lancom 800+ lancom dsl/i 10+ lancom 1611+ · pdf filelancom 800+ – lancom dsl/i-10+...

LANCOM 800+LANCOM DSL/I-10+

LANCOM 1611+

© 2007 LANCOM Systems GmbH, Würselen (Germany). Alle Rechte vorbehalten.

Alle Angaben in dieser Dokumentation sind nach sorgfältiger Prüfung zusammengestellt worden, gelten jedoch nicht alsZusicherung von Produkteigenschaften. LANCOM Systems haftet ausschließlich in dem Umfang, der in den Verkaufs- undLieferbedingungen festgelegt ist.

Weitergabe und Vervielfältigung der zu diesem Produkt gehörenden Dokumentation und Software und die Verwendungihres Inhalts sind nur mit schriftlicher Erlaubnis von LANCOM Systems gestattet. Änderungen, die dem technischen Fort-schritt dienen, bleiben vorbehalten.

Windows®, Windows VistaTM, Windows NT® und Microsoft® sind eingetragene Marken von Microsoft, Corp.

Das LANCOM Systems-Logo, LCOS und die Bezeichnung LANCOM sind eingetragene Marken der LANCOM Systems GmbH.Alle übrigen verwendeten Namen und Bezeichnungen können Marken oder eingetragene Marken ihrer jeweiligen Eigen-tümer sein.

LANCOM Systems behält sich vor, die genannten Daten ohne Ankündigung zu ändern, und übernimmt keine Gewähr fürtechnische Ungenauigkeiten und/oder Auslassungen.

Produkte von LANCOM Systems enthalten Software, die vom „OpenSSL Project“ für die Verwendung im „OpenSSL Toolkit“entwickelt wurden (http://www.openssl.org/).

Produkte von LANCOM Systems enthalten kryptographische Software, die von Eric Young ([email protected]) geschriebenwurde.

Produkte von LANCOM Systems enthalten Software, die von der NetBSD Foundation, Inc. und ihren Mitarbeitern entwi-ckelt wurden.

LANCOM Systems GmbH

Adenauerstr. 20/B2

52146 Würselen

Deutschland

www.lancom.de

Würselen, Juli 2007

110565/0707

http://www.openssl.org/

mailto:[email protected]

http://www.lancom.de

LANCOM 800+ – LANCOM DSL/I-10+ – LANCOM 1611+

� Ein Wort vorab

DE

Ein Wort vorabVielen Dank für Ihr Vertrauen!

Mit einem LANCOM Router haben Sie sich für ein Gerät entschieden, mit demSie lokale Netzwerke oder einzelne Arbeitsplatzrechner mit höchsterGeschwindigkeit sicher an das Internet anschließen können.

Einwahlzugänge und Standortkopplungen können je nach Modell über ISDNoder VPN bereitgestellt werden.

Modellvarianten

Diese Dokumentation beschreibt verschiedene Modellvarianten der LANCOMRouter, die in Hard- und Softwareausstattung unterschiedlich sind:

� LANCOM 800+

� LANCOM DSL/I-10+

� LANCOM 1611+

Modell-Einschränkungen

Die Teile der Dokumentation, die sich nur auf einen Teil der Modelle beziehen,sind entweder im Text selbst oder durch entsprechende Hinweise neben demText gekennzeichnet.

In den anderen Teilen der Dokumentation werden alle beschriebenen Modelleunter dem Sammelbegriff LANCOM Router zusammengefasst.

Sicherheitseinstellungen

Für einen sicheren Umgang mit Ihrem Produkt empfehlen wir Ihnen, sämtlicheSicherheitseinstellungen (z.B. Firewall, Verschlüsselung, Zugriffsschutz,Gebührensperre) vorzunehmen, die nicht bereits zum Zeitpunkt des Kaufs desProdukts aktiviert waren. Der LANconfig-Assistent ’Sicherheitseinstellungen’unterstützt Sie bei dieser Aufgabe. Weitere Informationen zum Thema Sicher-heit finden Sie auch im Kapitel 'Sicherheits-Einstellungen'.

Zusätzlich bitten wir Sie, sich auf unserer Internet-Seite www.lancom.de übertechnische Weiterentwicklungen und aktuelle Hinweise zu Ihrem Produkt zuinformieren und ggf. neue Software-Versionen herunterzuladen.

Benutzerhandbuch und Referenzhandbuch

Die Dokumentation Ihres Gerätes besteht aus drei Teilen: Dem InstallationGuide, dem Benutzerhandbuch und dem Referenzhandbuch.

Sie lesen derzeit das Benutzerhandbuch. Außerdem finden Sie hier alle wich-tigen technischen Spezifikationen.

3



� Ein Wort vorab

DE

Das Referenzhandbuch befindet sich als Acrobat-Dokument (PDF-Datei) aufder beiliegenden Produkt-CD. Es ergänzt das Benutzerhandbuch und gehtausführlich auf Themen ein, die übergreifend für mehrere Modelle gelten.Dazu zählen beispielsweise:

� Systemdesign des Betriebssystems LCOS

� Konfiguration

� Management

� Diagnose

� Sicherheit

� Routing- und WAN-Funktionen

� Firewall

� Quality-of-Service (QoS)

� Virtuelle Private Netzwerke (VPN)

� Virtuelle lokale Netzwerke (VLAN)

� Sprachkommunikation in Computernetzwerken mit Voice-over-IP (VoIP)

� Backup-Lösungen

� LANCAPI

� weitere Server-Dienste (DHCP, DNS, Gebührenmanagement)

An der Erstellung dieser Dokumentation …

… haben mehrere Mitarbeiter/innen aus verschiedenen Teilen des Unterneh-mens mitgewirkt, um Ihnen die bestmögliche Unterstützung bei der NutzungIhres LANCOM-Produktes anzubieten.

Sollten Sie einen Fehler finden, oder einfach nur Kritik oder Anregung zu die-ser Dokumentation äußern wollen, senden Sie bitte eine E-Mail direkt an: [email protected]

Sollten Sie zu den in diesem Handbuch besprochenen Themen nochFragen haben oder zusätzliche Hilfe benötigen, steht Ihnen unserInternet-Server www.lancom.de rund um die Uhr zur Verfügung. Hierfinden Sie im Bereich 'Support' viele Antworten auf „häufig gestellteFragen (’FAQs’)“. Darüber hinaus bietet Ihnen die Wissensdatenbankeinen großen Pool an Informationen. Aktuelle Treiber, Firmware, Toolsund Dokumentation stehen für Sie jederzeit zum Download bereit. Außerdem steht Ihnen der LANCOM-Support zur Verfügung. Telefon-

4

mailto:[email protected]



� Ein Wort vorab

DE

nummern und Kontaktadressen des LANCOM-Supports finden Sie ineinem separaten Beileger oder auf der LANCOM Systems-Homepage.

Hinweis-Symbole

Sehr wichtiger Hinweis, dessen Nichtbeachtung zu Schäden führen kann.

Wichtiger Hinweis, der beachtet werden sollte.

Zusätzliche Informationen, deren Beachtung hilfreich sein kann aber nicht erforderlich ist.

5


� Inhalt

DE

Inhalt

1 Einleitung 9

1.1 Wie funktionieren ADSL und ADSL 2+? 9

1.2 Welchen Nutzen bietet VPN? 10

1.3 Firewall 12

1.4 Was kann Ihr LANCOM? 13

2 Installation 16

2.1 Lieferumfang 16

2.2 Systemvoraussetzungen 16

2.3 Ihr LANCOM Router stellt sich vor 172.3.1 Statusanzeigen 172.3.2 Die Anschlüsse des Geräts 20

2.4 Installation der Hardware 22

2.5 Installation der Software 242.5.1 Software-Setup starten 242.5.2 Welche Software installieren? 25

3 Grundkonfiguration 26

3.1 Welche Angaben sind notwendig? 263.1.1 TCP/IP-Einstellungen 263.1.2 Konfigurationsschutz 283.1.3 Gebührenschutz 28

3.2 Anleitung für LANconfig 29

3.3 Anleitung für WEBconfig 30

3.4 TCP/IP-Einstellungen an den Arbeitsplatz-PCs 34

4 Den Internet-Zugang einrichten 36



6


� Inhalt

DE

5 Zwei Netzwerke verbinden 39

5.1 Welche Angaben sind notwendig? 405.1.1 Allgemeine Angaben 405.1.2 Einstellungen für den TCP/IP-Router 425.1.3 Einstellungen für den IPX-Router 445.1.4 Einstellungen für NetBIOS-Routing 45



6 Einwahl-Zugang bereitstellen 48

6.1 Welche Angaben sind notwendig? 486.1.1 Allgemeine Angaben 496.1.2 Einstellungen für TCP/IP 506.1.3 Einstellungen für IPX 516.1.4 Einstellungen für NetBIOS-Routing 52

6.2 Einstellungen am Einwahl-Rechner 526.2.1 Einwahl über VPN 526.2.2 Einwahl über ISDN 52



7 Faxe versenden mit der LANCAPI 54

7.1 Installation des LANCOM CAPI Faxmodem 55

7.2 Installation des MS Windows Faxdienstes 56

7.3 Versenden eines Faxes 577.3.1 Faxe versenden mit beliebigen Büroanwendungen 577.3.2 Faxe versenden mit dem Windows Faxdienst 57

8 Sicherheits-Einstellungen 59

8.1 Der Sicherheits-Assistent 598.1.1 Assistent für LANconfig 598.1.2 Assistent für WEBconfig 60

8.2 Der Firewall-Assistent 608.2.1 Assistent für LANconfig 618.2.2 Konfiguration unter WEBconfig 61

8.3 Die Sicherheits-Checkliste 61

7


� Inhalt

DE

9 Rat & Hilfe 65

9.1 Es wird keine DSL-Verbindung aufgebaut 65

9.2 DSL-Übertragung langsam 65

9.3 Unerwünschte Verbindungen mit Windows XP 66

10 Anhang 67

10.1 Leistungs- und Kenndaten 67

10.2 Anschlussbelegung 6810.2.1 ISDN-S0-Schnittstelle 6810.2.2 Ethernet-Schnittstellen 10/100Base-T 6810.2.3 Konfigurationsschnittstelle (Outband) 69

10.3 CE-Konformitätserklärungen 69

11 Index 70

8


� Kapitel 1: Einleitung

DE

1 EinleitungDie LANCOM Router LANCOM 800+, LANCOM DSL/I-10+ und LANCOM1611+ sind vollwertige Router und ermöglichen mit der integrierte Firewalleinen sicheren Internetzugang für das lokale Netzwerk.

Mit der integrierten VPN-Funktion (werksseitig 5 Kanäle, optionale Aufrüs-tung auf 25) arbeitet ein LANCOM 1611+ als leistungsfähige Dynamic VPNGateway für Außenstellen oder mobile Nutzer.

Die Geräte verfügen über einen ISDN-Anschluss und teilweise zusätzlich übereinen DSL-Anschluss (LANCOM DSL/I-10+ und LANCOM 1611+). Die ISDN-Leitung kann beim LANCOM DSL/I-10+ und LANCOM 1611+ als Backup fürdie DSL-Verbindung genutzt werden, zum Remote Management des Routers,als Basis für die Office-Kommunikation über die LANCAPI und zum Aufbauvon Dynamic VPN Verbindungen zu Außenstellen mit dynamischen IP-Adres-sen (nur LANCOM 1611+).

1.1 Wie funktionieren ADSL und ADSL 2+?

ADSL (Asymmetric Digital Subscriber Line) ist die zur Zeit häufigste Anschluss-technik für digitale Breitbandanschlüsse ins Internet. Bei den DSL-Technolo-gien werden die normalen und ohnehin meist vorhandenen Telefonleitungen(analog oder ISDN) zur Datenübertragung bis zur nächsten Vermittlungsstelleverwendet. Ab der Vermittlungsstelle werden die Daten über Hochgeschwin-digkeitsverbindungen im Internet weitergeleitet.

Die asymmetrische DSL-Variante ADSL wurde für Anwendungen entwickelt,bei denen der Teilnehmer große Datenmengen empfängt, selbst jedoch nurverhältnismäßig wenig Daten sendet, z.B. beim Surfen im WWW. Über eineADSL-Verbindung kann der Teilnehmer bis zu 8 Mbit/Sekunde empfangen(„downstream“) und 800 Kbit/Sekunde senden („upstream“). Diese Maximal-raten können vom ADSL-Anbieter beliebig reduziert werden.

Um den stark steigenden Anforderungen nach höheren Bandbreiten gerechtzu werden, bieten die weiterentwickelten Standards ADSL 2 und ADSL 2+höhere Datenraten an, die auch Anwendungen wie Videostreaming oderhochauflösendes Fernsehen (HDTV) über das Internet erlauben. Geräte mitADSL 2-Unterstützung können je nach Angebot des Providers eine Down-streamrate von bis zu 12 Mbit/s erreichen, Geräte nach dem StandardADSL 2+ bis zu 24 Mbit/s. Durch eine entsprechende Aushandlung beim Ver-bindungsaufbau sind die Standards ADSL, ADSL 2 und ADSL 2+ untereinan-der kompatibel.

9



DE

Bei ADSL können parallel zur Datenübertragung auch alle klassischen Telefo-nie-Anwendungen (Telefon, Fax, Anrufbeantworter, Nebenstellenanlage)ohne Einschränkung weiter genutzt werden. Zu diesem Zweck kommen soge-nannte „Splitter“ zum Einsatz, welche die „Sprachfrequenzen“ von den„Datenfrequenzen“ trennen.

Auch auf der Teilnehmerseite kommt ein Splitter zum Einsatz und ermöglichtden gleichzeitigen Anschluss von Routern und herkömmlichen Telefonendge-räten. Der Router wird an ein separates ADSL-Modem angeschlossen, dasADSL-Modem ist mit dem Splitter verbunden.

LANCOM 1611+ oder LANCOM DSL/I-10+ können für den Zugangzum Internet auch einen anderen Breitbandanschluss (z.B. ein Kabel-modem) nutzen, der einen 10/100Base-Tx-Ethernetanschluss überPPPoE, PPTP oder einfaches Ethernet anbietet (mit oder ohne DHCP).

1.2 Welchen Nutzen bietet VPN?

Nur für LANCOM 1611+

Mit einem VPN (Virtual Private Network) können sichere Datenverkehrsver-bindungen über das Internet aufgebaut werden.

Das Modell LANCOM 1611+ ist mit VPN-Unterstützung für 5 aktiveTunnel ausgestattet. Mit der zusätzlichen LANCOM VPN Option kanndie VPN-Unterstützung auf 25 aktive Tunnel erweitert werden.

Bei Nutzung des Internets anstelle direkter Verbindungen ergibt sich folgendeStruktur:

Internet

Splitter

LANCOM Router

TelefonTelefon-netz

Splitter

ADSL-Anbieter

Vermittlungs-knoten

DSLAM

TeilnehmerADSL-

Modem

10



DE

Alle Teilnehmer sind (fest oder per Einwahl) mit dem Internet verbunden. Esgibt keine teueren, dedizierten Leitungen zwischen den Teilnehmern mehr.

� Nur noch die Internet-Verbindung des LAN der Zentrale ist notwendig.Spezielle Einwahlgeräte oder Router für dedizierte Leitungen zu einzelnenTeilnehmern entfallen.

� Die Niederlassung ist ebenfalls mit einer eigenen Verbindung an dasInternet angeschlossen.

� Die RAS-Rechner wählen sich über das Internet in das LAN der Zentraleein.

Das Internet zeichnet sich durch geringe Zugangskosten aus. Insbesonderebei Verbindungen über weite Strecken sind gegenüber herkömmlichen Wähl-oder Standverbindungen deutliche Einsparungen zu erzielen.

Die physikalischen Verbindungen bestehen nicht mehr direkt zwischen zweiTeilnehmern, sondern jeder Teilnehmer hat selbst nur einen Internetzugang.Die Zugangstechnologie spielt dabei keine Rolle: Idealerweise kommen Breit-bandtechnologien wie DSL (Digital Subscriber Line) zum Einsatz. Aber auchherkömmliche ISDN-Verbindungen können verwendet werden.

Die Technologien der einzelnen Teilnehmer müssen nicht kompatibel zueinan-der sein, wie das bei herkömmlichen Direktverbindungen erforderlich ist. Über

Zentrale

Rechner im Fernzugriff

Internet

�

�

�LAN

LAN

Niederlassung

11



DE

einen einzigen Internet-Zugang können mehrere gleichzeitige logische Ver-bindungen zu verschiedenen Gegenstellen aufgebaut werden.

Niedrige Verbindungskosten und hohe Flexibilität machen das Internet (oderjedes andere IP-Netzwerk) zu einem hervorragenden Übertragungsmediumfür ein Unternehmensnetzwerk.

1.3 Firewall

Die integrierte Stateful-Inspection-Firewall verhindert wirksam ein Eindringenvon ungewolltem Datenverkehr in das eigene Netzwerk, indem eingehenderDatenverkehr nur als Reaktion auf ausgehenden Datenverkehr zugelassenwird. Die IP-Masquerading-Funktion im Router versteckt beim Zugang insInternet alle Arbeitsstationen im LAN hinter einer einzigen öffentlichen IP-Adresse. Die tatsächlichen Identitäten (IP-Adressen) der einzelnen Stationenbleiben verborgen. Firewall-Filter im Router erlauben die gezielte Sperrungvon IP-Adressen, Protokollen und Ports. Mit MAC-Adressfiltern kann auch derZugriff von Arbeitsstationen im LAN auf die IP-Routing-Funktion des Gerätesgezielt kontrolliert werden.

Weitere wichtige Features der Firewall sind:

� Intrusion Detection

Einbruchsversuche in das lokale Netzwerk oder auf die zentrale Firewallwerden über das Intrusion-Detection-System (IDS) des LANCOM erkannt,abgewehrt und protokolliert. Dabei kann zwischen Protokollierung imGerät (Logging), E-Mail-Benachrichtigung, SNMP-Traps oder SYSLOG-Alarmen gewählt werden.

� Denial-of-Service-Protection

Angriffe aus dem Internet können neben Einbruchsversuchen auchAngriffe mit dem Ziel sein, die Erreichbarkeit und Funktionstüchtigkeit

Firewall

Internet

LAN

LANCOM

12



DE

einzelner Dienste zu blockieren. Daher ist der LANCOM mit entsprechen-den Schutzmechanismen ausgestattet, die bekannte Hacker-Angriffeerkennen und die Funktionstüchtigkeit der Router garantieren.

� Quality-of-Service/Traffic management

Unter dem Oberbegriff Quality-of-Service (kurz: QoS) sind die Funktionendes LANCOM zusammengefasst, die sich mit der Sicherstellung vonbestimmten Dienstegüten befassen. Die QoS-Funktionen berücksichtigendas Ergebnis der mächtigen Klassifizierungsmethoden der Firewall (z.B.Einschränkung auf Subnetze, einzelne Arbeitsstationen oder besitmmteDienste). Dadurch ist eine sehr präzise Steuerung der Dienstegüten mög-lich.Mit garantierten Mindestbandbreiten geben Sie Vorfahrt für unterneh-menskritische Applikationen, VoIP-Telefonie oder bestimmte Benutzer-gruppen.

Details zur Funktion der Stateful-Inspection-Firewall entnehmen Siebitte dem Referenzhandbuch.

1.4 Was kann Ihr LANCOM?

Die folgende Tabelle zeigt Ihnen die Eigenschaften und Funktionen IhresGerätes im unmittelbaren Modellvergleich.

LAN

COM

800+

LAN

COM

DSL

/I-10

+

LAN

COM

1611

+

Anwendungen

Internet-Zugang ✔ ✔ ✔

LAN-LAN-Kopplung über VPN ✔

LAN-LAN-Kopplung über ISDN ✔ ✔ ✔

RAS-Server (über VPN) ✔

RAS-Server (über ISDN) ✔ ✔ ✔

IP-Router mit Stateful Inspection Firewall ✔ ✔ ✔

IPX-Router (über ISDN), z.B. zur Kopplung von Novell-Netzwerken oder zur Einwahl in Novell-Netzwerke

✔ ✔ ✔

NetBIOS-Proxy zur Kopplung von Microsoft-Peer-to-Peer-Netzwerken über ISDN ✔ ✔ ✔

13



DE

DHCP- und DNS-Server (für LAN und WAN) ✔ ✔ ✔

N:N-Mapping zum Routen von Netzwerken mit den gleichen IP-Adresskreisen über VPN

✔ ✔ ✔

Bridge-Funktion zur Verbindung von Netzwerken über ISDN ✔ ✔ ✔

Port-Mapping zur Definition von LAN-Ports als zusätzliche WAN-Ports ✔ ✔

Policy-based Routing zur regelbasierten Auswahl der Zielroute ✔ ✔ ✔

Load-Balancing zur Bündelung von mehreren DSL-Kanälen 2 Kanäle

2 Kanäle

Backup-Lösungen und Load-Balancing mit VRRP ✔ ✔ ✔

PPPoE-Server ✔ ✔ ✔

WAN-RIP ✔ ✔ ✔

Layer-2-QoS-Tagging ✔

Advanced Routing and Forwarding (ARF) 2 ARF-Netze

2 ARF-Netze

2 ARF-Netze

VLAN ✔

LANCAPI-Server für den Einsatz von Office-Anwendungen wie Fax oder Anrufbeant-worter über die ISDN-Schnittstelle.

✔ ✔ ✔

WAN-Anschlüsse

Anschluss für DSL- oder Kabelmodem ✔ ✔

ISDN-S0-Anschluss in Punkt-zu-Mehrpunkt-Konfiguration (Mehrgeräteanschluss) oder in Punkt-zu-Punkt-Konfiguration (Anlagenanschluss) mit automatischer D-Kanal-Protokoll-Erkennung. Unterstützt statische und dynamische Kanalbündelung per MLPPP und BACP sowie Stac-Datenkompression (Hi/fn). Auch zum Aufbau von Dynamic VPN-Verbindungen zu Gegenstellen mit dynamischen IP-Adressen (LANCOM 1611+).

✔ ✔ ✔

LAN-Anschluss

Integrierter 4-Port Auto-Mode-Switch (10/100 Mbit) mit „Private Mode“ zur Abschirmung der Ports untereinander

✔

Integrierter 3-Port Auto-Mode-Switch (10/100 Mbit) mit „Private Mode“ zur Abschirmung der Ports untereinander

✔ ✔

Sicherheitsfunktionen

5 integrierte VPN-Tunnel zur Absicherung von Netzwerkverbindungen ✔

LAN

COM

800+

LAN

COM

DSL

/I-10

+

LAN

COM

1611

+

14



DE

IP-Masquerading (NAT, PAT) zum Verstecken aller Arbeitsstationen im LAN hinter einer einheitlichen öffentlichen IP-Adresse.

✔ ✔ ✔

Stateful-Inspection Firewall ✔ ✔ ✔

Firewall-Filter zur gezielten Sperrung von IP-Adressen, Protokollen und Ports ✔ ✔ ✔

MAC-Adressfilter kontrolliert u.a. den Zugriff von Arbeitsstationen im LAN auf dieIP-Routing-Funktion

✔ ✔ ✔

Konfigurationsschutz zur Abwehr von „Brute-Force-Angriffen“. ✔ ✔ ✔

Konfiguration

Konfiguration mit LANconfig oder mit Webbrowser, zusätzlich Terminalmodus fürTelnet oder andere Terminalprogramme, SNMP-Schnittstelle und TFTP-Serverfunk-tion

✔ ✔ ✔

Fernkonfiguration über ISDN (mit ISDN-PPP-Verbindungen z. B. über das DFÜ-Netzwerk von Windows).

✔ ✔ ✔

Serielle Konfigurations-Schnittstelle ✔ ✔ ✔

Rückruf-Funktion mit PPP-Authentifizierung-Mechanismen zur Beschränkung auf festgelegte ISDN-Rufnummern

✔ ✔ ✔

FirmSafe zum Einspielen neuer Firmwareversionen ohne Risiko ✔ ✔ ✔

Optionale Software-Erweiterungen

LANCOM VPN Option mit 25 aktiven Tunneln zur Absicherung von Netzwerkkopplungen

✔

IPSec-Verschlüsselung über externe Software (VPN-Client) ✔

LANCOM Service-Option ✔ ✔ ✔

Optionale Hardware-Erweiterungen

LANCOM Modem Adapter Kit zum Anschluss eines Analog - oder GSM-Modems an die serielle Schnittstelle

✔ ✔ ✔

LAN

COM

800+

LAN

COM

DSL

/I-10

+

LAN

COM

1611

+

15


� Kapitel 2: Installation

DE

2 InstallationDieses Kapitel hilft Ihnen, möglichst schnell Hard- und Software zu installie-ren. Zunächst überprüfen Sie Lieferumfang und Systemvoraussetzungen. Sindalle Voraussetzungen erfüllt, gelingen Anschluss und Inbetriebnahme schnellund ohne Mühe.

2.1 Lieferumfang

Bitte prüfen Sie den Inhalt der Verpackung auf Vollständigkeit, bevor Sie mitder Installation beginnen. Neben dem eigentlichen Gerät sollte der Karton fol-gendes Zubehör für Sie bereithalten:

Falls etwas fehlen sollte, wenden Sie sich bitte umgehend an Ihren Händleroder an die Kontaktadresse, die auf dem Lieferschein zu Ihrem Gerät angege-ben ist.

2.2 Systemvoraussetzungen

Rechner, die mit einem LANCOM in Verbindung treten möchten, müssen min-destens die folgenden Voraussetzungen erfüllen:

LAN

COM

800+

LAN

COM

DSL

/I-10

+

LAN

COM

1611

+

Netzteil ✔ ✔ ✔

LAN-Anschlusskabel (grüne Stecker) ✔ ✔ ✔

WAN-Anschlusskabel (dunkelblaue Stecker) ✔ ✔

ISDN-Anschlusskabel (hellblaue Stecker) ✔ ✔ ✔

Anschlusskabel für die Konfigurationsschnitt-stelle

✔ ✔ ✔

LANCOM-CD ✔ ✔ ✔

Gedrucktes Handbuch ✔ ✔ ✔

Gedruckter Installation Guide ✔ ✔ ✔

16



DE

� Betriebssystem mit TCP/IP-Unterstützung, z.B. Windows VistaTM,Windows XP, Windows Millennium Edition (Me), Windows 2000, Win-dows 98, Linux, BSD Unix, Apple Mac OS, OS/2.

� Zugang zum LAN über das TCP/IP-Protokoll.

Die LANtools benötigen zudem ein Windows-Betriebssystem. Für denZugriff auf WEBconfig ist ein Web-Browser unter einem beliebigenBetriebssystem erforderlich.

2.3 Ihr LANCOM Router stellt sich vor

In diesem Abschnitt stellen wir Ihnen Ihr Gerät vor. Sie erhalten einen Über-blick über alle Statusanzeigen, Anschlüsse und Schalter.

2.3.1 Statusanzeigen

Die verschiedenen LANCOM Router verfügen je nach Funktionsumfang übereine unterschiedliche Anzahl von Statusanzeigen auf der Vorderseite.

Bedeutung der LEDs

In den folgenden Abschnitten verwenden wir verschiedene Begriffe, um dasVerhalten der LEDs zu beschreiben:

� Blinken bedeutet, dass die LED in gleichmäßigen Abständen in derjeweils angegebenden Farbe ein- bzw. ausgeschaltet wird.

� Blitzen bedeutet, dass die LED in der jeweiligen Farbe sehr kurz aufleuch-tet und dann deutlich länger (etwa 10x so lange) ausgeschaltet bleibt.

� Invers Blitzen bedeutet das Gegenteil. Hier leuchtet die LED in der jewei-ligen Farbe dauerhaft und wird nur sehr kurz unterbrochen.

� Flackern bedeutet, dass die LED in unregelmäßigen Abständen ein- undausgeschaltet wird.

Modellbeispiel:LANCOM 1611+

� Power Diese LED gibt Auskunft über die Betriebsbereitschaft des Geräts. Nach demEinschalten blinkt sie für die Dauer des Selbsttests grün. Danach wird entwe-

LANCOM 1611+

VPN

� � � � � �

17



DE

der ein festgestellter Fehler als roter Blinkcode ausgegeben, oder aber dasGerät geht in Betrieb, und die LED leuchtet konstant grün.

Die Power-LED blinkt abwechselnd rot/grün, solange noch kein Kon-figurationskennwort gesetzt wurde. Ohne Konfigurationskennwortsind die Konfigurationsdaten des LANCOM ungeschützt. Im Normal-fall setzen Sie ein Konfigurationskennwort während der Grundkonfi-guration (Anleitung im folgenden Kapitel). Informationen zurnachträglichen Vergabe eines Konfigurationskennworts finden Sie imAbschnitt ’Der Sicherheits-Assistent’ → Seite 59.

aus Gerät abgeschaltet

grün blinkend Selbsttest nach dem Einschalten

grün dauerhaft an Gerät betriebsbereit

rot/grün abwechselnd blinkend

Gerät unsicher: Kein Konfigurationskennwort gesetzt

rot blinkend Zeit- oder Gebührenlimit erreicht

Blinkende Power-LED und keine Verbindung möglich?

Blinkt die Power-LED rot, und können keine WAN-Verbindungenmehr aufgebaut werden, so ist das kein Grund zur Besorgnis. Viel-mehr wurde ein vorher eingestelltes Zeit- oder Gebührenlimit erreicht.Es gibt drei Möglichkeiten die Sperre zu lösen:

� Gebührenschutz zurücksetzen.

� Das erreichte Limit erhöhen.

� Die erreichte Sperre ganz deaktivieren (Limit auf '0' setzen).

Unter LANmonitor wird Ihnen das Erreichen eines Zeit- oder Gebührenlimits angezeigt. ZumReset des Gebührenschutzes wählen Sie im Kontextmenü (rechter Mausklick) Zeit- undGebühren-Limits zurücksetzen. Die Gebühreneinstellungen legen Sie in LANconfig unterManagement � Kosten fest (Sie können nur dann auf diese Einstellungen zugreifen, wennunter Ansicht � Option… die 'Vollständige Darstellung der Konfiguration' aktiviert ist).

Mit WEBconfig finden Sie den Gebührenschutz-Reset und alle Parameter unter Experten-Konfiguration � Setup � Gebühren-Modul.

Signal für ein erreichtes Zeit- oder

Gebührenlimit

P ower

Power

18



DE

� Online Das Online-LED zeigt allgemein den Status aller WAN-Schnittstellen an:

� ISDN Status Verbindungsstatus am ISDN-S0-Anschluss:

Wenn die ISDN-Status-LED automatisch erlischt, so ist dies kein Zei-chen für einen Fehler am S0-Bus. Vielmehr schalten zahlreiche ISDN-Anschlüsse und Telefonanlagen den S0-Bus nach einer bestimmteninaktiven Zeit in einen Stromsparmodus. Bei Bedarf wird der S0-Busautomatisch reaktiviert und die ISDN-Status-LED leuchtet grün.

ISDN Data Separate Statusanzeige für beide ISDN-B-Kanäle:

aus keine aktive Verbindung

grün blitzend Aufbau der ersten Verbindung

grün invers blitzend Aufbau einer weiteren Verbindung

grün dauerhaft an mindestens eine Verbindung aufgebaut

rot dauerhaft an Fehler beim Aufbau der letzten Verbindung

aus nicht angeschlossen oder keine S0-Spannung (keine Fehler-meldung)

grün blinkend Initialisierung D-Kanal (Kontaktaufnahme mit Verbindungs-stelle)

grün dauerhaft an D-Kanal betriebsbereit

rot flackernd Fehler auf dem D-Kanal

rot dauerhaft an D-Kanal-Aktivierung fehlgeschlagen

aus keine Verbindung aufgebaut

grün blinkend Anwahl läuft

grün blitzend Aufbau der ersten Verbindung

grün dauerhaft an Verbindung über B-Kanal aufgebaut

grün invers flackernd Datenverkehr (Versand oder Empfang)

19



DE

� WAN Status (nur LANCOM DSL/I-10+ und LANCOM 1611+)

Verbindungszustand am WAN-Anschluss:

� WAN Data (nur LANCOM DSL/I-10+ und LANCOM 1611+)

Anzeige von Datenverkehr am WAN-Anschluss:

� LAN Zustand der LAN-Anschlüsse im integrierten Switch:

� VPN (nur LANCOM 1611+)

Im VPN-Gateway-Betrieb liefert die LED Statusinformationen über dengesamten VPN-Betrieb:

2.3.2 Die Anschlüsse des Geräts

Auf der Rückseite befinden sich die Anschlüsse und Schalter des Routers:

aus keine Verbindung

grün blinkend Aufbau der Verbindung

grün blitzend Protokollverhandlung

grün dauerhaft an Verbindung aufgebaut

aus keine Verbindung

grün dauerhaft an Verbindung aufgebaut

grün flackernd Datenverkehr (Versand oder Empfang)

aus kein Netzwerkgerät angeschlossen

grün dauerhaft an Verbindung zu Netzwerkgerät betriebsbereit, kein Datenver-kehr

grün flackernd Datenverkehr

aus keine aktive VPN-Verbindung aufgebaut

grün blitzend Verbindungsaufbau: erste Verbindung

grün invers blitzend Verbindungsaufbau: weitere Verbindungen

grün dauerhaft an bestehende aktive VPN-Verbindung(en)

rot blinkend Letzter Verbindungsaufbauwunsch fehlgeschlagen. Es besteht keine weitere VPN Verbindung.Fehlerstatus wird gelöscht, wenn Verbindung steht oder im LANmonitor gelöscht wird.

rot/grün blinkend Letzter Verbindungsaufbauwunsch fehlgeschlagen. Es besteht mindestens eine weitere VPN Verbindung.Fehlerstatus wird gelöscht, wenn Verbindung steht oder im LANmonitor gelöscht wird.

20



DE

LANCOM 800+

LANCOM DSL/I-10+ und LANCOM 1611+

� Netzschalter

� Anschluss für das mitgelieferte Netzteil

� Reset-Taster

� Serielle Konfigurationsschnittstelle

ISDN/S0-Anschluss

WAN-Anschluss

� Switch mit drei bzw. vier 10/100Base-Tx-Anschlüssen.

Der Reset-Taster hat mit Booten (Neustart) und Reset (Rücksetzen auf Werks-einstellung) grundsätzlich zwei verschiedene Funktionen, die durch unter-schiedlich lange Betätigungszeiten des Tasters ausgelöst werden.

Manche Geräte können jedoch nicht unter Verschluss aufgestellt werden. Hierbesteht die Gefahr, dass die Konfiguration versehentlich gelöscht wird, wennein Mitarbeiter den Reset-Taster zu lange gedrückt hält. Mit einer entspre-chenden Einstellung kann das Verhalten des Reset-Tasters gesteuert werden:

� Reset-Taster

Mit dieser Option wird das Verhalten des Reset-Tasters gesteuert:

� � � � �

� � � � �

Konfigurationstool Aufruf

WEBconfig, Telnet Experten-Konfiguration > Setup > Config

21



DE

� Ignorieren: Der Taster wird ignoriert.

� Nur-Booten: Beim Druck auf den Taster wird nur ein Neustart ausge-löst, unabhängig von der gedrückten Dauer.

� Reset-oder-Booten (Standardeinstellung): Ein kurzer Druck auf denTaster für zum Neustart, ein Druck von 5 Sekunden oder länger führtzum Neustart mit dem Rücksetzen der Konfiguration auf den Auslie-ferungszustand. Alle LEDs am Gerät leuchten dauerhaft auf. Sobaldder Taster freigegeben wird, startet das Gerät mit Werkseinstellungenneu.

Bei einem harten Reset startet das Gerät mit Werkseinstellungen neu,alle bisherigen Einstellungen gehen dabei verloren!

2.4 Installation der Hardware

Die Installation der LANCOM Router erfolgt in folgenden Schritten:

� LAN – schließen Sie Ihren LANCOM Router zunächst ans LAN an. SteckenSie das mitgelieferte Netzwerkkabel (grüne Stecker) einerseits in einenLAN-Anschluss des Geräts � und andererseits in eine freie Netzwerkan-schlussdose Ihres lokalen Netzes, z.B. eine freie Buchse eines Switches/Hubs. Die LAN-Anschlüsse erkennen die Übertragungsrate (10/100 Mbit)angeschlossener Netzwerkgeräte automatisch (Autosensing). Der paral-lele Anschluss von Geräten unterschiedlicher Geschwindigkeit und Typenist möglich. Alternativ können Sie auch einen einzelnen PC anschließen.

In einem Netzwerksegment sollten sich niemals mehrere unkonfigu-rierte LANCOM gleichzeitig befinden. Alle unkonfigurierten LANCOMmelden sich unter derselben IP-Adresse (mit den Endziffern '254'), eskommt daher zu Adresskonflikten. Zur Vermeidung von Problemensollten mehrere LANCOM immer nacheinander konfiguriert undjeweils sofort mit einer eindeutigen IP-Adresse (die nicht auf '254'endet) versehen werden.

Nicht beim LANCOM 800+

� DSL – verbinden Sie die WAN-Schnittstelle über das mitgelieferte DSL-Anschlusskabel (dunkelblaue Stecker) mit dem ADSL-Modem.

Für die Modelle LANCOM DSL/I-10+ und LANCOM 1611+ können Sieeinen LAN-Port als zusätzlichen WAN-Port definieren und so u.a. eindynamisches Load-Balancing aufbauen. Weitere Informationen zum

22



DE

Port-Mapping und zum Load-Balancing finden Sie im Referenzhand-buch.

� ISDN – für den Anschluss der LANCOM Router an das ISDN stecken Siedas eine Ende des mitgelieferten ISDN-Anschlusskabels (hellblaue Ste-cker) in die ISDN/S0-Schnittstelle des Routers und das andere Ende ineinen ISDN/S0-Anlagenanschluss oder -Mehrgeräteanschluss.

� Konfigurations-Schnittstelle – optional können Sie den Router direktan die serielle Schnittstelle (RS-232, V.24) eines PC anschließen. Verwen-den Sie dazu das mitgelieferte Anschlusskabel. Verbinden Sie die Konfigu-rations-Schnittstelle � mit einer freien seriellen Schnittstelle des PC.

Alternativ können Sie an der Konfigurations-Schnittstelle mit Hilfe desLANCOM Modem Adapter Kit ein Analog- oder GSM-Modem als zusätz-liche WAN-Schnittstelle anschließen.

� Mit Spannung versorgen – versorgen Sie das Gerät an Buchse � überdas mitgelieferte Netzteil mit Spannung und schalten Sie das Gerät amNetzschalter � ein.

Verwenden Sie ausschließlich das mitgelieferte Netzteil! Die Verwen-dung eines ungeeigneten Netzteils kann zu Personen- oder Sachschä-den führen.

23



DE

� Betriebsbereit? – Nach einem kurzen Selbsttest des Geräts leuchtet diePower-LED permanent. Grün leuchtende LAN-LEDs zeigen an, an welchenLAN-Anschlüssen funktionierende Verbindungen hergestellt sind.

2.5 Installation der Software

Der folgende Abschnitt beschreibt die Installation der mitgelieferten System-software LANtools, die unter Windows läuft.

Sollten Sie Ihren LANCOM Router ausschließlich mit PCs verwenden,die unter anderen Betriebssystemen als Windows laufen, können Siediesen Abschnitt überspringen.

2.5.1 Software-Setup starten

Legen Sie die Produkt-CD in Ihr Laufwerk ein. Daraufhin startet das Setup-Programm automatisch.

Sollte das Setup nicht automatisch starten, so rufen Sie die DateiAUTORUN.EXE aus dem Hauptverzeichnis der LANCOM-CD auf.

Konfigurations-PC mitserieller Schnittstelle

ISDN-(NTBA)

LAN

SplitterTAE-Dose ADSL-Modem

Beispielzeichnung für das ModellLANCOM DSL/I-10+

24



DE

Klicken Sie im Setup auf Software installieren. Es erscheint folgendes Aus-wahlmenü auf dem Bildschirm:

2.5.2 Welche Software installieren?

� LANconfig ist das Windows-Konfigurationsprogramm für alleLANCOM Router und LANCOM Access Points. Alternativ (oder ergän-zend) kann über einen Web-Browser WEBconfig verwendet werden.

� Mit LANmonitor überwachen Sie auf einem Windows-Rechner alleLANCOM Router und LANCOM Access Points.

� Die LANCAPI ist eine spezielle Form der CAPI-2.0-Schnittstelle, überdie alle Arbeitsstationen im LAN Zugriff auf Bürokommunikations-Funktionen wie Fax und EuroFileTransfer erhalten. Mit der LANCAPIDFÜ Netzwerkunterstützung können einzelne Rechner über dieLANCAPI Einwahlverbindungen zu einem Internetprovider herstellen.Das CAPI Faxmodem stellt Ihnen einen Faxtreiber der Klasse 1 zur Ver-fügung.

� Der LANCOM Advanced VPN Client ermöglicht den Aufbau von VPN-Verbindungen von einem entfernten Rechner über das Internet zueinem Router mit VPN-Funktion.

� Mit Dokumentation kopieren Sie die Dokumentationsdateien aufIhren PC.

Wählen Sie die gewünschten Software-Optionen aus und bestätigen Sie mitWeiter. Die Software wird automatisch installiert.

25


� Kapitel 3: Grundkonfiguration

DE

3 GrundkonfigurationDie Grundkonfiguration erfolgt mit Hilfe eines komfortablen Setup-Assisten-ten, der Sie Schritt für Schritt durch die Konfiguration führt und dabei die not-wendigen Informationen abfragt.

Dieses Kapitel zeigt Ihnen zunächst, welche Angaben für die Grundkonfigura-tion erforderlich sind. Mit Hilfe dieses ersten Abschnitts stellen Sie sich schonvor Aufruf des Assistenten alle notwendigen Daten zusammen.

Anschließend erfolgt die Eingabe der Daten im Setup-Assistenten. Aufruf undAblauf werden Schritt für Schritt beschrieben – in jeweils einem eigenenAbschnitt für LANconfig und WEBconfig. Dank der vorherigen Zusammenstel-lung aller notwendigen Angaben gelingt die Grundkonfiguration jetzt schnellund ohne Mühe.

Zum Abschluss dieses Kapitels zeigen wir Ihnen, welche Einstellungen an denArbeitsplatzrechnern im LAN notwendig sind, damit der Zugriff auf den Rou-ter einwandfrei funktioniert.

3.1 Welche Angaben sind notwendig?

Der Grundkonfigurations-Assistent nimmt die TCP/IP-Grundeinstellung desRouters vor und schützt das Gerät mit einem Konfigurationskennwort. Die fol-gende Beschreibung der vom Assistenten geforderten Angaben gliedert sichin die folgenden Konfigurationsabschnitte:

� TCP/IP-Einstellungen

� Schutz der Konfiguration

� Einstellung des Gebührenschutzes

� Sicherheitseinstellungen

3.1.1 TCP/IP-Einstellungen

Die TCP/IP-Konfiguration kann auf zweierlei Art erfolgen: Entweder vollauto-matisch oder manuell. Bei der vollautomatischen TCP/IP-Konfiguration istkeine Benutzereingabe erforderlich. Alle Parameter werden selbstständig vomSetup-Assistenten gesetzt. Bei der manuellen TCP/IP-Konfiguration fragt derAssistent die üblichen TCP/IP-Parameter ab: IP-Adresse, Netzmaske etc. (dazuspäter mehr).

Die vollautomatische TCP/IP-Konfiguration ist nur in bestimmten Netzwerk-umgebungen möglich. Deshalb analysiert der Setup-Assistent das ange-

26



DE

schlossene LAN daraufhin, ob die vollautomatische Konfiguration möglich istoder nicht.

Neues LAN – vollautomatische Konfiguration möglich

Sind alle angeschlossenen Netzwerkgeräte noch unkonfiguriert, dann bietetder Setup-Assistent die vollautomatische TCP/IP-Konfiguration an. Dazukommt es normalerweise in folgenden Situationen:

� Nur ein Einzelplatz-PC wird an den Router angeschlossen

� Neuaufbau eines Netzwerks

Wenn Sie den LANCOM Router in ein bestehendes TCP/IP-LAN integrieren,wird die vollautomatische TCP/IP-Konfiguration nicht angeboten. In diesemFall können Sie mit dem Abschnitt ’Notwendige Angaben für die manuelleTCP/IP-Konfiguration’ fortfahren.

Das Ergebnis der vollautomatischen TCP/IP-Konfiguration: Der Router erhältdie IP-Adresse '172.23.56.1' (Netzmaske '255.255.255.0'). Außerdem wirdder integrierte DHCP-Server aktiviert, so dass der LANCOM Router den Gerä-ten im LAN automatisch IP-Adressen zuweist.

Trotzdem manuell konfigurieren?

Die vollautomatische TCP/IP-Konfiguration ist optional. Sie können stattdes-sen auch die manuelle Konfiguration wählen. Treffen Sie diese Wahl nach fol-genden Überlegungen:

� Wählen Sie die automatische Konfiguration wenn Sie mit Netzwerken undIP-Adressen nicht vertraut sind.

� Wählen Sie die manuelle TCP/IP-Konfiguration, wenn Sie mit Netzwerkenund IP-Adressen vertraut sind und eine der folgenden Annahmen zutrifft:

� Sie haben bisher in Ihrem Netzwerk noch keine IP-Adressen verwen-det, möchten das ab jetzt aber gerne tun. Sie möchten die IP-Adressefür den Router selbst festlegen und geben ihm eine beliebige Adresseaus einem der für private Zwecke reservierten Adressbereiche, z.B.'10.0.0.1' mit der Netzmaske '255.255.255.0'. Damit legen Sie auchgleichzeitig den Adressbereich fest, den der DHCP-Server anschlie-ßend für die anderen Geräte im Netz verwendet (sofern der DHCP-Server aktiviert wird).

� Sie haben auch bisher schon IP-Adressen auf den Rechnern im LANverwendet.

27



DE

Notwendige Angaben für die manuelle TCP/IP-Konfiguration

Bei der manuellen TCP/IP-Konfiguration fragt Sie der Setup-Assistent nachfolgenden Daten:

� IP-Adresse und Netzwerkmaske für den LANCOM RouterTeilen Sie dem LANCOM Router eine freie IP-Adresse aus dem Adressbe-reich Ihres LAN zu, und geben Sie die Netzwerkmaske an.

3.1.2 Konfigurationsschutz

Mit dem Kennwort schützen Sie den Konfigurationszugang zum LANCOM undverhindern so, dass Unbefugte diese modifizieren. Die Konfiguration desGerätes enthält zahlreiche sensible Daten, wie beispielsweise die Daten fürden Internet-Zugang, und sollte auf jeden Fall durch ein Kennwort geschütztsein.

In der Konfiguration des LANCOM können mehrere Administratorenangelegt werden, die über unterschiedliche Zugriffsrechte verfügen.Für ein LANCOM können bis zu 16 verschiedene Administratoren ein-gerichtet werden. Weitere Informationen finden Sie im LCOS-Refe-renzhandbuch unter „Rechteverwaltung für verschiedeneAdministratoren“.

3.1.3 Gebührenschutz

Der Gebührenschutz verhindert den Verbindungsaufbau von DSL-Verbindun-gen über ein vorher eingestelltes Maß hinaus und schützt Sie so vor unerwar-tet hohen Verbindungskosten.

Wenn Sie den LANCOM Router an einem DSL-Anschluss betreiben, der zeit-basiert abgerechnet wird, können Sie die maximale Verbindungszeit in Minu-ten festsetzen.

Das Budget kann durch Eingabe des Wertes '0' komplett deaktiviert werden.

In der Grundeinstellung ist der Gebührenschutz auf maximal 600Minuten innerhalb von sieben Tagen eingestellt. Passen Sie diese Ein-stellung an Ihre persönlichen Bedürfnisse an oder deaktivieren Sie denGebührenschutz, wenn Sie mit Ihrem Provider einen Pauschal-Tarif(Flatrate) vereinbart haben.

28



DE

3.2 Anleitung für LANconfig

� Starten Sie LANconfig mit Start � Programme � LANCOM �LANconfig.

LANconfig erkennt den neuen LANCOM Router im TCP/IP-Netz selbst-ständig. Daraufhin startet der Setup-Assistent, der Ihnen bei der Grund-einstellung des Geräts behilflich ist oder Ihnen (die passendeNetzwerkumgebung vorausgesetzt) sogar die gesamte Arbeit abnimmt.

Sollte der Zugriff auf einen unkonfigurierten LANCOM Router schei-tern, so kann dieser Fehler auf die Netzmaske des LAN zurückzuführensein: Bei weniger als 254 möglichen Hosts (Netzmaske >'255.255.255.0') muss sichergestellt sein, dass die IP-Adresse'x.x.x.254' im eigenen Subnetz vorhanden ist.

Wenn Sie die automatische TCP/IP-Konfiguration wählen, fahren Sie mitSchritt � fort.

� Geben Sie dem LANCOM Router eine verfügbare Adresse aus einemgeeigneten IP-Adressbereich. Bestätigen Sie mit Weiter.

� Im folgenden Fenster legen Sie zunächst das Kennwort für den Konfigu-rationszugriff fest. Achten Sie bei der Eingabe auf Groß- und Kleinschrei-bung, sowie auf eine ausreichende Länge (mindestens 6 Zeichen).

Ferner legen Sie fest, ob das Gerät nur aus dem lokalen Netzwerk herauskonfiguriert werden darf, oder ob auch die Fernkonfiguration über dasWAN (also aus einem entfernten Netzwerk) erlaubt ist.

Bitte beachten Sie, dass mit dieser Freigabe auch die Fernkonfigura-tion über das Internet ermöglicht wird. Sie sollten in jedem Fall daraufachten, dass der Konfigurationszugriff durch ein Kennwort abgesi-chert ist.

29



DE

� Der Gebührenschutz beschränkt auf Wunsch die Kosten von WAN-Verbin-dungen auf ein festgesetztes Maß. Bestätigen Sie Ihre Angaben mit Wei-ter.

� Schließen Sie die Konfiguration mit Fertig stellen ab.

Im Abschnitt 'TCP/IP-Einstellungen an den Arbeitsplatz-PCs' erfahrenSie, welche Einstellungen an den Arbeitsplatzrechnern im LAN not-wendig sind.

3.3 Anleitung für WEBconfig

Für die Konfiguration mit WEBconfig müssen Sie wissen, wie sich der Routerim LAN ansprechen lässt. Das Verhalten der Geräte sowie ihre Erreichbarkeitzur Konfiguration über einen Webbrowser hängen davon ab, ob im LAN schonDHCP-Server und DNS-Server aktiv sind, und ob diese beiden Serverprozessedie Zuordnung von IP-Adressen zu symbolischen Namen im LAN untereinan-der austauschen.

Nach dem Einschalten prüfen unkonfigurierte LANCOM-Geräte zunächst, obim LAN schon ein DHCP-Server aktiv ist. Je nach Situation kann das Gerätdann den eigenen DHCP-Server einschalten oder alternativ den DHCP-Client-Modus aktivieren. In dieser zweiten Betriebsart kann das Gerät selbst eine IP-Adresse von einem im LAN schon vorhandenen DHCP-Server beziehen.

Netz ohne DHCP-Server

In einem Netz ohne DHCP-Server schalten unkonfigurierte LANCOM-Gerätenach dem Starten den eigenen DHCP-Serverdienst ein und weisen den ande-ren Rechnern im LAN die IP-Adressen sowie Informationen über Gatewaysetc. zu, sofern diese auf den automatischen Bezug der IP-Adressen eingestelltsind (Auto-DHCP). In dieser Konstellation kann das Gerät von jedem Rechnermit aktivierter Auto-DHCP-Funktion mit einem Webbrowser unter demNamen LANCOM oder unter der IP-Adresse 172.23.56.254 erreicht werden.

http://LANCOM

http://172.23.56.254

30



DE

Falls der Konfigurations-Rechner seine IP-Adresse nicht vom LANCOM-DHCP-Server bezieht, ermitteln Sie die aktuelle IP-Adresse des Rechners (mit Start� Ausführen � cmd und dem Befehl ipconfig an der Eingabeaufforderungunter Windows 2000 oder Windows XP, mit Start � Ausführen � cmd unddem Befehl winipcfg an der Eingabeaufforderung unter Windows Me oderWindows 9x bzw. dem Befehl ifconfig in der Konsole unter Linux). In diesemFall erreichen Sie das LANCOM unter der Adresse x.x.x.254 (die “x” stehenfür die ersten drei Blöcke in der IP-Adresse des Konfigurationsrechners).

Netz mit DHCP-Server

Ist im LAN ein DHCP-Server zur Zuweisung der IP-Adressen aktiv, schaltet einunkonfiguriertes LANCOM-Gerät seinen eigenen DHCP-Server aus, wechseltin den DHCP-Client-Modus und bezieht eine IP-Adresse vom DHCP-Serveraus dem LAN. Diese IP-Adresse ist aber zunächst nicht bekannt, die Erreich-barkeit des Geräts hängt von der Namensauflösung ab:

� Ist im LAN auch ein DNS-Server zur Auflösung der Namen vorhanden undtauscht dieser die Zuordnung von IP-Adressen zu den Namen mit demDHCP-Server aus, kann das Gerät unter dem Namen “LANCOM-<MAC-Adresse>” (z.B. “LANCOM-00a057xxxxxx”) erreicht werden.

Die MAC-Adresse finden Sie auf einem Aufkleber auf der Geräteun-terseite.

� Ist im LAN kein DNS-Server vorhanden oder ist dieser nicht mit demDHCP-Server gekoppelt, kann das Gerät nicht über den Namen erreichtwerden. In diesem Fall bleiben folgende Optionen:

� Die per DHCP an das LANCOM-Gerät zugewiesene IP-Adresse übergeeignete Tools ausfindig machen und das Gerät mit dieser IP-Adresse direkt erreichen.

� LANconfig verwenden.

Aufruf der Assistenten in WEBconfig

� Öffnen Sie also Ihren Web-Browser (z.B. Internet Explorer, Netscape Navi-gator, Opera) und rufen Sie dort den LANCOM Router auf:

http://LANCOM-00a05700094A

31



DE

http://<IP-Adresse des LANCOM>

(bzw. über beliebigen Namen)

Sollte der Zugriff auf einen unkonfigurierten LANCOM Router schei-tern, so kann dieser Fehler auf die Netzmaske des LAN zurückzuführensein: Bei weniger als 254 möglichen Hosts (Netzmaske >'255.255.255.0') muss sichergestellt sein, dass die IP-Adresse'x.x.x.254' im eigenen Subnetz vorhanden ist.

Es erscheint das Hauptmenü von WEBconfig:

Die Setup-Assistenten sind exakt auf die Funktionalität des jeweiligenLANCOM Router zugeschnitten. Es kann daher sein, dass Ihr Gerätnicht alle hier abgebildeten Assistenten anbietet.

Wenn Sie die automatische TCP/IP-Konfiguration wählen, fahren Sie mitSchritt � fort.

� Wenn Sie die TCP/IP-Einstellungen selbst vornehmen wollen, dann gebenSie dem LANCOM Router eine verfügbare Adresse aus einem geeigneten

32



DE

IP-Adressbereich. Stellen Sie außerdem ein, ob er als DHCP-Server arbei-ten soll oder nicht. Bestätigen Sie Ihre Eingabe mit Setzen.

� Im folgenden Fenster 'Sicherheitseinstellungen' vergeben Sie zunächst einKennwort für den Konfigurationszugriff. Achten Sie bei der Eingabe aufGroß- und Kleinschreibung, sowie auf eine ausreichende Länge (mindes-tens 6 Zeichen).

Legen Sie fest, ob das Gerät nur aus dem lokalen Netzwerk heraus konfi-guriert werden darf, oder ob auch die Fernkonfiguration über das WAN(also aus einem entfernten Netzwerk) erlaubt ist.

Bitte beachten Sie, dass mit dieser Freigabe auch die Fernkonfigura-tion über das Internet ermöglicht wird. Sie sollten in jedem Fall daraufachten, dass der Konfigurationszugriff geeignet abgesichert ist, z.B.durch ein Kennwort.

� Wählen Sie im nächsten Fenster Ihren Internet-Provider aus der angebo-tenen Liste aus. Bestätigen Sie Ihre Wahl mit Setzen.

Bei Auswahl von 'Mein Anbieter ist hier nicht aufgeführt' müssen Sie imanschließenden Fenster das von Ihrem Internet-Provider verwendeteÜbertragungsprotokoll manuell angeben. In aller Regel funktioniert dasUniversal-Protokoll 'Multimode'.

� Der Gebührenschutz beschränkt auf Wunsch die Kosten von WAN-Verbin-dungen auf ein festgesetztes Maß. Bestätigen Sie Ihre Angaben mit Set-zen.

Eingabe des Kennworts im Web-Browser

Wenn Sie beim Zugriff auf das Gerät von IhremWeb-Browser zur Eingabe von Benutzernameund Kennwort aufgefordert werden, tragen SieIhre persönlichen Werte in die entsprechendenFelder der Eingabemaske ein. Achten Sie dabeiauf Groß- und Kleinschreibung.

Falls Sie den allgemeinen Konfigurationszugangverwenden, tragen Sie nur das entsprechendeKennwort ein. Das Feld Benutzername bleibt indiesem Fall leer.

Eingabe des Konfigurations-Kennworts

33



DE

� Der Grundeinrichtungs-Assistent meldet, dass alle notwendigen Angabenvorliegen. Mit Weiter schließen Sie ihn ab.

3.4 TCP/IP-Einstellungen an den Arbeitsplatz-PCs

Bei TCP/IP-Netzwerken ist die korrekte Adressierung aller Geräte im LANaußerordentlich wichtig. Ferner sollten alle Rechner die IP-Adressen von zweizentralen Stellen im LAN kennen:

� Standard-Gateway – erhält alle Pakete, die nicht an Rechner im lokalenNetz adressiert sind

� DNS-Server – übersetzt einen Netzwerk- oder Rechnernamen in eine kon-krete IP-Adresse.

Der LANCOM Router kann sowohl die Funktionen eines Standard-Gatewaysals auch die eines DNS-Servers übernehmen. Außerdem kann er als DHCP-Server allen Rechnern im LAN automatisch eine korrekte IP-Adresse zuweisen.

Die korrekte TCP/IP-Konfiguration der PC im LAN hängt entscheidend davonab, nach welcher Methode im LAN die IP-Adressen vergeben werden:

� IP-Adressvergabe über den LANCOM Router (Normalfall)

In dieser Betriebsart weist der LANCOM Router den PCs im LAN undWLAN (bei Geräten mit Funkmodul) nicht nur eine IP-Adresse zu, sondernübermittelt per DHCP auch seine eigene IP-Adresse als Standard-Gatewayund DNS-Server. Die PCs sind deshalb so einzustellen, dass sie ihre eigeneIP-Adresse, ebenso wie die IP-Adressen von Standard-Gateway und DNS-Server automatisch (über DHCP) beziehen.

� IP-Adressvergabe über einen separaten DHCP-Server

Die Arbeitsplatz-PCs sind so einzustellen, dass sie ihre eigene IP-Adresse,ebenso wie die IP-Adressen von Standard-Gateway und DNS-Server auto-matisch (über DHCP) beziehen. Auf dem DHCP-Server ist die IP-Adressedes LANCOM Router so zu hinterlegen, dass der DHCP-Server sie an diePCs im LAN als Standard-Gateway übermittelt. Außerdem sollte derDHCP-Server den LANCOM Router als DNS-Server angeben.

� Manuelle Zuweisung der IP-Adressen

Werden die IP-Adressen im Netzwerk statisch vergeben, so sind bei jedemPC im LAN die IP-Adresse des LANCOM Router als Standard-Gateway undals DNS-Server in der TCP/IP-Konfiguration einzustellen.

Weitere Informationen und Hilfe zu den TCP/IP-Einstellungen IhresLANCOM Router finden Sie im Referenzhandbuch. Bei der Netzwerk-

34



DE

konfiguration der Arbeitsplatzrechner hilft Ihnen die Dokumentationdes installierten Betriebssystems weiter.

35


� Kapitel 4: Den Internet- Zugang einrichten

DE

4 Den Internet-Zugang einrichtenÜber den zentralen Internet-Zugang des LANCOM erhalten alle Rechner imLAN Zugriff auf das Internet. Die Verbindung zum Internetanbieter kann überjeden WAN-Anschluss aufgebaut werden, also neben DSL auch über ISDN(sofern vorhanden). Ein Internet-Zugang über ISDN kann beispielsweise alsBackup für DSL eingesetzt werden.

Kennt der Setup-Assistent Ihren Internet-Anbieter?

Die Einrichtung des Internet-Zugangs erfolgt über einen komfortablen Assis-tenten. Der Assistent kennt die Zugangsdaten der wichtigsten Internetanbie-ter und bietet Ihnen eine Liste zur Auswahl an. Wenn Sie IhrenInternetanbieter in dieser Liste finden, so müssen Sie für die Einrichtung desInternet-Zugangs normalerweise keine weiteren Übertragungs-Parametereingeben. Lediglich die Authentifizierungsdaten, die Ihnen Ihr Internetanbie-ter zur Verfügung stellt, sind noch erforderlich.

Zusätzlich Angaben bei unbekanntem Internet-Anbieter

Kennt der Setup-Assistent Ihren Internet-Anbieter nicht, so fragt er Sie Schrittfür Schritt alle notwendigen Zugangsdaten ab. Diese Zugangsdaten stelltIhnen Ihr Internet-Anbieter zur Verfügung.

Nur LANCOM 1611+ und LANCOM DSL/I-10+

� Verbindung zu einem DSL-Modem

� Protokoll: PPPoE

� Verbindung zu einem Access-Router mit festen IP-Adressen

� Protokoll: Plain Ethernet

WAN-Verbindung

LANCOM Router Router im LAN des Internetanbieters

Internet

36



DE

Weitere Verbindungsoptionen

Zusätzlich können Sie (sofern von Ihrem Internetanbieter unterstützt) zusätz-liche Optionen im Assistenten ein- oder ausschalten:

� Zeitliche Abrechnung oder Flatrate – wählen Sie aus, nach welchemModell Ihr Internetanbieter die Nutzung abrechnet.

� Bei der zeitlichen Abrechnung können Sie am LANCOM Router ein-stellen, dass bestehende Verbindungen automatisch abgebaut wer-den, wenn für eine bestimmte Dauer (die sogenannte Haltezeit) keineDaten mehr übertragen wurden.

Zusätzlich können Sie eine Leitungsüberwachung aktivieren, die inak-tive Gegenstellen schneller erkennt und in diesem Fall die Verbindungschon vor Ablauf der Haltezeit abbaut.

� Bei Flatrate-Abrechnung haben Sie ebenfalls die Möglichkeit der akti-ven Leitungsüberwachung, und können so die Funktion der Gegen-stelle ständig überprüfen.

Außerdem können Sie bei Flatrates Verbindungen dauerhaft aufrechterhalten („Keep-alive“). Im Fall eines Verbindungsabbruchs wird dieseautomatisch wieder aufgebaut.


� Markieren Sie Ihr LANCOM Router im Auswahlfenster. Wählen Sie aus derBefehlsleiste den Punkt Extras � Setup Assistent.

� Wählen Sie im Auswahlmenü den Setup-Assistenten Internet-Zugangeinrichten und bestätigen Sie die Auswahl mit Weiter.

� In den folgenden Fenstern wählen Sie Ihr Land, nach Möglichkeit IhrenInternetanbieter, und geben Sie die Zugangsdaten ein.

37



DE

� Je nach Verfügbarkeit bietet Ihnen der Assistent weitere Optionen für dieInternetverbindung zur Auswahl an.

� Der Assistent informiert Sie sobald die Eingaben vollständig sind. Schlie-ßen Sie die Konfiguration mit Fertig stellen ab.


� Wählen Sie im Hauptmenü Internet-Zugang einrichten.

� In den folgenden Fenstern wählen Sie Ihr Land, nach Möglichkeit IhrenInternetanbieter, und geben Sie die Zugangsdaten ein.

� Je nach Verfügbarkeit bietet Ihnen der Assistent weitere Optionen für dieInternetverbindung zur Auswahl an.

� Der Assistent informiert Sie sobald die Eingaben vollständig sind. Schlie-ßen Sie die Konfiguration mit Weiter ab.

LANconfig: Schneller Aufruf der Setup-Assistenten

Die Setup-Assistenten rufen Sie unter LANconfigam schnellsten über den Befehlsknopf in derButton-Leiste auf.

38


� Kapitel 5: Zwei Netzwerke verbinden

DE

5 Zwei Netzwerke verbindenMit der Netzwerkkopplung (auch LAN-LAN-Kopplung) des LANCOM Routerwerden zwei lokale Netzwerke miteinander verbunden. Die LAN-LAN-Kopp-lung kann grundsätzlich auf zwei verschiedenen Wegen realisiert werden:

� VPN: Bei der Kopplung über VPN wird die Verbindung zwischen den bei-den LANs über eine besonders geschützte Verbindung über das öffentli-che Internet hergestellt. In beiden LANs wird dazu ein Router mit VPN-Unterstützung benötigt.

� ISDN: Bei der Kopplung über ISDN wird eine direkt Verbindung zwischenden beiden LANs über eine ISDN-Verbindung hergestellt. In beiden LANswird ein dazu Router mit ISDN-Schnittstelle benötigt.

Die Einrichtung einer LAN-LAN-Kopplung erfolgt über einen Setup-Assisten-ten in bekannt komfortabler Art.

Immer beide Seiten konfigurieren

Beide an der Netzwerkkopplung beteiligten Router müssen konfiguriert wer-den. Dabei ist darauf zu achten, dass die Konfigurationsangaben auf beidenSeiten zueinander passen.

Die folgende Anleitung geht davon aus, dass auf beiden SeitenLANCOM Router-Router verwendet werden. Die Netzwerkkopplungist zwar auch mit Routern anderer Hersteller möglich. Eine gemischteKonfiguration erfordert aber in aller Regel tiefer gehende Eingriffe anbeiden Geräten. Ziehen Sie in einem solchen Fall das Referenzhand-buch zu Rate.

Sicherheitsaspekte

Der Zugang zu Ihrem LAN muss natürlich gegen unbefugten Zugriff geschütztsein. Ein LANCOM Router bietet daher eine ganze Reihe von Sicherheitsme-chanismen an, bei deren Einsatz ein hervorragender Schutz gewährleistet ist:

� VPN: Bei Kopplungen über VPN werden die Daten mittels IPSec übertra-gen und dabei mit den Verfahren 3-DES, AES oder Blowfish verschlüsselt

� ISDN: Bei Kopplungen über ISDN sorgen das Kennwort für die Verbin-dung, die Überprüfung der ISDN-Nummer und die Rückruffunktion für dieSicherheit der Verbindung.

39



DE

Die ISDN-Rückruffunktion kann nicht im Assistenten, sondern nur inder Expertenkonfiguration eingerichtet werden. Details dazu findenSie im Referenzhandbuch.


Der Assistent fragt alle notwendigen Daten Schritt für Schritt ab. Nach Mög-lichkeit sollten Ihnen die erforderlichen Angaben schon vor Aufruf des Assis-tenten vorliegen.

Die Bedeutung aller Angaben, nach denen Sie der Assistent fragt, erklären wirIhnen an Hand eines typischen Beispiels: der Kopplung einer Filiale an ihreZentrale. Die beiden beteiligten Router tragen die Namen 'ZENTRALE' und'FILIALE'.

Den folgenden Tabellen entnehmen Sie, welche Einträge an welchem der bei-den Router vorzunehmen sind. Pfeile kennzeichnen die Abhängigkeiten zwi-schen den Einträgen.

5.1.1 Allgemeine Angaben

Die folgenden Angaben werden für die Einrichtung einer LAN-LAN-Kopplungbenötigt. Die erste Spalte zeigt jeweils an, ob die Information für eine Netz-werkkopplung über VPN (einfaches Verfahren mit „Preshared Keys“) und/oderüber ISDN erforderlich ist.

Weitere Informationen zur Netzwerkkopplung über VPN-Verbindun-gen mit anderen Verfahren entnehmen Sie bitte dem LANCOM Refe-renzhandbuch.

Kopplung Angabe Gateway 1 Gateway 2

VPN Verfügt die Gegenstelle über einen ISDN-Anschluss?

Ja/Nein Ja/Nein

VPN Typ der eigenen IP-Adresse statisch/dynamisch statisch/dynamisch

VPN Typ IP-Adresse der Gegenstelle statisch/dynamisch statisch/dynamisch

VPN + ISDN Name des eigenen Gerätes 'ZENTRALE' 'FILIALE'

VPN + ISDN Name der Gegenstelle 'FILIALE' 'ZENTRALE'

VPN + ISDN ISDN-Rufnummer Gegenstelle (0123) 123456 (0789) 654321

VPN + ISDN ISDN-Anruferkennung Gegenstelle (0789) 654321 (0123) 123456

40



DE

Hinweise zu den einzelnen Werten:

� Verfügt Ihr eigenes Gerät über einen ISDN-Anschluss, so fragt der Assis-tent nach, ob auch die Gegenstelle über einen solchen verfügt.

� Für VPN-Verbindungen über das Internet muss der Typ der IP-Adressenauf beiden Seiten angegeben werden. Es gibt zwei Typen von IP-Adres-sen: statische und dynamische. Eine Erklärung zum Unterschied der bei-den IP-Adresstypen finden Sie im Referenzhandbuch.

Die Dynamic-VPN-Funktionalität erlaubt VPN-Verbindungen nicht nurzwischen Gateways mit statischen (festen) IP-Adressen, sondern auch beiVerwendung dynamischer IP-Adressen. Der aktive Aufbau von VPN-Ver-bindungen zu Gegenstellen mit dynamischer IP-Adresse erfordert eineISDN-Verbindung.

� Wenn Sie Ihren LANCOM Router noch nicht benannt haben, so fragt Sieder Assistent nach einem neuen eigenen Gerätenamen. Mit der Eingabebenennen Sie Ihren LANCOM Router neu. Achten Sie darauf, dass Siebeide Gegenstellen unterschiedlich benennen.

VPN + ISDN Kennwort zur sicheren Übertragung der IP-Adresse

'Geheim' 'Geheim'

VPN Shared Secret für Verschlüsselung 'Secret' 'Secret'

VPN IP-Adresse der Gegenstelle '10.0.2.100' '10.0.1.100'

VPN IP-Netzadresse des entfernten Netzes '10.0.2.0' '10.0.1.0'

VPN Netzmaske des entfernten Netzwerks 255.255.255.0 255.255.255.0

VPN Dömänenbezeichnung im entfernten Netz-werk

'zentrale' 'filiale'

VPN Eigene Stationen bei Zugriff auf entferntes Netz verstecken (Extranet-VPN)?

Ja/Nein Ja/Nein

ISDN TCP/IP-Routing für Zugriff auf entferntes Netz?

Ja/Nein Ja/Nein

ISDN IPX-Routing für Zugriff auf entferntes Netz? Ja/Nein Ja/Nein

VPN + ISDN NetBIOS-Routing für Zugriff auf entferntes Netz?

Ja/Nein Ja/Nein

VPN + ISDN Name einer lokalen Arbeitsgruppe (nur bei NetBIOS)

'workgroup1' 'workgroup2'

ISDN Datenkomprimierung ein/aus ein/aus

ISDN Kanalbündelung ein/aus ein/aus

Kopplung Angabe Gateway 1 Gateway 2

41



DE

� Der Name der Gegenstelle wird für deren Identifikation benötigt.

� Im Feld ISDN-Rufnummer wird die Rufnummer der ISDN-Gegenstelleangegeben. Erforderlich ist die Angabe der kompletten Rufnummer derGegenstelle einschließlich aller notwendigen Vorwahlen.

� Mit der angegebenen ISDN-Anruferkennung wird der Anrufer identifi-ziert und authentifiziert. Wird ein LANCOM Router angerufen, vergleichter die für die Gegenstelle eingetragene ISDN-Anruferkennung mit derKennung, die der Anrufer tatsächlich über den D-Kanal übermittelt. EineISDN-Kennung setzt sich üblicherweise aus der nationalen Vorwahl undeiner MSN zusammen.

� Das Kennwort für die ISDN-Verbindung ist eine Alternative zur ISDN-Anruferkennung. Es wird immer dann zur Authentifizierung des Anrufersherangezogen, wenn keine ISDN-Anruferkennung übermittelt wird. DasKennwort muss auf beiden Seiten identisch eingegeben werden. Es wirdfür Anrufe in beide Richtungen verwendet.

� Das Shared Secret ist das zentrale Kennwort für die Sicherheit der VPN-Verbindung. Es muss auf beiden Seiten identisch eingegeben werden.

� Die Datenkomprimierung erhöht die Übertragungsgeschwindigkeit ohnezusätzliche Kosten. Ganz im Gegensatz zur Bündelung von zwei ISDN-Kanälen mit MLPPP (MultiLink-PPP): Hier wird zwar die Bandbreite ver-doppelt, in aller Regel fallen dafür aber auch doppelte Verbindungsge-bühren an.

5.1.2 Einstellungen für den TCP/IP-Router

Im TCP/IP-Netzwerk kommt der korrekten Adressierung eine besondereBedeutung zu. Bei einer Netzwerkkopplung ist zu beachten, dass beide Netz-werke logisch voneinander getrennt sind. Sie müssen daher jeweils über eineeigene Netzwerknummer verfügen (im Beispielfall '10.0.1.x' und '10.0.2.x').Die beiden Netzwerknummern müssen unterschiedlich sein.

42



DE

Im Gegensatz zum Internet-Zugang werden bei der Kopplung von Netzen alleIP-Adressen aus den beteiligten Netzen auch im entfernten LAN sichtbar,nicht nur die der Router. Der Rechner mit der IP-Adresse 10.0.2.10 im LAN derFiliale sieht den Server 10.0.1.2 in der Zentrale und kann (entsprechendeRechte vorausgesetzt) auch auf ihn zugreifen. Gleiches gilt umgekehrt.

DNS-Zugriffe ins entfernte LAN

Der Zugriff auf entfernte Rechner kann in einem TCP/IP-Netzwerk nicht nurüber die Angabe der IP-Adresse erfolgen, sondern dank DNS auch über freidefinierbare Namen.

Beispielsweise kann der Rechner mit dem Namen 'pc1.filiale.firma' (IP10.0.2.10) auf den Server in der Zentrale nicht nur über dessen IP-Adressezugreifen, sondern auch über dessen Namen 'server.zentrale.firma'. EinzigeVoraussetzung: Die Domäne des entfernten Netzwerks muss im Assistentenangegeben werden.

Die Angabe der Domäne ist nur im LANconfig-Assistenten möglich.Bei WEBconfig nehmen Sie die entsprechenden Einstellungen späterin der Expertenkonfiguration vor. Nähere Informationen finden Sie imLANCOM Router-Referenzhandbuch.

VPN-Extranet

Bei einer LAN-LAN-Kopplung über VPN können Sie die eigenen Stationen hin-ter einer anderen IP-Adresse maskieren. Bei dieser als 'Extranet-VPN'

LAN der Zentrale. IP: 10.0.1.0,Netzmaske: 255.255.255.0Domäne: 'zentrale.firma'

10.0.1.100 (0123) 123456

LAN der Filiale. IP: 10.0.2.0,Netzmaske: 255.255.255.0Domäne: 'filiale.firma'

10.0.1.2

10.0.2.10

10.0.2.100 (0789) 654321

'server.zentrale.firma'

'pc1.filiale.firma'

VPN- oder ISDN-Verbindung

43



DE

bezeichneten Betriebsart erscheinen die eigenen Rechner gegenüber dementfernten LAN nicht mit ihrer eigenen IP-Adresse, sondern mit einer anderenfrei wählbaren (z. B. der des VPN-Gateways).

Den Stationen im entfernten LAN wird dadurch der direkte Zugriff auf dieRechner im eigenen LAN verwehrt. Wurde beispielsweise im LAN der Filialefür den Zugriff auf die Zentrale der Extranet-VPN-Modus hinter der IP-Adresse'10.10.2.100' eingestellt, und greift der Rechner '10.10.2.10' auf den Server'10.10.1.2' zu, so erscheint bei diesem eine Anfrage von der IP '10.10.2.100'.Die tatsächliche IP-Adresse des Rechners bleibt verborgen.

Wenn ein LAN im Extranet-Modus gekoppelt wird, so wird auf der Gegenseitenicht dessen tatsächliche (verborgene) LAN-Adresse angegeben, sondern dieIP-Adresse, mit der das LAN nach außen hin auftritt (im Beispiel'10.10.2.100'). Die Netzmaske lautet in diesem Fall '255.255.255.255'.

5.1.3 Einstellungen für den IPX-Router

Die Kopplung von IPX-Netzwerken über VPN kann nicht im Assisten-ten, sondern nur in der Expertenkonfiguration eingerichtet werden.Details dazu finden Sie im Referenzhandbuch.

Für die Kopplung von zwei typischen IPX-Netzwerken zu einem WAN sind dreiIPX-Netzwerknummern notwendig:

� für das LAN der Zentrale

� für das LAN der Filiale

� für das übergeordnete WAN

Die IPX-Netzwerknummern in Zentrale und Filiale werden jeweils auf der ent-fernten Seite angegeben.

Die drei geforderten Netzwerknummern werden in den IPX-Konventionen als„External Network Numbers“ bezeichnet. Sie gelten (ähnlich IP-Netzwerk-Adressen) für ein ganzes LAN-Segment. Im Gegensatz dazu dienen die IPX-Internal-Network-Nummern zur Adressierung eines bestimmten Novell-Ser-vers im LAN. Alle drei angegebenen Netzwerknummern müssen sich vonein-ander und von allen verwendeten IPX-Internal-Network-Nummernunterscheiden.

Ferner kann die Angabe des im entfernten LAN verwendeten Frame-Typs(„Binding“) erforderlich sein.

Wenn im entfernten Netz ein Novell-Server arbeitet, ist die Angabe der ent-fernten IPX-Netzwerknummer und des verwendeten Bindings nicht erforder-

44



DE

lich. In diesem Fall muss lediglich eine Netzwerknummer für das WAN manuellangegeben werden.

5.1.4 Einstellungen für NetBIOS-Routing

Das NetBIOS-Routing ist schnell eingerichtet: Zusätzlich zu den Angaben fürdas verwendete TCP/IP-Protokoll muss lediglich der Name einer Windows-Arbeitsgruppe aus dem eigenen LAN des Routers angegeben werden.

Entfernte Windows-Arbeitsgruppen erscheinen nicht in der Windows-Netzwerkumgebung, sondern können nur direkt (z.B. über die Com-puter-Suche) angesprochen werden.


Führen Sie die Konfiguration nacheinander an beiden Routern durch.

� Rufen Sie den Assistenten 'Zwei lokale Netze verbinden' auf. Folgen Sieden Anweisungen des Assistenten und geben Sie notwendigen Daten ein.

LAN der ZentraleIPX-Netzwerknr.: 00000001Binding: Ethernet_II

(0123) 123456

LAN der FilialeIPX-Netzwerknr.: 00000002Binding: Ethernet_II

WANIPX-Netzwerknr.:

00000009

(0789) 654321

IPX-Internal-Net:00020002


45



DE

� Der Assistent meldet, sobald ihm alle notwendigen Angaben vorliegen.Schließen Sie den Assistenten dann mit Fertig stellen ab.

� Nach Abschluss der Einrichtung an beiden Routern können Sie die Netz-werkverbindung testen. Versuchen Sie dazu, einen Rechner im entferntenLAN (z.B. mit ping) anzusprechen. Der LANCOM Router sollte automa-tisch eine Verbindung zur Gegenstelle aufbauen und den Kontakt zumgewünschten Rechner herstellen.


Die Kopplung von Netzwerken über VPN kann unter WEBconfig nichtmit Hilfe des Assistenten, sondern nur in der Expertenkonfigurationeingerichtet werden. Details dazu finden Sie im Referenzhandbuch.

Ping – schneller Verbindungstest einer TCP/IP-Verbindung

Für den Test einer TCP/IP-Verbindung schi-cken Sie einfach ein ping von Ihrem Rech-ner an einen Rechner im entfernten Netz.Details zum Ping-Befehl finden Sie in derDokumentation Ihres Betriebssystems.

IPX- und NetBIOS-Verbindungen testen Sie,indem Sie von Ihrem Rechner aus einen ent-fernten Novell-Server bzw. einen Rechner inder entfernten Windows-Arbeitsgruppesuchen.

46



DE

Führen Sie die Konfiguration nacheinander an beiden Routern durch.

� Rufen Sie im Hauptmenü den Assistenten 'Zwei lokale Netze verbinden'auf. Folgen Sie den Anweisungen des Assistenten und geben Sie die not-wendigen Daten ein.

� Der Assistent meldet, sobald ihm alle notwendigen Angaben vorliegen.Schließen Sie den Assistenten dann mit Weiter ab.

� Nach Abschluss der Einrichtung an beiden Routern können Sie die Netz-werkverbindung testen. Versuchen Sie dazu, einen Rechner im entferntenLAN (z.B. mit ping) anzusprechen. Der LANCOM Router sollte automa-tisch eine Verbindung zur Gegenstelle aufbauen und den Kontakt zumgewünschten Rechner herstellen.

47


� Kapitel 6: Einwahl- Zugang bereitstellen

DE

6 Einwahl-Zugang bereitstellenAn Ihrem LANCOM Router können Sie Einwahl-Zugänge einrichten, über diesich einzelne Rechner in Ihr LAN einwählen können und für die Dauer der Ver-bindung vollwertiger Teilnehmer des Netzwerks werden. Dieser Dienst wirdauch als RAS (Remote Access Service) bezeichnet. Der RAS-Zugang kanngrundsätzlich auf zwei verschiedenen Wegen realisiert werden:

� VPN: Bei einem RAS-Zugang über VPN wird die Verbindung zwischendem LAN und dem Einwahlrechner über eine besonders geschützte Ver-bindung über das öffentliche Internet hergestellt. Der Router im LANbenötigt eine VPN-Unterstützung, der Einwahlrechner einen beliebigenZugang zum Internet und einen VPN Client.

� ISDN: Bei einem RAS-Zugang über ISDN wird eine direkt Verbindung zwi-schen dem LAN und dem Einwahlrechne über eine ISDN-Verbindung her-gestellt. Der Router im LAN benötigt eine ISDN-Schnittstelle, derEinwahlrechner einen ISDN-Adapter oder ein ISDN-Modem. Als Protokollfür die Datenübertragung dient PPP. Damit ist die Unterstützung aller übli-chen Geräte und Betriebssysteme gesichert.

Die Einrichtung eines Einwahl-Zugangs erfolgt über einen Setup-Assistentenin bekannt komfortabler Art.

Sicherheitsaspekte

Der Zugang zu Ihrem LAN muss natürlich gegen unbefugten Zugriff geschütztsein. Ein LANCOM Router bietet daher eine ganze Reihe von Sicherheitsme-chanismen an, bei deren Einsatz ein hervorragender Schutz gewährleistet ist:

� VPN: Bei Kopplungen über VPN werden die Daten mittels IPSec übertra-gen und dabei mit den Verfahren 3-DES, AES oder Blowfish verschlüsselt

� ISDN: Bei Kopplungen über ISDN sorgen das Kennwort für die Verbin-dung, die Überprüfung der ISDN-Nummer und die Rückruffunktion für dieSicherheit der Verbindung.

Die ISDN-Rückruffunktion kann nicht im Assistenten, sondern nur inder Expertenkonfiguration eingerichtet werden. Details dazu findenSie im Referenzhandbuch.


Der Assistent richtet den Einwahl-Zugang nur für einen Benutzer ein. Fürjeden zusätzlichen Benutzer führen Sie den Assistenten ein weiteres Mal aus.

48



DE

6.1.1 Allgemeine Angaben

Die folgenden Angaben werden für die Einrichtung eines RAS-Zugangs benö-tigt. Die erste Spalte zeigt jeweils an, ob die Information für einen RAS-Zugang über VPN (einfaches Verfahren mit „Preshared Keys“) und/oder überISDN erforderlich ist.

Weitere Informationen zu RAS-Zugängen über VPN-Verbindungenmit anderen Verfahren entnehmen Sie bitte dem LANCOM Referenz-handbuch.

Hinweise zu den einzelnen Werten:

� Benutzername und Passwort: Mit diesen Zugangsdaten weist sich derBenutzer bei der Einwahl aus.

� Ankommende Nummer: Die optionale ISDN-Anruferkennung verwen-det der LANCOM Router zusätzlich zur Benutzer-Authentifikation. Auf dieVerwendung dieser Sicherheitsfunktion sollte immer dann verzichtet wer-den, wenn sich der Benutzer von verschiedenen ISDN-Anschlüssen ein-wählt.

Kopplung Angabe

VPN + ISDN Benutzername

VPN + ISDN Passwort

VPN Shared Secret für Verschlüsselung

VPN Eigene Stationen bei Zugriff auf entferntes Netz verstecken (Extranet-VPN)?

ISDN Ankommende Rufnummer des Einwahlrechners

ISDN TCP/IP-Routing für Zugriff auf entferntes Netz?

ISDN IPX-Routing für Zugriff auf entferntes Netz?

VPN + ISDN IP-Adresse(n) für den oder die Einwahlrechner: fest oder dynamisch aus einem Adressbereich (IP-Adress-Pool)

VPN + ISDN NetBIOS-Routing für Zugriff auf entferntes Netz?

VPN + ISDN Name einer lokalen Arbeitsgruppe (nur bei NetBIOS)

49



DE

Hinweise zu den anderen Werten, die bei der Einrichtung des RAS-Zugangs benötigt werden, finden Sie im Kapitel 'Zwei Netzwerke ver-binden'.

6.1.2 Einstellungen für TCP/IP

Beim Protokoll TCP/IP muss jedem aktiven RAS-Benutzer eine eigene IP-Adresse zugewiesen werden.

Diese IP-Adresse können Sie entweder bei der Anlage eines Benutzers manu-ell festlegen. Einfacher ist es, den LANCOM Router einem Benutzer automa-tisch bei der Einwahl eine freie IP-Adresse zuteilen zu lassen. In diesem Falllegen Sie bei der Konfiguration nur den IP-Adressbereich fest, aus dem derLANCOM Router die Adresse für den RAS-Benutzer nehmen soll.

Achten Sie sowohl bei der manuellen als auch bei der automatischen IP-Adresszuteilung darauf, dass es sich um freie Adresse(n) aus dem Adressbe-reich Ihres lokalen Netzwerks handelt. Im Beispiel wird dem PC bei der Ein-wahl die IP-Adresse '10.0.1.101' zugewiesen.

Die ISDN-Anruferkennung (CLI)

Bei der ISDN-Anruferkennung – auch als CLI (Calling Line Identity) bezeichnet – handelt sichum die Telefonnummer des Anrufers, die an den angerufenen Teilnehmer übermittelt wird. Siesetzt sich in aller Regel aus der nationalen Vorwahl und einer MSN zusammen.

Die CLI eignet sich aus zwei Gründen besonders gut für die Authentifizierung: Zum einen lässtsie sich nur schwer manipulieren. Zum anderen erfolgt ihre Übertragung kostenlos über denISDN-Steuerkanal (D-Kanal).

10.0.1.100 (0123) 123456

Benutzer: 'MUSTER' (0123) 777888

ISDN-Adapter

FernarbeitsplatzIP: 10.0.1.101

LAN der Zentrale. IP: 10.0.1.0


50



DE

Mit dieser IP-Adresse ist der Rechner ein vollwertiger Teilnehmer im LAN: Erkann (bei entsprechender Berechtigung) auf alle anderen Geräte im LANzugreifen. Umgekehrt gilt dieses Verhältnis auch: auf den entfernten Rechnerkann auch aus dem LAN zugegriffen werden.

6.1.3 Einstellungen für IPX

Für die RAS-Einwahl in ein IPX-Netzwerk ist die Angabe von zwei IPX-Netz-werknummern notwendig:

� die IPX-Netzwerknummer der Zentrale

� eine zusätzliche IPX-Netzwerknummer für das übergeordnete WAN

Die geforderten Netzwerknummern werden in den IPX-Konventionen als„External Network Numbers“ bezeichnet. Sie gelten (analog zu IP-Netzwerk-Adressen) für ein komplettes LAN-Segment. Im Gegensatz dazu dienen dieIPX-Internal-Network-Nummern zur Adressierung von bestimmten Novell-Servern im LAN. Alle drei angegebenen Netzwerknummern müssen sich von-einander und von allen verwendeten IPX-Internal-Network-Nummern unter-scheiden.

Ferner kann die Angabe des im entfernten LAN verwendeten Frame-Typs(„Binding“) erforderlich sein.

Wenn im entfernten Netz ein Novell-Server arbeitet, ist die Angabe der ent-fernten IPX-Netzwerknummer und des verwendeten Bindings nicht erforder-lich. Eine Netzwerknummer für das WAN muss allerdings auch in diesem Fallmanuell angegeben werden.

LAN der ZentraleIPX-Netzwerknr.: 00000001, Binding: Ethernet_II

(0123) 123456

WANIPX-Netzwerknr.:

00000009

IPX-Internal-Net:00020002

Fernarbeitsplatz

ISDN-Adapter

Benutzer: 'MUSTER' (0123) 777888


51



DE

6.1.4 Einstellungen für NetBIOS-Routing

Für die Verwendung von NetBIOS muss lediglich der Name einer Windows-Arbeitsgruppe aus dem eigenen LAN des Routers angegeben werden.

Die Verbindung wird nicht automatisch aufgebaut. Der RAS-Benutzermuss bei Bedarf zunächst manuell eine Verbindung über das DFÜ-Netzwerk zum LANCOM Router herstellen. Bei bestehender Verbin-dung kann die Rechner im anderen Netz suchen und auf sie zugreifen(über Suchen � Computer, nicht über die Netzwerkumgebung).

6.2 Einstellungen am Einwahl-Rechner

6.2.1 Einwahl über VPN

Für die Einwahl in ein Netzwerk über VPN benötigt ein Rechner:

� Einen Zugang zum Internet

� Einen VPN-Client

LANCOM Systems bietet auf der beiliegenden CD eine 30-Tage-Testversiondes LANCOM Advanced VPN Client an. Eine genaue Beschreibung des VPN-Client und Hinweise zur Einrichtung finden Sie ebenfalls auf der CD.

Der Assistent fragt im folgenden die Werte ab, die beim Anlegen des RAS-Zugangs im LANCOM Router festgelegt wurden.

6.2.2 Einwahl über ISDN

Beim Einwahl-Rechner sind einige Einstellungen nötig, die hier nur kurz amBeispiel eines Windows-Rechners aufgeführt sind:

� DFÜ-Netzwerk (bzw. anderer PPP-Client) korrekt eingerichtet

� Netzwerkprotokoll (TCP/IP, IPX) installiert und auf den DFÜ-Adaptergebunden

� neue Verbindung im DFÜ-Netzwerk mit Rufnummer des Routers

� Terminal-Adapter oder ISDN-Karte auf PPPHDLC eingestellt

� PPP als DFÜ-Servertyp ausgewählt, 'Software-Komprimierung aktivieren'und 'Verschlüsseltes Kennwort fordern' ausgeschaltet

� Auswahl der gewünschten Netzwerkprotokolle (TCP/IP, IPX)

� Zusätzliche TCP/IP-Einstellungen:

� Zuweisung von IP-Adresse und Namensserveradresse aktiviert

� 'IP-Headerkomprimierung' deaktiviert

52



DE

Mit diesen Einstellungen kann sich ein PC über ISDN in das entfernte LAN ein-wählen und in üblicher Weise auf dessen Ressourcen zugreifen.


� Rufen Sie den Assistenten 'Zugang bereitstellen (RAS, VPN, IPSec overWLAN)' auf. Folgen Sie den Anweisungen des Assistenten und geben Siedie notwendigen Daten ein.

� Der Assistent meldet, sobald ihm alle notwendigen Angaben vorliegen.Schließen Sie den Assistenten dann mit Fertig stellen ab.

� Konfigurieren Sie wie beschrieben den Zugang am Einwahl-PC. Anschlie-ßend können Sie die Verbindung testen (siehe Kasten 'Ping – schnellerVerbindungstest einer TCP/IP-Verbindung').


� Rufen Sie im Hauptmenü den Assistenten 'Einwahl-Zugang bereitstellen(RAS)' auf. Folgen Sie den Anweisungen des Assistenten und geben Siedie notwendigen Daten ein.

� Konfigurieren Sie wie beschrieben den Zugang am Einwahl-PC. Anschlie-ßend können Sie die Verbindung testen (siehe Kasten 'Ping – schnellerVerbindungstest einer TCP/IP-Verbindung').

53


� Kapitel 7: Faxe versenden mit der LANCAPI

DE

7 Faxe versenden mit der LANCAPIDie LANCAPI von LANCOM Systems ist eine spezielle Form der weit verbreite-ten ISDN CAPI-Schnittstelle. CAPI steht für Common ISDN Application Pro-gramming Interface und stellt die Verbindung von ISDN-Adaptern zuKommunikationsprogrammen her. Diese Programme wiederum stellen denRechnern Funktionen der Bürokommunikation, wie z.B. ein Fax oder einenAnrufbeantworter, bereit.

Der Einsatz der LANCAPI bringt vor allem wirtschaftliche Vorteile. Alle Win-dows-Arbeitsplätze, die im LAN integriert sind, erhalten über die LANCAPIuneingeschränkten Zugriff auf ISDN-Bürokommunikations-Funktionen wieFax, Anrufbeantworter, Onlinebanking und Eurofiletransfer. Ohne zusätzlicheHardware an jedem einzelnen Arbeitsplatz werden alle ISDN-Funktionen überdas Netzwerk bereitgestellt. Dadurch entfallen kostspielige Ausstattungen derArbeitsplätze mit ISDN-Adaptern oder Modems. Lediglich die Software für dieBürokommunikation wird auf den einzelnen Arbeitsplätzen installiert.

Mit der LANCAPI von LANCOM können Sie von Ihrem Arbeitsplatzrechner ausbequem Faxe versenden, ohne dass ein Faxgerät angeschlossen ist. Hierzumüssen auf Ihrem Rechner jedoch verschiedene Komponenten installiert sein:

� der LANCAPI-Client. Dieser stellt die Verbindung zwischen IhremArbeitsplatzrechner und dem LANCAPI-Server her.

� das LANCOM CAPI Faxmodem. Dieses Tool simuliert ein Faxgerät aufIhrem Arbeitsplatzrechner.

Fax

ISDN ISDN-Adapter

PCs mit Faxsoftware

54



DE

� der MS-Windows Faxdienst. Er ist die Schnittstelle zwischen Faxan-wendungen und dem virtuellen Fax.

Die Installation des LANCAPI-Clients wird im Referenzhandbuch beschrieben.Dieses Kapitel beschäftigt sich mit der Installation und Konfiguration vonLANCOM CAPI Faxmodem und MS-Windows Faxdienst.

7.1 Installation des LANCOM CAPI Faxmodem

� Wählen Sie im Setup-Programm Ihrer LANCOM-CD den Eintrag LANCOMSoftware installieren.

� Markieren Sie die Option CAPI Faxmodem, klicken Sie Weiter und fol-gen Sie den Hinweisen der Installationsroutine.

Fax

ISDN

LANCOM mit LANCAPI-Server

PCs mit Faxsoftware, LANCAPI-Client, CAPI Faxmodem und MS Windows Faxdienst

LAN

55



DE

Ist die Installation erfolgreich verlaufen, ist das LANCOM CAPI Faxmodem inden Telefon- und Modemoptionen der Systemsteuerung eingetragen.

7.2 Installation des MS Windows Faxdienstes

� Wählen Sie in der Systemsteuerung die Option Drucker und Faxgeräte.

� Wählen Sie im Fenster Drucker und Faxgeräte die Option lokalen Fax-drucker installieren. Folgen Sie ggf. den Anweisungen des Installations-tools. In dem aktuellen Fenster erscheint ein Icon für den neu angelegtenFaxdrucker.

Zum Überprüfen der Installation klicken sie mit der rechten Maustaste auf dasFax-Icon und wählen Eigenschaften. Im Register 'Geräte' sollte dasLANCOM CAPI Faxmodem eingetragen sein.

56



DE

7.3 Versenden eines Faxes

Nachdem alle erforderlichen Komponenten installiert wurden, gibt es mehrereMöglichkeiten, ein Fax von Ihrem Arbeitsplatzrechner aus zu versenden.Haben Sie bereits eine fertige Datei, können Sie diese direkt aus Ihrer jeweili-gen Anwendung heraus verschicken. Wollen Sie dagegen nur eine kurze Notizversenden, wählen sie den MS-Windows Faxdienst. Alternativ können Sienatürlich auch eine beliebige Fax-Software verwenden.

7.3.1 Faxe versenden mit beliebigen Büroanwendungen

� Öffnen Sie wie gewohnt ein Dokument in Ihrer Büroanwendung und wäh-len Sie den Menüpunkt Datei/Drucken.

� Stellen Sie als Drucker das Faxgerät ein.

� Klicken Sie auf OK. Es erscheint ein Assistent, der Sie durch den weiterenSendevorgang leitet.

7.3.2 Faxe versenden mit dem Windows Faxdienst

� Öffnen Sie in der Systemsteuerung das Fenster Drucker und Faxgeräte.

� Doppelklicken Sie mit der linken Maustaste das Icon des Faxgerätes.

57



DE

� Es öffnet sich die Faxclientkonsole. Wählen Sie den Menüpunkt Datei/Faxsenden. Ein Assistent führt sie durch den weiteren Sendevorgang.

58


� Kapitel 8: Sicherheits- Einstellungen

DE

8 Sicherheits-EinstellungenIhr LANCOM Router verfügt über zahlreiche Sicherheitsfunktionen. In diesemKapitel finden Sie alle Informationen, die Sie für eine optimale Absicherungdes Access Points benötigen.

8.1 Der Sicherheits-Assistent

Der Zugriff auf die Konfiguration des Geräts erlaubt nicht nur das Auslesenkritischer Informationen (z.B. Internet-Kennwort). Vielmehr können auch dieEinstellungen der Sicherheitsfunktionen (z.B. Firewall) nach Belieben geän-dert werden. Dadurch bringt der unbefugte Konfigurationszugriff nicht nurdas einzelne Gerät, sondern das gesamte Netzwerk in große Gefahr.

Ihr LANCOM Router verfügt über einen Kennwortschutz für den Konfigurati-onszugang. Dieser wird schon während der Grundkonfiguration durchAngabe eines Kennwortes aktiviert.

Das Gerät sperrt den Konfigurationszugang automatisch für eine festgelegteDauer, wenn eine bestimmte Anzahl von Anmelde-Fehlversuchen festgestelltwird. Sowohl die kritische Anzahl Fehlversuche als auch die Dauer der Sperrelassen sich modifizieren. Standardmäßig sperrt das Gerät nach dem fünftenFehlerversuch für eine Dauer von fünf Minuten.

Neben diesen grundlegenden Einstellungen prüfen Sie mit dem Sicherheits-assistenten auch die Sicherheitseinstellungen für das Funknetzwerk, sofern IhrGerät über eine WLAN-Schnittstelle verfügt.

8.1.1 Assistent für LANconfig

� Markieren Sie Ihren LANCOM Router im Auswahlfenster. Wählen Sie ausder Befehlsleiste den Punkt Extras � Setup Assistent.

� Wählen Sie im Auswahlmenü den Setup-Assistenten Sicherheitseinstel-lungen kontrollieren und bestätigen Sie die Auswahl mit Weiter.

59



DE

� In den folgenden Fenstern stellen Sie das Passwort ein und wählen diezulässigen Protokolle für den Konfigurationszugriff von lokalen und ent-fernten Netzwerken aus.

� In einem weiteren Schritt werden die Parameter der Konfigurationssperrewie Anzahl der Fehllogins und Dauer der Sperre eingestellt.

� Im Bereich der Firewall aktivieren Sie die Stateful-Inspection, das Ping-Blocking und den Stealth-Mode.


8.1.2 Assistent für WEBconfig

Unter WEBconfig besteht die Möglichkeit, den Assistenten Sicherheitsein-stellungen aufzurufen und die Einstellungen zu kontrollieren und zu ändern.Dabei werden die folgenden Werte bearbeitet:

� Passwort für das Gerät

� zulässige Protokolle für den Konfigurationszugriff von lokalen und ent-fernten Netzwerke

� Parameter der Konfigurationssperre (Anzahl der Fehllogins und Dauer derSperre)

8.2 Der Firewall-Assistent

Der LANCOM Router verfügt über eine Stateful-Inspection-Firewall und Fire-wall-Filter zur wirksamen Absicherung Ihres LAN gegenüber dem Internet.Kernidee der Stateful-Inspection-Firewall ist, dass nur selbstinitiierter Daten-transfer als zulässig betrachtet wird. Alle Zugriffe, die unaufgefordert nichtaus dem lokalen Netz heraus erfolgen, sind unzulässig.

Der Firewall-Assistent hilft Ihnen, schnell und komfortabel neue Regeln für dieFirewall zu erstellen.

Nähere Informationen zur Firewall Ihres LANCOM Router und zu deren Konfi-guration finden Sie im Referenzmanual.

60



DE

8.2.1 Assistent für LANconfig

� Markieren Sie Ihren LANCOM Router im Auswahlfenster. Wählen Sie ausder Befehlsleiste den Punkt Extras � Setup Assistent.

� Wählen Sie im Auswahlmenü den Setup-Assistenten Firewall konfigu-rieren und bestätigen Sie die Auswahl mit Weiter.

� In den folgenden Fenstern wählen Sie aus, auf welche Dienste/Protokollesich die Regel bezieht. Im nächsten Schritt legen Sie fest, für welche Quell-und Zielstationen die Regel gilt und welche Aktionen ausgeführt werdensollen, wenn die Regel auf ein Datenpaket zutrifft.

� Zum Abschluss geben Sie der neuen Regel einen Namen, aktivieren sieund legen fest, ob weitere Regeln beachtet werden sollen, wenn die Regelauf ein Datenpaket zutrifft.


8.2.2 Konfiguration unter WEBconfig

Unter WEBconfig besteht die Möglichkeit, die Parameter zur Absicherung desInternet-Zugriffs unter Konfiguration � Firewall / QoS � Regeln �Regeltabelle aufzurufen, die Einstellungen zu kontrollieren und zu ändern.

8.3 Die Sicherheits-Checkliste

In der folgenden Checkliste finden Profis alle wichtigen Sicherheitseinstellun-gen im Überblick. Die meisten Punkte dieser Checkliste sind in einfachen Kon-figurationen unbedenklich. In solchen Fällen reichen dieSicherheitseinstellungen aus, die während der Grundkonfiguration oder mitdem Sicherheits-Assistenten gesetzt werden.

61



DE

Detaillierte Informationen zu den angesprochenen Sicherheitseinstel-lungen finden Sie im Referenzhandbuch.

� Haben Sie ein Kennwort für die Konfiguration vergeben?

Die einfachste Möglichkeit zum Schutz der Konfiguration ist die Vereinba-rung eines Kennworts. Solange Sie kein Kennwort vereinbart haben, kannjeder die Konfiguration des Gerätes verändern. Das Feld zur Eingabe desKennworts finden Sie in LANconfig im Konfigurationsbereich 'Manage-ment' auf der Registerkarte 'Security'. Es ist insbesondere dann unerläß-lich, ein Kennwort zur Konfiguration zu vergeben, wenn Sie dieFernkonfiguration erlauben wollen!

� Haben Sie die Fernkonfiguration zugelassen?

Wenn Sie die Fernkonfiguration nicht benötigen, so schalten Sie sie ab.Wenn Sie die Fernkonfiguration benötigen, so vergeben Sie unbedingteinen Kennwortschutz für die Konfiguration (siehe vorhergehenderAbschnitt). Das Feld zur Abschaltung der Fernkonfiguration finden Sieebenfalls in LANconfig im Konfigurationsbereich 'Management' auf derRegisterkarte 'Security'. Wählen Sie hier unter 'Zugriffsrechte - von ent-fernten Netzen' für alle Konfigurationsarten die Option 'nicht erlaubt'

� Haben Sie die SNMP-Konfiguration mit einem Kennwort versehen?

Schützen Sie auch die SNMP-Konfiguration mit einem Kennwort. Das Feldzum Schutz der SNMP-Konfiguration mit einem Kennwort finden Sieebenfalls in LANconfig im Konfigurationsbereich 'Management' auf derRegisterkarte 'Security'.

� Haben Sie die Firewall aktiviert?

Die Stateful-Inspection Firewall der LANCOM Router sorgt dafür, dass Ihrlokales Netzwerk von außen nicht angegriffen werden kann. Die Firewallkönnen Sie in LANconfig unter ’Firewall/Qos’ auf der Registerkarte ’Allge-mein’ einschalten.

� Verwenden Sie eine ’Deny-All’ Firewall-Strategie?

Für maximale Sicherheit und Kontrolle unterbinden Sie zunächst jeglichenDatentransfer durch die Firewall. Nur die Verbindungen, die explizitgestattet sein sollen, sind in die Firewall einzutragen. Damit wird ’Troja-nern’ und bestimmten E-Mail-Viren der Kommunikations-Rückweg ent-zogen. Die Firewall-Regeln finden Sie in LANconfig unter ’Firewall/Qos’auf der Registerkarte ’Regeln’ zusammengefasst. Eine Anleitung dazu fin-det sich im Referenzhandbuch.

62



DE

� Haben Sie IP-Masquerading aktiviert?

IP-Masquerading heißt das Versteck für alle lokalen Rechner beim Zugangins Internet. Dabei wird nur das Router-Modul des Geräts mit seiner IP-Adresse im Internet bekannt gemacht. Die IP-Adresse kann fest vergebensein oder vom Provider dynamisch zugewiesen werden. Die Rechner imLAN nutzen den Router dann als Gateway und können selbst nichterkannt werden. Der Router trennt Internet und Intranet wie eine Wand.Die Verwendung von IP-Masquerading wird für jede Route in der Rou-ting-Tabelle einzeln festgelegt. Die Routing-Tabelle finden Sie inLANconfig im Konfigurationsbereich 'IP-Router' auf der Registerkarte'Routing'.

� Haben Sie kritische Ports über Filter geschlossen?

Die Firewall-Filter des LANCOM Router bieten Filterfunktionen für ein-zelne Rechner oder ganze Netze. Es ist möglich, Quell- und Ziel-Filter füreinzelne Ports oder auch Portbereiche aufzusetzen. Zudem können ein-zelne Protokolle oder beliebige Protokollkombinationen (TCP/UDP/ICMP)gefiltert werden. Besonders komfortabel ist die Einrichtung der Filter mitHilfe von LANconfig. Unter 'Firewall/QoS' finden Sie die Karteikarte'Regeln', mit deren Hilfe Filterregeln definiert und verändert werden kön-nen.

� Haben Sie bestimmte Stationen von dem Zugriff auf den Routerausgeschlossen?

Mit einer speziellen Filter-Liste kann der Zugriff auf die internen Funktio-nen der Geräte über TCP/IP eingeschränkt werden. Mit den internen Funk-tionen werden hierbei Konfigurationssitzungen über LANconfig,WEBconfig, Telnet oder TFTP bezeichnet. Standardmäßig enthält dieseTabelle keine Einträge, damit kann also von Rechnern mit beliebigen IP-Adressen aus über TCP/IP mit Telnet oder TFTP ein Zugriff auf den Routergestartet werden. Mit dem ersten Eintrag einer IP-Adresse sowie derzugehörigen Netzmaske wird der Filter aktiviert, und nur noch die in die-sem Eintrag enthaltenen IP-Adressen werden berechtigt, die internenFunktionen zu nutzen. Mit weiteren Einträgen kann der Kreis der Berech-tigten erweitert werden. Die Filter-Einträge können sowohl einzelneRechner als auch ganze Netze bezeichnen. Die Zugangsliste finden Sie inLANconfig im Konfigurationsbereich 'TCP/IP' auf der Registerkarte 'Allge-mein'.

63



DE

64

� Lagern Sie Ihre abgespeicherte LANCOM-Konfiguration an einemsicheren Ort?

Schützen Sie abgespeicherte Konfigurationen an einem sicheren Ort vorunberechtigtem Zugriff. Eine abgespeicherte Konfiguration könnte sonstvon einer unberechtigten Person in ein anderes Gerät geladen werden,wodurch z.B. Ihre Internet-Zugänge auf Ihre Kosten benutzt werden kön-nen.

� Haben Sie die Möglichkeiten zum Schutz der WAN-Zugänge beieinem Diebstahl des Gerätes aktiviert?

Nach einem Diebstahl kann ein Gerät theoretisch von Unbefugten aneinem anderen Ort betrieben werden. Auch bei einer passwortgeschütz-ten Geräte-Konfiguration könnten so die im Gerät konfigurierten RAS-Zugänge, LAN-Kopplungen oder VPN-Verbindungen unerlaubt genutztwerden, ein Dieb könnte sich Zugang zu geschützten Netzwerken ver-schaffen.

Der Betrieb des Gerätes kann jedoch mit verschiedenen Mitteln sogeschützt werden, dass sie nach dem Wiedereinschalten oder beim Ein-schalten an einem anderen Ort nicht mehr verwendet werden kann.

Durch die Funktion der ISDN-Standort-Verifikation kann das Gerät nur aneinem bestimmten ISDN-Anschluß betrieben werden. Nach dem Einschal-ten prüft das Gerät über einen Selbstanruf zu einer festgelegten Rufnum-mer, ob es sich noch am „richtigen“ ISDN-Anschluß befindet (weitereInformationen finden Sie im Referenzhandbuch).

Mit den Funktionen des Scripting kann die gesamte Konfiguration desGerätes nur im RAM gespeichert werden, der beim Booten des Gerätesgelöscht wird. Die Konfiguration wird dabei gezielt nicht in den bootresis-tenten Flash-Speicher geschrieben. Mit dem Trennen von der Stromver-sorgung und dem Aufstellen an einem anderen Ort wird damit diegesamte Konfiguration des Gerätes gelöscht (weitere Informationen fin-den Sie im Referenzhandbuch).

� Haben Sie den Reset-Taster gegen das unbeabsichtigte Zurückset-zen der Konfiguration gesichert?

Manche Geräte können nicht unter Verschluss aufgestellt werden. Hierbesteht die Gefahr, dass die Konfiguration versehentlich gelöscht wird,wenn ein Mitarbeiter den Reset-Taster zu lange gedrückt hält. Mit einerentsprechenden Einstellung kann das Verhalten des Reset-Buttonsgesteuert werden, der Reset-Taster wird dann entweder ignoriert oder eswird nur ein Neustart ausgelöst, unabhängig von der gedrückten Dauer.


� Kapitel 9: Rat & Hilfe

DE

9 Rat & HilfeIn diesem Kapitel finden Sie Ratschläge und Hilfestellungen für die erste Hilfebei einigen typischen Problemen.

9.1 Es wird keine DSL-Verbindung aufgebaut

Nach dem Start versucht der Router automatisch, Kontakt zum DSL-Anbieteraufzunehmen. Während dieser Phase blinkt die WAN-LED grün. Im Erfolgsfallwechselt diese LED dann auf dauerhaftes Grün. Schlägt die Kontaktaufnahmehingegen fehl, so leuchtet die LAN-LED nicht. In der Regel ist eine der folgen-den Ursachen:

Probleme an der Verkabelung?

Verwenden Sie für den DSL-Anschluss ausschließlich das mitgelieferteAnschlusskabel. Dieses Kabel muss mit dem Ethernet-Ausgang des DSL-Modems verbunden sein. Die WAN-LED muss zum Zeichen der physikalischenVerbindung grün leuchten.

Stimmt das gewählte Übertragungsprotokoll?

Das Übertragungsprotokoll wird bei der Grundeinstellung gesetzt. Dabei setztder Grundeinstellungs-Assistent für zahlreiche DSL-Anbieter selbstständigdas korrekte Übertragungsprotokoll. Nur wenn Ihr DSL-Anbieter dem Assis-tenten unbekannt ist, müssen Sie das verwendete Protokoll selber angeben.In jedem Fall sollte das Protokoll funktionieren, das Ihnen Ihr DSL-Anbieterangibt.

Die Protokoll-Einstellung kontrollieren und korrigieren Sie unter:

9.2 DSL-Übertragung langsam

Die Übertragungsgeschwindigkeit einer (Internet-) DSL-Verbindung hängtvon zahlreichen Faktoren ab, von denen die meisten außerhalb des eigenenEinflussbereiches liegen: Entscheidend sind neben der Bandbreite der eigenenInternet-Anbindung beispielsweise auch die Internet-Anbindung und Auslas-

Konfigurationstool Aufruf

LANconfig Kommunikation � allgemein � Kommunikations-Layer

WEBconfig Expertenkonfiguration � Setup � WAN-Modul � Layer-Liste

65


� Kapitel 9: Rat & Hilfe

DE

tung des angesprochenen Ziels. Außerdem können zahlreiche Faktoren imInternet die Übertragungsleistung beeinflussen.

Vergrößerung der TCP/IP-Windows-Size unter Windows

Wenn die tatsächliche Übertragungsleistung einer DSL-Verbindung deutlichunter den vom DSL-Anbieter angegebenen Maximalwerten liegt, gibt esaußer diesen externen Einflussfaktoren nur wenige mögliche Fehlerquellen anden eigenen Geräten.

Ein übliches Problem tritt auf, wenn an einem Windows-PC über eine asyn-chrone Verbindung gleichzeitig große Datenmengen geladen und gesendetwerden. In diesem Fall kann es zu einer starken Beeinträchtigung der Down-load-Geschwindigkeit kommen. Verantwortlich ist die sogenannte TCP/IP-Receive-Windows-Size im Windows-Betriebssystem, die standardmäßig aufeinen für asynchrone Verbindungen zu kleinen Wert gesetzt ist.

Eine Anleitung zur Vergrößerung der Windows-Size finden Sie in der Wissens-datenbank im Support-Bereich der LANCOM Systems-Website (www.lan-com.de).

9.3 Unerwünschte Verbindungen mit Windows XP

Windows-XP-Rechner versuchen beim Start, die eigene Uhrzeit mit einemZeitserver im Internet abzugleichen. Deshalb kommt es beim Start eines Win-dows-XP-Rechners im WLAN zum Verbindungsaufbau des LANCOM mit demInternet.

Zur Abhilfe schaltet man an den Windows-XP-Rechnern die automatischeZeitsynchronisation unter Rechter Mausklick auf die Uhrzeit � Datum �Uhrzeit ändern � Internetzeit aus.

66




� Kapitel 10: Anhang

DE

10 Anhang

10.1 Leistungs- und Kenndaten

LANCOM 800+

LANCOM 1611+ LANCOM DSL/I-10+

Anschlüsse Ethernet LAN 4 x RJ-45 Ethernet IEEE 802.3 (Switch), 10/100Base-T-Auto-sensing, Node/Hub-Autodetection

3 x RJ-45 Ethernet IEEE 802.3 (Switch), 10/100Base-T-Autosensing, Node/Hub-Autode-tection

WAN 10/100Base-TX, Autosensing

ISDN ISDN S0

Outband serieller V.24/V.28-Port (8-pol. Mini-DIN)

Stromversorgung 12 V AC über externes Netzteil

Gehäuse stabiles Metallgehäuse, Anschlüsse auf der Rückseite; Abmessungen 230 x 38 x 228 mm (B x H x T)

Normen EU (CE-Zertifizierung: EN 55022, EN 55024, EN 60950)

Umgebung / Tem-peratur

5 °C bis +40 °C bei 80% max. Luftfeuchtigkeit (nicht kondensierend)

Optionen LANCOM Modem Adapter Kit zum Anschluß von Modems (analog oder GSM) an die serielle Konfigurationsschnittstelle(Art.-Nr. 110288)

LANCOM Service-Option (4 Jahre Garantie, Vorabaustausch)(Art.-Nr. 61401)

LANCOM VPN Option 25 Kanäle (Maximal 25 gleich-zeitige Verbindun-gen) für VPN im WAN (Art.-Nr. 60083)

67



DE

10.2 Anschlussbelegung

10.2.1 ISDN-S0-Schnittstelle

8-polige RJ45-Buchse, entsprechend ISO 8877, EN 60603-7

10.2.2 Ethernet-Schnittstellen 10/100Base-T

8-polige RJ45-Buchsen, entsprechend ISO 8877, EN 60603-7

Steckverbindung Pin Leitung IAE

1 – –

2 – –

3 T+ 2a

4 R+ 1a

5 R- 1b

6 T- 2b

7 – –

8 – –

Steckverbindung Pin Leitung

1 T+

2 T-

3 R+

4 –

5 –

6 R-

7 –

8 –

68



DE

10.2.3 Konfigurationsschnittstelle (Outband)

8-polige Mini-DIN-Buchse

10.3 CE-Konformitätserklärungen

Hiermit erklärt LANCOM Systems, dass sich die in dieser Dokumentationbeschriebenen Geräte in Übereinstimmung mit den grundlegenden Anforde-rungen und den anderen relevanten Vorschriften der Richtlinie 1999/5/EGbefindet.

Die CE-Konformitätserklärungen für Ihr Gerät finden Sie im jeweiligen Pro-duktbereich der LANCOM-Website (www.lancom.de).

Steckverbindung Pin Leitung

1 CTS

2 RTS

3 RxD

4 RI

5 TxD

6 DSR

7 DCD

8 DTR

U GND

69



� Index

DE

IndexNumerics10/100Base-TX 213-DES 39, 48

AADSL

Übertragungsraten 9AES 39, 48Anrufbeantworter 10Anschlussbelegung 68

Ethernet-Schnittstelle 68ISDN-S0-Schnittstelle 68Konfigurationsschnittstelle 69LAN-Schnittstelle 68Outband 69WAN-Schnittstelle 68

Autosensing 22

BBlowfish 39, 48

CCalling Line Identity (CLI) 50CAPI-Schnittstelle 54Common ISDN Application Programming Interface (CAPI) 54

DDatenfrequenzen 10Default-Gateway 63Denial-of-Service-Protection 12DFÜ-Adapter 52DHCP 34

DHCP-Server 14, 27, 33, 34DNS

DNS-Server 14, 34Zugriffe ins entfernte LAN 43

Domäne 43Download 4Downstream 9

DSL-Übertragung zu langsam 65DSL-Übertragungsprotokoll 33DSL-Verbindung

Probleme beim Aufbau 65

EEinwahl-Zugang 48

FFax 10Fernkonfiguration 29, 33Fernkonfiguration über ISDN 15Firewall 12, 13, 15, 63

Stationen sperren 63Firewall-Filter 60FirmSafe 15Firmware 4Flatrate 37

GGebührenschutz 28, 30, 33Gebührenschutz zurücksetzen 18Gebührensperre 18

HHardware-Installation 22Hinweis-Symbole 5

IICMP 63Installation 16

DSL 22ISDN 23Konfigurations-Schnittstelle 23LAN 22LANtools 24Netzteil 23

Internet-Anbieter 36Internet-Zugang 13, 36

Authentifizierungsdaten 36

70


� Index

DE

Flatrate 37Protokoll 36

Intrusion Detection 12IP

Filter 63Ports sperren 63

IP-Adresse 22, 27, 28, 44, 63IP-Masquerading 12, 15, 63IP-Router 13IPSec 39, 48IPX 52

Binding 45, 51External Network Number 44, 51Frame-Typs 44Internal-Net-Number 51

IPX-Konventionen 44IPX-Router 13

Einstellungen 44ISDN

Anschlusskabel 16D-Kanal 50NTBA 24S0-Anschluss 21

ISDN-Anruferkennung 42, 49, 50ISDN-Anschluss 24ISDN-Modem 48ISDN-Rufnummer 42ISDN-S0-Anschluss 14

KKennwort 28, 29, 39, 48Kennwort für die ISDN-Verbindung 42Konfigurationsdatei 64Konfigurationskennwort 62Konfigurations-Schnittstelle 15

Anschlusskabel 16Konfigurationsschnittstelle 21Konfigurationsschutz 15, 28Konfigurationszugriff 29, 33Konformitätserklärungen 69

LLAN

Anschlusskabel 16LANCAPI 14LANconfig 25, 29

Assistenten aufrufen 38LAN-LAN-Kopplung 13, 39

erforderliche Angaben 40LANmonitor 25LANtools

Systemvoraussetzungen 17Lieferumfang 16

MMAC-Adressfilter 12, 15Mindestbandbreite 13MSN 50Multimode 33

NNAT – siehe IP-MasqueradingNebenstellenanlage 10NetBIOS 45NetBIOS-Proxy 13Netzmaske 27, 28, 63Netzschalter 21Netzteil 16, 21Netzwerkkopplung 39

Sicherheitsaspekte 39, 48Netzwerksegment 22, 44

PPAT – siehe IP-MasqueradingPing 46Plain Ethernet 36PPP 48PPP-Client 52PPPoA 36

QQuality-of-Service 13

71


� Index

DE

RRAS 11Remote-Access-Service (RAS)

Benutzername 49einrichten 48Einwahl-Rechner konfigurieren 52IPX 51NetBIOS 52Server 13Software-Komprimierung aktivieren 52TCP/IP 50Windows-Arbeitsgruppe suchen 52

Reset-Schalter 21, 22Routerfunktion 9Routing-Tabelle 63Rückruf-Funktion 15Rückruffunktion 39, 48

SSicherheits-Checkliste 61Sicherheits-Einstellungen 65SNMP

Konfiguration schützen 62Software-Installation 24Splitter 24Sprachfrequenzen 10Standard-Gateway 34Stateful Inspection Firewall 13Stateful-Inspection-Firewall 12, 60Statusanzeigen 17

LAN 20Online 19Power 17, 18

Support 4Switch 21Systemvoraussetzungen 16

TTAE-Dose 24

TCP 63TCP/IP 17, 52

Einstellungen 26, 32Verbindung testen 46

TCP/IP-Filter 12, 15, 63TCP/IP-Konfiguration

automatisch 32manuell 26, 28vollautomatisch 26, 27

TCP/IP-RouterEinstellungen 42

TCP/IP-Windows-Size 66Telefon 10Telnet 63TFTP 63

UÜbertragungsprotokoll 65UDP 63Upstream 9

VVerschlüsselung 39, 48Virtual Private Network 10Virtual Private Network (VPN) 13VPN 10VPN-Client 52

WWAN 20

Anschlusskabel 16WEBconfig 30

Aufruf eines Assistenten 31Kennworteingabe 33Systemvoraussetzungen 17

Windows-Arbeitsgruppen suchen 45

ZZugang zum Internet einrichten 36

72

lancom 800+ lancom dsl/i 10+ lancom 1611+ · pdf filelancom 800+ – lancom dsl/i-10+...

Documents