Willkommen bei Willkommen im Support Forum von Wolfgang Utz
Search
Topics
  Email an den Sysop Home  ·  Login/Account  ·  Forums  ·  Treiber  
support.longshine.de :: Thema anzeigen - kpl. Anleitung zum Einrichten von Routern
  •  Gruppen  •  FAQ  •  Ränge  •  Regeln  •  Smilies Liste  •  Statistik  •  Unser team  •


  •  Hauptseite  •  Suche  •  Profil Bearbeiten  •  Mitglieder Liste  •  Private Nachrichten  •  Favorites  •  Login  •   

kpl. Anleitung zum Einrichten von Routern

 
Neues Thema eröffnen   Neue Antwort erstellen    support.longshine.de Foren-Übersicht -> Hilfestellung / Printserver / Access Points / NAS etc. Printable Version
Vorheriges Thema anzeigen :: Nächstes Thema anzeigen  
Autor Nachricht
admin
admin
admin
Status: Offline

Dabei seit: Aug 18, 2005
Beiträge: 689
Wohnort: Hamburg

Level: 23
HP: 12 / 1225  
 1%
MP: 585 / 585  
 100%
EXP: 56 / 65  
 86%
BeitragVerfasst am: Mo Aug 22, 2005 3:44 pm    Titel: kpl. Anleitung zum Einrichten von Routern Antworten mit Zitat

Diese Anleitung wird noch überarbeitet. Das ist erst mein erster Entwurf den ich am Wochenende geschrieben habe. Sie ist als Hilfestellung gedacht nicht als Bestseller zu verstehen.

Anleitung zum Einrichten eines Routers !!!!!!

Wichtig für alle User. Wenn der Router upgedatet wird, müssen folgende Regeln beachtet werden ( das gilt im übrigen nicht nur für Router, sondern auch für Printserver oder Access Point's):

1.) Der Router muss in die Werkseinstellung gebracht werden.
"Set Factory default" anklicken ( englische Firmware )
"Werkseinstellung" anklicken ( deutsche Firmware )

2.) Der Rechner der das Update aufspielt, muss eine feste IP haben
3.) Antivirenprogramme müssen abgeschaltet werden.
4.) Security und Encryption ( Verschlüsselung ) Programme aus.
5.) Alle anderen Rechner vom Router trennen.
6.) Nur einmal auf das Updatetool klicken.
7.) Nutzt das Tool unter Updates

Jetzt zum X-ten Mal: Durch das Update wird der Chip im Router überschrieben. Somit bekommt der Router zwangsläufig die 192.168.1.1 wieder als IP. Er behält also nicht die IP mit der er im Firmennetzwerk arbeitet. Wer jetzt den Router updatet mit einen anderen IP als 192.168.1.1 zerstört den Router mit Absicht.
Da das Update meist mehr Speicher in Anspruch nimmt, wird die alte Konfiguration eh überschrieben. Also erst den Router in die Werkseinstellung bringen.

Der Rechner der das Update durchführt, muss eine feste IP haben. Grund: Wenn der Rechner über den DHCP-Server im Router versorgt wird ist doch eins ganz klar - in dem Moment wo der Router anfängt das Update einzuspielen, wird der DHCP-Server ausser Betrieb gesetzt. Somit verliert doch aber auch der Rechner, der das Update durchführt, die Verbindung zum Router und das Update wird unterbrochen. Der Router ist tot.




Diese Anleitung bezieht sich auf das Einrichten des Longshine Routers DSL, DSL-4F und WRP-4F. Es lohnt sich die
Anleitung ganz durchzulesen, da sie sich auf alle Betriebssysteme bezieht.

Zuerst wird der Client Rechner vorbereitet, bevor es an die Konfiguration des Routers geht.

1.) Es sollten nur der Client für Microsoft, die Netzwerkkarte und das TCP/IP als Protocol installiert sein. Genauso
wie auf dem Bild. Alle anderen Netzwerk-Adapter ( DFÜ, PPPoE etc. ) bitte löschen. Genauso wie Familie Logon und die ganzen
anderen Dienste und Protocole wie NetBeui.



Die Datei- und Druckerfreigabe stellt ein Sicherheitsrisiko dar. Diese sollte also nur nach Bedarf installiert sein. Unter „IDENTIFIKATION“ geben wir den Rechnern dann sinnige Namen.




Die Arbeitgruppe sollte natürlich auf allen Rechner gleich sein. Bitte auf Groß- und Kleinschreibung achten.

Kleiner Tipp:
Ich editiere mir immer die Datei „HOSTS“. Hier trage ich dann die IP’s mit dem dazugehörigen Rechnernamen ein. So kann man dann u.a. den hauseigenen Web FTP-Server mit Namen auflösen ohne auf dem Router zu landen. Das ist aber nur ein Vorteil von vielen; die Datei kopiert man dann von Rechner zu Rechner.

Unter Win2000 und XP unter

C:\WINNT\SYSTEM32\DRIVERS\ETC

Sonst einfach die Suchfunktion.



Dann auf Zugriffssteuerung gehen und „ZUGRIFFSSTEUERUNG auf FREIGABEEBENE“ wählen.



Unter Konfiguration klicken wir doppelt auf den „CLIENT für MICROSOFT“
Hier wählen wir die „SCHNELLE ANMELDUNG“. Es beschleunigt den Rechnerstart.




Win2000 und WinXP unterliegen dem C2 Standard, welcher eine erhöhte Sicherheitsstufe beinhaltet. Deshalb ist eine Userverwaltung in den Betriebssystemen enthalten. D.h. wenn ein Win98 Rechner auf ein XP zugreifen möchte, muss der User im Win2000 bzw. XP eingerichtet werden. Erst dann gewährt der Rechner Zugriff auf die eventuell freigegebenen Ressourcen, der auch Drucker und ähnliches beinhaltet. Man kann sich natürlich auch auf allen Rechnern mit dem gleichen Namen anmelden. Somit braucht man nur einen User zu verwalten. Die Verwaltung findet ihr unter

START>EINSTELLUNG>SYSTEMSTEUERUNG>VERWALTUNG>
COMPUTERVERWALTUNG>LOCALE BENUTZER UND GRUPPEN>BENUTZER


Dann die Netzwerkkarte doppelt anklicken und die Geschwindigkeit von AUTO umstellen auf Full_Duplex. Jetzt wird das TCP/IP angeklickt. Gebt dem Rechner hier eine feste IP.




Der Rechner vom Administrator bzw. der Rechner der den Router konfiguriert, bekommt auf jeden Fall eine feste IP

Der Rechner erhält vom DHCP Server ( Router ) eine IP über das Protocol BOOTP. Wenn der Rechner über APPLY eine Konfiguration speichert, wird der Router resetet. In dem Moment verliert der Rechner die Verbindung zum Router. Das kann fatale Folgen haben.

Beispiel: Der Rechner will den Router updaten. Jetzt wird über das UDP Protocol das BIN-File übertragen. Der Router resetet sich und der Rechner verliert die Verbindung. Damit werden aber nicht mehr alle Befehle übermittelt die nötig sind, um den Vorgang abzuschließen. Der Router bleibt in einer Wartestellung (rotes Dauerleuchten der Status LED). Der Router lässt sich nicht mehr pingen. Hier hilft in aller Regel der eben besprochene Schritt und dann das Update noch mal aufrufen.


Es macht Sinn, mit der 192.168.1.2 anzufangen und dann allen weiteren die nächst freie IP zu geben (192.168.1.3 etc.). Wer viele User hat ist natürlich auf den DHCP-Server angewiesen.

Aber eine Grundregel sollte immer beachtet werden: Der Rechner vom Administrator, die Accesspoints ,Printserver und feste Server wie NOVELL sollten immer mit festen IP’s arbeiten.

Jetzt muss der Rechner ein Gateway bekommen. Denn alle Anfragen die nicht im localen Netz beantwortet werden können, werden automatisch an das Gateway (den Router) umgeleitet.



!!! Nicht vergessen auf „Hinzufügen“ zu klicken !!!

Dann fehlt uns noch der DNS-Server.

Anders als im Bild sollte 213.191.74.18 gewählt werden. Es gibt DNS Server Listen. <B> Macht euch mal die Mühe die Listen durchzupingen. Das bedeutet schnelleres WAN-Netzwerk ( z.B. Hamburg). Ach, wenn Hamburg hustet hat München Schnupfen... :grrrr... </b>Dann den besten mit anpingen. Die kleinste Antwortzeit ist wie gesagt die beste ...



Der DNS-Server ist dafür zuständig, das IP’s in Namen und Namen in IP’s umgewandelt werden. Wenn der Router online ist, aber nur mit IP gesurft kann oder Namen wie http://woopin.dyndns.org nicht aufgelöst werden, ist immer der DNS-Server falsch oder nicht erreichbar. Ich habe im Forum eine Liste guter bis sehr guter DNS-Server abgelegt. Es macht Sinn, diese Server einmal alle anzupingen. Der Server mit der kleinsten Antwortzeit (z.B. 60 ms) ist für den Standort die beste Wahl, da die Abfragen alle über den Server laufen. Also beeinflusst der Server die gesamte Geschwindigkeit des Netzwerks. Host und Domäne ist in aller Regel egal. Hier kann man irgend etwas eintragen (siehe Beispiel). User die mit Domänen und Hosts vertraut sind, werden diesen Absatz sowieso überspringen. Nicht vergessen: auf „Hinzufügen“ klicken.

Oft kommt es bei Win98 und WinME Rechnern vor, dass das Netzwerk richtig eingerichtet ist und das Loopback (IP des einen Rechners) funktioniert, aber kein anderer Rechner im Netzwerk angepingt werden kann. Hier sollte dann das TCP/IP deinstalliert werden und ein anderes Protocol wie NetBeui installiert werden. Den Rechner dann neu starten. Jetzt das TCP/IP wieder nachinstallieren und das NetBeui raus. Nach dem Neustart läuft es dann wieder.

Die Software T-Online o. ä sollte auf jeden Fall vorher unter Systemsteuerung> Software deinstalliert werden!!! Auch sollte man unter >Systemsteuerung >Software > Systemkomponenten >das DFÜ Netzwerk (am besten Verbindungen und Online-Dienste ganz abschalten) deinstallieren. Nach Bedarf kann es ja wieder nachinstalliert werden. Das ist in aller Regel sowieso der richtige Weg, denn die Online-Software wie T-Online oder Onlinebanking setzen einen funktionierenden TCP/IP Stack voraus. Da wir aber diverse Änderungen vorgenommen haben, funktionieren dann die Verbindungen nicht sauber bzw. die Programme finden die Server nicht, da sie über das DFÜ Netzwerk installiert worden sind. Das DFÜ für Router ist aber überflüssig - außer für die User, die noch über eine ISDN-Karte arbeiten, weil sie das FAX brauchen, was ja bekanntlich nicht über den Router arbeitet -.




Jetzt müssen noch alle Firewalls (Norton, Zonealarm etc.) deinstalliert werden. DAS IST WICHTIG!!! Abschalten reicht nicht! Auch ist es wichtig, dass Sicherheits- / Verschlüsselungssoftware wie PGP oder Wincrypt abgeschaltet wird. Den Virenscanner nicht vergessen. Das sind alles Stolperfallen, wenn Passworte geändert werden oder Updates gemacht werden. 99 % der im Forum gegrillten Router sind genau an diesen Fehlern gestorben.

Erst jetzt haben wir einen funktionierenden Rechner, der dann wie folgt geprüft wird: Über START>AUSFÜHREN> geben wir WINIPCFG ein.



Hier sollten jetzt die richtige Netzwerkkarte die IP (ich habe - anders als beschrieben - die 192.168.1.32 stehen da ich diverse Rechner brauchte, um die Printscreens zu machen. Asche auf mein Haupt Zwinkernd ) und das Gateway auftauchen. Unter WEITERE INFO steht noch der DNS-Server. Stimmt alles, wird das Netzwerk geprüft.



ein (Bei Win2000 und WinXP heißt es CMD) und entern. Auf dem Prompt folgt dann...



das PING mit der IP des Routers und aller anderen Rechner. Also „ PING 192.168.1.1 etc.
Erst wenn alle Rechner Router und Printserver erreichbar sind geht es weiter.

XP und Win2000

Jetzt die Abweichungen, die bei Win2000 und XP erforderlich sind. Bei XP (ich setze voraus, dass das Desktop wie bei Win2000 eingerichtet ist und es sich nicht um die Teletubbies-Konfiguration mit Wald und Wiese handelt)

Unter START>EINSTELLUNG>NETZWERKVERBINDUNG> die Aktive LAN-Verbindung wählen. Diese dann mit der rechten Maustaste anwählen und unter EIGENSCHAFTEN



Hier wird das Netzwerk vorbereitet. Zuerst den QoS-Paketplaner deinstallieren, so dass nur noch der CLIENT für MICROSOFT, bei Bedarf die DATEI UND DRUCKERFREIGABE und das TCP/IP installiert sind.



Jetzt doppelt auf das TCP/IP klicken.



Einstellung wie oben. Dann auf Authentifizierung klicken.



Hier alle Haken ausmachen.



Dann auf ERWEITERT und die Firewall aus. Alles speichern.

Jetzt wird auch der Rechner überprüft. START>AUSFÜHREN>CMD eingeben und



Enter. Jetzt IPCONFIG / ALL eingeben



Hier kann man jetzt alle Einstellungen kontrollieren. Taucht hier der DFÜ oder PPPoE Adapter mit auf….. Wir lesen von oben. Auch hier noch mal alle Rechner und ähnliche Devices durchpingen.



Jetzt sollten über Netzwerkumgebung alle Rechner auftauchen. Wenn es Probleme gibt - die Suchfunktion nutzen. Eventuell nicht den Rechner suchen sondern die IP von dem Rechner.
Win2000 hat das Problem dass er unheimlich lange braucht, bis er Rechner findet bzw. bis er auf die Platten zugreifen kann. Hier sollte in der Regestry (ist bei mir einer der ersten Schritte bei allen Betriebssystemen) folgender Schlüssel gelöscht werden:

Wenn Windows 2000 in einem LAN mit Win9x Clients bei Netzzugriffen extrem langsam wird liegt dies daran, dass Windows 2000 bei jedem Rechnerzugriff auch geplante Tasks prüft.

Um dies zu verhindern, sollte man in der Registry unter [HKEY_LOCAL_MACHINE SOFTWARE Microsoft Windows CurrentVersion Explorer RemoteComputer NameSpace den Ordner "{D6277990-4C6A-11CF-8D87-00AA0060F5BF}" löschen


Jetzt muss bei WinXP und bei Win2000 auf jeden Fall das Servicepack drüberweg installiert werden. Ich habe mit dem SP3 von Win2000 nur Probleme. Aus diesem Grunde kommt bei mir nur SP2 rauf. Dagegen läuft das SP1 von XP sauber. Die Servicepacks sind aber ein Muss nach all den Änderungen. Wer dann noch mit WinMe und Win98 Probleme hat, sollte im laufenden Betrieb das Setup von der CD ausführen. Jetzt das Win98 drüberweg installieren. Keine Angst . Das System bleibt erhalten wie es verlassen wurde. Es werden aber DLL die in der Quersumme nicht stimmen oder gar ganz fehlen ausgetauscht. Jetzt sollte aber alles laufen.

Kleiner Test:

Über START>AUSFÜHREN>Telnet 192.168.1.1> ENTER

Nun sollte der Anmeldebildschirm vom Router auftauchen. Hat geklappt? Super.

Jetzt nehmen wir die letzte Hürde. Der Browser.

Nach dem start vom IEXPLORER gehen wir auf Extras



dann INTERNETOPTIONEN…



Wenn hier eine Verbindung ausgewählt ist oder auftaucht habt Ihr obrige Schritte nicht befolgt. Auf jeden Fall darf hier keine Verbindung aktiv sein. Wir kommen sonst nicht auf den Router. Dann auf LAN klicken



Auch hier alle Haken raus. Jetzt den I-Explorer neu starten. Jetzt ist es endlich soweit.

Wir konfigurieren den Router

Wir geben folgendes in die Adressleiste ein



Kleiner Tipp :
Wenn Ihr http://admin:0000@192.168.1.1 eingebt, kommt Ihr gleich in den Router und überspringt das Login Fenster. Das zieht Ihr - wie ich oben im Bild - als ADSL Verknüpfung von der Adressleiste in die Link-Leiste. Jetzt kommt man mit einem Klick in den Router.



An alle XP User. Die Browserleiste ist in aller Regel fixiert. Da muss mit der rechten Maustaste in den rechten oberen freien Rand geklickt werden



Jetzt den Haken bei Symbolleiste fixieren raus. Jetzt die Adressleiste herunterziehen, bis die Linkleiste erscheint.


Ich habe jetzt ein deutsches Interface gewählt. Ich schreibe die englische Bezeichnung aber dahinter. Ich hoffe man verzeiht mir….


Jetzt wählen wir „INTERNET VERBINDUNG oder CONNECTION SETUP“ dann ADSL

Wenn Ihr das Bild seht seid Ihr verkehrt….





Dann ADSL….



Als erstes muss das PPPoE auf „Ja oder YES“. Wie wir alle wissen ist der WAN Port ja auch nur eine Netzwerkkarte. Aber durch das anschalten des PPPoE wird hier ein Protocol aufgebunden was die Kommunikation mit dem Modem ermöglicht ( Übermittlung von Login und Password, CHAP und PAP ) Deshalb brauchen wir auch keine Telefonnummer. Euch bekannt durch die Installation der T-Online Software. So wird nämlich das PPPoE auf die Netzwerkkarte gebunden und die Netzwerkkarte kann mit dem Modem kommunizieren. Bleibt der Schalter auf Nein oder No kann man den Router mit einer Standleitung benutzen .

Login sollte klar sein. Dabei spielt es keine Rolle ob T-Online oder was auch immer. Passwort ist auch klar. Wenn Ihr unter Hilfsmittel oder Tools den Router testet, es aber nicht mit Succsessfull abgeschlossen wird, seht ihr nach 1237371362834762384263#0001@t-online.de ein Auth failure. Somit ist klar das der T-online Server euer Login nicht akzeptiert hat.

Der Service Name ist frei wählbar. Hat keinen direkten Einfluss.

„Wählen bei Bedarf“ oder „Connect on Demand steht mit „ Verbindung trennen nach Leerlaufzeit von bzw. „ Maximum Idle Time before Disconnecting im unmittelbaren Zusammenhang. Das heißt wenn Ihr hier auf Ja oder Yes schaltet, zählt der Router die in der
Verbindung trennen ( Minuten ist die kleinste Einheit ) eingegebene Zeit runter und trennt dann die Verbindung. Aber sobald nur das kleinste Traffic statt findet wird die Zeit von neuem runter gezählt.

Und jetzt noch mal für alle. Immer wieder kommt es vor das behauptet wird „ obwohl keiner im Internet ist läuft der Router weiter“. Ja dem ist wahrscheinlich auch so. Denn das Betriebssystem, Virenscanner und vieles vieles mehr fragen automatisch nach Updates , Timeservern und ähnlichen nach. Wohl beliebtestes Beispiel ist WinXP. Die tickern den Router an obwohl keiner den Browser auf hat. Da das aber nur Kunden trifft die keine Flatrate haben muss hier eine andere Einstellung gewählt werden. Wer nicht genau weiß wie der Router kontrolliert wird bzw. ob er Online ist muss das über den STATUS kontrollieren. Wichtig ist hier die WanIP. Erst wenn die auf 0.0.0.0 steht ist der Router OFFLINE. Man kann zur Kontrolle ja ein Fenster offen lassen und dann gucken wann der Router sich Online schaltet.

Also wer keine Flaterate hat sollte folgende Einstellung wählen:

Wählen bei Bedarf = Nein
Connect on Demand = NO
Verbindung trennen nach Leerlaufzeit von = 0 ( Null )
Maximum Idle Time before Disconnecting = 0 ( Zero )
Keep Alive = NO

Somit muss der Router unter STATUS manuell ( per Hand ) an und ausgeschaltet werden. Das entspricht voller Kostenkontrolle. Kontrollieren kann man den Status über „INTERNET WAN IP“. Nicht über die Zeit die hochgezählt wird. Die gibt nur die Zeit an der letzten Änderung der IP. Wenn die Zeit auf 3455 sek. steht aber die „INTERNET WAN IP“ auf 0.0.0.0 heißt das nicht anders als das der Router seit 3455 sek. mit der IP 0.0.0.0 arbeitet. Sobald die Zahl ( IP ) anders ist als 0.0.0.0 ist der Router Online.


IP Adresse aushandeln bzw. IP Address Negotiation ist seitens der WAN-Seite ( Modem ) der DHCP Server. Der muss immer auf „Aktivieren“ bzw. „Enable“ stehen. Das weicht nur ab bei einer Standleitung. Von vielen Kunden wird gern ein anderer DNS-Server weiter unten auf der Seite eingetragen. Und nach dem Login bzw. der Neueinwahl steht wieder der alte DNS-Server drin. UPS. Ist aber klar. Über den DHCP-Server bekommt der Router vom Provider eine IP, ein Gateway und einen DNS-Server übermittelt. Genau der letztere überschreibt eure Einstellungen. Also kann da stehen was will. Aktiv ist das Gateway und der DNS-Server der im Online Zustand unter „STATUS“ steht. Es sei den wie oben beschrieben Ihr arbeitet mit einer festen IP über die Netzwerkkarte im Rechner. Dann habt Ihr ja der Netzwerkkarte eine statische route gegeben. Somit könnt Ihr dann ja eben einen für euch günstigen DNS-Server wählen. Der DNS-Server des Providers der automatisch übermittelt wird via DHCP ist nämlich mit Abstand nicht immer der günstigste. Hier kann man das locale Netzwerk ein bisschen tunen.

Steht unter IP Adresse aushandeln „Nicht aktiv“ ist im nächsten Feld die IP des Providers einzutragen. Die steht dann auf eurem Zettel vom Provider.

Die MSS sollte von 1322 auf 1452 geändert werden. Warum ?

MRU,MTU und MSS?
A: MRU: Max Receive Unit, : Maximale Größe einen PPP- Packetes inklusive Overhead
MTU: Max Transmission Unit, : Maximale Größe des IP-Packetes
MSS: Max Segment Size, : Maximale Nutzlast eines TCP-Packetes
Die Begriffe sollte man nicht verwechseln, und sich auch nicht davon irritieren lassen, dass es in einem Falle Receive und im anderen Transmit heisst. Sie gehören zu verschiedenen Protokollschichten.
Normalerweise ist es völlig egal was man einstellt, aber bei PPPOE gibt es ein Problem:

Die maximale Packetgröße auf dem Ethernet ist 1514 Bytes, inklusive des MAC-Headers. In die nach Abzug des MAC-Headers verbleibenden 1500 Bytes muß das IP-Packet inklusive des PPP und PPPOE Overheads passen, man muß die MTU Size so definieren, daß das auch geht.

1500 - 6 Byte PPP - 2 Byte PPPOE gibt eine MTU von maximal 1492.
Die MTU wird von den höheren Protokollschichten dazu verwendendet, die maximale Nutzlast zu bestimmem (bei TCP ist das die MSS). Wenn man Masquerading/Routing benutzen möchte gibt es jedoch ein Problem: Die anderen Rechner im lokalen Lan haben normalerweise alle eine MTU von 1500, d.h. sie verschicken zu große IP-Packete und teilen bei TCP Connections der anderen Seite mit was sie als größtes Packet empfangen können. Wenn ein Router ein zu großes Packet über eine Schnittstelle mit kleinerer
MTU versenden möchte, sollte er es fragmentieren und der Anwender merkt davon nichts (ausser vielleicht am etwas niedrigeren Durchsatzes auf Grund des Overheads). Der T-DSL Router der Telekom
unterläßt das jedoch, und schmeißt zu große Antwortpackete von der anderen Seite einfach weg
1. Man ändert auf allen Rechnern im lokalen LAN die MTU auf 1492.
2. Beim Aufbau einer TCP-Connection reduziert der Router die ausgehandelte MSS auf 1420. (Dafür dient die MSS Option)
Selbst wenn der Bug bei der Telekom behoben wird, ist das wegen des kleineren Overheads sinnvoll (keine Fragmentierung nötig).

Noch eine Bemerkung: Die MSS Option wirkt nur bei TCP-Connections, und nicht bei UDP oder anderen Protokollen. Bei manchen Anwendungen kann deshalb Methode 1 erforderlich sein.

Die Clients im LAN senden mit einer Standard-MTU von 1500 und der Router routet diese Pakete einfach an das PPP-Device weiter. Es gibt 2 Möglichkeiten, den Fehler zu beheben: 1. Die MTU auf allen Clients im LAN muss auf 1492 gesetzt werden.
2. Die eingehenden Pakete aus dem LAN werden auf dem Router zerschnitten und neu mit der korrekten MTU wieder zusammengesetzt. Dieses Vorgehen nennt man MSSClamping (MSS = MTU - 40 Bytes TCP/IP-Header).


Achtung! Es wird hier die MSS angegeben (1492-40 Bytes TCP/IP-Header = 1452).
TCP Maximum Segment Size


Jetzt sollte auch dem letzten klar sein was die MSS und die MTU ist und warum man damit viel Performance aus den Netzwerk holt.

Keep Alive ist für alle User die eine Flatrate haben. Wenn diese Funktion an ist sind „Wählen bei Bedarf“ oder „Connect on Demand und „ Verbindung trennen nach Leerlaufzeit von bzw. „ Maximum Idle Time before Disconnecting außer Kraft.

Auf Dynamic/Static-IP Setup und DNS gehe ich nicht weiter ein. Das ist wie schon gesagt für User mit Standleitung.

Fazit: Hier wird nur das PPPoE auf Ja gestellt. Das Login und Passwort eingegeben und Keep Alive auf Enable gestellt. Dann auf „Speichern oder „Save“ und links „Übernehmen oder „Apply“ drücken. Das reicht damit der Router Online geht und alle Rechner surfen können.
Sollte es nicht auf Anhieb klappen sollte das Modem und der Router kurz Stromlos geschaltet werden. Dann Strom rauf und zwei Minuten warten. Jetzt sollte der Router automatisch online sein.



Die LAN-IP-ADRESSE oder LAN IP-ADRESS ist die Netzwerkkarte die von der Switch Seite erreicht wird. Wenn das Netzwerk mit z.B. 192.168.0.1 – 192.168.0.30 arbeitet ist hier dann die IP auf 192.168.0.31 einzutragen. Mit der Subnetz Maske kann man das Netzwerk in zwei Teilnetze teilen. Wenn man z.B. nur 10 Rechnern im Netz den Zugang gewähren möchte kann man hier die Sub abändern auf z.B. 255.255.255.20 . Das Gateway bleibt der Router selbst. Es sein den man hat einen andern Router im Einsatz ( Standleitung mit mehr Bandbreite) . Dann kann man hier den Netzwerkverkehr umleiten.

Die NAT ( Das Lieblingsspielzeug aller Counterstrike User ) muss im Normalfall immer an sein. Einzige Ausnahme bildet wieder die Standleitung.

Wofür die NAT ( Network Adress Translation :
NAT - Beispielhaft erklärt
"Network Adress Translation" oder auch "IP-Mascerading"



Im obigen Beispiel haben wir ein Szenario, wie man es oft findet: Ein Router wird in einem Netzwerk als Zugangsrouter für das Internet genutzt. Es ist ein vollständiger Internetzugang konfiguriert und der Router erhält nach Einwahl vom Provider eine offizielle IP-Adresse auf seinem ISDN Interface zugewiesen. NAT wurde für diesen WAN Partner (z.B. T-Online) aktiviert.
Hier setzt NAT nun die Adressen des "internen" Netzes (z.B. 192.168.1.0) auf die "offizielle" Adresse (in diesem Beispiel 212.23.4.65) um.
Beobachtet man nun den Lebensweg einer Anfrage eines Clients, ergibt sich folgender Gang:
Der Client 192.168.1.3 startet den Internet Explorer, welcher zunächst die Homepage von Microsoft aus dem Internet laden möchte. Da er die IP-Adresse von www.microsoft.com nicht kennt, wendet er sich zunächst an seinen Nameserver, der in unserem Beispiel die Adresse 212.102.98.34 haben soll.
Die Anfrage wird formuliert und ein IP-Paket mit einer UDP Anfrage auf Port 53 für den DNS-Server versendet.
Das Paket hat, wie jedes IP-Paket, eine Absender-IP-Adresse (192.168.1.3) und eine Empfänger-IP-Adresse (212.102.98.34), ausserdem einen Absende-Port (1025) und einen Empfäger-Port (53). Der Absende-Port stammt aus dem Bereich der Client-Ports. Auf diesem Port wartet der Client im weiteren Verlauf auf seine Antwort. Die Angaben zu den Ports stehen im UDP-Header.
Kurzgefasst kann man die Adressierung des Pakets so formulieren:
192.168.1.3:1025 -> 212.102.98.34:53
Jetzt muss der Client entscheiden, wohin mit dem Paket. Ein Blick in seine Routingtabelle zeigt ihm: Keine Netzwerkroute vorhanden, dass auch nur annähernd mit 212.... beginnt, also ein Fall für sein Standard-Gateway.
Der Client sendet das Paket also an den Router (konkret im Ethernet: von seiner MAC-Adresse an die Routingtabelle).
Das Paket kommt am Router an. Selbiger wirft einen Blick in seine Routingtabelle, um zu entscheiden, wohin mit dem Paket. Wiederum findet er neben seinem eigenen Netz 192.168.1.0 keine weitere Netzwerkroute und entscheidet sich daher für seinen "default" Eintrag in der Routingtabelle, welcher auf den Provider verweist.
Da NAT für den Provider aktiviert ist, wird im folgenden die Absender-IP-Adresse des Pakets gegen die offizielle IP-Adresse des Router-Interfaces (212.23.4.65) ausgetauscht. Damit kann das Paket im Internet transportiert werden, denn nun wird es von einer offiziellen IP (212.23.4.65) zu einer anderen (212.102.98.34) transportiert. Kurz formuliert:
212.23.4.65:1025 -> 212.102.98.34:53
Das reicht aber noch nicht aus! Denn angenommen der Client 192.168.1.2 surft gleichzeitig los und nutzt ebenfalls seine Client-Port 1025 ergibt sich folgendes Paket:
192.168.1.2:1025 -> 212.102.98.34:53
und nach der Ersetzung durch NAT auf dem Router:
212.23.4.65:1025 -> 212.102.98.34:53
Dadurch würde der Router zwei Antworten vom DNS erhalten die an die IP-Adresse 212.23.4.65 mit dem Port 1025 gerichtet sind und wüsste gar nicht, welchem Client im internen Netz welche Antwort zuzustellen ist. Die Adressierung der Pakete ist identisch, sie können jedoch ganz unterschiedliche Inhalte haben!
Daher wird auf dem Router nicht nur die Absende-IP-Adresse ausgetauscht, sondern auch der Absende-Port. Der Router verwendet dafür Port-Adressen aus dem "high-range" Bereich (über 32.767)
Aus den DNS Anfrage 192.168.1.3:1025 -> 212.102.98.34:53 wird damit:
212.23.4.65:33385 -> 212.102.98.34:53
und aus der Anfrage 192.168.1.2:1025 -> 212.102.98.34:53 wird damit:
212.23.4.65:33386 -> 212.102.98.34:53
Die Anfragen kommen am DNS an, der die Antworten nunmehr an die Absender zurücksendet: 212.102.98.34:53 -> 212.23.4.65:33385 und 212.102.98.34:53 -> 212.23.4.65:33386
Die Antwortpakete kommen an denRouter an, die nun in einer internen Tabelle nachschaut, welcher interne Client den nun auf welches Paket wartet. In unserem Fall sieht die Tabelle vereinfacht so aus:
Index Intern Extern
1 192.168.1.3:1025 212.23.4.65:33385
2 192.168.1.2:1025 212.23.4.65:33386
Der Router tauscht nun die externen Daten gegen die entsprechenden internen Daten aus.
Aus 212.102.98.34:53 -> 212.23.4.65:33385 wird 212.102.98.34:53 -> 192.168.1.3:1025.
Aus 212.102.98.34:53 -> 212.23.4.65:33386 wird 212.102.98.34:53 -> 192.168.1.2:1025.
Damit gelangen die Daten an den richtigen Rechner im internen Netz.
Die Ports im high-range Bereich werden bei NAT einfach immer weiter nach oben gezählt.




Hier braucht wohl nicht viel geschrieben werden. Es sollte auf jeden Fall das Passwort von 0000 auf eins eurer Wahl geändert werden falls das Remotemanagment unter Firewall auf ENABLE steht.

Datum und Zeit ist selbst erklärend.





Zum Status gibt es auch nicht sehr viel zu beschreiben. Wichtig ist hier nur die Internet Wan IP. Wer wissen möchte ob der Router Online ist bzw. ob die Einstellungen wirksam worden sind bezüglich der Verbindungsdauer guckt sich die WAN IP an. Steht hier 0.0.0.0 ist der Router Offline. Alles andere ist Online. Unten kann man dir Firmware ablesen.




Der Online Status bzw. „Zugriffe anzeigen“ ist ein Monitor um nachzuschauen welcher Rechner mit welcher IP und mit welchem Port auf welchen Server im Internet zugreift.
Big Brother is watching you



Der PPPoE Test sollte klar sein. Hier kann der Router manuell online geschaltet werden. Über das PING kann man DNS-Server testen oder ähnliches. Über LADEN UND SPEICHERN“ bzw. „LOAD AND SAVE“ können verschiedene Konfigurationen geladen werden. Ein typisches Beispiel wäre z.B. wenn man verschiedene Benutzerprofile abspeichert um z.B. bei T-Online andere Mitbenutzer Suffixe zu nutzen. Ein weiteres Beispiel wäre z.B.
wenn jemand eine Konfiguration mit 15 Regeln unter LOCAL SERVER einträgt um ein Spiel online zu betreiben. Jetzt kann man aber nur max. 20 Regeln erstellen. Also speichert man die Konfiguration auf der Festplatte ab. Jetzt erstellt man sich Profil für Edonkey ( edonkey.bin ) oder für andere Anwendungen. Wenn alle Wunschkonfigurationen auf der Platte abgespeichert sind kann man nach Wunsch die gewünschte Konfiguraton laden ohne jedes mal im Router die Einstellung zu ändern. Über Firmware Update kann man den Router mit eventuell besserer Firmware versorgen. Wichtig ist hier aber das der Rechner wie oben beschrieben eine feste IP hat.

Da die Firmwaren nicht immer die gleiche Größe haben kann es sein ( was nervig ist ) das die gespeicherten Konfigurationen nicht mehr in den Router geladen werden können. Das liegt an den veränderten oder verschobenen Speicherbereich im Router. Das läst sich aber leider nicht ändern.




Wireless:

Die Funktechnik der IEEE 802.11b Funk-LANs arbeitet im Frequenzbereich 2,4 bis 2,4835 GHz. Dieser Frequenzbereich ist ein sogenanntes ISM-Frequenzband (ISM steht für Industrial/Scientific/Medical), ein lizenzfreies Band. In diesem Frequenzbereich ist die sogenannte zulässige effektive isotrope Strahlungsleistung (also sowas wie die "Sendeleistung") auf 100mW beschränkt. Tatsächlich arbeiten die zur Zeit gebräuchlichen noch mit einer weitaus niedrigeren Sendeleistung von 35 Milliwatt. Zum Vergleich hierzu: Ein Handy arbeitet mit einer Sendeleistung von bis zu 2 Watt (was ca. 60 mal so viel wäre).
Aufgrund dieser vergleichsweise minimalen Strahlungsstärke wird die Funktechnologie nach IEEE 802.11b auch bereits in Krankenhäusern (insb. in OP-Sälen zusammen mit weiteren hochempfindlichen elektrischen Geräten) sowie in Pflegeheimen eingesetzt.
Es ist allgemein bekannt, daß es in keinem Fall 100% Sicherheit gibt. Trotz allen Bedenken ist ein Funk-Netzwerk nicht weniger sicher als ein kabelgebundenes LAN. Bestätigung für diese These liefert die Praxis - wo in höchst sensiblen Bereichen wie z.B. bei Banken etc. die Funk-Technik bereits eingesetzt wird.

Es stehen hierfür mindestens 3 Ebenen der Sicherung gegen unbefugten Zugriff:
a) Verschlüsselung mit 64-Bit oder 128-Bit
b) Zugangseinschränkung über die eindeutige MAC-Adresse
c) Definition einer eindeutigen Gruppenidentität
Zudem haben Sie auf der Netzwerkebene die betriebssystem-spezifischen Sicherheitsmöglichkeiten.

Der Netzwerkname ist die Arbeitsgruppe in der man sich einloggt. Any steht für eine offen Arbeitsgruppe. Der Kanal bezieht sich aufs Frequenzband. Es liegt zwischen 2400Mhz und
2483.5 Mhz. Durch wechseln des Bandes kann es sein das der Router bessere Entfernungen überbrücken kann. Das sollte man aber individuell ausprobieren. Die Transferrate sollte wie im Bild stehen. Durch herabsetzen der Rate kann man auch größere Reichweiten
überbrücken.




Beacons sind 802.11 MAC Management Frames, die folgendes beinhalten:
"Timestamp, Beacon Interval, Capabilities, SSID, Supported Rates, parameters, Traffic Indication Map"
Beacons sind also regelmäßige "Bakensignale" mit denen sich der Access Point im Funk "bekanntgibt". Das Zeitintervall in dem dies geschieht ist das Beacon Intervall.

RTS Threshhold:
ab einem gewissen Datenaufkommen kann der Funkverkehr nicht mehr ordnungsgemäß mit wahlfreiem Zugriff (CSMA/CA) abgewickelt werden. Ab einer bestimmten Schwelle ist es sinnvoll das Übertragungsmedium für die Datenübertragung zu reservieren. Dies wird vom Access Point mit dem RTS/CTS Mechanismus gesteuert. Vereinfacht ausgedrückt handelt es sich dabei um ein Polling-Verfahren, bei dem der Access Point die Clients nacheinander abfragt.
"Medium Reservation: «To enable/disable the RTS/CTS handshake. "

Fragmentierung:
Die Pakete werden auf der Funkseite in kleinere Pakete aufgeteilt. Wird ein Paket währen der Übertragung verfälscht/zerstört, braucht nur dieses relativ kleine Paket erneut übertragen zu werden. Dies steigert somit die Datensicherheit und Übertragungssicherheit.
" A hit in a large frame requires re-transmission of a large frame
Fragmenting reduces the frame size and the required time to re-transmit"

Preamble:
die Preamble kann 72 oder 144 Byte lang sein (short oder long). Sie dient der Funk-Synchronisierung von Access Point und Client, damit die Biterkennung synchron läuft.
Für kürzere Entfernungen des Access Points zum Client von ca. <5 m kann eine Short Preamble beim Datendurchsatz etwas Vorteile bringen.
Bei größeren Entfernungen zum Access Point kann es durch Synchronisationsverlust allerdings zu Paketverlusten führen, so dass es hier besser ist die long Preamble einzusetzen. Durch die Paktetverluste und erneute Übertragung der Pakete hat hier eine kurze Preamble keine Vorteile mehr.
Im Regelfall sollte die Preamble also auf "long" stehen.

DTIM = Delivery Traffic Indication Map
DTIM Period = Power Management related parameter to specify the timing of the delivery of multicast traffic to stations
that have indicated to receive multicast messages while under power management.
Example: «DTIM=1 means multicast traffic when it arrives at the AP is passed through after every beacon
«DTIM=3 means multicast traffic is passed through after every 3rd beacon message "




WEP :

Um dieses Defizit auszugleichen und ein kabelgebundenen Netzen vergleichbares Sicherheitsniveau zu schaffen, hat die IEEE in ihrem WLAN-Standard IEEE 802.11 eine Sicherheitsarchitektur namens WEP (Wired Equivalent Privacy) spezifiziert, die zur Datenverschlüsselung und optional zur Authentikation eines Endgeräts gegenüber einer Basisstation dienen soll. IEEE 802.11 ist ein seit 1997 bestehender Standard, der ähnlich dem europäischen HiperLAN-Standard die physikalische Schicht und die MAC-Schicht für ein Funk-LAN im 2.4-GHz-Band definiert. Endgeräte können in einem sogenannten infrastructure mode mit einer Basisstation (access point) verbunden werden oder auch untereinander spontane Verbindungen aufbauen (ad hoc mode).
WEP verwendet einen 64-Bit-shared key zwischen Basisstation und Netzwerkadapter (bzw. 128 Bit beim neueren WEP128), von denen jedoch jeweils 24 Bit auf einen Initialisierungsvektor entfallen. Es kommt der RC4-Algorithmus zur Verwendung. Zum Schlüsselmanagement wird im Standard wenig ausgesagt und so findet man in der Praxis häufig nur einen gemeinsamen shared key pro Netzwerk

Das aktivieren des WEP verringert den Nutzdatendurchsatz. Der Mac-Adress Table ist hier leider nicht zu sehen. Er stellt ein höheres Mass an sicherheit da. Beim aktivieren haben dann nur noch die Rechner zugriff von denen die MAC Adresse eingetragen ist. Die Mac Adresse bekommt man dann bei Win98 mit WINIPCFG.EXE raus und bei Win2000, WinXP mit IPCONFIG /ALL.



ADVANCED SETUP:

Der Name DHCP steht für das "Dynamic Host Configuration Protocol". Es dient dazu, Clientrechnern beim Hochfahren automatisch die richtigen Netzwerkeinstellungen zuzuweisen. Dazu gehören die IP-Adresse mit der Netzmaske, der Gateway, der Clientname mit der Domain, in der sich der Client anmeldet und natürlich der zuständige DNS-Server sowie der WINS-Server für die Auflösung der Windows-Namen. Dazu sendet der Client eine spezielle Anfrage ins Netzwerk ("Broadcast"), worauf der Server mit den gewünschten Daten antwortet. Sobald der Client die Daten (Netzwerkeinstellungen) übernommen hat, werden sie auf dem Server auf bestimmte Zeit ("lease time") für genau diesen Client anhand seiner Netzwerkkartennummer (MAC-Adresse) reserviert.

Wie bereits oben besprochen hat der Router zwei DHCP Server. Einen seitens der WAN Verbindung und diesen. Auf die Konfiguration gehe ich nicht weiter ein. Ich möchte hier nur noch mal darauf hinweisen!! Ich empfehle hier auf jeden Fall den DHCP Server auszuschalten. Es macht wenig Sinn für 10 User und weniger den Dienst zu nutzen. 90% der Fehler im Forum resultieren hieraus. Auch gibt es immer wieder Probleme mit dem Printserver. Die meisten von Euch nutzen dann auch noch Spiele, Edonkey und Web-Server. Das soll dann alles vom Router intern gelöst werden.

Nehmt euch eine Kugelschreiber ( Handyplotter ) , wer ihn noch kennt , und zeichnet eine Skizze mit den Rechnern und den IP’s der Rechner. Klebt ihn unter den Router. So kann man auch in einem Jahr noch die Netzwerkstruktur nachvollziehen. Das macht jeder Administrator
in großen Firmen.






Unter den folgenden Bildern kann man dann die in Nutzung ( grade vergebenen ), die Reservierten ( für Printserver etc. ) und den eigentlichen Adressbereich anschauen.




DMZ:
DMZ (Demilitarized Zone) bietet eine zusätzliche Ethernet-Schnittstelle zur Bereitstellung öffentlicher Server in einem durch den Firewall geschützten Netzwerk, das jedoch vom Firmen-LAN isoliert ist.



Die DMZ Funktion sollte bei Multiport Programmen wie Netmeeting, Spielen u.ä. genutzt werden. Wer ein VPN-Server realisieren möchte muss auch auf jeden Fall den Rechner ( der ja eine feste IP hat ) unter DMZ eintragen. Der Rechner arbeitet dann mit der IP des Providers. Da ein VPN Tunnel mit der 128 Bit Verschlüsselung
arbeitet kann der Router die Pakete nicht auswerten. Somit kann der Router die Daten nicht durch die SPI auswerten. Der Rechner bleibt unerreichbar. Beim Router kann nur ein Rechner vor der Firewall ( DMZ ) arbeiten. Nur wenn eine Standleitung gemietet worden ist und mehrere IP’s reserviert sind können im Router auch mehrere Rechner unter DMZ eingetragen werden.



Auf statische Routen gehe ich hier nicht weiter ein. Ich bin der Meinung das User die diese Funktionen brauchen fundiertes Wissen haben bzw. gelernte Administratoren sein sollten.

Wer mit statischen Routen arbeitet setzt den Router wahrscheinlich auch nicht als Internet Gateway ein. Der benutzt den Router zum verbinden von Teilnetzen. Da das aber bei Longshine Kunden eher selten vorkommt erspare ich mir die arbeit und wenn stehe ich ja am Telefon zur Verfügung. Das RIP ( Routing Information Protocol ) sollte auf Aktivieren ( Enable )stehen.



LOCAL SERVER

Jetzt mal zum allgemeinen Verständnis. Der Router arbeitet im Auslieferungszustand mit einer aktiven Firewall die in der Grundkonfiguration den größt möglichen Schutz bietet.
Das heißt alle Rechner im LAN ( LAN to WAN ) dürfen alles und jeden Port nutzen. Sie können also Surfen Email abholen Onlinebänking nutzen , eben alles.
Alle Rechner aus dem Internet dürfen und können nicht ins LAN ( WAN to LAN ).

Jetzt bietet der Router zwei Arten von Firewall Regeln die man erstellen kann. Einmal die IP bezogenen unter Firewall-Setup. Und die der Port bezogenen unter LOCAL SERVER.
D.h. im Router werden Tabellen erstellt nachdem der Router die Pakete aus dem Internet auswertet.
Wer unter „Firewall“ Regeln ( WAN to LAN ) erstellt reißt ein erhebliches Sicherheitsloch in
die Firewall. Beliebt ist hier das Netmeeting. Netmeeting nutzt einen Bereich von Ports die geroutet werden müssen. Den aber kennen die Hacker.

Sinn macht hier eigentlich nur Regeln zu erstellen wenn man mit Rechnern ( Hier ein Beispiel von einem User für VPN Servern )

arbeitet die eine feste IP haben, was in aller Regel nur Firmenrechner sind. Die bessere Lösung ist der „LOCAL SERVER“. Über den LOCAL SERVER werden nur Pakete geroutet die vordefiniert worden sind. Und dann auch nur an der festgelegten Rechner. Wenn man also einen Web-Server ins Internet stellen möchte ( HTTP, FTP, EDONKEY bla bla bla ) trägt man den Port mit der Rechner IP ( Rechner hat ja eine feste IP ) hier ein. Der Router wertet jetzt das Paket aus indem er in den Header des Paketes guckt und schaut dann in seiner Routing Tabelle nach. In aller Regel sollte bei EXT und INT der gleiche Port angegeben werden.

Beispiel:

Ich habe 4 Rechner.

Rechner 1 ( 192.168.1.10 )habt einen HTTP-Server am laufen auf Port 80

(Im übrigen hat Win2000 und WinXP einen guten Web-server mit FTP-Server im Betriebssystem enthalten )

Rechner 2 ( 192.168.1.11 ) hat einen FTP-Server am laufen auf Port 21

Rechner 3 ( 192.168.1.12 )hat Edonkey am laufen

Rechner 4 ( 192.168.1.13 ) einen Web-Server auf Apache Basis auf Port 8880

Jetzt sieht die Tabelle unter „LOCAL SERVER“ folgernder maßen aus.

Protocol = TCP EXT = 80 IP = 192.168.1.10 INT = 80
Protocol = TCP EXT = 20 IP = 192.168.1.11 INT = 20
Protocol = TCP EXT = 21 IP = 192.168.1.11 INT = 21
Protocol = TCP EXT = 4661 IP = 192.168.1.12 INT = 4661
Protocol = TCP EXT = 4662 IP = 192.168.1.12 INT = 4662
Protocol = UDP EXT = 4665 IP = 192.168.1.12 INT = 4665
Protocol = TCP EXT = 8880 IP = 192.168.1.13 INT = 8880

Man kann natürlich auch zwei Web-Server auf Port 80 in Intranet haben. Dann sollten aber der fragende Client eine Option dem Browser mit auf den Weg geben
Beispiel:

Rechner 1 ( 192.168.1.100 ) Web-Server auf Port 80 ( Apache )

Rechner 2 ( 192.168.1.200 ) Web-Server und FTP-Server auf Port 80 und 21 ( IIS 5 Microbensaft )

Dann sieht die Tabelle folgendermaßen aus:

Protocol = TCP EXT = 8080 IP = 192.168.1.100 INT = 80
Protocol = TCP EXT = 20 IP = 192.168.1.200 INT = 20
Protocol = TCP EXT = 21 IP = 192.168.1.200 INT = 21
Protocol = TCP EXT = 80 IP = 192.168.1.200 INT = 80

Jetzt lautet der Aufruf im Browser wie folgt

http://woopin.dyndns.org:8080 für Apache

http://woopin.dyndns.org für den zweiten Server


An dieser Stelle möchte ich noch mal kurz auf das Email oder Onlinebanking eingehen.
Viele User haben die Software von T-Online im Einsatz gehabt was nach der Installation des Routers nicht mehr funktioniert.

Beim Email wurde mit dem Mitbenutzer Suffix gearbeitet. Das kann über den Router nicht mehr funktionieren da sich der Router mit dem Account 2348726382346293476247#0001@t-onine.de eingeloggt hat. Somit kommt man nicht an
die Mail vom Suffix #0002@xxxxxxxx.xx ran. Daher sollte man jetzt auf den verschiedenen Rechnern mit Outlook-Express arbeiten. Also unter Konto hinzufügen dann …..

Rechner 1 login#0001@t-online.de + Passwort POP3 Server = pop3.t-online.de SMTP = smtp.t-online.de

Rechner 2 login#0002@t-online.de + Passwort POP3 Server = pop3.t-online.de SMTP = smtp.t-online.de usw.

Gleiches gilt für Onlinebanking. Ich kann nur jedem raten sich von Software zu lösen die Provider abhängig arbeiten wie die T-Online Software. Kleiner Tipp:
WISO mein GELD ist eine hervorragende Online-Banking Software die mit jedem Provider arbeitet. Dann hat die Software div. Connectoren um sich alte Datenbestände aus T-online StarMoney u.ä. zu importiert. Sie arbeitet auch mit allen gängigen Verschlüsselungen einschließlich HCBI .

Also wenn irgendwelche Probleme mit Email oder Onlinebanking auftreten liegt es nicht am Router. Hier sind auch keinerlei Ports Freizuschalten da die Anfragen aus dem LAN kommen wie auch vom IExplorer.



DDNS

DDNS ist ein dynamischer Service der es ermöglicht trotz wechselnder IP den Rechner namentlich erreichbar zu machen und das rund um die Uhr.
Der Router schaut in seiner NAT Tabelle nach der IP des WAN-Ports. Sobald sich die IP
ändert übermittelt der Router sofort ( und nicht in Interwallen ) die IP an den in der
Firmware vorgegebenen Anbieter. In unserem Fall DYNDNS . Dort wird im Server sofort
der registrierte Name mit der aktuellen IP im DNS-Server eingetragen.
Wie schon oben beschrieben kann der bei DYNDNS registrierte Server local nicht abgerufen werden. Es sei den man hat seine Hosts Datei gepflegt oder man testet es über einen zweiten Account.

Sorry, aber leider muss ich auch darauf noch mal hinweisen. Es langt nicht sich bei DYNDNS zu registrieren. Mit der Email bekommt man einen Link auf den man doppelt klickt ( Klick Klick ) Damit wird erst der Dienst bzw. der Account frei geschaltet.

Dann wird der Account wie im Bild zusehen eingetragen .

http://forum.longshine.de/phpbb2/bilder/anleitung/router19.jpg[/img]

Firewall:


Port 139 ist der vermutlich in Suchmaschinen meist gesuchte und für Anwender von Firewalls gehasste Port, weil er bei Sicherheits-Scans geöffnet ist und scheinbar rätselhafte Dinge macht. Gefährlich ist er nicht, denn er gehört zur Gruppe der NetBIOS Ports, die durchaus sinnvolle Funktionen zur Verfügung stellen, allerdings auch für Angriffe genutzt werden können.

NetBIOS ist das 1981 für IBM entwickelte Net-Basic-Input-Output-System, mit dem Anwendungen die Möglichkeit des Aufbaus virtueller Transportverbindungen und der Verwaltung symbolischer Namen für Rechner im Netzwerk (so genannte NetBIOS-Namen) gegeben wird. Über das NetBIOS können zum Beispiel Ressourcen wie Drucker und Verzeichnisse für das Internet freigegeben werden. Abgewickelt wird dies über die Ports 135 bis 139. Was auf der einen Seite für interne Netzwerke hilfreich sein kann, öffnet Angreifern ein grosses Tor für Angriffe. Leichtsinnig für das Netz geöffnete Freigaben können also jederzeit auch ungebetene Gäste anlocken.

Die RPC- (Remote Procedure Call) -Endpunktzuordnung eröffnet dabei RPC-Clients über Port 135 die Möglichkeit, die Anschlussnummer zu ermitteln, die aktuell einem bestimmten RPC-Dienst zugeordnet ist. Der RPC ist ein Protokoll, das die Implementierung verteilter Anwendungen, also Netzwerkdienste vereinfachen soll. Ursprünglich von der Firma Xerox entwickelt, haben sich heute drei Standards etabliert:
ONC: Open Network Computing
NCA: Network Computing Architecture
DCE: Distributed Computing Environment

Wie der Name schon verdeutlicht, handelt es sich um eine Dienstleistung, die auf einem entfernten Rechner erbracht wird. Im Unterschied zu lokalen Prozeduraufrufen ergeben sich daraus zahlreiche Probleme:

Welcher Host bietet einen entsprechenden Dienst an?
Welches Transportprotokoll (TCP/UDP) soll verwendet werden?
Was ist bei Ausfall des Dienstanbieters (Server)?
Semantik des Aufrufs (genau, höchstens oder mindestens einmal)
Datendarstellung (Wortbreite, big endian, little endian)
Performance
Sicherheit

Neben den nützlichen Eigenschaften kann Port 135 aber auch von Angreifern benutzt werden, um vielleicht einen Rechner abstürzen zu lassen. Dazu kann der Angreifer zum Beispiel eine Verbindung über Telnet eine Verbindung zum RPC Dienst herstellen und einige Zeichen übergeben. 10 Zeichen reichen bereits aus, um die CPU auszulasten. Der Rechner ist dann nur noch mit einem Reboot zum Leben zu erwecken. Diese Attacke wird allgemein als RPC Attacke bezeichnet und spielt auch unter Windows2000 noch eine wesentliche Rolle, da die Funktionen weitestgehend von Version zu Version übernommen wurden.

Schließen lässt sich Port 135 sehr einfach, indem die Eigenschaften der DFÜ- und Netzwerkverbindungen geöffnet werden.

Dort wird das Internet Protokoll TCP/IP ausgewählt und die erweiterten Eigenschaften.

Im Register "WINS" wird das Häkchen an "NetBIOS über TCP/IP deaktivieren" gesetzt.

Die Ports 135 bis 139 sollten anschließend bei einem TCP Scan nicht mehr erscheinen beziehungsweise geschlossen sein.

Sinnvoll ist die Deaktivierung immer dann, wenn NetBIOS nicht benötigt wird. Neben einer Steigerung der Performance wird weniger Angriffsfläche für Datendiebstahl und Denial of Service Attacken gegeben, was den Rechner gesamt sicherer macht.

Wird NetBIOS benötigt, wenn zum Beispiel mehrere Rechner im LAN laufen und erhalten die LAN Rechner über das Internet Connection Sharing (ICS) Verbindung zum Internet, sollte die Netzstruktur neu überdacht und mit sicheren Komponenten aufgebaut werden. Möglich wird das zum Beispiel aus einer Kombination vom nicht routbaren NETBEUI Protokoll für die interne Rechner-Kommunikation und einem leistungsfähigen und kostenlosen Proxy-Server wie Jana Server. Die Einrichtung und Konfiguration ist auch nicht schwieriger als mit ICS, bietet dem Rechner aber weit mehr Sicherheit.

Denial of Service-Attacks
Eine der größten Gefahren im Internet stellen so genannte „Denial of Service-Attacks“ dar, bei diesen Attacken werden Rechner im Internet zu Absturz gebracht, die dann vorübergehend nicht zur Verfügung stehen, deshalb auch „Denial of Service“(Verweigerung des Dienstes). Eines haben fast alle Attacken gemein, sie nutzen die Löcher von schlecht programmierten TCP/IP- Protokollen aus. Hier sind die populärsten Attacken, wie sie Täglich im Netz vorkommen.
Email-Bombe
Der ältesten „Denial of Service-Attacks“ ist das inzwischen „klassische“ Email-Bombing. Hierzu wird ein Empfänger mit einer Vielzahl von gleichlautenden Emails regelrecht bombardiert, so daß das nächste Herunterladen der vorhandenen Emails zur Qual werden dürfte. Die Ausführung erzeugt aber noch ein anderes Opfer: Eine Mailbombe besteht im Prinzip aus einer einzigen Email, die an einen SMTP-Mailserver zur Ausführung geschickt wird. Diese Email hat jedoch die Besonderheit, dass sie die Email-Adresse des Opfers gleich mehrmals als Empfänger enthält. Der ausführende Mailserver hat bei entsprechend hoher Angabe von Empfängern ebenfalls entsprechend genug zu tun, diese Emails zu generieren und zu versenden.
Eine sehr unangenehme Variante des Email - Bombings ist die Anmeldung eines Opfers bei Unmengen von Mailinglisten. Das Opfer muss sich nämlich nach so einer Attacke mühsam aus allen angemeldeten Listen manuell wieder austragen.
Broadcast Storms
Broadcast Storms gehören ebenfalls schon zur älteren Generation von Denial of Service-Attacks. Sie richten besonders viel Schaden in lokalen Netzwerken an, in denen jeder Rechner als Gateway fungiert und die Netzwerktopologie nur mangelhaft gewartet wird.
An jeden Rechner wird bei einer Broadcast Storm-Attacke ein Strom an IP-Paketen geschickt, die allesamt an nichtexistierende Ziele adressiert sind. Wird dieser Datenstrom für mehrere Rechner innerhalb dieses Netzwerkes aufrechterhalten, ist das gesamte Netzwerk recht bald ziemlich lahmgelegt, da die Rechner die falsch adressierten Daten über die Gateways immer wieder in andere Subnetze verschieben.
Um die Problematik von Broadcast Storms zu vermeiden, ist eine ausgeklügelte und sorgfältige Planung des Netzwerks notwendig, um das Hängenbleiben von umherirrenden IP-Paketen von vornherein zu verhindern bzw. in kürzester Zeit zu eliminieren.
Out of Band-Packets (“das Nuken”)
Nahezu schon legendäre Denial of Service-Attacks sind das sogenannte „Nuken“. Hierzu werden spezielle IP-Pakete, die ein besonderes Merkmal haben, an einen Rechner geschickt. Entsprechend ungesicherte Betriebssysteme (Versionen von Windows und Linux) quittieren den Empfang solcher Pakete mit dem völligen Systemstillstand. Inzwischen existieren für (fast) alle betroffenen Betriebssysteme geeignete Patches, die diesen Fehler eliminieren.
Out of Band-Packets bestehen aus einem speziellen UDP-Paket, daß gewöhnlich an den Port 139 (NetBIOS-Port) gesendet wird, da dieser standardmäßig bei vielen Computern geöffnet ist. Prinzipiell funktioniert es aber auch mit allen anderen Ports, die für Datenempfang standardmäßig geöffnet sind. Die Wirkungsweise liegt nun darin, dass ein ungesichertes Betriebssystem mit Out of Band-Informationen nichts anfangen kann und in einer "panikartigen" Reaktion im ungünstigsten Fall die aktuelle Sitzung mit einem Systemabsturz beendet.
TCP Syn Flooding (“Land Attacks”)
Diese Attacke nutzt ein Feature von TCP aus: Bevor eine Verbindung zwischen zwei Rechnern aufgebaut wird, sendet der Absender spezielle IP-Pakete an den Empfänger, um eine Verbindung anzukündigen. Der Empfänger sendet dann ein Antwort-Paket zurück an den Absender und erwartet von ihm eine Empfangsbestätigung.
Führt nun ein Absender eine TCP Syn Flooding-Attacke aus, sendet er nicht, wie vom Empfänger erwartet, ein ACK-Paket aus, sondern bombardiert den Empfänger weiterhin mit SYN-Paketen. Der Empfänger quittiert wacker alle diese SYN-Pakete. Hier tritt nun der Fehler bei entsprechend fehlerhaften TCP-Implementierungen auf, die bei einem weiteren SYN-Paket nicht nur für das gerade empfangene SYN-Paket eine ACK-Anforderung verschicken, sondern auch für alle bisher empfangenen. Auf die Weise erzeugt der Empfänger-Rechner recht schnell eine hohe Datenflut und ist für die Zeit komplett ausgelastet.
Large Packet-Attacks (“der Ping of Death”)
Ein weiterer, besonders hinterhältiger Veteran der „Denial of Service-Attacks“ sind die „Large Packet-Attacks“, „der Ping of Death“ genannt (obwohl die Attacke nichts mit dem eigentlichen „Ping“ zu tun hat).
Die Wirkungsweise von „Large Packet-Attacks“ ist zugleich einfach und fatal: Das IP-Protokoll verpackt alle Daten beim Absender in 64 kB große Päckchen. Diese werden jedoch protokollintern vor der Übertragung in kleinere Päckchen zerlegt, um sie einfacher übertragen zu können (fragmentieren). Beim Empfängerrechner werden diese einzelnen Päckchen wieder zusammengefügt (reassemblieren), allerdings erst, wenn alle Einzelteile vorliegen. Ist das ankommende Paket am Ende größer als 64 kB, läuft ein interner Speicherpuffer über und bringt im ungünstigsten Fall den Rechner zum Absturz.
Ping Flooding
Das Ping Flooding gehört zu den Attacken, die keine Sicherheitslöcher ausnutzen. Pings werden benutzt, um die Erreichbarkeit von anderen Hosts im Netz zu prüfen. Ein “angepingter” Host quittiert hierzu einen Ping mit einer echoartigen Antwort.
Beim Ping Flooding wird ein Host jedoch mit unzähligen Ping-Anfragen bombardiert, die der Host dann natürlich alle bearbeitet (falls keine entsprechenden Mechanismen die Abarbeitung von rasch wiederholenden Ping-Anfragen verhindert) und entsprechend das eigene System und die Netzverbindung auslastet.
Ping Flooding ist einer der Attacken, die richtig teuer werden können: Wird eine Netzverbindung eines Hostes nämlich nach dem erzeugten Datenaufkommen abgerechnet, können teilweise horrende Summen entstehen.


Einführung
Wenn du versuchst, einen host (interface, eine Netzwerkschnittstelle) innerhalb eines Netzwerkes zu erreichen, kannst du drei verschiedene Arten von Adressen benutzen:
• unicast Adresse. Diese Art von Adresse bezieht sich auf einen alleinigen(es) host (interface) innerhalb eines Unternetzes. Ein Beispiel einer unicast Adresse ist 192.168.100.9. Ein Beispiel für eine unicast MAC Adresse ist, zum Beispiel, 80:C0:F6:A0:4A:B1.
• broadcast Adresse. Die Adresse erlaubt es, jeden host (jedes interface) innerhalb eines Unternetzes aufzurufen. Eine broadcast IP Adresse ist 192.168.100.255 und eine MAC broadcast ist FF:FF:FF:FF:FF:FF.
• multicast Adresse. Diese Art von Adresse erlaubt das Aufrufen einer speziellen Gruppe von hosts (interfaces) innerhalb des Unternetzes.

Multicast Adressen sind nützlich, wenn der Informationsempfänger nicht nur ein host ist und wir keinen Netzwerk-broadcast produzieren wollen. Dieses Szenario ist typisch in Situationen, die das Senden von Multimediainformationen (Echtzeitaudio oder -video, z.B.) zu einigen hosts erfordern. In Bandbreitenausdrücken gedacht, sind diese Fälle nicht das beste, um es als unicast zu jedem Client zu senden, der die Multimediaemmission empfangen möchte. Auch broadcast ist nicht die beste Lösung, hauptsächlich, wenn sich bestimmte Clienten außerhalb des lokalen Intranetzes befinden, von wo der Multicast seinen Ursprung hat.

Multicast Adresse
Wie der Leser wahrscheinlich weiß, ist der IP Adressenraum in drei Adressklassen unterteilt. A,B und C Adreßklassen. Es gibt eine vierte Klasse (D), die für multicast Adressen reserviert ist. IPv4 Adressen zwischen 224.0.0.0 und 239.255.255.255 gehören zur Klasse D.



Lan to Wan Regeln und Wan to Lan Regeln erkläre ich nicht weiter. Das würde ein Kapitel werden was hunderte Seiten füllen würde. Nur ein paar Kleinigkeiten möchte ich hier erwähnen.

Die Wan to Lan Regeln sind zum öffnen des Routers vom Internet her. Also werden hier Regeln erstellt um Rechner von draussen Zugang zu gewähren. Beispiel ist Netmeeting. Man kann hier den Port XXXX-XXXX öffnen was Netmeeting ja braucht da es mit sehr vielen Port arbeitet. In der Grundkonfiguration ist das Homenetzwerk aber bestens geschützt. Das ersetzt aber nicht den Virenscanner!!!

Lan to Wan Regeln sind zum sperren von Rechnern bzw. Diensten gedacht. Hier ist in der Grundkonfiguration alles offen was auch Onlinebanking betrifft. Ich denke dass das konfigurieren Administratorkenntnisse voraus setzt. Deshalb auch hier keine genaue Anleitung.

Zwei Sachen möchte ich aber doch noch loswerden. Im Auslieferungszustand gibt es die Regel mit dem Port 68. Das ist auch richtig so denn dann ist der DHCP-Server aktiv. Der nutzt den 68 Port( IP automatisch beziehen bla bla bla). Und ich erstelle immer eine Wan to Lan Regel

0.0.0.0>>255.255.255.255>>UDP>>Port 23>>Discard

Somit ist Telnet grundsätzlich gesperrt. Man kann zwar das Remote-Managment abstellen. Wie leicht ist es aber hier den Punkt zu vergessen und der Router und somit der Account ist im Klartext sichtbar.D.h. wenn man über Telnet in das Konfigurations-Menu reingeht und Punkt 1 wählt steht das euer Login und das Passwort in Klartext. Also nicht *****

Ich bin immer wieder darauf angesprochen worden das es sich hier um ein Sicherheitsloch handelt. Eigendlich schon richtig wenn man es nicht weiss. Aber liebe User. Wie wir ja nun schon wissen basiert Telnet auf dem UDP Protocol. Das beherrscht aber die Verschlüsselung nicht.

Also immer die obrige Regel rein und das Remotemanagment aus. Das ist sehr wichtig.
Und bitte nie vergessen das Passwort von 0000 sofort zu ändern. Es ist absolut einfach euch im Internet zu finden( IP Range von T-online zu scannen). Wenn ich dann am Router bin ist der Rest ein klaks wenn das Passwort nicht geändert worden ist.

Web-Filter bedürfen wohl auch keiner weiteren Erklärung. Hier kann man einfach ganze Server sperren wie www.playboy.de oder www.longshine.de ( UPS ).

Das Email-Alarm/Alert ist ein Dienst über den man geteilter Meihnung sein kann. Ich erachte es als Blödsinn. Das der Port 139 sowieso dicht ist und nie geöffnet werden darf ist klar.Jetzt bekommt man per Mail bescheid das irgend ein Hacker versucht hat diesen Port zu scannen. Das Hacker das jeden Tag versuchen sollte jedem klar sein. Die haben ganze Maschinen dafür abgestellt. Nun geht es sogar soweit das einige sich das bis auf ihr Händy schicken lassen.Wow, das ist Cool wenn man in der Disco Emails von Zuhause bekommt. Ich denke das es überflüssig ist. Denn mal gestetzt den Fall 10 Millionen Router versenden mehrmals diese Mails an Tag bedeutet das eine Netzlast mit der mehrere hunderte Rechnenzentren unter Volllast arbeiten könnten. Diese Packete durchlaufen ja mehrere Server,Dns-Rechner .... . Wir alle wünschen uns ein schnelles Internet. Also sollt
Nach oben
Benutzer-Profile anzeigen Private Nachricht senden E-Mail senden Website dieses Benutzers besuchen MSN Messenger
Beiträge der letzten Zeit anzeigen:   
Neues Thema eröffnen   Neue Antwort erstellen    support.longshine.de Foren-Übersicht -> Hilfestellung / Printserver / Access Points / NAS etc. Alle Zeiten sind GMT + 1 Stunde
Seite 1 von 1
Favorites



 
Gehe zu:  
Du kannst keine Beiträge in dieses Forum schreiben.
Du kannst auf Beiträge in diesem Forum nicht antworten.
Du kannst deine Beiträge in diesem Forum nicht bearbeiten.
Du kannst deine Beiträge in diesem Forum nicht löschen.
Du kannst an Umfragen in diesem Forum nicht mitmachen.
Du kannst Dateien in diesem Forum posten
Du kannst Dateien in diesem Forum herunterladen


Powered by PHPBB 2.0.18 © 2001, 2005 phpBB Group
Erstellung der Seite: 0.256989 Sekundens (PHP: 93% - SQL: 7%) Besuche SQL: 37

1. Disclaimer 2. Impressum