsprechenden Konfiguration unter "Status/Aktion" den Eintrag "leer/entfernen" aus und bestätigen Sie wie immer mit "OK". Die Auswahl "inaktiv" deaktiviert die feste Adressumleitung. Die Pakete gehen dann nicht verloren, werden aber nicht mehr verwendet. - Seite 91 von 172 - 39. VPN – Virtual Private Network und LAN zu LAN Grundeinstellungen Die VPN Funktion des DrayTek Routers ermöglicht zum einen die Einwahl externer Clients über das Internet (RAS/Externe Benutzer) als auch die Verbindung zweier Netzwerke direkt über das Internet. Dabei kann die Verbindung dauerhaft gehalten, oder vom DrayTek Router bei Bedarf aufgebaut/abgebaut werden. Der DrayTek Vigor Router kann dabei sowohl als VPN Server, sowie auch als VPN Client eingesetzt werden. Zusätzlich besteht die Möglichkeit zur Verschlüsselung dieses Tunnels.Die Router der Draytek Vigor Serie unterstützen IPSec Tunneling, PPTP, L2TP und L2TP über IPSec. IPSec unterstützt den AH oder ESP Modus, mit oder ohne Authentifikation und mit DES oder 3DES Verschlüsselung. Die Router der Vigor 2600V Serie können bis zu 16 getunnelte VPN Verbindungen gleichzeitig handhaben. Die Vorteile von VPN: - Verbindung zweier Büros über das Internet - Hohe IPSec Verschlüsselung - Benutzung von ADSL, Cable Modem oder ISDN Internetzugang für VPN - Enorme Kostenersparnis bei Benutzung einer Flatrate - Einrichtung mehrerer simultaner Tunnelverbindungen - Flexible und schnelle Einrichtung der VPN Tunnelverbindungen VPN verbindet jegliches TCP/IP Netzwerk. Sollten Sie also Microsoft Networking benutzen, sei es Peer to Peer oder Client/Server über ein TCP/IP Netzwerk, so können Sie Benutzer und Computer miteinander über VPN verbinden. Das Gute an VPN in diesem Falle ist, dass die Router selbst sämtliche "Arbeit" der Verbindung übernehmen und Sie so Zugriff auf jedes TCP/IP Device (jeden PC, Server oder Netzwerkdrucker) in Ihrem privaten Netzwerk haben (lokal oder auf der gegenüberliegenden Seite). Interoperabilität ist also gewährleistet zwischen zwei Vigor Routern, zwischen einem Vigor Router und einem einzelnen PC VPN Klienten, einem Cisco VPN kompatiblen Router oder einem Windows 2000 Server auf dem VPN läuft. Die VPN Unterstützung der Draytek Vigor Router kann natürlich auch benutzt werden, um Ihnen die Einwahl von einem einzelnen Rechner zu Hause in Ihr Firmennetzwerk zu ermöglichen. Sie benötigen dazu zu Hause nicht unbedingt einen zweiten Vigor Router, sondern können auch einfach den VPN Client Ihres dort benutzen Betriebssystems verwenden (Win ME, 2000,XP, Mac OS X), die Verbindung erfolgt dann über Ihre ISDN, DSL oder andere Breitbandanbindung. Der Vigor kann VPNs zu folgenden Geräten über das Internet aufbauen: - Zu einem einzelnem PC mit einem kompatiblen VPN Client. Einmal eingeloggt, kann der Benutzer auf die Ressourcen des LAN's über den Tunnel zugreifen. - Zu einem anderen Vigor Router. Zwei entfernte LAN's werden über einen Tunnel miteinander verbunden. Die einzelnen Benutzer beider LAN's können auf die jeweils gegenüberliegenden Ressourcen zugreifen. - Zu einem Windows 2000 Server auf dem ein kompatibles VPN läuft. - Zu einem Cisco, Nokia, oder Watchguard Server auf dem ein kompatibles VPN läuft. Im Zusammenspiel zwischen VPN und der DynDNS Unterstützung der Draytek Vigor Routers haben Sie die Möglichkeit immer über eine öffentliche IP Adresse erreichbar zu sein. Sie können sich bei einem kostenlosen DynDNS Provider eine feste IP Adresse reservieren. Der Vigor hat nun die Möglichkeit ihre aktuelle (vom Provider zugewiesene) WAN IP Adresse an diesen Service zu übermitteln. Nehmen wir an, Sie haben sich eine Adresse bei www.dyndns.org reserviert. Diese lautet "meinbüro.dyndns.org". - Seite 92 von 172 - Der Router in Ihrem Büro wählt sich ins Netz und bekommt von Ihrem ISP z.B. die IP Adresse 217.82.153.23 zugewiesen. Da diese Adresse bei jeder erneuten Einwahl mit höchster Wahrscheinlichkeit anders ist, kennen Sie (der zuhause sitzt und sich in sein Büro einwählen möchte) diese natürlich nicht. Hier kommt der DynDNS Service ins Spiel. Der Router übermittelt nun diese 217.82.153.23 and den DynDNS Service (sofern Sie das möchten), und dieser ordnet diese Adresse dann Ihrer "meinbüro.dyndns.org" zu. Sie konfigurieren Ihren VPN Client nun einfach so, dass er den Tunnel zu "meinbüro.dyndns.org" aufbauen soll und schon sind Sie mit Ihrem Firmennetz verbunden. Das funktioniert natürlich auch bei einem Lan zu Lan mit zwei DynDNS Adressen (meinbüro.dyndns.org & meinbüro1.dyndns.org). Die Konfiguration von DynDNS wird in diesem Handbuch in einem separaten Kapitel behandelt. Zunächst definieren Sie welche Protokolle dem DrayTek Vigor für die VPN Verbindung zur verfügung stehen sollen. Gehen Sie dazu auf „VPN und externe Einwahl“ -> „Einwahlmöglichkeiten“. Für VPN Verbindungen wählen Sie bitte PPTP, IPSec oder L2TP aus, sollten Sie eine Verbindung über ISDN herstellen wollen aktivieren Sie bitte ISDN durch Setzen eines Häkchens. Nachdem Sie die zu verwendenden Protokolle ausgewählt haben können wir uns nun der Konfiguration des Profils für die VPN Verbindung widmen. Dazu gehen Sie bitte auf „VPN und externe Einwahl“ -> LAN zu LAN“ und wählen ein freies Profil aus. Insgesamt können bis zu 16 Profile eingerichtet werden. - Seite 93 von 172 - Nachdem wir uns für ein Profil entschieden haben, widmen wir uns den Grundeinstellungen. Beim Profilnamen benennen Sie diese VPN Verbindung. Dieser Name erscheint im VPN Status, sobald diese VPN Verbindung aktiv ist und dient zur Identifikation. Weiterhin aktivieren Sie das Profil durch Setzen eines Häkchens bei „aktiv“. Die Anrufrichtung gibt an ob der DrayTek Vigor Router diese Verbindung eingehend, abgehend bzw. ein- und abgehend aufbauen/akzeptieren soll. (Raus= Router kann Verbindung abgehend aufbauen, nimmt aber keine Verbindung an / Rein = Router nimmt eingehende Verbindung an, baut aber eigenständig keine abgehende Verbindung auf) - Seite 94 von 172 - Setzen Sie die Verbindung auf „Immer in Betrieb“ wenn der Router den VPN Tunnel halten soll. Der Tunnel wird aufgebaut sobald der Router ins Internet eingewählt ist und dauerhaft gehalten. Sollte die Verbindung unterbrochen werden (Zwangstrennung alle 24h) wird Sie automatisch wieder aufgebaut. Für eine dauerhafte Verbindung muss dem Vigor die Verbindungsrichtung „Raus“ konfiguriert sein. Die max. Leerlaufzeit definiert wie immer den Zeitraum nach dem die Verbindung getrennt wird; sollten innerhalb dieser Zeit keinerlei Datanpakete über diese Verbindung fliessen. Mit dem Dauer-Ping Feature können Sie die unter "Ping auf IP" angegebene IP-Adresse ständig anpingen. Damit können Sie sicherstellen, dass der entfernte Client/Router den VPN-Tunnel nicht nach einer längeren Leerlaufzeit unterbricht. Ein Dauer-Ping ist bei einer IPSecVerbindung möglich (Sicherheitsgründe). Bei „Verbindung zum VPN Server über“ wählen Sie zunächst einmal die Verbindungsart aus, mit der der DrayTek Vigor diese Verbindung aufbauen soll (PPTP, IPSec Tunnel, L2TP). ISDN wird für eine ISDN LAN zu LAN Verbindung verwendet. PPTP bietet dabei die geringste Art der Verschlüsselung, ist aber für erste Tests mit VPN hervorragend geeignet. IPSec (Internet Protocol Security) erlaubt es die Verbindung entweder mit einer zusätzlichen Authentifizierung zu versehen und/oder verschlüsselt die Verbindung mittels eines Schlüssels (Key). Bei L2TP kann ptional IPSec ausgewählt werden: „nein" --> kein IPSec - Seite 95 von 172 - „falls vorhanden" --> IPSec, sofern durch Gegenstelle unterstützt „erforderlich" --> Gegenstelle muss IPSec unterstützen. ISDN Nummer oder Server IP/Hostname für VPN: Bei einer VPN Verbindung geben Sie hier die IP-Adresse oder den Domain-Namen der Gegenstelle an. Bei einer ISDN-Verbindung die Telefonnummer der Gegenstelle. Die Einstellungen rechts oben unter „Verbindung“ sind Einstellungen die nur für eine ISDN Verbindung relevant sind. Dabei entscheiden Sie sich bitte ob die ISDN LAN zu LAN Verbindung über einen B-Kanal (64k), 2 B-Kanäle (128k) oder mit BOD aufgebaut werden soll. Diese Einstellungen sind im Handbuch an anderer Stelle detailliert beschrieben. Benutzername / Passwort: Für eine Verbindung über PPTP, L2TP und ISDN sind ein Benutzername und ein Passwort notwendig. Diese tragen Sie bitte hier ein. PPP Authentifizierung: Die PPP Authentifizierung kann über PAP oder CHAP erfolgen. Wählen Sie bitte "PAP oder CHAP". (Bei einem IPSec Tunnel erfolgt die Authentifizierung über den IPSec-Schlüssel, deshalb ist dieses Feld inaktiv) TCP (VJ) Headerkomprimierung: Entscheiden Sie hier ob die TCP Headerkomprimierung verwendet werden soll oder nicht. Sollten Sie sich für eine VPN IPSec Verbindung entscheiden haben müssen Sie noch einen sog. Schlüssel hinterlegen. Dieses tun Sie indem Sie auf den Button „IPSec Schlüssel“ klicken. Geben Sie dort dann Ihren Schlüssel (Pre-Shared Key), der für die Verschlüsselung der Verbindung genutzt werden soll hier ein und bestätigen diesen noch einmal. Dieser Schlüssel muss natürlich auch im Clienten/Router auf der Gegenseite hinterlegt sein, damit die Verbindung erfolgreich aufgebaut werden kann. IPSec Methode: Für IPSec gibt es weiterhin 2 Arten der Verschlüsselung Mittel (AH): Die Verschlüsselung besteht nur aus der Authentifizierung. Hoch (ESP): Wählen Sie zwischen DES, 3DES-Verschlüsselung und AES, sowie einer zusätzlichen - Seite 96 von 172 - Authentifizierung. Es gibt natürlich noch die Möglichkeit erweiterte Einstellungen für IKE vorzunehmen. Diese Einstellungen müssen Sie nicht ändern, sollten Sie ein VPN zwischen 2 DrayTek Vigor Routern aufbauen. Die Modes "Main Mode" und "Aggressive Mode" sind zwei verschiedene Arten des Informationsaustauschs beim Aufbau eines IPSec Tunnels. Unter "IKE Phase 1 Proposal" wird festgelegt, welche Verschlüsselungsmethoden der Gegenseite beim Verbindungsaufbau vorgeschlagen werden. Nur eine vorgeschlagene Methode kann letztendlich auch benutzt werden. Mit dem Verbindungstimer haben Sie die Möglichkeit diesen VPN Tunnel zeitgesteuert auf- und abzubauen. Wie der Timer konfiguriert wird erfahren Sie im Kapitel „Verbindungstimer“ in diesem Handbuch. Unter Rückruffunktion können Sie für eine ISDN Verbindung angeben ob die ISDN Kennung an die Gegenstelle übermittelt werden soll und ob ein Rückruf der Gegenstelle erfolgen soll. Die Software bzw. der Router auf der Gegenseite muss dieses allerdings unterstützen. Kommen wir nun zu den „Einstellungen zum Einwählen“. - Seite 97 von 172 - Die Einstellungsmöglichkeiten hier sind eigentlich identisch zu den Einstellungen für den Verbindungsaufbau. Bei „Einwahl zulassen über“ wählen Sie zunächst einmal die Verbindungsart aus, mit der in den DrayTek Vigor eingewählt werden soll (PPTP, IPSec Tunnel, L2TP). ISDN wird für eine ISDN LAN zu LAN Verbindung verwendet. Benutzername und Passwort sind für die PPP Authentifizierung, der Benutzer und das Passwort müssen bei einer Einwahl von dem externen Benutzer korrekt angegeben werden. Bei der Verwendung von einem IPSec Tunnel erfolgt keine PPP Authentifizierung sondern die Identifizierung über einen Schlüssel (Pre-Shared Key), daher sind diese Felder inaktiv, wenn nur IPSec Tunnel für die Einwahl zugelassen ist. ACHTUNG: Verwenden Sie niemals den gleichen Benutzernamen und Passwort für ein anderes Profil im DrayTek Vigor Router (egal ob VPN LAN zu LAN oder externer Benutzer). Nutzen Sie immer verschiedene Benutzernamen und Passwörter, da es sonst zu Fehlern beim Aufbau einer VPN Verbindung kommen kann. TCP (VJ) Headerkomprimierung: Entscheiden Sie hier ob die TCP Headerkomprimierung verwendet werden soll oder nicht. Definiere ISDN CLID oder externes/remote VPN Gateway: Bei einer VPN Verbindung können Sie die IP-Adresse oder ISDN Nummer der Gegenstelle festlegen. Damit ist es nur einem externen Client/Router mit genau dieser hier hinterlegten IPAdresse/ISDN Nummer möglich, eine VPN -Verbindung mit dem DrayTek Vigor aufzubauen. Bei Verwendung der Option wird auf der rechten Seite der IPSec Schlüssel und die IPSec Methode für die Einwahl mit dieser Verbindung individuell festgelegt. Wenn von der Gegenstelle der "Aggressive Mode" bei IKE/IPSec für die Einwahl verwendet wird, kann zusätzlich eine "Peer ID (Aggressive Mode)" zur Authentifizierung der Gegenstelle angegeben werden. Stimmt diese Peer-ID mit der Peer-ID des entfernten Servers überein, erfolgt die Einwahl. Dieses Feld ist nur für IPSec-gesicherte Verbindungen, bei denen die Gegenstelle den "Aggressive Mode" benutzt. - Seite 98 von 172 - Ist dieses Feature bei einer ISDN LAN zu LAN Verbindung aktiviert, so muss der externe Benutzer seine ISDN-Kennung (MSN) übertragen. Diese wird dann mit der unter "Rufnummer / IP des Servers" eingetragenen Nummer verglichen (von rechts beginnend). Sind beide Nummern nicht identisch, kann die Einwahl nicht stattfinden. IPSec Schlüssel: Bei Aktivierung von "Entfernten Server festlegen" wird nach einem Klick auf diesen Button der IPSec Schlüssel, der bei der Einwahl mit dieser VPN-Verbindung genutzt wird, hinterlegt. Wenn die IP der Gegenstelle nicht festgelegt ist, gilt der allgemeine Schlüssel. IPSec Methode: Bei Aktivierung von "Entfernten Server festlegen" wird hier ausgewählt, welche IPSec Methoden erlaubt sind, sowie welche Verschlüsselung benutzt werden kann. Wenn diese Option nicht benutzt wird, gilt die allgemeine Einstellung für "IPSec Methode". Unter Rückruffunktion können Sie für eine ISDN Verbindung angeben ob die Rückruffunktion aktiviert werden soll, eine Rückrufnummer für die ISDN Wahl konfigurieren und eine maximale Rückrufdauer für diese Verbindung angeben. „Meine WAN IP“ spezifiziert die IP Adresse des Draytek Vigor Routers im entfernten Netzwerk. Normalerweise wird diese von der Gegenstelle vergeben und Sie können hier 0.0.0.0 eingetragen lassen. Unter dem Punkt „Remote Gateway- IP“ spezifiziert man die IP Adresse des gegenüberliegenden Routers. Auch hier können Sie 0.0.0.0 eingetragen lassen, da diese im Normalfall von der Gegenstelle vergeben wird. Unter „Remote Netzwerk-IP“ / „Remote Netzwerk-Maske“ geben Sie dem Router den IP Adressbereich des gegenüberliegenden Netzwerks an. Diese Einstellung ist wichtig, da der Router anhand dieser Einstellungen entscheidet, ob er die VPN Verbindung aufbauen soll. Nehmen wir einmal an Ihr lokales Netzwerk hat den IP Adressbreich 192.168.1.x / Teilnetz 255.255.255.0 und das gegenüberliegende Netz hat den IP Adressbereich 10.0.0.x / Teilnetz 255.255.255.0. Tragen Sie dann hier bitte bei Remote Netzwerk-IP „10.0.0.0“ (die letzte 0 steht stellvertretend für den IP Adressbereich von 10.0.0.1 bis 10.0.0.254) und bei Remote Netzwerk-Maske „255.255.255.0“ ein. Sendet nun ein lokaler Client aus Ihrem Netzwerk eine Anfrage an z.B. die IP Adresse 10.0.0.100 (entfernter Server) ist dem Router dieses Netz bekannt und er baut die VPN Verbindung automatisch auf. - Seite 99 von 172 - Hinweis: Eine VPN Verbindung kann immer nur zwischen Netzwerken mit unterschiedlichen IP Adressen aufgebaut werden. Beispiel: 192.168.1.x zu 10.0.0.x oder 192.168.2.x etc. Der Aufbau zu einem entfernten Netzwerk, welches auch ein 192.168.1.x Netz ist, ist nicht möglich, da der Vigor Router dieses wie sein eigenes Netz behandelt und deswegen natürlich keine Veranlassung sieht eine externe VPN Verbindung aufzubauen. Unter „Mehr“ können Sie zusätzlich festlegen welche weiteren IP Adressen und Adressbereiche über die VPN Verbindung im entfernten Netzwerk erreicht werden können. Tragen Sie unter „Netzwerk IP" die IP-Adresse des Netzwerkes ein und wählen Sie unter „Netzmaske" die Subnetzmaske. Nach einem Klick auf „Hinzufügen" ist die Eintragung in die Tabelle unter „Entfernte Netzwerk IP" im DrayTek Vigor konfiguriert. Bestätigen Sie Ihre Einstellungen mit „OK" und „Schließen" danach das Fenster wieder. RIP Pakete tauschen / RIP Version: Diese Einstellung dient dem Informationsaustausch zwischen zwei Routern. Belassen Sie diese bei den Standardeinstellungen. NAT Einstellung: Hier spezifizieren Sie ob die Daten mit dem entfernten Router über NAT oder direkt ausgetauscht werden. private IP Die Daten werden ohne „NAT“ in das andere Netz übertragen, Adressen im lokalen Netzwerk des Vigor sind vom entfernten Netz aus erreichbar. Ist in beiden Routern „private IP" gewählt, ist eine Verbindung zwischen sämtlichen Geräten beider Netze möglich. öffentl. IP Daten werden mit „NAT“ in das andere Netz übertragen. Wählt sich der Router in das andere Netz ein, wird das lokale Netzwerk des Vigor gegenüber dem entfernten Netz verdeckt: Das entfernte Netz kann keine Adresse im lokalen Netz dieses Routers erreichen. Anfragen ins Internet über diesen VPN-Tunnel leiten: Wird diese Option von Ihnen aktiviert werden alle Anfragen lokaler Clients an das Internet auch über diesen VPN Tunnel abgewickelt. Eine Anfrage in das Internet führt nicht dazu, dass der VPN-Tunnel aufgebaut wird. Ist der VPN Tunnel jedoch aktiv, gehen alle Internet-Anfragen auch dort hindurch. Bei Aktivierung dieser Option wird die "Richtung" automatisch auf "Raus" - Seite 100 von 172 - gestellt, so dass keine Anwahl dieses VPN-Profils stattfinden kann. - Seite 101 von 172 - 40. VPN – LAN zu LAN Beispiel Anhand dieses Konfigurationsbeispiels erklären wir Ihnen nun noch einmal die Konfiguration einer VPN Verbindung zwischen 2 DrayTek Routern. Bevor Sie diese Einstellungen vornehmen beachten Sie bitte, dass es einige sehr wichtige Aspekte über Netzwerk-Konzepte gibt, die Sie schon kennen sollten. Wir werden diese hier kurz „anschneiden“ aber setzen voraus, dass Sie schon ein gewisses Grundwissen über TCP/IP Routing haben. Netzwerk Adressen: Wie Sie wissen hat jeder Ihrer Rechner im Netzwerk eine eigene IP Adresse. Diese könnten alle automatisch zugewiesen werden, wenn Sie die DHCP-Möglichkeit Ihres Routers nutzen. Die Standard Adresse des Vigor Routers ist in diesem Fall 192.168.1.X, wobei X eine Nummer zwischen 2 und 255 ist. 192.168.1.1 selbst ist die IP Adresse des Routers. Sie können Ihren eigen ausgewählten Adressbereich nutzen anstelle von DHCP & können jedem Rechner eine eigene IP Adresse von Hand vergeben. Jedes Gerät das über eine IP Adresse angesprochen werden soll, muss in diesem Fall eine feste IP Adresse haben (nicht dynamisch vergeben per DHCP) so dass andere PCs diese Adresse auch finden/kennen. Als Beispiel: Ein Server sollte eine feste IP Adresse haben, da er ja über diese IP angesprochen wird. Gateways und Netzmasken: Genauso wie eine Netzwerk IP Adresse hat jedes Netzwerk Gerät (Router,PC etc.) eine Netzmaske. Die Standard-Maske für den Vigor ist in diesem Falle die 255.255.255.0 Sie sollten ein TCP/IP-Tutorial konsultieren für weitere Erklärungen zur Netzmaske. Wenn ein Netzwerk-Gerät (z.B. PC) ein TCP/IP Paket zu versenden hat, muss es sich entscheiden ob der Empfänger dieses Paketes „lokal“ ist (also im selben physikalischem Netzwerk) oder ob das Paket über einen Gateway nach „außen“ geht. Der Gateway in unserem Falle wäre der Vigor (Standard-Gateway 192.168.1.1). Nachdem ermittelt wurde das der Empfänger „lokal“ ist, wird das Paket an das LAN (Local Area Netz) weitergegeben. Wurde ermittelt das der Empfänger des Paketes „außerhalb“ ist, wird das Paket an den Gateway weitergeleitet. Also sobald ein Netzwerk Gerät (gehen wir davon aus das es ein PC ist) ein Paket zum versenden hat/bekommt, hat dieses Gerät die Informationen „eigene IP-Adresse“, “Ziel IPAdresse“ und die Netzmaske. Durch „Boolean arithmetik“ (binäre Mathematik) kann der PC dann entscheiden ob das Paket lokal oder zum Gateway durchgestellt wird. Als Beispiel: haben wir einen PC mit der IP Adresse 192.168.1.3,Netzmaske 255.255.255.0,kann er erkennen das ein Paket für 192.168.1.20 ein „lokales“ Paket ist, wohingegen 212.121.29.43 ein Paket ist ,was an einen Gateway geht. Erinnern Sie sich das IP Adressen, auch wenn sie normalerweise dezimal geschrieben werden, tatsächlich binär sind. Wenn Sie sich die Binär-Darstellung einer IP Adresse oder Netzmaske ansehen ist es einfacher zu verstehen , wie die beiden zusammenarbeiten. Netzmasken setzen sich eigentlich nur der Einfachheit halber aus 255 und 0 zusammen, damit man den Taschenrechner getrost in der Schublade lassen kann. Konfiguration Ihres Pcs: Wird Ihr Router schon für den Internetzugang genutzt, sind Ihre PCs eigentlich auch schon richtig konfiguriert für eine Anbindung an ein externes Netzwerk. Der PC entscheidet schon wann er den Gateway zu benutzen hat, es liegt also nun am Router zu entscheiden ob ein Paket ins Internet geht oder an ein externes Netzwerk. Wenn die beiden zu verbindenden Netzwerke identisch konfiguriert sind (beide also den selben - Seite 102 von 172 - IP-Adressen Bereich nutzen),müssen Sie ein Netzwerk umkonfigurieren. Sollten beide nämlich denselben Adress-Bereich benutzen würde jedes Paket was für ein externes Netzwerk bestimmt ist so erkannt werden, als ob es für das lokale Netzwerk gedacht wäre. Als Beispiel: Wenn eines Ihrer Netzwerke auf 192.168.1.0 ist könnten Sie das andere Netzwerk auf 192.168.2.0 konfigurieren. Die vierte Zahl (0) ist die Zahl die für ein Gerät in Ihrem Netzwerk steht (Unterscheidung der Geräte in Ihrem Netzwerk). Die anderen drei Zahlen (192.168.2) sind in diesem Fall gleich für alle Geräte/PCs in Ihrem Netz (vorgegeben durch die Netzmaske 255.255.255) Unser Beispiel: Gehen wir also davon aus, dass Sie 2 Büros haben. Ein Haupt-Büro und ein kleineres Büro außerhalb. Beide Büros haben einen Vigor Router, eine ISDN Leitung und ein Paar PCs auf denen Windows 98 läuft. Die Angestellten im kleinen Büro benötigen den Zugang zu Daten auf einem PC im Hauptbüro. Das Außenbüro will also mit dem Haupt-Büro verbunden sein, und nicht andersrum. Sie können die Router aber auch so konfigurieren dass beide Büros einander anrufen können, um eine Netzwerkverbindung aufzubauen. Unsere Beispielbüros sind also folgendermaßen konfiguriert: Ort Nutzung Router anrufe Netzwerk Adresse Netzmaske Router IP Adresse Fileserver Adresse Haupt-Büro Hamburg Server/Host Eingehend 192.168.1.0 255.255.255.0 192.168.1.1 192.168.1.3 Außenbüro Berlin Klienten Abwählend 192.168.0.0 255.255.255.0 192.168.0.1 kein Server Konfiguration des Berliner Routers: Vom Hauptmenü aus wählen Sie bitte „VPN und externe Einwahl“ -> „LAN zu LAN“. Es erscheint ein Menü auf dem man bis zu 20 leere Profile findet. Hier kann man nun die verschiedenen Profile für eine VPN-Netzwerkanbindung konfigurieren. Klicken Sie auf 1. um die Eigenschaften für das erste Profil einzustellen: - Seite 103 von 172 - Da Dieses Profil uns mit dem Büro in Hamburg verbinden soll, nennen wir es einfach „Hamburg“. Vergessen Sie nicht dieses Profil auch zu aktivieren. Sie können es natürlich auch jederzeit deaktivieren. Auf der rechten Seite des Bildschirms aktivieren Sie bitte bei „Anrufichtung“ ->Raus, da dieses ja da Berliner Büro ist welches sich mit dem Hamburger Büro verbinden soll. Auch dieses können Sie natürlich nach belieben ändern, wie schon vorhin erwähnt. Weiterhin setzen wir die Verbindung auf „Immer in Betrieb“. Als Verschlüsselung wählen wir hier der Einfachheit halber „PPTP“ aus. Aus Sicherheitsgründen müssen beide Router mit einem Usernamen und einem Passwort konfiguriert werden, mit denen die Router sich gegenseitig verbinden. In diesem Beispiel nennen wir den Usernamen Berlin und wählen ein Passwort. Die Verbindung erfolgt über eine DynDNS Adresse die wir vorher eingerichtet haben. Hamburg hat die DynDNS Adresse „hamburg.dyndns.org“. Diese tragen wir nun im folgenden Feld ein: Die Einstellungen bei „Einstellungen zum Einwählen“ bleiben komplett leer, da unser Berliner Router ja nur eine Verbindung nach Hamburg aufbauen soll. Als letztes definieren wir nun noch die TCP/IP Einstellungen. Nun spezifizieren wir die Netzwerk Adresse des Hamburger Büros. Das ist der Punkt an dem der Router feststellt, jede Adresse im 192.168.1.X Bereich gehört zum Hamburger Büro. Wenn also ein Paket mit einer Zieladresse in diesem Bereich im Router ankommt, geht dieses automatisch nach Hamburg. „Meine WAN IP“ kann in diesem Fall auf 0.0.0.0 bleiben; diese Einstellung würde nur benötigt werden, wenn der Vigor einen Router anwählen würde, der eine handvergebene WAN Adresse verlangt. Das Selbe gilt für die „Remote Gateway-IP“ – wenn zwei DrayTek Router sich miteinander verbinden werden diese Parameter automatisch gesetzt. Das entfernte Gateway und die Entfernte Subnetzmaske sind natürlich zu vergeben. Das ist es nun für Berlin, es gibt noch einige andere Einstellungsmöglichkeiten aber solange Sie diese nicht wirklich benötigen können Sie die Voreinstellungen bei diesen beibehalten. Kommen wir nun zur Konfiguration des Routers in Hamburg. Zuerst gehen Sie bitte in den Menüpunkt „VPN und externe Einwahl“ und dann in „Einwahlmöglichkeiten“. - Seite 104 von 172 - Hier stellen Sie bitte sicher, dass die Einwahl über PPTP gestattet sein soll. Bestätigen Sie wie immer mit „OK“ und gehen zurück ins Hauptmenü. Vom Hauptmenü aus wählen Sie bitte „VPN und externe Einwahl“ -> „LAN zu LAN“. Es erscheint ein Menü auf dem man bis zu 20 leere Profile findet. Hier kann man nun die verschiedenen Profile für eine VPN-Netzwerkanbindung konfigurieren. Klicken Sie auf 1. um die Eigenschaften für das erste Profil einzustellen: Da Dieses Profil für die eingehende Verbindung aus Berlin zuständig ist, nennen wir es einfach „Berlin“. Vergessen Sie nicht dieses Profil auch zu aktivieren. Sie können es natürlich auch jederzeit deaktivieren. Auf der rechten Seite des Bildschirms aktivieren Sie bitte bei „Anrufrichtung“ ->Rein, da dieses ja da Hamburger Büro ist welches die eingehende VPN Verbindung aus Berlin annehmen soll. Auch dieses können Sie natürlich nach belieben ändern, wie schon vorhin erwähnt. Da dieses das Hamburger Büro ist, welches keine ausgehenden Anrufe macht lassen wir Sektion 2 (Einstellungen zum Rauswählen) unberührt und machen keine Einträge. - Seite 105 von 172 - Kommen wir nun zum Punkt „Einstellungen zum Einwählen“. Achtung: geben Sie hier bitte exakt dieselben Daten ein wie im Berliner Router, bei den „Einstellungen zum Einwählen“ Einstellungen. Stellen Sie sicher, dass der Benutzername und das Passwort übereinstimmen. Beachten Sie bitte die Groß/Kleinschreibung. Nun kommen wir auch hier zu den TCP/IP Einstellungen. Hier teilen wir dem Hamburger Router die Netzwerkspezifikationen des externen (Berliner) Büros mit. Wie Sie sich erinnern befinden sich der Berliner-Router und die Berliner-Rechner alle im Netzwerkadressbereich 192.168.0.X. Beenden Sie die Konfiguration des Hamburger Routers durch klicken auf „OK“. Um die Einstellungen zu überprüfen öffnen Sie in Berlin eine Eingabeaufforderung. Hier wollen wir überprüfen inwieweit die Verbindung funktioniert und ob die Rechner auch erreichbar sind. Als Beispielrechner nehmen wir den mit der IP 192.168.1.3 in Hamburg. Geben Sie den Befehl „ping 192.168.1.3“ ein gefolgt von einem Druck auf die „Return“-Taste. - Seite 106 von 172 - Sobald Sie den Befehl eingegeben haben erkennt der Router, dass dieser Rechner (192.168.1.3) nicht im lokalen Netzwerk (LAN) vorhanden ist und baut die eingestellte Verbindung auf. Nach wenigen Sekunden (sofern alles richtig konfiguriert wurde) meldet sich der Rechner in Hamburg, wie in der Grafik zu ersehen ist. Wenn dem so ist, ist bezüglich der Router in Berlin und Hamburg alles richtig konfiguriert. Nun gehen Sie mit der rechten Maustaste auf Ihre Netzwerkumgebung und wählen dort „Computer suchen“. - Seite 107 von 172 - Unter „Name“ geben Sie die IP des zu suchenden Rechners ein, in unserem Falle 192.168.1.3 Seien Sie nicht enttäuscht wenn nicht sofort der Computer gefunden wird, manchmal dauert es ein Weilchen. Sie sollten auf jeden Fall abwarten bis der Suchvorgang beendet wurde. Wenn der gesuchte Rechner gefunden ist, klicken Sie einfach auf ihn und es öffnet sich ein Window mit den Ordnern/Druckern usw., welche in Hamburg freigegeben wurden: Wie Sie sehen ist der Ordner „lan“ in Hamburg für den Zugriff freigegeben. Wenn Sie möchten können Sie nun ein Netzlaufwerk erstellen indem Sie mit der rechten Maustaste auf den Ordner klicken und „Netzlaufwerk verbinden auswählen“. - Seite 108 von 172 - Somit hätten Sie nun ein Laufwerk G: auf Ihrem Rechner, welches verbunden wäre mit dem Verzeichnis Lan auf dem Server. Sollten Sie Probleme mit der Konfiguration haben können Sie auch das „log –c“ Kommando über das Telnet Interface benutzen um die Anrufaktivität Ihres Routers zu Überprüfen – wenn z.B. Ihr Passwort falsch ist, würden Sie es damit bemerken. Geben Sie in Berlin innerhalb eines DOS-Fensters / Eingabeaufforderung den Befehl „telnet 192.168.0.1“ ein. Damit lösen Sie eine Telnet-Verbindung zu Ihrem Router in Berlin mit der IP 192.168.0.1 aus. Nun öffnet Sich das Telnet-Window und der DrayTek Vigor erwartet die Eingabe Ihres Passwortes, welches Sie selbstverständlich seinerzeit als ersten Schritt Ihrer AllgemeinKonfiguration definiert haben. Also hier geben Sie bitte das Passwort des Routers an, nicht das Passwort Ihrer Lan zu Lan Verbindung. Wenn Sie das Passwort erfolgreich eingegeben haben, erwartet die Telnet-Session Ihre Befehle. Hier geben Sie jetzt bitte den Befehl „log –c“ also „log“, Freizeichen, Bindestrich, kleines „d“ und drücken anschließend auf Return. Jetzt zeigt Ihnen der Router wie und was er versucht hat um eine Verbindung aufzubauen: Also bei etwaigen Verbindungsproblemen können Sie hier den Fehler schon mal eingrenzen. - Seite 109 von 172 - Abschließender Hinweis: Wenn eine Lan zu Lan Verbindung erfolgreich aufgebaut wurde, und man die jeweiligen Rechner „anpingen“ kann dann haben die Router insoweit Ihre Schuldigkeit getan. Sollte es dennoch zu Problemen kommen auf Ressourcen der anderen Remote-Rechner zuzugreifen liegt es meistens an der Konfiguration der Klienten am anderen Ende. z.B. wenn im Remote-LAN keine Ressourcen freigegeben sind kann man natürlich nicht auf sie zugreifen. Des Weiteren sollte man auch beachten inwieweit man seine Firewall konfiguriert hat, nicht das man versucht auf Dinge zuzugreifen welche man innerhalb der Router-Konfiguration geblockt hat. - Seite 110 von 172 - 41. VPN – IPSec Grundeinstellungen In diesem Menüpunkt des DrayTek Vigor Routers kann der IPSec-Schlüssel konfiguriert werden, der standardmäßig bei VPN/LAN-LAN-Verbindungen für die Einwahl in den DrayTek Vigor Router verwendet wird. Prinzipiell wird bei einem sich einwählenden Router dieser Schlüssel (Pre-Shared Key) verwendet. Bei solchen VPN / LAN-LAN Verbindungen, bei denen die IP-Adresse/Adressbereich des entfernten Servers fest vorgegeben wird, kann ein von dem hier beschriebenen IPSec Schlüssel anderer, eigener IPSec-Schlüssel hinterlegt werden. Dieser wird dann ausschließlich für diese betreffende VPN-Verbindung verwendet. IPSec dient zur Verschlüsselung von VPN-Verbindungen. Dabei ermöglicht IPSec drei verschiedene Sicherheitsstufen: a) Die übertragenen Daten werden über den Schlüssel authentifiziert. b) Die übertragenen Daten werden mit dem Schlüssel codiert. c) Die übertragenen Daten werden über den Schlüssel authentifiziert und codiert. Konfigurieren Sie also für eine IPSec VPN Verbindung immer einen Schlüssel (Pre-Shared Key). Geben Sie unter „IKE Authentifizierung" Ihren zu verwendenden IPSec-Schlüssel für die Einwahl ein und wiederholen Sie Ihre Eingabe bei „IPSec-Schlüssel (Pre-Shared Key) wiederholen". - Seite 111 von 172 - Unter „IPSec Sicherheit" konfigurieren Sie, auf welchen IPSec-Sicherheitsniveaus die Einwahl in den DrayTek Vigor Router erfolgen kann. Bei „Mittel (AH)" überprüft der Router nur den IPSec-Schlüssel, den der entfernte Client/Router übermittelt. „Hoch (ESP)" ermöglicht eine komplett verschlüsselte Übertragung. Die Art uns Stärke der Verschlüsselung legen Sie in der Auswahl daneben fest: Möglich sind hierbei DES, 3DES und AES. - Seite 112 von 172 - 42. VPN – Externe Nutzer (RAS) Zusätzlich zu einer LAN zu LAN Verbindung können sich natürlich auch externe Nutzer in den Router einwählen. Das ermöglicht z.B. die Anbindung von Heimarbeitsplätzen an das Firmennetzwerk oder ermöglicht Ihnen den einfachen Zugriff auf Anwendungen oder Freigaben in Ihrem Firmennetzwerk von zu Hause aus. Die Konfiguration für die Einwahl über ISDN wird in einem anderen Kapitel dieses Handbuchs beschrieben. Zuallererst müssen wir dem Router mitteilen auf welche Art die Einwahl von außen erfolgen darf. Gehen Sie dazu ins Hauptmenü und dann auf „VPN und externe Einwahl“ und „Einwahlmöglichkeiten“. Stellen Sie sicher, dass die Einwahl über die oben gezeigten Protokolle möglich ist bzw. zumindest über PPTP. Bestätigen mit „OK“ nicht vergessen. Danach gehen Sie in den Menüpunkt „VPN und externe Einwahl“ -> „PPP Einstellungen“. - Seite 113 von 172 - Auf der linken Seite des Menüs lassen Sie bitte alles so wie es ist und tragen bitte nur rechts bei -> „IP Adressenzuweisung für einwählenden Benutzer“ die IP Adresse ein, die der Benutzer der sich von außerhalb einwählt, in Ihrem lokalen Netzwerk zugeteilt bekommen soll. Gesetzt den Fall Sie haben ein 192.168.1.X Netzwerk nehmen sie einfach eine in diesem Netzbereich noch „freie“ bzw. nicht vergebene IP Adresse. (Beispiel: 192.168.1.200) Bei der PPP Authentifizierung werden sowohl PAP als auch CHAP vom Router akzeptiert. Sollten Sie gegenseitige Authentifizierung als zusätzliches Sicherheitsfeature benutzen wollen aktivieren Sie dieses bitte und tragen noch einen Benutzernamen und ein Passwort für die doppelte Authentifizierung ein. Verschlüsselung (MPPE): MPPE steht für Microsoft Point-to-Point Encryption. Diese kann zur zusätzlichen Verschlüsselung der PPTP-Verbindung eingesetzt werden. Stellen Sie die Einstellung bitte auf "Optional". Klicken Sie nun bitte auf OK, um Ihre Einstellungen zu speichern. Klicken Sie im Menü "VPN und externe Einwahl" auf "Externe Benutzer (Teleworker)" um Benutzerkennungen und Passwörter für externe Benutzer festzulegen. - Seite 114 von 172 - Insgesamt können bis zu 20 Profile für verschiedene Nutzer im DrayTek Router konfiguriert werden. Wählen Sie also eines der freien Konten aus um mit der Konfiguration fort zu fahren. - Seite 115 von 172 - Dort aktivieren Sie bitte erst einmal das Benutzerkonto, vergeben einen Benutzernamen und Passwort für den sich einwählenden Benutzer. Beachten Sie bitte hierbei möglichst keine Sonderzeichen zu verwenden, sondern nur normale Zahlen & Buchstaben zu verwenden. ACHTUNG: Verwenden Sie niemals den gleichen Benutzernamen und Passwort für ein anderes Profil im DrayTek Vigor Router (egal ob VPN LAN zu LAN oder externer Benutzer). Nutzen Sie immer verschiedene Benutzernamen und Passwörter, da es sonst zu Fehlern beim Aufbau einer VPN Verbindung kommen kann. Nach der "Max. Leerlaufzeit" ohne Datenübertragung wird die Verbindung abgebaut. Unter "Einwahl zulassen über" werden die Protokolle, über die eine Einwahl stattfinden können soll, ausgewählt werden. In unserem Falle arbeiten wir mit PPTP. Fernzugriff definieren: Bei einer VPN Verbindung können Sie die IP-Adresse oder ISDN Nummer der Gegenstelle festlegen. Damit ist es nur einem externen Client/Router mit genau dieser hier hinterlegten IPAdresse möglich, eine VPN -Verbindung mit dem DrayTek Vigor aufzubauen. Wenn von der Gegenstelle der "Aggressive Mode" von IKE/IPSec bei der Einwahl verwendet wird, kann zusätzlich eine "Peer-ID (Aggressive Mode)" zur Authentifizierung der Gegenstelle angegeben werden. Mit Klick auf "OK" speichern Sie, wie immer, die gerade getätigten Einstellungen. Haben Sie keine feste IP Adressen von Ihrem Provider bekommen oder eine Zwangstrennung nach 24 Stunden empfiehlt sich die Verwendung eines DynDNS Services. Im Zusammenspiel zwischen VPN und der DynDNS Unterstützung der Draytek Vigor Routers haben Sie die Möglichkeit immer über eine öffentliche IP Adresse erreichbar zu sein. Sie können sich bei einem kostenlosen DynDNS Provider eine feste IP Adresse reservieren. Der Vigor hat nun die Möglichkeit ihre aktuelle (vom Provider zugewiesene) WAN IP Adresse an diesen Service zu übermitteln. Nehmen wir an, Sie haben sich eine Adresse bei www.dyndns.org reserviert. Diese lautet "meinbüro.dyndns.org" . - Seite 116 von 172 - 43. VPN – Externe Einwahl Win 2000 Um sich von außen als externer Benutzer in den DrayTek Vigor Router einzuwählen benötigen Sie normalerweise nur Ihr Betriebssystem (Win 2000, Win XP oder Mac OS X). Weiterhin kann die Einwahl auch über IPSec und eine VPN Client Software benutzt werden. Im folgenden Beispiel zeigen wir Ihnen wie Sie einen Windows 2000 Rechner für die Einwahl auf den DrayTek Router Konfigurieren. Vorraussetzung hierfür ist die Konfiguration des Routers wie im Kapitel „VPN – Externe Nutzer“ beschrieben. Der Netzwerk Verbindungsassistent geht auf. Klicken Sie auf „Weiter“. - Seite 117 von 172 - Hier wählen Sie nun „Verbindung mit einem privaten...“ aus und klicken auf „Weiter“. In diesem Window geben Sie bitte die IP Adresse des Vigor Routers bzw. die DynDNS Adresse unter der der Vigor zu erreichen ist an. Wie immer geht’s mit „Weiter“ ins nächste Menü. - Seite 118 von 172 - ...und „Weiter“. Hier geben Sie Ihrer gerade erstellten Verbindung einen Namen und entscheiden sich ob Windows Ihnen eine Verknüpfung auf dem Desktop anlegen soll. Ein Klick auf „Fertig stellen“ schließt die Konfiguration der Verbindung ab. - Seite 119 von 172 - Im folgenden Fenster geben Sie nun den Benutzernamen und das Passwort an, welches Sie im DrayTek Vigor Router bei den Einstellungen für den externen Benutzer gemacht haben. Achten Sie auf Groß/Kleinschreibung. Entscheiden Sie ob das Kennwort für diese Verbindung von Windows automatisch gespeichert werden soll. Danach gehen Sie bitte auf „Eigenschaften“ und klicken auf den „Netzwerk“ Reiter. Wählen Sie hier das PPTP Protokoll aus und bestätigen Sie mit „OK“. Wenn bereits eine Verbindung zum Internet besteht, kann im nun wieder aktiven Fenster mit einem Klick auf "Verbinden" der VPN-Verbindungsaufbau gestartet werden. - Seite 120 von 172 - Ansonsten bauen Sie bitte zunächst eine Internetverbindung auf. Falls der sich einwählende Client/Rechner über Ihr lokales Netzwerk (LAN) in das Internet gelangt, stellen Sie bitte sicher, dass der Adressraum des Netzwerks, in dem der Rechner liegt, sich nicht mit dem Adressraum des Netzwerks, in das der Rechner per VPN angeschlossen werden soll, überschneidet. Bei einer Teilnetzmaske 255.255.255.0 bedeutet dies, dass die Netzwerkadressen in den ersten drei Ziffern unterschiedlich sein müssen. (z.B. 192.168.1.x zu 192.168.2.x) Nach Herstellung der Verbindung wird der Verbindungsaufbau bestätigt: Jetzt ist der Rechner in das Netzwerk, das hinter dem DrayTek Router liegt, eingewählt. Sie können nun auf Freigegebene Ordner oder jedes Gerät mit einer IP Adresse in diesem Netzwerk zugreifen. Beachten Sie bitte, dass die Namensauflösung nicht funktioniert. Sollten Sie sich also mit einem Rechner verbinden wollen tun Sie dieses bitte über die IP Adresse. Dazu sollte das Netzwerk, in das sich eingewählt wird, natürlich mit festen IP Adressen konfiguriert sein. - Seite 121 von 172 - 44. VPN – Smart VPN Tool Smart VPN ist ein Tool welches Ihnen unter Windows 2000/XP hilft eine IPSec VPN Verbindung zu Ihrem DrayTek Vigor Router aufzubauen. Das Smart VPN Tool finden Sie auf der mitgelieferten CD. Installieren Sie dieses Tool einfach auf dem Rechner von dem Sie sich aus in den Vigor einwählen möchten. Dazu muss der Router bereits wie z.B. im Kapitel „VPN – Externe Nutzer“ konfiguriert sein. Achten Sie darauf, dass für die Einwahl in den Router L2TP und IPSec aktiviert sind, ein IPSec Schlüssel (Pre-Shared) Key hinterlegt ist und das Sie ein Profil für einen externen Benutzer konfiguriert haben bei dem die Einwahl über L2TP und IPSec aktiv ist. Ihr Rechner muss bereits für den Zugang in das Internet konfiguriert sein. Im Idealfall handelt es sich dabei um eine Wählverbindung über ein analoges Modem bzw. einen ISDN Adapter. Eine IPSec Einwahl über einen Router mit NAT funktioniert nicht. Starten Sie nun den gerade installierten Smart VPN Client von DrayTek und das folgende Fenster sollte sich öffnen: - Seite 122 von 172 - Unter "Step 1. Dial to ISP" kann der Verbindungsaufbau zum Internet Service Provider direkt von Smart VPN aus gestartet werden, sollten sie gerade noch nicht in das Internet eingewählt sein. In der Auswahl sehen Sie die Netzwerkverbindungen die auf Ihrem Rechner bereits konfiguriert sind. Wählen Sie dann einfach die gewünschte Verbindung für Ihr Modem bzw. Ihren ISDN Adapter aus und klicken auf „Dial“. Eine Statusanzeige über den Verbindungsaufbau befindet sich im unteren Teil des Smart VPN Tool Fensters: Wenn sich Ihr Rechner erfolgreich über das Modem/den ISDN Adapter in das Internet eingewählt hat erfolgt diese Meldung: Die grüne LED für ISP im Smart VPN Tool sollte nun leuchten und Ihre Internetverbindung signalisieren. Jetzt können Sie den VPN Tunnel aufbauen. Dazu klicken Sie bitte bei „Connect to VPN Server“ auf „Setup“. - Seite 123 von 172 - In diesem Fenster tragen Sie nun bitte die für die Verbindung benötigten Daten ein. Bei „VPN Server IP / Host Name“ tragen Sie die IP Adresse des DrayTek Routers bzw. die DynDNS Adresse ein. (Beispiel: meinbuero.dyndns.org) Bei "User Name" und "Password" tragen Sie den Benutzernamen und das Passwort, welches im Profil für den externen Nutzer unter "Benutzername" und "Passwort" gewählt wurden, ein. Aktivieren Sie bei "Type of VPN" der Eintrag "L2TP Over IPSec"und bestätigen Sie mit "OK". Nun sollte ein weiteres Fenster erscheinen: - Seite 124 von 172 - Definieren Sie bei „Security Method“ welche IPSec Methode verwendet werden soll. Unter "Medium (AH)" entscheiden Sie sich für SHA1 oder MD5-Verschlüsselung. Bei der Auswahl "High (ESP)" erfolgt die Verschlüsselung der Daten mit DES oder 3DES, optional können Sie eine zusätzliche Authentifizierung mit SHA1 oder MD5 auswählen. Geben Sie unter "Pre-shared Key" den IPSec-Schlüssel ein, den Sie auch im Router hinterlegt haben und bestätigen Sie, wie immer, abschließend mit "OK". Nun können Sie durch klicken auf „Connect“ den VPN Verbindungsaufbau starten.. Nach dem Aufbau der Verbindung blendet sich das Fenster aus, Sie können es unten am Bildschirm aber mit einem Mausklick wieder öffnen. Wenn der VPN Verbindungsaufbau korrekt von statten gegangen ist leuchtet nun auch die VPN LED im Fenster des Smart VPN Tools grün. Sie sind nun per IPSec Verbindung mit dem Netzwerk hinter dem Router verbunden und können auf lokale Rechner, Freigaben und jedes Gerät mit einer IP Adresse in diesem LAN zugreifen. Beachten Sie, dass die Namensauflösung nicht funktioniert. Rechner können nur über Ihre IP Adresse angesprochen werden und dazu sollte das Netzwerk hinter dem Router natürlich mit festen IP Adressen und nicht mit DHCP konfiguriert sein. Sie können die VPN Verbindung jederzeit durch klicken auf „Disconnect“ trennen und durch klicken auf „Connect“ wieder aufbauen. - Seite 125 von 172 - 45. QoS – Quality of Service Der DrayTek Vigor Router hat die Möglichkeit die Bandbreite für bestimmte Rechner/Clients und Applikationen zu beschränken. Das bedeutet, dass Sie z.B. Ihren Kindern nur eine gewisse Bandbreite Ihres Internetanschlusses für Applikationen wie z.B. Filesharing zur Verfügung stellen können und immer einen garantierten Teil dieser Bandbreite für sich selbst zur Verfügung haben. Dieses geschieht in der Regel mit der QoS (Quality of Service) Funktion. Im Normalfall teilt der Router die gesamte, ihm zur Verfügung stehende, Bandbreite auf sämtliche an Ihn angeschlossenen Rechner/Clients auf. Macht z.B. ein Rechner einen Download, steht im die komplette Bandbreite zur Verfügung. Fängt jetzt ein zweiter Rechner einen zusätzlichen Download an, wird die zur Verfügung stehende Bandbreite unter diesen beiden Rechnern aufgeteilt. Je mehr Rechner also Daten in das Internet schicken bzw. Downloaden, desto weniger Bandbreite steht jedem Rechner zur Verfügung. Wollen Sie jetzt mit Ihrem dritten Rechner einfach nur im Internet surfen kann das eventuell schon langsamer von statten gehen, da zwei andere Rechner ja schon eine ganze Menge der Bandbreite beanspruchen. Hier kommt nun QoS ins Spiel. Wir können nun z.B. 40% der Bandbreite für HTTP (also das Surfen im Netz) reservieren. Natürlich kann auch jeder andere Dienst für QoS konfiguriert werden. Gehen Sie dazu nun über das Hauptmenü in den Menüpunkt „QoS (Quality of Service)“. Aktivieren Sie zunächst die QoS Funktion und führen die Konfiguration fort. - Seite 126 von 172 - Bei der „Richtung“ spezifizieren Sie bitte ob die Bandbreite nur für eingehende (Downloads), nur für ausgehende (Uploads) oder für beide Richtungen geregelt werden soll. Die beste Einstellung hier ist im Normalfall „Beide“. Gruppen: Die Gruppen bestehen aus Diensten bzw. Regeln. Die Regulierung der Bandbreite erfolgt jeweils für eine komplette Gruppe. Sie können bis zu drei Gruppen konfigurieren. In der vierten Gruppe "andere" werden automatisch alle Services zusammengefasst, die in den von Ihnen konfigurierten Gruppen nicht vorkommen. Gruppenname: Geben Sie hier eine Bezeichnung für diese Gruppe an. Reservierte Bandbreite: Hier definieren Sie, wie viel Bandbreite für diese Gruppe zur Verfügung stehen soll. Die Bandbreite für „Sonstige Dienste" wird aufgrund der Werte der ersten drei Gruppen berechnet. Für jede Gruppe muss mindestens 1 Prozent Bandbreite reserviert werden. Wenn Sie für WEB/HTTP nun 40% Bandbreite reservieren wollen, tragen Sie zunächst einen Gruppennamen ein. (Beispiel“WEB/HTTP“ und anschließend „40" bei „Reservierte Bandbreite") Insgesamt darf die reservierte Bandbreite die 100% natürlich nicht überschreiten. UDP Bandbreite begrenzen: Um unter "Max. Anteil an Bandbreite für UDP-Pakete" einen Höchstwert für den Anteil der UDP-Pakete bei der Datenübertragung festzulegen, aktivieren Sie diese Funktion. Die Zuweisung von Diensten zu einer Gruppe kann entweder über den Button "Einfach" oder über den "Erweitert" Button geschehen. - Seite 127 von 172 - Einfach: Die einfache Konfiguration reserviert einer Gruppe von Diensten eine Bandbreite. Bei Bedarf steht dieser Teil der Bandbreite für die restlichen Dienste nicht zur Verfügung. Erweitert: Mit der erweiterten Konfiguration kann bei einem Dienst zusätzlich Quelle und Ziel definiert werden. Die erweiterte Konfiguration wird in einem separaten Kapitel dieses Handbuchs noch beschrieben. Klicken Sie bitte nun auf „Einfach“. Links sehen Sie nun die Dienste, die für die Zuordnung in eine Gruppe ausgewählt werden können und auf der rechten Seite befinden sich die Dienste die dieser Gruppe bereits zugeordnet wurden. Für unser Beispiel wählen wir nun also „HTTP“ aus der linken Spalte. Nun klicken Sie bitte auf „Hinzufügen“. - Seite 128 von 172 - Nun befindet sich der „HTTP“-Dienst in der rechten Spalte und steht links nicht mehr für die Zuordnung zur Verfügung. Insgesamt können Sie einer Gruppe bis zu 20 Dienste zuweisen. Nun noch ein Klick auf „OK“ und Sie befinden sich wieder im QoS Menü, wo Sie erneut auf „OK“ klicken. Um einen Überblick über die aktuelle Verteilung der Bandbreite zu erhalten gibt es den Punkt „Online Statistik“ im „Quality of Service“ Menü. Sie sehen Übersicht mit den vier Gruppen, in der Richtung, Gruppenname und Reservierte Bandbreite aufgelistet sind. Der „Inbound Datendurchsatz“ zeigt die Datenübertragungsrate der Gruppe beim Herunterladen (Download). - Seite 129 von 172 - Der „Outbound Datendurchsatz“ zeigt die Datenübertragungsrate der Gruppe beim Hochladen (Upload). - Seite 130 von 172 - 46. QoS – Quality of Service erweitert Mit der erweiterten Konfiguration von QoS kann man eine Bandbreitenreservierung für einzelne Rechner/Clients im Netzwerk einrichten. Alle Rechner, die für eine spezielle Aufgabe Bandbreite benötigen, erhalten diese auch bevorzugt. Die Bandbreitenreservierung über QoS kann auch abhängig von der IP-Adresse des Verbindungspartners stattfinden. Die Bandbreite wird dann z.B. für Verbindungen zu einem bestimmten Server im Internet reserviert z.B. zur Zentrale Ihres Unternehmens. Im Folgenden reservieren wir 25% der Bandbreite für einen Client/Rechner mit der IP Adresse 192.168.1.99 in Ihrem lokalen Netzwerk. Gehen Sie dazu in das Menü „QoS (Quality of Service)“und machen folgende Einstellungen: Nun klicken Sie bitte auf „Erweitert“. - Seite 131 von 172 - Da Sie bisher noch keine Regeln erstellt haben ist die Liste bisher Leer. Klicken Sie nun auf „Einfügen“ um die erste Regel zu konfigurieren. Setzen Sie diese zuerst einmal auf „Aktiv“. Quell-IP-Adresse: Hierbei handelt es sich um die Clients/Rechner im lokalen Netzwerk des Routers. Bei Verbindungsrichtung "Rein" sind dies die Empfänger der Datenpakete aus dem Internet. Bei Verbindungsrichtung "Raus" die Sender von Datenpaketen in das Internet. Ziel-IP-Adresse: Hier werden die zugehörigen Rechner im Internet definiert. DiffServ CodePoint: Die Einstellung für "DiffServ CodePoint/Priorisierung" bleibt in der Regel beim voreingestellten "Any". Dienst/Service Typ: Unter "Service Typ" wählen Sie den Dienst aus, für den diese Regel gilt. Es ist möglich, einen neuen Dienst zu erstellen. Die Voreinstellung "ANY" bestimmt, dass die Bandbreitenreservierung für sämtliche Services gilt. In dieser Konfiguration wird den Rechnern/Clients, unabhängig vom jeweiligen Service, Bandbreite garantiert. Die Regel überprüft bei einem Paket nun neben dem Dienst selbst auch, ob der Rechner im Internet unter "Ziel-IP-Adresse" bzw. ob der Rechner/Client im Netzwerk unter "Quell-IPAdresse" enthalten ist. Nur wenn beides zutrifft, kann auf die reservierte Bandbreite zurückgegriffen werden. - Seite 132 von 172 - In der Voreinstellung "Any" bei "Quell-IP-Adresse" und "Ziel-IP-Adresse" gilt die Reservierung unabhängig von der IP der jeweiligen Rechner. Um die Bandbreitenreservierung auf den Rechner 192.168.1.99 im lokalen Netzwerk zu beschränken, klicken Sie unter "Quell-IP-Adresse" auf "Ändern". Es öffnet sich ein neues Fenster. In diesem Fenster konfigurieren Sie die IP Adressen bzw. Adressbereiche. IP-Adressraum: Beliebig - Eine Überprüfung der IP-Adressen findet nicht statt. einzelne IP-Adresse - Der Rechner im LAN muss diese IP-Adresse haben, sonst kann ein Datenpaket nicht auf die reservierte Bandbreite zurückgreifen. IP-Adressbereich - Nur Adressen, die zwischen "Start IP Adresse" und "Stopp IP-Adresse" liegen, können auf die reservierte Bandbreite zurückgreifen. Subnetz - Nur Adressen innerhalb dieses Teilnetzes (Subnetz), können auf die reservierte Bandbreite zurückgreifen. Nachdem Sie diese Einstellung gemacht haben klicken Sie bitte auf „Hinzufügen“ und die gerade definierte Regel erscheint in der Liste. - Seite 133 von 172 - Die weiteren Buttons in diesem Menü erklären sich wohl von selbst. Insgesamt können Sie auf diese Art und Weise bis zu 20 Regeln definieren. Natürlich können Sie die erfolgreiche Konfiguration auch wieder über den Punkt „Online Status“ im Menü „QoS (Quality of Service)“ überprüfen. - Seite 134 von 172 - 47. Printserver – Windows 2000 Um den DrayTek Vigor Router als Printserver zu verwenden muss zuallererst der USB Drucker mit dem Router verbunden sein. Weiterhin benötigen Sie einige Informationen für das Setup unter Windows. Sie benötigen die IP Adresse des Printservers (entspricht der LAN IP Adresse des DrayTek Routers). Bitte halten Sie den Druckertreiber für Ihren USB Drucker griffbereit und folgen den nächsten Schritten um den DrayTek Vigor Router als Printserver zu verwenden. Öffnen Sie Einstellungen -> Drucker und wählen „Neuer Drucker“. Der Windows Installationsassistent öffnet sich. Klicken Sie auf „Weiter“. - Seite 135 von 172 - Wählen Sie „Lokaler Drucker“ und entfernen das Häkchen bei „Automatische Druckererkennung..“. Klicken Sie danach auf „Weiter“. Wählen Sie „Einen neuen Anschluss erstellen“ und stellen zusätzlich „Standard TCP/IP Port“ ein... danach klicken Sie auf „Weiter“. - Seite 136 von 172 - Auch hier klicken Sie auf „Weiter“. In diesem Fenster geben Sie die IP Adresse des Printservers (LAN IP des DrayTek Vigor Routers) ein und bestätigen mit „Weiter“. - Seite 137 von 172 - Wählen Sie „Standard“ und klicken dann auf „Generic Network Card“. Klicken Sie jetzt auf „Fertig stellen“. - Seite 138 von 172 - Wählen Sie nun Ihren Drucker aus der Liste bzw. klicken auf Datenträger um den Druckertreiber von der Hersteller CD zu installieren. Benennen Sie den Drucker und bestätigen durch klicken auf „Weiter“. - Seite 139 von 172 - Entscheiden Sie nun noch ob Sie den Drucker freigeben möchten oder nicht. Und wieder bestätigen Sie bitte mit „Weiter“. Bitte drucken Sie noch KEINE Testseite. Es sind noch nicht alle nötigen Konfigurationsschritte abgeschlossen. Im Ordner "Drucker" finden Sie jetzt den neu angelegten Drucker. Klicken Sie mit der rechten Maustaste auf das Druckersymbol. - Seite 140 von 172 - Klicken Sie auf "Eigenschaften". Es öffnet sich ein Fenster. Klicken Sie darin bitte auf den Reiter "Anschlüsse". Hier finden Sie den Druckerport, den Sie zuvor beim Anlegen des Druckers ausgewählt haben. - Seite 141 von 172 - Bitte ändern Sie diese Einstellung nicht: Achten Sie also darauf, dass nur der IP-Port "IP_192.168.1.1" mit einem kleinen Häkchen ausgewählt ist. Klicken Sie auf "Konfigurieren". Es öffnen sich die Einstellungen für den Druckerport. Wählen Sie hier bei "Protokoll" den Eintrag "LPR", tragen als Warteschlangenname "p1" ein und klicken Sie danach auf "OK". Schließen Sie anschließend das Fenster mit den Eigenschaften des Druckers mit der Taste "Schließen". Verbinden Sie den Drucker über den Vigor mit dem Netzwerk und stellen Sie sicher, dass der Rechner mit dem Router korrekt verbunden ist und diesen erreichen kann. Wenn Sie den Drucker nicht als Standarddrucker festgelegt haben, wählen Sie ihn einfach im "Drucken"-Menü aus bevor Sie auf "Drucken" klicken. - Seite 142 von 172 - 48. Dynamisches DNS - DynDNS Nehmen wir an, Sie möchten Ihren Router (bzw. einen Service Ihres lokalen Netzwerks z.B. einen FTP Server) immer über dieselbe IP-Adresse über das Internet erreichen. Dieses ist heutzutage leider nicht unbedingt möglich, da die meisten Internet Provider Ihnen jedes Mal wenn Sie sich einwählen eine neue, „dynamische“, IP-Adresse zuweisen und Ihre Internetverbindung meistens einmal am Tag trennen. Eine Option wäre sich eine „feste“ IPAdresse zuteilen zu lassen aber diesen Service lässt sich Ihr Provider natürlich bezahlen. Eine Möglichkeit Ihren DrayTek Router fast 24 Stunden am Tag über das Internet erreichbar zu machen ist die Nutzung eines so genannten kostenlosen „Dynamic DNS Service“. Das funktioniert folgendermaßen: Sie registrieren sich bei einem dieser Services und erhalten eine eigene IP Adresse. Einer der bekanntesten Provider ist DynDNS (www.dyndns.org). Nach der Anmeldung erhalten Sie dann die Adresse (z.B. test.dyndns.org). Bisher mussten Sie dann ein Utility auf einem Ihrer Rechner laufen lassen, welches Ihre aktuell vom Provider zugeteilte IP-Adresse an den DynDNS Service übermittelt hat, und der hat dann die Adresse test.dyndns.org dieser IP zugewiesen. Der Router übernimmt nun die Aufgabe dieses Utilities. Wählen Sie vom Hauptmenü aus den Punkt „Dynamisches DNS“. Folgendes Fenster erscheint und Sie haben nun die Möglichkeit bis zu 3 Konten zu Konfigurieren. Klicken Sie nun einfach einmal auf Index Nummer 1, aktivieren den Dynamic DNS Account und - Seite 143 von 172 - wählen einen Provider aus. (in unserem Beispiel „dyndns.org“) Im Feld „Domain Name“ geben Sie bitte nun den Namen an, den Sie bei der Anmeldung registriert haben. (ohne das dyndns.org, der Router setzt die Adresse selbst zusammen) -> Beispiel: test Bei Login Name und Passwort tragen Sie bitte den Namen und das PW ein, mit dem Sie sich bei dem DynDNS Service angemeldet haben und bestätigen wie immer mit klicken auf „OK“. Wenn ein DDNS Server Wildcards unterstützt, können alle Unterdomains auf einmal aktualisiert werden. Beispiel: Sie besitzen die DDNS Domain "twocom.dyndns.org" "service.twocom.dyndns.org" und "hilfe.twocom.dyndns.org". Um alle Domains auf einmal zu aktualisieren aktivieren Sie Wildcard und tragen Sie als Domäne "*.twocom.dyndns.org" ein. Backup MX: Nehmen wir an Sie haben keinen eigenen Mailserver und benutzen einen Mailserver im Internet (Beispiel: mail.flying.net) um z.B. Mails für [email protected] zu empfangen, geben Sie hier bitte „mail.flying.net“ ein. Die Emails für [email protected] werden dann an [email protected] weitergeleitet. Aktuell unterstützt DrayTek die folgenden DDNS Provider: - Seite 144 von 172 - - Seite 145 von 172 - 49. Zeit und Datum Hier sehen Sie zunächst einmal die aktuelle Systemzeit und können definieren ob der Vigor sein Datum und seine Zeit von Ihrem Browser oder von einem der zahlreichen TimeServer aus dem Internet beziehen soll. Eine aktuelle Liste mit Time Servern finden Sie z.B. unter www.ntp.org . Sollten Sie dort nicht fündig werden, verwenden Sie z.B. die IP Adresse 192.53.103.103. Weiterhin beachten Sie, dass der DrayTek Router die Zeit des Timeservers nicht von Winterauf Sommerzeit (oder anders herum) umstellt. Angezeigt wird immer die Winterzeit. Um den Router über einen Timeserver mit der Sommerzeit zu versorgen, wählen Sie einfach eine andere Zeitzone, die um die zusätzliche Stunde verschoben ist, beispielsweise "(GMT +2.00) Bucharest" aus. - Seite 146 von 172 - 50. Verbindungstimer Der DrayTek Vigor Router ist in der Lage zu bestimmten Zeiten eine Verbindung zum Internet aufzubauen oder abzubauen. Sie können damit z.B. einen täglichen Verbindungsaufbau um 14.00Uhr oder einen automatischen Verbindungsabbau um 19.00 Uhr forcieren, wenn Sie z.B. Ihr Büro verlassen. Diese Funktion des DrayTek Routers funktioniert in Verbindung mit der Systemzeit des Routers. Die Konfiguration der Systemzeit wird in einem anderen Kapitel behandelt. Klicken Sie vom Hauptmenü auf den Menüpunkt „Verbindungstimer“, Sie gelangen nun in ein Menü wo sie bis zu 15 verschiedene Regeln definieren können. Wählen Sie nun einen freien Index z.B. Index 1. - Seite 147 von 172 - Aktivieren Sie zunächst einmal die Regel durch Setzen von „Timer aktiv“. Anfangsdatum: Tragen Sie hier bitte ein ab welchem Datum diese Regel aktiv sein soll. Startzeit: Hier geben Sie Uhrzeit an (Beispiel 10.10Uhr) Dauer: Die Länge der Verbindungsdauer wird hier angegeben Verbindung: Aufbauen – baut eine Verbindung auf. Beenden – trennt eine Verbindung. Einwahl erlauben – hiermit lässt sich die Einwahlmöglichkeit von außen aktivieren. Einwahl sperren – deaktiviert die Einwahlmöglichkeit von außen. Max. Leerlaufzeit: bestimmt die Inaktivitätszeit, nach der der Router die Verbindung trennen soll. Beim Menüpunkt „Wiederholungen“ können Sie nun dem Router sagen ob diese Verbindung einmalig erfolgen soll, oder ob sie an mehreren bestimmten Wochentagen erfolgen soll. Bestätigen Sie Ihre Eingaben wie immer mit klicken auf „OK“. - Seite 148 von 172 - Die Regel ist nun definiert und Sie können die Regel im PPPoE Setup unter dem Punkt „Aktive Timereinstellung“ zur Anwendung bringen. Tragen Sie z.B. dort die 1 ein wird diese Regel vom Router berücksichtigt. Bemerkung: Bitte überprüfen Sie Ihre Einstellungen sorgfältig, da bei Fehlkonfiguration nicht auszuschließen ist dass Ihnen zusätzliche Kosten entstehen können. Weder DrayTek noch die Firma TwoCom haften in diesem Falle. Stellen Sie bitte sicher, dass Sie wissen was Sie tun. - Seite 149 von 172 - 51. Systemverwaltung – Fernwartung Jeder DrayTek Router kann prinzipiell über das Internet fernkonfiguriert werden. Dazu benötigen Sie lediglich die WAN IP Adresse (oder DynDNS) des Routers und das Passwort. Standardmäßig ist die Fernwartung des Routers jedoch aus Sicherheitsgründen deaktiviert. Um die Fernwartung zu aktivieren gehen Sie über das Hauptmenü des Routers auf „Verwaltung“. Hier können Sie zunächst einmal das Management über das Internet erlauben, indem Sie das Häkchen auf aktiv setzen. Nun können Sie den Router über HTTP konfigurieren. Auf der rechten Seiten in diesem Menü können Sie noch den Konfigurationsport des Routers ändern. Dieser steht standardmäßig auf Port 80 (normaler HTTP Port). Ändern Sie diesen Port kann auf das Webinterface des Routers nur noch über den neuen Port zugegriffen werden. Wenn Sie diesen Port z.B. auf 8080 ändern müssen Sie um den Router über das Webinterface konfigurieren zu können „http://192.168.1.1:8080“ angeben. Genauso können Sie hier auch die Ports für Telnet und FTP ändern. Weiterhin haben Sie die Möglichkeit die Konfiguration des Routers auf feste IP Adressen bzw. IP-Adressbereiche zu beschränken. - Seite 150 von 172 - Wie im Bild zu sehen würde jetzt nur ein Rechner mit der IP Adresse 192.168.2.3 den Router konfigurieren können. Alle Anfragen von Rechnern mit anderen IP Adressen werden nun vom Router zurückgewiesen. Dieses funktioniert sowohl mit internen IP Adressen aus dem LAN, als auch mit externen IP Adressen die über das Internet auf den Webkonfigurator zugreifen möchten. Um den Router z.B. nur von lokalen Rechnern konfigurieren lassen zu können tragen Sie z.B. 192.168.2.0 / 255.255.255.0 ein. Damit könnte jeder Rechner aus dem 192.168.2.x Netzwerk den Router konfigurieren, vorausgesetzt derjenige vor dem Rechner kennt das Passwort. Mit der Funktion "Firmware Upgrade via Internet erlauben" ist es möglich über das Internet ein Firmware Update auf den Router zu spielen. Im Normalfall wird diese Funktion nicht benötigt und sollte auch nur von erfahrenen Benutzern verwendet werden. Verwenden Sie hierbei bitte einen FTP Client, sowie die *.all Firmware Datei. - Seite 151 von 172 - 52. Systemverwaltung – Telnet Neben der Konfiguration des DrayTek Vigor Routers über das Webinterface steht Ihnen auch die Möglichkeit offen gewisse Funktionen des Vigors über Telnet zu konfigurieren. Der normale Anwender wird diese Funktion nie benötigen, erfahrene User schätzen aber diese Art der Konfigurationsmöglichkeit und Diagnose. Hier möchten wir Ihnen Nahe legen wie Sie die Telnet Kommandos zur Diagnose von etwaigen Netzwerkproblemen Nutzen können. In folgenden Beispielen verwenden wir den Windows Telnet Client. Klicken Sie z.B. auf Ihrem Desktop unten links auf Start und dann auf Ausführen. Nach einem Klick auf OK öffnet sich das Telnet Terminal und erwartet die Eingabe des Passworts. (sollten Sie keines vergeben haben werden Sie dann hier noch einmal darauf hingewiesen eines zu vergeben) Nach Eingabe des Passwortes erwartet Telnet Ihre Befehle. Durch die Eingabe eines ? erhalten Sie eine Übersicht über die zur Verfügung stehenden Befehle: - Seite 152 von 172 - Um die einzelnen Befehle näher kennen zu lernen geben Sie irgendeinen der verfügbaren Befehle ein, gefolgt von einem Freizeichen und einem „?“. Also z.B.: ip ? Nun erhalten Sie den weiteren Syntax des Befehls ip: Kommandos wiederholen: Innerhalb der Telnet Session können Sie Kommandos wiederholen indem Sie die Steuerungstasten Pfeil oben und Pfeil unten auf Ihrer Tastatur verwenden. Telnet beenden: Um Ihre Telnet Session zu beenden tippen Sie bitte quit oder exit in die Kommandozeile, gefolgt von einem Druck auf die Return-Taste. Ansicht der Call Logs: Das Call Log bietet eine einfache Methode Ihre Ruf Einstellungen oder WAN Verbindungsprobleme zu diagnostizieren. Auch wenn Sie selbst den Inhalt des Logfiles nicht verstehen sollten ist es dennoch hilfreich wenn Sie dieses dann an den Draytek Service schicken können. Geben Sie „log –F c“ in der Kommandozeile ein um alle Call Logs zu löschen. Veranlassen Sie dann z.B. einen Ping Befehl zu irgendeiner IP Adresse die nicht zu Ihrem Netzwerk gehört um den Router zum Aufbau einer Internetverbindung zu bringen. Geben Sie dann „log –c“ ein um den letzten Call Log anzuzeigen. - Seite 153 von 172 - Weitere Befehle sind um Beispiel „log -w“ um sich das WAN Log anzeigen zu lassen oder „log p“ für das PPPoE Log. Leider gibt es auch von DrayTek keine detaillierte Auflistung sämtlicher Telnet Befehle, mit der Eingabe von „?“ hinter einem Befehl sollten sich erfahrene Anwender jedoch relativ schnell mit den zur Verfügung stehenden Befehlen vertraut machen können. - Seite 154 von 172 - 53. Systemverwaltung – Erstellen/Laden eines Backups Es besteht die Möglichkeit eine einmal getätigte Konfiguration des DrayTek Vigor Routers zu sichern um diese z.B. nach einem Rücksetzen nach eventueller Fehlkonfiguration wieder einzuspielen und so die gesicherte und funktionierende Konfiguration wieder herzustellen. Gehen Sie dazu im Hauptmenü des Routers einfach auf „Erstellen / Laden eines Backups“. Klicken Sie hier jetzt auf „Datensicherung“ wird die aktuelle Konfiguration des DrayTek Vigor Routers als Datei auf Ihrer Festplatte gespeichert. Wählen Sie einfach über das Windows Requester den Ort aus, an dem Sie die Konfigurationsdatei auf Ihrer HD sichern wollen. Um eine Konfigurationsdatei wieder in den Router einzuspielen klicken Sie zunächst bitte auf den „Browse“ Button. Ein Fenster geht auf und Sie können die Konfigurationsdatei auf Ihrer HD auswählen. - Seite 155 von 172 - Klicken Sie danach auf „Wiederherstellen“ und die Konfiguration wird von Ihrer Festplatte in den Router gespielt. Der Router gibt Ihnen eine Meldung über das erfolgreiche Laden Ihrer Konfigurationsdatei und danach führen Sie bitte einen Neustart des Routers durch um diese zurückgespielte Konfiguration zu aktivieren. - Seite 156 von 172 - 54. Systemverwaltung – Hardware Reset Bei den DrayTek Routern setzten Sie einfach den Router auf die Werkseinstellungen zurück indem Sie während des laufenden Betriebs die Reset-Taste auf der Rückseite des Routers solange gedrückt halten bis die ACT-LED sehr schnell blinkt (ca. 5 Sekunden). Danach wird Ihr Router auf die Werkseinstellungen zurückgesetzt. Diese sind wie folgt: IP-Adresse: 192.168.1.1 Teilnetzmaske: 255.255.255.0 DHCP-Startadresse: 192.168.1.10 Anzahl der DHCP-Adressen: 50 Passwort: kein Passwort vergeben Spielen Sie nun eine gesicherte Konfiguration in den Router zurück oder beginnen Sie mit der Neukonfiguration des Draytek Vigor Routers. - Seite 157 von 172 - 55. Systemverwaltung – Firmware Update Selbstverständlich verfügt auch der DrayTek Vigor Router über eine Firmware. Diese ist sozusagen das „Betriebssystem“ für Ihren Router. Von Zeit zu Zeit kann es nötig sein diese „Firmware“ auf eine aktuellere Version zu bringen, da die Geräte von DrayTek natürlich weiterentwickelt werden und so eventuell neue Features zur Verfügung gestellt werden. Außerdem kann ein Firmware Update auch vorhandene Fehler seitens des Herstellers korrigieren. Normalerweise ist zum Zeitpunkt des Erwerbs eine aktuelle Firmware in Ihren Vigor Router eingespielt. Wenn Sie keine akuten Probleme haben bzw. Ihnen ein Servicetechniker explizit zu einem Firmware Update rät, verwenden Sie bitte diese, installierte, Firmware. Aktuelle deutsche Firmwares bekommen Sie von den deutschen Internetseiten von DrayTek bzw. von den Internetseiten eines der deutschen DrayTek Distributoren. Die in Deutschland heruntergeladenen Firmwares sind in aller Regel lokalisiert, d.h. stellen Ihnen eine deutsche Konfigurationsoberfläche im Webinterface zur Verfügung. Es gibt zwei Arten von Firmware Dateien: *.all – enthält die Firmware sowie das deutsche Interface. *.rst - enthält die Firmware sowie das deutsche Interface und setzt den Router direkt nach dem Einspielen der Firmware auf die Werkseinstellungen zurück. Sowohl für Windows, als auch für Mac OS stehen Ihnen auf der mitgelieferten CD die so genannten Router Tools zur Verfügung. Diese beinhalten auch das Firmware Upgrade Utility von DrayTek. Installieren Sie zunächst also die Router Tools von der mitgelieferten CD. Danach starten Sie bitte das Firmware Upgrade Utility. - Seite 158 von 172 - Das folgende Fenster sollte aufgehen: Nun klicken Sie bitte auf den „...“ Button neben dem „Target Router“ Feld. Es werden Ihnen nun sämtliche, sich im Netzwerk befindlichen, DrayTek Router angezeigt und Sie wählen bitte den Router dessen Firmware Sie updaten möchten per Doppelklick aus. Sollten Sie Ihren DrayTek Router in dieser Liste nicht finden, kann das daran liegen, dass er eventuell schon im Firmwareupgrade-Modus ist. Das passiert immer, wenn Sie den Router manuell in den Firmwareupgrade-Modus versetzt haben (beim Einschalten ca. 3 Sekunden den Reset-Knopf mit einem Stift o.ä. gedrückt halten), kann aber auch unbeabsichtigt z.B. durch ein missglücktes Firmwareupdate geschehen. Im Normalfall erkennen Sie dass der DrayTek Router sich im Firmware Update Modus befindet wen die beiden linken LEDs am Gerät selbst synchron blinken. Klicken Sie dann hier auf "Cancel" und tragen Sie die Vigor-IP-Adresse manuell unter "Target Router" im Upgrade-Utility ein. Beachten Sie bitte auch, dass sich der Router sowie der Rechner von dem aus Sie das Update starten wollen, im selben Netzwerk/IP-Adressbereich befinden. Ein Firmware Update über eine drahtlose WLAN Verbindung ist nicht möglich. - Seite 159 von 172 - Der ausgewählte Router erscheint nun als „Target Router“ mit seiner IP Adresse. Nun wählen Sie bitte die einzuspielende Firmware durch klicken auf „...“ neben dem „Local File“ Feld von Ihrer Festplatte aus. Um alle Dateien in diesem Ordner aufgelistet zu erhalten stellen Sie bei Dateityp bitte "(*.*)" ein. Bedenken Sie: *.all – enthält die Firmware sowie das deutsche Interface. *.rst - enthält die Firmware sowie das deutsche Interface und setzt den Router direkt nach dem Einspielen der Firmware auf die Werkseinstellungen zurück. Die Firmwaredatei wird jetzt unter "Local File" mit ihrem kompletten Pfad angezeigt und bei "Operation Mode" ist die voreingestellte Auswahl "Upgrade". Geben Sie nun bei "Password" das Passwort ein, das Sie für den Router vergeben haben. Ab Werk ist kein Passwort vergeben, in diesem Fall bleibt der Eintrag leer, danach klicken Sie bitte auf „Send“. Der Router wird jetzt selbständig in den Upgrademodus gesetzt und die Firmware wird auf den Router gespielt. Sollte das Upgrade erfolgreich verlaufen sein, können Sie sich die aktuelle Firmwareversion des Routers im Webkonfigurator ansehen. Diese finden Sie oben im Webkonfigurator. Achtung: Sollte statt der Meldung "Transfer Complete" eine Fehlermeldung erscheinen, starten Sie den Vigor neu und beginnen Sie wieder von vorne. Sollten Sie weitere Probleme mit dem Einspielen der Firmware haben, setzen Sie den Router bitte manuell in den Upgrademodus. Schalten Sie dazu den Router aus, drücken mit einem geeigneten Gegenstand (Stift) den Resetknopf ganz rechts auf der Rückseite, schalten den Router wieder an und lassen Sie dabei den Resetknopf etwa drei Sekunden gedrückt. Nun springt der Vigor in den TFTP-Servermodus, man erkennt das am synchronen Blinken der Dioden "ACT" und "LNK/QoS". Sie müssen die IP-Adresse des Routers jetzt manuell unter "Target Router" eingeben, bevor Sie "Send" klicken, um die Firmware aufzuspielen. - Seite 160 von 172 - 56. Onlinestatus Sie haben beim DrayTek Vigor Router die Möglichkeit sich jederzeit über den Internet Verbindungsstatus des Routers zu informieren. Dieses ist über den Menüpunkt „Onlinestatus“ über das Hauptmenü möglich. Dieser Bildschirm aktualisiert sich alle paar Sekunden automatisch. Unter ISDN Status wird Ihnen der Verbindungsstatus der ISDN Verbindung(en) angezeigt (nur bei Modellen mit ISDN Interface). Kanal B1 & B2 zeigt die Aktivität der beiden ISDN B-Kanäle an. Ist keine Verbindung aufgebaut steht bei „Aktivität“ das Wort Idle. Sobald eine der beiden ISDN Leitungen eingewählt ist erscheint dort eine IP-Adresse bzw. die Bezeichnung der Verbindung. TX Pkts / RX Pkts und TX Rate / RX Rate sind Werte über die versendeten (TX) und empfangenen (RX) Datenpakete bzw. eine relative Angabe über die Übertragungsgeschwindigkeit (Rate) dieser Verbindung. Die Zeit zeigt Ihnen an, wie lange diese Verbindung aktuell besteht. Weiterhin haben Sie hier die Möglichkeit eine bestehende Verbindung manuell zu trennen. Tun Sie dies durch klicken auf „B1 oder B2 auflegen“. LAN-Status: Zeigt Ihnen die lokale IP Adresse des Vigor an und wie viele Daten bereits übertragen worden sind. - Seite 161 von 172 - WAN-Status: Der WAN Status zeigt Ihnen Daten über die Verbindung nach außen an. Dazu gehören die Art der Verbindung, die WAN IP Adresse (sehen Sie hier rote Striche besteht keine WAN Verbindung), Daten über die Geschwindigkeit und Menge der übertragenen Pakete, sowie die Zeit für diese aktuelle Verbindung. Mit „PPPoE Verbinden" kann die Breitbandverbindung von Hand aufgebaut werden. „PPPoE Beenden“ trennt die WAN Verbindung. - Seite 162 von 172 - 57. Diagnose - ISDN/WAN Verbindungen In diesem Menü können Sie manuell eine Verbindung zum Internet aufbauen, testen oder trennen. ISDN: Der ISDN-Status zeigt, ob der DrayTek Vigor Router mit dem S0-Bus des ISDN Anschlusses verbunden ist. Ist der ISDN Status auf UP (grün), so hat der Vigor den ISDN-Anschluss erkannt. Ist der Status auf DOWN (rot), prüfen Sie bitte Ihre Verbindung zum ISDN-Netz. Der „UP“ Status kann abhängig von der Telefonanlage bzw. Vermittlungsstelle auch erst grün werden sobald ein Anwahlversuch stattfindet. Bei Klicken auf „ISDN" verbindet der DrayTek Router zu der Verbindung die Sie unter „Einwahl über Einzelanbieter“ oder unter "Einwahl über zwei Anbieter" konfiguriert haben. PPPoE/PPTP: Bei klicken auf "PPPoE/PPPOA" erfolgt die Anwahl mit den Daten, die für diese PPPoE/PPoA Internetverbindung konfiguriert wurden. Nachdem Sie eine manuelle Anwahl, egal ob über ISDN oder PPPoE, initiiert haben, erfolgt keine automatische Aktualisierung der angezeigten Seite. Erst wenn Sie den Knopf "Aktualisieren" oben rechts klicken werden die Daten erneuert. Bei einer erfolgreichen Anwahl steht nun bei ISDN neben dem Status der Eintrag "UP" und bei - Seite 163 von 172 - PPPoE / PPPoA die zugeteilte WAN IP-Adresse. - Seite 164 von 172 - 58. Diagnose – Anwahl-Auslöser Um herauszufinden welcher Rechner bzw. welches Paket aus dem lokalen Netz eine Anwahl des DrayTek Routers verursacht hat verwenden Sie diese Funktion des Routers. Öffnen Sie in „Systemmanagement" --> „Diagnose Tools" den Unterpunkt „Anwahl-Auslöser". Wichtig für die Diagnose ist eigentlich nur die erste Zeile unter „Klartext“. Hier erscheint von welcher IP Adresse ein Paket abgegangen ist und auf welche IP Adresse dieses Paket gesendet wurde. Sie können hier also eine erste Diagnose stellen warum sich der Router z.B. ungewollt mit dem Internet Verbindet (Beispielsweise Software auf einem der Rechner die nach Aktualisierungen sucht). Für weitergehende Informationen verwenden Sie bitte Syslog. - Seite 165 von 172 - 59. Diagnose – DHCP Tabelle Sollte Ihr Router als DHCP Server konfiguriert sein, erhalten Sie hier genaue Angaben über die vom Router vergebenen IP Adressen und den DHCP Status. Angezeigt werden hier die per DHCP vergebene IP Adresse, die MAC Adresse des Clients dem die IP Adresse zugewiesen wurde, sowie die Lease Time. - Seite 166 von 172 - 60. Diagnose – ARP-Cache Tabelle Hier zeigt Ihnen der DrayTek Router die ARP-Cache Tabelle an. Sie können hier die IP Adressen sehen, mit denen der Router während seiner Laufzeit bereits kommuniziert hat. Der „Aktualisieren“ Button erneuert die Anzeige dieser Tabelle und eventuell neu dazugekommene IP Adressen werden angezeigt. - Seite 167 von 172 - 61. Diagnose – Aktive Portumleitungen Hier werden Ihnen die unter NAT eingestellten aktiven Portumleitungen angezeigt. Die in der Liste aufgeführten Daten entsprechen den Angaben in der Portumleitungstabelle. Protocol: Steht hier eine 6, so bezieht sich die Portumleitung auf Verbindungen mit dem TCP/IPProtokoll, steht hier eine 17 so gilt die Portumleitung nur für UDP-Verbindungen. Ist eine 0 eingetragen, so ist der Port-Map-Eintrag nicht aktiv. Public Port: Dies ist der „Öffentliche Port", dessen Daten an eine IP-Adresse im lokalen Netzwerk (Private IP) auf einem anderen Port (Private Port) weitergeleitet werden soll. Private IP: Dies ist die IP-Adresse des Rechners/Clients im lokalen Netzwerk, auf den die Daten weitergeleitet werden. Private Port: Hier ist der Port aufgeführt, auf den die Daten an den Rechner/Client im lokalen Netzwerk geschickt werden. - Seite 168 von 172 - 62. Diagnose – NAT Tabelle Auf dieser Seite erhalten Sie eine Liste der über das NAT hergestellten Verbindungen. „Private IP“ zeigt die Adresse des Rechners im lokalen Netz: Port ist der Port auf dem die Daten im lokalen Netz zum Router geschickt wurden. Der Pseudo Port muss von der Gegenstelle benutzt werden, um den Rechner zu erreichen. „Peer IP“ ist die IP-Adresse des Servers im Internet und der Port ist der Port auf dem die Anfrage bei der Gegenseite landet. „Ifno“ steht für „Interface Nummer". Folgende Interfaces gibt es beim Vigor: 0 - LAN 1 - ISDN Kanal B1 2 - ISDN Kanal B2 3 - WAN-Anschluss - Seite 169 von 172 - 63. Syslog und Mail Alarm Unter dem Menüpunkt Syslog und Mail Alarm haben Sie die Möglichkeit den Rechner zu konfigurieren an den der DrayTek sämtliche Syslog Informationen senden soll. Dazu gehören Benachrichtigungen bei Hacker Angriffen aber auch generelle Systeminfos. Über SysLog kann man sich detaillierte Informationen über den Status des DrayTek Vigor Routers anzeigen lassen. Übermittelt werden Daten zum WAN-Status, zur Einwahl, zu VPN, zu aufgerufenen Seiten und zur Firewall. Konfigurieren Sie die Systemzeit des DrayTek Routers, um zu jeder SysLog-Meldung die aktuelle Systemzeit zu erhalten. Mit Hilfe des DrayTek Syslog Tools, welches sich auf der mitgelieferten CD befindet, werden die Nachrichten übersichtlich angezeigt und können als Protokoll gesichert werden. Auch den WAN-Status des Routers zeigt das Programm an. Setzen Sie die Syslog Funktion auf aktiv und definieren die IP Adresse des Rechners auf dem der Syslog Client in Ihrem lokalen Netzwerk läuft und alles mitprotokollieren soll. Der Standardport ist hierbei 514. Weiterhin haben Sie die Möglichkeit sich per eMail über WAN-Status, Einwahl, VPN und zur Firewall informieren zu lassen. Setzen Sie dazu die Mail Alert Funktion auf aktiv, geben Ihren SMTP Server zum Versenden der Mails, die Email des Empfängers, sowie eine Antwortadresse an. - Seite 170 von 172 - - Seite 171 von 172 - DrayTek Syslog Tool: Das Programm "DrayTek SysLog" sammelt und sortiert die SysLog Nachrichten des DrayTek Vigor Routers. Die Meldungen werden anschaulich dargestellt und können auch als Log-Datei gespeichert werden. Bedienung und Funktion sind bei den verschiedenen Programmversionen für Mac OS X, Mac OS 9 und Windows nahezu identisch. Das Syslog Tool finden Sie auf der mitgelieferten CD bzw. ist Bestandteil der DrayTek Router Tools. Hinweis für Mac User. Unter Mac OS X sind Ports 1-1024 reserviert. Deshalb kann unter Mac OS X der voreingestellte Port 514 nicht verwendet werden. Ändern Sie deshalb in den SysLog-Einstellungen des Routers den Port auf 1028. - Seite 172 von 172 -