TAINY HMOD-V2-IO - Dr. Neuhaus Telekommunikation
Contents
1. Der Netzwerkadapter des Rechners Admin PC mit dem Sie die Konfiguration vornehmen muss folgende TCP IP Konfiguration haben IP Adresse 192 168 1 2 Subnetzmaske 255 255 255 0 Statt der IP Adresse 192 168 1 2 k nnen Sie auch andere IP Adressen aus dem Bereich 192 168 1 x verwenden aber nicht 192 168 1 1 192 168 1 0 und 192 168 1 255 Wenn Sie mit dem Admin PC ber das TAINY xMOD auch auf das externe Netz zugreifen m chten sind zus tzlich folgende Einstellungen erforderlich Standardgateway 192 168 1 1 Bevorzugter DNS Server Adresse des Domain Name Servers 3 2 Erlaubte Zeichen bei Benutzernamen Passw rtern und weiteren Eingaben Benutzernamen Passw rter und PIN Hostnamen und APN Bei Eingaben von Benutzernamen Passw rtern Hostnamen APN und PIN sind folgende darstellbare ASCII Zeichen erlaubt amp 0123456789 lt gt ABCDEFGHIJKL MNOPQRSTUVWXYZI _ abedefghljkImnopgrstu vwxyz l 0123456789 ABCDEFGHIJKLMNOPQRSTUVWXYZA bedefghljkImnopqrstuvwxyz TAINY xMOD Seite 23 von 113 Konfiguration 3 3 TCP IP Konfiguration des Netzwerkadapters unter Windows XP Windows Verbinden mit Klicken Sie Start Verbinden mit Alle Verbindungen anzeigen Klicken Sie dann auf LAN Verbindung W hlen sie im Dialogfeld Eigenschaften von LAN Verbindung die Registerkarte Allgemein und markieren Sie dort den Eintrag Internetprotokoll TCP IP ffnen Sie E2. TAINY xMOD Seite 5 von 113 Ein Wort von unserem Technischen Kundendienst Wir die Techniker des Kundendienstes der Dr Neuhaus Telekommunikation GmbH begr en Sie recht herzlich Sollten Sie bei der Inbetriebnahme Ihres neuen Ger ts Schwierigkeiten haben sind wir Ihre Ansprechpartner und wir helfen Ihnen gern Auch bei speziellen und ungew hnlichen Konstellationen in Hardware und Software werden Sie bei uns immer ein offenes Ohr finden wenn einmal nicht alles sofort klappen will Der gute Ruf unserer Produkte beruht auch darauf dass unseren Kunden stets ein Team kundiger Fachleute zur Verf gung steht das sich auch auf ungew hnliche Konstellationen einl sst Sie erreichen uns unter Kundendienst neuhaus de Umweltschutz ist auch unser Thema Der Erhalt einer lebenswerten Umwelt d h die sinnvolle Verkn pfung von kologie und konomie ist eine der wichtigsten Aufgaben unserer Zeit Wir begegnen dieser Herausforderung durch Qualit t Bedarfsorientierte Entwicklung und Produktion eingebettet in modernste Qualit tssicherungsmechanismen sorgen f r Erzeugnisse h chster Qualit t und langer Nutzbarkeit R cknahmegarantie Wir sind stolz auf unsere Produkte Doch geben wir gern zu dass diese nicht ewig leben Darum stellen wir soweit technisch schon m glich und sinnvoll alle unsere Produkte aus wieder verwendbaren Materialien her Wir garantieren dass wir jedes von uns gefertigte Ger t zur cknehmen die wi
3. 4044440s4440unnnnnnnnnnennnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnen 64 ZA VPN Zertifikate laden 02224244444000nnnnnnnnnnnnnanannnnnnnnnnnnnannnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnn 71 Zb Firewall Regeln f r YVPN TunDelie aari a E A E Ee 72 7 6 berwachung der VPN Verbindungen 73 7 7 Erweiterte Einstellungen bei VPN Verbindungen ssssssssssssssrrssssrrsssrrrssrirrssrrnnnsrennnsrnnnssnnn 75 7 8 Status der VDN Verbindungen 76 8 SaPA EN R ee Eeer 77 8 1 Fernzugang HTTERS 4 223222222 Bar Bear einen 77 ENN Ee Ee Ee EE 78 8 3 Fernzugang ber W blverbundumg nenn nenn nennen 80 9 Logbuch Update und Diagnose nunsrnsnnsnnnnnnnennnnnnnnnnnnnennnnnnnnnnnnnnnennnnnennnnnnnnnnnnnnnnnnsnnennnsnnnnnnnnnnnennsnnennnnnnnnnn 82 9 1 AnzeigeikogBuch un en nl 82 92 Remote IKola 0 110 EE 83 GC NET Le Harte REIHE REITS RE ER RE eine 84 9 4 Hardware Informationen Arien 85 9 5 Software Informationen sssssesssessessssnsseessesstessttnsttesttestnntttnntnntttnttnnntnnnttnnenn netune nunsen nenn nnn 85 9 6 G tter Upda E a a a aa a aA 86 T0 SMS E BE 87 10 1 Service EE EEN 87 10 27 EE EE 87 10 3 SMS Versand aus dem lokalem Netzwerk 2 2400snnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnennnnnnnn 88 RK 91 111 Bedienung per SNMP piesi iniata a Be 91 11 2 Alarmmeldungen per NM Trape nentet 93 12 Kleines Router Lexikon nnennsssssnnnennnnnnnennnnnnnnnnnnnennnnnnnnnnnnnnnnnn
4. Gehen Sie bei der Inbetriebnahme des TAINY xMOD bitte in folgenden Schritten vor Schritt Kapitel 1 Machen Sie sich bitte zun chst mit den Voraussetzungen f r den 2 2 Betrieb des TAINY xMOD vertraut 2 Lesen Sie bitte sehr sorgf ltig die Sicherheitshinweise und weitere Hinweise am Beginn dieses Anwenderhandbuches und befolgen Sie diese bitte unbedingt 3 Machen Sie sich bitte vertraut mit den Bedienelementen Anschl ssen 2 3 bis 2 6 und Betriebsanzeigen des TAINY xMOD 4 Schlie en Sie einen PC mit Web Browser Admin PC an die lokale 3 3 3 4 Schnittstelle 10 100 BASE T des TAINY xMOD an 5 Tragen Sie ber die Web Oberfl che des TAINY xMOD die PIN 5 1 Pers nliche Identifikations Nummer der SIM Karte ein 6 Trennen Sie das TAINY xMOD wieder von der Versorgungsspannung 2 6 7 Legen Sie die SIM Karte in das Ger t ein 2 7 8 Schlie en Sie die Antenne an 2 6 9 Verbinden Sie das TAINY xMOD mit der Versorgungsspannung 2 6 10 Richten Sie das TAINY xMOD nach Ihren Anforderungen ein 3 bis 11 11 Schlie en Sie Ihre lokale Applikation an 2 6 Seite 14 von 113 TAINY xMOD Inbetriebnahme 2 2 Voraussetzungen f r den Betrieb Um das TAINY xMOD betreiben zu k nnen m ssen die folgenden Informationen vorliegen und die folgenden Voraussetzungen erf llt sein Antenne Spannungsversorgung SIM Karte PIN HSDPA UMTS EGPRS GPRS Freischaltung CSD 9600 bit s Freischaltung Eine Antenne angepa
5. System gt Systemzeit Systemzeit setzen NTP Synchronisation aktivieren berblick v System Systemzeit Logbuch System Systemzeit NTP Aktuelle Systemzeit 2011 09 01 12 44 Ger te identifikation Systemzeit setzen gt Netzwerk Intern Jahr Monat Tag gt Netzwerk Extern gt Sicherheit IPSec VPN gt Zugang sms Stunde Minute 2011 Sep M 1 e 12 44 Setzen Lokale Zeitzone Region Hamburg Bud gt SUMP Wartung HTP Synchronisation aktivieren Ja NTP Server zur Synchronisation Polling Intervall Neu 192 53 103 108 11h L schen Systemzeit dem lokalen Hetz bereitstellen Ja M Speichen Zur cksetzen An dieser Stelle setzen Sie die Systemzeit f r das TAINY xMOD Diese Systemzeit wird als Zeitstempel f r alle Logbuch Eintr ge benutzt und dient als Zeitbasis f r alle zeitgesteuerten Funktionen W hlen Sie Jahr Monat und Tag sowie Stunde und Minute Das TAINY xMOD kann die Systemzeit auch ber NTP Network Time Protokoll von einem Zeitserver beziehen Im Internet gibt es eine Reihe von Zeitservern von denen die aktuelle Uhrzeit sehr pr zise mittels NTP bezogen werden kann Seite 38 von 113 TAINY xMOD Lokale Zeitzone Region NTP Server Polling Intervall Systemzeit dem lokalen Netz bereitstellen Werkseinstellung Lokale Schnittstelle Die NTP Zeitserver bermitteln die UTC Universal Time Coordinated d h die koordinierte Welt
6. berblick gt System gt Netzwerk Intern Zugang HTTPS gt Netzwerk Extern HTTPS Fernzugang aktivieren jn m gt Sicherheit gt IPSec VE s v Zugang Port f r HTTPS Fernzugang 443 Passwort HTTPS Firewallregeln Von IP Extern Aktion Log Neu 0 0 0 050 SSH CSD Einwahl gt SMS gt SMP gt Wartung Erlauben v Nein M L schen Speichen Zur cksetzen Der HTTPS Fernzugang HyperText Transfer Protocol Secure erm glicht ber HSDPA UMTS EGPRS oder GPRS einen gesicherten Zugriff aus einem externen Netz auf die Web Oberfl che des TAINY xMOD Die Konfiguration des TAINY xMOD ber den HTTPS Fernzugang erfolgt dann genauso wie die Konfiguration per Web Browser ber die lokale Schnittstelle Ja Der Zugriff auf die Web Oberfl che des TAINY xMOD per HTTPS aus dem externen Netz ist gestattet Nein Der Zugriff per HTTPS ist nicht gestattet Standard 443 Werkseinstellung Sie k nnen hier einen alternative Port festlegen Wenn Sie den alternativen Port nutzen wollen dann muss die externe Gegenstelle die den Fernzugriff aus bt bei der Adressenangabe vor der IP Adresse die Nummer des alternativen Ports angeben Beispiel Ist dieses TAINY xMOD ber die Adresse 192 144 112 5 ber das Internet zu erreichen und ist f r den Fernzugang die Port Nummer 442 festgelegt dann muss bei der externen Gegenstelle im Web Browser angegeben werden https 192 144 112 5 442 Hinweis Der Standard Port
7. E GPRS Nutzdaten Verbindung Hinweis HSDPA und UMTS werden nur vom TAINY HMOD unterst tzt Dieses TAINY an einem W hlen Sie Ja wenn Sie einen DynDNS Dienst verwenden wollen DynDNS Server anmelden DynDNS Anbieter Das TAINY xMOD ist kompatibel zu dyndns org DynDNS Benutzername Geben Sie hier den Benutzernamen und das Passwort ein das Sie zur Passwort Nutzung des DynDNS Service berechtigt Ihr DynDNS Anbieter teilt Ihnen diese Angaben mit Geben Sie hier den Hostnamen ein den Sie f r das TAINY xMOD mit Ihrem DynDNS Anbieter vereinbart haben z B myTAINY dyndns org DynDNS Hostname Werkseinstellung Das TAINY an einem DynDNS Server anmelden DynDNS Benutzername DynDNS Passwort DynDNS Hostname Werkseitig hat TAINY xMOD folgende Einstellungen Nein Ausgeschaltet guest guest myname dyndns org 5 4 Secure DynDNS berblick System gt Netzwerk Intern e Netzwerk Extern UMTSEDGE Installations odus Netzwerk Extern gt Netzwerk Extern Secure DynDNS Erweiterte Einstellungen gt Secure DynDNS Secure DynDNS verwenden Ja e Intervall zur Aktualisierung Volumen berwachung Erweiterte Einstellungen Secure DynDNS Anmeldungen Zieladresse 0 0 0 0 Gruppe Benutzername Passwort Neu Pr fen der S Verbindung L schen DynDNS Secure DynDNS NAT gt Sicherheit gt IPSec VPH gt Zugang sms gt sump gt Wartung group user Speichem Zur cksetzen F
8. Einstellungen gt Sicherheit gt IPSec VPH gt Zugang sms ap gt Wartung Maximales Datenvolumen in Byte pro Monat 1000000 Warn SMS bei Volumen berschreitung 80 Aktivieren Rufnummer Text Nein Warning Max_Data_Volume_re Alarm SMS bei Volumen berschreitung 100 Aktivieren Rufnummer Text Nein M AertMax Data Volume Bea Speichern Zur cksetzen Die ermittelten Monatsvolumen k nnen von der Rechnung des Mobilfunkbetreibers abweichen aufgrund von Blockrundung und anderen Verrechnungszeitr umen berschreitet die Menge der vom TAINY xMOD gesendeten und empfangenen Daten das mit dem Mobilfunkbetreiber vereinbarte Datenvolumen kann dies zu erheblichen Mehrkosten f hren Daher kann es n tzlich sein wenn das TAINY xMOD das genutzte Datenvolumen st ndig berwacht und bei drohender berschreitung eines einstellbaren Grenzwertes eine Warnung versendet W hlen Sie Ja um die Volumen berwachung einzuschalten W hlen Sie Nein um die Volumen berwachung auszuschalten Zeigt die Anzahl der gesendeten und empfangenen Bytes seit Monatsbeginn an Hinweis Setzen Sie manuell die Systemzeit des TAINY xMOD oder aktivieren Sie die NTP Synchronisation siehe Kapitel 4 5 Bet tigen Sie die Schaltfl che wenn Sie den Z hler f r die gesendeten und empfangenen Bytes auf 0 zur cksetzen wollen Zum Monatswechsel geschieht dies automatisch Tragen Sie hier den Grenzwert f r das monatliche Dat
9. Nov 20 11 55 00 dnt3173 user warn kernel FIREWALL IN ethO OUT pppO SRC 192 168 1 Nov 20 11 55 00 dnt3173 user warn kernel FIREWALL IN eth OUT pppO SRC 192 168 1 Nov 20 11 55 00 dnt3173 user warn kernel FIREWALL IN ethO OUT pppO SRC 192 168 1 Nov 20 11 55 05 dnt3173 user warn kernel FIREWALL IN eth0 OUT ppp SRC 192 168 1 Nov 20 11 55 05 dnt3173 user warn kernel FIREWALL IN ethO OUT pppO SRC 192 168 1 Nov 20 11 55 05 dnt3173 user warn kernel FIREWALL IN eth0 OUT pppO SRC 192 168 1 Nov 20 11 55 05 dnt3173 user warn kernel FIREWALL IN ethO OUT pppO SRC 192 168 1 Nov 20 11 55 05 dnt3173 user warn kernel FIREWALL IN ethO OUT pppO SRC 192 168 1 Nov 20 11 57 52 dnt3173 user warn kernel FIREWALL IN ethO OUT ppp SRC 192 168 1 Nov 20 11 57 52 dnt3173 user warn kernel FIREWALL IN eth0 OUT pppO SRC 192 168 1 Nov 20 11 57 55 dnt3173 user warn kernel FIREWALL IN ethO OUT pppO SRC 192 168 1 Nov 20 11 58 01 dnt3173 user warm kernel FIREWALL IN ethO OUT ppp SRC 192 168 1 Nov 20 12 06 45 dnt3173 user warn kernel FIREWALL IN ethO OUT pppO SRC 192 168 1 Nov 20 12 06 46 dnt3173 user warn kernel FIREWALL IN eth 0 OUT pppO SRC 192 168 1 Nov 20 12 06 47 dnt3173 user warn kernel FIREWALL IN eth OUT pppO SRC 192 168 1 Nov 20 12 12 52 dnt3173 user warn kernel FIREWALL IN ethO OUT ppp SRC 192 168 1 Nov 20 12 12 52 dnt3173 user warn kernel FIREWALL IN ethO OUT ppp SRC 192 168 1 Nov 20 12 12 55 dnt3173 user warm kernel
10. Erweitert Firewall Logbuch IPSec VPN gt Zugang sMs Speichern Zur cksetzen gt SNMP Wartung Ist eine Regel zur Port Weiterleitung erstellt dann werden Datenpakete die aus dem externen Netz auf einem festgelegten IP Port des TAINY xMOD eintreffen weitergeleitet Die eingehenden Datenpakete werden dann weitergeleitet an eine festgelegte IP Adresse und Port Nummer im lokalen Netz Die Port Weiterleitung kann f r TCP oder UDP konfiguriert werden Bei Port Weiterleitung geschieht Folgendes Der Header eingehender Datenpakete aus dem externen Netz die an die externe IP Adresse des TAINY xMOD sowie an einen bestimmten Port gerichtet sind werden so umgeschrieben dass sie ins interne Netz an einen bestimmten Rechner und zu einem bestimmten Port dieses Rechners weitergeleitet werden D h die IP Adresse und Port Nummer im Header eingehender Datenpakete werden ge ndert Dieses Verfahren wird auch Destination NAT oder Port Forwarding genannt Hinweis Damit ankommende Datenpakete an die festgelegte IP Adresse im lokalen Netz weitergeleitet werden k nnen muss f r diese IP Adresse eine entsprechende eingehende Firewall Regel im Paketfilter eingerichtet werden Siehe Kapitel 6 1 Neu F gt eine neue Weiterleitungs Regel hinzu die Sie dann ausf llen k nnen L schen Entfernt angelegte Weiterleitungs Regeln wieder Protokoll Geben Sie hier das Protokoll TCP oder UDP an auf das sich die Regel beziehen
11. FIREWALL IN ethO OUT pppQ SRC 192 168 1 Nov 20 12 13 01 dnt3173 user warn kernel FIREWALL IN eth0 OUT pppO SRC 192 168 1 8 1 8 1 8 1 Nov 20 12 15 19 dnt3173 user warn kernel FIREWALL IN eth 0 OUT pppO SRC 192 16 Nov 20 12 15 19 dnt3173 user warn kernel FIREWALL IN eth0 OUT pppO SRC 192 16 Nov 20 12 15 19 dnt3173 user warn kernel FIREWALL IN eth OUT ppp SRC 192 16 BRRRBRRBRRRRBRRRRARRRRRRRRReRn 9990999999909 0999O909909909009009 annannnnnnnnnanannannanannnnnnn Im Firewall Logbuch wird eingetragen wann einzelne Firewall Regeln angewendet wurden Dazu muss zu den verschiedenen Firewall Funktionen die LOG Funktion aktiviert werden Achtung Das Firewall Logbuch geht bei einem Neustart verloren TAINY xMOD Seite 57 von 113 VP Verbindungen 7 VPN Verbindungen NUR TAINY HMOD V2 IO NUR TAINY EMOD V2 IO 7 1 Einleitung Hinweis zum Funktionsumfang Der Men punkt IPsec VPN findet sich nur beim TAINY HMOD V2 IO und TAINY EMOD V2 IO Nur das TAINY HMOD V2 IO und TAINY EMOD V2 IO unterst tzen IPsec VPN Verbindungen IPsec VPN gt Verbindungen NUR TAINY HMOD V2 IO NUR TAINY EMOD V2 IO Funktion berblick IPSec VPN Verbindungen System EE VPN Roadwartior Modus gt Netzwerk Extern gt Sicherheit Aktiviert Hame Einstellungen IKE v IPSec VPN Nein M Roadwarrior Bearbeiten Bearbeiten Verbindungen berwachung VPN Standard Modus Erweitert Aktiviert Hame Einstellungen
12. IP Verbindung ber EGPRS oder GPRS CSD Verbindung Service Verbindung ber CSD Bei TAINY EMOD EDGE Verbindung IP Verbindung ber EGPRS GPRS Vebindung IP Verbindung ber GPRS CSD Verbindung Service Verbindung ber CSD Hinweis Es kann vorkommen dass eine Funkverbindung und auch eine zugewiesene IP Adresse angezeigt werden die Verbindungsqualit t aber dennoch nicht ausreicht um Daten zu bertragen Aus diesem Grunde empfehlen wir die aktive Verbindungs berwachung siehe Kapitel 5 2 zu nutzen Seite 28 von 113 TAINY xMOD Signal CSQ Level Verwendeter APN IMSI NTP Synchronisation DynDNS Remote HTTPS Remote SSH CSD Einwahl SNMP SNMP Trap Volumen berwachung Konfiguration Gibt die St rke des GSM Signals als CSQ Wert und in Klammern als RSSI Wert in dBm an CSQ lt 6 Signalst rke schlecht CSQ 6 10 Signalst rke mittel CSQ 11 18 Signalst rke gut CSQ gt 18 Signalst rke sehr gut CSQ 99 Keine Verbindung zum Funknetz Zeigt den verwendeten APN Access Point Name des Datenfunkdienstes an Zeigt die Teilnehmerkennung an die auf der verwendeten SIM Karte gespeichert ist Anhand der IMSI International Mobile Subscriber Identity erkennt der GSM Netzbetreiber die Berechtigungen und vereinbarten Dienste der SIM Karte Zeigt an ob die NTP Synchronisation aktiviert ist NTP Synchronisation aktiviert X NTP
13. Netzwerk Extern gt Sicherheit gt IPSec VPN gt Zugang Zur cksetzen auf Werkseinstellungen Zur cksetzen gt ap e Wartung Update Konfigurations Profile Neustart Remote Logging SW Info HW Info Snapshot Werkseinstellung Das Bet tigen der Schaltfl che Zur cksetzen l dt die werkseitigen Einstellungen setzt die Passw rter zur ck und l scht die gespeicherten Konfigurations Profile und die archivierten Logb cher Das TAINY HMOD V2 IO und das TAINY EMOD V2 IO l schen zus tzlich die gepeicherten Zertifikate Das Zur cksetzen auf Werkseinstellungen kann auch ber den Service Taster ausgel st werden siehe Kapitel 2 4 TAINY xMOD Seite 33 von 113 Konfiguration Standard Konfiguration Wenn nur die werkseitigen Einstellungen geladen werden sollen ohne dass die Konfigurations Profile und die archivierten Logb cher gel scht werden aktivieren Sie nur die Standard Konfiguration wie in Kapitel 3 7 beschrieben F r das TAINY HMOD V2 IO und das TAINY EMOD V2 IO gilt dieser Vorgang auch f r die Zertifikate 3 11 Ger teidentifikation System Ger teidentifikation Ger teidentifikation Zeile 1 4 Zeichensatz SNMP berblick v System Systemzeit System Ger teidentifikation Logbuch Ger teidentifikation Zeile 1 VE en Ger teidentifikation Zeile 2 Ren ken Ger teidentifikation Zeile 3 gt Iletzwerk Extern Pier Ger teidentifikation Zeile 4 gt SMS Speichern Zur
14. RFC 1918 folgen Lokale Lokale Lokale Applikation Applikation Applikation TAINY Lokale IP und Admin PC Netzmaske Sie k nnen weitere Adressen festlegen unter denen das TAINY xMOD von lokalen Applikationen erreicht werden kann Dies ist dann hilfreich wenn z B das lokale Netz in Subnetze unterteilt wird Dann k nnen mehrere lokale Applikationen aus verschiedenen Subnetzen das TAINY xMOD unter unterschiedlichen Adressen erreichen F gt weitere IP Adressen und Netzmasken hinzu die Sie wiederum ndern k nnen Neu L schen Entfernt die jeweilige IP Adresse und Netzmaske Der erste Eintrag kann nicht gel scht werden 4 2 DHCP Server zum lokalen Netz Netzwerk Intern gt Grundeinstellungen gt DHCP berblick Netzwerk Intern DHCP System e letzwerk Intern e Grundeinstellungen Lokale IPs DHCP Server starten Ja M Lokale Netzmaske 255 255 255 0 p Erweiterte Default Gateway 192 168 1 1 Einstellungen gt Netzwerk Extern gt Sicherheit gt IPSec VPN gt Zugang SMS SNMP gt Wartung DHS Server 192 168 1 1 Dynamischen IP Adresspool aktivieren Ja x DHCP Bereichsanfang 192 168 1 100 DHCP Bereichsende 192 168 1 199 Statische Zuordnungen MAC Adresse des Clients 00 00 00 00 00 00 IP Adresse des Clients Neu 0 0 0 0 L schen Speichem Zur cksetzen TAINY xMOD Seite 35 von 113 Lokale Schnittstelle DHCP Funktion DHCP Server starten Lokale Netzwerkmaske D
15. TAINY xMOD Seite 43 von 113 Externe Schnittstelle Werkseinstellung Nur TAINY HMOD V2 IO Modus der Providerauswahl Manuell Modus der Providerauswahl Automatisch Werkseitig hat das TAINY xMOD folgende Einstellungen Netzauswahl Modus der Providerauswahl Roaming PIN Benutzername Passwort APN 1 Provider Net ID Benutzername Passwort APN 2 Provider Net ID Benutzername Passwort APN 3 Provider Net ID Benutzername Passwort APN 4 Provider Net ID Benutzername Passwort APN n Provider Net ID Benutzername Passwort APN Methode der Provider Authentifizierung UMTS oder GSM Automatisch Nein NONE guest guest NONE T Mobile 26201 guest guest internet t mobile Vodafone 26202 guest guest web vodafone de Eplus 26203 guest guest internet eplus de 02 26207 guest guest internet NONE NONE guest guest NONE Auto Seite 44 von 113 TAINY xMOD Externe Schnittstelle 5 2 berwachung der Datenfunkdienst Verbindung Netzwerk Extern gt Erweiterte Einstellungen gt Pr fen der Verbindung Funktion Pr fen der Verbindung Zielhosts Hostname Intervall f r Verbindungspr fung Minuten berblick Netzwerk Extern Pr fen der Verbindung gt System gt Netzwerk Intern e Hetzwerk Extern Pr fen der Verbindung Ja Is UMTS EDGE Installations Ziel Hosts modus E Hostname SE www google de Einstellungen www neuhaus de Pr fen
16. UMTS mit den Diensten UMTS data und HSDPA GSM mit den Diensten EGPRS GPRS und CSD Bei der Einstellung UMTS oder GSM w hlt das TAINY HMOD nach Verf gbarkeit vorrangig ein UMTS Netz aus Falls nicht erreichbar wird ein GSM Netz verwendet Bei der Einstellung Nur UMTS w hlt das TAINY HMOD in jedem Fall ein UMTS Netz aus Bei der Einstellung Nur GSM w hlt das TAINY HMOD in jedem Fall ein GSM Netz aus TAINY xMOD Seite 41 von 113 Roaming erlauben Modus der Providerauswahl Manuell Modus der Providerauswahl Automatisch PIN Roaming erlauben Nein W hlen Sie Nein wenn sich das TAINY xMOD ausschliesslich in das Heimatnetz d h in das Mobilfunknetz einbuchen soll dessen SIM Karte eingelegt ist W hlen Sie Ja wenn sich das TAINY xMOD auch in die Partnernetze des Heimatnetzes einbuchen darf sollte das Heimatnetz nicht oder schlechter erreichbar sein Warnung Bucht sich das TAINY xMOD in ein Partnernetz ein Roaming kann dies zu erheblichen Mehrkosten f hren berblick Netzwerk Extern UMTS EDGE gt System gt Netzwerk Intern e Netzwerk Extern Pm s ndern UMTS EDGE Installations Netzauswahl UMTS oder GSM e modus Volumen Roaming erlauben Nein ze berwachung gt Erweiterte Modus der Providerauswahl Manuell 4 Einstellungen gt Sicherheit Methode der Provider Authentifizierung Auto 7 gt IPSec VPN gt Zugang SMS Benutzername guest gt ste er E
17. Wenn Sie die Option Benutzer definiert gew hlt haben dann geben Sie bitte die IP Adresse des ausgew hlten DNS als Server IP Adresse ein Mit Neu k nnen Sie weitere DNS hinzuf gen Werkseitig hat das TAINY xMOD folgende Einstellungen Benutzter Nameserver Provider definiert TAINY xMOD Seite 37 von 113 Lokale Schnittstelle Benutzer definierte Nameserver bei neuem Eintrag 0 0 0 0 4 4 Lokaler Hostname Netzwerk Intern gt Grundeinstellungen gt DNS Werkseinstellung NUR TAINY HMOD NUR TAINY EMOD Das TAINY xMOD kann aus dem lokalen Netz auch ber einen Hostnamen adressiert werden Legen Sie dazu einen Hostnamen fest z B myTAINY Das TAINY xMOD kann dann zum Beispiel von einem Web Browser als myTAINY aufgerufen werden Hinweis Das Sicherheitskonzept des TAINY xMOD macht es erforderlich dass f r jede lokale Applikation die diese Hostname Funktion nutzen soll eine ausgehende Firewall Regel erstellt wird Siehe Kapitel 6 1 Wenn Sie kein DHCP siehe Kapitel 4 2 verwenden m ssen im TAINY xMOD und in den lokalen Applikationen manuell identische Suchpfade eingetragen werden Wenn Sie DHCP verwenden erhalten die lokale Applikationen den im TAINY xMOD eingetragenen Suchpfad per DHCP Werkseitig hat das TAINY HMOD folgende Einstellungen Suchpfad example local Hostname tainy Werkseitig hat das TAINY EMOD folgende Einstellungen Suchpfad example local Hostname tainy 4 5 Systemzeit NTP
18. Zertifikate berwachung ISAKMP SA Modus Main Mode v Ba LEE ISAKMP SA Lebensdauer Sekunden 86400 Status gt Zugang SMS Phase 2 IPSec SA gt awe 5 weis IPSec SA Verschl sselung AES 128 M IPSec SA Hash MD5 v IPSec SA Lebensdauer Sekunden 86400 NAT T An v Aktiviere Dead Peer Detection Ja Je DPD Verz gerung Sekunden 150 DPD Timeout Sekunden 60 DPD Maximale Fehlversuche 5 Speichem Zur ck Definieren Sie hier die Eigenschaften der VPN Verbindung entsprechend Ihren Anforderungen und den Absprachen mit dem Administrator der Gegenstelle Vereinbaren Sie mit dem Administrator der Gegenstelle welches Verschl sselungsverfahren verwendet werden soll f r die ISAKMP SA und die IPSec SA Das TAINY xMOD V2 IO unterst tzt die folgenden Verfahren 3DES 192 AES 128 AES 192 AES 256 AES 128 ist das am h ufigsten benutzte Verfahren und ist deshalb als Standard voreingestellt Das Verfahren kann f r ISAKMP SA und IPSec SA unterschiedlich festgelegt werden Hinweis Je mehr Bits ein Verschl sselungsalgorithmus hat angegeben durch die angef gte Zahl desto sicherer ist er Das Verfahren AES 256 Verfahren gilt daher als am sichersten Allerdings ist der Verschl sselungsvorgang umso zeitaufwendiger und ben tigt mehr Rechenleistung je l nger der Schl ssel ist Vereinbaren Sie mit dem Administrator der Gegenstelle welches Verfahren zur Berechnung von Pr fsummen Hash w hre
19. bertragung werden die bertragenen System Logb cher im TAINY xMOD gel scht Schl gt die bertragung fehl versucht das TAINY xMOD nach 24 Stunden erneut die Daten zu bertragen Hinweis Nach fehlgeschlagenem FTP Upload werden die Logfiles unter Wartung gt Remote Logging abgelegt TAINY xMOD Seite 83 von 113 Logbuch Update und Diagnose Remote Logging FTP Upload verwenden Uhrzeit FTP Server Benutzername Passwort Werkseinstellung Mit Ja wird die Funktion eingeschaltet Legt die Uhrzeit fest zu der die Logb cher bertragen werden sollen Legt die Adresse des FTP Servers fest zu dem die Log Dateien bertragen werden sollen Die Adresse kann als Hostname z B ftp server de oder als IP Adresse angegeben werden Legt den Benutzernamen f r die Anmeldung am FTP Server fest Legt das Passwort f r die Anmeldung am FTP Server fest Werkseitig hat das TAINY xMOD folgende Einstellungen Remote Logging FTP Upload Nein Ausgeschaltet verwenden Uhrzeit 00 00 FTP Server NONE Benutzername guest Passwort Guest 9 3 Snapshot Wartung gt ae Wartung Snapshot Snapshot nen nm Service Snapshot herunterladen AT gt IPSec VPH Erweiterte Diagnose erfordert Neustart Aktivieren ee Funktion Diese Funktion dient f r Support Zwecke Service Snapshot herunterladen Der Service Snapshot speichert wichtige Logdateien und aktuelle Ger te Einstellungen die zur Fehlerdiagnose relevant sein k
20. glichen zudem dass auch UDP und ICMP Daten passieren k nnen obwohl diese Daten zuvor nicht angefordert wurden Mit den Firewall Regeln Eingehend wird festgelegt wie mit IP Paketen zu verfahren ist die ber den Datenfunkdienst HSDPA UMTS EGPRS oder GPRS aus externen Netzen z B Internet empfangen werden Quelle ist der Absender dieser IP Pakete Ziel sind die lokalen Applikationen am TAINY xMOD Entsprechend der Werkseinstellung ist zun chst keine eingehende Firewall Regel gesetzt d h es d rfen keine IP Pakete passieren Neu F gt eine weitere Firewall Regel hinzu die Sie dann ausf llen k nnen L schen Entfernt angelegte Firewall Regeln wieder Seite 52 von 113 TAINY xMOD Firewall Regeln Ausgehend Protokoll Von IP Von Port Nach IP Nach Port Aktion Sicherheitsfunktionen W hlen Sie das Protokoll aus f r das diese Regel gelten soll Zur Auswahl stehen TCP UDP ICMP Wenn Sie Alle w hlen gilt die Regel f r alle drei Protokolle Hinweis Wird f r Protokoll Alle gew hlt ist eine Portzuordnung nicht wirksam Tragen Sie die IP Adresse der externen Gegenstelle ein die IP Pakete zum lokalen Netz senden darf Geben Sie dazu die IP Adresse oder einen IP Bereich der Gegenstelle an 0 0 0 0 0 bedeutet alle Adressen Um einen Bereich anzugeben benutzen Sie die CIDR Schreibweise siehe Kapitel 12 Tragen Sie den Port z B 80 oder Portbereich z B 8080 9090 ein von dem
21. kurzschlussfest sein Das TAINY xMOD darf nur aus Stromversorgungen nach IEC EN60950 Abschnitt 2 5 Stromquelle mit begrenzter Leistung versorgt werden Die externe Stromversorgung f r das TAINY xMOD muss den Bestimmungen f r NEC Klasse 2 Stromkreisen entsprechen wie im National Electrical Code ANSI NFPA 70 festgelegt Bei Anschluss an eine Batterie oder einen Akkumulator beachten Sie dass zwischen dem Ger t und der Batterie oder Akkumulator eine allpolige Trennvorrichtung Batteriehauptschalter mit ausreichendem Trennverm gen sowie eine Sicherung mit ausreichendem Trennverm gen vorzusehen sind z B Pudenz FKS Sicherungssatz 32 V 3 A Best Nr 162 6185 430 Beachten Sie den Abschnitt Technische Daten dieser Dokumentation Kapitel 13 sowie die Einbau und Nutzungsvorschriften des jeweiligen Herstellers der Stromversorgung der Batterie oder des Akkumulators Schalteingang und Schaltausgang Der Schalteingang und der Schaltausgang sind jeweils gegen ber den anderen Anschl ssen des TAINY xMOD galvanisch getrennt Verbindet die am TAINY xMOD angeschlossene Installation ein Signal des Schalteingangs oder des Schaltausgangs galvanisch mit der Versorgungsspannung darf zwischen jedem Signal des Schalteingangs oder des Schaltausgangs und jedem Anschluss der Versorgungsspannung des TAINY xMOD die Spannung jeweils 60V nicht berschreiten Umgang mit Kabeln Ziehen Sie niemals einen Kabelstecker am Kabel aus seiner Buchse sondern zi
22. nnte gest rt werden Das TAINY xMOD hat eine Antennenbuchse vom Typ SMA zum Anschluss der Antenne Achten Sie darauf dass im Betrieb immer eine Antenne angeschlossen ist Die verwendete Antenne soll eine Impedanz von ca 50 Ohm haben Sie muss abgestimmt sein f r GSM 900MHz und DCS 1800MHZz oder GSM 850 MHz und PCS 1900 MHZ oder f r UMTS 2100 MHz je nachdem welche Frequenzb nder ihr UMTS GSM Mobilfunkbetreiber verwendet In Europa und China werden GSM 900MHz DCS 1800MHz und UMTS 2100MHz verwendet in den USA verwendet man GSM 850 MHz und PCS 1900 MHz auch f r UMTS Bitte erkundigen Sie sich bei Ihrem Netzbetreiber Die Anpassung VSWR der Antenne muss 1 2 5 oder besser sein Achtung Verwenden Sie bitte nur Antennen aus dem Zubeh rprogramm f r das TAINY xMOD Diese Antennen sind von uns gepr ft und gew hrleisten die beschriebenen Produkteigenschaften Bei der Installation der Antenne ist auf eine ausreichend gute Signalqualit t zu achten CSQ gt 11 Nutzen Sie die Signalleuchten des TAINY xMOD die Ihnen die Signalqualit t anzeigen oder den Installationsmodus siehe Kapitel 5 6 Achten Sie bitte darauf dass sich keine gro en metallischen Gegenst nde z B Stahlbeton in der N he der Antenne befinden Bitte beachten Sie die Montage und Gebrauchsanleitung der verwendeten Antenne Warnung Bei Au enmontage der Antenne muss die Antenne zwecks Blitzschutzes geerdet werden Diese Arbeiten m ssen von qu
23. 00000000 00000000 00000000 00000000 00000000 00000000 Kleines Router Lexikon JEE TIL 11111110 11111100 11111000 11110000 11100000 11000000 10000000 00000000 00000000 00000000 00000000 00000000 00000000 00000000 00000000 00000000 00000000 00000000 00000000 00000000 00000000 00000000 00000000 00000000 00000000 00000000 00000000 00000000 00000000 00000000 00000000 00000000 HNDWePECON CO 0 CIDR Beispiel 192 168 1 0 255 255 255 0 entspricht im CIDR 192 168 1 0 24 In einer Client Server Umgebung ist ein Server ein Programm oder Rechner das der vom Client Programm oder Client Rechner Anfragen entgegennimmt und beantwortet Bei Datenkommunikation bezeichnet man auch den Rechner als Client der eine Verbindung zu einem Server oder Host herstellt D h der Client ist der anrufende Rechner der Server oder Host der Angerufene CSD 9600 steht f r Circuit Switched Data oder Daten W hlverbindung Dabei wird eine Verbindung zwischen zwei Teilnehmern Endpunkten der Verbindung aufgebaut hnlich wie bei einem Telefonat im ffentlichen Fernsprechnetz Teilnehmer 1 w hlt die Rufnummer von Teilnehmer 2 Das Netz signalisiert Teilnehmer 2 den Anruf Teilnehmer 2 nimmt den Ruf an und das Netz baut die Verbindung auf bis einer der Teilnehmer die Verbindung wieder beendet Im GSM Netz wird dieser Dienst CSD genannt und erlaubt die Daten bertragung mit 9600 bit s oder 14400 bit s wobei
24. 123 123 xyz bersetzung der Absenderadresse et Adressbereich 234 234 234 xyz Ziel Adresse 123 123 123 101 Aldl Adresse 234 234 234 101 Lokal verwendeter Adressbereich des Adressbereich des lokalen Netzes auf lokalen Netzes bei 1 zu 1 der VPN Verbindung S VPN Verbindung zum Lokales Netz Geh ss gegen berliegenden Netz Ja Das TAINY xMOD V2 IO verwendet 1 zu 1 NAT zum lokalen Netz 1 zu 1 NAT f r das lokale Netz aktivieren Ja ES Adresse f r 1 zu 1 HAT im lokalen Netz 0 0 0 0 Geben Sie als Adresse f r 1 zu 1 NAT im lokalen Netz die lokal verwendete Zieladresse ein Nein Das TAINY xMOD V2 IO verwendet kein 1 zu 1 NAT zum lokalen Netz Seite 68 von 113 TAINY xMOD Firewall Regeln f r VPN Tunnel VPN Standard Modus IKE bearbeiten Funktion ISAKMP SA Verschl sselung IPSec SA Verschl sselung ISAKMP SA Hash IPSec SA Hash VPN Verbindungen Siehe Kapitel 7 5 VPN Standard Modus Aktiviert Name Einstellungen IKE Neu Nein E Innominate Bearbeiten Bearbeiten L schen berblick IPSec VPN IKE Einstellungen System UNSERE KUN Phase 1 ISAKMP SA gt Netzwerk Extern gt Sicherheit ISAKMP SA Verschl sselung AES 128 v Y IPSec VPN Verbindungen ISAKMP SA Hash MD5 v Zertifikate berwachung ISAKMP SA Modus Main Mode v Un ISAKMP SA Lebensdauer Sekunden 86400 Status gt Zugang sms Phase 2 IPSec SA gt SMP A Se IPSec SA Verschl sselung AES 128 Je IPSec SA Hash MD5 E IPSec SA
25. 255 255 255 0 255 255 255 0 255 255 255 0 255 255 255 0 Maske Zus tzliche interne Routen IP Adresse 192 168 15 3 192 168 15 4 192 168 15 5 192 168 15 6 Netzwerk Netzwerk 255 255 255 0 255 255 255 0 255 255 255 0 255 255 255 0 192 168 15 0 24 Maske Gateway Netzwerk 192 168 27 0724 IP Adresse 192 168 27 3 192 168 27 4 192 168 27 5 192 168 27 6 192 168 11 2 Netzwerk 255 255 255 0 255 255 255 0 255 255 255 0 255 255 255 0 Maske TAINY xMOD Seite 109 von 113 Technische Daten 13 Technische Daten 13 1 TAINY HMOD V2 IO TAINY HMOD L1 IO Applikations 10 100 Base T RJ45 plug Schnittstelle Ethernet IEEE802 10 100 Mbit s Service gt S Schnittstelle USB A reserviert f r sp tere Anwendungen Sicherheits VPN IPSec nur TAINY HMOD V2 IO zunktiohen Etwa 10 VPN Tunnel Firewall Stateful Inspection Firewall Anti Spoofing Port Weiterleitung Weitere DNS Cache DHCP Server NTP Remote Logging Funktionen Verbindungs berwachung Alarm SMS Ben p Web basierte Administrations Oberfl che ssh Konsole Funkverbindung Frequenzb nder UMTS HSDPA Triple band 850 1900 2100MHz GSM GPRS EDGE Quad band 850 900 1800 1900MHz HSDPA 3 6 Mbps UL 384 kbps UE CAT 1 6 11 12 supported Compressed mode CM supported according to 3GPP TS25 212 UMTS PS data rate 384 kbps DL 384 kbps UL CS data rate 64 kbps DL 64 kbps UL EDGE EGPRS EDGE Multislot class 12 EDGE Multislot class 12 M
26. 255 D 14 12 2007 12 16 3173 STAI null 4 CH 9ICONFIGURATION FILE ACCESS InternallPs IntemallP_1 1P 192 168 0 20 14 12 2007 12 16 3173 STAI null 4 CH 9 CONFIGURATION FILE ACCESS IntemallPs InternallP_1 NetMask 255 255 255 0 14 12 2007 23 05 3173 null SERVICE_MASK O 4 UH 41 CURRENT SYSTEM VERSION 1 014 14 12 2007 23 05 3173 X SERVICE _MASK 495591 4 APL 0 SYSTEM STARTING Success 14 12 2007 23 05 3173 null DIAPL 5 CONNECTION ERROR Missing or incorrect GSM parameter 14 12 2007 23 08 3173 COPS 26201 SERVICE_MASK 495591 4 CH 9 CONFIGURATION FILE ACCESS write values 14 12 2007 23 09 3173 COPS 26201 SERVICE_MASK 495591 4 CH 9ICONFIGURATION FILE ACCESS write values 14 12 2007 23 09 3173 COPS 26201 SERVICE_MASK 495591 4 APL 3 SPRS CONNECTION ESTABLISHED GPRS connect 14 12 2007 23 10 3173 X SERVICE MASK 495591 4 APL 8 IP ASSIGNED 172 25 105 9 14 12 2007 23 11 3173XX SERVICE _MASK 495591 4ICH 9 CONFIGURATION FILE ACCESS write values 14 12 2007 23 11 3173 SERVICE _MASK 495591 4ICH 9ICONFIGURATION FILE ACCESS ICMPCheck Enabled true 14 12 2007 23 11 3173 SERVICE_MASK 495615 4 CH 9 CONFIGURATION FILE ACCESS write values 14 12 2007 23 113173 COPS 26201 SERVICE_MASK 495615 4 CH 9 CONFIGURATION FILE ACCESS ICMPCheck Enabled true 14 12 2007 23 12 3173XX COPS 26201 SERVICE_MASK 495615 4 CH 9 CONFIGURATION FILE ACCESS write values 14 12 2007 23 12 3173 6201 SERVICE MASK 495615 4ICH 9ICONFIGURATION FILE ACCESS ICMPCheck Enable
27. 443 f r den HTTPS Zugang bleibt neben dem neu gew hlten Port offen Neu F gt eine neue Firewall Regel f r den HTTPS Fernzugang hinzu die Sie dann ausf llen k nnen L schen Entfernt eine angelegte Firewall Regel f r den HTTPS Fernzugang wieder Von IP Geben Sie hier die Adresse n des der Rechner s an extern dem denen Fernzugang erlaubt ist Bei den Angaben haben Sie folgende M glichkeiten IP Adresse oder Adressenbereich 0 0 0 0 0 bedeutet alle Adressen Um einen Bereich anzugeben benutzen Sie die CIDR Schreibweise siehe Kapitel 12 TAINY xMOD Seite 77 von 113 Fernzug nge Aktion Bestimmen Sie wie bei Zugriffen auf den angegebenen HTTPS Port verfahren wird Erlauben bedeutet die Datenpakete d rfen passieren Zur ckweisen bedeutet die Datenpakete werden zur ckgewiesen so dass der Absender eine Information ber die Zur ckweisung erh lt Verwerfen bedeutet die Datenpakete d rfen nicht passieren Sie werden verworfen so dass der Absender keine Information erh lt ber deren Verbleib Log F r jede einzelne Firewall Regel k nnen Sie festlegen ob bei Greifen der Regel das Ereignis protokolliert werden soll Log auf Ja setzen oder nicht Log auf Nein setzen werkseitige Voreinstellung Das Protokoll wird in das Firewall Logbuch siehe Kapitel 6 4 geschrieben Werkseinstellung HTTPS Fernzugang aktivieren Werkseitig hat das TAINY xMOD folgende Einstellungen Nei
28. DES Standard abl sen Der AES Standard spezifiziert drei verschiedene Schl sselgr en mit 128 192 und 256 Bit 1997 hatte die NIST die Initiative zu AES gestartet und ihre Bedingungen f r den Algorithmus bekannt gegeben Von den vorgeschlagenen Verschl sselungsalgorithmen hat die NIST f nf Algorithmen in die engere Wahl gezogen und zwar die Algorithmen MARS RC6 Rijndael Serpent und Twofish Im Oktober 2000 hat man sich f r Rijndael als Verschl sselungsalgorithmus entschieden Zugriffspunktname Netz bergreifende Verbindungen z B vom Datenfunkdient HSDPA UMTS EGPRS oder GPRS ins Internet werden ber sogenannte APNs hergestellt APN ffentlich d ffentliches INTERNET privates INTRANET Ein Endger t das eine Verbindung ber den Datenfunkdienst aufbauen will gibt durch Angabe des APN an mit welchem Netz es verbunden werden will Internet oder privates Firmennetz das ber Standleitung angeschlossen ist TAINN Lokale Applikation APN privat Der APN bezeichnet den bergabepunkt zum anderen Netz Er wird dem Benutzer vom Netzbetreiber mitgeteilt TAINY xMOD Seite 95 von 113 Kleines Router Lexikon Asymmetrische Verschl sselung CIDR Bei der asymmetrischen Verschl sselung werden Daten mit einem Schl ssel verschl sselt und mit einem zweiten Schl ssel wieder entschl sselt Beide Schl ssel eignen sich zum Ver und Entschl sseln Einer der Schl ssel wird von seinem Ei
29. Funktion NAT im externen Netz verwenden berblick Netzwerk Extern NAT gt System gt Netzwerk Intern e llietzwerk Extern HAT im externen Hetz verwenden Ja UMTS EDGE ee NAT f r folgende Netze verwenden jus Netz Neu Volumen berwachung Erweiterte 0 0 00 Y Einstellungen Verbindung Speichern Zur cksetzen DynDNS Secure DynDNS NAT Sicherheit gt IPSec VPH gt Zugang sms gt SNMP gt Wartung Listet die festgelegten Regeln f r NAT Network Address Translation auf und erm glicht Regeln zu setzen oder zu l schen Das Ger t kann bei ausgehenden Datenpaketen die angegebenen Absender IP Adressen aus seinem internen Netzwerk auf seine eigene externe Adresse umschreiben eine Technik die als NAT Network Address Translation bezeichnet wird Diese Methode wird benutzt wenn die internen Adressen extern nicht geroutet werden k nnen oder sollen z B weil ein privater Adressbereich wie 192 168 x x benutzt wird oder weil die interne Netzstruktur verborgen werden soll Dieses Verfahren wird auch P Masquerading genannt W hlen Sie Ja um die NAT Funktion zum externen Netz zu aktivieren Seite 48 von 113 TAINY xMOD Externe Schnittstelle NAT f r folgende Netze Geben Sie die Netzwerke an f r die NAT genutzt werden soll Die Angabe verwenden erfolgt als Adressbereich Verwenden Sie die CIDR Syntax Neu Netzwerk hinzuf gen L schen Netzwerk l schen Werkseinstell
30. Kapitel 4 1 Werkseitig hat das TAINY xMOD folgende Einstellungen Lokale Zeitzone UTC NTP Synchronisation aktivieren Nein NTP Server 192 53 103 108 Polling Intervall 1 1 Stunden Systemzeit dem lokalen Netz Nein bereitstellen 4 6 Zus tzliche interne Routen Netzwerk Intern gt Erweiterte Einstellungen gt Zus tzliche interne Routen s en Netzwerk Intern Zus tzliche interne Routen em be Zus tzliche interne Routen gt Grundeinstellungen Erweiterte Netzwerk Gateway gem Tatauanga 192 168 2 0 24 192 168 0 254 L schen Zus tzliche interne Routen Hetzwerk Extern Speichem Zur cksetzen gt Sicherheit gt IPSec VPN TAINY xMOD Seite 39 von 113 Funktion Werkseinstellung Teilt sich das lokale Netz in Subnetze auf k nnen Sie zus tzliche Routen definieren Siehe auch Kapitel 12 Wollen Sie eine weitere Route zu einem Subnetz festlegen klicken Sie Neu Geben Sie folgendes an die IP Adresse des Subnetzes Netzwerkes ferner die IP Adresse des Gateways ber das das Subnetz angeschlossen ist Sie k nnen beliebig viele interne Routen festlegen Wollen Sie eine interne Route l schen klicken Sie L schen Werkseitig hat das TAINY xMOD folgende Einstellungen Zus tzliche interne Routen Vorgabe f r neue Routen Netzwerk 192 168 2 0 24 Gateway 192 168 0 254 Seite 40 von 113 TAINY xMOD Externe Schnittstelle 5 Externe Schnittstelle 5 1 Netzauswahl und Zugangspara
31. Lebensdauer Sekunden 86400 DHPFS Gruppe DH 2 1024 v HAT T An E Aktiviere Dead Peer Detection Ja e DPD Verz gerung Sekunden 150 DPD Timeout Sekunden 60 DPD Maximale Fehlversuche 5 Speichern Zur ck Definieren Sie hier die Eigenschaften der VPN Verbindung entsprechend Ihren Anforderungen und den Absprachen mit dem Administrator der Gegenstelle Vereinbaren Sie mit dem Administrator der Gegenstelle welches Verschl sselungsverfahren verwendet werden soll f r die ISAKMP SA und die IPSec SA Das TAINY xMOD V2 IO unterst tzt die folgenden Verfahren 3DES 192 AES 128 AES 192 AES 256 AES 128 ist das am h ufigsten benutzte Verfahren und ist deshalb als Standard voreingestellt Das Verfahren kann f r ISAKMP SA und IPSec SA unterschiedlich festgelegt werden Hinweis Je mehr Bits ein Verschl sselungsalgorithmus hat angegeben durch die angef gte Zahl desto sicherer ist er Das Verfahren AES 256 Verfahren gilt daher als am sichersten Allerdings ist der Verschl sselungsvorgang umso zeitaufwendiger und ben tigt mehr Rechenleistung je l nger der Schl ssel ist Vereinbaren Sie mit dem Administrator der Gegenstelle welches Verfahren zur Berechnung von Pr fsummen Hash w hrend der ISAKMP Phase und der IPSec Phase verwendet werden soll Zur Auswahl stehen MDS5 oder SHA 1 Automatische Erkennung MD5 SHA 1 Das Verfahren kann f r ISAKMP SA und IPSec SA unterschiedlich fe
32. NSA berpr fte symmetrische Verschl sselungsalgorithmus gt symmetrische Verschl sselung DES wurde 1977 vom amerikanischen National Bureau of Standards dem Vorg nger des heutigen National Institute of Standards and Technology NIST als Standard f r amerikanische Regierungsinstitutionen festgelegt Das es sich hierbei um den ersten standardisierten Verschl sslungsalgoritnmus berhaupt handelte setzte er sich auch schnell in der Industrie und somit au erhalb Amerikas durch DES arbeitet mit einer Schl ssell nge von 56Bit die heute aufgrund der seit 1977 gestiegenen Rechenleistung der Computer als nicht mehr sicher gilt 3DES ist eine Variante von DES Es arbeitet mit 3 mal gr eren Schl sseln die also 168 Bit lang sind Sie gilt heute noch als sicher und ist unter anderem auch Teil des IPsec Standards Seite 98 von 113 TAINY xMOD Kleines Router Lexikon DHCP Dynamic Host Configuration Protocol DHCP bernimmt die automatische dynamische Zuweisung von IP Adressen und weiteren Parametern in einem Netzwerk Das Dynamic Host Configuration Protocol verwendet UDP Es wurde definiert im RFC 2131 und bekam die UDP Ports 67 und 68 zugewiesen DHCP arbeitet im Client Server Verfahren wobei der Client vom Server die IP Adressen zugewiesen bekommt DNS Die Adressierung in IP Netzen erfolgt grunds tzlich ber IP Adressen Bevorzugt wird im Allgemeinen aber die Adressierung in Form einer Domain Adresse angegeben d h in
33. Port Ziel Name Ziel Community Ereignis Ger te Keepalive Ger te Keepalive Intervall Minuten Ereignis Warnschwelle f r monatliches Volumen erreicht Ereignis Maximales monatliches Volumen erreicht Ereignis Verbindung wiederhergestellt iee SNMP Traps System gt Netzwerk Intern gt Netzwerk Extern SHMP Traps aktivieren Ja ei gt Sicherheit IPSec VPH gt Zugang SMS v SNMP SHMP Ziel Hame public Ziel Host NONE Ziel Port 162 SNMP Traps gt Wartung Zel Communiiy public Ereignis Ger te Keepalive Ja M Ger te Keepalive Intervall Minuten 600 Ereignis Warnschwelle f r monatliches Volumen erreicht Ereignis Maximales monatliches Volumen erreicht Ereignis nderung am Schalteingang 1 78 1 I8 I IR I IR J J Ereignis Verbindung wiederhergestellt Ja F J Ereignis Aktivierung eines Konfigurationprofils Speichern Zur cksetzen Das TAINY xMOD versendet Benachrichtigungen in Form von SNMP Traps bei verschiedenen Ereignissen W hlen Sie Ja wenn Sie das Versenden von SNMP Traps aktivieren wollen W hlen Sie Nein wenn Sie das Versenden von SNMP Traps ausschalten wollen Tragen Sie hier die IP Adresse des SNMP Trap Empf ngers ein Tragen Sie hier den IP Port des SNMP Trap Empf ngers ein Tragen Sie hier den Namen des SNMP Trap Empf ngers ein Tragen Sie hier die Bezeichnung der SNMP Community ein W hlen Sie Ja wenn das TAINY xMOD Keepalive Pakete als SNMP
34. Sie auf diesen Taster mit einem spitzen Gegenstand z B einem Bleistift Bei Druck auf den Taster kommt die SIM Karten Schublade aus dem Geh use 3 Legen Sie die SIM Karte so in die Schublade dass ihre vergoldeten Kontakte sichtbar bleiben 4 Schieben Sie dann bitte die Schublade mit der SIM Karte vollst ndig in das Geh use Achtung Legen Sie die SIM Karte auf keinen Fall im Betrieb ein oder entfernen Sie sie Die SIM Karte und das TAINY xMOD k nnten besch digt werden Seite 22 von 113 TAINY xMOD Konfiguration 3 Konfiguration 3 1 bersicht Fernkonfiguration Konfiguration ber die lokale Schnittstelle Die Konfiguration der Router und Firewall Funktionen erfolgt lokal oder aus der Ferne ber die web basierte Administrations Oberfl che des TAINY xMOD F r das TAINY xMOD V2 IO kann zus tzlich eine Konfiguration der VPN Funktion erfolgen Eine Fernkonfiguration ber HTTPS oder CSD Zugang ist nur m glich sofern das TAINY xMOD f r Fernzugriffe konfiguriert ist Sie gehen in diesem Fall genauso vor wie in Kapitel 8 beschrieben Die Voraussetzungen f r die Konfiguration ber die lokale Schnittstelle sind Der Rechner Admin PC mit dem Sie die Konfiguration vornehmen muss entweder direkt an der Ethernet Buchse des TAINY xMOD per Netzwerkkabel angeschlossen sein oder ber das lokale Netz direkten Zugriff auf das TAINY xMOD haben
35. Synchronisation nicht aktiviert Zeigt an ob ein DynDNS Dienst aktiviert ist DynDNS Dienst aktiviert E DynDNS Dienst nicht aktiviert Zeigt an ob Zugriffe auf die Web Oberfl che des TAINY xMOD aus der Ferne ber den Datenfunkdienst erlaubt sind siehe Kapitel 8 1 Der Zugriff per HTTPS ist erlaubt E Der Zugriff per HTTPS ist nicht erlaubt Zeigt an ob Zugriffe auf die SSH Konsole des TAINY xMOD aus der Ferne ber den Datenfunkdienst erlaubt sind siehe Kapitel 8 2 Der Zugriff per SSH ist erlaubt X Der Zugriff per SSH ist nicht erlaubt Zeigt an ob CSD Serviceanrufe aus der Ferne erlaubt sind CSD Serviceanrufe sind m glich EN CSD Serviceanrufe sind nicht m glich Zeigt an ob das Setzen und Lesen von Parametern per SNMP freigegeben ist siehe Kapitel 11 1 Setzen Lesen von Parametern per SNMP ist erlaubt E Setzen Lesen von Parametern per SNMP ist nicht erlaubt Zeigt an ob das Versenden von SNMP Benachrichtigungen SNMP Traps freigegeben ist siehe Kapitel 11 2 Versand von SNMP Benachrichtungen aktiviert X SNMP Benachrichtungen nicht aktiviert Zeigt an ob die Volumen berwachung eingeschaltet ist siehe Kapitel 5 7 Volumen berwachung ist aktiviert X Volumen berwachung ist nicht aktiviert TAINY xMOD Seite 29 von 113 Konfiguration Aktuelle Cell ID Anzahl GSM Verbindungsversuche 24h Gesendete Bytes Empfangene Bytes Gesendete Bytes Empfangene
36. Trap versenden soll W hlen Sie Nein wenn das TAINY xMOD Keepalive Pakete als SNMP Trap nicht versenden soll W hlen Sie das Intervall mit den die Keepalive SNMP Traps verschickt werden sollen W hlen Sie Ja wenn das TAINY xMOD einen SNMP Trap bei Erreichen der Warnschwelle 80 f r das monatliche Datenvolumen versenden soll siehe Kapitel 5 7 W hlen Sie Nein wenn keinen SNMP Trap bei diesem Ereignis versendet werden soll W hlen Sie Ja wenn das TAINY xMOD einen SNMP Trap bei Erreichen des maximalen monatlichen Datenvolumens versenden soll siehe Kapitel 5 7 W hlen Sie Nein wenn keinen SNMP Trap bei diesem Ereignis versendet werden soll W hlen Sie Ja wenn das TAINY xMOD einen SNMP Trap bei erfolgreicher Wiederherstellung der Verbindung zum APN versenden soll W hlen Sie Nein wenn keinen SNMP Trap bei diesem Ereignis versendet werden soll TAINY xMOD Seite 93 von 113 SNMP Ereignis nderung am Schalteingang Ereignis Aktivierung eines Konfigurations profils Werkseinstellung W hlen Sie Ja wenn das TAINY xMOD einen SNMP Trap bei einer Anderung am Schalteingang versenden soll W hlen Sie Nein wenn keinen SNMP Trap bei diesem Ereignis versendet werden soll W hlen Sie Ja wenn das TAINY xMOD einen SNMP Trap bei der Aktivierung eines Konfigurations Profils versenden soll W hlen Sie Nein wenn keinen SNMP Trap bei diesem Ereignis versendet werden soll Werkseitig hat das T
37. Wartung APN Speichem Zur cksetzen Ist als Modus der Providerauswahl Manuell ausgew hlt geben Sie Benutzername Passwort und APN f r die UMTS bzw GSM Dienste h ndisch ein berblick Netzwerk Extern UMTS EDGE gt System gt Netzwerk Intern v Netzwerk Extern Pm s amp ndern UMTS EDGE Installations Netzauswahl UMTS oder GSM e modus Volumen Roaming erlauben Nein M berwachung gt Erweiterte Modus der Providerauswahl Automatisch M Einstellungen gt Sicherheit Methode der Provider Authentifizierung Auto gt IPSec VPH gt Zugang Liste der Provider SMS SNMP Provider Het APN Benutzername Passwort Neu gt Wartung T Mobile 26201 internett mobile guest eessen L schen Vodafone 26202 web vodafone de guest eeee L schen Eplus 26203 internet eplus de eplus II L schen 02 26207 internet guest seess L schen Speichern Zur cksetzen Ist als Modus der Providerauswahl Automatisch ausgew hlt werden die Zugangsdaten f r den UMTS oder GSM Dienste automatisch anhand der Net ID der SIM Karte aus der Liste der Provider ausgew hlt Es k nnen mehrere Eintr ge in der Liste angelegt werden Die Anzahl ist nicht beschr nkt mehr als 10 Eintr ge sollten aber vermieden werden Mit Neu kann ein neuer Eintrag hinzugef gt werden Mit L schen werden Eintr ge entfernt Geben Sie hier die PIN zu Ihrer SIM Karte ein Sie erhalten die PIN von Ihrem Netzbetreiber Das TAINY xMOD arbeitet auch mit PIN losen SIM Kar
38. Zertifikat bernommen ndert man manuell den Eintrag f r die Lokale ID oder die Remote ID so m ssen die korrespondierenden Eintr ge der Gegenstelle angepasst werden Der manuelle Eintrag f r Lokale oder Remote ID muss im ASN 1 Format erfolgen z B C XY O XY Org CN xy org org Bei Authentifizierung mit Pre Shared Secret Key PSK Im Roadwarrior Modus muss manuell die Remote ID eingetragen werden Die Remote ID muss das Format eines Hostnames z B RemoteStation de oder das Format einer E Mail Adresse remote station de haben und mit der Lokalen ID der Gegenstelle bereinstimmen Die Lokale ID kann auf NONE belassen werden In diesem Fall wird die IP Adresse als lokale IP Adresse verwendet Tr gt man eine Lokale ID ein muss diese das Format eines Hostnames z B RemoteStation de oder das Format einer E Mail Adresse remote station de haben und mit der Remote ID der Gegenstelle bereinstimmen TAINY xMOD Seite 61 von 113 VP Verbindungen Roadwarrior Modus IKE bearbeiten Funktion ISAKMP SA Verschl sselung IPSec SA Verschl sselung ISAKMP SA Hash IPSec SA Hash IPSec VPN Verbindungen VPN Roadwarrior Modus Aktiviert Name Einstellungen IKE a si Roadwarrior Bearbeiten Bearbeiten berblick IPSec VPN IKE Einstellungen ele Phase 1 ISAKMP SA gt Nletzwerk Extern gt Sicherheit ISAKMP SA Verschl sselung AES 128 e Y IPSec VPN Verbindungen ISAKMP SA Hash MD5 v
39. angegebene Name nicht mit dem im Zertifikat berein 5 Sie werden aufgefordert den Benutzernamen und das Passwort Kennwort anzugeben Verbindung zu 192 168 1 1 herstellen 2x Neuhaus Router Benutzername Le root z Kennwort J Kennwort speichern Abbrechen Die werkseitige Voreinstellung lautet Benutzername root Kennwort root Hinweis Sie sollten auf jeden Fall das Passwort Kennwort ndern Die werkseitige Voreinstellung ist allgemein bekannt und ist kein ausreichender Schutz Im Kapitel 3 8 ist beschrieben wie das Passwort ge ndert werden kann Nach Eingabe von Benutzernamen und Passwort erscheint im Web Browser die Startseite des TAINY xMOD mit einem berblick ber den Betriebszustand siehe Kapitel 3 5 Seite 26 von 113 TAINY xMOD Die Startseite wird nicht angezeigt Konfiguration Sollte auch nach wiederholtem Versuch der Browser melden dass die Seite nicht angezeigt werden kann versuchen Sie Folgendes berpr fen Sie die Hardware Verbindung Dazu bei einem Windows Rechner ber die DOS Eingabeaufforderung Men Start Programme Zubeh r Eingabeaufforderung folgenden Befehl eingeben ping 192 168 1 1 Wenn innerhalb der vorgegebenen Zeitspanne die Meldung ber den R ck Empfang der 4 ausgesendeten Pakete nicht erscheint berpr fen Sie bitte das Kabel die Anschl sse und die Netzwerkkarte Achten S
40. bereit Tragen Sie in Ihrer lokalen Applikation die IP Adresse des TAINY xMOD als Domain Name Server DNS ein dann beantwortet das TAINY xMOD die DNS Abfragen aus seinem Cache Kennt es zu einer Domain Adresse nicht die dazugeh rige IP Adresse leitet das TAINY xMOD diese Abfragen weiter an einen externen Domain Name Server DNS Die Zeitspanne in der das TAINY xMOD eine Domain Adresse im Cache beh lt ist abh ngig vom adressierten Host Die DNS Abfragen an einen externen Domain Name Server liefern au er der IP Adresse auch die Lebensdauer dieser Information zur ck Enitferntes Netz DNS des DNS im Privater Netzbetreiber Internet DNS Router m Firewall TAINY 4 Lokale Applikation HSDPA EY UMTS rmn m mn m E GPRS ES Rm eg m bech RE DNS Abfrage DNS Abfrage an TAINY durch TAINY Hinweis HSDPA und UMTS werden nur vom TAINY HMOD unterst tzt Als externe Domain Name Server DNS k nnen Server des Netzbetreibers Server im Internet oder Server im privaten externen Netz verwendet werden W hlen Sie aus bei welchen Domain Name Server DNS das TAINY xMOD nachfragen soll Provider definiert Beim Verbindungsaufbau zum Datenfunkdienst HSDPA UMTS EGPRS GPRS bermittelt der Netzbetreiber automatisch eine oder mehrere DNS Adressen Benutzer definiert Sie w hlen als Anwender Ihre n bevorzugten DNS aus Die DNS k nnen mit dem Internet verbunden sein oder es kann ein privater DNS in Ihrem Netz sein
41. der Agressive mode eingestellt werden Ja Das TAINY xMOD V2 IO wartet darauf dass das VPN Gateway des gegen berliegenden Netzes den Aufbau der VPN Verbindung einleitet Nein Das TAINY xMOD V2 IO leitet den Verbindungsaufbau ein Seite 66 von 113 TAINY xMOD Adresse des gegen berliegenden Netzes Netzmaske des gegen berliegenden Netzes 1 zu 1 NAT f r das gegen berliegende Netz aktivieren VPN Verbindungen Tragen Sie hier die IP Adresse z B 123 123 123 123 des gegen berliegenden Netzes ein Das gegen berliegende Netz kann auch nur ein einzelner Rechner sein Lokales Netz Gegen berliegendes Netz Adresse des lokalen Adresse des Netzes gegen ber Ve liegenden Admin PC Netzes VPN Gateway TER Externe 0o00 O Ka Gegenstellen ar 39 VPN Tunnel Admin PC Lokale Applikation eg TAINY Lokale Applikation Hinweis HSDPA und UMTS werden nur vom TAINY HMOD unterst tzt Tragen Sie hier die Netzwerkmaske z B 255 255 255 0 des gegen berliegenden Netzes ein Das gegen berliegende Netz kann auch nur ein einzelner Rechner sein Das TAINY xMOD V2 IO verf gt ber eine 1 zu 1 NAT Funktion zum gegen berliegende Netz Der Adressbereich des gegen berliegenden Netzes auf der VPN Verbindung wird im TAINY xMOD V2 IO festgelegt ber die Adresse des gegen berliegenden Netzes und die Netzmaske des gegen berliegenden Netzes Ist 1 zu 1 NAT abgeschal
42. der die Verbindung zur Gegenstelle f r tot erkl rt werden soll wenn auf die DPD Anfragen keine Antwort erfolgte Seite 70 von 113 TAINY xMOD DPD Maximale Fehlversuche Werkseinstellung VPN Verbindungen Anzahl der zul ssigen Fehlversuche bevor die IPsec Verbindung als unterbrochen angesehen wird Werkseitig verwendet das TAINY xMOD V2 IO folgende Einstellungen f r eine neu angelegte Verbindung Name Aktiviert Authentifizierungsverfahren Remote ID Lokale ID Gegenstellen Zertifikat Auf Verbindung durch die Gegenstelle warten Adresse des gegen berliegenden Netzes Netzmaske des gegen berliegenden Netzes Adresse des lokalen Netzes Netzmaske des lokalen Netzes ISAKMP SA Verschl sselung IPSec SA Verschl sselung ISAKMP SA Hash IPSec SA Hash DH PFS Gruppe ISAKMP SA Modus ISAKMP SA Lebensdauer Sekunden IPSec SA Lebensdauer Sekunden NAT T Aktiviere Dead Peer Detection DPD Verz gerung Sekunden DPD Timeout Sekunden DPD Maximale Fehlversuche 7 4 VPN Zertifikate laden NewConnection Nein Ausgeschaltet CA Zertifikat NONE NONE Nein 192 168 2 1 255 255 255 0 192 168 1 1 255 255 255 0 AES 128 AES 128 MD5 MD5 DH 2 1024 Main 86400 86400 An Ja 150 60 5 IPsec VPN Zertifikate NUR TAINY HMOD V2 IO NUR TAINY EMOD V2 IO berblick System gt Netzwerk Intern gt Netzwerk Extern gt Sicherheit e IPSec VPN Verbindungen Ze
43. die bertragung gesichert oder ungesichert stattfindet M glich sind Verbindungen GSM Modem zu GSM Modem Analog Modem zu GSM und ISDN Modem zu GSM Modem TAINY xMOD Seite 97 von 113 Kleines Router Lexikon CSQ RSSI Der CSQ Wert ist ein im GSM Standard festgelegter Wert zur Angabe der Signalqualit t CSQ Werte korrespondieren zur Empfangsfeldst rke RSSI Received Signal Strength Indication CSQ RSSI lt 6 lt 101 dBm 6 10 101 93 dBm 11 18 91 dBm 77 dBm gt 18 gt 77 dBm 99 Nicht eingebucht Datagramm Beim bertragungsprotokoll TCP IP werden Daten in Form von Datenpaketen den sog IP Datagrammen versendet Ein IP Datagramm hat folgenden Aufbau 1 IP Header 2 TCP UDP Header 3 Daten Payload Der IP Header enth lt die IP Adresse des Absenders source IP address die IP Adresse des Empf ngers destination IP address die Protokollnummer des Protokolls der n chst h heren Protokollschicht nach dem OSI Schichtenmodell die IP Header Pr fsumme Checksum zur berpr fung der Integrit t des Headers beim Empfang Der TCP UDP Header enth lt folgende Informationen Port des Absenders source port Port des Empf ngers destination port eine Pr fsumme ber den TCP Header und ein paar Informationen aus dem IP Header u a Quell und Ziel IP Adresse DES 3DES Der von IBM stammende und von der
44. die externe Gegenstelle IP Pakete senden darf wird nur ausgewertet bei den Protokollen TCP und UDP Tragen Sie ein an welche IP Adresse im lokalen Netz IP Pakete gesendet werden d rfen Geben Sie dazu die IP Adresse oder einen IP Bereich der Applikation im lokalen Netz an 0 0 0 0 0 bedeutet alle Adressen Um einen Bereich anzugeben benutzen Sie die CIDR Schreibweise siehe Kapitel 12 Tragen Sie den Port z B 80 oder Portbereich z B 8080 9090 ein an den die externe Gegenstelle IP Pakete senden darf W hlen Sie aus wie mit eintreffenden IP Paketen zu verfahren ist Erlauben Die Datenpakete d rfen passieren Zur ckweisen Die Datenpakete werden abgewiesen der Absender erh lt eine entsprechende Meldung Verwerfen Die Datenpakete werden ohne R ckmeldung an den Absender verworfen Mit den Firewall Regeln Ausgehend wird festgelegt wie mit IP Paketen zu verfahren ist die vom lokaken Netz empfangen werden Quelle ist eine Applikationen im lokalen Netz Ziel ist eine externe Gegenstelle z B im Internet oder in einem privaten Netz Entsprechend der Werkseinstellung ist zun chst keine ausgehende Firewall Regel gesetzt d h es d rfen keine IP Pakete passieren Neu Protokoll Von IP F gt eine weitere Firewall Regel hinzu die Sie dann ausf llen k nnen W hlen Sie das Protokoll aus f r das diese Regel gelten soll Zur Auswahl stehen TCP UDP ICMP Wenn Sie Alle w hlen gilt die Regel
45. schreibend auf das TAINY xMOD zugreifen darf Geben Sie die SNMP Community ein die nur lesend auf das TAINY xMOD zugreifen darf Damit Daten per SNMP ausgetauscht werden k nnen muss am TAINY xMOD eine Firewall Regel eingerichtet werden Es k nnen mit Neu mehrere Quellen Von IP f r die UDP IP Verbindung eingerichtet werden Mit L schen k nnen Sie Verbindungen wieder entfernen Von IP Tragen Sie die IP Adresse der externen Gegenstelle ein die IP Pakete zum lokalen Netz senden darf Geben Sie dazu die IP Adresse oder einen IP Bereich der Gegenstelle an 0 0 0 0 0 bedeutet alle Adressen Um einen Bereich anzugeben benutzen Sie die CIDR Schreibweise siehe Kapitel 12 Aktionen W hlen Sie Aktionen um die UDP IP Verbindung f r SNMP zu erlauben Log F r jede einzelne Firewall Regel k nnen Sie festlegen ob bei Greifen der Regel das Ereignis protokolliert werden soll Log auf Ja setzen oder nicht Log auf Nein setzen werkseitige Voreinstellung Das Protokoll wird in das Firewall Logbuch siehe Kapitel 6 4 geschrieben Werkseitig hat das TAINY xMOD folgende Einstellungen SNMP Zugriff aktivieren Nein Port f r SNMP Zugriff 161 Lesen Schreiben Community public Nur Lesen Community public Firewall Regeln Nicht aktiv Von IP 0 0 0 0 0 Seite 92 von 113 TAINY xMOD SNMP Aktionen Erlauben Log Nein 11 2 Alarmmeldungen per SNMP Traps SNMP SNMP Traps SNMP Traps aktivieren Ziel Host Ziel
46. weiterer Ger tefunktionen an Leuchte Zustand Bedeutung POWER EIN Ger t eingeschaltet Betriebsspannung liegt an AUS Ger t ausgeschaltet Betriebsspannung fehlt LAN EIN Ethernet Verbindung zur lokalen Applikation bzw zum lokalen Netz hergestellt AUS Keine Ethernet Verbindung zur lokalen Applikation bzw zum lokalen Netz EIN mit kurzen Unterbrechungen Datentransfer ber die Ethernet Verbindung IN EIN Schalteingang aktiv AUS Schalteingang nicht aktiv OUT EIN Reserviert f r zuk nftige Anwendungen AUS Reserviert f r zuk nftige Anwendungen TAINY xMOD Seite 19 von 113 Inbetriebnahme 2 6 Anschl sse 10 100 Base T Service USB SMA Antennen Buchse Am Anschluss 10 100 Base T wird das lokale Netz mit den lokalen Applikationen angeschlossen z B eine programmierbare Steuerung eine Maschine mit Ethernet Schnittstelle zur Fern berwachung ein Notebook bzw PC Zum Einrichten des TAINY xMOD schlie en Sie hier den Admin PC mit Web Browser an Die Schnittstelle unterst tzt Autonegotiation Somit wird automatisch erkannt ob 10 Mbit s oder 100 Mbit s bertragungsgeschwindigkeit auf dem Ethernet genutzt wird Das verwendete Anschlusskabel muss einen RJ45 Stecker haben Es kann Cross over oder Eins zu Eins verdrahtet sein MDI MDIX Diese Schnittstelle ist beim TAINY xMOD ohne Funktion und reserviert f r sp tere Anwendungen Bitte schlie en Sie hier keine Ger te an Der Betrieb des TAINY xMOD k
47. zum Beispiel dieser x Es besteht ein Problem mit dem Sicherheitszertifikat der Website Das Sicherheitszertifikat dieser Website wurde nicht von einer vertrauensw rdigen Zertifizierungsstelle ausgestellt Das Sicherheitszertifikat dieser Website wurde f r eine andere Adresse der Website ausgestellt Die Sicherheitszertifikatprobleme deuten eventuell auf den Versuch hin Sie auszutricksen bzw Daten die Sie an den Server gesendet haben abzufangen Es wird empfohlen dass Sie die Webseite schlie en und nicht zu dieser Website wechseln amp Klicken Sie hier um diese Webseite zu schlie en Laden dieser Website fortsetzen nicht empfohlen Weitere Informationen Quittieren Sie den entsprechenden Sicherheitshinweis mit Laden dieser Webseite fortsetzen TAINY xMOD Seite 25 von 113 Konfiguration Benutzername und Passwort eingeben Die Startseite wird angezeigt Hinweis Da das Ger t nur ber verschl sselte Zug nge administrierbar ist wird es mit einem selbst unterzeichneten Zertifikat ausgeliefert Bei Zertifikaten mit Unterschriften die dem Betriebssystem nicht bekannt sind erfolgt ein Sicherheitshinweis Sie k nnen sich das Zertifikat anzeigen lassen Aus dem Zertifikat muss erkenntlich sein dass es f r Dr Neuhaus Telekommunikation GmbH ausgestellt wurde Die Web Oberfl che wird ber eine IP Adresse adressiert und nicht ber einen Namen daher stimmt der im Sicherheitszertifikat
48. 2011 09 05 10 48 Mon Sep 5 10 32 49 CEST 2011 172 17 169 159 988886868 Status Verbindung Signal CSO Level Verwendeter APN IMSI Aktuelle Cell ID zahl GSM Verbindungsversuche 24h Gesendete Bytes Empfangene Bytes Gesendete Bytes seit Inbetriebnahme Empfangene Bytes seit Inbetriebnahme Datenvolumen Bytes aktueller Monat Warnschwelle Bytes Aktuelle Systemversion UMTS 17 i dbm internet m2mplus de 262034840011441 28531 2 4024 4176 2380416 18259424 0 1000000 1 214 Nach Aufrufen der Web Oberfl che des TAINY xMOD und der Eingabe von Benutzernamen und Passwort erscheint ein Uberblick ber den aktuellen Betriebszustand des Ger tes Hinweis Benutzen Sie die Funktion Aktualisieren des Web Browsers um die angezeigten Werte auf den aktuellen Stand zu bringen Zeigt die aktuelle Systemzeit des TAINY xMOD an im Format Jahr Monat Tag Stunden Minuten Zeigt an wie lange die aktuelle Verbindung zum Datenfunkdienst besteht Zeigt den Hostnamen z B tainy mydns org des TAINY xMOD an wenn ein DynDNS Dienst verwendet wird Zeigt die IP Adresse an unter der das TAINY xMOD ber den Datenfunkdienst zu erreichen ist Diese IP Adresse wird dem TAINY xMOD vom Datenfunkdienst zugewiesen Zeigt an ob und welche Funkverbindung besteht Bei TAINY HMOD UMTS Verbindung IP Verbindung ber HSDPA UMTS data GPRS EDGE Verbindung
49. 50 ech Class 4 33dBm 2dB for EGSM900 99 V5 Class 1 30dBm 2dB for GSM1800 Class 1 30dBm 2dB for GSM1900 Class E2 27dBm 3dB for GSM 850 8 PSK Class E2 27dBm 3dB for GSM 900 8 PSK Class E2 26dBm 3 4dB for GSM 1800 8 PSK Class E2 26dBm 3 4dB for GSM 1900 8 PSK Impedanz nominal 50 Ohm Buchse SMA anschluss Umwelt Temperatur Betrieb 20 C bis 60 C bedingungen bereich Lagerung 40 C bis 70 C Luftfeuchte 0 95 nicht kondensierend Ausf hrung Hutschienengeh use Material Kunststoff E 114 mm x 45 mm x 99 mm ca 2809 Konformit t Ja R amp TTE GSM Konform zur Richtlinie 99 05 EC Angewandte Norm EN301 511 v 9 0 2 GSM EGPRS Konform zu GCF PTCRB Modul EMV ESD Angewandte Normen EN 55022 2010 Klasse A EN 55024 1998 A1 2001 A2 2003 EN 61000 6 2 2005 Elektrische Angewandte Norm EN 60950 2006 A11 2009 A1 2010 Sicherheit Umwelt Das Ger t entspricht den europ ischen Richtlinien ROHS und WEEE 12 60 V DC 24 V DC nominal Spannungsversor Eingangs gung spannung Typisch 4 4 W bei 12 V Typisch 4 0 W bei 24 V Typisch 5 5 W bei 60 V Stromaufnahme 450mA bei 12V und 100mA bei 60V Iburst 1 26A Leistungs aufnahme TAINY xMOD Seite 113 von 113
50. 55 0 L schen Speichern Zur cksetzen 3 7 Konfigurations Profile Wartung gt Konfigurations Profile Funktion Profil hochladen Profil anlegen Gespeicherte Konfigurations Profile berblick Wartung Konfigurations Profile 1 Durchsuchen gt Netzwerk Intern b Netzwerk Extern gt Sicherheit gt IPSec VPN Zugang sms Profil hochladen Absenden Profil anlegen Anlegen gt SIMP w Wartung Update Konfigurations Profile Gespeicherte Konfigurations Profile Hame MeinTainy tgz Aktivieren Download L schen Neustart Standard Konfiguration Aktivieren Remote Logging SW Info HW Info Snapshot Werkseinstellung Die Einstellungen des TAINY xMOD k nnen in Konfigurations Profilen Dateien gespeichert und jederzeit neu geladen werden L dt ein zuvor erstelltes und auf den Admin PC gespeichertes Konfigurations Profil in das TAINY xMOD Dateien mit Konfigurations Profilen haben die Dateiendung tgz Mit Durchsuchen k nnen Sie auf dem Admin PC nach Konfigurations Profilen suchen mit Absenden laden Sie das Konfigurations Profil in das TAINY xMOD Es wird dann in der Tabelle der gespeicherten Konfigurations Profile angezeigt Speichert die aktuellen Einstellungen des TAINY xMOD in einem Konfigurations Profil Geben Sie zun chst einen Namen f r das Profil in dem Eingabefeld ein F r den Namen d rfen folgende Zeichen verwendet werden 0123456789ABCDEFGHIJKLMNOPQRSTU
51. 55 255 255 0 1 zu 1 HAT f r das gegen berliegende Netz aktivieren Nein M Adresse des lokalen Netzes 192 168 1 1 Netzmaske des lokalen Netzes 255 255 255 0 1 zu 1 HAT f r das lokale Hetz aktivieren Nein M Auf Verbindung durch die Gegenstelle warten Nein M Firewall Regeln f r VPN Tunnel Bearbeiten Speichern Zur ck Geben Sie der neuen Verbindung hier einen Verbindungsnamen Geben Sie hier die Adresse der Gegenstelle an entweder als Hostname z B myadress com oder als IP Adresse Lokales Netz Gegen berliegendes Netz Admin PC Adresse der Kl Admin PC Gegenstelle TANY Lokale Applikation VPN Gateway TE Externe ales Gegenstellen a 39 VPN Tunnel Lokale Applikation Hinweis HSDPA und UMTS werden nur vom TAINY HMOD unterst tzt X 509 Zertifikat CA Zertifikat Bei den Authentifizierungsverfahren X 509 Zertifikat und CA Zertifikat werden zur Authentifikation Schl ssel verwendet die zuvor durch eine zertifizierende Stelle CA Certification Authority signiert wurden Diese Verfahren gelten als besonders sicher Eine CA kann ein Dienstleister sein aber z B auch der System Administrator Ihres Projektes sofern dieser ber die notwendigen Software Werkzeuge verf gt Die CA erstellt f r beide Gegenstellen einer VPN Verbindung je eine Zertifikatsdatei PKCS12 mit der Dateiendung p12 Diese Zertifikatsdatei enth lt den ffentlichen und privaten Schl ssel der eigenen Station das signiert
52. 75 Erweitert Maximale Zahl neuer eingehender Ping Pakete pro Sekunde 3 Firewall Logbuch Maximale Zahl neuer ausgehender Ping Pakete pro Sekunde 5 gt IPSec VPN gt Zugang ICMP von extern zum Tainy Verwerfen e sms gt SHMP gt Wartung Speichern Zur cksetzen Die erweiterten Sicherheitsfunktionen dienen dazu das TAINY xMOD und die lokalen Applikationen gegen Angriffe zu sch tzen Zum Schutz wird angenommen dass nur eine bestimmte Anzahl von Verbindungen oder empfangener PING Pakete im normalen Betrieb zul ssig und erw nscht sind und dass bei einer pl tzlichen H ufung ein Angriff stattfindet Die Eintr ge Maximale Zahl gleichzeitiger Verbindungen Maximale Zahl neuer eingehender TCP Verbindungen pro Sekunde Maximale Zahl neuer ausgehender TCP Verbindungen pro Sekunde Maximale Zahl neuer eingehender Ping Pakete pro Sekunde Maximale Zahl neuer ausgehender Ping Pakete pro Sekunde legen Obergrenzen fest Die Voreinstellungen siehe Abbildung sind so gew hlt dass sie bei normalem praktischem Einsatz nie erreicht werden Bei Angriffen k nnen sie dagegen leicht erreicht werden so dass durch die Begrenzung ein zus tzlicher Schutz eingebaut ist Sollten in Ihrer Betriebsumgebung besondere Anforderungen vorliegen dann k nnen Sie die Werte entsprechend ndern Seite 56 von 113 TAINY xMOD ICMP von extern zum TAINY Werkseinstellung Sicherheitsfunktionen Mit diese
53. AINY xMOD folgende Einstellungen SNMP Traps aktivieren Ziel Host Ziel Port Ziel Name Ziel Community Ereignis Ger te Keepalive Ger te Keepalive Intervall Minuten Ereignis Warnschwelle f r monatliches Volumen erreicht Ereignis Maximales monatliches Volumen erreicht Ereignis Verbindung wiederherstellen Ereignis nderung am Schalteingang Ereignis Aktivierung eines Konfigurations Profils Nein NONE 162 public public Ja 600 Ja Ja Ja Ja Ja Seite 94 von 113 TAINY xMOD Kleines Router Lexikon 12 Kleines Router Lexikon 1 zu 1 NAT AES APN Access Point Name Bei 1 zu 1 NAT bildet eine Netzwerkkomponente z B Router den Adressbereich des einen Netzes in den Adressbereich eines zweiten Netzes ab Beispiel Netz 1 Beispiel Netz 2 Adressbereich 123 123 123 xyz Adressbereich 234 234 234 xyz Ziel Adresse 123 123 123 101 Ziel Adresse 234 234 234 101 De Eine Komponente in Netz 1 adressiert eine Komponente in Netz 2 ber eine Zieladresse aus dem Adressbereich von Netz 1 Die 1 zu 1 NAT Funktion bildet die Zieladresse in den Adressbereich von Netz 2 ab Antworten aus Netz 2 erhalten umgekehrt eine Absenderadresse aus Netz 1 Advanced Encryption Standard Das NIST National Institute of Standards and Technology entwickelt in Zusammenarbeit mit Industrie Unternehmen seit Jahren den AES Verschl sselungsstandard Diese gt symmetrische Verschl sselung soll den bisherigen
54. Anwenderhandbuch TAINY HMOD V2 IO TAINY HMOD L1 IO TAINY EMOD V2 IO TAINY EMOD L1 IO N Dr Neuhaus Copyright Statement Die in dieser Publikation ver ffentlichen Beitr ge sind urheberrechtlich gesch tzt bersetzungen Nachdruck Vervielf ltigung sowie Speicherung in Datenverarbeitungsanlagen bed rfen der ausdr cklichen Genehmigung der Dr Neuhaus Telekommunikation GmbH 2012 Dr Neuhaus Telekommunikation GmbH Alle Rechte vorbehalten Dr Neuhaus Telekommunikation GmbH Papenreye 65 D 22453 Hamburg Fax 49 40 55304 180 Internet http www neuhaus de E Mail Kundendienst neuhaus de Technische nderungen vorbehalten TAINY ist ein Warenzeichen der Dr Neuhaus Telekommunikation GmbH Alle anderen Warenzeichen und Produktbezeichnungen sind Warenzeichen eingetragene Warenzeichen oder Produktbezeichnungen der jeweiligen Inhaber Alle Lieferungen und Leistungen erbringt die Dr Neuhaus Telekommunikation GmbH auf der Grundlage der Allgemeinen Gesch ftsbedingungen der Dr Neuhaus Telekommunikation GmbH in der jeweils aktuellen Fassung Alle Angaben basieren auf Herstellerangaben Keine Gew hr oder Haftung bei fehlerhaften und unterbliebenen Eintragungen Die Beschreibungen der Spezifikationen in diesem Handbuch stellen keinen Vertrag da Produkt Nr 3173 3183 Dok Nr 3183AD001 Version 2 1 Produkte TAINY HMOD V2 IO TAINY EMOD V2 IO TAINY HMOD L1 IO TAINY EMOD L1 IO Ab Firmware Version 1 309 Seite 2
55. Bytes seit Inbetriebnahme Datenvolumen Bytes aktueller Monat Warnschwelle Bytes Anzahl aktivierter Firewall Regeln Aktuelle Systemversion Zeigt die Kennung der Mobilfunk Basisstation an mit der das TAINY xMOD derzeit verbunden ist Zeigt die Anzahl der Anmeldeversuche des TAINY xMOD am APN seit 0 00 Uhr Systemzeit an Der Wert 0 zeigt an dass kein erneuter Anmeldeversuch stattgefunden hat Zeigt die Anzahl der Bytes an die w hrend der bestehenden Verbindung ber den Datenfunkdienst gesendet bzw empfangen worden sind Die Z hler werden bei Aufbau einer neuen Verbindung zur ckgesetzt Hinweis Diese Zahlen dienen nur als Anhaltspunkt f r das Datenvolumen und k nnen von der Abrechnung des Netzbetreibers abweichen Zeigt die Anzahl der Bytes an die seit dem letzten Laden der Werkseinstellung ber den Datenfunkdienst gesendet bzw empfangen worden sind Die Z hler werden bei Laden der Werkseinstellung zur ckgesetzt Zeigt die Anzahl der gesendeten und empfangenen Bytes seit Monatsbeginn Systemzeit an Hinweis Diese Zahlen dienen nur als Anhaltspunkt f r das Datenvolumen und k nnen von der Abrechnung des GSM Netzbetreibers deutlich abweichen Die NTP Synchronisation muss aktiviert sein Zeigt die eingestellte Warnschwelle des Datenvolumens an bei der das TAINY xMOD eine Benachrichtigung versendet Zeigt an wie viele Firewall Regeln aktiviert sind Zeigt die Versionsnummer der Sof
56. D V2 IO ein NAT Router erkannt der die IPsec Datenpakete nicht passieren l sst startet automatisch die UDP Kapselung Erzwingen Bei Aushandlung der Verbindungsparameter der VPN Verbindung wird darauf bestanden dass w hrend der Verbindung die Datenpakete gekapselt bertragen werden Aus Die NAT T Funktion ist ausgeschaltet Wenn die Gegenstelle das Dead Peer Detection DPD Protokoll unterst tzt k nnen die jeweiligen Partner erkennen ob die IPsec Verbindung noch g ltig ist oder nicht und evtl neu aufgebaut werden muss Ohne DPD muss je nach Konfiguration bis zum Ablauf der SA Lebensdauer gewartet oder die Verbindung manuell neu initiiert werden Um zu pr fen ob die IPsec Verbindung noch g ltig ist sendet die Dead Peer Detection selber DPD Anfragen zur Gegenstelle Gibt es keine Antwort wird die IPsec Verbindung nach einer Anzahl von erlaubten Fehlversuchen als unterbrochen angesehen Warnung Durch das Versenden der DPD Anfragen sowie durch die Nutzung von NAT T steigt die Anzahl der ber die Datenfunkdienst Verbindung HSDPA UMTS EGPRS GPRS gesendeten und empfangenen Daten Abh ngig von den gew hlten Einstellungen kann das zus tzliche Datenaufkommen 5 MByte im Monat und mehr betragen Dies kann zu erh hten Kosten f hren Ja Die Dead Peer Detection ist eingeschaltet Das TAINY xMOD V2 IO erkennt unabh ngig von der bertragung von Nutzdaten einen Verlust der Verbindung und wartet in diesem Fall auf den
57. Datapakete wiederhergestellt Diese werden dann zum Ziel im gegen berliegenden Netz weitergeleitet Seite 58 von 113 TAINY xMOD VPN Verbindungen Unterschieden werden zwei Modi der VPN Verbindungen Im VPN Roadwarrior Modus kann das TAINY xMOD V2 IO VPN Verbindungen von Gegenstellen mit unbekannter Adresse annehmen Das k nnen zum Beispiel Gegenstellen im mobilen Einsatz sein die ihre IP Adresse dynamisch beziehen Das TAINY xMOD V2 IO selbst muss ber eine feste IP oder ber einen DynDNS Dienst siehe Kapitel 5 3 und 5 4 erreichbar sein Die VPN Verbindung muss durch die Gegenstelle aufgebaut werden Es ist nur eine VPN Verbindung im Roadwarrior Modus m glich VPN Verbindungen im Standard Modus k nnen dazu parallel betrieben werden Im VPN Standard Modus muss die Adresse IP Adresse oder Hostname des VPN Gateways der Gegenstelle bekannt sein damit die VPN Verbindung aufgebaut werden kann Die VPN Verbindung kann wahlweise aufgebaut werden durch das TAINY xMOD V2 IO oder durch das VPN Gateway der Gegenstelle Der Aufbau der VPN Verbindung ist in zwei Phasen aufgeteilt Zun chst wird in der Phase 1 ISAKMP Internet Security Association and Key Management Protocol die Sicherheitsbeziehung SA Security Association f r den Schl sselaustausch zwischen dem TAINY xMOD V2 IO und dem VPN Gateway der Gegenstelle aufgebaut Danach wird dann in der Phase 2 IPsec Internet Protocol Security die S
58. Datenfunkdienst HSDPA UMTS EGPPS oder GPRS gesendeten und empfangenen Daten Abh ngig von den gew hlten Einstellungen kann das zus tzliche Datenaufkommen 2 5 MByte im Monat Ping an IP Adresse bzw 6 Mbyte im Monat Ping an Hostnamen und mehr betragen Dies kann zu erh hten Kosten f hren Bei Ja ist die Funktion eingeschaltet W hlen Sie bis zu vier Gegenstellen aus die das TAINY xMOD anpingen kann Die Gegenstellen m ssen st ndig erreichbar sein und Ping beantworten Hinweis Vergewissern Sie sich dass sich die ausgew hlten Gegenstellen nicht bel stigt f hlen Legt das Intervall fest mit dem die Ping Pakete der Verbindungs berwachung vom TAINY xMOD versendet werden Die Angabe erfolgt in Minuten TAINY xMOD Seite 45 von 113 Externe Schnittstelle Anzahl der erlaubten Fehlversuche Aktion bei fehlerhafter Verbindung Werkseinstellung Legt fest wie oft es vorkommen darf dass alle Ping Pakete eines Intervalls nicht beantwortet werden d h dass bei vier angepingten Gegenstellen keine antwortet bevor die festgelegte Aktion durchgef hrt wird Verbindung Das TAINY xMOD stellt erneut die Verbindung zum erneuern Datenfunkdienst HSDPA UMTS EGPRS oder GPRS her falls die gesendeten Ping Pakete nicht beantwortet wurden Neustart des Das TAINY xMOD f hrt einen Neustart durch falls die TAINY xMOD gesendeten Ping Pakete nicht beantwortet wurden Werkseitig hat das TAINY xMOD folgend
59. Die MIB ist eine Beschreibungsdatei in denen die einzelnen Werte tabellarisch aufgef hrt werden Die MIB ist jeweils spezifisch f r eine bestimmte Netzwerkkomponente oder f r eine Klasse von Komponenten zum Beispiel Switches SNMP Trap ist eine Benachrichtigung die mittels SNMP Agent Simple Network Management Protokoll von einer Netzwerk Komponente unaufgefordert versendet wird SSH Secure SHell ist ein Protokoll das den gesicherten und verschl sselten Datenaustausch zwischen Rechnern erm glicht Verwendet wird Secure SHell zum Fernzugriff auf die Eingabekonsole von LINUX basierten Maschinen Bei der symmetrischen Verschl sselung werden Daten mit dem gleichen Schl ssel ver und entschl sselt Beispiele f r symmetrische Verschl sselungsalgorithmen sind DES und AES Sie sind schnell jedoch bei steigender Nutzerzahl nur aufwendig administrierbar TAINY xMOD Seite 105 von 113 Kleines Router Lexikon TCP IP Transmission Control Protocol Internet Protocol UDP UMTS VPN Virtuelles Privates Netzwerk Netzwerkprotokolle die f r die Verbindung zweier Rechner im Internet verwendet werden IP ist das Basisprotokoll UDP baut auf IP auf und verschickt einzelne Pakete Diese k nnen beim Empf nger in einer anderen Reihenfolge als der abgeschickten ankommen oder sie k nnen sogar verloren gehen TCP dient zur Sicherung der Verbindung und sorgt beispielsweise daf r dass die Datenpakete in der richtigen R
60. Einf hrung eines zus tzlichen Modulationsverfahrens erh ht werden Mit EDGE werden GPRS zu EGPRS Enhanced GPRS und HSCSD zu ECSD erweitert EGPRS steht f r Enhanced General Packet Radio Service und beschreibt einen auf GPRS beruhenden paketorientierten Datendienst der durch EDGE Technologie beschleunigt ist GPRS ist die Abk rzung von General Packet Radio Service und ein Daten bertragungssystem von GSM2 Mobilfunksystemen GPRS Systeme nutzen die Basisstationen der GSM Netze f r die Funktechnik und eine eigene Infrastruktur zur Vernetzung und zur Kopplung an andere IP Netze wie zum Beispiel dem Internet Daten werden dabei paket orientiert vermittelt wobei das Internet Protokoll IP verwendet wird GPRS stellt Datenraten von bis zu 115 2 KBit s zur Verf gung GSM Global System for Mobile Communication ist ein weltweit verbreiteter Standard f r digitale Mobilfunknetze GSM unterst tzt au er dem Sprachdienst zur Telefonie verschiedene Datendienste wie Fax SMS CSD und GPRS Abh ngig von gesetzlichen Bestimmungen in den verschiedenen L ndern werden die Frequenzb nder 900 MHz 1800 MHz oder 850 MHz und 1900 MHz verwendet HSDPA High Speed Downlink Packet Access ist eine Erweiterung des UMTS Netzes die h here bertragungsraten bei der Daten bertragung von der Basisstation zur Mobilstation erm glicht HTTPS HyperText Transfer Protocol Secure ist eine Variante des bekannten HTTP wie es von jedem Web Brow
61. Einleitung Szenarium 1 Virtual Private Network VPN mit Ipsec Ende zu Ende Nur TAINY xMOD V2 IO Lokales Netz Gegen berliegendes Netz Admin PC Admin PC VPN Gateway um DES Externe OOo U Lal Gegenstellen VPN Tunnel Hinweis HSDPA und UMTS werden nur vom TAINY HMOD unterst tzt Lal TAINY 47 Lokale Applikation Lokale Applikation Verbindung ber HSDPA UMTS EGPRS oder GPRS und ein direktes VPN Szenarium 2 des Mobilfunkbetreibers zum externen Netz Lokales Netz Externes Netz N Lokale Lal Applikation Lal Router m Firewall Externe Lokale iri Gegenstellen Applikation n mn m G m Lal bech Lokale Direktes VPN des Applikation Drahtlose IP Verbindung Mobilfunkbetreibers ber HSDPA UMTS E GPRS zum E GPRS Hinweis HSDPA und UMTS werden nur vom TAINY HMOD unterst tzt Szenarium 3 Verbindung ber HSDPA UMTS EGPRS oder GPRS und das Internet zum externen Netz Externes Netz Lokales Netz Lokale Applikation Router Lal Firewall GC Externe OOo D Lal Gegenstellen Hinweis HSDPA und UMTS werden nur vom TAINY HMOD unterst tzt TAINY Lokale Applikation Lokale Applikation Drahtlose IP Verbindung ber HSDPA UMTS E GPRS Lokale Applikationen k nnten zum Beispiel eine programmierbare Steuerung eine Maschine mit Ethernet Schnittstelle zur Fern berwachung oder ein Notebook bzw PC sein Diese Applikationen benutzen das TAINY xMOD um Zugri
62. ID und die Remote ID werden vom IPsec genutzt um beim Aufbau der VPN Verbindung die Gegenstellen eindeutig zu identifizieren Bei Authentifizierung mit X 509 Zertifikat oder CA Zertifikat Bel t man die Werkseinstellung NONE so werden als Lokale ID und Remote ID automatisch die Distinguished Names aus dem eigenen Zertifikat und aus dem von der Gegenstelle bermittelten Zertifikat bernommen und verwendet ndert man manuell den Eintrag f r die Lokale ID oder die Remote ID so m ssen die korrespondierenden Eintr ge der Gegenstelle angepasst werden Die eigene Lokale ID muss mit der Remote ID der Gegenstelle bereinstimmen und umgekehrt Die Eintr ge f r Lokale oder Remote ID m ssen im ASN 1 Format erfolgen z B C XY O XY Org CN xy org org Bei Authentifizierung mit Pre Shared Secret Key PSK Bel t man die Werkseinstellung NONE so werden automatisch als Lokale ID die eigene IP Adresse und als Remote ID die IP Adresse der Gegenstelle bernommen ndert man manuell den Eintrag f r die Lokale ID oder f r die Remote ID so m ssen die Eintr ge das Format eines Hostnames z B RemoteStation de oder das Format einer E Mail Adresse remote station de haben Die eigene Lokale ID muss mit der Remote ID der Gegenstelle bereinstimmen und umgekehrt Hinweis Wenn bei Pre Shared Secret Key PSK nicht die IP Adresse als Remote ID verwendet wird muss als ISAKMP SA Modus
63. IKE Neu Status z Nein M TestVPN_1 Bearbeiten Bearbeiten L schen gt Zugang SMS Ja M TestYVPN_2 Bearbeiten Bearbeiten L schen gt sur b Wartung Nein e TestvPN_3 Bearbeiten Bearbeiten L schen Speichen Zur cksetzen Das TAINY xMOD V2 IO kann das lokale Netz ber einen VPN Tunnel mit einem befreundeten gegen berliegenden Netz verbinden Die IP Datenpakete die zwischen den beiden Netzen ausgetauscht werden werden verschl sselt und sind durch den VPN Tunnel gegen unerlaubte Manipulationen gesch tzt So k nnen auch ungesch tzte ffentliche Netze wie das Internet zum Transport der Daten verwendet werden ohne die Vertraulichkeit oder Integrit t der Daten zu gef hrden Lokales Netz Gegen berliegendes Netz Admin PC SS Admin PC Lal TAINY 4 VPN Gateway Externe OOo m Lal Gegenstellen VPN Tunnel Lokale Applikation Lokale Applikation Hinweis HSDPA und UMTS werden nur vom TAINY HMOD unterst tzt Damit das TAINY xMOD V2 IO einen VPN Tunnel aufbauen kann muss das gegen berliegende Netz ber ein VPN Gateway als Gegenstation des TAINY xMOD V2 IO verf gen Das TAINY xMOD V2 IO verwendet f r den VPN Tunnel das IPsec Verfahren im Tunnelmodus Dabei werden die zu bertragenden IP Datenpakete vollkommen verschl sselt und mit einem neuen Header versehen bevor sie zum VPN Gateway der Gegenstelle gesendet werden Dort werden die empfangenen Datapakete entschl sselt und aus ihnen die urspr nglichen
64. INY xMOD Seite 107 von 113 Kleines Router Lexikon Zus tzliche interne Die nachfolgende Skizze zeigt wie in einem lokalen Netzwerk mit Routen Subnetzen die IP Adressen verteilt sein k nnten welche Netzwerk Adressen daraus resultieren und wie die Angabe einer zus tzlichen internen Route lauten k nnte TAINY externe Adresse vom Provider zugewiesen z B 80 81 192 37 TAINY Interne Adresse 192 168 11 1 APN ogg m Switch EA Netzadresse 192 168 11 0 24 N Maske 255 255 255 0 Router IP extern 192 168 11 2 IP intern 192 168 15 254 gt N Maske 255 255 255 0 nimm m Switch Netz B Netzadresse 192 168 15 0 24 N Maske 255 255 255 0 Router IP extern 192 168 15 1 gt IP intern 192 168 27 254 gt N Maske 255 255 255 0 Netz C Netzadresse 192 168 27 0 24 N Maske 255 255 255 0 interne Routen Netz A ist an das TAINY xMOD angeschlossen und ber dieses mit einem entfernten Netz verbunden Zus tzliche interne Routen zeigen den Weg zu weiteren Netzen Netz B C die ber Gateways Router miteinander verbunden sind F r das TAINY xMOD sind bei dem gezeigten Beispiel die Netze B und C beide ber das Gateway 192 168 11 2 und die Netzwerkadresse 192 168 11 0 24 erreichbar Seite 108 von 113 TAINY xMOD Kleines Router Lexikon IP Adresse 192 168 11 3 192 168 11 4 192 168 11 5 192 168 11 6 192 168 11 7 Netzwerk 255 255 255 0
65. Installationsmodus sind alle Nutzverbindungen zum externen Netz unterbrochen Ein normaler Wirkbetrieb ist im Installationsmodus nicht m glich Zeigt die Kenndaten der Funkzelle an mit der das TAINY xMOD aktuell verbunden ist Zeigt die Kenndaten benachbarter Funkzellen an von denen das TAINY xMOD Signale empf ngt Anzeige der Qualit t Feldst rke mit der das Signal der Funkzelle empfangen wird Angegeben wird der CSQ Wert und umgerechnet als RSSI Wert dBm TAINY xMOD Seite 49 von 113 Externe Schnittstelle Cell ID LAC ARFCN BSIC Gibt die Kennung Cell ID der Funkzelle an Gibt die Kennung LAC des aus mehreren Basisstationen Funkzellen bestehenden Netzabschnittes in der Umgebung des TAINY xMOD an Gibt die Nummer ARFCN des Funkkanal an auf dem die Funkzelle sendet Gibt die Kennung BSIC der Basisstation an zu der die Funkzelle geh rt 5 7 Volumen berwachung Netzwerk Extern Volumen berwachung Volumen berwachung aktivieren bertragene Bytes seit Monatsbeginn Zur cksetzen Maximales Datenvolumen in Bytes pro Monat Warn SMS bei Volumen berschreitung 80 Alarm SMS bei Volumen berschreitung 100 Rufnummer Text Netzwerk Extern Volumen berwachung gt Netzwerk Intern lletzwerk Extern UMTSEDGE Installations modus Volumen berwachung aktivieren Ja v bertragene Bytes seit Monatsbeginn H Zur cksetzen berwachung p Erweiterte
66. M Auf Verbindung durch die Gegenstelle warten Nein M Firewall Regeln f r VPH Tunnel Bearbeiten Speichern Zur ck Seite 72 von 113 TAINY xMOD VPN Verbindungen i berblick Fi j IPsec VPN Firewall ee IPSec VPN Firewall Regeln bearbeiten H gt Netzwerk Intern e e Rege n bearbeiten Kgetzegegere Firewall Regeln Eingehend gt Sicherheit Protokoll Vonip Von Port Nach IP Hach Port Aktion Log Neu IPSec VPN Verbindungen Zertifikate berwachung Erweitert Firewall Regeln Ausgehend Protokoll Von ip Von Port Nach IP Hach Port Aktion Log Neu Log Eintr ge f r unbekannte eingehende Verbindungsversuche Nein M gt simp Log Eintr ge f r unbekannte ausgehende Verbindungsversuche Nein M gt Wartung Speichen Zur ck Funktion Die IPsec VPN Verbindung wird grunds tzlich als sicher angesehen So ist der Datenverkehr ber diese Verbindung standardm ig nicht beschr nkt Es ist aber m glich Firewall Regeln f r die VPN Verbindung zu erstellen Gehen Sie bei der Einrichtung der Firewall Regeln f r die VPN Verbindung vor wie bei der Einrichtung der Paketfilter Funktion der allgemeinen Firewall siehe Kapitel 6 1 Die hier festgelegten Regeln gelten aber nur f r die jeweilige VPN Verbindung Werkseinstellung Werkseitig verwendet das TAINY xMOD V2 IO folgende Einstellungen f r eine neu angelegte Verbindung Firewall Regeln f r VPN Tunnel Keine Beschr nkungen 7 6 berwachung der VPN Verbindungen IPsec
67. MOD V2 IO unterst tzt drei Verfahren x 509 Zertifikat CA Zertifikat Pre Shared Key X 509 Zertifikat CA Zertifikat Bei den Authentifizierungsverfahren X 509 Zertifikat und CA Zertifikat werden zur Authentifikation Schl ssel verwendet die zuvor durch eine zertifizierende Stelle CA Certification Authority signiert wurden Diese Verfahren gelten als besonders sicher Eine CA kann ein Dienstleister sein aber z B auch der System Administrator Ihres Projektes sofern dieser ber die notwendigen Software Werkzeuge verf gt Die CA erstellt f r beide Gegenstellen einer VPN Verbindung je eine Zertifikatsdatei PKCS12 mit der Dateiendung p12 Diese Zertifikatsdatei enth lt den ffentlichen und privaten Schl ssel der eigenen Station das signierte Zertifikat der CA und den ffentlichen Schl ssel der CA F r das Authentifizierungsverfahren X 509 gibt es zus tzlich f r jede der beiden Gegenstellen noch eine Schl sseldatei pem oder crt mit dem ffentlichen Schl ssel der eigenen Station Seite 60 von 113 TAINY xMOD Gegenstellen Zertifikat Remote ID Lokale ID VPN Verbindungen x 509 Zertifikat Der Austausch der ffentlichen Schl ssel Datei mit Endung pem oder crt zwischen dem TAINY xMOD V2 IO und dem VPN Gateway der Gegenstelle erfolgt manuell zum Beispiel per CD ROM oder per E Mail Zum Laden des Zertifikates gehen Sie vor wie im Kapitel 7 4 beschrieben CA Zertifikat Der Aus
68. NY HMOD bieten diesen Anschluss an jedem Ort an dem ein UMTS Netz Universal Mobile Telecommunication System Mobilfunknetz 3 Generation oder ein GSM Netz Global System for Mobile Communication Mobilfunknetz verf gbar ist das IP basierte Datendienste bereitstellt Bei UMTS sind dies der HSDPA Data Service High Speed Download Data Access oder der UMTS Data Service und bei GSM sind dies EGPRS Enhanced General Packet Radio Service EDGE oder GPRS General Packet Radio Service Die TAINY EMOD bieten diesen Anschluss an jedem Ort an dem ein GSM Netz Global System for Mobile Communication Mobilfunknetz verf gbar ist das als Dienste EGPRS Enhanced General Packet Radio Service EDGE oder GPRS General Packet Radio Service bereitstellt Voraussetzung daf r ist eine SIM Karte eines Mobilfunkbetreibers mit entsprechend freigeschalteten Diensten Die TAINY xMOD L1 IO verbinden so eine lokal angeschlossene Applikation oder ganze Netzwerke ber drahtlose IP Verbindungen mit dem Internet M glich ist auch die direkte Verbindung mit einem Intranet an dem wiederum die externen Gegenstellen angeschlossen sind Die TAINY xMOD V2 IO k nnen ber eine drahtlose IP Verbindung ein VPN Virtual Private Network zwischen einer lokal angeschlossene Applikation einem Netzwerk und einem externen Netz aufbauen und diese Verbindung mittels IPsec Internet Protocol Security gegen Zugriffe Dritter sch tzen TAINY xMOD Seite 9 von 113
69. Neuaufbau der Verbindung durch die Gegenstellen Nein Die Dead Peer Detection ist ausgeschaltet Zeitspanne in Sekunden nach welcher DPD Anfragen gesendet werden sollen Diese Anfragen testen ob die Gegenstelle noch verf gbar ist TAINY xMOD Seite 63 von 113 VP Verbindungen DPD Timeout Sekunden DPD Maximale Fehlversuche Zeitspanne in Sekunden nach der die Verbindung zur Gegenstelle f r tot erkl rt werden soll wenn auf die DPD Anfragen keine Antwort erfolgte Anzahl der zul ssigen Fehlversuche bevor die IPsec Verbindung als unterbrochen angesehen wird Werkseinstellung Werkseitig hat das TAINY xMOD V2 IO folgende Einstellungen Name Roadwarrior Aktiviert Nein Ausgeschaltet Authentifizierungsverfahren CA Zertifikat Rembote ID NONE Lokale ID NONE Gegenstellen Zertifikat ISAKMP SA Verschl sselung AES 128 IPSec SA Verschl sselung AES 128 ISAKMP SA Hash MD5 IPSec SA Hash MD5 ISAKMP SA Modus Main ISAKMP SA Lebensdauer Sekunden 86400 IPSec SA Lebensdauer Sekunden 86400 NAT T An Aktiviere Dead Peer Detection Ja DPD Verz gerung Sekunden 150 DPD Timeout Sekunden 60 DPD Maximale Fehlversuche 5 7 3 VPN IPsec Standard Modus IPsec VPN gt Some IPSec VPN Verbindungen Verbindungen NUR TAINY HMOD V2 IO NUR TAINY EMOD V2 IO Funktion gt lletzwerk Intern gt Netzwerk Extern gt Sicherheit Aktiviert tlame VPN Roadwarrior Modus Y IPSec VPN Nein M Verbindungen Zertifika
70. ON ERROR Missing or incorrect GSM parameter 13 12 2007 20 03 3173 X SERVICE MASK 495591 4APL 34 SYSTEM RUNNING SUCCESSFUL _ CelllD 4389 Version 1 014 TXS RXS TX0 RXO 13 12 2007 20 19 3173 COPS 26201 SERVICE_MASK 495591 4 APL 34 SYSTEM RUNNING SUCCESSFUL _ CelllD 4389 Version 1 014 TXS RXS IS RH 13 12 2007 20 36 3173XX COPS 26201 SERVICE_MASK 495591 4JAPL_ 34 SYSTEM RUNNING SUCCESSFUL CelllD 4389 Version 1 014 TXS RXS TX0 RX 0 13 12 2007 20 52 3173 SERVICE MASK 495591 AAL 34 SYSTEM RUNNING SUCCESSFUL _ CelllD 4389 Version 1 014 TXS RXS IS RH 13 12 2007 21 09 3173 X SERVICE MASK 495591 4 APL 34 SYSTEM RUNNING SUCCESSFUL _ CelllD 4389 Version 1 014 TXS RXS TX0 BC 13 12 2007 21 25 3173 STAT 1 SERVICE MASK 495591 4lAPL 34 SYSTEM RUNNING SUCCESSFUL _ CelllD 4389 Version 1 014 TXS RXS IS RXD 14 12 2007 12 15 3173XX null SERVICE_MASK O 4 UH 41 CURRENT SYSTEM VERSION 1 014 14 12 2007 12 16 3173 X STAI SERVICE MASK 495591 _4JAPL 0ISYSTEM STARTING Success 14 12 2007 12 16 3173XX STAI SERVICE _MASK 495591 OJAPL 5 CONNECTION ERROR Missing or incorrect GSM parameter 14 12 2007 12 16 3173 STAI SERVICE _MASK 495591 4ICH 9 CONFIGURATION FILE ACCESS write values 14 12 2007 12 1613173 STAI SERVICE _MASK 495591 4ICH 9ICONFIGURATION FILE ACCESS InternallPs InternallP_0 1P 192 168 1 1 14 12 2007 12 16 3173 X STAI SERVICE _MASK 495591 4ICH 9ICONFIGURATION FILE ACCESS InternallPs InternallP_0 NetMask 255 255
71. Ronon Lk HSDPA UMTS SE Externe m m m i m um Gegenstellen E GPRS SE Drahtlose IP Verbindung ber HSDPA UMTS E GPRS Lokale Applikation Lokale Applikation Hinweis HSDPA und UMTS werden nur vom TAINY HMOD unterst tzt Lokales Netz Netzwerk angeschlossen an der lokalen Schnittstelle der TAINY xMOD Das lokale Netz enth lt mindestens eine lokale Applikation Lokale Schnittstelle Schnittstelle der TAINY xMOD zum Anschluss des lokalen Netzes Die Schnittstelle ist am Ger t mit 10 100 Base T gekennzeichnet Es handelt sich um eine Ethernet Schnittstelle mit 10Mbit s oder 100Mbit s Datenrate Autosensing MDI MDIX Seite 12 von 113 TAINY xMOD Lokale Applikation Admin PC Externes Netz Externe Gegenstellen E JGPRS VPN Gateway Gegen berliegendes Netz Mobilfunknetz Datenfunkdienst Einleitung Lokale Applikationen sind Netzwerkkomponenten im lokalen Netz zum Beispiel eine programmierbare Steuerung eine Maschine mit Ethernet Schnittstelle zur Fern berwachung ein Notebook bzw PC oder der Admin PC Rechner mit Web Browser z B MS Internet Explorer ab Version 7 oder Mozilla Firefox ab Version 2 angeschlossen an das lokale Netz oder das externe Netz mit dem die Konfiguration der TAINY xMOD durchgef hrt wird Der Web Browser muss HTTPS unterst tzen F r die Ger tekonfiguration ber SSH wird auf dem Admin PC ein SSH Client wie z B putty ben tigt Externes Netzwe
72. TAINY xMOD Firmware mit Open Source GPL LGPL Die Firmware von TAINY xMOD enth lt open Source Software unter GPL LGPL Bedingungen Gem des Abschnitts 3b von GPL und des Abschnitts 6b von LGPL bieten wir Ihnen den Quellkode an Sie finden den Quellkode auf unserer Web Seite im Internet www neuhaus de Alternativ k nnen Sie den Quellkode auch bei uns auf CD ROM anfordern Senden Sie eine eMail an Kundendienst neuhaus de Als Betriffttext Ihrer E Mail geben Sie bitte Open Source xMOD an um Ihre Nachricht leicht herausfiltern zu k nnen Die Lizenzbedingungen der open Source Software erhalten Sie mit dem Quellkode Firmware mit OpenBSD Die Firmware von TAINY xMOD V2 IO enth lt Teile aus der OpenBSD Software Die Verwendung von OpenBSD Software verpflichtet zum Abdruck des folgenden Copyright Vermerkes Copyright c 1982 1986 1990 1991 1993 The Regents of the University of California All rights reserved Redistribution and use in source and binary forms with or without modification are permitted provided that the following conditions are met 1 Redistributions of source code must retain the above copyright notice this list of conditions and the following disclaimer 2 Redistributions in binary form must reproduce the above copyright notice this list of conditions and the following disclaimer in the documentation and or other materials provided with the distribution 3 All advertising materials mentioning features or
73. TAINY xMOD die Spannung jeweils 60V nicht berschreiten TAINY xMOD Seite 21 von 113 Inbetriebnahme Schaltausgang O1a Olb Das TAINY xMOD V2 IO hat einen Schaltausgang Der Schaltausgang hat seine Anschl sse an den Schraubklemmen der rechten Ger teh lfte Die Klemmen sind mit O1a O1b bezeichnet Ola A ob Umax 30V Imax 20mA Der Schaltausgang ist aktiv Schalter geschlossen wenn mindestens eine VPN Verbindung aufgebaut ist Der Schaltausgang ist nicht aktiv Schalter offen wenn keine VPN Verbindung aufgebaut ist Warnung Der Schaltausgang ist gegen ber den anderen Anschl ssen des TAINY xMOD galvanisch getrennt Verbindet die am TAINY xMOD angeschlossene Installation ein Signal des Schaltausgangs galvanisch mit der Versorgungsspannung darf zwischen jedem Signal des Schaltausgangs und jedem Anschluss der Versorgungsspannung des TAINY xMOD die Spannung jeweils 60V nicht berschreiten 2 7 Die SIM Karte einlegen Achtung Bevor Sie die SIM Karte einlegen tragen Sie bitte im TAINY xMOD ber die Web Oberfl che die PIN der SIM Karte ein Siehe Kapitel 5 1 1 Nachdem Sie die PIN der SIM Karte eingetragen haben trennen Sie bitte das TAINY xMOD vollst ndig von der Versorgungsspannung 2 Die Schublade f r die SIM Karte befindet sich auf der Ger ter ckseite In der Geh use ffnung befindet sich direkt neben der Schublade f r die SIM Karte ein kleiner gelber Taster Dr cken
74. VPN E erg IPSec VPN berwachung gt Netzwerk Intern U berwach un g gt Netzwerk Extern VPH berwachung verwenden Ja gt Sicherheit NUR TAINY HMOD V2 IO S Ve Intervall f r Verbindungspr fung Minuten 5 NUR TAINY EMOD V2 IO en Verz gerung bis zur Wiederholung 1 Erweitert Anzahl der Wiederholungen 3 Status gt Zugang Ziel Hosts S SG Hame des Tunnels Host IP Adresse Client IP Adresse Neu gt Wartung TestvPN_1 192 168 2 1 192 168 1 1 L schen Speichern Zur cksetzen Funktion Mit der berwachung der VPN Verbindungen berpr ft das TAINY xMOD V2 IO aufgebaute VPN Verbindungen Dazu sendet das TAINY xMOD V2 IO ber die VPN Verbindung in regelm igen Zeitabst nden Ping Pakete ICMP an ein oder mehrere Gegenstellen Ziel Hosts Dies geschieht unabh ngig von den Nutzdaten F r jede VPN Verbindung kann eine eigene Uberwachung eingerichtet werden Erh lt das TAINY xMOD V2 IO auf einen Ping mindestens von einer der adressierten Gegenstellen eine Antwort ist die VPN Verbindung noch funktionsbereit Ziel Hosts TANy Pin Antwort VPN Verbindung Antwort m Client IP Host IP TAINY xMOD Seite 73 von 113 VPN Verbindungen VPN berwachung verwenden Intervall f r Verbindungspr fung Verz gerung bis zur Wiederholung Anzahl der Wiederholungen Ziel Hosts Werkseinstellung Antwortet keine der Gegenstellen auf den Ping wird nach einer einstellbaren Verz gerung der Pi
75. VWX YZ _abcdefghljkImnopqarstuvwxyz Mit Anlegen werden die Einstellungen in einem Profil mit diesem Namen gespeichert und dann in der Tabelle der gespeicherten Konfigurations Profile angezeigt Die Tabelle der gespeicherten Konfigurations Profile zeigt alle Profile an die in dem TAINY xMOD gespeichert sind Download L dt das Profil auf den Admin PC TAINY xMOD Seite 31 von 113 Konfiguration Konfigurations Profile per SSH laden und aktivieren Aktivieren Das TAINY xMOD bernimmt die Einstellungen des ausgew hlten Konfigurations Profils und arbeitet mit diesen weiter L schen Das Konfigurations Profil wird gel scht Das Profil Standard Konfiguration enth lt die Werkseinstellungen und kann nicht gel scht werden Konfigurations Profile k nnen auch ber den SSH Zugang siehe Kapitel 8 2 in das TAINY xMOD geladen und aktiviert werden Kopieren Sie dazu das Konfigurations Profil z B TAINY tgz per SSH in das Verzeichnis webserver profiles Kopieren Sie danach eine Trigger Datei mit folgenden Namen in das gleiche Verzeichnis lt Konfigurations Profil gt s now trigger Sobald das TAINY xMOD diese Datei in dem Verzeichnis erkennt wird das neue Konfigurations Profil bernommen Der Inhalt der Trigger Datei spielt keine Rolle Beispiel Konfigurations Profil TAINY tgz Trigger Datei TAINY tgz now trigger 3 8 Passwort ndern Zugang gt Passwort Funktion Zugangspasswort Werkseinstellun
76. Verbleib Log F r jede einzelne Firewall Regel k nnen Sie festlegen ob bei Greifen der Regel das Ereignis protokolliert werden soll Log auf Ja setzen oder nicht Log auf Nein setzen werkseitige Voreinstellung Das Protokoll wird in das Firewall Logbuch siehe Kapitel 6 4 geschrieben TAINY xMOD Seite 79 von 113 Fernzug nge Werkseinstellung Werkseitig hat das TAINY xMOD folgende Einstellungen SSH Fernzugang aktivieren Nein Ausgeschaltet Port f r SSH Fernzugang 22 Vorgabe f r neue Regel Von IP extern 0 0 0 0 0 Aktion Erlauben Log Nein Ausgeschaltet 8 3 Fernzugang ber W hlverbindung Zugang gt CSD Einwahl Funktion NUR f r TAINY HMOD CSD Einwahl aktivieren PPP Benutzername Passwort ee Zugang CSD Einwahl gt System gt Netzwerk Intern gt Netzwerk Extern CSD Einwahl aktivieren Ja gt Sicherheit gt IPSec VPN e Zugang Pre PPP Passwort eneneee HTTPS PPP Benutzername service CSD Einwahl Zugelassene Rufnummern Clip Pr fung gt sms Rufnummer Neu g Ha 49123456789 L schen ung Speichern Zur cksetzen Der Zugang CSD Einwahl erm glicht den Zugriff auf die Web Oberfl che und ssh Konsole des TAINY xMOD ber eine Daten W hlverbindung CSD Circuit Switched Data Rufen Sie dazu das TAINY xMOD mit einem analogen Modem auf der Datenrufnummer oder mit einem GSM Modem auf der Sprach oder Datenrufnummer seiner SIM Karte an Das TAINY xMOD nim
77. Y xMOD befindet sich ein kleines Loch siehe B hinter dem sich ein Taster befindet Benutzen Sie einen d nnen Gegenstand z B eine aufgebogene B roklammer um den Taster zu dr cken Wenn Sie den Taster l nger als 5 sec dr cken f hrt das TAINY xMOD einen Neustart durch und l dt dabei die Werkseinstellungen Seite 16 von 113 TAINY xMOD 2 5 Betriebsanzeigen Inbetriebnahme Das TAINY xMOD V2 IO hat jeweils 8 Signalleuchten LEDs das TAINY xMOD L1 IO hat 7 Signalleuchten LEDs zur Anzeige des Betriebszustands Die 3 Signalleuchten auf der linken Ger teh lfte zeigen den Zustand des Funkmodems an TAINY HMOD Leuchte Zustand Bedeutung S Status Langsam blinkend PIN bergabe Schnell blinkend PIN Fehler SIM Fehler EIN PIN bergabe erfolgreich Q Quality AUS Nicht im GSM Netz eingebucht Kurz aufblinkend Signalst rke schlecht CSQ lt 6 Langsam blinkend Signalst rke mittel CSQ 6 10 EIN mit kurzen Unterbrechungen Signalst rke gut CSQ 11 18 EIN Signalst rke sehr gut CSQ gt 18 C Connect AUS Keine Verbindung Schnell blinkend Service Ruf ber CSD aktiv Langsam blinkend EGPRS GPRS Verbindung aktiv EIN HSDPA UMTS Verbindung aktiv S Q C schnelles Lauflicht Booten gemensam langsames Lauflicht Update synchrones schnelles Blinken Fehler TAINY xMOD Seite 17 von 113 Inbetriebnahme TAINY EMOD Leuchte Zustand Bedeutung S Status Langsam blinkend PIN berga
78. alifiziertem Personal durchgef hrt werden Seite 20 von 113 TAINY xMOD Inbetriebnahme Schraubklemmen Versorgung Schalteingang Schaltausgang 24V OV i lt I1 11 Ola O1b 24V OV Versorgungs Das TAINY xMOD arbeitet mit einer Gleichspannung von 12 60 V DC Spannung nominell 24 V DC Diese Versorgungsspannung wird an die Schraubklemmen der linken Ger teh lfte angeschlossen Die Stromaufnahme betr gt etwa 450mA bei 12V und 100mA bei 60V Igurst gt 1 26 A Warnung Das Netzteil des TAINY xMOD ist nicht potentialgetrennt Beachten Sie bitte die Sicherheitshinweise am Anfang dieses Handbuchs Hinweis Achten Sie bitte auf eine ausreichende Dimensionierung der Versorgungsquelle Eine zu schwache Versorgung kann zu einem instabilen Betrieb f hren Schalteingang Das TAINY xMOD hat einen Schalteingang Der Schalteingang hat seine I1 11 Anschl sse an den Schraubklemmen der rechten Ger teh lfte Die Klemmen sind mit I1 11 bezeichnet 11 SC SE N uv EZ Un 5 30V An Un gt 5 V Aus Un lt 1 2 V Zur Funktion des Schalteingangs siehe auch Kapitel 9 6 Warnung Der Schalteingang ist gegen ber den anderen Anschl ssen des TAINY xMOD galvanisch getrennt Verbindet die am TAINY xMOD angeschlossene Installation ein Signal des Schalteingangs galvanisch mit der Versorgungsspannung darf zwischen jedem Signal des Schalteingangs und jedem Anschluss der Versorgungsspannung des
79. ar gz Download Download Download Download Download Download Download Download Im Logbuch werden wichtige Ereignisse im Betriebsablauf des TAINY xMOD abgespeichert Neustart nderungen der Konfiguration Verbindungsaufbau Verbindungsunterbrechungen Signalst rke UNI Das Logbuch wird bei Erreichen einer Dateigr e von 1MByte sp testens aber nach 24 Stunden im Logbuch Archiv des TAINY xMOD gespeichert Download das aktuelle Logbuch wird auf den Admin PC geladen Sie k nnen das Verzeichnis ausw hlen in dem die Datei dort gespeichert wird und die Datei dort betrachten Download archivierte Logbuch Dateien werden auf den Admin PC geladen Sie k nnen das Verzeichnis ausw hlen in dem die Dateien dort gespeichert werden und die Dateien dort betrachten Beispiel A B c D E F G H I J K L M N o P 13 12 2007 11 04 3173XX null null null SERVICE_MASK O 4 UH 41 CURRENT SYSTEM VERSION 1 014 13 12 2007 19 46 3173 null null null SERVICE_MASK O 4 UH 41 CURRENT SYSTEM VERSION 1 014 13 12 2007 19 4613173 SERVICE _MASK 495591 4 APL 0ISYSTEM STARTING Success 13 12 2007 19 47 3173 null DIAPL 5ICONNECTI
80. be Schnell blinkend PIN Fehler SIM Fehler EIN PIN bergabe erfolgreich Q Quality AUS Nicht im GSM Netz eingebucht Kurz aufblinkend Signalst rke schlecht CSQ lt 6 Langsam blinkend Signalst rke mittel CSQ 6 10 EIN mit kurzen Unterbrechungen Signalst rke gut CSQ 11 18 EIN Signalst rke sehr gut CSQ gt 18 C Connect AUS Keine Verbindung Schnell blinkend Service Ruf ber CSD aktiv EIN mit kurzen Unterbrechungen GPRS Verbindung aktiv EIN EGPRS Verbindung aktiv S Q C schnelles Lauflicht Booten gemensam langsames Lauflicht Update synchrones schnelles Blinken Fehler Seite 18 von 113 TAINY xMOD Inbetriebnahme TAINY xMOD V2 IO Die 5 Signalleuchten auf der rechten Ger teh lfte zeigen den Zustand weiterer Ger tefunktionen an Leuchte Zustand Bedeutung POWER EIN Ger t eingeschaltet Betriebsspannung liegt an AUS Ger t ausgeschaltet Betriebsspannung fehlt LAN EIN Ethernet Verbindung zur lokalen Applikation bzw zum lokalen Netz hergestellt AUS Keine Ethernet Verbindung zur lokalen Applikation bzw zum lokalen Netz EIN mit kurzen Unterbrechungen Datentransfer ber die Ethernet Verbindung VPN EIN Mindestens eine VPN Verbindung aufgebaut AUS Keine VPN Verbindung aufgebaut IN EIN Schalteingang aktiv AUS Schalteingang nicht aktiv OUT EIN Schaltausgang aktiv AUS Schaltausgang nicht aktiv TAINY xMOD L1 IO Die 4 Signalleuchten auf der rechten Ger teh lfte zeigen den Zustand
81. bene Identifikations Nummer Diese ist auf der SIM Karte gespeichert Das TAINY xMOD liest diese Net ID von der SIM Karte und w hlt die entsprechenden UMTS oder GPRS Zugangsdaten aus der Liste der Provider Sie finden die NET ID auf unserer Web Seite www neuhaus de in den Unterlagen Ihres GSM GPRS Netzbetreibers auf seiner Internetseite oder erfragen ihn bei dessen Hotline Stichwort MCC MNOC Geben Sie hier den Benutzername f r den Datenfunkdienst HSDPA UMTS EGPRS oder GPRS ein Einige Mobilfunkbetreiber verzichten auf die Zugangskontrolle durch Benutzername und oder Passwort In diesem Fall tragen Sie in das jeweilige Feld gast ein Geben Sie hier das Passwort f r den Datenfunkdienst HSDPA UMTS EGPRS oder GPRS ein Einige Mobilfunkbetreiber verzichten auf die Zugangskontrolle durch Benutzername und oder Passwort In diesem Fall tragen Sie in das jeweilige Feld gast ein Geben Sie hier den Namen des bergangs vom Datenfunkdienst HSDPA UMTS EGPRS oder GPRS zu weiteren Netzen ein Sie finden den APN in den Unterlagen Ihres Mobilfunkbetreibers auf seiner Internetseite oder erfragen ihn bei dessen Hotline F r die Anmeldung am Datenfunkdienst HSDPA UMTS EGPRS oder GPRS werden zwei verschiedene Verfahren PAP und CHAP genutzt In der Regel erfolgt die Auswahl des Verfahrens automatisch Soll ein bestimmtes Verfahren benutzt werden so kann die Auswahl manuell erfolgen W hlen Sie aus zwischen Auto PAP oder CHAP
82. cksetzen gt SIMP gt Wartung Das TAINY xMOD bietet vier Textfelder in denen beliebige Zeichenketten zum Beispiel zur Ger teidentifikation gespeichert werden k nnen Die Textfelder k nnen beschrieben und gelesen werden Die Textfelder sind jeweils auf 60 Zeichen begrenzt amp 0123456789 lt gt ABCDEFGHIJKL MNOPQRSTUVWXYZI _ abcdefghljkImnopqrstuv wxyz l Die vier Textfelder k nnen mittels SNMP ausgelesen werden siehe Kapitel 11 1 Seite 34 von 113 TAINY xMOD Lokale Schnittstelle 4 Lokale Schnittstelle 4 1 IP Adressen der lokalen Schnittstelle Netzwerk Intern gt Grundeinstellungen gt Lokale IPs Lokale IP Adresse laut Werkseinstellung 192 168 1 1 berblick E System e Netzwerk Intern e Grundeinstellungen Lokale IPs Netzwerk Intern Lokale IPs IP Adressen D Netzmaske Neu DHCP 192 168 1 1 255 255 255 0 DIS p Erweiterte Einstellungen gt Netzwerk Extern gt Sicherheit gt IPSec VPN gt Zugang SMS 10 10 1 1 255 255 255 0 L schen Speichen Zur cksetzen gt SHMP gt Wartung An dieser Stelle werden die IP Adressen und die Netzmasken eingestellt unter denen das TAINY xMOD von lokalen Applikationen erreichbar ist Werkseitig hat das TAINY xMOD folgende Einstellungen IP 192 168 1 1 Netzmaske 255 255 255 0 Diese werkseitig eingestellte IP Adressen und Netzmaske kann frei ver ndert werden sollten jedoch den geltenden Empfehlungen
83. d true 14 12 2007 23 13 3173XX 16201 SERVICE MASK 495615 4ICH 9 CONFIGURATION FILE ACCESS write values 14 12 2007 23 13 3173 X 16201 SERVICE MASK 495615 4ICH 9ICONFIGURATION FILE ACCESS NTP Enabled true 14 12 2007 22 24 3173XX 16201 SERVICE MASK 499711 _4JAPL 34 SYSTEM RUNNING SUCCESSFUL _ CellID 4389 Version 1 014 TX5 449_ RXS 358_ TX 1078 RX 358 14 12 2007 22 403173 X 16201 SERVICE MASK 499711 _4JAPL 34 5YSTEM RUNNING SUCCESSFUL _ CelllD 4389 Version 1 014 TXS 449 RXS 358_ TX 1078 RX 358 14 12 2007 22 57 3173 6201 SERVICE_MASK 499711 _4JAPL 34 SYSTEM RUNNING SUCCESSFUL _ CelllD 4389 Version 1 014 ISS Aug RXS 358_ TX 1078 RX 358 14 12 2007 23 13 3173 X COPS 26201 SERVICE_MASK 499711 4JAPL_ 34 SYSTEM RUNNING SUCCESSFUL _ CelllD 4389 Version 1 014 TXS 449 RXS 358_ TX 1078 RX 358 14 12 2007 23 30 3173XX COPS 26201 SERVICE_MASK 499711 4 APL_ 341SYSTEM RUNNING SUCCESSFUL _ CelllD 4389 Version 1 014 TX5 2737 RXS 3931 TX 3366 RX 3931 14 12 2007 23 46 3173XX CSQ 10 STAT 1_ COPS 26201 SERVICE MASK 499711 4lAPL 34 SYSTEM RUNNING SUCCESSFUL _ CellID 4389 Version 1 014 TXS 3089 RXS 4469 TX 3718 RX 4469 Seite 82 von 113 TAINY xMOD Eintr ge im Logbuch Spalte A Spalte B Spalte C Spalte D Spalte E Spalte F Spalte G Spalte H Spalte I Spalte J Spalten K P 9 2 Remote Logging Logbuch Update und Diagnose Zeitstempel Dr Neuhaus Produktnummer Signalqualit t CSQ Wert GSM E
84. de Verbindungsversuche Nein M Speichern Zur cksetzen Das TAINY xMOD beinhaltet eine Stateful Inspection Firewall Stateful Inspection Firewall ist eine Methode zur Paketfilterung Pakettfilter lassen IP Pakete nur dann passieren wenn dies zuvor durch Firewall Regeln definiert wurde In der Firewall Regel wird folgendes festgelegt welches Protokoll TCP UDP ICMP passieren darf die erlaubte Quelle der IP Pakete Von IP Von Port das erlaubte Ziel der IP Pakete Nach IP Nach Port Gleichfalls wird hier festgelegt wie mit IP Pakete verfahren wird die nicht passieren d rfen verwerfen zur ckweisen Bei einem einfachen Paketfilter m ssen immer zwei Firewall Regeln f r eine Verbindung angelegt werden Eine Regel f r die Anfragerichtung von der Quelle zum Ziel und eine zweite Regel f r die Antwortrichtung vom Ziel zur Quelle Anders beim TAINY xMOD mit Stateful Inspection Firewall Hier wird nur f r die Anfragerichtung von der Quelle zum Ziel eine Firewall Regel angelegt Die Firewall Regel f r die Antwortrichtung vom Ziel zur Quelle ergibt sich aus der Analyse der zuvor gesendeten Daten Die Firewall Regel f r die Antworten wird nach Erhalt der Antworten bzw nach Ablauf einer kurzen Zeitspanne wieder geschlossen Antworten d rfen also nur passieren wenn es zuvor eine Anfrage gab So kann die Antwortregel nicht f r unbefugte Zugriffe benutzt werden Besondere Verfahren erm
85. dem betreffenden Rechner installiert und ausgef hrt werden muss Bei jeder Internet Sitzung des lokalen Rechners teilt dieses Tool dem DynamicDNS Anbieter mit welche IP Adresse der Rechner zurzeit hat Dessen Domain Name Server registriert die aktuelle Zuordnung Hostname IP Adresse und teilt diese anderen Domain Name Servern im Internet mit Wenn jetzt ein externer Rechner eine Verbindung herstellen will zum lokalen Rechner der beim DynamicDNS Anbieter registriert ist benutzt der externe Rechner den Hostnamen des lokalen Rechners als Adresse Dadurch wird eine Verbindung hergestellt zum zust ndigen DNS Domain Name Server um dort die IP Adresse nachzuschlagen die diesem Hostnamen zurzeit zugeordnet ist Die IP Adresse wird zur ck bertragen zum externen Rechner und jetzt von diesem als Zieladresse benutzt Diese f hrt jetzt genau zum gew nschten lokalen Rechner Allen Internetadressen liegt prinzipiell dieses Verfahren zu Grunde Zun chst wird eine Verbindung zum DNS hergestellt um die diesem Hostnamen zugeteilte IP Adresse zu ermitteln Ist das geschehen wird mit dieser nachgeschlagenen IP Adresse die Verbindung zur gew nschten Gegenstelle eine beliebige Internetpr senz aufgebaut TAINY xMOD Seite 99 von 113 Kleines Router Lexikon EDGE EGPRS GPRS GSM HSDPA HTTPS EDGE Enhanced Data Rates for GSM Evolution bezeichnet eine Technik bei der die verf gbaren Datenraten in GSM Mobilfunknetzen durch
86. der Verbindung www sagem com Dynpns Secure DynDNS NAT gt Sicherheit Intervall f r Verbindungspr fung Minuten 5 gt IPSec VPH p gt Zugang Anzahl der erlaubten Fehlversuche 3 gt sms Aktion bei fehlerhafter Verbindung Verbindung erneuern v gt SNMP Wartung Speichern Zur cksetzen Mit der Funktion Pr fen der Verbindung berpr ft das TAINY xMOD seine Verbindung zum Datenfunkdienst HSDPA UMTS EGPRS oder GPRS und zu den angeschlossenen externen Netzen wie z B dem Internet oder einem Intranet Dazu sendet das TAINY xMOD in regelm igen Zeitabst nden Ping Pakete ICMP an bis zu vier Gegenstellen Ziel Hosts Dies geschieht unabh ngig von den Nutzdaten Verbindungen Erh lt das TAINY xMOD auf einen solchen Ping mindestens von einer der adressierten Gegenstellen eine Antwort ist das TAINY xMOD noch mit dem Datenfunkdient HSDPA UMTS EGPRS oder GPRS verbunden und betriebsbereit Einige Netzbetreiber unterbrechen Verbindungen bei Inaktivit t Dem wird durch die Funktion Pr fen der Verbindung ebenfalls vorgebeugt Ziel Host im Entferntes Netz internet Ziel Host im m mm Router m Firewall Ping zur Verbindungs berwachung TAINY 4 Lokale Applikation HSDPA TE UMTS m m m 5 E GPRS Nutzdaten Verbindung Hinweis HSDPA und UMTS werden nur vom TAINY HMOD unterst tzt Warnung Durch das Versenden der Ping Pakete ICMP steigt die Anzahl der ber den
87. der Form www abc xyz de Erfolgt die Adressierung ber die Domain Adresse sendet der Absender zun chst die Domain Adresse an einen Domain Name Server DNS und erh lt die dazugeh rige IP Adresse zur ck Erst dann adressiert der Absender seine Daten an diese IP Adresse DynDNS Anbieter Auch Dynamic DNS Anbieter Jeder Rechner der mit dem Internet verbunden ist hat eine IP Adresse IP Internet Protocol Eine IP Adresse besteht aus 4 maximal dreistelligen Nummern jeweils durch einen Punkt getrennt Ist der Rechner ber die Telefonleitung per Modem per ISDN oder auch per ADSL online wird ihm vom Internet Service Provider dynamisch eine IP Adresse zugeordnet d h die Adresse wechselt von Sitzung zu Sitzung Auch wenn der Rechner z B bei einer Flatrate ber 24 Stunden ununterbrochen online ist wird die IP Adresse zwischendurch gewechselt Soll ein lokaler Rechner ber das Internet erreichbar sein muss seine Adresse der externen Gegenstelle bekannt sein Nur so kann diese die Verbindung zum lokalen Rechner aufbauen Wenn die Adresse des lokalen Rechners aber st ndig wechselt ist das nicht m glich Es sei denn der Betreiber des lokalen Rechners hat einen Account bei einem DynamicDNS Anbieter DNS Domain Name Server Dann kann er bei diesem einen Hostnamen festlegen unter dem der Rechner k nftig erreichbar sein soll z B www xyz abc de Zudem stellt der DynamicDNS Anbieter ein kleines Programm zur Verf gung das auf
88. dresse Class A 1 126 1 3 Class B 128 191 2 2 Class C 192 223 3 1 Rein rechnerisch kann es nur maximal 126 Class A Netze auf der Welt geben jedes dieser Netze kann maximal 256 x 256 x 256 Hosts umfassen 3 Bytes Adressraum Class B Netze k nnen 64 x 256 mal vorkommen und k nnen jeweils bis zu 65 536 Hosts enthalten 2 Bytes Adressraum 256 x 256 Class C Netze k nnen 32 x 256 x 256 mal vorkommen und k nnen jeweils bis zu 256 Hosts enthalten 1 Byte Adressraum Siehe Datagramm TAINY xMOD Seite 101 von 113 Kleines Router Lexikon IPsec MIB NAT Network Address Translation IP security IPsec ist ein Standard der es erm glicht bei IP Datagrammen die Authentizit t des Absenders die Vertraulichkeit und die Integrit t der Daten durch Verschl sselung zu wahren Die Bestandteile von IPSec sind der Authentication Header AH die Encapsulating Security Payload ESP die Security Association SA der Security Parameter Index SPI und der Internet Key Exchange IKE Zu Beginn der Kommunikation kl ren die an der Kommunikation beteiligten Rechner das benutzte Verfahren und dessen Implikationen wie z B Transport Mode oder Tunnel Mode Im Transport Mode wird in jedes IP Datagramm zwischen IP Header und TCP bzw UDP Header ein IPSec Header eingesetzt Da dadurch der IP Header unver ndert bleibt ist dieser Modus nur f r eine Host zu Host Verbindung geeignet Im Tunnel Mode wird d
89. dwarrior Bearbeiten Bearbeiten Verbindungen Zertifikate berwachung Erweitert Aktiviert Name Einstellungen IKE Neu Status VPN Standard Modus Nein v TestvPN_1 Bearbeiten Bearbeiten L schen gt Zugang gt sms Ja_ v TestvPN_2 Bearbeiten Bearbeiten L schen gt SNMP Fortuna Nein x TestvPN_3 Bearbeiten Bearbeiten L schen Speichern Zur cksetzen Der Roadwarrior Modus erm glicht dem TAINY xMOD V2 IO die Annahme einer VPN Verbindung die von einer Gegenstelle mit unbekannter IP Adresse eingeleitet wird Die Gegenstelle muss sich korrekt authentifizieren auf die Identifikation der Gegenstelle anhand der IP Adresse oder des Hostnamens der Gegenstelle wird bei dieser VPN Verbindung aber verzichtet IPSec VPN Verbindungen VPN Roadwarrior Modus Aktiviert Name Einstellungen IKE is sl Roadwarrlor Bearbeiten Bearbeiten Unaik IPSec VPN Verbindung bearbeiten System gt Netzwerk Intern gt Netzwerk Extern Authentisierungsverfahren X 509 Gegenstellenzertifikat gt Sicherheit e IPSec VPN Gegenstellen Zertifikat IW Verbindungen Remote D NONE Zertifikate berwachung Lokale ID NONE Erweitert Status gt Zugang Speichern Zur ck SMS gt SHMP gt Wartung Richten Sie das TAINY xMOD V2 IO entsprechend den Absprachen mit dem Systemadministrator der Gegenstelle ein W hlen Sie das Authentifizierungsverfahren entsprechend Ihren Vereinbarungen mit dem Administrator der Gegenstelle Das TAINY x
90. e Einstellungen Pr fen der Verbindung Nein Ausgeschaltet Hostname Intervall f r Verbindungspr fung 5 Minuten Anzahl der erlaubten Fehlversuche 3 Fehlversuche Aktion bei fehlerhafter Verbindung Verbindung erneuern 5 3 Hostname durch DynDNS Netzwerk Extern gt Erweiterte Einstellungen gt DynDNS Funktion berblick Netzwerk Extern DynDNS gt System gt Netzwerk Intern lletzwerk Extern Dieses Tainy an einem DynDNS Server anmelden Ja m UMTS EDGE eine DynDHS Benutzername guest See DynDNS Passwort eneen rweiterte T iakinen DynDNS Hostname myname dyndns org Pr fen der Verbindung Speichen Zur cksetzen Secure DynDNS NAT gt Sicherheit gt IPSec VPH gt Zugang sms gt ap gt Wartung Dynamische Domain Name Server DynDNS erm glichen es Applikationen im Internet unter einem Hostnamen z B myHost org erreichbar zu sein auch wenn diese Applikationen keine feste IP Adresse haben und der Hostname nicht registriert ist Wenn Sie das TAINY xMOD bei einem DynDNS Dienst anmelden k nnen Sie das TAINY xMOD aus dem externen Netz auch unter einem Hostnamen erreichen z B myTainy dyndns org Mehr Informationen zu DynDNS finden Sie im Kapitel 12 Seite 46 von 113 TAINY xMOD Externe Schnittstelle Externes Netz DynDNS INFO IP Adresse Frage IP zum Se mu _ IQ TAINY Antwort IP LUH Router Firewall Lokale Applikation bad em HSDPA UMTS
91. e Zertifikat der CA und den ffentlichen Schl ssel der CA F r das Authentifizierungsverfahren X 509 gibt es zus tzlich f r jede der beiden Gegenstellen noch eine Schl sseldatei pem oder crt mit dem ffentlichen Schl ssel der eigenen Station X 509 Zertifikat Der Austausch der ffentlichen Schl ssel Datei mit Endung pem oder crt zwischen dem TAINY xMOD V2 IO und dem VPN Gateway der Gegenstelle erfolgt manuell zum Beispiel per CD ROM oder per E Mail Zum Laden des Zertifikates gehen Sie vor wie im Kapitel 7 4 beschrieben TAINY xMOD Seite 65 von 113 VPN Verbindungen Remote ID Lokale ID Auf Verbindung durch die Gegenstelle warten CA Zertifikat Der Austausch der ffentlichen Schl ssel zwischen dem TAINY xMOD V2 IO und dem VPN Gateway der Gegenstelle erfolgt ber die Datenverbindung beim Aufbau der VPN Verbindung Ein manueller Austausch von Schl sseldateien entf llt Pre Shared Secret Key PSK Dieses Verfahren wird vor allem durch ltere IPsec Implementierungen unterst tzt Dabei erfolgt die Authentifikation mit einer zuvor verabredeten Zeichenfolge Um eine hohe Sicherheit zu erzielen sollte die Zeichenfolge aus ca 30 nach dem Zufallsprinzip ausgew hlten Klein und Gro buchstaben sowie Ziffern bestehen Folgende Zeichen sind erlaubt amp 0123456789 lt gt ABCDEFCGHIJKL MNOPQRSTUVWXYZI abcdefghljkImnopqrstuv wxyz l Die Eingabe erfolgt verdeckt Die Lokale
92. eder verwendbaren Teile dem Recycling zuf hren und den Rest umweltfreundlich entsorgen Dazu wenden Sie sich an unser Service Zentrum Dr Neuhaus Telekommunikation GmbH Service Zentrum Messestra e 20 D 18069 Rostock Bitte helfen Sie uns dabei die Umwelt zu sch tzen Dr Neuhaus Telekommunikation GmbH Seite 6 von 113 TAINY xMOD Inhaltsverzeichnis Inhaltsverzeichnis WR 119 1 11 Te EE 9 2 Inbetriebnahme unnunsnnsnnnnnnnnnnennnnnnnnnnnnnennnnnnnennnnnnnnnnsnnennnsnnnnnnsnnenennsnnennnsnnnennnnnnnnnnsnnennnsnnnnensnnnnennsnnennnsnnn 14 2 1 amp Schrilt f r Schritt nenne naked 14 2 2 Voraussetzungen f r den Betrieb AAA 15 23 Al berbliek un ae at EE ae 16 2A Senice EE 16 KEE E E EE 17 2 6 Anschl sse Ee eege eege EENEG EE 20 2 7 Die SIM Karte einlegen eesssseseeesrnesrnesrnssrnsstnsernsstnsstnnstnsstnsstessttastnnstnasnnnsnnnsnentnnnntnntenn nnt 22 3 e UR 23 Sl beet Se 23 3 2 Erlaubte Zeichen bei Benutzernamen Passw rtern und weiteren Eingaben eeens 23 3 3 TCP IP Konfiguration des Netzwerkadapters unter Windows XP 24 3 4 Konfigurations Verbindung erstellen 25 3 5 System Status Startseite 0seeeseeese noenee netnet nest nsstnnstnsstnsstessrenstnnstnnstnnstnnstnnnnnnntnnntnnnnt 28 3 6 Konfiguration vommehmen kenaa ar ak aa a a aea aay 30 3 7 su We Eeler E le EEN EN 3 8 Passwort nger 32 eet Kleer deet tee Ee ee ee E 33 3 10 Werkseinstellung laden
93. efault Gateway DNS Server Dynamischen IP Adresspool aktivieren DHCP Bereichsanfang DHCP Bereichsende Statische Zuordnung Werkseinstellung Das TAINY xMOD beinhaltet einen DHCP Server DHCP Dynamic Host Configuration Protokoll Ist der DHCP Server eingeschaltet weist er den Applikationen die an der lokalen Schnittstelle des TAINY xMOD angeschlossen sind automatisch die IP Adressen Netzmasken das Gateway und den DNS Server zu Dazu muss bei den lokalen Applikationen das automatische Beziehen der IP Adresse und der Konfigurationsparameter per DHCP aktiviert sein Lokale Lokale Lokale Applikation Applikation Applikation IP Adressen und weiteres PC mit Web Browser Mit DHCP Server starten Ja schalten Sie den DHCP Server des TAINY xMOD ein mit Nein wird er ausgeschaltet Tragen Sie hier die lokale Netzmaske ein die den lokalen Applikationen zugewiesen werden soll Tragen Sie hier das Default Gateway ein das den lokalen Applikationen zugewiesen werden soll Tragen Sie hier den DNS Server ein der den lokalen Applikationen zugewiesen werden soll Bei Ja werden die IP Adressen die der DHCP Server des TAINY xMOD vergibt aus einem dynamischen Adresspool entnommen Bei Nein m ssen die IP Adressen unter Statische Zuordnung den MAC Adressen der lokalen Applikationen zugeordnet werden Gibt die erste Adresse des dynamischen Adresspools an Gibt die letzte Adresse des dynamischen Adresspools an Bei Stati
94. ehen Sie am Stecker F hren Sie die Kabel nicht ohne Kantenschutz ber scharfe Ecken und Kanten Sorgen Sie gegebenenfalls f r eine ausreichende Zugentlastung der Kabel Achten Sie bitte darauf dass aus Sicherheitsgr nden der Biegeradius der Kabel eingehalten wird Die Nichteinhaltung der Biegeradien des Antennenkabels f hrt zu Verschlechterung der Sende und Empfangseigenschaften des Ger tes Der minimale Biegeradius darf statisch den 5 fachen Kabeldurchmesser und dynamisch den 15 fachen Kabeldurchmesser nicht unterschreiten Funkger t Verwenden Sie das Ger t niemals in Bereichen in denen der Betrieb von Funkeinrichtungen untersagt ist Das Ger t enth lt einen Funksender der gegebenenfalls medizinische elektronische Ger te wie H rger te oder Herzschrittmacher in ihrer Funktion beeintr chtigen kann Ihr Arzt oder der Hersteller solcher Ger te k nnen Sie beraten Damit keine Datentr ger entmagnetisiert werden lagern Sie bitte keine Disketten Kreditkarten oder andere magnetische Datentr ger in der N he des Ger tes Antennen Montage Das Einhalten der empfohlenen Strahlungsgrenzwerte der Strahlenschutzkommission vom 13 14 September 2001 muss gew hrleistet sein Montage einer Au enantenne Bei der Installation einer Antenne im Freien ist es zwingend erforderlich dass die Antenne durch Fachpersonal fachgerecht montiert wird Die Einhaltung der Blitzschutznorm VDE V 0185 Teil 1 bis 4 in ihrer aktuellen Fassung und weiterf hr
95. eihenfolge an die Anwendung weitergegeben werden UDP und TCP bringen zus tzlich zu den IP Adressen Port Nummern zwischen 1 und 65535 mit ber die die unterschiedlichen Dienste unterschieden werden Auf UDP und TCP bauen eine Reihe weiterer Protokolle auf z B HTTP Hyper Text Transfer Protokoll HTTPS Secure Hyper Text Transfer Protokoll SMTP Simple Mail Transfer Protokoll POP3 Post Office Protokoll Version 3 DNS Domain Name Service ICMP baut auf IP auf und enth lt Kontrollnachrichten SMTP ist ein auf TCP basierendes E Mail Protokoll IKE ist ein auf UDP basierendes IPsec Protokoll ESP ist ein auf IP basierendes IPsec Protokoll Auf einem Windows PC bernimmt die WINSOCK DLL oder WSOCK32 DLL die Abwicklung der beiden Protokolle gt Datagramm Siehe TCP IP UMTS Universal Mobile Telecommunication System ist ein Mobilfunknetz der 3 Generation das deutlich h here Daten bertragungsraten erm glicht als die GSM Netze der 2 Generation UMTS bietet neben der Sprach bertragung IP basierte Daten bertragung und SMS bertragung auch die M glichkeit zu bertragung von Videoanwendungen Mit Ausnahme des nordamerikanisches Raums verwendet UMTS ein Frequenzband bei 2100 MHz In Nordamerika werden die Frequenzb nder bei 850 MHz und 1900 MHz genutzt die auch f r GSM Netze verwendet werden Ein Virtuelles Privates Netzwerk VPN schlie t mehrere voneinander getrennte private Netzwerke Teilnetze ber e
96. em gesamten IP Datagramm ein IPSec Header und ein neuer IP Header vorangestellt D h das urspr ngliche Datagramm wird insgesamt verschl sselt in der Payload des neuen Datagramms untergebracht Der Tunnel Mode findet beim VPN Anwendung Die Ger te an den Tunnelenden sorgen f r die Ver bzw Entschl sselung der Datagramme auf der Tunnelstrecke d h auf dem bertragungsweg ber ein ffentliches Netz bleiben die eigentlichen Datagramme vollst ndig gesch tzt Siehe SNMP Bei der Network Address Translation NAT oft auch als IP Masquerading bezeichnet wird hinter einem einzigen Ger t dem sog NAT Router ein ganzes Netzwerk versteckt Die internen Rechner im lokalen Netz bleiben mit ihren IP Adressen verborgen wenn Sie nach au en ber den NAT Router kommunizieren F r die Kommunikationspartner au en erscheint nur der NAT Router mit seiner eigenen IP Adresse Damit interne Rechner dennoch direkt mit externen Rechnern im Internet kommunizieren k nnen muss der NAT Router die IP Datagramme ver ndern die von internen Rechnern nach au en und von au en zu einem internen Rechner gehen Wird ein IP Datagramm aus dem internen Netz nach au en versendet ver ndert der NAT Router den IP und den TCP Header des Datagramms Er tauscht die Quell IP Adresse und den Quell Port aus gegen die eigene offizielle IP Adresse und einen eigenen bisher unbenutzten Port Dazu f hrt er eine Tabelle die die Zuordnung der urspr nglic
97. en in vielen F llen ben tigt Zus tzlich werden geplante Updates angezeigt Siehe auch Kapitel 9 6 TAINY xMOD Seite 85 von 113 Logbuch Update und Diagnose 9 6 Software Update Wartung gt Update Funktion Zeitpunkt festlegen Update Zeitpunkt festlegen Update Datei ausw hlen Absenden er Wartung Update gt System gt Netzwerk Intern gt Netzwerk Extern Zeitpunkt festlegen Ja e gt Sicherheit S IPSec VPN Update Zeitpunkt festlegen Zugang s See Jahr Monat Tag Stunde Minute gt SUMP 2011 Sep M 5 10 23 e Wartung Update Konfigurations Update Datei ausw hlen Profile Neustart Remote Logging Absenden Zur cksetzen SW Info HW Info Werkseinstellung Mit der Update Funktion k nnen Sie eine neue Betriebssoftware in das TAINY xMOD laden und diese Software aktivieren Bei einem sofortigen Update wird die neue Software entpackt Dieser Vorgang kann einige Minuten dauern Danach beginnt der eigentliche Update Vorgang der durch ein Lauflicht der LEDs angezeigt wird Die Einstellungen des TAINY xMOD werden bernommen sofern diese Einstellungen in der neuen Software Version noch so wirken wie vor dem Update Nein Update sofort Die neue Betriebssoftware wird aktiviert direkt nachdem Sie die Software geladen und auf die Schaltfl che Absenden geklickt haben Ja Update zeitgesteuert Die neue Betriebssoftware wird aktiviert an dem festgelegten Update Zeitpunkt Dazu muss die Software zuvo
98. ende Normen sind dabei vorgeschrieben Die Geb ude Blitzschutzklasse SK Bei der Au enmontage darf die Antenne nur innerhalb der Blitzschutzzonen O E bzw 1 angebracht werden Diese Blitzschutzzonen werden durch den Blitzschutzkugelradius vorgegeben Das EMV Blitzschutzzonen Konzept Das EMV Blitzschutzzonen Konzept ist einzuhalten Um gro e Induktionsschleifen zu vermeiden ist ein Blitzschutz Potentialausgleich anzuwenden Werden Antenne oder Antennenkabel in der N he der Blitzschutzanlage montiert m ssen die Mindestabst nde zur Blitzschutzanlage eingehalten werden Ist dies nicht m glich ist eine isolierte Montage wie in der Blitzschutznorm VDE V 0185 Teil 1 bis 4 in ihrer aktuellen Fassung beschrieben zwingend erforderlich TAINY xMOD Seite 3 von 113 LS Hinweise zu FCC Part 15 FCC Part 15 Aufgrund entsprechender Tests wurde befunden dass dieses Ger t den Grenzwerten f r digitale Ger te der Klasse A entspricht gem der FCC Rules Part 15 Diese Grenzwerte sind so festgelegt dass bei ihrer Einhaltung angemessener Schutz gegen sch dliche und st rende Interferenzen gew hrleistet ist wenn das betreffende Ger t im Wohnbereich installiert ist Dieses Ger t erzeugt und benutzt Hochfrequenzen und kann diese ausstrahlen Wenn dieses Ger t nicht in bereinstimmung mit den Instruktionen installiert und benutzt wird kann es st rende Interferenzen f r den Funkverkehr bewirken Es kann jedoch nicht garantiert werde
99. enpakete werden ohne R ckmeldung an den Absender verworfen F r jede einzelne Firewall Regel k nnen Sie festlegen ob bei Greifen der Regel das Ereignis protokolliert werden soll Log auf Ja setzen oder nicht Log auf Nein setzen werkseitige Voreinstellung Das Protokoll wird in das Firewall Logbuch siehe Kapitel 6 4 geschrieben Damit werden alle Verbindungsversuche protokolliert die nicht von den festgelegten Regeln erfasst werden Werkseitig hat das TAINY xMOD folgende Einstellungen Firewall Regeln Eingehend Protokoll Von IP Von Port Nach IP Nach Port Aktion Log Alles gesperrt Alle 0 0 0 0 0 ANY 0 0 0 0 0 ANY Erlauben Nein Ausgeschaltet Log Eintr ge f r unbekannte Verbindungsversuche Firewall Regeln Ausgehend Protokoll Von IP Von Port Nein Ausgeschaltet Alles gesperrt Alle 0 0 0 0 0 ANY Seite 54 von 113 TAINY xMOD Sicherheitsfunktionen Nach IP 0 0 0 0 0 Nach Port ANY Aktion Erlauben Log Nein Ausgeschaltet Log Eintr ge f r unbekannte Nein Ausgeschaltet Verbindungsversuche 6 2 Port Weiterleitung Sicherheit gt Port Weiterleitung Funktion ESS Sicherheit Port Weiterleitung gt System gt Netzwerk Intern gt Netzwerk Extern e Sicherheit Protokoll Paketfitter TOP v 80 127 0 0 1 80 Nein L schen Regeln zur Weiterleitung Eintreffend auf Port Weiterleiten an IP Weiterleiten an Port Log Neu Port Weiterleitung
100. entifikations Zeilen 1 4 IP Adresse des externen Netzwerks PIN MAC Adresse der lokalen Schnittstelle Kennung des aktuellen Mobilfunkbetreibers APN IMSI IMEI Signalqualit t CSQ Wert Cell ID Cell IDs der Nachbarzellen Hostname Maximales Datenvolumen Datenvolumen der Warnschwelle 80 Aktuell verbrauchtes Datenvolumen Monatsvolumen Hardware ID Softwareversion Versionsnummer des integrierten Funkmoduls TAINY xMOD Seite 91 von 113 SNMP SNMP Zugriff aktivieren Port f r SNMP Zugriff Lesen Schreiben Community Nur Lesen Community Firewall Regeln Werkseinstellung Folgende Parameter des TAINY xMOD k nnen per SNMP ver ndert werden Maximales Datenvolumen Volumenbegrenzung PIN der SIM Karte Ger teidentifikations Zeilen 1 4 Die exakte Beschreibung der Parameter wird als MIB Management Information Base auf der Dr Neuhaus Webseite www neuhaus de zur Verf gung gestellt Gehen Sie dort zur Produktseite des TAINY xMOD W hlen Sie Nein wenn Sie den SNMP Zugriff auf das TAINY xMOD sperren wollen W hlen Sie Ja wenn Sie den SNMP Zugriff auf das TAINY xMOD zulassen wollen W hlen sie den IP Port aus ber den der SNMP Zugriff erfolgen soll Die Werkseinstellung entspricht dem Standard Port 161 Geben Sie die SNMP Community ein die lesend und
101. envolumen in Bytes ein W hlen Sie Ja wenn das TAINY xMOD bei Erreichen von 80 des maximalen Datenvolumens eine SMS mit Warnmeldung an die angegebene Rufnummer versenden soll W hlen Sie Ja wenn das TAINY xMOD bei Erreichen des maximalen Datenvolumens eine SMS mit Alarmmeldung an die angegebene Rufnummer versenden soll Geben Sie hier die Mobilfunkrufnummer an an die die SMS mit Alarm oder Warnmeldung gesendet werden soll Geben Sie hier den Text der Alarm bzw Warn SMS ein Seite 50 von 113 TAINY xMOD Externe Schnittstelle Hinweis Das ermittelte Datenvolumen dient nur als Anhaltspunkt und kann von der Abrechnung des GSM Netzbetreibers abweichen TAINY xMOD Seite 51 von 113 Sicherheitsfunktionen 6 Sicherheitsfunktionen 6 1 Paketfilter Sicherheit gt Paketfilter Funktion Firewall Regeln Eingehend a Sicherheit Paketfilter VE DET Firewall Regeln Eingehend gt Netzwerk Extern Sicherheit Protokoll Von Ip Von Port Nach IP Nach Port Aktion Log Neu Paketfilter Ale e 0 0 0 0 0 ANY 0 0 0 070 ANY Erlauben x Nein M L schen Port Weiterleitung Erweitert EE 3 2 Firewall Log Eintr ge f r unbekannte eingehende Verbindungsversuche Nein a Logbuch gt IPSec VPH Firewall Regeln Ausgehend gt Zugang 7 b SMS Protokoll Von IP Von Port Nach IP Nach Port Aktion Log Neu gt Sur Ale e 0 0 0 070 ANY 0 0 0 0 0 ANY Erlauben MU Nein M L schen gt Wartung Log Eintr ge f r unbekannte ausgehen
102. er ffentliche Netze O Protokoll IPsec Tunnelmode IPsec 3DES Verschl sselung mit 192 Bit IPsec AES Verschl sselung mit 128 192 und 256 Bit Paket Authentifizierung MD5 SHA 1 Internet Key Exchange IKE mit Main und Agressive Mode Authentisierung Pre Shared Key PSK X 509v3 Zertifikate CA NAT T 1 zu 1 NAT Dead Peer Detection DPD Schaltausgang zur Anzeige eines aufgebauten VPN Tunnels TAINY xMOD Seite 11 von 113 Einleitung Firewall Die TAINY xMOD bieten folgende Firewall Funktionen um das lokale Netz und sich selbst gegen Angriffe von au en zu sch tzen Stateful Inspection Firewall Anti Spoofing Port Forwarding Weitere Funktionen Die TAINY xMOD bietet folgende weitere Funktionen DNS Cache DHCP Server NTP Remote Logging Schalteingang Web Oberfl che zur Konfiguration Versand von Alarm SMS Versand von SNMP Traps SMS Versand aus dem lokalen Netz SSH Konsole zur Konfiguration SNMP zur Kontrolle und Konfiguration DynDNS Client Datenw hlverbindung zur Wartung und Fernkonfiguration Volumen berwachung Installationsmodus zur Antennenausrichtung Begriffe H ufig verwendete Begriffe in diesem Handbuch werden an dieser Stelle festgelegt Lokales Netz Externes Netz III nn N un Lal Admin PC TANNY 7 m
103. erblick Wartung Hardware Info gt System gt Netzwerk Intern gt Netzwerk Extern cm ARMI gt Sicherheit CPU Taktfrequenz 200MHz IPSec VPN gt Zugang Anwendungsspeicher 64MB SMS P ER See Systemlaufzeit Mon Sep 5 09 38 35 CEST 2011 Wartung MAC Adresse 00 25 69 62 00 55 Update udn me 354114013154134 Profe Modul Information SIEMENS HC25 REVISION 02 050 Neustart Remote Logging Produktname TAINY HMOD SW Inf See Seriennummer 10077663 Snapshot Hardware Version 02 20 Werkseinstellung Anzeige wichtiger Informationen zur Hardware Identifikation Bei Anfragen an unseren Kundendienst werden diese Informationen in vielen F llen ben tigt 9 5 Software Informationen Wartung gt Software Info Funktion berblick Wartung Software Info gt System gt Netzwerk Intern o Netzwerk B tern Aktuelle Systemversion 1 214 gt Sicherheit gt IPSec VPN HMOD Steuerungsprogramm 1 214 gt Zugang sms Mobile Handler 1 106 gt ap v Wartung Stand 14 15 Update Konfigurati ntpd 4 2 4p3 VE p Neustart ezipupdate 3 0 11b7 Remote Logging g 4 5p1 SWinfo HWinfo DIISMasq 2 39 Snapshot Werkseinstellung IPtables 1 3 7 WGet 1 12 IPSec Tools 0 8 0 Het SNMP 5 6 1 CGI Programme 1 204 Deutsche Webseiten 1 205 Englische Webseiten 1 205 Geplante Updates Update Id Von Version gt Hach Version Zeitpunkt Anzeige wichtiger Informationen zur Softwareldentifikation Bei Anfragen an unseren Kundendienst werden diese Information
104. erne Gegenstelle die den Fernzugriff aus bt bei der Adressenangabe vor der IP Adresse die Nummer des alternativen Ports angeben Hinweis Der Standard Port 22 f r den SSH Zugang bleibt neben dem neu gew hlten Port offen Beispiel Ist dieses TAINY xMOD ber die Adresse 192 144 112 5 aus dem externen Netz zu erreichen und ist f r den Fernzugang der Port 22222 festgelegt dann muss bei der externen Gegenstelle im SSH Client z B PUTTY diese Port Nummer angegeben werden ssh p 22222 192 144 112 5 Beispiel Konsole Neu F gt eine neue Firewall Regel f r den SSH Fernzugang hinzu die Sie dann ausf llen k nnen L schen Entfernt eine angelegte Firewall Regel f r den SSH Fernzugang wieder Von IP Geben Sie hier die Adresse n des der Rechner s an extern dem denen Fernzugang erlaubt ist Bei den Angaben haben Sie folgende M glichkeiten IP Adresse oder Adressenbereich 0 0 0 0 0 bedeutet alle Adressen Um einen Bereich anzugeben benutzen Sie die CIDR Schreibweise siehe Kapitel 12 Aktion Bestimmen Sie wie bei Zugriffen auf den angegebenen SSH Port verfahren wird Erlauben bedeutet die Datenpakete d rfen passieren Zur ckweisen bedeutet die Datenpakete werden zur ckgewiesen so dass der Absender eine Information ber die Zur ckweisung erh lt Verwerfen bedeutet die Datenpakete d rfen nicht passieren Sie werden verworfen so dass der Absender keine Information erh lt ber deren
105. es Verbindungsaufbaus bis 2 Reboot des Ger tes nach erfolglosem zum Neustart des VPN Clients DyNDNS Tracking Nein DynDNS Tracking Intervall Minuten 5 Neustart des VPN Clients bei DPD Nein 7 8 Status der VPN Verbindungen IPsec VPN gt Status NUR TAINY HMOD V2 IO NUR TAINY EMOD V2 IO Funktion Aktivierte VPN Verbindungen Anzahl VPN Verbindungsversuche 24h VPN Protokoll herunterladen RE IPSec VPN Status gt System r SE men Aktivierte VPN Verbindungen Sicherheit Name Gegenstelle ISAKMP SA IPSec SA IPSec VPN TestVPN_1 emodv2 dyndns org Verbindungen Zertifikate berwachung Anzahl VPH Verbindungsversuche 24h 1 Erweitert Statu e VPI Protokoll herunterladen Download gt Zugang sms gt SNMP gt Wartung Anzeige des Status der aktivierten VPN Verbindungen und M glichkeit eine Protokolldatei auf den Admin PC zu laden Die jeweilige Sicherheitsbeziehung SA Security Association ist erfolgreich aufgebaut E Die Sicherheitsbeziehung besteht nicht Zeigt die Anzahl der Versuche seit 0 00 Uhr Systemzeit an die aktivierten VPN Verbindungen aufzubauen Mit dieser Funktion k nnen Sie die VPN Protokolldatei auf den Admin PC herunterladen Seite 76 von 113 TAINY xMOD 8 Fernzug nge Fernzug nge 8 1 Fernzugang HTTPS Zugang gt HTTPS Funktion HTTPS Fernzugang aktivieren Port f r HTTPS Fernzugang Firewall Regeln f r den HTTPS Fernzugang
106. f r alle drei Protokolle Tragen Sie die IP Adresse der lokalen Applikation ein die IP Pakete zum externen Netz senden darf Geben Sie dazu die IP Adresse oder einen IP Bereich der lokalen Applikation an 0 0 0 0 0 bedeutet alle Adressen Um einen Bereich anzugeben benutzen Sie die CIDR Schreibweise siehe Kapitel 12 TAINY xMOD Seite 53 von 113 Sicherheitsfunktionen Firewall Regeln Ein Ausgehend Log Eintr ge f r unbekannte Verbindungsversuche Werkseinstellung Firewall eingehend Firewall ausgehend Von Port Nach IP Nach Port Aktion Log Tragen Sie den Port ein von dem die lokale Applikation IP Pakete senden darf Geben Sie dazu die Portnummer an wird nur ausgewertet bei den Protokollen TCP und UDP Tragen Sie ein an welche IP Adresse im externen Netz IP Pakete gesendet werden darf Geben Sie dazu die IP Adresse oder einen IP Bereich der Applikation im Netz an 0 0 0 0 0 bedeutet alle Adressen Um einen Bereich anzugeben benutzen Sie die CIDR Schreibweise siehe Kapitel 12 Tragen Sie ein an welchen Port die lokale Applikation IP Pakete senden darf Geben Sie dazu die Portnummer an wird nur ausgewertet bei den Protokollen TCP und UDP W hlen Sie aus wie mit abgehenden IP Paketen zu verfahren ist Erlauben Die Datenpakete d rfen passieren Zur ckweisen Die Datenpakete werden abgewiesen der Absender erh lt eine entsprechende Meldung Verwerfen Die Dat
107. ff auf ein externes Netz zu erhalten so als wenn sie direkt vor Ort an diesem externen Netz angeschlossen w ren Seite 10 von 113 TAINY xMOD Einleitung Funktionen Um die Aufgaben in den beschriebenen Szenarien zu erf llen vereinigen die Ger te je nach Ausf hrung folgende Funktionen TAINY HMOD TAINY EMOD V2 IO L1 IO V2 I0 L1 I0 HSDPA UMTS x x EGPRS GPRS CSD x Lal x x VPN Funktionen x x Firewall x x x x Konfiguration x x x x Weitere Funktionen x x x x CSD nur wenn nicht in einem HSDPA UMTS Netz eingebucht Kommunikation Funkmodem f r die flexible Datenkommunikation in UMTS Netzen per HSDPA UMTS Funkmodem f r die flexible Datenkommunikation in GSM Netzen EGPRS GPRS und CSD Konfiguration Die Konfiguration des Ger tes erfolgt ber eine Web Oberfl che die sich einfach mit einem Web Browser anzeigen l sst Der Zugriff kann ber folgende Wege stattfinden die lokale Schnittstelle HSDPA UMTS EGPRS GPRS oder CSD Circuit Switched Data Datenw hlverbindungen des GSM Verbindung ber GSM CSD PC mit TAINY Web Browser Dec H CH PC mit ber HSDPA Web Browser UMTS E GPRS pc mit Web Browser Hinweis HSDPA und UMTS werden nur vom TAINY HMOD unterst tzt VPN Funktionen Das TAINY HMOD V2 IO sowie das TAINY EMOD V2 IO bieten folgende VPN Features VPN Router f r sichere Daten bertragung b
108. g berblick Zugang Passwort gt System gt Netzwerk Intern gt Netzwerk Extern Neues Zugangspasswort 000 eessen gt Sicherheit IPSec VPN v Zugang Passwort Speichen Zur cksetzen HTTPS Neues Zugangspasswort Wiederholung ee SSH CSD Einwahl gt SMS SNMP gt Wartung Der Zugang zum TAINY xMOD ist durch ein Zugangspasswort gesch tzt Dieses Zugangspasswort sch tzt sowohl den Zugang ber die lokale Schnittstelle auf die Web Oberfl che und lokale Schnittstelle auf die SSH Konsole wie auch den Zugang ber die verf gbare Funkverbindung HSDPA UMTS EGPRS oder GPRS per https auf die Web Oberfl che und per ssh auf die SSH Konsole Die Werkseinstellung f r das TAINY xMOD lautet Passwort root Benutzername root kann nicht ver ndert werden Hinweis Bitte ndern Sie das Passwort sofort nach Inbetrieonahme Die werkseitige Voreinstellung ist allgemein bekannt und bietet keinen ausreichenden Schutz Seite 32 von 113 TAINY xMOD Neues Zugangspasswort mit Wiederholung 3 9 Neustart Konfiguration Um das Passwort zu ndern geben Sie bei Neues Zugangspasswort das neu ausgew hlte Passwort ein und wiederholen Sie die Eingabe im Feld Neues Zugangspasswort Wiederholung Mit Zur cksetzen werden Ihre noch nicht gespeicherten Eingaben verworfen Mit Speichern wird das neue Passwort bernommen Wartung gt Neus
109. gent mer geheim gehalten Privater Schl ssel Private Key der andere wird der ffentlichkeit ffentlicher Schl ssel Public Key d h m glichen Kommunikationspartnern gegeben Eine mit dem ffentlichen Schl ssel verschl sselte Nachricht kann nur von dem Empf nger entschl sselt und gelesen werden der den zugeh rigen privaten Schl ssel hat Eine mit dem privaten Schl ssel verschl sselte Nachricht kann von jedem Empf nger entschl sselt werden der den zugeh rigen ffentlichen Schl ssel hat Die Verschl sselung mit dem privaten Schl ssel zeigt dass die Nachricht tats chlich vom Eigent mer des zugeh rigen ffentlichen Schl ssels stammt Daher spricht man auch von digitaler Signatur Unterschrift Asymmetrische Verschl sselungsverfahren wie RSA sind jedoch langsam und anf llig f r bestimmte Angriffe weshalb sie oft mit einem symmetrischen Verfahren kombiniert werden gt symmetrische Verschl sselung Andererseits sind Konzepte m glich die die aufw ndige Administrierbarkeit von symmetrischen Schl sseln vermeiden Classless InterDomain Routing IP Netzmasken und CIDR sind Notationen die mehrere IP Adressen zu einem Adressraum zusammenfassen Dabei wird ein Bereich von aufeinander folgenden Adressen als ein Netzwerk behandelt Das CIDR Verfahren reduziert die z B in Routern gespeicherten Routing Tabellen durch einen Postfix in der IP Adresse Mit diesem Postfix k nnen ein Netz und die darunter liegenden Ne
110. gesehen war jetzt f r Subnetz Adressierung verwendet werden Rein rechnerisch k nnen so 256 Subnetze mit jeweils 256 Hosts entstehen Das Feld Port Nummer ist ein 2 Byte gro es Feld in UDP und TCP Headern Die Vergabe der Port Nummern dient der Identifikation der verschiedenen Datenstr me die UDP TCP gleichzeitig abarbeitet Uber diese Port Nummern erfolgt der gesamte Datenaustausch zwischen UDP TCP und den Anwendungsprozessen Die Vergabe der Port Nummern an Anwendungsprozesse geschieht dynamisch und wahlfrei F r bestimmte h ufig benutzte Anwendungsprozesse sind feste Port Nummern vergeben Diese werden als Assigned Numbers bezeichnet Akronym f r Point to Point Protocol over Ethernet Basiert auf den Standards PPP und Ethernet PPPoE ist eine Spezifikation um Benutzer per Ethernet mit dem Internet zu verbinden ber ein gemeinsam benutztes Breitbandmedium wie DSL Wireless LAN oder Kabel Modem Akronym f r Point to Point Tunneling Protocol Entwickelt von Microsoft U S Robotics und anderen wurde dieses Protokoll entwickelt um zwischen zwei VPN Knoten gt VPN ber ein ffentliches Netz sicher Daten zu bertragen TAINY xMOD Seite 103 von 113 Kleines Router Lexikon Private Key privater Schl ssel Public Key ffentlicher Schl ssel Zertifizierung X 509 Protokoll bertragungs protokoll Service Provider Spoofing Anti Spoofing Bei asymmetrischen Verschl sselungsalgorithmen werden 2 Sch
111. hen folgende Zeichen zur Verf gung A Z a z 0123456789 Folgende Zeichen haben eine besondere Bedeutung und d rfen im SMS Text nicht vorkommen Trennungszeichen der ersten Kommandoebene Trennungszeichen der zweiten Kommandoebene Bestimmt das Ende der Nachricht W hlen Sie Ja um SMS aus dem lokalen Netzwerk versenden zu k nnen Benutzername der im Nachrichten Rahmen enthalten sein muss bevor deren Text per SMS versendet wird Maximal d rfen 10 Zeichen verwendet werden Passwort das im Nachrichten Rahmen enthalten sein muss bevor deren Text per SMS versendet wird Maximal d rfen 10 Zeichen verwendet werden TCP IP Port auf dem das TAINY xMOD die TCP IP Verbindung zum SMS Versand entgegen nimmt Damit die TCP IP Verbindung zum SMS Versand aufgebaut werden kann muss am TAINY xMOD eine Firewall Regel eingerichtet werden Es k nnen mit Neu mehrere Quellen Von IP f r die TCP IP Verbindung zum SMS Versand eingerichtet werden Mit L schen k nnen Sie Verbindungen wieder entfernen TAINY xMOD Seite 89 von 113 SMS Versand Werkseinstellung Von IP Tragen Sie die IP Adresse der externen Gegenstelle ein die IP Pakete zum lokalen Netz senden darf Geben Sie dazu die IP Adresse oder einen IP Bereich der Gegenstelle an 0 0 0 0 0 bedeutet alle Adressen Um einen Bereich anzugeben benutzen Sie die CIDR Schreibweise siehe Kapitel 12 Aktionen W hlen Sie Aktionen um die TCP IP Verbindung zum SMS Versa
112. hen mit den neuen Werten herstellt Beim Empfang eines Antwort Datagramms erkennt der NAT Router anhand des angegebenen Zielports dass das Datagramm eigentlich f r einen internen Rechner bestimmt ist Mit Hilfe der Tabelle tauscht der NAT Router die Ziel IP Adresse und den Ziel Port aus und schickt das Datagramm weiter ins interne Netz Seite 102 von 113 TAINY xMOD Kleines Router Lexikon Netzmaske Subnetz Einem Unternehmens Netzwerk mit Zugang zum Internet wird Maske Port Nummer PPPoE PPTP normalerweise nur eine einzige IP Adresse offiziell zugeteilt z B 134 76 0 0 Bei dieser Beispiel Adresse ist am 1 Byte erkennbar dass es sich bei diesem Unternehmens Netzwerk um ein Class B Netz handelt d h die letzten 2 Byte k nnen frei zur Host Adressierung verwendet werden Das ergibt rein rechnerisch einen Adressraum von 65 536 m glichen Hosts 256 x 256 Ein so riesiges Netz macht wenig Sinn Hier entsteht der Bedarf Subnetze zu bilden Dazu dient die Subnetz Maske Diese ist wie eine IP Adresse ein 4 Byte langes Feld Den Bytes die die Netz Adresse repr sentieren ist jeweils der Wert 255 zugewiesen Das dient vor allem dazu sich aus dem Host Adressenbereich einen Teil zu borgen um diesen zur Adressierung von Subnetzen zu benutzen So kann beim Class B Netz 2 Byte f r Netzwerk Adresse 2 Byte f r Host Adresse mit Hilfe der Subnetz Maske 255 255 255 0 das 3 Byte das eigentlich f r Host Adressierung vor
113. hritten wird das Authentifizierungsverfahren abgebrochen und neu gestartet Das Timeout k nnen Sie hier ndern Schl gt ein VPN Verbindungsaufbau fehl wird der Verbindungsaufbau vom TAINY xMOD V2 IO wiederholt Geben Sie hier die Anzahl der erfolglosen Versuche ein bevor das TAINY xMOD V2 IO seinen VPN Client neu startet um dann erneut den Verbindungsaufbau einzuleiten Schl gt nach dem Neustart des VPN Clients der VPN Verbindungsaufbau fehl wird der Verbindungsaufbau vom TAINY xMOD V2 IO wiederholt Geben Sie hier die Anzahl der erfolglosen Versuche ein bevor das TAINY xMOD V2 IO einen Reboot durchf hrt um dann erneut den VPN Verbindungsaufbau einzuleiten Bezieht das VPN Gateway der Gegenstelle die IP Adresse von einem DynDNS Dienst und wird keine Dead Peer Detection verwendet ist es sinnvoll dass das TAINY xMOD V2 IO regelm ig berpr ft of das VPN Gateway der Gegenstelle noch erreichbar ist Das DynDNS Tracking bernimmt diese Funktion Mit Ja wird die Funktion aktiviert mit Nein deaktiviert Stellen Sie hier ein in welchen Abst nden per DynDNS Tracking gepr ft werden soll ob die Gegenstelle noch erreichbar ist Werkseitig verwendet das TAINY xMOD V2 IO folgende Einstellungen NAT T Keepalive Intervall Sekunden 60 Phase 1 Timeout Sekunden 15 Phase 2 Timeout Sekunden 10 TAINY xMOD Seite 75 von 113 VP Verbindungen Versuche des Verbindungsaufbaus bis 5 Neustart des VPN Clients Versuche d
114. icherheitsbeziehung SA Security Association f r die eigentlichen IPsec Verbindung zwischen dem TAINY xMOD V2 IO und dem VPN Gateway der Gegenstelle aufgebaut Anforderungen an das Damit eine IPsec Verbindung erfolgreich aufgebaut werden kann muss die VPN Gateway des VPN Gegenstelle IPsec mit folgender Konfiguration unterst tzen N Authentifizierung ber X 509 Zertifikate CA Zertifikate oder Pre Shared Key PSK ESP Diffie Hellman Gruppe 1 2 oder 5 3DES oder AES encryption MD5 oder SHA 1 Hash Algorithmen Tunnel Mode Quick Mode Main Mode Agressive Mode SA Lifetime 1 Sekunde bis 24 Stunden Ist die Gegenstelle ein Rechner unter Windows 2000 muss dazu das Microsoft Windows 2000 High Encryption Pack oder mindestens das Service Pack 2 installiert sein Befindet sich die Gegenstelle hinter einem NAT Router so muss die Gegenstelle NAT T unterst tzen Oder aber der NAT Router muss das IPsec Protokoll kennen IPsec VPN Passthrough TAINY xMOD Seite 59 von 113 VP Verbindungen 7 2 VPN Roadwarrior Modus IPsec VPN gt Verbindungen NUR TAINY HMOD V2 IO NUR TAINY EMOD V2 IO Funktion Roadwarrior Modus Einstellungen bearbeiten Funktion Authentifizierungs verfahren berblick IPSec VPN Verbindungen gt System KE VPN Roadwarrior Modus gt Netzwerk Extern gt Sicherheit Aktiviert Name Einstellungen IKE Y IPSec VPN Nein M Roa
115. ie darauf dass der Browser keinen Proxy Server verwendet Im MS Internet Explorer Version 7 0 nehmen Sie diese Einstellung wie folgt vor Men Extras Internetoptionen Registerkarte Verbindungen Unter LAN Einstellungen auf die Schaltfl che Einstellungen klicken im Dialogfeld Einstellungen f r lokales Netzwerk LAN daf r sorgen dass unter Proxyserver der Eintrag Proxyserver f r LAN verwenden nicht aktiviert ist Falls andere LAN Verbindungen auf dem Rechner aktiv sind deaktivieren Sie diese f r die Zeit der Konfiguration Unter Windows Men Start Verbinden mit Systemsteuerung Alle Verbindungen anzeigen unter LAN oder H chstgeschwindigkeits Internet die betreffende Verbindung mit der rechten Maustaste klicken und im Kontextmen Deaktivieren w hlen Geben Sie die Adresse des TAINY xMOD mit Slash ein https 192 168 1 1 TAINY xMOD Seite 27 von 113 Konfiguration 3 5 System Status Startseite System Status Aktuelle Systemzeit Verbunden seit Externer Hostname Zugewiesene IP Adresse Verbindung berblick gt System gt Netzwerk Intern gt Netzwerk Extern gt Sicherheit gt IPSec VE gt Zugang sms gt sp gt Wartung Aktuelle Systemzeit Verbunden seit Externer Hostname Zugewiesene IP NTP Synchronisation DynDNS Remote HTTPS Remote SSH CSD Einwahl SHMP SNMP Trap Volumen berwachung Anzahl aktivierte Firewall Regeln System
116. igenschaften durch klicken auf diese Schaltfl che Es erscheint das Fenster Eigenschaften von Internetprotokoll TCP IP siehe Abbildung unten Hinweis Der Weg der zum Dialogfeld Eigenschaften von LAN Verbindung f hrt h ngt von Ihren Windows Einstellungen ab K nnen Sie das Dialogfeld nicht finden suchen Sie bitte in der Windows Hilfe nach LAN Verbindung oder Eigenschaften von Internetprotokoll TCP IP Eigenschaften von Internet Protocol TCP IP 2x Allgemein IP Einstellungen k nnen automatisch zugewiesen werden wenn das Netzwerk diese Funktion unterst tzt Wenden Sie sich andernfalls an den Netzwerkadministrator um die geeigneten IP Einstellungen zu beziehen IP Adresse automatisch beziehen Te Folgende IP Adresse verwenden IP Adresse 192 168 1 2 Subnetzmaske 255 255 255 0 Standardgateway 1 168 1 1 Le D NS Ser eradre e automati ch be ziehen eu Folgende DNS Serveradressen verwenden Bevorzugter DNS Server 192 168 1 1 Alternativer DNS Server 8 i Erweitert Abbrechen Geben Sie folgende Werte ein um die Web Oberfl che des TAINY xMOD zu erreichen IP Adresse 192 168 1 2 Subnetzmaske 255 255 255 0 Geben Sie zus tzlich folgende Werte ein wenn Sie mit dem Admin PC ber das TAINY xMOD auf das externe Netz zugreifen wollen Standardgateway 192 168 1 1 Bevorzugter DNS Server Adresse des Domain Name Servers Seite 24 von 113 TAINY xMOD Bevorzugte
117. in ffentliches Netz z B das Internet zu einem gemeinsamen Netzwerk zusammen Durch Verwendung kryptographischer Protokolle wird dabei die Vertraulichkeit und Authentizit t gewahrt Ein VPN bietet somit eine kosteng nstige Alternative gegen ber Standleitungen wenn es darum geht ein berregionales Firmennetz aufzubauen Seite 106 von 113 TAINY xMOD X 509 Zertifikat Kleines Router Lexikon Eine Art Siegel welches die Echtheit eines ffentlichen Schl ssels gt asymmetrische Verschl sselung und zugeh riger Daten belegt Damit der Benutzer eines zum Verschl sseln dienenden ffentlichen Schl ssels sichergehen kann dass der ihm bermittelte ffentliche Schl ssel wirklich von seinem tats chlichen Aussteller und damit der Instanz stammt die die zu versendenden Daten erhalten soll gibt es die M glichkeit der Zertifizierung Diese Beglaubigung der Echtheit des ffentlichen Schl ssels und die damit verbundene Verkn pfung der Identit t des Ausstellers mit seinem Schl ssel bernimmt eine zertifizierende Stelle Certification Authority CA Dies geschieht nach den Regeln der CA indem der Aussteller des ffentlichen Schl ssels beispielsweise pers nlich zu erscheinen hat Nach erfolgreicher berpr fung signiert die CA den ffentliche Schl ssel mit ihrer digitalen Unterschrift ihrer Signatur Es entsteht ein Zertifikat Ein X 509 v3 Zertifikat beinhaltet also einen ffentlichen Schl ssel Informa
118. in Minuten An dieser Stelle wird die Anzahl der erfolglosen Ping Wiederholungen festgelegt nach denen die berwachte VPN Verbindung neu gestartet wird Name des Legen Sie hier fest welche VPN Verbindungen VPN Tunnel Tunnels berwacht werden sollen Richten Sie mit Neu f r eine der bereits angelegten VPN Verbindungen eine berwachung ein oder beenden Sie mit L schen die berwachung einer VPN Verbindung Host IP W hlen Sie hier ber deren IP Adresse die Gegenstelle Ziel Adresse Hosts aus Client IP Geben Sie hier als Absender IP eine beliebige ungenutzte IP Adresse Adresse aus dem lokalen Netzbereich der jeweiligen VPN Verbindung an Werkseitig verwendet das TAINY xMOD V2 IO folgende Einstellungen VPN berwachung verwenden Nein Intervall f r Verbindungspr fung 5 Minuten Verz gerung bis zur Wiederholung 1 Minuten Anzahl der Wiederholungen 3 Seite 74 von 113 TAINY xMOD VPN Verbindungen 7 7 Erweiterte Einstellungen bei VPN Verbindungen IPsec VPN gt Erweitert NUR TAINY HMOD V2 IO NUR TAINY EMOD V2 IO Funktion NAT T Keepalive Intervall Sekunden Phase 1 Timeout Sekunden Phase 2 Timeout Sekunden Versuche des Verbindungsaufbaus bis Neustart des VPN Clients Versuche des Verbindungsaufbaus bis Reboot des Ger tes nach erfolglosem Neustart des VPN Clients DynDNS Tracking DynDNS Tracking Intervall Minuten Werkseinstellung E IPSec VPN Er
119. inbuchstatus STAT Funktion noch nicht gestartet STAT 1 Im Heimatnetz eingebucht STAT 2 Nicht eingebucht Netzsuche STAT 3 Einbuchen abgelehnt STAT 5 Eingebucht in Fremdnetz Roaming Angabe der Identifikation des Netzbetreibers mit dem 3 stelligen L ndercode MCC und dem 2 3 stelligen Netzbetreibercode MNC Beispiel 26201 262 L ndercode 01 Netzbetreibercode Kodierter Betriebsstatus f r Kundendienst Kategorie des Logbuch Meldung f r Kundendienst Interne Quelle des Logbuch Meldung f r Kundendienst Interne Meldungsnummer f r Kundendienst Logbuch Meldung im Klartext Zusatzinfomationen zur Klartextmeldung wie zum Beispiel Cell ID Identifikationsnummer der aktiven GSM Zelle Softwareversion TXS RXS bertragene IP Pakete der aktuellen Verbindung TX RX bertragene IP Pakete seit letztem Werksneustart Wartu ng gt es Wartung Remote Logging D gt Netzwerk Intern Remote Lo gg ng Netzwerk Extern Remote Logging FTP Upload verwenden a x gt Sicherheit R ne Uhrzeit 00 00 X Se FTP Server NONE v Wartung Benutzername guest Update Konfigurations Passwort S 777 Profile A Aktive Uploads Hame HW Info eoan Speichem Zur cksetze Funktion Das TAINY xMOD kann das System Logbuch einmal am Tag per FTP File Transfer Protocol an einen FTP Server bertragen bertragen wird das aktuelle System Logbuch sowie die System Log Dateien im Archiv Nach erfolgreicher
120. l ssel verwendet ein privater Private Key und ein ffentlicher Public Key Der ffentliche Schl ssel dient zum Verschl sseln von Daten der private Schl ssel zum Entschl sseln Der ffentliche Schl ssel wird vom zuk nftigen Empf nger von Daten denen zur Verf gung gestellt die die Daten verschl sselt an ihn versenden werden Der private Schl ssel ist nur im Besitz des Empf ngers Er dient zum Entschl sseln der empfangenen Daten Zertifizierung Damit der Benutzer des zum Verschl sseln dienenden ffentlichen Schl ssels sichergehen kann dass der ihm bermittelte ffentliche Schl ssel wirklich von der Instanz stammt die die zu versendenden Daten erhalten soll gibt es die M glichkeit der Zertifizierung Die berpr fung der Echtheit des ffentlichen Schl ssels und die damit verbundene Verkn pfung der Identit t des Absenders mit seinem Schl ssel bernimmt eine zertifizierende Stelle Certification Authority CA Dies geschieht nach den Regeln der CA indem der Absender beispielsweise pers nlich zu erscheinen hat Nach erfolgreicher Pr fung signiert die CA den ffentliche Schl ssel des Absenders mit ihrer digitalen Unterschrift Es entsteht ein Zertifikat Ein X 509 Zertifikat stellt eine Verbindung zwischen einer Identit t in Form eines X 500 Distinguished Name DN und einem ffentliche Schl ssel her die durch die digitale Signatur einer X 509 Certification Authority CA beglaubigt wird Die Sig
121. ladenen Gegenstellen Zertifikate in einer Liste angezeigt Mit L schen k nnen Sie Gegenstellen Zertifikate die nicht mehr ben tigt werden wieder entfernen An dieser Stelle wird der Name und Zustand der geladenen Zertifikats Datei PKCS12 Datei angezeigt Der jeweilige Bestandteil der Zertifikats Datei vorhanden ist e Der jeweilige Bestandteil fehlt oder dass das eingegebene Passwort falsch ist 7 5 Firewall Regeln f r VPN Tunnel Firewall Regeln f r VPN Tunnel NUR TAINY HMOD V2 IO NUR TAINY EMOD V2 IO Die Oberfl che zum Einrichten der Firewall Regeln f r VPN Tunnel finden Sie unter IPsec VPN gt Verbindungen Einstellungen IKE Bearbeiten Bearbeiten VPN Standard Modus Aktiviert Name Neu Nein Innominate L schen Bere IPSec VPN Verbindung bearbeiten gt System gt Netzwerk Intern gt Netzwerk Extern Verbindungsname TestvPN_1 gt Sicherheit ce Remote Host NONE Verbindungen Zertifikate Authentisierungsverfahren X 509 Gegenstellenzertifikat ze berwachung Erweitert Gegenstellen Zertifikat v Status gt Zugang Remote ID NONE sms Lokale ID NONE gt SNMP gt Wartung Adresse des gegen berliegenden Netzes 192 168 2 1 Netzmaske des gegen berliegenden Netzes 255 255 255 0 1 zu 1 HAT f r das gegen berliegende Netz aktivieren Nein ze Adresse des lokalen Hetzes 192 168 1 1 Hetzmazke des lokalen Netzes 255 255 255 0 1 zu 1 HAT f r das lokale Hetz aktivieren Nein
122. meter f r UMTS bzw EGPRS und GPRS Netzwerk Extern gt UMTS EDGE Funktion Netzauswahl NUR TAINY HMOD berblick Netzwerk Extern UMTS EDGE gt System gt Netzwerk Intern v lletzwerk Extern Pm s ndern UMTS EDGE Installations Netzauswahl UMTS oder GSM e modus Volumen Roaming erlauben Nein ze berwachung D Erweiterte Modus der Providerauswahl Manuell v Einstellungen gt Sicherheit Methode der Provider Authentifizierung Auto 7 gt IPSec VPN Ee Su guet r smp Passwo lesen Wartung Das TAINY HMOD verwendet als Datenfunkdienst HSDPA UMTS data EGPRS oder GPRS zur Kommunikation mit dem externen Netz Auszuw hlen ist der Typ des Mobilfunknetzes UMTS oder GSM Das TAINY EMOD verwendet als Datenfunkdienst EGPRS oder GPRS F r den Zugang zu diesen IP Mobillfunkdiensten und zum grundlegenden Funknetz sind Zugangsparameter erforderlich die Sie von Ihrem Mobilfunkbetreiber erhalten Die PIN sch tzt die SIM Karte vor unbefugter Benutzung Benutzername und Passwort sch tzen den Zugang zum Datenfunkdienst und der APN Access Point Name definiert den Ubergang vom Datenfunkdienst zu weiteren verbundenen IP Netzen z B einen ffentlichen APN zum Internet oder einen privaten APN zu einem Virtual Private Network VPN PIN Benutzername APN und Passwort ffentlich Lokale Applikation S APN privat Das TAINY HMOD kann sich wahlweise mit UMTS oder GSM Mobilfunknetzen verbinden
123. mt den Ruf an wenn die Rufnummer des Telefonanschlusses von dem aus Sie den Anruf t tigen in der Liste der zugelassenen Nummern im TAINY xMOD gespeichert ist und die Rufnummer vom Telefonnetz bertragen wird CLIP Funktion Die Einwahl muss mit einem PPP Client erfolgen zum Beispiel ber eine Windows DFU Verbindung Folgen Sie unter Windows dem Assistenten f r neue Verbindungen und richten Sie als Verbindung mit dem Netzwerk am Arbeitsplatz eine DFU Verbindung ein Web Oberfl che und ssh Konsole haben bei CSD Einwahl die IP Adresse 10 99 99 1 Hinweis Beim TAINY HMOD ist diese Funktion nur verf gbar wenn ein GSM Netz verwendet wird In UMTS Netzen kann diese Funktion nicht verwendet werden Ja Der Zugriff auf die Web Oberfl che des TAINY xMOD per Daten W hlverbindung ist gestattet Nein Der Zugriff per Daten W hlverbindung ist nicht gestattet W hlen Sie einen Benutzernamen und ein Passwort aus mit dem sich ein PPP Client z B Windows DFU Verbindung am TAINY xMOD anmelden muss Den gleichen Benutzernamen und das gleiche Passwort m ssen Sie beim PPP Client eintragen Seite 80 von 113 TAINY xMOD Zugelassene Rufnummern Werkseinstellung Fernzug nge Geben Sie die Rufnummer des Telefonanschlusses an von dem aus die Daten W hlverbindung aufgebaut wird Der Telefonanschluss muss die Rufnummern bermittlung CLIP Calling Line Identification Presentation unterst tzen u
124. n Ausgeschaltet Port f r HTTPS Fernzugang 443 Vorgabe f r neue Regel Von IP extern 0 0 0 0 0 Aktion Erlauben Log Nein Ausgeschaltet 8 2 Fernzugang SSH Zugang gt SSH Be Zugang SSH gt Netzwerk Intern gt Netzwerk Extern SSH Fernzugang aktivieren Ja Le SE Firewallregeln D 3 Eu 0 0 0 070 Erlauben at Nein M Ga Wee Speichen Zur cksetzen Funktion Der SSH Fernzugang Secured SHell erm glicht ber HSDPA UMTS EGPRS oder GPRS einen gesicherten Zugriff aus einem externen Netz auf das Dateisystem des TAINY xMOD Dazu muss mit einem SSH f higen Programm eine Verbindung von der externen Gegenstelle zum TAINY xMOD aufgebaut werden Verwenden Sie den SSH Fernzugang nur wenn Sie mit dem LINUX Dateisystem vertraut sind Werkseitig ist diese Option ausgeschaltet Vorsicht ber den SSH Fernzugang ist es m glich das Ger t so falsch zu konfigurieren dass es zum Service eingeschickt werden muss Kontaktieren Sie in diesem Fall bitte Ihren H ndler oder Distributor SSH Fernzugang Ja Der Zugriff auf das Dateisystem des TAINY xMOD per SSH aktivieren aus dem externen Netz ist gestattet Nein Der Zugriff per SSH ist nicht gestattet Seite 78 von 113 TAINY xMOD Port f r SSH Fernzugang Firewall Regeln f r den SSH Fernzugang Fernzug nge Standard 22 Werkseinstellung Sie k nnen hier einen alternative Port festlegen Wenn Sie den alternativen Port nutzen wollen dann muss die ext
125. n dass es bei bestimmten Installationen auch wenn diese in bereinstimmung mit den Instruktionen vorgenommen werden keine st renden Interferenzen geben kann Falls dieses Ger t st rende Interferenzen beim Radio oder Fernsehempfang bewirkt was durch Ein und Ausschalten des Ger tes ermittelt werden kann empfehlen wir dem Benutzer folgende Gegenma nahmen zu ergreifen ndern Sie die Ausrichtung der Empfangsantenne oder installieren Sie diese an anderer Stelle Vergr ern Sie den Abstand zwischen dem TAINY xMOD und dem Radio oder Fernsehempf nger Schlie en Sie das Ger t an eine Netzsteckdose an die sich in einem anderen Stromkreis befindet als die an der der Empf nger angeschlossen ist Wenden Sie sich an einen Fachh ndler Installateur oder an einen kompetenten Fachmann f r TV und Radioempfang und fragen Sie ihn FCC Part 15 19 Dieses Ger t entspricht den Bestimmungen in Part 15 der FCC Rules Sein Betrieb unterliegt folgenden Bedingungen 1 Dieses Ger t bewirkt m glicherweise keine sch dlichen oder st renden Interferenzen und 2 Dieses Ger t muss empfangene Interferenzen hinnehmen k nnen auch solche die ein unerw nschtes Betriebsverhalten bewirken k nnten FCC Part 15 21 Modifikationen am Ger t denen dieser Hersteller nicht ausdr cklich zugestimmt hat k nnen dazu f hren dass der Benutzer nicht mehr befugt ist das Ger t zu betreiben Installation nur durch Fachpersonal Da
126. natur eine Verschl sselung mit dem Signaturschl ssel kann mit dem ffentlichem Schl ssel berpr ft werden die die CA dem Zertifikatsinhaber aush ndigt Ger te die miteinander kommunizieren m ssen dieselben Regeln dazu verwenden Sie m ssen dieselbe Sprache sprechen Solche Regeln und Standards bezeichnet man als Protokoll bzw bertragungsprotokoll Oft benutzte Protokolle sind z B IP TCP PPP HTTP oder SMTP TCP IP ist der Oberbegriff f r alle auf IP aufbauenden Protokolle Anbieter Firma Institution die Nutzern den Zugang zum Internet oder zu einem Online Dienst verschafft In der Internet Terminologie bedeutet Spoofing die Angabe einer falschen Adresse Durch die falsche Internet Adresse t uscht jemand vor ein autorisierter Benutzer zu sein Unter Anti Spoofing versteht man Mechanismen die Spoofing entdecken oder verhindern Seite 104 von 113 TAINY xMOD SNMP SNMP Trap SSH Symmetrische Verschl sselung Kleines Router Lexikon SNMP Simple Network Management Protokoll ist ein weitverbreiteter Mechanismus zur zentralen Kontrolle und Steuerung von Netzwerk Komponenten wie zum Beispiel Server Router Switches Drucker Computer usw SNMP definiert den Kommunikationsablauf und den Aufbau der Datenpakete Zum Transport wird UDP ber IP verwendet SNMP definiert nicht die Werte die gelesen oder ver ndert werden k nnen Dies geschieht in einer MIB Management Information Base
127. nd der ISAKMP Phase und der IPSec Phase verwendet werden soll Zur Auswahl stehen MD5 oder SHA 1 Automatische Erkennung MD5 SHA 1 Das Verfahren kann f r ISAKMP SA und IPSec SA unterschiedlich festgelegt werden Seite 62 von 113 TAINY xMOD ISAKMP SA Modus ISAKMP SA Lebensdauer IPSec SA Lebensdauer NAT T Aktiviere Dead Peer Detection DPD Verz gerung Sekunden VPN Verbindungen Vereinbaren Sie mit dem Administrator der Gegenstelle welches Verfahren zur Aushandlung der ISAKMP SA verwendet werden soll Zur Auswahl stehen Main mode Agressive mode Hinweis Bei Verwendung des Authentifizierungsverfahren Pre Shared Key muss im Roadwarrior Modus der Agressive mode eingestellt werden Die Schl ssel einer IPsec Verbindung werden in bestimmten Abst nden erneuert um den Aufwand eines Angriffs auf eine IPsec Verbindung zu erh hen Legen Sie die Lebensdauer der f r die ISAKMP SA und IPSec SA vereinbarten Schl ssel fest in Sekunden Die Lebensdauer kann f r ISAKMP SA und IPSec SA unterschiedlich festgelegt werden Eventuell befindet sich zwischen dem TAINY xMOD V2 IO und den VPN Gateway des gegen berliegenden Netzes ein NAT Router Nicht alle NAT Router lassen IPsec Datenpakete passieren Daher ist es eventuell erforderlich die IPsec Datenpakete in UPD Pakete einzukapseln so dass sie den NAT Router passieren k nnen An Wird vom TAINY xMO
128. nd die Funktion muss eingeschaltet sein Die im TAINY xMOD eingetragene Rufnummer muss exakt mit der gemeldeten Rufnummer bereinstimmen und gegebenenfalls auch die L nderkennung und Vorwahl umfassen z B 494012345678 Wenn mehrere Rufnummern einer Nebenstellenanlage zugangsberechtigt sein sollen k nnen sie das Zeichen 2 als Joker verwenden z B 49401234 Alle Rufnummern die mit 49401234 beginnen werden dann akzeptiert Hinweis Firewall Regeln die f r den HTTPS bzw SSH Zugang eingetragen sind gelten auch f r den CSD Zugang Als Quell IP Adresse von IP f r den CSD Zugang ist 10 99 99 2 festgelegt Neu F gt eine neue zugelassene Rufnummer f r den CSD Fernzugang hinzu die Sie dann ausf llen k nnen L schen Entfernt eine Rufnummer f r den CSD Fernzugang wieder Werkseitig hat das TAINY xMOD folgende Einstellungen CSD Einwahl aktivieren Nein Ausgeschaltet PPP Benutzername service PPP Passwort service Zugelassene Rufnummern t TAINY xMOD Seite 81 von 113 Logbuch Update und Diagnose 9 Logbuch Update und Diagnose 9 1 Anzeige Logbuch System gt Logbuch Logbuch Aktuelles Logbuch herunterladen Logbuch Archiv System Logbuch Aktuelles Logbuch herunterladen Logbuch Archiv Name LOGO 20118 29 2358 tar gz LOG1_2011_8_30_2358 tar gz LOG2_2011_8_31_2358 tar gz LOG3_2011_9_1_2358 tar gz LOG4_2011_9_2 2358 tar gz LOG5_2011_9_3_2358 tar gz LOG6_2011_9_4_2358 t
129. nd zu erlauben Log F r jede einzelne Firewall Regel k nnen Sie festlegen ob bei Greifen der Regel das Ereignis protokolliert werden soll Log auf Ja setzen oder nicht Log auf Nein setzen werkseitige Voreinstellung Das Protokoll wird in das Firewall Logbuch siehe Kapitel 6 4 geschrieben Werkseitig hat das TAINY xMOD folgende Einstellungen Benutzername User Passwort Password Portnummer 26864 Firewall Regeln Nicht aktiv Von IP 0 0 0 0 0 Aktionen Erlauben Log Nein Seite 90 von 113 TAINY xMOD 11 SNMP SNMP 11 1 Bedienung per SNMP SNMP SNMP berblick SNMP gt System gt Netzwerk Intern E Netzwerk Extern SNMP Zugriff aktivieren Ja be gt Sicherheit gt IPSec VPH S Ge Port f r SUMP Zugriff 161 SMS Lesen Schreiben Community eessen vsump zue Hur Lesen Community onsen SUMP Traps E Wartung Firewallregeln Von IP Extern Aktion Log Neu 0 0 0 010 Erlauben Je Nein x L schen Speichern Zur cksetzen Verschiedene Parameter des TAINY xMOD k nnen Mithilfe des SNMP Version 1 und Version 2 Simple Network Management Protocol abgefragt oder ge ndert werden Der Zugriff per SNMP kann sowohl aus dem lokalen Netz als auch vom externen Netz erfolgen Folgende SNMP Anfragen und Antworten werden vom TAINY xMOD unterst tzt GET GETNEXT GETBULK GETSUBTREE WALK SET RESPONSE TRAP Auf die folgenden Parameter des TAINY xMOD kann per SNMP lesend zugegriffen werden Ger teid
130. ng wiederholt Enden alle Wiederholungen erfolglos wird die VPN Verbindung neu aufgebaut Schl gt auch das fehl wird dies so oft wiederholt wie im Men IPsec VPN gt Erweitert als Parameter Versuche des Verbindungsaufbaus bis Neustart des Clients siehe Kapitel 7 7 konfiguriert ist Ist die VPN Verbindung nach allen Wiederholungen noch immer nicht wieder etabliert wird der VPN Client neu gestartet Dies verursacht einen Neuaufbau aller bestehenden VPN Verbindungen Warnung Durch das Versenden der Ping Pakete ICMP steigt die Anzahl der ber die Datenfunkdienst Verbindung HSDPA UMTS EGPRS oder GPRS gesendeten und empfangenen Daten Abh ngig von den gew hlten Einstellungen kann das zus tzliche Datenaufkommen 4 5 MByte im Monat und mehr betragen Dies kann zu erh hten Kosten f hren Hinweis Die berwachung der VPN Verbindungen mittels Ping berschneidet sich zum Teil mit den berwachungsfunktionen der Dead Peer Detection Bei aktivierter Ping Uberwachung kann die DPD Verz gerung erh ht werden Ja VPN berwachung eingeschaltet Nein VPN berwachung ausgeschaltet An dieser Stelle wird festgelegt in welchen Zeitintervallen die Ping Pakete ber die berwachten VPN Verbindungen VPN Tunnel gesendet werden Die Angabe erfolgt in Minuten An dieser Stelle wird die Wartezeit festgelegt bis nach einer erfolglosen Ping Pr fung keine Antwort auf den Ping der Ping wiederholt wird Die Angabe erfolgt
131. nnten in einer Datei Wenn Sie sich bei einem Problem mit dem TAINY xMOD an unseren Kundendienst wenden wird dieser in vielen F llen um die Snapshot Datei bitten Hinweis Diese Datei enth lt die Zugangsparameter zum Datenfunkdienst HSDPA UMTS EGPRS oder GPRS sowie die Adressen der Gegenstelle Nicht enthalten sind Benutzername und Passwort f r den Zugang zum TAINY xMOD Klicken Sie auf Download Sie k nnen ausw hlen an welche Stelle auf dem Admin PC die Snapshot Datei gespeichert werden soll Der Dateiname der Snapshot Datei setzt sich folgenderma en zusammen lt hostname gt _Snapshot_ lt Date amp TimeCode gt tgz z B tainyHMOD_Snapshot_200711252237 tgz Seite 84 von 113 TAINY xMOD Erweiterte Diagnose Werkseinstellung Logbuch Update und Diagnose Aktivieren Sie bitte die erweiterte Diagnose nur nach Aufforderung durch unseren Kundendienst Im Betrieb werden bei erweiterter Diagnose viel h ufiger Informationen in die Diagnose Logb cher geschrieben Es werden auch zus tzliche Informationen gespeichert Dies hilft bei einer gezielten Problemanalyse Hinweis Durch die h ufigen Schreibzugriffe bei aktivierter erweiterter Diagnose auf den nicht fl chtigen Speicher des TAINY xMOD kann sich dessen Lebensdauer verringern Werkseitig hat das TAINY xMOD folgende Einstellungen Erweiterte Diagnose Aus Aktivieren 9 4 Hardware Informationen Wartung gt Hardware Info Funktion b
132. r DNS Server Konfiguration Wenn Sie Adressen ber einen Domain Namen aufrufen z B www neuhaus de dann muss auf einem Domain Name Server DNS nachgeschlagen werden welche IP Adresse sich hinter dem Namen verbirgt Als Domain Name Server k nnen Sie festlegen DNS Adresse des Netzbetreibers oder Lokale IP Adresse des TAINY xMOD sofern dieses zum Aufl sen von Hostnamen in IP Adressen konfiguriert ist siehe Kapitel 4 3 Dies ist die Werkseinstellung Um den Domain Name Server in der TCP IP Konfiguration Ihres Netzwerkadapters festzulegen gehen Sie wie oben beschrieben vor 3 4 Konfigurations Verbindung herstellen Web Browser einrichten Startseite des TAINY xMOD aufrufen Sicherheitshinweis best tigen Gehen Sie wie folgt vor 1 Starten Sie einen Web Browser z B MS Internet Explorer ab Version 7 oder Mozilla Firefox ab Version 2 der Web Browser muss SSL d h HTTPS unterst tzen Achten Sie darauf dass der Browser beim Starten nicht automatisch eine Verbindung w hlt Im MS Internet Explorer 7 nehmen Sie diese Einstellung wie folgt vor Men Extras Internetoptionen Registerkarte Verbindungen Die Option Keine Verbindung w hlen muss aktiviert sein In der Adresszeile des Browsers geben Sie die Adresse TAINY xMOD vollst ndig ein Gem Werkseinstellung lautet diese https 192 168 1 1 Folge Es erscheint ein Sicherheitshinweis Beim Internet Explorer 7
133. r Option k nnen Sie das Verhalten beim Empfang von ICMP Paketen beeinflussen die aus dem externen Netz in Richtung des TAINY xMOD gesendet werden Sie haben folgende M glichkeiten Verwerfen Alle ICMP Pakete zum TAINY xMOD werden verworfen Ping Erlauben Nur Ping Pakete ICMP Typ 8 zum TAINY xMOD werden akzeptiert Erlauben Alle Typen von ICMP Pakete TAINY xMOD werden akzeptiert Werkseitig hat das TAINY xMOD folgende Einstellungen Maximale Zahl gleichzeitiger 4096 Verbindungen Maximale Zahl neuer eingehender TCP 25 Verbindungen pro Sekunde Maximale Zahl neuer ausgehender TCP 75 Verbindungen pro Sekunde Maximale Zahl neuer eingehender Ping 3 Pakete pro Sekunde Maximale Zahl neuer ausgehender Ping 5 Pakete pro Sekunde ICMP von extern zum TAINY Verwerfen 6 4 Firewall Logbuch Sicherheit gt Firewall Logbuch Funktion Sicherheit Firewall Logbuch Firewall Logbuch anzeigen Anzeigen Nov 20 11 42 52 dnt3173 user warn kernel FIREWALL IN ethO OUT pppO SRC 192 168 1 Nov 20 11 42 52 dnt3173 user warn kernel FIREWALL IN ethO OUT ppp SRC 192 168 1 Nov 20 11 42 55 dnt3173 user warn kernel FIREWALL IN eth0 OUT pppO SRC 192 168 1 Nov 20 11 43 01 dnt3173 user warn kernel FIREWALL IN eth0 OUT ppp SRC 192 168 1 Nov 20 11 55 00 dnt3173 user warm kernel FIREWALL IN ethO OUT ppp SRC 192 168 1 Nov 20 11 55 00 dnt3173 user warn kernel FIREWALL IN ethO OUT pppO SRC 192 168 1
134. r geladen werden Wenn Sie das Update zeitgesteuert durchf hren lassen wollen geben Sie den Zeitpunkt an an dem die neue Betriebssoftware aktiviert werden soll Geben Sie Jahr Monat Tag Stunde Minute an W hlen Sie mit Durchsuchen die neue Betriebsssoftware aus Die Betriebssoftware f r das TAINY xMOD tr gt zum Beispiel folgende Bezeichnung HMOD_V2IO_v1 107 v1 214 1gz Laden Sie die Firmware mit ffnen in das Ger t Mit Absenden wird die Betriebssoftware entweder sofort aktiviert oder die Betriebssofware wird zum vorgegeben Zeitpunkt aktiviert Seite 86 von 113 TAINY xMOD 10 SMS Versand SMS Versand 10 1 Service Center SMS Service Center Rufnummer 10 2 Alarm SMS TAINY xMOD nutzt auch den Short Message Service SMS von GSM Sie k nnen ein spezielles SMS Center festlegen berblick SMS Service Center System gt Netzwerk Intern gt Netzwerk Extern SMS Service Center Rufnummer gt Sicherheit gt IPSec VE Zugang e SMS Service Center Alarm SMS SMS over IP sump E Wartung Speichern Zur cksetzen Damit die SMS Funktion sicher funktioniert tragen Sie hier die Rufnummer des Service Center ein Ohne Eintrag an dieser Stelle wird das Standard SMS Service Center Ihres Netzbetreibers verwendet Durch das Fehlen des Eintrags kann es zu Fehlfunktionen kommen Achtung Wird keine Rufnummer f r das SMS Center eingetragen oder erfolgt der Eintrag nicht in inte
135. r24400044nnn0onnnnnnnannnnnnnonnnnnnnnnnnnnnnannnnnnnannnnnnnannnnnnnannnnnnnannnnnn 33 3 11 Ger teidentifikationz n eekek ilerkieraiekk isn bisschen ATAARE ESS 34 d Lokale Schnittstelle 2 me 2 0 a eu EES ee ee 35 4 1 IP Adressen der lokalen Schnittstelle A 35 4 2 _DHCP Server zum lokalen Netz 35 4 3 DNS 20m lokalen Notz iiser naa aaa AE het rend nennen ernennt Bene 37 4 4 Lokaler H stname u nee nee ienkeninolaen 38 4 5 vSystemzeit ME EE 38 4 6 Zus tzliche interne Routen nn 39 GN E TEE 41 5 1 Netzauswahl und Zugangsparameter f r UMTS bzw EGPRS und GPRS ne 41 5 2 berwachung der Datenfunkdienst Verbindung eeeeeeeene 45 5 3 Hostname durch DynDNS nen 46 5 4 EC REI EE 47 5 5 NAT Network Address Translation 48 56 gt Installations ue TEE 49 5 7 Volument benwachumg Hanne nnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnner nn nnnn anne 50 6 Sicherheitsfunktionen 2 2 252 40 ged Eeer eEEdEeeeeEe 52 6 15 Paket OT ans eeh Ee eet Ee 52 E Wiele EEN DE 55 TAINY xMOD Seite 7 von 113 Inhaltsverzeichnis 6 3 Erweiterte Sicherheitsfunktionen nn 56 D Frowa Logbuch duan ansehe ill beten 57 7 N VPN Verbindungen uuurssanesennnnnennnnnnnnnnnnnennnnnnnnnnnnnnnnnnsnnennnnnnnennnnnnnnnnsnnnnnnsnnnnnnnnnnnnnnsnnernnsnnnennnnnnnennsnnennnsnnnnnn 58 741 a Tue E 58 7 2 NPN Roadwarior Modus sareari ne nn 60 73 VPN IPsec Standard Modus
136. rk mit dem das TAINY HMOD ber HSDPA UMTS EGPRS oder GPRS verbunden ist Externe Netze sind das Internet oder ein privates Intranet Externes Netzwerk mit dem das TAINY EMOD ber EGPRS oder GPRS verbunden ist Externe Netze sind das Internet oder ein privates Intranet Externe Gegenstellen sind Netzwerkkomponenten im externen Netz z B Web Server im Internet Router im Intranet ein zentraler Firmenserver ein Admin PC und vieles mehr EGPRS oder GPRS je nach Verf gbarkeit der Dienste Komponente des externen gegen berliegenden Netzes die IPsec unterst tzt und kompatibel ist zum TAINY xMOD V2 IO Externes Netz mit dem das TAINY xMOD eine VPN Verbindung aufbaut Infrastruktur und Technologie zur drahtlosen mobilen Sprach und Datenkommunikation Das TAINY HMOD ist f r den Einsatz in UMTS Mobilfunknetzen und GSM Mobilfunknetzen gebaut Das TAINY EMOD ist f r den Einsatz in EDGE GSM Mobilfunknetzen gebaut Vom verwendeten Mobilfunknetz bereitgestellte Dienste zur Daten bertragung die vom TAINY xMOD genutzt werden k nnen TAINY HMOD TAINY EMOD V2 IO L1 IO V2 IO L1 IO UMTS Mobilfunknetz x x HSDPA x x UMTS data x x GSM Mobilfunknetz mit EDGE x x x x E GPRS x x x x GPRS x x x x CSD Lal X x x CSD nur wenn nicht in einem HSDPA UMTS Netz eingebucht TAINY xMOD Seite 13 von 113 Inbetriebnahme 2 Inbetriebnahme 2 1 Schritt f r Schritt
137. rnationalem Format z B 49 kann der SMS Versand scheitern SMS gt Alarm SMS Funktion Alarm SMS Ereignis 1 Schalteingang Alarm SMS Ereignis 2 Keine GPRS Verbindung Einstellungen berblick SMS Alarm SMS gt System E ORAK PA Alarm SMS Ereignis 1 Schalteingang Netzwerk Extern gt Sicherheit Aktivieren Rufnummer Text E IPSec VPN Nein x gt Zugang v SMS Bee Alarm SMS Ereignis 2 Keine GPRS Verbindung Alarm SMS Aktivieren Rufnummer Text SMS over IP Nein Re gt sum gt Wartung Speichen Zur cksetzen Das TAINY xMOD kann kurze Alarm Meldungen ber SMS Short Message Service des GSM Netzes versenden Zwei Ereignisse k nnen den Versand einer Alarm Meldung Ober SMS ausl sen Ereignis 1 Schalteingang wird aktiv Ereignis 2 Keine UMTS bzw GPRS Verbindung Zu jedem der beiden Ereignisse kann eine eigene Rufnummer angegeben werden an die die Alarm Meldung geschickt wird Ebenso kann der Text der Alarm Meldung frei festgelegt werden Es stehen folgende Zeichen zur Verf gung A Z a z 0123456789 Ereignis 1 der Schalteingang wechselt von inaktiv auf aktiv d h am Schalteingang wird eine ausreichende Schaltspannung angelegt Diese Funktion kann zum Beispiel genutzt werden um au erhalb der IP Datenverbindungen Alarm Meldungen der lokalen Applikationen zu versenden Ereignis 2 die Verbindung zum Datenfunkdienst HSDPA UMTS EGPRS GPRS kommt trotz mehrfacher Versuche nicht z
138. rschicken Zum Versand einer SMS muss die Anwendung an der lokalen Schnittstelle eine TCP IP Verbindung zum TAINY xMOD aufbauen ber diese TCP IP Verbindung sendet die Anwendung den Text der SMS an das TAINY xMOD welches den Text in eine SMS verpackt und diese verschickt Der Text muss in folgendem Rahmen ber die TCP IP Verbindung an das TAINY xMOD bermittelt werden Benutzername Passwort CommandCode Seg Num Rufnummer Nachricht Beispiel benutzer passwort 105 01 0049043465789 Mein SMS Text Seite 88 von 113 TAINY xMOD SMS Versand aus dem lokalen Netzwerk aktivieren Benutzername Passwort Portnummer Firewall Regeln SMS Versand Benutzername Der Benutzername zur Pr fung der Berechtigung zum Senden einer SMS Maximal d rfen 10 Zeichen verwendet werden Passwort Das Passwort zur Pr fung der Berechtigung zum Senden einer SMS Maximal d rfen 10 Zeichen verwendet werden CommandCode Kommando zum SMS Versand aus dem lokalen Netz Dieser Wert ist fest 105 und darf nicht ver ndert werden Seq Num Die Sequenznummer dient der Zuordnung mehrerer Anfragen gleichzeitig Die Funktion wird derzeit nicht unterst tzt Die Sequenznummer besteht aus 2 numerischen Zeichen zwischen 01 bis 99 Rufnummer Rufnummer des SMS Empf ngers Die Rufnummer darf 40 Zeichen nicht bersteigen Internationale Nummern 49 sind zul ssig Nachricht SMS Text Der Text darf 160 Zeichen nicht bersteigen Es ste
139. rtifikate berwachung Erweitert Status Gegenstellen Zertifikate cer mt pem gt Zugang Hame SMS SUMP gt Wartung Gegenstellen Zertifikat hochladen PKCS12 Datei p12 hochladen Passwort Eigene Zertifikate p12 Hame CA Zertifikat Maschinen Zertifikat Privater Schl ssel IPSec VPN Zertifikate Durchsuchen Absenden Durchsuchen Absenden GGG TAINY xMOD Seite 71 von 113 VP Verbindungen Funktion Gegenstellen Zertifikat hochladen PKCS12 Datei p12 hochladen Passwort Gegenstellen Zertifikate LO Eigene Zertifikate p12 Laden und verwalten von Zertifikaten und Schl sseln Laden Sie hier Schl sseldateien pem crt mit Gegenstellen Zertifikaten und ffentlichen Schl sseln von Gegenstellen in das TAINY xMOD V2 IO Die Dateien m ssen dazu auf dem Admin PC gespeichert sein Ein Gegenstellen Zertifikat wird nur beim Authentifizierungsverfahren mit X 509 Zertifikat ben tigt Laden Sie hier die Zertifikats Datei PKCS12 Datei mit der Dateiendung p12 in das TAINY xMOD V2 IO Die Zertifikats Datei muss dazu auf dem Admin PC gespeichert sein Achtung Befindet sich bereits eine Zertifikats Datei im Ger t muss diese vor dem Laden einer neuen Datei gel scht werden Die Zertifikats Datei PKCS12 Datei ist mit einem Passwort gesch tzt Geben Sie hier das Passwort ein das Sie mit der Zertifikats Datei erhalten haben An dieser Stelle werden alle ge
140. s TAINY xMOD darf nur mit einer Antenne aus dem Zubeh rsortiment des TAINY xMOD betrieben werden Ausschlie lich Fachpersonal darf das TAINY xMOD und dessen Antenne installieren und warten Bei Arbeiten an der Antenne oder bei Arbeiten n her als unten angegeben muss der Sender ausgeschaltet sein HF Exposition Normalerweise arbeitet die am Sender dieses Ger tes angeschlossene Antenne in allen Richtungen mit 0 dB Verst rkung Die Composite Power im PCS Modus ist bei Benutzung dieser Antenne geringer als 1 Watt ERP Die mit diesem mobilen Ger t benutzen internen externen Antennen m ssen mindestens 20 cm von Personen entfernt sein Und sie d rfen nicht so platziert oder betrieben werden dass sie in Verbund mit einer anderen Antenne oder Sender arbeiten GA Funkst rungen Das TAINY xMOD ist eine Einrichtung der Klasse A Diese Einrichtung kann im Wohnbereich Funkst rungen verursachen in diesem Fall kann vom Betreiber verlangt werden angemessene Ma nahmen durchzuf hren Vorsicht Kosten Bitte beachten Sie dass auch beim Wieder Aufbau einer Verbindung bei Verbindungsversuchen zur Gegenstelle z B Server ausgeschaltet falsche Zieladresse etc sowie zum Erhalt einer Verbindung kostenpflichtige Datenpakete ausgetauscht werden So kann zum Beispiel eine nicht erreichbare Gegenstelle dazu f hren dass duch mi lungene Versuche beim Verbindungsaufbau zus tzliche Kosten entstehen Seite 4 von 113
141. scher Zuordnung der IP Adressen k nnen Sie den MAC Adressen lokaler Applikationen korrespondierende IP Adressen fest zuweisen Fordert eine lokale Applikation per DHCP die Zuweisung einer IP Adresse bermittelt die Applikation bei der DHCP Anfrage seine MAC Adresse Ist dieser MAC Adresse eine IP Adresse statisch zugeordnet weist TAINY xMOD der Applikation die korrespondierende IP Adresse zu MAC Adresse des Clients MAC Adresse der anfragenden lokalen Applikation IP Adresse des Clients zugeordnete IP Adresse Werkseitig hat das TAINY xMOD folgende Einstellungen DHCP Server starten Nein Lokale Netzwerkmaske 255 255 255 0 Default Gateway 192 168 1 1 DNS Server 192 168 1 1 Dynamischen IP Adresspool aktivieren Nein DHCP Bereichsanfang 192 168 1 100 Seite 36 von 113 TAINY xMOD Lokale Schnittstelle DHCP Bereichsende 192 168 1 199 4 3 DNS zum lokalen Netz Netzwerk Intern gt Grundeinstellungen gt DNS DNS Funktion Benutzter Nameserver Benutzer definierte Nameserver Werkseinstellung berblick Netzwerk Intern DNS gt System e Netzwerk Intern w Grundeinstellungen Lokale IPs Suchpfad example local DHCP DHS Benutzter Nameserver Provider definiert Hostname tainy p Erweiterte Einstellungen gt Nletzwerk Extern gt Sicherheit Speichen Zur cksetzen IPSec VPN Zugang SMS gt SHMP Wartung Das TAINY xMOD stellt dem lokalen Netz einen Domain Name Server DNS
142. ser zur Navigation und zum Datenaustausch im Internet verwendet wird Bekannt ist die Eingabe http www neuhaus de Bei HTTPS ist dem urspr nglichen Protokoll eine zus tzliche Komponente zum Datenschutz hinzugef gt W hrend bei HTTP Daten ungesch tzt in Klartext bertragen werden werden bei HTTPS Daten erst nach einer Austausch von Sicherheitszertifikaten verschl sselt bertragen Seite 100 von 113 TAINY xMOD IP Adresse IP Paket Kleines Router Lexikon Jeder Host oder Router im Internet Intranet hat eine eindeutige IP Adresse IP Internet Protocol Die IP Adresse ist 32 Bit 4 Byte lang und wird geschrieben als 4 Zahlen jeweils im Bereich 0 bis 255 die durch einen Punkt voneinander getrennt sind Eine IP Adresse besteht aus 2 Teilen der Netzwerk Adresse und der Host Adresse Alle Hosts eines Netzes haben dieselbe Netzwerk Adresse aber unterschiedliche Host Adressen Je nach Gr e des jeweiligen Netzes man unterscheidet Netze der Kategorien Class A Bund C sind die beiden Adressanteile unterschiedlich gro 1 Byte 2 Byte 3 Byte 4 Byte Class A Netz Adr Host Adr Class B Netz Adr Host Adr Class C Netz Adr Host Adr Ob eine IP Adresse ein Ger t in einem Netz der Kategorie Class A B oder C bezeichnet ist am ersten Byte der IP Adresse erkennbar Folgendes ist festgelegt Wert des 1 Byte Bytes f r die Netz Adresse Bytes f r die Host A
143. snnnnnnnnnnennnnnnnnnnsnnnennsnnnennnsnnnnnnsnnnnnnssnnennnnnnnnnn 95 13 Technische Daten 000 0 00000000 arena nehmen 110 13 1 TAINY HMOD V2 IO TAINY HMOD IT1 0D nenn 110 13 2 TAINY EMOD V2 IO TAINY EMOD L1 IO 2 400snsssnnsnnnnnnnnnnnnnnnnnnnnnnnn manner 112 Seite 8 von 113 TAINY xMOD 1 Einleitung Einleitung Produkte Verwendete Produktbezeich nungen Anwendung Dieses Handbuch gibt Anweisungen zur Sicherheit und beschreibt die Bedienung und Installation folgender Produkte VPN HSDPA Funktion UMTS TAINY HMOD V2 IO X x TAINY HMOD L1 IO x Lal TAINY EMOD V2 IO x x TAINY EMOD L1 IO X x x E GPRS GPRS CSD Lal gt x lt gt lt gt X lt gt x lt gt lt gt X lt Nur wenn nicht in einem HSDPA UMTS Netz eingebucht In diesem Handbuch werden Sammelbegriffe f r die verschiedenen TAINY Produktvarianten verwendet TAINY xMOD Sammelbegriff f r TAINY HMOD V2 IO TAINY HMOD L1 IO TAINY EMOD V2 IO TAINY EMOD L1 IO TAINY HMOD Sammelbegriff f r TAINY HMOD V2 IO und TAINY HMOD L1 IO TAINY EMOD Sammelbegriff f r TAINY EMOD V2 IO und TAINY EMOD L1 IO TAINY xMOD V2 IO Sammelbegriff f r das TAINY HMOD V2 IO und TAINY EMOD V2 IO TAINY xMOD L1 IO Sammelbegriff f r das TAINY HMOD L1 IO und TAINY EMOD L1 IO Die TAINY xMOD bieten einen drahtlosen Anschluss zum Internet oder zu einem privaten Netzwerk Die TAI
144. soll Eintreffend Geben Sie hier die Portnummer z B 80 an auf dem die auf Port Datenpakete aus dem externen Netz eintreffen die weitergeleitet werden sollen Weiterleiten Geben Sie hier die IP Adresse im lokalen Netz an an den die an IP eintreffenden Datenpakete weitergeleitet werden sollen Weiterleiten Geben Sie hier die Portnummer z B 80 zur IP Adresse im an Port lokalen Netz an an den die eintreffenden Datenpakete weitergeleitet werden sollen TAINY xMOD Seite 55 von 113 Sicherheitsfunktionen Werkseinstellung Log F r jede einzelne Port Weiterleitungs Regel k nnen Sie festlegen ob bei Greifen der Regel das Ereignis protokolliert werden soll Log auf Ja setzen oder nicht Log auf Nein setzen Werkseinstellung Das Protokoll wird in das Firewall Logbuch siehe Kapitel 6 4 geschrieben Werkseitig hat das TAINY xMOD folgende Einstellungen Regeln zur Weiterleitung Protokoll TCP Eintreffend auf Port 80 Weiterleiten an IP 127 0 0 1 Weiterleiten an Port 80 Log Nein Ausgeschaltet 6 3 Erweiterte Sicherheitsfunktionen Sicherheit gt Erweitert Funktion Maximale Zahl berblick Sicherheit Erweitert gt System gt Netzwerk Intern J Netzwerk Extern Maximale Zahl gleichzeitiger Verbindungen 4096 e Sicherheit Maximale Zahl neuer eingehender TCP Verbindungen pro Sekunde 25 Paketfilter Port a oma Maximale Zahl neuer ausgehender TCP Verbindungen pro Sekunde
145. sst auf die Frequenzb nder des von Ihnen gew hlten UMTS GSM Mobilfunknetzes 850 MHz 900 MHz 1800 MHz 1900 MHz oder 2100 MHz Verwenden Sie bitte Antennen aus dem Zubeh r zum TAINY xMOD da diese f r den Betrieb mit den Ger ten gepr ft sind Siehe Kapitel 2 6 Eine Spannungsversorgung mit einer Spannung zwischen 12 Voc und 60 Voc die einen ausreichenden Strom liefern kann Igurst gt 1 26 A Siehe Kapitel 2 6 und Kapitel 13 Eine SIM Karte des ausgew hlten Mobilfunkbetreibers Die PIN der SIM Karte Die SIM Karte muss von Ihrem Mobilfunk Netzbetreiber f r die Dienste HSDPA UMTS data nur TAINY HMOD und oder EGPRS oder GPRS freigeschaltet sein Die Zugangsdaten m ssen bekannt sein Access Point Name APN Benutzername Passwort Die SIM Karte muss von Ihrem Mobilfunk Netzbetreiber f r den CSD Dienst freigeschaltet sein wenn Sie die Fernkonfiguration ber Datenw hlverbindungen siehe Kapitel 8 3 nutzen m chten TAINY xMOD Seite 15 von 113 Inbetriebnahme 2 3 berblick 2 4 Service Taster Anschlussklemmen der Stromversorgung Service Taster Antennenbuchse Typ SMA Betriebsanzeigen S Q C Service USB Reserviert f r sp tere Anwendungen Anschlussklemmen des Schalteingang und Schaltausgangs 10 100 Base T RJ45 Buchse zum Anschluss des lokalen Netzes Betriebsanzeigen POWER LAN IN OUT VPN nur TAINY xMOD V2 IO Auf der Frontseite des TAIN
146. stgelegt werden TAINY xMOD Seite 69 von 113 VPN Verbindungen ISAKMP SA Modus DH PFS Gruppe ISAKMP SA Lebensdauer IPSec SA Lebensdauer NAT T Aktiviere Dead Peer Detection DPD Verz gerung Sekunden DPD Timeout Sekunden Vereinbaren Sie mit dem Administrator der Gegenstelle welches Verfahren zur Aushandlung der ISAKMP SA verwendet werden soll Zur Auswahl stehen Main mode Agressive mode Vereinbaren Sie mit dem Administrator der Gegenstelle die DH Gruppe f r den Schl sselaustausch Die Schl ssel einer IPsec Verbindung werden in bestimmten Abst nden erneuert um den Aufwand eines Angriffs auf eine IPsec Verbindung zu erh hen Legen Sie die Lebensdauer der f r die ISAKMP SA und IPSec SA vereinbarten Schl ssel fest in Sekunden Die Lebensdauer kann f r ISAKMP SA und IPSec SA unterschiedlich festgelegt werden Eventuell befindet sich zwischen dem TAINY xMOD V2 IO und den VPN Gateway des gegen berliegenden Netzes ein NAT Router Nicht alle NAT Router lassen IPsec Datenpakete passieren Daher ist es eventuell erforderlich die IPsec Datenpakete in UPD Pakete einzukapseln um den NAT Router passieren zu k nnen An Wird vom TAINY xMOD V2 IO ein NAT Router erkannt der die IPsec Datenpakete nicht passieren l sst startet automatisch die UDP Kapselung Erzwingen Bei Aushandlung der Verbindungsparameter der VPN Verbindung wird darauf bes
147. tanden dass w hrend der Verbindung die Datenpakete gekapselt bertragen werden Aus Die NAT T Funktion ist ausgeschaltet Wenn die Gegenstelle das Dead Peer Detection DPD Protokoll unterst tzt k nnen die jeweiligen Partner erkennen ob die IPsec Verbindung noch g ltig ist oder nicht und evtl neu aufgebaut werden muss Ohne DPD muss je nach Konfiguration bis zum Ablauf der SA Lebensdauer gewartet oder die Verbindung manuell neu initiiert werden Um zu pr fen ob die IPsec Verbindung noch g ltig ist sendet die Dead Peer Detection selber DPD Anfragen zur Gegenstelle Gibt es keine Antwort wird die IPsec Verbindung nach einer Anzahl von erlaubten Fehlversuchen als unterbrochen angesehen Warnung Durch das Versenden der DPD Anfragen sowie durch die Nutzung von NAT T steigt die Anzahl der ber die Datenfunkdienst Verbindung HSDPA UMTS EGPRS GPRS gesendeten und empfangenen Daten Abh ngig von den gew hlten Einstellungen kann das zus tzliche Datenaufkommen 5 MByte im Monat und mehr betragen Dies kann zu erh hten Kosten f hren Ja Die Dead Peer Detection ist eingeschaltet Es wird versucht die IPsec Verbindung neu aufzubauen wenn diese f r tot erkl rt wurde unabh ngig von der bertragung von Nutzdaten Nein Die Dead Peer Detection ausgeschaltet Zeitspanne in Sekunden nach welcher DPD Anfragen gesendet werden sollen Diese Anfragen testen ob die Gegenstelle noch verf gbar ist Zeitspanne in Sekunden nach
148. tart Funktion Sofortiger Neustart T glichen Neustart verwenden berblick Wartung Neustart gt Netzwerk Intern gt Netzwerk Extern gt Sicherheit Sofortiger Neustart Neustart eu T glichen Neustart verwenden Ja Je gt Zugang 4 Sep Zeitpunkt des t glichen Neustarts 01 00 e Wartung Update Speichern Konfigurations Profile Zur cksetzen Neustart Remote Logging SW Info HW Info Snapshot Werkseinstellung Obwohl das TAINY xMOD f r den Dauerbetrieb ausgelegt ist kann es bei solch einem komplexen System zu St rungen kommen oftmals ausgel st durch u ere Einwirkung Ein Neustart kann diese St rungen beheben Der Neustart setzt die Funktionen des TAINY xMOD zur ck Aktuelle Einstellungen entsprechend des Konfigurations Profils ndern sich nicht Nach dem Neustart arbeitet TAINY xMOD mit diesen Einstellungen weiter Der Neustart wird sofort ausgef hrt wenn Sie auf Neustart klicken Der Neustart wird automatisch einmal am Tag ausgef hrt wenn Sie die Funktion mit Ja einschalten Geben Sie den Zeitpunkt des t glichen Neustarts an Der Neustart erfolgt bei der angegebenen Systemzeit Bestehende Verbindungen werden unterbrochen Werkseinstellung T glichen Neustart verwenden Nein Zeitpunkt des t glichen Neustarts 01 00 3 10 Werkseinstellung laden Wartung gt EIS Wartung Werkeinstellung Werkseinstellung Zur cksetzen auf Werkskonfiguration Service Taster gt Netzwerk Intern gt
149. tausch der ffentlichen Schl ssel zwischen dem TAINY xMOD V2 IO und dem VPN Gateway der Gegenstelle erfolgt ber die Datenverbindung beim Aufbau der VPN Verbindung Ein manueller Austausch von Schl sseldateien entf llt Pre Shared Secret Key PSK Dieses Verfahren wird vor allem durch ltere IPsec Implementierungen unterst tzt Dabei erfolgt die Authentifikation mit einer zuvor verabredeten Zeichenfolge Um eine hohe Sicherheit zu erzielen sollte die Zeichenfolge aus ca 30 nach dem Zufallsprinzip ausgew hlten Klein und Gro buchstaben sowie Ziffern bestehen Folgende Zeichen sind erlaubt amp 70123456789 lt gt ABCDEFGHIJKL MNOPQRSTUVWXYZ abcdefghljkImnopqrstuv wxyz Die Eingabe erfolgt verdeckt Haben Sie als Authentifizierungsverfahren X 509 Zertifikat gew hlt wird hier die Liste der Zertifikate der Gegenstellen angezeigt die Sie bereits in das TAINY xMOD V2 IO geladen haben W hlen Sie das Zertifikat f r die VPN Verbindung aus Die Lokale ID und die Remote ID werden vom IPsec genutzt um beim Aufbau der VPN Verbindung die Gegenstellen eindeutig zu identifizieren Die eigene Lokale ID bildet die Remote ID der Gegenstelle und umgekehrt Bei Authentifizierung mit X 509 Zertifikat oder CA Zertifikat Bel t man die Werkseinstellung NONE so werden als Lokale ID und Remote ID automatisch die Distinguished Names aus dem eigenen Zertifikat und aus dem von der Gegenstelle bermittelten
150. te berwachung VPN Standard Modus Erweitert Aktiviert Hame Roadwarrior Status Nein M TestYPN_1 Zugang sms Ja TestVPN_2 gt SNMP Fung Nein v TestvPN_3 Speichern Einstellungen IKE Bearbeiten Bearbeiten Einstellungen IKE Neu Bearbeiten Bearbeiten L schen Bearbeiten Bearbeiten L schen Bearbeiten Bearbeiten L schen Zur cksetzen Angezeigt werden die bereits angelegten VPN Verbindungen Sie k nnen jede einzelne Verbindung aktivieren Aktiviert Ja oder deaktivieren Aktiviert Nein Mit Neu k nnen Sie weitere VPN Verbindungen hinzuf gen mit Einstellungen Bearbeiten und Erweitert Bearbeiten k nnen Sie diese einrichten und mit L schen k nnen Sie eine Verbindung entfernen Seite 64 von 113 TAINY xMOD VPN Standard Modus Einstellungen bearbeiten Verbindungsname Remote Host VPN Verbindungen VPN Standard Modus Aktiviert Name Einstellungen IKE Neu Nein Innominate Bearbeiten Bearbeiten L schen ees IPSec VPN Verbindung bearbeiten gt System Netzwerk Intern b Netzwerk Extern Verbindungsname TestvPN_1 gt Sicherheit w IPSec VPN Remote Host NONE Verbindungen Zertifikate Authentisierungsverfahren X 509 Gegenstellenzertifikat berwachung Erweitert Gegenstellen Zertifikat IN Status gt Zugang Remote ID NONE a Lokale ID NONE gt SHMP gt Wartung Adresse des gegen berliegenden Netzes 192 168 2 1 Netzmaske des gegen berliegenden Netzes 2
151. ten in diesem Fall geben Sie bitte NONE ein Das Eingabefeld bleibt in diesem Fall leer Hinweis Das Eingabefeld der PIN wird nach dem Speichern rot umrandet wenn keine Eingabe erfolgt Seite 42 von 113 TAINY xMOD DIN ndern Neue PIN Neue PIN Wiederholung Provider nur bei Providerauswahl Automatisch Net ID nur bei Providerauswahl Automatisch Benutzername Passwort APN Methode der Provider Authentifizierung Externe Schnittstelle Um die PIN auf der SIM Karte zu ndern bet tigen Sie die Schaltfl che ndern PN bel ndern Es ffnet sich ein Untermen berblick gt System gt Netzwerk Intern e Netzwerk Extern EDGEIGPRS Installations modus e Setzen Zur ck Netzwerk Extern EDGEIGPRS Neue PIN Heue PIH Wiederholung Geben Sie hier die neue PIN ein Geben Sie hier die neue PIN zur Best tigung nochmals ein Hinweis Ist de PIN Abfrage bei der eingelegten SIM Karte deaktiviert Pin lose Karte kann die PIN nicht aktiviert bzw ge ndert werden Geben Sie hier als Freitext eine Bezeichnung f r den UMTS oder GPRS Dienst an beispielsweise den Namen des Provider z B Vodafone Eplus mein GPRS Zugang Geben Sie hier die Identifikations Nummer des Netzbetreibers Provider ein auf die sich die UMTS oder GPRS Zugangsdaten in der gleichen Zeile der Liste der Provider beziehen Jeder GSM GPRS Netzbetreiber hat eine weltweit einmalig verge
152. tet m ssen lokale Applikationen diesen Adressbereich zur Adressierung von Gegenstellen im gegen berliegenden Netz verwenden Ist 1 zu 1 NAT aktiviert kann ein lokal verwendeter Adressbereich definiert werden ber den lokale Applikationen die Gegenstellen im gegen berliegenden Netz adressieren k nnen Die 1 zu 1 NAT Funktion im TAINY xMOD V2 IO bildet dann den lokal definierten Adressbereich des gegen berliegenden Netzes auf den Adressbereich des gegen berliegenden Netzes auf der VPN Verbindung ab Der lokal verwendete Adressbereich des gegen berliegenden Netzes wird festgelegt ber die Adresse f r 1 zu 1 NAT zum gegen berliegenden Netz und die Netzmaske des gegen berliegenden Netzes bersetzung der Zieladresse gt Beispiel H bersetzung der Absenderadresse Beispiel Adressbereich 123 123 123 xyz Adressbereich 234 234 234 xyz Ziel Adresse 123 123 123 101 Ziel Adresse 234 234 234 101 Adressbereich f r 1 zu 1 Adressbereich des NAT zum gegen berliegenden gegen berliegenden Netzes Netz Lokales Netz E VPN Verbindung zum gegen berliegenden Netz TAINY xMOD Seite 67 von 113 VP Verbindungen Adresse des lokalen Netzes Netzmaske des lokalen Netzes 1 zu 1 NAT f r das lokale Netz aktivieren Ja Das TAINY xMOD V2 IO verwendet 1 zu 1 NAT zum gegen berliegenden Netz 1 zu 1 HAT f r das gegen berliegende Netz aktivieren Ja Adresse f r 1 zu 1 HAT zum gegen berliegenden Net
153. tionen ber den Schl sseleigent mer angegeben als Distinguished Name DN erlaubte Verwendungszwecke usw und der Signatur der CA Die Signatur entsteht wie folgt Aus der Bitfolge des ffentlichen Schl ssels den Daten ber seinen Inhaber und aus weiteren Daten erzeugt die CA eine individuelle Bitfolge die bis zu 160 Bit lang sein kann den sog HASH Wert Diesen verschl sselt die CA mit ihrem privaten Schl ssel und f gt ihn dem Zertifikat hinzu Durch die Verschl sselung mit dem privaten Schl ssel der CA ist die Echtheit belegt d h die verschl sselte HASH Zeichenfolge ist die digitale Unterschrift der CA ihre Signatur Sollten die Daten des Zertifikats missbr uchlich ge ndert werden stimmt dieser HASH Wert nicht mehr das Zertifikat ist dann wertlos Der HASH Wert wird auch als Fingerabdruck bezeichnet Da er mit dem privaten Schl ssel der CA verschl sselt ist kann jeder der den zugeh rigen ffentlichen Schl ssel besitzt die Bitfolge entschl sseln und damit die Echtheit dieses Fingerabdrucks bzw dieser Unterschrift berpr fen Durch die Heranziehung von Beglaubigungsstellen ist es m glich dass nicht jeder Schl sseleigent mer den anderen kennen muss sondern nur die benutzte Beglaubigungsstelle Die zus tzlichen Informationen zu dem Schl ssel vereinfachen zudem die Administrierbarkeit des Schl ssels X 509 Zertifikate kommen z B bei E Mail Verschl sselung mittels S MIME oder IPsec zum Einsatz TA
154. tions 10 100 Base T RJ45 plug Schnittstelle Ethernet IEEE802 10 100 Mbit s Service x N Schnittstelle USB A reserviert f r sp tere Anwendungen Sicherheits N IPSec nur TAINY EMOD V2 IO Funktionen SE Firewall Stateful Inspection Firewall Anti Spoofing Port Weiterleitung i DNS Cache DHCP Server NTP Remote Logging Funktionen Verbindungs berwachung Alarm SMS Web basierte Administrations Oberfl che ssh Konsole Funkverbindung EDGE GPRS EDGE Multislot class 12 EDGE Multislot class 12 Coding schemes CS 1 CS 2 CS 3 CS 4 GSM Module EGPRS EDGE Quad band EDGE EGPRS Multislot Class 12 Mobile Station Class B Modulation and Coding Scheme MCS 1 9 GPRS Multislot Class 12 Full PBCCH support Mobile Station Class B Coding Scheme 1 4 EDGE GPRS W hrend der Daten bertragung ber EGPRS oder GPRS w hlt das Ger t automatisch zwischen folgenden Klassen aus O von EGPRS Multislot Class 12 4Tx slots bis EGPRS Multislot Class 10 2Tx slots von EGPRS Multislot Class 10 2Tx slots bis EGPRS Multislot Class 8 1Tx von GPRS Multislot Class 12 4Tx slots bis GPRS Multislot Class 8 1Tx von GPRS Multislot Class 10 2Tx slots bis GPRS Multislot Class 8 1Tx CSD MTC V 110 RLP non transparent 2 4 4 8 9 6 14 4kbps SMS TX Punkt zu Punkt MO abgehend Seite 112 von 113 TAINY xMOD Technische Daten Max Class 4 33dBm 2dB for EGSM8
155. tware des TAINY xMOD an 3 6 Konfiguration vornehmen Konfiguration durchf hren NUR TAINY HMOD V2 IO NUR TAINY EMOD V2 IO 2 auf der betreffenden Seite die Zur Konfiguration gehen Sie wie folgt vor berblick gt System w Netzwerk Intern 1 Per Men den gew nschten Einstellbereich aufrufen e Grundeinstellungen gew nschten Eintr ge machen Lokale IPs oder mit Zur cksetzen die pe aktuelle nicht gespeicherte p Erweiterte Einstellungen gt Netzwerk Extern Eingabe wieder l schen 3 mit Speichern best tigen so dass gt Sicherheit die Einstellungen vom Ger t gt IPSec VPH di b Zugang bernommen werden os b SHMP gt Wartung Hinweis zum Funktionsumfang Der Men punkt IPsec VPN findet sich nur beim TAINY HMOD V2 IO und TAINY EMOD V2 IO Seite 30 von 113 TAINY xMOD Konfiguration Fehleingaben Je nachdem wie Sie das TAINY xMOD konfigurieren m ssen Sie gegebenenfalls anschlie end die Netzwerkschnittstelle des lokal angeschlossenen Rechners bzw Netzes entsprechend anpassen gt Tragen Sie bei der Eingabe von IP Adressen die IP Adress Teilnummern immer ohne f hrende Nullen ein z B 192 168 0 8 Das TAINY xMOD pr ft Ihre Eingaben Grobe Fehler werden beim Speichern erkannt und das betroffene Eingabefeld wird markiert Der eingetragene Wert wird auf den Default Wert zur ckgesetzt IP Adressen IP Hetzmaske Neu 192 168 1 1 255 255 255 0 192 168 1 1 255 255 2
156. tze zusammengefasst bezeichnet werden Die Methode ist in RFC 1518 beschrieben Um dem TAINY xMOD einen Bereich von IP Adressen anzugeben z B bei der Konfiguration der Firewall kann es erforderlich sein den Adressraum in der CIDR Schreibweise anzugeben Die nachfolgende Tabelle zeigt links die IP Netzmaske ganz rechts die entsprechende CIDR Schreibweise Seite 96 von 113 TAINY xMOD Client Server CSD 9600 IP Netzmaske 255 255 255 255 255 255 255 255 255 255 255 255 255 255 255 255 255 255 255 255 255 255 290 255 259 254 252 248 240 224 192 128 0 0 255 255 255 255 255 255 255 299 255 255 255 255 255 299 5298 299 SD 254 S252 248 240 224 192 128 gt I ID 0 0 O OO OO 5 255 255 255 255 255 299 255 299 295 254 252 248 240 224 192 128 CA EICH EA EN SD gt EEN EA EH CA CH O OGO OO EA EC CA 255 254 252 248 240 224 T92 128 OOO ID ID bin r 0 00 000 0000 00000 000000 0000000 00000000 0 00 000 0000 00000 000000 0000000 00000000 00000000 00000000 00000000 00000000 00000000 00000000 0 00 000 0000 00000 000000 0000000 00000000 00000000 00000000 00000000 00000000 00000000 00000000 00000000 00000000 00000000 00000000
157. ultislot Class 10 Mobile Station Class B PBCCH support Downlink coding schemes CS 1 4 MCS 1 9 Uplink coding schemes CS 1 4 MCS 1 9 GPRS Multislot Class 10 Full PBCCH support Mobile Station Class B Coding Scheme 1 4 CSD MTC V 110 RLP non transparent 9 6 kbps SMS TX Punkt zu Punkt MO abgehend Impedanz nominal 50 Ohm Buchse SMA anschluss Umwelt Temperatur Betrieb 20 C bis 60 C bedingungen bereich Lagerung 40 C bis 70 C Luftfeuchte 0 95 nicht kondensierend Seite 110 von 113 TAINY xMOD Technische Daten Geh use Ausf hrung Hutschienengeh use Kunststof Schutzklasse IP20 114 mm x 45 mm x 99 mm ca 280g Konformit t CE Ja R amp TTE GSM Konform zur Richtlinie 99 05 EC Angewandte Norm EN301 511 v 9 0 2 EN301 908 1 2 v 4 2 1 HSDPA UMTS Konform zu GCF PTCRB GSM EGPRS Modul EMV ESD Angewandte Normen EN 55022 2010 Klasse A EN 55024 1998 A1 2001 A2 2003 EN 61000 6 2 2005 Elektrische Angewandte Norm EN 60950 2006 A11 2009 A1 2010 Sicherheit Umwelt Das Ger t entspricht den europ ischen Richtlinien ROHS und WEEE Spannungsversor Eingangs 12 60 V DC 24 V DC nominal spannung Leistungs Typisch 4 4 W bei 12 V auinahme Typisch 4 0 W bei 24 V Typisch 5 5 W bei 60 V Stromaufnahme 450mA bei 12V und 100mA bei 60V Iburst 1 26A TAINY xMOD Seite 111 von 113 Technische Daten 13 2 TAINY EMOD V2 IO TAINY EMOD L1 IO Applika
158. ung Werkseitig hat das TAINY xMOD folgende Einstellungen NAT f r folgende Netze verwenden Ja Eingeschaltet Netzwerk 0 0 0 0 0 5 6 Installationsmodus Netzwerk Extern er Netzwerk Extern Installationsmodus Installationsmodus HEEN istaonsmods aktivieren s eissem LST A CH in cum inc AREN BSC Installationsmodus aktivieren Status der aktuellen Zelle Status der benachbarten Zellen Signal 0 0 10663 0 0 113 ab t m o 0 D 0 113 db 0 113 dbm S P o 0 0 113 dbm o o o 0 113 ab i m o 0 o 0 0 113 ab du dom o 0 D o LAC Location Area Code ARFCH Absolute Frequency Channel Number BSIC Base Station Identity Code Der Installatonsmodus unterst tzt das Positionieren der Antenne und gibt Infomationen ber die Funkzellen in der Umgebung Ist der Installationsmodus aktiviert werden alle drei Sekunden die gemessenen Signalst rken und weitere Kenndaten der Funkzellen in der Umgebung aktualisiert Ebenso wird im Installationsmodus die Anzeige der Signalleuchte Q Quality alle 3 Sekunden aktualisiert Im Nomalbetrieb mit aufgebauter Verbindung erfolgt die Abfrage dieser Daten im Abstand von 60 Sekunden Die Position der Antenne sollte solange ver ndert werden bis das angezeigte Signal der aktuellen Zelle ein Maximum erreicht hat W hlen Sie Ja um den Installationsmodus einzuschalten W hlen Sie Nein um den Installationsmodus auszuschalten und zum Normabetrieb zur ckzukehren Achtung Im
159. unktion Bei aktivierter Secure DynDNS Funktion bermittelt das TAINY xMOD seine vom Datenfunkdienst zugewiesene externe IP Adresse per gesichertem https Protokoll an einen einstellbaren Zielserver Das Verfahren ist vergleichbar mit dem DynDNS Dienst und erfordert einen entsprechenden Zugang auf der Serverseite SecureDynDNS W hlen Sie Ja wenn Sie den Siemens Remote Service verwenden wollen venenoen Mit Neu k nnen Sie weitere Zielserver hinzuf gen mit L schen bestehende Eintr ge entfernen TAINY xMOD Seite 47 von 113 Externe Schnittstelle Intervall zur Aktualisierung SecureDynDNS Anmeldungen Werkseinstellung Geben Sie hier das Intervall in Sekunden an mit dem die zugewiesene IP Adresse des TAINY xMOD an den eingestellten Zielserver bertragen werden soll Geben Sie hier die Zieladresse und die Zugangsdaten einem oder mehren Zielservern an Zieladresse Geben Sie hier die IP Adresse des Zielservers an Gruppe Geben Sie hier die Gruppen Information ein Benutzername Geben Sie hier den Benutzernamen f r den Zugang am Zielserver ein Passwort Geben Sie hier das Passwort f r den Zugang am Zielserver ein Werkseitig hat TAINY xMOD folgende Einstellungen Secure DynDNS verwenden Nein Ausgeschaltet Intervall zur Aktualisierung 900 Sekunden Zieladresse 0 0 0 0 Gruppe group Benutzername user Passwort pass 5 5 NAT Network Address Translation Netzwerk Extern gt Erweiterte Einstellungen gt NAT
160. use of this software must display the following acknowledgement This product includes software developed by the University of California Berkeley and its contributors 4 Neither the name of the University nor the names of its contributors may be used to endorse or promote products derived from this software without specific prior written permission THIS SOFTWARE IS PROVIDED BY THE REGENTS AND CONTRIBUTORS AS IS AND ANY EXPRESS OR IMPLIED WARRANTIES INCLUDING BUT NOT LIMITED TO THE IMPLIED WARRANTIES OF MERCHANTABILITY AND FITNESS FOR A PARTICULAR PURPOSE ARE DISCLAIMED IN NO EVENT SHALL THE REGENTS OR CONTRIBUTORS BE LIABLE FOR ANY DIRECT INDIRECT INCIDENTAL SPECIAL EXEMPLARY OR CONSEQUENTIAL DAMAGES INCLUDING BUT NOT LIMITED TO PROCUREMENT OF SUBSTITUTE GOODS OR SERVICES LOSS OF USE DATA OR PROFITS OR BUSINESS INTERRUPTION HOWEVER CAUSED AND ON ANY THEORY OF LIABILITY WHETHER IN CONTRACT STRICT LIABILITY OR TORT INCLUDING NEGLIGENCE OR OTHERWISE ARISING IN ANY WAY OUT OF THE USE OF THIS SOFTWARE EVEN IF ADVISED OF THE POSSIBILITY OF SUCH DAMAGE T E E o ro oo a oG w o EE EE O e E EE a o a EE EE o EE EE E EE Di
161. ustanden TAINY xMOD versendet daraufhin eine Alarm Meldung Aktivieren Bei Ja wird bei dem Ereignis die Alarm Meldung abgesendet bei Nein nicht TAINY xMOD Seite 87 von 113 SMS Versand Werkseinstellung Rufnummer Tragen Sie hier die Rufnummer des Endger tes ein an die die Alarm Meldung ber SMS gesendet werden soll Das Endger t muss SMS Empfang ber GSM oder Festnetz unterst tzen Text Tragen Sie hier den Text ein der als Alarm Meldung verschickt wird Werkseitig hat das TAINY xMOD folgende Einstellungen SMS Service Center Rufnummer Alarm SMS Ereignis 1 Schalteingang Nein Ausgeschaltet Rufnummer Text Alarm SMS Ereignis 2 Keine GPRS Nein Ausgeschaltet Verbindung Rufnummer Text 10 3 SMS Versand aus dem lokalem Netzwerk SMS Versand aus dem lokalen Netzwerk Rahmen auf der TCP IP Verbindung R Ba SMS Versand aus dem lokalem Netzwerk em gt Netzwerk Intern b Netzwerk Extern SMS Versand aus lokalem Netzwerk aktivieren Ja gt Sicherheit gt IPSec VPN E Zugang Benutzername User ma Passwort Password Service Center Alarm SMS Portnummer 26864 SMS over IP gt SIMP Firewallregeln gt Wartung Von IP Intern Aktion Log Neu 0 0 0 0 0 Erlauben x Nein M L schen Speichern Zur cksetzen Mit der Funktion SMS Versand k nnen Anwendungen die an der lokalen Schnittstelle des TAINY xMOD angeschlossen sind ber das GSM Netz Short Messages SMS ve
162. von 113 TAINY xMOD EN Sicherheitshinweise Produkte Die Bezeichnung TAINY xMOD wird im Folgenden als Sammelbegriff f r das TAINY HMOD V2 IO TAINY HMOD L1 IO TAINY EMOD V2 IO TAINY EMOD L1 IO verwendet Qualifiziertes Personal Das zugeh rige Ger t System darf nur in Verbindung mit dieser Dokumentation eingerichtet und betrieben werden Inbetriebsetzung und Betrieb eines Ger tes Systems d rfen nur von qualifiziertem Personal vorgenommen werden Qualifiziertes Personal im Sinne der sicherheitstechnischen Hinweise dieser Dokumentation sind Personen die die Berechtigung haben Ger te Systeme und Stromkreise gem den Standards der Sicherheitstechnik in Betrieb zu nehmen zu erden und zu kennzeichnen Allgemeine Hinweise zu dem Produkt Das Produkt TAINY xMOD entspricht der europ ischen Norm EN60950 11 2006 Einrichtungen der Informationstechnik Sicherheit Lesen Sie vor Gebrauch des Ger tes die Installationsanleitung sorgf ltig durch Halten Sie das Ger t von Kindern fern besonders von Kleinkindern Das Ger t darf nicht im Freien oder in Feuchtr umen installiert und betrieben werden Nehmen Sie das Ger t nicht in Betrieb wenn Anschlussleitungen oder das Ger t selbst besch digt sind Externe Stromversorgung Verwenden Sie nur eine externe Stromversorgung die ebenfalls der EN60950 entspricht Die Ausgangsspannung der externen Stromversorgung darf 60V DC nicht berschreiten Der Ausgang der externen Stromversorgung muss
163. weitert System gt Netzwerk Intern Netzwerk Extern MATT Keepalive Intervall Sekunden 60 res hase 1 Timeout Sek 1 ne urn Phase out Sekunden 5 Verbindungen Phase 2 Timeout Sekunden 10 Zertifikate berwachung Versuche des Verbindungsaufbaus bis zum Neustart des VPH Clients 5 Erweitert S Versuche des Verbindungsaufbaus bis zum Reboot des Ger tes nach 5 erfolglosem Neustart des VPN Clients gt Zugang gt SMS DynDNS Tracking Nein M gt ap gt Wartung Neustart des VPN Clients bei DPD Nein M Speichern Zur cksetzen Einstellen spezieller Wartezeiten und Intervalle bei VPN Verbindungen Ist NAT T aktiviert vgl Kapitel 7 3 dann werden periodisch Keepalive Datenpakete vom TAINY xMOD V2 IO durch die VPN Verbindung gesendet Dies soll verhindern dass ein NAT Router zwischen TAINY xMOD V2 IO und der Gegenstelle in Ruhephasen ohne Datenverkehr die Verbindung unterbricht Das Intervall zwischen den Keepalive Datenpaketen k nnen Sie hier ndern Das Phase 1 Timeout bestimmt wie lange das TAINY xMOD V2 IO abwartet bis ein Authentifizierungsverfahren der ISAKMP SA abgeschlossen ist Wird das eingestellte Timeout berschritten wird das Authentifizierungsverfahren abgebrochen und neu gestartet Das Timeout k nnen Sie hier ndern Das Phase 2 Timeout bestimmt wie lange das TAINY xMOD V2 IO abwartet bis ein Authentifizierungsverfahren der IPsec SA abgeschlossen ist Wird das eingestellte Timeout bersc
164. z 0 0 0 0 Geben Sie als Adresse f r 1 zu 1 NAT zum gegen berliegenden Netz die lokal verwendete Zieladresse ein Nein Das TAINY xMOD V2 IO verwendet kein 1 zu 1 NAT zum gegen berliegenden Netz Tragen Sie hier die IP Adresse z B 123 123 123 123 des lokalen Netzes ein Das lokale Netz kann auch nur ein einzelner Rechner sein Tragen Sie hier die Netzwerkmaske z B 255 255 255 0 des lokalen Netzes ein Das lokale Netz kann auch nur ein einzelner Rechner sein Der Adressbereich des lokalen Netzes auf der VPN Verbindung wird im TAINY xMOD V2 IO festgelegt ber die Adresse des lokalen Netzes und die Netzmaske des lokalen Netzes Ist 1 zu 1 NAT abgeschaltet m ssen die Adressen lokaler Applikationen in diesem Adressbereich liegen um ber die VPN Verbindung von Gegenstellen im gegen berliegenden Netz adressiert werden zu k nnen Ist 1 zu 1 NAT aktiviert kann ein lokal verwendeter Adressbereich f r das lokale Netz definiert werden der sich von dem Adressbereich der auf der VPN Verbindung genutzt wird unterscheidet Die 1 zu 1 NAT Funktion im TAINY xMOD V2 IO bildet dann den lokalen Adressbereich des lokalen Netzes auf den Adressbereich des lokalen Netzen auf der VPN Verbindung ab Der lokal verwendete Adressbereich des lokalen Netzes wird festgelegt ber die Adresse f r 1 zu 1 NAT im lokalen Netz und die Netzmaske des lokalen Netzes 4 bersetzung der Zieladresse Beispiel Beispiel H Adressbereich 123
165. zeit W hlen Sie eine Stadt in der N he des Standortes aus an dem das TAINY xMOD arbeiten soll und legen Sie so die Zeitzone fest Dann wird die Uhrzeit dieser Zeitzone als Systemzeit verwendet Klicken Sie auf Neu um einen NTP Server hinzuzuf gen und geben Sie die IP Adresse eines solchen NTP Servers ein oder verwenden Sie den ab Werk voreingestellten NTP Server Sie k nnen parallel mehrere NTP Server angeben Die Eingabe der NTP Adresse als Hostname z B timeserver org ist nicht m glich Die Zeitsynchronisation erfolgt zyklisch Das Intervall in dem die Synchronisation stattfindet bestimmt das TAINY xMOD automatisch Sp testens nach 36 Stunden findet erneut eine Synchronisation statt Das Polling Intervall legt fest wie lange das TAINY xMOD mindestens bis zur n chsten Synchronisation wartet Hinweis Die Synchronisation der Systemzeit ber NTP verursacht ein zus tzliches Datenaufkommen auf der Datenfunk Verbindung Abh ngig von den gew hlten Einstellungen kann das zus tzliche Datenaufkommen 120 kByte im Monat und mehr betragen Je nach Teilnehmervertrag mit dem GSM Netzbetreiber sind damit erh hte Kosten verbunden Das TAINY xMOD kann selber als NTP Zeitserver f r die Applikationen dienen die an seiner lokalen Netzwerkschnittstelle angeschlossen sind Zur Aktivierung dieser Funktion w hlen Sie Ja Der NTP Zeitserver im TAINY xMOD ist ber die eingestellte lokale IP Adresse des TAINY xMOD erreichbar siehe
Download Pdf Manuals
Related Search