Willkommen bei Willkommen im Support Forum von Wolfgang Utz
Search
Topics
  Email an den Sysop Home  ·  Login/Account  ·  Forums  ·  Treiber  
support.longshine.de :: Thema anzeigen - LCS-WR5-2114 Tipps und Tricks ?
  •  Gruppen  •  FAQ  •  Ränge  •  Regeln  •  Smilies Liste  •  Statistik  •  Unser team  •


  •  Hauptseite  •  Suche  •  Profil Bearbeiten  •  Mitglieder Liste  •  Private Nachrichten  •  Favorites  •  Login  •   

LCS-WR5-2114 Tipps und Tricks ?

 
Neues Thema eröffnen   Neue Antwort erstellen    support.longshine.de Foren-Übersicht -> Hilfestellung / Printserver / Access Points / NAS etc. Printable Version
Vorheriges Thema anzeigen :: Nächstes Thema anzeigen  
Autor Nachricht
admin
admin
admin
Status: Offline

Dabei seit: Aug 18, 2005
Beiträge: 689
Wohnort: Hamburg

Level: 23
HP: 12 / 1225  
 1%
MP: 585 / 585  
 100%
EXP: 56 / 65  
 86%
BeitragVerfasst am: Mi Aug 24, 2005 10:30 am    Titel: LCS-WR5-2114 Tipps und Tricks ? Antworten mit Zitat

Diese Anleitung ist als Hilfestellung gedacht nicht als Bestseller zu verstehen.

Ich möchte mich für die schlechte Qualität der Bilder entschuldigen

Anleitung zum Einrichten eines Routers !!!!!!


Diese Anleitung bezieht sich auf das Einrichten des Longshine Routers LCS-WR5-2114.

Der LCS-WR5-2114 wird in der Werkseinstellung mit der IP 192.168.2.1 ausgeliefert.

Login = admin
Pass = 1234

Dann sollte der Router mit diesem Bild starten. Bitte darauf achten. Oben rechts in der Ecke ist auch ein Menue. Wenn Einstellungen vorgenommen werden kann man nur ober rechts über den "Link" "Home" ins alte Menue zurück kehren.

Für die Leutchen die schnell ins Internet möchten kann der "Quick Setup Wizard" gestartet werden. Dabei wird nur der Internetzugang eingerichtet.



Alls erstes wird die "Time Zone" eingestellt. Das heißt der Router aktuallesiert seine interne Systemzeit über das Protocol SNTP mit einem externen Zeitserver. Ich denke einen Timeserver in seiner Nähe zu suchen macht Sinn ( Google ). Der Router kontaktiert den Server ja doch öfters.


Im nun folgendem Menue wählen wir PPPoE ( Point to Point over Ethernet )

PPPoE ist ein Protokoll zum Herstellen von PPP Verbindungen durch Ethernet Adapter (erklärt in RFC 2516) wird von vielen DSL-Service-Providern genutzt, um Kennwortabfrage und Einwahl ins Internet zu vollziehen. Es wird auch beim Betrieb von Funk-LANs zur Authentisierung verwendet. Als Protokollstack für Windows-Systeme empfehlen wir RasPPPoE (Lizenzbedingungen beachten). Dieses Protokoll lässt den Ethernet Adapter als "Modem" erscheinen und erlaubt PPPoE mittels der Standard-Einwahlhilfen (DFÜ) zu nutzten.

Die Vorgehensweise ist vergleichbar mit der externen Einwahl per Modem oder ISDN-Karte. Ein Authentisierungsserver überprüft Benutzerkennzeichen und Passwort und gibt bei erfolgreicher Authentisierung das Medium Ethernet frei. Somit ist gewährleistet, dass nur berechtigte Nutzer diesen Dienst nutzen können.



Als nächstes kommt jetzt das Login . Hier Beispiele...

Aufbau bei T-Online
Beispiel 1 (alte Teilnehmernummer - identisch mit Telefonnummer):
Anschlußkennung: 000568901234
Teilnehmernummer: 02415678941
Mitbenutzernummer: 0001
Ergebnis: 00056890123402415678941#0001@t-online.de

Beispiel 2 (neue Teilnehmernummer - nicht identisch mit Telefonnummer):
Anschlußkennung: 000568901234
Teilnehmernummer: 2345678901
Mitbenutzernummer: 0001
Ergebnis: 0005689012340123456789010001@t-online.de

Im Beispiel 2 besteht die neue Teilnehmernummer aus 12 Ziffern. In diesem Fall (Teilnehmernummer = 12 Ziffern) entfällt das Zeichen # (die Raute) zwischen Teilnehmernummer und Mitbenutzernummer.
Aber keine Regel ohne Ausnahme: Lt. einzelner Userberichte muß auch hier manchmal trotzdem die # eingefügt werden? Ich selber kann dies aber nicht bestätigen!

Wichtig: Nach 9 “Fehleinwahlversuchen” (durch z.B. eine fehlerhafte T-Online-Benutzerkennung) ist bei T-Online der Zugang bis zum automatischen/manuellen Zurücksetzen gesperrt!

Aufbau bei 1&1
Beispiel 1: 1und1/1234-567
Beispiel 2: 1und1/1234-56@online.de
Anmerkung: Beides soll funktionieren

Aufbau bei Netcologne
Bei Netcologne muß ein "Name" (adsl-private oder adsl-business) bei der Einwahl mit übergeben werden. Dafür gibt es bei Routern unterschiedliche Eingabefelder - z.B. "PPPoE Service Name", "Host Name", "Service Name", usw. Bei einzelnen Router-Modellen ist eine Eingabe dieses "Parameters" aber auch (noch) nicht möglich #> diese Router funktionieren nicht mit Netcologne.
Auch gibt es bei Netcologne wohl DSL-Verträge/-Zugänge bei denen dieser zusätzliche “Name” nicht benötigt wird.

Aufbau bei Telekom BusinessOnline
BusinessOnline-Zugangsdaten für Router:
Präfix: t-online-com/
Suffix: @t-online-com.de
Benutzerkennung: 123456789
Die kompl. Benutzerkennung lautet dann: t-online-com/123456789@t-online-com.de

DNS-Server Telekom/T-Online
Falls man IP’s der verschiedenen Telekom/T-Online DNS-Server braucht, so kann man diese auf folgender Webseite abfragen: http://www.atelier89.de/users/dirk/t-o/010.html

Das Login bei AOL sollte folgender Maßen aussehen:

Login = Name@de.aol.com
Pass = 35R6765BTH Zwinkernd



MRU,MTU und MSS?
A: MRU: Max Receive Unit, : Maximale Größe einen PPP- Packetes inklusive Overhead
MTU: Max Transmission Unit, : Maximale Größe des IP-Packetes
MSS: Max Segment Size, : Maximale Nutzlast eines TCP-Packetes
Die Begriffe sollte man nicht verwechseln, und sich auch nicht davon irritieren lassen, dass es in einem Falle Receive und im anderen Transmit heisst. Sie gehören zu verschiedenen Protokollschichten.

Normalerweise ist es völlig egal was man einstellt, aber bei PPPOE gibt es ein Problem:

Die maximale Packetgröße auf dem Ethernet ist 1514 Bytes, inklusive des MAC-Headers. In die nach Abzug des MAC-Headers verbleibenden 1500 Bytes muß das IP-Packet inklusive des PPP und PPPOE Overheads passen, man muß die MTU Size so definieren, daß das auch geht.

1500 - 6 Byte PPP - 2 Byte PPPOE gibt eine MTU von maximal 1492.

Die MTU wird von den höheren Protokollschichten dazu verwendendet, die maximale Nutzlast zu bestimmem (bei TCP ist das die MSS). Wenn man Masquerading/Routing benutzen möchte gibt es jedoch ein Problem: Die anderen Rechner im lokalen Lan haben normalerweise alle eine MTU von 1500, d.h. sie verschicken zu große IP-Packete und teilen bei TCP Connections der anderen Seite mit was sie als größtes Packet empfangen können. Wenn ein Router ein zu großes Packet über eine Schnittstelle mit kleinerer
MTU versenden möchte, sollte er es fragmentieren und der Anwender merkt davon nichts (ausser vielleicht am etwas niedrigeren Durchsatzes auf Grund des Overheads). Der T-DSL Router der Telekom
unterläßt das jedoch, und schmeißt zu große Antwortpackete von der anderen Seite einfach weg

Es gibt 2 Möglichkeiten dem Problem beizukommen:

1. Man ändert auf allen Rechnern im lokalen LAN die MTU auf 1492.
2. Beim Aufbau einer TCP-Connection reduziert der Router die ausgehandelte MSS auf 1420. (Dafür dient die MSS Option)
Selbst wenn der Bug bei der Telekom behoben wird, ist das wegen des kleineren Overheads sinnvoll (keine Fragmentierung nötig).

Noch eine Bemerkung: Die MSS Option wirkt nur bei TCP-Connections, und nicht bei UDP oder anderen Protokollen. Bei manchen Anwendungen kann deshalb Methode 1 erforderlich sein.

Die Clients im LAN senden mit einer Standard-MTU von 1500 und der Router routet diese Pakete einfach an das PPP-Device weiter. Es gibt 2 Möglichkeiten, den Fehler zu beheben: 1. Die MTU auf allen Clients im LAN muss auf 1492 gesetzt werden.
2. Die eingehenden Pakete aus dem LAN werden auf dem Router zerschnitten und neu mit der korrekten MTU wieder zusammengesetzt. Dieses Vorgehen nennt man MSSClamping (MSS = MTU - 40 Bytes TCP/IP-Header).


Achtung! Es wird hier die MSS angegeben (1492-40 Bytes TCP/IP-Header = 1452).

Seit neuestem empfiehlt Arcor als richtigen MTU & MRU Wert 1488

Siehe auch hier:

http://www.speedcheck.arcor.de/

T-Online arbeitet mit 1492

Also sollte jeder bei seinem Provider nachfragen. Ein typischer Fehler wäre kein Seitenaufbau bei Ebay.

Wer keine Flaterate hat sollte auf jeden Fall folgende Einstellungen beherzigen um nicht am Monatsende eine zu hohe Abrechnung zu erhalten.

Unter Connection Type: sollten folgende Einstellungen auf jeden Fall eingestellt werden:

"Manuell"

Somit kann sich der Router nicht selbständig im Hintergrund einloggen beim Provider, was von Programmen wie den Virenscanner hin und wieder getan wird um sich zu aktuallesieren.

Jetzt sollte man sich einen Schnellstart in die Linkleiste kopieren mit folgendem laut:

http://admin:password@192.168.2.1/wanpppoe.asp

Somit kann man sich per „einmal klicken“ in den Router einloggen (ohne Abfrage des Passwortes). Dann kann man prüfen, ob der Router Online ist über die WAN IP. Hat der Router eine andere IP als 0.0.0.0 , ist der Router online. Nur bei 0.0.0.0 laufen keine Kosten beim Provider auf. Allerdings muss man jetzt den Router über CONNECT online schalten bzw. DISCONNECT offline. Wer jetzt vergisst, den Router OFFLINE zu schalten, kann sich auf jeden Fall das Gespräch mit dem Provider sparen. ( Wieder eine Kostenkontrolle )




Jetzt kommen wir zu der eigendlichen Systemeinstellung. Memory? Rechts oben im Menue "System"



Systemzeit hatten wir ja schon oben.
Passwort Settings sollte klar sein. Hier wird das Passwort von Router geändert. Bitte aber auch das Passwort ändern!!! Denn wenn bei dem Router das Reomtemanagment "Enable " ist steht als Beispiel im Anmeldefenster das original Login!

Also admin und 1234. In das Feld mit der IP braucht nichts eingetragen zu werden. Somit kommen alle externen Rechner auf diesen Router. Wird eine IP eingetragen, dann kommt nur dieser Rechner ins Routermenue

Böse oder verdreht

Wer sein Passwort vergessen hat und auch kein gut verschlossenes Administratoren-Handbuch führt, der kann dann nur noch über den Reset-Schalter hinten am Gerät Zugriff zum Router erlangen!!

Verdreht



WAN>>Dynamic IP: Der Begriff ist ein bisschen verwirrend. Hier kann die WAN Netzwerkkarte von der MAC Adresse geclont werden. Wird oft benutzt wenn mit Sandleitungen gearbeitet wird. Hier gibt der Provider an eine MAC Adresse vor. Dann wird nur die MAC Adresse beim Provider akzeptiert. Der Hostname ist nur zum zuordnen gedacht.



Bei Static IP gilt gleiches wie oben. hier wird dann die Vorgabe vom Provider eingetragen. Allerdings muss dann auch nicht das PPPoE eingerichtet werden.



Die folgenden drei Logins werden in Deuschland nicht angeboten. Somit spare ich mir hier weitere Erklärungen.

PPTP = Point to Point Tunneling Protocol

Login und Password werden unverschlüsselt gesendet. Dann wird ein Verschlüsselter Tunnel auf Layer drei aufgebaut.

L2TP = Layer-2-Tunneling-Protocol

L2TP über eine Firewall
VPN über ein Firewall schließt sich meistens aus. Ohne Probleme ist VPN über eine Firewall nur möglich, wenn die Firewall gleichzeitig als Endpunkt einer VPN-Verbindung arbeitet.

Telstra Big Pount = Australien



Das PPPoE hatten wir oben schon besprochen.
Wobei zu erwähnen sei das ein "IDLE Time" Wert zuwischen 3 und 5 min. ein guten Wert darstellt



Hier einen DNS eintragen lohnt nicht. Da wir fast alle mit dynamischen IP's arbeiten wird der Wert hier nach jedem relogin vom Provider überschrieben.



DDNS ist mittlerweile wohl auch jedem ein Begriff.

DDNS

DDNS ist ein dynamischer Service der es ermöglicht trotz wechselnder IP den Rechner namentlich erreichbar zu machen und das rund um die Uhr.
Der Router schaut in seiner NAT Tabelle nach der IP des WAN-Ports. Sobald sich die IP
ändert übermittelt der Router sofort ( und nicht in Interwallen ) die IP an den in der
Firmware vorgegebenen Anbieter. In unserem Fall DYNDNS . Dort wird im Server sofort
der registrierte Name mit der aktuellen IP im DNS-Server eingetragen.
Wie schon oben beschrieben kann der bei DYNDNS registrierte Server local nicht abgerufen werden. Es sei den man hat seine Hosts Datei gepflegt oder man testet es über einen zweiten Account.

Sorry, aber leider muss ich auch darauf noch mal hinweisen. Es langt nicht sich bei DYNDNS zu registrieren. Mit der Email bekommt man einen Link auf den man doppelt klickt ( Klick Klick ) Damit wird erst der Dienst bzw. der Account frei geschaltet.



Unter "Lan Settings" wird die Netzwerkkarte eingerichtet die vom Switch her zu erreichen ist. Wenn der Router also in ein Class A oder Class B Netzwerk arbeiten soll wird hier die IP eingetragen. Subnet Mask nicht vergessen!
Bei 10.0.0.1 = Subnet = 255.0.0.0 nicht 255.255.255.0


Unter anderm wird hier auch der DHCP Server eingerichtet. Mit der "LEASE TIME" können MAC Adressen für IP's auf bestimmte Zeit rreserviert werden.

IEEE 802.1d - Spanning Tree Protocol

Das Spanning-Tree-Verfahren ist im Standard IEEE 802.1d für die MAC-Schicht spezifiziert. Es soll das Auftreten von doppelten Frames in einem geswitchten Ethernet-Netzwerk verhindern. Die doppelten Frames entstehen durch zwei oder mehrere parallele Verbindungen zwischen zwei Switches. Frames, die mehrfach beim Empfänger ankommen, können zu einem Fehlverhalten führen.

Das Spanning Tree Protocol (STP) dient zur Vermeidung redundanter Netzwerkpfade (Schleifen) im LAN, speziell in geswitchten Umgebungen. Es wurde von Radia Perlman entwickelt und ist in der IEEE-Norm 802.1d standardisiert.

Netzwerke sollten zu jedem möglichen Ziel immer nur einen Pfad haben, um zu vermeiden, dass Datenpakete (Frames) dupliziert werden und mehrfach am Ziel eintreffen, was zu Fehlfunktionen in darüber liegenden Netzwerkschichten führen könnte und die Leistung des Netzwerks vermindern kann. Andererseits möchte man mitunter redundante Netzwerkpfade als Backup für den Fehlerfall zur Verfügung haben. Der Spanning Tree-Algorithmus wird beiden Bedürfnissen gerecht.

Zur Kommunikation zwischen den Bridges wird das Bridge Protokoll genutzt. Die Pakete dieses Protokolls werden Bridge Protocol Data Unit (BPDU) genannt.

Zunächst wird unter den Spanning-Tree-fähigen Bridges im Netzwerk eine sog. Root Bridge gewählt, die die Wurzel des aufzuspannenden Baumes wird und „Chef” des Netzwerks ist. Dies geschieht, indem alle Bridges ihre Bridge-ID (die jede Bridge besitzt) an eine bestimmte Multicast-Gruppe mitteilen. Die Bridge mit der niedrigsten ID wird zur Root Bridge. Sollte die ID identisch sein, wird als ergänzendes Kriterium die MAC Adresse der Komponenten benutzt. Von der Root Bridge aus werden nun Pfade festgelegt, über die die anderen Bridges im Netzwerk erreichbar sind. Sollten redundante Pfade vorhanden sein, so müssen die dortigen Bridges den entsprechenden Port deaktivieren. Die Pfade, über die kommuniziert werden darf, werden anhand von Pfadkosten bestimmt, die die dortige Bridge übermittelt. Die Kosten sind abhängig vom Abstand zur Root Bridge und dem zur Verfügung stehenden Uplink zum Ziel. Ein 10 Mbit/s-Uplink hat beispielsweise höhere Pfadkosten als ein 100 Mbit/s-Uplink zum gleichen Ziel und würde dabei unter den Tisch fallen. Auf diese Weise ist jedes Teilnetz im geswitchten LAN nur noch über eine einzige, die Designated Bridge erreichbar. Wenn man es grafisch darstellt, ergibt sich ein Baum aus Netzwerkpfaden, der dem Algorithmus seinen Namen gab.

Die Root Bridge teilt den in der Hierarchie eine Stufe unterhalb liegenden Designated Bridges im Abstand von 2 Sekunden mit, dass sie noch da ist, woraufhin die empfangende Designated Bridge ebenfalls an nachfolgende Bridges die entsprechende Information senden darf. Wenn diese Hello-Pakete ausbleiben, hat sich folglich an der Topologie des Netzwerks etwas geändert, und das Netzwerk muss sich reorganisieren. Diese Neuberechnung des Baumes dauert im schlimmsten Fall bis zu 30 Sekunden. Während dieser Zeit dürfen die Spanning-Tree-fähigen Bridges außer Spanning-Tree-Informationen keine Pakete im Netzwerk weiterleiten. Dies ist einer der größten Kritikpunkte am Spanning Tree-Algorithmus, da es möglich ist, mit gefälschten Spanning-Tree-Paketen eine Topologieänderung zu signalisieren und das gesamte Netzwerk für bis zu 30 Sekunden lahmzulegen. Um diesen potenziellen Sicherheitsmangel zu beheben, aber auch, um bei echten Topologieänderungen das Netzwerk schnell wieder in einen benutzbarem Zustand zu bringen, wurden schon früh von verschiedenen Herstellern Verbesserungen am Spanning-Tree-Algorithmus und dem dazugehörigen Protokoll erdacht. Eine davon, das Rapid Spanning Tree Protocol (RSTP) ist inzwischen zum offiziellen IEEE-Standard 802.1w geworden. Die Idee hinter RSTP ist, dass bei signalisierten Topologieänderungen nicht sofort die Netzwerkstruktur gelöscht wird, sondern erst einmal wie gehabt weiter gearbeitet wird und Alternativrouten berechnet werden. Erst anschließend wird ein neuer Baum zusammengestellt. Die Ausfallzeit des Netzwerks lässt sich so von 30 Sekunden auf unter 1 Sekunde drücken. In der 2003 zu verabschiedenden Revision des 1998 letztmalig überarbeiteten 802.1d-Standards soll das alte STP zugunsten von RSTP komplett entfallen.

Noch Fragen?

Ich lasse es abgeschaltet bei den paar Kb die wir sowieso nur zur Verfügung haben



Wireless:

Die Funktechnik der IEEE 802.11b Funk-LANs arbeitet im Frequenzbereich 2,4 bis 2,4835 GHz. Dieser Frequenzbereich ist ein sogenanntes ISM-Frequenzband (ISM steht für Industrial/Scientific/Medical), ein lizenzfreies Band. In diesem Frequenzbereich ist die sogenannte zulässige effektive isotrope Strahlungsleistung (also sowas wie die "Sendeleistung") auf 100mW beschränkt. Tatsächlich arbeiten die zur Zeit gebräuchlichen noch mit einer weitaus niedrigeren Sendeleistung von 35 Milliwatt. Zum Vergleich hierzu: Ein Handy arbeitet mit einer Sendeleistung von bis zu 2 Watt (was ca. 60 mal so viel wäre).

Aufgrund dieser vergleichsweise minimalen Strahlungsstärke wird die Funktechnologie nach IEEE 802.11b auch bereits in Krankenhäusern (insb. in OP-Sälen zusammen mit weiteren hochempfindlichen elektrischen Geräten) sowie in Pflegeheimen eingesetzt.

Es ist allgemein bekannt, dass es in keinem Fall 100% Sicherheit gibt. Trotz allen Bedenken ist ein Funk-Netzwerk nicht weniger sicher als ein kabelgebundenes LAN. Bestätigung für diese These liefert die Praxis - wo in höchst sensiblen Bereichen wie z.B. bei Banken etc. die Funk-Technik bereits eingesetzt wird.

Der Netzwerkname ist die Arbeitsgruppe, in der man sich einloggt. Any steht für eine offene Arbeitsgruppe. Der Kanal bezieht sich auf das Frequenzband. Es liegt zwischen 2400Mhz und 2483.5 Mhz. Durch Wechseln des Bandes kann es sein, dass der Router bessere Entfernungen überbrücken kann. Dies sollte man aber individuell ausprobieren. Die Transferrate sollte wie im Bild stehen. Durch Herabsetzen der Rate kann man auch größere Reichweiten überbrücken.

Unter Wireless kann der komplette Access Point mausetot geschaltet werden.



Wenn Wireless-Karten eingesetzt werden, muss zwingend die ESSID bzw. die SSID vom Router bzw. AP eingetragen werden. Das betrifft PCMCIA-Karten, USB-Wireless-Karten und alle anderen. Beim Installieren von Wireless-Devices muss der INFRASTRUCTURE Modus gewählt werden..... N I C H T D E R A D H O C M O D U S......

Wenn es sich um eine Neuinstallation handelt, sollte man nicht unbedingt den AP im Keller stehen haben und den Client 600 Meter weiter beim Eismann testen. Auch ist es nicht unbedingt aussagekräftig, wenn man die Antennen mit einer Wäscheklammer verbindet und dann nur 40 % Signalpegel hat.

Ich denke, so um 6 Meter ist erst einmal günstig. Wenn dann alles funktioniert, kann man die optimale Reichweiteneinstellung testen.

Der Netzwerkname ist die Arbeitsgruppe in der man sich einloggt. Any steht für eine offen Arbeitsgruppe. Der Kanal bezieht sich aufs Frequenzband. Es liegt zwischen 2400Mhz und
2483.5 Mhz. Durch wechseln des Bandes kann es sein das der Router bessere Entfernungen überbrücken kann. Das sollte man aber individuell ausprobieren. Die Transferrate sollte wie im Bild stehen. Durch herabsetzen der Rate kann man auch größere Reichweiten
überbrücken.


Mit den Kanal experimentieren lohnt sich mal



Der Access Point unterstützt 4 Betriebsmodis

1.) Access Point = AP
2.) Bridge
3.) Multi Bridge
4.) WDS

WDS dürfte wohl das intressanteste Feature sein. Hier können andere Acces point eingetragen werden die dann als Repeater arbeiten ohne physikalisch an dem Acces Point angeschlossen zu sein.



Beacons sind 802.11 MAC Management Frames, die folgendes beinhalten:
"Timestamp, Beacon Interval, Capabilities, SSID, Supported Rates, parameters, Traffic Indication Map"
Beacons sind also regelmäßige "Bakensignale" mit denen sich der Access Point im Funk "bekanntgibt". Das Zeitintervall in dem dies geschieht ist das Beacon Intervall.

RTS Threshhold:
ab einem gewissen Datenaufkommen kann der Funkverkehr nicht mehr ordnungsgemäß mit wahlfreiem Zugriff (CSMA/CA) abgewickelt werden. Ab einer bestimmten Schwelle ist es sinnvoll das Übertragungsmedium für die Datenübertragung zu reservieren. Dies wird vom Access Point mit dem RTS/CTS Mechanismus gesteuert. Vereinfacht ausgedrückt handelt es sich dabei um ein Polling-Verfahren, bei dem der Access Point die Clients nacheinander abfragt.
"Medium Reservation: «To enable/disable the RTS/CTS handshake. "

Fragmentierung:
Die Pakete werden auf der Funkseite in kleinere Pakete aufgeteilt. Wird ein Paket währen der Übertragung verfälscht/zerstört, braucht nur dieses relativ kleine Paket erneut übertragen zu werden. Dies steigert somit die Datensicherheit und Übertragungssicherheit.
" A hit in a large frame requires re-transmission of a large frame
Fragmenting reduces the frame size and the required time to re-transmit"

Preamble:
die Preamble kann 72 oder 144 Byte lang sein (short oder long). Sie dient der Funk-Synchronisierung von Access Point und Client, damit die Biterkennung synchron läuft.
Für kürzere Entfernungen des Access Points zum Client von ca. <5 m kann eine Short Preamble beim Datendurchsatz etwas Vorteile bringen.
Bei größeren Entfernungen zum Access Point kann es durch Synchronisationsverlust allerdings zu Paketverlusten führen, so dass es hier besser ist die long Preamble einzusetzen. Durch die Paktetverluste und erneute Übertragung der Pakete hat hier eine kurze Preamble keine Vorteile mehr.
Im Regelfall sollte die Preamble also auf "long" stehen.

DTIM = Delivery Traffic Indication Map
DTIM Period = Power Management related parameter to specify the timing of the delivery of multicast traffic to stations
that have indicated to receive multicast messages while under power management.
Example: «DTIM=1 means multicast traffic when it arrives at the AP is passed through after every beacon
«DTIM=3 means multicast traffic is passed through after every 3rd beacon message "

Sehr glücklich Broadcast ESSID = Das senden der SSID wird hier unterbunden. Das sollte nach erfolgreicher Installation Pflichtprogramm sein. Also "Disable"

Ich möchte nochmal darauf hinweisen das der Mixmodus nicht ganz außer acht gelassen werden sollte. Wer Printserver mit 11 Mbps im Netzwerk hat muss den Mixmodus fahren.

Ich persönlich Rate aber jedem davon ab im Mixmodus zu fahren. Dann lieber alles auf eine Geschindigkeit einstellen. Wer zum Beispiel Online spielt erhält im Mixmodus wahrscheinlich die berühmten "LEGS". Das rüht daher, das der AP immer wieder zwischen 11 und 54 Mbps hin und her schaltet. Somit kommt es für eine ganz kurze Zeit zum Abriss des Datenstroms was sich dann mit rucken im Spiel bemerkbar macht.





Auf die Verschlüsseltung gehe ich hier nicht extra weiter ein. Kleiner Tipp: zum testen erst einmal 10 oder 26 Zahlen eingeben bevor man kryptische Zeichen nimmt. Das macht die Fehlersuche einfacher.

Wenn neue Devices eingerichtet werden sollte man erst einmal die Verschlüsselung abschalten. Erst wenn das Device dann arbeitet den WEP Key aktivieren.

Wer mehr Infos sucht sollte www.google.de nutzen.

WEP :

Um dieses Defizit auszugleichen und ein kabelgebundenen Netzen vergleichbares Sicherheitsniveau zu schaffen, hat die IEEE in ihrem WLAN-Standard IEEE 802.11 eine Sicherheitsarchitektur namens WEP (Wired Equivalent Privacy) spezifiziert, die zur Datenverschlüsselung und optional zur Authentikation eines Endgeräts gegenüber einer Basisstation dienen soll. IEEE 802.11 ist ein seit 1997 bestehender Standard, der ähnlich dem europäischen HiperLAN-Standard die physikalische Schicht und die MAC-Schicht für ein Funk-LAN im 2.4-GHz-Band definiert. Endgeräte können in einem sogenannten infrastructure mode mit einer Basisstation (access point) verbunden werden oder auch untereinander spontane Verbindungen aufbauen (ad hoc mode).
WEP verwendet einen 64-Bit-shared key zwischen Basisstation und Netzwerkadapter (bzw. 128 Bit beim neueren WEP128), von denen jedoch jeweils 24 Bit auf einen Initialisierungsvektor entfallen. Es kommt der RC4-Algorithmus zur Verwendung. Zum Schlüsselmanagement wird im Standard wenig ausgesagt und so findet man in der Praxis häufig nur einen gemeinsamen shared key pro Netzwerk



Das aktivieren des WEP verringert den Nutzdatendurchsatz. Der Mac-Adress Table ist hier leider nicht zu sehen. Er stellt ein höheres Mass an sicherheit da. Beim aktivieren haben dann nur noch die Rechner zugriff von denen die MAC Adresse eingetragen ist. Die Mac Adresse bekommt man dann bei Win98 mit WINIPCFG.EXE raus und bei Win2000, WinXP mit IPCONFIG /ALL.




Im Wireless Access Controll werden Macadressen hinterlegt die Zugriff auf den Router haben dürfen. Also das Internet nutzen.

Ich arbeite im "Invisible Modus" und nur mit dem MAC Adressen Filter. Das nimmt nicht soviel Geschwindigkeit der Bandbreite weg.



Hier die Finger von weglassen. Wird die NAT disable gestellt steht das Netzwerk. Das hat nichts mit dem Wegschalten der Firewall zu tun.



Mit dem Portforwarding können mehrere Ports auf einen Rechner durchgeschliffen werden. Siehe Beispiel.



Virtuell Server ist dem Portforwarding sehr ähnlich. Über Virtuell Server wird nur ein Port auf einen Rechner durchgeschliffen. Optimal für Web-Server, FTP-Server oder das forwarden eines VPN auf einen internn VPN Server.

VPN wird immer nur auf Layer 3 funktionieren. Also dem PPTP.



Spezial Applications sind für Multisession anwendungen die über eine NAT normal nicht genutzt werden können. Netmeeting etc. Hier wird dann ein Trigger benötigt der Portanfragen vieler hunderter Ports auf einen durchroutet.

Hier sind vorgegebene Trigger schon definiert.



Universal Plug and Play

Universal Plug and Play (UPnP) ist das Gerüst für eine durchgehende "peer-to-peer" Netzwerkverbindung von PCs in den unterschiedlichsten Ausprägungen, von intelligenten und von mobilen Geräten. UPnP besitzt eine verteilte und offene Netzwerk-Architektur, die TCP/IP und das Internet unterstützt. UPnP ermöglicht dadurch zusätzlich zur Steuerung und zum Datentransfer zwischen vernetzten Geräten zu Hause, im Büro und in vielen anderen Bereichen, eine durchgängige Netzwerkumgebung.

Was ist universal an UPnP?

Keine Geräte-Treiber nötig - gemeinsame einheitliche Protokolle.
Vom Transportmedium und von tieferen Netzwerkschichten unabhängig (Transportschicht und darunter).
Die Implementierung der UPnP Geräte kann in jeder beliebigen Progammiersprache und für jedes beliebige Betriebssystem erfolgen.
UPnP unterstützt HTTP und die gesamte Familie der Browser-Technologien.

UPnP ermöglicht dem Hersteller die Steuerung seiner Geräte mit dem Internet-Browser.
UPnP ermöglicht auch eine Steuerung mit herkömmlichen Applikationsprogrammen.
Die Hersteller berücksichtigen Grundfestlegungen eines Gerätetyps (Geräteschema) und können diese einseitig je nach Bedarf erweitern.

UPnP findet in vielen Bereichen Anwendung, wie z.B. Netzwerke im Heimbereich, Netzwerke für den Nahbereich und Netzwerke in kleinen Unternehmen und kommerziellen Gebäuden. Es ermöglicht eine Datenkommunikation zwischen zwei beliebigen Geräten, sofern eines davon Fähigkeiten eines Control Points besitzt. UPnP ist von keinem bestimmten Betriebssystem, keiner Programmiersprache und von keinem physikalischen Medium abhängig.

UPnP unterstützt die konfigurationslose Vernetzung und ein automatisches Auffinden, wobei sich ein Gerät dynamisch mit dem Netzwerk verbinden kann, eine IP-Adresse erhalten kann, seinen Namen ankündigen kann, auf Nachfrage seine Fähigkeiten übermitteln kann, und über die Existenz und Fähigkeiten der anderen Geräte erfahren kann. Die Verwendung eines DHCP und DNS Server ist optional möglich, werden aber nur genutzt, wenn sie im Netzwerk verfügbar sind. Darüber hinaus kann ein Gerät die Netzwerkverbindung problemlos und automatisch trennen ohne einen nicht gewollten Status zurückzulassen.


UPnP profitiert vom Erfolg des Internets und lehnt sich stark an die Standards an, IP, TCP, UDP, HTTP und XML eingeschlossen. UPnP legt Wert auf eine Zusammenarbeit mit den verschiedensten Herstellern aus allen Bereichen, um möglichst viele Gerätebeschreibungen zu standardisieren. Das UPnP Forum liefert entsprechende Vorlagen für die Gerätebeschreibung, die mit XML erstellt wird, und letztendlich vom Gerät auf Anfrage an einen Control Point gesendet wird.

Nur WinME und XP unterstützen UPNP



Hier nochmal vordefinierte Multiport Anwendungen für die NAT



Hier kann die firewall aktiviert oder daktiviert werden.

Was ist eine Firewall ? Ganz einfach

Firewall:


Port 139 ist der vermutlich in Suchmaschinen meist gesuchte und für Anwender von Firewalls gehasste Port, weil er bei Sicherheits-Scans geöffnet ist und scheinbar rätselhafte Dinge macht. Gefährlich ist er nicht, denn er gehört zur Gruppe der NetBIOS Ports, die durchaus sinnvolle Funktionen zur Verfügung stellen, allerdings auch für Angriffe genutzt werden können.

NetBIOS ist das 1981 für IBM entwickelte Net-Basic-Input-Output-System, mit dem Anwendungen die Möglichkeit des Aufbaus virtueller Transportverbindungen und der Verwaltung symbolischer Namen für Rechner im Netzwerk (so genannte NetBIOS-Namen) gegeben wird. Über das NetBIOS können zum Beispiel Ressourcen wie Drucker und Verzeichnisse für das Internet freigegeben werden. Abgewickelt wird dies über die Ports 135 bis 139. Was auf der einen Seite für interne Netzwerke hilfreich sein kann, öffnet Angreifern ein grosses Tor für Angriffe. Leichtsinnig für das Netz geöffnete Freigaben können also jederzeit auch ungebetene Gäste anlocken.

Die RPC- (Remote Procedure Call) -Endpunktzuordnung eröffnet dabei RPC-Clients über Port 135 die Möglichkeit, die Anschlussnummer zu ermitteln, die aktuell einem bestimmten RPC-Dienst zugeordnet ist. Der RPC ist ein Protokoll, das die Implementierung verteilter Anwendungen, also Netzwerkdienste vereinfachen soll. Ursprünglich von der Firma Xerox entwickelt, haben sich heute drei Standards etabliert:
ONC: Open Network Computing
NCA: Network Computing Architecture
DCE: Distributed Computing Environment

Wie der Name schon verdeutlicht, handelt es sich um eine Dienstleistung, die auf einem entfernten Rechner erbracht wird. Im Unterschied zu lokalen Prozeduraufrufen ergeben sich daraus zahlreiche Probleme:

Welcher Host bietet einen entsprechenden Dienst an?
Welches Transportprotokoll (TCP/UDP) soll verwendet werden?
Was ist bei Ausfall des Dienstanbieters (Server)?
Semantik des Aufrufs (genau, höchstens oder mindestens einmal)
Datendarstellung (Wortbreite, big endian, little endian)
Performance
Sicherheit

Neben den nützlichen Eigenschaften kann Port 135 aber auch von Angreifern benutzt werden, um vielleicht einen Rechner abstürzen zu lassen. Dazu kann der Angreifer zum Beispiel eine Verbindung über Telnet eine Verbindung zum RPC Dienst herstellen und einige Zeichen übergeben. 10 Zeichen reichen bereits aus, um die CPU auszulasten. Der Rechner ist dann nur noch mit einem Reboot zum Leben zu erwecken. Diese Attacke wird allgemein als RPC Attacke bezeichnet und spielt auch unter Windows2000 noch eine wesentliche Rolle, da die Funktionen weitestgehend von Version zu Version übernommen wurden.

Schließen lässt sich Port 135 sehr einfach, indem die Eigenschaften der DFÜ- und Netzwerkverbindungen geöffnet werden.

Dort wird das Internet Protokoll TCP/IP ausgewählt und die erweiterten Eigenschaften.

Im Register "WINS" wird das Häkchen an "NetBIOS über TCP/IP deaktivieren" gesetzt.

Die Ports 135 bis 139 sollten anschließend bei einem TCP Scan nicht mehr erscheinen beziehungsweise geschlossen sein.

Sinnvoll ist die Deaktivierung immer dann, wenn NetBIOS nicht benötigt wird. Neben einer Steigerung der Performance wird weniger Angriffsfläche für Datendiebstahl und Denial of Service Attacken gegeben, was den Rechner gesamt sicherer macht.

Wird NetBIOS benötigt, wenn zum Beispiel mehrere Rechner im LAN laufen und erhalten die LAN Rechner über das Internet Connection Sharing (ICS) Verbindung zum Internet, sollte die Netzstruktur neu überdacht und mit sicheren Komponenten aufgebaut werden. Möglich wird das zum Beispiel aus einer Kombination vom nicht routbaren NETBEUI Protokoll für die interne Rechner-Kommunikation und einem leistungsfähigen und kostenlosen Proxy-Server wie Jana Server. Die Einrichtung und Konfiguration ist auch nicht schwieriger als mit ICS, bietet dem Rechner aber weit mehr Sicherheit.



Hier ist ein MAC Adress Filter der auch LAN Rechner sperren und passieren lassen kann. Wird der Filter eingeschaltet aber nichts eingetragen ist das Netzwerk tot.



Unter "Access Controll ADD PC" können Dienste für Rechner erlaubt oder verboten werden. Auch hier sind viele Filter vordefiniert ( Der Router ist für meinen Geschmack viel zu billig).





URL Blocking sollte klar sein. Siehe Bild



Denial of Service-Attacks
Eine der größten Gefahren im Internet stellen so genannte „Denial of Service-Attacks“ dar, bei diesen Attacken werden Rechner im Internet zu Absturz gebracht, die dann vorübergehend nicht zur Verfügung stehen, deshalb auch „Denial of Service“(Verweigerung des Dienstes). Eines haben fast alle Attacken gemein, sie nutzen die Löcher von schlecht programmierten TCP/IP- Protokollen aus. Hier sind die populärsten Attacken, wie sie Täglich im Netz vorkommen.
Email-Bombe
Der ältesten „Denial of Service-Attacks“ ist das inzwischen „klassische“ Email-Bombing. Hierzu wird ein Empfänger mit einer Vielzahl von gleichlautenden Emails regelrecht bombardiert, so daß das nächste Herunterladen der vorhandenen Emails zur Qual werden dürfte. Die Ausführung erzeugt aber noch ein anderes Opfer: Eine Mailbombe besteht im Prinzip aus einer einzigen Email, die an einen SMTP-Mailserver zur Ausführung geschickt wird. Diese Email hat jedoch die Besonderheit, dass sie die Email-Adresse des Opfers gleich mehrmals als Empfänger enthält. Der ausführende Mailserver hat bei entsprechend hoher Angabe von Empfängern ebenfalls entsprechend genug zu tun, diese Emails zu generieren und zu versenden.
Eine sehr unangenehme Variante des Email - Bombings ist die Anmeldung eines Opfers bei Unmengen von Mailinglisten. Das Opfer muss sich nämlich nach so einer Attacke mühsam aus allen angemeldeten Listen manuell wieder austragen.
Broadcast Storms
Broadcast Storms gehören ebenfalls schon zur älteren Generation von Denial of Service-Attacks. Sie richten besonders viel Schaden in lokalen Netzwerken an, in denen jeder Rechner als Gateway fungiert und die Netzwerktopologie nur mangelhaft gewartet wird.
An jeden Rechner wird bei einer Broadcast Storm-Attacke ein Strom an IP-Paketen geschickt, die allesamt an nichtexistierende Ziele adressiert sind. Wird dieser Datenstrom für mehrere Rechner innerhalb dieses Netzwerkes aufrechterhalten, ist das gesamte Netzwerk recht bald ziemlich lahmgelegt, da die Rechner die falsch adressierten Daten über die Gateways immer wieder in andere Subnetze verschieben.
Um die Problematik von Broadcast Storms zu vermeiden, ist eine ausgeklügelte und sorgfältige Planung des Netzwerks notwendig, um das Hängenbleiben von umherirrenden IP-Paketen von vornherein zu verhindern bzw. in kürzester Zeit zu eliminieren.
Out of Band-Packets (“das Nuken”)
Nahezu schon legendäre Denial of Service-Attacks sind das sogenannte „Nuken“. Hierzu werden spezielle IP-Pakete, die ein besonderes Merkmal haben, an einen Rechner geschickt. Entsprechend ungesicherte Betriebssysteme (Versionen von Windows und Linux) quittieren den Empfang solcher Pakete mit dem völligen Systemstillstand. Inzwischen existieren für (fast) alle betroffenen Betriebssysteme geeignete Patches, die diesen Fehler eliminieren.
Out of Band-Packets bestehen aus einem speziellen UDP-Paket, daß gewöhnlich an den Port 139 (NetBIOS-Port) gesendet wird, da dieser standardmäßig bei vielen Computern geöffnet ist. Prinzipiell funktioniert es aber auch mit allen anderen Ports, die für Datenempfang standardmäßig geöffnet sind. Die Wirkungsweise liegt nun darin, dass ein ungesichertes Betriebssystem mit Out of Band-Informationen nichts anfangen kann und in einer "panikartigen" Reaktion im ungünstigsten Fall die aktuelle Sitzung mit einem Systemabsturz beendet.
TCP Syn Flooding (“Land Attacks”)
Diese Attacke nutzt ein Feature von TCP aus: Bevor eine Verbindung zwischen zwei Rechnern aufgebaut wird, sendet der Absender spezielle IP-Pakete an den Empfänger, um eine Verbindung anzukündigen. Der Empfänger sendet dann ein Antwort-Paket zurück an den Absender und erwartet von ihm eine Empfangsbestätigung.
Führt nun ein Absender eine TCP Syn Flooding-Attacke aus, sendet er nicht, wie vom Empfänger erwartet, ein ACK-Paket aus, sondern bombardiert den Empfänger weiterhin mit SYN-Paketen. Der Empfänger quittiert wacker alle diese SYN-Pakete. Hier tritt nun der Fehler bei entsprechend fehlerhaften TCP-Implementierungen auf, die bei einem weiteren SYN-Paket nicht nur für das gerade empfangene SYN-Paket eine ACK-Anforderung verschicken, sondern auch für alle bisher empfangenen. Auf die Weise erzeugt der Empfänger-Rechner recht schnell eine hohe Datenflut und ist für die Zeit komplett ausgelastet.
Large Packet-Attacks (“der Ping of Death”)
Ein weiterer, besonders hinterhältiger Veteran der „Denial of Service-Attacks“ sind die „Large Packet-Attacks“, „der Ping of Death“ genannt (obwohl die Attacke nichts mit dem eigentlichen „Ping“ zu tun hat).



Die Wirkungsweise von „Large Packet-Attacks“ ist zugleich einfach und fatal: Das IP-Protokoll verpackt alle Daten beim Absender in 64 kB große Päckchen. Diese werden jedoch protokollintern vor der Übertragung in kleinere Päckchen zerlegt, um sie einfacher übertragen zu können (fragmentieren). Beim Empfängerrechner werden diese einzelnen Päckchen wieder zusammengefügt (reassemblieren), allerdings erst, wenn alle Einzelteile vorliegen. Ist das ankommende Paket am Ende größer als 64 kB, läuft ein interner Speicherpuffer über und bringt im ungünstigsten Fall den Rechner zum Absturz.
Ping Flooding
Das Ping Flooding gehört zu den Attacken, die keine Sicherheitslöcher ausnutzen. Pings werden benutzt, um die Erreichbarkeit von anderen Hosts im Netz zu prüfen. Ein “angepingter” Host quittiert hierzu einen Ping mit einer echoartigen Antwort.
Beim Ping Flooding wird ein Host jedoch mit unzähligen Ping-Anfragen bombardiert, die der Host dann natürlich alle bearbeitet (falls keine entsprechenden Mechanismen die Abarbeitung von rasch wiederholenden Ping-Anfragen verhindert) und entsprechend das eigene System und die Netzverbindung auslastet.
Ping Flooding ist einer der Attacken, die richtig teuer werden können: Wird eine Netzverbindung eines Hostes nämlich nach dem erzeugten Datenaufkommen abgerechnet, können teilweise horrende Summen entstehen.



DMZ:
DMZ (Demilitarized Zone) bietet eine zusätzliche Ethernet-Schnittstelle zur Bereitstellung öffentlicher Server in einem durch den Firewall geschützten Netzwerk, das jedoch vom Firmen-LAN isoliert ist.

SPI - Stateful Packet Inspection
SPI ist ein Firewall-Leistungsmerkmal. Dieses Verfahren entscheidet anhand mehreren Kriterien, ob ein eingehendes Datenpaket weitergeleitet oder verworfen wird. Z. B. wird der Zielport als Kriterium verwendet. Ist in der Firewall für diesen Port kein Server angegeben, werden die Datenpakete für diesen Port verworfen. SPI überprüft auch, ob eingehende Datenpakete zu zuvor gesendeten Datenpaketen in Beziehung stehen. Also zu einer Sitzung gehören, die durch das sichere lokale Netzwerk ausgelöst wurden. Datenpakete, die sehr häufig eintreffen werden identifiziert. Liegt der Verdacht nahe, dass es sich um eine DoS-Attacke (Denial-of-Service) handelt werden diese Datenpakete automatisch verworfen.



Rechts oben gibt es noch Status und Tools.



Das erkläre ich nicht genauer.









Firmwareupdate wird über Tools gemacht. Reset entspricht einer Jungfrau des Gerätes.

nun viel Spass

Gruss Wolfgang
Nach oben
Benutzer-Profile anzeigen Private Nachricht senden E-Mail senden Website dieses Benutzers besuchen MSN Messenger
Beiträge der letzten Zeit anzeigen:   
Neues Thema eröffnen   Neue Antwort erstellen    support.longshine.de Foren-Übersicht -> Hilfestellung / Printserver / Access Points / NAS etc. Alle Zeiten sind GMT + 1 Stunde
Seite 1 von 1
Favorites



 
Gehe zu:  
Du kannst keine Beiträge in dieses Forum schreiben.
Du kannst auf Beiträge in diesem Forum nicht antworten.
Du kannst deine Beiträge in diesem Forum nicht bearbeiten.
Du kannst deine Beiträge in diesem Forum nicht löschen.
Du kannst an Umfragen in diesem Forum nicht mitmachen.
Du kannst Dateien in diesem Forum posten
Du kannst Dateien in diesem Forum herunterladen


Powered by PHPBB 2.0.18 © 2001, 2005 phpBB Group
Erstellung der Seite: 0.214573 Sekundens (PHP: 93% - SQL: 7%) Besuche SQL: 37

1. Disclaimer 2. Impressum