Bedienungsanleitung LANCOM 821 PLUS

LANCOM 821+ LANCOM 1711 VPN LANCOM 1721 VPN © 2006 LANCOM Systems GmbH, Würselen (Germany). Alle Rechte vorbehalten. Alle Angaben in dieser Dokumentation sind nach sorgfältiger Prüfung zusammengestellt worden, gelten jedoch nicht als Zusicherung von Produkteigenschaften. LANCOM Systems haftet ausschließlich in dem Umfang, der in den Verkaufs- und Lieferbedingungen festgelegt ist. Weitergabe und Vervielfältigung der zu diesem Produkt gehörenden Dokumentation und Software und die Verwendung ihres Inhalts sind nur mit schriftlicher Erlaubnis von LANCOM Systems gestattet. Änderungen, die dem technischen Fortschritt dienen, bleiben vorbehalten. Windows®, Windows NT® und Microsoft® sind eingetragene Marken von Microsoft, Corp. Das LANCOM Systems-Logo, LCOS und die Bezeichnung LANCOM sind eingetragene Marken der LANCOM Systems GmbH. Alle übrigen verwendeten Namen und Bezeichnungen können Marken oder eingetragene Marken ihrer jeweiligen Eigentümer sein. LANCOM Systems behält sich vor, die genannten Daten ohne Ankündigung zu ändern, und übernimmt keine Gewähr für technische Ungenauigkeiten und/oder Auslassungen. Produkte von LANCOM Systems enthalten Software, die vom ,,OpenSSL Project" für die Verwendung im im ,,OpenSSL Toolkit" entwickelt wurden (http://www.openssl.org/). LANCOM Systems GmbH Adenauerstr. 20/B2 52146 Würselen Deutschland www.lancom.de Würselen, Mai 2006 110443/0506 LANCOM 821+ ­ LANCOM 1711 VPN ­ LANCOM 1721 VPN Ein Wort vorab Ein Wort vorab Vielen Dank für Ihr Vertrauen! Mit dem LANCOM Router haben Sie sich für einen leistungsfähigen Router entschieden, der serienmäßig sowohl über integrierte DSL- bzw. ADSL- sowie ISDN-Schnittstellen als auch über einen 4-Port-Switch verfügt. Mit diesem Router schließen Sie einen einzelnen Arbeitsplatzrechner oder ein ganzes lokales Netzwerk einfach und komfortabel ans Highspeed-Internet an. Sicherheitseinstellungen Für einen sicheren Umgang mit Ihrem Produkt empfehlen wir Ihnen, sämtliche Sicherheitseinstellungen (z.B. Firewall, Verschlüsselung, Zugriffsschutz, Gebührensperre) vorzunehmen, die nicht bereits zum Zeitpunkt des Kaufs des Produkts aktiviert waren. Der LANconfig-Assistent 'Sicherheitseinstellungen' unterstützt Sie bei dieser Aufgabe. Weitere Informationen zum Thema Sicherheit finden Sie auch im Kapitel 'Sicherheits-Einstellungen'. Zusätzlich bitten wir Sie, sich auf unserer Internet-Seite www.lancom.de über technische Weiterentwicklungen und aktuelle Hinweise zu Ihrem Produkt zu informieren und ggf. neue Software-Versionen herunterzuladen. Benutzerhandbuch und Referenzhandbuch Die Dokumentation Ihres Gerätes besteht aus zwei Teilen: Dem Benutzerhandbuch und dem Referenzhandbuch. Sie lesen derzeit das Benutzerhandbuch. Es enthält alle Informationen, die zur raschen Inbetriebnahme Ihres Gerätes notwendig sind. Außerdem finden Sie hier alle wichtigen technischen Spezifikationen. Das Referenzhandbuch befindet sich als Acrobat-Dokument (PDF-Datei) auf der LANCOM Produkt-CD. Es ergänzt das Benutzerhandbuch und geht ausführlich auf Themen ein, die übergreifend für mehrere Modelle gelten. Dazu zählen beispielsweise: Systemdesign des Betriebssystems LCOS Konfiguration Management Diagnose Sicherheit Routing- und WAN-Funktionen Firewall 3 DE LANCOM 821+ ­ LANCOM 1711 VPN ­ LANCOM 1721 VPN Ein Wort vorab DE Quality of Service (QoS) Virtuelle Private Netzwerke (VPN) Virtuelle lokale Netzwerke (VLAN) Backup-Lösungen LANCAPI weitere Server-Dienste (DHCP, DNS, Gebührenmanagement) Modellvarianten Das vorliegende Benutzerhandbuch gilt für die folgenden Modelle der LANCOM Router-Serie: LANCOM 821+ LANCOM 1711 VPN LANCOM 1721 VPN ModellEinschränkungen Die Teile der Dokumentation, die nur für ein bestimmtes Modell gelten, sind entweder im Text selbst oder durch entsprechende seitliche Hinweise gekennzeichnet. In den anderen Teilen der Dokumentation werden alle beschriebenen Modelle unter dem Sammelbegriff LANCOM Router zusammengefasst. An der Erstellung dieser Dokumentation ... ... haben mehrere Mitarbeiter/innen aus verschiedenen Teilen des Unternehmens mitgewirkt, um Ihnen die bestmögliche Unterstützung bei der Nutzung Ihres LANCOM-Produktes anzubieten. Sollten Sie einen Fehler finden, oder einfach nur Kritik oder Anregung zu dieser Dokumentation äußern wollen, senden Sie bitte eine E-Mail direkt an: info@lancom.de Sollten Sie zu den in diesem Handbuch besprochenen Themen noch Fragen haben oder zusätzliche Hilfe benötigen, steht Ihnen unser Internet-Server www.lancom.de rund um die Uhr zur Verfügung. Hier finden Sie im Bereich 'Support' viele Antworten auf ,,häufig gestellte Fragen ('FAQs')". Darüber hinaus bietet Ihnen die Wissensdatenbank einen großen Pool an Informationen. Aktuelle Treiber, Firmware, Tools und Dokumentation stehen für Sie jederzeit zum Download bereit. Außerdem steht Ihnen der LANCOM-Support zur Verfügung. Telefon- 4 LANCOM 821+ ­ LANCOM 1711 VPN ­ LANCOM 1721 VPN Ein Wort vorab nummern und Kontaktadressen des LANCOM-Supports finden Sie in einem separaten Beileger oder auf der LANCOM Systems-Homepage. Hinweis-Symbole Sehr wichtiger Hinweis, dessen Nichtbeachtung zu Schäden führen kann. Wichtiger Hinweis, der beachtet werden sollte. Zusätzliche Informationen, deren Beachtung hilfreich sein kann aber nicht erforderlich ist. 5 DE LANCOM 821+ ­ LANCOM 1711 VPN ­ LANCOM 1721 VPN Inhalt Inhalt 1 Einleitung 1.1 Wie funktioniert ADSL? 1.2 Welchen Nutzen bietet VPN? DE 1.3 Firewall 1.4 Was macht ein Router? 1.4.1 Brückenkopf zum WAN 1.4.2 Einsatzgebiete für Router 1.5 Voice-over-IP 1.6 Was kann Ihr LANCOM? 2 Installation 2.1 Lieferumfang 2.2 Systemvoraussetzungen 2.3 LANCOM Router stellt sich vor 2.3.1 Statusanzeigen 2.3.2 Die Anschlüsse des Geräts 2.4 Installation der Hardware 2.5 Installation der Software 2.5.1 LANCOM-Setup starten 2.5.2 Welche Software installieren? 3 Grundkonfiguration 3.1 Welche Angaben sind notwendig? 3.1.1 TCP/IP-Einstellungen 3.1.2 Konfigurationsschutz 3.1.3 Einstellungen für den DSL-Anschluss 3.1.4 Einstellungen für den ISDN-Anschluss 3.1.5 Gebührenschutz 3.2 Anleitung für LANconfig 3.3 Anleitung für WEBconfig 3.4 TCP/IP-Einstellungen an den Arbeitsplatz-PCs 9 9 12 15 16 17 17 19 19 22 22 22 23 23 28 30 31 32 32 34 34 34 36 36 36 37 37 39 43 6 LANCOM 821+ ­ LANCOM 1711 VPN ­ LANCOM 1721 VPN Inhalt 4 Den Internet- Zugang einrichten 4.1 Anleitung für LANconfig 4.2 Anleitung für WEBconfig 5 Zwei Netzwerke verbinden 5.1 Welche Angaben sind notwendig? 5.1.1 Allgemeine Angaben 5.1.2 Einstellungen für den TCP/IP-Router 5.1.3 Einstellungen für den IPX-Router 5.1.4 Einstellungen für NetBIOS-Routing 5.2 Anleitung für LANconfig 5.3 Anleitung für WEBconfig 6 Einwahl- Zugang bereitstellen 6.1 Welche Angaben sind notwendig? 6.1.1 Allgemeine Angaben 6.1.2 Einstellungen für TCP/IP 6.1.3 Einstellungen für IPX 6.1.4 Einstellungen für NetBIOS-Routing 6.2 Einstellungen am Einwahl-Rechner 6.2.1 Einwahl über VPN 6.2.2 Einwahl über ISDN 6.3 Anleitung für LANconfig 6.4 Anleitung für WEBconfig 7 Faxe versenden mit der LANCAPI 7.1 Installation des LANCOM CAPI Faxmodem 7.2 Installation des MS Windows Faxdienstes 7.3 Versenden eines Faxes 7.3.1 Faxe versenden mit beliebigen Büroanwendungen 7.3.2 Faxe versenden mit dem Windows Faxdienst 45 47 47 49 50 50 52 54 55 55 56 58 58 59 60 61 61 62 62 62 63 64 65 66 67 68 68 68 DE 7 LANCOM 821+ ­ LANCOM 1711 VPN ­ LANCOM 1721 VPN Inhalt 8 Sicherheits-Einstellungen 8.1 Der Sicherheits-Assistent 8.1.1 Assistent für LANconfig 8.1.2 Assistent für WEBconfig 8.2 Der Firewall-Assistent 8.2.1 Assistent für LANconfig 8.2.2 Konfiguration unter WEBconfig 8.3 Die Sicherheits-Checkliste 9 Rat & Hilfe 9.1 Es wird keine WAN-Verbindung aufgebaut 9.2 DSL-Übertragung langsam 9.3 Unerwünschte Verbindungen mit Windows XP 9.4 Kabel testen 10 Anhang 10.1 Leistungs- und Kenndaten 10.2 Anschlussbelegung 10.2.1 ADSL-Schnittstelle 10.2.2 Ethernet WAN-Schnittstelle (LANCOM 1711 VPN) 10.2.3 ISDN-S0-Schnittstelle 10.2.4 Ethernet-Schnittstellen 10/100Base-T 10.2.5 Konfigurationsschnittstelle (Outband) 10.3 CE-Konformitätserklärungen DE 70 70 70 71 71 72 72 72 76 76 76 77 77 79 79 80 80 81 81 82 82 82 8 LANCOM 821+ ­ LANCOM 1711 VPN ­ LANCOM 1721 VPN Kapitel 1: Einleitung 1 Einleitung Die LANCOM Router-Modelle LANCOM 821+, LANCOM 1721 VPN und LANCOM 1711 VPN sind vollwertige Router und ermöglichen mit der integrierte Firewall einen sicheren Internetzugang für das lokale Netzwerk. Mit der integrierten oder nachträglich aktivierten VPN-Option arbeiten die Geräte LANCOM 1721 VPN und LANCOM 1711 VPN als leistungsfähige Dynamic VPN Gateways für Außenstellen oder mobile Nutzer. Neben dem DSL- oder ADSL-Anschluss verfügen die Geräte auch über einen ISDN-Anschluss. Die ISDN-Leitung kann als Backup für die DSL-Verbindung genutzt werden, zum Remote Management des Routers, als Basis für die Office-Kommunikation über die LANCAPI und zum Aufbau von Dynamic VPN Verbindungen zu Außenstellen mit dynamischen IP-Adressen. In Verbindung mit den Voice-over-IP-Funktionen können die Geräte die breitbandigen Internetverbindungen auch zur Übertragen von Sprache nutzen. DE 1.1 Wie funktioniert ADSL? Schon Ende der 80er Jahre arbeiteten Wissenschaftler an der Idee, gewöhnliche Telefon-Anschlussleitungen für die Übertragung von Video- und Multimedia-Anwendungen nutzbar zu machen. Highspeed über herkömmliche Telefonkabel Dabei verfolgte man den Ansatz, den Telefonanschluss des Teilnehmers nur bis zur nächsten Vermittlungsstelle zu verwenden. Ab der Vermittlungsstelle werden die Daten über Hochgeschwindigkeitsverbindungen zum gewünschten Ziel bzw. ins Zielnetzwerk (etwa das Internet) weitergeleitet. Diese Verkürzung der verwendeten Telefonkabelstrecke auf ein Minimum ermöglicht erheblich größere Übertragungsraten als sie bei kompletter Verwendung des Telefonnetzes möglich sind. ADSL-Verbindung über Telefonkabel LAN Internet Router Vermittlungsstelle 9 LANCOM 821+ ­ LANCOM 1711 VPN ­ LANCOM 1721 VPN Kapitel 1: Einleitung Auf diesem Konzept basieren alle DSL-Technologien, von denen ADSL die weiteste Verbreitung hat. DSL-Verbindungen eignen sich aufgrund ihrer hohen Übertragungsgeschwindigkeit ideal für die Internet-Anbindung. Ideal für Internet- Surfer Die DSL-Variante ADSL wurde für Anwendungen entwickelt, bei denen der Teilnehmer große Datenmengen empfängt, selber jedoch nur verhältnismäßig wenig Daten sendet. Typisches Beispiel ist der Zugriff auf das World-WideWeb (WWW). Nur einige wenige Kommandos (Mausklicks) sind erforderlich, um mitunter sehr große Datenmengen (Grafiken, Texte, Audio, Video) herunter zu laden. Der Benutzer schickt dabei typischerweise nur kleine Datenmengen über die Internetverbindung. Über eine ADSL-Verbindung kann der Teilnehmer bis zu 8 Mbit/Sekunde empfangen (,,downstream") und 800 Kbit/Sekunde senden (,,upstream"). Diese Maximalraten können vom ADSL-Anbieter beliebig reduziert werden. Typische Angebote sind beispielsweise 1 bis 3 Mbit/Sekunde Download- und 128 bis 384 Kbit/Sekunde Upload-Geschwindigkeit. Alle Dienste über ein Kabel ­ der Splitter macht's möglich Bei ADSL können parallel zur Datenübertragung auch alle klassischen Telefonie-Anwendungen (Telefon, Fax, Anrufbeantworter, Nebenstellenanlage) ohne Einschränkung weiter genutzt werden. Zu diesem Zweck kommen sogenannte ,,Splitter" zum Einsatz. Splitter sind Geräte, die auf der Telefonleitung die ,,Sprachfrequenzen" von den ,,Datenfrequenzen" trennen und für die Weiterleitung in die jeweiligen Netze sorgen. Sprachsignale werden an das bestehende Telefonnetz übergeben, während die Datensignale über leistungsfähige Netzwerkverbindungen zum Ziel (etwa zum Internetanbieter) geleitet werden. Auch auf der Teilnehmerseite kommt ein Splitter zum Einsatz und ermöglicht den gleichzeitigen Anschluss von Routern und herkömmlichen TelefonendgeDE 10 LANCOM 821+ ­ LANCOM 1711 VPN ­ LANCOM 1721 VPN Kapitel 1: Einleitung räten. Der Router wird an ein separates ADSL-Modem angeschlossen, das ADSL-Modem ist mit dem Splitter verbunden. Telefonnetz Telefon Splitter Splitter DSLAM Internet ADSL-Anbieter ADSLModem Router Teilnehmer Vermittlungsknoten In manchen Geräte wie auf dem folgenden Bild ist das ADSL-Modem direkt in den Router integriert. Das separates ADSL-Modem entfällt. Telefonnetz Telefon Vermittlungsknoten Splitter Splitter Internet DSLAM ADSL-Anbieter Router mit integriertem ADSL-Modem Teilnehmer Die LANCOM Router können für den Zugang zum Internet auch einen anderen Breitbandanschluss (z.B. ein Kabelmodem) nutzen, der einen 10/100Base-Tx-Ethernetanschluss über PPPoE, PPTP oder einfaches Ethernet anbietet (mit oder ohne DHCP). ADSL- over-ISDN oder ADSL-over- POTS? Der Betrieb von ADSL ist sowohl über moderne ISDN- als auch über herkömmliche analoge Telefonanschlüsse (POTS ­ Plain Old Telephone Service) möglich. Allerdings existieren für die beiden Telefonsysteme unterschiedliche technische Spezifikationen. Aus diesem Grund werden die Geräte mit integriertem 11 DE LANCOM 821+ ­ LANCOM 1711 VPN ­ LANCOM 1721 VPN Kapitel 1: Einleitung ADSL-Modem jeweils in zwei Versionen angeboten: Eine Version für ADSLover-POTS und eine für ADSL-over-ISDN. Die Angabe des unterstützten Telefonsystems finden Sie auf der Typenbezeichnung auf der Unterseite des Geräts. Der Gerätename ist auf dem Etikett mit einem Zusatz versehen, der für das unterstützte Telefonsystem steht: DE Zusatz 'Annex A' 'Annex B' Unterstütztes Telefonsystem ADSL-over-POTS ADSL-over-ISDN Ein Gerät vom Typ 'Annex A' kann ausschließlich an ADSL-over-POTSAnschlüssen betrieben werden. Ein Gerät vom Typ 'Annex B' kann ausschließlich an einem ADSL-over-ISDN-Anschluss betrieben werden. Welche Variante Sie benötigen, erfahren Sie von Ihrem Netzbetreiber. Die nachträgliche Umrüstung eines Gerätes auf das jeweils andere Telefonsystem ist nicht möglich. Es existieren auch ADSL-over-ISDN-Anschlüsse, die nicht in Kombination mit einem ISDN-Anschluss, sondern mit einem herkömmlichen analogen Telefonanschluss betrieben werden. In Deutschland sind beispielsweise alle von der Deutschen Telekom AG bereitgestellten T-DSL-Anschlüsse als ADSL-overISDN-Anschlüsse ausgeführt. 1.2 Nur für LANCOM 1711 VPN und LANCOM 1721 VPN Welchen Nutzen bietet VPN? Mit einem VPN (Virtual Private Network) können sichere Datenverkehrsverbindungen über kostengünstige, öffentliche IP-Netze aufgebaut werden, beispielsweise über das Netz der Netze: das Internet. Die Modelle LANCOM 1721 VPN und LANCOM 1711 VPN sind standardmäßig mit VPN-Unterstützung für 5 aktive Tunnel ausgestattet. Mit der zusätzlichen LANCOM VPN Option kann die VPN-Unterstützung auf 25 aktive Tunnel erweitert werden (inkl. VPN-HardwareBeschleunigung). Was sich zunächst unspektakulär anhört, hat in der Praxis enorme Auswirkungen. Zur Verdeutlichung schauen wir uns zunächst ein typisches Unternehmensnetzwerk ohne VPN-Technik an. Im zweiten Schritt werden wir dann sehen, wie sich dieses Netzwerk durch den Einsatz von VPN optimieren lässt. 12 LANCOM 821+ ­ LANCOM 1711 VPN ­ LANCOM 1721 VPN Kapitel 1: Einleitung Herkömmliche Netzwerkstruktur Blicken wir zunächst auf eine typische Netzwerkstruktur, die in dieser oder ähnlicher Form in vielen Unternehmen anzutreffen ist: LAN Zentrale ISDN ISDN LAN Rechner im Fernzugriff, z.B. Heimarbeit Niederlassung Internet Das Unternehmensnetz basiert auf einem internen Netzwerk (LAN) in der Zentrale. Dieses LAN ist über folgende Wege mit der Außenwelt verbunden: ³ Eine Niederlassung ist (typischerweise über eine Standleitung) angeschlossen. · Rechner wählen sich über ISDN oder Modem ins zentrale Netzwerk ein (Remote Access Service ­ RAS). » Es existiert eine Verbindung ins Internet, um den Benutzern des zentralen LAN den Zugriff auf das Web und die Möglichkeit zum Versand und Empfang von E-Mails zu geben. Alle Verbindungen zur Außenwelt basieren auf dedizierten Leitungen, d.h. Wähl- oder Standleitungen. Dedizierte Leitungen gelten einerseits als zuverlässig und sicher, andererseits aber auch als teuer. Ihre Kosten sind in aller Regel von der Verbindungsdistanz abhängig. So hat es gerade bei Verbindungen über weite Strecken Sinn, nach preisgünstigeren Alternativen Ausschau zu halten. 13 DE LANCOM 821+ ­ LANCOM 1711 VPN ­ LANCOM 1721 VPN Kapitel 1: Einleitung In der Zentrale muss für jeden verwendeten Zugangs- und Verbindungsweg (analoge Wählverbindung, ISDN, Standleitungen) entsprechende Hardware betrieben werden. Neben den Investitionskosten für diese Ausrüstung fallen auch kontinuierliche Administrations- und Wartungskosten an. Vernetzung über Internet DE Bei Nutzung des Internets anstelle direkter Verbindungen ergibt sich folgende Struktur: LAN Zentrale LAN Internet Niederlassung Rechner im Fernzugriff Alle Teilnehmer sind (fest oder per Einwahl) mit dem Internet verbunden. Es gibt keine teueren dedizierten Leitungen zwischen den Teilnehmern mehr. ³ Nur noch die Internet-Verbindung des LANs der Zentrale ist notwendig. Spezielle Einwahlgeräte oder Router für dedizierte Leitungen zu einzelnen Teilnehmern entfallen. · Die Niederlassung ist ebenfalls mit einer eigenen Verbindung ans Internet angeschlossen. » Die RAS-Rechner wählen sich über das Internet in das LAN der Zentrale ein. Das Internet zeichnet sich durch geringe Zugangskosten aus. Insbesondere bei Verbindungen über weite Strecken sind gegenüber herkömmlichen Wähloder Standverbindungen deutliche Einsparungen zu erzielen. 14 LANCOM 821+ ­ LANCOM 1711 VPN ­ LANCOM 1721 VPN Kapitel 1: Einleitung Die physikalischen Verbindungen bestehen nicht mehr direkt zwischen zwei Teilnehmern, sondern jeder Teilnehmer hat selber nur einen Zugang ins Internet. Die Zugangstechnologie spielt dabei keine Rolle: Idealerweise kommen Breitbandtechnologien wie DSL (Digital Subscriber Line) zum Einsatz. Aber auch herkömmliche ISDN-Verbindungen können verwendet werden. Die Technologien der einzelnen Teilnehmer müssen nicht kompatibel zueinander sein, wie das bei herkömmlichen Direktverbindungen erforderlich ist. Über einen einzigen Internet-Zugang können mehrere gleichzeitige logische Verbindungen zu verschiedenen Gegenstellen aufgebaut werden. Niedrige Verbindungskosten und hohe Flexibilität machen das Internet (oder jedes andere IP-Netzwerk) zu einem hervorragenden Übertragungsmedium für ein Unternehmensnetzwerk. DE 1.3 Firewall Die integrierte Stateful-Inspection Firewall verhindert wirksam ein Eindringen von ungewolltem Datenverkehr in das eigene Netzwerk, indem eingehender Datenverkehr nur als Reaktion auf ausgehenden Datenverkehr zugelassen wird. Die IP-Masquerading-Funktion im Router versteckt beim Zugang ins Internet alle Arbeitsstationen im LAN hinter einer einzigen öffentlichen IPAdresse. Die tatsächlichen Identitäten (IP-Adressen) der einzelnen Stationen bleiben verborgen. Firewall-Filter im Router erlauben die gezielte Sperrung von IP-Adressen, Protokollen und Ports. Mit MAC-Adressfiltern kann auch der Zugriff von Arbeitsstationen im LAN auf die IP-Routing-Funktion des Gerätes gezielt kontrolliert werden. LAN Internet Firewall LANCOM Weitere wichtige Features der Firewall sind: Intrusion Detection 15 LANCOM 821+ ­ LANCOM 1711 VPN ­ LANCOM 1721 VPN Kapitel 1: Einleitung Einbruchsversuche in das lokale Netzwerk oder auf die zentrale Firewall werden über das Intrusion-Detection-System (IDS) des LANCOM erkannt, abgewehrt und protokolliert. Dabei kann zwischen Protokollierung im Gerät (Logging), E-Mail-Benachrichtigung, SNMP-Traps oder SYSLOGAlarmen gewählt werden. Denial-of-Service Protection Angriffe aus dem Internet können neben Einbruchsversuchen auch Angriffe mit dem Ziel sein, die Erreichbarkeit und Funktionstüchtigkeit einzelner Dienste zu blockieren. Daher ist der LANCOM mit entsprechenden Schutzmechanismen ausgestattet, die bekannte Hacker-Angriffe erkennen und die Funktionstüchtigkeit der Router garantieren. Quality-of-Service / Traffic management Unter dem Oberbegriff Quality-of-Service (kurz: QoS) sind die Funktionen des LANCOM zusammengefasst, die sich mit der Sicherstellung von bestimmten Dienstegüten befassen. Das hat den Vorteil, dass die QoSFunktionen mit den vorhandenen, mächtigen Klassifizierungsmethoden der Firewall (z.B. Einschränkung auf Subnetze, einzelne Arbeitsstationen oder bestimmte Dienste) erfolgen kann. Mit garantierten Mindestbandbreiten geben Sie Vorfahrt für unternehmenskritische Applikationen, VoIP-Telefonie oder bestimmte Benutzergruppen. DE 1.4 Details zur Funktion des Stateful-Inspection Firewall der LANCOM Router entnehmen Sie dem Referenzhandbuch. Was macht ein Router? Die folgenden Abschnitte beschreiben allgemein die Funktionalität von Routern. Welche Funktionen von Ihrem Gerät unterstützt werden, können Sie der Tabelle 'Was kann Ihr LANCOM?' entnehmen. Router verbinden voneinander entfernte LANs und Einzel-PCs miteinander zu einem Wide Area Network (WAN). Jeder Rechner in diesem WAN kann ­ sofern er dazu berechtigt ist ­ auf die Rechner und Dienste im gesamten WAN 16 LANCOM 821+ ­ LANCOM 1711 VPN ­ LANCOM 1721 VPN Kapitel 1: Einleitung zugreifen (so wie in der Abbildung 'PC 1' auf 'Server A' im entfernten LAN zugreift). PC 1 Server A Router LAN 1 Router LAN 2 Der Anschluss eines LAN an das Internet unterscheidet sich technisch nicht von der Kopplung zweier LANs. Der einzige Unterschied besteht darin, dass hinter dem Router des Internetanbieters nicht nur einige wenige Rechner stecken, sondern das Netz der Netze. 1.4.1 Brückenkopf zum WAN Jeder Router verfügt über mindestens zwei Anschlüsse: Mindestens einen für das LAN Mindestens einen für WAN-Verbindungen Einige Modelle verfügen neben dem LAN-Anschluss (10/100-Mbit-Ethernet) auch über einen integrierten Switch. Für die Anbindung an das WAN nutzen die Router einen ISDN-, DSL- oder ADSL-Anschluss. Zusätzlich enthalten manche Geräte eine Funknetzwerkkarte und können damit auch Stationen in WLANs (Wireless LANs) in das Routing mit einbeziehen. Die Aufgabe des Routers besteht darin, Daten aus dem eigenen LAN über eine geeignete WAN-Verbindung in das Zielnetzwerk zu übermitteln. Ebenso werden Daten aus dem WAN an den gewünschten Empfänger im LAN weitergeleitet. 1.4.2 Einsatzgebiete für Router Router werden überwiegend für folgende Anwendungen eingesetzt: Internet-Zugang für ein LAN (über die WAN-Schnittstelle) Das Internet besteht aus unzähligen großen und kleinen Netzwerken, die über Router zum weltgrößten WAN verbunden sind. Ihr Router verbindet alle Arbeitsplatzrechner ihres LAN mit dem globalen Internet. Umfangrei- 17 DE WAN-Verbindung LANCOM 821+ ­ LANCOM 1711 VPN ­ LANCOM 1721 VPN Kapitel 1: Einleitung che Sicherheitsfunktionen schirmen Ihr LAN gegen unbefugten Zugriff von außen ab. LAN-LAN-Kopplung (über VPN oder ISDN) Eine LAN-LAN-Kopplung verbindet zwei LANs zu einem WAN, bei Bedarf sogar über Kontinente hinweg. Typisches Beispiel: Eine Niederlassung soll an das LAN der Zentrale gekoppelt werden. Grundsätzlich können Sie LANs auf zwei Arten koppeln: Highspeed-Kopplung über VPN Mit der VPN-Technologie (Virtual Private Network) sind die schnellsten und günstigsten LAN-LAN-Kopplungen möglich, da VPN das Internet als Kommunikationsbasis verwendet. Dabei kommt der schnelle xDSL-Anschluss des Routers zum Einsatz. Voraussetzung: auf beiden Seiten der Netzwerkkopplung wird ein VPN-Gateway mit Zugang zum Internet benötigt. VPN-Tunnel über das Internet DE VPN-Gateways Herkömmlich über ISDN Ohne VPN kann eine LAN-LAN-Kopplung alternativ über ISDN aufgebaut werden. In diesem Fall sorgt ein intelligentes Line-Management im Zusammenspiel mit ausgefeilten Filtermechanismen für geringe Verbindungskosten. Fernzugriff auf das Firmennetz (über VPN oder ISDN) Die Arbeit vieler Mitarbeiter in modernen Organisationen wird immer unabhängiger von bestimmten Orten ­ wichtig ist vor allem der ständige Zugriff auf gemeinsame, frei verfügbare Informationen. Remote-Access-Service (RAS) heißt hier das Zauberwort. Heimarbeitsplätze oder Außendienstmitarbeiter wählen sich über VPN oder ISDN ins zentrale Netzwerk ein. Beim Remote-Access über ISDN schützt der Router das firmeneigene Netzwerk: Die Rückruffunktion erlaubt nur bekannten und registrierten Personen Zugang. 18 LANCOM 821+ ­ LANCOM 1711 VPN ­ LANCOM 1721 VPN Kapitel 1: Einleitung 1.5 Voice-over-IP Der Einsatz von Voice-over-IP bietet erhebliche Einsparpotentiale in der Unternehmenskommunikation. LANCOM-Router mit VoIP-Unterstützung ermöglichen die Nutzung vorhandener Datenverbindungen zur gleichzeitigen Sprachübertragung. Dabei unterstützt LANCOM Systems nicht nur die Vernetzung bei VoIP-Neuinstallationen, sondern ermöglicht auch die Einbindung bereits vorhandenen Telefonie-Equipments. LANCOM-VoIP-Lösungen bieten zahlreiche Vorteile: gesicherte Übertragung von VoIP-Sprachdaten mit IPSec-VPN intelligentes Call-Routing zu SIP-Providern, eigenem VoIP-Server oder in das klassische Telefonie-Netz Migration von vorhandenen ISDN/Analog-Telefonen und TK-Anlagen auf VoIP hochverfügbare VoIP-Standortkopplungen mit Backup umfangreiche QoS-Funktionen mit integriertem Bandbreiten-Management 1.6 Was kann Ihr LANCOM? Die folgende Tabelle zeigt Ihnen die Eigenschaften und Funktionen Ihres Gerätes im unmittelbaren Modellvergleich. LANCOM 1711 VPN LANCOM 1721 VPN LANCOM 821+ Anwendungen Internet-Zugang LAN-LAN-Kopplung über VPN LAN-LAN-Kopplung über ISDN RAS-Server (über VPN) RAS-Server (über ISDN) IP-Router IPX-Router (über ISDN), z.B. zur Kopplung von Novell-Netzwerken oder zur Einwahl in Novell-Netzwerke 19 DE LANCOM 821+ ­ LANCOM 1711 VPN ­ LANCOM 1721 VPN Kapitel 1: Einleitung LANCOM 1711 VPN NetBIOS-Proxy zur Kopplung von Microsoft-Peer-to-Peer-Netzwerken über ISDN DE DHCP- und DNS-Server (für LAN und WAN) N:N-Mapping zum Routen von Netzwerken mit den gleichen IP-Adresskreisen über VPN Bridge-Funktion zur Verbindung von Netzwerken über ISDN Port-Mapping zur Definition von LAN-Ports als zusätzliche WAN-Ports Policy-based Routing zur regelbasierten Auswahl der Zielroute Load-Balancing zur Bündelung von mehreren DSL-Kanälen LANCAPI-Server für den Einsatz von Office-Anwendungen wie Fax oder Anrufbeantworter über die ISDN-Schnittstelle. ready 2 Kanäle 4 Kanäle 4 Kanäle Vorbereitet für SIP Gateway und Proxy-Funktionen (ab LCOS 6.0) WAN-Anschlüsse Anschluss für DSL- oder Kabelmodem integriertes ADSL-Modem (ADSL2+ ready) ISDN-S0-Anschluss in Punkt-zu-Mehrpunkt-Konfiguration (Mehrgeräteanschluss) oder in Punkt-zu-Punkt-Konfiguration (Anlagenanschluss) mit automatischer DKanal-Protokoll-Erkennung. Unterstützt statische und dynamische Kanalbündelung per MLPPP und BACP sowie Stac-Datenkompression (Hi/fn). Auch zum Aufbau von Dynamic VPN-Verbindungen zu Gegenstellen mit dynamischen IP-Adressen (LANCOM 1711 VPN und LANCOM 1721 VPN). Anschluss für externes Analog- oder GPRS-Modem am COM-Port (benötigt LANCOM Modem Adapter Kit) LAN-Anschluss 4 individuelle Fast Ethernet LAN Ports, einzeln schaltbar, z.B. als LAN-Switch oder separate DMZ-Ports, Auto-Crossover. USB 2.0 Host Port für zukünftige Erweiterungen Sicherheitsfunktionen IPSec-Verschlüsselung über externe Software (VPN-Client) 5 integrierte VPN-Tunnel zur Absicherung von Netzwerkverbindungen 20 LANCOM 1721 VPN LANCOM 821+ LANCOM 821+ ­ LANCOM 1711 VPN ­ LANCOM 1721 VPN Kapitel 1: Einleitung LANCOM 1711 VPN IPSec-Verschlüsselung über Hardware (optional, Aktivierung über VPN-25-Option) IP-Masquerading (NAT, PAT) zum Verstecken aller Arbeitsstationen im LAN hinter einer einheitlichen öffentlichen IP-Adresse. Stateful-Inspection Firewall Firewall-Filter zur gezielten Sperrung von IP-Adressen, Protokollen und Ports MAC-Adressfilter kontrolliert u.a. den Zugriff von Arbeitsstationen im LAN auf die IP-Routing-Funktion Konfigurationsschutz zur Abwehr von ,,Brute-Force-Angriffen". LANCOM 1721 VPN LANCOM 821+ DE 21 Konfiguration Konfiguration mit LANconfig oder mit Webbrowser, zusätzlich Terminalmodus für Telnet oder andere Terminalprogramme, SNMP-Schnittstelle und TFTP-Serverfunktion Fernkonfiguration über ISDN (mit ISDN-PPP-Verbindungen z. B. über das DFÜ-Netzwerk von Windows). Serielle Konfigurations-Schnittstelle Rückruf-Funktion mit PPP-Authentifizierung-Mechanismen zur Beschränkung auf festgelegte ISDN-Rufnummern FirmSafe zum Einspielen neuer Firmwareversionen ohne Risiko Optionale Software-Erweiterungen SIP Gateway und Proxy-Funktionen (ab LCOS 6.0) ISDN-Festverbindungsoption LANCOM VPN Option mit 25 aktiven Tunneln zur Absicherung von Netzwerkkopplungen LANCOM Service-Option Optionale Hardware-Erweiterungen LANCOM Modem Adapter Kit zum Anschluss eines Analog- oder GSM-Modems an die serielle Schnittstelle LANCOM 821+ ­ LANCOM 1711 VPN ­ LANCOM 1721 VPN Kapitel 2: Installation 2 Installation Dieses Kapitel hilft Ihnen, möglichst schnell Hard- und Software zu installieren. Zunächst überprüfen Sie Lieferumfang und Systemvoraussetzungen. Sind alle Voraussetzungen erfüllt, gelingen Anschluss und Inbetriebnahme schnell und ohne Mühe. DE 2.1 Lieferumfang Bitte prüfen Sie den Inhalt der Verpackung auf Vollständigkeit, bevor Sie mit der Installation beginnen. Neben dem eigentlichen Gerät sollte der Karton folgendes Zubehör für Sie bereithalten: LANCOM 1711 VPN LANCOM 1721 VPN LANCOM 821+ Netzteil LAN-Anschlusskabel (grüne Stecker) WAN-Anschlusskabel (dunkelblaue Stecker) ADSL-Anschlusskabel (transparente Stecker) ISDN-Anschlusskabel (hellblaue Stecker) Anschlusskabel für die Konfigurationsschnittstelle LANCOM-CD Gedruckte Dokumentation Falls etwas fehlen sollte, wenden Sie sich bitte umgehend an Ihren Händler oder an die Kontaktadresse, die auf dem Lieferschein zu Ihrem Gerät angegeben ist. 2.2 Systemvoraussetzungen Rechner, die mit einem LANCOM Router in Verbindung treten möchten, müssen mindestens die folgenden Voraussetzungen erfüllen: 22 LANCOM 821+ ­ LANCOM 1711 VPN ­ LANCOM 1721 VPN Kapitel 2: Installation Betriebssystem mit TCP/IP-Unterstützung, z.B. Windows XP, Windows Millennium Edition (Me), Windows 2000, Windows 98, Windows 95, Windows NT, Linux, BSD Unix, Apple Mac OS, OS/2. Funk-LAN-Adapter oder Zugang zum LAN (falls der Access Point ans LAN angeschlossen wird). 2.3 Die LANtools benötigen zudem ein Windows-Betriebssystem. Für den Zugriff auf WEBconfig ist ein Web-Browser erforderlich. LANCOM Router stellt sich vor In diesem Abschnitt stellen wir Ihnen Ihr Gerät vor. Sie erhalten einen Überblick über alle Statusanzeigen, Anschlüsse und Schalter. 2.3.1 Für die Installation des Gerätes ist dieser Abschnitt hilfreich aber nicht unbedingt erforderlich. Sie können diesen Abschnitt nach Belieben auch erst einmal überschlagen und direkt mit dem Abschnitt 'Installation der Hardware' Seite 30 fortfahren. Statusanzeigen Die verschiedenen LANCOM Router-Modelle verfügen je nach Funktionsumfang über eine unterschiedliche Anzahl von Statusanzeigen auf der Vorderseite. Vorderseite Die verschiedenen LANCOM Router-Modelle verfügen je nach Funktionsumfang über eine unterschiedliche Anzahl von Statusanzeigen auf der Vorderseite: LANCOM 821+ und LANCOM 1721 VPN · »¿´² ¶ ¾ LANCOM 1721 VPN ADSL Status ISDN Status ADSL Data Power Online ISDN Data ETH 1 ETH 2 ETH 3 ETH 4 nicht verfügbar beim LANCOM 821+ VPN 23 DE LANCOM 821+ ­ LANCOM 1711 VPN ­ LANCOM 1721 VPN Kapitel 2: Installation LANCOM 1711 VPN · »¿ ´ ² ¶ º¾ 1711 VPN DE Oberseite Die beiden LEDs auf der Oberseite ermöglichen ein bequemes Ablesen der wichtigsten Statusanzeigen auch bei vertikaler Befestigung des Gerätes. Power Online Bedeutung der LEDs In den folgenden Abschnitten verwenden wir verschiedene Begriffe, um das Verhalten der LEDs zu beschreiben: Blinken bedeutet, dass die LED in gleichmäßigen Abständen in der jeweils angegebenden Farbe ein- bzw. ausgeschaltet wird. Blitzen bedeutet, dass die LED in der jeweiligen Farbe sehr kurz aufleuchtet und dann deutlich länger (etwa 10x so lange) ausgeschaltet bleibt. Invers Blitzen bedeutet das Gegenteil. Hier leuchtet die LED in der jeweiligen Farbe dauerhaft und wird nur sehr kurz unterbrochen. Flackern bedeutet, dass die LED in unregelmäßigen Abständen ein- und ausgeschaltet wird. Power ³ Diese LED gibt Auskunft über die Betriebsbereitschaft des Geräts. Nach dem Einschalten blinkt sie für die Dauer des Selbsttests grün. Danach wird entwe- 24 VPN LANCOM 821+ ­ LANCOM 1711 VPN ­ LANCOM 1721 VPN Kapitel 2: Installation der ein festgestellter Fehler als roter Blinkcode ausgegeben, oder aber das Gerät geht in Betrieb, und die LED leuchtet konstant grün. aus grün grün rot/grün rot blinkend dauerhaft an abwechselnd blinkend blinkend Gerät abgeschaltet Selbsttest nach dem Einschalten Gerät betriebsbereit Gerät unsicher: Kein Konfigurationskennwort gesetzt Zeit- oder Gebührenlimit erreicht Die Power-LED blinkt abwechselnd rot/grün, solange noch kein Konfigurationskennwort gesetzt wurde. Ohne Konfigurationskennwort sind die Konfigurationsdaten des LANCOM ungeschützt. Im Normalfall setzen Sie ein Konfigurationskennwort während der Grundkonfiguration (Anleitung im folgenden Kapitel). Informationen zur nachträglichen Vergabe eines Konfigurationskennworts finden Sie im Abschnitt 'Der Sicherheits-Assistent' auf Seite 70. Blinkende Power-LED und keine Verbindung möglich? Blinkt die Power-LED rot, und können keine WAN-Verbindungen mehr aufgebaut werden, so ist das kein Grund zur Besorgnis. Vielmehr wurde ein vorher eingestelltes Zeit- oder Gebührenlimit erreicht. Es gibt drei Möglichkeiten die Sperre zu lösen: Gebührenschutz zurücksetzen. Das erreichte Limit erhöhen. Die erreichte Sperre ganz deaktivieren (Limit auf '0' setzen). LANCOM Systems Power Power Signal für ein erreichtes Zeit- oder Gebührenlimit Im LANmonitor wird Ihnen das Erreichen eines Zeit- oder Gebührenlimits angezeigt. Zum Reset des Gebührenschutzes wählen Sie im Kontextmenü (rechter Mausklick) Zeit- und Gebühren- Limits zurücksetzen. Die Gebühreneinstellungen legen Sie in LANconfig unter Management Kosten fest (Sie können nur dann auf diese Einstellungen zugreifen, wenn unter Extras Optionen die 'Vollständige Darstellung der Konfiguration' aktiviert ist). Mit WEBconfig finden Sie den Gebührenschutz-Reset und alle Parameter unter ExpertenKonfiguration Setup Gebühren- Modul. 25 DE LANCOM 821+ ­ LANCOM 1711 VPN ­ LANCOM 1721 VPN Kapitel 2: Installation Online · Das Online-LED zeigt allgemein den Status aller WAN-Schnittstellen an: aus grün grün blitzend invers blitzend dauerhaft an dauerhaft an keine aktive Verbindung Aufbau der ersten Verbindung Aufbau einer weiteren Verbindung mindestens eine Verbindung aufgebaut Fehler beim Aufbau der letzten Verbindung DE grün rot ADSL Status (nur LANCOM 821+ und LANCOM 1721 VPN) » Verbindungszustand am ADSL-Anschluss: aus grün grün rot rot rot/ orange blinkend dauerhaft flackernd dauerhaft an blinkend nicht angeschlossen Initialisierung (Kontaktaufnahme mit Verbindungsstelle) Synchronisation erfolgreich Fehler (CRC-Fehler, Framing-Fehler etc.) Synchronisation fehlgeschlagen Hardware-Fehler WAN Status (nur LANCOM 1711 VPN) » Verbindungszustand am WAN-Anschluss: aus grün grün grün rot blitzend invers blitzend dauerhaft an dauerhaft an keine logische Verbindung Aufbau der ersten Verbindung Aufbau einer weiteren Verbindung mindestens eine logische Verbindung aufgebaut Fehler im Verbindungsaufbau ADSL Data (nur LANCOM 821+ und LANCOM 1721 VPN) ¿ Anzeige von Datenverkehr am ADSL-Anschluss: aus grün grün grün grün blitzend invers blitzend dauerhaft an flackernd keine logische Verbindung Aufbau der ersten Verbindung Aufbau einer weiteren Verbindung mindestens eine logische Verbindung aufgebaut Datenverkehr (Versand oder Empfang) 26 LANCOM 821+ ­ LANCOM 1711 VPN ­ LANCOM 1721 VPN Kapitel 2: Installation WAN Data (nur LANCOM 1711 VPN) ¿ Anzeige von Datenverkehr am WAN-Anschluss: aus grün grün dauerhaft an flackernd keine physikalische Verbindung physikalische Verbindung aufgebaut Datenverkehr (Versand oder Empfang) ISDN Status ´ Verbindungsstatus am ISDN-S0-Anschluss: aus grün grün rot/ orange rot blinkend dauerhaft an blinkend dauerhaft an nicht angeschlossen oder keine S0-Spannung (keine Fehlermeldung) Initialisierung D-Kanal (Kontaktaufnahme mit Verbindungsstelle) D-Kanal betriebsbereit ISDN-Hardware-Fehler D-Kanal-Aktivierung fehlgeschlagen ISDN Data Wenn die ISDN-Status-LED automatisch erlischt, so ist dies kein Zeichen für einen Fehler am S0-Bus. Vielmehr schalten zahlreiche ISDNAnschlüsse und Telefonanlagen den S0-Bus nach einer bestimmten inaktiven Zeit in einen Stromsparmodus. Bei Bedarf wird der S0-Bus automatisch reaktiviert und die ISDN-Status-LED leuchtet grün. ² Separate Statusanzeige für beide ISDN-B-Kanäle: aus grün grün grün grün rot blinkend blitzend dauerhaft an invers flackernd blinkend keine Verbindung aufgebaut Aufbau der ersten Verbindung Aufbau einer weiteren Verbindung Verbindung über B-Kanal aufgebaut Datenverkehr (Versand oder Empfang) Fehler auf dem B-Kanal 27 DE LANCOM 821+ ­ LANCOM 1711 VPN ­ LANCOM 1721 VPN Kapitel 2: Installation ETH 1 bis ETH 4 (LANCOM 821+ und LANCOM 1721 VPN) LAN 1 bis LAN 4 (LANCOM 1711 VPN) Zustand der vier LAN-Anschlüsse im integrierten Switch: aus grün grün rot dauerhaft an flackernd flackernd kein Netzwerkgerät angeschlossen Verbindung zu Netzwerkgerät betriebsbereit, kein Datenverkehr Datenverkehr Kollision von Datenpaketen DE ¶ Security (nur LANCOM 1711 VPN) º Status der Firewall. Zeigt den Zustand der Sicherheitseinstellungen und abgewehrte Angriffe auf das geschützte Netzwerk an. grün rot/grün rot rot dauerhaft an blinkend flackernd blitzend Sicherheitseinstellungen OK. Paketfilter-Regeln sind eingerichtet. Unsichere Konfiguration Sicherheitsalarm: Datenpaket gefiltert durch Firewall-Regeln Mindestens ein Eintrag in der Host-Block-Liste VPN (nur LANCOM 1721 VPN und LANCOM 1711 VPN) ¾ Status einer VPN-Verbindung. Nur bei installierter LANCOM VPN Option aktiv. aus grün grün grün grün blinkend blitzend invers blitzend dauerhaft an kein VPN-Tunnel aufgebaut Verbindungsaufbau Erste Verbindung Weitere Verbindungen VPN-Tunnel ist aufgebaut 2.3.2 LANCOM 821+ und LANCOM 1721 VPN Die Anschlüsse des Geräts Auf der Rückseite befinden sich die Anschlüsse und Schalter des Routers: nicht verfügbar beim LANCOM 821+ DC12V ETH4 ETH3 ETH2 ETH1 USB Config (COM) ISDN S0 ADSL Reset » ³ Netzschalter 28 ¿ ´ ² ¶º LANCOM 821+ ­ LANCOM 1711 VPN ­ LANCOM 1721 VPN Kapitel 2: Installation · Anschluss für das mitgelieferte Netzteil » Switch mit vier 10/100Base-Tx-Anschlüssen Nur LANCOM 1721 VPN ¿ USB-Anschluss ´ Serielle Konfigurationsschnittstelle ² ISDN/S0-Anschluss ¶ ADSL-Anschluss º Reset-Schalter DE LAN2 LAN1 WAN 10/100Mbit/s ISDN S0 Config(COM) Reset LANCOM 1711 VPN AC12V LAN4 LAN3 » ³ Netzschalter ¿ ´ ² · Anschluss für das mitgelieferte Netzteil » Switch mit vier 10/100Base-Tx-Anschlüssen ¿ WAN-Anschluss ´ ISDN/S0-Anschluss ² Serielle Konfigurationsschnittstelle ¶ Reset-Schalter Der Reset-Schalter hat zwei verschiedene Funktionen, die durch unterschiedlich lange Betätigungszeiten des Tasters ausgelöst werden: Neustart des Geräts (weicher Reset) ­ der Schalter wird kürzer als 5 Sekunden gedrückt. Das Gerät startet neu. Zurücksetzen der Konfiguration (harter Reset) ­ der Schalter wird länger als 5 Sekunden gedrückt. Alle LEDs am Gerät leuchten dauerhaft auf. Sobald der Reset-Schalter freigegeben wird startet das Gerät mit Werkseinstellungen neu. 29 LANCOM 821+ ­ LANCOM 1711 VPN ­ LANCOM 1721 VPN Kapitel 2: Installation 2.4 Installation der Hardware Die Installation des LANCOM Router erfolgt in folgenden Schritten: LAN ­ schließen Sie Ihren LANCOM Router zunächst ans LAN oder einen einzelnen PC an. Stecken Sie das mitgelieferte Netzwerkkabel (grüne Stecker) einerseits in einen LAN-Anschluss des Geräts » und andererseits in eine freie Netzwerkanschlussdose Ihres lokalen Netzes, eine freie Buchse eines Switches/Hubs oder den Netzwerkeingang eines einzelnen PC. Die LAN-Anschlüsse erkennen sowohl die Übertragungsrate (10/100 Mbit) als auch den Typ (Node/Hub) angeschlossener Netzwerkgeräte automatisch (Autosensing). Der parallele Anschluss von Geräten unterschiedlicher Geschwindigkeit und Typen ist möglich. DE nur 821/1721 In einem Netzwerksegment sollten sich niemals mehrere unkonfigurierte LANCOM gleichzeitig befinden. Alle unkonfigurierten LANCOM melden sich unter derselben IP-Adresse (mit den Endziffern '254'), es kommt daher zu Adresskonflikten. Zur Vermeidung von Problemen sollten mehrere LANCOM immer nacheinander konfiguriert und jeweils sofort mit einer eindeutigen IP-Adresse (die nicht auf '254' endet) versehen werden. ADSL ­ verbinden Sie die ADSL-Schnittstelle über das mitgelieferte ADSL-Anschlusskabel (transparente Stecker) mit dem Splitter. DSL ­ verbinden Sie die WAN-Schnittstelle ¿ über das mitgelieferte DSLAnschlusskabel (dunkelblaue Stecker) mit dem ADSL-Modem. ISDN ­ für den Anschluss des LANCOM Router an das ISDN stecken Sie das eine Ende des mitgelieferten ISDN-Anschlusskabels (hellblaue Stecker) in die ISDN/S0-Schnittstelle ² (LANCOM 821+ und LANCOM 1721 VPN) bzw. ´ (LANCOM 1711 VPN) des Routers und das andere Ende in einen ISDN/S0-Anlagenanschluss oder -Mehrgeräteanschluss. Konfigurations- Schnittstelle ­ optional können Sie den Router direkt an die serielle Schnittstelle (RS-232, V.24) eines PC anschließen. Verwenden Sie dazu das mitgelieferte Anschlusskabel. Verbinden Sie die Konfigurations-Schnittstelle des LANCOM ´ (LANCOM 821+ und LANCOM 1721 VPN) bzw. ² (LANCOM 1711 VPN) mit einer freien seriellen Schnittstelle des PC. nur 1711 30 LANCOM 821+ ­ LANCOM 1711 VPN ­ LANCOM 1721 VPN Kapitel 2: Installation Schließen Sie optional ein externes Analog- oder GRPS-Modem über das LANCOM Modem Adapter Kit an die serielle Schnittstelle des Geräts an, wenn Sie über einen zusätzlichen WAN-Zugang Aufgaben wie Fernwartung, Backup-Verbindungen oder Dynamic VPN realisieren wollen. DE 31 Mit Spannung versorgen ­ versorgen Sie das Gerät an Buchse das mitgelieferte Netzteil mit Spannung. über Verwenden Sie ausschließlich das mitgelieferte Netzteil! Die Verwendung eines ungeeigneten Netzteils kann zu Personen- oder Sachschäden führen. Betriebsbereit? ­ Nach einem kurzen Selbsttest des Geräts leuchtet die Power-LED permanent. Grün leuchtende LAN-LEDs zeigen an, an welchen LAN-Anschlüssen funktionierende Verbindungen hergestellt sind. Beispielzeichnung für das Modell LANCOM 1711 VPN Modem Adapter Kit mit externem Modem Konfigurations-PC mit serieller Schnittstelle ISDN-(NTBA) LAN Die Modelle LANCOM 821+ und LANCOM 1721 VPN können mit dem integrierten ADSL-Modem direkt an den Splitter angeschlossen werden. ADSL-Modem Splitter TAE-Dose 2.5 Die Geräte mit integriertem ADSL-Modem können im Betrieb recht warm werden. Bei diesen Modellen ist insbesondere der Umgebungstemperaturbereich von max. 35°C zu beachten. Für eine ausreichende Belüftung ist zu sorgen. Geräte nicht stapeln und keiner direkten Sonneneinstrahlung aussetzen! Installation der Software Der folgende Abschnitt beschreibt die Installation der mitgelieferten Systemsoftware LANtools, die unter Windows läuft. LANCOM 821+ ­ LANCOM 1711 VPN ­ LANCOM 1721 VPN Kapitel 2: Installation 2.5.1 DE Sollten Sie Ihren LANCOM Router ausschließlich mit PCs verwenden, die unter anderen Betriebssystemen als Windows laufen, können Sie diesen Abschnitt überspringen. LANCOM-Setup starten Legen Sie die LANCOM-CD in Ihr Laufwerk ein. Daraufhin startet das LANCOM-Setup-Programm automatisch. Sollte das Setup nicht automatisch starten, so rufen Sie die Datei AUTORUN.EXE aus dem Hauptverzeichnis der LANCOM-CD auf. Klicken Sie im Setup auf LANCOM Software installieren. Es erscheint folgendes Auswahlmenü auf dem Bildschirm: 2.5.2 Welche Software installieren? LANconfig ist das Windows-Konfigurationsprogramm für alle LANCOMRouter und LANCOM Router-Access Points. Alternativ (oder ergänzend) kann über einen Web-Browser WEBconfig verwendet werden. Mit LANmonitor überwachen Sie auf einem Windows-Rechner alle LANCOM-Router und LANCOM Router-Access Points. Der LANCOM VPN Client ermöglicht den Aufbau von VPN-Verbindungen von einem entfernten Rechner über das Internet zu einem Router mit LANCOM VPN Option. 32 LANCOM 821+ ­ LANCOM 1711 VPN ­ LANCOM 1721 VPN Kapitel 2: Installation Mit LANCOM Online Dokumentation kopieren Sie die Dokumentationsdateien auf Ihren PC. Wählen Sie die gewünschten Software-Optionen aus und bestätigen Sie mit Weiter. Die Software wird automatisch installiert. DE 33 LANCOM 821+ ­ LANCOM 1711 VPN ­ LANCOM 1721 VPN Kapitel 3: Grundkonfiguration 3 Grundkonfiguration Die Grundkonfiguration erfolgt mit Hilfe eines komfortablen Setup-Assistenten, der Sie Schritt für Schritt durch die Konfiguration führt und dabei die notwendigen Informationen abfragt. Dieses Kapitel zeigt Ihnen zunächst, welche Angaben für die Grundkonfiguration erforderlich sind. Mit Hilfe dieses ersten Abschnitts stellen Sie sich schon vor Aufruf des Assistenten alle notwendigen Daten zusammen. Anschließend erfolgt die Eingabe der Daten im Setup-Assistenten. Aufruf und Ablauf werden Schritt für Schritt beschrieben ­ in jeweils einem eigenen Abschnitt für LANconfig und WEBconfig. Dank der vorherigen Zusammenstellung aller notwendigen Angaben gelingt die Grundkonfiguration jetzt schnell und ohne Mühe. Zum Abschluss dieses Kapitels zeigen wir Ihnen, welche Einstellungen an den Arbeitsplatzrechnern im LAN notwendig sind, damit der Zugriff auf den Router einwandfrei funktioniert. DE 3.1 Welche Angaben sind notwendig? Der Grundkonfigurations-Assistent nimmt die TCP/IP-Grundeinstellung des Routers vor und schützt das Gerät mit einem Konfigurationskennwort. Die folgenden Beschreibungen der vom Assistenten geforderten Angaben gliedert sich in die folgenden Konfigurationsabschnitte: TCP/IP-Einstellungen Schutz der Konfiguration Angaben zum DSL-Anschluss Einstellung des Gebührenschutzes Sicherheitseinstellungen 3.1.1 TCP/IP-Einstellungen Die TCP/IP-Konfiguration kann auf zweierlei Art erfolgen: Entweder vollautomatisch oder manuell. Bei der vollautomatischen TCP/IP-Konfiguration ist keine Benutzereingabe erforderlich. Alle Parameter werden selbstständig vom Setup-Assistenten gesetzt. Bei der manuellen TCP/IP-Konfiguration fragt der Assistent die üblichen TCP/IP-Parameter ab: IP-Adresse, Netzmaske etc. (dazu später mehr). Die vollautomatische TCP/IP-Konfiguration ist nur in bestimmten Netzwerkumgebungen möglich. Deshalb analysiert der Setup-Assistent das ange- 34 LANCOM 821+ ­ LANCOM 1711 VPN ­ LANCOM 1721 VPN Kapitel 3: Grundkonfiguration schlossene LAN daraufhin, ob die vollautomatische Konfiguration möglich ist oder nicht. Neues LAN ­ vollautomatische Konfiguration möglich Sind alle angeschlossenen Netzwerkgeräte noch unkonfiguriert, dann bietet der Setup-Assistent die vollautomatische TCP/IP-Konfiguration an. Dazu kommt es normalerweise in folgenden Situationen: Nur ein Einzelplatz-PC wird an den Router angeschlossen Neuaufbau eines Netzwerks Wenn Sie den LANCOM Router in ein bestehendes TCP/IP-LAN integrieren, wird die vollautomatische TCP/IP-Konfiguration nicht angeboten. In diesem Fall können Sie mit dem Abschnitt 'Notwendige Angaben für die manuelle TCP/IP-Konfiguration' fortfahren. Das Ergebnis der vollautomatischen TCP/IP-Konfiguration: Der Router erhält die IP-Adresse '172.23.56.1' (Netzmaske '255.255.255.0'). Außerdem wird der integrierte DHCP-Server aktiviert, so dass der LANCOM Router den Geräten im LAN automatisch IP-Adressen zuweist. Trotzdem manuell konfigurieren? Die vollautomatische TCP/IP-Konfiguration ist optional. Sie können stattdessen auch die manuelle Konfiguration wählen. Treffen Sie diese Wahl nach folgenden Überlegungen: Wählen Sie die automatische Konfiguration wenn Sie mit Netzwerken und IP-Adressen nicht vertraut sind. Wählen Sie die manuelle TCP/IP-Konfiguration, wenn Sie mit Netzwerken und IP-Adressen vertraut sind und eine der folgenden Annahmen zutrifft: Sie haben bisher in Ihrem Netzwerk noch keine IP-Adressen verwendet, möchten das ab jetzt aber gerne tun. Sie möchten die IP-Adresse für den Router selbst festlegen und geben ihm eine beliebige Adresse aus einem der für private Zwecke reservierten Adressbereiche, z.B. '10.0.0.1' mit der Netzmaske '255.255.255.0'. Damit legen Sie auch gleichzeitig den Adressbereich fest, den der DHCP-Server anschließend für die anderen Geräte im Netz verwendet (sofern der DHCPServer aktiviert wird). Sie haben auch bisher schon IP-Adressen auf den Rechnern im LAN verwendet. 35 DE LANCOM 821+ ­ LANCOM 1711 VPN ­ LANCOM 1721 VPN Kapitel 3: Grundkonfiguration Notwendige Angaben für die manuelle TCP/IP- Konfiguration Bei der manuellen TCP/IP-Konfiguration fragt Sie der Setup-Assistent nach folgenden Daten: IP- Adresse und Netzwerkmaske für den LANCOM Router Teilen Sie dem LANCOM Router eine freie IP-Adresse aus dem Adressbereich Ihres LAN zu, und geben Sie die Netzwerkmaske an. DHCP- Server einschalten? Wenn Sie die IP-Adressen in Ihrem LAN über einen anderen DHCP-Server zuweisen, so schalten Sie die DHCP-Server-Funktion im LANCOM Router aus. DE 3.1.2 Konfigurationsschutz Mit dem Kennwort schützen Sie den Konfigurationszugang zum LANCOM Router und verhindern so, dass Unbefugte diese modifizieren. Die Konfiguration des Routers enthält zahlreiche sensible Daten, wie beispielsweise die Daten für den Internet-Zugang, und sollte auf jeden Fall durch ein Kennwort geschützt sein. 3.1.3 In der Konfiguration des LANCOM können mehrere Administratoren angelegt werden, die über unterschiedliche Zugriffsrechte verfügen. Für ein LANCOM können bis zu 16 verschiedene Administratoren eingerichtet werden. Weitere Informationen finden Sie im LCOS-Referenzhandbuch unter ,,Rechteverwaltung für verschiedene Administratoren". Einstellungen für den DSL-Anschluss Für den DSL-Anschluss kann die Angabe des verwendeten Übertragungsprotokolls erforderlich sein. Der Assistent nimmt die korrekte Einstellung für die wichtigsten DSL-Anbieter selbstständig vor. Nur wenn der Assistent Ihren Anbieter nicht aufführt, müssen Sie das von Ihrem DSL-Anbieter verwendete Übertragungsprotokoll angeben. Der Assistent bietet Ihnen auch ein Universalprotokoll 'Multimode' an, das mit allen gängigen DSL-Anschlüssen funktioniert. 3.1.4 Einstellungen für den ISDN-Anschluss Wenn Sie den ISDN-Anschluss verwenden möchten, können Sie folgende Einstellungen vornehmen: 36 LANCOM 821+ ­ LANCOM 1711 VPN ­ LANCOM 1721 VPN Kapitel 3: Grundkonfiguration Eine oder mehrere ISDN-MSNs, an der der Router Anrufe entgegennehmen soll. MSNs sind ISDN-Rufnummern, die Ihnen vom Telefonanbieter zugewiesen werden. Sie werden normalerweise ohne Vorwahl angegeben. Die angegebenen Nummern haben nur für Router-Funktionen (LANLAN-Kopplung, RAS) Bedeutung, nicht jedoch für die Fernkonfiguration und LANCOM VPN Option. Eine Amtsvorwahl für den Zugang zum öffentlichen Netz. Sie ist normalerweise nur beim Anschluss an einer ISDN-Telefonanlage erforderlich. Üblich ist die '0'. Diese Amtsvorwahl wird für alle ausgehenden Rufe verwendet. Schließlich sollten Sie wissen, ob die Telefongesellschaft den ISDNGebührenimpuls übermittelt. Dieser kann vom LANCOM Router für Gebührenbudgets und die Accounting-Funktion ausgewertet werden. 3.1.5 Gebührenschutz Der Gebührenschutz verhindert den Verbindungsaufbau von DSL-Verbindungen über ein vorher eingestelltes Maß hinaus und schützt Sie so vor unerwartet hohen Verbindungskosten. Wenn Sie den LANCOM Router an einem DSL-Anschluss betreiben, der zeitbasiert abgerechnet wird, können Sie die maximale Verbindungszeit in Minuten festsetzen. Das Budget kann durch Eingabe des Wertes '0' komplett deaktiviert werden. 3.2 In der Grundeinstellung ist der Gebührenschutz auf maximal 600 Minuten innerhalb von sieben Tagen eingestellt. Passen Sie diese Einstellung an Ihre persönlichen Bedürfnisse an oder deaktivieren Sie den Gebührenschutz, wenn Sie mit Ihrem Provider einen Pauschal-Tarif (Flatrate) vereinbart haben. Anleitung für LANconfig Starten Sie LANconfig mit Start LANconfig. Programme LANCOM LANconfig erkennt den neuen LANCOM Router im TCP/IP-Netz selbstständig. Daraufhin startet der Setup-Assistent, der Ihnen bei der Grundeinstellung des Geräts behilflich ist oder Ihnen (die passende Netzwerkumgebung vorausgesetzt) sogar die gesamte Arbeit abnimmt. 37 DE LANCOM 821+ ­ LANCOM 1711 VPN ­ LANCOM 1721 VPN Kapitel 3: Grundkonfiguration DE Sollte der Setup-Assistent nicht automatisch starten, so suchen Sie manuell nach neuen Geräten an allen Schnittstellen (falls der LANCOM Router über die serielle Konfigurationsschnittstelle angeschlossen ist) oder im Netzwerk (Gerät Suchen). Sollte der Zugriff auf einen unkonfigurierten LANCOM Router scheitern, so kann dieser Fehler auf die Netzmaske des LAN zurückzuführen sein: Bei weniger als 254 möglichen Hosts (Netzmaske > '255.255.255.0') muss sichergestellt sein, dass die IP-Adresse 'x.x.x.254' im eigenen Subnet vorhanden ist. Wenn Sie die automatische TCP/IP-Konfiguration wählen, fahren Sie mit Schritt fort. Wenn Sie die TCP/IP-Einstellungen selber vornehmen wollen, dann geben Sie dem LANCOM Router eine verfügbare Adresse aus einem geeigneten IP-Adressbereich. Bestätigen Sie mit Weiter. Geben Sie an, ob der Router als DHCP-Server arbeiten soll oder nicht. Wählen Sie aus, und bestätigen Sie mit Weiter. Im folgenden Fenster legen Sie zunächst das Kennwort für den Konfigurationszugriff fest. Achten Sie bei der Eingabe auf Groß- und Kleinschreibung, sowie auf eine ausreichende Länge (mindestens 6 Zeichen). Ferner legen Sie fest, ob das Gerät nur aus dem lokalen Netzwerk heraus konfiguriert werden darf, oder ob auch die Fernkonfiguration über das WAN (also aus einem entfernten Netzwerk) erlaubt ist. 38 Bitte beachten Sie, dass mit dieser Freigabe auch die Fernkonfiguration über das Internet ermöglicht wird. Sie sollten in jedem Fall darauf achten, dass der Konfigurationszugriff durch ein Kennwort abgesichert ist. LANCOM 821+ ­ LANCOM 1711 VPN ­ LANCOM 1721 VPN Kapitel 3: Grundkonfiguration Wählen Sie im nächsten Fenster Ihren Internet-Provider aus der angebotenen Liste aus. Bei Auswahl von 'Mein Anbieter ist hier nicht aufgeführt' müssen Sie das von Ihrem Internet-Provider verwendete Übertragungsprotokoll manuell angeben. Bestätigen Sie mit Weiter. Der Gebührenschutz beschränkt auf Wunsch die Kosten von WAN-Verbindungen auf ein festgesetztes Maß. Bestätigen Sie Ihre Angaben mit Weiter. Schließen Sie die Konfiguration mit Fertig stellen ab. DE 3.3 Im Abschnitt 'TCP/IP-Einstellungen an den Arbeitsplatz-PCs' erfahren Sie, welche Einstellungen an den Arbeitsplatzrechnern im LAN notwendig sind. Anleitung für WEBconfig Für die Konfiguration mit WEBconfig müssen Sie wissen, wie sich der Router im LAN ansprechen lässt. Das Verhalten der Geräte sowie ihre Erreichbarkeit zur Konfiguration über einen Webbrowser hängen davon ab, ob im LAN schon DHCP-Server und DNS-Server aktiv sind, und ob diese beiden Serverprozesse die Zuordnung von IP-Adressen zu symbolischen Namen im LAN untereinander austauschen. Nach dem Einschalten prüfen unkonfigurierte LANCOM-Geräte zunächst, ob im LAN schon ein DHCP-Server aktiv ist. Je nach Situation kann das Gerät dann den eigenen DHCP-Server einschalten oder alternativ den DHCP-ClientModus aktivieren. In dieser zweiten Betriebsart kann das Gerät selbst eine IPAdresse von einem im LAN schon vorhandenen DHCP-Server beziehen. Netz ohne DHCP- Server In einem Netz ohne DHCP-Server schalten unkonfigurierte LANCOM-Geräte nach dem Starten den eigenen DHCP-Serverdienst ein und weisen den anderen Rechner im LAN die IP-Adressen sowie Informationen über Gateways etc. zu, sofern diese auf den automatischen Bezug der IP-Adressen eingestellt sind (Auto-DHCP). In dieser Konstellation kann das Gerät von jedem Rechner mit 39 LANCOM 821+ ­ LANCOM 1711 VPN ­ LANCOM 1721 VPN Kapitel 3: Grundkonfiguration aktivierter Auto-DHCP-Funktion mit einem Webbrowser unter dem Namen LANCOM oder unter der IP-Adresse 172.23.56.254 erreicht werden.