Die Zusammenstellung von Texten und Abbildungen für das Manual erfolgte mit größter Sorgfalt. Dennoch können Fehler nicht vollständig ausgeschlossen werden.
Der Herausgeber übernimmt für fehlerhafte Angaben und deren Folgen keinerlei Haftung.
Änderungen an der Dokumentation und den darin beschriebenen Produkten bleiben jederzeit und ohne vorherige Ankündigung vorbehalten.
Als Ansprechpartner bei Problemen oder Fragen zu dieser Dokumentation steht Ihnen das TDT Expert Support Team gerne zur Verfügung.
TDT AG
Siemensstraße 18
84051 Essenbach
Tel.: +49 (8703) 929-00
Fax: +49 (8703) 929-201
Web: www.tdt.de
Email: support@tdt.de
© 2026 TDT AG – Stefan Haunreiter
Viel Spaß und Erfolg wünscht Ihnen
Ihr TDT Team
Diese Dokumentation enthält Hinweise, die zur persönlichen Sicherheit der Benutzer sowie zur Vermeidung von Schäden des VR2020-D oder anderweitigen Sachschäden eingehalten werden müssen.
Im Rahmen laufender Sicherheitsprüfungen ist TDT stets bestrebt, seine Produkte so sicher wie möglich zu machen und legt sowohl während der Entwicklung, als auch bei den regelmäßigen Firmware Updates höchsten Wert auf die Einhaltung aktueller Sicherheits- und Qualitätsstandards.
Der VPN-Router – VR2020-D mit VDSL/ADSL – wird nach höchsten Qualitätsstandards gefertigt und eignet sich durch seine hohe Flexibilität sowohl hervorragend zum Aufbau sicherer Filialnetze als auch zur Anbindung mobiler Außenstellen.
High-Speed Internetzugang mit extrem hoher Ausfallsicherheit erreicht der VR2020-D durch das intelligente Backup-Management.
Damit der Router an allen modernen xDSL-Anschlüssen, einschließlich
All-IP betrieben werden kann, besitzt der VR2020-D ein integriertes
DSL-Modem, das die Standards ADSL/2/2+ und VDSL/VDSL2 sowie
VDSL2-Vectoring unterstützt.
Der Ethernet-WAN-Port erlaubt sowohl die Realisierung beliebiger
Gateway-Verbindungen als auch den Anschluss externer Modems (z.B. SDSL,
Kabel, FTTH).
Via permanent aufgebautem VPN-Tunnel lässt sich ein VR2020-D Router problemlos in ein Filialnetz ein-, oder an eine Zentrale anbinden und ist so mittels privater IP-Adressierung direkt erreichbar. DynDNS ist in diesem Fall für den Zugriff nicht erforderlich, lässt sich aber jederzeit einrichten.
Für höchste Sicherheit bei der Datenübertragung sorgen die voll implementierten VPN-Standards IPsec und OpenVPN. Die Authentifizierung erfolgt wahlweise durch hinterlegte Zertifikate oder Pre-Shared Keys. Dabei unterstützt der VPN-Router alle modernen Verschlüsselungsalgorithmen wie AES mit bis zu 256 Bit Schlüssellänge.
In Punkto Sicherheit ist zudem das integrierte Trusted Platform
Module (TPM) besonders hervorzuheben, das zum sicheren Speichern von
geheimen Schlüsseln verwendet wird. Kryptographische Schlüssel können
mit Unterstützung des integrierten und sicheren Zufallsgenerators (RNG)
innerhalb des TPM erzeugt, benutzt und sicher abgelegt werden.
Das Trusted Platform Module bietet dabei sowohl Schutz vor
Softwareangriffen als auch Hardwaremanipulationen.
Zum Schutz Ihres Netzwerkes vor Angriffen steht Ihnen eine konfigurierbare High-Security Firewall zur Verfügung. Diese lässt sich durch Regeln und Skripte einfach an Ihre individuellen Anforderungen anpassen.
Komfortabel lässt sich der VPN-Router – sowohl lokal als auch aus der Ferne – über das intuitive Webinterface konfigurieren. Experten können den VR2020-D auch per Command Line (SSH) verwalten.
Für den Einsatz in Filialnetzen bietet sich die automatisierte Fernkonfiguration/-wartung per TDT ACS – einen Auto-Configuration-Server nach dem TR-069-Standard – sowie die Überwachung über ein Netzwerk-Management-System wie zum Beispiel Check_MK an.
Hardwarespezifikationen Basissystem
xDSL-Modul
Technische Daten
Router-Features
Sicherheitsfeatures
High-Availability-Features
Managementfeatures
Hiermit erklärt TDT, dass der Telekommunikationsendeinrichtungstyp VR2020-D der Richtlinie 2014/35/EU entspricht.
Der vollständige Text der EU-Konformitätserklärung ist unter der folgenden Internetadresse verfügbar: download.tdt.de
Im Lieferumfang des VR2020-D sind folgende Zubehörteile enthalten:
Auf der Vorderseite des VR2020-D befinden sich von links nach rechts:
Der SIM-Karten-Slot SIM1
Die Status LEDs:
LAN für den Linkstatus der LAN-PortsWAN für den Linkstatus des WAN-PortsVPN für den Status einer VPN-VerbindungCellular für den Mobilfunk-Verbindungsstatus (nicht
belegt bei VR2020-D)Signal für den Mobilfunk-Signalpegel (nicht belegt
bei VR2020-D)Der Mikro-USB-Konsolenport mit integriertem USB-to-Serial-Adapter
Eine Alarm-LED zur Anzeige wichtiger/kritischer
Events
xDSL-LED für den Status der DSL-Verbindung
Die Power-LED als Indikator für eine bestehende
Spannungsversorgung
Und der Reset-Taster
| LAN | |
|---|---|
| aus | Kein Link an einem der LAN-Ports vorhanden. |
| an | Mindestens ein LAN Port hat einen Link. |
| flackernd | Datentransfer an mindestens einem LAN-Port. |
| WAN | |
|---|---|
| aus | Kein Link am WAN-Ports vorhanden. |
| an | Der LAN Port hat einen aktiven Link. |
| flackernd | Datentransfer am WAN-Port. |
| xDSL | |
|---|---|
| aus | Nicht Synchron/keine Pilottöne. |
| blinkend | Synch-Aushandlung/Trainingsphase. |
| an | Die xDSL-Schnittstelle ist erfolgreich synchronisiert. |
| flackernd | Datentransfer über xDSL. |
| Power | |
|---|---|
| aus | Router nicht mit der Spannungsversorgung verbunden. |
| an | Spannung liegt an. |
| Dauer | Aktion |
|---|---|
| kurz drücken (<1 Sekunde): | Startet den Router neu. |
| lang drücken (>5 Sekunden): | Versetzt das Gerät in den Auslieferungszustand zurück. |
| Anschluss | Beschreibung |
|---|---|
| xDSL | RJ45/RJ48s Anschluss für die Verbindung zwischen TAE-Dose und Router. |
| WAN | 10/100/1000BaseT Schnittstelle
RJ45/RJ48s. Diese verfügt über eine automatische Erkennung der Geschwindigkeit, sowie des Kabeltyps (1:1 oder gekreuzt). |
| Serial | Optionale Serielle-Schnittstelle in Form einer Klemmleiste (dreipolig Rx, Tx, GND). |
| LAN 1-4 | 10/100BaseT 4-Port Switch. Die Ports verfügen über eigene MAC-Adressen, sind Auto-Sensing-fähig und können bei Bedarf virtuell separiert werden. |
| USB (2x) | Per Default deaktiviert. Die USB-Ports sind für zukünftige Anwendungen vorgesehen (z.B. für externes Logging, USV Verwaltung). |
| Power | Weitbereichsspannungseingang 9V..30V DC mit Hohlstecker. Optional auch als Klemmleiste bestellbar. |
Unser Team vom TDT Expert Support unterstützt Sie bei Fragen rund um die Konfiguration Ihres Geräts und hilft Ihnen bei der Analyse und Behebung von Problemen gerne weiter.
Die Support-Hotline erreichen Sie montags bis freitags von 08:00 bis 18:00 Uhr telefonisch* unter
+49 8703 929-112
oder jederzeit per E-Mail an
Um Ihnen optimal helfen zu können, bitten wir Sie, uns bei
Supportanfragen immer die über die Seite
Hilfe > TDT-Support erstellten
Supportinformationen** mitzusenden.
* Ausgenommen bundeseinheitliche Feiertage
** Die Supportdaten enthalten keine vertraulichen Daten wie etwa Passwörter oder PIN-Codes.
Achtung
Die Transportverpackung vorsichtig öffnen.
Router entnehmen. Dazu die Kartonlaschen nach oben klappen und das Gerät unter der Folie herausziehen.
Anschließen der nötigen Kabel am Router (siehe Übersicht der Anschlüsse), zum Beispiel:
Den Router erst jetzt mit der Spannungsversorgung verbinden.
Sobald der Startvorgang vollständig abgeschlossen ist, kann der Router über IP erreicht werden.
Achtung
Der VR2020-D hat im »Factory-Default« die IP-Adresse
192.168.0.50 inne, der Benutzer ist root. Das
Passwort wird im Produktionsprozess für jeden Router individuell
generiert und auf das Typenschild aufgedruckt.
Zudem werden in der Standardkonfiguration IP-Adressen über DHCP zur Verfügung gestellt.
Die Range ist hierbei von 192.168.0.100 bis
192.168.0.250 festgelegt.
| Parameter | Wert |
|---|---|
| IP-Adresse: | 192.168.0.50 |
| DNS-Namen: | tdt.router oder
VR2020-D.lan |
| Benutzername: | root |
| Passwort: | Wird für jeden Router generiert (siehe
Typenschild). Ist kein Passwort aufgedruckt, entspricht es der Seriennummer. |
Achtung
Im Auslieferungszustand hat jeder VR2020-D ein individuelles Passwort, das auf dem Typenschild zu finden ist.
Es wird trotzdem dringend empfohlen, vor Beginn einer Konfiguration ein individuelles Passwort zu vergeben!
Notieren Sie sich das Passwort vor der Installation, um nach Wiederherstellen der Werkseinstellungen weiter auf das Gerät zugreifen zu können.
Um den Router konfigurieren zu können, steht zum einen das Webinterface – für die einfache Konfiguration im Browser – zur Verfügung. Zum anderen besteht auch die Möglichkeit, sich über SSH oder seriell auf den Router zu verbinden.
Achtung
Hinweis
192.168.0.0/24 benötigt. Zum
Beispiel 192.168.0.1 mit der Subnetzmaske
255.255.255.0.Um über einen Browser auf das Webinterface des VR2020-D zugreifen zu
können, gibt man in der Adressleiste die IP-Adresse des Routers ein. Im
Auslieferungszustand ist die IP-Adresse von lan auf
192.168.0.50 eingestellt. Der Router hört aber
auch auf den Name tdt.router.
Da das Webinterface nur über SSL zu erreichen ist, muss der
IP-Adresse https:// vorangestellt werden.
Beispiel:
https://tdt.router oder
https://192.168.0.50
Im nun erscheinenden Anmeldefenster authentifiziert man sich mit dem
Benutzernamen root und dem zugehörigen Passwort.
Achtung
Es steht auf dem Router auch eine Kommandozeile zur Verfügung. Über diese lassen sich beispielsweise auf einfachem Wege Analysen durchführen.
Der Zugriff auf die Shell kann sowohl über IP als auch seriell über den Micro-USB-Port auf der Vorderseite des VR2020-D erfolgen. In beiden Fällen lässt sich der Zugriff zum Beispiel über die Open-Source-Software PuTTY realisieren. Empfohlene PuTTY-Einstellungen sind hier zu finden.
Für den SSH Zugriff öffnet man zum Beispiel PuTTY, gibt dort bei
Host Name (or IP address) die IP des VR2020-D ein und
klickt auf den Open-Button. Im neu geöffneten
Fenster meldet man sich nun mit dem Benutzernamen root und
dem zugehörigen Passwort am System an.
In einer Linux-Umgebung kann der Zugriff direkt über das Terminal mit
dem Kommando ssh root@192.168.0.50 erfolgen.
Um seriell auf den VR2020-D zugreifen zu können, wird ein Terminalprogramm benötigt. Die Verbindung lässt sich auch über PuTTY realisieren.
Zuerst verbindet man den Router mit einem Micro-USB-Kabel über den Konsolenport mit dem Computer. Der Treiber für den USB Serial Port sollte danach automatisch installiert werden.
Um herauszufinden, welche COM-Schnittstelle verwendet wird, kann unter Windows der Geräte-Manager verwendet werden. Hier sollte nach erfolgreicher Installation ein USB Serial Port erscheinen.
Die nachfolgende Tabelle gibt die Werte wieder, die neben dem COM-Port für die serielle Schnittstelle im Terminalprogramm konfiguriert werden müssen.
| Parameter | Wert |
|---|---|
| Speed (baud): | 115200 |
| Data bits: | 8 |
| Stop bits: | 1 |
| Parität: | None |
| Flow control: | None |
Um den Login-Prompt zu erhalten, wird einmal die Entertaste
↵ betätigt. Danach kann man sich mit dem Benutzer
root und dem entsprechenden Passwort am System
anmelden.
Achtung
Im Webinterface erscheint – solange das Passwort nicht geändert
wurde – ein Warnhinweis mit einem Link zur Seite
System > Administration, auf der ein neues Passwort
gesetzt werden kann.
Hier wird das Passwort eingegeben und als
Bestätigung wiederholt. Abschließend wird das neue Passwort
mit Speichern & Anwenden übernommen.
Über eine SSH-Session oder über den Micro-USB-Konfigport wird eine
Passwortänderung durch Aufruf des Kommandos passwd
initiiert.
Achtung
Einer der ersten Schritte nach Inbetriebnahme ist in aller Regel das Anpassen der lokalen IP-Adresse an die benötigte Umgebung.
Hierfür wechselt man in das Menü
Netzwerk > Schnittstellen, wählt dort die Schnittstelle
lan aus und klickt auf die
Bearbeiten-Schaltfläche.
In der neuen Maske wird nun die IPv4 Adresse und die für
das Netzwerk verwendete IPv4 Netzmaske eingetragen.
Optional kann noch eine eigene, vom Standard abweichende
IPv4 Broadcast IP eingetragen werden.
Wird statt IPv4 IPv6 benötigt oder soll eine IPv6-Konfiguration zusätzlich erfolgen, werden die nötigen Einstellungen auch hier ausgeführt.
Am Ende dieser Seite befinden sich Parameter für den DHCP-Server, der an dieser Schnittstelle standardmäßig läuft.
Soll der DHCP-Server für diese Schnittstelle deaktiviert werden,
setzt man einfach ein Häkchen bei
Schnittstelle ignorieren.
Zum Anpassen der DHCP-Range wird bei Start die
kleinste zu vergebende IP-Adresse angegeben. Im Auslieferungszustand ist
hier die 100 vergeben.
Hinweis
1 beginnend gezählt. Somit ist in der
Standard-Konfiguration 192.168.0.100 die erste für
DHCP-Clients verfügbare IP-Adresse.255.255.0.0, wird entsprechend in 256er Schritten
weitergezählt.So wäre bei einer angenommenen Router-IP von
10.10.10.254 mit einer Netzmaske 255.255.0.0
und einem Start-Wert von 610 die erste via DHCP vergebene
Adresse die 10.10.2.98.
Der Wert Limit gibt an wie viele IP-Adressen
von dem DHCP-Server maximal vergeben werden dürfen.
Hinweis
Limit kann nur die Anzahl der
DHCP-Hosts angegeben werden.Bleiben wir bei unserem Beispiel, wäre bei einem Limit von
200 DHCP-Adressen die letzte mögliche IP die
10.10.3.41.
Hinweis
Netzwerk > DHCP und DNS konfiguriert.Der VR2020-D bietet die Möglichkeit, die einzelnen Switch-Ports zu
separieren. Hierfür werden
VLANs verwendet. Die
Konfiguration hierfür erfolgt unter dem Menü
Netzwerk > Switch.
Im Folgenden wird das Vorgehen beispielhaft dargestellt. Ziel soll es
sein, dass der Port LAN 1 als Schnittstelle wan2 und der
Port LAN 2 für ein Gästenetzwerk (lan_guest)
verwendet wird.
Um die Konfiguration einfacher darzustellen, werden Tabellen verwendet.
| VLAN ID | CPU (eth1) | LAN 1 | LAN 2 | LAN 3 | LAN 4 |
|---|---|---|---|---|---|
| 1 | tagged | untagged | untagged | untagged | untagged |
Über den Button Hinzufügen werden die neuen
VLANs eingefügt. Als VLAN ID werden 200 und
300 verwendet.
Achtung
Beim internen Port CPU (eth1) muss darauf geachtet
werden, dass tagged ausgewählt wird.
Jeder LAN-Schnittstelle kann nur einmal das Attribut
untagged zugewiesen werden.
Der VLAN-ID-Bereich 4020-4030 ist für
interne Zwecke reserviert.
| VLAN ID | CPU (eth1) | LAN 1 | LAN 2 | LAN 3 | LAN 4 |
|---|---|---|---|---|---|
| 1 | tagged | aus |
aus |
untagged | untagged |
| 200 | tagged |
untagged |
aus | aus | aus |
| 300 | tagged |
aus | untagged |
aus | aus |
Um die Konfiguration zu aktivieren, wird auf
Speichern & Anwenden geklickt.
Im Nachgang werden die Ports unter
Netzwerk > Schnittstellen konfiguriert. Ein neues
Interface wird mit
Neue Schnittstelle Hinzufügen... erstellt.
Auf der Konfigurationsseite wird ein Name vergeben und bei
Die folgende Schnittstelle abdecken das neu erstellte
VLAN-Interface angegeben.
Nach Absenden der Daten wird die Konfiguration
wie gewohnt durchgeführt.
Der VR2020-D bietet verschiedene Wege, eine Internetverbindung aufzubauen. Einerseits gibt es die Möglichkeit einer DSL Verbindung und über den WAN-Port lassen sich verschiedene Gateway-Verbindungen oder eine Anbindung über ein externes Modem realisieren.
Hinweis
Im Auslieferungszustand befinden sich alle WAN-Schnittstellen in
der Firewall-Zone wan.
Ein Zugriff von Außen auf den Router ist hier standardmäßig nicht
gestattet.
Der Router ist in der Standardkonfiguration mit einem
voreingestellten Backup-System versehen.
Dabei ist die Reihenfolge – von der höchsten Priorität zur niedrigsten –
wan (Ethernet-Gateway-Verbindung) vor xdsl
(DSL-Verbindung) vor wwan (Mobilfunk).
Achtung
Im Default sind die Schnittstellen xdsl
(DSL-Verbindung) und wwan (Mobilfunk) nicht
gestartet.
Zum Prüfen der einzelnen Verbindungswege werden vom Router aktiv ICMP-Pakete gesendet.
Um eine ADSL oder VDSL Verbindung aufzubauen, müssen in der Regel nur die Provider-Zugangsdaten eingetragen werden.
Dies erfolgt im Menü Netzwerk > Schnittstellen unter
Verwendung der standardmäßig angelegten xdsl Schnittstelle.
Die Konfigurationsseite wird über den Button
Bearbeiten aufgerufen.
Auf der nun erscheinenden Seite werden die Parameter
PAP/CHAP Benutzername mit dem Benutzernamen, der vom
DSL-Anbieter zur Verfügung gestellt wurde, und das zugehörige Passwort
unter PAP/CHAP Passwort eingetragen.
Da die Schnittstelle standardmäßig nicht aktiv ist, wird zusätzlich
ein Häckchen bei Während des Bootvorgangs starten
gesetzt um die DSL-Verbindung nach einem Systemstart zu etablieren.
Über die Schaltfläche Speichern & Anwenden
werden die Änderungen gespeichert und die Verbindung (neu)
aufgebaut.
Hinweis
AnschlusskennungZugangsnummerMitbenutzernummer@t-online.de#) eingefügt
werden.0001.Um eine Internetverbindung über ein Gateway – welches DHCP zur Verfügung stellt – aufzubauen, sind in der Regel keine Änderungen nötig. Es wird lediglich der WAN-Port mit dem entsprechenden Gateway verbunden.
Um die IP-Adresse der WAN-Schnittstelle fest auf eine statische
Adresse zu konfigurieren wechselt man in das Menü
Netzwerk > Schnittstellen. Durch Drücken auf
Bearbeiten bei der wan-Schnittstelle
wird der Konfigurationsdialog aufgerufen.
Hier wird zuerst das Protokoll von
DHCP Client auf
Statische Adresse umgestellt und die Änderung über
den Button Wechsele Protokoll bestätigt.
In der neuen Maske wird nun die IPv4 Adresse, die
IPv4 Netzmaske und bei IPv4 Gateway die IP des
zu verwendenden Gateways eingetragen.
Für die Namensauflösung ist bei
Benutze eigene DNS-Server die Angabe eines entsprechenden
Servers nötig.
Optional kann noch eine eigene, vom Standard abweichende
IPv4 Broadcast IP eingetragen werden.
Wird statt IPv4 IPv6 benötigt oder soll eine IPv6-Konfiguration zusätzlich erfolgen, werden die nötigen Einstellungen auch hier ausgeführt.
Die TDT Router werden standardmäßig mit einer Zonen-basierenden Firewall ausgeliefert.
Achtung
Im Auslieferungszustand befinden sich alle WAN-Schnittstellen in
der Firewall-Zone wan.
Ein Zugriff von außen auf den Router ist hier standardmäßig nicht gestattet.
Aus der Zone wan wird der Zugriff auf lokale, hinter dem
VR2020-D befindliche Geräte zurückgewiesen (rejected).
Lokale Schnittstellen befinden sich in der Zone lan
der Firewall.
Diese unterliegt keinen Restriktionen.
Auf der Übersichtsseite der Firewall befindet sich zuerst die Einstellungsmöglichkeit für das Verhalten, das für Schnittstellen ohne Zone Anwendung findet.
In der zusammengefassten Ansicht der Firewall-Zonen werden die Zonen
mit ihren enthaltenen Schnittstellen angezeigt und welche Forwardings in
andere Zonen erlaubt sind. Das heißt, wie das Verhalten ist, wenn ein
Datenpaket am Router ankommt das in eine andere Zone geroutet wird. Ein
Beispiel hierfür wäre eine Anfrage von einem Client-Computer an einen
Webserver. Das Paket kommt an einer Schnittstelle der Zone
lan an und wird über einen Routingeintrag an die Zone
wan weitergeleitet, »geforwarded«.
Ein Port-Forwarding wäre, wie der Name schon sagt, ein weiteres Beispiel für ein »forwarded Paket«.
Zudem wird hier festgelegt, wie mit Paketen verfahren wird, die eine IP-Adresse des Routers ansprechen (Eingang/Input) oder die vom Router generiert werden (Ausgang/Output).
Ein ausgehendes »Masquerading«, eine Sonderform des Source-NAT, lässt
sich hier für die Zone, durch anhaken der Funktion
NAT aktivieren anlegen. Dadurch wird die
Absender-IP-Adresse durch die Adresse der Schnittstelle ersetzt, über
die der Datenstrom Richtung Ziel gesendet wird.
Mit der MSS Korrektur-Funktion wird die »Maximum Segment
Size« für Datenpakete zu dem jeweiligen Ziel ermittelt. Das Verfahren
ist auch als »Path MTU
Discovery« bekannt und wird vor allem bei DSL-Verbindungen benötigt, da
hier in der Regel eine Maximum Transmission Unit (MTU) kleiner der in
lokalen Netzen üblichen 1500 Verwendung findet.
Achtung
In der Default-Konfiguration werden Forwarding-Pakete zurückgewiesen (Rejected), außer es handelt sich um Port-Forwarding-Pakete (DNAT).
Soll der Zugriff entsprechend eingeschränkt werden, muss das in der Port-Forwarding-Regel berücksichtigt werden.
Port-Forwardings lassen sich schnell und einfach unter
Firewall > Portweiterleitungen einrichten.
Dazu wird der Name für das Port-Forwarding angegeben,
das Protokoll ausgewählt, unter Externe Zone
die Zone, an der die Anfragen auflaufen, und bei
Externe Port der Port, der angesprochen wird,
angegeben.
Für die lokale Seite wird die Interne Zone, das Ziel,
die Interne IP-Adresse und der Interner Port
der an dem Ziel-Gerät angesprochen werden soll, angegeben.
Mit Hinzufügen wird die Regel mit den
angegebenen Parametern erstellt. Um diese Regel zu aktivieren, wird
abschließend noch Speichern & Anwenden
gedrückt.
Unter Firewall > Traffic Rules können Port-Freigaben
verwaltet werden.
Hier finden sich verschiedene vordefinierte Regeln. Diese sind teilweise nicht aktiviert.
Um eine Regel bei Bedarf zu aktivieren oder deaktivieren, wird
entsprechend ein Häkchen in der Spalte Aktivieren in der
Übersichtstabelle gesetzt oder entfernt und die Änderung mit
Speichern & Anwenden übernommen.
Um den Zugriff auf einen Port des VR2020-D zuzulassen wird im Bereich
Ports auf dem Router öffnen ein Name für die
Regel angenommen, das Protokoll und entsprechend
Externer Port angegeben und die Regel mit
Hinzufügen erstellt.
Nun kann die neu angelegte Regel über
Bearbeiten noch weiter eingegrenzt werden, um zum
Beispiel den Zugriff nur von einem definierten Absender
(Quelladresse) zu erlauben.
Unter anderem können hier auch die Quell-Zone, an der
das Paket am Router ankommt (standardmäßig wird hier die Zone
wan gesetzt), und die Ziel-Zone angepasst
werden. Beim Anlegen der Regel über die
Ports auf dem Router öffnen-Routine wird die
Ziel-Zone auf den Wert am Gerät (eingehend)
gesetzt.
Um eine fälschlicherweise als eingehend (Accept input)
angelegte Regel in eine weitergeleitete (Accept forward) zu
ändern, wird die Ziel-Zone entsprechend auf die gewünschte
Zone angepasst.
Zudem sind hier auch noch einige weitere Filter für die Regel zu setzen.
Speichern & Anwenden setzt die Regel mit
der neuen Änderung in Kraft und speichert diese.
Soll trotzdem ein Netzwerkteilnehmer erreicht werden, der sich in
einer Zone befindet, in die keine globale Weiterleitung erlaubt ist,
muss eine Neue Weiterleitungsregel erstellt werden.
Diese wird auf der Seite Firewall > Traffic Rules
unter Angabe eines Regel-Name, der Quell-Zone
– im Regelfall wan – und der
Ziel-Zone – für die lokalen Geräte entsprechend
lan – mittels
Hinzufügen und bearbeiten... hinzugefügt und
gleich bearbeitend geöffnet. Hier wird abschließend noch der
Zielport angegeben.
Weitere Filter sind, wie schon unter Ports für den Zugriff auf den Router öffnen erwähnt, einzustellen.
Mit Speichern & Anwenden wird die neue
Regel gespeichert und gleich aktiviert.
Dynamisches DNS erlaubt es, dass der VR2020-D immer unter dem gleichen Hostnamen erreichbar ist, selbst wenn sich die öffentliche IP-Adresse ändert.
Achtung
wwan auf den Router in der
Regel nicht.Um ein dynamisches DNS Update einzurichten, wechselt man in den
Bereich Dienste > Dynamisches DNS. Hier hat man die
Möglichkeit einen neuen Eintrag hinzuzufügen.
Im ersten Schritt wird auf der Konfigurationsseite der
Lookup Hostname eingetragen und ausgewählt, ob eine IPv4-
oder eine IPv6-Adresse aktualisiert werden soll.
Nachfolgend wird der DDNS-Diensteanbieter ausgewählt,
zum Beispiel dyntdt.de. Ist der verwendete Dienst noch
nicht hinterlegt, kann dieser über die Auswahl
-- benutzerdefiniert -- selbst angelegt
werden.
Dazu wird zum Beispiel
https://[USERNAME]:[PASSWORD]@www.dnshome.de/dyndns.php?ip=[IP]
bei Eigene Update-URL angegeben, wenn https://www.dnshome.de der
Provider ist.
Wie die Update-URL im Speziellen aussehen muss, lässt sich in der Regel den Seiten des Service-Providers entnehmen.
Danach werden noch Rechnername/Domäne,
Benutzername und Passwort eingetragen.
Um die Daten sicher zu übertragen, empfiehlt es sich,
Verwende sicheres HTTP zu aktivieren und wenn das
CA-Zertifikat nicht vorliegt, beim Pfad zum CA-Zertifikat
IGNORE anzugeben, ansonsten den Speicherort.
Im Tab Erweiterte Einstellungen wird nun noch die zu
updatende IP address source ausgewählt. Standard ist hier
Netzwerk und als Netzwerk
lan.
Speichern übernimmt die neuen
Einstellungen.
Zurück auf der Übersichtsseite wird noch das Häkchen bei
Einschalten gesetzt und mit
Speichern & Anwenden gespeichert und
aktiviert.
Ein VPN dient dazu, ein weiteres Netz über ein bestehendes zu legen. Hierfür stehen viele unterschiedliche Ansätze zur Verfügung. Zumeist wird fälschlicher Weise angenommen, dass ein Virtual Private Network zwangsläufig eine sichere Datenübertragung darstellt und die Übertragung mittels Authentifizierung und Verschlüsselung gesichert ist. Das ist aber nicht zwingend der Fall.
In der heutigen Zeit werden überwiegend zwei unterschiedliche Technologien für die Realisierung eines VPN verwendet:
Diese werden zum Beispiel verwendet um mehrere Unternehmensstandorte miteinander zu verbinden (Site to Site) oder externen/reisenden Mitarbeitern (Roadwarrior) den Zugriff auf (lokale) Unternehmensdienste zu gewähren.
Die beiden Ansätze werden im Folgenden kurz umrissen.
Zudem sei an dieser Stelle erwähnt, dass die Router der VR2020-Serie als weitere Option die neue VPN-Lösung WireGuard enthalten. Diese bietet beispielsweise moderne kryptographische Verfahren und eine einfache Konfiguration von plattformübergreifenden Fernzugriffen über verschiedene Endgeräte.
IPsec ist die Abkürzung für Internet Protocol Security. Sie ermöglicht eine gesicherte Kommunikation über potentiell unsichere IP-Netze, wie z.B. dem Internet.
Im Gegensatz zu anderen Verschlüsselungsprotokollen wie z.B. SSL, das auf der Transportschicht aufbaut, arbeitet IPsec direkt auf der Internetschicht (internet layer) des TCP/IP-Protokollstapels. Damit ist es für Anwendungen transparent.
IPsec verwendet zur Verbindungsaushandlung zwei Phasen.
In der ersten Phase erfolgt die Verschlüsselungsvereinbarung und Authentisierung (Internet Key Exchange = IKE). Dabei werden über mehrere Schritte geheime Schlüssel generiert und eine SA (Security-Association) ausgehandelt. Die sogenannte ISAKMP-SA oder kurz IKE-SA, wobei ISAKMP für Internet Security Association and Key Management Protocol steht.
Die Authentifizierung erfolgt dabei zum Beispiel über Pre-Shared Key (psk) oder Zertifikate (RSA oder ECDSA).
In der zweiten Phase der IPsec-Aushandlung wird der Quick Mode verwendet. Die gesamte Kommunikation in dieser Phase erfolgt verschlüsselt (Schutz durch die IKE SA). Dabei werden nochmals SAs erzeugt, die zum eigentlichen Datenaustausch benutzt werden. Um die Sicherheit zu erhöhen, enthält diese »Daten-SA« – meist als IPsec-SA oder CHILD_SA bezeichnet – keine Informationen aus Phase 1.
Für die Übertragung der Daten wird einer der zwei Modi verwendet: Transport- oder Tunnel-Modus. Dazu stehen jeweils die Verfahren Authentication Header (AH) oder Encryption Security Payload (ESP) zur Verfügung, wobei ESP in der Regel bevorzugt verwendet wird.
AH basiert auf einem zusätzlichen Header, der dem normalen IP-Header folgt. Bei ESP enthalten die Nutzdaten ebenfalls einen Header, der den Security Parameters Index (SPI) enthält. Die Existenz dieser Header wird durch die Transport-Protokoll-Nummer im IP-Header angezeigt.
Transport-Modus nur die Paket-Inhalte werden verschlüsselt, der IP-Header bleibt erhalten.
AH basiert auf einem zusätzlichen Header, der dem normalen IP-Header folgt.
ESP verschlüsselt die Daten des Paketes, der IP-Header bleibt erhalten.
Tunnel-Modus verschlüsselt das ursprüngliche Paket und versendet dieses in einem neuen Paket.
AH erzeugt ein neues IP-Paket, das einen Authentication-Header über das ursprüngliche Paket enthält.
ESP verschlüsselt das komplette IP-Paket und kapselt das verschlüsselte Paket in ein neues Paket.
Um eine IPsec-Verbindung erfolgreich aufzubauen, müssen im Vorfeld mehrere Punkte berücksichtigt/geklärt werden.
Mindestens eine Seite muss über eine öffentliche IP erreichbar sein.
Authentifizierungs- und Verschlüsselungsparameter müssen festgelegt werden.
Die zu verbindenden Netze/Hosts müssen bekannt sein.
Auf der Zentralseite sind folgende Ports in der Firewall freizugegeben, beziehungsweise weiterzuleiten:
| Port | Protokoll | Beschreibung |
|---|---|---|
| ESP | Protokoll für ESP (Encapsulated Security Payload) | |
| 500 | UDP | Quell- und Zielport für IKE (Internet Key Exchange) |
| 4500 | UDP | Wird benötigt, wenn sich der IPsec-Server hinter einem NAT-Gateway oder einer Masquerading-Firewall befindet. |
In aktuellen Firmware Versionen wird die IPsec-Implementation strongSwan eingesetzt. Eine ausführliche Dokumentation und Beispielkonfigurationen befinden sich im strongSwan Wiki.
Bei OpenVPN handelt es sich nicht um eine unsichere VPN-Lösung, wie der Name vielleicht vermuten lässt. Dieser bringt lediglich zum Ausdruck, dass der Quellcode kostenlos und frei abrufbar ist. Die Software ist unter der GNU GPL lizenziert und unterstützt eine Vielzahl (moderner) Betriebssysteme.
OpenVPN dient zum Aufbau von Virtuellen Privaten Netzwerken über eine verschlüsselte TLS Verbindung (Transport Layer Security, weitläufiger bekannt unter der Vorgängerbezeichnung SSL = Secure Sockets Layer). Die Authentifizierung kann zum einen über Username / Passwort, Zertifikate oder einen statischen Secret Key erfolgen.
Mit Hilfe von OpenVPN können Routed-VPN (Layer 3) aufgebaut werden. Dabei wird ein verschlüsselter Tunnel zwischen zwei fiktiven IP-Adressen eines Subnetzes, dem sogenanten Transportnetz, aufgebaut. Um einen Tunnel zwischen zwei Gegenstellen herzustellen stellt dies eine einfache Form der sicheren Kommunikation.
Über einen VPN-Tunnel im Routing-Modus werden ausschließlich IP-Pakete geleitet. Layer 2 Daten werden nicht übertragen. Gerade bei Internetanbindungen mit geringer Bandbreite oder sogar Trafficlimitierung ist diese Variante zu bevorzugen, da ohne die Ethernet-Frames erheblich weniger Daten über den Tunnel übertragen werden.
Die Variante des Bridged-VPN bietet den Vorteil des vollständigen Tunnelns von Ethernet-Frames (Layer 2). Ein Client wird völlig transparent integriert und erhält eine IP-Adresse des dortigen Subnetzes. Somit erlaubt dieser Modus auch den Einsatz alternativer Protokolle wie IPX oder unterstützt das Senden von Wake-On-LAN-Paketen.
WireGuard ist eine noch sehr junge Technologie, um sichere und leistungsfähige virtuelle private Netze (VPNs) mit geringem Aufwand zu realisieren. Es handelt sich um ein Open-Source-Protokoll und eine Open-Source-Software, die eine Alternative zu etablierten VPN-Lösungen wie OpenVPN oder IPsec bieten soll.
WireGuard wurde mit dem Ziel entwickelt, VPNs einfacher zu machen und eine Alternative zu bestehenden VPN-Lösungen zu bieten. Die Open-Source-Software und das -Protokoll konkurrieren mit VPN-Technologien wie IPsec oder OpenVPN. Im Vergleich zu existierenden Lösungen soll die Konfiguration von VPN-Verbindungen einfacher und schneller sein.
WireGuard arbeitet mit hoher Performance auf dem Layer 3 des OSI-Schichtenmodells und unterstützt sowohl IPv4 als auch IPv6. Die Software ist bewusst einfach und überschaubar gehalten. Sie besteht lediglich aus circa 4.000 Zeilen Programmiercode. Andere VPN-Lösungen haben teilweise mehrere hunderttausend Zeilen Quelltext. Entwickelt wurde die neue VPN-Alternative von Jason A. Donenfeld. Sie ist für unterschiedliche Plattformen wie verschiedene Linux-Distributionen, macOS, Android oder iOS verfügbar. Auf Linux-Systemen läuft der Code als Modul im Kernel und erzielt eine hohe Performance. Seit 2018 bieten VPN-Provider wie Mullvad and AzireVPN erste Services auf Basis der neuen VPN-Lösung.
Hinweis
Die Entwicklungsphase von WireGuard ist noch nicht abgeschlossen.
Der WireGuard-Support soll in den Linux Kernel 5.6 einfliesen.
Folgende Ziele wurden beim Design der VPN-Alternative verfolgt:
WireGuard zeichnet sich im Vergleich zu den bestehenden meist sehr komplexen VPN-Lösungen durch seine Einfachheit aus. Die Software bietet weniger Konfigurationsmöglichkeiten und beschränkt sich auf das Notwendigste. Dadurch ist die Lösung einfach zu nutzen und ihre Sicherheit leicht zu überprüfen. Mögliche Schwachstellen sind im überschaubaren Code einfach zu finden. Um ein hohes Sicherheitsniveau bei der Verschlüsselung der Daten zu erreichen, nutzt WireGuard moderne kryptographische Verfahren. Identitäten von VPN-Teilnehmern sind mit ihren öffentlichen Schlüsseln verknüpft. Verbindungen werden ähnlich wie bei SSH durch den Austausch der öffentlichen Schlüssel aufgebaut. Die Architektur basiert auf dem Peer-to-Peer-Modell.
Für den Aufbau von VPN-Verbindungen und den Austausch von Daten greift WireGuard auf verschiedene Protokolle zurück. Die wichtigsten Protokolle sind:
Die VPN-Lösung beschränkt sich bewusst auf die drei Grundfunktionen für verschlüsselte Verbindungen. Der Schlüsseltausch erfolgt im Handshake per Curve25519 mit Elliptic Curve Diffie-Hellman (ECDHE). BLAKE2s dient als universelle Hashfunktion und generiert beispielsweise Keyed-Hash Message Authentication Codes (HMAC) oder leitet Schlüssel mit HMAC-based Key Derivation Funciton (HKDF) ab. Für die symmetrische Verschlüsselung der ausgetauschten Daten sind ChaCha20 und Poly1305 zuständig. Neben der nativen Unterstützung von IPv4 und IPv6 ist es möglich, IPv4 in IPv6 zu enkapsulieren und umgekehrt.
Als ein glühender Befürworter der Aufnahme zeigte sich auch Linus Torvalds. Wie der Linux-Vater im Zuge der Aufnahme von Netzwerk-Patches aus dem experimentellen Zweig des Kernels bestätigte, sehe auch er die gängigen Alternativen als zu schwerfällig und zu kompliziert an. Laut Torvalds sei WireGuard im direkten Vergleich mit dem »Horror von OpenVPN und IPsec« ein Kunstwerk. »Er liebe deshalb die Implementierung – auch wenn sie noch nicht perfekt sei – und wünsche sich eine baldige Aufnahme in den Kernel« so Torvalds sinngemäß.
Quelle: Security Insider
Der Router bietet unter
System > Backup / Firmware Update verschiedene
Möglichkeiten, Konfigurationen zu verwalten.
Zum Erstellen einer Konfigurationssicherung wird auf der Seite bei
Backup herunterladen der Button
Sicherung erstellen betätigt.
Nun wird die Konfiguration gepackt und zum Download angeboten. Ist der Browser auf »Automatisch im folgenden Ordner abspeichern« eingestellt, wird die Konfiguration im angegebenen Ordner – in den meisten Browsern standardmäßig Downloads – gespeichert.
Dabei wird der Dateiname nach dem Schema
YYYY-MM-DD-backup-HOSTNAME.tar.gz erzeugt. Fragt der
Browser vor dem Speichern nach, ist der Dateiname beliebig wählbar, die
Endung .tar.gz muss aber erhalten bleiben.
Die Konfiguration kann nach dem Herunterladen lokal am PC oder in der Server-Infrastruktur abgelegt werden.
Eine einmal erstellte Sicherung kann jederzeit – auch auf einem anderen, baugleichen Gerät – wieder eingespielt werden.
Dazu wird im Bereich Sicherung wiederherstellen lokal
nach der gewünschten Datei gesucht und diese über die Schaltfläche
Backup wiederherstellen... eingespielt. Dabei wird
die gesicherte Konfiguration geladen und die Änderungen durch einen
Reboot aktiviert.
Der Auslieferungszustand lässt sich auf mehreren Wegen wiederherstellen. Einerseits gibt es hier den Weg über das Webinterface, weiterhin besteht die Möglichkeit mittels Kommandozeile und schließlich lässt sich dies über den Reset-Taster auslösen.
Über das Webinterface lässt sich der Factory-Reset auf der Menü-Seite
System > Backup / Firmware Update im Bereich
Auslieferungszustand wiederherstellen auslösen, indem man
den Button Reset durchführen betätigt.
Um den Auslieferungszustand über die Kommandozeile wiederherzustellen
wird das Kommando firstboot eingegeben und der
Reset mit y (= yes) bestätigt.
Durch das Gedrückt-Halten des Reset-Tasters auf
der Vorderseite des VR2020-D länger als fünf Sekunden, wird beim
Loslassen die Werkseinstellung geladen und ein Neustart des Gerätes
ausgelöst.
Ein Update der Router-Firmware lässt sich im Webinterface auf unterschiedlichen Wegen durchführen: Einerseits über einen manuellen Upload des Firmware-Images und andererseits online über den TDT-Updateserver.
Im Bereich Neues Firmware Image schreiben auf der
Menü-Seite System > Backup / Firmware Update wird bei
Image die Datei auf dem lokalen System ausgewählt.
Standardmäßig ist das Häkchen bei
Konfiguration beibehalten vorausgewählt. Soll der Router
nach dem Update mit Werkseinstellungen starten, muss das Häkchen an
dieser Stelle entfernt werden.
Der Update-Prozess wird durch Drücken von
Firmware aktualisieren... gestartet.
Im ersten Schritt wird die Checksumme überprüft. Ist diese korrekt,
kann mit Fortfahren das Image geflasht werden, es
besteht aber auch die Möglichkeit, den Vorgang abzubrechen.
Im Menü unter System > Online Firmware Update kann
auf dem TDT-Updateserver nach einer neueren, zur Verfügung stehenden
Software-Version gesucht werden.
Dazu klickt man bei Auf Aktualisierungen prüfen auf
Prüfen. Daraufhin wird am Server angefragt und das
Ergebnis entsprechend ausgegeben.
Steht ein neueres Firmware-Image bereit, kann man dieses direkt von dieser Seite aus einspielen.
Auch hier ist standardmäßig das Häkchen bei
Konfiguration beibehalten gesetzt. Um nach dem Update mit
Werkseinstellungen zu starten, muss das Häkchen an dieser Stelle
entfernt werden.
Bei Update durchführen wird mit
Firmware aktualisieren... der Vorgang gestartet.
Hier wird zuerst die Signatur und danach die Checksumme überprüft. Sind
diese korrekt, wird die neue Firmware, ohne weitere Rückfrage
geflasht.
Hinweis
Das DSL-Frontend ist unter System > Systemstart zu
deaktivieren. Hierfür wird einfach der Prozess dsl_control
auf der Seite gesucht und der Button Deaktivieren
gedrückt, um diesen bei einem Systemstart nicht zu laden.
Um DSL im laufenden Betrieb zu deaktivieren wird im Nachgang der
Prozess dsl_control durch Klicken auf
Stoppen angehalten.
Um in Windows-Umgebungen optimal mit dem Router arbeiten zu können, sind die folgenden PuTTY-Einstellungen zu empfehlen.
Unter Terminal > Features wird bei
Disable application keypad mode das Häkchen gesetzt.
Hierdurch wird zum Beispiel der Umgang mit VI erleichtert, da so der
Nummernblock nutzbar wird.
Im Menü Window wird der Wert bei
Lines of scrollback auf 20000-Zeilen
gestellt, um weiter zurückscrollen zu können.
Um die Zeichen korrekt darzustellen, sollte der Zeichensatz unter
Window > Translation auf UTF-8
gesetzt werden.
Da die Farbe Blau unter PuTTY auf schwarzem Hintergrund nicht optimal
lesbar ist, empfiehlt es sich, hier nachzubessern. Dies wird unter
Window > Colors bei
Select A Color to adjust für die Farbe
ANSI Blue eingestellt. Dabei werden die Werte
entsprechend Red und Green jeweils auf
54 und Blue auf
216 gestellt.
Um die SSH Session am »Leben« zu erhalten, kann der Parameter
Seconds between keepalives unter Connection
auf 30 gestellt werden.
Gerade für langsame Verbindungen lässt sich, unter
Connection > SSH das Häkchen bei
Enable Compression setzen, um die Daten
komprimiert zu übertragen.
Als letzte Einstellung lässt sich noch die Serielle-Kommunikation
konfigurieren. Über das Menü Connection > Serial werden
die Werte entsprechend der folgenden Tabelle festgelegt.
| Parameter | Wert |
|---|---|
| Speed (baud): | 115200 |
| Data bits: | 8 |
| Stop bits: | 1 |
| Parity: | None |
| Flow control: | None |
Abschließend werden die Daten als Standard oder als eigenes Profil
unter Session gespeichert. Dazu wird entweder das Profil
Default Settings markiert oder im Eingabefeld ein
eigener Session-Name angegeben und über den Button
Save gespeichert.
| Link | Beschreibung |
|---|---|
| www.tdt.de | Die offizielle Webseite der TDT AG |
| download.tdt.de | Download-Bereich auf der offiziellen TDT Webseite |
| OpenVPN | OpenVPN: Die offizielle Open-Source-Seite |
| PuTTY | PuTTY ein Open-Source-SSH-Client |
| strongSwan | Die offizielle Seite zu strongSwan IPsec |
| strongSwan Wiki | strongSwan IPsec: Dokumentation und Konfigurationsbeispiele |
| WireGuard | WireGuard®: Die offizielle Webseite |
| Security Insider: WireGuard | Security Insider: Definition – Was ist WireGuard® |