LANCOM 8011 VPN - LANCOM Systems
Contents
1. Nicht mit allen D Highspeed Kopplung ber VPN Er Mit der VPN Technologie Virtual Private Network sind die schnells m glich ten und g nstigsten LAN LAN Kopplungen m glich da VPN das Internet als Kommunikationsbasis verwendet Dabei kommt der schnelle xDSL Anschluss des Routers zum Einsatz Voraussetzung auf beiden Seiten der Netzwerkkopplung wird ein VPN Gateway mit Zugang zum Internet ben tigt VPN Tunnel ber das Internet VPN Gateways gt Herk mmlich ber ISDN Ohne VPN kann eine LAN LAN Kopplung alternativ ber ISDN aufge baut werden In diesem Fall sorgt ein intelligentes Line Management im Zusammenspiel mit ausgefeilten Filtermechanismen f r geringe Verbindungskosten gt Fernzugriff auf das Firmennetz ber VPN oder ISDN Die Arbeit vieler Mitarbeiter in modernen Organisationen wird immer unabh ngiger von bestimmten Orten wichtig ist vor allem der st ndige Zugriff auf gemeinsame frei verf gbare Informationen Remote Access Service RAS hei t hier das Zauberwort Heimarbeits pl tze oder Au endienstmitarbeiter w hlen sich ber VPN oder ISDN ins zentrale Netzwerk ein Beim Remote Access ber ISDN sch tzt der Router das firmeneigene Netzwerk Die R ckruffunktion erlaubt nur bekannten und registrierten Personen Zugang LANCOM 7111 VPN LANCOM 8011 VPN gt Kapitel 1 Einleitung 1 4 Was kann Ihr LANCOM Die folgende Tabelle zeigt Ihnen die Eigenschaften und Funktionen Ihres2. 51 LANCOM 7111 VPN LANCOM 8011 VPN gt Kapitel 6 Einwahl Zugang bereitstellen 52 6 Einwahl Zugang bereitstellen An Ihrem LANCOM VPN k nnen Sie Einwahl Zug nge einrichten ber die sich einzelne Rechner in Ihr LAN einw hlen k nnen und f r die Dauer der Verbin dung vollwertiger Teilnehmer des Netzwerks werden Dieser Dienst wird auch als RAS Remote Access Service bezeichnet Der RAS Zugang kann grund s tzlich auf zwei verschiedenen Wegen realisiert werden VPN Bei einem RAS Zugang ber VPN wird die Verbindung zwischen dem LAN und dem Einwahlrechner ber eine besonders gesch tzte Ver bindung ber das ffentliche Internet hergestellt Der Router im LAN ben tigt eine VPN Unterst tzung der Einwahlrechner einen beliebigen Zugang zum Internet und einen LANCOM VPN Client ISDN Bei einem RAS Zugang ber ISDN wird eine direkt Verbindung zwi schen dem LAN und dem Einwahlrechne ber eine ISDN Verbindung her gestellt Der Router im LAN ben tigt eine ISDN Schnittstelle der Einwahlrechner einen ISDN Adapter oder ein ISDN Modem Als Protokoll f r die Daten bertragung dient PPP Damit ist die Unterst tzung aller bli chen Ger te und Betriebssysteme gesichert Die Einrichtung eines Einwahl Zugangs erfolgt ber einen Setup Assistenten in bekannt komfortabler Art Sicherheitsaspekte Der Zugang zu Ihrem LAN muss nat rlich gegen unbefugten Zugriff gesch tzt sein Ein LANCOM VPN bietet daher eine ganz
3. Die IPX Netzwerknummern in Zentrale und Filiale werden jeweils auf der ent fernten Seite angegeben Die drei geforderten Netzwerknummern werden in den IPX Konventionen als External Network Numbers bezeichnet Sie gelten hnlich IP Netzwerk Adressen f r ein ganzes LAN Segment Im Gegensatz dazu dienen die IPX Internal Network Nummern zur Adressierung eines bestimmten Novell Ser vers im LAN Alle drei angegebenen Netzwerknummern m ssen sich vonein ander und von allen verwendeten IPX Internal Network Nummern unterscheiden 5 2 LANCOM 7111 VPN LANCOM 8011 VPN gt Kapitel 5 Zwei Netzwerke verbinden IPX Internal Net 00020002 WAN IPX Netzwerknr 00000009 Q VPN oder ISDN Verbindung LAN der Zentrale LAN der Filiale IPX Netzwerknr 00000001 IPX Netzwerknr 00000002 Binding Ethernet_Il Binding Ethernet_Il Ferner kann die Angabe des im entfernten LAN verwendeten Frame Typs Binding erforderlich sein Wenn im entfernten Netz ein Novell Server arbeitet ist die Angabe der ent fernten IPX Netzwerknummer und des verwendeten Bindings nicht erforder lich In diesem Fall muss lediglich eine Netzwerknummer f r das WAN manuell angegeben werden Einstellungen f r NetBIOS Routing Das NetBIOS Routing ist schnell eingerichtet Zus tzlich zu den Angaben f r das verwendete TCP IP Protokoll muss lediglich der Name einer Windows Arbeitsgruppe aus dem eigenen LAN
4. bermittelt Eine ISDN Kennung setzt sich blicherweise aus der nationalen Vorwahl und einer MSN zusammen Das Kennwort f r die ISDN Verbindung ist eine Alternative zur ISDN Anruferkennung Es wird immer dann zur Authentifizierung des Anrufers herangezogen wenn keine ISDN Anruferkennung bermittelt wird Das Kennwort muss auf beiden Seiten identisch eingegeben werden Es wird f r Anrufe in beide Richtungen verwendet Das Shared Secret ist das zentrale Kennwort f r die Sicherheit der VPN Verbindung Es muss auf beiden Seiten identisch eingegeben werden Die Datenkomprimierung erh ht die bertragungsgeschwindigkeit ohne zus tzliche Kosten Ganz im Gegensatz zur B ndelung von zwei ISDN Kan len mit MLPPP MultiLink PPP Hier wird zwar die Bandbreite ver doppelt in aller Regel fallen daf r aber auch doppelte Verbindungsge b hren an Einstellungen f r den TCP IP Router Im TCP IP Netzwerk kommt der korrekten Adressierung eine besondere Bedeutung zu Bei einer Netzwerkkopplung ist zu beachten dass beide Netz werke logisch voneinander getrennt sind Sie m ssen daher jeweils ber eine eigene Netzwerknummer verf gen im Beispielfall 10 0 1 x und 10 0 2 x Die beiden Netzwerknummern m ssen unterschiedlich sein LANCOM 7111 VPN LANCOM 8011 VPN gt Kapitel 5 Zwei Netzwerke verbinden MEAN aE server zentrale firma OET LLOILCLI TTCL lll pc1 filiale firma 10 0 2 10 S De VPN o
5. den LANs ber eine besonders gesch tzte Verbindung ber das ffentli che Internet hergestellt In beiden LANs wird dazu ein Router mit VPN Unterst tzung ben tigt ISDN Bei der Kopplung ber ISDN wird eine direkt Verbindung zwischen den beiden LANs ber eine ISDN Verbindung hergestellt In beiden LANs wird ein dazu Router mit ISDN Schnittstelle ben tigt Die Einrichtung einer LAN LAN Kopplung erfolgt ber einen Setup Assisten ten in bekannt komfortabler Art Immer beide Seiten konfigurieren Beide an der Netzwerkkopplung beteiligten Router m ssen konfiguriert wer den Dabei ist darauf zu achten dass die Konfigurationsangaben auf beiden Seiten zueinander passen i Die folgende Anleitung geht davon aus dass auf beiden Seiten LANCOM VPN Router verwendet werden Die Netzwerkkopplung ist zwar auch mit Routern anderer Hersteller m glich Eine gemischte Konfiguration erfordert aber in aller Regel tiefer gehende Eingriffe an beiden Ger ten Ziehen Sie in einem solchen Fall das Referenzhand buch zu Rate Sicherheitsaspekte Der Zugang zu Ihrem LAN muss nat rlich gegen unbefugten Zugriff gesch tzt sein Ein LANCOM VPN bietet daher eine ganze Reihe von Sicherheitsmecha nismen an bei deren Einsatz ein hervorragender Schutz gew hrleistet ist VPN Bei Kopplungen ber VPN werden die Daten mittels IPSec bertra gen und dabei mit den Verfahren 3 DES AES oder Blowfish verschl sselt ISDN Bei Kopplungen ber
6. mit Hilfe des Assistenten sondern nur in der Expertenkonfiguration eingerichtet werden Details dazu finden Sie im Referenzhandbuch F hren Sie die Konfiguration nacheinander an beiden Routern durch Ping schneller Verbindungstest einer TCP IP Verbindung F r den Test einer TCP IP Verbindung schicken Sie einfach ein ping von Ihrem Rechner an einen Rechner im entfernten Netz Details zum Ping Befehl finden Sie in der Dokumentation Ihres Betriebssystems C gt ping 10 0 1 2 IPX und NetBIOS Verbindungen testen SEM ausgef hrt f r 10 0 1 2 mit 32 Sie indem Sie von Ihrem Rechner aus Paa ECA E BEE Zeit 10ms Antwort von 10 0 Zeit einen entfernten Novell Server bzw Antwort von einen Rechner in der entfernten Win Sikia Ping tatistik f r 10 0 1 2 50 LANCOM 7111 VPN LANCOM 8011 VPN gt Kapitel 5 Zwei Netzwerke verbinden Rufen Sie im Hauptmen den Assistenten Zwei lokale Netze verbinden auf Folgen Sie den Anweisungen des Assistenten und geben Sie die not wendigen Daten ein Der Assistent meldet sobald ihm alle notwendigen Angaben vorliegen Schlie en Sie den Assistenten dann mit Weiter ab Nach Abschluss der Einrichtung an beiden Routern k nnen Sie die Netz werkverbindung testen Versuchen Sie dazu einen Rechner im entfernten LAN z B mit ping anzusprechen Der LANCOM VPN sollte automatisch eine Verbindung zur Gegenstelle aufbauen und den Kontakt zum gew nschten Rechner herstellen
7. 8 1 Sicherheits Einstellungen Ihr LANCOM VPN verf gt ber zahlreiche Sicherheitsfunktionen In diesem Kapitel finden Sie alle Informationen die Sie f r eine optimale Absicherung ben tigen Der Sicherheits Assistent Der Zugriff auf die Konfiguration des Ger ts erlaubt nicht nur das Auslesen kritischer Informationen z B WEP Schl ssel Internet Kennwort Vielmehr k nnen auch die Einstellungen der Sicherheitsfunktionen z B Firewall nach Belieben ge ndert werden Dadurch bringt der unbefugter Konfigurationszu griff nicht nur das einzelne Ger t sondern das gesamte Netzwerk in gro e Gefahr Ihr LANCOM VPN verf gt ber einen Kennwortschutz f r den Konfigurations zugang Dieser wird schon w hrend der Grundkonfiguration durch Angabe eines Kennwortes aktiviert Das Ger t sperrt den Konfigurationszugang automatisch f r eine festgelegte Dauer wenn eine bestimmte Anzahl von Anmelde Fehlversuchen feststellt wird Sowohl die kritische Anzahl Fehlerversuche als auch die Dauer der Sperre lassen sich modifizieren Standardm ig sperrt das Ger t nach dem f nften Fehlerversuch f r eine Dauer von f nf Minuten Neben diesen grundlegenden Einstellungen pr fen Sie mit dem Sicherheits assistenten auch die Sicherheitseinstellungen f r das Funknetzwerk sofern Ihr Ger t ber eine WLAN Schnittstelle verf gt Assistent f r LANconfig Markieren Sie Ihren LANCOM VPN im Auswahlfenster W hlen Sie aus der Befehlsleiste den P
8. Sicherheits Einstellungen Detaillierte Informationen zu den angesprochenen Sicherheitseinstel Jungen finden Sie im Referenzhandbuch Haben Sie ein Kennwort f r die Konfiguration vergeben Die einfachste M glichkeit zum Schutz der Konfiguration ist die Vereinba rung eines Kennworts Solange Sie kein Kennwort vereinbart haben kann jeder die Konfiguration des Ger tes ver ndern Das Feld zur Eingabe des Kennworts finden Sie in LANconfig im Konfigurationsbereich Manage ment auf der Registerkarte Security Es ist insbesondere dann unerl ss lich ein Kennwort zur Konfiguration zu vergeben wenn Sie die Fernkonfiguration erlauben wollen Haben Sie die Fernkonfiguration zugelassen Wenn Sie die Fernkonfiguration nicht ben tigen so schalten Sie sie ab Wenn Sie die Fernkonfiguration ben tigen so vergeben Sie unbedingt einen Kennwortschutz f r die Konfiguration siehe vorhergehender Abschnitt Das Feld zur Abschaltung der Fernkonfiguration finden Sie ebenfalls in LANconfig im Konfigurationsbereich Management auf der Registerkarte Security W hlen Sie hier unter Zugriffsrechte von ent fernten Netzen f r alle Konfigurationsarten die Option nicht erlaubt Haben Sie die SNMP Konfiguration mit einem Kennwort versehen Sch tzen Sie auch die SNMP Konfiguration mit einem Kennwort Das Feld zum Schutz der SNMP Konfiguration mit einem Kennwort finden Sie ebenfalls in LANconfig im Konfigurationsbereich Managem
9. gen kann der Kreis der Berech tigten erweitert werden Die Filter Eintr ge k nnen sowohl einzelne Rechner als auch ganze Netze bezeichnen Die Zuganggsliste finden Sie in LANconfig im Konfigurationsbereich TCP IP auf der Registerkarte Allge mein LANCOM 7111 VPN LANCOM 8011 VPN gt Kapitel 8 Sicherheits Einstellungen Lagern Sie Ihre abgespeicherte Konfiguration an einem sicheren Ort Sch tzen Sie abgespeicherte Konfigurationen an einem sicheren Ort vor unberechtigtem Zugriff Eine abgespeicherte Konfiguration k nnte sonst von einer unberechtigten Person in ein anderes Ger t geladen werden wodurch z B Ihre Internet Zug nge auf Ihre Kosten benutzt werden k n E nen 69 LANCOM 7111 VPN LANCOM 8011 VPN gt Kapitel 9 Rat amp Hilfe 70 9 9 1 9 2 Rat amp Hilfe In diesem Kapitel finden Sie Ratschl ge und Hilfestellungen f r die erste Hilfe bei einigen typischen Problemen Es wird keine WAN Verbindung aufgebaut Nach dem Start versucht der Router automatisch Kontakt zum Zugangsanbie ter aufzunehmen W hrend dieser Phase blinkt die Online LED gr n Im Erfolgsfall wechselt diese LED dann auf dauerhaftes Gr n mit kurzen Unter brechungen Schl gt die Kontaktaufnahme hingegen fehl so leuchtet die Online LED rot In der Regel ist eine der folgenden Ursachen Probleme an der Verkabelung Verwenden Sie f r den WAN Anschluss ausschlie lich das mitgelieferte Anschlusskabel Dieses Kabe
10. r WEBconfig 65 8 2 Der Firewall Assistent 65 8 2 1 Assistent f r LANconfig 66 8 2 2 Konfiguration unter WEBconfig 66 8 3 Die Sicherheits Checkliste 66 LANCOM 7111 VPN LANCOM 8011 VPN gt Inhalt 9 Rat amp Hilfe 9 1 Es wird keine WAN Verbindung aufgebaut 9 2 DSL bertragung langsam 9 3 Unerw nschte Verbindungen mit Windows XP 9 4 Kabel testen 10 Anhang 10 1 Leistungs und Kenndaten 10 2 Anschlussbelegung 10 2 1 WAN Schnittstelle 10 2 2 ISDN Sy Schnittstelle 10 2 3 Ethernet Schnittstellen 10 100Base T 10 2 4 Konfigurationsschnittstelle Outband 10 3 CE Konformit tserkl rungen 11 Index 70 70 70 71 71 73 73 75 75 75 76 76 76 77 1 1 1 LANCOM 7111 VPN LANCOM 8011 VPN gt Kapitel 1 Einleitung Einleitung Die Ger te der LANCOM VPN Serie arbeiten als leistungsf hige Dynamic VPN Gateways mit bis zu 100 200 500 oder 1000 VPN Tunneln f r Au enstellen oder mobile Nutzer Durch die Fast Ethernet Schnittstelle sind die Ger te universell f r alle nahezu alle WAN Anschlussvarianten geeignet Der integrierte Multiprotokoll Router und die integrierte Firewall erm glichen einen sicheren Internetzugang f r das lokale Netzwerk Der ISDN Anschluss dient insbesondere dazu Dynamic VPN Verbindungen zu Au enstellen mit dynamischen IP Adressen aufbauen zu k nnen Welchen Nutzen bietet VPN Mit einem VPN Virtual Private Network k nnen sichere Datenverkehrsver bindungen
11. ten befassen Das hat den Vorteil dass die QoS Funktionen mit den vorhandenen m chtigen Klassifizierungsmethoden der Firewall z B Einschr nkung auf Subnetze einzelne Arbeitsstationen oder bestimmte Dienste erfolgen kann Mit garantierten Mindestbandbreiten geben Sie Vorfahrt f r unterneh menskritische Applikationen VoIPTK Anlagen oder bestimmte Benutzer gruppen Gi Details zur Funktion des Stateful Inspection Firewall Ihres LANCOM VPN entnehmen Sie dem Referenzhandbuch Was macht ein Router Die folgenden Abschnitte beschreiben allgemein die Funktionalit t von Routern Welche Funktionen von Ihrem Ger t unterst tzt werden k nnen Sie der Tabelle Was kann Ihr LANCOM Seite 16 entneh men Router verbinden voneinander entfernte LANs und Einzel PCs miteinander zu einem Wide Area Network WAN Jeder Rechner in diesem WAN kann sofern er dazu berechtigt ist auf die Rechner und Dienste im gesamten WAN zugreifen so wie in der Abbildung PC 1 auf Server A im entfernten LAN zugreift LANCOM 7111 VPN LANCOM 8011 VPN gt Kapitel 1 Einleitung Server A Der Anschluss eines LAN an das Internet unterscheidet sich technisch nicht von der Kopplung zweier LANs Der einzige Unterschied besteht darin dass hinter dem Router des Internetanbieters nicht nur einige wenige Rechner ste cken sondern das Netz der Netze Br ckenkopf zum WAN Jeder Router verf gt ber mindestens zwei Anschl ss
12. ting Tabelle einzeln festgelegt Die Routing Tabelle finden Sie in LANconfig im Konfigurationsbereich TCP IP auf der Registerkarte Rou ter Haben Sie kritische Ports ber Filter geschlossen Die Firewall Filter des Routers bieten Filterfunktionen f r einzelne Rech ner oder ganze Netze Es ist m glich Quell und Ziel Filter f r einzelne Ports oder auch Portbereiche aufzusetzen Zudem k nnen einzelne Proto kolle oder beliebige Protokollkombinationen TCP UDP ICMP gefiltert werden Besonders komfortabel ist die Einrichtung der Filter mit Hilfe von LANconfig Unter Firewall QoS finden Sie die Karteikarte Regeln mit deren Hilfe Filterregeln definiert und ver ndert werden k nnen Haben Sie bestimmte Stationen von dem Zugriff auf den Router ausgeschlossen Mit einer speziellen Filter Liste kann der Zugriff auf die internen Funktio nen der Ger te ber TCP IP eingeschr nkt werden Mit den internen Funk tionen werden hierbei Konfigurationssitzungen ber LANconfig WEBconfig Telnet oder TFTP bezeichnet Standardm ig enth lt diese Tabelle keine Eintr ge damit kann also von Rechnern mit beliebigen IP Adressen aus ber TCP IP mit Telnet oder TFTP ein Zugriff auf den Router gestartet werden Mit dem ersten Eintrag einer IP Adresse sowie der zugeh rigen Netzmaske wird der Filter aktiviert und nur noch die in die sem Eintrag enthaltenen IP Adressen werden berechtigt die internen Funktionen zu nutzen Mit weiteren Eintr
13. Alle Win dows Arbeitspl tze die im LAN integriert sind erhalten ber die LANCAPI uneingeschr nkten Zugriff auf ISDN B rokommunikations Funktionen wie Fax Anrufbeantworter Onlinebanking und Eurofiletransfer Ohne zus tzliche Hardware an jedem einzelnen Arbeitsplatz werden alle ISDN Funktionen ber das Netzwerk bereitgestellt Dadurch entfallen kostspielige Ausstattungen der Arbeitspl tze mit ISDN Adaptern oder Modems Lediglich die Software f r die B rokommunikation wird auf den einzelnen Arbeitspl tzen installiert PCs mit Faxsoftware ISDN Adapter Mit der LANCAPI von LANCOM k nnen Sie von Ihrem Arbeitsplatzrechner aus bequem Faxe versenden ohne dass ein Faxger t angeschlossen ist Hierzu m ssen auf Ihrem Rechner jedoch verschiedene Komponenten installiert sein der LANCAPI Client Dieser stellt die Verbindung zwischen Ihrem Arbeitsplatzrechner und dem LANCAPI Server her das LANCOM CAPI Faxmodem Dieses Tool simuliert ein Faxger t auf Ihrem Arbeitsplatzrechner 59 LANCOM 7111 VPN LANCOM 8011 VPN Kapitel 7 Faxe versenden mit der LANCAPI der MS Windows Faxdienst Er ist die Schnittstelle zwischen Faxan wendungen und dem virtuellen Fax PCs mit Faxsoftware LANCAPI Client CAPI Faxmodem und MS Windows Faxdienst LANCOM mit Die Installation des LANCAPI Clients wird im Referenzhandbuch beschrieben Dieses Kapitel besch ftigt sich mit der Installation und Konfiguration von LANCAPI Serv
14. Assistenten in WEBconfig ffnen Sie also Ihren Web Browser z B Internet Explorer Netscape Navi gator Opera und rufen Sie dort den LANCOM VPN auf http lt IP Adresse des LANCOM gt bzw ber Namen wie oben beschrieben Sollte der Zugriff auf einen unkonfigurierten LANCOM VPN scheitern so kann dieser Fehler auf die Netzmaske des LAN zur ckzuf hren sein Bei weniger als 254 m glichen Hosts Netzmaske gt 255 255 255 0 muss sichergestellt sein dass die IP Adresse x x x 254 im eigenen Subnet vorhanden ist Es erscheint das Hauptmen von WEBconfig 35 LANCOM 7111 VPN LANCOM 8011 VPN Kapitel 3 Grundkonfiguration 36 Setup Assistenten Assistenten erlauben es Ihnen h ufig auftretende Konfigurationen schnell und einfach vorzunehmen amp Srundeinstellungen Q Sicherheitseinstellungen amp Internet Zugang einrichten amp Auswahl des Internet Providers amp Einwahl Zugang bereitstellen RAS amp Zwei lokale Netze verbinden Ger tekonfiguration und status Diese Men punkte erlauben einen Zugriff auf die vollst ndige Ger tekonfiguration 7z Experten Konfiguration Konfiguration speichern y Konfiguration laden Firmware Verwaltung F Eine neue Firmware hochladen Extras amp Andere Ger te suchen anzeigen GH SNMP Ger te MIB abrufen Die Setup Assistenten sind exakt auf die Funktionalit t der jeweiligen LANCOM VPN zugeschnitten Es kann daher sein dass Ihr Ger
15. Detection und Schutz vor Denial of Service Angrif fen F r das LANCOM Betriebssystem LCOS stehen stehen jederzeit kostenlose Software Updates zur Verf gung Sicherheitseinstellungen F r einen sorglosen Umgang mit Ihrem Produkt empfehlen wir Ihnen s mtli che Sicherheitseinstellungen z B Firewall Verschl sselung Zugriffsschutz Geb hrensperre vorzunehmen die nicht bereits zum Zeitpunkt des Kaufs des Produkts aktiviert waren Der LANconfig Assistent Sicherheitseinstellungen LANCOM 7111 VPN LANCOM 8011 VPN gt Ein Wort vorab unterst tzt Sie bei dieser Aufgabe Weitere Informationen zum Thema Sicher heit finden Sie auch im Kapitel Sicherheits Einstellungen auf Seite 64 Zus tzlich bitten wir Sie sich auf unserer Internet Seite www lancom de ber technische Weiterentwicklungen und aktuelle Hinweise zu Ihrem Produkt zu informieren und ggf neue Software Versionen herunterzuladen Benutzerhandbuch und Referenzhandbuch Die Dokumentation Ihres Ger tes besteht aus zwei Teilen Dem Benutzerhand buch und dem Referenzhandbuch Sie lesen derzeit das Benutzerhandbuch Es enth lt alle Informationen die zur raschen Inbetriebnahme Ihres Ger tes notwendig sind Au erdem finden Sie hier alle wichtigen technischen Spezifikationen Das Referenzhandbuch befindet sich als Acrobat Dokument PDF Datei auf CD Es erg nzt das Benutzerhandbuch und geht ausf hrlich auf Themen ein die bergreifend f r mehrere Modelle
16. Ger tes im unmittelbaren Modellvergleich Anwendungen Internet Zugang S S LAN LAN Kopplung ber VPN 100 Tunnel 200 Tunnel optio nal 500 oder 1000 LAN LAN Kopplung ber ISDN Z 7 RAS Server ber VPN 100 Kan le 200 Kan le optio nal 500 oder 1000 RAS Server ber ISDN 4 S IP Router Z S IPX Router ber ISDN z B zur Kopplung von Novell Netzwerken oder S S zur Einwahl in Novell Netzwerke NetBIOS Proxy zur Kopplung von Microsoft Peer to Peer Netzwerken Z Z ber ISDN DHCP und DNS Server f r LAN und WAN Z J N N Mapping zum Routen von Netzwerken mit den gleichen IP S S Adresskreisen ber VPN LANCAPI Server f r den Einsatz von Office Anwendungen wie Fax oder WG S Anrufbeantworter ber die ISDN Schnittstelle ISDN Festverbindungen Z S WAN Anschl sse Fast Ethernet g S ISDN S Anschlusszum Aufbau von Dynamic VPN Verbindungen zu i P Gegenstellen mit dynamischen IP Adressen LAN Anschluss 4 individuelle Fast Ethernet LAN Ports einzeln schaltbar z B als LAN S Z Switch oder separate DMZ Ports Auto Crossover 16 LANCOM 7111 VPN LANCOM 8011 VPN Sicherheitsfunktionen gt Kapitel 1 Einleitung IP Masquerading NAT PAT zum Verstecken aller Arbeitsstationen im LAN hinter einer einheitlichen ffentlichen IP Adresse Stateful Inspection Firewall mit Intrusion Detection und DoS Protection Firewall Filter zur gezielten
17. Kopplung ber VPN k nnen Sie die eigenen Stationen hin ter einer anderen IP Adresse maskieren Bei dieser als Extranet VPN bezeichneten Betriebsart erscheinen die eigenen Rechner gegen ber dem entfernten LAN nicht mit ihrer eigenen IP Adresse sondern mit einer anderen frei w hlbaren z B der des VPN Gateways Den Stationen im entfernten LAN wird dadurch der direkte Zugriff auf die Rechner im eigenen LAN verwehrt Wurde beispielsweise im LAN der Filiale f r den Zugriff auf die Zentrale der Extranet VPN Modus hinter der IP Adresse 10 10 2 100 eingestellt und greift der Rechner 10 10 2 10 auf den Server 10 10 1 2 zu so erscheint bei diesem eine Anfrage von der IP 10 10 2 100 Die tats chliche IP Adresse des Rechners bleibt verborgen Wenn ein LAN im Extranet Modus gekoppelt wird so wird auf der Gegenseite nicht dessen tats chliche verborgene LAN Adresse angegeben sondern die IP Adresse mit der das LAN nach au en hin auftritt im Beispiel 10 10 2 100 Die Netzmaske lautet in diesem Fall 255 255 255 255 Einstellungen f r den IPX Router Gi Die Kopplung von IPX Netzwerken ber VPN kann nicht im Assisten ten sondern nur in der Expertenkonfiguration eingerichtet werden Details dazu finden Sie im Referenzhandbuch F r die Kopplung von zwei typischen IPX Netzwerken zu einem WAN sind drei IPX Netzwerknummern notwendig f r das LAN der Zentrale f r das LAN der Filiale f r das bergeordnete WAN
18. SNTP NetBIOS RADIUS LANCAPI IPX RIP SAP IPX und SPX Watchdogs NetBIOS Watchdogs WAN Protokolle Ethernet PPPoE Multi PPPoE PPTP PAC oder PNS und Plain Ethernet mit oder ohne DHCP WAN Protokolle ISDN D Kanal 1TR6 DSS1 Euro ISDN B Kanal PPP asynchron synchron X 75 HDLC ML PPP f r Kanalb ndelung V 110 GSM CAPI 2 0 ber LANCAPI Stac Datenkompres sion Festverbindungsunterst tzung f r D64 D6452 D64SY 13 LANCOM 7111 VPN LANCOM 8011 VPN gt Kapitel 10 Anhang Schnittstellen WAN 10 100 Mbit s Fast Ethernet LAN DMZ Switch 4 individuelle Ports 10 100 MBit s Fast Ethernet ISDN RJ 45 ISDN SO Bus Serial Config 8 pol Mini DIN COM Port 9600 11500 Baud Management Outband Kommandozeilen Interface serieller V 24 V 28 Port 8 pol Mini DIN al Inband LANconfig inkl Setup Assistenten f r Internetzugang Security Firewall Dynamic DNS Remote Access und LAN LAN Kopplung LANmonitor Statusanzeige RADIUS Benutzerverwaltung f r Einwahlzug nge PPP PPTP und ISDN CLIP Fernwartung ber ISDN Telnet SSL SSH Browser HTTP HTTPS und TFTP Konfiguration sowie Firmware Upload SNMP Management via SNM V2 WAN oder LAN Zugang separat einstellbar gleichzeitige Fernkonfiguration und Management mehrerer Ger te mit LANconfig Supervisor Alarmierung durch SNMP Traps SYSLOG und E Mail Zeitliche Steuerung aller Parameter und Aktionen z B Firewall Regeln oder Verbindungsaufbauten durch
19. des Routers angegeben werden Entfernte Windows Arbeitsgruppen erscheinen nicht in der Windows Netzwerkumgebung sondern k nnen nur direkt z B ber die Com puter Suche angesprochen werden Anleitung f r LANconfig F hren Sie die Konfiguration nacheinander an beiden Routern durch Rufen Sie den Assistenten Zwei lokale Netze verbinden auf Folgen Sie den Anweisungen des Assistenten und geben Sie notwendigen Daten ein 49 LANCOM 7111 VPN LANCOM 8011 VPN gt Kapitel 5 Zwei Netzwerke verbinden LANCOM Mit diesem Assistenten k nnen Sie Ihr Ger t schnell und einfach f r bestimmte Anwendungen konfigurieren Was m chten Sie tun X Grundeinstellungen X Sicherheits Einstellungen kontrollieren A Intemet Zugang einrichten A EinwahlZugang bereitstellen RAS x Zwei lokale Netze verbinden X Firewall konfigurieren A Dynamic DNS konfigurieren Zie Abbrechen Der Assistent meldet sobald ihm alle notwendigen Angaben vorliegen Schlie en Sie den Assistenten dann mit Fertig stellen ab Q Nach Abschluss der Einrichtung an beiden Routern k nnen Sie die Netz werkverbindung testen Versuchen Sie dazu einen Rechner im entfernten LAN z B mit ping anzusprechen Der LANCOM VPN sollte automatisch eine Verbindung zur Gegenstelle aufbauen und den Kontakt zum gew nschten Rechner herstellen 5 3 Anleitung f r WEBconfig D Die Kopplung von Netzwerken ber VPN kann unter WEBconfig nicht
20. deutlich unter den vom DSL Anbieter angegebenen Maximalwerten liegt gibt es au er diesen externen Einflussfaktoren nur wenige m gliche Fehlerquellen an den eigenen Ger ten Ein bliches Problem tritt auf wenn an einem Windows PC ber eine asyn chrone Verbindung gleichzeitig gro e Datenmengen geladen und gesendet werden In diesem Fall kann es zu einer starken Beeintr chtigung der Down load Geschwindigkeit kommen Verantwortlich ist die sogenannte TCP IP Receive Windows Size im Windows Betriebssystem die standardm ig auf einen f r asynchrone Verbindungen zu kleinen Wert gesetzt ist Eine Anleitung zur Vergr erung der Windows Size finden Sie in der Wissens datenbank im Support Bereich der LANCOM Systems Website www lan com de Unerw nschte Verbindungen mit Windows XP Windows XP Rechner versuchen beim Start die eigene Uhrzeit mit einem Zeitserver im Internet abzugleichen Deshalb kommt es beim Start eines Win dows XP Rechners im WLAN zum Verbindungsaufbau des LANCOM mit dem Internet Zur Abhilfe schaltet man an den Windows XP Rechnern die automatische Zeitsynchronisation unter Rechter Mausklick auf die Uhrzeit Eigen schaften gt Internetzeit aus Kabel testen Werden auf Ihren LAN oder WAN Verbindungen gar keine Daten bertragen obwohl die Konfiguration der Ger te keine erkennbaren Fehler aufweist liegt m glicherweise ein Defekt in der Verkabelung vor Mit dem Kabel Test k nnen Sie aus dem LANCOM hera
21. gt k nnen Sie den Setup Assistenten jetzt fertig stellen Ansonsten bietet Ihnen der Assistent an abschlie end die ISDN Schnittstelle zu konfigurieren Treffen Sie eine Wahl und best tigen Sie mit Setzen Geben Sie diejenigen ISDN Rufnummern in Form von MSNs also ohne Vorwahl an auf denen der Router Rufe annehmen soll Mehrere Num mern werden durch Semikola getrennt Wenn Sie keine MSN angegeben reagiert der Routern auf alle Anrufe am ISDN Anschluss Au erdem k nnen Sie eine Amtsziffer f r die Wahl ins ISDN eingeben Schlie lich sollten Sie angeben ob an Ihrem ISDN Anschluss die Geb h reninformationen bermittelt werden oder nicht Best tigen Sie Ihre Ein gaben mit Setzen Der Grundeinrichtungs Assistent meldet dass alle notwendigen Angaben vorliegen Mit Weiter schlie en Sie ihn ab TCP IP Einstellungen an den Arbeitsplatz PCs Bei TCP IP Netzwerken ist die korrekte Adressierung aller Ger te im LAN au erordentlich wichtig Ferner sollten alle Rechner die IP Adressen von zwei zentralen Stellen im LAN kennen Standard Gateway erh lt alle Pakete die nicht an Rechner im lokalen Netz adressiert sind DNS Server bersetzt einen Netzwerknamen www lancom de oder den Namen eines Rechners www lancom de in eine konkrete IP Adresse Der LANCOM VPN kann sowohl die Funktionen eines Standard Gateways als auch die eines DNS Servers bernehmen Au erdem kann er als DHCP Server allen Rechnern im
22. lerweise nur beim Anschluss an einer ISDN Telefonanlage erforderlich blich ist die 0 Diese Amtsvorwahl wird f r alle ausgehenden Rufe ver wendet Schlie lich sollten Sie wissen ob die Telefongesellschaft den ISDN Geb hrenimpuls bermittelt Dieser kann vom LANCOM VPN f r Geb h renbudgets und die Accounting Funktion ausgewertet werden Geb hrenschutz Der Geb hrenschutz verhindert den Verbindungsaufbau ber ein vorher ein gestelltes Ma hinaus und sch tzt Sie so vor unerwartet hohen Verbindungs kosten Beim LANCOM VPN existieren drei unabh ngige Budgets F r den DSL Zugang k nnen Sie eine maximale Verbindungszeit in Minuten festsetzen F r die Beschr nkung von ISDN Verbindungen existiert neben einem solchen Zeitbudget auch ein Budget f r Geb hreneinheiten G F r das Funktionieren der Beschr nkung nach Geb hreneinheiten ist die bermittlung der Geb hreninformationen im ISDN notwendig Jedes Budget kann durch Eingabe des Wertes 0 einzeln deaktiviert werden Auf Wunsch ist es m glich den Geb hrenschutz komplett auszuschalten Anleitung f r LANconfig Starten Sie LANconfig mit Start Programme gt LANCOM LANconfig LANconfig erkennt den neuen LANCOM VPN im TCP IP Netz selbstst n dig Daraufhin startet der Setup Assistent der Ihnen bei der Grundein stellung des Ger ts behilflich ist oder Ihnen die passende Netzwerkumgebung vorausgesetzt sogar die gesamte Arbeit abnimmt 31
23. n dauerhaft an VPN Tunnel ist aufgebaut Security amp Status der Firewall Zeigt den Zustand der Sicherheitseinstellungen und abge wehrte Angriffe auf das gesch tzte Netzwerk an gr n dauerhaft an Sicherheitseinstellungen OK Paketfilter Regeln sind einge richtet rot gr n blinkend Unsichere Konfiguration rot flackernd Sicherheitsalarm Datenpaket gefiltert durch Firewall Regeln 21 LANCOM 7111 VPN LANCOM 8011 VPN gt Kapitel 2 Installation ETH 1 bis ETHA Verbindungszustand und Datenverkehr der vier LAN Anschl sse im integrier ten Switch aus kein Netzwerkger t angeschlossen gr n dauerhaft an Verbindung zu Netzwerkger t betriebsbereit kein Datenver kehr u gr n flackernd Datenverkehr rot flackernd Kollision von Datenpaketen WAN Link Verbindungszustand am WAN Anschluss aus keine Verbindung gr n blinkend Aufbau der Verbindung gr n blitzend Protokollverhandlung gr n dauerhaft an Verbindung aufgebaut WAN Data Datenverkehr am WAN Anschluss aus keine Verbindung gr n dauerhaft an Verbindung aufgebaut gr n flackernd Datenverkehr Versand oder Empfang rot flackernd Kollision von Datenpaketen ISDN Status amp Verbindungszustand am ISDN Sy Anschluss aus nicht angeschlossen oder keine Sp Spannung keine Fehler meldung gr n blinkend Initialisierung D Kanal Kontaktaufnahme mit Verbindungs stelle gr n dauerhaft an D Kanal betriebsber
24. 11 VPN LANCOM 8011 VPN Kapitel 2 Installation der Unterseite des Ger tes an um Kratzer auf den Oberfl chen anderer Ger te zu vermeiden LAN schlie en Sie Ihren LANCOM VPN zun chst ans LAN oder einen einzelnen PC an Stecken Sie das mitgelieferte Netzwerkkabel gr ne Ste cker einerseits in einen LAN Anschluss des Ger ts und andererseits in eine freie Netzwerkanschlussdose Ihres lokalen Netzes eine freie Buchse eines Switches Hubs oder den Netzwerkeingang eines einzelnen PC Die LAN Anschl sse erkennen sowohl die bertragungsrate 10 100 Mbit als auch den Typ Node Hub angeschlossener Netzwerkger te automatisch Autosensing Der parallele Anschluss von Ger ten unter schiedlicher Geschwindigkeit und Typen ist m glich In einem Netzwerksegment sollten sich niemals mehrere unkonfigu rierte LANCOM gleichzeitig befinden Alle unkonfigurierten LANCOM melden sich unter derselben IP Adresse mit den Endziffern 254 es kommt daher zu Adresskonflikten Zur Vermeidung von Problemen sollten mehrere LANCOM immer nacheinander konfiguriert und jeweils sofort mit einer eindeutigen IP Adresse die nicht auf 254 endet versehen werden WAN verbinden Sie die WAN Schnittstelle ber das mitgelieferte Anschlusskabel dunkelblaue Stecker z B mit dem Ethernet Anschluss eines DSL Modems oder eines Kabelmodems amp ISDN f r den Anschluss des LANCOM VPN an das ISDN Netz stecken Sie das eine Ende des mitgeliefer
25. CRON Dienst Individuelle Zugriffsrechte f r bis zu 16 Administratoren Tools LANconfig Windows Konfigurations Programm LANmonitor Win dows Statusanzeige WEBconfig integrierter Web Server Statistiken Sehr umfangreiche Ethernet IP und DNS Statistiken SYSLOG Fehlerz hler Verbin dungs und Onlinezeit sowie bertragungsvolumen pro Station Accounting Informa tion exportierbar via LANmonitor und SYSLOG Diagnose Sehr umfangreiche LOG und TRACE M glichkeiten eingebautes PING und TRACE ROUTE Logging Buffer f r SYSLOG und Firewall Events im Ger t Hardware L fterloses Design mit hoher MTBF internes Netzteil 110 230 V Temperaturbereich 5 40 C Luftfeuchtigkeit 0 80 nicht kondensierend Robustes Metallgeh use 19 1 HE 435 x 45 x 207 mm mit abschraubbaren Montagewinkeln Netzwerkanschl sse auf der Frontseite Zulassungen EU CE Zertifizierung EN 55022 EN 55024 EN 60950 Lieferumfang CD mit Firmware und Tools LANconfig LANmonitor LANCAPI gedrucktes Handbuch Deutsch Englisch Netzkabel serielles Konfigurationskabel 2 Ethernet Kabel WAN LAN ISDN Kabel Service Garantie 3 Jahre Support ber Hotline und Internet Optionen 74 61401 LANCOM Service Option 24h Vorabaustausch innerhalb Deutschlands 4 Jahre Garantie 110288 LANCOM Modem Adapter Kit zum Anschlu von Modems analog oder GSM an die serielle Konfigurations schnittstelle 61401 LANCOM Service Opti
26. Geb hrenschutz 3 2 Anleitung f r LANconfig 3 3 Anleitung f r WEBconfig 3 4 TCP IP Einstellungen an den Arbeitsplatz PCs 4 Den Internet Zugang einrichten 4 1 Anleitung f r LANconfig 4 2 Anleitung f r WEBconfig 12 13 14 14 16 18 18 19 19 24 24 26 26 27 28 28 28 30 30 30 31 31 33 38 40 42 42 LANCOM 7111 VPN LANCOM 8011 VPN Inhalt 5 Zwei Netzwerke verbinden 43 5 1 Welche Angaben sind notwendig 44 5 1 1 Allgemeine Angaben 44 5 1 2 Einstellungen f r den TCP IP Router 46 5 1 3 Einstellungen f r den IPX Router 48 5 1 4 Einstellungen f r NetBIOS Routing 49 5 2 Anleitung f r LANconfig 49 5 3 Anleitung f r WEBconfig 50 6 Einwahl Zugang bereitstellen 52 6 1 Welche Angaben sind notwendig 53 6 1 1 Allgemeine Angaben 53 6 1 2 Einstellungen f r TCP IP 54 6 1 3 Einstellungen f r IPX 55 6 1 4 Einstellungen f r NetBIOS Routing 55 6 2 Einstellungen am Einwahl Rechner 56 6 2 1 Einwahl ber VPN 56 6 2 2 Einwahl ber ISDN 57 6 3 Anleitung f r LANconfig 57 6 4 Anleitung f r WEBconfig 58 7 Faxe versenden mit der LANCAPI 59 7 1 Installation des LANCOM CAPI Faxmodem 60 7 2 Installation des MS Windows Faxdienstes 61 7 3 Versenden eines Faxes 62 7 3 1 Faxe versenden mit beliebigen B roanwendungen 62 7 3 2 Faxe versenden mit dem Windows Faxdienst 62 8 Sicherheits Einstellungen 64 8 1 Der Sicherheits Assistent 64 8 1 1 Assistent f r LANconfig 64 8 1 2 Assistent f
27. ISDN sorgen das Kennwort f r die Verbin dung die berpr fung der ISDN Nummer und die R ckruffunktion f r die Sicherheit der Verbindung 43 LANCOM 7111 VPN LANCOM 8011 VPN gt Kapitel 5 Zwei Netzwerke verbinden 5 1 Die ISDN R ckruffunktion kann nicht im Assistenten sondern nur in der Expertenkonfiguration eingerichtet werden Details dazu finden Sie im Referenzhandbuch Welche Angaben sind notwendig Der Assistent fragt alle notwendigen Daten Schritt f r Schritt ab Nach M g lichkeit sollten Ihnen die erforderlichen Angaben schon vor Aufruf des Assis tenten vorliegen Die Bedeutung aller Angaben nach denen Sie der Assistent fragt erkl ren wir Ihnen an Hand eines typischen Beispiels der Kopplung einer Filiale an ihre Zentrale Die beiden beteiligten Router tragen die Namen ZENTRALE und FILIALE Den folgenden Tabellen entnehmen Sie welche Eintr ge an welchem der bei den Router vorzunehmen sind Pfeile kennzeichnen die Abh ngigkeiten zwi schen den Eintr gen Allgemeine Angaben Die folgenden Angaben werden f r die Einrichtung einer LAN LAN Kopplung ben tigt Die erste Spalte zeigt jeweils an ob die Information f r eine VPN und oder ISDN Netzwerkkopplung erforderlich ist VPN Verf gt die Gegenstelle ber einen ISDN Ja Nein Ja Nein Anschluss VPN Typ der eigenen IP Adresse statisch dynamisch statisch dynamisch VPN Typ IP Adresse der Gegenstelle statisch dynamisch Ea st
28. LAN automatisch eine korrekte IP Adresse zuweisen Die korrekte TCP IP Konfiguration der PC im LAN h ngt entscheidend davon ab nach welcher Methode im LAN die IP Adressen vergeben werden IP Adressvergabe ber den LANCOM VPN Normalfall In dieser Betriebsart weist der LANCOM VPN den PCs im LAN nicht nur eine IP Adresse zu sondern bermittelt per DHCP auch seine eigene IP Adresse als Standard Gateway und DNS Server Die PCs sind deshalb so einzustellen dass sie ihre eigene IP Adresse ebenso wie die IP Adressen von Standard Gateway und DNS Server automatisch ber DHCP bezie hen LANCOM 7111 VPN LANCOM 8011 VPN gt Kapitel 3 Grundkonfiguration IP Adressvergabe ber einen separaten DHCP Server Die Arbeitsplatz PCs sind so einzustellen dass sie ihre eigene IP Adresse ebenso wie die IP Adressen von Standard Gateway und DNS Server auto matisch ber DHCP beziehen Auf dem DHCP Server ist die IP Adresse des Routers so zu hinterlegen dass der DHCP Server sie an die PCs im LAN als Standard Gateway bermittelt Au erdem sollte der DHCP Server den LANCOM VPN als DNS Server angeben Manuelle Zuweisung der IP Adressen Werden die IP Adressen im Netzwerk statisch vergeben so sind bei jedem PC im LAN die IP Adresse des Ger ts als Standard Gateway und als DNS Server in der TCP IP Konfiguration einzustellen Weitere Informationen und Hilfe zu den TCP IP Einstellungen Ihres LANCOM VPN finden Sie im Refer
29. LANCOM 7111 VPN LANCOM 8011 VPN Kapitel 3 Grundkonfiguration 32 Setup Assistent A x LANCOM Ag Grundeinstellungen Bevor Sie Ihr neues Ger t einrichten k nnen m ssen einige Einstellungen f r den Betrieb in Ihrem Netzwerk vorgenommen werden Wenn Sie noch nicht mit Netzwerken vertraut sind und dieses Ger t der einzige Router in Ihrem Netz ist dann k nnen Sie diese Einstellungen automatisch durchf hren lassen tundeinstellungen f r den Netzwerk Betrieb Sollte der Setup Assistent nicht automatisch starten so suchen Sie manuell nach neuen Ger ten an allen Schnittstellen falls der LANCOM VPN ber die serielle Konfigurationsschnittstelle ange schlossen ist oder im Netzwerk Ger t Suchen Sollte der Zugriff auf einen unkonfigurierten LANCOM VPN scheitern so kann dieser Fehler auf die Netzmaske des LAN zur ckzuf hren sein Bei weniger als 254 m glichen Hosts Netzmaske gt 255 255 255 0 muss sichergestellt sein dass die IP Adresse x x x 254 im eigenen Subnet vorhanden ist Wenn Sie die automatische TCP IP Konfiguration w hlen fahren Sie mit Schritt fort Wenn Sie die TCP IP Einstellungen selber vornehmen wollen dann geben Sie dem LANCOM VPN eine verf gbare Adresse aus einem geeigneten IP Adressbereich Best tigen Sie mit Weiter Geben Sie an ob der Router als DHCP Server arbeiten soll oder nicht W hlen Sie aus und best tigen Sie mit Weiter Im folgenden Fenste
30. LANCOM 7111 VPN LANCOM 8011 VPN 2004 LANCOM Systems GmbH W rselen Germany Alle Rechte vorbehalten Alle Angaben in dieser Dokumentation sind nach sorgf ltiger Pr fung zusammengestellt worden gelten jedoch nicht als Zusicherung von Produkteigenschaften LANCOM Systems haftet ausschlie lich in dem Umfang der in den Verkaufs und Lieferbedingungen festgelegt ist Weitergabe und Vervielf ltigung der zu diesem Produkt geh renden Dokumentation und Software und die Verwendung ihres Inhalts sind nur mit schriftlicher Erlaubnis von LANCOM Systems gestattet nderungen die dem technischen Fort schritt dienen bleiben vorbehalten Windows Windows NT und Microsoft sind eingetragene Marken von Microsoft Corp Das LANCOM Systems Logo und die Bezeichnung LANCOM sind eingetragene Marken der LANCOM Systems GmbH Alle brigen verwendeten Namen und Bezeichnungen k nnen Marken oder eingetragene Marken ihrer jeweiligen Eigent mer sein LANCOM Systems beh lt sich vor die genannten Daten ohne Ank ndigung zu ndern und bernimmt keine Gew hr f r technische Ungenauigkeiten und oder Auslassungen Produkte von LANCOM Systems enthalten Software die vom OpenSSL Project f r die Verwendung im OpenSSL Toolkit entwickelt wurden http www openssl org LANCOM Systems GmbH Adenauerstr 20 B2 52146 W rselen Deutschland www lancom de W rselen Dezember 2004 110297 1204 LANCOM 7111 VPN LANCOM 8011 VPN gt E
31. M he Zum Abschluss dieses Kapitels zeigen wir Ihnen welche Einstellungen an den Arbeitsplatzrechnern im LAN notwendig sind damit der Zugriff auf den Rou ter einwandfrei funktioniert TCP IP Einstellungen an den Arbeitsplatz PCs Seite 38 Welche Angaben sind notwendig Der Grundkonfigurations Assistent nimmt nacheinander die TCP IP Grund einstellung des Routers vor sch tzt des Ger t mit einem Konfigurationskenn wort und richtet auf Wunsch auch den ISDN Anschluss ein Die folgenden Beschreibungen der vom Assistenten geforderten Angaben gliedert sich in die folgenden Konfigurationsabschnitte TCP IP Einstellungen Schutz der Konfiguration gt Angaben zum DSL Anschluss gt Angaben zum ISDN Anschluss gt Einstellung des Geb hrenschutzes TCP IP Einstellungen Die TCP IP Konfiguration kann auf zweierlei Art erfolgen Entweder vollauto matisch oder manuell Bei der vollautomatischen TCP IP Konfiguration ist keine Benutzereingabe erforderlich Alle Parameter werden selbstst ndig vom Setup Assistenten gesetzt Bei der manuellen TCP IP Konfiguration fragt der Assistent die blichen TCP IP Parameter ab IP Adresse Netzmaske etc dazu sp ter mehr LANCOM 7111 VPN LANCOM 8011 VPN gt Kapitel 3 Grundkonfiguration Die vollautomatische TCP IP Konfiguration ist nur in bestimmten Netzwer kumgebungen m glich Deshalb analysiert der Setup Assistent das ange schlossene LAN daraufhin ob die vollautomatisc
32. Sperrung von IP Adressen Protokollen und Ports MAC Adressfilter kontrolliert u a den Zugriff von Arbeitsstationen im LAN auf die IP Routing Funktion Konfigurationsschutz zur Abwehr von Brute Force Angriffen RUSSU SUSS SISISISIS Quality of Service Dynamisches Bandbreitenmanagement IP Traffic Shaping Bandbreitenreservierung absolut oder verbindungsbezogen getrennt f r Sende und Empfangsrichtung TOS oder DiffServ Priority Queueing Automatische Paketgr ensteuerung mit PMTU Anpassung oder Frag mentierung SISISIS ISSN Konfiguration Konfiguration mit LANconfig oder mit Webbrowser zus tzlich Terminal modus f r Telnet oder andere Terminalprogramme SNMP Schnittstelle und TFTP Serverfunktion Fernkonfiguration ber ISDN mit ISDN PPP Verbindungen z B ber das DFU Netzwerk von Windows Serielle Konfigurations Schnittstelle R ckruf Funktion mit PPP Authentifizierung Mechanismen zur Beschr n kung auf festgelegte ISDN Rufnummern FirmSafe zum Einspielen neuer Firmwareversionen ohne Risiko SISISISIS SISISISIS Optionale Software Erweiterungen LANCOM Service Option S S LANCOM VPN Option mit 500 oder 1000 aktiven Tunneln S 17 LANCOM 7111 VPN LANCOM 8011 VPN gt Kapitel 2 Installation 18 2 2 1 2 2 Installation Dieses Kapitel hilft Ihnen m glichst schnell Hard und Software zu installie ren Z
33. Web und die M glichkeit zum Versand und Emp fang von E Mails zu geben Alle Verbindungen zur Au enwelt basieren auf dedizierten Leitungen d h W hl oder Standleitungen Dedizierte Leitungen gelten einerseits als zuver l ssig und sicher andererseits aber auch als teuer Ihre Kosten sind in aller Regel von der Verbindungsdistanz abh ngig So hat es gerade bei Verbindun gen ber weite Strecken Sinn nach preisg nstigeren Alternativen Ausschau zu halten In der Zentrale muss f r jeden verwendeten Zugangs und Verbindungsweg analoge W hlverbindung ISDN Standleitungen entsprechende Hardware betrieben werden Neben den Investitionskosten f r diese Ausr stung fallen auch kontinuierliche Administrations und Wartungskosten an LANCOM 7111 VPN LANCOM 8011 VPN gt Kapitel 1 Einleitung Vernetzung ber Internet Bei Nutzung des Internets anstelle direkter Verbindungen ergibt sich folgende Struktur Zentrale o iD Niederlassung Alle Teilnehmer sind fest oder per Einwahl mit dem Internet verbunden Es gibt keine teueren dedizierten Leitungen zwischen den Teilnehmern mehr Nur noch die Internet Verbindung des LANs der Zentrale ist notwendig Spezielle Einwahlger te oder Router f r dedizierte Leitungen zu einzelnen Teilnehmern entfallen Die Niederlassung ist ebenfalls mit einer eigenen Verbindung ans Internet angeschlossen Die RAS Rechner w hlen sich ber das Internet in das LAN
34. ande ren Rechner im LAN die IP Adressen sowie Informationen ber Gateways etc zu sofern diese auf den automatischen Bezug der IP Adressen eingestellt sind Auto DHCP In dieser Konstellation kann das Ger t von jedem Rechner mit aktivierter Auto DHCP Funktion mit einem Webbrowser unter dem Namen LANCOM oder unter der IP Adresse 172 23 56 254 erreicht werden 3 Server nicht gefunden Microsoft Internet Explorer oj x Datei Bearbeiten Ansicht Favoriten Extras Ay TI A Server nicht gefunden Microsoft Internet Explorer Q Zur ck I z x E A Ei z 2 I Datei Bearbeiten Ansicht Favoriten Extras dresse htpitancom LRL 5 ja resse http KI ric 2 7 x x z A 2 Suchen d Adresse http 172 23 56 254 Falls der Konfigurations Rechner seine IP Adresse nicht vom LANCOM DHCP Server bezieht ermitteln Sie die aktuelle IP Adresse des Rechners mit Start gt Ausf hren cmd und dem Befehl ipconfig an der Eingabeaufforderung unter Windows 2000 oder Windows XP mit Start gt Ausf hren cmd und dem Befehl winipcfg an der Eingabeaufforderung unter Windows Me oder Windows 9x bzw dem Befehl ifconfig in der Konsole unter Linux In diesem Fall erreichen Sie das LANCOM unter der Adresse x x x 254 die x stehen f r die ersten drei Bl cke in der IP Adresse des Konfigurationsrechners Netz mit DHCP Server Ist im LAN ein DHCP Server zur Zuweisung der IP Adressen aktiv schalte
35. atisch dynamisch VPN ISDN Name des eigenen Ger tes ZENTRALE FILIALE VPN ISDN Name der Gegenstelle FILIALE x ZENTRALE VPN ISDN ISDN Rufnummer Gegenstelle 0123 123456 0789 654321 VPN ISDN ISDN Anruferkennung Gegenstelle 0789 654321 x 0123 123456 VPN ISDN Kennwort zur sicheren bertragung der IP Geheim gt Geheim Adresse VPN Shared Secret f r Verschl sselung Secret 4 Secret VPN IP Adresse der Gegenstelle 10 0 2 100 10 0 1 100 44 LANCOM 7111 VPN LANCOM 8011 VPN gt Kapitel 5 Zwei Netzwerke verbinden VPN IP Netzadresse des entfernten Netzes 10 0 2 0 10 0 1 0 VPN Netzmaske des entfernten Netzwerks 255 255 255 0 255 255 255 0 VPN D m nenbezeichnung im entfernten Netz zentrale Tiliale werk VPN Eigene Stationen bei Zugriff auf entferntes Ja Nein Ja Nein Netz verstecken Extranet VPN ISDN TCP IP Routing f r Zugriff auf entferntes Ja Nein Ja Nein Netz ISDN IPX Routing f r Zugriff auf entferntes Netz Ja Nein Ja Nein VPN ISDN NetBIOS Routing f r Zugriff auf entferntes Ja Nein Ja Nein Netz VPN ISDN Name einer lokalen Arbeitsgruppe nur bei workgroup1 workgroup2 NetBIOS ISDN Datenkomprimierung ein aus 4 einlaus ISDN Kanalb ndelung ein aus 4 einlaus Hinweise zu den einzelnen Werten gt gt Verf gt Ihr eigenes Ger t ber einen ISDN Anschluss so fragt der Assis tent nac
36. ber kosteng nstige ffentliche IP Netze aufgebaut werden bei spielsweise ber das Netz der Netze das Internet Das Modell LANCOM 7111 VPN ist standardm ig mit VPN Unter st tzung f r 100 aktive Tunnel ausgestattet das LANCOM 8011 VPN mit 200 Kan len Mit der zus tzlichen LANCOM VPN Option kann die VPN Unterst tzung f r das LANCOM 8011 VPN auf 500 bzw 1000 aktive Tunnel erweitert werden Was sich zun chst unspektakul r anh rt hat in der Praxis enorme Auswirkun gen Zur Verdeutlichung schauen wir uns zun chst ein typisches Unterneh mensnetzwerk ohne VPN Technik an Im zweiten Schritt werden wir dann sehen wie sich dieses Netzwerk durch den Einsatz von VPN optimieren l sst Herk mmliche Netzwerkstruktur Blicken wir zun chst auf eine typische Netzwerkstruktur die in dieser oder hnlicher Form in vielen Unternehmen anzutreffen ist LANCOM 7111 VPN LANCOM 8011 VPN gt Kapitel 1 Einleitung Rechner im Fernzugriff z B Heimarbeit Niederlassung Das Unternehmensnetz basiert auf einem internen Netzwerk LAN in der Zen trale Dieses LAN ist ber folgende Wege mit der Au enwelt verbunden Eine Niederlassung ist typischerweise ber eine Standleitung ange schlossen Rechner w hlen sich ber ISDN oder Modem ins zentrale Netzwerk ein Remote Access Service RAS Es existiert eine Verbindung ins Internet um den Benutzern des zentralen LAN den Zugriff auf das
37. bereitstellen 6 2 2 Einwahl ber ISDN Beim Einwahl Rechner sind einige Einstellungen n tig die hier nur kurz am Beispiel eines Windows Rechners aufgef hrt sind DF Netzwerk bzw anderer PPP Client korrekt eingerichtet Netzwerkprotokoll TCP IP IPX installiert und auf den DF Adapter gebunden neue Verbindung im DF Netzwerk mit Rufnummer des Routers Terminal Adapter oder ISDN Karte auf PPPHDLC eingestellt PPP als DF Servertyp ausgew hlt Software Komprimierung aktivieren und Verschl sseltes Kennwort fordern ausgeschaltet Auswahl der gew nschten Netzwerkprotokolle TCP IP IPX gt Zus tzliche TCP IP Einstellungen Zuweisung von IP Adresse und Namensserveradresse aktiviert gt IP Headerkomprimierung deaktiviert vy Mit diesen Einstellungen kann sich ein PC ber ISDN in das entfernte LAN ein w hlen und in blicher Weise auf dessen Ressourcen zugreifen 6 3 Anleitung f r LANconfig Rufen Sie den Assistenten Einwahl Zugang bereitstellen RAS auf Fol gen Sie den Anweisungen des Assistenten und geben Sie die notwendigen Daten ein LANCOM Mit diesem Assistenten k nnen Sie Ihr Ger t schnell und einfach f r bestimmte Anwendungen konfigurieren Was m chten Sie tun amp Grundeinstellungen X Sicherheits Einstellungen kontrollieren X Internet Zugang einrichten x Einwahl Zugang bereitstellen RAS X Zwei lokale Netze verbinden A Firewall konfigurieren X Dy
38. das bergeordnete WAN IPX Internal Net A 00020002 WAN IB NEAR OL Fernarbeitsplatz 00000009 VPN oder ISDN m Verbindung ISDN Adapter T 0123 123456 Benutzer MUSTER LAN der Zentrale Z 0123 777888 IPX Netzwerknr 00000001 Binding Ethernet_Il Die geforderten Netzwerknummern werden in den IPX Konventionen als External Network Numbers bezeichnet Sie gelten analog zu IP Netzwerk Adressen f r ein komplettes LAN Segment Im Gegensatz dazu dienen die IPX Internal Network Nummern zur Adressierung von bestimmten Novell Servern im LAN Alle drei angegebenen Netzwerknummern m ssen sich von einander und von allen verwendeten IPX Internal Network Nummern unter scheiden Ferner kann die Angabe des im entfernten LAN verwendeten Frame Typs Binding erforderlich sein Wenn im entfernten Netz ein Novell Server arbeitet ist die Angabe der ent fernten IPX Netzwerknummer und des verwendeten Bindings nicht erforder lich Eine Netzwerknummer f r das WAN muss allerdings auch in diesem Fall manuell angegeben werden Einstellungen f r NetBIOS Routing F r die Verwendung von NetBIOS muss lediglich der Name einer Windows Arbeitsgruppe aus dem eigenen LAN des Routers angegeben werden 55 LANCOM 7111 VPN LANCOM 8011 VPN gt Kapitel 6 Einwahl Zugang bereitstellen 56 6 2 6 2 1 Die Verbindung wird nicht automatisch aufgebaut Der RAS Benutzer muss bei Bedarf zun chst
39. de rund um die Uhr zur Verf gung Hier finden Sie im Bereich Support viele Antworten auf h ufig gestellte Fragen FAQs Dar ber hinaus bietet Ihnen die Wissensdatenbank einen gro en Pool an Informationen Aktuelle Treiber Firmware Tools und Dokumentation stehen f r Sie jederzeit zum Download bereit Au erdem steht Ihnen der LANCOM Support zur Verf gung Telefon nummern und Kontaktadressen des LANCOM Supports finden Sie in einem separaten Beileger oder auf der LANCOM Systems Homepage Sehr wichtiger Hinweis dessen Nichtbeachtung zu Sch den f hren kann Wichtiger Hinweis der beachtet werden sollte Zus tzliche Informationen deren Beachtung hilfreich sein kann aber nicht erforderlich ist 9 LANCOM 7111 VPN LANCOM 8011 VPN gt Inhalt Inhalt 1 Einleitung 1 1 Welchen Nutzen bietet VPN 1 2 Firewall 1 3 Was macht ein Router 1 3 1 Br ckenkopf zum WAN 1 3 2 Einsatzgebiete f r Router 1 4 Was kann Ihr LANCOM 2 Installation 2 1 Lieferumfang 2 2 Systemvoraussetzungen 2 3 LANCOM VPN stellt sich vor 2 3 1 Statusanzeigen 2 3 2 Die Anschl sse des Ger ts 2 4 Installation der Hardware 2 5 Installation der Software 2 5 1 LANCOM Setup starten 2 5 2 Welche Software installieren 3 Grundkonfiguration 3 1 Welche Angaben sind notwendig 3 1 1 TCP IP Einstellungen 3 1 2 Konfigurationsschutz 3 1 3 Einstellungen f r den DSL Anschluss 3 1 4 Einstellungen f r den ISDN Anschluss 3 1 5
40. der ISDN Verbindung 0123 123456 T 0789 654321 LAN der Zentrale IP 10 0 1 0 LAN der Filiale IP 10 0 2 0 Netzmaske 255 255 255 0 Netzmaske 255 255 255 0 Dom ne zentrale firma Dom ne filiale firma Im Gegensatz zum Internet Zugang werden bei der Kopplung von Netzen alle IP Adressen aus den beteiligten Netzen auch im entfernten LAN sichtbar nicht nur die der Router Der Rechner mit der IP Adresse 10 0 2 10 im LAN der Filiale sieht den Server 10 0 1 2 in der Zentrale und kann entsprechende Rechte vorausgesetzt auch auf ihn zugreifen Gleiches gilt umgekehrt DNS Zugriffe ins entfernte LAN Der Zugriff auf entfernte Rechner kann in einem TCP IP Netzwerk nicht nur ber die Angabe der IP Adresse erfolgen sondern dank DNS auch ber frei definierbare Namen Beispielsweise kann der Rechner mit dem Namen pc1 filiale firma IP 10 0 2 10 auf den Server in der Zentrale nicht nur ber dessen IP Adresse zugreifen sondern auch ber dessen Namen server zentrale firma Einzige Voraussetzung Die Dom ne des entfernten Netzwerks muss im Assistenten angegeben werden Die Angabe der Dom ne ist nur im LANconfig Assistenten m glich Bei WEBconfig nehmen Sie die entsprechenden Einstellungen sp ter in der Expertenkonfiguration vor N here Informationen finden Sie im LANCOM VPN Referenzhandbuch 47 LANCOM 7111 VPN LANCOM 8011 VPN Kapitel 5 Zwei Netzwerke verbinden 48 VPN Extranet Bei einer LAN LAN
41. der Zentrale ein Das Internet zeichnet sich durch geringe Zugangskosten aus Insbesondere bei Verbindungen ber weite Strecken sind gegen ber herk mmlichen W hl oder Standverbindungen deutliche Einsparungen zu erzielen Die physikalischen Verbindungen bestehen nicht mehr direkt zwischen zwei Teilnehmern sondern jeder Teilnehmer hat selber nur einen Zugang ins Inter net Die Zugangstechnologie spielt dabei keine Rolle Idealerweise kommen Breitbandtechnologien wie DSL Digital Subscriber Line oder G 703 2 Mbit LANCOM 7111 VPN LANCOM 8011 VPN gt Kapitel 1 Einleitung 12 1 2 Festverbindung zum Einsatz Aber auch herk mmliche ISDN Verbindungen k nnen verwendet werden Die Technologien der einzelnen Teilnehmer m ssen nicht kompatibel zueinan der sein wie das bei herk mmlichen Direktverbindungen erforderlich ist ber einen einzigen Internet Zugang k nnen mehrere gleichzeitige logische Ver bindungen zu verschiedenen Gegenstellen aufgebaut werden Niedrige Verbindungskosten und hohe Flexibilit t machen das Internet oder jedes andere IP Netzwerk zu einem hervorragenden bertragungsmedium f r ein Unternehmensnetzwerk Firewall Die integrierte Stateful Inspection Firewall verhindert wirksam ein Eindringen von ungewolltem Datenverkehr in das eigene Netzwerk indem eingehender Datenverkehr nur als Reaktion auf ausgehenden Datenverkehr zugelassen wird Die IP Masquerading Funktion im Router versteckt beim Zuga
42. e Mindestens einen f r das LAN Mindestens einen f r WAN Verbindungen Einige Modelle verf gen neben dem LAN Anschluss 10 100 Mbit Ethernet auch ber einen integrierten Switch F r die Anbindung an das WAN nutzen die Router einen ISDN DSL oder ADSL Anschluss Zus tzlich enthalten manche Ger te eine Funknetzwerkkarte und k nnen damit auch Stationen in WLANs Wireless LANs in das Routing mit einbeziehen Die Aufgabe des Routers besteht darin Daten aus dem eigenen LAN ber eine geeignete WAN Verbindung in das Zielnetzwerk zu bermitteln Ebenso wer den Daten aus dem WAN an den gew nschten Empf nger im LAN weiterge leitet Einsatzgebiete f r Router Router werden berwiegend f r folgende Anwendungen eingesetzt Internet Zugang f r ein LAN z B ber DSL oder ISDN Das Internet besteht aus unz hligen gro en und kleinen Netzwerken die ber Router zum weltgr ten WAN verbunden sind Ihr Router verbindet alle Arbeitsplatzrechner ihres LAN mit dem globalen Internet Sicherheits funktionen wie IP Masquerading schirmen Ihr LAN gegen unbefugten Zugriff von au en ab LANCOM 7111 VPN LANCOM 8011 VPN Kapitel 1 Einleitung gt LAN LAN Kopplung ber VPN oder ISDN Eine LAN LAN Kopplung verbindet zwei LANs zu einem WAN bei Bedarf sogar ber Kontinente hinweg Typisches Beispiel Eine Niederlassung soll an das LAN der Zentrale gekoppelt werden Grunds tzlich k nnen Sie LANs auf zwei Arten koppeln
43. e Im Fall eines Verbindungsabbruchs wird diese automatisch wieder aufgebaut Dynamische Kanalb ndelung nur ISDN Bei Bedarf wird automatisch der zweite ISDN B Kanal zur Verbindung hinzugeschaltet Dadurch wird die Bandbreite verdoppelt Unter Umst nden werden aber auch die doppelten Verbindungsgeb hren f llig Au erdem ist Ihr ISDN Anschluss in diesem Fall besetzt zus tz liche ein oder ausgehende Anrufe werden abgelehnt Datenkompression nur ISDN Sie erm glicht eine zus tzliche Steigerung der bertragungsge schwindigkeit 41 LANCOM 7111 VPN LANCOM 8011 VPN gt Kapitel 4 Den Internet Zugang einrichten 4 1 Anleitung f r LANconfig Markieren Sie Ihr LANCOM VPN im Auswahlfenster W hlen Sie aus der Befehlsleiste den Punkt Extras Setup Assistent LANCOM Mit diesem Assistenten k nnen Sie Ihr Ger t schnell und einfach f r bestimmte Anwendungen konfigurieren Was m chten Sie tun X Grundeinstellungen X Sicherheits Einstellungen kontrollieren X Intermet Zugang einrichten X EinwahlZugang bereitstellen RAS X Zwei lokale Netze verbinden X Firewall konfigurieren X Dynamic DNS konfigurieren W hlen Sie im Auswahlmen den Setup Assistenten Internet Zugang einrichten und best tigen Sie die Auswahl mit Weiter In den folgenden Fenstern w hlen Sie Ihr Land nach M glichkeit Ihren Internetanbieter und geben Sie die Zugangsdaten ein Je nach Verf gbarke
44. e Reihe von Sicherheitsmecha nismen an bei deren Einsatz ein hervorragender Schutz gew hrleistet ist VPN Bei Kopplungen ber VPN werden die Daten mittels IPSec bertra gen und dabei mit den Verfahren 3 DES AES oder Blowfish verschl sselt ISDN Bei Kopplungen ber ISDN sorgen das Kennwort f r die Verbin dung die berpr fung der ISDN Nummer und die R ckruffunktion f r die Sicherheit der Verbindung i Die ISDN R ckruffunktion kann nicht im Assistenten sondern nur in der Expertenkonfiguration eingerichtet werden Details dazu finden Sie im Referenzhandbuch 6 1 LANCOM 7111 VPN LANCOM 8011 VPN gt Kapitel 6 Einwahl Zugang bereitstellen Welche Angaben sind notwendig Der Assistent richtet den Einwahl Zugang nur f r einen Benutzer ein F r jeden zus tzlichen Benutzer f hren Sie den Assistenten ein weiteres Mal aus Allgemeine Angaben Die folgenden Angaben werden f r die Einrichtung eines RAS Zugangs ben Ey tigt Die erste Spalte zeigt jeweils an ob die Information f r einen VPN und oder ISDN Zugang erforderlich ist VPN ISDN Benutzername VPN ISDN Passwort VPN Shared Secret f r Verschl sselung VPN Eigene Stationen bei Zugriff auf entferntes Netz verstecken Extranet VPN ISDN Ankommende Rufnummer des Einwahlrechners ISDN TCP IP Routing f r Zugriff auf entferntes Netz ISDN IPX Routing f r Zugriff auf entferntes Netz VPN ISDN IP Adresse n f r den oder die Ein
45. eTransfer erhalten Mit der LANCAPI DF Netzwerk unterst tzung k nnen einzelne Rechner ber die LANCAPI Einwahlver bindungen zu einem Internetprovider herstellen Das CAPI Faxmodem stellt Ihnen einen Faxtreiber der Klasse 1 zur Verf gung gt Der LANCOM VPN Client erm glicht den Aufbau von VPN Verbindungen von einem entfernten Rechner ber das Internet zu einem Router mit LANCOM VPN Option Mit LANCOM Online Dokumentation kopieren Sie die Dokumentati onsdateien auf Ihren PC W hlen Sie die gew nschten Software Optionen aus und best tigen Sie mit Weiter Die Software wird automatisch installiert 27 LANCOM 7111 VPN LANCOM 8011 VPN gt Kapitel 3 Grundkonfiguration 28 3 3 1 Grundkonfiguration Die Grundkonfiguration erfolgt mit Hilfe eines komfortablen Setup Assisten ten der Sie Schritt f r Schritt durch die Konfiguration f hrt und dabei die not wendigen Informationen abfragt Dieses Kapitel zeigt Ihnen zun chst welche Angaben f r die Grundkonfigura tion erforderlich sind Mit Hilfe dieses ersten Abschnitts stellen Sie sich schon vor Aufruf des Assistenten alle notwendigen Daten zusammen Anschlie end erfolgt die Eingabe der Daten im Setup Assistenten Aufruf und Ablauf werden Schritt f r Schritt beschrieben in jeweils einem eigenen Abschnitt f r LANconfig und WEBconfig Dank der vorherigen Zusammenstel lung aller notwendigen Angaben gelingt die Grundkonfiguration jetzt schnell und ohne
46. eit rot flackernd Fehler auf dem D Kanal rot dauerhaft an D Kanal Aktivierung fehlgeschlagen Wenn die ISDN Status LED automatisch erlischt so ist dies kein Zei chen f r einen Fehler am Sy Bus Vielmehr schalten zahlreiche ISDN Anschl sse und Telefonanlagen den Sy Bus nach einer bestimmten 22 LANCOM 7111 VPN LANCOM 8011 VPN Kapitel 2 Installation inaktiven Zeit in einen Stromsparmodus Bei Bedarf wird der Sg Bus automatisch reaktiviert und die ISDN Status LED leuchtet gr n ISDN Chan 1 Datenverkehr auf den ISDN B Kan len separat pro B Kanal beim LANCOM ISDN Chan 2 7111 VPN gemeinsam f r beide B Kan le beim LANCOM 8011 VPN aus keine Verbindung aufgebaut Eu gr n blinkend Anwahl l uft gr n blitzend Aufbau der ersten Verbindung gr n invers blitzend Aufbau einer weiteren Verbindung nur bei gemeinsamer Anzeige von B Kanal 1 und B Kanal 2 gr n dauerhaft an Verbindung ber B Kanal aufgebaut gr n flackernd Datenverkehr Versand oder Empfang com Verbindungszustand der seriellen Konfiguratinosschnittstelle aus keine Sitzung eingebucht gr n dauerhaft an seriell eingebuchte Konfigurationssitzung gr n flackernd Daten bertragung w hrend der Konfigsitzung LCD Display Nur LANCOM 8011 Das LCD Display des LANCOM 8011 VPN zeigt in zwei Zeilen mit je 16 Zeichen VEN folgende Informationen umlaufend im Wechsel an Ger tename Firmwareversion Temperatur Datum und Zei
47. ent 26 24 16 54 30 41 52 45 16 31 18 31 19 27 26 31 42 43 44 27 19 23 15 M MAC Adressfilter Mindestbandbreite MSN Multimode N NAT siehe IP Masquerading NetBIOS NetBIOS Proxy Netzmaske Netzschalter Netzwerkkopplung Sicherheitsaspekte Netzwerksegment Neustart des Ger ts P Paketgr ensteuerung PAT siehe IP Masquerading Ping Plain Ethernet Plain IP PMTU Anpassung PPP PPP Client PPPoE PPTP Priority Queueing Q Quality of Service Quality of Service R RAS Remote Access Service RAS Funktion MSN angeben Remote Access Service RAS Benutzername einrichten 12 33 29 30 43 25 17 54 37 49 16 24 43 52 24 50 40 40 17 52 57 40 40 17 17 13 u 15 31 53 52 LANCOM 7111 VPN LANCOM 8011 VPN Index Einwahl Rechner konfigurieren 56 IPX NetBIOS Server 55 55 16 Software Komprimierung aktivieren 57 TCP IP 54 Windows Arbeitsgruppe suchen 55 Reset Schalter Router Routing Tabelle R ckruf R ckruf Funktion R ckruffunktion S Sicherheits Sicherheits Checkliste Sicherheits Einstellungen Sicherheitseinstellungen Sicherheitsfunktionen SNMP Konfiguration sch tzen Software Installation Speicherauslastung Standard Gateway Stateful Inspection Stateful Inspection Firewall Statusanzeigen ISDN Data ISDN Status LAN Online Power Security VPN Support Systemvora
48. ent auf der Registerkarte Security Haben Sie die Firewall aktiviert Die Stateful Inspection Firewall der LANCOM Router sorgt daf r dass Ihr lokales Netzwerk von au en nicht angegriffen werden kann Die Firewall k nnen Sie in LANconfig unter Firewall Qos auf der Registerkarte Allge mein einschalten Verwenden Sie eine Deny All Firewall Strategie F r maximale Sicherheit und Kontrolle unterbinden Sie zun chst jeglichen Datentransfer durch die Firewall Nur die Verbindungen die explizit gestattet sein sollen sind in die Firewall einzutragen Damit wird Troja nern und bestimmten E Mail Viren der Kommunikations R ckweg ent zogen Die Firewall Regeln finden Sie in LANconfig unter Firewall Qos auf der Registerkarte Regeln zusammengefasst Eine Anleitung dazu fin det sich im Referenzhandbuch 67 LANCOM 7111 VPN LANCOM 8011 VPN gt Kapitel 8 Sicherheits Einstellungen 68 Haben Sie IP Masquerading aktiviert IP Masquerading hei t das Versteck f r alle lokalen Rechner beim Zugang ins Internet Dabei wird nur das Router Modul des Ger ts mit seiner IP Adresse im Internet bekannt gemacht Die IP Adresse kann fest vergeben sein oder vom Provider dynamisch zugewiesen werden Die Rechner im LAN nutzen den Router dann als Gateway und k nnen selbst nicht erkannt werden Der Router trennt Internet und Intranet wie eine Wand Die Verwendung von IP Masquerading wird f r jede Route in der Rou
49. enzhandbuch Bei der Netzwerkkon figuration der Arbeitsplatzrechner hilft Ihnen die Dokumentation des installierten Betriebssystems weiter 39 LANCOM 7111 VPN LANCOM 8011 VPN gt Kapitel 4 Den Internet Zugang einrichten 40 4 Den Internet Zugang einrichten ber den zentralen Internet Zugang des Routers erhalten alle Rechner im LAN Zugriff auf das Internet Die Verbindung zum Internetanbieter kann ber jeden WAN Anschluss aufgebaut werden Ein Internet Zugang ber ISDN kann bei spielsweise als Backup f r DSL eingesetzt werden DSL oder ISDN Verbindung f LANCOM VPN Router im LAN des Internetanbieters Kennt der Setup Assistent Ihren Internet Anbieter Die Einrichtung des Internet Zugangs erfolgt ber einen komfortablen Assis tenten Der Assistent kennt die Zugangsdaten der wichtigsten Internetanbie ter und bietet Ihnen eine Liste zur Auswahl an Wenn Sie Ihren Internetanbieter in dieser Liste finden so m ssen Sie f r die Einrichtung des Internet Zugangs normalerweise keine weiteren bertragungs Parameter eingeben Lediglich die Authentifizierungsdaten die Ihnen Ihr Internetanbie ter zur Verf gung stellt sind noch erforderlich Zus tzlich Angaben bei unbekanntem Internet Anbieter Kennt der Setup Assistent Ihren Internet Anbieter nicht so fragt er Sie Schritt f r Schritt alle notwendigen Zugangsdaten ab Diese Zugangsdaten stellt Ihnen Ihr Internet Anbieter zur Verf gung DSL g
50. er LANCOM CAPI Faxmodem und MS Windows Faxdienst 7 1 Installation des LANCOM CAPI Faxmodem W hlen Sie im Setup Programm Ihrer LANCOM CD den Eintrag LANCOM Software installieren Markieren Sie die Option CAPI Faxmodem klicken Sie Weiter und fol gen Sie den Hinweisen der Installationsroutine Software Komponenten w hlen Sie die Software Komponenten aus die von Setup installiert werden sollen Bitte markieren Sie die einzelnen Software Komponenten die installiert werden sollen Entfernen Sie die Markierung um eine Komponente von der Installation auszuschlie en 3A LANconfig oO B LANmonitor 18 LANCAPI 60 JEF LANCAPI DF Netzwerk Unterst tzung gE CAPI Faxmodem 39 LANCOM Advanced YPN Client xl Installiert ein virtuelles Modem in Ihrem System mit dem Sie Daten bertragen und Faxe verschicken k nnen lt Zur ck Abbrechen LANCOM 7111 VPN LANCOM 8011 VPN Kapitel 7 Faxe versenden mit der LANCAPI Ist die Installation erfolgreich verlaufen ist das LANCOM CAPI Faxmodem in den Telefon und Modemoptionen der Systemsteuerung eingetragen E Drucker und andere Hardware z Datei Bearbeiten Ansicht Favoriten Extras S amp zr k 3 Bi gt Suchen U Ordner mi Adresse e Drucker und andere Hardware zl we idere Hardware W hlregein Modems Erweitert B gt Folgende Modems sind installiert ie eine Aufgabe er bz
51. et bleibt gt Invers Blitzen bedeutet das Gegenteil Hier leuchtet die LED in der jewei ligen Farbe dauerhaft und wird nur sehr kurz unterbrochen Flackern bedeutet dass die LED in unregelm igen Abst nden ein und ausgeschaltet wird Diese LED gibt Auskunft ber die Betriebsbereitschaft des Ger ts Nach dem Einschalten blinkt sie f r die Dauer des Selbsttests gr n Danach wird entwe der ein festgestellter Fehler als roter Blinkcode ausgegeben oder aber das Ger t geht in Betrieb und die LED leuchtet konstant gr n aus Ger t abgeschaltet gr n blinkend Selbsttest nach dem Einschalten gr n dauerhaft an Ger t betriebsbereit rot gr n abwechselnd Ger t unsicher Kein Konfigurationskennwort gesetzt blinkend rot blinkend Zeit oder Geb hrenlimit erreicht Die Power LED blinkt abwechselnd rot gr n solange noch kein Kon figurationskennwort gesetzt wurde Ohne Konfigurationskennwort sind die Konfigurationsdaten des LANCOM ungesch tzt Im Normal fall setzen Sie ein Konfigurationskennwort w hrend der Grundkonfi guration Anleitung im folgenden Kapitel Informationen zur nachtr glichen Vergabe eines Konfigurationskennworts finden Sie im Abschnitt Der Sicherheits Assistent auf Seite 64 Das Online LED zeigt allgemein den Status aller WAN Schnittstellen an aus keine aktive Verbindung gr n blitzend Aufbau der ersten Verbindung gr n invers blitzend Aufbau einer weiteren Verbi
52. gelten Dazu z hlen beispielsweise Systemdesign des Betriebssystems LCOS Konfiguration Management Diagnose Sicherheit Routing und WAN Funktionen Firewall Quality of Service QoS Virtuelle Private Netzwerke VPN Virtuelle lokale Netzwerke VLAN Funknetzwerke WLAN LANCAPI weitere Server Dienste DHCP DNS Geb hrenmanagement vVVVVVVVVVVVVV Modellvarianten Das vorliegende Benutzerhandbuch gilt f r die folgenden Modelle der LANCOM VPN Serie gt LANCOM 7111 VPN gt LANCOM 8011 VPN Modell Einschr nkungen LANCOM 7111 VPN LANCOM 8011 VPN gt Ein Wort vorab Die Teile der Dokumentation die nur f r ein bestimmtes Modell gelten sind entweder im Text selbst oder durch entsprechende seitliche Hinweise gekenn zeichnet In den anderen Teilen der Dokumentation werden alle beschriebenen Modelle unter dem Sammelbegriff LANCOM VPN zusammengefasst An der Erstellung dieser Dokumentation haben mehrere Mitarbeiter innen aus verschiedenen Teilen des Unterneh mens mitgewirkt um Ihnen die bestm gliche Unterst tzung bei der Nutzung Ihres LANCOM Produktes anzubieten Sollten Sie einen Fehler finden oder einfach nur Kritik oder Anregung zu die ser Dokumentation u ern wollen senden Sie bitte eine E Mail direkt an info lancom de Sollten Sie zu den in diesem Handbuch besprochenen Themen noch Fragen haben oder zus tzliche Hilfe ben tigen steht Ihnen unser Internet Server www lancom
53. h ob auch die Gegenstelle ber einen solchen verf gt F r VPN Verbindungen ber das Internet muss der Typ der IP Adressen auf beiden Seiten angegeben werden Es gibt zwei Typen von IP Adres sen statische und dynamische Eine Erkl rung zum Unterschied der bei den IP Adresstypen finden Sie im Referenzhandbuch Die Dynamic VPN Funktionalit t erlaubt VPN Verbindungen nicht nur zwischen Gateways mit statischen festen IP Adressen sondern auch bei Verwendung dynamischer IP Adressen Der aktive Aufbau von VPN Ver bindungen zu Gegenstellen mit dynamischer IP Adresse erfordert eine ISDN Verbindung Wenn Sie Ihren LANCOM VPN noch nicht benannt haben so fragt Sie der Assistent nach einem neuen eigenen Ger tenamen Mit der Eingabe benennen Sie Ihren LANCOM VPN neu Achten Sie darauf dass Sie beide Gegenstellen unterschiedlich benennen Der Name der Gegenstelle wird f r deren Identifikation ben tigt Im Feld ISDN Rufnummer wird die Rufnummer der ISDN Gegenstelle angegeben Erforderlich ist die Angabe der kompletten Rufnummer der Gegenstelle einschlie lich aller notwendigen Vorwahlen 45 LANCOM 7111 VPN LANCOM 8011 VPN Kapitel 5 Zwei Netzwerke verbinden 46 gt Mit der angegebenen ISDN Anruferkennung wird der Anrufer identifi ziert und authentifiziert Wird ein LANCOM VPN angerufen vergleicht er die f r die Gegenstelle eingetragene ISDN Anruferkennung mit der Ken nung die der Anrufer tats chlich ber den D Kanal
54. he Konfiguration m glich ist oder nicht Neues LAN vollautomatische Konfiguration m glich Sind alle angeschlossenen Netzwerkger te noch unkonfiguriert dann bietet der Setup Assistent die vollautomatische TCP IP Konfiguration an Dazu kommt es normalerweise in folgenden Situationen gt Nurein Einzelplatz PC wird an den Router angeschlossen gt Neuaufbau eines Netzwerks Wenn Sie den LANCOM VPN in ein bestehendes TCP IP LAN integrieren wird die vollautomatische TCP IP Konfiguration nicht angeboten In diesem Fall k nnen Sie mit dem Abschnitt Notwendige Angaben f r die manuelle TCP IP Konfiguration Seite 30 fortfahren Das Ergebnis der vollautomatischen TCP IP Konfiguration Der Router erh lt die IP Adresse 172 23 56 1 Netzmaske 255 255 255 0 Au erdem wird der integrierte DHCP Server aktiviert so dass der LANCOM VPN den Ger ten im LAN automatisch IP Adressen zuweist Trotzdem manuell konfigurieren Die vollautomatische TCP IP Konfiguration ist optional Sie k nnen stattdes sen auch die manuelle Konfiguration w hlen Treffen Sie diese Wahl nach fol genden berlegungen W hlen Sie die automatische Konfiguration wenn Sie mit Netzwerken und IP Adressen nicht vertraut sind W hlen Sie die manuelle TCP IP Konfiguration wenn Sie mit Netzwerken und IP Adressen vertraut sind und eine der folgenden Annahmen zutrifft Sie haben bisher in Ihrem Netzwerk noch keine IP Adressen verwen det m chten da
55. ie folgenden Werte bearbeitet Passwort f r das Ger t zul ssige Protokolle f r den Konfigurationszugriff von lokalen und ent fernten Netzwerke gt die MSN f r die Fernkonfiguration ber ISDN gt Parameter der Konfigurationssperre Anzahl der Fehllogins und Dauer der Sperre Der Firewall Assistent Der LANCOM VPN verf gt ber eine Stateful Inspection Firewall und Fire wall Filter zur wirksamen Absicherung Ihres WLANs gegen ber dem Internet Kernidee der Stateful Inspection Firewall ist dass nur selbstinitiierter Daten transfer als zul ssig betrachtet wird Alle Zugriffe die unaufgefordert nicht aus dem lokalen Netz heraus erfolgen sind unzul ssig Der Firewall Assistent hilft Ihnen schnell und komfortabel neue Regeln f r die Firewall zu erstellen N here Informationen zur Firewall Ihres Ger ts und zu deren Konfiguration finden Sie im Referenzmanual 65 LANCOM 7111 VPN LANCOM 8011 VPN gt Kapitel 8 Sicherheits Einstellungen 66 8 2 1 8 2 2 8 3 Assistent f r LANconfig Markieren Sie Ihren LANCOM VPN im Auswahlfenster W hlen Sie aus der Befehlsleiste den Punkt Extras Setup Assistent LANCOM Mit diesem Assistenten k nnen Sie Ihr Ger t schnell und einfach f r bestimmte Anwendungen konfigurieren Was m chten Sie tun A Grundeinstellungen X Sicherheits Einstellungen kontrollieren X Intemet Zugang einrichten A EinwahlZugang bereitstellen RAS X Zwei loka
56. iebssystem F r den Zugriff auf WEBconfig ist ein Web Browser erforderlich LANCOM VPN stellt sich vor In diesem Abschnitt stellen wir Ihnen Ihr Ger t vor Sie erhalten einen ber blick ber alle Statusanzeigen Anschl sse und Schalter F r die Installation des Ger tes ist dieser Abschnitt hilfreich aber nicht unbedingt erforderlich Sie k nnen diesen Abschnitt nach Belieben auch erst einmal berschlagen und direkt mit dem Abschnitt Instal lation der Hardware Seite 24 fortfahren Statusanzeigen Auf Vorderseite des Ger ts finden Sie eine Reihe von Leuchtdioden LEDs die Informationen ber den Status des Ger ts geben Beim LANCOM 8011 VPN zeigt ein zweizeiliges Display zus tzliche Statusinformationen Vorderseite Die verschiedenen LANCOM VPN Modelle verf gen je nach Funktionsumfang ber eine unterschiedliche Anzahl von Statusanzeigen auf der Vorderseite 00000 LANCON Bon VPN en FIRMUARE 3 40 I I I Bedeutung der LEDs In den folgenden Abschnitten verwenden wir verschiedene Begriffe um das Verhalten der LEDs zu beschreiben LANCOM 7111 VPN LANCOM 8011 VPN gt Kapitel 2 Installation Power 1 Online 20 Blinken bedeutet dass die LED in gleichm igen Abst nden in der jeweils angegebenden Farbe ein bzw ausgeschaltet wird Blitzen bedeutet dass die LED in der jeweiligen Farbe sehr kurz aufleuch tet und dann deutlich l nger etwa 10x so lange ausgeschalt
57. in Wort vorab Ein Wort vorab Vielen Dank f r Ihr Vertrauen Die Spitzenmodelle der LANCOM VPN Produktpalette dienen als zentrales Dynamic VPN Gateway f r mittlere und gr ere Standorte gt gt gt Durch den Fast Ethernet Uplink sind die Ger te der ideale Partner f r alle Anschlussvarianten Integrierte LANCOM High Security Firewall Mit 100 bis zu 1000 VPN Sessions bieten die Ger te der LANCOM VPN Produktpalette gen gend Kapazit ten zur breitbandigen Standortkopp lung mit Hardwarebeschleunigung Mit der IPSec Erweiterung Dynamic VPN ist jederzeit ein aktiver Verbin dungsaufbau zu Au enstellen mit dynamischen IP Adressen Standard DSL Anschluss m glich selbst wenn die Gegenstelle nicht online ist ISDN ohne Flatrate Zum Betrieb eigener Web Server stehen DMZ Ports sowie ein separater Internet Adresskreis ohne NAT zur Verf gung Die IP Quality of Service Funktionen bieten dynamisches Bandbreiten management insbesondere f r Voice over IP Telefonanlagen f r unter nehmenskritische Applikationen oder bestimmte Benutzergruppen Dank der N N IP Adressumsetzung k nnen auch bestehende Netzwerke problemlos in ein VPN integriert werden Die mitgelieferten Management Tools LANconfig und LANmonitor unter st tzen neben komfortabler Fernwartung der Au enstellen auch eine voll st ndige Echtzeit berwachung Weitere Highlights sind die umfangreichen Firewall Features wie Stateful Inspection Intrusion
58. in der angegebenen Entfernung einen Defekt Kurzschluss Impedanzfehler Das Kabelpaar am anderen Ende ist nicht mit der kor rekten Impedanz abgeschlossen LANCOM 7111 VPN LANCOM 8011 VPN Kapitel 10 Anhang 10 Anhang 10 1 Leistungs und Kenndaten Firewall Stateful Inspection IP Paketfilter mit Port Bereichen Maskierung NAT PAT von TCP UDP ICMP FTP PPTP IPSec H 323 NetMeeting und IRC DNS Forwarding inverse Maskierung f r IP Dienste aus dem Intranet wie z B Web Server Unterst tzung von 2 lokalen Netzen LAN plus DMZ DMZ mit eigenem IP Adresskreis ohne NAT Port Mapping Quality of Service Dynamisches Bandbreitenmanagement mit IP Traffic Shaping dynamische Mindest bandbreitenreservierung absolut oder verbindungsbezogen getrennt f r Sende und Empfangsrichtung TOS oder DiffServ Priority Queueing automatische Paketgr en steuerung mit PMTU Anpassung oder Fragmentierung Sicherheit Intrusion Detection IP Spoofing Login Versuche Portscans Denial of Service Pro tection Fragmentierungsfehler SYNFlooding automatisches Schlie en von Ports Ver bindungen DNS Hitlisten sowie Wildcard Filter URL Blocking Hochverf gbarkeit durch Dial Backup f r Internetzugang oder VPN Strecke Alarmie rung durch Email LED Signal SNMP Traps und SYSLOG PAP CHAP und MS CHAP als PPP Authentifizierungsmechanismen passwortgesch tzter Konfigurationszugang pro Interface Access Control Liste IP MAC
59. ion verschlie t automatisch den Fernkonfigurationszugang ber ISDN und sch tzt Ihr Ger t so gegen unbe fugte Konfiguration Den ISDN Fernkonfigurationszugang k nnen Sie auf Wunsch jederzeit im Sicherheits Assistenten ein oder ausschalten siehe Haben Sie die Fernkonfiguration zugelassen Seite 71 Einstellungen f r den DSL Anschluss F r den DSL Anschluss kann die Angabe des verwendeten bertragungspro tokolls erforderlich sein Der Assistent nimmt die korrekte Einstellung f r die wichtigsten DSL Anbieter selbstst ndig vor Nur wenn der Assistent Ihren Anbieter nicht auff hrt m ssen Sie das von Ihrem DSL Anbieter verwendete bertragungsprotokoll angeben Der Assistent bietet Ihnen auch ein Universalprotokoll Multimode an das mit allen g ngigen DSL Anschl ssen funktioniert Einstellungen f r den ISDN Anschluss Wenn Sie den ISDN Anschluss verwenden m chten k nnen Sie folgende Ein stellungen vornehmen Eine oder mehrere ISDN MSNs an der der Router Anrufe entgegenneh men soll MSNs sind ISDN Rufnummern die Ihnen vom Telefonanbieter 3 2 LANCOM 7111 VPN LANCOM 8011 VPN gt Kapitel 3 Grundkonfiguration zugewiesen werden Sie werden normalerweise ohne Vorwahl angege ben Die angegebenen Nummern haben nur f r Router Funktionen LAN LAN Kopplung RAS Bedeutung nicht jedoch f r die Fernkonfiguration und LANCOM VPN Option Eine Amtsvorwahl f r den Zugang zum ffentlichen Netz Sie ist norma
60. it bietet Ihnen der Assistent weitere Optionen f r die Internetverbindung zur Auswahl an Der Assistent informiert Sie sobald die Eingaben vollst ndig sind Schlie Ren Sie die Konfiguration mit Fertig stellen ab LANconfig itanconie _______ Schneller Aufruf der Setup Assistenten Sue en a ae Sal Sul Na Taw LR Name aa Setup Assistent Adresse LC1621 Internet 10 1 80 125 Filiale DF 0241 123456 amp D Zentrale Seriell an COM1 Die Setup Assistenten rufen Sie unter LANconfig am schnellsten ber den Befehls knopf in der Button Leiste auf ok 4 2 Anleitung f r WEBconfig nii W hlen Sie im Hauptmen Internet Zugang einrichten Internetanbieter und geben Sie die Zugangsdaten ein G oS Je nach Verf gbarkeit bietet Ihnen der Assistent weitere Optionen f r die In den folgenden Fenstern w hlen Sie Ihr Land nach M glichkeit Ihren Internetverbindung zur Auswahl an 4 Der Assistent informiert Sie sobald die Eingaben vollst ndig sind Schlie Ben Sie die Konfiguration mit Weiter ab 42 LANCOM 7111 VPN LANCOM 8011 VPN gt Kapitel 5 Zwei Netzwerke verbinden 5 Zwei Netzwerke verbinden Mit der Netzwerkkopplung auch LAN LAN Kopplung des LANCOM VPN werden zwei lokale Netzwerke miteinander verbunden Die LAN LAN Kopp lung kann grunds tzlich auf zwei verschiedenen Wegen realisiert werden VPN Bei der Kopplung ber VPN wird die Verbindung zwischen den bei
61. ktiven RAS Benutzer eine eigene IP Adresse zugewiesen werden LAN der Zentrale IP 10 0 1 0 Fernarbeitsplatz p IP 10 0 1 101 VPN oder ISDN Verbindung l ey amp d ISDN Adapter 10 0 1 100 Benutzer MUSTER T 0123 123456 T 0123 777888 Diese IP Adresse k nnen Sie entweder bei der Anlage eines Benutzers manu ell festlegen Einfacher ist es den LANCOM VPN einem Benutzer automatisch bei der Einwahl eine freie IP Adresse zuteilen zu lassen In diesem Fall legen Sie bei der Konfiguration nur den IP Adressbereich fest aus dem der LANCOM VPN die Adresse f r den RAS Benutzer nehmen soll Achten Sie sowohl bei der manuellen als auch bei der automatischen IP Adresszuteilung darauf dass es sich um freie Adresse n aus dem Adressbe reich Ihres lokalen Netzwerks handelt Im Beispiel wird dem PC bei der Ein wahl die IP Adresse 10 0 1 101 zugewiesen Mit dieser IP Adresse ist der Rechner ein vollwertiger Teilnehmer im LAN Er kann bei entsprechender Berechtigung auf alle anderen Ger te im LAN zugreifen Umgekehrt gilt dieses Verh ltnis auch auf den entfernten Rechner kann auch aus dem LAN zugegriffen werden LANCOM 7111 VPN LANCOM 8011 VPN gt Kapitel 6 Einwahl Zugang bereitstellen Einstellungen f r IPX F r die RAS Einwahl in ein IPX Netzwerk ist die Angabe von zwei IPX Netz werknummern notwendig die IPX Netzwerknummer der Zentrale gt eine zus tzliche IPX Netzwerknummer f r
62. l muss mit dem Ethernet Ausgang des Netzab schlusses verbunden sein Die WAN Link LED muss zum Zeichen der physika lischen Verbindung gr n leuchten Stimmt das gew hlte bertragungsprotokoll Das bertragungsprotokoll wird bei der Grundeinstellung gesetzt Dabei setzt der Grundeinstellungs Assistent f r zahlreiche DSL Anbieter selbstst ndig das korrekte bertragungsprotokoll Nur wenn Ihr DSL Anbieter dem Assis tenten unbekannt ist m ssen Sie das verwendete Protokoll selber angeben In jedem Fall sollte das Protokoll funktionieren das Ihnen Ihr DSL Anbieter angibt Die Protokoll Einstellung kontrollieren und korrigieren Sie unter LANconfig Management Interfaces Interface Einstellungen WAN Interface WEBconfig Experten Konfiguration Setup Interface WAN Inter face DSL bertragung langsam Die bertragungsgeschwindigkeit einer Internet DSL Verbindung h ngt von zahlreichen Faktoren ab von denen die meisten au erhalb des eigenen 9 3 9 4 LANCOM 7111 VPN LANCOM 8011 VPN gt Kapitel 9 Rat amp Hilfe Einflussbereiches liegen Entscheidend sind neben der Bandbreite der eigenen Internet Anbindung beispielsweise auch die Internet Anbindung und Auslas tung des angesprochenen Ziels Au erdem k nnen zahlreiche Faktoren im Internet die bertragungsleistung beeinflussen Vergr erung der TCP IP Windows Size unter Windows Wenn die tats chliche bertragungsleistung einer DSL Verbindung
63. le Netze verbinden S_ Firewall konfigurieren Dynamic DNS konfigurieren W hlen Sie im Auswahlmen den Setup Assistenten Firewall konfigu rieren und best tigen Sie die Auswahl mit Weiter In den folgenden Fenstern w hlen Sie aus auf welche Dienste Protokolle Sich die Regel bezieht Im n chsten Schritt legen Sie fest f r welche Quell und Zielstationen die Regel gilt und welche Aktionen ausgef hrt werden sollen wenn die Regel auf ein Datenpaket zutrifft 4 Zum Abschluss geben Sie der neuen Regel einen Namen aktivieren sie und legen fest ob weitere Regeln beachtet werden sollen wenn die Regel auf ein Datenpaket zutrifft Der Assistent informiert Sie sobald die Eingaben vollst ndig sind Schlie Ben Sie die Konfiguration mit Fertig stellen ab Konfiguration unter WEBconfig Unter WEBconfig besteht die M glichkeit die Parameter zur Absicherung des Internet Zugriffs unter Konfiguration gt Firewall QoS gt Regeln Regeltabelle aufzurufen die Einstellungen zu kontrollieren und zu ndern Die Sicherheits Checkliste In der folgenden Checkliste finden Profis alle wichtigen Sicherheitseinstellun gen im berblick Die meisten Punkte dieser Checkliste sind in einfachen Kon figurationen unbedenklich In solchen F llen reichen die Sicherheitseinstellungen aus die w hrend der Grundkonfiguration oder mit dem Sicherheits Assistenten gesetzt werden LANCOM 7111 VPN LANCOM 8011 VPN Kapitel 8
64. lussbelegung 75 Ethernet Schnittstelle 76 ISDN Sy Schnittstelle 75 Konfigurationsschnittstelle 76 LAN Schnittstelle 76 Outband 76 WAN Schnittstelle 76 Anzahl der VPN Tunnel 23 Autosensing 25 B Bandbreitenmanagement 17 Bandbreitenreservierung 17 Blowfish 43 52 C Calling Line Identity CLI 54 CAPI Schnittstelle 59 Common ISDN Application Programming Interface CAPI 59 CPU Auslastung 23 D Datum 23 Default Gateway 68 Denial of Service Protecion 13 DF Adapter 57 DHCP 38 DHCP Server 16 29 30 32 36 39 DiffServ 17 DNS DNS Server 16 38 LANCOM 7111 VPN LANCOM 8011 VPN Zugriffe ins entfernte LAN Dom ne Download DSL Anbieter DSL bertragung zu langsam DSL bertragungsprotokoll E Einwahl Zugang F Fernkonfiguration Fernkonfiguration ber ISDN Fernkonfigurationszugang Filtermechanismen Firewall Stationen sperren Firewall Filter FirmSafe Firmware Firmwareversion Flatrate G Geb hrenbudget Geb hrenimpuls Geb hreninformationen Geb hrenschutz Geb hrenschutz zur cksetzen Geb hrensperre Ger tename Grundkonfiguration H Hardware Installation Hinweis Symbole l ICMP Installation Index 33 33 32 12 17 31 33 47 47 37 70 37 52 37 17 30 15 68 68 65 17 23 41 31 31 38 21 21 23 28 24 68 18 71 LANCOM 7111 VPN LANCOM 8011 VPN gt Index ISDN 25 Konfigurations Schnittstelle 25 LAN 25 LANtools 26 WAN 25 Inte
65. manuell eine Verbindung ber das DF Netzwerk zum LANCOM VPN herstellen Bei bestehender Verbindung kann die Rechner im anderen Netz suchen und auf sie zugreifen ber Suchen Computer nicht ber die Netzwerkumgebung Einstellungen am Einwahl Rechner Einwahl ber VPN F r die Einwahl in ein Netzwerk ber VPN ben tigt ein Rechner gt Einen Zugang zum Internet gt Einen VPN Client LANCOM Systems bietet auf der LANCOM CD den LANCOM VPN Client an den Sie unter Windows 2000 und Windows XP einsetzen k nnen Eine genaue Beschreibung des VPN Client und und Hinweise zur Einrichtung finden Sie ebenfalls auf der CD W hlen Sie bei der Konfiguration eines neuen Profils im LANCOM VPN Client Konfigurationsassistenten die Option VPN Remote Access konfigurieren IPSec over PPTP 75 Setup Assistent f r VPN_NHAMEL xj Zugang bereitstellen RAS YPN IPSec over WLAN BG Welche Art von Einwahlzugang m chten Sie bereitstellen In Abh ngigkeit vom verwendeten VPN Client werden einige Informationen von Ihnen ben tigt Wenn Sie einen der beiden angebotenen LANCOM VPN Clients verwenden gestaltet sich die Konfiguration erheblich einfacher Welcher YPN Client soll verwendet werden YPN Client mit benutzerdefinierten Parametern Der Assistent fragt im folgenden die Werte ab die beim Anlegen des RAS Zugangs im LANCOM VPN festgelegt wurden LANCOM 7111 VPN LANCOM 8011 VPN gt Kapitel 6 Einwahl Zugang
66. n oder nicht Best tigen Sie mit Wei ter Der Geb hrenschutz beschr nkt auf Wunsch die Kosten von DSL und ISDN Verbindungen auf ein festgesetztes Ma Best tigen Sie Ihre Anga ben mit Weiter Schlie en Sie die Konfiguration mit Fertig stellen ab G Im Abschnitt TCP IP Einstellungen an den Arbeitsplatz PCs Seite 38 erfahren Sie welche Einstellungen an den Arbeitsplatz rechnern im LAN notwendig sind Anleitung f r WEBconfig F r die Konfiguration mit WEBconfig m ssen Sie wissen wie sich der Router im LAN ansprechen l sst Das Verhalten der Ger te sowie ihre Erreichbarkeit zur Konfiguration ber einen Webbrowser h ngen davon ab ob im LAN schon DHCP Server und DNS Server aktiv sind und ob diese beiden Serverprozesse die Zuordnung von IP Adressen zu symbolischen Namen im LAN untereinan der austauschen Nach dem Einschalten pr fen unkonfigurierte LANCOM Ger te zun chst ob im LAN schon ein DHCP Server aktiv ist Je nach Situation kann das Ger t dann den eigenen DHCP Server einschalten oder alternativ den DHCP Client 33 LANCOM 7111 VPN LANCOM 8011 VPN gt Kapitel 3 Grundkonfiguration 34 Modus aktivieren In dieser zweiten Betriebsart kann das Ger t selbst eine IP Adresse von einem im LAN schon vorhandenen DHCP Server beziehen Netz ohne DHCP Server In einem Netz ohne DHCP Server schalten unkonfigurierte LANCOM Ger te nach dem Starten den eigenen DHCP Serverdienst ein und weisen den
67. n startet das LANCOM Setup Programm automatisch Sollte das Setup nicht automatisch starten so rufen Sie die Datei AUTORUN EXE aus dem Hauptverzeichnis der LANCOM CD auf LANCOM 7111 VPN LANCOM 8011 VPN Kapitel 2 Installation Klicken Sie im Setup auf LANCOM Software installieren Es erscheint fol gendes Auswahlmen auf dem Bildschirm LANCOM Software Setup k xj Software Komponenten W hlen Sie die Software Komponenten aus die von Setup installiert werden sollen Bitte markieren Sie die einzelnen Software Komponenten die installiert werden sollen Entfernen Sie die Markierung um eine Komponente von der Installation auszuschlie en M A LANconfig a M GA LANmonitor AS LANCAPI vl EF LANCAPI DF Netzwerk Unterst tzung 18 CAPI Faxmodem 189 LANCOM Advanced VPN Client Kopiert die Online Dokumentation auf Ihre Festplatte Ben tigt den Adobe Acrobat Reader lt Zur ck Abbrechen 2 5 2 Welche Software installieren LANconfig ist das Windows Konfigurationsprogramm f r alle LANCOM Router und Wireless LAN Access Points Alternativ oder erg nzend kann ber einen Web Browser WEBconfig verwendet werden Mit LANmonitor berwachen Sie auf einem Windows Rechner alle LANCOM Router und Wireless LAN Access Points Die LANCAPI ist eine spezielle Form der CAPI 2 0 Schnittstelle ber die alle Arbeitsstationen im LAN Zugriff auf B rokommunikations Funktionen wie Fax und EuroFil
68. namic DNS konfigurieren Der Assistent meldet sobald ihm alle notwendigen Angaben vorliegen Schlie en Sie den Assistenten dann mit Fertig stellen ab 57 LANCOM 7111 VPN LANCOM 8011 VPN gt Kapitel 6 Einwahl Zugang bereitstellen Konfigurieren Sie wie beschrieben den DF Netzwerkzugang am Ein wahl PC Anschlie end k nnen Sie die Verbindung testen siehe Kasten Ping schneller Verbindungstest einer TCP IP Verbindung auf Seite 50 6 4 Anleitung f r WEBconfig a Rufen Sie im Hauptmen den Assistenten Zwei lokale Netze verbinden auf Folgen Sie den Anweisungen des Assistenten und geben Sie die not wendigen Daten ein Konfigurieren Sie wie beschrieben den DF Netzwerkzugang am Ein wahl PC Anschlie end k nnen Sie die Verbindung testen siehe Kasten Ping schneller Verbindungstest einer TCP IP Verbindung auf Seite 50 58 LANCOM 7111 VPN LANCOM 8011 VPN gt Kapitel 7 Faxe versenden mit der LANCAPI Faxe versenden mit der LANCAPI Die LANCAPI von LANCOM Systems ist eine spezielle Form der weit verbreite ten ISDN CAPI Schnittstelle CAPI steht f r Common ISDN Application Pro gramming Interface und stellt die Verbindung von ISDN Adaptern zu Kommunikationsprogrammen her Diese Programme wiederum stellen den Rechnern Funktionen der B rokommunikation wie z B ein Fax oder einen Anrufbeantworter bereit Der Einsatz der LANCAPI bringt vor allem wirtschaftliche Vorteile
69. ndung gr n dauerhaft an mindestens eine Verbindung aufgebaut rot dauerhaft an Fehler beim Aufbau der letzten Verbindung LANCOM 7111 VPN LANCOM 8011 VPN Kapitel 2 Installation Blinkende Power LED und keine Verbindung m glich Blinkt die Power LED rot und k nnen keine WAN Verbindungen mehr aufgebaut werden so ist das kein Grund zur Besorgnis Viel mehr wurde ein vorher eingestelltes Zeit oder Geb hrenlimit erreicht Es gibt drei M glichkeiten die Sperre zu l sen 3 Signal f r ein gt Geb hrenschutz zur cksetzen erreichtes Zeit oder Das erreichte Limit erh hen Geb hrenlimit Die erreichte Sperre ganz deaktivieren Limit auf 0 setzen Unter LANmonitor wird Ihnen das Erreichen eines Zeit oder Geb hrenlimits angezeigt Zum Reset des Geb hrenschutzes w hlen Sie im Kontextmen rechter Mausklick Zeit und Geb hren Limits zur cksetzen Die Geb hreneinstellungen legen Sie in LANconfig unter Management Kosten fest Sie k nnen nur dann auf diese Einstellungen zugreifen wenn unter Ansicht gt Option die Vollst ndige Darstellung der Konfiguration aktiviert ist Mit WEBconfig finden Sie den Geb hrenschutz Reset und alle Parameter unter Experten Konfiguration gt Setup gt Geb hren Modul vrn Status einer VPN Verbindung aus kein VPN Tunnel aufgebaut gr n blinkend Verbindungsaufbau gr n blitzend Erste Verbindung gr n invers blitzend Weitere Verbindungen gr
70. ng ins Internet alle Arbeitsstationen im LAN hinter einer einzigen ffentlichen IP Adresse Die tats chlichen Identit ten IP Adressen der einzelnen Stationen bleiben verborgen Firewall Filter im Router erlauben die gezielte Sperrung von IP Adressen Protokollen und Ports Mit MAC Adressfiltern kann auch der Zugriff von Arbeitsstationen im LAN auf die IP Routing Funktion des Ger tes gezielt kontrolliert werden Firewall LANCOM Weitere wichtige Features der Firewall sind gt Intrusion Detection Einbruchsversuche in das lokale Netzwerk oder auf die zentrale Firewall werden ber das Intrusion Detection System IDS des LANCOM erkannt abgewehrt und protokolliert Dabei kann zwischen Protokollierung im 1 3 LANCOM 7111 VPN LANCOM 8011 VPN gt Kapitel 1 Einleitung Ger t Logging E Mail Benachrichtigung SNMP Traps oder SYSLOG Alarmen gew hlt werden gt Denial of Service Protection Angriffe aus dem Internet k nnen neben Einbruchsversuchen auch Angriffe mit dem Ziel sein die Erreichbarkeit und Funktionst chtigkeit einzelner Dienste zu blockieren Daher ist der LANCOM mit entsprechen den Schutzmechanismen ausgestattet die bekannte Hacker Angriffe erkennen und die Funktionst chtigkeit der Router garantieren Quality of Service Traffic management Unter dem Oberbegriff Quality of Service kurz QoS sind die Funktionen des LANCOM zusammengefasst die sich mit der Sicherstellung von bestimmten Diensteg
71. on 24h Vorabaustausch innerhalb Deutschlands 4 Jahre Garantie 61402 LANCOM VPN Option 500 Kan le 61403 LANCOM VPN Option 1000 Kan le 110288 LANCOM Modem Adapter Kit zum Anschlu von Modems analog oder GSM an die serielle Konfigurations schnittstelle LANCOM 7111 VPN LANCOM 8011 VPN Kapitel 10 Anhang 10 2 Anschlussbelegung 10 2 1 WAN Schnittstelle 6 polige RJ45 Buchse 1 T I 2 T 123456 3 R 4 z 5 6 R 10 2 2 ISDN S Schnittstelle 8 polige RJ45 Buchse entsprechend ISO 8877 EN 60603 7 gt Een ar II 12345678 3 T 2a 4 R 1a 5 R 1b 6 T 2b LANCOM 7111 VPN LANCOM 8011 VPN gt Kapitel 10 Anhang 76 10 2 3 10 2 4 10 3 Ethernet Schnittstellen 10 100Base T 8 polige RJ45 Buchsen entsprechend ISO 8877 EN 60603 7 1 T MNN 3 R 4 5 6 R 7 8 Konfigurationsschnittstelle Outband 8 polige Mini DIN Buchse 1 c s 2 RTS SR 20 4 RI 5 TxD 6 DSR 7 DCD DTR U GND CE Konformit tserkl rungen Die CE Konformit tserkl rungen f r LANCOM Router finden Sie im Down load Bereich der LANCOM Website www lancom de Index Numerics 10 100Base TX 24 3 DES 43 52 A Accounting 31 AES 43 52 Amtsvorwahl 31 38 Ansch
72. r legen Sie zun chst das Kennwort f r den Konfigu rationszugriff fest Achten Sie bei der Eingabe auf Gro und Kleinschrei bung sowie auf eine ausreichende L nge mindestens 6 Zeichen Ferner legen Sie fest ob das Ger t nur aus dem lokalen Netzwerk heraus konfiguriert werden darf oder ob auch die Fernkonfiguration ber das WAN also aus einem entfernten Netzwerk erlaubt ist Bitte beachten Sie dass mit dieser Freigabe auch die Fernkonfigura tion ber das Internet erm glicht wird Sie sollten in jedem Fall darauf 33 LANCOM 7111 VPN LANCOM 8011 VPN gt Kapitel 3 Grundkonfiguration achten dass der Konfigurationszugriff durch ein Kennwort abgesi chert ist W hlen Sie im n chsten Fenster Ihren DSL Anbieter aus der angebotenen Liste aus Bei Auswahl von Mein Anbieter ist hier nicht aufgef hrt m s sen Sie das von Ihrem DSL Anbieter verwendete bertragungsprotokoll manuell angeben In aller Regel funktioniert das Universal Protokoll Multimode Best tigen Sie mit Weiter Geben Sie diejenigen ISDN Rufnummern in Form von MSNs also ohne Vorwahl an auf denen der Router Rufe annehmen soll Mehrere Num mern werden durch Semikola getrennt Wenn Sie keine MSN angegeben reagiert der Routern auf alle Anrufe am ISDN Anschluss Au erdem k nnen Sie eine Amtsziffer f r die Wahl ins ISDN eingeben Schlie lich sollten Sie angeben ob an Ihrem ISDN Anschluss die Geb h reninformationen bermittelt werde
73. rnet Anbieter 40 Internet Zugang 14 16 40 Authentifizierungsdaten 40 Default Gateway 40 DNS Server 40 Flatrate 41 IP Adresse 40 Netzmaske 40 Protokoll 40 Intrusion Detection 12 IP Filter 68 Ports sperren 68 IP Adresse 25 29 30 48 68 IP Masquerading 12 14 17 68 IPoE 40 IPoEoA 40 IP Router 16 IPSec 43 52 IPX 57 Binding 49 55 External Network Number 48 55 Frame Typs 49 Internal Net Number 55 IPX Konventionen 48 IPX Router 16 Einstellungen 48 ISDN 14 Anschlusskabel 18 D Kanal 54 dynamische Kanalb ndelung 41 Einwahlnummer 41 Geb hreninformationen 33 Grundkonfiguration 38 MSN 30 33 38 78 NTBA Sg Anschluss ISDN Festverbindungen ISDN Anruferkennung ISDN Anschluss Grundeinstellungen ISDN Datenkompression ISDN Modem ISDN Rufnummer ISDN Sy Anschluss ISDN Telefonanlage K Kennwort 46 53 30 32 43 Kennwort f r die ISDN Verbindung f Kon Kon Kon Kon Kon Kon Kon L LAN Anschlusskabel LANCAPI igurationsdatei igurationskennwort f f f igurationsschnittstelle igurationsschutz igurationszugriff ormit tserkl rungen f f f Systemvoraussetzungen igurations Schnittstelle 17 33 LANCOM Online Dokumentation LANCOM Setup LANconfig Assistenten aufrufen LAN LAN Kopplung erforderliche Angaben LANmonitor LANtools Systemvoraussetzungen LCD Display 27 15 16 31 LED Anzeigen siehe Statusanzeigen Lieferumfang Line Managem
74. s ab jetzt aber gerne tun Sie m chten die IP Adresse f r den Router selbst festlegen und geben ihm eine beliebige Adresse aus einem der f r private Zwecke reservierten Adressbereiche z B 10 0 0 1 mit der Netzmaske 255 255 255 0 Damit legen Sie auch gleichzeitig den Adressbereich fest den der DHCP Server anschlie Bend f r die anderen Ger te im Netz verwendet sofern der DHCP Server aktiviert wird Sie haben auch bisher schon IP Adressen auf den Rechnern im LAN verwendet 29 LANCOM 7111 VPN LANCOM 8011 VPN gt Kapitel 3 Grundkonfiguration 30 3 1 4 Notwendige Angaben f r die manuelle TCP IP Konfiguration Bei der manuellen TCP IP Konfiguration fragt Sie der Setup Assistent nach folgenden Daten IP Adresse und Netzwerkmaske f r den LANCOM VPN Teilen Sie dem LANCOM VPN eine freie IP Adresse aus dem Adressbereich Ihres LAN zu und geben Sie die Netzwerkmaske an gt DHCP Server einschalten Wenn Sie die IP Adressen in Ihrem LAN ber einen anderen DHCP Server zuweisen so schalten Sie die DHCP Server Funktion im LANCOM VPN aus Konfigurationsschutz Mit dem Kennwort sch tzen Sie den Konfigurationszugang zum LANCOM VPN und verhindern so dass Unbefugte diese modifizieren Die Konfiguration des Routers enth lt zahlreiche sensible Daten wie beispielsweise die Daten f r den Internet Zugang und sollte auf jeden Fall durch ein Kennwort gesch tzt sein Der Setup Assistent f r die Grundkonfigurat
75. senden w hlen sie den MS Windows Faxdienst Alternativ k nnen Sie nat rlich auch eine beliebige Fax Software verwenden 7 3 1 Faxe versenden mit beliebigen B roanwendungen ffnen Sie wie gewohnt ein Dokument in Ihrer B roanwendung und w h len Sie den Men punkt Datei Drucken Stellen Sie als Drucker das Faxger t ein 7 Drucker Name Adobe PDF z Eigenschaften Status Ponia FDE I Ausdruck in Datei Typ 1 Farbe schwarz ausgeben Druckbereich fr Vorschau Alles K 209 91 C Aktuelle Ansicht Aktuelle Seite C Seiten von fi bis 20 PP Klicken Sie auf OK Es erscheint ein Assistent der Sie durch den weiteren Sendevorgang leitet 7 3 2 Faxe versenden mit dem Windows Faxdienst ffnen Sie in der Systemsteuerung das Fenster Drucker und Faxger te Doppelklicken Sie mit der linken Maustaste das Icon des Faxger tes LANCOM 7111 VPN LANCOM 8011 VPN gt Kapitel 7 Faxe versenden mit der LANCAPI Es ffnet sich die Faxclientkonsole W hlen Sie den Men punkt Datei Fax senden Ein Assistent f hrt sie durch den weiteren Sendevorgang Empf ngerinformationen Geben Sie den Namen und die Rufnummer der Person an an die das Fax gesendet werden soll oder klicken Sie auf Adressbuch um einen Faxempf nger auszuw hlen Ulrike Musterman E 0112 12345678 63 LANCOM 7111 VPN LANCOM 8011 VPN gt Kapitel 8 Sicherheits Einstellungen 64 8
76. t CPU Auslastung Speicherauslastung Anzahl der VPN Tunnel Daten bertragung in Empfangsrichtung Daten bertragung in Senderichtung VVVVVVVVV 23 LANCOM 7111 VPN LANCOM 8011 VPN gt Kapitel 2 Installation 2 3 2 Die Anschl sse des Ger ts Die Anschl sse und Schalter des Routers sind auf Vorder und R ckseite ver teilt 0O Auf der Vorderseite befinden sich die folgenden Anschl sse Vier 10 100Base Tx Anschl sse f r lokale Netzwerke WAN Anschluss ISDN Sy Anschluss Serielle Konfigurationsschnittstelle Reset Schalter Auf der R ckseite befinden sich au erdem Netzschalter Anschluss f r das Kaltger tekabel Der Reset Schalter hat zwei verschiedene Funktionen die durch unterschiedlich lange Bet tigungszeiten des Tasters ausgel st werden Neustart des Ger ts weicher Reset der Schalter wird k rzer als 5 Sekunden gedr ckt Das Ger t startet neu gt Zur cksetzen der Konfiguration harter Reset der Schalter wird l nger als 5 Sekun den gedr ckt Alle LEDs am Ger t leuchten dauerhaft auf Sobald der Reset Schalter frei gegeben wird startet das Ger t mit Werkseinstellungen neu 2 4 24 Installation der Hardware Die Installation des LANCOM VPN erfolgt in folgenden Schritten Montage montieren Sie das Ger t in einem freien 19 Einschub in einem entsprechenden Serverschrank Bringen Sie ggf die Gummif e auf LANCOM 71
77. t Protokoll PPPoE PPTP oder Plain Ethernet IPoE oder IPoEoA Zus tzlich bei Plain Ethernet eigene ffentliche IP Adresse mit Netz maske nicht zu verwechseln mit der privaten LAN IP Adresse Default Gateway und DNS Server Wenn der Provider DHCP unter st tzt k nnen diese IP Parameter automatisch bezogen werden Benutzername und Passwort LANCOM 7111 VPN LANCOM 8011 VPN gt Kapitel 4 Den Internet Zugang einrichten ISDN gt Einwahlrufnummer gt Benutzername und Passwort Weitere Verbindungsoptionen Zus tzlich k nnen Sie sofern von Ihrem Internetanbieter unterst tzt zus tz liche Optionen im Assistenten ein oder ausschalten Zeitliche Abrechnung oder Flatrate w hlen Sie aus nach welchem Modell Ihr Internetanbieter die Nutzung abrechnet Bei der zeitlichen Abrechnung k nnen Sie am LANCOM VPN einstel len dass bestehende Verbindungen automatisch abgebaut werden wenn f r eine bestimmte Dauer die sogenannte Haltezeit keine Daten mehr bertragen wurden Zus tzlich k nnen Sie eine Leitungs berwachung aktivieren die inak tive Gegenstellen schneller erkennt und in diesem Fall die Verbindung schon vor Ablauf der Haltezeit abbaut D Bei Flatrate Abrechnung haben Sie ebenfalls die M glichkeit der akti ven Leitungs berwachung und k nnen so die Funktion der Gegen stelle st ndig berpr fen Au erdem k nnen Sie bei Flatrates Verbindungen dauerhaft aufrecht erhalten Keep aliv
78. t ein unkonfiguriertes LANCOM Ger t seinen eigenen DHCP Server aus wechselt in den DHCP Client Modus und bezieht eine IP Adresse vom DHCP Server aus dem LAN Diese IP Adresse ist aber zun chst nicht bekannt die Erreich barkeit des Ger ts h ngt von der Namensaufl sung ab Istim LAN auch ein DNS Server zur Aufl sung der Namen vorhanden und tauscht dieser die Zuordnung von IP Adressen zu den Namen mit dem LANCOM 7111 VPN LANCOM 8011 VPN gt Kapitel 3 Grundkonfiguration DHCP Server aus kann das Ger t unter dem Namen LANCOM lt MAC Adresse gt z B LANCOM 00a057xxxxxx erreicht werden Server nicht gefunden Microsoft Internet Explorer ioj xj Datei Bearbeiten Ansicht Favoriten Extras Ar 1O zur ck I x F AE Suchen Te Favoriten A Medien 2 Adresse http Lancom 00a05700094A E wechseln zu Links ir Eu Die MAC Adresse finden Sie auf einem Aufkleber auf der Ger teun terseite Ist im LAN kein DNS Server vorhanden oder ist dieser nicht mit dem DHCP Server gekoppelt kann das Ger t nicht ber den Namen erreicht werden In diesem Fall bleiben folgende Optionen Die per DHCP an das LANCOM Ger t zugewiesene IP Adresse ber geeignete Tools ausfindig machen und das Ger t mit dieser IP Adresse direkt erreichen gt LANconfig verwenden Einen Rechner mit Terminalprogramm ber die serielle Konfigura tionsschnittstelle an das Ger t anschliessen Aufruf der
79. t nicht alle hier abgebildeten Assistenten anbietet Wenn Sie die automatische TCP IP Konfiguration w hlen fahren Sie mit Schritt fort Wenn Sie die TCP IP Einstellungen selber vornehmen wollten dann geben Sie dem LANCOM VPN eine verf gbare Adresse aus einem geeig neten IP Adressbereich Stellen Sie au erdem ein ob er als DHCP Server arbeiten soll oder nicht Best tigen Sie Ihre Eingabe mit Setzen Im folgenden Fenster Sicherheitseinstellungen vergeben Sie zun chst ein Kennwort f r den Konfigurationszugriff Achten Sie bei der Eingabe auf Gro und Kleinschreibung sowie auf eine ausreichende L nge mindes tens 6 Zeichen LANCOM 7111 VPN LANCOM 8011 VPN gt Kapitel 3 Grundkonfiguration Legen Sie fest ob das Ger t nur aus dem lokalen Netzwerk heraus konfi guriert werden darf oder ob auch die Fernkonfiguration ber das WAN also aus einem entfernten Netzwerk erlaubt ist G Bitte beachten Sie dass mit dieser Freigabe auch die Fernkonfigura tion ber das Internet erm glicht wird Sie sollten in jedem Fall darauf achten dass der Konfigurationszugriff geeignet abgesichert ist z B durch ein Kennwort Unabh ngig von der WAN Fernkonfiguration ist die Fernkonfiguration ber eine direkte ISDN Verbindung Hier w hlt sich der Konfigurations PC direkt ber ISDN beispielsweise ber das DF Netzwerk von Windows in den LANCOM VPN ein Durch die Angabe einer MSN EAZ aktivieren Sie die ISDN Fernkonfig
80. ten ISDN Anschlusskabels hellblaue Stecker in die ISDN Sg Schnittstelle des Routers und das andere Ende in einen ISDN S Anlagenanschluss oder Mehrger teanschluss Konfigurations Schnittstelle optional k nnen Sie den Router direkt an die serielle Schnittstelle RS 232 V 24 eines PC anschlie en Verwen den Sie dazu das mitgelieferte Anschlusskabel Verbinden Sie die Konfigu rations Schnittstelle des LANCOM mit einer freien seriellen Schnittstelle des PC Mit Spannung versorgen und einschalten versorgen Sie das Ger t ber das Kaltger tekabel mit Spannung und schalten Sie es am Schalter ein 25 LANCOM 7111 VPN LANCOM 8011 VPN gt Kapitel 2 Installation 26 2 5 2 5 1 Betriebsbereit Nach einem kurzen Selbsttest des Ger ts leuchtet die Power LED permanent Gr n leuchtende LAN LEDs zeigen an an welchen LAN Anschl ssen funktionierende Verbindungen hergestellt sind Beispielzeichnung f r LANCOM 8011 VPN Konfigurations PC mit serieller Schnittstelle Netzabschluss z B SDSL Modem Installation der Software Der folgende Abschnitt beschreibt die Installation der mitgelieferten System software LANtools die unter Windows l uft Sollten Sie Ihren LANCOM VPN ausschlie lich mit PCs verwenden die unter anderen Betriebssystemen als Windows laufen k nnen Sie die sen Abschnitt berspringen LANCOM Setup starten Legen Sie die LANCOM CD in Ihr Laufwerk ein Daraufhi
81. un chst berpr fen Sie Lieferumfang und Systemvoraussetzungen Sind alle Voraussetzungen erf llt gelingen Anschluss und Inbetriebnahme schnell und ohne M he Lieferumfang Bitte pr fen Sie den Inhalt der Verpackung auf Vollst ndigkeit bevor Sie mit der Installation beginnen Neben dem eigentlichen Ger t sollte der Karton fol gendes Zubeh r f r Sie bereithalten Kaltger tekabel LAN Anschlusskabel gr ne Stecker WAN Anschlusskabel dunkelblaue Stecker ISDN Anschlusskabel hellblaue Stecker Gummif e 19 Montagewinkel LANCOM CD Gedruckter Installation Guide Gedrucktes Benutzerhandbuch SINE ISIS IS ISIS IR SISISISISISISIS Gedrucktes Referenzhandbuch S S Falls etwas fehlen sollte wenden Sie sich bitte umgehend an Ihren H ndler oder an die Kontaktadresse die auf dem Lieferschein zu Ihrem Ger t angege ben ist Systemvoraussetzungen Rechner die mit einem LANCOM VPN in Verbindung treten m chten m ssen mindestens die folgenden Voraussetzungen erf llen 2 3 LANCOM 8011 VPN LANCOM 7111 VPN LANCOM 8011 VPN Kapitel 2 Installation gt Betriebssystem mit TCP IP Unterst tzung z B Windows XP Windows Millennium Edition Me Windows 2000 Windows 98 Windows 95 Windows NT Linux BSD Unix Apple Mac OS 0S 2 Beos gt Zugang zum LAN ber das TCP IP Protokoll Die LANtools und die Funktionen der LANCAPI ben tigen zudem ein Windows Betr
82. und Protokollfilter f r Konfigurationszu gang und LANCAPI ISDN Einwahlnummernliste FirmSafe mit 2 Firmware Versionen f r absolut sichere Software Upgrades VPN IPSec 100 IPSec Sessions gleichzeitig aktiv 200 IPSec Sessions gleichzeitig aktiv Erweiterung auf 500 oder 1000 Kan le m glich Verschl sselungsalgorithmen 3 DES und AES mit Hardware Beschleunigung Blow fish CAST MD 5 oder SHA 1 Hashes IKE mit Preshared Keys IKE Config Mode Bis zu 8 redundante VPN Gateways f r Lastverteilung und Hochverf gbarkeit IPSec Clients LANCOM Advanced VPN Client f r Windows Betriebssysteme inkl Firewall automati scher Verbindungssteuerung X auth Config Mode IPCOMP etc in verschiedenen Lizenzstaffeln erh ltlich LANCOM Dynamic VPN Verbindungsaufbau zu dynamischen IP Adressen bermittlung der dyn IP Adresse ber ISDN B oder D Kanal IKE Main Mode Verbindungsaufbau dyn zu statischen IP Adressen Verschl sselte bermittlung der dyn IP Adresse ber ICMP oder UDP Paket IKE Main Mode Routerfunktionen Dienste IP IPX und NetBIOS IP Multiprotokoll Router HTTP und HTTPS Server WEBcon und Schnittstellen fig DNS Client DNS Server DNS Relay DNS Proxy NetBIOS IP Proxy DHCP Client DHCP Relay und DHCP Server inkl Autodetection Dynamic DNS Client NTP Client SNTP Server N N IP Adressmapping LAN Protokolle IP ARP Proxy ARP IP ICMP UDP TCP TFTP RIP 1 RIP 2 DHCP DNS SNMP HTTP HTTPS BOOTP NTP
83. unkt Extras Setup Assistent LANCOM Mit diesem Assistenten k nnen Sie Ihr Ger t schnell und einfach f r bestimmte Anwendungen konfigurieren Was m chten Sie tun X Srundeinstellungen x Sicherheits Einstellungen kontrollieren N Intemet Zugang einrichten X EinwahlZugang bereitstellen RAS X Zwei lokale Netze verbinden X Firewall konfigurieren X Dynamic DNS konfigurieren 8 1 2 8 2 LANCOM 7111 VPN LANCOM 8011 VPN gt Kapitel 8 Sicherheits Einstellungen W hlen Sie im Auswahlmen den Setup Assistenten Sicherheitseinstel lungen kontrollieren und best tigen Sie die Auswahl mit Weiter In den folgenden Fenstern stellen Sie das Passwort ein und w hlen die zul ssigen Protokolle f r den Konfigurationszugriff von lokalen und ent fernten Netzwerken aus Zus tzlich stellen Sie die MSN f r die Fernkonfi guration ber ISDN ein In einem weiteren Schritt werden die Parameter der Konfigurationssperre wie Anzahl der Fehllogins und Dauer der Sperre eingestellt Im Bereich der Firewall aktivieren Sie die Stateful Inspection das Ping Blocking und den Stealth Mode Der Assistent informiert Sie sobald die Eingaben vollst ndig sind Schlie Ren Sie die Konfiguration mit Fertig stellen ab Assistent f r WEBconfig Unter WEBconfig besteht die M glichkeit den Assistenten Sicherheitsein stellungen aufzurufen und die Einstellungen zu kontrollieren und zu ndern Dabei werden d
84. uration In diesem Fall nimmt der LANCOM VPN Anrufe an der angegebenen MSN EAZ entgegen und kann ber die auf gebaute Verbindung konfiguriert werden Best tigen Sie Ihre Wahl mit Setzen W hlen Sie im n chsten Fenster Ihren DSL Anbieter aus der angebotenen Liste aus Best tigen Sie Ihre Wahl mit Setzen Bei Auswahl von Mein Anbieter ist hier nicht aufgef hrt m ssen Sie im anschlie enden Fenster das von Ihrem DSL Anbieter verwendete bertra gungsprotokoll manuell angeben In aller Regel funktioniert das Univer sal Protokoll Multimode Der Geb hrenschutz beschr nkt auf Wunsch die Kosten von DSL und ISDN Verbindungen auf ein festgesetztes Ma Best tigen Sie Ihre Anga ben mit Setzen Eingabe des Kennworts im Web Browser xl Wenn Sie beim Zugriff auf das Ger t von Ihrem 9 Sees Benuzemenen ud Kennon en Web Browser zur Eingabe von Benutzername und RE Kennwort aufgefordert werden tragen Sie Ihre a pers nlichen Werte in die entsprechenden Felder er der Eingabemaske ein Achten Sie dabei auf Gro I Kennwort in Kenne speichem und Kleinschreibung Abbrechen Bereich Falls Sie den allgemeinen Konfigurationszugang verwenden tragen Sie nur das entsprechende Kennwort ein Das Feld Benutzername bleibt in diesem Fall leer Eingabe des Konfigurations Kennworts 37 LANCOM 7111 VPN LANCOM 8011 VPN gt Kapitel 3 Grundkonfiguration 38 3 4 Wenn Ihr Ger t ber keine ISDN Schnittstelle verf
85. us die Verkabelung tes ten Wechseln Sie dazu unter WEBconfig in den Men punkt Expertenkonfi guration Status gt LAN Statistik gt Kabel Test Geben Sie dort die Bezeichnung des Interfaces ein das Sie testen wollen z B DSL1 oder LAN 71 LANCOM 7111 VPN LANCOM 8011 VPN gt Kapitel 9 Rat amp Hilfe 72 1 Achten Sie dabei auf die genaue Schreibweise der Interfaces Mit einem Klick auf die Schaltfl che Ausf hren starten Sie den Test f r das eingetragene Interface Experten Konfiguration amp Status amp LAN Statistik Kabel Test Hier haben Sie die M glichkeit Parameter f r das auszuf hrende Kommando einzugeben Parameter DSL1 Zur cksetzen Wechseln Sie anschlie end in den Men punkt Expertenkonfiguration Status gt LAN Statistik gt Kabel Test Ergebnisse In der Liste sehen Sie die Ergebnisse die der Kabel Test f r die einzelnen Interfaces ergeben hat Experten Konfiguration amp Status amp LAN Statistik Kabel Test Ergebnisse Port Rx Status Rx Distanz Tx Status Tx Distanz DSL offen om offen om LAN 1 Impedanzfehler OK LAN 2 OK OK LAN 3 offen om offen om LAN 4 OK OK Als Ergebnisse k nnen folgende Werte erscheinen gt gt gt OK Kabel richtig eingesteckt Leitung in Ordnung offen mit Distanz 0m kein Kabel eingesteckt oder eine Unterbrechung in weniger als ca 10 Metern offen mit Angabe einer konkreten Distanz Kabel ist eingesteckt hat jedoch
86. ussetzungen T TCP TCP IP 24 13 68 15 17 43 52 64 66 64 70 3 14 20 21 68 19 57 79 LANCOM 7111 VPN LANCOM 8011 VPN gt Index Einstellungen 28 32 36 Einstellungen an den PCs im LAN 38 Verbindung testen TCP IP Filter TCP IP Konfiguration automatisch manuell vollautomatisch TCP IP Router Einstellungen TCP IP Windows Size Telnet Temperatur TFTP TOS Traffic Shaping U bertragungsprotokoll UDP V Verschl sselung 80 50 12 17 68 36 28 30 28 29 46 71 68 23 68 17 17 70 68 43 52 Virtual Private Network Virtual Private Network VPN VPN VPN Client w WAN Anschlusskabel WAN Anschluss WAN Verbindung Probleme beim Aufbau WEBconfig Aufruf eines Assistenten Kennworteingabe Systemvoraussetzungen Wide Area Network WAN Windows Arbeitsgruppen suchen Z Zeit Zugang zum Internet einrichten Zur cksetzen der Konfiguration 15 16 56 23 40 24
87. w Faxdrucker anzeigen LANCOM CAPI Faxmodem Systemsteuerungssymbol axger te 7 Gamecontroller 7 2 Installation des MS Windows Faxdienstes W hlen Sie in der Systemsteuerung die Option Drucker und Faxger te W hlen Sie im Fenster Drucker und Faxger te die Option lokalen Fax drucker installieren Folgen Sie ggf den Anweisungen des Installations tools In dem aktuellen Fenster erscheint ein Icon f r den neu angelegten Faxdrucker h Drucker und Faxger te Datei Bearbeiten Ansicht Favoriten Extras Sr z r pi A Suchen y Ordner E Adresse Drucker und Faxger te Druckeraufgaben y O Ean Fax SST Sa 8 DP Bereit E Drucker hinzuf gen Ein Fax senden H rs or 0 Bereit Siehe auch ES 2 Druckproblembehandlung Hilfe ber Drucken erhalten Zum berpr fen der Installation klicken sie mit der rechten Maustaste auf das Fax Icon und w hlen Eigenschaften Im Register Ger te sollte das LANCOM CAPI Faxmodem eingetragen sein 61 LANCOM 7111 VPN LANCOM 8011 VPN Kapitel 7 Faxe versenden mit der LANCAPI 7 3 Versenden eines Faxes 62 Nachdem alle erforderlichen Komponenten installiert wurden gibt es mehrere M glichkeiten ein Fax von Ihrem Arbeitsplatzrechner aus zu versenden Haben Sie bereits eine fertige Datei k nnen Sie diese direkt aus Ihrer jeweili gen Anwendung heraus verschicken Wollen Sie dagegen nur eine kurze Notiz ver
88. wahlrechner fest oder dynamisch aus einem Adressbereich IP Adress Pool VPN ISDN NetBIOS Routing f r Zugriff auf entferntes Netz VPN ISDN Name einer lokalen Arbeitsgruppe nur bei NetBIOS Hinweise zu den einzelnen Werten Benutzername und Passwort Mit diesen Zugangsdaten weist sich der Benutzer bei der Einwahl aus gt Ankommende Nummer Die optionale ISDN Anruferkennung verwen det der LANCOM VPN zus tzlich zur Benutzer Authentifikation Auf die Verwendung dieser Sicherheitsfunktion sollte immer dann verzichtet wer den wenn sich der Benutzer von verschiedenen ISDN Anschl ssen ein w hlt Hinweise zu den anderen Werten die bei der Einrichtung des RAS Zugangs ben tigt werden finden Sie im Kapitel Zwei Netzwerke ver binden auf Seite 43 53 LANCOM 7111 VPN LANCOM 8011 VPN Kapitel 6 Einwahl Zugang bereitstellen Die ISDN Anruferkennung CLI Bei der ISDN Anruferkennung auch als CLI Calling Line Identity bezeichnet handelt sich um die Telefonnummer des Anrufers die an den angerufenen Teilnehmer bermittelt wird Sie setzt sich in aller Regel aus der nationalen Vorwahl und einer MSN zusammen Die CLI eignet sich aus zwei Gr nden besonders gut f r die Authentifizierung Zum einen l sst sie sich nur schwer manipulieren Zum anderen erfolgt ihre bertragung kostenlos ber den ISDN Steuerkanal D Kanal 54 Einstellungen f r TCP IP Beim Protokoll TCP IP muss jedem a
Download Pdf Manuals
Related Search