Lancom
MicroTik
Securepoint
Watchguard
ubiquiti
Funkwerk
Cisco
AVM
NetGear
LevelOne
Siemens
Telekom Speedport/Digibox
ZyXEL
PC Engines
sonstiges
- Einrichtung RAS Einwahl
- xDSL über internes/externes Modem/Router
- VPN Verbindungen
- DNS-Filter
- DynDNS Dienst
- Portmapping
- PPPoE Server
- PPTP Einwahl-Verbindung einrichten
- LoadBalancer
- Backup-Verbindung
- Advanced Routing and Forwarding (ARF)
- IP-TV Multicast
- zweites Intranet Netzwerke erstellen
- zwei Netzwerke, zwei Internetzugänge
- IAPP (Roaming für Access-Points)
- NAT deaktivieren
- DMZ aktivieren
- DHCP
- WLAN
- VLAN
- IPv6
- Firewall
- Voice over IP
- Befehle
- eMail Versand von Meldungen
- Scripte
- sonstiges / FAQs
Links
Lancom
Lancom Webinar: Einfache Einrichtung einer Netzwerkinfrastruktur
Lancom Forum (privat)
Capture Daten via RPCap erstellen
Downloads
Lancom Script ESET Update Server
LCOS Reference Manual
Lancom KB-Artikel
Konfiguration eines Telekom Entertain-Anschlusses mit der Anschlussart Broadband Network Gateway (BNG)
Konfiguration eines Telekom Entertain-Anschlusses ohne Verwendung der Anschlussart Broadband Network Gateway (BNG)
Manuelle Konfiguration einer SIP Trunk-Leitung zum Provider ecotel
Main Mode - WAN-Port Adresse wird zum Verbindungsaufbau herangezogen, ISAKMP-SA wird ausgehandelt, nicht für dynamischen IP-Adressen, Identity wird bereits verschlüsselt übertragen
Aggressive Mode - GegenstellenIP wird nicht abgefragt, jede Adresse wird akzeptiert. Identity wird im Klartext übertragen.
Voice Call Manager mit Session Border Controller unterstützt Voice over Secure IP (VoSIP).
MCS (Modulation Coding Scheme) dient der automatischen Geschwindigkeitsanpassung
Einrichtung RAS Einwahl
- Kommunikation / Allgemein / Router Interface / Rufnummer eintragen
(mehrere MSN durch Simikolon trennen), wenn man die MSN nicht kennt kann man
sie herausbekommen mit einer Telnet Sitzung
cd /sta/call- list
in der angezeigten Tabelle steht die MSN in der Spalte DIAL-CALLER
- Kommunikation /Allgemein / Kommunikation Layer definieren
Layername: RAS
Transparent
PPP
Transparent
Kompression
HDCC (8Bit)
- Kommunikation / Gegenstelle / Namensliste (ISDN)
Name: Test
Rufnummer
Layername:RAS
bei Bedarf Gegenstelle nach Überprüfung des Namens zurückrufen
- Kommunikation / Rufannahme / nach Nummern (Rufnummer mit Vorwahl)
- IP-Router / Routing / Routing Tabelle IP eintragen die die Gegenstelle erhalten
soll
- NetBIOS / Allgemein NetBios Routing aktivieren
NetBios über IPRouting Gegenstelle definieren
- Kommunikation / Protokoll / PPP Liste Gegenstelle, Benutzer, Passwort eintragen
wenn Rückruf definiert werden soll, darf kein Eintrag unter /Managment
/ Interface / Interface-Einstellungen / Anwahl Präfix stehen
DSL über internes/externes Modem/Router
1. Internet über eingebautes DSL Modem
Kommunikation | Allgemein | Kommunikations-Layer
Layername: INTERNET
Encapsulation: LLC-MUX
Layer-3: PPP
Layer-2: PPPoE
Optionen: keine
Layer-1: ADSL oder AAL-5 je nach Router
2. Internet über LAN mit externem DSL-Modem
Kommunikation | Allgemein | Kommunikations-Layer
Layername: INTERNET
Encapsulation: Transparent
Layer-3: PPP
Layer-2: PPPoE
Optionen: keine
Layer-1: ETH
3. Internet über LAN mit externen Router
Kommunikation | Allgemein | Kommunikations-Layer
Layername: PLAIN-ETH
Encapsulation: Ethernet
Layer-3: DHCP (bei fester IP Transparent)
Layer-2: Transparent
Optionen: keine
Layer-1: ETH
weitere Einstellungen
Kommunikation | Gegenstellen | Gegenstellen (DSL) (Einstellungen bei Verbindung 1,2,3)
Haltezeit: 9.999
VPI: 1
VCI:
32
DSL-Ports:
VPI und VCI Einstellungen für die Telekom, bei anderen Providern anpassen, VLAN-ID nur bei VDSL Anschlüssen.
Kommunikation | Protokolle | PPP-Liste (Einstellungen bei Verbindung 1,2)
Gegenstelle: INTERNET
Benutzername: <DSL Benutzerdaten>
Passwort: <DSL Passwort>
IP-Routing aktivieren
NetBIOS über IP deaktivieren
Gegenstelle (Anfrage): alle deaktiveren
Gegenstelle (Antwort): alle aktivieren
Zeit: 5
Wiederholung: 5
Conf: 10
Fail: 5
Term: 2
IP-Router | Routing | Routing-Tabelle (Einstellungen bei Verbindung 1,2,3)
IP-Adresse: 255.255.255.255
Netzmaske: 0.0.0.0
Routing-Tag: 1
Route ist aktiviert und wird immer via RIP propagiert aktivieren
Router: INTERNET/PLAIN-ETH
Distanz: 0
Intranet und DMZ maskieren: wählen
xDSL Fehlersuche
- Trace über die DSL Einwahlversuche erstellen
trace # ppp
Versuchen, ob eine Änderung des MAC-Typs von Lokal auf Global eine Besserung bringt, wenn die Adresse beim DSLAM auf eine Blacklist steht.
Kommunikation | Gegenstellen | Gegenstellen (DSL)
MAC-Adress-Typ: Global
- zeigt welche VLAN ID für die Verbindung verwendet wird
trace # vdsl-data @ 8.8.8.8
ping 8.8.8.8 [VDSL-DATA] Type : 802.1p/q VLAN -->802.1p/q VLAN Header VLAN Id : 7 VLAN Prio : 0 VLAN CFI : 0 Type : PPPoE Session ...
VDSL Verbindung
Kommunikation | Allgemein | Kommunikations-Layer
Layername: VDSL
Encapsulation: Transparent
Layer-3: PPP
Layer-2: PPPoE
Optionen: keine
Layer-1: ETH
Kommunikation | Gegenstellen | Gegenstellen (DSL)
Name: Internet
Haltezeit: 9.999
VPI: 0
VCI: 0
Layername: VDSL
MAC-Adress-Typ: Lokal
DSL-Ports:
VLAN-ID: 7
Wenn als Modem z.B. ein Speedport 722V dient die VLAN-ID: 0 setzen, da der Speedport die VLAN-ID 7 selbst setzt.
Schnittstelle an der das VDSL Modem angeschlossen ist, als DSL Interface konfigurieren. Das DSL Modem ist im Beispiel am LAN-Port 4 des Routers angeschlossen.
Schnittstellen | LAN | Ethernet-Ports
Ethernet-Port: ETH 4
Interface-Verwendung: DSL-1
Übertragungsart: Automatisch
MDI-Mode: Automatisch
Schnittstellen | WAN | Interface-Einstellungen | DSL-1
DSL-Interface aktivieren: aktivieren
Downstream-Rate: 51.200 kbit/s
Upstream-Rate: 10.240 kbit/s
- DSL Modem Verbindungs Historie anzeigen
ls /Status/VDSL/Connection-history
- aktuellen Status der DSL Verbindung
repeat 5 list /Status/VDSL/Line-State
- Qualität der DSL Verbindung
ls /Status/VDSL/Advanced DS-ATM-HEC-Errors INFO: 0 DS-ATM-Idle-Bit-Errors INFO: 4935 DS-Attainable-data-rate-kbps INFO: 4472 DS-CRC-Errors INFO: 4294967135 DS-Data-Path-CRCnp-Errors INFO: 0 DS-Data-Path-CRCp-Errors INFO: 0 DS-Data-Path-CVnp-Errors INFO: 0 DS-Data-Path-CVp-Errors INFO: 0 DS-Data-Rate-kbps INFO: 4043
CRCp - korrigierte CRC Fehler
CRCnp - nicht korrigierbare erkannte Fehler
VPN Verbindungen
- VPN Fehlersuche
- VPN LAN:LAN Kopplung
- VPN LAN:VPN-Client Kopplung
- VPN LAN:LAN Kopplung LANCOM <-> AVM Fritz!Box
- VPN LAN:LAN Kopplung LANCOM <-> Digitalisierungsbox (Be.IP)
- VPN Verbindung mit Mobile Phone
- VPN Client
- VPN Verbindung aktivieren / deaktivieren
- VPN mit Zertifikat
von VPN werden folgende TCP/IP Ports und Protokolle benutzt:
- PPTP Verhandlung = TCP 1723
- IKE Verhandlung = UDP 500
- GRE General Routing Encapsulation (Protokoll 47)
- ESP Encapsulating Security Payload (Protokoll 50)
LANCOM Router und Sentinel Client
LANCOM Router und Safenet VPN Client
LANCOM Router und Windows Client
VPN-Client Verbindung vom Router manuell deinstallieren
KB Artikel VPN Verbindungsfehler
VPN-Status-Trace aufgeschlüsselt
VPN-Status-Trace aufgeschlüsselt (anderer Link gleiches Dokument)
IPv4-Regeln
/Setup/VPN/Networks/IPv4-Rules
RAS-WITH-NETWORK-SELECTION | 0.0.0.0/0 - 0.0.0.0/0 RAS-WITH-CONFIG-PAYLOAD | 0.0.0.0/0 - 0.0.0.0/32
RAS-WITH-NETWORK-SELECTION - Bidirektional von allen IP-Adressen an alle IP-Adressen durch den VPN-Tunnel durchlassen - Einwahl eines Netzwerkrouters
RAS-WITH-CONFIG-PAYLOAD - Bidirektional alle IP-Pakete durch den VPN-Tunnel durchlassen, welche entweder Quelle oder Ziel den VPN-Client haben - Einwahl eines VPN-Clients
VPN Fehlersuche
SSH / Telnet auf dem Router oder im Lanmonitor, App Store Programm SSH-Tools
- Trace VPN Verbindungsaufbau, VPN Parameter anzeigen
trace # vpn-status @ <VPN-VerbindungsName> trace # vpn-status displ
show vpn ? - Hilfe anzeigen show vpn - VPN SPD and IKE configuration (kurz) show vpn rules - VPN SPD and IKE configuration (kurz) show vpn long - VPN SPD and IKE configuration (lang) show vpn sadb - VPN SA Database SA-REPORT (kurz) show vpn sadb-long - VPN SA Database SA-REPORT (lang) show vpn ifc - VPN Interfaces show vpn ike-cfg - VPN IKEv2 - Config Mode Report
Die Fehlermeldung "No proposal chosen" deutet auf einen Fehler in der Konfiguration der Gegenstelle hin.
Die Fehlermeldung "No rule matched" deutet hingegen auf einen Fehler in der Konfiguration des lokalen Gateways hin.
VPN LAN:LAN Kopplung
Kommunikation zweier Filialen über bestehende VPN-Verbindungen zur Zentrale
Weitere Netze über einen VPN-Tunnel routen
Manuelle Konfiguration einer VPN Site-to-Site Verbindung im Main Mode mit Dynamic VPN
Einrichtung von IKEv2 unter LANconfig
LAN:LAN Verbindung zwischen Außenstelle1 - Zentrale - Außenstelle2, mit Zugriff der Außenstellen untereinander.
Außenstelle1
unter LANconfig | IP-Router | Routing | Routing-Tabelle | Eintrag hinzufügen
IP-Adresse: Netz der Außenstelle2
Netzmaske: 255.255.255.0
Routing-Tag: 0
Route ist aktiviert und wird immer via RIP propagiert aktivieren
Router: VPN-Verbindung-Zentrale
Distanz: 2
IP-Maskierung abgeschaltet aktivieren
Zentrale
unter LANconfig | Firewall/Qos | IPv4-Regeln | Regeln hinzufügen
Name der Regel: VPN-AUSSEN-ZENTRALE-AUSSEN
Diese Regel ist für die Firewall aktiv: deaktivieren
Diese Regel wird zur Erzeugung von VPN-Netzbeziehungen (SAs) verwenden: aktivieren
Weitere Regeln beachten, nachdem diese Regel zutrifft: deaktivieren
Diese Regel hält die Verbindungszustände nach (empfohlen): aktivieren
Routing-Tag: 0
Aktionen: Übertragen
Stationen | Verbindungs-Quelle | Verbindung von folgenden Stationen: beide VPN-Aussenstellen-Verbindungen
Stationen | Verbindungs-Ziel | Verbindungen an folgende Stationen: beide VPN-Aussenstellen-Verbindungen
Außenstelle2
unter LANconfig | IP-Router | Routing | Routing-Tabelle | Eintrag hinzufügen
IP-Adresse: Netz der Außenstelle1
Netzmaske: 255.255.255.0
Routing-Tag: 0
Route ist aktiviert und wird immer via RIP propagiert aktivieren
Router: VPN-Verbindung-Zentrale
Distanz: 2
IP-Maskierung abgeschaltet aktivieren
Beispiel LAN:LAN Kopplung mit nachgeschalteten Routern
LANCOM 1
Intranet-Adresse : 192.168.85.254
Intranet-Netzmaske : 255.255.255.0
Netz 192.168.85.0 / 255.255.255.0
zweites Netz
192.168.80.0 / 255.255.255.0
Router 192.168.85.252
TCP/IP | Allgemein | IP-Netzwerke
IP-Router | Routing | Routing -Tabelle:
IP-Adresse: 192.168.71.0
Netzmaske: 255.255.255.0
Routing-Tag: 0
Route ist aktiviert und wird immer via RIP ... wählen
Router: VPN-Netz2
Distanz: 2
IP-Maskierung abgeschaltet
IP-Router | Routing | Routing -Tabelle:
IP-Adresse: 192.168.80.0
Netzmaske: 255.255.255.0
Routing-Tag: 0
Route ist aktiviert und wird immer via RIP ... wählen
Router: 192.168.85.252
Distanz: 2
IP-Maskierung abgeschaltet
Firewall/QoS | Regeln | Regeln | Hinzufügen
Allgemein
Name der Regel: ALLOW_VPN
Aktionen
Paket-Aktion: Übertragen
Stationen
Verbindungs-Quelle: Verbindung von folgenden Quellen
ein ganzes Netzwerk: 192.168.80.0 / 255.255.255.0
Verbindungs-Ziel: Verbindung an folgende Stationen
Eine bestimmte Gegenstelle: VPN-Netz2
LANCOM 2
Intranet-Adresse : 192.168.75.254
Intranet-Netzmaske : 255.255.255.0
Netz 192.168.75.0 / 255.255.255.0
zweites Netz
192.168.71.0 / 255.255.255.0
Router 192.168.75.1
IP-Router | Routing | Routing -Tabelle:
IP-Adresse: 192.168.80.0
Netzmaske: 255.255.255.0
Routing-Tag: 0
Route ist aktiviert und wird immer via RIP ... wählen
Router: VPN-Netz2
Distanz: 2
IP-Maskierung abgeschaltet
IP-Router | Routing | Routing -Tabelle:
IP-Adresse: 192.168.71.0
Netzmaske: 255.255.255.0
Routing-Tag: 0
Route ist aktiviert und wird immer via RIP ... wählen
Router: 192.168.75.1
Distanz: 2
IP-Maskierung abgeschaltet
Firewall/QoS | Regeln | Regeln | Hinzufügen
Allgemein
Name der Regel: ALLOW_VPN
Aktionen
Paket-Aktion: Übertragen
Stationen
Verbindungs-Quelle: Verbindung von folgenden Quellen
ein ganzes Netzwerk: 192.168.71.0 / 255.255.255.0
Verbindungs-Ziel: Verbindung an folgende Stationen
Eine bestimmte Gegenstelle: VPN-Netz
Fehlermeldung bei VPN LAN-LAN Kopplung
- Meldung Gegenstelle1
Kein übereinstimmendes Prosposal gefunden (Initiator, IPSec) [0x3103]
Meldung Gegenstelle2
Keine Regel für IDs gefunden, unbekannte Verbindung oder fehlerhafte ID (z.B. IP.Netzdefinition) (Responder IPSec) [0x3201]
Verbindung zwischen den Standorten funktionieren soweit, aber obengenannte Fehlermeldung erscheinen im LanMonitor.
Dies kann auftreten wenn falsche Pakete im VPN-Netz landen, z.B. der Router hat zwei IPs
LAN1 192.168.2.254
LAN2 192.168.3.254
auf der Gegenseite ist nur eine Route für das Netz 192.168.2.0/24 eingerichtet, aber ein PC aus dem Netz will eine Verbindung über das VPN herstellen, dabei tritt dann die Meldung auf.
Abhilfe erreicht man durch das einrichten einer zweiten Route für das Netz 192.168.3.0/24
- Kein Eintrag in Pollingtabelle und Keep-Alive ist eingestellt (Intiator)[0x1108]
Lanconfig | Kommunikation | Gegenstellen | Polling-Tabelle
Gegenstelle: <Name der Gegenstelle wählen>
IP-Adresse: <Intranet IP der Gegenstelle>
der Eintrag bewirkt, das bei eingestellter Haltezeit von 9.999 (Lanconfig | VPN | Allgemein | Verbindungs-Liste) ein Ping auf die Gegenstelle abgesetzt wird um die VPN Verbindung wieder aufzubauen.
VPN LAN:VPN-Client Kopplung
VPN LAN:LAN Kopplung LANCOM <-> AVM Fritz!Box
Einstellung für die Fritz!Box
VPN-Verbindung (IKEv1) zwischen einem LANCOM Router und einer FRITZ!Box
Fritz!Box .cfg Parameter
Beispiel .cfg zur VPN Konfiguration, in der Fritz!Box auf Einstellungen | Internet | Freigaben | VPN
/*
* vpn.cfg
*
*/
vpncfg {
connections {
enabled = yes;
conn_type = conntype_lan;
name = "LANCOM-VPN";
always_renew = no;
reject_not_encrypted = no;
dont_filter_netbios = yes;
localip = 0.0.0.0;
local_virtualip = 0.0.0.0;
remoteip = 217.111.222.333;
remote_virtualip = 0.0.0.0;
localid {
fqdn = "FRITZ!BOX";
}
remoteid {
fqdn = "LANCOM";
}
mode = phase1_mode_idp;
phase1ss = "dh14/aes/sha";
keytype = connkeytype_pre_shared;
key = "PreSharedKey";
cert_do_server_auth = no;
use_nat_t = yes;
use_xauth = no;
use_cfgmode = no;
phase2localid {
ipnet {
ipaddr = 192.168.178.0;
mask = 255.255.255.0;
}
}
phase2remoteid {
ipnet {
ipaddr = 192.168.20.0;
mask = 255.255.255.0;
}
}
phase2ss = "esp-aes256-3des-sha/ah-no/comp-lzs-no/pfs";
accesslist = "permit ip any 192.168.20.0 255.255.255.0";
}
ike_forward_rules = "udp 0.0.0.0:500 0.0.0.0:500",
"udp 0.0.0.0:4500 0.0.0.0:4500";
}
// EOF
Einstellung für eine Dynamische DNS Adresse der Gegenseite.
remoteip = 0.0.0.0; remote_virtualip = 0.0.0.0; remotehostname = "vpn.dyndns.org";
Einstellung für Lancom
als erstes mit dem Assistenten Zwei lokale Netzwerke verbinden (VPN) konfigurieren, mit den Einstellungen:
IKEv1
Name der Gegenstelle: FRITZBOX
Empfohlen (IKE- und PFS-Gruppe 14)
folgende Parameter im Lancom anpassen
VPN | IKE/IPSec | IKE-Proposals | Hinzufügen:
Bezeichnung: FritzBox
Verschlüsselung: AES-CBC
Schlüssel-Länge: 256 Bit
Hash: SHA1 (ab 10.30 SHA-512 einstellen)
Authentifizierung: Preshared Key
Gültigkeitsdauer: 3.600 Sekunden, 0 kByt
Fehlermeldung:
IKE-I-No-proposal-matched (0x2103)
IKE-I-No-proposal-matched (0x2203)
bei der 10.30 gibt es ein IKE Fehler 0x2103 wenn Hash: SHA1 gesetzt ist, oder bei Hash: SHA-256 erscheint der Fehler 0x2203.
VPN | IKE/IPSec | IKE-Param. | IKE-Proposal-Listen | Hinzufügen:
Bezeichnung: IKE-FRITZBOX
1. Proposal: FritzBox
VPN | IKE/IPSec | IPSec-Proposals
Bezeichnung: FRITZBOX
Modus: Tunnel
ESP-Proposal
Verschlüsselung: AES-CBC
Schlüssel-Länge: 256 bit
Authentifizierung: HMAC-SHA1
AH-Proposal Authentifizierung: Kein AH
Kompression: Kein IPCOMP
Gültigkeitsdauer: 3.600 Sekunden, 200.000 kBytes
VPN | IKE/IPSec | IPSec-Proposal-Listen
Bezeichnung: IPS-FRITZBOX
1. Proposal: FRITZBOX
VPN | IKE/IPSec | Verbindungs-Parameter
Bezeichnung: FRITZBOX
PFS-Gruppe: 14 (MODP-2048)
IKE-Gruppe: 14 (MODP-2048)
IKE-Proposals: IKE-FRITZBOX
IKE-Schlüssel: FRITZBOX
IPSec-Proposals: IPS-FRITZBOX
VPN | IKE/IPSec | IKE-Schlüssel und Identitäten
Bezeichnung: FRITZBOX
Preshared-Key: <PreSharedKey>
Lokaler Identität-Typ: Domänen-Name (FQDN)
Lokale Identität: LANCOM
Entfernter Identität-Typ: Domänen-Name (FQDN)
Entfernte Identität: FRITZ!BOX
VPN | IKE/IPSec | Verbindungs-Liste
Name der Verbindung: FRITZBOX
Haltezeit: 0 Sekunden
Dead Peer Detection: 60 Sekunden
Extranet-Adresse: 0.0.0.0
Entferntes Gateway: <Dynamic DNS-Namen oder feste IP-Adresse>
Routing-Tag: 0
Verbindungs-Parameter: FRITZBOX
Kein dynamisches VPN aktivieren
Main Mode aktivieren
IKE-CFG: Aus
XAUTH: Aus
IPSec-over-HTTPS: Aus
Regelerzeugung: Manuell
IPv4-Regeln: WIZ-ANY-TO-ANY
VPN | Allgemein | Netzwerk-Regeln | IPv4-Regeln...
Name: WIZ-ANY-TO-ANY
Lokale Netzwerke: 0.0.0.0/0
Entfernte Netzwerke: 0.0.0.0/0
IP-Router | Routing | IPv4-Routing-Tabelle
IP-Adresse: <FritzBox Netzwerk>
Netzmaske: 255.255.255.255
Routing-Tag: 0
Route ist aktiviert und wird immer via RIP propagiert
Router: FRITZBOX
Distanz: 0
IP-Maskierung abgeschaltet: aktivieren
Firewall/QoS | IPv4-Regeln | Regeln
Name dieser Regel: FRITZBOX
Diese Regel ist für die Firewall aktiv: wählen
Diese Regel hält die Verbindungszustände ...: wählen
Priorität: 0
Routing-Tag: 0
Firewall/QoS | IPv4-Regeln | Regeln | Aktionen
Objekt: ACCEPT
Firewall/QoS | IPv4-Regeln | Regeln | Stationen
Verbindungen von folgenden Stationen: LOCALNET
Verbindungen an folgende Stationen: Gegenstelle FRITZBOX
- wenn unter NetBIOS | NetBIOS über IP Routing-Tabelle für die VPN Gegenstelle aktiviert ist, wird automatisch Dynamic VPN Authentication aktiviert um den DNS und NBNS zu übermitteln. Dadurch wird der Verbindungsaufbau zur Fritz!Box verhindert.
Kommunikation | Protokoll | IP-Parameter
Gegenstelle: <Fritz!Box>
Erster DNS: <Intranet Router IP>
Erster NBNS: <Intranet Router IP>
Fritz!Box mehrere Netze hinter einem VPN Router
accesslist = "permit ip any 192.168.111.0 255.255.255.0", "permit ip any 10.0.59.0 255.255.255.0",
"permit icmp any any";
VPN LAN:LAN Kopplung LANCOM <-> Digitalisierungsbox (Be.IP)
Wenn die VPN-Verbindung nicht gleich aufgebaut wird, mal ein Ping vom Netz der DigiBox ins Netz des Lancoms absetzen.
/Setup/VPN/Establish-SAs-Collectively yes
VPN Verbindung mit Mobile Phone
VPN Verbindung mit iPhone IKEv1
Lancom KB Artikel 1008.0410.4923.RHOO
Assistent | Einwahl-Zugang bereitstellen
VPN-Verbindung über das Internet
VPN-Client mit benutzerdefinierten Parametern
Name (VPN):VPN-IPHONE
Gemeinsames Passwort:<PreShareKey>
Lokaler Identität-Typ:Key-ID
Lokale Identität:<Phone>
Entfernter Identität-Typ:Key-ID
Entfernte Identität:<Phone>
Das PFS-Verfahren für die aktuelle Verbindung einsetzen deaktivieren.
Welches Verschlüsselungs-Verfahren sollen dem Client erlaubt werden
AES
Blowfish
3DES
HMAC-MD5-96
Authentifizierung:Kein AH
Kompression:Kein IPCOMP
IP-Adresse:WWW.XXX.YYY.ZZZ
Alle IP-Adressen für den VPN-Client erlauben
Anpassungen der automatisch erstellten Konfiguration
Die erstellt Verbindung muß dann noch angepasst werden, unter
Konfiguration | VPN | Allgemein | Verbindungs-Liste:VPN-IPHONE
XAUTH: Server
Konfiguration | Kommunikation | Protokolle | PPP-Liste: Hinzufügen
Gegenstelle:VPN-IPHONE
Benutzer:!leer lassen!
Passwort:<PPP-Passwort>
IP-Routing aktivieren
Konfiguration | Firewall | Regeln | Regeln
prüfen ob die Regel WIZ_VPN-CLIENT_VPN-IPHONE erstellt wurde
Quelle:Beliebig
Quelle-Dienst:Alle
Ziel:VPN-IPHONE
Ziel-Dienst:Alle
Aktion/QoS:übertragen
es sind noch weitere Anpassungen möglich
Konfiguration | VPN | IKE-Param. | IKE-Proposals...
Bezeichnung:IPHONE
Verschlüsselung:AES-CBC
Schlüssel-Länge:128bit
HASH:SHA1
Authentifizierung:Preshared Key
Gültigkeitsdauer:1.800 Sekunden
Konfiguration | VPN | IKE-Param. | IKE-Proposal-Listen
Bezeichnung:IKE-IPHONE
Proposal:IPHONE
Konfiguration | VPN | IPSec-Param. | IPSec-Proposals...
Bezeichnung:IPSEC-IPHONE
Modus:Tunnel
Verschlüsselung:AES-CBC
Schlüssel-Länge:256bit
Authentifizierung:HMAC-SHA1
Authentifizierung:Kein AH
Kompression: Kein IPCOMP
Gültigkeitsdauer:1.800 Sekunden
Konfiguration | VPN | IPSec-Param. | IPSec-Proposal-Listen
Bezeichnung:IPS-VPN-IPHONE
Proposal:IPSEC-IPHONE
Konfiguration | VPN | Allgemein | Verbindungs-Parameter
Bezeichnung:P-VPN-IPHONE
PFS-Gruppe:Kein PFS
IKE-Gruppe:2(MODP-1024)
IKE-Proposals:IKE-IPHONE
IKE-Schlüssel:KEY-VPN-IPHONE
IPSec-Proposals:IPS-VPN-IPHONE
iPhone VPN Einstellungen
IPSec
Server:<IP der Gegenstelle>
Account:VPN-IPHONE
Kennwort:<PPP-Passwort>
Gruppenname:<Phone>
Shared Secret:<PreShareKey>
bei den Gruppenname wird Groß/Kleinschreibung berücksichtigt.
VPN Verbindung mit iPhone IKEv2
Lancom VPN zum IKEv2 iPhone
IKEv2 VPN-Verbindung zwischen LANCOM Router und Apple iPhone- oder iPad-Client
Assistent | Einwahl-Zugang bereitstellen
IKEv2+ | Lancom Adv. Client
nach dem erstellen der Konfiguration mit dem Assistenten noch Anpassungen vornehmen.
Konfiguration | VPN | IKEv2/IPSec | Verschlüsselung | Neu
Name: APPLE
Erlaubte DH-Gruppen: DH14 (MODP-2048)
PFS: Nein
IKE-SA: AES-CBC-256, AES-GCM-256
Hash-Liste: SHA-256
Child-SA: AES-CBC-256, AES-GCM-256
Hash-Liste: SHA-256
Konfiguration | VPN | IKEv2/IPSec | Verbindungs-Liste
Erstellte Verbindung wählen
Verschlüsselung: APPLE
IPv4-Regeln: RAS-WITH-CONFIG-PAYLOAD
iPhone VPN Einstellungen
Typ: IKEv2
Beschreibung: ...
Server: <IP der Gegenstelle>
Entfernte ID: <FQUN user@domain.tld>
Lokale ID: <FQUN user@domain.tld>
Benutzerauthentifizierung: keine
Zertifikat verwenden: deaktiv
Shared Secret:<PreShareKey Entferntes Passwort>
VPN Verbindung mit Android IKEv2
Assistent | Einwahl-Zugang bereitstellen
IKEv2+ | Lancom Adv. Client
nach dem erstellen der Konfiguration mit dem Assistenten noch Anpassungen vornehmen.
Android bis 11.x
Konfiguration | VPN | IKEv2/IPSec | Authentifizierung
Lokaler Identitätstyp: Key-ID (Gruppenname)
Lokaler Identität: <beliebige Zeichen keine Umlaute/Sonderzeichen>
Entfernter Identitätstyp: Key-ID (Gruppenname)
Entfernte Identität: <beliebige Zeichen keine Umlaute/Sonderzeichen>
Konfiguration | VPN | IKEv2/IPSec | Verbindungs-Liste
Erstellte Verbindung wählen
Verschlüsselung: Default
IPv4-Regeln: RAS-WITH-CONFIG-PAYLOAD
Android VPN Einstellungen
Einstellungen | Weitere Einstellungen | VPN
Name: ...
Typ: IPSec IKEv2 PSK
Server: <IP der Gegenstelle>
IPSec Identifier: <Entfernte Identität Key-ID (Gruppenname)>
IPSec Pre-shareed Key:<PreShareKey Entferntes Passwort>
Android ab 12.x
Konfiguration | VPN | IKEv2/IPSec | Authentifizierung
Lokaler Identitätstyp: IPv4-Adresse
Lokaler Identität: <öffentliche IP des Servers>
Entfernter Identitätstyp: Domänen-Name (FQDN)
Entfernte Identität: <beliebige Zeichen keine Umlaute/Sonderzeichen>
Konfiguration | VPN | IKEv2/IPSec | Verschlüsselung
Kopie von DEFAULT anlegen mit angepassten Einstellungen
Name: Android
Erlaubte DH-Gruppen:
DH14, DH19, DH31
PFS: deaktivieren
IKE-SA: AES-CBC-256
Hash-Liste: SHA-256, SHA-512
Child-SA: AES-CBC-256
Hash-Liste: SHA-256, SHA-512
Konfiguration | VPN | IKEv2/IPSec | Verbindungs-Liste
Erstellte Verbindung wählen
Verschlüsselung: Default
IPv4-Regeln: RAS-WITH-CONFIG-PAYLOAD
Android VPN Einstellungen
Einstellungen | Weitere Einstellungen | VPN
Name: ...
Typ: IPSec IKEv2 PSK
Server: <IP der Gegenstelle>
IPSec Identifier: <Entfernte Identität Domänen-Name (FQDN)
IPSec Pre-shareed Key:<PreShareKey Entferntes Passwort>
VPN Client
ShrewSoft VPN Client
VPN-Verbindung zwischen LANCOM Router und Windows Phone
- Einstellung, auf dem Lancom Router für einen "VPN-Client mit benutzerdefinierten Parametern"
alle Einstellungen auf Default belassen, bis auf folgende:
Das PFS-Verfahren für die aktuelle Verbindung einsetzen: deaktivieren
Einstellungen für das TCP/IP Protokoll | IP-Adresse: IP die den Client bei der Einwahl zugeteilt wird
Shrew Clients Einstellung in Verbindung mit einem Lancom Router
- Einstellungen, wenn ein VPN-Client mit benutzerdefinierten Parametern erstellt wurde
General | Remote Host | Host Name or IP Adress: IP Adresse
Client | NAT Traversal: disable
Client | IKE Fragmentation: disable
Authentication | Authentication Method: Mutual PSK
Local Identity | Fully Qualified Domain Name: wie unter LANconfig | VPN | IKE-Auth. | IKE-Schlüssel und Identitäten
Remote Identity | Identification Type: IP Address wie unter LANconfig | VPN | IKE-Auth. | IKE-Schlüssel und Identitäten
Credentials | Pre Shared Key: wie unter LANconfig | VPN | IKE-Auth. | IKE-Schlüssel und Identitäten
- abweichende Einstellungen, für ein Lancom Advanced-VPN-Client
Local Identity | User Fully Qualified Domain Name: wie unter LANconfig | VPN | IKE-Auth. | IKE-Schlüssel und Identitäten (eMail Adresse)
Remote Identity | User Fully Qualified Domain Name: wie unter LANconfig | VPN | IKE-Auth. | IKE-Schlüssel und Identitäten (eMail Adresse)
Credentials | Pre Shared Key: wie unter LANconfig | VPN | IKE-Auth. | IKE-Schlüssel und Identitäten
Phase 2 | PFS Exchange: group 2
Lancom mit TheGreenBow Client
Lancom Router
Zugang für den Advanced Client mit dem Wizard erstellen
Änderungen unter VPN | IKE-Auth.| <Client_0001>
Lokaler Identiät-Typ: Key-ID (Gruppenname): <eMail-Adresse>
Entfernter Identität-Typ: Key-ID (Gruppenname): <eMail-Adresse>
TheGreenBow Client
Phase 1 hinzufügen
Name: <Beliebig>
Interface: Alle
Remote Gateway: <IP oder DNS Name des Routers>
IKE
Verschlüsselung: AES 128
Authentisierung: MD5
Key Gruppe: DH2 (1024)
P1 Erweitert
Agressive Mode: aktivieren
NAT-T: Disable
Lokale ID: Key ID <eMail-Adresse>
Entfernte ID: Key ID <eMail-Adresse>
Phase 2 hinzufügen
Name: <Beliebig>
VPN Client Adresse: <IP die beim Anlegen der ADV Konfiguration für den Client festgelegt wurde>
Adresstyp: Subnetz-Adresse
Remote LAN Adresse: <IP des Netzes>
Subnetz Maske: <Subnetmask>
Verschlüsselung: AES 128
Authentisierung: MD5
Modus: Tunnel
PFS Gruppe aktivieren: DH2 (1024)
VPN Verbindung aktivieren / deaktivieren
- Verbindug permanent deaktivieren
LANconfig | Konfiguration | VPN | Allgemein | Verbindungs-Liste
<Name der Verbindung>
Regelerzeugung: Aus
- Verbindung zeitgesteuertes aktivieren oder deaktivieren
Deaktivieren
LANconfig | Konfiguration | Datum/Zeit | Allgemein | Cron-Tabelle
Hinzufügen
Eintrag aktivieren: aktivieren
Echtzeit: aktivieren
Abweichung: 0
Minuten: 0
Stunden: 18
Befehl: set /Setup/VPN/VPN-Peers/<Name der VPN-Gegenstelle> {Rule-Creation} off
Besitzer: root
Aktivieren mit dem Befehl
set /Setup/VPN/VPN-Peers/<Name der VPN-Gegenstelle> {Rule-Creation} manually
oder
set /Setup/VPN/VPN-Peers/<Name der VPN-Gegenstelle> {Rule-Creation} auto
VPN mit Zertifikat
Download XCA Certificate and Key management
Erstellen von X.509-Zertifikaten mit der Anwendung XCA
Zertifikate mit OpenSSL erstellen
an einfachsten die Datei /etc/ssl/openssl.cnf bearbeiten und folgende Einträge entfernen, sonst müssen die Einträge nachher beim zuordnen der Zertifikate im Router mit angegeben werden.
# /etc/ssl/openssl.cnf countryName_default = stateOrProvinceName_default = 0.organizationName_default =
- CA Zertifikat erstellen
openssl req -new -x509 -days 3650 -extensions v3_ca -keyout root-cakey.pem -out root-cacert.pem \ -config /etc/ssl/openssl.cnf -newkey rsa:4096 ... Common Name (e.g. server FQDN or YOUR name) []:LANCOM_CA
- Router und Client Zertifikat erstellen, bei Site to Site für jeden Standort ein Zertifikat erstellen.
openssl req -new -nodes -out router-csr.pem -keyout router-key.pem -newkey rsa:4096 ... Common Name (e.g. server FQDN or YOUR name) []:ROUTER ...
openssl req -new -nodes -out client-csr.pem -keyout client-key.pem -newkey rsa:4096 ... Common Name (e.g. server FQDN or YOUR name) []:CLIENT_1 ...
- Zertifikat von CA signieren lassen
openssl x509 -req -days 1825 -CA root-cacert.pem -CAkey root-cakey.pem -CAcreateserial \ -in router-csr.pem -out router-cert.pem
openssl x509 -req -days 1825 -CA root-cacert.pem -CAkey root-cakey.pem -CAcreateserial \ -in client-csr.pem -out client-cert.pem
- Zertifikate als P12 exportieren, CA Zertifkat ist im P12 Zertifikat auch enthalten, das abgefragte Passwort, wird für den Import der Zertifikate benötigt, oder beim aufbauen der Client VPN Verbindung.
openssl pkcs12 -export -out router.p12 -inkey router-key.pem -in router-cert.pem -certfile root-cacert.pem openssl pkcs12 -export -out client.p12 -inkey client-key.pem -in client-cert.pem -certfile root-cacert.pem ... Enter Export Password: Verifying - Enter Export Password:
router.p12 - Router Zertifikat
client.p12 - Router Zertifikat
root-cacert.pem - CA Zertifikat
Zertifikate auf dem Router anzeigen / verwalten
- Zertifiakte anzeigen per SSH
list /Status/Certificates/Device-Certificates/
im WebInterface unter LCOS-Menübaum | Status | Zertifikate | Geraetezertifikate
- Zertifikate löschen
del /Status/File-System/Contents/vpn_pkcs12_intX
im WebInterface unter LCOS-Menübaum | Status | Dateisystem
LANCOM Advanced-VPN-Client mit Zertifikat
- Zertifiakt erstellen laut Anleitung mit XCA, für Router und LANCOM Advanced-VPN-Client
- Signierte Zertifikate Exportieren
- im XCA das Zertifikat öffnen und unter Inhaber den Eintrag RFC 2253: notieren
- LANconfig | Konfigurations-Verwaltung | Zertifikat oder Datei hochladen
Dateiname: router.p12
Zertifikattyp: VPN - Container (VPN1) als PKCS#12
Zert.-Passwort:
wenn es beim laden des Zertifikates eine Fehlermeldung gibt, dann den nächsten VPN - Container (VPN2) als PKCS#12 oder folgende probieren. - Setup Assistenten des Routers starten, Einwahl-Zugang bereitstellen (RAS, VPN)
- VPN-Verbindung über das Internet
- LANCOM Advanced-VPN-Client für Windows, Beschleunigen Sie das Konfigurieren mit 1-Click-VPN: deaktivieren
Name (VPN): CLIENT_ZERT
Adresse dieses Routers: <WAN-IP oder DynDNS Name>
Zertifikate (RSA Signature) und Main Mode
Lokale Identität:/O=LANCOM/CN=ROUTER
Entfernte Identität:/O=LANCOM/CN=CLIENT_1
hier werden die vorher notierten Einträge der Zertifikate eingegeben, aus O=LANCOM,CN=ROUTER wird /O=LANCOM/CN=ROUTER
IP-Adresse: <IP-Adresse die der Client bei der Einwahl bekommen soll>
- Konfiguration des LANCOM Advanced-VPN-Client
- im Client unter Konfiguration | Zertifikate | Hinzufügen
Name: Router_Zertifikat
Zertifikat: aus PKCS#12-Datei
PKCS#12-Dateiname: Client_1.p12
Softwarezertifikatsauswahl aktivieren: aktivieren
PIN-Abfrage bei jedem Verbindungsaufbau: aktivieren - Konfiguration | Profile | Hinzufügen/Import Profildatei importieren
- importiertes Profil bearbeiten, unter Identität
Pre-shared Key verwenden: deaktivieren
Zertifikats-Konfiguration: Router_Zertifikat wählen
Site to Site mit Zertifikat
Umstellen einer LAN-LAN Kopplung auf Zertifikat
LANconfig | Konfigurations-Verwaltung | Zertifikat oder Datei hochladen
Dateiname: zentrale.p12
Zertifikattyp: VPN - Container (VPN1) als PKCS#12
Zert.-Passwort:
LANconfig | Konfiguration | VPN | IKE/IPSec | Verbindungs-Parameter...
Bezeichnung: <VPN-Verbindung>
IKE-Proposals:IKE_RSA_SIG
LANconfig | Konfiguration | VPN | IKE/IPSec | IKE-Schlüssel & Identitäten...
Bezeichnung: <VPN-Verbindung>
Preshared-Key: <Eintrag leeren>
Lokaler Identität-Typ: ASN.1-Distinguished
Lokale Identität: /CN=ZENTRALE
Entfernter Identität-Typ: ASN.1-Distinguished
Entfernte Identität: /CN=AUSSENSTELLE
DNS-Filter
TCP/IP | DNS-Filter | DNS-Filter ... Domain eintragen die gesperrt werden soll. Als IP und Subnetmask ist 0.0.0.0 anzugeben.
In der Webkonfiguration ist es unter Experten-Konfiguration | Setup | DNS | Filter-Liste zu finden.
HIT Liste aller aufgerufenen DNS Domain und des letzten Zugriffs
im Webinterface unter Experten-Konfiguration | Status | TCP-IP | DNS: Hit-Liste, mit Telnet oder SSH ist folgender Befehl auszuführen.
ls /sta/tcp/dns/hit
- DNS Hit-List und Statistik Werte löschen
do /Status/TCP-IP/DNS/Delete-Values
DynDNS Dienst
Konfiguration eines Dynamic DNS-Dienstes IPv4 und IPv6
- DynDNS Einträge anzeigen
Kommunikation | Allgemein | Aktions-Tabelle
list /Setup/WAN/Action-Table
- DynDNS testen
list /Status/WAN/Actions/Action-Table
nslookup <dyndns.domain.tld>
Portmapping
IP-Router | Maskierung | Port-Forwarding-Tabelle
Anfangs-Port: 85
End-Port: 85
Intranet Adresse: 192.168.1.100
Map-Port: 80
Protokoll: TCP
ein Webserver der auf dem Server 192.168.1.100:80 läuft, ist über Port 85 aus dem Internet erreichbar http://Internet-IP:85/
Anfangs-Port: 85
End-Port: 88
Intranet Adresse: 192.168.1.100
Map-Port: 80
Protokoll: TCP
die Ports 80, 81, 82, 83 des Intranet-Server 192.168.1.100 sind im Internet über die Ports 85 - 88 erreichbar, das bedeutet, das z.B. der IntranetPort 192.168.1.100:81 im Internet über http://Internet-IP:86/ erreichbar ist.
PPPoE Server
Konfiguration | Kommunikation | Allgemein | PPPoE-Server aktivieren
Port-Tabelle: wählen auf welchen LAN-Ports der PPPoE Server erreichbar ist. Die LAN-Ports werden unter Konfiguration | Schnittsellen | LAN | Ethernet-Switch-Einstellungen den physikalischen Anschlüssen zugeordnet.
Dienst-Name: PPPoE-Server-Local
Session-Limit: 1
Gegenstellen (PPPoE): Hinzufügen
Gegenstelle: PPPOE-BENUTZER
MAC-Adresse: 000000000000
Haltezeit: 20 Sek
Konfiguration | Kommunikation | Protokolle | PPP-Liste: hinzufügen
Gegenstelle: PPPOE-BENUTZER
Benutzername: leer lassen
Passwort: geheim
IP-Routing: aktivieren
NetBIOS über IP aktivieren: aktivieren
Authentifizierung der Gegenstelle (Anfrage)
alle aktivieren
Authentifizierung durch Gegenstelle (Antwort)
alle deaktivieren
Zeit: 0
Wiederholung: 5
Conf: 10
Fail: 5
Term: 2
Konfiguration | TCP/IP | Adressen
Adressen für Einwahl-Zugänge: IP Adressbereich für die Clienteinwahl
Konfiguration | Firewall | Regeln | Allgemein
PPPOE-EINWAHL
Diese Regel ist für die Firewall aktiv: aktivieren
Diese Regel hält die Verbindungszustände nach (empfohlen): aktivieren
Konfiguration | Firewall | Regeln | Aktion
Accept
Konfiguration | Firewall | Regeln | Stationen
Verbindungs-Quelle: Gegenstelle: PPPOE-BENUTZER
Verbindungs-Ziel: Verbindung an alle Stationen
Konfiguration | Firewall | Regeln | Dienste
Dienste definieren die von der Gegenstelle erreicht werden soll.
PPTP Einwahl-Verbindung einrichten
Konfiguration | Kommunikation | Protokolle | PPTP-Liste
Gegenstelle: PPTP
IP-Adresse: leer lassen, da nicht bekannt
Port: 1723
Haltezeit: 300
Routing-Tag: 0
Konfiguration | Kommunikation | Protokolle | PPP-Liste
Gegenstelle: PPTP
Benutzername: leer lassen
Passwort: geheim
IP-Routing: aktivieren
NetBIOS über IP aktivieren: aktivieren
Authentifizierung der Gegenstelle (Anfrage)
alle gewünschten aktivieren
Authentifizierung durch Gegenstelle (Antwort)
alle deaktivieren
Zeit: 0
Wiederholung: 5
Conf: 10
Fail: 5
Term: 2
Konfiguration | TCP/IP | Adressen
Adressen für Einwahl-Zugänge: IP Adressbereich für die Clienteinwahl
oder eine IP-Adresse für den Client fest vorgeben
Konfiguration | IP-Router | Routing | Routing-Tabelle
IP-Adresse: Adresse die dem Client zugewiesen werden soll
Netzmaske: 255.255.255.255
Routing-Tag: 0
Route ist aktiviert und wird immer via RIP propagiert
Router: PPTP
Distanz: 0
IP-Maskierung abgeschaltet aktivieren
Konfiguration | IP-Router | Allgemein
Entfernte Stationen mit Proxy-ARP einbinden: aktivieren
LoadBalancer
Load-Balancer mit Policy Based Routing
Mind. zwei InternetVerbindungen müssen einrichtet sein.
z.B. eine Ethernet Verbindung über einen zweiten Router einrichten.
Verbindung zum zweiten Router über Assistent
Setup Assistenten starten | Internet Zugang einrichten | DSL-Interface | ETH4 | Deutschland | Internet-Zugang über Plain Ethernet ... | Name wählen | IP-Adressen des WAN-Zugangs setzen | kein ISDN Backup
Verbindung zum zweiten Router manuell einrichten
Schnittstellen | LAN | Ethernet-Ports
Ethernet-Port: ETH 4
Interface-Verwendung: DSL-1
Übertragungsart: Automatisch
MDI-Mode: Automatisch
Schnittstellen | WAN | Interface-Einstellungen | DSL-1
DSL-Interface aktivieren: aktivieren
Downstream-Rate: <je nach Zugang> kbit/s
Upstream-Rate: <je nach Zugang> kbit/s
Kommunikation | Allgemein | Kommunikations-Layer
Layername: PLAIN-ETH
Encapsulation: Ethernet
Layer-3: DHCP (bei fester IP Transparent)
Layer-2: Transparent
Optionen: keine
Layer-1: ETH
Wenn unter Kommunikation | Allgemein | Kommunikations-Layer | Layer-3: Transparent (mit fester IP eingestellt wurde, wird diese hinterlegt unter:
Kommunikation | Protokolle | IP-Parameter
Gegenstelle: Internet-Plain
IP-Adresse: xxx.xxx.xxx.xxx
usw...
Kommunikation | Gegenstellen | Gegenstellen (DSL)
Name: Internet-Plain
Haltezeit: 9.999
VPI: 0
VCI: 0
Layername: PLAIN-ETH
MAC-Adress-Typ: Lokal
DSL-Ports: 1
VLAN-ID: 0
DSL-Ports - Nummer des Ports der unter Schnittstellen | WAN | Interface-Einstellungen definiert ist. z.B. bei definierten DSL-3 muss auch unter DSL-Ports: 3 eingetragen werden.
IP-Router | Routing | Load-Balancing
Load-Balancing aktiviert: wählen
Name: LOADBALANCER
Gegenstelle-1: INTERNET
Gegenstelle-2: VDSL
IP-Router | Routing | Routing-Tabelle
Default Route wählen
IP-Adresse: 255.255.255.255
Netzmaske: 0.0.0.0
Routing-Tag: 0
Route ist aktiviert und wird immer via RIP propagiert aktivieren
Router: LOADBALANCER
Distanz: 0
Intranet und DMZ maskieren: wählen
Load-Balancer mit Policy Based Routing
VPN über Verbindung INTERNET und Surfen über VDSL
LOADBALANCER wie oben einrichten und dann noch folgende Einstellungen vornehmen.
IP-Router | Routing | Routing-Tabelle
IP-Adresse: 255.255.255.255
Netzmaske: 0.0.0.0
Routing-Tag: 1
Route ist aktiviert und wird immer via RIP propagiert aktivieren
Router: INTERNET
Distanz: 0
Intranet und DMZ maskieren: wählen
IP-Router | Routing | Routing-Tabelle
IP-Adresse: 255.255.255.255
Netzmaske: 0.0.0.0
Routing-Tag: 2
Route ist aktiviert und wird immer via RIP propagiert aktivieren
Router: INTERNET
Distanz: 0
Intranet und DMZ maskieren: wählen
VPN | Allgemein | Verbindungs-Liste
VPN-Verbindung wählen
...
Routing-Tag: 1
Firewall/QoS | Regeln | Regeln | Allgemein
Name dieser Regel: HTTPS->VDSL
Diese Regel ist für die Firewall aktiv: wählen
Diese Regel hält die Verbindungszustände ...: wählen
Priorität: 0
Routing-Tag: 2
Firewall/QoS | Regeln | Regeln | Aktionen
Objekt:ACCEPT
Firewall/QoS | Regeln | Regeln | Stationen
Verbindungen von folgenden Stationen: LOCALNET
Verbindungen an alle Stationen
Firewall/QoS | Regeln | Regeln | Dienste
alle Protokolle/Quell-Dienste
folgende Protokolle/Ziel-Dienste: HTTPS
Testen der Load-Balancer und des Policy Based Routings
trace + IP-Router
trace + Load-Balancer
Backup-Verbindung
Backup Verbindung einrichten, wird verwendet, wenn die erste Verbindung ausfällt.
Kommunikation | Ruf-Verwaltung | Backup-Tabelle
Gegenstelle: Internet
Backupliste: Internet2
Advanced Routing and Forwarding (ARF)
Advanced Routing and Forwarding (ARF)
VPN WAN-TAG
- Beispiel für eine VPN Verbindung, wo die Zentrale das gleiche Netzwerk hat wie der WAN Port der Filiale.
Zentrale - 10.10.10.0/24
WAN Anschluss der Filiale - 10.10.10.0/24
Ohne ARF würde der Router die Pakete die für die Zentrale sind zum WAN Anschluss schicken.
Konfiguration | IP-Routing | Routing | IPv4
IP-Adresse (VPN-Zentrale)
Routing-Tag 1
Konfiguration | IPv4 | Allgemein | IP-Netzwerke
Netzwerkname INTRANET
Schnittstellen-Tag: 1
Loadbalancer WAN-TAG
- Loadbalancer WAN Verbindungen trennen
Kommunikation | Gegenstellen | WAN-TAG-Tabelle
Gegenstelle: INTERNET1
Schnittstellen-Tag: 1
Gegenstelle: INTERNET2
Schnittstellen-Tag:2
Gegenstelle: LOADBALANCER
Schnittstellen-Tag: 0
WAN-Tag-Erzeugung: Manuell
IP-TV Multicast
Anschluß mit externem DSL Modem (VLAN-ID 8 als DHCPoE)
Kommunikation | Allgemein | Kommunikations-Layer
Layername: VLAN8
Encapsulation: Ethernet
Layer-3: DHCP
Layer-2: Transparent
Optionen: keine
Layer-1: ETH
Wenn ein Speedport 722V als VDSL Modem genutzt wird, benutzt der Router schon DHCPoE, das kann im Lancom nicht mehr genutzt werden.
Anschluß mit integriertem DSL Modem (VLAN-ID 8 als DHCPoEoA)
Kommunikation | Allgemein | Kommunikations-Layer
Layername: VLAN8
Encapsulation: LLC-ETH
Layer-3: DHCP
Layer-2: Transparent
Optionen: keine
Layer-1: AAL-5
Kommunikation | Gegenstellen | Gegenstellen (DSL)
Name: VLAN8
Haltezeit: 9.999
VPI: 0
VCI: 0
Layername: VLAN8
VLAN-ID: 8
Multicast Weiterleitung konfigurieren
IP-Router | Routing | Routing-Tabelle
IP-Adresse: 224.0.0.0
Netzmaske: 224.0.0.0
Routing-Tag: 4
Route ist aktiviert und wird immer via RIP propagiert aktivieren
Router: <Intranet IP des LancomRouters>
Distanz: 0
IP-Maskierung abgeschaltet: wählen
Kommentar: Route fuer Multicast
IP-Router | Routing | Routing-Tabelle
IP-Adresse: 224.0.0.0
Netzmaske: 224.0.0.0
Routing-Tag: 3
Route ist aktiviert und wird immer via RIP propagiert aktivieren
Router: VLAN8
Distanz: 0
Intranet und DMZ maskieren: wählen
Kommentar: Multicast VLAN8
IP-Router | Routing | Routing-Tabelle
IP-Adresse: 255.255.255.255
Netzmaske: 0.0.0.0
Routing-Tag: 4
Route ist aktiviert und wird immer via RIP propagiert aktivieren
Router: VLAN8
Distanz: 0
Intranet und DMZ maskieren: wählen
Kommentar: DefaultRoute, Pakete von VLAN8 werden akzeptiert
Firewall Regeln für Multicast
Firewall/QoS | Regeln | Regeln | Allgemein
Name dieser Regel: MULTICAST_SEND
Diese Regel ist für die Firewall aktiv: wählen
Diese Regel hält die Verbindungszustände ...: wählen
Priorität: 0
Routing-Tag: 3
Kommentar: LAN->WAN
Firewall/QoS | Regeln | Regeln | Aktionen
Objekt:ACCEPT
Firewall/QoS | Regeln | Regeln | Stationen
Verbindungen von folgenden Stationen: LOCALNET
Verbindungen an folgende Stationen: Benutzerdefinierte Stationen | Ein ganzes IP-Netzwerk
IP-Adresse: 224.0.0.0
Netzmaske: 224.0.0.0
Firewall/QoS | Regeln | Regeln | Allgemein
Name dieser Regel: MULTICAST_RECEIVE
Diese Regel ist für die Firewall aktiv: wählen
Diese Regel hält die Verbindungszustände ...: wählen
Priorität: 0
Routing-Tag: 4
Kommentar: WAN->LAN
Firewall/QoS | Regeln | Regeln | Aktionen
Objekt:ACCEPT
Firewall/QoS | Regeln | Regeln | Stationen
Verbindungen von folgenden Stationen: LOCALNET
Verbindungen an folgende Stationen: Benutzerdefinierte Stationen | Ein ganzes IP-Netzwerk
IP-Adresse: 224.0.0.0
Netzmaske: 224.0.0.0
Testen der Load-Balancer und des Policy Based Routings
trace + IP-Router
trace + Firewall
zweites Intranet Netzwerke erstellen
TCP/IP | Allgemein | IP-Netzwerke
Netzwerkname: LAN2
IP-Adresse: <IP-Adresse des Routers für das LAN2>
Netzmaske: <wie gewünscht>
Netzwerktyp: Intranet
VLAN-ID: 0
Schnittstellen-Zuordnung: LAN-2
Adressprüfung: Flexibel
Schnittstellen-Tag: 0
TCP/IP | DHCP | DHCP-Netzwerkname...
Netzwerkname: LAN-2
DHCP-Server aktiviert: ja
Erste Adresse: <w.x.y.z>
Letzte Adresse: <w.x.y.z>
Netzmaske: <w.x.y.z>
Broadcast: <w.x.y.255>
Standard-Gateway: <beliebig>
Erster DNS: <beliebig>
Schnittstellen | LAN | Ethernet-Ports | ETH 2
Interface-Verwendung: LAN-2
Übertragungsart: Automatisch
MDI-Mode: Automatisch
Verbindung zwischen den beiden LANs verhindern
Firewall/QoS | Regeln | Regeln | Allgemein
Name dieser Regel: LAN1->LAN2
Diese Regel ist für die Firewall aktiv: wählen
Diese Regel hält die Verbindungszustände ...: wählen
Priorität: 1
Routing-Tag: 0
Kommentar: alle Pakete von LAN1 nach LAN2
Firewall/QoS | Regeln | Regeln | Aktionen
Objekt:REJECT
Firewall/QoS | Regeln | Regeln | Stationen
Verbindungen von folgenden Stationen: Benutzerdefinierte Stationen
Alle Stationen im lokalen Netzwerk: aktivieren
Netzwerk-Name: INTRANET
Verbindungen an folgende Stationen: Benutzerdefinierte Stationen
Alle Stationen im lokalen Netzwerk: aktivieren
Netzwerk-Name: LAN2
Firewall/QoS | Regeln | Regeln | Dienste
alle Protokolle/Quell-Dienste
alle Protokolle/Ziel-Dienste
zwei Netzwerke, zwei Internetzugänge
1. Konfiguration | TCP/IP | Allgemein | IP-Netzwerke
DMZ | 0.0.0.0 | 255.255.255.0 | DMZ | 0 | Beliebig | Flexibel | 0 LAN1 | 192.168.1.254 | 255.255.255.0 | Intranet | 0 | LAN-1 | Flexibel | 1 LAN2 | 192.168.2.254 | 255.255.255.0 | Intranet | 0 | LAN-2 | Flexibel | 2
2. Internetzugang der beiden Netze erstellen
Inet-LAN1
Inet-LAN2
3. Konfiguration | IP-Router | Routing | Routing-Tabelle
255.255.255.255 | 0.0.0.0 | 1 | An | Inet-LAN1 | 0 | An 255.255.255.255 | 0.0.0.0 | 2 | An | Inet-LAN2 | 0 | An
4. Konfiguration | VPN | Allgemein | Verbindungs-Liste
Name Routing-Tag VPN-LAN1 1 VPN-LAN2 2
Wenn ein Internetzugang ausfällt, und das LAN dann über den anderen Internetzugang ins Netz kommt, ist es notwendig, das das Routing-Tag geändert wird.
Umtaggen der Verbindung bei Ausfall eines der Internetverbindungen
Eintrag für LAN1
Konfiguration | Firewall | Regeln | Regeln
Name: UMTAGGEN_INET-LAN1->INET-LAN2
Diese Regel ist für die Firewall aktiv: aktivieren
Diese Regel hält die Verbindungszustände nach (empfohlen): aktivieren
Priorität: <beliebig>
Rtg-Tag: <Tag von LAN2>
Aktion: ACCEPT
Stationen
Quelle: Alle Stationen im lokalen Netzwerk "LAN1"
Ziel: Verbindungen an alle Stationen
Dienste
Quelle: alle Protokolle/Quell-Dienste
Ziel: alle Protokolle/Ziel-Dienste
Eintrag für LAN2
Konfiguration | Firewall | Regeln | Regeln
Name: UMTAGGEN_INET-LAN2->INET-LAN1
Diese Regel ist für die Firewall aktiv: aktivieren
Diese Regel hält die Verbindungszustände nach (empfohlen): aktivieren
Priorität: <beliebig>
Rtg-Tag: <Tag von LAN1>
Aktion: ACCEPT
Stationen
Quelle: Alle Stationen im lokalen Netzwerk "LAN2"
Ziel: Verbindungen an alle Stationen
Dienste
Quelle: alle Protokolle/Quell-Dienste
Ziel: alle Protokolle/Ziel-Dienste
- zwei Aktionen erstellen um die Regel zu aktivieren bzw. zu deaktivieren
Konfiguration | Kommunikation | Allgemein | Aktions-Tabelle
Name: Umtaggen.LAN1.aktiv
Gegenstelle: Inet-LAN1
Verbindungs-Ereignis: Abbruch
Aktion:
set /Setup/IP-Router/Firewall/Rules/UMTAGGEN_INET-LAN1->INET-LAN2 * * * * * * yes oder set /2/8/10/2/UMTAGGEN_INET-LAN1->INET-LAN2 * * * * * * yes
Name: Umtaggen.LAN1.deaktiv
Gegenstelle: Inet-LAN1
Verbindungs-Ereignis: Aufbau
Aktion:
set /Setup/IP-Router/Firewall/Rules/UMTAGGEN_INET-LAN1->INET-LAN2 * * * * * * no oder set /2/8/10/2/UMTAGGEN_INET-LAN1->INET-LAN2 * * * * * * no
Die gleichen Eintrage sind für das LAN2 zu erstellen
set /2/8/10/2/UMTAGGEN_INET-LAN2->INET-LAN1 * * * * * * yes set /2/8/10/2/UMTAGGEN_INET-LAN2->INET-LAN1 * * * * * * no
!!! Deim "Umtaggen" ist zu beachten, das die Clients aus dem LAN das umgetaggt wird, solange auch die Clients im anderen LAN erreichen können, solange bis der Internetzugang der Firma wieder funktioniert.
IAPP (Roaming für Access-Points)
Wireless-LAN | Security
Mobile Stationen können zwischen den Basisstationen im lokalen Netz wechseln: aktivieren
IAPP-Netzwerk: wenn hier ein Netz gewählt wird, ist IAPP nur noch in diesem möglich.
Wireless-LAN | Allgemein | Physikalische WLAN-Einst. | Radio
Background-Scan-Intervall: 260s (bei 2,4GHz), 720s (bei 5GHz)
Web-Management | LCOS-Menübaum | Setup | WLAN
NAT deaktivieren
LANconfig | IP-Router | Routing | Routing-Tabelle
Default Route bearbeiten
IP-Adresse: 255.255.255.255
Netzmaske: 0.0.0.0
Routing-Tag: 0
Route ist aktiviert und wird immer via RIP propagiert: aktivieren
Router: INTERNET
Distanz: 0
IP-Maskierung abgeschaltet: aktivieren
!!! nach der Deaktivierung der IP-Maskierung den Router neu starten.
DMZ aktivieren
Einrichten einer DMZ mit öffentlichen IP-Adressen
Umsetzen privater Adressen aus der DMZ in öffentliche Adressen
Konfiguration | IP-Router | Routing | Routing -Tabelle
255.255.255.255 | 0.0.0.0 | 0 | An | INTERNET | 0 | An (nur Intranet)
DHCP
DHCP Parameter
BOOTP / DHCP options
Lancom - Konfiguration der DHCP-Optionen
Konfiguration der DHCP-Optionen
Konfiguration | TCP/IP | DHCP | DHCP-Optionen
DNS Server
Option-Nummer: 6
Networkname:(nach Bedarf)
Type: IP-Address
Wert: 192.168.10.200 - bei einem Server
oder
Wert: 192.168.10.200,217.137.150.33 - Angabe von mehreren Servern
Domain Name
Option-Nummer: 15
Networkname:(nach Bedarf)
Type: Zeichenkette
Wert: domainname.tld
NTP-Server
Option-Nummer: 42
Networkname:(nach Bedarf)
Type: IP-Address
Wert: 192.168.10.200
oder
Type: Zeichenkette
Wert: pool.ntp.org
WLAN
- GastNetz WLAN mit einem Internetzugang
- Gastnetz WLAN und LAN mit getrennten Internetzugang
- Gastnetz WLAN und LAN mit VLAN getrennt
Active Radio Control (ARC)
WLAN Band Steering - Minimale Client Signalstärke festlegen (in Prozent 100% = 64dB), kommt der Client mit einer niedrigeren Signalstärke werden die SSID Suchpakete nicht beantwortet.
LANconfig: Wireless-LAN | Allgemein | Logische WLAN-Einstellungen | Netzwerk | Minimale Client-Signal-Stärke
WEBconfig: Setup | Schnittstellen | WLAN | Netzwerk | Minimal-Stations-Staerke
Band Steering - WLAN Clients aktiv auf eine bevorzugtes Frequenzband leiten
LANconfig: Wireless-LAN | Band Steering
Band Steerig aktivieren: aktivieren
Bevorzugtes Frequenzband: 5 GHz
Ablaufzeit für Probe-Requests: 120
Initiale Block-Zeit: 10
GastNetz WLAN mit einem Internetzugang
in diesem Beispiel sind Router und AccessPoint zwei Geräte
| Router | 192.168.20.254 |
| WLAN-AP | 192.168.20.253 |
| Intranet Netz | 192.168.20.0 |
| WLAN-Gast Netz | 192.168.21.0 |
Router
auf dem Router muß eine Route ins Gastnetz gesetzt werden
IP-Router | Routing | Routing-Tabelle
IP-Adresse: 192.168.21.0
Netzmaske: 255.255.255.0
Routing-Tag: 0
Route ist aktiviert und wird immer via RIP propagiert aktivieren
Router: 192.168.20.254
IP-Maskierung abgeschaltet aktivieren
Kommentar: WLAN GastNetz
AccessPoint
TCP-IP | Allgemein | IP- Netzwerke
Intranet
IP-Adresse: 192.168.20.253
Netzmaske: 255.255.255.0
Netzwerktyp: Intranet
VLAN-ID: 0
Schnittstellen-Zuordnung: BRG-1
Adressprüfung: Flexibel
Schnittstellen-Tag: 0
Gast
IP-Adresse: 192.168.21.253
Netzmaske: 255.255.255.0
Netzwerktyp: Intranet
VLAN-ID: 0
Schnittstellen-Zuordnung: BRG-2
Adressprüfung: Flexibel
Schnittstellen-Tag: 0
TCP-IP | DHCP | DHCP-Netzwerke | Hinzufügen
Netzwerkname: Gast
DHCP-Server aktiviert: Automatisch
allen anderen Einstellungen nach belieben, können auch so gelassen werden
TCP-IP | DNS | Weiterleitungen
Domäne: *
Gegenstelle: <IP oder Gegenstellenname>
oder
Domäne: ?*
Gegenstelle: 192.168.20.254
Es können auch zwei IP-Adressen als primärer und sekundärer DNS-Server für die weiterzuleitende Domäne eingegeben werden. Wenn zwei IP-Adressen eingegeben werden, dann müssen sie durch ein Leerzeichen voneinander getrennt sein.
Domäne: *.*
Gegenstelle: 192.168.20.254 8.8.8.8
IP-Router | Routing | Routing-Tabelle | Default-Route
IP-Adresse: 255.255.255.255
Netzmaske: 0.0.0.0
Routing-Tag: 0
Route ist aktiviert und wird immer via RIP propagiert aktivieren
Router: 192.168.20.254
Distanz: 2
IP-Maskierung abgeschaltet aktivieren
Firewall/Qos | Regeln | Regeln hinzufügen
Name der Regel: DENY-GAST-INTRANET
Diese Regel ist für die Firewall aktiv: aktivieren
Routing-Tag: 0
Aktionen: Zurückweisen
Station
Quelle: Gast (Netzwerk 192.168.21.0/24)
Ziel: Intranet (Netzwerk 192.168.20.0/24)
Firewall/Qos | Regeln | Regeln hinzufügen
Name der Regel: ACCEPT-DNS-GAST
Diese Regel ist für die Firewall aktiv: aktivieren
Routing-Tag: 0
Aktionen: Accept
Station
Quelle: Gast (Netzwerk 192.168.21.0/24)
Ziel: Alle
Dienste
Ziel: DNS
Schnittstellen | LAN | Port-Tabelle | WLAN-1: Wireless-LAN 1-Netz 1
Diesen Port aktivieren: aktivieren
Bridge-Gruppe: BRG-1
Point-to-Point Port: Automatisch
DHCP-Begrenzung: 0
Schnittstellen | LAN | Port-Tabelle | WLAN-2: Wireless-LAN 2-Netz 1
Diesen Port aktivieren: aktivieren
Bridge-Gruppe: BRG-1
Point-to-Point Port: Automatisch
DHCP-Begrenzung: 0
Schnittstellen | LAN | Port-Tabelle | WLAN-1-2: Wireless-LAN 1-Netz 2
Diesen Port aktivieren: aktivieren
Bridge-Gruppe: BRG-2
Point-to-Point Port: Automatisch
DHCP-Begrenzung: 0
Schnittstellen | LAN | Port-Tabelle | WLAN-2-2: Wireless-LAN 2-Netz 2
Diesen Port aktivieren: aktivieren
Bridge-Gruppe: BRG-2
Point-to-Point Port: Automatisch
DHCP-Begrenzung: 0
Wireless-LAN | Allgemein | Physikalische WLAN-Einst. | WLAN-Interface 1
Betrieb
WLAN-Betriebsart: Basisstation
Radio
Frequenzband: 2,4 GHz
Client-Modus
Durchsuche Bänder: Nur 2,4 GHz
Wireless-LAN | Allgemein | Physikalische WLAN-Einst. | WLAN-Interface 2
Betrieb
WLAN-Betriebsart: Basisstation
Radio
Frequenzband: 5 GHz
Client-Modus
Durchsuche Bänder: Nur 5 GHz
Wireless-LAN | Allgemein | Logische WLAN-Einstellungen | WLAN-Interface 1 - Netzwerk 1
Netzwerk
SSID: Intern
Wireless-LAN | Allgemein | Logische WLAN-Einstellungen | WLAN-Interface 2 - Netzwerk 1
Netzwerk
SSID: Intern
Wireless-LAN | Allgemein | Logische WLAN-Einstellungen | WLAN-Interface 1 - Netzwerk 2
Netzwerk
SSID: Gast
Wireless-LAN | Allgemein | Logische WLAN-Einstellungen | WLAN-Interface 2 - Netzwerk 2
Netzwerk
SSID: Gast
Wireless-LAN | 802.11i/WEP | WPA- / Einzel-WEP-Einstellungen | Wireless-LAN 1 - Netz 1
Schlüssel 1/Passphrase: <PW-Intern>
Wireless-LAN | 802.11i/WEP | WPA- / Einzel-WEP-Einstellungen | Wireless-LAN 2 - Netz 1
Schlüssel 1/Passphrase: <PW-Intern>
Wireless-LAN | 802.11i/WEP | WPA- / Einzel-WEP-Einstellungen | Wireless-LAN 1 - Netz 2
Schlüssel 1/Passphrase: <PW-Gastnetz>
Wireless-LAN | 802.11i/WEP | WPA- / Einzel-WEP-Einstellungen | Wireless-LAN 2 - Netz 2
Schlüssel 1/Passphrase: <PW-Gastnetz>
Gastnetz WLAN und LAN mit getrennten Internetzugang
| Intranet (Phys. Schnittstelle) ETH-1 ETH-2 WLAN-1 Internet WAN-Port Internet1 Netz 192.168.20.0/24 Router 192.168.20.254 DHCP 192.168.20.20-30 |
GastNetz (Phys. Schnittstelle) ETH-4 WLAN-1-2 Internet ETH-3-Port Internet2 Netz 192.168.25.0/24 Router 192.168.25.254 DHCP 192.168.25.20-30 |
TCP-IP | Allgemein | IP- Netzwerke
Netzwerkname: Intranet
IP-Adresse: 192.168.20.254
Netzmaske: 255.255.255.0
Netzwerktyp: Intranet
VLAN-ID: 0
Schnittstellen-Zuordnung: BRG-1
Adressprüfung: Flexibel
Schnittstellen-Tag: 0
Netzwerkname: GastLAN
IP-Adresse: 192.168.22.254
Netzmaske: 255.255.255.0
Netzwerktyp: Intranet
VLAN-ID: 0
Schnittstellen-Zuordnung: BRG-2
Adressprüfung: Flexibel
Schnittstellen-Tag: 2
TCP-IP | DHCP | DHCP-Netzwerke
Netzwerkname: Intranet
DHCP-Server aktiviert: Ja
Erste Adresse: 192.168.20.20
Letzte Adresse: 192.168.20.30
Standard-Gateway: 192.168.20.254
Erster DNS: 192.168.20.254
Netzwerkname: GastLAN
DHCP-Server aktiviert: Ja
Erste Adresse: 192.168.25.20
Letzte Adresse: 192.168.25.30
Standard-Gateway: 192.168.25.254
Erster DNS: 192.168.25.254
Schnittstellen | LAN | Ethernet-Ports
Ethernet-Port: ETH 1
Interface-Verwendung: LAN-1
Übertragungsart: Automatisch
MDI-Mode: Automatisch
Ethernet-Port: ETH 2
Interface-Verwendung: LAN-1
Ethernet-Port: ETH 3
Interface-Verwendung: DSL-1
Ethernet-Port: ETH 4
Interface-Verwendung: LAN-2
Schnittstellen | LAN | Port-Tabelle
LAN-1: Lokales Netzwerk 1
Diesen Port aktivieren: aktivieren
Bridge-Gruppe: BRG-1
Point-to-Point Port: Automatisch
DHCP-Begrenzung: 0
WLAN-1: Wireless Netzwerk 1
Diesen Port aktivieren: aktivieren
Bridge-Gruppe: BRG-1
LAN-2: Lokales Netzwerk 2
Diesen Port aktivieren: aktivieren
Bridge-Gruppe: BRG-2
WLAN-1-2: Wireless Netzwerk 2
Diesen Port aktivieren: aktivieren
Bridge-Gruppe: BRG-2
IP-Router | Routing | Routing-Tabelle
Default Route bearbeiten
IP-Adresse: 255.255.255.255
Netzmaske: 0.0.0.0
Routing-Tag: 0
Route ist aktiviert und wird immer via RIP propagiert: aktivieren
Router: INTERNET1
Distanz: 0
Kommentar: Internet für Intranet
Default Route Kopieren
IP-Adresse: 255.255.255.255
Netzmaske: 0.0.0.0
Routing-Tag: 2
Route ist aktiviert und wird immer via RIP propagiert: aktivieren
Router: INTERNET2
Distanz: 0
Kommentar: GastLAN
wenn man nur ein Internetzugang auf den Router hat, muß die DefaultRoute auch kopiert werden, aber der Router ist auf Internet1 zu stellen.
Gastnetz WLAN und LAN mit VLAN getrennt
Netzwerk Übersicht
| IP-Adresse Router | VLAN-ID | Schnittstellen TAG | Schnittstelle | |
|---|---|---|---|---|
| Intranet | 192.168.20.254 | 1 | 0 | LAN1, WLAN1 |
| Gastnetz | 192.168.200.254 | 10 | 10 | LAN1, WLAN2 |
TCP-IP | Allgemein | IP- Netzwerke
Intranet
IP-Adresse: 192.168.20.254
Netzmaske: 255.255.255.0
Netzwerktyp: Intranet
VLAN-ID: 1
Schnittstellen-Zuordnung: BRG-1
Adressprüfung: Flexibel
Schnittstellen-Tag: 0
GastNetz
IP-Adresse: 192.168.200.254
Netzmaske: 255.255.255.0
Netzwerktyp: Intranet
VLAN-ID: 10
Schnittstellen-Zuordnung: BRG-1
Adressprüfung: Flexibel
Schnittstellen-Tag: 10
Schnittstellen | VLAN
VLAN-Modul aktivieren: aktivieren
Schnittstellen | VLAN | VLAN-Tabelle
VLAN-Name: Intranet_VLAN1
VLAN-ID: 1
Port-Liste: LAN-1, WLAN-1
VLAN-Name: Gast_VLAN10
VLAN-ID: 10
Port-Liste: LAN-1, WLAN-1-2
Schnittstellen | VLAN | Port-Tabelle
VLAN-Port: LAN-1: Lokales Netzwerk 1
VLAN-Tagging-Modus: Hybrid (Gemischt)
Auf diesem Port Pakete erlauben, die zu anderen VLANs gehören: aktivieren
Port-VLAN-ID: 1
VLAN-Port: WLAN-1-2: Wireless Netzwerk 2
VLAN-Tagging-Modus: Access (Niemals)
Auf diesem Port Pakete erlauben, die zu anderen VLANs gehören: aktivieren
Port-VLAN-ID: 10
Wireless-LAN 1 für Intranet und Wireless-LAN 2 für ds GastNetz definieren wie oben.
unter IP-Router | Routing alle Einstellungen so belassen.
VLAN
Schnittstellen | VLAN
VLAN-Modul aktivieren: aktivieren
Schnittstellen | VLAN | VLAN-Tabelle
VLAN-Name: Intranet_VLAN1
VLAN-ID: 1
Port-Liste: *-*
VLAN-Name: Gast_VLAN30
VLAN-ID: 30
Port-Liste: *-*
Konfiguration | IPv4 | Allgemein | IP-Netzwerke
Netzwerkname: INTRANET
IP-Adresse: <IP-Adresse des Routers>
Netzmaske: <wie gewünscht>
Netzwerktyp: Intranet
VLAN-ID: 1
Schnittstellen-Zuordnung: BRG-1
Adressprüfung: Flexibel
Schnittstellen-Tag: 0
Netzwerkname: GAST-VLAN30
IP-Adresse: <IP-Adresse des Gast-Routers>
Netzmaske: <wie gewünscht>
Netzwerktyp: Intranet
VLAN-ID: 30
Schnittstellen-Zuordnung: BRG-1
Adressprüfung: Flexibel
Schnittstellen-Tag: 0
IPv6
| Befehl | Beschreibung |
|---|---|
| show ipv6-interfaces | IPv6 Interface anzeigen |
| show ipv6-addresses | IPv6 Addressen anzeigen |
| show ipv6-route | IPv6 Routingtabelle anzeigen |
| show ipv6-prefixes | IPv6 Prefix anzeigen |
| show ipv6-neighbour-cache | IPv6 neighbour cache anzeigen |
| show dhcpv6-client | DHCPv6 Clients Lease anzeigen (WAN Interface) |
| show dhcpv6-server | DHCPv6 Server Client Tabelle (LAN Interface) |
| show ipv6-filter | IPv6 Firewall Forward Regeln (Weiterleiten) |
| show ipv6-inbound-flt | IPv6 Firewall Inbound Regeln (Eingang) |
- Trace ausgeben
tr # ipv6-router icmpv6 ipv6-fire
IPv6 Default Route setzen
IP-Router | Routing | IPv6-Routing-Tabelle| Default-Route
Präfix: ::/0
Routing-Tag: 0
Router: INTERNET
Kommunikation | Protokolle | PPP-Liste
Gegenstelle: INTERNET
IPv6-Routing aktivieren: aktivieren
IPv6 Schnittstelle definieren
IPv6 | Allgemein | LAN-Schnittstellen
Schnittstelle aktivieren: aktiviert
Interface-Name: INTRANET_V6
Schnittstellen-Zuordnung: BRG-1
VLAN-ID: 0
Schnittstellen-Tag: 0
Autokonfiguration (Stateless Address Autoconfiguration-SLAAC): aktiviert
Router-Advertisements (RA) akzeptieren: aktiviert
Forwarding: aktiviert
MTU: 1500
Firewall für dieses Interface aktivieren: deaktiviert
feste IPv6 Adresse für das LAN Interface setzen
IPv6 | Allgemein | IPv6-Adresse (IP im privaten LAN)
Interface-Name: INTRANET_V6
Adresse/Prafixlänge: fd00:0:0:0::1/64
Adress-Typ: Unicast
Name: LOCALNET
Provider Präfix ins LAN weiterleiten
IPv6 | Allgemein | WAN-Schnittstellen
SChnittstelle aktiv: aktivieren
Interface-Name: leer lassen
Schnittstellen-Tag: 0
Autokonfiguration (Stateless Address Autoconfiguration-SLAAC): aktivieren
Router-Advertisements (RA) akzeptieren: aktivieren
Forwarding: aktivieren
Firewall für dieses Interface aktiv: aktivieren
PD-Quelltype: DHCPv6
IPv6 | Router-Advertisement | Präfix-Liste
Interface-Name: INTRANET_V6
Präfix: ::/64
Subnetz-ID: 20
Präfix beziehen von: INTERNET
Wenn der Provider ein Präfix von 2003:eeee:ffff:1900::/56 verteil, wird diesen die Subnetz-ID angehängt und daraus der Präfix für das LAN 2003:eeee:ffff:1920::/64
::/64 besagt, das der Provider delegiertes Präfix automatisch weiter propagiert wird. Das WAN Interface muss dafür in der Zeile Präfix beziehen von ausgewählt werden.
Provider Präfix delegieren für ein IPv6 Subnet
IPv6 | Allgemein | WAN-Schnittstellen
Schnittstelle aktiv: aktivieren
Interface-Name: leer lassen
Schnittstellen-Tag: 0
Autokonfiguration (Stateless Address Autoconfiguration-SLAAC): aktivieren
Router-Advertisements (RA) akzeptieren: aktivieren
Forwarding: aktivieren
Firewall für dieses Interface aktiv: aktivieren
PD-Quelltype: DHCPv6
IPv6 | DHCPv6 | Präfix-Delegierungs-Pools
PD-Pool-Name: PD-Pool
Erster Präfix: ::
Letzter Präfix: ::
Präfix-Länge: 60
Bevorzugte Gültigkeit: 3600
Gültigkeitsdauer: 86400
Präfix beziehen von: INTERNET
IPv6 | DHCPv6 | DHCPv6-Netzwerke
DHCPv6-Server aktiviert: Ein
Präfix für weitere Router (DHCPv6-PD)
Präfix-Deligierungs-Pool:
PD-Pool
Firewall
Konfiguration der Filter-Regeln (Firewall/QoS) beim LANCOM Router
!!! Wenn zwischen zwei Stationen eine Verbindung besteht und Firewalleinstellungen geändert werden, wird diese Einstellung erst nach beenden der Verbindung oder Router Neustart wirksam. !!!
Unterschiede in der Firewall Konfiguration zwischen DROP und REJECT
- Beispiel REJECT
ping w.x.y.z Antwort von w.x.y.z: Zielnetz nicht erreichbar.
- Beispiel DROP
ping w.x.y.z Zeitüberschreitung der Anforderung.
ICMP Meldungen (PING) auf WAN Port zulassen
LANconfig | Firewall/Qos | Allgemein
Ping blockieren: Nur über Default-Route (Standard) auf Aus setzen.
| Script Parameter | Beschreibung |
|---|---|
| QOS Einstellungen /Setup/IP-Router/Firewall/Actions | |
| @dEF | DiffServ-CP: EF |
| @v | für VPN-Route |
| %Qctds80 | für gesendete Pakete, Mindestbandbreite 80kbit Pro Session |
| %Qcrds80 | für empfangene Pakete, Mindestbandbreite 80kbit Pro Session |
| %Qcds80 | Mindestbandbreite 80kbit Pro Session |
| %Qutds80 | für gesendete Pakete, Mindestbandbreite 80kbit Pro Station |
| %Qurds80 | für empfangene Pakete, Mindestbandbreite 80kbit Pro Station |
/Setup/IP-Router/Firewall/Actions
add "VOIP-QOS" {Description} "%F512 @dEF %Fp512 @dEF %Qcfds80 @dEF"
unter Lanconfig Konfiguration | Firewall/Qos | IPv4-Regeln | QoS-Objekte... | Hinzufügen...
Allgemein: VOIP-QOS
Bedingung (Regel für Versand)
bei DiffServ-CP: EF
Aktion
Fragmentierung der übrigen Pakete: 512 Bytes
Bedingung (Regel für Empfang)
bei DiffServ-CP: EF
Aktion
Reduzierung der PMTU einschalten: 512 Bytes
Bedingung (Bandbreite Reservieren)
bei DiffServ-CP: EF
Aktion
Mindestbandbreiten garantieren: 128 kbit
Pro Session: aktivieren
Erzwungen: aktivieren
QoS
QoS-Einstellungen für VoIP-Verbindungen
AGFEO - Quality of Service mit ISDN over IP
QoS Diffserv TOS bei Lancom
- Geschwindigkeit der Leitung definieren (wenn das interne DSL Modem nicht verwendet wird)
Konfiguration | Schnittsellen | WAN | Interface Einstellungen | DSL
Downstream-Rate: 16000
Upstream-Rate: 1024
Externer Overhead: 0
- QoS Methode festlegen, die unterstützt
werden soll "Type-of-Service" oder "DiffServ"
Konfiguration | IP-Router | Allgemein
Type-of-Service-Feld berücksichtigen: aktivieren
oder
DiffServ-Feld beachten: aktivieren
Anzeige der eingestellten Routing-Method (bei neuerer Firmware Default Einstellung)
ls /Setup/IP-Router/Routing-Method/Routing-Method Routing-Method VALUE: DiffServ
DiffServ Tabelle siehe auch Handbuch Abschnitt 9.2.1
DSCP PHB-Wert | DiffServ | default WLAN-Priority (per-hop behavior)| binär | dezimal | hexadezimal | dezimal | hexadezimal | (Access Category) =================================================================================================== CS0/BE | 000000 | 0 | 0x0 | 0 | 0x0 | Best Effort --------------------------------------------------------------------------------------------------- CS1 | 001000 | 8 | 0x8 | 32 | 0x20 | Background --------------------------------------------------------------------------------------------------- CS2 | 010000 | 16 | 0x10 | 64 | 0x40 | Background --------------------------------------------------------------------------------------------------- CS3 | 011000 | 24 | 0x18 | 96 | 0x60 | Best Effort --------------------------------------------------------------------------------------------------- CS4 | 100000 | 32 | 0x20 | 128 | 0x80 | Video --------------------------------------------------------------------------------------------------- CS5 | 101000 | 40 | 0x28 | 160 | 0xA0 | Video --------------------------------------------------------------------------------------------------- CS6 | 110000 | 48 | 0x30 | 192 | 0xC0 | Voice --------------------------------------------------------------------------------------------------- CS7 | 111000 | 56 | 0x38 | 224 | 0xE0 | Voice --------------------------------------------------------------------------------------------------- AF11 | 001010 | 10 | 0xA | 40 | 0x28 | Background --------------------------------------------------------------------------------------------------- AF12 | 001100 | 12 | 0xC | 48 | 0x30 | Background --------------------------------------------------------------------------------------------------- AF13 | 001110 | 14 | 0xE | 56 | 0x38 | Background --------------------------------------------------------------------------------------------------- AF21 | 010010 | 18 | 0x12 | 72 | 0x48 | Background --------------------------------------------------------------------------------------------------- AF22 | 010100 | 20 | 0x14 | 80 | 0x50 | Background --------------------------------------------------------------------------------------------------- AF23 | 010110 | 22 | 0x16 | 88 | 0x58 | Background --------------------------------------------------------------------------------------------------- AF31 | 011010 | 26 | 0x1A | 104 | 0x68 | Best Effort --------------------------------------------------------------------------------------------------- AF32 | 011100 | 28 | 0x1C | 112 | 0x70 | Best Effort --------------------------------------------------------------------------------------------------- AF33 | 011110 | 30 | 0x1E | 120 | 0x78 | Best Effort --------------------------------------------------------------------------------------------------- AF41 | 100010 | 34 | 0x22 | 136 | 0x88 | Video --------------------------------------------------------------------------------------------------- AF42 | 100100 | 36 | 0x24 | 144 | 0x90 | Video --------------------------------------------------------------------------------------------------- AF43 | 100110 | 38 | 0x26 | 152 | 0x98 | Video --------------------------------------------------------------------------------------------------- EF | 101110 | 46 | 0x2E | 184 | 0xB8 | Voice*) [sonst Video] *) Voice bei (Default-)Eintrag von 184 -> Voice unter Setup/LAN-Bridge/Priority-Mapping
ls /Setup/LAN-Bridge/Priority-Mapping Name DSCP-Value Priority --------------------------------------------------- DEFAULT 0 Best-Effort VOICE 184 Voice
Beispiel Firewall-Regel QoS für eine Unify TK-Anlage
Konfiguration | Firewall/Qos | Regeln | IPv4-Regeln | Regeln
Allgemein: QOS-HFA
Diese Regel ist für die Firewall aktiv: aktivieren
Diese Regel hält die Verbindungszustände nach: aktivieren
Priorität: 99
Quell-Tag: 0
Routing-Tag: 0
Aktion
Allgemein: QOS-EF
Aktion | Bedingung
bei DiffServ-CP: EF
Aktion | Trigger
Pro Session: aktivieren
Aktion | Paket-Aktion
Übertragen: aktivieren
QoS
Allgemein: QOS-EF-BANDBREITE
Bedingung (Regel für Versand)
bei DiffServ-CP: EF
Aktion
Fragmentierung der übrigen Pakete: 579 Bytes
Bedingung (Regel für Empfang)
bei DiffServ-CP: EF
Aktion
Reduzierung der PMTU einschalten: 579 Bytes
Bedingung (Bandbreite Reservieren)
bei DiffServ-CP: EF
Aktion
Mindestbandbreiten garantieren: 128 kbit
Pro Session: aktivieren
Erzwungen: aktivieren
Stationen
Verbindungen von allen Stationen
Verbindungen an alle Stationen
Die Fragmentierung und Reduzierung der PMTU nur einstellen, bei Verbindungen mit geringer Bandbreite (Upload oder Download Datenrate von weniger als 768 kbit/s).
Beispiel für eine QoS Regel eines VPN Clients, so das dem Client eine bestimmte Bandbreite garantiert wird.
- unter Firewall/Qos | Regeln | Hinzufügen einen Namen für die Regel vergeben
"Diese Regel ist für die Firewall aktiv" und "Diese Regel hält die Verbindungszustände ..." auswählen
- unter Aktionen | Bearbeiten
| Paket-Aktion Übertragen wählen.
- unter QoS | Hinzufügen | Mindestbandbreite garantieren denn Wert eintragen und Global wählen.
- unter Stationen
| Verbindungs-Quelle | Verbindungen von folgenden Stationen | Alle Stationen im lokalen Netzwerk und unter Verbindungs-Ziel | Verbindungen von folgenden
Stationen | die IP des VPN-Clients die ihm für das lokale Netzwerk zugewiesen wurde.
- Station und Port definieren
Konfiguration | Firewall/Qos | Regeln | Stations-Objekte... | Hinzufügen...
Allgemein
Name des Objektes: beliebiger Name
Station | Hinzufügen: IP-Adresse/Name/MAC-Adresse
Konfiguration | Firewall/Qos | Regeln | Dienst-Objekte... | Hinzufügen...
Allgemein
Name des Objektes: beliebiger Name
Dienste | Benutzerdefinierte Protokolle:
Ports: Portnummer1,Portnummer2,usw...
- TAG für Netzwerkpakete erstellen
Konfiguration | Firewall/Qos | Regeln | Aktions-Objekte... | Hinzufügen...
Allgemein
Name des Objektes: beliebiger Name
Aktion (für SIP Pakete)
für gesendete Pakete aktivieren, Logische
Paket-Aktion
Übertragen aktivieren
Markieren mit DiffServ-CP: CS 3 aktivieren
QOS testen
- iperf Server einrichten
iperf -V -s -p 5060
- iperf Client starten
iperf -V -c <Server-IP> -p 5060
Voice over IP
Manuelle Einrichtung eines LANCOM VoIP-Routers
Anlegen einer PBX-Line bei LANCOM VoIP-Routern
UDP-Aging Wert setzen
für VoIP das UDP-Timeout angleichen, beide Einstellungen sollten gleich gesetzt sein.
Lanconfig | Voice Call Manager | Leitungen | SIP-Leitungen
Erweitert | Leitungsüberwachung
Überwachungsintervall: 60 Sek. (default)
Das Überwachungsintervall muss mindestens 60 Sekunden betragen und legt fest, nach welcher Zeit die Überwachungsmethode erneut angewendet wird. Wenn die (Re-)Registrierung aktiviert ist, wird das Überwachungsintervall auch als Zeitraum bis zur nächsten Registrierung verwendet.
Setup | IP-Router | 1-N-NAT
Lanconfig | IP-Router | Maskierung
UDP-Aging: 65 Sek. (Default: 20 Sek.)
65 Sek. ist der Wert den Lancom in der NFON Konfiguration setzt. Der Wert sollte nicht zu hoch gesetzt werden, da sonst die Maskierungstabelle z.B. mit DNS Anfragen volllaufen kann, da diese zu lange in der Tabelle gehalten werden. Die Zeit sollte aber größer gesetzt werden, als die Zeit die beim Telefon für eine Neuregistrierung beim SIP-Provider gesetzt ist. Normalerweise liegt diese bei 300 Sek. Die Neuregistrierung der Telefone darf auch nicht zu klein gewählt werden, da dies der Provider ablehnt.
Bei der Telekom liegt der Wert mind. bei 120 Sek., kleinere Werte sind nicht erlaubt.
In der TK-Anlage sollte noch Keepalive für UDP konfiguriert sein, um die Ports in der Firewall offen zu halten für eingehende Gespräche. Dieser Wert sollte kleiner des UDP-Aging sein so zwischen 15-30 Sek.
- Verbindugsliste des Lancoms, Spalte Timeout beachten
repeat 5 list /Status/IP-Router/Connection-List ; # Table
SIP-ALG
SIP-ALG - SIP Application-Level Gateway
Wenn SIP-ALG genutzt werden soll, muss STUN in der Anlage oder SIP-Client deaktiviert sein. Rufnummer mit +49VorwahlRufnummer im SIP-Gerät registrieren.
SIP-ALG | SIP-ALG aktivieren: aktivieren
Fehlersuche
SIP-ALG und SIP Trace
trace + SIP-ALG SIP-ALG-Packet SIP-Packet
im LANMonitor muss unter SIP-ALG | Registrierung die Rufnummern aufgelistet werden.
All-IP Option
All-IP Überblick, All-IP Datenblatt
| Kurzüberblick | |
|---|---|
| Anzahl interner VoIP-Rufnummern | 10 (bis zu 40 mit VoIP +10 Option) |
| Anzahl interner ISDN-Rufnummern max. | 10 |
| Anzahl externer VoIP-Rufnummern max. | 16 |
| Anzahl gleichzeitiger VoIP-Verbindungen | bis zu 20 externe VoIP-Sprachkanäle, je nach Umkodierung, Echo-Unterdrückung und Last |
- Übersicht aktuell genutzte Anzahl Benutzer / Leitungen
LCOS-Menü | Status | Voice-Call-Manager
Line_Counter
User_Counter
LCOS-Menübaum | Setup | Voice-Call-Manager | User
CF-Set-Cln-Id: Calling-ID
- Anruferliste zeigen
Webinterface
Status | Voice-Call-Manager | Calls
Lanmonitor | Voice Call Manager | Anrufe | Vollständige Anruftabelle anzeigen
Einstellungen ISDN Schnittstelle
Konfiguration | Schnittsellen | WAN | Interface Einstellungen | ISDN/S0-Bus
DSS1 TE (Euro-ISDN) - externer ISDN-Anschluss PMP (Punkt-zu-Mehrpunkt), ISDN-Bus einer übergeordneten ISDN-TK-Anlage
oder einen ISDN-NTBA
DSS1 NT - interner ISDN-Anschluss, ISDN-TK-Anlagen oder ISDN-Telefone können angeschlossen werden.
"NT revese" - Takt für die nachstehende TK-Anlage auf dem Anschluss deaktivieren.
Fehlersuche ISDN Bus
- D-Channel Trace
trace # D-channel-dump
> ls /Setup/Interfaces/S0 Ifc Protocol LL-B-chan. Dial-prefix Max-in-calls Max-out-calls ----------------------------------------------------------------------------------- S0-1 NT-DSS1 none Two Two
ls /Status/ISDN/Framing/S0 Ifc State B1-Frame B2-Frame =========----------------------------------------------------- S0-1 F0 none none S0-2 G3 none none
Im NT Modus (internen ISDN S0 Bus)
State G1 = NT-Bus deaktiviert
State G2 = NT-Bus wird aktiviert/wartet auf Aktivierung
State G3 = NT-Bus aktiviert
State G4 = Deaktivierungs Anfrage erhalten
Im TE Modus (ISDN S0 Anschlusses)
State F0 = abgeschaltet, deaktiviert
State F1 = inaktiv, keine Stromversorgung
State F2 = aktiv, wartet auf "INFO 0"
State F3 = deaktiviert
State F4 = wartet auf Signal
State F5 = Signal empfangen, Synchronisierung
State F6 = Synchronisiert und fertig zum Empfang
State F7 = aktiviert
State F8 = Verlust der Frame Synchronisierung
- Benutzerdefinierte Telefoneinstellungen
Konfiguration | Voice Call Manager | Benutzer | Benutzer-Einstellungen
Eintrag aktiv: aktivieren
Interne Rufnummer: <wählen>
Benutzersteuerung über Tastatur oder DTMF erlauben
Zweitanruf unterdrücken (Busy on Busy)
Sofortige Rufweiterschaltung (CFU)
Rufweiterschaltung bei besetzt (CFB)
Verzögerte Rufweiterschaltung (CFNR)
DECT Basis anbinden
unterstützt wird zur Zeit nur die DECT-Basis Gigaset N510 IP Pro.
LANCOM DECT 510 IP: Manuelle Anbindung an einen LANCOM Router
LANCOM DECT 510 IP – Firmware update trotz Auto-Provisioning durchführen
Gigaset Wiki
Vor der Konfiguration des Lancoms, die Gigaset DECT Basis auf Werkseinstellung zurücksetzten und vom Netz trennen.
Einstellungen im LANCOM
Konfiguration | Management | Erweitert
Provisioning-Server aktivieren: aktivieren
Konfiguration | Voice Call Manager | Benutzer | DECT-Basisstation
Name: Basis1
MAC-Adresse: 00:00:00:00:00:00
Geräte Netzwerkname: N510IPPRO
Routing-Tag: 0
Konfiguration | Voice Call Manager | Benutzer | DECT-Handsets
Basisstation-Name: Basis1
Index: 0 (die nächste Handteil bekommt als Index: 1 usw.)
SIP-User: <Nummer der Nst.>
Handset-Name: Handteil-1
Display Name: Handteil-1
Voice-Mailbox:
Wenn die Konfiguration des Lancoms abgeschlossen ist, kann die Gigaset DECT Basis mit dem Netz verbunden werden.
Fehlersuche DECT Provisioning
trace + provisioning
Einstellungen Gigaset N510 IP Pro
Einstellungen | Geräte-Management | Firmware-Aktualisierung
Default
Datenserver: profile.gigaset.net/device
ändern in: http://<Lancom RouterIP>:9999/provisioning
Konfigurationsdatei (URL): http://<Lancom RouterIP>:9999/provisioning/xml/7C2F808799E1.xml
Diese Einstellungen werden normalerweise automatisch vorgenommen. Nach dem Einrichten der DECT Basis durch den Lancom, kann man im nachhinein noch die IP der DECT-Basis anpassen.
SIP-PBX hinter dem Router einrichten
Variante 1
im Router SIP-ALG aktivieren, Voice Call Manager deaktivieren und auf der PBX den SIP Account direkt einrichten
Variante 2
im Router den Voice Call Manager aktivieren, die SIP-Leitungen im Router registrieren und als SIP-Benutzer an die SIP-PBX weiterreichen
Konfiguration | Voice Call Manager | Leitungen | SIP-Leitungen
Eintrag aktiv: aktivieren
Provider-Name: <Provider-Name frei wählbar>
Anmelde-Daten
(Re-)Registrierung: aktivieren
SIP-ID/Benutzer: +49VorwahlRufnummer
Display-Name (opt.): +49VorwahlRufnummer
Authentifizier.-Name: anonymous@t-online.de
Anruf-Präfix: <leer lassen>
Interne Ziel-Nummer: <MSN der Leitung z.B. 3456>
Konfiguration | Voice Call Manager | Benutzer | SIP-Benutzer
Eintrag aktiv: aktivieren
Interne Rufnummer: <MSN der Leitung z.B. 3456>
Anmelde-Daten
Authentifizier.-Name: <MSN der Leitung z.B. 3456>
Passwort: <setzen>
Zugriff vom WAN: nur über VPN
Gerätetyp: Telefon
Msg. Waiting (MWI) über: <Provider-Name der SIP-Leitungen>
Konfiguration | Voice Call Manager | Call-Router | Call-Routen
Eintrag aktiv/Defaultroute: aktivieren
Priorität: 0
Gerufene Nummer: #
Mapping
Ziel-Nummer: #
Ziel-Leitung: <Provider-Name der SIP-Leitungen>
Filter
Rufende Nummer: <MSN der Leitung z.B. 3456>
- Beispiel Eintrag für eine Zentrale beim SIP-Trunk (Anlagenanschluss)
- - Zentrale
Eintrag aktiv/Defaultroute: aktivieren
Priorität: 0
Gerufene Nummer: +49<Vorwahl><Anlagennummer>0 - - Eintrag für die Nebenstellen
Eintrag aktiv/Defaultroute: aktivieren
Priorität: 0
Gerufene Nummer: +49<Vorwahl><Anlagennummer>#
Mapping
Ziel-Nummer: 1#
Ziel-Leitung: <Provider-Name der SIP-Leitungen>
Beim ersten Eintrag wird beim Mapping die Nebenstelle zugeordnet, beim zweiten Eintrag werden die Zielnummern 10 - 19 gesetzt.
Konfiguration | Voice Call Manager | Erweitert
Präfixe für Rufnummern-Anzeige bei eingehendem Anruf
Von Intern zum SIP-Benutzer: <leer lassen>
Von Extern zum SIP-Benutzer: <leer lassen>
Von Intern zum ISDN-Benutzer: <leer lassen>
Von Extern zum ISDN-Benutzer: <leer lassen>
- den SIP-Benutzer des Routers auf der SIP-TK-Anlage einrichten
SIP-ID/Benutzer: <MSN der Leitung z.B. 3456>
Authentifizier.-Name: <MSN der Leitung z.B. 3456>
Passwort:
<Anmelde-Daten des Lancom SIP-Benutzers>
SIP-Trunk Anschluss einrichten
Anschaltemodus SIP-Trunk Static Mode oder Registered Mode
Registered-Mode - ist für den Betrieb hinter einem NAT Router geeignet.
Static Mode - für den direkten Betrieb, der Router ist mit einer Festen IP-Adresse ausgestattet.
- bei aktivieren ClipNoScreening führende 0 entfernen, den Wert für CallingPartyNumber auf national setzen.
Mögliche Werte sind:
subscriber (Standard Wert)
unknown
national
set Setup/Voice-Call-Manager/General/ClnPartyNumType national
Voice-Call-Manager
LANCOM All-IP Option: Umwandlung einer eingehenden Rufnummer in ein anderes Format
- Ausgabe der Rufnummer des Anrufers im Format 0049<Vorwahl><Rufnummer>
set /Setup/Voice-Call-Manager/Users/SIP-User/Extern-Cln-Prefix "00" cd /Setup/Voice-Call-Manager/Call-Router/Call-Routing/ tab Calling-Id del "0049#"
- Ausgabe der Rufnummer des Anrufers im Format <Vorwahl mit führender 0><Rufnummer>
set /Setup/Voice-Call-Manager/Users/SIP-User/Extern-Cln-Prefix "" cd /Setup/Voice-Call-Manager/Call-Router/Call-Routing/ tab Called-Id Calling-Id Src-Line Dest-Calling-Id Dest-Id-1 Dest-Line-1 Prio Active Comment add "#" "0049#" "LINE.#" "0#" "#" "RESTART" 1 Yes "Internationale Vorwahl entfernen"
- Muster-Script Call-Routing Vorlage für 3 MSN bestimmte Felder müssen dem Bedarf angepasst werden
<VW> - OrtsVorwahl ohne führende 0
<MSN1>, <MSN2>, <MSN3> - Rufnummer des Anschlusses ohne OrtsVorwahl
lang English flash No cd /Setup/Voice-Call-Manager/Call-Router/Call-Routing/ tab Called-Id Calling-Id Src-Line Dest-Calling-Id Dest-Id-1 Dest-Line-1 Prio Active Comment add "**#" "" "USER.#" "" "#" "RESTART" 2 Yes "Escape-Zeichen '**' bei lokalem Ruf" add "0010#" "" "USER.#" "" "010#" "TCOM-MSN1" 2 Yes "Preselection" add "010#" "" "USER.#" "" "010#" "TCOM-MSN1" 2 Yes "Preselection" add "011#" "" "USER.#" "" "11#" "TCOM-MSN1" 2 Yes "Notruf bei Amtsholung" add "11#" "" "USER.#" "" "11#" "TCOM-MSN1" 2 Yes "Notruf" add "#" "" "USER.#" "" "0#" "RESTART" 2 Yes "Benutzer startet normalen externen Ruf" add "#" "0049<VW>#" "LINE.#" "#" "#" "RESTART" 1 Yes "Vorwahl entfernen" add "#" "0049#" "LINE.#" "0#" "#" "RESTART" 1 Yes "Internationale Vorwahl entfernen" add "#" "0<VW>#" "LINE.#" "#" "#" "RESTART" 1 Yes "Ortsvorwahl entfernen" add "00049#" "" "" "" "00#" "RESTART" 0 Yes "Eigene Landesvorwahl entfernen" add "00<VW>#" "" "" "" "0#" "RESTART" 0 Yes "Eigene Ortsvorwahl entfernen" add "000#" "<MSN1>" "" "" "00#" "TCOM-MSN1" 0 Yes "Auslandsgespraech" add "000#" "<MSN2>" "" "" "00#" "TCOM-MSN2" 0 Yes "Auslandsgespraech" add "000#" "<MSN3>" "" "" "00#" "TCOM-MSN3" 0 Yes "Auslandsgespraech" add "00#" "<MSN1>" "" "" "0#" "TCOM-MSN1" 0 Yes "Inlandsgespraech" add "00#" "<MSN2>" "" "" "0#" "TCOM-MSN2" 0 Yes "Inlandsgespraech" add "00#" "<MSN3>" "" "" "0#" "TCOM-MSN3" 0 Yes "Inlandsgespraech" add "0#" "<MSN1>" "" "" "#" "TCOM-MSN1" 0 Yes "Ortsgespraech" add "0#" "<MSN2>" "" "" "#" "TCOM-MSN2" 0 Yes "Ortsgespraech" add "0#" "<MSN3>" "" "" "#" "TCOM-MSN3" 0 Yes "Ortsgespraech" cd / flash Yes # done exit
VoIP Fehlersuche
Strict-Mode- Wird der Strict-Mode aktiviert, werden eingehende SIP-Nachrichten nur von der IP-Adresse akzeptiert, bei dem die Leitung registriert wurde.
Hinweis: Beachten Sie, dass nur die Einstellung "Nein" eine hohe Kompatibilität sicherstellt. Sollte der VoIP-Provider Rufe von Servern/IP-Adressen signalisieren, die nicht dem Registrar entsprechen, werden eingehende Rufe nicht an den internen Teilnehmer signalisiert. Wenn der VoIP Provider mehrere SIP Server betreibt, kann es zu Problemen kommen wenn die kommenden Rufe mal von einem, mal von einer anderen IP-Adresse kommen. Bei aktivieren Strict-Mode werden die Rufe nicht angenommen.
set /Setup/Voice-Call-Manager/Lines/SIP-Provider/Line/<Name-der-SIP-Verbindung>/Strict-Mode 0
- "Convenience Feature" automatische Anmeldung von SIP-Benutzern aktivieren (yes) oder deaktivieren (no) Default-Wert: Nein
set /Setup/Voice-Call-Manager/General/VCM-DNS-Resolve No
- ein VDSL Trace zeigt alle Pakete die über die DSL Leitung gehen, als Filter -Telnet/SSL +SIP eintragen. 2te Beispiel bei Telekom Anschlüssen
trace # VDSL-DATA trace # VDSL-DATA @ 217.0.27.68
- All-IP Option Fehlersuche
trace # Callmanager trace # dns trace # sip-packet trace # d-channel-dump
- Verbindugsliste des Lancoms, Spalte Timeout beachten
repeat 5 list /Status/IP-Router/Connection-List ; # Table
- VoiceCallManager DNS Auflösungen ausgeben
trace # VCM-DNS
show vcm-dns-cache
unter Windows Kommandozeile
# nslookup -type=srv _sip._udp.tel.t-online.de 217.237.151.51
Server: b-lb-a01.isp.t-ipnet.de
Address: 217.237.151.51
Nicht autorisierende Antwort:
_sip._udp.tel.t-online.de SRV service location:
priority = 1
weight = 5
port = 5060
svr hostname = f-epp-002.isp.t-ipnet.de
_sip._udp.tel.t-online.de SRV service location:
priority = 0
weight = 5
port = 5060
svr hostname = b-epp-002.isp.t-ipnet.de
Befehle
Befehle für die Konsole
Befehle für die Kommandozeile
Hilfe kann man sich in der Telnet oder SSH Sitzung mit help anzeigen lassen
ls zeigt "Verzeichnisse" und Listen (Tabellen) an
mit cd wechselt man zwischen den Verzeichnissen.
- Sprache auf Deutsch setzen
la deutsch
- Router neu Booten lassen
Langform
do /other/boot-system
Kurzform
do /o/boo
- Reseten des Routers über Telnet, Einstellungen werden zurückgesetzt auf Werkseinstellung
do /o/res
| Befehl | Beschreibung |
|---|---|
| help | mögliche Befehle anzeigen |
| show ? | Hilfe zum Befehl show anzeigen |
| do <Parameter> | ausführen |
| trace +|-|#|? <Parameter> @ -|+ IP|Name|"Port: XX"|Protokoll | Trace starten an|aus|umschalten|Status |
| cd | Verzeichniswechsel |
| list oder ls | anzeigen |
| readscript -i -c | Konfigurationsscript erstellen, mit Tabellen-Felder (-i) und Kommentaren (-c) |
| readconfig | Konnfiguration anzeigen |
| readstatus | |
| sysinfo | Systeminformationen anzeigen |
| show bootlog | Bootlog Protokoll anzeigen |
| deletebootlog | Bootlog Protokoll löschen |
| ll2mdetect | auf Layer2 Ebene, im LAN verfügbare Lancom Geräte anzeigen |
| ll2mexec -i LAN-1 root:passwort@00:a0:57:xx:yy:zz | Verbindung zu einem Gerät aufbauen |
| who | aktive Sitzungen |
| bootconfig -s [1,2, all] | savecurrent - aktuelle Konfiguration im angegebenen Boot-Speicherplatz speichern, mit all wird die Konfiguration auf beiden Boot-Speicherplätzen hinterlegt |
| bootconfig -r [1,2, all] | remove - entsprechenden Ziffer wird zu löschende Boot-Speicherplatz ausgewählt, mit all werden gleichzeitig beide Speicherplätze gelöscht |
| do /other/boot | Router neu starten (/Other/Boot-System - Warmstart) |
| do /other/cold | Router neu starten (/Other/Cold-Boot - Kaltstart) |
| do /other/m/d INTERNET | Internet Verbindung neu starten (/Other/Manual-Dialing/Disconnect ...) |
| do /other/reset | Router auf Werkseinstellung zurücksetzen |
| flash no | Änderungen werden nicht permanent übernommen, sondern nur im RAM vorgehalten. Nach einem Neustart gehen diese verloren. |
| flash yes | Änderungen werden in den Flash-Speicher des Gerätes geschrieben |
| Netzwerk | |
| show ipv4-route | IPv4 Route anzeigen |
| show ip-addresses | IPv4 Adressen |
| show ip-interfaces | IPv4 Interface |
| show ipv6-route | IPv4 Route anzeigen |
| show ipv6-addresses | IPv4 Adressen |
| show ipv6-interfaces | IPv4 Interface |
| ping xxx.xxx.xxx.xxx | |
| ping -r xxx.xxx.xxx.xxx | Traceroute |
| SSH KeyManagement | |
| show script | Scripte anzeigen |
| show sshkeys | SSH Schlüssel anzeigen |
| Beispiele | |
|---|---|
| ping [-fnqr] [-s n] [-i n] [-c n] [-a a.b.c.d|INT|DMZ|LBx] Ziel-Host | |
| -a | a.b.c.d Setzt die Absenderadresse des Pings (Standard: IP-Adresse des Routers) |
| -a INT | Setzt die Intranet-Adresse des Routers als Absenderadresse |
| -a DMZ | Setzt die DMZ-Adresse des Routers als Absenderadresse |
| -a LBx | Setzt eine der 16 im Lancom Loopback-Adressen als Absenderadresse. Gültige Werte für x sind die Hexadezimalen Werte 0-f |
| -a Interface | Setzt die IP-Adresse des jeweiligen Interfaces als Absenderadresse |
| -f flood ping | Sendet große Anzahl von Ping-Signalen in kurzer Zeit. Kann z.B. zum Testen der Netzwerkbandbreite genutzt werden. ACHTUNG: flood ping kann leicht als DoS Angriff fehlinterpretiert werden. |
| -n | Liefert den Computernamen zu einer eingegebenen IP-Adresse zurück |
| -q | Ping-Kommando liefert keine Ausgaben auf der Konsole |
| -r | Wechselt in Traceroute-Modus: Der Weg der Datenpakete zum Zielcomputer wird mit allen Zwischenstationen angezeigt |
| -s n | Setze Größe der Pakete auf n Byte (max. 1472) |
| -i n | Zeit zwischen den einzelnen Paketen in Sekunden |
| -c n | Sende n Ping-Signale |
- individuellen SSHKey erstellen
Script Datei sshkeygen.lcs mit folgenden Inhalt erstellen, unter LANconfig den Router markieren, dann auf Konfigurations-Verwaltung, aus Script-Datei wiederherstellen wählen.
# Script (sshkeygen 9.10) sshkeygen -q -t rsa -b 2048 -f ssh_rsakey sshkeygen -q -t dsa -b 1024 -f ssh_dsakey sshkeygen -q -t ecdsa -b 256 -f ssh_ecdsakey sshkeygen -q -t rsa -b 2048 -f ssl_privkey # done exit
Aktion ausführen
Firewall Ereignisse /Status/IP-Router/Log-Table
Firewallereignisse löschen
do /st/ip-/del
Accountinformationen löschen
do /setup/accounting/Delete-Accounting-List
mögliche kurzform um Accountinfos zu löschen
do /set/acc/delete
man kann sich die Liste der möglichen Befehle mit ls anzeigen lassen. z.B. ls /set/acc/, wenn dort in der zweiten Spalte ACTION: steht, kann man diese Befehle mit do ausführen.
Fehlersuche
Trace Parameter
+ aktivieren
- deaktiveren
# ändern, wenn aktiv wird es deaktiviert
? Hilfe
Die Trace-Filter unterscheiden nicht zwischen Groß- und Kleinschreibung. Zusätzlich zum Leerzeichen, können auch + oder - Operatoren angegeben werden.
| Operator | Beschreibung |
|---|---|
| Leerzeichen | eines der Kriterien muss erfüllt sein, logische ODER Verknüpfung |
| + | beide Kriterien müssen erfüllt sein, logische UND Verknüpfung |
| - | Kriterien dürfen nicht erfüllt sein, logische NICHT Verknüpfung |
| Beispiele | |
| " 192.168.2.5," " 192.168.2.20," | der Trace wird über beide IP-Adressen erstellt |
| -192.168.1.100 | die angegebene IP-Adresse wird nicht berücksichtigt |
| 192.168.1.1 +TCP | |
IP-Adresse
DNS Name
Protokoll
Port
KB Trace Filter
Trace - Funktion
VPN-Trace im Detail
Trace Level setzen, (x) Zahl von 1 bis 255
set/setup/lan/trace-level x
Fehlersuche bei Problemen, Packete der IP 192.168.1.1 werden angezeigt und Packete des Server1 werden ausgefiltert, TCP wird angezeigt, HTTP (Port 80) Verkehr nicht.
trace + firewall @ 192.168.1.1 +TCP -"Port: 80"
IP-Router Pakete, keine vom Netzwerk 192.168.20.0/24, keine HTTP Pakete.
trace + ip-router @ -192.168.20 +TCP -"Port: 80"
IP-Router Pakete, SMTP Pakete überwachen, alle TCP Pakete entweder Port 25 oder Port 587.
trace + ip-router @ '+TCP "Port: 25" "Port: 587"'
IP-Router Pakete, Angabe einer Gegenstelle
trace + ip-router @ INTERNET +"echo reply"
Loadbalacer Verbindungen
trace + Load-Balancer
PPP Verbindungsaufbau / abbau, Status KB Artikel dazu.
trace # ppp dis
ADSL Trace
trace # adsl
VPN Verbindungsaufbau testen
trace # vpn-st displ
VPN Verbindungen kontrollieren
trace + vpn-status
VPN Einstellungen anzeigen
show vpn show VPN rules show VPN interfaces
Protokollierung stoppen
trace - all
Speicherverbrauch anzeigen
show mem
Speicherinhalt ausgeben, zum umleiten in eine Datei
show heap -v
Verbindungen überwachen
- ICMP Polling aktivieren - angegebene/n IP-Adressen werden von der Internet-Verbindung auf Erreichbarkeit geprüft.
Lanconfig | Kommunikation | Protokolle | Polling-Tabelle
Gegenstelle: <Name der Gegenstelle wählen>
IP-Adresse: <Intranet IP der Gegenstelle>
/Setup/WAN/Polling-Table/
Infos anzeigen
- aktuellen Bandbreitenverbrauch nach IP-Adressen
ls Status/Accounting/Current-User/
- alle aktuelle Verbindungen des Routers
repeat 5 list /Status/IP-Router/Connection-List ; # Table
- DNS Hitliste anzeigen
repeat 5 list /Status/TCP-IP/DNS/Hit-List
- DNS HitListe löschen
do /Status/TCP-IP/DNS/Delete-Values
- Lancom Benutzung Internet der User anzeigen, als erstes wird das "Accounting" aktiviert.
Konfiguration | Management | Kosten
Accounting-Informationen sammeln
set /Setup/Accounting/operating yes
ls /Status/Accounting/Current-User/
Gesamte Liste anzeigen
ls /Status/Accounting/Accounting-List/
- ARP-Tabelle anzeigen
list /Status/TCP-IP/ARP/Table-ARP
- Verbindungen der Intranet Rechner zum Router
list /Status/IP-Router/Establish-Table
- zeigt die DNS Statistic des Routers an.
repeat 5 list /Status/TCP-IP/DNS/Hit-List
- Aktionstabelle anzeigen, Kommunikation | Allgemein | Aktions-Tabelle
list /Setup/WAN/Action-Table
list /Status/WAN/Actions/Action-Table
- Liste der DHCP Clients des Intranet
ls /Setup/DHCP/DHCP-Table
- ADSL/VDSL Verbindungsstatistik
ls /Status/Adsl/Connection
ls /Status/VDSL/Connection
aktuellen Status der DSL Modem Verbindung
repeat 5 list /Status/VDSL/Line-State
- Syslog, meldungen anzeigen/löschen
WEBconfig | Status | TCP-IP | Syslog | Letzte-Meldungen
WEBconfig | Status | TCP-IP | Syslog | Werte-loeschen
das gleiche per SSH
list /Status/TCP-IP/Syslog/Last-Messages
-Firmware verwalten
WEBconfig | Firmware | Tabelle-Firmsafe
ls /firmware/table-firmsafe Position Status Version Date Size Index --------------------------------------------------------------------------- 1 inactive 9.04.0184RU4 23032015 5900 3 2 active 9.10.0333Rel 14072015 6683 4 3 <loader> 4.06.0001Rel 10032015 185 0
Mit delete 1 kann der Eintrag unter Position 1 gelöscht werden.
IPv4 Verbindungsstatus
- Dynamische öffentliche IP-Adresse des LANCOM Routers auslesen
ls /Status/PPP/Rx-Options/IPCP Ifc IP-Address DNS-Default DNS-Backup NBNS-Default NBNS-Backup ===========----------------------------------------------------------------------------------- VDSL-1 217.111.222.333 217.237.149.205 217.237.151.51 0.0.0.0 0.0.0.0
- Dynamische öffentliche IP-Adresse des LANCOM Routers hinter einem KabelModem o.ä. auslesen
ls /Status/DHCP-Client/WAN-IP-List Ifc IP-Address IP-Netmask Gateway DNS-Default DNS-Backup DHCP-server ---------------------------------------------------------------------------------------------- DSL-CH-1 11.22.33.44 255.255.254.0 11.22.33.1 217.68.161.141 217.68.161.171 172.20.3.10
- Anzahl Verbindungen/Verbindungszeit
ls /Status/Connection/
IPv6
ls /Status/IPv6/Prefix/
ls /Status/IPv6/Addresses/
angelegte VPN Verbindungen anzeigen
show vpn
VPN, zeigt die "Security Policy Definitions" an
show vpn spd
VPN, Informationen über die ausgehandelten "Security Associations" (SAs)
show vpn sadb
- Infos zur WLAN Verbindung anzeigen, Sendeleistung, verbundene Clients
show wlan
Parameter ändern
Firewall Regel "HTTP-TAG1" aktivieren
set /Setup/IP-Router/Firewall/Rules/HTTP-TAG1 * * * * * * yes
oder
set /Setup/IP-Router/Firewall/Rules/HTTP-TAG1 {firewall-rule} yes
oder Kurzform
set /Setup/IP-Router/Firewall/Rules/HTTP-TAG1 {fire} yes
sonstiges Befehle
WLAN peer Batch aktivieren/deaktivieren
@echo off if "%1"=="" goto help :weiter tftp <Router-IP> GET %1"set /Setup/Interfaces/WLAN/Operational/WLAN-1 yes" goto end :help echo. echo Befehl [Router-Passwort] echo. goto end :end
- zu deaktivieren folgenden Befehl verwenden
tftp <Router-IP> GET %1"set /Setup/Interfaces/WLAN/Operational/WLAN-1 no"
Firewall Regel per Batch aktivieren/deaktivieren
Firewall Regel "HTTP-TAG1" deaktivieren
!!! Unterstriche im Namen der Firewall Regel machen Probleme bei der Übertragung mit TFTP, die Regel wird nicht gefunden, da die Unterstriche nicht mit übertragen werden. !!!
tftp 192.168.20.254 GET %1"set /Setup/IP-Router/Firewall/Rules/HTTP-TAG1 * * * * * * no"
oder
tftp 192.168.20.254 GET %1"set /Setup/IP-Router/Firewall/Rules/HTTP-TAG1 {fire} no"
eMail Versand von Meldungen
Benachrichtigung bei Verbindungsabbruch
Vorraussetzung für den eMail Versand der Meldungen
- Grundeinstellung eMail Versand
Lanconfig | Meldungen | SMTP-Konto
SMTP-Server: <IP oder Name des Mail-Server>
SMTP-Port: 25
Absende-E-Mail Adresse: <eMail@domain.tld>
Benutzername:
Passwort:
Lanconfig | Meldungen | SMTP-Optionen
POP3-Server:
POP3-Port: 110
Mail-Puffer: 100
Wieder senden nach: 30
Mail-Haltezeit: 72
unter Meldungen | SMTP-Optionen | POP3-Server kein Eintrag vornehmen, sonst wird keine SMTP-Authentifizierung durchgeführt, sondern SMTP-after-POP3.
- Zeitserver aktivieren
Lanconfig | Datum-Zeit | Synchronisierung: Regelmäßig mit einem Zeit-Server (NTP) syncronisieren
Zeit-Server: <festlegen>
Testen des eMail Versands
- per SSH/Telnet von der Konsole des Routers
testmail <ABSENDER> <EMPFÄNGER> <AbsenderName> <Betreffzeile> <Haupttext>
Aktionen festlegen
- eMailbenachrichtigung bei Verbindungsabbruch
Lanconfig | Kommunikation | Allgemein | Aktions-Tabelle
Name: VPN_DOWN
Gegenstelle: VPN-VERBINDUNG
Sperrzeit: 60
Verbindungs-Ereignis: Abbruch
Aktion: mailto:user@domain.tld?subject=Router %n VPN zur Gegenstelle %c wurde unterbrochen?body=Am %t wurde die VPN Verbindung zur Gegenstelle %c unterbrochen.
- eMailbenachrichtigung bei IP Wechsel
Lanconfig | Kommunikation | Allgemein | Aktions-Tabelle
Name: Verbindungsaufbau
Gegenstelle: <Gegenstelle wählen>
Sperrzeit: 0
Verbindungs-Ereignis: Aufbau
Aktion: mailto:user@domain.tld??subject=Router %n Internet-Verbindung wurde aufgebaut?body=Am %t wurde die Internet-Verbindung aufgebaut. IPv4-Adresse: %a und IPv6-Adresse %z
Benachrichtigung bei Provider 24h Zwangstrennung vermeiden
Lanconfig | Datum-Zeit | Allgemein | Cron-Tabelle
<< Script >>
# Index Active Base Variation Minute Hour DayOfWeek Day Month Command Owner # ------------------------------------------------------------------------- tab 1 9 8 11 2 3 4 5 6 7 10 add 1 0 0 0 "0" "3" "" "" "" "do /o/m/d internet" "root" add 2 0 0 0 "57" "2" "" "" "" "set /setup/wan/action-table/5 no" "root" add 4 0 0 0 "3" "3" "" "" "" "set /setup/wan/action-table/5 yes" "root"
Index 1 um 3 Uhr wird die Verbindung "Internet" getrennt. (do /o/m/d internet)
Index 2 um 2:57 Uhr wird der Eintrag mit dem Index 5 der Action-Table deaktiviert (set /setup/wan/action-table/5 no)
Index 5 um 3:03 Uhr wird der Eintrag mit dem Index 6 der Action-Table wieder auf aktiv gesetzt (set /setup/wan/action-table/6 yes)
Index der Action-Table kann man unter SSH oder Telnet mit ls /setup/wan/action-table abfragen.
Variablen
| Variable | Bedeutung |
|---|---|
| %a | WAN-IPv4-Adresse |
| %z | WAN-IPv6-Adresse |
| %x | IPv6 delegierte Prefix des LANs (ab 10.12) |
| %H | Hostname der WAN-Verbindung, in deren Kontext diese Aktion erfolgt. |
| %h | wie %H, nur Hostname in Kleinbuchstaben. |
| %c | Verbindungsname, Gegenstellenname |
| %e | Bezeichnung des Fehlers, der bei einem nicht erfolgreichen Verbindungsaufbau gemeldet wurde. |
| %m | MAC-Adresse des Gerätes |
| %n | Name des Gerätes |
| %s | Seriennummer des Gerätes |
| %t | Datum Uhrzeit |
WLAN peer CronJob steuern
WLAN von Freitag - Sonntag 15 bis 20 Uhr aktivieren
add 2 0 0 0 "0" "15" "0,5-6" "" "" "set /Setup/Interfaces/WLAN/Operational/WLAN-1 yes" "root" add 3 0 0 0 "0" "20" "0,5-6" "" "" "set /Setup/Interfaces/WLAN/Operational/WLAN-1 no" "root"
Scripte
Grundgerüst für Lancom .lcs Scripte
lang English flash No cd /Setup/<Path zum Eintrag> del * .... cd / flash Yes # done exit
Wenn im Scripte kein "flash Yes" gesetzt ist, läuft der Router erst mal im TestModus, die Änderungen gehen nach einem Neustart verloren. Man kann nachträglich auf der Konsole ein "flash yes" ausführen, wenn die Konfiguration in Ordnung ist.
- Anzeige vom TestModus auf der Konsole
[Test]root@routername
- per Script Einträge einer Tabelle hinzufügen: Die Namen der Spalten in denen Einträge hinzugefügt werden sollen, müssen vorher mit dem Befehl tab definiert werden. Mit add werden die Werte in den Spalten der Tabelle gesetzt, die vorher benannt wurden. Auf die Reihenfolge der Werte ist zu achten.
lang English flash No cd /Setup/Voice-Call-Manager/Call-Router/Call-Routing/ tab Called-Id Calling-Id Src-Line Dest-Calling-Id Dest-Id-1 Dest-Line-1 Prio Active Comment add "#" "0049#" "LINE.#" "0#" "#" "RESTART" 1 Yes "Internationale Vorwahl entfernen" cd / flash Yes # done exit
- per Script Spalte einer Tabelle löschen: mit tab einen eindeutigen Wert der Tabelle wählen, diesen dann mit del löschen, dabei wird die ganze Tabellenspalte gelöscht.
lang English flash No cd /Setup/Voice-Call-Manager/Call-Router/Call-Routing/ tab Calling-Id del "0049#" cd / flash Yes # done exit
sonstiges / FAQs
- Putty als SSH und Telnet Client in Lanconfig einbinden
"C:\Program Files\PuTTY\PUTTY.EXE" -P %s -ssh root@%a
"C:\Program Files\PuTTY\PUTTY.EXE" -P 6023 -telnet %a
%a - IP-Adresse des Routers
%s - Port der in Lanconfig vorkonfiguriert wurde
Router unter Management | Admin | Einstellungen
- automatisches Trennen aktivieren
Lanconfig | Datum/Zeit | Allgemein | Cron-Tabelle einen neuen Job anlegen
Echtzeit wählen
Minuten: 0
Stunden: 23
Wochentage: 0-6
Befehle: do /o/m/d
dieser Cron-Job trennt alle Verbindungen (do /o/m/d) um 23:00Uhr an allen Wochentagen.
Lanconfig | Datum/Zeit | Syncronisierung
Regelmäßig mit den Zeit-Server (NTP) syncronisieren: aktivieren
unter NTP-Einstellungen einen oder mehrere Zeit-Server auswählen.
DNS
Bei Problemen mit der DNS-Auflösung, prüfen ob folgender Eintrag vorhanden ist und gegebenenfalls löschen.
TCP-IP | DNS | Weiterleitungen
Domäne: *
Gegenstelle: <IP oder Gegenstellenname>
oder
Domäne: ?*
Gegenstelle: 192.168.20.254
Es können auch zwei IP-Adressen als primärer und sekundärer DNS-Server für die weiterzuleitende Domäne eingegeben werden. Wenn zwei IP-Adressen eingegeben werden, dann müssen sie durch ein Leerzeichen voneinander getrennt sein.
Domäne: *.*
Gegenstelle: 192.168.20.254 8.8.8.8
iPerf
ab LCOS9.20 - iPerf2 Server aktivieren, dient zur Bandbreitenmessung zwischen Router und Client
Lanconfig | Meldungen | Allgemein | iPerf-Einstellungen
iPerf-Server-Daemon aktivieren: aktivieren
- Messung auf dem Client starten
iperf2 -c <Lancom Router IP> -w256k -t10
- iPerf per SSH auf dem Router temporär aktivieren, im TCP-Modus
/Setup/Iperf/Server-Daemon iperf -s
iPerf Server im UDP-Modus
iperf -s -u
iPerf Client im UDP-Modus
iperf -u -c <Lancom Router IP>
per SSH iPerf letzte Messung anzeigen
/Status/Iperf/Last-Results
Konfiguration der LEDs anpassen
/Setup/Config/Admin-Gender : unknown (0), male (1), female (2), Geek (3)
Geek - Auslastung des Routers mithilfe der LEDs anzeigen