Herunterladen
Teilen
Diese Seite drucken
  1. Anleitungen
  2. Marken
  3. Multidata Anleitungen
  4. Netzwerkhardware
  5. HERMES-PRO
  6. Handbuch

Multidata HERMES-PRO Handbuch

Vorschau ausblenden Andere Handbücher für HERMES-PRO:

Werbung

Quicklinks

Diese Anleitung herunterladen
HERMES-PRO/P3X
Handbuch
Version 1.0

Werbung

loading

Verwandte Anleitungen für Multidata HERMES-PRO

Inhaltszusammenfassung für Multidata HERMES-PRO

  • Seite 1 HERMES-PRO/P3X Handbuch Version 1.0...
  • Seite 2 Die MULTIDATA GmbH übernimmt keinerlei Haftung für Folgeschäden jeder Art, die sich aus der Benutzung des Routers HERMES-PRO/P3X, der mitgelieferten Software und der dazugehörigen Dokumentation ergeben, sofern sie nicht aufgrund von Vorsatz oder grober Fahrlässigkeit seitens der...
  • Seite 3 ISDN Schicht 2 und Schicht 3 Protokolle ........21 Schutz vor Mißbrauch..............22 5.10 PPP über ISDN................22 5.11 Callback..................22 5.12 Kanalbündelung................24 5.13 Interoperabilität................25 Firewall-Mechanismus ...............27 Konfigurationsmöglichkeiten ............28 Arbeitsweise von IP-Tables ............29 Chains für HERMES-PRO............31 Die Stationen eines Pakets ............33 Konfigurationsmenüs..............34 6.5.1 IP Tables (Firewall)...............34 6.5.2 New IP Tables Set................34...
  • Seite 4 Inhaltsverzeichnis 6.5.3 Edit IP Tables Set.................35 Format der Konfigurationsdatei ............38 6.6.1 Abschnitt [IPTABLESSECTIONS] ..........38 6.6.2 Abschnitt [Tabellenname_nnn] .............38 Portdefinition.................41 Protokolldefinition .................41 Tipps zur Konfiguration..............42 6.10 Konfigurationsbeispiele ..............43 IPSec und VPN................45 Anwendungsfälle ................46 DynDNS..................47 Interoperabilität................48 7.3.1 Dynamische IP-Adressen .............48 7.3.2 Parameteraushandlung mit ISAKMP..........48 7.3.3 Manuelle Schlüsselkonfiguration ..........50 7.3.4...
  • Seite 5 Inhaltsverzeichnis 12.1.3 Port Forwarding ................73 12.1.4 IPSec and VPN................75 12.1.5 L2TP .....................80 12.1.6 Failover ..................81 12.2 IP Services ...................83 12.2.1 Name Service ................83 12.2.2 DHCP Server................84 12.2.3 DynDNS..................86 12.3 System..................88 12.3.1 General Router ................88 12.3.2 E-Mail ...................90 12.3.3 Scheduler ..................91 12.3.4 Reboot ..................92 12.4...
  • Seite 6 Inhaltsverzeichnis 13.1.6 Abschnitt [peerCHAP]..............116 13.1.7 Abschnitt [Failover] ..............117 13.1.8 Abschnitt [Mail] ................118 13.1.9 Abschnitt [INTERFACES] ............119 13.1.10 Abschnitt [DHCPRange] .............120 13.1.11 Abschnitt [DHCPMappingn]............120 13.1.12 Abschnitt [PortForwardingn] ............121 13.1.13 Abschnitt [IPSecn] ..............122 13.1.14 Abschnitt [VPNRouten]...............125 13.1.15 Abschnitt [L2TP] .................126 13.1.16 Abschnitt [Schedulern]..............127 13.1.17 Abschnitt [DynDNS] ..............128 13.1.18 Abschnitt [TRACE]..............129 13.2...
  • Seite 7 Inhaltsverzeichnis Begriffe und Abkürzungen ............155 Literaturverzeichnis ..............159 Garantiebedingungen ..............161...
  • Seite 9 VPN-Konfiguration und die Interoperabiliät mit VPN-Gegenstellen anderer Hersteller. Standardmäßig stellt HERMES-PRO/P3X einen Remote CAPI Server zur Verfügung. Im Lieferumfang von HERMES-PRO/P3X ist eine Remote CAPI (capi2032.dll) für Windows-Clients enthalten. Für den Einsatz unter UNIX bzw. Linux wird libcapi20.so bereitgestellt, welche die Funktionalität eines Remote CAPI Clients realisiert.
  • Seite 10 HERMES-PRO Leistungsmerkmale Software: Redundante WAN-Schnittstelle für erhöhte Ausfallsicherheit IP-Routing über ISDN und Ethernet IP-Gateway und PPPoE-Funktionalität Unterstützung von bis zu 120 B-Kanälen auf max. 4 S -Schnittstellen intelligentes Leitungsmanagement (Short-Hold-Modus) PPP mit Authentisierungsverfahren CHAP und PAP Rückruf, gesteuert über D-Kanal oder PPP Firewall-Funktionalität...
  • Seite 11 Kurzbeschreibung Lieferumfang Zum Lieferumfang gehören: der Router HERMES-PRO/P3X mit integr. Netzteil und dieses Handbuch ein 3 m langes gelbes ISDN S -Kabel, ein rotes Ethernetkabel, ein V.24-Kabel und ein Netzanschlußkabel. MULTIDATA behält sich jedoch das Recht vor, Änderungen am Lieferumfang ohne Vorankündigung vorzunehmen.
  • Seite 12 Rufnummer (MSN) soll der Router bei eingehenden Rufen reagieren? Aufstellen und Anschließen Ihr Router HERMES-PRO/P3X muß an einem trockenen, sauberen und gut belüfteten Ort aufgestellt werden. Das Gerät enthält keinen Lüfter, der ausfallen könnte, dafür muß aber die Luftzirkulation insbesondere an den Be- und Entlüftungsschlitzen gewährleistet sein!
  • Seite 13 Leuchtdiode und die grüne Leuchtdiode für LAN1, sobald das Betriebssystem bereit ist. Bedeutung der LED Anzeigen Auf der Frontplatte von HERMES-PRO/P3X befinden sich mehrere Gruppen von LEDs, deren Bedeutung in den folgenden Tabellen erklärt ist: Buchse Farbe Bedeutung Grün...
  • Seite 14 HERMES-PRO Erste Schritte Die IP-Schnittstellen von HERMES-PRO/P3X sind bei der Auslieferung auf folgende Werte gestellt: Schnittstelle IP Adresse Neztmaske Ethernet 192.168.1.1 255.255.255.0 ISDN tun0 192.168.3.1 Tab. 2: IP Adressen Die voreingestellten IP Adressen sind Intranet IP Adressen, die im Internet nicht vorkommen dürfen.
  • Seite 15 Tab. 3: V.24 Schnittstelle Sie sollten (eventuell nachdem sie einmal die Return-Taste betätigt haben) den Login-Prompt sehen: HERMES-PRO login: Nun können Sie sich als Benutzer root einloggen. Sie werden nach einem Passwort gefragt. Das Kennwort, welches bei der Auslieferung eingestellt ist heisst:...
  • Seite 17 USB Schnittstelle In HERMES-PRO/P3X ist eine USB Host Schnittstelle eingebaut. An diese Schnittstelle können prinzipiell verschiedene USB Geräte angeschlossen werden. Zur Zeit werden jedoch lediglich USB-Speicher (Memory Devices) unterstützt. Es gibt zwei Anwendungsfälle, bei denen USB-Speicher eingesetzt werden können. Start mit spezieller Konfiguration Es ist möglich, den Router zu starten, so dass die Konfigurationsdateien...
  • Seite 18 HERMES-PRO Für Testzwecke können Sie auch weitere Startup Skripte verwenden, welche Sie selber erstellen oder von MULTIDATA geliefert bekommen, wie z. Β.: (zusätzlich statische Routen) \etc\S09route (Überprüfung auf abgestürzte Programme) \etc\S40watchdog Ausserdem können Zertifikate auf den Router übertragen werden. Verwendung zur Laufzeit Sie können den USB-Speicher auch zur Laufzeit an den Router...
  • Seite 19 Routerfunktion Struktur HERMES-PRO/P3X liegt ein UNIX Betriebssystem zugrunde. Die Basis der Routerfunktion ist der Softwarerouter HERMES-IP. Die IP-Schnittstelle Die Schnittstelle zum TCP/IP Protokoll-Stack bildet der tun Treiber, der sich als Netzwerkschnittstelle tun0 darstellt. Alle IP-Pakete werden transparent zu dem Benutzerprozeß isdnd durchgereicht. Das Vorhandensein der...
  • Seite 20 HERMES-PRO bekannt gemacht. Die Verbindung wird von tun als Punkt-zu-Punkt- Verbindung (Point-To-Point) klassifiziert (nicht zu verwechseln mit PPP). Durch die Punkt-zu-Punkt-Konfiguration ist gewährleistet, daß sporadische IP-Pakete, wie sie z.B. auf einem Ethernet für Routenwahlinformationen übertragen werden, nicht auftreten. Der TCP/IP Knoten isdnd verwaltet beliebig viele Verbindungen zu weiteren Knoten, die über ISDN zu erreichen sind.
  • Seite 21 Die von der CAPI-Implementierung unterstützten Protokolle können mit dem Befehl hcmd -p in Erfahrung gebracht werden. Die zur Zeit von HERMES-PRO/P3X unter- stützten Protokolle sind im Anhang B.2 Tabelle der B-Protokolle aufgelistet. Als Schicht 2 Protokoll wird Transparent HDLC empfohlen. Das Protokoll X.75 realisiert unter anderem eine Datensicherung, die für TCP/IP nicht...
  • Seite 22 Dienste durch unbefugte Anrufer verhindert. 5.10 PPP über ISDN HERMES-PRO/P3X unterstützt synchrones PPP über ISDN (RFC 1548, RFC 1618), IP Adressaushandlung (RFC 1332), die Authentisierungs- verfahren CHAP (RFC 1994) und PAP (RFC 1172) und die LCP Erweiterung für automatischen Rückruf (RFC 1570).
  • Seite 23 NT 4.0 verwendet wird. Zu MS Callback gibt es kein RFC, es existiert jedoch ein (inzwischen veraltetes) Internet-Draft Dokument, über folgende Adresse bekommen ist: ftp://ftp.multidata.de/pub/doc/mscbcp.txt. CBCP wird über PPP ausgehandelt. Dabei bietet der Angerufene an, den Anrufenden über bestimmte Vorgehensweisen zurückzurufen. Der Anrufer kann...
  • Seite 24 5.12 Kanalbündelung Die automatische Kanalbündelung (Bandwidth On Demand, BOD) dient zur Erhöhung des Nutzdatendurchsatzes und ist in HERMES-PRO/P3X in einer proprietären Methode implementiert. Wenn zu einer Gegenstelle mehrere B-Kanäle aufgebaut sind, dann teilt der Routingprozeß prinzipiell die Datenpakete gleichmäßig auf die bestehenden B-Kanäle auf. Bei zwei B-...
  • Seite 25 Web-Browser setzt die Einstellung BOD=YES den Parameter MaxChan auf 2. 5.13 Interoperabilität Die Interoperabilität wurde bisher mit folgenden Fremdprodukten getestet: SonicWALL BIANCA/BRICK Cisco ITK-Router Windows NT/2000/XP/7 MULTIDATA garantiert jedoch nicht für die einwandfreie Zusammenarbeit mit diesen und anderen Produkten.
  • Seite 27 Netz ausgehenden Informationen müssen die Firewall passieren. Eine Firewall entscheidet anhand bestimmter Kriterien, ob ein Paket durchgelassen oder verworfen wird. In HERMES-PRO/P3X wird die Open Source Firewall-Implementierung IP- Tables eingesetzt. Die Konfiguration von IP-Tables erfolgt über das Benutzerkommando iptables, welches in der Routersoftware enthalten ist und auf dem Router benutzt werden kann.
  • Seite 28 HERMES-PRO Konfigurationsmöglichkeiten Durch die IP-Nummern bezogenen Regeln wird unterstützt, dass nur bestimmbare Rechner aus dem Intranet ins Internet kommen. Regeln für beliebige Protokolle lassen sich definieren. Zusätzlich zu TCP, UDP und ICMP lassen sich auch Regeln für z. B. AH und ESP definieren.
  • Seite 29 Firewall-Mechanismus Arbeitsweise von IP-Tables IP-Tables definiert den Begriff Chains. Chains haben einen Namen und enthalten eine sortierte Liste von Regeln. Es gibt drei vordefinierte Chains mit den Namen INPUT, OUTPUT und FORWARD. Die vordefinierten Chains enthalten zusätzlich eine Policy, die entweder ACCEPT oder DROP lautet.
  • Seite 30 HERMES-PRO Weiterhin gibt es benutzerdefinierte Aktionen. Der Name einer benutzer- definierten Aktion muss identisch zu dem Namen einer bestehenden benutzerdefinierten Chain sein. Die Bedeutung einer benutzerdefinierten Aktion ist, dass die Abarbeitung mit der ersten Regel der angegebenen benutzerdefinierten Chain fortgesetzt wird. Man kann sagen, die benutzer- definierte Chain wird aufgerufen.
  • Seite 31 Aufrufe umgesetzt werden. Eine Regel tritt sofort nach ihrer Definition über die Weboberfläche in Kraft. Beim Start von HERMES-PRO legt der isdnd Prozess einige Chains an, welche eine Umgebung definieren, die für benutzerdefinierte Chains verwendet wird. Das Kommando iptabels -L bzw. iptables -L -v zeigt die definierten Regeln an.
  • Seite 32 HERMES-PRO Auswahl DROP: Auf dem Router wird zusätzlich ein Eintrag in der Datei isdnd.log gemacht, wenn Debug 6 aktiv ist. Dies entspricht der Standardeinstellung. Auswahl REJECT: Auf dem Router wird zusätzlich ein Eintrag in der Datei isdnd.log gemacht, wenn Debug 6 aktiv ist. Dies entspricht der Standardeinstellung.
  • Seite 33 Firewall-Mechanismus Die Stationen eines Pakets Die Struktur der Chains bewirkt, dass ein Paket von einer Standard-Chain (INPUT, OUTPUT, FORWARD) zu der Chain isdnd-fw springt. Von dort geht es zu den Standardregeln (isdnd-std). Wenn das Paket dort nicht gepasst hat, kommt es zur isdnd-fw Chain zurück. Dann kommt das Paket zu der benutzerdefinierten Chain, welche dem Peer zugeordnet ist, zu welchem das Paket von isdnd geroutet werden soll.
  • Seite 34 IP Tables (Firewall) Dieses Menü erlaubt benutzerdefinierte Chains hinzuzufügen, zu ändern und zu löschen. Die HERMES-PRO spezifische Chain mit dem Namen SYSTEM ist immer vorhanden und kann nicht gelöscht werden. Eine benutzerdefinierte Chain darf nur gelöscht werden, wenn es keine Verweise aus der Peer Tabelle auf diese Chain gibt, damit keine inkonsistenten Zustände entstehen.
  • Seite 35 Firewall-Mechanismus 6.5.3 Edit IP Tables Set Das folgende Menü erscheint bei Betätigung des edit Links im Menü IP Tables (Firewall) bei einer neu angelegten Chain. Die Tabellenzeile, die auf alle Pakete passt und als Aktion den Wert RETURN hat, erscheint immer und ist weder editierbar noch löschbar.
  • Seite 36 HERMES-PRO Destination IP Beschreibung: IP-Nummer des Ziels. Dieser Wert ist in Punktschreib- weise oder als DNS Name anzugeben. In Verbindung mit Destination Mask beschreibt dieser Wert den IP-Nummernkreis des Ziels der Pakete, für welche diese Regel definiert ist. Beispiel: 192.168.129.0 Standardeinstellung: 0.0.0.0...
  • Seite 37 Firewall-Mechanismus Target Dieser Parameter bestimmt die Aktion und somit was mit dem IP Paket geschehen soll, das auf die oben beschriebenen Parameter passt. DROP verwirft das Paket. Das Paket führt niemals zu einem ISDN/PPP Verbindungsaufbau. Abhängig von den Debug-Einstellungen erscheint in der Logdatei ein Eintrag, dass dieses Paket verworfen wurde.
  • Seite 38 HERMES-PRO Format der Konfigurationsdatei 6.6.1 Abschnitt [IPTABLESSECTIONS] Dieser Abschnitt enthält das Verzeichnis aller definierten Tabellen bzw. Regeln und deren Beschreibung. IPTABLESSECTn = Tabellenname Die Namen IPTABLESECT sind aufsteigend beginnend mit 0 numeriert. Bei der Speicherung der Konfiguration aus der Weboberfläche ergibt sich Tabellenname aus dem Bezeichner aus der Tabelle Firewall Sections.
  • Seite 39 Firewall-Mechanismus Beispiel: SrcIP = 192.168.1.0 Standardeinstellung: 0.0.0.0 SrcMask = Netzmaske Beschreibung: Netzmaske Quelle. Dieser Wert Punktschreibweise anzugeben. Beispiel: SrcMask = 255.255.255.0 Standardeinstellung: 255.255.255.255 DstIP = IP-Nummer Beschreibung: IP-Nummer des Ziels. Dieser Wert ist in Punktschreib- weise oder als DNS Name anzugeben. In Verbindung mit DstMask beschreibt dieser Wert den IP-Nummernkreis des Ziels der Pakete, für welche diese Regel definiert ist.
  • Seite 40 HERMES-PRO Protos = Protokolldefinition Die Protokolldefinition beschreibt ein oder mehrere Protokolle (TCP, UDP, ICMP, ESP, ...), für welche diese Regel definiert ist. Die Protokolldefinition any bezeichnet beliebige Protokolle. Beispiel: Protocols = ESP Standardeinstellung: any Target = [DROP|ACCEPT|RETURN|Tabellenname] Dieser Parameter bestimmt, was mit dem IP Paket geschehen soll, das auf die oben beschriebenen Parameter passt.
  • Seite 41 Firewall-Mechanismus Portdefinition Mengen von Ports lassen sich auf bequeme Weise definieren, damit die Anzahl Tabellenzeilen nicht überhand nimmt. Bereich zusammenhängender Portnummern ist durch Angabe des ersten und letzten Ports getrennt durch Doppelpunkt (:) anzugeben. Eine Aufzählung von Portnummern ist durch Komma (,) zu trennen. Sowohl symbolische Portnamen entsprechend der Datei /etc/services, als auch Portnummern zwischen 1 und 65536 sind erlaubt.
  • Seite 42 HERMES-PRO Tipps zur Konfiguration Die letzte Regel einer benutzerdefinierten Chain, sollte auf alle Pakete passen und das Paket entweder verwerfen oder durchlassen, nicht jedoch ein RETURN ausführen, d. h.: Beschreibung Wert Quell-IP-Adresse 0.0.0.0 Quell-IP-Maske 0.0.0.0 Ziel-IP-Adresse 0.0.0.0 Ziel-IP-Maske 0.0.0.0 TCP Ports...
  • Seite 43 Firewall-Mechanismus 6.10 Konfigurationsbeispiele Beispiel 1: Zugang aller Rechner im LAN zum Internet mit Nameserver. LAN: 210.21.1.0 Router Ethernet Schnittstelle: 210.21.1.106 Default Route auf allen Rechnern: 210.21.1.106. Nameserver für alle Rechner: 210.21.1.106. [PEERSECTIONS] PEERSECT1 = arcor [arcor] PeerIP = 0.0.0.0 Netmask = 0.0.0.0 Call = 00192070 Listen = - L2Prot = 5...
  • Seite 44 HERMES-PRO [FWinternet_002] Target = ACCEPT SrcIP = 210.21.1.0 SrcMask = 255.255.255.0 DstIP = 0.0.0.0 DstMask = 0.0.0.0 Desc = "alle Rechner aus dem LAN dürfen raus" [FWinternet_003] Target = DROP SrcIP = 0.0.0.0 SrcMask = 0.0.0.0 DstIP = 0.0.0.0 DstMask = 0.0.0.0 Desc "Diese...
  • Seite 45 IPSec und VPN Dieses Kapitel beschreibt die Funktionsweise der VPN Implementierung und die VPN Konfiguration. Achtung: MULTIDATA empfiehlt aus Stabilitätsgründen und aus Kostengründen einen Internetzugangstarif zu verwenden, welcher es erlaubt, permanent Online sein zu können, wie z. B. eine Flatrate oder T-DSL Volumentarife. Damit der Router nach einer Zwangstrennung durch den ISP sofort wieder Online geht, muss der Konfigurationsparameter Idle in den Menüs der Weboberfläche bzw.
  • Seite 46 HERMES-PRO Anwendungsfälle Einige Anwendungsfälle aus dem Apothekenumfeld: Fernwartung: Das Apothekensoftwarehaus wählt sich in das Apotheken LAN ein und greift dort auf verschiedene Rechner und Dienste transparent zu. Softwareupdate: Ein Rechner aus der Apotheke kontaktiert einen Updateserver. Partnerapotheke: Zwei oder mehr Apotheken tauschen Daten aus, z. B.
  • Seite 47 IPSec und VPN DynDNS HERMES-PRO unterstützt die Protokolle verschiedener DynDNS Server, bei denen er sich mit einem konfigurierbaren Namen registriert. Als IP-Adresse trägt er immer die Internetadresse ein, die er vom ISP zugeteilt bekommen hat. Achtung: Namensauflösung IPSec Gegenstellen geschieht über den Nameserver des ISP und nicht über den kon- figurierten DynDNS Server.
  • Seite 48 DynDNS Server anmelden. 7.3.1 Dynamische IP-Adressen Eine besondere Fähigkeit von HERMES-PRO ist, dass er Verbindungen mit IPSec-Gegenstellen aufbauen kann, welche weder eine feste IP-Adresse haben, noch ständig online sind. Die IP-Adresse des entfernten Tunnelendpunktes ermittelt HERMES-PRO dynamisch und fortlaufend durch Nameserverabfragen.
  • Seite 49 IPSec und VPN Unter anderem wird dabei Schlüsselmaterial ausgetauscht: IKE (Internet Key Exchange). Das Protokoll läuft in zwei Phasen ab. In beiden Phasen werden Parameter ausgehandelt. Die Aushandlung ist erfolgreich, wenn beide Seiten alle Parameter der Gegenseite akzeptieren. Da lediglich die erste Nachricht unverschlüsselt übertragen wird, muss spätestens bei der zweiten Nachricht die Identität der Gegenstelle bekannt sein, damit der richtige Schlüssel verwendet wird.
  • Seite 50 HERMES-PRO alle 12 Sekunden ein R_U_THERE Paket an die Gegenstelle. Wenn die Gegenstelle dies nicht beantwortet, dann versucht HERMES-PRO 5 mal im Abstand von jeweils 5 Sekunden die Gegenstelle zu erreichen. Also wird spätestens nach 37 Sekunden erkannt, dass die Gegenstelle nicht mehr erreichbar ist.
  • Seite 51 IPSec und VPN 7.3.5 NAT-Traversal Routerimages ab V3.23 unterstützen NAT-Traversal nach RFC 3947 und ebenfalls die Kompatibilitätsmodi draft-ietf-ipsec-nat-t-ike-02 und draft-ietf- ipsec-nat-t-ike-03. NAT-Traversal wird benötigt, wenn zwischen den IPSec Gegenstellen eine Network Address Translation (NAT) durchgeführt wird. Dies ist z. B. beim Anwendungsfall Heimarbeitsplatz gegeben, wenn gleichzeitig von mehreren Windows PCs hinter einem Einwahlrouter auf eine Apotheke zugegriffen werden soll.
  • Seite 52 HERMES-PRO Firewalleinstellungen Die Firewall ist so eingestellt, dass nur Pakete an den Port 500 (isakmp)n den Port 4500 (NAT-T) und Pakete des ESP und des ICMP Protokolls den Router erreichen. Diese Regeln werden automatisch aktiv, sobald eine Internetverbindung besteht. TCP und UDP Verbindungen vom LAN in das Internet sind nicht betroffen.
  • Seite 53 Failover Failover Dieses Kapitel beschreibt die Anwendungsfälle, die Funktionsweise und die Konfiguration des Failover-Mechanismus. Der Failover-Mechanismus dient zur Ausfallsicherung der primären Internetverbindung bzw. einer VPN Route. Sobald der Router feststellt, dass die primäre Internetverbindung bzw. die VPN Route ausgefallen ist, baut er eine konfigurierbare, alternative Verbindung auf.
  • Seite 54 Vorkehrungen beim Betreiber des Routers muss gewährleistet sein, dass dann Maßnahmen ergriffen werden, welche die Zusatzkosten kontrollieren. MULTIDATA übernimmt keine Haftung für entstandene Zusatzkosten. Die automatisch generierte E-Mail enthält im Betreff eine Laufnummer, die Softwareversion und die Seriennummer des Routers. Beispiel: #1 4.56HPROX SN634 Testmail...
  • Seite 55 Failover der Router die Verbindung nach der Zwangstrennung sofort wieder auf. In der Zeitdauer zwischen der Zwangstrennung und dem erfolgreichen Wiederaufbau ist keine Internetverbindung aktiv. Die tägliche Zwangstrennung sollte nicht zu einer Aktivierung der alternativen Internetverbindung führen. Längere Ausfälle der primären Verbindung müssen jedoch zur Aktivierung der alternativen Verbindung führen.
  • Seite 56 HERMES-PRO Durch defekte oder gestörte Hardware beim ISP ist keine Verbindung zum Einwahlknoten (BRAS) des ISP möglich. Die Funktionsfähigkeit der Verbindung bis zum BRAS stellt der HER- MES-Router durch kontinuierliche PPP-Echo-Anforderung an den BRAS fest. Wenn die Antworten des BRAS für ca. 50 Sekunden ausbleiben, dann trennt der HERMES-Router die Verbindung und kann sie bei den genannten Störungen auch nicht wieder aufbauen.
  • Seite 57 Failover 8.2.3 VPN-Route Bei der Konfiguration der überwachten Verbindungen kann alternativ zur primären Internetverbindung eine VPN-Route ausgewählt werden. Der IPSEC Tunnelendpunkt für die ausgewählte Route muss eine IKE konfigurierte Gegenseite sein, bei welcher "Auto Tunnel Up" (ATU) aktiv ist. Wenn ATU aktiv ist, sollte die Gegenstelle permanent erreichbar sein. Sie ist nur für die kurze Zeitspanne nicht erreichbar, in der eine Zwangstrennung durch den Internet Service Provider geschieht.
  • Seite 58 HERMES-PRO Konfiguration Für Konfiguration Failover müssen einige Einstellungen vorgenommen werden. 1. Im Menü Configuration Assistant muss genau eine Internet Verbindung den Typ "normal" zugeordnet sein. Der Parameter Idle muss den Wert "-3" (Always On) haben. Siehe auch: Handbuch für den Konfigurations- assistenen.
  • Seite 59 VRRP VRRP Das Virtual Router Redundancy Protocol (VRRP) ist ein standardisiertes Verfahren (RFC3768) zur Ausfallsicherung von Routern. Das Verfahren dient dazu, mehrere physikalische Router wie einen einzigen virtuellen Router erscheinen zu lassen. Von den vorhandenen physikalischen Routern ist einer der Master, welcher die Verbindung ins Internet zur Verfügung stellt.
  • Seite 60 VCAPI ISDN-Hardware Routers HERMES-PRO/P3X (Server) nutzen. Den CAPI-Applikationen wird eine capi2032.dll und eine capi20.dll als Schnittstelle zur Verfügung gestellt. Es wird keine Schnittstelle auf Device Driver Level zur Verfügung gestellt (siehe capi 1999, Teil 2). NDIS-Wrapper oder Anwendungen wie z.B.
  • Seite 61 Verzeichnis %SystemRoot%\system32 befinden, um von allen Anwen- dungen gefunden zu werden. Die IP Adresse und die Portnummer des VCAPI Servers (rcapid) muß in der Registry mit dem Programm regedit.exe eingetragen werden: HKEY_LOCAL_MACHINE\SOFTWARE\MULTIDATA\VCAPI\Client VCAPI_SERVER_ADDR die IP Nummer des Servers in Punktschreibweise als Zeichenkette. VCAPI_SERVER_PORT_NO die Portnummer des VCAPI Service (7703) als Zeichenkette.
  • Seite 62 HERMES-PRO Wert (Achtung gibt VCAPI_SERVER_CONTROLLER DWORD Controllernummer auf dem Server an, welche die capi2032.dll auf die lokale Controllernummer abbildet. Beispiel: Es soll ein HERMES-PRO/X+ (S0) mit der IP-Adresse 192.168.1.10 und ein HERMES-PRO/P3X (vier S2M) IP-Adresse 192.168.1.11 konfiguriert werden..\Client\1\VCAPI_SERVER_CONTROLLER ..\Client\1\VCAPI_SERVER_ADDR 192.168.1.10...
  • Seite 63 CAPI-Serverfunktion %SystemRoot%\system befinden, um von allen Anwendungen gefunden zu werden. Die capi20.dll enthält nur eine Umsetzung auf die capi2032.dll und muß deshalb nicht konfiguriert werden. 10.2.4 UNIX Für verschiedene UNIX Systeme (AIX, Linux) gibt es Multiserver VCAPI Client Implementierungen. Die Schnittstelle zu CAPI Anwendungen dient die vom CAPI Arbeitskreis spezifizierte Shared-Library für Linux.
  • Seite 65 Allgemeines zur Konfiguration Die Konfiguration von HERMES-PRO/P3X kann über einen Web-Browser und über folgende Konfigurationsdateien erfolgen: /usr/lib/hermes/isdnd.cfg /etc/passwd /etc/hosts Alle Einstellungen über den Web-Browser werden sofort wirksam, falls dies nicht anders angegeben ist. Die Konfigurationsdateien werden nicht automatisch aktualisiert. Im Menü Configuration Management/Advanced speichert der Menüpunkt Save configuration to files die Konfiguration in den...
  • Seite 66 HERMES-PRO Konfiguration über einen Web- Browser Im folgenden werden die verschiedenen Menüs beschrieben, die eine Konfiguration über einen beliebigen Web-Browser ermöglichen. Die Konfigurationsmenüs sind über folgende Adresse erreichbar: http://IP-Adresse:7705/ 12.1 Interfaces and Routing In diesem Abschnitt können die Netzwerkschnittstellen und das Routing konfiguriert werden.
  • Seite 67 Konfiguration über einen Web-Browser Bei einem Zugang über ein DSL Modem an der WAN1 Schnittstelle müssen Sie pppoe eintragen. Standardeinstellung: dieser Parameter ist zwingend erforderlich. Username Diese Zeichenkette wird verwendet, um die lokale Station bei der Gegenstelle zu identifizieren. Wenn die Zeichenkette leer ist, dann erfolgt keine Anmeldung. Standardeinstellung: leer Password Diese Zeichenkette wird als Kennwort für die Anmeldung der lokalen...
  • Seite 68 HERMES-PRO Nameserver List Hier können Sie eine durch Komma getrennte Liste von Nameservern angeben. Standardeinstellung: leer New Internet via IP-Gateway Mit diesem Menü konfigurieren Sie den Internetzugang über einen externen Router bzw. über ein Kabelmodem. Peer Name Symbolischer Abschnittsname. Dieser Name muss in der Konfiguration eindeutig sein.
  • Seite 69 Konfiguration über einen Web-Browser Achtung: Die IP Adresse und die Netzmaske der WAN Schnittstelle dürfen nicht mit der IP Adresse und Netzmaske der LAN Schnittstelle identisch sein, da dann LAN Rechner evtl. nicht mehr erreichbar sind. Wenn die IP Adresse des Gateways eine LAN Adresse ist, dann muss als Netzmaske der Wert 255.255.255.255 verwendet werden.
  • Seite 70 HERMES-PRO Peer Name Symbolischer Abschnittsname. Dieser Name muss in der Konfiguration eindeutig sein. Standardeinstellung: dieser Parameter ist zwingend erforderlich. Telno Signaled Anhand der von ISDN signalisierten Rufnummer der Gegenstelle (Calling Party Number) wird bei ankommenden Rufen die Gegenstelle identifiziert und authentisiert. Ist das erste Zeichen ein Stern (*) dann wird die signalisierte Rufnummer von hinten mit der Ziffernfolge verglichen (Postfix Vergleich).
  • Seite 71 Konfiguration über einen Web-Browser Der Wert -1 bedeutet, dass die Verbindung niemals wegen Inaktivität abgebaut wird. Die Standardeinstellung beträgt -2. New Router-Router-Connection In diesem Menü konfigurieren Sie die Verbindung zweier LANs über ISDN. Peer Name Symbolischer Abschnittsname. Dieser Name muss in der Konfiguration eindeutig sein.
  • Seite 72 HERMES-PRO Wenn die Zeichenkette leer ist, wird die Identifikation der Gegenstelle nicht erwartet. IP Address Die Netzweradresse des entfernten LANs in Punktschreibweise Standardeinstellung: dieser Parameter ist zwingend erforderlich. Netmask Netzmaske des entfernten LANs in Punktschreibweise. Die Standardeinstellung beträgt 255.255.255.255. Idle Anzahl von Sekunden nach denen die Verbindung bei Inaktivität...
  • Seite 73 Konfiguration über einen Web-Browser ISDN Interface Dies ist die IP Nummer, unter der die IP Schicht von HERMES- PRO/P3X über ISDN erreichbar ist. Die Standardeinstellung beträgt 192.168.3.1 ISDN Router Dies ist die IP Nummer, unter der der isdnd Prozeß erreichbar ist. Diese IP Nummer ist zur Zeit nicht von Bedeutung.
  • Seite 74 HERMES-PRO Port Forwarding Local IP Local TCP Local UDP TCP Ports UDP Ports Description Address Ports Ports 192.168.1.32 Webserver 2323 192.168.1.33 23 "verstecktes" Telnet TCP Ports Die TCP-Dienst-Adresse(n), welche aus dem Internet erreichbar sein soll(en). Sie können eine Liste oder auch einen Bereich von Portnummern angeben (siehe auch Kapitel 6.7 Portdefinition).
  • Seite 75 Konfiguration über einen Web-Browser 12.1.4 IPSec and VPN Dieses Kapitel beschreibt die Konfiguration von VPN Verbindungen. Die Anwendungsfälle und die Funktionsweise beschreibt das Kapitel 7 IPSec und VPN. Der Menüpunkt IPSec and VPN zeigt eine Liste mit Untermenüs und die Tabelle der konfigurierten VPN-Verbindungen an. Die Untermenüs erlauben das Anlegen und Ändern von VPN-Gegenstellen und der VPN-Routing-Tabelle.
  • Seite 76 Der Name des entfernten Tunnelendpunkts als FQDN (Full Qualified Domain Name). Wenn die Gegenstelle eine feste IP-Adresse hat und immer verfügbar ist, dann existiert der VPN Tunnel solange HERMES-PRO eine Internetverbindung hat. Der Parameter PeerName kann in diesem Fall eine IP-Adresse in Punktnotation enthalten.
  • Seite 77 Konfiguration über einen Web-Browser gehen. Dazu ruft der Router die konfigurierte Gegenstelle über ISDN an. Es wird erwartet, dass die Gegenstelle so konfiguriert ist, dass sie mittels Callback Mechanismus eine Verbindung zum ISP aufbaut und somit Online geht. Alle implementierten Callbackverfahren sind anwendbar. Siehe auch Kapitel Callback.
  • Seite 78 HERMES-PRO die IKE Verbindung zur Gegenstelle auf, sobald PeerName in eine IP-Adresse aufgelöst werden kann, d. h. sobald die Gegenstelle online ist. Ansonsten baut HERMES-PRO die IKE Verbindung erst dann auf, wenn Daten zu übertragen sind. Beispiel: Yes Standardeinstellung: No...
  • Seite 79 Konfiguration über einen Web-Browser Wenn die Gegenstelle "Always Online" ist, kann dieser Parameter leer bleiben. Dann startet der Router kein ISDN Anruf. Beispiel: peer3Name Standardeinstellung: leer Untermenü VPN Routing Table Dieses Untermenü enthält Routing-Informationen für virtuelle private Netze. Bei einfachen Konfigurationen wird es für jeden IPSec-Gegenstelle genau eine VPN-Route geben.
  • Seite 80 HERMES-PRO Falls der Wert leer ist, dann hat diese Tabellenzeile keine Aus- wirkungen. Beispiel: peer1.dyn.domain.de Standardeinstellung: leer Local Virtual Network Address IP-Netzwerkadresse unter welcher das lokale Netz aus dem entfernten Netz erreichbar ist (lokale virtuelle Netzwerkadresse). Dieser Parameter wird z. B. für die Erreichbarkeit von LANs benötigt, welche die selbe Netzwerkadresse (z.
  • Seite 81 Konfiguration über einen Web-Browser Secret Die IKE Aushandlung verwendet dieses Kennwort zur Authentifizierung der Gegenstelle. Die Gegenstelle muss für einen erfolgreiche Authentifizierung das gleiche Kennwort verwenden. Secret entspricht dem Preshared Key einer IPSec Konfiguration. Standardeinstellung: Dieser Parameter ist zwingend erforderlich. Account Das Benutzerkonto (Benutzername) für die PPP Aushandlung.
  • Seite 82 HERMES-PRO überwachte Verbindung während der Wartezeit wieder aktiv wird, geschieht nichts. Alternative Der Parameter "Alternative" bietet eine Auswahl der Verbindungen, die als "failover"-Verbindung gekennzeichnet sind. VRRP In dieser Tabelle werden die Parameter für das Virtual Router Redundancy Protokoll definiert. Enable Virtual Router IP Address Virtual Router ID Priority 192.168.1.1...
  • Seite 83 Konfiguration über einen Web-Browser Enable Ping IP Address Ping Interval Retries 217.237.148.22 edit Enable Dieser Parameter aktiviert die "Ping"-Überwachung einer IP-Adresse im Internet. Die Überwachung startet bei Aktivierung sofort. Ping IP Address Die IP-Adresse, die überwacht wird. Dies kann z. B: ein Nameserver des Providers sein.
  • Seite 84 HERMES-PRO Adresse enthält, kann ebenso mit dem entsprechenden symbolischen Hostnamen spezifiziert werden. IP Number Hostname and Aliases 127.0.0.1 localhost edit delete 192.168.1.1 router edit delete 192.168.1.2 station1 edit delete 192.168.1.3 station2 edit delete IP-Number Geben Sie hier die IP-Adresse in Punktschreibweise an.
  • Seite 85 Konfiguration über einen Web-Browser müssen in dem Bereich des lokalen Netzwerks liegen (siehe Ethernet Adresse im Abschnitt IP Interfaces). Zusätzlich teilt der DHCP Server den Clients folgende Informationen mit: Subnet Mask: die Netzmaske des lokalen Netzwerks Router: die LAN IP-Adresse des HERMES Routers Domain Name Server: die LAN IP-Adresse des HERMES Routers Lease Time: Ein Tag (24 Stunden) Activation and Range...
  • Seite 86 HERMES-PRO Eingabeaufforderung und unter UNIX. Der DHCP Server weist ifconfig dem Clinet mit dieser MAC Adresse die angegebene IP-Adresse zu. Das Format der MAC Adresse sind sechs Hexadezimale Bytes, welche durch Doppelpunkt getrennt sind. Dieser Parameter ist zwingend erforderlich. IP Address = IP-Adresse Der DHCP Server weist dem Client diese IP-Adresse zu.
  • Seite 87 Konfiguration über einen Web-Browser Password Dieser Parameter wird dem DynDNS Server als Kennwort mitgeteilt. Beispiel: ph12_7M Standardeinstellung: Dieser Parameter ist zwingend erforderlich. Server Die IP-Adresse oder FQDN des DynDNS Servers. Soll eine von Standard abweichtene Portnummer verwendet werden, dann kann die Adresse in der Form Server:Port angegeben werden.
  • Seite 88 HERMES-PRO 12.3 System In diesem Abschnitt befinden sich Systemeinstellungen. 12.3.1 General Router Dieses Menü erlaubt allgemeine Einstellungen, die die Routingsoftware und die Konfiguration über einen Web-Browser betreffen. MSN Wakeup Journaling Hide Disable Port Timeout Debug Timeserver NTP Server Signal Port...
  • Seite 89 Eintrag fehlt oder leer ist, erzeugt isdnd keine Journaling Nachrichten. Die Portnummer für das syslog Protokoll ist 514. Die empfohlene Portnummer für eine proprietäre MULTIDATA Client/Server Kommunikation ist 7707. Weitere Hinweise zum Journaling finden sie im Journaling Handbuch. Standardeinstellung ist leer Debug = Zeichenkette Gibt an, welche Logausgaben in die Datei /usr/lib/hermes/isdnd.log...
  • Seite 90 HERMES-PRO NTP Server = IP-Nummer IP-Nummer oder symbolischer Name eines NTP Zeitservers (ntp Port) im Internet, von welchem der Router bei jedem Online gehen das aktuelle Datum und die Uhrzeit erfragt und als Systemzeit setzt. Ist dieses Feld leer, wird keine Einstellung des Datums und der Uhrzeit vorgenommen.
  • Seite 91 Konfiguration über einen Web-Browser Im Menü "E-Mail" werden die benötigten Parameter konfiguriert. Wenn die Konfiguration gespeichert ist ("Make configuration persistent"), dann kann man über den Link "Queue Testmail" überprüfen, ob die Konfiguration korrekt ist. Wenn nach einigen Minuten keine E-Mail im Posteingang des Empfängers vorliegt, dann sollte man die Konfiguration nochmals überprüfen.
  • Seite 92 HERMES-PRO Weekday Hour Minute Action Every Day Hangup Internet edit delete Weekday Dieser Parameter ist zur Zeit nicht änderbar. Standardeinstellung: Every Day Hour Tragen Sie hier die Stunde ein, in der die Aktion durchgeführt werden soll. Standardeinstellung: dieser Parameter ist zwingend erforderlich.
  • Seite 93 Konfiguration über einen Web-Browser 12.4.2 Update Bei Anwahl dieses Menüpunktes erscheint ein Formular in dem Sie ein Routerimage oder eine gesicherte Konfiguration auf Ihrem Computer auswählen können. Mit der Schaltfläche Upload and flash wird die Datei zum Router übertragen und persistent gespeichert. Der Erfolg bzw. Misserfolg jeder Aktion wird dem Web-Browser zurückgemeldet.
  • Seite 94 HERMES-PRO 12.5 Firewall 12.5.1 IP-Tables (Firewall) Siehe Kapitel 6 Firewall-Mechanismus. 12.5.2 Restrict outgoing traffic In diesem Menü können Sie die Richtlinie für den Internetzugriff für die Computer im LAN einstellen. Die Standardrichtlinie betrifft alle Computer, für die Sie keine individuelle Einstellung vornehmen. Sie können zum Beispiel den Internetzugriff für alle Computer verbieten, und für einige...
  • Seite 95 Konfiguration über einen Web-Browser Wird das Eingabefeld Log to server auf yes gesetzt, so wird die Aufzeichnung mittels hlogger gestartet. Das Feld Logserver IP gibt die IP- Adresse des Rechners an, auf dem der hlogger läuft. Das Eingabefeld Channels bestimmt die Kanäle, die aufgezeichnet werden sollen.
  • Seite 96 HERMES-PRO Direction Ankommende (IN) oder abgehende Verbindung (OUT) Source IP / Dest. IP Source und Destination IP des IP-Pakets, das den Verbindungsaufbau gestartet hat NAT IP Bei Internetverbindung ist die die öffentliche IP Adresse des Routers. Telno Telefonnummer der Gegenstelle. Bei einem externen Modem am Port WAN1 wird pppoe angezeigt.
  • Seite 97 Konfiguration über einen Web-Browser UDP Connections Source IP Dest. IP Source Port Dest. Port Timeout (sec) 93.20.7.15 217.237.148.22 5353 ICMP Connections Source IP Dest. IP Type Code Timeout (sec) 210.21.41 194.25.2.129 Source IP / Dest. IP Source und Destination IP bei NAT-Verbindungen wird die zugewiesene IP angegeben Source Port / Dest.
  • Seite 98 HERMES-PRO 12.8 Advanced 12.8.1 WAN Peers Mit diesem Menü spezifizieren sie die Routingtabelle für die WAN Gegenstellen. Peer Telno Telno BOD Call- IP Address Netmask L2 L3 Idle IP-Table Name Call Signaled back Section arcor 0.0.0.0 0.0.0.0 0010700192070 5 0 -1 Yes...
  • Seite 99 Konfiguration über einen Web-Browser Wenn keine Rufe angenommen werden sollen, kann als Parameter ein Minuszeichen (-) angegeben werden. B Kanal Schicht 2 Protokoll. PPP wird bei CAPI 2.0 über die Nummer 5 ausgewählt. Die Standardeinstellung beträgt 0. B Kanal Schicht 3 Protokoll. Die Nummer 0 entspricht der transparenten Schicht 3 bei der CAPI 2.0.
  • Seite 100 HERMES-PRO IP-Table Legt die für diese Verbindung geltenden Firewallregeln fest. Siehe auch Kapitel 6 Firewall-Mechanismus. Die Standardeinstellung ist SYSTEM. PPP Section Symbolischer Name des Abschnitts für PPP Parameter. Der Parameter kann leer bleiben, wenn kein PPP benötigt wird. 12.8.2 PPP Sections Ein PPP Abschnitt definiert die Parameter für eine Verbindung mit Point-to-...
  • Seite 101 Konfiguration über einen Web-Browser Der Parameter kann leer bleiben, wenn keine Authentisierung durch- geführt werden soll. 12.8.3 LCP Sections Ein LCP Abschnitt definiert die Parameter für das Link Control Protokoll. Ein Abschnitt kann von verschiedenen PPP Abschnitten referenziert werden. Dies ist sinnvoll, wenn mehrere Gegenstellen zu spezifizieren sind, die alle die gleichen Parameter benutzen.
  • Seite 102 HERMES-PRO 12.8.4 IPCP Sections Ein IPCP Abschnitt definiert die Parameter für das Internet Protocol Control Protokoll. Ein Abschnitt kann von verschiedenen PPP Abschnitten referenziert werden. Dies ist sinnvoll, wenn mehrere Gegenstellen zu spezifizieren sind, die alle die gleichen Parameter benutzen.
  • Seite 103 Konfiguration über einen Web-Browser 12.8.5 CHAP Sections Authentisierungsabschnitt definiert Parameter für Authentisierungsprotokolle CHAP (Challenging Handshake Protocol) und PAP (Password Authentication Protocol). Ein Abschnitt kann von verschiedenen PPP Abschnitten referenziert werden. Dies ist sinnvoll, wenn mehrere Gegenstellen zu spezifizieren sind, die alle die gleichen Parameter benutzen.
  • Seite 104 HERMES-PRO Remote username Diese Zeichenkette erwartet die lokale Station von der Gegenstelle als Identifikation. Falls die Identifikation nicht übereinstimmt, kommt die Verbindung nicht zustande. Wenn die Zeichenkette leer ist, wird die Identifikation der Gegenstelle nicht überprüft. Remote password Diese Zeichenkette wird als Kennwort für die Anmeldung der lokalen Station bei der Gegenstelle verwendet.
  • Seite 105 Konfiguration über einen Web-Browser Wenn die Zeichenkette leer ist, dann erfolgt keine Anmeldung. Registrar Dies ist die Adresse (Domainname) des entfernten SIP-Gateways. Wenn die Zeichenkette leer ist, dann erfolgt keine Anmeldung. Authorization user name Dies ist der Benutzername für die Authorisierung beim entfernten SIP-Gateway.
  • Seite 106 Konfigurationsdateien Die Konfigurationsdateien enthalten mehrere Abschnitte, die jeweils aus einer Gruppe zusammengehörender Parameter bestehen. Ein Abschnitt beginnt mit einem Abschnittsnamen. Abschnittsnamen werden in eckige Klammern gesetzt [Abschnitt]. Ein Abschnitt erstreckt sich bis zum Anfang des darauf folgenden Abschnitts oder, im Fall des letzten Abschnitts, bis zum Dateiende.
  • Seite 107 Eintrag fehlt oder leer ist, erzeugt isdnd keine Journaling Nachrichten. Die Portnummer für das syslog Protokoll ist 514. Die empfohlene Portnummer für eine proprietäre MULTIDATA Client/Server Kommunikation ist 7707. Weitere Hinweise zum Journaling finden sie im Journaling Handbuch. Standardeinstellung ist leer...
  • Seite 108 HERMES-PRO Debug = Liste Liste gibt an, welche Logausgaben vorgenommen werden sollen. In Anhang B.5 sind die möglichen Einstellungen näher erläutert. Empfohlene Einstellung: 012346 Standardeinstellung: leere Liste LogfileSize = Wert Wert gibt die Maximalgröße der Datei für Accounting und Logausgaben (isdnd.log) in Bytes an.
  • Seite 109 Konfigurationsdateien 13.1.2 Abschnitt [peer] Name eines Peer-Abschnitts wird Abschnitt [PEERSECTIONS] referenziert. Von dort verweisen die Schlüssel PEERSECTn auf die Peer-Abschnitte. Beispiel: [PEERSECTIONS] PEERSECT1 = internet PEERSECT2 = fernwartung PEERSECT3 = geschaeftstelle1 Folgende Parameter sind für diesen Abschnitt definiert: Type = [normal | failover] Normale oder alternative Verbindung.
  • Seite 110 HERMES-PRO Wenn keine Rufe angenommen werden sollen, kann als Parameter ein Minuszeichen (-) angegeben werden. Standardeinstellung: leere Zeichenkette OwnTel = Telefonnummer Die Telefonnummer, die der Nebenstellenanlage bzw. Vermittlungsstelle bei abgehenden ISDN Verbindungen als eigene Telefonnummer (Calling Party Number) signalisiert wird. Dieser Parameter kann leer bleiben, da die eigene Telefonnummer in der Regel von der Nebenstellenanlage bzw.
  • Seite 111 Konfigurationsdateien NAT = Wert Gibt an, ob Network Address Translation durchgeführt werden soll oder nicht. Dieser Parameter wird nur ausgewertet, wenn über PPP eine IP Nummer für die eigene Seite ausgehandelt wird. Keine Network Address Translation Network Address Translation Standardeinstellung: 0 MaxChan = Wert Gibt die maximale Anzahl B-Kanäle an, die zu dieser Gegenstelle aufgebaut werden sollen.
  • Seite 112 Call den Wert ipgw hat. Ein IP-Gateway lässt sich auch im Menü Configuration Assistant konfigurieren. In diesem Untermenü erscheint der Eintrag New Internet via IP Gateway. Diese Option ist nur für HERMES-PRO/P3X verfügbar. WanAddress = IP Adresse Die lokale IP Adresse der WAN Schnittstelle in einer IP-Gateway Konfiguration.
  • Seite 113 Konfigurationsdateien WanNetmask = Netzmaske Die Netzmaske für die lokale WAN Schnittstelle in einer IP Gateway Konfiguration. Falls der Parameter den Wert 0.0.0.0 enthält, dann wird er über DHCP ermittelt. Achtung: Die IP Adresse und die Netzmaske der WAN Schnittstelle dürfen nicht mit der IP Adresse und Netzmaske der LAN Schnittstelle identisch sein, da dann LAN Rechner evtl.
  • Seite 114 HERMES-PRO Symbolischer Name des Abschnitts für Link Control Protocol Parameter. Der Parameter kann leer bleiben, wenn nur Standardeinstellungen für LCP benötigt werden. Standardeinstellung: leer IPCP = Name Symbolischer Name des Abschnitts für Internet Control Protocol Parameter. Der Parameter kann leer bleiben, wenn nur Standard- einstellungen für IPCP benötigt werden.
  • Seite 115 Wert wird der Gegenstelle als eigene IP-Nummer mitgeteilt. Falls die Gegenstelle dynamische IP-Nummern vergeben kann, dann kann 0.0.0.0 angegeben werden, damit HERMES-PRO/P3X von der Gegenstelle eine dynamische IP-Nummer zugewiesen bekommt. Die ausgehandelte Nummer wird bei der Verwendung von NAT in jedem abgehenden IP Paket als Source IP Nummer eingetragen.
  • Seite 116 HERMES-PRO Kompression kann der Durchsatz wesentlich verbessert werden, wenn in kurzer Zeit viele kleine IP-Pakete übertragen werden. Standardeinstellung: y 13.1.6 Abschnitt [peerCHAP] Authentisierungsabschnitt definiert Parameter für Authentisierungsprotokolle CHAP (Challenging Handshake Protocol) und PAP (Password Authentication Protocol). Ein Abschnitt kann von verschiedenen PPP Abschnitten referenziert werden.
  • Seite 117 Konfigurationsdateien Verfahren Vorrang, d.h. CHAP wird verwendet, wenn beide Seiten CHAP unterstützen. CHAP CHAP or PAP Standardeinstellung: 3 (CHAP or PAP). 13.1.7 Abschnitt [Failover] "WAN:Abschnittsname" oder Observed = "VPN:Peer IP einer VPN Route" oder "ICMP:IP-Adresse" Der Abschnittsname der überwachten primären Internetverbindung mit vorangestelltem "WAN:"...
  • Seite 118 E-Mails nicht erfolgreich versendet werden. Beispiel: Password = "rp2sd400" Standardeinstellung: leer. From = "Absenderadresse" Die Absendeadresse für E-Mails. Die Absendeadresse wird auch als Kontoname verwendet, wenn dieser nicht konfiguriert ist. Beispiel: From = "hermes-pro@web.de" Standardeinstellung: Dieser Parameter ist zwingend erforderlich.
  • Seite 119 Konfigurationsdateien To = "Empfängeradresse" Die Empfängeradresse für E-Mails. Dies kann auch die Adresse eines Mail-Verteilers sein. Mehrere Empfänger können durch Leerzeichen getrennt eingegeben werden. Bei mehreren Empfängern ist darauf zu achten, dass insgesamt nicht mehr als 80 Zeichen erlaubt sind. Beispiel: To = "sysop-list@aposw.de"...
  • Seite 120 HERMES-PRO VLANId = Zahl VLAN ID für den Internetzugang. Wertebereich: 0..255 Standardeinstellung: 0 13.1.10 Abschnitt [DHCPRange] DHCP Server weist Clients eine IP-Adresse einem konfigurierbaren Bereich zu. Active = Yes | No Dieser Parameter aktiviert den DHCP Server, wenn der Wert auf Yes steht.
  • Seite 121 Konfigurationsdateien [DHCPMapping1] MACAddress = "08:00:46:B1:2A:D3" IPAdress = "192.168.1.65" MACAddress = MAC-Adresse Die MAC Adresse ist die physikalische Adresse einer Netzwerkkarte. Die MAC Adresse der Netzwerkkarte eines Clients bringen Sie mit folgenden Befehlen in Erfahrung: in der Windows ipconfig /all Eingabeaufforderung und unter UNIX.
  • Seite 122 0.0.0.0 zu PeerName. Die VPN Software löscht dann den Tunnel. Wenn die Gegenstelle eine feste IP-Adresse hat und immer im Internet verfügbar ist, dann existiert der VPN Tunnel solange HERMES-PRO eine Internetverbindung hat. Der Parameter PeerName kann in diesem Fall eine IP-Adresse in Punktnotation enthalten.
  • Seite 123 Paket enthalten, um IPSec eine Zuordnung Sicherheitsparametern ermöglichen. HERMES-PRO verwendet den gleichen SPI sowohl für abgehende als auch für eingehende Pakete. Der SPI muss für beide Tunnelendpunkte gleich sein. Wenn IKE zum Einsatz kommt, dann erzeugt der Keying Daemon automatisch SPIs.
  • Seite 124 HERMES-PRO die IKE Verbindung zur Gegenstelle auf, sobald PeerName in eine IP-Adresse aufgelöst werden kann, d. h. sobald die Gegenstelle online ist. Ansonsten baut HERMES-PRO die IKE Verbindung erst dann auf, wenn Daten zu übertragen sind. Beispiel: AutoTunnelUp = Yes Standardeinstellung: No RouteToTunnelEndpoint = "direct"...
  • Seite 125 Konfigurationsdateien CallForOnline = Peer Abschnittsname Relevant für: KeyingMode = Manual und IKE Wenn die Gegenstelle nicht Online ist, fordert der Router die Gegenstelle dazu auf, Online zu gehen. Dazu ruft der Router die konfigurierte Gegenstelle über ISDN an. Es wird erwartet, dass die Gegenstelle so konfiguriert ist, dass sie mittels Callback Mechanismus eine Verbindung zum ISP aufbaut und somit Online geht.
  • Seite 126 PeerName mit dem hier angegeben Namen übereinstimmt. Falls der Wert leer ist oder auf keinen [IPSecn] Abschnitt verweist, dann hat der gesamte [VPNRouten] Abschnitt keine Auswirkungen. Beispiel: PeerTunnelEndpoint = apo2.dyn.multidata.de Standardeinstellung: leer LocalVirtualNet = IP-Netzwerkadresse IP-Netzwerkadresse unter welcher das lokale Netz aus dem entfernten Netz erreichbar ist (lokale virtuelle Netzwerkadresse).
  • Seite 127 Konfigurationsdateien Active = [ Yes | No ] Dieser Parameter aktiviert L2TP. Standardeinstellung: No SharedSecret = "Zeichenkette" Gemeinsames Kennwort für die IPSec Aushandlung. Standardeinstellung: dieser Parameter ist zwingend erforderlich UserAccount = "Zeichenkette" Benutzername für die PPP Aushandlung. Standardeinstellung: dieser Parameter ist zwingend erforderlich UserPassword = "Zeichenkette"...
  • Seite 128 HERMES-PRO 13.1.17 Abschnitt [DynDNS] Dieser Abschnitt wird benötigt, wenn HERMES-PRO bei einer Internet- einwahl die IP-Adresse automatisch einem DNS Server mitteilen soll. Unterschiedliche DynDNS Server benötigen unterschiedliche Parameter (siehe Tabelle in Kapitel 7.2 DynDNS). Eine Konfigurationsänderung der folgenden Parameter wird aktiv, sobald die Konfiguration gespeichert wird und die nächste Interneteinwahl geschieht.
  • Seite 129 Konfigurationsdateien 13.1.18 Abschnitt [TRACE] LogToServer = [yes|no] Aktiviert die Aufzeichnung von Log/Trace-Informationen über den hlogger. Siehe auch Dokumentation Dienstprogramm hlogger. Standardeinstellung: no LogServer = IP-Nummer IP-Nummer des Servers auf dem hlogger läuft. Standardeinstellung: leer Channels = Wert Bestimmt die Kanäle, die aufgezeichnet werden sollen. D-Kanal: 0x01, B-Kanal 1: 0x02, B-Kanal 2: 0x04 Standardeinstellung: 0 Debug = Wert...
  • Seite 131 13.2 Konfigurationsdatei hermes.cfg Die Datei /usr/lib/hermes/hermes.cfg enthält die Konfiguration für die ISDN Firmware. 13.2.1 Abschnitt [Board0] Dieser Abschnitt dient zur Konfiguration der ISDN Protokollsoftware. NTSide = TE oder NT TE (Terminal Equipment) definiert das Verhalten der S2M-Schnittstelle als Endgerät, während die Einstellung NT die Schnittstelle als Netzabschluss (Network Termination)
  • Seite 132 (Routerimage) vor. Beim Startvorgang wird das Betriebssystem in den Hauptspeicher entpackt und gestartet. Die Konfigurationsdaten werden beim Start des Betriebssystems als Dateien in das RAM Filesystem kopiert. HERMES-PRO/P3X läuft unter dem Betriebssystem Linux mit den folgenden Eigenschaften: Multitasking und Multiuser Fähigkeit...
  • Seite 133 Betriebssystem des Routers Beschreibung Kommando Dateiverwaltung ls, cp, rm, mv, chmod, mkdir, df Anzeige cat, echo, less, more Allgemein bash (Shell), ps, date, hostname, passwd, printenv, reboot Netzwerk ifconfig, ping, route, unfsio (NFS), mount, umount Serverdienste inetd, fingerd, telnetd, ftpd Tools vi, flash_tool, getcfg Tab.
  • Seite 134 HERMES-PRO 14.2 HERMES-spezifische Hilfsprogramme 14.2.1 flash_tool Das Programm flash_tool dient dazu, den Flash Speicher des Routers zu schreiben und zu lesen. Parameter: Datei Datei aus dem Flash Speicher lesen. Der Dateiname muß vollständig mit Pfad angegeben werden. Datei Datei in den Flash Speicher schreiben. Der Dateiname muß voll- ständig mit Pfad angegeben werden.
  • Seite 135 Betriebssystem des Routers Wenn das tar-Archiv eine Datei mit den Namen loader enthält, dann wird sie als Bootlader gebrannt. Andere Dateien brennt flash_tool als Konfigurationsdatei und stellt vor dem Schreiben sicher, daß keine anderen Dateien überschrieben werden. Ausgeben der Seriennummer. Dieser Parameter wird unter Linux nicht unterstützt.
  • Seite 136 HERMES-PRO Server-Modus: testhsc wartet auf eingehende Anrufe und legt die empfangenen Daten in einer Datei ab. Bei fehlendem Dateinamen schreibt testhsc die empfangenen Daten auf die Standardausgabe. Folgende Optionen sind verfügbar: testhsc –d [-1 schicht1] [-2 schicht2] [-3 schicht3] [-4 proto]...
  • Seite 137 Betriebssystem des Routers controller Legt den für die Datenübertragung zu verwendenden CAPI- Controllernummer fest. Die CAPI-Controllernummern beginnen mit 1. Fehlt dieser Parameter, so wird der Controller 1 ausgewählt. Exit Codes: 0: o.k., sonst Fehler. Beispiel zum Senden von Daten: Die Datei test.dat soll an die Rufnummer 12345 geschickt werden: testhsc -n 12345 test.dat Beispiel zum Empfangen von Daten: Auf der Empfangsseite soll die gesendete Datei als neu.dat abgespeichert...
  • Seite 138 HERMES-PRO Unterstützte Funktion: gpf2 [-c controllerliste] [-d debugliste] [-C kanalliste ] [[-F anzahl] [-S dateigröße] file] Parameter: kanalliste Legt die Kanäle fest, für die Trace-Informationen verarbeitet werden sollen. Der Wert 0 wählt den D-Kanal aus, Werte größer 0 die ent- sprechenden B-Kanäle.
  • Seite 139 Betriebssystem des Routers 14.2.5 fascii fascii wandelt das binäre GPF-Format in ASCII um. Dabei wird von der Standardeingabe gelesen und auf die Standardausgabe geschrieben. 14.2.6 getcfg Die Konfigurationsdatei /usr/lib/hermes/isdnd.cfg liegt im win.ini Format vor. Das Kommando getcfg dient dazu, den Wert eines Konfigurations- parameters aus dieser Datei auf die Standardausgabe auszugeben.
  • Seite 141 Konfigurationsbeispiele Callback Die Beispiele zeigen die Konfiguration in der Datei isdnd.cfg. A.1.1 HERMES H1 ruft HERMES H2 mit CLIP Für H1 wird keine besondere Konfiguration benötigt. H2 Konfiguration: [H1Peer] Callback ; nach 5 Sek. zurückrufen A.1.2 HERMES H1 ruft HERMES H2 mit PPP/LCP H1 Konfiguration: [H2Peer] = H2PPP...
  • Seite 142 HERMES-PRO H2 Konfiguration: [H1Peer] = H1PPP [H1PPP] = H1LCP CHAP = H1CHAP [H1LCP] CallbackMode ; 8=Outgoing, 4=Incoming [H1CHAP] RemoteName = H1 LocalPassword = P2 A.1.3 WinNT ruft HERMES H2 mit CBCP WinNT Konfiguration: 1. DFÜ-Netzwerk->Weiteres->Benutzereinstellung->Rückruf->Vielleicht. Beim Wählen nachfragen, wenn Server dies anbietet.
  • Seite 143 Tabellen Tabelle der wichtigsten CIP Werte Bitmaske Wert Beschreibung Speech (Sprache) Unrestricted Digital Information (64 kBits/s) Restricted Digital Information 3.1 kHz Audio (Rufe aus dem analogen Netz) 7 kHz Audio Video Packet Mode 56 kBits/s Rate Adaption Unrestricted Digital Information with tones/announcements...
  • Seite 144 HERMES-PRO Tabelle der B-Protokolle B.2.1 Schicht 1 Protokolle 64 kBits/s with HDLC framing 64 kBits/s bit-transparent operation with byte framing from the network V.110 asynchonous operation with start/stop byte framing V.110 synchronous operation with HDLC framing T.30 modem for fax group 3...
  • Seite 145 Tabellen B.2.3 Schicht 3 Protokolle Transparent T.90NL with compatibility to T.70NL in accordance with T.90 ISO 8208 (X.25 DTE-DTE) T.30 for fax group 3 T.30 for fax group3 with extensions Modem DATEG MSV2...
  • Seite 146 HERMES-PRO CAPI Fehlermeldungen CAPI Fehlermeldungen sind in sogenannte "Fehlerklassen" unterteilt. Ein CAPI-Fehlercode besteht aus einem 16 Bit-Wert, wobei die höherwertigen 8 Bit die Fehlerklasse darstellen. CAPI Fehlercodes können bei der Durchführung von CAPI-Operationen (wie z.B. CAPI_REGISTER oder CAPI_RELEASE) entstehen oder in CONFirmation oder INDication Nachrichten enthalten sein.
  • Seite 147 Tabellen Fehlercodes bei CAPI_RELEASE, CAPI_PUT_MESSAGE, CAPI_GET_MESSAGE 0x1104 Queue is empty Es liegen keine Nachrichten vor, dies stellt keinen eigentlichen Fehler dar. 0x1105 Queue overflow: a message was lost. This indicates a configuration error. The only recov-ery from this error is to do the CAPI_RELEASE operation.
  • Seite 148 HERMES-PRO Fehlercodes in _CONF Nachrichten 0x2002 Illegal Controller/PLCI/NCCI Die Anwendung adressiert einen ungültigen Controller, PLCI oder NCCI; oder der addressierte Controller befindet sich in einem Ausnahmezustand. Überprüfen Sie den adressierten Controller (z.B. mit "hcmd -v") auf Ausnahmezustände. Liegt ein Ausnahmezustand vor, benachrichtigen Sie den Hersteller.
  • Seite 149 Tabellen 0x3481 Unallocated (unassigned) number 0x3483 No route to destination Die angegebene Rufnummer existiert nicht. Evtl. wurde die Amtskennziffer nicht angegeben. 0x3490 normal call clearing normal, unspecified Normaler Verbindungsabbau, dies stellt keinen Fehler dar. 0x349A Non-selected user clearing Die Anwendung hat versucht den Ruf anzunehmen, der eingehende Ruf wurde jedoch von einem anderen Gerät am gleichen Anschluss angenommen.
  • Seite 150 HERMES-PRO ISDN Debug-Informationen Folgende Tabelle gibt an, welche Debug-Informationen durch Setzen der Bitmaske aufgezeichnet werden. Um beispielsweise alle LLD Debug- Informationen aufzuzeichnen, sind die Bits 0 bis 3 bzw. die Bitmaske 0x000f zu setzen. Im Internet-Browser wird die Einstellung durch Setzen der Bitmaske vorgenommen, während...
  • Seite 151 Tabellen Steuerung der Log-Ausgaben EMERG System is unusable ALERT Action must be taken immediately CRIT critical condition, internal errors nonfatal error conditions WARN warnings, packets lost NOTICE normal, but significant condition INFO informational message (accounting)
  • Seite 153 Troubleshooting Zugang zur Web-Konfiguration Falls der Router nicht erreichbar ist, dann überprüfen Sie bitte die Konfiguration Ihres Web-Browsers. Es darf kein Proxyserver eingestellt sein.
  • Seite 155 Begriffe und Abkürzungen 100Base-TX Bezeichnung für ein 100 MBit/s Twisted-Pair-Verkabelung Netzwerk Bezeichnung für ein 10 Mbit/s Twisted-Pair-Verkabelung 10Base-T Netzwerk Accounting Gebührenerfassung wie Gebührenvolumen und Verbindungs- daten Asymmetric digital subscriber line ADSL Accounting Restricted Dialout; durch Regeln bestimmtes Anwahlverfahren Adress Resolution Protocol Advanced Research Projects Agency ARPA Bandwidth On Demand;...
  • Seite 156 HERMES-PRO Selektionsmaske für verschiedene Dienste bei eingehenden CIP Mask Rufen Signalisierter Dienst bei abgehendem Verbindungsaufbau CIP Wert Calling Line Identification Presentation CLIP (CAPI); Eine über die CAPI-Schnittstelle adressierbare Controller Hardware-Einheit, die Zugang zum ISDN ermöglicht. (1..n) Digital Subscriber Signalling System No. one protocol...
  • Seite 157 Begriffe und Abkürzungen Nameserver-Dienst UDP-Dienst zur Auflösung von QDN (Qualified Domain Name) zu IP-Nummern Network Address Translation Network File System Point-to-Point Protocol PPP over Ethernet PPPoE Request for Comment simple mail transfer protocol smtp Transmission Control Protocol TCP- bzw. UDP Ports Nummern zwischen 1 und 65535, die verschiedene Sessions und Dienste unterscheiden Terminal Equipment...
  • Seite 159 Literaturverzeichnis COMMON-ISDN-API, Version 2.0, http://www.capi.org/ capi 1999 ets300 90 European Telecommunication Standard 300 102-1 Integrated Services Digital Network (ISDN); User-network interface layer 3; Sepecifications for basic call controll, European Telecommunication Standards Institute, December 1990. FTZ-Richtliniensammlung, ftz1tr3 87 Technische Forderungen -Schnittstelle, FTZ-RichtlS 1 TR 3, digitale Endgeräte mit S Band III, Teil 5, 1 TR 6 D-Kanal Protokoll (Schicht 2 und 3), 1987...
  • Seite 161 Die dazu verwendeten Teile sind neu oder neuwertig. Die MULTIDATA GmbH ist berechtigt, über die Instandsetzung und den Austausch hinaus technische Änderungen (z.B. Firmware-Updates) vorzu- nehmen, um den Router dem aktuellen Stand der Technik anzupassen. Ein Rechtsanspruch hierauf besteht jedoch nicht.

Diese Anleitung auch für:

P3x