Siemens C2-010-I als Router konfigurieren

Aus ModemWiki

Wechseln zu: Navigation, Suche


Inhaltsverzeichnis

Einleitung

Wenn man die einschlägigen Foren durchsucht, findet man ja die entsprechenden Anleitungen, wie man das C2-010-l zum Router konfigurieren kann. Allerdings muss man sich die einzelnen Schritte über z.T. Dutzende Seiten zusammensuche, daher hier der Versuch eines kompakten Tutorials.

Wozu ein Router

Konfiguriert man das C2 zum Router, hat das zwei große Vorteile:

  • 1. Die Internetverbindung kann von mehreren Rechnern gleichzeitig benutzt werden und
  • 2. kann mit den Filtern des Routers das gesamte Netzwerk vernünftig abgesichert werden, wie das mit keiner Personal Firewall Software möglich ist.


Netzwerkgrundlagen

Sollen zwei (oder mehr) Rechner in einem Netzwerk miteinander in Verbindung treten, dann müssen sie dem selben Netz angehören. Welchem Netz ein Rechner angehört, wird mit Hilfe der sogenannten IP-Adresse und der Subnetzmaske festgelegt.

Das Siemens C2 wird mit der

IP - Adresse 192.168.1.1  
Subnetzmaske 255.255.255.0 

ausgeliefert. Man sollte bei den einzelnen Adressgruppen die führende(n) Null(en) weglassen, da einige Betriebssysteme sie sonst als oktal interpretieren (z.B. Windows 2000 SP3).

Um nun das C2 im Netzwerk erreichen zu können, muss die Netzwerkkarte des PC eine Adresse im Bereich 192.168.1.2 bis 192.168.1.254 mit der Subnetzmaske 255.255.255.0 haben.

Dies wird in der Regel nicht der Fall sein, so dass man als erstes die

IP Adresse der Netzwerkkarte

des PC einstellen muss. Für die ganz faulen oder unbedarften habe ich eine Batchdatei geschrieben, mit der man die Netzwerkkarte konfigurieren kann.

1. Öffnet man Start->Ausführen und gibt
ncpa.cpl 
ein. Dadurch werden die Netzwerkverbindungen angezeigt.
200px
2. Uns interessiert die LAN-Verbindung. Darauf wird ein Rechtsklick ausgeführt, und im Kontextmenü Eigenschaften ausgewählt.






250px
3. Dann wird im Abschnitt Diese Verbindung verwendet folgende Elemente so lange gerollt, bis Internetprotokoll(TCP/IP) erscheint. Dies wird ausgewählt und
200px
4. auf den Eigenschaften Knopf gedrückt. Dann Erscheint das Fenster Eigenschaften von Internetprotokoll (TCP/IP)


200px

Hier muss nun Folgende IP Adresse verwenden ausgewählt werden, und im Feld IP-Adresse z.B. 192.168.1.4 eingegeben werden.

Achtung: Jeder Rechner im Netzwerk benötigt eine eigene IP-Adresse, es darf also keine Adresse 2 mal vergeben werden.

Wenn wir schon einmal in diesem Fenster sind, dann können wir auch gleich die IP-Adressen für die Nameserver (DNS-Server) eingeben. Ein Nameserver hat die Aufgabe, die Internetadresse (URL) in eine IP Adresse zu übersetzen also zum Beispiel: www.Bundesregierung.de in 195.43.53.65 - da die Rechner sich nur anhand der IP Adressen verbinden können, und nicht mit Hilfe der Namen.

Man könnte als Nameserver auch den Router eingeben, und dort die gewünschten Nameserver konfigurieren. Ich habe allerdings festgestellt, dass die Namensauflösung, also die Umsetzung der URL zur IP Adresse, zuverlässiger funktioniert, wenn die Nameserver direkt auf dem PC eingegeben werden. Die Werte aus dem Screenshot können so übernommen werden, Hansenet hat aber auch noch weitere Nameserver. Man kann natürlich auch jeden anderen Nameserver hier eintragen, wenn man dies für sinnvoll hält (z.B. weil man meint er wäre zuverlässiger).

So nach diesen ganzen Änderungen ist erst mal ein Neustart fällig, damit die neuen Werte auch übernommen werden. Wenn dann der Rechner wieder hochgefahren ist, öffnen wir ein DOS Fenster, um zu sehen, ob alles geklappt hat. Dazu geben wir bei Start->Ausführen:

cmd

ein und drücken Eingabe. Dann erscheint ein schwarzes DOS Fenster, in dem wir gleich weiter tippen können, und zwar

ping 192.168.1.4

oder welche IP-Adresse wir unserem Rechner auch immer gegeben haben. Wenn alles in Ordnung ist müsste dort etwa folgendes erscheinen:

500px

Wenn das Bild stattdessen so aussieht,

500px


dann stimmt irgend etwas nicht. Vielleicht hat man die falsche Netzwerkverbindung erwischt, oder sich irgendwo vertippt? Einfach noch mal alles überprüfen.

Stimmt alles, dann testen wir, ob wir das Siemens C2-010-I erreichen können, indem wir

ping 192.168.1.1

eingeben. Als Ergebnis sollte man wieder ein 'Antwort von 192.168.1.1:' usw. erhalten. Klappt das, ist das schlimmste Überstanden, geht's nicht, muss man nachsehen, ob PC und Modem mit dem richtigen Kabel verbunden sind. Wenn dies der Fall ist, dann sollte auch die ganz rechte LED mit der Aufschrift Ethernet Link/Act leuchten.

Wenn nun die Verbindung zum C2 steht, kann man anfangen, die Konfiguration vorzunehmen. Dazu gibt man als erstes in seinem Browser (also Internet Explorer oder Firefox usw.) einfach die IP-Adresse des C2 ein, also 192.168.1.1

500px

Nun erscheint die

Passwortabfrage,

die eines der bekannten Passwörter verlangt:

Jetzt nicht irre machen lassen, das Passwort ist in Wirklichkeit nicht zu lesen, sondern da stehen nur ********. ;-)

Passwort und Username auf dem Bild passen für die neueren Modems.

Wenn es nicht geht, einfach mit den anderen probieren. Hier noch mal beide Kombinationen zum kopieren/einfügen:

Alice: Alt Neu
User : 13184 alice@13184
Pass : dsl$pw*510 hnto$mgmt@lice
DoKom21: IP 192.168.254.254
User : DOKOMADMIN
Pass : HStOU8cj


Wenn alles geklappt hat, dann sollte jetzt dieses Bild zu sehen sein:

Konfiguration

Bevor wir mit der Konfiguration beginnen, sei erwähnt, dass alle Änderungen durch einen Reset wieder zurückgesetzt werden können.

Dies erfolgt, während das Gerät eingeschaltet ist. Dazu muss man ca. 7 Sekunden z.B. mit einem Kugelschreiber auf den Reset Knopf auf der Rückseite des Modems drücken.


450px

Dann erlischt zunächst die Status LED. (Falls die ADSL LED aus war, leuchtet sie kurz auf.) Dann erlischt auch die ADSL LED. Nach einigen Sekunden leuchtet die Status LED auf und nach einigen weiteren Augenblicken beginnt die ADSL LED zu blinken, und wenn eine Verbindung zustande kommt, bleibt sie dauerhaft an.

Nun befindet sich das Modem wieder im Auslieferungszustand.


Der Routermodus

Wenn jemand gar nicht wissen will, wie das ganze funktioniert, sondern nur schnell einen funktionierenden Router haben möchte,
dann kann er dies auf der Seite Routersetup in 3 Minuten erfahren.

Um nun das Modem zum Router zu konfigurieren muss man auf die Seite Advanced wechseln und dort ATM VCC aufrufen. Wenn man in der Adressleiste:

http://192.168.1.1/MainPage?id=59

eingibt, landet man direkt dort. Im linken Bild ganz unten sieht man die standardmäßig konfigurierten virtuellen ATM-Verbindungen (PVC-0 bis PVC-3). Keine dieser Verbindungen ist für unsere Zwecke geeignet. Um jedoch die Konfiguration als Router abspeichern zu können, muss die aktive Default Route (im PVC-3) disabled werden. Am einfachsten löscht man zunächst alle Verbindungen bis auf eine. Dazu klickt man einfach auf das Papierkorb Symbol image:Papierkorb.png, rechts neben der Verbindung und bestätigt das Löschen.

Dann gibt man die Daten entsprechend dem rechten Bild ein, wobei natürlich die Daten für Username und Passwort abzuändern sind:


300px 300px



Es muss übrigens in jedem Fall ein Passwort eingegeben werden, auch wenn man für die Einwahl nur seine Telefonnummer mit Vorwahl als Username eingeben müsste. Ohne Passwort lässt sich die Konfiguration nicht speichern.

Wenn alles richtig eingegeben wurde, klickt man auf 'Apply', damit ist das C2 erst mal ein Router.

Wenn man nun auf die 'PPP' Seite aufruft

http://192.168.1.1/MainPage?id=16

sollte dort Connected stehen. Ist dies nicht der Fall ist, sind zunächst noch einmal die eingegebenen Daten zu überprüfen. Kommt trotz korrekter Daten keine Verbindung zustande, so kann dies evtl. daran liegen, dass man noch auf einen alten Port geschaltet ist. Dann sollte man folgende abweichenden Werte versuchen:

VPI= 8 8 0
VCI= 35 36 35


Auf der Seite Tools -> Test

http://192.168.1.1/MainPage?id=28

kann man die Verbindung prüfen lassen, indem man einfach auf Test klickt. Wenn der ping an Siemens.com fehlschlägt, so ist dies übrigens völlig normal, denn sinnvollerweise antwortet Siemens.com nicht (mehr?) auf einen Ping.


Nun sollte man noch verschiedene Einstellungen vornehmen, weil man sonst keine Freude an dem Router hat.

Änderungen Übernehmen

Die gerade vorgenommenen Änderungen wirken sich zwar schon aus, aber wenn das C2 einmal ausgeschaltet wird, dann vergisst es diese Einstellungen wieder. Um sie zu sichern muss man nach Tools->Misc. wechseln:

http://192.168.1.1/MainPage?id=58

Hier drückt man einmal auf Save & Reboot. Damit werden die Änderungen in den nicht flüchtigen Flash Speicher übernommen und das Modem mit diesen Einstellungen neu gestartet. Dabei gehen zunächst die beiden mittleren LEDs aus und fangen nach einer Weile wieder an zu blinken. Wenn alle vier LEDs wieder leuchten, kann man sich erneut mit dem Router verbinden. Ab jetzt werden die Einstellungen auch nach einem Stromausfall/Ausschalten wiederhergestellt.

Konfiguration sichern

Es empfiehlt sich, eine geänderte Konfiguration in eine Datei auf dem lokalen Rechner zu sichern, dann kann man die Einstellungen im Notfall in Sekundenschnelle wiederherstellen.

Man wechselt dazu nach Tools->System oder direkt:

http://192.168.1.1/MainPage?id=35

Dann drückt man auf den Save Config Button und gibt den Speicherort für die Configdatei ein. Am Besten ändert man den Namen etwas ab, damit man später erkennen kann, welche Änderungen in dieser Datei bereits gespeichert sind (z.B. commitedcfg firewall.cfg etc.).

Hinweis: Wenn zwischen dem letzten Save and reboot Änderungen der Konfiguration vorgenommen wurden, sollte man diese erst speichern, damit diese Änderungen auch in die gesicherte Config-Datei übernommen werden.
Konfiguration wiederherstellen

Um die in der Datei gesicherten Einstellungen dann wiederherzustellen drückt man auf den Durchsuchen Button und öffnet die commitedcfg.cfg-Datei. Dann drückt man auf den Upload Button. Nun wird die Datei auf das C2 geladen, und wiederum ein Modemreset durchgeführt.

Hinweis: Beim Hochladen verlangt der Router ausdrücklich nach commitedcfg.cfg, jeder andere Dateiname wird nicht akzeptiert. Deshalb muss man eine gesicherte/geänderte Config-Datei gegebenenfalls erst nach commitedcfg.cfg umbenennen / umkopieren. Wobei umkopieren die bessere Wahl ist: Falls irgend etwas nicht hinhaut, hat man dann immer noch eine Sicherungskopie.

Bei bestimmten Fehlern in der Konfigurationsdatei, z. B. wenn die Filterregeln einen syntaktischen Fehler enthalten (z.B. zweimal ein Dest port definiert statt eines Dest und eines Source), dann lädt das C2 die default Daten, als hätte man einen Hardware-Reset gemacht. Für diesen Fall ist es natürlich schön, wenn man eine funktionierende Config-Datei hat, die die bereits gemachten Änderungen enthält. Also lieber einmal mehr Save Config drücken, als einmal zu wenig.

Firewall

Diese Konfigurationsseite hat mit der eigentlichen Firewall für das lokale Netzwerk nichts zu tun.

Tatsächlich wird die Internetverbindungs-Firewall aktiviert, sobald man den Routermodus einschaltet. Dies wird durch die paketbasierten Filtereinträge im ersten Teil der committedcfg.cfg erreicht.

Die Einträge:

       Disable HTTP from External Network.

Disable Telnet from External Network. Disable FTP from External Network. Disable TFTP from External Network. Disable SNMP from External Network

solte man auf jeden Fall ankreuzen. Damit wird der Zugriff auf den Router vom Internet aus verhindert. Ansonsten kann jeder vom Internet aus auf den Router zugreifen und dessen Konfiguration ändern, sobald er Benutzernamen, Kennwort und öffentliche IP kennt.


DOS Protection

Die DOS Protection verhindert bestimmte Denial of Service Attacken auf den Router:

Attacke Schutz
SYN DOS Die Anzahl der halboffenen Verbindungen ist beschränkt auf einen benutzerdefinierten Prozentsatz der insgesamt verfügbaren Verbindungen. Neue TCP Verbindungen werden zugelassen indem ältere halboffene Verbindungen gelöscht werden.
ICMP DOS Die Anzahl der aktiven ICMP Verbindungen ist beschränkt auf einen benutzerdefinierten Prozentsatz der insgesamt verfügbaren Verbindungen. Neue ICMP Pakete werden zugelassen indem ältere ICMP Verbindungen gelöscht werden.
Per Host DOS protection Die Anzahl der aktiven IP Verbindungenpro PC ist beschränkt auf einen benutzerdefinierten Prozentsatz der insgesamt verfügbaren Verbindungen. Weitere Verbindungen werden nicht zugelassen, bis die älteren Verbindungen wegen timeouts geschlossen werden.

Attack Protection

Attacke Schutz
Ping of death Das Modem verwirft alle fragmentierten Pakete von jeder Schnittstelle, deren Offset plus der gegenwärtigen Paketgröße 65535 übersteigt.
IP Spoofing Das Modem verwirft alle Pakete von einer öffentlichen Schnittstelle dessen Quell - IP - Adresse aus dem Adressbereich eines lokalen oder service Netzwerks stammt, die dem Modem bereits bekannt sind.
Tear Drop Das Modem verwirft alle Pakete mit sich überschneidenden Fragmenten.
IP Spoofing Das Modem verwirft alle empfangenen Pakete aller Schnittstellen, dessen Quell - IP - Adressen entweder einer Loopback Adresse oder einer Multicast Adresse entsprechen.
Smurf and Fraggle Das Modem verwirft alle empfangenen Pakete aller Schnittstellen, dessen Quell - IP - Adressen eine Broadcast Adresse hat (The modem drops any packet received on any interface that

has a source IP address as the broadcast address of that network or the IP broadcast address.)

Land attack Das Modem verwirft alle empfangenen Pakete aller Schnittstellen dessen Quell- und Ziel- IP - Adresse übereinstimmen.
Port scan Das Modem erkennt verschiedenste Arten von Port-Scan Attacken einschließlich NULL Scan, XMAS Scan, TCP Fragmentation Scan, SYNACK scan, FIN scan, ACK scan, RST scan, UDP scan,

ICMP scan and TCP session scan.


300px


Nun natürlich wieder speichern

Filter

Hier wird die eigentliche Firewall konfiguriert. Zunächst erst einmal lässt das C2 keine Verbindungen von außen herein, die nicht zuvor von einer Anwendung innerhalb des Netzwerkes initiiert wurde. Insofern kann man schon mal ein wenig surfen, ohne sofort alle gängigen Viren auf dem Rechner zu haben. Man kann aber sein Netzwerk noch besser schützen, indem man nur den erwünschten Netzwerkverkehr erlaubt. Um dies sinnvoll tun zu können, muss man sich allerdings noch etwas näher mit diesem Netzwerkverkehr beschäftigen.


Für die Kommunikation der Rechner sind nicht nur die IP-Adressen wichtig, sondern ebenfalls die sogenannten Ports. Das ist ein Art Unteradresse, um die Datenpakete der richtigen Anwendung zuordnen zu können. Es gibt je 65535 Ports für herein und hinausgehenden Datenverkehr. Tatsächlich werden aber für den Normalbetrieb eines Rechner nur eine handvoll Ports benötigt. Diese muss man offen halten. Alle anderen Ports kann man schließen, da sie ansonsten ein potentielles Sicherheitsrisiko darstellen.

Die Anwendung der Filter im C2 Router erfolgt genau in der Reihenfolge, in der sie eingetragen sind.

Deshalb definiert man zunächst Filter für alle Ports, die Datenverkehr durchlassen sollen, und dann definiert man einen Filter der den Datenverkehr für alle Ports schließt. Dieser letzte Filter schließt dann aber nur die Ports, für die bisher keine Filter definiert wurden.

Jetzt ist natürlich noch interessant, welche Ports man überhaupt benötigt. In der Wikipedia gibt es eine Tabelle, in der den bekanntesten Portnummern die entsprechenden Dienste gegenüber gestellt sind.

Ich habe selbst eine Auswahl getroffen, die ich hier vorstellen möchte. Dies sind eben die Ports, die ich für mein Netzwerk freigeschaltet habe:

Portnummer Dienst Transportprotokoll
20-21 FTP TCP
22 Secure FTP (SFTP) TCP
23 Telnet TCP
25 SMTP (Email senden) TCP
53 DNS - Domain Name Service Namesauflösung UDP
80 HTTP Webserver TCP
110 Pop3 -Email empfangen TCP
119 News Server TCP
123 NTP Network Time Protocol TCP
443 HTTPS Secure HTTP z.B. Homebanking TCP
3000 HBCI Homebanking mit SmartCard (ergänzt WK) TCP
5190 ICQ Messaging
8245 mein NO-IP Com -Programm zum setzen der Dynamischen IP TCP
8080 Http Alternativport für Webserver TCP

Filter erstellen

Hinweis: Bevor man jetzt anfängt, diese Filter alle Schritt für Schritt mitzusetzen, bitte erst mal zu Ende lesen. Zum Schluss kommt nämlich noch ein Hinweis, wie man sich die Sache etwas vereinfachen kann.

Ich dachte mir, als erstes sichert man den Router, auf den niemand Zugriff haben muss. Lediglich um mit dem DMT-Tool die Einstellungsdaten und Leitungsdaten auszulesen benötigt man einen offenen Port 23 sowie ein funktionierendes Ping. Sonst meldet das DMT Tool

"Fehler: Verbindungsaufbau gescheitert. Modem nicht gefunden. IP-Adresse falsch?".

Da ich nur von einem Rechner aus auf den Router zugreife, habe ich dessen Adresse als Source IP eingegeben. Wenn man von jedem Rechner im Netzwerk auf den Router zugreifen will muss man statt der 192.168.1.4 einfach ANY IP auswählen:


350px

Beim Inbound Filter ist dieselbe Regel zu definieren, nur dass hier die Dest. IP Address auf 192.168.1.1 zu setzen ist und die Src. IP Address auf 192.168.1.4 (bzw. ANY IP).

Als nächstes wird der gesamte übrige Zugriff auf den Router gesperrt. Man könnte dies theoretisch mit:


400px


machen. Dann funktioniert allerdings auch kein Ping mehr, weil alle Protokolle gesperrt werden. Damit kommt dies für uns nicht in Frage. Wir müssen stattdessen jeweils alle Adressen für das TCP und dann für das UDP Protokoll sperren. Also folgende Regeln eingeben:


384px
384px


Damit sollte das Prinzip klar sein, daher habe ich jetzt nur die fertigen Filterseiten für inbound und outbound, also ein- und ausgehenden Netzwerkverkehr abgebildet:


384px
384px


Filter extern definieren

Hinweis: Im folgenden Text gibt es Links zu fertig erstellten Konfigurationsdateien, die auch funktionierende Filter enthalten. Diese Filter sind aber noch nicht vollständig ausgereift.

So ist mir im Nachhinein aufgefallen, dass das Sperren des Routers mittels Filterung keinen Erfolg bringt. Selbst eine komplette Sperre der Adresse 192.168.1.1 verhindert den WebZugriff auf die Routerkonfiguration nicht. Dies ist lediglich via telnet möglich, und dann auch nicht für einzelne IP-Adressen sondern global. Deshalb werde ich in Kürze eine veränderte Filterdatei bereitstellen. Außerdem werde ich vielleicht eine kleine Erklärungsseite zur Befehlssyntax hinzufügen.

Um den Rechner/das Netz aber grundlegend abzusichern, sollten die Konfigurationen ausreichen


Es ist recht mühselig, diese ganzen Filter einzugeben, zumal man nach jeder Regel warten muss, bis das C2 sie übernommen hat. Und wenn man dann zum Schluss feststellt, dass man eine Regel vergessen hat, dann darf man wegen der Reihenfolge noch mal von vorne anfangen. Deshalb bin ich dazu übergegangen, die Regeln extern auf meinem Rechner zu erstellen und dann auf das Modem zu laden.

Dazu muss man zunächst die bestehende Konfiguration auf seinen Rechner übertragen. Am besten macht man sich eine Kopie der gerade gesicherten Datei, falls man beim editieren einen Fehler und die Datei damit versehentlich unbrauchbar macht.

Zum besseren Verständnis habe ich die Regeln für alle oben abgebildeten Filter auf der Seite Filterregeln im Format der commitedcfg.cfg aufgelistet.

Öffnet man die Datei in einem Texteditor, müssen die Filterregeln an der Stelle eingefügt werden, die in

dieser Beispieldatei rot hinterlegt ist.

Wenn man sich die Filterregeln ansieht, erkennt man dass nach dem Wort ruleid (zu deutsch etwa Regel Nummer) eine laufende Nummer folgt, die bei der ersten Regel mit 2001 beginnt. Fügt man also Regeln hinzu oder entfernt sie, sollte man diese Nummern entsprechend anpassen, damit die Regeln in der richtigen Reihenfolge abgearbeitet werden.

Man kann auch Kommentare hinzufügen, damit man die Datei später einmal selbst noch leicht versteht, dazu einfach eine # an den Zeilenanfang setzen. Man darf aber keine Kommentare ans Ende von Befehlszeilen, also auch Regeln anhängen, sie müssen eine eigene Zeile sein, sonst kommt es bei der Übertragung auf das Modem zu Fehlern.

Ergänzung: Wenn man in die von Stefan vorgegebenen Tabellen noch den Eintrag für HBCI ergänzen will, dann kann man z.B. den an der entsprechenden Stelle darüberliegenden Eintrag für HTTPS (Port 443) kopieren und die Kopie darunter einfügen. In der Kopie muss dann die Portnummer richtig gestellt werden und es muss darauf geachtet werden, dass die nachfolgenden Rule Nummern angepasst werden. Dies muss für beide Übertragungsrichtungen ( in und out - je an der entsprechenden Stelle - Reihenfolge !! ) vorgenommen werden.

Filterregeln übertragen

Wenn man die Filterregeln in die commitedcfg.cfg eingetragen und gespeichert hat, dann kann man sie zurück ins Modem übertragen. Dazu lädt man die Datei nach den Anweisungen im Abschnitt Konfiguration wiederherstellen auf den Router.

Wenn der Router wieder verbunden ist, d.h. die ADSL-LED wieder leuchtet, dann sollte man zunächst probieren, ob alle Dienste wie gewünscht funktionieren. Also einfach mal eine Webseite aufrufen, ggf. auch eine mit https (z.B. addons.mozilla.org). Dann einen FTP-Download starten usw. Wenn alles funktioniert, kann man die geänderte Konfiguration unter einem entsprechenden Namen sichern. Sollte irgend etwas nicht klappen, stellt man die vorhergehende Konfiguration wieder her und überprüft noch einmal die Einstellungen in der commitedcfg.cfg.


Wenn ein bestimmtes Programm nicht funktioniert, weil es keine Verbindung zum Internet aufbauen kann, und man weiß nicht genau, welchen Port es benutzt, dann kann man das Programm Ethereal benutzen, um die Portzugriffe zu überwachen.


Webdienste

Wenn man eigene Webdienste, also einen FTP- oder Webserver, auf einem Rechner im Netzwerk betreiben möchte, dann ist noch etwas mehr Konfiguration nötig.

Bisher haben wir ja extra jeden Zugriff von außen geblockt. Wenn man aber selbst einen Webserver betreibt, dann muss dieser ja vom Internet aus erreichbar sein.

Auch bei P2P- Netwerken, wie Emule oder Bit Torrent muss man vestimmte Ports für die Außenwelt öffnen.

Portforwarding

Dazu muss als erstes das sogenannte 'Portforwarding' aktiviert sein, das heißt, dass Anfragen auf einen bestimmten Port an den Rechner weitergeleitet werden müssen, auf dem der Webserver läuft.

Dies wird unter Advanced->Virtual Server aktiviert:

http://192.168.1.1/MainPage?id=52


Für einen Webserver müsste man z.B. den Port 80 weiterleiten:

400px


Ein FTP-Server benötigt die Ports 20 und 21, Secure FTP den Port 22.

Natürlich benötigt man nun auch noch weitere Filter, damit auch dieser Datenverkehr zugelassen wird.


Filter für Serverdienste

Diese Filter sehen fast genauso aus wie die anderen out bzw. inbound Filter, nur dass diesmal bei den hinausgehenden Verbindungen nicht der Destport (oder Zielport) sondern der Srcport (also Quellport) zu definieren ist. Bei den eingehenden Verbindungen ist es statt des Srcport der Destport, der definiert werden muss. Ich habe auch eine Liste mit den erweiterten Filterregeln erstellt, in der die entsprechenden ruleids bereits angepasst sind. In dieser Liste habe ich die Ports 80 und 8080 für den Webserver sowie die Ports 20 bis 22 für FTP bzw. SFTP freigegeben. Es gibt natürlich auch eine Beispieldatei commitedcfg.cfg mit den erweiterten Filtern, die man ggf. genau so übernehmen könnte.


Benutzername und Passwort

Wer sich die commitedcfg.cfg etwas genauer angeschaut hat, dem ist villeicht aufgefallen, dass in der ersten Zeile Alice Kennwort und Benutzername auftauchen. Tatsächlich definiert die Zeile

create user name alice@13184 passwd hnto$mgmt@lice root 

den Zugangscode für das C2-010I. Wenn ich also die Zeile nach

create user name jeder passwd keins root 

abändere, und die so geänderte Konfigurationsdatei auf den Router wieder hochlade, kann ich mich künftig als Benutzer:jeder mit dem Passwort:keins einloggen. Diese Kombination gilt dann natürlich auch für das DMT-Tool. Wenn ich die Zeile nicht abändere sondern hinzufüge, dann kann ich mich unter beiden Accounts einloggen.

Allerdings sollte man ein wenig mehr Phantasie bei der Wahl von Benutzernamen und Passwort aufbringen.

Wenn man später im Webinterface den Port für FTP oder HTTP ändern möchte, so muss man einen Account mit dem Namen admin erstellen, denn auf der Seite, auf der man dies einstellen kann Tools->Admin

http://192.168.1.1/MainPage?id=3

wird immer auch das Passwort für Benutzer admin gesetzt. Wenn es diesen Benutzer (wie in der Werkseinstellung) nicht gibt, dann können die Änderungen für diese Seite nicht gespeichert werden.

Aktualisierung der IP-Adresse bei Dyndns.org

Wenn man einen Webdienst bereitstellen möchte, so steht man vor dem Problem, dass die eigene IP-Adresse häufig wechselt. Man müsste also Benutzern des Webdienstes bei jedem Wechsel der IP-Adresse ( also praktisch bei jeder Verbindungsunterbrechung) die neue IP-Adresse mitteilen.

Dafür gibts es Dienstleister, die eine Webadresse mit der jeweils aktuellen IP-Adresse verknüpfen. Diesen Dienst nennt man Dynamischen Domain Name Service, oder auch abgekürzt DynDNS. Einige Provider stellen diesen Dienst auch kostenlos zur Verfügung.

Einer dieser Provider ist http://dyndns.org. Wenn man sich bei DynDNS.org eine dynamische IP-Adresse registriert hat, so bietet das Siemens C2-010I die Möglichkeit, bei jedem Wechsel der IP Adresse, die aktuelle IP an DynDNS.org zu übermitteln. Dazu muss man 2 Zeilen in der commitedcfg.cfg hinzufügen

create ddns hostname  ifname ppp-0 name Meine.DynDNS.webadresse

create ddns intf  ifname ppp-0 srvcname dyndns username "Benutzername" passwd Passwort wildcard enable 


Wenn mein Benutzername:Stefan ist, mein Passort:Alice2000 und meine Dynamische Adresse Stefan.dyndns.org lautet, so müsste der Eintrag so aussehen:

create ddns hostname  ifname ppp-0 name Stefan.dyndns.org

create ddns intf  ifname ppp-0 srvcname dyndns username "Stefan" passwd Alice2000 wildcard enable 

Diese Zeilen kommen fast ans Ende der Konfigurationsdatei und werden nur noch von

modify ilmi access protocol ifname atm-0 vpi 1 vci 32 proto any 
trigger ilmi
END

gefolgt. Wenn alles richtig funktioniert hat, dann sollte man sofort nachdem man eine Verbindung ins Internet aufgebaut hat, mit einem

Ping Stefan.dyndns.org eine Antwort mit der IP-Adresse erhalten, die man unter WAN im Status ->Deviceinfo

http://192.168.1.1/MainPage?id=52

sehen kann:

400px




->Zurück zu Allgemeine Tutorials

Persönliche Werkzeuge