WinRoute Pro 4.1 GE
Contents
1. eeeee 149 Gemeinsame Nutzung der Verbindung f r zwei Netzwerke mit einer IP DIES ea een 150 Gemeinsame Nutzung der Verbindung f r zwei Netzwerke mit 2 IP RIESE see near 151 Remote Access Server DFU Internetzugang ccccceceeeeeeeseeeeeeeeeee 153 Verbinden berlappender Segmente ber eine IP Adresse 000000000nn 154 Multiport Ethernet Adapter ann 158 VMWI EE 161 Firewall Konfiguration Kapitel 4 K rrekte Anschlusszuordnune ee ee 163 Messae ne le EE 164 H323 NetMeeting 3 EE 165 IRG InlerneE Relay Chal see 167 CITRIX EE 168 Ms Terminal Server een ee 169 Interneltelefonie B ddyPhone n n en a 170 CE We ana engeren se 172 Remote Zussit PC Anywhere nennen 173 PC Anywhere EE 173 PC Anywhere Galeway ee ere 174 EE ee 176 Spiele hinter NAT ausf hren SC Aasherons EE 178 B tllenet CIA AAT EE 178 5 1 1 EE EE 179 Contents KEE Te 179 BEE 180 SC EE 181 Zus tzliche Anschlusszuordnungen f r g ngige Spiele und Anwendungen 182 Glossar der Terminologie 189 Index 198 Einleitung 1 2 WinRoute Pro 4 1 GE Reference Guide EINLEITUNG Sehr geehrter Kunde danke dass Sie WinRoute Pro erworben haben bzw testen Tiny Software ist ein in der Firewall Technologie f r kleine und mittelgro e Netzwerke f hrendes Unternehmen und hat sehr viel Arbeit in die Forschung investiert um Ihnen einen leistungsstarken und dennoch einfachen Router bzw eine Firewall f r Windo2. werden an alle Mitglieder der Gruppe Verkauf gesendet Installation und Konfiguration 139 Hail Server Settings Ea General Aliases Remote POF3 Scheduling Anti Spam Advanced Aliases Qeonge company com george into george ohnacompang Com john john_ speaker john listing george Maracomnpany com mary sales john saleslcompany com sales support support support john Edit Remove OF Cancel Apply Zeitplan fur den E Mail Austausch Mit dem Zeitplan in den Einstellungen des Mail Servers k nnen Sie folgende Optionen festlegen regul re Zeitintervalle in denen die E Mail bei Ihrem ISP abgefragt wird POP3 oder SMTP unter Verwendung von ETRN Versandregeln f r E Mail Zeitintervalle wann die Regeln G ltigkeit haben Sie k nnen diese Intervalle im Men Einstellungen gt erweitert gt Zeitintervalle vorab festlegen 140 WinRoute Pro 4 1 GE Reference Guide Sie k nnen angeben ob Sie ausgehende E Mail sofort versenden m chten nachdem diese auf dem Mail Server angekommen sind oder innerhalb eines bestimmten Zeitraums S e k nnen auch festlegen ob der E Mail Server be vorhandener neuer ausgehender E Mail hinauswahlen soll oder nicht Wenn Sie diese Option w hlen stellt der Mail Server von WinRoute jedesmal wenn einer der Benutzer eine neue E Mail versendet eine Verbindung her Hail Server Settings x General Aliases Remote POPS Scheduli
3. N NAT 234 NAT an beiden Schnittstellen einstellen 15 NAT Sicherheitsoptionen 115 NAT Router 10 NAT Sicherheit 114 Netzwerk Maske e 234 Netzwerkschnittstelle 234 Novell Border Manager VPN 158 P Paket 235 Paketfilter Einstellungen 119 Paket Filterung im berblick e 25 Paket Filterung Firewall e 25 PC Anywhere e 214 PC Anywhere Gateway e 215 POP3 e 235 Port 236 Postf cher in WinRoute e 236 PPPoE DSL Verbindung e 96 PPTP 236 PPTP Clients hinter NAT ausf hren e 162 Protokoll e 236 Protokolle e 30 Protokolle und Paketanalyse e 31 Proxy 237 PROXY Server e 44 Proxy bersicht 45 Q Quake 221 R RAS 237 Regeln 28 Remote Access Server DF Internetzugang 187 Remote Zugriff PC Anywhere e 214 Routing Tabelle e 237 S Schnelle Checkliste 60 71 95 99 106 152 182 Schnelle Installation e 45 Schnittstellen Tabelle e 24 Sicherheitseinstellungen 113 Sie haben eine dem POP3 Konto zugewiesene Domain e 146 Sie haben eine Domain SMTP 142 SMTP 237 Softwareeinstellungen f r den E Mail Client e 149 Software Konflikte e 74 Spezielle Netzwerke 178 Spiele e 217 Spiele hinter NAT ausf hren e 218 StarCraft e 222 Systemvoraussetzungen e 70 T T1 oder LAN Verbindung 105 TCP IP 238 Thema DNS e 167 Time to Live 55 Token Ring Netzwerke 178 U berblick Standard Gateway e 84 UDP e
4. 156 WinRoute Pro 4 1 GE Reference Guide Mehrfachsitzungen von IPSEC simultan ausfuhren Wenn mehrere IPSEC Clients vorhanden sind m ssen Sie f r jeden Client eine separate IP Adresse verwenden Hinweis WinRoute NAT l sst so viele Clients passieren wie Sie m chten sofern die Verbindung VOM lokalen Netzwerk aus initiiert wird und jeder Client eine IP Adresse verwendet die der externen Schnittstelle von WinRoute zugewiesen ist Allgemeine Informationen zu IPSEC IPSec ist ein Sicherheitsprotokoll zur Verschl sselung mit dem die Kommunikation zwischen zwei Computern sicher gestaltet wird IPSec verwendet entweder AH Authentification Header oder ESP Encapsulating Security Payload AH verifiziert nur die Identitat des Senders und den Inhalt des Pakets Daten werden nicht verschl sselt ESP vershl sselt die Daten Es erm glicht die Verwendung des sogenannte Tunnel Modus der dem PPTP Protokoll hnelt Das Paket beinhaltet dann den IP Header f r den Transport erforderlich der nicht verschl sselt ist und den Datenteil der das gesamte verschl sselte Orginalpaket enth lt Das Protokoll IKE mitunter als ISAKMP bezeichnet wird f r die Echtheitsbest tigung verwendet Austausch von Sicherheitsschl sseln IKE wird am UDP Protokoll Port 500 ausgef hrt Dieser Port wird als Quell und Zielanschluss verwendet AH verwendet Protokoll 51 ESP das Protokoll 50 IPSec kann weiterhin mit der gesamten Zertifik
5. Reference Guide WinRoute Pro 4 1 GE Fur Bau 22 der Version 4 1 und spateres Tiny Software Inc Contents Inhaltsverzeichnis Einleitung 2 WinRoute Beschreibung Kapitel 1 WinRoute Zusammenfassung sss seem 7 Umfangreiche Protokoll Unterst tzung 10 NWA KEE 11 Emuh m NAT 2 22 eis 12 Wie NAT ANKHON zungen 13 W inRoute Architektur ee sis ARON AO sai os 14 NAT an beiden Schnittstellen einstellen uuuseesennnnnnnneennnn 15 Anschlusszuordnung Paket Forwarding 000000ooooonoooooeoeoonnnnssessesssseseo 17 Anschlusszuordnung f r Multi homed Systems mehrere IP Adressen 20 IV UL EC EE 21 E WEE E E 22 SE EE RE EE 23 Eeer terre eek leide 24 Paket Filterung im Uberbltck 24 ER Rae ene re ee eebe 25 IRS SUN EE 27 Protokolle ee en 28 ADI SOO MING eege 29 Protokolle und Paketanaly se au 30 About logs and analys s senken 31 D bu ug Protokoll Fehlersuche sie en en 33 ELT RS Ree E en sanken 34 IVa I POCO OM EE 35 Behler Protokoll EE 35 PEC PS Ve een es ne een 36 DHCP bersicht EE 37 DNS Forwarde nee ee es een 38 DNS Eorwardme eege eege Ee 39 PROXY SCIVE T enee Ee Ee Ee 40 PEO RY BT EE 41 Contents Schnelle Installation ee 41 Registerkarte Allgemeine Eigenschaften 0ccccccccceeeeeeeeteeeeeeeteees 42 Benutzer Zugangskontrolle 43 Erweiterte Eigenschaften use rl 44 Der Cache nennen an Nenn a 45 C che Einstelungen ar une 46 Enter eg 48 Wie veranlasst man die Benut
6. st unter den an der Schnittstelle verf gbaren Regeln immer die niedrigste Zugriff auf Ihren Web Server erlauben Eingehend Registerkarte Protokoll TCP Quell IP Beliebig Ziel IP IP Adresse des Webservers Quell Port Beliebig Ziel Port 80 Zugriff auf Ihren FTP Server von bestimmten Adressen aus dem Internet erlauben Eingangs Tab Protokoll TCP Source IP Jede Destination IP IP Adresse des FTP Servers Source Port Jeder Destination Port 21 126 WinRoute Pro 4 1 GE Reference Guide Source IP Jede Destination IP IP Adresse des FTP Servers Source Port Jeder Destination Port 20 Ihrem SMTP Server nur die Kommunikation mittels Ihres Relay SMTP Servers erlauben beim ISP Eingehend Registerkarte Protokoll TCP Quell IP Relay SMTP Server des ISP Ziel IP IP Adresse des SMTP Servers in Ihrem LAN Quell Port Beliebig Ziel Port 25 Ausgehend Registerkarte Quell IP Ihr SMTP Server Ziel IP IP Adresse des SMTP Servers beim ISP Quell Port Beliebig Ziel Port 25 Ermoglicht es Ihnen E Mails aus dem Internet bei Ihrem Mail Server abzuholen Eingehend Registerkarte Quell IP Ihr SMTP Server Ziel IP IP Adresse des SMTP Servers Ihres LAN Quell Port Beliebig Ziel Port 110 Installation und Konfiguration 127 Packet Filter F LAH 8 Internet w AIR Any host all ports gt Any host port 80 w TCP Any host all ports gt 192 168 1 5 port 25 w TC
7. 0800 GET bitte fad doubleclick net 351 53788231 af HTTP DI 200 1632 192 168 1 3 roman LOM ow 1999102221 0800 GET http ad doubleclck net S4e360 ednow 86241 gif HTTP UI 200 192 168 1 3 roman LOM ow 1999 1022 22 0800 GET btto dir altavista con Business Tndustries 21639 shtnd ATTP 1 0 192 168 1 3 roman LOM 0w1999 102223 Ds00 GET http ed doublechck netadi categories av com e 74080 e 70 e 192 168 1 3 roman 1YN ow 1999 10 22 23 0800 GET httpVad Goublechck netadi cattle av com e 4080 e TD e 3 e 192 168 1 3 roman LOM 0w 1999 102223 Da00 GET btto ad doublechck netfadi cattle au com e7400 ec Jl e 2 es 192 168 1 3 roman 1Y N ow 1999 10 2225 0800 GET btte Jbaieum avenuea com view altavista _ gateway nov 10259 aa_ 192 168 1 3 roman LOM ow 1 999 10 22 24 0800 GET ite Aal Spe e akamaitech netin S96 701 0001216 34 88 210 Bann 192 168 1 3 roman LOM 0w1999 102225 Ds00 GET btto Aen doubleclick netviewadS34229 ylkabaaaa gif HTTP OUT 38 WinRoute Pro 4 1 GE Reference Guide Mail Protokoll Das Mail Protokoll f hrt alle Vorg nge des in WinRoute integrierten Mail Servers auf Sie konnen sehen wie viele Nachrichten gesendet wurden wie viele empfangen wurden und an wen die Nachrichten gesendet wurden Alle Vorgange werden mit einer Zeitangabe versehen Mail Log OF x TIOIN ow 1999 10 17 01 SMTP Server message 1624 bytes received from erhiitinysoftware com gt to lt ivesfl a
8. 148 Token Ring Netzwerke Verbinden von Token Ring Netzwerken Token Ring ist ein sehr spezieller Netzwerktyp Daher gehen wir davon aus dass nur Netzwerkexperten mit Token Ring umgehen und liefern hier keine sehr detaillierte Erkl rung Bei allen Computern des Token Ring muss der Wert fur MTU Maximum Transmission Unit auf 1500 eingestellt sein sehen Sie auf dem WinRoute Computer in das Men Einstellungen gt Erweitert gt Versch Optionen und aktivieren Sie das Kontrollk stchen f r die Unterst tzung von Token Ring Netzwerken Nehmen Sie andere Einstellungen vor die f r jede Art der Internetverbindung spezifisch ist 178 WinRoute Pro 4 1 GE Reference Guide Mehrere Betriebssysteme in einer Netzwerkumgebung Linux AS400 Apple Verbinden von Netzwerkumgebungen mit mehreren Betriebssystemen Linux Unix AS400 Apple WinRoute ist geeignet um Netzwerkumgebungen mit mehreren Betriebssystemen mit dem Internet zu verbinden WinRoute fungiert als Software Router und unterst tzt als solcher jede Standard TCP IP Umgebung gt Hinweis Ein auf Windows basierendes Betriebssystem dient als Host der Anwendung von WinRoute Daher ist mindestens ein auf Windows 95 98 NT basierender Computer im WinRoute Netzwerk erforderlich Der Host kann kein UNIX System sein UNIX kann jedoch als Client System betrieben werden Apple P Windows Windows WwinRo ute en 7 Einsatzbeispiele
9. Antworten zur ckerhalten Mit anderen Worten der Benutzer w rde unablassig versuchen eine Verbindung zum Internet herzustellen ohne jemals auf das Internet zugreifen zu k nnen Remote Access Server DFU Internetzugang Remote Access Server L sung Mitunter kann es erforderlich sein dass S e per Telefon von au en auf Ihr Unternehmensnetzwerk zugreifen und diesen Internetzugang verwenden WinRoute bietet diese Funktionalit t unter WindowsNT wenn RAS Dienste installiert und konfiguriert sind Bestimmte Kriterien m ssen angewandt werden Das Netzwerk Ihres Unternehmens hat ein Teilnetz z B 192 168 1 0 Der DHCP Server weist Benutzern die ber RAS zugreifen IP Adressen eines anderen Teilnetzes z B 192 168 2 0 zu NAT wird nur an der Schnittstelle zum Internet ausgef hrt Ke Einsatzbeispiele 187 vlt anderen Worten dre Netzwerkkarte dre zu em tokaten Netzwerk funr muss die IP Adresse eines Teilnetzes besitzen z B 192 168 1 1 Dagegen muss der Benutzer der ber RAS eine Verbindung zu Ihrem Server aufbaut eine IP Adresse eines anderen Netzwerks erhalten muss z B 192 168 2 1 WinRoute fungiert als Router es kann Pakete zwischen zwei oder mehr Schnittstellen verschiedener Netzwerke routen jedoch nicht aus demselben Netzwerk 3 Diese Art des Setups spiegelt die eines kleinen ISP wider WinRoute begrenzt die Anzahl der Benutzer die gleichzeitig auf Ihren NT Server zugreifen n
10. GET http dir altavista com Business shtml HTTP 1 0 200 13616 Von links nach rechts IP Adresse Name Name und derzeitige IP Adresse des Benutzers der auf das Internet zugreift Zeitangabe Datum und Zeitpunkt des Zugriffs ABRUFEN von http Das Ziel des Zugriffs Http Log 192 168 1 3 roman 10 N ov 1999 10 22 18 0800 GET Kttp Yad doublechck neV ad homepgtable av com sponsor button a 192 168 1 3 roman LOM ow 19P9 1022 12 0800 GET http Mad doublechck netfadthomepetable av com sponsor button 192 168 1 3 roman LOM 0w1999 1022 19 Ds00 GET btto ed doublechck netadthomepetable av com sponsorbutton 192 168 1 3 roman LOM ow 19991022719 0800 GET bitte Jump altavista com bf HTTP UI 302 476 192 168 1 3 roman LOM ow 1999 102220 0800 GET http dir altavista com Business shtml HTTP 1 O 200 13616 192 168 1 3 roman LOM ow1999 102220 Ds00 GET http ed doublechick netadi cattle au com e 3 e 1 s2 150x94 0 192 168 1 3 roman 10 N ow 1 99910 2220 0800 GET httpVad doubleclick netvadi cattilel av com e 3 e 1 s2 190254 0 192 168 1 3 roman LOM ow 1999102220 Da00 GET btto ad doublechck netadthomepatable av com sponsor button 192 168 1 3 roman 1 N ow 1999 10 2221 0800 GET Kttp Yad doubleclick nevadthomepetable av com sponsor button 192 168 1 3 roman LO Mow 1999 1022 21 Da00 GET http ffad doublechck netfadicategores av com e 3 e 1 ez zg 192 168 1 3 roman LOM owl 99910 2221
11. TIOIN ow 1999 10 17 15 SMTP Send 1 outgoing message 1624 bytes sent through server mail pacbell net TIOIN ow 1P99 10 18 11 POPS download 1 message 21367 bytes downloaded from server Pw wmroute cl w TIOIN ost O00 10 22 11 POPS download 1 message 32119 bytes downloaded from server Pw wmroute cl w 0H ow 1999 10 22 47 SMTP Server message 955591 bytes received from lt Senkdtinysoftware com gt to har 10 N 01999 10 25 05 SMTP Send 1 outgoing message 955591 bytes sent through server mail pacbell net 10 N owl 999 10 25 09 POPS download 1 message 1140 bytes downloaded from server fw winroute cz wit TIOIN ow 1999 10 32 11 POPS download 1 message 1691 bytes downloaded from server fw winroute cz wit 10 N ost 999 10 34 08 POPS download 1 message 4492 bytes downloaded from server fw winroute cz wit TIOIN ow 1999 10 34 12 POPS download 1 message 4492 bytes downloaded from server fw winroute cz wit 10 N ov 999 10 33 06 SMTP Server message 1167 bytes received from erhiditinysoftware com gt to lt neilaf TIOIN ov 999 10 35 14 SMTP Send 1 outgoing message 1167 bytes sent through server mail pacbell net 0H owl 999 10 35 37 SMTP Server message 22291 bytes received from Senkichtinysoftware com gt to web TIOUN ost 999 10 35 41 SMTP Send 1 outgoing message 22891 bytes sent through server mail pachell net 0H ow 1999 10 38 49 SMTP Server message 1211 bytes received from erhiitinyso
12. TT through ARRAS 492 168 2 0 aay fee eeh 255 255 255 0 PPTP Clients hinter NAT ausfuhren Es m ssen keine Einstellungen durchgef hrt werden um PPTP Clients hinter WinRoute NAT auszuf hren die auf den PPTP Server im Internet zugreifen Sie k nnen so viele simultane Verbindungen einrichten wie n tig Einsatzbeispiele 163 DNS Losung In diesem Abschnitt DNS Server am WinRoute PC 2 22canenneennnen 134 DNS Server hinter dem WinRoute PC 00 134 DNS Server und WWW hinter NAT 00 135 derer WB Dean a a esses Sect Se see Es se 136 DNS Server am WinRoute PC Das Ausf hren eines DNS Servers auf einem WinRoute PC birgt keine Schwierigkeiten Alle DNS Anfragen die am DNS Server eingehen werden mit der regul ren Internet IP Adresse die mit dieser Dom ne assoziiert ist beantwortet Eine solche IP Adresse muss mit der Schnittstelle des Netzwerks assoziiert sein die den WinRoute PC mit dem Internet verbindet Die WWW Server berwachen sowohl die ffentliche als auch die privaten Schnittstellen Wenn der lokale PC eine DNS Anfrage sendet um www meinedom ne com aufzul sen erh lt dieser eine ffentliche IP Adresse mit dieser Dom ne und verbindet den Web Server mit einer IP Adresse die der Internetschnittstelle zugewiesen wird gt Stellen Sie sicher dass die Anschlusszuordnunge f r DNS Anfragen eingestellt sind auch w
13. ckge ndert um den Computer im LAN zu erreichen Das Paket kommt am NAT Computer mit der ffentlichen IP Adresse des NAT Computers als Zieladresse an Die NAT Engine ndert diese Information dann um das Paket dem richtigen Empfanger innerhalb des lokalen Netzwerks zuzustellen P2192 163122 NM Network Interface WinRoute Architektur WinRoute Architektur Fur erweitertes Internetworking ist es hilfreich die Funktionsweise von WinRoute zu verstehen Die unten aufgef hrten Erl uterungen und Beispiele zeigen dass WinRoute eine ausgezeichnete L sung f r nahezu jede Netzwerkkonfiguration darstellt 1 Vollst ndige Sicherheit WinRoute arbeitet unterhalb des TCP Stack auf der IPSEC Ebene Mit anderen Worten es f ngt abgehende und eingehende Pakete ab BEVOR sie auf Ihren Computer gelangen k nnen 14 WinRoute Pro 4 1 GE Reference Guide Durch dieses fortschrittliche Design ist die Sicherheit von WinRoute beinahe unantastbar WinRoute Proxy Mail DMS DHCP server WIndows socketa TEFAF protocol Winkioute inpection module Canti spooting packet fitter NAT network adapter VAM subsystem driver network adapter modem ISON 2 Vollstandige Protokollunterstutzung WinRoute ist ein Software ROUTER Als solcher kann es im Gegensatz zu Proxy Servern wie WinGate oder WinProxy beinahe jedes Internet Protokoll passieren lassen Gleichzeitig berpr ft WinRoute jedes Paket anhand der in der Software
14. e k nnen Ihre E Mail ber POP3 aus dem Internet abholen Falls der MAIL Server auf dem WinRoute Computer ausgef hrt wird muss die Anschlusszuordnung eingerichtet werden Dies liegt an der Position des Inspektionsmoduls von WinRoute das unterhalb des TCP Stacks arbeitet so dass die Pakete verandert abgelehnt werden bevor sie das Betriebssystem erreichen SMTP Protokoll Protokoll TCP berwachungs IP berwachungs Port 25 Ziel IP IP Adresse des SMTP Mail Servers z B 192 168 1 10 Ziel Port 25 POP3 Protokoll Protokoll TCP Einsatzbeispiele 173 Uberwachungs IP Uberwachungs Port 110 Ziel IP IP Adresse des POP3 Mail Servers z B 192 168 1 10 Ziel Port 110 Ausfuhren des Telnet Servers hinter NAT Telnet wird von Unternehmen verwendet um Daten remote zu betreiben Dies sind vor allem AS400 Server die dieses Protokoll verwenden Um einen Telnet Server hinter WinRoute auszuf hren ist es notwendig die Anschlusszuordnung fur das TCP Protokoll am Port 23 einzurichten Es ist keine Einstellung notwendig um einen Telnet Client auszuf hren der auf den Telnet Server im Internet zugreift Protokoll TCP Uberwachungs IP nicht spezifiziert oder IP des Telnet Servers Uberwachungs Port 23 Ziel IP IP Adresse des Telnet Servers z B 192 168 1 10 Ziel Port 23 174 WinRoute Pro 4 1 GE Reference Guide FTP Aspekte unter Verwendung Nicht Standart Ports In diesem Abschnitt Auf FTP Ser
15. r den Rest des verbundenen Netzwerks Den richtigen WinRoute Computer w hlen WinRoute MUSS IMMER auf dem Computer ausgef hrt werden der mit dem Internet ber die Netzwerkkarte Kabel DSL Modem Einwahlverbindung oder einen Router verbunden ist WinRoute fungiert immer als Gateway zwischen zwei oder mehreren Netzwerken von denen jedes durch eine Schnittstelle reprasentiert wird Diese Schnittstellen konnen Ethernet Karten RAS Adapter USB nach Ethernet Adapter PPPoE Adapter usw sein 86 WinRoute Pro 4 1 GE Reference Guide Network 3 NIL 2 IE de NIC 1 WinRoute gt Installation und Konfiguration 87 IP Konfiguration mit DHCP Server Stellen Sie absolut sicher dass Ihre Arbeitsstationen darauf eingestellt sind eine IP Adresse vom DHCP Server zu erhalten siehe TCP IP gt Netzwerkschnittstelle Eigenschaften bei jedem Computer und dass alle anderen TCP IP Eigenschaften freigelassen wurden einschlie lich der DNS Server Informationen Dann f hren S e das WinRoute Administrationsprogramm aus l Gehen Sie in das Men Einstellungen gt DHCP Server 2 Schalten Sie den DHCP Server EIN durch Aktivieren des Kontrollk stchens und klicken Sie auf die Schaltfl che Neuen Bereich hinzuf gen 3 Neuer Bereich Hier spezifizieren S e den Bereich der vom DHCP Server verwendeten IP Adressen die an die Arbeitsstationen ausgegeben werden Denken Sie daran dass eine IP Adresse bereits vom WinRoute Comput
16. 83 Bidirektionale Kabelmodemverbindung 00000000n0noonnnnnnnnnsneensnnesessseseseno 84 Unidirektionales Kabelmodem Modem in Betrieb Kabel ausser Betrieb 86 Contents Verbindung ber DFU oder ISDN unnnneennnennnnn 87 EE Ae Ee 89 T1 oder LAN Verbindung ut 90 DieeePC Verbinduns zu ee Rn 91 GEMET 95 INARI Sicherheit 2 rn N EE 96 NAT Sicherheitseplionen a ee 96 Pakettilter Binstell nsen un nase 99 Beispiel f r ein Paketfilter Regelsatz uueeeeeneennnnnneeennnnn 102 Musterbeispiel Paketfilter Regelsatz f r eingehenden HTTP und FTP 103 Zulassen der Kommunikation an bestimmten Ports 103 Wie Benutzer dazu veranlasst werden den Proxy Server zu verwenden 106 Einrichtuns des MAI EE een 108 Mail CIMA CR nee ernennen 109 E Mail Versand an andere Benutzer von WinRoute innerhalb Ihres Netzwelt 110 PRUE CLIN ZAG LIN een 110 E Mail Versand indas Internet se eegeEeege gees 111 Alasa E 112 Zeitplan f r den P Mait Austausch cc ccccccccsscccccceccccceceeceeeseeeeseeeeeeees 114 Empfane von E Millu na u deencouseeseeensecebes 115 Sie haben eine Domain GATP 116 Mehrere Domains ee ee ee 118 Sie haben eine dem POP3 Konto zugewiesene Domain 118 E Mail empfangen Sie haben mehrere Mailboxes bei Ihrem ISP119 Softwareeinstellungen f r den E Mail Client cccccccceeeeeeeeeeeeees 120 Eeer essen 120 Wie Sie den Moi Server von WinRoute umgehen 121 Eins
17. DNS Abfrage f r den Computer MEIER finden In der HOSTS Datei haben Sie eingegeben dass Ihre Dom ne B RO mit einer speziellen IP Adresse assoziiert ist Dann k nnte die Abfrage MEIER B RO richtig beantwortet werden gt Wir weisen darauf hin dass der Cache nur Antworten des Typs Name gt IP Adresse speichert Die Antworten werden solange gespeichert bis sie ung ltig sind Die G ltigkeitsdauer wird vom DNS Server zusammen mit der Antwort geliefert Installation und Konfiguration 93 Herstellen der Internetverbindung In diesem Abschnitt PSE Yerbindune as ee 81 PPP6E DSE Verbindun2 u a 83 Bidirektionale Kabelmodemverbindung 84 Unidirektionales Kabelmodem Modem in Betrieb Kabel ausser Betrieb 86 Verbindung ber DFU oder ISDN cnnenne 87 AOL Verbindung area 89 T1 oder LAN Verbindung aaa aa 90 DireCPC V ebinduns aaa 91 94 WinRoute Pro 4 1 GE Reference Guide DSL Verbindung Fur die DSL ADSL SDSL Verbindung m ssen zwei Netzwerkkarten NICs im WinRoute Computer installiert sein Eine Netzwerkkarte f hrt zum Internet DSL Modem die andere zum internen Netzwerk ip 192 168 1 1 mask 255 755 255 0 guy Done dns A B C o nicil Luc ip address obtained via DHCP or assigned manually NAT NIC Network Interface Card SS SS Se WinRoute Konfiguration Fuhren Sie folgende Schritte aus um eine Verbindung zum Internet herzustelle
18. Gateway ae 174 PC Anywhere Von allen auf dem Markt erh ltlichen Software Routern unterst tzt WinRoute PC Anywhere von Symantec am besten PC AnyWhere erm glicht es dem Benutzer innerhalb eines Netzwerks auf Computer zuzugreifen und diese zu verwalten Dazu m ssen Sie das folgende Szenarium herstellen 1 Der verwaltete Computer f hrt den Host von PC Anywhere aus 2 Der Remote Computer f hrt PC Anywhere Remote aus A Die Anschlusszuordnung am WinRoute Computer wird folgenderma en konfiguriert Protokoll TCP UDP Uberwachungs IP nicht spezifiziert berwachungs Port Bandbreite 5631 5632 Ziel IP IP Addresse des Host von PC Anywhere innerhalb Ihres Netzwerks z B 192 168 1 12 Ziel Port 5631 5632 214 WinRoute Pro 4 1 GE Reference Guide Sicherheit Um die Sicherheit zu erh hen und zu verhindern Ihr Netzwerk f r die Aussenwelt zug nglich zu machen k nnen Benutzer eine bestimmte IP Adresse ausw hlen von der aus der Zugang ber spezifizierte Ports erlaubt st Mit dieser Konfiguration k nnen nur bestimmte Computer oder Netzwerke auf Ihr System vom Internet aus zuzugreifen Um Computer zu installieren denen es erlaubt ist auf Ihr Netzwerk zuzugreifen m ssen Sie zuerst eine Adressgruppe festlegen selbst wenn Sie nur einen einzelnen Computer eingeben Um diese Konfiguration zu erstellen gehen Sie in das Men Einstellungen gt Erweitert gt Adressgruppen Ver ndern des Zugriffs auf
19. ICMP und andere auf IP basierende Protokolle U UDP User Datagram Protocol verwendet einen speziellen Typ von Paket das Datagramm genannt wird Datagramme machen keine Antwort erforderlich sie werden nur in eine Richtung ausgef hrt Datagramme werden vor allem f r Streaming Media verwendet da ein gelegentlicher Paketverlust das endg ltige Produkt der bertragung nicht beeinflusst Glossar der Terminologie 237 V VPN Virtual Private Network betrifft lokale Netzwerke mit der F higkeit Resourcen ber das Internet zu gemeinsam zu nutzen indem ein direkter Tunnel erstellt wird der an beiden Enden eine Ver und Entschl sselung ausf hrt WinRoute unterst tzt VPN ber PPTP 238 WinRoute Pro 4 1 GE Reference Guide INDEX A Aasheron s call 219 About logs and analysis e 32 Administration des lokalen Netzwerks 77 Administration in WinRoute e 77 Administration vom Internet aus e 79 Aliasnamen e 137 Anschlusszuordnung e 230 Anschlusszuordnung Paket Forwarding 18 Anschlusszuordnung f r Multi homed Systems mehrere IP Adressen e 21 Anti Spoofing 30 AOL Verbindung 104 Architektur e 26 ARP 230 Auf FTP Server mit Nicht Standart Ports zugreifen 175 Ausf hren des MAIL Servers hinter NAT 173 Ausfthren des Telnet Servers hinter NAT e 174 Ausf hren eines DNS Servers hinter NAT 171 Ausf hren eines FTP Servers hinter NAT 172 Ausf hren eines PPTP Ser
20. In diesem Abschnitt Paket Filterung im Uberblick PAT CHIC KAU enero e Paket Filterung im Uberblick Das Herz einer jeden Firewall Zugriffssteuerung ist selbstverstandlich die Technologie mittels derer Paketen die f r ein gesch tztes Netzwerk bestimmt sind Zugang gewahrt oder verweigert wird WinRoute verwendet eine der am h ufigsten genutzten Technologien f r die Netzwerkszugriffssteuerung Paketfilterung Andere Zugriffssteuerungen wie beispielsweise ein integrierter Caching Proxy Server f r HTTP FTP und Gopher Protokolle sind primar als Elemente gedacht die die ausgehende Leistung fordern sollen und nicht als Sicherheitsfunktion Paketfilterung hat innerhalb der Sicherheits Community eine lange Tradition und wird noch immer haufig in Produkten wie im IOS Netzwerkbetriebssystem von Cisco eingesetzt Bei ordnungsgem er Konfiguration k nnen die Paketfilter sehr sicher gestaltet werden und sind besonders f r vielfrequentierte Internetsites geeignet da sie die besten Leistungsvorteile bieten 26 WinRoute Pro 4 1 GE Reference Guide Architektur Firewalls werden im Normalfall auf verstarkte Plattformen gebaut und die Software selbst ist normalerweise schwer zu umgehen Eine der gr ten Schw chen bei vielen Netzwerksicherheitssystemen liegt jedoch in dem kurzen Zeitraum zwischen dem Zeitpunkt an dem die Hardware aktiv in der Lage ist den Datenstrom zu lenken und dem Augenblick in de
21. MAT ip 182 168 2 1 mask 255 255 255 0 UW NANE ip 192 168 2 2 4 mask 255 255 255 0 gw 192 168 2 1 CG CS dns ABC D Einstellungen fur erweitertes NAT am WinRoutePC bei Aufteilung von Netzwerk1 und Netzwerk2 Ob NAT ausgef hrt wird oder nicht h ngt von der IP Zieladresse ab In unserem Beispiel wird NAT fur die Pakete nicht angewandt wenn der Bestimmungsort der Pakete m Netzwerk 192 168 1 0 liegt Dies macht eine Kommunikation zwischen diesen zwei Netzwerken m glich so als w re kein NAT vorhanden Bez glich der Netzwerkeinstellungen befolgen Sie die Regeln die im brigen Handbuch beschrieben werden 192 WinRoute Pro 4 1 GE Reference Guide Multiport Ethernet Adapter Die ber 170 000 Netzwerke die derzeit WinRoute Pro als Router Firewall L sung verwenden weisen in der Regel eine Konfiguration mit zwei Netzwerkkarten auf Die eine f hrt zum Internet und die andere zum lokalen Netzwerk LAN Diese Standardkonfiguration filtert Pakete die n das Internet gehen oder aus dem Internet kommen Es ist jedoch nicht m glich Pakete die sich zwischen lokalen Segmenten hin und her bewegen zu filtern da diese keinen Datenverkehr durch WinRoute leiten Ein Beispiel f r diese Konfiguration sehen Sie unten in Abbildung 1 INTERNET Einsatzbeispiele 193 Abbildung 1 Die gangigste Konfiguration von WinRoute Pro In manchen Fallen kann eine dritte Netzwerkkarte fur den WinRoute PC hinz
22. NAT auf der niedrigsten Netzwerk Protokollschicht aus Das Programm berpr ft den Datenverkehr zwischen dem Treiber der Netzwerkkarte und dem TCP Stack Es kontrolliert den Internetdatenverkehr vollst ndig indem es sowohl ausgehende als auch eingehende Pakete erfasst Somit ist maximale Sicherheit gew hrleistet Diese Funktion zeichnet die NAT Implementierung von WinRoute aus WinRoute bietet au erdem zus tzliche Sicherheitsfunktionen wie eine auf Paketfilter bas erende Firewall und Anti Spoofing Mit NAT von WinRoute ist das gesamte Netzwerk einschlie lich des Computers auf dem WinRoute ausgef hrt wird gesch tzt WinRoute Proxy Mail DNS GHCP server TEFAF protocol Winkoute inpection module ranti paofing packet titer MAT EE adapter WAN subsystem driver network adapter modem ISDN Installation und Konfiguration 115 NAT Sicherheitsoptionen In den erweiterten Einstellungen von WinRoute Build 20 und hoher befindet sich ein NAT Sicherheitsoptionsmen das einen Automatikmodus beinhaltet Automatikmodus bedeutet dass WinRoute f r bestimmte Arten von Anfragen Pakete verwerfen kann so dass Ihr Netzwerk nach au en unsichtbar erscheint Eingehende ICMP Echo Anfragen Internet Control Message Protocol ICMP ist das Protokoll mit dem man einfach eine Informationsanfrage senden kann pinging Beispiel ping 206 86 211 32 Wenn ein Computer versucht den WinRoute Host zu pingen bieten die NAT Siche
23. PC mit IP des PC mit dem IP des PC mit IP des PC mit dem Spiel Spiel dem Spiel dem Spiel IP Protokoll TCP UDP UDP TCP TCP Battle net Blizzard Folgende Anschlusszuordnung muss durchgef hrt werden um die Spiele von Battle net spielen zu k nnen Es kann jeweils nur ein Spieler teilnehmen Protokoll TCP UDP berwachungs IP nicht spezifiziert berwachungs Port 6112 Ziel IP IP Adresse des Spieler Computers z B 192 168 1 6 Ziel Port 6112 IP de Firewall Konfiguration 219 Half Life Half Life Protokoll TCP UDP Uberwachungs IP nicht spezifiziert Uberwachungs Port 27015 Ziel IP IP Adresse des Spieler Computers z B 192 168 1 6 Ziel Port 27015 MSN Gaming Zone Folgende Konfiguration wurde mit MechWarior3 in der MSN Gaming Zone gr ndlich getestet Nur jeweils ein Computer kann auf MSN zugreifen 1 Gehen Sie in das Men Einstellungen gt Anschlusszuordnung 2 F gen Sie eine neue Anschlusszuordnung hinzu Protokoll TCP berwachungs nicht spezifiziert berwachungs Port Bandbreite 2300 bis 2400 Ziel IP die lokale IP Adresse des Computers den Sie mit MSN verbinden m chten Ziel Port Bandbreite 2300 bis 2400 3 F gen Sie eine weitere Anschlusszuordnung hinzu Protokoll UDP berwachungs IP nicht spezifiziert berwachungs Port Bandbreite 28800 bis 28912 220 WinRoute Pro 4 1 GE Reference Guide Ziel IP die lokale IP Adresse des Computers den Sie mit MSN verbinden
24. Pro 4 1 auszuf hren ben tigen Sie Folgendes Einen PC mit Pentium Prozessor Einfach oder Dualprozessor Windows 95 98 NT4 0 2000 Betriebssystem 32 MB Speicher davon MB freier Speicherplatz Mindestens 2 verf gbare Schnittstellen Diese k nnten sein Ethernet RAS TokenRing DirecPC Installation und Konfiguration 71 Schnelle Checkliste F r alle WinRoute Benutzer gibt es eine grundlegende Liste von Grundregeln und einstellungen die eine erfolgreiche Verbindung Ihres Netzwerkes mit dem Internet garantieren Nat rlich st ein funktionsf higer Internetanschluss daf r Voraussetzung Sie sollten die unten beschriebenen Einstellungen vornehmen wenn Sie NAT f r einen gemeinsamen Internetzugang nutzen m chten Auch wenn Sie einen PROXY Server in WinRoute integriert verwenden m chten m ssen Sie diese Einstellungen vornehmen In diesem Fall m ssen S e Ihre Browser und Ihre Anwendungen auf den PROXY Server von WinRoute ausrichten Wir empfehlen dringend NAT zu verwenden wann immer dies m glich st Es geht schneller ist sicherer und zuverl ssiger Grundregeln und einstellungen 1 Am WinRoute PC Zwei Schnittstellen NICs Stellen S e sicher dass der WinRoute Computer ber mindestens zwei Schnittstellen verf gt Eine f r den Internetanschluss und eine f r die lokale Client Verbindung Diese k nnen Netzwerk Adapter oder RAS Leitungen sein Eine Schnittstelle Ethernet oder RAS DFU wird
25. Regel oben und letzte Regel unten steht Die erste Regel die der Paketbeschreibung entspricht wird angewandt w hrend die anderen Regeln ignoriert werden So konfigurieren Sie die Regeln 1 Rufen Sie in WinRoute Administrator das Men Einstllungen gt Erweitert gt Paketfilter auf Klicken Sie auf die Registerkarte Ausgehend 2 Doppelklicken S e auf Ihre externe Internet Schnittstelle Die Liste der Regeln oder Keine Regel wird angezeigt Installation und Konfiguration 129 Packet Filter Incoming Outgoing o S DC21x40001 GL Any interface 3 Klicken Sie auf die Schaltfl che Hinzuf gen um ein neue Regel hizuzuf gen die den WinRoute Host bef higen Verbindungen mit Webservern an Port 80 herzustellen Ausgew hltes Protokoll TCP Quell Typ Host IP Adresse externe Adresse Ihrer WinRoute Firewall e g 204 23 43 26 Ziel Port Gleich 80 w hlen Sie unter Aktion zulassen 4 Klicken Sie erneut auf die Schaltfl che Hinzuftigen um eine weitere Regel hinzuzuf gen mit der alle anderen TCP Verbindungen mit Port 80 abgelehnt werden Ausgew hltes Protokoll TCP Quell Typ Beliebig Ziel Port Gleich 80 Aktion Ablehnen Wenn Sie Versuche protokollieren m chten aktivieren Sie das Kontrollk stchen In Date protokollieren Packet Filter Incoming Outgoing Si ae LAN NIC Kingston Jen 24 68 1482 all ports gt Ary host po t aL Zu in TC
26. Security Options ee ae Sl NAT Secunty Options Un incoming ICHF echo request drop request silent mode On incoming packet that has no entry in the NAT table Ce send denying packet drop packet silent mode Incoming UDP packet Ce can pass through NAT with any source IP address can pass through NAT only if it comes from source IP address that was recorded when first outgoing packet from LON was sent NAT Logging Options Log incoming TCP packets that has no record in the MAT table f only packets with SiN flag f all TER packets Log incoming UDP packets that has no record in the NAT table I Log into security file l Log into security window cancel ze Installation und Konfiguration 119 Paketfilter Einstellungen Die Konfiguration des Paketfilters der Firewall von WinRoute Pro ist sehr einfach Allerdings muss man dazu die Logik verstehen die hinter der in WinRoute verwendeten Paketfilterfunktion steht Dennoch ist ein gutes Verst ndnis der hinter der Paketfilter Funktion stehenden Logik wie diese in WinRoute angewandt wird erforderlich Fur die einzelnen Schnittstellen festgelegte Regeln Benutzer konnen separate Sicherheitsregeln fur individuelle Computerschnittstellen festlegen Dies ist eine wichtige Funktion bei der Verwaltung von Netzwerken mit mehreren Segmenten Im folgenden Beispiel ist ein Netzwerk dargestellt das jeder Person im Internet erlaubt auf den Webse
27. Ursprungs IP nicht spezifiziert Ursprungs Port 59xx abhangig von der Display Nummer Ziel IP IP Adresse des Computer der die Anwendung ausf hrt Ziel Port 59xx Protokoll TCP Ursprungs IP nicht spezifiziert Ursprungs Port 58xx Ziel IP IP Adresse des Computer der die Anwendung ausf hrt Ziel Port 58xx 228 WinRoute Pro 4 1 GE Reference Guide Glossar der Terminologie 229 GLOSSAR DER TERMINOLOGIE A Anschlusszuordnung Die Anschlusszuordnung oder Port Address Translation PAT ist der Vorgang bei dem die an der Schnittstelle ankommenden Pakete in Bezug auf Port Nummer und IP Adresse die sie erreichen sollen berpr ft werden Bas erend auf den Port Nummern findet eine IP Adresse diese Pakete die an die im Voraus festgelegte private IP Adresse des lokalen Netzwerks weitergeleitet werden ARP Address Resolution Protocol assoziiert eine IP Adresse mit einer Hardware Adresse indem der sendende Computer aufgefordert wird zus tzliche Daten genannt MAC Adresse zu liefern WinRoute verwendet ARP nur zu Protokollzwecken um die Sicherheit zu erhohen B BOOTP Bootstrap Protocol bezieht sich auf die Computer innerhalb eines lokalen Netzwerks die so eingestellt sind dass sie eine ihnen dynamisch vom DHCP Server zugewiesene IP Adresse akzeptieren C Cache Bezeichnet den Platz an dem Daten zeitweise gespeichert werden WinRoute verwendet den Cache Zwischenspeicher z
28. Wenn wir beispielsweise ein Teilnetz 194 196 16 0 haben mit der Maske 255 255 255 0 so sind die Adressen die wir Computern im Teilnetz zuordnen k nnen die Adressen 194 196 16 1 bis 194 196 16 254 Netzwerkschnittstelle Die Netzwerkschnittstelle ist das Ger t das den Computer ber ein Kommunikationsmedium mit anderen Computern verbindet Eine Netzwerkschnittstelle kann eine Ethernet Karte sein ein Modem eine ISDN Karte usw Der Computer sendet und erhalt Pakete tiber die Netzwerkschnittstelle 234 WinRoute Pro 4 1 GE Reference Guide H Paket Das Paket ist eine Standard Dateneinheit zur Kommunikation die angewandt wird wenn Daten von einem Computer an einen anderen ubermittelt werden Jedes Paket enthalt eine gewisse Datenmenge Die maximale Lange eines Paketes ist abhangig vom Kommunikationsmedium In Ethernet Netzwerken betragt die maximale Lange beispielsweise 1500 Byte In jeder Schicht konnen wir die Inhalte der Pakete n zwei Teile trennen Den Header Teil und den Daten Teil Der Header beinhaltet Kontrolldaten der speziellen Schicht der Daten Teil beinhaltet Daten die zur oberen Schicht geh ren Detailliertere Informationen ber die Struktur der Pakete k nnen m Kapitel ber die Paketfilterung nachgeschlagen werden POP3 POP3 Protokoll wird meistens von E Mail Client Software verwendet um die E Mail von den Postf chern der mit POP3 kompatiblen Mail Servern abzuholen Auch der Mai
29. WinRoute Administration aus dem angezeigten Men Sie k nnen auch die WRAdmin exe Datei auf jeden anderen Computer Ihres Netzwerks kopieren und von dort aus ausf hren Das Admin Fenster wird angezeigt Lassen S e entweder den voreingestellten lokalen Hostrechner oder geben Sie die IP Adresse des Computers an auf dem WinRoute ausgef hrt wird Geben Sie den Benutzernamen ein sowie das f r Administration verwendete Kennwort Open Configuration Configuration Enter a hostname or an IF address of a computer running WRF oute WinF oute Host fortune tinysw corn sl Username Admin Password Hinweis Wenn Sie sich zum ersten Mal anmelden k nnen Sie Admin als Benutzernamen verwenden und kein Kennwort eingeben Weitere Details zur Verfahrensweise im Hinblick auf Benutzernamen und Kennwort f r die Verwaltung finden Sie unter Benutzerkonfiguration Installation und Konfiguration 79 Sie m ssen sich als Administrator erfolgreich bei WinRoute Engine anmelden um Einstellungen vorzunehmen M gliche Gr nde f r eine fehlgeschlagene Anmeldung von einem lokalen Netzwerk aus WinRoute Engine ist nicht installiert und wird nicht ausgef hrt Falscher Benutzername und Kennwort Falsche IP Adresse wurde beim Verbindungsaufbau mit der WinRoute Engine eingegeben Sie sind nicht zur Verwaltung von WinRoute berechtigt An der Schnittstelle zu Ihrem Netzwerk ist NAT aktiv siehe die Kapitel ber Che
30. WinRoute zu verwalten Der Benutzer hat Vollzugriff auf die Administration Ansichtsprotokoll Der Benutzer hat das Recht sich bei WinRoute Administration anzumelden und nur die Protokollfenster einzusehen Debug Informationen Proxy Protokoll Mail Protokoll usw Der Benutzer verf gt ber keinen dar ber hinausgehenden Zugriff um die anderen Einstellungen zu ndern Einwahlverbindungen kontrollieren Der Benutzer hat das Recht sich bei WinRoute anzumelden und die Internetverbindung einzurichten bzw zu unterbrechen Der Benutzer verf gt ber keinen dar ber hinausgehenden Zugriff um die anderen Einstellungen zu ndern 64 WinRoute Pro 4 1 GE Reference Guide Fernbedienung WinRoute Pro bietet den Benutzern den Vorteil der Remote Administration Fernbedienung Mit den entsprechenden Einstellungen ist es m glich Ihre Firewall von jedem Ort der Welt aus sicher zu verwalten Der Zugang zur Engine wird durch eine komplizierte Verschl sselung und em Kennwort gesichert WinRoute Pro Komponenten WinRoute Pro 4 x besteht aus drei Modulen WinRoute Engine f hrt jedes Routing und jede Analyse durch NAT Paketfilterung Anschlusszuordnung usw Sie k nnen die WinRoute Engine von WinRoute aus oder wenn Sie mit WindowsNT arbeiten direkt ber die Option f r die NT Dienste starten und stoppen WinRoute Engine wird unter Windows2000 NT 98 oder 95 unsichtbar als Dienst ausgef hrt WinRoute Engine Monitor ist die berwach
31. kann kein Zugriff tiber Passiv Modus eingerichtet werden WinRoute sieht laut Standard Port 21 als FTP an so dass WinRoute angepasst werden muss wenn der Benutzer einen anderen Port nutzen m chte Anhand der folgenden Schritte wird das Problem behoben und der Zugang ber Passiv Modus erm glicht Gehen Sie zum WinRoute Computer Schalten Sie die WinRoute Engine aus Gehen Sie in das Men Start gt Ausf hren auf dem Desktop Geben Sie regedit ein um auf den Registry Editor zuzgreifen ar OO N Suchen Sie HKEY LOCAL MACHINE SOFTWARE TinySoftware WinRoute Mport Hier finden Sie Unterordner die den Anschlusszuordnungen entsprechende Informationen enthalten Falls keine Unterordner vorhanden sind gibt es keine Anschlusszuordnungen 6 Suchen Sie den Ordner mit den Anschlusszuordnungen basierend auf dem Port der vom FTP Server verwendet wird ndern Sie den Schl ssel flags zu 1 ndern Sie den Schl ssel NatApp zu FTP Schalten Sie die WinRoute Engine wieder ein 176 WinRoute Pro 4 1 GE Reference Guide Anhand dieser Einstellungen wei WinRoute dass die Pakete die an dem von Ihnen festgelegten Port eingehen vom FTP Protokoll stammen Daher f hrt WinRoute weitere Schritte durch um dieses komplexe Protokoll weiterzuleiten Einsatzbeispiele 177 Spezielle Netzwerke In diesem Abschnitt Token Rings NCUA Wetec area 147 Mehrere Betriebssysteme in einer Netzwerkumgebung Linux AS400 Apple
32. m chten Ziel Port Bandbreite 28800 bis 28912 Quake Quake 3 Quake 2 3 Clients Es s nd keine speziellen Einstellungen erforderlich Quake 2 3 Server F r Master Server Protokolll UDP berwachungs IP nicht spezifiziert berwachungs Port Einfach 8002 Ziel IP x x x x Ziel Port 8002 Fur Clients die mit dem Arena Server von Quake3 verbunden sind Protokoll UDP Uberwachungs IP nicht spezifiziert Uberwachungs Port Einfach 27960 Ziel IP x x x x Ziel Port 27960 Firewall Konfiguration 221 StarCraft StarCraft WinRoute Pro beinhaltet eine einzigartige Unterst tzung fur alle StarCraft Spieler Blizzard Entertainment Mehrere Spieler des Netzwerks die tiber WinRoute Pro mit dem Internet verbunden sind k nnen den Spa daran haben gegen ihre virtuellen Feinde 1m Internet zu spielen Derzeit funktioniert ein vollst ndige automatische Unterst tzung nur f r den Fall dass alle Spieler eines Netzwerks die am Spiel teilnehmen dies von Computern aus tun die sich hinter WinRoute Pro befinden und nicht auf dem Host Rechner Weitere Einzelheiten finden Sie unter www tinysoftware com 222 WinRoute Pro 4 1 GE Reference Guide Zusatzliche Anschlusszuordnun gen fur gangige Spiele und Anwendungen Notwendige Ports fur die verschiedenen Anwendungen Age of Empires Il 2 Anschlusszuordnungen erforderlich Protokoll TCP Ursprungs IP nicht spezifiziert Ursprungs Port 47624 Ziel IP IP Adre
33. t standardm ig alle Ports um maximale Sicherheit zu gew hren Daher werden alle nicht eingeleiteten Anforderungen abgewiesen es sei denn eine Zuordnung wurde erstellt Mit Hilfe der Anschlusszuordnung kann der Benutzer entscheiden wie er IP Pakete die ber eine beliebige WinRoute Schnittstelle transportiert werden umleiten m chte Mit WinRoute k nnen Benutzer Pakete die ber einen bestimmten Port eingehen an einen spezifizierten internen Computer weitergegeben So kann ein Web Server MAIL Server FTP Server VPN Server oder praktisch jeder andere Servertyp sicher hinter der Firewall verwendet werden Firewall Sicherheit Durch die Kombination aus NAT Architektur und der Fahigkeit auf niedriger Ebene zu arbeiten bietet WinRoute Benutzern eine Firewall Funktion die mit teureren L sungen vergleichbar ist Dadurch kann WinRoute sowohl eingehende als auch abgehende Pakete erfassen wodurch es gegen ber Angriffen gesch tzt ist Anti spoofing ist eine Erg nzung zur Paketfilterung von WinRoute Es sch tzt das LAN gegen Angriffe bei denen der Eindringling die IP Ursprungsadressen f lscht 8 WinRoute Pro 4 1 GE Reference Guide Einfache Netzwerkkonfiguration Der DHCP Server und der DNS Forwarder die in WinRoute Pro enthalten sind vereinfachen die Administration der Netzwerkkonfiguration Beide Komponenten stellen ausgereifte Technologien dar Der DHCP Server von WinRoute kann problemlos den
34. vernichtet und kein Paket zur ckgesendet Auf diese Art und Weise erscheint der WinRoute Host sowie das entsprechende LAN nicht zu existieren Eingehende UDP Pakete Bei einigen Anwendungen die das User Datagram Protocol UDP verwenden ist es erforderlich UDP Pakete an einen zentralen Server zu senden WinRoute zeichnet die Quelle und den Bestimmungsort aller UDP Pakete auf die an den Server geleitet werden der von der das Paket sendenden Anwendung zugewiesen wurde In einigen F llen leitet der Server Ihre IP und den Port an einen anderen Computer weiter von dem Sie dann ein UDP Paket mit den angeforderten Informationen erhalten Auch wenn dieser willk rlich gew hlter Computer eine andere IP Adresse als der Server hat kann er dennoch UDP Pakete in Ihr lokales Netzwerk senden da er die entsprechende IP und den Port kennt Bleiben wir bei diesem Beispiel Wenn Sie kann NAT mit einer beliebigen IP Ursprungsadresse passieren w hlen werden UDP Pakete durch WinRoute transportiert Um die Sicherheit zu verbessern w hlen Sie die Option kann NAT nur passieren wenn es von der IP Ursprungsadresse stammt die beim Versenden des ersten ausgehenden Pakets registriert wurde w hlen Mit dieser Einstellung k nnen nur UDP Pakete vom zentralen Server WinRoute passieren Installation und Konfiguration 117 NAT Protokolloptionen Zu den erweiterten Sicherheitsoptionen gehort die Fahigkeit Daten von Paketen die in
35. wird als Mail Server fiir eingehende und ausgehende Mail fungieren Daher m ssen Sie den Namen des WinRoute Computer in das richtige Feld Ihrer E Mail Software eingeben Wenn Sie Schwierigkeiten haben Mail zu senden oder zu empfangen empfehlen wir die IP Adresse anstelle des Computernamens einzugeben bevor Sie weitere Nachforschungen anstellen Manchmal liegt das Problem in der DNS Aufl sung in Ihrem lokalen Neztwerk Es kann so aussehen als ob Sie den WinRoute DNS Server nicht verwenden Beispiel Der WinRoute Mail Server wird an einem Computer ausgef hrt der ber eine automatisch zugewiesene ffentliche IP Adresse verf gt oder ber eine private IP Adresse mit 192 168 1 1 Der Name des Computers st Hamilton s ehe Systemsteuerung zur Neztwerkkontrolle Sie k nnen entweder HAMILTON oder 192 168 1 1 in die Felder des Mail Servers f r eingehende POP3 oder ausgehende SMTP Mail in Ihrer E Mail Software eingeben Installation und Konfiguration 151 Wie Sie den Mail Server von WinRoute umgehen Es kann sein dass Sie den Mail Server von WinRoute umgehen mochten und E Mail direkt mit einen E Mail Client ber den Mail Server Ihres ISP empfangen oder senden wollen In diesem Fall geben Sie bitte den richtigen Namen des Mail Servers Ihres ISP in den Einstellungen f r ausgehende und eingehende Mail ein WS 63 195 58 12 Properties ki General servers Connection Advanced Server Informati
36. zur WinRoute Engine ber das Internet erlaubt sein soll im Men Einstellungen gt Erweitert gt Adressgruppen im Voraus festlegen Sie k nnen separate IP Adressen IP Adressbereiche und Netzwerke zusammen gruppieren Installation und Konfiguration 81 Edit Item Protocol TCP UDP Listen IP k Unspecified M Listen port single port pork range 44333 Destination IP f 92 168 1 1 Destination port 44333 Allow access only from sl Cancel Setting Weitere Einzelheiten ber die Anschlusszuordnung k nnen Sie den Beispielen entnehmen Wenn Sie alles entsprechend eingerichtet haben f hren Sie das Programm WinRoute Administration von einem beliebigen Computer aus und geben Sie die IP Adresse des Computers auf dem WinRoute ausgef hrt wird registriert z B 206 86 181 25 sowie den Benutzernamen und das Kennwort ein die f r die Administration verwendet werden Weitere Details zur Verfahrensweise 1m Hinblick auf Benutzernamen und Kennwort zur Administration finden Sie unter Benutzerkonfiguration Mogliche Grunde fur eine nicht erfolgreiche Anmeldung uber das Internet WinRoute Engine ist nicht installiert und wird nicht ausgef hrt Falscher Benutzername und Kennwort Falsche IP Adresse wurde beim Verbindungsaufbau zur WinRoute Engine eingegeben Sie sind nicht berechtigt WinRoute zu verwalten 82 WinRoute Pro 4 1 GE Reference Guide Die Anschlusszuordnun
37. 12 Dann f hren Sie eine Anschlusszuordnung durch berwachungs Port Ziel IP Ziel Port 710 192 168 1 2 700 711 192 168 1 3 700 712 192 168 1 4 700 gt Das Durchf hren eines solchen Telefongesprachs mit einem Benutzer ist so einfach sein wie die Eingabe von Unternehmen com port im Direktwahl Dialog von BuddyPhone Zum Beispiel sales gamerouter com 711 gt Hinweis Es ist kein Fehler in unserer Dokumentation Der Ziel Port ist wirklich 700 Dies ist die Port Nummer die von BuddyPhone zur Ausf hrung verwendet wird WinRoute f hrt das Routing basierend auf dem Uberwachungs Port durch 212 WinRoute Pro 4 1 GE Reference Guide CU YouSeeMe Um tiber NAT hinweg CU SeeMe Anrufe zu erhalten sind die folgenden Anschlusszuodnungen notig Protokoll UDP Uberwachungs IP lt nicht spezifiziert gt Uberwachungs Port 7648 Ziel IP IP Adresse der Arbeitsstation die den CU SeeMe Client ausf hrt Ziel Port 7648 Protokoll UDP Uberwachungs IP lt unspecified gt Uberwachungs Port 7649 Ziel IP IP Adresse der Arbeitstation die den Cu SeeMe Client ausf hrt Ziel Port 7649 Einschr nkungen Derzeit ist es nicht m glich mehr als einen CU SeeMe Client in einem lokalen Netzwerk auszuf hren Es ist nicht m glich eine Verbindung zu einem Abweiser herzustellen der von einem Kennwort gesch tzt wird Firewall Konfiguration 213 Remote Zugriff PC Anywhere In diesem Abschnitt PG EE Eeer 173 PC Anywhere
38. 157 38 25 fl This tells us the IP address of the computer sending the packet This tells us the Port that the application is trying to use In diesem Fall sendet ein Computer mit 63 199 157 35 ein Paket von Port 4424 zu einem Computer mit 63 199 157 38 zu Port 23 Port 23 ist der Standard Port fur Telnet Wenn Sie ber einen Telnet Server der mit einer privaten Adresse 192 168 1 3 ausgef hrt wird verf gen wird an Port 23 protokolliert Daher w rden S e TCP Pakete an Port 23 der Adresse 192 168 1 3 zuordnen 204 WinRoute Pro 4 1 GE Reference Guide Messaging und Telefonie Derzeit gibt es einige Instant Messaging Services die den Dateientransfer sowie den Chat von PC zu PC oder von PC zu Telefon unterst tzen WinRoute Pro wurde mit den folgenden Konfigurationen erfolgreich getestet AOL Instant Messenger Yahoo Instant Messenger MSN Messenger und ICQ AIM erfordert keine speziellen Einstellungen Verwenden Sie die Standard Verbindungseinstellungen und geben Sie nicht an dass Sie einen Proxy Server verwenden Yahoo IM Benutzer m ssen die Voreinstellungen f r die Anmeldung gt Verbindung ndern in keine Netzwerkerkennung Alle Dienste von Yahoo IM sollten mit dieser Einstellung korrekt hinter NAT ausgef hrt werden MSN Messenger arbeitet am besten unter Verwendung von HTTP Proxy Aktivieren Sie den WinRoute Proxy am Standard Port 3128 zus tzlich zur Network Address Translation Der Chat von PC zu PC
39. 179 Verbinden mehrerer Netzwerke In diesem Abschnitt Verbinden ffentlicher und privater Segmente DMZ 149 Gemeinsame Nutzung der Verbindung f r zwei Netzwerke mit einer IP Adresse 150 Gemeinsame Nutzung der Verbindung f r zwei Netzwerke mit 2 IP Adressen 151 Remote Access Server DF Internetzugang 153 Verbinden berlappender Segmente ber eine IP Adresse 154 180 WinRoute Pro 4 1 GE Reference Guide Verbinden offentlicher und privater Segmente DMZ Ein privates Segment besteht aus Computern die private Internetadressen verwenden Solche Adressen sind privaten Netzwerken vorbehalten und k nnen nicht im Internet verwendet werden Daher wandelt WinRoute diese privaten Adressen n ffentliche Adressen um so dass S e eine Verbindung zum Internet herstellen k nnen Auf Computern mit einer pr vaten Adresse kann von au en vom Internet nicht direkt zugegriffen werden E n ffentliches Segment besteht aus Computern von denen jeder ber eine ffentliche IP Adresse verf gt Auf diese Systeme kann direkt vom Internet aus zugegriffen werden sofern die S cherheitsregeln es zulassen Jedes Segment muss im WinRoute Computer eine eigene Netzwerkschnittstelle haben Dann erm glicht es die WinRoute Engine Ihren privaten und ffentlichen Segmenten gemeinsam eine Internetverbindung zu nutzen IP 206 56 24 13 _ 2 da ZOE 5 184157 Eo HAT es ei Advanced MAT SS
40. 2 259 Un Interface Properties NAT Interface Description Name Intemet NIC Link Sys IF address 653 192 2172 2359 Mask 255 255 255 0 Hi address 00 c0 t0 3c 23 4b Ethernet T Exclude this computer from MAT Installation und Konfiguration 101 3 Klicken Sie auf RAS Schnittstelle und gehen Sie zu Eigenschaften Aktivieren Sie das Kontrollk stchen NAT mit der IP Adresse dieser Schnittstelle f r den gesamten passierenden Datenverkehr ausf hren W hlen Sie auf der Registerkarte RAS die Verbindung aus f r den Verbindungsaufbau zu Ihrem ISP aus Geben Sie anschlie end Ihren Benutzernamen und das Kennwort ein 4 Vergewissern Sie sich das NAT an der Schnittstelle zum internen Netzwerk NICHT EIN ist wechseln Sie zu den Eigenschaften dieser Schnittstelle 5 berpr fen Sie dass in den TCP IP Eigenschaften der internen Netzwerkkarte KEIN Gateway eingestellt ist wechseln Sie zu den Netzwerkeinstellungen und dass der Netzwerkkarte eine private IP Adresse zugewiesen wurde z B 10 10 1 1 6 berpr fen Sie dass der zum Internet f hrenden Netzwerkkarte die Daten Ihres ISP TCP IP Eigenschaften zugewiesen wurde Hinweis Bei dynamisch zugewiesenen IP Adressen lassen Sie die IP Adresseinstellungen frei gt Inder Regel sollte NAT an beiden Schnittstellen zum Internet RAS und DFU auf EIN eingestellt sein Verbindung ber DF oder ISDN Verbindung ber DF oder ISDN Wenn Sie an ei
41. 238 Umfangreiche Protokoll Unterst tzung e 9 Index 241 Unidirektionales Kabelmodem Modem in Betrieb Kabel ausser Betrieb e 99 V Verbinden mehrerer Netzwerke 180 Verbinden ffentlicher und privater Segmente DMZ 181 Verbinden berlappender Segmente ber eine IP Adresse 188 Verbindung ber DFU oder ISDN 101 Verlust des Administrationskennworts e 82 VMWare 198 VPN 238 VPN Unterst tzung e 24 W Wie Benutzer dazu veranlasst werden den Proxy Server zu verwenden e 48 57 128 Wie man einen Parent Proxy Server verwendet e 58 Wie NAT funktioniert 12 Wie S e den Mail Server von WinRoute umgehen 151 Wie veranlasst man die Benutzer Proxy anstelle von NAT zu verwenden e 57 WinRoute Mal Servere 150 WinRoute Architektur 13 WinRoute Beschreibung 5 WinRoute Zusammenfassung e 6 Z 242 WinRoute Pro 4 1 GE Reference Guide Zeitintervalle e 67 Zeitplan fur den E Mail Austausch 139 Zulassen der Kommunikation an bestimmten Ports e 124 Zusatzliche Anschlusszuordnungen fur gangige Spiele und Anwendungen e 223
42. ACK WinRoute Beschreibung 35 VWinRoute TP stack to INTERNET from INTERNET to LAM from LAN Interface 1 Interface 2 INTERNET LAN 36 WinRoute Pro 4 1 GE Reference Guide HTTP Proxy Protokoll Das HTTP Proxy Protokoll ist ein leistungsstarkes Tool das Ihnen dabei hilft die Benutzeraktivit ten im Internet nachzuvollzichen Es bietet benutzerfreundlichere Informationen ber Benutzer d e auf das Internet zugreifen als das Debug Protokoll Wann funktioniert das Protokoll HTTP Proxy Protokoll zeigt nur Daten an die ber den PROXY Server von WinRoute laufen Das bedeutet wenn Sie Daten vom PROXY Server abrufen m chten sollten Sie Ihre Benutzer dazu anhalten ber den PROXY Server zu gehen Weitere Informationen erhalten Sie im Kapitel ber Firewall Beispiele oder ber den PROXY Server Au erdem m ssen S e den Protokollzugang zur Konfiguration des Proxy Server aktivieren Proxy Server Settings General Cache Time to Live Access Advanced Sr Prox port 31 20 Y Log access to proxy server To use the proxy server browser on the chent PCs in the local network have to be setup to connect through the proxy server The IP address of the proxy server i the address of WinAoute s PC in the local network and the port is the value configured above 3126 by default WinRoute Beschreibung 37 Wie wird das HTTP Proxy Protokoll gelesen 192 168 1 3 roman 10 Nov 1999 10 22 20 0800
43. C Internet lf Source 206 95 424 0 then DO NOT NAT O S IF 192 168 1 1 gts mone MAT no IF 206 86 187 25 gts mone MAT no LI pe C _ CI er em GEES 2 Private Segment F255 IF 192 168 1 2 4 EEE DMZ tw 192 188 1 1 Segment C LC 6 181 26 28 55181 25 Einsatzbeispiele 181 WinRoute Einstellungen Es ist notwendig erweiterte NAT Einstellungen durchzufuhren so dass WinRoute kein NAT f r Pakete aus ffentlichen Segmenten durchf hrt Gehen Sie dazu in das Men Einstellungen gt Erweitert gt NAT Advanced NAT x Advanced NAT Set RRB EN x Saure Packet Description Source Network Range Destination BOES From 206 86 181 26 To 206 686 181 268 T Only when outgoing interface is LAN sl NAT Log Packet Ge Do not MAT T Log into file C Do NAT with specified IF address T Log into window lE address Einstellungen ffentlicher und privater Netzwerke Diese Netzwerke werden auf die gleiche Art und Weise installiert wie dies in anderen Kapiteln dieses Handbuchs beschrieben wird Bei ffentlichen Segmenten besteht der einzige Unterschied darin dass Sie dort ffentliche IP Adressen verwenden Im Wesentlichen m ssen Sie folgende Regeln einhalten KEIN Default Gateway an der Schnittstelle in WinRoute Die IP Adresse dieser Schnittstelle wird als Default Gateway f r den Rest des Netzwerks verwendet KEIN NAT an den Schnittstellen in WinRoute Weit
44. Cancel Apply WinRoute Beschreibung 67 gt Beispiel Sie k nne eine Zeitzone erstellen die Feiertage und Abende genannt wird und die Fogendes beinhaltet Samstag Sonntag Montag von 16 00 Uhr bis 18 00 Dienstag von 17 00 bis 19 00 F hren S e folgende Schritte aus um die Zeitzone festzulegen 1 Gehen Sie in das Men Einstellungen gt Erweitert gt Zeitintervalle 2 Geben Sie der Zeitzone einen Namen 3 F gen Sie das neue Zeitintervall hinzu Installation und Konfiguration KAPITEL 2 INSTALLATION UND KONFIGURATION In diesem Kapitel GEESS EIERE Schnelle E EE SE EE Ee ET E Administration in WinRoute 0000000aneeeeeeeeeeeeneereettrrnnen Einrichten des Netzwerks DHChR Einstellen des DNS Fopwarder Herstellen der Internetverbindung Sicherheitseinstellunsen EE Einrichtung des MAIL ServefS cccccsessseseeeeeeesneeeeees SYSLEMVOTAUSSELZUNGEN 1 0 eeeeeeccccccceceeeeeeececeeceaeneeeeeeess Schnelle EE Bolware Kontlike EE Administration in WinRoute 0000000anneoonnneeeeestrtetetrrnnen Einrichten des Netzwerks DHCP Einstellen des DNS Fopwarder Herstellen der Internetverbindung cc ceeeeeeeeeeeeeees Sicherheitseinstellungen eeee Einrichtung des MAIL Servers uccccesseeeseeenenenennneeennnnn 69 70 WinRoute Pro 4 1 GE Reference Guide Systemvoraussetzun gen Um WinRoute
45. Command Sie k nnen die Option im Register Allgemein des Dialogfeldes des Mail Servers aktivieren I have Internet domain me Local Domainlz SE Drauw com gamerouter corn Use semicolon to separate entries IT Use ETAN command gt ETRN ist ein vom SMTP Server verwendeter Befehl um eine Zeitverl ngerung herzustellen zu vereinbaren Nachdem der SMTP Server eine Verbindung hergestellt hat sollte dieser eine Anfrage f r SMTP Mail ausf hren Der ETRN Befehl wird berall dort verwendet wo ein SMTP Server nicht 24 Stunden online ist und die E Mail f r solche Server n einem Zwischenspeicher eines anderen SMTP Servers gespeichert werden muss 144 WinRoute Pro 4 1 GE Reference Guide Falls notwendig k nnen Sie einen ETRN Zeit berschreitungsintervall festlegen gehen S e n das Register Erweitert Hail Server Settings Ea General Aliases Remote POF3 Scheduling Anti Spam Advanced Server Port Numbers POPS port i 10 Use Defaults SMTP port 25 Advanced Options Mail Directory Je program Hles winroube yal Browse Internet hostname hamilton pacbell ned Limit the size of the SMTP messages to 256 kE ETAN command timeant li U cancel mn Zeituberschreitung des ETRN Commands Dieser Eintrag spezifiziert wie viele Male der SMTP Server von WinRoute eine Anfrage an SMTP Mail richten soll nachdem eine Verbindung erstellt wurde Install
46. Erstellen des Verbindungssymbols in der ini Datei des Client spezifiziert werden 210 WinRoute Pro 4 1 GE Reference Guide Internettelefonie BuddyPhone WinRoute ist der erste Software Router Firewall innerhalb der Branche der das Telefonieren uber das Internet auf ein fur die Geschaftswelt akzeptables Niveau anhebt BuddyPhone erm glicht es Ihnen einen Anruf ber das Internet von einem Netzwerk n das andere durchzuf hren Am besten w rd BuddyPhone von ICQ unterst tzt Registrieren S e sich f r diese Instant Messenger Software und S e k nnen ber die Aktivierung einer Schaltfl che mit Ihren Freunden telefonieren Alle Benutzer die in Ihrer Buddy Liste aktiviert sind erscheinen in Ihrem BuddyPhone Telefonbuch und die Ausf hrung eines Anrufes ist so einfach wie das Auswahlen eines solchen Benutzers in der Liste Wenn Sie BuddyPhone und ICQ zusammen verwenden sind keine Einstellungen erforderlich Die Verwendung von BuddyPhone ohne ICQ WinRoute kann Anrufe die aus dem Internet kommen basierend auf dem Port an den richtigen Empfanger 1m lokalen Netzwerk weiterleiten Um den lokalen Benutzern eigene Anschl sse zuzuordnen verwenden Sie die Ports 710 und h her Beispiel Innerhalb Ihres LAN verwenden drei Benutzer BuddyPhone Benutzername Benutzer IP interne IP Dem Benutzer Adresse zugeordneter Port Johann 192 168 1 2 710 Firewall Konfiguration 211 Guido 192 168 1 3 711 Robert 192 168 1 4 7
47. G 52 ER GE lab ParentProxyPass REG SZ DI a lab ParentProxyPart Sebo eerie GLEN Trace Es lab POPSDELE i Sy L I Module ab Pop3ServerPort Delete EG 34 NS D I Pop aP Postmaster SE 5652 My ComputberiHkKEY_LOZAL_MACHINESOFTWARE TinyScohmareiWinroutbe 192 166 2 10 EA WinRoute Beschreibung 59 MAIL Server In diesem Abschnitt Der MAIL Server von WinRoute oeseessesesseseneneerereren 52 Der MAIL Server von WinRoute WinRoute verf gt ber einen SMTP POP3 MAIL Server mit allen Funktionen Sie k nnen diesen auf gleiche Weise nutzen wie den MAIL Server Ihres Internet Diensteanbieters ISP Der MAIL Server von WinRoute erm glicht es Ihnen E Mails in das Internet sowie an lokale Benutzer innerhalb Ihres LAN zu versenden Es ist auch m glich E Mails zu erhalten und diese in den Mailboxen der Benutzer von WinRoute zu speichern WinRoute beinhaltet auch einen Terminplaner mit dem Sie Ihren E Mail Austausch zeitlich planen konnen Wenn Sie den MAIL Server nicht verwenden Es ist nicht notwendig den MAIL Server zu verwenden Sie k nnen weiterhin den MAIL Server Ihres Internet Diensteanbieters oder einen anderen MAIL Server einsetzen In diesem Falle fungiert WinRoute als Router Firewall der es Ihrer E Mail Client Software erm glicht mit dem E Mail Server Ihres ISP zu kommunizieren gt Hinweis Stellen Sie Ihre E Mail Client Software nicht so ein dass sie den Proxy verwendet Sie m ss
48. GE Reference Guide Dies wird durch die Architektur von WinRoute Pro m glich Da es auf IPSEC Niveau arbeitet findet die Adress Ubersetzung statt bevor die Pakete zum virtuellen Netzwerkadapter geroutet werden Daher haben die an den VPN Server gesendeten Pakete die tats chliche IP Ursprungsadresse Auf dem R ckweg durchlaufen die vom virtuellen Netzwerkadapter erhaltenen Pakete die Schicht der Adress bersetzung und werden an den richtigen Computer des lokalen Netzwerks geroutet Die Einschr nkungen dieses Setups liegen darin dass die VPN Anmeldung manuell am Router Computer vorgenommen werden muss und dass die VPN Verbindung gem der Einstellung am VPN Server beendet wird wenn sie eine gewisse Zeit inaktiv war Auch IPX Pakete werden nicht geroutet selbst wenn am VPN Computer ein IPX Protokoll aktiviert ist Daher wird ein IPX Tunneling nur am Router Computer m glich sein Insgesamt bietet dieses Setup einen kosteneffizienten und geeigneten Weg ein lokales Netzwerk das NAT verwendet mit einem entfernten Netzwerk zu verbinden das Novell Border Manager VPN benutzt Ausf hren eines PPTP Servers hinter NAT Um einen PPTP Server auf dem Netzwerk hinter WinRoute auszuf hren einschlie lich Computer auf denen WinRoute ausgef hrt wird m ssen S e die Anschlusszuordnung einrichten Wichtig Wenn der VPN Server sich auf der WinRoute Host Maschine befindet m ssen Sie die Ziel IP der ffentlichen Adresse zuordnen und
49. Kommunikation am Anschluss 80 zur IP Adresse 192 168 1 3 umgeleitet wird Die Konfiguration der Anschlusszuordnung Um die Anschlusszuordnung einzurichen 1 Gehen Sie in das Men Einstellungen gt Erweitert gt Portzuordnung 2 F gen Sie eine neue Anschlusszuordnung hinzu Port Mapping Ed Mapped Forts Edit Item x Listen Fort Settings oo g sUn era 27960 lt Un Protocol TEP M Listen IP lt Unspecitieds e Listen port G single port port range G Destination IP i 921681 4 Destination port 23 Allow access only from Cancel 20 WinRoute Pro 4 1 GE Reference Guide Protokoll Wahlen Sie das Protokoll aus das von Anwendung Dienst benutzt wird Einige Anwendungen Dienste verwenden das TCP und UDP Protokoll zusammen Beispielsweise WinRoute Aministrator Modul Listen IP Die IP Adresse an die die eingehenden Pakete gesendet werden Normalerweise ist dies die IP Adresse die mit Ihrer Internet Schnittstelle assoziiert ist Hinweis Es kann sein dass mehr als eine IP Adresse mit der Schnittstelle assoziiert ist Listen Port Die Nummer des Anschlusses an dem die Pakete eingehen Destination IP Die IP Adresse innerhalb Ihres lokalen Netzwerks die Ihren Server Dienst betreibt der eingehende Pakete Web Server FTP Server etc beantwortet Bestimmungsanschluss Der Anschluss an dem die Anwendung berwacht wird blicherweise die
50. Mail Servern abzuholen Auch der Mail Server von WinRoute verf gt ber eine solche Funktion d h er kann die E Mail automatisch bei jedem mit POP3 kompatiblen Mal Server abholen und diese weiter an die Postf cher lokaler Empf nger verteilen POP3 Protokoll ist ein TCP Protokoll das an Port 110 ausgef hrt wird Wenn Sie auf diesen Protokoll Mail Server zugreifen m chten der hinter oder auf dem WinRoute Computer ausgef hrt wird um Ihre E Mail AUS dem Internet abzuholen m ssen Sie die Anschlusszuordnung f r das TCP Protokoll durchf hren Port 110 gesendet an private IP Adresse des PCs der den Mail Server ausf hrt Installation und Konfiguration 143 gt Vergessen Sie nicht den Port 25 des TCP Protokolls der privaten IP Adresse Ihrer WinRoute box zuzuordnen Andernfalls wird es dem SMTP Protokoll nicht erm glicht durch die NAT von WinRoute zu laufen Ihrer Internetverbindung entsprechend ziehen Sie Folgendes in Betracht 1 Sie haben eine st ndige Verbindung Hier sind keine speziellen Einstellungen erforderlich Es werden lediglich die Domain s eingetragen 2 Sie haben eine DFU oder ISDN Verbindung ETRN Command Falls Sie keine st ndige Verbindung haben wird Ihre E Mail tempor r bei Ihrem ISP gespeichert Die E Mail wird bertragen wenn eine Verbindung besteht Einige ISPs verlangen dass ein ETRN Command verwendet wird um E Mail abzufragen Der Mail Server von WinRoute unterst tzt den ETRN
51. Organisation Beispielsweise k nnte einer Gruppe von Netzentwicklern der Zugang zu spezifischen externen Ressourcen gew hrt werden wie beispielsweise anonyme FTP Leitwerk Server oder eine spezifische Liste interner Adressen kann f r externe Partner Netzwerke zug nglich gemacht werden um elektronische Dateien abzulegen Die eingehende ausgehende Konfiguration erm glicht den Schutz vor sch dlichen inside out Angriffen wie beispielsweise Back Orifice BO oder der verteilten Denial of Service DDOS Servlets die versuchen tiber unzuverlassige Protokolle nach draussen mit externen Angreifern zu kommunizieren Regeln k nnen den betreffenden Verkehr entweder zulassen abgeben oder ablehnen Beim Abgeben werden die geringstm glichen Informationen ber die Firewall an den potenziellen Angreifer weitergegeben da bei dieser Aktion kein ICMP Admimistrative Prohibited Filter oder eine TCP Zur cksetzen Best tigen Anwort an ein TCP SYN Paket gesendet wird der erste Schritt n der Standard Dreiwege TCP Handschake Sequenz Regeln k nnen verschiedene Priorit ten einger umt werden so dass n einer bestimmten vom Benutzer definierten Reihenfolge mit eingehenden und ausgehenden Paketen verfahren wird Die popul rste dieser F higkeiten ist es sogenannte Bereinigungskriterien zu Filterlisten hinzuzuf gen die den gesamten Verkehr der von vorherigen Regeln die ber eine h here Priorit t in der Liste verf gten ni
52. P Any host all ports gt 192 168 1 5 port 110 w TCP Any host all ports gt Any host port 21 w TCP Any host all ports gt Any host port 20 A TCP Ary host all ports gt Any host all ports H Any interface 128 WinRoute Pro 4 1 GE Reference Guide Wie Benutzer dazu veranlasst werden den Proxy Server zu verwenden Unter Umst nden empfiehlt es sich den integrierten PROXY Server von WinRoute zu verwenden Dies ist hilfreich wenn Sie die Aktivit ten der Benutzer beim Zugriff auf Webseiten berwachen m chten f r den Client Zugriff auf bestimmte Websites Einschr nkungen anwenden m chten oder wenn Sie m chten dass diese das Cache verwenden gt Hinweis Sie k nnen Paketfilter verwenden um den Datenverkehr im Netz zu kontrollieren einfacher ist es jedoch den eingebauten Proxy URL Filter einzusetzen da dieser die Dom nennamen aufl st So m ssen Sie nur den URL statt der zugeordneten IP Adresse eingeben Einstellungen Sie m ssen zwei Sicherheitsregeln f r ausgehende Pakete erstellen 1 Ausgehende Pakete mit Ziel Port 80 und der Quell IP des WinRoute Host zulassen 2 Alle ausgehenden Pakete mit Ziel Port 80 ablehnen Die Regeln m ssen exakt in der oben erl uterten Reihenfolge angewandt werden WinRoute wendet sie von oben nach unten an Die Regeln auf der Basis wer zuerst kommt mahlt zuerst angewandt d h eingehende Pakete werden von oben nach unten mit den Regeln verglichen wobei die erste
53. P Ary host all ports gt Ary host all ports e e DC21x 40001 H Any interface 130 WinRoute Pro 4 1 GE Reference Guide gt Hinweis Wenn Sie zusatzliche Regeln konfigurieren denken Sie daran diese von OBEN nach UNTEN zu erstellen Installation und Konfiguration 131 Einrichtung des MAIL Servers In diesem Abschnitt WEA Us BD E use ae ee 109 E Mail Versand an andere Benutzer von WinRoute innerhalb Ihres Netzwerks EE 110 A e l E 110 E Mail Versand in das Internet cc occeens nennen 111 WEE EE 112 Zeitplan f r den E Mail Austausch 114 Empfang von E Mail ccceeseenennseneneeseessssssseees 115 Softwareeinstellungen f r den E Mail Client 120 132 WinRoute Pro 4 1 GE Reference Guide Mail Benutzer Es bestehen einige Regelungen bez glich der Benutzer der E Mail Adressen und der Mailboxes in WinRoute Ein Benutzer Eine Mailbox Jeder Benutzer kann eine Mailbox erstellen Die Mailbox enthalt den Namen des Benutzers F r den Fall dass Sie in WinRoute eine Internetdom ne registriert und eingetragen haben ist die E Mail Adresse automatisch Benutzer Domane com Ein Benutzer Mehrere Adressen Sie konnen Aliasnamen festlegen um verschiedene E Mail Adressen zu verwenden und allgemeine Postfacher wie Verkauf Support Info einzurichten Es gibt praktisch unendlich viele Kombinationsmoglichkeiten Um Benutzer hinzuzufugen 1 Gehen Si
54. PC outgoing INTERNET incoming LAN incoming Anwendung der Regeln Von OBEN nach UNTEN Die Regeln werden in einer Liste festgelegt und von oben nach unten angewandt Wenn ein Paket an der Schnittstelle ankommt wird es auf die in der Liste vorhandenen Regeln hin berpr ft Die Pr fung beginnt mit der ganz oben stehenden Regel und endet mit der Regel ganz unten Treffen die Regeln auf das Paket zu wird die Regel angewandt und die nachfolgenden werden ignoriert Regeln k nnen auf Folgendes angewandt werden einzelne Benutzer einen IP Adressbereich Installation und Konfiguration 121 eine benutzerdefinierte Gruppe von IP Adressen um eine Gruppe von Benutzern festzulegen sehen Sie 1m Referenzteil dieses Handbuches nach das gesamte Subnet oder Netzwerk 8 Internet NIC LinkSys un s TCP Ary host all ports gt Any host port 21 seen UDP Any host all ports gt Any host port 53 seen TCP Any host all ports gt Any host port KR TOP Any host all ports gt Any host all ports Regeln konnen in einer vordefinierten Zeitzone angewandt werden In einigen F llen kann es nutzlich sein spezielle Regeln w hrend der B rozeiten und andere Kriterien f r den Zugriff n der Zeit nach B roschluss anzuwenden S e k nnen auch bestimmten Benutzern den Zugang w hrend der Mittagspause gestatten und hn w hrend der Arbeitszeit auf bestimmte Internetressourcen beschr nken Beispiel V
55. Pro 4 1 GE Reference Guide NAT Router In diesem Abschnitt Einfuhrung 1 NAT esse 12 WIENAT E UE 13 WinRoute Architektur sssssssssssssssssnsnnnnnnnsnnnnnnnnnenn 14 NAT an beiden Schnittstellen einstellen 15 Anschlusszuordnung Paket Forwarding 17 Anschlusszuordnung f r Multi homed Systems mehrere IP Adressen 20 IO EE EE 21 V PIN OMe rs Ut ZG E 22 Schnittstellen Tabelle ccccsccoscosccescossccccossceceass 23 WinRoute Beschreibung 11 Einfuhrung in NAT NAT Network Address Translation Network Address Translation NAT gehort zu den leistungsstarksten Sicherheitsfunktionen von WinRoute NAT ist ein Internet Standardprotokoll mit dem sich private Netzwerkadressen hinter einer einzelnen Adresse oder mehreren Adressen verstecken lassen IP Masquerading eine Version von NAT wird bereits seit vielen Jahren von Linux Anwendern verwendet WinRoute ist eines der wenigen Produkte f r die Windows Plattform das NAT Funktionalitat auf Einstiegsebene bietet NAT kann auf verschiedene Arten implementiert werden Im Wesentlichen schafft es jedoch einen nahezu unbegrenzten privaten Adressbereich f r interne Netzwerke der von WinRoute bersetzt wird Auf diese Weise k nnen Daten zu und von ffentlichen Netzwerken bertragen werden ohne dass Informationen ber sensible interne Netzwerke preisgegeben werden Wenn der private Adressbereich a
56. Protokolle und Paketanalyse In diesem Abschnitt About logs and analysis 31 Debug Protokoll Fehlersuche 00000000 33 HTTP Proswv Protokoll 34 Ma Protokol WEE 35 Fehler Protokoll aan 35 31 32 WinRoute Pro 4 1 GE Reference Guide About logs and analysis Eine wichtige Funktion jedes Sicherheitsproduktes ist die Fahigkeit alle Vorkommnisse zu jedem Zeitpunkt in ausreichend detaillierter Form darzustellen WinRoute listet sechs verschiedene Protokolle auf einschlieBlich der Pakete die durch das Netz laufen der Benutzeraktivitaten Filteraktionen und so weiter Die einzelnen Protokolle werden in der folgenden Tabelle beschrieben HTTP Protokoll Mail Protokoll Sicherheits Protokoll Einwahl Protokoll Debug Protokoll Fehlersuche Fehler Protokoll Zeigt nur HTTP Daten an die durch den Proxy Server laufen dies schlie t IP Ursprungsadressen und Benutzernamen die Zeitangabe und HTTP Anfragen und Antworten ein Erfasst alle Aktivit ten des in WinRoute integrierten Mail Servers protokolliert SMTP Simple Mail Transfer Protocol und POP3 Sende und Empfangsaktivit ten Zeigt alle Aktivit ten an die als Protokollieren in Fenster Datei in den Paketfilterregeln definiert werden Eine detaillierte Beschreibung der aufgef hrten Produkte finden Sie weiter unten Protokolliert Nutzungsinformation fiir DFU Schnittstellen die von WinRoute uberwacht werden A la carte Ein
57. S Server weiterzuleiten um Dom nennamen aufzul sen Er ist in der Lage lokale DNS Anfragen aufzul sen wenn der Name des lokalen Computers verwendet wird DNS Anfragen wie www wasauchimmer com m ssen mit dem regul ren DNS Server aufgel st werden Der DNS Forwarder von WinROute leitet DNS Anfragen an den DNS Server weiter Ausfuhrend des DNS Servers hinter NAT WinRoute Um den DNS Server hinter NAT WinRoute auszuf hren m ssen Sie die Anschlusszuordnung wie unten beschrieben vornehmen Die DNS Server kommunizieren untereinander ber das UDP Protokoll an Port 53 Wenn Sie diese Einstellung nicht vornehmen wird Ihre DNS Server nicht funktionieren Diese Einstellung ist obligatorisch Wenn der DNS Server am selben Computer wie WinRoute ausgef hrt wird f hrt das Inspektionsmodul von WinRoute NAT durch BEVOR Pakete eine Anwendung erreichen einschlie lich des DNS Servers Protokoll UDP berwachungs IP nicht spezifiziert oder die ffentliche IP Adresse des DNS Servers den Sie betreiben m chten berwachungs Port 53 Ziel IP ffentliche oder private IP Adresse von DNS Einsatzbeispiele 171 Ziel Port 53 ip 192 168 1 1 mask 255 255 255 0 Ou Done Corer dns 4 8 0 0 5 ir nezooo Lean 1 V j 194 196 1335 ip 194 196 1 42 ip 192 168 1 2 4 mask 255 255 255 0 guy 192 168 1 1 dns 4 8 0 0 EH 255 255 255 0 mask 255 255 255 0 DNS gw 194 196 1335 5 KAT EWE gt Hinweis E
58. SP eingestellt Am WinRoute PC Geben Sie die Optionen bei der DHCP Konfiguration ein In den meisten F llen werden Sie WinRoutes DHCP Server zur automatisierten Konfiguration verwenden berpr fen Sie genau dass Sie den die G ltigkeitsbereich e der IP Adressen die Sie vom DHCP Server zusammen mit den Optionen zugewiesen haben m chten festgelegt haben In Optionen spezifizieren S e andere Daten die an Ihre Arbeitstationen gegeben werden wie DNS Server Stadard Gateway usw Am Client PC WinRoute s interne IP Adresse ist das Stadard Gateway Der WinRoute PC fungiert als STANDARD GATEWAY f r alle Computer im LAN Verwenden S e daher die IP Adresse der internen Netzwerkschnittstelle am WinRoute Host z B 192 168 1 1 als Gateway an jedem internen oder Client Computer Geben Sie diesen Wert an jedem Client Computer ein ODER geben Sie ihn einmal am DHCP Server von WinRoute ein Der Server weist den Wert automatisch Ihren Arbeitsstationen Zu Wenn Sie ein anderes Standard Gateway nutzen m ssen schauen Sie bei den Beispielen f r das erweiterte Inter Networking nach Am Client PC Aktivieren Sie DNS In den meisten F llen werden Sie die in WinRoute integrierte DNS Weiterleitung als DNS Server f r Ihre Computer am Netz verwenden Vergewissern Sie sich dass die in WinRoute integrierte DNS Weiterleitung IN BETRIEB und konfiguriert ist Sie k nnen die DNS Serveradresse Ihres ISP verwenden indem Sie diese direkt in die en
59. Server verwendet eine sehr sparsame Art Daten zu speichern Alle zwischengespeicherten Objekte werden in einer Datei von festgelegter Gr e gespeichert Im Gegensatz hierzu verfahren viele Proxy Server in der Regel so jedes Objekt n eine separate Date zu speichern Falls die HD gro e Zuordnungseinheiten wie FAT16 verwendet resultiert aus dieser Methode eine betr chtliche Verschwendung von HD Speicherplatz weil viele Komponenten von Webseiten sehr klein sind Normalerweise sind 50 der Objekte kleiner als 6 Kilobyte wohingegen die Gr e der Zuordnungseinheiten auf einer gro en HD 32 kB betr gt durch das Datei System der FAT File Allocat on Table Durch die Tatsache dass der WinRoute Cache Daten in einer einzelnen Datei speichert wird viel HD Speicherplatz gespart da sich alle zwischengespeicherten Objekte in einer Datei befinden Im Vergleich zu der blichen Vorgehensweise sind weniger als 10 des Speicherplatzes erforderlich Dies bedeutet dass Sie weniger HD Speicherplatz ben tigen oder den gleichen Speicherplatz viel effizienter nutzen k nnen Auf Grund der einzelnen Datei mit festgelegter Gr e kann WinRoute sehr effiziente Index Techniken verwenden die die Geschwindigkeit des Cache von WinRoute erh hen WinRoute Beschreibung 51 Cache Einstellungen en Chwmtoutekcache Heep Abate les a i Cache Aktiviert Schaltet den Cache an und aus Falls n
60. T ausf hren Richten Sie Ihren WinRoute Computer und die Client Computer gem der Checkliste ein siehe Kapitel zur Checkliste gt Hinweis Dial On Demand funktioniert in diesem Fall nicht Sie m ssen die Verbindung zu AOL manuell herstellen T1 oder LAN Verbindung F r T1 oder LAN Verbindungen m ssen zwei Netzwerkkarten auf dem WinRoute Computer installiert sein Eine Netzwerkkarte f hrt zum Internet z B Router die andere zum internen Netzwerk ip 192 168 1 1 mask 255 255 255 0 dns 4 6 0 0 esch eech RAS lined _ Lean DE IS NAT F hren Sie folgende Schritte aus um die Verbindung zum Internet herzustellen 1 Gehen Sie in das Men Einstellungen gt Schnittstellentabelle 2 W hlen Sie die Netzwerkkarte die zum Internet f hrt klicken Sie auf Eigenschaften und aktivieren Sie NAT mit der IP Adresse dieser Schnittstelle f r den gesamten passierenden Datenverkehr ausf hren Wenn Sie auf die Schaltfl che Schnittstellentabelle klicken wird neben der externen Verbindung NAT EIN angezeigt 3 berpr fen Sie dass NAT f r die Schnittstelle zum internen Netzwerk NICHT EIN ist rufen Sie die Eigenschaften dieser Schnittstelle in der Schnittstellentabelle auf 106 WinRoute Pro 4 1 GE Reference Guide 4 Stellen Sie sicher dass in den TCP IP Eigenschaften der internen Netwerkkarte KEIN Gateway eingerichtet ist gehen Sie zu den Netzwerkeinstellungen und dass der Netzwerkkarte eine
61. arauf eingerichtet ist DNS Anfragen zu erhalten Alle DNS Anfragen die aus dem Internet kommen werden auf der Basis der Anschlusszuordnungseinstellungen direkt an den DNS Server weitergeleitet und den Datens tzen entsprechend aufgel st gt Hinweis In einem solchen Szenarium k nnen Sie den DNS Server nicht auf demselben Computer wie WinRoute ausf hren Dies ist der Fall weil beide Dienste DNS Forwarder von WinRoute und Ihr DNS Server am selben Port UDP 53 ausgef hrt werden w rden Dies w rde zu schwerwiegenden Problemen f hren Thema DNS Ausf hren eines Web Servers oder FTP usw und DNS Servers im selben privaten Netzwerk hinter WinRoute NAT M glicherweise m chten Sie den Webserver mit der Dom ne www meinedom ne com hinter NAT ausf hren und Ihren DNS Server m selben Netzwerk f r die Namensaufl sung verwenden Ausf hren eines Webservers oder FTP usw auf dem WinRoute PC Einsatzbeispiele 167 Wenn Sie einen Webserver am WinRoute PC ausf hren werden Sie mit lokalen Anfragen keine Probleme haben Alle DNS Anfragen f r www wasauchimmer com die an Ihrem DNS Server ankommen werden von der regul ren Internet IP Adresse die mit dieser Dom ne assoziiert ist verkn pft Eine solche IP Adresse muss der Schnittstelle des Netzwerks die vom WinRoute PC zum Internet und den WWW Servern f hrt zugeordnet werden und die WWW Server berwachen sowohl die ffentliche als auch die private Schnittstell
62. ass der Benutzer den Namen und das Kennwort nicht noch einmal eingeben muss Auf der anderen Seite sollte der Benutzer sich deser Funktion bewusst sein Wenn S e Ihren Benutzernamen und das Kennwort zu irgendeinem Zeitpunkt der Browser Sitzung eingegeben haben sollten Sie den Browser ausschalten wenn Sie nicht mehr mit dem Computer arbeiten um die von Ihnen zur Echtheitsbest tigung eingegebenen Daten aus dem Speicher zu l schen Erweiterte Eigenschaften Auf der Registerkarte Erweitert der Proxy Server Einstellungen k nnen Sie WinRoute so einrichten dass ein Parent ROXY Server verwendet wird Proxy Server Settings KEN General Cache Time to Live Access Advanced Proxy Settings Parent pro Port 31 SS 50 WinRoute Pro 4 1 GE Reference Guide Mitunter werden Sie Zugang zu einem PROXY Server haben der uber einen sehr gro en Cache oder eine schnelle Internet Verbindung verf gt Ihre Verbindung zu diesem Server wird dann auch recht schnell sein zumal vielleicht neben dem von Ihnen f r Ihre eigene Internet Verbindung verwendeten Link ein zus tzlicher Link genutzt wird Um Ihren Datendurchsatz zu verbessern k nnen Sie festlegen dass der WinRoute Proxy alle Anfragen an den Parent PROXY Server weiterleitet Um dies zu tun geben Sie einfach den Namen dieses Parent Proxys sowie die Anschlussnummer in das entsprechende Feld in der Registerkarte Erweitert ein Der Cache Der WinRoute Proxy
63. atei eine Aufzeichnung hinzu die besagt dass www meinedom ne com eine spezielle private IP Adresse ist auf der Ihr Web Server ausgef hrt wird z B 10 10 10 8 Die HOSTS Datei finden Sie im Hauptverzeichnis Ihres Windows Verzeichnisses in dem Windows installiert ist c Windows oder c w n98 usw Sie k nnen auf die HOSTS Datei auch vom Dialogfeld des DNS Forwarder von WinRoute zugreifen indem Sie auf die Schaltfl che zum Editieren der HOSTS Datei klicken Einsatzbeispiele 165 Wie funktioniert das Alle DNS Anfragen die von den Client Computern Ihres LAN gesendet werden werden zuerst vom DNS Forwarder von WinRoute aufgel st Zun chst werden alle Anfragen mit den Datens tzen in der HOSTS Datei verglichen Wenn der entsprechende Datensatz die Anfrage zutrifft wird diese mit den Details des Satzes in unserem Szenarium die private IP Adresse beantwortet a Resolved DNS query Internet DNS Server 2 3 forwarded a Ze 1 DNS query WinRoute DNS Fwd nn hasts file 2 b DNS Resolved N from HOSTS file Client PC 166 WinRoute Pro 4 1 GE Reference Guide Falls keine Datensatze vorhanden sind die der Anfrage in der HOSTS Datei entspricht wird diese noch mit den Datensatzen im Cache von WinRoute der im DNS Forwarder enthalten ist verglichen Wenn der DNS Cache keinen ubereinstimmenden Datensatz enthalt wird die Anfrage an den DNS Server weitergesendet der im DNS Forwarder von WinRoute d
64. ation und Konfiguration 145 Mehrere Domains Mehrere Domains Ihrer Internetverbindung k nnen mehrere Domains zugewiesen sein Falls Sie mehrere Domains haben geben S e alle m Men Einstellungen gt Mail Server gt Register Allgemein ein und trennen Sie diese durch einen Strichpunkt Y have Internet domain me Local Dornain s SES Drauw com gamerouter com Use semicolon to separate entries IT Use ETAN command Relevante Themen im Bezug auf mehrere Domains Sie konnen Ihrem Netzwerk mehrere Domains auf zwei Arten zuweisen 1 Jede Domain wird mit der eigenen IP Adresse assoziiert In diesem Szenarium m ssen Sie mehrere ffentliche IP Adressen der Schnittstelle zuordnen die von WinRoute f r die Internetverbindung verwendet wird Dann verwenden Sie zahlreiche Einstellungen f r die Anschlusszuordnung eine f r jede IP Adresse mit derselben Destination IP Adresse des WR Computers 2 Alle Domains sind mit einer IP Adresse assoziiert Hier sind keine anderen Einstellungen erforderlich als dass f r das TCP Protokoll an Port 25 zur IP Adresse Ihres WinRoute Computers eine Anschlusszuordnung eingerichtet wird 146 WinRoute Pro 4 1 GE Reference Guide Sie haben eine dem POP3 Konto zugewiesene Domain Sie k nnen mit Ihrem ISP vereinbaren dass die gesamte E Mail f r Ihre Domain in ein einziges Konto eingeht WinRoute kann ein solches Konto berpr fen die Nachrichten abholen und die
65. atstelle kommunizieren wenn Protokolle verwendet werden die nicht in NAT eingreifen Das Protokoll 50 wird automatisch in WinRoute integriert so dass keine Anschlusszuordnung notwendig ist Die einzige Voraussetzung um eine Verbindung automatisch herzustellen w re dann die Initialisierung der Verbindung VOM lokalen Neztwerk aus Einsatzbeispiele 157 Die meisten Anbieter von IPSec verwenden den Algorithmus MD5 und SHAI f r die Echtheitsbestatigung und DES 3DES und Blowfish fir die Verschlusselung IPSec ist nicht eng mit einem speziellen Algorithmus verbunden so dass die L sungen verschiedener Anbieter inkompatibel sein k nnten 158 WinRoute Pro 4 1 GE Reference Guide Novell Border Manager VPN Verwenden von WinRoute Pro in Verbindung mit Novell BorderManager VPN IPSEC Dieses Dokument beschreibt das Setup mit dem ein lokales Netzwerk das NAT anwendet so verbunden werden kann dass eine IP Adresse die vom ISP an ein entferntes Netzwerk geliefert wird welches Novell BorderManager Enterprise Server f r die VPN Konnektivit t verwendet gemeinsam genutzt wird Gem der README TXT Datei die auf der Installationsdiskette des Novell BorderManager VPN Client mitgeliefert wird K nnen Sie NAT auf dem Pfad zwischen einem VPN Client und einem VPN Server nicht anwenden Dies ist der Fall da wenn die IP und IPX Pakete am VPN Client gekapselt und verschl sselt sind die IP Ursprungsadresse die f r die Kapselu
66. atzbeispiele Kapitel 3 IPSEC NOVELL und PPTP VPN L sungen ccc cccccceeceeeeeeeeeeeeeeeees 124 IPSEC VEN seele Beer 124 Novell Border Manager VPN c sssssssssssssessesssesssssssssssesseesssssseaeas 128 Ausf hren eines PPTP Servers bnterNAT 130 Beispiele fur PP LPs Osunee Neie ona 131 PPTP Clients hinter NAT ausf hren ussseeeeeeeeeeeeeeeeeeeeeeeenenenennnnn 132 TINS EE EE 133 DNS Server am WinRoute PC rirse a 134 DNS Server hinter dem WunbRoute PC 134 DNS Server und WWW hinter NAT ou cc ccccccccccceeececeeeeeeeeeeeeeeeeeeeeeeas 135 WAIN Tid ay DIN yest tether whale A EE AE De ee 136 Contents Ausf hren von WWW FTP DNS und Telnet Servern hinter WinRoute 139 Ausf hren eines WWW Servers hinter NAT 139 Ausf hren eines DNS Servers bmterNAT 140 Ausf hren eines FTP Servers hinter NAT 141 Ausf hren des MAIL Servers hinter NAT cccccccccccceceeeeeeeeeeeeeeeees 142 Ausf hren des Telnet Servers hinter NAT uo cccccccsscceeeeceeeeeeeeeeeees 143 FTP Aspekte unter Verwendung Nicht Standart Portz 144 Auf FTP Server mit Nicht Standart Ports zugreifen c 144 FTP Server hinter WinRoute mit einem nicht Standard Port 145 Spezie EE eebe eelere 147 Token Ring Netzwerke eier ee seen atone econo 147 Mehrere Betriebssysteme in einer Netzwerkumgebung Linux AS400 eegen 148 Verbinden mehrerer Netzwerke 149 Verbinden ffentlicher und privater Segmente DMZ
67. cht ausdr cklich genehmigt war blockiert Ein Beispiel f r eine Bereinigungsregel finden Sie bei den Filterbasisregeln sp ter in diesem Handbuch 30 WinRoute Pro 4 1 GE Reference Guide Protokolle Von WinRoute untersttitzte Protokolle sind Ursprungs IP sieben ICMP Typen oder alle TCP UDP E PPLE Die F higkeit ICMP Ursprungstypen oder IP Ursprungsprotokolle zuzulassen oder zu blockieren ist fur Netzwerkadministratoren die mit einer immer l nger werdenden Liste von zu unterst tzenden Anwendungsanforderungen konfrontiert sind von unsch tzbarem Wert Besonders relativ neue VPN Protokolle wie IPSec werden ber IP Protokolle 51 und 52 geleitet Diese sind mit einem der eingeschr nkteren Firewall Produkte die sich heute auf dem Markt befinden nicht zu filtern da sie nur auf TCP und UDP basierende Protokolle kontrollieren k nnen Anti Spoofing Zus tzlich bietet WinRoute Anti Spoofing Funktionen Funktionen zum Schutz vor elektronischer T uschung was verhindert dass Pakete mit ung ltiger Quelladresse innerhalb eines Netzwerks auftreten Anti Spoofing h tte die ICMP Schlumpf Angriffe mit den verteilten Denial of Service Angriffen auf so gro e Websites wie Yahoo und Buy com von denen im Februar 2000 berichtet wurde verhindern k nnen WinRoute Benutzer k nnen durch diese Funktion beruhigt sein da sie wissen dass ihre Netzwerke nicht Opfer solcher Angriffe werden WinRoute Beschreibung
68. cht die bestm gliche L sung f r die Verbindung Ihres Netzwerks zum Internet Der Kunde sollte wenn m glich die Standard DSL L sung verwenden Im Hinblick auf die TCP IP Einstellungen ist der Einsatz von PPPoE mit WinRoute mit der Standard DSL vergleichbar WinRoute Pro sollte auf dem gleichen Computer installiert werden wie der PPPoE Adapter Das Programm erkennt den PPPoE Adapter als Netzwerkschnittstelle An dieser Schnittstelle sollten Sie NAT aktivieren Der Ethernet Adapter an das Kabelmodem angeschlossen erscheint in der Schnittstellentabelle von WinRoute Pro als Schnittstelle An dieser Schnittstelle sollten Sie NAT nicht aktivieren WinRoute Pro arbeitet mit allen auf dem Markt erhaltlichen PPPoE Adaptern zusammen Manchmal k nnen Kunden jedoch bei bestimmten PPPoE Adaptern verschiedene Leistungscharakteristika feststellen Enternet 100 300 500 PPPoE Client WinRoute Pro 4 1 funktioniert mit dem Enternet PPPoE Client von NTS gut wenn Sie statt des Standard Filter Treibers den Protokoll Treiber einschalten F hren Sie dazu den Ethernet PPPoE Client aus gehen Sie in das Men Einstellungen gt Erweitert und ndern Sie die gew nschten Werte Wenn S e Schwierigkeiten mit der Leistungsf higkeit feststellen m ssen S e den Wert f r MTU auf den Client Rechnern auf 800 herabsetzen WinPoet von Ivasion WinRoute Pro 4 1 arbeitet mit WinPoet unter folgenden Bedingungen zusammen IP Header Kompression RAS E
69. ckliste und Netzwerkeinrichtung in dieser Hilfe Administration vom Internet aus Sie k nnen die WinRoute Pro Engine von jedem Computer der Welt aus verwalten solange S e vor Ort ber eine TCP IP Verbindung verf gen Die Administration ist sicher verschl sselt und wird mit dem Benutzernamen und dem Kennwort kontrolliert WR Admin Fe Ga 80 WinRoute Pro 4 1 GE Reference Guide Um WinRoute von ausserhalb des lokalen Netzwerks aus zu administrieren muss die Anschlusszuordnung am Computer installiert sein Sie m ssen ber cksichtigen dass wenn NAT an der Schnittstelle zum Internet auf EIN gestellt ist dies ist notwendig f r das Internetsharing Ihr gesamtes Netzwerk einschlie lich des WinRoute Computers vollst ndig gesch tzt st und daher n emand Zugriff auf dieses hat Um die Anschlusszuordnung f r die Fernadministration einzurichten gehen Sie zum Men Einstellungen gt Erweitert gt Anschlusszuordnungen klicken Sie auf Hinzuf gen und stellen Sie Folgendes ein Protokoll TCP UDP Uberwachungs IP lt nicht spezifiziert gt empfohlen oder die IP Adresse der Schnittstelle Uberwachungs Port 44333 Ziel IP Die IP Adresse der Schnittstelle die den WinRoute Computer mit dem lokalen Netzwerk verbindet private IP Adresse Ziel Port 44333 Zugriff nur genehmigen von Falls aktiviert k nnen Sie den Zugang zur WinRoute Engine weiter einschr nken Sie m ssen IP Adressen denen der Zugang
70. d Adaptec 2 port Duralan ANA 62022 getestet Eine andere Karte wurde nicht getestet Es muss darauf hingewiesen werden dass diese Art des Netzwerkdesigns unterschiedliche Teilnetze f r jedes Netzwerksegment das an den WinRoute Computer angeschlossen ist erfordert Einsatzbeispiele 197 VMWare VMWare ist eine Anwendung die den PC auf dem sie installiert ist bis auf Hardwareebene emulieren kann Fur das Netzwerk erscheint dieser virtuelle Computer als komplett separate Einheit Da der virtuelle Computer eigene Netzwerkeigenschaften aufweist betrachtet WinRoute den virtuellen Computer als zusatzlichen Computer 198 WinRoute Pro 4 1 GE Reference Guide Vum 2000 Yvorkstation running hey vare VMWare Virtual Machine 192 168 0 4 keal IF Address 192 168 0 3 Gel Ethernet Switch 192 168 0 2 Ethernet 2 192 168 0 1 Winkoute Server Ethernet 1 D Address js DHCP Assigned Cable Modem Ott to Internet Firewall Konfiguration 199 KAPITEL 4 FIREWALL KONFIGURATION In diesem Kapitel Korrekte Anschlusszuordnung een 163 Messaging und Telefonie E 164 F323 ere 165 IRC Internet Relay Chat sanken 167 CTR EXC La tt ame seien 168 erter 169 Internettelefonie Buddy bDhone 170 EU Y 00S5ee Men een 172 Remote Zugriff PC Anywhere 0000000000000n0s000000e0s00eeee 173 Spieler eee ey er nee eer eee ee ee 176 Zusatzliche Anschlusszuordnungen fur gangige Spiele und Anwendungen 182 Korrek
71. das LAN gelangen ohne von diesem angefordert worden zu sein zu erfassen Dies betrifft in der Regel Netzwerke die Web FTP DNS oder eine andere Art von Server hinter WinRoute ausf hren Diese F higkeit ist hilfreich um die Ursache des Problems zu bestimmen Protokollierung eingehender Pakete ohne Eintrag in die NAT Tabelle WinRoute bietet zwei M glichkeiten TCP Pakete zu protokollieren die nicht in der NAT Tabelle enthalten sind Wenn Sie nur Pakete mit SYN Flag synchronisieren protokollieren mochten wird das TCP Paket nur protokolliert wenn eine Verbindung zwischen dem Absender und dem Empfanger hergestellt wurde Mit der Option alle TCP Pakete werden alle eingehenden TCP Pakete protokolliert und zwar unabhangig davon ob eine Verbindung erstellt wurde Da die UDP Pakete keine Flags verwenden werden alle nicht initiierten UDP Pakete protokolliert sofern Sie UDP Pakete protokollieren mochten Protokollieren in eine Datei oder ein Fenster Wenn Sie In Sicherheitsfenster protokollieren ausw hlen k nnen Protokollinformationen n der WinRoute Anwendung Administration anzeigen indem Sie Protokolle anzeigen und Sicherheitsprotokoll w hlen Wenn Sie Protokollieren in eine Datei ausw hlen speichert WinRoute die Protokollinformationen in das Sicherheitsprotokoll m Protokollordner von WinRoute Pro in der Regel c Program Files WinRoute Pro Logs 118 WinRoute Pro 4 1 GE Reference Guide
72. den Stellen Sie absolut sicher dass Ihr DHCP Server die richtigen Daten an Ihre Client Arbeitsstationen weitergibt Der DHCP Server muss so eingestellt sein dass er anderen Computern die IP Adresse der LAN Karte des WinRoute Computers als Standard Gateway und optional als DNS Server zuweist Auch die IP Adresse die an die Client Workstation ausgegeben wird muss aus dem gleichen Subnet stammen wie der WinRoute Computer STELLEN SIE ABSOLUT SICHER dass der internen Netzwerkkarte des WinRoute Computers eine feste IP Adresse z B 192 168 1 1 zugewiesen wurde und dass diese Adresse vom DHCP als Standard Gateway an den Rest des Netzwerks weitergegeben wird Der DHCP Server darf dem WinRoute Host keine IP Adresse zuweisen Beispiel Der NT Server mit DHCP wird an 192 168 1 1 ausgef hrt wohingegen WinRoute an 192 168 1 5 ausgef hrt wird Die Daten des Standard Gateway und DNS bei Verwendung von WinRoute DNS die an die Arbeitsstationen ausgegeben werden lauten 192 168 1 5 90 WinRoute Pro 4 1 GE Reference Guide IP Konfiguration manuelle Zuweisung In einigen F llen muss man den Arbeitsstationen IP Adressen manuell zuweisen Hierbei sollten Sie folgende Regeln beachten IP Adresse zuweisen Weisen S e jedem Computer eine interne IP Adresse zu Normalerweise 192 168 x x oder 10 x x x Weisen S e jedem System IP Adressen des gleichen Subnet zu Wenn Sie die IP Adresse f r den WinRoute Host auf 192 168 1 1
73. der den gesamten eingehenden und ausgehenden Datenverkehr kontrolliert um festzustellen ob dieser an seinen Bestimmungsort geroutet werden darf WinRoute bietet eine erweiterte Firewall durch NAT Funktionalitat Zuweisung von Regeln f r festgelegte IP Adressen und die F higkeit bestimmte Daten die eine Strecke zur cklegen aufzuzeichnen so dass sie auf dem R ckweg autorisiert werden k nnen Flags Flags sind der Teil des Paketes der zusatzliche Daten enthalt Diese Daten werden von Routern verwendet Nachstehend die von WinRoute angezeigte Liste der Flags SYNC Synchronize Synchronisieren das eine TCP Verbindung herstellende Paket ACK Acknowledge Bestatigen Bestatigung des Datenaustauschs RST Reset Zur cksetzen Anfrage um die Verbindung wiederherzustellen URG Urgent Dringend dringendes Paket PSH Push Anfrage um das Paket sofort in h here Schichten zu senden FIN Finalize AbschlieBen Verbindung abschlie en FTP File Transfer Protocol ist em Anwendungsprotokoll m t dem Daten ber das Internet bertragen aktualisiert gel scht verschoben umbenannt oder kopiert werden Glossar der Terminologie 231 G Gateway Eingangsstelle von einem Netzwerk in ein anderes Ein Gateway ist verantwortlich fur die richtige Verteilung der Daten die in ein lokales Neztwerk eingehen oder aus diesem herausgehen Auf dem Gateway Computer der auch als Hos
74. det um die Pakete zu routen Zum Anzeigen der Routing Tabelle geben Sie an der MS DOS Eingabeaufforderung den Befehl route print ein S SMTP SMTP Simple Mail Transfer Protocol wird f r die direkte Kommunikation zwischen den Mail Servern wie dem Mail Server in WinRoute und den Mail Server Ihres ISP verwendet und dazu E Mail ber Ihre E Mail Client Software zu verschicken SMTP ist ein Einbahn Protokoll d h E Mail kann vom Mail Server gesendet oder empfangen werden es ist aber nicht m glich E Mail bei einem anderen Mal Server abholen der dieses Protokoll verwendet SMTP Protokoll ist ein TCP Protokoll das an Port 25 ausgef hrt wird Wenn Sie auf dieses Protokoll mit dem Mail Server der hinter oder am WinRoute Computer ausgef hrt wird zugreifen m chten um anderen Mail Servern zu erlauben Ihnen E Mail zu senden oder um diesen Mail Server f r Ihre ausgehende E Mail zu verwenden wenn Sie sich in Ihrem LAN befinden m ssen Sie die Anschlusszuordnung f r das TCP Protokoll durchf hren Port 25 gesendet an private IP Adresse des PCs an dem der Mail Server ausgef hrt wird T TCP IP TCP IP ist eine Summe von Netzwerkprotokollen die f r die Kommunikation zwischen Computern verwendet wird Alle Protokolle basieren auf Paketen d h die gesamten Daten die gesendet werden werden in kleine Teile dividiert und ber das Netzwerk versendet Die TCP IP Protokolle sind IP TCP UDP
75. dieser Option schalten Sie den Proxy Server ein und aus Anschluss Nummer Die Anschlussnummer die der Proxy Server auf Anfrage uberwacht Normalerweise ist es nicht notwendig die Anschlussnummer 3128 zu andern Protokollzugang zum Proxy Server Wenn diese Option aktiviert ist werden alle URLs die vom Proxy ber die Browser angefragt werden in ein Protokoll aufgenommen WinRoute Beschreibung 47 Benutzer Zugangskontrolle Der Proxy Server von WinRoute ermoglicht es dem Administrator den Zugang zu Webseiten zu kontrollieren Der Administrator kann festlegen den Zugang zu bestimmten Webseiten oder Dom nen nur fur spezielle Benutzer und oder Benutzergruppen freizugeben Die Benutzer dazu anhalten den Proxy Server zu verwenden Wenn Sie sich die Zugangskontrolle des Proxys verwenden m chten m ssen Sie auch den direkten Zugang zu Webseiten blockieren so dass der Zugang uber den Proxy die einzige verbleibende Alternative zum Internet Browsing darstellt Um den direkten Zugang zu blockieren legen Sie ein Paketfilterkriterium fest Um Informationen ber die Paketfilterung zu erhalten sehen Sie im Abschnitt ber Paketfilter see Wie Benutzer dazu veranlasst werden den Proxy Server zu verwenden on page 106 in diesem WinRoute Benutzerhandbuch nach Konfiguration der Proxy Zugangskontrolle Um die Proxy Zugangskontrolle von WinRoute zu konfigurieren wechseln Sie in den Proxy Server Einstellungen auf die Registerkart
76. e Wenn der lokale PC eine DNS Anfrage zum Aufl sen von www wasauchimmer com sendet erh lt dieser eine IP Adresse die mit dieser Dom ne assoziiert ist Dies f hrt dazu dass der Webserver mit der IP Adresse verbunden wird die wie oben beschrieben der Schnittstelle zum Internet zugewiesen wurde Ausf hren eines Webservers oder FTP usw auf einem PC hinter WinRoute M glicherweise m chten Sie Ihren Webserver auf einem PC hinter WinRoute ausf hren mit einer privaten IP Adresse z B 10 10 10 8 Der Webserver mit www meinedom ne com befindet sich physikalisch an der privaten IP Adresse 10 10 10 8 Ihre DNS Anfrage wird jedoch mit einer regul ren IP Adresse aufgel st wie 206 86 181 25 die mit dieser Dom ne assoziiert wird Dann wendet sich Ihr Browser oder FTP Client an die ffentliche Adresse wo kein Server ausgefuhrt wird da der Webserver sich innerhalb des Netzwerks befindet Losung Um dieses Problem zu l sen m ssen Sie den in WinRoute eingebauten DNS Forwarder als DNS Server f r Ihren Computer verwenden In der HOSTS Datei geben Sie einen neuen Eintrag ein der besagt dass www meinedom ne com an der entsprechenden internen privaten IP Adresse ausgef hrt wird Stellen Sie den DNS Forwarder so ein dass er die HOSTS Date pr ft bevor er eine DNS Anfrage an den regul ren Server sendet 168 WinRoute Pro 4 1 GE Reference Guide So werden immer dann wenn Benutzer eine Anfrage an www meined
77. e Zugriff Zugangsliste Die Liste der URLs die eingeschrankt sind Sie konnen Sternchen als Platzhalter im URL verwenden Um alle Computer in irgendwo com zu erfassen k nnen Sie beispielsweise die Zeichenfolge irgendwo com verwenden WinRoute 4 0 setzt einen Test f r Teil Zeichenfolgen ein um die URLs zur bereinstimmung zu bringen So erh lt man beispielsweise eine bereinstimmung f r die Zeichenfolge sex die der gleichen Reihe von URLs entspricht wie die Zeichenfolge sex nur die letztgenannte Variante wurde in der vorherigen Version von WinRoute unterst tzt Zugang genehmigt Die Liste von Benutzern und oder Benutzergruppen d e Zugang zu dem entsprechenden URL haben 48 WinRoute Pro 4 1 GE Reference Guide Verfugare Benutzer Gruppen Die Liste von Benutzern und Gruppen die in WinRoute festgelegt sind Proxy Server Settings x j http ana justice cz amp Admin WinRoute Beschreibung 49 Wenn ein Benutzer versucht auf eine Webseite zuzugreifen deren Zugriff beschrankt ist wird der Benutzer von seinem Browser dazu aufgefordert eine Echtheitsbest tigung zu liefern WinRoute wird berpr fen ob der Benutzername und das Kennwort korrekt sind und ob dem Benutzer der Zugriff auf die bestimmte Webseite erlaubt wurde Der Browser speichert den Benutzernamen und das Kennwort im Speicher Alle nachfolgenden Anfragen bez glich der Echtheitsbestatigung werden automatisch beantwortet so d
78. e 5 Anschlusszuordnungen 1m Dialog Anschlusszuordnung fest F r jeden Web Server definieren S e Folgendes berwachungs IP Adresse die ffentliche IP Adresse die mit der Dom ne assoziiert ist berwachungs Port in unserem Szenarium 80 Z7 el IP Adresse die IP Adresse auf der der Web Server arbeitet Ziel Port 80 f r www Weitere Beispiele zur erweiterten Anschlusszuordnung finden Sie im Kapitel ber das erweiterte Inter Networking 22 WinRoute Pro 4 1 GE Reference Guide Multi NAT WinRoute erm glicht eine einfache NAT Network Address Translation und auch kompliziertere Einstellungen Sie k nnen basierend auf der IP Ursprungsadresse Source IP Address oder der IP Zieladresse Destination IP Address des Paketes spezifizieren dass NAT mit einer anderen IP Adresse ausgef hrt wird d h dass Pakete so aussehen w rden als ob sie auf eine andere IP Adresse zur ckzuf hren s nd oder dass NAT berhaupt nicht ausgef hrt wird Solche Einstellungen sind in aufwendigeren Netzwerken sehr wichtig bei denen bestimmte Computer eine andere IP Adresse aufweisen sollen als die Haupt Adresse die vom Rest des Netzwerks genutzt wird Sie Zweigniederlassungen mit dem WAN Wide Area Network mit privatem Adressplatz verbunden haben und sich alle einen Internetzugang teilen sollen sich Mehrfachsegmente im Hintergrund von WinRoute befinden von denen ein oder mehrere Segmente DMZ s mit ffentliche
79. e Guide VPN Unterst tzung Wie bereits erw hnt ist WinRoute dem Datenstrom der beiden heute g ngigsten VPN Protokolle durchaus gewachsen Dem IP Security protocol IPSec das von der IETF Internet Engineering Task Force vorgeschlagen wurde sowie dem Point to Point Tunneling Protokoll das n den letzten Jahren aufgrund der Integration in die Software des Client Betriebssystems von Microsoft Windows bekannt wurde Schnittstellen Tabelle Die Schnittstellentabelle ist ein Dialog in dem WinRoute alle im Computer verf gbaren Schnittstellen die es erkennen konnte anzeigt Wenn Sie mehr Schnittstellen haben sollten als WinRoute darstellt ist es wahrscheinlich dass Treiber f r solche Schnittstellen vom Betriebssystem nicht richtig geladen wurden und WinRoute diese nicht erkennen konnte Es wird Folgendes angezeigt Name der Schnittstelle S e k nnen den Namen ndern indem S e Eigenschaften ausw hlen und den Namen ndern IP Adresse Der Wert der in den TCP IP Eigenschaften der Schnittstelle eingegeben ist Falls die Schnittstelle so eingestellt ist dass die IP Adresse vom DHCP Server abgerufen wird sehen Sie die tatsachliche IP Adresse die der Schnittstelle zugewiesen wurde NAT On An oder Off Aus Falls NAT so eingestellt ist dass es an der Schnittstelle durchgef hrt wird wird in dieser Spalte On An angezeigt WinRoute Beschreibung 25 Paket Filterung Firewall
80. e in das Men Einstellungen gt Konten 2 F gen Sie Benutzer hinzu 3 Gruppieren Sie falls n tig Benutzer in Gruppen Beispiel Das Unternehmen hat die Dom ne brutus com Der Benutzer Thomas hat die E Mail Adresse Thomas brutus com Bez glich anderer Adressoptionen s ehe Al asnamen gt Hinweis Die Mailboxen werden in einem separaten Verzeichnis abgelegt und zwar in der Regel in c Programmordner WinRoute Mail Sie werden physisch erstellt NACHDEM die erste E Mail eingegangen ist Installation und Konfiguration 133 E Mail Versand an andere Benutzer von WinRoute innerhalb Ihres Netzwerks Um E Mails an andere Benutzer innerhalb Ihres LAN zu senden verwenden Sie den WinRoute Benutzernamen des Empf ngers und nicht seine vollst ndige Internet E Mail Adresse Beispiel Der Name des Empf ngers st Thomas und seine vollst ndige E Mail Adresse lautet thomas Unternehmen com Es reicht wenn Sie nur Thomas in das Feld An der E Mail Nachricht eingeben Thema Aliasnamen Wenn Sie die vollst ndige E Mail Adresse eines lokalen Benutzers eingeben wird die Nachricht durch das Internet transportiert d h zum Relay SMTP Server von WinRoute und dann zur ck zu WinRoute Um dies zu verhindern m ssen Sie Aliasnamen spezifizieren gt Denken Sie daran Sie m ssen den WinRoute PC als ausgehenden Mail Server einrichten STMP Authentifizierung Authentifizierung Einige ISPs f hren bei eingehender E Mail eine A
81. eben der angibt wohin die ausgehenden Pakete aus dem zweiten Netzwerk gesendet werden Dazu k nnen neue Routes eingegeben werden eine am WinRoute Computer f r eingehende Pakete und eine am Router f r ausgehende Pakete ROUTE auf WinRoute Computern Mitglied von Netzwerk1 routet IP Pakete f r das andere Netzwerk Netzwerk2 zum speziellen Netzwerk1 der IP Adresse des Routers Dieser Router leitet die Pakete weiter DEFAULT ROUTE am Router der beide Netzwerke verbindet routet alle Pakete die von Netzwerk2 kommen an die Netzwerk1 IP Adresse des WinRoute Computers weiter Dann wendet WinRoute f r diese Pakete NAT an und sendet sie in das Internet Einsatzbeispiele 189 Beispiel In unserem Beispiel gibt es zwei Netzwerke 192 168 1 x und 192 168 2 x der Router befindet sich an 192 168 1 100 Hinweis Als Router k nnen Sie jeden auf Hardware bas erenden Router verwenden aber auch jeden Win95 98 Computer mit WinRoute oder WindowsNT Einstellungen fur Netzwerk1 primares Netzwerk Folgendes m ssen Sie Ihrem WinRoute Computer mitteilen Alle Pakete die an Netzwerk 192 168 2 0 gehen m ssen durch den Router 192 168 1 100 laufen Gehen Sie zur MS DOS Eingabeaufforderung 2 Geben Sie den folgenden Befehl ein Route p add 192 168 2 0 mask 255 255 255 0 db OO Am Router 192 168 1 100 muss die Default Route zum WinRoute Computer f hren d h 192 168 1 1 Mit anderen Worte
82. edes Paket das von au erhalb des Netzwerkes aus dem Internet eingeht wird daraufhin berpr ft ob seine Eigenschaften d h das Protokoll der Zielanschluss und die IP Zieladresse mit einem Eintrag in der Anschlusszuordnungstabelle ubereinstimmen Protokoll Zielanschluss IP Zieladresse Wenn das eingehende Paket die gew nschten Kriterien erf llt wird das Paket modifiziert und an die IP Adresse die im gesch tzten Netzwerk als Destination IP Ziel IP 1m Tabelleneintrag definiert wird und an den als Destination port Ziel Port definierten Anschluss gesendet Mail Server FTP Server Gate 192 168 1 2 Port 21 25 110 A Ger FTF Client IP 206 86 181 25 pally WWW Server WANN Browser A 192 168 1 3 Telnet Client v i HTTP gt Port 80 a KETTEN r F E 1 Fun Telnet Server SMTP All packets to port 80 192 All packets to port 25 gt 192 192 168 1 4 All packets to port 110 gt 192 168 1 2 Port 23 WinRoute Beschreibung 19 Wenn Sie beispielsweise einen Web Server der internen IP 192 168 1 3 verwnden und Sie Benutzern aus dem Internet Zugang zu diesem gew hren m chten wird es Anfragen von Internet Benutzern an ihren WinRoute Computer geben mit einer externen IP Adresse die dem DNS Eintrag Domain Name Server Ihres Web Servers www ihredom ne com gleicht Da alle Anfragen an den Web Server am Anschluss 80 eingehen sollten Sie die Anschlusszuordnung so einstellen dass die gesamte TCP
83. eingestellt haben m ssen S e mit dem gleichen Nummerierungssystem fortfahren z B 192 168 1 2 192 168 1 3 usw Standard Gateway einstellen Verwenden Sie die IP Adresse des WinRoute Host Computers als Standard Gateway an allen Client Computern Mit anderen Worten es verwendet also jeder Client Computer die IP Adresse des WinRoute Hosts interne IP Adresse als Standard Gateway Dies wird am TCP IP gt Ethernet Adapter in den Netzwerkeigenschaften des Computers eingegeben DNS einstellen Verwenden Sie die IP Adresse des WinRoute Computers als DNS Forwarder f r alle Computer bei Verwendung des DHCP Servers von WinRoute die interne IP Adresse Die einzige Ausnahme k nnte sein wenn Sie die DNS Adresse Ihres ISP oder eines anderen DNS Servers verwenden Dann geben Sie die DNS Details ein die Sie von Ihrem ISP erhalten haben in TCP IP gt NIC Eigenschaften jeder Arbeitsstation Wichtig Weitere DNS Einstellungen finden Sie in dem entsprechenden Kapitel dieses Handbuchs Installation und Konfiguration 91 Einstellen des DNS Forwarder Der DNS Server wird ber das Men Einstellungen gt DNS Server konfiguriert DNS Weiterleitung aktivieren Diese Option berpr ft ob der DNS Server ein oder ausgeschaltet ist DNS Anfragen an den Server weiterleiten der automatisch von den dem Betriebssystem bekannten DNS Servern ausgew hlt wird Falls aktiviert werden alle DNS Abfragen an den DNS Server w
84. eitergeleitet der von der TCP IP Konfiguration der Internetschnittstelle oder der DFU Verbindung ausgew hlt wurde Suche in HOST Datei aktivieren Wenn diese Option aktiviert ist ist es dem DNS Server erlaubt Daten der HOST Datei zu verwenden um die Abfragen zu beantworten HOSTS Datei bearbeiten Diese Schaltfl che startet einen externen Text Editor mit dem Sue die HOSTS Datei bearbeiten k nnen DNS Dom ne Geben Sie hier Ihren Dom nennamen ein z B acme com Wenn eine DNS Abfrage beantwortet wird wird der Dom nenname an den von der HOSTS Datei oder von der DHCP Lease Tabelle erhaltenen Namen angeh ngt 92 WinRoute Pro 4 1 GE Reference Guide DNS Abfragen weiterleiten an Geben Sie de numerische IP Adresse des DNS Servers ein an den die DNS Abfragen weitergeleitet werden sollen W hlen S e eine Adresse des DNS Servers Ihres ISP oder eines Servers zu dem Sie schnell Zugang haben DNS Cache aktivieren Mit dieser Option k nnen Antworten auf DNS Abfragen m internen Cache gespeichert werden Nachfolgende Abfragen werden dann bearbeitet indem der Inhalt des Cache verwendet wird ohne auf eine Antwort des DNS Servers ausserhalb Ihres Netzwerks zu warten Beim Aufl sen des Namens aus der HOSTS Datei oder der Lease Tabelle diesen mit der DNS Dom ne verbinden Diese Funktion l sst sich besser anhand eines Beispiels erkl ren Nehmen wir an Sie m chten eine Antwort auf eine
85. ellt der Server eine Antwort und sendet diese an den Client Der Server kann dem Client nur fur eine begrenzte Zeit eine Konfiguration zuweisen die so genannte Lease Zeit Der Server weist die IP Adresse immer so zu dass sie nicht mit irgendeiner anderen Adresse kollidiert die anhand des DHCP Servers einem anderen Client zugewiesen wurde Ist ein DHCP Server verf gar ist es ausreichend die Option IP Adresse automatisch beziehen zu aktivieren damit der Server f r eine angemessene Konfiguration der TCP IP an den Arbeitstationen sorgt Dies kann die Kosten f r die Wartung des Netzwerks und die Organisat on betr chtlich senken gt Wenn einige Computer in Ihrem Netzwerk nicht dynamisch mit DHCP konfiguriert sind sondern fest konfiguriert sind m ssen Sie sicherstellen dass die von DHCP verwendeten Parameter nicht mit denen der festen Konfiguration kollidieren 42 WinRoute Pro 4 1 GE Reference Guide DNS Forwarder In diesem Abschnitt DNS Forwarding WinRoute Beschreibung 43 DNS Forwarding Jeder mit dem Internet verbundene Computer ist durch eine einzigartige numerische IP Adresse identifiziert Um einen Computer 1m Internet zu erreichen muss diese IP Adresse dem Computer der die Verbindung herstellt bekannt sein Da es zu umfangreich ist IP Adressen im Speicher zu behalten wurde der Domain Name Server entwickelt Der DNS Domain Name Server ist eine Datenbank mit Namen die sich leichter e
86. em Kapitel WumnbRoute Zusammentfaseung 7 Umfangreiche Protokoll Unterst tzung 10 NAT EE 11 Eaket Foterugge Futsall Aaen 24 Protokolle und Paketanalyse cccesssessssseeeeseeseeeeeees 30 BIER Server ee ent 36 DNS F OF Wart as Mas 38 EROX SS CLV Clr ee 40 MAIL SeIryer ana 52 SE 53 Bernbedien ne sun ee 56 Zeitinietvalle seen 57 WumnbRoute Zusammentfaseung 7 Umfangreiche Protokoll Unterst tzung 10 NAT Ro lten as a ee a 11 Paket Bilteruns Firewall tee 24 Protokolle und Paketanalyse seeeeeeeeeeeeeeeeeennnn 30 DEEP Servern 36 RI 38 ENEE 40 IEA TT SCIVOL sank 52 HEET eet 53 PCr OC CIC MUO naar 56 Rente EEN 57 6 WinRoute Pro 4 1 GE Reference Guide WinRoute Zusammenfassung WinRoute Pro ist die neueste Internet Router und Firewall Software mit der alle Computer Ihres Netzwerkes praktisch m helos so eingerichtet werden k nnen dass s e eine einzelne Internetverbindung gemeinsam nutzen k nnen Stellen S e die Verbindung ber DFU DSL Kabel ISDN LAN T1 Radio DirecPC her So einfach ist das Fernbedienung WinRoute Administrator stellt die Konfiguration und Einstellungen auf der WinRoute Engine bereit Bei WinRoute Administrator handelt es sich um eine separate Anwendung wradmin exe die von jedem Computer im Netzwerk ausgef hrt werden kann mit dem der WinRoute Engine Computer verbunden ist Der Zugang zur Engine
87. en Fragen die die Paketfilterung betreffen liegt die Hauptursache f r eine Fehlfunktion eines modernen Firewall Systems in der fehlerhaften Konfiguration besonders wenn die mit der Administration betrauten Personen nicht genug Erfahrung mitbringen WinRoute macht die Konfiguration von Filtern einfach und dennoch flexibel genug so dass selbst unerfahrene Netzwerkadministratoren mit geringf gigen Kenntnissen ber TCP IP mit ein paar Mausklicks eine sichere Konfiguration erstellen k nnen Dies wird im folgenden Screenshot veranschaulicht wird Add Item Packet Descnpton Protocol TCF Source Destination ade m BE Nemo IP Address 92168 2340 Mack 255 255 255 0 Port Lon d Port JBetween inl fas Ta 13 TCF Flags Only established TCP connections Only establishing TCP connections Achon Log Packet Valid at C Permit MW Log into file Time internal Always on M Log into window Cancel WinRoute Beschreibung 29 Filterregeln konnen pro Schnittstelle fur alle der folgenden Einheiten angewandt werden eine einzelne IP Adresse eine vom Administrator definierte Liste von IP Adressen ein gesamtes Netzwerk oder Teilnetz Es ist auch wichtig dass sowohl f r den eingehenden als auch ausgehenden Datenverkehr Filter gesetzt werden k nnen Diese F higkeiten erlauben eine genaue Anpassung der Zugangsregeln an die Sicherheitsanforderungen nahezu jeder
88. en die NAT von WinRoute f r den Zugriff auf das Internet verwenden und Ihre Client Software so einstellen dass sie direkten Zugriff auf das Internet hat Falls es Ihnen nicht m glich ist den Austausch von E Mails einzurichten bedeutet dies dass NAT nicht richtig konfiguriert ist Sehen Sie in der nachfolgenden Checkliste nach um NAT richtig zu konfigurieren 60 WinRoute Pro 4 1 GE Reference Guide Benutzerkonten In diesem Abschnitt Benutzer en EE KE EE Ee 54 Benutzer Din Zi E u 54 EECHER ee 55 Benutzerkonten WinRoute Benutzerkonten WinRoute kann mit individuellen Benutzerkonten die gruppiert werden k nnen programmiert werden konfiguriert unter Einstellungen Konten Benutzer Bestehende Windows NT 2000 Benutzer k nnen auf der Registerkarte Erweitert unter Einstellungen Konten Men importiert werden Benutzer Als Benutzer von WinRoute k nnen Sie an WinRoute Administration teilnehmen ber eine Mailbox verf gen und n WinRoutes Proxy an den Zugangsbeschr nkungsregeln partizipieren Benutzer k nnen Gruppen erstellen und diesen die oben genannten Privilegien oder Einschr nkungen erteilen WinRoute Beschreibung 61 Benutzer hinzufugen Fuhren Sie folgende Schritte aus um einen Benutzer hinzuzufugen 1 2 3 4 Gehen Sie in das Menii Einstellungen gt Konten Aktivieren Sie die Schaltflache Hinzufugen Legen Sie Benutzernamen und Kennwort fest Weisen Sie Benutzern Rech
89. end es an den Schnittstellen zum internen Netzwerk DEAKTIVIERT sein muss Ethernet Schnittstellen Konfiguration 1 Der Netzwerkkarte zum internen Netzwerk wurde eine private IP Adresse zugewiesen und KEIN Gateway 2 Die f r diese Schnittstelle verwendeten DNS Eintr ge basieren auf Daten Ihres ISP Falls Ihnen diese Daten nicht zur Verf gung gestellt wurden wenden Sie sich bitte an den Diensteanbieter Sie konnen WinRoute zur Verwendung der Dial On Demand Funktion einrichten Dabei wird die Verbindung automatisch basierend auf dem Datenverkehr der das lokale Netzwerk verl sst hergestellt Wenn Sie Einzelheiten dazu erfahren m chten klicken Sie hier AOL Verbindung Wenn Sie WinRoute Pro verwenden k nnen Sie Ihr Netzwerk ber em einfaches AOL DFU Konto mit dem Internet verbinden Hinweis AOL unterst tzt nur Computer mit Win95 98 Um eine Verbindung ber AOL herzustellen f hren Sie folgende Schritte aus Installieren Sie den AOL Client vorzugsweise AOL 5 0 oder h her 2 Stellen Sie eine Verbindung zum Internet her um sicherzugehen dass die Verbindung funktioniert A Installieren Sie WinRoute Pro Wahlen Sie in WinRoute Administration das Men Einstellungen gt Schnittstellentabelle Installation und Konfiguration 105 5 Der AOL Adapter sollte unter den verf gbaren Schnittstellen aufgef hrt sein Klicken Sie auf Eigenschaften einer solchen Schnittstelle und wahlen Sie fur diese Schnittstelle NA
90. enn Sie den DNS Server am WinRout PC ausf hren Ordnen Sie das UDP Protokoll zu sowie Port 53 f r die IP Adresse der Internetschnittstelle DNS Server hinter dem WinRoute PC Sie k nnen einen DNS Server an jedem PC innerhalb Ihres lokalen Netzwerks ausf hren Richten Sie dazu die m ssen Sie die Anschlusszuordnung wie folg ein Protokoll UDP 164 WinRoute Pro 4 1 GE Reference Guide Uberwachungs IP nicht spezifiziert bzw die IP Adresse die mit dem DNS Server assoziiert ist als zweite IP Adresse zugeordnet berwachungs Port 53 Ziel IP die private IP Adresse des PCs mit DNS Server Ziel Port 53 DNS Server und WWW hinter NAT Falls Sie Ihren eigenen DNS Server und den WWW Server m gleichen privaten Netzwerk ausf hren k nnen folgende Fragen auftauchen Wie gehe ich mit DNS Anfragen bez glich www meinedom ne com um die aus meinem LAN stammen Wie werden diese mit der privaten Netzwerk IP Adresse des Webservers beantwortet w hrend DNS Anfragen die aus dem Internet eingehen eine regul re Internet IP Adresse mit www meinedom ne com erhalten Die L sung ist verh ltnism ig einfach Verwenden Sie den in WinRoute integrierten DNS Forwarder um das Problem zu l sen Richten Sie an allen Client PCs den DNS Forwarder von WinRoute ein Am WinRoute PC m ssen Sie die folgenden Einstellungen vornehmen Schalten Sie den DNS Forwarder von WinRoute EIN Bearbeiten Sie die HOSTS Date F gen Sie in der HOSTS D
91. ensatz zu Proxy Servern unterst tzt die generelle Architektur von WinRoute viele Spiele ohne dass zus tzliche Konfigurationseinstellungen erforderlich s nd Bei einigen Spielen ist es erforderlich in WinRoute einen speziellen Port zu konfigurieren damit sie ausgef hrt werden k nnen Die Ports dienen der weiteren Identifizierung des Spielers am Spiele Server im Allgemeinen Falls das Spiel mit einem bestimmten Port assoziiert ist stellt dies f r WinRoute kein Problem dar Konfigurieren Sie einfach die Anschlusszuordnung in WinRoute so dass im Netzwerk ankommende Pakete an den Computer des Spielers hinter der Firewall weitergeleitet werden Die verwendeten Ports variieren von Spiel zu Spiel Bitte sehen Sie in der Dokumentation die bei jedem Spiel mitgeliefert wird nach oder rufen Sie den technischen Support des Spieleverk ufers an um ausf hrlichere Informationen zu erhalten Dieses Handbuch enth lt nur einige Beipiele zu den Einstellungen der bekanntesten Spiele 218 WinRoute Pro 4 1 GE Reference Guide Aasheron s call Asheron s call ist ein bekanntes Spiel der Microsoft Gaming Zone Folgende Einstellungen m ssen Sie vornehmen um dieses Spiel von einem Computer hinter GameRouter auszuf hren 1 Gehen Sie in das Men Einstellungen gt Erweitert gt Anschlusszuordnung 2 Nehmen Sie folgende Einstellungen vor Name S1 S2 S3 S4 Port 2300 2400 9000 9013 6667 28800 29000 Nummer Ziel IP des
92. er externen Maschine die wradmin exe von Remote Administration installiert werden Installation und Konfiguration 77 Administration in WinRoute In diesem Abschnitt Administration des lokalen Netzwerks 68 Administration vom Internet aus 70 Verlust des Administrationskennwotts s sesscneneneneneen 72 Administration des lokalen Netzwerks Um WinRoute vom lokalen Netzwerk oder von dem mit WinRoute ausgestatteten Computer zu verwalten m ssen S e Folgendes ausf hren 1 berpr fen Sie dass die WinRoute Engine l uft Um zu berpr fen ob WinRoute gestartet wurde setzen Sie den WinRoute Engine Monitor aus der WinRoute Programmgruppe ein Ein kleines rundes blau wei es Symbol erscheint in der Taskleiste in der unteren rechten Ecke des Desktop Dies zeigt an dass die Anwendung aktiv ist Ist das Symbol mit einem roten Kreuz versehen bedeutet dies dass WinRoute gestoppt wurde Um die WinRoute Engine zu starten klicken Sie einfach mit der rechten Maustaste auf das Symbol und wahlen Sie Start WinRoute Engine aus dem Popup sMen Startup Preferences WinRoute Administration Start Wmbioute Engine WinRoute Pro 4 1 GE Reference Guide 2 Starten Sie WinRoute Administrator Um das WinRoute Administration Modul zu starten aktivieren Sie die Anwendung tber das Ment Start gt Programme gt WinRoute oder klicken Sie mit der rechten Maustaste auf das Symbol f r den WinRoute Engine Monitor und wahlen Sie
93. er verwendet wird Diese d rfen Sie somit nicht verwenden Die Bandbreite der IP Adressen muss der des Teilnetzes entsprechen S ehe Bild als Beispiel 4 Optionen spezifizieren wichtig In Optionen spezifizieren Sie welche anderen Informationen an die Arbeitsstationen weitergegeben werden z B Standard Gateway DNS Server usw Aktivieren Sie die Schaltfl che neben jeder Komponente 1m Dialogfeld und geben Sie die entsprechenden Informationen ein Geben Sie die Informationen f r das Standard Gateway und den DNS Server e n in der Regel w rd WinRoute als DNS Server verwendet und verwenden Sie die IP Adresse des WinRoute Computers z B 192 168 1 1 Sie k nnen andere Optionen freilassen 88 WinRoute Pro 4 1 GE Reference Guide Default Options 255 255 255 0 192 168 1 2 192 168 1 3 192 168 1 5 255 255 255 0 Default Gateway WONS Server Domain Name Hs216B tT 32 168 1 1 Lease Time INS Server Installation und Konfiguration 89 gt Hinweis Die IP Adresse der Ethernet Schnittstelle Verbindung zum LAN am WinRoute Computer muss zugewiesen werden Diese IP Adresse wird in anderen Computern als Standard Gateway und in der Regel als DNS Server verwendet IP Konfiguration mit drittem DHCP Server Wenn ein dritter DHCP Server verwendet wird muss besonders auf die von einem solchen Server an die Client Arbeitsstationen innerhalb Ihres Netzwerks ausgegebenen Werte geachtet wer
94. ere Erl uterungen finden S e unter Checklist e 182 WinRoute Pro 4 1 GE Reference Guide Gemeinsame Nutzung der Verbindung f r zwei Netzwerke mit einer IP Adresse F r den Fall dass Sie zwei Netzwerke ber einen Computer mit WinRoute mit dem Internet verbunden haben gibt es keine speziellen Einstellungen Grunds tzlich gibt es mehrere Segmente die zum WinRoute Computer f hren von denen jeder eine separate Netzwerkschnittstelle hat In unserem Beispiel gibt es drei Netzwerkschnittstellen im WinRoute Computer Internet Schnittstelle Netzwerkschnittstelle 1 Netzwerkschnittstellle 2 pe E a 4 gn a WW pe lt Internet EE IF 192 168 1 1 IF 192 169 2 1 hes En WinRoute cI c c m c c IF 192 109 2 2 4 IF 192 165 1 2 4 Einsatzbeispiele 183 Die einzigen notwendigen Einstellungen die Sie beachtet m ssen sind Internet Schnittstelle NAT ist aktiviert Die IP Adresse ist gem den Anweisungen Ihres ISP eingerichtet Das Gateway st gem den Anweisungen Ihres ISP eingerichtet Interne Schnittstellen NAT ist NICHT aktiviert Es ist an beiden Schnittstellen KEIN Default Gateway eingerichtet Die IP Adresse ist auf den internen Typ eingestellt e g 192 168 1 1 Die anderen Einstellungen sind die gleichen wie sie in den anderen Kapiteln dieses Handbuchs beschrieben sind Der Datenverkehr der aus den Teilnetzen ankommt wird in d e anderen Teilnetze oder n das In
95. erwendet zu verbinden Diese Konfiguration erlaubt es jedem Computer auf dem lokalen Netzwerk auf die Ressourcen des entfernten Netzwerks zuzugreifen wenn der VPN Tunnel auf dem Router Computer eingerichtet wurde Es st keine Konfiguration des entfernten Netzwerks erforderlich Nachfolgend sind die f r die Konfiguration des lokalen Netzwerks n tigen Schritte aufgef hrt Schritt 1 Installieren und konfigurieren Sie die Novell Border Manger Client Sortware auf dem Computer der als Router verwendet werden soll Vergewissern Sie sich dass die Verbindung zwischen dem entfernten Netzwerk erfolgreich eingerichtet ist und auf die Ressourcen des entfernten Netzwerks zugegriffen werden kann Schritt 2 Installieren Sie WinRoute Pro auf dem Router Computer Gehen Sie entsprechend der im Handbuch f r den Administrator enthaltenen Anweisungen bez glich der Konfiguration von WinRoute Pro und den Computern des lokalen Neztwerks die mit WinRoute Pro arbeiten sollen vor Verwenden Sie die f r die gemeinsame Nutzung einer einzelnen IP Adresse bliche Konfiguration Vergewissern Sie sich dass auf die Ressourcen des Internets von jedem Computer des lokalen Netzwerks aus zugegriffen werden kann Schritt 3 Wenn Sie auf die Ressourcen des entfernten Netzwerks zugreifen m ssen f hren Sie den Novell Border Manager VPN Client am Router Computer aus und melden S e sich am entfernten Netzwerk an 160 WinRoute Pro 4 1
96. ezifiziert dass Pakete an entgegengesetzte Netzwerke gehende Pakete die RAS Schnittstelle durchlaufen Dann sollten Sie beim Anzeigen der TCP Eigenschaften im Debug Protokoll von WinRoute Administrator in der Liste der verf gbaren Schnittstellen eine DFU Schnittstelle mit aufgef hrt sehen 162 WinRoute Pro 4 1 GE Reference Guide 3 Rufen Sie die Schnittstellentabelle in WinRoute Administration auf und lassen Sie die Eigenschaften der RAS Schnittstelle die f r die PPTP Verbindung genutzt wird anzeigen Stellen Sie sicher dass Sie NAT an dieser Schnittstelle nicht ausf hren 4 W hlen Sie auf der Registerkarte RAS der RAS Schnittstelleneigenschaften die PPTP Verbindung aus den RAS Eintragen Falls Sie die RAS Verbindung in den RAS Eintr gen nicht vorfinden vergewissern Sie sich dass Sie das richtige Telefonbuch eingerichtet haben Gehen Sie in das Men Einstellungen gt Erweitert gt Versch Optionen und w hlen Sie das korrekte RAS Telefonbuch aus 5 berpr fen Sie die Verbindung Sie sollten in der Lage sein Pings an das entgegengesetzte Netzwerk zu senden und gleichzeitig auf das Internet zuzugreifen mee es 192 168 1 0 255 255 255 0 a 63 194 25 3 SE A Packets going to ane 192 768 2 0 network routed through RRAS Interface to PPTP link z et route that p packets 24198342 2 Ze going to 192 168 1 0 network are routed Be
97. fiir den Internetanschluss verwendet wohingegen f r die Verbindung zu Ihrem n Netzwerk en eine andere Schnittstelle n benutzt wird werden Ethernet Token Ring 2 Stellen Sie sicher dass alle IP Adressen so eingerichtet sind dass Pings gesendet werden k nnen Damit WinRoute richtig ausgef hrt wird m ssen die Client Maschinen in der Lage sein sowohl die ffentliche als auch die private IP Adresse der Host Maschine von WinRoute zu pingen A Am WinRoute PC Aktivieren Sie NAT an der Internetschnittstelle berpr fen Sie dass NAT f r die Schnittstelle zum Internet Ethernet RAS Leitung aktiviert ist Stellen Sie dies im Men Einstellungen gt Schnittstellentabelle ein und gehen Sie zu den Eigenschaften der gew nschten Schnittstelle 72 WinRoute Pro 4 1 GE Reference Guide Am WinRoute PC Deaktivieren Sie NAT an der internen Schnittstelle Vergewissern Sie sich dass NAT an der Schnittstelle oder den Schnittstellen zum internen Netzwerk deaktiviert ist Hinweis In sehr speziellen Setups kann NAT sogar an der internen Schnittstelle aktiviert bleiben Falls verf gbar sehen Sie hier ein Beispiel Am WinRoute PC Kein Gateway an der internen Schnittstelle Stellen S e s cher dass KEIN Standard Gateway in den Netzwerkeigenschaften der Schnittstelle Netzwerkkarte zum internen Netzwerk vorhanden ist Selbstverst ndlich w rd das Standard Gateway der Schnittstelle zum Internet gem den Details Ihres I
98. frame Server zuzugreifen der innerhalb des WinRoute Netzwerks ausgef hrt wird f hren Sie die folgende Anschlusszuordnung durch F r CITRIX Metaframe Protokoll TCP berwachungs IP nicht spezifiziert oder die ffentliche IP Adresse des Servers den Sie verwenden m chten berwachungs Port 1494 Ziel IP Private IP Adresse des Servers innerhalb des Netzwerks Ziel Port 1494 S e k nnen mehrere Ports einrichten und gleichzeitig auf mehrere Server zugreifen Um dies zu tun m ssen Sie an den Client Computern voreinstellen ber welchen Port diese auf den Server zugreifen sollen Dies kann in der ini Datei des Client beim Erstellen des Verbindungssymbols spezifiziert werden Firewall Konfiguration 209 MS Terminal Server WinRoute tinterstiitzt das MS Terminal Server Protokoll vollstandig Um auf den MS Terminal Server der innerhalb des WinRoute Netzwerks ausgefuhrt wird zuzugreifen fuhren Sie die folgende Anschlusszuordnung durch Fur MS Terminal Server Protokoll TCP berwachungs IP nicht spezifiziert oder die ffentliche IP Adresse die der Server verwenden soll berwachungs Port 3389 Ziel IP private IP Adresse des Servers innerhalb des Netzwerks Ziel Port 3389 Sie konnen mehrere Ports einrichten und gleichzeitig auf mehrere Server zugreifen Um dies zu tun mussen Sie an den Clinet Computern voreinstellen uber welchen Port diese auf den Server zugreifen Dies kann beim
99. ftware com gt to lt FNea 10 N 0 1999 10 38 30 SMTP Send 1 outgoing message 1211 bytes sent through server mail pacbell net 0H owl 999 10 45 49 POPS download 1 message 17623 bytes downloaded from server W e Ze WinRoute Beschreibung 39 Fehler Protokoll Das Fehler Protokoll zeigt alle nicht erfolgreichen Vorg nge n den aktiven WinRoute Modulen an Als Ergebnis k nnen Sie die Fehler im Mail Austausch beispielsweise auf dem DNS Server sehen Error Log OW x OSM ov71999 09 54 07 mai H 10060 Connection to Pr winroute cz failed connect timeout a OSM ov 999 09 36 23 mail H 10060 Connection to fer winroute cz failed connect timeout OSM os 999 09 38 38 mail H 10060 Connection to fer winroute cz failed connect timeout OSM ow 1999 09 39 14 mai H 11001 DNS query for mail pacbell net failed host not found OSM 0 1999 19 04 16 mail H 10060 Connection to Pv winroute cz failed connect timeout OSM owl 999 19 07 29 mai G0 PASS command failed OSM 01999 21 28 18 mail H 10060 Connection to far winroute cz failed connect timeout OSM 0 1999 21 30 33 mail H 10060 Connection to far winroute cz failed connect timeout OSM 0 1999 21 32 49 mail H 10060 Connection to fer winroute cz failed connect timeout OSM 0 1999 21 33 04 mail H 10060 Connection to far winroute cz failed connect timeout OSM 0 1999 21 58 19 mai
100. g ist an dem WinRoute Engine ausf hrenden Computer nicht oder falsch installiert Verlust des Administrationskennworts Falls Sie das Kennwort ftir die Administration verlieren sollten senden Sie eine E Mail an support tinysoftware com um weitere Anweisungen zu erhalten Aus Sicherheitsgr nden ver ffentlichen wir die entsprechenden L sungen nicht Installation und Konfiguration 83 Einrichten des Netzwerks DHCP In diesem Abschnitt DACP eklig 73 berblick Standard Gateway uaeeeeennnnn 74 Den richtigen WinRoute Computer w hlen J3 IP Konfiguration mit DHCHR Server 76 IP Konfiguration mit drittem DHCP Server 71 IP Konfiguration manuelle Zuweisung 78 DHCP Bei Verwendung des DHCP Servers k nnen Sie die Konfiguration der Arbeitsstationen innerhalb Ihres lokalen Netzwerks deutlich vereinfachen Sie m ssen die Client Arbeitsstationen lediglich so einrichten dass sie vom DHCP Server dynamisch IP Adressen zugewiesen bekommen Dies ist die Standardeinstellung wenn das TCP IP Protokoll in den Netzwerkeigenschaften hinzugef gt wird Sie k nnen entweder den in WinRoute integrierten DHCP Server oder den DHCP Server einer dritten Partei innerhalb des Netzwerks verwenden Stellen Sie sicher dass Sie in Ihrem Netzwerk nur einen DHCP Server zur Zeit verwenden Uberblick Standard Gateway WinRoute fungiert als Router Als solcher mach
101. gehend oder ausgehend Wie es bei vielen Firewall Produkten f r Unternehmen der Fall ist wie z B Check Point s Firewall 1 kann WinRoute die erste Entscheidung dar ber treffen ob einem bestimmten Paket Zugang gew hrt wird oder nicht Um es noch einmal hervorzuheben Dies wehrt sch dliche Angriffe gegen das Betriebssystem oder andere Software ab d e den von der Firewall angebotenen Schutz umgehen k nnten Dies ist m t Sicherheit w nschenswert bei Internet Gateways d e ber eine Verbindung nach draussen verf gen kann aber auch f r Einzelrechner mit hohen Sicherheits und Anonymit tsanforderungen wie Intrusionsmeldeanlagen von gro em Nutzen sein Software zur Intrusionsmeldung wie Real Secure von Internet Security Systems ISS w re auf einem von WinRoute gesch tzten Host praktisch unsichtbar Letztlich bernimmt die WinRoute Engine die gesamte Funktion des Routings der Kommunikation auf dem zugrunde liegenden Betriebssystem gleichg ltig ob es sich um Windows 9x NT oder 2000 handelt Dies garantiert dass falls aus irgendeinem Grund die WinRoute Engine nicht richtig arbeitet kein Datenverkehr zwischen den Netzwerken geroutet wird Diese fa l closed Einstellung stellt seit vielen Jahren den traditionellen Standard fur Firewall Konfigurationen dar und dient dazu private Netzwerke im Falle eines allgemeinen Systemfehlers zu sch tzen 28 WinRoute Pro 4 1 GE Reference Guide Regeln Trotz der theoretisch
102. gen eingerichtet wurden Da diese Protokollierungsbedingung eingeschr nkt ist ist nur eine ausgew hlte Anzahl von Paketen zu sehen so dass die gew nschte Paketbeschreibung leichter zu finden ist Der n chste Schritt besteht darin das Sicherheitsprotokoll ber das Men Ansicht gt Protokolle zu ffnen Git WinRoute Administration localhost Action View Settings Window Help Toolbars w Status Bar Bags Debug Log Error Log Http Log Mail Log Securty Lag Dial Log Logs History Firewall Konfiguration 203 aa WinRoute Administration localhost Security Log Action View Settings Window Help 22 bh 32 398 EES ege gie AEN IA 2ep 2000 10 37 11 Mpe 2000 10 37 11 MAT proto TOF Ier iptport 3 199 137 33 4424 gt 53 199 II 2 Za H TT Aen 2000 10 37 14 MAT Attempt to establish TCP connection through MAT inj The Follow Sep 2000 10 57 14 NAT proto TCP ler amp 0 iptqoort 63 199 157 33 4424 gt 63 199 157 38 25 fl NAT Attempt to establish TCP connection through NAT in The follows l4isep 2000 10 57 20 NAT Attempt to establish TCP connection through NAT in The follow 14S5ep 2000 10 37 20 HAT proto TOP len iptport 63 199 137 32 44 gt 63 199 157 38 25 fl l4isep 2000 10 37 32 NAT Attempt to establish TCP connection through NAT in The follow 145ep 2000 10 57 32 NAT proto TEE lerdal iptport 63 199 157 3a 4424 gt 63 199
103. gewunschten Mail Server senden Dies ist ein Vorteil wenn der MAIL Server Ihres ISP nicht zuverl ssig ist Auf der anderen Seite kann die Tatsache dass Sie versuchen E Mail direkt an den Zielort zu senden einen Einfluss auf die Dauer dieses E Mail Versands haben F r den Fall dass der Ziel Mail Server n cht erreichbar ist wird die E Mail in der Warteschlange der ausgehenden E Mail als nicht gesendet auf Ihrem Mail Server von WinRoute verbleiben N NAT Mit NAT Network Address Translation k nnen Sie das Netzwerk ber eine einzige IP Adresse mit dem Internet verbinden Die Computer innerhalb des Netzwerks nutzen das Internet so als wenn sie direkt mit dem Internet verbunden waren mit gewissen Einschr nkungen Die Verbindung eines gesamten Netzwerks das eine einzige registrierte IP Adresse verwendet wurde m glich da das NAT Modul die Ursprungsadresse in den gesendeten Paketen von Computern innerhalb des lokalen Netzwerks mit der Adresse des Computers auf dem WinRoute ausgef hrt wird umschreibt NAT unterscheidet sich deutlich von verschiedenen Proxy Servern und Gateways auf Anwendungsniveau die niemals so viele Protokolle wie NAT unterst tzen k nnen Glossar der Terminologie 233 Netzwerk Maske Die Netzwerk Maske wird verwendet um IP Adressen zu gruppieren Jedem Netzwerksegment wird eine Gruppe von Adressen zugewiesen Die Maske 255 255 255 0 gruppiert 254 IP Adressen zusammen
104. gkeit ist garantiert 76 WinRoute Pro 4 1 GE Reference Guide Proxy Client Software Bei manchen PROXY Servern ist es notwendig dass auf allen Client Maschinen Software installiert wird Auf Grund der Client Software werden Anfragen von den Anwendungen an den PROXY Server gesendet Falls die PROXY Software des Client nicht entfernt wird kann dieser Computer nicht mit dem Internet verbunden werden da WinRoute nicht als PROXY Server eingerichtet ist Falls der Client nach wie vor keine Verbindung zum Internet herstellen kann installieren Sie TCP IP und die entsprechenden Einstellungen neu und starten Sie den Computer erneut Netzwerkkarten Treiber Versuchen Sie die standardisierten Netzwerkkarten zu verwenden Wenn eine spezielle alte oder sehr neue Karte in Ihrem Computer installiert ist verf gt der entsprechende Treiber m glicherweise ber spezielle Anweisungen die die Kommunikation mit WinRoute verhindert Versuchen Sie eine standardisierte Ethernetkarte in Ihrem Netzwerk zu finden und deren Position auszutauschen Nicht wenige urspr nglich unzufriedene Kunden wurden zu zufriedenen Kunden indem sie lediglich die Karte austauschten oder den Treiber aktualisierten WinRoute ist ein v llig neutraler Software Router Firewall bei dem es nicht erforderlich ist Client Software auf Client Computern auszuf hren Es sei denn die Fernbedienung wird verwendet In diesem Fall muss auf dem Client Computer oder d
105. gleiche Nummer wie die Listen Ports Zugang nur gewahren von Sie k nnen die Adresse spezifizieren von der aus Sie den Zugang erm glichen m chten Dies ist f r die Erh hung der Sicherheit sehr wichtig falls Sie die Anschlusszuordnung f r Remote Management Anwendungen wie den WinRoute Administrator PC Anywhere etc einrichten Sie k nnen die Gruppe der IP Adressen festlegen Zun chst m ssen Sie eine solche Gruppe in der Dialogbox Adressengruppe erstellen WinRoute Beschreibung 21 Anschlusszuordnung fur Multi homed Systems mehrere IP Adressen Sie k nnen Ihrer Internet Schnittstelle mehrere IP Adressen zuweisen und mehrfache Dienste die Sie vom Internet aus zug nglich machen m chten innerhalb Ihres Netzwerks bereitstellen 5 x WWW Server Szenarium Lassen Sie uns als Beispiel davon ausgehen dass Sie mit 5 Web Servern arbeiten m chten wobei jeder von diesen ber eine separate Dom ne verf gt die mit einer anderen IP Adresse assoziiert ist In einem solchen Szenarium installieren Sie 5 IP Adressen an Ihrer externen Schnittstelle welche die Verbindung mit dem Internet herstellt und arbeiten mit Web Servern auf anderen Computern in Ihrem internen Netzwerk Jeder Web Server kann auf einem separaten Computer laufen oder S e k nnen mehrere IP Adressen einem Computer n Ihrem internen Netzwerk zuweisen und alle Web Server an einem solchen Computer laufen lassen Dann legen Si
106. hernet Netzwerkkarte f r die Kontrolle von drei separaten Netzwerken INTERNET Einsatzbeispiele 195 Abbildung 3 WinRoute Pro mit einer Multiport Ethernet Netzwerkkarte ausgestattet Zusatzlich zur erhohten Sicherheit und der zentralisierten Organisation bieten Multiport Ethernet Neztwerkkarten weitere Vorteile in Form von Load Balancing und Fail Over Schutz Siehe die Zuweisung von drei Ports zum mittleren Segment in Abbildung 4 196 WinRoute Pro 4 1 GE Reference Guide Abbildung 4 Dem mittleren Segment wurden drei Ports zur Port Aggregat on zugewiesen Load Balancing kann durch Aggregation von Ports durchgef hrt werden In der Abbildung oben s nd beispielsweise dem mittleren Segment des Netzwerks drei Ports zugewiesen Wenn dieses Segment einen Schalter verwendet um eine Verbindung zum WinRoute Computer herzustellen kann jeder der drei Computer Daten von 100 Mbps abrufen da nur ein Port dieses Segments an den WinRoute Computer angeschlossen ist Eine zus tzliche Funktion der Port Aggregation ist der Schutz vor einem Port Fehler Wenn eine Leitung unterbrochen wird wir der Verkehr ber den n chstm glichen Port zur ckgeroutet Durch die Verwendung von Multiport Netzwerkkarten mit WinRoute wird ein u erst effektives Multi Routing System zu einem erheblich g nstigeren Preis und im Rahmen einer gemeinsamen Administration erm glicht WinRoute wurde gerade erfogreich mit D Link 4 port DFE 570 TX un
107. ice Situationen zu vermeiden in denen die Firewall Funktionsfahigkeit sich ausschaltet wenn das Protokollierungssystem berlastet ist 34 WinRoute Pro 4 1 GE Reference Guide Debug Protokoll Fehlersuche Das Debug Protokoll ist das wichtigste Protokoll in WinRoute Es erm glicht Ihnen alle IP Pakete TCP UDP ICMP ARP DNS zu sehen die physikalisch eine der Schnittstellen im WinRoute Computer passieren Im Fenster f r die Debug Ereignisse k nnen Sie die Vorg nge sehen die eventuell angezeigt werden sollen Wie wird das Protokoll gelesen Von links nach rechts wird Folgendes angegeben Zeitangabe Das Datum und der Zeitpunkt zu dem der Vorgang stattfand oder das Paket die Schnittstelle passierte Das Protokoll Der Protokolltyp des Pakets Von An Schnittstellenname Der Name der Schnittstelle und ob das Paket an die Schnittstelle gesendet wurde oder von der Schnittstelle kam stellen S e sich vor dass WinRoute auf dem PC l uft und die Schnittstellen als Gates zwischen dem Computer und dem Netzwerk fungieren IP Ursprungsadresse gt IP Zieladresse Die Ursprungs und die Ziel IP Adresse die im Paket enthalten ist Merker Weitere Identifizierung der Aktion Beispiel 10 Nov 1999 09 32 38 TCP packet 511464 from lan length D514 392 168 177224222 2 192 168 1 13235 Flags ACK 10 Nov 1999 09 32 38 TCP packet 511465 to lan length 54 192 060 1 gt 192 166 722442 flags
108. icht So lange Ihr NT Server an Remote Benutzer IP Adressen von verschiedenen Teilnetzen andere als das hauptsachliche Netzwerk ausgibt wird die Anzahl der Benutzer durch die Anzahl der RAS Schnittstellen die Sie installiert haben begrenzt Verbinden uberlappender Segmente uber eine IP Adresse Die Netzwerkeinstellung bei der alle Netzwerke die verbunden werden m ssen nicht direkt zum WinRoute Computer f hren und ber einen Router verbunden sind wird als Cascaded Segments berlappende Segmente bezeichnet Als Router zwischen den beiden Netzwerken kann jeder Hardware Router WindowsNT oder Windows 95 98 Computer mit WinRoute dienen WinRoute fungiert n jedem Fall als Router ob er NAT ausf hrt oder n cht 188 WinRoute Pro 4 1 GE Reference Guide Figure 1 Connecting cascaded segments to the rary aan Internet mask 255 288 258 0 WinRoute ER Fr A ip 192 188 1 100 mask 255 255 255 0 gw 192 158 1 1 ip 206 656 151 25 mask 255 255 255 0 DNS 4 6 0 2 gw 206 096 151 37 MAT Network 2 ip 182 158 2 1 mask 255 255 255 0 OW none SS SS eS gw 192 165 2 1 ip 182 168 2 2 4 mask 255 255 255 0 dns A B C D Im Allgemeinen ist es notwendig dem WinRoute Computer mitzuteilen wohin die eingehenden Pakete f r andere Netzwerke gesendet werden Dagegen muss es einen hnlichen Link am Router der zwei Netzwerke teilt f r die ausgehenden Pakete g
109. icht aktiv wird jede Webseite immer direkt aus dem Internet abgerufen Cache Verzeichnis Das Verzeichnis in dem der Cache gespeichert wird 52 WinRoute Pro 4 1 GE Reference Guide Cache Gr e Die Gr e des Festplattenspeicherplatzes der vom Proxy Cache verwendet wird Beim Festlegen der Gr e ber cksichtigean Sie u a die Anzahl der Benutzer sowie den von diesen verursachten Datenverkehr Wenn Sie ber gen gend freien Speicherplatz verf gen k nnen S e einen gr eren Cache installieren Die max male Gr e betr gt 3072 Megabyte 3 GB Abgebrochen fortsetzen Falls aktiv wird der PROXY Server immer das Herunterladen eines Objektes aus dem Internet beenden auch wenn der Browser des Benutzers die Anfrage abbricht der Benutzer klickt auf die Schaltfl che Stopp oder folgt einem Link auf eine andere Seite ohne abzuwarten bis die aktuelle Seite vollst ndig heruntergeladen ist Nachfolgende Besuche auf der gleichen Seite sind so wesentlich schneller Abgebrochen behalten Mit dieser Funktion wird der WinRoute PROXY Server beauftragt auch unvollst ndige Objekte zwischenzuspeichern Webseiten Bilder Dies f hrt zumindest zu einer teilweisen Beschleunigung wenn die Webseite erneut besucht wird Wenn Abgebrochen fortsetzen aktiviert ist wird die Einstellung Abgebrochen behalten ignoriert Nur Cache FTP Verzeichnis Beim Durchsuchen von FTP Servern k nnen Sie diese Option verwenden
110. ie auf der Registerkarte DirecPC die Option DirecPC W hlhilfe f r Aufwartsverbindung verwenden Interface Properties Installation und Konfiguration 111 3 Verwenden der Ethernet Schnittstelle fur die Aufwartsverbindung Unter Umst nden m chten Sie die Ethernet Schnittstelle f r die Aufw rtsverbindung verwenden Dies ist n der Regel der Fall wenn die Aufw rtsverbindung ber eine ISDN Leitung und S e ber einen ISDN Router oder ein Modem verf gen oder ber eine V SAT Verbindung Sch ssel mit Ethernet Adapter erfolgt ip 182 168 1 1 9 mask 255 255 255 0 ee gu none ip 192 168 1 2 4 mask 255 255 255 0 sch gw 192 168 1 1 dns 4 6 0 0 194 196 1733 256 255 255 0 8 i NE2000 ip 194 196 4142 k 255 255 255 0 ip 194 25 201 157 are mask 255 255 255 0 gw 194 25 2017 As MAT BICNHLISS Rufen S e das Dialogfeld der Eigenschaften der DirecPC Netzwerkkarte auf MAT Duech Setting Send autgang packets through DiecPC dial up Through interface NE 2000 e Gi 194 196 1 23 Lech Gateway 134 25 200 133 Sum 112 WinRoute Pro 4 1 GE Reference Guide Aktivieren Sie auf der Registerkarte NAT das Kontrollk stchen NAT mit dieser IP Adresse der Schnittstelle f r den gesamten passierenden Datenverkehr ausf hren W hlen Sie auf der Registerkarte DirecPC die Option ber Schnittstelle und w hlen Sie die Schnittstelle zum Internet Gebe
111. ie dazu folgende Schritte aus 1 Schlie en Sie einen Computer mit zwei Schnittstellen an Ihr Netzwerk an Eine externe Schnittstelle stellt die Verbindung zum Internet her eine andere interne Schnittstelle die Verbindung zum vorhandenen Netzwerk 2 Weisen Sie der externen Schnittstelle eine IP Adresse zu mit der auf die Dienste Server zugegriffen wird die Sie vom Internet aus zug nglich machen m chten WinRoute Beschreibung 17 3 Weisen Sie die interne IP Adresse entweder manuell oder ber den DHCP Server Zu 4 Richten Sie WinRoute so ein dass NAT an beiden Schnittstellen durchgef hrt wird 5 Richten Sie f r die Dienste die Sie innerhalb Ihres Netzwerks ausf hren m chten die Anschlusszuordnung ein Nach Vornehmen dieser Einstellungen erhalten externe Benutzer vom Internet aus Zugang zu Ihren internen Diensten die an bestimmten Ports ausgefthrt werden Fur die Sicherheit eines solchen Zugangs sorgt die Firewall von WinRoute 18 WinRoute Pro 4 1 GE Reference Guide Anschlusszuordnung Paket Forwarding WinRoute f hrt NAT durch und macht somit das gesch tzte Netzwerk von au en unzug nglich Durch die Benutzung der Anschlusszuordnung oder Port Address Translation PAT werden ffentliche Dienste wie beispielsweise ein WWW Server oder ein FTP Server sowie andere auf Ihrem privaten Netzwerk laufende Server vom Internet aus zug nglich Wie die Anschlusszuordnung funktionier J
112. ime lo Eiern ine els 48 Wie veranlasst man die Benutzer Proxy anstelle von NAT zu verwenden A E E E UHR tee EUR IEEE EE NED thay A E EEE SEN E 50 Wie man einen Parent Proxy Server verwendet 50 Proxy Ubersicht Der hauptsachliche Zweck eines Proxy Servers ist es die Bandbreite ihrer Internet Verbindung durch Speicherung der durchstr menden Daten zu erh hen Falls die Benutzer auf das Internet ber einen Proxy Server zugreifen kann der Proxy Server die verschiedenen nachgefragten Objekte teilweise aus einem Cache beantworten wie HTML Seiten Bilder und andere Arten von Dateien Dies verringert die Last die auf der Internet Verbindung liegt und erh ht damit die Bandbreite f r andere Nutzer Auch n mmt der gesamte Vorgang weniger Zeit in Anspruch als n tig w re um die Bilder nochmals vom Internet herunterzuladen Auf der anderen Seite verlieren die Objekte eines Proxy Servers die auf einem Cache gespeichert werden an Aktualit t Sie m ssen die TTL Time To Live Paketlebensdauer der gespeicherten Dokumente vergleichen um Missverst ndnisse zu vermeiden die daraus entstehen dass Sie beispielsweise gerade die CNN Nachrichten vom Vortag gelesen haben WinRoute Beschreibung 45 Schnelle Installation Zuerst einmal mit WinRoute brauchen Sie den Proxy Server nicht um auf das Internet zuzugreifen Ihre Internet Verbindung wird ber einen NAT Router der in WinRoute enthalten ist be
113. in Windows NT enthaltenen DHCP Server ersetzen MAIL Server Der MAIL Server von WinRoute ist u erst vielseitig Er ist mit SMTP POP3 kompatibel verf gt ber nahezu unbegrenzte Aliaszuordnungsmoglichkeiten und bietet eine automatische Mail Sortierung Die Benutzer k nnen eine oder mehrere E Mail Adressen verwenden und effizient in Gruppen arbeiten d h Vertrieb Support usw Alle diese Funktionen sind ungeachtet der verwendeten Internetverbindung verf gbar HTTP Cache Die Architektur von WinRoute beinhaltet eine innovative Cache Engine Im Gegensatz zu PROXY Servern mit Cache Funktionalit t speichert der Cache von WinRoute die bertragenen Daten in einer einzigen Datei mit vordefinierter Lange anstatt fur jedes Objekt eine separate Datei zu verwenden So wird vom Cache belegter Festplattenspeicher eingespart und zwar insbesondere in FAT 16 Umgebungen haupts chlich Windows 95 WinRoute Beschreibung Umfangreiche Protokoll Unterstutzung WinRoute unterst tzt alle Internet Standardprotokolle IPSEC H 323 NetMeeting Net2Phone WebPhone UnixTalk RealAudio RealVideo ICA Winframe IRC FTP HTTP Telnet PPTP Traceroute Ping Year 2000 Aol chargen cuseeme daytime discard dns echo finger gopher https imap3 imap4 pr IPX overIP netstat nntp ntp ping pop3 radius wais rcp rlogin rsh smtp snmp ssl ssh systat tacacs uucpover IP whois xtacacs 9 10 WinRoute
114. inem separaten Verzeichnis angeordnet n dem WinRoute installiert wurde In der Regel ist dies c Programm Dateien WinRoute Mail Es werden nach der Installierung keine Postfacher eingerichtet selbst wenn Benutzer eingerichtet werden Die Postfacher werden in der Regel physisch eingerichtet NACHDEM die erste E Mail f r einen Benutzer eingeht PPTP PPTP Point To Point Tunnelling Protocol ist ein VPN Protokoll das vom Betriebssystem von Microsoft verwendet wird um die verschlusselte Verbindung zwischen zwei Computern zu erstellen Protokoll Legt die Regeln f r die Daten bertragung fest 236 WinRoute Pro 4 1 GE Reference Guide Proxy Proxy ist eine andere Methode der gemeinsamen Nutzung des Internetzugriffs Proxy arbeitet mit den Daten auf einer hoheren Protokollschicht so dass das Internet Sharing nie zuverlassig funktionierte und f r jedes Netzwerkprotokoll ein spezielles Anwendungs Gateway erforderlich machte R RAS Remote Access Service bezieht s ch auf die F higkeit ber eine Remote Einwahl auf einen anderen Computer oder ein Netzwerk zuzugreifen Im Kontext von WinRoute ist mit RAS einfach die DF Verbindung gemeint Routing Tabelle Routing Tabellen sind die Summe der Kriterien die vom Betriebssystem von Microsoft generiert werden basierend auf den Einstellungen die Sie 1m Protokoll Setup von TCP IP durchf hren Die Routing Tabelle wird als Kriterium von WinRoute verwen
115. inpr gen lassen als IP Adressen So muss der Benutzer die IP Adresse des Servers mit dem er sie kommunizieren will nicht kennen Es reicht aus den richtigen Namen einzugeben z B www yahoo com und der DNS wird die tats chliche IP Adresse finden DNS Forwarder in WinRoute WinRoute ist ausgestattet mit einem DNS Modul das in der Lage ist DNS Anfragen an einen ausgew hlten DNS Server im Internet weiterzuleiten Das DNS Modul speichert die Ergebnisse der Anfragen 1m internen Cache wo sie f r eine gewisse Zeit aufbewahrt bleiben Nachfolgende wiederholte Anfragen werden dann unter Verwendung der 1m Cache gespeicherten Daten beantwortet ohne dass darauf gewartet werden muss dass die Antwort aus dem Internet eingeht WinRoute ist in der Lage DNS Anfragen entsprechend der vom Benutzer definierten HOSTS Datei zu beantworten Nachdem eine DNS Anfrage eingeht sieht WinRoute zun chst in der HOSTS Datei nach bevor die DNS Anfrage in das Internet weitergeleitet wird Wenn der entsprechende Eintrag gefunden wird wird die Anfrage gem ihres Wertes beantwortet wenn nicht wird sie an den DNS Server des Internets weitergeleitet 44 WinRoute Pro 4 1 GE Reference Guide PROXY Server In diesem Abschnitt Proxy bersicht ehe 41 Schnelle Installation au 41 Benutzer Zugangskontrolle ccccseeessesesseeeeeeeesseeeeees 43 Erweiterte Eigenschaften as 44 Dreier 45 Cache lt Einstellinsen asscn se 46 T
116. integrierten erweiterten Sicherheits und Firewallfunktionen Be Systemen auf denen Windows 95 und 98 ausgef hrt wird organisiert WinRoute das Routing der Pakete Bei Systemen mit Windows NT f hrt das NT Betriebssystem das Routing aus und WinRoute verwaltet die NAT Funktionalitat sowie andere Daten 3 Vollst ndige Flexibilit t WinRoute f hrt NAT Network Address Translation an den Schnittstellen Ihrer Wahl durch Au erdem f hrt es an den entsprechenden Schnittstellen alle voreingestellten S cherheitsroutinen durch Dadurch hat der Benutzer be der Gestaltung und Konfiguration der Sicherheitsoptionen viel Freiraum WinRoute Beschreibung 15 NAT an beiden Schnittstellen einstellen Unter Umst nden m chten Sie WinRoute nur als neutralen Access Router f r den Datenverkehr Pakete verwenden der vom Internet zu einem lokalen Netzwerk flie t Wenn Sie bereits einen gemeinsamen Internetzugang haben jedoch keine vom Internet zug nglichen Server und Anwendungen in Ihrem privaten Netzwerk ausf hren k nnen dann ist WinRoute in dieser speziellen Konfiguration m glicherweise genau die richtige L sung Folgende Dienste sollten vom Internet aus zug nglich sein Telnet Server z B AS400 WWW Server Mail Server PC Anywhere FTP Server und jeder andere Server Dienst der an einem bestimmten Port zug nglich ist WinRoute bietet Ihren Benutzern bzw Kunden zuverl ssigen und siche
117. interne IP Adresse zugewiesen wurde 5 berpr fen Sie dass der zum Internet f hrenden Netzwerkkarte die Daten Ihres ISP ordnungsgem zugewiesen wurde Bei einer dynamisch zugewiesenen IP Adresse lassen Sie die IP Adresseinstellungen frei Weitere Netzwerkeinstellungen finden Sie in den entsprechenden Kapiteln vor allem im Kapitel zur Checkliste Installation und Konfiguration 107 DirecPC Verbindung DirecPC verwendet ein Modem analog ISDN usw oder eine Netzwerkkarte Ethernet Token Ring fur die Aufwartsverbindung wahrend zum Herunterladen der Daten eine Satellitensch ssel eingesetzt wird Ihre Internetverbindung wird von DirecPC selbst bereitgestellt Alternativ konnen Sie auch den vorhandenen ISP Dienst fiir die DFU Verbindung verwenden Die Daten stromen von Ihrem Computer uber das Modem zum DirecPC Internetdienst wo sie zu ihrem endg ltigen Bestimmungsort geroutet werden Auf dem R ckweg verkn pft DirecPC die Pakete Daten die an Ihrem Computer ankommen mit verschiedenen Daten um sie ber Satellitensch ssel zu routen WinRoute Konfiguration Zunachst m ssen Sie die gesamte DirecPC Software und die Komponenten ordnungsgem installieren Anschlie end k nnen Sie WinRoute Ihren speziellen Bed rfnissen entsprechend konfigurieren F r die Aufw rtsverbindung k nnen Sie entweder die DirecPC Wahlhilfe oder WinRoute RAS verwenden Mit WinRoute konnen Sie von der Dial On Demand Funktio
118. inwahl Netzwerkeinstellungen ist ausgeschaltet Verringern des MTU Wertes Installation und Konfiguration 97 Der PPPoE Adapter f gt erg nzende Informationen zum Header jedes ausgehenden Pakets hinzu Windows verwendet standardm ig die maximal erlaubte Paketgr e Der PPPoE Adapter kompensiert dies dadurch dass er garantiert dass der MTU Wert der lokalen Maschine leicht verringert wird um die zus tzlichen zu jedem Paket hinzugefugten Informationen auszugleichen Ungl cklicherweise verwenden alle anderen Maschinen immer noch die maximale Gr e f r die bertragung Dies f hrt zum Verlust von Paketen Die folgenden Links zeigen Ihnen w e der MTU Wert an allen Clients verringert wird F r Benutzer von Windows 95 98 http www microsoft com support kb articles Q158 4 74 asp F r Benutzer von Windows NT4 2000 http www microsoft com WINDOWS2000 library resources reskit samplechapt ers cnbd cnbd trb vcfx asp 98 WinRoute Pro 4 1 GE Reference Guide Bidirektionale Kabelmodemverbindung F r die Verbindung durch Kabelmodem sind zwei Netzwerkkarten NIC im WinRoute Computer notwendig Eine Netzwerkkarte f hrt zum Internet Kabelmodem die andere NIC zum internen Netzwerk Bez glich eines unidirektionalen Kabelmodems Modem in Betrieb Kabel au er Betrieb sehen Sie in den entsprechenden Kapiteln nach ip 192 168 1 1 mask 255 255 255 0 Be dns 4 6 0 0 Br nicil Luc ip address obtai
119. ist durch eine komplizierte Verschl sselung und ein Kennwort gesichert Protokollierung WinRoute Pro verleiht jedem Administrator v llige Kontrolle ber den Datenverkehr der durch den Hostrechner auf dem das Programm ausgef hrt wird flie t Der Administrator profitiert von der Analyse des Datenflusses von TCP UDP ICMP ARP Paketen DNS Anforderungen Treiberinformationen und vielem mehr Jeder Vorgang ist mit einem Zeitstempel versehen NAT Router WinRoute Beschreibung 7 WinRoute umfasst die beste heute verf gbare Implementierung der Network Address Translation Technologie bersetzen und Verstecken der lokalen IP Adressen hinter einer einzigen ausgehenden IP Adresse Es ist darauf ausgelegt den Benutzern die neueste Routing Funktion und den neuesten Netzwerkschutz zur Verf gung zu stellen Der NAT Treiber der f r WinRoute exklusiv entwickelt wurde bietet eine Sicherheitslosung die mit teureren Produkten vergleichbar ist dabei aber wesentlich weniger kostet Erweitertes NAT Routing Mit erweitertem NAT Routing hat der Benutzer die Option die IP Ursprungsadresse ausgehender Pakete nach verschiedenen Kriterien zu ndern Damit ist eine einfache Integration lokaler Netzwerke LANs mit WinRoute in die WAN Umgebung des Unternehmens mit verschiedenen Segmenten entmilitarisierten Zonen virtuellen privaten Netzwerken usw gew hrleistet Hosting Servers hinter WinRoute WinRoute schlie
120. kann derzeit nicht ausgef hrt werden der Chat von PC zu Telefon funktioniert jedoch ICQ kann in den meisten F llen mit den Standard Einstellungen der neuesten Version ausgef hrt werden Wenn Sie bei der Anwendung von Dateientransfers auf Schwierigkeiten sto en empfehlen wir den HTTP Proxy der ach m Voreinstellungen gt Verbindungen gt Server befindet sowie die Firewall zu verwenden Aktivieren Sie den WinRoute Proxy am Standard Port 3128 zus tzlich zur Network Adress Translation Hinweis Sie sollten f r keine dieser Anwendungen irgendeine Anschlusszuordnung vornehmen m ssen Firewall Konfiguration 205 H 323 NetMeeting 3 0 WinRoute beinhaltet die Unterst tzung des H 323 Protokolls Dies bedeutet dass alle Voice Over IP Anwendungen ber WinRoute kommunizieren k nnen Solche Anwendungen sind Microsoft NetMeeting CuSeeMee Telefonieren ber das Internet Sie k nnen beispielsweise das IP Telefon von Siemens mit WinRoute ausf hren sowie andere Bei Initiierung der Kommunikation hinter WinRoute In einem solchen Fall s nd keine Einstellungen erforderlich WinRoute unterst tzt eine praktisch unbegrenzte Anzahl von simultanen Verbindungen Einrichtung der Kommunikation vom Internet aus zum PC hinter WinRoute In diesem Fall st es notwendig eine Anschlusszuordnung zu erstellen Das hei t in WinRoute muss angegeben werden wohin die eingehenden H 323 Pakete geroutet werden sollen F r die Installieru
121. l H 10060 Connection to fa winroute cz failed connect timeout 10 N 0 1999 03 16 09 mal G 0 PASS command failed 0H ow 1999 03 41 04 mail 3 0 USER command failed 40 WinRoute Pro 4 1 GE Reference Guide DHCP Server In diesem DHCP Ubersicht Abschnitt WinRoute Beschreibung 41 DHCP Ubersicht In jedem Netzwerk muss das TCP IP Protokoll richtig konfiguriert sein Das bedeutet dass die IP Adresse die Netzwerk Maske die Adresse des Standard Gateways die DNS Serveradresse usw an jedem Computer konfiguriert sein muss Wenn die mit der Wartung betraute Person die Parameter f r eine gro e Anzahl von Arbeitstationen manuell einrichten muss ist es schwierig Fehler zu vermeiden Dazu geh rt z B die doppelte Verwendung einer Adresse durch die es zu Kollisionen kommen kann In diesem Fall funktioniert das gesamte Netzwerk nicht mehr ordnungsgem Dynamic Host Configuration Protocol DHCP ist eine WinRoute Implementierung mit der die Aufgabe der Netzwerkadministration vereinfacht werden soll DHCP wird f r eine dynamische Konfiguration des TCP IP Protokolls der Computer verwendet Beim Computerstart sendet der DHCP Client Computer eine Anfrage Wenn der DHCP Server eine Anfrage erhalt wahlt er die Parameter zur TCP IP Konfiguration fur den Client aus Die Parameter sind die IP Adresse Netzwerk Maske Standard Gateway DNS Serveradresse Dom nenbezeichnung der Clients usw Mit diesen Parametern erst
122. l Server von WinRoute verf gt ber eine solche Funktion d h er kann die E Mail automatisch be jedem mit POP3 kompatiblen Mail Server abholen und diese weiter an die Postf cher lokaler Empf nger verteilen POP3 Protokoll ist ein TCP Protokoll das an Port 110 ausgef hrt wird Wenn Sie auf diesen Protokoll Mail Server zugreifen m chten der hinter oder auf dem WinRoute Computer ausgef hrt wird um Ihre E Mail AUS dem Internet abzuholen m ssen Sie die Anschlusszuordnung f r das TCP Protokoll durchf hren Port 110 gesendet an private IP Adresse des PCs der den Mail Server ausf hrt Port Ein Port ist eine 16 Bit Nummer mit einer zulassigen Bandbreite von 1 bis 65535 die von den Protokollen der Transportschicht verwendet wird dem TCP und dem UDP Protokoll Ports werden dazu verwendet Anwendungen Dienste die auf einem Computer ausgef hrt werden zu adressieren Wenn nur eine einzige Netzwerk Anwendung am Computer ausgefuhrt wird sind keine Port Nummern erforderlich und die IP Adresse allem reicht aus um Dienste abzurufen Einige Anwendungen k nnen jedoch gleichzeitig an einem bestimmten Computer ausgef hrt werden und m ssen daher unterschieden werden Dies ist der Verwendungszweck von Port Nummern Somit kann eine Port Nummer als Adresse einer Anwendung innerhalb des Computers angesehen werden Glossar der Terminologie 235 Postf cher in WinRoute Die Postf cher werden in e
123. lation Deinstallieren Sie sowohl die Server als auch die Client Software Entfernen Sie das TCP IP Protokoll starten Sie den Computer neu und rufen Sie TCP IP wieder auf Microsoft Internet Connection Sharing Deinstallieren Sie MS ICS vor der Installation entfernen Sie das TCP IP Protokoll starten Sie den Computer neu und rufen Sie TCP IP wieder auf WinProxy von Ositis Deinstallieren Sie WinProxy vor der Installation entfernen Sie das TCP IP Protokoll starten Sie den Computer neu und rufen Sie TCP IP wieder auf Installation und Konfiguration 75 Alle oben genannten Programme verwenden Treiber die mit niedrigeren Ebenen des mit WinRoute ausgef hrten Netzwerkprotokolls nicht ordnungsgem arbeiten Routing Tabelle Es ist m glich dass auch dann eine Fehlfunktion auftritt wenn sie alle Komponenten erfolgreich installiert und konfiguriert haben Leider ist das Betriebssystem Windows 95 98 NT nicht gut f r die Netzwerkarbeit geeignet Mitunter funktioniert das Setup auch dann nicht wenn Sie WinRoute installiert haben und die Netzwerkeinstellungen korrekt sind Sehen Sie in diesem Fall in der Routing Tabelle nach und wahlen Sie eine der folgenden Moglichkeiten aus Fixieren Sie die Routen indem Sie sie zun chst l schen und dann wieder hinzufugen nur fur erfahrene Benutzer oder Entfernen Sie das TCP IP Protokoll komplett fahren Sie den Computer erneut hoch und f gen Sie es wieder hinzu Die Leistungsfahi
124. len Sie auf der Registerkarte RAS die Verbindung zu Ihrem ISP aus Geben S e anschlie end Ihren Benutzernamen und das Kennwort ein gt Hinweis Deaktivieren Sie das Kontrollk stchen Standard Gateway am Remote Netzwerk verwenden in den Eigenschaften des DF Netzwerkkontos das erstellt wird um die Verbindung mit dem ISP herzustellen Richten Sie diese Option in den TCP IP Eigenschaften Ihrer DF Schnittstelle ein 2 Verwenden der DirecPC Wahlhilfe f r den Verbindungsaufbau Sie k nnen falls verf gbar die in DirecPC integrierte Wahlhilfe verwenden Wir empfehlen jedoch wenn m glich die WinRoute RAS Leitung zu verwenden ip 182 168 1 1 9 mask 255 255 255 0 po gu none dns 4 8 0 0 ip 192 168 1 2 4 mask 255 255 255 0 daa gu 192 165 1 1 dns 4 6 0 0 f DEE ip 194 29 201 197 7 mask 255 255 255 0 gu 194 25 201 1 MAT So verwenden Sie die DirecPC Wahlhilfe W hlen S e das Men Einstellungen gt Schnittstellentabelle Es werden die Schnittstelle der RAS Leitung Ihr Modem und die Netzwerkkarte von DirecPC angezeigt Klicken Sie auf die Netzwerkkarte von DirecPC und w hlen Sie Eigenschaften Es werden zwei Registerkarten angezeigt NAT und DirecPC Aktivieren S e das Kontrollk stchen NAT mit dieser IP Adresse der Schnittstelle f r den gesamten passierenden Datenverkehr ausf hren auf der Registerkarte NAT 110 WinRoute Pro 4 1 GE Reference Guide Wahlen S
125. m Archiv Dateien nicht zwischenspeichern da Sie diese nicht wiederholt herunterladen 54 WinRoute Pro 4 1 GE Reference Guide Time to Live Sie k nnen Standard Time To Live TTL Werte festlegen falls f r eine Webseite keine TTL definiert wurde oder falls Sie die vom Server gelieferten TTL Werte ignorieren m chten siehe die Option Server mit Time to Live verwenden auf der Registerkarte Cache Proxy Server Settings Wull CHE COMM WA bloomberg Com Wull CATS COM WinRoute Beschreibung 55 Protokollspezifische Einstellungen Hier k nnen Sie die Standard Time to Live in Tagen f r die HTTP FTP und Gopher Protokolle einstellen URL spezifische Einstellungen Wenn Sie individuelle Time to Live Werte fiir einige Domanen Web Server oder individuelle Seiten festlegen m chten geben Sie die einzelnen URLs hier ein Sie k nnen die TTL in Tagen und oder Stunden festlegen Sie konnen Sternchen als Platzhalter im URL verwenden Als neue Funktion von Winroute wird ein Test f r Teil Zeichenfolgen durchgef hrt um die bereinstimmung mit den URLs zu pr fen Sie k nnen einfach ftp eingeben um alle Server zu erhalten die ftp 1m Namen tragen Vorher mussten Sie ftp eingeben um diesen Fall mit einzubeziehen Wir m chten Sie darauf hinweisen dass wenn Sie Server mit Time to Live verwenden auf der Registerkarte Cache aktiviert haben die vom Server gelieferte TTL ber eine h here Priorit
126. m die Software die Kontrolle ber die Netzwerkschnittstelle bernimmt Innerhalb dieses kritischen Moments kann die Sicherheit komplett gef hrdet werden Der Treiber oder die Engine von WinRoute aktiviert sich wenn die Kernroutinen des Windows Betriebssystems der Kernel sich selbst n den Speicher laden Genau gesagt l dt sich die Engine bevor die NDIS Network Device Interface Specification Module geladen werden so dass keine Verbindung unterst tzt wird bevor WinRoute aktiv ist So ist der Schutz aller Schnittstellen akt v bevor sch dlicher Datenverkehr oder andere Angriffe das System beeintr chtigen k nnen Dies ist eine positive Eigenschaft im Vergleich zu Einzelprodukten zur Erkennung von Angriffen die als Service funktionieren und erst aktiv sind wenn das System hochgefahren ist inkoute Proxy Mail DNS GHCP server TEFAF protocol Winkoute inpection module anti 2poofing packet titer MAT EE adapter WAN subsystem driver network adapter modem ISDN WinRoute Beschreibung 27 WinRoute umschliesst NDIS auf spezifische Weise so dass der gesamte TCP IP Verkehr vom Treiber der Netzwerkkarte auf die Engine umgeleitet wird bevor er zum Netzwerkkommunikationsstack des eigentlichen Betriebssystems gelangt Diese Einbringung auf niedrigem Niveau in das Betriebssystem erlaubt der WinRoute Engine eine einzigartige Perspektive im Bezug auf den gesamten Netzwerkverkehr der auf jeder Schnittstelle ankommt egal ob ein
127. n 1 Gehen Sie zum Men Einstellungen gt Schnittstellentabelle 2 Wahlen Sie die Netzwerkkarte die zum Internet f hrt klicken Sie auf Eigenschaften und aktivieren S e NAT mit der IP Adresse dieser Schnittstelle f r den gesamten passierenden Datenverkehr ausf hren Wenn S e das Dialogfeld Schnittstellentabelle ffnen sehen S e neben dieser externen Verbindung NAT EIN angezeigt 3 berpr fen Sie dass NAT an der Schnittstelle zum internen Netzwerk NICHT EIN ist Gehen Sie zu den Eigenschaften dieser Schnittstelle in der Schnittstellentabelle 4 berpr fen Sie dass KEIN Gateway in den TCP IP Eigenschaften der internen Netzwerkkarte eingerichtet ist Gehen Sie zu den Netzwerkeinstellungen Stellen Sie au erdem sicher dass der Netzwerkkarte eine IP Adresse zugewiesen ist Installation und Konfiguration 95 5 berpr fen Sie dass die Netzwerkkarte zum Internet mit den Daten von Ihrem ISP richtig zugewiesen wurde Falls Sie dynamisch zugewiesene IP Adressen haben lassen Sie die IP Adresseinstellungen frei Weitere Netzwerkeinstellungen finden Sie in den entsprechenden Kapiteln insbesondere unter Checkliste 96 WinRoute Pro 4 1 GE Reference Guide PPPoE DSL Verbindung PPPoE ist eine vor kurzem eingesetzte Technologie fur viele DSL Abonnenten bzw Teilnehmer Wenngleich es derzeit von verschiedenen ISPs umfassend eingesetzt wird bietet es den Benutzern unzureichende Leistung und ist derzeit ni
128. n Sie m ssen Ihren Router so einstellen dass alle in das Internet gehenden Pakete ber den WinRoute PC geroutet werden Alle anderen Netzwerkeinstellungen werden den Erl uterungen in anderen Kapiteln entsprechend durchgef hrt Netzwerkeinstellung 190 WinRoute Pro 4 1 GE Reference Guide Einstellungen fur Netzwerk2 sekundares Netzwerk Alle Einstellungen entsprechen den regul ren Einstellungen bei denen Netzwerk2 ein eigenst ndiges Netzwerk darstellt Das Default Gateway an allen Computern von Netzwerk2 werden auf die IP Adresse des Routers von Netzwerk2 eingestellt 192 168 2 1 in unserem Beispiel NAT zwischen Netzwerk1 und Netzwerk2 Figure 2 Connecting cascaded segments to the Internet Mit WinRoute und NAT EIN k nnen Sie das prim re und das sekund re Netzwerk verbinden Das sekund re Netzwerk erscheint wie ein einzelner Computer so dass Sie von einer einfacheren Administration und erh hter Sicherheit des sekund ren Netzwerks profitieren k nnen Die Einstellungen f r das erweiterte NAT m ssen ordnungsgem vorgenommen werden denn der Verkehr zwischen den beiden Netzwerken soll nicht modifiziert werden Einsatzbeispiele 191 ip 192 168 1 1 Network 1 mask 255 255 255 0 ae ip 192 168 1 2 4 mask 255 255 255 0 gu 192 168 1 1 dns 4 6 0 0 ip 192 165 1 100 ip 206 86181 25 mask 255 255 255 0 mask 255 255 255 0 Ei Keck S ONS ABCD gw 206 686 1681 57 Network 2
129. n IP Adressen sind Sie innerhalb Ihres privaten Netzwerks ber ffentliche IP Adressen verf gen m chten Denken Sie daran mit Ihrem ISP abzusprechen dass diese IP Adressen an Ihre IP Adresse geroutet werden WinRoute Beschreibung 23 Beispiele f r erweiterte NAT Einstellungen finden Sie m Kapitel ber das erweiterte Inter Networking Advanced NAT x Advanced NAT Gett EM x Source Packet Description SOUE Any address sl Destination Network Mask sl IP Address i 932 168 1 0 Mask 255 255 255 0 T Only when outgoing interface is Lan sl NAT Log Packet Ge Do not MAT T Log into file C Do NAT with specified IF address T Log into window lE address IP Ursprungsadresse IP Zieladresse S e k nnen erweiterte NAT Einstellungen durchf hren basierend auf der IP Adresse von der aus diese gesendet werden Ursprung oder an die sie gesendet werden Ziel Als Quelle k nnen Sie die Host IP eingeben das gesamte Netzwerk durch Netzwerk Maske begrenzt oder die Gruppe der IP Adressen die zuvor im Men Einstellungen gt Erweitert gt Adressengruppen erstellt wurde Keine NAT durchf hren Falls ausgew hlt werden die durch das Internet str menden Pakete nicht ver ndert NAT mit spezieller IP Adresse durchf hren Falls ausgew hlt werden die durch das Internet transportierten Pakete so ver ndert als stammten sie von der gew nschten IP Adresse 24 WinRoute Pro 4 1 GE Referenc
130. n Sie dann das Standard Gateway Ihres ISP in das Feld GW ein z B 194 196 1 33 Erh hen des Datendurchsatzes Um bei der Verbindung mit dem Internet ber DirecPC den gr tm glichen Datendurchsatz zu erhalten verkleinern Sie das TCP Empfangsfenster auf allen Computern die DirecPC verwenden In Windows NT 1 Gehen Sie zur Registrierung HKEY LOCAL MACHINE SYSTEM CurrentControlSet Services Tcpip Pa rameters 2 F gen Sie einen Eintrag mit Namen TcpWindowSize zur Registrierung hinzu falls er besteht bearbeiten Sie den vorhandenen Stellen Sie seinen Wert auf OxBB80 ein In Windows 95 1 Gehen Sie zur Registrierung HKEY LOCAL MACHINE System CurrentControlSet Services VxD MST CP 2 Figen Sie einen Eintrag mit Namen DefaultRcvWindow zur Registrierung hinzu falls er besteht bearbeiten Sie den vorhandenen Stellen Sie seinen Wert auf OxBB80 ein Installation und Konfiguration 113 Sicherheitseinstellu ngen In diesem Abschnitt ENKE EE 96 NAT Sucherbhetsoptonen nennen 96 Paketfilter Einstellungen c cc cccccceeceececeeeeseeeeeeseeseeeees 99 Beispiel f r ein Paketfilter Regelsatz 102 Musterbeispiel Paketfilter Regelsatz f r eingehenden HTTP und FTP 103 Zulassen der Kommunikation an bestimmten Ports 103 Wie Benutzer dazu veranlasst werden den Proxy Server zu verwenden 106 114 WinRoute Pro 4 1 GE Reference Guide NAT Sicherheit WinRoute fuhrt
131. n der internen Schnittstelle einer WinRoute Firewall nicht bekannt ist ist es praktisch unm glich ein System m internen Netzwerk das NAT verwendet direkt anzugreifen 12 WinRoute Pro 4 1 GE Reference Guide Wie NAT funktioniert Network Address Translation NAT ist ein Prozess mit dem Pakete die von und zu einem lokalen Netzwerk LAN von oder zum Internet oder einem anderen auf IP basierenden Netzwerk gesendet werden modifiziert Abgehende Pakete Pakete die auf dem Weg vom LAN die Network Address Tranlation Engine passieren werden so ver ndert oder bersetzt dass sie aussehen als kamen sie von dem NAT ausf hrenden Computer dieser Computer ist direkt mit dem Internet verbunden Im Grunde wird jedoch nur die IP Ursprungsadresse im Header durch die ffentliche IP Adresse des NAT Computers ersetzt Die NAT Engine erstellt dar ber hinaus eine Datensatztabelle f r jedes Paket das das Internet passiert hat NI Network Interface MIT 192 168 1 1 MAT MI 2 195 75 16 65 WinFoute 16 64 Ele ee 4 packet sre 192 168 1 22 7996 dst 194 196 Ip A7 90 echt 15507 1RR 1 oF IF 13H FA 1R A WinRoute Beschreibung 13 Eingehende Pakete Pakete die NAT auf dem Weg zum LAN passieren werden mit den von der NAT Engine gespeicherten Datensatzen verglichen Dabei wird die IP Zieladresse basierend auf Datensatzen in der Datenbank wieder auf die spezifische interne private IP Adresse zur
132. n e 50 ETRN 231 F Index 239 Fehler Protokoll e 39 Fernbedienung e 65 Firewall e 231 Firewall Konfiguration e 200 Flags e 232 FTP 232 FTP_Server hinter WinRoute mit einem nicht Standard Port 176 FTP Aspekte unter Verwendung Nicht Standart Portz 175 G Gateway e 232 Gemeinsame Nutzung der Verbindung f r zwei Netzwerke mit 2 IP Adressen 185 Gemeinsame Nutzung der Verbindung f r zwei Netzwerke mit einer IP Adresse 183 H H 323 NetMeeting 3 0 206 Half Life 220 Herstellen der Internetverbindung 93 HTTP Proxy Protokoll e 36 ICMP 232 Installation und Konfiguration e 69 Internettelefonie BuddyPhone 211 IP address e 232 IP Konfiguration manuelle Zuweisung e 90 IP Konfiguration mit DHCP Server e 87 99 240 WinRoute Pro 4 1 GE Reference Guide IP Konfiguration mit drittem DHCP Server e 89 IPSEC e 233 IPSEC VPN e 154 IPSEC NOVELL und PPTP VPN L sungen e 154 IRC Internet Relay Chat 208 K Korrekte Anschlusszuordnung e 201 L LAN e 233 M MAC Adresse 233 Mail Benutzer 132 Mal Protokoll 38 MAIL Server 60 Mehrere Betriebssysteme in einer Netzwerkumgebung Linux AS400 Apple 179 Mehrere Domains e 145 Messaging und Telefonie e 205 MSN Gaming Zone e 220 MS Terminal Server 210 Multi NAT 22 Multiport Ethernet Adapter e 193 Musterbeispiel Paketfilter Regelsatz f r eingehenden HTTP und FTP 124 MX Records e 233
133. n profitieren die Ihnen eine erhebliche Kostenersparnis einbringt 1 Verwenden der RAS Leitung f r die Aufw rtsverbindung ip 182 168 1 1 mask 255 255 255 0 es gui none dns 4 6 6 0 ip 192 168 1 2 4 mask 255 255 255 0 FR gw 192 168 1 1 Ons A B 0 B Minat BICNDISS 1 F ELDO ip 194 25 201 157 mask 255 255 255 0 ga 194 25 2041 1 MAT 108 WinRoute Pro 4 1 GE Reference Guide Gehen Sie in das Men Einstellungen gt Schnittstellentabelle Hier wird die Schnittstelle der RAS Leitung Ihr Modem und die DirecPC Netzwerkkarte angezeigt Klicken Sie auf die DirecPC Netzwerkkarte und klicken Sie auf Eigenschaften Es werden zwei Registerkarten angezeigt NAT und DirecPC Aktivieren Sie auf der Registerkarte NAT das Kontrollk stchen NAT mit dieser Schnittstelle f r den gesamten passierenden Datenverkehr ausf hren Wahlen Sie auf der Registerkarte DirecPC line0 f r die Aufw rtsverbindung Geben Sie die Gateway IP Adresse ein die Sie von DirecPC erhalten haben MAT Duech Setting Send outgoing packets through DiecPC dial up f Through interface Ire Lech Gateway 134 25 200 133 Sum Installation und Konfiguration 109 3 Klicken Sie auf die RAS Schnittstelle und klicken Sie auf Eigenschaften Aktivieren Sie NAT mit der IP Adresse dieser Schnittstelle f r den gesamten passierenden Datenverkehr ausf hren W h
134. n soll oder ob ein Hub aussreicht In unserem Szenarium gibt es einen Hub der gen gend Funktionalit t bietet damit zwei Netzwerke gemeinsam eine Hochgeschwindigkeitsverbindung zum Internet nutzen k nnen So richten Sie WinRoute ein damit NAT basierend auf dem Ziel des Pakets nicht ausgef hrt wird 1 Gehen Sie in das Men Einstellungen gt Erweitert gt NAT 2 Geben Sie die Zielkriterien ein normalerweise das Teilnetz oder der IP Adressbereich 3 Wahlen Sie die Option NAT nicht ausf hren Advanced NAT x Advanced HAT Sett FERE EIA E Source Packet Description Source law address sl Destination Network Mask D IP Address 192 168 1 0 Mask 255 255 255 0 T Only when outgoing interface is LAN MAT Log Facket Do not NAT T Log into file Do NAT with specified IF address T Log into window IE address 186 WinRoute Pro 4 1 GE Reference Guide Tipp Bei der Einstellung des erweiterten NAT werden Sie eine andere Option vorfinden die besagt dass NAT nicht durchgefuhrt wird basierend auf eine Source IP Adresse Diese Einstellung kann sinnvoll sein wenn Sie wissen welche Arbeitsstationen nicht auf das Internet zugreifen mussen Statt Firewall Kriterien einzurichten finden Sie eher eine andere L sung in den erweiterten NAT Einstellungen Wenn Sie mit speziellen Paketen kein NAT durchf hren d h wenn die Ursprungsadresse so bleiben w rde wie die interne IP Adresse werden Sie keine
135. ned via DHCP cr assigned manually NAT NIC Network Interface Card WinRoute Konfiguration 1 Gehen Sie in das Men Einstellungen gt Schnittstellentabelle 2 W hlen Sie die Netzwerkkarte aus die zum Internet f hrt klicken Sie auf Eigenschaften und aktivieren Sie NAT ausf hren mit der IP Adresse der Schnittstelle f r die gesamte durch das Netz str mende Kommunikation Wenn S e das Dialogfeld Schnittstellentabelle ffnen wird neben dieser externen Leitung NAT EIN angezeigt 3 berpr fen Sie dass f r NAT an der Schnittstelle zum internen Netzwerk NICHT EIN angezeigt ist gehen Sie zu den Eigenschaften dieser Schnittstelle in der Schnittstellentabelle 4 berpr fen Sie dass KEIN Gateway in den TCP IP Eigenschaften der internen Netzwerkkarte festgelegt ist gehen Sie zu den Netzwerkeinstellungen und der Netzwerkkarte eine interne IP Adresse zugewiesen wurde Installation und Konfiguration 99 5 berpr fen Sie dass der zum Internet f hrenden Netzwerkkarte Daten Ihres ISP zugewiesen wurden Bei dynamisch zugewiesenen IP Adressen geben Sie keine IP Adressen Einstellungen ein Weitere Netzwerkeinstellungen finden Sie m den entsprechenden Kapiteln z B Checkliste IP Konfiguration Unidirektionales Kabelmodem Modem in Betrieb Kabel ausser Betrieb HINWEIS Dieser Typ der Inernetverbindung ist keine offiziell unterst tzte Konfiguration da die Einstellungen von ISP zu ISP variieren k nnen Wir
136. nem PC auf dem Win95 W n98 oder NT4 0 ausgef hrt wird ber einen DEU Zugang zum Internet verf gen die blichen 56K oder ISDN haben Sie alles was Sie brauchen um WinRoute auszuf hren WinRoute muss auf einem Computer ausgef hrt werden auf dem Folgendes installiert ist ein an das Telefon oder die ISDN Leitung angeschlossenes Modem 102 WinRoute Pro 4 1 GE Reference Guide eine zum internen Netzwerk f hrende Netzwerkkarte NIC ip 192 168 1 1 C mask 255 255 255 0 pty Hu none dns A B C D 5 d RAS lined Lean F M NAT ip 192 168 1 2 4 mask 255 255 255 0 gw 182 168 1 1 dns A B C D modem Binni Wenn Sie ber ein ISDN Modem verf gen das ber Ethernetkarte mit Ihrem Computer verbunden ist lesen Sie im Kapitel ber die Verbindung ber DSL nach In diesem Fall konfigurieren Sie WinRoute so dass es mit zwei Ethernetkarten arbeitet Vor dem Verbindungsaufbau Bevor Sie die Verbindung zum Internet herstellen berpr fen Sie folgende Punkte Das TCP IP Protokll ist richtig installiert und konfiguriert siehe Checkliste oder Kapitel zu der Netzwerkeinstellung Das DFU Netzwerk Windows 95 98 oder der RAS Dienst WindowsNT ist richtig installiert und konfiguriert Das Modem ist an den Host PC von WinRoute angeschlossen Installation und Konfiguration 103 WinRoute verwendet das DFU Netzwerk oder RAS Dienste die in Ihrem Betriebssystem zur Verf g
137. ng Anti Spam Advanced Send and Recive Mail Start mail exchange when mail server has received new outgoing mail Ri It fernab Zet r Le onra zack sable tee AAC be dial amn Inkarnat pto acler i Add Rule ef Schedule Action Send and Recieve Mail Time Ge Even C At 00 00 iM Execute only when mail server s outgoing message queue is not empty Settings E Rremote server ts unreachable use RSS to dialan Internet provider Walid at C Always valid Sun W Mon Tue Wed Thu W Fi W Sat Walid at time interval rush hours sl Fur den Empfang von Nachrichten k nnen Sie eine genaue Zeit angeben wann wann S e Ihre E Mail abholen m chten Durch Kombinieren verschiedener Regeln l sst s ch die Abholung Ihrer E Mail so effizient w e m glich gestalten 1 Gehen Sie in das Men Einstellungen gt Mail Server gt Zeitplan 2 Geben Sie die gew nschten Optionen an und f gen Sie neue Regeln f r die E Mail h nzu Installation und Konfiguration 141 gt Hinweis Regeln fur die Zeitintervalle m ssen im Menu Einstellungen gt Erweitert gt Zeitintervalle festgelegt werden Empfang von E Mail In diesem Abschnitt Sie haben eine Domain GMIP 116 tee ee 118 Sie haben eine dem POP3 Konto zugewiesene Domain 118 E Mail empfangen Sie haben mehrere Mailboxes bei Ihrem ISP 119 142 WinRoute Pro 4 1 GE Reference Guide Sie haben eine Domain SMTP WinRoute s Ma Server ist
138. ng der folgenden Anschlusszuordnung notwendig Protokoll TCP berwachungs IP Adresse die f r H 323 IP verwendet wird nicht spezifiziert bei Vorliegen eines Multihome Systems berwachungs 1720 Port Ziel IP Die LAN IP Adresse der H 323 Anwendung 206 WinRoute Pro 4 1 GE Reference Guide Ziel Port 1720 H 323 Protokoll wird nicht nur an Port 1720 ausgef hrt WinRoute f gt die anderen Verbindungen automatisch hinzu Aufgrund der Begrenzung des H 323 Protokolls wird immer nur eine Arbeitsstation eine solche Kommunikation durchf hren k nnen nicht mehrere gleichzeitig Firewall Konfiguration 207 IRC Internet Relay Chat Fur die Ausf hrung des IRC Client sind keine besonderen Einstellungen erforderlich Selbst DCC Direkt Chat Senden Empfangen von Dateien funktioniert automatisch wenn Sie den Standard Port 6667 in Ihrem IRC verwenden Um den IRC Server hinter NAT auszuf hren ordnen Sie bitte die folgenden Anschl sse zu Protokoll TCP berwachungs IP nicht spezifiziert oder die IP die Sie f r Ihren IRC Server verwenden m chten berwachungs Port 6667 Ziel IP IP Adresse des PC mit Ihrem IRC Server Ziel Port 6667 Die Verwendung irgendeines anderen Port als den Standard Port f hrt dazu dass DCC nicht funktiontert 208 WinRoute Pro 4 1 GE Reference Guide CITRIX Metaframe WinRoute unterst tzt das CITRIX Metaframe Protokoll vollst ndig Um aus dem Internet auf den CITRIX Meta
139. ng genutzt wird die Adresse des VPN Client ist Die Kalkulation f r den Autorisierungs Header von IPSEC basiert auf dieser Adresse und der Adresse des Ziel VPN Servers Daher schl gt die Kalkulation wenn eine der Adressen VPN Client oder VPN Server durch NAT modifiziert wird bei Ankunft am Ziel VPN Server fehl und das Paket wird nicht ber cksichtigt Es ist jedoch sehr wahrscheinlich dass NAT die IPSEC Pakete verwirft da NAT nur TCP UDP und Internet Control Message Protocol ICMP Pakete bearbeitet Wenn Sie ber Arbeitsstationen innerhalb eines Intranets verf gen die auf sichere Weise gsch tzt durch einen VPN Server mit anderen Netzwerken ber das Internet kommunizieren m ssen schlagen wir Ihnen vor die Site to Site VPN Funktion der Novell Border Manager Enterprise Edition zu verwenden anstelle der Client to Site VPN Der Novell Border Manager Enterprise Server ist jedoch sehr teuer f r Privatnutzer H nzu kommt dass ein erweitertes Setup der statischen Routes des entfernten Netzwerks auf das zugegriffen wird n tig st Die oben genannte L sung von Novell st daher nicht geeignet wenn man sein lokales Netzwerk das NAT verwendet mit dem Novell Border Manager VPN mit einem entfernten Netzwerk verbinden will Einsatzbeispiele 159 Interessanterweise ist es m glich das lokale Netzwerk das NAT verwendet mit einem entfernten Netzwerk welches WinRoute Pro und den Novell Border Manager VPN Client v
140. nicht der privaten Die Uberwachungs IP sollte nicht spezifiziert bleiben F r die Kontroll Verbindung Protokoll TCP berwachungs IP Einsatzbeispiele 161 Uberwachungs Port 1723 Ziel IP IP Adresse Ihres PPTP Servers z B 192 168 1 12 Ziel Port 1723 F r GRE PPTP Pakete Protokoll PPTP Uberwachungs IP Ziel IP IP Adresse Ihres PPTP Servers z B 192 168 1 12 Nach dem Einrichten der Anschlusszuordnung wie oben beschrieben k nnen Sie Ihren PPTP Server berall hinter WinRoute EINSCHLIESSLICH des WinRoute ausf hrenden Computers einrichten Die Benutzer greifen auf Ihren PPTP Server zu indem Sie sich ber die externe ffentliche IP Adresse Ihres Netzwerks einw hlen Wenn die Pakete den WinRoute Computer erreichen werden diese automatisch an den richtigen Computer hinter der Firewall weitergeleitet Beispiele f r PPTP L sungen WinRoute erm glicht einen sehr kosteneffizienten Weg ein eigenes WAN zwischen mit dem Internet verbundenen Niederlassungen einzurichten Wir gehen davon aus dass die Leser dieses Handbuchs ber Grundkenntnisse im Bereich Netzwerk und WindowsNT verf gen Ein solches WAN l sst sich in einigen einfachen Schritten einrichten 1 berpr fen Sie die Umgebung NT Server an beiden Enden WinRoute Pro ist an beiden Enden installiert RRAS Stealhead ist an beiden NAT Servern installiert 2 Erstellen Sie eine statische Route an beiden NT Servern die sp
141. ns sales Deliver To e IF no ru Close 148 WinRoute Pro 4 1 GE Reference Guide E Mail empfangen Sie haben mehrere Mailboxes bei Ihrem ISP WinRoute ist in der Lage verschiedene Konten bei den verschiedenen ISPs zu uberprufen und automatisch die erhaltene E Mail an die lokalen Empfanger senden re o INTERNET Cc ISP mailboxes Me Clients u 1 Gehen Sie in das Men Einstellungen gt Mail Server gt Remote POP3 f gen Sie ein neues Konto hinzu und geben Sie die entsprechenden Details ein 2 Im Feld f r Senden an w hlen Sie den Empf nger oder die Gruppe von Empf ngern aus Installation und Konfiguration 149 Hail Server Settings E3 General Aliases Remote PUPS Scheduling Anti Spam Advanced Remote POPS Accounts Gadd Account ES POPS Account a POPS Username Jcompary CH Password E POPS Server mai isp net POPS Authentication Ge plaintest C APOP Deliver To Sorting Rules OF Cancel Apply Softwareeinstellungen fur den E Mail Client In diesem Abschnitt WinRoute Mal Server cccccccceeeeeeseeeeeeeeeeeeeeeeeeeees 120 Wie Sie den Mail Server von WinRoute umgehen 121 150 WinRoute Pro 4 1 GE Reference Guide WinRoute Mail Server E Mail uber den Mail Server von WinRoute Um den Mail Server von WinRoute zu verwenden m ssen Sie Ihre E Mail Client Software konfigurieren Der WinRoute Computer
142. ntwort Zugriff erlauben TCP erlauben ICMP Jede Jede beliebige beliebige Adresse Adresse I Jede Jede beliebige beliebige Adresse Adresse Hinweis Diese letzte Cleanup Regel greift in jedes Tool zur Paket berwachung des Netzwerks e n das auf diesem Host verwendet wird Verwerfen in Fenster 124 WinRoute Pro 4 1 GE Reference Guide Musterbeispiel Paketfilter Regelsatz fur eingehenden HTTP und FTP Protokoll Ursprung Ziel ICMP Aktion Protokollie Typen ren Jede beliebige Adresse jeder beliebige Port dieser Host Port 80 Jede beliebige Adresse dieser Host Port 21 jeder beliebige Port Jede beliebige Adresse jeder beliebige Port dieser Host Port 20 Zugang erlauben Zugang erlauben Zugang erlauben Zulassen der Kommunikation an bestimmten Ports Sie mochten folgende Regeln anwenden maximale Sicherheit Zugriff auf Ihren Web Server erlauben optional optional optional Be Err HI auf Err Ko die Err FT die pas Of nic Installation und Konfiguration 125 Kommunikation mit Ihrem SMTP Server erlauben Abholung von E Mail aus dem Internet ber Ihren Mail Server erlauben Zugriff auf Ihren FTP Server erlauben Maximale Sicherheit Eingehend Registerkarte Protokoll TCP alle eingehenden Pakete ablehnen Quell IP Beliebig Ziel IP Beliebig Quell Port Beliebig Ziel Port Beliebig Diese Regel
143. ollst ndige Kontrolle des Benutzerzugangs Der Netzwerkadministrator m chte dass Benutzer Zugriff auf Ihr Netzwerk erhalten Bei vielen Netzwerkinstallationen werden Web oder FTP Server hinter dem WinRoute System ausgef hrt d e ffentlichen Zugriff erfordern Im oben genannten Fall w rde man die Regeln f r eingehende Pakete n der folgenden Reihenfolge einstellen l Pakete die an Port 80 gehen von jedem Host zulassen 2 Pakete die an Port 21 gehen von jedem Host zulassen 3 Alle Pakete ablehnen 122 WinRoute Pro 4 1 GE Reference Guide Wenn das ankommende Paket der Regel 1 oder 2 entspricht wird das Paket durchgelassen und Regel 3 wird nicht angewandt Entspricht das Paket Regel 1 oder 2 nicht w rd es abgelehnt Packet Filter Incoming Outgoing 8 LAN NIC Kingston ey TCP 205 206 78 45 port 80 gt Any host all ports A TCP Ary host all ports gt Any host all ports SE Internet NIC LinkSys G Edit Remove OF Cancel Apply Installation und Konfiguration 123 Beispiel fur ein Paketfilter Regelsatz Regeln f r eingehende Pakete vergewissern Sie sich dass sie dieser Reihenfolge entsprechen Protokoll Ursprung Ziel ICMP Aktion Protokollieren Typen UDP Jede Jede beliebige Zulassen beliebige Adresse Adresse Port gt 1023 Port 53 TCP Jede Jede beliebige Eingerichtetes beliebige Adresse Adresse jeder Port gt 1023 beliebige Port P Echo A
144. omane com senden solche Anfragen an die richtige lokale Adresse gesendet Einsatzbeispiele 169 Ausfuhren von WWW FTP DNS und Telnet Servern hinter WinRoute In diesem Abschnitt Ausf hren eines WWW Servers hinter NAT 139 Ausf hren eines DNS Servers hinter NAT 140 Ausf hren eines FTP Servers hinter NAT 141 Ausf hren des MAIL Servers hinter NAT 142 Ausf hren des Telnet Servers hinter NAT 143 Ausf hren eines WWW Servers hinter NAT So f hren Sie den Webserver hinter NAT aus 1 Gehen Sie zum Men Einstellungen gt Erweitert gt Anschlusszuordnung 2 F gen Sie eine neue Anschlusszuordnung hinzu Protokoll TCP berwachungs IP nicht spezifiziert bzw die IP Adresse die mit der Dom ne assoziiert ist Eine solche IP Adresse muss der Schnittstelle zugeordnet sein berwachungs Port 80 Ziel IP die IP Adresse des Webservers z B 192 168 1 10 Ziel Port 80 170 WinRoute Pro 4 1 GE Reference Guide Der Zugang zu diesen Diensten erfolgt entweder uber den Domanennamen oder die ffentliche IP Adresse Ihres Netzwerks Nachdem die Pakete WinRoute erreicht haben werden s e automatisch an den internen Computer mit der entsprechenden internen IP Adresse umgeleitet Ausf hren eines DNS Servers hinter NAT Der in WinRoute integrierte DNS Forwarder erm glicht es DNS Anfragen an regul re DN
145. on Mu incoming mail server is 4 ZENET Incoming mail POP3 621955812 0000000000 Outgoing mail SMTP 631955812 00000 Incoming Mail Server Account name roman Password a hd Remember password Log on using Secure Password Authentication Outgoing Mail Server Y Mu server requires authentication Settings gt Hiweis Stellen Sie Ihre E Mail Client Software nicht so ein dass der Proxy verwendet wird Sie m ssen die NAT von WinRoute f r den Internetzugang verwenden und Ihre 152 WinRoute Pro 4 1 GE Reference Guide Client Software so einrichten dass direkter Zugriff auf das Internet besteht Wenn es Ihnen nicht moglich ist den Austausch von E Mail zu bewerkstelligen bedeutet dies dass NAT nicht richtig konfiguriert ist Gehen Sie nach der Checkliste vor um NAT richtig zu konfigurieren Einsatzbeispiele 153 KAPITEL 3 EINSATZBEISPIELE In diesem Kapitel IPSEC NOVELL und PPTP VPN L sungen 124 ETH 133 Ausf hren von WWW FTP DNS und Telnet Servern hinter WinRoute 139 FTP Aspekte unter Verwendung Nicht Standart Ports 144 SPEZIE NE INCiZW EE 147 Verbinden mehrerer Netzwerke 149 Multiport Ethernet Adapter cccccseesssssssssseseeeeeeeeees 158 KN 161 IPSEC NOVELL und PPTP VPN L sungen 124 DOIN EO SUING Eat 133 Ausf hren von WWW FTP DNS und Telnet Servern hinter WinRoute 139 FTP Aspekte unter Verwendung Nicht Standar
146. onfiguration 135 2 Geben Sie den ausgehenden Mal Server Ihres ISP in das Feld f r den Relay SMTP Server ein Hail Server Settings mal pacbell net Ed hamilton com r 136 WinRoute Pro 4 1 GE Reference Guide Authentifizierung Einige ISPs f hren bei eingehender E Mail eine Authentifizierungspr fung durch um Spamming zu vermeiden In diesem Fall m ssen S e Ihrem ISP die entsprechenden Informationen zur Verf gung stellen 1 Gehen Sie in das Fenster Mail Server gt Register Erweitert 2 Geben Sie den gew nschten Host Namen in das Feld f r den Internet Host Namen ein In der Regel ist dies der Name des Computers der mit dem Internet verbunden ist z B host isp com Hail Server Settings Ea General Aliases Remote POF3 Scheduling Anti Spam Advanced Server Port Numbers POPS port i 10 Use Defaults SMTP port 25 Advanced Options Mail Directory Je program Hles winroube mal Browse Internet hostname hamilton pacbell ned Limit the size of the SMTP messages to 256 kE ETAN command timeant i U eet mn Installation und Konfiguration 137 Aliasnamen Aliasnamen werden in WinRoute verwendet um Benutzern von WinRoute zusatzliche Adressen zuzuweisen sowie fur die Substitution von E Mail Adressen Aliasnamen bieten folgende M glichkeiten Benutzern mehrere Adressen zuweisen Mehreren Benutzern eine E Mail Adresse zuweisen Einer Gruppe von Benut
147. reitgestellt NAT ist weitaus besser f r das Internet Sharing geeignet als die Proxy Server Technologie Dennoch schlie t WinRoute einen Proxy Sever mit ein um die Funktion des Caching anzubieten wo erforderlich Um den Proxy Server in WinRoute verwenden zu k nnen f hren Sie folgende Schritte aus 1 Im Men von WinRoute Administration w hlen Sie Einstellungen gt Proxy Einstellungen gt Allgemein Registerkarte Aktivieren Sie die Option Proxy Server aktiviert Behalten S e den urspr nglichen Anschluss Nummer 3128 bei Proxy Server Settings Ea Sr Proxy port Ja 28 T Log access to proxy server To use the proxy server browser on the chent PCs in the local network have to be setup to connect through the proxy server The IP address of the proxy server i the address of wWmbioutez PC in the local network and the port is the value configured above 3126 by default cancel ze 46 WinRoute Pro 4 1 GE Reference Guide 2 Gehen Sie in Ihrem Internet Browser Explorer Netscape Opera zu den Proxy Einstellungen w hlen Sie die manuelle Proxy Konfiguration und geben Sie die PC Adresse des WinRoute Computers als Proxy Server Adresse fur HTTP FTP und Gopher Protokolle ein Geben Sie 3128 als Proxy Anschluss Nummer fur alle Protokolle ein Testen Sie die Installation indem Sie mit dem Browser auf eine beliebige Website zugreifen Registerkarte Allgemeine Eigenschaften Proxy Server aktiviert Mit
148. ren Zugang zu diesen Diensten Die Konfiguration von WinRoute f r dese Dienste wird n anderen Kapiteln beschrieben Folgende Einstellungen werden auf andere Weise vorgenommen 16 WinRoute Pro 4 1 GE Reference Guide Funktion Ursprunglich empfohlen In diesem Szenario NAT an der Internet EIN EIN Schnittstelle NAT an der internen AUS EIN LAN Schnittstelle Die IP Adresse der JA obligatorisch NEIN optional internen Schnittstelle von WinRoute als Standard Gateway f r die anderen Computer innerhalb des Netzwerks Mit anderen Worten mit WinRoute k nnen Sie bestimmte Dienste vom Internet aus zug nglich machen OHNE die Netzwerkkonfiguration ndern zu m ssen Hinweis Wenn Sie NAT an beiden Schnittstellen einrichten k nnen Sie WinRoute NICHT f r den gemeinsamen Internetzugang verwenden Die Standard Gateway Einstellungen in diesem Beispiel verleihen Ihnen viel Freiraum Alle vorhandenen Umgebungen k nnen S e unver ndert lassen Um alle bereits in Ihrem Netzwerk eingerichteten Router und Routen funktionsf hig zu halten k nnen S e durch Hinzuf gen neuer Computer die WinRoute ausf hren externen Benutzern Zugang zu den Servern Ihres lokalen Netzwerks gew hren Dies ist ideal wenn Sie beispielsweise ber ein bestehendes WAN Wide Area Network verf gen und einem externen Benutzer Zugang zu Ihrer AS400 Telnet Server oder Ihrem internen Netzwerk mittels PPTP gewahren mochten Fuhren S
149. rheitsoptionen zwei m gliche Reaktionen Wenn Sie ICMP Echoantwort senden w hlen erh lt der anfragende Computer eine Antwort Wenn Sie Anfrage verwerfen automatische Installation w hlen wird das Datagramm verworfen d h es geht w hrend der bertragung verloren Die anfragende Parte erh lt dann die Nachricht dass der Ziel Host nicht unerreichbar ist Eingehende Pakete ohne Eintrag in der NAT Tabelle WinRoute berpr ft den gesamten ein und ausgehenden Datenverkehr des LAN Unabh ngig davon ob WinRoute NAT an einem bestimmten Paket ausf hren soll oder nicht wird das Paket un chst untersucht und bestimmte Daten wie die Port Nummer und die IP Adresse n die NAT Tabelle eingetragen Wenn die Pakete zur ckkommen kann WinRoute diese so mit der NAT Tabelle vergleichen um zu bestimmen an wen das Paket zur ckgeroutet werden muss Wenn das Paket nicht initiiert ist das hei t kein zur ckkommendes Paket ist vergleicht WinRoute es mit der NAT Tabelle und stellt fest dass es nicht initiiert ist Wenn keine Anschlusszuordnungen erstellt sind kann WinRoute das Paket nicht an einen Teilnehmer m lokalen Netzwerk senden Mit der Option abgelehntes Paket senden wird das Paket an den Absender zur ckgesendet mit der Nachricht dass keine Verbindung erstellt werden konnte 116 WinRoute Pro 4 1 GE Reference Guide Mit der Option Paket verwerfen automatische Installation wird das Paket
150. rver innerhalb des Netzwerks zuzugreifen cs nur bestimmten Personen innerhalb der vordefinierten Adressgruppe mit der Bezeichnung Travellers erlaubt auf den PPTP Server innerhalb des Netzwerks zuzugreifen um in das Netzwerk zu gelangen Packet Filter Incoming Outgoing 8 LAN NIC Kingston ag Internet NIC LinkSys ee TCP Ary host all ports gt Any host port 80 ee s PPTP Travellers gt 63 192 58 47 bese x TCP Any host all ports gt Any host all ports 120 WinRoute Pro 4 1 GE Reference Guide Unterschiedliche Regeln fur ausgehende und eingehende Pakete WinRoute wendet spezielle Regeln fur ausgehende und eingehende Paket an Innerhalb von WinRoute wird eine Tabelle f r jede Schnittstelle erstellt In dieser Tabelle werden sowohl die eingehenden als auch die ausgehenden Pakete erfasst Mit anderen Worten jedes Paket erh lt zwei Eintr ge einen f r ausgehend und einen f r eingehend Was bedeutet AUSGEHENDES EINGEHENDES Paket In WinRoute wird d e Engine als Zentrum des gesamten Systems betrachtet Dies bedeutet dass alle Pakete die WinRoute verlassen AUSGEHENDE Pakete sind und zwar unabh ngig davon ob s e n das Internet oder n das LAN gesendet werden Ebenso werden alle Pakete die ZUM WinRoute Computer geleitet werden als EINGEHEND angesehen unabh ngig davon woher sie kommen Dies muss beim Festlegen der Sicherheitsregeln beachtet werden outgoing WinRoute
151. s ist nicht m glich einen regul ren DNS Server am selben Computer wie den DNS Forwarder von WinRoute auszuf hren Beide Dienste verwenden Protokoll UDP Port 53 Beide DNS Dienste am selben PC auszuf hren w rde zu schwerwiegenden Problemen beim IP Routing f hren Sie k nnen jedoch den Forwarder von WinRoute AUSSCHALTEN wenn Sie den DNS Server auf dem WinRoute PC ausf hren m chten Ausf hren eines FTP Servers hinter NAT So f hren S e einen FTP Server hinter NAT aus 1 Gehen Sie in das Men Einstellungen gt Erweitert gt Anschlusszuordnung 2 F gen Sie die neue Anschlusszuordnung hinzu Protokoll TCP berwachungs IP nicht spezifiziert oder die IP Adresse die mit der Dom ne assoziiert ist Eine solche IP Adresse muss mit der Internetschnittstelle assoziiert sein berwachungs Port 21 Ziel IP Geben Sie die IP Adresse des FTP Servers ein z B 192 168 1 10 Ziel Port 21 172 WinRoute Pro 4 1 GE Reference Guide Ausf hren eines FTP Servers mit einem nicht standardm igen Port Passen Sie die Anschlusszuordnung an den Anschluss an der vom FTP Server verwendet wird Ausfuhren des MAIL Servers hinter NAT Um den Mail Server hinter WinRoute auszufthren wird empfohlen zwei Eintr ge zur Anschlusszuordnung zu erstellen einen f r das SMTP Protokoll wird an Port 25 ausgef hrt und eines f r das POP3 Protokoll wird an Port 110 ausgef hrt So k nnen andere SMTP Server Ihren SMTP Server erreichen und S
152. se automatisch auf die Mailboxes Ihrer lokalen Benutzer verteilen INTERNET _ company com WinRoute J EK Clients Beispiel Ihr ISP hat eine Mailbox Unternehmen mail isp net eingerichtet Sie k nnen die Domain Unternehmen com haben allerdings geht die gesamte E Mail f r Ihre Domain Sales Domain com ohni Dom ne com in Ihrer Mailbox Unternehmen mail isp net beim ISP ein 1 Gehen Sie in das Men Einstellungen gt Mail Server gt Remote POP3 f gen Sie ein neues Konto hizu und geben Sie die Details ein Installation und Konfiguration 147 2 ImFeld Senden an w hlen Sie Kriterien ausw hlen Hail Server Settings x General Aliases Remote PUPS Scheduling Anti Spam Advanced Remote POPS Accounts Add Account Ea POPS Account POPS Username company CH Password S HHHHRERRERREEEE GE POPS Server mai isp net POPS Authentication Ge plaintest C APOP Deliver To Sorting Rules OF Cancel Apply 3 Aktivieren Sie die Schaltfl che Kriterien ausw hlen und f gen Sie ein neues Kriterium hinzu WinRoute wird die E Mail auf der Basis der E Mail Adresse des Empf ngers Senders oder des Betreffs zustellen 4 W hlen Sie im selben Dialogfeld einen Benutzer oder eine Gruppe von Benutzern aus an die die E Mail gesendet werden soll POPS Sorting Rules x john Sorting Rules Add john Properties Remove IF Mail header To contai
153. sse des Computer der die Anwendung ausf hrt Ziel Port 47624 Protokoll TCP UDP Ursprungs IP nicht spezifiziert Ursprungs Port Bandbreite 2300 2400 Ziel IP IP Adresse des Computer der die Anwendung ausf hrt Ziel Port Bandbreite 2300 2400 Firewall Konfiguration 223 Delta Force Protokoll TCP Ursprungs IP nicht spezifiziert Ursprungs Port Bandbreite 3568 3569 Z el IP IP Adresse des Computer der die Anwendung ausf hrt Ziel Port Bandbreite 3568 3569 Dial Pad Protokoll UDP Ursprungs IP nicht spezifiziert Ursprungs Port Bandbreite 51200 51201 Ziel IP IP Adresse des Computer der die Anwendung ausf hrt Ziel Port Bandbreite 51200 51201 Gamespy Registrierung Protokoll UDP Ursprungs IP nicht spezifiziert Ursprungs Port 25635 Ziel IP IP Adresse des Computer der die Anwendung ausf hrt 224 WinRoute Pro 4 1 GE Reference Guide Ziel Port 25665 F r die Spiele selbst Protokoll UDP Ursprungs IP nicht spezifiziert Ursprungs Port Bandbreite 25000 30000 Ziel IP IP Adresse des Computer der die Anwendung ausf hrt Ziel Port Bandbreite 25000 30000 Kali 3 Anschlusszuordnungen erforderlich Protokoll UDP Ursprungs IP nicht spezifiziert Ursprungs Port 2213 Ziel IP IP Adresse des Computer der die Anwendung ausf hrt Ziel Port 2213 Protokoll UDP Ursprungs IP nicht spezifiziert Ursprungs Port 6666 Ziel IP IP Adresse des Computer der die Anwend
154. stellungen um alle ARP Address Resolution Protocol ICMP UDP User Datagram Protocol TCP und oder DNS Domain Name Server Pakete die physikalisch eine beliebige Schnittstelle des WinRoute Routers passieren zu protokollieren Die genaue Konfiguration ist unter Einstellungen Erweitert Debug Info Debug Registerkarte Zeigt alle nicht erfolgreichen Vorg nge die in irgendeinem WinRoute Modul auftreten WinRoute Beschreibung 33 Die Protokollierung kann auf der Konsole des WinRoute Administrator angezeigt werden in eine Datei geschrieben werden oder beides Die Protokolldateien werden unter oinstallroot Logs gespeichert Auf dieses Verzeichnis haben nur die NT 2000 Konten innerhalb von Administrator Server Operatoren SYSTEM und der CREATOR OWNER der WinRoute installiert hat Zugriff Die Protokollinformationen die von WinRoutes Sicherheits Protokoll aufgezeichnet werden sind kompakt und behinhalten alle notwendigen Daten um eine angemessene Untersuchung m glicher sch dlicher Aktivit ten in die Wege zu leiten Datum Zeit angewandte Paketfilterregel Schnittstelle Aktion Zulassen Abgeben Ablehnen Protokoll P Ursprungsadresse und TCP Anschluss IP Zieladresse und TCP Anschluss Der Test unter Bedingungen mit zu hoher Verkehrsdichte hat keinen Einfluss auf die Protokollierungsf higkeit von WinRoute Dies ist wichtig um den Verlust wertvoller Daten sowie potenzielle Denial of Serv
155. t Computer bezeichnet wird muss WinRoute installiert sein ICMP Internet Control Message Protocol verwendet Datagramme um Fehler in der Ubertragung zwischen Host und Gateway aufzuzeichnen IP address Die IP Adresse ist die eindeutige 32 Bit Nummer die den Computer innerhalb eines IP Netzwerks identifiziert Jedem Computer m Internet wird eine eindeutige IP Adresse zugewiesen Die Infromation dar ber von welcher Adresse aus das Paket gesendet wurde Source IP Adresse und an welche Adresse es geliefert werden soll Destination IP Adresse ist in jedem Paket welches das Internet durchl uft enthalten 232 WinRoute Pro 4 1 GE Reference Guide IPSEC Internet Protocol Security erm glicht es dass virtuelle private Netzwerke die Autorisierung und Verschl sselung des Senders durchf hren WinRoute unterst tzt die Novel und Cisco Var anten der IPSEC L LAN Ein Local Area Network LAN ein lokales Netz ist eine Gruppe von miteinander verbundenen Computern die ber die F higkeit verf gen Ressourcen gemeinsam zu nutzen M MAC Adresse Die Media Access Control Adresse ist eindeutiger als die IP Adresse und kann nicht ver ndert werden da diese f r jedes Hardware Ger t eines Netzwerks spezifisch ist MX Records MX Records beinhalten Daten bez glich anderer MATT Server im Internet Durch die Verwendung von MS Records k nnen Sie Ihren ISP umgehen und E Mail direkt an den
156. t Ports 144 Spezielle Netzwerke nee 147 Verbinden mehrerer Netzwerke 149 Multiport Ethernet Adapter ueeeeeeeeenennneeeennnn 158 MMW teten 161 154 WinRoute Pro 4 1 GE Reference Guide IPSEC NOVELL und PPTP VPN Losungen In diesem Abschnitt PR E VEN ren 124 Novell Border Manager VDN 128 Ausf hren eines PPTP Servers hinter NAT 130 Beispiele f r PPTP L sungen esseseessesssssssessrrrrreeeee 131 PPTP Clients hinter NAT ausf hren ccceeeeeees 132 IPSEC VPN WinRoute Pro 4 1 unterst tzt IPSEC im so genannten Tunnel Modus Der Tunnel Modus sollte jeden IPSEC Client unterst tzen mit dem die Transport IP Adresse ver ndert werden kann Hinweis WinRoute unterst tzt keine Checkpoint Secure Remote VPN Client Software WinRoute Einstellungen Zugeordneten Port f r ESP erstellen Protokoll ungleich 50 berwachungs IP lt nicht spezifiziert gt Ziel IP die private IP Adresse des Client PC Einsatzbeispiele 155 Wir empfehlen dar ber hinaus einen zugeordneten Port f r IKE zu erstellen Dies ist nicht notwendig wenn die Kommunikation VON hinter WinRoute aus zum Internet initiiert wird Manche Implementierungen von ISPC k nnten jedoch folgende Einstellung erfordern IKE Anschlusszuordnung Protokoll UDP Uberwachungs IP lt nicht spezifiziert gt Uberwachungs Port 500 Ziel IP die private IP Adresse des Client Computers Ziel Port 500
157. t es zwei grundlegende TCP IP Einstellungen an jedem Computer Ihres Netzwerks erforderlich Weisen Sie eine IP Adresse zu entweder manuell oder ber den DHCP Server z B DHCP Server von WinRoute 84 WinRoute Pro 4 1 GE Reference Guide Stellen Sie das Standard Gateway ein Installation und Konfiguration 85 Das Standard Gateway an jedem ber WinRoute auf das Internet zugreifenden Computer muss auf die IP Adresse der Ethernet Schnittstelle des WinRoute Computers der die Verbindung zum lokalen Netzwerk herstellt eingestellt sein Beispiel Der Client Computer hat die IP Adresse 10 10 10 23 w hrend der WinRoute PC zwei Schnittstellen hat Die eine f hrt zum Kabelmodem mit einer IP vom ISP wie 203 23 14 232 und die andere f hrt zum privaten Netzwerk 10 10 10 1 Das Standard Gateway am 10 10 10 23 Computer wird auf 10 10 10 1 eingestellt gt Hinweis 1 Wenn Sie innerhalb Ihres lokalen Netzwerks Adressplatz f r IPs schaffen m ssen Sie die IP Adressen des gleichen Subnets verwenden Das hei t wenn die Maske des verwendeten Subnets 255 255 255 0 lautet m ssen alle Adressen zwischen 10 10 10 1 und 10 10 10 255 liegen gt Hinweis 2 Sie k nnen ber WinRoute mehrere Netzwerke mit dem Internet verbinden Innerhalb Ihres WinRoute Computers k nnen mehrere Schnittstellen vorhanden sein und zwar eine f r jedes Netzwerk Dann repr sentiert jede dieser Schnittstellen bzw ihre IP Adresse das Standard Gateway f
158. t verf gt als URL spezifische Einstellungen 56 WinRoute Pro 4 1 GE Reference Guide Wie veranlasst man die Benutzer Proxy anstelle von NAT zu verwenden Auch wenn NAT Ihnen eine ausgezeichnete Internet Verbindungsf higkeit verleiht kann es sein dass S e es gelegentlich n tzlich finden Ihre Benutzer dazu zu veranlassen den Proxy Server zu verwenden um auf das World Wide Web zuzugreifen Dies ist beispielsweise der Fall wenn Sie f r das gesamte Unternehmen eine 56 kB Leitung zum Internet haben und der Cache sehr n tzlich wird oder wenn Sie den Benutzer Zugriff anhand eines integrierten URL Filters kontrollieren m chten Um mit einem Proxy auf das WWW zuzugreifen m ssen S e alle Browser so einstellen dass diese den PROXY Server verwenden Denken Sie daran dass der Standard PROXY Server Anschluss 3128 ist Bei Bedarf k nnen Sie den Anschluss ndern Die Benutzer k nnen den Proxy umgehen und direkt ber NAT auf das Internet zugreifen Um dies zu vermeiden m ssen Sie die Firewall entsprechend einrichten Ein Beispiel dazu finden Sie im Kapitel ber Firewall Einstellungen see Wie Benutzer dazu veranlasst werden den Proxy Server zu verwenden on page 106 WinRoute Beschreibung 57 Wie man einen Parent Proxy Server verwendet Parent Proxy Server In manchen Fallen m ssen Sie den WinRoute Server mit einem bergeordneten Proxy Server verbinden dem sogenannten Parent Proxy Gehen Sie in das Men Eins
159. te Anschlusszuordnung nennen 163 Messaging und Telefonie cccccssessesseessssseeesseeeeeens 164 o2 EE EE EE 165 IRC Internet Relay Cha a 167 CITRIX Meta tame airline 168 Ms Lermimal Server scss ae 169 Internettelefonie Buddy bDhone 170 CU YOUSEE MO uina 172 Remote Zugriff PC Anywhere 00000000on00000000000000000000 173 Spielerei 176 Zus tzliche Anschlusszuordnungen f r g ngige Spiele und Anwendungen 182 200 WinRoute Pro 4 1 GE Reference Guide Korrekte Anschlusszuordnung gt Build 19 oder hoher gt Wahlen Sie im Administrations Fenster Einstellungen gt Erweitert gt Sicherheitsoptionen G WinRoute Administration localhost Acton View Settings Window Help Interface Table ts a m Il en Facket Filter Ant Spaofing Advanced Proxy Server P e Mail Server reo DHCP Server z ONS Forwarder Address Groups Time Intervals Accounts Interface Maintenance Remote Administration Security Options Misc Options Debug Info Firewall Konfiguration 201 Securty Options 202 WinRoute Pro 4 1 GE Reference Guide Am unteren Rand des Fensters f r die Sicherheitsoptionen befinden sich einige Protokolloptionen Aktivieren Sie die Protokollierung der TCP und UDP Pakete die der NAT Tabelle nicht bekannt sind in das Sicherheitsfenster WinRoute verwirft diese Pakete sofern keine Anschlusszuordnun
160. te zu Der Benutzer hat kein Recht WinRoute zu verwalten Der Benutzer verf gt ber Vollzugriff auf die Administration A nsichtsprotokoll Der Benutzer hat das Recht sich bei WinRoute Administrator anzumelden und nur die Protokollfenster einzusehen Debug Informationen Proxy Protokoll Mail Protokoll usw Der Benutzer hat keinen dar ber hinausgehenden Zugriff um die anderen Einstellungen zu ndern 62 WinRoute Pro 4 1 GE Reference Guide Einwahlverbindungen kontrollieren Der Benutzer hat das Recht sich bei WinRoute Administrator anzumelden und die Internetverbindung einzurichten bzw zu unterbrechen Der Benutzer hat keinen dar ber hinausgehenden Zugriff um die anderen Einstellungen zu ndern Users Groups Advanced User Edit User Ea User Properties af Username alice P Wee windows All logon authentication Password e Contirm ees User Rights t Ho access to administration C Full access to administration Ge Specify access T View logs WinRoute Beschreibung 63 Benutzergruppen In WinRoute konnen Sie Benutzer in verschedene Gruppen einteilen Ein Benutzer kann gleichzeitig Mitglied mehrerer Gruppen sein Sie k nnen diesen Gruppen Rechte zuweisen gt Hinweis Die einer Gruppe zugewiesenen Rechte berschreiben die Rechte die dem einzelnen Benutzer zugewiesen wurden Mitglieder der Gruppe k nnen ber folgende Rechte verf gen Der Benutzer hat kein Recht
161. tellungen Proxy Server w hlen Sie die Registerkarte Erweitert und geben Sie hier die IP Adresse und den Anschluss ein Proxy Server Settings General Cache Time to Live Access Advanced Proxy Settings Parent proxy parent isp com Fort a 20 Parent Proxy Benutzername und Kennwort M glicherweise wird der Benutzer vom Parent Proxy Server aufgefordert eine Autorisierung einzugeben um hnlich wie bei WinRoute auf bestimmte oder alle Webseiten zugreifen zu k nnen Einzelheiten finden Sie 1m Kapitel Proxy Zugangskontrolle WinRoute Pro 4 1 schlie t eine solche Autorisierung ab Build 22 mit e n Um eine Autorisierung einzurichten Halten Sie die WinRoute Engine an von den Windows Diensten aus oder mit dem Monitorprogramm der WinRoute Engine Starten Sie Windows Registry Editor regedit exe Suchen Sie den Schl ssel HKEY LOkAL MACHINE Software TinySoftware WinRoute m rechten Feld finden Sie die Textfelder ParentProxyUser und ParentProxyPass und ndern Sie deren Inhalt in den entsprechenden Benutzernamen und das Kennwort 58 WinRoute Pro 4 1 GE Reference Guide Schlie en Sie den Registry Editor und starten Sie die WinRoute Engine Nach Abschluss dieses Vorgangs autorisiert sich der Proxy Server von WinRoute selbst als Parent Proxy Server ai Registry Editor Registry Edit View Favorites Help RE ELE TinySoftware m MetMon H TepMon ab icsalnit REG SZ lab lab ParentPraxy RE
162. ternet und umgekehrt geroutet 184 WinRoute Pro 4 1 GE Reference Guide Gemeinsame Nutzung der Verbindung f r zwei Netzwerke mit 2 IP Adressen Es kann sein dass Sie einen Internetzugang f r zwei Netzwerke gemeinsam nutzen m chten wenn sich jedes Netzwerk hinter der ffentlichen IP Adresse befindet Gleichzeitig soll es m glich sein auf die Computer in beiden privaten Netzwerken zuzugreifen Internet IF 206 586 181 265 gt w 206 55 181 27 HAT Yez Advanced HAT If dest 182 168 1 0 do not NAT IP 206 856 187 225 ot w 206 35 15 127 HAT res Advanced NAT lf dest 192 168 2 0 do not HAT DU Cd win Route WinRoute IF 192 168 2 1 IF 192 168 1 1 ott none ott none NAT no NAT no Network 2 IP 192 1692 2 4 IP 192 168 1 2 4 Network 1 gu 192 168 2 1 gt 192 168 1 1 Wenn Sie das folgende Routing Szenario durchf hren ist Folgendes SEHR wichtig KEIN NAT DURCHF HREN mit allen Paketen die in andere Netzwerke gesendet werden NAT DURCHF HREN mit allen in das Internet gesendeten Paketen Einsatzbeispiele 185 Mit anderen Worten WinRoute f hrt NAT basierend auf der Zieladresse der passierenden IP Pakete durch Pakete die zum Remote Netzwerk gehen werden nicht ver ndert w hrend bei Paketen die in das Internet gesendet werden NAT angewandt wird Router oder Hub Je nach Erfordernissen m ssen Sie entscheiden ob sich ein Router zwischen Ihren Netzwerken befinde
163. tsprechenden Felder der TCP IP Konfiguration jedes Netzwerkcomputers eingeben Installation und Konfiguration 73 gt Wenn WinRoute nur als Firwall oder MAIL Server verwendet wird d h ohne Anforderung hinsichtlich gemeinsamer Internetnutzung ist es NICHT notwendig NAT f r eine Schnittstelle zu aktivieren gt Die Schnittstellen am WinRoute Computer m ssen verschiedene IP Adressen von verschiedenen Netzwerken haben In der Regel haben Sie eine lokale LAN Schnittstelle und eine Internetschnittstelle In diesem Fall treten keine Probleme auf F r den Fall dass Sie drei Schnittstellen haben 2 lokale und eine Internetschnittstelle sollten Sie lokale Schnittstellen IP Adressen von unterschiedlichen Netzwerken zuweisen eine 192 168 1 1 und die andere 192 168 2 1 74 WinRoute Pro 4 1 GE Reference Guide Software Konflikte Hinsichtlich inkompatibler Software sind folgende Probleme bekannt Norton Antivirus Deaktivieren Sie Port 110 in der Norton Antivirus Konfiguration wenn Sie den MAIL Server von WinRoute ausf hren m chten Wenn Sie Port 110 in Norton aktiviert lassen wird der Computer nicht gestartet WinGate Deinstallieren Sie WinGate vor der Installation Deinstallieren Sie sowohl die Server als auch die Client Software SyGate Deinstallieren Sie SyGate vor der Installation Deinstallieren Sie sowohl die Server als auch die Client Software MS Proxy Server Deinstallieren Sie MS Proxy Server vor der Instal
164. ugef gt werden welche ein separates sicheres Segment erm glichen In einem solchen Szenarium werden Pakete die in das sichere Segment gehen oder von dort kommen durch WinRoute gefiltert Damit ist eine zus tzliche Sicherheitsstufe eingebaut INTERNET Locally secured Deg Ment 194 WinRoute Pro 4 1 GE Reference Guide Abbildung 2 Unter Verwendung einer dritten Netzwerkkarte kann dem LAN ein separates Segment hinzugef gt werden Bei gr eren Netzwerken die ber mehrere separate Segmente mit jeweils eigenen S cherheitsvorkehrungen verf gen k nnen tr tt das Problem auf dass die Anzahl dieser separaten Segmente auf die Anzahl der Ports des WinRoute Computers beschr nkt st Daher st zus tzliche Hardware notwendig um weitere Routing und Umschaltaktivit ten sowie Sicherheitsvorkehrungen entsprechend durchzuf hren Durch die Neueinf hrung von Multi Port Ethernet Netzwerkkarten wurde es m glich dass WinRoute die alleinige Kontrolle ber den Netzwerkverkehr obliegt Da der WinRoute Computer mit Multiport Karten bis zu 24 Ports beinhalten kann kann der WinRoute Computer auch als Server Router Switch Dom nen Controller usw fungieren wobei dies von der Anzahl der Netzwerkkartensteckpl tze auf der Hauptplatine abh ngt Somit kann die Organisation des Netzwerks zentralisiert werden und an einem einzelnen Ort kontrolliert werden Abbildung 3 illustriert WinRoute Pro unter Verwendung einer Multiport Et
165. um nur die Verzeichniseintr ge zwischenzuspeichern Wenn Sie auch die Dateien die vom FTP Server heruntergeladen wurden speichern m chten deaktivieren Sie diese Option Die Entscheidung ob eine bestimmte Date zwischengespeichert wird h ngt auch von der Gr e ab siehe Max Objektgr e unten WinRoute Beschreibung 53 Server mit Time to Live verwenden Time to Live ist der Zeitraum nach dem eine bestimmte Webseite als veraltet angesehen wird und ihr Inhalt vom Server erneut aufgerufen werden muss Diese Option instruiert den WinRoute Proxy Server die Time To Live TTL einzuhalten die mit den einzelnen Seiten einhergeht Falls eine Seite nicht ber eine TTL verf gt wird die Standard TTL des Proxys verwendet Cache Control Anweisung des Servers ignorieren Falls die Inhalte einer Webseite sich sehr oft ndern wird der Autor sich dazu entschliessen die Anweisung kein Cache fur diese Seite setzen Dies ist eigentlich eine sehr nutzliche Funktion Allerdings verwenden manche Webseiten diese Anweisung viel zu oft manchmal fur alle Seiten und eliminieren damit den Zweck des Proxy Servers Wenn Sie sich dagegen sch tzen m ssen aktivieren Sie diese Option Maximale Objektgr e Die maximale Gr e des zu speichernden Objekts im Cache Gr ere Objekte werden an den Browser des Benutzers weitergeleitet aber n cht in den Cache aufgenommen Normalerweise m ssen Sie gro e Objekte wie Program
166. ung ausf hrt Firewall Konfiguration 225 Ziel Port 6666 Protokolll UDP Ursprungs IP nicht spezifiziert Ursprungs Port 57 Ziel IP IP Adresse des Computer der die Anwendung ausf hrt Ziel Port 57 Mplayer Protokoll TCP UDP Ursprungs IP nicht spezifiziert Ursprungs Port 8000 9000 Ziel IP IP Adresse des Computer der die Anwendung ausf hrt Ziel Port 8000 9000 Fur PC Anywhere Versionen 2 0 7 51 2 Anschlusszuordungen erforderlich Protokoll TCP Ursprungs IP nicht spezifiziert Ursprungs Port 65301 Ziel IP IP Adresse des Computer der die Anwendung ausf hrt 226 WinRoute Pro 4 1 GE Reference Guide Ziel Port 65301 Protokoll UDP Ursprungs IP nicht spezifiziert Ursprungs Port 22 Ziel IP IP Adresse des Computer der die Anwendung ausf hrt Ziel Port 22 Quicktime 2 Anschlusszuordnungen erforderlich Protokoll TCP Ursprungs IP nicht spezifiziert Ursprungs Port 554 Ziel IP IP Adresse des Computer der die Anwendung ausf hrt Ziel Port 554 Protokoll UDP Ursprungs IP nicht spezifiziert Ursprungs Port Bandbreite 6970 6999 Ziel IP IP Adresse des Computer der die Anwendung ausf hrt Ziel Port Bandbreite 6970 6999 Firewall Konfiguration 227 RTSP Protokoll UDP Ursprungs IP nicht spezifiziert Ursprungs Port Bandbreite 6970 7170 Ziel IP IP Adresse des Computer der die Anwendung ausf hrt Ziel Port Bandbreite 6970 7170 VNC Protokoll TCP
167. ung stehen f r die Internetverbindung Fa Dial Up Networking Miel Ea Eile Edit View Go Address E Dial Up Networking Links 4 Best of the Web IEM Global Network 4 objectis Es wird empfohlen dass Sie die Verbindung zwischen Internet und dem Computer auf dem WinRoute installiert werden soll herstellen BEVOR WinRoute installiert und ausgef hrt wird So stellen Sie sicher dass die Verbindung korrekt konfiguriert ist und das DFU Netzwerk oder der RAS Dienst richtig funktioniert WinRoute Konfiguration F hren Sie folgende Schritte aus nachdem Sie die gesamte oben aufgef hrte Konfiguration vorgenommen haben 1 Gehen Sie in das Men Einstellungen gt Schnittstellentabelle Hier sollten alle in Ihrem Computer verf gbaren Schnittstellen angezeigt werden DF Schnittstellen werden in WinRoute Betriebssystemen sowohl in 95 98 and NT als RAS bezeichnet Gehen S e zu den Eigenschaften der ausgew hlten RAS Schnittstelle Aktivieren S e die Schaltfl che NAT mit der IP Adresse dieser Schnittstelle f r den gesamten passierenden Datenverkehr 104 WinRoute Pro 4 1 GE Reference Guide 4 Gehen Sie zur RAS Tabelle im Dialogfeld Eigenschaften w hlen Sie oder erstellen Sie eine Verbindung und legen Sie die Optionen entsprechend Ihrer Bed rfnisse fest Weitere Einzelheiten k nnen S e der RAS Tabelle entnehmen gt Denken Sie daran NAT muss an der RAS Schnittstelle AKTIVIERT sein w hr
168. ungsanwendung die anzeigt ob die WinRoute Engine ausgef hrt wird oder nicht Sie wird durch das kleine blaue Symbol in der rechten unteren Ecke des Desktops angezeigt WH Admin sesch Fe WH Admin Ee WH Admin ee WinRoute Beschreibung 65 WinRoute Administrator liefert die Konfiguration und die Einstellungen f r die WinRoute Engine WinRoute Administrator ist eine separate Anwendung wradmin exe die auf jedem Computer installiert und mit einer TCP IP Verbindung an einen Computer mit WinRoute angeschlossen werden kann Informationen ber die Einstellungen die f r die WinRoute Engine notwendig sind um einen Fernanschluss zu erm glichen finden Sie in den anderen Kapiteln dieses Abschnitts 66 WinRoute Pro 4 1 GE Reference Guide Zeitintervalle Sie konnen Zeitzonen vordefinierte Zeitintervalle festlegen um bestimmte Aktionen auszuf hren Diese Aktionen k nnten sein Paketfilterung E Mail Austausch Senden und Empfangen Verbindung zum Internet Erweiterte NAT Einstellungen Die Zeitzone ist eine Gruppe von Zeitintervallen Es l sst sich so ein nicht homogener Zeitraum erstellen der aus verschiedenen Intervallen besteht Time Intervals Time Intervals sft 00 00 23 00 Sun Sat 5 re system check eg 0000 00 20 always 0 1000 10 20 Mon wed Ei 4 rush hours CO 08 00 11 00 MopnTue ed 7 hu Fri CO 1400 18 00 Mon Tue wed Thu Add Eat Remove OF
169. ur zeitweisen Speicherung von Webseiten um die Bandbreite zu erhalten 230 WinRoute Pro 4 1 GE Reference Guide D DHCP Dynamic Host Configuration Protocol ist ein Protokoll das die Administration von IP Adressen f r lokale Computer organisiert und vereinfacht In vielen F llen so wie bei Verwendung von WinRoute wird zur weiteren Vereinfachung ein DNS Server in den DHCP Server integriert Durch die Spezifizierung der IP Adresse eines besonderen Netzwerkger tes normalerweise ist dies das an das Internet angeschlossene Ger t verwendet DHCP die DNS Werte die mit dem Ger te assoziiert sind DNS Domain Name System ist ein Namesschema fur die Zuweisung von IP Adressen Zum Beispiel ist www tinysoftware com ein Dom nenname und verf gt ber eine assoziierte IP Adresse DNS wird verwendet da es einfacher ist sich einen Dom nennamen zu merken als eine Zahlenfolge E ETRN ETRN ist ein vom SMTP Server verwendeter Befehl um eine Zeitverl ngerung herzustellen zu vereinbaren Nachdem der SMTP Server eine Verbindung hergestellt hat sollte dieser eine Anfrage f r SMTP Mail ausf hren Der ETRN Befehl wird berall dort verwendet wo ein SMTP Server nicht 24 Stunden online st und die E Mail f r solche Server in einem Zwischenspeicher eines anderen SMTP Servers gespeichert werden muss F Firewall Firewall ist ein Filtermodul das sich an einem Gateway Computer befindet
170. uriert wird um einer bestimmte IP Adresse eine bestimmte Netzwerkkarte zu berwachen finden Sie auf der Webseite von Symantec F gen Sie die genaue n IP Adresse n der zu organisierenden Computer in den Netzwerk Optionen von PC Anywhere hinzu Um das gesamte Teilnetz zu scannen verwenden S e 255 als das letzte Oktett 192 168 1 255 Konfigurieren Sie die Anschlusszuordnung in WinRoute folgenderma en Protokoll TCP UDP Uberwachungs IP Externe NIC 206 86 181 25 Uberwachungs Port RANGE 5631 5632 Ziel IP Interne Netzwerkkarte 192 168 1 1 Ziel Port 5631 5632 216 WinRoute Pro 4 1 GE Reference Guide Spiele In diesem Abschnitt Spiele hinter NAT austoben 177 Aasherons EE 178 Baltic net EE E 178 Hal Ei ee Wet 179 MSN Gamihe Zone E ea 179 Oak ee te 180 Firewall Konfiguration 217 Spiele hinter NAT ausfuhren Spiele Heute unterst tzen viele Spiele eine Umgebung mit mehreren Benutzern Die Benutzer k nnen sich ber das Internet oder das LAN bek mpfen oder gemeinsam einen der Spiele Server im Internet nutzen Die Benutzer k nnen auch einen eigenen Spiele Server bereitstellen hosten und Freunden der Familie oder v llig fremden Personen den Spa bieten miteinander zu spielen Es gibt viele Spiele die keine zusatzlichen Einstellungen in WinRoute erfordern Bevor Sie versuchen WinRoute f r ein bestimmtes Spiel zu konfigurieren verwenden Sie zun chst die Demoversion dieses Spiels Im Geg
171. uthentifizierungspr fung durch um Spamming zu vermeiden In diesem Fall m ssen S e Ihrem ISP die entsprechenden Informationen zur Verf gung stellen 1 Gehen Sie in das Fenster Mail Server gt Register Erweitert 2 Geben Sie den gew nschten Host Namen in das Feld f r den Internet Host Namen ein blicherweise ist dies der Name des Computers der mit dem Internet verbunden ist z B host isp com 134 WinRoute Pro 4 1 GE Reference Guide Hail Server Settings KEN General Aliases Remote POP3 Scheduling Anti Spam Advanced Server Port Numbers POPS port i 10 Use Defaults SMTP port 25 Advanced Options Mail Directory Je program Hles winroube mal Browse Internet hostname hamilton pacbell ned Limit the size of the SMTP messages to 256 kE ETAN command timeant i U eet mn E Mail Versand in das Internet Sie k nnen WinRoute als Ihren SMTP Server f r ausgehende E Mail verwenden WinRoute sendet E Mails ber den Relay SMTP Server Ihres ISP anwenden anstatt ber MX Record Mit anderen Worten alle ausgehenden E Mails werden ber den von Ihnen eingebenen Mal Server versendet in der Regel ist dies der Mail Server Ihres ISP Dasselbe gilt f r Ihre E Mail Clients d h der WinRoute Mail Server kann als deren SMTP Server fungieren So richten S e den Relay SMTP Server f r ausgehende Mails e n 1 Gehen Sie in das Men Einstellungen gt Mail Server Installation und K
172. ver mit Nicht Standart Ports zugreifen 144 FTP Server hinter WinRoute mit einem nicht Standard Port 145 Auf FTP Server mit Nicht Standart Ports zugreifen Wenn Sie sich hinter WinRoute befinden und versuchen auf einen FTP Server mit einer anderen Portnummer als 21 zuzugreifen erhalten Sie keinen Eintrag im Verzeichnis Damit dies funktioniert m ssen Sie Folgendes tun Gehen Sie zum WinRoute Computer Schalten Sie die WinRoute Engine aus Gehen Sie in das Men Start gt Ausf hren auf dem Desktop Geben Sie regedit ein um auf den Registry Editor zuzugreifen a P OO N Suchen Sie HKEY LOCAL MACHINE SOFTWARE TinySoftware WinRoute Module 0 6 Modifizieren Sie SpecParams so dass der Wert gleich der Portnummer des FTP Servers ist auf den Sie zugreifen m chten 7 Schalten Sie die WinRoute Engine wieder ein Einsatzbeispiele 175 Jetzt sollte jeder Benutzer der sich hinter WinRoute befindet auf einen FTP Server im Internet mit einem nicht standardm igen Port zugreifen gt Hinweis Sie k nnen meherere Ports festlegen indem Sie zwischen denen einzelnen Werten ein Leerzeichen lassen FTP_Server hinter WinRoute mit einem nicht Standard Port Bei bestimmten Bedingungen zum Beispiel bei einem Unternehmens Client hinter einer Firewall kann einem Benutzer eingeschrankter Zugriff auf FTP gewahrt werden und zwar nur im Passiv Modus Falls ein FTP Server hinter WinRoute einen Nicht Standard Port verwendet
173. vers hinter NAT e 160 Ausf hren eines WWW Servers hinter NAT e 170 Ausf hren von WWW FTP DNS und Telnet Servern hinter WinRoute e 170 Authentication e 62 134 Authentifizierung e 133 B Battle net Blizzard 220 Beispiel fur ein Paketfilter Regelsatz e 123 Beispiele f r PPTP L sungen 161 Benutzer 61 Benutzer hinzuf gen e 62 Benutzergruppen e 64 Benutzerkonten e 61 Benutzer Zugangskontrolle e 48 Bidirektionale Kabelmodemverbindung e 98 BOOTP e 230 C Cache e 230 Cache Einstellungen 52 CITRIX Metaframe e 209 CU YouSeeMe 213 D Debug Protokoll Fehlersuche e 34 Den richtigen WinRoute Computer w hlen e 85 Der Cache 51 Der MAIL Server von WinRoute e 60 DHCP 83 231 DHCP Server e 40 DHCP Ubersicht e 41 DirecPC Verbindung 107 DNS e 231 DNS L sung 163 DNS Forwarder e 42 DNS Forwarding e 43 DNS Server am WinRoute PC 164 DNS Server hinter dem WinRoute PC 164 DNS Server und WWW hinter NAT e 165 DSL Verbindung e 94 E Einf hrung in NAT 11 Einleitung 2 Einrichten des Netzwerks DHCP 83 Einrichtung des MAIL Servers 131 Einsatzbeispiele e 153 Einstellen des DNS Forwarder e 91 E Mail empfangen S e haben mehrere Mailboxes bei Ihrem ISP e 148 E Mail Versand an andere Benutzer von WinRoute innerhalb Ihres Netzwerks 133 E Mail Versand in das Internet e 134 Empfang von E Mail 141 Erweiterte Eigenschafte
174. verschiedene Computer Sie k nnen die Administrationsrechte in WinRoute so installieren dass direkt eine Verbindung zum WinRoute Host aktiviert wird W hrend Sie sich in WinRoute befinden k nnen Sie die Ziel IP n der Anschlusszuordnung ver ndern und sogar direkt auf den von Ihnen gew hlten PC zugreifen PC Anywhere Gateway Wenn PC Anywhere 1m Gateway Modus an der Firewall von WinRoute ausgef hrt wird kann der Remote Client eine Liste der verf gbaren Hosts von PC Anywhere die hinter der Firewall ausgefthrt werden abrufen Mit dieser Liste k nnen Sie alle Hosts von PC Anywhere hinter der Firewall von WinRoute verwalten Die folgenden Anweisungen gehen davon aus dass Sie PC Anywhere 9 0 verwenden und eingehende beziehungsweise ausgehende Pakete an der Firewall von WinRoute nicht filtern Die verwalteten Computer hinter der Firewall von WinRoute f hren den Host von PC Anywhere unter Verwendung von TCP IP aus Der Remote Computer f hrt Remote von PC Anywhere unter Verwendung von TCP IP aus Firewall Konfiguration 215 PC Anywhere ist an der Firewall von WinRoute installiert und verwendet den Gateway Modus Bei der Konfiguration des Gateway Gerates sollten die Gerate fur den Dateneingang sowie den Datenausgang auf TCP IP eingestellt sein An der WinRoute Firewall muss PC Anywhere so konfiguriert sein dass es die interne Netzwerkkarte berwacht z B 192 168 1 1 Anweisungen dar ber w e PC Anywhere konfig
175. versuchen jedoch Zugangsl sungen zu m glichst vielen Szenarien zu bieten F r die meisten unserer Benutzer war der Verbindungsaufbau mit folgenden Einstellungen erfolgreich Im Allgemeinen ist der Datenstrom dem des DirecPC hnlich Ausgehende Pakete str men durch die DFU Schnittstelle Auf dem R ckweg werden sie durch ein Kabel geroutet Im Grunde muss Ihr ISP Ihre beiden Schnittstellen einander zuordnen Dies erscheint schwierig ist aber der einzige Weg um eine funktionsf hige Verbindung aufzubauen Daher empfehlen wir Ihnen R cksprache mit Ihrem ISP zu halten bevor Sie WinRoute erwerben ip 192 168 1 1 mask 255 255 255 0 Wees RAS line0 FMIC a Vip 194 25 201 157 mask 255 255 255 0 gw 194 25 201 1 MAT cable modem MIC Network Interface Card 100 WinRoute Pro 4 1 GE Reference Guide 1 Gehen Sie in das Men Einstellungen gt Schnittstellentabelle Hier werden eine Schnittstelle der RAS Leitung Ihr Modem und zwei Netzkartenschnittstellen angezeigt eine die zum Internet f hrt und eine zum lokalen Netzwerk 2 Klicken S e auf die zum Internet f hrende Netzwerkkarte und gehen S e zu Eigenschaften Aktivieren Sie das Kontrollk stchen NAT mit der IP Adresse dieser Schnittstelle f r den gesamten passierenden Datenverkehr ausf hren Interfaces NAT x Available Interfaces IP Address H Ethernet LAN NIC Kingston 192 168 1 1 H Ethernet Internet HIC Link Sys 635 192 21
176. voll SMTP POP3 kompatibel Sie k nnen Ihre eigene registrierte Internet Domain haben und E Mail ber SMTPempfangen und oder WinRoute k nnte E Mail automatisch vom POP3 Konto Ihres ISP abholen Wenn S e eine Internet Domain f r Ihre externe ffentliche IP Adresse registriert haben kann WinRoute E Mail mit dem SMTP Protokoll empfangen SMTP Simple Mail Transfer Protocol wird f r die direkte Kommunikation zwischen den Mail Servern wie dem Mail Server in WinRoute und den Mail Server Ihres ISP verwendet und dazu E Mail ber Ihre E Mail Client Software zu verschicken SMTP ist ein Einbahn Protokoll d h E Mail kann vom Mail Server gesendet oder empfangen werden es ist aber nicht m glich E Mail bei einem anderen Mail Server abholen der dieses Protokoll verwendet SMTP Protokoll ist ein TCP Protokoll das an Port 25 ausgef hrt wird Wenn Sie auf dieses Protokoll mit dem Mail Server der hinter oder am WinRoute Computer ausgef hrt wird zugreifen m chten um anderen Mail Servern zu erlauben Ihnen E Mail zu senden oder um diesen Mail Server f r Ihre ausgehende E Mail zu verwenden wenn Sie sich in Ihrem LAN befinden m ssen Sie die Anschlusszuordnung f r das TCP Protokoll durchf hren Port 25 gesendet an private IP Adresse des PCs an dem der Mail Server ausgef hrt wird POP3 Protokoll wird meistens von E Mail Client Software verwendet um die E Mail von den Postf chern der mit POP3 kompatiblen
177. ws Betriebssysteme anbieten zu k nnen WinRoute Pro ist eine Netzwerkanwendung die in Verbindung mit einem PC teurere auf reiner Hardware basierende Router und Firewalls ausgezeichnet ersetzt Um die Anwendung nutzen zu k nnen muss das Netzwerk ordnungsgem eingerichtet und konfiguriert sein Daher sind einige Erfahrungen mit Netzwerkumgebungen notwendig Wir weisen darauf hin dass nach unserer Statistik 90 der Probleme die Kunden beim Verbinden ihres Netzwerks mit dem Internet haben auf eine unsachgem e Netzwerkkonfiguration zur ckzuf hren sind Dieses Handbuch enth lt einige Beispiele f r die Netzwerkkonfiguration Die Installation kann jedoch auf Grund verschiedener Besonderheiten davon abweichen Wir empfehlen Ihnen dringend diese Dokumentation sehr aufmerksam und genau durchzulesen Sie wurde f r Benutzer erstellt die bereits ber grundlegende Netzwerkkenntnisse verf gen sowie die F higkeit und das Know How besitzen ein lokales Netzwerk Local Area Network LAN zu installieren Falls S e weitere Tipps Checklisten und aktualisierte Versionen ben tigen ziehen Sie zun chst die Online Hilfe zu Rate bevor Sie den technischen Support anrufen Wir danken Ihnen nochmals daf r dass Sie WinRoute erworben haben bzw testen Mit freundlichen Gr en Einleitung 3 TINY SOFTWARE INC 4 WinRoute Pro 4 1 GE Reference Guide WinRoute Beschreibung 5 KAPITEL 1 WINROUTE BESCHREIBUNG In dies
178. zer Proxy anstelle von NAT zu verwenden EN IE E PTT Eege 50 Wie man einen Parent Proxy Server verwendet 50 IVA TI SCL Y Cb cst ana ee E 52 Der MAIL Server von WinRoute semei nieron ir Ea 52 PS UZ CB OM bs nr nern esse 53 SEENEN er 53 Benzo EE 54 Benutzer Hinz Wer eenegen egeg ee 54 DENULZELSFUDPEN enee beten eebe gedet 55 PGRN OC CIMINO ae e a a a e e a 56 Zeile Valle eene E iesdausniie vied bihosrass salt ee tseusnte Vig eunaenss 57 Installation und Konfiguration Kapitel 2 SYStEMVOrTaussetzungenN 0 0 eeecceseessccccccceseeesececececaeeeeeeeeeeeesseesseeeeeeessaeeeeeeeeeeeeeenes 61 Schnelle Checkliste EE 62 SO Ware KONIK Ceta ee east 65 Administration M WV INROU ehesten 68 Administration des lokalen Netzwerks cccccccccccccccccccecceecceeeeceeeseeeeeeees 68 Administration vom Internet aus 70 Verlust des Administrationskennworts ccccccccccccccccccecccecceeceeeeeeeeeeeeees 72 Einrichten des Netzwerks EE EE 73 Ee eegen 73 berblick Standard Gateway 0 cccccccccsscsscssssecscsscssssssssssssscsscessessessesseees 74 Den richtigen WinRoute Computer w hlen ueeeeeeeeeeenneeennnn 75 IP Konfiguration mit DHChR Server 76 IP Konfiguration mit drittem DHCP Servet cccccccccccccceccceceeeeeeeeeeeeees SE IP Konfiguration manuelle Zuweisung nnn 78 Einstellen des DNS Forw arder nessie ninos A eas 79 Herstellen der Internetverbindune as en 81 DSL Verbinduns E 81 EE ENEE
179. zern eine E Mail Adresse zuweisen Einer Gruppe mehrere Adressen zuweisen Beispiel Das Beispiel zeigt dass die M glichkeiten unersch pflich sind Das Unternehmen verf gt ber 2 Dom nen Unternehmen com Unternehmen2 com Der Benutzer Thomas soll E Mail empfangen f r thomas_sprecher unternehmen com thomas unternehmen2 com verkaufl unternehmen com support unternehmen com 138 WinRoute Pro 4 1 GE Reference Guide Die E Mail fur verkauf unternehmen com soll auch an die Gruppe Verkauf gesendet werden L sung 1 Gehen Sie in das Men Einstellungen gt Mail Server gt Register Aliasnamen 2 F gen Sie folgende Aliasnamen hinzu thomas sendet an Thomas Mit diesem Alias wird die gesamte E Mail aus dem Internet bei der Thomas als Empfanger auftaucht geliefert D h Mails an thomas _Sprecher unternehmen com werden ebenso dem Benutzer Thomas zugestellt wie Mails an thomas unternehmen2 com werden dem Benutzer zugestellt Dies verhindert auch dass E Mails die von lokalen Benutzern an den Empf nger thomas unternehmen com gesendet werden durch das Internet transportiert werden Sie werden direkt an das Postfach von Thomas in WinRoute gesandt Verkauf sendet an Thomas E Mails werden an Verkauf werden an den Benutzer Thomas gesendet Support sendet an Thomas E Mails werden an Support werden an Thomas gesendet Verkauf sendet an Verkauf E Mails an Verkauf
Download Pdf Manuals
Related Search