Access Server - Serveur d'accès AVM - Kostenlose Bedienungsanleitung

BEDIENUNGSANLEITUNG Access Server AVM

Sicherer Zugang für Ihr Netz

Internet Access

Remote Access

Network Access

Beispiel-Szenario

Die Firma ABC hat ihren Hauptsitz in Berlin und eine Niederlassung in Stuttgart. Im Hauptsitz in Berlin ist die Mitarbeiterin Erika Musterfrau beschäftigt. Da Frau Musterfrau in Hamburg wohnt, arbeitet sie zu Hause. Sie soll nun einen VPN-Zugang zum Firmennetz erhalten und darüber auch auf den E-Mail-Server zugreifen können. Die beiden lokalen Netzwerke in Berlin und in Stuttgart sollen ebenfalls über VPN gekoppelt werden.

Technische Gegebenheiten

• im Hauptsitz Berlin und in der Niederlassung in Stuttgart

– T-DSL-Anschluss mit T-Online Flatrate
– T-Online als Internetanbieter
– betriebsbereiter Computer mit den im Kapitel „Systemvoraussetzungen“ auf Seite 14 genannten Voraussetzungen; eine FRITZ!Card DSL ist installiert

• bei Erika Musterfrau am Heimarbeitsplatz in Hamburg

• ISDN-Anschluss
  – T-Online als Internetanbieter
  – betriebsbereiter Computer

Grafik

Auf der Rückseite dieser Klappkarte ist das Beispiel-Szenario grafisch dargestellt. Neben den Beispiel-IP-Adressen können Sie in den freien Feldern die IP-Adressen eintragen, die in Ihrem Netzwerk vorkommen. Auf diese Weise wird es einfacher, die im Handbuch beschriebenen Beispiele mit den bei Ihnen gültigen Adressen einzurichten.

Sie können die Klappkarte auch dazu benutzen, Ihre aktuelle Konfiguration zu dokumentieren.

graph TD
    A["Computer"] --> B["AVM Access Server\nBeispiel: 192.168.10.1"]
    C["Computer"] --> B
    D["Computer"] --> B
    E["Computer"] --> B
    B --> F["Internet"]
    G["Heimarbeitsplatz von Erika Musterfrau\nBeispiel: IP-Adresse\naus Bereich 192.168.110.0/24"]
    H["Ihr eigener Bereich:______"]
    I["Niederlassung Berlin\nBeispiel: 192.168.10.0/24"]
    J["Ihr Firmennetzwerk:______"]
    K["AVM Access Server\nBeispiel: 192.168.20.1"]
    L["Niederlassung Stuttgart\nBeispiel: 192.168.20.0/24"]
    M["Ihr eigenes Netz:______"]

AVM Access Server

Diese Dokumentation und die zugehörigen Programme sind urheberrechtlich geschützt. Dokumentation und Programme sind in der vorliegenden Form Gegenstand eines Lizenzvertrages und dürfen ausschließlich gemäß den Vertragsbedingungen verwendet werden. Der Lizenznehmer trägt allein das Risiko für Gefahren und Qualitätseinbußen, die sich bei Einsatz des Produktes eventuell ergeben.

Diese Dokumentation und die zugehörigen Programme dürfen weder ganz noch teilweise in irgendeiner Form oder mit irgendwelchen Mitteln übertragen, reproduziert oder verändert werden, noch dürfen sie in eine andere natürliche oder Maschinensprache übersetzt werden. Hiervon ausgenommen ist die Erstellung einer Sicherungskopie für den persönlichen Gebrauch. Eine Weitergabe der Ihnen hiermit überlassenen Informationen an Dritte ist nur mit schriftlicher Zustimmung der AVM Berlin erlaubt.

Alle Programme und die Dokumentation wurden mit größter Sorgfalt erstellt und nach dem Stand der Technik auf Korrektheit überprüft. Für die Qualität, Leistungsfähigkeit sowie Marktgängigkeit des Produkts zu einem bestimmten Zweck, der von dem durch die Produktbeschreibung abgedeckten Leistungsumfang abweicht, übernimmt AVM Berlin weder ausdrücklich noch implizit die Gewähr oder Verantwortung.

Für Schäden, die sich direkt oder indirekt aus dem Gebrauch der Dokumentation oder der übrigen Programme ergeben, sowie für beiläufige Schäden oder Folgeschäden ist AVM nur im Falle des Vorsatzes oder der groben Fahrlässigkeit verantwortlich zu machen. Für den Verlust oder die Beschädigung von Hardware oder Software oder Daten infolge direkter oder indirekter Fehler oder Zerstörungen, sowie für Kosten, einschließlich der Kosten für ISDN-, GSM- und ADSL-Verbindungen, die im Zusammenhang mit den gelieferten Programmen und der Dokumentation stehen und auf fehlerhafte Installationen, die von AVM nicht vorgenommen wurden, zurückzuführen sind, sind alle Haftungsansprüche ausdrücklich ausgeschlossen.

Die in dieser Dokumentation enthaltenen Informationen und die zugehörigen Programme können ohne besondere Ankündigung zum Zwecke des technischen Fortschritts geändert werden.

Wir bieten Ihnen als Hersteller dieses Originalprodukts eine Herstellergarantie. Die Garantiebedingungen finden Sie auf der beiliegenden Produkt-CD in der Datei GARANTIE.PDF im Ordner SOFTWARE/INFO/DEUTSCH.

Der Product Identification Code ist Bestandteil der Lizenzvereinbarung.

© AVM GmbH 2006. Alle Rechte vorbehalten. Stand der Dokumentation 01/2006

AVM Audiovisuelles Marketing und Computersysteme GmbH Alt-Moabit 95

AVM Computersysteme Vertriebs GmbH Alt-Moabit 95

10559 Berlin 10559 Berlin

AVM im Internet: www.avm.de

Marken: Soweit nicht anders angegeben, sind alle genannten Markenzeichen gesetzlich geschützte Marken der AVM GmbH. Dies gilt insbesondere für Produktnamen und Logos. Microsoft, Windows und das Windows Logo sind Marken der Microsoft Corporation in den USA und/oder anderen Ländern. Bluetooth ist eine Marke der Bluetooth SIG, Inc. und lizenziert an die AVM GmbH. Alle anderen Produkt- und Firmennamen sind Marken der jeweiligen Inhaber.

Inhaltsverzeichnis

1 Willkommen beim AVM Access Server 6

1.1 Das bietet Ihnen der AVM Access Server 6
1.2 Merkmale des AVM Access Servers 8
1.3 Lieferumfang 14
1.4 Systemvoraussetzungen.... 14

2 Installation und Inbetriebnahme 15

2.1 Installation und Inbetriebnahme: ein Beispiel-Szenario 15
2.2 Deinstallation 29

3 Die Benutzeroberfläche des AVM Access Servers 30

3.1 Die Menüs des AVM Access Servers 31
3.2 Die Symbolleiste 33
3.3 Die Konfigurationsansicht 34
3.4 Die Monitoring-Ansicht 36
3.5 Verbindungssteuerung und Monitor-Funktionen 36

4 Szenarios für den Einsatz des AVM Access Servers 45

4.1 LAN-LAN-Kopplung mit AVM ISDN-Controller C4 und acht B-Kanälen ..... 45
4.2 AVM Access Server und KEN! 51
4.3 AVM Access Server und Router....59

5 Konzepte und Funktionsweisen des AVM Access Servers 68

5.1 Filter....68
5.2 IP-Masquerading und Weiterleitungsprofile 84
5.3 Statisches und dynamisches Routing 87
5.4 Reservierung von B-Kanälen....88
5.5 Zugriff zeitlich mit Zeitprofilen beschränken....89
5.6 Kostenübernahme (COSO) 89
5.7 Virtual Private Network (VPN) 90
5.8 Dynamic DNS....105
5.9 Namensauflösung und Windows Datei- und Druckerfreigabe ..... 106

6 AVM Access Server für Experten 111

6.1 Architektur des AVM Access Servers.... 111
6.2 Internetzugang mit dem AVM Access Server 113
6.3 Verbindung zu entfernten Benutzern .... 116
6.4 Anbindung entfernter Netzwerke 119
6.5 Windows-Namensauflösung, Datei- und Druckerfreigabe ..... 119
6.6 Filter- und Masqueradingprofile 120
6.7 VPN und das Protokoll IPSec....120
6.8 Interoperabilität über ISDN 124

7 Wegweiser Kundenservice 126

7.1 Produktdokumentationen 126
7.2 Informationen im Internet 126
7.3 Updates 127
7.4 Unterstützung durch das Service-Team 127
7.5 Weiterführende Literatur....130

Glossar 131

Index 153

Konventionen im Handbuch

Um den Inhalt dieses Handbuchs übersichtlich zu gestalten und wichtige Informationen hervorzuheben, wurden folgende typografische Hervorhebungen und Symbole verwendet:

Hervorhebungen

Nachfolgend finden Sie einen kurzen Überblick über die in diesem Handbuch verwendeten Hervorhebungen.

Symbole

Im Handbuch werden die folgenden grafischen Symbole verwendet, die immer in Verbindung mit grau und kursiv gedrucktem Text erscheinen:

Dieses Zeichen weist Sie auf nützliche Hinweise und zusätzliche Informationen hin.

Das Ausrufezeichen kennzeichnet Abschnitte, die wichtige Informationen enthalten.

1 Willkommen beim AVM Access Server

Der AVM Access Server bietet die nahtlose Einbindung von räumlich entfernten Benutzern und Netzwerken in die Kommunikationsprozesse des Unternehmens. Damit können Heimarbeiter, mobile Außendienstmitarbeiter, Niederlassungen und Filialen die Anwendungen des lokalen Netzwerks auch aus der Ferne benutzen. Die Verbindung kann dabei über eine direkte ISDN- und GSM-Einwahl oder über das Internet mit Hilfe eines virtuellen privaten Netzwerks (VPN) erfolgen.

Als professioneller Router realisiert der AVM Access Server außerdem die DSL- und ISDN-Anbindung des lokalen Netzwerks an das Internet. Die Konzeption des AVM Access Servers als Software-Router garantiert die optimale Skalierbarkeit durch zwei Produktvarianten, die Unterstützung von bis zu vier aktiven AVM ISDN-Controllern und beliebig viele Netzwerk-Interfaces. Zukünftige Technologien können durch die einfache Update-Möglichkeit übernommen werden.

1.1 Das bietet Ihnen der AVM Access Server

In der modernen Unternehmenskommunikation spielt die Vernetzung von räumlich getrennten lokalen Netzwerken zu einem firmenweiten Netz (WAN=Wide Area Network) sowie der Zugang zum Internet eine immer größere Rolle. Auch die Anbindung von Außendienstmitarbeitern, Telearbeitern, Servicetechnikern oder Firmenniederlassungen ohne eigenes Netzwerk gewinnt für viele Unternehmen zunehmend an Bedeutung. Der AVM Access Server bietet Ihnen dafür eine leistungsstarke Lösung.

Mit dem AVM Access Server können Sie Netzwerke über ISDN oder VPN koppeln, Windows XP-, 2000- und NT-Netze über ISDN mit anderen Netzen über TCP/IP koppeln, den Zugang zum Internet über ISDN und DSL sowie die Anbindung entfernter Computer und mobiler Laptops über ISDN oder GSM an Ihr Unternehmensnetz ermöglichen.

Die folgende Abbildung veranschaulicht die Einsatzmöglichkeiten des AVM Access Servers.

graph TD
    A["Firmennetzwerk"] --> B["AVM Access Server"]
    C["Heimarbeitsplatz"] --> D["AVM NetWAYS/ISDN"]
    E["Mobiles Büro"] --> F["AVM NetWAYS/ISDN"]
    G["Heimarbeitsplatz"] --> H["AVM NetWAYS/ISDN"]
    I["Internet"] --> J["Virtuelles Privates Netz (VPN)"]
    K["Zweigstelle"] --> L["AVM Access Server"]
    B --> M["ISM"]
    F --> N["ISM"]
    H --> O["ISM"]
    L --> P["VM"]
    M --> Q["GSM"]
    N --> R["GSM"]
    O --> S["GSM"]
    P --> T["GSM"]
    Q --> U["GSM"]
    R --> V["GSM"]
    S --> W["GSM"]
    T --> X["GSM"]
    U --> Y["GSM"]
    V --> Z["GSM"]
    W --> AA["GSM"]
    X --> AB["GSM"]
    Y --> AC["GSM"]

Einsatzmöglichkeiten des AVM Access Servers

Der AVM Access Server verbindet räumlich getrennte Netzwerke miteinander. LAN-Ressourcen der Zentrale, beispielsweise Server, Mainframes oder Datenbanken, stehen somit auch in den Niederlassungen und kleinen Außenstellen zur Verfügung. Dabei ist es von Vorteil, dass der AVM Access Server automatisch die notwendigen Routing-Aktivitäten wie die Verbindungsteuerung übernimmt und für die Benutzer in der Niederlassung keinerlei Zusatzaufgaben entstehen.

Umgekehrt ist es auch möglich, von der Zentrale aus auf die lokalen Netzwerke der Standorte zuzugreifen, etwa zur Netzwerk-Administration oder um Datenbestände dort zu aktualisieren.

Der AVM Access Server ermöglicht die Anbindung entfernter Computer und mobiler Laptops über ISDN oder GSM an Ihr Unternehmensnetz. Die entfernten Benutzer können auf diese Weise LAN-Funktionen und Daten so nutzen, als würden sie direkt im Netz arbeiten. Zu den möglichen Anwendungen gehören zum Beispiel Client/Server-Anwendungen, Datenbankprogramme oder E-Mail.

Zusätzlich unterstützt der AVM Access Server in vielfältiger Weise der Zugriff auf das Internet. Über eine oder mehrere ISDN-Wähl- oder -Festverbindungen oder über DSL gestattet der AVM Access Server allen Benutzern im LAN und WAN den Zugriff auf Internet-Ressourcen wie

E-Mail, World Wide Web, News und mehr. Der AVM Access Server unterstützt auch die Kombination mit E-Mail-, Proxy- oder Web-Servern, wie zum Beispiel AVM KEN! und AVM KEN!DSL.

Der AVM Access Server arbeitet nach dem offenen Standard PPP over ISDN (Point-to-Point Protocol) für die Verbindung von lokalen Netzwerken über ISDN. Daher kann der AVM Access Server Verbindungen mit allen ISDN-Routern aufnehmen, die diesen Standard ebenfalls unterstützen. Für das DSL-Internet-Routing wird PPPoE (PPP over Ethernet), beim Einsatz einer FRITZ!Card DSL auch PPPoA (PPP over ATM) unterstützt. Für VPN-Verbindungen wird das Protokoll IPSec verwendet.

1.2 Merkmale des AVM Access Servers

Im Folgenden erhalten Sie einen kurzen Überblick über die Leistungsmerkmale des AVM Access Servers.

Optimale Nutzung von DSL

DSL (Digital Subscriber Line) ist eine Technologie, die den Internetzugang mit einer hohen Bandbreite über die normale Telefonleitung ermöglicht. ISDN und DSL nutzen unterschiedliche Frequenzbereiche, wodurch der ungestörte Parallelbetrieb gewährleistet ist.

Für die DSL-Kommunikation unterstützt der AVM Access Server das Protokoll PPPoE (PPP over Ethernet), das Daten über eine Netzwerkkarte an den DSL-Anschluss sendet und auch von dort empfängt. In Verbindung mit der FRITZ!Card DSL wird zusätzlich das Protokoll PPPoA (PPP over ATM) unterstützt.

Die Verbindung von DSL-Anschluss und AVM Access Server-Computer erfolgt über ein 10Base-T-Kabel und eine FRITZ!Card DSL oder ein externes DSL-Modem über Ethernet. Der DSL-Zugang zum Internet steht so mit dem gesamten LAN zur Verfügung.

Optimale Nutzung des ISDN

Das digitale Kommunikationsnetz ISDN bietet eine Reihe von Merkmalen, die für die Verbindung von Netzwerken und die Internetanbindung von enormem Vorteil sind. Der AVM Access Server nutzt diese Merkmale optimal aus.

So ermöglicht der schnelle Verbindungsaufbau im ISDN von wen als einer Sekunde das dynamische und kostensparende Auf- und Abbauen von ISDN-Verbindungen im Hintergrund.

Das ISDN-Leistungsmerkmal CLIP (Calling Line Identification Presentation), die Übermittlung der ISDN-Nummer des Anrufers über den D-Kanal, wird vom AVM Access Server zur Überprüfung der Identität der Gegenstelle benutzt.

Zur Steigerung der Übertragungsgeschwindigkeit können die ISDN-B-Kanäle gebündelt werden – auch über mehrere ISDN-Controller hinweg. Durch die Unterstützung von einem bis vier AVM ISDN-Controlern B1 oder eines ISDN-Controllers C4 am Basisanschluss (BRI = Basic Rate Interface) lässt sich der AVM Access Server in der Basis-Variante bis auf zehn Kanäle ausbauen. In der Ausführung für den Primärmultiplexanschluss (PRI = Primary Rate Interface) sind bis zu 120 B-Kanäle nutzbar.

Der AVM Access Server steuert und nutzt die ISDN-Verbindung über aktive AVM ISDN-Controller und kann somit sowohl direkt am öffentlichen ISDN-Netz (Mehrgeräte- oder Anlagenanschluss) als auch an einer Nebenstellenanlage betrieben werden.

Die AVM ISDN-Controller B1, C2, C4, T1 und T1-B bieten die Unterstützung von GSM nach dem Mobile-ISDN-Standard (GSM 07.08). Damit ist eine zuverlässige und nahtlose ISDN-Anbindung von Netzwerken auch über GSM oder HSCSD (High-Speed Curcuit-Switched Data) möglich.

Mit dem AVM Access Server können Sie sowohl entfernte Benutzer als auch entfernte Netzwerke über ein VPN (Virtual Private Network) an das lokale Netzwerk koppeln. VPN-Verbindungen, die mit dem AVM Access Server hergestellt werden, setzen auf eine bestehende Internetverbindung auf, indem sie die Infrastruktur des Internetanbieters nutzen. Für den Aufbau der VPN-Verbindung und somit für die Kopplung der entfernten Systeme ist jedoch der AVM Access Server zuständig. Bei einer VPN-Verbindung erstehen für jeden Verbindungspartner lediglich die Kosten für die Verbindung zum Internetanbieter. Auf diese Weise können mit VPN-Verbindungen entfernte Systeme äußerst kostengünstig miteinander verbunden werden.

Optimale Übertragungsleistung

Zur optimalen Nutzung der ISDN-Bandbreite sowie zur Steigerung der Übertragungsleistung bietet der AVM Access Server die folgenden Funktionen:

● Datenkompression nach CAPI-Standard Stac IP-Comp
- Header-Kompression für IP nach Van Jacobson TCP/IP Header Compression
- Kanalbündelung nach CAPI-Standard sowie statisch und dynamisch über PPP Multilink

Reduzierung und Begrenzung der Verbindungsgebühren

Durch sein intelligentes Verbindungsmanagement sorgt der AVM Access Server dafür, dass die Kosten für die ISDN-Anbindung entfernter Netzwerke auf ein Minimum beschränkt werden. Folgende Leistungsmerkmale gewährleisten dies:

- Der AVM Access Server unterscheidet zwischen logischen und physikalischen ISDN-Verbindungen. Eine logische ISDN-Verbindung entsteht mit dem ersten physikalischen Verbindungsaufbau über ISDN, bei dem auch die Verbindungsparameter augehandelt werden. Dazu gehören z.B. die verwendeten Netzwerkprotokolle, die Durchführung einer Echtheitsbestätigung, Spoofing-Mechanismen und Kanalbündelung.

Bei der physikalischen ISDN-Verbindung ist mindestens ein B-Kanal aufgebaut, und es entstehen Verbindungsgebühren. Wenn keine Daten auf der ISDN-Leitung übertragen werden, kann der AVM Access Server die physikalische Verbindung selbsttätig abbauen, um die Verbindungskosten zu senken. Je nach Konfiguration des entsprechenden Ziels im AVM Access Server kann dabei die logische Verbindung erhalten bleiben, so dass die entfernte Seite weiterhin im Netz angemeldet ist und Ressourcen für sie reserviert sind. Sobald erneut Daten übertragen werden sollen, baut der AVM Access Server oder die Gegenseite die physikalische Verbindung wieder auf.

- Praxiserprobte Filter- und Spoofing-Mechanismen fangen bestimmte Protokollpakete ab und verhindern deren unnötige Übertragung über ISDN. Auf diese Weise wird die physikalische Verbindungsdauer verkürzt. Der AVM Access Server sorgt so dafür, dass

die ISDN-Leitung fast ausschließlich für Nutzdaten aufgebaut und der Hintergrunddatenverkehr im LAN weitgehend vom ISDN ferngehalten wird.

• Einstellbare Schwellenwerte (pro Tag, Woche und Monat) für maximales Budget, maximale physikalische Verbindungsdauer und maximale Anzahl ausgehender Rufe ermöglichen die Kontrolle der Verbindungsgebühren.
• Definierbare Budgets für jedes Ziel
• Kostenzuweisung (COSO=Charge One Site Only), beispielsweise die Übernahme der gesamten Kosten für die Netzwerkanbindung durch die Firmenzentrale

Sicherheitsfunktionen

Der AVM Access Server bietet Sicherheitsfunktionen auf zwei verschiedenen Ebenen an. Durch einen ausgefeilten Zugriffsschutz sorgt der AVM Access Server dafür, dass nur berechtigte Gegenstellen über ISDN auf das LAN zugreifen können. Durch den Datenschutz wird sichergestellt, dass während der Übertragung kein unberechtigter Zugriff auf die Daten stattfindet.

Zugriffsschutz

Folgende Funktionen stehen zur Verfügung:

• Überprüfung der D-Kanal-Rufnummer der anrufenden Seite
• Echtheitsbestätigung mit den PPP-Protokollen PAP oder CHAP

Der AVM Access Server unterstützt die Echtheitsbestätigung sowohl durch die lokale Seite als auch durch die Gegenstelle. Dabei können unterschiedliche Kennwörter verwendet werden.

● Sicherheitsrückruf bei einkommenden Rufen

- Firewall-Funktionalität durch voreingestellte und konfigurierbare IP-Filterprofile

●IP-Masquerading/Network Address Translation (NAT)

Die Sicherheitsüberprüfungen, die bei einem eingehenden Anruf eines entfernten Benutzers greifen können, werden durch die folgende Abbildung veranschaulicht:

graph TD
    A["Entfernte Seite (z.B. AVM Access Server oder NetWAYS/ISDN)"] --> B["ISDN"]
    B --> C["D-Kanal"]
    B --> D["B-Kanal"]
    B --> E["Name/Passwort"]
    B --> F["D-u. B-Kanal"]
    B --> G["B-Kanal"]
    B --> H["B-Kanal"]
    B --> I["Überprüfung der D-Kanal-Rufnummer"]
    I --> J["Nach Rufannahme Echtheitsbestätigung mit PAP oder CHAP"]
    J --> K["Ggf. Verbindungsabbau und Sicherheitsrückruf durch AVM Access Server"]
    K --> L["Weitere PPP-Aushandlungen, z.B. IP-Adresse, Spoofing, Kanalbündelung"]
    L --> M["Übertragung von Nutzdaten, z.B. E-Mail, Datenbank-informationen. Ggf. Verschlüsselung und Paketfilterung. Dynamischer Auf- und Abbau der ISDN-Verbindung"]
    M --> N["Lokale Seite (AVM Access Server)"]
    N --> O["Ggf. Weiterleitung der Anmeldeinformationen an RADIUS-Server"]
    O --> P["Mobile Device"]

Sicherheitsüberprüfungen bei der Verbindungsanforderung eines entfernten Benutzers

Datenschutz

Der AVM Access Server bietet die Möglichkeit der Datenverschlüsselung, um Datenpakete während der Übertragung vor unberechtigtem Zugriff zu schützen. Mit dem IPSec-Protokoll werden VPN-Verbindungen verschlüsselt. Auch bei ISDN-Direktverbindungen können die Daten mit IPSec verschlüsselt übertragen werden.

Einfache Installation und Bedienung

Die Installation des AVM Access Servers ist einfach und menügeführt.

Die Konfiguration und Verwaltung des AVM Access Servers erfolgt über eine Windows-gestützte Benutzeroberfläche.

Die Konfiguration und Verwaltung über HTTP mit Hilfe eines Standard-Web-Browsers ist ebenfalls möglich.

Statistik- und Protokollfunktionen

Umfassende Statistik- und Protokollfunktionen erlauben eine exakte Auswertung aller Aktionen auf dem Router:

- Statusinformationen über

• den AVM Access Server und die ISDN- und DSL-Controller
  – die verfügbaren IP-Routen und die ARP-Tabelle (Address Resolution Protocol)
  – die physikalisch aktiven ISDN-Verbindungen

- Übersicht über die Kosten- und Nutzungsdaten für Verbindungen innerhalb eines ausgewählten Zeitraums

- Ereignismitschnitt als Tagesübersicht oder ausgewählt nach bestimmten Kriterien wie zum Beispiel dem Meldungstyp „Information“

●Paketmitschnitt mit PPP-Dekodierung

Verbindungssteuerung

ISDN-Verbindungen werden in der Regel automatisch aufgebaut, wenn auf Ressourcen der Gegenseite zugegriffen wird. Bei Bedarf können sie auch aus der AVM Access Server-Oberfläche heraus aktiv auf- und abgebaut werden.

In der Verbindungssteuerung erhalten Sie detaillierte Informationen zu den gerade aktiven logischen ISDN-Verbindungen und den ausgehandelten Verbindungsparametern.

Der AVM Access Server im Zusammenspiel mit anderen CAPI 2.0-Anwendungen

Im Zusammenspiel mit dem AVM Access Server ist eine sinnvolle und kosteneffektive Mehrfachnutzung der installierten ISDN-Controller gewährleistet.

Die ISDN-Controller können außer vom AVM Access Server zusätzlich von weiteren CAPI 2.0-Anwendungen wie zum Beispiel KEN! oder NDI verwendet werden. Sind andere CAPI 2.0-Anwendungen, die denselben ISDN-Dienst verwenden wie der AVM Access Server (z.B. Dateiübertragungs-Software im Server-Modus) auf demselben Computer installiert, muss sichergestellt sein, dass alle Anwendungen zur korrekten Annahme einkommender Rufe eindeutig adressiert werden können. Im CAPI 2.0-Standard sind für solche Fälle am Mehrgeräteanschluss die sogenannten Mehrfachrufnummern (MSNs) und am Primärmultiplexanschluss Nachwahlziffern (DDI) vorgesehen.

1.3 Lieferumfang

Das Produkt ist in drei Varianten verfügbar:

●AVM Access Server PRI: 1-120 B-Kanäle, unbegrenzte Anzahl gleichzeitiger VPN-Tunnel, 10 Lizenzen für NetWAYS/ISDN
●AVM Access Server: 1-10 B-Kanäle, 10 gleichzeitige VPN-Tunnel, 5 Lizenzen für NetWAYS/ISDN
● AVM Access Server Basic: 1-10 B-Kanäle, 10 gleichzeitige VPN-Tunnel
Folgendes ist im Lieferumfang des AVM Access Servers enthalten:
- CD-ROM „AVM Access Server“ mit Product Identification Code auf der CD-ROM
●Handbuch AVM Access Server
●Handbuch NetWAYS/ISDN (nur bei den Varianten AVM Access Server PRI und AVM Access Server)

Falls eines dieser Teile fehlen sollte, dann wenden Sie sich bitte an Ihren Händler.

1.4 Systemvoraussetzungen

●Windows XP mit ServicePack 1 oder Windows 2000 mit Service Pack 3 oder Windows NT 4.0 mit Service Pack 6a und Microsoft Jet 4.0 mit Service Pack 6
- Ethernet- oder Token-Ring-Netzwerkkarte
- TCP/IP, gebunden an die Netzwerkkarte mit fester IP-Adresse und eingetragener Subnetzmaske und eingetragenem Standardgate-way
Intel Pentium 200 oder vergleichbar
- 64 MB RAM
- 50 MB freier Festplattenspeicher; im laufenden Betrieb sind bis zu 250 MB Festplattenspeicher erforderlich.
- für ISDN-Verbindungen einen der folgenden aktiven AVM ISDN-Controller: B1, C2, C4, T1 und T1-B
- für DSL-Verbindungen eine FRITZ!Card DSL oder ein externes DSL-Modem über Ethernetkarte

2 Installation und Inbetriebnahme

Die Installation des AVM Access Servers ist menügeführt und einfach. Nachdem die Erstinstallation beendet ist, wird der Einrichtungsassistent gestartet, der Sie bei den Grundeinstellungen für die erfolgreiche Inbetriebnahme des AVM Access Servers unterstützt.

Wir empfehlen Ihnen, sich schon vor der Installation des AVM Access Servers zu überlegen, welche Grundeinstellungen Sie mit dem Einrichtungsassistenten vornehmen möchten.

Die Installation und Inbetriebnahme werden im Folgenden anhand eines Beispiel-Szenarios beschrieben. Zu einem entfernten Benutzer und zu einem entfernten Netzwerk werden exemplarisch Verbindungen über das Internet (VPN) eingerichtet.

2.1 Installation und Inbetriebnahme: ein Beispiel-Szenario

Anhand eines beispielhaften Szenarios wird hier die Installation und die Konfiguration des AVM Access Servers für zwei häufig auftretende Anforderungen beschrieben:

• einen entfernten Benutzer mit VPN-Zugang einrichten
  ● eine LAN-LAN-Kopplung über VPN einrichten

In der Klappkarte der vorderen Umschlagseite finden Sie eine Beschreibung und eine grafische Darstellung des Beispiel-Szenarios. Die Grafik enthält die durchgängig in allen Beispielen verwendeten IP-Adressen und jeweils ein freies Feld, in dem Sie die IP-Adressen eintragen können, die in Ihrer Konfiguration relevant sind.

Beachten Sie, dass Sie die in den folgenden Szenarios vorkommenden IP-Adressen durch die IP-Adressen Ihres LANs ersetzen müssen!

Praktische Durchführung: Installation des AVM Access Servers und erste Konfigurationsschritte

Im Folgenden werden die Installation des AVM Access Servers und die ersten Konfigurationsschritte beschrieben. Begleitend zur allgemeinen Beschreibung werden jeweils auch die Einstellungen für das Beispiel-Szenario erläutert.

Netzwerkeinstellungen in der Systemsteuerung des Betriebssystems überprüfen

Bevor Sie mit der Installation des AVM Access Servers beginnen, müssen Sie die Netzwerkeinstellungen in der Systemsteuerung überprüfen und gegebenenfalls ändern. In dem Beispiel-Szenario muss die Überprüfung an beiden Standorten, also in Berlin und auch in Stuttgart, jeweils an dem Computer durchgeführt werden, auf dem der AVM Access Server installiert werden soll.

Folgendes muss überprüft und gegebenenfalls eingestellt werden:

• An mindestens einem LAN-Adapter muss ein Standard-Gateway eingerichtet sein.
• Falls keine DNS-Server eingerichtet sind, dann müssen die virtuellen DNS-Server des AVM Access Servers eingerichtet werden.
• Alle LAN-Adapter, die mit dem AVM Access Server verwendet werden, brauchen eine feste IP-Adresse.

Gehen Sie folgendermaßen vor:

1. Wählen Sie in der Systemsteuerung des Betriebssystems den Eintrag „Netzwerkverbindungen“ aus.
2. Wählen Sie die LAN-Verbindung aus, die mit dem AVM Access Server verwendet werden soll.
3. Wählen Sie im Kontextmenü der rechten Maustaste „Eigenschaften“ aus.
4. Wählen Sie in der Liste den Eintrag „Internetprotokoll (TCP/IP)“ aus und klicken Sie auf „Eigenschaften“.
5. Tragen Sie Folgendes ein:

Im Beispiel-Szenario müssen folgende Einträge vorgenommen werden:

1. Falls kein DNS-Server eingerichtet ist, müssen Sie die virtuellen DNS-Server des AVM Access Servers eintragen. Die Werte gelten auch für das Beispiel-Szenario.

1. Bestätigen Sie Ihre Angaben mit „OK“.
2. Falls Sie weitere LAN-Adapter mit dem AVM Access Server verwenden wollen, dann müssen Sie für jeden dieser Adapter eine feste IP-Adresse eintragen.

AVM Access Server installieren

Im Beispiel-Szenario wird der AVM Access Server an beiden Standorten installiert.

Überprüfen Sie vor der Installation des AVM Access Servers, ob das für Ihr Betriebssystem im Kapitel „Systemvoraussetzungen“ auf Seite 14 genannte Service Pack installiert ist. Falls Sie mit dem Betriebssystem Windows NT 4.0 arbeiten, muss zusätzlich Microsoft Jet 4.0 mit dem dazugehörigen Service Pack 6 installiert sein. Auf der Installations-CD stehen alle Service Packs zur Verfügung. Dadurch haben Sie die Möglichkeit, vor der Installation des AVM Access Servers, fehlende Service Packs zu installieren.

1. Legen Sie die AVM Access Server-CD in das CD-ROM-Laufwerk ein.
   Eine CD-Einführung wird automatisch gestartet.

2. Wählen Sie das Betriebssystem des Computers aus, auf dem Sie den AVM Access Server installieren wollen.

Installieren Sie gegebenenfalls das für das Betriebssystem erforderliche Service Pack und für das Betriebssystem Windows NT 4.0 zusätzlich die Software Microsoft Jet 4.0 mit dem dazugehörigen Service Pack.

1. Starten Sie die Installation.
2. Setzen Sie den Installationsvorgang fort, indem Sie in den beiden Willkommensfenstern des Installationsassistenten jeweils auf „Weiter“ klicken.
3. Geben Sie im nächsten Fenster den Product Identification Code ein, der auf der Rückseite der CD abgedruckt ist.
4. Geben Sie im Fenster „Pfad“ den Ordner an, in dem die Installationsdateien des AVM Access Servers abgelegt werden sollen.

Wenn die Installation auf einem Computer mit dem Betriebssystem Windows XP stattfindet, erhalten Sie einen Hinweis auf den Windows-Logo-Test. Klicken Sie auf „Installation fortsetzen“.

1. Beenden Sie den Installationsassistenten mit „Beenden“ und schließen Sie die Installation mit einem Neustart des Computers ab. Nehmen Sie vor dem Neustart die CD aus dem CD-ROM-Laufwerk.

Nach dem Neustart des Computers wird der Einrichtungsassistent des AVM Access Servers automatisch gestartet, der Sie bei den Grundeinstellungen unterstützt.

Bei jedem Computer-Start wird der Dienst AVM Access Server automatisch gestartet.

ISDN- und DSL-Controller auswählen

1. Klicken Sie im Willkommensfenster des Einrichtungsassistenten auf „Weiter“.
2. Wählen Sie die Controller aus, die vom AVM Access Server verwendet werden sollen. Um einen Controller zu konfigurieren, markieren Sie den entsprechenden Listeneintrag und klicken auf die Schaltfläche „Einstellungen“. Ein Fenster für die Konfiguration wird geöffnet. Dort geben Sie die Eigenschaften des ISDN-Anschlusses an, mit dem der Controller verbunden ist.

Für das Beispiel-Szenario müssen Sie keine Controller auswählen, da die Internetverbindung über DSL realisiert wird. DSL-Controller wie die FRITZ!Card DSL müssen nicht im Einrichtungsassistent eingerichtet werden, sondern werden automatisch konfiguriert.

Internetzugang einrichten

Im Beispiel-Szenario wird sowohl in Berlin als auch in Stuttgart ein Internetzugang über T-DSL und T-Online eingerichtet.

1. Legen Sie im nächsten Fenster fest, wie der AVM Access Server auf das Internet zugreifen soll.

Wie soll der AVM Access Server auf das Internet zugreifen?

FRITZ!Card DSL

Internetverbindung via DSL über die FRITZ!Card DSL aufbauen.

○ Externes DSL-Modem

Externes DSL-Modem an einer eingebauten Netzwerkkarte benutzen

○ ISDN-Controller

Internetverbindung über eingebaute |SDN-Controller |z.B. 81, C2, C4, T1) aufbauen.

KENI

Die Internetverbindung erfolgt über den in KEN! eingerichteten Internetzugang.

○Bestehenden Internetzugang nutzen

Dieser Computer verfügt bereits über den Zugang zum Internet über eine engebaute

Netzwerkkarte und ein anderes Zugangsgerät (Router) im lokalen Netzwerk.

Keine Internetverbindung einrichten

Der AVM Access Server benötigt keine Verbindung zum Internet.

Im Beispiel muss an beiden Standorten „FRITZ!Card DSL“ ausgewählt werden

1. Wählen Sie dann die Art des Internetanbieters aus.

Der AVM Access Server beinhaltet eine Liste gängiges Internetanbieter, bei denen Sie sich mit oder ohne Anmeldung einwählen können. Internetanbieter, die nicht in der Liste erhalten sind, können über die Option "Benutzerdefinierter Internetanbieter" eingerichtet werden. Wählen Sie den Typ des Internetanbieters aus, den Sie verwenden möchten.

Internetanbieter mit Anmeldung

Internetanbieter ohne Anmeldung

Benutzerdefinierter Internetanbieter

Im Beispiel-Szenario wird die Option „Internetanbieter mit Anmeldung“ ausgewählt

1. Wählen Sie im folgenden Fenster den Internetanbieter aus.

Wählen Sie den gewünschten Internetanbieter aus.

Im Beispiel-Szenario wird als Internetanbieter „T-Online T-DSL“ ausgewählt

1. Geben Sie nun die Zugangsdaten für Ihren Internetanbieter ein.

Im Beispiel-Szenario werden die Zugangsdaten für T-Online T-DSL angegeben

Benutzergruppe einrichten

1. Wenn Sie entfernten Benutzern den Zugang zum AVM Access Server ermöglichen wollen, dann legen Sie hier fest, wie der Zugriff erfolgen soll. Sollen zunächst keine entfernten Benutzer eingerichtet werden, deaktivieren Sie beide Einstellungen.

Im Beispiel-Szenario wird in Berlin die Einstellung „Internet (VPN)“ beibehalten und die Einstellung „ISDN-Direkteinwahl“ deaktiviert, in Stuttgart werden beide Einstellungen deaktiviert

1. Richten Sie nun eine Benutzergruppe ein und geben Sie eine Bezeichnung an.

Im Beispiel-Szenario wird am Standort Berlin eine Benutzergruppe mit der Bezeichnung „Homeoffice via VPN“ eingerichtet

1. Wählen Sie den IP-Adressbereich aus. Aus diesem Adressbereich werden den Benutzern aus dieser Gruppe die IP-Adressen zugewiesen.

Im Beispiel-Szenario wird der IP-Adressbereich 192.168.110.0/24 ausgewählt

Ersten Benutzer für die Benutzergruppe einrichten

1. Legen Sie die Anmeldedaten für den Benutzer fest. Tragen Sie im Feld „Vollständiger Name“ den Vor- und Nachnamen des Benutzers ein. Übernehmen oder ändern Sie im Feld „Benutzername“ den vom AVM Access Server vorgeschlagenen Eintrag. Geben Sie im Feld „Kennwort“ das Kennwort ein, mit dem sich der Benutzer beim AVM Access Server anmelden muss. Das Kennwort muss eine Mindestlänge von acht Zeichen haben. Geben Sie im Feld „Kennwort bestätigen“ das Kennwort nochmals ein.

Im Beispiel-Szenario werden die Anmeldedaten für die Benutzerin Erika Musterfrau eingetragen

1. In diesem Fenster können Sie ein Budget festlegen. Das Budget gilt für alle im AVM Access Server konfigurierten Verbindungen.

Um die durch den AVM Access Server entstehenden Kosten zu begrerzen, können Sie Budgets vergeben. Diese können nachträglich den individuellen Erfordernissen angepasst werden.

Voreingesteltes Budget aktivieren

Bei Erreichen des Budgets sind keinerei Verbindungen über den Access Server mehr möglich.

Erstinstallation ohne voreingestelltes Budget

WARNUNG: es können unbegrenzt Kosten entstehen!

Im Beispiel-Szenario wird „Voreingestelltes Budget aktivieren“ ausgewählt

1. In der Zusammenfassung werden alle Einstellungen, die Sie vorgenommen haben, zusammengefasst dargestellt. Beenden Sie den Einrichtungsassistenten mit „Fertig stellen“.

Flatrate für den Internetzugang einstellen

Wenn Ihr Internetzugang pauschal tarifiert wird, dann sollten Sie am AVM Access Server die Option „Flatrate“ aktivieren. Die Verbindung wird dann auch bei Inaktivität dauerhaft gehalten.

Im Beispiel-Szenario wird die Flatrate sowohl am AVM Access Server in Berlin als auch in Stuttgart eingestellt.

1. Wählen Sie auf der Benutzeroberfläche des AVM Access Servers im Ordner „Internet“ den Eintrag „T-Online DSL“ aus und aktivieren Sie auf der Registerkarte „Allgemein“ unter „automatischer Verbindungsabbau“ die Option „Flatrate, die Verbindung halten“.
2. Klicken Sie auf „Übernehmen“, damit die Einstellungen in den AVM Access Server übernommen werden.

Dynamic DNS einrichten

Bevor Sie Dynamic DNS am AVM Access Server einrichten können, müssen Sie sich beim Dynamic DNS-Anbieter registrieren. Im Beispiel-Szenario wird sowohl am AVM Access Server in Berlin als auch in Stuttgart Dynamic DNS eingerichtet. Der im Folgenden beschriebene Vorgang muss einmal für den AVM Access Server in Berlin und einmal für den AVM Access Server in Stuttgart durchgeführt werden.

1. Öffnen Sie den Web-Browser und richten Sie ihn für LAN-Verbindungen ein
2. Schalten Sie eventuell konfigurierte Proxy-Server aus

3. Geben Sie im Adressfeld des Browsers die Internetadresse eines Dynamic DNS-Anbieters ein, beispielsweise www.dyndns.org.

4. Folgen Sie für die Registrierung eines Domänennamens beim Dynamic DNS-Anbieter den Hinweisen auf der Internetseite.

Füllen Sie dazu die entsprechenden Formulare aus. In der Regel müssen Sie einen Domänennamen (auch Hostname genannt) und eine Benutzerkennung angeben.

Geben Sie für das Beispiel Folgendes ein:

Die vollständigen Domänennamen, unter denen die AVM Access Server später zu erreichen sind, lauten dann „firma-abc-berlin.dyndns.org“ und „firma-abc-stuttgart.dyndns.org“, wenn Sie dyndns.org als Dynamic DNS-Anbieter gewählt haben.

1. Füllen Sie auch alle weiteren Formulare mit den persönlichen Angaben aus.
2. In der Regel erhalten Sie wenige Minuten nach Beenden des Registrierungsvorgangs eine E-Mail mit Ihrem persönlichen Kennwort für den Zugang.

Dynamic DNS am AVM Access Server einrichten

1. Wählen Sie auf der Benutzeroberfläche des AVM Access Servers den Ordner „Internet“ und die Registerkarte „Gateway-Dienste“.
2. Legen Sie unter „Dynamic DNS“ einen neuen Eintrag an. Klicken Sie dazu auf das Symbol zum Anlegen eines neuen Eintrags.
3. Füllen Sie im Dialog „Neuen Dynamic DNS-Eintrag anlegen“ die Felder aus. Im Beispiel wird Folgendes eingetragen:

1. Bestätigen Sie Ihre Angaben mit „OK“.

2. Wählen Sie nun die Registerkarte „VPN“ aus und stellen Sie sicher, dass im Feld „Adresse im Internet“ der Domänenname, den Sie in Schritt 3 angegeben haben, ausgewählt ist.

Exportdatei mit der Benutzerkonfiguration für NetWAYS/ISDN erstellen

Am AVM Access Server können Benutzerkonfigurationen für entfernte Benutzer in einer Exportdatei gespeichert werden. Durch den Import dieser Datei in NetWAYS/ISDN auf dem Computer des Benutzers wird die Ziel-Konfiguration für den AVM Access Server automatisch durchgeführt. Im Beispiel wird die Exportdatei für Erika Musterfrau erstellt.

1. Wählen Sie auf der Benutzeroberfläche des AVM Access Servers im Ordner „Entfernte Benutzer“ den entfernten Benutzer aus, im Beispiel ist das der Eintrag „Erika Musterfrau“.

2. Wählen Sie im Kontextmenü „Benutzereinstellungen für NetWAYS/ISDN exportieren“ aus. Der Dialog „VPN-Benutzerkonfiguration für NetWAYS/ISDN exportieren“ wird geöffnet.

3. Geben Sie ein frei wählbares Kennwort an.

Die Datei NETWAYS.EFF wird im Installationsverzeichnis des AVM Access Servers im Ordner NWUSERS\E_MUSTERFRAU gespeichert.

1. Bestätigen Sie Ihre Angaben mit „OK“.

2. Kopieren Sie die Datei NETWAYS.EFF auf eine Diskette.

Praktische Durchführung am Heimarbeitsplatz des Benutzers

Am Heimarbeitsplatz des Benutzers müssen folgende Installationen und Einstellungen vorgenommen werden, damit der Zugriff auf den AVM Access Server gewährleistet ist.

Installation von NetWAYS/ISDN

Installieren Sie NetWAYS/ISDN und befolgen Sie dabei die Installationshinweise im NetWAYS/ISDN-Handbuch.

Internetverbindung einrichten

1. Wählen Sie im Menü „Einstellungen“ den Eintrag „Ziele/Ziel neu...“ aus. Der NetWAYS/ISDN-Assistent zum Einrichten einer Internetverbindung wird gestartet.

2. Wählen Sie im Dialog „Art des Netzwerkes“ die Option „Internet“ aus.

3. Wählen Sie im nächsten Dialog die Art des Internetanbieters aus. Im Beispiel wird am Heimarbeitsplatz von Erika Musterfrau die Option „Internetanbieter mit Anmeldung“ ausgewählt.
4. Wählen Sie einen Internetanbieter aus. Im Beispiel wird „T-Online über ISDN“ ausgewählt.
5. Übernehmen Sie als Bezeichnung den Vorschlag „T-Online ISDN“.
6. Geben Sie die Zugangsdaten für Ihren Internetanbieter ein. Im Beispiel sind das die T-Online-Zugangsdaten.
7. Beenden Sie die Konfiguration mit „Fertig stellen“.

In der NetWAYS/ISDN-Oberfläche wird die Internetverbindung als Symbol dargestellt.

AVM Access Server als Ziel einrichten

1. Legen Sie die Diskette mit der am AVM Access Server erstellten Exportdatei in das Diskettenlaufwerk und importieren Sie die Datei. Wählen Sie dazu auf der NetWAYS/ISDN-Benutzeroberfläche im Menü „Datei“ den Eintrag „VPN-Verbindung importieren“ aus. Der Dateiauswahldialog von Windows wird geöffnet.
2. Wählen Sie die Datei mit der Endung .EFF aus und bestätigen Sie Ihre Auswahl mit „OK“.
3. Geben Sie das Kennwort ein, das Sie für die Exportdatei am AVM Access Server festgelegt haben.

Testen der Internetverbindung

Mit einem Ping auf einen beliebigen Web-Server können Sie die Internetverbindung testen.

1. Markieren Sie auf der Benutzeroberfläche in NetWAYS das Internetziel und aktivieren Sie im Menü „Datei“ die Verbindungsbereitschaft.
2. Öffnen Sie eine DOS-Box und geben Sie ping www.avm.de ein. Wenn der Ping erfolgreich ausgeführt wird, dann kann Net- WAYS/ISDN eine Verbindung ins Internet herstellen.

Testen der VPN-Verbindung vom entfernten Arbeitsplatz zum AVM Access Server

1. Damit vom NetWAYS/ISDN-Computer die VPN-Verbindung zum AVM Access Server hergestellt werden kann, muss der AVM Access Server mit dem Internet verbunden sein. Da im Beispiel am AVM Access Server die Flatrate eingerichtet ist, ist die Internetverbindung sichergestellt.
2. Die Internetverbindung von NetWAYS/ISDN muss in Verbindungs-bereitschaft sein. Wählen Sie in der NetWAYS/ISDN-Oberfläche die Internetverbindung aus und klicken Sie im Menü „Datei“ auf „Verbindungsbereitschaft“.
3. Öffnen Sie auf dem NetWAYS/ISDN-Computer eine DOS-Box und führen Sie ein Ping auf den Domänen-Namen oder die IP-Adresse des AVM Access Servers aus. Im Beispiel wird am NetWAYS/ISDN-Computer von Erika Musterfrau Folgendes eingegeben:

ping firma-abc-berlin.dyndns.org

Wenn der Ping erfolgreich ausgeführt wird, dann kann NetWAYS/ISDN den AVM Access Server grundsätzlich über das Internet erreichen.

Testen des Zugriffs vom entfernten Arbeitsplatz auf einen bestimmten Server im Firmennetz

1. Öffnen Sie in einem Texteditor die Datei %WINDIR%\SYSTEM32\DRIVERS\ETC\HOSTS. (Siehe dazu auch den Abschnitt „Namensauflösung und Windows Datei- und Druckerfreigabe“ auf Seite 106.)

Fügen Sie in der Datei eine Zeile mit folgenden Angaben zu dem Server ein, auf den Sie im Firmennetz zugreifen wollen:

Im Beispiel sind für den E-Mail-Server folgende Angaben zu machen:

192.168.10.100 mail.abc.de

Die Namensauflösung für den E-Mail-Server wird nun lokal auf dem NetWAYS/ISDN-Computer durchgeführt.

1. Führen Sie in der DOS-Box ein Ping auf den Domänen-Namen des oben angegebenen Servers aus. Im Beispiel geben Sie in der DOS-Box Folgendes ein:

ping mail.abc.de

Wenn der Ping erfolgreich ausgeführt wird, dann hat Erika Musterfrau jetzt Zugang über VPN zum E-Mail-Server. Ein E-Mail-Klient kann jetzt eingerichtet werden.

Praktische Durchführung: Konfiguration der LAN-LAN-Kopplung

Nehmen Sie für die Konfiguration der LAN-LAN-Kopplung folgende Einstellungen vor:

Entferntes Netzwerk als VPN-Verbindung einrichten

Im Beispiel wird auf dem AVM Access Server in Berlin das entfernte Netzwerk „Niederlassung Stuttgart“ und auf dem AVM Access Server in Stuttgart das entfernte Netzwerk „Hauptsitz Berlin“ Eingerichtet.

1. Wählen Sie auf der Benutzeroberfläche des AVM Access Servers den Eintrag „Entfernte Netzwerke“. Wählen Sie im Kontextmenü der rechten Maustaste „Netzwerk hinzufügen“. Der Assistent für das Einrichten entfernter Netzwerke wird gestartet.

2. Wählen Sie im ersten Dialog die Option „VPN-Verbindung über das Internet“ aus.

3. Tragen Sie eine Bezeichnung für das entfernte Netzwerk ein. Im Beispiel geben Sie als Bezeichnung für das entfernte Netzwerk Folgendes ein:

Niederlassung Stuttgart Hauptsitz Berlin

1. Tragen Sie an den beiden Standorten, die verbunden werden sollen, jeweils das gleiche Kennwort für die Anmeldung bei der entfernten Seite ein.

2. Geben Sie als Adresse für den VPN-Gateway auf der entfernten Seite den Namen des entfernten AVM Access Servers ein. Als Adresse für den lokalen VPN-Gateway geben Sie den Namen des lokalen AVM Access Servers ein. Im Beispiel ist Folgendes anzugeben:

Die Namen müssen bei einem Dynamic DNS-Anbieter (beispielsweise dyndns.org) registriert sein, damit der AVM Access Server trotz wechselnder IP-Adresse immer adressierbar ist.

1. Geben Sie die Netzadresse des lokalen Netzwerks an. Im Beispiel ist Folgendes einzutragen:

1. Geben Sie die Netzadresse des entfernten Netzwerks an. Im Beispiel ist Folgendes einzutragen:

1. Beenden Sie die Konfiguration mit „Fertig stellen“.

Auf der Benutzeroberfläche des AVM Access Servers wird unter „Entfernte Netzwerke“ der neue Eintrag angezeigt.

Testen der VPN-Verbindung von beiden lokalen Netzwerken aus

1. Damit die VPN-Verbindung hergestellt werden kann, muss an beiden Standorten der jeweilige AVM Access Server mit dem Internet verbunden sein. Da im Beispiel sowohl in Berlin als auch in Stuttgart die Flatrate eingerichtet ist, sind die Internetverbindungen sichergestellt.

2. Öffnen Sie auf dem AVM Access Server-Computer an einem der beiden Standorte eine DOS-Box und führen Sie ein Ping auf den Domänennamen des AVM Access Servers am entfernten Standort aus. Im Beispiel ist am AVM Access Server in der Niederlassung Stuttgart Folgendes einzugeben:

ping firma-abc-berlin.dyndns.org

Wenn der Ping erfolgreich ausgeführt wird, dann kann der entfernte AVM Access Server grundsätzlich über das Internet erreicht werden.

1. Wechseln Sie nun auf der Benutzeroberfläche des AVM Access Servers in die Monitoring-Ansicht und wählen Sie dort den Ordner „Verbindungssteuerung“ aus.

2. Klicken Sie mit der rechten Maustaste auf den Eintrag „Niederlassung Stuttgart“ und wählen Sie im Kontextmenü „Verbindung aufbauen“ aus.

Der erfolgreiche Aufbau der Verbindung wird im Fenster der Verbindungssteuerung durch einen blauen Pfeil angezeigt. Die Verbindung wird nach kurzer Zeit automatisch wieder abgebaut.

1. Führen Sie nun die Schritte 2. bis 4. am anderen Standort mit analogen Angaben durch.

2.2 Deinstallation

1. Öffnen Sie in der Systemsteuerung Ihres Betriebssystems den Ordner „Software“.
2. Wählen Sie in der Liste der installierten Software den Eintrag „AVM Access Server“ aus.
3. Starten Sie die Entfernen-Funktion durch Klicken auf die entsprechende Schaltfläche.

Zwischen der Deinstallation und einer Neuinstallation des AVM Access Servers sollte ein Neustart des Computers durchgeführt werden, damit die Einträge in der Windows-Registrierung aktualisiert werden.

3 Die Benutzeroberfläche des AVM Access Servers

Für die Bedienung des AVM Access Servers steht die Benutzeroberfläche des AVM Access Servers zur Verfügung. Nach der Installation des AVM Access Servers ist im Startmenü des Betriebssystems die Programmgruppe „AVM Access Server“ vorhanden. Klicken Sie in der Programmgruppe auf den Eintrag „AVM Access Server“, um die Benutzeroberfläche des AVM Access Servers zu öffnen.

Die Benutzeroberfläche des AVM Access Servers

Die Benutzeroberfläche erfüllt zwei verschiedene Funktionen:

1. Konfiguration des Access Servers
2. Steuerung, Protokollierung und Diagnose von Verbindungen

Für diese beiden Funktionen kann die Benutzeroberfläche in der Konfigurationsansicht und der Monitoring-Ansicht betrieben werden. Im Menü „Ansicht“ können Sie zwischen den beiden Ansichten wechseln.

Die Benutzeroberfläche besteht aus folgenden Komponenten:

• der Menüleiste mit den Menüs des AVM Access Servers
• der Symbolleiste, von der aus Sie wichtige Funktionen des AVM Access Servers per Mausklick aufrufen können
  • der Konfigurationsansicht
• der Monitoring-Ansicht
• der Statusleiste mit Informationen zum Betriebszustand des AVM Access Servers

3.1 Die Menüs des AVM Access Servers

Über die Menüleiste erreichen Sie die wichtigsten Funktionen für die Arbeit mit dem AVM Access Server. Im Folgenden werden die Funktionen der einzelnen Menüs kurz beschrieben.

Das Menü „Datei“

Das Menü „Internet“

Das Menü „Entfernte Benutzer“

Das Menü „Entfernte Netzwerke“

Das Menü „Ansicht“

Das Menü „?“

3.2 Die Symbolleiste

Die wichtigsten Funktionen zum Arbeiten mit dem AVM Access Server finden Sie auch in der Symbolleiste. Die Bedeutung der Schaltflächen wird Ihnen durch Quick-Infos angezeigt. Fahren Sie dazu langsam mit der Maus über die jeweilige Schaltfläche.

3.3 Die Konfigurationsansicht

Die Konfigurationsansicht im AVM Access Server ist zweigeteilt. In der linken Fensterhälfte wird eine Ordnerstruktur angezeigt, die rechte Fensterhälfte ist ein Parameterfenster.

Ordnerstruktur

Die Ordnerstruktur des AVM Access Servers ist wie folgt:

Ordnerstruktur in der Konfigurationsansicht

• Durch den AVM Access Server sind die Ordner „Internet“, „entfernte Benutzer“, „enternte Netzwerke“, „Sicherheit“ und „Verwaltung“ vorgegeben. In den Ordnern „Sicherheit“ und „Verwaltung“ gibt es zusätzlich vorgegebene Unterordner.
• Alle im AVM Access Server angelegten Objekte wie beispielsweise Internetanbieter, Benutzer oder Filterprofile werden in den jeweils zugehörigen Ordnern angezeigt.
• Wenn ein Ordner oder ein Eintrag markiert ist, dann sind über das Menü oder das Kontextmenü die für das markierte Element vorgesehenen Befehle aktiviert.

Parameterfenster

Im Parameterfenster werden die Einstellungen für den in der Ordnerstruktur markierten Ordner oder Eintrag angezeigt. Das Parameterfenster enthält eine oder mehrere Registerkarten, je nachdem, um welchen Ordner oder Eintrag es sich handelt. Änderungen an den Einstellungen können Sie hier vornehmen.

Markierte Ordner und Unterordner

Wenn Sie in der Ordnerstruktur einen Ordner markieren, dann werden im Parameterfenster Einstellungen angezeigt, die allgemeine Gültigkeit haben.

Markierte Einträge

Wenn ein Eintrag innerhalb eines Ordner markiert ist, dann werden auf den Registerkarten im Parameterfenster die Einstellungen angezeigt, die für diesen Eintrag vorgenommen wurden.

3.4 Die Monitoring-Ansicht

In der Monitoring-Ansicht stehen Ihnen Verbindungssteuerung, Monitor-Funktionen und Diagnose-Funktionen zur Verfügung. Wie die Konfigurationsansicht ist auch die Monitoring-Ansicht zweigeteilt. In der linken Fensterhälfte werden die Funktionen angezeigt.

Die Ordnerstruktur in der Monitoring-Ansicht

Die rechte Fensterhälfte besteht je nach ausgewählter Funktion aus einer oder mehreren Registerkarten. Hier werden die Funktionsergebnisse angezeigt und bei einigen Funktionen können hier Funktionsparameter festgelegt werden.

Verbindungssteuerung und Monitor-Funktionen werden im folgenden Kapitel ausführlich erläutert.

3.5 Verbindungssteuerung und Monitor-Funktionen

Für den Administrator ist es wichtig, die Funktion des AVM Access Servers im laufenden Betrieb überwachen zu können. Dazu stehen in der Monitoring-Ansicht eine Vielzahl an Möglichkeiten zur Verfügung.

Sie erhalten detaillierte Informationen über den Serverstatus, aktuelle Routing-Tabellen und Dienste, physikalisch aktive Verbindungen, Verbindungsstatus, Kosten- und Nutzungsdaten für Verbindungen und Ereignisse. Außerdem bietet der AVM Access Server eine Paketmitschnittfunktion.

Auf der Benutzeroberfläche können Sie im Menü „Ansicht“ zwischen Konfigurations- und Monitoring-Ansicht wechseln. Die Oberflächenstruktur in der Monitoring-Ansicht entspricht der in der Konfigurations-Ansicht. In der Ordnerstruktur im linken Fensterbereich wählen Sie die unterschiedlichen Monitor-Funktionen aus. Im rechten Fensterbereich werden Ihnen die Ergebnisse der jeweiligen Funktion angezeigt.

Im Folgenden werden die Funktionen im Einzelnen erläutert.

Wählen Sie in der Ordnerstruktur „AVM Access Server-Monitor“ aus, um Angaben zur Produktversion sowie einen schnellen Überblick über den aktuellen Status des AVM Access Servers zu erhalten.

Verbindungssteuerung

Die Funktion „Verbindungssteuerung“ bietet einen Überblick über die aktuellen ISDN-, DSL- und VPN-Verbindungen des AVM Access Servers und deren Status. Außerdem können, je nach Verbindungsstatus, verschiedene Aktionen durchgeführt werden.

In der Übersicht werden alle im AVM Access Server konfigurierten Internetverbindungen, Verbindungen zu entfernten Netzwerken und die eingewählten Benutzer aufgeführt.

Neben dem Namen des Ziels oder des Benutzers und dem aktuellen Verbindungsstatus werden statistische Informationen für die Verbindung angezeigt.

Für den Verbindungsstatus, der in der Spalte „Verbindung“ angezeigt wird, werden folgende Symbole verwendet:

Symbol Status

keines Wenn für ein entferntes Netzwerk oder eine Internetverbindung kein Symbol in der Spalte „Verbindung“ vorhanden ist, dann ist keine Verbindung zu dem Ziel aufgebaut.

Das Symbol in der Spalte „Ziel/Benutzer“ ist farbig:

Bei einer Internetverbindung heißt das, dass es sich um den im AVM Access Server aktivierten Internetanbieter handelt.

Bei entfernten Netzwerken bedeutet es, dass in der Routing-Tabelle des AVM Access Servers ein Eintrag für die Route zu diesem Ziel vorhanden ist. Müssen Daten zur Gegenstelle übertragen werden, wird die Verbindung automatisch aufgebaut.

Das Symbol in der Spalte „Ziel/Benutzer“ ist grau:

In der Routing-Tabelle existiert kein Eintrag, d.h. die Route zu diesem Ziel ist nicht bekannt. Ein automatischer Aufbau der Verbindung durch den AVM Access Server ist nicht möglich. Sie können die Verbindung zu diesem Ziel manuell aufbauen.

Mögliche Aktionen

Oberhalb der Übersicht befinden sich drei durch Symbole dargestellte Schaltflächen. Wenn Sie in der Übersicht eine Verbindung markiert haben, dann sind die einzelnen Symbole entweder aktiviert oder deaktiviert, je nachdem, in welchem Status sich die Verbindung befindet.

Informationen zu den Aktionen finden Sie in der Hilfe.

Schaltfläche Funktion

Eigenschaften

Über die rechte Maustaste können Sie sich die Eigenschaften einer Verbindung anzeigen lassen, zum Beispiel die zugewiesene IP-Adresse, Kompressions- und Filtereinstellungen, Security Associations (SAs) bei VPN-Verbindungen. Eine ausführliche Beschreibung der Eigenschaften finden Sie in der Hilfe.

ISDN B-Kanäle

Wenn Sie den Ordner „ISDN B-Kanäle“ auswählen, dann werden alle zum aktuellen Zeitpunkt aktiven ISDN-Verbindungen angezeigt.

Es werden die folgenden Informationen angezeigt:

Routing-Tabelle

Im Ordner „Routing-Tabelle“ werden die zum aktuellen Zeitpunkt aktiven IP-Routen angezeigt. Wie viele Routen Sie sehen, hängt davon ab, ob gerade Verbindungen aufgebaut sind und wie viele statische Routen im AVM Access Server eingetragen sind oder per RIP aus dem LAN bekanntgemacht wurden.

Die angezeigte Routing-Tabelle gehört zum AVM Access Server. Die Routing-Tabelle des Betriebssystems ist nach dem Start des AVM Access Servers nicht mehr gültig, mit Ausnahme der im Betriebssystem eingetragenen Defaultroute (siehe auch Kapitel „Architektur des AVM Access Servers“ auf Seite 111).

Ereignisse

Als Ereignisse werden alle ISDN-, DSL-, VPN-, Fehler- und Informationsmeldungen bezeichnet.

Die Ereignisse sind in Gruppen eingeteilt, die durch verschiedene Symbole gekennzeichnet sind. Es gibt die folgenden Ereignistypen:

Symbol Bedeutung
	Warnung, z.B. bei Überschreitung des zielbezogenen Budgets oder der globalen Schwellenwerte.
	Information, z.B. über Verbindungsaufbau und -abbau.
	ISDN-Direktverbindung einkommend
	ISDN-Direktverbindung ausgehend
	Alarm, z.B. beim Protokollieren eines Verstoßes gegen die Filterregeln (Firewall)
	Fehler, z.B. wenn Gegenstelle nicht antwortet.

Alle ISDN-Fehlermeldungen und die Meldungen des AVM Access Servers sind in der Hilfe aufgeführt.

Sie haben die Möglichkeit, sich die Ereignisse nach Kriterien ausgewählt anzeigen zu lassen. Die Kriterien legen Sie selbst fest. Sie können einen Ereignistyp, eine Gegenstelle und eine Schnittstelle auswäh-

len. Bei Problemen ist es beispielsweise sinnvoll, sich alle Ereignisse mit dem Ereignistyp „Fehler“ anzeigen zu lassen oder alle Ereignisse für eine bestimmte Gegenstelle oder eine bestimmte Schnittstelle.

Die Ereignisse werden in einer Datenbank gespeichert. Die maximale Größe dieser Datenbank können Sie in der Konfigurations-Ansicht im Ordner „Verwaltung“ einstellen. Wenn die Datenbank die maximale Größe erreicht hat, wird eine zweite angelegt. Erst wenn die zweite Datenbank ebenfalls die maximale Größe erreicht hat, wird die erste Datenbank gelöscht.

Nutzungsstatistik

In der Nutzungsstatistik werden Ihnen für einen definierten Zeitraum detaillierte Verbindungsinformationen angezeigt. Den Zeitraum, für den Sie die Informationen erhalten, legen Sie per Auswahl selbst fest.

Sie erhalten pro Benutzer und pro Netzwerk die folgenden Angaben zu den Verbindungen, die innerhalb des angegebenen Zeitraums zum und vom AVM Access Server aufgebaut wurden:

●Anzahl aller Verbindungen
●Anzahl der Verbindungen per Direkteinwahl
●Anzahl der Verbindungen per VPN
●Anzahl der einkommenden Verbindungen
●Anzahl der ausgehenden Verbindungen
●Verbindungsdauer gesamt
●Verbindungsdauer der Verbindungen per Direkteinwahl
●Verbindungsdauer der VPN-Verbindungen
- Übertragungsvolumen gesamt

Informationen über aktuelle Verbindungen sind nicht in den Angaben enthalten. Aktuelle Verbindungen können Sie in der Verbindungssteuerung verfolgen (siehe Abschnitt „Verbindungssteuerung“ auf Seite 37).

Die Angaben werden standardmäßig jeweils als Summen pro Benutzer und Netzwerk ausgegeben, können aber auch pro Verbindung angezeigt werden.

Als Anzeigewerkzeug für die Nutzungsstatistik wird der Microsoft Internetexplorer verwendet. Alle Funktionen des Internet Explorers, die über die rechte Maustaste erreichbar sind, stehen somit zur Verfügung. Beispielsweise kann zum Ausdrucken der Nutzungsstatistik die Druckfunktion des Internet Explorers genutzt werden.

Paketmitschnitt

Mit der Funktion „Paketmitschnitt“ in der Monitoring-Ansicht können Sie sich darüber informieren, welche Protokollpakete im LAN und über ISDN, DSL oder VPN gesendet werden. Auf diese Weise können Sie beispielsweise die Ursachen für ungewöhnlich hohe Verbindungsgebühren lokalisieren, bei Verbindungen die PPP-Aushandlung protokollieren und die Wirksamkeit der eingestellten Spoofings überprüfen.

Für den Mitschnitt können Sie verschiedene Kriterien festlegen. Sie können beispielsweise einstellen, auf welcher Ebene Sie Pakete protokollieren wollen. Durch die Angabe eines Benutzers oder Netzwerkes können Sie den Mitschnitt auf die Pakete bestimmter Verbindungen einschränken. Sie können auf allen oder nur einer bestimmten Netzwerkkarte mitschneiden. Außerdem haben Sie die Möglichkeit, den Protokollierungsumfang einzustellen.

Im Folgenden wird anhand von zwei Beispielen beschrieben, was Sie tun müssen, um einen Paketmitschnitt zu erstellen.

Paketmitschnitt für Aushandlungsfragen

1. Wählen Sie den Ordner„Paketmitschnitt“ aus.
2. Nehmen Sie auf der Registerkarte „Einstellungen“ folgende Einstellungen vor:

1. Für den Protokollierungsumfang können Sie die vorgegebenen Einstellungen übernehmen.
2. Wechseln Sie zur Registerkarte „Mitschnitt“.

1. Starten Sie den Paketmitschnitt über die Schaltfläche „Aufnahme“.
2. Wählen Sie im Ordner „Verbindungssteuerung“ den Benutzer oder das Netzwerk aus und bauen Sie eine Verbindung auf.
3. Warten Sie ab, bis Fehler auftreten.
4. Stoppen Sie den Paketmitschnitt über die Schaltfläche „Stopp“.
5. Für die weitere Auswertung können Sie den Paketmitschnitt über die Schaltfläche „Speichern“ in eine Datei speichern.

Paketmitschnitt für Pollingprobleme

1. Wählen Sie in der Monitoring-Ansicht den Ordner „Paketmitschnitt“ aus.
2. Nehmen Sie die folgenden Einstellungen vor:

Kriterium Einstellung

1. Starten Sie den Paketmitschnitt durch Klicken auf die Schaltfläche „Aufnahme“.
2. Warten Sie ab, bis 20-100 Pakete mitgeschrieben wurden und stoppen Sie dann im Menü „Monitor / Paketmitschnitt“ den Mitschnitt durch Klicken auf die Schaltfläche „Stopp“.
3. Speichern Sie den Mitschnitt.

Die Hilfe enthält detaillierte Informationen zum Paketmitschnitt.

Diagnose

Im Ordner „Diagnose“ steht ein Diagnosewerkzeug zur Verfügung, mit dem in wenigen Sekunden ein Überblick über den Zustand der im Zusammenhang mit dem AVM Access Server wichtigen Komponenten erstellt werden kann. Wenn beim Betrieb des AVM Access Servers Probleme auftreten, kann anhand der Diagnose schnell festgestellt werden, ob die Ursache in einer fehlerhaften Grundeinstellung liegt.

Datenbankverwaltung

Durch die Unterstützung der Standard-Microsoft-Datenbank-Technologie bietet der AVM Access Server eine solide Grundlage für die Protokollierung und Bearbeitung aller wichtigen Konfigurationsinformationen, Ereignisse und Nutzungsstatistiken aller ISDN-Verbindungen. Der AVM Access Server legt die folgenden Datenbanken an:

In der Konfigurations-Ansicht im Ordner „Verwaltung“ können Sie auf der Registerkarte „Allgemein“ die maximal zulässige Größe für die Datenbanken NTRLOG1.MDB, NTRLOG2.MDB, NTRACT1.MDB und NTRACT2.MDB einstellen. Zuerst wird in der Datenbank NTRLOG1.MDB (NTRACT1.MDB) protokolliert und, sobald die maximal erlaubte Größe erreicht ist, in NTRLOG2.MDB (NTRACT2.MDB). Wenn NTRLOG2.MDB (NTRACT2.MDB) ebenfalls die maximal zulässige Größe erreicht hat, dann wird NTRLOG1.MDB (NTRACT1.MDB) gelöscht und neu angelegt.

Die Datenbanken befinden sich im Installationsverzeichnis des AVM Access Servers und können mit Hilfe von Microsoft Access 2000 oder einer höheren Version je nach Bedarf ausgewertet werden.

4 Szenarios für den Einsatz des AVM Access Servers

In diesem Kapitel wird der Einsatz des AVM Access Servers in den Konstellationen unterschiedlicher Szenarios vorgestellt. Für jedes Szenario erhalten Sie eine ausführliche Beschreibung der Installation und Konfiguration des AVM Access Servers, wobei auch eventuell zu berücksichtigende Besonderheiten erläutert werden.

4.1 LAN-LAN-Kopplung mit AVM ISDN-Controller C4 und acht B-Kanälen

Ein Unternehmen hat seine Hauptniederlassung in Berlin und eine zweite Niederlassung in Stuttgart. Die Netzwerke der beiden Niederlassungen sollen über ISDN mit acht B-Kanälen gekoppelt werden. Die B-Kanäle sollen dabei je nach Bedarf dynamisch aufgebaut werden. Die Verbindung soll nur zu den Hauptgeschäftszeiten zwischen 9:00 Uhr und 17:00 Uhr verfügbar sein. Somit ist die permanente Verbindung zur Hauptniederlassung gesichert, um Dateneingaben auf den zentralen Servern vorzunehmen.

Anforderungsbeschreibung

- In der Hauptniederlassung in Berlin die Niederlassung in Stuttgart als entferntes Netzwerk einrichten.

- In der Niederlassung in Stuttgart die Hauptniederlassung in Berlin als entferntes Netzwerk einrichten.

- In beiden Niederlassungen in dem jeweils konfigurierten entfernten Netzwerk dynamische Kanalbündelung mit sieben B-Kanälen einstellen.

- In beiden Niederlassungen ein Zeitprofil für das entfernte Netzwerk einrichten.

Die folgende Abbildung zeigt die LAN-LAN-Verbindung im Überblick.

Hauptniederlassung Berlin Niederlassung Stuttgart

graph LR
    subgraph LAN
        A1["Computer"] -->|LAN| Cloud["ISDN"]
        A2["Computer"] -->|LAN| Cloud
        A3["Computer"] -->|LAN| Cloud
        Cloud -->|Network Link| Subnetmask["Subnetmaske: 255.255.255.0"]
    end
    subgraph AVMAccessServer
        Cloud -->|Network Link| Subnetmask
    end
    subgraph AVMAccessServer
        Cloud -->|Network Link| Subnetmask
    end
    style Cloud fill:#f9f,stroke:#333,stroke-width:2px
    note1["Netzwerkadresse: 192.168.10.0\nSubnetzmaske: 255.255.255.0"]:::note1
    note2["Netzwerkadresse: 192.168.20.0\nSubnetzmaske: 255.255.255.0"]:::note2

LAN-LAN-Verbindung zwischen zwei entfernten Netzwerken

Technische Gegebenheiten

Die folgenden technischen Voraussetzungen sind jeweils in beiden Niederlassungen gegeben:

●1 AVM ISDN-Controller C4
●4 Anlagenanschlüsse der Deutschen Telekom mit ISDN-Sammelanschlussoption
Im AVM Access Server können für acht B-Kanäle maximal zwei Rufnummern konfigurieren werden. Mit zwei Rufnummern können acht B-Kanäle nur dann bedient werden, wenn idealerweise für alle vier Anschlüsse dieselbe Rufnummer gilt. Durch den Sammelanschluss erhalten die vier Anschlüsse denselben Nummernkreis.
●1 betriebsbereiter Computer mit den für den AVM Access Server erforderlichen Systemvoraussetzungen

Was ist zu tun?

Die folgenden Schritte müssen Sie sowohl in der Hauptniederlassung in Berlin als auch bei der Zweigniederlassung in Stuttgart ausführen:

Praktische Durchführung

Die oben aufgeführten Schritte A bis F müssen in Berlin und in Stuttgart durchgeführt werden. Im Folgenden wird genau beschrieben, was Sie im Einzelnen tun müssen. Beachten Sie, dass sich die Angaben für die beiden Standorte an einigen Stellen unterscheiden.

A In der Systemsteuerung des Betriebssystems die Netzwerkeinstellungen überprüfen

Folgendes muss überprüft und gegebenenfalls eingestellt werden:

• An mindestens einem LAN-Adapter muss ein Standard-Gateway eingerichtet sein.
• Alle LAN-Adapter, die mit dem AVM Access Server verwendet werden, brauchen eine feste IP-Adresse.

Gehen Sie folgendermaßen vor:

1. Wählen Sie in der Systemsteuerung des Betriebssystems den Eintrag „Netzwerkverbindungen“ aus.
2. Aktivieren Sie die LAN-Verbindung, die mit dem AVM Access Server verwendet werden soll und wählen Sie im Kontextmenü den Eintrag „Eigenschaften“ aus.

3. Wählen Sie in der Liste den Eintrag „Internetprotokoll (TCP/IP)“ aus und klicken Sie auf „Eigenschaften“.

4. Tragen Sie Folgendes ein:

Die IP-Adresse des Standard-Gateways kann eine beliebige Adresse aus dem Subnetz des AVM Access Servers sein.

1. Bestätigen Sie Ihre Angaben mit „OK“.

2. Falls Sie weitere LAN-Adapter mit dem AVM Access Server verwenden wollen, dann müssen Sie für jeden dieser Adapter eine feste IP-Adresse eintragen.

B AVM Access Server installieren

Installieren Sie den AVM Access Server wie im Kapitel „Installation und Inbetriebnahme: ein Beispiel-Szenario“ auf Seite 15 beschrieben.

Nach der ersten Installation des AVM Access Servers und dem Neustart des Computers startet automatisch der Einrichtungsassistent des AVM Access Servers. Mit dem Einrichtungsassistenten konfigurieren Sie in diesem Szenario lediglich den ISDN-Controller.

C ISDN-Controller für die Anschlussart konfigurieren

Bei den AVM-ISDN-Controllern B1, C2 und C4 ist zusätzlich die Treiber-software auf die Betriebsart „Anlagenanschluss“ (Punkt-zu-Punkt) zu konfigurieren. Bitte beachten Sie hierzu die Beschreibung im Handbuch des entsprechenden ISDN-Controllers.

1. Klicken Sie im Willkommensfenster des Einrichtungsassistenten auf „Weiter“.
2. Wählen Sie im Fenster „ISDN- und DSL-Controller auswählen“ den Eintrag für den AVM ISDN-Controller C4 aus und klicken Sie auf „Eigenschaften“.
3. Aktivieren Sie die Einstellung „Anlagenanschluss“ und bestätigen Sie die Einstellung mit „OK“.
4. Wählen Sie im Dialog „Internetverbindung“ die Option „Keine Internetverbindung einrichten“.

5. Deaktivieren Sie im Dialog „Zugang für entfernte Benutzer“ die beiden Einstellungen „Internet (VPN)“ und „ISDN-Direkteinwahl“.

6. Wählen Sie im Fenster „Budgeteinstellungen“ die Option „Erstinstallation ohne voreingestelltes Budget“.

7. Beenden Sie den Einrichtungsassistenten mit „Fertig stellen“.

D Entfernten Standort als entferntes Netzwerk im AVM Access Server einrichten mit Kanalbündelung für die insgesamt acht B-Kanäle

Auf dem AVM Access Server in Berlin wird das entfernte Netzwerk „Niederlassung Stuttgart“ und auf dem AVM Access Server in Stuttgart wird das entfernte Netzwerk „Niederlassung Berlin“ Eingerichtet.

1. Aktivieren Sie auf der Benutzeroberfläche des AVM Access Servers den Eintrag „Entfernte Netzwerke“ und wählen Sie im Kontextmenü den Eintrag „Netzwerk hinzufügen“ aus. Der Assistent für das Einrichten entfernter Netzwerke wird gestartet.
2. Wählen Sie im ersten Dialog die Option „ISDN-Direktverbindung“.
3. Geben Sie im nächsten Dialog eine Bezeichnung und die Anmeldedaten für die Anmeldung beim entfernten Standort ein.
4. Geben Sie die Rufnummer des entfernten Standorts ein.
5. Nehmen Sie keine Budgeteinstellungen vor.
6. Geben Sie in Berlin die IP-Adresse des Netzwerks in Stuttgart an und umgekehrt.

1. Beenden Sie im Dialog „Zusammenfassung“ die Einstellungen mit „Fertig stellen“.

Das neu konfigurierte Netzwerk wird im Ordner „Entfernte Netzwerke“ mit der von Ihnen festgelegten Bezeichnung angezeigt.

1. Markieren Sie im Ordner „Entfernte Netzwerke“ den neuen Eintrag und wählen Sie die Registerkarte „ISDN-Bandbreite“ aus.

2. Tragen Sie im Feld „Maximale Anzahl der B-Kanäle“ eine „8“ und im Feld „Zusätzliche dynamische B-Kanäle“ eine „7“ ein. Alle anderen Einstellungen auf dieser Registerkarte können so bleiben, wie sie sind.

3. Klicken Sie auf „Übernehmen“, damit alle Einstellungen in den AVM Access Server übernommen werden.

E Zeitprofil erstellen und im eingerichteten entfernten Netzwerk eintragen

Damit die Verbindung nur während der Hauptgeschäftszeiten von Montag bis Freitag jeweils zwischen 9:00 Uhr und 17:00 Uhr hergestellt werden kann, müssen Sie ein passendes Zeitprofil anlegen und in den Einstellungen für das entfernte Netzwerk eintragen.

1. Aktivieren Sie den Ordner „Verwaltung / Zeitprofile“ und wählen Sie im Kontextmenü „Zeitprofil hinzufügen“ aus.
2. Geben Sie auf der Registerkarte „Allgemein“ eine Bezeichnung für das Zeitprofil an.
3. Achten Sie darauf, dass die Einstellungen „Feiertage wie Sonntage behandeln“ und „Zugang aktivieren“ aktiviert sind.
4. Definieren Sie nun mit dem grafischen Werkzeug das Zeitprofil.

– Ziehen Sie dazu mit der linken Maustaste ein Rechteck auf, das in vertikaler Richtung die Tage Montag bis Freitag und in horizontaler Richtung den Zeitraum von 9:00 bis 17:00 Uhr umfasst.
– Rechts neben der Position des Mauszeigers werden Ihnen die jeweils aktuellen Koordinaten durch die Angabe des Wochen-tages und der Uhrzeit angezeigt.
– Beginnen Sie mit der Definition des Zeitprofils bei den Koordinaten „Mo 9:00“ und beenden Sie die Definition bei den Koordinaten „Fr 17:00“.

1. Markieren Sie nun im Ordner „Entfernte Netzwerke“ das neu definierte Netzwerk.
2. Wählen Sie auf der Registerkarte „Allgemein“ im Feld „Zeitprofil“ das neue definierte Zeitprofil aus.
3. Klicken Sie abschließend auf „Übernehmen“, damit die Einstellungen in den AVM Access Server übernommen werden.

F Verbindung testen

1. Wählen Sie im Menü „Ansicht“ den Eintrag „Monitoring-Ansicht“ aus.
2. Öffnen Sie den Ordner „Verbindungssteuerung“.
3. Aktivieren Sie die neue Verbindung und wählen Sie im Kontextmenü den Eintrag „Verbindung testen“ aus.

Eine DOS-Box mit einem Ping auf die IP-Adresse der Gegenstelle wird gestartet. Wenn der Ping erfolgreich ausgeführt wird, dann kann der AVM Access Server am entfernten Standort grundsätzlich erreicht werden.

4.2 AVM Access Server und KEN!

In einer Anwaltskanzlei, in der acht Mitarbeiter beschäftigt sind, wird der Internetzugang für alle Arbeitsplätze im Firmennetz über KEN! und eine FRITZ!Card DSL hergestellt.

Nun soll mit dem AVM Access Server und NetWAYS/ISDN für alle Mitarbeiter die Möglichkeit geschaffen werden, von zu Hause aus Texte auf dem Datei-Server des Firmennetzes zu bearbeiten. Der Zugriff von den Heimarbeitsplätzen auf das Firmennetz soll über VPN erfolgen. Der Zugang zum Internet soll weiterhin über KEN! hergestellt werden.

Anforderungsbeschreibung

Folgende Anforderungen müssen erfüllt sein:

- Internetzugang im AVM Access Server über KEN! einrichten

Der AVM Access Server soll auf demselben Computer installiert werden, auf dem KEN! installiert ist. An der Zugriffsart auf das Internet über KEN! soll sich durch den Einsatz des AVM Access Servers nichts ändern.

●Entfernte Benutzer mit VPN-Zugang einrichten

Für jeden Mitarbeiter in der Anwaltskanzlei soll der Heimarbeitsplatz mit einem VPN-Zugang zum Firmennetz ausgestattet werden, so dass jeder Mitarbeiter von zu Hause aus auf den Datei-Server zugreifen kann.

Die folgende Abbildung zeigt die VPN-Verbindung im Überblick.

Firmennetz Anwaltskanzlei Heimarbeitsplätze

graph TD
    A["Datei-Server\nIP-Adresse: 192.168.115.5"] --> B["AVM Access Server\nKEN! DSL\nIP-Adresse: 192.168.115.1"]
    C["Computer"] --> B
    D["Computer"] --> B
    B --> E["Virtuelles Privates Netz (VPN)"]
    E --> F["Internet"]
    style B fill:#f9f9f9,stroke:#333
    style E fill:#e6f7ff,stroke:#333

VPN-Verbindungen zwischen AVM Access Server und Heimarbeitsplätzen; die Internetverbindung vom Firmenserver aus wird über KEN! hergestellt

Technische Gegebenheiten

in der Anwaltskanzlei

• betriebsbereiter Computer mit den für den AVM Access Server erforderlichen Systemvoraussetzungen
• bereits konfigurierter Internetzugang über KEN! und FRITZ!Card DSL

●an den Heimarbeitsplätzen der Mitarbeiter

– betriebsbereiter Computer
- ISDN-Anschluss

Was ist zu tun?

In der Anwaltskanzlei

An den Heimarbeitsplätzen der Mitarbeiter

Praktische Durchführung am Firmenserver der Anwaltskanzlei

Folgende Einstellungen und Installationen sind an dem Firmenserver der Anwaltskanzlei notwendig:

A Den AVM Access Server installieren

Installieren Sie den AVM Access Server wie im Kapitel „Installation und Inbetriebnahme: ein Beispiel-Szenario“ auf Seite 15 beschrieben.

Nach der ersten Installation des AVM Access Servers und dem Neustart des Computers startet automatisch der Einrichtungsassistent des AVM Access Servers. Mit dem Einrichtungsassistenten konfigurieren Sie den Internetzugang, eine Benutzergruppe und den ersten Benutzer. Bevor Sie mit der Konfiguration beginnen, überprüfen Sie bitte, wie im folgenden Abschnitt beschrieben, die Netzwerkeinstellungen in der Systemsteuerung des Betriebssystems.

B In der Systemsteuerung des Betriebssystems die Netzwerkeinstellungen überprüfen

Damit der Internetzugang weiterhin über KEN! hergestellt werden kann, müssen Sie sicherstellen, dass der AVM Access Server Driver an den KEN! PPP-Adapter gebunden ist. Gehen Sie dazu folgendermaßen vor:

1. Wählen Sie in der Systemsteuerung des Betriebssystems den Eintrag „Netzwerkverbindungen“ aus.
2. Aktivieren Sie die LAN-Verbindung „KEN! PPP over ISDN“ und wählen Sie im Kontextmenü „Eigenschaften“ aus.
3. In der Liste muss der Eintrag „AVM Access Server Driver“ mit einem Häkchen markiert sein.

C Im AVM Access Server den Internetzugang über KEN! konfigurieren

1. Klicken Sie im Willkommensfenster des Einrichtungsassistenten auf „Weiter“.
2. Im Fenster „ISDN- und DSL-Controller auswählen“ müssen keine Einstellungen vorgenommen werden.
3. Legen Sie fest, wie der AVM Access Server auf das Internet zugreifen soll. Wählen Sie „KEN!“ aus.
4. Bestätigen Sie Ihre Angaben mit „Weiter“.

D Benutzergruppe „Homeoffice via VPN“ mit der Berechtigung für den VPN-Zugang einrichten

1. Behalten Sie die Einstellung „Internet (VPN)“ bei und deaktivieren Sie die Einstellung „ISDN-Direkteinwahl“.
2. Legen Sie nun die Benutzergruppe an. Geben Sie als Bezeichnung „Homeoffice via VPN“ ein.
3. Wählen Sie den IP-Adressbereich 192.168.110.0/24 aus. Aus diesem Adressbereich erhalten die Benutzer aus der Gruppe Ihre IP-Adressen.

E Alle Mitarbeiter als Benutzer in der Benutzergruppe „Homeoffice via VPN“ einrichten

1. Legen Sie im Einrichtungsassistenten zunächst die Anmeldedaten für einen Benutzer fest. Tragen Sie im Feld „Vollständiger Name“ den Namen eines Mitarbeiters ein. Für das Feld „Benutzername“ wird automatisch ein Vorschlag gemacht, den Sie übernehmen oder ändern können. Geben Sie im Feld „Kennwort“ das Kennwort ein, mit dem sich der Mitarbeiter beim AVM Access Server anmelden muss. Das Kennwort muss eine Mindestlänge von acht Zeichen haben. Geben Sie das Kennwort im Feld „Kennwort bestätigen“ nochmals ein.

2. In der Zusammenfassung werden alle Einstellungen, die Sie vorgenommen haben, zusammengefasst dargestellt. Beenden Sie den Einrichtungsassistenten mit „Fertig stellen“.

3. Wählen Sie in der Benutzeroberfläche des AVM Access Servers im Ordner „Entfernte Benutzer“ die Benutzergruppe „Homeoffice via VPN“ aus. Klicken Sie auf die rechte Maustaste und wählen Sie „Benutzer hinzufügen...“ aus.

Der Assistent „Entfernten Benutzer neu anlegen“ wird gestartet.

1. Geben Sie die Daten eines Mitarbeiters ein und klicken Sie auf „Weiter“.

2. Schließen Sie die Benutzerkonfiguration mit „Fertig stellen“ ab.

3. Wiederholen Sie die Schritte 3 bis 5 für jeden Mitarbeiter.

F In KEN! den Dynamic-DNS-Eintrag konfigurieren

Bevor Sie in KEN! Dynamic DNS einrichten können, müssen Sie sich bei einem Dynamic DNS-Anbieter registrieren. KEN! unterstützt die beiden Anbieter „companity“ (dns4biz.com) und „Dynamic DNS“ (dyndns.org).

1. Öffnen Sie die Benutzeroberfläche der KEN!-Service-Anwendung und schalten Sie im Menü „Ansicht“ den Expertenmodus ein.

2. Wählen Sie im Ordner „Internet“ die Registerkarte „Erweiterte Einstellungen“ aus und aktivieren Sie dort die Einstellung „Firewall erlaubt ankommende Verbindungen aus dem Internet“.

3. Wechseln Sie zur Registerkarte „Gateway-Dienste“.

4. Klicken Sie auf den Pfeil neben der Schaltfläche.

1. Wählen Sie in der Liste den Eintrag „Domainname für wechselnde IP-Adresse hinzufügen“ aus.
2. Wenn Sie sich bereits einen Domainnamen bei dem Anbieter „companity“ (dns4biz.com) haben zuweisen lassen, geben Sie die Zugangsdaten hier ein.
3. Wenn Sie sich noch keinen Domainnamen bei einem Anbieter im Internet haben zuweisen lassen, klicken Sie auf „Neuen Domainnamen anmelden...“. Es öffnet sich die Internetseite des Anbieters „companity“. Hier können Sie den Domainnamen anmelden. Die Zugangsdaten erhalten Sie dann per E-Mail.
4. Klicken Sie abschließend auf „Übernehmen“, damit die Änderungen im KEN!-Service übernommen werden.

G In KEN! die beiden Gateway-Dienste ESP und ISAKMP freischalten

Auch um diese beiden Dienste freischalten zu können, muss KEN! sich im Expertenmodus befinden. Im Ordner „Internet“ auf der Registerkarte „Erweiterte Einstellungen“ muss die Einstellung „Firewall erlaubt ankommende Verbindungen aus dem Internet“ aktiviert sein.

1. Wählen Sie im Ordner „Internet“ die Registerkarte „Gateway-Dienste“ aus und aktivieren Sie dort die beiden Einträge „IPsec“ und „VPNGateway“. Bei der Auswahl wird der Dialog „Weiterleitung ankommender Verbindungen aus dem Internet“ eingeblendet. Nehmen Sie in diesem Dialog keine Änderungen vor und bestätigen Sie mit „OK“.

2. Klicken Sie abschließend auf „Übernehmen“, damit die Änderungen im KEN!-Service übernommen werden.

H Im AVM Access Server die Adresse für die Erreichbarkeit aus dem Internet eintragen

Im AVM Access Server muss eingetragen werden, mit welcher Adresse der AVM Access Server aus dem Internet erreichbar ist. Da der Internetzugang über KEN! realisiert wird, muss der Domänenname von KEN! angegeben werden, den Sie bei einem Dynamic DNS-Anbieter festgelegt haben.

1. Markieren Sie auf der Benutzeroberfläche des AVM Access Servers den Ordner „Internet“ und wählen Sie die Registerkarte „VPN“ aus.
2. Tragen Sie in dem Feld „Adresse im Internet“ den vollständigen Domänennamen von KEN! ein.

Wenn Sie beispielsweise bei „companity“ (dns4biz.com) den Namen „kenserver“ angegeben haben, dann lautet der vollständige Domänenname für KEN! „kenserver.dns4biz.com“.

I Exportdateien mit der Benutzerkonfiguration für NetWAYS/ISDN erstellen

Im AVM Access Server können die Benutzerkonfigurationen für die entfernten Benutzer jeweils in einer Exportdatei gespeichert werden. Durch den Import dieser Datei in NetWAYS/ISDN auf dem jeweiligen Computer am Heimarbeitsplatz wird die Ziel-Konfiguration für den AVM Access Server automatisch durchgeführt. Führen Sie die folgenden Schritte für jeden Mitarbeiter separat aus.

1. Wählen Sie auf der Benutzeroberfläche des AVM Access Servers im Ordner „Entfernte Benutzer“ den Benutzer aus.
2. Wählen Sie im Kontextmenü „Benutzereinstellungen für Net-WAYS/ISDN exportieren“ aus.
   Der Dialog „VPN-Benutzerkonfiguration für NetWAYS/ISDN exportieren“ wird geöffnet.
3. Geben Sie im Feld „Kennwort“ ein beliebiges Kennwort für die Verschlüsselung der VPN-Konfiguration ein. Mit diesem Kennwort wird die VPN-Benutzerkonfiguration in NetWAYS/ISDN importiert.
   Sie können auch standardmäßig das Kennwort der Direkteinwahl verwenden.
4. Die Datei „NETWAYS.EFF“ wird in dem unter „Verzeichnis“ angegebenen Ordner gespeichert.
5. Bestätigen Sie Ihre Angaben mit „OK“.
6. Kopieren Sie die Datei NETWAYS.EFF auf eine Diskette.

Praktische Durchführung an den Heimarbeitsplätzen der Mitarbeiter

Die im Folgenden beschriebenen Schritte müssen an jedem Heimarbeitsplatz durchgeführt werden.

A NetWAYS/ISDN installieren

NetWAYS/ISDN ist im Lieferumfang des AVM Access Servers enthalten. Installieren Sie NetWAYS/ISDN und befolgen Sie dabei die Installationshinweise im NetWAYS/ISDN-Handbuch.

B Internetzugang einrichten

Richten Sie nun in NetWAYS/ISDN einen Internetzugang ein.

1. Wählen Sie im Menü „Einstellungen“ den Eintrag „Ziele/Ziel neu...“ aus. Der NetWAYS/ISDN-Assistent zum Einrichten einer Internetverbindung wird gestartet.
2. Wählen Sie im Dialog „Art des Netzwerkes“ die Option „Internet“ aus.
3. Die Angaben in den nun folgenden Dialogen betreffen den Internetanbieter. Diese Angaben werden bei jedem Mitarbeiter variieren, da sie durch den Internetanbieter des jeweiligen Mitarbeiters vorgegeben sind.
4. Beenden Sie im Dialog „Zusammenfassung“ die Konfiguration mit „Fertig stellen“.

In der NetWAYS/ISDN-Oberfläche wird die Internetverbindung als Symbol dargestellt.

C Den AVM Access Server als Ziel mit VPN einrichten

1. Legen Sie die Diskette mit der am AVM Access Server erstellten Exportdatei in das Diskettenlaufwerk und importieren Sie die Datei. Wählen Sie dazu auf der NetWAYS/ISDN-Benutzeroberfläche im Menü „Datei“ den Eintrag „VPN-Verbindung importieren“ aus. Der Dateiauswahldialog von Windows wird geöffnet.
2. Wählen Sie die Datei mit der Endung .EFF aus und bestätigen Sie Ihre Auswahl mit „OK“.
3. Geben Sie das Kennwort ein, das Sie für die Exportdateien am AVM Access Server festgelegt haben.

D Die Internetverbindung testen

Mit einem Ping auf einen beliebigen Web-Server können Sie die Internetverbindung testen.

Öffnen Sie eine DOS-Box und geben Sie ping www.avm.de ein.

Wenn der Ping erfolgreich ausgeführt wird, dann kann NetWAYS/ISDN eine Verbindung ins Internet herstellen.

E Über die VPN-Verbindung den Zugriff vom entfernten Arbeitsplatz auf den Datei-Server in der Anwaltskanzlei testen

1. Stellen Sie sicher, dass der AVM Access Server in der Anwaltskanzlei mit dem Internet verbunden ist.
2. Die Internetverbindung von NetWAYS/ISDN muss in Verbindungs-bereitschaft sein. Wählen Sie in der NetWAYS/ISDN-Oberfläche die Internetverbindung aus und klicken Sie im Menü „Datei“ auf „Verbindungsbereitschaft“.
3. Öffnen Sie auf dem NetWAYS/ISDN-Computer eine DOS-Box und führen Sie ein „Ping“ auf die IP-Adresse des Datei-Servers in der Anwaltskanzlei aus.

Wenn der Ping erfolgreich ausgeführt wird, dann hat der Mitarbeiter jetzt Zugang über VPN zum Datei-Server in der Anwaltskanzlei.

4.3 AVM Access Server und Router

In einem Übersetzungsbüro, in dem zehn Mitarbeiter beschäftigt sind, wird der Internetzugang für alle Arbeitsplätze im Firmennetz über einen Router hergestellt.

Nun soll mit dem AVM Access Server und NetWAYS/ISDN für alle Mitarbeiter die Möglichkeit geschaffen werden, von zu Hause aus auf den E-Mail-Server des Firmennetzes zugreifen zu können. Der Zugriff von den Heimarbeitsplätzen auf das Firmennetz soll über VPN erfolgen. Der Zugang zum Internet soll weiterhin über den Router hergestellt werden.

Anforderungsbeschreibung

Folgende Anforderungen müssen dazu erfüllt sein:

- Internetzugang im AVM Access Server über den externen Router konfigurieren

An der Zugriffsart auf das Internet über den Router soll sich durch den Einsatz des AVM Access Servers nichts ändern.

● Entfernte Benutzer mit VPN-Zugang einrichten

Für jeden Mitarbeiter im Übersetzungsbüro soll der Heimarbeitsplatz mit einem VPN-Zugang zum Firmennetz ausgestattet werden, so dass jeder Mitarbeiter von zu Hause aus auf den E-Mail-Server zugreifen kann.

Die folgende Abbildung zeigt die VPN-Verbindung im Überblick.

Firmennetzwerk im Übersetzungsbüro

Netzwerkadresse: 192.168.10.0

Subnetzmaske: 255.255.255.0

Heimarbeitsplätze

Mit NetWAYS/ISDN

IP-Adressen aus dem

Adressbereich 192.168.100.0

graph LR
    A["Standard-Gateway: 192.168.10.1"] --> B["AVM Access Server"]
    C["Standard-Gateway: 192.168.10.1"] --> B
    D["Lotus Domino Server IP-Adresse: 192.168.10.10"] --> B
    B --> E["LAN-Adapter mit IP-Adresse 192.168.10.1"]
    F["LAN-Adapter mit fester offizieller IP-Adresse"] --> G["Router"]
    G --> H["Internet"]
    H --> I["VPN-Tunnel"]
    style H fill:#f9f,stroke:#333

VPN-Verbindungen zwischen AVM Access Server und Heimarbeitsplätzen; die Internetverbindung vom Firmenserver aus wird über einen Router hergestellt

Technische Gegebenheiten

- im Übersetzungsbüro

– betriebsbereiter Computer mit den für den AVM Access Server erforderlichen Systemvoraussetzungen
- eine Festverbindung ins Internet mit dem Router von der Deutschen Telekom
- ein konfigurierter Internetzugang über den Router und die Festverbindung
– ein Lotus Domino-Server als E-Mail-Server

● an den Heimarbeitsplätzen der Mitarbeiter

– betriebsbereiter Computer
- FRITZ!Card DSL
- T-DSL-Anschluss mit Flatrate
- T-Online als Internetanbieter

Was ist zu tun?

Im Übersetzungsbüro:

An den Heimarbeitsplätzen der Mitarbeiter:

Praktische Durchführung am Firmenserver im Übersetzungsbüro

Folgende Einstellungen und Installationen sind am Firmenserver im Übersetzungsbüro notwendig:

A In der Systemsteuerung des Betriebssystems die Netzwerkeinstellungen überprüfen

Der Zugang zum Internet soll weiterhin über den Router hergestellt werden. Auf dem Computer, auf dem der AVM Access Server installiert werden soll, muss der Internetzugang über die Netzwerkkarte schon vor der Installation betriebsbereit sein. Dazu müssen Sie Folgendes überprüfen und gegebenenfalls einstellen:

• An dem LAN-Adapter, der den AVM Access Server mit dem Router verbindet, muss eine feste, öffentliche IP-Adresse eingetragen sein. Zusammen mit der Festverbindung haben Sie ein festes Subnetz erhalten, aus dem Sie diese IP-Adresse vergeben. Als Standard-Gateway tragen Sie die IP-Adresse des Routers ein.
• Als DNS-Server müssen die beiden DNS-Server der Festverbindung eingetragen werden.
• Alle LAN-Adapter, die mit dem AVM Access Server verwendet werden, brauchen eine feste IP-Adresse.

Gehen Sie folgendermaßen vor:

1. Wählen Sie in der Systemsteuerung des Betriebssystems den Eintrag „Netzwerkverbindungen“ aus.
2. Aktivieren Sie die LAN-Verbindung, die den AVM Access Server mit dem Router verbinden soll und wählen Sie im Kontextmenü der rechten Maustaste „Eigenschaften“ aus.
3. Wählen Sie in der Liste den Eintrag „Internetprotokoll (TCP/IP)“ aus und klicken Sie auf „Eigenschaften“.
4. Tragen Sie im Feld „IP-Adresse“ eine feste, öffentliche IP-Adresse ein. Zusammen mit der Festverbindung haben Sie ein festes Subnetz erhalten, aus dem Sie diese IP-Adresse vergeben.
5. Falls kein DNS-Server eingerichtet ist, müssen Sie die DNS-Server der Festverbindung eintragen.
6. Bestätigen Sie Ihre Angaben mit „OK“.
7. Falls Sie weitere LAN-Adapter mit dem AVM Access Server verwenden wollen, dann müssen Sie für jeden dieser Adapter eine feste IP-Adresse eintragen.

B AVM Access Server installieren

Installieren Sie den AVM Access Server wie im Kapitel „Installation und Inbetriebnahme: ein Beispiel-Szenario“ auf Seite 15 beschrieben.

Nach der ersten Installation des AVM Access Servers und dem Neustart des Computers startet automatisch der Einrichtungsassistent des AVM Access Servers. Mit dem Einrichtungsassistenten konfigurieren Sie den Internetzugang.

C Im AVM Access Server den Internetzugang über den externen Router kofigurieren

1. Klicken Sie im Willkommensfenster des Einrichtungsassistenten auf „Weiter“.
2. Im Fenster „ISDN- und DSL-Controller auswählen“ müssen keine Einstellungen vorgenommen werden.
3. Legen Sie fest, wie der AVM Access Server auf das Internet zugreifen soll. Wählen Sie „Bestehenden Internetzugang nutzen“ aus.
4. Wählen Sie im Dialog „Netzwerkkarte“ die Netzwerkkarte aus, die eine Verbindung zum externen Router hat.
5. Deaktivieren Sie im Dialog „Zugang für entfernte Benutzer“ die beiden Einstellungen „Internet (VPN)“ und „ISDN-Direkteinwahl“.
6. Wählen Sie im Fenster „Budgeteinstellungen“ die Option „Erstinstallation ohne voreingestelltes Budget“.
7. Beenden Sie den Einrichtungsassistenten mit „Fertig stellen“.

D Erreichbarkeit des AVM Access Servers aus dem Internet überprüfen

Damit von den entfernten Benutzern VPN-Verbindungen zum AVM Access Server hergestellt werden können, muss der AVM Access Server aus dem Internet über eine Internetadresse erreichbar sein.

1. Wählen Sie im AVM Access Server den Ordner „Internet“ aus.
2. Stellen Sie sicher, dass auf der Registerkarte „VPN“ im Feld „Adresse im Internet“ die IP-Adresse eingetragen ist, die Sie in den Netzwerkeinstellunegn am LAN-Adapter angegeben haben, der den AVM Access Server mit dem externen Router verbindet (siehe Schritt A4).

E Benutzergruppe „Homeoffice via VPN“ mit der Berechtigung für den VPN-Zugang einrichten

1. Markieren Sie auf der Benutzeroberfläche des AVM Access Servers den Ordner „Entfernte Benutzer“, klicken Sie auf die rechte Maustaste und wählen Sie „Gruppe hinzufügen...“ aus.
2. Geben Sie als Bezeichnung für die neue Benutzergruppe „Home-office via VPN“ ein.
3. Behalten Sie die Einstellung „Internet (VPN)“ bei und deaktivieren Sie die Einstellung „ISDN-Direkteinwahl“.
4. Wählen Sie als IP-Adressbereich „Benutzerdefiniert“ aus.
5. Geben Sie den IP-Adressbereich 192.168.100.0/24 an. Aus diesem Adressbereich erhalten die Benutzer aus der Gruppe Ihre IP-Adressen.

F Alle Mitarbeiter als Benutzer in der Benutzergruppe „Homeoffice via VPN“ einrichten

1. Wählen Sie in der Benutzeroberfläche des AVM Access Servers im Ordner „Entfernte Benutzer“ die Benutzergruppe „Homeoffice via VPN“ aus. Wählen Sie im Kontextmenü „Benutzer hinzufügen...“ aus. Der Assistent „Entfernten Benutzer neu anlegen“ wird gestartet.

2. Geben Sie die Daten eines Mitarbeiters ein und klicken Sie auf „Weiter“.

3. Wählen Sie als Benutzergruppe „Homeoffice via VPN“ aus.
4. Schließen Sie die Benutzerkonfiguration mit „Fertig stellen“ ab.
5. Wiederholen Sie die Schritte 1 bis 4 für jeden Mitarbeiter.

G Exportdateien mit der Benutzerkonfiguration für NetWAYS/ISDN erstellen

Am AVM Access Server können die Benutzerkonfigurationen für die entfernten Benutzer jeweils in einer Exportdatei gespeichert werden. Durch den Import dieser Datei in NetWAYS/ISDN auf dem jeweiligen Computer am Heimarbeitsplatz wird die Ziel-Konfiguration für den AVM Access Server automatisch durchgeführt. Führen Sie die folgenden Schritte für jeden Mitarbeiter separat aus.

1. Wählen Sie auf der Benutzeroberfläche des AVM Access Servers im Ordner „Entfernte Benutzer“ den Benutzer aus.

2. Wählen Sie im Kontextmenü „Benutzereinstellungen für Net-WAYS/ISDN exportieren“ aus.
   Der Dialog „VPN-Benutzerkonfiguration für NetWAYS/ISDN exportieren“ wird geöffnet.

3. Geben Sie im Feld „Kennwort“ ein beliebiges Kennwort ein, mit dem die VPN-Benutzerkonfiguration verschlüsselt und später in NetWAYS/ISDN importiert und wieder entschlüsselt wird.
4. Die Datei „NETWAYS.EFF“ wird in dem unter „Verzeichnis“ angegebenen Ordner gespeichert.
5. Bestätigen Sie Ihre Angaben mit „OK“.
6. Kopieren Sie die Datei NETWAYS.EFF auf eine Diskette.

H Für den Lotus Domino Server eine Route zum virtuellen privaten Netzwerk einrichten

In den Netzwerkeinstellungen des Lotus Domino Servers muss nicht unbedingt ein Standard-Gateway eingetragen sein. Wenn jedoch der AVM Access Server nicht das Standard-Gateway ist, so muss dem Lotus Domino Server bekannt sein, dass IP-Adressen aus dem IP-Adressbereich der Benutzergruppe über den AVM Access Server erreichbar sind. Es muss also eine Route für diesen Adressbereich am Lotus Domino Server konfiguriert werden.

Gehen Sie wie unten beschrieben vor, wenn der Lotus Domino Server in einem Windows-Betriebssystem läuft. Die Schritte in anderen Betriebssystemen (z.B. SunOS) sind ähnlich. Sehen Sie gegebenenfalls in der Dokumentation Ihres Betriebssystems nach, wie lokale Routen zu konfigurieren sind.

1. Öffnen Sie eine DOS-Box auf dem Computer, auf dem der Lotus Domino Server installiert ist.

2. Geben Sie Folgendes ein:

route add 192.168.100.0 mask 255.255.255.0 192.168.10.1 metric 1 -p

Praktische Durchführung an den Heimarbeitsplätzen der Mitarbeiter

Die im Folgenden erläuterten Schritte A bis F müssen Sie an jedem Heimarbeitsplatz durchführen.

A Installation von NetWAYS/ISDN (NetWAYS/ISDN ist im Lieferumfang des AVM Access Servers enthalten)

Installieren Sie NetWAYS/ISDN und befolgen Sie dabei die Installationshinweise im NetWAYS/ISDN-Handbuch.

B Internetverbindung über T-Online einrichten

1. Wählen Sie im Menü „Einstellungen“ den Eintrag „Ziele/Ziel neu...“ aus. Der NetWAYS/ISDN-Assistent zum Einrichten einer Internetverbindung wird gestartet.
2. Wählen Sie im Dialog „Art des Netzwerkes“ die Option „Internet“ aus.
3. Wählen Sie die Option „Internetanbieter mit Anmeldung“ aus.
4. Wählen Sie als Internetanbieter „T-Online über T-DSL“ aus.
5. Übernehmen Sie als Bezeichnung den Vorschlag „T-Online T-DSL“.
6. Geben Sie Ihre T-Online-Zugangsdaten ein.
7. Beenden Sie die Konfiguration mit „Fertig stellen“.
   In der NetWAYS/ISDN-Oberfläche wird die Internetverbindung als Symbol dargestellt.

C AVM Access Server als Ziel einrichten mit VPN

1. Legen Sie die Diskette mit den am AVM Access Server erstellten Exportdateien in das Diskettenlaufwerk und importieren Sie die Datei. Wählen Sie dazu auf der NetWAYS/ISDN-Benutzeroberfläche im Menü „Datei“ den Eintrag „VPN-Verbindung importieren“ aus. Der Dateiauswahldialog von Windows wird geöffnet.
2. Wählen Sie die Datei mit der Endung .EFF aus und bestätigen Sie Ihre Auswahl mit „OK“.
3. Geben Sie das Kennwort ein, das Sie für die Exportdateien am AVM Access Server festgelegt haben.

D Testen der Internetverbindung

Mit einem Ping auf einen beliebigen Web-Server können Sie die Internetverbindung testen.

1. Die Internetverbindung von NetWAYS/ISDN muss in Verbindungs-bereitschaft sein. Wählen Sie in der NetWAYS/ISDN-Oberfläche die Internetverbindung aus und klicken Sie im Menü „Datei“ auf „Verbindungsbereitschaft“.
2. Öffnen Sie eine DOS-Box und geben Sie ping www.avm.de ein.
   Wenn der Ping erfolgreich ausgeführt wird, dann kann Net-WAYS/ISDN eine Verbindung ins Internet herstellen.

E Testen der VPN-Verbindung vom entfernten Arbeitsplatz zum AVM Access Server

1. Der AVM Access Server in der Firmenniederlassung ist per Festverbindung mit dem Internet verbunden. Um sicherzustellen, dass die Verbindung tatsächlich vorhanden ist, öffnen Sie auf dem AVM Access Server-Computer eine DOS-Box und geben ping www.avm.de -t ein.

Sobald Sie die VPN-Verbindung getestet haben, können Sie mit Strg+c die Ping-Funktion wieder stoppen.

1. Die Internetverbindung von NetWAYS/ISDN muss in Verbindungs-bereitschaft sein. Wählen Sie in der NetWAYS/ISDN-Oberfläche die Internetverbindung aus und klicken Sie im Menü „Datei“ auf „Verbindungsbereitschaft“.

2. Öffnen Sie auf dem NetWAYS/ISDN-Computer eine DOS-Box und führen Sie einen Ping auf die feste, offizielle IP-Adresse des AVM Access Servers aus.

Wenn der Ping erfolgreich ausgeführt wird, dann kann NetWAYS/ISDN den AVM Access Server grundsätzlich über das Internet erreichen.

F Zugriff vom entfernten Arbeitsplatz auf den E-Mail-Server testen

1. Öffnen Sie auf dem NetWAYS/ISDN-Computer eine DOS-Box und geben Sie Folgendes ein:

ping 192.168.10.10

Wenn der Ping erfolgreich ausgeführt wird, dann kann vom Net-WAYS/ISDN-Computer aus auf den E-Mail-Server zugegriffen werden. Ein E-Mail-Klient kann jetzt eingerichtet werden.

5 Konzepte und Funktionsweisen des AVM Access Servers

In diesem Kapitel werden einige der im AVM Access Server vorhandenen Einstellungsmöglichkeiten vorgestellt. Sie erhalten Informationen zum Konzept der jeweiligen Einstellung, den Anwendungsgebieten und zur Funktionsweise im Zusammenspiel mit dem AVM Access Server.

5.1 Filter

Filter dienen zum Schutz vor unerlaubtem Eindringen in Ihr Netzwerk, zum Beispiel über das Internet, sowie zur Auswahl der Daten und Dienste, die für den Zugriff von außen bereitgestellt werden sollen. Durch diese Auswahl tragen sie auch zur Reduzierung der Verbindungskosten auf ein Minimum bei. Im Ordner „Sicherheit/Filterprofile“ bietet der AVM Access Server umfangreiche Filtermöglichkeiten.

IP-Filter (Firewall)

Für Ihr IP-Netzwerk bietet der AVM Access Server Paketfilterung mit folgenden Instanzen:

• zielgebundener Input-Filter
• zielgebundener Output-Filter
• globaler Input-Filter
• globaler Output-Filter
• Forward-Filter

In jeder dieser Instanzen können Regeln festgelegt werden, die definieren, wie der AVM Access Server einkommende, ausgehende oder an andere Netze weiterzuleitende Pakete behandeln soll. Möglich sind die Aktionen „Verwerfen“, „Zurückweisen“ oder „Durchlassen“. So können Sie beispielsweise festlegen, dass nur genau definierte Stationen miteinander kommunizieren können oder bestimmte Dienste, zum Beispiel „HTTP“ für den Zugriff auf das World Wide Web, nur von einigen Stationen in Ihrem Netzwerk genutzt werden können.

Aufgrund des Aufbaus aus mehreren Instanzen bieten die Filter einen sehr flexiblen und weitreichenden Schutz. Die Art der Paketfilterung im AVM Access Server ist eine der möglichen Herangehensweisen zum Aufbau einer so genannten Firewall, einer Schutzmauer um Ihr Firmennetzwerk.

Die Filterinstanzen des AVM Access Servers haben folgende Aufgaben:

●Zielgebundener Input-Filter

Überprüfung von Paketen, die von einem Ziel über ISDN, DSL oder einen LAN-Adapter in den AVM Access Server kommen.

●Zielgebundener Output-Filter

Überprüfung von Paketen, die den AVM Access Server in Richtung eines bestimmten Ziels über ISDN, DSL oder einen LAN-Adapter verlassen.

●Globaler Input-Filter

Überprüfung von Paketen, die aus einer beliebigen Richtung (LAN, ISDN, GSM, DSL oder VPN) in den AVM Access Server kommen.

●Globaler Output-Filter

Überprüfung von Paketen, die den AVM Access Server in eine beliebige Richtung verlassen (LAN, ISDN, GSM, DSL oder VPN).

- Forward-Filter

Überprüfung aller Pakete, die im AVM Access Server von einem in ein anderes Netz weitergeleitet werden (z.B. vom LAN in eines der Zielnetze oder von einem Zielnetz in ein anderes).

Eine zusammenfassende Darstellung mit Beispielen zu den verschiedenen Filterinstanzen finden Sie ab Seite 72.

Filter und Regeln

Filter setzen sich aus folgenden Komponenten zusammen:

●Einer geordneten Abfolge von Regeln.

- Einer Standard-Aktion, die auf alle Pakete angewendet wird, für die beim Durchlaufen aller Regeln des Profils keine anwendbare Regel gefunden wurde.

Regeln bestehen immer aus folgenden Komponenten:

• Einer Beschreibung des Pakettyps, für den die Regel gelten soll. Dies geschieht anhand von drei Beschreibungskriterien, mit deren Hilfe der AVM Access Server prüft, ob die Regel auf ein Paket zutrifft.
• Dienst: Hier können alle IP-Dienste, nur bestimmte Dienste (z.B. FTP, Telnet) oder nur bestimmte Handlungen (z.B. FTP-Zugriff aus dem Internet in das LAN) als Kriterium festgelegt werden.
  – Quelle des Pakets: Als Quelle des Pakets kann ein bestimmtes Netzwerk oder eine konkrete Station festgelegt werden.
  – Ziel des Pakets: Als Ziel des Pakets kann ein bestimmtes Netzwerk oder eine konkrete Station festgelegt werden.

●Einer Aktion, die auf das Paket angewendet werden soll.

– Durchlassen: Das Paket wird an die im Header angegebene Zieladresse gesendet oder dem nächsten Filter übergeben.
- Verwerfen: Das Paket wird nicht weitergeleitet, sondern ohne Rückmeldung an den Absender des Pakets einfach verworfen. Der Absender und potentielle Angreifer hat den Eindruck, der AVM Access Server sei nicht online beziehungsweise nicht vorhanden.
– Zurückweisen: Das Paket wird nicht weitergeleitet. An die Quelladresse wird eine Fehlermeldung gesendet.

- Einer Anweisung für die Protokollierung der Pakete, die von dieser Regel behandelt wurden. Die Protokollierung dient dazu, Einbruchsversuche in das LAN festzuhalten und gegebenenfalls die Spur zum Verursacher zurückzuverfolgen. Anhand der Protokollierung kann auch festgestellt werden, ob der Filter so wie vorgesehen arbeitet und ob Regeln auf die Pakete passen, die gefiltert werden sollen. Es gibt drei Arten der Protokollierung:

– Eine Warnung ins Ereignisprotokoll schreiben
- Den Header des verworfenen Pakets in eine Datei schreiben
– Das gesamte Paket in eine Datei schreiben

Bei den beiden zuletzt genannten Protokollierungsarten werden der Header des Pakets oder das ganze Paket in die Datei „ipflt-log.txt“ geschrieben. Die Datei befindet sich im Programmverzeichnis des AVM Access Servers.

Jedes Paket durchläuft alle Regeln gemäß ihrer Reihenfolge, bis es auf die erste anwendbare Regel trifft und entsprechend der Aktion dieser Regel behandelt wird. Heißt die anzuwendende Aktion „Verwerfen“ oder „Zurückweisen“, ist das Filtern für dieses Paket beendet. Heißt die Aktion „Durchlassen“, ist der Durchlauf durch das Profil ebenfalls beendet. Das Paket wird gesendet oder geht in die nächste Filterinstanz.

Wurde keine passende Regel für ein Paket gefunden und heißt die Standard-Aktion „Durchlassen“, wird das Paket der nächsten zuständigen Filterinstanz übergeben.

Beachten Sie also beim Erstellen eines Filters die folgenden beiden wichtigen Aspekte:

• Ein Filterprofil behandelt immer alle Pakete (Regeln für bestimmte Pakete und die Standard-Aktion für alle anderen).
  ●Die Reihenfolge der Regeln ist wichtig! Es muss unbedingt sichergestellt sein, dass eine Regel für ein Paket, die vorne im Profil steht, nicht allgemeiner gehalten ist als eine Regel, die weiter hinten steht. Die Regel, die weiter hinten steht und spezieller ist, würde sonst nie angewendet werden.

Als Grundprinzip bei der Anordnung der Regeln innerhalb eines Filterprofils gilt: Spezialfälle zuerst regeln.

Ein einfaches Beispiel

Sie wollen, dass nur Standort A Zugriff auf Computer B im LAN hat. Dazu formulieren Sie im globalen Input-Filter die beiden folgenden Regeln:

1. A darf auf Computer B zugreifen. Die Regel lautet also: Pakete mit allen Diensten, die von dem IP-Bereich A kommen und an die IP-Adresse von Computer B adressiert sind, durchlassen.
2. Keiner darf auf Computer B zugreifen. Die Regel lautet also: Paken- te mit allen Diensten, die von allen Adressen kommen und an die IP-Adresse von Computer B adressiert sind, verwerfen.

Die folgende Abbildung zeigt den Weg der Pakete durch die Filterinstanzen bei einkommenden, ausgehenden und auf ein anderes Netz weiterzuleitenden Paketen. Es wird vorausgesetzt, dass alle Filterinstanzen gesetzt sind und eine passende Regel existiert oder die Standard-Aktion „Durchlassen“ ist. Es wird also immer der maximal mögliche Weg eines Pakets aufgezeigt.

graph TD
    A["Lokaler IP-Stack des Betriebssystems"] --> B["Globaler Forward Filter"]
    A --> C["Globaler Input-Filter"]
    A --> D["Oberes ausgehendes Filterprofil"]
    A --> E["Oberes eingehendes Filterprofil"]
    B --> F["Durchlassen"]
    C --> G["Durchlassen"]
    D --> H["Durchlassen"]
    E --> I["Durchlassen"]
    F --> J["Masquerading/NAT"]
    G --> K["Oberes ausgehendes Filterprofil"]
    H --> L["Oberes eingehendes Filterprofil"]
    I --> M["Masquerading/NAT"]
    J --> N["IPSec Entschlüsselung"]
    K --> O["IPSec Verschlüsselung"]
    L --> P["IPSec Entschlüsselung"]
    M --> Q["Unteres eingehendes Filterprofil"]
    N --> R["Unteres ausgehendes Filterprofil"]
    O --> S["Unteres eingehendes Filterprofil"]
    P --> T["ISDN / DSL / GSM / LAN"]
    Q --> U["ISDN / DSL / GSM / LAN"]
    R --> V["ISDN / DSL / GSM / LAN"]

Der Weg der Pakete durch die Filterinstanzen des AVM Access Servers

Beispiele für IP-Filterprofile

Im AVM Access Server gibt es die folgenden vordefinierten IP-Filterprofile, die für den Standard-Internetzugang verwendet werden können:

●einkommendes Internetprofil (nur unten)
●ausgehendes Internetprofil
•einkommendes Internetprofil (Stateful Oben)
- einkommendes Internetprofil (Stateful Unten)
●Nur VPN-Pakete (Unten)

Der Einsatz von „einkommendes Internetprofil (Stateful Oben)“ und „einkommendes Internetprofil (Stateful Unten)“ ist nur dann sinnvoll, wenn Masquerading nicht genutzt wird. Das Filterprofil „ausgehendes Filterprofil“ kann immer eingesetzt werden.

Sie können die Filterprofile auch Ihren Bedürfnissen entsprechend anpassen. Um in den Filtern die Richtung des Verbindungsaufbaus unterscheiden zu können, gibt es die Möglichkeit, bei TCP auch die Flags mit zu berücksichtigen. Bitte beachten Sie die Literaturhinweise in „Weiterführende Literatur“ ab Seite 130.

Für die Standard-Internetanbindung können die Profile ohne Weiteres verwendet werden. Sie schützen Ihr Netzwerk zuverlässig vor dem Zugriff von außen und ermöglichen den Anwendern im lokalen Netzwerk den Zugang zum Internet.

In den einkommenden Internetprofilen haben eine Reihe von Regeln den Status „Inaktiv“, andere den Status „Aktiv“. Aktiv sind alle Regeln, die jeden von außen initiierten Zugriff auf Ihr LAN verhindern. Die Regeln mit dem Status „Inaktiv“ sind für den Fall vorkonfiguriert, dass Sie weitere Dienste für den Zugriff aus dem Internet bereitstellen wollen, z.B. einen eigenen FTP-Server, einen eigenen Web-Server oder einen eigenen E-Mail-Server. Wollen Sie also andere Dienste erlauben, müssen Sie dieses Internetprofil erst entsprechend bearbeiten, bevor Sie es in Ihrer Internet-Zielkonfiguration nutzen.

Die Regeln in den Profilen werden in den folgenden Tabellen dargestellt und erläutert.

Bitte beachten Sie die folgende zwei Hinweise zu den Tabellen:

- In allen Profilen wurden die Regeln mit allgemeinen Angaben für die beiden Beschreibungskriterien „Quelle“ und „Ziel“ erstellt. Quelle des Pakets kann immer alles sein (Angabe in jeder Regel für Quelle ist also: o.o.o.o / o), dasselbe gilt für das Ziel (Angabe in jeder Regel für Ziel: o.o.o.o / o). Diese Angaben werden zur besseren Lesbarkeit der Tabellen nicht für jede Regel angeführt.

- Alle Regeln enthalten den Eintrag „Kein Protokoll“. Daher wurde auch diese Information aus den Tabellen entfernt.

Einkommendes Internetprofil (nur unten)

Ausgehendes Internetprofil

Einkommendes Filterprofil (Stateful Oben)

Einkommendes Internetprofil (Stateful Unten)

Nur VPN-Pakete (Unten)

Diese Vorkonfiguration kann eingesetzt werden, wenn der Access Server keine anderen Verbindungen außer VPN-Verbindungen mit dem Internet aufbauen soll.

5.2 IP-Masquerading und Weiterleitungsprofile

Im AVM Access Server wird bei Verbindungen ins Internet IP-Masquerading verwendet. Mit IP-Masquerading kann ein privates LAN komplett hinter einer IP-Adresse versteckt werden. Das LAN wird mit der IP-Adresse „maskiert“. Der Zugriff von außen auf einzelne Computer im LAN ist dadurch nicht möglich. Wenn der Zugriff aus dem Internet auf bestimmte Server in Ihrem lokalen Netzwerk zugelassen werden soll, dann können Weiterleitungsprofile eingesetzt werden.

IP-Masquerading

Bei Internetverbindungen wird dem AVM Access Server vom Internetan-bieter eine öffentliche IP-Adresse zugewiesen. Mit IP-Masquerading reicht diese eine öffentliche IP-Adresse für die Kommunikation zwischen dem privaten LAN und dem öffentlichen Internet aus. Durch das IP-Masquerading werden die Absender-IP-Adressen in den TCP-, UDP- und ICMP-Paketen mit der öffentliche IP-Adresse überschrieben, so dass zum Internet hin nur die öffentliche IP-Adresse sichtbar ist. Somit können die Hosts eines privaten LANs interne („inoffizielle“) IP-Adressen für die Kommunikation mit dem Internet nutzen. Das private LAN ist dadurch vor unberechtigten Zugriffen aus dem Internet geschützt.

Der Einsatz von IP-Masquerading im AVM Access Server bietet folgende Vorteile:

- Bei Verbindungen zum Internetanbieter wird dem Computer bei jedem automatischen Verbindungsaufbau nach physikalischem Verbindungsabbau (Short-Hold-Modus) eine neue IP-Adresse zugewiesen. Wegen des IP-Masqueradings ist es nicht erforderlich, bei jedem Wechsel der offiziellen IP-Adresse die Routing-Tabelle des Computers zu aktualisieren. Das IP-Masquerading versieht die Datenpakete auf dem Weg ins Internet immer mit der gerade aktuellen offiziellen IP-Adresse.

- IP-Masquerading akzeptiert standardmäßig keine einkommenden IP-Verbindungen. Eingehende Pakete, die nicht von einer Anwendung angefordert wurden, werden verworfen. Damit wird die Sicherheit bei eingehenden Verbindungen erhöht.

Weiterleitungsprofile

Durch die Verwendung von Weiterleitungsprofilen können trotz Masquerading Anfragen aus dem Internet an einzelne Server im lokalen Netz weitergeleitet werden. Es kann sich dabei beispielsweise um Web-, E-Mail- oder FTP-Server handeln. Ein Weiterleitungsprofil besteht aus einer oder mehreren Regeln. Die Regeln legen fest, welche IP-Pakete zu welchen Servern im lokalen Netz weitergeleitet werden oder, anders ausgedrückt, welche Dienste von außen erreichbar sein sollen.

Weiterleitungsprofile können Sie auf der Benutzeroberfläche des AVM Access Servers im Ordner „Sicherheit / Weiterleitungsprofile“ erstellen. Um für Internetverbindungen die Weiterleitung zu aktivieren, wählen Sie im Ordner „Internet“ die Registerkarte „Gateway-Dienste“ aus und stellen dort ein Weiterleitungsprofil ein.

Im AVM Access Server gibt es für Internetverbindungen im oben genannten Ordner das vordefinierte Weiterleitungsprofil „Gateway-Dienste“, in dem alle Regeln deaktiviert sind. Wenn Sie Dienste für den Zugriff aus dem Internet zulassen wollen, dann müssen Sie die entsprechenden Regeln aktivieren. Die Weiterleitungs-IP-Adresse o.o.o.o steht für den Computer, auf dem der AVM Access Server installiert ist. Wenn sich der gewünschte Dienst auf einem anderen Computer im lokalen Netz befindet, so tragen sie als Weiterleitungs-IP-Adresse bitte die IP-Adresse dieses Computers ein.

Die Regeln in den Profilen werden in der folgenden Tabelle dargestellt und erläutert.

5.3 Statisches und dynamisches Routing

Der AVM Access Server arbeitet wie jeder Router auf Netzwerkprotokollebene (Schicht 3 des ISO/OSI-Referenzmodells) und leitet einkommende Datenpakete in andere an den Router angeschlossene Netzwerke weiter. Dazu werden die folgenden Informationen benötigt:

• die logische Adresse des Ziels
- der Weg zum Ziel

Eine ausführliche Erläuterung zu TCP/IP-Adressen finden Sie im Glossar unter „IP-Adresse“ auf Seite 140.

Informationen über die möglichen Wege von Datenpaketen sind in einer sogenannten Routing-Tabelle zusammengefasst. Routing-Tabellen können statisch oder dynamisch erzeugt werden:

• Statisch: Beim statischen Routing werden alle Zielnetzwerke und die zugehörigen Informationen manuell konfiguriert und werden nicht automatisch geändert.
• Dynamisch: Beim dynamischen Routing wird ein Routing-Protokoll verwendet, das die Router im gesamten Netzwerk benutzen, um in regelmäßigen Abständen Veränderungen in ihren Routing-Tabellen mitzuteilen.

Das Routing im AVM Access Server erfolgt über dynamisches Routing mit RIP 2 auf der LAN-Seite und statischen Routen über ISDN. Durch die Verwendung von statischen Routen über ISDN wird ein Verbindungs-aufbau durch dynamisches Austauschen von RIP-Paketen ausgeschlossen. Bei der Konfiguration kann ausgewählt werden, ob eine statische Route immer im WAN bekannt sein soll oder ob sie erst mit dem Aufbau der logischen ISDN-Verbindung bekanntgemacht werden soll.

Im ersten Fall wird durch ein Paket, das für ein Ziel außerhalb des LANs bestimmt ist, die logische ISDN-Verbindung automatisch aufgebaut.

Im zweiten Fall können Pakete nur dann an ein Ziel geschickt werden, wenn zu diesem Ziel eine logische ISDN-Verbindung besteht und damit die Route bekannt ist.

5.4 Reservierung von B-Kanälen

Die B-Kanäle der ISDN-Controller, die der AVM Access Server verwendet, werden zu einem Pool zusammengefasst und stehen allen Zielen offen. Dies Prinzip ist sehr flexibel und ermöglicht eine optimale Nutzung der verfügbaren Kanäle. Das Einrichten der Verbindungen erfolgt damit auch unabhängig von den ISDN-B-Kanälen. Eine Ausnahme bilden die DSL-Verbindungen, bei denen die Zielkonfiguration an den DSL-Controller gekoppelt werden muss.

Zu einem Zeitpunkt können mehr logische ISDN-Verbindungen zu Zielen bestehen, als ISDN-B-Kanäle zur Verfügung stehen. Dies wird durch den physikalischen Verbindungsabbau möglich, der dafür sorgt, dass ungenutzte ISDN-Verbindungen automatisch abgebaut werden. Dadurch stehen die B-Kanäle des AVM Access Servers anderen Zielen zur Verfügung. Die physikalische Verbindung wird aufgebaut, sobald Pakete von der oder zur Gegenstelle zur Übertragung anstehen.

Der Systemverwalter muss sicherstellen, dass immer ausreichend B-Kanäle zur Verfügung stehen, wenn für die Mehrzahl der Ziele die Möglichkeit der logischen ISDN-Verbindung konfiguriert wurde (logischer Verbindungsabbau später als physikalischer oder nie).

Der AVM Access Server bietet in diesem Zusammenhang mehrere Möglichkeiten, um auch bei wenigen verfügbaren B-Kanälen Zugang für „wichtige“ Gegenstellen zu gewährleisten:

• Reservierung von B-Kanälen für bestimmte Ziele (z.B. eine bestimmte Außenstelle des Unternehmens) in den Einstellungen der ISDN-Controller („Verwaltung / Schnittstellen / ISDN #“). Diese B-Kanäle werden dann aus dem Pool von B-Kanälen herausgenommen.
• Zuweisen einer Priorität in der Zielkonfiguration (Hoch, Mittel, Niedrig). So wird sichergestellt, dass Gegenstellen mit hoher Priorität immer einen B-Kanal erhalten. Sind zu dem Zeitpunkt der Anwahl alle B-Kanäle belegt, wird die Verbindung zu einer Gegenstelle mit niedrigerer Priorität abgebaut. Für Ziele mit hoher Priorität muss die Rufnummernüberprüfung eingeschaltet sein, damit vor der Rufannahme die Gegenstelle identifiziert und anhand der Zielkonfiguration die hohe Priorität festgestellt werden kann.

5.5 Zugriff zeitlich mit Zeitprofilen beschränken

Um den zeitlichen Zugriff auf das LAN zu regeln, können Sie im Ordner „Verwaltung“ Zeitprofile definieren. Diese werden dann über die Zielkonfiguration den einzelnen Zielen zugeordnet. So können Sie ein Zeitprofil einrichten, das den Zugriff von Montag bis Freitag und auf die Geschäftszeiten beschränkt. Dieses Zeitprofil können Sie dann einem entfernten Netzwerk oder einer Benutzergruppe zuweisen. Ein Zugriff außerhalb der festgelegten Zeiten ist dann nicht möglich.

5.6 Kostenübernahme (COSO)

Die ISDN-Funktion „Signalisierung im D-Kanal“ ist bei den meisten ISDN-Anbietern kostenlos und wird im AVM Access Server zur Kostenübernahme (COSO = Charge One Site Only) verwendet.

Mit Hilfe dieser Funktion können Sie für jedes Ziel festlegen, welche Seite für die Verbindungskosten aufkommt. Dies kann die lokale Seite sein, die Gegenseite oder immer die Seite, die die physikalische Verbindung aufbaut.

Da COSO ein reines ISDN-Leistungsmerkmal und noch nicht Bestandteil eines PPP-Standards ist, muss auch die Gegenseite diese Funktion unterstützen (zum Beispiel NetWAYS/ISDN).

Die folgende Grafik veranschaulicht die Vorgänge für den Fall, dass die Kostenübernahme auf „Lokale Seite“ eingestellt ist, das bedeutet, der AVM Access Server übernimmt die Verbindungsgebühren:

graph TD
    subgraph Entfernte Seite (AVM Access Server)
        A1["Datengpaket für das entfernte Netzwerk"] --> B1["D-Kanal"]
        B1 --> C1["Signalisierung des Verbindungswunsches"]
        C1 --> D1["Identifizierung der Gegenstelle anhand D-Kanal-Rufnummer"]
        D1 --> E1["Ablehnen des Verbindungswunsches. Rückruf und dadurch Kostenübernahme durch lokale Seite"]
    end

    subgraph Lokale Seite (AVM Access Server)
        F1["Datengpaket für die entfernte Seite, z.B. E-Mail"] --> G1["D- und B-Kanal"]
        G1 --> H1["Übertragung von Datenpaketen in beide Richtungen"]
        H1 --> I1["Abbau der ISDN-Verbindung nach Inaktivität"]
        I1 --> J1["D- und B-Kanal"]
        J1 --> K1["Übertragung von Datenpaketen in beide Richtungen"]
        K1 --> L1["Datengpaket für die entfernte Seite, z.B. E-Mail"]
    end

    B1 <--> C1
    C1 <--> I1
    I1 <--> J1
    J1 <--> K1
    K1 <--> L1
    L1 <--> M["Annehmen des einkommenden Rufes nach evtl. Echtheitsbestätigung"]
    M <--> N["Annehmen des einkommenden Rufes nach evtl. Echtheitsbestätigung"]
    style B1 fill:#f9f,stroke:#333
    style C1 fill:#ccf,stroke:#333
    style I1 fill:#cfc,stroke:#333
    style J1 fill:#fcc,stroke:#333
    style K1 fill:#cff,stroke:#333

Vorgänge bei Einstellung der Kostenübernahme auf „Lokale Seite“

5.7 Virtual Private Network (VPN)

Mit dem AVM Access Server können Sie Verbindungen über VPN (Virtual Private Network) herstellen. Sowohl räumlich entfernte Netzwerke als auch räumlich entfernte Einzelplatz-Computer können über eine VPN-Verbindung kostengünstig ans Firmennetz gekoppelt werden. Bisher wurden meist direkte Wählverbindungen oder eine Festverbindung über ein öffentliches Netz wie ISDN oder GSM benutzt, um räumlich entfernte Systeme miteinander zu verbinden. Die bei der Direkteinwahl entstehenden Kosten nehmen dabei mit der Entfernung zu. Über VPNs lassen sich räumlich entfernte Systeme kostengünstig miteinander verbinden.

VPN – Allgemein

Ein räumlich entferntes Netzwerk wird über das Internet mit Hilfe eines virtuellen privaten Netzes mit dem lokalen Netzwerk verbunden.

Lokales Netzwerk Entferntes Netzwerk

Anwendungsbeispiel einer VPN-Verbindung über das Internet

Die Verbindung, die zwischen den beiden Kommunikationspartnern durch das Internet hergestellt wird, nennt man Tunnel. Über den Tunnel findet der Datenaustausch statt. Eine Vernetzung im physikalischen Sinn findet zwischen den beiden Netzwerken nicht statt, die Vernetzung ist virtuell. Es handelt sich bei dem virtuellen Netz um eine übergeordnete Struktur, die die vorhandenen öffentlichen Strukturen des Internets nutzt. Die beiden auf diese Weise verbundenen Systeme und die darauf laufenden Anwendungen werden davon nicht beeinträchtigt. Die Verbindung ist kostengünstig, weil für beide Seiten lediglich die Kosten für die Verbindung zum Internetanbieter entstehen.

VPN - Im AVM Access Server

Der Begriff VPN besagt lediglich, dass Systeme oder Netze über öffentliche Strukturen gekoppelt werden. Welche Mechanismen dazu benutzt werden, spielt dabei keine Rolle.

VPN-Verbindungen, die mit dem AVM Access Server hergestellt werden, setzen auf eine bestehende Internetverbindung auf, indem sie die Infrastruktur des Internetanbieters nutzen. Für den Aufbau der VPN-Verbindung und somit für die Kopplung der Systeme ist der Internetanbieter jedoch nicht zuständig. Der AVM Access Server verfügt über die notwendige Software, um eine VPN-Verbindung aufzubauen. Da der Aufbau der VPN-Verbindung unabhängig vom Internetanbieter ist, kann sie über nahezu jeden Internetanbieter hergestellt werden.

Es wird eine Art Tunnel durch das öffentliche Netz geschaffen, durch den Daten, am besten verschlüsselt, übertragen werden. Die VPN-Software im AVM Access Server sorgt für die transparente Anbindung der Netzwerke, für die Authentisierung der Kommunikationspartner und die Verschlüsselung der Daten. Nach dem erfolgreichen Aufbau des Tunnels wird auf der Anwendungsebene nichts mehr von einem Tunnel oder dem Internet als Medium bemerkt.

Im AVM Access Server können entfernte Netzwerke und entfernte Benutzer über eine VPN-Verbindung an das lokale Netzwerk gekoppelt werden.

●Entfernte Netzwerke

Die Konfigurationen für Verbindungen zu entfernten Netzwerken werden im Ordner „Entfernte Netzwerke“ gespeichert. Wenn Sie den Ordner über die rechte Maustaste anklicken und im Kontextmenü „Netzwerk hinzufügen...“ auswählen, dann wird der Assistent gestartet, der Sie bei der Konfiguration unterstützt. Im ersten Dialog des Assistenten können Sie festlegen, ob die Verbindung über VPN hergestellt werden soll.

Wenn Sie eine bereits eingerichtete VPN-Verbindung im Ordner „Entfernte Netzwerke...“ markieren, dann werden auf unterschiedlichen Registerkarten die Einstellungen für die Verbindung angezeigt. Auf den Registerkarten können die Einstellungen geändert werden.

●Entfernte Benutzer

Die Benutzergruppen für entfernte Benutzer werden im Ordner „Entfernte Benutzer“ gespeichert. Entfernte Benutzer werden im Ordner der Benutzergruppe gespeichert, zu der sie gehören. Durch die Eigenschaften der Benutzergruppe ist festgelegt, ob ihre Mitglieder die Berechtigung für den Zugang über VPN haben. Wenn Sie den Ordner „Entfernte Benutzer“ über die rechte Maustaste anklicken und im Kontextmenü „Gruppe hinzufügen...“ auswählen, dann wird der Assistent gestartet, der Sie bei der Konfiguration unterstützt. Während der Konfiguration legen Sie fest, ob die Gruppe die Berechtigung für den VPN-Zugang erhält.

Wenn Sie eine Benutzergruppe im Ordner „Entfernte Benutzer“ markieren, dann werden auf unterschiedlichen Registerkarten die Einstellungen für die Gruppe angezeigt. Auf den einzelnen Registerkarten können die Einstellungen geändert werden.

Sicherheit

Durch die Verbindung über das Internet besteht die Gefahr, dass unberechtigte Dritte auf die Verbindung zugreifen. Durch entsprechende Sicherheitsmechanismen müssen die folgenden drei Sicherheitskriterien gewährleistet werden:

• Vertraulichkeit: Der Datenaustausch muss verschlüsselt stattfinden, so dass kein Dritter mithören kann.
• Authentizität: Vor dem Verbindungsaufbau muss eine Authentisierung stattfinden, um sicherzustellen, dass die Daten nur von berechtigten Personen kommen (Anti-Replay).
• Integrität: Es muss sichergestellt werden, dass die Daten auf ihrem Weg durch das Internet nicht von Dritten verändert werden können (Man-in-the-Middle-Attacken).

Für den Aufbau von VPN-Verbindungen ist ein Protokoll mit den folgenden Eigenschaften erforderlich:

●Die Unterstützung von Sicherheitsmechanismen, so dass die drei oben genannten Sicherheitskriterien gewährleistet sind.

●Die Fähigkeit, eine Verbindung zu tunneln.

IPSec erfüllt diese beiden Forderungen und wird deshalb im AVM Access Server als VPN-Protokoll eingesetzt.

IPSec arbeitet auf der Netzwerkebene (Layer 3) und ist somit unabhängig von der benutzten Infrastruktur. Allerdings ist IPSec dadurch auf IP beschränkt, das heißt, es können nur IP-Daten getunnelt werden.

IPSec kann in zwei unterschiedlichen Modi betrieben werden: dem Tunnelmodus und dem Transportmodus. Im Transportmodus wird kein Tunnel aufgebaut und somit kein virtuelles privates Netz hergestellt. Für VPN-Verbindungen ist nur der Tunnelmodus interessant.

Im Tunnelmodus wird ein öffentliches Netz durchtunnelt, das heißt, die IP-Datenpakete werden nochmals verpackt und erst dann übertragen. Jedes IP-Paket einschließlich dem IP-Header wird in ein neues IPSec-Paket verpackt. Das neue Paket erhält einen neuen IP-Header. Auf diese Weise lassen sich Einzelplatz-Computer und ganze Netze mit IP-Adressen aus privaten Adressräumen koppeln.

Die folgende Abbildung zeigt das Originalpaket und das Tunnel-Paket mit neuem IP-Header.

Originalpaket und Tunnel-Paket mit neuem IP-Header

In der folgenden Abbildung ist beispielhaft eine VPN-Verbindung im Tunnelmodus dargestellt. Ein entferntes Netzwerk wird an das lokale Firmennetz gekoppelt (siehe auch das Beispiel-Szenario auf der Klappkarte der vorderen Umschlagseite).

graph LR
    subgraph Lokales Netzwerk
        A1["IP-Adresse: 192.168.10.10"] --> B1["AVM Access Server (lokal)"]
        A2["IP-Adresse: 192.168.10.20"] --> B1
        A3["IP-Adresse: 192.168.10.30"] --> B1
        B1 --> C["Internet"]
        C --> D["Internet-Anbieter dynamisch zugewiesen"]
    end

    subgraph Entferntes Netzwerk
        E1["IP-Adresse: 192.168.20.10"] --> F1["AVM Access Server (entfernt)"]
        E2["IP-Adresse: 192.168.20.20"] --> F1
        E3["IP-Adresse: 192.168.20.30"] --> F1
        F1 --> C
    end

    style Lokales Netzwerk fill:#f9f,stroke:#333
    style Entferntes Netzwerk fill:#bbf,stroke:#333

Beispiel: VPN-Verbindung im Tunnelmodus

Die IP-Adressen im obigen Beispiel haben unterschiedliche Bedeutungen:

●Lokales Netzwerk

– Das lokale Netzwerk hat die Netz-Adresse 192.168.10.0/24.
– Die Client-Computer im lokalen Netzwerk haben alle eine IP-Adresse aus dem Adressraum der Netz-Adresse. Es handelt sich dabei um private IP-Adressen, die im Internet keine Gültigkeit haben. Sie dienen der Kommunikation innerhalb des lokalen Netzwerks.

●AVM Access Server (lokal)

- Der AVM Access Server-Computer gehört ebenfalls zum lokalen Netzwerk.

• Mit der internen IP-Adresse kommuniziert der Computer innerhalb des lokalen Netzwerks.
  – Die AVM Access Server-Anwendung ist das Gateway zum Internet.
  – Die öffentliche IP-Adresse wird dynamisch vom Internetanbieter zugewiesen.

●Entferntes Netzwerk

– Das entfernte Netzwerk hat die Netz-Adresse 192.168.20.0/24.
– Die Client-Computer im entfernten Netzwerk haben alle eine IP-Adresse aus dem Adressraum der Netz-Adresse. Es handelt sich dabei um private IP-Adressen, die im Internet keine Gültigkeit haben. Sie dienen der Kommunikation innerhalb des entfernten Netzwerks.

●AVM Access Server (entfernt)

• Der AVM Access Server-Computer gehört ebenfalls zum entfernten Netzwerk.
• Mit der internen IP-Adresse kommuniziert der Computer innerhalb des entfernten Netzwerks.
  – Die AVM Access Server-Anwendung ist das Gateway zum Internet.
  – Die öffentliche IP-Adresse wird dynamisch vom Internetanbieter zugewiesen.

Auf dem Weg zwischen den beiden AVM Access Servern werden die unterschiedlichen IP-Adressen in den IP-Headern der Originalpakete und der Tunnel-Pakete folgendermaßen verwendet:

IP-Adressen im Originalpaket

IP-Adressen im Tunnel-Paket

In der folgenden Abbildung werden beispielhaft IP-Adressen für Empfänger und Absender eingesetzt:

graph TD
    A["Neuer IP-Header"] --> B["Appeller IP-Adresse: 193.96.242.157\nAbsender IP-Adresse: vom Internet-Anbieter\nzugewiesene IP-Adresse"]
    B --> C["Appeller IP-Adresse: 172.16.0.1\nAbsender IP-Adresse: 172.16.0.10"]
    C --> D["Das Originalpaket"]
    D --> E["IP-Header"]
    D --> F["Nutzdaten"]
    E --> G["IP-HeaderIPSec"]
    F --> H["Nutzdaten evtl. verschlüsselt"]

IP-Adressen im Originalpaket und im Tunnel-Paket

Zugriffsregeln im AVM Access Server

Die internen IP-Adressen der Systeme, die über VPN gekoppelt werden sollen, sind die Basis für die Zugriffsregeln. Zugriffsregeln werden, wie Filterregeln, von oben nach unten durchlaufen. Auch hier gilt: Regeln Sie Ausnahmen zuerst! Sobald eine Regel auf ein Paket zutrifft, wird die für die Regel definierte Aktion ausgeführt. Es gibt die Aktionen „verschlüsseln“ und „nicht verschlüsseln“. Danach ist der Durchlauf der Regeln dür dieses Paket beendet.

●Entfernte Netzwerke

Bei der Konfiguration einer VPN-Verbindung geben Sie die IP-Netzadressen des lokalen Netzwerks und des entfernten Netzwerks an. Im AVM Access Server wird automatisch eine Zugriffsregel generiert, die festlegt, dass nur Pakete mit einer Quell-IP-Adresse aus dem lokalen Netzwerk und einer Ziel-IP-Adresse aus dem entfernten Netzwerk mit IPSec gesichert übertragen werden.

Wenn Sie im Ordner „Entfernte Netzwerke“ eine VPN-Verbindung markieren, dann können Sie auf der Registerkarte „VPN“ die Zugriffsregeln editieren. Sie haben auch die Möglichkeit, weitere Zugriffsregeln zu definieren.

●Entfernte Benutzer

Die Berechtigung für den VPN-Zugriff wird für entfernte Benutzer in der Benutzergruppe festgelegt. Bei der Konfiguration der Benutzergruppe legen Sie den IP-Adressbereich fest, aus dem die Mitglieder der Gruppe ihre IP-Adresse innerhalb des virtuellen privaten Netzes erhalten. Im AVM Access Server wird automatisch eine Zugriffsregel generiert, die festlegt, dass nur Pakete mit einer Quell- und Ziel-IP-Adresse aus dem angegebenen IP-Adressbereich mit IPSec gesichert übertragen werden.

Wenn Sie im Ordner „Entfernte Benutzer“ eine Benutzergruppe mit VPN-Berechtigung markieren, dann können Sie auf der Registerkarte „VPN“ die Zugriffsregeln editieren. Sie haben auch die Möglichkeit, weitere Zugriffsregeln zu definieren.

Die Transportprotokolle von IPSec

IPSec arbeitet mit zwei verschiedenen Transportprotokollen: Authentication Header (AH) und Encapsulation Security Payload (ESP). Die beiden Protokolle können kombiniert werden und sind sowohl im Tunnelals auch im Transportmodus einsetzbar.

Eigenschaften des Authentication Header (AH)

- Überprüft die Authentizität der Nutzdaten: AH verfügt über einen Mechanismus, mit dem überprüft werden kann, ob der Absender der Nutzdaten auch tatsächlich der ist, der er zu sein vorgibt.

- Überprüft die Integrität der Nutzdaten: mit demselben Mechanismus, mit dem die Authentizität überprüft wird, kann erkannt werden, ob die Nutzdaten nachträglich verändert wurden.

●Gewährleistet Anti-Replay und erkennt Man-in-the-middle-Attacken: AH enthält eine fortlaufende einmalige Nummer zum Erkennen von eingespielten Wiederholungen eines Pakets durch Dritte.
• Verschlüsselt die Nutzdaten nicht!

Die folgende Abbildung zeigt das Paket im Originalzustand und das mit AH versendete Tunnel-Paket.

Paket mit Authentication-Header im Tunnelmodus

Paket im Originalzustand und mit AH versendetes Tunnel-Paket

Eigenschaften von Encapsulating Security Payload (ESP)

• Verschlüsselt die Nutzdaten. Im Tunnelmodus wird zusätzlich der IP-Header verschlüsselt. Als symmetrische Verschlüsselungsverfahren können unter anderem DES, 3DES und AES eingesetzt werden.
• Überprüft die Authentizität der Nutzdaten: ESP verfügt über einen Mechanismus, mit dem überprüft werden kann, ob der Absender der Nutzdaten auch tatsächlich der ist, der er zu sein vorgibt.
  ●Gewährleistet Anti-Replay und erkennt Man-in-the-middle-Attacken: ESP enthält eine fortlaufende, einmalige Nummer zum Erkennen von eingespielten Wiederholungen eines Pakets durch Dritte.

Die folgende Abbildung zeigt das Paket im Originalzustand und das mit ESP versendete Tunnel-Paket.

Paket mit ESP im Tunnelmodus

Paket im Originalzustand und mit ESP versendetes Tunnel-Paket

Aushandlungen

Für die Parameter, die für eine VPN-Verbindung ausgesucht werden, gibt es viele Kombinationsmöglichkeiten. Zum Aufbau einer gesicherten VPN-Verbindung müssen sich die VPN-Parteien über die zu verwendenden Parameter einigen.

Zur Aushandlung der Parameter ist ein weiteres Protokoll notwendig, das Internet-Key-Exchange-Protokoll (IKE). Die während der Aushandlung getroffenen Vereinbarungen werden in der Security Association (SA) festgehalten:

• die Art der Authentisierung (Zertifikate, pre-shared key oder ein anderes Verfahren)
• den zu verwendenden Verschlüsselungs-Algorithmus
• den Hash-Algorithmus
  ● die Gültigkeitsdauer der gesamten SA

Die SAs sind Sicherheitsrichtlinien mit einer begrenzten Gültigkeitsdauer. Ist diese abgelaufen, muss die SA neu ausgehandelt werden.

Für jede Richtung einer Verbindung wird eine separate SA ausgehandelt. Die IKE-Aushandlung erfolgt in zwei Phasen, für die jeweils eine Sicherheitsrichtlinie festgelegt wird. Während der IKE-Phase 1 wird die IKE-Sicherheitsrichtlinie ausgehandelt und während der IKE-Phase 2 die IPSec-Sicherheitsrichtlinie.

Sicherheitsrichtlinien sind Vorschläge für SAs, die der Access Server der Gegenstelle macht. Wenn die Gegenstelle den Vorschlag annimmt, so besteht eine SA zwischen den beiden verhandelnden Stellen. Ein Vorschlag kann immer nur für alle Einstellungen einer IKE-Phase gemacht werden. Daher müssen auf beiden Seiten die selben Sicherheitsrichtlinien eingestellt sein. Die Vorschläge sind nach einem bestimmten Schema benannt, das im Expertenkapitel näher beschrieben wird.

Während einer aktiven VPN-Verbindung werden die verwendeten Sicherheitsrichtlinien in der Monitoring-Ansicht angezeigt. Aktivieren Sie den Ordner „Verbindungssteuerung“ und wählen Sie im Kontextmenü der rechten Maustaste „Eigenschaften“. Auf der Registerkarte „SAs“ können Sie die Sicherheitsrichtlinien sehen.

IKE-Phase 1

Ziel der IKE-Phase 1 ist es, eine SA für die IKE-Phase 2 auszuhandeln. Dazu nehmen die Gegenstellen die folgenden Aktionen vor:

- Sie teilen sich gegenseitig ihre Identität mit.

- Sie authentisieren sich.

- Sie vereinbaren einen Verschlüsselungs-Algorithmus für die Verschlüsselung der anschließenden IKE-Phase 2.

- Sie vereinbaren eine Diffie-Hellman-Gruppe für die Berechnung der Schlüssel.

- Jede Seite generiert einen privaten Schlüssel. Mit Hilfe der Diffi-Hellman-Gruppe wird ein öffentlicher Schlüssel berechnet, der zum privaten Schlüssel passt. Beide Seiten tauschen die öffentlichen Schlüssel aus. Mit dem eigenen privaten Schlüssel, dem öffentlichen Schlüssel der Gegenseite und der Diffie-Hellman-Gruppe wird der geheime Schlüssel für die Verschlüsselung der IKE-Phase 2 berechnet. Das Ergebnis ist auf beiden Seiten identisch.

- Sie legen die Gültigkeitsdauer der SA fest.

Für die IKE-Phase 1 sind zwei Modi vorgesehen, der main mode und der aggressive mode. Im main mode werden mehr Nachrichten ausgetauscht als im aggressive mode. Im aggressive mode werden die Identitäten in den Nachrichten 1 und 2 ausgetauscht, im main mode erst später. Wenn die Authentisierung mit pre-shared keys stattfindet und auf der Gegenseite die öffentliche IP-Adresse dynamisch vom Internetanbieter zugewiesen wird und somit nicht bekannt ist, dann muss die IKE-Phase 1 im aggressive mode stattfinden. Anhand der dynamisch zugewiesenen IP-Adresse kann nicht festgestellt werden, um welche Gegenseite es sich handelt, deshalb ist ein früher Austausch der Identitäten erforderlich, was nur im aggressive mode gegeben ist.

Bei der Verwendung von Zertifikaten sollte nach Möglichkeit der main mode verwendet werden.

IKE-Phase 2

In der IKE-Phase 2 werden die SAs für die Verschlüsselung der Nutzdaten ausgehandelt. Diese Aushandlung erfolgt verschlüsselt und basiert auf den Parametern der SA, die in Phase 1 vereinbart wurde. Folgendes wird ausgehandelt:

- das IPSec-Transportprotokoll (AH und/oder ESP)

- der Verschlüsselungs-Algorithmus für die Nutzdaten, die über die VPN-Verbindung ausgetauscht werden

Im AVM Access Server stehen für die Verschlüsselung der Nutzdaten die Algorithmen DES, 3DES und AES zur Verfügung. AES ist davon der modernste und sicherste und unterstützt Schlüssellängen bis zu 256 Bit.

• der Hash-Algorithmus für die Gewährleistung der Integrität der Nutzdaten
• der IPSec-Betriebsmodus (Tunnel- oder Transportmodus)
  • die Gültigkeitsdauer der SA
• das zufällig generierte Schlüsselmaterial für den Verschlüsselungs- und Authentisierungs-Algorithmus

Nach Abschluss der IKE-Aushandlung kann die IPSec-Kommunikation beginnen.

Authentisierung mittels Zertifikaten

Die Authentisierung während der IKE-Phase 1 kann mittels Zertifikaten stattfinden. Der AVM Access Server stellt dazu eigene Zertifizierungsstellen zur Verfügung, die vom Administrator angelegt werden.

Zertifikate

Ein Zertifikat im klassischen Sinne ist ein Dokument, das einer Person bestimmte Eigenschaften bestätigt. Zertifikate werden von Instanzen, denen allgemeines Vertrauen entgegengebracht wird, ausgestellt und unterschrieben. Eine solche Instanz kann eine Behörde, eine Firma oder eine andere Institution sein.

Digitale Zertifikate

Ein digitales Zertifikat ist ein digitales Dokument, das zur Überprüfung von digitalen Unterschriften (Signaturen) verwendet wird. Die Überprüfung wird mit einem asymmetrischen Verschlüsselungsverfahren durchgeführt. Ein digitales Zertifikat wird von einer vertrauenswürdigen Instanz, einer Zertifizierungsstelle, ausgestellt und digital unterschrieben.

Asymmetrische Verschlüsselungsverfahren

Asymmetrische Verschlüsselungsverfahren verwenden immer ein Schlüsselpaar, das folgende Eigenschaften hat:

●Aus dem einen Schlüssel kann der andere nicht rekonstruiert werden.
- Eine Zeichenfolge, die mit dem einen Schlüssel verschlüsselt wurde, kann nur mit dem anderen entschlüsselt werden. Es spielt dabei keine Rolle, mit welchem der beiden Schlüssel verschlüsselt wurde.

Einer der beiden Schlüssel wird öffentlich gemacht, der andere bleibt immer geheim.

Zertifizierungsstellen im AVM Access Server

Im AVM Access Server können im Ordner „Sicherheit“ Zertifizierungsstellen angelegt werden. Diese Zertifizierungsstellen können digitale Zertifikate für entfernte Benutzer und entfernte Netzwerke ausstellen.

• Beim Anlegen einer Zertifizierungsstelle wird ein so genanntes Stammzertifikat erstellt und im Ordner „Sicherheit / Zertifikatsverwaltung“ auf der Registerkarte „Vertrauenswürdige Zertifizierungsstellen“ eingetragen.
• Im AVM Access Server wird nur den Zertifizierungsstellen vertraut, von denen ein Stammzertifikat vorliegt.
• Bei der Authentisierung mittels Zertifikaten werden nur Zertifikate akzeptiert, die von einer vertrauenswürdigen Zertifizierungsstelle ausgestellt wurden.

Wenn eine externe Zertifizierungsstelle akzeptiert werden soll, dann muss der öffentliche Teil ihres Stammzertifikats importiert werden.

Zertifikate im AVM Access Server

Bei den im AVM Access Server verwendeten Zertifikaten handelt es sich um digitale Schlüsselzertifikate, die dem Standard X.509 der International Telecommunication Union (ITU) entsprechen. Die Zertifikate werden im PKCS#12-Format für den Export bereitgestellt.

Ein Zertifikat besteht aus

• der Beschreibung der Eigenschaften des Antragstellers (entfernter Benutzer, entferntes Netzwerk)
• einem öffentlichen Schlüssel

- der digitalen Unterschrift der Zertifizierungsstelle

Beim Erstellen eines Zertifikats wird ein Schlüsselpaar generiert, das aus dem öffentlichen und dem geheimen Schlüssel besteht. Der öffentliche Schlüssel ist Bestandteil des Zertifikats, der geheime Schlüssel wird dem Antragsteller zusammen mit dem Zertifikat im PKCS#12-Format übermittelt.

Im AVM Access Server werden alle Zertifikate mit den dazugehörigen Schlüsselpaaren in einer internen Liste verwaltet. Jedes Zertifikat erhält einen Eintrag auf der Registerkarte „Ausgestellte Zertifikate“ der ausstellenden Zertifizierungsstelle.

Ein Zertifikat kann widerrufen werden und wird dann in die Sperrliste der ausstellenden Zertifizierungsstelle eingetragen. Es ist damit nicht mehr gültig. Ein Widerruf kann nicht rückgängig gemacht werden.

Anmeldung beim AVM Access Server mittels Zertifikaten

Wenn ein entfernter Benutzer oder ein entferntes Netzwerk sich für eine VPN-Verbindung beim AVM Access Server anmeldet und ein Zertifikat schickt, dann überprüft der AVM Access Server Folgendes:

- Ist die Gegenstelle im Besitz des privaten Schlüssels, der zum Zertifikat gehört?

- Ist das Zertifikat gültig?

Zur Beantwortung der ersten Frage, wird folgendes Verfahren durchgeführt:

1. Der AVM Access Server schickt der Gegenstelle eine zufällig generierte Zeichenfolge.
2. Die Gegenstelle erstellt einen Hash-Code (Fingerabdruck) der Zeichenfolge. Das zu verwendende Hash-Verfahren ist im Zertifikat festgelegt.
3. Der AVM Access Server erstellt auch einen Fingerabdruck der Zeichenkette mit demselben Hash-Verfahren.
4. Die Gegenstelle verschlüsselt den Fingerabdruck mit dem geheimen Schlüssel. Ein verschlüsselter Fingerabdruck ist eine digitale Unterschrift (Signatur).

5. Die Gegenstelle schickt den verschlüsselten Fingerabdruck zum AVM Access Server.

6. Der AVM Access Server entschlüsselt mit dem öffentlichen Schlüssel den von der Gegenstelle verschlüsselten Fingerabdruck. Das Ergebnis der Entschlüsselung ist der von der Gegenstelle erstellte Fingerabdruck.

7. Nun vergleicht der AVM Access Server den von der Gegenstelle erstellten Fingerabdruck mit dem selbst erstellten. Wenn es keine Unterschiede gibt, dann ist sichergestellt, dass die Gegenstelle im Besitz des geheimen Schlüssels ist.

Wenn auf diese Weise sichergestellt wurde, dass die Gegenstelle im Besitz des geheimen Schlüssels ist, dann wird die digitale Unterschrift als gültig angesehen.

Ein Zertifikat ist gültig, wenn die folgenden Bedingungen erfüllt sind:

• Das Zertifikat wurde von einer Zertifizierungsstelle ausgestellt, die vom AVM Access Server als vertrauenswürdig angesehen wird. Das heißt, ein Stammzertifikat der Zertifizierungsstelle muss im AVM Access Server eingetragen sein.
  ●Die digitale Unterschrift der Zertifizierungsstelle ist gültig. Der AVM Access Server kann das überprüfen, da er über das Stammzertifikat der Zertifizierungsstelle verfügt. Die digitale Unterschrift ist ein mit dem geheimen Schlüssel des Stammzertifikates verschlüsselter Fingerabdruck des Zertifikats.
  ●Das Zertifikat ist nicht abgelaufen.
• Das Zertifikat wurde nicht widerrufen, das heißt es steht nicht in der Sperrliste der ausstellenden Zertifizierungsstelle.

Kompressionsverfahren (IPComp)

Verschlüsselte Daten können nicht mehr komprimiert werden. Kompressionsverfahren nutzen in der Regel die Tatsache, dass sich bestimmte Teile einer Nachricht wiederholen. Bei Auftreten der Wiederholung wird ein kürzeres Symbol anstatt des sich wiederholenden Teils verwendet. Ein guter Verschlüsselungs-Algorithmus vermeidet jedoch weitgehend Wiederholungen. Es wäre sonst sehr einfach, mittels statistischem Wissen über die verschlüsselte Nachricht – wie etwa die Sprache eines Textes und damit die häufigsten Buchstaben – die Nachricht zu entschlüsseln. Falls dennoch komprimiert werden soll, so muss die Kompression vor der Verschlüsselung stattfinden. Hier bietet sich IPComp an. Innerhalb von IPComp sind drei Kompressionsverfahren möglich:

●Deflate (RFC 2394)
- LZS (RFC 3051) – wird auch bei der Stac-Compression (RFC 1974) verwendet
- LZJH (RFC 2395) – entspricht V.44 und wird beispielsweise auch bei dem Modemübertragungsverfahren V.92 verwendet

Im AVM Access Server sind alle drei Verfahren implementiert.

5.8 Dynamic DNS

Dynamic DNS ist ein Dienst im Internet, der es ermöglicht, dass der AVM Access Server auch ohne feste öffentliche IP-Adresse vom Internet aus über einen festen Domänen-Namen erreichbar ist.

Dynamic DNS wird von freien und auch kommerziellen Anbietern betrieben. Der AVM Access Server unterstützt die beiden Anbieter „Dynamic DNS Network Services“ und „companity“.

Damit Sie diesen Dienst für Ihren AVM Access Server nutzen können, müssen Sie sich bei einem der beiden genannten Dynamic DNS-Anbieter registrieren. Sie legen einen Domänen-Namen fest und erhalten die Zugangsdaten für den Dynamic-DNS-Server. Auf der Benutzeroberfläche des AVM Access Servers geben Sie im Ordner „Internet“ auf der Registerkarte „Gateway-Dienste“ den Domänen-Namen für den AVM Access Server und Ihre Zugangsdaten an. Bei jedem Verbindungsaufbau wird dem Dynamic DNS-Anbieter automatisch die aktuelle IP-Adresse des AVM Access Servers mitgeteilt und dem Domänen-Namen zugeordnet.

Wenn Sie VPN-Verbindungen mit dem AVM Access Server nutzen wollen und nicht über eine feste IP-Adresse verfügen, dann müssen Sie Dynamic DNS verwenden, um beim Anlegen der VPN-Verbindung auf der entfernten Seite den Domänen-Namen des AVM Access Servers als Adresse angeben zu können.

5.9 Namensauflösung und Windows Datei- und Druckerfreigabe

Das NetBIOS-Namenssystem

Windows-Netzwerke basieren in der Regel auf dem Internetprotokoll IP. Das Internetprotokoll arbeitet ausschließlich mit IP-Adressen wie zum Beispiel 192.168.10.1. Die Kommunikation über IP-Adressen ist für den Benutzer jedoch unvorteilhaft. Daher wurde in Windows das NetBIOS-Namenssystem eingeführt.

Mit Hilfe von NetBIOS kann die in Windows mitgelieferte Datei- und Druckerfreigabe auf Netzwerkressourcen wie Computer, Laufwerke oder Drucker über Namen zugreifen. Auch der Browser-Dienst, der alle Computer eines LANs im Windows Explorer auflistet, basiert auf NetBIOS.

NetBIOS stellt eine Vereinfachung für den Benutzer dar, indem es den IP-Adressen leicht zu merkende Namen zuordnet. Für die Netzwerk-kommunikation müssen die NetBIOS-Namen jedoch wieder in IP-Adressen aufgelöst werden. Dafür gibt es verschiedenen Mechanismen.

In einem lokalen Netzwerk werden NetBIOS-Namen automatisch aufgelöst. Dies geschieht über so genannte Broadcast-Sendungen, die alle Computer im Netzwerk erhalten. Der Computer, der den angefragten Namen hat, antwortet auf den Broadcast mit seiner IP-Adresse, woraufhin eine IP-Verbindung aufgebaut wird.

In größeren Netzwerken können die durch Namensauflösung verursachten Broadcasts eine erhebliche Belastung der Bandbreite bedeuten. Wählleitungen, die in der Regel über wenig Bandbreite verfügen, würden durch die Broadcasts besonders belastet und zudem permanent aufgebaut werden. Daher werden Broadcasts in IP-Netzwerken generell nicht geroutet.

Aufgrund dieser Einschränkung ist die automatische Namensauflösung nur im eigenen Netzwerk möglich. Soll die Namensauflösung netzwerk-übergreifend funktionieren, beispielsweise über eine Remote-Access- oder LAN-LAN-Verbindung, sind entsprechende Verfahren zur Namensauflösung einzurichten.

Namensauflösung mit dem AVM Access Server

Vorbereitung

NetBIOS wurde ursprüngliche für lokale Netzwerke entwickelt und hat beim Einsatz mit On-Demand-Verbindungen Nachteile. Die häufigen Keep-Alive-Pakete können eine Wählleitung permanent aufgebaut halten. Zudem kann die Möglichkeit der Namensauflösung über NetBIOS ein Sicherheitsrisiko darstellen.

Der AVM Access Server verfügt daher über einen NetBIOS-Filter, der alle NetBIOS-Pakete verwirft. Voraussetzung für die Verwendung von NetBIOS-Namen über Remote-Access- oder LAN-LAN-Verbindungen ist die Deaktivierung des NetBIOS-Filters. Dies geschieht bei den Einstellungen der Benutzergruppe beziehungsweise der LAN-LAN-Verbindung.

Da dies zum unerwünschten Aufbau von Verbindungen führen kann, sollte der Filter nur dann deaktiviert werden, wenn NetBIOS unbedingt erforderlich ist. Gleichzeitig sollte das NetBIOS-Spoofing aktiviert werden, das NetBIOS-Keep-Alive-Pakete lokal beantwortet und den unnötigen Aufbau von Verbindungen verhindert.

NetBIOS wird nicht für die Namensauflösung im Internet benötigt. Der NetBIOS-Filter sollte daher für Internetverbindungen immer aktiviert bleiben.

Verfahren zur Namensauflösung

Neben der Deaktivierung des NetBIOS-Filters sollte in Windows ein geeignetes Verfahren zur NetBIOS-Namensauflösung eingerichtet werden. Die hier aufgeführten Möglichkeiten sollen nur als Orientierung dienen. Detaillierte Anleitungen zur Namensauflösung finden Sie in der On-line-Hilfe der Microsoft Betriebssysteme und unter www.microsoft.de.

Die Namensauflösung kann prinzipiell statisch oder dynamisch erfolgen.

- Statische Namensauflösung über LMHOSTS

Die statische Namensauflösung erfolgt über eine Textdatei, die so genannte LMHOSTS-Datei. Im Windows-Systemverzeichnis befindet sich standardmäßig eine Beispieldatei LMHOSTS.SAM. Diese Datei kann mit dem Programm Notepad editiert und wieder gespeichert werden.

Die LMHOSTS-Datei darf keine Endung haben. Die Endung .SAM der Beispieldatei oder .TXT bei einer neu erstellten Datei muss gelöscht werden.

Der Aufbau der LMHOSTS-Datei ist unkompliziert. Es wird zunächst die IP-Adresse (z.B. 192.168.10.1) des Computers eingetragen und nachfolgend, durch mindestens ein Leerzeichen getrennt, der gewünschte NetBIOS-Name (z.B. Server-Berlin). Jede Zuordnung wird in eine neue Zeile geschrieben.

Die LMHOSTS würde dann beispielsweise so aussehen:

192.168.10.1 Server-Berlin

192.168.20.1 Server-Stuttgart

Die LMHOSTS-Datei kann innerhalb von einfachen Netzwerken, in denen nur unregelmäßig Änderungen vorgenommen werden, problemlos eingesetzt werden. Sollten jedoch häufiger Computer-Namen geändert oder hinzugefügt werden, empfiehlt sich eine dynamische Namensauflösung.

Sind alle Computer eingetragen, kann die Datei im Netzwerk verteilt werden. Unter Windows 9x wird sie im Windows-Installationsverzeichnis abgelegt (C:\Windows), unter Windows NT/2000/XP unter %SystemRoot%\System32\Drivers\Etc.

●Dynamische Namensauflösung mit WINS

In Netzwerken, in denen sich die IP-Adressen oder Namen der Computer häufig ändern (bedingt z.B. durch dynamische IP-Adressvergabe über DHCP), ist die statische LMHOSTS-Datei ungeeignet. Für solche Netze hat Microsoft den Windows Internet Naming Service (WINS) entwickelt. Der WINS-Dienst ist integraler Bestandteil von Windows NT/2000 Server und kann als zusätzliche Netzwerk-Komponente installiert werden.

WINS legt automatisch eine Datenbank an, bei der sich alle Computer im Netzwerk anmelden und ihren Namen sowie ihre aktuelle IP-Adresse hinterlegen. Die Namensauflösung erfolgt ebenfalls über die WINS-Datenbank. Damit Computer den WINS-Dienst nutzen, ist lediglich die IP-Adresse des WINS-Servers in den IP-Einstellungen der Netzwerkkarte einzutragen.

Da Anfragen zur Namensauflösung nun nicht mehr über Broadcasts, sondern gezielt an die IP-Adresse des WINS-Servers gestellt werden, ist Namensauflösung über WINS in gerouteten Netzwerken und somit auch über Wähl-/VPN-Verbindungen möglich.

●Remote Access mit WINS und NetWAYS/ISDN

NetWAYS Clients, die sich über eine Direkteinwahl mit dem Firmennetzwerk verbinden, lernen automatisch die IP-Adresse des WINS-Server, der in der IP-Konfiguration des Computers eingetragen ist, auf dem der AVM Access Server installiert ist. Somit melden sich die Remote Access Clients automatisch am WINS-Server an und können die Namensauflösung nutzen.

Die Übergabe eines WINS-Servers bei einer VPN-Verbindung ist, bedingt durch die Spezifikationen von IPSec, nicht möglich. Hier kann der WINS-Server fest in der IP-Konfiguration des NetWAYS-Adapters eingetragen werden. Dabei ist zu beachten, dass die IP-Adresse des WINS-Servers in demselben Netzwerk liegen muss, für das der VPN-Tunnel konfiguriert wurde, da die Anfragen sonst nicht getunnelt werden.

Alternativ ist eine Namensauflösung über DNS möglich. DNS-Server können auch bei einer VPN-Verbindung übergeben werden. Da die Namensauflösung über DNS eine reine Windows 2000/XP-Umgebung und einen konfigurierten DNS-Server voraussetzt, wird hier nicht näher darauf eingegangen.

● LAN-LAN-Kopplung mit WINS

Für die Namensauflösung bei LAN-LAN-Kopplung ist in beiden Netzwerken ein WINS-Server aufzusetzen. Über die Replikationsmöglichkeiten von WINS können die WINS-Datenbanken der beiden Netze regelmäßig abgeglichen werden, so dass auch netzwerkübergreifende Namensauflösung möglich ist.

Hinweis zum Microsoft Browser-Dienst

Der Browser-Dienst erstellt eine Liste aller aufgelösten Computer-Namen, um sie im Windows Explorer anzuzeigen. Mit Hilfe des Browser-Dienstes kann das Netz also durchsucht werden.

LMHOSTS und WINS ermöglichen zwar eine netzwerkübergreifende Namensauflösung, der Browser-Dienst arbeitet aber nur lokal. Daher ist es in der Regel nicht möglich, nach dem Aufbau einer Remote-Access- oder LAN-LAN-Verbindung das entfernte Netz über den Windows Explorer zu durchsuchen.

6 AVM Access Server für Experten

Diese kompakte technische Darstellung der Architektur und der Funktionen des AVM Access Servers richtet sich ausschließlich an Netzwerk-experten und zielt auf einen raschen Produktüberblick.

6.1 Architektur des AVM Access Servers

Der AVM Access Server besteht aus folgenden Komponenten:

Dienste (Usermode)

●AVM Access Server (ntmpri, Startart automatisch)
●AVM User Manager for Access Server (ntreud, Startart automatisch)
●AVM Webserver for Access Server (webserver, Startart manuell)
●AVM IKE Service for Access Server (avmike, Startart manuell)
●AVM Cert Server for Access Server (certsrv, Startart manuell)
●AVM Crypt Service for Access Server (ntrcrypt, Startart manuell)

Durch die Betriebssystemintegration als Dienst ist der AVM Access Server sofort nach dem Neustart voll funktionsfähig, ohne dass ein Benutzer angemeldet sein muss.

Die Dienste lassen sich über „Verwaltung / Dienste“ oder über die Kommandozeile mit net start starten und mit net stop anhalten.

Treiber (Kernelmode)

AVM Access Server Driver (avmasim.sys)

Der „AVM Access Server Driver“ ist ein Intermediate-Treiber, der sich zwischen dem Netzwerkkartentreiber (NDIS) und dem Windows-TCP/IP-Stack befindet.

Die folgende Abbildung zeigt das Zusammenspiel des Access Server Drivers und anderen Komponenten.

graph TD
    A["AVM Access Server"] <--> B["Access Server Driver"]
    B <--> C["Microsoft TCP/IP"]
    B <--> D["Netzwerkkarte (NDIS)"]

Zusammenspiel des Access Server Drivers und anderen Komponenten

Der „AVM Access Server Driver“ kontrolliert als Intermediate-Treiber die gesamte Kommunikation zwischen einer Netzwerkkarte und eines betriebssystemeigenen Layer3-Protokolls (z.B. IP). Pakete von der Netzwerkkarte können auf diese Weise unabhängig vom IP-Stack des Betriebssystems geroutet, verändert oder gefiltert werden. Damit der Microsoft-TCP/IP-Stack Pakete an die Netzwerkkarte sendet, deren Ziel-IP-Adressen nicht im Subnetz der eigenen IP-Adresse liegen, muss in den Netzwerkeinstellungen des Betriebssystems an mindestens einer Netzwerkkarte ein Standard-Gateway eingetragen sein. Das Standard-Gateway kann eine beliebige Adresse aus dem Subnetz dieser Netzwerkkarte sein, es muss sich nicht um eine tatsächlich verwendete IP-Adresse handeln.

Die Routing-Tabelle des Betriebssystem ist mit Ausnahme der Existenz eines Standard-Gateways nicht relevant! Es wird die Routing-Tabelle des AVM Access Servers verwendet. Nur die Routing-Tabelle im Access Server hat Relevanz.

Datenbanken

Alle Einstellungen des AVM Access Servers werden in Microsoft Access-Datenbanken gespeichert. Die Datenbanken befinden sich im Programmverzeichnis des AVM Access Servers und haben die Endung „mdb“. Die Datenbanken werden über die ADO-Schnittstelle von Microsoft angesprochen. Das Microsoft Jet 4.0 Service Pack 6 muss installiert sein. Bitte lesen Sie hierzu die Readme.

Oberfläche

●Windows-Oberfläche (gui.exe)

Dies ist die Hauptoberfläche des AVM Access Servers. Über diese Oberfläche können sämtliche Einstellungen des AVM Access Servers komfortabel assistentengestützt konfiguriert werden.

●Web-Interface (webserver)

Diese Oberfläche ist über einen beliebigen Javascript 1.2 -fähigen Browser (z.B. MS Internet Explorer ab Version 4.0) auch über das Netzwerk zu erreichen, bietet jedoch nicht den Komfort der Windows-Oberfläche. Zuständig für die Web-Oberfläche ist der HTTP-Server „AVM Webserver“, der auf TCP-Port 4000 läuft. Der Zugriff auf das Web-Interface erfordert eine Anmeldung. Jeder Windows-Benutzer, der Mitglied in der lokalen Gruppe „Administratoren“ ist, hat mit seinem Windows-Kennwort Zugriff auf das Web-Interface.

Das Web-Interface nimmt Änderungen direkt in der aktiven Datenbank (ntr.mdb) vor. Die Windows-Oberfläche hingegen legt eine Kopie der Datenbank an. Alle Einstellungen, die in der Windows-Oberfläche vorgenommen wurden, werden daher erst beim Übernehmen aktiv. Sie sollten nicht mit beiden Oberflächen gleichzeitig arbeiten, da es sonst zu Inkonsistenzen kommen kann.

6.2 Internetzugang mit dem AVM Access Server

Der AVM Access Server kann über ISDN und DSL eine Internetverbindung für das lokale Netzwerk herstellen sowie eine bereits vorhandene Internetverbindung über Geräte (Router) von Drittherstellern benutzen. Für die ISDN- und DSL-Verbindung zum Internet bietet der AVM Access Server folgende Leistungsmerkmale:

- Dial on Demand: Verbindungsauf- und abbau nach Bedarf

- IP-Masquerading/NAT ausgehend (für TCP, UDP, GRE, ICMP)

- Destination NAT (Portforwarding) für einkommende Verbindungen (TCP, UDP, GRE)

DNS-Masquerading, DNS-Anfragen an einstellbare IP-Adresse (Vorbelegung: 192.168.116.252 und .253) werden an die aktuellen DNS-Server des gerade aktiven ISPs weitergeleitet

●IP-Firewall: incoming und outgoing IP-Paketfilter, Stateful Inspection

● Dynamic DNS, um aus dem Internet auch mit wechselnder (dynamischer) IP-Adresse erreichbar zu sein. Direkte Unterstützung für Dynamic DNS-Anbieter (derzeit implementiert für die Anbieter http://www.dyndns.org und http://www.dns4biz.com)
- Flatrate-Support: Die Verbindung wird nicht nach Bedarf aufgebaut, sondern sofort beim Start des Dienstes. Eine durch den Anbieter unterbrochene Verbindung wird sofort wieder aufgebaut
- Internetverbindung bei Anruf aufbauen: Die Internetverbindung kann über einen Sprachanruf ausgelöst werden

ISDN

• Über jeden PPP over ISDN (RFC 1618)-fähigen Internetanbieter und einen oder mehrere aktive ISDN-Controller.
• Kanalbündelung mit bis zu 30 ISDN-B-Kanälen möglich.
• Datenkompression auf PPP-Ebene mit STAC- oder MPPC-Nutzdatenkompression (Fast Internet over ISDN)

DSL

• PPP over Ethernet (RFC 2516) über AVM Fritz!Card DSL
• PPP over Ethernet mit externem ADSL-Modem (Anschluss über Ethernet)
• PPP over ATM (RFC 2386) mit AVM Fritz!Card DSL

Parallele Installation von AVM KEN! oder AVM KEN!

Der AVM Access Server kann parallel zu KEN! installiert werden. Für den Internetzugang, den beide Produkte anbieten, gibt es die Möglichkeit der Internetverbindung über AVM KEN! und der Internetverbindung über den AVM Access Server.

Internetverbindung über AVM KEN!

Der AVM Access Server benutzt die in KEN! konfigurierte Internetverbindung. Aus Sicht des Access Servers stellt sich KEN! als Netzwerkkarte (KEN!-PPP-Adapter) dar. Eine statische Defaultroute auf die IP-Adresse des KEN!-PPP-Adapters muss im Access Server eingetragen werden. Der Einrichtungsassistent erledigt dies automatisch, wenn Sie „Verbindung über KEN!“ auswählen. Das Masquerading/NAT erfolgt durch KEN! Wenn der Access Server als VPN-Gateway arbeitet, müssen in

KEN! zwei Gateway-Dienste aktiviert werden: ESP und ISAKMP (KEN!-Expertenmodus: „Internet / Erweiterte Einstellungen / Firewall erlaubt eingehende Verbindungen ..., dann Internet / Gateway-Dienste / IPSec VPN-Gateway“). Als VPN-Gateway muss klientenseitig die öffentliche IP-Adresse oder der Dynamic DNS-Name des KEN! Service PCs eingetragen sein.

Da das Masquerading in KEN! vom Access Server in diesem Szenario nicht umgangen wird, sind VPN-Verbindungen nur mit Einschränkungen möglich:

• Der Betriebsmodus Authentication Header (AH) kann nicht verwendet werden. Diese Einschränkung ist allerdings gering, da auch beim alleinigen Einsatz von ESP fast das gesamte Paket mit einer Prüfsumme versehen wird. Einzig der neue IP-Header, in dem die öffentlichen IP-Adressen der beiden Tunnelendpunkte stehen, wird nicht mit einer Prüfsumme versehen.
  Die zweite Einschränkung betrifft die Anbindung entfernter Netzwerke über VPN. Hier empfehlen wir, die Internetverbindung über den Access Server zu konfigurieren (siehe nächster Abschnitt) und nicht über KEN!. Diese Einschränkung betrifft nur die Kopplung von entfernten Netzwerken über VPN, sie trifft nicht auf entfernte Benutzer zu.

Internetverbindung über den AVM Access Server

Eine im AVM Access Server eingerichtete Internetverbindung kann von KEN! mitbenutzt werden (für E-Mail, Proxy, etc.). Hierzu ist in KEN! lediglich die Einstellung „Interneteinwahl über KEN! aktiviert“ auszuschalten.

Hinweis: Die in KEN! gesetzten IP-Filter sind nicht wirksam, es gelten stattdessen die Paketfilter des AVM Access Servers. Der Access Server arbeitet immer als Router. Wollen Sie den Internetzugang für das lokale Netzwerk weiterhin nur für bestimmte Dienste (z.B. HTTP, FTP) über den in KEN! erhaltenen Proxy-Server anbieten, so müssen Sie im Access Server entsprechende IP-Paketfilter setzen, die das direkte Routing zwischen LAN und Internet unterbinden.

Internetverbindung über einen Router eines Drittherstellers

Die Internetverbindung kann auch über einen bereits im LAN vorhandenen Router erfolgen. Falls an diesem Router Network Adress Translation (NAT)/IP-Masquerading konfiguriert ist, so müssen zur Nutzung von VPN am Router Forward-Regeln für zwei Protokolle auf die IP-Adresse des AVM Access Servers eingerichtet werden:

- UDP Zielport 500 (ISAKMP) -> IP-Adresse des Access Servers UDP Zielport 500

- ESP -> IP-Adresse des Access Servers

Der IPSec-Betriebsmodus „Authentication Header“ (AH) ist im Zusammenhang mit NAT auf einem Fremdrouter nicht nutzbar. Im Abschnitt „Internetverbindung über AVM KEN!“ auf Seite 114 werden die Einschränkungen erläutert, die ohne AH entstehen.

Dynamic DNS

Dynamic DNS ist ein Dienst im Internet, mit dessen Hilfe einer sich ändernden (dynamischen) IP-Adresse ein fester Domain-Name zugeordnet werden kann. Hierfür ist es erforderlich, dem Dynamic DNS-Anbietern jede IP-Adressänderung mitzuteilen. Bei den meisten ISDN- und DSL-Internetanbietern wird bei jeder Einwahl eine neue IP-Adresse vergeben, es muss also bei jeder Einwahl eine Registrierung erfolgen. Der AVM Access Server kann sich momentan automatisch bei den beiden folgenden Dynamic DNS-Anbietern registrieren: www.dns4biz.com und www.dyndns.org. Bei beiden Anbietern ist eine einmalige Anmeldung notwendig. Bei beiden Anbietern entstehen bei Nutzung des Standardangebots keine Kosten.

6.3 Verbindung zu entfernten Benutzern

Im AVM Access Server ist jeder Benutzer Mitglied in einer Benutzergruppe. Alle Eigenschaften der Benutzergruppe gelten auch für jeden Benutzer innerhalb der Gruppe. Jeder einzelne Benutzer verfügt zusätzlich über individuelle Eigenschaften.

Beim Einrichten einer Benutzergruppe wird ein IP-Adressbereich festgelegt, aus dem den Benutzern in der Gruppe die IP-Adressen zugewiesen werden.

IP-Adressvergabe: Statisch oder dynamisch?

Im AVM Access Server existieren zwei Arten von Adressbereichen: statische und dynamische. Während bei dynamischen IP-Adressbereichen erst bei der Einwahl des Benutzers dessen IP-Adresse vergeben wird und diese sich bei jeder Einwahl ändern kann, so steht bei der Benutzung eines statischen Adressbereichs diese IP-Adresse bereits vor der Einwahl fest und ändert sich nie. Der IP-Adressbereich wird einer Gruppe entfernter Benutzer zugewiesen. Bei der Nutzung eines statischen IP-Adressbereichs wird beim Neuanlegen eines Benutzers eine freie IP-Adresse aus dem statischen IP-Adressbereich der Gruppe vorgeschlagen.

Grundsätzlich können IP-Adressen sowohl aus dem Subnetz des Firmennetzes als auch aus einem neuen Subnetz vergeben werden.

IP-Adressen aus dem eigenen Subnetz

Beispiel

Der Access Server betreibt in diesem Fall „Proxy-ARP“ (ARP = Address Resolution Protocol). Das heißt, alle ARP-Anfragen nach MAC-Adressen für IP-Adressen aus dem Einwahlbereich (z.B. „Wer hat die Adresse 192.168.10.200?“) werden vom Access Server mit der MAC-Adresse des Access Servers beantwortet. So wird sichergestellt, das Pakete von Hosts aus dem LAN an den Access Server geschickt werden und von dort aus zum eingewählten Benutzer weitergeleitet werden.

Stellen Sie in diesem Fall sicher, dass bei der Verwendung eines DHCP-Servers im LAN die IP-Adressen aus dem Einwahlbereich nicht für die Vergabe im lokalen Netzwerk zur Verfügung stehen! In einem solchen Fall wäre es möglich, dass ein Computer im lokalen Netz und ein eingewählter, entfernter Benutzer über dieselbe IP-Adresse verfügen würden. Eine arp-Anfrage würde von beiden Rechnern (dem Access Server und dem Host im lokalen Netz) parallel beantwortet. Es bliebe dem Zufall überlassen, welche Antwort später beim Anfragenden eingeht.

IP-Adressen aus einem dedizierten Subnetz

Beispiel

AVM Access Server: 172.16.1.1

Lokales Netzwerk: 172.16.0.0 / 16 (172.16.0.1 bis 172.16.255.254)

IP-Adressbereich für ent- 192.168.20.0 / 24 (192.168.20.1 bis fernte Benutzer: 192.168.20.254)

In diesem Fall müssen alle Rechner im LAN eine Route zum Netz 192.168.20.0/24 kennen.

Falls der Access Server das Default-Gateway im LAN darstellt (das ist beispielsweise immer der Fall, wenn der Access Server auch den Internetzugang für das LAN übernimmt), so ist nichts zu tun.

Falls ein anderer Router das Default-Gateway darstellt, so ist in diesem Router eine Route für das IP-Netz der einwählenden Benutzer auf die IP-Adresse des Access Servers zu konfigurieren. Im Beispiel wäre an diesem Router die folgende Route (Schreibweise aus Windows) einzutragen:

192.168.20.0 mask 255.255.255.0 172.16.1.1 metric 1

Sonstige an entfernte Benutzer übertragene Parameter

Alle Einstellungen, die entfernten Benutzern bei der Direkteinwahl über IPCP oder bei der VPN-Verbindung über den config mode zugewiesen werden, werden vom ersten LAN-Adapter des AVM Access Servers übernommen. Das sind zwei DNS-Server und, bei der Direkteinwahl, außerdem noch zwei WINS-Server. Als Gateway wird bei der Direkteinwahl die IP-Adresse des ersten LAN-Adapters übertragen. Bei der Verbindung über VPN werden über den config mode die eingetragenen DNS-Server nur übermittelt, wenn sie auch innerhalb eines IP-Netzwerks liegen, das die Gegenstelle über VPN erreichen kann.

Benutzerdatenbank für entfernte Benutzer

Der AVM Access Server verfügt über eine eigene Benutzerdatenbank. Hier können detailliert die Eigenschaften eines Benutzers konfiguriert werden. Alternativ dazu kann eine bestehende Benutzerdatenbank über das RADIUS-Protokoll zur Authentisierung der Benutzer verwendet werden. Beispielsweise kann über RADIUS auf die Windows-Benutzerdatenbank zugegriffen werden. Microsoft bietet hierzu den Dienst „In-

ternet Authentication Service“ an. Zur Nutzung des Microsoft-Internet Authentication Service gibt es unter „Start/Programme/Access Server/Hinweise zur Nutzung von RADIUS“ eine eigene Anleitung.

6.4 Anbindung entfernter Netzwerke

Der AVM Access Server ermöglicht die Anbindung ganzer Netzwerke an das LAN. Hierzu bietet der Access Server folgende Leistungsmerkmale:

IP-Routing
●Verbindung über ISDN (Kanalbündelung bis zu 30 B-Kanäle)
●Verbindung über VPN und das Internet
- Netbios-Spoofing

Wie bei der Einbindung entfernter Benutzer können beide Standorte IP-Adressen aus demselben Subnetz benutzen. In diesem Fall kommt Proxy-Arp zum Einsatz. Empfehlenswert ist jedoch die Verwendung verschiedener Subnetze. Zum Beispiel erhält der Standort Stuttgart das Subnetz 192.168.20.0/24 und der Hauptsitz in Berlin das Subnetz 192.168.10.0/24.

6.5 Windows-Namensauflösung, Datei- und Druckerfreigabe

Der AVM Access Server überträgt keine Broadcasts. Daher ist die Windows-Namensauflösung (WINS) nicht wie aus dem LAN gewohnt einsetzbar. Falls Sie freigegebene Ressourcen über ihren WINS-Namen ansprechen wollen, so müssen Sie entweder einen WINS-Server betreiben oder auf jedem Client die erforderlichen Namen in die Datei „LMHOSTS“ aufnehmen.

Bei der Kopplung von Microsoft-Netzwerken mit Active Directory empfiehlt sich der Betrieb eines Domain-Controllers an jedem Standort. Eine genaue Anleitung zur Konfiguration von Microsoft-Netzwerken, die über WAN-Verbindungen gekoppelt sind, finden Sie im „Active Directory Branch Office Planning Guide“ der Firma Microsoft. Den Link auf das Dokument finden Sie im Kapitel „Weiterführende Literatur“ auf Seite 130.

6.6 Filter- und Masqueradingprofile

Sie haben die Möglichkeit, an Zielen in entfernten Netzwerken sowie an Internetzielen den Zugriff über IP-Paketfilter zu beschränken. Es gibt sowohl zielgebundene als auch globale, auf sämtliche entfernte Benutzer, Ziele und Netzwerkkarten wirksame Filter. Eine „Durchlassen“-Regel in einem zielgebundenen Filterprofil überschreibt eine anderslautende Regel im globalen eingehenden oder ausgehenden Filterprofil.

graph TD
    A["Globaler Forward Filter"] --> B["Globaler Input-Filter"]
    A --> C["Oberes ausgehendes Filterprofil"]
    A --> D["Oberes output-Filter"]
    B --> E["Masquerading/NAT"]
    C --> F["Masquerading/NAT"]
    D --> G["IPSec Verschlüsselung"]
    E --> H["IPSec Entschlüsselung"]
    F --> I["IPSec Entschlüsselung"]
    H --> J["Unteres eingehendes Filterprofil"]
    I --> K["Unteres ausgehendes Filterprofil"]
    J --> L["ISDN / DSL / GSM / LAN"]
    K --> M["ISDN / DSL / GSM / LAN"]
    L --> N["Outperforming/Outperforming"]
    M --> O["Outperforming/Outperforming"]
    style A fill:#f9f,stroke:#333
    style B fill:#ccf,stroke:#333
    style C fill:#ccf,stroke:#333
    style D fill:#ccf,stroke:#333
    style E fill:#cfc,stroke:#333
    style F fill:#cfc,stroke:#333
    style G fill:#cfc,stroke:#333
    style H fill:#cfc,stroke:#333
    style I fill:#cfc,stroke:#333
    style J fill:#cfc,stroke:#333
    style K fill:#cfc,stroke:#333
    style L fill:#cfc,stroke:#333
    style M fill:#cfc,stroke:#333
    style N fill:#fcc,stroke:#333
    style O fill:#fcc,stroke:#333
    style P fill:#fcc,stroke:#333
    style Q fill:#fcc,stroke:#333
    style R fill:#fcc,stroke:#333
    style S fill:#fcc,stroke:#333
    style T fill:#fcc,stroke:#333
    style U fill:#fcc,stroke:#333
    style V fill:#fcc,stroke:#333
    style W fill:#fcc,stroke:#333
    style X fill:#fcc,stroke:#333
    style Y fill:#fcc,stroke:#333
    style Z fill:#fcc,stroke:#333

Architektur der Filterprofile

6.7 VPN und das Protokoll IPSec

Der AVM Access Server beinhaltet eine vollständig dem Standard gemäße IPSec-Implementierung. Die Leistungsmerkmale im Einzelnen:

●Verschlüsselung mit AES, 3DES, DES
●Nutzdatenkompression mit IPComp
●Authentisierung mit MD5, SHA-1

●Authentsierung über pre-shared keys

●Xauth und config mode

Die Aushandlung einer IPSec-Verbindung erfolgt über das Protokoll „Internet Key Exchange“ (IKE). Ergebnis der Aushandlung sind Vereinbarungen mit der Gegenstelle, sogenannte „Security Associations“ (SA). Die IKE-Aushandlung erfolgt in zwei Phasen. Die erste Phase dient hauptsächlich zur Authentisierung und zum Bestimmen eines Schlüssels zum Sichern der Phase 2. Das Ergebnis der Phase 1 ist in der Regel genau eine SA.

Identitäten (IDs) in IKE-Phase 1 können sein:

Bei entfernten Benutzern wird der eingetragene Benutzername als user fqdn, fqdn und key ID akzeptiert. Bei entfernten Netzwerken kann jede der oben genannten IDs konfiguriert werden. In der Konfiguration „automatisch“ werden die IDs wie folgt abgeleitet:

- Ist die Internetverbindung über KEN! oder einen LAN-Adapter konfiguriert, so wird die IP-Adresse dieser Netzwerkkarte (KEN! stellt sich ebefalls als Netzwerkkarte dar) als eigene ID gesendet.

- Stellt der AVM Access Server die Internetverbindung selbst her, so wird als eigene ID die IP-Adresse, die vom ISP zugewiesen wurde, verwendet. Ist ein Dynamic DNS-Anbieter konfiguriert, so wird stattdessen dieser Domainname als fqdn gesendet.

- Bei VPN-Verbindungen zu entfernten Netzwerken wird als entfernte ID die Konfiguration „enferntes VPN-Gateway“ erwartet, die entweder die IP-Adresse des entfernten VPN-Gateways oder dessen Domänen-Name enthält.

Alle ID-Einstellungen können auch manuell vorgenommen werden.

In IKE-Phase 2 werden die Vereinbarungen (SAs) für die Sicherung der Nutzdaten getroffen. Das Ergebnis der Phase 2 sind SAs, in denen im Wesentlichen vereinbart wurde,

• ob Daten verschlüsselt werden sollen (Encapsulated Security Payload) und mit welchem Verschlüsselungsalgorithmus das geschehen soll.
• ob zusätzlich über das gesamte Paket eine Prüfsumme gebildet werden soll (Authentication Header) und mit welchem Hash-Algorithmus das geschehen soll.
• ob Nutzdaten komprimiert werden sollen (IPComp) und mit welchem Kompressionsverfahren das geschehen soll.

Auch in der Phase 2 werden IDs benutzt. Bei entfernten Benutzern wird immer die Adresse der obersten Zugriffsregel als Identität des AVM Access Servers an den entfernten Benutzer übermittelt. Bei entfernten Netzwerken sind die Identitäten frei konfigurierbar. In der Einstellung „automatisch“ leiten sich die Phase-2-Identitäten aus der obersten Zugriffsregel ab.

Sicherheitsrichtlinien sind Vorschläge für SAs. Die Sicherheitsrichtlinien sind nach fogendem Schema benannt:

Phase 1: Diffie-Hellmann-Gruppe / Verschlüsselungsverfahren / Hash-Algorithmus

Die Diffie-Hellmann-Gruppe, das Verschlüsselungsverfahren und der Hasch-Algorithmus können folgende Werte annehmen:

Diffie-Hellmann-Gruppe:

Def Diffie-Hellmann-Gruppe 1

Alt Diffie-Hellmann-Gruppe 2

Verschlüsselungsverfahren:

Aes Advanced Encryption Standard (128 - 256 bit Schlüssellänge)

3DES Triple Digital Encryption Standard (168 bit Schlüssellänge)

DES Digital Encryption Standard (56 bit Schlüssellänge)

All Die Verfahren 3DES und DES werden der Gegenstelle in dieser Reihenfolge vorgeschlagen

Hash-Algorithmus:

Phase 2: esp-Verschlüsselungsalgorithmus-Hash-Algorithmus / ah-Hash-Algorithmus / Kompression / Perfect Forward Secrecy

6.8 Interoperabilität über ISDN

Durch die Unterstützung des Interoperabilitätsstandards PPP over ISDN sowie vieler weiterer PPP-Standards – beschrieben in sogenannten RFCs (Request for Comments) – sind Verbindungen zu allen Gegenstellen möglich, die diese Standards ebenfalls unterstützen.

Zusätzlich zu den RFCs sind im AVM Access Server auch schon neuere, noch nicht allgemein anerkannte PPP-Standards – so genannte Drafts – implementiert. Hierfür soll die Umsetzung verschiedener von AVM entwickelter Spoofing-Verfahren erwähnt werden, die im AVM Access Server auf Basis des PSCP-Drafts implementiert sind. Der AVM Access Server unterstützt die folgenden RFCs und RFC-Drafts:

PPP over ISDN

7 Wegweiser Kundenservice

Wir lassen Sie nicht im Stich, wenn Sie eine Frage oder ein Problem haben. Ob Handbücher, FAQs, Updates oder Support – hier finden Sie alle wichtigen Servicethemen.

7.1 Produktdokumentationen

Nutzen Sie zum Ausschöpfen aller Funktionen und Leistungsmerkmale von AVM Access Server folgende Produktdokumentationen:

●Die umfassende Hilfe kann von der Benutzeroberfläche des AVM Access Servers aus aufgerufen werden. Sie enthält detaillierte Beschreibungen aller Einstellungsmöglichkeiten und Monitoring-Funktionen.

●Die Readme-Datei zum AVM Access Server enthält wichtige Informationen und Installationshinweise, die zum Zeitpunkt der Drucklegung des Handbuchs noch nicht zur Verfügung standen. Sie sollte vor der Installation von der Datei INTRO.HLP aus eingesehen werden.

- Im Installationsverzeichnis des AVM Access Servers finden Sie das vorliegende Handbuch auch im PDF-Format. Neben der Darstellung von Konzept und Einsatzmöglichkeiten des AVM Access Servers, vermittelt das Handbuch Wissen zur Funktionsweise des AVM Access Servers und zum Routing über ISDN und DSL.

Falls Sie nicht über den Adobe Acrobat Reader zum Lesen von PDF-Dokumenten verfügen, können Sie diesen von der CD aus dem Verzeichnis UTILS\ACROBAT\DEUTSCH installieren.

- Ausführliche Informationen zu Windows XP/2000 und NT erhalten Sie in der entsprechenden Windows-Dokumentation.

7.2Informationen im Internet

Im Internet bietet Ihnen AVM ausführliche Informationen zu Ihrem AVM-Produkt sowie Ankündigungen neuer Produktversionen und neu-er Produkte.

Sie finden AVM im Internet unter folgender Adresse:

www.avm.de

Service-Bereich

Der Service-Bereich hilft Ihnen bei allen Fragen rund um Ihr AVM-Produkt:

www.avm.de/service

Newsletter

Jeden ersten Mittwoch im Monat erscheint der AVM Newsletter. Mit dem kostenlosen Newsletter erhalten Sie regelmäßig Informationen per E-Mail zu den Themen DSL, ISDN, Bluetooth und WLAN bei AVM. Außerdem finden Sie im Newsletter Tipps & Tricks rund um die AVM-Produkte.

Sie können den AVM Newsletter unter folgender Adresse abonnieren:

www.avm.de/newsletter

7.3 Updates

Treiber- und Firmware-Updates für AVM Access Server stellt Ihnen AVM kostenlos über das Internet bereit. Zum Herunterladen aktueller Software rufen Sie bitte folgende Adresse auf:

www.avm.de/download

Erfahrene Anwender können Updates auch über den FTP-Server von AVM herunterladen. Sie erreichen den FTP-Server im Download-Bereich über den Link „FTP-Server“ oder unter folgender Adresse:

www.avm.de/ftp

7.4 Unterstützung durch das Service-Team

Bitte nutzen Sie zuerst die oben beschriebenen Informationsquellen, bevor Sie sich an den Support wenden!

Haben Sie mit den bisherigen Hinweisen und mit Hilfe der diversen Informationsquellen Ihr Problem nicht lösen können, wenden Sie sich für weitere technische Unterstützung an den AVM-Support. Sie erreichen den Support per E-Mail oder Fax.

Bevor Sie den Support kontaktieren

Bevor Sie sich an den Support wenden, stellen Sie bitte die folgenden Informationen zusammen, damit Ihnen schnell geholfen werden kann:

1. Eine detaillierte Beschreibung des Problems und eine Skizze Ihres WANs mit den IP-Adressen aller beteiligten Komponenten.

2. Die genaue Fehlermeldung, die Sie erhalten haben.

3. Mit der Funktion „Support-Daten erstellen“ wird eine ZIP-Datei erstellt, die alle für den Support relevanten Informationen Ihrer Konfiguration erhält.

4. Wählen Sie in der Ansicht „AVM Access Server-Konfiguration“ den Ordner „Verwaltung“ und wählen Sie dort die Registerkarte „Service und Support“.

5. Klicken Sie im Bereich „Support-Daten“ auf die Schaltfläche „Support-Daten erstellen“. Es wird im Ordner PROGRAMME\AVM\ACCESS SERVER die Datei SUPPORT.ZIP erstellt.
   – Schicken Sie diese Datei per E-Mail an den Support.

6. Bei Interoperabilitätsproblemen mit Routern anderer Hersteller führen Sie einen PPP-Mitschnitt durch. Lesen Sie dazu das Kapitel „Paketmitschnitt“ ab Seite 42.

Testverbindung zum AVM Data Call Center (ADC)

Wenn Sie Probleme mit Verbindungen zu Gegenstellen haben, dann versuchen Sie bitte vor der Kontaktaufnahme mit dem AVM-Support, eine Testverbindung zum AVM Data Call Center aufzubauen.

Sie können das ADC mit dem im Lieferumfang der ISDN-Controller enthaltenen Programmen Connect bzw. Connect32 (FTP) oder FRITZ!data (IDtrans oder FTP) erreichen. Die Rufnummer lautet:

+49 (0)30 / 39 98 43 00

Nähere Informationen dazu finden Sie im Readme des ISDN-Controlers. Aktivieren Sie für eine schnellere Datenübertragung die Optionen „2-Kanaltransfer“ und „Datenkompression“.

• Ist es möglich, mit dem ISDN-Controller erfolgreich eine Testverbindung zum AVM Data Call Center (ADC) aufzubauen?
  ●An welcher Stelle der Installation oder an welcher Stelle in der Anwendung erscheint eine Fehlermeldung?
  ●Wie lautet die Meldung genau?

Support per E-Mail

Über unseren Service-Bereich im Internet können Sie uns jederzeit eine E-Mail-Anfrage schicken. Sie erreichen den Service-Bereich unter:

www.avm.de/service

Wählen Sie im Support-Bereich die Produktgruppe „Server-Produkte“ und AVM Access Server als Produkt aus. Wählen Sie nun noch das verwendete Betriebssystem und ein Schwerpunktthema. Mit Klick auf die Schaltfläche „weiter“ erhalten eine Auswahl häufig gestellter Fragen.

Benötigen Sie noch weitere Hilfe, dann erreichen Sie über die Schaltfläche „weiter zum Mail-Support“ das E-Mail-Formular. Füllen Sie das Formular aus und schicken Sie es über die Schaltfläche „senden“ zu AVM. Unser Support-Team wird Ihnen bald per E-Mail antworten.

Support per Telefax

Wenn Sie keinen Internetzugang haben, dann erreichen Sie den Support per Telefax unter folgender Rufnummer:

00 49 (0)30 / 39 97 62 66

Bereiten Sie folgende Informationen für Ihren Berater vor:

- Geben Sie Ihren Product Identification Code an, der sich auf der CD-Hülle befindet.

- Mit welcher Version des AVM Access Servers arbeiten Sie? Die Versionsnummer können Sie im Readme nachlesen.

- Mit welchem Microsoft Service Pack arbeiten Sie?

- Welches Betriebssystem ist auf dem Rechner installiert, auf dem der AVM Access Server installiert ist – Windows XP, 2000 oder Windows NT?

- Mit welchem Netzwerkprotokoll arbeiten Sie?

- Welchen ISDN-Controller verwendet der AVM Access Server-Computer? Mit welcher Treiberversion und mit welchem Build arbeiten Sie?

Sie finden die Treiberversion und das Build von AVM ISDN-Controlern in der Datei „Readme“ im Installationsverzeichnis des ISDN-Controllers. Wenn Sie FRITZ! auf dem AVM Access Server-Computer installiert haben, finden Sie die Treiberversion auch im

Startmenü von Windows unter „Programme / FRITZ! / FRITZ!version“. Klicken Sie im Fenster FRITZ!version“ auf die Schaltfläche „Systeminformationen“.

- Wird Ihr ISDN-Controller an einer Nebenstellenanlage betrieben?

Wenn Sie diese Informationen zusammengestellt haben, können Sie den Support kontaktieren. Das Support-Team wird Sie bei der Lösung Ihres Problems unterstützen.

7.5 Weiterführende Literatur

Ausführliche Informationen zum Betriebssystem Windows erhalten Sie in folgenden Werken:

• Microsoft Press (Hrsg.): Windows 2000 – Die Technische Referenz, ISBN 3-86063-273-6
  ● Microsoft Press (Hrsg.): Microsoft Windows NT Server Version 4, Band Netzwerk, Microsoft Press, Redmond, Washington, 1996

Informationen zur Konfiguration von Microsoft Netzwerken, die über WAN gekoppelt sind, finden Sie im folgenden Dokument:

Informationen zu TCP/IP und IP-Firewalls finden Sie in folgenden Publikationen:

●D. B. Chapman/E. D. Zwicky: Building Internet Firewalls, O'Reilly & Associates, 1995
W. R. Cheswick/S. M. Bellovin: Firewalls and Internet Security, Addison-Wessley, Reading, Massachusetts, 1994
M. Hein/M. C. Billo (Hrsg.): TCP/IP light, FOSSIL-Verlag GmbH, Köln, 1997

Informationen zum Internetworking allgemein erhalten Sie in:

- L. A. Chappell/R.L. Spicer: Novell's Guide to Multiprotocol Internetworking, Novell Press, 1994

Glossar

Sicherungsprotokoll innerhalb von IPSec. AH gewährleistet, dass das Paket vom Absender und nicht von einem Dritten stammt und dass keine Veränderungen innerhalb des Pakets während der Übermittlung von Dritten vorgenommen wurden. AH verschlüsselt die Nutzdaten nicht.

ADSL ist eine Technologie, die den Internetzugang mit einer hohen Bandbreite über die normale Telefonleitung ermöglicht. Die Übertragung von Daten beim Herunterladen kann mit bis zu 6 MBit/s erfolgen, in der Gegenrichtung sind bis zu 640 KBit/s möglich. Wählverbindungen zu anderen ADSL-Teilnehmern und Dienstekennungen sind nicht möglich. Diese Technologie wird beispielsweise von der Deutschen Telekom AG unter der Bezeichnung T-DSL angeboten.

ISDN und ADSL benutzen unterschiedliche Frequenzbereiche des Telefonkabels und können somit parallel betrieben werden.

Amtsholung

Die Amtsholung ist die Ziffer, die innerhalb einer TK-Anlage vorgewählt werden muss, um eine Amtsleitung zu bekommen. In den meisten Fällen ist dies die „o“. Im AVM Access Server legen Sie die Amtsholung für jeden ISDN-Controller separat fest (im Ordner „Verwaltung/Schnittstellen“ auf der Registerkarte „Allgemein“). Die Amtsholung wird dann automatisch vor die Rufnummer gesetzt.

AOCD steht für Advice On Charge During Call; ein Leistungsmerkmal im ISDN. Wenn dieses Merkmal an Ihrem ISDN-Anschluss freigeschaltet ist, dann werden Tarifinformationen während der Verbindung nach dem europäischen Standard AOCD übertragen. Informationen zu AOCD erhalten Sie bei Ihrem ISDN-Anbieter.

Das Address Resolution Protocol (ARP) gehört zur TCP/IP-Protokollsuite. ARP bildet eine IP-Adresse dynamisch auf die zugehörige Hardware-Adresse (MAC-Adresse) ab. Dies geschieht automatisch und ist normalerweise für die Anwendung und den Benutzer unsichtbar.

Um Daten in einem TCP/IP-Netzwerk auszutauschen, muss die sendende Station die IP-Adresse des Ziels auf die Hardware-Adresse des Ziels abbilden. Die sendende Station schickt dazu ein sogenanntes ARP-Request-Paket, das die IP-Adresse des Ziels enthält. Alle ARP-fähigen Systeme im Netzwerk erkennen dieses Paket, und das System mit der fraglichen IP-Adresse schickt seine Hardware-Adresse mit Hilfe eines ARP-Reply-Pakets zurück. Die Kombination IP-Adresse / Hardware-Adresse wird im ARP-Cache der sendenden Station gespeichert.

Authentisierung

Als Authentisierung wird das Überprüfen der Anmeldeinformationen (Name und Passwort) einer Gegenstelle bei ein- und ausgehenden Rufen bezeichnet. Diese Überprüfung dient beim AVM Access Server der Sicherheit vor unberechtigten Zugriffen und auch der Identifizierung des Benutzers, wenn die Zuordnung einkommender Rufe anhand der D-Kanal-Rufnummer (CLI) nicht aktiviert ist. Für die Authentisierung stehen die Verfahren PAP und CHAP zur Verfügung. Im AVM Access Server kann für jedes Ziel festgelegt werden, ob und mit welchem Verfahren sich die Gegenstelle beim AVM Access Server identifizieren muss („Anmeldung auf lokaler Seite“). Für jedes Verfahren müssen ein Name und ein Passwort konfiguriert werden, die der Gegenseite mitgeteilt werden. Falls die Gegenseite eine Authentisierung des Netzwerkes verlangt („Anmeldung bei der Gegenstelle“), können Sie dafür in der Zielkonfiguration und in den den Einstellungen für Benutzergruppen Name und Kennwort eingeben. Diese Angaben werden Ihnen von der Gegenseite mitgeteilt.

B-Kanal

Ein ISDN-Basisanschluss besteht aus zwei B-Kanälen und einem D-Kanal, ein ISDN-Primärmultiplexanschluss aus 30 B-Kanälen und einem D-Kanal. Über die B-Kanäle werden die Daten übertragen. Sie ermöglichen eine Übertragung mit 64 KBit/s pro B-Kanal. Um die Übertragung zu beschleunigen, können im AVM Access Server bis zu 30 B-Kanäle gebündelt werden.

CAPI, siehe „COMMON-ISDN-API (CAPI)“ auf Seite 133

CHAP (Challenge Handshake Authentication Protocol)

Eines der beiden Protokolle für die Authentisierung. Zur Authentisierung muss auf der Seite, die die Authentisierung verlangt, ein Name und ein Kennwort für die Gegenseite konfiguriert werden. Die Gegen-

seite muss diesen Namen und das Kennwort in ihrer Konfiguration eingetragen haben. Bei der Authentisierung mit CHAP generiert die Seite, die die Identifizierung verlangt, aus dem Namen und einem Zufallswert nach einem festgelegten Algorithmus eine Meldung, die zur Gegenseite geschickt wird. Diese generiert aus der Meldung und dem Passwort – ebenfalls nach einem festgelegten Algorithmus – einen neuen Wert, der zurückgesendet wird. Die andere Seite wiederum prüft nun, ob der von ihr berechnete Wert aus ursprünglicher Meldung und Passwort mit dem übereinstimmt, was die Gegenseite zurückgesendet hat. Ist dies der Fall, wird die Verbindung aufgebaut. Der Vorteil dieser Methode ist, dass niemals das Kennwort selbst übermittelt wird. Daher wird das CHAP-Verfahren als sicher angesehen. CHAP ist in RFC 1334 und RFC 1994 beschrieben.

Übermittlung der Rufnummer über den ISDN-D-Kanal. CLIP ist ein Leistungsmerkmal im ISDN, das vom AVM Access Server beispielsweise zur Identifizierung einkommender Rufe und zum Schutz vor unberechtigten Zugriffen verwendet wird. Dieses Leistungsmerkmal muss durch den ISDN-Anbieter auf der anrufenden Seite freigeschaltet sein. In Deutschland kann man CLIP beispielsweise bei der Beantragung eines ISDN-Anschlusses anmelden.

Client

Ein Client ist ein Computer in einem Netzwerk, der die Dienste eines Servers in Anspruch nimmt, zum Beispiel auf dessen Dateien oder Datenbanken zugreift.

COMMON-ISDN-API (CAPI)

CAPI ist eine standardisierte herstellerunabhängige Schnittstelle zwischen ISDN-PC-Karten und ISDN-Anwendungen. Diese Schnittstelle steht nach der Installation eines AVM ISDN-Controllers im gesamten System zur Verfügung (aktuelle Version 2.0). Aktuelle CAPI-Treiber erhalten Sie kostenlos über den FTP-Server von AVM (ftp://ftp.avm.de). Der AVM Access Server setzt auf der Anwendungsschnittstelle von CAPI 2.0 auf.

D-Kanal

Der D-Kanal dient zur Übertragung von Steuerungsinformationen wie beispielsweise die Art des benutzten ISDN-Dienstes oder die Rufnummer des Kommunikationspartners. Die Bandbreite beträgt 16 KBit/s

beim Basisanschluss und 64 KBit/s beim Primärmultiplexanschluss. Über den D-Kanal können im ISDN Gebühreninformationen (AOCD) und die Rufnummer der anrufenden Seite (CLIP) übertragen werden. Die Leistungsmerkmale CLIP und AOCD müssen in Deutschland separat beantragt werden.

DNS (Domain Name Service)

Der Domain Name Service ist ein Adresskonvertierungsdienst, der in TCP/IP-Netzen wie dem Internet die Zuordnung der numerischen Version einer IP-Adresse zur lesbaren Klartextform verwaltet. Er konvertiert die Namen von Servern in ein numerisches Adressformat.

Da die Vergabe und Eingabe von numerischen IP-Adressen recht umständlich ist, werden beim Zugriff auf einen Computer im Internet Klartextnamen wie zum Beispiel „www.avm.de“ verwendet. Wer aber weiß schon, welche IP-Adresse sich hinter „www.avm.de“ verbirgt? Diese Zuordnung von Klartextnamen zu numerischen IP-Adressen sowie die Weiterleitung zu den entsprechenden Computern übernimmt ein DNS-Server. Durch Anfrage bei diesem Server kann ein anderer Computer im Internet, der nur den symbolischen Namen ihres Ziels (beispielsweise www.avm.de) kennt, die zugehörige IP-Adresse erfahren.

DSL (Digital Subscriber Line), siehe „ADSL (Asymmetric Digital Subscriber Line)“ auf Seite 131

Domäne

Eine Domäne ist eine logische Gruppierung von Netzwerk-Servern und anderen Rechnern, die über gemeinsame Sicherheitsmerkmale und Informationen der Benutzerkonten verfügen. Innerhalb der Domänen wird von den Administratoren je Benutzer ein Benutzerkonto erstellt. Die Benutzer melden sich dann nicht am Server in der Domäne, sondern an der Domäne selbst an.

Die Bezeichnung Domäne bezieht sich nicht auf einen bestimmten Ort oder eine besondere Art der Netzwerkkonfiguration. Die Standorte von Computern einer einzelnen Domäne können physisch nahe beieinander, wie in einem lokalen Netzwerk (LAN), oder aber auch weit voneinander entfernt über die ganze Welt verteilt sein. Die Kommunikation ist hierbei über jegliche Art der physischen Verbindung möglich, wie beispielsweise über Einwählverbindungen, ISDN, ADSL, Glasfaserkabel, Ethernet, Token Ring, Frame Relay, Satellit und Standleitungen (vgl. Microsoft Corporation, „Microsoft Windows NT Server Version 4 – Netzwerk“, siehe auch „Weiterführende Literatur“ auf Seite 130).

Domänen-Controller

In Windows-Netzwerken können Konteninformationen von Servern gemeinsam genutzt werden, falls sie in einer oder in mehreren Domänen zusammengefasst sind. Auf einem Server der Domäne, dem DC (Domänen-Controller), werden sämtliche Konten gespeichert.

Die Organisation in Domänen ermöglicht den Benutzern, alle Ressourcen der Domäne mit einem einzigen Benutzernamen und Kennwort zu erreichen. Die Benutzerkontenverwaltung in einer Domäne wird damit vereinfacht, weil Änderungen nur auf dem Domänen-Controller vorgenommen werden müssen.

DSS1

Europaweit standardisiertes D-Kanal-Protokoll. Alle neueren ISDN-Anschlüsse in Deutschland verwenden DSS1.

Dynamic DNS

Dynamic DNS ist ein Dienst im Internet, der von freien und auch kommerziellen Anbietern betrieben wird. Mit Dynamic DNS ist ein Server auch bei wechselnder IP-Adresse vom Internet aus über einen festen Domänen-Namen erreichbar. Um den Dienst nutzen zu können, müssen Sie sich bei einem Dynamic DNS-Anbieter registrieren und dabei einen Domänen-Namen festlegen. Vom Dynamic DNS-Anbieter bekommen Sie Ihre Zugangsdaten mitgeteilt. Bei jedem physikalischen Aufbau einer Internetverbindung wird dem Dynamic DNS-Anbieter die aktuell gültige IP-Adresse mitgeteilt und mit dem Domänen-Namen verknüpft. Ihr Server ist somit über den Domänen-Namen immer erreichbar.

Wenn Sie mit dem AVM Access Server VPN-Verbindungen nutzen wollen und Ihr Internetanbieter IP-Adressen dynamisch vergibt, dann müssen Sie Dynamic DNS verwenden.

Echtheitsbestätigung, siehe „Authentisierung“ auf Seite 132

Sicherheitsprotokoll innerhalb von IPSec. ESP ermöglicht die Authentisierung des Absenders sowie die Verschlüsselung der Nutzdaten und gewährleistet deren Integrität.

FTP (File Transfer Protocol)

FTP ist ein offenes Protokoll, das heißt es ist unabhängig von Bauweise und Betriebssystem der Computer, auf denen es die Dateiverwaltung und den Datenaustausch regelt. Das FTP setzt unmittelbar auf dem TCP der Schicht 4 des ISO/OSI-Referenzmodells (Transport Layer / Transportschicht) auf. Das Protokoll ist in RFC 959 dokumentiert.

Filterprofile

Mit Filterprofilen werden Pakete überprüft, die beim AVM Access Server ankommen oder ihn verlassen. Gegebenenfalls werden die Pakete aus dem Datenstrom gefiltert und nicht übertragen. Der Einsatz von Filterprofilen kann Verbindungskosten reduzieren und die Sicherheit im lokalen Netzwerk erhöhen:

• Es können Pakete gefiltert werden, die von einigen Anwendungen in Netzwerken ständig ausgetauscht werden und bei WAN-Verbindungen über ISDN zum häufigen und unnötigen Aufbau von Verbindungen führen können.
• Es Pakete können gefiltert werden, deren Ziel-IP-Adresse innerhalb von Subnetzen im lokalen Netzwerk liegen, die von außen nicht zugänglich sein sollen.

Ein Filterprofil besteht aus einer oder mehreren Filterregeln und einer Standardaktion. Eine Filterregel enthält mehrere Bedingungen und eine Aktion. Wenn ein IP-Paket alle Bedingungen einer Regel erfüllt, dann trifft die Filterregel auf das Paket zu und die Aktion wird auf das Paket angewendet. Wenn es für ein IP-Paket innerhalb eines Filterprofils keine Regel gibt, die auf das Paket zutrifft, dann wird die im Filterprofil enthaltene Standardaktion auf das IP-Paket angewendet.

Der AVM Access Server enthält einige vordefinierte Filterprofile, Sie können jedoch auch eigene Filterprofile definieren.

Die Filtermechanismen werden nicht mit der Gegenstelle ausgehandelt, sondern im AVM Access Server gesetzt. Informationen zu den im AVM Access Server vordefinierten Filtern erhalten Sie im Abschnitt „Filter“ auf Seite 68.

Firewall

Die Firewall-Filter des AVM Access Servers dienen zum Schutz vor unerlaubtem Eindringen in das Netzwerk sowie zur Selektion der Daten und Dienste, die für den Zugriff von außen bereitgestellt werden.

Für die Implementierung von Firewalls gibt es verschiedene Mechanismen. Im AVM Access Server wird die Firewall durch mehrstufige Paketfilter und Network Address Translation realisiert: Der AVM Access Server überprüft bei jedem ein- und ausgehendem Datenpaket, ob es dem Sicherheitsregelwerk entspricht. Prüfkriterien sind Quell- und Zieladresse des Pakets (Netzwerkadresse und Maske), das IP-Protokoll (TCP, UDP, GRE, ESP, AH, ICMP) sowie der Dienst (z.B. FTP, DNS). Die Sicherheitsregeln werden in globalen und zielgebundenen IP-Filtern gespeichert. Die Regeln entscheiden darüber, welche Aktion bei einem Paket durchgeführt wird: Paket durchlassen, verwerfen oder mit einer Fehlermeldung zurückweisen.

Siehe auch „IP-Masquerading“ auf Seite 141.

Gebührenprofil

Ein Gebührenprofil enthält Informationen zur Länge der Gebührentakte abhängig von Tarifzeiten und vom Tarifbereich, zum Beispiel City. Jedes Profil besteht aus zwei Listen mit Gebührentakten über einen Zeitraum von 24 Stunden: eine Liste gilt für Werktage (Montag-Freitag), die andere für die Wochenenden und (optional) Feiertage.

Der AVM Access Server verwendet Gebührenprofile zur Steuerung des physikalischen Abbaus ungenutzter ISDN-Verbindungen. Wird in der Ziel- oder Benutzerkonfiguration für den physikalischen Abbau ein Gebührenprofil ausgewählt, wird die Verbindung drei Sekunden vor Ende des Gebührentaktes abgebaut, wenn vorher drei Sekunden lang keine Daten übertragen wurden. Auf diese Weise wird der Gebührentakt optimal ausgenutzt. Das ausgewählte Gebührenprofil wird außerdem zur Abschätzung der angefallenen Gebühren verwendet. Die vom AVM Access Server auf dieser Grundlage berechneten Gebühren werden dann mit dem zielbezogenen oder benutzerbezogenen Budget und dem Budgetwert der globalen Schwellenwerte verglichen. Auf diese Weise werden unerwartet hohe ISDN-Kosten vermieden.

Hash-Funktion

Eine Hash-Funktion ist ein Algorithmus, der Eingabedaten in eine kürzere Form, den Hash-Wert oder „Digest“, bringt. One-Way-Hash-Algorithmen werden als kryptographische Verfahren bei der Authentisierung und beim Erzeugen digitaler Unterschriften angewendet.

●One-Way-Hash-Algorithm

– Die Eingabedaten können beliebig lang sein.

– Die Ausgabe ist in der Regel von konstanter Länge.
– Aus dem Ausgabewert kann der Eingabewert nicht mehr rekonstruiert werden.
- Der Algorithmus muss hinreichend kollisionsfrei sein, das heißt, die Wahrscheinlichkeit, dass zwei verschiedene Eingabewerte denselben Ausgabewert liefern, ist gering.

●Keyed-Hash-Funktionen

Keyed-Hash-Funktionen sind One-Way-Hash-Algorithmen, die zusätzlich zum Eingabewert noch einen Schlüssel in die Berechnung einbeziehen. Keyed-Hash-Funktionen eignen sich somit zur Erzeugung von Message Authentication Codes (MAC). Nur wer den Schlüssel kennt, kann den richtigen MAC erzeugen. Die Hash-Funktion wird dadurch noch kollisionssicherer.

Ein Übertragungsprotokoll für Datenpakete über serielle Leitungen nach ISO. Es handelt sich bei diesem Protokoll um einen strukturierten Satz von Standards, der die Mittel festlegt, mit denen ungleiche Geräte über Datennetze miteinander kommunizieren können. HDLC ist ein bitorientiertes und damit code-unabhängiges Sicherungsprotokoll für Punkt-zu-Punkt-Verbindungen und Mehrpunktverbindungen. HDLC ist von der ITU-T standardisiert (ITU = International Telecommunication Union; ITU-T = ITU Telecommunication Standardization Sector). In HDLC sind bestimmte Frames festgelegt, in denen die Datenblöcke aus der Vermittlungsschicht eingebettet und über die physikalischen Verbindungen übertragen werden. Nach DIN 66 221 besteht ein HDLC-Rahmen aus der Blockbegrenzung (Flag), dem Adressfeld, dem Steuerfeld, dem Datenfeld, dem Blockprüffeld (FCS) und einer abschließenden Blockbegrenzung. HDLC benutzt Duplex-Betrieb und bietet die Quittierung von mehreren Blöcken, in der Regel acht. Die Zusammenfassung von acht Blöcken zu einer Quittierungseinheit wird Fenster (Window) genannt.

Header

Jedes Datenpaket enthält einen Header, der Informationen über Absenderadresse-, Zieladresse und verwendetes Protokoll angibt. Um die Übertragungsgeschwindigkeiten bei der ISDN-Datenübertragung zu erhöhen und damit Kosten zu sparen, können Header komprimiert werden.

HMAC (Keyed-Hash Message Authentication Code)

Message Authentication Code (MAC), der mit einer Keyed-Hash-Funktion erzeugt wird. Es kann eine beliebige Hash-Funktion verwendet werden. Alle Funktionen der Authentisierung in IPSec basieren auf HMAC.

ICMP (Internet Control Message Protocol)

ICMP befindet sich auf Schicht 3 des OSI-Referenzmodells, und damit auf derselben Ebene wie IP (Network Layer / Vermittlungsschicht). Es setzt auf dem Internet Protocol (IP) auf und wird von IP behandelt, als sei es ein Protokoll einer höheren Schicht.

ICMP ist Bestandteil jeder IP-Implementierung und hat in seiner Eigenschaft als Transportprotokoll nur die Aufgabe, Fehler- und Diagnoseinformationen für IP zu transportieren, zum Beispiel Informationen über Routen und Zieladressen. Ein Beispiel für einen weitverbreiteten Dienst auf der Basis von ICMP ist Ping.

IKE (Internet Key Exchange)

Protokoll, das als Teil von IPSec für die Aushandlung der Verbindungsparameter zuständig ist. IKE ist als RFC 2490 veröffentlicht.

IP (Internet Protocol)

Innerhalb der TCP/IP-Protokollfamilie ist IP für die Weiterleitung von Daten zuständig. Es hat generell die Aufgabe, die Datenübertragung zwischen verschiedenen Netzwerken sicherzustellen. Zu den Aufgaben von IP zählen:

• Datenpaketdienst
  ●Fragmentierung von Datenpaketen
  ●Wahl der Übertragungsparameter
• Adressfunktion
  ●Routing zwischen Netzwerken
• Spezifikation höherer Protokolle

IP stellt keine gesicherte Verbindung zur Verfügung (keine Ende-zu-Ende-Kontrolle), es verlässt sich in dieser Hinsicht auf die Protokolle der höheren Schichten. Es kann keine verlorenen oder abgelehnten Datenpakete neu generieren und erneut übertragen. Es ist auch nicht seine

Aufgabe, Datenpakete in der richtigen Reihenfolge beim Empfänger abzuliefern. Dies fällt in den Zuständigkeitsbereich der Transportschicht (Schicht 4) des OSI-Referenzmodells.

IP setzt direkt auf Schicht 2 des OSI-Referenzmodells (Data Link Layer / Sicherungsschicht) auf. Das Protokoll ist in RFC 791 beschrieben.

IP-Adresse

Die IP-Adressierung ist fester Bestandteil des Internet Protocols (IP). Eine IP-Adresse besteht aus vier Bytes. Die Darstellung der IP-Adressen erfolgt in dezimaler, oktaler oder hexadezimaler Schreibweise. Der AVM Access Server verwendet die dezimale Schreibweise, bei der die einzelnen Bytes durch Punkte voneinander getrennt werden. Die Gesamtmenge der IP-Adressen – der Adressraum – wird in Klassen (A, B, C, D und E) getrennt. Von den fünf Adressklassen werden nur die ersten drei Klassen genutzt. Diese Klassen sind durch folgende Merkmale gekennzeichnet:

Merkmale der IP-Adressklassen

Jede IP-Adresse enthält zwei Informationen: die Netzwerkadresse und die Computeradresse. Die Bereichsgrößen der Netzwerkadresse und der Computeradresse sind variabel, sie werden durch die ersten vier Bits (des ersten Byte) einer IP-Adresse bestimmt.

- Klasse-A-Adressen bestehen aus einem Byte Netzwerkadresse und drei Byte Computeradresse:

graph TD
    A["X..."] --> B["Rectangle"]
    B --> C["Rechneradresse"]
    style A fill:#f9f,stroke:#333
    style B fill:#ccf,stroke:#333
    style C fill:#cfc,stroke:#333

Klasse-A-Adresse

Beispiel: 88.120.5.120 (88 definiert die Netzwerkadresse, 120.5.120 die Computeradresse).

- Klasse-B-Adressen bestehen aus zwei Byte Netzwerkadresse und zwei Byte Computeradresse:

graph TD
    A["X.X."] --> B["Netzwerkadresse"]
    A --> C["Rechneradresse"]

Klasse-B-Adresse

Beispiel: 130.6.2.130 (130.6 ist die Netzwerkadresse, 2.130 ist die Computeradresse).

- Klasse-C-Adressen bestehen aus drei Byte Netzwerkadresse und einem Byte Computeradresse:

graph TD
    A["X.X.X."] --> B["Rechneradresse"]
    B --> C["Netzwerkadresse"]

Klasse-C-Adresse

Beispiel: 195.15.15.1 (195.15.15 ist die Netzwerkadresse, 1 ist die Computeradresse).

RFC 1918 (Address Allocation for Private Internets) beschreibt folgende Blöcke des IP-Adressraums als geeignet für private LANs:

$$ \begin{array}{l} 1 0. 0. 0. 0 - 1 0. 2 5 5. 2 5 5. 2 5 5 (1 0 / 8 \text { prefix }) \ 1 7 2. 1 6. 0. 0 - 1 7 2. 3 1. 2 5 5. 2 5 5 (1 7 2. 1 6 / 1 2 \text { prefix }) \ 1 9 2. 1 6 8. 0. 0 - 1 9 2. 1 6 8. 2 5 5. 2 5 5 (1 9 2. 1 6 8 / 1 6 \text { prefix }) \ \end{array} $$

IP-Maske, siehe „Subnetzmasken (Masken)“ auf Seite 147

IP-Masquerading

Ein Netz, eine IP-Adresse: Mit IP-Masquerading reicht eine „offizielle“ IP-Adresse für die Kommunikation zwischen privatem LAN und dem öffentlichen Internet aus. Der AVM Access Server bearbeitet die IP-Adressen in den TCP-, UDP- und ICMP-Paketen so, dass effektiv zum Internet hin nur eine IP-Adresse sichtbar ist. Also können diese Hosts eines privaten LAN interne („inoffizielle“) IP-Adressen für die Kommunikation mit dem Internet nutzen. Die Abschirmung eines in dieser Weise geschützten Systems zu durchbrechen ist beträchtlich schwieriger, als eine gute Paket-Filter-basierende Firewall zu überwinden.

Siehe auch „NAT (Network Address Translation)“ auf Seite 143.

IPSec (Internet Protocol Security)

Sicherheitsstandard für die Netzwerkschicht in der Netzwerk-Kommunikation. IPSec eignet sich sehr gut für VPN-Verbindungen und den LAN-Zugriff entfernter Benutzer über DFÜ-Netze. IPSec verwendet die beiden Sicherheitsprotokolle Authentication Header (AH) und Encapsulating Security Payload (ESP). AH ermöglicht die Authentisierung des Absenders; ESP ermöglicht sowohl Authentisierung als auch Verschlüsselung. Die spezifischen Informationen des Sicherheitsprotokolls stehen in einem Header, der an den IP-Header angehängt wird.

Keep-Alive-Pakete

Keep-Alive-Pakete werden periodisch im gesamten Netzwerk ausgesendet, um zu überprüfen, ob beispielsweise ein Client noch aktiv ist. Erhält die sendende Station keine Antwort, unterbricht sie die logische Verbindung.

Ein LAN ist ein räumlich begrenztes Netzwerk von Computern, wie beispielweise das Kommunikationsnetz eines Unternehmens oder einer Behörde. Entfernte Computer können sich über ISDN, ADSL, GSM oder VPN und der entsprechenden Software (z.B. AVM Access Server) in den Remote Access Server eines LANs einwählen.

Logische ISDN-Verbindung

Als logische ISDN-Verbindung wird der Zustand bezeichnet, in dem sich eine Verbindung für beide beteiligten Gegenstellen als aktive ISDN-Verbindung darstellt. Während der logischen ISDN-Verbindung muss nicht permanent ein B-Kanal aufgebaut sein. Beim AVM Access Server sind während der gesamten Dauer der logischen ISDN-Verbindung alle Informationen bekannt, die beim ersten Verbindungsaufbau zwischen den beiden Seiten ausgehandelt wurden. Dazu gehören das verwendete Netzwerkprotokoll, ob und auf welche Weise eine Authentisierung durchgeführt wird, Spoofingmechanismen und Kanalbündelung. Ist kein B-Kanal aktiv und es stehen Daten zur Übertagung an, kann sofort ein B-Kanal aufgebaut werden.

Internetverbindungen kennen keine logischen ISDN-Verbindungen, da dieser Zustand von den Internetanbietern nicht unterstützt wird.

Logische Netzwerkverbindung

Die logische Netzwerkverbindung bezeichnet die Verbindung zwischen zwei LANs oder einem LAN und einem Client auf Netzwerkprotokoll-Ebene. Solange eine logische Netzwerkverbindung besteht, ist die Gegenseite dem Router bekannt.

Metrik

Mit dem Wert für die Metrik wird eine Gewichtung von Routen vorgenommen. Wenn mehrere Routen zu einem Ziel definiert und verfügbar sind, wählt der AVM Access Server die Route mit dem niedrigsten Metrik-Wert, da diese als „beste Route“ eingestuft wurde.

MSN (Multiple Subscriber Number = Mehrfachrufnummer)

Mehrfachrufnummern dienen im Euro-ISDN (D-Kanal-Protokoll DSS1) zur Unterscheidung von mehreren Endgeräten an demselben S_o -Bus oder mehreren CAPI-Anwendungen auf demselben Rechner.

Im Bereich der Deutschen Telekom AG werden einem ISDN-Standardanschluss drei MSNs Mehrfachrufnummern zugewiesen.

NetBIOS (Network Basic Input/Output System)

Standard für die Unterstützung der Netzwerkkommunikation, der unabhängig von den jeweiligen Transporttypen ist. NetBIOS ist die Standardschnittstelle in Microsoft-Netzwerken und kann sowohl über IP als auch IPX transportiert werden. NetBIOS versendet zahlreiche Broadcasts (Rundsendungen), die mit Hilfe der speziellen Filter des AVM Access Servers abgefangen werden können, um die Verbindungskosten zu reduzieren.

NAT ist ein Verfahren, bei dem IP-Adressen und Ports in den Headern der IP-Pakete mit anderen als den ursprünglichen Werten überschrieben werden. Der AVM Access Server führt bei NAT eine Tabelle, die eine feste Zuordnung der ursprünglichen Werte von IP-Adresse und Port auf die neuen Werte herstellt. Bei einkommenden Verbindungen, die ein Weiterleitungsprofil benutzen, ist diese Tabelle statisch. Bei ausgehne- den Verbindungen, die IP-Masquerading benutzen, ist sie dynamisch.

IP-Masquerading und Weiterleitungsprofile sind spezielle Formen von NAT.

Beim IP-Masquerading werden die Absender-IP-Adressen in den TCP-, UDP- und ICMP-Paketen mit der aktuellen, öffentlichen IP-Adresse des AVM Access Servers überschrieben. Die aus dem Internet ankommen- den Antwortpakete für diese Verbindung werden dann wieder an die ursprüngliche IP-Adresse des Clients im LAN weitergeleitet. Auf diese Weise kann das LAN hinter einer einzigen öffentlichen IP-Adresse ver- steckt werden. IP-Masquerading wird auch als Source NAT bezeichnet.

Mit Hilfe von Weiterleitungsprofilen wird in ankommenden Paketen die Ziel-IP-Adresse, also die öffentliche, nach außen hin sichtbare IP-Adresse des AVM Access Servers, mit einer internen IP-Adresse überschrieben. Somit können beispielsweise einkommende E-Mails (SMTP) vom AVM Access Server auf definierte Hosts im privaten LAN weitergeleitet werden, auch wenn die Verbindung ins Internet über eine dynamische, vom Internetanbieter zugewiesene IP-Adresse benutzt wird. Weiterleitungsprofile werden auch als Destination NAT bezeichnet.

Netzwerkadresse, siehe „IP-Adresse“ auf Seite 140

Eines der beiden Protokolle für die Authentisierung. Auf der Seite, die die Authentisierung verlangt, müssen ein Name und ein Passwort für die Gegenseite konfiguriert werden. Die Gegenseite muss diesen Namen und das Passwort in ihren Einstellungen eingetragen haben. Bei der Authentisierung mit PAP werden der Name und das Passwort im Klartext übertragen, und die Gegenseite prüft, ob diese mit den eigenen Einstellungen übereinstimmen. Ist dies der Fall, wird die Verbindung aufgebaut. Da PAP das Kennwort im Klartext überträgt, sollte PAP nur dann zum Einsatz kommen, wenn die Gegenstelle nicht das deutlich sicherere CHAP beherrscht.

Physikalische ISDN-Verbindung

Bei der physikalischen ISDN-Verbindung sind tatsächlich ein oder sind mehrere B-Kanäle aufgebaut, und es entstehen Verbindungsgebühren. Die physikalische ISDN-Verbindung baut immer auf der logischen ISDN-Verbindung auf, d.h., die ausgehandelten Verbindungsparameter werden verwendet.

Programm zum Testen, ob ein Host erreicht werden kann. Das Programm schickt eine ICMP-Anfrage an einen IP-Host und wartet auf eine entsprechende Antwort. Mit Hilfe der Option „-w“ nach dem Befehl

„ping“ können Sie festlegen, wie viele Millisekunden das Programm auf eine Antwort warten soll (Timeout). Da der Verbindungsaufbau über ISDN und die Aushandlung der Gegenstelle einige Sekunden dauern kann, sollten Sie bei einem Ping über ISDN als Timeout 5000 angeben.

PPP, siehe „PPP over ISDN (Point-to-Point-Protocol)“ auf Seite 145

PPP over ISDN (Point-to-Point-Protocol)

Übertragungsprotokoll auf verbindungsorientierten Netzen wie zum Beispiel ISDN, das eine protokollunabhängige Übertragung auf der ISO/OSI Schicht 2 zur Verfügung stellt. Das Protokoll besteht aus einer Reihe von Standards und Unterprotokollen. Diese beschreiben für verschiedene Netze den Aufbau der übertragenen Daten. Dadurch soll gewährleistet werden, dass die Kommunikationsgeräte verschiedener Hersteller einheitliche Verfahren zur Kommunikation verwenden. PPP over ISDN ist in RFC 1618 beschrieben.

Port

Innerhalb von TCP- und UDP-Verbindungen dienen Ports der Unterscheidung von Verbindungen. Wenn auf einem Computer mehr als eine Verbindung offen ist, reicht die IP-Adresse alleine nicht aus, um Antworten, die ankommen, der richtigen Verbindung zuzuordnen. Bei ausgehenden Anforderungen oder Antworten vergibt das Betriebssystem die Portnummern fortlaufend. Im IP-Masquerading-Modul von AVM Access Server werden die Portnummern den Verbindungen zugeordnet.

Well-known-Ports sind Portnummern, die von der IANA (Internet Assigned Numbers Authority) bestimmten Diensten und Anwendungen zugeordnet wurden. Well-known-Ports sind aus dem Bereich von o bis 1023.

Proxy ARP

Proxy ARP ist kein Protokoll, sondern eine Erweiterung des AVM Access Servers, die ARP-Anfragen mit Hilfe der aktuell gültigen Routing-Tabelle beantwortet. Der AVM Access Server beantwortet dann ARP-Anfragen anstelle der per ISDN angeschlossenen Stationen. Dadurch können per ISDN an ein LAN angebundene entfernte Benutzer oder kleine Netze denselben IP-Adressbereich nutzen, der auf dem LAN-Strang des AVM Access Server gültig ist. Dies verringert den Konfigurationsaufwand.

Standard-Dienst auf der Basis von IP zur Authentisierung und Erfassung von Accounting-Daten (Kosten-/Nutzungsdaten) für einwählende Benutzer. Bei der Einwahl eines entfernten Benutzers leitet der AVM Access Server eine Anfrage mit Benutzernamen und Passwort des Benutzers an den RADIUS-Server weiter. Dieser führt die Authentisierung durch und sendet die Bestätigung sowie eine Reihe von Konfigurationsinformationen (z.B. IP-Adresse für den Benutzer) zurück. Das RADIUS-Protokoll ist in RFC 2058, das RADIUS-Accounting in RFC 2139 definiert.

RIP (Routing Information Protocol)

Das Routing Information Protocol (RIP) dient zum Austausch von Routing-Informationen zwischen Netzwerken (IP und IPX). Ein RIP-Router ist ein Computer oder eine andere Hardware-Komponente, die Routing-Informationen (wie z.B. Netzwerkadressen) überträgt und IP-Rahmen in verbundenen Netzwerken weiterleitet. RIP ermöglicht einem Router, Routing-Informationen mit Routern in der Netzwerkumgebung auszutauschen. Wenn ein Router irgendeine Veränderung in der Struktur des Netzwerkverbundes erkennt (z.B. einen nichtverfügbaren Router), leitet er die Informationen an die Router in der Netzwerkumgebung weiter. Router versenden außerdem regelmäßig RIP-Rundsendungspakete mit allen Routing-Informationen, über die der Router verfügt. Durch diese Übertragungen werden alle Router des Netzwerkverbundes synchronisiert.

Route

Eine Route beschreibt den Weg, den ein Datenpaket zurücklegen muss, um sein Ziel zu erreichen. Beim Empfänger der Datenpakete muss eine Rückroute definiert sein, damit die Antwortpakete an den Absender geschickt werden können.

Short-Hold-Modus

Unter Short-Hold-Modus versteht man den physikalischen Abbau inaktiver ISDN-Verbindungen nach einer festgelegten Zeitspanne. Für physikalisch aktive ISDN-Verbindungen (B-Kanal belegt) fallen Gebühren an, egal, ob gerade Daten übertragen werden oder nicht. Da der Verbindungsaufbau über ISDN sehr schnell ist (1 bis 2 Sekunden), bietet es sich an, die physikalische ISDN-Verbindung abzubauen, wenn längere Zeit keine Daten mehr über die Leitung gehen. Die logische ISDN-Verbindung bleibt je nach Konfiguration bestehen. Sobald dann Daten zur

Übertragung anstehen, wird die physikalische Verbindung unterlagert wieder aufgebaut. Dies geschieht für den Anwender im Netzwerk transparent.

SMTP (Simple Mail Transfer Protocol)

SMTP ist ein Standardprotokoll zum Austausch von elektronischer Post (E-Mail) zwischen verschiedenen Computern. SMTP setzt unmittelbar auf TCP Port 25 auf. Es ist einfach strukturiert und unterstützt nur den Versand von E-Mail über ein Datennetz. Das Protokoll wurde in RFC 821 definiert.

Spoofing

Englisch „to spoof“ = verballhornen, hier im Sinne von vorgaukeln.

Erfahrungsgemäß tauschen einige Anwendungen in Netzwerken ständig Pakete aus, die bei WAN-Verbindungen über ISDN zu häufigem und unnötigem Aufbau von Verbindungen führen können. Manche Paketty-pen, vor allem vor allem die der Windows Datei- und Druckerfreigabe, verlangen eine Bestätigung der Gegenseite und dürfen deshalb vom AVM Access Server nicht einfach aus dem Datenstrom herausgefiltert werden, da sonst die Anwendung nicht mehr am Server angemeldet ist.

Unter Spoofing versteht man das lokale Beantworten von Paketen durch einen Router. Besteht eine physikalische ISDN-Verbindung, werden solche Pakete über die ISDN-Leitung geschickt. Sobald die physikalische Verbindung durch den Inactivity Timeout (Zeitspanne bis zum physikalischen Verbindungsabbau) abgebaut worden ist und die logische ISDN-Verbindung noch besteht, beantwortet der Client lokal die Pakete und täuscht somit die Existenz einer physikalischen Verbindung zur Gegenseite vor. Nachdem die physikalische ISDN-Verbindung durch Datenpakete wieder aufgebaut wurde, wird das Spoofing eingestellt und es werden beispielsweise Watchdog-Pakete wieder über ISDN übertragen.

Die verwendeten Spoofing-Mechanismen werden beim Verbindungsaufbau mit der Gegenstelle nach PSCP Draft ausgehandelt. Unterstützt die Gegenstelle kein Spoofing, wird diese Funktion deaktiviert.

Subnetzmasken (Masken)

Durch die Verwendung von Subnetzmasken kann der „Rechnerteil“ einer Adressklasse in einen Subnetzteil umgewandelt werden. Dieser unterscheidet sich dann nicht in der Behandlung durch andere Rechner

oder Router. Die Subnetzmaske gibt an, welche Bereiche als Subnetz- und welche als Rechneradresse interpretiert werden. So wird beispielsweise eine Klasse-A-Adresse mit einer Standard-Subnetzmaske von 8 (255.0.0.0), durch die Subnetzmaske 16 (255.255.0.0) zu einer quasi

Klasse-B-Adresse und durch die Subnetzmaske 24 (255.255.255.0) zu einer quasi Klasse-C-Adresse. Eine einzelne IP-Adresse wird mit der Maske 255.255.255.255 bzw. /32 beschrieben.

Die folgende Tabelle gibt einen Überblick über diese Umsetzung:

Subnetzmasken im AVM Access Server

TCP ist für den Einsatz über paketvermittelten Netzwerken geeignet. Es setzt unmittelbar auf dem Internet Protocol (IP) auf und bietet virtuelle Verbindungsdienste zur gesicherten Übertragung der Anwenderdaten in der richtigen Reihenfolge. Es gewährleistet eine zuverlässige Verbindung zwischen zwei Kommunikationspartnern. TCP ist als RFC 793 veröffentlicht.

TCP/IP-Adresse, siehe „IP-Adresse“ auf Seite 140

Tunneling-Technik

Ein Verfahren, bei dem Datenpakete des einen Protokolls mit Hilfe eines anderen Protokolls übertragen werden. Zwischen den Endpunkten wird eine virtuelle Verbindung aufgebaut, die man Tunnel nennt. Die Daten des einen Protokolls werden am Tunnelanfang in die Datenpakte des zweiten Protokolls verpackt. Am Ende des Tunnels werden sie wieder entpackt.

VPN (Virtual Private Network)

Internationale Bezeichnung für geschlossene logische Datenetze auf der Basis virtueller Verbindungen.

Unter einem virtuellen privaten Netz versteht man ein firmen- oder institutionseigenes Netz von größerer Ausdehnung, das auf die vorhandenen Strukturen eines öffentlich zugänglichen Netzes aufsetzt.

Virtuelle private Netze nutzen die Tunneling-Technik, ein Verfahren, bei dem Datenpakete des einen Protokolls mit Hilfe eines anderen Protokolls übertragen werden. Siehe auch „Tunneling-Technik“ auf Seite 151.

UDP (User Datagram Protocol)

Dieses Protokoll ist auf Schicht 4 des OSI-Referenzmodells (Transport Layer / Layer/Transportschicht) beheimatet und bietet den höheren Protokollen einen definierten Dienst zum transaktionsorientierten Versand von Datenpaketen. UDP verfügt nur über minimale Protokollmechanismen zur Datenübertragung zwischen Kommunikationspartnern. Da es – anders als TCP – keine Ende-zu-Ende-Kontrolle garantiert, sind weder Ablieferung eines Datenpakets beim Empfänger, das Erkennen von Duplikaten noch die reihenfolgerichtige Übermittlung der Datenpakete gewährleistet. UDP ist im RFC 768 definiert.

Weiterleitungsprofil

Weiterleitungsprofile dienen dazu, für Ziele mit aktiviertem IP-Masquerading den Zugriff auf einzelne Server im lokalen Netz zu ermöglichen, z.B. Web-Server, E-Mail-Server oder FTP-Server. Ein Weiterleitungsprofil besteht aus einem Set von Weiterleitungsregeln. Die Weiterleitungsregeln legen fest, welche IP-Pakete zu welchen Servern im lokalen Netz weitergeleitet werden.

Bei Internetverbindungen wird im AVM Access Server grundsätzlich IP-Masquerading verwendet. Wenn Sie den Zugriff aus dem Internet auf einzelne Server in Ihrem LAN erlauben wollen, dann müssen Sie ein Weiterleitungsprofil einsetzen.

Siehe auch „NAT (Network Address Translation)“ auf Seite 143.

Ziele

Der Begriff „Ziel“ wird als Sammelbegriff für Internetverbindungen und die Verbindung zu entfernten Netzwerken benutzt.

Index

A

Abbauen, Verbindung 37

Aktive IP-Routen 40

Anlagenanschluss 9

Aufbauen, Verbindung 37

Aushandlungen 99

AVM Access Server

Einsatzmöglichkeiten 7

AVM-Support

Support per Telefon 130

B

Benutzeroberfläche 30

Konfigurationsansicht 34

Menüs 31

Monitoring-Ansicht 36

Symbolleiste 33

B-Kanal-Reservierung 88

C

CAPI 2.0-Anwendungen 13

COSO (Charge One Site Only). Siehe Kostenübernahme

D

Datenbanken 44

Datenbankverwaltung 44

Datenkompression 10

DDI. Siehe Nachwahlziffer (DDI)

Deinstallation 29

Dokumentationen 126

Downloads 127

DSL 8

Dynamic DNS 105

Dynamisches Routing 88

E

Ereignisse 40

F

Filter 68

Firewall 68

Forward-Filter 69

Globaler Input-Filter 69

Globaler Output-Filter 69

IP-Filter 68

IP-Filterprofile 72

Protokollierung 70

Zielgebundener Input-Filter 69

Zielgebundener Output-Filter 69

Firewall 68

Firmware 127

G

Garantie 2

Glossar 131

GSM 9

H

Header-Kompression 10

Hilfe 126

|

Informationen im Internet 126

Installation und Inbetriebnahme 15

Interoperabilität 124

IP-Filter 68

IP-Filterprofile 72

IP-Masquerading 84

Weiterleitungsprofile 85

IP-Routen 40

IPSec 93

Transportprotokolle 97

ISDN

Anlagenanschluss 9

Logische Verbindung 10

Mehrgeräteanschluss 9

Nutzung 8

Physikalische Verbindung 10

K

Kanalbündelung 10

Kompressionsverfahren 104

Konfigurationsansicht 34

Kostenübernahme (COSO) 89

Kundenservice 126

L

Literatur 130

Logische ISDN-Verbindung 10

M

Mehrfachrufnummer 13

Mehrgeräteanschluss 9

Menüs 31

Monitor-Funktionen 36

Ereignisse 40

ISDN B-Kanäle 39

Nutzungsstatistik 41

Paketmitschnitt 43

Routingtabelle 40

Monitoring. Siehe Monitor-Funktionen

Monitoring-Ansicht 36

MSN. Siehe Mehrfachrufnummer

N

Nachwahlziffer (DDI) 13

Netzwerkprotokolle 87

Newsletter 127

NTR.MDB 44

NTRLOG.MDB 44

Nutzungsstatistik 41

P

Paketmitschnitt 43

Physikalische ISDN-Verbindung 10

PPP over ISDN 124

Priorität 89

Produktvarianten 14

Produktversion 37

R

RFCs, unterstützte 124

Routing

dynamisch 88

statisch 88

Routing-Tabellen 87

s

Service 127

Severstatus 37

Statisches Routing 88

Statistikfunktionen 12

Support

per E-Mail 129

per Telefax 129

Symbolleiste 33

T

Transportprotokolle 97

Tunnel 91, 92

U

Updates 127

v

Verbindungen auf-und abbauen 37

Verbindungssteuerung 36, 37

Virtual Private Network (VPN) 90

Aushandlungen 99

IPSec 93

Kompressionsverfahren 104

Protokoll 93

Sicherheit 93

Transportprotokolle 97

Tunnel 91, 92

Zertifikate 101

VPN. Siehe Virtual Private Network (VPN)

W

Weiterleitungsprofile 85

Z

Zeitprofile 89

Zertifikate 101

Ziele

B-Kanal-Reservierung 88

Kostenübernahme (COSO) 89

Priorität 89

Zeitprofile 89