S E R V E R ■ ISDN ■ DSL ■ Fi r e w a l l ■ VPN AVM Access Server Sicherer Zugang für Ihr Netz S E R V E R Dieses Handbuch ist auf chlorfrei gebleichtem Papier gedruckt und daher voll recycelbar. S10/02-L10/02-10.
Beispiel-Szenario Die Firma ABC hat ihren Hauptsitz in Berlin und eine Niederlassung in Stuttgart. Im Hauptsitz in Berlin ist die Mitarbeiterin Erika Musterfrau beschäftigt. Da Frau Musterfrau in Hamburg wohnt, arbeitet sie zu Hause. Sie soll nun einen VPN-Zugang zum Firmennetz erhalten und darüber auch auf den E-Mail-Server zugreifen können. Die beiden lokalen Netzwerke in Berlin und in Stuttgart sollen ebenfalls über VPN gekoppelt werden.
Heimarbeitsplatz von Erika Musterfrau Beispiel: IP-Adresse aus Bereich 192.168.110.0/24 Dynamische IP-Adresse (von T-Online zugewiesen) Ihr eigener Bereich: Internet AVM Access Server Beispiel: 192.168.10.1 Virtuelles Privates Netz (VPN) Niederlassung Berlin AVM Access Server Niederlassung Stuttgart Beispiel: 192.168.10.0/24 Beispiel: 192.168.20.1 Beispiel: 192.168.20.
AVM Access Server Diese Dokumentation und die zugehörigen Programme sind urheberrechtlich geschützt. Dokumentation und Programme sind in der vorliegenden Form Gegenstand eines Lizenzvertrages und dürfen ausschließlich gemäß den Vertragsbedingungen verwendet werden. Der Lizenznehmer trägt allein das Risiko für Gefahren und Qualitätseinbußen, die sich bei Einsatz des Produktes eventuell ergeben.
Inhaltsverzeichnis 1 1.1 1.2 1.3 1.4 2 2.1 2.2 3 3.1 3.2 3.3 3.4 3.5 4 4.1 4.2 4.3 5 5.1 5.2 5.3 5.4 5.5 5.6 5.7 5.8 5.9 Willkommen beim AVM Access Server 6 Das bietet Ihnen der AVM Access Server . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 6 Merkmale des AVM Access Servers . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 8 Lieferumfang . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 14 Systemvoraussetzungen. . .
6.1 6.2 6.3 6.4 6.5 6.6 6.7 6.8 7 7.1 7.2 7.3 7.4 7.5 4 AVM Access Server für Experten 111 Architektur des AVM Access Servers. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 111 Internetzugang mit dem AVM Access Server . . . . . . . . . . . . . . . . . . . . . . . . . 113 Verbindung zu entfernten Benutzern . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 116 Anbindung entfernter Netzwerke . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Konventionen im Handbuch Um den Inhalt dieses Handbuchs übersichtlich zu gestalten und wichtige Informationen hervorzuheben, wurden folgende typografische Hervorhebungen und Symbole verwendet: Hervorhebungen Nachfolgend finden Sie einen kurzen Überblick über die in diesem Handbuch verwendeten Hervorhebungen.
Willkommen beim AVM Access Server 1 Willkommen beim AVM Access Server Der AVM Access Server bietet die nahtlose Einbindung von räumlich entfernten Benutzern und Netzwerken in die Kommunikationsprozesse des Unternehmens. Damit können Heimarbeiter, mobile Außendienstmitarbeiter, Niederlassungen und Filialen die Anwendungen des lokalen Netzwerks auch aus der Ferne benutzen.
Das bietet Ihnen der AVM Access Server Die folgende Abbildung veranschaulicht die Einsatzmöglichkeiten des AVM Access Servers. Einsatzmöglichkeiten des AVM Access Servers Der AVM Access Server verbindet räumlich getrennte Netzwerke miteinander. LAN-Ressourcen der Zentrale, beispielsweise Server, Mainframes oder Datenbanken, stehen somit auch in den Niederlassungen und kleinen Außenstellen zur Verfügung.
Merkmale des AVM Access Servers E-Mail, World Wide Web, News und mehr. Der AVM Access Server unterstützt auch die Kombination mit E-Mail-, Proxy- oder Web-Servern, wie zum Beispiel AVM KEN! und AVM KEN!DSL. Der AVM Access Server arbeitet nach dem offenen Standard PPP over ISDN (Point-to-Point Protocol) für die Verbindung von lokalen Netzwerken über ISDN. Daher kann der AVM Access Server Verbindungen mit allen ISDN-Routern aufnehmen, die diesen Standard ebenfalls unterstützen.
Virtual Private Network (VPN) Das ISDN-Leistungsmerkmal CLIP (Calling Line Identification Presentation), die Übermittlung der ISDN-Nummer des Anrufers über den D-Kanal, wird vom AVM Access Server zur Überprüfung der Identität der Gegenstelle benutzt. Zur Steigerung der Übertragungsgeschwindigkeit können die ISDN-BKanäle gebündelt werden – auch über mehrere ISDN-Controller hinweg.
Optimale Übertragungsleistung Optimale Übertragungsleistung Zur optimalen Nutzung der ISDN-Bandbreite sowie zur Steigerung der Übertragungsleistung bietet der AVM Access Server die folgenden Funktionen: ! Datenkompression nach CAPI-Standard Stac LZS, MPPC und IP-Comp ! Header-Kompression für IP nach Van Jacobson TCP/IP Header Compression ! Kanalbündelung nach CAPI-Standard sowie statisch und dynamisch über PPP Multilink Reduzierung und Begrenzung der Verbindungsgebühren Durch sein intelligentes Verbi
Sicherheitsfunktionen die ISDN-Leitung fast ausschließlich für Nutzdaten aufgebaut und der Hintergrunddatenverkehr im LAN weitgehend vom ISDN ferngehalten wird. ! Einstellbare Schwellenwerte (pro Tag, Woche und Monat) für maximales Budget, maximale physikalische Verbindungsdauer und maximale Anzahl ausgehender Rufe ermöglichen die Kontrolle der Verbindungsgebühren.
Einfache Installation und Bedienung Entfernte Seite (z.B. AVM Access Server oder NetWAYS/ISDN) ISDN Vorgang D-Kanal Überprüfung der D-Kanal-Rufnummer B-Kanal Nach Rufannahme Echtheitsbestätigung mit PAP oder CHAP Name/Passwort D- u. B-Kanal Lokale Seite (AVM Access Server) Ggf. Weiterleitung der Anmeldeinformationen an RADIUS-Server Ggf. Verbindungsabbau und Sicherheitsrückruf durch AVM Access Server B-Kanal Weitere PPP-Aushandlungen, z.B. IPAdresse, Spoofing, Kanalbündelung.
Verbindungssteuerung ! Statusinformationen über – den AVM Access Server und die ISDN- und DSL-Controller – die verfügbaren IP-Routen und die ARP-Tabelle (Address Resolution Protocol) – die physikalisch aktiven ISDN-Verbindungen ! Übersicht über die Kosten- und Nutzungsdaten für Verbindungen innerhalb eines ausgewählten Zeitraums ! Ereignismitschnitt als Tagesübersicht oder ausgewählt nach bestimmten Kriterien wie zum Beispiel dem Meldungstyp „Information“ ! Paketmitschnitt mit PPP-Dekodierung Verbin
Lieferumfang 1.
Installation und Inbetriebnahme 2 Installation und Inbetriebnahme Die Installation des AVM Access Servers ist menügeführt und einfach. Nachdem die Erstinstallation beendet ist, wird der Einrichtungsassistent gestartet, der Sie bei den Grundeinstellungen für die erfolgreiche Inbetriebnahme des AVM Access Servers unterstützt. Wir empfehlen Ihnen, sich schon vor der Installation des AVM Access Servers zu überlegen, welche Grundeinstellungen Sie mit dem Einrichtungsassistenten vornehmen möchten.
Praktische Durchführung: Installation des AVM Access Servers und erste Konfigurationsschritte Netzwerkeinstellungen in der Systemsteuerung des Betriebssystems überprüfen Bevor Sie mit der Installation des AVM Access Servers beginnen, müssen Sie die Netzwerkeinstellungen in der Systemsteuerung überprüfen und gegebenenfalls ändern.
Praktische Durchführung: Installation des AVM Access Servers und erste Konfigurationsschritte Im Beispiel-Szenario müssen folgende Einträge vorgenommen werden: 6. in Berlin in Stuttgart IP-Adresse 192.168.10.1 192.168.20.1 Subnetzmaske 255.255.255.0 255.255.255.0 Standard-Gateway 192.168.10.2 192.168.20.2 Falls kein DNS-Server eingerichtet ist, müssen Sie die virtuellen DNS-Server des AVM Access Servers eintragen. Die Werte gelten auch für das Beispiel-Szenario.
Praktische Durchführung: Installation des AVM Access Servers und erste Konfigurationsschritte 3. Starten Sie die Installation. 4. Setzen Sie den Installationsvorgang fort, indem Sie in den beiden Willkommensfenstern des Installationsassistenten jeweils auf „Weiter“ klicken. 5. Geben Sie im nächsten Fenster den Product Identification Code ein, der auf der Rückseite der CD abgedruckt ist. 6.
Praktische Durchführung: Installation des AVM Access Servers und erste Konfigurationsschritte Internetzugang einrichten Im Beispiel-Szenario wird sowohl in Berlin als auch in Stuttgart ein Internetzugang über T-DSL und T-Online eingerichtet. 1. Legen Sie im nächsten Fenster fest, wie der AVM Access Server auf das Internet zugreifen soll. Im Beispiel muss an beiden Standorten „FRITZ!Card DSL“ ausgewählt werden 2. Wählen Sie dann die Art des Internetanbieters aus.
Praktische Durchführung: Installation des AVM Access Servers und erste Konfigurationsschritte 4. Geben Sie nun die Zugangsdaten für Ihren Internetanbieter ein. Im Beispiel-Szenario werden die Zugangsdaten für T-Online T-DSL angegeben Benutzergruppe einrichten 1. Wenn Sie entfernten Benutzern den Zugang zum AVM Access Server ermöglichen wollen, dann legen Sie hier fest, wie der Zugriff erfolgen soll. Sollen zunächst keine entfernten Benutzer eingerichtet werden, deaktivieren Sie beide Einstellungen.
Praktische Durchführung: Installation des AVM Access Servers und erste Konfigurationsschritte 3. Wählen Sie den IP-Adressbereich aus. Aus diesem Adressbereich werden den Benutzern aus dieser Gruppe die IP-Adressen zugewiesen. Im Beispiel-Szenario wird der IP-Adressbereich 192.168.110.0/24 ausgewählt Ersten Benutzer für die Benutzergruppe einrichten 1. Legen Sie die Anmeldedaten für den Benutzer fest. Tragen Sie im Feld „Vollständiger Name“ den Vor- und Nachnamen des Benutzers ein.
Praktische Durchführung: Installation des AVM Access Servers und erste Konfigurationsschritte Im Beispiel-Szenario wird „Voreingestelltes Budget aktivieren“ ausgewählt 3. In der Zusammenfassung werden alle Einstellungen, die Sie vorgenommen haben, zusammengefasst dargestellt. Beenden Sie den Einrichtungsassistenten mit „Fertig stellen“. Flatrate für den Internetzugang einstellen Wenn Ihr Internetzugang pauschal tarifiert wird, dann sollten Sie am AVM Access Server die Option „Flatrate“ aktivieren.
Praktische Durchführung: Installation des AVM Access Servers und erste Konfigurationsschritte 4. Folgen Sie für die Registrierung eines Domänennamens beim Dynamic DNS-Anbieter den Hinweisen auf der Internetseite. Füllen Sie dazu die entsprechenden Formulare aus. In der Regel müssen Sie einen Domänennamen (auch Hostname genannt) und eine Benutzerkennung angeben.
Praktische Durchführung am Heimarbeitsplatz des Benutzers 5. Wählen Sie nun die Registerkarte „VPN“ aus und stellen Sie sicher, dass im Feld „Adresse im Internet“ der Domänenname, den Sie in Schritt 3 angegeben haben, ausgewählt ist. Exportdatei mit der Benutzerkonfiguration für NetWAYS/ISDN erstellen Am AVM Access Server können Benutzerkonfigurationen für entfernte Benutzer in einer Exportdatei gespeichert werden.
Praktische Durchführung am Heimarbeitsplatz des Benutzers 2. Wählen Sie im Dialog „Art des Netzwerkes“ die Option „Internet“ aus. 3. Wählen Sie im nächsten Dialog die Art des Internetanbieters aus. Im Beispiel wird am Heimarbeitsplatz von Erika Musterfrau die Option „Internetanbieter mit Anmeldung“ ausgewählt. 4. Wählen Sie einen Internetanbieter aus. Im Beispiel wird „T-Online über ISDN“ ausgewählt. 5. Übernehmen Sie als Bezeichnung den Vorschlag „T-Online ISDN“. 6.
Praktische Durchführung am Heimarbeitsplatz des Benutzers Testen der VPN-Verbindung vom entfernten Arbeitsplatz zum AVM Access Server 1. Damit vom NetWAYS/ISDN-Computer die VPN-Verbindung zum AVM Access Server hergestellt werden kann, muss der AVM Access Server mit dem Internet verbunden sein. Da im Beispiel am AVM Access Server die Flatrate eingerichtet ist, ist die Internetverbindung sichergestellt. 2. Die Internetverbindung von NetWAYS/ISDN muss in Verbindungsbereitschaft sein.
Praktische Durchführung: Konfiguration der LAN-LAN-Kopplung 2. Führen Sie in der DOS-Box ein Ping auf den Domänen-Namen des oben angegebenen Servers aus. Im Beispiel geben Sie in der DOS-Box Folgendes ein: ping mail.abc.de Wenn der Ping erfolgreich ausgeführt wird, dann hat Erika Musterfrau jetzt Zugang über VPN zum E-Mail-Server. Ein E-Mail-Klient kann jetzt eingerichtet werden.
Praktische Durchführung: Konfiguration der LAN-LAN-Kopplung 5. Geben Sie als Adresse für den VPN-Gateway auf der entfernten Seite den Namen des entfernten AVM Access Servers ein. Als Adresse für den lokalen VPN-Gateway geben Sie den Namen des lokalen AVM Access Servers ein. Im Beispiel ist Folgendes anzugeben: in Berlin Entferntes VPN-Gateway: firma-abc-stuttgart.dyndns.org Lokales VPN-Gateway: firma-abc-berlin.dyndns.org in Stuttgart Entferntes VPN-Gateway: firma-abc-berlin.dyndns.
Deinstallation 2. Öffnen Sie auf dem AVM Access Server-Computer an einem der beiden Standorte eine DOS-Box und führen Sie ein Ping auf den Domänennamen des AVM Access Servers am entfernten Standort aus. Im Beispiel ist am AVM Access Server in der Niederlassung Stuttgart Folgendes einzugeben: ping firma-abc-berlin.dyndns.org Wenn der Ping erfolgreich ausgeführt wird, dann kann der entfernte AVM Access Server grundsätzlich über das Internet erreicht werden. 3.
Die Benutzeroberfläche des AVM Access Servers 3 Die Benutzeroberfläche des AVM Access Servers Für die Bedienung des AVM Access Servers steht die Benutzeroberfläche des AVM Access Servers zur Verfügung. Nach der Installation des AVM Access Servers ist im Startmenü des Betriebssystems die Programmgruppe „AVM Access Server“ vorhanden. Klicken Sie in der Programmgruppe auf den Eintrag „AVM Access Server“, um die Benutzeroberfläche des AVM Access Servers zu öffnen.
Die Menüs des AVM Access Servers Die Benutzeroberfläche besteht aus folgenden Komponenten: ! der Menüleiste mit den Menüs des AVM Access Servers ! der Symbolleiste, von der aus Sie wichtige Funktionen des AVM Access Servers per Mausklick aufrufen können ! der Konfigurationsansicht ! der Monitoring-Ansicht ! der Statusleiste mit Informationen zum Betriebszustand des AVM Access Servers 3.
Das Menü „Internet“ Das Menü „Internet“ Menüeintrag Funktion Anbieter hinzufügen... Der Assistent „Neues Ziel anlegen“ für die Konfiguration einer neuen Internetverbindung wird gestartet. Anbieter löschen... Der in der Ordnerstruktur markierte Internetanbieter wird gelöscht. Das Menü „Entfernte Benutzer“ Menüeintrag Funktion Benutzer hinzufügen... Der Assistent für die Konfiguration eines neuen Benutzers wird gestartet. Benutzer löschen...
Das Menü „?“ Das Menü „?“ Menüeintrag Funktion Hilfethemen... Die Hilfe des AVM Access Servers wird aufgerufen. Handbuch... Das Handbuch des AVM Access Servers wird im Acrobat Reader geöffnet. Diagnose... Die Monitoring-Ansicht des AVM Access Servers wird geöffnet und der Ordner „Diagnose“ ist ausgewählt. Dort können Sie einen Diagnosedurchlauf starten. (Siehe auch Abschnitt „Diagnose“ auf Seite 43.) Online-Registrierung...
Die Konfigurationsansicht 3.3 Die Konfigurationsansicht Die Konfigurationsansicht im AVM Access Server ist zweigeteilt. In der linken Fensterhälfte wird eine Ordnerstruktur angezeigt, die rechte Fensterhälfte ist ein Parameterfenster. Ordnerstruktur Die Ordnerstruktur des AVM Access Servers ist wie folgt: Ordnerstruktur in der Konfigurationsansicht 34 ! Durch den AVM Access Server sind die Ordner „Internet“, „entfernte Benutzer“, „entfernte Netzwerke“, „Sicherheit“ und „Verwaltung“ vorgegeben.
Parameterfenster Parameterfenster Im Parameterfenster werden die Einstellungen für den in der Ordnerstruktur markierten Ordner oder Eintrag angezeigt. Das Parameterfenster enthält eine oder mehrere Registerkarten, je nachdem, um welchen Ordner oder Eintrag es sich handelt. Änderungen an den Einstellungen können Sie hier vornehmen. Markierte Ordner und Unterordner Wenn Sie in der Ordnerstruktur einen Ordner markieren, dann werden im Parameterfenster Einstellungen angezeigt, die allgemeine Gültigkeit haben.
Die Monitoring-Ansicht 3.4 Die Monitoring-Ansicht In der Monitoring-Ansicht stehen Ihnen Verbindungssteuerung, Monitor-Funktionen und Diagnose-Funktionen zur Verfügung. Wie die Konfigurationsansicht ist auch die Monitoring-Ansicht zweigeteilt. In der linken Fensterhälfte werden die Funktionen angezeigt. Die Ordnerstruktur in der Monitoring-Ansicht Die rechte Fensterhälfte besteht je nach ausgewählter Funktion aus einer oder mehreren Registerkarten.
AVM Access Server-Monitor Im Folgenden werden die Funktionen im Einzelnen erläutert. AVM Access Server-Monitor Wählen Sie in der Ordnerstruktur „AVM Access Server-Monitor“ aus, um Angaben zur Produktversion sowie einen schnellen Überblick über den aktuellen Status des AVM Access Servers zu erhalten. Verbindungssteuerung Die Funktion „Verbindungssteuerung“ bietet einen Überblick über die aktuellen ISDN-, DSL- und VPN-Verbindungen des AVM Access Servers und deren Status.
Verbindungssteuerung Symbol Status Es besteht eine logische Verbindung zu diesem Ziel. Die physikalische Verbindung wurde durch den AVM Access Server nach Inaktivität abgebaut. DSL ausgehend ein B-Kanal ausgehend ein B-Kanal eingehend zwei B-Kanäle ausgehend zwei B-Kanäle eingehend VPN ausgehend Es besteht eine logische und physikalische Verbindung zwischen den Gegenstellen, das heißt, der ISDN-B-Kanal bzw. der DSL-Kanal ist aufgebaut und es fallen Verbindungsgebühren an.
ISDN B-Kanäle Informationen zu den Aktionen finden Sie in der Hilfe. Schaltfläche Funktion Verbindung aufbauen Verbindung abbauen Verbindung testen (Ping) Eigenschaften Über die rechte Maustaste können Sie sich die Eigenschaften einer Verbindung anzeigen lassen, zum Beispiel die zugewiesene IP-Adresse, Kompressions- und Filtereinstellungen, Security Associations (SAs) bei VPN-Verbindungen. Eine ausführliche Beschreibung der Eigenschaften finden Sie in der Hilfe.
Routing-Tabelle Routing-Tabelle Im Ordner „Routing-Tabelle“ werden die zum aktuellen Zeitpunkt aktiven IP-Routen angezeigt. Wie viele Routen Sie sehen, hängt davon ab, ob gerade Verbindungen aufgebaut sind und wie viele statische Routen im AVM Access Server eingetragen sind oder per RIP aus dem LAN bekanntgemacht wurden. Die angezeigte Routing-Tabelle gehört zum AVM Access Server.
Nutzungsstatistik len. Bei Problemen ist es beispielsweise sinnvoll, sich alle Ereignisse mit dem Ereignistyp „Fehler“ anzeigen zu lassen oder alle Ereignisse für eine bestimmte Gegenstelle oder eine bestimmte Schnittstelle. Die Ereignisse werden in einer Datenbank gespeichert. Die maximale Größe dieser Datenbank können Sie in der Konfigurations-Ansicht im Ordner „Verwaltung“ einstellen. Wenn die Datenbank die maximale Größe erreicht hat, wird eine zweite angelegt.
Paketmitschnitt Als Anzeigewerkzeug für die Nutzungsstatistik wird der Microsoft Internetexplorer verwendet. Alle Funktionen des Internet Explorers, die über die rechte Maustaste erreichbar sind, stehen somit zur Verfügung. Beispielsweise kann zum Ausdrucken der Nutzungsstatistik die Druckfunktion des Internet Explorers genutzt werden.
Diagnose 5. Starten Sie den Paketmitschnitt über die Schaltfläche „Aufnahme“. 6. Wählen Sie im Ordner „Verbindungssteuerung“ den Benutzer oder das Netzwerk aus und bauen Sie eine Verbindung auf. 7. Warten Sie ab, bis Fehler auftreten. 8. Stoppen Sie den Paketmitschnitt über die Schaltfläche „Stopp“. 9. Für die weitere Auswertung können Sie den Paketmitschnitt über die Schaltfläche „Speichern“ in eine Datei speichern. Paketmitschnitt für Pollingprobleme 1.
Datenbankverwaltung Datenbankverwaltung Durch die Unterstützung der Standard-Microsoft-Datenbank-Technologie bietet der AVM Access Server eine solide Grundlage für die Protokollierung und Bearbeitung aller wichtigen Konfigurationsinformationen, Ereignisse und Nutzungsstatistiken aller ISDN-Verbindungen. Der AVM Access Server legt die folgenden Datenbanken an: NTR.MDB Allgemeine Informationen über die Konfiguration NTRLOG1.MDB Ereignisse für Verbindungen NTRLOG2.MDB NTRACT1.MDB NTRACT2.
Szenarios für den Einsatz des AVM Access Servers 4 Szenarios für den Einsatz des AVM Access Servers In diesem Kapitel wird der Einsatz des AVM Access Servers in den Konstellationen unterschiedlicher Szenarios vorgestellt. Für jedes Szenario erhalten Sie eine ausführliche Beschreibung der Installation und Konfiguration des AVM Access Servers, wobei auch eventuell zu berücksichtigende Besonderheiten erläutert werden. 4.
Technische Gegebenheiten Die folgende Abbildung zeigt die LAN-LAN-Verbindung im Überblick. Hauptniederlassung Berlin Niederlassung Stuttgart Netzwerkadresse: 192.168.10.0 Subnetzmaske: 255.255.255.0 Netzwerkadresse: 192.168.20.0 Subnetzmaske: 255.255.255.
Was ist zu tun? Was ist zu tun? Die folgenden Schritte müssen Sie sowohl in der Hauptniederlassung in Berlin als auch bei der Zweigniederlassung in Stuttgart ausführen: Installation und Konfiguration A In der Systemsteuerung des Betriebssystems die Netzwerkeinstellungen überprüfen B AVM Access Server installieren C ISDN-Controller für die Anschlussart konfigurieren D Entfernte Niederlassung als entferntes Netzwerk im AVM Access Server einrichten mit Kanalbündelung für die insgesamt acht B-Kanäle E
Praktische Durchführung 4. Tragen Sie Folgendes ein: in Berlin in Stuttgart IP-Adresse 192.168.10.1 192.168.20.1 Subnetzmaske 255.255.255.0 255.255.255.0 Standard-Gateway 192.168.10.2 192.168.20.2 Die IP-Adresse des Standard-Gateways kann eine beliebige Adresse aus dem Subnetz des AVM Access Servers sein. B 5. Bestätigen Sie Ihre Angaben mit „OK“. 6.
Praktische Durchführung D 6. Wählen Sie im Fenster „Budgeteinstellungen“ die Option „Erstinstallation ohne voreingestelltes Budget“. 7. Beenden Sie den Einrichtungsassistenten mit „Fertig stellen“.
Praktische Durchführung E Zeitprofil erstellen und im eingerichteten entfernten Netzwerk eintragen Damit die Verbindung nur während der Hauptgeschäftszeiten von Montag bis Freitag jeweils zwischen 9:00 Uhr und 17:00 Uhr hergestellt werden kann, müssen Sie ein passendes Zeitprofil anlegen und in den Einstellungen für das entfernte Netzwerk eintragen. 1. Aktivieren Sie den Ordner „Verwaltung / Zeitprofile“ und wählen Sie im Kontextmenü „Zeitprofil hinzufügen“ aus. 2.
AVM Access Server und KEN! Eine DOS-Box mit einem Ping auf die IP-Adresse der Gegenstelle wird gestartet. Wenn der Ping erfolgreich ausgeführt wird, dann kann der AVM Access Server am entfernten Standort grundsätzlich erreicht werden. 4.2 AVM Access Server und KEN! In einer Anwaltskanzlei, in der acht Mitarbeiter beschäftigt sind, wird der Internetzugang für alle Arbeitsplätze im Firmennetz über KEN! und eine FRITZ!Card DSL hergestellt.
Technische Gegebenheiten Die folgende Abbildung zeigt die VPN-Verbindung im Überblick. Firmennetz Anwaltskanzlei Heimarbeitsplätze Netzwerkadresse: 192.168.115.0 Subnetzmaske: 255.255.255.0 Mit NetWAYS/ISDN IP-Adressen aus dem Adressbereich 192.168.110.0 Virtuelles Privates Netz (VPN) Datei-Server IP-Adresse: 192.168.115.5 AVM Access Server KEN! DSL IP-Adresse: 192.168.115.
Was ist zu tun? Was ist zu tun? In der Anwaltskanzlei Installation und Konfiguration A Den AVM Access Server installieren B In der Systemsteuerung des Betriebssystems die Netzwerkeinstellungen überprüfen C Im AVM Access Server den Internetzugang über KEN! konfigurieren D Benutzergruppe „Homeoffice via VPN“ mit der Berechtigung für den VPNZugang einrichten E Alle Mitarbeiter als Benutzer in der Benutzergruppe „Homeoffice via VPN“ einrichten F In KEN! den Dynamic-DNS-Eintrag konfigurieren G In K
Praktische Durchführung am Firmenserver der Anwaltskanzlei Nach der ersten Installation des AVM Access Servers und dem Neustart des Computers startet automatisch der Einrichtungsassistent des AVM Access Servers. Mit dem Einrichtungsassistenten konfigurieren Sie den Internetzugang, eine Benutzergruppe und den ersten Benutzer. Bevor Sie mit der Konfiguration beginnen, überprüfen Sie bitte, wie im folgenden Abschnitt beschrieben, die Netzwerkeinstellungen in der Systemsteuerung des Betriebssystems.
Praktische Durchführung am Firmenserver der Anwaltskanzlei E Alle Mitarbeiter als Benutzer in der Benutzergruppe „Homeoffice via VPN“ einrichten 1. Legen Sie im Einrichtungsassistenten zunächst die Anmeldedaten für einen Benutzer fest. Tragen Sie im Feld „Vollständiger Name“ den Namen eines Mitarbeiters ein. Für das Feld „Benutzername“ wird automatisch ein Vorschlag gemacht, den Sie übernehmen oder ändern können.
Praktische Durchführung am Firmenserver der Anwaltskanzlei G 5. Wählen Sie in der Liste den Eintrag „Domainname für wechselnde IP-Adresse hinzufügen“ aus. 6. Wenn Sie sich bereits einen Domainnamen bei dem Anbieter „companity“ (dns4biz.com) haben zuweisen lassen, geben Sie die Zugangsdaten hier ein. 7. Wenn Sie sich noch keinen Domainnamen bei einem Anbieter im Internet haben zuweisen lassen, klicken Sie auf „Neuen Domainnamen anmelden...“. Es öffnet sich die Internetseite des Anbieters „companity“.
Praktische Durchführung an den Heimarbeitsplätzen der Mitarbeiter Wenn Sie beispielsweise bei „companity“ (dns4biz.com) den Namen „kenserver“ angegeben haben, dann lautet der vollständige Domänenname für KEN! „kenserver.dns4biz.com“. I Exportdateien mit der Benutzerkonfiguration für NetWAYS/ISDN erstellen Im AVM Access Server können die Benutzerkonfigurationen für die entfernten Benutzer jeweils in einer Exportdatei gespeichert werden.
Praktische Durchführung an den Heimarbeitsplätzen der Mitarbeiter B Internetzugang einrichten Richten Sie nun in NetWAYS/ISDN einen Internetzugang ein. 1. Wählen Sie im Menü „Einstellungen“ den Eintrag „Ziele/Ziel neu...“ aus. Der NetWAYS/ISDN-Assistent zum Einrichten einer Internetverbindung wird gestartet. 2. Wählen Sie im Dialog „Art des Netzwerkes“ die Option „Internet“ aus. 3. Die Angaben in den nun folgenden Dialogen betreffen den Internetanbieter.
AVM Access Server und Router E Über die VPN-Verbindung den Zugriff vom entfernten Arbeitsplatz auf den Datei-Server in der Anwaltskanzlei testen 1. Stellen Sie sicher, dass der AVM Access Server in der Anwaltskanzlei mit dem Internet verbunden ist. 2. Die Internetverbindung von NetWAYS/ISDN muss in Verbindungsbereitschaft sein. Wählen Sie in der NetWAYS/ISDN-Oberfläche die Internetverbindung aus und klicken Sie im Menü „Datei“ auf „Verbindungsbereitschaft“. 3.
Technische Gegebenheiten Firmennetzwerk im Übersetzungsbüro Netzwerkadresse: 192.168.10.0 Subnetzmaske: 255.255.255.0 Heimarbeitsplätze Mit NetWAYS/ISDN IP-Adressen aus dem Adressbereich 192.168.100.0 Router Standard-Gateway: 192.168.10.1 Standard-Gateway: 192.168.10.1 Festverbindung LAN-Adapter mit fester offizieller IP-Adresse AVM Access Server VPN-Tunnel LAN-Adapter mit IP-Adresse 192.168.10.1 Lotus Domino Server IP-Adresse: 192.168.10.
Was ist zu tun? Was ist zu tun? Im Übersetzungsbüro: Installation und Konfiguration A In der Systemsteuerung des Betriebssystems die Netzwerkeinstellungen überprüfen B AVM Access Server installieren C Im AVM Access Server den Internetzugang über den externen Router konfigurieren D Erreichbarkeit des AVM Access Servers aus dem Internet überprüfen E Benutzergruppe „Homeoffice via VPN“ mit der Berechtigung für den VPNZugang einrichten F Alle Mitarbeiter als Benutzer in der Benutzergruppe „Homeoffic
Praktische Durchführung am Firmenserver im Übersetzungsbüro A In der Systemsteuerung des Betriebssystems die Netzwerkeinstellungen überprüfen Der Zugang zum Internet soll weiterhin über den Router hergestellt werden. Auf dem Computer, auf dem der AVM Access Server installiert werden soll, muss der Internetzugang über die Netzwerkkarte schon vor der Installation betriebsbereit sein.
Praktische Durchführung am Firmenserver im Übersetzungsbüro B AVM Access Server installieren Installieren Sie den AVM Access Server wie im Kapitel „Installation und Inbetriebnahme: ein Beispiel-Szenario“ auf Seite 15 beschrieben. Nach der ersten Installation des AVM Access Servers und dem Neustart des Computers startet automatisch der Einrichtungsassistent des AVM Access Servers. Mit dem Einrichtungsassistenten konfigurieren Sie den Internetzugang.
Praktische Durchführung am Firmenserver im Übersetzungsbüro E F Benutzergruppe „Homeoffice via VPN“ mit der Berechtigung für den VPN-Zugang einrichten 1. Markieren Sie auf der Benutzeroberfläche des AVM Access Servers den Ordner „Entfernte Benutzer“, klicken Sie auf die rechte Maustaste und wählen Sie „Gruppe hinzufügen...“ aus. 2. Geben Sie als Bezeichnung für die neue Benutzergruppe „Homeoffice via VPN“ ein. 3.
Praktische Durchführung am Firmenserver im Übersetzungsbüro 2. Wählen Sie im Kontextmenü „Benutzereinstellungen für NetWAYS/ISDN exportieren“ aus. Der Dialog „VPN-Benutzerkonfiguration für NetWAYS/ISDN exportieren“ wird geöffnet. H 3. Geben Sie im Feld „Kennwort“ ein beliebiges Kennwort ein, mit dem die VPN-Benutzerkonfiguration verschlüsselt und später in NetWAYS/ISDN importiert und wieder entschlüsselt wird. 4. Die Datei „NETWAYS.EFF“ wird in dem unter „Verzeichnis“ angegebenen Ordner gespeichert.
Praktische Durchführung an den Heimarbeitsplätzen der Mitarbeiter Praktische Durchführung an den Heimarbeitsplätzen der Mitarbeiter Die im Folgenden erläuterten Schritte A bis F müssen Sie an jedem Heimarbeitsplatz durchführen. A Installation von NetWAYS/ISDN (NetWAYS/ISDN ist im Lieferumfang des AVM Access Servers enthalten) Installieren Sie NetWAYS/ISDN und befolgen Sie dabei die Installationshinweise im NetWAYS/ISDN-Handbuch. B Internetverbindung über T-Online einrichten 1.
Praktische Durchführung an den Heimarbeitsplätzen der Mitarbeiter D Testen der Internetverbindung Mit einem Ping auf einen beliebigen Web-Server können Sie die Internetverbindung testen. 1. Die Internetverbindung von NetWAYS/ISDN muss in Verbindungsbereitschaft sein. Wählen Sie in der NetWAYS/ISDN-Oberfläche die Internetverbindung aus und klicken Sie im Menü „Datei“ auf „Verbindungsbereitschaft“. 2. Öffnen Sie eine DOS-Box und geben Sie ping www.avm.de ein.
Konzepte und Funktionsweisen des AVM Access Servers 5 Konzepte und Funktionsweisen des AVM Access Servers In diesem Kapitel werden einige der im AVM Access Server vorhandenen Einstellungsmöglichkeiten vorgestellt. Sie erhalten Informationen zum Konzept der jeweiligen Einstellung, den Anwendungsgebieten und zur Funktionsweise im Zusammenspiel mit dem AVM Access Server. 5.
Filter und Regeln Aufgrund des Aufbaus aus mehreren Instanzen bieten die Filter einen sehr flexiblen und weitreichenden Schutz. Die Art der Paketfilterung im AVM Access Server ist eine der möglichen Herangehensweisen zum Aufbau einer so genannten Firewall, einer Schutzmauer um Ihr Firmennetzwerk. Die Filterinstanzen des AVM Access Servers haben folgende Aufgaben: ! Zielgebundener Input-Filter Überprüfung von Paketen, die von einem Ziel über ISDN, DSL oder einen LAN-Adapter in den AVM Access Server kommen.
Filter und Regeln Regeln bestehen immer aus folgenden Komponenten: ! Einer Beschreibung des Pakettyps, für den die Regel gelten soll. Dies geschieht anhand von drei Beschreibungskriterien, mit deren Hilfe der AVM Access Server prüft, ob die Regel auf ein Paket zutrifft. – Dienst: Hier können alle IP-Dienste, nur bestimmte Dienste (z.B. FTP, Telnet) oder nur bestimmte Handlungen (z.B. FTP-Zugriff aus dem Internet in das LAN) als Kriterium festgelegt werden.
Filter und Regeln Bei den beiden zuletzt genannten Protokollierungsarten werden der Header des Pakets oder das ganze Paket in die Datei „ipfltlog.txt“ geschrieben. Die Datei befindet sich im Programmverzeichnis des AVM Access Servers. Jedes Paket durchläuft alle Regeln gemäß ihrer Reihenfolge, bis es auf die erste anwendbare Regel trifft und entsprechend der Aktion dieser Regel behandelt wird. Heißt die anzuwendende Aktion „Verwerfen“ oder „Zurückweisen“, ist das Filtern für dieses Paket beendet.
Beispiele für IP-Filterprofile Die folgende Abbildung zeigt den Weg der Pakete durch die Filterinstanzen bei einkommenden, ausgehenden und auf ein anderes Netz weiterzuleitenden Paketen. Es wird vorausgesetzt, dass alle Filterinstanzen gesetzt sind und eine passende Regel existiert oder die Standard-Aktion „Durchlassen“ ist. Es wird also immer der maximal mögliche Weg eines Pakets aufgezeigt.
Beispiele für IP-Filterprofile Der Einsatz von „einkommendes Internetprofil (Stateful Oben)“ und „einkommendes Internetprofil (Stateful Unten)“ ist nur dann sinnvoll, wenn Masquerading nicht genutzt wird. Das Filterprofil „ausgehendes Filterprofil“ kann immer eingesetzt werden. Sie können die Filterprofile auch Ihren Bedürfnissen entsprechend anpassen. Um in den Filtern die Richtung des Verbindungsaufbaus unterscheiden zu können, gibt es die Möglichkeit, bei TCP auch die Flags mit zu berücksichtigen.
Beispiele für IP-Filterprofile Einkommendes Internetprofil (nur unten) Profil aktiv Ja Bezeichnung einkommendes Internetprofil (nur unten) Aktion, wenn keine der Regeln zutrifft Verwerfen Regeln 74 Status Dienst/Quelle/Ziel Aktion/Proto- Erläuterung koll Inaktiv HTTP Verbindungsaufbau (Hypertext Transfer) Durchlassen Aktivieren Sie diese Regel, wenn Sie einen eigenen WebServer anbieten.
Beispiele für IP-Filterprofile Status Dienst/Quelle/Ziel Aktion/Proto- Erläuterung koll Inaktiv NTP-Pakete (Network Time) Durchlassen Aktivieren Sie diese Regel, wenn Sie einen NTP-Server (Zeitserver) in Ihrem lokalen Netzwerk betreiben, der aus dem Internet erreicht werden soll. Inaktiv UUCP Verbindungsaufbau Durchlassen Aktivieren Sie diese Regel, wenn Ihnen Ihr Internetanbieter Daten per UUCP zustellt (z.B. News oder E-Mails).
Beispiele für IP-Filterprofile 76 Status Dienst/Quelle/Ziel Aktion/Proto- Erläuterung koll Inaktiv RIP-Pakete Durchlassen (Routing Information) Damit stellen Sie sicher, dass dem AVM Access Server nur die Routen bekannt sind, die Sie eingerichtet haben. RIP-Informationen, die über das Internet einkommen, werden nicht weitergeleitet. Dies verhindert die sog. „man in the middle attack“ auf diesen Router – das Einschleusen von Routing-Informationen zur Korrumpierung Ihrer Routen.
Beispiele für IP-Filterprofile Status Dienst/Quelle/Ziel Aktion/Proto- Erläuterung koll Aktiv AH-Pakete (Virtual Private Network) Durchlassen Wenn Sie VPN-Verbindungen eingerichtet haben, dann aktivieren Sie diese Regel für das Internetziel, über das der VPNZugriff erfolgen soll. Aktiv ESP-Pakete (Virtual Private Network) Durchlassen Wenn Sie VPN-Verbindungen eingerichtet haben, dann aktivieren Sie diese Regel für das Internetziel, über das der VPNZugriff erfolgen soll.
Beispiele für IP-Filterprofile Ausgehendes Internetprofil Profil aktiv Ja Bezeichnung ausgehendes Internetprofil Aktion, wenn keine der Regeln zutrifft Durchlassen Regeln 78 Status Dienst/Quelle/Ziel Aktion/Proto- Erläuterung koll Aktiv ESP-Pakete (Virtual Private Network) Durchlassen Wenn Sie VPN-Verbindungen eingerichtet haben, dann aktivieren Sie diese Regel für das Internetziel, über das der VPNZugriff erfolgen soll.
Beispiele für IP-Filterprofile Einkommendes Filterprofil (Stateful Oben) Profil aktiv Ja Bezeichnung einkommendes Internetprofil (Stateful Oben) Aktion, wenn keine der Regeln zutrifft Verwerfen Regeln Status Dienst/Quelle/Ziel Aktion/Proto- Erläuterung koll Aktiv Alle Pakete ausgehender Verbindungen Durchlassen Diese Regel gehört zu der im AVM Access Server integrierten „Stateful Inspection“. Ändern Sie die Regel nicht, wenn Sie „Stateful Inspection“ verwenden möchten.
Beispiele für IP-Filterprofile Einkommendes Internetprofil (Stateful Unten) Profil aktiv Ja Bezeichnung einkommendes Internetprofil (Stateful Unten) Aktion, wenn keine der Regeln zutrifft Verwerfen Regeln 80 Status Dienst/Quelle/Ziel Aktion/Proto- Erläuterung koll Aktiv Alle Pakete ausgehender Verbindungen Durchlassen Diese Regel gehört zu der im AVM Access Server integrierten „Stateful Inspection“. Ändern Sie die Regel nicht, wenn Sie „Stateful Inspection“ verwenden möchten.
Beispiele für IP-Filterprofile Status Dienst/Quelle/Ziel Aktion/Proto- Erläuterung koll Inaktiv Alle Pakete eingehender Verbindungen Durchlassen Diese Regel gehört zu der im AVM Access Server integrierten „Stateful Inspection“. Ändern Sie die Regel nicht, wenn Sie „Stateful Inspection“ verwenden möchten. Inaktiv HTTP Verbindungsaufbau (Hypertext Transfer) Durchlassen Aktivieren Sie diese Regel, wenn Sie einen eigenen WebServer anbieten.
Beispiele für IP-Filterprofile 82 Status Dienst/Quelle/Ziel Aktion/Proto- Erläuterung koll Inaktiv UUCP Verbindungsaufbau Durchlassen Aktivieren Sie diese Regel, wenn Ihnen Ihr Internetanbieter Daten per UUCP zustellt (z.B. News oder E-Mails). Inaktiv Telnet Verbindungsaufbau Durchlassen Aktivieren Sie diese Regel, wenn Sie den Zugriff über Telnet auf Ihre Computer erlauben wollen (z.B. wenn UNIXComputer von entfernter Seite aus administrierbar sein sollen).
Beispiele für IP-Filterprofile Nur VPN-Pakete (Unten) Diese Vorkonfiguration kann eingesetzt werden, wenn der Access Server keine anderen Verbindungen außer VPN-Verbindungen mit dem Internet aufbauen soll.
IP-Masquerading und Weiterleitungsprofile Status Dienst/Quelle/Ziel Aktion/Proto- Erläuterung koll Aktiv Alle Pakete Verwerfen Alles, was bis hierher durchkommt, kann nur noch als Einbruchsversuch interpretiert werden – etwa Tunnel-Pakete, d.h. in IP verpackte Pakete oder Routing-Pakete wie OSPF oder EGP-Pakete. Diese Pakete werden sowieso durch die Standard-Aktion verworfen. Diese Regel wurde nur eingerichtet, damit Sie, wenn Sie wollen, Einbruchsversuche nachvollziehen können.
Weiterleitungsprofile ! Bei Verbindungen zum Internetanbieter wird dem Computer bei jedem automatischen Verbindungsaufbau nach physikalischem Verbindungsabbau (Short-Hold-Modus) eine neue IP-Adresse zugewiesen. Wegen des IP-Masqueradings ist es nicht erforderlich, bei jedem Wechsel der offiziellen IP-Adresse die Routing-Tabelle des Computers zu aktualisieren. Das IP-Masquerading versieht die Datenpakete auf dem Weg ins Internet immer mit der gerade aktuellen offiziellen IP-Adresse.
Weiterleitungsprofile Die Regeln in den Profilen werden in der folgenden Tabelle dargestellt und erläutert. Weiterleitungsprofil „Gateway-Dienste“ Profil aktiv Bezeichnung Ja Gateway-Dienste Regeln 86 Status Dienst/Quelle/Ziel Protokoll Erläuterung Inaktiv FTP/ 0.0.0.0 / 21 0.0.0.0 / 21 TCP Aktivieren Sie diese Regel, wenn Sie einen FTP-Server in Ihrem lokalen Netzwerk haben, der aus dem Internet erreichbar sein soll. Inaktiv SSH/ 0.0.0.0 / 22 0.0.0.
Statisches und dynamisches Routing Status Dienst/Quelle/Ziel Protokoll Erläuterung Inaktiv HTTPS/ 0.0.0.0 / 443 0.0.0.0 / 443 TCP Aktivieren Sie diese Regel, wenn Sie einen HTTPS-Server in Ihrem lokalen Netzwerk haben, der aus dem Internet erreichbar sein soll. Inaktiv ISAKMP(VPN)/ 0.0.0.0 / 500 0.0.0.0 / 500 UDP Wenn Sie VPN-Verbindungen eingerichtet haben, dann aktivieren Sie diese Regel für das Internetziel, über das der VPN-Zugriff erfolgen soll. Inaktiv AVM Web-Server/ 0.0.0.0 / 4000/ 0.0.
Reservierung von B-Kanälen ! Statisch: Beim statischen Routing werden alle Zielnetzwerke und die zugehörigen Informationen manuell konfiguriert und werden nicht automatisch geändert. ! Dynamisch: Beim dynamischen Routing wird ein Routing-Protokoll verwendet, das die Router im gesamten Netzwerk benutzen, um in regelmäßigen Abständen Veränderungen in ihren Routing-Tabellen mitzuteilen.
Zugriff zeitlich mit Zeitprofilen beschränken Der AVM Access Server bietet in diesem Zusammenhang mehrere Möglichkeiten, um auch bei wenigen verfügbaren B-Kanälen Zugang für „wichtige“ Gegenstellen zu gewährleisten: ! Reservierung von B-Kanälen für bestimmte Ziele (z.B. eine bestimmte Außenstelle des Unternehmens) in den Einstellungen der ISDN-Controller („Verwaltung / Schnittstellen / ISDN #“). Diese B-Kanäle werden dann aus dem Pool von B-Kanälen herausgenommen.
Virtual Private Network (VPN) Die folgende Grafik veranschaulicht die Vorgänge für den Fall, dass die Kostenübernahme auf „Lokale Seite“ eingestellt ist, das bedeutet, der AVM Access Server übernimmt die Verbindungsgebühren: Entfernte Seite (AVM Access Server) Lokale Seite (AVM Access Server) ISDN Datenpaket für das entfernte Netzwerk D-Kanal Signalisierung des Verbindungswunsches D- und B-Kanal Annehmen des einkommenden Rufes nach evtl.
VPN – Allgemein VPN – Allgemein Ein räumlich entferntes Netzwerk wird über das Internet mit Hilfe eines virtuellen privaten Netzes mit dem lokalen Netzwerk verbunden. Lokales Netzwerk Entferntes Netzwerk VPN-Tunnel AVM Access Server AVM Access Server Anwendungsbeispiel einer VPN-Verbindung über das Internet Die Verbindung, die zwischen den beiden Kommunikationspartnern durch das Internet hergestellt wird, nennt man Tunnel. Über den Tunnel findet der Datenaustausch statt.
VPN – Im AVM Access Server Es wird eine Art Tunnel durch das öffentliche Netz geschaffen, durch den Daten, am besten verschlüsselt, übertragen werden. Die VPN-Software im AVM Access Server sorgt für die transparente Anbindung der Netzwerke, für die Authentisierung der Kommunikationspartner und die Verschlüsselung der Daten. Nach dem erfolgreichen Aufbau des Tunnels wird auf der Anwendungsebene nichts mehr von einem Tunnel oder dem Internet als Medium bemerkt.
Sicherheit Sicherheit Durch die Verbindung über das Internet besteht die Gefahr, dass unberechtigte Dritte auf die Verbindung zugreifen. Durch entsprechende Sicherheitsmechanismen müssen die folgenden drei Sicherheitskriterien gewährleistet werden: ! Vertraulichkeit: Der Datenaustausch muss verschlüsselt stattfinden, so dass kein Dritter mithören kann.
IPSec als VPN-Protokoll Originalpaket IP-Header Nutzdaten IP-Header Eventuell verschlüsselte Nutzdaten Tunnelpaket Neuer IP-Header IPSec Originalpaket und Tunnel-Paket mit neuem IP-Header In der folgenden Abbildung ist beispielhaft eine VPN-Verbindung im Tunnelmodus dargestellt. Ein entferntes Netzwerk wird an das lokale Firmennetz gekoppelt (siehe auch das Beispiel-Szenario auf der Klappkarte der vorderen Umschlagseite). Lokales Netzwerk Entferntes Netzwerk Netz-Adresse: 192.168.10.
IPSec als VPN-Protokoll – Mit der internen IP-Adresse kommuniziert der Computer innerhalb des lokalen Netzwerks. – Die AVM Access Server-Anwendung ist das Gateway zum Internet. – Die öffentliche IP-Adresse wird dynamisch vom Internetanbieter zugewiesen. ! Entferntes Netzwerk – Das entfernte Netzwerk hat die Netz-Adresse 192.168.20.0/24. – Die Client-Computer im entfernten Netzwerk haben alle eine IP-Adresse aus dem Adressraum der Netz-Adresse.
IPSec als VPN-Protokoll In der folgenden Abbildung werden beispielhaft IP-Adressen für Empfänger und Absender eingesetzt: Empfänger IP-Adresse: 172.16.0.1 Absender IP-Adresse: 172.16.0.10 Das Originalpaket Nutzdaten IP-Header Neuer IP-Header IPSec IP-Header Nutzdaten evtl. verschlüsselt Das Tunnel- Paket mit neuem IP-Header im Tunnelmodus Empfänger IP-Adresse: 193.96.242.
Die Transportprotokolle von IPSec ! Entfernte Netzwerke Bei der Konfiguration einer VPN-Verbindung geben Sie die IP-Netzadressen des lokalen Netzwerks und des entfernten Netzwerks an. Im AVM Access Server wird automatisch eine Zugriffsregel generiert, die festlegt, dass nur Pakete mit einer Quell-IPAdresse aus dem lokalen Netzwerk und einer Ziel-IP-Adresse aus dem entfernten Netzwerk mit IPSec gesichert übertragen werden.
Die Transportprotokolle von IPSec ! Gewährleistet Anti-Replay und erkennt Man-in-the-middle-Attacken: AH enthält eine fortlaufende einmalige Nummer zum Erkennen von eingespielten Wiederholungen eines Pakets durch Dritte. ! Verschlüsselt die Nutzdaten nicht! Die folgende Abbildung zeigt das Paket im Originalzustand und das mit AH versendete Tunnel-Paket.
Aushandlungen Aushandlungen Für die Parameter, die für eine VPN-Verbindung ausgesucht werden, gibt es viele Kombinationsmöglichkeiten. Zum Aufbau einer gesicherten VPN-Verbindung müssen sich die VPN-Parteien über die zu verwendenden Parameter einigen. Zur Aushandlung der Parameter ist ein weiteres Protokoll notwendig, das Internet-Key-Exchange-Protokoll (IKE).
Aushandlungen IKE-Phase 1 Ziel der IKE-Phase 1 ist es, eine SA für die IKE-Phase 2 auszuhandeln. Dazu nehmen die Gegenstellen die folgenden Aktionen vor: ! Sie teilen sich gegenseitig ihre Identität mit. ! Sie authentisieren sich. ! Sie vereinbaren einen Verschlüsselungs-Algorithmus für die Verschlüsselung der anschließenden IKE-Phase 2. ! Sie vereinbaren eine Diffie-Hellman-Gruppe für die Berechnung der Schlüssel. ! Jede Seite generiert einen privaten Schlüssel.
Authentisierung mittels Zertifikaten ! der Verschlüsselungs-Algorithmus für die Nutzdaten, die über die VPN-Verbindung ausgetauscht werden Im AVM Access Server stehen für die Verschlüsselung der Nutzdaten die Algorithmen DES, 3DES und AES zur Verfügung. AES ist davon der modernste und sicherste und unterstützt Schlüssellängen bis zu 256 Bit.
Authentisierung mittels Zertifikaten Asymmetrische Verschlüsselungsverfahren Asymmetrische Verschlüsselungsverfahren verwenden immer ein Schlüsselpaar, das folgende Eigenschaften hat: ! Aus dem einen Schlüssel kann der andere nicht rekonstruiert werden. ! Eine Zeichenfolge, die mit dem einen Schlüssel verschlüsselt wurde, kann nur mit dem anderen entschlüsselt werden. Es spielt dabei keine Rolle, mit welchem der beiden Schlüssel verschlüsselt wurde.
Authentisierung mittels Zertifikaten ! der digitalen Unterschrift der Zertifizierungsstelle Beim Erstellen eines Zertifikats wird ein Schlüsselpaar generiert, das aus dem öffentlichen und dem geheimen Schlüssel besteht. Der öffentliche Schlüssel ist Bestandteil des Zertifikats, der geheime Schlüssel wird dem Antragsteller zusammen mit dem Zertifikat im PKCS#12Format übermittelt. Im AVM Access Server werden alle Zertifikate mit den dazugehörigen Schlüsselpaaren in einer internen Liste verwaltet.
Kompressionsverfahren (IPComp) 6. Der AVM Access Server entschlüsselt mit dem öffentlichen Schlüssel den von der Gegenstelle verschlüsselten Fingerabdruck. Das Ergebnis der Entschlüsselung ist der von der Gegenstelle erstellte Fingerabdruck. 7. Nun vergleicht der AVM Access Server den von der Gegenstelle erstellten Fingerabdruck mit dem selbst erstellten. Wenn es keine Unterschiede gibt, dann ist sichergestellt, dass die Gegenstelle im Besitz des geheimen Schlüssels ist.
Dynamic DNS ! Deflate (RFC 2394) ! LZS (RFC 3051) – wird auch bei der Stac-Compression (RFC 1974) verwendet ! LZJH (RFC 2395) – entspricht V.44 und wird beispielsweise auch bei dem Modemübertragungsverfahren V.92 verwendet Im AVM Access Server sind alle drei Verfahren implementiert. 5.8 Dynamic DNS Dynamic DNS ist ein Dienst im Internet, der es ermöglicht, dass der AVM Access Server auch ohne feste öffentliche IP-Adresse vom Internet aus über einen festen Domänen-Namen erreichbar ist.
Namensauflösung und Windows Datei- und Druckerfreigabe 5.9 Namensauflösung und Windows Datei- und Druckerfreigabe Das NetBIOS-Namenssystem Windows-Netzwerke basieren in der Regel auf dem Internetprotokoll IP. Das Internetprotokoll arbeitet ausschließlich mit IP-Adressen wie zum Beispiel 192.168.10.1. Die Kommunikation über IP-Adressen ist für den Benutzer jedoch unvorteilhaft. Daher wurde in Windows das NetBIOSNamenssystem eingeführt.
Namensauflösung mit dem AVM Access Server Namensauflösung mit dem AVM Access Server Vorbereitung NetBIOS wurde ursprüngliche für lokale Netzwerke entwickelt und hat beim Einsatz mit On-Demand-Verbindungen Nachteile. Die häufigen Keep-Alive-Pakete können eine Wählleitung permanent aufgebaut halten. Zudem kann die Möglichkeit der Namensauflösung über NetBIOS ein Sicherheitsrisiko darstellen. Der AVM Access Server verfügt daher über einen NetBIOS-Filter, der alle NetBIOS-Pakete verwirft.
Namensauflösung mit dem AVM Access Server Die LMHOSTS-Datei darf keine Endung haben. Die Endung .SAM der Beispieldatei oder .TXT bei einer neu erstellten Datei muss gelöscht werden. Der Aufbau der LMHOSTS-Datei ist unkompliziert. Es wird zunächst die IP-Adresse (z.B. 192.168.10.1) des Computers eingetragen und nachfolgend, durch mindestens ein Leerzeichen getrennt, der gewünschte NetBIOS-Name (z.B. Server-Berlin). Jede Zuordnung wird in eine neue Zeile geschrieben.
Namensauflösung mit dem AVM Access Server Da Anfragen zur Namensauflösung nun nicht mehr über Broadcasts, sondern gezielt an die IP-Adresse des WINS-Servers gestellt werden, ist Namensauflösung über WINS in gerouteten Netzwerken und somit auch über Wähl-/VPN-Verbindungen möglich.
Hinweis zum Microsoft Browser-Dienst Hinweis zum Microsoft Browser-Dienst Der Browser-Dienst erstellt eine Liste aller aufgelösten Computer-Namen, um sie im Windows Explorer anzuzeigen. Mit Hilfe des BrowserDienstes kann das Netz also durchsucht werden. LMHOSTS und WINS ermöglichen zwar eine netzwerkübergreifende Namensauflösung, der Browser-Dienst arbeitet aber nur lokal.
AVM Access Server für Experten 6 AVM Access Server für Experten Diese kompakte technische Darstellung der Architektur und der Funktionen des AVM Access Servers richtet sich ausschließlich an Netzwerkexperten und zielt auf einen raschen Produktüberblick. 6.
Datenbanken Die folgende Abbildung zeigt das Zusammenspiel des Access Server Drivers und anderen Komponenten. Microsoft TCP/IP AVM Access Server Access Server Driver Netzwerkkarte (NDIS) Zusammenspiel des Access Server Drivers und anderen Komponenten Der „AVM Access Server Driver“ kontrolliert als Intermediate-Treiber die gesamte Kommunikation zwischen einer Netzwerkkarte und eines betriebssystemeigenen Layer3-Protokolls (z.B. IP).
Oberfläche Oberfläche ! Windows-Oberfläche (gui.exe) Dies ist die Hauptoberfläche des AVM Access Servers. Über diese Oberfläche können sämtliche Einstellungen des AVM Access Servers komfortabel assistentengestützt konfiguriert werden. ! Web-Interface (webserver) Diese Oberfläche ist über einen beliebigen Javascript 1.2 -fähigen Browser (z.B. MS Internet Explorer ab Version 4.0) auch über das Netzwerk zu erreichen, bietet jedoch nicht den Komfort der Windows-Oberfläche.
Parallele Installation von AVM KEN! oder AVM KEN! ! Dynamic DNS, um aus dem Internet auch mit wechselnder (dynamischer) IP-Adresse erreichbar zu sein. Direkte Unterstützung für Dynamic DNS-Anbieter (derzeit implementiert für die Anbieter http://www.dyndns.org und http://www.dns4biz.com) ! Flatrate-Support: Die Verbindung wird nicht nach Bedarf aufgebaut, sondern sofort beim Start des Dienstes.
Parallele Installation von AVM KEN! oder AVM KEN! KEN! zwei Gateway-Dienste aktiviert werden: ESP und ISAKMP (KEN!Expertenmodus: „Internet / Erweiterte Einstellungen / Firewall erlaubt eingehende Verbindungen ..., dann Internet / Gateway-Dienste / IPSec VPN-Gateway“). Als VPN-Gateway muss klientenseitig die öffentliche IP-Adresse oder der Dynamic DNS-Name des KEN! Service PCs eingetragen sein.
Internetverbindung über einen Router eines Drittherstellers Internetverbindung über einen Router eines Drittherstellers Die Internetverbindung kann auch über einen bereits im LAN vorhandenen Router erfolgen.
IP-Adressvergabe: Statisch oder dynamisch? IP-Adressvergabe: Statisch oder dynamisch? Im AVM Access Server existieren zwei Arten von Adressbereichen: statische und dynamische. Während bei dynamischen IP-Adressbereichen erst bei der Einwahl des Benutzers dessen IP-Adresse vergeben wird und diese sich bei jeder Einwahl ändern kann, so steht bei der Benutzung eines statischen Adressbereichs diese IP-Adresse bereits vor der Einwahl fest und ändert sich nie.
IP-Adressen aus einem dedizierten Subnetz IP-Adressen aus einem dedizierten Subnetz Beispiel AVM Access Server: 172.16.1.1 Lokales Netzwerk: 172.16.0.0 / 16 (172.16.0.1 bis 172.16.255.254) IP-Adressbereich für ent- 192.168.20.0 / 24 (192.168.20.1 bis fernte Benutzer: 192.168.20.254) In diesem Fall müssen alle Rechner im LAN eine Route zum Netz 192.168.20.0/24 kennen.
Anbindung entfernter Netzwerke ternet Authentication Service“ an. Zur Nutzung des Microsoft-Internet Authentication Service gibt es unter „Start/Programme/Access Server/Hinweise zur Nutzung von RADIUS“ eine eigene Anleitung. 6.4 Anbindung entfernter Netzwerke Der AVM Access Server ermöglicht die Anbindung ganzer Netzwerke an das LAN.
Filter- und Masqueradingprofile 6.6 Filter- und Masqueradingprofile Sie haben die Möglichkeit, an Zielen in entfernten Netzwerken sowie an Internetzielen den Zugriff über IP-Paketfilter zu beschränken. Es gibt sowohl zielgebundene als auch globale, auf sämtliche entfernte Benutzer, Ziele und Netzwerkkarten wirksame Filter. Eine „Durchlassen“-Regel in einem zielgebundenen Filterprofil überschreibt eine anderslautende Regel im globalen eingehenden oder ausgehenden Filterprofil.
VPN und das Protokoll IPSec ! Authentsierung über pre-shared keys ! Xauth und config mode Die Aushandlung einer IPSec-Verbindung erfolgt über das Protokoll „Internet Key Exchange“ (IKE). Ergebnis der Aushandlung sind Vereinbarungen mit der Gegenstelle, sogenannte „Security Associations“ (SA). Die IKE-Aushandlung erfolgt in zwei Phasen. Die erste Phase dient hauptsächlich zur Authentisierung und zum Bestimmen eines Schlüssels zum Sichern der Phase 2.
VPN und das Protokoll IPSec In IKE-Phase 2 werden die Vereinbarungen (SAs) für die Sicherung der Nutzdaten getroffen. Das Ergebnis der Phase 2 sind SAs, in denen im Wesentlichen vereinbart wurde, ! ob Daten verschlüsselt werden sollen (Encapsulated Security Payload) und mit welchem Verschlüsselungsalgorithmus das geschehen soll. ! ob zusätzlich über das gesamte Paket eine Prüfsumme gebildet werden soll (Authentication Header) und mit welchem Hash-Algorithmus das geschehen soll.
VPN und das Protokoll IPSec Hash-Algorithmus: SHA-1 Secure Hash Algorithm 1 MD5 Message Digest 5 All Die Verfahren SHA-1 und MD5 werden der Gegenstelle in dieser Reihenfolge vorgeschlagen Phase 2: esp-Verschlüsselungsalgorithmus-Hash-Algorithmus / ahHash-Algorithmus / Kompression / Perfect Forward Secrecy Mögliche Verschlüsselungsalgorithmen: AES Advanced Encryption Standard (128 - 256 bit Schlüssellänge) 3DES Triple Digital Encryption Standard (168 bit Schlüssellänge) DES Digital Encryption Stan
Interoperabilität über ISDN 6.8 Interoperabilität über ISDN Durch die Unterstützung des Interoperabilitätsstandards PPP over ISDN sowie vieler weiterer PPP-Standards – beschrieben in sogenannten RFCs (Request for Comments) – sind Verbindungen zu allen Gegenstellen möglich, die diese Standards ebenfalls unterstützen. Zusätzlich zu den RFCs sind im AVM Access Server auch schon neuere, noch nicht allgemein anerkannte PPP-Standards – so genannte Drafts – implementiert.
Interoperabilität über ISDN PPP over ISDN RFC 3027 Protocol Complications with the IP Network Address Translator Draft PPP Callback Control Protocol Draft PPP Protocol Spoofing Control Protocol (PSCP) IPSec RFC 1829 The ESP DES-CBC Transform RFC 1851 The ESP Triple DES Transform RFC 2104 Keyed-Hashing for Message Authentication (HMAC) RFC 2394 IP Payload Compression Using DEFLATE RFC 2395 IP Payload Compression Using LZS RFC 2401 Security Architecture for the Internet Protocol RFC 2402 IP
Wegweiser Kundenservice 7 Wegweiser Kundenservice Wir lassen Sie nicht im Stich, wenn Sie eine Frage oder ein Problem haben. Ob Handbücher, FAQs, Updates oder Support – hier finden Sie alle wichtigen Servicethemen. 7.1 Produktdokumentationen Nutzen Sie zum Ausschöpfen aller Funktionen und Leistungsmerkmale von AVM Access Server folgende Produktdokumentationen: ! Die umfassende Hilfe kann von der Benutzeroberfläche des AVM Access Servers aus aufgerufen werden.
Service-Bereich Service-Bereich Der Service-Bereich hilft Ihnen bei allen Fragen rund um Ihr AVM-Produkt: www.avm.de/service Newsletter Jeden ersten Mittwoch im Monat erscheint der AVM Newsletter. Mit dem kostenlosen Newsletter erhalten Sie regelmäßig Informationen per E-Mail zu den Themen DSL, ISDN, Bluetooth und WLAN bei AVM. Außerdem finden Sie im Newsletter Tipps & Tricks rund um die AVMProdukte. Sie können den AVM Newsletter unter folgender Adresse abonnieren: www.avm.de/newsletter 7.
Testverbindung zum AVM Data Call Center (ADC) 1. Eine detaillierte Beschreibung des Problems und eine Skizze Ihres WANs mit den IP-Adressen aller beteiligten Komponenten. 2. Die genaue Fehlermeldung, die Sie erhalten haben. 3. Mit der Funktion „Support-Daten erstellen“ wird eine ZIP-Datei erstellt, die alle für den Support relevanten Informationen Ihrer Konfiguration erhält.
Support per E-Mail Support per E-Mail Über unseren Service-Bereich im Internet können Sie uns jederzeit eine E-Mail-Anfrage schicken. Sie erreichen den Service-Bereich unter: www.avm.de/service Wählen Sie im Support-Bereich die Produktgruppe „Server-Produkte“ und AVM Access Server als Produkt aus. Wählen Sie nun noch das verwendete Betriebssystem und ein Schwerpunktthema. Mit Klick auf die Schaltfläche „weiter“ erhalten eine Auswahl häufig gestellter Fragen.
Weiterführende Literatur Startmenü von Windows unter „Programme / FRITZ! / FRITZ!version“. Klicken Sie im Fenster FRITZ!version“ auf die Schaltfläche „Systeminformationen“. ! Wird Ihr ISDN-Controller an einer Nebenstellenanlage betrieben? Wenn Sie diese Informationen zusammengestellt haben, können Sie den Support kontaktieren. Das Support-Team wird Sie bei der Lösung Ihres Problems unterstützen. 7.
Glossar AH (Authentication Header) Sicherungsprotokoll innerhalb von IPSec. AH gewährleistet, dass das Paket vom Absender und nicht von einem Dritten stammt und dass keine Veränderungen innerhalb des Pakets während der Übermittlung von Dritten vorgenommen wurden. AH verschlüsselt die Nutzdaten nicht. ADSL (Asymmetric Digital Subscriber Line) ADSL ist eine Technologie, die den Internetzugang mit einer hohen Bandbreite über die normale Telefonleitung ermöglicht.
Um Daten in einem TCP/IP-Netzwerk auszutauschen, muss die sendende Station die IP-Adresse des Ziels auf die Hardware-Adresse des Ziels abbilden. Die sendende Station schickt dazu ein sogenanntes ARP-Request-Paket, das die IP-Adresse des Ziels enthält. Alle ARP-fähigen Systeme im Netzwerk erkennen dieses Paket, und das System mit der fraglichen IP-Adresse schickt seine Hardware-Adresse mit Hilfe eines ARP-Reply-Pakets zurück.
seite muss diesen Namen und das Kennwort in ihrer Konfiguration eingetragen haben. Bei der Authentisierung mit CHAP generiert die Seite, die die Identifizierung verlangt, aus dem Namen und einem Zufallswert nach einem festgelegten Algorithmus eine Meldung, die zur Gegenseite geschickt wird. Diese generiert aus der Meldung und dem Passwort – ebenfalls nach einem festgelegten Algorithmus – einen neuen Wert, der zurückgesendet wird.
beim Basisanschluss und 64 KBit/s beim Primärmultiplexanschluss. Über den D-Kanal können im ISDN Gebühreninformationen (AOCD) und die Rufnummer der anrufenden Seite (CLIP) übertragen werden. Die Leistungsmerkmale CLIP und AOCD müssen in Deutschland separat beantragt werden. DNS (Domain Name Service) Der Domain Name Service ist ein Adresskonvertierungsdienst, der in TCP/IP-Netzen wie dem Internet die Zuordnung der numerischen Version einer IP-Adresse zur lesbaren Klartextform verwaltet.
Domänen-Controller In Windows-Netzwerken können Konteninformationen von Servern gemeinsam genutzt werden, falls sie in einer oder in mehreren Domänen zusammengefasst sind. Auf einem Server der Domäne, dem DC (Domänen-Controller), werden sämtliche Konten gespeichert. Die Organisation in Domänen ermöglicht den Benutzern, alle Ressourcen der Domäne mit einem einzigen Benutzernamen und Kennwort zu erreichen.
FTP (File Transfer Protocol) FTP ist ein offenes Protokoll, das heißt es ist unabhängig von Bauweise und Betriebssystem der Computer, auf denen es die Dateiverwaltung und den Datenaustausch regelt. Das FTP setzt unmittelbar auf dem TCP der Schicht 4 des ISO/OSI-Referenzmodells (Transport Layer / Transportschicht) auf. Das Protokoll ist in RFC 959 dokumentiert. Filterprofile Mit Filterprofilen werden Pakete überprüft, die beim AVM Access Server ankommen oder ihn verlassen.
Für die Implementierung von Firewalls gibt es verschiedene Mechanismen. Im AVM Access Server wird die Firewall durch mehrstufige Paketfilter und Network Address Translation realisiert: Der AVM Access Server überprüft bei jedem ein- und ausgehendem Datenpaket, ob es dem Sicherheitsregelwerk entspricht. Prüfkriterien sind Quell- und Zieladresse des Pakets (Netzwerkadresse und Maske), das IP-Protokoll (TCP, UDP, GRE, ESP, AH, ICMP) sowie der Dienst (z.B. FTP, DNS).
– Die Ausgabe ist in der Regel von konstanter Länge. – Aus dem Ausgabewert kann der Eingabewert nicht mehr rekonstruiert werden. – Der Algorithmus muss hinreichend kollisionsfrei sein, das heißt, die Wahrscheinlichkeit, dass zwei verschiedene Eingabewerte denselben Ausgabewert liefern, ist gering. ! Keyed-Hash-Funktionen Keyed-Hash-Funktionen sind One-Way-Hash-Algorithmen, die zusätzlich zum Eingabewert noch einen Schlüssel in die Berechnung einbeziehen.
HMAC (Keyed-Hash Message Authentication Code) Message Authentication Code (MAC), der mit einer Keyed-Hash-Funktion erzeugt wird. Es kann eine beliebige Hash-Funktion verwendet werden. Alle Funktionen der Authentisierung in IPSec basieren auf HMAC. ICMP (Internet Control Message Protocol) ICMP befindet sich auf Schicht 3 des OSI-Referenzmodells, und damit auf derselben Ebene wie IP (Network Layer / Vermittlungsschicht).
Aufgabe, Datenpakete in der richtigen Reihenfolge beim Empfänger abzuliefern. Dies fällt in den Zuständigkeitsbereich der Transportschicht (Schicht 4) des OSI-Referenzmodells. IP setzt direkt auf Schicht 2 des OSI-Referenzmodells (Data Link Layer / Sicherungsschicht) auf. Das Protokoll ist in RFC 791 beschrieben. IP-Adresse Die IP-Adressierung ist fester Bestandteil des Internet Protocols (IP). Eine IP-Adresse besteht aus vier Bytes.
! Klasse-B-Adressen bestehen aus zwei Byte Netzwerkadresse und zwei Byte Computeradresse: X.X._._ Netzwerkadresse Rechneradresse Klasse-B-Adresse Beispiel: 130.6.2.130 (130.6 ist die Netzwerkadresse, 2.130 ist die Computeradresse). ! Klasse-C-Adressen bestehen aus drei Byte Netzwerkadresse und einem Byte Computeradresse: X.X.X._ Rechneradresse Netzwerkadresse Klasse-C-Adresse Beispiel: 195.15.15.1 (195.15.15 ist die Netzwerkadresse, 1 ist die Computeradresse).
Siehe auch „NAT (Network Address Translation)“ auf Seite 143. IPSec (Internet Protocol Security) Sicherheitsstandard für die Netzwerkschicht in der Netzwerk-Kommunikation. IPSec eignet sich sehr gut für VPN-Verbindungen und den LAN-Zugriff entfernter Benutzer über DFÜ-Netze. IPSec verwendet die beiden Sicherheitsprotokolle Authentication Header (AH) und Encapsulating Security Payload (ESP). AH ermöglicht die Authentisierung des Absenders; ESP ermöglicht sowohl Authentisierung als auch Verschlüsselung.
Logische Netzwerkverbindung Die logische Netzwerkverbindung bezeichnet die Verbindung zwischen zwei LANs oder einem LAN und einem Client auf NetzwerkprotokollEbene. Solange eine logische Netzwerkverbindung besteht, ist die Gegenseite dem Router bekannt. Metrik Mit dem Wert für die Metrik wird eine Gewichtung von Routen vorgenommen.
Beim IP-Masquerading werden die Absender-IP-Adressen in den TCP-, UDP- und ICMP-Paketen mit der aktuellen, öffentlichen IP-Adresse des AVM Access Servers überschrieben. Die aus dem Internet ankommenden Antwortpakete für diese Verbindung werden dann wieder an die ursprüngliche IP-Adresse des Clients im LAN weitergeleitet. Auf diese Weise kann das LAN hinter einer einzigen öffentlichen IP-Adresse versteckt werden. IP-Masquerading wird auch als Source NAT bezeichnet.
„ping“ können Sie festlegen, wie viele Millisekunden das Programm auf eine Antwort warten soll (Timeout). Da der Verbindungsaufbau über ISDN und die Aushandlung der Gegenstelle einige Sekunden dauern kann, sollten Sie bei einem Ping über ISDN als Timeout 5000 angeben.
RADIUS (Remote Authentification Dial-In User Service) Standard-Dienst auf der Basis von IP zur Authentisierung und Erfassung von Accounting-Daten (Kosten-/Nutzungsdaten) für einwählende Benutzer. Bei der Einwahl eines entfernten Benutzers leitet der AVM Access Server eine Anfrage mit Benutzernamen und Passwort des Benutzers an den RADIUS-Server weiter. Dieser führt die Authentisierung durch und sendet die Bestätigung sowie eine Reihe von Konfigurationsinformationen (z.B. IP-Adresse für den Benutzer) zurück.
Übertragung anstehen, wird die physikalische Verbindung unterlagert wieder aufgebaut. Dies geschieht für den Anwender im Netzwerk transparent. SMTP (Simple Mail Transfer Protocol) SMTP ist ein Standardprotokoll zum Austausch von elektronischer Post (E-Mail) zwischen verschiedenen Computern. SMTP setzt unmittelbar auf TCP Port 25 auf. Es ist einfach strukturiert und unterstützt nur den Versand von E-Mail über ein Datennetz. Das Protokoll wurde in RFC 821 definiert.
oder Router. Die Subnetzmaske gibt an, welche Bereiche als Subnetzund welche als Rechneradresse interpretiert werden. So wird beispielsweise eine Klasse-A-Adresse mit einer Standard-Subnetzmaske von 8 (255.0.0.0), durch die Subnetzmaske 16 (255.255.0.
Klasse-B-Adresse und durch die Subnetzmaske 24 (255.255.255.0) zu einer quasi Klasse-C-Adresse. Eine einzelne IP-Adresse wird mit der Maske 255.255.255.255 bzw. /32 beschrieben. Die folgende Tabelle gibt einen Überblick über diese Umsetzung: Bereich Anzahl IP-Adressen Bitmaske (von 32) Subnetzmaske 000-255 256 /24 255.255.255.0 000-127 128-255 128 /25 255.255.255.128 000-063 064-127 128-191 192-255 64 /26 255.255.255.
Bereich Anzahl IP-Adressen Bitmaske (von 32) Subnetzmaske 000-007 008-015 016-023 024-031 032-039 040-047 048-055 056-063 064-071 072-079 080-087 088-095 096-103 104-111 112-119 120-127 128-135 136-143 144-151 152-159 160-167 168-175 176-183 184-191 192-199 200-207 208-215 216-223 224-231 232-239 240-247 248-255 8 /29 255.255.255.248 Subnetzmasken im AVM Access Server TCP (Transmission Control Protocol) TCP ist für den Einsatz über paketvermittelten Netzwerken geeignet.
TCP/IP-Adresse, siehe „IP-Adresse“ auf Seite 140 Tunneling-Technik Ein Verfahren, bei dem Datenpakete des einen Protokolls mit Hilfe eines anderen Protokolls übertragen werden. Zwischen den Endpunkten wird eine virtuelle Verbindung aufgebaut, die man Tunnel nennt. Die Daten des einen Protokolls werden am Tunnelanfang in die Datenpakete des zweiten Protokolls verpackt. Am Ende des Tunnels werden sie wieder entpackt.
Bei Internetverbindungen wird im AVM Access Server grundsätzlich IPMasquerading verwendet. Wenn Sie den Zugriff aus dem Internet auf einzelne Server in Ihrem LAN erlauben wollen, dann müssen Sie ein Weiterleitungsprofil einsetzen. Siehe auch „NAT (Network Address Translation)“ auf Seite 143. Ziele Der Begriff „Ziel“ wird als Sammelbegriff für Internetverbindungen und die Verbindung zu entfernten Netzwerken benutzt.
Index A F Abbauen, Verbindung 37 Aktive IP-Routen 40 Anlagenanschluss 9 Aufbauen, Verbindung 37 Aushandlungen 99 AVM Access Server Einsatzmöglichkeiten 7 AVM-Support Support per Telefon 130 Filter 68 Firewall 68 Forward-Filter 69 Globaler Input-Filter 69 Globaler Output-Filter 69 IP-Filter 68 IP-Filterprofile 72 Protokollierung 70 Zielgebundener Input-Filter 69 Zielgebundener Output-Filter 69 Firewall 68 Firmware 127 B Benutzeroberfläche 30 Konfigurationsansicht 34 Menüs 31 Monitoring-Ansicht 36 Symboll
K R Kanalbündelung 10 Kompressionsverfahren 104 Konfigurationsansicht 34 Kostenübernahme (COSO) 89 Kundenservice 126 RFCs, unterstützte 124 Routing dynamisch 88 statisch 88 Routing-Tabellen 87 L S Literatur 130 Logische ISDN-Verbindung 10 M Mehrfachrufnummer 13 Mehrgeräteanschluss 9 Menüs 31 Monitor-Funktionen 36 Ereignisse 40 ISDN B-Kanäle 39 Nutzungsstatistik 41 Paketmitschnitt 43 Routingtabelle 40 Monitoring. Siehe Monitor-Funktionen Monitoring-Ansicht 36 MSN.
Z Zeitprofile 89 Zertifikate 101 Ziele B-Kanal-Reservierung 88 Kostenübernahme (COSO) 89 Priorität 89 Zeitprofile 89 AVM Access Server – Index 155
