559542
156
Verklein
Vergroot
Pagina terug
1/157
Pagina verder
AVM Access Server
Sicherer Zugang für Ihr Netz
Internet Access Remote Access Network Access
I SDN
DSL
Firewall
VPN
SERVER
Dieses Handbuch ist auf chlorfrei gebleichtem Papier gedruckt und daher voll recycelbar.
S10/02-L10/02-10.000-R&P 10/02
SERVER
Beispiel-Szenario
Technische Gegebenheiten
im Hauptsitz Berlin und in der Niederlassung in Stuttgart
T-DSL-Anschluss mit T-Online Flatrate
T-Online als Internetanbieter
betriebsbereiter Computer mit den im Kapitel „Systemvoraussetzungen“ auf Seite 14 ge-
nannten Voraussetzungen; eine FRITZ!Card DSL ist installiert
bei Erika Musterfrau am Heimarbeitsplatz in Hamburg
ISDN-Anschluss
T-Online als Internetanbieter
betriebsbereiter Computer
Grafik
Die Firma ABC hat ihren Hauptsitz in Berlin und eine Niederlassung in Stuttgart. Im Hauptsitz in
Berlin ist die Mitarbeiterin Erika Musterfrau beschäftigt. Da Frau Musterfrau in Hamburg wohnt,
arbeitet sie zu Hause. Sie soll nun einen VPN-Zugang zum Firmennetz erhalten und darüber
auch auf den E-Mail-Server zugreifen können. Die beiden lokalen Netzwerke in Berlin und in
Stuttgart sollen ebenfalls über VPN gekoppelt werden.
Auf der Rückseite dieser Klappkarte ist das Beispiel-Szenario grafisch dargestellt. Neben den
Beispiel-IP-Adressen können Sie in den freien Feldern die IP-Adressen eintragen, die in Ihrem
Netzwerk vorkommen. Auf diese Weise wird es einfacher, die im Handbuch beschriebenen
Beispiele mit den bei Ihnen gültigen Adressen einzurichten.
Sie können die Klappkarte auch dazu benutzen, Ihre aktuelle Konfiguration zu dokumentieren.
Internet
Niederlassung Berlin
Heimarbeitsplatz von Erika Musterfrau
AVM
Access Server
Dynamische IP-Adresse
(von T-Online zugewiesen)
Virtuelles
Privates Netz
(VPN)
Niederlassung Stuttgart
Beispiel: 192.168.20.0/24
Ihr eigenes Netz:
Beispiel: IP-Adresse
aus Bereich 192.168.110.0/24
Ihr eigener Bereich:
Beispiel: 192.168.10.0/24
Ihr Firmennetzwerk:
Beispiel: 192.168.10.1
AVM
Access Server
Beispiel: 192.168.20.1
2 AVM Access Server
AVM Access Server
Diese Dokumentation und die zugehörigen Programme sind urheberrechtlich geschützt.
Dokumentation und Programme sind in der vorliegenden Form Gegenstand eines Lizenz-
vertrages und dürfen ausschließlich gemäß den Vertragsbedingungen verwendet wer-
den. Der Lizenznehmer trägt allein das Risiko für Gefahren und Qualitätseinbußen, die
sich bei Einsatz des Produktes eventuell ergeben.
Diese Dokumentation und die zugehörigen Programme dürfen weder ganz noch teilweise
in irgendeiner Form oder mit irgendwelchen Mitteln übertragen, reproduziert oder verän-
dert werden, noch dürfen sie in eine andere natürliche oder Maschinensprache übersetzt
werden. Hiervon ausgenommen ist die Erstellung einer Sicherungskopie für den persön-
lichen Gebrauch. Eine Weitergabe der Ihnen hiermit überlassenen Informationen an Drit-
te ist nur mit schriftlicher Zustimmung der AVM Berlin erlaubt.
Alle Programme und die Dokumentation wurden mit größter Sorgfalt erstellt und nach
dem Stand der Technik auf Korrektheit überprüft. Für die Qualität, Leistungsfähigkeit so-
wie Marktgängigkeit des Produkts zu einem bestimmten Zweck, der von dem durch die
Produktbeschreibung abgedeckten Leistungsumfang abweicht, übernimmt AVM Berlin
weder ausdrücklich noch implizit die Gewähr oder Verantwortung.
Für Schäden, die sich direkt oder indirekt aus dem Gebrauch der Dokumentation oder
der übrigen Programme ergeben, sowie für beiläufige Schäden oder Folgeschäden ist
AVM nur im Falle des Vorsatzes oder der groben Fahrlässigkeit verantwortlich zu machen.
Für den Verlust oder die Beschädigung von Hardware oder Software oder Daten infolge
direkter oder indirekter Fehler oder Zerstörungen, sowie für Kosten, einschließlich der
Kosten für ISDN-, GSM- und ADSL-Verbindungen, die im Zusammenhang mit den geliefer-
ten Programmen und der Dokumentation stehen und auf fehlerhafte Installationen, die
von AVM nicht vorgenommen wurden, zurückzuführen sind, sind alle Haftungsansprüche
ausdrücklich ausgeschlossen.
Die in dieser Dokumentation enthaltenen Informationen und die zugehörigen Program-
me können ohne besondere Ankündigung zum Zwecke des technischen Fortschritts ge-
ändert werden.
Wir bieten Ihnen als Hersteller dieses Originalprodukts eine Herstellergarantie. Die Ga-
rantiebedingungen finden Sie auf der beiliegenden Produkt-CD in der Datei
GARANTIE.PDF im Ordner SOFTWARE/INFO/DEUTSCH.
Der Product Identification Code ist Bestandteil der Lizenzvereinbarung.
© AVM GmbH 2006. Alle Rechte vorbehalten.
Stand der Dokumentation 01/2006
AVM im Internet: www.avm.de
Marken: Soweit nicht anders angegeben, sind alle genannten Markenzeichen gesetzlich ge-
schützte Marken der AVM GmbH. Dies gilt insbesondere für Produktnamen und Logos. Microsoft,
Windows und das Windows Logo sind Marken der Microsoft Corporation in den USA und/oder an-
deren Ländern. Bluetooth ist eine Marke der Bluetooth SIG, Inc. und lizenziert an die AVM GmbH.
Alle anderen Produkt- und Firmennamen sind Marken der jeweiligen Inhaber.
AVM Audiovisuelles Marketing
und Computersysteme GmbH
Alt-Moabit 95
AVM Computersysteme
Vertriebs GmbH
Alt-Moabit 95
10559 Berlin 10559 Berlin
AVM Access Server – Inhaltsverzeichnis 3
Inhaltsverzeichnis
1 Willkommen beim AVM Access Server 6
1.1 Das bietet Ihnen der AVM Access Server . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 6
1.2 Merkmale des AVM Access Servers . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 8
1.3 Lieferumfang . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 14
1.4 Systemvoraussetzungen. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 14
2 Installation und Inbetriebnahme 15
2.1 Installation und Inbetriebnahme: ein Beispiel-Szenario . . . . . . . . . . . . . . . . 15
2.2 Deinstallation . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 29
3 Die Benutzeroberfläche des AVM Access Servers 30
3.1 Die Menüs des AVM Access Servers . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 31
3.2 Die Symbolleiste . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 33
3.3 Die Konfigurationsansicht . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 34
3.4 Die Monitoring-Ansicht . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 36
3.5 Verbindungssteuerung und Monitor-Funktionen . . . . . . . . . . . . . . . . . . . . . . 36
4 Szenarios für den Einsatz des AVM Access Servers 45
4.1 LAN-LAN-Kopplung mit AVM ISDN-Controller C4 und acht B-Kanälen . . . . . . 45
4.2 AVM Access Server und KEN! . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 51
4.3 AVM Access Server und Router. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 59
5 Konzepte und Funktionsweisen des AVM Access Servers 68
5.1 Filter . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 68
5.2 IP-Masquerading und Weiterleitungsprofile . . . . . . . . . . . . . . . . . . . . . . . . . . 84
5.3 Statisches und dynamisches Routing . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 87
5.4 Reservierung von B-Kanälen. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 88
5.5 Zugriff zeitlich mit Zeitprofilen beschränken. . . . . . . . . . . . . . . . . . . . . . . . . . 89
5.6 Kostenübernahme (COSO) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 89
5.7 Virtual Private Network (VPN). . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 90
5.8 Dynamic DNS. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 105
5.9 Namensauflösung und Windows Datei- und Druckerfreigabe . . . . . . . . . . . 106
4 AVM Access Server – Inhaltsverzeichnis
6 AVM Access Server für Experten 111
6.1 Architektur des AVM Access Servers. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 111
6.2 Internetzugang mit dem AVM Access Server . . . . . . . . . . . . . . . . . . . . . . . . . 113
6.3 Verbindung zu entfernten Benutzern . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 116
6.4 Anbindung entfernter Netzwerke . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 119
6.5 Windows-Namensauflösung, Datei- und Druckerfreigabe . . . . . . . . . . . . . . 119
6.6 Filter- und Masqueradingprofile . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 120
6.7 VPN und das Protokoll IPSec. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 120
6.8 Interoperabilität über ISDN . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 124
7 Wegweiser Kundenservice 126
7.1 Produktdokumentationen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 126
7.2 Informationen im Internet . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 126
7.3 Updates . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 127
7.4 Unterstützung durch das Service-Team . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 127
7.5 Weiterführende Literatur . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 130
Glossar 131
Index 153
AVM Access Server – Konventionen im Handbuch 5
Konventionen im Handbuch
Um den Inhalt dieses Handbuchs übersichtlich zu gestalten und wichti-
ge Informationen hervorzuheben, wurden folgende typografische Her-
vorhebungen und Symbole verwendet:
Hervorhebungen
Nachfolgend finden Sie einen kurzen Überblick über die in diesem
Handbuch verwendeten Hervorhebungen.
Symbole
Im Handbuch werden die folgenden grafischen Symbole verwendet,
die immer in Verbindung mit grau und kursiv gedrucktem Text erschei-
nen:
Dieses Zeichen weist Sie auf nützliche Hinweise und zusätzliche Infor-
mationen hin.
Das Ausrufezeichen kennzeichnet Abschnitte, die wichtige Informatio-
nen enthalten.
Hervorhebung Funktion Beispiel
Anführungszeichen Tasten, Schaltflächen, Pro-
grammsymbole, Registerkarten,
Menüs, Befehle
„Start / Programme“
„Eingabe“
Großbuchstaben Pfadangaben und Dateinamen
im Fließtext
DOKU\ACCSERV.PDF
oder CAPIPORT.HLP
spitze Klammern Variablen <CD-ROM-Laufwerk>
Schreibmaschinen-
schrift
Eingaben, die Sie über die
Tastatur vornehmen
a:\setup
grau und kursiv Informationen, Hinweise und
Warnungen; immer in Verbin-
dung mit den zugehörigen Sym-
bolen
... Es kann jeweils
nur ein Controller
entfernt werden ...
Willkommen beim AVM Access Server
6 AVM Access Server – 1 Willkommen beim AVM Access Server
1 Willkommen beim AVM Access Server
Der AVM Access Server bietet die nahtlose Einbindung von räumlich
entfernten Benutzern und Netzwerken in die Kommunikationsprozesse
des Unternehmens. Damit können Heimarbeiter, mobile Außendienst-
mitarbeiter, Niederlassungen und Filialen die Anwendungen des loka-
len Netzwerks auch aus der Ferne benutzen. Die Verbindung kann da-
bei über eine direkte ISDN- und GSM-Einwahl oder über das Internet
mit Hilfe eines virtuellen privaten Netzwerks (VPN) erfolgen.
Als professioneller Router realisiert der AVM Access Server außerdem
die DSL- und ISDN-Anbindung des lokalen Netzwerks an das Internet.
Die Konzeption des AVM Access Servers als Software-Router garantiert
die optimale Skalierbarkeit durch zwei Produktvarianten, die Unter-
stützung von bis zu vier aktiven AVM ISDN-Controllern und beliebig vie-
le Netzwerk-Interfaces. Zukünftige Technologien können durch die ein-
fache Update-Möglichkeit übernommen werden.
1.1 Das bietet Ihnen der AVM Access Server
In der modernen Unternehmenskommunikation spielt die Vernetzung
von räumlich getrennten lokalen Netzwerken zu einem firmenweiten
Netz (WAN=Wide Area Network) sowie der Zugang zum Internet eine
immer größere Rolle. Auch die Anbindung von Außendienstmitarbei-
tern, Telearbeitern, Servicetechnikern oder Firmenniederlassungen oh-
ne eigenes Netzwerk gewinnt für viele Unternehmen zunehmend an
Bedeutung. Der AVM Access Server bietet Ihnen dafür eine leistungs-
starke Lösung.
Mit dem AVM Access Server können Sie Netzwerke über ISDN oder VPN
koppeln, Windows XP-, 2000- und NT-Netze über ISDN mit anderen
Netzen über TCP/IP koppeln, den Zugang zum Internet über ISDN und
DSL sowie die Anbindung entfernter Computer und mobiler Laptops
über ISDN oder GSM an Ihr Unternehmensnetz ermöglichen.
Das bietet Ihnen der AVM Access Server
AVM Access Server – 1 Willkommen beim AVM Access Server 7
Die folgende Abbildung veranschaulicht die Einsatzmöglichkeiten des
AVM Access Servers.
Einsatzmöglichkeiten des AVM Access Servers
Der AVM Access Server verbindet räumlich getrennte Netzwerke mitein-
ander. LAN-Ressourcen der Zentrale, beispielsweise Server, Mainfra-
mes oder Datenbanken, stehen somit auch in den Niederlassungen
und kleinen Außenstellen zur Verfügung. Dabei ist es von Vorteil, dass
der AVM Access Server automatisch die notwendigen Routing-Aktivitä-
ten wie die Verbindungsteuerung übernimmt und für die Benutzer in
der Niederlassung keinerlei Zusatzaufgaben entstehen.
Umgekehrt ist es auch möglich, von der Zentrale aus auf die lokalen
Netzwerke der Standorte zuzugreifen, etwa zur Netzwerk-Administrati-
on oder um Datenbestände dort zu aktualisieren.
Der AVM Access Server ermöglicht die Anbindung entfernter Computer
und mobiler Laptops über ISDN oder GSM an Ihr Unternehmensnetz.
Die entfernten Benutzer können auf diese Weise LAN-Funktionen und
Daten so nutzen, als würden sie direkt im Netz arbeiten. Zu den mögli-
chen Anwendungen gehören zum Beispiel Client/Server-Anwendun-
gen, Datenbankprogramme oder E-Mail.
Zusätzlich unterstützt der AVM Access Server in vielfältiger Weise den
Zugriff auf das Internet. Über eine oder mehrere ISDN-Wähl- oder -Fest-
verbindungen oder über DSL gestattet der AVM Access Server allen Be-
nutzern im LAN und WAN den Zugriff auf Internet-Ressourcen wie
Merkmale des AVM Access Servers
8 AVM Access Server – 1 Willkommen beim AVM Access Server
E-Mail, World Wide Web, News und mehr. Der AVM Access Server unter-
stützt auch die Kombination mit E-Mail-, Proxy- oder Web-Servern, wie
zum Beispiel AVM KEN! und AVM KEN!DSL.
Der AVM Access Server arbeitet nach dem offenen Standard PPP over
ISDN (Point-to-Point Protocol) für die Verbindung von lokalen Netzwer-
ken über ISDN. Daher kann der AVM Access Server Verbindungen mit
allen ISDN-Routern aufnehmen, die diesen Standard ebenfalls unter-
stützen. Für das DSL-Internet-Routing wird PPPoE (PPP over Ethernet),
beim Einsatz einer FRITZ!Card DSL auch PPPoA (PPP over ATM) unter-
stützt. Für VPN-Verbindungen wird das Protokoll IPSec verwendet.
1.2 Merkmale des AVM Access Servers
Im Folgenden erhalten Sie einen kurzen Überblick über die Leistungs-
merkmale des AVM Access Servers.
Optimale Nutzung von DSL
DSL (Digital Subscriber Line) ist eine Technologie, die den Internetzu-
gang mit einer hohen Bandbreite über die normale Telefonleitung er-
möglicht. ISDN und DSL nutzen unterschiedliche Frequenzbereiche,
wodurch der ungestörte Parallelbetrieb gewährleistet ist.
Für die DSL-Kommunikation unterstützt der AVM Access Server das Pro-
tokoll PPPoE (PPP over Ethernet), das Daten über eine Netzwerkkarte
an den DSL-Anschluss sendet und auch von dort empfängt. In Verbin-
dung mit der FRITZ!Card DSL wird zusätzlich das Protokoll PPPoA (PPP
over ATM) unterstützt.
Die Verbindung von DSL-Anschluss und AVM Access Server-Computer
erfolgt über ein 10Base-T-Kabel und eine FRITZ!Card DSL oder ein exter-
nes DSL-Modem über Ethernet. Der DSL-Zugang zum Internet steht so-
mit dem gesamten LAN zur Verfügung.
Optimale Nutzung des ISDN
Das digitale Kommunikationsnetz ISDN bietet eine Reihe von Merkma-
len, die für die Verbindung von Netzwerken und die Internetanbindung
von enormem Vorteil sind. Der AVM Access Server nutzt diese Merkma-
le optimal aus.
So ermöglicht der schnelle Verbindungsaufbau im ISDN von weniger
als einer Sekunde das dynamische und kostensparende Auf- und Ab-
bauen von ISDN-Verbindungen im Hintergrund.
Virtual Private Network (VPN)
AVM Access Server – 1 Willkommen beim AVM Access Server 9
Das ISDN-Leistungsmerkmal CLIP (Calling Line Identification Presenta-
tion), die Übermittlung der ISDN-Nummer des Anrufers über den D-Ka-
nal, wird vom AVM Access Server zur Überprüfung der Identität der Ge-
genstelle benutzt.
Zur Steigerung der Übertragungsgeschwindigkeit können die ISDN-B-
Kanäle gebündelt werden – auch über mehrere ISDN-Controller hin-
weg. Durch die Unterstützung von einem bis vier AVM ISDN-Controllern
B1 oder eines ISDN-Controllers C4 am Basisanschluss (BRI = Basic Rate
Interface)sst sich der AVM Access Server in der Basis-Variante bis auf
zehn Kanäle ausbauen. In der Ausführung für den Primärmultiplexan-
schluss (PRI = Primary Rate Interface) sind bis zu 120 B-Kanäle nutzbar.
Der AVM Access Server steuert und nutzt die ISDN-Verbindung über ak-
tive AVM ISDN-Controller und kann somit sowohl direkt am öffentlichen
ISDN-Netz (Mehrgeräte- oder Anlagenanschluss) als auch an einer Ne-
benstellenanlage betrieben werden.
Die AVM ISDN-Controller B1, C2, C4, T1 und T1-B bieten die Unterstüt-
zung von GSM nach dem Mobile-ISDN-Standard (GSM 07.08). Damit ist
eine zuverlässige und nahtlose ISDN-Anbindung von Netzwerken auch
über GSM oder HSCSD (High-Speed Curcuit-Switched Data) möglich.
Virtual Private Network (VPN)
Mit dem AVM Access Server können Sie sowohl entfernte Benutzer als
auch entfernte Netzwerke über ein VPN (Virtual Private Network) an das
lokale Netzwerk koppeln. VPN-Verbindungen, die mit dem AVM Access
Server hergestellt werden, setzen auf eine bestehende Internetverbin-
dung auf, indem sie die Infrastruktur des Internetanbieters nutzen. Für
den Aufbau der VPN-Verbindung und somit für die Kopplung der ent-
fernten Systeme ist jedoch der AVM Access Server zuständig. Bei einer
VPN-Verbindung enstehen für jeden Verbindungspartner lediglich die
Kosten für die Verbindung zum Internetanbieter. Auf diese Weise könn-
nen mit VPN-Verbindungen entfernte Systeme äußerst kostengünstig
miteinander verbunden werden.
Optimale Übertragungsleistung
10 AVM Access Server – 1 Willkommen beim AVM Access Server
Optimale Übertragungsleistung
Zur optimalen Nutzung der ISDN-Bandbreite sowie zur Steigerung der
Übertragungsleistung bietet der AVM Access Server die folgenden
Funktionen:
! Datenkompression nach CAPI-Standard Stac LZS, MPPC und
IP-Comp
! Header-Kompression für IP nach Van Jacobson TCP/IP Header
Compression
! Kanalbündelung nach CAPI-Standard sowie statisch und dyna-
misch über PPP Multilink
Reduzierung und Begrenzung der Verbindungsgebühren
Durch sein intelligentes Verbindungsmanagement sorgt der AVM
Access Server dafür, dass die Kosten für die ISDN-Anbindung entfern-
ter Netzwerke auf ein Minimum beschränkt werden. Folgende Leis-
tungsmerkmale gewährleisten dies:
! Der AVM Access Server unterscheidet zwischen logischen und
physikalischen ISDN-Verbindungen. Eine logische ISDN-Verbin-
dung entsteht mit dem ersten physikalischen Verbindungsaufbau
über ISDN, bei dem auch die Verbindungsparameter augehandelt
werden. Dazu gehören z.B. die verwendeten Netzwerkprotokolle,
die Durchführung einer Echtheitsbestätigung, Spoofing-Mecha-
nismen und Kanalbündelung.
Bei der physikalischen ISDN-Verbindung ist mindestens ein B-Ka-
nal aufgebaut, und es entstehen Verbindungsgebühren. Wenn
keine Daten auf der ISDN-Leitung übertragen werden, kann der
AVM Access Server die physikalische Verbindung selbsttätig ab-
bauen, um die Verbindungskosten zu senken. Je nach Konfigurati-
on des entsprechenden Ziels im AVM Access Server kann dabei
die logische Verbindung erhalten bleiben, so dass die entfernte
Seite weiterhin im Netz angemeldet ist und Ressourcen für sie re-
serviert sind. Sobald erneut Daten übertragen werden sollen,
baut der AVM Access Server oder die Gegenseite die physikali-
sche Verbindung wieder auf.
! Praxiserprobte Filter- und Spoofing-Mechanismen fangen be-
stimmte Protokollpakete ab und verhindern deren unnötige Über-
tragung über ISDN. Auf diese Weise wird die physikalische Verbin-
dungsdauer verkürzt. Der AVM Access Server sorgt so dafür, dass
Sicherheitsfunktionen
AVM Access Server – 1 Willkommen beim AVM Access Server 11
die ISDN-Leitung fast ausschließlich für Nutzdaten aufgebaut und
der Hintergrunddatenverkehr im LAN weitgehend vom ISDN fern-
gehalten wird.
! Einstellbare Schwellenwerte (pro Tag, Woche und Monat) für maxi-
males Budget, maximale physikalische Verbindungsdauer und
maximale Anzahl ausgehender Rufe ermöglichen die Kontrolle der
Verbindungsgebühren.
! Definierbare Budgets für jedes Ziel
! Kostenzuweisung (COSO=Charge One Site Only), beispielsweise
die Übernahme der gesamten Kosten für die Netzwerkanbindung
durch die Firmenzentrale
Sicherheitsfunktionen
Der AVM Access Server bietet Sicherheitsfunktionen auf zwei verschie-
denen Ebenen an. Durch einen ausgefeilten Zugriffsschutz sorgt der
AVM Access Server dafür, dass nur berechtigte Gegenstellen über ISDN
auf das LAN zugreifen können. Durch den Datenschutz wird sicherge-
stellt, dass während der Übertragung kein unberechtigter Zugriff auf
die Daten stattfindet.
Zugriffsschutz
Folgende Funktionen stehen zur Verfügung:
! Überprüfung der D-Kanal-Rufnummer der anrufenden Seite
! Echtheitsbestätigung mit den PPP-Protokollen PAP oder CHAP
Der AVM Access Server unterstützt die Echtheitsbestätigung so-
wohl durch die lokale Seite als auch durch die Gegenstelle. Dabei
können unterschiedliche Kennwörter verwendet werden.
! Sicherheitsrückruf bei einkommenden Rufen
! Firewall-Funktionalität durch voreingestellte und konfigurierbare
IP-Filterprofile
! IP-Masquerading/Network Address Translation (NAT)
Die Sicherheitsüberprüfungen, die bei einem eingehenden Anruf eines
entfernten Benutzers greifen können, werden durch die folgende Abbil-
dung veranschaulicht:
Einfache Installation und Bedienung
12 AVM Access Server – 1 Willkommen beim AVM Access Server
Sicherheitsüberprüfungen bei der Verbindungsanforderung eines entfernten
Benutzers
Datenschutz
Der AVM Access Server bietet die Möglichkeit der Datenverschlüsse-
lung, um Datenpakete während der Übertragung vor unberechtigtem
Zugriff zu schützen. Mit dem IPSec-Protokoll werden VPN-Verbindun-
gen verschlüsselt. Auch bei ISDN-Direktverbindungen können die Da-
ten mit IPSec verschlüsselt übertragen werden.
Einfache Installation und Bedienung
Die Installation des AVM Access Servers ist einfach und menügeführt.
Die Konfiguration und Verwaltung des AVM Access Servers erfolgt über
eine Windows-gestützte Benutzeroberfläche.
Die Konfiguration und Verwaltung über HTTP mit Hilfe eines Standard-
Web-Browsers ist ebenfalls möglich.
Statistik- und Protokollfunktionen
Umfassende Statistik- und Protokollfunktionen erlauben eine exakte
Auswertung aller Aktionen auf dem Router:
Entfernte Seite
ISDN
D-Kanal
(AVM Access Server)
B-Kanal
Name/Passwort
Ggf. Weiterleitung der
Anmeldeinformationen
an RADIUS-Server
D- u. B-Kanal
B-Kanal
B-Kanal
Vorgang
Überprüfung der
D-Kanal-Rufnummer
Nach Rufannahme
Echtheitsbestätigung
mit PAP oder CHAP
Ggf. Verbindungs-
abbau und Sicher-
heitsrückruf durch
AVM Access Server
Weitere PPP-Aus-
handlungen, z.B. IP-
Adresse, Spoofing,
Kanalbündelung.
Übertragung von
Nutzdaten, z.B.
E-Mail, Datenbank-
informationen.
Ggf. Verschlüsselung
und Paketfilterung.
Dynamischer Auf-
und Abbau der
ISDN-Verbindung
(z.B. AVM Access Server
oder NetWAYS/ISDN)
Lokale Seite
Verbindungssteuerung
AVM Access Server – 1 Willkommen beim AVM Access Server 13
! Statusinformationen über
den AVM Access Server und die ISDN- und DSL-Controller
die verfügbaren IP-Routen und die ARP-Tabelle (Address Reso-
lution Protocol)
die physikalisch aktiven ISDN-Verbindungen
! Übersicht über die Kosten- und Nutzungsdaten für Verbindungen
innerhalb eines ausgewählten Zeitraums
! Ereignismitschnitt als Tagesübersicht oder ausgewählt nach be-
stimmten Kriterien wie zum Beispiel dem Meldungstyp „Informati-
on“
! Paketmitschnitt mit PPP-Dekodierung
Verbindungssteuerung
ISDN-Verbindungen werden in der Regel automatisch aufgebaut, wenn
auf Ressourcen der Gegenseite zugegriffen wird. Bei Bedarf können sie
auch aus der AVM Access Server-Oberfläche heraus aktiv auf- und ab-
gebaut werden.
In der Verbindungssteuerung erhalten Sie detaillierte Informationen zu
den gerade aktiven logischen ISDN-Verbindungen und den ausgehan-
delten Verbindungsparametern.
Der AVM Access Server im Zusammenspiel mit anderen
CAPI 2.0-Anwendungen
Im Zusammenspiel mit dem AVM Access Server ist eine sinnvolle und
kosteneffektive Mehrfachnutzung der installierten ISDN-Controller ge-
währleistet.
Die ISDN-Controller können außer vom AVM Access Server zusätzlich
von weiteren CAPI 2.0-Anwendungen wie zum Beispiel KEN! oder NDI
verwendet werden. Sind andere CAPI 2.0-Anwendungen, die densel-
ben ISDN-Dienst verwenden wie der AVM Access Server (z.B. Dateiü-
bertragungs-Software im Server-Modus) auf demselben Computer in-
stalliert, muss sichergestellt sein, dass alle Anwendungen zur korrek-
ten Annahme einkommender Rufe eindeutig adressiert werden kön-
nen. Im CAPI 2.0-Standard sind für solche Fälle am
Mehrgeräteanschluss die sogenannten Mehrfachrufnummern (MSNs)
und am Primärmultiplexanschluss Nachwahlziffern (DDI) vorgesehen.
Lieferumfang
14 AVM Access Server – 1 Willkommen beim AVM Access Server
1.3 Lieferumfang
Das Produkt ist in drei Varianten verfügbar:
! AVM Access Server PRI: 1-120 B-Kanäle, unbegrenzte Anzahl
gleichzeitiger VPN-Tunnel, 10 Lizenzen für NetWAYS/ISDN
! AVM Access Server: 1-10 B-Kanäle, 10 gleichzeitige VPN-Tunnel,
5 Lizenzen für NetWAYS/ISDN
!
AVM Access Server Basic: 1-10 B-Kanäle, 10 gleichzeitige VPN-Tunnel
Folgendes ist im Lieferumfang des AVM Access Servers enthalten:
! CD-ROM „AVM Access Server“ mit Product Identification Code auf
der CD-ROM
! Handbuch AVM Access Server
! Handbuch NetWAYS/ISDN (nur bei den Varianten AVM Access
Server PRI und AVM Access Server)
Falls eines dieser Teile fehlen sollte, dann wenden Sie sich bitte an Ih-
ren Händler.
1.4 Systemvoraussetzungen
! Windows XP mit ServicePack 1 oder
Windows 2000 mit Service Pack 3 oder
Windows NT 4.0 mit Service Pack 6a und Microsoft Jet 4.0 mit
Service Pack 6
! Ethernet- oder Token-Ring-Netzwerkkarte
! TCP/IP, gebunden an die Netzwerkkarte mit fester IP-Adresse und
eingetragener Subnetzmaske und eingetragenem Standardgate-
way
! Intel Pentium 200 oder vergleichbar
! 64 MB RAM
! 50 MB freier Festplattenspeicher; im laufenden Betrieb sind bis zu
250 MB Festplattenspeicher erforderlich.
! für ISDN-Verbindungen einen der folgenden aktiven AVM ISDN-
Controller: B1, C2, C4, T1 und T1-B
! für DSL-Verbindungen eine FRITZ!Card DSL oder ein externes DSL-
Modem über Ethernetkarte
Installation und Inbetriebnahme
AVM Access Server – 2 Installation und Inbetriebnahme 15
2 Installation und Inbetriebnahme
Die Installation des AVM Access Servers ist menügeführt und einfach.
Nachdem die Erstinstallation beendet ist, wird der Einrichtungsassis-
tent gestartet, der Sie bei den Grundeinstellungen für die erfolgreiche
Inbetriebnahme des AVM Access Servers unterstützt.
Wir empfehlen Ihnen, sich schon vor der Installation des AVM Access
Servers zu überlegen, welche Grundeinstellungen Sie mit dem Einrich-
tungsassistenten vornehmen möchten.
Die Installation und Inbetriebnahme werden im Folgenden anhand ei-
nes Beispiel-Szenarios beschrieben. Zu einem entfernten Benutzer und
zu einem entfernten Netzwerk werden exemplarisch Verbindungen
über das Internet (VPN) eingerichtet.
2.1 Installation und Inbetriebnahme: ein Bei-
spiel-Szenario
Anhand eines beispielhaften Szenarios wird hier die Installation und
die Konfiguration des AVM Access Servers für zwei häufig auftretende
Anforderungen beschrieben:
! einen entfernten Benutzer mit VPN-Zugang einrichten
! eine LAN-LAN-Kopplung über VPN einrichten
In der Klappkarte der vorderen Umschlagseite finden Sie eine Beschrei-
bung und eine grafische Darstellung des Beispiel-Szenarios. Die Grafik
enthält die durchgängig in allen Beispielen verwendeten IP-Adressen
und jeweils ein freies Feld, in dem Sie die IP-Adressen eintragen kön-
nen, die in Ihrer Konfiguration relevant sind.
Beachten Sie, dass Sie die in den folgenden Szenarios vorkommenden
IP-Adressen durch die IP-Adressen Ihres LANs ersetzen müssen!
Praktische Durchführung: Installation des AVM Access
Servers und erste Konfigurationsschritte
Im Folgenden werden die Installation des AVM Access Servers und die
ersten Konfigurationsschritte beschrieben. Begleitend zur allgemeinen
Beschreibung werden jeweils auch die Einstellungen für das Beispiel-
Szenario erläutert.
Praktische Durchführung: Installation des AVM Access Servers und erste Konfigurationsschritte
16 AVM Access Server – 2 Installation und Inbetriebnahme
Netzwerkeinstellungen in der Systemsteuerung des Betriebssystems
überprüfen
Bevor Sie mit der Installation des AVM Access Servers beginnen, müs-
sen Sie die Netzwerkeinstellungen in der Systemsteuerung überprüfen
und gegebenenfalls ändern. In dem Beispiel-Szenario muss die Über-
prüfung an beiden Standorten, also in Berlin und auch in Stuttgart, je-
weils an dem Computer durchgeführt werden, auf dem der AVM Access
Server installiert werden soll.
Folgendes muss überprüft und gegebenenfalls eingestellt werden:
! An mindestens einem LAN-Adapter muss ein Standard-Gateway
eingerichtet sein.
! Falls keine DNS-Server eingerichtet sind, dann müssen die virtuel-
len DNS-Server des AVM Access Servers eingerichtet werden.
! Alle LAN-Adapter, die mit dem AVM Access Server verwendet wer-
den, brauchen eine feste IP-Adresse.
Gehen Sie folgendermaßen vor:
1. Wählen Sie in der Systemsteuerung des Betriebssystems den Ein-
trag „Netzwerkverbindungen“ aus.
2. Wählen Sie die LAN-Verbindung aus, die mit dem AVM Access
Server verwendet werden soll.
3. Wählen Sie im Kontextmenü der rechten Maustaste „Eigenschaf-
ten“ aus.
4. Wählen Sie in der Liste den Eintrag „Internetprotokoll (TCP/IP)“
aus und klicken Sie auf „Eigenschaften“.
5. Tragen Sie Folgendes ein:
Eintrag
IP-Adresse Die IP-Adresse des AVM Access Server-Compu-
ters.
Subnetzmaske Die Subnetzmaske der Netzadresse des lokalen
Netzwerks.
Standard-Gateway Eine beliebige IP-Adresse aus dem Subnetz des
AVM Access Servers.
Praktische Durchführung: Installation des AVM Access Servers und erste Konfigurationsschritte
AVM Access Server – 2 Installation und Inbetriebnahme 17
Im Beispiel-Szenario müssen folgende Einträge vorgenommen
werden:
6. Falls kein DNS-Server eingerichtet ist, müssen Sie die virtuellen
DNS-Server des AVM Access Servers eintragen. Die Werte gelten
auch für das Beispiel-Szenario.
7. Bestätigen Sie Ihre Angaben mit „OK“.
8. Falls Sie weitere LAN-Adapter mit dem AVM Access Server verwen-
den wollen, dann müssen Sie für jeden dieser Adapter eine feste
IP-Adresse eintragen.
AVM Access Server installieren
Im Beispiel-Szenario wird der AVM Access Server an beiden Standorten
installiert.
Überprüfen Sie vor der Installation des AVM Access Servers, ob das für
Ihr Betriebssystem im Kapitel „Systemvoraussetzungen“ auf Seite 14
genannte Service Pack installiert ist. Falls Sie mit dem Betriebssystem
Windows NT 4.0 arbeiten, muss zusätzlich Microsoft Jet 4.0 mit dem
dazugehörigen Service Pack 6 installiert sein. Auf der Installations-CD
stehen alle Service Packs zur Verfügung. Dadurch haben Sie die Mög-
lichkeit, vor der Installation des AVM Access Servers, fehlende Service
Packs zu installieren.
1. Legen Sie die AVM Access Server-CD in das CD-ROM-Laufwerk ein.
Eine CD-Einführung wird automatisch gestartet.
2. Wählen Sie das Betriebssystem des Computers aus, auf dem Sie
den AVM Access Server installieren wollen.
Installieren Sie gegebenenfalls das für das Betriebssystem erfor-
derliche Service Pack und für das Betriebssystem Windows NT 4.0
zusätzlich die Software Microsoft Jet 4.0 mit dem dazugehörigen
Service Pack.
in Berlin in Stuttgart
IP-Adresse 192.168.10.1 192.168.20.1
Subnetzmaske 255.255.255.0 255.255.255.0
Standard-Gateway 192.168.10.2 192.168.20.2
Bevorzugter DNS-Server Alternativer DNS-Server
192.168.116.252 192.168.116.253
Praktische Durchführung: Installation des AVM Access Servers und erste Konfigurationsschritte
18 AVM Access Server – 2 Installation und Inbetriebnahme
3. Starten Sie die Installation.
4. Setzen Sie den Installationsvorgang fort, indem Sie in den beiden
Willkommensfenstern des Installationsassistenten jeweils auf
„Weiter“ klicken.
5. Geben Sie im nächsten Fenster den Product Identification Code
ein, der auf der Rückseite der CD abgedruckt ist.
6. Geben Sie im Fenster „Pfad“ den Ordner an, in dem die Installati-
onsdateien des AVM Access Servers abgelegt werden sollen.
Wenn die Installation auf einem Computer mit dem Betriebssys-
tem Windows XP stattfindet, erhalten Sie einen Hinweis auf den
Windows-Logo-Test. Klicken Sie auf „Installation fortsetzen“.
7. Beenden Sie den Installationsassistenten mit „Beenden“ und
schließen Sie die Installation mit einem Neustart des Computers
ab. Nehmen Sie vor dem Neustart die CD aus dem CD-ROM-Lauf-
werk.
Nach dem Neustart des Computers wird der Einrichtungsassistent
des AVM Access Servers automatisch gestartet, der Sie bei den
Grundeinstellungen unterstützt.
Bei jedem Computer-Start wird der Dienst AVM Access Server au-
tomatisch gestartet.
ISDN- und DSL-Controller auswählen
1. Klicken Sie im Willkommensfenster des Einrichtungsassistenten
auf „Weiter“.
2. Wählen Sie die Controller aus, die vom AVM Access Server ver-
wendet werden sollen. Um einen Controller zu konfigurieren, mar-
kieren Sie den entsprechenden Listeneintrag und klicken auf die
Schaltfläche „Einstellungen“. Ein Fenster für die Konfiguration
wird geöffnet. Dort geben Sie die Eigenschaften des ISDN-An-
schlusses an, mit dem der Controller verbunden ist.
Für das Beispiel-Szenario müssen Sie keine Controller auswählen,
da die Internetverbindung über DSL realisiert wird. DSL-Controller
wie die FRITZ!Card DSL müssen nicht im Einrichtungsassistent ein-
gerichtet werden, sondern werden automatisch konfiguriert.
Praktische Durchführung: Installation des AVM Access Servers und erste Konfigurationsschritte
AVM Access Server – 2 Installation und Inbetriebnahme 19
Internetzugang einrichten
Im Beispiel-Szenario wird sowohl in Berlin als auch in Stuttgart ein In-
ternetzugang über T-DSL und T-Online eingerichtet.
1. Legen Sie im nächsten Fenster fest, wie der AVM Access Server auf
das Internet zugreifen soll.
Im Beispiel muss an beiden Standorten „FRITZ!Card DSL“ ausgewählt
werden
2. Wählen Sie dann die Art des Internetanbieters aus.
Im Beispiel-Szenario wird die Option „Internetanbieter mit Anmeldung“
ausgewählt
3. Wählen Sie im folgenden Fenster den Internetanbieter aus.
Im Beispiel-Szenario wird als Internetanbieter „T-Online T-DSL“ ausge-
wählt
Praktische Durchführung: Installation des AVM Access Servers und erste Konfigurationsschritte
20 AVM Access Server – 2 Installation und Inbetriebnahme
4. Geben Sie nun die Zugangsdaten für Ihren Internetanbieter ein.
Im Beispiel-Szenario werden die Zugangsdaten für T-Online T-DSL ange-
geben
Benutzergruppe einrichten
1. Wenn Sie entfernten Benutzern den Zugang zum AVM Access
Server ermöglichen wollen, dann legen Sie hier fest, wie der Zu-
griff erfolgen soll. Sollen zunächst keine entfernten Benutzer ein-
gerichtet werden, deaktivieren Sie beide Einstellungen.
Im Beispiel-Szenario wird in Berlin die Einstellung „Internet (VPN)“ beibe-
halten und die Einstellung „ISDN-Direkteinwahl“ deaktiviert
; in Stuttgart
werden beide Einstellungen deaktiviert
2. Richten Sie nun eine Benutzergruppe ein und geben Sie eine Be-
zeichnung an.
Im Beispiel-Szenario wird am Standort Berlin eine Benutzergruppe mit
der Bezeichnung „Homeoffice via VPN“ eingerichtet
Praktische Durchführung: Installation des AVM Access Servers und erste Konfigurationsschritte
AVM Access Server – 2 Installation und Inbetriebnahme 21
3. Wählen Sie den IP-Adressbereich aus. Aus diesem Adressbereich
werden den Benutzern aus dieser Gruppe die IP-Adressen zuge-
wiesen.
Im Beispiel-Szenario wird der IP-Adressbereich 192.168.110.0/24 ausge-
wählt
Ersten Benutzer für die Benutzergruppe einrichten
1. Legen Sie die Anmeldedaten für den Benutzer fest. Tragen Sie im
Feld „Vollständiger Name“ den Vor- und Nachnamen des Benut-
zers ein. Übernehmen oder ändern Sie im Feld „Benutzername“
den vom AVM Access Server vorgeschlagenen Eintrag. Geben Sie
im Feld „Kennwort“ das Kennwort ein, mit dem sich der Benutzer
beim AVM Access Server anmelden muss. Das Kennwort muss ei-
ne Mindestlänge von acht Zeichen haben. Geben Sie im Feld
„Kennwort bestätigen“ das Kennwort nochmals ein.
Im Beispiel-Szenario werden die Anmeldedaten für die Benutzerin Erika
Musterfrau eingetragen
2. In diesem Fenster können Sie ein Budget festlegen. Das Budget
gilt für alle im AVM Access Server konfigurierten Verbindungen.
Praktische Durchführung: Installation des AVM Access Servers und erste Konfigurationsschritte
22 AVM Access Server – 2 Installation und Inbetriebnahme
Im Beispiel-Szenario wird „Voreingestelltes Budget aktivieren“ ausge-
wählt
3. In der Zusammenfassung werden alle Einstellungen, die Sie vor-
genommen haben, zusammengefasst dargestellt. Beenden Sie
den Einrichtungsassistenten mit „Fertig stellen“.
Flatrate für den Internetzugang einstellen
Wenn Ihr Internetzugang pauschal tarifiert wird, dann sollten Sie am
AVM Access Server die Option „Flatrate“ aktivieren. Die Verbindung
wird dann auch bei Inaktivität dauerhaft gehalten.
Im Beispiel-Szenario wird die Flatrate sowohl am AVM Access Server in
Berlin als auch in Stuttgart eingestellt.
1. Wählen Sie auf der Benutzeroberfläche des AVM Access Servers
im Ordner „Internet“ den Eintrag „T-Online DSL“ aus und aktivie-
ren Sie auf der Registerkarte „Allgemein“ unter „automatischer
Verbindungsabbau“ die Option „Flatrate, die Verbindung halten“.
2. Klicken Sie auf „Übernehmen“, damit die Einstellungen in den
AVM Access Server übernommen werden.
Dynamic DNS einrichten
Bevor Sie Dynamic DNS am AVM Access Server einrichten können,
müssen Sie sich beim Dynamic DNS-Anbieter registrieren. Im Beispiel-
Szenario wird sowohl am AVM Access Server in Berlin als auch in Stutt-
gart Dynamic DNS eingerichtet. Der im Folgenden beschriebene Vor-
gang muss einmal für den AVM Access Server in Berlin und einmal für
den AVM Access Server in Stuttgart durchgeführt werden.
1. Öffnen Sie den Web-Browser und richten Sie ihn für LAN-Verbin-
dungen ein
2. Schalten Sie eventuell konfigurierte Proxy-Server aus
3. Geben Sie im Adressfeld des Browsers die Internetadresse eines
Dynamic DNS-Anbieters ein, beispielsweise www.dyndns.org.
Praktische Durchführung: Installation des AVM Access Servers und erste Konfigurationsschritte
AVM Access Server – 2 Installation und Inbetriebnahme 23
4. Folgen Sie für die Registrierung eines Domänennamens beim Dy-
namic DNS-Anbieter den Hinweisen auf der Internetseite.
Füllen Sie dazu die entsprechenden Formulare aus. In der Regel
müssen Sie einen Domänennamen (auch Hostname genannt) und
eine Benutzerkennung angeben.
Geben Sie für das Beispiel Folgendes ein:
Die vollständigen Domänennamen, unter denen die AVM Access
Server später zu erreichen sind, lauten dann „firma-abc-ber-
lin.dyndns.org“ und „firma-abc-stuttgart.dyndns.org“, wenn Sie
dyndns.org als Dynamic DNS-Anbieter gewählt haben.
5. Füllen Sie auch alle weiteren Formulare mit den persönlichen An-
gaben aus.
6. In der Regel erhalten Sie wenige Minuten nach Beenden des Re-
gistrierungsvorgangs eine E-Mail mit Ihrem persönlichen Kenn-
wort für den Zugang.
Dynamic DNS am AVM Access Server einrichten
1. Wählen Sie auf der Benutzeroberfläche des AVM Access Servers
den Ordner „Internet“ und die Registerkarte „Gateway-Dienste“.
2. Legen Sie unter „Dynamic DNS“ einen neuen Eintrag an. Klicken
Sie dazu auf das Symbol zum Anlegen eines neuen Eintrags.
3. Füllen Sie im Dialog „Neuen Dynamic DNS-Eintrag anlegen“ die
Felder aus. Im Beispiel wird Folgendes eingetragen:
4. Bestätigen Sie Ihre Angaben mit „OK“.
für Berlin für Stuttgart
Domänen- oder Hostname firma-abc-berlin firma-abc-stuttgart
Benutzerkennung hsberlin nlstuttgart
für Berlin für Stuttgart
Domänen-
Name
firma-abc-berlin.dyndns.org firma-abc-stutt-
gart.dyndns.org
Dynamic
DNS-Anbie-
ter
Ihr Dynamic DNS-Anbieter, im Beispiel „dyndns.org“
Kennung hsberlin nlstuttgart
Kennwort das jeweilige Kennwort, das Sie per E-Mail erhalten haben
Praktische Durchführung am Heimarbeitsplatz des Benutzers
24 AVM Access Server – 2 Installation und Inbetriebnahme
5. Wählen Sie nun die Registerkarte „VPN“ aus und stellen Sie si-
cher, dass im Feld „Adresse im Internet“ der Domänenname, den
Sie in Schritt 3 angegeben haben, ausgewählt ist.
Exportdatei mit der Benutzerkonfiguration für NetWAYS/ISDN
erstellen
Am AVM Access Server können Benutzerkonfigurationen für entfernte
Benutzer in einer Exportdatei gespeichert werden. Durch den Import
dieser Datei in NetWAYS/ISDN auf dem Computer des Benutzers wird
die Ziel-Konfiguration für den AVM Access Server automatisch durchge-
führt. Im Beispiel wird die Exportdatei für Erika Musterfrau erstellt.
1. Wählen Sie auf der Benutzeroberfläche des AVM Access Servers
im Ordner „Entfernte Benutzer“ den entfernten Benutzer aus, im
Beispiel ist das der Eintrag „Erika Musterfrau“.
2. Wählen Sie im Kontextmenü „Benutzereinstellungen für Net-
WAYS/ISDN exportieren“ aus. Der Dialog „VPN-Benutzerkonfigu-
ration für NetWAYS/ISDN exportieren“ wird geöffnet.
3. Geben Sie ein frei wählbares Kennwort an.
Die Datei NETWAYS.EFF wird im Installationsverzeichnis des AVM
Access Servers im Ordner NWUSERS\E_MUSTERFRAU gespeichert.
4. Bestätigen Sie Ihre Angaben mit „OK“.
5. Kopieren Sie die Datei NETWAYS.EFF auf eine Diskette.
Praktische Durchführung am Heimarbeitsplatz des Be-
nutzers
Am Heimarbeitsplatz des Benutzers müssen folgende Installationen
und Einstellungen vorgenommen werden, damit der Zugriff auf den
AVM Access Server gewährleistet ist.
Installation von NetWAYS/ISDN
Installieren Sie NetWAYS/ISDN und befolgen Sie dabei die Installati-
onshinweise im NetWAYS/ISDN-Handbuch.
Internetverbindung einrichten
1. Wählen Sie im Menü „Einstellungen“ den Eintrag „Ziele/Ziel
neu...“ aus. Der NetWAYS/ISDN-Assistent zum Einrichten einer In-
ternetverbindung wird gestartet.
Praktische Durchführung am Heimarbeitsplatz des Benutzers
AVM Access Server – 2 Installation und Inbetriebnahme 25
2. hlen Sie im Dialog „Art des Netzwerkes“ die Option „Internet“
aus.
3. Wählen Sie im nächsten Dialog die Art des Internetanbieters aus.
Im Beispiel wird am Heimarbeitsplatz von Erika Musterfrau die
Option „Internetanbieter mit Anmeldung“ ausgewählt.
4. Wählen Sie einen Internetanbieter aus. Im Beispiel wird „T-Online
über ISDN“ ausgewählt.
5. Übernehmen Sie als Bezeichnung den Vorschlag „T-Online ISDN“.
6. Geben Sie die Zugangsdaten für Ihren Internetanbieter ein. Im
Beispiel sind das die T-Online-Zugangsdaten.
7. Beenden Sie die Konfiguration mit „Fertig stellen“.
In der NetWAYS/ISDN-Oberfläche wird die Internetverbindung als
Symbol dargestellt.
AVM Access Server als Ziel einrichten
1. Legen Sie die Diskette mit der am AVM Access Server erstellten
Exportdatei in das Diskettenlaufwerk und importieren Sie die Da-
tei. Wählen Sie dazu auf der NetWAYS/ISDN-Benutzeroberfläche
im Menü „Datei“ den Eintrag „VPN-Verbindung importieren“ aus.
Der Dateiauswahldialog von Windows wird geöffnet.
2. Wählen Sie die Datei mit der Endung .EFF aus und bestätigen Sie
Ihre Auswahl mit „OK“.
3. Geben Sie das Kennwort ein, das Sie für die Exportdatei am AVM
Access Server festgelegt haben.
Testen der Internetverbindung
Mit einem Ping auf einen beliebigen Web-Server können Sie die Inter-
netverbindung testen.
1. Markieren Sie auf der Benutzeroberfläche in NetWAYS das Inter-
netziel und aktivieren Sie im Menü „Datei“ die Verbindungsbereit-
schaft.
2. Öffnen Sie eine DOS-Box und geben Sie ping www.avm.de ein.
Wenn der Ping erfolgreich ausgeführt wird, dann kann Net-
WAYS/ISDN eine Verbindung ins Internet herstellen.
Praktische Durchführung am Heimarbeitsplatz des Benutzers
26 AVM Access Server – 2 Installation und Inbetriebnahme
Testen der VPN-Verbindung vom entfernten Arbeitsplatz zum AVM
Access Server
1. Damit vom NetWAYS/ISDN-Computer die VPN-Verbindung zum
AVM Access Server hergestellt werden kann, muss der AVM
Access Server mit dem Internet verbunden sein. Da im Beispiel
am AVM Access Server die Flatrate eingerichtet ist, ist die Internet-
verbindung sichergestellt.
2. Die Internetverbindung von NetWAYS/ISDN muss in Verbindungs-
bereitschaft sein. Wählen Sie in der NetWAYS/ISDN-Oberfläche
die Internetverbindung aus und klicken Sie im Menü „Datei“ auf
„Verbindungsbereitschaft“.
3. Öffnen Sie auf dem NetWAYS/ISDN-Computer eine DOS-Box und
führen Sie ein Ping auf den Domänen-Namen oder die IP-Adresse
des AVM Access Servers aus. Im Beispiel wird am NetWAYS/ISDN-
Computer von Erika Musterfrau Folgendes eingegeben:
ping firma-abc-berlin.dyndns.org
Wenn der Ping erfolgreich ausgeführt wird, dann kann Net-
WAYS/ISDN den AVM Access Server grundsätzlich über das Inter-
net erreichen.
Testen des Zugriffs vom entfernten Arbeitsplatz auf einen bestimmten
Server im Firmennetz
1. Öffnen Sie in einem Texteditor die Datei %WINDIR%\SYSTEM32\
DRIVERS\ETC\HOSTS. (Siehe dazu auch den Abschnitt „Namen-
sauflösung und Windows Datei- und Druckerfreigabe“ auf
Seite 106.)
Fügen Sie in der Datei eine Zeile mit folgenden Angaben zu dem
Server ein, auf den Sie im Firmennetz zugreifen wollen:
<IP-Adresse des Servers> <Domänenname des
Servers>
Im Beipiel sind für den E-Mail-Server folgende Angaben zu ma-
chen:
192.168.10.100 mail.abc.de
Die Namensauflösung für den E-Mail-Server wird nun lokal auf
dem NetWAYS/ISDN-Computer durchgeführt.
Praktische Durchführung: Konfiguration der LAN-LAN-Kopplung
AVM Access Server – 2 Installation und Inbetriebnahme 27
2. Führen Sie in der DOS-Box ein Ping auf den Domänen-Namen des
oben angegebenen Servers aus. Im Beispiel geben Sie in der
DOS-Box Folgendes ein:
ping mail.abc.de
Wenn der Ping erfolgreich ausgeführt wird, dann hat Erika Muster-
frau jetzt Zugang über VPN zum E-Mail-Server. Ein E-Mail-Klient
kann jetzt eingerichtet werden.
Praktische Durchführung: Konfiguration der LAN-LAN-
Kopplung
Nehmen Sie für die Konfiguration der LAN-LAN-Kopplung folgende Ein-
stellungen vor:
Entferntes Netzwerk als VPN-Verbindung einrichten
Im Beispiel wird auf dem AVM Access Server in Berlin das entfernte
Netzwerk „Niederlassung Stuttgart“ und auf dem AVM Access Server in
Stuttgart das entfernte Netzwerk „Hauptsitz Berlin“
eingerichtet.
1. Wählen Sie auf der Benutzeroberfläche des AVM Access Servers
den Eintrag „Entfernte Netzwerke“. Wählen Sie im Kontextmenü
der rechten Maustaste „Netzwerk hinzufügen“. Der Assistent für
das Einrichten entfernter Netzwerke wird gestartet.
2. hlen Sie im ersten Dialog die Option „VPN-Verbindung über
das Internet“ aus.
3. Tragen Sie eine Bezeichnung für das entfernte Netzwerk ein. Im
Beispiel geben Sie als Bezeichnung für das entfernte Netzwerk
Folgendes ein:
4. Tragen Sie an den beiden Standorten, die verbunden werden sol-
len, jeweils das gleiche Kennwort für die Anmeldung bei der ent-
fernten Seite ein.
in Berlin in Stuttgart
Niederlassung Stuttgart Hauptsitz Berlin
Praktische Durchführung: Konfiguration der LAN-LAN-Kopplung
28 AVM Access Server – 2 Installation und Inbetriebnahme
5. Geben Sie als Adresse für den VPN-Gateway auf der entfernten
Seite den Namen des entfernten AVM Access Servers ein. Als
Adresse für den lokalen VPN-Gateway geben Sie den Namen des
lokalen AVM Access Servers ein. Im Beispiel ist Folgendes anzuge-
ben:
Die Namen müssen bei einem Dynamic DNS-Anbieter (beispiels-
weise dyndns.org) registriert sein, damit der AVM Access Server
trotz wechselnder IP-Adresse immer adressierbar ist.
6. Geben Sie die Netzadresse des lokalen Netzwerks an. Im Beispiel
ist Folgendes einzutragen:
7. Geben Sie die Netzadresse des entfernten Netzwerks an. Im Bei-
spiel ist Folgendes einzutragen:
8. Beenden Sie die Konfiguration mit „Fertig stellen“.
Auf der Benutzeroberfläche des AVM Access Servers wird unter
„Entfernte Netzwerke“ der neue Eintrag angezeigt.
Testen der VPN-Verbindung von beiden lokalen Netzwerken aus
1. Damit die VPN-Verbindung hergestellt werden kann, muss an bei-
den Standorten der jeweilige AVM Access Server mit dem Internet
verbunden sein. Da im Beispiel sowohl in Berlin als auch in Stutt-
gart die Flatrate eingerichtet ist, sind die Internetverbindungen si-
chergestellt.
in Berlin
Entferntes VPN-Gateway: firma-abc-stuttgart.dyndns.org
Lokales VPN-Gateway: firma-abc-berlin.dyndns.org
in Stuttgart
Entferntes VPN-Gateway: firma-abc-berlin.dyndns.org
Lokales VPN-Gateway: firma-abc-stuttgart.dyndns.org
in Berlin in Stuttgart
IP-Netzwerk 192.168.10.0 192.168.20.0
Subnetzmaske 24-255.255.255.0 24-255.255.255.0
in Berlin in Stuttgart
IP-Netzwerk 192.168.20.0 192.168.10.0
Subnetzmaske 24-255.255.255.0 24-255.255.255.0
Deinstallation
AVM Access Server – 2 Installation und Inbetriebnahme 29
2. Öffnen Sie auf dem AVM Access Server-Computer an einem der
beiden Standorte eine DOS-Box und führen Sie ein Ping auf den
Domänennamen des AVM Access Servers am entfernten Standort
aus. Im Beispiel ist am AVM Access Server in der Niederlassung
Stuttgart Folgendes einzugeben:
ping firma-abc-berlin.dyndns.org
Wenn der Ping erfolgreich ausgeführt wird, dann kann der entfern-
te AVM Access Server grundtzlich über das Internet erreicht wer-
den.
3. Wechseln Sie nun auf der Benutzeroberfläche des AVM Access
Servers in die Monitoring-Ansicht und wählen Sie dort den Ordner
„Verbindungssteuerung“ aus.
4. Klicken Sie mit der rechten Maustaste auf den Eintrag „Niederlas-
sung Stuttgart“ und wählen Sie im Kontextmenü „Verbindung auf-
bauen“ aus.
Der erfolgreiche Aufbau der Verbindung wird im Fenster der Ver-
bindungssteuerung durch einen blauen Pfeil angezeigt. Die Ver-
bindung wird nach kurzer Zeit automatisch wieder abgebaut.
5. Führen Sie nun die Schritte 2. bis 4. am anderen Standort mit ana-
logen Angaben durch.
2.2 Deinstallation
1. Öffnen Sie in der Systemsteuerung Ihres Betriebssystems den
Ordner „Software“.
2. hlen Sie in der Liste der installierten Software den Eintrag
„AVM Access Server“ aus.
3. Starten Sie die Entfernen-Funktion durch Klicken auf die entspre-
chende Schaltfläche.
Zwischen der Deinstallation und einer Neuinstallation des AVM Access
Servers sollte ein Neustart des Computers durchgeführt werden, damit
die Einträge in der Windows-Registrierung aktualisiert werden.
Die Benutzeroberfläche des AVM Access Servers
30 AVM Access Server – 3 Die Benutzeroberfläche des AVM Access Servers
3 Die Benutzeroberfläche des AVM
Access Servers
Für die Bedienung des AVM Access Servers steht die Benutzeroberflä-
che des AVM Access Servers zur Verfügung. Nach der Installation des
AVM Access Servers ist im Startmenü des Betriebssystems die Pro-
grammgruppe „AVM Access Server“ vorhanden. Klicken Sie in der Pro-
grammgruppe auf den Eintrag „AVM Access Server“, um die Benutzero-
berfläche des AVM Access Servers zu öffnen.
Die Benutzeroberfläche des AVM Access Servers
Die Benutzeroberfläche erfüllt zwei verschiedene Funktionen:
1. Konfiguration des Access Servers
2. Steuerung, Protokollierung und Diagnose von Verbindungen
Für diese beiden Funktionen kann die Benutzeroberfläche in der Konfi-
gurationsansicht und der Monitoring-Ansicht betrieben werden. Im Me-
nü „Ansicht“ können Sie zwischen den beiden Ansichten wechseln.
Die Menüs des AVM Access Servers
AVM Access Server – 3 Die Benutzeroberfläche des AVM Access Servers 31
Die Benutzeroberfläche besteht aus folgenden Komponenten:
! der Menüleiste mit den Menüs des AVM Access Servers
! der Symbolleiste, von der aus Sie wichtige Funktionen des AVM
Access Servers per Mausklick aufrufen können
! der Konfigurationsansicht
! der Monitoring-Ansicht
! der Statusleiste mit Informationen zum Betriebszustand des AVM
Access Servers
3.1 Die Menüs des AVM Access Servers
Über die Menüleiste erreichen Sie die wichtigsten Funktionen für die
Arbeit mit dem AVM Access Server. Im Folgenden werden die Funktio-
nen der einzelnen Menüs kurz beschrieben.
Das Menü „Datei“
Menüeintrag Funktion
Änderungen übernehmen... Ein Dialog wird geöffnet, in dem Änderungen
an der Konfiguration übernommen oder als Da-
tei gespeichert werden können.
Änderungen verwerfen... Ein Dialog wird geöffnet, in dem Änderungen
an der Konfiguration verworfen oder als Datei
gespeichert werden können.
Importieren... Ein Dialog wird geöffnet, in dem eine Konfigu-
rationsdatei für den AVM Access Server ausge-
wählt und geladen werden kann.
Exportieren... Ein Dialog wird geöffnet, in dem die aktuelle
Konfiguration des AVM Access Servers im Da-
tenbankformat gespeichert werden kann.
Beenden Die Benutzeroberfläche für den AVM Access
Server wird geschlossen.
Das Menü „Internet“
32 AVM Access Server – 3 Die Benutzeroberfläche des AVM Access Servers
Das Menü „Internet“
Das Menü „Entfernte Benutzer“
Das Menü „Entfernte Netzwerke“
Das Menü „Ansicht“
Menüeintrag Funktion
Anbieter hinzufügen... Der Assistent „Neues Ziel anlegen“ für die Konfigu-
ration einer neuen Internetverbindung wird gestar-
tet.
Anbieter löschen... Der in der Ordnerstruktur markierte Internetanbieter
wird gelöscht.
Menüeintrag Funktion
Benutzer hinzufügen... Der Assistent für die Konfiguration eines neuen Be-
nutzers wird gestartet.
Benutzer löschen... Der in der Ordnerstruktur markierte Benutzer wird
gelöscht.
Gruppe hinzufügen... Der Assistent für die Konfiguration einer neuen Be-
nutzergruppe wird gestartet.
Gruppe löschen... Die in der Ordnerstruktur markierte Benutzergruppe
wird gelöscht.
Menüeintrag Funktion
Netzwerk hinzufügen... Der Assistent „Neues Ziel anlegen“ für die Konfigu-
ration eines entfernten Netzwerkes wird gestartet.
Netzwerk löschen... Das im Konfigurationsbaum markierte entfernte
Netzwerk wird gelöscht.
Menüeintrag Funktion
Konfigurationansicht Die Konfigurationansicht wird eingeblendet.
Monitoring-Ansicht Die Monitoring-Ansicht wird eingeblendet.
Symbolleiste Die Symbolleiste wird ein- oder ausgeblendet.
Statusleiste Die Statusleiste wird ein- oder ausgeblendet.
Das Menü „?
AVM Access Server – 3 Die Benutzeroberfläche des AVM Access Servers 33
Das Menü „?“
3.2 Die Symbolleiste
Die wichtigsten Funktionen zum Arbeiten mit dem AVM Access Server
finden Sie auch in der Symbolleiste. Die Bedeutung der Schaltflächen
wird Ihnen durch Quick-Infos angezeigt. Fahren Sie dazu langsam mit
der Maus über die jeweilige Schaltfläche.
Menüeintrag Funktion
Hilfethemen... Die Hilfe des AVM Access Servers wird aufgerufen.
Handbuch... Das Handbuch des AVM Access Servers wird im
Acrobat Reader geöffnet.
Diagnose... Die Monitoring-Ansicht des AVM Access Servers
wird geöffnet und der Ordner „Diagnose“ ist ausge-
wählt. Dort können Sie einen Diagnosedurchlauf
starten. (Siehe auch Abschnitt „Diagnose“ auf
Seite 43.)
Online-Registrierung... Der Microsoft Internet Explorer wird gestartet und
der Online-Registrierungsdialog auf den AVM-Inter-
netseiten wird geöffnet. Sie könnne dort eine Onli-
ne-Registrierung für Ihren AVM Access Server vor-
nehmen.
Info über AVM Access
Server...
Die Versionsnummer und der Product Identification
Code des AVM Access Servers werden eingeblen-
det.
Die Konfigurationsansicht
34 AVM Access Server – 3 Die Benutzeroberfläche des AVM Access Servers
3.3 Die Konfigurationsansicht
Die Konfigurationsansicht im AVM Access Server ist zweigeteilt. In der
linken Fensterhälfte wird eine Ordnerstruktur angezeigt, die rechte
Fensterhälfte ist ein Parameterfenster.
Ordnerstruktur
Die Ordnerstruktur des AVM Access Servers ist wie folgt:
Ordnerstruktur in der Konfigurationsansicht
!
Durch den AVM Access Server sind die Ordner „Internet“, „ent-
fernte Benutzer“, „entfernte Netzwerke“, „Sicherheit“ und „Ver-
waltung“ vorgegeben. In den Ordnern„Sicherheit“ und „Verwal-
tung“ gibt es zusätzlich vorgegebene Unterordner.
! Alle im AVM Access Server angelegten Objekte wie beispielsweise
Internetanbieter, Benutzer oder Filterprofile werden in den jeweils
zugehörigen Ordnern angezeigt.
! Wenn ein Ordner oder ein Eintrag markiert ist, dann sind über das
Menü oder das Kontextmenü die für das markierte Element vorge-
sehenen Befehle aktiviert.
Parameterfenster
AVM Access Server – 3 Die Benutzeroberfläche des AVM Access Servers 35
Parameterfenster
Im Parameterfenster werden die Einstellungen für den in der Ordner-
struktur markierten Ordner oder Eintrag angezeigt. Das Parameterfens-
ter enthält eine oder mehrere Registerkarten, je nachdem, um welchen
Ordner oder Eintrag es sich handelt. Änderungen an den Einstellungen
können Sie hier vornehmen.
Markierte Ordner und Unterordner
Wenn Sie in der Ordnerstruktur einen Ordner markieren, dann werden
im Parameterfenster Einstellungen angezeigt, die allgemeine Gültigkeit
haben.
Markierte Einträge
Wenn ein Eintrag innerhalb eines Ordner markiert ist, dann werden auf
den Registerkarten im Parameterfenster die Einstellungen angezeigt,
die für diesen Eintrag vorgenommen wurden.
Beispiele:
Internet Hier kann eingestellt werden, ob die Interneteinwahl
über den AVM Access Server stattfinden soll. Ist dies der
Fall, dann gelten alle hier vorgenommenen Einstellun-
gen für jede Internetverbindung, die über den AVM
Access Server hergestellt wird. Es spielt dabei keine Rol-
le, welcher Internetanbieter verwendet wird
Entfernte Benutzer Hier wird festgelegt, ob auch für Benutzer, die in einem
RADIUS-Server verwaltet werden, der Zugang zum AVM
Access Server möglich sein soll.
<Benutzergruppe> Benutzergruppen werden im Ordner „entfernte Benut-
zer“ als Unterordner angelegt. Alle Einstellungen für die
Benutzergruppe gelten für jeden Benutzer, der Mitglied
in der markierten Benutzergruppe ist.
Sicherheit Hier können Sie IP-Dienste in eine Liste eintragen. Die
eingetragenen IP-Dienste können dann beim Erstellen
von Filterregeln und VPN-Zugriffsregeln verwendet wer-
den.
Die Monitoring-Ansicht
36 AVM Access Server – 3 Die Benutzeroberfläche des AVM Access Servers
3.4 Die Monitoring-Ansicht
In der Monitoring-Ansicht stehen Ihnen Verbindungssteuerung, Moni-
tor-Funktionen und Diagnose-Funktionen zur Verfügung. Wie die Konfi-
gurationsansicht ist auch die Monitoring-Ansicht zweigeteilt. In der lin-
ken Fensterhälfte werden die Funktionen angezeigt.
Die Ordnerstruktur in der Monitoring-Ansicht
Die rechte Fensterhälfte besteht je nach ausgewählter Funktion aus ei-
ner oder mehreren Registerkarten. Hier werden die Funktionsergebnis-
se angezeigt und bei einigen Funktionen können hier Funktionspara-
meter festgelegt werden.
Verbindungssteuerung und Monitor-Funktionen werden im folgenden
Kapitel ausführlich erläutert.
3.5 Verbindungssteuerung und Monitor-Funkti-
onen
Für den Administrator ist es wichtig, die Funktion des AVM Access
Servers im laufenden Betrieb überwachen zu können. Dazu stehen in
der Monitoring-Ansicht eine Vielzahl an Möglichkeiten zur Verfügung.
Sie erhalten detaillierte Informationen über den Serverstatus, aktuelle
Routing-Tabellen und Dienste, physikalisch aktive Verbindungen, Ver-
bindungsstatus, Kosten- und Nutzungsdaten für Verbindungen und Er-
eignisse. Außerdem bietet der AVM Access Server eine Paketmit-
schnittfunktion.
Auf der Benutzeroberfläche können Sie im Menü „Ansicht“ zwischen
Konfigurations- und Monitoring-Ansicht wechseln. Die Oberflächen-
struktur in der Monitoring-Ansicht entspricht der in der Konfigurations-
Ansicht. In der Ordnerstruktur im linken Fensterbereich wählen Sie die
unterschiedlichen Monitor-Funktionen aus. Im rechten Fensterbereich
werden Ihnen die Ergebnisse der jeweiligen Funktion angezeigt.
AVM Access Server-Monitor
AVM Access Server – 3 Die Benutzeroberfläche des AVM Access Servers 37
Im Folgenden werden die Funktionen im Einzelnen erläutert.
AVM Access Server-Monitor
Wählen Sie in der Ordnerstruktur „AVM Access Server-Monitor“ aus,
um Angaben zur Produktversion sowie einen schnellen Überblick über
den aktuellen Status des AVM Access Servers zu erhalten.
Verbindungssteuerung
Die Funktion „Verbindungssteuerung“ bietet einen Überblick über die
aktuellen ISDN-, DSL- und VPN-Verbindungen des AVM Access Servers
und deren Status. Außerdem können, je nach Verbindungsstatus, ver-
schiedene Aktionen durchgeführt werden.
In der Übersicht werden alle im AVM Access Server konfigurierten Inter-
netverbindungen, Verbindungen zu entfernten Netzwerken und die ein-
gewählten Benutzer aufgeführt.
Neben dem Namen des Ziels oder des Benutzers und dem aktuellen
Verbindungsstatus werden statistische Informationen für die Verbin-
dung angezeigt.
Für den Verbindungsstatus, der in der Spalte „Verbindung“ angezeigt
wird, werden folgende Symbole verwendet:
Symbol Status
keines Wenn für ein entferntes Netzwerk oder eine Internetverbindung kein
Symbol in der Spalte „Verbindung“ vorhanden ist, dann ist keine
Verbindung zu dem Ziel aufgebaut.
Das Symbol in der Spalte „Ziel/Benutzer“ ist farbig:
Bei einer Internetverbindung heißt das, dass es sich um den im
AVM Access Server aktivierten Internetanbieter handelt.
Bei entfernten Netzwerken bedeutet es, dass in der Routing-Tabelle
des AVM Access Servers ein Eintrag für die Route zu diesem Ziel vor-
handen ist. Müssen Daten zur Gegenstelle übertragen werden, wird
die Verbindung automatisch aufgebaut.
Das Symbol in der Spalte „Ziel/Benutzer“ ist grau:
In der Routing-Tabelle existiert kein Eintrag, d.h. die Route zu die-
sem Ziel ist nicht bekannt. Ein automatischer Aufbau der Verbin-
dung durch den AVM Access Server ist nicht möglich. Sie können
die Verbindung zu diesem Ziel manuell aufbauen.
Verbindungssteuerung
38 AVM Access Server – 3 Die Benutzeroberfläche des AVM Access Servers
Mögliche Aktionen
Oberhalb der Übersicht befinden sich drei durch Symbole dargestellte
Schaltflächen. Wenn Sie in der Übersicht eine Verbindung markiert ha-
ben, dann sind die einzelnen Symbole entweder aktiviert oder deakti-
viert, je nachdem, in welchem Status sich die Verbindung befindet.
Es besteht eine logische Verbindung zu diesem Ziel. Die physikali-
sche Verbindung wurde durch den AVM Access Server nach Inaktivi-
tät abgebaut.
DSL ausgehend
Es besteht eine logische und
physikalische Verbindung zwi-
schen den Gegenstellen, das
heißt, der ISDN-B-Kanal bzw. der
DSL-Kanal ist aufgebaut und es
fallen Verbindungsgebühren an.
Die Richtung des Pfeils verdeut-
licht die Rufrichtung.
ein B-Kanal ausgehend
ein B-Kanal eingehend
zwei B-Kanäle ausgehend
zwei B-Kanäle eingehend
VPN ausgehend
VPN eingehend
VPN-Benutzer
VPN-Aushandlung ausgehend Die VPN-Verbindung zwischen
zwei Gegenstellen befindet sich
in der Aushandlungsphase, das
heißt, die Internetverbindung ist
aufgebaut. Die Richtung des
Pfeils verdeutlicht die Verbin-
dungsrichtung.
VPN-Aushandlung eingehend
Symbol Status
ISDN B-Kanäle
AVM Access Server – 3 Die Benutzeroberfläche des AVM Access Servers 39
Informationen zu den Aktionen finden Sie in der Hilfe.
Eigenschaften
Über die rechte Maustaste können Sie sich die Eigenschaften einer Ver-
bindung anzeigen lassen, zum Beispiel die zugewiesene IP-Adresse,
Kompressions- und Filtereinstellungen, Security Associations (SAs) bei
VPN-Verbindungen. Eine ausführliche Beschreibung der Eigenschaften
finden Sie in der Hilfe.
ISDN B-Kanäle
Wenn Sie den Ordner „ISDN B-Kanäle“ auswählen, dann werden alle
zum aktuellen Zeitpunkt aktiven ISDN-Verbindungen angezeigt.
Es werden die folgenden Informationen angezeigt:
Schaltfläche Funktion
Verbindung aufbauen
Verbindung abbauen
Verbindung testen (Ping)
Spaltenbezeichnung Anzeige
Controller CAPI-Nummer des Controllers, über den die Verbin-
dung läuft
B-Kanal LED-Anzeige; bei grauer Anzeige wird der B-Kanal
nicht benutzt, bei grüner Anzeige wird der B-Kanal
benutzt
Rufnummer ISDN-Nummer der Gegenstelle
Verbindungsdauer Dauer der physikalischen Verbindung
Datendurchsatz Momentaner Datendurchsatz in KBit/s
Übertragungsvolumen Bis zum aktuellen Zeitpunkt übertragene Datenmen-
ge in Kilobyte
Datenkompression LED-Anzeige; bei grauer Anzeige wird keine Daten-
kompression angewendet, bei grüner Anzeige wird
Datenkompression angewendet
Gebühren Bis zum aktuellen Zeitpunkt angefallene Verbin-
dungskosten
Einwahlzeitpunkt Datum und Uhrzeit beim Verbindungsstart
Routing-Tabelle
40 AVM Access Server – 3 Die Benutzeroberfläche des AVM Access Servers
Routing-Tabelle
Im Ordner „Routing-Tabelle“ werden die zum aktuellen Zeitpunkt akti-
ven IP-Routen angezeigt. Wie viele Routen Sie sehen, hängt davon ab,
ob gerade Verbindungen aufgebaut sind und wie viele statische Routen
im AVM Access Server eingetragen sind oder per RIP aus dem LAN be-
kanntgemacht wurden.
Die angezeigte Routing-Tabelle gehört zum AVM Access Server. Die
Routing-Tabelle des Betriebssystems ist nach dem Start des AVM
Access Servers nicht mehr gültig, mit Ausnahme der im Betriebssystem
eingetragenen Defaultroute (siehe auch Kapitel „Architektur des AVM
Access Servers“ auf Seite 111).
Ereignisse
Als Ereignisse werden alle ISDN-, DSL-, VPN-, Fehler- und Informations-
meldungen bezeichnet.
Die Ereignisse sind in Gruppen eingeteilt, die durch verschiedene Sym-
bole gekennzeichnet sind. Es gibt die folgenden Ereignistypen:
Alle ISDN-Fehlermeldungen und die Meldungen des AVM Access
Servers sind in der Hilfe aufgeführt.
Sie haben die Möglichkeit, sich die Ereignisse nach Kriterien ausge-
wählt anzeigen zu lassen. Die Kriterien legen Sie selbst fest. Sie kön-
nen einen Ereignistyp, eine Gegenstelle und eine Schnittstelle auswäh-
Symbol Bedeutung
Warnung, z.B. bei Überschreitung des zielbezogenen Budgets
oder der globalen Schwellenwerte.
Information, z.B. über Verbindungsaufbau und -abbau.
ISDN-Direktverbindung einkommend
ISDN-Direktverbindung ausgehend
Alarm, z.B. beim Protokollieren eines Verstoßes gegen die Filter-
regeln (Firewall)
Fehler, z.B. wenn Gegenstelle nicht antwortet.
Nutzungsstatistik
AVM Access Server – 3 Die Benutzeroberfläche des AVM Access Servers 41
len. Bei Problemen ist es beispielsweise sinnvoll, sich alle Ereignisse
mit dem Ereignistyp „Fehler“ anzeigen zu lassen oder alle Ereignisse
für eine bestimmte Gegenstelle oder eine bestimmte Schnittstelle.
Die Ereignisse werden in einer Datenbank gespeichert. Die maximale
Größe dieser Datenbank können Sie in der Konfigurations-Ansicht im
Ordner „Verwaltung“ einstellen. Wenn die Datenbank die maximale
Größe erreicht hat, wird eine zweite angelegt. Erst wenn die zweite Da-
tenbank ebenfalls die maximale Größe erreicht hat, wird die erste Da-
tenbank gelöscht.
Nutzungsstatistik
In der Nutzungsstatistik werden Ihnen für einen definierten Zeitraum
detaillierte Verbindungsinformationen angezeigt. Den Zeitraum, für
den Sie die Informationen erhalten, legen Sie per Auswahl selbst fest.
Sie erhalten pro Benutzer und pro Netzwerk die folgenden Angaben zu
den Verbindungen, die innerhalb des angegebenen Zeitraums zum und
vom AVM Access Server aufgebaut wurden:
! Anzahl aller Verbindungen
! Anzahl der Verbindungen per Direkteinwahl
! Anzahl der Verbindungen per VPN
! Anzahl der einkommenden Verbindungen
! Anzahl der ausgehenden Verbindungen
! Verbindungsdauer gesamt
! Verbindungsdauer der Verbindungen per Direkteinwahl
! Verbindungsdauer der VPN-Verbindungen
! Übertragungsvolumen gesamt
Informationen über aktuelle Verbindungen sind nicht in den Angaben
enthalten. Aktuelle Verbindungen können Sie in der Verbindungssteue-
rung verfolgen (siehe Abschnitt „Verbindungssteuerung“ auf Seite 37).
Die Angaben werden standardmäßig jeweils als Summen pro Benutzer
und Netzwerk ausgegeben, können aber auch pro Verbindung ange-
zeigt werden.
Paketmitschnitt
42 AVM Access Server – 3 Die Benutzeroberfläche des AVM Access Servers
Als Anzeigewerkzeug für die Nutzungsstatistik wird der Microsoft Inter-
netexplorer verwendet. Alle Funktionen des Internet Explorers, die über
die rechte Maustaste erreichbar sind, stehen somit zur Verfügung. Bei-
spielsweise kann zum Ausdrucken der Nutzungsstatistik die Druck-
funktion des Internet Explorers genutzt werden.
Paketmitschnitt
Mit der Funktion „Paketmitschnitt“ in der Monitoring-Ansicht können
Sie sich darüber informieren, welche Protokollpakete im LAN und über
ISDN, DSL oder VPN gesendet werden. Auf diese Weise können Sie bei-
spielsweise die Ursachen für ungewöhnlich hohe Verbindungsgebüh-
ren lokalisieren, bei Verbindungen die PPP-Aushandlung protokollie-
ren und die Wirksamkeit der eingestellten Spoofings überprüfen.
Für den Mitschnitt können Sie verschiedene Kriterien festlegen. Sie
können beispielsweise einstellen, auf welcher Ebene Sie Pakete proto-
kollieren wollen. Durch die Angabe eines Benutzers oder Netzwerkes
können Sie den Mitschnitt auf die Pakete bestimmter Verbindungen
einschränken. Sie können auf allen oder nur einer bestimmten Netz-
werkkarte mitschneiden. Außerdem haben Sie die Möglichkeit, den
Protokollierungsumfang einzustellen.
Im Folgenden wird anhand von zwei Beispielen beschrieben, was Sie
tun müssen, um einen Paketmitschnitt zu erstellen.
Paketmitschnitt für Aushandlungsfragen
1. Wählen Sie den Ordner„Paketmitschnitt“ aus.
2. Nehmen Sie auf der Registerkarte „Einstellungen“ folgende Ein-
stellungen vor:
3. Für den Protokollierungsumfang können Sie die vorgegebenen
Einstellungen übernehmen.
4. Wechseln Sie zur Registerkarte „Mitschnitt“.
Kriterium Einstellung
Schnittstellenebene – Ethernet /
PPP/PPPoE
auswählen
Benutzer/Netzwerk einschalten und Benutzer oder Netz-
werk auswählen
Schnittstelle einschalten und die Schnittstelle
auswählen
Diagnose
AVM Access Server – 3 Die Benutzeroberfläche des AVM Access Servers 43
5. Starten Sie den Paketmitschnitt über die Schaltfläche „Aufnah-
me“.
6. Wählen Sie im Ordner „Verbindungssteuerung“ den Benutzer
oder das Netzwerk aus und bauen Sie eine Verbindung auf.
7. Warten Sie ab, bis Fehler auftreten.
8. Stoppen Sie den Paketmitschnitt über die Schaltfläche „Stopp“.
9. Für die weitere Auswertung können Sie den Paketmitschnitt über
die Schaltfläche „Speichern“ in eine Datei speichern.
Paketmitschnitt für Pollingprobleme
1. Wählen Sie in der Monitoring-Ansicht den Ordner „Paketmit-
schnitt“ aus.
2. Nehmen Sie die folgenden Einstellungen vor:
3. Starten Sie den Paketmitschnitt durch Klicken auf die Schaltflä-
che „Aufnahme“.
4. Warten Sie ab, bis 20-100 Pakete mitgeschrieben wurden und
stoppen Sie dann im Menü „Monitor / Paketmitschnitt“ den Mit-
schnitt durch Klicken auf die Schaltfläche „Stopp“.
5. Speichern Sie den Mitschnitt.
Die Hilfe enthält detaillierte Informationen zum Paketmitschnitt.
Diagnose
Im Ordner „Diagnose“ steht ein Diagnosewerkzeug zur Verfügung, mit
dem in wenigen Sekunden ein Überblick über den Zustand der im Zu-
sammenhang mit dem AVM Access Server wichtigen Komponenten er-
stellt werden kann. Wenn beim Betrieb des AVM Access Servers Proble-
me auftreten, kann anhand der Diagnose schnell festgestellt werden,
ob die Ursache in einer fehlerhaften Grundeinstellung liegt.
Kriterium Einstellung
Netzwerkprotokollebene auswählen
Benutzer/Netzwerk einschalten und Benutzer oder Netzwerk
auswählen
Schnittstelle einschalten und die Schnittstelle auswählen
Datenbankverwaltung
44 AVM Access Server – 3 Die Benutzeroberfläche des AVM Access Servers
Datenbankverwaltung
Durch die Unterstützung der Standard-Microsoft-Datenbank-Technolo-
gie bietet der AVM Access Server eine solide Grundlage für die Proto-
kollierung und Bearbeitung aller wichtigen Konfigurationsinformatio-
nen, Ereignisse und Nutzungsstatistiken aller ISDN-Verbindungen. Der
AVM Access Server legt die folgenden Datenbanken an:
In der Konfigurations-Ansicht im Ordner „Verwaltung“ können Sie auf
der Registerkarte „Allgemein“ die maximal zulässige Größe für die Da-
tenbanken NTRLOG1.MDB, NTRLOG2.MDB, NTRACT1.MDB und
NTRACT2.MDB
einstellen. Zuerst wird in der Datenbank NTRLOG1.MDB
(NTRACT1.MDB) protokolliert und, sobald die maximal erlaubte Größe
erreicht ist, in NTRLOG2.MDB (NTRACT2.MDB). Wenn NTRLOG2.MDB
(NTRACT2.MDB) ebenfalls die maximal zulässige Größe erreicht hat,
dann wird NTRLOG1.MDB (NTRACT1.MDB) gelöscht und neu angelegt.
Die Datenbanken befinden sich im Installationsverzeichnis des AVM
Access Servers und können mit Hilfe von Microsoft Access 2000 oder
einer höheren Version je nach Bedarf ausgewertet werden.
NTR.MDB Allgemeine Informationen über die Konfiguration
NTRLOG1.MDB
NTRLOG2.MDB
Ereignisse für Verbindungen
NTRACT1.MDB
NTRACT2.MDB
Nutzungsstatistiken für Verbindungen
Szenarios für den Einsatz des AVM Access Servers
AVM Access Server – 4 Szenarios für den Einsatz des AVM Access Servers 45
4 Szenarios für den Einsatz des AVM
Access Servers
In diesem Kapitel wird der Einsatz des AVM Access Servers in den Kon-
stellationen unterschiedlicher Szenarios vorgestellt. Für jedes Szenario
erhalten Sie eine ausführliche Beschreibung der Installation und Konfi-
guration des AVM Access Servers, wobei auch eventuell zu berücksich-
tigende Besonderheiten erläutert werden.
4.1 LAN-LAN-Kopplung mit AVM ISDN-Controller
C4 und acht B-Kanälen
Ein Unternehmen hat seine Hauptniederlassung in Berlin und eine
zweite Niederlassung in Stuttgart. Die Netzwerke der beiden Niederlas-
sungen sollen über ISDN mit acht B-Kanälen gekoppelt werden. Die B-
Kanäle sollen dabei je nach Bedarf dynamisch aufgebaut werden. Die
Verbindung soll nur zu den Hauptgeschäftszeiten zwischen 9:00 Uhr
und 17:00 Uhr verfügbar sein. Somit ist die permanente Verbindung zur
Hauptniederlassung gesichert, um Dateneingaben auf den zentralen
Servern vorzunehmen.
Anforderungsbeschreibung
! In der Hauptniederlassung in Berlin die Niederlassung in Stuttgart
als entferntes Netzwerk einrichten.
! In der Niederlassung in Stuttgart die Hauptniederlassung in Berlin
als entferntes Netzwerk einrichten.
! In beiden Niederlassungen in dem jeweils konfigurierten entfern-
ten Netzwerk dynamische Kanalbündelung mit sieben B-Kanälen
einstellen.
! In beiden Niederlassungen ein Zeitprofil für das entfernte Netz-
werk einrichten.
Technische Gegebenheiten
46 AVM Access Server – 4 Szenarios für den Einsatz des AVM Access Servers
Die folgende Abbildung zeigt die LAN-LAN-Verbindung im Überblick.
LAN-LAN-Verbindung zwischen zwei entfernten Netzwerken
Technische Gegebenheiten
Die folgenden technischen Voraussetzungen sind jeweils in beiden
Niederlassungen gegeben:
! 1 AVM ISDN-Controller C4
! 4 Anlagenanschlüsse der Deutschen Telekom mit ISDN-Sammel-
anschlussoption
Im AVM Access Server können für acht B-Kanäle maximal zwei
Rufnummern konfigurieren werden. Mit zwei Rufnummern können
acht B-Kanäle nur dann bedient werden, wenn idealerweise für al-
le vier Anschlüsse dieselbe Rufnummer gilt. Durch den Sammel-
anschluss erhalten die vier Anschlüsse denselben Nummernkreis.
! 1 betriebsbereiter Computer mit den für den AVM Access Server
erforderlichen Systemvoraussetzungen
Hauptniederlassung Berlin Niederlassung Stuttgart
LAN
LAN
Netzwerkadresse: 192.168.10.0
Subnetzmaske: 255.255.255.0
Netzwerkadresse: 192.168.20.0
Subnetzmaske: 255.255.255.0
AVM Access Server
AVM Access Server
Praktische Durchführung
48 AVM Access Server – 4 Szenarios für den Einsatz des AVM Access Servers
4. Tragen Sie Folgendes ein:
Die IP-Adresse des Standard-Gateways kann eine beliebige
Adresse aus dem Subnetz des AVM Access Servers sein.
5. Bestätigen Sie Ihre Angaben mit „OK“.
6. Falls Sie weitere LAN-Adapter mit dem AVM Access Server verwen-
den wollen, dann müssen Sie für jeden dieser Adapter eine feste
IP-Adresse eintragen.
B AVM Access Server installieren
Installieren Sie den AVM Access Server wie im Kapitel „Installation und
Inbetriebnahme: ein Beispiel-Szenario“ auf Seite 15 beschrieben.
Nach der ersten Installation des AVM Access Servers und dem Neustart
des Computers startet automatisch der Einrichtungsassistent des AVM
Access Servers. Mit dem Einrichtungsassistenten konfigurieren Sie in
diesem Szenario lediglich den ISDN-Controller.
C ISDN-Controller für die Anschlussart konfigurieren
Bei den AVM-ISDN-Controllern B1, C2 und C4 ist zusätzlich die Treiber-
software auf die Betriebsart „Anlagenanschluss“ (Punkt-zu-Punkt) zu
konfigurieren. Bitte beachten Sie hierzu die Beschreibung im Hand-
buch des entsprechenden ISDN-Controllers.
1. Klicken Sie im Willkommensfenster des Einrichtungsassistenten
auf „Weiter“.
2. Wählen Sie im Fenster „ISDN- und DSL-Controller auswählen“ den
Eintrag für den AVM ISDN-Controller C4 aus und klicken Sie auf
„Eigenschaften“.
3. Aktivieren Sie die Einstellung „Anlagenanschluss“ und bestätigen
Sie die Einstellung mit „OK“.
4. Wählen Sie im Dialog „Internetverbindung“ die Option „Keine In-
ternetverbindung einrichten“.
5. Deaktivieren Sie im Dialog „Zugang für entfernte Benutzer“ die
beiden Einstellungen „Internet (VPN)“ und „ISDN-Direkteinwahl“.
in Berlin in Stuttgart
IP-Adresse 192.168.10.1 192.168.20.1
Subnetzmaske 255.255.255.0 255.255.255.0
Standard-Gateway 192.168.10.2 192.168.20.2
Praktische Durchführung
AVM Access Server – 4 Szenarios für den Einsatz des AVM Access Servers 49
6. Wählen Sie im Fenster „Budgeteinstellungen“ die Option „Erstins-
tallation ohne voreingestelltes Budget“.
7. Beenden Sie den Einrichtungsassistenten mit „Fertig stellen“.
D Entfernten Standort als entferntes Netzwerk im AVM Access Server
einrichten mit Kanalbündelung für die insgesamt acht B-Kanäle
Auf dem AVM Access Server in Berlin wird das entfernte Netzwerk „Nie-
derlassung Stuttgart“ und auf dem AVM Access Server in Stuttgart wird
das entfernte Netzwerk „Niederlassung Berlin“
eingerichtet.
1. Aktivieren Sie auf der Benutzeroberfläche des AVM Access
Servers den Eintrag „Entfernte Netzwerke“ und wählen Sie im
Kontextmenü den Eintrag „Netzwerk hinzufügen“ aus. Der Assis-
tent für das Einrichten entfernter Netzwerke wird gestartet.
2. Wählen Sie im ersten Dialog die Option „ISDN-Direktverbindung“.
3. Geben Sie im nächsten Dialog eine Bezeichnung und die Anmel-
dedaten für die Anmeldung beim entfernten Standort ein.
4. Geben Sie die Rufnummer des entfernten Standorts ein.
5. Nehmen Sie keine Budgeteinstellungen vor.
6. Geben Sie in Berlin die IP-Adresse des Netzwerks in Stuttgart an
und umgekehrt.
7. Beenden Sie im Dialog „Zusammenfassung“ die Einstellungen mit
„Fertig stellen“.
Das neu konfigurierte Netzwerk wird im Ordner „Entfernte Netz-
werke“ mit der von Ihnen festgelegten Bezeichnung angezeigt.
8. Markieren Sie im Ordner „Entfernte Netzwerke“ den neuen Eintrag
und wählen Sie die Registerkarte „ISDN-Bandbreite“ aus.
9. Tragen Sie im Feld „Maximale Anzahl der B-Kanäle“ eine „8“und
im Feld „Zusätzliche dynamische B-Kanäle“ eine „7“ ein. Alle an-
deren Einstellungen auf dieser Registerkarte können so bleiben,
wie sie sind.
10. Klicken Sie auf „Übernehmen“, damit alle Einstellungen in den
AVM Access Server übernommen werden.
in Berlin in Stuttgart
IP-Adresse 192.168.20.0 192.168.10.0
Subnetzmaske 24 - 255.255.255.0 24 - 255.255.255.0
Praktische Durchführung
50 AVM Access Server – 4 Szenarios für den Einsatz des AVM Access Servers
E Zeitprofil erstellen und im eingerichteten entfernten Netzwerk eintra-
gen
Damit die Verbindung nur während der Hauptgeschäftszeiten von Mon-
tag bis Freitag jeweils zwischen 9:00 Uhr und 17:00 Uhr hergestellt wer-
den kann, müssen Sie ein passendes Zeitprofil anlegen und in den Ein-
stellungen für das entfernte Netzwerk eintragen.
1. Aktivieren Sie den Ordner „Verwaltung / Zeitprofile“ und wählen
Sie im Kontextmenü „Zeitprofil hinzufügen“ aus.
2. Geben Sie auf der Registerkarte „Allgemein“ eine Bezeichnung für
das Zeitprofil an.
3. Achten Sie darauf, dass die Einstellungen „Feiertage wie Sonnta-
ge behandeln“ und „Zugang aktivieren“ aktiviert sind.
4. Definieren Sie nun mit dem grafischen Werkzeug das Zeitprofil.
Ziehen Sie dazu mit der linken Maustaste ein Rechteck auf,
das in vertikaler Richtung die Tage Montag bis Freitag und in
horizontaler Richtung den Zeitraum von 9:00 bis 17:00 Uhr
umfasst.
Rechts neben der Position des Mauszeigers werden Ihnen die
jeweils aktuellen Koordinaten durch die Angabe des Wochen-
tages und der Uhrzeit angezeigt.
Beginnen Sie mit der Definition des Zeitprofils bei den Koordi-
naten „Mo 9:00“ und beenden Sie die Definition bei den Koor-
dinaten „Fr 17:00“.
5. Markieren Sie nun im Ordner „Entfernte Netzwerke“ das neu defi-
nierte Netzwerk.
6. Wählen Sie auf der Registerkarte „Allgemein“ im Feld „Zeitprofil“
das neue definierte Zeitprofil aus.
7. Klicken Sie abschließend auf „Übernehmen“, damit die Einstel-
lungen in den AVM Access Server übernommen werden.
F Verbindung testen
1. Wählen Sie im Menü „Ansicht“ den Eintrag „Monitoring-Ansicht“
aus.
2. Öffnen Sie den Ordner „Verbindungssteuerung“.
3. Aktivieren Sie die neue Verbindung und wählen Sie im Kontextme-
nü den Eintrag „Verbindung testen“ aus.
AVM Access Server und KEN!
AVM Access Server – 4 Szenarios für den Einsatz des AVM Access Servers 51
Eine DOS-Box mit einem Ping auf die IP-Adresse der Gegenstelle
wird gestartet. Wenn der Ping erfolgreich ausgeführt wird, dann
kann der AVM Access Server am entfernten Standort grundsätz-
lich erreicht werden.
4.2 AVM Access Server und KEN!
In einer Anwaltskanzlei, in der acht Mitarbeiter beschäftigt sind, wird
der Internetzugang für alle Arbeitsplätze im Firmennetz über KEN! und
eine FRITZ!Card DSL hergestellt.
Nun soll mit dem AVM Access Server und NetWAYS/ISDN für alle Mitar-
beiter die Möglichkeit geschaffen werden, von zu Hause aus Texte auf
dem Datei-Server des Firmennetzes zu bearbeiten. Der Zugriff von den
Heimarbeitsplätzen auf das Firmennetz soll über VPN erfolgen. Der Zu-
gang zum Internet soll weiterhin über KEN! hergestellt werden.
Anforderungsbeschreibung
Folgende Anforderungen müssen erfüllt sein:
! Internetzugang im AVM Access Server über KEN! einrichten
Der AVM Access Server soll auf demselben Computer installiert
werden, auf dem KEN! installiert ist. An der Zugriffsart auf das In-
ternet über KEN! soll sich durch den Einsatz des AVM Access
Servers nichts ändern.
! Entfernte Benutzer mit VPN-Zugang einrichten
Für jeden Mitarbeiter in der Anwaltskanzlei soll der Heimarbeits-
platz mit einem VPN-Zugang zum Firmennetz ausgestattet wer-
den, so dass jeder Mitarbeiter von zu Hause aus auf den Datei-
Server zugreifen kann.
Technische Gegebenheiten
52 AVM Access Server – 4 Szenarios für den Einsatz des AVM Access Servers
Die folgende Abbildung zeigt die VPN-Verbindung im Überblick.
VPN-Verbindungen zwischen AVM Access Server und Heimarbeitsplätzen; die
Internetverbindung vom Firmenserver aus wird über KEN! hergestellt
Technische Gegebenheiten
! in der Anwaltskanzlei
betriebsbereiter Computer mit den für den AVM Access Server
erforderlichen Systemvoraussetzungen
bereits konfigurierter Internetzugang über KEN! und FRITZ!Card
DSL
! an den Heimarbeitsplätzen der Mitarbeiter
betriebsbereiter Computer
ISDN-Anschluss
Firmennetz Anwaltskanzlei Heimarbeitsplätze
Netzwerkadresse: 192.168.115.0
Subnetzmaske: 255.255.255.0
LAN
AVM Access Server
KEN! DSL
IP-Adresse: 192.168.115.1
IP-Adresse: 192.168.115.5
Datei-Server
IP-Adressen aus dem
Adressbereich 192.168.110.0
Virtuelles
Privates Netz
(VPN)
Mit NetWAYS/ISDN
Was ist zu tun?
AVM Access Server – 4 Szenarios für den Einsatz des AVM Access Servers 53
Was ist zu tun?
In der Anwaltskanzlei
An den Heimarbeitsplätzen der Mitarbeiter
Praktische Durchführung am Firmenserver der Anwalts-
kanzlei
Folgende Einstellungen und Installationen sind an dem Firmenserver
der Anwaltskanzlei notwendig:
A Den AVM Access Server installieren
Installieren Sie den AVM Access Server wie im Kapitel „Installation und
Inbetriebnahme: ein Beispiel-Szenario“ auf Seite 15 beschrieben.
Installation und Konfiguration
A Den AVM Access Server installieren
B In der Systemsteuerung des Betriebssystems die Netzwerkeinstellungen
überprüfen
C Im AVM Access Server den Internetzugang über KEN! konfigurieren
D Benutzergruppe „Homeoffice via VPN“ mit der Berechtigung für den VPN-
Zugang einrichten
E Alle Mitarbeiter als Benutzer in der Benutzergruppe „Homeoffice via VPN“
einrichten
F In KEN! den Dynamic-DNS-Eintrag konfigurieren
G In KEN! die beiden Gateway-Dienste ESP und ISAKMP freischalten
H Im AVM Access Server die Adresse für die Erreichbarkeit aus dem Internet
eintragen
I Exportdateien mit der Benutzerkonfiguration für NetWAYS/ISDN erstellen
Installation und Konfiguration
A NetWAYS/ISDN installieren (NetWAYS/ISDN ist im Lieferumfang des AVM
Access Servers enthalten)
B Internetzugang einrichten
C Den AVM Access Server als Ziel einrichten mit VPN
D Die Internetverbindung testen
E Über die VPN-Verbindung den Zugriff vom entfernten Arbeitsplatz auf den
Datei-Server in der Anwaltskanzlei testen
Praktische Durchführung am Firmenserver der Anwaltskanzlei
54 AVM Access Server – 4 Szenarios für den Einsatz des AVM Access Servers
Nach der ersten Installation des AVM Access Servers und dem Neustart
des Computers startet automatisch der Einrichtungsassistent des AVM
Access Servers. Mit dem Einrichtungsassistenten konfigurieren Sie den
Internetzugang, eine Benutzergruppe und den ersten Benutzer. Bevor
Sie mit der Konfiguration beginnen, überprüfen Sie bitte, wie im fol-
genden Abschnitt beschrieben, die Netzwerkeinstellungen in der Sys-
temsteuerung des Betriebssystems.
B In der Systemsteuerung des Betriebssystems die Netzwerkeinstellun-
gen überprüfen
Damit der Internetzugang weiterhin über KEN! hergestellt werden kann,
müssen Sie sicherstellen, dass der AVM Access Server Driver an den
KEN! PPP-Adapter gebunden ist. Gehen Sie dazu folgendermaßen vor:
1. Wählen Sie in der Systemsteuerung des Betriebssystems den Ein-
trag „Netzwerkverbindungen“ aus.
2. Aktivieren Sie die LAN-Verbindung „KEN! PPP over ISDN“ und wäh-
len Sie im Kontextmenü „Eigenschaften“ aus.
3. In der Liste muss der Eintrag „AVM Access Server Driver“ mit ei-
nem Häkchen markiert sein.
C Im AVM Access Server den Internetzugang über KEN! konfigurieren
1. Klicken Sie im Willkommensfenster des Einrichtungsassistenten
auf „Weiter“.
2. Im Fenster „ISDN- und DSL-Controller auswählen“ müssen keine
Einstellungen vorgenommen werden.
3. Legen Sie fest, wie der AVM Access Server auf das Internet zugrei-
fen soll. Wählen Sie „KEN!“ aus.
4. Bestätigen Sie Ihre Angaben mit „Weiter“.
D Benutzergruppe „Homeoffice via VPN“ mit der Berechtigung für den
VPN-Zugang einrichten
1. Behalten Sie die Einstellung „Internet (VPN)“ bei und deaktivieren
Sie die Einstellung „ISDN-Direkteinwahl“.
2. Legen Sie nun die Benutzergruppe an. Geben Sie als Bezeichnung
„Homeoffice via VPN“ ein.
3. Wählen Sie den IP-Adressbereich 192.168.110.0/24 aus. Aus die-
sem Adressbereich erhalten die Benutzer aus der Gruppe Ihre IP-
Adressen.
Praktische Durchführung am Firmenserver der Anwaltskanzlei
56 AVM Access Server – 4 Szenarios für den Einsatz des AVM Access Servers
5. Wählen Sie in der Liste den Eintrag „Domainname für wechselnde
IP-Adresse hinzufügen“ aus.
6. Wenn Sie sich bereits einen Domainnamen bei dem Anbieter
„companity“ (dns4biz.com) haben zuweisen lassen, geben Sie
die Zugangsdaten hier ein.
7. Wenn Sie sich noch keinen Domainnamen bei einem Anbieter im
Internet haben zuweisen lassen, klicken Sie auf „Neuen Domain-
namen anmelden...“. Es öffnet sich die Internetseite des Anbie-
ters „companity“. Hier können Sie den Domainnamen anmelden.
Die Zugangsdaten erhalten Sie dann per E-Mail.
8. Klicken Sie abschließend auf „Übernehmen“, damit die Änderun-
gen im KEN!-Service übernommen werden.
G In KEN! die beiden Gateway-Dienste ESP und ISAKMP freischalten
Auch um diese beiden Dienste freischalten zu können, muss KEN! sich
im Expertenmodus befinden. Im Ordner „Internet“ auf der Registerkar-
te „Erweiterte Einstellungen“ muss die Einstellung „Firewall erlaubt an-
kommende Verbindungen aus dem Internet“ aktiviert sein.
1. Wählen Sie im Ordner „Internet“ die Registerkarte „Gateway-
Dienste“ aus und aktivieren Sie dort die beiden Einträge „IPsec“
und „VPNGateway“. Bei der Auswahl wird der Dialog „Weiterlei-
tung ankommender Verbindungen aus dem Internet“ eingeblen-
det. Nehmen Sie in diesem Dialog keine Änderungen vor und be-
stätigen Sie mit „OK“.
2. Klicken Sie abschließend auf „Übernehmen“, damit die Änderun-
gen im KEN!-Service übernommen werden.
H Im AVM Access Server die Adresse für die Erreichbarkeit aus dem In-
ternet eintragen
Im AVM Access Server muss eingetragen werden, mit welcher Adresse
der AVM Access Server aus dem Internet erreichbar ist. Da der Internet-
zugang über KEN! realisiert wird, muss der Domänenname von KEN!
angegeben werden, den Sie bei einem Dynamic DNS-Anbieter festge-
legt haben.
1. Markieren Sie auf der Benutzeroberfläche des AVM Access
Servers den Ordner „Internet“ und wählen Sie die Registerkarte
„VPN“ aus.
2. Tragen Sie in dem Feld „Adresse im Internet“ den vollständigen
Domänennamen von KEN! ein.
Praktische Durchführung an den Heimarbeitsplätzen der Mitarbeiter
AVM Access Server – 4 Szenarios für den Einsatz des AVM Access Servers 57
Wenn Sie beispielsweise bei „companity“ (dns4biz.com) den Na-
men „kenserver“ angegeben haben, dann lautet der vollständige
Domänenname für KEN! „kenserver.dns4biz.com“.
I Exportdateien mit der Benutzerkonfiguration für NetWAYS/ISDN er-
stellen
Im AVM Access Server können die Benutzerkonfigurationen für die ent-
fernten Benutzer jeweils in einer Exportdatei gespeichert werden.
Durch den Import dieser Datei in NetWAYS/ISDN auf dem jeweiligen
Computer am Heimarbeitsplatz wird die Ziel-Konfiguration für den AVM
Access Server automatisch durchgeführt. Führen Sie die folgenden
Schritte für jeden Mitarbeiter separat aus.
1. Wählen Sie auf der Benutzeroberfläche des AVM Access Servers
im Ordner „Entfernte Benutzer“ den Benutzer aus.
2. hlen Sie im Kontextmenü „Benutzereinstellungen für Net-
WAYS/ISDN exportieren“ aus.
Der Dialog „VPN-Benutzerkonfiguration für NetWAYS/ISDN expor-
tieren“ wird geöffnet.
3. Geben Sie im Feld „Kennwort“ ein beliebiges Kennwort für die
Verschlüsselung der VPN-Konfiguration ein. Mit diesem Kennwort
wird die VPN-Benutzerkonfiguration in NetWAYS/ISDN importiert.
Sie können auch standardmäßig das Kennwort der Direkteinwahl
verwenden.
4. Die Datei „NETWAYS.EFF“ wird in dem unter „Verzeichnis“ angege-
benen Ordner gespeichert.
5. Bestätigen Sie Ihre Angaben mit „OK“.
6. Kopieren Sie die Datei NETWAYS.EFF auf eine Diskette.
Praktische Durchführung an den Heimarbeitsplätzen
der Mitarbeiter
Die im Folgenden beschriebenen Schritte müssen an jedem Heimar-
beitsplatz durchgeführt werden.
A NetWAYS/ISDN installieren
NetWAYS/ISDN ist im Lieferumfang des AVM Access Servers enthalten.
Installieren Sie NetWAYS/ISDN und befolgen Sie dabei die Installati-
onshinweise im NetWAYS/ISDN-Handbuch.
Praktische Durchführung an den Heimarbeitsplätzen der Mitarbeiter
58 AVM Access Server – 4 Szenarios für den Einsatz des AVM Access Servers
B Internetzugang einrichten
Richten Sie nun in NetWAYS/ISDN einen Internetzugang ein.
1. Wählen Sie im Menü „Einstellungen“ den Eintrag „Ziele/Ziel
neu...“ aus. Der NetWAYS/ISDN-Assistent zum Einrichten einer In-
ternetverbindung wird gestartet.
2. Wählen Sie im Dialog „Art des Netzwerkes“ die Option „Internet“
aus.
3. Die Angaben in den nun folgenden Dialogen betreffen den Inter-
netanbieter. Diese Angaben werden bei jedem Mitarbeiter variie-
ren, da sie durch den Internetanbieter des jeweiligen Mitarbeiters
vorgegeben sind.
4. Beenden Sie im Dialog „Zusammenfassung“ die Konfiguration mit
„Fertig stellen“.
In der NetWAYS/ISDN-Oberfläche wird die Internetverbindung als
Symbol dargestellt.
C Den AVM Access Server als Ziel mit VPN einrichten
1. Legen Sie die Diskette mit der am AVM Access Server erstellten
Exportdatei in das Diskettenlaufwerk und importieren Sie die Da-
tei. Wählen Sie dazu auf der NetWAYS/ISDN-Benutzeroberfläche
im Menü „Datei“ den Eintrag „VPN-Verbindung importieren“ aus.
Der Dateiauswahldialog von Windows wird geöffnet.
2. Wählen Sie die Datei mit der Endung .EFF aus und bestätigen Sie
Ihre Auswahl mit „OK“.
3. Geben Sie das Kennwort ein, das Sie für die Exportdateien am
AVM Access Server festgelegt haben.
D Die Internetverbindung testen
Mit einem Ping auf einen beliebigen Web-Server können Sie die Inter-
netverbindung testen.
Öffnen Sie eine DOS-Box und geben Sie ping www.avm.de ein.
Wenn der Ping erfolgreich ausgeführt wird, dann kann NetWAYS/ISDN
eine Verbindung ins Internet herstellen.
AVM Access Server und Router
AVM Access Server – 4 Szenarios für den Einsatz des AVM Access Servers 59
E Über die VPN-Verbindung den Zugriff vom entfernten Arbeitsplatz auf
den Datei-Server in der Anwaltskanzlei testen
1. Stellen Sie sicher, dass der AVM Access Server in der Anwalts-
kanzlei mit dem Internet verbunden ist.
2. Die Internetverbindung von NetWAYS/ISDN muss in Verbindungs-
bereitschaft sein. Wählen Sie in der NetWAYS/ISDN-Oberfläche
die Internetverbindung aus und klicken Sie im Menü „Datei“ auf
„Verbindungsbereitschaft“.
3. Öffnen Sie auf dem NetWAYS/ISDN-Computer eine DOS-Box und
führen Sie ein „Ping“ auf die IP-Adresse des Datei-Servers in der
Anwaltskanzlei aus.
Wenn der Ping erfolgreich ausgeführt wird, dann hat der Mitarbei-
ter jetzt Zugang über VPN zum Datei-Server in der Anwaltskanzlei.
4.3 AVM Access Server und Router
In einem Übersetzungsbüro, in dem zehn Mitarbeiter beschäftigt sind,
wird der Internetzugang für alle Arbeitsplätze im Firmennetz über einen
Router hergestellt.
Nun soll mit dem AVM Access Server und NetWAYS/ISDN für alle Mitar-
beiter die Möglichkeit geschaffen werden, von zu Hause aus auf den E-
Mail-Server des Firmennetzes zugreifen zu können. Der Zugriff von den
Heimarbeitsplätzen auf das Firmennetz soll über VPN erfolgen. Der Zu-
gang zum Internet soll weiterhin über den Router hergestellt werden.
Anforderungsbeschreibung
Folgende Anforderungen müssen dazu erfüllt sein:
! Internetzugang im AVM Access Server über den externen Router
konfigurieren
An der Zugriffsart auf das Internet über den Router soll sich durch
den Einsatz des AVM Access Servers nichts ändern.
! Entfernte Benutzer mit VPN-Zugang einrichten
Für jeden Mitarbeiter im Übersetzungsbüro soll der Heimarbeits-
platz mit einem VPN-Zugang zum Firmennetz ausgestattet wer-
den, so dass jeder Mitarbeiter von zu Hause aus auf den E-Mail-
Server zugreifen kann.
Die folgende Abbildung zeigt die VPN-Verbindung im Überblick.
Technische Gegebenheiten
60 AVM Access Server – 4 Szenarios für den Einsatz des AVM Access Servers
VPN-Verbindungen zwischen AVM Access Server und Heimarbeitsplätzen; die
Internetverbindung vom Firmenserver aus wird über einen Router hergestellt
Technische Gegebenheiten
! im Übersetzungsbüro
betriebsbereiter Computer mit den für den AVM Access Server
erforderlichen Systemvoraussetzungen
eine Festverbindung ins Internet mit dem Router von der Deut-
schen Telekom
ein konfigurierter Internetzugang über den Router und die
Festverbindung
ein Lotus Domino-Server als E-Mail-Server
! an den Heimarbeitsplätzen der Mitarbeiter
betriebsbereiter Computer
FRITZ!Card DSL
T-DSL-Anschluss mit Flatrate
T-Online als Internetanbieter
Firmennetzwerk im Übersetzungsbüro
LAN
Netzwerkadresse: 192.168.10.0
Subnetzmaske: 255.255.255.0
Heimarbeitsplätze
Mit NetWAYS/ISDN
IP-Adressen aus dem
Adressbereich 192.168.100.0
AVM Access Server
R
o
u
t
e
r
F
e
s
t
v
e
r
b
i
n
d
u
n
g
LAN-Adapter mit fester
offizieller IP-Adresse
LAN-Adapter mit
IP-Adresse 192.168.10.1
Standard-Gateway:
192.168.10.1
Standard-Gateway:
192.168.10.1
Lotus Domino Server
IP-Adresse:
192.168.10.10
VPN-Tunnel
Was ist zu tun?
AVM Access Server – 4 Szenarios für den Einsatz des AVM Access Servers 61
Was ist zu tun?
Im Übersetzungsbüro:
An den Heimarbeitsplätzen der Mitarbeiter:
Praktische Durchführung am Firmenserver im Überset-
zungsbüro
Folgende Einstellungen und Installationen sind am Firmenserver im
Übersetzungsbüro notwendig:
Installation und Konfiguration
A In der Systemsteuerung des Betriebssystems die Netzwerkeinstellungen
überprüfen
B AVM Access Server installieren
C Im AVM Access Server den Internetzugang über den externen Router kon-
figurieren
D Erreichbarkeit des AVM Access Servers aus dem Internet überprüfen
E Benutzergruppe „Homeoffice via VPN
mit der Berechtigung für den VPN-
Zugang einrichten
F Alle Mitarbeiter als Benutzer in der Benutzergruppe „Homeoffice via VPN
einrichten
G Exportdateien mit der Benutzerkonfiguration für NetWAYS/ISDN erstellen
H Für den Lotus Domino-Server eine Route zum virtuellen privaten Netzwerk
einrichten
Installation und Konfiguration
A Installation von NetWAYS/ISDN
(NetWAYS/ISDN ist im Lieferumfang des AVM Access Servers enthalten)
B Internetverbindung über T-Online einrichten
C AVM Access Server als Ziel mit VPN einrichten
D Testen der Internetverbindung
E Testen der VPN-Verbindung vom entfernten Arbeitsplatz zum AVM Access
Server
F Zugriff vom entfernten Arbeitsplatz auf den E-Mail-Server testen
Praktische Durchführung am Firmenserver im Übersetzungsbüro
62 AVM Access Server – 4 Szenarios für den Einsatz des AVM Access Servers
A In der Systemsteuerung des Betriebssystems die Netzwerkeinstellun-
gen überprüfen
Der Zugang zum Internet soll weiterhin über den Router hergestellt wer-
den. Auf dem Computer, auf dem der AVM Access Server installiert wer-
den soll, muss der Internetzugang über die Netzwerkkarte schon vor
der Installation betriebsbereit sein. Dazu müssen Sie Folgendes über-
prüfen und gegebenenfalls einstellen:
! An dem LAN-Adapter, der den AVM Access Server mit dem Router
verbindet, muss eine feste, öffentliche IP-Adresse eingetragen
sein. Zusammen mit der Festverbindung haben Sie ein festes
Subnetz erhalten, aus dem Sie diese IP-Adresse vergeben. Als
Standard-Gateway tragen Sie die IP-Adresse des Routers ein.
! Als DNS-Server müssen die beiden DNS-Server der Festverbin-
dung eingetragen werden.
! Alle LAN-Adapter, die mit dem AVM Access Server verwendet wer-
den, brauchen eine feste IP-Adresse.
Gehen Sie folgendermaßen vor:
1. Wählen Sie in der Systemsteuerung des Betriebssystems den Ein-
trag „Netzwerkverbindungen“ aus.
2. Aktivieren Sie die LAN-Verbindung, die den AVM Access Server mit
dem Router verbinden soll und wählen Sie im Kontextmenü der
rechten Maustaste „Eigenschaften“ aus.
3. Wählen Sie in der Liste den Eintrag „Internetprotokoll (TCP/IP)“
aus und klicken Sie auf „Eigenschaften“.
4. Tragen Sie im Feld „IP-Adresse“ eine feste, öffentliche IP-Adresse
ein. Zusammen mit der Festverbindung haben Sie ein festes Sub-
netz erhalten, aus dem Sie diese IP-Adresse vergeben.
5. Falls kein DNS-Server eingerichtet ist, müssen Sie die DNS-Server
der Festverbindung eintragen.
6. Bestätigen Sie Ihre Angaben mit „OK“.
7. Falls Sie weitere LAN-Adapter mit dem AVM Access Server verwen-
den wollen, dann müssen Sie für jeden dieser Adapter eine feste
IP-Adresse eintragen.
Praktische Durchführung am Firmenserver im Übersetzungsbüro
AVM Access Server – 4 Szenarios für den Einsatz des AVM Access Servers 63
B AVM Access Server installieren
Installieren Sie den AVM Access Server wie im Kapitel „Installation und
Inbetriebnahme: ein Beispiel-Szenario“ auf Seite 15 beschrieben.
Nach der ersten Installation des AVM Access Servers und dem Neustart
des Computers startet automatisch der Einrichtungsassistent des AVM
Access Servers. Mit dem Einrichtungsassistenten konfigurieren Sie den
Internetzugang.
C Im AVM Access Server den Internetzugang über den externen Router
kofigurieren
1. Klicken Sie im Willkommensfenster des Einrichtungsassistenten
auf „Weiter“.
2. Im Fenster „ISDN- und DSL-Controller auswählen“ müssen keine
Einstellungen vorgenommen werden.
3. Legen Sie fest, wie der AVM Access Server auf das Internet zugrei-
fen soll. Wählen Sie „Bestehenden Internetzugang nutzen“ aus.
4. Wählen Sie im Dialog „Netzwerkkarte“ die Netzwerkkarte aus, die
eine Verbindung zum externen Router hat.
5. Deaktivieren Sie im Dialog „Zugang für entfernte Benutzer“ die
beiden Einstellungen „Internet (VPN)“ und „ISDN-Direkteinwahl“.
6. Wählen Sie im Fenster „Budgeteinstellungen“ die Option „Erstins-
tallation ohne voreingestelltes Budget“.
7. Beenden Sie den Einrichtungsassistenten mit „Fertig stellen“.
D Erreichbarkeit des AVM Access Servers aus dem Internet überprüfen
Damit von den entfernten Benutzern VPN-Verbindungen zum AVM
Access Server hergestellt werden können, muss der AVM Access Server
aus dem Internet über eine Internetadresse erreichbar sein.
1. Wählen Sie im AVM Access Server den Ordner „Internet“ aus.
2. Stellen Sie sicher, dass auf der Registerkarte „VPN“ im Feld
„Adresse im Internet“ die IP-Adresse eingetragen ist, die Sie in
den Netzwerkeinstellunegn am LAN-Adapter angegeben haben,
der den AVM Access Server mit dem externen Router verbindet
(siehe Schritt A4).
Praktische Durchführung am Firmenserver im Übersetzungsbüro
64 AVM Access Server – 4 Szenarios für den Einsatz des AVM Access Servers
EBenutzergruppe Homeoffice via VPN mit der Berechtigung für den
VPN-Zugang einrichten
1. Markieren Sie auf der Benutzeroberfläche des AVM Access
Servers den Ordner „Entfernte Benutzer“, klicken Sie auf die rech-
te Maustaste und wählen Sie „Gruppe hinzufügen...“ aus.
2. Geben Sie als Bezeichnung für die neue Benutzergruppe „Home-
office via VPN“ ein.
3. Behalten Sie die Einstellung „Internet (VPN)“ bei und deaktivieren
Sie die Einstellung „ISDN-Direkteinwahl“.
4. Wählen Sie als IP-Adressbereich „Benutzerdefiniert“ aus.
5. Geben Sie den IP-Adressbereich 192.168.100.0/24 an. Aus die-
sem Adressbereich erhalten die Benutzer aus der Gruppe Ihre IP-
Adressen.
F Alle Mitarbeiter als Benutzer in der Benutzergruppe
Homeoffice via
VPN einrichten
1. Wählen Sie in der Benutzeroberfläche des AVM Access Servers im
Ordner „Entfernte Benutzer“ die Benutzergruppe „Homeoffice via
VPN“ aus. Wählen Sie im Kontextmenü „Benutzer hinzufügen...“
aus.
Der Assistent „Entfernten Benutzer neu anlegen“ wird gestartet.
2. Geben Sie die Daten eines Mitarbeiters ein und klicken Sie auf
„Weiter“.
3. Wählen Sie als Benutzergruppe „Homeoffice via VPN“ aus.
4. Schließen Sie die Benutzerkonfiguration mit „Fertig stellen“ ab.
5. Wiederholen Sie die Schritte 1 bis 4 für jeden Mitarbeiter.
G Exportdateien mit der Benutzerkonfiguration für NetWAYS/ISDN er-
stellen
Am AVM Access Server können die Benutzerkonfigurationen für die
entfernten Benutzer jeweils in einer Exportdatei gespeichert werden.
Durch den Import dieser Datei in NetWAYS/ISDN auf dem jeweiligen
Computer am Heimarbeitsplatz wird die Ziel-Konfiguration für den AVM
Access Server automatisch durchgeführt. Führen Sie die folgenden
Schritte für jeden Mitarbeiter separat aus.
1. Wählen Sie auf der Benutzeroberfläche des AVM Access Servers
im Ordner „Entfernte Benutzer“ den Benutzer aus.
Praktische Durchführung am Firmenserver im Übersetzungsbüro
AVM Access Server – 4 Szenarios für den Einsatz des AVM Access Servers 65
2. hlen Sie im Kontextmenü „Benutzereinstellungen für Net-
WAYS/ISDN exportieren“ aus.
Der Dialog „VPN-Benutzerkonfiguration für NetWAYS/ISDN expor-
tieren“ wird geöffnet.
3. Geben Sie im Feld „Kennwort“ ein beliebiges Kennwort ein, mit
dem die VPN-Benutzerkonfiguration verschlüsselt und später in
NetWAYS/ISDN importiert und wieder entschlüsselt wird.
4. Die Datei „NETWAYS.EFF“ wird in dem unter „Verzeichnis“ angege-
benen Ordner gespeichert.
5. Bestätigen Sie Ihre Angaben mit „OK“.
6. Kopieren Sie die Datei NETWAYS.EFF auf eine Diskette.
H Für den Lotus Domino Server eine Route zum virtuellen privaten Netz-
werk einrichten
In den Netzwerkeinstellungen des Lotus Domino Servers muss nicht
unbedingt ein Standard-Gateway eingetragen sein. Wenn jedoch der
AVM Access Server nicht das Standard-Gateway ist, so muss dem Lotus
Domino Server bekannt sein, dass IP-Adressen aus dem IP-Adressbe-
reich der Benutzergruppe über den AVM Access Server erreichbar sind.
Es muss also eine Route für diesen Adressbereich am Lotus Domino
Server konfiguriert werden.
Gehen Sie wie unten beschrieben vor, wenn der Lotus Domino Server
in einem Windows-Betriebssystem läuft. Die Schritte in anderen Be-
triebssystemen (z.B. SunOS) sind ähnlich. Sehen Sie gegebenenfalls in
der Dokumentation Ihres Betriebssystems nach, wie lokale Routen zu
konfigurieren sind.
1. Öffnen Sie eine DOS-Box auf dem Computer, auf dem der Lotus
Domino Server installiert ist.
2. Geben Sie Folgendes ein:
route add 192.168.100.0 mask 255.255.255.0
192.168.10.1 metric 1 -p
Praktische Durchführung an den Heimarbeitsplätzen der Mitarbeiter
66 AVM Access Server – 4 Szenarios für den Einsatz des AVM Access Servers
Praktische Durchführung an den Heimarbeitsplätzen
der Mitarbeiter
Die im Folgenden erläuterten Schritte A bis F müssen Sie an jedem
Heimarbeitsplatz durchführen.
A Installation von NetWAYS/ISDN (NetWAYS/ISDN ist im Lieferumfang
des AVM Access Servers enthalten)
Installieren Sie NetWAYS/ISDN und befolgen Sie dabei die Installati-
onshinweise im NetWAYS/ISDN-Handbuch.
B Internetverbindung über T-Online einrichten
1. Wählen Sie im Menü „Einstellungen“ den Eintrag „Ziele/Ziel
neu...“ aus. Der NetWAYS/ISDN-Assistent zum Einrichten einer In-
ternetverbindung wird gestartet.
2. Wählen Sie im Dialog „Art des Netzwerkes“ die Option „Internet“
aus.
3. Wählen Sie die Option „Internetanbieter mit Anmeldung“ aus.
4. Wählen Sie als Internetanbieter „T-Online über T-DSL“ aus.
5. Übernehmen Sie als Bezeichnung den Vorschlag „T-Online
T-DSL“.
6. Geben Sie Ihre T-Online-Zugangsdaten ein.
7. Beenden Sie die Konfiguration mit „Fertig stellen“.
In der NetWAYS/ISDN-Oberfläche wird die Internetverbindung als
Symbol dargestellt.
C AVM Access Server als Ziel einrichten mit VPN
1. Legen Sie die Diskette mit den am AVM Access Server erstellten
Exportdateien in das Diskettenlaufwerk und importieren Sie die
Datei. Wählen Sie dazu auf der NetWAYS/ISDN-Benutzeroberflä-
che im Menü „Datei“ den Eintrag „VPN-Verbindung importieren“
aus. Der Dateiauswahldialog von Windows wird geöffnet.
2. Wählen Sie die Datei mit der Endung .EFF aus und bestätigen Sie
Ihre Auswahl mit „OK“.
3. Geben Sie das Kennwort ein, das Sie für die Exportdateien am
AVM Access Server festgelegt haben.
Praktische Durchführung an den Heimarbeitsplätzen der Mitarbeiter
AVM Access Server – 4 Szenarios für den Einsatz des AVM Access Servers 67
D Testen der Internetverbindung
Mit einem Ping auf einen beliebigen Web-Server können Sie die Inter-
netverbindung testen.
1. Die Internetverbindung von NetWAYS/ISDN muss in Verbindungs-
bereitschaft sein. Wählen Sie in der NetWAYS/ISDN-Oberfläche
die Internetverbindung aus und klicken Sie im Menü „Datei“ auf
„Verbindungsbereitschaft“.
2. Öffnen Sie eine DOS-Box und geben Sie ping www.avm.de ein.
Wenn der Ping erfolgreich ausgeführt wird, dann kann Net-
WAYS/ISDN eine Verbindung ins Internet herstellen.
E Testen der VPN-Verbindung vom entfernten Arbeitsplatz zum AVM
Access Server
1. Der AVM Access Server in der Firmenniederlassung ist per Festver-
bindung mit dem Internet verbunden. Um sicherzustellen, dass
die Verbindung tatsächlich vorhanden ist, öffnen Sie auf dem
AVM Access Server-Computer eine DOS-Box und geben ping
www.avm.de -t ein.
Sobald Sie die VPN-Verbindung getestet haben, können Sie mit
Strg+c die Ping-Funktion wieder stoppen.
2. Die Internetverbindung von NetWAYS/ISDN muss in Verbindungs-
bereitschaft sein. Wählen Sie in der NetWAYS/ISDN-Oberfläche
die Internetverbindung aus und klicken Sie im Menü „Datei“ auf
„Verbindungsbereitschaft“.
3. Öffnen Sie auf dem NetWAYS/ISDN-Computer eine DOS-Box und
führen Sie einen Ping auf die feste, offizielle IP-Adresse des AVM
Access Servers aus.
Wenn der Ping erfolgreich ausgeführt wird, dann kann Net-
WAYS/ISDN den AVM Access Server grundsätzlich über das Inter-
net erreichen.
F Zugriff vom entfernten Arbeitsplatz auf den E-Mail-Server testen
1. Öffnen Sie auf dem NetWAYS/ISDN-Computer eine DOS-Box und
geben Sie Folgendes ein:
ping 192.168.10.10
Wenn der Ping erfolgreich ausgeführt wird, dann kann vom Net-
WAYS/ISDN-Computer aus auf den E-Mail-Server zugegriffen wer-
den. Ein E-Mail-Klient kann jetzt eingerichtet werden.
Konzepte und Funktionsweisen des AVM Access Servers
68 AVM Access Server – 5 Konzepte und Funktionsweisen des AVM Access Servers
5 Konzepte und Funktionsweisen des
AVM Access Servers
In diesem Kapitel werden einige der im AVM Access Server vorhande-
nen Einstellungsmöglichkeiten vorgestellt. Sie erhalten Informationen
zum Konzept der jeweiligen Einstellung, den Anwendungsgebieten und
zur Funktionsweise im Zusammenspiel mit dem AVM Access Server.
5.1 Filter
Filter dienen zum Schutz vor unerlaubtem Eindringen in Ihr Netzwerk,
zum Beispiel über das Internet, sowie zur Auswahl der Daten und
Dienste, die für den Zugriff von außen bereitgestellt werden sollen.
Durch diese Auswahl tragen sie auch zur Reduzierung der Verbindungs-
kosten auf ein Minimum bei. Im Ordner „Sicherheit/Filterprofile“ bietet
der AVM Access Server umfangreiche Filtermöglichkeiten.
IP-Filter (Firewall)
Für Ihr IP-Netzwerk bietet der AVM Access Server Paketfilterung mit fol-
genden Instanzen:
! zielgebundener Input-Filter
! zielgebundener Output-Filter
! globaler Input-Filter
! globaler Output-Filter
! Forward-Filter
In jeder dieser Instanzen können Regeln festgelegt werden, die definie-
ren, wie der AVM Access Server einkommende, ausgehende oder an
andere Netze weiterzuleitende Pakete behandeln soll. Möglich sind die
Aktionen „Verwerfen“, „Zurückweisen“ oder „Durchlassen“. So können
Sie beispielsweise festlegen, dass nur genau definierte Stationen mit-
einander kommunizieren können oder bestimmte Dienste, zum Bei-
spiel „HTTP“ für den Zugriff auf das World Wide Web, nur von einigen
Stationen in Ihrem Netzwerk genutzt werden können.
Filter und Regeln
AVM Access Server – 5 Konzepte und Funktionsweisen des AVM Access Servers 69
Aufgrund des Aufbaus aus mehreren Instanzen bieten die Filter einen
sehr flexiblen und weitreichenden Schutz. Die Art der Paketfilterung im
AVM Access Server ist eine der möglichen Herangehensweisen zum
Aufbau einer so genannten Firewall, einer Schutzmauer um Ihr Firmen-
netzwerk.
Die Filterinstanzen des AVM Access Servers haben folgende Aufgaben:
! Zielgebundener Input-Filter
Überprüfung von Paketen, die von einem Ziel über ISDN, DSL oder
einen LAN-Adapter in den AVM Access Server kommen.
! Zielgebundener Output-Filter
Überprüfung von Paketen, die den AVM Access Server in Richtung
eines bestimmten Ziels über ISDN, DSL oder einen LAN-Adapter
verlassen.
! Globaler Input-Filter
Überprüfung von Paketen, die aus einer beliebigen Richtung (LAN,
ISDN, GSM, DSL oder VPN) in den AVM Access Server kommen.
! Globaler Output-Filter
Überprüfung von Paketen, die den AVM Access Server in eine be-
liebige Richtung verlassen (LAN, ISDN, GSM, DSL oder VPN ).
! Forward-Filter
Überprüfung aller Pakete, die im AVM Access Server von einem in
ein anderes Netz weitergeleitet werden (z.B. vom LAN in eines der
Zielnetze oder von einem Zielnetz in ein anderes).
Eine zusammenfassende Darstellung mit Beispielen zu den verschie-
denen Filterinstanzen finden Sie ab Seite 72.
Filter und Regeln
Filter setzen sich aus folgenden Komponenten zusammen:
! Einer geordneten Abfolge von Regeln.
! Einer Standard-Aktion, die auf alle Pakete angewendet wird, für
die beim Durchlaufen aller Regeln des Profils keine anwendbare
Regel gefunden wurde.
Filter und Regeln
70 AVM Access Server – 5 Konzepte und Funktionsweisen des AVM Access Servers
Regeln bestehen immer aus folgenden Komponenten:
! Einer Beschreibung des Pakettyps, für den die Regel gelten soll.
Dies geschieht anhand von drei Beschreibungskriterien, mit de-
ren Hilfe der AVM Access Server prüft, ob die Regel auf ein Paket
zutrifft.
Dienst: Hier können alle IP-Dienste, nur bestimmte Dienste
(z.B. FTP, Telnet) oder nur bestimmte Handlungen (z.B. FTP-Zu-
griff aus dem Internet in das LAN) als Kriterium festgelegt wer-
den.
Quelle des Pakets: Als Quelle des Pakets kann ein bestimmtes
Netzwerk oder eine konkrete Station festgelegt werden.
Ziel des Pakets: Als Ziel des Pakets kann ein bestimmtes Netz-
werk oder eine konkrete Station festgelegt werden.
! Einer Aktion, die auf das Paket angewendet werden soll.
Durchlassen: Das Paket wird an die im Header angegebene
Zieladresse gesendet oder dem nächsten Filter übergeben.
Verwerfen: Das Paket wird nicht weitergeleitet, sondern ohne
Rückmeldung an den Absender des Pakets einfach verworfen.
Der Absender und potentielle Angreifer hat den Eindruck, der
AVM Access Server sei nicht online beziehungsweise nicht vor-
handen.
Zurückweisen: Das Paket wird nicht weitergeleitet. An die
Quelladresse wird eine Fehlermeldung gesendet.
! Einer Anweisung für die Protokollierung der Pakete, die von dieser
Regel behandelt wurden. Die Protokollierung dient dazu, Ein-
bruchsversuche in das LAN festzuhalten und gegebenenfalls die
Spur zum Verursacher zurückzuverfolgen. Anhand der Protokollie-
rung kann auch festgestellt werden, ob der Filter so wie vorgese-
hen arbeitet und ob Regeln auf die Pakete passen, die gefiltert
werden sollen. Es gibt drei Arten der Protokollierung:
Eine Warnung ins Ereignisprotokoll schreiben
Den Header des verworfenen Pakets in eine Datei schreiben
Das gesamte Paket in eine Datei schreiben
Filter und Regeln
AVM Access Server – 5 Konzepte und Funktionsweisen des AVM Access Servers 71
Bei den beiden zuletzt genannten Protokollierungsarten werden
der Header des Pakets oder das ganze Paket in die Datei „ipflt-
log.txt“ geschrieben. Die Datei befindet sich im Programmver-
zeichnis des AVM Access Servers.
Jedes Paket durchläuft alle Regeln gemäß ihrer Reihenfolge, bis es auf
die erste anwendbare Regel trifft und entsprechend der Aktion dieser
Regel behandelt wird. Heißt die anzuwendende Aktion „Verwerfen“
oder „Zurückweisen“, ist das Filtern für dieses Paket beendet. Heißt
die Aktion „Durchlassen“, ist der Durchlauf durch das Profil ebenfalls
beendet. Das Paket wird gesendet oder geht in die nächste Filterin-
stanz.
Wurde keine passende Regel für ein Paket gefunden und heißt die
Standard-Aktion „Durchlassen“, wird das Paket der nächsten zuständi-
gen Filterinstanz übergeben.
Beachten Sie also beim Erstellen eines Filters die folgenden beiden
wichtigen Aspekte:
! Ein Filterprofil behandelt immer alle Pakete (Regeln für bestimmte
Pakete und die Standard-Aktion für alle anderen).
! Die Reihenfolge der Regeln ist wichtig! Es muss unbedingt sicher-
gestellt sein, dass eine Regel für ein Paket, die vorne im Profil
steht, nicht allgemeiner gehalten ist als eine Regel, die weiter hin-
ten steht. Die Regel, die weiter hinten steht und spezieller ist,
würde sonst nie angewendet werden.
Als Grundprinzip bei der Anordnung der Regeln innerhalb eines Filter-
profils gilt: Spezialfälle zuerst regeln.
Ein einfaches Beispiel
Sie wollen, dass nur Standort A Zugriff auf Computer B im LAN hat. Da-
zu formulieren Sie im globalen Input-Filter die beiden folgenden Re-
geln:
1. A darf auf Computer B zugreifen. Die Regel lautet also: Pakete mit
allen Diensten, die von dem IP-Bereich A kommen und an die IP-
Adresse von Computer B adressiert sind, durchlassen.
2. Keiner darf auf Computer B zugreifen. Die Regel lautet also: Pake-
te mit allen Diensten, die von allen Adressen kommen und an die
IP-Adresse von Computer B adressiert sind, verwerfen.
Beispiele für IP-Filterprofile
72 AVM Access Server – 5 Konzepte und Funktionsweisen des AVM Access Servers
Die folgende Abbildung zeigt den Weg der Pakete durch die Filterin-
stanzen bei einkommenden, ausgehenden und auf ein anderes Netz
weiterzuleitenden Paketen. Es wird vorausgesetzt, dass alle Filterin-
stanzen gesetzt sind und eine passende Regel existiert oder die Stan-
dard-Aktion „Durchlassen“ ist. Es wird also immer der maximal mögli-
che Weg eines Pakets aufgezeigt.
Der Weg der Pakete durch die Filterinstanzen des AVM Access Servers
Beispiele für IP-Filterprofile
Im AVM Access Server gibt es die folgenden vordefinierten IP-Filterpro-
file, die für den Standard-Internetzugang verwendet werden können:
! einkommendes Internetprofil (nur unten)
! ausgehendes Internetprofil
! einkommendes Internetprofil (Stateful Oben)
! einkommendes Internetprofil (Stateful Unten)
! Nur VPN-Pakete (Unten)
Globaler Input-Filter
Masquerading/NAT
Oberes eingehendes
Filterprofil
IPSec
Entschlüsselung
ISDN / DSL / GSM /
LAN
Globaler Output-
Filter
Masquerading/NAT
Oberes ausgehendes
Filterprofil
IPSec
Verschlüsselung
ISDN / DSL / GSM /
LAN
Globaler Forward
Filter
Durchlassen
Durchlassen
Entschlüsselte
Daten
Unteres eingehendes
Filterprofil
Unteres ausgehendes
Filterprofil
Lokaler IP-Stack des Betriebssystems
Beispiele für IP-Filterprofile
AVM Access Server – 5 Konzepte und Funktionsweisen des AVM Access Servers 73
Der Einsatz von „einkommendes Internetprofil (Stateful Oben)“ und
„einkommendes Internetprofil (Stateful Unten)“ ist nur dann sinnvoll,
wenn Masquerading nicht genutzt wird. Das Filterprofil „ausgehendes
Filterprofil“ kann immer eingesetzt werden.
Sie können die Filterprofile auch Ihren Bedürfnissen entsprechend an-
passen. Um in den Filtern die Richtung des Verbindungsaufbaus unter-
scheiden zu können, gibt es die Möglichkeit, bei TCP auch die Flags mit
zu berücksichtigen. Bitte beachten Sie die Literaturhinweise in „Weiter-
führende Literatur“ ab Seite 130.
Für die Standard-Internetanbindung können die Profile ohne Weiteres
verwendet werden. Sie schützen Ihr Netzwerk zuverlässig vor dem Zu-
griff von außen und ermöglichen den Anwendern im lokalen Netzwerk
den Zugang zum Internet.
In den einkommenden Internetprofilen haben eine Reihe von Regeln
den Status „Inaktiv”, andere den Status „Aktiv”. Aktiv sind alle Regeln,
die jeden von außen initiierten Zugriff auf Ihr LAN verhindern. Die Re-
geln mit dem Status „Inaktiv” sind für den Fall vorkonfiguriert, dass
Sie weitere Dienste für den Zugriff aus dem Internet bereitstellen wol-
len, z.B. einen eigenen FTP-Server, einen eigenen Web-Server oder ei-
nen eigenen E-Mail-Server. Wollen Sie also andere Dienste erlauben,
müssen Sie dieses Internetprofil erst entsprechend bearbeiten, bevor
Sie es in Ihrer Internet-Zielkonfiguration nutzen.
Die Regeln in den Profilen werden in den folgenden Tabellen darge-
stellt und erläutert.
Bitte beachten Sie die folgende zwei Hinweise zu den Tabellen:
! In allen Profilen wurden die Regeln mit allgemeinen Angaben für
die beiden Beschreibungskriterien „Quelle” und „Ziel” erstellt.
Quelle des Pakets kann immer alles sein (Angabe in jeder Regel
für Quelle ist also: 0.0.0.0 / 0), dasselbe gilt für das Ziel (Angabe
in jeder Regel für Ziel: 0.0.0.0 / 0). Diese Angaben werden zur
besseren Lesbarkeit der Tabellen nicht für jede Regel angeführt.
! Alle Regeln enthalten den Eintrag „Kein Protokoll”. Daher wurde
auch diese Information aus den Tabellen entfernt.
Beispiele für IP-Filterprofile
74 AVM Access Server – 5 Konzepte und Funktionsweisen des AVM Access Servers
Einkommendes Internetprofil (nur unten)
Profil aktiv Ja
Bezeichnung einkommendes Internetprofil (nur unten)
Aktion, wenn keine
der Regeln zutrifft
Verwerfen
Regeln
Status Dienst/Quelle/Ziel Aktion/Proto-
koll
Erläuterung
Inaktiv HTTP
Verbindungsaufbau
(Hypertext Transfer)
Durchlassen Aktivieren Sie diese Regel,
wenn Sie einen eigenen Web-
Server anbieten.
Inaktiv FTP
Verbindungsaufbau
(File Transfer)
Durchlassen Aktivieren Sie diese Regel,
wenn Sie einen eigenen FTP-
Server anbieten.
Inaktiv SMTP
Verbindungsaufbau
(Simple Mail Trans-
fer)
Durchlassen Aktivieren Sie diese Regel,
wenn Sie keinen POP3-Dienst
des Internetanbieters benut-
zen, sondern die E-Mails per
SMPT an Ihren E-Mail-Server
zustellen lassen.
Inaktiv DNS-Anfragen
(Domain Name Sys-
tem)
Durchlassen Aktivieren Sie diese Regel,
wenn Sie Ihre Internet-Domä-
ne über einen eigenen Name-
Server verwalten oder einen
Secondary-Name-Server ein-
gerichtet haben.
Inaktiv DNS-Zonen-Transfer
(Domain Name Sys-
tem)
Durchlassen Aktivieren Sie diese Regel,
wenn Sie Ihre Internet-Domä-
ne über einen eigenen Name-
Server verwalten und einen
Primary-Name-Server einge-
richtet haben.
Inaktiv NNTP
Verbindungsaufbau
(Network News
Transport)
Durchlassen Aktivieren Sie diese Regel,
wenn Sie nicht auf den News-
Server des Internetanbieters
zugreifen, sondern sich die
News per NNTP vom Interne-
tanbieter zustellen lassen.
Beispiele für IP-Filterprofile
AVM Access Server – 5 Konzepte und Funktionsweisen des AVM Access Servers 75
Inaktiv NTP-Pakete
(Network Time)
Durchlassen Aktivieren Sie diese Regel,
wenn Sie einen NTP-Server
(Zeitserver) in Ihrem lokalen
Netzwerk betreiben, der aus
dem Internet erreicht werden
soll.
Inaktiv UUCP
Verbindungsaufbau
Durchlassen Aktivieren Sie diese Regel,
wenn Ihnen Ihr Internetanbie-
ter Daten per UUCP zustellt
(z.B. News oder E-Mails).
Inaktiv Telnet
Verbindungsaufbau
Durchlassen Aktivieren Sie diese Regel,
wenn Sie den Zugriff über Tel-
net auf Ihre Computer erlau-
ben wollen (z.B. wenn UNIX-
Computer von entfernter Seite
aus administrierbar sein sol-
len).
Inaktiv SSH
Verbindungsaufbau
Durchlassen Aktivieren Sie diese Regel,
wenn Sie den Zugriff über SSH
(Secure SHell) auf Ihre Compu-
ter erlauben wollen (z.B. wenn
UNIX-Computer von entfern-
ten Seiten administrierbar
sein sollen).
Aktiv ISAKMP-Pakete
(Virtual Private Net-
work)
Durchlassen Dieser Eintrag wird automa-
tisch aktiviert, wenn Sie eine
VPN-Benutzergruppe oder ein
entferntes Netzwerk über VPN
mit Hilfe der Assistenten ein-
richten.
Aktiv DNS-Antworten
(Domain Name Sys-
tem)
Durchlassen Aktivieren Sie diese Regel,
wenn Sie das DNS-System des
Internetanbieters benutzen
wollen.
Status Dienst/Quelle/Ziel Aktion/Proto-
koll
Erläuterung
Beispiele für IP-Filterprofile
76 AVM Access Server – 5 Konzepte und Funktionsweisen des AVM Access Servers
Inaktiv RIP-Pakete
(Routing Information)
Durchlassen Damit stellen Sie sicher, dass
dem AVM Access Server nur
die Routen bekannt sind, die
Sie eingerichtet haben. RIP-In-
formationen, die über das In-
ternet einkommen, werden
nicht weitergeleitet. Dies ver-
hindert die sog. „man in the
middle attack“ auf diesen Rou-
ter – das Einschleusen von
Routing-Informationen zur Kor-
rumpierung Ihrer Routen.
Aktiv FTP-Daten
Verbindungsaufbau
(File Transfer)
Durchlassen Damit stellen Sie sicher, dass
Ihre Anwender Daten per FTP
aus dem Internet kopieren
können.
Hinweis: Diese Regel können
Sie deaktivieren, wenn alle
FTP-Klienten in Ihrem Netz die
Option „FTP-PASV“ nutzen.
Aktiv TCP
Verbindungsaufbau
Verwerfen Mit dieser Regel werden alle
Versuche, eine TCP-Verbin-
dung aufzubauen verworfen,
die nicht durch eine der obi-
gen Regeln explizit definiert
werden.
Aktiv TCP-Pakete Durchlassen Damit stellen Sie sicher, dass
Antwort-Pakete auf von Ihnen
initiierte Verbindungen in Ih-
rem Netz ankommen.
Aktiv ICMP-Pakete
(Internet Control
Message)
Durchlassen Damit stellen Sie sicher, dass
Fehlermeldungen aus dem In-
ternet an Ihre Computer zu-
rückgemeldet werden. Solche
Rückmeldungen mit dem
Dienst ICMP erfolgen z.B.
dann, wenn ein Computer im
Internet adressiert wird, der
nicht erreichbar ist.
Status Dienst/Quelle/Ziel Aktion/Proto-
koll
Erläuterung
Beispiele für IP-Filterprofile
AVM Access Server – 5 Konzepte und Funktionsweisen des AVM Access Servers 77
Aktiv AH-Pakete
(Virtual Private Net-
work)
Durchlassen Wenn Sie VPN-Verbindungen
eingerichtet haben, dann akti-
vieren Sie diese Regel für das
Internetziel, über das der VPN-
Zugriff erfolgen soll.
Aktiv ESP-Pakete
(Virtual Private Net-
work)
Durchlassen Wenn Sie VPN-Verbindungen
eingerichtet haben, dann akti-
vieren Sie diese Regel für das
Internetziel, über das der VPN-
Zugriff erfolgen soll.
Inaktiv GRE-Pakete
(Generic Route En-
capsulation)
Durchlassen Aktivieren Sie diese Regel,
wenn Sie andere Tunneling-
Mechanismen (z.B. das in
Microsoft NT 4.0 enthaltenen
PPTP-VPN-Gateway) in Ihrem
LAN verwenden, die auf das
GRE-Protokoll aufsetzen. Diese
Regel ist nicht notwendig,
wenn nur die VPN-Funktionen
des AVM Acces Servers be-
nutzt werden sollen.
Aktiv Alle Pakete Verwerfen Alles, was bis hierher durch-
kommt, kann nur noch als Ein-
bruchsversuch interpretiert
werden – etwa Tunnel-Pakete,
d.h. in IP verpackte Pakete
oder Routing-Pakete wie OSPF
oder EGP-Pakete. Diese Pakete
werden sowieso durch die
Standard-Aktion verworfen.
Diese Regel wurde nur einge-
richtet, damit Sie, wenn Sie
wollen, Einbruchsversuche
nachvollziehen können. Akti-
vieren Sie in diesem Fall die
Protokollierung.
Status Dienst/Quelle/Ziel Aktion/Proto-
koll
Erläuterung
Beispiele für IP-Filterprofile
78 AVM Access Server – 5 Konzepte und Funktionsweisen des AVM Access Servers
Ausgehendes Internetprofil
Profil aktiv Ja
Bezeichnung ausgehendes Internetprofil
Aktion, wenn keine
der Regeln zutrifft
Durchlassen
Regeln
Status Dienst/Quelle/Ziel Aktion/Proto-
koll
Erläuterung
Aktiv ESP-Pakete
(Virtual Private Net-
work)
Durchlassen Wenn Sie VPN-Verbindungen
eingerichtet haben, dann akti-
vieren Sie diese Regel für das
Internetziel, über das der VPN-
Zugriff erfolgen soll.
Aktiv AH-Pakete
(Virtual Private Net-
work)
Durchlassen Wenn Sie VPN-Verbindungen
eingerichtet haben, dann akti-
vieren Sie diese Regel für das
Internetziel, über das der VPN-
Zugriff erfolgen soll.
Aktiv ISAKMP-Pakete
(Virtual Private Net-
work)
Durchlassen Wenn Sie VPN-Verbindungen
eingerichtet haben, dann akti-
vieren Sie diese Regel für das
Internetziel, über das der VPN-
Zugriff erfolgen soll.
Aktiv RIP-Pakete
(Routing Information)
Verwerfen Damit wird verhindert, dass
Routing-Informationen des lo-
kalen Netzwerks in das Inter-
net übertragen werden.
Aktiv NetBIOS-Pakete Verwerfen Damit stellen Sie sicher, dass
von außen kein Zugriff auf Ihre
Windows-Ressourcen (Lauf-
werke, Drucker usw.) möglich
ist.
Aktiv NetBIOS-Pakete 2 Verwerfen Damit stellen Sie sicher, dass
von außen kein Zugriff auf Ihre
Windows-Ressourcen (Lauf-
werke, Drucker usw.) möglich
ist.
Aktiv NetBIOS-Pakete 3 Verwerfen Damit stellen Sie sicher, dass
von außen kein Zugriff auf Ihre
Windows-Ressourcen (Lauf-
werke, Drucker usw.) möglich
ist.
Beispiele für IP-Filterprofile
AVM Access Server – 5 Konzepte und Funktionsweisen des AVM Access Servers 79
Einkommendes Filterprofil (Stateful Oben)
Profil aktiv Ja
Bezeichnung einkommendes Internetprofil (Stateful Oben)
Aktion, wenn keine
der Regeln zutrifft
Verwerfen
Regeln
Status Dienst/Quelle/Ziel Aktion/Proto-
koll
Erläuterung
Aktiv Alle Pakete ausge-
hender Verbindun-
gen
Durchlassen Diese Regel gehört zu der im
AVM Access Server integrier-
ten „Stateful Inspection“. Än-
dern Sie die Regel nicht, wenn
Sie „Stateful Inspection“ ver-
wenden möchten.
Aktiv Alle Pakete einge-
hender Verbindun-
gen
Durchlassen Diese Regel gehört zu der im
AVM Access Server integrier-
ten „Stateful Inspection“. Än-
dern Sie die Regel nicht, wenn
Sie „Stateful Inspection“ ver-
wenden möchten.
Aktiv Alle Pakete Verwerfen Alles, was bis hierher durch-
kommt, kann nur noch als Ein-
bruchsversuch interpretiert
werden – etwa Tunnel-Pakete,
d.h. in IP verpackte Pakete
oder Routing-Pakete wie OSPF
oder EGP-Pakete. Diese Pakete
werden sowieso durch die
Standard-Aktion verworfen.
Diese Regel wurde nur einge-
richtet, damit Sie, wenn Sie
wollen, Einbruchsversuche
nachvollziehen können. Akti-
vieren Sie in diesem Fall die
Protokollierung.
Beispiele für IP-Filterprofile
80 AVM Access Server – 5 Konzepte und Funktionsweisen des AVM Access Servers
Einkommendes Internetprofil (Stateful Unten)
Profil aktiv Ja
Bezeichnung einkommendes Internetprofil (Stateful Unten)
Aktion, wenn keine
der Regeln zutrifft
Verwerfen
Regeln
Status Dienst/Quelle/Ziel Aktion/Proto-
koll
Erläuterung
Aktiv Alle Pakete ausge-
hender Verbindun-
gen
Durchlassen Diese Regel gehört zu der im
AVM Access Server integrier-
ten „Stateful Inspection“. Än-
dern Sie die Regel nicht, wenn
Sie „Stateful Inspection“ ver-
wenden möchten.
Aktiv ISAKMP-Pakete
(Virtual Private Net-
work)
Durchlassen Wenn Sie VPN-Verbindungen
eingerichtet haben, dann akti-
vieren Sie diese Regel für das
Internetziel, über das der VPN-
Zugriff erfolgen soll.
Aktiv AH-Pakete
(Virtual Private Net-
work)
Durchlassen Wenn Sie VPN-Verbindungen
eingerichtet haben, dann akti-
vieren Sie diese Regel für das
Internetziel, über das der VPN-
Zugriff erfolgen soll.
Aktiv ESP-Pakete
(Virtual Private Net-
work)
Durchlassen Wenn Sie VPN-Verbindungen
eingerichtet haben, dann akti-
vieren Sie diese Regel für das
Internetziel, über das der VPN-
Zugriff erfolgen soll.
Aktiv ICMP-Pakete
(Internet Control
Message)
Durchlassen Damit stellen Sie sicher, dass
Fehlermeldungen aus dem In-
ternet an Ihre Computer zu-
rückgemeldet werden. Solche
Rückmeldungen mit dem
Dienst ICMP erfolgen z.B.
dann, wenn ein Computer im
Internet adressiert wird, der
nicht erreichbar ist.
Beispiele für IP-Filterprofile
AVM Access Server – 5 Konzepte und Funktionsweisen des AVM Access Servers 81
Inaktiv Alle Pakete einge-
hender Verbindun-
gen
Durchlassen Diese Regel gehört zu der im
AVM Access Server integrier-
ten „Stateful Inspection“. Än-
dern Sie die Regel nicht, wenn
Sie „Stateful Inspection“ ver-
wenden möchten.
Inaktiv HTTP
Verbindungsaufbau
(Hypertext Transfer)
Durchlassen Aktivieren Sie diese Regel,
wenn Sie einen eigenen Web-
Server anbieten.
Inaktiv FTP
Verbindungsaufbau
(File Transfer)
Durchlassen Aktivieren Sie diese Regel,
wenn Sie einen eigenen FTP-
Server anbieten.
Inaktiv SMTP
Verbindungsaufbau
(Simple Mail Trans-
fer)
Durchlassen Aktivieren Sie diese Regel,
wenn Sie keinen POP3-Dienst
des Internetanbieters benut-
zen, sondern die E-Mails per
SMPT an Ihren E-Mail-Server
zustellen lassen.
Inaktiv DNS-Anfragen
(Domain Name Sys-
tem)
Durchlassen Aktivieren Sie diese Regel,
wenn Sie Ihre Internet-Domä-
ne über einen eigenen Name-
Server verwalten oder einen
Secondary-Name-Server ein-
gerichtet haben.
Inaktiv DNS-Zonen-Transfer
(Domain Name Sys-
tem)
Durchlassen Aktivieren Sie diese Regel,
wenn Sie Ihre Internet-Domä-
ne über einen eigenen Name-
Server verwalten und einen
Primary Name-Server einge-
richtet haben.
Inaktiv NNTP
Verbindungsaufbau
(Network News
Transport)
Durchlassen Aktivieren Sie diese Regel,
wenn Sie nicht auf den News-
Server des Internetanbieters
zugreifen, sondern sich die
News per NNTP vom Interne-
tanbieter zustellen lassen.
Inaktiv NTP-Pakete
(Network Time)
Durchlassen Aktivieren Sie diese Regel,
wenn Sie Ihre Systemzeiten
über das Network Time Proto-
col mit dem Internetanbieter
synchronisieren wollen.
Status Dienst/Quelle/Ziel Aktion/Proto-
koll
Erläuterung
Beispiele für IP-Filterprofile
82 AVM Access Server – 5 Konzepte und Funktionsweisen des AVM Access Servers
Inaktiv UUCP
Verbindungsaufbau
Durchlassen Aktivieren Sie diese Regel,
wenn Ihnen Ihr Internetanbie-
ter Daten per UUCP zustellt
(z.B. News oder E-Mails).
Inaktiv Telnet
Verbindungsaufbau
Durchlassen Aktivieren Sie diese Regel,
wenn Sie den Zugriff über Tel-
net auf Ihre Computer erlau-
ben wollen (z.B. wenn UNIX-
Computer von entfernter Seite
aus administrierbar sein sol-
len).
Inaktiv SSH
Verbindungsaufbau
Durchlassen Aktivieren Sie diese Regel,
wenn Sie den Zugriff über SSH
(Secure SHell) auf Ihre Compu-
ter erlauben wollen (z.B. wenn
UNIX-Computer von entfern-
ten Seiten administrierbar
sein sollen).
Inaktiv NetBIOS Verwerfen Damit stellen Sie sicher, dass
von außen kein Zugriff auf Ihre
Windows-Ressourcen (Lauf-
werke, Drucker usw.) möglich
ist.
Aktiv Alle Pakete Verwerfen Alles, was bis hierher durch-
kommt, kann nur noch als Ein-
bruchsversuch interpretiert
werden – etwa Tunnel-Pakete,
d.h. in IP verpackte Pakete
oder Routing-Pakete wie OSPF
oder EGP-Pakete. Diese Pakete
werden sowieso durch die
Standard-Aktion verworfen.
Diese Regel wurde nur einge-
richtet, damit Sie, wenn Sie
wollen, Einbruchsversuche
nachvollziehen können. Akti-
vieren Sie in diesem Fall die
Protokollierung.
Status Dienst/Quelle/Ziel Aktion/Proto-
koll
Erläuterung
Beispiele für IP-Filterprofile
AVM Access Server – 5 Konzepte und Funktionsweisen des AVM Access Servers 83
Nur VPN-Pakete (Unten)
Diese Vorkonfiguration kann eingesetzt werden, wenn der Access Ser-
ver keine anderen Verbindungen außer VPN-Verbindungen mit dem In-
ternet aufbauen soll.
Profil aktiv Ja
Bezeichnung Nur VPN-Pakete (Unten)
Aktion, wenn keine
der Regeln zutrifft
Verwerfen
Regeln
Status Dienst/Quelle/Ziel Aktion/Proto-
koll
Erläuterung
Aktiv ISAKMP-Pakete
(Virtual Private Net-
work)
Durchlassen Wenn Sie VPN-Verbindungen
eingerichtet haben, dann akti-
vieren Sie diese Regel für das
Internetziel, über das der VPN-
Zugriff erfolgen soll.
Aktiv AH-Pakete
(Virtual Private Net-
work)
Durchlassen Wenn Sie VPN-Verbindungen
eingerichtet haben, dann akti-
vieren Sie diese Regel für das
Internetziel, über das der VPN-
Zugriff erfolgen soll.
Aktiv ESP-Pakete
(Virtual Private Net-
work)
Durchlassen Wenn Sie VPN-Verbindungen
eingerichtet haben, dann akti-
vieren Sie diese Regel für das
Internetziel, über das der VPN-
Zugriff erfolgen soll.
Aktiv ICMP-Pakete
(Internet Control
Message)
Durchlassen Damit stellen Sie sicher, dass
Fehlermeldungen aus dem In-
ternet an Ihre Computer zu-
rückgemeldet werden. Solche
Rückmeldungen mit dem
Dienst ICMP erfolgen z.B.
dann, wenn ein Computer im
Internet adressiert wird, der
nicht erreichbar ist.
IP-Masquerading und Weiterleitungsprofile
84 AVM Access Server – 5 Konzepte und Funktionsweisen des AVM Access Servers
5.2 IP-Masquerading und Weiterleitungsprofile
Im AVM Access Server wird bei Verbindungen ins Internet IP-Masquera-
ding verwendet. Mit IP-Masquerading kann ein privates LAN komplett
hinter einer IP-Adresse versteckt werden. Das LAN wird mit der
IP-Adresse „maskiert“. Der Zugriff von außen auf einzelne Computer im
LAN ist dadurch nicht möglich. Wenn der Zugriff aus dem Internet auf
bestimmte Server in Ihrem lokalen Netzwerk zugelassen werden soll,
dann können Weiterleitungsprofile eingesetzt werden.
IP-Masquerading
Bei Internetverbindungen wird dem AVM Access Server vom Internetan-
bieter eine öffentliche IP-Adresse zugewiesen. Mit IP-Masquerading
reicht diese eine öffentliche IP-Adresse für die Kommunikation zwi-
schen dem privaten LAN und dem öffentlichen Internet aus. Durch das
IP-Masquerading werden die Absender-IP-Adressen in den TCP-, UDP-
und ICMP-Paketen mit der öffentliche IP-Adresse überschrieben, so
dass zum Internet hin nur die öffentliche IP-Adresse sichtbar ist. Somit
können die Hosts eines privaten LANs interne („inoffizielle“) IP-Adres-
sen für die Kommunikation mit dem Internet nutzen. Das private LAN
ist dadurch vor unberechtigten Zugriffen aus dem Internet geschützt.
Der Einsatz von IP-Masquerading im AVM Access Server bietet folgende
Vorteile:
Aktiv Alle Pakete Verwerfen Alles, was bis hierher durch-
kommt, kann nur noch als Ein-
bruchsversuch interpretiert
werden – etwa Tunnel-Pakete,
d.h. in IP verpackte Pakete
oder Routing-Pakete wie OSPF
oder EGP-Pakete. Diese Pakete
werden sowieso durch die
Standard-Aktion verworfen.
Diese Regel wurde nur einge-
richtet, damit Sie, wenn Sie
wollen, Einbruchsversuche
nachvollziehen können. Akti-
vieren Sie in diesem Fall die
Protokollierung.
Status Dienst/Quelle/Ziel Aktion/Proto-
koll
Erläuterung
Weiterleitungsprofile
AVM Access Server – 5 Konzepte und Funktionsweisen des AVM Access Servers 85
! Bei Verbindungen zum Internetanbieter wird dem Computer bei
jedem automatischen Verbindungsaufbau nach physikalischem
Verbindungsabbau (Short-Hold-Modus) eine neue IP-Adresse zu-
gewiesen. Wegen des IP-Masqueradings ist es nicht erforderlich,
bei jedem Wechsel der offiziellen IP-Adresse die Routing-Tabelle
des Computers zu aktualisieren. Das IP-Masquerading versieht
die Datenpakete auf dem Weg ins Internet immer mit der gerade
aktuellen offiziellen IP-Adresse.
! IP-Masquerading akzeptiert standardmäßig keine einkommenden
IP-Verbindungen. Eingehende Pakete, die nicht von einer Anwen-
dung angefordert wurden, werden verworfen. Damit wird die Si-
cherheit bei eingehenden Verbindungen erhöht.
Weiterleitungsprofile
Durch die Verwendung von Weiterleitungsprofilen können trotz Mas-
querading Anfragen aus dem Internet an einzelne Server im lokalen
Netz weitergeleitet werden. Es kann sich dabei beispielsweise um
Web-, E-Mail- oder FTP-Server handeln. Ein Weiterleitungsprofil besteht
aus einer oder mehreren Regeln. Die Regeln legen fest, welche IP-Pake-
te zu welchen Servern im lokalen Netz weitergeleitet werden oder, an-
ders ausgedrückt, welche Dienste von außen erreichbar sein sollen.
Weiterleitungsprofile können Sie auf der Benutzeroberfläche des AVM
Access Servers im Ordner „Sicherheit / Weiterleitungsprofile“ erstel-
len. Um für Internetverbindungen die Weiterleitung zu aktivieren, wäh-
len Sie im Ordner „Internet“ die Registerkarte „Gateway-Dienste“ aus
und stellen dort ein Weiterleitungsprofil ein.
Im AVM Access Server gibt es für Internetverbindungen im oben ge-
nannten Ordner das vordefinierte Weiterleitungsprofil „Gateway-Diens-
te“, in dem alle Regeln deaktiviert sind. Wenn Sie Dienste für den Zu-
griff aus dem Internet zulassen wollen, dann müssen Sie die entspre-
chenden Regeln aktivieren. Die Weiterleitungs-IP-Adresse 0.0.0.0 steht
für den Computer, auf dem der AVM Access Server installiert ist. Wenn
sich der gewünschte Dienst auf einem anderen Computer im lokalen
Netz befindet, so tragen sie als Weiterleitungs-IP-Adresse bitte die IP-
Adresse dieses Computers ein.
Weiterleitungsprofile
86 AVM Access Server – 5 Konzepte und Funktionsweisen des AVM Access Servers
Die Regeln in den Profilen werden in der folgenden Tabelle dargestellt
und erläutert.
Weiterleitungsprofil „Gateway-Dienste“
Profil aktiv
Bezeichnung
Ja
Gateway-Dienste
Regeln
Status Dienst/Quelle/Ziel Protokoll Erläuterung
Inaktiv FTP/
0.0.0.0 / 21
0.0.0.0 / 21
TCP Aktivieren Sie diese Regel,
wenn Sie einen FTP-Server in
Ihrem lokalen Netzwerk ha-
ben, der aus dem Internet er-
reichbar sein soll.
Inaktiv SSH/
0.0.0.0 / 22
0.0.0.0 / 22
TCP Aktivieren Sie diese Regel,
wenn Sie einen SSH-Server
in Ihrem lokalen Netzwerk
haben, der aus dem Internet
erreichbar sein soll.
Inaktiv Telnet/
0.0.0.0 / 25
0.0.0.0 / 25
TCP Aktivieren Sie diese Regel,
wenn Sie einen Telnet-Server
in Ihrem lokalen Netzwerk
haben, der aus dem Internet
erreichbar sein soll.
Inaktiv Web/
0.0.0.0 / 80
0.0.0.0 / 80
TCP Aktivieren Sie diese Regel,
wenn Sie einen Web-Server
in Ihrem lokalen Netzwerk
haben, der aus dem Internet
erreichbar sein soll.
Inaktiv POP3/
0.0.0.0 / 110
0.0.0.0 / 110
TCP Aktivieren Sie diese Regel,
wenn Sie einen POP3-Server
(E-Mail-Server) in Ihrem loka-
len Netzwerk haben, der aus
dem Internet erreichbar sein
soll.
Statisches und dynamisches Routing
AVM Access Server – 5 Konzepte und Funktionsweisen des AVM Access Servers 87
5.3 Statisches und dynamisches Routing
Der AVM Access Server arbeitet wie jeder Router auf Netzwerkprotokol-
lebene (Schicht 3 des ISO/OSI-Referenzmodells) und leitet einkom-
mende Datenpakete in andere an den Router angeschlossene Netzwer-
ke weiter. Dazu werden die folgenden Informationen benötigt:
! die logische Adresse des Ziels
! der Weg zum Ziel
Eine ausführliche Erläuterung zu TCP/IP-Adressen finden Sie im Glos-
sar unter „IP-Adresse“ auf Seite 140.
Informationen über die möglichen Wege von Datenpaketen sind in ei-
ner sogenannten Routing-Tabelle zusammengefasst. Routing-Tabellen
können statisch oder dynamisch erzeugt werden:
Inaktiv HTTPS/
0.0.0.0 / 443
0.0.0.0 / 443
TCP Aktivieren Sie diese Regel,
wenn Sie einen HTTPS-Ser-
ver in Ihrem lokalen Netz-
werk haben, der aus dem In-
ternet erreichbar sein soll.
Inaktiv ISAKMP(VPN)/
0.0.0.0 / 500
0.0.0.0 / 500
UDP Wenn Sie VPN-Verbindungen
eingerichtet haben, dann ak-
tivieren Sie diese Regel für
das Internetziel, über das
der VPN-Zugriff erfolgen soll.
Inaktiv AVM Web-Server/
0.0.0.0 / 4000/
0.0.0.0 / 4000
TCP Aktivieren Sie diese Regel,
wenn Sie einen AVM-Web-
Server in Ihrem lokalen Netz-
werk haben, der aus dem In-
ternet erreichbar sein soll.
Die Fernkonfiguration aus
dem Internet über das Web-
Interface wird nicht empfoh-
len, da die Übertragung un-
verschlüsselt erfolgt. Greifen
Sei daher lieber über eine
gesicherte VPN-Verbindung
auf das Web-Interface zu.
Status Dienst/Quelle/Ziel Protokoll Erläuterung
Reservierung von B-Kanälen
88 AVM Access Server – 5 Konzepte und Funktionsweisen des AVM Access Servers
! Statisch: Beim statischen Routing werden alle Zielnetzwerke und
die zugehörigen Informationen manuell konfiguriert und werden
nicht automatisch geändert.
! Dynamisch: Beim dynamischen Routing wird ein Routing-Protokoll
verwendet, das die Router im gesamten Netzwerk benutzen, um
in regelmäßigen Abständen Veränderungen in ihren Routing-Ta-
bellen mitzuteilen.
Das Routing im AVM Access Server erfolgt über dynamisches Routing
mit RIP 2 auf der LAN-Seite und statischen Routen über ISDN. Durch die
Verwendung von statischen Routen über ISDN wird ein Verbindungs-
aufbau durch dynamisches Austauschen von RIP-Paketen ausgeschlos-
sen. Bei der Konfiguration kann ausgewählt werden, ob eine statische
Route immer im WAN bekannt sein soll oder ob sie erst mit dem Auf-
bau der logischen ISDN-Verbindung bekanntgemacht werden soll.
Im ersten Fall wird durch ein Paket, das für ein Ziel außerhalb des LANs
bestimmt ist, die logische ISDN-Verbindung automatisch aufgebaut.
Im zweiten Fall können Pakete nur dann an ein Ziel geschickt werden,
wenn zu diesem Ziel eine logische ISDN-Verbindung besteht und damit
die Route bekannt ist.
5.4 Reservierung von B-Kanälen
Die B-Kanäle der ISDN-Controller, die der AVM Access Server verwen-
det, werden zu einem Pool zusammengefasst und stehen allen Zielen
offen. Dies Prinzip ist sehr flexibel und ermöglicht eine optimale Nut-
zung der verfügbaren Kanäle. Das Einrichten der Verbindungen erfolgt
damit auch unabhängig von den ISDN-B-Kanälen. Eine Ausnahme bil-
den die DSL-Verbindungen, bei denen die Zielkonfiguration an den
DSL-Controller gekoppelt werden muss.
Zu einem Zeitpunkt können mehr logische ISDN-Verbindungen zu Zie-
len bestehen, als ISDN-B-Kanäle zur Verfügung stehen. Dies wird durch
den physikalischen Verbindungsabbau möglich, der dafür sorgt, dass
ungenutzte ISDN-Verbindungen automatisch abgebaut werden. Da-
durch stehen die B-Kanäle des AVM Access Servers anderen Zielen zur
Verfügung. Die physikalische Verbindung wird aufgebaut, sobald Pake-
te von der oder zur Gegenstelle zur Übertragung anstehen.
Der Systemverwalter muss sicherstellen, dass immer ausreichend
B-Kanäle zur Verfügung stehen, wenn für die Mehrzahl der Ziele die
Möglichkeit der logischen ISDN-Verbindung konfiguriert wurde (logi-
scher Verbindungsabbau später als physikalischer oder nie).
Zugriff zeitlich mit Zeitprofilen beschränken
AVM Access Server – 5 Konzepte und Funktionsweisen des AVM Access Servers 89
Der AVM Access Server bietet in diesem Zusammenhang mehrere Mög-
lichkeiten, um auch bei wenigen verfügbaren B-Kanälen Zugang für
„wichtige“ Gegenstellen zu gewährleisten:
! Reservierung von B-Kanälen für bestimmte Ziele (z.B. eine be-
stimmte Außenstelle des Unternehmens) in den Einstellungen der
ISDN-Controller („Verwaltung / Schnittstellen / ISDN #<Num-
mer>“). Diese B-Kanäle werden dann aus dem Pool von B-Kanälen
herausgenommen.
! Zuweisen einer Priorität in der Zielkonfiguration (Hoch, Mittel,
Niedrig). So wird sichergestellt, dass Gegenstellen mit hoher Prio-
rität immer einen B-Kanal erhalten. Sind zu dem Zeitpunkt der An-
wahl alle B-Kanäle belegt, wird die Verbindung zu einer Gegen-
stelle mit niedrigerer Priorität abgebaut. Für Ziele mit hoher Priori-
tät muss die Rufnummernüberprüfung eingeschaltet sein, damit
vor der Rufannahme die Gegenstelle identifiziert und anhand der
Zielkonfiguration die hohe Priorität festgestellt werden kann.
5.5 Zugriff zeitlich mit Zeitprofilen beschränken
Um den zeitlichen Zugriff auf das LAN zu regeln, können Sie im Ordner
„Verwaltung“ Zeitprofile definieren. Diese werden dann über die Ziel-
konfiguration den einzelnen Zielen zugeordnet. So können Sie ein Zeit-
profil einrichten, das den Zugriff von Montag bis Freitag und auf die Ge-
schäftszeiten beschränkt. Dieses Zeitprofil können Sie dann einem
entfernten Netzwerk oder einer Benutzergruppe zuweisen. Ein Zugriff
außerhalb der festgelegten Zeiten ist dann nicht möglich.
5.6 Kostenübernahme (COSO)
Die ISDN-Funktion „Signalisierung im D-Kanal” ist bei den meisten
ISDN-Anbietern kostenlos und wird im AVM Access Server zur Kostenü-
bernahme (COSO = Charge One Site Only) verwendet.
Mit Hilfe dieser Funktion können Sie für jedes Ziel festlegen, welche
Seite für die Verbindungskosten aufkommt. Dies kann die lokale Seite
sein, die Gegenseite oder immer die Seite, die die physikalische Ver-
bindung aufbaut.
Da COSO ein reines ISDN-Leistungsmerkmal und noch nicht Bestand-
teil eines PPP-Standards ist, muss auch die Gegenseite diese Funktion
unterstützen (zum Beispiel NetWAYS/ISDN).
Virtual Private Network (VPN)
90 AVM Access Server – 5 Konzepte und Funktionsweisen des AVM Access Servers
Die folgende Grafik veranschaulicht die Vorgänge für den Fall, dass die
Kostenübernahme auf „Lokale Seite“ eingestellt ist, das bedeutet, der
AVM Access Server übernimmt die Verbindungsgebühren:
Vorgänge bei Einstellung der Kostenübernahme auf Lokale Seite
5.7 Virtual Private Network (VPN)
Mit dem AVM Access Server können Sie Verbindungen über VPN (Virtu-
al Private Network) herstellen. Sowohl räumlich entfernte Netzwerke
als auch räumlich entfernte Einzelplatz-Computer können über eine
VPN-Verbindung kostengünstig ans Firmennetz gekoppelt werden. Bis-
her wurden meist direkte Wählverbindungen oder eine Festverbindung
über ein öffentliches Netz wie ISDN oder GSM benutzt, um räumlich
entfernte Systeme miteinander zu verbinden. Die bei der Direkteinwahl
entstehenden Kosten nehmen dabei mit der Entfernung zu. Über VPNs
lassen sich räumlich entfernte Systeme kostengünstig miteinander ver-
binden.
Annehmen des
einkommenden
Rufes nach evtl.
Echtheitsbestätigung
ISDN
D-Kanal
Signalisierung des
Verbindungswunsches
D- und B-Kanal
Übertragung von
Datenpaketen in
beide Richtungen
Abbau der ISDN-
Verbindung nach
Inaktivität
D- und B-Kanal
Übertragung von
Datenpaketen in
beide Richtungen
Lokale Seite
(AVM Access Server)
Ablehnen des
Verbindungswunsches.
Rückruf und dadurch
Kostenübernahme durch
lokale Seite
Datenpaket für
die entfernte
Seite, z.B. E-Mail
Identifizierung der
Gegenstelle anhand
D-Kanal-Rufnummer
D- und B-Kanal
Entfernte Seite
(AVM Access Server)
Datenpaket für
das entfernte
Netzwerk
Annehmen des
einkommenden
Rufes nach evtl.
Echtheitsbestätigung
D- und B-Kanal
VPN – Allgemein
AVM Access Server – 5 Konzepte und Funktionsweisen des AVM Access Servers 91
VPN – Allgemein
Ein räumlich entferntes Netzwerk wird über das Internet mit Hilfe eines
virtuellen privaten Netzes mit dem lokalen Netzwerk verbunden.
Anwendungsbeispiel einer VPN-Verbindung über das Internet
Die Verbindung, die zwischen den beiden Kommunikationspartnern
durch das Internet hergestellt wird, nennt man Tunnel. Über den Tunnel
findet der Datenaustausch statt. Eine Vernetzung im physikalischen
Sinn findet zwischen den beiden Netzwerken nicht statt, die Vernet-
zung ist virtuell. Es handelt sich bei dem virtuellen Netz um eine über-
geordnete Struktur, die die vorhandenen öffentlichen Strukturen des
Internets nutzt. Die beiden auf diese Weise verbundenen Systeme und
die darauf laufenden Anwendungen werden davon nicht beeinträch-
tigt. Die Verbindung ist kostengünstig, weil für beide Seiten lediglich
die Kosten für die Verbindung zum Internetanbieter entstehen.
VPN – Im AVM Access Server
Der Begriff VPN besagt lediglich, dass Systeme oder Netze über öffent-
liche Strukturen gekoppelt werden. Welche Mechanismen dazu be-
nutzt werden, spielt dabei keine Rolle.
VPN-Verbindungen, die mit dem AVM Access Server hergestellt werden,
setzen auf eine bestehende Internetverbindung auf, indem sie die In-
frastruktur des Internetanbieters nutzen. Für den Aufbau der VPN-Ver-
bindung und somit für die Kopplung der Systeme ist der Internetanbie-
ter jedoch nicht zuständig. Der AVM Access Server verfügt über die not-
wendige Software, um eine VPN-Verbindung aufzubauen. Da der Auf-
bau der VPN-Verbindung unabhängig vom Internetanbieter ist, kann
sie über nahezu jeden Internetanbieter hergestellt werden.
Lokales Netzwerk Entferntes Netzwerk
AVM Access Server AVM Access Server
VPN-Tunnel
VPN – Im AVM Access Server
92 AVM Access Server – 5 Konzepte und Funktionsweisen des AVM Access Servers
Es wird eine Art Tunnel durch das öffentliche Netz geschaffen, durch
den Daten, am besten verschlüsselt, übertragen werden. Die VPN-Soft-
ware im AVM Access Server sorgt für die transparente Anbindung der
Netzwerke, für die Authentisierung der Kommunikationspartner und
die Verschlüsselung der Daten. Nach dem erfolgreichen Aufbau des
Tunnels wird auf der Anwendungsebene nichts mehr von einem Tunnel
oder dem Internet als Medium bemerkt.
Im AVM Access Server können entfernte Netzwerke und entfernte Be-
nutzer über eine VPN-Verbindung an das lokale Netzwerk gekoppelt
werden.
! Entfernte Netzwerke
Die Konfigurationen für Verbindungen zu entfernten Netzwerken
werden im Ordner „Entfernte Netzwerke“ gespeichert. Wenn Sie
den Ordner über die rechte Maustaste anklicken und im Kontext-
menü „Netzwerk hinzufügen...“ auswählen, dann wird der Assis-
tent gestartet, der Sie bei der Konfiguration unterstützt. Im ersten
Dialog des Assistenten können Sie festlegen, ob die Verbindung
über VPN hergestellt werden soll.
Wenn Sie eine bereits eingerichtete VPN-Verbindung im Ordner
„Entfernte Netzwerke...“ markieren, dann werden auf unter-
schiedlichen Registerkarten die Einstellungen für die Verbindung
angezeigt. Auf den Registerkarten können die Einstellungen geän-
dert werden.
! Entfernte Benutzer
Die Benutzergruppen für entfernte Benutzer werden im Ordner
„Entfernte Benutzer“ gespeichert. Entfernte Benutzer werden im
Ordner der Benutzergruppe gespeichert, zu der sie gehören.
Durch die Eigenschaften der Benutzergruppe ist festgelegt, ob ih-
re Mitglieder die Berechtigung für den Zugang über VPN haben.
Wenn Sie den Ordner „Entfernte Benutzer“ über die rechte Maus-
taste anklicken und im Kontextmenü „Gruppe hinzufügen...“ aus-
wählen, dann wird der Assistent gestartet, der Sie bei der Konfigu-
ration unterstützt. Während der Konfiguration legen Sie fest, ob
die Gruppe die Berechtigung für den VPN-Zugang erhält.
Wenn Sie eine Benutzergruppe im Ordner „Entfernte Benutzer“
markieren, dann werden auf unterschiedlichen Registerkarten die
Einstellungen für die Gruppe angezeigt. Auf den einzelnen Regis-
terkarten können die Einstellungen geändert werden.
Sicherheit
AVM Access Server – 5 Konzepte und Funktionsweisen des AVM Access Servers 93
Sicherheit
Durch die Verbindung über das Internet besteht die Gefahr, dass unbe-
rechtigte Dritte auf die Verbindung zugreifen. Durch entsprechende Si-
cherheitsmechanismen müssen die folgenden drei Sicherheitskriterien
gewährleistet werden:
! Vertraulichkeit: Der Datenaustausch muss verschlüsselt stattfin-
den, so dass kein Dritter mithören kann.
! Authentizität: Vor dem Verbindungsaufbau muss eine Authenti-
sierung stattfinden, um sicherzustellen, dass die Daten nur von
berechtigten Personen kommen (Anti-Replay).
! Integrität: Es muss sichergestellt werden, dass die Daten auf ih-
rem Weg durch das Internet nicht von Dritten verändert werden
können (Man-in-the-Middle-Attacken).
IPSec als VPN-Protokoll
Für den Aufbau von VPN-Verbindungen ist ein Protokoll mit den folgen-
den Eigenschaften erforderlich:
! Die Unterstützung von Sicherheitsmechanismen, so dass die drei
oben genannten Sicherheitskriterien gewährleistet sind.
! Die Fähigkeit, eine Verbindung zu tunneln.
IPSec erfüllt diese beiden Forderungen und wird deshalb im AVM
Access Server als VPN-Protokoll eingesetzt.
IPSec arbeitet auf der Netzwerkebene (Layer 3) und ist somit unabhän-
gig von der benutzten Infrastruktur. Allerdings ist IPSec dadurch auf IP
beschränkt, das heißt, es können nur IP-Daten getunnelt werden.
IPSec kann in zwei unterschiedlichen Modi betrieben werden: dem
Tunnelmodus und dem Transportmodus. Im Transportmodus wird kein
Tunnel aufgebaut und somit kein virtuelles privates Netz hergestellt.
Für VPN-Verbindungen ist nur der Tunnelmodus interessant.
Im Tunnelmodus wird ein öffentliches Netz durchtunnelt, das heißt, die
IP-Datenpakete werden nochmals verpackt und erst dann übertragen.
Jedes IP-Paket einschließlich dem IP-Header wird in ein neues IPSec-
Paket verpackt. Das neue Paket erhält einen neuen IP-Header. Auf die-
se Weise lassen sich Einzelplatz-Computer und ganze Netze mit
IP-Adressen aus privaten Adressräumen koppeln.
Die folgende Abbildung zeigt das Originalpaket und das Tunnel-Paket
mit neuem IP-Header.
IPSec als VPN-Protokoll
94 AVM Access Server – 5 Konzepte und Funktionsweisen des AVM Access Servers
Originalpaket und Tunnel-Paket mit neuem IP-Header
In der folgenden Abbildung ist beispielhaft eine VPN-Verbindung im
Tunnelmodus dargestellt. Ein entferntes Netzwerk wird an das lokale
Firmennetz gekoppelt (siehe auch das Beispiel-Szenario auf der Klapp-
karte der vorderen Umschlagseite).
Beispiel: VPN-Verbindung im Tunnelmodus
Die IP-Adressen im obigen Beispiel haben unterschiedliche Bedeutun-
gen:
! Lokales Netzwerk
Das lokale Netzwerk hat die Netz-Adresse 192.168.10.0/24.
Die Client-Computer im lokalen Netzwerk haben alle eine
IP-Adresse aus dem Adressraum der Netz-Adresse.Es handelt
sich dabei um private IP-Adressen, die im Internet keine Gül-
tigkeit haben. Sie dienen der Kommunikation innerhalb des
lokalen Netzwerks.
! AVM Access Server (lokal)
Der AVM Access Server-Computer gehört ebenfalls zum loka-
len Netzwerk.
NutzdatenIP-Header
Originalpaket
Eventuell verschlüsselte Nutzdaten
IP-HeaderIPSec
Neuer IP-Header
Tunnelpaket
Öffentliche IP-Adresse: wird vom
Internet-Anbieter dynamisch
zugewiesen
Öffentliche IP-Adresse: wird vom
Internet-Anbieter dynamisch
zugewiesen
Interne IP-Adresse: 192.168.10.1 Interne IP-Adresse: 192.168.20.1
IP-Adresse:
192.168.10.10
Lokales Netzwerk
Netz-Adresse: 192.168.10.0 /24
Entferntes Netzwerk
Netz-Adresse: 192.168.20.0 /24
IP-Adresse:
192.168.10.20
IP-Adresse:
192.168.10.30
IP-Adresse:
192.168.20.10
IP-Adresse:
192.168.20.20
IP-Adresse:
192.168.20.30
AVM Access Server
(entfernt)
AVM Access Server
(lokal)
VPN-Tunnel
IPSec als VPN-Protokoll
AVM Access Server – 5 Konzepte und Funktionsweisen des AVM Access Servers 95
Mit der internen IP-Adresse kommuniziert der Computer inner-
halb des lokalen Netzwerks.
Die AVM Access Server-Anwendung ist das Gateway zum Inter-
net.
Die öffentliche IP-Adresse wird dynamisch vom Internetanbie-
ter zugewiesen.
! Entferntes Netzwerk
Das entfernte Netzwerk hat die Netz-Adresse 192.168.20.0/24.
Die Client-Computer im entfernten Netzwerk haben alle eine
IP-Adresse aus dem Adressraum der Netz-Adresse. Es handelt
sich dabei um private IP-Adressen, die im Internet keine Gül-
tigkeit haben. Sie dienen der Kommunikation innerhalb des
entfernten Netzwerks.
! AVM Access Server (entfernt)
Der AVM Access Server-Computer gehört ebenfalls zum ent-
fernten Netzwerk.
Mit der internen IP-Adresse kommuniziert der Computer inner-
halb des entfernten Netzwerks.
Die AVM Access Server-Anwendung ist das Gateway zum Inter-
net.
Die öffentliche IP-Adresse wird dynamisch vom Internetanbie-
ter zugewiesen.
Auf dem Weg zwischen den beiden AVM Access Servern werden die un-
terschiedlichen IP-Adressen in den IP-Headern der Originalpakete und
der Tunnel-Pakete folgendermaßen verwendet:
IP-Adressen im Originalpaket
Empfänger Die private IP-Adresse des Computers im lokalen Netzwerk, mit
dem kommuniziert werden soll.
Absender Die private IP-Adresse des Computers im entfernten Netzwerk,
der mit dem Computer im lokalen Netzwerk kommunizieren
möchte.
IP-Adressen im Tunnel-Paket
Empfänger Die offizielle IP-Adresse des AVM Access Servers im lokalen
Netzwerk.
Absender Die offizielle IP-Adresse des AVM Access Servers im entfernten
Netzwerk.
IPSec als VPN-Protokoll
96 AVM Access Server – 5 Konzepte und Funktionsweisen des AVM Access Servers
In der folgenden Abbildung werden beispielhaft IP-Adressen für Emp-
fänger und Absender eingesetzt:
IP-Adressen im Originalpaket und im Tunnel-Paket
Zugriffsregeln im AVM Access Server
Die internen IP-Adressen der Systeme, die über VPN gekoppelt werden
sollen, sind die Basis für die Zugriffsregeln. Zugriffsregeln werden, wie
Filterregeln, von oben nach unten durchlaufen. Auch hier gilt: Regeln
Sie Ausnahmen zuerst! Sobald eine Regel auf ein Paket zutrifft, wird
die für die Regel definierte Aktion ausgeführt. Es gibt die Aktionen
„verschlüsseln“ und „nicht verschlüsseln“. Danach ist der Durchlauf
der Regeln dür dieses Paket beendet.
Nutzdaten
IP-Header
Nutzdaten evtl. verschlüsselt
IP-HeaderIPSec
Neuer IP-Header
Absender IP-Adresse: 172.16.0.10
Empfänger IP-Adresse: 172.16.0.1
Das Originalpaket
Das Tunnel- Paket mit neuem IP-Header im Tunnelmodus
Absender IP-Adresse: vom Internet-Anbieter
Empfänger IP-Adresse: 193.96.242.157
zugewiesene IP-Adresse
Die Transportprotokolle von IPSec
AVM Access Server – 5 Konzepte und Funktionsweisen des AVM Access Servers 97
! Entfernte Netzwerke
Bei der Konfiguration einer VPN-Verbindung geben Sie die
IP-Netzadressen des lokalen Netzwerks und des entfernten Netz-
werks an. Im AVM Access Server wird automatisch eine Zugriffsre-
gel generiert, die festlegt, dass nur Pakete mit einer Quell-IP-
Adresse aus dem lokalen Netzwerk und einer Ziel-IP-Adresse aus
dem entfernten Netzwerk mit IPSec gesichert übertragen werden.
Wenn Sie im Ordner „Entfernte Netzwerke“ eine VPN-Verbindung
markieren, dann können Sie auf der Registerkarte „VPN“ die Zu-
griffsregeln editieren. Sie haben auch die Möglichkeit, weitere Zu-
griffsregeln zu definieren.
! Entfernte Benutzer
Die Berechtigung für den VPN-Zugriff wird für entfernte Benutzer
in der Benutzergruppe festgelegt. Bei der Konfiguration der Be-
nutzergruppe legen Sie den IP-Adressbereich fest, aus dem die
Mitglieder der Gruppe ihre IP-Adresse innerhalb des virtuellen pri-
vaten Netzes erhalten. Im AVM Access Server wird automatisch ei-
ne Zugriffsregel generiert, die festlegt, dass nur Pakete mit einer
Quell- und Ziel-IP-Adresse aus dem angegebenen IP-Adressbe-
reich mit IPSec gesichert übertragen werden.
Wenn Sie im Ordner „Entfernte Benutzer“ eine Benutzergruppe
mit VPN-Berechtigung markieren, dann können Sie auf der Regis-
terkarte „VPN“ die Zugriffsregeln editieren. Sie haben auch die
Möglichkeit, weitere Zugriffsregeln zu definieren.
Die Transportprotokolle von IPSec
IPSec arbeitet mit zwei verschiedenen Transportprotokollen: Authenti-
cation Header (AH) und Encapsulation Security Payload (ESP). Die bei-
den Protokolle können kombiniert werden und sind sowohl im Tunnel-
als auch im Transportmodus einsetzbar.
Eigenschaften des Authentication Header (AH)
! Überprüft die Authentizität der Nutzdaten: AH verfügt über einen
Mechanismus, mit dem überprüft werden kann, ob der Absender
der Nutzdaten auch tatsächlich der ist, der er zu sein vorgibt.
! Überprüft die Integrität der Nutzdaten: mit demselben Mechanis-
mus, mit dem die Authentizität überprüft wird, kann erkannt wer-
den, ob die Nutzdaten nachträglich verändert wurden.
Die Transportprotokolle von IPSec
98 AVM Access Server – 5 Konzepte und Funktionsweisen des AVM Access Servers
! Gewährleistet Anti-Replay und erkennt Man-in-the-middle-Atta-
cken: AH enthält eine fortlaufende einmalige Nummer zum Erken-
nen von eingespielten Wiederholungen eines Pakets durch Dritte.
! Verschlüsselt die Nutzdaten nicht!
Die folgende Abbildung zeigt das Paket im Originalzustand und das mit
AH versendete Tunnel-Paket.
Paket im Originalzustand und mit AH versendetes Tunnel-Paket
Eigenschaften von Encapsulating Security Payload (ESP)
! Verschlüsselt die Nutzdaten. Im Tunnelmodus wird zusätzlich der
IP-Header verschsselt. Als symmetrische Verschsselungsver-
fahren können unter anderem DES, 3DES und AES eingesetzt wer-
den.
! Überprüft die Authentizität der Nutzdaten: ESP verfügt über einen
Mechanismus, mit dem überprüft werden kann, ob der Absender
der Nutzdaten auch tatsächlich der ist, der er zu sein vorgibt.
! Gewährleistet Anti-Replay und erkennt Man-in-the-middle-Atta-
cken: ESP enthält eine fortlaufende, einmalige Nummer zum Er-
kennen von eingespielten Wiederholungen eines Pakets durch
Dritte.
Die folgende Abbildung zeigt das Paket im Originalzustand und das mit
ESP versendete Tunnel-Paket.
Paket im Originalzustand und mit ESP versendetes Tunnel-Paket
Nutzdaten
IP-Header
Originalpaket
Nutzdaten
IP-Header
Paket mit Authentication-Header im Tunnelmodus
Neuer IP-Header
Authentication
Header
NutzdatenIP-Header
Originalpaket
NutzdatenIP-HeaderESP-Header
Paket mit ESP im Tunnelmodus
Neuer
IP-Header
ESP-Trailer
ESP-
Authentication
verschlüsselt
authentisiert
Aushandlungen
AVM Access Server – 5 Konzepte und Funktionsweisen des AVM Access Servers 99
Aushandlungen
Für die Parameter, die für eine VPN-Verbindung ausgesucht werden,
gibt es viele Kombinationsmöglichkeiten. Zum Aufbau einer gesicher-
ten VPN-Verbindung müssen sich die VPN-Parteien über die zu verwen-
denden Parameter einigen.
Zur Aushandlung der Parameter ist ein weiteres Protokoll notwendig,
das Internet-Key-Exchange-Protokoll (IKE). Die während der Aushand-
lung getroffenen Vereinbarungen werden in der Security Association
(SA) festgehalten:
! die Art der Authentisierung (Zertifikate, pre-shared key oder ein
anderes Verfahren)
! den zu verwendenden Verschlüsselungs-Algorithmus
! den Hash-Algorithmus
! die Gültigkeitsdauer der gesamten SA
Die SAs sind Sicherheitsrichtlinien mit einer begrenzten Gültigkeits-
dauer. Ist diese abgelaufen, muss die SA neu ausgehandelt werden.
Für jede Richtung einer Verbindung wird eine separate SA ausgehan-
delt. Die IKE-Aushandlung erfolgt in zwei Phasen, für die jeweils eine
Sicherheitsrichtlinie festgelegt wird. Während der IKE-Phase 1 wird die
IKE-Sicherheitsrichtlinie ausgehandelt und während der IKE-Phase 2
die IPSec-Sicherheitsrichtlinie.
Sicherheitsrichtlinien sind Vorschläge für SAs, die der Access Server
der Gegenstelle macht. Wenn die Gegenstelle den Vorschlag annimmt,
so besteht eine SA zwischen den beiden verhandelnden Stellen. Ein
Vorschlag kann immer nur für alle Einstellungen einer IKE-Phase ge-
macht werden. Daher müssen auf beiden Seiten die selben Sicher-
heitsrichtlinien eingestellt sein. Die Vorschläge sind nach einem be-
stimmten Schema benannt, das im Expertenkapitel näher beschrieben
wird.
Während einer aktiven VPN-Verbindung werden die verwendeten Si-
cherheitsrichtlinien in der Monitoring-Ansicht angezeigt. Aktivieren Sie
den Ordner „Verbindungssteuerung“ und wählen Sie im Kontextmenü
der rechten Maustaste „Eigenschaften“. Auf der Registerkarte „SAs“
können Sie die Sicherheitsrichtlinien sehen.
Aushandlungen
100 AVM Access Server – 5 Konzepte und Funktionsweisen des AVM Access Servers
IKE-Phase 1
Ziel der IKE-Phase 1 ist es, eine SA für die IKE-Phase 2 auszuhandeln.
Dazu nehmen die Gegenstellen die folgenden Aktionen vor:
! Sie teilen sich gegenseitig ihre Identität mit.
! Sie authentisieren sich.
! Sie vereinbaren einen Verschlüsselungs-Algorithmus für die Ver-
schlüsselung der anschließenden IKE-Phase 2.
! Sie vereinbaren eine Diffie-Hellman-Gruppe für die Berechnung
der Schlüssel.
! Jede Seite generiert einen privaten Schlüssel. Mit Hilfe der Diffi-
Hellman-Gruppe wird ein öffentlicher Schlüssel berechnet, der
zum privaten Schlüssel passt. Beide Seiten tauschen die öffentli-
chen Schlüssel aus. Mit dem eigenen privaten Schlüssel, dem öf-
fentlichen Schlüssel der Gegenseite und der Diffie-Hellman-Grup-
pe wird der geheime Schlüssel für die Verschlüsselung der IKE-
Phase 2 berechnet. Das Ergebnis ist auf beiden Seiten identisch.
! Sie legen die Gültigkeitsdauer der SA fest.
Für die IKE-Phase 1 sind zwei Modi vorgesehen, der main mode und der
aggressive mode. Im main mode werden mehr Nachrichten ausge-
tauscht als im aggressive mode. Im aggressive mode werden die Iden-
titäten in den Nachrichten 1 und 2 ausgetauscht, im main mode erst
später. Wenn die Authentisierung mit pre-shared keys stattfindet und
auf der Gegenseite die öffentliche IP-Adresse dynamisch vom Interne-
tanbieter zugewiesen wird und somit nicht bekannt ist, dann muss die
IKE-Phase 1 im aggressive mode stattfinden. Anhand der dynamisch
zugewiesenen IP-Adresse kann nicht festgestellt werden, um welche
Gegenseite es sich handelt, deshalb ist ein früher Austausch der Iden-
titäten erforderlich, was nur im aggressive mode gegeben ist.
Bei der Verwendung von Zertifikaten sollte nach Möglichkeit der main
mode verwendet werden.
IKE-Phase 2
In der IKE-Phase 2 werden die SAs für die Verschlüsselung der Nutzda-
ten ausgehandelt. Diese Aushandlung erfolgt verschlüsselt und basiert
auf den Parametern der SA, die in Phase 1 vereinbart wurde. Folgendes
wird ausgehandelt:
! das IPSec-Transportprotokoll (AH und/oder ESP)
Authentisierung mittels Zertifikaten
AVM Access Server – 5 Konzepte und Funktionsweisen des AVM Access Servers 101
! der Verschlüsselungs-Algorithmus für die Nutzdaten, die über die
VPN-Verbindung ausgetauscht werden
Im AVM Access Server stehen für die Verschlüsselung der Nutzda-
ten die Algorithmen DES, 3DES und AES zur Verfügung. AES ist da-
von der modernste und sicherste und unterstützt Schlüssellängen
bis zu 256 Bit.
! der Hash-Algorithmus für die Gewährleistung der Integrität der
Nutzdaten
! der IPSec-Betriebsmodus (Tunnel- oder Transportmodus)
! die Gültigkeitsdauer der SA
! das zufällig generierte Schlüsselmaterial für den Verschlüsse-
lungs- und Authentisierungs-Algorithmus
Nach Abschluss der IKE-Aushandlung kann die IPSec-Kommunikation
beginnen.
Authentisierung mittels Zertifikaten
Die Authentisierung während der IKE-Phase 1 kann mittels Zertifikaten
stattfinden. Der AVM Access Server stellt dazu eigene Zertifizierungs-
stellen zur Verfügung, die vom Administrator angelegt werden.
Zertifikate
Ein Zertifikat im klassischen Sinne ist ein Dokument, das einer Person
bestimmte Eigenschaften bestätigt. Zertifikate werden von Instanzen,
denen allgemeines Vertrauen entgegengebracht wird, ausgestellt und
unterschrieben. Eine solche Instanz kann eine Behörde, eine Firma
oder eine andere Institution sein.
Digitale Zertifikate
Ein digitales Zertifikat ist ein digitales Dokument, das zur Überprüfung
von digitalen Unterschriften (Signaturen) verwendet wird. Die Überprü-
fung wird mit einem asymmetrischen Verschlüsselungsverfahren
durchgeführt. Ein digitales Zertifikat wird von einer vertrauenswürdi-
gen Instanz, einer Zertifizierungsstelle, ausgestellt und digital unter-
schrieben.
Authentisierung mittels Zertifikaten
102 AVM Access Server – 5 Konzepte und Funktionsweisen des AVM Access Servers
Asymmetrische Verschlüsselungsverfahren
Asymmetrische Verschlüsselungsverfahren verwenden immer ein
Schlüsselpaar, das folgende Eigenschaften hat:
! Aus dem einen Schlüssel kann der andere nicht rekonstruiert wer-
den.
! Eine Zeichenfolge, die mit dem einen Schlüssel verschlüsselt wur-
de, kann nur mit dem anderen entschlüsselt werden. Es spielt da-
bei keine Rolle, mit welchem der beiden Schlüssel verschlüsselt
wurde.
Einer der beiden Schlüssel wird öffentlich gemacht, der andere bleibt
immer geheim.
Zertifizierungsstellen im AVM Access Server
Im AVM Access Server können im OrdnerSicherheit Zertifizierungs-
stellen angelegt werden. Diese Zertifizierungsstellen können digitale
Zertifikate für entfernte Benutzer und entfernte Netzwerke ausstellen.
! Beim Anlegen einer Zertifizierungsstelle wird ein so genanntes
Stammzertifikat erstellt und im Ordner „Sicherheit / Zertifikats-
verwaltung“ auf der Registerkarte „Vertrauenswürdige Zertifizie-
rungsstellen“ eingetragen.
! Im AVM Access Server wird nur den Zertifizierungsstellen vertraut,
von denen ein Stammzertifikat vorliegt.
! Bei der Authentisierung mittels Zertifikaten werden nur Zertifikate
akzeptiert, die von einer vertrauenswürdigen Zertifizierungsstelle
ausgestellt wurden.
Wenn eine externe Zertifizierungsstelle akzeptiert werden soll, dann
muss der öffentliche Teil ihres Stammzertifikats importiert werden.
Zertifikate im AVM Access Server
Bei den im AVM Access Server verwendeten Zertifikaten handelt es
sich um digitale Schlüsselzertifikate, die dem Standard X.509 der Inter-
national Telecommunication Union (ITU) entsprechen. Die Zertifikate
werden im PKCS#12-Format für den Export bereitgestellt.
Ein Zertifikat besteht aus
! der Beschreibung der Eigenschaften des Antragstellers (entfernter
Benutzer, entferntes Netzwerk)
! einem öffentlichen Schlüssel
Authentisierung mittels Zertifikaten
AVM Access Server – 5 Konzepte und Funktionsweisen des AVM Access Servers 103
! der digitalen Unterschrift der Zertifizierungsstelle
Beim Erstellen eines Zertifikats wird ein Schlüsselpaar generiert, das
aus dem öffentlichen und dem geheimen Schlüssel besteht. Der öf-
fentliche Schlüssel ist Bestandteil des Zertifikats, der geheime Schlüs-
sel wird dem Antragsteller zusammen mit dem Zertifikat im PKCS#12-
Format übermittelt.
Im AVM Access Server werden alle Zertifikate mit den dazugehörigen
Schlüsselpaaren in einer internen Liste verwaltet. Jedes Zertifikat er-
hält einen Eintrag auf der Registerkarte „Ausgestellte Zertifikate“ der
ausstellenden Zertifizierungsstelle.
Ein Zertifikat kann widerrufen werden und wird dann in die Sperrliste
der ausstellenden Zertifizierungsstelle eingetragen. Es ist damit nicht
mehr gültig. Ein Widerruf kann nicht rückgängig gemacht werden.
Anmeldung beim AVM Access Server mittels Zertifikaten
Wenn ein entfernter Benutzer oder ein entferntes Netzwerk sich für ei-
ne VPN-Verbindung beim AVM Access Server anmeldet und ein Zertifi-
kat schickt, dann überprüft der AVM Access Server Folgendes:
! Ist die Gegenstelle im Besitz des privaten Schlüssels, der zum Zer-
tifikat gehört?
! Ist das Zertifikat gültig?
Zur Beantwortung der ersten Frage, wird folgendes Verfahren durchge-
führt:
1. Der AVM Access Server schickt der Gegenstelle eine zufällig gene-
rierte Zeichenfolge.
2. Die Gegenstelle erstellt einen Hash-Code (Fingerabdruck) der Zei-
chenfolge. Das zu verwendende Hash-Verfahren ist im Zertifikat
festgelegt.
3. Der AVM Access Server erstellt auch einen Fingerabdruck der Zei-
chenkette mit demselben Hash-Verfahren.
4. Die Gegenstelle verschlüsselt den Fingerabdruck mit dem gehei-
men Schlüssel. Ein verschlüsselter Fingerabdruck ist eine digitale
Unterschrift (Signatur).
5. Die Gegenstelle schickt den verschlüsselten Fingerabdruck zum
AVM Access Server.
Kompressionsverfahren (IPComp)
104 AVM Access Server – 5 Konzepte und Funktionsweisen des AVM Access Servers
6. Der AVM Access Server entschlüsselt mit dem öffentlichen Schlüs-
sel den von der Gegenstelle verschlüsselten Fingerabdruck. Das
Ergebnis der Entschlüsselung ist der von der Gegenstelle erstellte
Fingerabdruck.
7. Nun vergleicht der AVM Access Server den von der Gegenstelle er-
stellten Fingerabdruck mit dem selbst erstellten. Wenn es keine
Unterschiede gibt, dann ist sichergestellt, dass die Gegenstelle im
Besitz des geheimen Schlüssels ist.
Wenn auf diese Weise sichergestellt wurde, dass die Gegenstelle im
Besitz des geheimen Schlüssels ist, dann wird die digitale Unterschrift
als gültig angesehen.
Ein Zertifikat ist gültig, wenn die folgenden Bedingungen erfüllt sind:
! Das Zertifikat wurde von einer Zertifizierungsstelle ausgestellt, die
vom AVM Access Server als vertrauenswürdig angesehen wird.
Das heißt, ein Stammzertifikat der Zertifizierungsstelle muss im
AVM Access Server eingetragen sein.
! Die digitale Unterschrift der Zertifizierungsstelle ist gültig. Der
AVM Access Server kann das überprüfen, da er über das Stamm-
zertifikat der Zertifizierungsstelle verfügt. Die digitale Unterschrift
ist ein mit dem geheimen Schlüssel des Stammzertifikates ver-
schlüsselter Fingerabdruck des Zertifikats.
! Das Zertifikat ist nicht abgelaufen.
! Das Zertifikat wurde nicht widerrufen, das heißt es steht nicht in
der Sperrliste der ausstellenden Zertifizierungsstelle.
Kompressionsverfahren (IPComp)
Verschlüsselte Daten können nicht mehr komprimiert werden. Kom-
pressionsverfahren nutzen in der Regel die Tatsache, dass sich be-
stimmte Teile einer Nachricht wiederholen. Bei Auftreten der Wiederho-
lung wird ein kürzeres Symbol anstatt des sich wiederholenden Teils
verwendet. Ein guter Verschlüsselungs-Algorithmus vermeidet jedoch
weitgehend Wiederholungen. Es wäre sonst sehr einfach, mittels sta-
tistischem Wissen über die verschlüsselte Nachricht – wie etwa die
Sprache eines Textes und damit die häufigsten Buchstaben – die
Nachricht zu entschlüsseln. Falls dennoch komprimiert werden soll, so
muss die Kompression vor der Verschlüsselung stattfinden. Hier bietet
sich IPComp an. Innerhalb von IPComp sind drei Kompressionsverfah-
ren möglich:
Namensauflösung und Windows Datei- und Druckerfreigabe
106 AVM Access Server – 5 Konzepte und Funktionsweisen des AVM Access Servers
5.9 Namensauflösung und Windows Datei- und
Druckerfreigabe
Das NetBIOS-Namenssystem
Windows-Netzwerke basieren in der Regel auf dem Internetprotokoll IP.
Das Internetprotokoll arbeitet ausschließlich mit IP-Adressen wie zum
Beispiel 192.168.10.1. Die Kommunikation über IP-Adressen ist für den
Benutzer jedoch unvorteilhaft. Daher wurde in Windows das NetBIOS-
Namenssystem eingeführt.
Mit Hilfe von NetBIOS kann die in Windows mitgelieferte Datei- und
Druckerfreigabe auf Netzwerkressourcen wie Computer, Laufwerke
oder Drucker über Namen zugreifen. Auch der Browser-Dienst, der alle
Computer eines LANs im Windows Explorer auflistet, basiert auf Net-
BIOS.
NetBIOS stellt eine Vereinfachung für den Benutzer dar, indem es den
IP-Adressen leicht zu merkende Namen zuordnet. Für die Netzwerk-
kommunikation müssen die NetBIOS-Namen jedoch wieder in IP-
Adressen aufgelöst werden. Dafür gibt es verschiedenen Mechanis-
men.
In einem lokalen Netzwerk werden NetBIOS-Namen automatisch aufge-
löst. Dies geschieht über so genannte Broadcast-Sendungen, die alle
Computer im Netzwerk erhalten. Der Computer, der den angefragten
Namen hat, antwortet auf den Broadcast mit seiner IP-Adresse, worauf-
hin eine IP-Verbindung aufgebaut wird.
In größeren Netzwerken können die durch Namensauflösung verur-
sachten Broadcasts eine erhebliche Belastung der Bandbreite bedeu-
ten. Wählleitungen, die in der Regel über wenig Bandbreite verfügen,
würden durch die Broadcasts besonders belastet und zudem perma-
nent aufgebaut werden. Daher werden Broadcasts in IP-Netzwerken ge-
nerell nicht geroutet.
Aufgrund dieser Einschränkung ist die automatische Namensauflösung
nur im eigenen Netzwerk möglich. Soll die Namensauflösung netzwerk-
übergreifend funktionieren, beispielsweise über eine Remote-Access-
oder LAN-LAN-Verbindung, sind entsprechende Verfahren zur Namen-
sauflösung einzurichten.
Namensauflösung mit dem AVM Access Server
AVM Access Server – 5 Konzepte und Funktionsweisen des AVM Access Servers 107
Namensauflösung mit dem AVM Access Server
Vorbereitung
NetBIOS wurde ursprüngliche für lokale Netzwerke entwickelt und hat
beim Einsatz mit On-Demand-Verbindungen Nachteile. Die häufigen
Keep-Alive-Pakete können eine Wählleitung permanent aufgebaut hal-
ten. Zudem kann die Möglichkeit der Namensauflösung über NetBIOS
ein Sicherheitsrisiko darstellen.
Der AVM Access Server verfügt daher über einen NetBIOS-Filter, der al-
le NetBIOS-Pakete verwirft. Voraussetzung für die Verwendung von Net-
BIOS-Namen über Remote-Access- oder LAN-LAN-Verbindungen ist die
Deaktivierung des NetBIOS-Filters. Dies geschieht bei den Einstellun-
gen der Benutzergruppe beziehungsweise der LAN-LAN-Verbindung.
Da dies zum unerwünschten Aufbau von Verbindungen führen kann,
sollte der Filter nur dann deaktiviert werden, wenn NetBIOS unbedingt
erforderlich ist. Gleichzeitig sollte das NetBIOS-Spoofing aktiviert wer-
den, das NetBIOS-Keep-Alive-Pakete lokal beantwortet und den unnö-
tigen Aufbau von Verbindungen verhindert.
NetBIOS wird nicht für die Namensauflösung im Internet benötigt. Der
NetBIOS-Filter sollte daher für Internetverbindungen immer aktiviert
bleiben.
Verfahren zur Namensauflösung
Neben der Deaktivierung des NetBIOS-Filters sollte in Windows ein ge-
eignetes Verfahren zur NetBIOS-Namensauflösung eingerichtet wer-
den. Die hier aufgeführten Möglichkeiten sollen nur als Orientierung
dienen. Detaillierte Anleitungen zur Namensauflösung finden Sie in der
On-line-Hilfe der Microsoft Betriebssysteme und unter www.micro-
soft.de.
Die Namensauflösung kann prinzipiell statisch oder dynamisch erfol-
gen.
! Statische Namensauflösung über LMHOSTS
Die statische Namensauflösung erfolgt über eine Textdatei, die so
genannte LMHOSTS-Datei. Im Windows-Systemverzeichnis befin-
det sich standardmäßig eine Beispieldatei LMHOSTS.SAM. Diese
Datei kann mit dem Programm Notepad editiert und wieder ge-
speichert werden.
Namensauflösung mit dem AVM Access Server
108 AVM Access Server – 5 Konzepte und Funktionsweisen des AVM Access Servers
Die LMHOSTS-Datei darf keine Endung haben. Die Endung .SAM
der Beispieldatei oder .TXT bei einer neu erstellten Datei muss ge-
löscht werden.
Der Aufbau der LMHOSTS-Datei ist unkompliziert. Es wird zu-
nächst die IP-Adresse (z.B. 192.168.10.1) des Computers eingetra-
gen und nachfolgend, durch mindestens ein Leerzeichen ge-
trennt, der gewünschte NetBIOS-Name (z.B. Server-Berlin). Jede
Zuordnung wird in eine neue Zeile geschrieben.
Die LMHOSTS würde dann beispielsweise so aussehen:
192.168.10.1 Server-Berlin
192.168.20.1 Server-Stuttgart
Die LMHOSTS-Datei kann innerhalb von einfachen Netzwerken, in
denen nur unregelmäßig Änderungen vorgenommen werden, pro-
blemlos eingesetzt werden. Sollten jedoch häufiger Computer-Na-
men geändert oder hinzugefügt werden, empfiehlt sich eine dyna-
mische Namensauflösung.
Sind alle Computer eingetragen, kann die Datei im Netzwerk ver-
teilt werden. Unter Windows 9x wird sie im Windows-Installations-
verzeichnis abgelegt (C:\Windows), unter Windows NT/2000/XP
unter %SystemRoot%\System32\Drivers\Etc.
! Dynamische Namensauflösung mit WINS
In Netzwerken, in denen sich die IP-Adressen oder Namen der
Computer häufig ändern (bedingt z.B. durch dynamische IP-
Adressvergabe über DHCP), ist die statische LMHOSTS-Datei un-
geeignet. Für solche Netze hat Microsoft den Windows Internet
Naming Service (WINS) entwickelt. Der WINS-Dienst ist integraler
Bestandteil von Windows NT/2000 Server und kann als zusätzli-
che Netzwerk-Komponente installiert werden.
WINS legt automatisch eine Datenbank an, bei der sich alle Com-
puter im Netzwerk anmelden und ihren Namen sowie ihre aktuelle
IP-Adresse hinterlegen. Die Namensauflösung erfolgt ebenfalls
über die WINS-Datenbank. Damit Computer den WINS-Dienst nut-
zen, ist lediglich die IP-Adresse des WINS-Servers in den IP-Ein-
stellungen der Netzwerkkarte einzutragen.
Namensauflösung mit dem AVM Access Server
AVM Access Server – 5 Konzepte und Funktionsweisen des AVM Access Servers 109
Da Anfragen zur Namensauflösung nun nicht mehr über Broad-
casts, sondern gezielt an die IP-Adresse des WINS-Servers gestellt
werden, ist Namensauflösung über WINS in gerouteten Netzwer-
ken und somit auch über Wähl-/VPN-Verbindungen möglich.
! Remote Access mit WINS und NetWAYS/ISDN
NetWAYS Clients, die sich über eine Direkteinwahl mit dem Fir-
mennetzwerk verbinden, lernen automatisch die IP-Adresse des
WINS-Server, der in der IP-Konfiguration des Computers eingetra-
gen ist, auf dem der AVM Access Server installiert ist. Somit mel-
den sich die Remote Access Clients automatisch am WINS-Server
an und können die Namensauflösung nutzen.
Die Übergabe eines WINS-Servers bei einer VPN-Verbindung ist,
bedingt durch die Spezifikationen von IPSec, nicht möglich. Hier
kann der WINS-Server fest in der IP-Konfiguration des NetWAYS-
Adapters eingetragen werden. Dabei ist zu beachten, dass die IP-
Adresse des WINS-Servers in demselben Netzwerk liegen muss,
für das der VPN-Tunnel konfiguriert wurde, da die Anfragen sonst
nicht getunnelt werden.
Alternativ ist eine Namensauflösung über DNS möglich. DNS-Ser-
ver können auch bei einer VPN-Verbindung übergeben werden. Da
die Namensauflösung über DNS eine reine Windows 2000/XP-
Umgebung und einen konfigurierten DNS-Server voraussetzt, wird
hier nicht näher darauf eingegangen.
! LAN-LAN-Kopplung mit WINS
Für die Namensauflösung bei LAN-LAN-Kopplung ist in beiden
Netzwerken ein WINS-Server aufzusetzen. Über die Replikations-
möglichkeiten von WINS können die WINS-Datenbanken der bei-
den Netze regelmäßig abgeglichen werden, so dass auch netz-
werkübergreifende Namensauflösung möglich ist.
Hinweis zum Microsoft Browser-Dienst
110 AVM Access Server – 5 Konzepte und Funktionsweisen des AVM Access Servers
Hinweis zum Microsoft Browser-Dienst
Der Browser-Dienst erstellt eine Liste aller aufgelösten Computer-Na-
men, um sie im Windows Explorer anzuzeigen. Mit Hilfe des Browser-
Dienstes kann das Netz also durchsucht werden.
LMHOSTS und WINS ermöglichen zwar eine netzwerkübergreifende Na-
mensauflösung, der Browser-Dienst arbeitet aber nur lokal. Daher ist
es in der Regel nicht möglich, nach dem Aufbau einer Remote-Access-
oder LAN-LAN-Verbindung das entfernte Netz über den Windows Explo-
rer zu durchsuchen.
AVM Access Server für Experten
AVM Access Server – 6 AVM Access Server für Experten 111
6 AVM Access Server für Experten
Diese kompakte technische Darstellung der Architektur und der Funkti-
onen des AVM Access Servers richtet sich ausschließlich an Netzwerk-
experten und zielt auf einen raschen Produktüberblick.
6.1 Architektur des AVM Access Servers
Der AVM Access Server besteht aus folgenden Komponenten:
Dienste (Usermode)
! AVM Access Server (ntmpri, Startart automatisch)
! AVM User Manager for Access Server (ntreud, Startart automa-
tisch)
! AVM Webserver for Access Server (webserver, Startart manuell)
! AVM IKE Service for Access Server (avmike, Startart manuell)
! AVM Cert Server for Access Server (certsrv, Startart manuell)
! AVM Crypt Service for Access Server (ntrcrypt, Startart manuell)
Durch die Betriebssystemintegration als Dienst ist der AVM Access
Server sofort nach dem Neustart voll funktionsfähig, ohne dass ein Be-
nutzer angemeldet sein muss.
Die Dienste lassen sich über „Verwaltung / Dienste“ oder über die
Kommandozeile mit net start <Kurzname> starten und mit net
stop <Kurzname> anhalten.
Treiber (Kernelmode)
AVM Access Server Driver (avmasim.sys)
Der „AVM Access Server Driver“ ist ein Intermediate-Treiber, der sich
zwischen dem Netzwerkkartentreiber (NDIS) und dem Windows-
TCP/IP-Stack befindet.
Oberfläche
AVM Access Server – 6 AVM Access Server für Experten 113
Oberfläche
! Windows-Oberfläche (gui.exe)
Dies ist die Hauptoberfläche des AVM Access Servers. Über diese
Oberfläche können sämtliche Einstellungen des AVM Access
Servers komfortabel assistentengestützt konfiguriert werden.
! Web-Interface (webserver)
Diese Oberfläche ist über einen beliebigen Javascript 1.2 -fähigen
Browser (z.B. MS Internet Explorer ab Version 4.0) auch über das
Netzwerk zu erreichen, bietet jedoch nicht den Komfort der Win-
dows-Oberfläche. Zuständig für die Web-Oberfläche ist der HTTP-
ServerAVM Webserver, der auf TCP-Port 4000 läuft. Der Zugriff
auf das Web-Interface erfordert eine Anmeldung. Jeder Windows-
Benutzer, der Mitglied in der lokalen Gruppe „Administratoren“
ist, hat mit seinem Windows-Kennwort Zugriff auf das Web-Inter-
face.
Das Web-Interface nimmt Änderungen direkt in der aktiven Daten-
bank (ntr.mdb) vor. Die Windows-Oberfläche hingegen legt eine
Kopie der Datenbank an. Alle Einstellungen, die in der Windows-
Oberfläche vorgenommen wurden, werden daher erst beim Über-
nehmen aktiv. Sie sollten nicht mit beiden Oberflächen gleichzei-
tig arbeiten, da es sonst zu Inkonsistenzen kommen kann.
6.2 Internetzugang mit dem AVM Access Server
Der AVM Access Server kann über ISDN und DSL eine Internetverbin-
dung für das lokale Netzwerk herstellen sowie eine bereits vorhandene
Internetverbindung über Geräte (Router) von Drittherstellern benutzen.
Für die ISDN- und DSL-Verbindung zum Internet bietet der AVM Access
Server folgende Leistungsmerkmale:
! Dial on Demand: Verbindungsauf- und abbau nach Bedarf
! IP-Masquerading/NAT ausgehend (für TCP, UDP, GRE, ICMP)
! Destination NAT (Portforwarding) für einkommende Verbindungen
(TCP, UDP, GRE)
! DNS-Masquerading, DNS-Anfragen an einstellbare IP-Adresse
(Vorbelegung: 192.168.116.252 und .253) werden an die aktuellen
DNS-Server des gerade aktiven ISPs weitergeleitet
! IP-Firewall: incoming und outgoing IP-Paketfilter, Stateful Inspec-
tion
Parallele Installation von AVM KEN! oder AVM KEN!
114 AVM Access Server – 6 AVM Access Server für Experten
! Dynamic DNS, um aus dem Internet auch mit wechselnder (dyna-
mischer) IP-Adresse erreichbar zu sein. Direkte Unterstützung für
Dynamic DNS-Anbieter (derzeit implementiert für die Anbieter
http://www.dyndns.org und http://www.dns4biz.com)
! Flatrate-Support: Die Verbindung wird nicht nach Bedarf aufge-
baut, sondern sofort beim Start des Dienstes. Eine durch den An-
bieter unterbrochene Verbindung wird sofort wieder aufgebaut
! Internetverbindnung bei Anruf aufbauen: Die Internetverbindung
kann über einen Sprachanruf ausgelöst werden
ISDN
! Über jeden PPP over ISDN (RFC 1618)-fähigen Internetanbieter und
einen oder mehrere aktive ISDN-Controller.
! Kanalbündelung mit bis zu 30 ISDN-B-Kanälen möglich.
! Datenkompression auf PPP-Ebene mit STAC- oder MPPC-Nutzda-
tenkompression (Fast Internet over ISDN)
DSL
! PPP over Ethernet (RFC 2516) über AVM Fritz!Card DSL
! PPP over Ethernet mit externem ADSL-Modem (Anschluss über
Ethernet)
! PPP over ATM (RFC 2386) mit AVM Fritz!Card DSL
Parallele Installation von AVM KEN! oder AVM KEN!
Der AVM Access Server kann parallel zu KEN! installiert werden.r den
Internetzugang, den beide Produkte anbieten, gibt es die Möglichkeit
der Internetverbindung über AVM KEN! und der Internetverbindung
über den AVM Access Server.
Internetverbindung über AVM KEN!
Der AVM Access Server benutzt die in KEN! konfigurierte Internetverbin-
dung. Aus Sicht des Access Servers stellt sich KEN! als Netzwerkkarte
(KEN!-PPP-Adapter) dar. Eine statische Defaultroute auf die IP-Adresse
des KEN!-PPP-Adapters muss im Access Server eingetragen werden.
Der Einrichtungsassistent erledigt dies automatisch, wenn Sie „Verbin-
dung über KEN! “ auswählen. Das Masquerading/NAT erfolgt durch
KEN! Wenn der Access Server als VPN-Gateway arbeitet, müssen in
Parallele Installation von AVM KEN! oder AVM KEN!
AVM Access Server – 6 AVM Access Server für Experten 115
KEN! zwei Gateway-Dienste aktiviert werden: ESP und ISAKMP (KEN!-
Expertenmodus: „Internet / Erweiterte Einstellungen / Firewall erlaubt
eingehende Verbindungen ..., dann Internet / Gateway-Dienste / IPSec
VPN-Gateway“). Als VPN-Gateway muss klientenseitig die öffentliche
IP-Adresse oder der Dynamic DNS-Name des KEN! Service PCs eingetra-
gen sein.
Da das Masquerading in KEN! vom Access Server in diesem Szenario
nicht umgangen wird, sind VPN-Verbindungen nur mit Einschränkun-
gen möglich:
! Der Betriebsmodus Authentication Header (AH) kann nicht ver-
wendet werden. Diese Einschränkung ist allerdings gering, da
auch beim alleinigen Einsatz von ESP fast das gesamte Paket mit
einer Prüfsumme versehen wird. Einzig der neue IP-Header, in
dem die öffentlichen IP-Adressen der beiden Tunnelendpunkte
stehen, wird nicht mit einer Prüfsumme versehen.
! Die zweite Einschränkung betrifft die Anbindung entfernter Netz-
werke über VPN. Hier empfehlen wir, die Internetverbindung über
den Access Server zu konfigurieren (siehe nächster Abschnitt)
und nicht über KEN!. Diese Einschränkung betrifft nur die Kopp-
lung von entfernten Netzwerken über VPN, sie trifft nicht auf ent-
fernte Benutzer zu.
Internetverbindung über den AVM Access Server
Eine im AVM Access Server eingerichtete Internetverbindung kann von
KEN! mitbenutzt werden (für E-Mail, Proxy, etc.). Hierzu ist in KEN! le-
diglich die Einstellung „Interneteinwahl über KEN! aktiviert“ auszu-
schalten.
Hinweis: Die in KEN! gesetzten IP-Filter sind nicht wirksam, es gelten
stattdessen die Paketfilter des AVM Access Servers. Der Access Server
arbeitet immer als Router. Wollen Sie den Internetzugang für das lokale
Netzwerk weiterhin nur für bestimmte Dienste (z.B. HTTP, FTP) über den
in KEN! enhaltenen Proxy-Server anbieten, so müssen Sie im Access
Server entprechende IP-Paketfilter setzen, die das direkte Routing zwi-
schen LAN und Internet unterbinden.
Internetverbindung über einen Router eines Drittherstellers
116 AVM Access Server – 6 AVM Access Server für Experten
Internetverbindung über einen Router eines Dritther-
stellers
Die Internetverbindung kann auch über einen bereits im LAN vorhande-
nen Router erfolgen. Falls an diesem Router Network Adress Translati-
on (NAT)/IP-Masquerading konfiguriert ist, so müssen zur Nutzung von
VPN am Router Forward-Regeln für zwei Protokolle auf die IP-Adresse
des AVM Access Servers eingerichtet werden:
! UDP Zielport 500 (ISAKMP) -> IP-Adresse des Access Servers UDP
Zielport 500
! ESP -> IP-Adresse des Access Servers
Der IPSec-Betriebsmodus „Authentication Header“ (AH) ist im Zusam-
menhang mit NAT auf einem Fremdrouter nicht nutzbar. Im Abschnitt
„Internetverbindung über AVM KEN!“ auf Seite 114 werden die Ein-
schränkungen erläutert, die ohne AH entstehen.
Dynamic DNS
Dynamic DNS ist ein Dienst im Internet, mit dessen Hilfe einer sich än-
dernden (dynamischen) IP-Adresse ein fester Domain-Name zugeord-
net werden kann. Hierfür ist es erforderlich, dem Dynamic DNS-Anbie-
ter jede IP-Adressänderung mitzuteilen. Bei den meisten ISDN- und
DSL-Internetanbietern wird bei jeder Einwahl eine neue IP-Adresse ver-
geben, es muss also bei jeder Einwahl eine Registrierung erfolgen. Der
AVM Access Server kann sich momentan automatisch bei den beiden
folgenden Dynamic DNS-Anbietern registrieren: www.dns4biz.com und
www.dyndns.org. Bei beiden Anbietern ist eine einmalige Anmeldung
notwendig. Bei beiden Anbietern entstehen bei Nutzung des Standar-
dangebots keine Kosten.
6.3 Verbindung zu entfernten Benutzern
Im AVM Access Server ist jeder Benutzer Mitglied in einer Benutzer-
gruppe. Alle Eigenschaften der Benutzergruppe gelten auch für jeden
Benutzer innerhalb der Gruppe. Jeder einzelne Benutzer verfügt zusätz-
lich über individuelle Eigenschaften.
Beim Einrichten einer Benutzergruppe wird ein IP-Adressbereich fest-
gelegt, aus dem den Benutzern in der Gruppe die IP-Adressen zugewie-
sen werden.
IP-Adressvergabe: Statisch oder dynamisch?
AVM Access Server – 6 AVM Access Server für Experten 117
IP-Adressvergabe: Statisch oder dynamisch?
Im AVM Access Server existieren zwei Arten von Adressbereichen: stati-
sche und dynamische. Während bei dynamischen IP-Adressbereichen
erst bei der Einwahl des Benutzers dessen IP-Adresse vergeben wird
und diese sich bei jeder Einwahl ändern kann, so steht bei der Benut-
zung eines statischen Adressbereichs diese IP-Adresse bereits vor der
Einwahl fest und ändert sich nie. Der IP-Adressbereich wird einer Grup-
pe entfernter Benutzer zugewiesen. Bei der Nutzung eines statischen
IP-Adressbereichs wird beim Neuanlegen eines Benutzers eine freie IP-
Adresse aus dem statischen IP-Adressbereich der Gruppe vorgeschla-
gen.
Grundsätzlich können IP-Adressen sowohl aus dem Subnetz des Fir-
mennetzes als auch aus einem neuen Subnetz vergeben werden.
IP-Adressen aus dem eigenen Subnetz
Beispiel
Der Access Server betreibt in diesem Fall „Proxy-ARP“ (ARP = Address
Resolution Protocol). Das heißt, alle ARP-Anfragen nach MAC-Adressen
für IP-Adressen aus dem Einwahlbereich (z.B. „Wer hat die Adresse
192.168.10.200?“) werden vom Access Server mit der MAC-Adresse des
Access Servers beantwortet. So wird sichergestellt, das Pakete von
Hosts aus dem LAN an den Access Server geschickt werden und von
dort aus zum eingewählten Benutzer weitergeleitet werden.
Stellen Sie in diesem Fall sicher, dass bei der Verwendung eines DHCP-
Servers im LAN die IP-Adressen aus dem Einwahlbereich nicht für die
Vergabe im lokalen Netzwerk zur Verfügung stehen! In einem solchen
Fall wäre es möglich, dass ein Computer im lokalen Netz und ein einge-
wählter, entfernter Benutzer über dieselbe IP-Adresse verfügen wür-
den. Eine arp-Anfrage würde von beiden Rechnern (dem Access Server
und dem Host im lokalen Netz) parallel beantwortet. Es bliebe dem Zu-
fall überlassen, welche Antwort später beim Anfragenden eingeht.
AVM Access Server: 192.168.10.1
Lokales Netzwerk: 192.168.10.0 / 24 (192.168.10.1 bis 192.168.10.254)
IP-Adressbereich für ent-
fernte Benutzer:
192.168.10.192 / 26 (192.168.10.193 bis
192.168.10.254)
IP-Adressen aus einem dedizierten Subnetz
118 AVM Access Server – 6 AVM Access Server für Experten
IP-Adressen aus einem dedizierten Subnetz
Beispiel
In diesem Fall müssen alle Rechner im LAN eine Route zum Netz
192.168.20.0/24 kennen.
Falls der Access Server das Default-Gateway im LAN darstellt (das ist
beispielsweise immer der Fall, wenn der Access Server auch den Inter-
netzugang für das LAN übernimmt), so ist nichts zu tun.
Falls ein anderer Router das Default-Gateway darstellt, so ist in diesem
Router eine Route für das IP-Netz der einwählenden Benutzer auf die
IP-Adresse des Access Servers zu konfigurieren. Im Beispiel wäre an
diesem Router die folgende Route (Schreibweise aus Windows) einzu-
tragen:
192.168.20.0 mask 255.255.255.0 172.16.1.1 metric 1
Sonstige an entfernte Benutzer übertragene Parameter
Alle Einstellungen, die entfernten Benutzern bei der Direkteinwahl über
IPCP oder bei der VPN-Verbindung über den config mode zugewiesen
werden, werden vom ersten LAN-Adapter des AVM Access Servers
übernommen. Das sind zwei DNS-Server und, bei der Direkteinwahl,
außerdem noch zwei WINS-Server. Als Gateway wird bei der Direktein-
wahl die IP-Adresse des ersten LAN-Adapters übertragen. Bei der Ver-
bindung über VPN werden über den config mode die eingetragenen
DNS-Server nur übermittelt, wenn sie auch innerhalb eines IP-Netz-
werks liegen, das die Gegenstelle über VPN erreichen kann.
Benutzerdatenbank für entfernte Benutzer
Der AVM Access Server verfügt über eine eigene Benutzerdatenbank.
Hier können detailliert die Eigenschaften eines Benutzers konfiguriert
werden. Alternativ dazu kann eine bestehende Benutzerdatenbank
über das RADIUS-Protokoll zur Authentisierung der Benutzer verwendet
werden. Beispielsweise kann über RADIUS auf die Windows-Benutzer-
datenbank zugegriffen werden. Microsoft bietet hierzu den Dienst „In-
AVM Access Server: 172.16.1.1
Lokales Netzwerk: 172.16.0.0 / 16 (172.16.0.1 bis 172.16.255.254)
IP-Adressbereich für ent-
fernte Benutzer:
192.168.20.0 / 24 (192.168.20.1 bis
192.168.20.254)
Anbindung entfernter Netzwerke
AVM Access Server – 6 AVM Access Server für Experten 119
ternet Authentication Service“ an. Zur Nutzung des Microsoft-Internet
Authentication Service gibt es unter „Start/Programme/Access Ser-
ver/Hinweise zur Nutzung von RADIUS“ eine eigene Anleitung.
6.4 Anbindung entfernter Netzwerke
Der AVM Access Server ermöglicht die Anbindung ganzer Netzwerke an
das LAN. Hierzu bietet der Access Server folgende Leistungsmerkmale:
! IP-Routing
! Verbindung über ISDN (Kanalbündelung bis zu 30 B-Kanäle)
! Verbindung über VPN und das Internet
! Netbios-Spoofing
Wie bei der Einbindung entfernter Benutzer können beide Standorte IP-
Adressen aus demselben Subnetz benutzen. In diesem Fall kommt Pro-
xy-Arp zum Einsatz. Empfehlenswert ist jedoch die Verwendung ver-
schiedener Subnetze. Zum Beispiel erhält der Standort Stuttgart das
Subnetz 192.168.20.0/24 und der Hauptsitz in Berlin das Subnetz
192.168.10.0/24.
6.5 Windows-Namensauflösung, Datei- und Dru-
ckerfreigabe
Der AVM Access Server überträgt keine Broadcasts. Daher ist die Win-
dows-Namensauflösung (WINS) nicht wie aus dem LAN gewohnt ein-
setzbar. Falls Sie freigegebene Ressourcen über ihren WINS-Namen an-
sprechen wollen, so müssen Sie entweder einen WINS-Server betrei-
ben oder auf jedem Client die erforderlichen Namen in die Datei
„LMHOSTS“ aufnehmen.
Bei der Kopplung von Microsoft-Netzwerken mit Active Directory emp-
fiehlt sich der Betrieb eines Domain-Controllers an jedem Standort. Ei-
ne genaue Anleitung zur Konfiguration von Microsoft-Netzwerken, die
über WAN-Verbindungen gekoppelt sind, finden Sie im „Active Directo-
ry Branch Office Planning Guide“ der Firma Microsoft. Den Link auf das
Dokument finden Sie im Kapitel „Weiterführende Literatur“ auf
Seite 130.
Filter- und Masqueradingprofile
120 AVM Access Server – 6 AVM Access Server für Experten
6.6 Filter- und Masqueradingprofile
Sie haben die Möglichkeit, an Zielen in entfernten Netzwerken sowie
an Internetzielen den Zugriff über IP-Paketfilter zu beschränken. Es gibt
sowohl zielgebundene als auch globale, auf sämtliche entfernte Benut-
zer, Ziele und Netzwerkkarten wirksame Filter. Eine „Durchlassen“-Re-
gel in einem zielgebundenen Filterprofil überschreibt eine anderslau-
tende Regel im globalen eingehenden oder ausgehenden Filterprofil.
Architektur der Filterprofile
6.7 VPN und das Protokoll IPSec
Der AVM Access Server beinhaltet eine vollständig dem Standard ge-
mäße IPSec-Implementierung. Die Leistungsmerkmale im Einzelnen:
! Verschlüsselung mit AES, 3DES, DES
! Nutzdatenkompression mit IPComp
! Authentisierung mit MD5, SHA-1
Globaler Input-Filter
Masquerading/NAT
Oberes eingehendes
Filterprofil
IPSec
Entschlüsselung
ISDN / DSL / GSM /
LAN
Globaler Output-
Filter
Masquerading/NAT
Oberes ausgehendes
Filterprofil
IPSec
Verschlüsselung
ISDN / DSL / GSM /
LAN
Globaler Forward
Filter
durchlassen
durchlassen
Entschlüsselte
Daten
Unteres eingehendes
Filterprofil
Unteres ausgehendes
Filterprofil
VPN und das Protokoll IPSec
AVM Access Server – 6 AVM Access Server für Experten 121
! Authentsierung über pre-shared keys
! Xauth und config mode
Die Aushandlung einer IPSec-Verbindung erfolgt über das Protokoll „In-
ternet Key Exchange“ (IKE). Ergebnis der Aushandlung sind Vereinba-
rungen mit der Gegenstelle, sogenannte „Security Associations“ (SA).
Die IKE-Aushandlung erfolgt in zwei Phasen. Die erste Phase dient
hauptsächlich zur Authentisierung und zum Bestimmen eines Schlüs-
sels zum Sichern der Phase 2. Das Ergebnis der Phase 1 ist in der Regel
genau eine SA.
Identitäten (IDs) in IKE-Phase 1 können sein:
! user full qualified domain name (user-fqdn)
! full qualified domain name (fqdn)
! key ID
! IP-Adresse
! IP-Netz mit Maske
! IP-Adressbereich
Bei entfernten Benutzern wird der eingetragene Benutzername als user
fqdn, fqdn und key ID akzeptiert. Bei entfernten Netzwerken kann jede
der oben genannten IDs konfiguriert werden. In der Konfiguration „au-
tomatisch“ werden die IDs wie folgt abgeleitet:
! Ist die Internetverbindung über KEN! oder einen LAN-Adapter kon-
figuriert, so wird die IP-Adresse dieser Netzwerkkarte (KEN! stellt
sich ebefalls als Netzwerkkarte dar) als eigene ID gesendet.
! Stellt der AVM Access Server die Internetverbindung selbst her, so
wird als eigene ID die IP-Adresse, die vom ISP zugewiesen wurde,
verwendet. Ist ein Dynamic DNS-Anbieter konfiguriert, so wird
stattdessen dieser Domainname als fqdn gesendet.
! Bei VPN-Verbindungen zu enfernten Netzwerken wird als entfernte
ID die Konfiguration „enferntes VPN-Gateway“ erwartet, die ent-
weder die IP-Adresse des entfernten VPN-Gateways oder dessen
Domänen-Name enthält.
Alle ID-Einstellungen können auch manuell vorgenommen werden.
VPN und das Protokoll IPSec
122 AVM Access Server – 6 AVM Access Server für Experten
In IKE-Phase 2 werden die Vereinbarungen (SAs) für die Sicherung der
Nutzdaten getroffen. Das Ergebnis der Phase 2 sind SAs, in denen im
Wesentlichen vereinbart wurde,
! ob Daten verschlüsselt werden sollen (Encapsulated Security Pay-
load) und mit welchem Verschlüsselungsalgorithmus das gesche-
hen soll.
! ob zusätzlich über das gesamte Paket eine Prüfsumme gebildet
werden soll (Authentication Header) und mit welchem Hash-Algo-
rithmus das geschehen soll.
! ob Nutzdaten komprimiert werden sollen (IPComp) und mit wel-
chem Kompressionsverfahren das geschehen soll.
Auch in der Phase 2 werden IDs benutzt. Bei entfernten Benutzern wird
immer die Adresse der obersten Zugriffsregel als Identität des AVM
Access Servers an den entfernten Benutzer übermittelt. Bei entfernten
Netzwerken sind die Identitäten frei konfigurierbar. In der Einstellung
„automatisch“ leiten sich die Phase-2-Identitäten aus der obersten Zu-
griffsregel ab.
Sicherheitsrichtlinien sind Vorschläge für SAs. Die Sicherheitsrichtlini-
en sind nach fogendem Schema benannt:
Phase 1: Diffie-Hellmann-Gruppe / Verschlüsselungsverfahren / Hash-
Algorithmus
Die Diffie-Hellmann-Gruppe, das Verschlüsselungsverfahren und der
Hasch-Algorithmus können folgende Werte annehmen:
Diffie-Hellmann-Gruppe:
Verschlüsselungsverfahren:
Def Diffie-Hellmann-Gruppe 1
Alt Diffie-Hellmann-Gruppe 2
Aes Advanced Encryption Standard (128 - 256 bit Schlüssellänge)
3DES Triple Digital Encryption Standard (168 bit Schlüssellänge)
DES Digital Encryption Standard (56 bit Schlüssellänge)
All Die Verfahren 3DES und DES werden der Gegenstelle in dieser Rei-
henfolge vorgeschlagen
VPN und das Protokoll IPSec
AVM Access Server – 6 AVM Access Server für Experten 123
Hash-Algorithmus:
Phase 2: esp-Verschlüsselungsalgorithmus-Hash-Algorithmus / ah-
Hash-Algorithmus / Kompression / Perfect Forward Secrecy
Mögliche Verschlüsselungsalgorithmen:
Mögliche Hash-Algorithmen:
Mögliche Kompressionsverfahren:
Perfect Forward Secrecy:
SHA-1 Secure Hash Algorithm 1
MD5 Message Digest 5
All Die Verfahren SHA-1 und MD5 werden der Gegenstelle in dieser
Reihenfolge vorgeschlagen
AES Advanced Encryption Standard (128 - 256 bit Schlüssellänge)
3DES Triple Digital Encryption Standard (168 bit Schlüssellänge)
DES Digital Encryption Standard (56 bit Schlüssellänge)
All Die Verfahren AES, 3DES und DES werden der Gegenstelle in dieser
Reihenfolge vorgeschlagen
No ESP wird nicht verwendet
SHA-1 Secure Hash Algorithm 1
MD5 Message Digest 5
All Die Verfahren SHA-1 und MD5 werden der Gegenstelle in dieser
Reihenfolge vorgeschlagen
Lzjh LZJH (RFC 2395)
Deflate Deflate (RFC 2394)
Lzs LZS (RFC 3051)
No Keine Nutzdatenkompression
pfs Perfect Forward Secrecy verwenden
No-pfs Perfect Forward Secrecy nicht verwenden
Interoperabilität über ISDN
124 AVM Access Server – 6 AVM Access Server für Experten
6.8 Interoperabilität über ISDN
Durch die Unterstützung des Interoperabilitätsstandards PPP over
ISDN sowie vieler weiterer PPP-Standards – beschrieben in sogenann-
ten RFCs (Request for Comments) – sind Verbindungen zu allen Gegen-
stellen möglich, die diese Standards ebenfalls unterstützen.
Zusätzlich zu den RFCs sind im AVM Access Server auch schon neuere,
noch nicht allgemein anerkannte PPP-Standards – so genannte Drafts
– implementiert. Hierfür soll die Umsetzung verschiedener von AVM
entwickelter Spoofing-Verfahren erwähnt werden, die im AVM Access
Server auf Basis des PSCP-Drafts implementiert sind. Der AVM Access
Server unterstützt die folgenden RFCs und RFC-Drafts:
PPP over ISDN
RFC 1144 Compressing TCP/IP Headers for Low-Speed Serial Links
RFC 1332 The PPP Internet Protocol Control Protocol (IPCP)
RFC 1334 PPP Authentication Protocols (PAP)
RFC 1570 PPP LCP Extensions
RFC 1618 PPP over ISDN
RFC 1631 The IP Network Address Translator (NAT)
RFC 1661 The Point-to-Point Protocol (PPP)
RFC 1662 PPP in HDLC-like Framing
RFC 1962 The PPP Compression Control Protocol (CCP)
RFC 1968 PPP Encryption Control Protocol (ECP)
RFC 1974 PPP Stack LZS Compression Protocol
RFC 1989 PPP Link Quality Monitoring
RFC 1990 The PPP Multilink Protocol (MP)
RFC 1994 PPP Challenge Handshake Authentication Protocol (CHAP)
RFC 2118 Microsoft Point-to-Point Compression (MPPC) Protocol
RFC 2125 PPP Bandwith Allocation Protocol (BAP)/PPP Bandwith Allo-
cation Control Protocol (BACP)
RFC 2284 PPP Extensible Authentication Protocol (EAP)
RFC 2516 A Method for Transmitting PPP Over Ethernet (PPPoE)
RFC 2663 IP Network Address Translator (NAT) Terminology and Consi-
derations
RFC 3022 Traditional IP Network Address Translator (Traditional NAT)
Interoperabilität über ISDN
AVM Access Server – 6 AVM Access Server für Experten 125
RFC 3027 Protocol Complications with the IP Network Address Trans-
lator
Draft PPP Callback Control Protocol
Draft PPP Protocol Spoofing Control Protocol (PSCP)
IPSec
RFC 1829 The ESP DES-CBC Transform
RFC 1851 The ESP Triple DES Transform
RFC 2104 Keyed-Hashing for Message Authentication (HMAC)
RFC 2394 IP Payload Compression Using DEFLATE
RFC 2395 IP Payload Compression Using LZS
RFC 2401 Security Architecture for the Internet Protocol
RFC 2402 IP Authentication Header (AH)
RFC 2403 The Use of HMAC-MD5-96 within ESP and AH
RFC 2404 The Use of HMAC-SHA-1-96 within ESP and AH
RFC 2405 The ESP DES-CBC Cipher Algorithm With Explicit IV
RFC 2406 IP Encapsulating Security Payload (ESP)
RFC 2407 The Internet IP Security Domain of Interpretation for ISAKMP
RFC 2408 Internet Security Association and Key Management Protocol
(ISAKMP)
RFC 2409 The Internet Key Exchange (IKE)
RFC 2410 The NULL Encryption Algorithm and Its Use With IPsec
RFC 2412 The OAKLEY Key Determination Protocol
RFC 2451 The ESP CBC-Mode Cipher Algorithms
RFC 2709 Security Model with Tunnel-mode IPsec for NAT Domains
RFC 3051 IP Payload Compression Using ITU-T V.44 Packet Method
RFC 3173 IP Payload Compression Protocol (IPComp)
RFC 3268 Advanced Encryption Standard (AES) Ciphersuites for Trans-
port Layer Security (TLS
Draft Extended Authentication Within ISAKMP/Oakley (XAUTH)
Draft The ISAKMP Configuration Method (config mode)
PPP over ISDN
Wegweiser Kundenservice
126 AVM Access Server – 7 Wegweiser Kundenservice
7 Wegweiser Kundenservice
Wir lassen Sie nicht im Stich, wenn Sie eine Frage oder ein Problem ha-
ben. Ob Handbücher, FAQs, Updates oder Support – hier finden Sie al-
le wichtigen Servicethemen.
7.1 Produktdokumentationen
Nutzen Sie zum Ausschöpfen aller Funktionen und Leistungsmerkmale
von AVM Access Server folgende Produktdokumentationen:
! Die umfassende Hilfe kann von der Benutzeroberfläche des AVM
Access Servers aus aufgerufen werden. Sie enthält detaillierte Be-
schreibungen aller Einstellungsmöglichkeiten und Monitoring-
Funktionen.
! Die Readme-Datei zum AVM Access Server enthält wichtige Infor-
mationen und Installationshinweise, die zum Zeitpunkt der Druck-
legung des Handbuchs noch nicht zur Verfügung standen. Sie
sollte vor der Installation von der Datei INTRO.HLP aus eingese-
hen werden.
! Im Installationsverzeichnis des AVM Access Servers finden Sie
das vorliegende Handbuch auch im PDF-Format. Neben der Dar-
stellung von Konzept und Einsatzmöglichkeiten des AVM Access
Servers, vermittelt das Handbuch Wissen zur Funktionsweise des
AVM Access Servers und zum Routing über ISDN und DSL.
Falls Sie nicht über den Adobe Acrobat Reader zum Lesen von
PDF-Dokumenten verfügen, können Sie diesen von der CD aus
dem Verzeichnis UTILS\ACROBAT\DEUTSCH installieren.
! Ausführliche Informationen zu Windows XP/2000 und NT erhalten
Sie in der entsprechenden Windows-Dokumentation.
7.2Informationen im Internet
Im Internet bietet Ihnen AVM ausführliche Informationen zu Ihrem
AVM-Produkt sowie Ankündigungen neuer Produktversionen und neu-
er Produkte.
Sie finden AVM im Internet unter folgender Adresse:
www.avm.de
Service-Bereich
AVM Access Server – 7 Wegweiser Kundenservice 127
Service-Bereich
Der Service-Bereich hilft Ihnen bei allen Fragen rund um Ihr AVM-Pro-
dukt:
www.avm.de/service
Newsletter
Jeden ersten Mittwoch im Monat erscheint der AVM Newsletter. Mit
dem kostenlosen Newsletter erhalten Sie regelmäßig Informationen
per E-Mail zu den Themen DSL, ISDN, Bluetooth und WLAN bei AVM.
Außerdem finden Sie im Newsletter Tipps & Tricks rund um die AVM-
Produkte.
Sie können den AVM Newsletter unter folgender Adresse abonnieren:
www.avm.de/newsletter
7.3 Updates
Treiber- und Firmware-Updates für AVM Access Server stellt Ihnen AVM
kostenlos über das Internet bereit. Zum Herunterladen aktueller Soft-
ware rufen Sie bitte folgende Adresse auf:
www.avm.de/download
Erfahrene Anwender können Updates auch über den FTP-Server von
AVM herunterladen. Sie erreichen den FTP-Server im Download-Bereich
über den Link „FTP-Server“ oder unter folgender Adresse:
www.avm.de/ftp
7.4 Unterstützung durch das Service-Team
Bitte nutzen Sie zuerst die oben beschriebenen Informationsquellen,
bevor Sie sich an den Support wenden!
Haben Sie mit den bisherigen Hinweisen und mit Hilfe der diversen In-
formationsquellen Ihr Problem nicht lösen können, wenden Sie sich für
weitere technische Unterstützung an den AVM-Support. Sie erreichen
den Support per E-Mail oder Fax.
Bevor Sie den Support kontaktieren
Bevor Sie sich an den Support wenden, stellen Sie bitte die folgenden
Informationen zusammen, damit Ihnen schnell geholfen werden kann:
Testverbindung zum AVM Data Call Center (ADC)
128 AVM Access Server – 7 Wegweiser Kundenservice
1. Eine detaillierte Beschreibung des Problems und eine Skizze Ihres
WANs mit den IP-Adressen aller beteiligten Komponenten.
2. Die genaue Fehlermeldung, die Sie erhalten haben.
3. Mit der Funktion „Support-Daten erstellen“ wird eine ZIP-Datei er-
stellt, die alle für den Support relevanten Informationen Ihrer Kon-
figuration erhält.
Wählen Sie in der Ansicht „AVM Access Server-Konfiguration“
den Ordner „Verwaltung“ und wählen Sie dort die Registerkar-
te „Service und Support“.
Klicken Sie im Bereich „Support-Daten“ auf die Schaltfläche
„Support-Daten erstellen“. Es wird im Ordner PROGRAMME\
AVM\ACCESS SERVER die Datei SUPPORT.ZIP erstellt.
Schicken Sie diese Datei per E-Mail an den Support.
4. Bei Interoperabilitätsproblemen mit Routern anderer Hersteller
führen Sie einen PPP-Mitschnitt durch. Lesen Sie dazu das Kapitel
„Paketmitschnitt“ ab Seite 42.
Testverbindung zum AVM Data Call Center (ADC)
Wenn Sie Probleme mit Verbindungen zu Gegenstellen haben, dann
versuchen Sie bitte vor der Kontaktaufnahme mit dem AVM-Support,
eine Testverbindung zum AVM Data Call Center aufzubauen.
Sie können das ADC mit dem im Lieferumfang der ISDN-Controller ent-
haltenen Programmen Connect bzw. Connect32 (FTP) oder FRITZ!data
(IDtrans oder FTP) erreichen. Die Rufnummer lautet:
+49 (0)30 / 39 98 43 00
Nähere Informationen dazu finden Sie im Readme des ISDN-Control-
lers. Aktivieren Sie für eine schnellere Datenübertragung die Optionen
„2-Kanaltransfer“ und „Datenkompression“.
! Ist es möglich, mit dem ISDN-Controller erfolgreich eine Testver-
bindung zum AVM Data Call Center (ADC) aufzubauen?
! An welcher Stelle der Installation oder an welcher Stelle in der An-
wendung erscheint eine Fehlermeldung?
! Wie lautet die Meldung genau?
Support per E-Mail
AVM Access Server – 7 Wegweiser Kundenservice 129
Support per E-Mail
Über unseren Service-Bereich im Internet können Sie uns jederzeit eine
E-Mail-Anfrage schicken. Sie erreichen den Service-Bereich unter:
www.avm.de/service
Wählen Sie im Support-Bereich die Produktgruppe „Server-Produkte“
und AVM Access Server als Produkt aus. Wählen Sie nun noch das ver-
wendete Betriebssystem und ein Schwerpunktthema. Mit Klick auf die
Schaltfläche „weiter“ erhalten eine Auswahl häufig gestellter Fragen.
Benötigen Sie noch weitere Hilfe, dann erreichen Sie über die Schalt-
fläche „weiter zum Mail-Support“ das E-Mail-Formular. Füllen Sie das
Formular aus und schicken Sie es über die Schaltfläche „senden“ zu
AVM. Unser Support-Team wird Ihnen bald per E-Mail antworten.
Support per Telefax
Wenn Sie keinen Internetzugang haben, dann erreichen Sie den Sup-
port per Telefax unter folgender Rufnummer:
00 49 (0)30 / 39 97 62 66
Bereiten Sie folgende Informationen für Ihren Berater vor:
! Geben Sie Ihren Product Identification Code an, der sich auf der
CD-Hülle befindet.
! Mit welcher Version des AVM Access Servers arbeiten Sie? Die
Versionsnummer können Sie im Readme nachlesen.
! Mit welchem Microsoft Service Pack arbeiten Sie?
! Welches Betriebssystem ist auf dem Rechner installiert, auf dem
der AVM Access Server installiert ist – Windows XP, 2000 oder
Windows NT?
! Mit welchem Netzwerkprotokoll arbeiten Sie?
! Welchen ISDN-Controller verwendet der AVM Access Server-Com-
puter? Mit welcher Treiberversion und mit welchem Build arbeiten
Sie?
Sie finden die Treiberversion und das Build von AVM ISDN-Cont-
rollern in der Datei „Readme“ im Installationsverzeichnis des
ISDN-Controllers. Wenn Sie FRITZ! auf dem AVM Access Server-
Computer installiert haben, finden Sie die Treiberversion auch im
Weiterführende Literatur
130 AVM Access Server – 7 Wegweiser Kundenservice
Startmenü von Windows unter „Programme / FRITZ! / FRITZ!versi-
on“. Klicken Sie im Fenster FRITZ!version“ auf die Schaltfläche
„Systeminformationen“.
! Wird Ihr ISDN-Controller an einer Nebenstellenanlage betrieben?
Wenn Sie diese Informationen zusammengestellt haben, können Sie
den Support kontaktieren. Das Support-Team wird Sie bei der Lösung
Ihres Problems unterstützen.
7.5 Weiterführende Literatur
Ausführliche Informationen zum Betriebssystem Windows erhalten Sie
in folgenden Werken:
! Microsoft Press (Hrsg.): Windows 2000 – Die Technische Refe-
renz, ISBN 3-86063-273-6
! Microsoft Press (Hrsg.): Microsoft Windows NT Server Version 4,
Band Netzwerk, Microsoft Press, Redmond, Washington, 1996
Informationen zur Konfiguration von Microsoft Netzwerken, die über
WAN gekoppelt sind, finden Sie im folgenden Dokument:
! Active Directory Branch Office Planning Guide
www.microsoft.com/windows2000/techinfo/planning
/activedirectory/branchoffice/default.asp
Informationen zu TCP/IP und IP-Firewalls finden Sie in folgenden Publi-
kationen:
! D. B. Chapman/E. D. Zwicky: Building Internet Firewalls, O´Reilly &
Associates, 1995
! W. R. Cheswick/S. M. Bellovin: Firewalls and Internet Security, Ad-
dison-Wessley, Reading, Massachusetts, 1994
! M. Hein/M. C. Billo (Hrsg.): TCP/IP light, FOSSIL-Verlag GmbH,
Köln, 1997
Informationen zum Internetworking allgemein erhalten Sie in:
! L. A. Chappell/R.L. Spicer: Novell’s Guide to Multiprotocol Inter-
networking, Novell Press, 1994
AVM Access Server – Glossar 131
Glossar
AH (Authentication Header)
Sicherungsprotokoll innerhalb von IPSec. AH gewährleistet, dass das
Paket vom Absender und nicht von einem Dritten stammt und dass kei-
ne Veränderungen innerhalb des Pakets während der Übermittlung von
Dritten vorgenommen wurden. AH verschlüsselt die Nutzdaten nicht.
ADSL (Asymmetric Digital Subscriber Line)
ADSL ist eine Technologie, die den Internetzugang mit einer hohen
Bandbreite über die normale Telefonleitung ermöglicht. Die Übertra-
gung von Daten beim Herunterladen kann mit bis zu 6 MBit/s erfolgen,
in der Gegenrichtung sind bis zu 640 KBit/s möglich. Wählverbindun-
gen zu anderen ADSL-Teilnehmern und Dienstekennungen sind nicht
möglich. Diese Technologie wird beispielsweise von der Deutschen Te-
lekom AG unter der Bezeichnung T-DSL angeboten.
ISDN und ADSL benutzen unterschiedliche Frequenzbereiche des Tele-
fonkabels und können somit parallel betrieben werden.
Amtsholung
Die Amtsholung ist die Ziffer, die innerhalb einer TK-Anlage vorgewählt
werden muss, um eine Amtsleitung zu bekommen. In den meisten Fäl-
len ist dies die „0“. Im AVM Access Server legen Sie die Amtsholung für
jeden ISDN-Controller separat fest (im Ordner „Verwaltung/Schnittstel-
len“ auf der Registerkarte „Allgemein“). Die Amtsholung wird dann au-
tomatisch vor die Rufnummer gesetzt.
AOCD (Advice On Charge During Call)
AOCD steht für Advice On Charge During Call; ein Leistungsmerkmal im
ISDN. Wenn dieses Merkmal an Ihrem ISDN-Anschluss freigeschaltet
ist, dann werden Tarifinformationen während der Verbindung nach
dem europäischen Standard AOCD übertragen. Informationen zu AOCD
erhalten Sie bei Ihrem ISDN-Anbieter.
ARP (Address Resolution Protocol)
Das Address Resolution Protocol (ARP) gehört zur TCP/IP-Protokollsui-
te. ARP bildet eine IP-Adresse dynamisch auf die zugehörige Hardware-
Adresse (MAC-Adresse) ab. Dies geschieht automatisch und ist norma-
lerweise für die Anwendung und den Benutzer unsichtbar.
132 AVM Access Server – Glossar
Um Daten in einem TCP/IP-Netzwerk auszutauschen, muss die senden-
de Station die IP-Adresse des Ziels auf die Hardware-Adresse des Ziels
abbilden. Die sendende Station schickt dazu ein sogenanntes ARP-Re-
quest-Paket, das die IP-Adresse des Ziels enthält. Alle ARP-fähigen
Systeme im Netzwerk erkennen dieses Paket, und das System mit der
fraglichen IP-Adresse schickt seine Hardware-Adresse mit Hilfe eines
ARP-Reply-Pakets zurück. Die Kombination IP-Adresse / Hardware-
Adresse wird im ARP-Cache der sendenden Station gespeichert.
Authentisierung
Als Authentisierung wird das Überprüfen der Anmeldeinformationen
(Name und Passwort) einer Gegenstelle bei ein- und ausgehenden Ru-
fen bezeichnet. Diese Überprüfung dient beim AVM Access Server der
Sicherheit vor unberechtigten Zugriffen und auch der Identifizierung
des Benutzers, wenn die Zuordnung einkommender Rufe anhand der
D-Kanal-Rufnummer (CLI) nicht aktiviert ist. Für die Authentisierung
stehen die Verfahren PAP und CHAP zur Verfügung. Im AVM Access
Server kann für jedes Ziel festgelegt werden, ob und mit welchem Ver-
fahren sich die Gegenstelle beim AVM Access Server identifizieren
muss („Anmeldung auf lokaler Seite“). Für jedes Verfahren müssen ein
Name und ein Passwort konfiguriert werden, die der Gegenseite mitge-
teilt werden. Falls die Gegenseite eine Authentisierung des Netzwerkes
verlangt („Anmeldung bei der Gegenstelle“), können Sie dafür in der
Zielkonfiguration und in den den Einstellungen für Benutzergruppen
Name und Kennwort eingeben. Diese Angaben werden Ihnen von der
Gegenseite mitgeteilt.
B-Kanal
Ein ISDN-Basisanschluss besteht aus zwei B-Kanälen und einem D-Ka-
nal, ein ISDN-Primärmultiplexanschluss aus 30 B-Kanälen und einem
D-Kanal. Über die B-Kanäle werden die Daten übertragen. Sie ermögli-
chen eine Übertragung mit 64 KBit/s pro B-Kanal. Um die Übertragung
zu beschleunigen, können im AVM Access Server bis zu 30 B-Kanäle
gebündelt werden.
CAPI, siehe „COMMON-ISDN-API (CAPI)“ auf Seite 133
CHAP (Challenge Handshake Authentication Protocol)
Eines der beiden Protokolle für die Authentisierung. Zur Authentisie-
rung muss auf der Seite, die die Authentisierung verlangt, ein Name
und ein Kennwort für die Gegenseite konfiguriert werden. Die Gegen-
AVM Access Server – Glossar 133
seite muss diesen Namen und das Kennwort in ihrer Konfiguration ein-
getragen haben. Bei der Authentisierung mit CHAP generiert die Seite,
die die Identifizierung verlangt, aus dem Namen und einem Zufallswert
nach einem festgelegten Algorithmus eine Meldung, die zur Gegensei-
te geschickt wird. Diese generiert aus der Meldung und dem Passwort
– ebenfalls nach einem festgelegten Algorithmus – einen neuen Wert,
der zurückgesendet wird. Die andere Seite wiederum prüft nun, ob der
von ihr berechnete Wert aus ursprünglicher Meldung und Passwort mit
dem übereinstimmt, was die Gegenseite zurückgesendet hat. Ist dies
der Fall, wird die Verbindung aufgebaut. Der Vorteil dieser Methode ist,
dass niemals das Kennwort selbst übermittelt wird. Daher wird das
CHAP-Verfahren als sicher angesehen. CHAP ist in RFC 1334 und RFC
1994 beschrieben.
CLIP (Calling Line Identification Presentation)
Übermittlung der Rufnummer über den ISDN-D-Kanal. CLIP ist ein Leis-
tungsmerkmal im ISDN, das vom AVM Access Server beispielsweise zur
Identifizierung einkommender Rufe und zum Schutz vor unberechtig-
ten Zugriffen verwendet wird. Dieses Leistungsmerkmal muss durch
den ISDN-Anbieter auf der anrufenden Seite freigeschaltet sein. In
Deutschland kann man CLIP beispielsweise bei der Beantragung eines
ISDN-Anschlusses anmelden.
Client
Ein Client ist ein Computer in einem Netzwerk, der die Dienste eines
Servers in Anspruch nimmt, zum Beispiel auf dessen Dateien oder Da-
tenbanken zugreift.
COMMON-ISDN-API (CAPI)
CAPI ist eine standardisierte herstellerunabhängige Schnittstelle zwi-
schen ISDN-PC-Karten und ISDN-Anwendungen. Diese Schnittstelle
steht nach der Installation eines AVM ISDN-Controllers im gesamten
System zur Verfügung (aktuelle Version 2.0). Aktuelle CAPI-Treiber er-
halten Sie kostenlos über den FTP-Server von AVM (ftp://ftp.avm.de).
Der AVM Access Server setzt auf der Anwendungsschnittstelle von CAPI
2.0 auf.
D-Kanal
Der D-Kanal dient zur Übertragung von Steuerungsinformationen wie
beispielsweise die Art des benutzten ISDN-Dienstes oder die Rufnum-
mer des Kommunikationspartners. Die Bandbreite beträgt 16 KBit/s
134 AVM Access Server – Glossar
beim Basisanschluss und 64 KBit/s beim Primärmultiplexanschluss.
Über den D-Kanal können im ISDN Gebühreninformationen (AOCD) und
die Rufnummer der anrufenden Seite (CLIP) übertragen werden. Die
Leistungsmerkmale CLIP und AOCD müssen in Deutschland separat be-
antragt werden.
DNS (Domain Name Service)
Der Domain Name Service ist ein Adresskonvertierungsdienst, der in
TCP/IP-Netzen wie dem Internet die Zuordnung der numerischen Versi-
on einer IP-Adresse zur lesbaren Klartextform verwaltet. Er konvertiert
die Namen von Servern in ein numerisches Adressformat.
Da die Vergabe und Eingabe von numerischen IP-Adressen recht um-
ständlich ist, werden beim Zugriff auf einen Computer im Internet Klar-
textnamen wie zum Beispiel „www.avm.de“ verwendet. Wer aber weiß
schon, welche IP-Adresse sich hinter „www.avm.de“ verbirgt? Diese
Zuordnung von Klartextnamen zu numerischen IP-Adressen sowie die
Weiterleitung zu den entsprechenden Computern übernimmt ein DNS-
Server. Durch Anfrage bei diesem Server kann ein anderer Computer im
Internet, der nur den symbolischen Namen ihres Ziels (beispielsweise
www.avm.de) kennt, die zugehörige IP-Adresse erfahren.
DSL (Digital Subscriber Line), siehe „ADSL (Asymmetric Digital Sub-
scriber Line)“ auf Seite 131
Domäne
Eine Domäne ist eine logische Gruppierung von Netzwerk-Servern und
anderen Rechnern, die über gemeinsame Sicherheitsmerkmale und In-
formationen der Benutzerkonten verfügen. Innerhalb der Domänen
wird von den Administratoren je Benutzer ein Benutzerkonto erstellt.
Die Benutzer melden sich dann nicht am Server in der Domäne, son-
dern an der Domäne selbst an.
Die Bezeichnung Domäne bezieht sich nicht auf einen bestimmten Ort
oder eine besondere Art der Netzwerkkonfiguration. Die Standorte von
Computern einer einzelnen Domäne können physisch nahe beieinan-
der, wie in einem lokalen Netzwerk (LAN), oder aber auch weit vonein-
ander entfernt über die ganze Welt verteilt sein. Die Kommunikation ist
hierbei über jegliche Art der physischen Verbindung möglich, wie bei-
spielsweise über Einwählverbindungen, ISDN, ADSL, Glasfaserkabel,
Ethernet, Token Ring, Frame Relay, Satellit und Standleitungen (vgl. Mi-
crosoft Corporation, „Microsoft Windows NT Server Version 4 – Netz-
werk“, siehe auch „Weiterführende Literatur“ auf Seite 130).
AVM Access Server – Glossar 135
Domänen-Controller
In Windows-Netzwerken können Konteninformationen von Servern ge-
meinsam genutzt werden, falls sie in einer oder in mehreren Domänen
zusammengefasst sind. Auf einem Server der Domäne, dem DC (Domä-
nen-Controller), werden sämtliche Konten gespeichert.
Die Organisation in Domänen ermöglicht den Benutzern, alle Ressour-
cen der Domäne mit einem einzigen Benutzernamen und Kennwort zu
erreichen. Die Benutzerkontenverwaltung in einer Domäne wird damit
vereinfacht, weil Änderungen nur auf dem Domänen-Controller vorge-
nommen werden müssen.
DSS1
Europaweit standardisiertes D-Kanal-Protokoll. Alle neueren ISDN-An-
schlüsse in Deutschland verwenden DSS1.
Dynamic DNS
Dynamic DNS ist ein Dienst im Internet, der von freien und auch kom-
merziellen Anbietern betrieben wird. Mit Dynamic DNS ist ein Server
auch bei wechselnder IP-Adresse vom Internet aus über einen festen
Domänen-Namen erreichbar. Um den Dienst nutzen zu können, müs-
sen Sie sich bei einem Dynamic DNS-Anbieter registrieren und dabei
einen Domänen-Namen festlegen. Vom Dynamic DNS-Anbieter bekom-
men Sie Ihre Zugangsdaten mitgeteilt. Bei jedem physikalischen Auf-
bau einer Internetverbindung wird dem Dynamic DNS-Anbieter die ak-
tuell gültige IP-Adresse mitgeteilt und mit dem Domänen-Namen ver-
knüpft. Ihr Server ist somit über den Domänen-Namen immer erreich-
bar.
Wenn Sie mit dem AVM Access Server VPN-Verbindungen nutzen wol-
len und Ihr Internetanbieter IP-Adressen dynamisch vergibt, dann müs-
sen Sie Dynamic DNS verwenden.
Echtheitsbestätigung, siehe „Authentisierung“ auf Seite 132
ESP (Encapsulating Security Payload)
Sicherheitsprotokoll innnerhalb von IPSec. ESP ermöglicht die Authen-
tisierung des Absenders sowie die Verschlüsselung der Nutzdaten und
gewährleistet deren Integrität.
136 AVM Access Server – Glossar
FTP (File Transfer Protocol)
FTP ist ein offenes Protokoll, das heißt es ist unabhängig von Bauweise
und Betriebssystem der Computer, auf denen es die Dateiverwaltung
und den Datenaustausch regelt. Das FTP setzt unmittelbar auf dem TCP
der Schicht 4 des ISO/OSI-Referenzmodells (Transport Layer / Trans-
portschicht) auf. Das Protokoll ist in RFC 959 dokumentiert.
Filterprofile
Mit Filterprofilen werden Pakete überprüft, die beim AVM Access Server
ankommen oder ihn verlassen. Gegebenenfalls werden die Pakete aus
dem Datenstrom gefiltert und nicht übertragen. Der Einsatz von Filter-
profilen kann Verbindungskosten reduzieren und die Sicherheit im lo-
kalen Netzwerk erhöhen:
! Es können Pakete gefiltert werden, die von einigen Anwendungen
in Netzwerken ständig ausgetauscht werden und bei WAN-Verbin-
dungen über ISDN zum häufigen und unnötigen Aufbau von Ver-
bindungen führen können.
! Es Pakete können gefiltert werden, deren Ziel-IP-Adresse inner-
halb von Subnetzen im lokalen Netzwerk liegen, die von außen
nicht zugänglich sein sollen.
Ein Filterprofil besteht aus einer oder mehreren Filterregeln und einer
Standardaktion. Eine Filterregel enthält mehrere Bedingungen und ei-
ne Aktion. Wenn ein IP-Paket alle Bedingungen einer Regel erfüllt,
dann trifft die Filterregel auf das Paket zu und die Aktion wird auf das
Paket angewendet. Wenn es für ein IP-Paket innerhalb eines Filterpro-
fils keine Regel gibt, die auf das Paket zutrifft, dann wird die im Filter-
profil enthaltene Standardaktion auf das IP-Paket angewendet.
Der AVM Access Server enthält einige vordefinierte Filterprofile, Sie
können jedoch auch eigene Filterprofile definieren.
Die Filtermechanismen werden nicht mit der Gegenstelle ausgehan-
delt, sondern im AVM Access Server gesetzt. Informationen zu den im
AVM Access Server vordefinierten Filtern erhalten Sie im Abschnitt „Fil-
ter“ auf Seite 68.
Firewall
Die Firewall-Filter des AVM Access Servers dienen zum Schutz vor uner-
laubtem Eindringen in das Netzwerk sowie zur Selektion der Daten und
Dienste, die für den Zugriff von außen bereitgestellt werden.
AVM Access Server – Glossar 137
Für die Implementierung von Firewalls gibt es verschiedene Mechanis-
men. Im AVM Access Server wird die Firewall durch mehrstufige Paket-
filter und Network Address Translation realisiert: Der AVM Access
Server überprüft bei jedem ein- und ausgehendem Datenpaket, ob es
dem Sicherheitsregelwerk entspricht. Prüfkriterien sind Quell- und Ziel-
adresse des Pakets (Netzwerkadresse und Maske), das IP-Protokoll
(TCP, UDP, GRE, ESP, AH, ICMP) sowie der Dienst (z.B. FTP, DNS). Die Si-
cherheitsregeln werden in globalen und zielgebundenen IP-Filtern ge-
speichert. Die Regeln entscheiden darüber, welche Aktion bei einem
Paket durchgeführt wird: Paket durchlassen, verwerfen oder mit einer
Fehlermeldung zurückweisen.
Siehe auch „IP-Masquerading“ auf Seite 141.
Gebührenprofil
Ein Gebührenprofil enthält Informationen zur Länge der Gebührentakte
abhängig von Tarifzeiten und vom Tarifbereich, zum Beispiel City. Jedes
Profil besteht aus zwei Listen mit Gebührentakten über einen Zeitraum
von 24 Stunden: eine Liste gilt für Werktage (Montag-Freitag), die ande-
re für die Wochenenden und (optional) Feiertage.
Der AVM Access Server verwendet Gebührenprofile zur Steuerung des
physikalischen Abbaus ungenutzter ISDN-Verbindungen. Wird in der
Ziel- oder Benutzerkonfiguration für den physikalischen Abbau ein Ge-
bührenprofil ausgewählt, wird die Verbindung drei Sekunden vor Ende
des Gebührentaktes abgebaut, wenn vorher drei Sekunden lang keine
Daten übertragen wurden. Auf diese Weise wird der Gebührentakt opti-
mal ausgenutzt. Das ausgewählte Gebührenprofil wird außerdem zur
Abschätzung der angefallenen Gebühren verwendet. Die vom AVM
Access Server auf dieser Grundlage berechneten Gebühren werden
dann mit dem zielbezogenen oder benutzerbezogenen Budget und
dem Budgetwert der globalen Schwellenwerte verglichen. Auf diese
Weise werden unerwartet hohe ISDN-Kosten vermieden.
Hash-Funktion
Eine Hash-Funktion ist ein Algorithmus, der Eingabedaten in eine kür-
zere Form, den Hash-Wert oder „Digest“, bringt. One-Way-Hash-Algo-
rithmen werden als kryptographische Verfahren bei der Authentisie-
rung und beim Erzeugen digitaler Unterschriften angewendet.
! One-Way-Hash-Algorithmen
Die Eingabedaten können beliebig lang sein.
138 AVM Access Server – Glossar
Die Ausgabe ist in der Regel von konstanter Länge.
Aus dem Ausgabewert kann der Eingabewert nicht mehr re-
konstruiert werden.
Der Algorithmus muss hinreichend kollisionsfrei sein, das
heißt, die Wahrscheinlichkeit, dass zwei verschiedene Einga-
bewerte denselben Ausgabewert liefern, ist gering.
! Keyed-Hash-Funktionen
Keyed-Hash-Funktionen sind One-Way-Hash-Algorithmen, die zu-
sätzlich zum Eingabewert noch einen Schlüssel in die Berechnung
einbeziehen. Keyed-Hash-Funktionen eignen sich somit zur Erzeu-
gung von Message Authentication Codes (MAC). Nur wer den
Schlüssel kennt, kann den richtigen MAC erzeugen. Die Hash-
Funktion wird dadurch noch kollisionssicherer.
HDLC (High-Level Data Link Control)
Ein Übertragungsprotokoll für Datenpakete über serielle Leitungen
nach ISO. Es handelt sich bei diesem Protokoll um einen strukturierten
Satz von Standards, der die Mittel festlegt, mit denen ungleiche Geräte
über Datennetze miteinander kommunizieren können. HDLC ist ein bit-
orientiertes und damit code-unabhängiges Sicherungsprotokoll für
Punkt-zu-Punkt-Verbindungen und Mehrpunktverbindungen. HDLC ist
von der ITU-T standardisiert (ITU = International Telecommunication
Union; ITU-T = ITU Telecommunication Standardization Sector). In HDLC
sind bestimmte Frames festgelegt, in denen die Datenblöcke aus der
Vermittlungsschicht eingebettet und über die physikalischen Verbin-
dungen übertragen werden. Nach DIN 66 221 besteht ein HDLC-Rah-
men aus der Blockbegrenzung (Flag), dem Adressfeld, dem Steuerfeld,
dem Datenfeld, dem Blockprüffeld (FCS) und einer abschließenden
Blockbegrenzung. HDLC benutzt Duplex-Betrieb und bietet die Quittie-
rung von mehreren Blöcken, in der Regel acht. Die Zusammenfassung
von acht Blöcken zu einer Quittierungseinheit wird Fenster (Window)
genannt.
Header
Jedes Datenpaket enthält einen Header, der Informationen über Absen-
deradresse-, Zieladresse und verwendetes Protokoll angibt. Um die
Übertragungsgeschwindigkeiten bei der ISDN-Datenübertragung zu er-
höhen und damit Kosten zu sparen, können Header komprimiert wer-
den.
AVM Access Server – Glossar 139
HMAC (Keyed-Hash Message Authentication Code)
Message Authentication Code (MAC), der mit einer Keyed-Hash-Funkti-
on erzeugt wird. Es kann eine beliebige Hash-Funktion verwendet wer-
den. Alle Funktionen der Authentisierung in IPSec basieren auf HMAC.
ICMP (Internet Control Message Protocol)
ICMP befindet sich auf Schicht 3 des OSI-Referenzmodells, und damit
auf derselben Ebene wie IP (Network Layer / Vermittlungsschicht). Es
setzt auf dem Internet Protocol (IP) auf und wird von IP behandelt, als
sei es ein Protokoll einer höheren Schicht.
ICMP ist Bestandteil jeder IP-Implementierung und hat in seiner Eigen-
schaft als Transportprotokoll nur die Aufgabe, Fehler- und Diagnosein-
formationen für IP zu transportieren, zum Beispiel Informationen über
Routen und Zieladressen. Ein Beispiel für einen weitverbreiteten
Dienst auf der Basis von ICMP ist Ping.
IKE (Internet Key Exchange)
Protokoll, das als Teil von IPSec für die Aushandlung der Verbindungs-
parameter zuständig ist. IKE ist als RFC 2490 veröffentlicht.
IP (Internet Protocol)
Innerhalb der TCP/IP-Protokollfamilie ist IP für die Weiterleitung von
Daten zuständig. Es hat generell die Aufgabe, die Datenübertragung
zwischen verschiedenen Netzwerken sicherzustellen. Zu den Aufgaben
von IP zählen:
! Datenpaketdienst
! Fragmentierung von Datenpaketen
! Wahl der Übertragungsparameter
! Adressfunktion
! Routing zwischen Netzwerken
! Spezifikation höherer Protokolle
IP stellt keine gesicherte Verbindung zur Verfügung (keine Ende-zu-En-
de-Kontrolle), es versst sich in dieser Hinsicht auf die Protokolle der
höheren Schichten. Es kann keine verlorenen oder abgelehnten Daten-
pakete neu generieren und erneut übertragen. Es ist auch nicht seine
140 AVM Access Server – Glossar
Aufgabe, Datenpakete in der richtigen Reihenfolge beim Empfänger ab-
zuliefern. Dies fällt in den Zuständigkeitsbereich der Transportschicht
(Schicht 4) des OSI-Referenzmodells.
IP setzt direkt auf Schicht 2 des OSI-Referenzmodells (Data Link Layer /
Sicherungsschicht) auf. Das Protokoll ist in RFC 791 beschrieben.
IP-Adresse
Die IP-Adressierung ist fester Bestandteil des Internet Protocols (IP). Ei-
ne IP-Adresse besteht aus vier Bytes. Die Darstellung der IP-Adressen
erfolgt in dezimaler, oktaler oder hexadezimaler Schreibweise. Der
AVM Access Server verwendet die dezimale Schreibweise, bei der die
einzelnen Bytes durch Punkte voneinander getrennt werden. Die Ge-
samtmenge der IP-Adressen – der Adressraum – wird in Klassen (A, B,
C, D und E) getrennt. Von den fünf Adressklassen werden nur die ersten
drei Klassen genutzt. Diese Klassen sind durch folgende Merkmale ge-
kennzeichnet:
Merkmale der IP-Adressklassen
Jede IP-Adresse enthält zwei Informationen: die Netzwerkadresse und
die Computeradresse. Die Bereichsgrößen der Netzwerkadresse und
der Computeradresse sind variabel, sie werden durch die ersten vier
Bits (des ersten Byte) einer IP-Adresse bestimmt.
! Klasse-A-Adressen bestehen aus einem Byte Netzwerkadresse
und drei Byte Computeradresse:
Klasse-A-Adresse
Beispiel: 88.120.5.120 (88 definiert die Netzwerkadresse,
120.5.120 die Computeradresse).
Klassen Merkmale Netzadresse,
dezimaler Wert
Klasse-A-Adresse Wenig Netzwerke, viele Netzknoten 0-127
Klasse-B-Adresse Mittlere Verteilung von Netzwerken
und Netzknoten
128-191
Klasse-C-Adresse Viele Netzwerke, wenig Netzknoten 192-223
X._._._
Netzwerkadresse
Rechneradresse
AVM Access Server – Glossar 141
! Klasse-B-Adressen bestehen aus zwei Byte Netzwerkadresse und
zwei Byte Computeradresse:
Klasse-B-Adresse
Beispiel: 130.6.2.130 (130.6 ist die Netzwerkadresse, 2.130 ist die
Computeradresse).
! Klasse-C-Adressen bestehen aus drei Byte Netzwerkadresse und
einem Byte Computeradresse:
Klasse-C-Adresse
Beispiel: 195.15.15.1 (195.15.15 ist die Netzwerkadresse, 1 ist die
Computeradresse).
RFC 1918 (Address Allocation for Private Internets) beschreibt folgende
Blöcke des IP-Adressraums als geeignet für private LANs:
10.0.0.0 – 10.255.255.255 (10/8 prefix)
172.16.0.0 – 172.31.255.255 (172.16/12 prefix)
192.168.0.0 – 192.168.255.255 (192.168/16 prefix)
IP-Maske, siehe „Subnetzmasken (Masken)“ auf Seite 147
IP-Masquerading
Ein Netz, eine IP-Adresse: Mit IP-Masquerading reicht eine „offizielle“
IP-Adresse für die Kommunikation zwischen privatem LAN und dem öf-
fentlichen Internet aus. Der AVM Access Server bearbeitet die IP-Adres-
sen in den TCP-, UDP- und ICMP-Paketen so, dass effektiv zum Internet
hin nur eine IP-Adresse sichtbar ist. Also können diese Hosts eines pri-
vaten LAN interne („inoffizielle“) IP-Adressen für die Kommunikation
mit dem Internet nutzen. Die Abschirmung eines in dieser Weise ge-
schützten Systems zu durchbrechen ist beträchtlich schwieriger, als ei-
ne gute Paket-Filter-basierende Firewall zu überwinden.
X.X._._
Netzwerkadresse
Rechneradresse
X.X.X._
Netzwerkadresse
Rechneradresse
142 AVM Access Server – Glossar
Siehe auch „NAT (Network Address Translation)“ auf Seite 143.
IPSec (Internet Protocol Security)
Sicherheitsstandard für die Netzwerkschicht in der Netzwerk-Kommu-
nikation. IPSec eignet sich sehr gut für VPN-Verbindungen und den
LAN-Zugriff entfernter Benutzer über DFÜ-Netze. IPSec verwendet die
beiden Sicherheitsprotokolle Authentication Header (AH) und Encap-
sulating Security Payload (ESP). AH ermöglicht die Authentisierung des
Absenders; ESP ermöglicht sowohl Authentisierung als auch Verschlüs-
selung. Die spezifischen Informationen des Sicherheitsprotokolls ste-
hen in einem Header, der an den IP-Header angehängt wird.
Keep-Alive-Pakete
Keep-Alive-Pakete werden periodisch im gesamten Netzwerk ausge-
sendet, um zu überprüfen, ob beispielsweise ein Client noch aktiv ist.
Erhält die sendende Station keine Antwort, unterbricht sie die logische
Verbindung.
LAN (Local Area Network)
Ein LAN ist ein räumlich begrenztes Netzwerk von Computern, wie bei-
spielweise das Kommunikationsnetz eines Unternehmens oder einer
Behörde. Entfernte Computer können sich über ISDN, ADSL, GSM oder
VPN und der entsprechenden Software (z.B. AVM Access Server) in den
Remote Access Server eines LANs einwählen.
Logische ISDN-Verbindung
Als logische ISDN-Verbindung wird der Zustand bezeichnet, in dem
sich eine Verbindung für beide beteiligten Gegenstellen als aktive
ISDN-Verbindung darstellt. Während der logischen ISDN-Verbindung
muss nicht permanent ein B-Kanal aufgebaut sein. Beim AVM Access
Server sind während der gesamten Dauer der logischen ISDN-Verbin-
dung alle Informationen bekannt, die beim ersten Verbindungsaufbau
zwischen den beiden Seiten ausgehandelt wurden. Dazu gehören das
verwendete Netzwerkprotokoll, ob und auf welche Weise eine Authen-
tisierung durchgeführt wird, Spoofingmechanismen und Kanalbünde-
lung. Ist kein B-Kanal aktiv und es stehen Daten zur Übertagung an,
kann sofort ein B-Kanal aufgebaut werden.
Internetverbindungen kennen keine logischen ISDN-Verbindungen, da
dieser Zustand von den Internetanbietern nicht unterstützt wird.
AVM Access Server – Glossar 143
Logische Netzwerkverbindung
Die logische Netzwerkverbindung bezeichnet die Verbindung zwischen
zwei LANs oder einem LAN und einem Client auf Netzwerkprotokoll-
Ebene. Solange eine logische Netzwerkverbindung besteht, ist die Ge-
genseite dem Router bekannt.
Metrik
Mit dem Wert für die Metrik wird eine Gewichtung von Routen vorge-
nommen. Wenn mehrere Routen zu einem Ziel definiert und verfügbar
sind, wählt der AVM Access Server die Route mit dem niedrigsten Me-
trik-Wert, da diese als „beste Route“ eingestuft wurde.
MSN (Multiple Subscriber Number = Mehrfachrufnummer)
Mehrfachrufnummern dienen im Euro-ISDN (D-Kanal-Protokoll DSS1)
zur Unterscheidung von mehreren Endgeräten an demselben S
0
-Bus
oder mehreren CAPI-Anwendungen auf demselben Rechner.
Im Bereich der Deutschen Telekom AG werden einem ISDN-Standard-
anschluss drei MSNs Mehrfachrufnummern zugewiesen.
NetBIOS (Network Basic Input/Output System)
Standard für die Unterstützung der Netzwerkkommunikation, der un-
abhängig von den jeweiligen Transporttypen ist. NetBIOS ist die Stan-
dardschnittstelle in Microsoft-Netzwerken und kann sowohl über IP als
auch IPX transportiert werden. NetBIOS versendet zahlreiche Broad-
casts (Rundsendungen), die mit Hilfe der speziellen Filter des AVM
Access Servers abgefangen werden können, um die Verbindungskos-
ten zu reduzieren.
NAT (Network Address Translation)
NAT ist ein Verfahren, bei dem IP-Adressen und Ports in den Headern
der IP-Pakete mit anderen als den ursprünglichen Werten überschrie-
ben werden. Der AVM Access Server führt bei NAT eine Tabelle, die eine
feste Zuordnung der ursprünglichen Werte von IP-Adresse und Port auf
die neuen Werte herstellt. Bei einkommenden Verbindungen, die ein
Weiterleitungsprofil benutzen, ist diese Tabelle statisch. Bei ausgehne-
den Verbindungen, die IP-Masquerading benutzen, ist sie dynamisch.
IP-Masquerading und Weiterleitungsprofile sind spezielle Formen von
NAT.
144 AVM Access Server – Glossar
Beim IP-Masquerading werden die Absender-IP-Adressen in den TCP-,
UDP- und ICMP-Paketen mit der aktuellen, öffentlichen IP-Adresse des
AVM Access Servers überschrieben. Die aus dem Internet ankommen-
den Antwortpakete für diese Verbindung werden dann wieder an die
ursprüngliche IP-Adresse des Clients im LAN weitergeleitet. Auf diese
Weise kann das LAN hinter einer einzigen öffentlichen IP-Adresse ver-
steckt werden. IP-Masquerading wird auch als Source NAT bezeichnet.
Mit Hilfe von Weiterleitungsprofilen wird in ankommenden Paketen die
Ziel-IP-Adresse, also die öffentliche, nach aen hin sichtbare IP-
Adresse des AVM Access Servers, mit einer internen IP-Adresse über-
schrieben. Somit können beispielsweise einkommende E-Mails (SMTP)
vom AVM Access Server auf definierte Hosts im privaten LAN weiterge-
leitet werden, auch wenn die Verbindung ins Internet über eine dyna-
mische, vom Internetanbieter zugewiesene IP-Adresse benutzt wird.
Weiterleitungsprofile werden auch als Destination NAT bezeichnet.
Netzwerkadresse, siehe „IP-Adresse“ auf Seite 140
PAP (Password Authentication Protocol)
Eines der beiden Protokolle für die Authentisierung. Auf der Seite, die
die Authentisierung verlangt, müssen ein Name und ein Passwort für
die Gegenseite konfiguriert werden. Die Gegenseite muss diesen Na-
men und das Passwort in ihren Einstellungen eingetragen haben. Bei
der Authentisierung mit PAP werden der Name und das Passwort im
Klartext übertragen, und die Gegenseite prüft, ob diese mit den eige-
nen Einstellungen übereinstimmen. Ist dies der Fall, wird die Verbin-
dung aufgebaut. Da PAP das Kennwort im Klartext überträgt, sollte PAP
nur dann zum Einsatz kommen, wenn die Gegenstelle nicht das deut-
lich sicherere CHAP beherrscht.
Physikalische ISDN-Verbindung
Bei der physikalischen ISDN-Verbindung sind tatsächlich ein oder sind
mehrere B-Kanäle aufgebaut, und es entstehen Verbindungsgebühren.
Die physikalische ISDN-Verbindung baut immer auf der logischen
ISDN-Verbindung auf, d.h., die ausgehandelten Verbindungsparameter
werden verwendet.
Ping (Packet InterNet Grouper)
Programm zum Testen, ob ein Host erreicht werden kann. Das Pro-
gramm schickt eine ICMP-Anfrage an einen IP-Host und wartet auf eine
entsprechende Antwort. Mit Hilfe der Option „-w“ nach dem Befehl
AVM Access Server – Glossar 145
„ping“ können Sie festlegen, wie viele Millisekunden das Programm
auf eine Antwort warten soll (Timeout). Da der Verbindungsaufbau
über ISDN und die Aushandlung der Gegenstelle einige Sekunden dau-
ern kann, sollten Sie bei einem Ping über ISDN als Timeout 5000 ange-
ben.
PPP, siehe „PPP over ISDN (Point-to-Point-Protocol)“ auf Seite 145
PPP over ISDN (Point-to-Point-Protocol)
Übertragungsprotokoll auf verbindungsorientierten Netzen wie zum
Beispiel ISDN, das eine protokollunabhängige Übertragung auf der
ISO/OSI Schicht 2 zur Verfügung stellt. Das Protokoll besteht aus einer
Reihe von Standards und Unterprotokollen. Diese beschreiben für ver-
schiedene Netze den Aufbau der übertragenen Daten. Dadurch soll ge-
währleistet werden, dass die Kommunikationsgeräte verschiedener
Hersteller einheitliche Verfahren zur Kommunikation verwenden. PPP
over ISDN ist in RFC 1618 beschrieben.
Port
Innerhalb von TCP- und UDP-Verbindungen dienen Ports der Unter-
scheidung von Verbindungen. Wenn auf einem Computer mehr als eine
Verbindung offen ist, reicht die IP-Adresse alleine nicht aus, um Ant-
worten, die ankommen, der richtigen Verbindung zuzuordnen. Bei aus-
gehenden Anforderungen oder Antworten vergibt das Betriebssystem
die Portnummern fortlaufend. Im IP-Masquerading-Modul von AVM
Access Server werden die Portnummern den Verbindungen zugeord-
net.
Well-known-Ports sind Portnummern, die von der IANA (Internet Assig-
ned Numbers Authority) bestimmten Diensten und Anwendungen zu-
geordnet wurden. Well-known-Ports sind aus dem Bereich von 0 bis
1023.
Proxy ARP
Proxy ARP ist kein Protokoll, sondern eine Erweiterung des AVM Access
Servers, die ARP-Anfragen mit Hilfe der aktuell gültigen Routing-Tabelle
beantwortet. Der AVM Access Server beantwortet dann ARP-Anfragen
anstelle der per ISDN angeschlossenen Stationen. Dadurch können per
ISDN an ein LAN angebundene entfernte Benutzer oder kleine Netze
denselben IP-Adressbereich nutzen, der auf dem LAN-Strang des AVM
Access Server gültig ist. Dies verringert den Konfigurationsaufwand.
146 AVM Access Server – Glossar
RADIUS (Remote Authentification Dial-In User Service)
Standard-Dienst auf der Basis von IP zur Authentisierung und Erfas-
sung von Accounting-Daten (Kosten-/Nutzungsdaten) für einwählende
Benutzer. Bei der Einwahl eines entfernten Benutzers leitet der AVM
Access Server eine Anfrage mit Benutzernamen und Passwort des Be-
nutzers an den RADIUS-Server weiter. Dieser führt die Authentisierung
durch und sendet die Bestätigung sowie eine Reihe von Konfigurati-
onsinformationen (z.B. IP-Adresse für den Benutzer) zurück. Das RADI-
US-Protokoll ist in RFC 2058, das RADIUS-Accounting in RFC 2139 defi-
niert.
RIP (Routing Information Protocol)
Das Routing Information Protocol (RIP) dient zum Austausch von Rou-
ting-Informationen zwischen Netzwerken (IP und IPX). Ein RIP-Router
ist ein Computer oder eine andere Hardware-Komponente, die Routing-
Informationen (wie z.B. Netzwerkadressen) überträgt und IP-Rahmen
in verbundenen Netzwerken weiterleitet. RIP ermöglicht einem Router,
Routing-Informationen mit Routern in der Netzwerkumgebung auszu-
tauschen. Wenn ein Router irgendeine Veränderung in der Struktur des
Netzwerkverbundes erkennt (z.B. einen nichtverfügbaren Router), lei-
tet er die Informationen an die Router in der Netzwerkumgebung wei-
ter. Router versenden außerdem regelmäßig RIP-Rundsendungspakete
mit allen Routing-Informationen, über die der Router verfügt. Durch
diese Übertragungen werden alle Router des Netzwerkverbundes syn-
chronisiert.
Route
Eine Route beschreibt den Weg, den ein Datenpaket zurücklegen muss,
um sein Ziel zu erreichen. Beim Empfänger der Datenpakete muss eine
Rückroute definiert sein, damit die Antwortpakete an den Absender ge-
schickt werden können.
Short-Hold-Modus
Unter Short-Hold-Modus versteht man den physikalischen Abbau inak-
tiver ISDN-Verbindungen nach einer festgelegten Zeitspanne. Für physi-
kalisch aktive ISDN-Verbindungen (B-Kanal belegt) fallen Gebühren an,
egal, ob gerade Daten übertragen werden oder nicht. Da der Verbin-
dungsaufbau über ISDN sehr schnell ist (1 bis 2 Sekunden), bietet es
sich an, die physikalische ISDN-Verbindung abzubauen, wenn längere
Zeit keine Daten mehr über die Leitung gehen. Die logische ISDN-Ver-
bindung bleibt je nach Konfiguration bestehen. Sobald dann Daten zur
AVM Access Server – Glossar 147
Übertragung anstehen, wird die physikalische Verbindung unterlagert
wieder aufgebaut. Dies geschieht für den Anwender im Netzwerk trans-
parent.
SMTP (Simple Mail Transfer Protocol)
SMTP ist ein Standardprotokoll zum Austausch von elektronischer Post
(E-Mail) zwischen verschiedenen Computern. SMTP setzt unmittelbar
auf TCP Port 25 auf. Es ist einfach strukturiert und unterstützt nur den
Versand von E-Mail über ein Datennetz. Das Protokoll wurde in RFC 821
definiert.
Spoofing
Englisch „to spoof“ = verballhornen, hier im Sinne von vorgaukeln.
Erfahrungsgemäß tauschen einige Anwendungen in Netzwerken stän-
dig Pakete aus, die bei WAN-Verbindungen über ISDN zu häufigem und
unnötigem Aufbau von Verbindungen führen können. Manche Paketty-
pen, vor allem vor allem die der Windows Datei- und Druckerfreigabe,
verlangen eine Bestätigung der Gegenseite und dürfen deshalb vom
AVM Access Server nicht einfach aus dem Datenstrom herausgefiltert
werden, da sonst die Anwendung nicht mehr am Server angemeldet
ist.
Unter Spoofing versteht man das lokale Beantworten von Paketen
durch einen Router. Besteht eine physikalische ISDN-Verbindung, wer-
den solche Pakete über die ISDN-Leitung geschickt. Sobald die physi-
kalische Verbindung durch den Inactivity Timeout (Zeitspanne bis zum
physikalischen Verbindungsabbau) abgebaut worden ist und die logi-
sche ISDN-Verbindung noch besteht, beantwortet der Client lokal die
Pakete und täuscht somit die Existenz einer physikalischen Verbin-
dung zur Gegenseite vor. Nachdem die physikalische ISDN-Verbindung
durch Datenpakete wieder aufgebaut wurde, wird das Spoofing einge-
stellt und es werden beispielsweise Watchdog-Pakete wieder über
ISDN übertragen.
Die verwendeten Spoofing-Mechanismen werden beim Verbindungs-
aufbau mit der Gegenstelle nach PSCP Draft ausgehandelt. Unterstützt
die Gegenstelle kein Spoofing, wird diese Funktion deaktiviert.
Subnetzmasken (Masken)
Durch die Verwendung von Subnetzmasken kann der „Rechnerteil“ ei-
ner Adressklasse in einen Subnetzteil umgewandelt werden. Dieser un-
terscheidet sich dann nicht in der Behandlung durch andere Rechner
148 AVM Access Server – Glossar
oder Router. Die Subnetzmaske gibt an, welche Bereiche als Subnetz-
und welche als Rechneradresse interpretiert werden. So wird beispiels-
weise eine Klasse-A-Adresse mit einer Standard-Subnetzmaske von 8
(255.0.0.0), durch die Subnetzmaske 16 (255.255.0.0) zu einer quasi
AVM Access Server – Glossar 149
Klasse-B-Adresse und durch die Subnetzmaske 24 (255.255.255.0) zu
einer quasi Klasse-C-Adresse. Eine einzelne IP-Adresse wird mit der
Maske 255.255.255.255 bzw. /32 beschrieben.
Die folgende Tabelle gibt einen Überblick über diese Umsetzung:
Bereich Anzahl IP-Adressen Bitmaske (von 32) Subnetzmaske
000-255 256 /24 255.255.255.0
000-127
128-255
128 /25 255.255.255.128
000-063
064-127
128-191
192-255
64 /26 255.255.255.192
000-031
032-063
064-095
096-127
128-159
160-191
192-223
224-255
32 /27 255.255.255.224
000-015
016-031
032-047
048-063
064-079
080-095
096-111
112-127
128-143
144-159
160-175
176-191
192-207
208-223
224-239
240-255
16 /28 255.255.255.240
150 AVM Access Server – Glossar
Subnetzmasken im AVM Access Server
TCP (Transmission Control Protocol)
TCP ist für den Einsatz über paketvermittelten Netzwerken geeignet. Es
setzt unmittelbar auf dem Internet Protocol (IP) auf und bietet virtuelle
Verbindungsdienste zur gesicherten Übertragung der Anwenderdaten
in der richtigen Reihenfolge. Es gewährleistet eine zuverlässige Verbin-
dung zwischen zwei Kommunkationspartnern. TCP ist als RFC 793 ver-
öffentlicht.
000-007
008-015
016-023
024-031
032-039
040-047
048-055
056-063
064-071
072-079
080-087
088-095
096-103
104-111
112-119
120-127
128-135
136-143
144-151
152-159
160-167
168-175
176-183
184-191
192-199
200-207
208-215
216-223
224-231
232-239
240-247
248-255
8 /29 255.255.255.248
Bereich Anzahl IP-Adressen Bitmaske (von 32) Subnetzmaske
AVM Access Server – Glossar 151
TCP/IP-Adresse, siehe „IP-Adresse auf Seite 140
Tunneling-Technik
Ein Verfahren, bei dem Datenpakete des einen Protokolls mit Hilfe ei-
nes anderen Protokolls übertragen werden. Zwischen den Endpunkten
wird eine virtuelle Verbindung aufgebaut, die man Tunnel nennt. Die
Daten des einen Protokolls werden am Tunnelanfang in die Datenpake-
te des zweiten Protokolls verpackt. Am Ende des Tunnels werden sie
wieder entpackt.
VPN (Virtual Private Network)
Internationale Bezeichnung für geschlossene logische Datenetze auf
der Basis virtueller Verbindungen.
Unter einem virtuellen privaten Netz versteht man ein firmen- oder in-
stitutionseigenes Netz von größerer Ausdehnung, das auf die vorhan-
denen Strukturen eines öffentlich zugänglichen Netzes aufsetzt.
Virtuelle private Netze nutzen die Tunneling-Technik, ein Verfahren, bei
dem Datenpakete des einen Protokolls mit Hilfe eines anderen Proto-
kolls übertragen werden. Siehe auch „Tunneling-Technik“ auf Seite 151.
UDP (User Datagram Protocol)
Dieses Protokoll ist auf Schicht 4 des OSI-Referenzmodells (Transport
Layer / Layer/Transportschicht) beheimatet und bietet den höheren
Protokollen einen definierten Dienst zum transaktionsorientierten Ver-
sand von Datenpaketen. UDP verfügt nur über minimale Protokollme-
chanismen zur Datenübertragung zwischen Kommunikationspartnern.
Da es – anders als TCP – keine Ende-zu-Ende-Kontrolle garantiert, sind
weder Ablieferung eines Datenpakets beim Empfänger, das Erkennen
von Duplikaten noch die reihenfolgerichtige Übermittlung der Datenpa-
kete gewährleistet. UDP ist im RFC 768 definiert.
Weiterleitungsprofil
Weiterleitungsprofile dienen dazu, für Ziele mit aktiviertem IP-Masque-
rading den Zugriff auf einzelne Server im lokalen Netz zu ermöglichen,
z.B. Web-Server, E-Mail-Server oder FTP-Server. Ein Weiterleitungsprofil
besteht aus einem Set von Weiterleitungsregeln. Die Weiterleitungsre-
geln legen fest, welche IP-Pakete zu welchen Servern im lokalen Netz
weitergeleitet werden.
152 AVM Access Server – Glossar
Bei Internetverbindungen wird im AVM Access Server grundsätzlich IP-
Masquerading verwendet. Wenn Sie den Zugriff aus dem Internet auf
einzelne Server in Ihrem LAN erlauben wollen, dann müssen Sie ein
Weiterleitungsprofil einsetzen.
Siehe auch „NAT (Network Address Translation)“ auf Seite 143.
Ziele
Der Begriff „Ziel“ wird als Sammelbegriff für Internetverbindungen und
die Verbindung zu entfernten Netzwerken benutzt.
AVM Access Server – Index 153
Index
A
Abbauen, Verbindung 37
Aktive IP-Routen 40
Anlagenanschluss 9
Aufbauen, Verbindung 37
Aushandlungen 99
AVM Access Server
Einsatzmöglichkeiten 7
AVM-Support
Support per Telefon 130
B
Benutzeroberfläche 30
Konfigurationsansicht 34
Menüs 31
Monitoring-Ansicht 36
Symbolleiste 33
B-Kanal-Reservierung 88
C
CAPI 2.0-Anwendungen 13
COSO (Charge One Site Only). Siehe Kostenüber-
nahme
D
Datenbanken 44
Datenbankverwaltung 44
Datenkompression 10
DDI. Siehe Nachwahlziffer (DDI)
Deinstallation 29
Dokumentationen 126
Downloads 127
DSL 8
Dynamic DNS 105
Dynamisches Routing 88
E
Ereignisse 40
F
Filter 68
Firewall 68
Forward-Filter 69
Globaler Input-Filter 69
Globaler Output-Filter 69
IP-Filter 68
IP-Filterprofile 72
Protokollierung 70
Zielgebundener Input-Filter 69
Zielgebundener Output-Filter 69
Firewall 68
Firmware 127
G
Garantie 2
Glossar 131
GSM 9
H
Header-Kompression 10
Hilfe 126
I
Informationen im Internet 126
Installation und Inbetriebnahme 15
Interoperabilität 124
IP-Filter 68
IP-Filterprofile 72
IP-Masquerading 84
Weiterleitungsprofile 85
IP-Routen 40
IPSec 93
Transportprotokolle 97
ISDN
Anlagenanschluss 9
Logische Verbindung 10
Mehrgeräteanschluss 9
Nutzung 8
Physikalische Verbindung 10
154 AVM Access Server – Index
K
Kanalbündelung 10
Kompressionsverfahren 104
Konfigurationsansicht 34
Kostenübernahme (COSO) 89
Kundenservice 126
L
Literatur 130
Logische ISDN-Verbindung 10
M
Mehrfachrufnummer 13
Mehrgeräteanschluss 9
Menüs 31
Monitor-Funktionen 36
Ereignisse 40
ISDN B-Kanäle 39
Nutzungsstatistik 41
Paketmitschnitt 43
Routingtabelle 40
Monitoring. Siehe Monitor-Funktionen
Monitoring-Ansicht 36
MSN. Siehe Mehrfachrufnummer
N
Nachwahlziffer (DDI) 13
Netzwerkprotokolle 87
Newsletter 127
NTR.MDB 44
NTRLOG.MDB 44
Nutzungsstatistik 41
P
Paketmitschnitt 43
Physikalische ISDN-Verbindung 10
PPP over ISDN 124
Priorität 89
Produktvarianten 14
Produktversion 37
R
RFCs, unterstützte 124
Routing
dynamisch 88
statisch 88
Routing-Tabellen 87
S
Service 127
Severstatus 37
Statisches Routing 88
Statistikfunktionen 12
Support
per E-Mail 129
per Telefax 129
Symbolleiste 33
T
Transportprotokolle 97
Tunnel 91, 92
U
Updates 127
V
Verbindungen auf-und abbauen 37
Verbindungssteuerung 36
, 37
Virtual Private Network (VPN) 90
Aushandlungen 99
IPSec 93
Kompressionsverfahren 104
Protokoll 93
Sicherheit 93
Transportprotokolle 97
Tunnel 91
, 92
Zertifikate 101
VPN. Siehe Virtual Private Network (VPN)
W
Weiterleitungsprofile 85
AVM Access Server – Index 155
Z
Zeitprofile 89
Zertifikate 101
Ziele
B-Kanal-Reservierung 88
Kostenübernahme (COSO) 89
Priorität 89
Zeitprofile 89
156

Hulp nodig? Stel uw vraag in het forum

Spelregels

Misbruik melden

Gebruikershandleiding.com neemt misbruik van zijn services uitermate serieus. U kunt hieronder aangeven waarom deze vraag ongepast is. Wij controleren de vraag en zonodig wordt deze verwijderd.

Product:

Bijvoorbeeld antisemitische inhoud, racistische inhoud, of materiaal dat gewelddadige fysieke handelingen tot gevolg kan hebben.

Bijvoorbeeld een creditcardnummer, een persoonlijk identificatienummer, of een geheim adres. E-mailadressen en volledige namen worden niet als privégegevens beschouwd.

Spelregels forum

Om tot zinvolle vragen te komen hanteren wij de volgende spelregels:

Belangrijk! Als er een antwoord wordt gegeven op uw vraag, dan is het voor de gever van het antwoord nuttig om te weten als u er wel (of niet) mee geholpen bent! Wij vragen u dus ook te reageren op een antwoord.

Belangrijk! Antwoorden worden ook per e-mail naar abonnees gestuurd. Laat uw emailadres achter op deze site, zodat u op de hoogte blijft. U krijgt dan ook andere vragen en antwoorden te zien.

Abonneren

Abonneer u voor het ontvangen van emails voor uw AVM Access Server bij:


U ontvangt een email met instructies om u voor één of beide opties in te schrijven.


Ontvang uw handleiding per email

Vul uw emailadres in en ontvang de handleiding van AVM Access Server in de taal/talen: Duits als bijlage per email.

De handleiding is 1,75 mb groot.

 

U ontvangt de handleiding per email binnen enkele minuten. Als u geen email heeft ontvangen, dan heeft u waarschijnlijk een verkeerd emailadres ingevuld of is uw mailbox te vol. Daarnaast kan het zijn dat uw internetprovider een maximum heeft aan de grootte per email. Omdat hier een handleiding wordt meegestuurd, kan het voorkomen dat de email groter is dan toegestaan bij uw provider.

Stel vragen via chat aan uw handleiding

Stel uw vraag over deze PDF

Andere handleiding(en) van AVM Access Server

AVM Access Server Gebruiksaanwijzing - English - 142 pagina's


Uw handleiding is per email verstuurd. Controleer uw email

Als u niet binnen een kwartier uw email met handleiding ontvangen heeft, kan het zijn dat u een verkeerd emailadres heeft ingevuld of dat uw emailprovider een maximum grootte per email heeft ingesteld die kleiner is dan de grootte van de handleiding.

Er is een email naar u verstuurd om uw inschrijving definitief te maken.

Controleer uw email en volg de aanwijzingen op om uw inschrijving definitief te maken

U heeft geen emailadres opgegeven

Als u de handleiding per email wilt ontvangen, vul dan een geldig emailadres in.

Uw vraag is op deze pagina toegevoegd

Wilt u een email ontvangen bij een antwoord en/of nieuwe vragen? Vul dan hier uw emailadres in.



Info