Vigor2800 Serie Benutzerhandbuch

Transkript

1 Vigor2800 Serie Benutzerhandbuch Version: 2.1 Datum: Copyright 2006 DrayTek Corp. Alle Rechte vorbehalten. Diese Veröffentlichung beinhaltet Informationen, welche durch urheberrechtlich geschützt sind. Sie dürfen weder im Ganzen noch als Teile ohne schriftliche Genehmigung reproduziert, versendet, überschrieben, übersetzt oder zum Download bereit gestellt werden. Microsoft ist eine registrierte Handelsmarke von Microsoft Corp. Windows, Windows 95, 98, Me, NT, 2000, XP sowie Explorer sind Handelsmarken von Microsoft Corp. Apple und Mac OS sind eingetragene Handelsmarken von Apple Computer Inc. Andere Produkte können Handelsmarken bzw. eingetragene Warenzeichen ihrer jeweiligen Hersteller sein.

2 Dieses Produkt wurde für 2,4 GHz WLAN entworfen und ist zertifiziert für die EG und Schweiz sowie mit Einschränkungen in Frankreich. ii

3 Inhaltsverzeichnis Einleitung Anschlüsse und Kontrolllampen (LED) Vorder- und Rückansicht des Vigor Vorder- und Rückansicht des Vigor2800G Vorder- und Rückansicht des Vigor2800i Vorder- und Rückansicht des Vigor2800Gi Vorder- und Rückansicht des Vigor2800V Vorder- und Rückansicht des Vigor2800VG Vorder- und Rückansicht des Vigor2800VGi Hardware Installation...9 Basiskonfiguration Ändern des Passworts Schnellstart Assistent Einstellen der Internetanbindung PPPoE/PPPoA Bridged IP Routed IP Onlinestatus Status Leiste...19 Erweiterte Einstellungen Einwahl ins Internet Grundlagen LAN Grundlagen NAT Portumleitung DMZ Host Offene Ports Liste gebräuchlicher Ports Firewall Grundlagen Basiskonfiguration Filtereinstellungen IM Filter P2P Filter DoS Abwehr Inhaltsbezogener URL-Filter Inhaltsbezogener Web-Filter Anwendungen Dynamisches DNS Verbindungstimer RADIUS UPnP QoS VPN und externe Einwahl...33 Vigor2800-Serie Benutzerhandbuch iii

4 3.6.1 Einwahlmöglichkeiten PPP Einstellungen IPSec Grundeinstellungen IPSec Identität Externe Benutzer LAN-zu-LAN Verbindungsmanagement Zertifikatsverwaltung lokales Zertifikat vertrauenswürdiges CA Zertifikat VoIP Kurzwahl/Telefonbuch SIP Konten Telefon Einstellungen Status ISDN Basiskonfiguration Einwahl über einen ISP Einwahl über zwei ISPs Virtueller TA Verbindungseinstellungen Wireless LAN Grundlagen Basiskonfiguration Verschlüsselung Zugriffskontrolle WDS Liste der Access Points Liste der Clients Systemmanagement Systemstatus Administrator Passwort Konfiguration sichern SysLog und Alarm Zeit und Datum Verwaltung Neustart Firmware aktualisieren Diagnose Tools WAN Verbindungen Anwahl-Auslöser Routing Tabelle ARP Cache Tabelle DHCP Tabelle NAT Tabelle Ping Datenfluss-Monitor Trace Route... iv

5 Vigor2800-Serie Benutzerhandbuch v

6

7 1 Einleitung Die Vigor2800-Serie stellt mit dem integrierten Modem eine außergewöhnliche Bandbreite für den Internetzugang zur Verfügung. So ist ein Downstream von bis zu 12 Mbit/s (ADSL2) bzw. 24 Mbit/s (ADSL2+) möglich, was jede Internetverbindung aufwertet egal ob diese privat oder im Büro genutzt wird. Die Sicherheit Ihres Netzwerks gewährt die Vigor2800-Serie durch eine integrierte Firewall mit erweiterten Funktionen, wie Stateful Packet Inspection (SPI) zum Erkennen und Verwerfen von bösartigen Datenpaketen, NAT mit Multi-VPN PassThrough, konfigurierbarem Web-Filter zur elterlichen Kontrolle und zum Schutz vor dem Internet-Missbrauch, sowie viele weitere Funktionen. Das integrierte Funknetz-Modul unterstützt Datenraten im Wireless LAN (WLAN) von bis zu 108 Mbit/s, bekannt als SuperG. Auch hier sorgt die Vigor2800-Serie für die nötige Sicherheit und verschlüsselt die WLAN-Übertragung mit WEP oder WPA2 (802.11i). Weitere Sicherheitsfunktionen sind die Vergabe von Zugangsberechtigungen auf der Basis von MAC-Adressen und das Verbergen der SSID, um vor den Scannern möglicher Eindringlinge unsichtbar zu sein. Vigor2800-Serie Benutzerhandbuch 1

8 1.1 Anschlüsse und Kontrolllampen (LED) Vorder- und Rückansicht des Vigor2800 Das Grundmodell verfügt neben dem integrierten ADSL, ADSL2/2+ Modem auch über die Schnittstelle für einen USB-Drucker und einen vier Port 10/100 Base-TX Switch. LED ACT (Activity) QoS P2P Firewall VPN DSL Printer LAN (1, 2, 3, 4) Schnittstelle Printer PWR ON/OFF LAN 4 1 ADSL Factory Reset 2 Status An blinkend An Aus An blinkend An blinkend An An (grün) Beschreibung Der Vigor ist angeschaltet blinkend (grün) blinkend (orange) An grün leuchtend DSL synchronisiert (Handshaking) DSL Datenpakete werden transferiert Druckerschnittstelle ist betriebsbereit Eine 100Mbit/s ist an diesem Port installiert blinkend Ethernet Datenpakete werden transferiert Der Vigor ist angeschaltet und arbeitet normal QoS Funktion ist aktiv QoS Funktion ist inaktiv Blockieren von P2P aktiv P2P Daten werden unterbunden DoS Funktion aktiv DoS Angriff VPN Tunnel ist aktiv DSL ist betriebsbereit (Showtime) Beschreibung Schnittstelle für einen USB-Drucker Anschluss für einen 12-15VDC Stromadapter Schalter für die Stromversorgung Schnittstelle für lokale Netzwerkgeräte Schnittstelle zum Internetzugang über die ADSL, ADSL2/2+ Leitung Auf Werkseinstellungen zurücksetzen. Anwendung: Vigor anschalten (ACT LED blinkt). Die versenkte Taste länger als fünf Sekunden drücken. Wenn die ACT LED beginnt schneller als normal zu blinken, kann die Taste losgelassen werden. Jetzt wird der Vigor mit den Werkseinstellungen neu gestartet.

9 1.1.2 Vorder- und Rückansicht des Vigor2800G Zusätzlich zu den Eigenschaften des Grundmodells bietet der Vigor2800G das kompfortable Wireless LAN. Es werden die Standards b und g unterstützt. LED ACT (Activity) QoS P2P Firewall WLAN DSL Printer LAN (1, 2, 3, 4) Schnittstelle Printer PWR ON/OFF LAN 4 1 ADSL Factory Reset Status An blinkend An Aus An blinkend An blinkend An blinkend Aus An (grün) Beschreibung Der Vigor ist angeschaltet blinkend (grün) blinkend (orange) An grün leuchtend DSL synchronisiert (Handshaking) DSL Datenpakete werden transferiert Druckerschnittstelle ist betriebsbereit Eine 100Mbit/s ist an diesem Port installiert blinkend Ethernet Datenpakete werden transferiert Der Vigor ist angeschaltet und arbeitet normal QoS Funktion ist aktiv QoS Funktion ist inaktiv Blockieren von P2P aktiv P2P Daten werden unterbunden DoS Funktion aktiv DoS Angriff Wireless Access Point ist bereit Wireless Datentransfer Wireless Access Point ist ausgeschaltet DSL ist betriebsbereit (Showtime) Beschreibung Schnittstelle für einen USB-Drucker Anschluss für einen 12-15VDC Stromadapter Schalter für die Stromversorgung Schnittstelle für lokale Netzwerkgeräte Schnittstelle zum Internetzugang über die ADSL, ADSL2/2+ Leitung Auf Werkseinstellungen zurücksetzen. Anwendung: Vigor anschalten (ACT LED blinkt). Die versenkte Taste länger als fünf Sekunden drücken. Wenn die ACT LED beginnt schneller als normal zu blinken, kann die Taste losgelassen werden. Jetzt wird der Vigor mit den Werkseinstellungen neu gestartet. Vigor2800-Serie Benutzerhandbuch 3

10 1.1.3 Vorder- und Rückansicht des Vigor2800i Neben den Merkmalen des Grundmodells bietet der Vigor2800i auch erweiterte ISDN Funktionen. Hierzu gehört u.a. das integrierte ISDN Modem, welches als Backup zum ADSL2+ Anschluss konfigurieren werden kann oder die ISDN Einwahl erlaubt. LED ACT (Activity) ISDN P2P Firewall VPN DSL Printer LAN (1, 2, 3, 4) Schnittstelle Printer PWR ON/OFF LAN 4 1 ISDN ADSL Factory Reset 4 Status An blinkend An blinkend An blinkend An blinkend An An (grün) Beschreibung Der Vigor ist angeschaltet blinkend (grün) blinkend (orange) An grün leuchtend DSL synchronisiert (Handshaking) DSL Datenpakete werden transferiert Druckerschnittstelle ist betriebsbereit Eine 100Mbit/s ist an diesem Port installiert blinkend Ethernet Datenpakete werden transferiert Der Vigor ist angeschaltet und arbeitet normal ISDN Schnittstelle ist betriebsbereit, D-Kanal erkannt Datentransfer über einen B-Kanal Blockieren von P2P aktiv P2P Daten werden unterbunden DoS Funktion aktiv DoS Angriff VPN Tunnel ist aktiv DSL ist betriebsbereit (Showtime) Beschreibung Schnittstelle für einen USB-Drucker Anschluss für einen 12-15VDC Stromadapter Schalter für die Stromversorgung Schnittstelle für lokale Netzwerkgeräte Anschlss für den NT Ihres ISDN Anbieters Schnittstelle zum Internetzugang über die ADSL, ADSL2/2+ Leitung Auf Werkseinstellungen zurücksetzen. Anwendung: Vigor anschalten (ACT LED blinkt). Die versenkte Taste länger als fünf Sekunden drücken. Wenn die ACT LED beginnt schneller als normal zu blinken, kann die Taste losgelassen werden. Jetzt wird der Vigor mit den Werkseinstellungen neu gestartet.

11 1.1.4 Vorder- und Rückansicht des Vigor2800Gi Neben den Merkmalen des Vigor2800G Modells bietet der Vigor2800Gi auch erweiterte ISDN Funktionen. LED ACT (Activity) ISDN P2P Firewall WLAN DSL Printer LAN (1, 2, 3, 4) Schnittstelle Printer PWR ON/OFF LAN 4 1 ISDN ADSL Factory Reset Status An blinkend An blinkend An blinkend An blinkend An blinkend Aus An (grün) Beschreibung Der Vigor ist angeschaltet blinkend (grün) blinkend (orange) An grün leuchtend DSL synchronisiert (Handshaking) DSL Datenpakete werden transferiert Druckerschnittstelle ist betriebsbereit Eine 100Mbit/s ist an diesem Port installiert blinkend Ethernet Datenpakete werden transferiert Der Vigor ist angeschaltet und arbeitet normal ISDN Schnittstelle ist betriebsbereit, D-Kanal erkannt Datentransfer über einen B-Kanal Blockieren von P2P aktiv P2P Daten werden unterbunden DoS Funktion aktiv DoS Angriff Wireless Access Point ist bereit Wireless Datentransfer Wireless Access Point ist ausgeschaltet DSL ist betriebsbereit (Showtime) Beschreibung Schnittstelle für einen USB-Drucker Anschluss für einen 12-15VDC Stromadapter Schalter für die Stromversorgung Schnittstelle für lokale Netzwerkgeräte Anschlss für den NT Ihres ISDN Anbieters Schnittstelle zum Internetzugang über die ADSL, ADSL2/2+ Leitung Auf Werkseinstellungen zurücksetzen. Anwendung: Vigor anschalten (ACT LED blinkt). Die versenkte Taste länger als fünf Sekunden drücken. Wenn die ACT LED beginnt schneller als normal zu blinken, kann die Taste losgelassen werden. Jetzt wird der Vigor mit den Werkseinstellungen neu gestartet. Vigor2800-Serie Benutzerhandbuch 5

12 1.1.5 Vorder- und Rückansicht des Vigor2800V Der Vigor2800V glänzt mit einer anderen Technologie nämlich VoIP. Die Internettelefonie kann hier über zwei separate Anschlüsse mittels analogen Telefone bzw. Headsets durchgeführt werden. LED ACT (Activity) QoS FXS2, FXS1 VPN DSL Printer LAN (1, 2, 3, 4) Schnittstelle Printer PWR ON/OFF FXS 1/2 LAN 4 1 ADSL Factory Reset 6 Status An blinkend An Aus An blinkend An An (grün) Beschreibung Der Vigor ist angeschaltet blinkend (grün) blinkend (orange) An grün leuchtend DSL synchronisiert (Handshaking) DSL Datenpakete werden transferiert Druckerschnittstelle ist betriebsbereit Eine 100Mbit/s ist an diesem Port installiert blinkend Ethernet Datenpakete werden transferiert Der Vigor ist angeschaltet und arbeitet normal QoS Funktion ist aktiv QoS Funktion ist inaktiv Der Telefonhörer ist aufgelegt Ein Anruf kommt an VPN Tunnel ist aktiv DSL ist betriebsbereit (Showtime) Beschreibung Schnittstelle für einen USB-Drucker Anschluss für einen 12-15VDC Stromadapter Schalter für die Stromversorgung Anschlüsse für analoge Telefone zur Internettelefonie oder ins ISDN-Netz Schnittstelle für lokale Netzwerkgeräte Schnittstelle zum Internetzugang über die ADSL, ADSL2/2+ Leitung Auf Werkseinstellungen zurücksetzen. Anwendung: Vigor anschalten (ACT LED blinkt). Die versenkte Taste länger als fünf Sekunden drücken. Wenn die ACT LED beginnt schneller als normal zu blinken, kann die Taste losgelassen werden. Jetzt wird der Vigor mit den Werkseinstellungen neu gestartet.

13 1.1.6 Vorder- und Rückansicht des Vigor2800VG Das Modell mit der Ergänzung VG vereint die Internettelefonie mit dem Wireless LAN. Damit ist der Vigor2800VG eine gute Investition für die Zukunft. LED ACT (Activity) QoS FXS2, FXS1 WLAN DSL Printer LAN (1, 2, 3, 4) Schnittstelle Printer PWR ON/OFF FXS 1/2 LAN 4 1 ADSL Factory Reset Status An blinkend An Aus An blinkend An blinkend Aus An (grün) Beschreibung Der Vigor ist angeschaltet blinkend (grün) blinkend (orange) An grün leuchtend DSL synchronisiert (Handshaking) DSL Datenpakete werden transferiert Druckerschnittstelle ist betriebsbereit Eine 100Mbit/s ist an diesem Port installiert blinkend Ethernet Datenpakete werden transferiert Der Vigor ist angeschaltet und arbeitet normal QoS Funktion ist aktiv QoS Funktion ist inaktiv Der Telefonhörer ist aufgelegt Ein Anruf kommt an Wireless Access Point ist bereit Wireless Datentransfer Wireless Access Point ist ausgeschaltet DSL ist betriebsbereit (Showtime) Beschreibung Schnittstelle für einen USB-Drucker Anschluss für einen 12-15VDC Stromadapter Schalter für die Stromversorgung Anschlüsse für analoge Telefone zur Internettelefonie oder ins ISDN-Netz Schnittstelle für lokale Netzwerkgeräte Schnittstelle zum Internetzugang über die ADSL, ADSL2/2+ Leitung Auf Werkseinstellungen zurücksetzen. Anwendung: Vigor anschalten (ACT LED blinkt). Die versenkte Taste länger als fünf Sekunden drücken. Wenn die ACT LED beginnt schneller als normal zu blinken, kann die Taste losgelassen werden. Jetzt wird der Vigor mit den Werkseinstellungen neu gestartet. Vigor2800-Serie Benutzerhandbuch 7

14 1.1.7 Vorder- und Rückansicht des Vigor2800VGi Der Vigor2800VGi vereint alle Modelle dieser Serie und deren Merkmale in einem Gerät und bietet eine zusätzliche Funktionalität: das ISDN On-Net/Off-Net. Diese erlaubt es VoIP Anrufe in das ISDN Telefonnetz zu vermitteln und umgekehrt. LED ACT (Activity) ISDN FXS2, FXS1 WLAN DSL Printer LAN (1, 2, 3, 4) Schnittstelle Printer PWR ON/OFF FXS 1/2 LAN 4 1 ADSL ISDN Factory Reset 8 Status An blinkend An blinkend An blinkend An blinkend Aus An (grün) Beschreibung Der Vigor ist angeschaltet blinkend (grün) blinkend (orange) An grün leuchtend DSL synchronisiert (Handshaking) DSL Datenpakete werden transferiert Druckerschnittstelle ist betriebsbereit Eine 100Mbit/s ist an diesem Port installiert blinkend Ethernet Datenpakete werden transferiert Der Vigor ist angeschaltet und arbeitet normal ISDN Schnittstelle ist betriebsbereit, D-Kanal erkannt Datentransfer über einen B-Kanal Der Telefonhörer ist aufgelegt Ein Anruf kommt an Wireless Access Point ist bereit Wireless Datentransfer Wireless Access Point ist ausgeschaltet DSL ist betriebsbereit (Showtime) Beschreibung Schnittstelle für einen USB-Drucker Anschluss für einen 12-15VDC Stromadapter Schalter für die Stromversorgung Anschlüsse für analoge Telefone zur Internettelefonie oder ins ISDN-Netz Schnittstelle für lokale Netzwerkgeräte Schnittstelle zum Internetzugang über die ADSL, ADSL2/2+ Leitung Anschlss für den NT Ihres ISDN Anbieters Auf Werkseinstellungen zurücksetzen. Anwendung: Vigor anschalten (ACT LED blinkt). Die versenkte Taste länger als fünf Sekunden drücken. Wenn die ACT LED beginnt schneller als normal zu blinken, kann die Taste losgelassen werden. Jetzt wird der Vigor mit den Werkseinstellungen neu gestartet.

15 1.2 Hardware Installation Bevor Sie die Konfiguration des Vigors beginnen, überprüfen Sie bitte, ob alle Anschlüsse korrekt verbunden sind. 1. Der ADSL-Splitter verbindet Ihren Router über die Telefondose mit dem Internet. Verwenden Sie das beiliegende graue Kabel, um den ADSL-Port Ihres Vigors an dem Splitter anzuschließen. 2. Verbinden Sie einen beliebigen LAN-Port (P1, P2, P3, P4) mit der Netzwerkkarte Ihres Computers. Verwenden Sie hierfür das blaue RJ45-Kabel. 3. Versorgen Sie den Vigor mit Strom. Benutzen Sie den beiligenden Gleichspannungsadapter. 4. Sie haben bei den Modellen Vigor2800V, 2800VG und Vigor2800VGi die Möglichkeit, zwei analoge Telefone/Headsets anzuschließen. 5. Schalten Sie nun den Vigor ein. 6. Nach einem kurzen Systemtest blinkt die ACT LED gleichmäßig. (Detaillierte Informationen zum LED Status finden Sie im Abschnitt 1.1.) Vigor2800-Serie Benutzerhandbuch 9

16 10

17 2 Basiskonfiguration Damit es einzig Ihnen obliegt, Konfigurationen an dem Vigor vorzunehmen, sollten Sie als erstes ein Zugangspasswort vergeben. Diese Kapitel erklärt, wie das Administrator Passwort gesetzt wird und beschreibt die ersten Schritte zu einer erfolgreichen Einwahl ins Internet. 2.1 Ändern des Passworts Um das Passwort Ihres Vigors zu ändern, müssen Sie zunächst auf die grafische Benutzeroberfläche. 1.Vergewissern Sie sich, dass Ihr Computer korrekt mit dem Vigor verbunden ist (siehe Abschnitt 1.2). Hinweis: Ihr Computer sollte entweder die IP-Adresse automatisch beziehen (DHCP) oder Sie vergeben eine IP aus dem gleichen Adressbereich des Vigors. Die Standard-IP-Adresse des Vigors ist , ein Standard-Passwort exisistiert nicht. Weitere Informationen finden Sie in dem Kapitel Problemlösungen. 2.Öffnen Sie einen Web-Browser auf Ihrem Computer (z.b. Internet Explorer oder Safari) und geben Sie in die Adresszeile ein. Es erscheint ein Pop-Up Fenster und fordert die Eingabe eines Benutzernamen und Kennworts. Da ab Werk weder ein Benutzername noch ein Passwort vergebene wurde, bestätigen Sie die Abfrage mit OK. 3.Als nächstes Fenster wird das Hauptmenü der grafischen Benutzeroberfläche des Vigors erscheinen. Vigor2800-Serie Benutzerhandbuch 11

18 4.Navigieren Sie zum Systemmanagement und wählen Sie Administrator Passwort. 5.Geben Sie zunächst das aktuelle Passwort (ab Werk ist kein Passwort vorgegeben) in das Feld Altes Passwort ein. Vergeben Sie nun unter Neues Passwort sowie Neues Passwort wiederholen das Administrator Passwort. Bestätigen Sie mit OK. 6.Nun wurde das Passwort geändert. Somit sind nur noch Zugriffe mit diesem Passwort erlaubt. Daher müssen Sie sich erneut am Vigor anmelden dieses Mal mit dem neuen Passwort. 12

19 2.2 Schnellstart Assistent Der Schnellstart Assistent unterstützt Sie bei der Basiskonfiguration der relevanten Parameter für den Zugang ins Internet. Da ab Werk kein Zugangspasswort vergeben wurde, beginnt der Assistent mit der Aufforderung ein Passwort zu setzen. Das Passwort darf eine Folge von Zahlen und Buchstaben mit bis zu 23 Zeichen sein. Nachdem Sie ein Zugangspasswort eingegeben haben, klicken Sie bitte auf Weiter. Haben Sie bereits wie in Abschnitt 2.1 erklärt ein Administrator Passwort gesetzt, so wird dieser Punkt beim Aufruf des Schnellstart Assistenten übersprungen Einstellen der Internetanbindung Für die Einwahl ins Internet können Sie zwischen verschiedenen Protokollen und Modi wählen: PPPoE, PPPoA, Bridged IP oder Routed IP. In Deutschland wird die Einwahl zu einem ISP durch PPPoE geregelt. Die Internetanbindung in großen Teilen Österreichs und der Schweiz geschieht mittels PPPoA. Dies sind die normalen Betriebsarten. Business-Lösungen, wie die Verwendung einer festen IP-Adresse, benutzen Bridged IP bzw. Routed IP. Vigor2800-Serie Benutzerhandbuch 13

20 Zunächst müssen Sie Ihre entsprechende Art der Interneteinwahl wählen. Hier helfen die Daten, die Ihnen Ihr Internetanbieter (Internet Service Provider, ISP) zugesendet hat. VPI Der Virtual Path Identifier ist ein 8 bit großer Header einer ATM Zelle. Er gibt an, wie die Zelle geroutet werden soll. ATM ist eine weit verbreitete Methode zum Datentransfer. Die verwendeten Zellen sind immer gleich groß. VCI Der Virtual Channel Identifier ist ein 16 bit großes Feld einer ATM Zelle. Hier wird das nächste Ziel der Zelle angegeben. Ein virtueller Kanal (virtual Channel) ist eine logische Verbindung zwischen zwei Punkten eines Netzwerks. Ein virtueller Kanal bündelt mehrere virtuelle Pfade (virtual Path). VPI und VCI sind verantwortlich für die Wegewahl in Weitverkehrsnetzen. Protokoll / Kapselung Wählen Sie den IP Modus für die ADSL2/2+ Schnittstelle. Zur Auswahl stehen die Modi PPPoE, PPPoA, Bridged IP und Routed IP. Vorteilhaft ist, dass sich die meisten deutschen ISPs, wie T-Online und Freenet, auf die Werte VPI=1, VCI=32 und Protokoll/Kapselung=PPPoE LLC/SNAP geeinigt haben. In Österreich hingegen dominieren für AnnexB Gebiete die Einstellungen VPI=8, VCI=48 und Protokoll/Kapselung=PPPoA VC MUX. Schweizer Vigor-Besitzer geben im Allgemeinen die Werte VPI=8, VCI=35 und Protokoll/Kapselung=PPPoE LLC/SNAP ein.1 1 Feste IP Haben Sie von Ihrem ISP eine feste IP-Adresse erhalten, so klicken Sie auf Ja und definieren Sie folgend die relevanten Parameter. Anderenfalls klicken Sie auf Nein (dynamische IP), um so eine IP dynamisch von Ihrem ISP zugewiesen zu bekommen. In diesem Fall entfällt auch die Eingabe der folgenden Parameter auf dieser Seite. IP-Adresse Geben Sie hier die feste IP an. Subnetz Mask Weisen Sie für Routed IP und Bridged IP eine Maske zu. Standard Gateway Weisen Sie für Routed IP und Bridged IP ein Gateway zu. Primär DNS Weisen Sie eine IP-Adresse für den primären DNS zu. Sekundär DNS Weisen Sie eine IP-Adresse für den sekundären DNS zu. Detaillierte Informationen zu den Einstellungen erhalten Sie von Ihrem Internetabieter (ISP). Angaben ohne Gewähr. 14

21 2.2.2 PPPoE/PPPoA PPPoE (Point-to-Point Protocol over Ethernet) verbindet die User durch ein Ethernet mit dem Internet und verwendet hierfür eine Breitbandleitung, welche im Allgemeinen durch eine xdsl Leitung, ein Kabelmodem oder eine wireless Lösung bereitgestellt wird. Der Unterschied zu PPPoA (Point-to-Point Protocol over ATM) besteht darin, dass die Transportart nicht auf Ethernet sondern auf ATM basiert. Die Einwahl über PPPoE/PPPoA mit einem vom Internet Anbieter bereitgestellten Benutzernamen und Passwort ist am weitesten verbreitet. Name des Anbieters Manche ISPs verlangen die Eingabe eines bestimmten Namens. Ansonsten kann er frei gewählt werden. Benutzername Geben Sie den Benutzernamen ein, welchen Sie von Ihrem ISP erhalten haben. Passwort Geben Sie das Passwort ein, welches Sie von Ihrem ISP erhalten haben. Passwort bestätigen Geben Sie das Passwort zur Bestätigung ein zweites Mal ein. Immer in Betrieb Aktivieren Sie diese Option, damit die Internetverbindung immer aktiv ist (dies empfiehlt sich besonders bei einer Flatrate). Max. Leerlaufzeit Definieren Sie die Dauer, wie lange die Internetverbindung noch gehalten werden soll, nachdem keine Anfragen aus dem Netzwerk mehr gestellt werden. Klicken Sie Weiter, um zur Übersicht zu gelangen. Vigor2800-Serie Benutzerhandbuch 15

22 Klicken Sie auf Fertigstellen. Der Onlinestatus für PPPoE/PPPoA wird wie folgt angegeben: Bridged IP Wählen Sie 1483 Bridged IP als Protokoll, müssen Sie alle Parameter eingeben, die Ihnen Ihr ISP übermittelt hat. 16

23 Nachdem Sie diese Seite konfiguriert haben, klicken Sie bitte Weiter und Sie erreichen die folgende Seite. Klicken Sie auf Fertigstellen. Der Onlinestatus wird wie folgt angegeben: Routed IP Wählen Sie 1483 Routed IP als Protokoll, müssen Sie alle Parameter eingeben, die Ihnen Ihr ISP übermittelt hat. Nachdem Sie diese Seite konfiguriert haben, klicken Sie bitte Weiter. Vigor2800-Serie Benutzerhandbuch 17

24 Klicken Sie auf Fertigstellen. Der Onlinestatus wird wie folgt angegeben: 2.3 Onlinestatus Der Onlinestatus spiegelt Ihnen einen kompletten Status des Systems und zeigt im Speziellen die Zustände der vorhandenen Schnittstellen ISDN, LAN, WAN und ADSL auf einer Seite. Neben dem gänzlichen Überblick, können Sie auch sofern PPPoE/PPPoA gewählt wurde die Einwahl ins Internet manuell forcieren. Onlinestatus von PPPoA/PPPoE 18

25 Primär DNS Zeigt die zugewiesene IP-Adresse des primären DNS-Servers. Sekundär DNS Zeigt die zugewiesene IP-Adresse des sekundären DNS-Servers. IP-Adresse (in LAN) Zeigt die IP-Adresse der WAN Schnittstelle. TX Pakete Zeigt die Geschwindigkeit von versendeten Paketen am LAN. RX Pakete Zeigt die Geschwindigkeit von ankommenden Paketen am LAN. GW IP-Adr: Zeigt die zugewiesene IP-Adresse des Standard Gateways. IP-Adresse (in WAN) Zeigt die IP-Adresse der WAN Schnittstelle. TX Rate Zeigt die Geschwindigkeit von versendeten Paketen am WAN. RX Rate Zeigt die Geschwindigkeit von ankommenden Paketen am WAN. Verbindung aktiv seit Zeigt an, wie lange die Schnittstelle bereits aktiv ist. TX Zellen Zeigt die Anzahl aller versendeten ATM Zellen. RX Zellen Zeigt die Anzahl aller angekommenen ATM Zellen. korrigierte Zellen Zeigt die Anzahl aller angekommenen fehlerhaften ATM Zellen, welche korrigiert werden konnten. unkorrigierte Zellen Zeigt die Anzahl aller angekommenen fehlerhaften ATM Zellen, welche nicht korrigiert werden konnten. Modus Zeigt den verwendeten Modulations Modus. Es sind folgende Modi möglich: G.DMT, G.Lite und T Status Zeigt den ADSL Status an. Es wird zwischen den Status Idle, Handshake, Training, Initialization und Showtime unterschieden. Upload-Geschw. Zeigt die Upload-Geschwindigkeit (bits / Sekunde). Download-Geschw. Zeigt die Download-Geschwindigkeit (bits / Sekunde). SNR Zeigt den Wert des Signal-Rausch-Abstands (db). Der Wert sollte über 7 liegen je höher, desto besser ist die Signalqualität. Dämpfung Zeigt die Leitungsdämpfung je niedriger der Wert, desto besser ist die Signalqualität. 2.4 Status Leiste Jedes Mal, wenn Sie auf der grafischen Benutzerobefläche des Vigors zur Bestätigung von Konfigurationsänderungen OK drücken, benachrichtigt der Vigor Sie interaktiv. Bereit gibt an, dass der Vigor bereit für weitere Eingaben ist. Einstellungen gespeichert bedeutet, dass Ihre Einstellungen gespeichert wurden. Vigor2800-Serie Benutzerhandbuch 19

26 3 Erweiterte Einstellungen Nachdem die Basiskonfiguration des Vigors abgeschlossen ist, haben Sie Zugang zum Internet. All diejenigen Benutzer, welche den Vigor auf die eigenen Bedürfnisse konfigurieren möchten, finden in diesem Kapitel eine Übersicht der Funktionalitäten. 3.1 Einwahl ins Internet Grundlagen Jedes Gerät in einem auf IP (Internet Protocol) basierenden Netzwerks wie Router, Print Server und Host PCs benötigen eine IP-Adresse, um in einem Netzwerk adressiert werden zu können. IP Konflikte, d.h. zwei IP-Geräte mit der selben Adresse, werden vermieden, da jede IP-Adresse durch die Netzwerkkarte im lokalen Netzwerk veröffentlicht wird. Die Einzigartigkeit einer IP-Adresse ist wichtig, weil nur so gewährleistet werden kann, dass Datenpakete an den richtigen Empfänger geleitet werden. Da die Adressen begrenzt sind, existieren für lokale, private Netzwerke (LAN) eigene IP-Adressen. Die so genannten privaten IP-Adressen werden niemals in öffentlichen Netzwerken wie das Internet verwendet und sind in folgenden Bereichen definiert: von von von bis bis bis Was sind öffentliche und private IP-Adressen? Neben der Verwaltung und dem Schutz des LANs verbindet der Vigor auch eine Gruppe von Hosts PCs. Im Allgemeinen, hat jeder von diesen eine eigene private IP-Adresse von dem integrierten DHCP Server zugewiesen bekommen. Der Router selbst hat auch eine private IPAdresse in dem gleichen IP-Adressbereich, damit er mit den Host PCs kommunizieren kann. Ab Werk ist die private IP des Vigors Indessen kommuniziert der Vigor auch WANseitig durch seine öffentliche IP-Adresse mit anderem Netzwerkgeräten z.b. im Internet. Wenn der Datenfluss von WAN nach LAN oder umgekehrt durch den Vigor geht, übersetzt NAT (Network Address Translation) die öffentliche Adresse in eine private und leitet das Datenpaket an den entsprechenden Host weiter. Aus diesem Grund können alle Hosts sich eine einzelne Verbindung ins Internet teilen. Eine öffentliche IP-Adresse bekommen Damit Ihr Vigor eine öffentliche IP-Adresse von Ihrem ISP (Internet Service Provider) erlangt, gibt es drei Protokolle: PPPoE, PPPoA und MPoA. Multi-PVC unterstützt komplexere Konfigurationen als oben beschrieben. ADSL benötigt PPP zum Authentifizieren und Autorisieren des CPEs (customer premises equipment) z.b. der Vigor oder ein benutzereigenes Modem. PPPoE/PPPoA verbindet also Ihr privates Netzwerk über ein Modem mit dem Server Ihres ISPs. Dabei werden auch die Zugriffskontrolle, Fakturierung und der Diensttyp geregelt. Wenn Ihr Vigor eine Verbindung zu de ISP aufbauen möchte, werden eine Reihe von Prozessen gestartet. Ihr Benutzername und Passwort werden mittels PAP oder CHAP an einem RADIUS authentifiziert. Anschließend erhalten Sie Ihre öffentliche IP-Adresse, DNS 20

27 Server sowie andere relevanten Informationen und Parameter. Vigor2800-Serie Benutzerhandbuch 21

28 3.2 LAN LAN (Local Area Network) ist eine Gruppe von Subnetzen, welche durch den Vigor geregelt werden Grundlagen Der Vigor kommuniziert mit den Servern im Internet indem er seine öffentliche IP-Adresse (WAN IP) verwendet. Die Kommunikation mit den Computer im LAN, den sogenannten lokalen Hosts, geschieht über die private IP-Adresse (LAN IP) des Vigors. Die fundamentalste Funktion dabei ist NAT, was für Sie ein privates Netzwerk erschafft. NAT bildet hierfür die Datenpakete aus dem Internet an der WAN IP auf die LAN IP ab und leitet diese an die lokalen Hosts weiter und umgekehrt. Des Weiteren verfügt der Vigor über einen integrierten DHCP Server, welcher lokalen Hosts automatisch IP-Adressen zuweist. RIP (Routing Information Protocol) Der Vigor tauscht mit Hilfe des RIPs Informationen zur Wegewahl (Routing) mit benachbarten Routern aus. Dies erlaubt Benutzern Parameter des Vigors wie die LAN IP-Adresse zu ändern. Der Vigor wird dann automatisch die Nachbarrouter informieren. Feste Adressumleitung Haben Sie mehrere Subnetze in Ihrem LAN, so ist gelegentlich die Verbindung derer untereinander zweckmäßiger und schneller durch die Verwendung einer Adressumleitung gewährleistet als durch andere Methoden. Hierzu muss einfach eine entsprechende Regel definiert werden, welche Daten von einem spezifische Subnetz in ein anderes weiterleitet. Es wird kein RIP benötigt. Virtuelle LANs Lokale Hosts können in bis zu vier portbasierende virtuelle LANs (VLAN) gruppiert werden. Konfigurieren Sie die physikalischen Ports und die Bandbreite nach Ihrem Ermessen. 22

29 3.3 NAT Üblicherweise arbeitet der Vigor als ein NAT (Network Address Translation) Router. NAT ist ein Mechanismus, um private IP-Adressen auf eine öffentliche abzubilden. Die öffentliche IPAdresse erhalten Sie von Ihrem ISP und müssen im Allgemeinen dafür bezahlen. Private IPAdressen sind kostenlos, eine Kommunikation ins Internet ist aber nicht möglich. Die Vorteile von NAT sind: Kosten sparen NAT erlaubt mehreren Hosts im LAN mit verschiedenen privaten IP-Adressen, die eine öffentliche IP zu verwenden, welche in Vertretung für die privaten Anfragen ins Internet leitet. Hohe Sicherheit Die NAT Funktion schützt das interne Netzwerk vor Angriffen, welche gegen IP-Adressen gerichtet sind. Der Angreifer kennt die IP-Adresse des Hosts im LAN nicht, da diese durch NAT verschleiert wird Portumleitung Die Portumleitungstabelle wird gewöhnlich benutzt, um Zugriff auf LANseitige Dienste wie -, Web- und FTP-Server aus dem Internet zu erlangen. Service Name Vergeben Sie dem Eintrag eine Bezeichnung. Protokoll Wählen Sie ein Protokoll (TCP oder UDP) aus der Transport Schicht. öffentlicher Port Definieren Sie, welcher Port an die folgend eingetragene interne IP und Port umgeleitet werden soll. private IP Definieren Sie die IP-Adresse des internen Hosts, welcher den Dienst auf dem öffentlichen Port annehmen soll. privater Port Definieren Sie den Port, an welchem der Dienst von dem internen Hosts angenommen werden soll. Aktiv Aktivieren Sie den Eintrag DMZ Host Im Gegensatz zur Portumleitung, bei welcher nur ein Port des eingehenden Datenverkehrs zu einem Host im LAN umadressiert wurde, wird bei der DMZ Host Funktion der komplette eingehende Datenverkehr an eine IP-Adresse unangetastet an diese weitergegeben. Damit ist es auch Protokollen, welche auf keinem festen Port arbeiten (z.b. ESP und AH), möglich, von außen mit diesem Port auf den gewählten Host im LAN zuzugreifen. Hierdurch wird der gewählte Host ungeschützt ins Internet gestellt, was meist bei der Verwendung von Anwendungen wie Netmeeting oder Online Spielen hilfreich ist. Hierdurch werden die Aktivitäten der anderen Hosts im LAN nicht beeinträchtigt. aktiv Aktivieren Sie die DMZ Funktion. private IP Definieren Sie die IP-Adresse eines Hosts im LAN, welcher in die DMZ gestellt werden soll. Alternativ wählen Sie PC wählen. PC wählen Klicken Sie diesen Button und wählen Sie eine IP-Adresse in dem neu erscheinenden Fenster. Im Fenster finden Sie eine Liste aller IPs des lokalen Netzwerks. Die gewählte IP-Adresse wird als DMZ-Host in die Funktion eingefügt. Vigor2800-Serie Benutzerhandbuch 23

30 3.3.3 Offene Ports Einstellungen offener Ports erlaubt Ihnen ganze Portbereiche für Anwendungen wie P2P Applikationen, Internet Kamera usw. zu öffnen. Informieren Sie sich bezüglich der Anwendung und den zu öffnenden Ports, um nicht Opfer eines Angriffs zu werden. Der Vigor bietet Ihnen die Möglichkeit zehn Profile für verschiedene lokale IP-Adressen mit jeweils zehn Portbereichen zu öffnen. Sie können also insgesamt 100 Portbereiche öffnen. Klicken Sie in der Übersichtstabelle auf einen Index, um ein Profil zu editieren. aktiv Aktivieren Sie dieses Profil. Bezeichnung Vergeben Sie einen Profil-Namen. lokaler Computer Definieren Sie die IP-Adresse eines Hosts im LAN oder klicken Sie auf den PC wählen-button. PC wählen Klicken Sie diesen Button und wählen Sie eine IP-Adresse in dem neu erscheinenden Fenster. Im Fenster finden Sie eine Liste aller IPs des lokalen Netzwerks. Protokoll Wählen Sie das Transportprotokoll zwischen TCP, UDP und -(kein). Start-Port Definieren Sie den ersten Port des Dienstes, welcher direkt an den lokalen Host geleitet wird. End-Port Definieren Sie den letzten Port des Dienstes, welcher direkt an den lokalen Host geleitet wird Liste gebräuchlicher Ports Diese Seite zeigt Ihnen eine Übersicht über die Standard-Ports und deren Transportprotokoll. 24

31 3.4 Firewall Grundlagen Während die Benutzer im LAN immer mehr Bandbreite für multimediale interaktive Anwendungen fordert, sollte dennoch auf die Sicherheit ein großer Wert gelegten. Die Firewall hilft, Ihr Netzwerk vor Angriffe von unautorisierten Außenstehenden zu verhindern. Sie kann weiterhin den Zugang zum Internet für manche Benutzer oder Anwendungen einschränken oder unterbinden. Selbstverständlich könne Sie auch verhindern, dass Programme ungewollt auf das Internet zugreift. Neben den Firewall Regeln ist die größte Grundsicherheit die Vergabe eines Passworts. Denn sobald ein Angreifer auf Ihren Vigor Zugriff hat, kann er alle Konfigurationen ändern! Vergeben Sie daher immer ein Administrator Passwort Basiskonfiguration Anruf-Filter Aktivieren Sie die Anruf-Filter Funktion und weisen Sie einen Start Filter zu, mit dessen Regeln der Verbindungsaufbau ins WAN bzw. Internet eingeschränkt werden. Daten-Filter Aktivieren Sie die Daten-Filter Funktion und weisen Sie einen Start Filter zu, mit dessen Regeln das LAN vor Angriffen von außen geschützt wird. Log Flag Zur Fehleranalyse ist eine Übersicht der Filterfunktion hilfreich. Aus Die Log Funktion ist inaktiv. Alle durchgelassenen Pakete Alle Pakete, die aufgrund einer Filterregel durchgelassen wurde, werden geloggt. Alle blockierten Pakete Alle Pakete, die durch eine Filterregel verworfen wurde, werden geloggt. Alle Pakete ohne Übereinstimmung Alle Pakete, auf die keine Filterregel angewendet wurde, werden geloggt. Beachte Sie, dass das Log nur über Telnet mit dem Befehl log f eingesehen werden kann. Stateful Packet SPI ist eine zustandsgesteuerte Filterung, welche sich den Zustand Inspection (SPI) aktiv einer Verbindung merkt und dadurch neue Datenpakete logisch einer Verbindung zuordnen kann. Ein einfacher Paketfilter dagegen muss jedes neue Datenpaket komplett analysieren. Aktivieren Sie diese Funktion, um SPI zu nutzen. Filter auf alle eingehenden VPN... Aktivieren Sie diese Funktion, um die definierten Filterregeln auch auf VPN Verbindungen anzuwenden. Trenne Verbindungen Aktivieren Sie diese Funktion, um den TCP-Port 80 für http zu auf TCP-Port reservieren und somit keinen andere Diensten den Zugriff hierauf zu gewähren. Fragmentierte UDPPakete akzeptieren Vigor2800-Serie Benutzerhandbuch Einige Online Spiele (z.b. Half Life) bzw. Sprach- oder Videotransmissionen verwenden für die Datenüberragung große Mengen von unfragmentierten UDP Paketen. Da dies auch eine bekannte Angriffsmethode ist, betrachtet der Vigor diese Pakete generell als Sicherheitsrisiko und verwirft sie. Aktivieren Sie diese Funktion, um angesprochenen Anwendungen benutzen zu können. 25

32 3.4.3 Filtereinstellungen Die IP Filter bestehen aus 12 Filter-Sätzen mit jeweils 7 Filterregeln, welche chronologisch abgearbeitet werden. Um eine Filteregel zu ändern oder zu generieren, klicken Sie zunächst auf einen Filter-Satz. Filteregel Klicke Sie auf eine Filterregel (1-7), um diese i einem neuen Fenster zu editieren. Aktiv Aktivieren Sie die Filterregel. Beschreibung Vergeben Sie einen bis zu 23 Zeichen langen Namen für den Satz. Nächster Filter Satz Verlinken Sie diesen Filter-Satz zu einem weiteren. Nachdem alle Regeln dieses Filter-Satzes abgearbeitet wurden, werden die Filterregeln des nächsten bearbeitet. Beachten Sie keine Schleifen zu bilden! Um nun eine Filteregel zu ändern oder zu generieren, klicken Sie auf einen Filterregel-Button. Bezeichnung Vergeben Sie einen bis zu 14 Zeichen langen Namen für die Regel. Filterregel aktiv Aktivieren Sie die Filterregel. Durchlassen oder Blockieren Definieren Sie die einzutreffende Aktion, wenn die Regel greift. sofort durchlassen Pakete, auf die diese Regel zutreffen, werden durchgelassen. sofort blockieren Pakete, auf die diese Regel zutreffen, werden verworfen. durchlassen, falls keine weitere Übereinstimmung Pakete, auf die diese Regel und keine weiteren Regeln zutreffen, werden durchgelassen. blockieren, falls keine weitere Übereinstimmung Pakete, auf die diese Regel und keine weiteren Regeln zutreffen, werden verworfen. Weiterleiten an Filter- Pakete, auf die diese Regel zutreffen, werden an einen anderen Satz Filter-Satz weitergeleitet. Wählen Sie den nächsten Filter-Satz aus der Liste. 26 Log Aktivieren Sie die Funktion, um diese Regel zu loggen. Beachte Sie, dass das Log nur über Telnet mit dem Befehl log f eingesehen werden kann. Richtung Definieren Sie die Richtung des Paketflusses und wähle Sie zwischen eingehendem und ausgehendem Datenverkehr. Diese Funktion kann nur auf Daten-Filter angewendet werden, da bei Anruf-Filtern der Datenverkehr immer Raus, also ins WAN bzw. Internet, geht. Protokoll Definieren Sie das Protokoll bzw. die Protokolle, auf welche diese Filterregel angewendet werden soll. IP-Adresse Definieren Sie die IP-Adressen von Quelle und Ziel, auf welche diese Filterregel angewendet werden soll. Beachten Sie hierbei die definierte Richtung. Stellen Sie das!-zeichen vor die IP-Adresse, so wird diese Regel nicht auf die IP-Adresse angewendet. Lassen Sie das Feld frei oder geben Sie any ein, so wird die Regel auf alle IPAdressen angewendet. Subnetz Maske Wählen Sie die zu der IP-Adresse zugehörige Maske.

33 Operator, Start-Port und End-Port Die Operator Spalte bezieht sich auf die Port Einstellungen. Ist der Start-Port leer, wird auch der End-Port ignoriert. Es werden alle angegebenen Ports gefiltert. (=) Ist der End-Port leer, wird die Regel nur auf den Start-Port angewendet. Wurden Start- und End-Port definiert, so wird die Regel auf den angegebenen Bereich inklusive Start- und End-Port angewendet. (!=) Ist der End-Port leer, wird die Regel auf alle Ports mit Ausnahme des Start-Ports angewendet. Wurden Start- und EndPort definiert, so wird die Regel auf alle Ports mit Ausnahme des angegebenen Bereichs inklusive Start- und End-Port angewendet. (>) Die Regel wird auf alle Ports größer gleich des Start-Ports angewendet. (<) Die Regel wird auf alle Ports kleiner gleich des Start-Ports angewendet. Zustand bewahren Diese Funktion nutzt die Parameter aus Richtung, Protokoll, IPAdresse, Subnetz Maske und den Port Einstellungen und kann nur auf Daten-Filter angewendet werden. Diese Funktion ist SPI. Sie verfolgt Datenströme und akzeptiert nur Pakete, deren Zustand eindeutig als gültig definiert wurde. Die Gültigkeit kann aufgrund eines Vergleichs der oben genannten Parametern mit denen im Paket selbst hinterlegten Werten bestimmt werden. Nicht angeforderte Pakete werden verworfen. Regel bezieht sich auf Diese Funktion wird nur auf Daten-Filter angewendet. Wählen Sie zwischen alle Datenpakete, alle nicht fragmentierten Datenpakete, alle fragmentierten Datenpakete und alle Fragmente ohne Header auf welche Pakete die Regel angewendet werde soll IM Filter Wählen Sie aus einer Liste welche Instant Messenger blockiert werden sollen. Verwenden Sie den Verbindungstimer, um eine zeitgesteuerte Restriktion der Funktion zu generieren. Abschließend aktivieren Sie die Funktion und klicken Sie OK P2P Filter Wählen Sie aus einer Liste welche Peer-zu-Peer Verbindungen verweigert bzw. zugelassen werden sollen. Verwenden Sie den Verbindungstimer, um eine zeitgesteuerte Restriktion der Funktion zu generieren. Abschließend aktivieren Sie die Funktion und klicken Sie OK DoS Abwehr Wählen Sie aus 15 vorgefertigten Filterregeln, welche den gängigsten Angriffsarten begegnen. Ab Werk ist die DoS Abwehr inaktiv. Aktivieren Sie DoS und wählen Sie die gewünschten Abwehrmechanismen. Klicken Sie abschließend auf OK. Vigor2800-Serie Benutzerhandbuch 27

34 3.4.7 Inhaltsbezogener URL-Filter aktiv Aktivieren Sie die Einstellungen auf dieser Seite. Schwarze Liste Wählen Sie diese Option, um den Zugriff auf die entsprechende Webseite mit einem der gelisteten Schlüsselworte zu verbieten. Weiße Liste Wählen Sie diese Option, um den Zugriff nur auf die Webseiten mit einem der gelisteten Schlüsselworte in der URL zu erlauben. Schlüsselwort Basierend auf den eingetragenen Begriffen untersucht der Vigor den die URL jeder ausgehenden http Anfrage. Unabhängig ob das Wort nur einen Teil der URL ausmacht, wird entsprechend der Schwarzen bzw. Weißen Liste gehandelt. Der Vigor bietet acht Felder für die Eingabe mehrerer Schlüssel-worte, welche durch Leerzeichen, Komma oder Semikolon getrennt sein müssen. In jedes Feld können bis zu 32 Zeichen eingegeben werden. Das Schlüsselwort darf ein Wort, ein Wortteil oder eine komplette URL sein. Beachten Sie, dass durch eine komplexe Liste die Performanz leiden kann. Seitenaufrufe durch Eingabe der IP... Aktivieren Sie diese Funktion, damit der URL-Filter nicht durch die Eingabe der Ziel IP-Adresse umgangen werden kann. Löschen Sie aus diesem Grund auch den Cache Ihres Browsers. Eingeschränkte WebFeatures aktiv Aktivieren Sie diese Funktion und wählen Sie anschließend die zu blockenden Merkmale. Java Der Vigor schaltet die Internet Java Objekte aus. ActiveX Alle ActiveX Objekte aus dem Internet werden geblockt. ZIP Dateien Der Vigor blockiert alle komprimierte Dateien mit den Erweiterung zip, rar,.arj,.ace,.cab und.sit. EXE Dateien Der Vigor blockiert die Erweiterungen.exe,.com,.scr,.pif,.bas,.bat,.inf und.reg. Cookie Filtert Cookies ins WAN und schützt Ihre Privatsphäre. Proxy Verwirft jegliche Proxy Übetragung. Multimedia Dateien Blockiert den Download der Erweiterungen.mov,.mp3,.rm,.ra,.au,.wmv,.wav,.asf,.mpg,.mpeg,.avi und.ram, um limitierte Bandbreite zu schützen. Ausnahmebestimmun Four entries are available for users to specify some specific IP gen für folgende... addresses or subnets so that they can be free from the URL Access Control. To enable an entry, click on the empty checkbox, named as ACT, in front of the appropriate entry. Verbindungstimer Setzen Sie Timer, um die Einstellungen zeitlich zu beschränken Inhaltsbezogener Web-Filter Diese Funktion bietet DrayTek in Kooperation mit SurfControl an. SurfControl ist ein Unternehmen, welches Webseiten im Internet kategorisiert. Detaillierte Informationen erhalten Sie auf der Hompage von SurfControl. 28

35 Testen Sie die Funktion für 30 Tage kostenlos oder werden Sie Kunde bei SurfControl. Wählen Sie danach aus der Liste welche Themenbereiche blockiert werden sollen. Verwenden Sie den Verbindungstimer, um eine zeitgesteuerte Restriktion der Funktion zu generieren. Abschließend aktivieren Sie die Funktion und klicken Sie OK. Vigor2800-Serie Benutzerhandbuch 29

36 3.5 Anwendungen Dynamisches DNS Aktivieren Sie zunächst die DynDNS Einstellungen und klicken Sie anschließend auf einen Index, um das registrierte Konto eines DDNS Providers auf den Vigor anzuwenden. aktiv Aktivieren Sie dieses DDNS Profil. Anbieter Wählen Sie den Provider des registrierten DDNS Kontos. Servicetyp Wählen Sie zwischen dynamisch, benutzerdefiniert und statisch Domain Name Geben Sie die zugewiesene Domain an. Login Name Geben Sie den zugewiesenen Login Namen an. Passwort Geben Sie das zugewiesene Passwort an. Wildcard und Backup MX werden nicht von jedem DDNS Provider angeboten. Detaillierte Informationen hierzu finden Sie auf deren Webseiten. Klicken Sie abschließend auf OK, um die Konfiguration zu übernehmen Verbindungstimer Der Vigor verfügt über eine Systemzeit, welche es erlaubt zeitkritische Funktionen auszuführen. Die Systemzeit kann manuell oder automatisch mittels NTP (Network Time Protocol) aktualisiert unter Systemmanagement >> Zeit und Datum werden. Sie können insgesamt 15 Timer definieren und diese dann in den verschiedenen Funktionen wie Interneteinwahl und VPN Verbindungen verwenden. Klicken Sie auf einen Index, um den Timer zu konfigurieren. 30 aktiv Aktivieren Sie diesen Timer. Anfangsdatum Definieren Sie das Datum, ab wann der Timer aktiv ist. Startzeit (hh:mm) Definieren Sie Startzeit, ab wann dieser Timer gültig ist. Dauer (hh:mm) Definieren Sie, wie lange der Timer gültig sein soll. Aktion Definieren Sie, was während der gültigen Zeit geschehen soll: Verbindung aufbauen Die Verbindung ist immer aktiv. Verbindung beenden Die Verbindung ist immer getrennt. Einwahl zulassen Eine Verbindung darf aufgebaut werden. Definieren Sie zusätzlich die max. Leerlaufzeit. Einwahl unterbinden Die Verbindung bleibt nach der Trennung inaktiv. max. Leerlaufzeit Ist die Verbindung für die angegebene Zeitspanne unproduktiv, so wird diese getrennt. Wiederholungen Definieren Sie wie oft der Timer angewendet werden soll: einmalig Der Timer ist nur einmal gültig. wochentags Wählen Sie an welchen Tagen der Timer gültig ist.

37 3.5.3 RADIUS RADIUS (Remote Authentication Dial-In User Service) ist ein Client/Server Sicherheitsprotokoll. Der integrierte RADIUS Client ermöglicht dem Vigor externe Benutzer, WLAN Clients und dem RADIUS Server mit einer gegenseitigen Authentifizierung zu unterstützen. aktiv Aktivieren Sie das RADIUS Client Feature. Server IP-Adresse Geben Sie die IP-Adresse des RADIUS Servers an. Ziel-Port Geben Sie den UDP Port des RADIUS Servers an. Nach RFC 2138 ist der Standardwert Shared Secret RADIUS Server und Client teilen sich ein geheimes Passwort, welches zum Authentifizieren der gesendeten Nachrichten verwendet wird. Beide Seiten müssen das Passwort selbe Passwort nutzen. Shared Secret wiederholen Wiederholen Sie die Eingabe UPnP Das UPnP (Universal Plug and Play) Protokoll bringt den über ein Netzwerk verbundenen Geräten die gleichen Annehmlichkeiten, wie es bei lokal angeschlossenen Windows 'Plug and Play'-Peripheriegeräten bereits bekannt ist. Für NAT Router ist das Hauptmerkmal von UPnP die Unterstützung von NAT Traversal. Dies ermöglicht Anwendungen Ports zu öffnen, damit diese den Router passieren können. Es bringt die Vorteile, dass der Router nicht selbst erarbeiten muss, welche Anwendung welchen Port benötigt und auch der Benutzer dies nicht manuell konfigurieren muss. UPnP ab Windows XP verfügbar QoS Mit QoS (Quality of Service) können Sie Bandbreite für Anwendungen garantieren. aktiv Aktivieren Sie die QoS Funktion. Richtung Definieren Sie auf welchen Datenverkehr die Regeln angewendet werden sollen. Rein nur auf eingehenden Verkehr. Raus nur auf ausgehenden Verkehr. Beide ein- und ausgehender Verkehr. Index Es existieren vier Gruppen. Gruppenname Definieren Sie einen Namen für die Gruppe. Reservierte Bandbreite Geben Sie das Verhältnis an. Es beinhaltet die reservierte Bandbreite für Up- und Downstream Geschwindigkeit. Einstellungen Es gibt zwei Level der Einstellung: Einfach Weisen Sie der reservierten Bandbreite Servicetypen zu. Hierfür steht Ihnen eine Liste der gebräuchlichen Servicetypen zur Verfügung. Erweitert Weisen Sie der reservierten Bandbreite benutzerdefinierte Servicetypen zu. Konfigurieren Sie die IPAdressen für Quelle und Ziel, den DiffServ CodePoint und Vigor2800-Serie Benutzerhandbuch 31

38 eigene Servicetypen. UDP Bandbreite begrenzen Diese Option dient zum Schutz der TCP Verbindungen. Aktivieren und begrenzen Sie die Bandbreite für breitbandintensive UDP Anwendungen. Maximale Bandbreite für UDP Geben Sie hier die maximale Bandbreite für UDP an. 32

39 3.6 VPN und externe Einwahl Ein Virtual Private Network (VPN) ist die Erweiterung eines privaten Netzwerks über ein öffentliches Netzwerk hinweg. Oder anders: Verwenden Sie die VPN Technologie, so können Sie Daten zwischen zwei Computern (VPN Peer) durch das Internet versenden und genießen dabei die Vorteile einer privaten Punkt-zu-Punkt Verbindung Einwahlmöglichkeiten Aktivieren Sie hier die gewünschten VPN Dienste. Falls in dem LAN des Vigors ein VPN Server aktiv ist, so muss der entsprechende Dienst im Vigor deaktiviert werden, da ansonsten der Vigor den Einwahlversuch bedient. Hierdurch wird ein Pass Through, also eine Weiterleitung in das LAN, des entsprechenden Dienstes ermöglicht. Außerdem sollten die relevanten NAT Einstellungen (u.a DMZ, Offene Ports) überprüft werden. PPTP Aktivieren Sie den PPTP Dienst, um die VPN Einwahl mit dem PPTP Protokoll zu erlauben. IPSec Aktivieren Sie den IPSec Dienst, um die VPN Einwahl mit dem IPSec Protokoll zu erlauben. L2TP Aktivieren Sie den L2TP Dienst, um die VPN Einwahl mit dem L2TP Protokoll zu erlauben. ISDN Ist diese Funktion bei Modellen mit ISDN Schnittstelle aktiviert, so wird die Einwahl aus dem ISDN Telefonnetz erlaubt PPP Einstellungen Diese Untermenü behandelt nur PPP-bezogene VPN Verbindungen über PPTP, L2TP oder L2TP over IPSec. Die Einstellungen gelten global. Vigor2800-Serie Benutzerhandbuch 33

40 PPP Authentifizierung beim Einwählen nur PAP Wählen Sie diese Option, damit der Vigor die Authentifizierung des Einwählenden mittels PAP durchführt. PAP oder CHAP der Vigor versucht zunächst die Authentizität mittels CHAP herzustellen. Falls dies von der einwählenden Seite nicht unterstützt wird, so fällt der Vigor automatisch auf PAP zurück. PPP Verschlüsselung (MPPE) beim Einwählen optional Wurde diese Option gewählt, so wird die Verschlüsselung der Daten durch MPPE abhängig von der einwählenden Seite. Falls die Gegenseite MPPE nicht unterstützt, so wird auf eine Verschlüsselung hierdurch verzichtet. benötigt (40/128 bit) Ist diese Option aktiv, so wird eine Verschlüsselung der Daten mittels MPPE durch den Vigor gefordert. Allerdings richtet es sich nach der Gegenseite, ob die 128 bit oder nur die 40 bit Verschlüsselung verwendet wird. Der Vigor fragt zunächst die höher verschlüsselte Methode ab. maximal (128 bit) Hier lässt der Vigor die Verbindung nur zu, wenn die einwählende Seite die MPPE Verschlüsselung mit 128 bit unterstützt. Gegenseitige Authentifizierung (PAP) Von einigen Routern oder Clients wird für einen Verbindungsaufbau eine bidirektionale Authentifizierung verlangt, um so die Sicherheit zu erhöhen. Verlangt die Gegenstelle eine solche gegenseitige Authentifizierung, so kann diese hier aktiviert werden und ein Benutzername sowie Passwort hinterlegt werden. Start IP-Adresse Die Start IP-Adresse gibt den Beginn des IP-Adressbereichs an, welcher den einwählende PPP Verbindungen vergeben wird. Daher ist es zwingend, dass eine IP-Adresse aus dem lokalen IP-Bereich angegeben wird. Dabei sind generell die ersten beiden Adressen für die ISDN-Einwahl reserviert. Beispiel: Das lokale Netzwerk befindet sich im Bereich / und Sie wählen als Start IP-Adresse die Für die ISDN-Einwahl sind die IP-Adressen und reserviert. Wählt sich nun ein 34

41 Teleworker mittels PPTP ein, so wird ihm die IP zugewiesen IPSec Grundeinstellungen In den IPSec Grundeinstellungen gibt es zwei Konfigurationsbereiche, welche sich auf die zwei Phasen bei IPSec beziehen: Phase 1 handelt die Authentizität sowie die Internet-Key-Exchange (IKE) Parameter aus. In letzteren werden Verbindungseinstellungen wie Verschlüsselung, Diffie-Hellman Parameter, Hash-Wert und eine Lifetime zum Schutz der IKE Verbindung festgehalten. Die Stelle, von der aus der Verbindungsaufbau initiiert wird, übermittelt ihre IKE Parameter an den VPNPeer. Dieser sucht dann die Übereinstimmungen mit der höchsten Priorität heraus. Es werden in vier Nachrichten Schlüsselmaterialien ausgetauscht, um am Ende eine symmetrische Schlüssel-ID zu generieren. Aus dieser wird je ein Schlüssel zur Authentifizierung, für die anschließende Phase 2 und zur Verschlüsselung der folgenden IKE-Nachrichten abgeleitet. In den zwei folgenden, nun verschlüsselten, Nachrichten werden mittels Pre-shared Key (PSK) die VPN-Teilnehmer authentifiziert. Dabei kann der PSK als ein Passwort betrachtet werden, welches auf beiden Seiten gleich sein muss. Alternativ zum PSK kann auch durch eine digitale Signatur (X.509) authentifiziert werden. Schlussendlich ist ein sicherer Tunnel für Phase 2 hergestellt. Phase 2 handelt den symmetrischen Schlüssel sowie die Security Associations (SA) für die IPSec Verbindung aus. Die SAs beinhalten Sicherheitsmethoden wie Authentication Header (AH) oder Encapsulating Security Payload (ESP). Haben sich die VPN-Teilnehmer einigen können, steht der IPSec Tunnel. Mit AH werden nur Echtheit und Integrität der Daten sichergestellt. Dies wird durch einen HMAC, welcher auf jedes versendete Paket angewandt wird, realisiert. Ein HMAC wird aus einer Hash-Funktion abgeleitet und beugt der Manipulation vor. Die Gegenseite ist ebenfalls in dem Besitz des HMACs und kann die Pakete wieder dekodieren. Im Gegensatz zu AH sorgt sich ESP auch um die Vertraulichkeit der Verbindung und verschlüsselt die Daten. Auch vor Manipulationen schützt ESP; allerdings ist der Schutz der Integrität nicht so hoch wie bei AH, da durch HMAC nicht die IP-Adresse in die Berechnung einfließt. Ein IP-Spoofing kann dennoch ausgeschlossen werden, da die VPN-Teilnehmer zu diesem Zeitpunkt bereits authentifiziert wurden. Symmetrische Schlüssel verleihen AH und ESP ihre kryptografischen Funktionen. Damit diese nicht bereits im Voraus ausgetauscht werden müssen, handelt das IKE Protokoll den symmetrischen Schlüssel bereits beim Verbindungsaufbau dynamisch aus. IPSec verwendet zwei Arten der Kapselung von Datenpakete den Transport und den Tunnel Modus. Im Transport Modus werden die Nutzdaten (Payload) durch AH/ESP verschlüsselt, aber der original IP-Header bleibt erhalten. Daher kann es nur für lokale Pakete verwendet werden, z.b. L2TP over IPSec. Beim Tunnel Modus kapselt IPSec das komplette Datenpaket inklusive IP-Header und erzeugt einen neuen IP-Header. Dadurch ist die original IP-Adresse erst bei der Entschlüsselung auf der Gegenseite wieder sichtbar. Werden entfernte Subnetze über ein unsicheres öffentliches Netzwerk miteinander gekoppelt, so sollte auf die Kombination ESP und Tunnel Modus zurückgegriffen werden. AH wird dagegen für die VPN-Verbindung innerhalb eines privaten lokalen Netzwerks empfohlen. Vigor2800-Serie Benutzerhandbuch 35

42 IKE Authentifizierungsmethode Üblicherweise verwenden VPN-Peers mit dynamischen IP- Adressen, wie Teleworker, welche die Einwahl mittels IPSec bzw. L2TP over IPSec. Pre-Shared Key Definieren Sie einen Schlüssel für die IKE Authentifizierung. Pre-Shared Key wiederholen Bestätigen Sie Ihre Eingabe. IPSec Sicherheitsmethode 36 Mittel Der Authentication Header (AH) authentifiziert die Daten, verschlüsselt diese aber nicht. Diese Option ist mit den Werkseinstellungen aktiv. Hoch Das Encapsulating Security Payload (ESP) umschließt die Nutzdaten und verschlüsselt diese. Als VerschlüsselungsAlgorithmus können Data Encryption Standard (DES), Triple DES (3DES) und Advance Encryption Standard (AES) gewählt werden. Der Nachfolger des VerschlüsselungsStandards um DES ist AES. 3DES gilt zwar noch immer als sicher, benötigt aber aufgrund der Dreifachverschlüsselung mehr Rechenleistung.

43 3.6.4 IPSec Identität Um ditale Zertifikate zur Authentifizierung der VPN-Teilnehmern (Peer) für entweder LANzu-LAN Verbindungen oder VPN-Verbindungen externer Benutzer (Teleworker) zu verwenden, sollte an dieser Stelle eine Auswahl an Peer Zertifikaten in die Tabelle eingetragen werden. Es können bis zu 32 digitale Zertifikate generiert und gespeichert werden. Auf Werkseinstellungen... Löscht alle Profile. Index Klicken Sie auf einen der Indezies, um die IPSec Identität zu konfigurieren. Name Gibt die Bezeichnung des Profils an. Weiter Klicken Sie hier, um weitere Profile angezeigt zu bekommen. Jeder Index steht für ein Profil eines digitalen Zertifikats und kann mit einem Klick auf den Index editiert werden. Es gibt drei Sicherheitslevel für die Authentifizierung einer digitalen Signatur. Für eine korrekte Authentifizierung eines Peers müssen die relevanten Felder ausgefüllt werden: Profil Name Vigor2800-Serie Benutzerhandbuch Vergeben Sie eine Bezeichnung für dieses Profil. 37

44 Akzeptiere jede ID Klicken Sie, um jeden Peer unabhängig seiner Identität zu akzeptieren. Akzeptiere Subjekt mit übereinstimmenden Namen/Wert Wählen Sie ein spezifisches Merkmal einer digitalen Signatur, um die Gegenstelle mit einer entsprechenden Übereinstimmung zu akzeptieren. Das Merkmal kann IPAdresse, Domain Name oder sein. Abhängig von Ihrer Wahl wird ein zusätzliches Feld erscheinen und weitere Angaben fordern. Akzeptiere Subjekt mit Übereinstimmung in gewissen Feldern Wählen Sie diesen Sicherheitslevel, um konkrete Merkmale einer digitalen Signatur einzutragen. Der Peer, welcher in allen angegebenen Merkmalen eine Übereinstimmung aufzeigen kann, wird der Zugang gewährt. Die Kürzel in den Klammern leiten sich aus den original Ausdrücken ab: Country (C), State (ST), Location (L), Organization (O), Organization Unit (OU), Common Name (CN) und (E) Externe Benutzer Um die Einwahl verschiedener externer Benutzer/Teleworker verwalten zu können, müssen für diese Benutzerprofile angelegt werden. Es müssen abhängig von der Art der gewünschten Verbindung entsprechende Angaben zu den IKE Parameter sowie SAs hinterlegt werden. Der Vigor unterstützt 32 Teleworker-Profile. Außerdem können die Profile unter Verwendung des integrierten RADIUS Clients an einen RADIUS Server ausgeweitet werden. Auf Werkseinstellungen... Löscht alle Profile. Index Klicken Sie auf einen der Indezies, um dieses Profil eines externen Benutzers zu konfigurieren. Benutzer Gibt die Bezeichnung des Profils an. Ist die Bezeichnung???, so ist das Profil leer. Status Die Statusanzeige gibt an, ob das Profil aktiv (V) oder inaktiv (X) ist. Weiter Klicken Sie hier, um weitere Profile angezeigt zu bekommen. Jeder Index steht für ein Profil eines Teleworkers und kann mit einem Klick auf den Index editiert werden. Abhängig von der gewählten Verbindungsart, müssen entsprechend 38

45 unterschiedliche Felder auf der rechten Seite ausgefüllt werden. Falls das Feld ausgegraut ist, muss es nicht editiert werden. Es ist also nicht notwendig, alle Felder auszufüllen. aktiv Hiermit aktivieren Sie das Profil. Max. Leerlaufzeit Verwendet der Teleworker den Tunnel für die angegebene Zeitspanne nicht, wird der Vigor die Verbindung trennen. Der Standardwert ist 300 Sekunden. ISDN Erlaubt die Einwahl in dieses Profil mit ISDN. Es werden die Angaben Benutzername und Passwort benötigt. Zusätzlich kann die Rückruffunktion aktiviert werden. Diese Option ist einzig für i -Modelle verfügbar. PPTP Erlaubt die Einwahl in dieses Profil mit PPTP. Es werden die Angaben Benutzername und Passwort benötigt. IPSec Tunnel Erlaubt einem Teleworker eine IPSec VPN Verbindung durch das Internet herzustellen. Neben Benutzername und Passwort werden noch die Angaben zum Fernzugriff, Authentifizierungsund Sicherheitsmethode verlangt. L2TP Erlaubt einem Teleworker eine L2TP VPN Verbindung durch das Internet herzustellen. L2TP kann alleine oder in Verbindung mit IPSec verwendet werden: nein IPSec wird nicht implementiert. Dadurch kann die Verbindung als reiner L2TP Tunnel betrachtet werden. Es werden die Angaben Benutzername und Passwort benötigt. falls vorhanden Die IPSec Policy wird zunächst hinzugefügt. Stellt sich beim Aushandeln mit der Gegenseite heraus, dass diese kein IPSec unterstützt, so fällt der Vigor zurück auf die reine L2TP Verbindung. Angaben wie beim IPSec Tunnel. erforderlich Der Vigor besteht auf IPSec. Wenn die Vigor2800-Serie Benutzerhandbuch 39

46 Gegenseite dies nicht unterstützt, kommt kein Tunnel zustande. Angaben wie beim IPSec Tunnel. Fernzugriff definieren Box aktiviert Definieren Sie die IP-Adresse des Teleworkers oder eine Peer ID (verwendet für IKE Aggressive Mode). Box deaktiviert Es werden Authentifizierungs- und Sicherheitsmethode aus den allgemeinen Einstellungen verwendet. Benutzername Dieses Feld müssen Sie ausfüllen, wenn Sie PPTP oder L2TP mit bzw. ohne IPSec Policy ausgewählt haben. Passwort Dieses Feld müssen Sie ausfüllen, wenn Sie PPTP oder L2TP mit bzw. ohne IPSec Policy ausgewählt haben. IKE Authentifizierungsmethode Die Angaben in den Feldern werden für IPSec Tunnel und L2TP mit IPSec Policy benötigt, sofern ein Fernzugriff definiert wurde. Die einzige Ausnahme hiervon betrifft die Digitale Signatur (X.509), welche auch dann aktiviert werden kann, wenn kein Fernzugriff definiert wurde. Pre-Shared Key Aktivieren Sie die Option, um einen PreShared Key mit 1-63 Zeichen einzugeben. Digital Signatur (X.509) Aktivieren Sie die Option, um ein vordefiniertes X.509 Peer ID Profil als Digitale Signatur hinzuzufügen. 40 IPSec Sicherheitsmethode Die Angaben in den Feldern werden für IPSec Tunnel und L2TP mit IPSec Policy benötigt, sofern ein Fernzugriff definiert wurde. Folgende Sicherheitsmethoden stehen zur Verfügung: Mittel Der Authentication Header (AH) authentifiziert die Daten, verschlüsselt diese aber nicht. Diese Option ist mit den Werkseinstellungen aktiv. Hoch Das Encapsulating Security Payload (ESP) umschließt die Nutzdaten und verschlüsselt diese. Als VerschlüsselungsAlgorithmus können Data Encryption Standard (DES), Triple DES (3DES) und Advance Encryption Standard (AES) gewählt werden. lokale ID Definieren Sie eine lokale ID, welche in den Einstellungen zum Einwählen eines LAN-zu-LAN Profils verwendet werden kann. Diese Einstellung ist optional und ist nur in Verbindung mit dem IKE Aggressive Mode relevant. Rückruffunktion Diese Funktion bietet für alle ISDN Teleworker (nur möglich bei i-modellen) eine Rückruf Service. Kurz gesagt: Der Besitzer des Vigors zahlt die Verbindungskosten eines einwählenden Teleworkers. Rückruffunktion aktiv - aktiviert die Rückruffunktion. Rückrufnummer festlegen - Diese Option bietet zusätzlichen Schutz. Ist sie aktiv, so wird der Vigor nur die angegebene Nummer zurückrufen. Rückrufzeitkonto aktiv - Standardmäßig unterliegt die Rückruffunktion einer Zeitbeschränkung. Ist das angegebene Budget aufgebraucht, wird die Funktion automatisch deaktiviert. max. Rückrufdauer (in Minuten)- Definieren Sie hier wie lange ein Teleworker maximal verbunden sein darf. Das Budget

47 wird bei jeder Verbindung automatisch verringert. Vigor2800-Serie Benutzerhandbuch 41

48 3.6.6 LAN-zu-LAN An dieser Stelle können LAN-zu-LAN VPN Verbindungen gestaltet und verwaltet werden. Diese Art der VPN Verbindung koppelt zwei lokale Netzwerke über ein öffentliches Netz wie das Internet. Der Vigor bietet 32 Profile, welche auch alle gleichzeitig unterstützt werden können. Die folgende Ansicht zeigt die Tabelle aller LAN-zu-LAN Profile. Auf Werkseinstellungen... Löscht alle Profile. Name Gibt die Bezeichnung des Profils an. Ist die Bezeichnung???, so ist das Profil leer. Status Die Statusanzeige gibt an, ob das Profil aktiv (V) oder inaktiv (X) ist. Weiter Klicken Sie hier, um weitere Profile angezeigt zu bekommen. Jeder Index steht für ein Profil und kann mit einem Klick auf den Index editiert werden. Die LAN-zu-LAN Profile beinhaltet vier Abschnitte, welchen thematisch Konfigurationen zugeordnet sind. Falls ein Konfigurationsfeld ausgegraut ist, muss es nicht editiert werden. Es ist also nicht notwendig, alle Felder auszufüllen. Da die Webseite mit dem LAN-zu-LAN Profil sehr umfangreich ist, wurde diese folgend in die jeweiligen Abschnitte unterteilt. 42 Profil Name Vergeben Sie eine Bezeichnung für das Profil. Aktiv Hiermit aktivieren Sie das Profil. Anrufrichtung Spezifizieren Sie die Wählrichtung, des Profils:

49 Beide Initiator/Antworter Raus nur Initiator Rein nur Antworter Immer im Betrieb Die VPN Verbindung wird immer aufrecht gehalten. max. Leerlaufzeit Wird die Verbindung für die angegebene Zeitspanne nicht genutzt, trennt der Vigor die Verbindung. Der Standardwert ist 300 Sekunden. Dauerping zum Halten... Diese Funktion hilft die Verbindung bei IPSec Verbindungen zu halten und wird bevorzugt bei ungewöhnlichen Störungen im IPSec Tunnel verwendet. Ist die Option aktiv, so werden PING Pakete kontinuierlich an die angegebene IP-Adresse gesendet. Weitere Informationen finden Sie in der folgenden Box. PING auf IP Geben Sie die IP-Adresse eines Hosts auf der anderen Seites dieses VPN Tunnels an. Die Option Dauerping zum Halten der Verbindung wird verwendet, um ungewöhnlichen Störungen im IPSec Tunnel zu begegnen. Sie unterstützt den Vigor den Zustand der VPN Verbindung aufrecht zu halten. Wenn ein VPN Peer normalerweise die Verbindung beenden möchte, werden eine Reihe von Informationen zwischen den Teilnehmern ausgetauscht. Wird die Verbindung allerdings ohne diesen Austausch getrennt, so kann der Vigor seine Situation nicht definieren. Die Lösung dieses Problems ist, kontinuierlich PING Pakete an die Gegenstelle senden. So kennt der Vigor mit Gewissheit den Zustand der VPN Verbindung und kann entsprechend handeln. Diese Funktion ist unterschiedlich zu DPD (dead peer detection). Vigor2800-Serie Benutzerhandbuch 43

50 44 ISDN Erlaubt die Abwahl mit ISDN zu einem Server. Es werden die Angaben Verbindung Benutzername und Passwort benötigt. Zusätzlich kann die Rückruffunktion aktiviert werden. Diese Option ist einzig für i -Modelle verfügbar. PPTP Erlaubt eine PPTP VPN Verbindung durch das Internet herzustellen. Es werden die Angaben Benutzername und Passwort benötigt, um sich auf dem entfernten Server einwählen zu können. IPSec Tunnel Erlaubt eine IPSec VPN Verbindung durch das Internet zu einem Server herzustellen. Neben Benutzername und Passwort werden noch die Angaben zur Server-IP, Authentifizierungsund Sicherheitsmethode verlangt. L2TP mit Erlaubt die Abwahl mit L2TP zu einem Server. L2TP kann alleine oder in Verbindung mit IPSec verwendet werden: nein IPSec wird nicht implementiert. Dadurch kann die Verbindung als reiner L2TP Tunnel betrachtet werden. Es werden die Angaben Benutzername und Passwort benötigt. falls vorhanden Die IPSec Policy wird zunächst hinzugefügt. Stellt sich beim Aushandeln mit der Gegenseite heraus, dass diese kein IPSec unterstützt, so fällt der Vigor zurück auf die reine L2TP Verbindung. Angaben wie beim IPSec Tunnel.

51 erforderlich Der Vigor besteht auf IPSec. Wenn die Gegenseite dies nicht unterstützt, kommt kein Tunnel zustande. Angaben wie beim IPSec Tunnel. Benutzername Dieses Feld müssen Sie ausfüllen, wenn Sie PPTP oder L2TP mit bzw. ohne IPSec Policy ausgewählt haben. Passwort Dieses Feld müssen Sie ausfüllen, wenn Sie PPTP oder L2TP mit bzw. ohne IPSec Policy ausgewählt haben. PPP Authentifizierung Für PPTP oder L2TP mit/ohne IPSec Policy wählen Sie hier das bevorzugte Authentifizierungsprotokoll. Allgemein fällt die Wahl auf PAP/CHAP, da dies die höchste Kompatibilität bietet. VJ Komprimierung Für PPTP oder L2TP mit/ohne IPSec Policy wählen Sie hier, ob der TCP/IP Header komprimiert werden soll. Um Bandbreite zu sparen wird diese Option allgemein auf Ja gesetzt. Beachten Sie, dass diese Option auf der Gegenseite genau so gesetzt ist! IKE Die Angaben in den Feldern werden für IPSec Tunnel und Authentifizierungsmethode L2TP mit IPSec Policy benötigt Pre-Shared Key Aktivieren Sie die Option, um einen PreShared Key mit 1-63 Zeichen einzugeben. Digital Signatur (X.509) Aktivieren Sie die Option, um ein vordefiniertes X.509 Peer ID Profil als Digitale Signatur hinzuzufügen. IPSec Sicherheitsmethode Die Angaben in den Feldern werden für IPSec Tunnel und L2TP mit IPSec Policy benötigt. Mittel Der Authentication Header (AH) authentifiziert die Daten, verschlüsselt diese aber nicht. Diese Option ist mit den Werkseinstellungen aktiv. Hoch Das Encapsulating Security Payload (ESP) umschließt die Nutzdaten, authentifiziert und verschlüsselt diese. Wählen Sie einen der folgenden Verschlüsselungs-Algorithmen: - DES ohne Authentifizierung - DES mit Authentifizierung - 3DES ohne Authentifizierung - 3DES mit Authentifizierung - AES ohne Authentifizierung - AES mit Authentifizierung Die zusätzliche Authentifizierung wird durch MD5 oder SHA-1 realisiert. Erweitert Vigor2800-Serie Benutzerhandbuch Hier haben Sie Einfluss auf Modus, Proposal und Key Lifetime jeder IKE Phase, Gateway etc. Das Fenster der erweiterten Einstellungen wird folgend angezeigt: 45

52 IKE Phase 1 Modus Wählen Sie zwischen Main mode und Aggressive mode. Das Endergebnis ist bei beiden Modi gleich: Es werden Sicherheitsanträge (Proposals) ausgehandelt, um einen sicheren geschützten Tunnel zu erzeugen. Der Main mode ist sicherer als der Aggressive mode, da hierbei mehr kommuniziert wird bis die IPSec Sitzung etabliert wird. Dafür ist der Aggressive mode schneller. Als Standard wird der Main mode verwendet. IKE Phase 1 Proposal Definieren Sie die lokal verfügbaren Techniken zur Authentizität und Verschlüsselung dieses VPN Peers. Diese werden der Gegenseite vorgeschlagen und es wird sich schließlich auf eine Übereinstimmung geeinigt werden. Zwei Optionen sind für den Aggressive mode und neun im Main mode verfügbar. Die Bezeichnungen G1 bzw. G2 beschreiben die Länge des Diffie-Hellman Schlüssels mit 768 bits bzw bits. Die CPU wird bei großen Schlüsseln nicht mehr belastet als bei kleineren - es treten also keine Performanz Einbußen auf. Allerdings dauert der Schlüsselaustausch entsprechend länger. Wähle Sie am Besten die Optionen, welche die meisten Techniken beinhaltet, um so eine hohe Akzeptanz zu erreichen. IKE Phase 2 Proposal Definieren Sie die lokal verfügbaren Algorithmen, welche vorgeschlagen und über die abgestimmt werden sollen. Sie können für beide Modi zwischen drei Optionen wählen. Wähle Sie am Besten die Option, welche die meisten Algorithmen beinhaltet. IKE Phase 1 Key Lifetime Aus Sicherheitsgründen sollte die Zeit, in welcher der Schlüssels gültig ist definiert werden. Ab Werk sind 3600 Sekunden gesetzt. Der Wert kann beliebig zwischen 900 und Sekunden gewählt werden. IKE Phase 2 Key Lifetime - Aus Sicherheitsgründen sollte die Zeit, in welcher der Schlüssels gültig ist definiert werden. Ab Werk sind Sekunden gesetzt. Der Wert kann beliebig zwischen 600 und Sekunden gewählt werden. Perfect Forward Secret (PFS) Ist die Option aktiv wird der IKE Phase 1 Key auch für die Phase 2 verwendet, um so aufwendige Rechnleistung zu minimieren. Ab Werk ist die Option inaktiv. lokale ID Im Aggressive mode, wird die lokale ID anstelle einer IP-Adresse zur Authentifizierung am Server verwendet. Die Länge der ID ist auf 47 Zeichen begrenzt. Rückrufeinstellungen (CBCP) Die Rückruffunktion bietet für alle eingehenden ISDN VPN (nur bei i-modellen) Verbindungen eine Rückruf Service. Kurz gesagt: Der Besitzer des Vigors zahlt die Verbindungskosten eines Einwählenden. Anfordern eines Rückrufs... Aktivieren Sie diese Option, um bei dem angewählten Peer ein Rückruf zu veranlassen. ISDN-Kennung senden Ist diese Option aktiv, so übersendet der Vigor die lokale ISDN Nummer für den Rückruf. 46

53 Einwahl zulassen über Bestimmen Sie, welche Art der Einwahl zugelassen ist. ISDN Erlaubt die Einwahl mit ISDN von einem Client. Es werden die Angaben Verbindung Benutzername und Passwort benötigt. Zusätzlich kann die Rückruffunktion aktiviert werden. Diese Option ist einzig für i -Modelle verfügbar. PPTP Erlaubt eine PPTP VPN Verbindung herzustellen. Es werden die Angaben Benutzername und Passwort benötigt, mit welchen sich der Client authentifizieren muss. IPSec Tunnel Erlaubt eine IPSec VPN Verbindung von einem entfernten Netzwerk herzustellen. Neben Benutzername und Passwort werden noch die Angaben zur Server-IP, Authentifizierungsund Sicherheitsmethode verlangt. L2TP Erlaubt die Einwahl mit L2TP von einem Client. L2TP kann alleine oder in Verbindung mit IPSec verwendet werden: nein IPSec wird nicht implementiert. Dadurch kann die Verbindung als reiner L2TP Tunnel betrachtet werden. Es werden die Angaben Benutzername und Passwort benötigt. falls vorhanden Die IPSec Policy wird zunächst hinzugefügt. Stellt sich beim Aushandeln mit der Gegenseite heraus, dass diese kein IPSec unterstützt, so fällt der Vigor zurück auf die reine L2TP Verbindung. Angaben wie beim IPSec Tunnel. erforderlich Der Vigor besteht auf IPSec. Wenn die Gegenseite dies nicht unterstützt, kommt kein Tunnel zustande. Angaben wie beim IPSec Tunnel. Definieren Sie Remote VPN Gateway... Definieren Sie die IP-Adresse des Einwählenden oder dessen Peer ID. Zusätzlich kann hier bei i-modellen die Peer ISDN Nummer festgelegt werden vorausgesetzt die Einwahl geschieht mit ISDN. Definieren Sie des Weiteren die Sicherheitsmethode auf der rechten Seite. Vigor2800-Serie Benutzerhandbuch 47

54 Ist die Box deaktiviert, werden Authentifizierungs- und Sicherheitsmethode aus den allgemeinen Einstellungen verwendet. Benutzername Dieses Feld müssen Sie ausfüllen, wenn Sie PPTP oder L2TP mit bzw. ohne IPSec Policy ausgewählt haben. Passwort Dieses Feld müssen Sie ausfüllen, wenn Sie PPTP oder L2TP mit bzw. ohne IPSec Policy ausgewählt haben. VJ Komprimierung Für PPTP oder L2TP mit/ohne IPSec Policy wählen Sie hier, ob der TCP/IP Header komprimiert werden soll. Um Bandbreite zu sparen wird diese Option allgemein auf Ja gesetzt. Beachten Sie, dass diese Option auf der Gegenseite genau so gesetzt ist! IKE Die Angaben in den Feldern werden für IPSec Tunnel und Authentifizierungsmethode L2TP mit IPSec Policy benötigt, sofern eine ISDN CLID (nur bei i-modellen), eine Remote VPN Gateway Peer ISDN Nummer (nur bei i-modellen) oder eine Peer VPN Server IP definiert wurde. Die einzige Ausnahme hiervon betrifft die Digitale Signatur (X.509), welche auch dann aktiviert werden kann, wenn Sie einen IPSec Tunnel mit bzw. ohne die Definition einer CLID oder IP-Adresse für die Gegenstelle. Pre-Shared Key Aktivieren Sie die Option, um einen PreShared Key mit 1-63 Zeichen einzugeben. Digital Signatur (X.509) Aktivieren Sie die Option, um ein vordefiniertes X.509 Peer ID Profil als Digitale Signatur hinzuzufügen. 48 IPSec Sicherheitsmethode Die Angaben in den Feldern werden für IPSec Tunnel und L2TP mit IPSec Policy benötigt, sofern ein Fernzugriff definiert wurde. Folgende Sicherheitsmethoden stehen zur Verfügung: Mittel Der Authentication Header (AH) authentifiziert die Daten, verschlüsselt diese aber nicht. Diese Option ist mit den Werkseinstellungen aktiv. Hoch Das Encapsulating Security Payload (ESP) umschließt die Nutzdaten und verschlüsselt diese. Als VerschlüsselungsAlgorithmus können Data Encryption Standard (DES), Triple DES (3DES) und Advance Encryption Standard (AES) gewählt werden. Rückruffunktion Diese Funktion bietet für alle eingehenden ISDN VPN Verbindungen eine Rückruf Service (nur möglich bei imodellen). Kurz gesagt: Der Besitzer des Vigors zahlt die Verbindungskosten eines Einwählenden. Rückruffunktion aktiv - aktiviert die Rückruffunktion. Rückrufnummer festlegen - Diese Option bietet zusätzlichen Schutz. Ist sie aktiv, so wird der Vigor nur die angegebene Nummer zurückrufen. Rückrufzeitkonto aktiv - Standardmäßig unterliegt die Rückruffunktion einer Zeitbeschränkung. Ist das angegebene Budget aufgebraucht, wird die Funktion automatisch deaktiviert. max. Rückrufdauer (in Minuten)- Definieren Sie hier wie lange ein Teleworker maximal verbunden sein darf. Das Budget wird bei jeder Verbindung automatisch verringert.

55 Meine WAN IP Dieses Feld ist nur auszufüllen, wenn IPSec oder L2TP mit IPSec Policy gewählt wurde. Der Standardwert ist und bedeutet, dass der Vigor eine PPP IP-Adresse von dem entfernten Peer während der IPCP Negotiation Phase erhalten wird. Ist die PPP IP-Adresse durch den entfernten Peer festgelegt, so definieren Sie diese feste IP-Adresse hier. Remote Gateway-IP Dieses Feld ist nur auszufüllen, wenn IPSec oder L2TP mit IPSec Policy gewählt wurde. Der Standardwert ist und bedeutet, dass der Vigor eine Remote Gateway IP-Adresse von dem entfernten Peer während der IPCP Negotiation Phase erhalten wird. Ist die PPP IP-Adresse durch den entfernten Peer festgelegt, so definieren Sie diese feste IP-Adresse hier. Remote Netzwerk-IP/ Remote Netzwerk -Mask Geben Sie einen statischen Peer mit IP-Adresse und Maske an, an welchen der komplette Datenverkehr geleitet werden soll also das andere Ende des Tunnels. Bei IPSec wird hier die Ziel Client ID der Phase 2 (quick mode) angegeben. Mehr Fügen Sie einen statischen Peer hinzu, um den Datenverkehr zu weiteren Remote Netzwerk IP-Adressen / Remote Netzwerk Masken durch die VPN Verbindung zu leiten. Im Allgemeinen wird diese Funktion verwendet, um Subnetze in dem entfernten Netzwerk zu erreichen. RIP Richtung Definieren Sie den Weg der RIP (Routing Information Protocol) Pakete. Als Optionen stehen beide (TX/RX), nur Empfangen, nur Senden und inaktiv zur Verfügung. RIP Version Wählen Sie die zu verwendene Version des RIP Protokolls. Die Ver. 2 erzielt die höchste Kompatibilität. Im NAT-Betrieb, betrachte Für die Kommunikation mit dem entfernten Netzwerk kann entfernte Subnetze als der Vigor dieses als lokales Subnetz behandeln und Pakete mit seiner privaten IP-Adresse senden. Alternativ kann der Vigor seine öffentliche IP-Adresse verwenden und damit das entfernte Netz wie ein öffentliches handhaben Verbindungsmanagement Dieser Menüpunkt zeigt eine komplette Übersicht über alle VPN Verbindungen. In dem PullDown Feld finden Sie alle aktiven Profile mit der Wählrichtung Beide oder Raus. Durch das Klicken auf den Wählen Button verbindet sich der Vigor mit dem Server. In der nachfolgenden Liste finden sich alle VPN Tunnel, welche zurzeit aktiv sind. Um eine Verbindung zu beenden, verwenden Sie den Trennen Button. Vigor2800-Serie Benutzerhandbuch 49

56 Wählen Klicken Sie auf diesen Button, um einen VPN Tunnel zu aktivieren. Aktualisierungsintervall Wählen Sie die Abstände, in denen sich die Seite aktualisiert. Aktualisieren Klicken Sie den Button zum Aktualisieren des VerbindungsStatus. 3.7 Zertifikatsverwaltung Ein digitales Zertifikat ist eine elektronische ID, welche von einer Certification Authority (CA) vergeben wird. Es beinhaltet Informationen wie Name, Seriennummer, Verfallsdatum, usw. und natürlich die eigentliche digitale Signatur, welche von einer berechtigten Autorität herausgegeben wurde und womit der Empfänger verifizieren kann, dass das Zertifikat echt ist. Der Vigor unterstützt digitale Zertifikate nach dem Standard X.509. Möchte eine Instanz ein digitales Zertifikat anwenden, so muss diese zunächst nach einem gültigen Zertifikat bei einem CA Server anfragen. Es ist durchaus sinnvoll Zertifikate von mehreren Servern zu besitzen, um sich so auch bei Peers mit Zertifikaten von diesen Servern authentifizieren zu können. Unter diesem Menüpunkt können Sie die Zertifikate verwalten, lokale digitale Zertifikate generieren und vertrauenswürdige CA Zertifikate setzen. Justieren Sie bitte die Einstellungen in Systemmanagement >> Zeit und Datum, damit die Berechnung der Lebensdauer eines Zertifikates korrekt ist. 50

57 3.7.1 lokales Zertifikat Generieren Klicken Sie auf diesen Button, um einen Zertifikatsauftrag zu erstellen. Geben Sie alle relevanten Informationen ein und klicken Sie auf Generieren. Importieren Hier können Sie ein gespeichertes Zertifikat laden. Aktualisieren Hiermit wird die Seitenansicht aktualisiert. Ansicht Über diesen Button erhalten Sie die detaillierten Informationen zu dem Zertifikatsauftrag. Nachdem Sie auf Generieren geklickt haben, werden die generierten Informationen in dem Fenster angeszeigt: Vigor2800-Serie Benutzerhandbuch 51

58 3.7.2 vertrauenswürdiges CA Zertifikat Dieser Punkt listet drei vertrauenswürdige CA Zertifikate. Um ein zuvor gespeichertes vertrauenswürdiges CA Zertifikat zu importieren, klicken Sie bitte auf Importieren. Im folgenden Fenster wählen Sie die entsprechende Datei und klicken wieder auf Importieren. Nun wird die gewählte Datei im vorherigen Fenster gelistet. Klicken Sie dort nun ein letztes Mal Importieren, um die Datei verwenden zu können. Detaillierte Informationen über jedes vertrauenswürdige CA Zertifikat erhalten Sie über die Ansicht. Mit Löschen können Sie ein importiertes Zertifikat entfernen. 52

59 3.8 VoIP Hinweis: Abhängig von den Modellen bzw. integrierten Modulen (siehe Abschnitt 1.1) variiert der Umfang einiger VoIP Funktionen. Das Voice over IP (VoIP) ermöglicht günstige und qualitativ hochwertige Telefongespräche über das Internet unter Verwendung Ihre breitbandige Internet Verbindung. Es existieren diverse Protokolle zur Rufsignalisierung also Methoden, mit welchen VoIP Geräte miteinander kommunizieren. Die populärsten Protokolle sind SIP, MGCP, Megaco und H.323. Manche Hersteller verwenden spezielle Protokolle, welche proprietär nur von diesem für seine VoIP Lösungen verwendet werden (z.b. Skype). Die Protokolle sind untereinander nicht immer kompatibel; man kann sie nur mittels Soft-Switch Server koppeln. Die V-Modelle unterstützen die Protokolle MGCP (Media Gateway Control Protocol) und SIP (Session Initiation Protocol). Das SIP ist ausführlich spezifiziert und frei verfügbar. Daher findet SIP auch eine weite Verbreitung und wird von ITSP (Internet Telephony Service Provider) und diversen SoftPhonen unterstützt. SIP ist ein Punkt-zu-Punkt Signalisierungsprotokoll, welches personengebunden und unabhängig von VoIP Strukturen ist. Für ein Telefonat wird lediglich der persönliche SIP Uniform Resource Identifier - auch bezeichnet als <SIP Adresse> - verwendet. Das Standardformat des SIP URI ist sip: host: port Je nach Anwendung sind manche Felder optional. Die Informationen zum Benutzer sind meist in der Kombination aus benutzer, passwort enthalten. Im Allgemeinen ist host eine Domain. Da dies mit einer URL sehr große Ähnlichkeit hat, wird es auch SIP URL genannt. SIP unterstützt die direkte Punkt-zu-Punkt Kommunikation, aber auch die Kommunikation über einen SIP Proxy-Server (vergleichbar mit dem Gatekeeper in H.323 Netzwerken). Hiergegen verwendet das MGCP Protokoll eine Client-Server Architektur, womit ein Kommunikationsszenario ähnlich zu dem PSTN (öffentliches Telefonnetz) entsteht. Nachdem der Gesprächskanal eingerichtet wurde, übermittelt das RTP (Real-Time Transport Protocol) die Sprachdaten. Hierzu verwendet es Methoden zum Komprimieren und Verschlüsseln der Datenpakete so genannte Codecs. Folgende Codecs können eingebunden werden: G.711 A/μ-law, G.723, G.726 und G.729 A & B. Jeder Codec verwendet eine andere Bandbreite und bietet damit unterschiedliche Stufen der Sprachqualität. Je höher die verwendete Bandbreite, desto besser die Sprachqualität. Allerdings muss die internet Bandbreite ebenfalls entsprechend hoch sein; vor allem, wenn Sie nebenbei noch im Internet surfen möchten. Im Allgemeinen existieren zwei Anwendungsszenarien, welche folgend illustriert werden: Anruf via SIP Server Zunächst muss sich der Vigor (V-Modell) an einem SIP Registrar registrieren. Danach werden die relevanten Informationen an den SIP-Proxy weitergeleitet, womit der Aufbau einer Sitzung etabliert werden kann. Verwenden beide Teilnehmer den gleichen SIP Registrar, dann sieht dass Szenario wie folgt aus: Vigor2800-Serie Benutzerhandbuch 53

60 Der große Vorteil hierbei ist, dass das Szenario ohne das Wissen um IP-Adressen funktioniert. Somit kann es in Verbindung mit dynamischen IP-Adressen verwendet werden und ist auch ortsunabhängig. Anstatt sich die IP-Adresse zu merken, können Sie die Telefonbuch Funktion nutzen oder sofern der gleiche SIP Registrar verwendet wird einfach das Konto des anderen Teilnehmers wählen (z.b. Alice ). Punkt-zu-Punkt Bevor Sie einen Anruf machen können, benötigen Sie die IP-Adresse der Gegenseite. Der Vigor kann erst dann die Verbindung zwischen den Teilnehmern aufbauen. Neben den bereits angesprochenen Codecs gewährleistet der Vigor die beste Bandbreite für VoIP durch die QoS Funktion. Quality of Service hilft den Sprach-Datenverkehr gegenüber den Internet-Datenpaketen zu priorisieren Kurzwahl/Telefonbuch Dieses Menü erlaubt Ihnen Telefonbuch und Digitale Map für die VoIP Funktionen zu konfigurieren. Wählen Sie den entsprechenden Link, um weitergeleitet zu werden. 54

61 Telefonbuch In diesem Abschnitt können Sie Ihre VoIP Kontakte in das integrierte Telefonbuch eintragen. Dadurch können Anrufe schnell und einfach durch eine Kurzwahl getätigt werden. Es können bis zu 60 SIP Adressen verwaltet werden. Klicken Sie auf einen der Indizes, um den Index zu konfigurieren: aktiv Zum Aktivieren des Indexes. Telefonnummer Die Kurzwahl für die folgende SIP URL. Sie können eine beliebige Kombination aus den Ziffern 0-9 und * wählen. angezeigter Name Ihre ID, welche auf dem Display des anderen Teilnehmers erscheinen soll. SIP URL Geben Sie die SIP Adresse an. Loop through Wählen Sie, ob eine Weiterleitung ins öffentliche Telefonnetz möglich sein soll oder nicht. Diese Option ist abhängig vom Modul. Backup Telefonnummer Die Backup Telefonnummer muss eine Nummer aus dem PSTN sein. Ist das VoIP vorübergehend nicht verwendbar oder die Internetverbindung getrennt, so wird automatisch die Backup Telefonnummer gewählt; sofern die Weiterleitung für diesen Index aktiv ist. Beachten Sie bitte, dass bei Telefonaten über das öffentliche Telefonnetz Kosten entstehen. Diese Option ist abhängig vom Modul. Vigor2800-Serie Benutzerhandbuch 55

62 Digitale Map Um den Komfort für den Benutzer zu steigern, kann mit dieser Funktion der Präfix eines SIP Kontos editiert werden. Ein Präfix kann hinzugefügt, entfernt oder ersetzt werden. Hierdurch können Rufnummern vereinfacht werden, wodurch die Verwendung der VoIP Schnittstelle noch leichter fällt. 56 Aktiv Zum Aktivieren dieser Einstellung. Vorwahl Die hier eingegebene Nummer wird der OP Nummer hinzugefügt, von ihr entfernt oder ersetzt diese. Modus aus - keine Aktion. Hinzufügen - Der OP Nummer wird die Vorwahl vorangestellt. Abziehen - Von der OP Nummer wird die Vorwahl entfernt. Ersetzen - Die OP Nummer wird durch die Vorwahl ersetzt. OP Nummer Geben Sie hier die ersten Ziffern einer Nummer an, welche durch die verschiedenen Funktionen modifiziert werden sollen. min. Länge Geben Sie die minimale Länge einer Telefonnummer an, auf welche der Modus angewendet werden soll. Nur wenn die Länge einer Telefonnummer sich in dem angegebenen Bereich bewegt, wird die OP Nummer modifiziert. max. Länge Geben Sie die maximale Länge einer Telefonnummer an, auf welche der Modus angewendet werden soll. Nur wenn die Länge einer Telefonnummer sich in dem angegebenen Bereich bewegt, wird die OP Nummer modifiziert. Schnittstelle Wählen Sie ein SIP Konto, für welches die Angaben gültig sind. Abhängig vom Modul, kann neben den VoIP Schnittstellen auch das PSTN gewählt werden.

63 3.8.2 SIP Konten Folgend wird beschrieben, welche Funktionen sich hinter den SIP Einstellungen verbergen. Wenn Sie ein Konto bei einem SIP Service Provider haben, erhalten Sie von diesem Kontobzw. Benutzername, SIP Registrar, Proxy und Domain. In einigen Fällen sind die letzten drei Angaben gleich in diesem Fall ist Ihre SIP Adresse Sobald der VoIP Vigor angeschaltet wird, versucht er sich beim Registrar mit zu registrieren. Danach wird ein Anruf über den SIP Proxy zum Ziel weitergeleitet, wobei als Identität verwendet wird. Index Klicken Sie auf einen Index, um das SIP Profil zu editieren. Profil Zeigt die Bezeichnung des Profils. Domain/Bereich Zeigt die Domain/Realm oder die IP-Adresse des SIP Servers. Proxy Zeigt die Domain/Realm oder die IP-Adresse des SIP Proxys. Kontoname Zeigt den Namen der SIP Adresse vor Anruf Port Definieren Sie die Schnittstelle, welche bei einem ankommenden Ruf klingeln soll. STUN-Server Geben Sie die IP-Adresse des STUN Servers an. Externe IP Geben Sie die Gateway IP-Adresse an. SIP PING Intervall Die Funktion wird für Nortel Server NAT Traversal verwendet. Der Standardwert liegt bei 150 Sekunden. Status Zeigt den Status der SIP Konten. R bzw. -- geben an, ob das Konto erfolgreich am SIP Server registriert wurde oder nicht. Vigor2800-Serie Benutzerhandbuch 57

64 Profil Name Vergeben Sie dem Profil eine Bezeichnung. Registrieren über nein - VoIP Telefonate ohne die Registrierung an einem SIP Server. Bitte aktivieren Sie zusätzlich die Option Anruf ohne Registrierung. Auto - Diese Einstellung wird empfohlen. Der Vigor sucht sich automatisch den Weg zur Registrierung Ihrer VoIP Verbindung. WAN - Legen Sie den Weg auf WAN fest. LAN/VPN - Legen Sie den Weg auf LAN bzw. VPN fest. SIP Port Setzen Sie die Port Nummer zum Senden/Empfangen von SIP Nachrichten. Der Standardwert ist Der andere Teilnehmer muss den selben Port verwenden. Domain/Realm Setzen Sie die Domain oder IP des SIP Registrar Servers. Proxy Setzen Sie die Domain oder IP des SIP Proxy Servers. Geben Sie bei Bedarf auch einen Zielport an (zb: nat.draytel.org:5065) Agiere als Outbound Proxy Ist die Option aktiv, so agiert der Proxy als Outbound Proxy. 58 angezeigter Name Die ID, welche der entfernte Teilnehmer im Display seines Telefons sehen soll. Kontonummer/-Name Geben Sie den Benutzernamen an (alles vor Authentifizierungs-ID Muss für die Authentifizierung am SIP Registrar eine spezielle Kennung übermittelt werden, so aktivieren Sie diese Option und geben Sie die Kennung an. Ist die Kennung gleich dem Benutzernamen, kann diese Option ignoriert werden. Passwort Das Passwort zum Registrieren am SIP Registrar. max. Dauer Geben Sie die Zeitspanne an, wie lange nach der Registrierung der SIP Registrar Server Ihre Registrierungsdaten speichern soll. Anschließend ist eine erneute Registrierung nötig.

65 NAT Traversal Unterstützung Verbindet sich der Vigor über ein anderes Netzwerkgerät mit dem Internet (z.b. bei Breitband Router), so können Sie für eine fehlerfreie Verbindung diese Funktion entsprechend benutzen. nein Deaktiviert diese Funktion. Stun Wählen Sie diese Option, wenn ein Stun Server den Vigor unterstützt. manuell Wählen Sie diese Option, wenn Sie eine externe IPAdresse als NAT Traversal Unterstützung definieren möchten. Nortel Wählen Sie diese Option, wenn der Soft-Switch die Nortel Lösung unterstützt. Anruf Port Wählen Sie die Schnittstelle, für welche das Profil gilt. Klingelton Wählen Sie Ihren bevorzugten Klingelton Telefon Einstellungen In diesem Menüpunkt können die zwei VoIP Schnittstellen konfiguriert werden. RTP Symmetrisches RTP Aktivieren Sie diese Option, um bei Paketverlusten auf Seiten des lokalen oder aber des entfernten Routers die Funktionalität aufrecht zu erhalten. Dynamischer RTP - Start-Port Definiert den ersten Port des RTP Streams. Der Standardwert ist Dynamischer RTP - End-Port Definiert den letzten Port des RTP Streams. Der Standardwert ist RTP TOS Das acht bit lange Type of Service Feld wird für die Priorisierung der VoIP Paketen gesetzt. Klicken Sie auf den Index, um in die detaillierten Konfiguration zu gelangen. Vigor2800-Serie Benutzerhandbuch 59

66 Hotline Ist diese Funktion aktiv, so wird beim Abheben des Telefonhörers automatisch die von Ihnen im Vigor hinterlegte SIP Telefonnummer gewählt. max. Dauer Ist die Option aktiv und werden für die angegebene Zeitspanne keine Sprachdaten an den Vigor übermittelt, so wird die Verbindung automatisch getrennt. T.38 Fax Funktion Mit dem T.38 Fax Protokoll ist es möglich, über VoIP zu faxen. Voraussetzung hierfür ist, dass die Gegenseite ebenfalls dieses Protokoll unterstützt. Anrufumleitung Tragen Sie in Ihrem Vigor eine SIP URL ein, an welche ein einkommender VoIP Anruf umgeleitet werden soll... keine Antwort -..., sofern nach einer bestimmten Wartezeit niemand abgenommen hat. falls besetzt -..., sofern der angerufene Apparat besetzt ist. immer - Diese Option aktiviert die Funktion ohne zusätzliche Bedingungen. inaktiv - Diese Option deaktiviert die Funktion. SIP URL Geben Sie hier die SIP Adresse zum Umleiten an. Zeitlimit Geben Sie hier die Wartezeit für die Option keine Antwort an. Der Standardwert ist 30 Sekunden. DND (Nicht stören) Modus Sie können Zeiten definieren, zu denen Sie keine VoIP Anrufe annehmen möchten. Dem Anrufer wird das Besetztsignal übermittelt, während Sie kein Klingeln vernehmen. Verbindungstimer Geben Sie Indizes der vordefinierten Verbindungstimer Profile an, um die Zeiten von DND festzulegen. Im Abschnitt Verbindungstimer finden Sie weitere Informationen. Anklopfen 60 Ist diese Option aktiv, wird Ihnen, wenn während eines Gesprächs ein weiteres ankommt, dieses durch ein Signalton mitgeteilt. Sie können nun zu dem wartenden Anrufer

67 wechseln. Anrufweiterschaltung Ist diese Funktion aktiv, so können Sie eine Verbindung zwischen zwei Teilnehmern herstellen. Hierfür initiieren Sie zunächst die Verbindung zu dem ersten und anschließend zu dem zweiten Teilnehmer. Beenden Sie nun Ihre Verbindungen, sind die zwei Teilnehmer direkt miteinander verbunden. bevorzugter Codec Wählen Sie einen von insgesamt fünf Codecs als den Standard für Ihre Telefongespräche über diese Schnittstelle. Beim Verbindungsaufbau wird allerdings der zu verwendende Codec mit der Gegenseite ausgehandelt. So kommt es vor, dass der gewählte Codec nicht benutzt wird. Ab Werk ist der Codec G.729A/B als Standard definiert. Bei einem Upstream von lediglich 64kbit/s raten wir von dem Codec G.711 ab. Die Geschwindigkeit für diesen Codec sollte mindestens 256kbit/s betragen. Einzelner Codec Ist diese Option aktiv, so wird nur der gewählte Codec angewendet; auch wenn diesen die Gegenseite nicht unterstützt und deshalb die Verbindung nicht aufgebaut werden kann. Paketgröße Die Menge an Sprachinformationen, welche in ein Paket geschrieben werden. Der Standardwert ist 20ms. Sprach-Pause-Erkennung Diese Funktion erkennt die Transmission von Sprachpaketen über eine aktive Sitzung - also ob einer der Teilnehmer gerade spricht oder nicht. Werden keine Sprachinformationen ausgetauscht, so wird die freie Bandbreite anderen Transmissionen bereitgestellt. Standard SIP Konto Sie können zwischen den bis zu sechs gesetzten SIP Konten wählen und eines als Standard für diese Schnittstelle definieren. Freizeichen nur bei registrierten Konten Aktivieren Sie diese Option, um nicht registrierte Konten durch das Fehlen des Amtszeichens zu erkennen. Erweitert Durch das Klicken auf den Erweitert Button gelangen Sie auf die unten angezeigte Seite, wo Sie die Ton-Einstellungen, wie Land, ID-Typ und Frequenzbänder/Intervalle für die einzelnen Signalisierungstöne, -... den Lautstärkeregler für Mikrofon und Lautsprecher Ihres Telefons, - unter Sonstiges die Lautstärke & Frequenz des Amtszeichens, - und DTMF konfigurieren können. Vigor2800-Serie Benutzerhandbuch 61

68 3.8.4 Status Der Status gibt alle relevanten Informationen einer Schnittstelle wieder. 62 Aktualisierungsintervall Wählen Sie die Abstände (Angabe in Sekunden), in denen sich die Seite aktualisiert. Oder klicken Sie Aktualisieren, um eine sofortige Erneuerung der VoIP Informationen zu erhalten. Port Die physikalischen Schnittstellen VoIP1 und VoIP2. Status Zeigt den VoIP Verbindungstatus. IDLE Keine Verbindung. HANG_UP Die Verbindung ist nicht aufgebaut (besetzt). CONNECTING Der Benutzer tätigt einen Anruf. WAIT_ANS Ein Verbindungsaufbau wurde initiiert und von der Gegenseite noch nicht quittiert. ALERTING Ein Anruf geht ein. ACTIVE Die VoIP Verbindung ist aktiv. Codec Zeigt den aktuell für diesen Kanal verwendeten Codec. ID Die aktuelle einwählende oder abwählende Peer ID. Elapse Die Dauer, seit welcher die Sitzung aktiv ist. Tx Pakete Die Summe aller gesendeten Sprachpakete dieser Sitzung. Rx Pakete Die Summe aller empfangenen Sprachpakete dieser Sitzung. Rx Losts Die Summe aller verspäteten Sprachpakete dieser Sitzung. Rx Jitter Der Jitter empfangener Sprachpakete in Millisekunden. eingehende Anrufe Die Dauer aller eingehenden Anrufe insgesamt. ausgehende Anrufe Die Dauer aller ausgehenden Anrufe insgesamt. Lautstärke Die eingestellte Lautstärke des gegenwärtigen Anrufs. Log Zeigt das VoIP Log.

69 3.9 ISDN ISDN (Integrated Services Digital Network) wird zum Übermitteln von Sprache, Video und Daten über digitale Telefonleitungen verwendet. Hinweis: Die ISDN Funktionen sind nur bei i-modellen verfügbar Basiskonfiguration ISDN Port Aktivieren Sie die ISDN Schnittstelle. Land Wählen Sie das Land, in dem der Vigor eingesetzt wird. Eigene Nummer Geben Sie die ISDN Nummer zum Herauswählen an. MSN-Nummern für den Router Der Vigor wird eingehende Rufe nur dann akzeptieren, wenn die MSN-Nummer mit der hier eingetragenen übereinstimmt. Der MSN-Dienst muss auch von Ihrem Anbieter unterstützt werden. Sind die drei Felder frei, so werden alle eingehenden Rufe vom Vigor angenommen. Blockierte MSN-Nummern für Definieren Sie die MSN-Nummern, welche für den Vigor den Router gesperrt sind. Beachten Sie bitte bei allen Angaben die unterschiedlichen Eingabearten bei Mehrgeräteanschluss (Vorwahl+Rufnummer) und Anlagenanschluss (interne Nummer ohne NULL)! Einwahl über einen ISP Name des Anbieters Geben Sie den Namen Ihres ISPs an. Einwahlnummer Geben Sie die ISDN Zugangsnummer Ihres ISPs an. Benutzername Geben Sie den Benutzernamen an (wird vom ISP bereitgestellt). Passwort Geben Sie den Benutzernamen an (wird vom ISP bereitgestellt). Rückrufoption aktiv (CBCP) Sofern Ihr ISP die Rückruffunktion unterstützt, können Sie das Callback Control Protocol aktivieren. Verbindungstimer (1-15) Setzen Sie einen von bis zu vier vordefinierten Timern, um die ISDN Einwahl ins Internet zeitlich zu kontrollieren. Verbindung Wählen Sie einen der vier Verbindungsarten ins Internet: inaktiv Deaktiviert die ISDN Einwahl. 64kbit/s Leitung Nur ein ISDN B Kanal wird verwendet. 128kbit/s Leitung Beide ISDN B Kanäle werden verwendet. automatisch(bod) BOD (Bandwidth-on-demand) bedeutet, dass der Vigor bei einem geringen Daten-Durchsatz nur einen B Kanal verwendet. Steigt der Durchsatz, wird die benötigte Bandbreite durch das Hinzuschalten des zweiten B Kanals kompensiert. Betrachten Sie hierzu auch die Konfiguration unter ISDN >> Verbindungseinstellungen. PPP Authentifizierung nur PAP Für die Authentifizierung am ISP wird PAP verwendet. PAP oder CHAP Für die Authentifizierung mit Benutzername und Passwort wird PAP oder CHAP verwendet. max. Leerlaufzeit Vigor2800-Serie Benutzerhandbuch Ist die Verbindung für die angegebene Zeitspanne unproduktiv, so wird diese getrennt. Standardwert ist 180. Ist der Wert 0, so ist ISDN 63

70 permanent aktiv. Feste IP Aktivieren Sie diese Funktion, falls Ihr ISP Ihnen eine feste IP für die ISDN Einwahl vergeben hat. Feste IP-Adresse Geben Sie die IP-Adresse an Einwahl über zwei ISPs Verwenden Sie zwei ISP bzw. zwei Provider Konten, um sich in das Internet via ISDN einzuwählen, können Sie hier Ihre Zugangsdaten eingeben. Sie können auch mit beiden Profilen zur selben Zeit online sein. Die meisten Parameter sind gleich denen in Einwahl über einen ISP. Beachten Sie, dass Sie allerdings hier die Duale ISP Funktion aktiv setzen müssen Virtueller TA Verwendet ein lokaler Host CAPI-basierende Software wie RVS-COM oder BVRP und möchte ein FAX über die ISDN Leitung senden oder empfangen, so muss er auf den Vigor als einen lokalen TA zugreifen. Der integrierte virtuelle TA Server regelt den Auf- und Abbau der benötigten Verbindungen. Der auf dem Host installierter TA Client beinhaltet einen CAPIbasierenden Treiber, welcher den Nachrichtenaustausch zwischen der Anwendung und dem Vigor CAPI Modul verwaltet. Virtueller TA Server aktiv: Aktiviert den TA Server. inaktiv: Deaktiviert den Server und beendet alle TA Anwendungen. Besnutzername Geben Sie den Benutzernamen eines Clients an. Passwort Geben Sie das Passwort eines Clients an. MSN1/ MSN2/MSN3 Weisen Sie einem Client bis zu drei MSN Nummer zu. Wird der MSN Dienst von Ihrem Anbieter nicht unterstützt, können Sie die Felder auch frei lassen. Aktiv Erlauben Sie dem Client den Server zu erreichen Verbindungseinstellungen Bitte konfigurieren Sie zunächst Einwahl über einen ISP oder Einwahl über zwei ISPs, bevor Sie auf diese Seite fortfahren. 64 Wahlwiederholung Definieren Sie die Wahlversuche, die der Vigor unternehmen soll, wenn der Benutzer die Einwahl ins Internet vornimmt. Ab Werk ist kein Wert gesetzt. Wir empfehlen den Wert auf 5 zu setzen. Wiederholungsintervall Definieren Sie die Abstände zwischen den Wahlwiederholungen. Werk ist kein Wert gesetzt. Wir empfehlen den Wert auf 1 Sekunde zu setzen. Fernaktivierung Definieren Sie hier eine Telefonnummer, welche die Einwahl ins Internet via ISDN forcieren darf. Kommt beispielsweise ein Ruf von der gesetzten Nummer an, so wieder dieser sofort beendet und die ISDN Einwahl gestartet. Verbindung Geben Sie an, ob der Vigor die Einwahl mit einem oder zwei B Kanälen bzw. dynamisch (BOD) machen soll. Alternativ kann hier die ISDN Einwahl auch deaktiviert werden. PPP Authentifizierung Definieren Sie die PPP Authentifizierungsmethode für PPP/MP Verbindungen. Die höchste Kompatibilität erreichen Sie bei der

71 Wahl von PAP oder CHAP. TCP Header Komprimierung Wählen Sie, ob der TCP/IP Header komprimiert werden soll. max. Laufzeit Ist die Verbindung für die angegebene Zeitspanne unproduktiv, so wird diese getrennt. Standardwert ist 180. Ist der Wert 0, so ist ISDN permanent aktiv. Wurde DOD gewählt, wird die Verbindung nur bei Bedarf initiiert. Max. Rate für einen Kanal Diese Parameter gelten nur in Verbindung mit BOD und Toleranz bei (Bandwidth-on-Demand) und regeln, wann der Vigor den Überschreitung zweiten B Kanal (128kbit/s) hinzunehmen soll. Achten Sie darauf, dass die Angabe in char/s (characters pro Sekunde) erfolgt und die gesamte Auslastung der Leitung beinhaltet. Min. Rate für zwei Kanäle Diese Parameter regeln, wann der Vigor den zweiten B und Toleranz bei Kanal trennen soll und nur noch 64kbit/s verwendet. Unterschreitung Vigor2800-Serie Benutzerhandbuch 65

72 3.10 Wireless LAN Hinweis: Die WLAN Funktionen sind nur bei G-Modellen verfügbar. In den vergangenen Jahren ist der Markt der drahtlosen Kommunikation stark gewachsen. Die Vigor G-Modelle, auch bekannt als Vigor Wireless Router, gewähren ein hohes Grad an Mobilität und Interoperabilität mit WLAN Clients in Notebooks, PDAs oder Handys und verbinden diese mit dem kabelgebundenem LAN oder ins Internet. Die Vigor Wireless Router unterstützen den Standard G nach IEEE. Diese Technologie gewährleistet Geschwindigkeiten bis zu 108 Mbit/s*. Achtung: * Der tatsächliche Durchsatz ist abhängig von den Netzwerkeigenschaften und Umgebungsfaktoren. Hierzu zählen der Umfang des Netzwerverkehrs, die Auslastung des Funkkanals und der Nebenbänder, Ausrichtung der Antenne, Interferenzen sowie verwendete Baumaterialien des Gebäudes Grundlagen Im Infrastruktur Modus eines wireless Netzwerks spielt der Vigor die Rolle eines Access Points (AP), zu welchem sich mehrere WLAN Clients verbinden. All diese Clients teilen sich die Ressourcen des LANs mit den kabelgebundenen Netzwerkgeräten. Hierzu gehört natürlich auch der Anschluss an das Internet. Überblick zur Sicherheit Echtzeit Hardware Verschlüsselung: Der Vigor ist mit einer Hardware AES Engine ausgestattet. Hierdurch geht der Schutz Ihrer Daten nicht auf Kosten der Geschwindigkeit. AES wendet in Runden verschiedene Teile des Schlüssels nacheinander auf den KlartextBlock an, anstatt wie bei DES jeden Daten-Block einmal mit dem Schlüssel zu verschlüsseln. Die Anzahl dieser Runden variiert und ist von der Schlüssellänge und Blockgröße abhängig. Die Vigor2x00 Serien unterstützen AES mit der Blockgröße 128 bits. Damit wird (abhängig von der Schlüssellänge) die Anzahl der Runden auf 10, 12 oder 14 festgesetzt. Komplette Auswahl: Um die Sicherheit und Privatsphäre Ihrer wireless Kommunikation zu gewährleisten, bieten wir die auf dem Markt vorherrschenden Funktionalitäten an. WEP (Wired Equivalent Privacy) ist eine gebräuchliche Methode jedes übersendende Frame mit 64 oder 128 bit zu verschlüsseln. Für die Verschlüsselung können im Vigor bis zu vier Schlüssel hinterlegt werden, wobei immer nur einer für die Kommunikation mit allen Clients verwendet wird. WPA (Wi-Fi Protected Access) ist die gebräuchliste Sicherheitsmethode und wird in zwei Kategorien unterteilt: WPA/PSK und WPA/802.1x. WPA/PSK verwendet einen vordefinierten Schlüssel für die Verschlüsselung, den so genannten Pre-Share Key (PSK). Daher ist diese Art auch als WPA-Personal oder WPA Pre-Share Key bekannt. WPA wendet bei der Verschlüsselung das Temporal Key Integrity Protocol (TKIP) an. Bei WPA2 kommt AES zum Einsatz. WPA/802.1x ist auch als WPA-Enterprise bekannt und fügt der Verschlüsselung auch eine Authentifizierung der Daten zu. Diese Art wird von der Vigor2800 Serie nicht unterstützt. Die Vigor WLAN Router sind flexibel und unterstützen multiple sichere Verbindungen mit verschiedenen Arten der Verschlüsselung zur selben Zeit. LAN-WLAN Isolation: Sie können den WLAN Clients den Zugriff auf Ihr LAN untersagen. 66

73 Gründe hierfür könnten Restriktionen oder Quarantäne aber auch das Anbieten eines WLAN Hot Spots sein. Liste aller Client: Diese Liste zeigt alle WLAN Clients in Ihrem wireless Netzwerk sowie deren Verbindungsstatus und Verschlüsselungsart. Zugriffskontrolle: Definieren Sie selbst mittels MAC-Adresse welche WLAN Clients wie auf Ihr Netzwerk zugreifen dürfen. Vigor2800-Serie Benutzerhandbuch 67

74 Basiskonfiguration Hier können Sie unter anderem die SSID und den Funkkanal modifizieren. 68 aktiv Aktiviert die WLAN Funktionalitäten. Modus Wählen Sie den gewünschten wireless Modus: gemischt (11b+11g+SuperG) - Der Vigor kommuniziert gleichermaßen mit Clients, welche den Standard b oder g bzw. SuperG unterstützen. gemischt (11b+11g) - Der Vigor kommuniziert gleichermaßen mit Clients, welche den Standard b oder g unterstützen. nur 11g - Der Vigor akzeptiert nur WLAN Cients nach g. nur 11b - Der Vigor akzeptiert nur WLAN Cients nach b. nur SuperG - Der Vigor akzeptiert nur SuperG WLAN Cients. Index (1-15) Setzen Sie eine Zeitspanne, in der kein WLAN verfügbar sein soll. Sie können bis zu vier vordefinierte Timer der insgesamt 15 Timereinstellungen in Anwendungen >> Verbindungstimer wählen. Sind alle Felder frei, so ist WLAN immer aktiv. SSID und Kanal Der Standardwert der SSID ist "default". Wir raten Ihnen, diesen zu ändern. SSID Diese dient der Identifikation Ihres wireless Netzwerks und kann aus beliebigen Zeichen und Ziffern bestehen. Kanal Dieser beschreibt den verwendeten Frequenzbereich und sollte bei Interferenzen geändert werden. Interferenzen sind Überlagerungen von Wellen und entstehen durch Reflektionen oder wenn mehrere Sender einen Frequenzbereich verwenden. SSID verbergen Ist diese Option aktiv, wird die SSID zu einer Art Passwort, da WLAN Clients nur mit Kenntnis der SSID sich verbinden können. Long Preamble Diese Option berechnet die Länge des Sync-Feldes eines Pakets. Moderne Geräte verwenden die kurze Preamble mit einem

75 56 bit Sync-Feld anstatt des 128 bit langen, welches von älteren 11b Geräten verwendet wurde Verschlüsselung Diese Seite erlaubt Ihnen die Sicherheitseinstellungen zu setzen. Klicken Sie bitte nach der Konfiguration OK, um die Einstellungen zu übernehmen. Verschlüsselung inaktiv Deaktiviert die Verschlüsselung. Dies wäre allerdings als Sicherheitslücke zu betrachten. WEP Nur Clients mit WEP Verschlüsselung werden akzeptiert. Es muss ein WEP-Schlüssel definiert und aktiviert werden. WPA/PSK Nur Clients mit WPA Verschlüsselung werden akzeptiert. Es muss ein PSK zur Verschlüsselung definiert werden. WPA2/PSK Nur Clients mit WPA2 Verschlüsselung werden akzeptiert. Es muss ein PSK zur Verschlüsselung definiert werden. Mixed (WPA+ WPA2)/PSK Clients werden mit WPA und WPA2 Verschlüsselung akzeptiert. Es muss ein PSK definiert werden. WPA WPA verschlüsselt jedes Frame der wireless Übertragung entweder mit dem eingetragenem PSK (Pre-Shared Key) oder mit dem automatisch ausgehandeltem Schlüssel einer 802.1x Authentizität. Der PSK muss aus 8-63 ASCII Zeichen oder 64 hexadezimalen Ziffern beginnend mit ''0x'' bestehen. WEP für 64 bit WEP-Schlüssel Geben Sie exakt 5 ASCII Zeichen oder 10 hexadezimalen Ziffern beginnend mit ''0x'' an. für 128 bit WEP-Schlüssel Geben Sie exakt 13 ASCII Zeichen oder 26 hexadezimalen Ziffern beginnend mit ''0x'' an. Bei allen WLAN Geräten muss der WEP-Schlüssel und die Vigor2800-Serie Benutzerhandbuch 69

76 verwendete Bitlänge identisch sein. Es kann nie mehr als ein WEPSchlüssel zur selben Zeit gültig sein Zugriffskontrolle Eine zusätzliche Sicherheit für den Zugriff auf das wireless Netzwerk ist die Zugriffskontrolle, welche Ihnen erlaubt, den Zugang zum WLAN durch MAC-Adressen zu verwalten. Nur eingetragene WLAN Clients werden von dem Vigor akzeptiert. aktiv Aktiviert die Zugriffskontrolle. Verfahren Wählen Sie zwischen MAC-Adressen Filter aktivieren und WLAN vom LAN isolieren. Für die erste Option geben Sie folgend die MAC-Adressen ein, welchen der Zugriff gewährt wird. Die zweite Option isoliert alle WLAN Clients vom LAN. Client Mac-Adresse Tragen Sie die MAC-Adresse der WLAN Clients ein, welche Zugriff in das Netzwerk haben sollen. Station vom LAN isolieren Diese Option kann einer MAC-Adresse zugeordnet werden. Der WLAN Client ist damit nur berechtigt, sich über den Vigor ins WAN (Internet) zu verbinden. Eine Kommunikation mit anderen Garäten im LAN ist damit nicht möglich. 70 Hinzufügen Fügen Sie eine MAC-Adresse der Liste hinzu. Entfernen Entfernen Sie eine MAC-Adresse von der Liste. Bearbeiten Bearbeiten Sie eine MAC-Adresse aus der Liste. Abbrechen Brechen Sie die Konfiguration der Liste ab. OK Klicken Sie, um die Konfiguration zu speichern. Alles löschen Löscht die Liste mit allen MAC-Adressen.

77 WDS WDS (Wireless Distribution System) verbindet drahtlos zwei Access Points (AP) und findet Anwendung als: Erweiterung der WLAN Reichweite im Repeater Modus. wireless Verbindung zweier LANs im Bridge Modus. Der WDS-Repeater Modus wird folgend geschildert: Im Repeater Modus werden die von einem AP empfangenen Pakete zu einem anderen AP über einen WDS Link weitergeleitet. Der Bridge Modus dagegen leitet die von einem AP empfangenen Pakete in sein LAN weiter. Mit anderen Worten funktioniert nur im Repeater Modus eine WDS-zu-WDS Paketweiterleitung. Das folgende Bild zeigt den WDS-Bridge Modus. Hosts im LAN 1 oder 3 können mit den Hosts im LAN 2 über den WDS Link kommunizieren. LAN 1 ist aber nicht mit LAN 2 verbunden! Klicken Sie WDS im Wireless LAN Menü, um das WDS zu konfigurieren. Vigor2800-Serie Benutzerhandbuch 71

78 72 Modus Wählen Sie zwischen den Betriebsmodi inaktiv, Bridge und Repeater. Die Funktionen wurden eingangs erläutert. Sicherheit Wählen Sie zwischen inaktiv, WEP und Pre-shared key. Entsprechend werden die folgenden Funktionen aktiviert. WEP Es wird der gleiche WEP-Schlüssel verwendet, wie in Verschlüsselung angegeben wurde. Pre-shared Key Der PSK muss aus 8-63 ASCII Zeichen oder 64 hexadezimalen Ziffern beginnend mit ''0x'' bestehen. Bridge Haben Sie den Bridge Modus gewählt, so geben Sie bitte hier bis zu vier Peer MAC-Adressen an. Eine bessere Performanz erreichen Sie, wenn Sie nur die benötigten Adressen aktivieren. Repeater Haben Sie den Repeater Modus gewählt, so geben Sie bitte hier bis zu zwei Peer MAC-Adressen an. Aktivieren Sie danach die MAC-Adressen. Access Point Funktion Soll der Vigor zusätzlich als AP arbeiten, so aktivieren Sie diese Funktion.

79 Liste der Access Points Der Vigor kann alle regulären Kanäle nach anderen AP scannen allerdings nicht alle zur gleichen Zeit. Der Scan beschränkt sich immer auf den aktuell eingestellten Kanal. Aufgrund des Resultats können Sie einen Kanal wählen, welcher noch nicht oder wenig verwendet wird. Die Funktion kann außerdem genutzt werden, um APs für das WDS zu finden. Während dem Scanvorgang (etwa 5 Sekunden) darf sich keine Station mit dem Vigor verbinden. Suchen Klicken Sie auf den Button, um den Scan zu starten. Das Ergebnis wird in der Box angezeigt. AP-Statistik Die Statistik merkt sich die Scanergebnisse aller Kanäle und empfiehlt Ihnen auf dieser Basis einen Kanal für Ihre Verwendung. Hinzufügen Wenn Sie einen gefundenen AP in das WDS übernehmen wollen, so geben Sie die APs MAC-Adresse an und klicken Sie den Button. Vigor2800-Serie Benutzerhandbuch 73

80 Liste der Clients Diese Liste zeigt die verbundenen WLAN Clients und deren Status. 74 Aktualisieren Klicken Sie diesen Button zum Aktualisieren der Liste. Hinzufügen Klicken Sie diesen Button, um die gewählte MAC-Adresse des Clients in die Zugriffskontrolle zu exportieren.

81 3.11 Systemmanagement Mit den Unterpunkten in diesem Menü kann das System im Einzelnen konfiguriert werden Systemstatus Der Systemstatus zeigt die grundlegenden Netzwerkeinstellungen des Vigors. Modell Name Zeigt die Bezeichnung von Modell oder Serie des Vigors. Firmware Version Zeigt die aktuelle Firmware Version. Erstellungsdatum Zeigt das Datum und die Zeit als die Firmware erstellt wurde. MAC-Adresse Zeigt die MAC-Adresse der LAN Schnittstelle. 1te IP-Adresse Zeigt die IP-Adresse der LAN Schnittstelle. 1te Subnetz Maske Zeigt die Subnetz Maske der LAN Schnittstelle. DHCP Server Zeigt, ob der DHCP Server der LAN Schnittstelle aktiv/inaktiv ist. Link Status Zeigt den Verbindungsstatus der WAN Schnittstelle. MAC-Adresse Zeigt die MAC-Adresse der WAN Schnittstelle. Verbindung Zeigt die Verbindungsart (PPPoE, PPPoA,...). IP-Adresse Zeigt die IP-Adresse der WAN Schnittstelle. Standard Gateway Zeigt die zugewiesene IP-Adresse des Standard Gateways. DNS Zeigt die zugewiesene IP-Adresse des primären DNS. MAC-Adresse Zeigt die MAC-Adresse der WLAN Schnittstelle Frequenzbereich Zeigt den verfügbaren Frequenzbereich, welcher abhängig vom jeweiligen Land ist. In Europa werden 13 Kanäle verwendet, in den USA nur 11. Firmware Version Zeigt die information über den implementierten WLAN Treiber. Des Weiteren werden allgemeine Informationen über den VoIP Status angezeigt. Vigor2800-Serie Benutzerhandbuch 75

82 Administrator Passwort Diese Seite erlaubt die Modifikation des Zugangspasswort. Altes Passwort Geben Sie das alte Passwort ein. Kein Standardwert gesetzt. Neues Passwort Geben Sie das neue Passwort ein. Neues Passwort wiederholen Wiederholen Sie das neue Passwort. Klicken Sie auf OK, um die Konfiguration zu speichern. Anschließend wird das Login Fenster erscheinen und nach der Eingabe eines Passwortes fragen. Geben Sie das neue Passwort an Konfiguration sichern Wiederherstellen 1.Navigieren Sie zu Systemmanagement >> Konfiguration sichern. 2.Klicken Sie auf Durchsuchen, um den Pfad eines gespeicherten BackUp zu wählen. 3.Klicken Sie auf Wiederherstellen, um die BackUp-Datei in den Vigor zu laden. Sie werden über den Erfolg informiert. Datensicherung 1.Navigieren Sie zu Systemmanagement >> Konfiguration sichern. 2.Klicken Sie auf Datensicherung und im folgenden Dialogfenster auf Speichern. 3.Es öffnet sich wieder ein Fenster, in welchem Sie den Ort und Namen der BackUp-Datei bestimmen können. Der Standardname für das BackUp ist config.cfg. 4.Klicken Sie den Speichern Button, um die Konfiguration auf Ihrem Computer zu sichern. 76

83 SysLog und Alarm Die SysLog Funktion hilft die einzelnen Prozesse im Vigor anzuzeigen und dient dem Debuggen. aktiv Zum Aktivieren der jeweiligen Funktion. Server IP-Adresse Definieren Sie die IP-Adresse des SysLog Servers. Ziel-Port Weisen Sie einen Port zu. Der Standardwert ist 514. Aktiviere SysLog Meldungen Definieren Sie die benötigten Informationen. SMTP-Server Definieren Sie die IP-Adresse des SMTP Servers. an Vergeben Sie die Adresse zum Senden von Mails Absendeadresse (Reply) Weisen Sie einen Pfad zum Empfangen von Mails zu. Authentifizierung Vergeben Sie Benutzername und Passwort. Klicken Sie auf OK, um die Konfiguration zu speichern. Um das SysLog auslesen zu können, befolgen Sie bitte folgende Schritte (Windows-Beispiel): 1.Setzen Sie die IP-Adresse Ihres Computers in das Feld Server IP-Adresse. 2.Installiere Sie die Router Tools. Diese finden Sie zum Einen auf der beiliegenden CD oder aber auf unserer Homepage Nach der Installation navigieren Sie vom Programme Menü aus zu Router Tools >> Syslog. 3.Im SysLog Fenster wählen Sie bitte zunächst den Vigor, welche Sie untersuchen möchten. Beachten Sie, dass unter dem Reiter Network Information die korrekte Netzwerkkarte Ihres Computers angegeben ist. Vigor2800-Serie Benutzerhandbuch 77