In diesem Abschnitt
Contents
1. ccccsccoscoscccscosccsscostcnscosseass 24 21 WinRoute Beschreibung 11 Einfuhrung in NAT NAT Network Address Translation Network Address Translation NAT gehort zu den leistungsstarksten Sicherheitsfunktionen von WinRoute NAT ist ein Internet Standardprotokoll mit dem sich private Netzwerkadressen hinter einer einzelnen Adresse oder mehreren Adressen verstecken lassen IP Masquerading eine Version von NAT wird bereits seit vielen Jahren von Linux Anwendern verwendet WinRoute ist eines der wenigen Produkte f r die Windows Plattform das NAT Funktionen auf Einstiegsebene bietet NAT kann auf verschiedene Arten implementiert werden Im Wesentlichen schafft es jedoch einen nahezu unbegrenzten privaten Adressbereich f r interne Netzwerke der von WinRoute bersetzt wird Auf diese Weise k nnen Daten zu und von ffentlichen Netzwerken bertragen werden ohne dass Informationen ber sensible interne Netzwerke preisgegeben werden Ist der private Adressbereich an der internen Schnittstelle einer WinRoute Firewall nicht bekannt so ist es praktisch unm glich ein System im internen Netzwerk das NAT verwendet direkt anzugreifen 12 WinRoute Pro 4 1 Benutzerhandbuch So funktioniert NAT Network Address Translation NAT ist ein Prozess mit dem Pakete die von und zu einem lokalen Netzwerk LAN von oder zum Internet oder einem anderen auf IP basierenden Netzwerk gesendet werden modifizier2. 8 Internet NIC LinkSys un TCP Ary host all ports gt Any host port 21 un UDP Any host all ports gt Any host port 53 seen TCP Any host all ports gt Any host port 80 i TCP Any host all ports gt Any host all ports Regeln konnen in einer vordefinierten Zeitzone angewandt werden In einigen F llen kann es n tzlich sein spezielle Regeln w hrend der B rozeiten und andere Kriterien f r den Zugriff n der Zeit nach B roschluss anzuwenden S e k nnen auch bestimmten Benutzern den Zugang w hrend der Mittagspause gestatten und hn w hrend der Arbeitszeit auf bestimmte Internetressourcen beschr nken Beispiel Vollst ndige Kontrolle des Benutzerzugangs Der Netzwerkadministrator m chte dass Benutzer Zugriff auf Ihr Netzwerk erhalten Bei vielen Netzwerkinstallationen werden Web oder FTP Server hinter dem WinRoute System ausgef hrt d e ffentlichen Zugriff erfordern Im oben genannten Fall w rde man die Regeln f r eingehende Pakete n der folgenden Reihenfolge einstellen l Pakete die an Anschluss 80 gehen von jedem Host zulassen 2 Pakete die an Anschluss 21 gehen von jedem Host zulassen 3 Alle Pakete ablehnen 120 WinRoute Pro 4 1 Benutzerhandbuch Wenn das ankommende Paket der Regel 1 oder 2 entspricht wird das Paket durchgelassen und Regel 3 wird nicht angewandt Entspricht das Paket Regel 1 oder 2 n cht wird es abgelehnt Packet Filter Incoming Outgoing 8 LAN
3. BLOOM ip 194 196 14 42 P ip 194 225 204 457 k 255 255 255 0 e aTe mask 255 255 255 0 NAT gm 194 25 201 1 MAT BICNHLISS Rufen S e das Dialogfeld der Eigenschaften der DirecPC Netzwerkkarte auf MAT DiresPC Setting Send autgang packets through DiecPC dial up Through interface NE 2000 e Gi 194 196 1 23 DirecPC Gateway 134 25 200 133 Sum 110 WinRoute Pro 4 1 Benutzerhandbuch Aktivieren Sie auf der Registerkarte NAT das Kontrollk stchen NAT mit dieser IP Adresse der Schnittstelle f r den gesamten passierenden Datenverkehr ausf hren W hlen Sie auf der Registerkarte DirecPC die Option ber Schnittstelle und w hlen Sie die Schnittstelle zum Internet Geben Sie dann den Standard Gateway Ihres Internetdiensteanbieters in das Feld GW ein z B 194 196 1 33 Erh hen des Datendurchsatzes Um bei der Verbindung mit dem Internet ber DirecPC den gr tm glichen Datendurchsatz zu erhalten verkleinern Sie das TCP Empfangsfenster auf allen Computern die DirecPC verwenden Unter Windows NT 1 Rufen Sie die Registrierung HKEY LOCAL MACHINE SYSTEM CurrentControlSet Services Tcpip Pa rameters auf 2 F gen Sie einen Eintrag mit Namen TcpWindowSize zur Registrierung hinzu Falls er bereits vorhanden ist bearbeiten S e diesen Stellen S e seinen Wert auf OxBB80 ein Unter Windows 95 1 Rufen Sie die Registrierung HKEY LOCAL MACHINE System Cur
4. 2 F gen Sie eine neue Anschlusszuordnung hinzu Protokoll TCP berwachungs IP nicht spezifiziert bzw die IP Adresse die mit der Dom ne assoziiert ist Eine solche IP Adresse muss der Schnittstelle zugeordnet sein berwachungsanschluss 80 Ziel IP die IP Adresse des Webservers z B 192 168 1 10 Zielanschluss 80 Der Zugang zu diesen Diensten erfolgt entweder ber den Dom nennamen oder die ffentliche IP Adresse Ihres Netzwerks Nachdem die Pakete WinRoute erreicht haben werden sie automatisch an den internen Computer mit der entsprechenden internen IP Adresse umgeleitet 170 WinRoute Pro 4 1 Benutzerhandbuch Ausfuhren eines DNS Servers hinter NAT Die in WinRoute integrierte DNS Weiterleitung erm glicht es DNS Anfragen an regul re DNS Server weiterzuleiten um Dom nennamen aufzul sen Er ist in der Lage lokale DNS Anfragen aufzul sen wenn der Name des lokalen Computers verwendet wird DNS Anfragen wie www wasauchimmer com m ssen mit dem regul ren DNS Server aufgel st werden Die DNS Weiterleitungsfunktion von WinRoute leitet DNS Anfragen an den DNS Server weiter Ausf hrend des DNS Servers hinter NAT WinRoute Um den DNS Server hinter NAT WinRoute auszuf hren nehmen Sie die Anschlusszuordnung wie unten beschrieben vor Die DNS Server kommunizieren untereinander ber das UDP Protokoll an Anschluss 53 Wenn Sie diese Einstellung nicht vornehmen wird Ihr DNS Server nicht funktionieren Diese Einstel
5. Das Fehlerbehebungsprotokoll ist das wichtigste Protokoll in WinRoute Es erm glicht Ihnen alle IP Pakete TCP UDP ICMP ARP DNS zu sehen die eine der Schnittstellen im WinRoute Computer tatsachlich passieren Im Fenster f r die Fehlerbehebungsereignisse k nnen Sie die Vorg nge sehen die eventuell angezeigt werden sollen So lesen Sie das Protokoll Von links nach rechts wird Folgendes angegeben Zeitangabe Das Datum und der Zeitpunkt zu dem der Vorgang stattfand oder das Paket die Schnittstelle passierte Das Protokoll Der Protokolltyp des Pakets Von An Schnittstellenname Der Name der Schnittstelle und ob das Paket an die Schnittstelle gesendet wurde oder von der Schnittstelle kam Stellen Sie sich vor dass WinRoute auf dem PC l uft und die Schnittstellen als Gates zwischen dem Computer und dem Netzwerk fungieren IP Quelladresse gt IP Zieladresse Die Quell und die Ziel IP Adresse die im Paket enthalten ist Flag Merker Weitere Angaben zum Vorgang Beispiel 10 Nov 1999 09 32 38 TCP packet 511464 from lan Length 1514 192 168 1 772442 SS 192 768 11725 flags ACK 10 Nov 1999 09 32 38 TCP packet 511465 to lan length 54 192 168 1 1 25 gt 192 168 722442 flags ACK 36 WinRoute Pro 4 1 Benutzerhandbuch VWinRoute TCP stack to INTERNET from INTERNET to LAM from LAN Interface 1 Interface 2 INTERNET LAN WinRoute Beschreibung 37 HTTP Proxy Protoko
6. Die Anschlussnummer d e der Proxy Server auf Anfrage berwacht In der Regel ist es nicht erforderlich die Anschlussnummer 3128 zu ndern Protokollzugang zum Proxy Server Wenn diese Option aktiviert ist werden alle URLs die vom Proxy ber die Browser angefragt werden in ein Protokoll aufgenommen 48 WinRoute Pro 4 1 Benutzerhandbuch Benutzer Zugriffsuberwachung Der Proxy Server von WinRoute erm glicht es dem Administrator den Zugriff auf Internetseiten zu berwachen Der Administrator kann festlegen den Zugriff auf bestimmte Internetseiten oder Dom nen nur f r gewisse Benutzer und oder Benutzergruppen zu gew hren Halten Sie die Benutzer dazu an den Proxy Server zu verwenden Wenn Sie die Zugriffs berwachung des Proxys verwenden m chten m ssen Sie auch den direkten Zugriff auf Internetseiten sperren so dass der Zugang ber den Proxy die einzige verbleibende Alternative zum Internet Browsing darstellt Um den direkten Zugriff zu sperren legen Sie ein Paketfilterkriterium fest Weitere Informationen zur Paketfilterung finden Sie im Abschnitt ber Paketfilter see So veranlassen S e die Benutzer dazu den Proxy Server zu verwenden on page 127 n diesem WinRoute Benutzerhandbuch Konfiguration der Proxy Zugriffs berwachung Um die Proxy Zugriffs berwachung von WinRoute zu konfigurieren rufen Sie in den Proxy Server Einstellungen die Registerkarte Zugriff auf Zugriffsliste Die
7. 21 dieser Host Anschluss 20 Zugang erlauben Zugang erlauben Zugang erlauben optional optional optional Be Err HI auf Err Ko die Err FT die pas Of 10 Installation und Konfiguration 123 Gewahrung der Kommunikation an bestimmten Anschlussen Sie m chten folgende Regeln anwenden maximale Sicherheit Zugriff auf Ihren Web Server erlauben Kommunikation mit Ihrem SMTP Server erlauben Abholung von E Mail aus dem Internet ber Ihren Mail Server erlauben Zugriff auf Ihren FTP Server erlauben 124 WinRoute Pro 4 1 Benutzerhandbuch Maximale Sicherheit Eingehend Registerkarte Protokoll TCP alle eingehenden Pakete ablehnen Quell IP Beliebig Ziel IP Beliebig Quellanschluss Beliebig Zielanschluss Beliebig Diese Regel ist unter den an der Schnittstelle verf gbaren Regeln immer die niedrigste Zugriff auf Ihren Web Server erlauben Eingehend Registerkarte Protokoll TCP Quell IP Beliebig Ziel IP IP Adresse des Webservers Quellanschluss Beliebig Zielanschluss 80 Zugriff auf Ihren FTP Server von bestimmten Adressen aus dem Internet erlauben Eingangs Tab Protokoll TCP Quell IP Beliebig Ziel IP IP Adresse des FTP Servers Quellanschluss Beliebig Zielanschluss 21 Quell IP Beliebig Ziel IP IP Adresse des FTP Servers Quellanschluss Beliebig Zielanschluss 20 Installation und Konfiguration 125 Ihrem SMTP Server nur die K
8. Auf dem WinRoute PC Geben Sie die Optionen bei der DHCP Konfiguration ein In den meisten F llen werden Sie den DHCP Server von WinRoute zur automatisierten Konfiguration verwenden berpr fen Sie genau dass Sie den die G ltigkeitsbereich e der IP Adressen die Sie vom DHCP Server zusammen mit den Optionen zugewiesen haben m chten festgelegt haben Geben Sie unter Optionen andere Daten die an Ihre Workstations gesendet werden an z B DNS Server Standard Gateway usw Auf dem Client PC WinRoute s interne IP Adresse ist der Standard Gateway Der WinRoute PC fungiert als STANDARD GATEWAY f r alle Computer im LAN Verwenden Sie daher die IP Adresse der internen Netzwerkschnittstelle am WinRoute Host z B 192 168 1 1 als Gateway an jedem internen oder Client Computer Geben Sie diesen Wert auf jedem Client Computer ein ODER geben Sie ihn einmal auf dem DHCP Server von WinRoute ein Der Server weist den Wert automatisch Ihren Workstations zu Wenn Sie einen anderen Standard Gateway nutzen m ssen finden Sie weitere Informationen hierzu in den Beispielen f r erweitertes Inter Networking Auf dem Client PC Aktivieren Sie DNS In den meisten F llen werden Sie die in WinRoute integrierte DNS Weiterleitung als DNS Server f r Ihre Computer am Netz verwenden Vergewissern Sie sich dass die in WinRoute integrierte DNS Weiterleitung IN BETRIEB und konfiguriert ist Sie k nnen die DNS Serveradresse Ihres Internetdiensteanb
9. FTP und Gopher Protokolle sind prim r als Elemente gedacht die die ausgehende Leistung f rdern sollen und nicht als Sicherheitsfunktion Paketfilterung hat in der Branche f r Sicherheitsl sungen eine lange Tradition und wird noch immer h ufig in Produkten wie im IOS Netzwerkbetriebssystem von Cisco eingesetzt Bei ordnungsgem er Konfiguration k nnen die Paketfilter sehr sicher gestaltet werden und sind besonders f r viel frequentierte Internetseiten geeignet da sie die besten Leistungsvorteile bieten 26 WinRoute Pro 4 1 Benutzerhandbuch Aufbau Firewalls werden in der Regel auf verstarkte Plattformen gebaut und die Software selbst ist normalerweise schwer zu umgehen Eine der groBten Schwachen bei vielen Netzwerksicherheitssystemen liegt jedoch in dem kurzen Zeitraum zwischen dem Zeitpunkt an dem die Hardware aktiv in der Lage ist den Datenstrom zu lenken und dem Augenblick in dem die Software die Kontrolle ber die Netzwerkschnittstelle bernimmt In diesem kritischen Moment kann die Sicherheit komplett gef hrdet werden Der Treiber oder die Engine von WinRoute aktiviert sich wenn die Kernroutinen des Windows Betriebssystems der Kernel sich selbst in den Speicher laden Genauer gesagt l dt sich die Engine bevor die NDIS Network Device Interface Specification Module geladen werden so dass keine Verbindung unterst tzt wird bevor WinRoute aktiv ist So ist der Schutz aller Schnittstelle
10. FTP Server VPN Server oder praktisch jeder andere Servertyp s cher hinter der Firewall verwendet werden Firewall Sicherheit Durch die Kombination aus NAT Architektur und der F higkeit auf niedriger Ebene zu arbeiten bietet WinRoute Benutzern eine Firewall Funktion die mit teureren L sungen vergleichbar ist Dadurch kann WinRoute sowohl eingehende als auch abgehende Pakete erfassen wodurch es gegen ber Angriffen gesch tzt ist Anti Spoofing ist eine Erg nzung zur Paketfilterung von WinRoute Es sch tzt das LAN gegen Angriffe durch unberechtigte Benutzer mit gef lschten IP Quelladressen sch tzt Einfache Netzwerkkonfiguration Der DHCP Server und die DNS Weiterleitung die in WinRoute Pro enthalten sind vereinfachen die Verwaltung der Netzwerkkonfiguration Beide Komponenten stellen ausgereifte Techniken dar Der DHCP Server von WinRoute kann problemlos den in Windows NT enthaltenen DHCP Server ersetzen 8 WinRoute Pro 4 1 Benutzerhandbuch MAIL Server Der MAIL Server von WinRoute ist u erst vielseitig Er ist mit SMTP POP3 kompatibel verf gt ber nahezu unbegrenzte Aliaszuordnungsmoglichkeiten und bietet eine automatische E Mail Sortierung Die Benutzer k nnen eine oder mehrere E Mail Adressen verwenden und effizient in Gruppen arbeiten d h Vertrieb Support usw Alle diese Funktionen sind ungeachtet der verwendeten Internetverbindung verf gbar HTTP Cache
11. Half Life Protokoll TCP UDP Uberwachungs IP nicht spezifiziert Uberwachungsanschluss 27015 Ziel IP IP Adresse des Spieler Computers z B 192 168 1 6 Zielanschluss 27015 MSN Gaming Zone Folgende Konfiguration wurde mit MechWarior3 in der MSN Gaming Zone gr ndlich getestet Es kann nur jeweils ein Computer auf MSN zugreifen 1 ffnen Sie das Men Einstellungen gt Anschlusszuordnung 2 F gen Sie eine neue Anschlusszuordnung hinzu Protokoll TCP berwachungs IP nicht spezifiziert berwachungsanschluss Bandbreite 2300 bis 2400 Ziel IP die lokale IP Adresse des Computers den Sie mit MSN verbinden m chten Zielanschluss Bandbreite 2300 bis 2400 3 F gen Sie eine weitere Anschlusszuordnung hinzu Protokoll UDP berwachungs IP nicht spezifiziert berwachungsanschluss Bandbreite 28800 bis 28912 220 WinRoute Pro 4 1 Benutzerhandbuch Ziel IP die lokale IP Adresse des Computers den Sie mit MSN verbinden m chten Zielanschluss Bandbreite 28800 bis 28912 Quake Quake 3 Quake 2 3 Clients Es s nd keine speziellen Einstellungen erforderlich Quake 2 3 Server F r Master Server Protokolll UDP berwachungs IP nicht spezifiziert berwachungsanschluss Einfach 8002 Ziel IP x x x x Zielanschluss 8002 F r Clients die mit dem Arena Server von Quake3 verbunden sind Protokoll UDP berwachungs IP nicht spezifiziert berwachungsanschluss Einfach 27960 Ziel IP x
12. Weisen S e jedem System IP Adressen des gleichen Teilnetzes zu Wenn Sie die IP Adresse f r den WinRoute Host auf 192 168 1 1 eingestellt haben m ssen Sie mit dem gleichen Nummerierungssystem fortfahren z B 192 168 1 2 192 168 1 3 usw Standard Gateway einrichten Verwenden Sie die IP Adresse des WinRoute Host Computers als Standard Gateway auf allen Client Computern Mit anderen Worten hei t das jeder Client Computer verwendet die IP Adresse des WinRoute Hosts interne IP Adresse als Standard Gateway Dies wird am TCP IP gt Ethernet Adapter in den Netzwerkeigenschaften des Computers festgelegt DNS einrichten Verwenden Sie die IP Adresse des WinRoute Computers f r die DNS Weiterleitung an alle Computer unter Verwendung des DHCP Servers von WinRoute die interne IP Adresse Die einzige Ausnahme k nnte sein wenn Sie die DNS Adresse Ihres Internetdiensteanbieters oder eines anderen DNS Servers verwenden Geben Sie in diesem Fall die DNS Angaben ein die Sie von Ihrem Internetdiensteanbieters erhalten haben in TCP IP gt NIC Eigenschaften jeder Workstation Wichtig Weitere DNS Einstellungen finden Sie in dem entsprechenden Kapitel dieses Handbuchs 90 WinRoute Pro 4 1 Benutzerhandbuch Einrichten des DNS Forwarder Der DNS Server wird ber das Men Einstellungen gt DNS Server konfiguriert DNS Weiterleitung aktivieren Diese Option berpr ft ob der DNS Server ein oder ausgeschaltet i
13. den Cache Speicher verwenden gt Hinweis Sie k nnen Paketfilter verwenden um den Datenverkehr im Netz zu berwachen einfacher ist es jedoch den eingebauten Proxy URL Filter einzusetzen da dieser die Dom nennamen aufl st So m ssen Sie nur den URL statt die zugeordnete IP Adresse eingeben Einstellungen Erstellen Sie zwei Sicherheitsregeln f r ausgehende Pakete l Ausgehende Pakete mit Zielanschluss 80 und der Quell IP des WinRoute Host zulassen 2 Alle ausgehenden Pakete mit Zielanschluss 80 ablehnen Die Regeln m ssen exakt n der oben erl uterten Reihenfolge angewandt werden WinRoute wendet sie von oben nach unten an Die Regeln auf der Basis wer zuerst kommt malt zuerst angewandt d h eingehende Pakete werden von oben nach unten mit den Regeln verglichen wobei die erste Regel oben und letzte Regel unten steht Die erste Regel die der Paketbeschreibung entspricht wird angewandt w hrend die anderen Regeln ignoriert werden So konfigurieren Sie die Regeln 1 Rufen Sie in WinRoute Administrator das Men Einstllungen gt Erweitert gt Paketfilter auf Klicken Sie auf die Registerkarte Ausgehend 2 Doppelklicken S e auf Ihre externe Internet Schnittstelle Die Liste der Regeln oder Keine Regel wird angezeigt 128 WinRoute Pro 4 1 Benutzerhandbuch Packet Filter x Incoming Outgoing a JE DC21x40001 H Any interlace 3 Klicken Sie auf die Schaltfl c
14. folgende Schritte aus 1 Installieren Sie die AOL Client Software vorzugsweise AOL 5 0 oder hoher 2 Stellen Sie eine Internetverbindung her um zu berpr fen dass die Verbindung ordnungsgem funktioniert 3 Installieren Sie WinRoute Pro Rufen Sie in WinRoute Administration das Men Einstellungen gt Schnittstellentabelle auf Installation und Konfiguration 103 5 Der AOL Adapter sollte unter den verf gbaren Schnittstellen aufgef hrt sein Klicken Sie auf Eigenschaften einer solchen Schnittstelle und w hlen Sie f r diese Schnittstelle NAT ausf hren Richten Sie Ihren WinRoute Computer und die Client Computer gem der Checkliste ein siehe Kapitel zur Checkliste gt Hinweis Die Wahlaufforderung Dial On Demand funktioniert in diesem Fall nicht Sie m ssen die Verbindung zu AOL manuell herstellen T1 oder LAN Verbindung F r T1 oder LAN Verbindungen m ssen zwei Netzwerkkarten auf dem WinRoute Computer installiert sein Eine Netzwerkkarte f hrt zum Internet z B Router die andere zum internen Netzwerk ip 192 168 1 1 mask 255 255 255 0 dns 4 6 0 0 eh eh RAS lined YELaox Pr INAT F hren Sie folgende Schritte aus um die Verbindung zum Internet herzustellen 1 Rufen Sie das Men Einstellungen gt Schnittstellentabelle auf 2 W hlen Sie die Netzwerkkarte die zum Internet f hrt klicken Sie auf Eigenschaften und aktivieren Sie NAT mit der IP Adresse die
15. gel scht verschoben umbenannt oder kopiert werden G Gateway Eingangsstelle von einem Netzwerk in ein anderes Ein Gateway ist f r die ordnungsgem e Verteilung der Daten zust ndig die in ein lokales Netzwerk eingehen oder aus diesem versandt werden Auf dem Gateway Computer der auch als Host Computer bezeichnet wird muss WinRoute installiert sein Glossar der Terminologie 231 ICMP Internet Control Message Protocol verwendet Datagramme um Fehler in der Daten bertragung zwischen Host und Gateway aufzuzeichnen IP Adresse Die IP Adresse ist die individuelle 32 Bit Nummer die den Computer innerhalb eines IP Netzwerks identifiziert Jedem Computer im Internet wird eine eindeutige IP Adresse zugewiesen Die Informationen dar ber von welcher Adresse aus das Paket gesendet wurde IP Quelladresse und an welche Adresse es geliefert werden soll IP Zieladresse ist in jedem Paket in das bzw vom Internet enthalten IPSEC Internet Protocol Security erm glicht die Autorisierung und Verschl sselung virtueller Privatnetze des Senders WinRoute unterst tzt die Novel und Cisco Varianten der IPSEC 232 WinRoute Pro 4 1 Benutzerhandbuch L LAN Ein Local Area Network LAN ein lokales Netzwerk ist eine Gruppe von miteinander verbundenen Computern die Ressourcen gemeinsam nutzen konnen M MAC Adresse Die Media Access Control Adresse ist eindeutiger als die IP Adresse
16. mit denen ein lokales Netzwerk das NAT anwendet so verbunden werden kann dass eine IP Adresse die vom ISP an ein entferntes Netzwerk geliefert wird welches Novell BorderManager Enterprise Server f r die VPN Konnektivit t verwendet gemeinsam genutzt wird Gem der README TXT Datei die auf der Installationsdiskette des Novell BorderManager VPN Client mitgeliefert wird K nnen Sie NAT auf dem Pfad zwischen einem VPN Client und einem VPN Server nicht anwenden Dies ist der Fall wenn die IP und IPX Pakete am VPN Client gekapselt und verschl sselt sind und daher die IP Ouelladresse die f r die Kapselung genutzt wird die Adresse des VPN Client ist Die Kalkulation f r den Autorisierungs Header von IPSEC basiert auf dieser Adresse und der Adresse des Ziel VPN Servers Daher schl gt die Kalkulation wenn eine der Adressen VPN Client oder VPN Server durch NAT modifiziert wird bei Ankunft am Ziel VPN Server fehl und das Paket wird nicht ber cksichtigt Es ist jedoch sehr wahrscheinlich dass NAT die IPSEC Pakete verwirft da NAT nur TCP UDP und Internet Control Message Protocol ICMP Pakete bearbeitet Wenn Sie ber Workstations innerhalb eines Intranets verf gen die auf sichere Weise gesch tzt durch einen VPN Server mit anderen Netzwerken ber das Internet kommunizieren m ssen schlagen wir Ihnen vor die Site to Site VPN Funktion der Novell Border Manager Enterprise Edition zu verwenden anstelle der Client
17. Aufl sen des Namens aus der HOSTS Datei oder der Lease Tabelle diesen mit der DNS Dom ne verbinden Diese Funktion l sst s ch besser anhand eines Beispiels erkl ren Nehmen wir an Sie m chten eine Antwort auf eine DNS Abfrage f r den Computer MEIER finden In der HOSTS Datei haben Sie eingegeben dass Ihre Dom ne B RO mit einer speziellen IP Adresse assoziiert ist Dann k nnte die Abfrage MEIER B RO richtig beantwortet werden gt Beachten Sie bitte dass der Cache nur Antworten des Typs Name gt IP Adresse speichert Die Antworten werden solange gespeichert bis sie ung ltig werden Die G ltigkeitsdauer wird vom DNS Server zusammen mit der Antwort geliefert 92 WinRoute Pro 4 1 Benutzerhandbuch Herstellen der Internetverbindung In diesem Abschnitt DSEL Verbindung sa 92 PPPoE DSL Verbindung 0000000000nnnenennn 94 Bidirektionale Kabelmodemverbindung 96 Unidirektionales Kabelmodem Modem in Betrieb Kabel ausser Betrieb 97 Verbindung ber DFU oder ISDN nen 99 AOL Verbindung nee 102 T1 oder LAN Verbindung ccceeeeeeeesseeesseeeeeeeens 103 DirecPC Verbindung ccccceceeesseessessessssesessssseeeeeens 105 DSL Verbindung F r die DSL ADSL SDSL Verbindung m ssen zwei Netzwerkkarten NICs auf dem WinRoute Computer installiert sein Eine Netzwerkkarte fuhrt zum Internet DSL Modem die andere zum internen Netzw
18. Datei des Client beim Erstellen des Verbindungssymbols festgelegt werden Firewall Konfiguration 209 MS Terminal Server WinRoute unterstiitzt das MS Terminal Server Protokoll vollstandig Um auf den MS Terminal Server innerhalb des WinRoute Netzwerks zuzugreifen f hren Sie die folgende Anschlusszuordnung durch Fur MS Terminal Server Protokoll TCP berwachungs IP nicht spezifiziert oder die ffentliche IP Adresse die der Server verwenden soll berwachungsanschluss 3389 Ziel IP private IP Adresse des Servers innerhalb des Netzwerks Zielanschluss 3389 S e k nnen mehrere Anschl sse einrichten und gleichzeitig auf mehrere Server zugreifen Um dies zu tun m ssen Sie an den Client Computern vorab einstellen ber welchen Anschluss diese auf den Server zugreifen Dies kann beim Erstellen des Verbindungssymbols in der ini Datei des Client festgelegt werden 210 WinRoute Pro 4 1 Benutzerhandbuch Internettelefonie BuddyPhone WinRoute ist die erste Router Firewall Software auf dem Markt die der Gesch ftswelt das Telefonieren ber das Internet auf hohem Niveau erm glicht BuddyPhone erm glicht es Ihnen einen Anruf ber das Internet von einem Netzwerk zu einem anderen zu t tigen Am besten wird BuddyPhone von ICQ unterst tzt Registrieren Sie sich fur diese Instant Messenger Software und telefonieren Sie mit Ihren Freunden per Mausklick Alle Benutzer die in Ihrer Buddy Liste aktiviert sin
19. Dial Pad Protokoll UDP Quell IP nicht spezifiziert Quellanschluss Bandbreite 51200 51201 Ziel IP IP Adresse des Computer der die Anwendung ausf hrt Zielanschluss Bandbreite 51200 51201 Gamespy Registrierung Protokoll UDP Quell IP nicht spezifiziert Quellanschluss 25635 Ziel IP IP Adresse des Computer der die Anwendung ausf hrt Zielanschluss 25665 224 WinRoute Pro 4 1 Benutzerhandbuch F r die Spiele an sich Protokoll UDP Quell IP nicht spezifiziert Quellanschluss Bandbreite 25000 30000 Ziel IP IP Adresse des Computer der die Anwendung ausf hrt Zielanschluss Bandbreite 25000 30000 Kali 3 Anschlusszuordnungen erforderlich Protokoll UDP Quell IP nicht spezifiziert Quellanschluss 2213 Ziel IP IP Adresse des Computer der die Anwendung ausfuhrt Zielanschluss 2213 Protokoll UDP Quell IP nicht spezifiziert Quellanschluss 6666 Ziel IP IP Adresse des Computer der die Anwendung ausfuhrt Zielanschluss 6666 Firewall Konfiguration 225 Protokolll UDP Quell IP nicht spezifiziert Quellanschluss 57 Ziel IP IP Adresse des Computer der die Anwendung ausfuhrt Zielanschluss 57 Mplayer Protokoll TCP UDP Quell IP nicht spezifiziert Quellanschluss 8000 9000 Ziel IP IP Adresse des Computer der die Anwendung ausfuhrt Zielanschluss 8000 9000 Fur PC Anywhere Versionen 2 0 7 51 2 Anschlusszuordungen erforderlich Protokoll TCP Quell IP
20. Die Architektur von WinRoute beinhaltet eine innovative Cache Engine Im Gegensatz zu PROXY Servern mit Cache Funktionen speichert der Cache von WinRoute die bertragenen Daten in einer einzigen Datei mit vordefinierter L nge anstatt f r jedes Objekt eine separate Datei zu verwenden So wird vom Cache belegter Festplattenspeicher eingespart und zwar insbesondere in FAT 16 Umgebungen haupts chlich Windows 95 WinRoute Beschreibung 9 Umfangreiche Protokollunterstutzung WinRoute unterst tzt alle Internet Standardprotokolle IPSEC H 323 NetMeeting Net2Phone WebPhone UnixTalk RealAudio RealVideo ICA Winframe IRC FTP HTTP Telnet PPTP Traceroute Ping Year 2000 Aol chargen cuseeme daytime discard dns echo finger gopher https imap3 imap4 ipr IPX overIP netstat nntp ntp ping pop3 radius wais rcp rlogin rsh smtp snmp ssl ssh systat tacacs uucpover IP whois xtacacs 10 WinRoute Pro 4 1 Benutzerhandbuch NAT Router In diesem Abschnitt Einfuhrung m NAT eos 11 So funktioniert NAT ccccccccccccccccccscccescctecccececeecetecteeceseens 12 Aufbau von WinRoute eeeeessessssssssssnnnnnnnnnnnnnnnnnnneeeeneenn 13 NAT an beiden Schnittstellen einstellen 15 Anschlusszuordnung Paketweiterleitung 18 Anschlusszuordnung f r Systeme mit mehreren IP Adressen Mehrfach NAT as et ee 22 VPN Untersw ing a 24 Schnittstellentabelle
21. Falls nicht aktiv wird jede Internetseite immer direkt aus dem Internet abgerufen Cache Verzeichnis Das Verzeichnis in dem die Daten zwischengespeichert werden WinRoute Beschreibung 53 Cache Gr e Die Gr e des Festplattenspeicherplatzes der vom Proxy Cache verwendet wird Ber cksichtigen S e beim Festlegen der Gr e unter anderem die Anzahl der Benutzer sowie den von diesen verursachten Datenverkehr Wenn S e ber gen gend freien Speicherplatz verf gen k nnen Sie einen gr eren Cache installieren Die maximale Gr e betr gt 3072 MB 3 GB Abgebrochen fortsetzen Falls akt v wird der PROXY Server immer das Herunterladen eines Objektes aus dem Internet abschlie en auch wenn der Browser des Benutzers die Anfrage abbricht der Benutzer klickt auf die Schaltfl che Stopp oder folgt einem Link auf eine andere Seite ohne abzuwarten bis die aktuelle Seite vollst ndig heruntergeladen ist Bei nachfolgenden Besuchen der gleichen Seite erfolgt der Aufbau wesentlich schneller Abgebrochen behalten Mit dieser Funktion wird der WinRoute PROXY Server beauftragt auch unvollst ndige Objekte zwischenzuspeichern Internetseiten Bilder Dies f hrt zumindest zu einer teilweisen Beschleunigung wenn die Webseite erneut besucht wird Wenn Abgebrochen fortsetzen aktiviert ist wird die Einstellung Abgebrochen behalten ignoriert Nur Cache FTP Verzeichnis Beim Durchsuchen von FTP Servern k
22. IRC Client sind keine besonderen Einstellungen erforderlich Selbst DCC Direkt Chat Send and Receive Data eine Anwendung f r d rekten Chat und das Versenden bzw Empfangen von Daten funktioniert automatisch wenn S e den Standardanschluss 6667 auf Ihrem IRC verwenden Um den IRC Server hinter NAT auszuf hren ordnen Sie bitte die folgenden Anschl sse zu Protokoll TCP berwachungs IP nicht spezifiziert oder die IP die Sie f r Ihren IRC Server verwenden m chten berwachungsanschluss 6667 Ziel IP IP Adresse des PC mit Ihrem IRC Server Zielanschluss 6667 DCC funktioniert ausschlie lich mit dem Standardanschluss 208 WinRoute Pro 4 1 Benutzerhandbuch CITRIX Metaframe WinRoute unterstiitzt das CITRIX Metaframe Protokoll vollstandig Fiihren Sie folgende Anschlusszuordnung durch um aus dem Internet auf den CITRIX Metaframe Server zuzugreifen der innerhalb des WinRoute Netzwerks ausgef hrt wird Fur CITRIX Metaframe Protokoll TCP berwachungs IP nicht spezifiziert oder die ffentliche IP Adresse des Servers den Sie verwenden m chten berwachungsanschluss 1494 Ziel IP Private IP Adresse des Servers innerhalb des Netzwerks Zielanschluss 1494 S e k nnen mehrere Anschl sse einrichten und gleichzeitig auf mehrere Server zugreifen Um dies zu tun m ssen Sie an den Client Computern vorab einstellen ber welchen Anschluss diese auf den Server zugreifen sollen Dies kann in der ini
23. Implementierung der Network Address Translation Technik bersetzen und Verstecken der lokalen IP Adressen hinter einer einzigen ausgehenden IP Adresse Es st darauf ausgelegt den Benutzern die neueste Routing Funktion und den neuesten Netzwerkschutz zur Verf gung zu stellen Der NAT Treiber der f r WinRoute exklusiv entwickelt wurde bietet eine Sicherheitslosung die mit teureren Produkten vergleichbar ist dabei aber wesentlich weniger kostet WinRoute Beschreibung 7 Erweitertes NAT Routing Mit erweitertem NAT Routing hat der Benutzer die Option die IP Quelladresse ausgehender Pakete nach verschiedenen Kriterien zu ndern Damit ist eine einfache Integration lokaler Netzwerke LANs mit WinRoute in die WAN Umgebung des Unternehmens mit verschiedenen Segmenten entmilitarisierten Zonen virtuellen privaten Netzwerken usw gew hrleistet Hosting Server hinter WinRoute WinRoute schlie t standardm ig alle Anschl sse um maximale Sicherheit zu gew hren Daher werden alle n cht eingeleiteten Anforderungen abgewiesen es se denn eine Zuordnung wurde erstellt Mit Hilfe der Anschlusszuordnung kann der Benutzer entscheiden wie er IP Pakete die ber eine beliebige WinRoute Schnittstelle transportiert werden umleiten m chte Mit WinRoute k nnen Benutzer Pakete die ber einen bestimmten Anschluss eingehen an einen festgelegten internen Computer weitergegeben So kann ein Web Server MAIL Server
24. Konfiguration zuweisen die so genannte Lease Zeit Der Server weist die IP Adresse immer so zu dass sie nicht mit einer anderen Adresse kollidiert die ber den DHCP Server einem anderen Client zugewiesen wurde Ist ein DHCP Server verf gbar reicht es aus die Option IP Adresse automatisch beziehen zu aktivieren damit der Server f r eine angemessene Konfiguration der TCP IP an den Workstations sorgt Dies kann die Kosten f r die Wartung des Netzwerks und die Organisation betr chtlich senken gt Wenn einige Computer in Ihrem Netzwerk nicht dynamisch mit DHCP konfiguriert sondern fest konfiguriert sind m ssen Sie sicherstellen dass die von DHCP verwendeten Parameter nicht mit denen der festen Konfiguration kollidieren WinRoute Beschreibung 43 DNS Forwarder In diesem Abschnitt PNS Welterleit np ee seen 44 44 WinRoute Pro 4 1 Benutzerhandbuch DNS Weiterleitung Jeder mit dem Internet verbundene Computer ist durch eine einzigartige numerische IP Adresse identifiziert Um einen Computer im Internet zu erreichen muss diese IP Adresse dem Computer der die Verbindung herstellt bekannt sein Da es zu umfangreich ist IP Adressen im Speicher zu behalten wurde der Domain Name Server entwickelt Der DNS Domain Name Server ist eine Datenbank mit Namen die sich leichter einpragen lassen als IP Adressen So muss der Benutzer die IP Adresse des Servers mit dem er sie kommunizieren will nicht kennen Es
25. Liste der eingeschr nkten URLs S e k nnen Sternchen als Platzhalter m URL verwenden Um alle Computer in irgendwo com zu erfassen k nnen S e beispielsweise die Zeichenfolge irgendwo com verwenden WinRoute 4 0 setzt einen Test f r Teilzeichenfolgen ein um die URLs in bereinstimmung zu bringen So erh lt man beispielsweise eine bereinstimmung f r die Zeichenfolge sex die der gleichen Reihe von URLs entspricht wie die Zeichenfolge sex nur die letztgenannte Variante wurde in der vorherigen Version von WinRoute unterst tzt Zugriff genehmigt Die Liste von Benutzern und oder Benutzergruppen die Zugang zu dem entsprechenden URL haben WinRoute Beschreibung 49 Verfugare Benutzer Gruppen Die Liste von Benutzern und Gruppen die in WinRoute festgelegt sind Proxy Server Settings x Th eu justice ca 50 WinRoute Pro 4 1 Benutzerhandbuch Wenn ein Benutzer versucht auf eine Webseite zuzugreifen deren Zugriff beschrankt ist wird der Benutzer von seinem Browser dazu aufgefordert eine Echtheitsbestatigung zu liefern WinRoute wird berpr fen ob der Benutzername und das Kennwort korrekt sind und ob dem Benutzer der Zugriff auf die bestimmte Internetseite erlaubt wurde Der Browser speichert den Benutzernamen und das Kennwort m Speicher Alle nachfolgenden Anfragen bez glich der Echtheitsbest tigung werden automatisch beantwortet so dass der Benutzer den Namen und das Kennwort nic
26. Mask 255 255 255 0 T Only when outgoing interface is Lan NAT Log Packet f Do not MAT T Log into file C Do NAT with specified IF address T Log into window lE address IP Quelladresse IP Zieladresse Sie k nnen erweiterte NAT Einstellungen durchf hren die auf der IP Adresse bas eren von der aus die Pakete gesendet werden Quelle oder an die sie gesendet werden Ziel Als Quelle k nnen S e die Host IP eingeben das gesamte Netzwerk durch Netzwerk Maske begrenzt oder die Gruppe der IP Adressen die zuvor im Men Einstellungen gt Erweitert gt Adressengruppen erstellt wurde Keine NAT durchf hren Falls ausgew hlt werden die in das Internet versandte Pakete nicht ver ndert NAT mit spezieller IP Adresse durchf hren Falls ausgew hlt werden die n das Internet versandte Pakete so ver ndert als stammten sie von der gew nschten IP Adresse 24 WinRoute Pro 4 1 Benutzerhandbuch VPN Unterstiitzung Wie bereits erwahnt ist WinRoute dem Datenstrom der beiden heute gangigsten VPN Protokolle durchaus gewachsen Dem IP Security Protokoll IPSec von der IETF Internet Engineering Task Force sowie dem Point to Point Tunneling Protokoll das in den letzten Jahren auf Grund der Integration in die Software des Client Betriebssystems von Microsoft Windows bekannt wurde Schnittstellentabelle Die Schnittstellentabelle ist ein Dialog in dem WinRoute alle im Computer verf gbaren Schnittstelle
27. NIC Kingston ey TCP 205 206 78 45 port 80 gt Any host all ports A TCP Ary host all ports gt Any host all ports EEEF Internet NIC LinkSys de Edit Remove OF Cancel Apply Beispiel fur ein Satz von Paketfilterkriterien Regeln fur eingehende Pakete vergewissern Sie sich dass sie dieser Reihenfolge Quelle Ziel ICMP Aktion Typen Zulassen entsprechen Protokoll U Jede beliebige Adresse Anschluss 53 Jede beliebige Adresse jeder beliebige Anschluss Jede beliebige Adresse Jede beliebige Adresse Hinweis Diese letzte Cleanup Regel greift in jedes Tool zur Jede beliebige Adresse Anschluss gt 1023 Jede beliebige Adresse Anschluss gt 1023 Jede beliebige Adresse Jede beliebige Adresse Installation und Konfiguration 121 Echo Antwort Eingerichtetes TCP erlauben Zugriff erlauben Verwerfen Paket berwachung des Netzwerks e n das auf diesem Host verwendet wird Protokollieren n Fenster 122 WinRoute Pro 4 1 Benutzerhandbuch Musterbeispiel fur einen Kriteriumssatz fur Paketfilter bei eingehenden HTTP und FIP Protokoll Quelle Ziel ICMP Aktion Protokollie Typen ren Jede beliebige Adresse jeder beliebige Anschluss Jede beliebige Adresse jeder beliebige Anschluss Jede beliebige Adresse jeder beliebige Anschluss dieser Host Anschluss 80 dieser Host Anschluss
28. Netzwerkkarte f hrt zum Internet Kabelmodem die andere NIC zum internen Netzwerk Weitere Informationen bez glich eines unidirektionalen Kabelmodems Modem in Betrieb Kabel au er Betrieb finden Sie in den entsprechenden Kapiteln ip 192 168 1 1 C mask 255 255 255 0 Pr gw mone dns A B C D i nicif Nic n f en ip address cy obtained via DHCP cr assigned manually NAT NIC Network Interface Card WinRoute Konfiguration 1 Rufen Sie das Men Einstellungen gt Schnittstellentabelle auf 2 W hlen Sie die Netzwerkkarte aus die zum Internet f hrt klicken Sie auf Eigenschaften und aktivieren Sie NAT ausf hren mit der IP Adresse der Schnittstelle f r die gesamte das Netz passierende Kommunikation Wenn Sie das Dialogfeld Schnittstellentabelle ffnen wird neben dieser externen Leitung NAT EIN angezeigt 3 berpr fen Sie dass f r NAT an der Schnittstelle zum internen Netzwerk NICHT EIN angezeigt ist Rufen Sie die Eigenschaften dieser Schnittstelle in der Schnittstellentabelle auf 4 berpr fen Sie dass KEIN Gateway in den TCP IP Eigenschaften der internen Netzwerkkarte eingerichtet ist rufen S e die Netzwerkeinstellungen auf und der Netzwerkkarte eine interne IP Adresse zugewiesen wurde 5 berpr fen Sie dass der zum Internet f hrenden Netzwerkkarte die Daten Ihres Internetdiensteanbieters zugewiesen wurden Bei dynamisch zugewiesenen IP Adressen geben S e keine IP Adressen Einstellu
29. Unternehmen com besitzen gehen alle E Mails f r Ihre Dom ne Sales Domain com john Dom ne com an Ihr Konto Unternehmen mail isp net bei Ihrem Diensteanbieters 1 ffnen Sie das Men Einstellungen gt Mail Server gt Fern POP3 f gen Sie ein neues Konto hinzu und geben Sie die Informationen ein 146 WinRoute Pro 4 1 Benutzerhandbuch 2 Im Feld Senden an w hlen Sie Kriterien ausw hlen Hail Server Settings x General Aliases Remote PUPS Scheduling Anti Spam Advanced Remote POPS Accounts Add Account Ea POPS Account POPS Username company Password 3 HHHEHKERRREERERER Ei POPS Server mai isp net POPS Authentication plaintest C APOP Deliver To 3 Aktivieren Sie die Schaltfl che Kriterien ausw hlen und f gen Sie ein neues Kriterium hinzu WinRoute wird die E Mail anhand der E Mail Adresse des Empf ngers Senders oder des Betreffs zustellen 4 W hlen Sie im selben Dialogfeld einen Benutzer oder eine Gruppe von Benutzern aus an die die E Mail gesendet werden soll POPS Sorting Rules x Sorting Rules Add john john Properties Remove IF Mail header To contains sales Deliver To kd IF no ru Close Installation und Konfiguration 147 E Mail empfangen Sie haben mehrere Mailboxes bei Ihrem ISP WinRoute ist in der Lage verschiedene Konten bei den verschiedenen Diensteanbietern zu berpr fen und automatisch di
30. Verbindung zum Internet herstellen berpr fen Sie folgende Punkte Das TCP IP Protokoll ist richtig installiert und konfiguriert siehe Checkliste oder Kapitel zu der Netzwerkeinstellung Das DF Netzwerk Windows 95 98 oder der RAS Dienst WindowsNT ist richtig installiert und konfiguriert Das Modem ist an den Host PC von WinRoute angeschlossen Installation und Konfiguration 101 Fiir die Internetverbindung verwendet WinRoute das DFU Netzwerk oder RAS Dienste die in Ihrem Betriebssystem zur Verf gung stehen FA Dial Up Networking Miel Ea Eile Edit View Go Address Dial Up Networking Links 4 Best of the Web IEM Global Hetwork 4 objectis Wir empfehlen Ihnen die Verbindung zwischen dem Internet und dem Computer auf dem WinRoute installiert werden soll herstellen BEVOR WinRoute installiert und ausgef hrt wird Auf diese Weise wird gew hrleistet dass die Verbindung richtig konfiguriert ist und das DFU Netzwerk oder der RAS Dienst richtig funktioniert WinRoute Konfiguration F hren Sie folgende Schritte aus nachdem Sie die gesamte oben aufgef hrte Konfiguration vorgenommen haben 1 Rufen Sie das Men Einstellungen gt Schnittstellentabelle auf Hier sollten alle in Ihrem Computer verf gbaren Schnittstellen angezeigt werden DF Schnittstellen werden in WinRoute Betriebssystemen sowohl in 95 98 und NT als RAS bezeichnet Wechseln S e zu den Eigenschaften der a
31. WinRoute Pro 4 1 Benutzerhandbuch Mehrfach NAT WinRoute ermoglicht eine einfache NAT Network Address Translation und auch kompliziertere Einstellungen Sie k nnen anhand der IP Quelladresse oder der IP Zieladresse des Paketes festlegen dass NAT mit einer anderen IP Adresse ausgef hrt wird d h dass Pakete so aussehen w rden als stammten s e von einer anderen IP Adresse oder dass NAT berhaupt nicht ausgef hrt wird Solche Einstellungen sind in anspruchsvolleren Netzwerken sehr wichtig bei denen bestimmte Computer eine andere IP Adresse aufweisen sollen als die Hauptadresse die vom Rest des Netzwerks genutzt wird S e Zweigniederlassungen mit dem WAN Wide Area Network mit privatem Adressplatz verbunden haben und s ch alle einen Internetzugang teilen sollen sich Mehrfachsegmente m Hintergrund von WinRoute befinden von denen ein oder mehrere Segmente DMZ s mit ffentlichen IP Adressen sind Sie innerhalb Ihres pr vaten Netzwerks ber ffentliche IP Adressen verf gen m chten Denken S e daran mit Ihrem Internetdiensteanbieter abzusprechen dass diese IP Adressen an Ihre IP Adresse geleitet werden WinRoute Beschreibung 23 Beispiele f r erweiterte NAT Einstellungen finden Sie im Kapitel ber zum erweiterten Inter Networking Advanced NAT x Advanced NAT Set RRR x Source Packet Description SOUE Any address Destination Network Mask IP Address i 932 168 1 0
32. das Men Einstellungen Proxy Server w hlen S e die Registerkarte Erweitert aus und geben Sie hier die IP Adresse und den Anschluss ein Proxy Server Settings General Cache Time to Live Access Advanced Proxy Settings Parent proxy parent isp com Fort a 20 Parent Proxy Benutzername und Kennwort M glicherweise wird der Benutzer vom Parent Proxy Server aufgefordert eine Autorisierung einzugeben um hnlich wie bei WinRoute auf bestimmte oder alle Internetseiten zugreifen zu k nnen Einzelheiten finden Sie im Kapitel Proxy Zugangskontrolle WinRoute Pro 4 1 schlie t eine solche Autorisierung ab Build 22 mit ein So richten Sie eine Autorisierung ein Halten Sie die WinRoute Engine an von den Windows Diensten aus oder mit dem Monitorprogramm der WinRoute Engine Starten Sie Windows Registry Editor regedit exe Suchen Sie den Schl ssel HKEY LOkKAL_MACHINE Software TinySoftware WinRoute Im rechten Feld finden Sie die Textfelder ParentProxyUser und ParentProxyPass und ndern Sie deren Inhalt in den entsprechenden Benutzernamen und das Kennwort WinRoute Beschreibung 59 Schlie en Sie den Registry Editor und starten Sie die WinRoute Engine Nach Abschluss dieses Vorgangs autorisiert sich der Proxy Server von WinRoute selbst als Parent Proxy Server ai Registry Editor Registry Edit View Favorites Help A TinySsoftware H NetMor ablfycsalnit REG SZ T ab TepM
33. den PC auf dem sie installiert ist bis auf die Hardware Ebene emulieren kann Fur das Netzwerk erscheint dieser virtuelle Computer als vollstandig separate Einheit Da der virtuelle Computer eigene Netzwerkeigenschaften aufweist betrachtet WinRoute diesen als zusatzlichen Computer 198 WinRoute Pro 4 1 Benutzerhandbuch in 2000 Yvorkstation running hey vare VMWare Vittual Machine 192 168 0 4 keal IF Address 192 168 0 3 peor Stanenr Ethernet Switch 192 168 0 2 Ethernet 2 192 168 0 1 Winkoute Server Ethernet 1 IF Address js DHCP Assigned Cable Modem Ott to Internet Firewall Konfiguration 199 KAPITEL 4 FIREWALL KONFIGURATION In diesem Kapitel Korrekte AnschlussZuordnun 00000ceeeessseeeeeseseeeeens 200 Kurznachrichten und Telefonie ssseeseeeseeeeeens 204 FH 323 N Meein leeres ee 205 IRC Internet Relay Chats cisco seus eateries 207 CITRIX Melamin 208 MS Terminal Servers 209 Internettelefonie BuddyPhone n 210 E U Y OU SCC Mesa e E 212 Fernzusriif PC Anywhere 213 SP C reelle 216 Zus tzliche Anschlusszuordnungen f r g ngige Spiele und Anwendungen 222 200 WinRoute Pro 4 1 Benutzerhandbuch Korrekte Anschlusszuordnung gt Build 19 oder hoher gt Wahlen Sie im Administrations Fenster Einstellungen gt Erweitert gt Sicherheitsoptionen aus G WinRoute Administration localhost
34. der WinRoute Engine eingegeben Sie sind nicht f r die Verwaltung von WinRoute berechtigt An der Schnittstelle zu Ihrem Netzwerk ist NAT aktiv siehe die Kapitel ber Checkliste und Netzwerkeinrichtung in dieser Hilfe Verwalten ber das Internet S e k nnen die WinRoute Pro Engine von jedem Computer der Welt aus verwalten solange S e vor Ort ber eine TCP IP Verbindung verf gen Administration ist sicher verschl sselt und durch den Benutzernamen und das Kennwort gesch tzt WR Admin Fe Ga 80 WinRoute Pro 4 1 Benutzerhandbuch Um WinRoute von auBerhalb des lokalen Netzwerks zu verwalten muss die Anschlusszuordnung auf dem Computer installiert sein Sie m ssen ber cksichtigen dass wenn NAT an der Schnittstelle zum Internet auf EIN gestellt ist dies ist notwendig f r den gemeinsamen Internetzugang Ihr gesamtes Netzwerk einschlie lich des WinRoute Computers vollst ndig gesch tzt ist und daher n emand Zugriff auf dieses hat Um die Anschlusszuordnung f r die Fernverwaltung einzurichten rufen Sie das Men Einstellungen gt Erweitert gt Anschlusszuordnung auf klicken Sie auf Hinzuf gen und stellen Sie Folgendes ein Protokoll TCP UDP berwachungs IP lt nicht spezifiziert gt empfohlen oder die IP Adresse der Schnittstelle berwachungsanschluss 44333 Ziel IP Die IP Adresse der Schnittstelle die den WinRoute Computer mit dem lokalen Netzwerk verbindet private IP Ad
35. der entsprechende Datensatz auf die Anfrage zutrifft wird diese mit den Details des Satzes in unserem Fall die private IP Adresse beantwortet a Resolved DNS query Internet DNS Server 2 3 forwarded a Ze 1 DNS query WinRoute DNS Fwd nn hasts file 2 b DNS Resolved N from HOSTS file Client PC 166 WinRoute Pro 4 1 Benutzerhandbuch Falls keine Datens tze vorhanden sind die der Anfrage in der HOSTS Date entsprechen wird diese noch mit den Datens tzen im Cache von WinRoute der in der DNS Weiterleitung enthalten ist verglichen Wenn der DNS Cache keinen bereinstimmenden Datensatz enth lt wird die Anfrage an den DNS Server weitergeleitet der in der DNS Weiterleitung in WinRoute darauf eingerichtet ist DNS Anfragen zu erhalten Alle DNS Anfragen die aus dem Internet kommen werden anhand der Einstellungen f r die Anschlusszuordnung direkt an den DNS Server weitergeleitet und den Datens tzen entsprechend aufgel st gt Hinweis In einem solchen Fall k nnen Sie den DNS Server nicht auf demselben Computer wie WinRoute ausf hren Dies ist der Fall weil beide Dienste DNS Forwarder Weiterleitung von WinRoute und Ihr DNS Server am gleichen Anschluss UDP 53 ausgef hrt w rden Dies w rde schwerwiegende Probleme verursachen DNS Ausf hren eines Webservers oder FTP usw und DNS Servers im selben privaten Netzwerk hinter WinRoute NAT M glicherweise m chten Sie den W
36. f hren und ber einen Router verbunden s nd nennt man berlappende Segmente Cascaded Segments Als Router zwischen den beiden Netzwerken kann jeder Hardware Router WindowsNT oder Windows 95 98 Computer mit WinRoute dienen WinRoute fungiert in jedem Fall als Router ob er NAT ausf hrt oder nicht 188 WinRoute Pro 4 1 Benutzerhandbuch Figure 1 Connecting cascaded segments to the an Internet mask 255 288 258 0 WinRoute pn Fr A ip 192 188 1 100 mask 255 255 255 0 gw 192 158 1 1 ip 206 656 151 25 mask 255 255 255 0 DNS 4 6 0 2 gw 206 096 151 37 MAT Network 2 ip 182 158 2 1 mask 255 255 255 0 Qian none SS SS eS gw 192 165 2 1 ip 182 168 2 2 4 mask 255 255 255 0 dns A B C D Im Allgemeinen ist es notwendig dem WinRoute Computer mitzuteilen wohin die eingehenden Pakete f r andere Netzwerke gesendet werden Dagegen muss es einen hnlichen Link auf dem Router der zwei Netzwerke teilt f r die ausgehenden Pakete geben der angibt wohin die ausgehenden Pakete aus dem zweiten Netzwerk gesendet werden Dazu k nnen neue Routen eingegeben werden eine am WinRoute Computer f r eingehende Pakete und eine am Router f r ausgehende Pakete ROUTE auf WinRoute Computern Mitglied von Netzwerk1 leitet IP Pakete f r das andere Netzwerk Netzwerk2 zu dem festgelegten Netzwerk1 der IP Adresse des Routers Dieser Rout
37. insbesondere unter Checkliste 94 WinRoute Pro 4 1 Benutzerhandbuch PPPoE DSL Verbindung PPPoE ist eine vor kurzem eingesetzte Technik f r viele DSL Abonnenten bzw Teilnehmer Wenngleich es derzeit von verschiedenen Internetdiensteanbietern umfassend eingesetzt wird bietet es den Benutzern unzureichende Leistung und ist derzeit nicht die bestm gliche L sung fur die Anbindung Ihres Netzwerks an das Internet Der Kunde sollte wenn m glich die Standard DSL L sung verwenden Im Hinblick auf die TCP IP Einstellungen ist der Einsatz von PPPoE mit WinRoute mit der Standard DSL vergleichbar WinRoute Pro sollte auf dem gleichen Computer installiert werden w e der PPPoE Adapter Das Programm erkennt den PPPoE Adapter als Netzwerkschnittstelle An dieser Schnittstelle sollten Sie NAT aktivieren Der Ethernet Adapter an das Kabelmodem angeschlossen erscheint n der Schnittstellentabelle von WinRoute Pro als Schnittstelle An dieser Schnittstelle sollten Sie NAT nicht aktivieren WinRoute Pro ist mit allen auf dem Markt erh ltlichen PPPoE Adaptern zusammen Manchmal k nnen Kunden jedoch bei bestimmten PPPoE Adaptern verschiedene Leistungseigenschaften feststellen Enternet 100 300 500 PPPoE Client WinRoute Pro 4 1 funktioniert mit dem Enternet PPPoE Client von NTS gut wenn Sie statt des Standard Filter Treibers den Protokoll Treiber aktivieren F hren Sie hierzu den Ethernet PPPoE Client aus rufen Sie das
38. k nnen Sie folgende Optionen festlegen regul re Zeitintervalle in denen die E Mails bei Ihrem Internetdiensteanbieters abgefragt werden POP3 oder SMTP unter Verwendung von ETRN Versandregeln f r E Mail Zeitintervalle in denen die Regeln G ltigkeit haben Sie k nnen diese Intervalle im Men Einstellungen gt erweitert gt Zeitintervalle vorab festlegen Installation und Konfiguration 139 Sie k nnen angeben ob Sie ausgehende E Mail sofort versenden m chten nachdem diese auf dem Mail Server angekommen sind oder innerhalb eines bestimmten Zeitraums Sie k nnen auch festlegen ob der E Mail Server bei vorhandener neuen ausgehenden E Mails hinausw hlen soll oder nicht Wenn S e diese Option w hlen stellt der Mail Server von WinRoute jedesmal wenn einer der Benutzer eine neue E Mail versendet eine Verbindung her Hail Server Settings x General Aliases Remote POPS Scheduling Anti Spam Advanced Send and Recive Mail Start mail exchange when mail server has received new outgoing mail mi If fernab sormerie unra arhahla ves AAC be dial am Inkarnat mraouidar oo Add Rule x tf Schedule Action Send and Recieve Mail Une Evey C at 00 00 M Execute only when mail server s outgoing message queue is not empty Settings Rremote server is unreachable use RAS to dialan Intemet provider Walid at Always valid Sun W Mon Tue Wed Thu W Fi W Sat C Walid
39. nicht spezifiziert Quellanschluss 65301 Ziel IP IP Adresse des Computer der die Anwendung ausfuhrt Zielanschluss 65301 226 WinRoute Pro 4 1 Benutzerhandbuch Protokoll UDP Quell IP nicht spezifiziert Quellanschluss 22 Ziel IP IP Adresse des Computer der die Anwendung ausfuhrt Zielanschluss 22 Quicktime 2 Anschlusszuordnungen erforderlich Protokoll TCP Quell IP nicht spezifiziert Quellanschluss 554 Ziel IP IP Adresse des Computer der die Anwendung ausfuhrt Zielanschluss 554 Protokoll UDP Quell IP nicht spezifiziert Quellanschluss Bandbreite 6970 6999 Ziel IP IP Adresse des Computer der die Anwendung ausfuhrt Zielanschluss Bandbreite 6970 6999 RTSP Firewall Konfiguration 227 Protokoll UDP Quell IP nicht spezifiziert Quellanschluss Bandbreite 6970 7170 Ziel IP IP Adresse des Computer der die Anwendung ausfuhrt Zielanschluss Bandbreite 6970 7170 VNC Protokoll TCP Quell IP nicht spezifiziert Quellanschluss 59xx abhangig von der Display Nummer Ziel IP IP Adresse des Computer der die Anwendung ausfuhrt Zielanschluss 59xx Protokoll TCP Quell IP nicht spezifiziert Quellanschluss 58xx Ziel IP IP Adresse des Computer der die Anwendung ausfuhrt Zielanschluss 58xx 228 WinRoute Pro 4 1 Benutzerhandbuch GLOSSAR DER TERMINOLOGIE A Anschluss Ein Anschluss ist eine 16 Bit Nummer mit einer zulassigen Bandbreite von 1 bis 65535 die vo
40. nnen Sie diese Option verwenden um nur die Verzeichniseintr ge zwischenzuspeichern Wenn Sie auch die Dateien die vom FTP Server heruntergeladen wurden speichern m chten deaktivieren Sie diese Option Die Entscheidung ob eine bestimmte Datei zwischengespeichert wird h ngt auch von der Gr e ab siehe Max Objektgr e unten 54 WinRoute Pro 4 1 Benutzerhandbuch Server mit Time to Live verwenden Time to Live ist der Zeitraum nach dem eine bestimmte Webseite als veraltet angesehen wird und hr Inhalt vom Server erneut aufgerufen werden muss Diese Option instruiert den WinRoute Proxy Server die Time To Live TTL einzuhalten die mit den einzelnen Seiten einhergeht Falls eine Seite nicht ber eine TTL verf gt wird die Standard TTL des Proxys verwendet Server Anweisung zur Cache Steuerung ignorieren Falls die Inhalte einer Webseite sich sehr oft ndern wird der Autor sich dazu entschlie en die Anweisung kein Cache f r diese Seite setzen Dies ist eigentlich eine sehr n tzliche Funktion Allerdings verwenden manche Internetseiten diese Anweisung viel zu oft manchmal f r alle Seiten und eliminieren damit den Zweck des Proxy Servers Wenn Sie sich dagegen sch tzen m ssen aktivieren Sie diese Option Maximale Objektgr e Die maximale Gr e des zu speichernden Objekts im Cache Gr ere Objekte werden an den Browser des Benutzers weitergeleitet aber nicht in den Cache aufgen
41. optional internen Schnittstelle von WinRoute als Standard Gateway f r die anderen Computer innerhalb des Netzwerks Mit anderen Worten hei t das mit WinRoute k nnen Sie bestimmte Dienste vom Internet aus zug nglich machen OHNE die Netzwerkkonfiguration ndern zu m ssen Hinweis Wenn S e NAT an beiden Schnittstellen einrichten k nnen Sie WinRoute NICHT f r den gemeinsamen Internetzugang verwenden Die Einstellungen f r den Standard Gateway in diesem Beispiel verleihen Ihnen viel Freiraum Alle vorhandenen Umgebungen k nnen Sie unver ndert lassen Um alle bereits n Ihrem Netzwerk eingerichteten Router und Routen funktionsf hig zu halten k nnen Sie durch Hinzuf gen neuer Computer die WinRoute ausf hren externen Benutzern Zugang zu den Servern Ihres lokalen Netzwerks gew hren Dies ist deal wenn Sie beispielsweise ber ein bestehendes WAN Wide Area Network verf gen und einem externen Benutzer Zugang zu Ihrer AS400 Telnet Server oder Ihrem internen Netzwerk mittels PPTP gew hren m chten F hren S e dazu folgende Schritte aus 1 Schlie en Sie einen Computer mit zwei Schnittstellen an Ihr Netzwerk an Eine externe Schnittstelle stellt die Verbindung zum Internet her eine andere interne Schnittstelle die Verbindung zum vorhandenen Netzwerk WinRoute Beschreibung 17 2 Weisen Sie der externen Schnittstelle eine IP Adresse zu mit der auf die Dienste Server zugegr
42. reicht aus den richtigen Namen einzugeben z B www yahoo com und der DNS wird die tats chliche IP Adresse finden DNS Weiterleitung in WinRoute WinRoute ist mit einem DNS Modul ausgestattet das in der Lage ist DNS Anfragen an einen ausgewahlten DNS Server 1m Internet weiterzuleiten Das DNS Modul speichert die Ergebnisse der Anfragen im internen Cache wo sie f r eine gewisse Zeit aufbewahrt bleiben Nachfolgende wiederholte Anfragen werden dann unter Verwendung der im Cache gespeicherten Daten beantwortet ohne dass darauf gewartet werden muss dass die Antwort aus dem Internet eingeht WinRoute ist in der Lage DNS Anfragen entsprechend der vom Benutzer definierten HOSTS Datei zu beantworten Nachdem eine DNS Anfrage eingeht sieht WinRoute zun chst in der HOSTS Date nach bevor die DNS Anfrage in das Internet weitergeleitet wird Wird der entsprechende Eintrag gefunden wird die Anfrage gem hres Wertes beantwortet wenn nicht wird sie an den DNS Server des Internets weitergeleitet WinRoute Beschreibung 45 PROXY Server In diesem Abschnitt Proxy m berblicke asus 45 Schpelinsllatioi rsson a 46 Benutzer Zugriffs berwachung 00eennns 48 Erweiterte Eigenschaften sus ee 50 Informationen zum Cache Speicher 000000000000000000000000 51 Cache BINS CCUM NOS issnin TE 52 TINGO AVG Sissies nacseeteniaaden natn sale oid aactocsta easton aetaeteiaias 55 So veranlassen Sie die
43. und kann nicht ver ndert werden da diese jede Hardware Komponente eines Netzwerks spezifiziert MX Records MX Records beinhalten Daten bez glich anderer MAIL Server m Internet Durch die Verwendung von MX Records k nnen S e Ihren Internetdiensteanbieter umgehen und E Mails direkt an den gew nschten Mail Server senden Dies ist von Vorteil wenn der MAIL Server Ihres Diensteanbieters nicht zuverl ssig st Auf der anderen Seite der direkte Versand an den Zielort ein Einfluss auf die Dauer dieses E Mail Versands haben F r den Fall dass der Ziel Mail Server nicht erreichbar ist verbleibt die E Mail in der Warteschlange der ausgehenden E Mails als nicht gesendet auf Ihrem Mail Server von WinRoute N NAT Mit NAT Network Address Translation k nnen Sie das Netzwerk ber eine einzige IP Adresse mit dem Internet verbinden Die Computer innerhalb des Netzwerks nutzen das Internet so als wenn sie direkt mit dem Internet verbunden w ren mit gewissen Einschr nkungen Die Verbindung eines gesamten Netzwerks das eine einzige registrierte IP Adresse verwendet wurde m glich da das NAT Modul die Quelladresse der von den lokalen Computer versandten Pakete mit der Adresse des Computers auf dem WinRoute ausgef hrt wird ersetzt NAT unterscheidet s ch deutlich von verschiedenen Proxy Servern und Gateways auf Anwendungsebene die niemals so viele Protokolle wie NAT unterst tzen k nnen Glo
44. von WinRoute zu verstehen Die unten aufgef hrten Erl uterungen und Beispiele zeigen dass WinRoute eine ausgezeichnete L sung f r nahezu jede Netzwerkkonfiguration darstellt 1 Vollst ndige Sicherheit WinRoute arbeitet unterhalb des TCP Stack auf der IPSEC Ebene Mit anderen Worten es f ngt ausgehende und eingehende Pakete ab BEVOR sie auf Ihren Computer gelangen k nnen 14 WinRoute Pro 4 1 Benutzerhandbuch Durch dieses fortschrittliche Konzept ist die Sicherheit von WinRoute beinahe unantastbar WinRoute Proxy Mail DMS DHCP server WIndows socketa TEFAF protocol Winkioute inpection module Canti spooting packet fitter NAT network adapter 3 driver network adapter modem ISDN 2 WAN subsystem Vollstandige Protokollunterstutzung WinRoute ist ein Software ROUTER Als solcher kann es im Gegensatz zu Proxy Servern wie WinGate oder WinProxy beinahe jedes Internet Protokoll passieren lassen Gleichzeitig berpr ft WinRoute jedes Paket anhand der n der Software integrierten erweiterten Sicherheits und Firewall Funktionen Bei Systemen auf denen Windows 95 und 98 ausgef hrt wird organisiert WinRoute die Weiterleitung der Pakete Bei Systemen mit Windows NT f hrt das NT Betriebssystem die Weiterleitung aus und WinRoute verwaltet den NAT Dienst sowie andere Daten Vollst ndige Flexibilit t WinRoute f hrt NAT Network Address Translation an den Schnittstellen Ihrer Wahl d
45. wir Ihnen vorerst die IP Adresse anstelle des Computernamens einzugeben Manchmal liegt das Problem n der DNS Aufl sung Ihres lokalen Netzwerks Es kann der Anschein erweckt werden als w rden S e den WinRoute DNS Server n cht verwenden Beispiel Der WinRoute Mail Server wird auf einem Computer ausgef hrt der ber eine automatisch zugewiesene ffentliche IP Adresse verf gt oder ber eine private IP Adresse mit 192 168 1 1 Der Name des Computers ist Hamilton siehe Systemsteuerung zur Netzwerkkontrolle Sie k nnen entweder HAMILTON oder 192 168 1 1 in die Felder des Mail Servers f r eingehende POP3 oder ausgehende SMTP Mails n Ihrer E Mail Software eingeben 150 WinRoute Pro 4 1 Benutzerhandbuch So umgehen Sie den Mail Server von WinRoute Es kann sein dass Sie den Mail Server von WinRoute umgehen mochten und E Mail direkt mit einen E Mail Client ber den Mail Server Ihres Diensteanbieters empfangen oder senden wollen In diesem Fall geben Sie bitte den richtigen Namen des Mail Servers Ihres Diensteanbieters in den Einstellungen f r ausgehende und eingehende E Mails ein 63 195 58 12 Properties E 63 195 55 12 63 195 55 12 Installation und Konfiguration 151 gt Hinweis Konfigurieren Sie Ihre E Mail Client Software so dass der Proxy NICHT verwendet wird Sie mussen die NAT von WinRoute fur den Internetzugang verwenden und Ihre Client Software so einrichten dass eine direkte V
46. wird berall dort verwendet wo ein SMTP Server nicht 24 Stunden online st und die E Mails f r solche Server in einem Zwischenspeicher eines anderen SMTP Servers gespeichert werden m ssen F Firewall Firewall ist ein Filtermodul das sich an einem Gateway Computer befindet der den gesamten eingehenden und ausgehenden Datenverkehr tiberwacht um festzustellen ob dieser an seinen Bestimmungsort geleitet werden darf WinRoute bietet eine erweiterte Firewall Funktionen durch NAT Dienste die Zuweisung von Richtlinien f r festgelegte IP Adressen und die F higkeit den Versand bestimmter Daten zu protokollieren so dass s e auf dem R ckweg wieder autorisiert werden konnen Flags Flags Merker sind der Teil des Paketes der zusatzliche Daten enthalt die von Routern verwendet werden Nachstehend sind die von WinRoute angezeigten Flags aufgelistet SYNC Synchronize Synchronisieren das eine TCP Verbindung herstellende Paket ACK Acknowledge Bestatigen Bestatigung des Datenaustauschs RST Reset Zur cksetzen Anfrage zur Wiederherstellung der Verbindung URG Urgent Dringend dringendes Paket PSH Push Anfrage zur sofortigen Weiterleitung des Pakets an n h here Ebenen FIN Finalize Abschlie en Verbindungsaufbau abschlie en FTP File Transfer Protocol ist ein Anwendungsprotokoll mit dem Daten ber das Internet bertragen aktualisiert
47. 126 MX Records 238 N NAT 239 NAT an beiden Schnittstellen einstellen 15 NAT Sicherheitsoptionen 117 NAT Router 10 NAT Sicherheit 116 Netzwerkmaske 239 Netzwerkschnittstelle 239 Novell Border Manager VPN 162 P Paket 240 Paketfilter Einstellungen 121 Paketfilterung im berblick 25 Paketfilterungs Firewall 25 PC Anywhere 218 PC Anywhere Gateway 219 POP3 240 Postf cher in WinRoute 241 PPPoE DSL Verbindung 98 PPTP 241 Protokoll 241 Protokolle 31 Protokolle und Paketanalyse 32 Proxy 241 Proxy im berblick 46 PROXY Server 45 Q Quake 225 R RAS 241 Regeln 28 Routing Tabelle 242 S Schnellinstallation 46 Schnittstellentabelle 24 Server f r Fernzugriff DFU Internetzugang 191 Sicherheitseinstellungen 115 Sie besitzen eine dem POP3 Konto zugewiesene Dom ne 149 Sie besitzen eine Dom ne SMTP 145 SMTP 242 So funktioniert NAT 12 So umgehen S e den Mail Server von WinRoute 154 So veranlassen Sie die Benutzer dazu den Proxy Server zu verwenden 49 58 131 So veranlassen Sie die Benutzer Proxy anstelle von NAT zu verwenden 58 So verwenden S e den Parent Proxy Server 59 Softwareeinstellungen f r den E Mail Client 152 Software Konflikte 76 Spezielle Netzwerke 182 Spiele 221 Standard Gateway im berblick 86 StarCraft 226 Systemvoraussetzun
48. 200 192 168 1 3 roman LOMow 1999 1022 22 0800 GET http dir altavista com Business Tndustries 21639 shtnd ATTPS1 0 192 168 1 3 roman LOM 0w1999 102223 Ds00 GET tip Wad doublechck netfadi categories av com e 4080 e 70 e 192 168 1 3 roman 1Y N ov 1 99910 2225 0800 GET httpVad doubleclick netadi cattle av com e 40801 e T0 e 3 e 192 168 1 3 roman LOM 0w 1999 102223 Da00 GET http Mad doublechck netfadi cattle av com e7400 e570 e53 e5 192 168 1 3 roman 1Y N ov 1999 10 22 25 0800 GET http view avenuea com view altavista _ gateway nov 10259 aa_ 192 168 1 3 roman LOM ov 1 999 10 22 24 0200 GET http aleo6 2 akamaitech netin S96 701 000121634 28 210 Bann 192 168 1 3 roman LOM 0w1999 102225 Ds00 GET https im doubleclick netviewadS34229 ylkabaaaa gif HTTP OM WinRoute Beschreibung 39 Mail Protokoll Das Mail Protokoll f hrt alle Vorg nge des in WinRoute integrierten Mail Servers auf Sie konnen sehen wie viele Nachrichten gesendet wurden wie viele empfangen und an wen die Nachrichten gesendet wurden Alle Vorgange werden mit emer Zeitangabe versehen Mail Log OW x 0H ow 1P99 10 17 01 SMTP Server message 1624 bytes received from erhiitinysoftware com gt to ivesfl a 10 N ow 1P99 10 17 15 SMTP Send 1 outgoing message 1624 bytes sent through server mail pacbell net 10 M ow 1999 10 18 11 POPS download 1 message 21367 bytes downloaded from server Pw winro
49. 4 1 Benutzerhandbuch Verbinden offentlicher und privater Segmente DMZ Ein privates Segment besteht aus Computern die private Internetadressen verwenden Solche Adressen sind privaten Netzwerken vorbehalten und konnen nicht im Internet verwendet werden Daher wandelt WinRoute diese privaten Adressen n ffentliche Adressen um so dass Sie eine Verbindung zum Internet herstellen k nnen Auf Computern mit einer pr vaten Adresse kann von au en vom Internet n cht direkt zugegriffen werden Ein ffentliches Segment besteht aus Computern von denen jeder ber eine ffentliche IP Adresse verf gt Auf diese Systeme kann direkt vom Internet aus zugegriffen werden sofern die Sicherheitsregeln es zulassen Jedes Segment muss im WinRoute Computer eine eigene Netzwerkschnittstelle besitzen Dann erm glicht es die WinRoute Engine Ihren privaten und ffentlichen Segmenten gemeinsam eine Internetverbindung zu nutzen IP 206 86 24 13 _ gt 2068 86 1841 57 ae NAT es Fa Advanced MAT az Internet If Source 206 95 424 0 then DO NOT NAT O S IF 192 165 1 1 WinRoute ee IF 206 36 151 25 gt none MAT no pe C _ CI er em er 2 Private Segment F255 IF 192 168 1 2 4 EEE DMZ tw 192 188 1 1 Segment C 6 181 26 28 55181 25 Einsatzbeispiele 181 WinRoute Einstellungen Es ist notwendig erweiterte NAT Einstellungen durchzuf hren so dass _ WinRoute kein NAT f
50. 55 255 255 0 a gw 192 165 1 1 dns A B C D 7 F ELIOXA ip 194 29 201 197 7 mask 255 255 255 0 gu 194 25 201 1 MAT So verwenden Sie die DirecPC Wahlhilfe Rufen Sie das Men Einstellungen gt Schnittstellentabelle auf Es werden die Schnittstelle der RAS Leitung Ihr Modem und die Netzwerkkarte von DirecPC angezeigt Klicken Sie auf die Netzwerkkarte von DirecPC und w hlen Sie Eigenschaften Es werden zwei Registerkarten angezeigt NAT und DirecPC Aktivieren S e das Kontrollk stchen NAT mit dieser IP Adresse der Schnittstelle f r den gesamten passierenden Datenverkehr ausf hren auf der Registerkarte NAT 108 WinRoute Pro 4 1 Benutzerhandbuch Wahlen Sie auf der Registerkarte DirecPC die Option DirecPC W hlhilfe f r Aufw rtsverbindung verwenden Interface Properties Installation und Konfiguration 109 3 Verwenden der Ethernet Schnittstelle fur die Aufwartsverbindung Unter Umstanden mochten Sie die Ethernet Schnittstelle fur die Aufwartsverbindung verwenden Dies ist in der Regel der Fall wenn die Aufwartsverbindung ber eine ISDN Leitung und Sie ber einen ISDN Router oder ein Modem verf gen oder ber eine V SAT Verbindung Sch ssel mit Ethernet Adapter erfolgt ip 192 169 1 1 mask 255 255 255 0 gwu none dns 4 8 0 0 ip 192 168 1 2 4 mask 255 255 255 0 194 196 1733 256 255 255 0 8 i NE2000 guy 192 165 1 1 dns 4 6 0 0 F
51. 6 WinRoute Pro 4 1 Benutzerhandbuch Spiele In diesem Abschnitt Informationen zur Ausf hrung von Spielen hinter NAT 217 Aasheron sC all eanan r en 218 Battle net Bizarre 218 Hal Bienen ae 219 MSN Gamino Zonen rate se 219 OUa eane 220 Firewall Konfiguration 217 Informationen zur Ausfuhrung von Spielen hinter NAT Spiele Heute unterstutzen viele Spiele eine Mehrbenutzerumgebungen Die Benutzer k nnen sich ber das Internet oder das LAN bek mpfen oder gemeinsam einen der Spiele Server m Internet nutzen Au derdem haben sie die M glichkeit einen eigenen Spiele Server auf Ihrem Host einzurichten und k nnen somit Freunde der Familie oder v llig fremde Personen an den Spieleabenteuern teilhaben lassen Es gibt viele Spiele die keine zus tzlichen Einstellungen in WinRoute erfordern Bevor Sie versuchen WinRoute fur ein bestimmtes Spiel zu konfigurieren verwenden Sie zunachst die Demoversion dieses Spiels Im Gegensatz zu Proxy Servern unterstutzt die allgemeine Architektur von WinRoute viele Spiele ohne dass zusatzliche Konfigurationseinstellungen erforderlich sind Einige Spiele erfordern f r deren Ausf hrung jedoch die Konfiguration eines speziellen Anschlusses in WinRoute Die Anschl sse dienen im Allgemeinen der weiteren Identifizierung des Spielers auf dem Spiele Server Falls das Spiel mit einem bestimmten Anschluss verbunden ist stellt dies f r WinRoute absolut kein Problem dar Konfi
52. 7 11 l4fmepf2000 10 37 11 NAT prota TCP lerc d iptportds 199 Loy aa 444 gt 63 199 137 4825 fl NAT Attempt to establish TCP connection through NAT in The follows l4isep 2000 10 37 14 NAT Attempt to establish TCP connection through NAT inj The follow l4fsep 2000 10 47 14 NAT proto TCP lend iptport 63 199 157 35 424 gt 63 199 157 5825 fl l4isep 2000 10 37 32 NAT Attempt to establish TCP connection through NAT in The follow 14 Sep 2000 10 57 32 MAT proto TCP lend iptport 63 199 157 354424 gt 63 199 157 38 25 fl i4sep 2000 10 37 20 MAT Attempt to establish TCP connection through MAT inj The follow Ihe 2000 10 37 20 NAT proto TOF len 0 iptqort 63 199 157 335 4424 gt 63 199 157 38 25 fl This tells us the IF address of the computer sending the packet This tells us the Fort that the application is trying to use In diesem Fall sendet ein Computer mit der Adresse 63 199 157 35 ein Paket von Anschluss 4424 zu einem Computer mit der Adresse 63 199 157 38 zu Anschluss 23 Anschluss 23 ist der Standardanschluss f r Telnet Wenn Sie einen Telnet Server besitzen der mit einer privaten Adresse 192 168 1 3 ausgef hrt wird erfolgt die Protokollierung an Anschluss 23 Daher w rden Sie TCP Pakete an Anschluss 23 der Adresse 192 168 1 3 zuordnen 204 WinRoute Pro 4 1 Benutzerhandbuch Kurznachrichten und Telefonie Derzeit gibt es einige Sofortbenachrichtigungsd
53. AT das Kontrollk stchen NAT mit dieser Schnittstelle f r den gesamten passierenden Datenverkehr ausf hren Wahlen Sie auf der Registerkarte DirecPC ineO f r die Aufw rtsverbindung Geben Sie die Gateway IP Adresse ein die Sie von DirecPC erhalten haben MAT DiresPC Setting Send outgoing packets through DirecPC dial up Through interface fine DiracPC Gateway 134 25 200 133 Sum Installation und Konfiguration 107 3 Klicken Sie auf die RAS Schnittstelle und anschlie end auf Eigenschaften Aktivieren Sie NAT mit der IP Adresse dieser Schnittstelle f r den gesamten pass erenden Datenverkehr ausf hren W hlen Sie auf der Registerkarte RAS die Verbindung zu Ihrem Internetdiensteanbieters aus Geben S e anschlie end Ihren Benutzernamen und das Kennwort ein gt Hinweis Deaktivieren Sie das Kontrollk stchen Standard Gateway am Fernnetz verwenden in den Eigenschaften des DF Netzwerkkontos das erstellt wird um die Verbindung mit dem Internetdiensteanbieters herzustellen Richten Sie diese Option in den TCP IP Eigenschaften Ihrer DF Schnittstelle ein 2 Verwenden der DirecPC Wahlhilfe f r den Verbindungsaufbau S e k nnen falls verf gbar d e n DirecPC integrierte Wahlhilfe verwenden Wir empfehlen jedoch wenn m glich die WinRoute RAS Leitung zu verwenden ip 182 168 1 1 l mask 255 255 255 0 po gu none dns 4 8 0 0 ip 192 168 1 2 4 mask 2
54. Action View Settings Window Help Interface T able ts m le ees Advanced Packet Filter Ant Spooting Pros Server i Port Mapping Mail Server NAT DHCP Server ONS Forwarder Address Groups Time Intervals Accounts Interface Maintenance Remote Administration Security Options Misc Options Debug Info Firewall Konfiguration 201 Securty Options 202 WinRoute Pro 4 1 Benutzerhandbuch Am unteren Rand des Fensters ftir die Sicherheitsoptionen befinden sich einige Protokolloptionen Aktivieren Sie die Protokollierung der TCP und UDP Pakete die der NAT Tabelle nicht bekannt sind in das Sicherheitsfenster WinRoute wirft diese Pakete ab sofern keine Anschlusszuordnungen eingerichtet wurden Da diese Protokollierungsbedingung eingeschrankt ist wird nur eine ausgewahlte Anzahl von Paketen angezeigt um Ihnen die Suche nach der gew nschten Paketbeschreibung zu erleichtern ffnen Sie als n chstes das Sicherheitsprotokoll ber das Men Ansicht gt Protokolle Git WinRoute Administration localhost Action View Settings Window Help Toolbars w Status Bar Bags Debug Log Error Log Http Log Mail Log Securty Lag Dial Log Logs History Firewall Konfiguration 203 aa WinRoute Administration localhost Security Log Action View Settings Window Help 22 bh 32 398 a eges amp s l4fmepf2000 10 3
55. Anbieters verwenden achten Sie insbesondere auf die von einem diesem Server an die Client Computer innerhalb Ihres Netzwerks ausgegebenen Werte Vergewissern Sie sich nochmals dass Ihr DHCP Server die richtigen Daten an Ihre Client Computer weitergibt Der DHCP Server muss so eingestellt sein dass er anderen Computern die IP Adresse der LAN Karte des WinRoute Computers als Standard Gateway und optional als DNS Server zuweist Auch die IP Adresse die an die Client Workstation ausgegeben wird muss aus dem gleichen Teilnetz stammen wie der WinRoute Computer VERGEWISSERN SIE SICH NOCHMALS dass der internen Netzwerkkarte des WinRoute Computers eine feste IP Adresse z B 192 168 1 1 zugewiesen ist und dass diese Adresse vom DHCP als Standard Gateway an den Rest des Netzwerks weitergegeben wird Der DHCP Server darf dem WinRoute Host keine IP Adresse zuweisen Beispiel Der NT Server mit DHCP wird an 192 168 1 1 ausgef hrt wohingegen WinRoute an 192 168 1 5 ausgef hrt wird Die Daten des Standard Gateway und DNS bei Verwendung von WinRoute DNS die an die Workstations ausgegeben werden lauten 192 168 1 5 Installation und Konfiguration 89 IP Konfiguration manuelle Zuweisung In einigen F llen muss man den Workstations IP Adressen manuell zuweisen Hierbei sollten S e folgende Regeln beachten IP Adresse zuweisen Weisen Sie jedem Computer eine interne IP Adresse zu Normalerweise 192 168 x x oder 10 x x x
56. Benutzer Proxy anstelle von NAT zu verwenden 57 So verwenden Sie den Parent Proxy Server 58 Proxy im berblick Der haupts chliche Zweck eines Proxy Servers ist es die Bandbreite ihrer Internet Verbindung durch Speicherung der passierenden Daten zu erh hen Falls die Benutzer auf das Internet ber einen Proxy Server zugreifen kann der Proxy Server die verschiedenen nachgefragten Objekte teilweise aus einem Cache beantworten wie HTML Seiten Bilder und andere Arten von Dateien Dies verringert die Datenlast f r die Internetverbindung und erh ht damit die Bandbreite f r andere Benutzer Zudem n mmt der gesamte Vorgang weniger Zeit in Anspruch als n tig w re um die Bilder nochmals vom Internet herunterzuladen Auf der anderen Seite verlieren die in einem Cache gespeicherten Objekte eines Proxy Servers an Aktualit t Sie m ssen die TTL Time To Live Paketlebensdauer der gespeicherten Dokumente vergleichen um Missverst ndnisse zu vermeiden die daraus entstehen dass Sie beispielsweise gerade die CNN Nachrichten vom Vortag gelesen haben 46 WinRoute Pro 4 1 Benutzerhandbuch Schnellinstallation Mit WinRoute ist f r den Internetzugang kein Proxy Server erforderlich Ihre Internetverbindung wird ber einen in WinRoute integrierten NAT Router bereitgestellt NAT ist weitaus besser f r den gemeinsamen Internetzugriff geeignet als die Proxy Server Technik Dennoch umfasst WinR
57. Benutzerhandbuch WinRoute Pro 4 1 Tiny Software Inc Inhalt Einleitung WinRoute Beschreibung WinRoute Zusammenfassung cccccccccceeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeees Umfangreiche Protokollunterst tzung NAT Router sinne Einf hruns m NAT eis So funktionen NAT eine Aufbau you WinRoule sa ake dated NAT an beiden Schnittstellen einstellen Anschlusszuordnung Paketweiterleitung Anschlusszuordnung f r Systeme mit mehreren IP Adressen Mehrlach NAT isses VPN Unterst tzune is 2er Schniltstellentabelle a il Paketnilterungs Pirewall neessssiikei eek Paketfilterung im berblick AU Daunen seen ee ADI S DOOM NE En leunc ate tot weal lagna Protokolle und Paketanalyse Informationen zu den Protokollen und der Analyse Fehlerbehebungsprotokoll n nsesetkeeinnnaiisens HITP APrio Prolok llas ars ssekeleeeis Mail Protokell seele PCRICE DI OLOICOM enge nee NEVE Me i nee ae ne ee DHCP im berblick ccssasasassssssseenennennen DIN SHE OF Wan Te E DNS Weiterleitung 0 sessceesessnecensenncnnsnnnnenennennceens PROXY SS CLV Gl ee E ee Proxy im berblick ss leere Contents Kapitel 1 Contents Schnelli stallation es nen 46 PROV DEIVER AKVE 2 ee ee aa 47 Benutzer Zugriffs berwachung nnnen
58. E Mail Client Software SMTP ist ein Einweg Protokoll d h der Mail Server kann E Mails versenden oder empfangen Es ist jedoch nicht m glich E Mails bei einem anderen Mail Server der dieses Protokoll verwendet abzuholen SMTP Protokoll ist ein TCP Protokoll das an Anschluss 25 ausgef hrt wird Wenn Sie auf dieses Protokoll mit dem Mail Server der hinter oder am WinRoute Computer ausgef hrt wird zugreifen m chten um anderen Mail Servern das Recht einzur umen Ihnen E Mails zu senden oder um diesen Mail Server f r den Versand Ihrer E Mails einzusetzen wenn Sie s ch in Ihrem LAN befinden m ssen Sie die Anschlusszuordnung f r das TCP Protokoll durchf hren Anschluss 25 sendet die E Mails an die private IP Adresse des PCs auf dem der Mail Server ausgef hrt wird POP3 Protokoll wird meistens von E Mail Client Software verwendet um die E Mail von den Postf chern der mit POP3 kompatiblen Mail Servern abzuholen Auch der Mail Server von WinRoute verf gt ber eine solche Funktion Das bedeutet er kann die E Mail automatisch bei jedem mit POP3 kompatiblen Mail Server abholen und diese weiter an die Postf cher lokaler Empf nger verteilen POP3 Protokoll ist ein TCP Protokoll das an Anschluss 110 ausgef hrt wird Wenn Sie auf diesen Protokoll Mail Server zugreifen m chten der hinter oder auf dem WinRoute Computer ausgef hrt wird um Ihre E Mail AUS dem Internet abzuholen m ssen Sie die Anschlusszuordn
59. Ea Time Intervals eft DODO 23 00 Sun Sat eee system check ef DEDO 00 20 always ef 10 00 10 20 Mon wed eee rush hours fi 08 00 11 00 Mon Tue wed Thu Fri wef 14 00 18 00 Mon Tue wed Thu Add Edt Remove OF Cancel Apply 68 WinRoute Pro 4 1 Benutzerhandbuch gt Beispiel Sie k nnen eine Zeitzone erstellen die Feiertage und Abende genannt wird und die Folgendes beinhaltet Samstag Sonntag Montag von 16 00 Uhr bis 18 00 Dienstag von 17 00 bis 19 00 F hren Sie folgende Schritte aus um die Zeitzone festzulegen 1 Gehen Sie in das Men Einstellungen gt Erweitert gt Zeitintervalle 2 Geben Sie der Zeitzone einen Namen 3 F gen Sie das neue Zeitintervall hinzu Installation und Konfiguration 69 KAPITEL 2 INSTALLATION UND KONFIGURATION In diesem Kapitel SYStEMVOTAussetzungen eeeeeenennnnnssseeeeeennnnnnnennennnnnnnnenn 70 Checkliste essen een ne 71 DOL aes KONTIH KE us areas 74 Verwalten mit WINROUTE anna 77 Einrichten des Netzwerks DHCP 83 Einrichten des DNS Forwarder c00c0seseesseeeeeeeeees 90 Herstellen der Internetverbindung 92 Bicherheitseinstellunsen aausa tects iaemne cess tate 111 Einrichten des MAIL Server ccccesceecescescescesceees 130 70 WinRoute Pro 4 1 Benutzerhandbuch Systemvoraussetzungen Um WinRoute Pro 4 1 auszuf hren ben tigen Sie Folgen
60. GHCP server TEFAF protocol Winkoute inpection module tranti paofing packet titer MAT PERMON adapter WAN subsystem driver network adapter modem ISDN Installation und Konfiguration 113 NAT Sicherheitsoptionen In den erweiterten Einstellungen von WinRoute Build 20 und hoher befindet sich ein Menti mit NAT Sicherheitsoptionen das einen Automatikmodus beinhaltet Automatikmodus bedeutet dass WinRoute fiir bestimmte Arten von Anfragen Pakete abwerfen kann so dass Ihr Netzwerk nach au en unsichtbar erscheint Eingehende ICMP Echo Anfragen Internet Control Message Protocol ICMP ist das Protokoll mit dem man einfach eine Informationsanfrage senden kann pinging Beispiel ping 206 86 211 32 Wenn ein Computer versucht den WinRoute Host zu pingen bieten die NAT Sicherheitsoptionen zwei m gliche Reaktionen Wenn Sie CMP Echoantwort senden w hlen erh lt der anfragende Computer eine Antwort Wenn Sie Anfrage verwerfen automatische Installation w hlen wird das Datagramm abgeworfen d h es geht w hrend der bertragung verloren Die anfragende Parte erh lt dann die Nachricht dass der Ziel Host nicht erreichbar ist Eingehende Pakete ohne Eintrag in der NAT Tabelle WinRoute berpr ft den gesamten ein und ausgehenden Datenverkehr des LAN Unabh ngig davon ob WinRoute NAT an einem bestimmten Paket ausf hren soll oder nicht wird das Paket zun chst untersucht und bestimmte Da
61. Internet verbinden Innerhalb Ihres WinRoute Computers k nnen mehrere Schnittstellen vorhanden sein und zwar eine f r jedes Netzwerk Dann repr sentiert jede dieser Schnittstellen bzw ihre IP Adresse den Standard Gateway f r den Rest des verbundenen Netzwerks Die Auswahl des geeigneten WinRoute Computers WinRoute MUSS IMMER auf dem Computer ausgef hrt werden der mit dem Internet ber die Netzwerkkarte Kabel DSL Modem DF Verbindung oder einen Router verbunden ist WinRoute fungiert immer als Gateway zwischen zwei oder mehreren Netzwerken von denen jedes durch eine Schnittstelle repr sentiert wird Diese Schnittstellen k nnen Ethernet Karten RAS Adapter USB nach Ethernet Adapter PPPoE Adapter usw sein Installation und Konfiguration 85 86 WinRoute Pro 4 1 Benutzerhandbuch IP Konfiguration mit DHCP Server berpr fen Sie nochmals dass Ihre Workstations so eingestellt sind dass sie eine IP Adresse vom DHCP Server erhalten siehe TCP P gt Netzwerkschnittstelle Eigenschaften bei jedem Computer und dass alle anderen TCP IP Eigenschaften darunter auch die DNS Server Informationen nicht spezifiziert wurden F hren S e anschlie end das WinRoute Administration Programm aus l Rufen Sie das Men Einstellungen gt DHCP Server auf 2 Schalten Sie den DHCP Server EIN durch Aktivieren des Kontrollk stchens und klicken Sie auf die Schaltfl che Neuer Bereich 3 Neuer Bereich Hier legen Sie d
62. Men Einstellungen gt Erweitert auf und ndern Sie die gew nschten Werte Wenn Sie Schwierigkeiten bez glich der Leistungsfahigkeit feststellen reduzieren S e den Wert f r MTU auf den Client Computern auf 800 WinPoet von Ivasion WinRoute Pro 4 1 ist unter folgenden Bedingungen mit WinPoet kompatibel IP Header Kompression RAS Einwahl Netzwerkeinstellungen ist ausgeschaltet Installation und Konfiguration 95 Verringern des MTU Wertes Der PPPoE Adapter f gt erg nzende Informationen zum Header jedes ausgehenden Pakets hinzu Windows verwendet standardm ig die maximal erlaubte Paketgr e Der PPPoE Adapter kompensiert dies dadurch dass er garantiert dass der MTU Wert des lokalen Computers leicht verringert wird um die zus tzlichen zu jedem Paket hinzugef gten Informationen auszugleichen Leider verwenden alle anderen Computer immer noch die maximale Gr e f r die bertragung Dies f hrt zum Verlust von Paketen Die folgenden Links zeigen Ihnen wie der MTU Wert an allen Clients verringert wird F r Benutzer von Windows 95 98 http www microsoft com support kb articles Q158 4 74 asp F r Benutzer von Windows NT4 2000 http www microsoft com WINDOWS2000 library resources reskit samplechapt ers cnbd cnbd_ trb vcfx asp 96 WinRoute Pro 4 1 Benutzerhandbuch Bidirektionale Kabelmodemverbindung Fur die Verbindung durch Kabelmodem sind zwei Netzwerkkarten NIC im WinRoute Computer notwendig Eine
63. OTP 235 C Cache 235 Cache Einstellungen 53 Checkliste 61 73 97 101 108 155 186 CITRIX Metaframe 213 CU YouSeeMe 217 D Der MAIL Server von WinRoute 61 DHCP e 235 DHCP im berblick 42 DHCP Server 41 Die Auswahl des geeigneten WinRoute Computers 87 DirecPC Verbindung 109 DNS 171 235 DNS und WWW Server hinter NAT 169 DNS Forwarder 43 DNS L sung 167 DNS Server auf dem WinRoute PC 168 DNS Server hinter dem WinRoute PC 168 DNS Weiterleitung 44 DSL Verbindung 96 E Einf hrung in NAT e 11 Einleitung 2 Einrichten des DNS Forwarder 93 Einrichten des MAIL Servers 134 Einrichten des Netzwerks DHCP 85 Einsatzbeispiele 157 E Mail empfangen Sie haben mehrere Mailboxes bei Ihrem ISP e 151 E Mail Versand an andere Benutzer von WinRoute innerhalb Ihres Netzwerks 136 E Mail Versand in das Internet 137 Empfang von E Mails 144 Erweiterte Eigenschaften 51 ETRN 236 F Fehlerbehebungsprotokoll 35 Fehlerprotokoll 40 Fernverwaltung 66 Fernzugriff PC Anywhere 218 Index 239 Firewall 236 Firewall Konfiguration 204 Flags 236 FTP 237 FTP Aspekte unter Verwendung nicht standardm i ger Anschl sse 179 FTP Server hinter WinRoute mit einem nicht standardm gen Anschluss 180 G Gateway 237 Gemeinsame Nutzung der Verbindung fur zwei Netzwerke mit 2 IP A
64. P Listen IP lt Unspecitieds Listen port single port port range p Destination IF i 921681 4 Destination port 23 Allow access only from Cancel 20 WinRoute Pro 4 1 Benutzerhandbuch Protokoll Wahlen Sie das Protokoll aus das von Anwendung Dienst benutzt wird Einige Anwendungen Dienste verwenden das TCP und UDP Protokoll zusammen Beispielsweise WinRoute Aministrator Modul berwachungs IP Die IP Adresse an die die eingehenden Pakete gesendet werden Normalerweise ist dies die IP Adresse die mit Ihrer Internet Schnittstelle assoziiert ist Hinweis Es kann sein dass mehrere IP Adressen mit einer Schnittstelle assoziiert werden berwachungsanschluss Die Nummer des Anschlusses an dem die Pakete eingehen Ziel IP Die IP Adresse innerhalb Ihres lokalen Netzwerks die Ihren Server Dienst betreibt der eingehende Pakete Web Server FTP Server etc beantwortet Zielanschluss Der Anschluss an dem die Anwendung berwacht wird blicherweise die gleiche Nummer wie die berwachungsanschl sse Zugang nur gewahren von Sie k nnen die Adresse spezifizieren von der aus Sie den Zugang erm glichen m chten Dies ist f r die Erh hung der Sicherheit sehr wichtig falls Sie die Anschlusszuordnung fur Fernverwaltungsanwendungen wie den WinRoute Administrator PC Anywhere etc einrichten Sie k nnen die Gruppe der IP Adressen festlegen Zun chst m ssen Sie
65. Route verwalten Die folgenden Anweisungen setzen voraus dass Sie PC Anywhere 9 0 verwenden und eingehende beziehungsweise ausgehende Pakete an der Firewall von WinRoute nicht filtern Die verwalteten Computer hinter der Firewall von WinRoute f hren den Host von PC Anywhere unter Verwendung von TCP IP aus Der Fern Computer f hrt Remote von PC Anywhere unter Verwendung von TCP IP aus Firewall Konfiguration 215 PC Anywhere ist an der Firewall von WinRoute installiert und verwendet den Gateway Modus Bei der Konfiguration des Gateway Computers sollten die Computer f r den Dateneingang sowie den Datenausgang auf TCP IP eingestellt sein An der WinRoute Firewall muss PC Anywhere so konfiguriert sein dass es die interne Netzwerkkarte berwacht z B 192 168 1 1 N here Informationen zur Konfiguration von PC Anywhere um einer bestimmte IP Adresse eine bestimmte Netzwerkkarte zu berwachen finden Sie auf der Webseite von Symantec F gen Sie die genaue n IP Adresse n der zu verwaltenden Computer in den Netzwerk Optionen von PC Anywhere hinzu Um das gesamte Teilnetz zu berwachen verwenden S e 255 f r das letzte Oktett 192 168 1 255 Konfigurieren S e die Anschlusszuordnung n WinRoute folgenderma en Protokoll TCP UDP berwachungs IP Externe Netzwerkkarte 206 86 181 25 berwachungsanschluss BEREICH 5631 5632 Ziel IP Interne Netzwerkkarte 192 168 1 1 Zielanschluss 5631 5632 21
66. S port i 10 Use Defaults SMTP port 25 Advanced Options Mail Directory Je program Hles winroube yal Browse Internet hostname hamilton pacbell ned Limit the size of the SMTP messages to 256 ETAN command timeant i 0 cancel ann E Mail Versand in das Internet Sie k nnen WinRoute als Ihren SMTP Server f r ausgehende E Mails verwenden WinRoute sendet E Mails ber den Relay SMTP Server Ihres Diensteanbieters anwenden anstatt ber MX Record Mit anderen Worten alle ausgehenden E Mails werden ber den von Ihnen eingegebenen Mail Server versandt in der Regel ist dies der Mail Server Ihres Internetdiensteanbieters Dasselbe gilt f r Ihre E Mail Clients d h der WinRoute Mail Server kann als deren SMTP Server fungieren So richten S e den Relay SMTP Server f r ausgehende E Mails e n 1 ffnen Sie das Men Einstellungen gt Mail Server 134 WinRoute Pro 4 1 Benutzerhandbuch 2 Geben Sie den ausgehenden Mail Server Ihres Diensteanbieters in das Feld f r den Relay SMTP Server ein Hail Server Settings mall pacbell net Ed Installation und Konfiguration 135 Authentifizierung Einige Internetdiensteanbieter f hren bei eingehenden E Mails eine Authentifizierungspr fung durch um Spamming zu vermeiden In diesem Fall m ssen Sie Ihrem Diensteanbieter die entsprechenden Informationen zur Verf gung stellen 1 Gehen Sie in das Fenster Mail Server gt Register Erwe
67. Softwareeinstellungen f r den E Mail Client 148 Mail Benutzer Es bestehen einige Regelungen bez glich der Benutzer der E Mail Adressen und der Mailboxen in WinRoute Ein Benutzer Eine Mailbox Jeder Benutzer kann eine Mailbox erstellen Die Mailbox enth lt den Namen des Benutzers F r den Fall dass Sie in WinRoute eine Internetdom ne registriert und eingetragen haben ist die E Mail Adresse automatisch Benutzer Dom ne com Ein Benutzer Mehrere Adressen Sie k nnen Aliasnamen festlegen um verschiedene E Mail Adressen zu verwenden und allgemeine Postf cher wie Verkauf Support Info einzurichten Es gibt praktisch unendlich viele Kombinationsm glichkeiten So f gen Sie einen Benutzer hinzu 1 ffnen Sie das Men Einstellungen gt Konten Installation und Konfiguration 131 2 F gen Sie Benutzer hinzu 3 Fassen Sie gegebenenfalls die Benutzer in Gruppen zusammen Beispiel Das Unternehmen hat die Dom ne brutus com Der Benutzer Thomas hat die E Mail Adresse Thomas brutus com Weitere Informationen zu anderen Adressoptionen finden Sie unter Aliasnamen gt Hinweis Die Mailboxen werden in einem separaten Verzeichnis abgelegt und zwar in der Regel in c Programmordner WinRoute Mail Sie werden physisch erstellt NACHDEM die erste E Mail eingegangen ist 132 WinRoute Pro 4 1 Benutzerhandbuch E Mail Versand an andere Benutzer von WinRoute innerhalb Ihres Netzwer
68. T 169 Ausf hren eines DNS Servers hinter NAT ucceeeeeeeeeennneenenn 170 Ausf hren eines FTP Servers hinter NAT 171 Ausf hren des MAIL Servers hinter NAT uueeeeeeeeeeeeeeeeeeeeeeeeeeeeeeennn 172 Ausf hren des Telnet Servers hinter NAT ee 173 FTP Aspekte unter Verwendung nicht standardm iger Anschl sse 174 Zugriff auf FTP Server mit nicht standardm igen Anschl ssen 174 FTP Server hinter WinRoute mit einem nicht standardm igen Anschluss KREIEREN RIESE TOURER INTER E TE A EEE E 175 Spezie le Newe keceng en le Seen eae tee ee 177 ToKen Rins Nelzwerke asien 177 Mehrere Betriebssysteme in einer Netzwerkumgebung Linux AS400 APP ea ee 178 Verbinden mehrerer Netzwerk si ssiarsernnn s a cen hauedeanedsniensdteataust 179 Verbinden ffentlicher und privater Segmente DMZ c eee 180 Gemeinsame Nutzung der Verbindung f r zwei Netzwerke mit einer IP PROTOSS ee ea E N 182 Gemeinsame Nutzung der Verbindung f r zwei Netzwerke mit 2 IP Adressenan szene 184 Server f r Fernzugriff DF Internetzugang eeneenene 186 Verbinden berlappender Segmente ber eine IP Adresse 187 Multiport Ethernet Adapter ss hen 192 VMWare a N N 197 Firewall Konfiguration Kapitel 4 K rrekte Anschlusszuordnune 2 seele 200 Kurznachrichten und Telefonie ae es a aan 204 PUD Se NCUMIC CHIN Van s
69. Ziel IP IP Addresse des Host von PC Anywhere innerhalb Ihres Netzwerks z B 192 168 1 12 Zielanschluss 5631 5632 214 WinRoute Pro 4 1 Benutzerhandbuch Sicherheit Um die Sicherheit zu erh hen und Ihr Netzwerk f r die Au enwelt unzug nglich zu machen k nnen Benutzer eine bestimmte IP Adresse ausw hlen von der aus der Zugang ber festgelegte Anschl sse erlaubt ist Mit dieser Konfiguration k nnen nur bestimmte Computer oder Netzwerke auf Ihr System vom Internet aus zuzugreifen Um Computer zu installieren denen der Zugriff auf Ihr Netzwerk gew hrt sein soll legen Sie zuerst eine Adressengruppe fest auch wenn Sie nur einen einzelnen Computer eingeben Um diese Konfiguration zu erstellen rufen S e das Men Einstellungen gt Erweitert gt Adressengruppen auf Ver ndern des Zugriffs auf verschiedene Computer Die Verwaltungsrechte in WinRoute lassen sich so einrichten dass eine direkte Verbindung zum WinRoute Host aktiviert wird W hrend Sie sich in WinRoute befinden k nnen Sie die Ziel IP in der Anschlusszuordnung ver ndern und sogar direkt auf den von Ihnen gew hlten PC zugreifen PC Anywhere Gateway Wenn PC Anywhere m Gateway Modus an der Firewall von WinRoute ausgef hrt wird kann der entfernte Client eine Liste der verf gbaren Hosts von PC Anywhere die hinter der Firewall ausgef hrt werden abrufen Mit Hilfe dieser Liste k nnen Sie alle Hosts von PC Anywhere hinter der Firewall von Win
70. alsche IP Adresse beim Verbindungsaufbau zu WinRoute Engine eingegeben Sie sind nicht berechtigt WinRoute zu verwalten 82 WinRoute Pro 4 1 Benutzerhandbuch Die Anschlusszuordnung ist auf dem WinRoute Engine ausfthrenden Computer nicht oder falsch installiert Verlust des Verwaltungskennworts Falls Sie das Kennwort ftir Administration verlieren sollten senden Sie eine E Mail an support tinysoftware com um weitere Anweisungen zu erhalten Aus Sicherheitsgr nden ver ffentlichen wir die entsprechenden L sungen nicht Installation und Konfiguration 83 Einrichten des Netzwerks DHCP In diesem Abschnitt Informationen zu DHE Penre a 83 Standard Gateway im berblick 0 eects 83 Die Auswahl des geeigneten WinRoute Computers 84 IP Konfiguration mit DHCP Server eenn 86 IP Konfiguration mit einem fremden DHCP Server 88 IP Konfiguration manuelle Zuweisung 89 Informationen zu DHCP Bei Verwendung des DHCP Servers k nnen Sie die Konfiguration der Workstations innerhalb Ihres lokalen Netzwerks deutlich vereinfachen Sie m ssen die Client Computer lediglich so einrichten dass sie vom DHCP Server dynamisch IP Adressen zugewiesen bekommen Dies ist die Standardeinstellung wenn das TCP IP Protokoll in den Netzwerkeigenschaften hinzugef gt wird Sie k nnen entweder den in WinRoute integrierten DHCP Server oder den DHCP Server eines anderen Anbie
71. an ablParentProxy REG SZ 192 168 2 10 a SR lab ParentProxyPass REG Sz H E lab ParentProxyPart 3126 te a i ParentProxyLiser a Fi Ei P BP POF3DELE i 1 3 JCE 3 H Module lab Pop3serverPart EG sz 110 Delet lab Postmaster ae Ems Pops na an ee ee Te Rename a My Computer HKEY LOCaL MACHINE SOFTWARE Tiny Sorivarel Winkoute 60 WinRoute Pro 4 1 Benutzerhandbuch MAIL Server In diesem Abschnitt Der MAIL Server von WinRoute cccceccescesceseeees 60 Der MAIL Server von WinRoute WinRoute verf gt ber einen SMTP POP3 MAIL Server mit allen Funktionen Sie k nnen diesen auf gleiche Weise nutzen wie den MAIL Server Ihres Internet Diensteanbieters ISP Der MAIL Server von WinRoute erm glicht es Ihnen E Mails n das Internet sowie an lokale Benutzer innerhalb Ihres LAN zu versenden Es st auch m glich E Mails zu erhalten und diese in den Mailboxen der Benutzer von WinRoute zu speichern WinRoute beinhaltet auch einen Terminplaner mit dem Sie Ihren E Mail Austausch zeitlich planen k nnen Wenn Sie den MAIL Server nicht verwenden Sie m ssen den MAIL Server nicht verwenden Sie k nnen weiterhin den MAIL Server Ihres Internetdiensteanbieters oder einen anderen MAIL Server einsetzen In diesem Falle fungiert WinRoute als Router Firewall der es Ihrer E Mail Client Software erm glicht mit dem E Mail Server Ihres Internetdiensteanbieters zu kommunizieren gt Hinweis Stel
72. an die Gruppe Verkauf gesendet werden Losung 1 ffnen Sie das Men Einstellungen gt Mail Server gt Register Aliasnamen 2 Fugen Sie folgende Aliasnamen hinzu thomas sendet an Thomas Mit diesem Alias werden alle E Mails aus dem Internet an Thomas als Empf nger gesandt D h Mails an thomas_Sprecher unternehmen com werden ebenso dem Benutzer Thomas zugestellt und Mails an thomas unternehmen2 com werden dem Benutzer zugestellt Dies verhindert auch dass E Mails die von lokalen Benutzern an den Empf nger thomas unternehmen com gesendet werden durch das Internet transportiert werden S e werden direkt an das Postfach von Thomas in WinRoute gesandt Verkauf sendet an Thomas E Mails an Verkauf werden an den Benutzer Thomas gesandt Support sendet an Thomas E Mails an Support werden an Thomas gesandt Verkauf sendet an Verkauf 138 WinRoute Pro 4 1 Benutzerhandbuch E Mails an Verkauf werden an alle Mitglieder der Gruppe Verkauf gesandt Hail Server Settings Ea General Aliases Remote POP3 Scheduling Anti Spam Advanced Aliases geargecompang com info johnfaconpany cor john_ speaker listing mapmcompany com sales saleslcompany com support support george george john john george mary john sales support john OF Cancel Apply Zeitplan fur den E Mail Austausch Mit dem Zeitplan in den Einstellungen des Mail Servers
73. at time interval hush hours mes F r den Empfang von Nachrichten k nnen Sie eine genaue Zeit angeben wann Sie Ihre E Mail abholen m chten Durch die Kombination verschiedener Regeln l sst sich die Abholung Ihrer E Mails so effizient wie m glich gestalten ffnen Sie das Men Einstellungen gt Mail Server gt Zeitplan 2 Geben Sie die gew nschten Optionen an und f gen Sie neue Regeln f r E Mails hinzu 140 WinRoute Pro 4 1 Benutzerhandbuch gt Hinweis Regeln f r die Zeitintervalle m ssen im Menu Einstellungen gt Erweitert gt Zeitintervalle festgelegt werden Empfang von E Mails In diesem Abschnitt Sie besitzen eine Dom ne SMTP oo 141 Mehrere DON nN a suds ammatestantamautess 144 Sie besitzen eine dem POP3 Konto zugewiesene Dom ne 145 E Mail empfangen Sie haben mehrere Mailboxes bei Ihrem ISP 147 Installation und Konfiguration 141 Sie besitzen eine Domane SMTP Der Ma Server von WinRoute ist vollst ndig mit SMTP POP3 kompatibel Sie k nnen Ihre eigene registrierte Internetdom ne haben und E Mail ber SMTP empfangen und oder WinRoute k nnte E Mail automatisch vom POP3 Konto Ihres Internetdiensteanbieters abholen SMTP Simple Mail Transfer Protocol wird f r die direkte Kommunikation zwischen den Mail Servern wie dem Mail Server in WinRoute und den Mail Server Ihres Diensteanbieters verwendet sowie f r den E Mail Versand ber Ihre
74. ation zwischen diesen beiden Netzwerken m glich so als w re kein NAT vorhanden Nehmen Sie die weiteren Netzwerkeinstellungen gem der in diesem Handbuch beschriebenen Anweisungen vor 192 WinRoute Pro 4 1 Benutzerhandbuch Multiport Ethernet Adapter Die ber 170 000 Netzwerke die derzeit WinRoute Pro als Router Firewall L sung verwenden weisen in der Regel eine Konfiguration mit zwei Netzwerkkarten auf Die eine f hrt zum Internet und die andere zum lokalen Netzwerk LAN Diese Standardkonfiguration filtert Pakete d e n das Internet gehen oder aus dem Internet kommen Es ist jedoch nicht m glich Pakete die sich zwischen lokalen Segmenten hin und her bewegen zu filtern da diese keinen Datenverkehr durch WinRoute leiten Ein Beispiel f r diese Konfiguration sehen S e unten in Abbildung 1 INTERNET Einsatzbeispiele 193 Abbildung 1 Die gangigste Konfiguration von WinRoute Pro In manchen Fallen kann eine dritte Netzwerkkarte f r den WinRoute PC hinzugef gt werden welche ein separates sicheres Segment erm glichen In einem solchen Fall werden Pakete die in das sichere Segment gehen oder von dort kommen durch WinRoute gefiltert Damit ist eine zus tzliche Sicherheitsstufe eingebaut INTERNET Locally secured Seo Ment 194 WinRoute Pro 4 1 Benutzerhandbuch Abbildung 2 Unter Verwendung einer dritten Netzwerkkarte kann dem LAN ein separates Segment hinzugef gt werde
75. cord in the NAT table I Log into security file l Log into security window cancel Ae Installation und Konfiguration 117 Paketfilter Einstellungen Die Konfiguration des Paketfilters der Firewall von WinRoute Pro ist sehr einfach Dennoch ist ein gutes Verst ndnis der hinter der Paketfilter Funktion stehenden Logik wie diese in WinRoute angewandt wird erforderlich Fur die einzelnen Schnittstellen festgelegte Regeln Benutzer konnen separate Sicherheitsregeln fur individuelle Computerschnittstellen festlegen Dies ist eine wichtige Funktion bei der Verwaltung von Netzwerken mit mehreren Segmenten Im folgenden Beispiel ist ein Netzwerk dargestellt das jeder Person im Internet erlaubt auf den Webserver innerhalb des Netzwerks zuzugreifen cs nur bestimmten Personen innerhalb der vordefinierten Adressengruppe mit der Bezeichnung Travellers erlaubt auf den PPTP Server innerhalb des Netzwerks zuzugreifen um in das Netzwerk zu gelangen Packet Filter Incoming Outgoing i LAN NIC Kingston i Internet NIC LinkSys ae Wf TCP Any host all ports gt Any host port 80 118 WinRoute Pro 4 1 Benutzerhandbuch Unterschiedliche Regeln fur ausgehende und eingehende Pakete WinRoute wendet spezielle Regeln f r ausgehende und eingehende Paket an Innerhalb von WinRoute wird eine Tabelle f r jede Schnittstelle erstellt In dieser Tabelle werden sowohl die eingehenden als auch die ausgeh
76. d erscheinen in Ihrem BuddyPhone Telefonbuch und fur einen Anruf ist nichts weiter erforderlich als den gewunschten Benutzer aus der Liste auszuwahlen Wenn Sie BuddyPhone und ICQ zusammen verwenden sind keine Einstellungen erforderlich Die Verwendung von BuddyPhone ohne ICQ WinRoute kann Anrufe die aus dem Internet kommen anhand des Anschlusses an den richtigen Empfanger im lokalen Netzwerk weiterleiten Um den lokalen Benutzern eigene Anschl sse zuzuordnen verwenden Sie die Anschl sse 710 und h her Beispiel Innerhalb Ihres LAN verwenden drei Benutzer BuddyPhone Benutzername Benutzer IP interne IP Dem Benutzer Adresse zugeordneter Anschluss Johann 192 168 1 2 710 Firewall Konfiguration 211 Guido 192 168 1 3 711 Robert 192 168 1 4 712 Dann f hren Sie eine Anschlusszuordnung durch Uberwachungsanschluss Ziel IP Zielanschluss 710 192 168 1 2 700 711 192 168 1 3 700 712 192 168 1 4 700 Das Telefongespr ch mit einem Benutzer ist so einfach sein wie die Eingabe von Unternehmen com port 1m Direktwahl Dialog von BuddyPhone Zum Beispiel sales gamerouter com 711 gt Hinweis Hierbei handelt es sich nicht um einen Fehler in unserer Dokumentation Der Zielanschluss ist wirklich 700 Dies ist die Anschlussnummer die von BuddyPhone zur Ausf hrung verwendet wird WinRoute f hrt die Weiterleitung basierend auf dem berwachungsanschluss durch 212 WinRoute Pro 4 1 Benutzerhandbuch CU YouSeeMe Um
77. den diese automatisch an den richtigen Computer hinter der Firewall weitergeleitet Beispiele fur PPTP Losungen WinRoute erm glicht einen sehr kosteng nstigen Weg ein eigenes WAN zwischen mit dem Internet verbundenen Niederlassungen einzurichten Wir gehen davon aus dass die Leser dieses Handbuchs ber Grundkenntnisse im Bereich Netzwerk und WindowsNT verf gen Ein solches WAN l sst sich n einigen einfachen Schritten einrichten 1 berpr fen Sie die Umgebung NT Server an beiden Enden WinRoute Pro ist an beiden Enden installiert RRAS Stealhead ist an beiden NAT Servern installiert 2 Erstellen Sie eine statische Route an beiden NT Servern die spezifiziert dass Pakete an entgegengesetzte Netzwerke gehende Pakete die RAS Schnittstelle durchlaufen Dann sollten Sie beim Anzeigen der TCP Eigenschaften im Fehlerbehebungsprotokoll von WinRoute Administrator n der Liste der verf gbaren Schnittstellen eine DFU Schnittstelle aufgef hrt sehen 162 WinRoute Pro 4 1 Benutzerhandbuch 3 Rufen Sie die Schnittstellentabelle in WinRoute Administration auf und lassen Sie die Eigenschaften der RAS Schnittstelle die f r die PPTP Verbindung genutzt wird anzeigen Vergewissern Sie sich dass Sie NAT an dieser Schnittstelle nicht ausfuhren 4 Wahlen Sie auf der Registerkarte RAS der RAS Schnittstelleneigenschaften die PPTP Verbindung aus den RAS Eintragen Falls Sie die RAS Verbindung in den RAS Eintragen nic
78. des Einen PC mit Pentium Prozessor Einfach oder Dualprozessor Windows 95 98 NT4 0 2000 Betriebssystem 32 MB Speicher davon MB freier Speicherplatz Mindestens 2 verf gbare Schnittstellen Diese k nnen sein Ethernet RAS TokenRing DirecPC Installation und Konfiguration 71 Checkliste F r alle WinRoute Benutzer gibt es eine Liste von Grundregeln und einstellungen die die erfolgreiche Anbindung Ihres Netzwerks mit dem Internet garantieren Nat rlich ist ein funktionsfahiger Internetanschluss daf r Voraussetzung Sie sollten die unten beschriebenen Einstellungen vornehmen wenn Sie NAT f r einen gemeinsamen Internetzugang nutzen m chten Auch wenn Sie einen PROXY Server in WinRoute integriert verwenden m chten m ssen Sie diese Einstellungen vornehmen In diesem Fall m ssen Sie Ihre Browser und Ihre Anwendungen auf den PROXY Server von WinRoute ausrichten Wir empfehlen dringend NAT zu verwenden wann immer dies m glich ist Es geht schneller ist sicherer und zuverl ssiger Grundregeln und einstellungen 1 Auf dem WinRoute PC Zwei Schnittstellen NICs Vergewissern Sie sich dass der WinRoute Computer ber mindestens zwei Schnittstellen verf gt Eine f r die Internetverbindung und eine f r die lokale Client Verbindung Diese k nnen Netzwerkadapter oder RAS Leitungen sein Eine Schnittstelle Ethernet oder RAS DF wird f r die Internetverbindung verwendet wohingegen f r die Verbin
79. die Anwendung ber das Men Start gt Programme gt WinRoute oder klicken Sie mit der rechten Maustaste auf das Symbol f r den WinRoute Engine Monitor und w hlen Sie WinRoute Administration aus dem angezeigten Men Sie k nnen auch die WRAdmin exe Date auf jedem anderen Computer Ihres Netzwerks kopieren und von dort aus ausf hren Das Admin Fenster wird angezeigt Behalten Sie entweder den voreingestellten lokalen Host Computer oder geben Sie die IP Adresse des Computers an auf dem WinRoute ausgef hrt wird Geben Sie den Benutzernamen sowie das f r Administration verwendete Kennwort ein Open Configuration Configuration Enter a hostname or an IF address of a computer running WRF oute WinF oute Host fortune tinysw corn Username Admin Password Hinweis Wenn Sie sich zum ersten Mal anmelden k nnen Sie Admin als Benutzernamen verwenden und kein Kennwort eingeben Weitere Details zur Verfahrensweise m Hinblick auf Benutzernamen und Kennwort f r die Verwaltung finden S e unter Benutzerkonfiguration Installation und Konfiguration 79 Sie mussen sich als Administrator erfolgreich bei WinRoute Engine anmelden um Einstellungen vorzunehmen Mogliche Grunde fur eine fehlgeschlagene Anmeldung uber ein lokales Netzwerk WinRoute Engine ist nicht installiert und wird nicht ausgef hrt Benutzername und Kennwort sind falsch Es wurde eine falsche IP Adresse beim Verbindungsaufbau mit
80. dressen 189 Gemeinsame Nutzung der Verbindung f r zwei Netzwerke mit einer IP Adresse 187 Gew hrung der Kommunikation an bestimmten Anschl ssen 127 H H 323 NetMeeting 3 0 210 Half Life 224 Herstellen der Internetverbindung 95 Hinzuf gen eines Benutzers 63 HTTP Proxy Protokoll 37 ICMP 237 Informationen zu den Benutzerkonten 62 Informationen zu den Protokollen und der Analyse 33 Informationen zu DHCP 85 240 WinRoute Pro 4 1 Benutzerhandbuch Informationen zum Cache Speicher 52 Informationen zur Ausf hrung von Spielen hinter NAT 222 Installation und Konfiguration 71 Internettelefonie BuddyPhone 215 IP Adresse 237 IP Konfigurati on manuelle Zuweisung 92 IP Konfiguration mit DHCP Server e 89 101 IP Konfiguration mit einem fremden DHCP Server 91 IPSEC 237 IPSEC VPN 158 IPSEC NOVELL und PPTP VPN L sungen 158 IRC Internet Relay Chat 212 K Korrekte Anschlusszuordnung 205 Kurznachrichten und Telefonie 209 L LAN 238 M MAC Adresse 238 Mail Benutzer 135 Mail Protokoll 39 MAIL Server 61 Mehrere Betriebssysteme in einer Netzwerkumgebung Linux AS400 Apple 183 Mehrere Dom nen 148 Mehrfach NAT 22 MS Terminal Server 214 MSN Gaming Zone 224 Multiport Ethernet Adapter 197 Musterbeispiel fiir einen Kriteriumssatz f r Paketfilter bei eingehenden HTTP und FTP
81. dung zu Ihrem n Netzwerk en eine andere Schnittstelle n benutzt wird werden Ethernet Token Ring 2 Vergewissern Sie sich dass alle IP Adressen so eingerichtet sind dass Pings gesendet werden k nnen Damit WinRoute richtig ausgef hrt wird m ssen die Client Computer in der Lage sein sowohl die ffentliche als auch die private IP Adresse des Host Computers von WinRoute zu pingen 3 Auf dem WinRoute PC Aktivieren Sie NAT an der Internetschnittstelle berpr fen Sie dass NAT f r die Schnittstelle zum Internet Ethernet RAS Leitung aktiviert ist Stellen Sie dies im Men Einstellungen gt Schnittstellentabelle ein und rufen Sie die Eigenschaften der gew nschten Schnittstelle auf 72 WinRoute Pro 4 1 Benutzerhandbuch Auf dem WinRoute PC Deaktivieren Sie NAT an der internen Schnittstelle Vergewissern Sie sich dass NAT an der Schnittstelle oder den Schnittstellen zum internen Netzwerk deaktiviert ist Hinweis In sehr speziellen Installationen kann NAT sogar an der internen Schnittstelle aktiviert bleiben Falls verf gbar sehen Sie hier ein Beispiel Auf dem WinRoute PC Kein Gateway an der internen Schnittstelle Vergewissern S e s ch dass KEIN Standard Gateway n den Netzwerkeigenschaften der Schnittstelle Netzwerkkarte zum internen Netzwerk vorhanden ist Selbstverst ndlich wird der Standard Gateway der Schnittstelle zum Internet gem den Angaben Ihres Internetdiensteanbieters eingestellt
82. e erhaltene E Mail an die lokalen Empf nger senden u r f INTEMMET Tat het aah I ISP mailboxes ee Clients 7 1 ffnen Sie das Men Einstellungen gt Mail Server gt Fern POP3 f gen Sie ein neues Konto hinzu und geben Sie die entsprechenden Informationen ein 2 Im Feld f r Senden an w hlen Sie den Empf nger oder die Gruppe von Empf ngern aus 148 WinRoute Pro 4 1 Benutzerhandbuch Hail Server Settings x General Aliases Remote PUPS Scheduling Anti Spam Advanced Remote POPS Accounts Add Account POPS Account POPS Usemame company E Password u POPS Server mai isp net POPS Authentication plaintest C APOP Deliver To T Sorting Rules OF Cancel Apply Softwareeinstellungen fur den E Mail Client In diesem Abschnitt WinRoute Mail Servet ccccsssssssssnnssccccccccceeeseeeeees 149 So umgehen Sie den Mail Server von WinRoute 150 Installation und Konfiguration 149 WinRoute Mail Server E Mail uber den Mail Server von WinRoute Um den Mail Server von WinRoute zu verwenden m ssen Sie Ihre E Mail Client Software konfigurieren Der WinRoute Computer wird als Mail Server f r eingehende und ausgehende Mails fungieren Daher ist es erforderlich dass Sie den Namen des WinRoute Computer in das r chtige Feld Ihrer E Mail Software eingeben Wenn S e Schwierigkeiten haben E Mails zu senden oder zu empfangen empfehlen
83. ebserver mit der Dom ne www meinedom ne com hinter NAT ausf hren und Ihren DNS Server m selben Netzwerk f r die Namensaufl sung verwenden Ausf hren eines Webservers oder FTP usw auf dem WinRoute PC Einsatzbeispiele 167 Wenn Sie einen Webserver am WinRoute PC ausf hren werden Sie mit lokalen Anfragen keine Probleme haben Alle DNS Anfragen fur www wasauchimmer com die an Ihrem DNS Server ankommen werden von der regul ren Internet IP Adresse die mit dieser Dom ne assoziiert ist verkn pft Eine solche IP Adresse muss der Schnittstelle des Netzwerks die vom WinRoute PC zum Internet und den WWW Servern f hrt zugeordnet werden und die WWW Server berwachen sowohl die ffentliche als auch die private Schnittstelle Wenn der lokale PC eine DNS Anfrage zum Aufl sen von www wasauchimmer com sendet erh lt dieser eine IP Adresse die mit dieser Dom ne assoziiert ist Dies f hrt dazu dass der Webserver mit der IP Adresse verbunden wird die wie oben beschrieben der Schnittstelle zum Internet zugewiesen wurde Ausf hren eines Webservers oder FTP usw auf einem PC hinter WinRoute M glicherweise m chten Sie Ihren Webserver auf einem PC hinter WinRoute ausf hren mit einer privaten IP Adresse z B 10 10 10 8 Der Webserver mit www meinedom ne com befindet sich physikalisch an der privaten IP Adresse 10 10 10 8 Ihre DNS Anfrage wird jedoch mit einer regul ren IP Adresse aufgel st wie 206 86 181 25 die mi
84. ee 205 IRG lt Intemet Relay Chate una ee 207 CITRIX Meile ae een een 208 MS Terminal Serve need 209 Internettelefonie BuddyPhone 3 5035566 c0ceccsaseaesed dedsessededeosdesteeedeederseedededeoesesovoons 210 CUGU eeM e ea a a a 212 Fermori La PC Anywhere oi a R 213 PC ANYN NEE ae A ed al oe ieee ate ts 213 PC Anywhere G leWwayans sr cate ccierstsdea hackers 214 SPIE Ern as ne mR nT ee Reet ee eee ee ee 216 Informationen zur Ausf hrung von Spielen hinter NAT 217 Aasheron Call rn weinen 218 Battle net Blizzard ns ass 218 Contents PANT Ei a a 219 MSN Gamms Zone uL 282n engen 219 OAK se ee ee une ee 220 DICH ee ae ee een 221 Zus tzliche Anschlusszuordnungen f r g ngige Spiele und Anwendungen 222 Glossar der Terminologie 228 Index 238 Einleitung 1 2 WinRoute Pro 4 1 Benutzerhandbuch EINLEITUNG Sehr geehrter Kunde danke dass Sie WinRoute Pro erworben haben bzw testen Tiny Software ist ein in der Firewall Technologie f r kleine und mittelgro e Netzwerke f hrendes Unternehmen und hat sehr viel Arbeit in die Forschung investiert um Ihnen einen leistungsstarken und dennoch einfachen Router bzw eine Firewall f r Windows Betriebssysteme anbieten zu k nnen WinRoute Pro ist eine Netzwerkanwendung die in Verbindung mit einem PC teurere auf reiner Hardware basierende Router und Firewalls ausgezeichnet ersetzt Um die Anwendung nutzen zu k nnen muss das Netzwerk
85. eich 50 Uberwachungs IP lt nicht spezifiziert gt Ziel IP die private IP Adresse des Client PC Einsatzbeispiele 155 Wir empfehlen au erdem einen zugeordneten Anschluss f r IKE zu erstellen Dies ist nicht notwendig wenn die Kommunikation HINTER WinRoute aus zum Internet initiiert wird Manche Implementierungen von ISPC k nnen unter Umst nden jedoch folgende Einstellung erfordern IKE Anschlusszuordnung Protokoll UDP berwachungs IP lt nicht spezifiziert gt berwachungsanschluss 500 Ziel IP die private IP Adresse des Client Computers Zielanschluss 500 156 WinRoute Pro 4 1 Benutzerhandbuch Simultane Ausfuhrung mehrerer IPSEC Sitzungen Wenn mehrere IPSEC Clients vorhanden sind m ssen Sie f r jeden Client eine separate IP Adresse verwenden Hinweis WinRoute NAT l sst so viele Clients passieren wie Sie m chten sofern die Verbindung VOM lokalen Netzwerk aus initiiert wird und jeder Client eine IP Adresse verwendet die der externen Schnittstelle von WinRoute zugewiesen ist Allgemeine Informationen zu IPSEC IPSec st ein Sicherheitsprotokoll zur Verschl sselung mit dem die Kommunikation zwischen zwei Computern sicher gestaltet wird IPSec verwendet entweder AH Authentification Header oder ESP Encapsulating Security Payload AH berpr ft lediglich die Identit t des Senders und den Inhalt des Pakets Die Daten werden nicht verschl sselt ESP verschl sselt die Daten Es erm glicht d
86. eine solche Gruppe 1m Dialogfeld Adressengruppe erstellen WinRoute Beschreibung 21 Anschlusszuordnung fur Systeme mit mehreren IP Adressen Sie k nnen Ihrer Internet Schnittstelle mehrere IP Adressen zuweisen und mehrere Dienste die Sie vom Internet aus zug nglich machen m chten innerhalb Ihres Netzwerks bereitstellen 5 x WWW Server Angenommen S e m chten mit 5 Web Servern arbeiten wovon jeder eine separate Dom ne besitzt die mit einer anderen IP Adresse assoziiert ist In einem solchen Fall richten Sie 5 IP Adressen an Ihrer externen Schnittstelle welche d e Verbindung mit dem Internet herstellt ein und arbeiten mit Web Servern auf anderen Computern in Ihrem internen Netzwerk Jeder Web Server kann auf einem separaten Computer ausgef hrt werden oder S e k nnen mehrere IP Adressen einem Computer n Ihrem internen Netzwerk zuweisen und alle Web Server ber diesen Computer ausf hren Anschlie end richten S e 5 Anschlusszuordnungen m Dialog Anschlusszuordnung fest F r jeden Web Server definieren Sie Folgendes P berwachungsadresse die ffentliche IP Adresse die mit der Dom ne assoziiert 1st berwachungsanschluss in unserem Fall 80 IP Zieladresse die IP Adresse auf der der Web Server arbeitet Zielanschluss 80 f r www Weitere Beispiele zur erweiterten Anschlusszuordnung finden Sie 1m Kapitel zum erweiterten Inter Networking 22
87. eingehen werden mit der regul ren Internet IP Adresse die mit dieser Dom ne assoziiert ist beantwortet Eine solche IP Adresse muss mit der Schnittstelle des Netzwerks assoziiert sein die den WinRoute PC mit dem Internet verbindet Die Internet Server berwachen sowohl die ffentliche als auch die privaten Schnittstellen Wenn der lokale PC eine DNS Anfrage sendet um www meinedom ne com aufzul sen erh lt dieser eine ffentliche IP Adresse mit dieser Dom ne und verbindet den Web Server mit einer IP Adresse die der Internetschnittstelle zugewiesen wird gt Vergewissern Sie sich dass die Anschlusszuordnung f r DNS Anfragen eingerichtet ist auch wenn Sie den DNS Server am WinRoute PC ausf hren Ordnen Sie das UDP Protokoll sowie Anschluss 53 f r die IP Adresse der Internetschnittstelle zu DNS Server hinter dem WinRoute PC S e k nnen einen DNS Server an jedem PC innerhalb Ihres lokalen Netzwerks ausf hren Richten Sie dazu die Anschlusszuordnung wie folgt ein Protokoll UDP 164 WinRoute Pro 4 1 Benutzerhandbuch berwachungs IP nicht spezifiziert bzw die IP Adresse die mit dem DNS Server assoziiert ist als zweite IP Adresse zugeordnet berwachungsanschluss 53 Ziel IP die private IP Adresse des PCs mit DNS Server Zielanschluss 53 DNS und WWW Server hinter NAT Falls S e Ihren eigenen DNS Server und den WWW Server m gleichen privaten Netzwerk ausf hren k nnen folgende Fragen aufta
88. elieferte TTL ber eine h here Priorit t verf gt als URL spezifische Einstellungen WinRoute Beschreibung 57 So veranlassen Sie die Benutzer Proxy anstelle von NAT zu verwenden Auch wenn NAT Ihnen eine ausgezeichnete Internet Verbindungsfahigkeit verleiht m chten Sie m glicherweise manchmal dass die Benutzer den Proxy Server verwenden um auf das World Wide Web zuzugreifen Dies ist beispielsweise der Fall wenn Sie fur das gesamte Unternehmen eine 56 KB Leitung zum Internet haben und daf r der Cache sehr n tzlich wird oder wenn Sie den Benutzer Zugriff anhand eines integrierten URL Filters berwachen m chten Um mit einem Proxy auf das Internet zuzugreifen m ssen Sie alle Browser so einstellen dass diese den PROXY Server verwenden Denken Sie daran dass der Standardanschluss des PROXY Servers 3128 ist Bei Bedarf k nnen Sie den Anschluss ndern Die Benutzer k nnen den Proxy umgehen und direkt ber NAT auf das Internet zugreifen Um dies zu vermeiden m ssen S e d e Firewall entsprechend einrichten Ein Beispiel hierzu finden Sie im Kapitel ber Firewall Einstellungen see So veranlassen Sie die Benutzer dazu den Proxy Server zu verwenden on page 127 58 WinRoute Pro 4 1 Benutzerhandbuch So verwenden Sie den Parent Proxy Server Parent Proxy Server In manchen F llen m ssen Sie den WinRoute Server mit einem bergeordneten Proxy Server verbinden dem so genannten Parent Proxy Gehen Sie in
89. em Desktop Geben Sie regedit ein um auf den Registry Editor zuzugreifen Rufen Sie HKEY LOCAL MACHINE SOFTWARE TinySoftware WinRoute Mport auf Hier finden Sie Unterordner die den Anschlusszuordnungen entsprechende Informationen enthalten Falls keine Unterordner vorhanden sind gibt es keine Anschlusszuordnungen a fF O N 176 WinRoute Pro 4 1 Benutzerhandbuch 6 Suchen Sie anhand des vom FTP Server verwendeten Anschlusses den Ordner mit den Anschlusszuordnungen 7 ndern Sie den Schl ssel flags in 1 8 ndern Sie den Schl ssel NatApp in FTP 9 Schalten Sie die WinRoute Engine wieder ein Anhand dieser Einstellungen wei WinRoute dass die Pakete die an dem von Ihnen festgelegten Anschluss eingehen vom FTP Protokoll stammen Daher f hrt WinRoute weitere Schritte durch um dieses komplexe Protokoll weiterzuleiten Einsatzbeispiele 177 Spezielle Netzwerke In diesem Abschnitt Token Rime Netzwerke cesses canes cae eee 177 Mehrere Betriebssysteme in einer Netzwerkumgebung Linux AS400 Apple 178 Token Ring Netzwerke Verbinden von Token Ring Netzwerken Token Ring ist ein sehr spezieller Netzwerktyp Daher gehen wir davon aus dass nur Netzwerkexperten mit Token Ring umgehen k nnen und halten unsere Erklarung deshalb begrenzt Bei allen Computern des Token Ring muss der Wert fur MTU Maximum Transmission Unit auf 1500 eingestellt sein ffnen Sie auf dem WinRoute Co
90. em Empf nger hergestellt wurde Mit der Option alle TCP Pakete werden alle eingehenden TCP Pakete protokolliert und zwar unabh ngig davon ob eine Verbindung erstellt wurde Da die UDP Pakete keine Flags Merker verwenden werden alle nicht initiierten UDP Pakete protokolliert sofern Sie UDP Pakete protokollieren m chten Protokollieren in eine Datei oder ein Fenster Wenn Sie In Sicherheitsfenster protokollieren ausw hlen k nnen Protokollinformationen in der WinRoute Anwendung Administration anzeigen indem Sie Protokolle anzeigen und Sicherheitsprotokoll w hlen Wenn Sie Protokollieren in eine Datei ausw hlen speichert WinRoute die Protokollinformationen in das Sicherheitsprotokoll im Protokollordner von WinRoute Pro in der Regel c Program Files WinRoute Pro Logs 116 WinRoute Pro 4 1 Benutzerhandbuch Security Options ee ae x NAT Secunty Options Un incoming ICHF echo request drop request silent mode On incoming packet that has no entry in the NAT table send denying packet drop packet silent mode Incoming UDP packet can pass through NAT with any source IP address can pass through NAT only if it comes from source IP address that was recorded when first outgoing packet from LON was sent NAT Logging Options Log incoming TCP packets that has no record in the MAT table f only packets with SiN flag f all TER packets Log incoming UDP packets that has no re
91. en Bereich der vom DHCP Server verwendeten IP Adressen fest die an die Workstations ausgegeben werden Beachten S e bitte dass der WinRoute Computer bereits eine IP Adresse verwendet und Sie diese daher nicht verwenden d rfen Die Bandbreite der IP Adressen muss der des Teilnetzes entsprechen Siehe Abbildung 4 Optionen spezifizieren wichtig Unter Optionen legen Sie fest welche anderen Informationen an die Netzwerkcomputer weitergegeben werden z B Standard Gateway DNS Server usw Aktivieren S e die Schaltfl che neben jeder Komponente 1m Dialogfeld und geben Sie die entsprechenden Informationen ein F gen Sie die Informationen f r den Standard Gateway und den DNS Server ein in der Regel wird WinRoute als DNS Server verwendet und verwenden Sie die IP Adresse des WinRoute Computers z B 192 168 1 1 Die anderen Optionen k nnen Sie freilassen Installation und Konfiguration 87 Default Options 255 255 255 0 192 168 1 2 Edit S ggg kmaidk WONS Server Domain Name 152 16811 32 168 1 1 Lease Time INS Server 88 WinRoute Pro 4 1 Benutzerhandbuch gt Hinweis Die IP Adresse der Ethernet Schnittstelle Verbindung zum LAN auf dem WinRoute Computer muss zugewiesen werden Diese IP Adresse wird auf den anderen Computern als Standard Gateway und in der Regel als DNS Server eingerichtet IP Konfiguration mit einem fremden DHCP Server Wenn Sie einen DHCP Server eines anderen
92. enden Pakete erfasst Mit anderen Worten jedes Paket erh lt zwei Eintr ge einen f r ausgehend und einen f r eingehend Was bedeutet AUSGEHENDES EINGEHENDES Paket In WinRoute wird die Engine als Zentrum des gesamten Systems betrachtet Dies bedeutet dass alle Pakete die WinRoute verlassen AUSGEHENDE Pakete sind und zwar unabh ngig davon ob s e n das Internet oder n das LAN gesendet werden Ebenso werden alle Pakete die ZUM WinRoute Computer geleitet werden als EINGEHEND angesehen unabh ngig davon woher sie kommen Dies muss beim Festlegen der Sicherheitsregeln beachtet werden outgoing WinRoute PC outgoing INTERNET incoming LAN incoming Anwendung der Regeln Von OBEN nach UNTEN Die Regeln werden n einer Liste festgelegt und von oben nach unten angewandt Wenn ein Paket an der Schnittstelle ankommt wird es auf die in der Liste vorhandenen Regeln hin berpr ft Die Pr fung beginnt mit der ganz oben stehenden Regel und endet mit der Regel ganz unten Treffen die Regeln auf das Paket zu wird die Regel angewandt und die nachfolgenden werden ignoriert Regeln k nnen auf Folgendes angewandt werden einzelne Benutzer einen IP Adressenbereich Installation und Konfiguration 119 eine benutzerdefinierte Gruppe von IP Adressen um eine Gruppe von Benutzern festzulegen sehen Sie 1m Referenzteil dieses Handbuches nach das gesamte Teilnetz oder Netzwerk
93. enn 48 Etweiterte HIG CNS MAMI zu een 50 Informationen zum Cache Speicher en 51 Cache Einstellungen a 20er 52 Time OSS sa ass ee een ee 55 So veranlassen Sie die Benutzer Proxy anstelle von NAT zu verwenden 57 So verwenden Sie den Parent Proxy Server cccccccceeeeeeeeseeeeeeeeeeeees 58 MAIES OVO ee ee ee 60 Der MAIL Server von WinRoute uuseseeseeseseeseseseneennennnnnnnnnnnnnnnnnennnnn 60 Benutzerkonto es ee ee 61 Informationen zu den Benutzerkonten nnnen 6l Ben een a cactaehic sen tas auestaadeanenicae 6l Hinzuf gen eines Bemizersansseiee iu 62 Bemor OL UCM een 64 Bernverwalline ze ee res 65 ZOEN A se es Tee es n he ee 67 Installation und Konfiguration Kapitel 2 SYStEMVOraussetzungen eeeeeneeneeeeesnennnnssssennnnnnnnnnennnnnnnnnnnsssnnnnnnnssnnennnnnnnssssssennnnnnnn 70 Checkliste u een ee E 71 Gly Al Ce KON MKE A ege 74 Verwallenanit WinR OULE sy een TI Verwalten des lokalen Netzwerks uuuuusseseeeeeeseeneenennenseneeneneeeeeennnnn 21 Verwalten ber das Internet eseeseiikllee 79 Verlust des Verwaltungskennwofts cccccccccccccccceeeeceeceeeeeeesseeeeeeeeseeeeees 82 Einrichten des Netzwerks DHCP ccccccceeecceccceceeeeceeeeseesseeeseeeeeeececeeeeeeeaaas 83 Intonnamonen zu DHCP 2er ei 83 Standard Gateway im berblick uccaeeeenenennennnnnnnennennennennnn 83 Die Auswahl des geeigneten WinRoute Comp
94. er leitet die Pakete weiter DEFAULT ROUTE auf dem Router der beide Netzwerke verbindet leitet alle Pakete die von Netzwerk2 kommen an die Netzwerk1 IP Adresse des WinRoute Computers weiter Dann n mmt WinRoute f r diese Pakete NAT vor und sendet sie in das Internet Einsatzbeispiele 189 Beispiel In unserem Beispiel gibt es zwei Netzwerke 192 168 1 x und 192 168 2 x der Router befindet sich an 192 168 1 100 Hinweis Als Router k nnen Sie jeden auf Hardware basierenden Router verwenden aber auch jeden W n95 98 Computer mit WinRoute oder Windows NT Einstellungen fur Netzwerk1 Hauptnetz Folgendes m ssen Sie Ihrem WinRoute Computer mitteilen Alle Pakete die an Netzwerk 192 168 2 0 gehen m ssen den Router 192 168 1 100 passieren 1 Rufen Sie die MS DOS Eingabeaufforderung auf 2 Geben Sie folgenden Befehl ein Route p add 192 168 2 0 mask 255 255 255 0 LO 2st 66 ack OO Auf dem Router 192 168 1 100 muss die Standardroute zum WinRoute Computer f hren d h 192 168 1 1 Das bedeutet dass Sie Ihren Router so einstellen m ssen dass alle in das Internet gehenden Pakete ber den WinRoute PC geleitet werden Alle anderen Netzwerkeinstellungen werden den Erl uterungen in anderen Kapiteln entsprechend durchgef hrt Netzwerkeinstellung 190 WinRoute Pro 4 1 Benutzerhandbuch Einstellungen fur Netzwerk2 Nebennetz Alle Einstellungen entsprechen den regul ren Einstel
95. erbindung zum Internet besteht Sollte es nicht m glich sein E Mails zu versenden bzw zu empfangen ist m glicherweise NAT nicht richtig konfiguriert Folgen Sie den Anweisungen in der Checkliste um NAT richtig zu konfigurieren Einsatzbeispiele 153 KAPITEL 3 EINSATZBEISPIELE In diesem Kapitel IPSEC NOVELL und PPTP VPN L sungen 154 PNS LEOID nase 163 Ausf hren von WWW FTP DNS und Telnet Servern hinter WinRoute 169 FTP Aspekte unter Verwendung nicht standardm iger Anschl sse 174 Spezielle Netzwerken 177 Verbinden mehrerer Netzwerke ccccccccceeeeeeeeeeeeees 179 Multiport Ethernet Adapter ccccssssssessssesesesseeeeeees 192 VMW ae use erg 197 154 WinRoute Pro 4 1 Benutzerhandbuch IPSEC NOVELL und PPTP VPN Losungen In diesem Abschnitt IPSEC VEN 2a een 154 Novell Border Manager VPN u 158 Ausf hren eines PPTP Servers hinter NAT 160 Beispiele f r PPTP L sungen 161 Ausf hren von PPTP Clients hinter NAT 162 IPSEC VPN WinRoute Pro 4 1 unterst tzt IPSEC im so genannten Tunnel Modus Der Tunnel Modus sollte jeden IPSEC Client unterst tzen mit dem die Transport IP Adresse ver ndert werden kann Hinweis WinRoute unterst tzt keine Checkpoint Secure Remote VPN Client Software WinRoute Einstellungen Zugeordneten Anschluss fur ESP erstellen Protokoll ungl
96. erk ip 192 168 1 1 mask 255 255 255 0 Ben gw none dns A 68 0 0 nicil Jince i d EES ip address Cy obtained via DHCP cr assigned manually NAT NIC Network Interface Card Installation und Konfiguration 93 WinRoute Konfiguration Fuhren Sie folgende Schritte aus um eine Verbindung zum Internet herzustellen Gehen Sie zum Men Einstellungen gt Schnittstellentabelle W hlen Sie die Netzwerkkarte die zum Internet f hrt aus klicken Sie auf Eigenschaften und aktivieren Sie NAT mit der IP Adresse dieser Schnittstelle f r den gesamten passierenden Datenverkehr ausf hren Wenn Sie das Dialogfeld Schnittstellentabelle ffnen sehen Sie neben dieser externen Verbindung NAT EIN angezeigt berpr fen Sie dass NAT an der Schnittstelle zum internen Netzwerk NICHT EIN ist Gehen Sie zu den Eigenschaften dieser Schnittstelle in der Schnittstellentabelle Uberpriifen Sie dass KEIN Gateway in den TCP IP Eigenschaften der internen Netzwerkkarte eingerichtet ist Gehen Sie zu den Netzwerkeinstellungen Vergewissern Sie sich au erdem dass der Netzwerkkarte eine IP Adresse zugewiesen ist berpr fen Sie dass die Netzwerkkarte zum Internet mit den Daten von Ihrem Internetdiensteanbieters richtig zugewiesen wurde Falls Sie dynamisch zugewiesene IP Adressen haben lassen S e die IP Adresseinstellungen frei Weitere Netzwerkeinstellungen finden S e n den entsprechenden Kapiteln
97. erkkarte eine private IP Adresse zugewiesen ist z B 10 10 1 1 6 berpr fen Sie dass der zum Internet f hrenden Netzwerkkarte die Daten Ihres ISP TCP IP Eigenschaften zugewiesen wurden Hinweis Bei dynamisch zugewiesenen IP Adressen lassen S e d e IP Adresseinstellungen frei gt Inder Regel sollte NAT an beiden Schnittstellen zum Internet RAS und DFU auf EIN eingestellt sein Verbindung ber DF oder ISDN Verbindung ber DF oder ISDN Wenn Sie an einem PC auf dem W n95 Win98 oder NT4 0 ausgef hrt wird ber einen DF Zugang zum Internet verf gen die blichen 56 K oder ISDN haben Sie alles was Sie f r die Ausf hrung von WinRoute ben tigen WinRoute muss auf einem Computer ausgef hrt werden auf dem Folgendes installiert ist ein an die Telefon oder die ISDN Leitung angeschlossenes Modem 100 WinRoute Pro 4 1 Benutzerhandbuch eine zum internen Netzwerk f hrende Netzwerkkarte NIC ip 192 168 1 1 C mask 255 255 255 0 pty Qiu none dns A B C D 5 al RAS lined evox F M NAT ip 192 168 1 2 4 mask 255 255 255 0 gw 182 168 1 1 dns A B C D modem Binni Wenn Sie ber ein ISDN Modem verf gen das ber Ethernet Karte mit Ihrem Computer verbunden ist lesen Sie im Kapitel ber die Verbindung mit DSL nach In diesem Fall konfigurieren Sie WinRoute so dass es mit zwei Ethernet Karten arbeitet Vor dem Verbindungsaufbau Bevor Sie die
98. erwendeter Befehl um eine Zeitverl ngerung herzustellen zu vereinbaren Nachdem der SMTP Server eine Verbindung hergestellt hat sollte dieser eine Anfrage f r SMTP Mail ausf hren Der ETRN Befehl wird berall dort verwendet wo ein SMTP Server nicht 24 Stunden online ist und die E Mails f r solche Server in einem Zwischenspeicher eines anderen SMTP Servers gespeichert werden m ssen Installation und Konfiguration 143 Falls erforderlich k nnen Sie einen ETRN Zeit berschreitungsintervall festlegen rufen Sie die Registerkarte Erweitert Hail Server Settings x General Aliases Remote POF3 Scheduling Anti Spam Advanced Server Port Numbers POPS port i 10 Use Defaults SMTP port 25 Advanced Options Mail Directory Je program Hles winroube yma Browse Internet hostname hamilton pacbeilnei Limit the size of the SMTP messages to 256 kE ETAN command timeant li 0 E Zeituberschreitung des ETRN Befehls Dieser Eintrag gibt an wie viele Male der SMTP Server von WinRoute eine Anfrage an SMTP Mail richten soll nachdem eine Verbindung erstellt wurde 144 WinRoute Pro 4 1 Benutzerhandbuch Mehrere Domanen Mehrere Domanen Ihrer Internetverbindung k nnen mehrere Dom nen zugewiesen sein Falls Sie mehrere Dom nen besitzen geben Sie alle im Men Einstellungen gt Mail Server gt Registerkarte Allgemein ein und trennen Sie diese durch einen Semikolon Releva
99. esesseeeeseens 32 DHCP SO nn este 4 DONS P Or Warder see 43 PROX YSO Cl ei re 45 MATEASenver cranna 60 Benutzerk nten nee er 61 PSTN VS TWAIN asien 65 ZEH MAL VAs eana Ruamuden an aweaan heen ude seen 67 6 WinRoute Pro 4 1 Benutzerhandbuch WinRoute Zusammenfassung WinRoute Pro ist die neueste Internet Router und Firewall Software mit der alle Computer Ihres Netzwerkes praktisch m helos so eingerichtet werden k nnen dass sie eine einzelne Internetverbindung gemeinsam nutzen k nnen Stellen S e die Verbindung ber DFU DSL Kabel ISDN LAN T1 Radio DirecPC her So einfach ist das Fernverwaltung WinRoute Administrator stellt die Konfiguration und Einstellungen auf der WinRoute Engine bereit Bei WinRoute Administrator handelt es sich um eine separate Anwendung wradmin exe die von jedem Computer im Netzwerk ausgef hrt werden kann mit dem der WinRoute Engine Computer verbunden ist Der Zugang zur Engine ist durch eine komplizierte Verschl sselung und ein Kennwort gesichert Protokollierung WinRoute Pro verleiht jedem Administrator v llige Kontrolle ber den Datenverkehr der durch den Host Computer auf dem das Programm ausgef hrt wird flie t Der Administrator profitiert von der Analyse des Datenflusses von TCP UDP ICMP ARP Paketen DNS Abfragen Treiberinformationen und vielem mehr Jeder Vorgang ist mit einem Zeitstempel versehen NAT Router WinRoute umfasst die beste heute verf gbare
100. etMeeting 3 0 WinRoute unterst tzt das H 323 Protokoll Dies bedeutet dass alle Voice Over IP Anwendungen uber WinRoute kommunizieren k nnen Zu diesen Anwendungen geh ren Microsoft NetMeeting CuSeeMee Telefonieren ber das Internet Sie k nnen beispielsweise das IP Telefon von Siemens mit WinRoute ausfuhren und andere Anwendungen Bei Initiierung der Kommunikation hinter WinRoute In einem solchen Fall sind keine Einstellungen erforderlich WinRoute unterst tzt eine praktisch unbegrenzte Anzahl von simultanen Verbindungen Einrichtung der Kommunikation vom Internet zu einem PC hinter WinRoute In diesem Fall ist eine Anschlusszuordnung erforderlich Das hei t in WinRoute muss angegeben werden wohin die eingehenden H 323 Pakete geleitet werden sollen Nehmen Sie die Anschlusszuordnung wie folgt vor Protokoll TCP berwachungs IP Adresse die f r H 323 IP verwendet wird nicht spezifiziert bei Vorliegen eines Multihome Systems berwachungs 1720 anschluss Ziel IP Die LAN IP Adresse der H 323 Anwendung Zielanschluss 1720 206 WinRoute Pro 4 1 Benutzerhandbuch H 323 Protokoll wird nicht nur an Anschluss 1720 ausgef hrt WinRoute f gt die anderen Verbindungen automatisch hinzu Wegen der Begrenzung des H 323 Protokolls wird jeweils immer nur eine Workstation eine solche Daten bertragung durchf hren k nnen Firewall Konfiguration 207 IRC Internet Relay Chat F r die Ausf hrung des
101. f gen kann aber auch f r Einzelrechner mit hohen Sicherheits und Anonymit tsanforderungen wie Zugriffs berwachungsanlagen von gro em Nutzen sein Software zur Zugriffs berwachung wie Real Secure von Internet Security Systems ISS ware auf einem von WinRoute gesch tzten Host praktisch unsichtbar Letztlich bernimmt die WinRoute Engine die gesamte Weiterleitung der Kommunikation auf dem zu Grunde liegenden Betriebssystem gleichg ltig ob es sich um Windows 9x NT oder 2000 handelt Dies garantiert dass falls aus irgendeinem Grund die WinRoute Engine nicht richtig arbeitet kein Datenverkehr zwischen den Netzwerken umgeleitet wird Diese Sperrfunktion bei Ausf llen stellt seit vielen Jahren den traditionellen Standard f r Firewall Konfigurationen dar und dient dazu private Netzwerke m Falle eines allgemeinen Systemausfalls zu sch tzen 28 WinRoute Pro 4 1 Benutzerhandbuch Regeln Trotz der theoretischen Fragen die die Paketfilterung betreffen liegt die Hauptursache f r eine Fehlfunktion eines modernen Firewall Systems in der fehlerhaften Konfiguration Dies ist insbesondere der Fall wenn die mit der Administration betrauten Personen nicht genug Erfahrung mitbringen WinRoute macht die Konfiguration von Filtern einfach und bietet dennoch ausreichend Flexibilit t so dass selbst unerfahrene Netzwerkadministratoren mit geringf gigen Kenntnissen ber TCP IP mit ein paar Mausklicks eine sichere Konfigura
102. fahren Sie den Computer erneut hoch und f gen Sie es wieder hinzu Die Leistungsf higkeit ist garantiert 76 WinRoute Pro 4 1 Benutzerhandbuch Proxy Client Software Bei manchen PROXY Servern ist es notwendig dass auf allen Client Maschinen Software installiert wird Auf Grund der Client Software werden Anfragen von den Anwendungen an den PROXY Server gesendet Falls die PROXY Software des Client nicht entfernt wird kann dieser Computer nicht mit dem Internet verbunden werden da WinRoute nicht als PROX Y Server eingerichtet ist Falls der Client nach wie vor keine Verbindung zum Internet herstellen kann installieren Sie TCP IP und die entsprechenden Einstellungen neu und starten Sie den Computer erneut Netzwerkkarten Treiber Versuchen Sie die standardisierten Netzwerkkarten zu verwenden Wenn eine spezielle alte oder sehr neue Karte in Ihrem Computer installiert ist verf gt der entsprechende Treiber m glicherweise ber spezielle Anweisungen die die Kommunikation mit WinRoute verhindert Versuchen Sie eine standardisierte Ethernet Karte in Ihrem Netzwerk zu finden und deren Position auszutauschen Nicht wenige urspr nglich unzufriedene Kunden wurden zu zufriedenen Kunden nachdem sie lediglich die Karte ausgetauscht oder den Treiber aktualisiert haben WinRoute ist eine v llig neutrale Router Firewall Software bei der es nicht erforderlich ist Client Software auf Client Computern auszuf hren Es
103. g Protokoll d h der Mail Server kann E Mails versenden oder empfangen Es ist jedoch nicht m glich E Mails bei einem anderen Mail Server der dieses Protokoll verwendet abzuholen SMTP Protokoll ist ein TCP Protokoll das an Anschluss 25 ausgef hrt wird Wenn Sie auf dieses Protokoll mit dem Mail Server der hinter oder am WinRoute Computer ausgef hrt wird zugreifen m chten um anderen Mail Servern das Recht einzur umen Ihnen E Mails zu senden oder um diesen Mail Server f r den Versand Ihrer E Mails einzusetzen wenn Sie s ch in Ihrem LAN befinden m ssen Sie die Anschlusszuordnung f r das TCP Protokoll durchf hren Anschluss 25 sendet die E Mails an die private IP Adresse des PCs auf dem der Mail Server ausgef hrt wird T TCP IP TCP IP ist eine Zusammenfassung von Netzwerkprotokollen die fur die Kommunikation zwischen mehreren Computern verwendet wird Alle Protokolle basieren auf Paketen Das bedeutet dass alle versandten Daten in kleine Bereiche aufgeteilt und uber das Netzwerk versandt werden Zu den TCP IP Protokollen gehoren IP TCP UDP ICMP und andere auf IP Adressen basierende Protokolle U UDP User Datagram Protocol verwendet einen speziellen Pakettyp der Datagramm genannt wird Datagramme erfordern keine Antwort und werden nur in eine Richtung ausgef hrt Datagramme werden vor allem f r Streaming Media verwendet da ein gelegentlicher Paketverlust das endg ltige Pr
104. gen 72 Index 241 T T1 oder LAN Verbindung 107 TCP IP 243 Time to Live 56 Token Ring Netzwerke 182 U UDP 243 Umfangreiche Protokollunterst tzung 9 Unidirektionales Kabelmodem Modem in Betrieb Kabel ausser Betrieb 101 V Verbinden mehrerer Netzwerke e 184 Verbinden ffentlicher und privater Segmente DMZ 185 Verbinden berlappender Segmente ber eine IP Adresse 192 Verbindung ber DFU oder ISDN 103 Verlust des Verwaltungskennworts e 84 Verwalten des lokalen Netzwerks e 79 Verwalten mit WinRoute 79 Verwalten ber das Internet 81 VMWare 202 VPN 243 VPN Unterst tzung 24 W WinRoute Mail Server 153 WinRoute Beschreibung 5 242 WinRoute Pro 4 1 Benutzerhandbuch WinRoute Zusammenfassung 6 Z Zeitintervalle 68 Zeitplan f r den E Mail Austausch 142 Zugriff auf FTP Server mit nicht standardm igen Anschl ssen e 179 Zus tzliche Anschlusszuordnungen f r g ngige Spiele und Anwendungen 227
105. gt eine fur die Verbindung mit dem Internet die andere fur die Verbindung mit dem lokalen Netzwerk 2 Klicken Sie auf die zum Internet f hrende Netzwerkkarte und rufen Sie das Men Eigenschaften auf Aktivieren S e das Kontrollk stchen NAT mit der IP Adresse dieser Schnittstelle f r den gesamten passierenden Datenverkehr ausf hren Interfaces NAT Ea Available Interfaces IP Address Ba Ethernet LAN NIC Kingston 192 168 1 1 H Ethernet Internet MIC Link Sys 635 192 212 259 Oni Interface Properties NAT Interface Description Name Intemet NIC Link Sps Ha Pode aaea Wask 255 255 25A 0 Ethernet ina address 0O c0 f0 3c 23 2b T Exclude this computer from MAT Installation und Konfiguration 99 3 Klicken Sie auf RAS Schnittstelle und rufen Sie Eigenschaften auf Aktivieren Sie das Kontrollk stchen NAT mit der IP Adresse dieser Schnittstelle f r den gesamten passierenden Datenverkehr ausf hren W hlen S e auf der Registerkarte RAS die Verbindung aus f r den Verbindungsaufbau zu Ihrem ISP aus Geben Sie anschlie end Ihren Benutzernamen und das Kennwort ein 4 Vergewissern S e sich das NAT an der Schnittstelle zum internen Netzwerk NICHT EIN ist wechseln Sie zu den Eigenschaften dieser Schnittstelle 5 berpr fen Sie dass in den TCP IP Eigenschaften der internen Netzwerkkarte KEIN Gateway eingerichtet ist wechseln Sie zu den Netzwerkeinstellungen und dass der Netzw
106. gurieren Sie einfach die Anschlusszuordnung in WinRoute so dass im Netzwerk ankommende Pakete an den Computer des Spielers hinter der Firewall weitergeleitet werden Die verwendeten Anschl sse variieren von Spiel zu Spiel Bitte lesen Sie in der Dokumentation zu dem jeweiligen Spiel nach oder rufen S e den technischen Support Ihres H ndlers an um ausf hrlichere Informationen zu erhalten Dieses Handbuch enth lt nur einige Beipiele zu den Einstellungen der bekanntesten Spiele 218 WinRoute Pro 4 1 Benutzerhandbuch Aasheron s Call Asheron s Call ist ein bekanntes Spiel der Microsoft Gaming Zone Folgende Einstellungen sind f r die Ausf hrung dieses Spiels auf einem Computer hinter GameRouter erforderlich 1 ffnen Sie das Men Einstellungen gt Erweitert gt Anschlusszuordnung 2 Nehmen Sie folgende Einstellungen vor Name S1 S2 S3 S4 S5 Anschluss 2300 2400 9000 9013 6667 28800 29000 nummer Ziel IPdesPC IPdesPC IP des IP des PC mit IP des mit dem mit dem PC mit dem Spiel PC mit IP Spiel Spiel dem dem Spiel Spiel Protokoll TCP UDP UDP TCP TCP Battle net Blizzard Folgende Anschlusszuordnung ist f r die Spiele von Battle net erforderlich Es kann jeweils nur ein Spieler teilnehmen Protokoll TCP UDP berwachungs IP nicht spezifiziert berwachungsanschluss 6112 Ziel IP IP Adresse des Spieler Computers z B 192 168 1 6 Zielanschluss 6112 Firewall Konfiguration 219 Half Life
107. he Hinzuftigen um ein neue Regel hinzuzuf gen die den WinRoute Host befahigen Verbindungen mit Webservern an Anschluss 80 herzustellen Ausgewahltes Protokoll TCP Quell Typ Host IP Adresse externe Adresse Ihrer WinRoute Firewall z B 204 23 43 26 Zielanschluss Gleich 80 w hlen Sie unter Aktion zulassen 4 Klicken Sie erneut auf die Schaltfl che Hinzuftigen um eine weitere Regel hinzuzuf gen mit der alle anderen TCP Verbindungen mit Anschluss 80 abgelehnt werden Ausgew hltes Protokoll TCP Quell Typ Beliebig Zielanschluss Gleich 80 Aktion Ablehnen Wenn Sie Versuche protokollieren m chten aktivieren Sie das Kontrollk stchen In Datei protokollieren Packet Filter x Incoming Outgoing T LAN Nit Zoe len i gp DC21x40001 os H Any interface Installation und Konfiguration 129 gt Hinweis Wenn Sie zusatzliche Regeln konfigurieren denken Sie daran diese von OBEN nach UNTEN zu erstellen 130 WinRoute Pro 4 1 Benutzerhandbuch Einrichten des MAIL Servers In diesem Abschnitt Midi l Bent Zeer aos etc saicoe ds nesantaescanwtaaenaeatsiiawiaceaatencn Stes 130 E Mail Versand an andere Benutzer von WinRoute innerhalb Ihres Netzwerks 132 Aufthentifizierung unse 132 E Mail Versand in das Internet cccesceeeseeeneeennen 133 Alasnamen 2 see 136 Zeitplan f r den E Mail Austausch 138 Empfang vyon E Mall seen 140
108. hluss 110 Ziel IP IP Adresse des POP3 Mail Servers z B 192 168 1 10 Zielanschluss 110 Ausfuhren des Telnet Servers hinter NAT Telnet wird von Unternehmen fur die Fernverwaltung von Daten verwendet Dieses Protokoll wird vor allem von AS400 Servern verwendet Um einen Telnet Server hinter WinRoute auszufthren ist es erforderlich die Anschlusszuordnung fur das TCP Protokoll am Anschluss 23 einzurichten Es ist keine Einstellung notwendig um einen Telnet Client auszuf hren der auf den Telnet Server im Internet zugreift Protokoll TCP Uberwachungs IP nicht spezifiziert oder IP des Telnet Servers Uberwachungsanschluss 23 Ziel IP IP Adresse des Telnet Servers z B 192 168 1 10 Zielanschluss 23 174 WinRoute Pro 4 1 Benutzerhandbuch FTP Aspekte unter Verwendung nicht standardm iger Anschlusse In diesem Abschnitt Zugriff auf FTP Server mit nicht standardm gen Anschl ssen 174 FTP Server hinter WinRoute mit einem nicht standardm igen Anschluss 175 Zugriff auf FTP Server mit nicht standardm igen Anschl ssen Wenn Sie sich hinter WinRoute befinden und versuchen auf einen FTP Server mit einer anderen Anschlussnummer als 21 zuzugreifen erhalten Sie keinen Eintrag im Verzeichnis Damit dies funktioniert sind folgende Schritte erforderlich Aktivieren Sie den WinRoute Computer Schalten Sie die WinRoute Engine aus ffnen Sie das Men Start gt Ausf hren auf dem Desktop Gebe
109. ht noch einmal eingeben muss Auf der anderen Seite sollte der Benutzer sich dieser Funktion bewusst sein Wenn S e Ihren Benutzernamen und das Kennwort zu irgendeinem Zeitpunkt der Browser Sitzung eingegeben haben sollten Sie den Browser ausschalten wenn Sie nicht mehr mit dem Computer arbeiten um die von Ihnen zur Echtheitsbest tigung eingegebenen Daten aus dem Speicher zu l schen Erweiterte Eigenschaften Auf der Registerkarte Erweitert der Proxy Server Einstellungen k nnen Sie WinRoute so einrichten dass ein Parent ROXY Server verwendet wird Proxy Server Settings x General Cache Time to Live Access Advanced Proxy Settings Parent proxy Port 31 25 WinRoute Beschreibung 51 Mitunter werden Sie Zugang zu einem PROXY Server haben der ber einen sehr gro en Cache oder eine schnelle Internet Verbindung verf gt Ihre Verbindung zu diesem Server wird dann auch ziemlich schnell sein zumal vielleicht neben dem von Ihnen f r Ihre eigene Internetverbindung verwendeten Link ein zus tzlicher Link genutzt wird Um Ihren Datendurchsatz zu verbessern k nnen Sie festlegen dass der WinRoute Proxy alle Anfragen an den Parent PROXY Server weiterleitet Um dies zu tun geben Sie einfach den Namen dieses Parent Proxys sowie die Anschlussnummer in das entsprechende Feld in der Registerkarte Erweitert ein Informationen zum Cache Speicher Der WinRoute Proxy Server speichert Daten auf eine sehr
110. ht spezifiziert oder die IP Adresse die mit der Dom ne assoziiert ist Eine solche IP Adresse muss mit der Internetschnittstelle assoziiert sein berwachungsanschluss 21 Ziel IP Geben Sie die IP Adresse des FTP Servers ein z B 192 168 1 10 Zielanschluss 21 172 WinRoute Pro 4 1 Benutzerhandbuch Ausf hren eines FTP Servers mit einem nicht standardmaigen Anschluss Passen Sie die Anschlusszuordnung an den Anschluss an der vom FTP Server verwendet wird Ausfuhren des MAIL Servers hinter NAT Um den Mail Server hinter WinRoute auszufuhren empfehlen wir zwei Eintrage zur Anschlusszuordnung zu erstellen einen f r das SMTP Protokoll wird an Anschluss 25 ausgef hrt und eines f r das POP3 Protokoll wird an Anschluss 110 ausgef hrt So k nnen andere SMTP Server Ihren SMTP Server erreichen und S e k nnen Ihre E Mail ber POP3 aus dem Internet abholen Falls der MAIL Server auf dem WinRoute Computer ausgef hrt wird muss die Anschlusszuordnung eingerichtet werden Dies liegt an der Position des Inspektionsmoduls von WinRoute das unterhalb des TCP Stacks Datenstapel arbeitet so dass die Pakete verandert abgelehnt werden bevor sie das Betriebssystem erreichen SMTP Protokoll Protokoll TCP Uberwachungs IP Uberwachungsanschluss 25 Ziel IP IP Adresse des SMTP Mail Servers z B 192 168 1 10 Zielanschluss 25 POP3 Protokoll Protokoll TCP Einsatzbeispiele 173 Uberwachungs IP Uberwachungsansc
111. ht vorfinden vergewissern Sie sich dass Sie das richtige Telefonbuch eingerichtet haben ffnen Sie das Men Einstellungen gt Erweitert gt Versch Optionen und w hlen Sie das korrekte RAS Telefonbuch aus 5 berpr fen Sie die Verbindung Sie sollten in der Lage sein Pings an das entgegengesetzte Netzwerk zu senden und gleichzeitig auf das Internet zuzugreifen mee es 192 168 1 0 255 255 255 0 a 63 194 25 3 SE A Packets going to on 192 768 2 0 network routed through RRAS Interface to PPTP link z et route that p packets 24198342 2 Ze going to 192 168 1 0 network are routed Be T through ARRAS 492 168 2 0 aay fee eee 255 255 255 0 Ausfuhren von PPTP Clients hinter NAT Es m ssen keine Einstellungen durchgef hrt werden um PPTP Clients hinter WinRoute NAT auszuf hren die auf den PPTP Server im Internet zugreifen Sie k nnen so viele simultane Verbindungen einrichten wie n tig Einsatzbeispiele 163 DNS Losung In diesem Abschnitt DNS Server auf dem WinRoute PC cc nn ee 163 DNS Server hinter dem WinRoute PC 163 DNS und WWW Server hinter NAT 00 164 IND hes ose Bee 166 DNS Server auf dem WinRoute PC Das Ausf hren eines DNS Servers auf einem WinRoute PC birgt keine Schwierigkeiten Alle DNS Anfragen die am DNS Server
112. ichzeitig Mitglied mehrerer Gruppen sein Sie k nnen diesen Gruppen Rechte zuweisen gt Hinweis Die einer Gruppe zugewiesenen Rechte berschreiben die Rechte die dem einzelnen Benutzer zugewiesen wurden Mitglieder der Gruppe k nnen ber folgende Rechte verf gen Der Benutzer hat kein Recht WinRoute zu verwalten Der Benutzer hat Vollzugriff auf das Verwaltungsprogramm Ansichtsprotokoll Der Benutzer hat das Recht sich bei WinRoute Administration anzumelden und nur die Protokollfenster einzusehen Fehlerbehebungsinformationen Proxy Protokoll Mail Protokoll usw Der Benutzer besitzt keine dar ber hinausgehenden Zugriffrechte zur nderung von anderen Einstellungen Einwahlverbindungen kontrollieren Der Benutzer hat das Recht sich bei WinRoute anzumelden und die Internetverbindung einzurichten bzw zu unterbrechen Der Benutzer besitzt keine dar ber hinausgehenden Zugriffsrechte zur nderung von anderen Einstellungen WinRoute Beschreibung 65 Fernverwaltung WinRoute Pro bietet den Benutzern den Vorteil der Fernverwaltung Mit den entsprechenden Einstellungen ist es m glich Ihre Firewall von jedem Ort der Welt aus s cher zu verwalten Der Zugang zur Engine wird durch eine komplizierte Verschl sselung und ein Kennwort gesichert WinRoute Pro Komponenten WinRoute Pro 4 x besteht aus drei Modulen WinRoute Engine f hrt jede Weiterleitung und Analyse durch NAT Paketfilterung Anschlusszuordnu
113. ie Struktur der Pakete finden Sie im Kapitel ber die Paketfilterung POP3 POP3 Protokoll wird meistens von E Mail Client Software verwendet um die E Mail von den Postfachern der mit POP3 kompatiblen Mail Servern abzuholen Auch der Mail Server von WinRoute verf gt ber eine solche Funktion Das bedeutet er kann die E Mail automatisch bei jedem mit POP3 kompatiblen Mail Server abholen und diese weiter an die Postf cher lokaler Empf nger verteilen POP3 Protokoll ist ein TCP Protokoll das an Anschluss 110 ausgef hrt wird Wenn S e auf diesen Protokoll Mail Server zugreifen m chten der hinter oder auf dem WinRoute Computer ausgef hrt wird um Ihre E Mail AUS dem Internet abzuholen m ssen Sie die Anschlusszuordnung f r das TCP Protokoll durchf hren Anschluss 110 sendet die E Mails an die private IP Adresse des PCs der den Mail Server ausf hrt Postfacher in WinRoute Die Postfacher werden in einem separaten Verzeichnis angeordnet in dem WinRoute installiert wurde In der Regel ist dieses Verzeichnis c Programm Dateien WinRoute Mail Nach der Installation werden keine Postfacher eingerichtet auch nicht wenn Benutzer eingerichtet werden Die Postfacher werden in der Regel erst eingerichtet NACHDEM die erste E Mail fur einen Benutzer eingegangen ist PPTP PPTP Point To Point Tunnelling Protocol ist ein VPN Protokoll das vom Microsoft Betriebssystem verwendet wi
114. ie Verwendung des so genannten Tunnel Modus der dem PPTP Protokoll hnelt Das Paket beinhaltet dann den IP Header f r den Transport erforderlich der n cht verschl sselt st und den Datenteil der das gesamte verschl sselte Originalpaket enth lt Das Protokoll IKE mitunter als ISAKMP bezeichnet wird f r die Echtheitsbest tigung verwendet Austausch von Sicherheitsschl sseln IKE wird am UDP Protokoll Anschluss 500 ausgef hrt Dieser Anschluss wird als Quell und Zielanschluss verwendet AH verwendet Protokoll 51 ESP das Protokoll 50 IPSec kann weiterhin mit der gesamten Zertifizierungsstelle kommunizieren wenn Protokolle verwendet werden die nicht in NAT eingreifen Das Protokoll 50 wird automatisch in WinRoute integriert so dass keine Anschlusszuordnung notwendig ist Die einzige Voraussetzung um eine Verbindung automatisch herzustellen ware dann die Initialisierung der Verbindung VOM lokalen Netzwerk aus Einsatzbeispiele 157 Die meisten Anbieter von IPSec verwenden den Algorithmus MD5 und SHA1 f r die Echtheitsbest tigung und DES 3DES und Blowfish f r die Verschl sselung IPSec ist nicht eng mit einem speziellen Algorithmus verbunden so dass die L sungen verschiedener Anbieter inkompatibel sein k nnten 158 WinRoute Pro 4 1 Benutzerhandbuch Novell Border Manager VPN Verwenden von WinRoute Pro in Verbindung mit Novell BorderManager VPN IPSEC Dieses Dokument beschreibt die Einstellungen
115. ienste die den Datentransfer sowie den Chat von PC zu PC oder von PC zu Telefon unterst tzen WinRoute Pro wurde mit den folgenden Konfigurationen erfolgreich getestet AOL Instant Messenger Yahoo Instant Messenger MSN Messenger und ICQ AIM erfordert keine speziellen Einstellungen Verwenden Sie die Standardeinstellungen f r die Verbindungen und geben Sie nicht an dass Sie einen Proxy Server verwenden Yahoo IM Benutzer m ssen die Voreinstellungen f r die Anmeldung gt Verbindung in keine Netzwerkerkennung ndern Alle Dienste von Yahoo IM sollten mit dieser Einstellung korrekt hinter NAT ausgef hrt werden MSN Messenger arbeitet am besten unter Verwendung von HTTP Proxy Aktivieren Sie den WinRoute Proxy am Standardanschluss 3128 zus tzlich zur Network Address Translation Der Chat von PC zu PC kann derzeit nicht ausgef hrt werden der Chat von PC zu Telefon funktioniert jedoch ICQ kann in den meisten F llen mit den Standardeinstellungen der neuesten Version ausgef hrt werden Wenn Sie bei der Ausf hrung von Daten bertragungen auf Schwierigkeiten sto en empfehlen wir den HTTP Proxy der sich n Voreinstellungen gt Verbindungen gt Server befindet sowie die Firewall zu verwenden Aktivieren Sie den WinRoute Proxy am Standardanschluss 3128 zus tzlich zur Network Adress Translation Hinweis F r diese Anwendungen ist keine Anschlusszuordnung erforderlich Firewall Konfiguration 205 H 323 N
116. ieters verwenden indem Sie diese direkt in die entsprechenden Felder der TCP IP Konfiguration jedes Netzwerkcomputers eingeben Installation und Konfiguration 73 gt Wenn WinRoute nur als Firewall oder MAIL Server verwendet wird d h ohne Anforderung hinsichtlich gemeinsamer Internetnutzung ist es NICHT notwendig NAT f r eine Schnittstelle zu aktivieren gt Die Schnittstellen am WinRoute Computer m ssen verschiedene IP Adressen von verschiedenen Netzwerken haben In der Regel haben Sie eine lokale LAN Schnittstelle und eine Internetschnittstelle In diesem Fall treten keine Probleme auf F r den Fall dass Sie drei Schnittstellen haben 2 lokale und eine Internetschnittstelle sollten Sie den lokalen Schnittstellen IP Adressen von unterschiedlichen Netzwerken zuweisen eine 192 168 1 1 und die andere 192 168 2 1 74 WinRoute Pro 4 1 Benutzerhandbuch Software Konflikte Hinsichtlich inkompatibler Software sind folgende Probleme bekannt Norton Antivirus Deaktivieren Sie Anschluss 110 in der Norton Antivirus Konfiguration wenn Sie den MAIL Server von WinRoute ausf hren m chten Wenn Sie Anschluss 110 in Norton aktiviert lassen wird der Computer nicht gestartet WinGate Deinstallieren Sie WinGate vor der Installation Deinstallieren Sie sowohl die Server als auch die Client Software SyGate Deinstallieren Sie SyGate vor der Installation Deinstallieren Sie sowohl die Server als auch die Client Soft
117. ietet diese Funktion unter WindowsNT wenn RAS Dienste installiert und konfiguriert sind Bestimmte Kriterien sind einzurichten Das Netzwerk Ihres Unternehmens hat ein Teilnetz z B 192 168 1 0 Der DHCP Server weist Benutzern die ber RAS zugreifen IP Adressen eines anderen Teilnetzes z B 192 168 2 0 zu NAT wird nur an der Schnittstelle zum Internet ausgef hrt EL ONE EUER i ar Einsatzbeispiele 187 IC JVEUCULOL Uc GJIC INC WOUILK Ka VY UIC u L VRAIS NC WOILK u UT IP Adresse eines Teilnetzes besitzen muss z B 192 168 1 1 Dagegen ben tigt der Benutzer der ber RAS eine Verbindung zu Ihrem Server aufbaut eine IP Adresse eines anderen Netzwerks z B 192 168 2 1 WinRoute fungiert als Router es kann Pakete zwischen zwei oder mehr Schnittstellen verschiedener Netzwerke umleiten jedoch nicht aus demselben Netzwerk 9 Diese Einstellung spiegelt die eines kleinen Internetdiensteanbieters wider Mit WinRoute ist die Anzahl der Benutzer die gleichzeitig auf Ihren NT Server zugreifen nicht begrenzt Solange Ihr NT Server IP Adressen an externe Benutzer von verschiedenen Teilnetzen andere als das haupts chliche Netzwerk ausgibt wird die Anzahl der Benutzer durch die Anzahl der RAS Schnittstellen die Sie installiert haben begrenzt Verbinden uberlappender Segmente uber eine IP Adresse Die Netzwerkeinstellung bei der die zu verbindenden Netzwerke nicht direkt zum WinRoute Computer
118. iffen wird die Sie vom Internet aus zuganglich machen m chten 3 Weisen Sie die interne IP Adresse entweder manuell oder ber den DHCP Server Zu 4 Richten Sie WinRoute so ein dass NAT an beiden Schnittstellen durchgef hrt wird 5 Richten Sie f r die Dienste die Sie innerhalb Ihres Netzwerks ausf hren m chten die Anschlusszuordnung ein Nach Vornehmen dieser Einstellungen erhalten externe Benutzer vom Internet aus Zugang zu Ihren internen Diensten die an bestimmten Anschl ssen ausgef hrt werden F r die Sicherheit eines solchen Zugangs sorgt die Firewall von WinRoute 18 WinRoute Pro 4 1 Benutzerhandbuch Anschlusszuordnung Paketweiterleitung WinRoute f hrt NAT durch und macht somit das gesch tzte Netzwerk von au en unzug nglich Durch die Anschlusszuordnung oder Port Address Translation PAT werden ffentliche Dienste wie beispielsweise ein Internetserver oder ein FTP Server sowie andere auf Ihrem privaten Netzwerk laufende Server vom Internet aus zug nglich So funktioniert die Anschlusszuordnung Jedes Paket das von au erhalb des Netzwerkes aus dem Internet eingeht wird daraufhin berpr ft ob seine Eigenschaften d h das Protokoll der Zielanschluss und die IP Zieladresse mit dem jeweiligen Eintrag in der Anschlusszuordnungstabelle bereinstimmen Protokoll Zielanschluss IP Zieladresse Wenn das eingehende Paket die gew nschten Kriterien erf llt wird das Paket
119. in IPX Protokoll aktiviert ist Daher wird ein IPX Tunneling nur am Router Computer m glich sein Insgesamt bietet diese Einstellung einen kosteneffizienten und geeigneten Weg ein lokales Netzwerk das NAT verwendet mit einem entfernten Netzwerk zu verbinden das Novell Border Manager VPN benutzt Ausf hren eines PPTP Servers hinter NAT Um einen PPTP Server auf dem Netzwerk hinter WinRoute auszuf hren einschlie lich Computer auf denen WinRoute ausgef hrt wird m ssen S e die Anschlusszuordnung einrichten Wichtig Wenn sich der VPN Server auf der WinRoute Host Maschine befindet m ssen Sie die Ziel IP der ffentlichen Adresse zuordnen und nicht der privaten Die Uberwachungs IP sollte nicht spezifiziert bleiben F r die Kontroll Verbindung Protokoll TCP berwachungs IP Einsatzbeispiele 161 berwachungsanschluss 1723 Ziel IP IP Adresse Ihres PPTP Servers z B 192 168 1 12 Zielanschluss 1723 F r GRE PPTP Pakete Protokoll PPTP berwachungs IP Ziel IP IP Adresse Ihres PPTP Servers z B 192 168 1 12 Nach dem Einrichten der Anschlusszuordnung wie oben beschrieben k nnen Sie Ihren PPTP Server berall hinter WinRoute EINSCHLIESSLICH des WinRoute ausf hrenden Computers einrichten Die Benutzer greifen auf Ihren PPTP Server zu indem Sie sich ber die externe ffentliche IP Adresse Ihres Netzwerks einw hlen Wenn die Pakete den WinRoute Computer erreichen wer
120. it ICMP Quelltypen oder IP Quellprotokolle zuzulassen oder zu blockieren st f r Netzwerkadministratoren d e mit einer immer l nger werdenden Liste von zu unterst tzenden Anwendungsanforderungen konfrontiert sind von unsch tzbarem Wert Besonders relativ neue VPN Protokolle w e IPSec werden ber IP Protokolle 51 und 52 geleitet Diese sind mit einem der eingeschr nkteren Firewall Produkte die sich heute auf dem Markt befinden nicht zu filtern da sie nur auf TCP und UDP basierende Protokolle kontrollieren k nnen Anti Spoofing Zus tzlich bietet WinRoute Anti Spoofing Funktionen Funktionen zum Schutz vor elektronischer T uschung was verhindert dass Pakete mit ung ltiger Quelladresse innerhalb eines Netzwerks auftreten Anti Spoofing h tte die ICMP Smurf Angriffe mit den verteilten Denial of Service Angriffen auf so gro e Websites wie Yahoo und Buy com von denen 1m Februar 2000 berichtet wurde verhindern k nnen WinRoute Benutzer k nnen durch diese Funktion beruhigt zur cklehnen da sie wissen dass ihre Netzwerke vor solchen Angriffen gesch tzt sind 32 WinRoute Pro 4 1 Benutzerhandbuch Protokolle und Paketanalyse In diesem Abschnitt Informationen zu den Protokollen und der Analyse 33 Fehlerbehebungsprotokoll eeesssssssssssssseeenennenn 35 HTTP Proxy Protokoll 0eeneeeeneenennnnnennnn 37 Mail Protokol nen ea 39 GTI ETO KOU siete sis teas ea 40 WinRoute Be
121. itert 2 Geben Sie den gew nschten Host Namen in das Feld f r den Internet Host Namen ein In der Regel ist dies der Name des Computers der mit dem Internet verbunden ist z B host isp com Hail Server Settings Ea General Aliases Remote POF3 Scheduling Anti Spam Advanced Server Port Numbers POPS port i 10 Use Defaults SMTP port 25 Advanced Options Mail Directory 2 4 program Hles winroube yal Browse Internet hostname hamilton pacbell ned Limit the size of the SMTP messages to 256 kE ETAN command timeant li 0 cancel ae 136 WinRoute Pro 4 1 Benutzerhandbuch Aliasnamen Aliasnamen werden in WinRoute verwendet um Benutzern von WinRoute zusatzliche Adressen zuzuweisen sowie fiir die Substitution von E Mail Adressen Aliasnamen bieten folgende M glichkeiten mehrere Adressen f r den gleichen Benutzer eine E Mail Adresse f r mehrere Benutzer eine E Mail Adresse f r eine Gruppe von Benutzern mehrere Adressen f r eine Gruppe von Benutzern Beispiel Das Beispiel zeigt dass die M glichkeiten unersch pflich sind Das Unternehmen verf gt ber 2 Dom nen Unternehmen com Unternehmen2 com Der Benutzer Thomas soll E Mails empfangen f r thomas_sprecher unternehmen com thomas unternehmen2 com verkaufl unternehmen com support unternehmen com Installation und Konfiguration 137 Die E Mail fur verkauf unternehmen com soll auch
122. ks Um E Mails an andere Benutzer innerhalb Ihres LAN zu senden verwenden Sie den WinRoute Benutzernamen des Empf ngers und nicht seine vollst ndige Internet E Mail Adresse Beispiel Der Name des Empf ngers ist Thomas und seine vollst ndige E Mail Adresse lautet thomas Unternehmen com Es reicht wenn Sie nur Thomas in das Feld An der E Mail Nachricht eingeben Thema Aliasnamen Wenn Sie die vollst ndige E Mail Adresse eines lokalen Benutzers eingeben wird die Nachricht durch das Internet transportiert d h zum Relay SMTP Server von WinRoute und dann zur ck zu WinRoute Um dies zu verhindern m ssen Sie Aliasnamen spezifizieren gt Denken Sie daran Sie m ssen den WinRoute PC als ausgehenden Mail Server einrichten STMP Authentifizierung Authentifizierung Einige Internetdiensteanbieter f hren bei eingehenden E Mails eine Authentifizierungspr fung durch um Spamming zu vermeiden In diesem Fall m ssen S e Ihrem Diensteanbieter die entsprechenden Informationen zur Verf gung stellen 1 Gehen Sie in das Fenster Mail Server gt Register Erweitert 2 Geben Sie den gew nschten Host Namen in das Feld f r den Internet Host Namen ein blicherweise ist dies der Name des Computers der mit dem Internet verbunden ist z B host isp com Installation und Konfiguration 133 Hail Server Settings Ea General Aliases Remote POF3 Scheduling Anti Spam Advanced Server Port Numbers POP
123. len Sie Ihre E Mail Client Software nicht so ein dass sie den Proxy verwendet Sie m ssen die NAT von WinRoute f r den Zugriff auf das Internet verwenden und Ihre Client Software so einstellen dass sie direkten Zugang zum Internet hat Falls es Ihnen nicht m glich ist den Austausch von E Mails einzurichten bedeutet dies dass NAT nicht richtig konfiguriert ist In der nachfolgenden Checkliste finden Sie n here Informationen zur richtigen Konfiguration von NAT WinRoute Beschreibung 61 Benutzerkonten In diesem Abschnitt Informationen zu den Benutzerkonten 00000e 61 Benutzerseite 6l Hinzuf gen eines Benutzers ccccseeeesesssesseesseseseeens 62 Benu Zerr ppe Mis rer uaigauys 64 Informationen zu den Benutzerkonten WinRoute Benutzerkonten WinRoute kann mit individuellen Benutzerkonten die gruppiert werden k nnen programmiert werden konfiguriert unter Einstellungen Konten Benutzer Bereits vorhandene Benutzer von Windows NT 2000 k nnen auf der Registerkarte Erweitert unter Einstellungen Konten Men importiert werden Benutzer Als Benutzer von WinRoute k nnen Sie an der Verwaltung von WinRoute teilnehmen ber eine Mailbox verf gen und die Kriterien f r die Zugangsbeschr nkungen ber den WinRoute Proxy mitbestimmen Benutzer k nnen Gruppen erstellen und diesen die oben genannten Privilegien oder Einschr nkungen erteilen 62 WinRoute Pro 4 1 Benut
124. ll Das HTTP Proxy Protokoll ist ein leistungsstarkes Tool das Ihnen dabei hilft die Benutzeraktivitaten 1m Internet nachzuvollziehen Es bietet benutzerfreundlichere Informationen tiber Benutzer die auf das Internet zugreifen als das Fehlerbehebungsprotokoll Wann funktioniert das Protokoll HTTP Proxy Protokoll zeigt nur Daten an die ber den PROXY Server von WinRoute laufen Das bedeutet wenn Sie Daten vom PROXY Server abrufen m chten sollten Sie Ihre Benutzer dazu anhalten ber den PROXY Server zu gehen Weitere Informationen erhalten Sie 1m Kapitel uber Firewall Beispiele oder ber den PROX Y Server AuBerdem mussen Sie den Protokollzugang zur Konfiguration des Proxy Server aktivieren Proxy Server Settings x General Cache Time to Live Access Advanced oe Prox port 31 20 I Log access to proxy server To use the proxy server browser on the client PCs in the local network have to be setup to connect through the proxy server The IP address of the proxy server if the address of WinAoute s PC in the local network and the port is the value configured above 3126 by default 38 WinRoute Pro 4 1 Benutzerhandbuch Wie wird das HTTP Proxy Protokoll gelesen 192 168 1 3 roman 10 Nov 1999 10 22 20 0800 GET http dir altavista com Business shtml HTTP 1 0 200 13616 Von links nach rechts IP Adresse Name Name und derzeitige IP Adresse des Benutzers der auf das Internet zug
125. lung ist obligatorisch Wenn der DNS Server am selben Computer wie WinRoute ausgef hrt wird f hrt das Inspektionsmodul von WinRoute NAT durch BEVOR Pakete eine Anwendung erreichen einschlie lich des DNS Servers Protokoll UDP berwachungs IP nicht spezifiziert oder die ffentliche IP Adresse des DNS Servers den Sie betreiben m chten Uberwachungsanschluss 53 Ziel IP ffentliche oder private IP Adresse von DNS Einsatzbeispiele 171 Zielanschluss 53 ip 192 168 1 1 mask 255 255 255 0 gu none Corer dns 4 8 0 0 5 if nezooo evox ee d 194 196 1335 ip 194 196 1 42 ip 192 168 1 2 4 mask 255 255 255 0 guy 192 168 1 1 dns 4 8 0 0 255 255 255 0 mask 255 255 255 0 DNS gw 194 196 1335 5 KAT EWE gt Hinweis Es ist nicht m glich einen regul ren DNS Server am selben Computer wie den DNS Forwarder von WinRoute auszuf hren Beide Dienste verwenden Protokoll UDP Anschluss 53 Beide DNS Dienste am selben PC auszuf hren w rde zu schwerwiegenden Problemen beim IP Routing f hren Sie k nnen jedoch die Weiterleitungsfunktion von WinRoute AUSSCHALTEN wenn Sie den DNS Server auf dem WinRoute PC ausf hren m chten Ausf hren eines FTP Servers hinter NAT So f hren Sie einen FTP Server hinter NAT aus 1 ffnen Sie das Men Einstellungen gt Erweitert gt Anschlusszuordnung 2 F gen Sie die neue Anschlusszuordnung hinzu Protokoll TCP berwachungs IP nic
126. lungen bei denen Netzwerk ein eigenst ndiges Netzwerk darstellt Der Standard Gateway auf allen Computern von Netzwerk2 wird mit der IP Adresse des Routers von Netzwerk eingerichtet In unserem Beispiel 192 168 2 1 NAT zwischen Netzwerk1 und Netzwerk2 Figure 2 Connecting cascaded segments to the Internet Mit WinRoute und NAT EIN k nnen Sie das Haupt und Nebennetz miteinander verbinden Das Nebennetz erscheint wie ein einzelner Computer so dass Sie von einer einfacheren Verwaltung und erh hter Sicherheit des Nebennetzes profitieren k nnen Die Einstellungen f r erweiterte NAT m ssen ordnungsgem vorgenommen werden denn der Verkehr zwischen den beiden Netzwerken soll n cht modifiziert werden Einsatzbeispiele 191 ip 192 168 1 1 Network 1 mask 255 255 255 0 an ip 192 168 1 2 4 mask 255 255 255 0 gu 192 168 1 1 dns 4 6 0 0 ip 192 165 1 100 z i mask 255 255 455 0 ip 206 86 181 25 B mask 255 255 255 0 MAT ONS AACO gw 206 686 1681 57 Network 2 MAT ip 182 168 2 1 mask 255 255 255 0 Zi NANE ip 192 168 2 2 4 mask 255 255 255 0 gw 192 168 2 1 dns A B C D Einstellungen f r erweitertes NAT am WinRoute PC bei Aufteilung von Netzwerk1 und Netzwerk2 Ob NAT ausgef hrt wird oder nicht h ngt von der IP Zieladresse ab In unserem Beispiel werden die Adressen der Pakete mit dem Zielort 192 168 1 0 nicht ver ndert Auf diese Weise ist die Kommunik
127. m Handbuch f r den Administrator enthaltenen Anweisungen bez glich der Konfiguration von WinRoute Pro und den Computern des lokalen Netzwerks die mit WinRoute Pro arbeiten sollen vor Verwenden Sie die f r die gemeinsame Nutzung einer einzelnen IP Adresse bliche Konfiguration Vergewissern Sie sich dass auf die Ressourcen des Internets von jedem Computer des lokalen Netzwerks aus zugegriffen werden kann Schritt 3 Wenn Sie auf die Ressourcen des entfernten Netzwerks zugreifen m ssen f hren Sie den Novell Border Manager VPN Client am Router Computer aus und melden Sie sich am entfernten Netzwerk an 160 WinRoute Pro 4 1 Benutzerhandbuch Dies wird durch die Architektur von WinRoute Pro m glich Da es auf IPSEC Niveau arbeitet findet die Adress Ubersetzung statt bevor die Pakete zum virtuellen Netzwerkadapter geleitet werden Daher haben die an den VPN Server gesendeten Pakete die tats chliche IP Quelladresse Auf dem R ckweg durchlaufen die vom virtuellen Netzwerkadapter erhaltenen Pakete die Ebene der Adress bersetzung NAT und werden an den richtigen Computer des lokalen Netzwerks geleitet Die Einschr nkungen dieser Einstellung liegen darin dass die VPN Anmeldung manuell am Router Computer vorgenommen werden muss und dass die VPN Verbindung gem der Einstellung am VPN Server beendet wird wenn sie eine gewisse Zeit nicht aktiv war Auch IPX Pakete werden nicht weitergeleitet selbst wenn am VPN Computer e
128. modifiziert und an die IP Adresse die 1m gesch tzten Netzwerk als Ziel IP im Tabelleneintrag definiert wird und an den als Zielanschluss definierten Anschluss gesendet Mail Server FTP Server 192 168 1 2 Fort 21 25 110 SMTP FTP Client IP 206 86 181 25 POPS WWW Server WWW Browser FTR a7 Telnet Client a HR Br 192 168 1 3 D Port 80 l p Telnet Ds Telnet Server P All packets to port 80 gt 192 1 All packets to port 25 gt 192 16 192 168 1 4 All packets to port 110 gt 192 168 1 2 Port 23 WinRoute Beschreibung 19 Wenn Sie beispielsweise einen Web Server der internen IP 192 168 1 3 verwenden und Benutzern aus dem Internet Zugang zu diesem gewahren m chten wird es Anfragen von Internet Benutzern an ihren WinRoute Computer geben Diese besitzen externe IP Adressen die dem DNS Eintrag Domain Name Server Ihres Web Servers www ihredom ne com gleichen Da alle Anfragen an den Web Server am Anschluss 80 eingehen sollten Sie die Anschlusszuordnung so einstellen dass die gesamte TCP Kommunikation am Anschluss 80 zur IP Adresse 192 168 1 3 umgeleitet wird Die Konfiguration der Anschlusszuordnung So richten Sie die Anschlusszuordnung ein 1 Gehen Sie in das Men Einstellungen gt Erweitert gt Anschlusszuordnung 2 F gen Sie eine neue Anschlusszuordnung hinzu Mapped Ports Edit Item x Listen Fort Settings oo g sUn era 27960 lt Un Protocol TE
129. mputer das Men Einstellungen gt Erweitert gt Versch Optionen und aktivieren Sie das Kontrollkastchen fur die Unterst tzung von Token Ring Netzwerken Nehmen Sie andere Einstellungen vor die f r jede Art der Internetverbindung spezifisch ist 178 WinRoute Pro 4 1 Benutzerhandbuch Mehrere Betriebssysteme in einer Netzwerkumgebung Linux AS400 Apple Verbinden von Netzwerkumgebungen mit mehreren Betriebssystemen Linux Unix AS400 Apple WinRoute eignet sich fur die Internetverbindung verschiedener Netzwerkumgebungen mit unterschiedlichen Betriebssystemen WinRoute fungiert als Software Router und unterst tzt als solcher jede standardm ige TCP IP Umgebung gt Hinweis Ein auf Windows basierendes Betriebssystem dient als Host der Anwendung von WinRoute Daher ist mindestens ein auf Windows 95 98 NT basierender Computer im WinRoute Netzwerk erforderlich Auf dem Host darf sich kein UNIX System befinden es kann jedoch als Client System betrieben werden WinRoute p Einsatzbeispiele 179 Verbinden mehrerer Netzwerke In diesem Abschnitt Verbinden ffentlicher und privater Segmente DMZ 180 Gemeinsame Nutzung der Verbindung f r zwei Netzwerke mit einer IP Adresse 182 Gemeinsame Nutzung der Verbindung f r zwei Netzwerke mit 2 IP Adressen 184 Server f r Fernzugriff DFU Internetzugang 186 Verbinden berlappender Segmente ber eine IP Adresse 187 180 WinRoute Pro
130. n Bei gr eren Netzwerken die ber mehrere separate Segmente mit jeweils eigenen Sicherheitsvorkehrungen verf gen k nnen tritt das Problem auf dass die Anzahl dieser separaten Segmente auf die Anzahl der Anschl sse des WinRoute Computers beschr nkt ist Daher ist zus tzliche Hardware notwendig um weitere Routing und Umschaltaktivit ten sowie S cherheitsvorkehrungen entsprechend durchzuf hren Durch die Neueinf hrung von Multi Port Ethernet Netzwerkkarten wurde es m glich dass WinRoute die alleinige Kontrolle ber den Netzwerkverkehr obliegt Da der WinRoute Computer mit Multiport Karten bis zu 24 Anschl sse beinhalten kann kann der WinRoute Computer auch als Server Router Switch Dom nen Controller usw fungieren wobei dies von der Anzahl der Netzwerkkartensteckpl tze auf der Hauptplatine abh ngt Somit kann die Verwaltung des Netzwerks zentralisiert werden und an einem einzelnen Ort kontrolliert werden Abbildung 3 illustriert WinRoute Pro unter Verwendung einer Multiport Ethernet Netzwerkkarte f r die Kontrolle von drei separaten Netzwerken INTERNET Einsatzbeispiele 195 Abbildung 3 WinRoute Pro mit einer Multiport Ethernet Netzwerkkarte ausgestattet Zusatzlich zur erhohten Sicherheit und der zentralisierten Organisation bieten Multiport Ethernet Neztwerkkarten weitere Vorteile in Form von Lastausgleich und Ausfallschutz S ehe die Zuweisung von drei Anschl ssen zum mittleren Segment
131. n den Protokollen der Transportebene verwendet wird dem TCP und dem UDP Protokoll Anschl sse werden verwendet um die auf einem Computer ausgef hrten Anwendungen Dienste zu adressieren Wenn nur eine einzige Netzwerk Anwendung auf dem Computer ausgef hrt wird sind keine Anschlussnummern erforderlich und die IP Adresse allein reicht aus um Dienste abzurufen Einige Anwendungen k nnen jedoch gleichzeitig an einem bestimmten Computer ausgef hrt werden und m ssen daher unterschieden werden F r diesen Zweck gibt es die Anschlussnummern Eine Anschlussnummer kann somit als Adresse einer Anwendung innerhalb des Computers betrachtet werden Anschlusszuordnung Die Anschlusszuordnung oder Port Address Translation PAT ist der Vorgang bei dem die an der Schnittstelle ankommenden Pakete in Bezug auf Anschlussnummer und IP Adresse die sie erreichen sollen uberpruft werden Mit Hilfe der Anschlussnummern macht eine IP Adresse diese Pakete ausfindig die an die im Voraus festgelegte private IP Adresse des lokalen Netzwerks weitergeleitet werden ARP Address Resolution Protocol assoziiert eine IP Adresse mit einer Hardware Adresse indem der sendende Computer aufgefordert wird zus tzliche Daten genannt MAC Adresse bereitzustellen WinRoute verwendet ARP nur zu Protokollzwecken um die Sicherheit zu erhohen B BOOTP Bootstrap Protocol bezieht sich auf die Computer innerhalb eine
132. n die es erkennen konnte anzeigt Wenn Sie mehr Schnittstellen haben sollten als WinRoute darstellt ist es wahrscheinlich dass Treiber f r solche Schnittstellen vom Betriebssystem nicht richtig geladen wurden und WinRoute diese nicht erkennen konnte Es wird Folgendes angezeigt Name der Schnittstelle Sie k nnen den Namen ndern indem Sie Eigenschaften ausw hlen und den Namen ndern IP Adresse Der Wert der in den TCP IP Eigenschaften der Schnittstelle eingegeben ist Falls die Schnittstelle so eingestellt ist dass die IP Adresse vom DHCP Server abgerufen wird sehen Sie die tats chliche IP Adresse die der Schnittstelle zugewiesen wurde NAT Ein oder Aus Aus Falls NAT so eingestellt ist dass es an der Schnittstelle durchgef hrt wird so wird in dieser Spalte Ein angezeigt WinRoute Beschreibung 25 Paketfilterungs Firewall In diesem Abschnitt Paketfilterung im berblick unnenn 25 AU Daai a S 26 Rere lier a E eat 28 PESOK O E r ea ee 31 ANUS POOLING seele 31 Paketfilterung im berblick Das Herz einer jeden Firewall Zugriffssteuerung ist selbstverst ndlich die Technik f r die Zulassung bzw Abweisung von Paketen an ein gesch tztes Netzwerk WinRoute verwendet eine der am h ufigsten genutzten Techniken f r die Steuerung der Netzwerkszugriffe Paketfilterung Andere Zugriffssteuerungen wie beispielsweise ein integrierter Caching Proxy Server f r HTTP
133. n Abbildung 4 196 WinRoute Pro 4 1 Benutzerhandbuch Abbildung 4 Dem mittleren Segment wurden drei Anschlusse zur Anschlusszusammenfassung zugewiesen Der Lastausgleich kann durch die Zusammenfassung von Anschl ssen durchgef hrt werden In der Abbildung oben sind beispielsweise dem mittleren Segment des Netzwerks drei Anschl sse zugewiesen Wenn dieses Segment einen Schalter verwendet um eine Verbindung zum WinRoute Computer herzustellen kann jeder der drei Computer Daten von 100 Mbps abrufen da nur ein Anschluss dieses Segments an den WinRoute Computer angeschlossen ist Eine zus tzliche Funktion der Anschlusszusammenfassung Aggregation ist der Schutz vor einem Anschlussausfall Wenn eine Leitung unterbrochen wird erfolgt umgehend eine Umleitung des Datenverkehrs an den n chsten Anschluss Durch die Verwendung von Netzwerkkarten f r mehrere Anschl sse mit WinRoute wird ein u erst effektives Mehrfach Routing System zu einem erheblich g nstigeren Preis und 1m Rahmen einer gemeinsamen Verwaltung erm glicht WinRoute wurde gerade erfolgreich mit D Link 4 port DFE 570 TX und Adaptec 2 port Duralan ANA 62022 getestet Eine andere Karte wurde nicht getestet Wir m chten Sie darauf hinweisen dass diese Art des Netzwerkaufbaus unterschiedliche Teilnetze f r jedes Netzwerksegment das an den WinRoute Computer angeschlossen ist erfordert Einsatzbeispiele 197 VMWare VMWare ist eine Anwendung die
134. n Sie regedit ein um auf den Registry Editor zuzugreifen Rufen S e HKEY LOCAL MACHINE SOFTWARE TinySoftware WinRoute Module 0 auf afr OO N Einsatzbeispiele 175 6 Modifizieren Sie SpecParams so dass der Wert der Anschlussnummer des FTP Servers entspricht auf den Sie zugreifen m chten 7 Schalten Sie die WinRoute Engine wieder ein Jetzt sollte jeder Benutzer der sich hinter WinRoute befindet auf einen FTP Server im Internet mit einem nicht standardm gen Anschluss zugreifen k nnen gt Hinweis Sie k nnen mehrere Anschl sse festlegen indem Sie zwischen den einzelnen Werten ein Leerzeichen setzen FTP Server hinter WinRoute mit einem nicht standardm igen Anschluss Bei bestimmten Bedingungen zum Beispiel bei einem Unternehmens Client hinter einer Firewall kann einem Benutzer eingeschr nkter Zugriff auf einen FTP Server gew hrt werden und zwar nur im Passiv Modus Falls ein FTP Server hinter WinRoute einen nicht standardm igen Anschluss verwendet kann kein Zugriff ber Passiv Modus eingerichtet werden WinRoute sieht laut Standard Anschluss 21 als FTP an so dass WinRoute angepasst werden muss wenn der Benutzer einen anderen Anschluss nutzen m chte Mit den folgenden Schritte k nnen Sie dieses Problem beheben und den Zugang ber den Passiv Modus einrichten Aktivieren Sie den WinRoute Computer Schalten Sie die WinRoute Engine aus ffnen Sie das Men Start gt Ausf hren auf d
135. n Sie die Zielkriterien ein normalerweise das Teilnetz oder der IP Adressbereich 3 Wahlen Sie die Option NAT nicht ausf hren Advanced NAT x Advanced HAT Sett FARE EIA x Source Packet Description Source av address Destination Network Mask IP Address 192 168 1 0 Mask 255 255 255 0 T Only when outgoing interface is LAN HAT Log Packet Do not NAT Log into file Do NAT with specified IF address T Log into window IE address 186 WinRoute Pro 4 1 Benutzerhandbuch Tipp Bei der Einstellung des erweiterten NAT werden Sie eine andere Option vorfinden die besagt dass NAT bei einer bestimmten IP Quelladresse nicht durchgef hrt wird Diese Einstellung kann sinnvoll sein wenn Sie wissen welche Workstations nicht auf das Internet zugreifen mussen Statt Firewall Kriterien einzurichten finden Sie eher eine andere Losung in den erweiterten NAT Einstellungen Wenn Sie mit speziellen Paketen keine NAT durchf hren d h wenn die Quelladresse weiterhin die interne IP Adresse bliebe werden S e keine Antworten erhalten Mit anderen Worten der Benutzer w rde vergeblich versuchen eine Verbindung zum Internet herzustellen Server f r Fernzugriff DFU Internetzugang Eine Server L sung f r den Fernzugriff Unter Umst nden ist es erforderlich dass Sie per Telefon von au en auf Ihr Unternehmensnetzwerk zugreifen und diesen Internetzugang verwenden WinRoute b
136. n aktiv bevor schadlicher Datenverkehr oder andere Angriffe das System beeintrachtigen k nnen Dies ist eine positive Eigenschaft im Vergleich zu Einzelprodukten zur Erkennung von Angriffen die als Dienst funktionieren und erst akt v werden wenn das System hochgefahren ist inkoute Proxy Mail DNS GHCP server TEFAF protocol Winkoute inpection module anti 2poofing packet titer MAT PERMON adapter WAN subsystem driver network adapter modem ISDN WinRoute Beschreibung 27 WinRoute umschliesst NDIS auf spezifische Weise so dass der gesamte TCP IP Verkehr vom Treiber der Netzwerkkarte auf die Engine umgeleitet wird bevor er zum Datenstapel Stack fur die Netzwerkkommunikation des eigentlichen Betriebssystems gelangt Durch diese Funktion auf n edriger Ebene des Betriebssystems erh lt die WinRoute Engine eine einzigartige Kontrolle ber den gesamten Netzwerkverkehr der auf jeder Schnittstelle ankommt egal ob eingehend oder ausgehend Wie es bei vielen Firewall Produkten f r Unternehmen der Fall ist wie z B Check Point s Firewall 1 kann WinRoute die erste Entscheidung dar ber treffen ob einem bestimmten Paket Zugang gew hrt wird oder nicht Um es noch einmal hervorzuheben Dies wehrt sch dliche Angriffe gegen das Betriebssystem oder andere Software ab die den von der Firewall angebotenen Schutz umgehen k nnten Dies ist mit Sicherheit w nschenswert bei Internet Gateways d e ber eine externe Verbindung ver
137. ng usw Sie k nnen die WinRoute Engine von WinRoute aus oder wenn Sie mit WindowsNT arbeiten direkt ber die Option fur die NT Dienste starten und stoppen WinRoute Engine wird unter Windows2000 NT 98 oder 95 unsichtbar als Dienst ausgef hrt WinRoute Engine Monitor ist die berwachungsanwendung die anzeigt ob die WinRoute Engine ausgef hrt wird oder nicht Sie wird durch das kleine blaue Symbol unten rechts auf dem Desktop angezeigt Ee Be WA Engine 66 WinRoute Pro 4 1 Benutzerhandbuch WinRoute Administrator liefert die Konfiguration und die Einstellungen f r die WinRoute Engine WinRoute Administrator ist eine separate Anwendung wradmin exe die auf Jedem Computer installiert und mit einer TCP IP Verbindung an einen Computer mit WinRoute angeschlossen werden kann Informationen ber die Einstellungen die f r die WinRoute Engine notwendig sind um einen Fernanschluss zu erm glichen finden Sie in den anderen Kapiteln dieses Abschnitts WinRoute Beschreibung 67 Zeitintervalle Sie k nnen Zeitzonen vordefinierte Zeitintervalle festlegen um bestimmte Vorg nge auszuf hren Diese Vorg nge k nnen sein Paketfilterung E Mail Austausch Senden und Empfangen Verbindung zum Internet Erweiterte NAT Einstellungen Die Zeitzone ist eine Gruppe von Zeitintervallen Es l sst sich so ein nicht homogener Zeitraum erstellen der aus verschiedenen Intervallen besteht T me Intervals
138. ngen ein Installation und Konfiguration 97 Weitere Netzwerkeinstellungen finden Sie in den entsprechenden Kapiteln z B Checkliste IP Konfiguration Unidirektionales Kabelmodem Modem in Betrieb Kabel ausser Betrieb HINWEIS Diese Art der Internetverbindung ist keine offiziell unterst tzte Konfiguration da die Einstellungen von Anbieter zu Anbieter variieren k nnen Wir versuchen jedoch Zugangsl sungen f r m glichst viele verschiedene Umgebungen zu bieten F r die meisten unserer Benutzer war der Verbindungsaufbau mit folgenden Einstellungen erfolgreich Im Allgemeinen hnelt der Datenverkehr dem von DirecPC Ausgehende Pakete passieren die DFU Schnittstelle Auf dem R ckweg werden sie ber ein Kabel geleitet Im Grunde muss Ihr Internetdiensteanbieter Ihre beiden Schnittstellen einander zuordnen Dies erscheint schwierig ist aber der einzige Weg um eine funktionsf hige Verbindung aufzubauen Daher empfehlen wir Ihnen R cksprache mit Ihrem ISP zu halten bevor Sie WinRoute erwerben ip 192 168 1 1 C mask 255 255 255 0 pty Jin none 5 5 ie RAS lined FMC 2 Be Vip 194 25 201 157 mask 255 255 255 0 gu 194 25 201 1 MAT cable modem MIC Network Interface Card 98 WinRoute Pro 4 1 Benutzerhandbuch 1 Rufen Sie das Men Einstellungen gt Schnittstellentabelle auf Hier werden eine Schnittstelle der RAS Leitung Ihr Modem und zwei Netzkartenschnittstellen angezei
139. nte Themen im Zusammenhang mit mehreren Dom nen I have Internet domain me Local Dornain s pee tinysw com gamerouter corn Use semicolon to separate entries l Use ETAN command Sie k nnen Ihrem Netzwerk mehrere Dom nen auf zwei Arten zuweisen 1 Jede Dom ne wird mit der eigenen IP Adresse assoziiert In diesem Fall m ssen Sie mehrere ffentliche IP Adressen der Schnittstelle zuordnen die von WinRoute f r die Internetverbindung verwendet wird Vergeben Sie anschlie end mehrere Einstellungen fur die Anschlusszuordnung eine f r jede IP Adresse mit derselben IP Zieladresse des WR Computers 2 Alle Dom nen sind mit einer IP Adresse assoziiert Hier ist lediglich eine Einstellung erforderlich und zwar die Einrichtung einer Anschlusszuordnung f r das TCP Protokoll an Anschluss 25 zur IP Adresse Ihres WinRoute Computers Installation und Konfiguration 145 Sie besitzen eine dem POP3 Konto zugewiesene Dom ne Sie k nnen mit Ihrem Diensteanbieter vereinbaren dass die gesamte E Mail f r Ihre Dom ne in einem einzigen Konto eingeht WinRoute kann ein solches Konto berpr fen die Nachrichten abholen und diese automatisch an die E Mail Eing nge Ihrer lokalen Benutzer verteilen INTERNET company com WinRoute it ee Clients Beispiel Ihr Diensteanbieter hat eine E Mail Konto Unternehmen mail isp net eingerichtet Auch wenn Sie m glicherweise die Dom ne
140. nternen Angriffen nach au en wie beispielsweise Back Orifice BO oder der verteilten Denial of Service DDOS Servlets die versuchen ber unzuverl ssige Protokolle nach drau en mit externen Angreifern zu kommunizieren Mit den Richtlinien kann der betreffende Datenverkehr entweder zugelassen abgeworfen oder ablehnt werden Beim Abwerfen werden nur die absolut notwendigen Informationen ber die Firewall an den potenziellen Angreifer weitergegeben da bei diesem Vorgang kein ICMP Administrative Prohibited Filter oder eine TCP Zur cksetzen Best tigen Anwort an ein TCP SYN Paket gesendet wird der erste Schritt in die standardm ge Dreiwege TCP Handshake Sequenz Diesen Richtlinien k nnen verschiedene Priorit ten zugewiesen werden so dass die ein und ausgehenden Pakete n einer bestimmten vom Benutzer definierten Reihenfolge bearbeitet werden Die popul rste dieser Einstellung beinhaltet so genannte Bereinigungskriterien in den Filterlisten die den gesamten Verkehr blockieren der von vorherigen Regeln die ber eine h here Priorit t n der Liste verf gten nicht ausdr cklich genehmigt wurde Ein Beispiel f r eine Bereinigungskriterium finden Sie m Kap tel zu den grunds tzlichen Filterkriterien n diesem Handbuch WinRoute Beschreibung 31 Protokolle Von WinRoute unterst tzte Protokolle s nd Quell IP sieben ICMP Typen oder alle TCP UDP PPTP Die F higke
141. odukt der bertragung nicht negat v beeinflusst Glossar der Terminologie 237 V VPN Virtual Private Network betrifft lokale Netzwerke mit der F higkeit Ressourcen ber das Internet gemeinsam zu nutzen indem ein direkter Tunnel erstellt wird der an beiden Enden eine Ver und Entschl sselung ausf hrt WinRoute unterst tzt VPN ber PPTP 238 WinRoute Pro 4 1 Benutzerhandbuch INDEX A Aasheron s Call 223 Aliasnamen 140 Anschluss 234 Anschlusszuordnung 234 Anschlusszuordnung Paketweiterleitung 18 Anschlusszuordnung fur Systeme mit mehreren IP Adressen 21 Anti Spoofing 31 AOL Verbindung 106 ARP 234 Aufbau 26 Aufbau von WinRoute 13 Ausf hren des MAIL Servers hinter NAT 177 Ausf hren des Telnet Servers hinter NAT 178 Ausf hren eines DNS Servers hinter NAT 175 Ausf hren eines FTP Servers hinter NAT 176 Ausf hren eines PPTP Servers hinter NAT e 164 Ausf hren eines WWW Servers hinter NAT 174 Ausf hren von PPTP Clients hinter NAT 166 Ausf hren von WWW FTP DNS und Telnet Servern hinter WinRoute 174 Authentication 63 137 Authentifizierung 136 B Battle net Blizzard 224 Beispiel fur ein Satz von Paketfilterkriterien 125 Beispiele fur PPTP L sungen 165 Benutzer 62 Benutzergruppen 65 Benutzerkonten 62 Benutzer Zugriffs berwachung 49 Bidirektionale Kabelmodemverbindung 100 BO
142. ollieren Die genaue Konfiguration ist unter Einstellungen Erweitert Fehlerbehebungsinfo Fehlerbehebung Registerkarte Zeigt alle nicht erfolgreichen Vorg nge die n irgendeinem WinRoute Modul auftreten 34 WinRoute Pro 4 1 Benutzerhandbuch Die Protokollierung kann auf der Konsole des WinRoute Administrator angezeigt werden in eine Datei geschrieben werden oder beides Die Protokolldateien werden unter installroot Logs gespeichert Auf dieses Verzeichnis haben nur die NT 2000 Konten innerhalb von Administrator Server Operatoren SYSTEM und der CREATOR OWNER der WinRoute installiert hat Zugriff Die Protokollinformationen die von WinRoutes Sicherheitsprotokoll aufgezeichnet werden sind kompakt und beinhalten alle notwendigen Daten um eine angemessene Untersuchung m glicher sch dlicher Vorg nge in die Wege zu leiten Datum Zeit angewandtes Paketfilterkriter um Schnittstelle Aktion Zulassen Abgeben Ablehnen Protokoll P Quelladresse und TCP Anschluss IP Zieladresse und TCP Anschluss Der Test unter Bedingungen mit zu hoher Verkehrsdichte hat keinen Einfluss auf die Protokollierungsf higkeit von WinRoute Dies ist wichtig um den Verlust wertvoller Daten sowie potenzielle Denial of Service Situationen zu vermeiden in denen die Firewall Funktionsfahigkeit sich ausschaltet wenn das Protokollierungssystem berlastet st WinRoute Beschreibung 35 Fehlerbehebungsprotokoll
143. ommen Normalerweise m ssen Sie gro e Objekte wie Programm Archiv Dateien nicht zwischenspeichern da Sie diese nicht wiederholt herunterladen WinRoute Beschreibung 55 Time to Live Sie k nnen TLL Standardwerte Time To Live festlegen falls f r eine Internetseite keine TTL definiert wurde oder falls Sie die vom Server gelieferten TTL Werte ignorieren m chten siehe die Option Server mit Time to Live verwenden auf der Registerkarte Cache AA CAN COM WA bloomberg com WIA CATE COM 56 WinRoute Pro 4 1 Benutzerhandbuch Protokollspezifische Einstellungen Hier k nnen Sie die Standard Time to Live in Tagen f r die HTTP FTP und Gopher Protokolle einstellen URL spezifische Einstellungen Wenn Sie individuelle Time to Live Werte f r einige Dom nen Web Server oder individuelle Seiten festlegen m chten geben Sie die einzelnen URLs hier ein Sie k nnen die TTL in Tagen und oder Stunden festlegen Sie k nnen Sternchen als Platzhalter im URL verwenden Als neue Funktion von Winroute wird ein Test f r Teilzeichenfolgen durchgef hrt um die bereinstimmung mit den URLs zu pr fen Sie k nnen einfach ftp eingeben um alle Server zu erhalten die ftp 1m Namen tragen Vorher mussten Sie ftp eingeben um diesen Fall mit einzubeziehen Wir m chten Sie darauf hinweisen dass wenn Sie Server mit Time to Live verwenden auf der Registerkarte Cache aktiviert haben die vom Server g
144. ommunikation mittels Ihres Relay SMTP Servers erlauben beim ISP Eingehend Registerkarte Protokoll TCP Quell IP Relay SMTP Server des ISP Ziel IP IP Adresse des SMTP Servers in Ihrem LAN Quellanschluss Beliebig Zielanschluss 25 Ausgehend Registerkarte Quell IP Ihr SMTP Server Ziel IP IP Adresse des SMTP Servers beim ISP Quellanschluss Beliebig Zielanschluss 25 Erm glicht es Ihnen E Mails aus dem Internet bei Ihrem Mail Server abzuholen Eingehend Registerkarte Quell IP Ihr SMTP Server Ziel IP IP Adresse des SMTP Servers Ihres LAN Quellanschluss Beliebig Zielanschluss 110 126 WinRoute Pro 4 1 Benutzerhandbuch Packet Filter F LAH 3 Internet er 4 CP Any host all ports gt Any host port 80 TCP Any host all ports gt 192 168 1 5 port 25 TCP Any host all ports gt 192 168 1 5 port 110 TCP Any host all ports gt Any host port 21 TCP Any host all ports gt Any host port 20 TCP Ary host all ports gt Any host all ports H Any interface Installation und Konfiguration 127 So veranlassen Sie die Benutzer dazu den Proxy Server Zu verwenden Unter Umst nden empfiehlt es sich den integrierten PROXY Server von WinRoute zu verwenden Dies ist hilfreich wenn Sie die Aktivit ten der Benutzer beim Zugriff auf Webseiten berwachen m chten f r den Client Zugriff auf bestimmte Websites Einschr nkungen anwenden m chten oder wenn Sie m chten dass diese
145. ordnungsgem eingerichtet und konfiguriert sein Daher sind einige Erfahrungen mit Netzwerkumgebungen notwendig Wir weisen darauf hin dass nach unserer Statistik 90 der Probleme die Kunden beim Verbinden ihres Netzwerks mit dem Internet haben auf eine unsachgem e Netzwerkkonfiguration zur ckzuf hren sind Dieses Handbuch enth lt einige Beispiele f r die Netzwerkkonfiguration Die Installation kann jedoch auf Grund verschiedener Besonderheiten davon abweichen Wir empfehlen Ihnen dringend diese Dokumentation sehr aufmerksam und genau durchzulesen S e wurde f r Benutzer erstellt die bereits ber grundlegende Netzwerkkenntnisse verf gen sowie die F higkeit und das Know how besitzen ein lokales Netzwerk Local Area Network LAN zu installieren Falls Sie weitere Tipps Checklisten und aktualisierte Versionen ben tigen ziehen Sie zun chst die Online Hilfe zu Rate bevor Sie den technischen Support anrufen Wir danken Ihnen nochmals daf r dass Sie WinRoute erworben haben bzw testen Mit freundlichen Gr en Einleitung 3 TINY SOFTWARE INC WinRoute Pro 4 1 Benutzerhandbuch WinRoute Beschreibung 5 KAPITEL 1 WINROUTE BESCHREIBUNG In diesem Kapitel WinRoute Zusammenfassung cccccccccccccesceeeeeeeeeeeeeees 6 Umfangreiche Protokollunterst tzung e 9 NATER OUO rare a 10 Pakethilterunes Firewall aaa 25 Protokolle und Paketanalyse ccccsssessssess
146. oute auch einen Proxy Sever um die Caching Funktion anzubieten wenn erforderlich Um den Proxy Server in WinRoute verwenden zu k nnen f hren Sie folgende Schritte aus 1 Im Men von WinRoute Administration w hlen Sie Einstellungen gt Proxy Einstellungen gt Allgemein Registerkarte Aktivieren Sie die Option Proxy Server aktiviert Behalten Sie den urspr nglichen Anschluss Nummer 3128 bei Proxy Server Settings General Cache Time to Live Access Advanced a Proxy port a1 28 T Log access to proxy server To use the proxy server browser on the client PCs in the local network have to be setup to connect through the proxy server The IP address of the proxy server i the address of WinAoute s PC in the local network and the port is the value configured above 3126 by default cancel 2 WinRoute Beschreibung 47 2 Gehen Sie in Ihrem Internet Browser Explorer Netscape Opera zu den Proxy Einstellungen Wahlen Sie die manuelle Proxy Konfiguration aus und geben Sie die PC Adresse des WinRoute Computers als Proxy Server Adresse fur HTTP FTP und Gopher Protokolle ein Geben Sie nun 3128 als Proxy Anschlussnummer f r alle Protokolle ein 3 Testen Sie die Installation indem Sie mit dem Browser auf eine beliebige Website zugreifen Registerkarte Allgemeine Eigenschaften Proxy Server aktiviert Mit dieser Option schalten S e den Proxy Server ein und aus Anschlussnummer
147. r Pakete aus ffentlichen Segmenten durchf hrt Offnen Sie hierzu das Men Einstellungen gt Erweitert gt NAT Advanced NAT Ea Advanced NAT Set RRR Tey x Source Packet Description Source Netwak Flange Destination ei From 206 86 1 81 26 Ta fo0e e6 181 28 T Only when outgoing interface is Lan NAT Log Packet f Do not MAT T Log into file Do NAT with specified IF address T Log into window lE address Einstellungen ffentlicher und privater Netzwerke Diese Netzwerke werden auf die gleiche Art und Weise installiert wie dies in anderen Kapiteln dieses Handbuchs beschrieben wird Bei ffentlichen Segmenten besteht der einzige Unterschied dar n dass S e dort ffentliche IP Adressen verwenden Im Wesentlichen s nd folgende Regeln zu beachten KEIN Standard Gateway an der Schnittstelle in WinRoute Die IP Adresse dieser Schnittstelle wird als Standard Gateway f r den Rest des Netzwerks verwendet KEIN NAT an den Schnittstellen in WinRoute Weitere Erl uterungen finden S e unter Checkliste 182 WinRoute Pro 4 1 Benutzerhandbuch Gemeinsame Nutzung der Verbindung fur zwei Netzwerke mit einer IP Adresse F r den Fall dass Sie zwei Netzwerke ber einen Computer ber WinRoute mit dem Internet verbunden haben gibt es keine speziellen Einstellungen Grunds tzlich gibt es mehrere Segmente die zum WinRoute Computer f hren von denen jeder eine separate Netzwerkschnit
148. rd um eine verschlusselte Verbindung zwischen zwei Computern herzustellen Protokoll Legt die Richtlinien f r die Daten bertragung fest Glossar der Terminologie 235 Proxy Proxy st eine weitere Art des gemeinsam genutzten Internetzugangs Proxy bearbeitet die Daten auf einer h heren Protokollebene wodurch der gemeinsame Interentzugriff nicht zuverl ssig funktionierte und f r jedes Netzwerkprotokoll e n spezieller Gateway f r Anwendungen erforderlich war R RAS Remote Access Service bezieht s ch auf die Ferneinwahl in einen anderen Computer bzw den Zugriff auf ein externes Netzwerk Im Zusammenhang mit WinRoute handelt es sich bei RAS lediglich um eine DFU Verbindung 236 WinRoute Pro 4 1 Benutzerhandbuch Routing Tabelle Routing Tabellen fassen die vom Microsoft Betriebssystem generierten Kriterien zusammen Diese bas eren auf den Einstellungen die S e n den Protokolleinstellungen f r TCP IP festlegen Die Routing Tabelle w rd von WinRoute f r die Umleitung von Paketen genutzt Um sich die Routing Tabelle anzeigen zu lassen geben Sie in der MS DOS Eingabeaufforderung den Befehl Toute print ein S SMTP SMTP Simple Mail Transfer Protocol wird f r die direkte Kommunikation zwischen den Mail Servern wie dem Mail Server in WinRoute und den Mail Server Ihres Diensteanbieters verwendet sowie f r den E Mail Versand ber Ihre E Mail Client Software SMTP ist ein Einwe
149. reift Zeitangabe Datum und Zeitpunkt des Zugriffs ABRUFEN von http Das Ziel des Zugriffs si Http Log O x 192 168 1 3 roman 1 N ov 1999 10 22 18 0800 GET http ad doubleclick nevad homepetable av com sponsorbutton 192 168 1 3 roman 0H 071999 10 22 18 0800 GET http Mad doubleclick net adhomepgtable av com sponsor button 192 168 1 3 roman LOM 0w1999 1022 19 Ds00 GET http Mad doubleclick netad homepgtable av com sponsorbutton 192 168 1 3 roman LOM ow 19991022719 0800 GET http Jump altavista com bf HTTP1 0 302 476 192 168 1 3 roman OH ow 1999 102220 0800 GET http dir altavista cony Business shtml HTTP1 0 200 13616 192 168 1 3 roman 10M ov 1999 10 22 20 Ds00 GET http Mad doubleclick netfadi cattle av com e e sl iiia 192 168 1 3 roman 0H ov 1 99910 2220 Ds00 GET http Mad doubleclick netadicattilel av com e 3 e 1 s7130 192 168 1 3 roman LOM ow 1999102220 Da00 GET Atte Wad doublechck net ad homepgtable av com sponsor button 192 168 1 3 roman 10 Now 1999 10 2221 0800 GET Kttp Yad doublechck neV ad homepgtable av com sponsor button 192 168 1 3 roman LOMow 1999 1022 21 0800 GET http Mad doublechck netfadi categories av com e 3 e 1 sm 192 168 1 3 roman LOM owl 99910 2221 0800 GET http Vad doubleclick net 51 53788331 aif HTTP O 200 1632 192 168 1 3 roman LOM ow 1999102221 0800 GET http ad doubleclick net S4e360 ednow 86 81 aif HTTP 0
150. rentControlSet Services VxD MST CP auf 2 F gen Sie einen Eintrag mit Namen DefaultRcvWindow zur Registrierung hinzu Falls er bereits vorhanden ist bearbeiten Sie diesen Stellen Sie seinen Wert auf OxBB80 ein Installation und Konfiguration 111 Sicherheitseinstellungen In diesem Abschnitt NA TSC NODE ee een era 112 NAT S cherheitsoptionen nase 113 Pakettilter Einstellunsen ass 2er 117 Beispiel f r ein Satz von Paketfilterkriterien 121 Musterbeispiel f r einen Kriteriumssatz f r Paketfilter bei eingehenden HTTP und FTP 122 Gew hrung der Kommunikation an bestimmten Anschl ssen 123 So veranlassen S e d e Benutzer dazu den Proxy Server zu verwenden 127 112 WinRoute Pro 4 1 Benutzerhandbuch NAT Sicherheit WinRoute fuhrt NAT auf der niedrigsten Netzwerk Protokollschicht aus Das Programm berpr ft den Datenverkehr zwischen dem Treiber der Netzwerkkarte und dem TCP Stack Datenstapel Es kontrolliert den Internetdatenverkehr vollst ndig indem es sowohl ausgehende als auch eingehende Pakete erfasst Somit ist max male Sicherheit gew hrleistet Diese Funktion zeichnet die NAT Implementierung von WinRoute aus WinRoute bietet au erdem zus tzliche Sicherheitsfunktionen wie eine auf Paketfilter basierende Firewall und Anti Spoofing Mit NAT von WinRoute ist das gesamte Netzwerk einschlie lich des Computers auf dem WinRoute ausgef hrt wird gesch tzt inkoute Proxy Mail DNS
151. resse Zielanschluss 44333 Zugriff nur genehmigen von Falls aktiviert k nnen Sie den Zugang zur WinRoute Engine weiter einschr nken S e m ssen IP Adressen denen der Zugang zur WinRoute Engine ber das Internet erlaubt sein soll 1m Men Einstellungen gt Erweitert gt Adressengruppen im Voraus festlegen Sie k nnen separate IP Adressen IP Adressbereiche und Netzwerke in Gruppen zusammenfassen Installation und Konfiguration 81 Edit Item Protocol TCP UDP Listen IP k Unspecified Listen port single port pork range 44333 Destination IP f 92 168 1 1 Destination port 44333 Allow access only from Cancel Setting Weitere Einzelheiten ber die Anschlusszuordnung k nnen S e den Beispielen entnehmen Wenn Sie alles entsprechend eingerichtet haben f hren Sie das Programm WinRoute Administration von einem beliebigen Computer aus und geben Sie die IP Adresse des Computers auf dem WinRoute ausgef hrt wird registriert z B 206 86 181 25 sowie den f r Administration festgelegten Benutzernamen und das Kennwort ein Weitere Details zur Verfahrensweise im Hinblick auf Benutzernamen und Kennwort zur Verwaltung finden Sie unter Benutzerkonfiguration Mogliche Grunde fur eine nicht erfolgreiche Anmeldung uber das Internet WinRoute Engine ist nicht installiert und wird nicht ausgef hrt Benutzername und Kennwort sind falsch Es wurde eine f
152. rken zuzugreifen Internet IF 206 586 181 265 gt w 206 55 181 27 HAT Yez Advanced HAT If dest 182 168 1 0 do not NAT IP 206 856 187 225 ot w 206 35 15 127 HAT Yes Advanced NAT lf dest 192 168 2 0 do not HAT DU Cd win Route WinRoute IF 192 168 2 1 IF 192 168 1 1 ott none ott none NAT no NAT no Network 2 IP 192 1692 2 4 IP 192 168 1 2 4 Network 1 gt 192 168 2 1 gt 192 168 1 1 Bei der Durchf hrung folgender Schritte ist Folgendes DRINGEND zu beachten F r alle Pakete die in andere Netzwerke gesendet werden KEIN NAT DURCHF HREN F r alle an das Internet gesendete Pakete NAT DURCHF HREN Mit anderen Worten WinRoute f hrt NAT je nach Zieladresse der passierenden IP Pakete durch Pakete die an das entfernte Netzwerk gehen werden nicht ver ndert w hrend bei Paketen die in das Internet versandt werden NAT durchgef hrt wird Einsatzbeispiele 185 Router oder Hub Je nach Ihren Erfordernissen bleibt es Ihnen tiberlassen zu entscheiden ob sich ein Router zwischen Ihren Netzwerken befinden soll oder ob ein Hub ausreicht In unserem Fall gibt es einen Hub der gen gend Funktionen bietet damit zwei Netzwerke gemeinsam eine Hochgeschwindigkeitsverbindung zum Internet nutzen k nnen So richten Sie WinRoute ein wenn f r Pakete mit bestimmten Adressen keine NAT ausgef hrt werden soll 1 ffnen Sie das Men Einstellungen gt Erweitert gt NAT 2 Gebe
153. rom server oe aaa H 40 WinRoute Pro 4 1 Benutzerhandbuch Fehlerprotokoll Das Fehlerprotokoll zeigt alle nicht erfolgreichen Vorg nge in den aktiven WinRoute Modulen an Als Ergebnis k nnen Sie die Fehler 1m Mail Austausch beispielsweise auf dem DNS Server sehen Error Log OF x OSM 0 1999 09 54 07 mai H 10060 Connection to fer winroute cz failed connect timeout a OSM 0 1999 09 36 23 mail H 10060 Connection to Pr winroute cz failed connect timeout OSM 0 1999 09 38 38 mail H 10060 Connection to far winroute cz failed connect timeout OSM ov 999 09 39 14 mai H 11001 DNS query for mail pacbell net failed host not found OSM 0 1999 19 04 16 mail H 10060 Connection to fer winroute cz failed connect timeout OSM owl 999 19 07 29 mai G 0 PASS command failed OSM 01999 21 28 18 mail H 10060 Connection to fa winroute cz failed connect timeout OSM 0 1999 21 30 33 mail H 10060 Connection to fer winroute cz failed connect timeout OSM owl 999 21 32 49 mail H 10060 Connection to fer winroute cz failed connect timeout OSM 0 1999 21 33 04 mail H 10060 Connection to far winroute cz failed connect timeout OSM ov 71999 21 58 19 mail H 10060 Connection to fa winroute cz failed connect timeout 10 N 0 1999 03 16 09 mal G0 PASS command failed 0H ov 1999 03 41 04 mail 3 0 USER command failed WinRoute Be
154. rten Informationen erhalten Auch wenn dieser willk rlich gew hlte Computer eine andere IP Adresse als der Server besitzt kann er dennoch UDP Pakete in Ihr lokales Netzwerk senden da er die entsprechende IP und den Anschluss kennt Bleiben wir bei diesem Beispiel Wenn Sie kann NAT mit einer beliebigen IP Ouelladresse passieren w hlen werden UDP Pakete durch WinRoute transportiert Um die Sicherheit zu verbessern w hlen Sie die Option kann NAT nur passieren wenn es von der IP Ouelladresse stammt die beim Versenden des ersten ausgehenden Pakets registriert wurde w hlen Mit dieser Einstellung k nnen nur UDP Pakete vom zentralen Server WinRoute passieren Installation und Konfiguration 115 NAT Protokolloptionen Zu den erweiterten Sicherheitsoptionen gehort die Fahigkeit Daten von Paketen die in das LAN gelangen ohne von diesem angefordert worden zu sein zu erfassen Dies betrifft in der Regel Netzwerke die Web FTP DNS oder eine andere Art von Server hinter WinRoute ausf hren Diese Funktion ist hilfreich um die Ursache des Problems zu bestimmen Protokollierung eingehender Pakete ohne Eintrag in die NAT Tabelle WinRoute bietet zwei M glichkeiten TCP Pakete zu protokollieren die nicht in der NAT Tabelle enthalten sind Wenn Sie nur Pakete mit SYN Flag synchronisieren protokollieren m chten wird das TCP Paket nur protokolliert wenn eine Verbindung zwischen dem Absender und d
155. s lokalen Netzwerks die so eingestellt sind dass sie eine ihnen dynamisch vom DHCP Server zugewiesene IP Adresse akzeptieren C Cache Bezeichnet den Platz an dem Daten zeitweise gespeichert werden WinRoute verwendet den Cache Zwischenspeicher zur temporaren Speicherung von Internetseiten um die Bandbreite zu erhalten Glossar der Terminologie 229 D DHCP Dynamic Host Configuration Protokoll ist ein Protokoll das die Verwaltung von IP Adressen f r lokale Computer organisiert und vereinfacht In vielen F llen so wie bei Verwendung von WinRoute wird zur weiteren Vereinfachung ein DNS Server in den DHCP Server integriert Durch die Angabe der IP Adresse eines besonderen Netzwerkcomputers normalerweise handelt es s ch dabei um den Computer mit Internetverbindung verwendet DHCP die DNS Werte des Computers DNS Domain Name System ist ein Benennungsschema f r die Zuweisung von IP Adressen www tinysoftware com ist beispielsweise ein Domanenname und verf gt ber eine damit verbundene IP Adresse DNS wird verwendet da es einfacher ist sich einen Dom nennamen zu merken als eine Zahlenfolge 230 WinRoute Pro 4 1 Benutzerhandbuch E ETRN ETRN ist ein vom SMTP Server verwendeter Befehl um eine Zeitverlangerung herzustellen zu vereinbaren Nachdem der SMTP Server eine Verbindung hergestellt hat sollte dieser eine Anfrage fur SMTP Mail ausf hren Der ETRN Befehl
156. schreibung 33 Informationen zu den Protokollen und der Analyse Eine wichtige Funktion jedes Sicherheitsproduktes ist die F higkeit alle Vorg nge zu jedem Zeitpunkt in ausreichend detaillierter Form darzustellen WinRoute listet sechs verschiedene Protokolle auf einschlie lich der Pakete die das Netz passieren der Benutzeraktivit ten Filteraktionen und so weiter Die einzelnen Protokolle werden in der folgenden Tabelle beschrieben HTTP Protokoll Mail Protokoll Sicherheits protokoll Einwahl protokoll Fehlerbehebungs protokoll Fehlerprotokoll Zeigt nur HTTP Daten an die durch den Proxy Server laufen dies schlie t IP Quelladressen und Benutzernamen die Zeitangabe und HTTP Anfragen und Antworten ein Erfasst alle Aktivit ten des in WinRoute integrierten Mail Servers protokolliert SMTP S mple Mail Transfer Protocol und POP3 Sende und Empfangsvorg nge Zeigt alle Aktivit ten an die als Protokollieren n Fenster Datei in den Paketfilterkriterien definiert werden Eine detaillierte Beschreibung der aufgef hrten Produkte finden Sie weiter unten Protokolliert Nutzungsinformation fiir DFU Schnittstellen die von WinRoute berwacht werden Benutzerdefinierte Einstellungen um alle ARP Address Resolution Protocol ICMP UDP User Datagram Protocol TCP und oder DNS Domain Name Server Pakete die physikalisch eine beliebige Schnittstelle des WinRoute Routers passieren zu protok
157. schreibung 41 DHCP Server In diesem Abschnitt DHCP im berblick ccccccccccccccccssccccscecccsccsescssseeesesseceees 42 42 WinRoute Pro 4 1 Benutzerhandbuch DHCP im Uberblick In jedem Netzwerk muss das TCP IP Protokoll richtig konfiguriert sein Das bedeutet dass die IP Adresse die Netzwerkmaske die Adresse des Standard Gateways die DNS Serveradresse usw an jedem Computer konfiguriert sein muss Wenn die mit der Wartung betraute Person die Parameter fur eine groBe Anzahl von Workstations manuell einrichten muss lassen sich Fehler nur sehr schwierig vermeiden Zu solchen Fehlern gehort beispielsweise die doppelte Vergabe einer Adresse durch die es zu Kollisionen und Fehlfunktionen im Netzwerk kommen kann Dynamic Host Configuration Protocol DHCP ist eine WinRoute Implementierung mit der die Aufgabe der Netzwerkadministration vereinfacht werden soll DHCP wird f r eine dynamische Konfiguration des TCP IP Protokolls der Computer verwendet Beim Start des Computers sendet der DHCP Client eine Anfrage Wenn der DHCP Server eine Anfrage erh lt w hlt er die Parameter zur TCP IP Konfiguration f r den Client aus Die Parameter umfassen die IP Adresse die Netzwerkmaske den Standard Gateway die DNS Serveradresse die Dom nenbezeichnung der Clients usw Mit diesen Parametern erstellt der Server eine Antwort und sendet diese an den Cl ent Der Server kann dem Client nur f r eine begrenzte Zeit eine
158. sei denn Sie verwenden die Fernverwaltung In diesem Fall muss auf dem Client Computer oder dem externen Computer die Wradmin exe f r Fernverwaltung installiert werden Installation und Konfiguration 77 Verwalten mit WinRoute In diesem Abschnitt Verwalten des lokalen Netzwerks c ccccccasceceeceeces 77 Verwalten ber das Internet c cccceccececcesceeceeceeceeces 79 Verlust des Verwaltungskennwofts ueeeesssssssssssssnnnnnnnnnnn 82 Verwalten des lokalen Netzwerks Um WinRoute ber das lokale Netzwerk oder den WinRoute Computer zu verwalten m ssen Sie Folgendes ausf hren 1 berpr fen Sie dass die WinRoute Engine aktiviert ist Um zu berpr fen ob WinRoute gestartet wurde setzen Sie den WinRoute Engine Monitor aus der WinRoute Programmgruppe ein Ein kleines rundes blau wei es Symbol erscheint in der Taskleiste unten rechts auf dem Desktop Dies zeigt an dass die Anwendung akt v ist Ist das Symbol mit einem roten Kreuz versehen bedeutet dies dass WinRoute gestoppt wurde Um die WinRoute Engine zu starten klicken Sie einfach mit der rechten Maustaste auf das Symbol und w hlen Sie in dem daraufhin erscheinenden Men WinRoute Engine starten aus Startup Preferences WinRoute Administration Start Winkioute Engine 78 WinRoute Pro 4 1 Benutzerhandbuch Starten Sie WinRoute Administrator Um das WinRoute Administration Modul zu starten aktivieren Sie
159. ser Schnittstelle f r den gesamten passierenden Datenverkehr ausf hren Wenn Sie auf die Schaltfl che Schnittstellentabelle klicken wird neben der externen Verbindung NAT EIN angezeigt 3 berpr fen Sie dass NAT f r die Schnittstelle zum internen Netzwerk NICHT EIN ist Rufen Sie die Eigenschaften dieser Schnittstelle in der Schnittstellentabelle auf 104 WinRoute Pro 4 1 Benutzerhandbuch 4 Vergewissern Sie sich dass in den TCP IP Eigenschaften der internen Netzwerkkarte KEIN Gateway eingerichtet ist wechseln Sie zu den Netzwerkeinstellungen und dass der Netzwerkkarte eine interne IP Adresse zugewiesen wurde 5 berpr fen Sie dass der zum Internet f hrenden Netzwerkkarte die Daten Ihres Internetdiensteanbieters ordnungsgem zugewiesen wurden Bei einer dynamisch zugewiesenen IP Adresse lassen Sie die IP Adresseinstellungen frei Weitere Netzwerkeinstellungen finden S e n den entsprechenden Kapiteln insbesondere m Kapitel Checkliste Installation und Konfiguration 105 DirecPC Verbindung DirecPC verwendet ein Modem analog ISDN usw oder eine Netzwerkkarte Ethernet Token Ring f r die Aufw rtsverbindung w hrend zum Herunterladen der Daten eine Satellitensch ssel eingesetzt wird Ihre Internetverbindung wird von DirecPC selbst bereitgestellt Alternativ k nnen S e auch den vorhandenen Dienst Ihres Internetdiensteanbieters f r die DF Verbindung verwenden Die Daten
160. sparsame Art und Weise Alle zwischengespeicherten Objekte werden in einer Datei von festgelegter Gr e gespeichert Im Gegensatz hierzu speichern viele Proxy Server in der Regel jedes Objekt in eine separate Datei Falls die Festplatte gro e Zuordnungseinheiten wie FAT 16 verwendet resultiert daraus eine betrachtliche Verschwendung von Festplattenspeicherplatz weil viele Komponenten von Internetseiten sehr klein sind Normalerweise sind 50 der Objekte kleiner als 6 Kilobyte wohingegen die Gr e der Zuordnungseinheiten auf einer gro en Festplatte 32 KB betr gt durch das Dateisystem der FAT File Allocation Table Durch die Tatsache dass der WinRoute Cache Daten in einer einzelnen Datei speichert wird viel Festplattenspeicherplatz gespart da sich alle zwischengespeicherten Objekte in einer Datei befinden Im Vergleich zu der blichen Vorgehensweise sind weniger als 10 des Speicherplatzes erforderlich Dies bedeutet dass Sie weniger Festplattenspeicherplatz ben tigen oder den gleichen Speicherplatz viel effizienter nutzen k nnen Auf Grund der einzelnen Datei mit festgelegter Gr e kann WinRoute sehr effiziente Index Techniken verwenden die die Geschwindigkeit des Cache von WinRoute erh hen 52 WinRoute Pro 4 1 Benutzerhandbuch Cache Einstellungen Proxy server Settings amp f x Koorted Heep m i Cache aktiviert Schaltet die Cache Funktion ein und aus
161. ssar der Terminologie 233 Netzwerkmaske Die Netzwerk Maske wird verwendet um IP Adressen in Gruppen zusammenzufassen Jedem Netzwerksegment wird eine Gruppe von Adressen zugewiesen Die Maske 255 255 255 0 umfasst 254 IP Adressen Wenn wir beispielsweise ein Teilnetz 194 196 16 0 mit der Maske 255 255 255 0 besitzen so sind die Adressen die wir Computern im Teilnetz zuordnen k nnen die Adressen 194 196 16 1 bis 194 196 16 254 Netzwerkschnittstelle Die Netzwerkschnittstelle ist das Ger t das den Computer ber ein Kommunikationsmedium mit anderen Computern verbindet Bei einer Netzwerkschnittstelle kann es sich um eine Ethernet Karte ein Modem eine ISDN Karte usw handeln Der Computer sendet und erh lt Pakete ber die Netzwerkschnittstelle 234 WinRoute Pro 4 1 Benutzerhandbuch D Paket Das Paket st eine Standardeinheit der Daten bertragung die angewandt wird wenn Daten von einem Computer an einen anderen bermittelt werden Jedes Paket enth lt eine gewisse Datenmenge Die maximale L nge eines Paketes h ngt von dem jeweiligen Kommunikationsmedium ab In Ethernet Netzwerken betragt die maximale Lange beispielsweise 1500 Byte Auf jeder Ebene konnen wir die Inhalte der Pakete in zwei Bereiche einteilen Den Header Bereich und den Datenbereich Der Header beinhaltet Kontrolldaten der speziellen Ebene der Datenbereich beinhaltet Daten die zur oberen Ebene gehoren Weitere Informationen uber d
162. st DNS Abfragen an den Server weiterleiten der automatisch von den dem Betriebssystem bekannten DNS Servern ausgew hlt wird Falls aktiviert werden alle DNS Abfragen an den DNS Server weitergeleitet der von der TCP IP Konfiguration der Internetschnittstelle oder der DFU Verbindung ausgew hlt wurde Suche in HOST Datei aktivieren Wenn diese Option aktiviert ist ist es dem DNS Server erlaubt Daten der HOST Datei zu verwenden um die Abfragen zu beantworten HOSTS Datei bearbeiten Diese Schaltfl che startet einen externen Text Editor mit dem Sie die HOSTS Date bearbeiten k nnen DNS Dom ne Geben Sie hier Ihren Dom nennamen ein z B acme com Wird eine DNS Abfrage beantwortet wird der Domanenname an den von der HOSTS Datei oder von der DHCP Lease Tabelle erhaltenen Namen angeh ngt Installation und Konfiguration 91 DNS Abfragen weiterleiten an Geben S e die numerische IP Adresse des DNS Servers ein an den die DNS Abfragen weitergeleitet werden sollen W hlen S e eine Adresse des DNS Servers Ihres Internetdiensteanbieters oder eines Servers zu dem Sie schnellen Zugang besitzen DNS Cache aktivieren Mit dieser Option k nnen Antworten auf DNS Abfragen im internen Cache gespeichert werden Nachfolgende Abfragen werden dann bearbeitet indem der Inhalt des Cache verwendet wird ohne auf eine Antwort des DNS Servers au erhalb Ihres Netzwerks zu warten Beim
163. t Ausgehende Pakete Pakete die auf dem Weg vom LAN die Network Address Tranlation Engine passieren werden so ver ndert oder bersetzt dass sie aussehen als k men sie von dem NAT ausf hrenden Computer Dieser Computer ist direkt mit dem Internet verbunden Im Grunde wird jedoch nur die IP Quelladresse im Header durch die ffentliche IP Adresse des NAT Computers ersetzt Die NAT Engine erstellt dar ber hinaus eine Datensatztabelle f r jedes Paket das das Internet passiert hat Ml Network Interface MIT 192 168 1 1 MAT MI 2 195 75 16 65 WinFoute 16 64 Ele ee 4 packet sre 192 168 1 22 7996 dst 194 196 16 43 80 ae 15507 1RR 1 oF IF 13H FA 1R A WinRoute Beschreibung 13 Eingehende Pakete Pakete die NAT auf dem Weg zum LAN passieren werden mit den von der NAT Engine gespeicherten Datensatzen verglichen Dabei wird die IP Zieladresse bas erend auf Datens tzen in der Datenbank wieder auf die spezifische interne private IP Adresse zur ckge ndert um den Computer m LAN zu erreichen Das Paket kommt am NAT Computer mit der ffentlichen IP Adresse des NAT Computers als Zieladresse an Die NAT Engine ndert diese Information dann um das Paket dem richtigen Empf nger innerhalb des lokalen Netzwerks zuzustellen Bee IP 192163122 Mis Network Interface Aufbau von WinRoute WinRoute Architektur F r erweitertes Internetworking ist es hilfreich die Funktionsweise
164. t dieser Dom ne assoziiert wird Dann wendet sich Ihr Browser oder FTP Client an die ffentliche Adresse wo kein Server ausgef hrt wird da der Webserver sich innerhalb des Netzwerks befindet Losung Um dieses Problem zu beheben verwenden Sie die in WinRoute integrierte DNS Weiterleitung DNS Forwarder als DNS Server f r Ihren Computer In der HOSTS Datei geben Sie einen neuen Eintrag ein der besagt dass www meinedom ne com an der entsprechenden internen privaten IP Adresse ausgef hrt wird Stellen Sie den DNS Forwarder so ein dass er die HOSTS Datei pr ft bevor er eine DNS Anfrage an den regul ren Server sendet 168 WinRoute Pro 4 1 Benutzerhandbuch So werden immer dann wenn Benutzer eine Anfrage an www meinedom ne com senden solche Anfragen an die r chtige lokale Adresse gesendet Einsatzbeispiele 169 Ausfuhren von WWW FTP DNS und Telnet Servern hinter WinRoute In diesem Abschnitt Ausf hren eines WWW Servers hinter NAT 169 Ausf hren eines DNS Servers hinter NAT 170 Ausf hren eines FTP Servers hinter NAT 171 Ausf hren des MAIL Servers hinter NAT 172 Ausf hren des Telnet Servers hinter NAT 173 Ausf hren eines WWW Servers hinter NAT So f hren Sie den Webserver hinter NAT aus ffnen Sie das Men Einstellungen gt Erweitert gt Anschlusszuordnung
165. tar 132 PAUSINI een 132 E Mail Versand indas Internet san iaaa aaa 133 Alasa meea E AN 136 Zeitplan f r den E Mail Austausch cc ccccccccssccccececccccececeseeeseeeeeeeeees 138 Empfane von E Mails een 140 Sie besitzen eine Dom ne SMTP usssssssesseeseeeeeeeeeeeeeeeeenenn 141 Mehrere OMaNEN usage 144 Sie besitzen eine dem POP3 Konto zugewiesene Dom ne 145 E Mail empfangen Sie haben mehrere Mailboxes bei Ihrem ISP147 Softwareeinstellungen f r den E Mail Client seenen 148 WinRoute Mail SCI ET ita heehee nennen 149 So umgehen Sie den Mail Server von WinROut 0cccccceeeees 150 Einsatzbeispiele Kapitel 3 IPSEC NOVELL und PPTP VPN L sungen esssssssssssssssnnnnnnnnnnnnn 154 IPSEC VEN seele Beer 154 Novell Border Manager VPN ccccceeeeeeeeeeeeeeeneeennennnnnnnennnnnnnnnnnennnnn 158 Ausf hren eines PPTP Servers hinter NAT 160 Beispiele f r PPTP LOSsuUnsen ee 161 Ausf hren von PPTP Clients hinter NAT 162 TINS sO SUING zus en N T 163 DNS Server auf dem WinRoute PC usssssssseeeeeesesseeseennnnnnnnnnnnnn 163 DNS Server hinter dem WinRoute PC csesessneennnnennnnnnnenennnnn 163 DNS und WWW Server hinter NAT uuussssseeeeeeeeeeeeeeeeeeeeeennnn 164 Contents Ausf hren von WWW FTP DNS und Telnet Servern hinter WinRoute 169 Ausf hren eines WWW Servers hinter NA
166. ten wie die Anschlussnummer und die IP Adresse in die NAT Tabelle eingetragen Wenn die Pakete zur ckkommen kann WinRoute diese so mit der NAT Tabelle vergleichen um zu bestimmen an wen das Paket zur ckgeleitet werden muss Wenn das Paket nicht initiiert ist das hei t kein zur ckkommendes Paket ist vergleicht WinRoute es mit der NAT Tabelle und stellt fest dass es nicht initiiert ist Wenn keine Anschlusszuordnungen erstellt sind kann WinRoute das Paket nicht an einen Teilnehmer m lokalen Netzwerk senden Mit der Option abgelehntes Paket senden wird das Paket mit der Nachricht an den Absender zur ckgesandt dass keine Verbindung erstellt werden konnte 114 WinRoute Pro 4 1 Benutzerhandbuch Mit der Option Paket abwerfen automatische Installation wird das Paket vernichtet und kein Paket zur ckgesandt Auf diese Art und Weise werden keine Hinweise auf die Existenz des WinRoute Host sowie des entsprechenden LANs nach au en gegeben Eingehende UDP Pakete Bei einigen Anwendungen die das User Datagram Protocol UDP verwenden ist es erforderlich UDP Pakete an einen zentralen Server zu senden WinRoute zeichnet die Quelle und den Bestimmungsort aller UDP Pakete auf die an den Server geleitet werden der von der das Paket sendenden Anwendung zugewiesen wurde In einigen F llen leitet der Server Ihre IP und den Anschluss an einen anderen Computer weiter von dem S e dann ein UDP Paket mit den angeforde
167. ters innerhalb des Netzwerks verwenden Vergewissern Sie sich dass Sie in Ihrem Netzwerk jeweils nur einen DHCP Server aktiviert haben Standard Gateway im berblick WinRoute fungiert als Router Als solcher macht WinRoute zwei grundlegende TCP IP Einstellungen an jedem Computer Ihres Netzwerks erforderlich Weisen Sie eine IP Adresse zu entweder manuell oder ber den DHCP Server z B DHCP Server von WinRoute Richten Sie den Standard Gateway ein 84 WinRoute Pro 4 1 Benutzerhandbuch Der Standard Gateway an jedem tiber WinRoute auf das Internet zugreifenden Computer muss der IP Adresse der Ethernet Schnittstelle des WinRoute Computers der die Verbindung zum lokalen Netzwerk herstellt entsprechen Beispiel Der Client Computer hat die IP Adresse 10 10 10 23 wahrend der WinRoute PC zwei Schnittstellen hat Die eine f hrt zum Kabelmodem mit einer IP von Ihrem Internetdiensteanbieter z B 203 23 14 232 und die andere f hrt zum privaten Netzwerk 10 10 10 1 Der Standard Gateway auf dem Computer 10 10 10 23 wird auf 10 10 10 1 eingerichtet gt Hinweis 1 Wenn Sie innerhalb Ihres lokalen Netzwerks Adressplatz f r IPs schaffen m ssen Sie die IP Adressen des gleichen Teilnetzes verwenden Das hei t wenn die Maske des verwendeten Teilnetze 255 255 255 0 lautet m ssen sich alle Adressen zwischen 10 10 10 1 und 10 10 10 255 befinden gt Hinweis 2 Sie k nnen ber WinRoute mehrere Netzwerke mit dem
168. tiber NAT hinweg CU SeeMe Anrufe zu erhalten sind die folgenden Anschlusszuordnungen erforderlich Protokoll UDP Uberwachungs IP lt nicht spezifiziert gt Uberwachungsanschluss 7648 Ziel IP IP Adresse des Computers der den CU SeeMe Client ausf hrt Zielanschluss 7648 Protokoll UDP Uberwachungs IP lt nicht spezifiziert gt Uberwachungsanschluss 7649 Ziel IP IP Adresse des Computers der den Cu SeeMe Client ausf hrt Zielanschluss 7649 Einschrankungen Derzeit ist es nicht m glich mehr als einen CU SeeMe Client in einem lokalen Netzwerk auszuf hren Es ist nicht m glich eine Verbindung zu einem Reflektor herzustellen der durch ein Kennwort gesch tzt wird Firewall Konfiguration 213 Fernzugriff PC Anywhere In diesem Abschnitt PCy WG le ee dace ote eae 213 PC Any where Gatew ay oninia 214 PC Anywhere Von allen auf dem Markt erhaltlichen Router Programmen bietet WinRoute eine einzigartige Unterstutzung fur PC Anywhere von Symantec PC AnyWhere erm glicht es dem Benutzer innerhalb eines Netzwerks auf Computer zuzugreifen und diese zu verwalten Nehmen Sie hierzu folgende Schritte vor 1 Der verwaltete Computer f hrt den Host von PC Anywhere aus 2 Der Fern Computer f hrt PC Anywhere Remote aus 3 Die Anschlusszuordnung am WinRoute Computer wird folgenderma en konfiguriert Protokoll TCP UDP berwachungs IP nicht spezifiziert berwachungsanschluss Bandbreite 5631 5632
169. tion erstellen k nnen Dies wird n der folgenden Bildschirmabbildung veranschaulicht Add Item Packet Descnpton Protocol TCF Source Destination DM ary access WM BE Nemo Bt IP Address 92168 2340 Mask 255 255 255 0 Port lay o Fort Betweenfin fas Ta 13 TCF Flags Only established TCP connections Only establishing TCP connections Acton Log Facket Walid at C Permit MW Log into file Time internal Always en M Log into window Cancel WinRoute Beschreibung 29 Filterkriterien k nnen pro Schnittstelle f r alle der folgenden Einheiten festgelegt werden eine einzelne IP Adresse eine vom Administrator definierte Liste von IP Adressen ein gesamtes Netzwerk oder Teilnetz 30 WinRoute Pro 4 1 Benutzerhandbuch Beachten Sie dass sowohl f r den eingehenden als auch f r den ausgehenden Datenverkehr Filter eingerichtet werden k nnen Mit Hilfe dieser Funktionen ist die genaue Anpassung der Zugangsrichtlinien an die Sicherheitsanforderungen nahezu jedes Unternehmens m glich Beispielsweise k nnte einer Gruppe von Netzentwicklern der Zugang zu spezifischen externen Ressourcen gew hrt werden wie beispielsweise anonyme FTP Leitwerk Server oder eine spezifische Liste interner Adressen f r externe Partner Netzwerke zug nglich gemacht werden um elektronische Dateien abzulegen Die eingehende ausgehende Konfiguration erm glicht den Schutz vor sch dlichen i
170. to Site VPN Der Novell Border Manager Enterprise Server ist jedoch sehr teuer fur Privatbenutzer Hinzu kommt dass ein die erweiterten Einstellungen der statischen Routen des entfernten Netzwerks auf das zugegriffen wird notwenig sind Die oben genannte L sung von Novell ist daher nicht geeignet wenn man sein lokales Netzwerk das NAT verwendet mit dem Novell Border Manager VPN mit einem entfernten Netzwerk verbinden will Einsatzbeispiele 159 Interessanterweise ist es m glich das lokale Netzwerk das NAT verwendet mit einem entfernten Netzwerk welches WinRoute Pro und den Novell Border Manager VPN Client verwendet zu verbinden Diese Konfiguration erlaubt es jedem Computer auf dem lokalen Netzwerk auf die Ressourcen des entfernten Netzwerks zuzugreifen wenn der VPN Tunnel auf dem Router Computer eingerichtet wurde Es ist keine Konfiguration des entfernten Netzwerks erforderlich Nachfolgend sind die f r die Konfiguration des lokalen Netzwerks notwendigen Schritte aufgef hrt Schritt 1 Installieren und konfigurieren S e die Novell Border Manger Client Sortware auf dem Computer der als Router verwendet werden soll Vergewissern Sie sich dass die Verbindung zwischen dem entfernten Netzwerk ordnungsgem eingerichtet ist und auf die Ressourcen des entfernten Netzwerks zugegriffen werden kann Schritt 2 Installieren Sie WinRoute Pro auf dem Router Computer Gehen S e entsprechend der
171. tstelle hat In unserem Beispiel g bt es drei Netzwerkschnittstellen im WinRoute Computer Internet Schnittstelle Netzwerkschnittstelle 1 Netzwerkschnittstelle 2 pe E a 4 i a p pe lt Internet orale IF 192 168 1 1 IF 192 169 2 1 hes En WinRoute cI c c m c c IF 192 109 2 2 4 IF 192 165 1 2 4 Einsatzbeispiele 183 Es sind lediglich folgende Einstellungen erforderlich Internet Schnittstelle NAT ist aktiviert Die IP Adresse ist gem den Anweisungen Ihres Internetdiensteanbieters eingerichtet Der Gateway st gem den Anweisungen Ihres Internetdiensteanbieters eingerichtet Interne Schnittstellen NAT ist NICHT aktiviert Es ist an KEINER der beiden Schnittstellen ein Standard Gateway eingerichtet Die IP Adresse ist auf den internen Typ eingestellt z B 192 168 1 1 Die anderen Einstellungen sind die gleichen wie sie in den anderen Kapiteln dieses Handbuchs beschrieben sind Der Datenverkehr der aus den Teilnetzen ankommt wird n d e anderen Teilnetze oder n das Internet und umgekehrt geleitet 184 WinRoute Pro 4 1 Benutzerhandbuch Gemeinsame Nutzung der Verbindung fur zwei Netzwerke mit 2 IP Adressen M glicherweise m chten Sie einen Internetzugang f r zwei Netzwerke nutzen wenn sich beide Netzwerke hinter der ffentlichen IP Adresse befinden Gleichzeitig soll es m gl ch sein auf die Computer in beiden privaten Netzwe
172. uchen Wie gehe ich mit DNS Anfragen bez glich www meinedom ne com um die aus meinem LAN stammen Wie werden diese mit der privaten Netzwerk IP Adresse des Webservers beantwortet w hrend DNS Anfragen die aus dem Internet eingehen eine regul re Internet IP Adresse mit www meinedom ne com erhalten Die Antwort ist verh ltnism ig einfach Verwenden Sie die in WinRoute integrierte DNS Weiterleitung um das Problem zu l sen Richten Sie an allen Client PCs die DNS Weiterleitungsfunktion von WinRoute ein Nehmen Sie auf dem WinRoute PC folgende Einstellungen vor Schalten Sie die DNS Weiterleitung von WinRoute EIN Bearbeiten Sie die HOSTS Date F gen S e n der HOSTS Date eine Aufzeichnung hinzu die besagt dass www meinedom ne com eine spezielle private IP Adresse ist auf der Ihr Web Server ausgef hrt wird z B 10 10 10 8 Die HOSTS Datei finden Sie im Hauptverzeichnis Ihres Windows Verzeichnisses in dem Windows installiert ist c Windows oder c win98 usw Sie k nnen auf die HOSTS Datei auch ber das Dialogfeld der DNS Weiterleitung von WinRoute zugreifen indem Sie auf die Schaltfl che zum Editieren der HOSTS Datei klicken Einsatzbeispiele 165 Wie funktioniert das Alle DNS Anfragen die von den Client Computern Ihres LAN gesendet werden werden zuerst von der DNS Weiterleitung in WinRoute aufgel st Zun chst werden alle Anfragen mit den Datens tzen in der HOSTS Datei verglichen Wenn
173. ung f r das TCP Protokoll durchf hren Anschluss 110 sendet die E Mails an die private IP Adresse des PCs der den Mail Server ausf hrt 142 WinRoute Pro 4 1 Benutzerhandbuch Wenn Sie eine Internetdom ne f r Ihre externe ffentliche IP Adresse registriert haben kann WinRoute E Mail mit dem SMTP Protokoll empfangen gt Vergessen Sie nicht den Anschluss 25 des TCP Protokolls der privaten IP Adresse Ihrer WinRoute Mailbox zuzuordnen Andernfalls wird es dem SMTP Protokoll nicht erm glicht durch die NAT von WinRoute zu laufen Je nachdem welche Internetverbindung Sie besitzen ist Folgendes in Betracht zu ziehen 1 Sie haben eine Standleitung Hier sind keine speziellen Einstellungen erforderlich Es werden lediglich die Dom nen eingetragen 2 Sie haben eine DF oder ISDN Leitung ETRN Befehl Falls Sie keine Standleitung besitzen wird Ihre E Mail tempor r bei Ihrem Internetdiensteanbieter gespeichert Die E Mail wird bertragen wenn eine Verbindung hergestellt wird Einige Anbieter verlangen dass ein ETRN Befehl verwendet w rd um E Mails abzufragen Der Mail Server von WinRoute unterst tzt den ETRN Befehl Sie k nnen die Option n der Registerkarte Allgemein des Dialogfeldes des Mail Servers aktivieren I have Internet domain me Local Dornain s Be nye com gamerouter corn Use semicolon to separate entries l Use ETAN command ETRN ist ein vom SMTP Server v
174. urch Au erdem f hrt es an den entsprechenden Schnittstellen alle voreingestellten Sicherheitsroutinen durch Dadurch hat der Benutzer bei der Gestaltung und Konfiguration der Sicherheitsoptionen viel Freiraum WinRoute Beschreibung 15 NAT an beiden Schnittstellen einstellen Unter Umst nden m chten Sie WinRoute nur als neutralen Zugangs Router f r den Datenverkehr Pakete verwenden der vom Internet zu einem lokalen Netzwerk flie t Wenn Sie bereits einen gemeinsamen Internetzugang besitzen jedoch keine vom Internet zug nglichen Server und Anwendungen in Ihrem privaten Netzwerk ausf hren k nnen dann ist WinRoute n dieser speziellen Konfiguration m glicherweise genau die richtige L sung Folgende Dienste sollten vom Internet aus zug nglich sein Telnet Server z B AS400 WWW Server Mail Server PC Anywhere FTP Server und jeder andere Server Dienst der an einem bestimmten Anschluss zug nglich ist WinRoute bietet den Benutzern bzw Kunden zuverl ssigen und s cheren Zugang zu diesen Diensten Die Konfiguration von WinRoute f r diese Dienste wird in anderen Kapiteln beschrieben Folgende Einstellungen werden auf andere Weise vorgenommen 16 WinRoute Pro 4 1 Benutzerhandbuch Funktion Ursprunglich empfohlen In diesem Fall NAT an der Internet EIN EIN Schnittstelle NAT an der internen AUS EIN LAN Schnittstelle Die IP Adresse der JA obligatorisch NEIN
175. usgew hlten RAS Schnittstelle Aktivieren S e d e Schaltfl che NAT mit der IP Adresse dieser Schnittstelle f r den gesamten passierenden Datenverkehr 102 WinRoute Pro 4 1 Benutzerhandbuch 4 Gehen Sie zur RAS Tabelle im Dialogfeld Eigenschaften w hlen Sie oder erstellen Sie eine Verbindung und legen Sie die Optionen entsprechend Ihrer Bed rfnisse fest Weitere Einzelheiten entnehmen Sie bitte der RAS Tabelle gt Denken Sie daran NAT muss an der RAS Schnittstelle AKTIVIERT sein w hrend es an den Schnittstellen zum internen Netzwerk DEAKTIVIERT sein muss Ethernet Schnittstellen Konfiguration 1 Der Netzwerkkarte zum internen Netzwerk wurde eine private IP Adresse zugewiesen und KEIN Gateway 2 Die f r diese Schnittstelle verwendeten DNS Eintr ge basieren auf Daten Ihres Internetdiensteanbieters Falls Ihnen diese Daten nicht zur Verf gung gestellt wurden wenden Sie sich bitte an den Diensteanbieter Sie konnen WinRoute zur Verwendung der Wahlaufforderung Dial On Demand einrichten Dabei wird die Verbindung automatisch basierend auf dem Datenverkehr der das lokale Netzwerk verlasst hergestellt Wenn Sie Einzelheiten dazu erfahren mochten klicken Sie hier AOL Verbindung Wenn Sie WinRoute Pro verwenden k nnen Sie Ihr Netzwerk ber ein einfaches AOL DFU Konto mit dem Internet verbinden Hinweis AOL unterst tzt nur Computer mit Win95 98 Um eine Verbindung ber AOL herzustellen f hren Sie
176. ute cz w 0H owl 999 10 22 11 POPS download 1 message 32119 bytes downloaded from server fw winroute cz w 0H ow 1999 10 22 47 SMTP Server message 955591 bytes received from erikitinysofiware com to har 10 N 01999 10 25 05 SMTP Send 1 outgoing message 955591 bytes sent through server mail pacbell net 10 N 01999 10 25 09 POPS download 1 message 1140 bytes downloaded from server fw winroute cz wit I10 N ow 1999 10 32 11 POPS download 1 message 1691 bytes downloaded from server fw winroute cz wit 10 N 0 1999 10 34 08 POPS download 1 message 4492 bytes downloaded from server fw winroute cz wit 10 N ow 1999 10 34 12 POPS download 1 message 4492 bytes downloaded from server fw winroute cz wit 10 N ov 999 10 33 06 SMTP Server message 1167 bytes received from lt erik tiyysoftware com gt to lt neilan 0H owl 999 10 35 14 SMTP Send 1 outgoing message 1167 bytes sent through server mail pacbell net Os 0 1999 10 36 37 SMTP Server message 22291 bytes received from Senkichtinysoftware com gt to oweb 10 N ow 1999 10 35 41 SMTP Send 1 outgoing message 22891 bytes sent through server mail pachell net 10 N owl 999 10 38 49 SMTP Server message 1211 bytes received from lt erik tiyysoftware com gt to lt FNea 10 N 0 1999 10 38 30 SMTP Send 1 outgoing message 1211 bytes sent through server mail pacbell net 0H owl 999 10 45 49 POPS download 1 message 17623 bytes downloaded f
177. uters en 84 IP Konfiguration mit DHCP Server cccccccccccccccccccecceeeceeeeeeeeeeeeeeseeeees 86 IP Konfiguration mit einem fremden DHCP Server eeeen 88 IP Konfiguration manuelle Zuweisung n 89 Einrichten des DNS Forwarder uau ae 90 Hersiellen derInternetverbindunes neneneies eco tehsil anno Goch evens es 92 DSL V erbinduns see ee 92 PPPoOF DSL Verbinduns nee ee 94 Bidirektionale Kabelmodemverbindung neneeennnenneennnnn 96 Unidirektionales Kabelmodem Modem in Betrieb Kabel ausser Betrieb 97 Verbindung ber DFU oder ISDN enenenennennnnn 99 Contents AOL Verbinduns un een 102 T1 oder LAN Verbindung ui 103 DiesePE Yerbinduns u 105 S cherheitseinstellungsen wen we a ende 111 NAT Sicherheit aan a 112 NAT Sicherheitsoptionen uussssssssssssnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnn nn 113 Pakettilter Pinstellinsen u se ee ee 117 Beispiel f r ein Satz von Paketfilterkriterien uuuu0eeeennneennnn 121 Musterbeispiel f r einen Kriteriumssatz f r Paketfilter bei eingehenden FILTER EEP een erlassenen 122 Gew hrung der Kommunikation an bestimmten Anschl ssen 123 So veranlassen Sie die Benutzer dazu den Proxy Server zu verwenden 127 Einrichten des MATL SETVE S Eee 130 Wat 2M Z CR aie e a 130 E Mail Versand an andere Benutzer von WinRoute innerhalb Ihres INC OZ WETS nee ee an aan e te bsalnabicnentetoss
178. ware MS Proxy Server Deinstallieren Sie MS Proxy Server vor der Installation Deinstallieren Sie sowohl die Server als auch die Client Software Entfernen Sie das TCP IP Protokoll starten Sie den Computer neu und rufen Sie TCP IP wieder auf Microsoft Internet Connection Sharing Deinstallieren Sie MS ICS vor der Installation entfernen Sie das TCP IP Protokoll starten Sie den Computer neu und rufen Sie TCP IP wieder auf WinProxy von Ositis Deinstallieren Sie WinProxy vor der Installation entfernen Sie das TCP IP Protokoll starten Sie den Computer neu und rufen Sie TCP IP wieder auf Installation und Konfiguration 75 Alle oben genannten Programme verwenden Treiber die mit niedrigeren Ebenen des mit WinRoute ausgef hrten Netzwerkprotokolls nicht ordnungsgem arbeiten Routing Tabelle Trotz der ordnungsgem en Installation und Konfiguration der Komponenten k nnen unter Umst nden Fehlfunktionen auftreten Leider ist das Betriebssystem Windows 95 98 NT nicht besonders f r die Netzwerke geeignet Manchmal funktioniert die Einrichtung auch dann nicht wenn Sie WinRoute installiert haben und die Netzwerkeinstellungen korrekt sind Sehen Sie in diesem Fall in der Routing Tabelle nach und w hlen Sie eine der folgenden M glichkeiten aus Fixieren Sie die Routen indem Sie sie zun chst l schen und dann wieder hinzuf gen nur f r erfahrene Benutzer oder Entfernen Sie das TCP IP Protokoll komplett
179. werden von Ihrem Computer ber das Modem zum DirecPC Internetdienst bertragen wo sie zu ihrem endg ltigen Bestimmungsort geleitet werden Auf dem R ckweg verkn pft DirecPC die Pakete Daten die an Ihrem Computer ankommen mit verschiedenen Daten um s e ber die Satellitensch ssel zu leiten WinRoute Konfiguration Zun chst m ssen S e die gesamte DirecPC Software und die Komponenten ordnungsgem installieren Anschlie end k nnen Sie WinRoute Ihren speziellen Bed rfnissen entsprechend konfigurieren F r die Aufw rtsverbindung k nnen Sie entweder die DirecPC Wahlhilfe oder WinRoute RAS verwenden Mit WinRoute k nnen Sie von der Wahllaufforderungsfunktion Dial On Demand profitieren die Ihnen eine erhebliche Kostenersparnis einbringt 1 Verwenden der RAS Leitung f r die Aufw rtsverbindung ip 182 168 1 1 mask 455 255 255 0 ii gw none dns A B C o ip 192 165 1 2 4 mask 255 255 255 0 Fr gw 192 168 1 1 dns A B C O m BICHDIS3 6 1 ip 194 256 204 457 mask 255 255 255 0 gw 194 25 204 4 NAT 106 WinRoute Pro 4 1 Benutzerhandbuch Rufen Sie das Men Einstellungen gt Schnittstellentabelle auf Hier wird die Schnittstelle der RAS Leitung Ihr Modem und die DirecPC Netzwerkkarte angezeigt Klicken S e auf die DirecPC Netzwerkkarte und anschlie end auf Eigenschaften Es werden zwei Registerkarten angezeigt NAT und DirecPC Aktivieren S e auf der Registerkarte N
180. x x x Zielanschluss 27960 Firewall Konfiguration 221 StarCraft StarCraft WinRoute Pro beinhaltet eine einzigartige Unterst tzung f r alle StarCraft Spieler Blizzard Entertainment Mehrere Spieler des Netzwerks d e ber WinRoute Pro mit dem Internet verbunden sind k nnen gegen thre virtuellen Feinde m Internet zu spielen Derzeit besteht eine vollst ndig automatische Unterst tzung nur f r den Fall dass alle Spieler eines Netzwerks die an dem Spiel ber Computer teilnehmen die sich hinter WinRoute Pro befinden und nicht auf dem Host Rechner Weitere Einzelheiten hierzu finden Sie unter www tinysoftware com 222 WinRoute Pro 4 1 Benutzerhandbuch Zusatzliche Anschlusszuordnungen fur gangige Spiele und Anwendungen F r verschiedene Anwendungen erforderliche Anschl sse Age of Empires Il 2 Anschlusszuordnungen erforderlich Protokoll TCP Quell IP nicht spezifiziert Quellanschluss 47624 Ziel IP IP Adresse des Computer der die Anwendung ausf hrt Zielanschluss 47624 Protokoll TCP UDP Quell IP nicht spezifiziert Quellanschluss Bandbreite 2300 2400 Ziel IP IP Adresse des Computer der die Anwendung ausf hrt Zielanschluss Bandbreite 2300 2400 Delta Force Protokoll TCP Firewall Konfiguration 223 Quell IP nicht spezifiziert Quellanschluss Bandbreite 3568 3569 Ziel IP IP Adresse des Computer der die Anwendung ausfuhrt Zielanschluss Bandbreite 3568 3569
181. zerhandbuch Hinzufugen eines Benutzers Fuhren Sie folgende Schritte aus um einen Benutzer hinzuzufugen 1 Rufen Sie das Men Einstellungen gt Konten auf 2 Aktivieren Sie die Schaltfl che Hinzuf gen 3 Legen Sie Benutzernamen und Kennwort fest 4 Weisen Sie Benutzern Rechte zu Der Benutzer hat kein Recht WinRoute zu verwalten Der Benutzer verf gt ber Vollzugriff auf das Verwaltungsprogramm Ansichtsprotokoll Der Benutzer hat das Recht sich bei WinRoute Administrator anzumelden und nur die Protokollfenster einzusehen Fehlerbehebungsinformationen Proxy Protokoll Mail Protokoll usw Der Benutzer besitzt keine dar ber hinausgehenden Zugriffsrechte zur nderungen von anderen Einstellungen WinRoute Beschreibung 63 Einwahlverbindungen kontrollieren Der Benutzer hat das Recht sich bei WinRoute Administrator anzumelden und die Internetverbindung einzurichten bzw zu unterbrechen Der Benutzer besitzt keine dartiber hinausgehenden Zugriffsrechte zur Anderung von anderen Einstellungen Users Groups Advanced User Edit User User Properties E Username alice P Wee windows All logon authentication Password a i Contirm 5 Er User Rights C Ho access to administration cr Full access to administration Specify access T View logs 64 WinRoute Pro 4 1 Benutzerhandbuch Benutzergruppen In WinRoute k nnen Sie Benutzer verschiedenen Gruppen zuweisen Ein Benutzer kann gle
Download Pdf Manuals
Related Search