Siemens C2-010-I als Router konfigurieren
Aus ModemWiki
→Nächstältere Version | Nächstjüngere Version←
Inhaltsverzeichnis |
Einleitung
Wenn man die einschlägigen Foren durchsucht, findet man ja die entsprechenden Anleitungen, wie man das C2-010-l zum Router konfigurieren kann. Allerdings muss man sich die einzelnen Schritte über z.T. Dutzende Seiten zusammensuche, daher hier der Versuch eines kompakten Tutorials.
Wozu ein Router
Konfiguriert man das C2 zum Router, hat das zwei große Vorteile:
- 1. Die Internetverbindung kann von mehreren Rechnern gleichzeitig benutzt werden und
- 2. kann mit den Filtern des Routers das gesamte Netzwerk vernünftig abgesichert werden, wie das mit keiner Personal Firewall Software möglich ist.
Netzwerkgrundlagen
Sollen zwei (oder mehr) Rechner in einem Netzwerk miteinander in Verbindung treten, dann müssen sie dem selben Netz angehören. Welchem Netz ein Rechner angehört, wird mit Hilfe der sogenannten IP-Adresse und der Subnetzmaske festgelegt.
Das Siemens C2 wird mit der
IP - Adresse 192.168.1.1 Subnetzmaske 255.255.255.0
ausgeliefert. Man sollte bei den einzelnen Adressgruppen die führende(n) Null(en) weglassen, da einige Betriebssysteme sie sonst als oktal interpretieren (z.B. Windows 2000 SP3).
Um nun das C2 im Netzwerk erreichen zu können, muss die Netzwerkkarte des PC eine Adresse im Bereich 192.168.1.2 bis 192.168.1.254 mit der Subnetzmaske 255.255.255.0 haben.
Dies wird in der Regel nicht der Fall sein, so dass man als erstes die
IP Adresse der Netzwerkkarte
des PC einstellen muss. Für die ganz faulen oder unbedarften habe ich eine Batchdatei geschrieben, mit der man die Netzwerkkarte konfigurieren kann.
1. Öffnet man Start->Ausführen und gibt
ncpa.cplein. Dadurch werden die Netzwerkverbindungen angezeigt.  | 2. Uns interessiert die LAN-Verbindung. Darauf wird ein Rechtsklick ausgeführt, und im Kontextmenü Eigenschaften ausgewählt. |
3. Dann wird im Abschnitt Diese Verbindung verwendet folgende Elemente so lange gerollt, bis Internetprotokoll(TCP/IP) erscheint. Dies wird ausgewählt und  | 4. auf den Eigenschaften Knopf gedrückt. Dann Erscheint das Fenster Eigenschaften von Internetprotokoll (TCP/IP) |
Hier muss nun Folgende IP Adresse verwenden ausgewählt werden, und im Feld IP-Adresse z.B. 192.168.1.4 eingegeben werden.
| Achtung: | Jeder Rechner im Netzwerk benötigt eine eigene IP-Adresse, es darf also keine Adresse 2 mal vergeben werden. |
Wenn wir schon einmal in diesem Fenster sind, dann können wir auch gleich die IP-Adressen für die Nameserver (DNS-Server) eingeben. Ein Nameserver hat die Aufgabe, die Internetadresse (URL) in eine IP Adresse zu übersetzen also zum Beispiel: www.Bundesregierung.de in 195.43.53.65 - da die Rechner sich nur anhand der IP Adressen verbinden können, und nicht mit Hilfe der Namen.
Man könnte als Nameserver auch den Router eingeben, und dort die gewünschten Nameserver konfigurieren. Ich habe allerdings festgestellt, dass die Namensauflösung, also die Umsetzung der URL zur IP Adresse, zuverlässiger funktioniert, wenn die Nameserver direkt auf dem PC eingegeben werden. Die Werte aus dem Screenshot können so übernommen werden, Hansenet hat aber auch noch weitere Nameserver. Man kann natürlich auch jeden anderen Nameserver hier eintragen, wenn man dies für sinnvoll hält (z.B. weil man meint er wäre zuverlässiger).
So nach diesen ganzen Änderungen ist erst mal ein Neustart fällig, damit die neuen Werte auch übernommen werden. Wenn dann der Rechner wieder hochgefahren ist, öffnen wir ein DOS Fenster, um zu sehen, ob alles geklappt hat. Dazu geben wir bei Start->Ausführen:
cmd
ein und drücken Eingabe. Dann erscheint ein schwarzes DOS Fenster, in dem wir gleich weiter tippen können, und zwar
ping 192.168.1.4
oder welche IP-Adresse wir unserem Rechner auch immer gegeben haben. Wenn alles in Ordnung ist müsste dort etwa folgendes erscheinen:
 |
Wenn das Bild stattdessen so aussieht,
 |
dann stimmt irgend etwas nicht. Vielleicht hat man die falsche Netzwerkverbindung erwischt, oder sich irgendwo vertippt? Einfach noch mal alles überprüfen.
Stimmt alles, dann testen wir, ob wir das Siemens C2-010-I erreichen können, indem wir
ping 192.168.1.1
eingeben. Als Ergebnis sollte man wieder ein 'Antwort von 192.168.1.1:' usw. erhalten. Klappt das, ist das schlimmste Überstanden, geht's nicht, muss man nachsehen, ob PC und Modem mit dem richtigen Kabel verbunden sind. Wenn dies der Fall ist, dann sollte auch die ganz rechte LED mit der Aufschrift Ethernet Link/Act leuchten.
Wenn nun die Verbindung zum C2 steht, kann man anfangen, die Konfiguration vorzunehmen. Dazu gibt man als erstes in seinem Browser (also Internet Explorer oder Firefox usw.) einfach die IP-Adresse des C2 ein, also 192.168.1.1
 |
Nun erscheint die
Passwortabfrage,
die eines der bekannten Passwörter verlangt:
Jetzt nicht irre machen lassen, das Passwort ist in Wirklichkeit nicht zu lesen, sondern da stehen nur ********. ;-)
Passwort und Username auf dem Bild passen für die neueren Modems.
Wenn es nicht geht, einfach mit den anderen probieren. Hier noch mal beide Kombinationen zum kopieren/einfügen:
| Alice: | Alt | Neu |
| User : | 13184 | alice@13184 |
| Pass : | dsl$pw*510 | hnto$mgmt@lice |
| DoKom21: | IP 192.168.254.254 |
| User : | DOKOMADMIN |
| Pass : | HStOU8cj |
Wenn alles geklappt hat, dann sollte jetzt dieses Bild zu sehen sein:
|
Konfiguration
Bevor wir mit der Konfiguration beginnen, sei erwähnt, dass alle Änderungen durch einen Reset wieder zurückgesetzt werden können.
Dies erfolgt, während das Gerät eingeschaltet ist. Dazu muss man ca. 7 Sekunden z.B. mit einem Kugelschreiber auf den Reset Knopf auf der Rückseite des Modems drücken.
Dann erlischt zunächst die Status LED. (Falls die ADSL LED aus war, leuchtet sie kurz auf.) Dann erlischt auch die ADSL LED. Nach einigen Sekunden leuchtet die Status LED auf und nach einigen weiteren Augenblicken beginnt die ADSL LED zu blinken, und wenn eine Verbindung zustande kommt, bleibt sie dauerhaft an.
Nun befindet sich das Modem wieder im Auslieferungszustand.
Der Routermodus
Wenn jemand gar nicht wissen will, wie das ganze funktioniert, sondern nur schnell einen funktionierenden Router haben möchte,
dann kann er dies auf der Seite Routersetup in 3 Minuten erfahren.
Um nun das Modem zum Router zu konfigurieren muss man auf die Seite Advanced wechseln und dort ATM VCC aufrufen. Wenn man in der Adressleiste:
http://192.168.1.1/MainPage?id=59
eingibt, landet man direkt dort. Im linken Bild ganz unten sieht man die standardmäßig konfigurierten virtuellen ATM-Verbindungen (PVC-0 bis PVC-3). Keine dieser Verbindungen ist für unsere Zwecke geeignet. Um jedoch die Konfiguration als Router abspeichern zu können, muss die aktive Default Route (im PVC-3) disabled werden. Am einfachsten löscht man zunächst alle Verbindungen bis auf eine. Dazu klickt man einfach auf das Papierkorb Symbol 
, rechts neben der Verbindung und bestätigt das Löschen.
Dann gibt man die Daten entsprechend dem rechten Bild ein, wobei natürlich die Daten für Username und Passwort abzuändern sind:
| 
|
Es muss übrigens in jedem Fall ein Passwort eingegeben werden, auch wenn man für die Einwahl nur seine Telefonnummer mit Vorwahl als Username eingeben müsste. Ohne Passwort lässt sich die Konfiguration nicht speichern.
Wenn alles richtig eingegeben wurde, klickt man auf 'Apply', damit ist das C2 erst mal ein Router.
Wenn man nun auf die 'PPP' Seite aufruft
http://192.168.1.1/MainPage?id=16
sollte dort Connected stehen. Ist dies nicht der Fall ist, sind zunächst noch einmal die eingegebenen Daten zu überprüfen. Kommt trotz korrekter Daten keine Verbindung zustande, so kann dies evtl. daran liegen, dass man noch auf einen alten Port geschaltet ist. Dann sollte man folgende abweichenden Werte versuchen:
| VPI= | 8 | 8 | 0 |
| VCI= | 35 | 36 | 35 |
Auf der Seite Tools -> Test
http://192.168.1.1/MainPage?id=28
kann man die Verbindung prüfen lassen, indem man einfach auf Test klickt. Wenn der ping an Siemens.com fehlschlägt, so ist dies übrigens völlig normal, denn sinnvollerweise antwortet Siemens.com nicht (mehr?) auf einen Ping.
Nun sollte man noch verschiedene Einstellungen vornehmen, weil man sonst keine Freude an dem Router hat.
Änderungen Übernehmen
Die gerade vorgenommenen Änderungen wirken sich zwar schon aus, aber wenn das C2 einmal ausgeschaltet wird, dann vergisst es diese Einstellungen wieder. Um sie zu sichern muss man nach Tools->Misc. wechseln:
http://192.168.1.1/MainPage?id=58
Hier drückt man einmal auf Save & Reboot. Damit werden die Änderungen in den nicht flüchtigen Flash Speicher übernommen und das Modem mit diesen Einstellungen neu gestartet. Dabei gehen zunächst die beiden mittleren LEDs aus und fangen nach einer Weile wieder an zu blinken. Wenn alle vier LEDs wieder leuchten, kann man sich erneut mit dem Router verbinden. Ab jetzt werden die Einstellungen auch nach einem Stromausfall/Ausschalten wiederhergestellt.
Konfiguration sichern
Es empfiehlt sich, eine geänderte Konfiguration in eine Datei auf dem lokalen Rechner zu sichern, dann kann man die Einstellungen im Notfall in Sekundenschnelle wiederherstellen.
Man wechselt dazu nach Tools->System oder direkt:
http://192.168.1.1/MainPage?id=35
Dann drückt man auf den Save Config Button und gibt den Speicherort für die Configdatei ein. Am Besten ändert man den Namen etwas ab, damit man später erkennen kann, welche Änderungen in dieser Datei bereits gespeichert sind (z.B. commitedcfg firewall.cfg etc.).
| Hinweis: | Wenn zwischen dem letzten Save and reboot Änderungen der Konfiguration vorgenommen wurden, sollte man diese erst speichern, damit diese Änderungen auch in die gesicherte Config-Datei übernommen werden. |
Konfiguration wiederherstellen
Um die in der Datei gesicherten Einstellungen dann wiederherzustellen drückt man auf den Durchsuchen Button und öffnet die commitedcfg.cfg-Datei. Dann drückt man auf den Upload Button. Nun wird die Datei auf das C2 geladen, und wiederum ein Modemreset durchgeführt.
| Hinweis: | Beim Hochladen verlangt der Router ausdrücklich nach commitedcfg.cfg, jeder andere Dateiname wird nicht akzeptiert. Deshalb muss man eine gesicherte/geänderte Config-Datei gegebenenfalls erst nach commitedcfg.cfg umbenennen / umkopieren. Wobei umkopieren die bessere Wahl ist: Falls irgend etwas nicht hinhaut, hat man dann immer noch eine Sicherungskopie. |
Bei bestimmten Fehlern in der Konfigurationsdatei, z. B. wenn die Filterregeln einen syntaktischen Fehler enthalten (z.B. zweimal ein Dest port definiert statt eines Dest und eines Source), dann lädt das C2 die default Daten, als hätte man einen Hardware-Reset gemacht. Für diesen Fall ist es natürlich schön, wenn man eine funktionierende Config-Datei hat, die die bereits gemachten Änderungen enthält. Also lieber einmal mehr Save Config drücken, als einmal zu wenig.
Firewall
Diese Konfigurationsseite hat mit der eigentlichen Firewall für das lokale Netzwerk nichts zu tun.
Tatsächlich wird die Internetverbindungs-Firewall aktiviert, sobald man den Routermodus einschaltet. Dies wird durch die paketbasierten Filtereinträge im ersten Teil der committedcfg.cfg erreicht.
Die Einträge:
Disable HTTP from External Network.
Disable Telnet from External Network. Disable FTP from External Network. Disable TFTP from External Network. Disable SNMP from External Network
solte man auf jeden Fall ankreuzen. Damit wird der Zugriff auf den Router vom Internet aus verhindert. Ansonsten kann jeder vom Internet aus auf den Router zugreifen und dessen Konfiguration ändern, sobald er Benutzernamen, Kennwort und öffentliche IP kennt.
DOS Protection
Die DOS Protection verhindert bestimmte Denial of Service Attacken auf den Router:
| Attacke | Schutz |
| SYN DOS | Die Anzahl der halboffenen Verbindungen ist beschränkt auf einen benutzerdefinierten Prozentsatz der insgesamt verfügbaren Verbindungen. Neue TCP Verbindungen werden zugelassen indem ältere halboffene Verbindungen gelöscht werden. |
| ICMP DOS | Die Anzahl der aktiven ICMP Verbindungen ist beschränkt auf einen benutzerdefinierten Prozentsatz der insgesamt verfügbaren Verbindungen. Neue ICMP Pakete werden zugelassen indem ältere ICMP Verbindungen gelöscht werden. |
| Per Host DOS protection | Die Anzahl der aktiven IP Verbindungenpro PC ist beschränkt auf einen benutzerdefinierten Prozentsatz der insgesamt verfügbaren Verbindungen. Weitere Verbindungen werden nicht zugelassen, bis die älteren Verbindungen wegen timeouts geschlossen werden. |
Attack Protection
| Attacke | Schutz |
| Ping of death | Das Modem verwirft alle fragmentierten Pakete von jeder Schnittstelle, deren Offset plus der gegenwärtigen Paketgröße 65535 übersteigt. |
| IP Spoofing | Das Modem verwirft alle Pakete von einer öffentlichen Schnittstelle dessen Quell - IP - Adresse aus dem Adressbereich eines lokalen oder service Netzwerks stammt, die dem Modem bereits bekannt sind. |
| Tear Drop | Das Modem verwirft alle Pakete mit sich überschneidenden Fragmenten. |
| IP Spoofing | Das Modem verwirft alle empfangenen Pakete aller Schnittstellen, dessen Quell - IP - Adressen entweder einer Loopback Adresse oder einer Multicast Adresse entsprechen. |
| Smurf and Fraggle | Das Modem verwirft alle empfangenen Pakete aller Schnittstellen, dessen Quell - IP - Adressen eine Broadcast Adresse hat (The modem drops any packet received on any interface that
has a source IP address as the broadcast address of that network or the IP broadcast address.) |
| Land attack | Das Modem verwirft alle empfangenen Pakete aller Schnittstellen dessen Quell- und Ziel- IP - Adresse übereinstimmen. |
| Port scan | Das Modem erkennt verschiedenste Arten von Port-Scan Attacken einschließlich NULL Scan, XMAS Scan, TCP Fragmentation Scan, SYNACK scan, FIN scan, ACK scan, RST scan, UDP scan,
ICMP scan and TCP session scan. |
 |
Nun natürlich wieder speichern
Filter
Hier wird die eigentliche Firewall konfiguriert. Zunächst erst einmal lässt das C2 keine Verbindungen von außen herein, die nicht zuvor von einer Anwendung innerhalb des Netzwerkes initiiert wurde. Insofern kann man schon mal ein wenig surfen, ohne sofort alle gängigen Viren auf dem Rechner zu haben. Man kann aber sein Netzwerk noch besser schützen, indem man nur den erwünschten Netzwerkverkehr erlaubt. Um dies sinnvoll tun zu können, muss man sich allerdings noch etwas näher mit diesem Netzwerkverkehr beschäftigen.
Für die Kommunikation der Rechner sind nicht nur die IP-Adressen wichtig, sondern ebenfalls die sogenannten Ports. Das ist ein Art Unteradresse, um die Datenpakete der richtigen Anwendung zuordnen zu können. Es gibt je 65535 Ports für herein und hinausgehenden Datenverkehr. Tatsächlich werden aber für den Normalbetrieb eines Rechner nur eine handvoll Ports benötigt. Diese muss man offen halten. Alle anderen Ports kann man schließen, da sie ansonsten ein potentielles Sicherheitsrisiko darstellen.
Die Anwendung der Filter im C2 Router erfolgt genau in der Reihenfolge, in der sie eingetragen sind.
Deshalb definiert man zunächst Filter für alle Ports, die Datenverkehr durchlassen sollen, und dann definiert man einen Filter der den Datenverkehr für alle Ports schließt. Dieser letzte Filter schließt dann aber nur die Ports, für die bisher keine Filter definiert wurden.
Jetzt ist natürlich noch interessant, welche Ports man überhaupt benötigt. In der Wikipedia gibt es eine Tabelle, in der den bekanntesten Portnummern die entsprechenden Dienste gegenüber gestellt sind.
Ich habe selbst eine Auswahl getroffen, die ich hier vorstellen möchte. Dies sind eben die Ports, die ich für mein Netzwerk freigeschaltet habe:
| Portnummer | Dienst | Transportprotokoll |
| 20-21 | FTP | TCP |
| 22 | Secure FTP (SFTP) | TCP |
| 23 | Telnet | TCP |
| 25 | SMTP (Email senden) | TCP |
| 53 | DNS - Domain Name Service Namesauflösung | UDP |
| 80 | HTTP Webserver | TCP |
| 110 | Pop3 -Email empfangen | TCP |
| 119 | News Server | TCP |
| 123 | NTP Network Time Protocol | TCP |
| 443 | HTTPS Secure HTTP z.B. Homebanking | TCP |
| 3000 | HBCI Homebanking mit SmartCard (ergänzt WK) | TCP |
| 5190 | ICQ Messaging | |
| 8245 | mein NO-IP Com -Programm zum setzen der Dynamischen IP | TCP |
| 8080 | Http Alternativport für Webserver | TCP |
Filter erstellen
| Hinweis: | Bevor man jetzt anfängt, diese Filter alle Schritt für Schritt mitzusetzen, bitte erst mal zu Ende lesen. Zum Schluss kommt nämlich noch ein Hinweis, wie man sich die Sache etwas vereinfachen kann. |
Ich dachte mir, als erstes sichert man den Router, auf den niemand Zugriff haben muss. Lediglich um mit dem DMT-Tool die Einstellungsdaten und Leitungsdaten auszulesen benötigt man einen offenen Port 23 sowie ein funktionierendes Ping. Sonst meldet das DMT Tool
"Fehler: Verbindungsaufbau gescheitert. Modem nicht gefunden. IP-Adresse falsch?".
Da ich nur von einem Rechner aus auf den Router zugreife, habe ich dessen Adresse als Source IP eingegeben. Wenn man von jedem Rechner im Netzwerk auf den Router zugreifen will muss man statt der 192.168.1.4 einfach ANY IP auswählen:
|
Beim Inbound Filter ist dieselbe Regel zu definieren, nur dass hier die Dest. IP Address auf 192.168.1.1 zu setzen ist und die Src. IP Address auf 192.168.1.4 (bzw. ANY IP).
Als nächstes wird der gesamte übrige Zugriff auf den Router gesperrt. Man könnte dies theoretisch mit:
 |
machen. Dann funktioniert allerdings auch kein Ping mehr, weil alle Protokolle gesperrt werden. Damit kommt dies für uns nicht in Frage. Wir müssen stattdessen jeweils alle Adressen für das TCP und dann für das UDP Protokoll sperren. Also folgende Regeln eingeben:
 |  |
Damit sollte das Prinzip klar sein, daher habe ich jetzt nur die fertigen Filterseiten für inbound und outbound, also ein- und ausgehenden Netzwerkverkehr abgebildet:
 |  |
Filter extern definieren
| Hinweis: | Im folgenden Text gibt es Links zu fertig erstellten Konfigurationsdateien, die auch funktionierende Filter enthalten. Diese Filter sind aber noch nicht vollständig ausgereift.
So ist mir im Nachhinein aufgefallen, dass das Sperren des Routers mittels Filterung keinen Erfolg bringt. Selbst eine komplette Sperre der Adresse 192.168.1.1 verhindert den WebZugriff auf die Routerkonfiguration nicht. Dies ist lediglich via telnet möglich, und dann auch nicht für einzelne IP-Adressen sondern global. Deshalb werde ich in Kürze eine veränderte Filterdatei bereitstellen. Außerdem werde ich vielleicht eine kleine Erklärungsseite zur Befehlssyntax hinzufügen. Um den Rechner/das Netz aber grundlegend abzusichern, sollten die Konfigurationen ausreichen |
Es ist recht mühselig, diese ganzen Filter einzugeben, zumal man nach jeder Regel warten muss, bis das C2 sie übernommen hat. Und wenn man dann zum Schluss feststellt, dass man eine Regel vergessen hat, dann darf man wegen der Reihenfolge noch mal von vorne anfangen. Deshalb bin ich dazu übergegangen, die Regeln extern auf meinem Rechner zu erstellen und dann auf das Modem zu laden.
Dazu muss man zunächst die bestehende Konfiguration auf seinen Rechner übertragen. Am besten macht man sich eine Kopie der gerade gesicherten Datei, falls man beim editieren einen Fehler und die Datei damit versehentlich unbrauchbar macht.
Zum besseren Verständnis habe ich die Regeln für alle oben abgebildeten Filter auf der Seite Filterregeln im Format der commitedcfg.cfg aufgelistet.
Öffnet man die Datei in einem Texteditor, müssen die Filterregeln an der Stelle eingefügt werden, die in
| dieser Beispieldatei | rot hinterlegt ist. |
Wenn man sich die Filterregeln ansieht, erkennt man dass nach dem Wort ruleid (zu deutsch etwa Regel Nummer) eine laufende Nummer folgt, die bei der ersten Regel mit 2001 beginnt. Fügt man also Regeln hinzu oder entfernt sie, sollte man diese Nummern entsprechend anpassen, damit die Regeln in der richtigen Reihenfolge abgearbeitet werden.
Man kann auch Kommentare hinzufügen, damit man die Datei später einmal selbst noch leicht versteht, dazu einfach eine # an den Zeilenanfang setzen. Man darf aber keine Kommentare ans Ende von Befehlszeilen, also auch Regeln anhängen, sie müssen eine eigene Zeile sein, sonst kommt es bei der Übertragung auf das Modem zu Fehlern.
Ergänzung: Wenn man in die von Stefan vorgegebenen Tabellen noch den Eintrag für HBCI ergänzen will, dann kann man z.B. den an der entsprechenden Stelle darüberliegenden Eintrag für HTTPS (Port 443) kopieren und die Kopie darunter einfügen. In der Kopie muss dann die Portnummer richtig gestellt werden und es muss darauf geachtet werden, dass die nachfolgenden Rule Nummern angepasst werden. Dies muss für beide Übertragungsrichtungen ( in und out - je an der entsprechenden Stelle - Reihenfolge !! ) vorgenommen werden.
Filterregeln übertragen
Wenn man die Filterregeln in die commitedcfg.cfg eingetragen und gespeichert hat, dann kann man sie zurück ins Modem übertragen. Dazu lädt man die Datei nach den Anweisungen im Abschnitt Konfiguration wiederherstellen auf den Router.
Wenn der Router wieder verbunden ist, d.h. die ADSL-LED wieder leuchtet, dann sollte man zunächst probieren, ob alle Dienste wie gewünscht funktionieren. Also einfach mal eine Webseite aufrufen, ggf. auch eine mit https (z.B. addons.mozilla.org). Dann einen FTP-Download starten usw. Wenn alles funktioniert, kann man die geänderte Konfiguration unter einem entsprechenden Namen sichern. Sollte irgend etwas nicht klappen, stellt man die vorhergehende Konfiguration wieder her und überprüft noch einmal die Einstellungen in der commitedcfg.cfg.
Wenn ein bestimmtes Programm nicht funktioniert, weil es keine Verbindung zum Internet aufbauen kann, und man weiß nicht genau, welchen Port es benutzt, dann kann man das Programm Ethereal benutzen, um die Portzugriffe zu überwachen.
Webdienste
Wenn man eigene Webdienste, also einen FTP- oder Webserver, auf einem Rechner im Netzwerk betreiben möchte, dann ist noch etwas mehr Konfiguration nötig.
Bisher haben wir ja extra jeden Zugriff von außen geblockt. Wenn man aber selbst einen Webserver betreibt, dann muss dieser ja vom Internet aus erreichbar sein.
Auch bei P2P- Netwerken, wie Emule oder Bit Torrent muss man vestimmte Ports für die Außenwelt öffnen.
Portforwarding
Dazu muss als erstes das sogenannte 'Portforwarding' aktiviert sein, das heißt, dass Anfragen auf einen bestimmten Port an den Rechner weitergeleitet werden müssen, auf dem der Webserver läuft.
Dies wird unter Advanced->Virtual Server aktiviert:
http://192.168.1.1/MainPage?id=52
Für einen Webserver müsste man z.B. den Port 80 weiterleiten:
 |
Ein FTP-Server benötigt die Ports 20 und 21, Secure FTP den Port 22.
Natürlich benötigt man nun auch noch weitere Filter, damit auch dieser Datenverkehr zugelassen wird.
Filter für Serverdienste
Diese Filter sehen fast genauso aus wie die anderen out bzw. inbound Filter, nur dass diesmal bei den hinausgehenden Verbindungen nicht der Destport (oder Zielport) sondern der Srcport (also Quellport) zu definieren ist. Bei den eingehenden Verbindungen ist es statt des Srcport der Destport, der definiert werden muss. Ich habe auch eine Liste mit den erweiterten Filterregeln erstellt, in der die entsprechenden ruleids bereits angepasst sind. In dieser Liste habe ich die Ports 80 und 8080 für den Webserver sowie die Ports 20 bis 22 für FTP bzw. SFTP freigegeben. Es gibt natürlich auch eine Beispieldatei commitedcfg.cfg mit den erweiterten Filtern, die man ggf. genau so übernehmen könnte.
Benutzername und Passwort
Wer sich die commitedcfg.cfg etwas genauer angeschaut hat, dem ist villeicht aufgefallen, dass in der ersten Zeile Alice Kennwort und Benutzername auftauchen. Tatsächlich definiert die Zeile
create user name alice@13184 passwd hnto$mgmt@lice root
den Zugangscode für das C2-010I. Wenn ich also die Zeile nach
create user name jeder passwd keins root
abändere, und die so geänderte Konfigurationsdatei auf den Router wieder hochlade, kann ich mich künftig als Benutzer:jeder mit dem Passwort:keins einloggen. Diese Kombination gilt dann natürlich auch für das DMT-Tool. Wenn ich die Zeile nicht abändere sondern hinzufüge, dann kann ich mich unter beiden Accounts einloggen.
Allerdings sollte man ein wenig mehr Phantasie bei der Wahl von Benutzernamen und Passwort aufbringen.
Wenn man später im Webinterface den Port für FTP oder HTTP ändern möchte, so muss man einen Account mit dem Namen admin erstellen, denn auf der Seite, auf der man dies einstellen kann Tools->Admin
http://192.168.1.1/MainPage?id=3
wird immer auch das Passwort für Benutzer admin gesetzt. Wenn es diesen Benutzer (wie in der Werkseinstellung) nicht gibt, dann können die Änderungen für diese Seite nicht gespeichert werden.
Aktualisierung der IP-Adresse bei Dyndns.org
Wenn man einen Webdienst bereitstellen möchte, so steht man vor dem Problem, dass die eigene IP-Adresse häufig wechselt. Man müsste also Benutzern des Webdienstes bei jedem Wechsel der IP-Adresse ( also praktisch bei jeder Verbindungsunterbrechung) die neue IP-Adresse mitteilen.
Dafür gibts es Dienstleister, die eine Webadresse mit der jeweils aktuellen IP-Adresse verknüpfen. Diesen Dienst nennt man Dynamischen Domain Name Service, oder auch abgekürzt DynDNS. Einige Provider stellen diesen Dienst auch kostenlos zur Verfügung.
Einer dieser Provider ist http://dyndns.org. Wenn man sich bei DynDNS.org eine dynamische IP-Adresse registriert hat, so bietet das Siemens C2-010I die Möglichkeit, bei jedem Wechsel der IP Adresse, die aktuelle IP an DynDNS.org zu übermitteln. Dazu muss man 2 Zeilen in der commitedcfg.cfg hinzufügen
create ddns hostname ifname ppp-0 name Meine.DynDNS.webadresse create ddns intf ifname ppp-0 srvcname dyndns username "Benutzername" passwd Passwort wildcard enable
Wenn mein Benutzername:Stefan ist, mein Passort:Alice2000 und meine Dynamische Adresse Stefan.dyndns.org lautet, so müsste der Eintrag so aussehen:
create ddns hostname ifname ppp-0 name Stefan.dyndns.org create ddns intf ifname ppp-0 srvcname dyndns username "Stefan" passwd Alice2000 wildcard enable
Diese Zeilen kommen fast ans Ende der Konfigurationsdatei und werden nur noch von
modify ilmi access protocol ifname atm-0 vpi 1 vci 32 proto any trigger ilmi END
gefolgt. Wenn alles richtig funktioniert hat, dann sollte man sofort nachdem man eine Verbindung ins Internet aufgebaut hat, mit einem
Ping Stefan.dyndns.org eine Antwort mit der IP-Adresse erhalten, die man unter WAN im Status ->Deviceinfo
http://192.168.1.1/MainPage?id=52
sehen kann:
 |
->Zurück zu Allgemeine Tutorials
