Download - ISDN DSL Firewall VPN - AVM Deutschland · 2 AVM Access Server AVM Access Server Diese Dokumentation und die zugehörigen Programme sind urheberrechtlich geschützt. Dokumentation

AVM Access ServerSicherer Zugang für Ihr Netz

■ Internet Access ■ Remote Access ■ Network Access

■ I SDN

■ DSL

■ Firewall

■ VPN

S E R V E R

Dieses Handbuch ist auf chlorfrei gebleichtem Papier gedruckt und daher voll recycelbar. S10

/02-

L10/

02-1

0.00

0-R

&P

10/0

2

S E R V E R

Beispiel-Szenario

Technische Gegebenheiten

•

•

im Hauptsitz Berlin und in der Niederlassung in Stuttgart

– T-DSL-Anschluss mit T-Online Flatrate

– T-Online als Internetanbieter

– betriebsbereiter Computer mit den im Kapitel „Systemvoraussetzungen“ auf Seite 14 ge-nannten Voraussetzungen; eine FRITZ!Card DSL ist installiert

bei Erika Musterfrau am Heimarbeitsplatz in Hamburg

– ISDN-Anschluss


– betriebsbereiter Computer

Grafik

Die Firma ABC hat ihren Hauptsitz in Berlin und eine Niederlassung in Stuttgart. Im Hauptsitz in Berlin ist die Mitarbeiterin Erika Musterfrau beschäftigt. Da Frau Musterfrau in Hamburg wohnt, arbeitet sie zu Hause. Sie soll nun einen VPN-Zugang zum Firmennetz erhalten und darüber auch auf den E-Mail-Server zugreifen können. Die beiden lokalen Netzwerke in Berlin und in Stuttgart sollen ebenfalls über VPN gekoppelt werden.

Auf der Rückseite dieser Klappkarte ist das Beispiel-Szenario grafisch dargestellt. Neben den Beispiel-IP-Adressen können Sie in den freien Feldern die IP-Adressen eintragen, die in Ihrem Netzwerk vorkommen. Auf diese Weise wird es einfacher, die im Handbuch beschriebenen Beispiele mit den bei Ihnen gültigen Adressen einzurichten.

Sie können die Klappkarte auch dazu benutzen, Ihre aktuelle Konfiguration zu dokumentieren.

Internet

Niederlassung Berlin

Heimarbeitsplatz von Erika Musterfrau

AVMAccess Server

Dynamische IP-Adresse(von T-Online zugewiesen)

VirtuellesPrivates Netz(VPN)

Niederlassung StuttgartBeispiel: 192.168.20.0/24

Ihr eigenes Netz:

Beispiel: IP-Adresse aus Bereich 192.168.110.0/24

Ihr eigener Bereich:

Beispiel: 192.168.10.0/24

Ihr Firmennetzwerk:

Beispiel: 192.168.10.1

AVMAccess ServerBeispiel: 192.168.20.1

2 AVM Access Server

AVM Access ServerDiese Dokumentation und die zugehörigen Programme sind urheberrechtlich geschützt.Dokumentation und Programme sind in der vorliegenden Form Gegenstand eines Lizenz-vertrages und dürfen ausschließlich gemäß den Vertragsbedingungen verwendet wer-den. Der Lizenznehmer trägt allein das Risiko für Gefahren und Qualitätseinbußen, diesich bei Einsatz des Produktes eventuell ergeben.

Diese Dokumentation und die zugehörigen Programme dürfen weder ganz noch teilweisein irgendeiner Form oder mit irgendwelchen Mitteln übertragen, reproduziert oder verän-dert werden, noch dürfen sie in eine andere natürliche oder Maschinensprache übersetztwerden. Hiervon ausgenommen ist die Erstellung einer Sicherungskopie für den persön-lichen Gebrauch. Eine Weitergabe der Ihnen hiermit überlassenen Informationen an Drit-te ist nur mit schriftlicher Zustimmung der AVM Berlin erlaubt.

Alle Programme und die Dokumentation wurden mit größter Sorgfalt erstellt und nachdem Stand der Technik auf Korrektheit überprüft. Für die Qualität, Leistungsfähigkeit so-wie Marktgängigkeit des Produkts zu einem bestimmten Zweck, der von dem durch dieProduktbeschreibung abgedeckten Leistungsumfang abweicht, übernimmt AVM Berlinweder ausdrücklich noch implizit die Gewähr oder Verantwortung.

Für Schäden, die sich direkt oder indirekt aus dem Gebrauch der Dokumentation oderder übrigen Programme ergeben, sowie für beiläufige Schäden oder Folgeschäden istAVM nur im Falle des Vorsatzes oder der groben Fahrlässigkeit verantwortlich zu machen.Für den Verlust oder die Beschädigung von Hardware oder Software oder Daten infolgedirekter oder indirekter Fehler oder Zerstörungen, sowie für Kosten, einschließlich derKosten für ISDN-, GSM- und ADSL-Verbindungen, die im Zusammenhang mit den geliefer-ten Programmen und der Dokumentation stehen und auf fehlerhafte Installationen, dievon AVM nicht vorgenommen wurden, zurückzuführen sind, sind alle Haftungsansprücheausdrücklich ausgeschlossen.

Die in dieser Dokumentation enthaltenen Informationen und die zugehörigen Program-me können ohne besondere Ankündigung zum Zwecke des technischen Fortschritts ge-ändert werden.

Wir bieten Ihnen als Hersteller dieses Originalprodukts eine Herstellergarantie. Die Ga-rantiebedingungen finden Sie auf der beiliegenden Produkt-CD in der DateiGARANTIE.PDF im Ordner SOFTWARE/INFO/DEUTSCH.

Der Product Identification Code ist Bestandteil der Lizenzvereinbarung.

© AVM GmbH 2006. Alle Rechte vorbehalten.Stand der Dokumentation 01/2006

AVM im Internet: www.avm.de

Marken: Soweit nicht anders angegeben, sind alle genannten Markenzeichen gesetzlich ge-schützte Marken der AVM GmbH. Dies gilt insbesondere für Produktnamen und Logos. Microsoft,Windows und das Windows Logo sind Marken der Microsoft Corporation in den USA und/oder an-deren Ländern. Bluetooth ist eine Marke der Bluetooth SIG, Inc. und lizenziert an die AVM GmbH.Alle anderen Produkt- und Firmennamen sind Marken der jeweiligen Inhaber.

AVM Audiovisuelles Marketingund Computersysteme GmbHAlt-Moabit 95

AVM ComputersystemeVertriebs GmbHAlt-Moabit 95

10559 Berlin 10559 Berlin

http://www.avm.de

Inhaltsverzeichnis

1 Willkommen beim AVM Access Server 61.1 Das bietet Ihnen der AVM Access Server . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 61.2 Merkmale des AVM Access Servers . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 81.3 Lieferumfang . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 141.4 Systemvoraussetzungen. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 14

2 Installation und Inbetriebnahme 152.1 Installation und Inbetriebnahme: ein Beispiel-Szenario . . . . . . . . . . . . . . . . 152.2 Deinstallation . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 29

3 Die Benutzeroberfläche des AVM Access Servers 303.1 Die Menüs des AVM Access Servers . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 313.2 Die Symbolleiste . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 333.3 Die Konfigurationsansicht . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 343.4 Die Monitoring-Ansicht . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 363.5 Verbindungssteuerung und Monitor-Funktionen . . . . . . . . . . . . . . . . . . . . . . 36

4 Szenarios für den Einsatz des AVM Access Servers 454.1 LAN-LAN-Kopplung mit AVM ISDN-Controller C4 und acht B-Kanälen . . . . . . 454.2 AVM Access Server und KEN! . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 514.3 AVM Access Server und Router. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 59

5 Konzepte und Funktionsweisen des AVM Access Servers 685.1 Filter . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 685.2 IP-Masquerading und Weiterleitungsprofile . . . . . . . . . . . . . . . . . . . . . . . . . . 845.3 Statisches und dynamisches Routing . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 875.4 Reservierung von B-Kanälen. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 885.5 Zugriff zeitlich mit Zeitprofilen beschränken. . . . . . . . . . . . . . . . . . . . . . . . . . 895.6 Kostenübernahme (COSO) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 895.7 Virtual Private Network (VPN) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 905.8 Dynamic DNS. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1055.9 Namensauflösung und Windows Datei- und Druckerfreigabe . . . . . . . . . . . 106

AVM Access Server – Inhaltsverzeichnis 3

6 AVM Access Server für Experten 1116.1 Architektur des AVM Access Servers. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1116.2 Internetzugang mit dem AVM Access Server . . . . . . . . . . . . . . . . . . . . . . . . . 1136.3 Verbindung zu entfernten Benutzern . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1166.4 Anbindung entfernter Netzwerke . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1196.5 Windows-Namensauflösung, Datei- und Druckerfreigabe . . . . . . . . . . . . . . 1196.6 Filter- und Masqueradingprofile . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1206.7 VPN und das Protokoll IPSec. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1206.8 Interoperabilität über ISDN . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 124

7 Wegweiser Kundenservice 1267.1 Produktdokumentationen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1267.2 Informationen im Internet . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1267.3 Updates . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1277.4 Unterstützung durch das Service-Team . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1277.5 Weiterführende Literatur . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 130

Glossar 131

Index 153

4 AVM Access Server – Inhaltsverzeichnis

AVM Access Server – Konventionen im Handbuch 5

Konventionen im HandbuchUm den Inhalt dieses Handbuchs übersichtlich zu gestalten und wichti-ge Informationen hervorzuheben, wurden folgende typografische Her-vorhebungen und Symbole verwendet:

HervorhebungenNachfolgend finden Sie einen kurzen Überblick über die in diesemHandbuch verwendeten Hervorhebungen.

SymboleIm Handbuch werden die folgenden grafischen Symbole verwendet,die immer in Verbindung mit grau und kursiv gedrucktem Text erschei-nen:

Dieses Zeichen weist Sie auf nützliche Hinweise und zusätzliche Infor-mationen hin.

Das Ausrufezeichen kennzeichnet Abschnitte, die wichtige Informatio-nen enthalten.

Hervorhebung Funktion Beispiel

Anführungszeichen Tasten, Schaltflächen, Pro-grammsymbole, Registerkarten, Menüs, Befehle

„Start / Programme“„Eingabe“

Großbuchstaben Pfadangaben und Dateinamen im Fließtext

DOKU\ACCSERV.PDF oder CAPIPORT.HLP

spitze Klammern Variablen <CD-ROM-Laufwerk>

Schreibmaschinen-schrift

Eingaben, die Sie über die Tastatur vornehmen

a:\setup

grau und kursiv Informationen, Hinweise und Warnungen; immer in Verbin-dung mit den zugehörigen Sym-bolen

... Es kann jeweilsnur ein Controllerentfernt werden ...

Willkommen beim AVM Access Server

1 Willkommen beim AVM Access Server

Der AVM Access Server bietet die nahtlose Einbindung von räumlichentfernten Benutzern und Netzwerken in die Kommunikationsprozessedes Unternehmens. Damit können Heimarbeiter, mobile Außendienst-mitarbeiter, Niederlassungen und Filialen die Anwendungen des loka-len Netzwerks auch aus der Ferne benutzen. Die Verbindung kann da-bei über eine direkte ISDN- und GSM-Einwahl oder über das Internetmit Hilfe eines virtuellen privaten Netzwerks (VPN) erfolgen.

Als professioneller Router realisiert der AVM Access Server außerdemdie DSL- und ISDN-Anbindung des lokalen Netzwerks an das Internet.Die Konzeption des AVM Access Servers als Software-Router garantiertdie optimale Skalierbarkeit durch zwei Produktvarianten, die Unter-stützung von bis zu vier aktiven AVM ISDN-Controllern und beliebig vie-le Netzwerk-Interfaces. Zukünftige Technologien können durch die ein-fache Update-Möglichkeit übernommen werden.

1.1 Das bietet Ihnen der AVM Access ServerIn der modernen Unternehmenskommunikation spielt die Vernetzungvon räumlich getrennten lokalen Netzwerken zu einem firmenweitenNetz (WAN=Wide Area Network) sowie der Zugang zum Internet eineimmer größere Rolle. Auch die Anbindung von Außendienstmitarbei-tern, Telearbeitern, Servicetechnikern oder Firmenniederlassungen oh-ne eigenes Netzwerk gewinnt für viele Unternehmen zunehmend anBedeutung. Der AVM Access Server bietet Ihnen dafür eine leistungs-starke Lösung.

Mit dem AVM Access Server können Sie Netzwerke über ISDN oder VPNkoppeln, Windows XP-, 2000- und NT-Netze über ISDN mit anderenNetzen über TCP/IP koppeln, den Zugang zum Internet über ISDN undDSL sowie die Anbindung entfernter Computer und mobiler Laptopsüber ISDN oder GSM an Ihr Unternehmensnetz ermöglichen.

6 AVM Access Server – 1 Willkommen beim AVM Access Server

Das bietet Ihnen der AVM Access Server

Die folgende Abbildung veranschaulicht die Einsatzmöglichkeiten desAVM Access Servers.

Einsatzmöglichkeiten des AVM Access Servers

Der AVM Access Server verbindet räumlich getrennte Netzwerke mitein-ander. LAN-Ressourcen der Zentrale, beispielsweise Server, Mainfra-mes oder Datenbanken, stehen somit auch in den Niederlassungenund kleinen Außenstellen zur Verfügung. Dabei ist es von Vorteil, dassder AVM Access Server automatisch die notwendigen Routing-Aktivitä-ten wie die Verbindungsteuerung übernimmt und für die Benutzer inder Niederlassung keinerlei Zusatzaufgaben entstehen.

Umgekehrt ist es auch möglich, von der Zentrale aus auf die lokalenNetzwerke der Standorte zuzugreifen, etwa zur Netzwerk-Administrati-on oder um Datenbestände dort zu aktualisieren.

Der AVM Access Server ermöglicht die Anbindung entfernter Computerund mobiler Laptops über ISDN oder GSM an Ihr Unternehmensnetz.Die entfernten Benutzer können auf diese Weise LAN-Funktionen undDaten so nutzen, als würden sie direkt im Netz arbeiten. Zu den mögli-chen Anwendungen gehören zum Beispiel Client/Server-Anwendun-gen, Datenbankprogramme oder E-Mail.

Zusätzlich unterstützt der AVM Access Server in vielfältiger Weise denZugriff auf das Internet. Über eine oder mehrere ISDN-Wähl- oder -Fest-verbindungen oder über DSL gestattet der AVM Access Server allen Be-nutzern im LAN und WAN den Zugriff auf Internet-Ressourcen wie

AVM Access Server – 1 Willkommen beim AVM Access Server 7

Merkmale des AVM Access Servers

E-Mail, World Wide Web, News und mehr. Der AVM Access Server unter-stützt auch die Kombination mit E-Mail-, Proxy- oder Web-Servern, wiezum Beispiel AVM KEN! und AVM KEN!DSL.

Der AVM Access Server arbeitet nach dem offenen Standard PPP overISDN (Point-to-Point Protocol) für die Verbindung von lokalen Netzwer-ken über ISDN. Daher kann der AVM Access Server Verbindungen mitallen ISDN-Routern aufnehmen, die diesen Standard ebenfalls unter-stützen. Für das DSL-Internet-Routing wird PPPoE (PPP over Ethernet),beim Einsatz einer FRITZ!Card DSL auch PPPoA (PPP over ATM) unter-stützt. Für VPN-Verbindungen wird das Protokoll IPSec verwendet.

1.2 Merkmale des AVM Access ServersIm Folgenden erhalten Sie einen kurzen Überblick über die Leistungs-merkmale des AVM Access Servers.

Optimale Nutzung von DSLDSL (Digital Subscriber Line) ist eine Technologie, die den Internetzu-gang mit einer hohen Bandbreite über die normale Telefonleitung er-möglicht. ISDN und DSL nutzen unterschiedliche Frequenzbereiche,wodurch der ungestörte Parallelbetrieb gewährleistet ist.

Für die DSL-Kommunikation unterstützt der AVM Access Server das Pro-tokoll PPPoE (PPP over Ethernet), das Daten über eine Netzwerkkartean den DSL-Anschluss sendet und auch von dort empfängt. In Verbin-dung mit der FRITZ!Card DSL wird zusätzlich das Protokoll PPPoA (PPPover ATM) unterstützt.

Die Verbindung von DSL-Anschluss und AVM Access Server-Computererfolgt über ein 10Base-T-Kabel und eine FRITZ!Card DSL oder ein exter-nes DSL-Modem über Ethernet. Der DSL-Zugang zum Internet steht so-mit dem gesamten LAN zur Verfügung.

Optimale Nutzung des ISDNDas digitale Kommunikationsnetz ISDN bietet eine Reihe von Merkma-len, die für die Verbindung von Netzwerken und die Internetanbindungvon enormem Vorteil sind. Der AVM Access Server nutzt diese Merkma-le optimal aus.

So ermöglicht der schnelle Verbindungsaufbau im ISDN von wenigerals einer Sekunde das dynamische und kostensparende Auf- und Ab-bauen von ISDN-Verbindungen im Hintergrund.


Virtual Private Network (VPN)

Das ISDN-Leistungsmerkmal CLIP (Calling Line Identification Presenta-tion), die Übermittlung der ISDN-Nummer des Anrufers über den D-Ka-nal, wird vom AVM Access Server zur Überprüfung der Identität der Ge-genstelle benutzt.

Zur Steigerung der Übertragungsgeschwindigkeit können die ISDN-B-Kanäle gebündelt werden – auch über mehrere ISDN-Controller hin-weg. Durch die Unterstützung von einem bis vier AVM ISDN-ControllernB1 oder eines ISDN-Controllers C4 am Basisanschluss (BRI = Basic RateInterface) lässt sich der AVM Access Server in der Basis-Variante bis aufzehn Kanäle ausbauen. In der Ausführung für den Primärmultiplexan-schluss (PRI = Primary Rate Interface) sind bis zu 120 B-Kanäle nutzbar.

Der AVM Access Server steuert und nutzt die ISDN-Verbindung über ak-tive AVM ISDN-Controller und kann somit sowohl direkt am öffentlichenISDN-Netz (Mehrgeräte- oder Anlagenanschluss) als auch an einer Ne-benstellenanlage betrieben werden.

Die AVM ISDN-Controller B1, C2, C4, T1 und T1-B bieten die Unterstüt-zung von GSM nach dem Mobile-ISDN-Standard (GSM 07.08). Damit isteine zuverlässige und nahtlose ISDN-Anbindung von Netzwerken auchüber GSM oder HSCSD (High-Speed Curcuit-Switched Data) möglich.

Virtual Private Network (VPN)Mit dem AVM Access Server können Sie sowohl entfernte Benutzer alsauch entfernte Netzwerke über ein VPN (Virtual Private Network) an daslokale Netzwerk koppeln. VPN-Verbindungen, die mit dem AVM AccessServer hergestellt werden, setzen auf eine bestehende Internetverbin-dung auf, indem sie die Infrastruktur des Internetanbieters nutzen. Fürden Aufbau der VPN-Verbindung und somit für die Kopplung der ent-fernten Systeme ist jedoch der AVM Access Server zuständig. Bei einerVPN-Verbindung enstehen für jeden Verbindungspartner lediglich dieKosten für die Verbindung zum Internetanbieter. Auf diese Weise könn-nen mit VPN-Verbindungen entfernte Systeme äußerst kostengünstigmiteinander verbunden werden.


Optimale Übertragungsleistung

Optimale ÜbertragungsleistungZur optimalen Nutzung der ISDN-Bandbreite sowie zur Steigerung derÜbertragungsleistung bietet der AVM Access Server die folgendenFunktionen:

! Datenkompression nach CAPI-Standard Stac LZS, MPPC undIP-Comp

! Header-Kompression für IP nach Van Jacobson TCP/IP HeaderCompression

! Kanalbündelung nach CAPI-Standard sowie statisch und dyna-misch über PPP Multilink

Reduzierung und Begrenzung der VerbindungsgebührenDurch sein intelligentes Verbindungsmanagement sorgt der AVMAccess Server dafür, dass die Kosten für die ISDN-Anbindung entfern-ter Netzwerke auf ein Minimum beschränkt werden. Folgende Leis-tungsmerkmale gewährleisten dies:

! Der AVM Access Server unterscheidet zwischen logischen undphysikalischen ISDN-Verbindungen. Eine logische ISDN-Verbin-dung entsteht mit dem ersten physikalischen Verbindungsaufbauüber ISDN, bei dem auch die Verbindungsparameter augehandeltwerden. Dazu gehören z.B. die verwendeten Netzwerkprotokolle,die Durchführung einer Echtheitsbestätigung, Spoofing-Mecha-nismen und Kanalbündelung.

Bei der physikalischen ISDN-Verbindung ist mindestens ein B-Ka-nal aufgebaut, und es entstehen Verbindungsgebühren. Wennkeine Daten auf der ISDN-Leitung übertragen werden, kann derAVM Access Server die physikalische Verbindung selbsttätig ab-bauen, um die Verbindungskosten zu senken. Je nach Konfigurati-on des entsprechenden Ziels im AVM Access Server kann dabeidie logische Verbindung erhalten bleiben, so dass die entfernteSeite weiterhin im Netz angemeldet ist und Ressourcen für sie re-serviert sind. Sobald erneut Daten übertragen werden sollen,baut der AVM Access Server oder die Gegenseite die physikali-sche Verbindung wieder auf.

! Praxiserprobte Filter- und Spoofing-Mechanismen fangen be-stimmte Protokollpakete ab und verhindern deren unnötige Über-tragung über ISDN. Auf diese Weise wird die physikalische Verbin-dungsdauer verkürzt. Der AVM Access Server sorgt so dafür, dass


Sicherheitsfunktionen

die ISDN-Leitung fast ausschließlich für Nutzdaten aufgebaut undder Hintergrunddatenverkehr im LAN weitgehend vom ISDN fern-gehalten wird.

! Einstellbare Schwellenwerte (pro Tag, Woche und Monat) für maxi-males Budget, maximale physikalische Verbindungsdauer undmaximale Anzahl ausgehender Rufe ermöglichen die Kontrolle derVerbindungsgebühren.

! Definierbare Budgets für jedes Ziel

! Kostenzuweisung (COSO=Charge One Site Only), beispielsweisedie Übernahme der gesamten Kosten für die Netzwerkanbindungdurch die Firmenzentrale

SicherheitsfunktionenDer AVM Access Server bietet Sicherheitsfunktionen auf zwei verschie-denen Ebenen an. Durch einen ausgefeilten Zugriffsschutz sorgt derAVM Access Server dafür, dass nur berechtigte Gegenstellen über ISDNauf das LAN zugreifen können. Durch den Datenschutz wird sicherge-stellt, dass während der Übertragung kein unberechtigter Zugriff aufdie Daten stattfindet.

Zugriffsschutz

Folgende Funktionen stehen zur Verfügung:

! Überprüfung der D-Kanal-Rufnummer der anrufenden Seite

! Echtheitsbestätigung mit den PPP-Protokollen PAP oder CHAP

Der AVM Access Server unterstützt die Echtheitsbestätigung so-wohl durch die lokale Seite als auch durch die Gegenstelle. Dabeikönnen unterschiedliche Kennwörter verwendet werden.

! Sicherheitsrückruf bei einkommenden Rufen

! Firewall-Funktionalität durch voreingestellte und konfigurierbareIP-Filterprofile

! IP-Masquerading/Network Address Translation (NAT)

Die Sicherheitsüberprüfungen, die bei einem eingehenden Anruf einesentfernten Benutzers greifen können, werden durch die folgende Abbil-dung veranschaulicht:


Einfache Installation und Bedienung

Sicherheitsüberprüfungen bei der Verbindungsanforderung eines entfernten Benutzers

Datenschutz

Der AVM Access Server bietet die Möglichkeit der Datenverschlüsse-lung, um Datenpakete während der Übertragung vor unberechtigtemZugriff zu schützen. Mit dem IPSec-Protokoll werden VPN-Verbindun-gen verschlüsselt. Auch bei ISDN-Direktverbindungen können die Da-ten mit IPSec verschlüsselt übertragen werden.

Einfache Installation und BedienungDie Installation des AVM Access Servers ist einfach und menügeführt.

Die Konfiguration und Verwaltung des AVM Access Servers erfolgt übereine Windows-gestützte Benutzeroberfläche.

Die Konfiguration und Verwaltung über HTTP mit Hilfe eines Standard-Web-Browsers ist ebenfalls möglich.

Statistik- und ProtokollfunktionenUmfassende Statistik- und Protokollfunktionen erlauben eine exakteAuswertung aller Aktionen auf dem Router:

Entfernte SeiteISDN

D-Kanal

(AVM Access Server)

B-Kanal

Name/Passwort

Ggf. Weiterleitung der Anmeldeinformationenan RADIUS-Server

D- u. B-Kanal

B-Kanal

B-Kanal

Vorgang

Überprüfung der D-Kanal-Rufnummer

Nach RufannahmeEchtheitsbestätigungmit PAP oder CHAP

Ggf. Verbindungs-abbau und Sicher-heitsrückruf durch AVM Access Server

Weitere PPP-Aus-handlungen, z.B. IP-Adresse, Spoofing,Kanalbündelung.

Übertragung vonNutzdaten, z.B. E-Mail, Datenbank-informationen.Ggf. Verschlüsselung und Paketfilterung.Dynamischer Auf-und Abbau der ISDN-Verbindung

(z.B. AVM Access Serveroder NetWAYS/ISDN)

Lokale Seite


Verbindungssteuerung

! Statusinformationen über

– den AVM Access Server und die ISDN- und DSL-Controller

– die verfügbaren IP-Routen und die ARP-Tabelle (Address Reso-lution Protocol)

– die physikalisch aktiven ISDN-Verbindungen

! Übersicht über die Kosten- und Nutzungsdaten für Verbindungeninnerhalb eines ausgewählten Zeitraums

! Ereignismitschnitt als Tagesübersicht oder ausgewählt nach be-stimmten Kriterien wie zum Beispiel dem Meldungstyp „Informati-on“

! Paketmitschnitt mit PPP-Dekodierung

VerbindungssteuerungISDN-Verbindungen werden in der Regel automatisch aufgebaut, wennauf Ressourcen der Gegenseite zugegriffen wird. Bei Bedarf können sieauch aus der AVM Access Server-Oberfläche heraus aktiv auf- und ab-gebaut werden.

In der Verbindungssteuerung erhalten Sie detaillierte Informationen zuden gerade aktiven logischen ISDN-Verbindungen und den ausgehan-delten Verbindungsparametern.

Der AVM Access Server im Zusammenspiel mit anderen CAPI 2.0-AnwendungenIm Zusammenspiel mit dem AVM Access Server ist eine sinnvolle undkosteneffektive Mehrfachnutzung der installierten ISDN-Controller ge-währleistet.

Die ISDN-Controller können außer vom AVM Access Server zusätzlichvon weiteren CAPI 2.0-Anwendungen wie zum Beispiel KEN! oder NDIverwendet werden. Sind andere CAPI 2.0-Anwendungen, die densel-ben ISDN-Dienst verwenden wie der AVM Access Server (z.B. Dateiü-bertragungs-Software im Server-Modus) auf demselben Computer in-stalliert, muss sichergestellt sein, dass alle Anwendungen zur korrek-ten Annahme einkommender Rufe eindeutig adressiert werden kön-nen. Im CAPI 2.0-Standard sind für solche Fälle amMehrgeräteanschluss die sogenannten Mehrfachrufnummern (MSNs)und am Primärmultiplexanschluss Nachwahlziffern (DDI) vorgesehen.


Lieferumfang

1.3 LieferumfangDas Produkt ist in drei Varianten verfügbar:

! AVM Access Server PRI: 1-120 B-Kanäle, unbegrenzte Anzahlgleichzeitiger VPN-Tunnel, 10 Lizenzen für NetWAYS/ISDN

! AVM Access Server: 1-10 B-Kanäle, 10 gleichzeitige VPN-Tunnel, 5 Lizenzen für NetWAYS/ISDN

! AVM Access Server Basic: 1-10 B-Kanäle, 10 gleichzeitige VPN-Tunnel

Folgendes ist im Lieferumfang des AVM Access Servers enthalten:

! CD-ROM „AVM Access Server“ mit Product Identification Code aufder CD-ROM

! Handbuch AVM Access Server

! Handbuch NetWAYS/ISDN (nur bei den Varianten AVM AccessServer PRI und AVM Access Server)

Falls eines dieser Teile fehlen sollte, dann wenden Sie sich bitte an Ih-ren Händler.

1.4 Systemvoraussetzungen! Windows XP mit ServicePack 1 oder

Windows 2000 mit Service Pack 3 oderWindows NT 4.0 mit Service Pack 6a und Microsoft Jet 4.0 mit Service Pack 6

! Ethernet- oder Token-Ring-Netzwerkkarte

! TCP/IP, gebunden an die Netzwerkkarte mit fester IP-Adresse undeingetragener Subnetzmaske und eingetragenem Standardgate-way

! Intel Pentium 200 oder vergleichbar

! 64 MB RAM

! 50 MB freier Festplattenspeicher; im laufenden Betrieb sind bis zu250 MB Festplattenspeicher erforderlich.

! für ISDN-Verbindungen einen der folgenden aktiven AVM ISDN-Controller: B1, C2, C4, T1 und T1-B

! für DSL-Verbindungen eine FRITZ!Card DSL oder ein externes DSL-Modem über Ethernetkarte


Installation und Inbetriebnahme

2 Installation und Inbetriebnahme

Die Installation des AVM Access Servers ist menügeführt und einfach.Nachdem die Erstinstallation beendet ist, wird der Einrichtungsassis-tent gestartet, der Sie bei den Grundeinstellungen für die erfolgreicheInbetriebnahme des AVM Access Servers unterstützt.

Wir empfehlen Ihnen, sich schon vor der Installation des AVM AccessServers zu überlegen, welche Grundeinstellungen Sie mit dem Einrich-tungsassistenten vornehmen möchten.

Die Installation und Inbetriebnahme werden im Folgenden anhand ei-nes Beispiel-Szenarios beschrieben. Zu einem entfernten Benutzer undzu einem entfernten Netzwerk werden exemplarisch Verbindungenüber das Internet (VPN) eingerichtet.

2.1 Installation und Inbetriebnahme: ein Bei-spiel-SzenarioAnhand eines beispielhaften Szenarios wird hier die Installation unddie Konfiguration des AVM Access Servers für zwei häufig auftretendeAnforderungen beschrieben:

! einen entfernten Benutzer mit VPN-Zugang einrichten

! eine LAN-LAN-Kopplung über VPN einrichten

In der Klappkarte der vorderen Umschlagseite finden Sie eine Beschrei-bung und eine grafische Darstellung des Beispiel-Szenarios. Die Grafikenthält die durchgängig in allen Beispielen verwendeten IP-Adressenund jeweils ein freies Feld, in dem Sie die IP-Adressen eintragen kön-nen, die in Ihrer Konfiguration relevant sind.

Beachten Sie, dass Sie die in den folgenden Szenarios vorkommendenIP-Adressen durch die IP-Adressen Ihres LANs ersetzen müssen!

Praktische Durchführung: Installation des AVM Access Servers und erste KonfigurationsschritteIm Folgenden werden die Installation des AVM Access Servers und dieersten Konfigurationsschritte beschrieben. Begleitend zur allgemeinenBeschreibung werden jeweils auch die Einstellungen für das Beispiel-Szenario erläutert.

AVM Access Server – 2 Installation und Inbetriebnahme 15

Praktische Durchführung: Installation des AVM Access Servers und erste Konfigurationsschritte

Netzwerkeinstellungen in der Systemsteuerung des Betriebssystems überprüfen

Bevor Sie mit der Installation des AVM Access Servers beginnen, müs-sen Sie die Netzwerkeinstellungen in der Systemsteuerung überprüfenund gegebenenfalls ändern. In dem Beispiel-Szenario muss die Über-prüfung an beiden Standorten, also in Berlin und auch in Stuttgart, je-weils an dem Computer durchgeführt werden, auf dem der AVM AccessServer installiert werden soll.

Folgendes muss überprüft und gegebenenfalls eingestellt werden:

! An mindestens einem LAN-Adapter muss ein Standard-Gatewayeingerichtet sein.

! Falls keine DNS-Server eingerichtet sind, dann müssen die virtuel-len DNS-Server des AVM Access Servers eingerichtet werden.

! Alle LAN-Adapter, die mit dem AVM Access Server verwendet wer-den, brauchen eine feste IP-Adresse.

Gehen Sie folgendermaßen vor:

1. Wählen Sie in der Systemsteuerung des Betriebssystems den Ein-trag „Netzwerkverbindungen“ aus.

2. Wählen Sie die LAN-Verbindung aus, die mit dem AVM AccessServer verwendet werden soll.

3. Wählen Sie im Kontextmenü der rechten Maustaste „Eigenschaf-ten“ aus.

4. Wählen Sie in der Liste den Eintrag „Internetprotokoll (TCP/IP)“aus und klicken Sie auf „Eigenschaften“.

5. Tragen Sie Folgendes ein:

Eintrag

IP-Adresse Die IP-Adresse des AVM Access Server-Compu-ters.

Subnetzmaske Die Subnetzmaske der Netzadresse des lokalen Netzwerks.

Standard-Gateway Eine beliebige IP-Adresse aus dem Subnetz des AVM Access Servers.

16 AVM Access Server – 2 Installation und Inbetriebnahme


Im Beispiel-Szenario müssen folgende Einträge vorgenommenwerden:

6. Falls kein DNS-Server eingerichtet ist, müssen Sie die virtuellenDNS-Server des AVM Access Servers eintragen. Die Werte geltenauch für das Beispiel-Szenario.

7. Bestätigen Sie Ihre Angaben mit „OK“.

8. Falls Sie weitere LAN-Adapter mit dem AVM Access Server verwen-den wollen, dann müssen Sie für jeden dieser Adapter eine festeIP-Adresse eintragen.

AVM Access Server installieren

Im Beispiel-Szenario wird der AVM Access Server an beiden Standorteninstalliert.

Überprüfen Sie vor der Installation des AVM Access Servers, ob das fürIhr Betriebssystem im Kapitel „Systemvoraussetzungen“ auf Seite 14genannte Service Pack installiert ist. Falls Sie mit dem BetriebssystemWindows NT 4.0 arbeiten, muss zusätzlich Microsoft Jet 4.0 mit demdazugehörigen Service Pack 6 installiert sein. Auf der Installations-CDstehen alle Service Packs zur Verfügung. Dadurch haben Sie die Mög-lichkeit, vor der Installation des AVM Access Servers, fehlende ServicePacks zu installieren.

1. Legen Sie die AVM Access Server-CD in das CD-ROM-Laufwerk ein.

Eine CD-Einführung wird automatisch gestartet.

2. Wählen Sie das Betriebssystem des Computers aus, auf dem Sieden AVM Access Server installieren wollen.

Installieren Sie gegebenenfalls das für das Betriebssystem erfor-derliche Service Pack und für das Betriebssystem Windows NT 4.0zusätzlich die Software Microsoft Jet 4.0 mit dem dazugehörigenService Pack.

in Berlin in Stuttgart

IP-Adresse 192.168.10.1 192.168.20.1

Subnetzmaske 255.255.255.0 255.255.255.0

Standard-Gateway 192.168.10.2 192.168.20.2

Bevorzugter DNS-Server Alternativer DNS-Server

192.168.116.252 192.168.116.253



3. Starten Sie die Installation.

4. Setzen Sie den Installationsvorgang fort, indem Sie in den beidenWillkommensfenstern des Installationsassistenten jeweils auf„Weiter“ klicken.

5. Geben Sie im nächsten Fenster den Product Identification Codeein, der auf der Rückseite der CD abgedruckt ist.

6. Geben Sie im Fenster „Pfad“ den Ordner an, in dem die Installati-onsdateien des AVM Access Servers abgelegt werden sollen.

Wenn die Installation auf einem Computer mit dem Betriebssys-tem Windows XP stattfindet, erhalten Sie einen Hinweis auf denWindows-Logo-Test. Klicken Sie auf „Installation fortsetzen“.

7. Beenden Sie den Installationsassistenten mit „Beenden“ undschließen Sie die Installation mit einem Neustart des Computersab. Nehmen Sie vor dem Neustart die CD aus dem CD-ROM-Lauf-werk.

Nach dem Neustart des Computers wird der Einrichtungsassistentdes AVM Access Servers automatisch gestartet, der Sie bei denGrundeinstellungen unterstützt.

Bei jedem Computer-Start wird der Dienst AVM Access Server au-tomatisch gestartet.

ISDN- und DSL-Controller auswählen

1. Klicken Sie im Willkommensfenster des Einrichtungsassistentenauf „Weiter“.

2. Wählen Sie die Controller aus, die vom AVM Access Server ver-wendet werden sollen. Um einen Controller zu konfigurieren, mar-kieren Sie den entsprechenden Listeneintrag und klicken auf dieSchaltfläche „Einstellungen“. Ein Fenster für die Konfigurationwird geöffnet. Dort geben Sie die Eigenschaften des ISDN-An-schlusses an, mit dem der Controller verbunden ist.

Für das Beispiel-Szenario müssen Sie keine Controller auswählen,da die Internetverbindung über DSL realisiert wird. DSL-Controllerwie die FRITZ!Card DSL müssen nicht im Einrichtungsassistent ein-gerichtet werden, sondern werden automatisch konfiguriert.



Internetzugang einrichten

Im Beispiel-Szenario wird sowohl in Berlin als auch in Stuttgart ein In-ternetzugang über T-DSL und T-Online eingerichtet.

1. Legen Sie im nächsten Fenster fest, wie der AVM Access Server aufdas Internet zugreifen soll.

Im Beispiel muss an beiden Standorten „FRITZ!Card DSL“ ausgewählt werden

2. Wählen Sie dann die Art des Internetanbieters aus.

Im Beispiel-Szenario wird die Option „Internetanbieter mit Anmeldung“ ausgewählt

3. Wählen Sie im folgenden Fenster den Internetanbieter aus.

Im Beispiel-Szenario wird als Internetanbieter „T-Online T-DSL“ ausge-wählt



4. Geben Sie nun die Zugangsdaten für Ihren Internetanbieter ein.

Im Beispiel-Szenario werden die Zugangsdaten für T-Online T-DSL ange-geben

Benutzergruppe einrichten

1. Wenn Sie entfernten Benutzern den Zugang zum AVM AccessServer ermöglichen wollen, dann legen Sie hier fest, wie der Zu-griff erfolgen soll. Sollen zunächst keine entfernten Benutzer ein-gerichtet werden, deaktivieren Sie beide Einstellungen.

Im Beispiel-Szenario wird in Berlin die Einstellung „Internet (VPN)“ beibe-halten und die Einstellung „ISDN-Direkteinwahl“ deaktiviert; in Stuttgart werden beide Einstellungen deaktiviert

2. Richten Sie nun eine Benutzergruppe ein und geben Sie eine Be-zeichnung an.

Im Beispiel-Szenario wird am Standort Berlin eine Benutzergruppe mit der Bezeichnung „Homeoffice via VPN“ eingerichtet



3. Wählen Sie den IP-Adressbereich aus. Aus diesem Adressbereichwerden den Benutzern aus dieser Gruppe die IP-Adressen zuge-wiesen.

Im Beispiel-Szenario wird der IP-Adressbereich 192.168.110.0/24 ausge-wählt

Ersten Benutzer für die Benutzergruppe einrichten

1. Legen Sie die Anmeldedaten für den Benutzer fest. Tragen Sie imFeld „Vollständiger Name“ den Vor- und Nachnamen des Benut-zers ein. Übernehmen oder ändern Sie im Feld „Benutzername“den vom AVM Access Server vorgeschlagenen Eintrag. Geben Sieim Feld „Kennwort“ das Kennwort ein, mit dem sich der Benutzerbeim AVM Access Server anmelden muss. Das Kennwort muss ei-ne Mindestlänge von acht Zeichen haben. Geben Sie im Feld„Kennwort bestätigen“ das Kennwort nochmals ein.

Im Beispiel-Szenario werden die Anmeldedaten für die Benutzerin Erika Musterfrau eingetragen

2. In diesem Fenster können Sie ein Budget festlegen. Das Budgetgilt für alle im AVM Access Server konfigurierten Verbindungen.



Im Beispiel-Szenario wird „Voreingestelltes Budget aktivieren“ ausge-wählt

3. In der Zusammenfassung werden alle Einstellungen, die Sie vor-genommen haben, zusammengefasst dargestellt. Beenden Sieden Einrichtungsassistenten mit „Fertig stellen“.

Flatrate für den Internetzugang einstellen

Wenn Ihr Internetzugang pauschal tarifiert wird, dann sollten Sie amAVM Access Server die Option „Flatrate“ aktivieren. Die Verbindungwird dann auch bei Inaktivität dauerhaft gehalten.

Im Beispiel-Szenario wird die Flatrate sowohl am AVM Access Server inBerlin als auch in Stuttgart eingestellt.

1. Wählen Sie auf der Benutzeroberfläche des AVM Access Serversim Ordner „Internet“ den Eintrag „T-Online DSL“ aus und aktivie-ren Sie auf der Registerkarte „Allgemein“ unter „automatischerVerbindungsabbau“ die Option „Flatrate, die Verbindung halten“.

2. Klicken Sie auf „Übernehmen“, damit die Einstellungen in denAVM Access Server übernommen werden.

Dynamic DNS einrichten

Bevor Sie Dynamic DNS am AVM Access Server einrichten können,müssen Sie sich beim Dynamic DNS-Anbieter registrieren. Im Beispiel-Szenario wird sowohl am AVM Access Server in Berlin als auch in Stutt-gart Dynamic DNS eingerichtet. Der im Folgenden beschriebene Vor-gang muss einmal für den AVM Access Server in Berlin und einmal fürden AVM Access Server in Stuttgart durchgeführt werden.

1. Öffnen Sie den Web-Browser und richten Sie ihn für LAN-Verbin-dungen ein

2. Schalten Sie eventuell konfigurierte Proxy-Server aus

3. Geben Sie im Adressfeld des Browsers die Internetadresse einesDynamic DNS-Anbieters ein, beispielsweise www.dyndns.org.



4. Folgen Sie für die Registrierung eines Domänennamens beim Dy-namic DNS-Anbieter den Hinweisen auf der Internetseite.

Füllen Sie dazu die entsprechenden Formulare aus. In der Regelmüssen Sie einen Domänennamen (auch Hostname genannt) undeine Benutzerkennung angeben.

Geben Sie für das Beispiel Folgendes ein:

Die vollständigen Domänennamen, unter denen die AVM AccessServer später zu erreichen sind, lauten dann „firma-abc-ber-lin.dyndns.org“ und „firma-abc-stuttgart.dyndns.org“, wenn Siedyndns.org als Dynamic DNS-Anbieter gewählt haben.

5. Füllen Sie auch alle weiteren Formulare mit den persönlichen An-gaben aus.

6. In der Regel erhalten Sie wenige Minuten nach Beenden des Re-gistrierungsvorgangs eine E-Mail mit Ihrem persönlichen Kenn-wort für den Zugang.

Dynamic DNS am AVM Access Server einrichten

1. Wählen Sie auf der Benutzeroberfläche des AVM Access Serversden Ordner „Internet“ und die Registerkarte „Gateway-Dienste“.

2. Legen Sie unter „Dynamic DNS“ einen neuen Eintrag an. KlickenSie dazu auf das Symbol zum Anlegen eines neuen Eintrags.

3. Füllen Sie im Dialog „Neuen Dynamic DNS-Eintrag anlegen“ dieFelder aus. Im Beispiel wird Folgendes eingetragen:


für Berlin für Stuttgart

Domänen- oder Hostname firma-abc-berlin firma-abc-stuttgart

Benutzerkennung hsberlin nlstuttgart

für Berlin für Stuttgart

Domänen-Name

firma-abc-berlin.dyndns.org firma-abc-stutt-gart.dyndns.org

Dynamic DNS-Anbie-ter

Ihr Dynamic DNS-Anbieter, im Beispiel „dyndns.org“

Kennung hsberlin nlstuttgart

Kennwort das jeweilige Kennwort, das Sie per E-Mail erhalten haben


Praktische Durchführung am Heimarbeitsplatz des Benutzers

5. Wählen Sie nun die Registerkarte „VPN“ aus und stellen Sie si-cher, dass im Feld „Adresse im Internet“ der Domänenname, denSie in Schritt 3 angegeben haben, ausgewählt ist.

Exportdatei mit der Benutzerkonfiguration für NetWAYS/ISDNerstellen

Am AVM Access Server können Benutzerkonfigurationen für entfernteBenutzer in einer Exportdatei gespeichert werden. Durch den Importdieser Datei in NetWAYS/ISDN auf dem Computer des Benutzers wirddie Ziel-Konfiguration für den AVM Access Server automatisch durchge-führt. Im Beispiel wird die Exportdatei für Erika Musterfrau erstellt.

1. Wählen Sie auf der Benutzeroberfläche des AVM Access Serversim Ordner „Entfernte Benutzer“ den entfernten Benutzer aus, imBeispiel ist das der Eintrag „Erika Musterfrau“.

2. Wählen Sie im Kontextmenü „Benutzereinstellungen für Net-WAYS/ISDN exportieren“ aus. Der Dialog „VPN-Benutzerkonfigu-ration für NetWAYS/ISDN exportieren“ wird geöffnet.

3. Geben Sie ein frei wählbares Kennwort an.

Die Datei NETWAYS.EFF wird im Installationsverzeichnis des AVMAccess Servers im Ordner NWUSERS\E_MUSTERFRAU gespeichert.


5. Kopieren Sie die Datei NETWAYS.EFF auf eine Diskette.

Praktische Durchführung am Heimarbeitsplatz des Be-nutzersAm Heimarbeitsplatz des Benutzers müssen folgende Installationenund Einstellungen vorgenommen werden, damit der Zugriff auf denAVM Access Server gewährleistet ist.

Installation von NetWAYS/ISDN

Installieren Sie NetWAYS/ISDN und befolgen Sie dabei die Installati-onshinweise im NetWAYS/ISDN-Handbuch.

Internetverbindung einrichten

1. Wählen Sie im Menü „Einstellungen“ den Eintrag „Ziele/Zielneu...“ aus. Der NetWAYS/ISDN-Assistent zum Einrichten einer In-ternetverbindung wird gestartet.



2. Wählen Sie im Dialog „Art des Netzwerkes“ die Option „Internet“aus.

3. Wählen Sie im nächsten Dialog die Art des Internetanbieters aus.Im Beispiel wird am Heimarbeitsplatz von Erika Musterfrau dieOption „Internetanbieter mit Anmeldung“ ausgewählt.

4. Wählen Sie einen Internetanbieter aus. Im Beispiel wird „T-Onlineüber ISDN“ ausgewählt.

5. Übernehmen Sie als Bezeichnung den Vorschlag „T-Online ISDN“.

6. Geben Sie die Zugangsdaten für Ihren Internetanbieter ein. ImBeispiel sind das die T-Online-Zugangsdaten.

7. Beenden Sie die Konfiguration mit „Fertig stellen“.

In der NetWAYS/ISDN-Oberfläche wird die Internetverbindung alsSymbol dargestellt.

AVM Access Server als Ziel einrichten

1. Legen Sie die Diskette mit der am AVM Access Server erstelltenExportdatei in das Diskettenlaufwerk und importieren Sie die Da-tei. Wählen Sie dazu auf der NetWAYS/ISDN-Benutzeroberflächeim Menü „Datei“ den Eintrag „VPN-Verbindung importieren“ aus.Der Dateiauswahldialog von Windows wird geöffnet.

2. Wählen Sie die Datei mit der Endung .EFF aus und bestätigen SieIhre Auswahl mit „OK“.

3. Geben Sie das Kennwort ein, das Sie für die Exportdatei am AVMAccess Server festgelegt haben.

Testen der Internetverbindung

Mit einem Ping auf einen beliebigen Web-Server können Sie die Inter-netverbindung testen.

1. Markieren Sie auf der Benutzeroberfläche in NetWAYS das Inter-netziel und aktivieren Sie im Menü „Datei“ die Verbindungsbereit-schaft.

2. Öffnen Sie eine DOS-Box und geben Sie ping www.avm.de ein.

Wenn der Ping erfolgreich ausgeführt wird, dann kann Net-WAYS/ISDN eine Verbindung ins Internet herstellen.



Testen der VPN-Verbindung vom entfernten Arbeitsplatz zum AVM Access Server

1. Damit vom NetWAYS/ISDN-Computer die VPN-Verbindung zumAVM Access Server hergestellt werden kann, muss der AVMAccess Server mit dem Internet verbunden sein. Da im Beispielam AVM Access Server die Flatrate eingerichtet ist, ist die Internet-verbindung sichergestellt.

2. Die Internetverbindung von NetWAYS/ISDN muss in Verbindungs-bereitschaft sein. Wählen Sie in der NetWAYS/ISDN-Oberflächedie Internetverbindung aus und klicken Sie im Menü „Datei“ auf„Verbindungsbereitschaft“.

3. Öffnen Sie auf dem NetWAYS/ISDN-Computer eine DOS-Box undführen Sie ein Ping auf den Domänen-Namen oder die IP-Adressedes AVM Access Servers aus. Im Beispiel wird am NetWAYS/ISDN-Computer von Erika Musterfrau Folgendes eingegeben:

ping firma-abc-berlin.dyndns.org

Wenn der Ping erfolgreich ausgeführt wird, dann kann Net-WAYS/ISDN den AVM Access Server grundsätzlich über das Inter-net erreichen.

Testen des Zugriffs vom entfernten Arbeitsplatz auf einen bestimmten Server im Firmennetz

1. Öffnen Sie in einem Texteditor die Datei %WINDIR%\SYSTEM32\DRIVERS\ETC\HOSTS. (Siehe dazu auch den Abschnitt „Namen-sauflösung und Windows Datei- und Druckerfreigabe“ aufSeite 106.)

Fügen Sie in der Datei eine Zeile mit folgenden Angaben zu demServer ein, auf den Sie im Firmennetz zugreifen wollen:

<IP-Adresse des Servers> <Domänenname desServers>

Im Beipiel sind für den E-Mail-Server folgende Angaben zu ma-chen:

192.168.10.100 mail.abc.de

Die Namensauflösung für den E-Mail-Server wird nun lokal aufdem NetWAYS/ISDN-Computer durchgeführt.


Praktische Durchführung: Konfiguration der LAN-LAN-Kopplung

2. Führen Sie in der DOS-Box ein Ping auf den Domänen-Namen desoben angegebenen Servers aus. Im Beispiel geben Sie in derDOS-Box Folgendes ein:

ping mail.abc.de

Wenn der Ping erfolgreich ausgeführt wird, dann hat Erika Muster-frau jetzt Zugang über VPN zum E-Mail-Server. Ein E-Mail-Klientkann jetzt eingerichtet werden.

Praktische Durchführung: Konfiguration der LAN-LAN-KopplungNehmen Sie für die Konfiguration der LAN-LAN-Kopplung folgende Ein-stellungen vor:

Entferntes Netzwerk als VPN-Verbindung einrichten

Im Beispiel wird auf dem AVM Access Server in Berlin das entfernteNetzwerk „Niederlassung Stuttgart“ und auf dem AVM Access Server inStuttgart das entfernte Netzwerk „Hauptsitz Berlin“ eingerichtet.

1. Wählen Sie auf der Benutzeroberfläche des AVM Access Serversden Eintrag „Entfernte Netzwerke“. Wählen Sie im Kontextmenüder rechten Maustaste „Netzwerk hinzufügen“. Der Assistent fürdas Einrichten entfernter Netzwerke wird gestartet.

2. Wählen Sie im ersten Dialog die Option „VPN-Verbindung überdas Internet“ aus.

3. Tragen Sie eine Bezeichnung für das entfernte Netzwerk ein. ImBeispiel geben Sie als Bezeichnung für das entfernte NetzwerkFolgendes ein:

4. Tragen Sie an den beiden Standorten, die verbunden werden sol-len, jeweils das gleiche Kennwort für die Anmeldung bei der ent-fernten Seite ein.


Niederlassung Stuttgart Hauptsitz Berlin


Praktische Durchführung: Konfiguration der LAN-LAN-Kopplung

5. Geben Sie als Adresse für den VPN-Gateway auf der entferntenSeite den Namen des entfernten AVM Access Servers ein. AlsAdresse für den lokalen VPN-Gateway geben Sie den Namen deslokalen AVM Access Servers ein. Im Beispiel ist Folgendes anzuge-ben:

Die Namen müssen bei einem Dynamic DNS-Anbieter (beispiels-weise dyndns.org) registriert sein, damit der AVM Access Servertrotz wechselnder IP-Adresse immer adressierbar ist.

6. Geben Sie die Netzadresse des lokalen Netzwerks an. Im Beispielist Folgendes einzutragen:

7. Geben Sie die Netzadresse des entfernten Netzwerks an. Im Bei-spiel ist Folgendes einzutragen:


Auf der Benutzeroberfläche des AVM Access Servers wird unter„Entfernte Netzwerke“ der neue Eintrag angezeigt.

Testen der VPN-Verbindung von beiden lokalen Netzwerken aus

1. Damit die VPN-Verbindung hergestellt werden kann, muss an bei-den Standorten der jeweilige AVM Access Server mit dem Internetverbunden sein. Da im Beispiel sowohl in Berlin als auch in Stutt-gart die Flatrate eingerichtet ist, sind die Internetverbindungen si-chergestellt.

in Berlin

Entferntes VPN-Gateway: firma-abc-stuttgart.dyndns.org

Lokales VPN-Gateway: firma-abc-berlin.dyndns.org

in Stuttgart

Entferntes VPN-Gateway: firma-abc-berlin.dyndns.org

Lokales VPN-Gateway: firma-abc-stuttgart.dyndns.org


IP-Netzwerk 192.168.10.0 192.168.20.0

Subnetzmaske 24-255.255.255.0 24-255.255.255.0


IP-Netzwerk 192.168.20.0 192.168.10.0

Subnetzmaske 24-255.255.255.0 24-255.255.255.0


Deinstallation

2. Öffnen Sie auf dem AVM Access Server-Computer an einem derbeiden Standorte eine DOS-Box und führen Sie ein Ping auf denDomänennamen des AVM Access Servers am entfernten Standortaus. Im Beispiel ist am AVM Access Server in der NiederlassungStuttgart Folgendes einzugeben:

ping firma-abc-berlin.dyndns.org

Wenn der Ping erfolgreich ausgeführt wird, dann kann der entfern-te AVM Access Server grundsätzlich über das Internet erreicht wer-den.

3. Wechseln Sie nun auf der Benutzeroberfläche des AVM AccessServers in die Monitoring-Ansicht und wählen Sie dort den Ordner„Verbindungssteuerung“ aus.

4. Klicken Sie mit der rechten Maustaste auf den Eintrag „Niederlas-sung Stuttgart“ und wählen Sie im Kontextmenü „Verbindung auf-bauen“ aus.

Der erfolgreiche Aufbau der Verbindung wird im Fenster der Ver-bindungssteuerung durch einen blauen Pfeil angezeigt. Die Ver-bindung wird nach kurzer Zeit automatisch wieder abgebaut.

5. Führen Sie nun die Schritte 2. bis 4. am anderen Standort mit ana-logen Angaben durch.

2.2 Deinstallation1. Öffnen Sie in der Systemsteuerung Ihres Betriebssystems den

Ordner „Software“.

2. Wählen Sie in der Liste der installierten Software den Eintrag„AVM Access Server“ aus.

3. Starten Sie die Entfernen-Funktion durch Klicken auf die entspre-chende Schaltfläche.

Zwischen der Deinstallation und einer Neuinstallation des AVM AccessServers sollte ein Neustart des Computers durchgeführt werden, damitdie Einträge in der Windows-Registrierung aktualisiert werden.


Die Benutzeroberfläche des AVM Access Servers

3 Die Benutzeroberfläche des AVM Access Servers

Für die Bedienung des AVM Access Servers steht die Benutzeroberflä-che des AVM Access Servers zur Verfügung. Nach der Installation desAVM Access Servers ist im Startmenü des Betriebssystems die Pro-grammgruppe „AVM Access Server“ vorhanden. Klicken Sie in der Pro-grammgruppe auf den Eintrag „AVM Access Server“, um die Benutzero-berfläche des AVM Access Servers zu öffnen.

Die Benutzeroberfläche des AVM Access Servers

Die Benutzeroberfläche erfüllt zwei verschiedene Funktionen:

1. Konfiguration des Access Servers

2. Steuerung, Protokollierung und Diagnose von Verbindungen

Für diese beiden Funktionen kann die Benutzeroberfläche in der Konfi-gurationsansicht und der Monitoring-Ansicht betrieben werden. Im Me-nü „Ansicht“ können Sie zwischen den beiden Ansichten wechseln.

30 AVM Access Server – 3 Die Benutzeroberfläche des AVM Access Servers

Die Menüs des AVM Access Servers

Die Benutzeroberfläche besteht aus folgenden Komponenten:

! der Menüleiste mit den Menüs des AVM Access Servers

! der Symbolleiste, von der aus Sie wichtige Funktionen des AVMAccess Servers per Mausklick aufrufen können

! der Konfigurationsansicht

! der Monitoring-Ansicht

! der Statusleiste mit Informationen zum Betriebszustand des AVMAccess Servers

3.1 Die Menüs des AVM Access ServersÜber die Menüleiste erreichen Sie die wichtigsten Funktionen für dieArbeit mit dem AVM Access Server. Im Folgenden werden die Funktio-nen der einzelnen Menüs kurz beschrieben.

Das Menü „Datei“

Menüeintrag Funktion

Änderungen übernehmen... Ein Dialog wird geöffnet, in dem Änderungen an der Konfiguration übernommen oder als Da-tei gespeichert werden können.

Änderungen verwerfen... Ein Dialog wird geöffnet, in dem Änderungen an der Konfiguration verworfen oder als Datei gespeichert werden können.

Importieren... Ein Dialog wird geöffnet, in dem eine Konfigu-rationsdatei für den AVM Access Server ausge-wählt und geladen werden kann.

Exportieren... Ein Dialog wird geöffnet, in dem die aktuelle Konfiguration des AVM Access Servers im Da-tenbankformat gespeichert werden kann.

Beenden Die Benutzeroberfläche für den AVM Access Server wird geschlossen.

AVM Access Server – 3 Die Benutzeroberfläche des AVM Access Servers 31

Das Menü „Internet“

Das Menü „Internet“

Das Menü „Entfernte Benutzer“

Das Menü „Entfernte Netzwerke“

Das Menü „Ansicht“


Anbieter hinzufügen... Der Assistent „Neues Ziel anlegen“ für die Konfigu-ration einer neuen Internetverbindung wird gestar-tet.

Anbieter löschen... Der in der Ordnerstruktur markierte Internetanbieter wird gelöscht.


Benutzer hinzufügen... Der Assistent für die Konfiguration eines neuen Be-nutzers wird gestartet.

Benutzer löschen... Der in der Ordnerstruktur markierte Benutzer wird gelöscht.

Gruppe hinzufügen... Der Assistent für die Konfiguration einer neuen Be-nutzergruppe wird gestartet.

Gruppe löschen... Die in der Ordnerstruktur markierte Benutzergruppe wird gelöscht.


Netzwerk hinzufügen... Der Assistent „Neues Ziel anlegen“ für die Konfigu-ration eines entfernten Netzwerkes wird gestartet.

Netzwerk löschen... Das im Konfigurationsbaum markierte entfernte Netzwerk wird gelöscht.


Konfigurationansicht Die Konfigurationansicht wird eingeblendet.

Monitoring-Ansicht Die Monitoring-Ansicht wird eingeblendet.

Symbolleiste Die Symbolleiste wird ein- oder ausgeblendet.

Statusleiste Die Statusleiste wird ein- oder ausgeblendet.


Das Menü „?“

Das Menü „?“

3.2 Die Symbolleiste

Die wichtigsten Funktionen zum Arbeiten mit dem AVM Access Serverfinden Sie auch in der Symbolleiste. Die Bedeutung der Schaltflächenwird Ihnen durch Quick-Infos angezeigt. Fahren Sie dazu langsam mitder Maus über die jeweilige Schaltfläche.


Hilfethemen... Die Hilfe des AVM Access Servers wird aufgerufen.

Handbuch... Das Handbuch des AVM Access Servers wird im Acrobat Reader geöffnet.

Diagnose... Die Monitoring-Ansicht des AVM Access Servers wird geöffnet und der Ordner „Diagnose“ ist ausge-wählt. Dort können Sie einen Diagnosedurchlauf starten. (Siehe auch Abschnitt „Diagnose“ auf Seite 43.)

Online-Registrierung... Der Microsoft Internet Explorer wird gestartet und der Online-Registrierungsdialog auf den AVM-Inter-netseiten wird geöffnet. Sie könnne dort eine Onli-ne-Registrierung für Ihren AVM Access Server vor-nehmen.

Info über AVM Access Server...

Die Versionsnummer und der Product Identification Code des AVM Access Servers werden eingeblen-det.


Die Konfigurationsansicht

3.3 Die KonfigurationsansichtDie Konfigurationsansicht im AVM Access Server ist zweigeteilt. In derlinken Fensterhälfte wird eine Ordnerstruktur angezeigt, die rechteFensterhälfte ist ein Parameterfenster.

OrdnerstrukturDie Ordnerstruktur des AVM Access Servers ist wie folgt:

Ordnerstruktur in der Konfigurationsansicht

! Durch den AVM Access Server sind die Ordner „Internet“, „ent-fernte Benutzer“, „entfernte Netzwerke“, „Sicherheit“ und „Ver-waltung“ vorgegeben. In den Ordnern„Sicherheit“ und „Verwal-tung“ gibt es zusätzlich vorgegebene Unterordner.

! Alle im AVM Access Server angelegten Objekte wie beispielsweiseInternetanbieter, Benutzer oder Filterprofile werden in den jeweilszugehörigen Ordnern angezeigt.

! Wenn ein Ordner oder ein Eintrag markiert ist, dann sind über dasMenü oder das Kontextmenü die für das markierte Element vorge-sehenen Befehle aktiviert.


Parameterfenster

ParameterfensterIm Parameterfenster werden die Einstellungen für den in der Ordner-struktur markierten Ordner oder Eintrag angezeigt. Das Parameterfens-ter enthält eine oder mehrere Registerkarten, je nachdem, um welchenOrdner oder Eintrag es sich handelt. Änderungen an den Einstellungenkönnen Sie hier vornehmen.

Markierte Ordner und Unterordner

Wenn Sie in der Ordnerstruktur einen Ordner markieren, dann werdenim Parameterfenster Einstellungen angezeigt, die allgemeine Gültigkeithaben.

Markierte Einträge

Wenn ein Eintrag innerhalb eines Ordner markiert ist, dann werden aufden Registerkarten im Parameterfenster die Einstellungen angezeigt,die für diesen Eintrag vorgenommen wurden.

Beispiele:

Internet Hier kann eingestellt werden, ob die Interneteinwahl über den AVM Access Server stattfinden soll. Ist dies der Fall, dann gelten alle hier vorgenommenen Einstellun-gen für jede Internetverbindung, die über den AVM Access Server hergestellt wird. Es spielt dabei keine Rol-le, welcher Internetanbieter verwendet wird

Entfernte Benutzer Hier wird festgelegt, ob auch für Benutzer, die in einem RADIUS-Server verwaltet werden, der Zugang zum AVM Access Server möglich sein soll.

<Benutzergruppe> Benutzergruppen werden im Ordner „entfernte Benut-zer“ als Unterordner angelegt. Alle Einstellungen für die Benutzergruppe gelten für jeden Benutzer, der Mitglied in der markierten Benutzergruppe ist.

Sicherheit Hier können Sie IP-Dienste in eine Liste eintragen. Die eingetragenen IP-Dienste können dann beim Erstellen von Filterregeln und VPN-Zugriffsregeln verwendet wer-den.


Die Monitoring-Ansicht

3.4 Die Monitoring-AnsichtIn der Monitoring-Ansicht stehen Ihnen Verbindungssteuerung, Moni-tor-Funktionen und Diagnose-Funktionen zur Verfügung. Wie die Konfi-gurationsansicht ist auch die Monitoring-Ansicht zweigeteilt. In der lin-ken Fensterhälfte werden die Funktionen angezeigt.

Die Ordnerstruktur in der Monitoring-Ansicht

Die rechte Fensterhälfte besteht je nach ausgewählter Funktion aus ei-ner oder mehreren Registerkarten. Hier werden die Funktionsergebnis-se angezeigt und bei einigen Funktionen können hier Funktionspara-meter festgelegt werden.

Verbindungssteuerung und Monitor-Funktionen werden im folgendenKapitel ausführlich erläutert.

3.5 Verbindungssteuerung und Monitor-Funkti-onenFür den Administrator ist es wichtig, die Funktion des AVM AccessServers im laufenden Betrieb überwachen zu können. Dazu stehen inder Monitoring-Ansicht eine Vielzahl an Möglichkeiten zur Verfügung.

Sie erhalten detaillierte Informationen über den Serverstatus, aktuelleRouting-Tabellen und Dienste, physikalisch aktive Verbindungen, Ver-bindungsstatus, Kosten- und Nutzungsdaten für Verbindungen und Er-eignisse. Außerdem bietet der AVM Access Server eine Paketmit-schnittfunktion.

Auf der Benutzeroberfläche können Sie im Menü „Ansicht“ zwischenKonfigurations- und Monitoring-Ansicht wechseln. Die Oberflächen-struktur in der Monitoring-Ansicht entspricht der in der Konfigurations-Ansicht. In der Ordnerstruktur im linken Fensterbereich wählen Sie dieunterschiedlichen Monitor-Funktionen aus. Im rechten Fensterbereichwerden Ihnen die Ergebnisse der jeweiligen Funktion angezeigt.


AVM Access Server-Monitor

Im Folgenden werden die Funktionen im Einzelnen erläutert.

AVM Access Server-MonitorWählen Sie in der Ordnerstruktur „AVM Access Server-Monitor“ aus,um Angaben zur Produktversion sowie einen schnellen Überblick überden aktuellen Status des AVM Access Servers zu erhalten.

VerbindungssteuerungDie Funktion „Verbindungssteuerung“ bietet einen Überblick über dieaktuellen ISDN-, DSL- und VPN-Verbindungen des AVM Access Serversund deren Status. Außerdem können, je nach Verbindungsstatus, ver-schiedene Aktionen durchgeführt werden.

In der Übersicht werden alle im AVM Access Server konfigurierten Inter-netverbindungen, Verbindungen zu entfernten Netzwerken und die ein-gewählten Benutzer aufgeführt.

Neben dem Namen des Ziels oder des Benutzers und dem aktuellenVerbindungsstatus werden statistische Informationen für die Verbin-dung angezeigt.

Für den Verbindungsstatus, der in der Spalte „Verbindung“ angezeigtwird, werden folgende Symbole verwendet:

Symbol Status

keines Wenn für ein entferntes Netzwerk oder eine Internetverbindung kein Symbol in der Spalte „Verbindung“ vorhanden ist, dann ist keine Verbindung zu dem Ziel aufgebaut.

Das Symbol in der Spalte „Ziel/Benutzer“ ist farbig:

Bei einer Internetverbindung heißt das, dass es sich um den im AVM Access Server aktivierten Internetanbieter handelt.Bei entfernten Netzwerken bedeutet es, dass in der Routing-Tabelle des AVM Access Servers ein Eintrag für die Route zu diesem Ziel vor-handen ist. Müssen Daten zur Gegenstelle übertragen werden, wird die Verbindung automatisch aufgebaut.

Das Symbol in der Spalte „Ziel/Benutzer“ ist grau:

In der Routing-Tabelle existiert kein Eintrag, d.h. die Route zu die-sem Ziel ist nicht bekannt. Ein automatischer Aufbau der Verbin-dung durch den AVM Access Server ist nicht möglich. Sie können die Verbindung zu diesem Ziel manuell aufbauen.


Verbindungssteuerung

Mögliche Aktionen

Oberhalb der Übersicht befinden sich drei durch Symbole dargestellteSchaltflächen. Wenn Sie in der Übersicht eine Verbindung markiert ha-ben, dann sind die einzelnen Symbole entweder aktiviert oder deakti-viert, je nachdem, in welchem Status sich die Verbindung befindet.

Es besteht eine logische Verbindung zu diesem Ziel. Die physikali-sche Verbindung wurde durch den AVM Access Server nach Inaktivi-tät abgebaut.

DSL ausgehend

Es besteht eine logische und physikalische Verbindung zwi-schen den Gegenstellen, das heißt, der ISDN-B-Kanal bzw. der DSL-Kanal ist aufgebaut und es fallen Verbindungsgebühren an. Die Richtung des Pfeils verdeut-licht die Rufrichtung.

ein B-Kanal ausgehend

ein B-Kanal eingehend

zwei B-Kanäle ausgehend

zwei B-Kanäle eingehend

VPN ausgehend

VPN eingehend

VPN-Benutzer

VPN-Aushandlung ausgehend Die VPN-Verbindung zwischen zwei Gegenstellen befindet sich in der Aushandlungsphase, das heißt, die Internetverbindung ist aufgebaut. Die Richtung des Pfeils verdeutlicht die Verbin-dungsrichtung.

VPN-Aushandlung eingehend

Symbol Status


ISDN B-Kanäle

Informationen zu den Aktionen finden Sie in der Hilfe.

Eigenschaften

Über die rechte Maustaste können Sie sich die Eigenschaften einer Ver-bindung anzeigen lassen, zum Beispiel die zugewiesene IP-Adresse,Kompressions- und Filtereinstellungen, Security Associations (SAs) beiVPN-Verbindungen. Eine ausführliche Beschreibung der Eigenschaftenfinden Sie in der Hilfe.

ISDN B-KanäleWenn Sie den Ordner „ISDN B-Kanäle“ auswählen, dann werden allezum aktuellen Zeitpunkt aktiven ISDN-Verbindungen angezeigt.

Es werden die folgenden Informationen angezeigt:

Schaltfläche Funktion

Verbindung aufbauen

Verbindung abbauen

Verbindung testen (Ping)

Spaltenbezeichnung Anzeige

Controller CAPI-Nummer des Controllers, über den die Verbin-dung läuft

B-Kanal LED-Anzeige; bei grauer Anzeige wird der B-Kanal nicht benutzt, bei grüner Anzeige wird der B-Kanal benutzt

Rufnummer ISDN-Nummer der Gegenstelle

Verbindungsdauer Dauer der physikalischen Verbindung

Datendurchsatz Momentaner Datendurchsatz in KBit/s

Übertragungsvolumen Bis zum aktuellen Zeitpunkt übertragene Datenmen-ge in Kilobyte

Datenkompression LED-Anzeige; bei grauer Anzeige wird keine Daten-kompression angewendet, bei grüner Anzeige wird Datenkompression angewendet

Gebühren Bis zum aktuellen Zeitpunkt angefallene Verbin-dungskosten

Einwahlzeitpunkt Datum und Uhrzeit beim Verbindungsstart


Routing-Tabelle

Routing-TabelleIm Ordner „Routing-Tabelle“ werden die zum aktuellen Zeitpunkt akti-ven IP-Routen angezeigt. Wie viele Routen Sie sehen, hängt davon ab,ob gerade Verbindungen aufgebaut sind und wie viele statische Routenim AVM Access Server eingetragen sind oder per RIP aus dem LAN be-kanntgemacht wurden.

Die angezeigte Routing-Tabelle gehört zum AVM Access Server. DieRouting-Tabelle des Betriebssystems ist nach dem Start des AVMAccess Servers nicht mehr gültig, mit Ausnahme der im Betriebssystemeingetragenen Defaultroute (siehe auch Kapitel „Architektur des AVMAccess Servers“ auf Seite 111).

EreignisseAls Ereignisse werden alle ISDN-, DSL-, VPN-, Fehler- und Informations-meldungen bezeichnet.

Die Ereignisse sind in Gruppen eingeteilt, die durch verschiedene Sym-bole gekennzeichnet sind. Es gibt die folgenden Ereignistypen:

Alle ISDN-Fehlermeldungen und die Meldungen des AVM AccessServers sind in der Hilfe aufgeführt.

Sie haben die Möglichkeit, sich die Ereignisse nach Kriterien ausge-wählt anzeigen zu lassen. Die Kriterien legen Sie selbst fest. Sie kön-nen einen Ereignistyp, eine Gegenstelle und eine Schnittstelle auswäh-

Symbol Bedeutung

Warnung, z.B. bei Überschreitung des zielbezogenen Budgets oder der globalen Schwellenwerte.

Information, z.B. über Verbindungsaufbau und -abbau.

ISDN-Direktverbindung einkommend

ISDN-Direktverbindung ausgehend

Alarm, z.B. beim Protokollieren eines Verstoßes gegen die Filter-regeln (Firewall)

Fehler, z.B. wenn Gegenstelle nicht antwortet.


Nutzungsstatistik

len. Bei Problemen ist es beispielsweise sinnvoll, sich alle Ereignissemit dem Ereignistyp „Fehler“ anzeigen zu lassen oder alle Ereignissefür eine bestimmte Gegenstelle oder eine bestimmte Schnittstelle.

Die Ereignisse werden in einer Datenbank gespeichert. Die maximaleGröße dieser Datenbank können Sie in der Konfigurations-Ansicht imOrdner „Verwaltung“ einstellen. Wenn die Datenbank die maximaleGröße erreicht hat, wird eine zweite angelegt. Erst wenn die zweite Da-tenbank ebenfalls die maximale Größe erreicht hat, wird die erste Da-tenbank gelöscht.

NutzungsstatistikIn der Nutzungsstatistik werden Ihnen für einen definierten Zeitraumdetaillierte Verbindungsinformationen angezeigt. Den Zeitraum, fürden Sie die Informationen erhalten, legen Sie per Auswahl selbst fest.

Sie erhalten pro Benutzer und pro Netzwerk die folgenden Angaben zuden Verbindungen, die innerhalb des angegebenen Zeitraums zum undvom AVM Access Server aufgebaut wurden:

! Anzahl aller Verbindungen

! Anzahl der Verbindungen per Direkteinwahl

! Anzahl der Verbindungen per VPN

! Anzahl der einkommenden Verbindungen

! Anzahl der ausgehenden Verbindungen

! Verbindungsdauer gesamt

! Verbindungsdauer der Verbindungen per Direkteinwahl

! Verbindungsdauer der VPN-Verbindungen

! Übertragungsvolumen gesamt

Informationen über aktuelle Verbindungen sind nicht in den Angabenenthalten. Aktuelle Verbindungen können Sie in der Verbindungssteue-rung verfolgen (siehe Abschnitt „Verbindungssteuerung“ auf Seite 37).

Die Angaben werden standardmäßig jeweils als Summen pro Benutzerund Netzwerk ausgegeben, können aber auch pro Verbindung ange-zeigt werden.


Paketmitschnitt

Als Anzeigewerkzeug für die Nutzungsstatistik wird der Microsoft Inter-netexplorer verwendet. Alle Funktionen des Internet Explorers, die überdie rechte Maustaste erreichbar sind, stehen somit zur Verfügung. Bei-spielsweise kann zum Ausdrucken der Nutzungsstatistik die Druck-funktion des Internet Explorers genutzt werden.

PaketmitschnittMit der Funktion „Paketmitschnitt“ in der Monitoring-Ansicht könnenSie sich darüber informieren, welche Protokollpakete im LAN und überISDN, DSL oder VPN gesendet werden. Auf diese Weise können Sie bei-spielsweise die Ursachen für ungewöhnlich hohe Verbindungsgebüh-ren lokalisieren, bei Verbindungen die PPP-Aushandlung protokollie-ren und die Wirksamkeit der eingestellten Spoofings überprüfen.

Für den Mitschnitt können Sie verschiedene Kriterien festlegen. Siekönnen beispielsweise einstellen, auf welcher Ebene Sie Pakete proto-kollieren wollen. Durch die Angabe eines Benutzers oder Netzwerkeskönnen Sie den Mitschnitt auf die Pakete bestimmter Verbindungeneinschränken. Sie können auf allen oder nur einer bestimmten Netz-werkkarte mitschneiden. Außerdem haben Sie die Möglichkeit, denProtokollierungsumfang einzustellen.

Im Folgenden wird anhand von zwei Beispielen beschrieben, was Sietun müssen, um einen Paketmitschnitt zu erstellen.

Paketmitschnitt für Aushandlungsfragen

1. Wählen Sie den Ordner„Paketmitschnitt“ aus.

2. Nehmen Sie auf der Registerkarte „Einstellungen“ folgende Ein-stellungen vor:

3. Für den Protokollierungsumfang können Sie die vorgegebenenEinstellungen übernehmen.

4. Wechseln Sie zur Registerkarte „Mitschnitt“.

Kriterium Einstellung

Schnittstellenebene – Ethernet / PPP/PPPoE

auswählen

Benutzer/Netzwerk einschalten und Benutzer oder Netz-werk auswählen

Schnittstelle einschalten und die Schnittstelle auswählen


Diagnose

5. Starten Sie den Paketmitschnitt über die Schaltfläche „Aufnah-me“.

6. Wählen Sie im Ordner „Verbindungssteuerung“ den Benutzeroder das Netzwerk aus und bauen Sie eine Verbindung auf.

7. Warten Sie ab, bis Fehler auftreten.

8. Stoppen Sie den Paketmitschnitt über die Schaltfläche „Stopp“.

9. Für die weitere Auswertung können Sie den Paketmitschnitt überdie Schaltfläche „Speichern“ in eine Datei speichern.

Paketmitschnitt für Pollingprobleme

1. Wählen Sie in der Monitoring-Ansicht den Ordner „Paketmit-schnitt“ aus.

2. Nehmen Sie die folgenden Einstellungen vor:

3. Starten Sie den Paketmitschnitt durch Klicken auf die Schaltflä-che „Aufnahme“.

4. Warten Sie ab, bis 20-100 Pakete mitgeschrieben wurden undstoppen Sie dann im Menü „Monitor / Paketmitschnitt“ den Mit-schnitt durch Klicken auf die Schaltfläche „Stopp“.

5. Speichern Sie den Mitschnitt.

Die Hilfe enthält detaillierte Informationen zum Paketmitschnitt.

DiagnoseIm Ordner „Diagnose“ steht ein Diagnosewerkzeug zur Verfügung, mitdem in wenigen Sekunden ein Überblick über den Zustand der im Zu-sammenhang mit dem AVM Access Server wichtigen Komponenten er-stellt werden kann. Wenn beim Betrieb des AVM Access Servers Proble-me auftreten, kann anhand der Diagnose schnell festgestellt werden,ob die Ursache in einer fehlerhaften Grundeinstellung liegt.

Kriterium Einstellung

Netzwerkprotokollebene auswählen

Benutzer/Netzwerk einschalten und Benutzer oder Netzwerk auswählen

Schnittstelle einschalten und die Schnittstelle auswählen


Datenbankverwaltung

DatenbankverwaltungDurch die Unterstützung der Standard-Microsoft-Datenbank-Technolo-gie bietet der AVM Access Server eine solide Grundlage für die Proto-kollierung und Bearbeitung aller wichtigen Konfigurationsinformatio-nen, Ereignisse und Nutzungsstatistiken aller ISDN-Verbindungen. DerAVM Access Server legt die folgenden Datenbanken an:

In der Konfigurations-Ansicht im Ordner „Verwaltung“ können Sie aufder Registerkarte „Allgemein“ die maximal zulässige Größe für die Da-tenbanken NTRLOG1.MDB, NTRLOG2.MDB, NTRACT1.MDB undNTRACT2.MDB einstellen. Zuerst wird in der Datenbank NTRLOG1.MDB(NTRACT1.MDB) protokolliert und, sobald die maximal erlaubte Größeerreicht ist, in NTRLOG2.MDB (NTRACT2.MDB). Wenn NTRLOG2.MDB(NTRACT2.MDB) ebenfalls die maximal zulässige Größe erreicht hat,dann wird NTRLOG1.MDB (NTRACT1.MDB) gelöscht und neu angelegt.

Die Datenbanken befinden sich im Installationsverzeichnis des AVMAccess Servers und können mit Hilfe von Microsoft Access 2000 odereiner höheren Version je nach Bedarf ausgewertet werden.

NTR.MDB Allgemeine Informationen über die Konfiguration

NTRLOG1.MDBNTRLOG2.MDB

Ereignisse für Verbindungen

NTRACT1.MDBNTRACT2.MDB

Nutzungsstatistiken für Verbindungen


Szenarios für den Einsatz des AVM Access Servers

4 Szenarios für den Einsatz des AVM Access Servers

In diesem Kapitel wird der Einsatz des AVM Access Servers in den Kon-stellationen unterschiedlicher Szenarios vorgestellt. Für jedes Szenarioerhalten Sie eine ausführliche Beschreibung der Installation und Konfi-guration des AVM Access Servers, wobei auch eventuell zu berücksich-tigende Besonderheiten erläutert werden.

4.1 LAN-LAN-Kopplung mit AVM ISDN-Controller C4 und acht B-KanälenEin Unternehmen hat seine Hauptniederlassung in Berlin und einezweite Niederlassung in Stuttgart. Die Netzwerke der beiden Niederlas-sungen sollen über ISDN mit acht B-Kanälen gekoppelt werden. Die B-Kanäle sollen dabei je nach Bedarf dynamisch aufgebaut werden. DieVerbindung soll nur zu den Hauptgeschäftszeiten zwischen 9:00 Uhrund 17:00 Uhr verfügbar sein. Somit ist die permanente Verbindung zurHauptniederlassung gesichert, um Dateneingaben auf den zentralenServern vorzunehmen.

Anforderungsbeschreibung! In der Hauptniederlassung in Berlin die Niederlassung in Stuttgart

als entferntes Netzwerk einrichten.

! In der Niederlassung in Stuttgart die Hauptniederlassung in Berlinals entferntes Netzwerk einrichten.

! In beiden Niederlassungen in dem jeweils konfigurierten entfern-ten Netzwerk dynamische Kanalbündelung mit sieben B-Kanäleneinstellen.

! In beiden Niederlassungen ein Zeitprofil für das entfernte Netz-werk einrichten.

AVM Access Server – 4 Szenarios für den Einsatz des AVM Access Servers 45


Die folgende Abbildung zeigt die LAN-LAN-Verbindung im Überblick.

LAN-LAN-Verbindung zwischen zwei entfernten Netzwerken

Technische GegebenheitenDie folgenden technischen Voraussetzungen sind jeweils in beidenNiederlassungen gegeben:

! 1 AVM ISDN-Controller C4

! 4 Anlagenanschlüsse der Deutschen Telekom mit ISDN-Sammel-anschlussoption

Im AVM Access Server können für acht B-Kanäle maximal zweiRufnummern konfigurieren werden. Mit zwei Rufnummern könnenacht B-Kanäle nur dann bedient werden, wenn idealerweise für al-le vier Anschlüsse dieselbe Rufnummer gilt. Durch den Sammel-anschluss erhalten die vier Anschlüsse denselben Nummernkreis.

! 1 betriebsbereiter Computer mit den für den AVM Access Servererforderlichen Systemvoraussetzungen

Hauptniederlassung Berlin Niederlassung Stuttgart

LAN LAN

Netzwerkadresse: 192.168.10.0Subnetzmaske: 255.255.255.0


AVM Access Server AVM Access Server

46 AVM Access Server – 4 Szenarios für den Einsatz des AVM Access Servers

Was ist zu tun?

Was ist zu tun?Die folgenden Schritte müssen Sie sowohl in der Hauptniederlassungin Berlin als auch bei der Zweigniederlassung in Stuttgart ausführen:

Praktische DurchführungDie oben aufgeführten Schritte A bis F müssen in Berlin und in Stuttgartdurchgeführt werden. Im Folgenden wird genau beschrieben, was Sieim Einzelnen tun müssen. Beachten Sie, dass sich die Angaben für diebeiden Standorte an einigen Stellen unterscheiden.

A In der Systemsteuerung des Betriebssystems die Netzwerkeinstellun-gen überprüfen

Folgendes muss überprüft und gegebenenfalls eingestellt werden:

! An mindestens einem LAN-Adapter muss ein Standard-Gatewayeingerichtet sein.




2. Aktivieren Sie die LAN-Verbindung, die mit dem AVM AccessServer verwendet werden soll und wählen Sie im Kontextmenüden Eintrag „Eigenschaften“ aus.


Installation und Konfiguration

A In der Systemsteuerung des Betriebssystems die Netzwerkeinstellungen überprüfen

B AVM Access Server installieren

C ISDN-Controller für die Anschlussart konfigurieren

D Entfernte Niederlassung als entferntes Netzwerk im AVM Access Server einrichten mit Kanalbündelung für die insgesamt acht B-Kanäle

E Zeitprofil erstellen und im eingerichteten entfernten Netzwerk eintragen

F Verbindung testen


Praktische Durchführung

4. Tragen Sie Folgendes ein:

Die IP-Adresse des Standard-Gateways kann eine beliebigeAdresse aus dem Subnetz des AVM Access Servers sein.




Installieren Sie den AVM Access Server wie im Kapitel „Installation undInbetriebnahme: ein Beispiel-Szenario“ auf Seite 15 beschrieben.

Nach der ersten Installation des AVM Access Servers und dem Neustartdes Computers startet automatisch der Einrichtungsassistent des AVMAccess Servers. Mit dem Einrichtungsassistenten konfigurieren Sie indiesem Szenario lediglich den ISDN-Controller.

C ISDN-Controller für die Anschlussart konfigurieren

Bei den AVM-ISDN-Controllern B1, C2 und C4 ist zusätzlich die Treiber-software auf die Betriebsart „Anlagenanschluss“ (Punkt-zu-Punkt) zukonfigurieren. Bitte beachten Sie hierzu die Beschreibung im Hand-buch des entsprechenden ISDN-Controllers.


2. Wählen Sie im Fenster „ISDN- und DSL-Controller auswählen“ denEintrag für den AVM ISDN-Controller C4 aus und klicken Sie auf„Eigenschaften“.

3. Aktivieren Sie die Einstellung „Anlagenanschluss“ und bestätigenSie die Einstellung mit „OK“.

4. Wählen Sie im Dialog „Internetverbindung“ die Option „Keine In-ternetverbindung einrichten“.

5. Deaktivieren Sie im Dialog „Zugang für entfernte Benutzer“ diebeiden Einstellungen „Internet (VPN)“ und „ISDN-Direkteinwahl“.


IP-Adresse 192.168.10.1 192.168.20.1

Subnetzmaske 255.255.255.0 255.255.255.0

Standard-Gateway 192.168.10.2 192.168.20.2



6. Wählen Sie im Fenster „Budgeteinstellungen“ die Option „Erstins-tallation ohne voreingestelltes Budget“.

7. Beenden Sie den Einrichtungsassistenten mit „Fertig stellen“.

D Entfernten Standort als entferntes Netzwerk im AVM Access Server einrichten mit Kanalbündelung für die insgesamt acht B-Kanäle

Auf dem AVM Access Server in Berlin wird das entfernte Netzwerk „Nie-derlassung Stuttgart“ und auf dem AVM Access Server in Stuttgart wirddas entfernte Netzwerk „Niederlassung Berlin“ eingerichtet.

1. Aktivieren Sie auf der Benutzeroberfläche des AVM AccessServers den Eintrag „Entfernte Netzwerke“ und wählen Sie imKontextmenü den Eintrag „Netzwerk hinzufügen“ aus. Der Assis-tent für das Einrichten entfernter Netzwerke wird gestartet.

2. Wählen Sie im ersten Dialog die Option „ISDN-Direktverbindung“.

3. Geben Sie im nächsten Dialog eine Bezeichnung und die Anmel-dedaten für die Anmeldung beim entfernten Standort ein.

4. Geben Sie die Rufnummer des entfernten Standorts ein.

5. Nehmen Sie keine Budgeteinstellungen vor.

6. Geben Sie in Berlin die IP-Adresse des Netzwerks in Stuttgart anund umgekehrt.

7. Beenden Sie im Dialog „Zusammenfassung“ die Einstellungen mit„Fertig stellen“.

Das neu konfigurierte Netzwerk wird im Ordner „Entfernte Netz-werke“ mit der von Ihnen festgelegten Bezeichnung angezeigt.

8. Markieren Sie im Ordner „Entfernte Netzwerke“ den neuen Eintragund wählen Sie die Registerkarte „ISDN-Bandbreite“ aus.

9. Tragen Sie im Feld „Maximale Anzahl der B-Kanäle“ eine „8“undim Feld „Zusätzliche dynamische B-Kanäle“ eine „7“ ein. Alle an-deren Einstellungen auf dieser Registerkarte können so bleiben,wie sie sind.

10. Klicken Sie auf „Übernehmen“, damit alle Einstellungen in denAVM Access Server übernommen werden.


IP-Adresse 192.168.20.0 192.168.10.0

Subnetzmaske 24 - 255.255.255.0 24 - 255.255.255.0



E Zeitprofil erstellen und im eingerichteten entfernten Netzwerk eintra-gen

Damit die Verbindung nur während der Hauptgeschäftszeiten von Mon-tag bis Freitag jeweils zwischen 9:00 Uhr und 17:00 Uhr hergestellt wer-den kann, müssen Sie ein passendes Zeitprofil anlegen und in den Ein-stellungen für das entfernte Netzwerk eintragen.

1. Aktivieren Sie den Ordner „Verwaltung / Zeitprofile“ und wählenSie im Kontextmenü „Zeitprofil hinzufügen“ aus.

2. Geben Sie auf der Registerkarte „Allgemein“ eine Bezeichnung fürdas Zeitprofil an.

3. Achten Sie darauf, dass die Einstellungen „Feiertage wie Sonnta-ge behandeln“ und „Zugang aktivieren“ aktiviert sind.

4. Definieren Sie nun mit dem grafischen Werkzeug das Zeitprofil.

– Ziehen Sie dazu mit der linken Maustaste ein Rechteck auf,das in vertikaler Richtung die Tage Montag bis Freitag und inhorizontaler Richtung den Zeitraum von 9:00 bis 17:00 Uhrumfasst.

– Rechts neben der Position des Mauszeigers werden Ihnen diejeweils aktuellen Koordinaten durch die Angabe des Wochen-tages und der Uhrzeit angezeigt.

– Beginnen Sie mit der Definition des Zeitprofils bei den Koordi-naten „Mo 9:00“ und beenden Sie die Definition bei den Koor-dinaten „Fr 17:00“.

5. Markieren Sie nun im Ordner „Entfernte Netzwerke“ das neu defi-nierte Netzwerk.

6. Wählen Sie auf der Registerkarte „Allgemein“ im Feld „Zeitprofil“das neue definierte Zeitprofil aus.

7. Klicken Sie abschließend auf „Übernehmen“, damit die Einstel-lungen in den AVM Access Server übernommen werden.

F Verbindung testen

1. Wählen Sie im Menü „Ansicht“ den Eintrag „Monitoring-Ansicht“aus.

2. Öffnen Sie den Ordner „Verbindungssteuerung“.

3. Aktivieren Sie die neue Verbindung und wählen Sie im Kontextme-nü den Eintrag „Verbindung testen“ aus.


AVM Access Server und KEN!

Eine DOS-Box mit einem Ping auf die IP-Adresse der Gegenstellewird gestartet. Wenn der Ping erfolgreich ausgeführt wird, dannkann der AVM Access Server am entfernten Standort grundsätz-lich erreicht werden.

4.2 AVM Access Server und KEN!In einer Anwaltskanzlei, in der acht Mitarbeiter beschäftigt sind, wirdder Internetzugang für alle Arbeitsplätze im Firmennetz über KEN! undeine FRITZ!Card DSL hergestellt.

Nun soll mit dem AVM Access Server und NetWAYS/ISDN für alle Mitar-beiter die Möglichkeit geschaffen werden, von zu Hause aus Texte aufdem Datei-Server des Firmennetzes zu bearbeiten. Der Zugriff von denHeimarbeitsplätzen auf das Firmennetz soll über VPN erfolgen. Der Zu-gang zum Internet soll weiterhin über KEN! hergestellt werden.

AnforderungsbeschreibungFolgende Anforderungen müssen erfüllt sein:

! Internetzugang im AVM Access Server über KEN! einrichten

Der AVM Access Server soll auf demselben Computer installiertwerden, auf dem KEN! installiert ist. An der Zugriffsart auf das In-ternet über KEN! soll sich durch den Einsatz des AVM AccessServers nichts ändern.

! Entfernte Benutzer mit VPN-Zugang einrichten

Für jeden Mitarbeiter in der Anwaltskanzlei soll der Heimarbeits-platz mit einem VPN-Zugang zum Firmennetz ausgestattet wer-den, so dass jeder Mitarbeiter von zu Hause aus auf den Datei-Server zugreifen kann.



Die folgende Abbildung zeigt die VPN-Verbindung im Überblick.

VPN-Verbindungen zwischen AVM Access Server und Heimarbeitsplätzen; die Internetverbindung vom Firmenserver aus wird über KEN! hergestellt

Technische Gegebenheiten! in der Anwaltskanzlei

– betriebsbereiter Computer mit den für den AVM Access Servererforderlichen Systemvoraussetzungen

– bereits konfigurierter Internetzugang über KEN! und FRITZ!CardDSL

! an den Heimarbeitsplätzen der Mitarbeiter


– ISDN-Anschluss

Firmennetz Anwaltskanzlei HeimarbeitsplätzeNetzwerkadresse: 192.168.115.0Subnetzmaske: 255.255.255.0

LAN

AVM Access ServerKEN! DSLIP-Adresse: 192.168.115.1

IP-Adresse: 192.168.115.5

Datei-Server

IP-Adressen aus demAdressbereich 192.168.110.0

VirtuellesPrivates Netz(VPN)

Mit NetWAYS/ISDN


Was ist zu tun?

Was ist zu tun?

In der Anwaltskanzlei

An den Heimarbeitsplätzen der Mitarbeiter

Praktische Durchführung am Firmenserver der Anwalts-kanzleiFolgende Einstellungen und Installationen sind an dem Firmenserverder Anwaltskanzlei notwendig:

A Den AVM Access Server installieren



A Den AVM Access Server installieren

B In der Systemsteuerung des Betriebssystems die Netzwerkeinstellungen überprüfen

C Im AVM Access Server den Internetzugang über KEN! konfigurieren

D Benutzergruppe „Homeoffice via VPN“ mit der Berechtigung für den VPN-Zugang einrichten

E Alle Mitarbeiter als Benutzer in der Benutzergruppe „Homeoffice via VPN“ einrichten

F In KEN! den Dynamic-DNS-Eintrag konfigurieren

G In KEN! die beiden Gateway-Dienste ESP und ISAKMP freischalten

H Im AVM Access Server die Adresse für die Erreichbarkeit aus dem Internet eintragen

I Exportdateien mit der Benutzerkonfiguration für NetWAYS/ISDN erstellen


A NetWAYS/ISDN installieren (NetWAYS/ISDN ist im Lieferumfang des AVM Access Servers enthalten)

B Internetzugang einrichten

C Den AVM Access Server als Ziel einrichten mit VPN

D Die Internetverbindung testen

E Über die VPN-Verbindung den Zugriff vom entfernten Arbeitsplatz auf den Datei-Server in der Anwaltskanzlei testen


Praktische Durchführung am Firmenserver der Anwaltskanzlei

Nach der ersten Installation des AVM Access Servers und dem Neustartdes Computers startet automatisch der Einrichtungsassistent des AVMAccess Servers. Mit dem Einrichtungsassistenten konfigurieren Sie denInternetzugang, eine Benutzergruppe und den ersten Benutzer. BevorSie mit der Konfiguration beginnen, überprüfen Sie bitte, wie im fol-genden Abschnitt beschrieben, die Netzwerkeinstellungen in der Sys-temsteuerung des Betriebssystems.

B In der Systemsteuerung des Betriebssystems die Netzwerkeinstellun-gen überprüfen

Damit der Internetzugang weiterhin über KEN! hergestellt werden kann,müssen Sie sicherstellen, dass der AVM Access Server Driver an denKEN! PPP-Adapter gebunden ist. Gehen Sie dazu folgendermaßen vor:


2. Aktivieren Sie die LAN-Verbindung „KEN! PPP over ISDN“ und wäh-len Sie im Kontextmenü „Eigenschaften“ aus.

3. In der Liste muss der Eintrag „AVM Access Server Driver“ mit ei-nem Häkchen markiert sein.

C Im AVM Access Server den Internetzugang über KEN! konfigurieren


2. Im Fenster „ISDN- und DSL-Controller auswählen“ müssen keineEinstellungen vorgenommen werden.

3. Legen Sie fest, wie der AVM Access Server auf das Internet zugrei-fen soll. Wählen Sie „KEN!“ aus.

4. Bestätigen Sie Ihre Angaben mit „Weiter“.

D Benutzergruppe „Homeoffice via VPN“ mit der Berechtigung für den VPN-Zugang einrichten

1. Behalten Sie die Einstellung „Internet (VPN)“ bei und deaktivierenSie die Einstellung „ISDN-Direkteinwahl“.

2. Legen Sie nun die Benutzergruppe an. Geben Sie als Bezeichnung„Homeoffice via VPN“ ein.

3. Wählen Sie den IP-Adressbereich 192.168.110.0/24 aus. Aus die-sem Adressbereich erhalten die Benutzer aus der Gruppe Ihre IP-Adressen.



E Alle Mitarbeiter als Benutzer in der Benutzergruppe „Homeoffice via VPN“ einrichten

1. Legen Sie im Einrichtungsassistenten zunächst die Anmeldedatenfür einen Benutzer fest. Tragen Sie im Feld „Vollständiger Name“den Namen eines Mitarbeiters ein. Für das Feld „Benutzername“wird automatisch ein Vorschlag gemacht, den Sie übernehmenoder ändern können. Geben Sie im Feld „Kennwort“ das Kennwortein, mit dem sich der Mitarbeiter beim AVM Access Server anmel-den muss. Das Kennwort muss eine Mindestlänge von acht Zei-chen haben. Geben Sie das Kennwort im Feld „Kennwort bestäti-gen“ nochmals ein.

2. In der Zusammenfassung werden alle Einstellungen, die Sie vor-genommen haben, zusammengefasst dargestellt. Beenden Sieden Einrichtungsassistenten mit „Fertig stellen“.

3. Wählen Sie in der Benutzeroberfläche des AVM Access Servers imOrdner „Entfernte Benutzer“ die Benutzergruppe „Homeoffice viaVPN“ aus. Klicken Sie auf die rechte Maustaste und wählen Sie„Benutzer hinzufügen...“ aus.

Der Assistent „Entfernten Benutzer neu anlegen“ wird gestartet.

4. Geben Sie die Daten eines Mitarbeiters ein und klicken Sie auf„Weiter“.

5. Schließen Sie die Benutzerkonfiguration mit „Fertig stellen“ ab.

6. Wiederholen Sie die Schritte 3 bis 5 für jeden Mitarbeiter.

F In KEN! den Dynamic-DNS-Eintrag konfigurieren

Bevor Sie in KEN! Dynamic DNS einrichten können, müssen Sie sich beieinem Dynamic DNS-Anbieter registrieren. KEN! unterstützt die beidenAnbieter „companity“ (dns4biz.com) und „Dynamic DNS“(dyndns.org).

1. Öffnen Sie die Benutzeroberfläche der KEN!-Service-Anwendungund schalten Sie im Menü „Ansicht“ den Expertenmodus ein.

2. Wählen Sie im Ordner „Internet“ die Registerkarte „Erweiterte Ein-stellungen“ aus und aktivieren Sie dort die Einstellung „Firewallerlaubt ankommende Verbindungen aus dem Internet“.

3. Wechseln Sie zur Registerkarte „Gateway-Dienste“.

4. Klicken Sie auf den Pfeil neben der Schaltfläche.



5. Wählen Sie in der Liste den Eintrag „Domainname für wechselndeIP-Adresse hinzufügen“ aus.

6. Wenn Sie sich bereits einen Domainnamen bei dem Anbieter„companity“ (dns4biz.com) haben zuweisen lassen, geben Siedie Zugangsdaten hier ein.

7. Wenn Sie sich noch keinen Domainnamen bei einem Anbieter imInternet haben zuweisen lassen, klicken Sie auf „Neuen Domain-namen anmelden...“. Es öffnet sich die Internetseite des Anbie-ters „companity“. Hier können Sie den Domainnamen anmelden.Die Zugangsdaten erhalten Sie dann per E-Mail.

8. Klicken Sie abschließend auf „Übernehmen“, damit die Änderun-gen im KEN!-Service übernommen werden.

G In KEN! die beiden Gateway-Dienste ESP und ISAKMP freischalten

Auch um diese beiden Dienste freischalten zu können, muss KEN! sichim Expertenmodus befinden. Im Ordner „Internet“ auf der Registerkar-te „Erweiterte Einstellungen“ muss die Einstellung „Firewall erlaubt an-kommende Verbindungen aus dem Internet“ aktiviert sein.

1. Wählen Sie im Ordner „Internet“ die Registerkarte „Gateway-Dienste“ aus und aktivieren Sie dort die beiden Einträge „IPsec“und „VPNGateway“. Bei der Auswahl wird der Dialog „Weiterlei-tung ankommender Verbindungen aus dem Internet“ eingeblen-det. Nehmen Sie in diesem Dialog keine Änderungen vor und be-stätigen Sie mit „OK“.

2. Klicken Sie abschließend auf „Übernehmen“, damit die Änderun-gen im KEN!-Service übernommen werden.

H Im AVM Access Server die Adresse für die Erreichbarkeit aus dem In-ternet eintragen

Im AVM Access Server muss eingetragen werden, mit welcher Adresseder AVM Access Server aus dem Internet erreichbar ist. Da der Internet-zugang über KEN! realisiert wird, muss der Domänenname von KEN!angegeben werden, den Sie bei einem Dynamic DNS-Anbieter festge-legt haben.

1. Markieren Sie auf der Benutzeroberfläche des AVM AccessServers den Ordner „Internet“ und wählen Sie die Registerkarte„VPN“ aus.

2. Tragen Sie in dem Feld „Adresse im Internet“ den vollständigenDomänennamen von KEN! ein.


Praktische Durchführung an den Heimarbeitsplätzen der Mitarbeiter

Wenn Sie beispielsweise bei „companity“ (dns4biz.com) den Na-men „kenserver“ angegeben haben, dann lautet der vollständigeDomänenname für KEN! „kenserver.dns4biz.com“.

I Exportdateien mit der Benutzerkonfiguration für NetWAYS/ISDN er-stellen

Im AVM Access Server können die Benutzerkonfigurationen für die ent-fernten Benutzer jeweils in einer Exportdatei gespeichert werden.Durch den Import dieser Datei in NetWAYS/ISDN auf dem jeweiligenComputer am Heimarbeitsplatz wird die Ziel-Konfiguration für den AVMAccess Server automatisch durchgeführt. Führen Sie die folgendenSchritte für jeden Mitarbeiter separat aus.

1. Wählen Sie auf der Benutzeroberfläche des AVM Access Serversim Ordner „Entfernte Benutzer“ den Benutzer aus.

2. Wählen Sie im Kontextmenü „Benutzereinstellungen für Net-WAYS/ISDN exportieren“ aus.

Der Dialog „VPN-Benutzerkonfiguration für NetWAYS/ISDN expor-tieren“ wird geöffnet.

3. Geben Sie im Feld „Kennwort“ ein beliebiges Kennwort für dieVerschlüsselung der VPN-Konfiguration ein. Mit diesem Kennwortwird die VPN-Benutzerkonfiguration in NetWAYS/ISDN importiert.

Sie können auch standardmäßig das Kennwort der Direkteinwahlverwenden.

4. Die Datei „NETWAYS.EFF“ wird in dem unter „Verzeichnis“ angege-benen Ordner gespeichert.



Praktische Durchführung an den Heimarbeitsplätzen der MitarbeiterDie im Folgenden beschriebenen Schritte müssen an jedem Heimar-beitsplatz durchgeführt werden.

A NetWAYS/ISDN installieren

NetWAYS/ISDN ist im Lieferumfang des AVM Access Servers enthalten.Installieren Sie NetWAYS/ISDN und befolgen Sie dabei die Installati-onshinweise im NetWAYS/ISDN-Handbuch.



B Internetzugang einrichten

Richten Sie nun in NetWAYS/ISDN einen Internetzugang ein.



3. Die Angaben in den nun folgenden Dialogen betreffen den Inter-netanbieter. Diese Angaben werden bei jedem Mitarbeiter variie-ren, da sie durch den Internetanbieter des jeweiligen Mitarbeitersvorgegeben sind.

4. Beenden Sie im Dialog „Zusammenfassung“ die Konfiguration mit„Fertig stellen“.


C Den AVM Access Server als Ziel mit VPN einrichten

1. Legen Sie die Diskette mit der am AVM Access Server erstelltenExportdatei in das Diskettenlaufwerk und importieren Sie die Da-tei. Wählen Sie dazu auf der NetWAYS/ISDN-Benutzeroberflächeim Menü „Datei“ den Eintrag „VPN-Verbindung importieren“ aus.Der Dateiauswahldialog von Windows wird geöffnet.


3. Geben Sie das Kennwort ein, das Sie für die Exportdateien amAVM Access Server festgelegt haben.

D Die Internetverbindung testen


Öffnen Sie eine DOS-Box und geben Sie ping www.avm.de ein.

Wenn der Ping erfolgreich ausgeführt wird, dann kann NetWAYS/ISDNeine Verbindung ins Internet herstellen.


AVM Access Server und Router

E Über die VPN-Verbindung den Zugriff vom entfernten Arbeitsplatz auf den Datei-Server in der Anwaltskanzlei testen

1. Stellen Sie sicher, dass der AVM Access Server in der Anwalts-kanzlei mit dem Internet verbunden ist.


3. Öffnen Sie auf dem NetWAYS/ISDN-Computer eine DOS-Box undführen Sie ein „Ping“ auf die IP-Adresse des Datei-Servers in derAnwaltskanzlei aus.

Wenn der Ping erfolgreich ausgeführt wird, dann hat der Mitarbei-ter jetzt Zugang über VPN zum Datei-Server in der Anwaltskanzlei.

4.3 AVM Access Server und RouterIn einem Übersetzungsbüro, in dem zehn Mitarbeiter beschäftigt sind,wird der Internetzugang für alle Arbeitsplätze im Firmennetz über einenRouter hergestellt.

Nun soll mit dem AVM Access Server und NetWAYS/ISDN für alle Mitar-beiter die Möglichkeit geschaffen werden, von zu Hause aus auf den E-Mail-Server des Firmennetzes zugreifen zu können. Der Zugriff von denHeimarbeitsplätzen auf das Firmennetz soll über VPN erfolgen. Der Zu-gang zum Internet soll weiterhin über den Router hergestellt werden.

AnforderungsbeschreibungFolgende Anforderungen müssen dazu erfüllt sein:

! Internetzugang im AVM Access Server über den externen Routerkonfigurieren

An der Zugriffsart auf das Internet über den Router soll sich durchden Einsatz des AVM Access Servers nichts ändern.

! Entfernte Benutzer mit VPN-Zugang einrichten

Für jeden Mitarbeiter im Übersetzungsbüro soll der Heimarbeits-platz mit einem VPN-Zugang zum Firmennetz ausgestattet wer-den, so dass jeder Mitarbeiter von zu Hause aus auf den E-Mail-Server zugreifen kann.

Die folgende Abbildung zeigt die VPN-Verbindung im Überblick.



VPN-Verbindungen zwischen AVM Access Server und Heimarbeitsplätzen; die Internetverbindung vom Firmenserver aus wird über einen Router hergestellt

Technische Gegebenheiten! im Übersetzungsbüro

– betriebsbereiter Computer mit den für den AVM Access Servererforderlichen Systemvoraussetzungen

– eine Festverbindung ins Internet mit dem Router von der Deut-schen Telekom

– ein konfigurierter Internetzugang über den Router und dieFestverbindung

– ein Lotus Domino-Server als E-Mail-Server

! an den Heimarbeitsplätzen der Mitarbeiter


– FRITZ!Card DSL

– T-DSL-Anschluss mit Flatrate


Firmennetzwerk im Übersetzungsbüro

LAN


HeimarbeitsplätzeMit NetWAYS/ISDNIP-Adressen aus demAdressbereich 192.168.100.0

AVM Access Server

Rout

er

Fest

v erb

indu

ng

LAN-Adapter mit festeroffizieller IP-Adresse

LAN-Adapter mitIP-Adresse 192.168.10.1

Standard-Gateway:192.168.10.1

Standard-Gateway:192.168.10.1

Lotus Domino ServerIP-Adresse:

192.168.10.10

VPN-Tunnel


Was ist zu tun?

Was ist zu tun?

Im Übersetzungsbüro:

An den Heimarbeitsplätzen der Mitarbeiter:

Praktische Durchführung am Firmenserver im Überset-zungsbüroFolgende Einstellungen und Installationen sind am Firmenserver imÜbersetzungsbüro notwendig:


A In der Systemsteuerung des Betriebssystems die Netzwerkeinstellungen überprüfen


C Im AVM Access Server den Internetzugang über den externen Router kon-figurieren

D Erreichbarkeit des AVM Access Servers aus dem Internet überprüfen

E Benutzergruppe „Homeoffice via VPN“ mit der Berechtigung für den VPN-Zugang einrichten

F Alle Mitarbeiter als Benutzer in der Benutzergruppe „Homeoffice via VPN“ einrichten

G Exportdateien mit der Benutzerkonfiguration für NetWAYS/ISDN erstellen

H Für den Lotus Domino-Server eine Route zum virtuellen privaten Netzwerk einrichten


A Installation von NetWAYS/ISDN (NetWAYS/ISDN ist im Lieferumfang des AVM Access Servers enthalten)

B Internetverbindung über T-Online einrichten

C AVM Access Server als Ziel mit VPN einrichten

D Testen der Internetverbindung

E Testen der VPN-Verbindung vom entfernten Arbeitsplatz zum AVM Access Server

F Zugriff vom entfernten Arbeitsplatz auf den E-Mail-Server testen


Praktische Durchführung am Firmenserver im Übersetzungsbüro

A In der Systemsteuerung des Betriebssystems die Netzwerkeinstellun-gen überprüfen

Der Zugang zum Internet soll weiterhin über den Router hergestellt wer-den. Auf dem Computer, auf dem der AVM Access Server installiert wer-den soll, muss der Internetzugang über die Netzwerkkarte schon vorder Installation betriebsbereit sein. Dazu müssen Sie Folgendes über-prüfen und gegebenenfalls einstellen:

! An dem LAN-Adapter, der den AVM Access Server mit dem Routerverbindet, muss eine feste, öffentliche IP-Adresse eingetragensein. Zusammen mit der Festverbindung haben Sie ein festesSubnetz erhalten, aus dem Sie diese IP-Adresse vergeben. AlsStandard-Gateway tragen Sie die IP-Adresse des Routers ein.

! Als DNS-Server müssen die beiden DNS-Server der Festverbin-dung eingetragen werden.




2. Aktivieren Sie die LAN-Verbindung, die den AVM Access Server mitdem Router verbinden soll und wählen Sie im Kontextmenü derrechten Maustaste „Eigenschaften“ aus.


4. Tragen Sie im Feld „IP-Adresse“ eine feste, öffentliche IP-Adresseein. Zusammen mit der Festverbindung haben Sie ein festes Sub-netz erhalten, aus dem Sie diese IP-Adresse vergeben.

5. Falls kein DNS-Server eingerichtet ist, müssen Sie die DNS-Serverder Festverbindung eintragen.







Nach der ersten Installation des AVM Access Servers und dem Neustartdes Computers startet automatisch der Einrichtungsassistent des AVMAccess Servers. Mit dem Einrichtungsassistenten konfigurieren Sie denInternetzugang.

C Im AVM Access Server den Internetzugang über den externen Router kofigurieren


2. Im Fenster „ISDN- und DSL-Controller auswählen“ müssen keineEinstellungen vorgenommen werden.

3. Legen Sie fest, wie der AVM Access Server auf das Internet zugrei-fen soll. Wählen Sie „Bestehenden Internetzugang nutzen“ aus.

4. Wählen Sie im Dialog „Netzwerkkarte“ die Netzwerkkarte aus, dieeine Verbindung zum externen Router hat.

5. Deaktivieren Sie im Dialog „Zugang für entfernte Benutzer“ diebeiden Einstellungen „Internet (VPN)“ und „ISDN-Direkteinwahl“.

6. Wählen Sie im Fenster „Budgeteinstellungen“ die Option „Erstins-tallation ohne voreingestelltes Budget“.

7. Beenden Sie den Einrichtungsassistenten mit „Fertig stellen“.

D Erreichbarkeit des AVM Access Servers aus dem Internet überprüfen

Damit von den entfernten Benutzern VPN-Verbindungen zum AVMAccess Server hergestellt werden können, muss der AVM Access Serveraus dem Internet über eine Internetadresse erreichbar sein.

1. Wählen Sie im AVM Access Server den Ordner „Internet“ aus.

2. Stellen Sie sicher, dass auf der Registerkarte „VPN“ im Feld„Adresse im Internet“ die IP-Adresse eingetragen ist, die Sie inden Netzwerkeinstellunegn am LAN-Adapter angegeben haben,der den AVM Access Server mit dem externen Router verbindet(siehe Schritt A4).



E Benutzergruppe „Homeoffice via VPN“ mit der Berechtigung für den VPN-Zugang einrichten

1. Markieren Sie auf der Benutzeroberfläche des AVM AccessServers den Ordner „Entfernte Benutzer“, klicken Sie auf die rech-te Maustaste und wählen Sie „Gruppe hinzufügen...“ aus.

2. Geben Sie als Bezeichnung für die neue Benutzergruppe „Home-office via VPN“ ein.

3. Behalten Sie die Einstellung „Internet (VPN)“ bei und deaktivierenSie die Einstellung „ISDN-Direkteinwahl“.

4. Wählen Sie als IP-Adressbereich „Benutzerdefiniert“ aus.

5. Geben Sie den IP-Adressbereich 192.168.100.0/24 an. Aus die-sem Adressbereich erhalten die Benutzer aus der Gruppe Ihre IP-Adressen.

F Alle Mitarbeiter als Benutzer in der Benutzergruppe „Homeoffice via VPN“ einrichten

1. Wählen Sie in der Benutzeroberfläche des AVM Access Servers imOrdner „Entfernte Benutzer“ die Benutzergruppe „Homeoffice viaVPN“ aus. Wählen Sie im Kontextmenü „Benutzer hinzufügen...“aus.

Der Assistent „Entfernten Benutzer neu anlegen“ wird gestartet.

2. Geben Sie die Daten eines Mitarbeiters ein und klicken Sie auf„Weiter“.

3. Wählen Sie als Benutzergruppe „Homeoffice via VPN“ aus.

4. Schließen Sie die Benutzerkonfiguration mit „Fertig stellen“ ab.

5. Wiederholen Sie die Schritte 1 bis 4 für jeden Mitarbeiter.

G Exportdateien mit der Benutzerkonfiguration für NetWAYS/ISDN er-stellen

Am AVM Access Server können die Benutzerkonfigurationen für dieentfernten Benutzer jeweils in einer Exportdatei gespeichert werden.Durch den Import dieser Datei in NetWAYS/ISDN auf dem jeweiligenComputer am Heimarbeitsplatz wird die Ziel-Konfiguration für den AVMAccess Server automatisch durchgeführt. Führen Sie die folgendenSchritte für jeden Mitarbeiter separat aus.

1. Wählen Sie auf der Benutzeroberfläche des AVM Access Serversim Ordner „Entfernte Benutzer“ den Benutzer aus.



2. Wählen Sie im Kontextmenü „Benutzereinstellungen für Net-WAYS/ISDN exportieren“ aus.

Der Dialog „VPN-Benutzerkonfiguration für NetWAYS/ISDN expor-tieren“ wird geöffnet.

3. Geben Sie im Feld „Kennwort“ ein beliebiges Kennwort ein, mitdem die VPN-Benutzerkonfiguration verschlüsselt und später inNetWAYS/ISDN importiert und wieder entschlüsselt wird.

4. Die Datei „NETWAYS.EFF“ wird in dem unter „Verzeichnis“ angege-benen Ordner gespeichert.



H Für den Lotus Domino Server eine Route zum virtuellen privaten Netz-werk einrichten

In den Netzwerkeinstellungen des Lotus Domino Servers muss nichtunbedingt ein Standard-Gateway eingetragen sein. Wenn jedoch derAVM Access Server nicht das Standard-Gateway ist, so muss dem LotusDomino Server bekannt sein, dass IP-Adressen aus dem IP-Adressbe-reich der Benutzergruppe über den AVM Access Server erreichbar sind.Es muss also eine Route für diesen Adressbereich am Lotus DominoServer konfiguriert werden.

Gehen Sie wie unten beschrieben vor, wenn der Lotus Domino Serverin einem Windows-Betriebssystem läuft. Die Schritte in anderen Be-triebssystemen (z.B. SunOS) sind ähnlich. Sehen Sie gegebenenfalls inder Dokumentation Ihres Betriebssystems nach, wie lokale Routen zukonfigurieren sind.

1. Öffnen Sie eine DOS-Box auf dem Computer, auf dem der LotusDomino Server installiert ist.

2. Geben Sie Folgendes ein:

route add 192.168.100.0 mask 255.255.255.0192.168.10.1 metric 1 -p



Praktische Durchführung an den Heimarbeitsplätzen der MitarbeiterDie im Folgenden erläuterten Schritte A bis F müssen Sie an jedemHeimarbeitsplatz durchführen.

A Installation von NetWAYS/ISDN (NetWAYS/ISDN ist im Lieferumfang des AVM Access Servers enthalten)

Installieren Sie NetWAYS/ISDN und befolgen Sie dabei die Installati-onshinweise im NetWAYS/ISDN-Handbuch.

B Internetverbindung über T-Online einrichten



3. Wählen Sie die Option „Internetanbieter mit Anmeldung“ aus.

4. Wählen Sie als Internetanbieter „T-Online über T-DSL“ aus.

5. Übernehmen Sie als Bezeichnung den Vorschlag „T-Online T-DSL“.

6. Geben Sie Ihre T-Online-Zugangsdaten ein.



C AVM Access Server als Ziel einrichten mit VPN

1. Legen Sie die Diskette mit den am AVM Access Server erstelltenExportdateien in das Diskettenlaufwerk und importieren Sie dieDatei. Wählen Sie dazu auf der NetWAYS/ISDN-Benutzeroberflä-che im Menü „Datei“ den Eintrag „VPN-Verbindung importieren“aus. Der Dateiauswahldialog von Windows wird geöffnet.


3. Geben Sie das Kennwort ein, das Sie für die Exportdateien amAVM Access Server festgelegt haben.



D Testen der Internetverbindung



2. Öffnen Sie eine DOS-Box und geben Sie ping www.avm.de ein.

Wenn der Ping erfolgreich ausgeführt wird, dann kann Net-WAYS/ISDN eine Verbindung ins Internet herstellen.

E Testen der VPN-Verbindung vom entfernten Arbeitsplatz zum AVM Access Server

1. Der AVM Access Server in der Firmenniederlassung ist per Festver-bindung mit dem Internet verbunden. Um sicherzustellen, dassdie Verbindung tatsächlich vorhanden ist, öffnen Sie auf demAVM Access Server-Computer eine DOS-Box und geben pingwww.avm.de -t ein.

Sobald Sie die VPN-Verbindung getestet haben, können Sie mitStrg+c die Ping-Funktion wieder stoppen.


3. Öffnen Sie auf dem NetWAYS/ISDN-Computer eine DOS-Box undführen Sie einen Ping auf die feste, offizielle IP-Adresse des AVMAccess Servers aus.

Wenn der Ping erfolgreich ausgeführt wird, dann kann Net-WAYS/ISDN den AVM Access Server grundsätzlich über das Inter-net erreichen.

F Zugriff vom entfernten Arbeitsplatz auf den E-Mail-Server testen

1. Öffnen Sie auf dem NetWAYS/ISDN-Computer eine DOS-Box undgeben Sie Folgendes ein:

ping 192.168.10.10

Wenn der Ping erfolgreich ausgeführt wird, dann kann vom Net-WAYS/ISDN-Computer aus auf den E-Mail-Server zugegriffen wer-den. Ein E-Mail-Klient kann jetzt eingerichtet werden.


Konzepte und Funktionsweisen des AVM Access Servers

5 Konzepte und Funktionsweisen des AVM Access Servers

In diesem Kapitel werden einige der im AVM Access Server vorhande-nen Einstellungsmöglichkeiten vorgestellt. Sie erhalten Informationenzum Konzept der jeweiligen Einstellung, den Anwendungsgebieten undzur Funktionsweise im Zusammenspiel mit dem AVM Access Server.

5.1 FilterFilter dienen zum Schutz vor unerlaubtem Eindringen in Ihr Netzwerk,zum Beispiel über das Internet, sowie zur Auswahl der Daten undDienste, die für den Zugriff von außen bereitgestellt werden sollen.Durch diese Auswahl tragen sie auch zur Reduzierung der Verbindungs-kosten auf ein Minimum bei. Im Ordner „Sicherheit/Filterprofile“ bietetder AVM Access Server umfangreiche Filtermöglichkeiten.

IP-Filter (Firewall)Für Ihr IP-Netzwerk bietet der AVM Access Server Paketfilterung mit fol-genden Instanzen:

! zielgebundener Input-Filter

! zielgebundener Output-Filter

! globaler Input-Filter

! globaler Output-Filter

! Forward-Filter

In jeder dieser Instanzen können Regeln festgelegt werden, die definie-ren, wie der AVM Access Server einkommende, ausgehende oder anandere Netze weiterzuleitende Pakete behandeln soll. Möglich sind dieAktionen „Verwerfen“, „Zurückweisen“ oder „Durchlassen“. So könnenSie beispielsweise festlegen, dass nur genau definierte Stationen mit-einander kommunizieren können oder bestimmte Dienste, zum Bei-spiel „HTTP“ für den Zugriff auf das World Wide Web, nur von einigenStationen in Ihrem Netzwerk genutzt werden können.

68 AVM Access Server – 5 Konzepte und Funktionsweisen des AVM Access Servers

Filter und Regeln

Aufgrund des Aufbaus aus mehreren Instanzen bieten die Filter einensehr flexiblen und weitreichenden Schutz. Die Art der Paketfilterung imAVM Access Server ist eine der möglichen Herangehensweisen zumAufbau einer so genannten Firewall, einer Schutzmauer um Ihr Firmen-netzwerk.

Die Filterinstanzen des AVM Access Servers haben folgende Aufgaben:

! Zielgebundener Input-Filter

Überprüfung von Paketen, die von einem Ziel über ISDN, DSL odereinen LAN-Adapter in den AVM Access Server kommen.

! Zielgebundener Output-Filter

Überprüfung von Paketen, die den AVM Access Server in Richtungeines bestimmten Ziels über ISDN, DSL oder einen LAN-Adapterverlassen.

! Globaler Input-Filter

Überprüfung von Paketen, die aus einer beliebigen Richtung (LAN,ISDN, GSM, DSL oder VPN) in den AVM Access Server kommen.

! Globaler Output-Filter

Überprüfung von Paketen, die den AVM Access Server in eine be-liebige Richtung verlassen (LAN, ISDN, GSM, DSL oder VPN ).

! Forward-Filter

Überprüfung aller Pakete, die im AVM Access Server von einem inein anderes Netz weitergeleitet werden (z.B. vom LAN in eines derZielnetze oder von einem Zielnetz in ein anderes).

Eine zusammenfassende Darstellung mit Beispielen zu den verschie-denen Filterinstanzen finden Sie ab Seite 72.

Filter und RegelnFilter setzen sich aus folgenden Komponenten zusammen:

! Einer geordneten Abfolge von Regeln.

! Einer Standard-Aktion, die auf alle Pakete angewendet wird, fürdie beim Durchlaufen aller Regeln des Profils keine anwendbareRegel gefunden wurde.

AVM Access Server – 5 Konzepte und Funktionsweisen des AVM Access Servers 69

Filter und Regeln

Regeln bestehen immer aus folgenden Komponenten:

! Einer Beschreibung des Pakettyps, für den die Regel gelten soll.Dies geschieht anhand von drei Beschreibungskriterien, mit de-ren Hilfe der AVM Access Server prüft, ob die Regel auf ein Paketzutrifft.

– Dienst: Hier können alle IP-Dienste, nur bestimmte Dienste(z.B. FTP, Telnet) oder nur bestimmte Handlungen (z.B. FTP-Zu-griff aus dem Internet in das LAN) als Kriterium festgelegt wer-den.

– Quelle des Pakets: Als Quelle des Pakets kann ein bestimmtesNetzwerk oder eine konkrete Station festgelegt werden.

– Ziel des Pakets: Als Ziel des Pakets kann ein bestimmtes Netz-werk oder eine konkrete Station festgelegt werden.

! Einer Aktion, die auf das Paket angewendet werden soll.

– Durchlassen: Das Paket wird an die im Header angegebeneZieladresse gesendet oder dem nächsten Filter übergeben.

– Verwerfen: Das Paket wird nicht weitergeleitet, sondern ohneRückmeldung an den Absender des Pakets einfach verworfen.Der Absender und potentielle Angreifer hat den Eindruck, derAVM Access Server sei nicht online beziehungsweise nicht vor-handen.

– Zurückweisen: Das Paket wird nicht weitergeleitet. An dieQuelladresse wird eine Fehlermeldung gesendet.

! Einer Anweisung für die Protokollierung der Pakete, die von dieserRegel behandelt wurden. Die Protokollierung dient dazu, Ein-bruchsversuche in das LAN festzuhalten und gegebenenfalls dieSpur zum Verursacher zurückzuverfolgen. Anhand der Protokollie-rung kann auch festgestellt werden, ob der Filter so wie vorgese-hen arbeitet und ob Regeln auf die Pakete passen, die gefiltertwerden sollen. Es gibt drei Arten der Protokollierung:

– Eine Warnung ins Ereignisprotokoll schreiben

– Den Header des verworfenen Pakets in eine Datei schreiben

– Das gesamte Paket in eine Datei schreiben


Filter und Regeln

Bei den beiden zuletzt genannten Protokollierungsarten werdender Header des Pakets oder das ganze Paket in die Datei „ipflt-log.txt“ geschrieben. Die Datei befindet sich im Programmver-zeichnis des AVM Access Servers.

Jedes Paket durchläuft alle Regeln gemäß ihrer Reihenfolge, bis es aufdie erste anwendbare Regel trifft und entsprechend der Aktion dieserRegel behandelt wird. Heißt die anzuwendende Aktion „Verwerfen“oder „Zurückweisen“, ist das Filtern für dieses Paket beendet. Heißtdie Aktion „Durchlassen“, ist der Durchlauf durch das Profil ebenfallsbeendet. Das Paket wird gesendet oder geht in die nächste Filterin-stanz.

Wurde keine passende Regel für ein Paket gefunden und heißt dieStandard-Aktion „Durchlassen“, wird das Paket der nächsten zuständi-gen Filterinstanz übergeben.

Beachten Sie also beim Erstellen eines Filters die folgenden beidenwichtigen Aspekte:

! Ein Filterprofil behandelt immer alle Pakete (Regeln für bestimmtePakete und die Standard-Aktion für alle anderen).

! Die Reihenfolge der Regeln ist wichtig! Es muss unbedingt sicher-gestellt sein, dass eine Regel für ein Paket, die vorne im Profilsteht, nicht allgemeiner gehalten ist als eine Regel, die weiter hin-ten steht. Die Regel, die weiter hinten steht und spezieller ist,würde sonst nie angewendet werden.

Als Grundprinzip bei der Anordnung der Regeln innerhalb eines Filter-profils gilt: Spezialfälle zuerst regeln.

Ein einfaches Beispiel

Sie wollen, dass nur Standort A Zugriff auf Computer B im LAN hat. Da-zu formulieren Sie im globalen Input-Filter die beiden folgenden Re-geln:

1. A darf auf Computer B zugreifen. Die Regel lautet also: Pakete mitallen Diensten, die von dem IP-Bereich A kommen und an die IP-Adresse von Computer B adressiert sind, durchlassen.

2. Keiner darf auf Computer B zugreifen. Die Regel lautet also: Pake-te mit allen Diensten, die von allen Adressen kommen und an dieIP-Adresse von Computer B adressiert sind, verwerfen.


Beispiele für IP-Filterprofile

Die folgende Abbildung zeigt den Weg der Pakete durch die Filterin-stanzen bei einkommenden, ausgehenden und auf ein anderes Netzweiterzuleitenden Paketen. Es wird vorausgesetzt, dass alle Filterin-stanzen gesetzt sind und eine passende Regel existiert oder die Stan-dard-Aktion „Durchlassen“ ist. Es wird also immer der maximal mögli-che Weg eines Pakets aufgezeigt.

Der Weg der Pakete durch die Filterinstanzen des AVM Access Servers

Beispiele für IP-FilterprofileIm AVM Access Server gibt es die folgenden vordefinierten IP-Filterpro-file, die für den Standard-Internetzugang verwendet werden können:

! einkommendes Internetprofil (nur unten)

! ausgehendes Internetprofil

! einkommendes Internetprofil (Stateful Oben)

! einkommendes Internetprofil (Stateful Unten)

! Nur VPN-Pakete (Unten)

Globaler Input-Filter

Masquerading/NAT

Oberes eingehendes Filterprofil

IPSec Entschlüsselung

ISDN / DSL / GSM / LAN

Globaler Output-Filter

Masquerading/NAT

Oberes ausgehendes Filterprofil

IPSec Verschlüsselung


Globaler Forward Filter

Durchlassen

Durchlassen

EntschlüsselteDaten

Unteres eingehendes Filterprofil

Unteres ausgehendes Filterprofil

Lokaler IP-Stack des Betriebssystems



Der Einsatz von „einkommendes Internetprofil (Stateful Oben)“ und„einkommendes Internetprofil (Stateful Unten)“ ist nur dann sinnvoll,wenn Masquerading nicht genutzt wird. Das Filterprofil „ausgehendesFilterprofil“ kann immer eingesetzt werden.

Sie können die Filterprofile auch Ihren Bedürfnissen entsprechend an-passen. Um in den Filtern die Richtung des Verbindungsaufbaus unter-scheiden zu können, gibt es die Möglichkeit, bei TCP auch die Flags mitzu berücksichtigen. Bitte beachten Sie die Literaturhinweise in „Weiter-führende Literatur“ ab Seite 130.

Für die Standard-Internetanbindung können die Profile ohne Weiteresverwendet werden. Sie schützen Ihr Netzwerk zuverlässig vor dem Zu-griff von außen und ermöglichen den Anwendern im lokalen Netzwerkden Zugang zum Internet.

In den einkommenden Internetprofilen haben eine Reihe von Regelnden Status „Inaktiv”, andere den Status „Aktiv”. Aktiv sind alle Regeln,die jeden von außen initiierten Zugriff auf Ihr LAN verhindern. Die Re-geln mit dem Status „Inaktiv” sind für den Fall vorkonfiguriert, dassSie weitere Dienste für den Zugriff aus dem Internet bereitstellen wol-len, z.B. einen eigenen FTP-Server, einen eigenen Web-Server oder ei-nen eigenen E-Mail-Server. Wollen Sie also andere Dienste erlauben,müssen Sie dieses Internetprofil erst entsprechend bearbeiten, bevorSie es in Ihrer Internet-Zielkonfiguration nutzen.

Die Regeln in den Profilen werden in den folgenden Tabellen darge-stellt und erläutert.

Bitte beachten Sie die folgende zwei Hinweise zu den Tabellen:

! In allen Profilen wurden die Regeln mit allgemeinen Angaben fürdie beiden Beschreibungskriterien „Quelle” und „Ziel” erstellt.Quelle des Pakets kann immer alles sein (Angabe in jeder Regelfür Quelle ist also: 0.0.0.0 / 0), dasselbe gilt für das Ziel (Angabein jeder Regel für Ziel: 0.0.0.0 / 0). Diese Angaben werden zurbesseren Lesbarkeit der Tabellen nicht für jede Regel angeführt.

! Alle Regeln enthalten den Eintrag „Kein Protokoll”. Daher wurdeauch diese Information aus den Tabellen entfernt.



Einkommendes Internetprofil (nur unten)

Profil aktiv Ja

Bezeichnung einkommendes Internetprofil (nur unten)

Aktion, wenn keine der Regeln zutrifft

Verwerfen

Regeln

Status Dienst/Quelle/Ziel Aktion/Proto-koll

Erläuterung

Inaktiv HTTPVerbindungsaufbau(Hypertext Transfer)

Durchlassen Aktivieren Sie diese Regel, wenn Sie einen eigenen Web-Server anbieten.

Inaktiv FTPVerbindungsaufbau(File Transfer)

Durchlassen Aktivieren Sie diese Regel, wenn Sie einen eigenen FTP-Server anbieten.

Inaktiv SMTPVerbindungsaufbau(Simple Mail Trans-fer)

Durchlassen Aktivieren Sie diese Regel, wenn Sie keinen POP3-Dienst des Internetanbieters benut-zen, sondern die E-Mails per SMPT an Ihren E-Mail-Server zustellen lassen.

Inaktiv DNS-Anfragen(Domain Name Sys-tem)

Durchlassen Aktivieren Sie diese Regel, wenn Sie Ihre Internet-Domä-ne über einen eigenen Name-Server verwalten oder einen Secondary-Name-Server ein-gerichtet haben.

Inaktiv DNS-Zonen-Transfer(Domain Name Sys-tem)

Durchlassen Aktivieren Sie diese Regel, wenn Sie Ihre Internet-Domä-ne über einen eigenen Name-Server verwalten und einen Primary-Name-Server einge-richtet haben.

Inaktiv NNTPVerbindungsaufbau(Network News Transport)

Durchlassen Aktivieren Sie diese Regel, wenn Sie nicht auf den News-Server des Internetanbieters zugreifen, sondern sich die News per NNTP vom Interne-tanbieter zustellen lassen.



Inaktiv NTP-Pakete(Network Time)

Durchlassen Aktivieren Sie diese Regel, wenn Sie einen NTP-Server (Zeitserver) in Ihrem lokalen Netzwerk betreiben, der aus dem Internet erreicht werden soll.

Inaktiv UUCPVerbindungsaufbau

Durchlassen Aktivieren Sie diese Regel, wenn Ihnen Ihr Internetanbie-ter Daten per UUCP zustellt (z.B. News oder E-Mails).

Inaktiv TelnetVerbindungsaufbau

Durchlassen Aktivieren Sie diese Regel, wenn Sie den Zugriff über Tel-net auf Ihre Computer erlau-ben wollen (z.B. wenn UNIX-Computer von entfernter Seite aus administrierbar sein sol-len).

Inaktiv SSHVerbindungsaufbau

Durchlassen Aktivieren Sie diese Regel, wenn Sie den Zugriff über SSH (Secure SHell) auf Ihre Compu-ter erlauben wollen (z.B. wenn UNIX-Computer von entfern-ten Seiten administrierbar sein sollen).

Aktiv ISAKMP-Pakete(Virtual Private Net-work)

Durchlassen Dieser Eintrag wird automa-tisch aktiviert, wenn Sie eine VPN-Benutzergruppe oder ein entferntes Netzwerk über VPN mit Hilfe der Assistenten ein-richten.

Aktiv DNS-Antworten(Domain Name Sys-tem)

Durchlassen Aktivieren Sie diese Regel, wenn Sie das DNS-System des Internetanbieters benutzen wollen.


Erläuterung



Inaktiv RIP-Pakete(Routing Information)

Durchlassen Damit stellen Sie sicher, dass dem AVM Access Server nur die Routen bekannt sind, die Sie eingerichtet haben. RIP-In-formationen, die über das In-ternet einkommen, werden nicht weitergeleitet. Dies ver-hindert die sog. „man in the middle attack“ auf diesen Rou-ter – das Einschleusen von Routing-Informationen zur Kor-rumpierung Ihrer Routen.

Aktiv FTP-DatenVerbindungsaufbau(File Transfer)

Durchlassen Damit stellen Sie sicher, dass Ihre Anwender Daten per FTP aus dem Internet kopieren können.Hinweis: Diese Regel können Sie deaktivieren, wenn alle FTP-Klienten in Ihrem Netz die Option „FTP-PASV“ nutzen.

Aktiv TCPVerbindungsaufbau

Verwerfen Mit dieser Regel werden alle Versuche, eine TCP-Verbin-dung aufzubauen verworfen, die nicht durch eine der obi-gen Regeln explizit definiert werden.

Aktiv TCP-Pakete Durchlassen Damit stellen Sie sicher, dass Antwort-Pakete auf von Ihnen initiierte Verbindungen in Ih-rem Netz ankommen.

Aktiv ICMP-Pakete(Internet Control Message)

Durchlassen Damit stellen Sie sicher, dass Fehlermeldungen aus dem In-ternet an Ihre Computer zu-rückgemeldet werden. Solche Rückmeldungen mit dem Dienst ICMP erfolgen z.B. dann, wenn ein Computer im Internet adressiert wird, der nicht erreichbar ist.


Erläuterung



Aktiv AH-Pakete(Virtual Private Net-work)

Durchlassen Wenn Sie VPN-Verbindungen eingerichtet haben, dann akti-vieren Sie diese Regel für das Internetziel, über das der VPN-Zugriff erfolgen soll.

Aktiv ESP-Pakete(Virtual Private Net-work)


Inaktiv GRE-Pakete(Generic Route En-capsulation)

Durchlassen Aktivieren Sie diese Regel, wenn Sie andere Tunneling-Mechanismen (z.B. das in Microsoft NT 4.0 enthaltenen PPTP-VPN-Gateway) in Ihrem LAN verwenden, die auf das GRE-Protokoll aufsetzen. Diese Regel ist nicht notwendig, wenn nur die VPN-Funktionen des AVM Acces Servers be-nutzt werden sollen.

Aktiv Alle Pakete Verwerfen Alles, was bis hierher durch-kommt, kann nur noch als Ein-bruchsversuch interpretiert werden – etwa Tunnel-Pakete, d.h. in IP verpackte Pakete oder Routing-Pakete wie OSPF oder EGP-Pakete. Diese Pakete werden sowieso durch die Standard-Aktion verworfen. Diese Regel wurde nur einge-richtet, damit Sie, wenn Sie wollen, Einbruchsversuche nachvollziehen können. Akti-vieren Sie in diesem Fall die Protokollierung.


Erläuterung



Ausgehendes Internetprofil

Profil aktiv Ja

Bezeichnung ausgehendes Internetprofil


Durchlassen

Regeln


Erläuterung







Aktiv RIP-Pakete(Routing Information)

Verwerfen Damit wird verhindert, dass Routing-Informationen des lo-kalen Netzwerks in das Inter-net übertragen werden.

Aktiv NetBIOS-Pakete Verwerfen Damit stellen Sie sicher, dass von außen kein Zugriff auf Ihre Windows-Ressourcen (Lauf-werke, Drucker usw.) möglich ist.

Aktiv NetBIOS-Pakete 2 Verwerfen Damit stellen Sie sicher, dass von außen kein Zugriff auf Ihre Windows-Ressourcen (Lauf-werke, Drucker usw.) möglich ist.

Aktiv NetBIOS-Pakete 3 Verwerfen Damit stellen Sie sicher, dass von außen kein Zugriff auf Ihre Windows-Ressourcen (Lauf-werke, Drucker usw.) möglich ist.



Einkommendes Filterprofil (Stateful Oben)

Profil aktiv Ja

Bezeichnung einkommendes Internetprofil (Stateful Oben)


Verwerfen

Regeln


Erläuterung

Aktiv Alle Pakete ausge-hender Verbindun-gen

Durchlassen Diese Regel gehört zu der im AVM Access Server integrier-ten „Stateful Inspection“. Än-dern Sie die Regel nicht, wenn Sie „Stateful Inspection“ ver-wenden möchten.

Aktiv Alle Pakete einge-hender Verbindun-gen





Einkommendes Internetprofil (Stateful Unten)

Profil aktiv Ja

Bezeichnung einkommendes Internetprofil (Stateful Unten)


Verwerfen

Regeln


Erläuterung

Aktiv Alle Pakete ausge-hender Verbindun-gen












Inaktiv Alle Pakete einge-hender Verbindun-gen


Inaktiv HTTPVerbindungsaufbau(Hypertext Transfer)

Durchlassen Aktivieren Sie diese Regel, wenn Sie einen eigenen Web-Server anbieten.

Inaktiv FTPVerbindungsaufbau(File Transfer)

Durchlassen Aktivieren Sie diese Regel, wenn Sie einen eigenen FTP-Server anbieten.

Inaktiv SMTPVerbindungsaufbau(Simple Mail Trans-fer)

Durchlassen Aktivieren Sie diese Regel, wenn Sie keinen POP3-Dienst des Internetanbieters benut-zen, sondern die E-Mails per SMPT an Ihren E-Mail-Server zustellen lassen.

Inaktiv DNS-Anfragen(Domain Name Sys-tem)

Durchlassen Aktivieren Sie diese Regel, wenn Sie Ihre Internet-Domä-ne über einen eigenen Name-Server verwalten oder einen Secondary-Name-Server ein-gerichtet haben.

Inaktiv DNS-Zonen-Transfer(Domain Name Sys-tem)

Durchlassen Aktivieren Sie diese Regel, wenn Sie Ihre Internet-Domä-ne über einen eigenen Name-Server verwalten und einen Primary Name-Server einge-richtet haben.

Inaktiv NNTPVerbindungsaufbau(Network News Transport)

Durchlassen Aktivieren Sie diese Regel, wenn Sie nicht auf den News-Server des Internetanbieters zugreifen, sondern sich die News per NNTP vom Interne-tanbieter zustellen lassen.

Inaktiv NTP-Pakete(Network Time)

Durchlassen Aktivieren Sie diese Regel, wenn Sie Ihre Systemzeiten über das Network Time Proto-col mit dem Internetanbieter synchronisieren wollen.


Erläuterung



Inaktiv UUCPVerbindungsaufbau

Durchlassen Aktivieren Sie diese Regel, wenn Ihnen Ihr Internetanbie-ter Daten per UUCP zustellt (z.B. News oder E-Mails).

Inaktiv TelnetVerbindungsaufbau

Durchlassen Aktivieren Sie diese Regel, wenn Sie den Zugriff über Tel-net auf Ihre Computer erlau-ben wollen (z.B. wenn UNIX-Computer von entfernter Seite aus administrierbar sein sol-len).

Inaktiv SSHVerbindungsaufbau

Durchlassen Aktivieren Sie diese Regel, wenn Sie den Zugriff über SSH (Secure SHell) auf Ihre Compu-ter erlauben wollen (z.B. wenn UNIX-Computer von entfern-ten Seiten administrierbar sein sollen).

Inaktiv NetBIOS Verwerfen Damit stellen Sie sicher, dass von außen kein Zugriff auf Ihre Windows-Ressourcen (Lauf-werke, Drucker usw.) möglich ist.



Erläuterung



Nur VPN-Pakete (Unten)

Diese Vorkonfiguration kann eingesetzt werden, wenn der Access Ser-ver keine anderen Verbindungen außer VPN-Verbindungen mit dem In-ternet aufbauen soll.

Profil aktiv Ja

Bezeichnung Nur VPN-Pakete (Unten)


Verwerfen

Regeln


Erläuterung










IP-Masquerading und Weiterleitungsprofile

5.2 IP-Masquerading und WeiterleitungsprofileIm AVM Access Server wird bei Verbindungen ins Internet IP-Masquera-ding verwendet. Mit IP-Masquerading kann ein privates LAN kompletthinter einer IP-Adresse versteckt werden. Das LAN wird mit derIP-Adresse „maskiert“. Der Zugriff von außen auf einzelne Computer imLAN ist dadurch nicht möglich. Wenn der Zugriff aus dem Internet aufbestimmte Server in Ihrem lokalen Netzwerk zugelassen werden soll,dann können Weiterleitungsprofile eingesetzt werden.

IP-MasqueradingBei Internetverbindungen wird dem AVM Access Server vom Internetan-bieter eine öffentliche IP-Adresse zugewiesen. Mit IP-Masqueradingreicht diese eine öffentliche IP-Adresse für die Kommunikation zwi-schen dem privaten LAN und dem öffentlichen Internet aus. Durch dasIP-Masquerading werden die Absender-IP-Adressen in den TCP-, UDP-und ICMP-Paketen mit der öffentliche IP-Adresse überschrieben, sodass zum Internet hin nur die öffentliche IP-Adresse sichtbar ist. Somitkönnen die Hosts eines privaten LANs interne („inoffizielle“) IP-Adres-sen für die Kommunikation mit dem Internet nutzen. Das private LANist dadurch vor unberechtigten Zugriffen aus dem Internet geschützt.

Der Einsatz von IP-Masquerading im AVM Access Server bietet folgendeVorteile:



Erläuterung


Weiterleitungsprofile

! Bei Verbindungen zum Internetanbieter wird dem Computer beijedem automatischen Verbindungsaufbau nach physikalischemVerbindungsabbau (Short-Hold-Modus) eine neue IP-Adresse zu-gewiesen. Wegen des IP-Masqueradings ist es nicht erforderlich,bei jedem Wechsel der offiziellen IP-Adresse die Routing-Tabelledes Computers zu aktualisieren. Das IP-Masquerading versiehtdie Datenpakete auf dem Weg ins Internet immer mit der geradeaktuellen offiziellen IP-Adresse.

! IP-Masquerading akzeptiert standardmäßig keine einkommendenIP-Verbindungen. Eingehende Pakete, die nicht von einer Anwen-dung angefordert wurden, werden verworfen. Damit wird die Si-cherheit bei eingehenden Verbindungen erhöht.

WeiterleitungsprofileDurch die Verwendung von Weiterleitungsprofilen können trotz Mas-querading Anfragen aus dem Internet an einzelne Server im lokalenNetz weitergeleitet werden. Es kann sich dabei beispielsweise umWeb-, E-Mail- oder FTP-Server handeln. Ein Weiterleitungsprofil bestehtaus einer oder mehreren Regeln. Die Regeln legen fest, welche IP-Pake-te zu welchen Servern im lokalen Netz weitergeleitet werden oder, an-ders ausgedrückt, welche Dienste von außen erreichbar sein sollen.

Weiterleitungsprofile können Sie auf der Benutzeroberfläche des AVMAccess Servers im Ordner „Sicherheit / Weiterleitungsprofile“ erstel-len. Um für Internetverbindungen die Weiterleitung zu aktivieren, wäh-len Sie im Ordner „Internet“ die Registerkarte „Gateway-Dienste“ ausund stellen dort ein Weiterleitungsprofil ein.

Im AVM Access Server gibt es für Internetverbindungen im oben ge-nannten Ordner das vordefinierte Weiterleitungsprofil „Gateway-Diens-te“, in dem alle Regeln deaktiviert sind. Wenn Sie Dienste für den Zu-griff aus dem Internet zulassen wollen, dann müssen Sie die entspre-chenden Regeln aktivieren. Die Weiterleitungs-IP-Adresse 0.0.0.0 stehtfür den Computer, auf dem der AVM Access Server installiert ist. Wennsich der gewünschte Dienst auf einem anderen Computer im lokalenNetz befindet, so tragen sie als Weiterleitungs-IP-Adresse bitte die IP-Adresse dieses Computers ein.


Weiterleitungsprofile

Die Regeln in den Profilen werden in der folgenden Tabelle dargestelltund erläutert.

Weiterleitungsprofil „Gateway-Dienste“

Profil aktivBezeichnung

JaGateway-Dienste

Regeln

Status Dienst/Quelle/Ziel Protokoll Erläuterung

Inaktiv FTP/0.0.0.0 / 210.0.0.0 / 21

TCP Aktivieren Sie diese Regel, wenn Sie einen FTP-Server in Ihrem lokalen Netzwerk ha-ben, der aus dem Internet er-reichbar sein soll.

Inaktiv SSH/0.0.0.0 / 220.0.0.0 / 22

TCP Aktivieren Sie diese Regel, wenn Sie einen SSH-Server in Ihrem lokalen Netzwerk haben, der aus dem Internet erreichbar sein soll.

Inaktiv Telnet/0.0.0.0 / 250.0.0.0 / 25

TCP Aktivieren Sie diese Regel, wenn Sie einen Telnet-Server in Ihrem lokalen Netzwerk haben, der aus dem Internet erreichbar sein soll.

Inaktiv Web/0.0.0.0 / 800.0.0.0 / 80

TCP Aktivieren Sie diese Regel, wenn Sie einen Web-Server in Ihrem lokalen Netzwerk haben, der aus dem Internet erreichbar sein soll.

Inaktiv POP3/0.0.0.0 / 1100.0.0.0 / 110

TCP Aktivieren Sie diese Regel, wenn Sie einen POP3-Server (E-Mail-Server) in Ihrem loka-len Netzwerk haben, der aus dem Internet erreichbar sein soll.


Statisches und dynamisches Routing

5.3 Statisches und dynamisches RoutingDer AVM Access Server arbeitet wie jeder Router auf Netzwerkprotokol-lebene (Schicht 3 des ISO/OSI-Referenzmodells) und leitet einkom-mende Datenpakete in andere an den Router angeschlossene Netzwer-ke weiter. Dazu werden die folgenden Informationen benötigt:

! die logische Adresse des Ziels

! der Weg zum Ziel

Eine ausführliche Erläuterung zu TCP/IP-Adressen finden Sie im Glos-sar unter „IP-Adresse“ auf Seite 140.

Informationen über die möglichen Wege von Datenpaketen sind in ei-ner sogenannten Routing-Tabelle zusammengefasst. Routing-Tabellenkönnen statisch oder dynamisch erzeugt werden:

Inaktiv HTTPS/0.0.0.0 / 4430.0.0.0 / 443

TCP Aktivieren Sie diese Regel, wenn Sie einen HTTPS-Ser-ver in Ihrem lokalen Netz-werk haben, der aus dem In-ternet erreichbar sein soll.

Inaktiv ISAKMP(VPN)/0.0.0.0 / 5000.0.0.0 / 500

UDP Wenn Sie VPN-Verbindungen eingerichtet haben, dann ak-tivieren Sie diese Regel für das Internetziel, über das der VPN-Zugriff erfolgen soll.

Inaktiv AVM Web-Server/0.0.0.0 / 4000/0.0.0.0 / 4000

TCP Aktivieren Sie diese Regel, wenn Sie einen AVM-Web-Server in Ihrem lokalen Netz-werk haben, der aus dem In-ternet erreichbar sein soll. Die Fernkonfiguration aus dem Internet über das Web-Interface wird nicht empfoh-len, da die Übertragung un-verschlüsselt erfolgt. Greifen Sei daher lieber über eine gesicherte VPN-Verbindung auf das Web-Interface zu.

Status Dienst/Quelle/Ziel Protokoll Erläuterung


Reservierung von B-Kanälen

! Statisch: Beim statischen Routing werden alle Zielnetzwerke unddie zugehörigen Informationen manuell konfiguriert und werdennicht automatisch geändert.

! Dynamisch: Beim dynamischen Routing wird ein Routing-Protokollverwendet, das die Router im gesamten Netzwerk benutzen, umin regelmäßigen Abständen Veränderungen in ihren Routing-Ta-bellen mitzuteilen.

Das Routing im AVM Access Server erfolgt über dynamisches Routingmit RIP 2 auf der LAN-Seite und statischen Routen über ISDN. Durch dieVerwendung von statischen Routen über ISDN wird ein Verbindungs-aufbau durch dynamisches Austauschen von RIP-Paketen ausgeschlos-sen. Bei der Konfiguration kann ausgewählt werden, ob eine statischeRoute immer im WAN bekannt sein soll oder ob sie erst mit dem Auf-bau der logischen ISDN-Verbindung bekanntgemacht werden soll.

Im ersten Fall wird durch ein Paket, das für ein Ziel außerhalb des LANsbestimmt ist, die logische ISDN-Verbindung automatisch aufgebaut.

Im zweiten Fall können Pakete nur dann an ein Ziel geschickt werden,wenn zu diesem Ziel eine logische ISDN-Verbindung besteht und damitdie Route bekannt ist.

5.4 Reservierung von B-KanälenDie B-Kanäle der ISDN-Controller, die der AVM Access Server verwen-det, werden zu einem Pool zusammengefasst und stehen allen Zielenoffen. Dies Prinzip ist sehr flexibel und ermöglicht eine optimale Nut-zung der verfügbaren Kanäle. Das Einrichten der Verbindungen erfolgtdamit auch unabhängig von den ISDN-B-Kanälen. Eine Ausnahme bil-den die DSL-Verbindungen, bei denen die Zielkonfiguration an denDSL-Controller gekoppelt werden muss.

Zu einem Zeitpunkt können mehr logische ISDN-Verbindungen zu Zie-len bestehen, als ISDN-B-Kanäle zur Verfügung stehen. Dies wird durchden physikalischen Verbindungsabbau möglich, der dafür sorgt, dassungenutzte ISDN-Verbindungen automatisch abgebaut werden. Da-durch stehen die B-Kanäle des AVM Access Servers anderen Zielen zurVerfügung. Die physikalische Verbindung wird aufgebaut, sobald Pake-te von der oder zur Gegenstelle zur Übertragung anstehen.

Der Systemverwalter muss sicherstellen, dass immer ausreichendB-Kanäle zur Verfügung stehen, wenn für die Mehrzahl der Ziele dieMöglichkeit der logischen ISDN-Verbindung konfiguriert wurde (logi-scher Verbindungsabbau später als physikalischer oder nie).


Zugriff zeitlich mit Zeitprofilen beschränken

Der AVM Access Server bietet in diesem Zusammenhang mehrere Mög-lichkeiten, um auch bei wenigen verfügbaren B-Kanälen Zugang für„wichtige“ Gegenstellen zu gewährleisten:

! Reservierung von B-Kanälen für bestimmte Ziele (z.B. eine be-stimmte Außenstelle des Unternehmens) in den Einstellungen derISDN-Controller („Verwaltung / Schnittstellen / ISDN #<Num-mer>“). Diese B-Kanäle werden dann aus dem Pool von B-Kanälenherausgenommen.

! Zuweisen einer Priorität in der Zielkonfiguration (Hoch, Mittel,Niedrig). So wird sichergestellt, dass Gegenstellen mit hoher Prio-rität immer einen B-Kanal erhalten. Sind zu dem Zeitpunkt der An-wahl alle B-Kanäle belegt, wird die Verbindung zu einer Gegen-stelle mit niedrigerer Priorität abgebaut. Für Ziele mit hoher Priori-tät muss die Rufnummernüberprüfung eingeschaltet sein, damitvor der Rufannahme die Gegenstelle identifiziert und anhand derZielkonfiguration die hohe Priorität festgestellt werden kann.

5.5 Zugriff zeitlich mit Zeitprofilen beschränkenUm den zeitlichen Zugriff auf das LAN zu regeln, können Sie im Ordner„Verwaltung“ Zeitprofile definieren. Diese werden dann über die Ziel-konfiguration den einzelnen Zielen zugeordnet. So können Sie ein Zeit-profil einrichten, das den Zugriff von Montag bis Freitag und auf die Ge-schäftszeiten beschränkt. Dieses Zeitprofil können Sie dann einementfernten Netzwerk oder einer Benutzergruppe zuweisen. Ein Zugriffaußerhalb der festgelegten Zeiten ist dann nicht möglich.

5.6 Kostenübernahme (COSO)Die ISDN-Funktion „Signalisierung im D-Kanal” ist bei den meistenISDN-Anbietern kostenlos und wird im AVM Access Server zur Kostenü-bernahme (COSO = Charge One Site Only) verwendet.

Mit Hilfe dieser Funktion können Sie für jedes Ziel festlegen, welcheSeite für die Verbindungskosten aufkommt. Dies kann die lokale Seitesein, die Gegenseite oder immer die Seite, die die physikalische Ver-bindung aufbaut.

Da COSO ein reines ISDN-Leistungsmerkmal und noch nicht Bestand-teil eines PPP-Standards ist, muss auch die Gegenseite diese Funktionunterstützen (zum Beispiel NetWAYS/ISDN).


Virtual Private Network (VPN)

Die folgende Grafik veranschaulicht die Vorgänge für den Fall, dass dieKostenübernahme auf „Lokale Seite“ eingestellt ist, das bedeutet, derAVM Access Server übernimmt die Verbindungsgebühren:

Vorgänge bei Einstellung der Kostenübernahme auf „Lokale Seite“

5.7 Virtual Private Network (VPN)Mit dem AVM Access Server können Sie Verbindungen über VPN (Virtu-al Private Network) herstellen. Sowohl räumlich entfernte Netzwerkeals auch räumlich entfernte Einzelplatz-Computer können über eineVPN-Verbindung kostengünstig ans Firmennetz gekoppelt werden. Bis-her wurden meist direkte Wählverbindungen oder eine Festverbindungüber ein öffentliches Netz wie ISDN oder GSM benutzt, um räumlichentfernte Systeme miteinander zu verbinden. Die bei der Direkteinwahlentstehenden Kosten nehmen dabei mit der Entfernung zu. Über VPNslassen sich räumlich entfernte Systeme kostengünstig miteinander ver-binden.

Annehmen deseinkommendenRufes nach evtl.

Echtheitsbestätigung

ISDN

D-Kanal

Signalisierung des Verbindungswunsches

D- und B-Kanal

Übertragung von Datenpaketen in beide RichtungenAbbau der ISDN-Verbindung nach

Inaktivität

D- und B-Kanal

Übertragung von Datenpaketen in beide Richtungen

Lokale Seite(AVM Access Server)

Ablehnen desVerbindungswunsches.Rückruf und dadurch

Kostenübernahme durchlokale Seite

Datenpaket für die entfernte

Seite, z.B. E-Mail

Identifizierung derGegenstelle anhand D-Kanal-Rufnummer

D- und B-Kanal

Entfernte Seite(AVM Access Server)

Datenpaket fürdas entfernte

Netzwerk

Annehmen deseinkommendenRufes nach evtl.

Echtheitsbestätigung

D- und B-Kanal


VPN – Allgemein

VPN – AllgemeinEin räumlich entferntes Netzwerk wird über das Internet mit Hilfe einesvirtuellen privaten Netzes mit dem lokalen Netzwerk verbunden.

Anwendungsbeispiel einer VPN-Verbindung über das Internet

Die Verbindung, die zwischen den beiden Kommunikationspartnerndurch das Internet hergestellt wird, nennt man Tunnel. Über den Tunnelfindet der Datenaustausch statt. Eine Vernetzung im physikalischenSinn findet zwischen den beiden Netzwerken nicht statt, die Vernet-zung ist virtuell. Es handelt sich bei dem virtuellen Netz um eine über-geordnete Struktur, die die vorhandenen öffentlichen Strukturen desInternets nutzt. Die beiden auf diese Weise verbundenen Systeme unddie darauf laufenden Anwendungen werden davon nicht beeinträch-tigt. Die Verbindung ist kostengünstig, weil für beide Seiten lediglichdie Kosten für die Verbindung zum Internetanbieter entstehen.

VPN – Im AVM Access ServerDer Begriff VPN besagt lediglich, dass Systeme oder Netze über öffent-liche Strukturen gekoppelt werden. Welche Mechanismen dazu be-nutzt werden, spielt dabei keine Rolle.

VPN-Verbindungen, die mit dem AVM Access Server hergestellt werden,setzen auf eine bestehende Internetverbindung auf, indem sie die In-frastruktur des Internetanbieters nutzen. Für den Aufbau der VPN-Ver-bindung und somit für die Kopplung der Systeme ist der Internetanbie-ter jedoch nicht zuständig. Der AVM Access Server verfügt über die not-wendige Software, um eine VPN-Verbindung aufzubauen. Da der Auf-bau der VPN-Verbindung unabhängig vom Internetanbieter ist, kannsie über nahezu jeden Internetanbieter hergestellt werden.

Lokales Netzwerk Entferntes Netzwerk

AVM Access Server AVM Access Server

VPN-Tunnel


VPN – Im AVM Access Server

Es wird eine Art Tunnel durch das öffentliche Netz geschaffen, durchden Daten, am besten verschlüsselt, übertragen werden. Die VPN-Soft-ware im AVM Access Server sorgt für die transparente Anbindung derNetzwerke, für die Authentisierung der Kommunikationspartner unddie Verschlüsselung der Daten. Nach dem erfolgreichen Aufbau desTunnels wird auf der Anwendungsebene nichts mehr von einem Tunneloder dem Internet als Medium bemerkt.

Im AVM Access Server können entfernte Netzwerke und entfernte Be-nutzer über eine VPN-Verbindung an das lokale Netzwerk gekoppeltwerden.

! Entfernte Netzwerke

Die Konfigurationen für Verbindungen zu entfernten Netzwerkenwerden im Ordner „Entfernte Netzwerke“ gespeichert. Wenn Sieden Ordner über die rechte Maustaste anklicken und im Kontext-menü „Netzwerk hinzufügen...“ auswählen, dann wird der Assis-tent gestartet, der Sie bei der Konfiguration unterstützt. Im erstenDialog des Assistenten können Sie festlegen, ob die Verbindungüber VPN hergestellt werden soll.

Wenn Sie eine bereits eingerichtete VPN-Verbindung im Ordner„Entfernte Netzwerke...“ markieren, dann werden auf unter-schiedlichen Registerkarten die Einstellungen für die Verbindungangezeigt. Auf den Registerkarten können die Einstellungen geän-dert werden.

! Entfernte Benutzer

Die Benutzergruppen für entfernte Benutzer werden im Ordner„Entfernte Benutzer“ gespeichert. Entfernte Benutzer werden imOrdner der Benutzergruppe gespeichert, zu der sie gehören.Durch die Eigenschaften der Benutzergruppe ist festgelegt, ob ih-re Mitglieder die Berechtigung für den Zugang über VPN haben.Wenn Sie den Ordner „Entfernte Benutzer“ über die rechte Maus-taste anklicken und im Kontextmenü „Gruppe hinzufügen...“ aus-wählen, dann wird der Assistent gestartet, der Sie bei der Konfigu-ration unterstützt. Während der Konfiguration legen Sie fest, obdie Gruppe die Berechtigung für den VPN-Zugang erhält.

Wenn Sie eine Benutzergruppe im Ordner „Entfernte Benutzer“markieren, dann werden auf unterschiedlichen Registerkarten dieEinstellungen für die Gruppe angezeigt. Auf den einzelnen Regis-terkarten können die Einstellungen geändert werden.


Sicherheit

SicherheitDurch die Verbindung über das Internet besteht die Gefahr, dass unbe-rechtigte Dritte auf die Verbindung zugreifen. Durch entsprechende Si-cherheitsmechanismen müssen die folgenden drei Sicherheitskriteriengewährleistet werden:

! Vertraulichkeit: Der Datenaustausch muss verschlüsselt stattfin-den, so dass kein Dritter mithören kann.

! Authentizität: Vor dem Verbindungsaufbau muss eine Authenti-sierung stattfinden, um sicherzustellen, dass die Daten nur vonberechtigten Personen kommen (Anti-Replay).

! Integrität: Es muss sichergestellt werden, dass die Daten auf ih-rem Weg durch das Internet nicht von Dritten verändert werdenkönnen (Man-in-the-Middle-Attacken).

IPSec als VPN-ProtokollFür den Aufbau von VPN-Verbindungen ist ein Protokoll mit den folgen-den Eigenschaften erforderlich:

! Die Unterstützung von Sicherheitsmechanismen, so dass die dreioben genannten Sicherheitskriterien gewährleistet sind.

! Die Fähigkeit, eine Verbindung zu tunneln.

IPSec erfüllt diese beiden Forderungen und wird deshalb im AVMAccess Server als VPN-Protokoll eingesetzt.

IPSec arbeitet auf der Netzwerkebene (Layer 3) und ist somit unabhän-gig von der benutzten Infrastruktur. Allerdings ist IPSec dadurch auf IPbeschränkt, das heißt, es können nur IP-Daten getunnelt werden.

IPSec kann in zwei unterschiedlichen Modi betrieben werden: demTunnelmodus und dem Transportmodus. Im Transportmodus wird keinTunnel aufgebaut und somit kein virtuelles privates Netz hergestellt.Für VPN-Verbindungen ist nur der Tunnelmodus interessant.

Im Tunnelmodus wird ein öffentliches Netz durchtunnelt, das heißt, dieIP-Datenpakete werden nochmals verpackt und erst dann übertragen.Jedes IP-Paket einschließlich dem IP-Header wird in ein neues IPSec-Paket verpackt. Das neue Paket erhält einen neuen IP-Header. Auf die-se Weise lassen sich Einzelplatz-Computer und ganze Netze mitIP-Adressen aus privaten Adressräumen koppeln.

Die folgende Abbildung zeigt das Originalpaket und das Tunnel-Paketmit neuem IP-Header.


IPSec als VPN-Protokoll

Originalpaket und Tunnel-Paket mit neuem IP-Header

In der folgenden Abbildung ist beispielhaft eine VPN-Verbindung imTunnelmodus dargestellt. Ein entferntes Netzwerk wird an das lokaleFirmennetz gekoppelt (siehe auch das Beispiel-Szenario auf der Klapp-karte der vorderen Umschlagseite).

Beispiel: VPN-Verbindung im Tunnelmodus

Die IP-Adressen im obigen Beispiel haben unterschiedliche Bedeutun-gen:

! Lokales Netzwerk

– Das lokale Netzwerk hat die Netz-Adresse 192.168.10.0/24.

– Die Client-Computer im lokalen Netzwerk haben alle eineIP-Adresse aus dem Adressraum der Netz-Adresse.Es handeltsich dabei um private IP-Adressen, die im Internet keine Gül-tigkeit haben. Sie dienen der Kommunikation innerhalb deslokalen Netzwerks.

! AVM Access Server (lokal)

– Der AVM Access Server-Computer gehört ebenfalls zum loka-len Netzwerk.

NutzdatenIP-Header

Originalpaket

Eventuell verschlüsselte NutzdatenIP-HeaderIPSecNeuer IP-Header

Tunnelpaket

Öffentliche IP-Adresse: wird vomInternet-Anbieter dynamisch zugewiesen

Öffentliche IP-Adresse: wird vomInternet-Anbieter dynamisch zugewiesen

Interne IP-Adresse: 192.168.10.1 Interne IP-Adresse: 192.168.20.1

IP-Adresse: 192.168.10.10

Lokales NetzwerkNetz-Adresse: 192.168.10.0 /24

Entferntes NetzwerkNetz-Adresse: 192.168.20.0 /24

IP-Adresse: 192.168.10.20

IP-Adresse: 192.168.10.30

IP-Adresse: 192.168.20.10

IP-Adresse: 192.168.20.20

IP-Adresse: 192.168.20.30

AVM Access Server(entfernt)

AVM Access Server(lokal)

VPN-Tunnel



– Mit der internen IP-Adresse kommuniziert der Computer inner-halb des lokalen Netzwerks.

– Die AVM Access Server-Anwendung ist das Gateway zum Inter-net.

– Die öffentliche IP-Adresse wird dynamisch vom Internetanbie-ter zugewiesen.

! Entferntes Netzwerk

– Das entfernte Netzwerk hat die Netz-Adresse 192.168.20.0/24.

– Die Client-Computer im entfernten Netzwerk haben alle eineIP-Adresse aus dem Adressraum der Netz-Adresse. Es handeltsich dabei um private IP-Adressen, die im Internet keine Gül-tigkeit haben. Sie dienen der Kommunikation innerhalb desentfernten Netzwerks.

! AVM Access Server (entfernt)

– Der AVM Access Server-Computer gehört ebenfalls zum ent-fernten Netzwerk.

– Mit der internen IP-Adresse kommuniziert der Computer inner-halb des entfernten Netzwerks.

– Die AVM Access Server-Anwendung ist das Gateway zum Inter-net.

– Die öffentliche IP-Adresse wird dynamisch vom Internetanbie-ter zugewiesen.

Auf dem Weg zwischen den beiden AVM Access Servern werden die un-terschiedlichen IP-Adressen in den IP-Headern der Originalpakete undder Tunnel-Pakete folgendermaßen verwendet:

IP-Adressen im Originalpaket

Empfänger Die private IP-Adresse des Computers im lokalen Netzwerk, mit dem kommuniziert werden soll.

Absender Die private IP-Adresse des Computers im entfernten Netzwerk, der mit dem Computer im lokalen Netzwerk kommunizieren möchte.

IP-Adressen im Tunnel-Paket

Empfänger Die offizielle IP-Adresse des AVM Access Servers im lokalen Netzwerk.

Absender Die offizielle IP-Adresse des AVM Access Servers im entfernten Netzwerk.



In der folgenden Abbildung werden beispielhaft IP-Adressen für Emp-fänger und Absender eingesetzt:

IP-Adressen im Originalpaket und im Tunnel-Paket

Zugriffsregeln im AVM Access Server

Die internen IP-Adressen der Systeme, die über VPN gekoppelt werdensollen, sind die Basis für die Zugriffsregeln. Zugriffsregeln werden, wieFilterregeln, von oben nach unten durchlaufen. Auch hier gilt: RegelnSie Ausnahmen zuerst! Sobald eine Regel auf ein Paket zutrifft, wirddie für die Regel definierte Aktion ausgeführt. Es gibt die Aktionen„verschlüsseln“ und „nicht verschlüsseln“. Danach ist der Durchlaufder Regeln dür dieses Paket beendet.

NutzdatenIP-Header

Nutzdaten evtl. verschlüsseltIP-HeaderIPSecNeuer IP-Header

Absender IP-Adresse: 172.16.0.10Empfänger IP-Adresse: 172.16.0.1

Das Originalpaket

Das Tunnel- Paket mit neuem IP-Header im Tunnelmodus

Absender IP-Adresse: vom Internet-AnbieterEmpfänger IP-Adresse: 193.96.242.157

zugewiesene IP-Adresse


Die Transportprotokolle von IPSec

! Entfernte Netzwerke

Bei der Konfiguration einer VPN-Verbindung geben Sie dieIP-Netzadressen des lokalen Netzwerks und des entfernten Netz-werks an. Im AVM Access Server wird automatisch eine Zugriffsre-gel generiert, die festlegt, dass nur Pakete mit einer Quell-IP-Adresse aus dem lokalen Netzwerk und einer Ziel-IP-Adresse ausdem entfernten Netzwerk mit IPSec gesichert übertragen werden.

Wenn Sie im Ordner „Entfernte Netzwerke“ eine VPN-Verbindungmarkieren, dann können Sie auf der Registerkarte „VPN“ die Zu-griffsregeln editieren. Sie haben auch die Möglichkeit, weitere Zu-griffsregeln zu definieren.

! Entfernte Benutzer

Die Berechtigung für den VPN-Zugriff wird für entfernte Benutzerin der Benutzergruppe festgelegt. Bei der Konfiguration der Be-nutzergruppe legen Sie den IP-Adressbereich fest, aus dem dieMitglieder der Gruppe ihre IP-Adresse innerhalb des virtuellen pri-vaten Netzes erhalten. Im AVM Access Server wird automatisch ei-ne Zugriffsregel generiert, die festlegt, dass nur Pakete mit einerQuell- und Ziel-IP-Adresse aus dem angegebenen IP-Adressbe-reich mit IPSec gesichert übertragen werden.

Wenn Sie im Ordner „Entfernte Benutzer“ eine Benutzergruppemit VPN-Berechtigung markieren, dann können Sie auf der Regis-terkarte „VPN“ die Zugriffsregeln editieren. Sie haben auch dieMöglichkeit, weitere Zugriffsregeln zu definieren.

Die Transportprotokolle von IPSecIPSec arbeitet mit zwei verschiedenen Transportprotokollen: Authenti-cation Header (AH) und Encapsulation Security Payload (ESP). Die bei-den Protokolle können kombiniert werden und sind sowohl im Tunnel-als auch im Transportmodus einsetzbar.

Eigenschaften des Authentication Header (AH)

! Überprüft die Authentizität der Nutzdaten: AH verfügt über einenMechanismus, mit dem überprüft werden kann, ob der Absenderder Nutzdaten auch tatsächlich der ist, der er zu sein vorgibt.

! Überprüft die Integrität der Nutzdaten: mit demselben Mechanis-mus, mit dem die Authentizität überprüft wird, kann erkannt wer-den, ob die Nutzdaten nachträglich verändert wurden.


Die Transportprotokolle von IPSec

! Gewährleistet Anti-Replay und erkennt Man-in-the-middle-Atta-cken: AH enthält eine fortlaufende einmalige Nummer zum Erken-nen von eingespielten Wiederholungen eines Pakets durch Dritte.

! Verschlüsselt die Nutzdaten nicht!

Die folgende Abbildung zeigt das Paket im Originalzustand und das mitAH versendete Tunnel-Paket.

Paket im Originalzustand und mit AH versendetes Tunnel-Paket

Eigenschaften von Encapsulating Security Payload (ESP)

! Verschlüsselt die Nutzdaten. Im Tunnelmodus wird zusätzlich derIP-Header verschlüsselt. Als symmetrische Verschlüsselungsver-fahren können unter anderem DES, 3DES und AES eingesetzt wer-den.

! Überprüft die Authentizität der Nutzdaten: ESP verfügt über einenMechanismus, mit dem überprüft werden kann, ob der Absenderder Nutzdaten auch tatsächlich der ist, der er zu sein vorgibt.

! Gewährleistet Anti-Replay und erkennt Man-in-the-middle-Atta-cken: ESP enthält eine fortlaufende, einmalige Nummer zum Er-kennen von eingespielten Wiederholungen eines Pakets durchDritte.

Die folgende Abbildung zeigt das Paket im Originalzustand und das mitESP versendete Tunnel-Paket.

Paket im Originalzustand und mit ESP versendetes Tunnel-Paket

NutzdatenIP-Header

Originalpaket

NutzdatenIP-Header

Paket mit Authentication-Header im Tunnelmodus

Neuer IP-HeaderAuthentication

Header

NutzdatenIP-Header

Originalpaket

NutzdatenIP-HeaderESP-Header

Paket mit ESP im Tunnelmodus

NeuerIP-Header ESP-Trailer

ESP-Authentication

verschlüsseltauthentisiert


Aushandlungen

AushandlungenFür die Parameter, die für eine VPN-Verbindung ausgesucht werden,gibt es viele Kombinationsmöglichkeiten. Zum Aufbau einer gesicher-ten VPN-Verbindung müssen sich die VPN-Parteien über die zu verwen-denden Parameter einigen.

Zur Aushandlung der Parameter ist ein weiteres Protokoll notwendig,das Internet-Key-Exchange-Protokoll (IKE). Die während der Aushand-lung getroffenen Vereinbarungen werden in der Security Association(SA) festgehalten:

! die Art der Authentisierung (Zertifikate, pre-shared key oder einanderes Verfahren)

! den zu verwendenden Verschlüsselungs-Algorithmus

! den Hash-Algorithmus

! die Gültigkeitsdauer der gesamten SA

Die SAs sind Sicherheitsrichtlinien mit einer begrenzten Gültigkeits-dauer. Ist diese abgelaufen, muss die SA neu ausgehandelt werden.Für jede Richtung einer Verbindung wird eine separate SA ausgehan-delt. Die IKE-Aushandlung erfolgt in zwei Phasen, für die jeweils eineSicherheitsrichtlinie festgelegt wird. Während der IKE-Phase 1 wird dieIKE-Sicherheitsrichtlinie ausgehandelt und während der IKE-Phase 2die IPSec-Sicherheitsrichtlinie.

Sicherheitsrichtlinien sind Vorschläge für SAs, die der Access Serverder Gegenstelle macht. Wenn die Gegenstelle den Vorschlag annimmt,so besteht eine SA zwischen den beiden verhandelnden Stellen. EinVorschlag kann immer nur für alle Einstellungen einer IKE-Phase ge-macht werden. Daher müssen auf beiden Seiten die selben Sicher-heitsrichtlinien eingestellt sein. Die Vorschläge sind nach einem be-stimmten Schema benannt, das im Expertenkapitel näher beschriebenwird.

Während einer aktiven VPN-Verbindung werden die verwendeten Si-cherheitsrichtlinien in der Monitoring-Ansicht angezeigt. Aktivieren Sieden Ordner „Verbindungssteuerung“ und wählen Sie im Kontextmenüder rechten Maustaste „Eigenschaften“. Auf der Registerkarte „SAs“können Sie die Sicherheitsrichtlinien sehen.


Aushandlungen

IKE-Phase 1

Ziel der IKE-Phase 1 ist es, eine SA für die IKE-Phase 2 auszuhandeln.Dazu nehmen die Gegenstellen die folgenden Aktionen vor:

! Sie teilen sich gegenseitig ihre Identität mit.

! Sie authentisieren sich.

! Sie vereinbaren einen Verschlüsselungs-Algorithmus für die Ver-schlüsselung der anschließenden IKE-Phase 2.

! Sie vereinbaren eine Diffie-Hellman-Gruppe für die Berechnungder Schlüssel.

! Jede Seite generiert einen privaten Schlüssel. Mit Hilfe der Diffi-Hellman-Gruppe wird ein öffentlicher Schlüssel berechnet, derzum privaten Schlüssel passt. Beide Seiten tauschen die öffentli-chen Schlüssel aus. Mit dem eigenen privaten Schlüssel, dem öf-fentlichen Schlüssel der Gegenseite und der Diffie-Hellman-Grup-pe wird der geheime Schlüssel für die Verschlüsselung der IKE-Phase 2 berechnet. Das Ergebnis ist auf beiden Seiten identisch.

! Sie legen die Gültigkeitsdauer der SA fest.

Für die IKE-Phase 1 sind zwei Modi vorgesehen, der main mode und deraggressive mode. Im main mode werden mehr Nachrichten ausge-tauscht als im aggressive mode. Im aggressive mode werden die Iden-titäten in den Nachrichten 1 und 2 ausgetauscht, im main mode erstspäter. Wenn die Authentisierung mit pre-shared keys stattfindet undauf der Gegenseite die öffentliche IP-Adresse dynamisch vom Interne-tanbieter zugewiesen wird und somit nicht bekannt ist, dann muss dieIKE-Phase 1 im aggressive mode stattfinden. Anhand der dynamischzugewiesenen IP-Adresse kann nicht festgestellt werden, um welcheGegenseite es sich handelt, deshalb ist ein früher Austausch der Iden-titäten erforderlich, was nur im aggressive mode gegeben ist.

Bei der Verwendung von Zertifikaten sollte nach Möglichkeit der mainmode verwendet werden.

IKE-Phase 2

In der IKE-Phase 2 werden die SAs für die Verschlüsselung der Nutzda-ten ausgehandelt. Diese Aushandlung erfolgt verschlüsselt und basiertauf den Parametern der SA, die in Phase 1 vereinbart wurde. Folgendeswird ausgehandelt:

! das IPSec-Transportprotokoll (AH und/oder ESP)


Authentisierung mittels Zertifikaten

! der Verschlüsselungs-Algorithmus für die Nutzdaten, die über dieVPN-Verbindung ausgetauscht werden

Im AVM Access Server stehen für die Verschlüsselung der Nutzda-ten die Algorithmen DES, 3DES und AES zur Verfügung. AES ist da-von der modernste und sicherste und unterstützt Schlüssellängenbis zu 256 Bit.

! der Hash-Algorithmus für die Gewährleistung der Integrität derNutzdaten

! der IPSec-Betriebsmodus (Tunnel- oder Transportmodus)

! die Gültigkeitsdauer der SA

! das zufällig generierte Schlüsselmaterial für den Verschlüsse-lungs- und Authentisierungs-Algorithmus

Nach Abschluss der IKE-Aushandlung kann die IPSec-Kommunikationbeginnen.

Authentisierung mittels ZertifikatenDie Authentisierung während der IKE-Phase 1 kann mittels Zertifikatenstattfinden. Der AVM Access Server stellt dazu eigene Zertifizierungs-stellen zur Verfügung, die vom Administrator angelegt werden.

Zertifikate

Ein Zertifikat im klassischen Sinne ist ein Dokument, das einer Personbestimmte Eigenschaften bestätigt. Zertifikate werden von Instanzen,denen allgemeines Vertrauen entgegengebracht wird, ausgestellt undunterschrieben. Eine solche Instanz kann eine Behörde, eine Firmaoder eine andere Institution sein.

Digitale Zertifikate

Ein digitales Zertifikat ist ein digitales Dokument, das zur Überprüfungvon digitalen Unterschriften (Signaturen) verwendet wird. Die Überprü-fung wird mit einem asymmetrischen Verschlüsselungsverfahrendurchgeführt. Ein digitales Zertifikat wird von einer vertrauenswürdi-gen Instanz, einer Zertifizierungsstelle, ausgestellt und digital unter-schrieben.



Asymmetrische Verschlüsselungsverfahren

Asymmetrische Verschlüsselungsverfahren verwenden immer einSchlüsselpaar, das folgende Eigenschaften hat:

! Aus dem einen Schlüssel kann der andere nicht rekonstruiert wer-den.

! Eine Zeichenfolge, die mit dem einen Schlüssel verschlüsselt wur-de, kann nur mit dem anderen entschlüsselt werden. Es spielt da-bei keine Rolle, mit welchem der beiden Schlüssel verschlüsseltwurde.

Einer der beiden Schlüssel wird öffentlich gemacht, der andere bleibtimmer geheim.

Zertifizierungsstellen im AVM Access Server

Im AVM Access Server können im Ordner „Sicherheit“ Zertifizierungs-stellen angelegt werden. Diese Zertifizierungsstellen können digitaleZertifikate für entfernte Benutzer und entfernte Netzwerke ausstellen.

! Beim Anlegen einer Zertifizierungsstelle wird ein so genanntesStammzertifikat erstellt und im Ordner „Sicherheit / Zertifikats-verwaltung“ auf der Registerkarte „Vertrauenswürdige Zertifizie-rungsstellen“ eingetragen.

! Im AVM Access Server wird nur den Zertifizierungsstellen vertraut,von denen ein Stammzertifikat vorliegt.

! Bei der Authentisierung mittels Zertifikaten werden nur Zertifikateakzeptiert, die von einer vertrauenswürdigen Zertifizierungsstelleausgestellt wurden.

Wenn eine externe Zertifizierungsstelle akzeptiert werden soll, dannmuss der öffentliche Teil ihres Stammzertifikats importiert werden.

Zertifikate im AVM Access Server

Bei den im AVM Access Server verwendeten Zertifikaten handelt essich um digitale Schlüsselzertifikate, die dem Standard X.509 der Inter-national Telecommunication Union (ITU) entsprechen. Die Zertifikatewerden im PKCS#12-Format für den Export bereitgestellt.

Ein Zertifikat besteht aus

! der Beschreibung der Eigenschaften des Antragstellers (entfernterBenutzer, entferntes Netzwerk)

! einem öffentlichen Schlüssel



! der digitalen Unterschrift der Zertifizierungsstelle

Beim Erstellen eines Zertifikats wird ein Schlüsselpaar generiert, dasaus dem öffentlichen und dem geheimen Schlüssel besteht. Der öf-fentliche Schlüssel ist Bestandteil des Zertifikats, der geheime Schlüs-sel wird dem Antragsteller zusammen mit dem Zertifikat im PKCS#12-Format übermittelt.

Im AVM Access Server werden alle Zertifikate mit den dazugehörigenSchlüsselpaaren in einer internen Liste verwaltet. Jedes Zertifikat er-hält einen Eintrag auf der Registerkarte „Ausgestellte Zertifikate“ derausstellenden Zertifizierungsstelle.

Ein Zertifikat kann widerrufen werden und wird dann in die Sperrlisteder ausstellenden Zertifizierungsstelle eingetragen. Es ist damit nichtmehr gültig. Ein Widerruf kann nicht rückgängig gemacht werden.

Anmeldung beim AVM Access Server mittels Zertifikaten

Wenn ein entfernter Benutzer oder ein entferntes Netzwerk sich für ei-ne VPN-Verbindung beim AVM Access Server anmeldet und ein Zertifi-kat schickt, dann überprüft der AVM Access Server Folgendes:

! Ist die Gegenstelle im Besitz des privaten Schlüssels, der zum Zer-tifikat gehört?

! Ist das Zertifikat gültig?

Zur Beantwortung der ersten Frage, wird folgendes Verfahren durchge-führt:

1. Der AVM Access Server schickt der Gegenstelle eine zufällig gene-rierte Zeichenfolge.

2. Die Gegenstelle erstellt einen Hash-Code (Fingerabdruck) der Zei-chenfolge. Das zu verwendende Hash-Verfahren ist im Zertifikatfestgelegt.

3. Der AVM Access Server erstellt auch einen Fingerabdruck der Zei-chenkette mit demselben Hash-Verfahren.

4. Die Gegenstelle verschlüsselt den Fingerabdruck mit dem gehei-men Schlüssel. Ein verschlüsselter Fingerabdruck ist eine digitaleUnterschrift (Signatur).

5. Die Gegenstelle schickt den verschlüsselten Fingerabdruck zumAVM Access Server.


Kompressionsverfahren (IPComp)

6. Der AVM Access Server entschlüsselt mit dem öffentlichen Schlüs-sel den von der Gegenstelle verschlüsselten Fingerabdruck. DasErgebnis der Entschlüsselung ist der von der Gegenstelle erstellteFingerabdruck.

7. Nun vergleicht der AVM Access Server den von der Gegenstelle er-stellten Fingerabdruck mit dem selbst erstellten. Wenn es keineUnterschiede gibt, dann ist sichergestellt, dass die Gegenstelle imBesitz des geheimen Schlüssels ist.

Wenn auf diese Weise sichergestellt wurde, dass die Gegenstelle imBesitz des geheimen Schlüssels ist, dann wird die digitale Unterschriftals gültig angesehen.

Ein Zertifikat ist gültig, wenn die folgenden Bedingungen erfüllt sind:

! Das Zertifikat wurde von einer Zertifizierungsstelle ausgestellt, dievom AVM Access Server als vertrauenswürdig angesehen wird.Das heißt, ein Stammzertifikat der Zertifizierungsstelle muss imAVM Access Server eingetragen sein.

! Die digitale Unterschrift der Zertifizierungsstelle ist gültig. DerAVM Access Server kann das überprüfen, da er über das Stamm-zertifikat der Zertifizierungsstelle verfügt. Die digitale Unterschriftist ein mit dem geheimen Schlüssel des Stammzertifikates ver-schlüsselter Fingerabdruck des Zertifikats.

! Das Zertifikat ist nicht abgelaufen.

! Das Zertifikat wurde nicht widerrufen, das heißt es steht nicht inder Sperrliste der ausstellenden Zertifizierungsstelle.

Kompressionsverfahren (IPComp)Verschlüsselte Daten können nicht mehr komprimiert werden. Kom-pressionsverfahren nutzen in der Regel die Tatsache, dass sich be-stimmte Teile einer Nachricht wiederholen. Bei Auftreten der Wiederho-lung wird ein kürzeres Symbol anstatt des sich wiederholenden Teilsverwendet. Ein guter Verschlüsselungs-Algorithmus vermeidet jedochweitgehend Wiederholungen. Es wäre sonst sehr einfach, mittels sta-tistischem Wissen über die verschlüsselte Nachricht – wie etwa dieSprache eines Textes und damit die häufigsten Buchstaben – dieNachricht zu entschlüsseln. Falls dennoch komprimiert werden soll, somuss die Kompression vor der Verschlüsselung stattfinden. Hier bietetsich IPComp an. Innerhalb von IPComp sind drei Kompressionsverfah-ren möglich:


Dynamic DNS

! Deflate (RFC 2394)

! LZS (RFC 3051) – wird auch bei der Stac-Compression (RFC 1974)verwendet

! LZJH (RFC 2395) – entspricht V.44 und wird beispielsweise auchbei dem Modemübertragungsverfahren V.92 verwendet

Im AVM Access Server sind alle drei Verfahren implementiert.

5.8 Dynamic DNSDynamic DNS ist ein Dienst im Internet, der es ermöglicht, dass derAVM Access Server auch ohne feste öffentliche IP-Adresse vom Internetaus über einen festen Domänen-Namen erreichbar ist.

Dynamic DNS wird von freien und auch kommerziellen Anbietern be-trieben. Der AVM Access Server unterstützt die beiden Anbieter „Dyna-mic DNS Network Services“ und „companity“.

Damit Sie diesen Dienst für Ihren AVM Access Server nutzen können,müssen Sie sich bei einem der beiden genannten Dynamic DNS-Anbie-ter registrieren. Sie legen einen Domänen-Namen fest und erhalten dieZugangsdaten für den Dynamic-DNS-Server. Auf der Benutzeroberflä-che des AVM Access Servers geben Sie im Ordner „Internet“ auf der Re-gisterkarte „Gateway-Dienste“ den Domänen-Namen für den AVMAccess Server und Ihre Zugangsdaten an. Bei jedem Verbindungsauf-bau wird dem Dynamic DNS-Anbieter automatisch die aktuelleIP-Adresse des AVM Access Servers mitgeteilt und dem Domänen-Na-men zugeordnet.

Wenn Sie VPN-Verbindungen mit dem AVM Access Server nutzen wol-len und nicht über eine feste IP-Adresse verfügen, dann müssen SieDynamic DNS verwenden, um beim Anlegen der VPN-Verbindung aufder entfernten Seite den Domänen-Namen des AVM Access Servers alsAdresse angeben zu können.


Namensauflösung und Windows Datei- und Druckerfreigabe

5.9 Namensauflösung und Windows Datei- und Druckerfreigabe

Das NetBIOS-NamenssystemWindows-Netzwerke basieren in der Regel auf dem Internetprotokoll IP.Das Internetprotokoll arbeitet ausschließlich mit IP-Adressen wie zumBeispiel 192.168.10.1. Die Kommunikation über IP-Adressen ist für denBenutzer jedoch unvorteilhaft. Daher wurde in Windows das NetBIOS-Namenssystem eingeführt.

Mit Hilfe von NetBIOS kann die in Windows mitgelieferte Datei- undDruckerfreigabe auf Netzwerkressourcen wie Computer, Laufwerkeoder Drucker über Namen zugreifen. Auch der Browser-Dienst, der alleComputer eines LANs im Windows Explorer auflistet, basiert auf Net-BIOS.

NetBIOS stellt eine Vereinfachung für den Benutzer dar, indem es denIP-Adressen leicht zu merkende Namen zuordnet. Für die Netzwerk-kommunikation müssen die NetBIOS-Namen jedoch wieder in IP-Adressen aufgelöst werden. Dafür gibt es verschiedenen Mechanis-men.

In einem lokalen Netzwerk werden NetBIOS-Namen automatisch aufge-löst. Dies geschieht über so genannte Broadcast-Sendungen, die alleComputer im Netzwerk erhalten. Der Computer, der den angefragtenNamen hat, antwortet auf den Broadcast mit seiner IP-Adresse, worauf-hin eine IP-Verbindung aufgebaut wird.

In größeren Netzwerken können die durch Namensauflösung verur-sachten Broadcasts eine erhebliche Belastung der Bandbreite bedeu-ten. Wählleitungen, die in der Regel über wenig Bandbreite verfügen,würden durch die Broadcasts besonders belastet und zudem perma-nent aufgebaut werden. Daher werden Broadcasts in IP-Netzwerken ge-nerell nicht geroutet.

Aufgrund dieser Einschränkung ist die automatische Namensauflösungnur im eigenen Netzwerk möglich. Soll die Namensauflösung netzwerk-übergreifend funktionieren, beispielsweise über eine Remote-Access-oder LAN-LAN-Verbindung, sind entsprechende Verfahren zur Namen-sauflösung einzurichten.


Namensauflösung mit dem AVM Access Server


Vorbereitung

NetBIOS wurde ursprüngliche für lokale Netzwerke entwickelt und hatbeim Einsatz mit On-Demand-Verbindungen Nachteile. Die häufigenKeep-Alive-Pakete können eine Wählleitung permanent aufgebaut hal-ten. Zudem kann die Möglichkeit der Namensauflösung über NetBIOSein Sicherheitsrisiko darstellen.

Der AVM Access Server verfügt daher über einen NetBIOS-Filter, der al-le NetBIOS-Pakete verwirft. Voraussetzung für die Verwendung von Net-BIOS-Namen über Remote-Access- oder LAN-LAN-Verbindungen ist dieDeaktivierung des NetBIOS-Filters. Dies geschieht bei den Einstellun-gen der Benutzergruppe beziehungsweise der LAN-LAN-Verbindung.

Da dies zum unerwünschten Aufbau von Verbindungen führen kann,sollte der Filter nur dann deaktiviert werden, wenn NetBIOS unbedingterforderlich ist. Gleichzeitig sollte das NetBIOS-Spoofing aktiviert wer-den, das NetBIOS-Keep-Alive-Pakete lokal beantwortet und den unnö-tigen Aufbau von Verbindungen verhindert.

NetBIOS wird nicht für die Namensauflösung im Internet benötigt. DerNetBIOS-Filter sollte daher für Internetverbindungen immer aktiviertbleiben.

Verfahren zur Namensauflösung

Neben der Deaktivierung des NetBIOS-Filters sollte in Windows ein ge-eignetes Verfahren zur NetBIOS-Namensauflösung eingerichtet wer-den. Die hier aufgeführten Möglichkeiten sollen nur als Orientierungdienen. Detaillierte Anleitungen zur Namensauflösung finden Sie in derOn-line-Hilfe der Microsoft Betriebssysteme und unter www.micro-soft.de.

Die Namensauflösung kann prinzipiell statisch oder dynamisch erfol-gen.

! Statische Namensauflösung über LMHOSTS

Die statische Namensauflösung erfolgt über eine Textdatei, die sogenannte LMHOSTS-Datei. Im Windows-Systemverzeichnis befin-det sich standardmäßig eine Beispieldatei LMHOSTS.SAM. DieseDatei kann mit dem Programm Notepad editiert und wieder ge-speichert werden.


http://www.microsoft.de

http://www.microsoft.de


Die LMHOSTS-Datei darf keine Endung haben. Die Endung .SAMder Beispieldatei oder .TXT bei einer neu erstellten Datei muss ge-löscht werden.

Der Aufbau der LMHOSTS-Datei ist unkompliziert. Es wird zu-nächst die IP-Adresse (z.B. 192.168.10.1) des Computers eingetra-gen und nachfolgend, durch mindestens ein Leerzeichen ge-trennt, der gewünschte NetBIOS-Name (z.B. Server-Berlin). JedeZuordnung wird in eine neue Zeile geschrieben.

Die LMHOSTS würde dann beispielsweise so aussehen:

192.168.10.1 Server-Berlin

192.168.20.1 Server-Stuttgart

Die LMHOSTS-Datei kann innerhalb von einfachen Netzwerken, indenen nur unregelmäßig Änderungen vorgenommen werden, pro-blemlos eingesetzt werden. Sollten jedoch häufiger Computer-Na-men geändert oder hinzugefügt werden, empfiehlt sich eine dyna-mische Namensauflösung.

Sind alle Computer eingetragen, kann die Datei im Netzwerk ver-teilt werden. Unter Windows 9x wird sie im Windows-Installations-verzeichnis abgelegt (C:\Windows), unter Windows NT/2000/XPunter %SystemRoot%\System32\Drivers\Etc.

! Dynamische Namensauflösung mit WINS

In Netzwerken, in denen sich die IP-Adressen oder Namen derComputer häufig ändern (bedingt z.B. durch dynamische IP-Adressvergabe über DHCP), ist die statische LMHOSTS-Datei un-geeignet. Für solche Netze hat Microsoft den Windows InternetNaming Service (WINS) entwickelt. Der WINS-Dienst ist integralerBestandteil von Windows NT/2000 Server und kann als zusätzli-che Netzwerk-Komponente installiert werden.

WINS legt automatisch eine Datenbank an, bei der sich alle Com-puter im Netzwerk anmelden und ihren Namen sowie ihre aktuelleIP-Adresse hinterlegen. Die Namensauflösung erfolgt ebenfallsüber die WINS-Datenbank. Damit Computer den WINS-Dienst nut-zen, ist lediglich die IP-Adresse des WINS-Servers in den IP-Ein-stellungen der Netzwerkkarte einzutragen.



Da Anfragen zur Namensauflösung nun nicht mehr über Broad-casts, sondern gezielt an die IP-Adresse des WINS-Servers gestelltwerden, ist Namensauflösung über WINS in gerouteten Netzwer-ken und somit auch über Wähl-/VPN-Verbindungen möglich.

! Remote Access mit WINS und NetWAYS/ISDN

NetWAYS Clients, die sich über eine Direkteinwahl mit dem Fir-mennetzwerk verbinden, lernen automatisch die IP-Adresse desWINS-Server, der in der IP-Konfiguration des Computers eingetra-gen ist, auf dem der AVM Access Server installiert ist. Somit mel-den sich die Remote Access Clients automatisch am WINS-Serveran und können die Namensauflösung nutzen.

Die Übergabe eines WINS-Servers bei einer VPN-Verbindung ist,bedingt durch die Spezifikationen von IPSec, nicht möglich. Hierkann der WINS-Server fest in der IP-Konfiguration des NetWAYS-Adapters eingetragen werden. Dabei ist zu beachten, dass die IP-Adresse des WINS-Servers in demselben Netzwerk liegen muss,für das der VPN-Tunnel konfiguriert wurde, da die Anfragen sonstnicht getunnelt werden.

Alternativ ist eine Namensauflösung über DNS möglich. DNS-Ser-ver können auch bei einer VPN-Verbindung übergeben werden. Dadie Namensauflösung über DNS eine reine Windows 2000/XP-Umgebung und einen konfigurierten DNS-Server voraussetzt, wirdhier nicht näher darauf eingegangen.

! LAN-LAN-Kopplung mit WINS

Für die Namensauflösung bei LAN-LAN-Kopplung ist in beidenNetzwerken ein WINS-Server aufzusetzen. Über die Replikations-möglichkeiten von WINS können die WINS-Datenbanken der bei-den Netze regelmäßig abgeglichen werden, so dass auch netz-werkübergreifende Namensauflösung möglich ist.


Hinweis zum Microsoft Browser-Dienst

Hinweis zum Microsoft Browser-DienstDer Browser-Dienst erstellt eine Liste aller aufgelösten Computer-Na-men, um sie im Windows Explorer anzuzeigen. Mit Hilfe des Browser-Dienstes kann das Netz also durchsucht werden.

LMHOSTS und WINS ermöglichen zwar eine netzwerkübergreifende Na-mensauflösung, der Browser-Dienst arbeitet aber nur lokal. Daher istes in der Regel nicht möglich, nach dem Aufbau einer Remote-Access-oder LAN-LAN-Verbindung das entfernte Netz über den Windows Explo-rer zu durchsuchen.


AVM Access Server für Experten

6 AVM Access Server für Experten

Diese kompakte technische Darstellung der Architektur und der Funkti-onen des AVM Access Servers richtet sich ausschließlich an Netzwerk-experten und zielt auf einen raschen Produktüberblick.

6.1 Architektur des AVM Access ServersDer AVM Access Server besteht aus folgenden Komponenten:

Dienste (Usermode)! AVM Access Server (ntmpri, Startart automatisch)

! AVM User Manager for Access Server (ntreud, Startart automa-tisch)

! AVM Webserver for Access Server (webserver, Startart manuell)

! AVM IKE Service for Access Server (avmike, Startart manuell)

! AVM Cert Server for Access Server (certsrv, Startart manuell)

! AVM Crypt Service for Access Server (ntrcrypt, Startart manuell)

Durch die Betriebssystemintegration als Dienst ist der AVM AccessServer sofort nach dem Neustart voll funktionsfähig, ohne dass ein Be-nutzer angemeldet sein muss.

Die Dienste lassen sich über „Verwaltung / Dienste“ oder über dieKommandozeile mit net start <Kurzname> starten und mit netstop <Kurzname> anhalten.

Treiber (Kernelmode)

AVM Access Server Driver (avmasim.sys)

Der „AVM Access Server Driver“ ist ein Intermediate-Treiber, der sichzwischen dem Netzwerkkartentreiber (NDIS) und dem Windows-TCP/IP-Stack befindet.

AVM Access Server – 6 AVM Access Server für Experten 111

Datenbanken

Die folgende Abbildung zeigt das Zusammenspiel des Access ServerDrivers und anderen Komponenten.

Zusammenspiel des Access Server Drivers und anderen Komponenten

Der „AVM Access Server Driver“ kontrolliert als Intermediate-Treiber diegesamte Kommunikation zwischen einer Netzwerkkarte und eines be-triebssystemeigenen Layer3-Protokolls (z.B. IP). Pakete von der Netz-werkkarte können auf diese Weise unabhängig vom IP-Stack des Be-triebssystems geroutet, verändert oder gefiltert werden. Damit der Mic-rosoft-TCP/IP-Stack Pakete an die Netzwerkkarte sendet, deren Ziel-IP-Adressen nicht im Subnetz der eigenen IP-Adresse liegen, muss in denNetzwerkeinstellungen des Betriebssystems an mindestens einer Netz-werkkarte ein Standard-Gateway eingetragen sein. Das Standard-Gate-way kann eine beliebige Adresse aus dem Subnetz dieser Netzwerk-karte sein, es muss sich nicht um eine tatsächlich verwendete IP-Adresse handeln.

Die Routing-Tabelle des Betriebssystem ist mit Ausnahme der Existenzeines Standard-Gateways nicht relevant! Es wird die Routing-Tabelledes AVM Access Servers verwendet. Nur die Routing-Tabelle im AccessServer hat Relevanz.

DatenbankenAlle Einstellungen des AVM Access Servers werden in Microsoft Access-Datenbanken gespeichert. Die Datenbanken befinden sich im Pro-grammverzeichnis des AVM Access Servers und haben die Endung„mdb“. Die Datenbanken werden über die ADO-Schnittstelle von Mic-rosoft angesprochen. Das Microsoft Jet 4.0 Service Pack 6 muss instal-liert sein. Bitte lesen Sie hierzu die Readme.

Access Server Driver

Netzwerkkarte (NDIS)

Microsoft TCP/IP

AVM Access Server

112 AVM Access Server – 6 AVM Access Server für Experten

Oberfläche

Oberfläche! Windows-Oberfläche (gui.exe)

Dies ist die Hauptoberfläche des AVM Access Servers. Über dieseOberfläche können sämtliche Einstellungen des AVM AccessServers komfortabel assistentengestützt konfiguriert werden.

! Web-Interface (webserver)Diese Oberfläche ist über einen beliebigen Javascript 1.2 -fähigenBrowser (z.B. MS Internet Explorer ab Version 4.0) auch über dasNetzwerk zu erreichen, bietet jedoch nicht den Komfort der Win-dows-Oberfläche. Zuständig für die Web-Oberfläche ist der HTTP-Server „AVM Webserver“, der auf TCP-Port 4000 läuft. Der Zugriffauf das Web-Interface erfordert eine Anmeldung. Jeder Windows-Benutzer, der Mitglied in der lokalen Gruppe „Administratoren“ist, hat mit seinem Windows-Kennwort Zugriff auf das Web-Inter-face.

Das Web-Interface nimmt Änderungen direkt in der aktiven Daten-bank (ntr.mdb) vor. Die Windows-Oberfläche hingegen legt eineKopie der Datenbank an. Alle Einstellungen, die in der Windows-Oberfläche vorgenommen wurden, werden daher erst beim Über-nehmen aktiv. Sie sollten nicht mit beiden Oberflächen gleichzei-tig arbeiten, da es sonst zu Inkonsistenzen kommen kann.

6.2 Internetzugang mit dem AVM Access ServerDer AVM Access Server kann über ISDN und DSL eine Internetverbin-dung für das lokale Netzwerk herstellen sowie eine bereits vorhandeneInternetverbindung über Geräte (Router) von Drittherstellern benutzen.Für die ISDN- und DSL-Verbindung zum Internet bietet der AVM AccessServer folgende Leistungsmerkmale:

! Dial on Demand: Verbindungsauf- und abbau nach Bedarf

! IP-Masquerading/NAT ausgehend (für TCP, UDP, GRE, ICMP)

! Destination NAT (Portforwarding) für einkommende Verbindungen(TCP, UDP, GRE)

! DNS-Masquerading, DNS-Anfragen an einstellbare IP-Adresse(Vorbelegung: 192.168.116.252 und .253) werden an die aktuellenDNS-Server des gerade aktiven ISPs weitergeleitet

! IP-Firewall: incoming und outgoing IP-Paketfilter, Stateful Inspec-tion


Parallele Installation von AVM KEN! oder AVM KEN!

! Dynamic DNS, um aus dem Internet auch mit wechselnder (dyna-mischer) IP-Adresse erreichbar zu sein. Direkte Unterstützung fürDynamic DNS-Anbieter (derzeit implementiert für die Anbieterhttp://www.dyndns.org und http://www.dns4biz.com)

! Flatrate-Support: Die Verbindung wird nicht nach Bedarf aufge-baut, sondern sofort beim Start des Dienstes. Eine durch den An-bieter unterbrochene Verbindung wird sofort wieder aufgebaut

! Internetverbindnung bei Anruf aufbauen: Die Internetverbindungkann über einen Sprachanruf ausgelöst werden

ISDN

! Über jeden PPP over ISDN (RFC 1618)-fähigen Internetanbieter undeinen oder mehrere aktive ISDN-Controller.

! Kanalbündelung mit bis zu 30 ISDN-B-Kanälen möglich.

! Datenkompression auf PPP-Ebene mit STAC- oder MPPC-Nutzda-tenkompression (Fast Internet over ISDN)

DSL

! PPP over Ethernet (RFC 2516) über AVM Fritz!Card DSL

! PPP over Ethernet mit externem ADSL-Modem (Anschluss überEthernet)

! PPP over ATM (RFC 2386) mit AVM Fritz!Card DSL

Parallele Installation von AVM KEN! oder AVM KEN!Der AVM Access Server kann parallel zu KEN! installiert werden. Für denInternetzugang, den beide Produkte anbieten, gibt es die Möglichkeitder Internetverbindung über AVM KEN! und der Internetverbindungüber den AVM Access Server.

Internetverbindung über AVM KEN!

Der AVM Access Server benutzt die in KEN! konfigurierte Internetverbin-dung. Aus Sicht des Access Servers stellt sich KEN! als Netzwerkkarte(KEN!-PPP-Adapter) dar. Eine statische Defaultroute auf die IP-Adressedes KEN!-PPP-Adapters muss im Access Server eingetragen werden.Der Einrichtungsassistent erledigt dies automatisch, wenn Sie „Verbin-dung über KEN! “ auswählen. Das Masquerading/NAT erfolgt durchKEN! Wenn der Access Server als VPN-Gateway arbeitet, müssen in


http://www.dyndns.org

http://www.dns4biz.com

Parallele Installation von AVM KEN! oder AVM KEN!

KEN! zwei Gateway-Dienste aktiviert werden: ESP und ISAKMP (KEN!-Expertenmodus: „Internet / Erweiterte Einstellungen / Firewall erlaubteingehende Verbindungen ..., dann Internet / Gateway-Dienste / IPSecVPN-Gateway“). Als VPN-Gateway muss klientenseitig die öffentlicheIP-Adresse oder der Dynamic DNS-Name des KEN! Service PCs eingetra-gen sein.

Da das Masquerading in KEN! vom Access Server in diesem Szenarionicht umgangen wird, sind VPN-Verbindungen nur mit Einschränkun-gen möglich:

! Der Betriebsmodus Authentication Header (AH) kann nicht ver-wendet werden. Diese Einschränkung ist allerdings gering, daauch beim alleinigen Einsatz von ESP fast das gesamte Paket miteiner Prüfsumme versehen wird. Einzig der neue IP-Header, indem die öffentlichen IP-Adressen der beiden Tunnelendpunktestehen, wird nicht mit einer Prüfsumme versehen.

! Die zweite Einschränkung betrifft die Anbindung entfernter Netz-werke über VPN. Hier empfehlen wir, die Internetverbindung überden Access Server zu konfigurieren (siehe nächster Abschnitt)und nicht über KEN!. Diese Einschränkung betrifft nur die Kopp-lung von entfernten Netzwerken über VPN, sie trifft nicht auf ent-fernte Benutzer zu.

Internetverbindung über den AVM Access Server

Eine im AVM Access Server eingerichtete Internetverbindung kann vonKEN! mitbenutzt werden (für E-Mail, Proxy, etc.). Hierzu ist in KEN! le-diglich die Einstellung „Interneteinwahl über KEN! aktiviert“ auszu-schalten.

Hinweis: Die in KEN! gesetzten IP-Filter sind nicht wirksam, es geltenstattdessen die Paketfilter des AVM Access Servers. Der Access Serverarbeitet immer als Router. Wollen Sie den Internetzugang für das lokaleNetzwerk weiterhin nur für bestimmte Dienste (z.B. HTTP, FTP) über denin KEN! enhaltenen Proxy-Server anbieten, so müssen Sie im AccessServer entprechende IP-Paketfilter setzen, die das direkte Routing zwi-schen LAN und Internet unterbinden.


Internetverbindung über einen Router eines Drittherstellers

Internetverbindung über einen Router eines Dritther-stellersDie Internetverbindung kann auch über einen bereits im LAN vorhande-nen Router erfolgen. Falls an diesem Router Network Adress Translati-on (NAT)/IP-Masquerading konfiguriert ist, so müssen zur Nutzung vonVPN am Router Forward-Regeln für zwei Protokolle auf die IP-Adressedes AVM Access Servers eingerichtet werden:

! UDP Zielport 500 (ISAKMP) -> IP-Adresse des Access Servers UDPZielport 500

! ESP -> IP-Adresse des Access Servers

Der IPSec-Betriebsmodus „Authentication Header“ (AH) ist im Zusam-menhang mit NAT auf einem Fremdrouter nicht nutzbar. Im Abschnitt„Internetverbindung über AVM KEN!“ auf Seite 114 werden die Ein-schränkungen erläutert, die ohne AH entstehen.

Dynamic DNSDynamic DNS ist ein Dienst im Internet, mit dessen Hilfe einer sich än-dernden (dynamischen) IP-Adresse ein fester Domain-Name zugeord-net werden kann. Hierfür ist es erforderlich, dem Dynamic DNS-Anbie-ter jede IP-Adressänderung mitzuteilen. Bei den meisten ISDN- undDSL-Internetanbietern wird bei jeder Einwahl eine neue IP-Adresse ver-geben, es muss also bei jeder Einwahl eine Registrierung erfolgen. DerAVM Access Server kann sich momentan automatisch bei den beidenfolgenden Dynamic DNS-Anbietern registrieren: www.dns4biz.com undwww.dyndns.org. Bei beiden Anbietern ist eine einmalige Anmeldungnotwendig. Bei beiden Anbietern entstehen bei Nutzung des Standar-dangebots keine Kosten.

6.3 Verbindung zu entfernten BenutzernIm AVM Access Server ist jeder Benutzer Mitglied in einer Benutzer-gruppe. Alle Eigenschaften der Benutzergruppe gelten auch für jedenBenutzer innerhalb der Gruppe. Jeder einzelne Benutzer verfügt zusätz-lich über individuelle Eigenschaften.

Beim Einrichten einer Benutzergruppe wird ein IP-Adressbereich fest-gelegt, aus dem den Benutzern in der Gruppe die IP-Adressen zugewie-sen werden.


http://www.dns4biz.com

http://www.dyndns.org

IP-Adressvergabe: Statisch oder dynamisch?

IP-Adressvergabe: Statisch oder dynamisch?Im AVM Access Server existieren zwei Arten von Adressbereichen: stati-sche und dynamische. Während bei dynamischen IP-Adressbereichenerst bei der Einwahl des Benutzers dessen IP-Adresse vergeben wirdund diese sich bei jeder Einwahl ändern kann, so steht bei der Benut-zung eines statischen Adressbereichs diese IP-Adresse bereits vor derEinwahl fest und ändert sich nie. Der IP-Adressbereich wird einer Grup-pe entfernter Benutzer zugewiesen. Bei der Nutzung eines statischenIP-Adressbereichs wird beim Neuanlegen eines Benutzers eine freie IP-Adresse aus dem statischen IP-Adressbereich der Gruppe vorgeschla-gen.

Grundsätzlich können IP-Adressen sowohl aus dem Subnetz des Fir-mennetzes als auch aus einem neuen Subnetz vergeben werden.

IP-Adressen aus dem eigenen SubnetzBeispiel

Der Access Server betreibt in diesem Fall „Proxy-ARP“ (ARP = AddressResolution Protocol). Das heißt, alle ARP-Anfragen nach MAC-Adressenfür IP-Adressen aus dem Einwahlbereich (z.B. „Wer hat die Adresse192.168.10.200?“) werden vom Access Server mit der MAC-Adresse desAccess Servers beantwortet. So wird sichergestellt, das Pakete vonHosts aus dem LAN an den Access Server geschickt werden und vondort aus zum eingewählten Benutzer weitergeleitet werden.

Stellen Sie in diesem Fall sicher, dass bei der Verwendung eines DHCP-Servers im LAN die IP-Adressen aus dem Einwahlbereich nicht für dieVergabe im lokalen Netzwerk zur Verfügung stehen! In einem solchenFall wäre es möglich, dass ein Computer im lokalen Netz und ein einge-wählter, entfernter Benutzer über dieselbe IP-Adresse verfügen wür-den. Eine arp-Anfrage würde von beiden Rechnern (dem Access Serverund dem Host im lokalen Netz) parallel beantwortet. Es bliebe dem Zu-fall überlassen, welche Antwort später beim Anfragenden eingeht.

AVM Access Server: 192.168.10.1

Lokales Netzwerk: 192.168.10.0 / 24 (192.168.10.1 bis 192.168.10.254)

IP-Adressbereich für ent-fernte Benutzer:

192.168.10.192 / 26 (192.168.10.193 bis 192.168.10.254)


IP-Adressen aus einem dedizierten Subnetz

IP-Adressen aus einem dedizierten SubnetzBeispiel

In diesem Fall müssen alle Rechner im LAN eine Route zum Netz192.168.20.0/24 kennen.

Falls der Access Server das Default-Gateway im LAN darstellt (das istbeispielsweise immer der Fall, wenn der Access Server auch den Inter-netzugang für das LAN übernimmt), so ist nichts zu tun.

Falls ein anderer Router das Default-Gateway darstellt, so ist in diesemRouter eine Route für das IP-Netz der einwählenden Benutzer auf dieIP-Adresse des Access Servers zu konfigurieren. Im Beispiel wäre andiesem Router die folgende Route (Schreibweise aus Windows) einzu-tragen:

192.168.20.0 mask 255.255.255.0 172.16.1.1 metric 1

Sonstige an entfernte Benutzer übertragene ParameterAlle Einstellungen, die entfernten Benutzern bei der Direkteinwahl überIPCP oder bei der VPN-Verbindung über den config mode zugewiesenwerden, werden vom ersten LAN-Adapter des AVM Access Serversübernommen. Das sind zwei DNS-Server und, bei der Direkteinwahl,außerdem noch zwei WINS-Server. Als Gateway wird bei der Direktein-wahl die IP-Adresse des ersten LAN-Adapters übertragen. Bei der Ver-bindung über VPN werden über den config mode die eingetragenenDNS-Server nur übermittelt, wenn sie auch innerhalb eines IP-Netz-werks liegen, das die Gegenstelle über VPN erreichen kann.

Benutzerdatenbank für entfernte BenutzerDer AVM Access Server verfügt über eine eigene Benutzerdatenbank.Hier können detailliert die Eigenschaften eines Benutzers konfiguriertwerden. Alternativ dazu kann eine bestehende Benutzerdatenbanküber das RADIUS-Protokoll zur Authentisierung der Benutzer verwendetwerden. Beispielsweise kann über RADIUS auf die Windows-Benutzer-datenbank zugegriffen werden. Microsoft bietet hierzu den Dienst „In-

AVM Access Server: 172.16.1.1

Lokales Netzwerk: 172.16.0.0 / 16 (172.16.0.1 bis 172.16.255.254)

IP-Adressbereich für ent-fernte Benutzer:

192.168.20.0 / 24 (192.168.20.1 bis 192.168.20.254)


Anbindung entfernter Netzwerke

ternet Authentication Service“ an. Zur Nutzung des Microsoft-InternetAuthentication Service gibt es unter „Start/Programme/Access Ser-ver/Hinweise zur Nutzung von RADIUS“ eine eigene Anleitung.

6.4 Anbindung entfernter NetzwerkeDer AVM Access Server ermöglicht die Anbindung ganzer Netzwerke andas LAN. Hierzu bietet der Access Server folgende Leistungsmerkmale:

! IP-Routing

! Verbindung über ISDN (Kanalbündelung bis zu 30 B-Kanäle)

! Verbindung über VPN und das Internet

! Netbios-Spoofing

Wie bei der Einbindung entfernter Benutzer können beide Standorte IP-Adressen aus demselben Subnetz benutzen. In diesem Fall kommt Pro-xy-Arp zum Einsatz. Empfehlenswert ist jedoch die Verwendung ver-schiedener Subnetze. Zum Beispiel erhält der Standort Stuttgart dasSubnetz 192.168.20.0/24 und der Hauptsitz in Berlin das Subnetz192.168.10.0/24.

6.5 Windows-Namensauflösung, Datei- und Dru-ckerfreigabeDer AVM Access Server überträgt keine Broadcasts. Daher ist die Win-dows-Namensauflösung (WINS) nicht wie aus dem LAN gewohnt ein-setzbar. Falls Sie freigegebene Ressourcen über ihren WINS-Namen an-sprechen wollen, so müssen Sie entweder einen WINS-Server betrei-ben oder auf jedem Client die erforderlichen Namen in die Datei„LMHOSTS“ aufnehmen.

Bei der Kopplung von Microsoft-Netzwerken mit Active Directory emp-fiehlt sich der Betrieb eines Domain-Controllers an jedem Standort. Ei-ne genaue Anleitung zur Konfiguration von Microsoft-Netzwerken, dieüber WAN-Verbindungen gekoppelt sind, finden Sie im „Active Directo-ry Branch Office Planning Guide“ der Firma Microsoft. Den Link auf dasDokument finden Sie im Kapitel „Weiterführende Literatur“ aufSeite 130.


Filter- und Masqueradingprofile

6.6 Filter- und MasqueradingprofileSie haben die Möglichkeit, an Zielen in entfernten Netzwerken sowiean Internetzielen den Zugriff über IP-Paketfilter zu beschränken. Es gibtsowohl zielgebundene als auch globale, auf sämtliche entfernte Benut-zer, Ziele und Netzwerkkarten wirksame Filter. Eine „Durchlassen“-Re-gel in einem zielgebundenen Filterprofil überschreibt eine anderslau-tende Regel im globalen eingehenden oder ausgehenden Filterprofil.

Architektur der Filterprofile

6.7 VPN und das Protokoll IPSecDer AVM Access Server beinhaltet eine vollständig dem Standard ge-mäße IPSec-Implementierung. Die Leistungsmerkmale im Einzelnen:

! Verschlüsselung mit AES, 3DES, DES

! Nutzdatenkompression mit IPComp

! Authentisierung mit MD5, SHA-1

Globaler Input-Filter

Masquerading/NAT

Oberes eingehendes Filterprofil

IPSec Entschlüsselung


Globaler Output-Filter

Masquerading/NAT

Oberes ausgehendes Filterprofil

IPSec Verschlüsselung


Globaler Forward Filter

durchlassen

durchlassen

EntschlüsselteDaten

Unteres eingehendes Filterprofil

Unteres ausgehendes Filterprofil


VPN und das Protokoll IPSec

! Authentsierung über pre-shared keys

! Xauth und config mode

Die Aushandlung einer IPSec-Verbindung erfolgt über das Protokoll „In-ternet Key Exchange“ (IKE). Ergebnis der Aushandlung sind Vereinba-rungen mit der Gegenstelle, sogenannte „Security Associations“ (SA).Die IKE-Aushandlung erfolgt in zwei Phasen. Die erste Phase dienthauptsächlich zur Authentisierung und zum Bestimmen eines Schlüs-sels zum Sichern der Phase 2. Das Ergebnis der Phase 1 ist in der Regelgenau eine SA.

Identitäten (IDs) in IKE-Phase 1 können sein:

! user full qualified domain name (user-fqdn)

! full qualified domain name (fqdn)

! key ID

! IP-Adresse

! IP-Netz mit Maske

! IP-Adressbereich

Bei entfernten Benutzern wird der eingetragene Benutzername als userfqdn, fqdn und key ID akzeptiert. Bei entfernten Netzwerken kann jededer oben genannten IDs konfiguriert werden. In der Konfiguration „au-tomatisch“ werden die IDs wie folgt abgeleitet:

! Ist die Internetverbindung über KEN! oder einen LAN-Adapter kon-figuriert, so wird die IP-Adresse dieser Netzwerkkarte (KEN! stelltsich ebefalls als Netzwerkkarte dar) als eigene ID gesendet.

! Stellt der AVM Access Server die Internetverbindung selbst her, sowird als eigene ID die IP-Adresse, die vom ISP zugewiesen wurde,verwendet. Ist ein Dynamic DNS-Anbieter konfiguriert, so wirdstattdessen dieser Domainname als fqdn gesendet.

! Bei VPN-Verbindungen zu enfernten Netzwerken wird als entfernteID die Konfiguration „enferntes VPN-Gateway“ erwartet, die ent-weder die IP-Adresse des entfernten VPN-Gateways oder dessenDomänen-Name enthält.

Alle ID-Einstellungen können auch manuell vorgenommen werden.



In IKE-Phase 2 werden die Vereinbarungen (SAs) für die Sicherung derNutzdaten getroffen. Das Ergebnis der Phase 2 sind SAs, in denen imWesentlichen vereinbart wurde,

! ob Daten verschlüsselt werden sollen (Encapsulated Security Pay-load) und mit welchem Verschlüsselungsalgorithmus das gesche-hen soll.

! ob zusätzlich über das gesamte Paket eine Prüfsumme gebildetwerden soll (Authentication Header) und mit welchem Hash-Algo-rithmus das geschehen soll.

! ob Nutzdaten komprimiert werden sollen (IPComp) und mit wel-chem Kompressionsverfahren das geschehen soll.

Auch in der Phase 2 werden IDs benutzt. Bei entfernten Benutzern wirdimmer die Adresse der obersten Zugriffsregel als Identität des AVMAccess Servers an den entfernten Benutzer übermittelt. Bei entferntenNetzwerken sind die Identitäten frei konfigurierbar. In der Einstellung„automatisch“ leiten sich die Phase-2-Identitäten aus der obersten Zu-griffsregel ab.

Sicherheitsrichtlinien sind Vorschläge für SAs. Die Sicherheitsrichtlini-en sind nach fogendem Schema benannt:

Phase 1: Diffie-Hellmann-Gruppe / Verschlüsselungsverfahren / Hash-Algorithmus

Die Diffie-Hellmann-Gruppe, das Verschlüsselungsverfahren und derHasch-Algorithmus können folgende Werte annehmen:

Diffie-Hellmann-Gruppe:

Verschlüsselungsverfahren:

Def Diffie-Hellmann-Gruppe 1

Alt Diffie-Hellmann-Gruppe 2

Aes Advanced Encryption Standard (128 - 256 bit Schlüssellänge)

3DES Triple Digital Encryption Standard (168 bit Schlüssellänge)

DES Digital Encryption Standard (56 bit Schlüssellänge)

All Die Verfahren 3DES und DES werden der Gegenstelle in dieser Rei-henfolge vorgeschlagen



Hash-Algorithmus:

Phase 2: esp-Verschlüsselungsalgorithmus-Hash-Algorithmus / ah-Hash-Algorithmus / Kompression / Perfect Forward Secrecy

Mögliche Verschlüsselungsalgorithmen:

Mögliche Hash-Algorithmen:

Mögliche Kompressionsverfahren:

Perfect Forward Secrecy:

SHA-1 Secure Hash Algorithm 1

MD5 Message Digest 5

All Die Verfahren SHA-1 und MD5 werden der Gegenstelle in dieser Reihenfolge vorgeschlagen

AES Advanced Encryption Standard (128 - 256 bit Schlüssellänge)

3DES Triple Digital Encryption Standard (168 bit Schlüssellänge)

DES Digital Encryption Standard (56 bit Schlüssellänge)

All Die Verfahren AES, 3DES und DES werden der Gegenstelle in dieser Reihenfolge vorgeschlagen

No ESP wird nicht verwendet

SHA-1 Secure Hash Algorithm 1

MD5 Message Digest 5

All Die Verfahren SHA-1 und MD5 werden der Gegenstelle in dieser Reihenfolge vorgeschlagen

Lzjh LZJH (RFC 2395)

Deflate Deflate (RFC 2394)

Lzs LZS (RFC 3051)

No Keine Nutzdatenkompression

pfs Perfect Forward Secrecy verwenden

No-pfs Perfect Forward Secrecy nicht verwenden


Interoperabilität über ISDN

6.8 Interoperabilität über ISDNDurch die Unterstützung des Interoperabilitätsstandards PPP overISDN sowie vieler weiterer PPP-Standards – beschrieben in sogenann-ten RFCs (Request for Comments) – sind Verbindungen zu allen Gegen-stellen möglich, die diese Standards ebenfalls unterstützen.

Zusätzlich zu den RFCs sind im AVM Access Server auch schon neuere,noch nicht allgemein anerkannte PPP-Standards – so genannte Drafts– implementiert. Hierfür soll die Umsetzung verschiedener von AVMentwickelter Spoofing-Verfahren erwähnt werden, die im AVM AccessServer auf Basis des PSCP-Drafts implementiert sind. Der AVM AccessServer unterstützt die folgenden RFCs und RFC-Drafts:

PPP over ISDN

RFC 1144 Compressing TCP/IP Headers for Low-Speed Serial Links

RFC 1332 The PPP Internet Protocol Control Protocol (IPCP)

RFC 1334 PPP Authentication Protocols (PAP)

RFC 1570 PPP LCP Extensions

RFC 1618 PPP over ISDN

RFC 1631 The IP Network Address Translator (NAT)

RFC 1661 The Point-to-Point Protocol (PPP)

RFC 1662 PPP in HDLC-like Framing

RFC 1962 The PPP Compression Control Protocol (CCP)

RFC 1968 PPP Encryption Control Protocol (ECP)

RFC 1974 PPP Stack LZS Compression Protocol

RFC 1989 PPP Link Quality Monitoring

RFC 1990 The PPP Multilink Protocol (MP)

RFC 1994 PPP Challenge Handshake Authentication Protocol (CHAP)

RFC 2118 Microsoft Point-to-Point Compression (MPPC) Protocol

RFC 2125 PPP Bandwith Allocation Protocol (BAP)/PPP Bandwith Allo-cation Control Protocol (BACP)

RFC 2284 PPP Extensible Authentication Protocol (EAP)

RFC 2516 A Method for Transmitting PPP Over Ethernet (PPPoE)

RFC 2663 IP Network Address Translator (NAT) Terminology and Consi-derations

RFC 3022 Traditional IP Network Address Translator (Traditional NAT)


Interoperabilität über ISDN

RFC 3027 Protocol Complications with the IP Network Address Trans-lator

Draft PPP Callback Control Protocol

Draft PPP Protocol Spoofing Control Protocol (PSCP)

IPSec

RFC 1829 The ESP DES-CBC Transform

RFC 1851 The ESP Triple DES Transform

RFC 2104 Keyed-Hashing for Message Authentication (HMAC)

RFC 2394 IP Payload Compression Using DEFLATE

RFC 2395 IP Payload Compression Using LZS

RFC 2401 Security Architecture for the Internet Protocol

RFC 2402 IP Authentication Header (AH)

RFC 2403 The Use of HMAC-MD5-96 within ESP and AH

RFC 2404 The Use of HMAC-SHA-1-96 within ESP and AH

RFC 2405 The ESP DES-CBC Cipher Algorithm With Explicit IV

RFC 2406 IP Encapsulating Security Payload (ESP)

RFC 2407 The Internet IP Security Domain of Interpretation for ISAKMP

RFC 2408 Internet Security Association and Key Management Protocol (ISAKMP)

RFC 2409 The Internet Key Exchange (IKE)

RFC 2410 The NULL Encryption Algorithm and Its Use With IPsec

RFC 2412 The OAKLEY Key Determination Protocol

RFC 2451 The ESP CBC-Mode Cipher Algorithms

RFC 2709 Security Model with Tunnel-mode IPsec for NAT Domains

RFC 3051 IP Payload Compression Using ITU-T V.44 Packet Method

RFC 3173 IP Payload Compression Protocol (IPComp)

RFC 3268 Advanced Encryption Standard (AES) Ciphersuites for Trans-port Layer Security (TLS

Draft Extended Authentication Within ISAKMP/Oakley (XAUTH)

Draft The ISAKMP Configuration Method (config mode)

PPP over ISDN


Wegweiser Kundenservice

7 Wegweiser Kundenservice

Wir lassen Sie nicht im Stich, wenn Sie eine Frage oder ein Problem ha-ben. Ob Handbücher, FAQs, Updates oder Support – hier finden Sie al-le wichtigen Servicethemen.

7.1 ProduktdokumentationenNutzen Sie zum Ausschöpfen aller Funktionen und Leistungsmerkmalevon AVM Access Server folgende Produktdokumentationen:

! Die umfassende Hilfe kann von der Benutzeroberfläche des AVMAccess Servers aus aufgerufen werden. Sie enthält detaillierte Be-schreibungen aller Einstellungsmöglichkeiten und Monitoring-Funktionen.

! Die Readme-Datei zum AVM Access Server enthält wichtige Infor-mationen und Installationshinweise, die zum Zeitpunkt der Druck-legung des Handbuchs noch nicht zur Verfügung standen. Siesollte vor der Installation von der Datei INTRO.HLP aus eingese-hen werden.

! Im Installationsverzeichnis des AVM Access Servers finden Siedas vorliegende Handbuch auch im PDF-Format. Neben der Dar-stellung von Konzept und Einsatzmöglichkeiten des AVM AccessServers, vermittelt das Handbuch Wissen zur Funktionsweise desAVM Access Servers und zum Routing über ISDN und DSL.

Falls Sie nicht über den Adobe Acrobat Reader zum Lesen vonPDF-Dokumenten verfügen, können Sie diesen von der CD ausdem Verzeichnis UTILS\ACROBAT\DEUTSCH installieren.

! Ausführliche Informationen zu Windows XP/2000 und NT erhaltenSie in der entsprechenden Windows-Dokumentation.

7.2Informationen im InternetIm Internet bietet Ihnen AVM ausführliche Informationen zu IhremAVM-Produkt sowie Ankündigungen neuer Produktversionen und neu-er Produkte.

Sie finden AVM im Internet unter folgender Adresse:

www.avm.de

126 AVM Access Server – 7 Wegweiser Kundenservice

http://www.avm.de

Service-Bereich

Service-BereichDer Service-Bereich hilft Ihnen bei allen Fragen rund um Ihr AVM-Pro-dukt:

www.avm.de/service

NewsletterJeden ersten Mittwoch im Monat erscheint der AVM Newsletter. Mitdem kostenlosen Newsletter erhalten Sie regelmäßig Informationenper E-Mail zu den Themen DSL, ISDN, Bluetooth und WLAN bei AVM.Außerdem finden Sie im Newsletter Tipps & Tricks rund um die AVM-Produkte.

Sie können den AVM Newsletter unter folgender Adresse abonnieren:

www.avm.de/newsletter

7.3 UpdatesTreiber- und Firmware-Updates für AVM Access Server stellt Ihnen AVMkostenlos über das Internet bereit. Zum Herunterladen aktueller Soft-ware rufen Sie bitte folgende Adresse auf:

www.avm.de/download

Erfahrene Anwender können Updates auch über den FTP-Server vonAVM herunterladen. Sie erreichen den FTP-Server im Download-Bereichüber den Link „FTP-Server“ oder unter folgender Adresse:

www.avm.de/ftp

7.4 Unterstützung durch das Service-TeamBitte nutzen Sie zuerst die oben beschriebenen Informationsquellen,bevor Sie sich an den Support wenden!

Haben Sie mit den bisherigen Hinweisen und mit Hilfe der diversen In-formationsquellen Ihr Problem nicht lösen können, wenden Sie sich fürweitere technische Unterstützung an den AVM-Support. Sie erreichenden Support per E-Mail oder Fax.

Bevor Sie den Support kontaktierenBevor Sie sich an den Support wenden, stellen Sie bitte die folgendenInformationen zusammen, damit Ihnen schnell geholfen werden kann:

AVM Access Server – 7 Wegweiser Kundenservice 127

http://www.avm.de/ftp

http://www.avm.de/service

http://www.avm.de/newsletter

http://www.avm.de/download

Testverbindung zum AVM Data Call Center (ADC)

1. Eine detaillierte Beschreibung des Problems und eine Skizze IhresWANs mit den IP-Adressen aller beteiligten Komponenten.

2. Die genaue Fehlermeldung, die Sie erhalten haben.

3. Mit der Funktion „Support-Daten erstellen“ wird eine ZIP-Datei er-stellt, die alle für den Support relevanten Informationen Ihrer Kon-figuration erhält.

– Wählen Sie in der Ansicht „AVM Access Server-Konfiguration“den Ordner „Verwaltung“ und wählen Sie dort die Registerkar-te „Service und Support“.

– Klicken Sie im Bereich „Support-Daten“ auf die Schaltfläche„Support-Daten erstellen“. Es wird im Ordner PROGRAMME\AVM\ACCESS SERVER die Datei SUPPORT.ZIP erstellt.

– Schicken Sie diese Datei per E-Mail an den Support.

4. Bei Interoperabilitätsproblemen mit Routern anderer Herstellerführen Sie einen PPP-Mitschnitt durch. Lesen Sie dazu das Kapitel„Paketmitschnitt“ ab Seite 42.

Testverbindung zum AVM Data Call Center (ADC)Wenn Sie Probleme mit Verbindungen zu Gegenstellen haben, dannversuchen Sie bitte vor der Kontaktaufnahme mit dem AVM-Support,eine Testverbindung zum AVM Data Call Center aufzubauen.

Sie können das ADC mit dem im Lieferumfang der ISDN-Controller ent-haltenen Programmen Connect bzw. Connect32 (FTP) oder FRITZ!data(IDtrans oder FTP) erreichen. Die Rufnummer lautet:

+49 (0)30 / 39 98 43 00

Nähere Informationen dazu finden Sie im Readme des ISDN-Control-lers. Aktivieren Sie für eine schnellere Datenübertragung die Optionen„2-Kanaltransfer“ und „Datenkompression“.

! Ist es möglich, mit dem ISDN-Controller erfolgreich eine Testver-bindung zum AVM Data Call Center (ADC) aufzubauen?

! An welcher Stelle der Installation oder an welcher Stelle in der An-wendung erscheint eine Fehlermeldung?

! Wie lautet die Meldung genau?


Support per E-Mail

Support per E-MailÜber unseren Service-Bereich im Internet können Sie uns jederzeit eineE-Mail-Anfrage schicken. Sie erreichen den Service-Bereich unter:

www.avm.de/service

Wählen Sie im Support-Bereich die Produktgruppe „Server-Produkte“und AVM Access Server als Produkt aus. Wählen Sie nun noch das ver-wendete Betriebssystem und ein Schwerpunktthema. Mit Klick auf dieSchaltfläche „weiter“ erhalten eine Auswahl häufig gestellter Fragen.

Benötigen Sie noch weitere Hilfe, dann erreichen Sie über die Schalt-fläche „weiter zum Mail-Support“ das E-Mail-Formular. Füllen Sie dasFormular aus und schicken Sie es über die Schaltfläche „senden“ zuAVM. Unser Support-Team wird Ihnen bald per E-Mail antworten.

Support per TelefaxWenn Sie keinen Internetzugang haben, dann erreichen Sie den Sup-port per Telefax unter folgender Rufnummer:

00 49 (0)30 / 39 97 62 66

Bereiten Sie folgende Informationen für Ihren Berater vor:

! Geben Sie Ihren Product Identification Code an, der sich auf derCD-Hülle befindet.

! Mit welcher Version des AVM Access Servers arbeiten Sie? DieVersionsnummer können Sie im Readme nachlesen.

! Mit welchem Microsoft Service Pack arbeiten Sie?

! Welches Betriebssystem ist auf dem Rechner installiert, auf demder AVM Access Server installiert ist – Windows XP, 2000 oderWindows NT?

! Mit welchem Netzwerkprotokoll arbeiten Sie?

! Welchen ISDN-Controller verwendet der AVM Access Server-Com-puter? Mit welcher Treiberversion und mit welchem Build arbeitenSie?

Sie finden die Treiberversion und das Build von AVM ISDN-Cont-rollern in der Datei „Readme“ im Installationsverzeichnis desISDN-Controllers. Wenn Sie FRITZ! auf dem AVM Access Server-Computer installiert haben, finden Sie die Treiberversion auch im

AVM Access Server – 7 Wegweiser Kundenservice 129

http://www.avm.de/service

Weiterführende Literatur

Startmenü von Windows unter „Programme / FRITZ! / FRITZ!versi-on“. Klicken Sie im Fenster FRITZ!version“ auf die Schaltfläche„Systeminformationen“.

! Wird Ihr ISDN-Controller an einer Nebenstellenanlage betrieben?

Wenn Sie diese Informationen zusammengestellt haben, können Sieden Support kontaktieren. Das Support-Team wird Sie bei der LösungIhres Problems unterstützen.

7.5 Weiterführende LiteraturAusführliche Informationen zum Betriebssystem Windows erhalten Siein folgenden Werken:

! Microsoft Press (Hrsg.): Windows 2000 – Die Technische Refe-renz, ISBN 3-86063-273-6

! Microsoft Press (Hrsg.): Microsoft Windows NT Server Version 4,Band Netzwerk, Microsoft Press, Redmond, Washington, 1996

Informationen zur Konfiguration von Microsoft Netzwerken, die überWAN gekoppelt sind, finden Sie im folgenden Dokument:

! Active Directory Branch Office Planning Guide

www.microsoft.com/windows2000/techinfo/planning/activedirectory/branchoffice/default.asp

Informationen zu TCP/IP und IP-Firewalls finden Sie in folgenden Publi-kationen:

! D. B. Chapman/E. D. Zwicky: Building Internet Firewalls, O´Reilly &Associates, 1995

! W. R. Cheswick/S. M. Bellovin: Firewalls and Internet Security, Ad-dison-Wessley, Reading, Massachusetts, 1994

! M. Hein/M. C. Billo (Hrsg.): TCP/IP light, FOSSIL-Verlag GmbH,Köln, 1997

Informationen zum Internetworking allgemein erhalten Sie in:

! L. A. Chappell/R.L. Spicer: Novell’s Guide to Multiprotocol Inter-networking, Novell Press, 1994


http://www.microsoft.com/windows2000/techinfo/planning/activedirectory/branchoffice/default.asp

Glossar

AH (Authentication Header)

Sicherungsprotokoll innerhalb von IPSec. AH gewährleistet, dass dasPaket vom Absender und nicht von einem Dritten stammt und dass kei-ne Veränderungen innerhalb des Pakets während der Übermittlung vonDritten vorgenommen wurden. AH verschlüsselt die Nutzdaten nicht.

ADSL (Asymmetric Digital Subscriber Line)

ADSL ist eine Technologie, die den Internetzugang mit einer hohenBandbreite über die normale Telefonleitung ermöglicht. Die Übertra-gung von Daten beim Herunterladen kann mit bis zu 6 MBit/s erfolgen,in der Gegenrichtung sind bis zu 640 KBit/s möglich. Wählverbindun-gen zu anderen ADSL-Teilnehmern und Dienstekennungen sind nichtmöglich. Diese Technologie wird beispielsweise von der Deutschen Te-lekom AG unter der Bezeichnung T-DSL angeboten.

ISDN und ADSL benutzen unterschiedliche Frequenzbereiche des Tele-fonkabels und können somit parallel betrieben werden.

Amtsholung

Die Amtsholung ist die Ziffer, die innerhalb einer TK-Anlage vorgewähltwerden muss, um eine Amtsleitung zu bekommen. In den meisten Fäl-len ist dies die „0“. Im AVM Access Server legen Sie die Amtsholung fürjeden ISDN-Controller separat fest (im Ordner „Verwaltung/Schnittstel-len“ auf der Registerkarte „Allgemein“). Die Amtsholung wird dann au-tomatisch vor die Rufnummer gesetzt.

AOCD (Advice On Charge During Call)

AOCD steht für Advice On Charge During Call; ein Leistungsmerkmal imISDN. Wenn dieses Merkmal an Ihrem ISDN-Anschluss freigeschaltetist, dann werden Tarifinformationen während der Verbindung nachdem europäischen Standard AOCD übertragen. Informationen zu AOCDerhalten Sie bei Ihrem ISDN-Anbieter.

ARP (Address Resolution Protocol)

Das Address Resolution Protocol (ARP) gehört zur TCP/IP-Protokollsui-te. ARP bildet eine IP-Adresse dynamisch auf die zugehörige Hardware-Adresse (MAC-Adresse) ab. Dies geschieht automatisch und ist norma-lerweise für die Anwendung und den Benutzer unsichtbar.

AVM Access Server – Glossar 131

Um Daten in einem TCP/IP-Netzwerk auszutauschen, muss die senden-de Station die IP-Adresse des Ziels auf die Hardware-Adresse des Zielsabbilden. Die sendende Station schickt dazu ein sogenanntes ARP-Re-quest-Paket, das die IP-Adresse des Ziels enthält. Alle ARP-fähigenSysteme im Netzwerk erkennen dieses Paket, und das System mit derfraglichen IP-Adresse schickt seine Hardware-Adresse mit Hilfe einesARP-Reply-Pakets zurück. Die Kombination IP-Adresse / Hardware-Adresse wird im ARP-Cache der sendenden Station gespeichert.

Authentisierung

Als Authentisierung wird das Überprüfen der Anmeldeinformationen(Name und Passwort) einer Gegenstelle bei ein- und ausgehenden Ru-fen bezeichnet. Diese Überprüfung dient beim AVM Access Server derSicherheit vor unberechtigten Zugriffen und auch der Identifizierungdes Benutzers, wenn die Zuordnung einkommender Rufe anhand derD-Kanal-Rufnummer (CLI) nicht aktiviert ist. Für die Authentisierungstehen die Verfahren PAP und CHAP zur Verfügung. Im AVM AccessServer kann für jedes Ziel festgelegt werden, ob und mit welchem Ver-fahren sich die Gegenstelle beim AVM Access Server identifizierenmuss („Anmeldung auf lokaler Seite“). Für jedes Verfahren müssen einName und ein Passwort konfiguriert werden, die der Gegenseite mitge-teilt werden. Falls die Gegenseite eine Authentisierung des Netzwerkesverlangt („Anmeldung bei der Gegenstelle“), können Sie dafür in derZielkonfiguration und in den den Einstellungen für BenutzergruppenName und Kennwort eingeben. Diese Angaben werden Ihnen von derGegenseite mitgeteilt.

B-Kanal

Ein ISDN-Basisanschluss besteht aus zwei B-Kanälen und einem D-Ka-nal, ein ISDN-Primärmultiplexanschluss aus 30 B-Kanälen und einemD-Kanal. Über die B-Kanäle werden die Daten übertragen. Sie ermögli-chen eine Übertragung mit 64 KBit/s pro B-Kanal. Um die Übertragungzu beschleunigen, können im AVM Access Server bis zu 30 B-Kanälegebündelt werden.

CAPI, siehe „COMMON-ISDN-API (CAPI)“ auf Seite 133

CHAP (Challenge Handshake Authentication Protocol)

Eines der beiden Protokolle für die Authentisierung. Zur Authentisie-rung muss auf der Seite, die die Authentisierung verlangt, ein Nameund ein Kennwort für die Gegenseite konfiguriert werden. Die Gegen-

132 AVM Access Server – Glossar

seite muss diesen Namen und das Kennwort in ihrer Konfiguration ein-getragen haben. Bei der Authentisierung mit CHAP generiert die Seite,die die Identifizierung verlangt, aus dem Namen und einem Zufallswertnach einem festgelegten Algorithmus eine Meldung, die zur Gegensei-te geschickt wird. Diese generiert aus der Meldung und dem Passwort– ebenfalls nach einem festgelegten Algorithmus – einen neuen Wert,der zurückgesendet wird. Die andere Seite wiederum prüft nun, ob dervon ihr berechnete Wert aus ursprünglicher Meldung und Passwort mitdem übereinstimmt, was die Gegenseite zurückgesendet hat. Ist diesder Fall, wird die Verbindung aufgebaut. Der Vorteil dieser Methode ist,dass niemals das Kennwort selbst übermittelt wird. Daher wird dasCHAP-Verfahren als sicher angesehen. CHAP ist in RFC 1334 und RFC1994 beschrieben.

CLIP (Calling Line Identification Presentation)

Übermittlung der Rufnummer über den ISDN-D-Kanal. CLIP ist ein Leis-tungsmerkmal im ISDN, das vom AVM Access Server beispielsweise zurIdentifizierung einkommender Rufe und zum Schutz vor unberechtig-ten Zugriffen verwendet wird. Dieses Leistungsmerkmal muss durchden ISDN-Anbieter auf der anrufenden Seite freigeschaltet sein. InDeutschland kann man CLIP beispielsweise bei der Beantragung einesISDN-Anschlusses anmelden.

Client

Ein Client ist ein Computer in einem Netzwerk, der die Dienste einesServers in Anspruch nimmt, zum Beispiel auf dessen Dateien oder Da-tenbanken zugreift.

COMMON-ISDN-API (CAPI)

CAPI ist eine standardisierte herstellerunabhängige Schnittstelle zwi-schen ISDN-PC-Karten und ISDN-Anwendungen. Diese Schnittstellesteht nach der Installation eines AVM ISDN-Controllers im gesamtenSystem zur Verfügung (aktuelle Version 2.0). Aktuelle CAPI-Treiber er-halten Sie kostenlos über den FTP-Server von AVM (ftp://ftp.avm.de).Der AVM Access Server setzt auf der Anwendungsschnittstelle von CAPI2.0 auf.

D-Kanal

Der D-Kanal dient zur Übertragung von Steuerungsinformationen wiebeispielsweise die Art des benutzten ISDN-Dienstes oder die Rufnum-mer des Kommunikationspartners. Die Bandbreite beträgt 16 KBit/s


beim Basisanschluss und 64 KBit/s beim Primärmultiplexanschluss.Über den D-Kanal können im ISDN Gebühreninformationen (AOCD) unddie Rufnummer der anrufenden Seite (CLIP) übertragen werden. DieLeistungsmerkmale CLIP und AOCD müssen in Deutschland separat be-antragt werden.

DNS (Domain Name Service)

Der Domain Name Service ist ein Adresskonvertierungsdienst, der inTCP/IP-Netzen wie dem Internet die Zuordnung der numerischen Versi-on einer IP-Adresse zur lesbaren Klartextform verwaltet. Er konvertiertdie Namen von Servern in ein numerisches Adressformat.

Da die Vergabe und Eingabe von numerischen IP-Adressen recht um-ständlich ist, werden beim Zugriff auf einen Computer im Internet Klar-textnamen wie zum Beispiel „www.avm.de“ verwendet. Wer aber weißschon, welche IP-Adresse sich hinter „www.avm.de“ verbirgt? DieseZuordnung von Klartextnamen zu numerischen IP-Adressen sowie dieWeiterleitung zu den entsprechenden Computern übernimmt ein DNS-Server. Durch Anfrage bei diesem Server kann ein anderer Computer imInternet, der nur den symbolischen Namen ihres Ziels (beispielsweisewww.avm.de) kennt, die zugehörige IP-Adresse erfahren.

DSL (Digital Subscriber Line), siehe „ADSL (Asymmetric Digital Sub-scriber Line)“ auf Seite 131

Domäne

Eine Domäne ist eine logische Gruppierung von Netzwerk-Servern undanderen Rechnern, die über gemeinsame Sicherheitsmerkmale und In-formationen der Benutzerkonten verfügen. Innerhalb der Domänenwird von den Administratoren je Benutzer ein Benutzerkonto erstellt.Die Benutzer melden sich dann nicht am Server in der Domäne, son-dern an der Domäne selbst an.

Die Bezeichnung Domäne bezieht sich nicht auf einen bestimmten Ortoder eine besondere Art der Netzwerkkonfiguration. Die Standorte vonComputern einer einzelnen Domäne können physisch nahe beieinan-der, wie in einem lokalen Netzwerk (LAN), oder aber auch weit vonein-ander entfernt über die ganze Welt verteilt sein. Die Kommunikation isthierbei über jegliche Art der physischen Verbindung möglich, wie bei-spielsweise über Einwählverbindungen, ISDN, ADSL, Glasfaserkabel,Ethernet, Token Ring, Frame Relay, Satellit und Standleitungen (vgl. Mi-crosoft Corporation, „Microsoft Windows NT Server Version 4 – Netz-werk“, siehe auch „Weiterführende Literatur“ auf Seite 130).


Domänen-Controller

In Windows-Netzwerken können Konteninformationen von Servern ge-meinsam genutzt werden, falls sie in einer oder in mehreren Domänenzusammengefasst sind. Auf einem Server der Domäne, dem DC (Domä-nen-Controller), werden sämtliche Konten gespeichert.

Die Organisation in Domänen ermöglicht den Benutzern, alle Ressour-cen der Domäne mit einem einzigen Benutzernamen und Kennwort zuerreichen. Die Benutzerkontenverwaltung in einer Domäne wird damitvereinfacht, weil Änderungen nur auf dem Domänen-Controller vorge-nommen werden müssen.

DSS1

Europaweit standardisiertes D-Kanal-Protokoll. Alle neueren ISDN-An-schlüsse in Deutschland verwenden DSS1.

Dynamic DNS

Dynamic DNS ist ein Dienst im Internet, der von freien und auch kom-merziellen Anbietern betrieben wird. Mit Dynamic DNS ist ein Serverauch bei wechselnder IP-Adresse vom Internet aus über einen festenDomänen-Namen erreichbar. Um den Dienst nutzen zu können, müs-sen Sie sich bei einem Dynamic DNS-Anbieter registrieren und dabeieinen Domänen-Namen festlegen. Vom Dynamic DNS-Anbieter bekom-men Sie Ihre Zugangsdaten mitgeteilt. Bei jedem physikalischen Auf-bau einer Internetverbindung wird dem Dynamic DNS-Anbieter die ak-tuell gültige IP-Adresse mitgeteilt und mit dem Domänen-Namen ver-knüpft. Ihr Server ist somit über den Domänen-Namen immer erreich-bar.

Wenn Sie mit dem AVM Access Server VPN-Verbindungen nutzen wol-len und Ihr Internetanbieter IP-Adressen dynamisch vergibt, dann müs-sen Sie Dynamic DNS verwenden.

Echtheitsbestätigung, siehe „Authentisierung“ auf Seite 132

ESP (Encapsulating Security Payload)

Sicherheitsprotokoll innnerhalb von IPSec. ESP ermöglicht die Authen-tisierung des Absenders sowie die Verschlüsselung der Nutzdaten undgewährleistet deren Integrität.


FTP (File Transfer Protocol)

FTP ist ein offenes Protokoll, das heißt es ist unabhängig von Bauweiseund Betriebssystem der Computer, auf denen es die Dateiverwaltungund den Datenaustausch regelt. Das FTP setzt unmittelbar auf dem TCPder Schicht 4 des ISO/OSI-Referenzmodells (Transport Layer / Trans-portschicht) auf. Das Protokoll ist in RFC 959 dokumentiert.

Filterprofile

Mit Filterprofilen werden Pakete überprüft, die beim AVM Access Serverankommen oder ihn verlassen. Gegebenenfalls werden die Pakete ausdem Datenstrom gefiltert und nicht übertragen. Der Einsatz von Filter-profilen kann Verbindungskosten reduzieren und die Sicherheit im lo-kalen Netzwerk erhöhen:

! Es können Pakete gefiltert werden, die von einigen Anwendungenin Netzwerken ständig ausgetauscht werden und bei WAN-Verbin-dungen über ISDN zum häufigen und unnötigen Aufbau von Ver-bindungen führen können.

! Es Pakete können gefiltert werden, deren Ziel-IP-Adresse inner-halb von Subnetzen im lokalen Netzwerk liegen, die von außennicht zugänglich sein sollen.

Ein Filterprofil besteht aus einer oder mehreren Filterregeln und einerStandardaktion. Eine Filterregel enthält mehrere Bedingungen und ei-ne Aktion. Wenn ein IP-Paket alle Bedingungen einer Regel erfüllt,dann trifft die Filterregel auf das Paket zu und die Aktion wird auf dasPaket angewendet. Wenn es für ein IP-Paket innerhalb eines Filterpro-fils keine Regel gibt, die auf das Paket zutrifft, dann wird die im Filter-profil enthaltene Standardaktion auf das IP-Paket angewendet.

Der AVM Access Server enthält einige vordefinierte Filterprofile, Siekönnen jedoch auch eigene Filterprofile definieren.

Die Filtermechanismen werden nicht mit der Gegenstelle ausgehan-delt, sondern im AVM Access Server gesetzt. Informationen zu den imAVM Access Server vordefinierten Filtern erhalten Sie im Abschnitt „Fil-ter“ auf Seite 68.

Firewall

Die Firewall-Filter des AVM Access Servers dienen zum Schutz vor uner-laubtem Eindringen in das Netzwerk sowie zur Selektion der Daten undDienste, die für den Zugriff von außen bereitgestellt werden.


Für die Implementierung von Firewalls gibt es verschiedene Mechanis-men. Im AVM Access Server wird die Firewall durch mehrstufige Paket-filter und Network Address Translation realisiert: Der AVM AccessServer überprüft bei jedem ein- und ausgehendem Datenpaket, ob esdem Sicherheitsregelwerk entspricht. Prüfkriterien sind Quell- und Ziel-adresse des Pakets (Netzwerkadresse und Maske), das IP-Protokoll(TCP, UDP, GRE, ESP, AH, ICMP) sowie der Dienst (z.B. FTP, DNS). Die Si-cherheitsregeln werden in globalen und zielgebundenen IP-Filtern ge-speichert. Die Regeln entscheiden darüber, welche Aktion bei einemPaket durchgeführt wird: Paket durchlassen, verwerfen oder mit einerFehlermeldung zurückweisen.

Siehe auch „IP-Masquerading“ auf Seite 141.

Gebührenprofil

Ein Gebührenprofil enthält Informationen zur Länge der Gebührentakteabhängig von Tarifzeiten und vom Tarifbereich, zum Beispiel City. JedesProfil besteht aus zwei Listen mit Gebührentakten über einen Zeitraumvon 24 Stunden: eine Liste gilt für Werktage (Montag-Freitag), die ande-re für die Wochenenden und (optional) Feiertage.

Der AVM Access Server verwendet Gebührenprofile zur Steuerung desphysikalischen Abbaus ungenutzter ISDN-Verbindungen. Wird in derZiel- oder Benutzerkonfiguration für den physikalischen Abbau ein Ge-bührenprofil ausgewählt, wird die Verbindung drei Sekunden vor Endedes Gebührentaktes abgebaut, wenn vorher drei Sekunden lang keineDaten übertragen wurden. Auf diese Weise wird der Gebührentakt opti-mal ausgenutzt. Das ausgewählte Gebührenprofil wird außerdem zurAbschätzung der angefallenen Gebühren verwendet. Die vom AVMAccess Server auf dieser Grundlage berechneten Gebühren werdendann mit dem zielbezogenen oder benutzerbezogenen Budget unddem Budgetwert der globalen Schwellenwerte verglichen. Auf dieseWeise werden unerwartet hohe ISDN-Kosten vermieden.

Hash-Funktion

Eine Hash-Funktion ist ein Algorithmus, der Eingabedaten in eine kür-zere Form, den Hash-Wert oder „Digest“, bringt. One-Way-Hash-Algo-rithmen werden als kryptographische Verfahren bei der Authentisie-rung und beim Erzeugen digitaler Unterschriften angewendet.

! One-Way-Hash-Algorithmen

– Die Eingabedaten können beliebig lang sein.


– Die Ausgabe ist in der Regel von konstanter Länge.

– Aus dem Ausgabewert kann der Eingabewert nicht mehr re-konstruiert werden.

– Der Algorithmus muss hinreichend kollisionsfrei sein, dasheißt, die Wahrscheinlichkeit, dass zwei verschiedene Einga-bewerte denselben Ausgabewert liefern, ist gering.

! Keyed-Hash-Funktionen

Keyed-Hash-Funktionen sind One-Way-Hash-Algorithmen, die zu-sätzlich zum Eingabewert noch einen Schlüssel in die Berechnungeinbeziehen. Keyed-Hash-Funktionen eignen sich somit zur Erzeu-gung von Message Authentication Codes (MAC). Nur wer denSchlüssel kennt, kann den richtigen MAC erzeugen. Die Hash-Funktion wird dadurch noch kollisionssicherer.

HDLC (High-Level Data Link Control)

Ein Übertragungsprotokoll für Datenpakete über serielle Leitungennach ISO. Es handelt sich bei diesem Protokoll um einen strukturiertenSatz von Standards, der die Mittel festlegt, mit denen ungleiche Geräteüber Datennetze miteinander kommunizieren können. HDLC ist ein bit-orientiertes und damit code-unabhängiges Sicherungsprotokoll fürPunkt-zu-Punkt-Verbindungen und Mehrpunktverbindungen. HDLC istvon der ITU-T standardisiert (ITU = International TelecommunicationUnion; ITU-T = ITU Telecommunication Standardization Sector). In HDLCsind bestimmte Frames festgelegt, in denen die Datenblöcke aus derVermittlungsschicht eingebettet und über die physikalischen Verbin-dungen übertragen werden. Nach DIN 66 221 besteht ein HDLC-Rah-men aus der Blockbegrenzung (Flag), dem Adressfeld, dem Steuerfeld,dem Datenfeld, dem Blockprüffeld (FCS) und einer abschließendenBlockbegrenzung. HDLC benutzt Duplex-Betrieb und bietet die Quittie-rung von mehreren Blöcken, in der Regel acht. Die Zusammenfassungvon acht Blöcken zu einer Quittierungseinheit wird Fenster (Window)genannt.

Header

Jedes Datenpaket enthält einen Header, der Informationen über Absen-deradresse-, Zieladresse und verwendetes Protokoll angibt. Um dieÜbertragungsgeschwindigkeiten bei der ISDN-Datenübertragung zu er-höhen und damit Kosten zu sparen, können Header komprimiert wer-den.


HMAC (Keyed-Hash Message Authentication Code)

Message Authentication Code (MAC), der mit einer Keyed-Hash-Funkti-on erzeugt wird. Es kann eine beliebige Hash-Funktion verwendet wer-den. Alle Funktionen der Authentisierung in IPSec basieren auf HMAC.

ICMP (Internet Control Message Protocol)

ICMP befindet sich auf Schicht 3 des OSI-Referenzmodells, und damitauf derselben Ebene wie IP (Network Layer / Vermittlungsschicht). Essetzt auf dem Internet Protocol (IP) auf und wird von IP behandelt, alssei es ein Protokoll einer höheren Schicht.

ICMP ist Bestandteil jeder IP-Implementierung und hat in seiner Eigen-schaft als Transportprotokoll nur die Aufgabe, Fehler- und Diagnosein-formationen für IP zu transportieren, zum Beispiel Informationen überRouten und Zieladressen. Ein Beispiel für einen weitverbreitetenDienst auf der Basis von ICMP ist Ping.

IKE (Internet Key Exchange)

Protokoll, das als Teil von IPSec für die Aushandlung der Verbindungs-parameter zuständig ist. IKE ist als RFC 2490 veröffentlicht.

IP (Internet Protocol)

Innerhalb der TCP/IP-Protokollfamilie ist IP für die Weiterleitung vonDaten zuständig. Es hat generell die Aufgabe, die Datenübertragungzwischen verschiedenen Netzwerken sicherzustellen. Zu den Aufgabenvon IP zählen:

! Datenpaketdienst

! Fragmentierung von Datenpaketen

! Wahl der Übertragungsparameter

! Adressfunktion

! Routing zwischen Netzwerken

! Spezifikation höherer Protokolle

IP stellt keine gesicherte Verbindung zur Verfügung (keine Ende-zu-En-de-Kontrolle), es verlässt sich in dieser Hinsicht auf die Protokolle derhöheren Schichten. Es kann keine verlorenen oder abgelehnten Daten-pakete neu generieren und erneut übertragen. Es ist auch nicht seine


Aufgabe, Datenpakete in der richtigen Reihenfolge beim Empfänger ab-zuliefern. Dies fällt in den Zuständigkeitsbereich der Transportschicht(Schicht 4) des OSI-Referenzmodells.

IP setzt direkt auf Schicht 2 des OSI-Referenzmodells (Data Link Layer /Sicherungsschicht) auf. Das Protokoll ist in RFC 791 beschrieben.

IP-Adresse

Die IP-Adressierung ist fester Bestandteil des Internet Protocols (IP). Ei-ne IP-Adresse besteht aus vier Bytes. Die Darstellung der IP-Adressenerfolgt in dezimaler, oktaler oder hexadezimaler Schreibweise. DerAVM Access Server verwendet die dezimale Schreibweise, bei der dieeinzelnen Bytes durch Punkte voneinander getrennt werden. Die Ge-samtmenge der IP-Adressen – der Adressraum – wird in Klassen (A, B,C, D und E) getrennt. Von den fünf Adressklassen werden nur die erstendrei Klassen genutzt. Diese Klassen sind durch folgende Merkmale ge-kennzeichnet:

Merkmale der IP-Adressklassen

Jede IP-Adresse enthält zwei Informationen: die Netzwerkadresse unddie Computeradresse. Die Bereichsgrößen der Netzwerkadresse undder Computeradresse sind variabel, sie werden durch die ersten vierBits (des ersten Byte) einer IP-Adresse bestimmt.

! Klasse-A-Adressen bestehen aus einem Byte Netzwerkadresseund drei Byte Computeradresse:

Klasse-A-Adresse

Beispiel: 88.120.5.120 (88 definiert die Netzwerkadresse,120.5.120 die Computeradresse).

Klassen Merkmale Netzadresse, dezimaler Wert

Klasse-A-Adresse Wenig Netzwerke, viele Netzknoten 0-127

Klasse-B-Adresse Mittlere Verteilung von Netzwerken und Netzknoten

128-191

Klasse-C-Adresse Viele Netzwerke, wenig Netzknoten 192-223

X._._._

Netzwerkadresse

Rechneradresse


! Klasse-B-Adressen bestehen aus zwei Byte Netzwerkadresse undzwei Byte Computeradresse:

Klasse-B-Adresse

Beispiel: 130.6.2.130 (130.6 ist die Netzwerkadresse, 2.130 ist dieComputeradresse).

! Klasse-C-Adressen bestehen aus drei Byte Netzwerkadresse undeinem Byte Computeradresse:

Klasse-C-Adresse

Beispiel: 195.15.15.1 (195.15.15 ist die Netzwerkadresse, 1 ist dieComputeradresse).

RFC 1918 (Address Allocation for Private Internets) beschreibt folgendeBlöcke des IP-Adressraums als geeignet für private LANs:

10.0.0.0 – 10.255.255.255 (10/8 prefix)172.16.0.0 – 172.31.255.255 (172.16/12 prefix)192.168.0.0 – 192.168.255.255 (192.168/16 prefix)

IP-Maske, siehe „Subnetzmasken (Masken)“ auf Seite 147

IP-Masquerading

Ein Netz, eine IP-Adresse: Mit IP-Masquerading reicht eine „offizielle“IP-Adresse für die Kommunikation zwischen privatem LAN und dem öf-fentlichen Internet aus. Der AVM Access Server bearbeitet die IP-Adres-sen in den TCP-, UDP- und ICMP-Paketen so, dass effektiv zum Internethin nur eine IP-Adresse sichtbar ist. Also können diese Hosts eines pri-vaten LAN interne („inoffizielle“) IP-Adressen für die Kommunikationmit dem Internet nutzen. Die Abschirmung eines in dieser Weise ge-schützten Systems zu durchbrechen ist beträchtlich schwieriger, als ei-ne gute Paket-Filter-basierende Firewall zu überwinden.

X.X._._

NetzwerkadresseRechneradresse

X.X.X._

Netzwerkadresse

Rechneradresse


Siehe auch „NAT (Network Address Translation)“ auf Seite 143.

IPSec (Internet Protocol Security)

Sicherheitsstandard für die Netzwerkschicht in der Netzwerk-Kommu-nikation. IPSec eignet sich sehr gut für VPN-Verbindungen und denLAN-Zugriff entfernter Benutzer über DFÜ-Netze. IPSec verwendet diebeiden Sicherheitsprotokolle Authentication Header (AH) und Encap-sulating Security Payload (ESP). AH ermöglicht die Authentisierung desAbsenders; ESP ermöglicht sowohl Authentisierung als auch Verschlüs-selung. Die spezifischen Informationen des Sicherheitsprotokolls ste-hen in einem Header, der an den IP-Header angehängt wird.

Keep-Alive-Pakete

Keep-Alive-Pakete werden periodisch im gesamten Netzwerk ausge-sendet, um zu überprüfen, ob beispielsweise ein Client noch aktiv ist.Erhält die sendende Station keine Antwort, unterbricht sie die logischeVerbindung.

LAN (Local Area Network)

Ein LAN ist ein räumlich begrenztes Netzwerk von Computern, wie bei-spielweise das Kommunikationsnetz eines Unternehmens oder einerBehörde. Entfernte Computer können sich über ISDN, ADSL, GSM oderVPN und der entsprechenden Software (z.B. AVM Access Server) in denRemote Access Server eines LANs einwählen.

Logische ISDN-Verbindung

Als logische ISDN-Verbindung wird der Zustand bezeichnet, in demsich eine Verbindung für beide beteiligten Gegenstellen als aktiveISDN-Verbindung darstellt. Während der logischen ISDN-Verbindungmuss nicht permanent ein B-Kanal aufgebaut sein. Beim AVM AccessServer sind während der gesamten Dauer der logischen ISDN-Verbin-dung alle Informationen bekannt, die beim ersten Verbindungsaufbauzwischen den beiden Seiten ausgehandelt wurden. Dazu gehören dasverwendete Netzwerkprotokoll, ob und auf welche Weise eine Authen-tisierung durchgeführt wird, Spoofingmechanismen und Kanalbünde-lung. Ist kein B-Kanal aktiv und es stehen Daten zur Übertagung an,kann sofort ein B-Kanal aufgebaut werden.

Internetverbindungen kennen keine logischen ISDN-Verbindungen, dadieser Zustand von den Internetanbietern nicht unterstützt wird.


Logische Netzwerkverbindung

Die logische Netzwerkverbindung bezeichnet die Verbindung zwischenzwei LANs oder einem LAN und einem Client auf Netzwerkprotokoll-Ebene. Solange eine logische Netzwerkverbindung besteht, ist die Ge-genseite dem Router bekannt.

Metrik

Mit dem Wert für die Metrik wird eine Gewichtung von Routen vorge-nommen. Wenn mehrere Routen zu einem Ziel definiert und verfügbarsind, wählt der AVM Access Server die Route mit dem niedrigsten Me-trik-Wert, da diese als „beste Route“ eingestuft wurde.

MSN (Multiple Subscriber Number = Mehrfachrufnummer)

Mehrfachrufnummern dienen im Euro-ISDN (D-Kanal-Protokoll DSS1)zur Unterscheidung von mehreren Endgeräten an demselben S0-Busoder mehreren CAPI-Anwendungen auf demselben Rechner.

Im Bereich der Deutschen Telekom AG werden einem ISDN-Standard-anschluss drei MSNs Mehrfachrufnummern zugewiesen.

NetBIOS (Network Basic Input/Output System)

Standard für die Unterstützung der Netzwerkkommunikation, der un-abhängig von den jeweiligen Transporttypen ist. NetBIOS ist die Stan-dardschnittstelle in Microsoft-Netzwerken und kann sowohl über IP alsauch IPX transportiert werden. NetBIOS versendet zahlreiche Broad-casts (Rundsendungen), die mit Hilfe der speziellen Filter des AVMAccess Servers abgefangen werden können, um die Verbindungskos-ten zu reduzieren.

NAT (Network Address Translation)

NAT ist ein Verfahren, bei dem IP-Adressen und Ports in den Headernder IP-Pakete mit anderen als den ursprünglichen Werten überschrie-ben werden. Der AVM Access Server führt bei NAT eine Tabelle, die einefeste Zuordnung der ursprünglichen Werte von IP-Adresse und Port aufdie neuen Werte herstellt. Bei einkommenden Verbindungen, die einWeiterleitungsprofil benutzen, ist diese Tabelle statisch. Bei ausgehne-den Verbindungen, die IP-Masquerading benutzen, ist sie dynamisch.

IP-Masquerading und Weiterleitungsprofile sind spezielle Formen vonNAT.


Beim IP-Masquerading werden die Absender-IP-Adressen in den TCP-,UDP- und ICMP-Paketen mit der aktuellen, öffentlichen IP-Adresse desAVM Access Servers überschrieben. Die aus dem Internet ankommen-den Antwortpakete für diese Verbindung werden dann wieder an dieursprüngliche IP-Adresse des Clients im LAN weitergeleitet. Auf dieseWeise kann das LAN hinter einer einzigen öffentlichen IP-Adresse ver-steckt werden. IP-Masquerading wird auch als Source NAT bezeichnet.

Mit Hilfe von Weiterleitungsprofilen wird in ankommenden Paketen dieZiel-IP-Adresse, also die öffentliche, nach außen hin sichtbare IP-Adresse des AVM Access Servers, mit einer internen IP-Adresse über-schrieben. Somit können beispielsweise einkommende E-Mails (SMTP)vom AVM Access Server auf definierte Hosts im privaten LAN weiterge-leitet werden, auch wenn die Verbindung ins Internet über eine dyna-mische, vom Internetanbieter zugewiesene IP-Adresse benutzt wird.Weiterleitungsprofile werden auch als Destination NAT bezeichnet.

Netzwerkadresse, siehe „IP-Adresse“ auf Seite 140

PAP (Password Authentication Protocol)

Eines der beiden Protokolle für die Authentisierung. Auf der Seite, diedie Authentisierung verlangt, müssen ein Name und ein Passwort fürdie Gegenseite konfiguriert werden. Die Gegenseite muss diesen Na-men und das Passwort in ihren Einstellungen eingetragen haben. Beider Authentisierung mit PAP werden der Name und das Passwort imKlartext übertragen, und die Gegenseite prüft, ob diese mit den eige-nen Einstellungen übereinstimmen. Ist dies der Fall, wird die Verbin-dung aufgebaut. Da PAP das Kennwort im Klartext überträgt, sollte PAPnur dann zum Einsatz kommen, wenn die Gegenstelle nicht das deut-lich sicherere CHAP beherrscht.

Physikalische ISDN-Verbindung

Bei der physikalischen ISDN-Verbindung sind tatsächlich ein oder sindmehrere B-Kanäle aufgebaut, und es entstehen Verbindungsgebühren.Die physikalische ISDN-Verbindung baut immer auf der logischenISDN-Verbindung auf, d.h., die ausgehandelten Verbindungsparameterwerden verwendet.

Ping (Packet InterNet Grouper)

Programm zum Testen, ob ein Host erreicht werden kann. Das Pro-gramm schickt eine ICMP-Anfrage an einen IP-Host und wartet auf eineentsprechende Antwort. Mit Hilfe der Option „-w“ nach dem Befehl


„ping“ können Sie festlegen, wie viele Millisekunden das Programmauf eine Antwort warten soll (Timeout). Da der Verbindungsaufbauüber ISDN und die Aushandlung der Gegenstelle einige Sekunden dau-ern kann, sollten Sie bei einem Ping über ISDN als Timeout 5000 ange-ben.

PPP, siehe „PPP over ISDN (Point-to-Point-Protocol)“ auf Seite 145

PPP over ISDN (Point-to-Point-Protocol)

Übertragungsprotokoll auf verbindungsorientierten Netzen wie zumBeispiel ISDN, das eine protokollunabhängige Übertragung auf derISO/OSI Schicht 2 zur Verfügung stellt. Das Protokoll besteht aus einerReihe von Standards und Unterprotokollen. Diese beschreiben für ver-schiedene Netze den Aufbau der übertragenen Daten. Dadurch soll ge-währleistet werden, dass die Kommunikationsgeräte verschiedenerHersteller einheitliche Verfahren zur Kommunikation verwenden. PPPover ISDN ist in RFC 1618 beschrieben.

Port

Innerhalb von TCP- und UDP-Verbindungen dienen Ports der Unter-scheidung von Verbindungen. Wenn auf einem Computer mehr als eineVerbindung offen ist, reicht die IP-Adresse alleine nicht aus, um Ant-worten, die ankommen, der richtigen Verbindung zuzuordnen. Bei aus-gehenden Anforderungen oder Antworten vergibt das Betriebssystemdie Portnummern fortlaufend. Im IP-Masquerading-Modul von AVMAccess Server werden die Portnummern den Verbindungen zugeord-net.

Well-known-Ports sind Portnummern, die von der IANA (Internet Assig-ned Numbers Authority) bestimmten Diensten und Anwendungen zu-geordnet wurden. Well-known-Ports sind aus dem Bereich von 0 bis1023.

Proxy ARP

Proxy ARP ist kein Protokoll, sondern eine Erweiterung des AVM AccessServers, die ARP-Anfragen mit Hilfe der aktuell gültigen Routing-Tabellebeantwortet. Der AVM Access Server beantwortet dann ARP-Anfragenanstelle der per ISDN angeschlossenen Stationen. Dadurch können perISDN an ein LAN angebundene entfernte Benutzer oder kleine Netzedenselben IP-Adressbereich nutzen, der auf dem LAN-Strang des AVMAccess Server gültig ist. Dies verringert den Konfigurationsaufwand.


RADIUS (Remote Authentification Dial-In User Service)

Standard-Dienst auf der Basis von IP zur Authentisierung und Erfas-sung von Accounting-Daten (Kosten-/Nutzungsdaten) für einwählendeBenutzer. Bei der Einwahl eines entfernten Benutzers leitet der AVMAccess Server eine Anfrage mit Benutzernamen und Passwort des Be-nutzers an den RADIUS-Server weiter. Dieser führt die Authentisierungdurch und sendet die Bestätigung sowie eine Reihe von Konfigurati-onsinformationen (z.B. IP-Adresse für den Benutzer) zurück. Das RADI-US-Protokoll ist in RFC 2058, das RADIUS-Accounting in RFC 2139 defi-niert.

RIP (Routing Information Protocol)

Das Routing Information Protocol (RIP) dient zum Austausch von Rou-ting-Informationen zwischen Netzwerken (IP und IPX). Ein RIP-Routerist ein Computer oder eine andere Hardware-Komponente, die Routing-Informationen (wie z.B. Netzwerkadressen) überträgt und IP-Rahmenin verbundenen Netzwerken weiterleitet. RIP ermöglicht einem Router,Routing-Informationen mit Routern in der Netzwerkumgebung auszu-tauschen. Wenn ein Router irgendeine Veränderung in der Struktur desNetzwerkverbundes erkennt (z.B. einen nichtverfügbaren Router), lei-tet er die Informationen an die Router in der Netzwerkumgebung wei-ter. Router versenden außerdem regelmäßig RIP-Rundsendungspaketemit allen Routing-Informationen, über die der Router verfügt. Durchdiese Übertragungen werden alle Router des Netzwerkverbundes syn-chronisiert.

Route

Eine Route beschreibt den Weg, den ein Datenpaket zurücklegen muss,um sein Ziel zu erreichen. Beim Empfänger der Datenpakete muss eineRückroute definiert sein, damit die Antwortpakete an den Absender ge-schickt werden können.

Short-Hold-Modus

Unter Short-Hold-Modus versteht man den physikalischen Abbau inak-tiver ISDN-Verbindungen nach einer festgelegten Zeitspanne. Für physi-kalisch aktive ISDN-Verbindungen (B-Kanal belegt) fallen Gebühren an,egal, ob gerade Daten übertragen werden oder nicht. Da der Verbin-dungsaufbau über ISDN sehr schnell ist (1 bis 2 Sekunden), bietet essich an, die physikalische ISDN-Verbindung abzubauen, wenn längereZeit keine Daten mehr über die Leitung gehen. Die logische ISDN-Ver-bindung bleibt je nach Konfiguration bestehen. Sobald dann Daten zur


Übertragung anstehen, wird die physikalische Verbindung unterlagertwieder aufgebaut. Dies geschieht für den Anwender im Netzwerk trans-parent.

SMTP (Simple Mail Transfer Protocol)

SMTP ist ein Standardprotokoll zum Austausch von elektronischer Post(E-Mail) zwischen verschiedenen Computern. SMTP setzt unmittelbarauf TCP Port 25 auf. Es ist einfach strukturiert und unterstützt nur denVersand von E-Mail über ein Datennetz. Das Protokoll wurde in RFC 821definiert.

Spoofing

Englisch „to spoof“ = verballhornen, hier im Sinne von vorgaukeln.

Erfahrungsgemäß tauschen einige Anwendungen in Netzwerken stän-dig Pakete aus, die bei WAN-Verbindungen über ISDN zu häufigem undunnötigem Aufbau von Verbindungen führen können. Manche Paketty-pen, vor allem vor allem die der Windows Datei- und Druckerfreigabe,verlangen eine Bestätigung der Gegenseite und dürfen deshalb vomAVM Access Server nicht einfach aus dem Datenstrom herausgefiltertwerden, da sonst die Anwendung nicht mehr am Server angemeldetist.

Unter Spoofing versteht man das lokale Beantworten von Paketendurch einen Router. Besteht eine physikalische ISDN-Verbindung, wer-den solche Pakete über die ISDN-Leitung geschickt. Sobald die physi-kalische Verbindung durch den Inactivity Timeout (Zeitspanne bis zumphysikalischen Verbindungsabbau) abgebaut worden ist und die logi-sche ISDN-Verbindung noch besteht, beantwortet der Client lokal diePakete und täuscht somit die Existenz einer physikalischen Verbin-dung zur Gegenseite vor. Nachdem die physikalische ISDN-Verbindungdurch Datenpakete wieder aufgebaut wurde, wird das Spoofing einge-stellt und es werden beispielsweise Watchdog-Pakete wieder überISDN übertragen.

Die verwendeten Spoofing-Mechanismen werden beim Verbindungs-aufbau mit der Gegenstelle nach PSCP Draft ausgehandelt. Unterstütztdie Gegenstelle kein Spoofing, wird diese Funktion deaktiviert.

Subnetzmasken (Masken)

Durch die Verwendung von Subnetzmasken kann der „Rechnerteil“ ei-ner Adressklasse in einen Subnetzteil umgewandelt werden. Dieser un-terscheidet sich dann nicht in der Behandlung durch andere Rechner


oder Router. Die Subnetzmaske gibt an, welche Bereiche als Subnetz-und welche als Rechneradresse interpretiert werden. So wird beispiels-weise eine Klasse-A-Adresse mit einer Standard-Subnetzmaske von 8(255.0.0.0), durch die Subnetzmaske 16 (255.255.0.0) zu einer quasi


Klasse-B-Adresse und durch die Subnetzmaske 24 (255.255.255.0) zueiner quasi Klasse-C-Adresse. Eine einzelne IP-Adresse wird mit derMaske 255.255.255.255 bzw. /32 beschrieben.

Die folgende Tabelle gibt einen Überblick über diese Umsetzung:Bereich Anzahl IP-Adressen Bitmaske (von 32) Subnetzmaske

000-255 256 /24 255.255.255.0

000-127128-255

128 /25 255.255.255.128

000-063064-127128-191192-255

64 /26 255.255.255.192

000-031032-063064-095096-127128-159160-191192-223224-255

32 /27 255.255.255.224

000-015016-031032-047048-063064-079080-095096-111112-127128-143144-159160-175176-191192-207208-223224-239240-255

16 /28 255.255.255.240


Subnetzmasken im AVM Access Server

TCP (Transmission Control Protocol)

TCP ist für den Einsatz über paketvermittelten Netzwerken geeignet. Essetzt unmittelbar auf dem Internet Protocol (IP) auf und bietet virtuelleVerbindungsdienste zur gesicherten Übertragung der Anwenderdatenin der richtigen Reihenfolge. Es gewährleistet eine zuverlässige Verbin-dung zwischen zwei Kommunkationspartnern. TCP ist als RFC 793 ver-öffentlicht.

000-007008-015016-023024-031032-039040-047048-055056-063064-071072-079080-087088-095096-103104-111112-119120-127128-135136-143144-151152-159160-167168-175176-183184-191192-199200-207208-215216-223224-231232-239240-247248-255

8 /29 255.255.255.248

Bereich Anzahl IP-Adressen Bitmaske (von 32) Subnetzmaske


TCP/IP-Adresse, siehe „IP-Adresse“ auf Seite 140

Tunneling-Technik

Ein Verfahren, bei dem Datenpakete des einen Protokolls mit Hilfe ei-nes anderen Protokolls übertragen werden. Zwischen den Endpunktenwird eine virtuelle Verbindung aufgebaut, die man Tunnel nennt. DieDaten des einen Protokolls werden am Tunnelanfang in die Datenpake-te des zweiten Protokolls verpackt. Am Ende des Tunnels werden siewieder entpackt.

VPN (Virtual Private Network)

Internationale Bezeichnung für geschlossene logische Datenetze aufder Basis virtueller Verbindungen.

Unter einem virtuellen privaten Netz versteht man ein firmen- oder in-stitutionseigenes Netz von größerer Ausdehnung, das auf die vorhan-denen Strukturen eines öffentlich zugänglichen Netzes aufsetzt.

Virtuelle private Netze nutzen die Tunneling-Technik, ein Verfahren, beidem Datenpakete des einen Protokolls mit Hilfe eines anderen Proto-kolls übertragen werden. Siehe auch „Tunneling-Technik“ auf Seite 151.

UDP (User Datagram Protocol)

Dieses Protokoll ist auf Schicht 4 des OSI-Referenzmodells (TransportLayer / Layer/Transportschicht) beheimatet und bietet den höherenProtokollen einen definierten Dienst zum transaktionsorientierten Ver-sand von Datenpaketen. UDP verfügt nur über minimale Protokollme-chanismen zur Datenübertragung zwischen Kommunikationspartnern.Da es – anders als TCP – keine Ende-zu-Ende-Kontrolle garantiert, sindweder Ablieferung eines Datenpakets beim Empfänger, das Erkennenvon Duplikaten noch die reihenfolgerichtige Übermittlung der Datenpa-kete gewährleistet. UDP ist im RFC 768 definiert.

Weiterleitungsprofil

Weiterleitungsprofile dienen dazu, für Ziele mit aktiviertem IP-Masque-rading den Zugriff auf einzelne Server im lokalen Netz zu ermöglichen,z.B. Web-Server, E-Mail-Server oder FTP-Server. Ein Weiterleitungsprofilbesteht aus einem Set von Weiterleitungsregeln. Die Weiterleitungsre-geln legen fest, welche IP-Pakete zu welchen Servern im lokalen Netzweitergeleitet werden.


Bei Internetverbindungen wird im AVM Access Server grundsätzlich IP-Masquerading verwendet. Wenn Sie den Zugriff aus dem Internet aufeinzelne Server in Ihrem LAN erlauben wollen, dann müssen Sie einWeiterleitungsprofil einsetzen.

Siehe auch „NAT (Network Address Translation)“ auf Seite 143.

Ziele

Der Begriff „Ziel“ wird als Sammelbegriff für Internetverbindungen unddie Verbindung zu entfernten Netzwerken benutzt.


Index

AAbbauen, Verbindung 37Aktive IP-Routen 40Anlagenanschluss 9Aufbauen, Verbindung 37Aushandlungen 99AVM Access Server

Einsatzmöglichkeiten 7AVM-Support

Support per Telefon 130

BBenutzeroberfläche 30

Konfigurationsansicht 34Menüs 31Monitoring-Ansicht 36Symbolleiste 33

B-Kanal-Reservierung 88

CCAPI 2.0-Anwendungen 13COSO (Charge One Site Only). Siehe Kostenüber-

nahme

DDatenbanken 44Datenbankverwaltung 44Datenkompression 10DDI. Siehe Nachwahlziffer (DDI)Deinstallation 29Dokumentationen 126Downloads 127DSL 8Dynamic DNS 105Dynamisches Routing 88

EEreignisse 40

FFilter 68

Firewall 68Forward-Filter 69Globaler Input-Filter 69Globaler Output-Filter 69IP-Filter 68IP-Filterprofile 72Protokollierung 70Zielgebundener Input-Filter 69Zielgebundener Output-Filter 69

Firewall 68Firmware 127

GGarantie 2Glossar 131GSM 9

HHeader-Kompression 10Hilfe 126

IInformationen im Internet 126Installation und Inbetriebnahme 15Interoperabilität 124IP-Filter 68IP-Filterprofile 72IP-Masquerading 84

Weiterleitungsprofile 85IP-Routen 40IPSec 93

Transportprotokolle 97ISDN

Anlagenanschluss 9Logische Verbindung 10Mehrgeräteanschluss 9Nutzung 8Physikalische Verbindung 10

AVM Access Server – Index 153

KKanalbündelung 10Kompressionsverfahren 104Konfigurationsansicht 34Kostenübernahme (COSO) 89Kundenservice 126

LLiteratur 130Logische ISDN-Verbindung 10

MMehrfachrufnummer 13Mehrgeräteanschluss 9Menüs 31Monitor-Funktionen 36

Ereignisse 40ISDN B-Kanäle 39Nutzungsstatistik 41Paketmitschnitt 43Routingtabelle 40

Monitoring. Siehe Monitor-FunktionenMonitoring-Ansicht 36MSN. Siehe Mehrfachrufnummer

NNachwahlziffer (DDI) 13Netzwerkprotokolle 87Newsletter 127NTR.MDB 44NTRLOG.MDB 44Nutzungsstatistik 41

PPaketmitschnitt 43Physikalische ISDN-Verbindung 10PPP over ISDN 124Priorität 89Produktvarianten 14Produktversion 37

RRFCs, unterstützte 124Routing

dynamisch 88statisch 88

Routing-Tabellen 87

SService 127Severstatus 37Statisches Routing 88Statistikfunktionen 12Support

per E-Mail 129per Telefax 129

Symbolleiste 33

TTransportprotokolle 97Tunnel 91, 92

UUpdates 127

VVerbindungen auf-und abbauen 37Verbindungssteuerung 36, 37Virtual Private Network (VPN) 90

Aushandlungen 99IPSec 93Kompressionsverfahren 104Protokoll 93Sicherheit 93Transportprotokolle 97Tunnel 91, 92Zertifikate 101

VPN. Siehe Virtual Private Network (VPN)

WWeiterleitungsprofile 85

154 AVM Access Server – Index

ZZeitprofile 89Zertifikate 101Ziele

B-Kanal-Reservierung 88Kostenübernahme (COSO) 89Priorität 89Zeitprofile 89

AVM Access Server – Index 155

Download - ISDN DSL Firewall VPN - AVM Deutschland · 2 AVM Access Server AVM Access Server Diese Dokumentation und die zugehörigen Programme sind urheberrechtlich geschützt. Dokumentation

Top Related