Page 1
Prestige 652H/HW
ADSL-Security-Router mit WLAN-Funktionalität
Kompakthandbuch
Version 3.40
Mai 2003
Page 2
Prestige 652H/HW
Inhaltsverzeichnis
1 Einführung...................................................................................................................................... 2
2 Hardware ........................................................................................................................................ 2
2.1 Anschlüsse der Rückseite.......................................................................................................... 2
2.2 PCMCIA-Karte für drahtloses LAN einsetzen.......................................................................... 4
2.3 Leuchtanzeigen der Vorderseite................................................................................................ 5
3 IP-Adresse Ihres Computers einstellen ........................................................................................ 6
3.1 Windows 2000/NT/XP.............................................................................................................. 6
3.2 IP-Adresse Ihres Computers prüfen bzw. aktualisieren.............................................................8
3.3 Verbindung zum Prestige prüfen............................................................................................... 8
4 Prestige einrichten.......................................................................................................................... 8
4.1 Prestige über den Web Configurator ansprechen ......................................................................8
4.2 Häufig verwendete Befehlsschaltflächen ................................................................................10
4.3 Internet-Zugang mithilfe des Assistenten einrichten............................................................... 10
4.4 Internet-Verbindung prüfen..................................................................................................... 16
5 Erweiterte Einrichtung................................................................................................................ 16
5.1 Drahtloses Netzwerk einrichten............................................................................................... 16
5.2 Sicherheit im drahtlosen Netzwerk einrichten......................................................................... 19
5.3 Übersicht zu NAT (Network Address Translation)................................................................. 20
5.4 SUA-Server einrichten ............................................................................................................ 21
5.5 Übersicht zur Firewall............................................................................................................. 22
5.6 Firewall aktivieren................................................................................................................... 23
5.7 So richten Sie Firewall-Regeln ein..........................................................................................23
5.8 Ursprungs- und Zieladresse einrichten.................................................................................... 27
5.9 VPN-Übersicht........................................................................................................................ 28
5.10 Bildschirm "Übersicht"..........................................................................................................29
5.11 VPN-Regeln einrichten ......................................................................................................... 31
5.12 Sicherheitszuordnungen (SA) einsehen................................................................................. 37
5.13 Übersicht zu UPnP ................................................................................................................37
5.14 UPnP einrichten..................................................................................................................... 38
6 Problemlösung.............................................................................................................................. 39
1
Page 3
Prestige 652H/HW
1 Einführung
Der ADSL-Router Prestige 652H/HW ist die ideale Lösung für kleine Netzwerke, die sich über
ADSL mit dem Internet verbinden. Zu seinen wichtigsten Eigenschaften gehören eine Firewall,
VPN-Unterstützung, Wireless LAN, NAT (Netzwerk-Adressumsetzung), Fernverwaltung und
UPnP. Im Benutzerhandbuch finden Sie weitere Details zu allen Funktionen, die der Prestige
unterstützt.
Um fortzufahren, sollten Sie bereits ein Internet-Benutzerkonto besitzen und folgende
Informationen bereithalten.
INTERNET-BENUTZERKONTO
WAN-IP-Adresse Ihres Gerätes (falls Sie eine erhalten haben): __________________
IP-Adresse des DNS-Servers (falls zutreffend): Erster __________________, Zweiter _________________
VPI (Virtual Path Identifier) - Kennung des virtuellen Pfades: ____________
VCI (Virtual Channel Identifier) - Kennung des virtuellen Kanals ____________
Multiplexing (VC-based/LLC-based):
Encapsulation:
RFC 1483
ENET ENCAP
PPPoA
PPPoE
Gateway-IP-Adresse für Ethernet-Encapsulation: ____________________
Benutzername: ____________ Kennwort: ____________
Dienstname: ____________
Benutzername: ____________ Kennwort: ____________
VC LLC
2 Hardware
2.1 Anschlüsse der Rückseite
2
Page 4
Prestige 652H/HW
Abbildung 1 Hardwareanschlüsse des Prestige
Tabelle 1 Beschreibung der rückseitigen Anschlüsse
BEZEICHNUNG BESCHREIBUNG
1. DSL Verbinden Sie diesen Anschluss mit Ihrem Telefonanschluss (verwenden Sie dazu das
2. LAN 1/DMZ-4 Verbinden Sie diesen Anschluss mit einem Computer bzw. einem externen Hub.
3. POWER Verbinden Sie diesen Anschluss mit dem mitgelieferten Netzteil und einer geeigneten
Nachdem Sie die Kabelverbindungen hergestellt haben, verbinden Sie das Netzteil mit dem Stromnetz und
Die PWR-LED leuchtet auf. Das Gerät führt einen Selbsttest durch (die SYS-LED blinkt). Sobald die LED stetig
leuchtet, ist der Test erfolgreich durchlaufen. Haben Sie ein Gerät korrekt mit einem der Netzwerkanschlüsse
mitgelieferte Telefonkabel).
Verwenden Sie dazu ein Ethernet-Kabel. Verbinden Sie den DMZ-Anschluss mit
Servern, die von außerhalb Ihres eigenen Netzwerks sichtbar sein sollen.
Steckdose (siehe auch das Benutzerhandbuch).
betätigen den Ein-Ausschalter, um das Gerät einzuschalten.
verbunden, leuchtet die entsprechende LAN-LED auf.
3
Page 5
Prestige 652H/HW
Tabelle 1 Beschreibung der rückseitigen Anschlüsse
BEZEICHNUNG BESCHREIBUNG
Schalter CON/AUX
Anschluss CON/AUX
RESET Sie müssen diese Taste nur betätigen, wenn Sie das Kennwort Ihres Prestige
Sie benötigen diesen Anschluss nur, wenn Sie den Prestige über das SMTHilfsprogramm mithilfe eines Konsolkabels programmieren oder eine alternative WANVerbindung einrichten möchten. Siehe das Benutzerhandbuch für weitere Details.
Stellen Sie diesen Schalter auf die Position "CON", um den Anschluss CON/AUX als
Konsolport zu verwenden. In diesem Fall lässt sich das Gerät lokal konfigurieren und
verwalten. Schließen Sie den neunpoligen Anschlussstecker des Konsolkabels an den
Konsolport des Prestige und das andere Ende an einen seriellen Anschluss (COM1,
COM2 oder einen anderen COM-Anschluss) Ihres Arbeitsplatzrechners an. Auf Ihrem
Computer muss ein Programm zur Terminalemulation (z.B. HyperTerminal) installiert
sein. Dieses muss auf VT100-Terminalemulation, keine Parität, 8 Datenbits, 1 Stoppbit,
keine Flusskontrolle und 9600 Baud eingestellt sein.
Stellen Sie diesen Schalter auf die Position "AUX", um den Anschluss CON/AUX zur
alternativen WAN-Verbindung (durch Anwahl) zu verwenden. Mit dem mitgelieferten
CON/AUX-Konverter können Sie das Konsolkabel mit dem CON/AUX-Anschluss und
einem Modem verbinden.
vergessen haben. Dadurch werden die werksseitigen Standardeinstellungen
wiederhergestellt (Kennwort 1234, LAN-IP-Adresse 192.168.1.1 usw.). Siehe auch das
Benutzerhandbuch.
2.2 PCMCIA-Karte für drahtloses LAN einsetzen
Um das Gerät für drahtlose Netzwerkfunktionen zu nutzen, müssen Sie eine WLAN-PCMCIAKarte installieren.
1. Schalten Sie Ihren Prestige aus.
Legen Sie die WLAN-Karte niemals in das Gerät ein oder entnehmen Sie
sie, während es eingeschaltet ist.
2. Machen Sie den Einschub mit der Bezeichnung Wireless LAN am Prestige ausfindig.
3. Schieben Sie die ZyAIR-Erweiterungskarte für drahtloses LAN in den Einschub hinein. Achten
Sie dabei darauf, dass Sie sie mit den Anschlüssen zuerst und der LED-Anzeige nach oben
zeigend einschieben.
Wenden Sie beim Einschieben keine Gewalt an. Biegen oder verkanten Sie
die Karte nicht.
4. Schalten Sie den Prestige ein. Daraufhin sollte die WLAN-Anzeige aufleuchten.
4
Page 6
Prestige 652H/HW
2.3 Leuchtanzeigen der Vorderseite
Abbildung 2 Bedienfeld
Eine detaillierte Beschreibung der einzelnen LED-Anzeigen finden Sie in der folgenden Tabelle.
Tabelle 2 LED-Anzeigen der Vorderseite
LED FARBE STATUS BESCHREIBUNG
Ein Das Gerät ist eingeschaltet. PWR Grün
Aus Das Gerät ist ausgeschaltet.
SYS
LAN
1/DMZ-4
WLAN
Grün
Rot Ein Die Stromversorgung ist unzureichend.
Grün
Orange
Grün
Rot Ein Es ist ein Fehler mit der WLAN-PCMCIA-Karte aufgetreten.
Ein Das Gerät arbeitet einwandfrei.
Blinkt Das System wird neu gestartet.
Aus Das System ist nicht bereit, oder es ist ein Fehler aufgetreten.
Ein Es besteht eine 10-Mbps-Ethernet-Verbindung.
Blinkt Das Gerät sendet bzw. empfängt Daten.
Aus Es besteht keine 10-Mbps-Ethernet-Verbindung.
Ein Es besteht eine 100-Mbps-Ethernet-Verbindung.
Blinkt Das Gerät sendet bzw. empfängt Daten.
Aus Es besteht keine 100-Mbps-Ethernet-Verbindung.
Ein Es besteht eine Funkverbindung.
Aus Die Funkverbindung ist nicht bereit oder fehlerhaft.
Blinkt Das Gerät sendet bzw. empfängt Daten über das drahtlose Netzwerk.
5
Page 7
Prestige 652H/HW
Tabelle 2 LED-Anzeigen der Vorderseite
LED FARBE STATUS BESCHREIBUNG
AUX
Grün
DSL Grün
ACT/PPP
Orange
Grün Blinkt Es werden andere als PPPoA- oder PPPoE-Daten gesendet bzw.
Ein Der CON/AUX-Anschluss wird für eine Wahlverbindung genutzt. Orange
Aus Am CON/AUX-Anschluss besteht derzeit keine Wahlverbindung.
Ein Der CON/AUX-Anschluss wird für eine Konsolverbindung genutzt.
Aus Am CON/AUX-Anschluss besteht derzeit keine Konsolverbindung.
Ein Es besteht eine Verbindung zu einem DSLAM.
Blinkt Die DSL-Leitung wird initialisiert.
Aus Es besteht keine DSL-Verbindung.
Ein Es besteht eine PPP-Verbindung (PPPoA oder PPPoE).
Blinkt Es werden PPPoA- oder PPPoE-Daten gesendet bzw. empfangen.
Aus Das System ist zwar bereit, es werden aber keine Daten gesendet bzw.
empfangen.
empfangen.
3 IP-Adresse Ihres Computers einstellen
Falls Ihr Computer bereits seine IP-Adresse dynamisch bezieht, können Sie
diesen Abschnitt überspringen. Dies ist die Werkseinstellung bei den
meisten Computern.
Werksseitig ist Prestige so eingerichtet, dass er Ihrem Computer eine IP-Adresse zuordnet. Dieser
Abschnitt beschreibt, wie Sie Ihren Computer einstellen müssen, damit er eine dynamische IPAdresse bezieht bzw. wie Sie ihm eine statische IP-Adresse im Bereich 192.168.1.2 bis
192.168.1.254 mit der Subnet-Maske 255.255.255.0 zuordnen. Dies ist erforderlich, damit Ihr
Computer mit dem Prestige kommunizieren kann.
Voraussetzung dafür ist, dass in Ihrem Computer bereits eine Ethernet-Karte und das TCP/IPProtokoll installiert sind. Wenn Sie einen Computer mit Windows NT/2000/XP, Macintosh OS 7
oder eine höhere Version verwenden, sollte das TCP/IP-Protokoll bereits installiert sein.
3.1 Windows 2000/NT/XP
1. Für Windows XP: klicken Sie auf Start, Systemsteuerung. Für Windows 2000/NT: klicken Sie auf Start,
Einstellungen, Systemsteuerung.
6
Page 8
Prestige 652H/HW
2. Für Windows XP: klicken Sie auf Netzwerkverbindungen.
Für Windows 2000/NT: klicken Sie auf Netzwerk- und DFÜ-Verbindungen.
3. Klicken Sie mit der rechten Maustaste auf das Symbol LAN-Verbindung und anschließend auf
Eigenschaften.
4. Wählen Sie Internetprotokoll (TCP/IP) (unter Windows XP im Register Allgemein), und klicken Sie auf
Eigenschaften.
5. Daraufhin erscheint das Dialogfeld Eigenschaften von
Internetprotokoll (TCP/IP) (im Register Allgemein unter
Windows XP).
- Falls Sie eine dynamische IP-Adresse verwenden möchten,
wählen Sie IP-Adresse automatisch beziehen.
Wenn Sie die IP-Adresse(n) des bzw. der DNS-Server
kennen, geben Sie sie in die Felder Bevorzugter DNS-Server
und Alternativer DNS-Server ein.
- Falls Sie eine feste IP-Adresse verwenden möchten, klicken
Sie auf Folgende IP-Adresse verwenden, und füllen Sie die
Felder IP-Adresse (wählen Sie eine im Bereich 192.168.1.2
bis 192.168.1.254 aus), Subnetzmaske (255.255.255.0) und
Standardgateway (192.168.1.1) aus.
Wenn Sie die IP-Adresse(n) des bzw. der DNS-Server
kennen, geben Sie sie in die Felder Bevorzugter DNS-Server
und Alternativer DNS-Server ein.
Falls Sie mehr als zwei DNS-Server verwenden möchten, klicken Sie auf Erweitert, anschließend auf das
Register DNS und legen mithilfe der Schaltfläche Hinzufügen neue fest.
6. Klicken Sie auf Erweitert. Entfernen Sie alle evtl. im Register
IP-Einstellungen vorhandenen Gateways, und klicken Sie auf
OK, um zum Fenster Eigenschaften von Internetprotokoll
(TCP/IP) zurückzukehren.
7. Klicken Sie auf OK, um die Änderungen zu speichern und das
Dialogfeld TCP/IP-Eigenschaften zu schließen.
8. Klicken Sie auf OK, um das Dialogfeld
Verbindungseigenschaften zu schließen.
7
Page 9
Prestige 652H/HW
3.2 IP-Adresse Ihres Computers prüfen bzw. aktualisieren
1. Klicken Sie in der Task-Leiste auf Start, (Alle) Programme, Zubehör, und wählen Sie Eingabeaufforderung.
2. Geben Sie unter der Eingabeaufforderung "ipconfig" gefolgt von der Eingabetaste ein, um die IP-Adresse Ihres
Computers zu überprüfen (sie sollte im Adressbereich 192.168.1.2 bis 192.168.1.254 mit der Subnet-Maske
255.255.255.0 liegen). Anderenfalls kann Ihr PC nicht mit dem Prestige kommunizieren.
Im Benutzerhandbuch finden Sie weitere Informationen zum Einstellen der IP-Adresse unter
anderen Windows- und Macintosh-Betriebssystemen.
3.3 Verbindung zum Prestige prüfen
1. Klicken Sie in der Task-Leiste auf Start, (Alle) Programme, Zubehör, und wählen Sie
Eingabeaufforderung.
2. Geben Sie unter der Eingabeaufforderung "ping" gefolgt von der IP-Adresse Ihres Prestige (standardmäßig
192.168.1.1) ein.
3. Drücken Sie die Eingabetaste. Es erscheint folgender Bildschirm.
C:\>ping 192.168.1.1
Pinging 192.168.1.1 with 32 bytes of data:
Reply from 192.168.1.1: bytes=32 time=10ms TTL=254
Reply from 192.168.1.1: bytes=32 time<10ms TTL=254
Reply from 192.168.1.1: bytes=32 time<10ms TTL=254
Reply from 192.168.1.1: bytes=32 time<10ms TTL=254
Ping statistics for 192.168.1.1:
Packets: Sent = 4, Received = 4, Lost = 0 (0% loss),
Approximate round trip times in milli-seconds:
Minimum = 0ms, Maximum = 10ms, Average = 2ms
Ihr Computer kann jetzt mit dem Prestige über das Netzwerk kommunizieren.
4 Prestige einrichten
Dieses Kompakthandbuch erläutert ausschließlich die Verwendung des
Web Configurators. Um Details zu allen weiteren Funktionen des Prestige
und dem SMT-Hilfsprogramm (System Management Terminal) zu erhalten,
siehe das Benutzerhandbuch.
4.1 Prestige über den Web Configurator ansprechen
1. Starten Sie Ihren Web-Browser. Geben Sie die Adresse "192.168.1.1" als Webseitenadresse ein.
8
Page 10
Prestige 652H/HW
Webseitenadresse
Abbildung 3 LAN-IP-Adresse von Prestige im Internet Explorer eingeben
2. Es erscheint eine Aufforderung, Ihr Netzwerkkennwort einzugeben. Geben Sie Ihren
Benutzernamen (standardmäßig "admin") und Ihr Kennwort (standardmäßig "1234") ein, und
klicken Sie auf OK.
StandardBenutzername
Abbildung 4 Web Configurator: Kennwort-Bildschirm
3. Die Site-Übersicht des Web-Configurators erscheint.
Klicken Sie auf Einrichtungsassistent, um sich durch die erstmalige Einrichtung des
Prestige führen zu lassen.
Die Links unter Erweiterte Einrichtung enthalten die erweiterten Funktionen des
Prestige.
Klicken Sie auf einen Link unter Verwaltung, um Leistungsstatistiken anzuzeigen,
Firmwaredateien hochzuladen und zu sichern sowie Konfigurationsdateien hochzuladen
oder zu sichern.
Klicken Sie auf Abmelden, wenn Sie Ihre Verwaltungssitzung beenden möchten.
9
Page 11
Prestige 652H/HW
Assistent
Navigationsleiste
Abmelden
Abbildung 5 Web Configurator: Bildschirm Site-Übersicht
Sie werden automatisch abgemeldet, wenn Sie fünf Minuten lang keine
Eingaben vornehmen. Drücken Sie in diesem Fall die Eingabetaste, um sich
erneut anzumelden.
4.2 Häufig verwendete Befehlsschaltflächen
In der folgenden Tabelle finden Sie eine Übersicht der wichtigsten Befehlsschaltflächen, die Sie im
Web Configurator antreffen werden.
Zurück Klicken Sie auf Zurück, um zum vorigen Bildschirm zurückzukehren.
Anwenden Klicken Sie auf Anwenden, um die Änderungen zu speichern.
Zurücksetzen/
Abbrechen
Klicken Sie auf Zurücksetzen bzw. Abbrechen, um alle Felder dieses Bildschirms
zu löschen und erneut zu definieren.
4.3 Internet-Zugang mithilfe des Assistenten einrichten
Füllen Sie die verschiedenen Bildschirme des Einrichtungsassistenten gemäß der in der Tabelle
Internet-Benutzerkonto enthaltenen Daten aus, um Ihr System für den Internet-Zugang einzurichten.
Möglicherweise hat Ihr Internet-Provider bereits einige dieser Felder im Voraus für Sie ausgefüllt.
1. Klicken Sie in der Site-Übersicht auf Einrichtungsassistent, um den ersten Bildschirm des
Assistenten anzuzeigen.
10
Page 12
Prestige 652H/HW
Falls Ihr Internet-Provider es zulässt, dass
sich mehrere Computer ein InternetBenutzerkonto teilen, wählen Sie die Option
Routing aus der Pulldown-Liste Betrieb
(Standardeinstellung). Anderenfalls wählen
Sie Bridge.
Wählen Sie die von Ihrem Provider
verwendete Encapsulation aus der
Pulldown-Liste Encapsulation aus. Die
verfügbaren Optionen hängen davon ab,
welche Auswahl Sie im Feld Betrieb
getroffen haben.
Wählen Sie das von Ihrem Provider
verwendete Multiplexing-Verfahren aus der
Abbildung 6 Assistent – Bildschirm 1
Geben Sie in die Felder VPI und VCI die korrekten Werte des virtuellen Pfades bzw. Kanals ein. Es kann sein,
dass diese Felder bereits ausgefüllt sind.
Klicken Sie auf Weiter.
Pulldown-Liste Multiplexing aus.
2. Der zweite Bildschirm des Assistenten hängt von der gewählten Encapsulation ab. Die hier
abgebildeten Bildschirme gelten für den Routing-Betrieb. Füllen Sie die Felder aus, und klicken
Sie auf Weiter.
11
Page 13
Prestige 652H/HW
Falls Ihr Internet-Provider den Namen Ihres
PPPoE-Dienstanbieters übermittelt, geben
Sie diesen im Feld Dienstname ein.
Geben Sie Ihren Benutzernamen und das
dazugehörige Kennwort genau so ein, wie
Sie sie von Ihrem Internet-Provider erhalten
haben.
Wenn Sie eine dynamische IP-Adresse
verwenden, wählen Sie IP-Adresse
automatisch beziehen. Hat Ihr Provider
Ihnen eine feste IP-Adresse zugewiesen,
wählen Sie Feste IP-Adresse und geben
diese in das folgende Feld ein.
Wenn Sie keine Dauerverbindung halten
wollen, wählen Sie Bei Bedarf verbinden.
In diesem Fall müssen Sie eine Leerlaufzeit
im Feld Max. Leerlaufzeit vorgeben.
Abbildung 7 Internet-Verbindung mit PPPoE
Soll die Verbindung hingegen dauerhaft bestehen bleiben, wählen Sie Dauerverbindung. Daraufhin versucht
Prestige, die Verbindung sofort wiederherzustellen, falls sie unterbrochen wird.
Wählen Sie in der Pulldown-Liste NAT (Netzwerk-Adressumsetzung) eine der Optionen Nur SUA, Alle oder
Ohne. Im Abschnitt zu NAT (Netzwerk-Adressumsetzung) finden Sie weitere Informationen hierzu.
Geben Sie im Feld IP-Adresse die Adresse
ein, die Ihnen Ihr Internet-Provider
zugeordnet hat.
Abbildung 8 Internet-Verbindung mit RFC 1483
12
Im Bridge-Betrieb ist
das Feld IP-Adresse
nicht verfügbar.
Eine Beschreibung des Feldes NAT
(Netzwerk-Adressumsetzung) finden Sie
im Abschnitt Abbildung 7.
Page 14
Prestige 652H/HW
Abbildung 9 Internet-Verbindung mit ENET ENCAP
Geben Sie im Feld ENET-ENCAPGateway die IP-Adresse des Gateways
ein (Sie sollten diese von Ihrem InternetProvider erhalten haben).
Beschreibungen zu anderen Feldern
finden Sie im Abschnitt
Beschreibungen zu den Feldern finden Sie
im Abschnitt Abbildung 7.
Abbildung 7.
Im Bridge-Betrieb sind
die Felder IP-Adresse
und NAT (Netzwerk-
Adressumsetzung)
nicht verfügbar.
Abbildung 10 Internet-Verbindung mit PPPoA
3. Prüfen Sie die Einstellungen im folgenden Bildschirm. Um die LAN-Einstellungen des Prestige
zu ändern, klicken Sie auf LAN-Konfiguration ändern. Ansonsten klicken Sie auf
Einstellungen speichern und fahren mit Schritt 5 fort.
13
Page 15
Prestige 652H/HW
Abbildung 11 Assistent – Bildschirm 3
4. Um die LAN-Einstellungen des Prestige zu ändern, klicken Sie auf LAN-Konfiguration
ändern. Daraufhin erscheint der folgende Bildschirm.
14
Page 16
Prestige 652H/HW
Geben Sie im Feld LAN-IP-Adresse die
IP-Adresse des Prestige in durch Punkte
getrennter Dezimalnotation ein. Zum
Beispiel lautet die Werkseinstellung
192.168.1.1.
Wenn Sie die IP-
Adresse des Gerätes
geändert haben,
müssen Sie die neue
eingeben, sofern Sie
mit dem Web-
Configurator erneut
Abbildung 12 Assistent: LAN-Konfiguration
Geben Sie im Feld LAN-Subnet-Maske die Subnet-Maske in durch Punkte getrennter Dezimalnotation ein.
Wählen Sie in der Pulldown-Liste DHCP-Server die Option Aktiviert, damit Prestige den Computern im lokalen
Netzwerk IP-Adressen, ein Standard-Gateway und DNS-Server zuweisen kann, sofern diese die DHCP-ClientFunktionalität unterstützen. Wählen Sie die Option Deaktiviert, um die DHCP-Server-Funktion auszuschalten.
Wenn Sie die DHCP-Server-Funktion verwenden, müssen Sie Folgendes einstellen:
Geben Sie die erste Adresse eines Adressbereichs im Feld Start IP-Adressfolge der Clients ein.
Legen Sie die Größe der Adressfolge im Feld Größe IP-Adressfolge der Clients fest.
Legen Sie die IP-Adresse(n) des bzw. der DNS-Server mithilfe der Felder Erster DNS-Server bzw. Zweiter DNS-
Server fest.
auf das Gerät
zugreifen möchten.
5. Prestige prüft an dieser Stelle automatisch die Verbindung zu den Computern, die an seine
LAN-Anschlüsse angeschlossen sind. Um ebenfalls die Verbindung vom Prestige zum Internet
zu testen, klicken Sie auf Diagnose starten. Anderenfalls klicken Sie auf Zurück zum
Hauptmenü, um zum Bildschirm Site-Übersicht zurückzukehren.
15
Page 17
Prestige 652H/HW
Abbildung 13 Assistent – Bildschirm 4
4.4 Internet-Verbindung prüfen
Starten Sie Ihren Web-Browser, und verbinden Sie sich mit www.zyxel.com. Der Internet-Zugang
ist nur ein Teil der verfügbaren Funktionen. Im Benutzerhandbuch finden Sie detailliertere
Informationen zu den Möglichkeiten, die Ihnen Prestige zur Verfügung stellt. Sollten Sie nicht auf
das Internet zugreifen können, öffnen Sie den Web Configurator erneut und überprüfen alle
Einstellungen.
5 Erweiterte Einrichtung
Dieser Abschnitt befasst sich mit einigen der erweiterten Funktionen des Prestige.
5.1 Drahtloses Netzwerk einrichten
Ein drahtloses Netzwerk bietet ein System zum flexiblen Datenaustausch, der zahlreiche
kabelgebundene Dienste wie Internet-, E-Mail-, Druckdienste und andere zur Verfügung stellt, ohne
dass dazu eine teure und aufwendige Verkabelung notwendig ist. Zusätzlich bietet ein drahtloses
Netzwerk eine Umgebung, in der Sie sich innerhalb der Funkreichweite frei bewegen können und
trotzdem mit dem Netzwerk verbunden bleiben.
Die Bildschirme für die drahtlosen Netzwerkfunktionen sind nur anwählbar,
wenn Sie eine WLAN-Karte installiert haben.
Um die Einstellungen für das drahtlose Netzwerk festzulegen, klicken Sie auf Erweiterte
Einrichtung, Drahtlos und anschließend auf Drahtlos.
16
Page 18
Prestige 652H/HW
Abbildung 14 Drahtloses LAN: Drahtlos
Die folgende Tabelle erläutert die in diesem Bildschirm vorhandenen Felder.
Tabelle 3 Drahtloses LAN: Drahtlos
BEZEICHNUNG BESCHREIBUNG
ESSID (Extended Service Set IDentity) Die ESSID ist ein eindeutiger Name, um den Prestige im
ESSID verbergen Wählen Sie Ja, um die ESSID zu verbergen, sodass ein Client im drahtlosen Netzwerk
drahtlosen Netzwerk zu identifizieren. Alle drahtlosen Clients, die sich über denselben
Access Point (den Prestige) anmelden, müssen dieselbe ESSID aufweisen. Geben Sie
einen beschreibenden Namen (maximal 32 druckbare ASCII-Zeichen mit 7 Bit) ein.
diese nicht durch passives Scannen abhorchen kann.
Wählen Sie Nein, um die ESSID zu übertragen, sodass ein Client im drahtlosen
Netzwerk diese nicht durch passives Scannen abhorchen kann.
17
Page 19
Prestige 652H/HW
Tabelle 3 Drahtloses LAN: Drahtlos
BEZEICHNUNG BESCHREIBUNG
Kanal Der Funkfrequenzbereich, der durch die drahtlosen Geräte nach IEEE 802.11b belegt
Grenzwert RTS/CTS Wählen Sie diese Option, um die RTS/CTS-Grenzwerte zum Minimieren von Kollisionen
Grenzwert
Fragmentierung
WEP-Verschlüsselung WEP (Wired Equivalent Privacy) verschlüsselt die über drahtlose Netzwerke
Schlüssel 1 bis 4 Die WEP-Schlüssel werden zur Datenverschlüsselung benutzt. Sowohl Prestige als auch
wird, wird als Kanal bezeichnet. Stellen Sie die Betriebsfrequenzen (Kanäle) gemäß
Ihres Standortes ein.
Wählen Sie den gewünschten Kanal aus der Pulldown-Liste aus. Wenn Sie mehrere
Access Points verwenden, deren Sendebereich überlappt, sollten Sie sie auf
unterschiedliche Kanäle einstellen, um ein Nebensprechen zu vermeiden.
Nebensprechen entsteht dann, wenn sich Funksignale verschiedener Access Points
überlagern und gegenseitig stören.
festzulegen. Geben Sie einen Wert zwischen 0 und 2432 ein. Der Standardwert ist 2432.
Request To Send - Dies ist der Grenzwert (Anzahl Bytes) zum Aktivieren der RTS/CTSAbstimmung. Alle Daten mit einer Frame-Größe, die höher ist, als der hier eingegebene
Wert, werden eine RTS/CTS-Abstimmung durchführen. Wenn Sie diesen Wert auf einen
höheren als die maximale MSDU (MAC Service Data Unit) einstellen, wird die RTS/CTSAbstimmung deaktiviert.
Der Fragmentierungsgrenzwert stellt die maximal erlaubte Größe für ein zu sendendes
Datenfragment dar.
übermittelten Daten-Frames vor deren Übertragung.
Wählen Sie die Option Deaktiviert, damit alle Stationen ohne Verschlüsselung mit den
Access Points kommunizieren können.
Wählen Sie 64 Bit WEP bzw. 128 Bit WEP, und definieren Sie die Schlüssel über die
entsprechenden Felder, um eine Datenverschlüsselung zu ermöglichen.
die Clients im drahtlosen Netzwerk müssen denselben WEP-Schlüssel zur
Datenübertragung verwenden.
Wenn Sie die Option 64 Bit WEP ausgewählt haben, geben Sie eine 5-stellige
Zeichenkette (ASCII-Zeichen) oder 10 hexadezimale Ziffern ("0-9", "A-F") ein.
Wenn Sie die Option 128 Bit WEP ausgewählt haben, geben Sie eine 13-stellige
Zeichenkette (ASCII-Zeichen) oder 26 hexadezimale Ziffern ("0-9", "A-F") ein.
Es darf immer nur ein einziger Schlüssel gleichzeitig aktiviert sein.
18
Page 20
Prestige 652H/HW
Alle Clients im drahtlosen Netzwerk und Prestige müssen dieselbe ESSID,
denselben Kanal und denselben WEP-Verschlüsselungsschlüssel (sofern
WEP aktiviert ist) verwenden.
5.2 Sicherheit im drahtlosen Netzwerk einrichten
Zur erhöhten Sicherheit erlaubt Prestige den Vergleich der MAC-Adressen der Clients im
drahtlosen Netzwerk mit einer Liste zugelassener bzw. nicht zugelassener MAC-Adressen.
Um die MAC-Adressliste für das drahtlose Netzwerk einzurichten, klicken Sie in der
Navigationsleiste auf Erweiterte Einrichtung, anschließend auf Drahtlos und schließlich auf den
Link MAC-Filter.
Abbildung 15 Drahtloses LAN: MAC-Adressfilter
19
Page 21
Prestige 652H/HW
Die folgende Tabelle erläutert die in diesem Bildschirm vorhandenen Felder.
Tabelle 4 Drahtloses LAN: MAC-Adressfilter
FELD BESCHREIBUNG
Aktiviert Wählen Sie die Option Ja aus der Pulldown-Liste, um die MAC-Adressfilterung zu aktivieren.
Definieren Sie die Aktion, die auf die in der Tabelle MAC-Adresse aufgeführten MAC-Adressen
angewandt werden soll.
Aktion
MAC-Adresse Geben Sie in diese Tabelle die Liste der gewünschten MAC-Adressen ein.
Wählen Sie Zuordnung verweigern, um den Zugriff auf den Router zu verweigern. Allen MACAdressen, die nicht in dieser Liste aufgeführt sind, wird weiterhin Zugriff auf den Router gewährt.
Wählen Sie Zuordnung ermöglichen, um den Zugriff auf den Router zu gewähren. Allen MACAdressen, die nicht in dieser Liste aufgeführt sind, wird kein Zugriff auf den Router gewährt.
5.3 Übersicht zu NAT (Network Address Translation)
NAT (Netzwerk-Adressumsetzung RFC 1631) setzt die IP-Adresse eines Hosts in einem Paket um.
Zum Beispiel wird die Ursprungsadresse eines ausgehenden Paketes, die innerhalb eines Netzwerks
verwendet wird, in eine andere IP-Adresse umgesetzt, die einem anderen Netzwerk bekannt ist.
Wenn Sie eine einzige offene IP-Adresse verwenden, wählen Sie für den NAT–Modus die Option
Nur SUA (siehe Abbildung 16 Betrieb). Falls Sie hingegen mehrere offene IP-Adressen verwenden,
können Sie die Umsetzungsart Alle verwenden (weitere Informationen finden Sie im
Benutzerhandbuch).
NAT unterstützt fünf verschiedene Arten von IP-/Port-Umsetzungen. Sie sind im Folgenden aufgeführt:
1. Eins zu eins: Die Option "Eins zu eins" setzt eine lokale IP-Adresse in eine globale um.
Die Portnummern werden bei dieser Umsetzungsart nicht geändert.
2. Mehrfach auf eine: Im Umsetzungsmodus "Mehrfach auf eine" werden mehrere lokale IP-
Adressen in eine globale umgesetzt.
3. Mehrfach auf mehrere gemeinsame: Im Umsetzungsmodus "Mehrfach auf mehrere
gemeinsame" werden mehrere lokale IP-Adressen in gemeinsam genutzte globale
umgesetzt.
4. Mehrfach auf mehrere eindeutige: Die Umsetzungsart "Mehrfach auf mehrere eindeutige"
setzt jede lokale IP-Adresse in eine globale um.
5. Server: Hier können Sie interne Server oder verschiedene Dienste definieren, die per NAT
für die Außenwelt zugänglich sind.
20
Page 22
Prestige 652H/HW
5.4 SUA-Server einrichten
Ein SUA-Server-Set ist eine Liste mehrerer interner Server (hinter der NAT-Umsetzung im LAN),
z.B. Web- oder FTP-Server, die für äußere Anwender zugänglich gemacht werden sollen, selbst
wenn SUA Ihr gesamtes internes Netzwerk nach außen hin als einen einzigen Computer darstellt.
1. Klicken Sie im Hauptmenü auf Erweiterte Einrichtung und anschließend auf NAT, um das
Fenster NAT – Modus anzuzeigen. Wählen Sie die Option Nur SUA.
Abbildung 16 NAT: Betrieb
2. Klicken Sie auf Details bearbeiten.
Abbildung 17 SUA/NAT-Server
21
Page 23
Prestige 652H/HW
Die folgende Tabelle erläutert die in diesem Bildschirm vorhandenen Felder.
Tabelle 5 SUA/NAT-Server
BEZEICHNUNG BESCHREIBUNG
Start-Port Hier geben Sie eine Portnummer ein. Um nur einen einzigen Port zu verwenden, geben
End-Port Hier geben Sie eine Portnummer ein. Um nur einen einzigen Port zu verwenden, geben
IP-Adresse Geben Sie die interne IP-Adresse des Servers ein.
Sie die gleiche Nummer in das Feld End-Port ein. Um eine ganze Portnummernserie zu
verwenden, geben Sie hier die Start-Portnummer und in das Feld End-Port die letzte
Portnummer ein.
Sie die Portnummer hier und noch einmal in das Feld Start-Port (siehe oben) ein. Um
eine Portnummernserie zu verwenden, geben Sie hier die Nummer des letzten Ports und
in das Feld Start-Port (siehe oben) die des ersten ein.
5.5 Übersicht zur Firewall
Die Firewall des Prestige führt eine Stateful Inspection durch und wurde so entwickelt, dass sie auch
Schutz gegen DoS-Angriffe (Denial of Service) bietet. Ihre Funktion ist es, einem privaten LANNetzwerk eine sichere Verbindung zum Internet zu schaffen. So verhindert Prestige den Diebstahl,
die Zerstörung sowie die Veränderung Ihrer Daten und ist in der Lage, Berichte über mögliche
Eingriffe zu liefern, sodass er besonders zu Ihrer Netzwerksicherheit beiträgt. Zusätzlich bietet der
Prestige Paketfilterungsfunktionen.
Ist sie aktiviert, ist standardmäßig die Kommunikation vom LAN zum Internet gewährleistet,
während gleichzeitig sämtlicher eingehender Datenverkehr vom Internet zum LAN unterbunden
wird,
d.h., alle Verbindungen vom LAN zum WAN sind möglich
alle Sitzungen vom WAN zum LAN werden abgewiesen
Die LAN-WAN-Regeln werden auf Pakete angewendet, die vom LAN ins Internet fließen.
Standardmäßig werden alle Pakete vom lokalen Netzwerk ins Internet durchgelassen.
Die folgende Abbildung ist ein Beispiel einer Firewall-Anwendung des Prestige.
22
Page 24
Prestige 652H/HW
Abbildung 18 Firewall-Anwendung des Prestige
5.6 Firewall aktivieren
Klicken Sie im Hauptmenü auf Erweiterte Einrichtung und anschließend auf Konfiguration, um das Fenster Konfiguration anzuzeigen. Aktivieren Sie das Kontrollkästchen Firewall aktivieren, um die Firewall zu aktivieren (siehe folgende Abbildung).
Abbildung 19 Firewall aktivieren
5.7 So richten Sie Firewall-Regeln ein
Klicken Sie im Hauptbildschirm auf Erweiterte Einrichtung, Firewall und anschließend auf
Regeln – Übersicht (für Regeln vom LAN ins Internet oder umgekehrt), um den Bildschirm
Übersicht aufzurufen. Die folgende Tabelle erläutert die in diesem Bildschirm vorhandenen Felder.
23
Page 25
Prestige 652H/HW
Tabelle 6 Übersichtsbildschirm
BEZEICHNUNG BESCHREIBUNG
Standardmaßnahme, wenn
Pakete die Regeln
nicht erfüllen
Protokoll für
StandardZugriffsregeln
Die folgenden Felder bieten eine Übersicht über die eingerichteten Regeln, die sich auf die ausgewählte
Datenübertragungsrichtung beziehen. Sie können diese Felder nicht bearbeiten. Die konfigurierten FirewallRegeln (siehe folgende Übersicht) erhalten Priorität gegenüber den allgemeinen Firewall-Einstellungen weiter
oben.
Nr. Dies ist die Ordnungszahl der Firewall-Regel. Die Reihenfolge der Regeln ist besonders
Ursprungs-IP In diesem Listenfeld erscheinen die Ursprungsadressen bzw. -Adressbereiche, auf die
Sollen Pakete, auf die die folgenden Regeln nicht zutreffen, abgewiesen oder
weitergeleitet werden? Wählen Sie die geeignete Option aus der Pulldown-Liste aus.
Durch die Option "Abweisen" werden die Pakete stillschweigend abgewiesen.
Aktivieren Sie dieses Kontrollkästchen, um alle zutreffenden Regeln im ACL-Standardset
zu protokollieren.
wichtig, da sie genau so ausgeführt werden. Über das Feld Verschieben darunter
können Sie die Regeln in der Reihenfolge verschieben.
sich die Firewall-Regel bezieht. Beachten Sie, dass ein leeres Feld für sowohl Ursprungsals auch Zieladresse äquivalent zum Wert Beliebige ist.
24
Page 26
Prestige 652H/HW
Tabelle 6 Übersichtsbildschirm
BEZEICHNUNG BESCHREIBUNG
Ziel-IP In diesem Listenfeld erscheinen die Zieladressen bzw. -Adressbereiche, auf die sich die
Dienst Dieses Listenfeld zeigt die verschiedenen Dienste an, für die die Firewall-Regel gilt.
Aktion Hier wird die von der Regel auszuführende Aktion festgelegt: Abweisen oder
Protokoll Hier wird angezeigt, ob ein Protokoll erstellt wird, wenn die Regel für die Pakete zutrifft
Regeln neu
sortieren
An Position Nr. Wählen Sie die Ordnungszahl, an dessen Stelle die Regel bewegt werden soll.
Verschieben Klicken Sie auf Verschieben, um die Regel zu verschieben.
Firewall-Regel bezieht. Beachten Sie, dass ein leeres Feld für sowohl Ursprungs- als
auch Zieladresse äquivalent zum Wert Beliebige ist.
Beachten Sie, dass ein leeres Feld für den Diensttyp äquivalent zum Wert Beliebige ist.
Weiterleiten. Durch die Option Abweisen werden die Pakete stillschweigend
abgewiesen.
(Trifft zu), nicht zutrifft (Trifft nicht zu), in beiden Fällen (Beides) oder ob überhaupt kein
Protokoll erstellt wird (Ohne).
Mit dieser Funktion können Sie die Regeln neu sortieren. Wählen Sie die Regel aus, die
Sie verschieben möchten. Die Reihenfolge der Regeln ist besonders wichtig, da sie
genau so ausgeführt werden.
Gehen Sie folgendermaßen vor, um eine neue Regel zu erstellen.
1. Klicken Sie im Bildschirm Übersicht auf die Ordnungszahl einer Regel. Daraufhin erscheint
der Bildschirm Regel bearbeiten.
2. Wählen Sie die gewünschten Dienste im Textfeld Verfügbare Dienste aus. Richten Sie für
noch nicht vordefinierte Dienste die benutzerdefinierten Ports ein. Klicken Sie dazu unter
Benutzerdefinierter Port auf die Schaltflächen Hinzufügen bzw. Bearbeiten. Eine
verständliche Liste der Portnummern und Dienste finden Sie auf der IANA-Webseite (Internet
Assigned Number Authority).
3. Richten Sie die Ursprungs- und Zieladresse für diese Regel ein.
25
Page 27
Prestige 652H/HW
Abbildung 20 Firewall-Regel erstellen bzw. bearbeiten
Die folgende Tabelle erläutert die in diesem Bildschirm vorhandenen Felder.
Tabelle 7 Firewall-Regel erstellen bzw. bearbeiten
BEZEICHNUNG BESCHREIBUNG
Ursprungsadresse Klicken Sie auf Ursp.hinzuf., um eine neue Adresse hinzuzufügen, auf Ursp.bearb., um
Zieladresse Klicken Sie auf Ziel hinzu., um eine neue Adresse hinzuzufügen, auf Ziel bearb., um
eine vorhandene zu bearbeiten, oder klicken Sie auf Ursp.lösch., um eine Adresse zu
löschen. Im folgenden Abschnitt finden Sie weitere Informationen zum Hinzufügen und
Bearbeiten von Ursprungsadressen.
eine vorhandene zu bearbeiten, oder klicken Sie auf Ziel lösch., um eine Adresse zu
löschen. Im folgenden Abschnitt finden Sie weitere Informationen zum Hinzufügen und
Bearbeiten von Zieladressen.
26
Page 28
Prestige 652H/HW
Tabelle 7 Firewall-Regel erstellen bzw. bearbeiten
BEZEICHNUNG BESCHREIBUNG
Dienste
Verfügbare /
Ausgewählte
Dienste
Verfügbaren
Dienst bearbeiten
Aktion wenn Regel
zutrifft
Protokoll Hier wird angezeigt, ob ein Protokoll erstellt wird, wenn die Regel für die Pakete zutrifft,
Benachrichtigung Aktivieren Sie das Kontrollkästchen Benachrichtigung, um festzulegen, dass eine
Löschen Wählen Sie Löschen, um eine Regel zu löschen.
Markieren Sie im Feld Verfügbare Dienste auf der linken Seite einen Dienst, und klicken
Sie auf >> um ihn in das Feld Ausgewählte Dienste rechts aufzunehmen. Um einen
Dienst zu entfernen, markieren Sie ihn im Feld Ausgewählte Dienste auf der rechten
Seite und klicken auf <<.
Klicken Sie auf diese Schaltfläche, um die Liste verfügbarer benutzerdefinierter Dienste
zu öffnen.
Sollen Pakete, auf die die Regeln zutreffen, abgewiesen oder weitergeleitet werden?
Wählen Sie die geeignete Option aus der Pulldown-Liste aus. Durch die Option
Abweisen werden die Pakete stillschweigend abgewiesen.
nicht zutrifft, in beiden Fällen oder ob überhaupt kein Protokoll erstellt wird.
Benachrichtigung versendet wird, wenn die Regel erfüllt wird.
5.8 Ursprungs- und Zieladresse einrichten
Um eine neue Ursprungs- bzw. Zieladresse hinzuzufügen, klicken Sie im vorigen Dialogfeld auf die
Schaltfläche Ursp.hinzuf. bzw. Ziel hinzu.. Um eine bestehende Ursprungs- bzw. Zieladresse zu
bearbeiten, wählen Sie sie im vorigen Dialogfeld aus und klicken auf die Schaltfläche Ursp.bearb.
bzw. Ziel bearb.. In beiden Fällen erscheint das folgende Dialogfeld.
Abbildung 21 Ursprungs- und Zieladressen hinzufügen bzw. bearbeiten
27
Page 29
Prestige 652H/HW
Die folgende Tabelle erläutert die in diesem Bildschirm vorhandenen Felder.
Tabelle 8 Ursprungs- und Zieladressen hinzufügen bzw. bearbeiten
BEZEICHNUNG BESCHREIBUNG
Adresstyp Legen Sie fest, ob die Regel auf Pakete mit einer bestimmten IP-Adresse, einer Reihe
IP-Startadresse Geben Sie hier die einfache IP-Adresse oder die IP-Startadresse ein, falls es sich um eine
IP-Endadresse Geben Sie hier die IP-Endadresse der Gruppe ein.
Subnet-Maske Falls zutreffend, geben Sie hier die Subnet-Maske ein.
von IP-Adressen (z.B. 192.168.1.10 bis 192.168.1.50), auf eine Subnet-Maske oder eine
beliebige IP-Adresse angewandt werden soll. Wählen Sie die geeignete Option aus der
Pulldown-Liste aus.
Gruppe handelt.
5.9 VPN-Übersicht
Ein VPN (Virtual Private Network) bietet eine sichere Kommunikationsplattform zwischen zwei
Parteien, ohne dass dazu teure Standleitungen eingerichtet werden müssen. Ein sicheres VPN
vereint Funktionen zur Weiterleitung, Verschlüsselung, Authentifizierung, Zugriffskontrolle sowie
Überwachungstechniken und –Dienste zum Übermitteln von Daten über das Internet oder andere
nicht sichere Netze, die das TCP/IP-Protokoll verwenden.
In der folgenden Abbildung ist ein Beispiel für eine VPN-Anwendung dargestellt.
28
Page 30
Prestige 652H/HW
Abbildung 22 VPN-Anwendung
5.10 Bildschirm "Übersicht"
Die IP-Adressen auf lokaler Ebene und auf Seiten der Gegenstelle müssen fest sein.
Klicken Sie im Hauptmenü auf Erweiterte Einrichtung, VPN und anschließend auf Einrichtung,
um das Fenster Übersicht anzuzeigen. Daraufhin erscheint eine Liste Ihrer IPSec-Regeln (Tunnel).
Sie können die angezeigten Felder nicht bearbeiten.
29
Page 31
Prestige 652H/HW
Abbildung 23 VPN-Übersicht
Die folgende Tabelle erläutert die in diesem Bildschirm vorhandenen Felder.
Tabelle 9 VPN-Übersicht
BEZEICHNUNG BESCHREIBUNG
Nr. Die Ordnungszahl der VPN-Regel.
Name Dieses Feld zeigt den eindeutigen Namen für diese VPN-Regel an.
Aktiviert Dieses Feld zeigt an, ob die VPN-Regel aktiviert wurde oder nicht. Ja bedeutet, dass
Lokale Adresse Dies sind die IP-Adressen der Computer, die sich hinter dem Prestige in Ihrem lokalen
sie gegenwärtig aktiv ist. Nein bedeutet, dass sie nicht aktiviert wurde.
Netzwerk befinden.
Es wird zweimal die gleiche (statische) IP-Adresse angezeigt, wenn im Feld Adresstyp
lokal des Fensters IKE-Konfiguration (bzw. Manuell) der Wert Einzeln eingestellt ist.
Es werden die (statischen) IP-Start- und -Endadresse eines Adressbereichs angezeigt,
wenn im Feld Adresstyp lokal des Fensters IKE-Konfiguration (bzw. Manuell) der
Wert Adressbereich eingestellt ist.
Es werden eine (statische) IP-Adresse und eine Subnet-Maske angezeigt, wenn im
Feld Adresstyp lokal des Fensters IKE-Konfiguration (bzw. Manuell) der Wert
Subnet-Adresse eingestellt ist.
30
Page 32
Prestige 652H/HW
Tabelle 9 VPN-Übersicht
BEZEICHNUNG BESCHREIBUNG
Adresse
Gegenstelle
Encap. Hier wird der Tunnel- bzw. Transport-Modus angezeigt. Der Standardwert ist Tunnel.
IPSec-Algorithmus Dieses Feld zeigt die für die SA verwendeten Protokolle an.
Secure Gateway
IP
Dies sind die IP-Adressen der Computer, die sich im Netzwerk der Gegenstelle hinter
dem IPSec-Router befinden.
Hier erscheint der Wert N/Z, wenn im Feld IP-Adresse sicheres Gateway der Wert
0.0.0.0 eingestellt ist. In diesem Fall kann das VPN nur vom IPSec-Router der
Gegenstelle hergestellt werden.
Es wird zweimal die gleiche (statische) IP-Adresse angezeigt, wenn im Feld Adresstyp
Gegenstelle des Fensters IKE-Konfiguration (bzw. Manuell) der Wert Einzeln
eingestellt ist.
Es werden die (statischen) IP-Start- und -Endadresse eines Adressbereichs angezeigt,
wenn im Feld Adresstyp Gegenstelle des Fensters IKE-Konfiguration (bzw.
Manuell) der Wert Adressbereich eingestellt ist.
Es werden eine (statische) IP-Adresse und eine Subnet-Maske angezeigt, wenn im
Feld Adresstyp Gegenstelle des Fensters IKE-Konfiguration (bzw. Manuell) der
Wert Subnet-Adresse eingestellt ist.
AH und ESP belasten die Rechenleistung und den Datendurchsatz (Verlangsamung)
des Prestige.
Dies ist die statische WAN-IP-Adresse bzw. die URL des IPSec-Routers der
Gegenstelle. Wenn Sie im Bildschirm IKE-Konfiguration das Feld IP-Adresse
sicheres Gateway auf 0.0.0.0 einstellen, wird hier ebenfalls 0.0.0.0 angezeigt.
5.11 VPN-Regeln einrichten
Klicken Sie auf die Ordnungszahl einer Regel, um den Bildschirm VPN IKE zu öffnen. Hier
können Sie die IPSec-Regel einrichten.
31
Page 33
Prestige 652H/HW
Abbildung 24 VPN-IKE
Die folgende Tabelle erläutert die in diesem Bildschirm vorhandenen Felder.
32
Page 34
Prestige 652H/HW
Tabelle 10 VPN-IKE
BEZEICHNUNG BESCHREIBUNG
Aktiviert Aktivieren Sie dieses Kontrollkästchen, um diesen VPN-Tunnel zu aktivieren. Diese
Aufrecht erhalten Wählen Sie entweder Ja oder Nein aus der Pulldown-Liste.
Name Geben Sie einen Namen zur Identifikation dieser VPN-Regel ein. Er darf maximal 32
IPSecSchlüsselmodus
Art der
Abstimmung
Lokal Lokale IP-Adressen müssen statisch sein und auf Seiten des IPSec-Routers der
Adresstyp lokal Wählen Sie eine der Optionen Einzeln, Adressbereich oder Subnet-Adresse aus der
IP-Startadresse Wenn Sie im Feld Adresstyp den Wert Einzeln ausgewählt haben, geben Sie hier eine
End-IP / SubnetMaske
Option legt fest, ob eine VPN-Regel angewandt wird, bevor ein Paket den Firewall
verlässt.
Wählen Sie die Option Ja, damit die SA automatisch reinitialisiert wird, falls ein
Zeitüberlauf stattfindet (auch dann, wenn kein Datenverkehr vorhanden ist). Der IPSecRouter der Gegenstelle muss dabei ebenfalls die Funktion zum Aufrechterhalten
aktiviert haben.
Zeichen umfassen. You may use any character, including spaces, but the Prestige
drops trailing spaces.
Wählen Sie entweder IKE oder Manuell aus der Pulldown-Liste. IKE bietet eine höhere
Sicherheit, daher wird diese Einstellung empfohlen. Die Option Manuell ist hilfreich zur
Fehlerbehebung.
Wählen Sie eine der Optionen Normal oder Aggressiv aus der Pulldown-Liste aus.
Wenn sich mehrere SAs über ein als sicher geltendes Gateway verbinden sollen,
müssen sie dieselbe Abstimmungsart verwenden.
Gegenstelle konfiguriert werden.
Zwei aktive SAs können beide dieselbe IP-Adresse auf lokaler Ebene oder auf der
Seite der Gegenstelle haben, aber niemals auf beiden Seiten gleichzeitig. Sie können
allerdings immer mehrere SAs mit den selben IP-Adressen auf lokaler Ebene und auf
Seiten der Gegenstelle konfigurieren, sofern nur eine von ihnen zur selben Zeit
verwendet wird.
Pulldown-Liste aus. Für eine einzelne IP-Adresse wählen Sie Einfach. Für einen
Bereich spezifischer IP-Adressen wählen Sie Adressbereich. Um die IP-Adressen
über die Subnet-Maske eines Netzwerks zu definieren, wählen Sie Subnet-Adresse.
(hinter dem Prestige befindliche) statische IP-Adresse des LAN-Netzwerks ein. Haben
Sie im Feld Adresstyp hingegen den Wert Adressbereich ausgewählt, müssen Sie die
(statische) IP-Startadresse der (hinter dem Prestige befindlichen) Computer im LAN
angeben. Wenn Sie im Feld Adresstyp den Wert Subnet-Adresse ausgewählt haben,
steht hier eine (hinter dem Prestige befindliche) statische IP-Adresse des LANNetzwerks.
Ist das Feld Adresstyp auf den Wert Einzeln eingestellt, steht hier der Wert N/Z. Ist es
hingegen auf den Wert Adressbereich eingestellt, geben Sie die (statische) IPEndadresse der (hinter dem Prestige befindlichen) Computer im LAN an. Wenn Sie im
Feld Adresstyp den Wert Subnet-Adresse ausgewählt haben, steht hier eine (hinter
dem Prestige befindliche) Subnet-Maske des LAN-Netzwerks.
33
Page 35
Prestige 652H/HW
Tabelle 10 VPN-IKE
BEZEICHNUNG BESCHREIBUNG
Gegenstelle IP-Adressen der Gegenstelle müssen statisch sein und auf Seiten des IPSec-Routers
Adresstyp
Gegenstelle
IP-Startadresse Wenn Sie im Feld Adresstyp den Wert Einzeln ausgewählt haben, geben Sie hier eine
End-IP / SubnetMaske
Lokale ID Wählen Sie IP, um den Prestige durch seine IP-Adresse zu identifizieren.
Inhalt Wenn Sie im Feld Lokale ID die Option IP wählen, geben Sie die IP-Adresse Ihres
konfiguriert werden. Die Felder für die Gegenstelle können nicht ausgefüllt werden,
wenn im Feld IP-Adresse sicheres Gateway der Wert 0.0.0.0 steht. In diesem Fall
kann das VPN nur vom IPSec-Router der Gegenstelle hergestellt werden.
Zwei aktive SAs können nicht dieselbe IP-Adresse auf lokaler Ebene und auf Seiten der
Gegenstelle haben. Zwei aktive SAs können beide dieselbe IP-Adresse auf lokaler
Ebene oder auf der Seite der Gegenstelle haben, aber niemals auf beiden Seiten
gleichzeitig. Sie können allerdings immer mehrere SAs mit den selben IP-Adressen auf
lokaler Ebene und auf Seiten der Gegenstelle konfigurieren, sofern nur eine von ihnen
zur selben Zeit verwendet wird.
Wählen Sie eine der Optionen Einzeln, Adressbereich oder Subnet-Adresse aus der
Pulldown-Liste aus. Für eine einzelne IP-Adresse wählen Sie Einfach. Für einen
Bereich spezifischer IP-Adressen wählen Sie Adressbereich. Um die IP-Adressen
über die Subnet-Maske eines Netzwerks zu definieren, wählen Sie Subnet-Adresse.
(hinter dem IPSec-Router der Gegenstelle befindliche) statische IP-Adresse des
entfernten Netzwerks ein. Haben Sie im Feld Adresstyp den Wert Adressbereich
eingestellt, geben Sie hier die (statische) IP-Startadresse der (im entfernten Netzwerk
hinter dem IPSec-Router der Gegenstelle befindlichen) Computer ein. Wenn Sie im
Feld Adresstyp den Wert Einzeln ausgewählt haben, geben Sie hier eine (hinter dem
IPSec-Router der Gegenstelle befindliche) statische IP-Adresse des entfernten
Netzwerks ein.
Ist das Feld Adresstyp auf den Wert Einzeln eingestellt, steht hier der Wert N/Z. Ist es
hingegen auf den Wert Adressbereich eingestellt, geben Sie die (statische) IPEndadresse der (hinter dem IPSec-Router befindlichen) Computer im Netzwerk der
Gegenstelle an. Wenn Sie im Feld Adresstyp den Wert Subnet-Adresse ausgewählt
haben, geben Sie hier eine (hinter dem IPSec-Router der Gegenstelle befindliche)
Subnet-Maske ein.
Wählen Sie DNS, um ihn durch einen Domainnamen zu identifizieren.
Wählen Sie E-Mail, um ihn durch eine E-Mail-Adresse zu identifizieren.
Computers ein, oder lassen Sie das Feld leer, damit der Prestige automatisch seine
eigene IP-Adresse verwendet.
Wenn Sie im Feld Lokale ID den Wert DNS auswählen, geben Sie hier einen
Domainnamen (maximal 31 Zeichen) ein, der den Prestige identifiziert.
Wenn Sie im Feld Lokale ID den Wert E-Mail auswählen, geben Sie hier eine E-MailAdresse (maximal 31 Zeichen) ein, die Ihren Prestige identifiziert.
Der Domainname bzw. die E-Mail-Adresse, die Sie im Feld Inhalt eingeben, wird nur
zur Identifikation verwendet und muss kein gültiger Domainname bzw. keine gültige EMail-Adresse sein.
34
Page 36
Prestige 652H/HW
Tabelle 10 VPN-IKE
BEZEICHNUNG BESCHREIBUNG
Meine IP-Adresse Hier geben Sie die WAN-IP-Adresse des Prestige ein. Wenn Sie dieses Feld auf 0.0.0.0
ID Gegenstelle Wählen Sie IP, um den IPSec-Router der Gegenstelle durch seine IP-Adresse zu
Inhalt Wenn Sie im Feld ID Gegenstelle die Option IP einstellen, geben Sie die IP-Adresse
IP-Adresse
sicheres Gateway
Encapsulation Wählen Sie eine der Optionen Tunnel oder Transport aus der Pulldown-Liste.
einstellen, benutzt Prestige seine eigene WAN-IP-Adresse (statisch oder dynamisch)
zum Herstellen des VPN-Tunnels.
Der VPN-Tunnel muss jedes Mal neu aufgebaut werden, wenn die IP-Adresse geändert
wird.
identifizieren.
Wählen Sie DNS, um ihn durch einen Domainnamen zu identifizieren.
Wählen Sie E-Mail, um den IPSec-Router der Gegenstelle durch eine E-Mail-Adresse
zu identifizieren.
des Computers ein, mit dem Sie eine VPN-Verbindung herstellen möchten. Lassen Sie
das Feld leer, damit der Prestige automatisch die Adresse aus dem Feld IP-Adresse
sicheres Gateway übernimmt.
Wenn Sie im Feld ID Gegenstelle den Wert DNS auswählen, geben Sie hier einen
Domainnamen (maximal 31 Zeichen) ein, der den IPSec-Router der Gegenstelle
identifiziert.
Wenn Sie im Feld ID Gegenstelle den Wert E-Mail auswählen, geben Sie hier eine EMail-Adresse (maximal 31 Zeichen) ein, die den IPSec-Router der Gegenstelle
identifiziert.
Der Domainname bzw. die E-Mail-Adresse, die Sie im Feld Inhalt eingeben wird nur
zur Identifikation verwendet und muss kein gültiger Domainname bzw. keine gültige EMail-Adresse sein. Ferner muss der Domainname nicht notwendigerweise mit der IPAdresse des Routers der Gegenstelle oder dem Wert im Feld IP-Adresse sicheres
Gateway übereinstimmen.
Geben Sie hier die WAN-IP oder die URL (maximal 31 Zeichen) des IPSec-Routers ein,
zu dem eine VPN-Verbindung hergestellt werden soll. Geben Sie den Wert 0.0.0.0 ein,
wenn der IPSec-Router eine dynamische WAN-IP-Adresse verwendet (in diesem Fall
muss das Feld Schlüsselverwaltung auf den Wert IKE gesetzt werden).
35
Page 37
Prestige 652H/HW
Tabelle 10 VPN-IKE
BEZEICHNUNG BESCHREIBUNG
VPN-Protokoll Wählen Sie ESP, wenn Sie die ESP-Funktion (Encapsulation Security Payload) nutzen
Zuvor
ausgetauschter
Schlüssel
VPN-Einrichtung Wählen Sie entweder DES, 3DES oder NULL aus der Pulldown-Liste.
Authentifizierungsalgorithmus
Erweitert Klicken Sie auf Erweitert, um weitere Einstellungen für die IKE-Schlüsselverwaltung
Löschen Wählen Sie Löschen, um eine Regel zu löschen.
möchten. Das ESP-Protokoll (RFC 2406) bietet eine Verschlüsselung und einige der
Dienste, die auch bei AH verfügbar sind. Haben Sie ESP eingestellt, müssen Sie die
Optionen für den Verschlüsselungsalgorithmus und den
Authentifizierungsalgorithmus einstellen (siehe unten).
Wählen Sie AH, wenn Sie das AH-Protokoll verwenden möchten (Authentication
Header Protocol). Das AH-Protokoll (RFC 2402) wurde dazu entwickelt, um die
Integrität, Authentifizierung, Sequenzintegrität (Wiederholungsfestigkeit) und
Anerkennung (allerdings nicht für Vertrauliches) zu bieten, für die ESP entwickelt
wurde. Haben Sie AH eingestellt, müssen Sie die Optionen für den
Authentifizierungsalgorithmus einstellen (siehe unten).
Geben Sie hier einen zuvor ausgetauschten Schlüssel ein. Ein zuvor ausgetauschter
Schlüssel identifiziert eine kommunizierende Partei während der IKE-Abstimmung in
Phase 1. Der Begriff "ausgetauscht" besagt, dass der Schlüssel bereits der anderen
Partei bekannt gegeben wird, bevor eine sichere Verbindung zu ihr hergestellt wird.
Wenn sich mehrere SAs über ein als sicher geltendes Gateway verbinden sollen,
müssen sie denselben zuvor ausgetauschten Schlüssel verwenden.
Wird DES für die Datenübertragung verwendet, müssen Sender und Empfänger den
gleichen Schlüssel verwenden, der zum Ver- und Entschlüsseln der Nachrichten bzw.
zum Erzeugen und Überprüfen der Authentifizierungscodes benötigt wird. Der DESVerschlüsselungsalgorithmus verwendet Schlüssel mit 56 Bit. Dreifach-DES (3DES) ist
eine DES-Variante mit 168 Bit. Aus diesem Grunde ist 3DES sicherer als DES. Diese
Option benötigt jedoch mehr Rechenleistung, sodass längere Wartezeiten und ein
geringerer Durchsatz die Folge sind. Wählen Sie NULL, damit ein Tunnel ohne
Verschlüsselung hergestellt wird. In diesem Fall muss kein Schlüssel eingegeben
werden.
Wählen Sie eine der Optionen SHA1 oder MD5 aus der Pulldown-Liste aus. MD5
(Message Digest 5) und SHA1 (Secure Hash Algorithm) sind so genannte "HashAlgorithmen" zum Authentifizieren der Paketdaten. SHA1 ist etwas sicherer als MD5,
jedoch auch langsamer. Wählen Sie MD5 für minimale und SHA-1 für maximale
Sicherheit.
vorzunehmen.
36
Page 38
Prestige 652H/HW
5.12 Sicherheitszuordnungen (SA) einsehen
Eine Sicherheitszuordnung, englisch Security Association (SA), ist eine Reihe von
Sicherheitseinstellungen, die sich auf einen bestimmten VPN-Kanal beziehen. In diesem Fenster
werden alle aktiven VPN-Verbindungen angezeigt. Mit Hilfe der Option Aktualisieren können Sie
die gegenwärtig aktiven VPN-Verbindungen einsehen. Die Werte in diesem Fenster lassen sich
nicht ändern.
Klicken Sie im Hauptbildschirm auf Erweiterte Einrichtung und anschließend auf Monitor, um
die SAs einzusehen.
Sofern nur ausgehender und kein eingehender Datenverkehr vorhanden ist,
findet nach zwei Minuten automatisch ein SA-Zeitüberlauf statt. Ein Tunnel,
über den weder ein- noch ausgehende Daten laufen, wird als "Bereit"
betrachtet, und es findet erst ein Zeitüberlauf statt, wenn der eingestellte
SA-Zyklus erreicht ist.
5.13 Übersicht zu UPnP
Universal Plug and Play (UPnP) ist ein offener Netzwerkstandard, der das TCP/IP-Protokoll
verwendet, um eine einfache Peer-to-Peer-Verbindung zwischen Geräten herzustellen. UPnP-Geräte
können sich dynamisch mit einem Netzwerk verbinden, eine IP-Adresse erhalten, ihre Fähigkeiten
mitteilen und Informationen über andere Geräte im Netzwerk erhalten. Umgekehrt können sie das
Netzwerk verlassen, wenn sie nicht mehr gebraucht werden.
UPnP-Geräte können frei untereinander und ohne besondere Konfiguration kommunizieren. Falls
dies nicht Ihr Ziel ist, sollten Sie UPnP deaktivieren.
Windows ME und Windows XP unterstützen UPnP. Auf der Microsoft-Webseite finden Sie weitere
Informationen zu anderen Betriebssystemen von Microsoft.
Installieren Sie unbedingt den UPnP-Security-Patch von Microsoft, bevor
Sie UPnP aktivieren. Weitere Hinweise finden Sie auf der Webseite von
Microsoft.
37
Page 39
Prestige 652H/HW
5.14 UPnP einrichten
Klicken Sie auf Erweiterte Einrichtung und anschließend auf UPnP, um das UPnP-Fenster
anzuzeigen.
Abbildung 25 UPnP
Die folgende Tabelle erläutert die in diesem Bildschirm vorhandenen Felder.
Tabelle 11 UPnP
BEZEICHNUNG BESCHREIBUNG
Universal Plug and Play
(UPnP) aktivieren
Konfigurationsänderungen
über UPnP zulassen
Firewall für UPnP öffnen Aktivieren Sie dieses Kontrollkästchen, um die Firewall für von UPnP-
Aktivieren Sie dieses Kontrollkästchen, um die UPnP-Funktion zu aktivieren.
Denken Sie daran, dass jeder, der Zugriff auf eine UPnP-Anwendung hat, den
Anmeldebildschirm des Web-Configurators öffnen kann, ohne dass er dazu die
IP-Adresse des Prestige eingeben muss (allerdings muss er dazu den richtigen
Benutzernamen und das richtige Kennwort haben).
Aktivieren Sie dieses Kontrollkästchen, damit UPnP-kompatible Anwendungen
automatisch Ihren Prestige konfigurieren können, sodass sie über diesen
kommunizieren können. Zum Beispiel können UPnP-Anwendungen über NAT
Transversal automatisch einen NAT-Umsetzungsport reservieren, um hierüber
mit einem anderen UPnP-Gerät zu kommunizieren. Dadurch müssen Sie die
Portumsetzung für die UPnP-Anwendung nicht manuell einrichten.
Anwendungen stammenden Datenverkehr zu öffnen.
Deaktivieren Sie es, damit die Firewall alle Pakete abweist, die von UPnPAnwendungen stammen (z.B. MSN-Pakete).
38
Page 40
Prestige 652H/HW
6 Problemlösung
Tabelle 12 Problemlösung
PROBLEM MÖGLICHE LÖSUNG
Nach dem Einschalten
leuchtet keine der
LED-Anzeigen auf.
Es kann keine
Netzwerkverbindung
zu Prestige hergestellt
werden.
Der PING-Befehl
erhält keine Antwort
von Computern im
lokalen Netzwerk.
Der PING-Befehl
erhält keine Antwort
von Computern im
drahtlosen Netzwerk.
Es wird keine WAN-IP
vom Internet-Provider
bezogen.
Kein Internet-Zugang Überprüfen Sie alle Einstellungen im WAN-Bildschirm.
Stellen Sie sicher, dass Sie das richtige Netzteil mit Prestige und einer stromführenden
Steckdose verbunden haben. Überprüfen Sie alle Kabelverbindungen.
Falls die LED-Anzeigen immer noch nicht aufleuchten, liegt möglicherweise ein
Hardwarefehler vor. Wenden Sie sich in diesem Fall an Ihren Fachhändler.
Prüfen Sie die Kabelverbindungen zwischen Prestige und Ihrem Computer bzw. Hub.
Siehe den Abschnitt Anschlüsse der Rückseite.
Senden Sie eine Ping-Anfrage von einem Computer im LAN an den Prestige. Stellen
Sie sicher, dass die Ethernet-Netzwerkkarte Ihres Computers fehlerfrei arbeitet.
Falls die LAN-LED-Anzeigen nicht leuchten, prüfen Sie alle Kabelverbindungen
zwischen Prestige und den Computern im Netzwerk.
Überprüfen Sie die Einstellungen für IP-Adresse und Subnet-Maske des Prestige und
allen LAN-Computern, die denselben IP-Adressbereich verwenden.
Stellen Sie sicher, dass die Erweiterungskarte für die drahtlosen Netzwerkfunktionen
korrekt im Einschub des Prestige installiert ist und die WLAN-LED-Anzeige leuchtet.
Stellen Sie sicher, dass der Adapter für die drahtlosen Netzwerkfunktionen des Clients
fehlerfrei arbeitet.
Stellen Sie sicher, dass Prestige und alle Clients im drahtlosen Netzwerk dieselbe
ESSID, denselben Kanal und dieselben WEP-Schlüssel (sofern die WEPVerschlüsselung aktiviert ist) verwenden.
Überprüfen Sie die Einstellungen für Encapsulation, Multiplexing und VPI/VCI (siehe
den Abschnitt 4.3).
Wenn Sie PPPoE- oder PPPoA-Encapsulation verwenden, benötigen Sie einen
Benutzernamen und ein Kennwort. Stellen Sie sicher, dass Sie die richtigen
Dienstnamen (nur für PPPoE-Encapsulation), Benutzernamen und Kennwort
verwenden (beachten Sie ebenfalls, dass der Benutzername und das Kennwort Großund Kleinschreibung unterscheiden). Siehe den Abschnitt 4.3.
Stellen Sie sicher, dass der eingegebene Benutzername und das dazugehörige
Kennwort richtig sind.
Stellen Sie für die drahtlosen Clients sicher, dass Prestige und alle Clients im
drahtlosen Netzwerk dieselbe ESSID, denselben Kanal und dieselben WEP-Schlüssel
(sofern die WEP-Verschlüsselung aktiviert ist) verwenden.
39
Loading...