Herunterladen Inhalt Inhalt
Teilen
Diese Seite drucken
  1. Anleitungen
  2. Marken
  3. Multidata Anleitungen
  4. Netzwerkrouter
  5. HERMES-PRO/X
  6. Handbuch

Multidata HERMES-PRO/X Handbuch

Vorschau ausblenden
Inhaltsverzeichnis

Werbung

Quicklinks

Diese Anleitung herunterladen
HERMES-PRO/X
Handbuch

Werbung

Inhaltsverzeichnis
loading

Inhaltszusammenfassung für Multidata HERMES-PRO/X

  • Seite 1 HERMES-PRO/X Handbuch...
  • Seite 2 HERMES-PRO/X Handbuch Version 1.1...
  • Seite 3 Die MULTIDATA GmbH übernimmt keinerlei Haftung für Folgeschäden jeder Art, die sich aus der Benutzung des Routers HERMES-PRO/X, der mitgelieferten Software und der dazugehörigen Dokumentation ergeben, sofern sie nicht aufgrund von Vorsatz oder grober Fahrlässigkeit seitens der...

  • Seite 4: Inhaltsverzeichnis

    2.6.2 WAN zu LAN................24 2.6.3 Verbindungsüberwachung ............25 Installation .................. 27 Benötigte Informationen............... 27 Vorraussetzungen zum Anschluß von HERMES-PRO/X .... 28 Aufstellen und Anschließen............29 Bedeutung der LED Anzeigen............30 Erste Schritte................30 Ethernet-Switch................33 Beschreibung der Funktionseinheit..........33 USB Schnittstelle ...............
  • Seite 5 Inhaltsverzeichnis ISDN Schicht 2 und Schicht 3 Protokolle ........40 Schutz vor Mißbrauch..............40 6.10 PPP über ISDN................41 6.11 Callback ..................41 6.12 Kanalbündelung................43 6.13 Debugging ..................44 6.14 Interoperabilität ................44 Firewall-Mechanismus ...............45 Konfigurationsmöglichkeiten............46 Arbeitsweise von IP-Tables ............47 Chains für HERMES-PRO............49 Die Stationen eines Pakets ............51 Konfigurationsmenüs..............52 7.5.1 IP Tables (Firewall)...............52...
  • Seite 6 Inhaltsverzeichnis 9.2.2 16-Bit Anwendungen..............79 Server................... 80 Konfiguration ................81 10.1 Konfiguration über einen Web-Browser ........81 10.1.1 General Router................82 10.1.2 Accounting Restricted Dialout ............84 10.1.3 Hosts Database ................85 10.1.4 IP Interfaces ................. 86 10.1.5 DHCP Server ................87 10.1.6 ISDN Peer Stations ..............
  • Seite 7 Inhaltsverzeichnis 11.2.4 fppp.....................121 11.2.5 fascii ...................122 11.2.6 getcfg..................122 Konfigurationsbeispiele............123 Callback ..................123 A.1.1 HERMES H1 ruft HERMES H2 mit CLIP........123 A.1.2 HERMES H1 ruft HERMES H2 mit PPP/LCP ......123 A.1.3 WinNT ruft HERMES H2 mit CBCP ...........124 Accounting Restricted Dialout ............125 Tabellen ..................127 Tabelle der wichtigsten CIP Werte ..........127 Tabelle der B-Protokolle .............128...

  • Seite 8: Kurzbeschreibung

    Die Vorteile dieses standalone Routers sind die Unabhängigkeit vom Betriebssystem und der Rechnerplattform und die benutzerfreundliche Installation und Konfiguration. HERMES-PRO/X integriert einen Switch mit fünf LAN-Ports, die 10 Mbit/s und 100 Mbit/s Ethernet unterstützen. Standardmäßig stellt HERMES-PRO/X einen Remote CAPI Server zur Verfügung.

  • Seite 9: Leistungsmerkmale

    HERMES-PRO Leistungsmerkmale Software: statisches und dynamisches IP-Routing über ISDN und PPPoE Unterstützung beider B-Kanäle der S -Schnittstelle intelligentes Leitungsmanagement (Short-Hold-Modus) PPP mit Authentisierungsverfahren CHAP und PAP Rückruf, gesteuert über D-Kanal oder PPP Firewall-Funktionalität Network Address Translation DHCP Server Port Forwarding VPN Unterstützung Management über Web-Browser oder telnet Update der Firmware über Web-Browser...

  • Seite 10: Lieferumfang

    Kurzbeschreibung Lieferumfang Zum Lieferumfang gehören: der Router HERMES-PRO/X mit Steckernetzteil und dieses Handbuch ein 3 m langes gelbes ISDN S -Kabel, ein rotes Ethernetkabel. MULTIDATA behält sich jedoch das Recht vor, Änderungen am Lieferum- fang ohne Vorankündigung vorzunehmen.

  • Seite 12: Einführung In Tcp/Ip

    Einführung in TCP/IP TCP/IP-Implementierungen sind heute vom Großrechner bis zum PC, unabhängig vom Hersteller, von der Hardware und vom Betriebssystem verfügbar. Dies hat TCP/IP die Aufmerksamkeit eines großen Publikums beschert, das weit über das ursprüngliche Interesse in der U.S.A. hinaus geht.
  • Seite 13 HERMES-PRO eingesetzt. Später ersetzte man diese Computer durch größere Maschinen, die dann PSNs (Packet Switch Nodes) genannt wurden. Ursprünglich konnten die IMPs nur einen bis maximal vier Hostrechner bedienen. Diese Grenze ist im Laufe der Jahre jedoch um einige Größenordnungen heraufgesetzt worden.

  • Seite 14: Begriffsbestimmung

    Einführung in TCP/IP Interessen gerückt und ist wenigstens in den informationstechnisch- orientierten Bereichen wertvolles Hilfsmittel nicht mehr wegzudenken. Begriffsbestimmung Der Begriff TCP/IP bezeichnet zwei verschiedene Ebenen der Protokoll- hierarchie. Die Schicht IP (Internet Protocol) ist für den Transport und die Vermittlung von Datenpaketen zuständig.
  • Seite 15 HERMES-PRO der IP-Adresse erfolgt eine Aufteilung in 5 Adreßklassen, wie in Abb. 2.1dargestellt. Netzadresse Endsystemadresse Netzadresse Endsystemadresse 1 1 0 Netzadresse Endsystemadresse 1 1 1 0 IAB Adresse 1 1 1 1 reserviert 32 Bit Abb. 2.1: Aufteilung in IP-Adreßklassen Hierbei stellen die dunkelgrau unterlegten Felder die verwendeten Klassen- bits innerhalb der Netzadresse dar, die Werte oberhalb des jeweiligen Adreßanteils geben die Anzahl der für Netz- und Rechneradresse zur Ver-...
  • Seite 16 Einführung in TCP/IP deren Netzadreßbereich nochmals zusammen. Durch Strukturierung der Adressen sowie durch Spezialfunktionen kann die Anzahl der tatsächlich möglichen Endsystemadressen weiter eingeschränkt sein. Klasse Netze Rechner Erster Wert Letzter Wert 16.777.214 16.382 65.534 128.1 191.254 2.097.150 192.0.1 223.255.254 268.435.454 224.0.0.0 239.255.255.254 268.435.454...

  • Seite 17: Transmission Control Protocol (Tcp)

    HERMES-PRO 2.2.2 Transmission Control Protocol (TCP) Der Hintergedanke bei TCP ist, eine virtuelle Verbindungsmöglichkeit zwischen zwei Rechnern, genauer zwischen zwei Anwendungen auf den Rechnern zu etablieren. Diese Verbindung sollte: einen sicheren Datentransport gewährleisten die Beibehaltung der Paketreihenfolge sicherstellen die Anwendungen eindeutig identifizieren. Das ursprünglich im ARPANET entwickelte Protokoll NCP erfüllte vor allem die gestiegenen Anforderungen an die Sicherheit der Übertragung nicht, da mit dem Anwachsen der Netzknotenzahlen und vieler unterschiedlicher...

  • Seite 18: Internet Control Message Protocol (Icmp)

    Einführung in TCP/IP Empfänger IP und Empfänger Portnummer, 194.34.5.7/21 eindeutig die Verbindung charakterisiert. Absender-Port Empfänger-Port Sequenznummer Bestätigungsnummer Daten-Offset Reserviert Flags Fenster Prüfsumme Dringlichkeitszeiger Optionen Füllzeichen Daten · · · 32 Bit Abb. 2.3: TCP-Paket Eine zweite File-Transferverbindung unterscheidet sich wenigstens bei der Portnummer des Absenders, also beispielsweise einer weiteren dynamisch zugewiesenen Portnummer 1456, so daß...

  • Seite 19: Subnetze

    HERMES-PRO Ziel nicht erreichbar (es existiert kein Pfad zum Ziel) Zeitüberschreitung (eigentlich Zählerüberlauf, zu viele Knoten passiert) Echo Anforderung bzw. Antwort (Verbindungstest) Paketumleitung (Neuer Knoten für Zieladresse zuständig) Dadurch ist also wenigstens eine rudimentäre Funktionalität für die Ver- mittlung, den Test bzw. auch für die Änderung von Routinginformationen gegeben.
  • Seite 20 Einführung in TCP/IP Dies schränkt den Bereich der verwendbaren Adressen ein; weiter als man zunächst vermutet. Für Subnetze der Klasse C stehen dadurch lediglich zwei praktikable Unterteilungen zur Verfügung: 14 Netze mit 14 Endsystemen (Netzmaske 255.255.255.240) 6 Netze mit 30 Endsystemen (Netzmaske 255.255.255.224). Letztere Möglichkeit wurde nochmals anhand von Tab.

  • Seite 21: Routing

    HERMES-PRO Mit der Einführung von CIDR (Classless Interdomain Routing) wird das Konzept der Adreßklassen überflüssig. Wird dieses Konzept von der Software unterstützt, ist es möglich jede beliebige Maske mit jedem Adreß- bereich zu verwenden und auch die erste und letzte mögliche Netznummer zu nutzen.
  • Seite 22 Einführung in TCP/IP solchen Routing-Tabelle auf der Basis des Netzes in Abb. 2.4. Sobald die Anzahl der Netze und Router anwächst, wird die erfolgreiche Routenwahl jedoch zunehmend komplexer und die Pflege der Routing-Tabellen sehr aufwendig. Moderne Router aktualisieren daher die Routing-Tabellen dynamisch mit Hilfe von Routenwahlprotokollen.

  • Seite 23: Point-To-Point Protocol (Ppp)

    HERMES-PRO Router zu machen. Dies bedeutet, daß alles zu diesem Router geschickt wird, für das kein direkter Pfad bekannt ist. Point-to-Point Protocol (PPP) PPP gehört zur Internet-Protokollfamilie und wird benutzt, um Datenblöcke über serielle Punkt-zu-Punkt-Verbindungen (z.B. Telefonleitungen) zu über- tragen. Dadurch wird es u.a. möglich PC-basierende Endsysteme über ISDN an private Netze (WAN) und an das Internet anzubinden.

  • Seite 24: Network Address Translation (Nat)

    Einführung in TCP/IP Network Address Translation (NAT) Ausgehend von einem internen Netzwerk (LAN) und einer weiteren Verbindung des Routers zu einem externen Netzwerk (WAN) wird die Umsetzung von Netzwerkadressen beschrieben. Die Verbindung zum WAN wird über ein Transportmedium (ISDN, PPPoE) hergestellt und im Folgenden als Transportverbindung bezeichnet.

  • Seite 25: Wan Zu Lan

    HERMES-PRO Sicht des Zielrechners im WAN sieht das Paket aus, als wäre es vom Router gekommen. 2.6.2 WAN zu LAN Diese Richtung wird weniger häufig genutzt und ist bei einigen Routern nicht konfigurierbar. Ein Rechner im WAN möchte eine Verbindung zu einem Rechner im LAN herstellen.

  • Seite 26: Verbindungsüberwachung

    Einführung in TCP/IP 2.6.3 Verbindungsüberwachung Die Richtung einer Netzwerk-Verbindung wird durch das erste Paket bei UDP bzw. durch den Verbindungsaufbau (SYN) bei TCP festgelegt. Der Router eine feste aber variabel konfigurierbare Netzwerkadresse. Über diese werden alle Pakete vom und zum LAN transportiert.

  • Seite 28: Installation

    Installation Benötigte Informationen Bevor Sie beginnen, sollten Sie folgende Fragen geklärt haben: welche IP-Adresse soll dem Router zugewiesen werden? welche Netzmaske hat Ihr LAN-Segment? Zumindest diese Informationen werden benötigt, um den Router so voreinzustellen, daß nach Anschluß an das LAN eine weitergehende Konfiguration über einen Web-Browser möglich wird.

  • Seite 29: Vorraussetzungen Zum Anschluß Von Hermes-Pro/X

    Ort geklärt werden ! Im folgenden werden verschiedene Anschlusskonfigurationen näher beschrieben: Mehrgeräteanschluss mit S0-Bus HERMES-PRO/X kann am S0-Bus oder auch direkt am NTBA (freie Buchse) angeschlossen werden. Mehrgeräteanschluss mit TK-Anlage zur a/b Umsetzung Consumer TK-Anlagen besitzen intern oft nur a/b Schnittstellen zum Anschluss analoger Endgeräte.

  • Seite 30: Aufstellen Und Anschließen

    Installation Aufstellen und Anschließen Ihr Router HERMES-PRO/X muß an einem trockenen, sauberen und gut belüfteten Ort aufgestellt werden. Das Gerät enthält keinen Lüfter, der ausfallen könnte, dafür muß aber die Luftzirkulation insbesondere an den Be- und Entlüftungsschlitzen gewährleistet sein! Gehen Sie beim Anschließen in der folgenden Reihenfolge vor: 1.

  • Seite 31: Bedeutung Der Led Anzeigen

    SPEED 100 n Gelb Port läuft mit 100 MBit. Tab. 1: LED Anzeigen Wenn die LEDs S0, D, B1 und B2 blinken, dann ist HERMES-PRO/X dabei das Betriebssystem zu laden. Erste Schritte Die IP-Schnittstellen von HERMES-PRO/X sind bei der Auslieferung auf...
  • Seite 32 Die voreingestellten IP Adressen sind Intranet IP Adressen, die im Internet nicht vorkommen dürfen. Sollten Sie in Ihrem LAN bereits die Ethernet- Adresse 192.168.1.254 vergeben haben, dann sollten sie HERMES-PRO/X nicht an Ihr LAN anschließen, solange Sie die IP-Adresse nicht geändert haben.

  • Seite 34: Ethernet-Switch

    Ethernet-Switch Beschreibung der Funktionseinheit In HERMES-PRO/X ist ein Switch mit fünf gleichwertigen Ethernet Ports (P2 bis P6) integriert, an dem die LAN-Geräte angeschlossen werden. Zusätzlich Stellt der Port P1 einen weiteren Ethernet Anschluss dar , über welchen ein DSL Modem oder ein externes Gateway angeschlossen werden kann.
  • Seite 35 HERMES-PRO IEEE 802.3ac Tag mit IEEE 802.1p Prioritätsinformation IPv4 Type of Service (TOS) Feld...

  • Seite 36: Usb Schnittstelle

    USB Schnittstelle In HERMES-PRO/X ist eine USB Host Schnittstelle eingebaut. An diese Schnittstelle können prinzipiell verschiedene USB Geräte angeschlossen werden. Zur Zeit werden jedoch lediglich Memory Sticks (Memory Devices) unterstützt. Es gibt zwei Anwendungsfälle, bei denen Menory Sticks eingesetzt werden können.

  • Seite 37: Verwendung Zur Laufzeit

    HERMES-PRO Für Testzwecke können Sie auch weitere Startup Skripte verwenden, welche Sie selber erstellen oder von MULTIDATA geliefert bekommen, wie z. Β.: (zusätzlich statische Routen) \etc\S09route (Überprüfung auf abgestürzte Programme) \etc\S40watchdog Ausserdem können Zertifikate auf den Router übertragen werden. Verwendung zur Laufzeit Sie können den Memory Stick auch zur Laufzeit an den Router anschließen,...

  • Seite 38: Routerfunktion

    Routerfunktion Struktur HERMES-PRO/X liegt ein UNIX Betriebssystem zugrunde. Die Basis der Routerfunktion ist der schon erwähnte Softwarerouter HERMES-IP. Die Implementierung besteht im wesentlichen aus drei Teilen: der IP-Schnittstelle mif dem Benutzerprozeß isdnd dem CAPI-Treiber capi20. Die Abhängigkeiten zwischen den einzelnen Funktionsmodulen sind dabei in der folgenden Abbildung dargestellt.

  • Seite 39: Datenübertragung

    HERMES-PRO isdnd kann als eigenständiger IP-Knoten angesehen werden. Deswegen gibt es auch eine eigene IP-Nummer für isdnd. Dieser Knoten hat genau eine Verbindung zum Host-Rechner. Die Schnittstelle, die diese Verbindung bedienen kann, wird auf der Host-Seite durch den ifconfig Befehl als mif0 bekannt gemacht.

  • Seite 40: Routing

    Dateiformat für Systemdateien (vgl. /etc/hosts). Eine Zeile enthält entweder zwei oder fünf Spalten. Die erste Spalte enthält immer die IP-Nummer der Gegenstelle. Anstatt von IP-Nummern können auch symbolische Namen verwendet werden. # ihosts ISDN Hosts Beschreibung. MULTIDATA GmbH # IP CALL/Section LISTEN 192.68.3.5...

  • Seite 41: Besondere Adressen

    Die von der CAPI-Implementierung unterstützten Protokolle können mit dem Befehl hcmd -p in Erfahrung gebracht werden. Die zur Zeit von HERMES-PRO/X unter- stützten Protokolle sind im Anhang B.2 Tabelle der B-Protokolle aufgelistet. Als Schicht 2 Protokoll wird Transparent HDLC empfohlen. Das Protokoll X.75 realisiert unter anderem eine Datensicherung, die für TCP/IP nicht...

  • Seite 42: Callback

    Identifikation und die Authentisierung des Anrufers die zurückzurufende Nummer die Zeitdauer nach der zurückgerufen wird Mit HERMES-PRO/X stehen mehrere Methoden einen automatischen Rückruf zu realisieren zur Verfügung: Die Identifikation erfolgt durch die Signalisierung der Rufnummer des Anrufers (CLGPN) im ISDN. Der Angerufene vergleicht die CLGPN mit dem Parameter Listen aus der Routing Tabelle (siehe Kapitel Routing).
  • Seite 43 (d.h. dem Abschnittsnamen in isdnd.cfg. Die zurückzurufende Nummer ergibt sich aus dem zugehörigen Parameter Call. Als Anrufer lassen sich alle Callback Typen unter HERMES-PRO/X konfigurieren. Als angerufene Station sind nur die Typen 0 und 4 implementiert. Es wird empfohlen Callback mit einem Authen- tisierungsverfahren zu verbinden, d.h.

  • Seite 44: Kanalbündelung

    6.12 Kanalbündelung Die automatische Kanalbündelung (Bandwidth On Demand, BOD) dient zur Erhöhung des Nutzdatendurchsatzes und ist in HERMES-PRO/X in einer proprietären Methode implementiert. Wenn zu einer Gegenstelle mehrere B-Kanäle aufgebaut sind, dann teilt der Routingprozeß prinzipiell die Datenpakete gleichmäßig auf die bestehenden B-Kanäle auf. Bei zwei B- Kanälen kann der Router somit einen Durchsatz von 128 kBits/s je Richtung...

  • Seite 45: Debugging

    CiscoPro CPA1003/CPA1004 ITK-Router netGW Windows 95 Windows NT MULTIDATA garantiert jedoch nicht für die einwandfreie Zusammenarbeit mit diesen und anderen Produkten. Bei Windows 95 ist die Konfiguration von PPP zusätzlich abhängig vom Hersteller des ISDN-Treibers und kann zu Inkompatibilitäten führen.

  • Seite 46: Firewall-Mechanismus

    Netz ausgehenden Informationen müssen die Firewall passieren. Eine Firewall entscheidet anhand bestimmter Kriterien, ob ein Paket durchgelassen oder verworfen wird. In HERMES-PRO/X wird die Open Source Firewall-Implementierung IP- Tables eingesetzt. Die Konfiguration von IP-Tables erfolgt über das Benutzerkommando iptables, welches in der Routersoftware enthalten ist und auf dem Router benutzt werden kann.

  • Seite 47: Konfigurationsmöglichkeiten

    HERMES-PRO Konfigurationsmöglichkeiten Durch die IP-Nummern bezogenen Regeln wird unterstützt, dass nur bestimmbare Rechner aus dem Intranet ins Internet kommen. Regeln für beliebige Protokolle lassen sich definieren. Zusätzlich zu TCP, UDP und ICMP lassen sich auch Regeln für z. B. AH und ESP definieren. Über Kommandozeile oder ein rc Skript kann die ganze Mächtigkeit der IP-Tables Implementierung genutzt werden.

  • Seite 48: Arbeitsweise Von Ip-Tables

    Firewall-Mechanismus Arbeitsweise von IP-Tables IP-Tables definiert den Begriff Chains. Chains haben einen Namen und enthalten eine sortierte Liste von Regeln. Es gibt drei vordefinierte Chains mit den Namen INPUT, OUTPUT und FORWARD. Die vordefinierten Chains enthalten zusätzlich eine Policy, die entweder ACCEPT oder DROP lautet.
  • Seite 49 HERMES-PRO Weiterhin gibt es benutzerdefinierte Aktionen. Der Name einer benutzer- definierten Aktion muss identisch zu dem Namen einer bestehenden benutzerdefinierten Chain sein. Die Bedeutung einer benutzerdefinierten Aktion ist, dass die Abarbeitung mit der ersten Regel der angegebenen benutzerdefinierten Chain fortgesetzt wird. Man kann sagen, die benutzer- definierte Chain wird aufgerufen.

  • Seite 50: Chains Für Hermes-Pro

    Firewall-Mechanismus Chains für HERMES-PRO Die Routersoftware unterstützt die Konfiguration von IP-Tables über die Weboberfäche und die Konfigurationsdatei isdnd.cfg. Über die Web- oberfläche lassen sich Firewallregeln definieren, die in entsprechende iptables Aufrufe umgesetzt werden. Eine Regel tritt sofort nach ihrer Definition über die Weboberfläche in Kraft. Beim Start von HERMES-PRO legt der isdnd Prozess einige Chains an, welche eine Umgebung definieren, die für benutzerdefinierte Chains verwendet wird.
  • Seite 51 HERMES-PRO Wenn der Benutzer eine vordefinierte Aktion (s. o.) für eine Regel auswählt, fügt isdnd zusätzliche Regeln ein, die folgendes bewirken: Auswahl DROP: Auf dem Router wird zusätzlich ein Eintrag in der Datei isdnd.log gemacht, wenn Debug 6 aktiv ist. Dies entspricht der Standardeinstellung.

  • Seite 52: Die Stationen Eines Pakets

    Firewall-Mechanismus Die Stationen eines Pakets Die Struktur der Chains bewirkt, dass ein Paket von einer Standard-Chain (INPUT, OUTPUT, FORWARD) zu der Chain isdnd-fw springt. Von dort geht es zu den Standardregeln (isdnd-std). Wenn das Paket dort nicht gepasst hat, kommt es zur isdnd-fw Chain zurück. Dann kommt das Paket zu der benutzerdefinierten Chain, welche dem Peer zugeordnet ist, zu welchem das Paket von isdnd geroutet werden soll.

  • Seite 53: Konfigurationsmenüs

    HERMES-PRO Konfigurationsmenüs In der Peertabelle wurde die alte Access-Spalte durch die Spalte IP-Table ersetzt: Peer Telno Telno BOD Call- IP Address Netmask L2 L3 Idle IP-Table PPP Section Name Call Signaled back arcor 0.0.0.0 0.0.0.0 0192070 5 0 120 Yes FWinternet PPParcor partner 192.168.10.0...

  • Seite 54: Edit Ip Tables Set

    Firewall-Mechanismus Description Die Beschreibung der IP Chain ist optional und hat keine Auswirkung auf die Konfiguration von IP Tables. Die Beschreibung wird jedoch in der Konfigurationsdatei abgespeichert. 7.5.3 Edit IP Tables Set Das folgende Menü erscheint bei Betätigung des edit Links im Menü IP Tables (Firewall) bei einer neu angelegten Chain.
  • Seite 55 HERMES-PRO Source Mask Beschreibung: Netzmaske der Quelle. Dieser Wert ist in Punktschreib- weise anzugeben. Beispiel: 255.255.255.0 Standardeinstellung: 255.255.255.255. Destination IP Beschreibung: IP-Nummer des Ziels. Dieser Wert ist in Punktschreib- weise oder als DNS Name anzugeben. In Verbindung mit Destination Mask beschreibt dieser Wert den IP-Nummernkreis des Ziels der Pakete, für welche diese Regel definiert ist.
  • Seite 56 Firewall-Mechanismus Protocols Die Protokolldefinition beschreibt ein oder mehrere Protokolle (TCP, UDP, ICMP, ESP, ...), für welche diese Regel definiert ist. Die Protokolldefinition any bezeichnet beliebige Protokolle. Beispiel: ESP Standardeinstellung: any Target Dieser Parameter bestimmt die Aktion und somit was mit dem IP Paket geschehen soll, das auf die oben beschriebenen Parameter passt.

  • Seite 57: Format Der Konfigurationsdatei

    HERMES-PRO Format der Konfigurationsdatei 7.6.1 Abschnitt [IPTABLESSECTIONS] Dieser Abschnitt enthält das Verzeichnis aller definierten Tabellen bzw. Regeln und deren Beschreibung. IPTABLESSECTn = Tabellenname Die Namen IPTABLESECT sind aufsteigend beginnend mit 0 numeriert. Bei der Speicherung der Konfiguration aus der Weboberfläche ergibt sich Tabellenname aus dem Bezeichner aus der Tabelle Firewall Sections.
  • Seite 58 Firewall-Mechanismus Beispiel: SrcIP = 192.168.1.0 Standardeinstellung: 0.0.0.0 SrcMask = Netzmaske Beschreibung: Netzmaske Quelle. Dieser Wert Punktschreibweise anzugeben. Beispiel: SrcMask = 255.255.255.0 Standardeinstellung: 255.255.255.255 DstIP = IP-Nummer Beschreibung: IP-Nummer des Ziels. Dieser Wert ist in Punktschreib- weise oder als DNS Name anzugeben. In Verbindung mit DstMask beschreibt dieser Wert den IP-Nummernkreis des Ziels der Pakete, für welche diese Regel definiert ist.
  • Seite 59 HERMES-PRO Protos = Protokolldefinition Die Protokolldefinition beschreibt ein oder mehrere Protokolle (TCP, UDP, ICMP, ESP, ...), für welche diese Regel definiert ist. Die Protokolldefinition any bezeichnet beliebige Protokolle. Beispiel: Protocols = ESP Standardeinstellung: any Target = [DROP|ACCEPT|RETURN|Tabellenname] Dieser Parameter bestimmt, was mit dem IP Paket geschehen soll, das auf die oben beschriebenen Parameter passt.

  • Seite 60: Portdefinition

    Firewall-Mechanismus Portdefinition Mengen von Ports lassen sich auf bequeme Weise definieren, damit die Anzahl Tabellenzeilen nicht überhand nimmt. Bereich zusammenhängender Portnummern ist durch Angabe des ersten und letzten Ports getrennt durch Doppelpunkt (:) anzugeben. Eine Aufzählung von Portnummern ist durch Komma (,) zu trennen. Sowohl symbolische Portnamen entsprechend der Datei /etc/services, als auch Portnummern zwischen 1 und 65536 sind erlaubt.

  • Seite 61: Tipps Zur Konfiguration

    HERMES-PRO Tipps zur Konfiguration Die letzte Regel einer benutzerdefinierten Chain, sollte auf alle Pakete passen und das Paket entweder verwerfen oder durchlassen, nicht jedoch ein RETURN ausführen, d. h.: Beschreibung Wert Quell-IP-Adresse 0.0.0.0 Quell-IP-Maske 0.0.0.0 Ziel-IP-Adresse 0.0.0.0 Ziel-IP-Maske 0.0.0.0 TCP Ports UDP Ports Protokolle Aktion...

  • Seite 62: Konfigurationsbeispiele

    Firewall-Mechanismus 7.10 Konfigurationsbeispiele Beispiel 1: Zugang aller Rechner im LAN zum Internet mit Nameserver. LAN: 210.21.1.0 Router Ethernet Schnittstelle: 210.21.1.106 Default Route auf allen Rechnern: 210.21.1.106. Nameserver für alle Rechner: 210.21.1.106. [PEERSECTIONS] PEERSECT1 = arcor [arcor] PeerIP = 0.0.0.0 Netmask = 0.0.0.0 Call = 00192070 Listen = - L2Prot = 5...
  • Seite 63 HERMES-PRO [FWinternet_002] Target = ACCEPT SrcIP = 210.21.1.0 SrcMask = 255.255.255.0 DstIP = 0.0.0.0 DstMask = 0.0.0.0 Desc = "alle Rechner aus dem LAN dürfen raus" [FWinternet_003] Target = DROP SrcIP = 0.0.0.0 SrcMask = 0.0.0.0 DstIP = 0.0.0.0 DstMask = 0.0.0.0 Desc = "Diese Regel bewirkt, dass kein RETURN ausgeführt wird"...

  • Seite 64: Ipsec Und Vpn

    VPN Konfiguration in der Konfigurationsdatei isdnd.cfg. Die Konfiguration über die Weboberfläche geschieht entsprechend und sollte intuitiv verständlich sein. Achtung: MULTIDATA empfiehlt aus Stabilitätsgründen und aus Kostengründen einen Internetzugangstarif zu verwenden, welcher es erlaubt, permanent Online sein zu können, wie z. B. eine Flatrate oder T-DSL Volumentarife.

  • Seite 65: Anwendungsfälle

    HERMES-PRO Anwendungsfälle Einige Anwendungsfälle aus dem Apothekenumfeld: Fernwartung: Das Apothekensoftwarehaus wählt sich in das Apotheken LAN ein und greift dort auf verschiedene Rechner und Dienste transparent zu. Softwareupdate: Ein Rechner aus der Apotheke kontaktiert einen Updateserver. Partnerapotheke: Zwei oder mehr Apotheken tauschen Daten aus, z. B. für eine gemeinsame Warenwirtschaft.

  • Seite 66: Dyndns

    IPSec und VPN DynDNS HERMES-PRO unterstützt die Protokolle verschiedener DynDNS Server, bei denen er sich mit einem konfigurierbaren Namen registriert. Als IP-Adresse trägt er immer die Internetadresse ein, die er vom ISP zugeteilt bekommen hat. Achtung: Namensauflösung IPSec Gegenstellen geschieht über den Nameserver des ISP und nicht über den kon- figurierten DynDNS Server.

  • Seite 67: Interoperabilität

    HERMES-PRO Interoperabilität HERMES-PRO kann mit unterschiedlichen Gegenstellentypen VPN Tunnel aufbauen. Dabei müssen die Gegenstellen keine festen IP-Adressen haben und auch nicht permanent Online sein. Die Gegenstellen sollten sich jedoch zumindest an einem DynDNS Server anmelden. 8.3.1 Dynamische IP-Adressen Eine besondere Fähigkeit von HERMES-PRO ist, dass er mit IPSec-Gegen- stellen Verbindungen aufbauen kann, welche weder eine feste IP-Adresse haben, noch ständig online sind.

  • Seite 68: Parameteraushandlung Mit Isakmp

    IPSec und VPN 8.3.2 Parameteraushandlung mit ISAKMP Das Protokoll ISAKMP (Internet Security Association and Key Management Protocol) dient dazu, verschiedene Sicherheitsparameter auszuhandeln. Unter anderem wird dabei Schlüsselmaterial ausgetauscht: IKE (Internet Key Exchange). Das Protokoll läuft in zwei Phasen ab. In beiden Phasen werden Parameter ausgehandelt.
  • Seite 69 HERMES-PRO In der Phase 1 des ISAKMP kommt der Main Mode (Identity Protection) oder der Aggressive Mode zum Einsatz. Als Authentifizierungsmethode dient ein konfigurierbarer, vorinstallierter Schlüssel (Preshared Key). Parameter Senden Akzeptieren Verschlüsselung 3DES-CBC 3DES-CBC Hashverfahren Authentifizierung Preshared Key Preshared Key Diffie Hellmann Gruppe 1024 Bit MODP (2) alle Lebensdauer...

  • Seite 70: Manuelle Schlüsselkonfiguration

    IPSec und VPN 8.3.3 Manuelle Schlüsselkonfiguration Statt ISAKMP kann die manuelle Schlüsselkonfiguration eingesetzt werden. Dazu muss das Schlüsselmaterial (SharedSecret) und der Parameter SPI manuell eingegeben werden. Die Datenübertragung kann beginnen, sobald die IP-Adressen der Tunnelendpunkte bekannt sind. Beim der manuellen Schlüsselkonfiguration unterstützt HERMES-PRO das symmetrische Verschlüsselungsverfahren 3DES mit 192 Bit Verschlüssel- ung.
  • Seite 71 HERMES-PRO Bei NAT-Traversal werden die IKE Pakete an den UDP Port 4500 (statt 500) gesendet. Die ESP Pakete werden in UDP verpackt, welche ebenfalls zum Port 4500 gesendet.

  • Seite 72: Format Der Konfigurationsdatei

    Wenn die Gegenstelle eine feste IP-Adresse hat und immer im Internet verfügbar ist, dann existiert der VPN Tunnel solange HERMES-PRO eine Internetverbindung hat. Der Parameter PeerName kann in diesem Fall eine IP-Adresse in Punktnotation enthalten. Beispiel: PeerName = apo1.dyn.multidata.de Standardeinstellung: Dieser Parameter ist zwingend erforderlich.
  • Seite 73 HERMES-PRO KeyingMode = Manual oder IKE Manuelle Parameterkonfiguration oder automatische Parameteraus- handlung durch IKE mittels des ISAKMP Protokolls. Beispiel: KeyingMode = Manual Standardeinstellung: Dieser Parameter ist zwingend erforderlich. SPI = (Hexadezimal)Zahl Relevant für: KeyingMode = Manual Security Parameter Index. Der SPI ist 32 Bit groß und in jedem verschlüsselten bzw.
  • Seite 74 IPSec und VPN Beispiel: PresharedKey = geh_Heim_nis Standardeinstellung: Dieser Parameter ist für KeyingMode = IKE zwingend erforderlich Phase1Mode = Main oder Aggressive Relevant für: KeyingMode = IKE Die IKE Aushandlung verwendet diesen Modus in der Phase 1 Aushandlung. Der Aggressive Modus wird für Gegenstellen benötigt, welche mit dynamischen IP-Adressen in Verbindung mit dem Main Modus nicht zurecht kommen (z.

  • Seite 75: Abschnitt [Vpnrouten]

    HERMES-PRO CallForOnline = Peer Abschnittsname Relevant für: KeyingMode = Manual und IKE Wenn die Gegenstelle nicht Online ist, fordert der Router die Gegenstelle dazu auf, Online zu gehen. Dazu ruft der Router die konfigurierte Gegenstelle über ISDN an. Es wird erwartet, dass die Gegenstelle so konfiguriert ist, dass sie mittels Callback Mechanismus eine Verbindung zum ISP aufbaut und somit Online geht.

  • Seite 76: Abschnitt [Dyndns]

    PeerName mit dem hier angegeben Namen übereinstimmt. Falls der Wert leer ist oder auf keinen [IPSecn] Abschnitt verweist, dann hat der gesamte [VPNRouten] Abschnitt keine Auswirkungen. Beispiel: PeerTunnelEndpoint = apo2.dyn.multidata.de Standardeinstellung: leer LocalVirtualNet = IP-Netzwerkadresse IP-Netzwerkadresse unter welcher das lokale Netz aus dem entfernten Netz erreichbar ist (lokale virtuelle Netzwerkadresse).
  • Seite 77 HERMES-PRO Hostname = Voll qualifizierter Internet Domänen Name Diese Name wird dem DynDNS Server mitgeteilt. Beispiel: Hostname = apo1.dyn.multidata.de Standardeinstellung: Dieser Parameter ist zwingend erforderlich. Protocol = DynDNS Protokoll Dieses Protokoll wird zur Bekanntgabe der IP-Adresse verwendet. Die unterstützten Protokolle sind in Tab. 3: Unterstützte DynDNS Server aufgeführt.

  • Seite 78: Firewalleinstellungen

    IPSec und VPN Firewalleinstellungen Die Firewall ist so eingestellt, dass nur Pakete an den Port 500 (isakmp)n den Port 4500 (NAT-T) und Pakete des ESP und des ICMP Protokolls den Router erreichen. Diese Regeln werden automatisch aktiv, sobald eine Internetverbindung besteht. TCP und UDP Verbindungen vom LAN in das Internet sind nicht betroffen.

  • Seite 79: Capi-Serverfunktion

    Abb. 9.1: VCAPI Übersicht Client Als Client Betriebssystem kann Windows NT und Windows 95 zum Einsatz kommen. Jede CAPI Applikation, die auf capi2032.dll oder capi20.dll aufsetzt, sollte lauffähig sein. Bisher wurden folgende Applikationen unter Windows NT 4.0 getestet: testhsc (MULTIDATA) T-Online...

  • Seite 80: Konfiguration Von Capi2032.Dll

    Verzeichnis %SystemRoot%\system32 befinden, um von allen Anwen- dungen gefunden zu werden. Die IP Adresse und die Portnummer des VCAPI Servers (rcapid) muß in der Registry mit dem Programm regedit.exe eingetragen werden: HKEY_LOCAL_MACHINE\SOFTWARE\MULTIDATA\VCAPI\Client VCAPI_SERVER_ADDR die IP Nummer des Servers in Punktschreibweise als Zeichenkette. VCAPI_SERVER_PORT_NO die Portnummer des VCAPI Service (7703) als Zeichenkette.

  • Seite 81: Server

    HERMES-PRO Server Der Serverprozeß heißt rcapid. Der Prozeß wird zur Boot-Zeit automatisch gestartet und muß nicht konfiguriert werden. Der Hintergrundprozeß rcapid nimmt standardmäßig Verbindungen mit dem TCP-Service vcapi auf Port 7703 auf allen Netzwerkschnittstellen entgegen.

  • Seite 82: Konfiguration

    Konfiguration Die Konfiguration von HERMES-PRO/X kann über einen Web-Browser und über die Konfigurationsdateien /usr/lib/hermes/isdnd.cfg /etc/ihosts /etc/hosts erfolgen. Für fast alle Konfigurationsparameter gibt es Standard- einstellungen, die verwendet werden, wenn der Parameter nicht angegeben wird. Alle Einstellungen über den Web-Browser werden sofort wirksam, falls dies nicht anders angegeben ist.

  • Seite 83: General Router

    HERMES-PRO 10.1.1 General Router Dieses Menü erlaubt allgemeine Einstellungen, die die Routingsoftware und die Konfiguration über einen Web-Browser betreffen. MSN MSN Wakeup Signal Port Timeout Journaling Port Debug Timeserver 0123456 210.21.1.12 7705 edit MSN = Mehrfachrufnummer Die MSN (Multiple Subscriber Number, Mehrfachrufnummer), die das ISDN Gerät von anderen ebenfalls angeschlossenen Geräten oder Softwareprogrammen unterscheidet.
  • Seite 84 Eintrag fehlt oder leer ist, erzeugt isdnd keine Journaling Nachrichten. Die Portnummer für das syslog Protokoll ist 514. Die empfohlene Portnummer für eine proprietäre MULTIDATA Client/Server Kommunikation ist 7707. Weitere Hinweise zum Journaling finden sie im Journaling Handbuch. Standardeinstellung ist leer Debug = Zeichenkette Gibt an, welche Logausgaben in die Datei /usr/lib/hermes/isdnd.log...

  • Seite 85: Accounting Restricted Dialout

    2. die Anzahl der abgehenden Verbindungen 3. die Summe der Verbindungszeiten für abgehende Verbindungen gesammelt. Sobald einer der drei Grenzwerte erreicht ist, wird von HERMES-PRO/X keine abgehende Verbindung mehr aufgebaut. In der Logdatei wird ein entsprechender Eintrag vorgenommen. Eingehende Rufe werden nach wie vor angenommen.

  • Seite 86: Hosts Database

    Konfiguration Die Einstellung des Inaktivitätstimers wird in Kapitel Fehler! Verweisquelle konnte nicht gefunden werden., Fehler! Verweisquelle konnte nicht gefunden werden., beschrieben. Interval Count Charges Duration edit Interval = Stunden Gibt die Größe des überwachten Zeitintervalls in Einheiten von Stunden an. Der Wert -1 schaltet die Überprüfung aller Grenzwerte aus. Die Standardeinstellung beträgt –1.

  • Seite 87: Ip Interfaces

    HERMES-PRO Ein Nameserver-Dienst ist in der vorliegenden Version von HERMES- PRO/X nicht vorgesehen. IP Number Hostname and Aliases 127.0.0.1 localhost edit delete 210.21.1.1 multi1 edit delete 210.21.1.2 multi2 edit delete 210.21.1.3 multi3 edit delete IP-Number Geben Sie hier die IP-Nummer in Punktschreibweise an. Hostname and Aliases Geben Sie hier zuerst den offiziellen Namen des Hosts an, danach können Sie noch -getrennt mit Leerzeichen- weitere Aliasnamen ver-...

  • Seite 88: Dhcp Server

    Konfiguration ISDN Interface Dies ist die IP Nummer, unter der die IP Schicht von HERMES-PRO/X über ISDN erreichbar ist. Die Standardeinstellung beträgt 192.168.3.1 ISDN Router Dies ist die IP Nummer, unter der der isdnd Prozeß erreichbar ist. Diese IP Nummer ist zur Zeit nicht von Bedeutung.
  • Seite 89 HERMES-PRO Start Address = IP-Adresse Dies ist die erste Adresse eines Adressbereichs, aus welchem der DHCP Server Adressen vergibt. Die IP-Adresse muss in dem Bereich des lokalen Netzwerks liegen (siehe Abschnitt IP Interfaces). Dieser Parameter ist zwingend erforderlich, wenn Active auf Yes steht. End Address = IP-Adresse Dies ist die letzte Adresse eines Adressbereichs, aus welchem der DHCP Server Adressen vergibt.

  • Seite 90: Isdn Peer Stations

    Konfiguration arcor 0.0.0.0 0.0.0.0 0010700192070 5 0 -1 Yes FWinternet ppparcor pppdefa multi15 192.168.3.15 255.255.255.255 36 0 0 60 No SYSTEM multi19 192.168.3.19 255.255.255.255 47 5 0 -1 No SYSTEM pppm19 Peer Name Symbolischer Abschnittsname. Dieser Name muß in der Konfiguration eindeutig sein.
  • Seite 91 HERMES-PRO B Kanal Schicht 3 Protokoll. Die Nummer 0 entspricht der transparenten Schicht 3 bei der CAPI 2.0. Die Standardeinstellung beträgt 0. Idle Anzahl von Sekunden nach denen die Verbindung bei Inaktivität abgebaut wird. Der Wert -2 bedeutet, daß die Voreinstellung aus dem Abschnitt [ISDND], siehe Kapitel 10.2 Konfigurationsdateien, verwendet wird.

  • Seite 92: Ppp Sections

    Konfiguration PPP Section Symbolischer Name des Abschnitts für PPP Parameter. Der Parameter kann leer bleiben, wenn kein PPP benötigt wird. 10.1.7 PPP Sections Ein PPP Abschnitt definiert die Parameter für eine Verbindung mit Point-to- Point-Protokoll. Ein Abschnitt kann von verschiedenen Gegenstellen (Peer Stations) referenziert werden.

  • Seite 93: Lcp Sections

    HERMES-PRO 10.1.8 LCP Sections Ein LCP Abschnitt definiert die Parameter für das Link Control Protokoll. Ein Abschnitt kann von verschiedenen PPP Abschnitten referenziert werden. Dies ist sinnvoll, wenn mehrere Gegenstellen zu spezifizieren sind, die alle die gleichen Parameter benutzen. Section Name Callback Callback Type Callback ID AF/CF Compression PF Compression lcpdefault...

  • Seite 94: Chap Sections

    Konfiguration referenziert werden. Dies ist sinnvoll, wenn mehrere Gegenstellen zu spezifizieren sind, die alle die gleichen Parameter benutzen. Section Name Own IP Remote IP VJ compression VJ max state VJ compress slot ID ipcpdefault 210.21.3.56 0.0.0.0 edit delete ipcparcor 0.0.0.0 0.0.0.0 edit delete...
  • Seite 95 HERMES-PRO PAP (Password Authentication Protocol). Ein Abschnitt kann von verschiedenen PPP Abschnitten referenziert werden. Dies ist sinnvoll, wenn mehrere Gegenstellen zu spezifizieren sind, die alle die gleichen Parameter benutzen. Section Name Authentication Local username Local password Remote username Remote password chapdefault edit delete...

  • Seite 96: Ip-Tables (Firewall)

    Konfiguration Wenn die Zeichenkette leer ist, wird die Identifikation der Gegenstelle nicht überprüft. Remote password Diese Zeichenkette wird als Kennwort für die Anmeldung der lokalen Station bei der Gegenstelle verwendet. Wenn die Zeichenkette leer ist, erfolgt keine Anmeldung. 10.1.11 IP-Tables (Firewall) Siehe Kapitel 7 Firewall-Mechanismus.

  • Seite 97: Ipsec And Vpn

    HERMES-PRO TCP Ports Die TCP-Dienst-Adresse(n), welche aus dem Internet erreichbar sein soll(en). Sie können eine Liste oder auch einen Bereich von Portnummern angeben (siehe auch Kapitel 7.7 Portdefinition). Dieser Parameter ist zwingend erforderlich. UDP Ports Die UDP-Dienst-Adresse(n), welche aus dem Internet erreichbar sein soll(en).

  • Seite 98: Show Active Isdn/Dsl Connections

    Konfiguration Direction Ankommende (IN) oder abgehende Verbindung (OUT) Source IP / Dest. IP Source und Destination IP des IP-Pakets, das den Verbindungsaufbau gestartet hat NAT IP Bei Internetverbindung ist die die öffentliche IP Adresse des Routers. Telno Telefonnummer der Gegenstelle. Bei einem externen Modem am Port P1 wird pppoe angezeigt.

  • Seite 99: Show Active Tcp/Udp/Icmp Connections

    HERMES-PRO Source Port Dest. Port Source IP Dest. IP State Timeout (sec) 210.21.41 194.25.2.129 1104 7705 SYN_SENT 210.21.41 194.25.2.129 1105 7705 SYN_SENT UDP Connections Source IP Dest. IP Source Port Dest. Port Timeout (sec) ICMP Connections Source IP Dest. IP Type Code Timeout (sec)

  • Seite 100: Trace Parameters

    Konfiguration Datei (Routerimage im tar-Format) von dem lokalen System erlaubt. Durch Betätigung des Aktionsknopf Upload wird die Datei über einen Standard- mechanismus des HTTP (Post Methode) zum Router übertragen. Im gleichen Menü erlaubt nach Auswahl der Datei im Feld Flash TAR File der Aktionsknopf Flash das Brennen der übertragenen Datei.
  • Seite 101 HERMES-PRO Der Aktionsknopf Set parameters setzt die Trace Parameter, während mit dem Aktionsknopf Trace now to browser die Trace-Ausgabe auf den Browser gestartet wird.

  • Seite 102: Konfigurationsdateien

    Konfiguration 10.2 Konfigurationsdateien Die Datei isdnd.cfg enthält mehrere Abschnitte, die jeweils aus einer Gruppe zusammengehörender Parameter bestehen. Ein Abschnitt beginnt mit einem Abschnittsnamen. Abschnittsnamen werden in eckige Klammern gesetzt [Abschnitt]. Ein Abschnitt erstreckt sich bis zum Anfang des darauf folgenden Abschnitts oder, im Fall des letzten Abschnitts, bis zum Dateiende.
  • Seite 103 HERMES-PRO Wenn die letzten Ziffern übereinstimmen, wird das Signal RI der V.24- Schnittstelle für 100ms aktiviert. Hiermit kann z. B. eine USV bzw. ein Server ferngesteuert eingeschaltet werden. Auf die Rufannahme hat diese Funktionalität keine Auswirkung. Insbesondere kann MSNWakeupSignal gleich MSN sein. Mit unset kann diese Funktion deaktiviert werden.
  • Seite 104 Eintrag fehlt oder leer ist, erzeugt isdnd keine Journaling Nachrichten. Die Portnummer für das syslog Protokoll ist 514. Die empfohlene Portnummer für eine proprietäre MULTIDATA Client/Server Kommunikation ist 7707. Weitere Hinweise zum Journaling finden sie im Journaling Handbuch. Standardeinstellung ist leer Debug = Liste Liste gibt an, welche Logausgaben vorgenommen werden sollen.

  • Seite 105: Abschnitt [Peer]

    HERMES-PRO 10.2.2 Abschnitt [peer] Der Name dieses Abschnitts wird aus der Datei /etc/ihosts referenziert. Dort muß eine Zeile in der folgenden Form vorliegen: Host peer Host ist dabei eine IP-Nummer oder ein symbolische Hostname. Folgende Parameter sind für diesen Abschnitt definiert: PeerIP = IP-Nummer IP-Nummer der Gegenstelle.
  • Seite 106 Konfiguration L2Prot = Wert B Kanal Schicht 2 Protokoll. Siehe Kapitel B.2.2 Schicht 2 Protokolle. Standardeinstellung: 0 L3Prot = Wert B Kanal Schicht 3 Protokoll. Siehe Kapitel B.2.3 Schicht 3 Protokolle. Standardeinstellung: 0 Timeout = Wert Wert gibt die Zeit in Sekunden an, nach der die Verbindung bei Inaktivität abgebaut werden.
  • Seite 107 Call den Wert ipgw hat. Ein IP-Gateway lässt sich auch im Menü Configuration Assistant konfigurieren. In diesem Untermenü erscheint der Eintrag New Internet via IP Gateway. Diese Option ist nur für HERMES-PRO/X verfügbar. WanAddress = IP Adresse Die lokale IP Adresse der WAN Schnittstelle in einer IP-Gateway Konfiguration.

  • Seite 108: Abschnitt [Peerppp]

    Konfiguration WanNetmask = Netzmaske Die Netzmaske für die lokale WAN Schnittstelle in einer IP Gateway Konfiguration. Falls der Parameter den Wert 0.0.0.0 enthält, dann wird er über DHCP ermittelt. Achtung: Die IP Adresse und die Netzmaske der WAN Schnittstelle dürfen nicht mit der IP Adresse und Netzmaske der LAN Schnittstelle identisch sein, da dann LAN Rechner evtl.

  • Seite 109: Abschnitt [Peerlcp]

    HERMES-PRO Symbolischer Name des Abschnitts für Link Control Protocol Parameter. Der Parameter kann leer bleiben, wenn nur Standardeinstellungen für LCP benötigt werden. Standardeinstellung: leer IPCP = Name Symbolischer Name des Abschnitts für Internet Control Protocol Parameter. Der Parameter kann leer bleiben, wenn nur Standard- einstellungen für IPCP benötigt werden.

  • Seite 110: Abschnitt [Peeripcp]

    Wert wird der Gegenstelle als eigene IP-Nummer mitgeteilt. Falls die Gegenstelle dynamische IP-Nummern vergeben kann, dann kann 0.0.0.0 angegeben werden, damit HERMES-PRO/X von der Gegenstelle eine dynamische IP-Nummer zugewiesen bekommt. Die ausgehandelte Nummer wird bei der Verwendung von NAT in jedem abgehenden IP Paket als Source IP Nummer eingetragen.

  • Seite 111: Abschnitt [Peerchap]

    HERMES-PRO Kompression kann der Durchsatz wesentlich verbessert werden, wenn in kurzer Zeit viele kleine IP-Pakete übertragen werden. Standardeinstellung: y 10.2.6 Abschnitt [peerCHAP] Authentisierungsabschnitt definiert Parameter für Authentisierungsprotokolle CHAP (Challenging Handshake Protocol) und PAP (Password Authentication Protocol). Ein Abschnitt kann von verschiedenen PPP Abschnitten referenziert werden.

  • Seite 112: Abschnitt [Interfaces]

    Konfiguration Verfahren Vorrang, d.h. CHAP wird verwendet, wenn beide Seiten CHAP unterstützen. CHAP CHAP or PAP Standardeinstellung: 3 (CHAP or PAP). 10.2.7 Abschnitt [INTERFACES] EtherMode = [10|100] Dieser Parameter ist veraltet und wird nicht mehr ausgewertet. Standardeinstellung 10 fec0 = IP-Nummer Nummer gibt die IP-Nummer der Ethernetschnittstelle an.

  • Seite 113: Abschnitt [Dhcpmappingn]

    HERMES-PRO Active = Yes | No Dieser Parameter aktiviert den DHCP Server, wenn der Wert auf Yes steht. Beim Wert No ist der DHCP Server deaktiv. Eine Änderung hat sofortige Auswirkung. Die Standardeinstellung beträgt No Start = IP-Adresse Dies ist die erste Adresse eines Adressbereichs, aus welchem der DHCP Server Adressen vergibt.

  • Seite 114: Abschnitt [Portforwardingn]

    Konfiguration Clinet mit dieser MAC Adresse die angegebene IP-Adresse zu. Das Format der MAC Adresse sind sechs Hexadezimale Bytes, welche durch Doppelpunkt getrennt sind. Dieser Parameter ist zwingend erforderlich. IPAddress = IP-Adresse Der DHCP Server weist dem Client diese IP-Adresse zu. Die IP-Adresse muss in dem Bereich des lokalen Netzwerks liegen.

  • Seite 115: Abschnitt [Trace]

    HERMES-PRO 10.2.11 Abschnitt [TRACE] LogToServer = [yes|no] Aktiviert die Aufzeichnung von Log/Trace-Informationen über den hlogger. Siehe auch Dokumentation Dienstprogramm hlogger. Standardeinstellung: no LogServer = IP-Nummer IP-Nummer des Servers auf dem hlogger läuft. Standardeinstellung: leer Channels = Wert Bestimmt die Kanäle, die aufgezeichnet werden sollen. D-Kanal: 0x01, B-Kanal 1: 0x02, B-Kanal 2: 0x04 Standardeinstellung: 0 Debug = Wert...

  • Seite 116: Betriebssystem Des Routers

    Betriebssystem in den Hauptspeicher (16 MByte RAM) entpackt und gestartet. Die Konfigurationsdaten werden beim Start des Betriebssystems als Dateien in das RAM Filesystem kopiert. HERMES-PRO/X läuft unter dem Betriebssystem Linux mit den folgenden Eigenschaften: Multitasking und Multiuser Fähigkeit RAM Filesystem TCP/IP Stack Sie können sich sowohl über die V.24 Schnittstelle als auch mit Hilfe eines...
  • Seite 117 HERMES-PRO Beschreibung Kommando Dateiverwaltung ls, cp, rm, mv, chmod, mkdir, df Anzeige cat, echo, less, more Allgemein bash (Shell), ps, date, hostname, passwd, printenv, reboot Netzwerk ifconfig, ping, route, unfsio (NFS), mount, umount Serverdienste inetd, fingerd, telnetd, ftpd Tools vi, flash_tool, getcfg Tab.

  • Seite 118: Hermes-Spezifische Hilfsprogramme

    Betriebssystem des Routers 11.2 HERMES-spezifische Hilfsprogramme 11.2.1 flash_tool Das Programm flash_tool dient dazu, den Flash Speicher des Routers zu schreiben und zu lesen. Parameter: Datei Datei aus dem Flash Speicher lesen. Der Dateiname muß vollständig mit Pfad angegeben werden. Datei Datei in den Flash Speicher schreiben.

  • Seite 119: Testhsc

    HERMES-PRO Wenn das tar-Archiv eine Datei mit den Namen loader enthält, dann wird sie als Bootlader gebrannt. Andere Dateien brennt flash_tool als Konfigurationsdatei und stellt vor dem Schreiben sicher, daß keine anderen Dateien überschrieben werden. Ausgeben der Seriennummer. Dieser Parameter wird unter Linux nicht unterstützt.
  • Seite 120 Betriebssystem des Routers Server-Modus: testhsc wartet auf eingehende Anrufe und legt die empfangenen Daten in einer Datei ab. Bei fehlendem Dateinamen schreibt testhsc die empfangenen Daten auf die Standardausgabe. Folgende Optionen sind verfügbar: testhsc –d [-1 schicht1] [-2 schicht2] [-3 schicht3] [-4 proto] [datei] Parameter:...

  • Seite 121: Gpf2

    HERMES-PRO controller Legt den für die Datenübertragung zu verwendenden CAPI- Controllernummer fest. Die CAPI-Controllernummern beginnen mit 1. Fehlt dieser Parameter, so wird der Controller 1 ausgewählt. Exit Codes: 0: o.k., sonst Fehler. Beispiel zum Senden von Daten: Die Datei test.dat soll an die Rufnummer 12345 geschickt werden: testhsc -n 12345 test.dat Beispiel zum Empfangen von Daten: Auf der Empfangsseite soll die gesendete Datei als neu.dat abgespeichert...

  • Seite 122: Fppp

    Legt die Kanäle fest, für die Trace-Informationen verarbeitet werden sollen. Der Wert 0 wählt den D-Kanal aus, Werte größer 0 die ent- sprechenden B-Kanäle. debugliste Schaltet MULTIDATA spezifische Debug-Informationen (siehe Anhang B.4) ein. anzahl Legt die maximale Anzahl der zu erzeugenden Binärdateien fest und numeriert diese durch anhängen einer fortlaufenden Nummer an den...

  • Seite 123: Fascii

    HERMES-PRO 11.2.5 fascii fascii wandelt das binäre GPF-Format in ASCII um. Dabei wird von der Standardeingabe gelesen und auf die Standardausgabe geschrieben. 11.2.6 getcfg Die Konfigurationsdatei /usr/lib/hermes/isdnd.cfg liegt im win.ini Format vor. Das Kommando getcfg dient dazu, den Wert eines Konfigurations- parameters aus dieser Datei auf die Standardausgabe auszugeben.

  • Seite 124: Konfigurationsbeispiele

    Konfigurationsbeispiele Callback Die Beispiele zeigen die Konfiguration in der Datei isdnd.cfg. A.1.1 HERMES H1 ruft HERMES H2 mit CLIP Für H1 wird keine besondere Konfiguration benötigt. H2 Konfiguration: [H1Peer] Callback ; nach 5 Sek. zurückrufen A.1.2 HERMES H1 ruft HERMES H2 mit PPP/LCP H1 Konfiguration: [H2Peer] = H2PPP...

  • Seite 125: Winnt Ruft Hermes H2 Mit Cbcp

    HERMES-PRO H2 Konfiguration: [H1Peer] = H1PPP [H1PPP] = H1LCP CHAP = H1CHAP [H1LCP] CallbackMode ; 8=Outgoing, 4=Incoming [H1CHAP] RemoteName = H1 LocalPassword = P2 A.1.3 WinNT ruft HERMES H2 mit CBCP WinNT Konfiguration: 1. DFÜ-Netzwerk->Weiteres->Benutzereinstellung->Rückruf->Vielleicht. Beim Wählen nachfragen, wenn Server dies anbietet. 2.

  • Seite 126: Accounting Restricted Dialout

    Konfigurationsbeispiele Accounting Restricted Dialout Innerhalb von 24 Stunden sollen nicht mehr als 100 Gebühreneinheiten anfallen, die Anzahl der abgehenden Verbindungen 50 nicht überschreiten und die Summe der Verbindungszeiten 60 Minuten nicht überschreiten. [ISDND] ARDInterval = 24 ARDCharge = 100 ARDCount = 50 ARDDuration = 60...

  • Seite 128: Tabellen

    Tabellen Tabelle der wichtigsten CIP Werte Bitmaske Bitnr. Beschreibung Speech (Sprache) Unrestricted Digital Information (64 kBits/s) Restricted Digital Information 3.1 kHz Audio (Rufe aus dem analogen Netz) 7 kHz Audio Video Packet Mode 56 kBits/s Rate Adaption Unrestricted Digital Information with tones/announcements...

  • Seite 129: Tabelle Der B-Protokolle

    HERMES-PRO Tabelle der B-Protokolle B.2.1 Schicht 1 Protokolle 64 kBits/s with HDLC framing 64 kBits/s bit-transparent operation with byte framing from the network V.110 asynchonous operation with start/stop byte framing V.110 synchronous operation with HDLC framing T.30 modem for fax group 3 Modem with full negotiation (B2 Protocol must be 7) Modem asynchronous operation with start/stop byte framing Modem synchronous operation with HDLC framing...

  • Seite 130: Schicht 3 Protokolle

    Tabellen B.2.3 Schicht 3 Protokolle Transparent T.90NL with compatibility to T.70NL in accordance with T.90 ISO 8208 (X.25 DTE-DTE) T.30 for fax group 3 T.30 for fax group3 with extensions Modem DATEG MSV2...

  • Seite 131: B.3 Capi Fehlermeldungen

    HERMES-PRO CAPI Fehlermeldungen CAPI Fehlermeldungen sind in sogenannte "Fehlerklassen" unterteilt. Ein CAPI-Fehlercode besteht aus einem 16 Bit-Wert, wobei die höherwertigen 8 Bit die Fehlerklasse darstellen. CAPI Fehlercodes können bei der Durchführung von CAPI-Operationen (wie z.B. CAPI_REGISTER oder CAPI_RELEASE) entstehen oder in CONFirmation oder INDication Nachrichten enthalten sein.
  • Seite 132 Tabellen Fehlercodes bei CAPI_RELEASE, CAPI_PUT_MESSAGE, CAPI_GET_MESSAGE 0x1104 Queue is empty Es liegen keine Nachrichten vor, dies stellt keinen eigentlichen Fehler dar. 0x1105 Queue overflow: a message was lost. This indicates a configuration error. The only recov-ery from this error is to do the CAPI_RELEASE operation.
  • Seite 133 HERMES-PRO Fehlercodes in _CONF Nachrichten 0x2002 Illegal Controller/PLCI/NCCI Die Anwendung adressiert einen ungültigen Controller, PLCI oder NCCI; oder der addressierte Controller befindet sich in einem Ausnahmezustand. Überprüfen Sie den adressierten Controller (z.B. mit "hcmd -v") auf Ausnahmezustände. Liegt ein Ausnahmezustand vor, benachrichtigen Sie den Hersteller.
  • Seite 134 Tabellen 0x3481 Unallocated (unassigned) number 0x3483 No route to destination Die angegebene Rufnummer existiert nicht. Evtl. wurde die Amtskennziffer nicht angegeben. 0x3490 normal call clearing normal, unspecified Normaler Verbindungsabbau, dies stellt keinen Fehler dar. 0x349A Non-selected user clearing Die Anwendung hat versucht den Ruf anzunehmen, der eingehende Ruf wurde jedoch von einem anderen Gerät am gleichen Anschluss angenommen.

  • Seite 135: Isdn Debug-Informationen

    HERMES-PRO ISDN Debug-Informationen Folgende Tabelle gibt an, welche Debug-Informationen durch Setzen der Bitmaske aufgezeichnet werden. Um beispielsweise alle LLD Debug- Informationen aufzuzeichnen, sind die Bits 0 bis 3 bzw. die Bitmaske 0x000f zu setzen. Im Internet-Browser wird die Einstellung durch Setzen der Bitmaske vorgenommen, während die gpf2-Anwendung die Einstellung als Bitnummer bzw.

  • Seite 136: Steuerung Der Log-Ausgaben

    Tabellen Steuerung der Log-Ausgaben EMERG System is unusable ALERT Action must be taken immediately CRIT critical condition, internal errors nonfatal error conditions WARN warnings, packets lost NOTICE normal, but significant condition INFO informational message (accounting)

  • Seite 138: Troubleshooting

    Troubleshooting Zugang zur Web-Konfiguration Falls der Router nicht erreichbar ist, dann überprüfen Sie bitte die Konfiguration Ihres Web-Browsers. Es darf kein Proxyserver eingestellt sein. Notbetrieb Wenn der Router nicht mehr ansprechbar ist, dann gibt es die Möglichkeit, den Router im Notbetrieb zu starten. In folgenden Fällen hilft der Notbetrieb, den Router wieder einsatzbereit zu machen: nach der Aktualisierung der Firmware ist der Router nicht mehr ansprechbar...

  • Seite 139: C.3 Verbindungsaufbau

    HERMES-PRO Im Notbetrieb verwendet der Router ein Notbetriebsystem und eine Standardkonfiguration. Anders als im Auslieferungszustand ist der Router über die IP Nummer 192.168.1.1 erreichbar. Im Notbetrieb steht nur ein eingeschränkter Funktionsumfang des Routers zur Verfügung. Er dient nur dazu den Router wieder einsatzbereit zu machen. Im Notbetrieb kann ein neues Image gebrannt werden.
  • Seite 140 Troubleshooting Anhand der Ausgaben der Befehle route und ifconfig kann die Konfiguration der IP-Schnittstelle überprüft werden (siehe Kapitel 6.2, Die IP-Schnittstelle). In der Datei ihosts müssen alle Zeilen mit der gleichen Telefonnummer auch das gleiche Schicht 2 und Schicht 3 Protokoll enthalten. D.h.

  • Seite 142: Begriffe Und Abkürzungen

    Begriffe und Abkürzungen 100Base-TX Bezeichnung für ein 100 MBit/s Twisted-Pair-Verkabelung Netzwerk 10Base-T Bezeichnung für ein 10 Mbit/s Twisted-Pair-Verkabelung Netzwerk Accounting Gebührenerfassung wie Gebührenvolumen und Verbindungs- daten ADSL Asymmetric digital subscriber line Accounting Restricted Dialout; durch Regeln bestimmtes Anwahlverfahren Adress Resolution Protocol ARPA Advanced Research Projects Agency Bandwidth On Demand;...
  • Seite 143 HERMES-PRO CIP Mask Selektionsmaske für verschiedene Dienste bei eingehenden Rufen CIP Wert Signalisierter Dienst bei abgehendem Verbindungsaufbau CLIP Calling Line Identification Presentation Controller (CAPI); Eine über CAPI-Schnittstelle adressierbare Hardware-Einheit, die Zugang zum ISDN ermöglicht. (1..n) DSS-1 Digital Subscriber Signalling System No. one protocol dynamisches Routing Anpassung des Routings aufgrund Veränderung der Netz- topologie...
  • Seite 144 Begriffe und Abkürzungen Nameserver-Dienst UDP-Dienst zur Auflösung von QDN (Qualified Domain Name) zu IP-Nummern Network Address Translation Network File System Point-to-Point Protocol PPPoE PPP over Ethernet Request for Comment smtp simple mail transfer protocol Transmission Control Protocol TCP- bzw. UDP Ports Nummern zwischen 1 und 65535, die verschiedene Sessions und Dienste unterscheiden Terminal Equipment...

  • Seite 146: E Literaturverzeichnis

    Literaturverzeichnis capi 1999 COMMON-ISDN-API, Version 2.0, http://www.capi.org/ ets300 90 European Telecommunication Standard 300 102-1 Integrated Services Digital Network (ISDN); User-network interface layer 3; Sepecifications for basic call controll, European Telecommunication Standards Institute, December 1990. ftz1tr3 87 FTZ-Richtliniensammlung, Technische Forderungen an digitale Endgeräte mit S -Schnittstelle, FTZ-RichtlS 1 TR 3, Band III, Teil 5, 1 TR 6 D-Kanal Protokoll (Schicht 2 und 3), 1987...

  • Seite 148: Garantiebedingungen

    Garantiebedingungen Garantieumfang Die Garantie erstreckt sich auf den ausgelieferte Router HERMES-PRO/X mit all seinen Bauteilen. Sie wird in der Form geleistet, daß Bauteile, die nachweislich trotz sachgemäßer Behandlung Beachtung Handbuchs aufgrund von Fabrikations- und Materialfehlern defekt geworden sind, ausgetauscht werden. Die dazu verwendeten Teile sind neu oder neuwertig.

Inhaltsverzeichnis