Benutzerhandbuch für die DrayTek Vigor 2600 Serie - DESY

Transcription

Benutzerhandbuch für die DrayTek Vigor 2600 Serie - DESY
Benutzerhandbuch für die DrayTek Vigor 2600 Serie.
Über dieses Handbuch
Dieses Installationshandbuch soll den Benutzern des DrayTek Vigor Routers Hilfe leisten. Die
Informationen in dieser Dokumentation wurden mit Sorgfalt auf Korrektheit überprüft. Eine
Garantie für die Korrektheit des Inhalts kann jedoch nicht gegeben werden. Die Informationen
in dieser Dokumentation können ohne besondere Ankündigung geändert werden.
Revision
Juni , 2006
Copyright
Diese Dokumentation enthält Informationen, die urheberrechtlich geschützt sind. Diese
Dokumentation darf ohne die schriftliche Zustimmung der Eigentümer weder ganz noch
teilweise in irgendeiner Form reproduziert, übertragen, vervielfältigt, in elektronischen
Systemen gespeichert oder in eine andere Sprache übersetzt werden.
Copyright © 2006
TwoCom® im Auftrag der VIGORKOM GmbH. Alle Rechte vorbehalten
Warenzeichen
Microsoft ist eingetragenes Warenzeichen der Microsoft Corporation. Windows, Windows 95,
Windows 98, Windows NT, Windows 2000 und Windows XP sind Warenzeichen der Microsoft
Corporation. Alle anderen Warenzeichen und eingetragene Warenzeichen, auf die in dieser
Dokumentation hingewiesen wird, sind das Eigentum der jeweiligen Besitzer.
Konformitätserklärungen
Dieses Gerät erfüllt die Anforderungen der EU-Richtlinie:
1999/5/EG Richtlinie über Funkanlagen und Telekommunikationseinrichtungen und die
gegenseitige Anerkennung Ihrer Konformität.
Die Konformität mit der oben angegebenen Richtlinie wird durch das CE-Zeichen auf dem
Gerät bestätigt.
Die Konformitätserklärung kann unter folgender Adresse eingesehen werden:
http://www.draytek.com/about_us/R_TTE_Certification.php.
Für ISDN-Router:
Dieses Produkt ist geeignet für das ISDN-Netzwerk innerhalb der EU und der Schweiz.
Für ADSL-Router:
Dieses Produkt ist geeignet für das ADSL-Netzwerk innerhalb der EU und der Schweiz.
Beachten Sie bitte die unterschiedlichen DSL-Ausführungen Annex A und Annex B und nutzen
Sie nur ein Endgerät, welches Ihrer DSL-Leitung entspricht.
Für Funk-Router:
Dieses Produkt ist geeignet für das 2,4 GHz Funknetz innerhalb der EU und der Schweiz mit
folgenden Einschränkungen:
Frankreich – Betrieb nur innerhalb von Gebäuden erlaubt
Italien – Betrieb nur auf eigenem Gelände erlaubt
Für Router mit PSTN-Port:
Dieses Produkt ist geeignet für das analoge Telefonnetz in der EU und der Schweiz
- Seite 1 von 172 -
Inhaltsverzeichnis
1.
2.
3.
4.
5.
6.
7.
8.
9.
10.
11.
12.
13.
14.
15.
16.
17.
18.
19.
20.
21.
22.
23.
24.
25.
26.
27.
28.
29.
30.
31.
32.
33.
34.
35.
36.
37.
38.
39.
40.
41.
42.
43.
44.
45.
46.
47.
48.
49.
50.
51.
52.
53.
54.
55.
Sicherheitshinweise ............................................................................................... 4
Hinweise vor der Installation sowie Setup ................................................................. 5
DrayTek Vigor 2600plus - Lieferumfang und Anschlüsse .............................................. 6
DrayTek Vigor 2600G - Lieferumfang und Anschlüsse ................................................. 7
DrayTek Vigor 2600i - Lieferumfang und Anschlüsse................................................... 8
DrayTek Vigor 2600Gi - Lieferumfang und Anschlüsse................................................. 9
Hardware Installation ........................................................................................... 10
Informationen zur Konfigurations Ihres Management Computers: ............................... 12
Administrator Passwort......................................................................................... 21
Einwahl mit ADSL über PPPoE................................................................................ 22
Einwahl ins Internet (ISDN) – Einwahl über einen ISP ............................................... 28
Ethernet – LAN IP Adresse .................................................................................... 30
Ethernet DHCP Server .......................................................................................... 32
Ethernet DNS...................................................................................................... 34
Ethernet IP Routing ............................................................................................. 35
WLAN Basiskonfiguration ...................................................................................... 37
WLAN Zugriffskontrolle......................................................................................... 39
WLAN WEP/WPA Verschlüsselung........................................................................... 40
VPNoW – VPN over WLAN ..................................................................................... 43
WLAN - Liste der Clients ....................................................................................... 46
WLAN - Liste der Access Points .............................................................................. 48
WLAN – WDS ...................................................................................................... 49
Grundeinstellungen ISDN...................................................................................... 54
Verbindungseinstellungen PPP/MP .......................................................................... 56
ISDN – Fernaktivierung ........................................................................................ 58
ISDN – Vorwahlen und Rufnummern sperren ........................................................... 60
ISDN – Externe Einwahl (RAS) .............................................................................. 61
NAT – Network Adress Translation ......................................................................... 67
NAT – Portumleitung ............................................................................................ 68
NAT – Offene Ports (Portbereiche öffnen) ................................................................ 70
NAT – DMZ Host.................................................................................................. 72
UPnP – Universal Plug and Play.............................................................................. 73
IP Filter / Firewall Einstellungen ............................................................................. 74
Firewall – DoS (Denial of Service) .......................................................................... 80
Firewall – Inhaltsbezogener Filter/Dateiformate blocken ............................................ 83
VLAN / Bandbreite ............................................................................................... 86
PING Block ......................................................................................................... 88
Feste Adressumleitung – Static Route..................................................................... 89
VPN – Virtual Private Network und LAN zu LAN Grundeinstellungen............................. 92
VPN – LAN zu LAN Beispiel .................................................................................. 102
VPN – IPSec Grundeinstellungen .......................................................................... 111
VPN – Externe Nutzer (RAS)................................................................................ 113
VPN – Externe Einwahl Win 2000 ......................................................................... 117
VPN – Smart VPN Tool........................................................................................ 122
QoS – Quality of Service..................................................................................... 126
QoS – Quality of Service erweitert ....................................................................... 131
Printserver – Windows 2000................................................................................ 135
Dynamisches DNS - DynDNS............................................................................... 143
Zeit und Datum ................................................................................................. 146
Verbindungstimer .............................................................................................. 147
Systemverwaltung – Fernwartung ........................................................................ 150
Systemverwaltung – Telnet................................................................................. 152
Systemverwaltung – Erstellen/Laden eines Backups ............................................... 155
Systemverwaltung – Hardware Reset ................................................................... 157
Systemverwaltung – Firmware Update.................................................................. 158
- Seite 2 von 172 -
56.
57.
58.
59.
60.
61.
62.
63.
Onlinestatus ..................................................................................................... 161
Diagnose - ISDN/WAN Verbindungen.................................................................... 163
Diagnose – Anwahl-Auslöser ............................................................................... 165
Diagnose – DHCP Tabelle.................................................................................... 166
Diagnose – ARP-Cache Tabelle ............................................................................ 167
Diagnose – Aktive Portumleitungen ...................................................................... 168
Diagnose – NAT Tabelle ...................................................................................... 169
Syslog und Mail Alarm ........................................................................................ 170
- Seite 3 von 172 -
1.
Sicherheitshinweise
Ihr neuer DrayTek Vigor Router ist ein elektronisches Präzisionsgerät. Wie bei den übrigen
Komponenten Ihres Computersystems auch, ist während der Installation und der Benutzung
ein gewisses Maß an Sorgfalt erforderlich.
Lesen Sie dieses Handbuch bitte aufmerksam durch und bewahren Sie es griffbereit auf.
Benutzen Sie es bei der Installation und beim Betrieb.
Sie dürfen den DrayTek Vigor auf keinen Fall öffnen. Es befinden sich keinerlei Teile im
Geräteinnern, die für den Normalbetrieb benötigt werden.
Stecken Sie keine Fremdkörper in den DrayTek Vigor Router, dadurch kann die hochwertige
Elektronik beschädigt werden.
Lassen Sie den DrayTek Router nicht fallen und vermeiden Sie Stoßeinwirkungen.
Reinigen Sie den DrayTek Vigor mit einem weichen Tuch. Bringen Sie den Vigor nicht in
Kontakt mit Feuchtigkeit oder Flüssigkeiten, einschließlich Wasser, Reinigungsflüssigkeiten
oder Lösungsmitteln. Verdünner, Benzin oder alkoholische Lösungsmittel können die
Oberfläche des DrayTek Routers angreifen.
Stellen Sie keine mit Flüssigkeiten gefüllten Gefäße (Vasen oder ähnliches) auf den Vigor
Router.
Schützen Sie das Gerät vor Feuchtigkeit und extremer Hitze.
Für Schäden, die durch unsachgemäße Eingriffe entstehen übernimmt der Hersteller keine
Garantie.
Für Reparaturen uns Service wenden Sie sich bitten an Ihren Fachhändler oder an den
technischen Support von DrayTek.
- Seite 4 von 172 -
2.
Hinweise vor der Installation sowie Setup
•
•
•
•
•
•
•
Stellen Sie sicher dass das verwendete Netzteil das original DrayTek Netzteil ist.
Ansonsten besteht die Möglichkeit das der Router gar nicht oder fehlerhaft funktioniert.
Im Fehlerfall des Routers, trennen Sie Ihn als erstes vom Netz.
Arbeiten Sie in einer sauberen und trockenen Umgebung
Alle Kabel müssen korrekt mit dem Router verbunden sein damit der Router nicht
beschädigt wird. Verlegen Sie keine Kabel über Laufflächen.
Bei Verwendung eines DSL Modems, stellen Sie sicher dass dieses ein Ethernet
Interface hat. Wenn nicht können Sie den Router nicht mit dem Modem verbinden.
Nur für Geräte mit ISDN Interface:
Beachten Sie dass das ISDN Kabel welches Sie mit dem Router verbinden nicht länger
als 100 Meter ist.
Stellen Sie sicher, dass Sie über einen Mehrgeräte (EuroISDN) Anschluss verfügen
(sollten Sie über einen ISDN Anlagenanschluss verfügen, muss der Router an einen
aktiv durchgeschliffenen S0-Bus angeschlossen werden.)
Vor der Router Konfiguration suchen Sie sich einen Ihrer Rechner aus welchen Sie als
Management Computer verwenden möchten und betreiben diesen zum Anfang allein mit dem
Router. Etwaige andere Rechner Ihres Netzwerkes können Sie dann später hinzufügen.
Halten Sie sich dafür folgende Werkseinstellungen vor Augen:
IP Netzwerk Einstellung des Routers:
•
•
IP Adresse : 192.168.1.1
Subnet Mask: 255.255.255.0
DHCP Server: Eingeschaltet
•
•
Start IP Adresse: 192.168.1.10
IP Pool Counts (Anzahl der möglichen IP Adressen): 50
Web Konfigurator:
•
•
Benutzername: admin
Passwort: (Es ist in der Grundkonfiguration kein Passwort vergeben. Vergeben Sie
dieses als ersten Konfigurationsschritt innerhalb Ihrer Konfiguration)
Telnet Konsole:
•
Passwort: (Es ist in der Grundkonfiguration kein Passwort vergeben. Vergeben Sie
dieses als ersten Konfigurationsschritt innerhalb Ihrer Konfiguration)
- Seite 5 von 172 -
3.
DrayTek Vigor 2600plus - Lieferumfang und Anschlüsse
Zum Lieferumfang des DrayTek Vigor 2600plus gehören:
DrayTek Vigor 2600plus
230V Netzteil für deutsche Steckdosen
RJ-45 Ethernet Kabel
RJ-45 Splitter Kabel
Installationsanleitung
CD-ROM
Anschlüsse des Vigor 2600plus:
Hier die Anschlüsse des Vigor 2600plus von links nach rechts:
To Printer:
USB Anschluss zum Anschluss eines USB Druckers
PWR:
Anschluss für das mitgelieferte Netzteil (Stromversorgung)
Power Switch:
Ein/Aus Schalter
Switch:
Anschlüsse (1-4) für die direkte Ethernetverbindung zwischen Rechner/Client und Router über
ein RJ-45 Patchkabel
ADSL:
Anschluss für die Verbindung zum Splitter (DSL)
Factory Reset:
Button zum Rücksetzen auf Werkseinstellungen
- Seite 6 von 172 -
4.
DrayTek Vigor 2600G - Lieferumfang und Anschlüsse
Zum Lieferumfang des DrayTek Vigor 2600G gehören:
DrayTek Vigor 2600G
230V Netzteil für deutsche Steckdosen
RJ-45 Ethernet Kabel
RJ-45 Splitter Kabel
Zwei externe Antennen
Installationsanleitung
CD-ROM
Anschlüsse des Vigor 2600G:
Hier die Anschlüsse des Vigor 2600G von links nach rechts:
Buchse für den Anschluss einer der externen Antennen
To Printer:
USB Anschluss zum Anschluss eines USB Druckers
PWR:
Anschluss für das mitgelieferte Netzteil (Stromversorgung)
Power Switch:
Ein/Aus Schalter
Switch:
Anschlüsse (1-4) für die direkte Ethernetverbindung zwischen Rechner/Client und Router über
ein RJ-45 Patchkabel
ADSL:
Anschluss für die Verbindung zum Splitter (DSL)
Factory Reset:
Button zum Rücksetzen auf Werkseinstellungen
Buchse für den Anschluss einer der externen Antennen
- Seite 7 von 172 -
5.
DrayTek Vigor 2600i - Lieferumfang und Anschlüsse
Zum Lieferumfang des DrayTek Vigor 2600i gehören:
DrayTek Vigor 2600i
230V Netzteil für deutsche Steckdosen
RJ-45 Ethernet Kabel
RJ-45 Splitter Kabel
ISDN Kabel
Installationsanleitung
CD-ROM
Anschlüsse des Vigor 2600i:
Hier die Anschlüsse des Vigor 2600plus von links nach rechts:
To Printer:
USB Anschluss zum Anschluss eines USB Druckers
PWR:
Anschluss für das mitgelieferte Netzteil (Stromversorgung)
Power Switch:
Ein/Aus Schalter
Switch:
Anschlüsse (1-4) für die direkte Ethernetverbindung zwischen Rechner/Client und Router über
ein RJ-45 Patchkabel
ADSL:
Anschluss für die Verbindung zum Splitter (DSL)
ISDN:
Anschluss für die Verbindung zum NTBA (ISDN)
Factory Reset:
Button zum Rücksetzen auf Werkseinstellungen
- Seite 8 von 172 -
6.
DrayTek Vigor 2600Gi - Lieferumfang und Anschlüsse
Zum Lieferumfang des DrayTek Vigor 2600Gi gehören:
DrayTek Vigor 2600Gi
230V Netzteil für deutsche Steckdosen
RJ-45 Ethernet Kabel
RJ-45 Splitter Kabel
ISDN Kabel
Zwei externe Antennen
Installationsanleitung
CD-ROM
Anschlüsse des Vigor 2600Gi:
Hier die Anschlüsse des Vigor 2600Gi von links nach rechts:
Buchse für den Anschluss einer der externen Antennen
To Printer:
USB Anschluss zum Anschluss eines USB Druckers
PWR:
Anschluss für das mitgelieferte Netzteil (Stromversorgung)
Power Switch:
Ein/Aus Schalter
Switch:
Anschlüsse (1-4) für die direkte Ethernetverbindung zwischen Rechner/Client und Router über
ein RJ-45 Patchkabel
ADSL:
Anschluss für die Verbindung zum Splitter (DSL)
ISDN:
Anschluss für die Verbindung zum NTBA (ISDN)
Factory Reset:
Button zum Rücksetzen auf Werkseinstellungen
Buchse für den Anschluss einer der externen Antennen
- Seite 9 von 172 -
7.
Hardware Installation
Verbinden des Netzteils:
•
•
•
Stecken Sie das Netzteil in die 220V Steckdose; das anderer Ende verbinden Sie mit der
„PWR“ Buchse auf der Rückseite des Routers.
Überprüfen Sie die „ACT“ LED, Sie sollte stetig 2 Mal pro Sekunde blinken.
Bei DrayTek Geräten mit WLAN schrauben Sie vorsichtig die Antenne(n) an die dafür
vorgesehenen Anschlüsse am Router.
Anschluss an das Netzwerk:
A. Anschluss an einen PC:
•
•
•
Verbinden Sie das mitgelieferte blaue Netzwerkkabel oder ein anderes Standard
Netzwerkkabel mit einem der LAN Ports des DrayTek Vigor Routers (P1-P4).
Das andere Ende verbinden Sie mit der Netzwerkkarte Ihres PCs bzw. Macs.
Die LAN LED für den jeweiligen Port (P1-P4) am Router und an Ihrer Netzwerkkarte
(sofern vorhanden) muss leuchten, wenn die Verkabelung in Ordnung ist.
B. Anschluss an einen Switch:
•
Sie haben auch die Möglichkeit den Draytek Vigor mit einem weiteren Switch zu
verbinden. Verbinden Sie die beiden Geräte einfach mit einem standard RJ-45 Kabel.
Bei eigentlich allen aktuellen DrayTek Vigor Modellen sind die Ports 1-4 „selbsterkennend“. Es
ist also egal ob man ein normales „gerades“ oder ein „gekreuztes“ (Crossover) RJ-45
Ethernetkabel verwendet.
Verbinden des ISDN Anschlusses (nur DrayTek Geräte mit ISDN Interface):
•
•
•
Verbinden Sie das mit gelieferte schwarze ISDN Kabel oder ein anderes Standard ISDN
Kabel mit dem ISDN Port auf der Rückseite des Routers.
Verbinden Sie das andere Ende z.B. mit dem NTBA Ihres Mehrgeräte ISDN Anschlusses.
Hinweis:
Der direkt Anschluss des Routers an einen Anlagen ISDN Anschluss NTBA ist nicht
möglich. Sie müssen dann den Router an einen Wandler oder an eine TK Anlage
anschließen welche den S0 Bus rausführt.
Ist die Verkabelung korrekt, leuchtet die ISDN Diode am Router.
Hinweis: Unter Umständen leuchtet die ISDN Diode am Router erst auf, nachdem der S0Anschluss das erste Mal angesprochen wurde oder ein ausgehender Ruf getätigt wurde. Die
LED kann auch im laufenden Betrieb ausgehen und dann wieder angehen, wenn ein Ruf
getätigt wird. Verhalten ist durchaus normal und teilweise auch von der Vermittlungsstelle
abhängig.
Verbinden mit dem Splitter (nur DrayTek Geräte mit integriertem DSL Modem):
•
Verbinden Sie den WAN/DSL Anschluss Ihres DrayTek Vigor Routers mit dem
mitgelieferten Kabel mit dem Splitter den Sie von Ihrem Internetprovider geliefert
bekommen haben.
- Seite 10 von 172 -
Verbinden eines DSL Modems mit dem Router (nur DrayTek Geräte ohne integr. DSL Modem):
•
•
Sie können den Router nur an ein DSL/Kabel Modem anschließen welches einen
Ethernet Anschluss bietet. Bei korrekter Verbindung leuchtet die WAN LED am Router.
Verbinden Sie das von Ihrem ISP mitgelieferte Kabel mit dem WAN Port des Routers.
- Seite 11 von 172 -
8.
Informationen zur Konfigurations Ihres Management Computers:
Der Router verfügt über einen integrierten HTTP (Web) Server für die Konfiguration.
Bevor Sie den Router zum Zugang in das Internet verwenden können, müssen Sie Ihren
Management Rechner konfigurieren damit Sie Zugriff auf den Router erlangen.
Sie können Ihren Management Computer mit einer festen IP (erteilt vom Benutzer) oder mit
einer dynamischen IP (erteilt vom Router) konfigurieren.
Als feste IP Adresse können Sie eine aus dem 192.168.1.0/24 Netzwerk verwenden, wie z.B.
die IP Adresse 192.168.1.200
Bedenken Sie, dass der Router werksmäßig mit der IP Adresse 192.168.1.1 konfiguriert ist und
das niemals 2 Geräte die gleiche IP Adresse zugeordnet bekommen.
Für eine dynamische IP Adresse (erteilt vom Router) müssen Sie Ihren Rechner als DHCP
Client einrichten damit er die IP-bezogenen Einstellungen vom Router anfordern kann.
Wir gehen im Ursprungszustand davon aus, dass Ihre Netzwerkkarte innerhalb Ihres
Management Rechners korrekt eingebaut ist und die Treiber installiert sind.
Erläuterung des Begriffs „Management Computer“:
Sollten Sie nur über bedingte Netzwerkkenntnisse verfügen arbeiten Sie bei der
Inbetriebnahme des Routers bzw. des Netzwerkes erstmal mit nur einem Rechner um von
Anfang an so viele Fehlerquellen wie möglich ausschließen zu können.
Erst wenn der Management Computer reibungslos mit dem Router zusammenarbeitet sollten
Sie etwaige weitere Rechner an den Router anschließen und diese dann am besten auch
nacheinander anschließen und konfigurieren.
Hinweis: Die hier abgebildeten Bilder beziehen sich auf Windows 2000.
Die Konfigurationen für andere Windows Versionen sollten Sie aber
trotzdem ohne Probleme aus dieser Beschreibung ableiten können.
- Seite 12 von 172 -
Konfiguration des Management Rechners (DHCP/automatische Zuweisung der IP)
Öffnen Sie das „Netzwerk“ Fenster indem Sie mit der rechten Maustaste auf
Netzwerkumgebung / Eigenschaften oder innerhalb der Systemsteuerung auf Netzwerk
klicken. Suchen Sie sich nun die LAN Verbindung und klicken wieder auf Eigenschaften.
Bei erfolgreicher Installation Ihrer Netzwerkkarte sollte das TCP/IP Protokoll hier verfügbar
sein.
Hier nun ein Doppelklick auf TCP/IP->„meine Netzwerkkarte“ bzw. Internetprotokoll TCP/IP.
- Seite 13 von 172 -
Bestätigen Sie nun mit OK und Ihr PC sollte vom DrayTek Router eine IP Adresse automatisch
zugewiesen bekommen. Sie können nun mit der Konfiguration des Routers anfangen.
- Seite 14 von 172 -
Konfiguration des Management Rechners (mit fester IP)
Öffnen Sie das „Netzwerk“ Fenster indem Sie mit der rechten Maustaste auf
Netzwerkumgebung / Eigenschaften oder innerhalb der Systemsteuerung auf Netzwerk
klicken. Suchen Sie sich nun die LAN Verbindung und klicken wieder auf Eigenschaften.
Bei erfolgreicher Installation Ihrer Netzwerkkarte sollte das TCP/IP Protokoll hier verfügbar
sein.
Hier nun ein Doppelklick auf TCP/IP->„meine Netzwerkkarte“ bzw. Internetprotokoll TCP/IP.
- Seite 15 von 172 -
Um Ihren PC auf eine feste IP Adresse zu konfigurieren tragen Sie hier bitte die gewünschte
Adresse ein. Die jeweilige Subnetzmaske wird automatisch von Windows ergänzt. Als
Standardgateway tragen Sie bitte die IP Adresse des DrayTek Vigor Routers ein. Beim DNS
Server tragen Sie nach Möglichkeit bitte den DNS Server ein, den Ihnen Ihr Internetprovider
zusammen mit Ihren Zugangsdaten hat zukommen lassen. Alternativ können Sie auch erstmal
die hier im Beispiel gezeigten DNS Server eintragen. Klicken Sie bitte nun noch auf „OK“.
Nun gehen sämtliche Anfragen aus dem lokalen Netzwerk zuallererst an den Router und dieser
entscheidet dann, ob die Anfrage für das Internet oder einen anderen Rechner im lokalen
Netzwerk ist und leitet die Pakete dann dementsprechend weiter.
- Seite 16 von 172 -
Konfiguration des Routers unter MacOS
Im folgenden Kapitel werden wir erklären, wie man den Mac für den Internetzugang über den
DrayTek Vigor konfiguriert.
Es gibt zwei Arten der Konfiguration.
a) Der Router vergibt den Klienten (Macs) Ihre IP Adresse (die Rechner bekommen
nicht immer die gleiche IP Adresse zugewiesen)
b) Sie Arbeiten mit festen IP Adressen und vergeben diese von Hand
Konfigurationsmethode a) [DHCP – Der Router verteilt die IP Adressen]
Bevor Sie beginnen, stellen Sie bitte folgende Dinge sicher:
1. Das TCP/IP Protokoll muss auf Ihrem Mac Rechner installiert sein
2. Der Router muss mit dem Mac via Netzwerk Kabel verbunden sein.
3. Die anzuschließenden Rechner sollten mit mind. MacOS 7.5.5 zzgl. aktivierter
Opentransport-Netzwerk-Software oder MacOS 8 oder 9 ausgestattet sein.
Nun werden Sie den Mac Schritt für Schritt so einstellen damit er Zugriff auf den DrayTek Vigor
Web-Konfigurator bekommt.
Schritt 1: Öffnen Sie das TCP/IP Window innerhalb des Mac OS
Klicken Sie auf das Apple Symbol oben links auf Ihrem Desktop und bewegen Sie den
Mauszeiger auf das "Kontrollfelder" Icon. Ein weiteres Pop-Up-Menü erscheint, nun
klicken Sie bitte auf "TCP/IP" um das "TCP/IP" Window zu öffnen.
Schritt 2: Konfiguration der TCP/IP Einstellungen
Innerhalb des "TCP/IP" Windows, sollten Sie folgende Einstellungen vornehmen:
Verbindung : "Ethernet"
Konfigurationsmethode: "DHCP Server"
- Seite 17 von 172 -
Konfigurationsmethode b) [Manuelle Vergabe der IP Adressen]
Öffnen Sie über das Apfelmenü das Kontrollfeld TCP/IP.
Machen Sie nun die dementsprechenden Einstellungen für Ihr Netzwerk..
IP-Adresse: tragen Sie hier die IP Adresse ein, die der Rechner im lokalen Netzwerk haben soll
(z.B. 192.168.1.2)
Teilnetzmaske: tragen Sie hier die Teilnetzmaske ein. (255.255.255.0)
Router Adresse: hier tragen Sie bitte die IP-Adresse des Routers ein (Standard=192.168.1.1)
Name Server Adresse: die DNS Adresse die Sie von Ihrem Provider erhalten haben tragen Sie
bitte hier ein. (z.B. 194.25.2.129)
Nachdem Sie diese Einstellungen gemacht haben klicken Sie auf den kleinen Button oben Links
innerhalb des "TCP/IP" Windows um das Window zu schließen. Nun erscheint die folgende
Dialogbox wo Sie die Einstellungen speichern.
Schritt 3: Neustart des Mac
Klicken Sie innerhalb des "Spezial" Menüs auf "Neustart" um den Mac neu zu starten.
(Dieser Schritt ist nicht unbedingt notwendig.. kann aber nicht schaden.)
Schritt 4: Öffnen des Browsers um den Router zu konfigurieren
Nach dem Neustart starten Sie bitte Ihren Browser:
Jetzt können Sie http://192.168.1.1 eingeben (Default Adresse des Routers) um den WebKonfigurator des Routers zu öffnen.
Wenn alles richtig eingegeben wurde erhalten Sie nun Zugriff auf den Web-Konfigurator des
Routers.
Hinweis:
Beachten Sie bitte auch, dass in den Einstellungen Ihres Browsers kein Proxy Server aktiviert
ist..
- Seite 18 von 172 -
Konfiguration des Routers unter MacOS X
Auch unter MacOS X gestaltet sich die Konfiguration des Routers denkbar einfach.
DHCP Konfiguration (Der Router vergibt den Rechnern die IP Adresse)
Öffnen Sie bitte in den Systemeinstellungen das Kontrollfeld Netzwerk.
Wählen Sie bitte bei Verbindung „Ethernet“ aus, stellen die Konfiguration auf „DHCP“ und
tragen dann noch die DNS Adresse ein, die Sie von Ihrem Provider erhalten haben (alternativ:
194.25.2.129).
Schauen Sie ruhig noch mal bei den Proxies nach und deaktivieren diese gegebenenfalls.
Nun klicken Sie bitte noch auf „Sichern“.
- Seite 19 von 172 -
Konfiguration mit fester IP Adresse (IP des Rechners wird von Ihnen festgelegt)
Auch hier öffnen Sie bitte in den Systemeinstellungen das Kontrollfeld Netzwerk.
Wählen Sie bitte bei Verbindung „Ethernet“ aus und stellen die Konfiguration auf „manuell“.
Nun tragen Sie bitte bei IP-Adresse die Adresse ein (192.168.1.2), die Ihr Rechner im lokalen
Netzwerk haben soll. Nun noch die Teilnetzmaske (255.255.255.0), die IP-Adresse des Routers
(192.168.1.1) und die DNS Adresse die Sie von Ihrem Provider erhalten haben (alternativ:
194.25.2.129).
Schauen Sie ruhig noch mal bei den Proxies nach und deaktivieren diese gegebenenfalls.
Nun klicken Sie bitte noch auf „Sichern“.
Jetzt können Sie http://192.168.1.1 in Ihrem Browser eingeben (Default Adresse des Routers)
um den Web-Konfigurator des Routers zu öffnen.
Wenn alles richtig eingegeben wurde erhalten Sie nun Zugriff auf den Web-Konfigurator des
Routers.
Hinweis:
Beachten Sie bitte auch, dass in den Einstellungen Ihres Browsers kein Proxy Server aktiviert
ist..
- Seite 20 von 172 -
9.
Administrator Passwort
In diesem Teil des Webkonfigurators können Sie das Passwort für die Konfiguration des
Routers jederzeit ändern. Beachten Sie bitte, dass bei der Auslieferung des Routers kein
Passwort vergeben ist. Ändern Sie das Passwort also möglichst schnell bzw. vergeben eines,
damit nicht jeder, eventuell auch unbefugte, Änderungen an der Konfiguration des Routers
vornehmen kann.
Geben Sie für die Änderung zunächst das alte Passwort ein. (Werkszustand = kein Passwort)
Danach haben Sie die Möglichkeit ein neues Passwort (bis zu 23 Zeichen) zu vergeben und
dieses dann zu bestätigen. Verwenden Sie für das Passwort bitte nur Standardzeichen wie A-Z
oder 0-9. Durch klicken auf „OK“ wird das Passwort dann dauerhaft geändert.
Hinweis:
Sollten Sie Ihr Passwort einmal vergessen haben, können Sie den Router auf
Werkseinstellungen zurücksetzen. Dieses können Sie tun, indem Sie den Reset Knopf auf der
Rückseite des Gerätes mit einem spitzen Gegenstand (aufgebogene Büroklammer) während
des Betriebs ca. 5 Sekunden lang gedrückt halten. Sie erkennen am Blinken der LED's wenn
der Router sich zurücksetzt und einen Neustart durchführt. Danach ist das Gerät dann wieder
im Werkszustand (IP Adresse 192.168.1.1, Login: admin und kein Passwort) und muss
komplett neu konfiguriert werden.
- Seite 21 von 172 -
10.
Einwahl mit ADSL über PPPoE
Nach dem erfolgreichen Setup der Hardware des Routers kümmern wir uns nun um den
Internetzugang. Geben Sie in Ihrem Webbrowser bitte die IP Adresse des Routers im
Adressfeld des Browsers ein (Standard = http://192.168.1.1) und bestätigen durch
drücken der „Enter“ Taste.
Nun sollte das folgende Fenster erscheinen in dem Sie aufgefordert werden den Namen und
das Passwort für die Routerkonfiguration einzugeben. Geben Sie als Namen/Login bitte
„admin“ ein. Das Passwort lassen Sie bitte leer, da im Werkszustand des Routers kein Passwort
vergeben ist. Klicken Sie zur Bestätigung dann auf „OK“.
Haben Sie alles richtig konfiguriert kommen Sie nun in den Webkonfigurator des DrayTek Vigor
Routers. Nun bringen wir den DrayTek Router mit wenigen Schritten ins Internet. Klicken Sie
dazu bitte auf der rechten Seite auf „Einwahl ins Internet“.
- Seite 22 von 172 -
Klicken Sie hier bitte nun auf PPPoE / PPPoA um eine DSL Verbindung zu dem meisten
Deutschen Internetprovidern herstellen zu können.
Aktivieren Sie zunächst PPPoE/PPPoA.
Die DSL Modem Einstellungen für die Deutsche Telekom sind ab Werk voreingestellt.
Für eine U-R2-Verbindung gelten folgende Einstellungen für das DSL Modem:
VPI (Virtual Path Identifier): 1
VCI (Virtual Channel Identifier): 32
Kapselung: LLC/SNAP
Protokoll: PPPoE
Modulation: G.DMT
Die Funktion Multi-PVCs (PVC= Permanent Virtual Circuits) wird in Deutschland zur Zeit noch
nicht unterstützt. Belassen Sie deshalb die Einstellung bei "Multi-PVC Kanal" auf der
Voreinstellung.
Für manche DSL Provider ist es nötig den VPI und VCI Wert für das DSL Modem zu verändern.
In diesen Fällen wählen Sie bitte bei VPI = 8 und VCI = 35 aus.
- Seite 23 von 172 -
Tragen Sie einen ISP Namen ein, den Sie frei wählen können.
Bei Benutzername und Passwort tragen Sie bitte die von Ihrem Provider zugeteilten
Zugangsdaten ein.
Bitte beachten Sie auch die korrekte Zusammensetzung des Benutzernamens, wie z.B. Bei TOnline...
Beispiel
Ihr T-Online-Benutzername setzt sich aus verschiedenen Nummern
zusammen:
Zuerst Ihre T-Online-Anschlusskennung (beginnt meistens mit 000)
Ihre T-Online-Nummer, besteht in der Regel aus der Ortsnetzkennzahl
und der Telefonnummer Ihres T-Online Anschlusses.
Falls die T-Online-Nummer kürzer als 12 Stellen ist, muss noch eine
Raute "#" angefügt werden. Zum Schluss fügen Sie noch die
Mitbenutzernummer ein, die im Regelfall 0001 lautet, gefolgt von @tonline.de
Als Passwort verwenden Sie Ihr persönliches T-Online Kennwort. Ihr
Benutzername müsste dann folgendermaßen aussehen:
0004567899091234567890120001@t-online.de
oder falls Ihre T-Online Nr. kürzer als 12 Stellen ist:
00045678990912345678901#0001@t-online.de
Beachten Sie auch das keine Lücken bei der Eingabe entstehen.
Weiterhin können Sie noch wählen ob die Internetverbindung durch den Router „immer
aktiv/in Betrieb“ oder „automatisch“ gehalten bzw. aufgebaut werden soll. Entscheiden Sie sich
für „automatisch“ können Sie noch die Zeit der Inaktivität (Leerlaufzeit) bestimmen, nach der
der Router die Internetverbindung automatisch trennt (Standardwert 180 Sekunden).
Achtung: Stellen Sie den Router nur auf „immer aktiv/in Betrieb“ wenn Sie über eine Flatrate
verfügen. Der Router hält bei dieser Auswahl die Verbindung zum Internet konstant und Ihnen
können hohe Kosten entstehen, sollten Sie keine Flatrate haben.
- Seite 24 von 172 -
Hier nun noch ein Paar weitere Beispiele für die Zusammensetzung der Benutzernamen einiger
anderer deutscher Internetprovider:
1&1
"1und1/<Benutzerkennung>@online.de"
Beispiel: "1und1/0123456789@online.de"
Schlund + Partner
"s+p/<Benutzerkennung>@online.de"
Beispiel: "s+p/0123456789@online.de"
GMX
"GMX/<Benutzerkennung>@online.de"
Beispiel: "GMX/0123456789@online.de"
T-DSL Business
"t-online-com/<Benutzerkennung>@t-online-com.de"
Beispiel: "t-online.com/0123456789@t.online-com.de"
Alternativ können Sie den Router auch nur als reines DSL Modem verwenden. In diesem Falle
aktivieren Sie die Funktion und verwenden den PPPoE Treiber, den Ihr Betriebssystem Ihnen
zur Verfügung stellt. Für 99% aller Anwender ist das jedoch nicht notwendig, da Sie damit die
Routerfunktionalität komplett umgehen würden. Für den normalen Betrieb lassen Sie also
beide Häkchen deaktiviert.
Verbindungstimer:
Geben Sie hier die Profile für die zeitgesteuerte Einwahl in das Internet an. Auf diese
Timerfunktion wird in einem anderen Kapitel dieses Handbuchs noch genauer eingegangen.
ISDN-Backup Einstellungen:
Diese Funktion steht nur bei DrayTek Vigor Modellen mit integriertem ISDN Interface zur
Verfügung. Das ISDN Backup wird aktiv, sollte die PPPoE-Verbindung nicht aufgebaut werden
können (z.B. DSL Störung) und die Einstellung nicht auf "Aus" konfiguriert wurde.
Es gibt die Modi "nein" und "automatisch" und „immer in Betrieb“. Die ISDN-Verbindung muss
zusätzlich, wie im Abschnitt „Einwahl ins Internet – Einwahl über einen ISP“ beschrieben,
eingerichtet werden. Die ISDN Verbindung ist unabhängig von der DSL-Verbindung, Sie
- Seite 25 von 172 -
können hier einen völlig anderen Provider einstellen oder den gleichen Provider wie für die
DSL-Verbindung nutzen.
Hinweis: Eine Einwahl über ISDN kann zusätzliche Kosten verursachen, sofern Sie nicht über
eine ISDN Flatrate verfügen. Gehen Sie also mit der ISDN-Backup Option vorsichtig um.
Immer in Betrieb:
Aktivieren Sie diesen Punkt, wenn Sie eine Flatrate haben und der Router die Verbindung in
das Internet immer halten soll.
Max. Leerlaufzeit:
Dieser Parameter wird in Sekunden angegeben. Wenn innerhalb des angegebenen Zeitraums
kein Datenaustausch mehr stattfindet, wird die Verbindung unterbrochen.
Feste IP:
Wenn hier “JA” ausgewählt wurde wird der Router veranlasst während der IPCP (Internet
Protocol Control Protocol) Phase über die eingetragene IP-Adresse mit dem Zugriffsserver zu
kommunizieren. Wenn „Nein“ aktiviert wurde erhält der Router die IP-Adresse vom
Zugangsserver für die PPPoE-Verbindung (Diese Einstellung funktioniert mit den meisten
Internet Providern).
Feste IP Adresse:
Die Feste IP Adresse sollte genutzt werden wenn auch unter “Feste IP” , “JA” ausgewählt
wurde.
Klicken Sie nun noch mal auf „OK“. Sind alle Einstellungen korrekt baut der Router nun eine
Verbindung mit dem Internet auf.
Prüfen der DSL-Verbindung:
Öffnen Sie im Hauptmenü den „Onlinestatus“. Hier überprüfen Sie, ob der Router eine
Hardware-Verbindung zum DSL hat und mit dem DSLAM synchronisiert.
Ist das Kabel zwischen Router und Splitter nicht angeschlossen, so wird "INITIALIZATION" als
Status für DSL gezeigt:
Sobald ein Kabel angeschlossen wird, versucht der Router sich mit dem DSL Anbieter zu
synchronisieren.
Eine erfolgreiche(r) Synchronisation/Verbindungsaufbau wird durch den Eintrag "SHOWTIME"
angezeigt. Nur wenn dieser Eintrag als Status der ADSL-Verbindung erscheint, kann der Router
eine DSL Verbindung zum Internetprovider aufbauen.
In manchen Fällen kann es aber einige Minuten dauern bis der Eintrag "SHOWTIME" angezeigt
wird.
- Seite 26 von 172 -
Falls bei Ihnen dieser Eintrag einige Zeit nach Anschluss an die DSL-Leitung nicht erscheint
(nach ca. 10 Minuten), kann der Router nicht synchronisieren. Überprüfen Sie in diesem Fall
bitte die Verkabelung zwischen dem DSL-Splitter und dem DrayTek Vigor Router. Eventuell
besteht auch ein Problem mit der DSL-Leitung.
Danach testen Sie, ob die Internet-Verbindung mit den eingetragenen Zugangsdaten
aufgebaut werden kann.
Über den Button „PPPoE" besteht die Möglichkeit eine manuelle Verbindung in die Wege zu
leiten.
Sollte keine Verbindung zum Internet aufgebaut werden können, sehen Sie die folgenden
Einträge im WAN-Status:
Unterhalb des WAN-Status erscheinen regelmäßig Meldungen über die DSL-Verbindung. Die
Nachricht „Message [ PPP Shutdown ]" im Bildbeispiel besagt, dass zur Zeit keine PPPoE oder
PPPoA Verbindung besteht.
Klicken Sie auf „PPPoE", um eine manuelle Verbindung zu initiieren. Haben Sie alles korrekt
Konfiguriert, sehen Sie nach kurzer Zeit folgende Anzeige:
Sie sehen nun Daten wie eine WAN IP-Adresse und die übertragene Pakete für die aktuelle
Verbindung.
Sollten Sie falsche Zugangsdaten für Ihren Zugang in das Internet konfiguriert haben, wird
keine Verbindung aufgebaut. In diesem Falle sehen Sie die folgende Fehlermeldung:
Überprüfen Sie bei dieser Fehlermeldung Ihre konfigurierten Zugangsdaten.
- Seite 27 von 172 -
11.
Einwahl ins Internet (ISDN) – Einwahl über einen ISP
Diese Option steht nur bei DrayTek Geräten mit ISDN Interface zur Verfügung.
Sie können diesen Mode auswählen um sich via ISDN mit Ihrem ISP zu verbinden. Das
Kanalbündelungs-Protokoll MLPPP wird je nach Bedarf unterstützt.
Name des Anbieters:
Hier können Sie den Namen Ihres ISP mit max. 15 Zeichen eintragen.
Einwahlnummer:
Hier geben Sie die Einwahlnummer Ihres ISP mit max. 16 Zeichen an.
Benutzername:
Hier geben Sie Ihren Benutzernamen mit max. 48 Zeichen an.
Passwort:
Hier geben Sie Ihr Passwort mit max. 48 Zeichen an
Rückrufoption aktiv (CBCP):
Falls Ihr ISP oder Zugangsserver das Feature Callback (CBCP) unterstützt aktivieren Sie es
hier. Die Callback Funktion wird per CBCP (Callback Control Protocol) aktiviert. Dabei wird
zuerst eine Verbindung zum ISP aufgebaut. Nachdem sich der Anrufer identifiziert hat, ruft der
Router der ISP auf der zuvor festgelegten Nummer (diese muss im DrayTek Vigor als MSN
eingetragen sein) zurück und baut dann die Verbindung auf. Für die normale Einwahl in das
Internet sollte diese Funktion immer deaktiviert bleiben.
Verbindung/Verbindungsart:
Innerhalb dieses Modes unterstützt der Router die 64kbps, 128kbps sowie BOD (Bandwith on
Demand) Einwahl. Die Parameter für BOD können in den „Erweiterten Einstellungen“ im
- Seite 28 von 172 -
Menüpunkt „Verbindungseinstellungen PPP/MP“ eingestellt werden. Achtung: bei 128k, sowie
Dynamisch BOD fallen, teilweise oder ganz, die Gebühren für die Einwahl mit dem 2. B-Kanal
an. Wählen Sie also für den normalen Betrieb „Einwahl mit 64k“ aus.
PPP Authentifizierung:
Bei der Auswahl von "PAP oder CHAP", wählt der Router automatisch welches
Authentifikations-Protokoll beim Austausch von Benutzernamen und Passwörtern mit dem
Zugangsserver, verwendet werden soll. MS-CHAP für den Zugang auf Windows™ NT Server
wird ebenfalls unterstützt. Wird nur „PAP“ ausgewählt wird der Router gezwungen nur klare
Text-Passwörter an den Zugangsserver zu senden.
Max. Leerlaufzeit:
Dieser Parameter wird in Sekunden angegeben. Wenn innerhalb des angegebenen Zeitraums
kein Datenaustausch mehr stattfindet, wird die Verbindung unterbrochen. Wenn die
Verbindung niemals unterbrochen werden soll, setzt man hier den Wert „0“.
Feste IP:
Wenn hier “JA” ausgewählt wurde wird der Router veranlasst während der IPCP (Internet
Protocol Control Protocol) Phase über die eingetragene IP-Adresse mit dem Zugriffsserver zu
kommunizieren. Wenn „Nein“ aktiviert wurde erhält der Router die IP-Adresse vom
Zugangsserver für die PPP-Verbindung (Diese Einstellung funktioniert mit den meisten Internet
Providern).
Feste IP Adresse:
Die Feste IP Adresse sollte genutzt werden wenn auch unter “Feste IP” , “JA” ausgewählt
wurde.
Nachdem Sie die Zugangsdaten konfiguriert haben baut der Router eine ISDN Verbindung zu
Ihrem Internetprovider auf. Dieses geschieht allerdings nur, wenn gleichzeitig keine DSL
Verbindung aktiv ist. Überprüfen können Sie den Onlinestatus über den gleichnamigen
Menüpunkt des Webkonfigurators.
- Seite 29 von 172 -
12.
Ethernet – LAN IP Adresse
Unter Grundeinstellungen „LAN und DHCP“ können Sie dem DrayTek Vigor Router eine andere
IP Adresse geben bzw. den Adressbereich des lokalen Netzwerks ändern. Dieses kann nötig
sein, wenn Sie den Router in ein schon bestehendes Netzwerk integrieren möchten oder diesen
einfach nicht unter der voreingestellten IP Adresse im lokalen Netzwerk LAN betreiben
möchten.
Werksseitig ist der DrayTek Vigor Router auf die IP Adresse „192.168.1.1“ konfiguriert. Die
dazugehörige Subnetzmaske ist „255.255.255.0“. Diese Teilnetzmaske bestimmt, dass Geräte,
deren IP-Adresse in den ersten drei Ziffern mit der Router IP-Adresse übereinstimmt, auf den
DrayTek Router zugreifen können. Ab Werk können also Clients/Rechner, deren IP Adresse mit
192.168.1 beginnt, sich mit dem Router im Netzwerk verbinden.
1te IP-Adresse: Der Eintrag bei "1te IP-Adresse" ist die IP-Adresse des Vigor im
lokalen Netzwerk (LAN). Unter dieser Adresse kann der Vigor im lokalen Netzwerk
erreicht/konfiguriert und angesprochen werden.
1te Subnetz Maske: Die Subnetzmaske bestimmt, welche IP-Adressen Teil eines
lokalen Netzwerks sind, bzw. dazugehören. Weitergehende Informationen zu IP
Adressen und Subnetzen finden Sie im Internet.
Achtung: Weisen Sie dem Router eine andere Adresse und/oder eine andere
Teilnetzmaske im lokalen Netzwerk (LAN) zu, müssen Sie natürlich auch die TCP/IP
Einstellungen dieser Rechner dementsprechend anpassen, damit sie den Router unter
den neuen Einstellungen erreichen können.
- Seite 30 von 172 -
Ein Rechner muss sich immer im selben Subnetz (Teilnetz) befinden wie der Router.
Und die Router IP Adresse muss in den Netzwerkeinstellungen unter Gateway bzw.
Router eingetragen werden.
Die Teilnetzmasken (Subnetz) der Geräte im Netzwerk sollten immer übereinstimmen
und deren LAN IP-Adressen entsprechend der Teilnetzmaske dem gleichen Teilnetz
angehören. Bei der gebräuchlichsten Teilnetzmaske 255.255.255.0, liegen die IPAdressen dann im gleichen Teilnetz, wenn die drei ersten Ziffern der IP-Adressen
übereinstimmen.
Beispiel: Sie verfügen bereits über ein lokales Netzwerk, in dem sich Ihre Rechner,
Server, Netzwerkdrucker etc. befinden. Die Teilnetzmaske, die Sie den Rechnern des
lokalen Netzes vergeben haben, ist 255.255.255.0.
Das heißt der Adressbereich dieses Netzwerks ist 192.168.2.0 - 192.168.2.254.
In diesem Adressbereich wollen Sie den Router mit der IP-Adresse 192.168.2.100
konfigurieren.
Tragen Sie diese IP Adresse des Routers bei den Netzwerkeinstellungen der Rechner
des Netzwerks unter Router bzw.- Gatewayadresse ein.
Ändern Sie dann hier im Menü des Routers die neue IP des Vigors unter "1te IPAdresse" auf 192.168.2.100. Die Subnetzmaske 255.255.255.0 ändert sich nicht. Nach
Aktivierung der Einstellungen können Sie den Router ans Netzwerk anschließen und
weiter konfigurieren.
Klicken Sie auf „OK“ am Ende des Konfigurationsmenüs um die Änderungen zu
aktivieren.
Klicken Sie auf „Aktuelle Konfiguration übernehmen“ und danach auf „OK“ um den Router neu
zu starten. Danach ist der Router dann unter „192.168.2.100“ zu erreichen.
- Seite 31 von 172 -
13.
Ethernet DHCP Server
Der DrayTek Vigor Router kann als DHCP Server arbeiten. Wozu benötige ich diese Funktion?
Jeder Client/Rechner in einem Netzwerk benötigt gewisse Grundeinstellungen für das Netzwerk
bzw. die Anbindung an das Internet. Zu diesen gehören z.B. IP-Adresse, Teilnetzmaske
(Subnetz), Router bzw. Gateway Adresse und eventuell DNS Server.
Wenn Sie Ihr Netzwerk ausschließlich mit festen IP Adressen konfigurieren bzw. betreiben
wollen, müssen Sie diese Informationen in jedem Rechner/Client von Hand eintragen bzw.
diesen konfigurieren. Diese Arbeit kann Ihnen der DrayTek Router jedoch abnehmen.
Wird der DrayTek Router als DHCP Server verwendet übernimmt er diese Konfiguration für die
Rechner/Clients, sofern diese als DHCP Client konfiguriert sind (IP Adresse automatisch
beziehen). Bis zu einem Neustart vergibt dann der Router dynamisch eine IP Adresse, die
dazugehörige Subnetzmaske (Teilnetz), sowie die Informationen über Gateway und DNS
Server.
Der DHCP Server des DrayTek Vigor Routers ist ab Werk auf „aktiv“ gesetzt. Sollten Sie schon
einen DHCP Server in Ihrem lokalen Netzwerk betreiben oder nur mit festen IP Adressen
arbeiten, können Sie diese Funktion natürlich im Webkonfigurator ausschalten.
Dieses geschieht unter „Grundeinstellungen -> LAN und DHCP“.
Schalten Sie hier den DHCP Server des Vigor Routers aktiv, inaktiv oder auf Relay Agent.
"Server aktiv": Der Vigor fungiert als DHCP-Server. Konfigurieren Sie dazu "Startadresse",
"IP-Pool" und "Gateway IP Adresse".
- Seite 32 von 172 -
Start IP-Adresse: Die Startadresse bezeichnet die erste vom DHCP-Server zu vergebende IPAdresse für DHCP-Clients/Rechner an. Die Startadresse muss im IP-Adressbereich des Routers
liegen (wird durch LAN-Adresse und Subnetzmaske definiert).
IP-Pool (max. Anzahl): Diese Zahl bestimmt die maximale Anzahl der per DHCP zu
verteilenden IP-Adressen. Im Bildbeispiel bedeutet das also: Die erste zu vergebende IP
Adresse ist die 192.168.1.10 und es werden nach Bedarf Adressen bis 192.168.1.59 vergeben.
Gateway IP-Adresse: Unter "Gateway IP-Adresse" wird derjenige Router im Netzwerk
angeben, der DHCP-Clients für den Internetzugang mitgeteilt wird. Im Allgemeinen ist hier die
IP-Adresse des DrayTek Vigor selbst einzutragen.
"inaktiv": Deaktiviert den DHCP-Server des DrayTek Routers.
"DHCP Server IP-Adresse f. Relay Agent": In dieser Einstellung kann der Vigor die DHCPAnfragen an einen anderen DHCP-Server im Netzwerk weiterleiten. Tragen Sie dazu die IP des
Rechners, auf dem Ihr eventuell schon vorhandener DHCP Server läuft, unter "Externer DHCPServer" ein.
Beachten Sie bitte, dass sämtliche zu einem Netzwerk zusammengefassten Geräte sich immer
im selben IP Adressbereich und dem Selben Subnetz (Teilnetz) befinden müssen.
Beispiel:
Der Router hat die IP Adresse „192.168.1.1“ und die Subnetzmaske „255.255.255.0“. Der
DHCP Server ist auf aktiv und verteilt Rechnern/Clienten die als DHCP Client konfiguriert sind
automatisch IP Adressen von 192.168.1.10 bis 192.168.1.59. Weiterhin können Sie natürlich
noch Geräte mit festen IP Adressen im selben Netzwerk haben wie z.B. einen Netzwerkdrucker
der dann die IP Adressen 192.168.1.150, das Subnetz 255.255.255.0 und als Gateway den
Router 192.168.1.1 konfiguriert hat. Es dürfen allerdings niemals 2 Geräte in einem Netzwerk
die gleiche IP Adresse haben, sonst kommt es zu einem IP Adresskonflikt.
Die Teilnetzmaske 255.255.255.0 besagt, dass sämtliche Geräte die mit 192.168.1.x
konfiguriert sind, Teil eines gemeinsamen Netzwerks sind und nur durch die letzte Zahl
unterschieden werden.
- Seite 33 von 172 -
14.
Ethernet DNS
DNS Server werden vom DrayTek Vigor Router dazu benutzt, Internetadressen in Worten und
Zeichen, wie man sie als Benutzer kennt, in die zugehörige IP-Adresse im Internet zu
übersetzen, unter der die Seite im Internet erreicht werden kann.
Er dient also der Auflösung von Namen zu IP-Adresse. Die Adresse www.draytek.com wird
vom DNS Server aufgelöst zu „210.243.151.187“.
Normalerweise erhält der Vigor bei einer Internetverbindung automatisch vom Internet Service
Provider gültige DNS-Adressen zugewiesen.
Möchten Sie trotzdem noch „eigene“ DNS Server angeben, die der DrayTek Vigor verwenden
soll, können Sie dieses hier unter DNS Server Einstellungen tun.
Bestätigen Sie wie immer mit „OK“.
- Seite 34 von 172 -
15.
Ethernet IP Routing
Einige Internetprovider bieten zusätzlich zu einer festen, für Sie reservierten (public) IP
Adresse im Internet zusätzlich ein ganzes Subnetz (Teilnetz) mit mehreren IP Adressen im
Internet.
Mit der IP Routing Funktion des DrayTek Vigor Routers können Anfragen auf IP Adressen die in
diesem Internet IP Adressbereich liegen direkt in das lokale Netzwerk des Routers
weitergeleitet werden (ohne NAT / Network Adress Translation). Es existiert dann also ein
zweites Subnetz in Ihrem LAN (lokalen Netzwerk). Rechner bzw. Clients aus diesem Subnetz
(Teilnetz) haben also eine public (öffentliche) Internet IP Adresse.
Die nötigen Informationen hierzu werden Ihnen von Ihrem Internetprovider mitgeteilt.
Beachten Sie bitte, dass Rechner bzw. Clienten die über IP Routing erreichbar sind nicht von
der NAT-Firewall des DrayTek Routers geschützt werden und somit sozusagen direkt mit dem
Internet verbunden sind.
Zum Aktivieren dieser Funktion klicken Sie im Menü „LAN und DHCP“ auf IP-Routing „aktiv“.
Nun können Sie dem DrayTek Router unter „2te IP-Adresse“ und „2te Subnetz Maske“ eine
zweite IP Adresse und zweites Subnetz konfigurieren. Nach der Bestätigung der Eingaben
durch klicken auf „OK“ können Sie nun noch die IP Adressvergabe (DHCP) für dieses zweite
Teilnetz konfigurieren. Dabei werden die Clients mit Ihrer Hardware-MAC Adresse ausgewählt.
- Seite 35 von 172 -
Bei Start IP-Adresse definieren Sie bitte den IP Adressbereich ab dem der Vigor den Clients per
DHCP IP Adressen zuweisen soll. Es können maximal 10 IP Adressen für das zweite Subnetz /
IP Routing vom Vigor Router per DHCP vergeben werden.
Im unteren Teil dieses Menüs haben Sie die Möglichkeit die MAC Adressen für die
Clients/Rechner hinzuzufügen bzw. zu entfernen, zu ändern oder zu löschen. Bestätigt wird das
Ganze dann wie immer mit „OK“.
Nach erfolgter Konfiguration starten Sie den DrayTek Vigor Router bitte mit den aktuellen
Einstellungen neu.
- Seite 36 von 172 -
16.
WLAN Basiskonfiguration
Dieser Abschnitt befasst sich mit der Konfiguration der Einstellungen für das Funknetz (WLAN /
drahtlose LAN). Dieser Teil des Webkonfigurators erscheint nur bei DrayTek Vigor Modellen die
über eine integrierte Basisstation (Access Point) verfügen.
Die aktuellen DrayTek Vigor Modelle mit WLAN arbeiten nach dem 54Mbit 802.11g Standard,
der natürlich auch abwärtskompatibel zum 802.11b Standard mit 11Mbit ist.
Diese WLAN Funktion ermöglicht es jedem beliebigen Client/Rechner, der mit einer dieser
beiden Standards kompatibel ist, drahtlos auf das Internet bzw. andere Rechner im lokalen
Netzwerk zuzugreifen. Bei Apple heißt das Ganze dann Airport bzw. Airport Extreme (Appletalk
wird unterstützt).
- Seite 37 von 172 -
Mit „Wireless LAN aktiv“ bestimmen Sie ob das WLAN Interface des Routers ein- bzw.
ausgeschaltet sein soll. Bei eingeschaltetem Funknetz können sich Clients am Router
anmelden, ist die Funktion deaktiviert ist das WLAN Interface des Routers komplett
abgeschaltet.
Modus definiert, welcher der Standards für Ihre drahtlose Kommunikation verwendet werden
soll.
gemischt(11b+11g): Sowohl 54Mbit (IEEE802.11g) als auch 11Mbit (IEEE802.11b) werden
unterstützt. In diesem Fall können drahtlose Clients sich nach dem IEEE802.11g und
IEEE802.11b Standard am DrayTek Vigor Router anmelden.
Nur 11g: Das WLAN verwendet nur IEEE802.11g (54 Mbit).
Nur 11b: Das WLAN verwendet nur das langsamere IEEE802.11b (11Mbit).
Der Verbindungstimer ermöglicht die zeitgesteuerte Benutzung des drahtlosen Netzwerks.
Aktivieren oder deaktivieren Sie das WLAN Interface des Routers automatisch mit dieser
Funktion zu bestimmten Zeiten.
Jede Basisstation (Access Point) verwendet eine eigene SSID. Hier tragen Sie den Namen Ihres
Drahtlosnetzwerks zur Identifikation ein. Das hilft Ihnen Ihr drahtlos Netzwerk von anderen in
der nähe befindlichen Funknetzen zu unterscheiden. Der WLAN Client muss zur Kommunikation
mit dem Router auf dieselbe SSID wie der Router konfiguriert werden. Beim DrayTek Router
ist diese SSID „default“.
Unter „Kanal“ stellen Sie den Kanal ein, auf dem der DrayTek Router betrieben werden soll. Da
das 2.4GHz Band nicht nur für WLAN reserviert ist kann es einen Vorteil bringen bei schlechter
Sende/Empfangsleistung den Kanal zu wechseln um so eventuelle Störungen des WLANs durch
z.B. DECT Mobiltelefone zu vermeiden. Der WLAN Client muss zur Kommunikation mit dem
Router auf demselben Kanal wie der Router konfiguriert werden. Sollten Sie mehrere DrayTek
WLAN Router in Reichweite haben stellen Sie sicher, dass diese im Normalbetrieb mit
mindestens 3 Kanälen Unterschied voneinander konfiguriert sind (z.B. Router 1 = Kanal 1 &
Router 2 = Kanal 4).
"SSID verbergen" ermöglicht es Ihnen, die Funknetzkennung (SSID) zu „verstecken“. Der
Router sendet diese SSID nicht aus. Dieses ist ein kleiner Schutz, und erschwert Anderen das
Auffinden Ihres Funknetzwerks.
Verwenden Sie die Option "Long Preamble" bitte nur, falls Sie einen Rechner mit einer älteren
802.11b Funkkarte benutzen und Verbindungsprobleme auftauchen.
- Seite 38 von 172 -
17.
WLAN Zugriffskontrolle
In diesem Menü können Sie zur zusätzlichen Sicherheit MAC (Hardware Geräteadressen)
Adressen von den WLAN Clients hinzufügen, denen der Zugriff auf den DrayTek Vigor Router
erlaubt werden soll.
Setzen Sie dazu einfach das Häkchen bei „aktiv“. Es können dann nur die Rechner, deren MACAdressen in der Liste aufgeführt sind, den Router erreichen. Anschließend können Sie
Änderungen an der Liste vornehmen (Hinzufügen, Entfernen etc.). Wollen Sie einen Eintrag
ändern, wählen Sie ihn mit einem Mausklick aus. Dann erscheint der Eintrag wieder in den
Feldern unter "MAC-Adresse" und kann mit "Ändern" und "Entfernen" bearbeitet werden.
- Seite 39 von 172 -
18.
WLAN WEP/WPA Verschlüsselung
Sicherheit geht vor und deshalb können Sie hier die Verschlüsselung für Ihr drahtloses
Netzwerk konfigurieren.
Standardmäßig ist die Verschlüsselung ausgeschaltet, Sie sollten diese aber schnellstmöglich
aktivieren.
Mit dieser Funktion verschlüsseln Sie Ihr drahtloses Netz und stellen sicher, dass nur
berechtigte Clients/Rechner drahtlos auf Ihr Netzwerk bzw. das Internet zugreifen können. Der
DrayTek Vigor unterstützt die Methoden WPA (Wi-Fi Protected Access), WPA 2 und WEP
(Wired-Equivalent-Privacy).
Im Menü „Verschlüsselung“ wählen Sie bitte zuallererst die für Ihr Funknetz zu verwendende
Verschlüsselung aus.
Zwischen folgenden Arten der Verschlüsselung können Sie hierbei wählen:
inaktiv: Keine Verschlüsselung wird verwendet.
WEP: Es wird WEP verwendet. Konfigurieren Sie weiter unten noch den Schlüssel
(Key/Passwort) für Ihr Funknetz.
WEP mit 802.1x: Es wird WEP verwendet. Der Schlüssel wird über einen Radius-Server
dynamisch erzeugt.
WEP oder WPA/PSK: Sowohl WEP als auch WPA werden verwendet. Konfigurieren Sie weiter
unten noch den/die Schlüssel (Key/Passwort) für Ihr Funknetz.
WEP oder WPA mit 802.1x: Sowohl WEP als auch WPA werden verwendet. Die Schlüssel
werden über einen Radius-Server dynamisch erzeugt.
WPA/PSK: Es wird WPA verwendet. Konfigurieren Sie den Pre-Shared Key (WPA-Schlüssel)
weiter unten.
WPA mit 802.1x: Es wird WPA verwendet. Der Schlüssel wird über einen Radius-Server
dynamisch erzeugt.
Wählen Sie eine Verschlüsselungsmethode mit der Einstellung "mit 802.1x", ist es erforderlich,
die Konfiguration für den Radius-Server zu definieren. Wählen Sie dazu im Hauptmenü unter
"Erweiterte Einstellungen" den Punkt "RADIUS".
Gehen wir nun genauer auf die einzelnen Verschlüsselungsmethoden ein:
- Seite 40 von 172 -
WEP Verschlüsselung:
Der DrayTek Vigor Router unterstützt 64 und 128Bit WEP Verschlüsselung. Hierbei kann
ausgewählt werden ob der Schlüssel (Key) als ASCII Text (reiner Text) oder hexadezimal
eingetragen wird. 64 Bit ist die niedrigste, 128 Bit die höchste Verschlüsselung.
Sie sollten sich also für 128Bit Verschlüsselung entscheiden. In diesem Menü haben Sie die
Möglichkeit bis zu vier Schlüssel (Keys) zu konfigurieren. Dabei können Sie im Webinterface
markieren, welcher dieser 4 Schlüssel gerade aktiv sein soll.
Sollten Sie sich für die ASCII Eingabe entscheiden beachten Sie bitte die exakte Länge des
Schlüsselworts:
64Bit ASCII = 5 Zeichen z.B. ABCDE
128Bit ASCII = 13 Zeichen z.B. ABCDE12345678
Bei der hexadezimalen Eingabe sieht es dann folgendermaßen aus:
64Bit HEX = 0x0102030405
128Bit HEX = 0x01020304050607080901020304
Gültig für die HEX Eingabe sind „0-9“ und „A-F“. Bestätigen Sie abschließend Ihre
Einstellungen mit "OK".
- Seite 41 von 172 -
WPA Verschlüsselung:
WPA Verschlüsselung bietet gegenüber der WEP Verschlüsselung noch mehr Sicherheit. Tragen
Sie unter "WPA-Verschlüsselung" Ihren Schlüssel (Pre-Shared Key-PSK) ein. Sie haben die
Möglichkeit, den Code als ASCII Zeichenfolge (8 bis 63 Zeichen) oder als Hexadezimalzahl (16
bis 126 Zeichen) einzutragen. Gültige Hexadezimalziffern sind die Zahlen 0 bis 9 und die
Buchstaben a bis f.
Bestätigen Sie Ihre Einstellungen wie immer mit "OK".
Hinweis.
Durch die Verschlüsselung kann es zu einer reduzierten Leistung in der Funkübertragung der
Daten kommen, da sowohl Router als auch Rechner alle Datenpakete „encoden“ bzw.
dekodieren müssen.
Weiterhin beachten Sie bitte, dass sowohl der Router, als auch die Clients natürlich auf die
selbe SSID, den selben Kanal und den selben Schlüssel konfiguriert sind. Nur dann steht Ihrer
drahtlosen Kommunikation nichts mehr im Wege.
Nicht alle Funknetzkarten unterstützen alle Methoden der Verschlüsselung. Bitte informieren
Sie sich jeweils in der zugehörigen Dokumentation, welche Verschlüsselungsmethoden vom
Hersteller Ihrer Funknetzkarte unterstützt werden.
- Seite 42 von 172 -
19.
VPNoW – VPN over WLAN
Der DrayTek Vigor Router bietet neben der Möglichkeit den drahtlosen Datenverkehr zwischen
Client und Router mit WEP oder WPA zu verschlüsseln weiterhin die Möglichkeit diese
Verbindung noch über ein VPN (Virtual Private Network) aufzubauen.
Folgendes Beispiel zeigt die Konfiguration des Vigor Routers für einen drahtlosen Zugriff über
einen MPPE verschlüsselten Tunnel.
Profil konfigurieren:
Wir konfigurieren zuerst einmal ein Profil für die Einwahl eines externen Nutzers. Dazu gehen
wir über das Hauptmenü in den Menüpunkt Erweiterte Einstellungen -> VPN und externe
Einwahl und wählen dort den Menüpunkt „Externe Benutzer (Teleworker)“ aus.
Dort wählen wir ein freies Benutzerprofil aus, das wir nun folgendermaßen konfigurieren:
Zuerst aktivieren wir dieses Benutzerkonto durch Setzen des Häkchens. Weiterhin setzen Sie
bitte die max. Leerlaufzeit auf „0“, da sonst die Funkverbindung nach der dort voreingestellten
Zeit abgebrochen werden würde.
Um eine Verbindung über PPTP zuzulassen, aktivieren Sie bei „Einwahl erlauben/zulassen über“
nur die PPTP Funktion. Weiterhin vergeben Sie bitte einen Benutzernamen und ein Passwort für
die Verbindung. In unserem Beispiel ist das „drahtlos1“ und „test“. Achten Sie bitte hier auf
Groß- und Kleinschreibung. Nun bestätigen Sie das Ganze mit klicken auf „OK“.
Der nächste Schritt führt uns in das Menü „VPN und externe Einwahl“ und dort auf
„Einwahlmöglichkeiten“. Hier überprüfen Sie bitte ob auch alle Protokolle bzw. das für unser
Beispiel verwendete PPTP aktiviert ist.
Bitte bestätigen und übernehmen Sie die Einstellung wie immer durch klicken auf „OK“.
- Seite 43 von 172 -
WLAN Konfigurieren:
Stellen Sie sicher, dass das Funknetzwerk generell aktiviert ist. (Wireless Lan ->
Basiskonfiguration) Wechseln Sie nun in das Menü Funknetz -> Zugriffskontrolle.
Hier setzen Sie nun bitte ein Häkchen bei „aktiv“. Damit wird der Router nur noch Clients
akzeptieren, deren MAC Adresse (Hardwareadresse) in der untenstehenden Liste hinterlegt ist.
Damit sich ein Client per VPN mit dem Router drahtlos verbinden kann, muss ein Häkchen bei
„VPN über WLAN erforderlich“ gesetzt werden. Tragen Sie nun die MAC Adresse des Client
Rechners ein, setzen das Häkchen und klicken dann auf „Hinzufügen“. Genauso können hier
natürlich die schon vorhandenen Einträge geändert oder gelöscht werden.
- Seite 44 von 172 -
Nachdem Sie die MAC Adresse des Clients hinzugefügt haben, tragen Sie bitte noch die IP
Adresse des Routers als VPN Server ein. In unserem Beispiel ist das die Standard IP Adresse
des Vigor Routers „192.168.1.1“.
Nachdem wir die Konfiguration mit „OK“ bestätigt haben ist der Vigor Router nun für den
drahtlosen Zugriff über VPN vorbereitet.
Verwenden Sie nun einen VPN Client bzw. Windows, um über VPN und drahtlos auf den Vigor
Router zuzugreifen. Als zu verbindende IP Adresse geben Sie die IP des DrayTek Routers an
(192.168.1.1), und als Benutzer und Passwort verwenden Sie „drahtlos1“ und „test“ wie beim
externen Nutzer konfiguriert.
Die MPPE Verschlüsselung wird vom Vigor bei der Einwahl ausgehandelt, falls dieses möglich
ist. Sie können die erfolgreiche Einwahl jederzeit im VPN Status Menü des Webkonfigurators
überprüfen.
- Seite 45 von 172 -
20.
WLAN - Liste der Clients
In diesem Menüpunkt erhalten Sie eine Übersicht über die mit dem DrayTek Vigor Router
verbundenen bzw. sich in der nähe befindlichen drahtlosen Clients/Rechner.
MAC-Adresse zeigt Ihnen in diesem Falle die Hardwareadresse (MAC-Adresse) des drahtlosen
Clients an.
Unter Status signalisiert Ihnen der DrayTek Router die Art der Verbindung des Clients mit dem
Router. Dabei steht vor jeder MAC Adresse ein Buchstabe.
- Seite 46 von 172 -
Diese Buchstaben bedeuten im Einzelnen:
C: Verbunden ohne Verschlüsselung
E: Verbunden mit WEP-Verschlüsselung
P: Verbunden mit WPA-Verschlüsselung
A: Verbunden mit WPA2-Verschlüsselung
B: Client abgewiesen - MAC ohne Zugangsberechtigung
N: Versuch eines Verbindungsaufbaus
F: Authentifizierung mit 802.1x/WPA fehlgeschlagen
Weiterhin können Sie in diesem Menü auf einfache Art und Weise Clienten in die Liste der
erlaubten MAC Adressen für die Zugriffskontrolle übernommen werden.
- Seite 47 von 172 -
21.
WLAN - Liste der Access Points
Die Liste der Access Points ermöglicht Ihnen sich einen genauen Überblick über die in der Nähe
befindlichen WLAN Access Points zu verschaffen.
Klicken Sie auf den „Suchen“ Button und der Router startet einen Suchvorgang. Während
dieses Vorgangs sollte kein Client mit dem Router über WLAN verbunden sein.
Nach ca. fünf Sekunden werden Ihnen die vom DrayTek Vigor identifizierten Access Points in
einer Liste mit zusätzlichen Informationen wie z.B. dem verwendeten Kanal und der SSID
angezeigt. So sehen Sie genau welche Stationen sich in Ihrer Nähe befinden und welcher Kanal
verwendet wird.
Weiterhin können Sie auf den „Statistik“ Button klicken, um sich vom Router für die
Verwendung empfohlene Kanäle anzeigen zu lassen.
Im unteren Teil dieses Menüs können Sie nun auch einfach einzelne Access Points mit Ihrer
MAC Adresse zu einem WDS (Wireless Distributed System) hinzufügen.
Wählen Sie dazu einfach einen Access Point aus und klicken auf den „Hinzufügen“ Button.
- Seite 48 von 172 -
22.
WLAN – WDS
WDS (Wireless Distributed System) dient dazu, die Reichweite Ihres Funknetzwerks zu
erweitern und zwar ohne, dass die diversen Access Points/Router per Kabel miteinander
verbunden sein müssen (Repeater Funktion).
Alternativ können Sie auch zwei verschiedene Netzwerke (unterschiedliche IP-Adressbereiche)
miteinander Verbinden (Bridge Funktion).
- Seite 49 von 172 -
Im folgenden Menü des DrayTek Vigor Routers können Sie die WDS Funktion konfigurieren:
Als Beispiel wird die Konfiguration im Bridge Mode erklärt.
Achten Sie zuerst darauf, dass sich beide Router/Access Points im selben IP-Adressbereich
befinden. (Beispiel: Router LAN1 = 192.168.1.1 / Router LAN2 = 192.168.1.2)
Weiterhin müssen beide Router in der WLAN Konfiguration auf den gleichen Kanal konfiguriert
werden.
Stellen Sie nun den WDS Modus in beiden Geräten auf „Bridge“.
Sie haben nun die Möglichkeit, die WDS Verbindung zwischen den Routern optional zu
verschlüsseln. Da es bisher keinen einheitlichen Standard für WDS gibt kann es sein, dass TKIP
Verschlüsselung im Zusammenhang mit Access Points anderer Hersteller nicht funktioniert.
Wählen Sie in diesem Fall die WEP Verschlüsselung aus.
- Seite 50 von 172 -
Sollten Sie in den „normalen“ WLAN Einstellungen des Routers WEP Verschlüsselung
verwenden, nutzen Sie diese auch für das WDS. Verwenden Sie WPA/Pre-Shared Key wählen
Sie diesen bitte auch für Ihr WDS. Anderenfalls erhalten Sie die folgende Fehlermeldung:
Hier nun eine Übersicht über die für WDS zur Verfügung stehenden Sicherheitsmodi:
Aktivieren Sie die Funktion „den selben WEP-Schlüssel verwenden wie in den Einstellungen
Verschlüsselung“, verwendet der Router den selben Schlüssel für das WDS. Anderenfalls
können Sie für das WDS einen „eigenen“ Schlüssel konfigurieren.
Achtung: Beachten Sie, dass für die WDS Verbindung in allen Routern/Access Points identische
Schlüssel konfiguriert sein müssen.
Nun aktivieren Sie im rechten Teil des Menüs bitte die zum WDS gehörenden Access Points
bzw. Router und tragen dort die WLAN MAC (Hardware) Adressen der Geräte ein.
Achten Sie darauf, dass Sie nicht die LAN MAC Adressen verwenden, sondern die des WLAN
Interfaces des Routers. Beim DrayTek Vigor finden Sie diese im Wireless LAN Menü.
- Seite 51 von 172 -
Nun aktivieren oder deaktivieren Sie bitte die Access Point Funktion für dieses Gerät. Schalten
Sie diese auf „inaktiv“ wird das WLAN Interface des DrayTek Vigor Routers ausschließlich für
das WDS verwendet, und kein Client kann sich über Wireless Lan mit dem Router verbinden.
Richten Sie das WDS ausschließlich mit DrayTek Vigor Routern ein, können Sie noch die
„Sende Hallo“ Funktion aktivieren und haben die Möglichkeit sich über den Button
„Verbindungs-Status“ weitere Infos zur Konnektivität anzeigen zu lassen.
Repeater Funktion:
Um Die Reichweite eines WDS zu vergrößern, können Sie einen dritten Vigor als Repeater
konfigurieren.
Gehen wir davon aus, dass Sie bereits zwei Draytek Router als Bridge WDS (wie oben
beschrieben) konfiguriert haben...
Geben Sie dem dritten Router (dem Repeater) nun auch eine IP Adresse aus dem IPAdressbereich der beiden anderen Geräte. (Beispiel: Router3/Repeater = 192.168.1.3)
Weiterhin muss auch dieser Router auf den selben WLAN Kanal wie die beiden anderen Router
Konfiguriert sein. Schalten Sie nun bei diesem Gerät (Router 3) den WDS Mode auf „Repeater“
- Seite 52 von 172 -
und konfigurieren auch hier die WLAN Schlüssel (identisch mit denen von Router 1 und 2).
Nun konfigurieren Sie in Router 3 bei „Bridge“ noch die WLAN MAC-Adressen von Router 1 und
2, und in Router 1 und 2 bei „Repeater“ die WLAN MAC-Adresse von Router 3. Damit ist das
Setup abgeschlossen.
- Seite 53 von 172 -
23.
Grundeinstellungen ISDN
In diesem Menü legen Sie die Grundeinstellungen für ISDN fest. Dieser Teil des
Webkonfigurators erscheint nur bei Modellen mit ISDN Interface.
Zu allererst können Sie die ISDN Schnittstelle des DrayTek Vigor Routers hier aktivieren bzw.
deaktivieren. Ab Werk ist diese per Voreinstellung aktiv.
Bei der Länderkennung wählen Sie bitte das Land aus in dem Sie den DrayTek Vigor am ISDN
Betreiben wollen. In unserem Falle wäre das „Germany“.
Die "Eigene Nummer" dient der Übermittlung Ihrer MSN an die Gegenstelle. Tragen Sie bitte
die Nummer ein, die im Display der Gegenstelle erscheinen soll. Beachten Sie, dass dieses
MSN Nummer nicht immer zwangsläufig übermittelt wird. Die Übermittlung kann z.B. auch von
Ihrer Telefonanlage oder der Telekom unterbunden werden.
ISDN-Mehrfachrufnummern (MSN)
Hier können Sie die Rufannahme des DrayTek Vigor auf bis zu drei Rufnummern einschränken.
Unter diesen Rufnummern ist der DrayTek Router von außen (für die Einwahl in das lokale
Netzwerk) erreichbar. Geben Sie hier keine spezifischen Nummern an, nimmt der Router
unabhängig von der Rufnummer alle Anrufe entgegen.
Als Rufnummer ist entweder eine MSN oder die interne Rufnummer der Telefonanlage
einzutragen.
- Seite 54 von 172 -
Beachten Sie bitte, dass der Draytek Vigor nur mit Euro-ISDN (DSS1) und nicht mit dem
teilweise noch älteren 1TR6 funktioniert. Weiterhin kann der Vigor nicht an einem
Anlagenanschluss betrieben werden.
Mit einem ISDN Mehrgeräteanschluss erhält man vom Netzbetreiber (Telekom, Arcor etc..)
eine oder mehrere MSN Nummern - in Deutschland 3 Stück (optional bis zu 10). Diese werden
im Normalfall zum Telefonieren verwendet (1 MSN=Telefon, 1 MSN=Faxgerät, 1 MSN=Frau
oder Kind). Soll der DrayTek Router nun von außen erreichbar sein, trägt man eine MSN (meist
5- oder mehrstellig) in eines der 3 freien Felder ein.
Beispiel: Telefonnummer 030/78000940, MSN: 78000940, 78000944 und 78000945. Es wird
78000945 in das Feld "1." eingetragen, da 78000940 für Telefon und 78000944 für Fax bereits
in Gebrauch sind. Der Vigor ist damit für die Einwahl unter der Rufnummer 030/78000945
erreichbar.
Hinweis: Bei einem internen ISDN-Anschluss einer kleineren Telefonanlage, die ihrerseits an
einem Mehrgeräteanschluss betrieben wird, funktioniert diese Konfiguration unter Umständen
nicht. Das kann daran liegen, dass ein ISDN Mehrgeräteanschluss nicht „wirklich“
durchwahlfähig ist.
Versuchen Sie dann einfach mal, als Rufnummer die hausinterne Durchwahl im Feld
Rufnummer einzutragen. Führt dies auch nicht zum Erfolg, so ist es besser, den DrayTek
Router direkt mit dem S0-Bus der Telekom (NTBA) zu verbinden und wie oben schon
beschrieben mit einer MSN zu konfigurieren.
Bei einer Durchwahl einer Telefonanlage am sogenannten Anlagenanschluss (= aktiv
durchgeschliffener S0-Bus) ist darauf zu achten, dass die Durchwahl nicht von einem anderen
Anschluss verwendet wird.
Beispiel: Telefonnummer 030/7800094-0, Durchwahlen sind zweistellig von 10-99. Es wird 90
in das Feld "1." eingetragen und der DrayTek Router ist damit unter der Rufnummer
090/7800094-90 erreichbar.
Wichtig: Der interne ISDN-Anschluss der Telefonanlage muss nach der Euro-Norm (DSS1)
beschaltet sein. Der 1TR6 Standard, der vereinzelt noch bei größeren Telefonanlagen
hausintern vorkommt, wird vom DrayTek Vigor nicht unterstützt. Kontaktieren Sie bitte in
diesem Falle Ihre Telekommunikationsgesellschaft und fragen, wie man den Anschluss auf
Euro ISDN umstellen lassen kann. Diese Umstellung stellt in der Regel keinen größeren
Aufwand dar. 1TR6 wird seit vielen Jahren auch nicht mehr von der Telekom verwendet, so
dass dieses nur in ein Paar ausgewählten Fällen nötig sein sollte.
- Seite 55 von 172 -
24.
Verbindungseinstellungen PPP/MP
Die DrayTek Vigor Router, die über ein ISDN Interface verfügen, können eine ISDN
Internetverbindung mit einem ISDN B-Kanal (64k), mit 2 ISDN B-Kanälen (128k) oder mit
BOD (Bandwidth on Demand) aufbauen. Bei der Verwendung von BOD entscheidet der
DrayTek Router anhand der aktuellen Übertragungsrate ob der zweite Kanal dazugeschaltet
bzw. abgeschaltet werden soll oder nicht.
Hinweis: Die Benutzung von beiden ISDN B-Kanälen bringt Ihnen zwar Geschwindigkeit bei der
Übertragung Ihrer Daten, verursacht aber auch zusätzliche Kosten.
Sie können für die BOD Funktion in diesem Menü einige Einstellungen vornehmen auf die wir
jetzt etwas genauer eingehen.
Die Wahlwiederholungen bzw. das Wahlwiederholungsintervall geben an wie oft bzw. in
welchen Abständen der Vigor Router versuchen soll die Verbindung aufzubauen, sollte die
angewählte Rufnummer z.B. besetzt sein.
Weiterhin unterstützt der DrayTek Router die Fernaktivierung (Einwahl in das Internet) bei
einem Anruf von einer bestimmten Telefonnummer. Diese Funktion beschreiben wir in einem
anderen Kapitel des Handbuchs.
Unter „Grundeinstellungen" sehen Sie noch einmal die Einstellungen zur Internetverbindung
über ISDN, die Sie bereits bei der Konfiguration des Internetzugangs über ISDN vorgenommen
haben. Wenn Sie diese hier ändern, werden also auch Ihre Einstellungen für Ihre ISDNInternetverbindung geändert. Im Bild ist die Internetverbindung auf BOD (Bandwidth on
Demand) konfiguriert.
Unter „Automatische Bandbreitenvergabe" können die Übertragungsraten für die Aktivierung
bzw. Deaktivierung des zweiten ISDN-Kanals eingestellt werden. Die Einstellungen werden nur
aktiv, wenn „Dynamisch (BOD)" eingestellt ist und der DrayTek Vigor Router eine ISDN
- Seite 56 von 172 -
Wählverbindung nutzt.
Die im Beispiel eingestellten Werte bewirken, dass bei der Überschreitung einer
Übertragungsrate von 7000cps (characters per second, entspricht ungefähr 7k pro Sekunde)
für mehr als 30 Sekunden automatisch der 2. ISDN B-Kanal aktiviert wird. Fällt die
Übertragungsrate für mehr als 30 Sekunden unter 6000 cps, so wird der 2. B-Kanal
automatisch abgebaut.
Bestätigen und übernehmen Sie Ihre Einstellungen mit "OK".
- Seite 57 von 172 -
25.
ISDN – Fernaktivierung
Ein weiteres Feature des DrayTek Vigor Routers ist die Fernaktivierung der Interneteinwahl
über ein Telefon bzw. Mobiltelefon. Diese Funktion funktioniert natürlich nur, wenn der Anrufer
seine Rufnummer an de Vigor Router übermittelt (CLIP) und wenn der DrayTek Vigor über ein
ISDN Interface verfügt.
Nehmen wir an, Sie haben keine DSL Flatrate möchten aber hier und da mal auf Ihr Netzwerk
zu Hause über das Internet zugreifen... Sie haben nun die Möglichkeit dem Router eine
Telefonnummer bzw. einen Teil einer Nummer zu hinterlegen. Wenn Sie dann von dieser
Nummer aus beim Vigor anrufen, baut dieser z.B. Ihre DSL Verbindung auf.
Konfigurieren Sie sich zuallererst einen DynDNS Account. Dieses Thema wird in einem anderen
Kapitel behandelt.
Achten Sie bitte darauf, dass die Einwahlmöglichkeit für ISDN aktiviert ist. Wenn nicht
aktivieren Sie die ISDN Einwahl bitte unter „VPN und externe Einwahl". Klicken Sie dort auf
"Einwahlmöglichkeiten".
Bestätigen Sie wie immer mit „OK“ und öffnen Sie dann über das Hauptmenü den Eintrag
„Verbindungseinstellungen PPP/MP".
- Seite 58 von 172 -
Tragen Sie in dieses Feld bitte die Telefonnummer bzw. die Endung der Telefonnummer ein,
bei deren Anruf der Vigor die Internetverbindung aufbauen soll.
Beispiel: Sie wollen, dass der Router die Internetverbindung aufbaut, sobald Sie von Ihrem
Handy anrufen. Ihre Handynummer ist: 0179/1234567. Tragen Sie dann in das Feld z.B.
„34567“ ein. Der Vigor überprüft die Telefonnummer des Anrufers von rechts nach links. Nur
bei Übereinstimmung mit der hier eingegebenen Nummer wird die Einwahl ins Internet
erfolgen.
- Seite 59 von 172 -
26.
ISDN – Vorwahlen und Rufnummern sperren
Im Vigor können zur Sicherheit bestimmte Vorwahlen oder ganze Telefonnummern für die
Anwahl per ISDN gesperrt werden. Dieses bietet Ihnen die Möglichkeit z.B. 0190 oder 0900
Nummern (die meistens mit kostspieligen Mehrwertdiensten verbunden sind) im Router zu
sperren.
Der Vigor schaut also immer nur auf den Beginn der Telefonnummer. Wenn Sie nur eine ganz
bestimmte Rufnummer sperren wollen, geben Sie einfach die komplette Telefonnummer ein.
Bestätigt wird das Ganze wie immer mit „OK“.
- Seite 60 von 172 -
27.
ISDN – Externe Einwahl (RAS)
Eine externe Einwahl über ISDN (RAS) ist eigentlich ganz einfach zu konfigurieren, die
folgenden Schritte zeigen Ihnen wie man eine Einwahlmöglichkeit von außen auf den Router
ermöglicht.
Gehen Sie erst mal auf das Hauptmenü des Webkonfigurators in das „ISDN“ Setup. Dort
tragen Sie bitte bei den MSN’s eine Telefonnummer ein, unter der der Router überhaupt
erreichbar sein soll. Wenn Ihre Telefonnummer z.B. 030/78000943 ist. Tragen Sie bitte dort
78000943 ein.
Bestätigen Sie mit klicken auf „OK“ und wechseln dann wieder in das Hauptmenü VPN und
externe Einwahl -> Einwahlmöglichkeiten.
- Seite 61 von 172 -
Stellen Sie hier bitte sicher, dass die Einwahl über ISDN aktiv ist. Nun wechseln wir wieder in
das Menü VPN und externe Einwahl und dort auf die „PPP Einstellungen“.
- Seite 62 von 172 -
Auf der linken Seite des Menüs lassen Sie bitte alles so wie es ist und tragen bitte nur rechts
bei -> „IP Adressenzuweisung für einwählenden Benutzer“ die IP Adresse ein, die der Benutzer
der sich von außerhalb einwählt, in Ihrem lokalen Netzwerk zugeteilt bekommen soll. Gesetzt
den Fall Sie haben ein 192.168.10.X Netzwerk nehmen sie einfach eine in diesem Netzbereich
noch „freie“ bzw. nicht vergebene IP Adresse . (Beispiel: 192.168.10.200)
Bei der PPP Authentifizierung werden sowohl PAP als auch CHAP vom Router akzeptiert.
Sollten Sie gegenseitige Authentifizierung als zusätzliches Sicherheitsfeature benutzen wollen
aktivieren Sie dieses bitte und tragen noch einen Benutzernamen und ein Passwort für die
doppelte Authentifizierung ein.
Bestätigen Sie das Ganze mit „OK“ und gehen zurück ins Hauptmenü.
Klicken Sie im Menü "VPN und externe Einwahl" auf "Externe Benutzer (Teleworker)" um
Benutzerkennungen und Passwörter für externe Benutzer festzulegen.
- Seite 63 von 172 -
Insgesamt können bis zu 20 Profile für verschiedene Nutzer im DrayTek Router konfiguriert
werden. Wählen Sie also eines der freien Konten aus um mit der Konfiguration fortzufahren.
- Seite 64 von 172 -
Dort aktivieren Sie bitte erst einmal das Benutzerkonto, vergeben einen Benutzernamen und
Passwort für den einwählenden Benutzer. Beachten Sie bitte hierbei möglichst keine
Sonderzeichen zu verwenden, sondern nur normale Zahlen & Buchstaben zu verwenden.
Bei „Max. Leerlaufzeit“ können sie die Zeit in Sekunden angeben, nach der der Router die
Verbindung trennt wenn kein Datenaustausch mehr über diese Verbindung läuft.
Nun können Sie noch die Caller ID Überprüfung bei „Fernzugriff definieren“ aktivieren. Dieses
ist ein zusätzliches Sicherheitsfeature. Wenn Sie die Telefonnummer des Anrufers kennen bzw.
nur jemandem von einer bestimmten Nummer aus die Einwahl gestattet werden soll, tragen
sie dort noch die dementsprechende MSN ein.
Auf der rechten Seite können wir nun nach die Rückruffunktion aktivieren. Sollten sie unter
Umständen wollen, dass der Router den Einwählenden Benutzer zurückruft, aktivieren Sie bitte
diese Funktion und tragen dort die Telefonnummer für den Rückruf ein. (Vorwahl+Nummer)
Das Aktivieren des Rückrufzeitkontos bewirkt, dass der Router nach einer Bestimmten Zeit die
man dort angeben kann, die Rückrufverbindung wieder trennt.
Beachten Sie, dass die Rückruffunktion von der Software des sich einwählenden Benutzers
unterstützt werden muss.
Nun wieder mit „OK“ bestätigen und das war’s mit der Konfiguration des Routers.
- Seite 65 von 172 -
Der einwählende Benutzer muss nun auf dem Remote Rechner von dem die Einwahl erfolgen
soll mit Hilfe des MS Internet Setup Assistenten eine ganz normale Internet Verbindung
konfigurieren.
Dort wählt er als zu benutzendes Protokoll PPP aus, als Telefonnummer gibt er die Nummer an
die wir im ISDN Setup des Routers angegeben haben (030/78000943) und als Benutzernamen
und Passwort trägt er die Daten ein, die wir im Router für dieses Profil eingetragen haben.
Wenn sich der externe User nun einwählt, bekommt er sozusagen über die ISDN Leitung eine
IP im lokalen Netz des Routers zugewiesen und kann, wenn dementsprechende Freigaben
gemacht wurden, Daten austauschen, den Router Konfigurieren, oder andere Services nutzen.
Er kann, wenn er die IP Adresse des Rechners mit dem er Daten austauschen möchte kennt,
dann bei sich auf dem Rechner auf „Computer suchen“ gehen, gibt dort die IP Adresse des zu
suchenden Rechners ein und kann auf die freigegebenen Verzeichnisse zugreifen.
Die RAS Konfiguration ist damit abgeschlossen. Diese Funktion wurde von uns oft getestet und
funktioniert einwandfrei, sollten Sie Probleme haben liegt das wahrscheinlich an nicht
vorhandenen oder falschen Freigaben oder es ist ein Problem des lokalen Netzwerkes.
- Seite 66 von 172 -
28.
NAT – Network Adress Translation
NAT steht für Network Address Translation. Im Normalfall bekommen Sie von Ihrem ISP eine
„public“ (WAN) IP Adresse zugewiesen, sobald Sie sich mit dem Internet verbinden. Über diese
IP sind Sie dann normalerweise über das Internet zu erreichen. Lokale Rechner benutzen
allerdings „private“ Netzwerk IP Adressen. Der Router übersetzt nun „private“ IP Adressen auf
die IP Adresse, die Sie von Ihrem Provider bekommen haben. Dieses wird z.B. benötigt wenn
Sie auf einem oder mehreren Rechnern Ihres lokalen Netzwerkes FTP Server laufen lassen, die
dann auch dementsprechend über Ihre momentane „public“ IP Adresse erreichbar sein sollen.
Also man kann sagen, dass NAT den Router eigentlich erst zum Router macht. Man kann
aufgrund von NAT mehrere Rechner mit nur einer IP-Adresse im Internet surfen lassen.
Weiterhin bietet die NAT Funktion Sicherheit gegenüber Angriffen von außen (NAT-Firewall).
Die Adresse der internen Rechner in Ihrem lokalen Netzwerk ist dem externen Rechner nie
bekannt. Einzig der DrayTek Vigor kennt die Adresse(n) des/der internen Rechner(s).
Um ausgewählte Rechner oder Dienste im lokalen Netz aus dem Internet erreichbar zu
machen, ist es möglich, Ports zu öffnen: Eine Anfrage an den Router auf einem solchen Port
wird dann in das lokale Netzwerk des Routers an den zugehörigen Rechner weitergeleitet.
Internet Hosts können so über Ihre WAN IP Adresse auf bestimmte Services innerhalb Ihres
Netzwerks (FTP,WWW etc..) zugreifen.
Beim DrayTek Vigor Router kann man dazu Portumleitungen für einzelne Ports, Portöffnungen
für ganze Portbereiche (offene Ports) oder sogar einen DMZ Host (alle Ports) konfigurieren.
Dabei folgt der DrayTek Vigor folgenden Prioritäten:
1. Ist für einen Port eine Portumleitung aktiv, geht das Paket an den hier angegebenen
Rechner.
2. Liegt der Port in einem geöffneten Portbereich, und ist keine Portumleitung aktiv, geht er zu
dem hier eingetragenen Rechner.
3. Ist der Port unter 1. und 2. nicht angegeben, landen die Daten beim DMZ-Host.
- Seite 67 von 172 -
29.
NAT – Portumleitung
Freigeben von Internen Servern für den Zugriff über das Internet:
Der Portumleitung kann benutzt werden um interne Server für den Zugriff über das Internet
freizugeben, oder um eine bestimmte Portnummer auf einen Port des internen Netzwerks
„durchzuschleifen“. Internet Hosts können so über Ihre WAN IP Adresse auf bestimmte
Services innerhalb Ihres Netzwerks (FTP,WWW etc..) zugreifen.
Das folgende Beispiel zeigt, wie ein interner/lokaler FTP Server über den Port Redirection Table
für den Internetzugriff „geöffnet“ wird. Gehen wir mal davon aus, der interne FTP Server läuft
auf einem Rechner ihres lokalen Netzwerks, mit der IP 192.168.1.10 .
Wie oben zu erkennen ist bietet der Port Redirection Table die Möglichkeit 10 Port-Mapping
Einträge für interne Hosts zu machen.
Bezeichnung:
Hier Tragen Sie den Namen des Services ein.
Protokoll:
Gibt an, welches Protokoll genutzt werden soll. (TCP oder UDP)
Öffentlicher Port:
Gibt an, über welchen „öffentl.“ Port der Service erreichbar sein
soll.
- Seite 68 von 172 -
Private IP:
Ist die lokale IP Adresse des Rechners auf dem der Service läuft.
Privater Port:
Gibt an, welchen Port der Service lokal benutzt.
Aktiv:
Hier aktivieren Sie den Port Mapping Eintrag.
Ein anderes Anwendungsbeispiel wäre z.B. Sie möchten einen Web (HTTP)-Server, der auf
einem Ihrer lokalen Rechner läuft, von außen erreichbar machen. Dafür müssen Sie zuallererst
den Konfigurationsport von Ihrem Router ändern. Der Vigor selbst hat ja einen
implementierten HTTP Server (Web Konfigurator) über den die Konfiguration erfolgt. Dieser
benutzt normalerweise den Port 80. Ihr Web-Server benutzt aber auch den Port 80. Gehen sie
im Hauptmenü auf den Punkt „Verwaltung“, dort haben Sie nun die Möglichkeit den
Konfigurationsport für den Vigor zu „verbiegen“. Tragen Sie dort einfach beim
benutzerdefinierten http Port die 8080 anstatt der 80 ein.
Achtung:
Wenn Sie nun auf den Web Konfigurator Ihres Routers zugreifen wollen müssen Sie im
Browser hinter der IP Adresse des Routers dann natürlich auch die Port Adresse 8080 angeben.
Das sieht dann folgendermaßen aus: http://192.168.1.1:8080
Tragen Sie nun im NAT Setup -> Portumleitung den Service für den Web Server ein.
Bezeichnung: Web Server
Protokoll: TCP
Öffentlicher Port: 80
Private IP: 192.168.1.10 (oder die IP Adresse auf der Ihr HTTP Server im Lan erreichbar ist)
Privater Port: 80
Und aktivieren Sie das Ganze. Nun ist Ihr Web Server über Ihre WAN IP Adresse erreichbar.
Wichtiger Hinweis
Um zu testen, ob Sie nun über das Internet auf Ihren Server zugreifen können, dürfen Sie
keinen Rechner verwenden, der hinter dem Router, bzw. im selben Subnetz wie die anderen
Rechner hängt. Sie würden sonst nicht auf den FTP bzw. Web Server kommen. Benutzen Sie
zum Testen bitte einen Rechner der unabhängig von Ihrem LAN ist, und der über ISDN bzw.
Modem mit dem Internet verbunden ist oder geben Sie einem Freund oder Bekannten einfach
einmal Ihre aktuelle WAN IP Adresse und lassen diesen Testen.
- Seite 69 von 172 -
30.
NAT – Offene Ports (Portbereiche öffnen)
Das NAT Ports Setup ist eigentlich nur ein erweitertes NAT Setup bei dem man im Gegensatz
zur Portumleitung nicht nur einzelne Ports auf bestimmte Rechner durchschleifen kann,
sondern komplette Port Bereiche
Hier besteht nun die Möglichkeit noch einmal 10 verschiedene Einträge zu machen. Klicken Sie
nun bitte auf Index 1 und folgendes Menü erscheint auf dem Bildschirm:
- Seite 70 von 172 -
In diesem Beispiel haben wir einen Eintrag für ein fiktives Spiel gemacht. Gehen wir davon aus
Sie haben ein Spiel was für das Spielen über das Internet folgende Ports benötigt: 1580-1600
TCP/IP und 666-888 UDP, und Sie haben dieses Spiel auf Ihrem Rechner mit der lokalen IP
Adresse 192.168.1.2 installiert.
Ihre Einträge müssten dann wie in dem oberen Bild gezeigt erfolgen.
PC wählen – zeigt eine Liste mit den in LAN verfügbaren Klienten
Abbrechen – bricht die aktuelle Eingabe ab
Löschen – löscht die kompletten Einträge für diesen Index
OK – bestätigt die aktuellen Einträge und aktiviert Sie, wenn Sie das Häkchen oben gesetzt
haben
Der Router weiß nun, dass sämtliche Pakete die über die oben spezifizierten Ports und
Protokolle „fließen“ and den Rechner in Ihrem lokalen Netz mit der IP Adresse 192.168.1.2
weitergeleitet werden sollen.
- Seite 71 von 172 -
31.
NAT – DMZ Host
Das DMZ Host Setting ermöglicht es einem lokalen User Applikationen wie Netzwerk Spiele,
oder Netmeeting etc. zu benutzen. (Also auch Spiele z.B. im Servermodus laufen zu lassen.)
Aktiv:
Private IP:
Hier aktivieren Sie die DMZ Host Funktion
Hier geben Sie die IP Adresse des lokalen Rechners an, auf dem
die Applikation oder das Spiel läuft.
Achtung: Das setzen eines Rechners als DMZ Host bewirkt, dass dieser sozusagen direkt im
Internet steht und nicht mehr von der Firewall des DrayTek Vigor Routers geschützt ist. Damit
ist dieser Rechner auch direkt eventuellen Hackerangriffen ausgesetzt. Sorgen Sie für
zusätzliche Sicherheit wenn Sie einen Rechner als DMZ Host konfigurieren.
- Seite 72 von 172 -
32.
UPnP – Universal Plug and Play
Oftmals ist es nötig die Firewall des DrayTek Vigor Routers für ein Programm zu öffnen.
Normalerweise konfiguriert man als Benutzer dazu einfach eine Portumleitung mit der NAT
Funktion des Routers. Manchmal kennt man aber die für eine Applikation zu öffnenden Ports
und Protokolle nicht. Mit UPnP kann dieser Vorgang automatisiert werden, die Konfiguration
wird dadurch vereinfacht, UPnP birgt aber Sicherheitsrisiken.
UPnP erlaubt es einer Applikation die Öffnung notwendiger Ports selbständig zu veranlassen.
Von einem Client/Rechner im lokalen Netzwerk des DrayTek Vigor Routers kann sich ein UPnPfähiges Programm an den Vigor wenden. Ist dann im Vigor die UPnP Funktion aktiviert, öffnet
der Router ohne weitere Prüfung die angeforderten Ports.
Sie finden dieses Feature im Hauptmenü unter „Erweiterte Einstellungen" bei "Universal Plug
and Play (UPnP)".
Achtung:
Bedenken Sie, dass UPnP leicht missbraucht werden kann. Sollte ein beliebiger Client/Rechner
in Ihrem Netzwerk von einem Virus befallen werden (z.B. Trojaner), kann dieser mit Hilfe von
UPnP relativ schnell und unkompliziert das komplette Netzwerk für einen Angreifer öffnen.
Deshalb ist die UPnP Funktion seitens DrayTek standardmäßig deaktiviert.
- Seite 73 von 172 -
33.
IP Filter / Firewall Einstellungen
Grundsätzlich ist der DrayTek Vigor Router schon einmal sicher, da die NAT Funktion einige
Vorarbeit im Bezug auf die Sicherheit Ihres lokalen Netzwerks leistet.
Generell ermöglicht eine Firewall das Blockieren von ungerechtfertigten Zugriffen, und das
sowohl aus dem Internet in das interne Netzwerk, als auch vom internen Netzwerk in das
Internet.
Die Firewall der DrayTek Vigor Router Serie wurde von diversen Fachzeitschriften (unter
anderem auch der c't) aufs höchste gelobt.
Im DrayTek Vigor Router können Sie bis zu 12 Filter definieren, wobei jeder Filter bis zu sieben
Regeln enthalten kann. Man unterscheidet zwischen „Call Filtern“ und „Data Filtern“.
Call Filter:
Ein "Call Filter" ist nur aktiv, wenn gerade keine Verbindung zum Internet besteht, er prüft, ob
das Paket berechtigt ist eine Anwahl auszulösen. Bei bestehender Verbindung zum Internet
sind Call Filter unwirksam.
Data Filter
Ein "Data Filter" prüft bei bestehender Verbindung zum Internet, ob ein Paket weitergeleitet
werden kann.
Es können Datenpakete eines bestimmten Typs gezielt passieren oder bewusst blockiert
werden.
- Seite 74 von 172 -
Gehen Sie nun zunächst einmal in die Basiskonfiguration. Hier können Sie den ersten AnrufFilter und den ersten Daten-Filter spezifizieren. Bevor der Router eine Internetverbindung
herstellt, werden die Pakete an den ersten Anruf-Filter (Call-Filter) geschickt. Bevor eine
Internetseite im Internet aufgerufen wird oder Daten aus dem Internet heruntergeladen
werden, werden diese zum ersten Daten-Filter geschickt. Sie können von einem Filter auf
einen anderen verweisen, so dass die Erstellung komplexer Verknüpfungen möglich ist.
Öffnen Sie danach „Filter 2", der ab Werk als erster Daten-Filter konfiguriert ist. Voreingestellt
ist hier bereits die Filterregel "xNetBios -> DNS".
- Seite 75 von 172 -
Sie haben hier die Möglichkeit über Filterregeln "2-7" weitere Regeln hinzuzufügen. Die
Filterregeln werden in jedem Filter von oben nach unten durchgearbeitet.
Über "Nächster Filter Satz" können die Pakete anschließend an einen anderen Filter
weitergeleitet werden.
Im oberen Beispiel werden die Datenpakete nach der Prüfung in Filter 2 direkt an den Filter 3
geschickt.
Nun können Sie einen weiteren Filter (Filter 3) zusätzliche Filterregeln definieren.
- Seite 76 von 172 -
Unter "Bezeichnung/Beschreibung" geben Sie dem Filter einen Namen:
Aktivieren Sie die Filterregel 1 mit einem Klick auf "Aktiv" und öffnen Sie das
Konfigurationsmenü, durch klicken auf die Taste "1".
Jetzt können Sie die erste, „eigene“, Filterregel konfigurieren.
- Seite 77 von 172 -
Folgende Filterregel z.B. blockiert, dass der Client mit der lokalen IP-Adresse 192.168.1.10
Webseiten aufrufen kann, die über den Standardport 80 angesprochen werden (das sind fast
alle Webseiten im Internet). Die Regel bewirkt also, dass man auf dem betroffenen Rechner
quasi nicht surfen kann (Services wie FTP, Email etc. Funktionieren natürlich weiterhin.).
Um auch die Einwahl des DrayTek Vigor Routers in das Internet zu verhindern, müsste eine
zusätzliche Regel für den UDP-Port 53, über den der DNS zur Adressauflösung angefragt wird,
als zusätzlicher „Call Filter“ eingerichtet werden.
Hier nun noch weitere Erläuterungen zu den einzelnen Punkten:
sofort Durchlassen
Ist die Regel erfüllt, darf das Datenpaket passieren.
sofort Blockieren
Ist die Regel erfüllt, wird das Paket blockiert.
Durchlassen, falls keine weitere Übereinstimmung
Wenn das Datenpaket dieser Regel entspricht, aber keine der folgenden Regeln in diesem
Filtersatz erfüllt wird, darf es passieren.
Blockieren, falls keine weitere Übereinstimmung
Wenn das Datenpaket dieser Regel entspricht, aber keine der folgenden Regeln in diesem
Filtersatz erfüllt wird, wird es blockiert.
- Seite 78 von 172 -
Weiterhin können Sie noch bestimmen, ob diese Regel für ausgehende bzw. ankommende
Datenpakete gültig ist. Diese Funktion wählen Sie bitte bei „Richtung“.
Quelle definiert die Anforderungen, die die Quell IP-Adresse eines Datenpaketes erfüllen muss.
In unserem Beispiel ist das der Rechner mit der lokalen IP Adresse 192.168.1.10.
Zusätzlich zum Protokoll können Sie als „Start-" und „Stopp-Port" gezielt einzelne Ports oder
einen Portbereich definieren.
Unter Ziel werden die Anforderungen an den Empfänger des Paketes definiert.
Im Bildbeispiel wird der Port 80 gesperrt. Das ist der Standardport für HTTP (Surfen auf
Webseiten). Als IP Adresse für Ziel ist im Beispiel "any", d.h. ALLE Adressen angegeben, das
bedeutet die Regel gilt für alle Zieladressen im Internet.
Beachten Sie, dass Sie zu den jeweiligen IP Adressen auch immer das jeweilige, passende,
Subnetz definieren. Ein falsches Subnetz könnte die Wirkung der Filterregel negativ
beeinflussen.
Achtung.
Wenn Sie bei "Quelle" oder "Ziel" einen Start und/oder Stop Port festlegen wollen, achten Sie
darauf, dass Sie bei Protokoll nicht "Jedes" anwählen, denn dann kann der Vigor die Start- und
Stopp-Ports nicht speichern. Nach Klicken von "OK" erscheint dann zwar keine Fehlermeldung,
die Werte für die Ports sind aber nicht übernommen worden. Wählen Sie in diesem Falle eines
der zur Verfügung stehenden Protokolle aus (wie z.B. TCP).
Sollten Sie weitergehende Informationen zur Konfiguration der DrayTek Firewall benötigen
empfiehlt sich z.B. die Anleitung von Michael König, die Sie im Internet finden können.
- Seite 79 von 172 -
34.
Firewall – DoS (Denial of Service)
Denial of Service-Angriffe zielen darauf ab einen Server durch Überlastung mit einer extremen
Anzahl von Paketen lahm zu legen. Die DoS-Funktion des DrayTek Vigor Routers erlaubt es
Ihnen, diese Angriffe abzufangen bzw. die Wirkung abzumildern und erfolgte Angriffe über die
SysLog Funktion zu melden.
Ein SYN-Flood Angriff, zum Beispiel, macht sich folgendermaßen bemerkbar: Ein Router erhält
plötzlich eine Vielzahl von Anfragen aus dem Internet, genauer SYN-Pakete. Eigentlich dienen
diese Pakete dazu, die Kommunikation zwischen dem Router und dem anfragenden
Internetrechner einzuleiten. Deshalb antwortet der Router normalerweise auf diese Anfragen
und wartet auf eine Rückantwort. Diese SYN-Pakete jedoch haben keine korrekte
Absenderadresse. Deshalb geht die Antwort des Routers ins Leere und er wartet erfolglos auf
eine Rückantwort.
Durch die Vielzahl der Anfragen, die fast gleichzeitig ankommen und alle verarbeitet werden
müssen, ist der Puffer, den der Router zur Verfügung hat, aber bald aufgebraucht. Jetzt kann
ein Nutzer, der normal auf den Server zugreifen will, den Server nicht mehr erreichen, der
Angreifer hat sein Ziel erreicht.
In der Regel werden DoS-Angriffe auf bekannte und öffentliche Domains großer Firmen oder
Institutionen durchgeführt. Im Fall von bei der Einwahl in das Internet dynamisch vergebenen
IPs ist ein DoS-Angriff eher selten, daher ist die Funktion ab Werk deaktiviert.
Gehen Sie zur Konfiguration auf die IP Filter / Firewall Einstellungen im Hauptmenü und dann
auf DoS (Denial of Service).
- Seite 80 von 172 -
In der Grundeinstellung ist die DoS-Abwehr deaktiviert. Um DoS Atacken erfolgreich zu
verhindern bzw. zu vermindern aktivieren Sie bitte diese Funktion.
Nun können Sie gezielt auswählen welche Art von DoS Angriffen vom DrayTek Vigor Router
verhindert, überwacht und protokolliert werden sollen. Setzen Sie einfach bei den
dementsprechenden Punkten ein Häkchen.
SYN Flood, UDP Flood, ICMP Flood
Bei SYN Flood, UDP Flood und ICMP Flood wird der Router die Annahme weiterer SYN, UDP
oder ICMP Pakete verweigern, wenn über den unter „Zeitlimit" eingetragenen Zeitraum eine
Masse von solchen Paketen eingegangen ist, die den unter „Schwellenwert" eingetragenen
Wert übersteigt. Hierbei muss das Zeitlimit über 5 Sekunden hinausgehen, als Schwellenwert
muss ein Eintrag größer als 150 gewählt werden.
Aktiviere Port Scan Abwehr
PortScans, die die unter „Schwellenwert" angegebene Geschwindigkeit übertreffen, werden
protokolliert. Auch hier muss der Schwellenwert über 150 liegen.
- Seite 81 von 172 -
Blocke IP Optionen
Der Router „blockt“ alle IP-Pakete, mit Optionen im Header.
Blocke Land-Attacken
Der DrayTek Router nimmt keine SYN-Pakete an, deren Absender- und Empfängeradressen
übereinstimmen.
Blocke Smurf-Angriffe
Der Router blockiert sämtliche ICMP Pings, die auf seine Broadcast-Adresse gerichtet sind.
Blocke Trace Route
Trace Route (tracert) Pakete werden abgefangen.
Blocke fragmentierte SYN-Pakete
TCP SYN Frames, bei denen das More-Flag gesetzt ist, blockieren.
Blocke Fraggle-Attacken
Fraggle Attacken werden durch das blockieren ankommender Broadcast UDP-Pakete
verhindert.
Blocke TCP Flag Scan
TCP/IP Pakete mit regelwidrig gesetzten Flags werden blockiert. Ein solches Paket könnte
einem möglichen Angreifer eine Sicherheitslücke eröffnen.
Blocke Teardrop-Attacken
Teardrop-Angriffe abwehren. Teardrop Angriffe verwenden falsch konfigurierte IP-Paket
Fragmente.
Blocke Ping of Death
Pakete mit überhöhter oder regelwidriger Größe werden blockiert. Diese könnten einen
Systemabsturz hervorrufen.
Blocke fragmentierte ICMP-Pakete
ICMP Frames, bei denen das More-Flag gesetzt ist, stoppen.
Unbekannte Protokolle verbieten
IP-Pakete mit undefiniertem Protokolltyp blockieren.
- Seite 82 von 172 -
35.
Firewall – Inhaltsbezogener Filter/Dateiformate blocken
Neben der Möglichkeit der Filterregeln bietet Ihnen der DrayTek Vigor Router auch die
Möglichkeit den Zugriff auf bestimmte Adressen (URLs) im Internet zu sperren bzw. bestimmte
Dateiformate gar nicht erst aus dem Internet herunterzuladen. Weiterhin können Sie auch
einen Wortfilter definieren. Enthält eine Webseite dieses definierte Wort, wird Sie nicht
angezeigt.
Diese Funktionen können Sie im Menüpunkt „Inhaltsbezogener Filter“ in den
Firewalleinstellungen konfigurieren.
Um die URL (inhaltsbezogene) Filter Funktion zu nutzen aktivieren Sie diese durch Setzen
eines Häkchens.
Im DrayTek Vigor können Sie nun 8 Einträge mit bis zu 31 Zeichen hinterlegen. Sie können pro
Eintrag auch mehrere Schlüsselworte angeben. Diese trennen Sie dann bitte durch ein
Leerzeichen, ein Komma oder ein Semikolon. Alternativ können Sie auch eine komplette URL
eintragen. Hinterlegen Sie die zu filternden Schlüsselworte bitte in kleinen Buchstaben und
vergessen Sie nicht den jeweiligen Eintrag (1-8) noch durch Setzen eines Häkchens zu
aktivieren.
Wie Sie ja eventuell wissen kann man Seiten im Internet nicht nur über Ihren Namen, sondern
auch über Ihre IP Adresse ansprechen. Mit der Funktion „Seitenaufrufe per IP blockieren“
verhindern Sie den Seitenaufruf über eine IP Adresse. Beispiel: Sie definieren als URL
„www.google.de“ und setzen den Filter auf aktiv. Wenn Sie nun im Browser
„www.google.de“ eingeben, wird diese Seite Ihnen nicht angezeigt. Geben Sie allerdings die
IP Adresse von Google ein (66.249.93.99) wird Ihnen diese URL vom Router aufgerufen.
„Seitenaufrufe durch Eingabe der IP-Adresse unterbinden“ verhindert diesen Aufruf über die IP
Adresse.
Wenn Sie Syslog verwenden erscheint im Syslog Utility ein Eintrag mit dem Hinweis einer vom
Router geblockten Seite.
- Seite 83 von 172 -
Eingeschränkte Web-Features / Dateiformate stoppen:
Um diese Funktion zu nutzen, muss sie auch wieder aktiviert werden.
Hier definieren Sie bitte welche Formate der Router über HTTP/Web beim Surfen gar nicht erst
nicht ins interne Netzwerk durchlassen soll. So verhindern Sie z.B. den Download von .zip
Dateien, ausführbaren Dateien etc...
Aktivieren Sie hier einfach die gewünschten Dateitypen, die vom DrayTek Vigor blockiert
werden sollen. Beachten Sie dabei, dass der Router nur die Dateiendung prüft. Lädt man eine
Datei deren Endung geändert wurde oder die erst gar keine Endung hat, wird die Datei
trotzdem heruntergeladen.
Im Einzelnen blockieren die Einträge folgende Dateiendungen:
Zip-Dateien:
*.zip, *.rar, *.arj, *.ace, *.cab, *.sit
Exe-Dateien:
*.exe, *.com, *.scr, *.pif, *.bas, *.bat, *.inf, *.reg
Multimedia-Dateien:
*.mov, *.mp3, *.rm, *.ra, *.au, *. wmv, *.wav, *.asf, *.mpg, *.mpeg, *.avi, *.ram
Weiterhin haben Sie die Möglichkeit bestimmte Rechner (IP Adressen) bzw. Teilnetze von
dieser Filterung auszuschließen.
Im oberen Beispiel würde der Rechner mit der IP Adresse 192.168.1.10 vom URL Filter außen
vor gelassen. Natürlich können Sie hier auch mit einem Teilnetz/Subnetz arbeiten.
- Seite 84 von 172 -
Zu guter letzt haben Sie noch die Möglichkeit den URL Filter auf bestimmte Wochentage bzw.
Zeiten zu konfigurieren. Machen Sie einfach die gewünschten Einstellungen unter Hauptmenü > Verbindungstimer und tragen dann hier die Nummer des entsprechenden Profils ein.
- Seite 85 von 172 -
36.
VLAN / Bandbreite
Der DrayTek Vigor Router bietet Ihnen die Möglichkeit virtuelle LANs einzurichten. Jeder
einzelne Ethernetanschluss am Router (P1-P4) kann einem virtuellen LAN zugeordnet werden ein Datenaustausch ist nur innerhalb des gleichen VLANs möglich. So kann man z.B. das
Netzwerk vom Heimbüro und den Kindern separieren. Beide können den Router für den
Internetzugriff nutzen, aber untereinander nicht kommunizieren.
Setzen Sie hier einfach Häkchen, welcher Ethernetport des Routers welchem VLAN zugehörig
sein soll. Beispiel: VLAN1 und Häkchen 1 & 2 , VLAN2 und Häkchen 3 & 4...
Die Rechner die am Router an Port 1 & 2 angeschlossen sind befinden sich im gleichen
virtuellen LAN (VLAN). Diese beiden Rechner können sich „sehen“ und sind im selben Netz.
Die Rechner die am Router an Port 3 & 4 angeschlossen sind befinden sich auch im gleichen
virtuellen LAN. Diese beiden Rechner können sich ebenfalls „sehen“ und sind im selben Netz.
Es ist allerdings nicht Möglich von dem Rechner der an Port 1 angeschlossen ist auf einen der
Rechner an Port 3 oder 4 zuzugreifen, da diese virtuell in einem anderen Netz sind.
Alle Rechner können jedoch normal auf das Internet zugreifen. Bitte beachten Sie, dass
Clients, die über WLAN, VPN oder als externe Nutzer angeschlossen sind alle VLANs erreichen
können und von allen VLANs aus erreicht werden können.
Außerdem haben Sie die Möglichkeit die maximale Bandbreite / den maximalen
Datendurchsatz für die einzelnen Ethernetports zu bestimmen.
- Seite 86 von 172 -
Setzen Sie diese Funktion dazu auf aktiv.
Jetzt können Sie für jeden einzelnen Ethernet-Port (P1 - P4) die Bandbreiteneigenschaften
festlegen. Konfigurieren Sie für jeden Port den gewünschten Maximalwert für Upload- und
Download.
Raus:
bestimmt die Upload-Bandbreite für den Ethernet-Port.
Rein:
bestimmt die Download-Bandbreite für den Ethernet-Port.
Bandbreite:
Tragen Sie hier den Maximalwert für die Bandbreite ein.
Dieser Wert muss ein Vielfaches von 32 sein und kann maximal 100000 betragen.
Es ist beispielsweise möglich, Nutzern, die über Port1 angeschlossen sind, nur 512 KBit/s
(Kilobit pro Sekunde) maximale Bandbreite zur Verfügung zu stellen. Die Rechner, die über die
anderen Ethernet-Ports angeschlossen sind, teilen sich dann die restliche Bandbreite. Ein
Standard-DSL-Anschluss der Telekom (T-DSL 1000) hat max. 1024 KBit/s Bandbreite für den
Download und 128 KBit/s für den Upload.
- Seite 87 von 172 -
37.
PING Block
Ein „PING" Befehl ist ein Datenpaket, das man an eine beliebige IP-Adresse sendet. Der Ping
Befehl wurde entwickelt um die Laufzeit von Datenpaketen über das Internet zu bestimmen.
Kommt ein „PING“ bei der „angepingten“ Adresse an, wird er normalerweise von dieser auch
beantwortet. Der Ping Befehl wird gern von „bösen Buben“ missbraucht um Rechner für
potenzielle Angriffe ausfindig zu machen. Deswegen ist diese PING Block Funktion werksseitig
im DrayTek Vigor Router aktiviert.
Ein- bzw. Ausschalten kann man diese Funktion unter dem Menüpunkt „Verwaltung“ des
Hauptmenüs.
- Seite 88 von 172 -
38.
Feste Adressumleitung – Static Route
Eine statische Route gibt an, über welchen Gateway bestimmte Subnetze/Teilnetze erreichbar
sind. Diese Subnetze können Sie normalerweise nicht über das Internet erreichen.
Standardmäßig leitet der DrayTek Vigor sämtliche Anfragen, die nicht an Rechner innerhalb
des eigenen Netzes gehen, direkt in das Internet weiter. Das bezeichnet man als „default
Route“.
Mit der „festen Adressumleitung“ haben Sie nun die Möglichkeit abweichende, sog. „statische“,
Routen zu konfigurieren.
Wählen Sie zunächst ein freies Profil zur Konfiguration aus.
- Seite 89 von 172 -
IP-Zieladresse, Subnetzmaske:
Konfigurieren Sie hier die Adresse und die Maske des Teilnetzes ein, für das eine statische
Route eingerichtet werden soll. Im Bildbeispiel sind dies alle IP-Adressen, die mit 192.168.50
beginnen.
Gateway-IP-Adresse:
Tragen Sie hier die IP-Adresse eines zweiten Routers ein, über den die Anfragen stattdessen
geleitet werden sollen. Im Bildbeispiel ist das ein Router mit der IP 192.168.1.7.
Netzwerkschnittstelle:
„LAN" besagt, dass der weitere Router im lokalen Netzwerk des DrayTek Vigors liegt. Wählen
Sie „WAN", falls der zweite Router über den WAN-Port des DrayTek Vigors erreicht wird.
Bestätigen Sie die Konfiguration Ihrer statischen Route und schauen sich im Hauptmenü
„Diagnose Tools“ dann die aktuelle Routingtabelle an.
- Seite 90 von 172 -
Sie sehen in der ersten Zeile, dass das Teilnetz 192.168.50.0 nun über die IP Adresse
192.168.1.7 angesprochen wird: Alle Anfragen an eine IP-Adresse, die mit 192.168.50
beginnt, werden also an diese IP Adresse (diesen Router) weitergeleitet.
Der zweite Router sollte die nun bei Ihm eintreffenden Pakete entsprechend seiner
Konfiguration bearbeiten: Denkbar wäre, dass er über seinen Ethernet-WAN-Port direkt an
das Netzwerk 192.168.50.0 angebunden ist und die Pakete an die dortigen lokalen Rechner
weiterleiten kann.
Mit dieser statischen Route könnten dann über den DrayTek Vigor neben Rechnern im lokalen
Netz und dem Internet auch die Rechner hinter diesem zweiten Router erreicht werden.
Wenn Sie die feste Adressumleitung (statische Route) wieder löschen wollen, wählen Sie in der
entsprechenden Konfiguration unter "Status/Aktion" den Eintrag "leer/entfernen" aus und
bestätigen Sie wie immer mit "OK".
Die Auswahl "inaktiv" deaktiviert die feste Adressumleitung. Die Pakete gehen dann nicht
verloren, werden aber nicht mehr verwendet.
- Seite 91 von 172 -
39.
VPN – Virtual Private Network und LAN zu LAN Grundeinstellungen
Die VPN Funktion des DrayTek Routers ermöglicht zum einen die Einwahl externer Clients über
das Internet (RAS/Externe Benutzer) als auch die Verbindung zweier Netzwerke direkt über
das Internet. Dabei kann die Verbindung dauerhaft gehalten, oder vom DrayTek Router bei
Bedarf aufgebaut/abgebaut werden.
Der DrayTek Vigor Router kann dabei sowohl als VPN Server, sowie auch als VPN Client
eingesetzt werden. Zusätzlich besteht die Möglichkeit zur Verschlüsselung dieses Tunnels.Die
Router der Draytek Vigor Serie unterstützen IPSec Tunneling, PPTP, L2TP und L2TP über IPSec.
IPSec unterstützt den AH oder ESP Modus, mit oder ohne Authentifikation und mit DES oder
3DES Verschlüsselung. Die Router der Vigor 2600V Serie können bis zu 16 getunnelte VPN
Verbindungen gleichzeitig handhaben.
Die Vorteile von VPN:
- Verbindung zweier Büros über das Internet
- Hohe IPSec Verschlüsselung
- Benutzung von ADSL, Cable Modem oder ISDN Internetzugang für VPN
- Enorme Kostenersparnis bei Benutzung einer Flatrate
- Einrichtung mehrerer simultaner Tunnelverbindungen
- Flexible und schnelle Einrichtung der VPN Tunnelverbindungen
VPN verbindet jegliches TCP/IP Netzwerk. Sollten Sie also Microsoft Networking benutzen, sei
es Peer to Peer oder Client/Server über ein TCP/IP Netzwerk, so können Sie Benutzer und
Computer miteinander über VPN verbinden. Das Gute an VPN in diesem Falle ist, dass die
Router selbst sämtliche "Arbeit" der Verbindung übernehmen und Sie so Zugriff auf jedes
TCP/IP Device (jeden PC, Server oder Netzwerkdrucker) in Ihrem privaten Netzwerk haben
(lokal oder auf der gegenüberliegenden Seite). Interoperabilität ist also gewährleistet zwischen
zwei Vigor Routern, zwischen einem Vigor Router und einem einzelnen PC VPN Klienten, einem
Cisco VPN kompatiblen Router oder einem Windows 2000 Server auf dem VPN läuft.
Die VPN Unterstützung der Draytek Vigor Router kann natürlich auch benutzt werden, um
Ihnen die Einwahl von einem einzelnen Rechner zu Hause in Ihr Firmennetzwerk zu
ermöglichen. Sie benötigen dazu zu Hause nicht unbedingt einen zweiten Vigor Router,
sondern können auch einfach den VPN Client Ihres dort benutzen Betriebssystems verwenden
(Win ME, 2000,XP, Mac OS X), die Verbindung erfolgt dann über Ihre ISDN, DSL oder andere
Breitbandanbindung.
Der Vigor kann VPNs zu folgenden Geräten über das Internet aufbauen:
- Zu einem einzelnem PC mit einem kompatiblen VPN Client. Einmal eingeloggt, kann der
Benutzer auf die Ressourcen des LAN's über den Tunnel zugreifen.
- Zu einem anderen Vigor Router. Zwei entfernte LAN's werden über einen Tunnel miteinander
verbunden. Die einzelnen Benutzer beider LAN's können auf die jeweils gegenüberliegenden
Ressourcen zugreifen.
- Zu einem Windows 2000 Server auf dem ein kompatibles VPN läuft.
- Zu einem Cisco, Nokia, oder Watchguard Server auf dem ein kompatibles VPN läuft.
Im Zusammenspiel zwischen VPN und der DynDNS Unterstützung der Draytek Vigor Routers
haben Sie die Möglichkeit immer über eine öffentliche IP Adresse erreichbar zu sein. Sie
können sich bei einem kostenlosen DynDNS Provider eine feste IP Adresse reservieren. Der
Vigor hat nun die Möglichkeit ihre aktuelle (vom Provider zugewiesene) WAN IP Adresse an
diesen Service zu übermitteln. Nehmen wir an, Sie haben sich eine Adresse bei
www.dyndns.org reserviert. Diese lautet "meinbüro.dyndns.org".
- Seite 92 von 172 -
Der Router in Ihrem Büro wählt sich ins Netz und bekommt von Ihrem ISP z.B. die IP Adresse
217.82.153.23 zugewiesen. Da diese Adresse bei jeder erneuten Einwahl mit höchster
Wahrscheinlichkeit anders ist, kennen Sie (der zuhause sitzt und sich in sein Büro einwählen
möchte) diese natürlich nicht. Hier kommt der DynDNS Service ins Spiel. Der Router
übermittelt nun diese 217.82.153.23 and den DynDNS Service (sofern Sie das möchten), und
dieser ordnet diese Adresse dann Ihrer "meinbüro.dyndns.org" zu. Sie konfigurieren Ihren VPN
Client nun einfach so, dass er den Tunnel zu "meinbüro.dyndns.org" aufbauen soll und schon
sind Sie mit Ihrem Firmennetz verbunden. Das funktioniert natürlich auch bei einem Lan zu
Lan mit zwei DynDNS Adressen (meinbüro.dyndns.org & meinbüro1.dyndns.org). Die
Konfiguration von DynDNS wird in diesem Handbuch in einem separaten Kapitel behandelt.
Zunächst definieren Sie welche Protokolle dem DrayTek Vigor für die VPN Verbindung zur
verfügung stehen sollen. Gehen Sie dazu auf „VPN und externe Einwahl“ ->
„Einwahlmöglichkeiten“.
Für VPN Verbindungen wählen Sie bitte PPTP, IPSec oder L2TP aus, sollten Sie eine Verbindung
über ISDN herstellen wollen aktivieren Sie bitte ISDN durch Setzen eines Häkchens.
Nachdem Sie die zu verwendenden Protokolle ausgewählt haben können wir uns nun der
Konfiguration des Profils für die VPN Verbindung widmen. Dazu gehen Sie bitte auf „VPN und
externe Einwahl“ -> LAN zu LAN“ und wählen ein freies Profil aus. Insgesamt können bis zu 16
Profile eingerichtet werden.
- Seite 93 von 172 -
Nachdem wir uns für ein Profil entschieden haben, widmen wir uns den Grundeinstellungen.
Beim Profilnamen benennen Sie diese VPN Verbindung. Dieser Name erscheint im VPN Status,
sobald diese VPN Verbindung aktiv ist und dient zur Identifikation.
Weiterhin aktivieren Sie das Profil durch Setzen eines Häkchens bei „aktiv“.
Die Anrufrichtung gibt an ob der DrayTek Vigor Router diese Verbindung eingehend, abgehend
bzw. ein- und abgehend aufbauen/akzeptieren soll. (Raus= Router kann Verbindung abgehend
aufbauen, nimmt aber keine Verbindung an / Rein = Router nimmt eingehende Verbindung
an, baut aber eigenständig keine abgehende Verbindung auf)
- Seite 94 von 172 -
Setzen Sie die Verbindung auf „Immer in Betrieb“ wenn der Router den VPN Tunnel halten soll.
Der Tunnel wird aufgebaut sobald der Router ins Internet eingewählt ist und dauerhaft
gehalten. Sollte die Verbindung unterbrochen werden (Zwangstrennung alle 24h) wird Sie
automatisch wieder aufgebaut. Für eine dauerhafte Verbindung muss dem Vigor die
Verbindungsrichtung „Raus“ konfiguriert sein.
Die max. Leerlaufzeit definiert wie immer den Zeitraum nach dem die Verbindung getrennt
wird; sollten innerhalb dieser Zeit keinerlei Datanpakete über diese Verbindung fliessen.
Mit dem Dauer-Ping Feature können Sie die unter "Ping auf IP" angegebene IP-Adresse ständig
anpingen. Damit können Sie sicherstellen, dass der entfernte Client/Router den VPN-Tunnel
nicht nach einer längeren Leerlaufzeit unterbricht. Ein Dauer-Ping ist bei einer IPSecVerbindung möglich (Sicherheitsgründe).
Bei „Verbindung zum VPN Server über“ wählen Sie zunächst einmal die Verbindungsart aus,
mit der der DrayTek Vigor diese Verbindung aufbauen soll (PPTP, IPSec Tunnel, L2TP). ISDN
wird für eine ISDN LAN zu LAN Verbindung verwendet.
PPTP bietet dabei die geringste Art der Verschlüsselung, ist aber für erste Tests mit VPN
hervorragend geeignet.
IPSec (Internet Protocol Security) erlaubt es die Verbindung entweder mit einer zusätzlichen
Authentifizierung zu versehen und/oder verschlüsselt die Verbindung mittels eines Schlüssels
(Key).
Bei L2TP kann ptional IPSec ausgewählt werden:
„nein" --> kein IPSec
- Seite 95 von 172 -
„falls vorhanden" --> IPSec, sofern durch Gegenstelle unterstützt
„erforderlich" --> Gegenstelle muss IPSec unterstützen.
ISDN Nummer oder Server IP/Hostname für VPN:
Bei einer VPN Verbindung geben Sie hier die IP-Adresse oder den Domain-Namen der
Gegenstelle an. Bei einer ISDN-Verbindung die Telefonnummer der Gegenstelle.
Die Einstellungen rechts oben unter „Verbindung“ sind Einstellungen die nur für eine ISDN
Verbindung relevant sind. Dabei entscheiden Sie sich bitte ob die ISDN LAN zu LAN Verbindung
über einen B-Kanal (64k), 2 B-Kanäle (128k) oder mit BOD aufgebaut werden soll. Diese
Einstellungen sind im Handbuch an anderer Stelle detailliert beschrieben.
Benutzername / Passwort:
Für eine Verbindung über PPTP, L2TP und ISDN sind ein Benutzername und ein Passwort
notwendig. Diese tragen Sie bitte hier ein.
PPP Authentifizierung:
Die PPP Authentifizierung kann über PAP oder CHAP erfolgen. Wählen Sie bitte "PAP oder
CHAP". (Bei einem IPSec Tunnel erfolgt die Authentifizierung über den IPSec-Schlüssel,
deshalb ist dieses Feld inaktiv)
TCP (VJ) Headerkomprimierung:
Entscheiden Sie hier ob die TCP Headerkomprimierung verwendet werden soll oder nicht.
Sollten Sie sich für eine VPN IPSec Verbindung entscheiden haben müssen Sie noch einen sog.
Schlüssel hinterlegen. Dieses tun Sie indem Sie auf den Button „IPSec Schlüssel“ klicken.
Geben Sie dort dann Ihren Schlüssel (Pre-Shared Key), der für die Verschlüsselung der
Verbindung genutzt werden soll hier ein und bestätigen diesen noch einmal. Dieser Schlüssel
muss natürlich auch im Clienten/Router auf der Gegenseite hinterlegt sein, damit die
Verbindung erfolgreich aufgebaut werden kann.
IPSec Methode:
Für IPSec gibt es weiterhin 2 Arten der Verschlüsselung
Mittel (AH):
Die Verschlüsselung besteht nur aus der Authentifizierung.
Hoch (ESP):
Wählen Sie zwischen DES, 3DES-Verschlüsselung und AES, sowie einer zusätzlichen
- Seite 96 von 172 -
Authentifizierung.
Es gibt natürlich noch die Möglichkeit erweiterte Einstellungen für IKE vorzunehmen. Diese
Einstellungen müssen Sie nicht ändern, sollten Sie ein VPN zwischen 2 DrayTek Vigor Routern
aufbauen.
Die Modes "Main Mode" und "Aggressive Mode" sind zwei verschiedene Arten des
Informationsaustauschs beim Aufbau eines IPSec Tunnels.
Unter "IKE Phase 1 Proposal" wird festgelegt, welche Verschlüsselungsmethoden der
Gegenseite beim Verbindungsaufbau vorgeschlagen werden. Nur eine vorgeschlagene Methode
kann letztendlich auch benutzt werden.
Mit dem Verbindungstimer haben Sie die Möglichkeit diesen VPN Tunnel zeitgesteuert auf- und
abzubauen. Wie der Timer konfiguriert wird erfahren Sie im Kapitel „Verbindungstimer“ in
diesem Handbuch.
Unter Rückruffunktion können Sie für eine ISDN Verbindung angeben ob die ISDN Kennung an
die Gegenstelle übermittelt werden soll und ob ein Rückruf der Gegenstelle erfolgen soll. Die
Software bzw. der Router auf der Gegenseite muss dieses allerdings unterstützen.
Kommen wir nun zu den „Einstellungen zum Einwählen“.
- Seite 97 von 172 -
Die Einstellungsmöglichkeiten hier sind eigentlich identisch zu den Einstellungen für den
Verbindungsaufbau. Bei „Einwahl zulassen über“ wählen Sie zunächst einmal die
Verbindungsart aus, mit der in den DrayTek Vigor eingewählt werden soll (PPTP, IPSec Tunnel,
L2TP). ISDN wird für eine ISDN LAN zu LAN Verbindung verwendet.
Benutzername und Passwort sind für die PPP Authentifizierung, der Benutzer und das Passwort
müssen bei einer Einwahl von dem externen Benutzer korrekt angegeben werden. Bei der
Verwendung von einem IPSec Tunnel erfolgt keine PPP Authentifizierung sondern die
Identifizierung über einen Schlüssel (Pre-Shared Key), daher sind diese Felder inaktiv, wenn
nur IPSec Tunnel für die Einwahl zugelassen ist.
ACHTUNG:
Verwenden Sie niemals den gleichen Benutzernamen und Passwort für ein anderes Profil im
DrayTek Vigor Router (egal ob VPN LAN zu LAN oder externer Benutzer). Nutzen Sie immer
verschiedene Benutzernamen und Passwörter, da es sonst zu Fehlern beim Aufbau einer VPN
Verbindung kommen kann.
TCP (VJ) Headerkomprimierung:
Entscheiden Sie hier ob die TCP Headerkomprimierung verwendet werden soll oder nicht.
Definiere ISDN CLID oder externes/remote VPN Gateway:
Bei einer VPN Verbindung können Sie die IP-Adresse oder ISDN Nummer der Gegenstelle
festlegen. Damit ist es nur einem externen Client/Router mit genau dieser hier hinterlegten IPAdresse/ISDN Nummer möglich, eine VPN -Verbindung mit dem DrayTek Vigor aufzubauen.
Bei Verwendung der Option wird auf der rechten Seite der IPSec Schlüssel und die IPSec
Methode für die Einwahl mit dieser Verbindung individuell festgelegt.
Wenn von der Gegenstelle der "Aggressive Mode" bei IKE/IPSec für die Einwahl verwendet
wird, kann zusätzlich eine "Peer ID (Aggressive Mode)" zur Authentifizierung der Gegenstelle
angegeben werden. Stimmt diese Peer-ID mit der Peer-ID des entfernten Servers überein,
erfolgt die Einwahl. Dieses Feld ist nur für IPSec-gesicherte Verbindungen, bei denen die
Gegenstelle den "Aggressive Mode" benutzt.
- Seite 98 von 172 -
Ist dieses Feature bei einer ISDN LAN zu LAN Verbindung aktiviert, so muss der externe
Benutzer seine ISDN-Kennung (MSN) übertragen. Diese wird dann mit der unter "Rufnummer /
IP des Servers" eingetragenen Nummer verglichen (von rechts beginnend). Sind beide
Nummern nicht identisch, kann die Einwahl nicht stattfinden.
IPSec Schlüssel:
Bei Aktivierung von "Entfernten Server festlegen" wird nach einem Klick auf diesen Button der
IPSec Schlüssel, der bei der Einwahl mit dieser VPN-Verbindung genutzt wird, hinterlegt. Wenn
die IP der Gegenstelle nicht festgelegt ist, gilt der allgemeine Schlüssel.
IPSec Methode:
Bei Aktivierung von "Entfernten Server festlegen" wird hier ausgewählt, welche IPSec
Methoden erlaubt sind, sowie welche Verschlüsselung benutzt werden kann. Wenn diese
Option nicht benutzt wird, gilt die allgemeine Einstellung für "IPSec Methode".
Unter Rückruffunktion können Sie für eine ISDN Verbindung angeben ob die Rückruffunktion
aktiviert werden soll, eine Rückrufnummer für die ISDN Wahl konfigurieren und eine maximale
Rückrufdauer für diese Verbindung angeben.
„Meine WAN IP“ spezifiziert die IP Adresse des Draytek Vigor Routers im entfernten Netzwerk.
Normalerweise wird diese von der Gegenstelle vergeben und Sie können hier 0.0.0.0
eingetragen lassen.
Unter dem Punkt „Remote Gateway- IP“ spezifiziert man die IP Adresse des
gegenüberliegenden Routers. Auch hier können Sie 0.0.0.0 eingetragen lassen, da diese im
Normalfall von der Gegenstelle vergeben wird.
Unter „Remote Netzwerk-IP“ / „Remote Netzwerk-Maske“ geben Sie dem Router den IP
Adressbereich des gegenüberliegenden Netzwerks an. Diese Einstellung ist wichtig, da der
Router anhand dieser Einstellungen entscheidet, ob er die VPN Verbindung aufbauen soll.
Nehmen wir einmal an Ihr lokales Netzwerk hat den IP Adressbreich 192.168.1.x / Teilnetz
255.255.255.0 und das gegenüberliegende Netz hat den IP Adressbereich 10.0.0.x / Teilnetz
255.255.255.0. Tragen Sie dann hier bitte bei Remote Netzwerk-IP „10.0.0.0“ (die letzte 0
steht stellvertretend für den IP Adressbereich von 10.0.0.1 bis 10.0.0.254) und bei Remote
Netzwerk-Maske „255.255.255.0“ ein. Sendet nun ein lokaler Client aus Ihrem Netzwerk eine
Anfrage an z.B. die IP Adresse 10.0.0.100 (entfernter Server) ist dem Router dieses Netz
bekannt und er baut die VPN Verbindung automatisch auf.
- Seite 99 von 172 -
Hinweis:
Eine VPN Verbindung kann immer nur zwischen Netzwerken mit unterschiedlichen IP Adressen
aufgebaut werden. Beispiel: 192.168.1.x zu 10.0.0.x oder 192.168.2.x etc. Der Aufbau zu
einem entfernten Netzwerk, welches auch ein 192.168.1.x Netz ist, ist nicht möglich, da der
Vigor Router dieses wie sein eigenes Netz behandelt und deswegen natürlich keine
Veranlassung sieht eine externe VPN Verbindung aufzubauen.
Unter „Mehr“ können Sie zusätzlich festlegen welche weiteren IP Adressen und Adressbereiche
über die VPN Verbindung im entfernten Netzwerk erreicht werden können.
Tragen Sie unter „Netzwerk IP" die IP-Adresse des Netzwerkes ein und wählen Sie unter
„Netzmaske" die Subnetzmaske.
Nach einem Klick auf „Hinzufügen" ist die Eintragung in die Tabelle unter „Entfernte Netzwerk
IP" im DrayTek Vigor konfiguriert.
Bestätigen Sie Ihre Einstellungen mit „OK" und „Schließen" danach das Fenster wieder.
RIP Pakete tauschen / RIP Version:
Diese Einstellung dient dem Informationsaustausch zwischen zwei Routern. Belassen Sie diese
bei den Standardeinstellungen.
NAT Einstellung:
Hier spezifizieren Sie ob die Daten mit dem entfernten Router über NAT oder direkt
ausgetauscht werden.
private IP
Die Daten werden ohne „NAT“ in das andere Netz übertragen, Adressen im lokalen Netzwerk
des Vigor sind vom entfernten Netz aus erreichbar. Ist in beiden Routern „private IP" gewählt,
ist eine Verbindung zwischen sämtlichen Geräten beider Netze möglich.
öffentl. IP
Daten werden mit „NAT“ in das andere Netz übertragen. Wählt sich der Router in das andere
Netz ein, wird das lokale Netzwerk des Vigor gegenüber dem entfernten Netz verdeckt: Das
entfernte Netz kann keine Adresse im lokalen Netz dieses Routers erreichen.
Anfragen ins Internet über diesen VPN-Tunnel leiten:
Wird diese Option von Ihnen aktiviert werden alle Anfragen lokaler Clients an das Internet
auch über diesen VPN Tunnel abgewickelt. Eine Anfrage in das Internet führt nicht dazu, dass
der VPN-Tunnel aufgebaut wird. Ist der VPN Tunnel jedoch aktiv, gehen alle Internet-Anfragen
auch dort hindurch. Bei Aktivierung dieser Option wird die "Richtung" automatisch auf "Raus"
- Seite 100 von 172 -
gestellt, so dass keine Anwahl dieses VPN-Profils stattfinden kann.
- Seite 101 von 172 -
40.
VPN – LAN zu LAN Beispiel
Anhand dieses Konfigurationsbeispiels erklären wir Ihnen nun noch einmal die Konfiguration
einer VPN Verbindung zwischen 2 DrayTek Routern.
Bevor Sie diese Einstellungen vornehmen beachten Sie bitte, dass es einige sehr wichtige
Aspekte über Netzwerk-Konzepte gibt, die Sie schon kennen sollten. Wir werden diese hier
kurz „anschneiden“ aber setzen voraus, dass Sie schon ein gewisses Grundwissen über TCP/IP
Routing haben.
Netzwerk Adressen:
Wie Sie wissen hat jeder Ihrer Rechner im Netzwerk eine eigene IP Adresse. Diese könnten alle
automatisch zugewiesen werden, wenn Sie die DHCP-Möglichkeit Ihres Routers nutzen. Die
Standard Adresse des Vigor Routers ist in diesem Fall 192.168.1.X, wobei X eine Nummer
zwischen 2 und 255 ist. 192.168.1.1 selbst ist die IP Adresse des Routers.
Sie können Ihren eigen ausgewählten Adressbereich nutzen anstelle von DHCP & können
jedem Rechner eine eigene IP Adresse von Hand vergeben. Jedes Gerät das über eine IP
Adresse angesprochen werden soll, muss in diesem Fall eine feste IP Adresse haben (nicht
dynamisch vergeben per DHCP) so dass andere PCs diese Adresse auch finden/kennen. Als
Beispiel: Ein Server sollte eine feste IP Adresse haben, da er ja über diese IP angesprochen
wird.
Gateways und Netzmasken:
Genauso wie eine Netzwerk IP Adresse hat jedes Netzwerk Gerät (Router,PC etc.) eine
Netzmaske. Die Standard-Maske für den Vigor ist in diesem Falle die 255.255.255.0
Sie sollten ein TCP/IP-Tutorial konsultieren für weitere Erklärungen zur Netzmaske.
Wenn ein Netzwerk-Gerät (z.B. PC) ein TCP/IP Paket zu versenden hat, muss es sich
entscheiden ob der Empfänger dieses Paketes „lokal“ ist (also im selben physikalischem
Netzwerk) oder ob das Paket über einen Gateway nach „außen“ geht. Der Gateway in unserem
Falle wäre der Vigor (Standard-Gateway 192.168.1.1). Nachdem ermittelt wurde das der
Empfänger „lokal“ ist, wird das Paket an das LAN (Local Area Netz) weitergegeben. Wurde
ermittelt das der Empfänger des Paketes „außerhalb“ ist, wird das Paket an den Gateway
weitergeleitet.
Also sobald ein Netzwerk Gerät (gehen wir davon aus das es ein PC ist) ein Paket zum
versenden hat/bekommt, hat dieses Gerät die Informationen „eigene IP-Adresse“, “Ziel IPAdresse“ und die Netzmaske. Durch „Boolean arithmetik“ (binäre Mathematik) kann der PC
dann entscheiden ob das Paket lokal oder zum Gateway durchgestellt wird.
Als Beispiel: haben wir einen PC mit der IP Adresse 192.168.1.3,Netzmaske
255.255.255.0,kann er erkennen das ein Paket für 192.168.1.20 ein „lokales“ Paket ist,
wohingegen 212.121.29.43 ein Paket ist ,was an einen Gateway geht. Erinnern Sie sich das IP
Adressen, auch wenn sie normalerweise dezimal geschrieben werden, tatsächlich binär sind.
Wenn Sie sich die Binär-Darstellung einer IP Adresse oder Netzmaske ansehen ist es einfacher
zu verstehen , wie die beiden zusammenarbeiten. Netzmasken setzen sich eigentlich nur der
Einfachheit halber aus 255 und 0 zusammen, damit man den Taschenrechner getrost in der
Schublade lassen kann.
Konfiguration Ihres Pcs:
Wird Ihr Router schon für den Internetzugang genutzt, sind Ihre PCs eigentlich auch schon
richtig konfiguriert für eine Anbindung an ein externes Netzwerk. Der PC entscheidet schon
wann er den Gateway zu benutzen hat, es liegt also nun am Router zu entscheiden ob ein
Paket ins Internet geht oder an ein externes Netzwerk.
Wenn die beiden zu verbindenden Netzwerke identisch konfiguriert sind (beide also den selben
- Seite 102 von 172 -
IP-Adressen Bereich nutzen),müssen Sie ein Netzwerk umkonfigurieren. Sollten beide nämlich
denselben Adress-Bereich benutzen würde jedes Paket was für ein externes Netzwerk
bestimmt ist so erkannt werden, als ob es für das lokale Netzwerk gedacht wäre.
Als Beispiel: Wenn eines Ihrer Netzwerke auf 192.168.1.0 ist könnten Sie das andere Netzwerk
auf 192.168.2.0 konfigurieren. Die vierte Zahl (0) ist die Zahl die für ein Gerät in Ihrem
Netzwerk steht (Unterscheidung der Geräte in Ihrem Netzwerk). Die anderen drei Zahlen
(192.168.2) sind in diesem Fall gleich für alle Geräte/PCs in Ihrem Netz (vorgegeben durch die
Netzmaske 255.255.255)
Unser Beispiel:
Gehen wir also davon aus, dass Sie 2 Büros haben. Ein Haupt-Büro und ein kleineres Büro
außerhalb. Beide Büros haben einen Vigor Router, eine ISDN Leitung und ein Paar PCs auf
denen Windows 98 läuft. Die Angestellten im kleinen Büro benötigen den Zugang zu Daten auf
einem PC im Hauptbüro. Das Außenbüro will also mit dem Haupt-Büro verbunden sein, und
nicht andersrum. Sie können die Router aber auch so konfigurieren dass beide Büros einander
anrufen können, um eine Netzwerkverbindung aufzubauen.
Unsere Beispielbüros sind also folgendermaßen konfiguriert:
Ort
Nutzung
Router anrufe
Netzwerk Adresse
Netzmaske
Router IP Adresse
Fileserver Adresse
Haupt-Büro
Hamburg
Server/Host
Eingehend
192.168.1.0
255.255.255.0
192.168.1.1
192.168.1.3
Außenbüro
Berlin
Klienten
Abwählend
192.168.0.0
255.255.255.0
192.168.0.1
kein Server
Konfiguration des Berliner Routers:
Vom Hauptmenü aus wählen Sie bitte „VPN und externe Einwahl“ -> „LAN zu LAN“.
Es erscheint ein Menü auf dem man bis zu 20 leere Profile findet. Hier kann man nun die
verschiedenen Profile für eine VPN-Netzwerkanbindung konfigurieren.
Klicken Sie auf 1. um die Eigenschaften für das erste Profil einzustellen:
- Seite 103 von 172 -
Da Dieses Profil uns mit dem Büro in Hamburg verbinden soll, nennen wir es einfach
„Hamburg“. Vergessen Sie nicht dieses Profil auch zu aktivieren. Sie können es natürlich auch
jederzeit deaktivieren. Auf der rechten Seite des Bildschirms aktivieren Sie bitte bei
„Anrufichtung“ ->Raus, da dieses ja da Berliner Büro ist welches sich mit dem Hamburger Büro
verbinden soll. Auch dieses können Sie natürlich nach belieben ändern, wie schon vorhin
erwähnt. Weiterhin setzen wir die Verbindung auf „Immer in Betrieb“.
Als Verschlüsselung wählen wir hier der Einfachheit halber „PPTP“ aus. Aus Sicherheitsgründen
müssen beide Router mit einem Usernamen und einem Passwort konfiguriert werden, mit
denen die Router sich gegenseitig verbinden. In diesem Beispiel nennen wir den Usernamen
Berlin und wählen ein Passwort.
Die Verbindung erfolgt über eine DynDNS Adresse die wir vorher eingerichtet haben. Hamburg
hat die DynDNS Adresse „hamburg.dyndns.org“. Diese tragen wir nun im folgenden Feld ein:
Die Einstellungen bei „Einstellungen zum Einwählen“ bleiben komplett leer, da unser Berliner
Router ja nur eine Verbindung nach Hamburg aufbauen soll.
Als letztes definieren wir nun noch die TCP/IP Einstellungen.
Nun spezifizieren wir die Netzwerk Adresse des Hamburger Büros. Das ist der Punkt an dem
der Router feststellt, jede Adresse im 192.168.1.X Bereich gehört zum Hamburger Büro.
Wenn also ein Paket mit einer Zieladresse in diesem Bereich im Router ankommt, geht dieses
automatisch nach Hamburg. „Meine WAN IP“ kann in diesem Fall auf 0.0.0.0 bleiben; diese
Einstellung würde nur benötigt werden, wenn der Vigor einen Router anwählen würde, der eine
handvergebene WAN Adresse verlangt. Das Selbe gilt für die „Remote Gateway-IP“ – wenn
zwei DrayTek Router sich miteinander verbinden werden diese Parameter automatisch gesetzt.
Das entfernte Gateway und die Entfernte Subnetzmaske sind natürlich zu vergeben.
Das ist es nun für Berlin, es gibt noch einige andere Einstellungsmöglichkeiten aber solange
Sie diese nicht wirklich benötigen können Sie die Voreinstellungen bei diesen beibehalten.
Kommen wir nun zur Konfiguration des Routers in Hamburg. Zuerst gehen Sie bitte in den
Menüpunkt „VPN und externe Einwahl“ und dann in „Einwahlmöglichkeiten“.
- Seite 104 von 172 -
Hier stellen Sie bitte sicher, dass die Einwahl über PPTP gestattet sein soll. Bestätigen Sie wie
immer mit „OK“ und gehen zurück ins Hauptmenü.
Vom Hauptmenü aus wählen Sie bitte „VPN und externe Einwahl“ -> „LAN zu LAN“.
Es erscheint ein Menü auf dem man bis zu 20 leere Profile findet. Hier kann man nun die
verschiedenen Profile für eine VPN-Netzwerkanbindung konfigurieren.
Klicken Sie auf 1. um die Eigenschaften für das erste Profil einzustellen:
Da Dieses Profil für die eingehende Verbindung aus Berlin zuständig ist, nennen wir es einfach
„Berlin“. Vergessen Sie nicht dieses Profil auch zu aktivieren. Sie können es natürlich auch
jederzeit deaktivieren. Auf der rechten Seite des Bildschirms aktivieren Sie bitte bei
„Anrufrichtung“ ->Rein, da dieses ja da Hamburger Büro ist welches die eingehende VPN
Verbindung aus Berlin annehmen soll. Auch dieses können Sie natürlich nach belieben ändern,
wie schon vorhin erwähnt.
Da dieses das Hamburger Büro ist, welches keine ausgehenden Anrufe macht lassen wir
Sektion 2 (Einstellungen zum Rauswählen) unberührt und machen keine Einträge.
- Seite 105 von 172 -
Kommen wir nun zum Punkt „Einstellungen zum Einwählen“.
Achtung: geben Sie hier bitte exakt dieselben Daten ein wie im Berliner Router, bei den
„Einstellungen zum Einwählen“ Einstellungen. Stellen Sie sicher, dass der Benutzername und
das Passwort übereinstimmen. Beachten Sie bitte die Groß/Kleinschreibung.
Nun kommen wir auch hier zu den TCP/IP Einstellungen.
Hier teilen wir dem Hamburger Router die Netzwerkspezifikationen des externen (Berliner)
Büros mit. Wie Sie sich erinnern befinden sich der Berliner-Router und die Berliner-Rechner
alle im Netzwerkadressbereich 192.168.0.X.
Beenden Sie die Konfiguration des Hamburger Routers durch klicken auf „OK“.
Um die Einstellungen zu überprüfen öffnen Sie in Berlin eine Eingabeaufforderung.
Hier wollen wir überprüfen inwieweit die Verbindung funktioniert und ob die Rechner auch
erreichbar sind. Als Beispielrechner nehmen wir den mit der IP 192.168.1.3 in Hamburg.
Geben Sie den Befehl „ping 192.168.1.3“ ein gefolgt von einem Druck auf die „Return“-Taste.
- Seite 106 von 172 -
Sobald Sie den Befehl eingegeben haben erkennt der Router, dass dieser Rechner
(192.168.1.3) nicht im lokalen Netzwerk (LAN) vorhanden ist und baut die eingestellte
Verbindung auf.
Nach wenigen Sekunden (sofern alles richtig konfiguriert wurde) meldet sich der Rechner in
Hamburg, wie in der Grafik zu ersehen ist. Wenn dem so ist, ist bezüglich der Router in Berlin
und Hamburg alles richtig konfiguriert.
Nun gehen Sie mit der rechten Maustaste auf Ihre Netzwerkumgebung und wählen dort
„Computer suchen“.
- Seite 107 von 172 -
Unter „Name“ geben Sie die IP des zu suchenden Rechners ein, in unserem Falle 192.168.1.3
Seien Sie nicht enttäuscht wenn nicht sofort der Computer gefunden wird, manchmal dauert es
ein Weilchen. Sie sollten auf jeden Fall abwarten bis der Suchvorgang beendet wurde.
Wenn der gesuchte Rechner gefunden ist, klicken Sie einfach auf ihn und es öffnet sich ein
Window mit den Ordnern/Druckern usw., welche in Hamburg freigegeben wurden:
Wie Sie sehen ist der Ordner „lan“ in Hamburg für den Zugriff freigegeben. Wenn Sie möchten
können Sie nun ein Netzlaufwerk erstellen indem Sie mit der rechten Maustaste auf den
Ordner klicken und „Netzlaufwerk verbinden auswählen“.
- Seite 108 von 172 -
Somit hätten Sie nun ein Laufwerk G: auf Ihrem Rechner, welches verbunden wäre mit dem
Verzeichnis Lan auf dem Server.
Sollten Sie Probleme mit der Konfiguration haben können Sie auch das „log –c“ Kommando
über das Telnet Interface benutzen um die Anrufaktivität Ihres Routers zu Überprüfen – wenn
z.B. Ihr Passwort falsch ist, würden Sie es damit bemerken.
Geben Sie in Berlin innerhalb eines DOS-Fensters / Eingabeaufforderung den Befehl „telnet
192.168.0.1“ ein.
Damit lösen Sie eine Telnet-Verbindung zu Ihrem Router in Berlin mit der IP 192.168.0.1 aus.
Nun öffnet Sich das Telnet-Window und der DrayTek Vigor erwartet die Eingabe Ihres
Passwortes, welches Sie selbstverständlich seinerzeit als ersten Schritt Ihrer AllgemeinKonfiguration definiert haben. Also hier geben Sie bitte das Passwort des Routers an, nicht das
Passwort Ihrer Lan zu Lan Verbindung.
Wenn Sie das Passwort erfolgreich eingegeben haben, erwartet die Telnet-Session Ihre
Befehle.
Hier geben Sie jetzt bitte den Befehl „log –c“ also „log“, Freizeichen, Bindestrich, kleines „d“
und drücken anschließend auf Return.
Jetzt zeigt Ihnen der Router wie und was er versucht hat um eine Verbindung aufzubauen:
Also bei etwaigen Verbindungsproblemen können Sie hier den Fehler schon mal eingrenzen.
- Seite 109 von 172 -
Abschließender Hinweis:
Wenn eine Lan zu Lan Verbindung erfolgreich aufgebaut wurde, und man die jeweiligen
Rechner „anpingen“ kann dann haben die Router insoweit Ihre Schuldigkeit getan. Sollte es
dennoch zu Problemen kommen auf Ressourcen der anderen Remote-Rechner zuzugreifen liegt
es meistens an der Konfiguration der Klienten am anderen Ende. z.B. wenn im Remote-LAN
keine Ressourcen freigegeben sind kann man natürlich nicht auf sie zugreifen. Des Weiteren
sollte man auch beachten inwieweit man seine Firewall konfiguriert hat, nicht das man
versucht auf Dinge zuzugreifen welche man innerhalb der Router-Konfiguration geblockt hat.
- Seite 110 von 172 -
41.
VPN – IPSec Grundeinstellungen
In diesem Menüpunkt des DrayTek Vigor Routers kann der IPSec-Schlüssel konfiguriert
werden, der standardmäßig bei VPN/LAN-LAN-Verbindungen für die Einwahl in den DrayTek
Vigor Router verwendet wird. Prinzipiell wird bei einem sich einwählenden Router dieser
Schlüssel (Pre-Shared Key) verwendet.
Bei solchen VPN / LAN-LAN Verbindungen, bei denen die IP-Adresse/Adressbereich des
entfernten Servers fest vorgegeben wird, kann ein von dem hier beschriebenen IPSec
Schlüssel anderer, eigener IPSec-Schlüssel hinterlegt werden. Dieser wird dann ausschließlich
für diese betreffende VPN-Verbindung verwendet.
IPSec dient zur Verschlüsselung von VPN-Verbindungen. Dabei ermöglicht IPSec drei
verschiedene Sicherheitsstufen:
a) Die übertragenen Daten werden über den Schlüssel authentifiziert.
b) Die übertragenen Daten werden mit dem Schlüssel codiert.
c) Die übertragenen Daten werden über den Schlüssel authentifiziert und codiert.
Konfigurieren Sie also für eine IPSec VPN Verbindung immer einen Schlüssel (Pre-Shared Key).
Geben Sie unter „IKE Authentifizierung" Ihren zu verwendenden IPSec-Schlüssel für die
Einwahl ein und wiederholen Sie Ihre Eingabe bei „IPSec-Schlüssel (Pre-Shared Key)
wiederholen".
- Seite 111 von 172 -
Unter „IPSec Sicherheit" konfigurieren Sie, auf welchen IPSec-Sicherheitsniveaus die Einwahl
in den DrayTek Vigor Router erfolgen kann.
Bei „Mittel (AH)" überprüft der Router nur den IPSec-Schlüssel, den der entfernte Client/Router
übermittelt.
„Hoch (ESP)" ermöglicht eine komplett verschlüsselte Übertragung. Die Art uns Stärke der
Verschlüsselung legen Sie in der Auswahl daneben fest: Möglich sind hierbei DES, 3DES und
AES.
- Seite 112 von 172 -
42.
VPN – Externe Nutzer (RAS)
Zusätzlich zu einer LAN zu LAN Verbindung können sich natürlich auch externe Nutzer in den
Router einwählen. Das ermöglicht z.B. die Anbindung von Heimarbeitsplätzen an das
Firmennetzwerk oder ermöglicht Ihnen den einfachen Zugriff auf Anwendungen oder Freigaben
in Ihrem Firmennetzwerk von zu Hause aus.
Die Konfiguration für die Einwahl über ISDN wird in einem anderen Kapitel dieses Handbuchs
beschrieben.
Zuallererst müssen wir dem Router mitteilen auf welche Art die Einwahl von außen erfolgen
darf. Gehen Sie dazu ins Hauptmenü und dann auf „VPN und externe Einwahl“ und
„Einwahlmöglichkeiten“.
Stellen Sie sicher, dass die Einwahl über die oben gezeigten Protokolle möglich ist bzw.
zumindest über PPTP. Bestätigen mit „OK“ nicht vergessen.
Danach gehen Sie in den Menüpunkt „VPN und externe Einwahl“ -> „PPP Einstellungen“.
- Seite 113 von 172 -
Auf der linken Seite des Menüs lassen Sie bitte alles so wie es ist und tragen bitte nur rechts
bei -> „IP Adressenzuweisung für einwählenden Benutzer“ die IP Adresse ein, die der Benutzer
der sich von außerhalb einwählt, in Ihrem lokalen Netzwerk zugeteilt bekommen soll. Gesetzt
den Fall Sie haben ein 192.168.1.X Netzwerk nehmen sie einfach eine in diesem Netzbereich
noch „freie“ bzw. nicht vergebene IP Adresse. (Beispiel: 192.168.1.200)
Bei der PPP Authentifizierung werden sowohl PAP als auch CHAP vom Router akzeptiert.
Sollten Sie gegenseitige Authentifizierung als zusätzliches Sicherheitsfeature benutzen wollen
aktivieren Sie dieses bitte und tragen noch einen Benutzernamen und ein Passwort für die
doppelte Authentifizierung ein.
Verschlüsselung (MPPE): MPPE steht für Microsoft Point-to-Point Encryption. Diese kann zur
zusätzlichen Verschlüsselung der PPTP-Verbindung eingesetzt werden. Stellen Sie die
Einstellung bitte auf "Optional". Klicken Sie nun bitte auf OK, um Ihre Einstellungen zu
speichern.
Klicken Sie im Menü "VPN und externe Einwahl" auf "Externe Benutzer (Teleworker)" um
Benutzerkennungen und Passwörter für externe Benutzer festzulegen.
- Seite 114 von 172 -
Insgesamt können bis zu 20 Profile für verschiedene Nutzer im DrayTek Router konfiguriert
werden. Wählen Sie also eines der freien Konten aus um mit der Konfiguration fort zu fahren.
- Seite 115 von 172 -
Dort aktivieren Sie bitte erst einmal das Benutzerkonto, vergeben einen Benutzernamen und
Passwort für den sich einwählenden Benutzer. Beachten Sie bitte hierbei möglichst keine
Sonderzeichen zu verwenden, sondern nur normale Zahlen & Buchstaben zu verwenden.
ACHTUNG:
Verwenden Sie niemals den gleichen Benutzernamen und Passwort für ein anderes Profil im
DrayTek Vigor Router (egal ob VPN LAN zu LAN oder externer Benutzer). Nutzen Sie immer
verschiedene Benutzernamen und Passwörter, da es sonst zu Fehlern beim Aufbau einer VPN
Verbindung kommen kann.
Nach der "Max. Leerlaufzeit" ohne Datenübertragung wird die Verbindung abgebaut.
Unter "Einwahl zulassen über" werden die Protokolle, über die eine Einwahl stattfinden können
soll, ausgewählt werden. In unserem Falle arbeiten wir mit PPTP.
Fernzugriff definieren:
Bei einer VPN Verbindung können Sie die IP-Adresse oder ISDN Nummer der Gegenstelle
festlegen. Damit ist es nur einem externen Client/Router mit genau dieser hier hinterlegten IPAdresse möglich, eine VPN -Verbindung mit dem DrayTek Vigor aufzubauen.
Wenn von der Gegenstelle der "Aggressive Mode" von IKE/IPSec bei der Einwahl verwendet
wird, kann zusätzlich eine "Peer-ID (Aggressive Mode)" zur Authentifizierung der Gegenstelle
angegeben werden.
Mit Klick auf "OK" speichern Sie, wie immer, die gerade getätigten Einstellungen.
Haben Sie keine feste IP Adressen von Ihrem Provider bekommen oder eine Zwangstrennung
nach 24 Stunden empfiehlt sich die Verwendung eines DynDNS Services.
Im Zusammenspiel zwischen VPN und der DynDNS Unterstützung der Draytek Vigor Routers
haben Sie die Möglichkeit immer über eine öffentliche IP Adresse erreichbar zu sein. Sie
können sich bei einem kostenlosen DynDNS Provider eine feste IP Adresse reservieren. Der
Vigor hat nun die Möglichkeit ihre aktuelle (vom Provider zugewiesene) WAN IP Adresse an
diesen Service zu übermitteln. Nehmen wir an, Sie haben sich eine Adresse bei
www.dyndns.org reserviert. Diese lautet "meinbüro.dyndns.org" .
- Seite 116 von 172 -
43.
VPN – Externe Einwahl Win 2000
Um sich von außen als externer Benutzer in den DrayTek Vigor Router einzuwählen benötigen
Sie normalerweise nur Ihr Betriebssystem (Win 2000, Win XP oder Mac OS X). Weiterhin kann
die Einwahl auch über IPSec und eine VPN Client Software benutzt werden. Im folgenden
Beispiel zeigen wir Ihnen wie Sie einen Windows 2000 Rechner für die Einwahl auf den
DrayTek Router Konfigurieren. Vorraussetzung hierfür ist die Konfiguration des Routers wie im
Kapitel „VPN – Externe Nutzer“ beschrieben.
Der Netzwerk Verbindungsassistent geht auf.
Klicken Sie auf „Weiter“.
- Seite 117 von 172 -
Hier wählen Sie nun „Verbindung mit einem privaten...“ aus und klicken auf „Weiter“.
In diesem Window geben Sie bitte die IP Adresse des Vigor Routers bzw. die DynDNS Adresse
unter der der Vigor zu erreichen ist an. Wie immer geht’s mit „Weiter“ ins nächste Menü.
- Seite 118 von 172 -
...und „Weiter“.
Hier geben Sie Ihrer gerade erstellten Verbindung einen Namen und entscheiden sich ob
Windows Ihnen eine Verknüpfung auf dem Desktop anlegen soll. Ein Klick auf „Fertig stellen“
schließt die Konfiguration der Verbindung ab.
- Seite 119 von 172 -
Im folgenden Fenster geben Sie nun den Benutzernamen und das Passwort an, welches Sie im
DrayTek Vigor Router bei den Einstellungen für den externen Benutzer gemacht haben. Achten
Sie auf Groß/Kleinschreibung. Entscheiden Sie ob das Kennwort für diese Verbindung von
Windows automatisch gespeichert werden soll. Danach gehen Sie bitte auf „Eigenschaften“ und
klicken auf den „Netzwerk“ Reiter.
Wählen Sie hier das PPTP Protokoll aus und bestätigen Sie mit „OK“.
Wenn bereits eine Verbindung zum Internet besteht, kann im nun wieder aktiven Fenster mit
einem Klick auf "Verbinden" der VPN-Verbindungsaufbau gestartet werden.
- Seite 120 von 172 -
Ansonsten bauen Sie bitte zunächst eine Internetverbindung auf.
Falls der sich einwählende Client/Rechner über Ihr lokales Netzwerk (LAN) in das Internet
gelangt, stellen Sie bitte sicher, dass der Adressraum des Netzwerks, in dem der Rechner liegt,
sich nicht mit dem Adressraum des Netzwerks, in das der Rechner per VPN angeschlossen
werden soll, überschneidet. Bei einer Teilnetzmaske 255.255.255.0 bedeutet dies, dass die
Netzwerkadressen in den ersten drei Ziffern unterschiedlich sein müssen. (z.B. 192.168.1.x zu
192.168.2.x)
Nach Herstellung der Verbindung wird der Verbindungsaufbau bestätigt:
Jetzt ist der Rechner in das Netzwerk, das hinter dem DrayTek Router liegt, eingewählt. Sie
können nun auf Freigegebene Ordner oder jedes Gerät mit einer IP Adresse in diesem
Netzwerk zugreifen. Beachten Sie bitte, dass die Namensauflösung nicht funktioniert. Sollten
Sie sich also mit einem Rechner verbinden wollen tun Sie dieses bitte über die IP Adresse.
Dazu sollte das Netzwerk, in das sich eingewählt wird, natürlich mit festen IP Adressen
konfiguriert sein.
- Seite 121 von 172 -
44.
VPN – Smart VPN Tool
Smart VPN ist ein Tool welches Ihnen unter Windows 2000/XP hilft eine IPSec VPN Verbindung
zu Ihrem DrayTek Vigor Router aufzubauen. Das Smart VPN Tool finden Sie auf der
mitgelieferten CD. Installieren Sie dieses Tool einfach auf dem Rechner von dem Sie sich aus
in den Vigor einwählen möchten.
Dazu muss der Router bereits wie z.B. im Kapitel „VPN – Externe Nutzer“ konfiguriert sein.
Achten Sie darauf, dass für die Einwahl in den Router L2TP und IPSec aktiviert sind, ein IPSec
Schlüssel (Pre-Shared) Key hinterlegt ist und das Sie ein Profil für einen externen Benutzer
konfiguriert haben bei dem die Einwahl über L2TP und IPSec aktiv ist.
Ihr Rechner muss bereits für den Zugang in das Internet konfiguriert sein. Im Idealfall handelt
es sich dabei um eine Wählverbindung über ein analoges Modem bzw. einen ISDN Adapter.
Eine IPSec Einwahl über einen Router mit NAT funktioniert nicht.
Starten Sie nun den gerade installierten Smart VPN Client von DrayTek und das folgende
Fenster sollte sich öffnen:
- Seite 122 von 172 -
Unter "Step 1. Dial to ISP" kann der Verbindungsaufbau zum Internet Service Provider direkt
von Smart VPN aus gestartet werden, sollten sie gerade noch nicht in das Internet eingewählt
sein.
In der Auswahl sehen Sie die Netzwerkverbindungen die auf Ihrem Rechner bereits konfiguriert
sind. Wählen Sie dann einfach die gewünschte Verbindung für Ihr Modem bzw. Ihren ISDN
Adapter aus und klicken auf „Dial“.
Eine Statusanzeige über den Verbindungsaufbau befindet sich im unteren Teil des Smart VPN
Tool Fensters:
Wenn sich Ihr Rechner erfolgreich über das Modem/den ISDN Adapter in das Internet
eingewählt hat erfolgt diese Meldung:
Die grüne LED für ISP im Smart VPN Tool sollte nun leuchten und Ihre Internetverbindung
signalisieren. Jetzt können Sie den VPN Tunnel aufbauen. Dazu klicken Sie bitte bei „Connect
to VPN Server“ auf „Setup“.
- Seite 123 von 172 -
In diesem Fenster tragen Sie nun bitte die für die Verbindung benötigten Daten ein. Bei „VPN
Server IP / Host Name“ tragen Sie die IP Adresse des DrayTek Routers bzw. die DynDNS
Adresse ein. (Beispiel: meinbuero.dyndns.org)
Bei "User Name" und "Password" tragen Sie den Benutzernamen und das Passwort, welches im
Profil für den externen Nutzer unter "Benutzername" und "Passwort" gewählt wurden, ein.
Aktivieren Sie bei "Type of VPN" der Eintrag "L2TP Over IPSec"und bestätigen Sie mit "OK".
Nun sollte ein weiteres Fenster erscheinen:
- Seite 124 von 172 -
Definieren Sie bei „Security Method“ welche IPSec Methode verwendet werden soll.
Unter "Medium (AH)" entscheiden Sie sich für SHA1 oder MD5-Verschlüsselung.
Bei der Auswahl "High (ESP)" erfolgt die Verschlüsselung der Daten mit DES oder 3DES,
optional können Sie eine zusätzliche Authentifizierung mit SHA1 oder MD5 auswählen.
Geben Sie unter "Pre-shared Key" den IPSec-Schlüssel ein, den Sie auch im Router hinterlegt
haben und bestätigen Sie, wie immer, abschließend mit "OK".
Nun können Sie durch klicken auf „Connect“ den VPN Verbindungsaufbau starten..
Nach dem Aufbau der Verbindung blendet sich das Fenster aus, Sie können es unten am
Bildschirm aber mit einem Mausklick wieder öffnen. Wenn der VPN Verbindungsaufbau korrekt
von statten gegangen ist leuchtet nun auch die VPN LED im Fenster des Smart VPN Tools grün.
Sie sind nun per IPSec Verbindung mit dem Netzwerk hinter dem Router verbunden und
können auf lokale Rechner, Freigaben und jedes Gerät mit einer IP Adresse in diesem LAN
zugreifen. Beachten Sie, dass die Namensauflösung nicht funktioniert. Rechner können nur
über Ihre IP Adresse angesprochen werden und dazu sollte das Netzwerk hinter dem Router
natürlich mit festen IP Adressen und nicht mit DHCP konfiguriert sein.
Sie können die VPN Verbindung jederzeit durch klicken auf „Disconnect“ trennen und durch
klicken auf „Connect“ wieder aufbauen.
- Seite 125 von 172 -
45.
QoS – Quality of Service
Der DrayTek Vigor Router hat die Möglichkeit die Bandbreite für bestimmte Rechner/Clients
und Applikationen zu beschränken. Das bedeutet, dass Sie z.B. Ihren Kindern nur eine gewisse
Bandbreite Ihres Internetanschlusses für Applikationen wie z.B. Filesharing zur Verfügung
stellen können und immer einen garantierten Teil dieser Bandbreite für sich selbst zur
Verfügung haben.
Dieses geschieht in der Regel mit der QoS (Quality of Service) Funktion. Im Normalfall teilt der
Router die gesamte, ihm zur Verfügung stehende, Bandbreite auf sämtliche an Ihn
angeschlossenen Rechner/Clients auf. Macht z.B. ein Rechner einen Download, steht im die
komplette Bandbreite zur Verfügung. Fängt jetzt ein zweiter Rechner einen zusätzlichen
Download an, wird die zur Verfügung stehende Bandbreite unter diesen beiden Rechnern
aufgeteilt. Je mehr Rechner also Daten in das Internet schicken bzw. Downloaden, desto
weniger Bandbreite steht jedem Rechner zur Verfügung.
Wollen Sie jetzt mit Ihrem dritten Rechner einfach nur im Internet surfen kann das eventuell
schon langsamer von statten gehen, da zwei andere Rechner ja schon eine ganze Menge der
Bandbreite beanspruchen. Hier kommt nun QoS ins Spiel. Wir können nun z.B. 40% der
Bandbreite für HTTP (also das Surfen im Netz) reservieren. Natürlich kann auch jeder andere
Dienst für QoS konfiguriert werden.
Gehen Sie dazu nun über das Hauptmenü in den Menüpunkt „QoS (Quality of Service)“.
Aktivieren Sie zunächst die QoS Funktion und führen die Konfiguration fort.
- Seite 126 von 172 -
Bei der „Richtung“ spezifizieren Sie bitte ob die Bandbreite nur für eingehende (Downloads),
nur für ausgehende (Uploads) oder für beide Richtungen geregelt werden soll. Die beste
Einstellung hier ist im Normalfall „Beide“.
Gruppen:
Die Gruppen bestehen aus Diensten bzw. Regeln. Die Regulierung der Bandbreite erfolgt
jeweils für eine komplette Gruppe. Sie können bis zu drei Gruppen konfigurieren. In der
vierten Gruppe "andere" werden automatisch alle Services zusammengefasst, die in den von
Ihnen konfigurierten Gruppen nicht vorkommen.
Gruppenname:
Geben Sie hier eine Bezeichnung für diese Gruppe an.
Reservierte Bandbreite:
Hier definieren Sie, wie viel Bandbreite für diese Gruppe zur Verfügung stehen soll. Die
Bandbreite für „Sonstige Dienste" wird aufgrund der Werte der ersten drei Gruppen berechnet.
Für jede Gruppe muss mindestens 1 Prozent Bandbreite reserviert werden.
Wenn Sie für WEB/HTTP nun 40% Bandbreite reservieren wollen, tragen Sie zunächst einen
Gruppennamen ein. (Beispiel“WEB/HTTP“ und anschließend „40" bei „Reservierte Bandbreite")
Insgesamt darf die reservierte Bandbreite die 100% natürlich nicht überschreiten.
UDP Bandbreite begrenzen:
Um unter "Max. Anteil an Bandbreite für UDP-Pakete" einen Höchstwert für den Anteil der
UDP-Pakete bei der Datenübertragung festzulegen, aktivieren Sie diese Funktion.
Die Zuweisung von Diensten zu einer Gruppe kann entweder über den Button "Einfach" oder
über den "Erweitert" Button geschehen.
- Seite 127 von 172 -
Einfach:
Die einfache Konfiguration reserviert einer Gruppe von Diensten eine Bandbreite. Bei Bedarf
steht dieser Teil der Bandbreite für die restlichen Dienste nicht zur Verfügung.
Erweitert:
Mit der erweiterten Konfiguration kann bei einem Dienst zusätzlich Quelle und Ziel definiert
werden. Die erweiterte Konfiguration wird in einem separaten Kapitel dieses Handbuchs noch
beschrieben.
Klicken Sie bitte nun auf „Einfach“.
Links sehen Sie nun die Dienste, die für die Zuordnung in eine Gruppe ausgewählt werden
können und auf der rechten Seite befinden sich die Dienste die dieser Gruppe bereits
zugeordnet wurden. Für unser Beispiel wählen wir nun also „HTTP“ aus der linken Spalte.
Nun klicken Sie bitte auf „Hinzufügen“.
- Seite 128 von 172 -
Nun befindet sich der „HTTP“-Dienst in der rechten Spalte und steht links nicht mehr für die
Zuordnung zur Verfügung. Insgesamt können Sie einer Gruppe bis zu 20 Dienste zuweisen.
Nun noch ein Klick auf „OK“ und Sie befinden sich wieder im QoS Menü, wo Sie erneut auf
„OK“ klicken.
Um einen Überblick über die aktuelle Verteilung der Bandbreite zu erhalten gibt es den Punkt
„Online Statistik“ im „Quality of Service“ Menü.
Sie sehen Übersicht mit den vier Gruppen, in der Richtung, Gruppenname und Reservierte
Bandbreite aufgelistet sind.
Der „Inbound Datendurchsatz“ zeigt die Datenübertragungsrate der Gruppe beim
Herunterladen (Download).
- Seite 129 von 172 -
Der „Outbound Datendurchsatz“ zeigt die Datenübertragungsrate der Gruppe beim Hochladen
(Upload).
- Seite 130 von 172 -
46.
QoS – Quality of Service erweitert
Mit der erweiterten Konfiguration von QoS kann man eine Bandbreitenreservierung für einzelne
Rechner/Clients im Netzwerk einrichten. Alle Rechner, die für eine spezielle Aufgabe
Bandbreite benötigen, erhalten diese auch bevorzugt.
Die Bandbreitenreservierung über QoS kann auch abhängig von der IP-Adresse des
Verbindungspartners stattfinden. Die Bandbreite wird dann z.B. für Verbindungen zu einem
bestimmten Server im Internet reserviert z.B. zur Zentrale Ihres Unternehmens.
Im Folgenden reservieren wir 25% der Bandbreite für einen Client/Rechner mit der IP Adresse
192.168.1.99 in Ihrem lokalen Netzwerk.
Gehen Sie dazu in das Menü „QoS (Quality of Service)“und machen folgende Einstellungen:
Nun klicken Sie bitte auf „Erweitert“.
- Seite 131 von 172 -
Da Sie bisher noch keine Regeln erstellt haben ist die Liste bisher Leer. Klicken Sie nun auf
„Einfügen“ um die erste Regel zu konfigurieren.
Setzen Sie diese zuerst einmal auf „Aktiv“.
Quell-IP-Adresse:
Hierbei handelt es sich um die Clients/Rechner im lokalen Netzwerk des Routers. Bei
Verbindungsrichtung "Rein" sind dies die Empfänger der Datenpakete aus dem Internet. Bei
Verbindungsrichtung "Raus" die Sender von Datenpaketen in das Internet.
Ziel-IP-Adresse:
Hier werden die zugehörigen Rechner im Internet definiert.
DiffServ CodePoint:
Die Einstellung für "DiffServ CodePoint/Priorisierung" bleibt in der Regel beim voreingestellten
"Any".
Dienst/Service Typ:
Unter "Service Typ" wählen Sie den Dienst aus, für den diese Regel gilt. Es ist möglich, einen
neuen Dienst zu erstellen. Die Voreinstellung "ANY" bestimmt, dass die
Bandbreitenreservierung für sämtliche Services gilt. In dieser Konfiguration wird den
Rechnern/Clients, unabhängig vom jeweiligen Service, Bandbreite garantiert.
Die Regel überprüft bei einem Paket nun neben dem Dienst selbst auch, ob der Rechner im
Internet unter "Ziel-IP-Adresse" bzw. ob der Rechner/Client im Netzwerk unter "Quell-IPAdresse" enthalten ist. Nur wenn beides zutrifft, kann auf die reservierte Bandbreite
zurückgegriffen werden.
- Seite 132 von 172 -
In der Voreinstellung "Any" bei "Quell-IP-Adresse" und "Ziel-IP-Adresse" gilt die Reservierung
unabhängig von der IP der jeweiligen Rechner.
Um die Bandbreitenreservierung auf den Rechner 192.168.1.99 im lokalen Netzwerk zu
beschränken, klicken Sie unter "Quell-IP-Adresse" auf "Ändern".
Es öffnet sich ein neues Fenster. In diesem Fenster konfigurieren Sie die IP Adressen bzw.
Adressbereiche.
IP-Adressraum:
Beliebig - Eine Überprüfung der IP-Adressen findet nicht statt.
einzelne IP-Adresse - Der Rechner im LAN muss diese IP-Adresse haben, sonst kann ein
Datenpaket nicht auf die reservierte Bandbreite zurückgreifen.
IP-Adressbereich - Nur Adressen, die zwischen "Start IP Adresse" und "Stopp IP-Adresse"
liegen, können auf die reservierte Bandbreite zurückgreifen.
Subnetz - Nur Adressen innerhalb dieses Teilnetzes (Subnetz), können auf die reservierte
Bandbreite zurückgreifen.
Nachdem Sie diese Einstellung gemacht haben klicken Sie bitte auf „Hinzufügen“ und die
gerade definierte Regel erscheint in der Liste.
- Seite 133 von 172 -
Die weiteren Buttons in diesem Menü erklären sich wohl von selbst. Insgesamt können Sie auf
diese Art und Weise bis zu 20 Regeln definieren.
Natürlich können Sie die erfolgreiche Konfiguration auch wieder über den Punkt „Online
Status“ im Menü „QoS (Quality of Service)“ überprüfen.
- Seite 134 von 172 -
47.
Printserver – Windows 2000
Um den DrayTek Vigor Router als Printserver zu verwenden muss zuallererst der USB Drucker
mit dem Router verbunden sein. Weiterhin benötigen Sie einige Informationen für das Setup
unter Windows.
Sie benötigen die IP Adresse des Printservers (entspricht der LAN IP Adresse des DrayTek
Routers).
Bitte halten Sie den Druckertreiber für Ihren USB Drucker griffbereit und folgen den nächsten
Schritten um den DrayTek Vigor Router als Printserver zu verwenden.
Öffnen Sie Einstellungen -> Drucker und wählen „Neuer Drucker“.
Der Windows Installationsassistent öffnet sich. Klicken Sie auf „Weiter“.
- Seite 135 von 172 -
Wählen Sie „Lokaler Drucker“ und entfernen das Häkchen bei „Automatische
Druckererkennung..“. Klicken Sie danach auf „Weiter“.
Wählen Sie „Einen neuen Anschluss erstellen“ und stellen zusätzlich „Standard TCP/IP Port“
ein... danach klicken Sie auf „Weiter“.
- Seite 136 von 172 -
Auch hier klicken Sie auf „Weiter“.
In diesem Fenster geben Sie die IP Adresse des Printservers (LAN IP des DrayTek Vigor
Routers) ein und bestätigen mit „Weiter“.
- Seite 137 von 172 -
Wählen Sie „Standard“ und klicken dann auf „Generic Network Card“.
Klicken Sie jetzt auf „Fertig stellen“.
- Seite 138 von 172 -
Wählen Sie nun Ihren Drucker aus der Liste bzw. klicken auf Datenträger um den
Druckertreiber von der Hersteller CD zu installieren.
Benennen Sie den Drucker und bestätigen durch klicken auf „Weiter“.
- Seite 139 von 172 -
Entscheiden Sie nun noch ob Sie den Drucker freigeben möchten oder nicht. Und wieder
bestätigen Sie bitte mit „Weiter“.
Bitte drucken Sie noch KEINE Testseite. Es sind noch nicht alle nötigen Konfigurationsschritte
abgeschlossen.
Im Ordner "Drucker" finden Sie jetzt den neu angelegten Drucker.
Klicken Sie mit der rechten Maustaste auf das Druckersymbol.
- Seite 140 von 172 -
Klicken Sie auf "Eigenschaften".
Es öffnet sich ein Fenster. Klicken Sie darin bitte auf den Reiter "Anschlüsse".
Hier finden Sie den Druckerport, den Sie zuvor beim Anlegen des Druckers ausgewählt haben.
- Seite 141 von 172 -
Bitte ändern Sie diese Einstellung nicht: Achten Sie also darauf, dass nur der IP-Port
"IP_192.168.1.1" mit einem kleinen Häkchen ausgewählt ist.
Klicken Sie auf "Konfigurieren". Es öffnen sich die Einstellungen für den Druckerport.
Wählen Sie hier bei "Protokoll" den Eintrag "LPR", tragen als Warteschlangenname "p1" ein
und klicken Sie danach auf "OK".
Schließen Sie anschließend das Fenster mit den Eigenschaften des Druckers mit der Taste
"Schließen".
Verbinden Sie den Drucker über den Vigor mit dem Netzwerk und stellen Sie sicher, dass der
Rechner mit dem Router korrekt verbunden ist und diesen erreichen kann.
Wenn Sie den Drucker nicht als Standarddrucker festgelegt haben, wählen Sie ihn einfach im
"Drucken"-Menü aus bevor Sie auf "Drucken" klicken.
- Seite 142 von 172 -
48.
Dynamisches DNS - DynDNS
Nehmen wir an, Sie möchten Ihren Router (bzw. einen Service Ihres lokalen Netzwerks z.B.
einen FTP Server) immer über dieselbe IP-Adresse über das Internet erreichen.
Dieses ist heutzutage leider nicht unbedingt möglich, da die meisten Internet Provider Ihnen
jedes Mal wenn Sie sich einwählen eine neue, „dynamische“, IP-Adresse zuweisen und Ihre
Internetverbindung meistens einmal am Tag trennen. Eine Option wäre sich eine „feste“ IPAdresse zuteilen zu lassen aber diesen Service lässt sich Ihr Provider natürlich bezahlen.
Eine Möglichkeit Ihren DrayTek Router fast 24 Stunden am Tag über das Internet erreichbar zu
machen ist die Nutzung eines so genannten kostenlosen „Dynamic DNS Service“. Das
funktioniert folgendermaßen:
Sie registrieren sich bei einem dieser Services und erhalten eine eigene IP Adresse. Einer der
bekanntesten Provider ist DynDNS (www.dyndns.org). Nach der Anmeldung erhalten Sie
dann die Adresse (z.B. test.dyndns.org). Bisher mussten Sie dann ein Utility auf einem Ihrer
Rechner laufen lassen, welches Ihre aktuell vom Provider zugeteilte IP-Adresse an den
DynDNS Service übermittelt hat, und der hat dann die Adresse test.dyndns.org dieser IP
zugewiesen. Der Router übernimmt nun die Aufgabe dieses Utilities.
Wählen Sie vom Hauptmenü aus den Punkt „Dynamisches DNS“. Folgendes Fenster erscheint
und Sie haben nun die Möglichkeit bis zu 3 Konten zu Konfigurieren.
Klicken Sie nun einfach einmal auf Index Nummer 1, aktivieren den Dynamic DNS Account und
- Seite 143 von 172 -
wählen einen Provider aus. (in unserem Beispiel „dyndns.org“)
Im Feld „Domain Name“ geben Sie bitte nun den Namen an, den Sie bei der Anmeldung
registriert haben. (ohne das dyndns.org, der Router setzt die Adresse selbst zusammen) ->
Beispiel: test
Bei Login Name und Passwort tragen Sie bitte den Namen und das PW ein, mit dem Sie sich
bei dem DynDNS Service angemeldet haben und bestätigen wie immer mit klicken auf „OK“.
Wenn ein DDNS Server Wildcards unterstützt, können alle Unterdomains auf einmal
aktualisiert werden. Beispiel: Sie besitzen die DDNS Domain "twocom.dyndns.org"
"service.twocom.dyndns.org" und "hilfe.twocom.dyndns.org". Um alle Domains auf einmal zu
aktualisieren aktivieren Sie Wildcard und tragen Sie als Domäne "*.twocom.dyndns.org" ein.
Backup MX:
Nehmen wir an Sie haben keinen eigenen Mailserver und benutzen einen Mailserver im
Internet (Beispiel: mail.flying.net) um z.B. Mails für chef@twocom.dyndns.org zu
empfangen, geben Sie hier bitte „mail.flying.net“ ein. Die Emails für
chef@twocom.dnydns.org werden dann an chef@mail.flying.net weitergeleitet.
Aktuell unterstützt DrayTek die folgenden DDNS Provider:
- Seite 144 von 172 -
- Seite 145 von 172 -
49.
Zeit und Datum
Hier sehen Sie zunächst einmal die aktuelle Systemzeit und können definieren ob der Vigor
sein Datum und seine Zeit von Ihrem Browser oder von einem der zahlreichen TimeServer aus
dem Internet beziehen soll.
Eine aktuelle Liste mit Time Servern finden Sie z.B. unter www.ntp.org .
Sollten Sie dort nicht fündig werden, verwenden Sie z.B. die IP Adresse 192.53.103.103.
Weiterhin beachten Sie, dass der DrayTek Router die Zeit des Timeservers nicht von Winterauf Sommerzeit (oder anders herum) umstellt. Angezeigt wird immer die Winterzeit. Um den
Router über einen Timeserver mit der Sommerzeit zu versorgen, wählen Sie einfach eine
andere Zeitzone, die um die zusätzliche Stunde verschoben ist, beispielsweise "(GMT +2.00)
Bucharest" aus.
- Seite 146 von 172 -
50.
Verbindungstimer
Der DrayTek Vigor Router ist in der Lage zu bestimmten Zeiten eine Verbindung zum Internet
aufzubauen oder abzubauen. Sie können damit z.B. einen täglichen Verbindungsaufbau um
14.00Uhr oder einen automatischen Verbindungsabbau um 19.00 Uhr forcieren, wenn Sie z.B.
Ihr Büro verlassen.
Diese Funktion des DrayTek Routers funktioniert in Verbindung mit der Systemzeit des
Routers. Die Konfiguration der Systemzeit wird in einem anderen Kapitel behandelt.
Klicken Sie vom Hauptmenü auf den Menüpunkt „Verbindungstimer“, Sie gelangen nun in ein
Menü wo sie bis zu 15 verschiedene Regeln definieren können.
Wählen Sie nun einen freien Index z.B. Index 1.
- Seite 147 von 172 -
Aktivieren Sie zunächst einmal die Regel durch Setzen von „Timer aktiv“.
Anfangsdatum:
Tragen Sie hier bitte ein ab welchem Datum diese Regel aktiv sein soll.
Startzeit:
Hier geben Sie Uhrzeit an (Beispiel 10.10Uhr)
Dauer:
Die Länge der Verbindungsdauer wird hier angegeben
Verbindung:
Aufbauen – baut eine Verbindung auf.
Beenden – trennt eine Verbindung.
Einwahl erlauben – hiermit lässt sich die Einwahlmöglichkeit von außen aktivieren.
Einwahl sperren – deaktiviert die Einwahlmöglichkeit von außen.
Max. Leerlaufzeit:
bestimmt die Inaktivitätszeit, nach der der Router die Verbindung trennen soll.
Beim Menüpunkt „Wiederholungen“ können Sie nun dem Router sagen ob diese Verbindung
einmalig erfolgen soll, oder ob sie an mehreren bestimmten Wochentagen erfolgen soll.
Bestätigen Sie Ihre Eingaben wie immer mit klicken auf „OK“.
- Seite 148 von 172 -
Die Regel ist nun definiert und Sie können die Regel im PPPoE Setup unter dem Punkt „Aktive
Timereinstellung“ zur Anwendung bringen. Tragen Sie z.B. dort die 1 ein wird diese Regel vom
Router berücksichtigt.
Bemerkung:
Bitte überprüfen Sie Ihre Einstellungen sorgfältig, da bei Fehlkonfiguration nicht
auszuschließen ist dass Ihnen zusätzliche Kosten entstehen können. Weder DrayTek noch die
Firma TwoCom haften in diesem Falle. Stellen Sie bitte sicher, dass Sie wissen was Sie tun.
- Seite 149 von 172 -
51.
Systemverwaltung – Fernwartung
Jeder DrayTek Router kann prinzipiell über das Internet fernkonfiguriert werden. Dazu
benötigen Sie lediglich die WAN IP Adresse (oder DynDNS) des Routers und das Passwort.
Standardmäßig ist die Fernwartung des Routers jedoch aus Sicherheitsgründen deaktiviert.
Um die Fernwartung zu aktivieren gehen Sie über das Hauptmenü des Routers auf
„Verwaltung“.
Hier können Sie zunächst einmal das Management über das Internet erlauben, indem Sie das
Häkchen auf aktiv setzen. Nun können Sie den Router über HTTP konfigurieren.
Auf der rechten Seiten in diesem Menü können Sie noch den Konfigurationsport des Routers
ändern. Dieser steht standardmäßig auf Port 80 (normaler HTTP Port). Ändern Sie diesen Port
kann auf das Webinterface des Routers nur noch über den neuen Port zugegriffen werden.
Wenn Sie diesen Port z.B. auf 8080 ändern müssen Sie um den Router über das Webinterface
konfigurieren zu können „http://192.168.1.1:8080“ angeben. Genauso können Sie hier
auch die Ports für Telnet und FTP ändern.
Weiterhin haben Sie die Möglichkeit die Konfiguration des Routers auf feste IP Adressen bzw.
IP-Adressbereiche zu beschränken.
- Seite 150 von 172 -
Wie im Bild zu sehen würde jetzt nur ein Rechner mit der IP Adresse 192.168.2.3 den Router
konfigurieren können. Alle Anfragen von Rechnern mit anderen IP Adressen werden nun vom
Router zurückgewiesen. Dieses funktioniert sowohl mit internen IP Adressen aus dem LAN, als
auch mit externen IP Adressen die über das Internet auf den Webkonfigurator zugreifen
möchten. Um den Router z.B. nur von lokalen Rechnern konfigurieren lassen zu können tragen
Sie z.B. 192.168.2.0 / 255.255.255.0 ein. Damit könnte jeder Rechner aus dem 192.168.2.x
Netzwerk den Router konfigurieren, vorausgesetzt derjenige vor dem Rechner kennt das
Passwort.
Mit der Funktion "Firmware Upgrade via Internet erlauben" ist es möglich über das Internet ein
Firmware Update auf den Router zu spielen. Im Normalfall wird diese Funktion nicht benötigt
und sollte auch nur von erfahrenen Benutzern verwendet werden.
Verwenden Sie hierbei bitte einen FTP Client, sowie die *.all Firmware Datei.
- Seite 151 von 172 -
52.
Systemverwaltung – Telnet
Neben der Konfiguration des DrayTek Vigor Routers über das Webinterface steht Ihnen auch
die Möglichkeit offen gewisse Funktionen des Vigors über Telnet zu konfigurieren. Der normale
Anwender wird diese Funktion nie benötigen, erfahrene User schätzen aber diese Art der
Konfigurationsmöglichkeit und Diagnose.
Hier möchten wir Ihnen Nahe legen wie Sie die Telnet Kommandos zur Diagnose von etwaigen
Netzwerkproblemen Nutzen können. In folgenden Beispielen verwenden wir den Windows
Telnet Client.
Klicken Sie z.B. auf Ihrem Desktop unten links auf Start und dann auf Ausführen.
Nach einem Klick auf OK öffnet sich das Telnet Terminal und erwartet die Eingabe des
Passworts. (sollten Sie keines vergeben haben werden Sie dann hier noch einmal darauf
hingewiesen eines zu vergeben)
Nach Eingabe des Passwortes erwartet Telnet Ihre Befehle.
Durch die Eingabe eines ? erhalten Sie eine Übersicht über die zur Verfügung stehenden
Befehle:
- Seite 152 von 172 -
Um die einzelnen Befehle näher kennen zu lernen geben Sie irgendeinen der verfügbaren
Befehle ein, gefolgt von einem Freizeichen und einem „?“.
Also z.B.: ip ?
Nun erhalten Sie den weiteren Syntax des Befehls ip:
Kommandos wiederholen:
Innerhalb der Telnet Session können Sie Kommandos wiederholen indem Sie die
Steuerungstasten Pfeil oben und Pfeil unten auf Ihrer Tastatur verwenden.
Telnet beenden:
Um Ihre Telnet Session zu beenden tippen Sie bitte quit oder exit in die Kommandozeile,
gefolgt von einem Druck auf die Return-Taste.
Ansicht der Call Logs:
Das Call Log bietet eine einfache Methode Ihre Ruf Einstellungen oder WAN
Verbindungsprobleme zu diagnostizieren.
Auch wenn Sie selbst den Inhalt des Logfiles nicht verstehen sollten ist es dennoch hilfreich
wenn Sie dieses dann an den Draytek Service schicken können.
Geben Sie „log –F c“ in der Kommandozeile ein um alle Call Logs zu löschen.
Veranlassen Sie dann z.B. einen Ping Befehl zu irgendeiner IP Adresse die nicht zu Ihrem
Netzwerk gehört um den Router zum Aufbau einer Internetverbindung zu bringen.
Geben Sie dann „log –c“ ein um den letzten Call Log anzuzeigen.
- Seite 153 von 172 -
Weitere Befehle sind um Beispiel „log -w“ um sich das WAN Log anzeigen zu lassen oder „log p“ für das PPPoE Log.
Leider gibt es auch von DrayTek keine detaillierte Auflistung sämtlicher Telnet Befehle, mit der
Eingabe von „?“ hinter einem Befehl sollten sich erfahrene Anwender jedoch relativ schnell mit
den zur Verfügung stehenden Befehlen vertraut machen können.
- Seite 154 von 172 -
53.
Systemverwaltung – Erstellen/Laden eines Backups
Es besteht die Möglichkeit eine einmal getätigte Konfiguration des DrayTek Vigor Routers zu
sichern um diese z.B. nach einem Rücksetzen nach eventueller Fehlkonfiguration wieder
einzuspielen und so die gesicherte und funktionierende Konfiguration wieder herzustellen.
Gehen Sie dazu im Hauptmenü des Routers einfach auf „Erstellen / Laden eines Backups“.
Klicken Sie hier jetzt auf „Datensicherung“ wird die aktuelle Konfiguration des DrayTek Vigor
Routers als Datei auf Ihrer Festplatte gespeichert. Wählen Sie einfach über das Windows
Requester den Ort aus, an dem Sie die Konfigurationsdatei auf Ihrer HD sichern wollen.
Um eine Konfigurationsdatei wieder in den Router einzuspielen klicken Sie zunächst bitte auf
den „Browse“ Button. Ein Fenster geht auf und Sie können die Konfigurationsdatei auf Ihrer HD
auswählen.
- Seite 155 von 172 -
Klicken Sie danach auf „Wiederherstellen“ und die Konfiguration wird von Ihrer Festplatte in
den Router gespielt. Der Router gibt Ihnen eine Meldung über das erfolgreiche Laden Ihrer
Konfigurationsdatei und danach führen Sie bitte einen Neustart des Routers durch um diese
zurückgespielte Konfiguration zu aktivieren.
- Seite 156 von 172 -
54.
Systemverwaltung – Hardware Reset
Bei den DrayTek Routern setzten Sie einfach den Router auf die Werkseinstellungen zurück
indem Sie während des laufenden Betriebs die Reset-Taste auf der Rückseite des Routers
solange gedrückt halten bis die ACT-LED sehr schnell blinkt (ca. 5 Sekunden). Danach wird Ihr
Router auf die Werkseinstellungen zurückgesetzt.
Diese sind wie folgt:
IP-Adresse: 192.168.1.1
Teilnetzmaske: 255.255.255.0
DHCP-Startadresse: 192.168.1.10
Anzahl der DHCP-Adressen: 50
Passwort: kein Passwort vergeben
Spielen Sie nun eine gesicherte Konfiguration in den Router zurück oder beginnen Sie mit der
Neukonfiguration des Draytek Vigor Routers.
- Seite 157 von 172 -
55.
Systemverwaltung – Firmware Update
Selbstverständlich verfügt auch der DrayTek Vigor Router über eine Firmware. Diese ist
sozusagen das „Betriebssystem“ für Ihren Router. Von Zeit zu Zeit kann es nötig sein diese
„Firmware“ auf eine aktuellere Version zu bringen, da die Geräte von DrayTek natürlich
weiterentwickelt werden und so eventuell neue Features zur Verfügung gestellt werden.
Außerdem kann ein Firmware Update auch vorhandene Fehler seitens des Herstellers
korrigieren. Normalerweise ist zum Zeitpunkt des Erwerbs eine aktuelle Firmware in Ihren
Vigor Router eingespielt. Wenn Sie keine akuten Probleme haben bzw. Ihnen ein
Servicetechniker explizit zu einem Firmware Update rät, verwenden Sie bitte diese, installierte,
Firmware.
Aktuelle deutsche Firmwares bekommen Sie von den deutschen Internetseiten von DrayTek
bzw. von den Internetseiten eines der deutschen DrayTek Distributoren.
Die in Deutschland heruntergeladenen Firmwares sind in aller Regel lokalisiert, d.h. stellen
Ihnen eine deutsche Konfigurationsoberfläche im Webinterface zur Verfügung.
Es gibt zwei Arten von Firmware Dateien:
*.all – enthält die Firmware sowie das deutsche Interface.
*.rst - enthält die Firmware sowie das deutsche Interface und setzt den Router direkt nach
dem Einspielen der Firmware auf die Werkseinstellungen zurück.
Sowohl für Windows, als auch für Mac OS stehen Ihnen auf der mitgelieferten CD die so
genannten Router Tools zur Verfügung. Diese beinhalten auch das Firmware Upgrade Utility
von DrayTek. Installieren Sie zunächst also die Router Tools von der mitgelieferten CD.
Danach starten Sie bitte das Firmware Upgrade Utility.
- Seite 158 von 172 -
Das folgende Fenster sollte aufgehen:
Nun klicken Sie bitte auf den „...“ Button neben dem „Target Router“ Feld.
Es werden Ihnen nun sämtliche, sich im Netzwerk befindlichen, DrayTek Router angezeigt und
Sie wählen bitte den Router dessen Firmware Sie updaten möchten per Doppelklick aus.
Sollten Sie Ihren DrayTek Router in dieser Liste nicht finden, kann das daran liegen, dass er
eventuell schon im Firmwareupgrade-Modus ist. Das passiert immer, wenn Sie den Router
manuell in den Firmwareupgrade-Modus versetzt haben (beim Einschalten ca. 3 Sekunden den
Reset-Knopf mit einem Stift o.ä. gedrückt halten), kann aber auch unbeabsichtigt z.B. durch
ein missglücktes Firmwareupdate geschehen. Im Normalfall erkennen Sie dass der DrayTek
Router sich im Firmware Update Modus befindet wen die beiden linken LEDs am Gerät selbst
synchron blinken.
Klicken Sie dann hier auf "Cancel" und tragen Sie die Vigor-IP-Adresse manuell unter "Target
Router" im Upgrade-Utility ein.
Beachten Sie bitte auch, dass sich der Router sowie der Rechner von dem aus Sie das Update
starten wollen, im selben Netzwerk/IP-Adressbereich befinden. Ein Firmware Update über eine
drahtlose WLAN Verbindung ist nicht möglich.
- Seite 159 von 172 -
Der ausgewählte Router erscheint nun als „Target Router“ mit seiner IP Adresse. Nun wählen
Sie bitte die einzuspielende Firmware durch klicken auf „...“ neben dem „Local File“ Feld von
Ihrer Festplatte aus.
Um alle Dateien in diesem Ordner aufgelistet zu erhalten stellen Sie bei Dateityp bitte "(*.*)"
ein. Bedenken Sie:
*.all – enthält die Firmware sowie das deutsche Interface.
*.rst - enthält die Firmware sowie das deutsche Interface und setzt den Router direkt nach
dem Einspielen der Firmware auf die Werkseinstellungen zurück.
Die Firmwaredatei wird jetzt unter "Local File" mit ihrem kompletten Pfad angezeigt und bei
"Operation Mode" ist die voreingestellte Auswahl "Upgrade".
Geben Sie nun bei "Password" das Passwort ein, das Sie für den Router vergeben haben. Ab
Werk ist kein Passwort vergeben, in diesem Fall bleibt der Eintrag leer, danach klicken Sie bitte
auf „Send“.
Der Router wird jetzt selbständig in den Upgrademodus gesetzt und die Firmware wird auf den
Router gespielt.
Sollte das Upgrade erfolgreich verlaufen sein, können Sie sich die aktuelle Firmwareversion des
Routers im Webkonfigurator ansehen. Diese finden Sie oben im Webkonfigurator.
Achtung:
Sollte statt der Meldung "Transfer Complete" eine Fehlermeldung erscheinen, starten Sie den
Vigor neu und beginnen Sie wieder von vorne.
Sollten Sie weitere Probleme mit dem Einspielen der Firmware haben, setzen Sie den Router
bitte manuell in den Upgrademodus. Schalten Sie dazu den Router aus, drücken mit einem
geeigneten Gegenstand (Stift) den Resetknopf ganz rechts auf der Rückseite, schalten den
Router wieder an und lassen Sie dabei den Resetknopf etwa drei Sekunden gedrückt. Nun
springt der Vigor in den TFTP-Servermodus, man erkennt das am synchronen Blinken der
Dioden "ACT" und "LNK/QoS".
Sie müssen die IP-Adresse des Routers jetzt manuell unter "Target Router" eingeben, bevor
Sie "Send" klicken, um die Firmware aufzuspielen.
- Seite 160 von 172 -
56.
Onlinestatus
Sie haben beim DrayTek Vigor Router die Möglichkeit sich jederzeit über den Internet
Verbindungsstatus des Routers zu informieren. Dieses ist über den Menüpunkt „Onlinestatus“
über das Hauptmenü möglich.
Dieser Bildschirm aktualisiert sich alle paar Sekunden automatisch. Unter ISDN Status wird
Ihnen der Verbindungsstatus der ISDN Verbindung(en) angezeigt (nur bei Modellen mit ISDN
Interface). Kanal B1 & B2 zeigt die Aktivität der beiden ISDN B-Kanäle an. Ist keine
Verbindung aufgebaut steht bei „Aktivität“ das Wort Idle. Sobald eine der beiden ISDN
Leitungen eingewählt ist erscheint dort eine IP-Adresse bzw. die Bezeichnung der Verbindung.
TX Pkts / RX Pkts und TX Rate / RX Rate sind Werte über die versendeten (TX) und
empfangenen (RX) Datenpakete bzw. eine relative Angabe über die
Übertragungsgeschwindigkeit (Rate) dieser Verbindung.
Die Zeit zeigt Ihnen an, wie lange diese Verbindung aktuell besteht. Weiterhin haben Sie hier
die Möglichkeit eine bestehende Verbindung manuell zu trennen. Tun Sie dies durch klicken auf
„B1 oder B2 auflegen“.
LAN-Status:
Zeigt Ihnen die lokale IP Adresse des Vigor an und wie viele Daten bereits übertragen worden
sind.
- Seite 161 von 172 -
WAN-Status:
Der WAN Status zeigt Ihnen Daten über die Verbindung nach außen an. Dazu gehören die Art
der Verbindung, die WAN IP Adresse (sehen Sie hier rote Striche besteht keine WAN
Verbindung), Daten über die Geschwindigkeit und Menge der übertragenen Pakete, sowie die
Zeit für diese aktuelle Verbindung.
Mit „PPPoE Verbinden" kann die Breitbandverbindung von Hand aufgebaut werden. „PPPoE
Beenden“ trennt die WAN Verbindung.
- Seite 162 von 172 -
57.
Diagnose - ISDN/WAN Verbindungen
In diesem Menü können Sie manuell eine Verbindung zum Internet aufbauen, testen oder
trennen.
ISDN:
Der ISDN-Status zeigt, ob der DrayTek Vigor Router mit dem S0-Bus des ISDN Anschlusses
verbunden ist. Ist der ISDN Status auf UP (grün), so hat der Vigor den ISDN-Anschluss
erkannt. Ist der Status auf DOWN (rot), prüfen Sie bitte Ihre Verbindung zum ISDN-Netz.
Der „UP“ Status kann abhängig von der Telefonanlage bzw. Vermittlungsstelle auch erst grün
werden sobald ein Anwahlversuch stattfindet.
Bei Klicken auf „ISDN" verbindet der DrayTek Router zu der Verbindung die Sie unter „Einwahl
über Einzelanbieter“ oder unter "Einwahl über zwei Anbieter" konfiguriert haben.
PPPoE/PPTP:
Bei klicken auf "PPPoE/PPPOA" erfolgt die Anwahl mit den Daten, die für diese PPPoE/PPoA
Internetverbindung konfiguriert wurden.
Nachdem Sie eine manuelle Anwahl, egal ob über ISDN oder PPPoE, initiiert haben, erfolgt
keine automatische Aktualisierung der angezeigten Seite. Erst wenn Sie den Knopf
"Aktualisieren" oben rechts klicken werden die Daten erneuert.
Bei einer erfolgreichen Anwahl steht nun bei ISDN neben dem Status der Eintrag "UP" und bei
- Seite 163 von 172 -
PPPoE / PPPoA die zugeteilte WAN IP-Adresse.
- Seite 164 von 172 -
58.
Diagnose – Anwahl-Auslöser
Um herauszufinden welcher Rechner bzw. welches Paket aus dem lokalen Netz eine Anwahl
des DrayTek Routers verursacht hat verwenden Sie diese Funktion des Routers.
Öffnen Sie in „Systemmanagement" --> „Diagnose Tools" den Unterpunkt „Anwahl-Auslöser".
Wichtig für die Diagnose ist eigentlich nur die erste Zeile unter „Klartext“. Hier erscheint von
welcher IP Adresse ein Paket abgegangen ist und auf welche IP Adresse dieses Paket gesendet
wurde.
Sie können hier also eine erste Diagnose stellen warum sich der Router z.B. ungewollt mit dem
Internet Verbindet (Beispielsweise Software auf einem der Rechner die nach Aktualisierungen
sucht). Für weitergehende Informationen verwenden Sie bitte Syslog.
- Seite 165 von 172 -
59.
Diagnose – DHCP Tabelle
Sollte Ihr Router als DHCP Server konfiguriert sein, erhalten Sie hier genaue Angaben über die
vom Router vergebenen IP Adressen und den DHCP Status.
Angezeigt werden hier die per DHCP vergebene IP Adresse, die MAC Adresse des Clients dem
die IP Adresse zugewiesen wurde, sowie die Lease Time.
- Seite 166 von 172 -
60.
Diagnose – ARP-Cache Tabelle
Hier zeigt Ihnen der DrayTek Router die ARP-Cache Tabelle an. Sie können hier die IP
Adressen sehen, mit denen der Router während seiner Laufzeit bereits kommuniziert hat.
Der „Aktualisieren“ Button erneuert die Anzeige dieser Tabelle und eventuell neu
dazugekommene IP Adressen werden angezeigt.
- Seite 167 von 172 -
61.
Diagnose – Aktive Portumleitungen
Hier werden Ihnen die unter NAT eingestellten aktiven Portumleitungen angezeigt.
Die in der Liste aufgeführten Daten entsprechen den Angaben in der Portumleitungstabelle.
Protocol:
Steht hier eine 6, so bezieht sich die Portumleitung auf Verbindungen mit dem TCP/IPProtokoll, steht hier eine 17 so gilt die Portumleitung nur für UDP-Verbindungen. Ist eine 0
eingetragen, so ist der Port-Map-Eintrag nicht aktiv.
Public Port:
Dies ist der „Öffentliche Port", dessen Daten an eine IP-Adresse im lokalen Netzwerk (Private
IP) auf einem anderen Port (Private Port) weitergeleitet werden soll.
Private IP:
Dies ist die IP-Adresse des Rechners/Clients im lokalen Netzwerk, auf den die Daten
weitergeleitet werden.
Private Port:
Hier ist der Port aufgeführt, auf den die Daten an den Rechner/Client im lokalen Netzwerk
geschickt werden.
- Seite 168 von 172 -
62.
Diagnose – NAT Tabelle
Auf dieser Seite erhalten Sie eine Liste der über das NAT hergestellten Verbindungen.
„Private IP“ zeigt die Adresse des Rechners im lokalen Netz: Port ist der Port auf dem die
Daten im lokalen Netz zum Router geschickt wurden. Der Pseudo Port muss von der
Gegenstelle benutzt werden, um den Rechner zu erreichen.
„Peer IP“ ist die IP-Adresse des Servers im Internet und der Port ist der Port auf dem die
Anfrage bei der Gegenseite landet.
„Ifno“ steht für „Interface Nummer". Folgende Interfaces gibt es beim Vigor:
0 - LAN
1 - ISDN Kanal B1
2 - ISDN Kanal B2
3 - WAN-Anschluss
- Seite 169 von 172 -
63.
Syslog und Mail Alarm
Unter dem Menüpunkt Syslog und Mail Alarm haben Sie die Möglichkeit den Rechner zu
konfigurieren an den der DrayTek sämtliche Syslog Informationen senden soll. Dazu gehören
Benachrichtigungen bei Hacker Angriffen aber auch generelle Systeminfos.
Über SysLog kann man sich detaillierte Informationen über den Status des DrayTek Vigor
Routers anzeigen lassen. Übermittelt werden Daten zum WAN-Status, zur Einwahl, zu VPN, zu
aufgerufenen Seiten und zur Firewall.
Konfigurieren Sie die Systemzeit des DrayTek Routers, um zu jeder SysLog-Meldung die
aktuelle Systemzeit zu erhalten.
Mit Hilfe des DrayTek Syslog Tools, welches sich auf der mitgelieferten CD befindet, werden die
Nachrichten übersichtlich angezeigt und können als Protokoll gesichert werden. Auch den
WAN-Status des Routers zeigt das Programm an.
Setzen Sie die Syslog Funktion auf aktiv und definieren die IP Adresse des Rechners auf dem
der Syslog Client in Ihrem lokalen Netzwerk läuft und alles mitprotokollieren soll. Der
Standardport ist hierbei 514.
Weiterhin haben Sie die Möglichkeit sich per eMail über WAN-Status, Einwahl, VPN und zur
Firewall informieren zu lassen. Setzen Sie dazu die Mail Alert Funktion auf aktiv, geben Ihren
SMTP Server zum Versenden der Mails, die Email des Empfängers, sowie eine Antwortadresse
an.
- Seite 170 von 172 -
- Seite 171 von 172 -
DrayTek Syslog Tool:
Das Programm "DrayTek SysLog" sammelt und sortiert die SysLog Nachrichten des DrayTek
Vigor Routers. Die Meldungen werden anschaulich dargestellt und können auch als Log-Datei
gespeichert werden. Bedienung und Funktion sind bei den verschiedenen Programmversionen
für Mac OS X, Mac OS 9 und Windows nahezu identisch. Das Syslog Tool finden Sie auf der
mitgelieferten CD bzw. ist Bestandteil der DrayTek Router Tools.
Hinweis für Mac User.
Unter Mac OS X sind Ports 1-1024 reserviert. Deshalb kann unter Mac OS X der voreingestellte
Port 514 nicht verwendet werden. Ändern Sie deshalb in den SysLog-Einstellungen des Routers
den Port auf 1028.
- Seite 172 von 172 -