Die Zusammenstellung von Texten und Abbildungen für das Manual erfolgte mit größter Sorgfalt. Dennoch können Fehler nicht vollständig ausgeschlossen werden.
Der Herausgeber übernimmt für fehlerhafte Angaben und deren Folgen keinerlei Haftung.
Änderungen an der Dokumentation und den darin beschriebenen Produkten bleiben jederzeit und ohne vorherige Ankündigung vorbehalten.
Als Ansprechpartner bei Problemen oder Fragen zu dieser Dokumentation steht Ihnen das TDT Expert Support Team gerne zur Verfügung.
TDT AG
Siemensstraße 18
84051 Essenbach
Tel.: +49 (8703) 929-00
Fax: +49 (8703) 929-201
Web: www.tdt.de
Email: support@tdt.de
© 2021 TDT AG – Stefan Haunreiter
Viel Spaß und Erfolg wünscht Ihnen
Ihr TDT Team
Diese Dokumentation enthält Hinweise, die zur persönlichen Sicherheit der Benutzer sowie zur Vermeidung von Schäden des G3000 oder anderweitigen Sachschäden eingehalten werden müssen.
Im Rahmen laufender Sicherheitsprüfungen ist TDT stets bestrebt, seine Produkte so sicher wie möglich zu machen und legt sowohl während der Entwicklung, als auch bei den regelmäßigen Firmware Updates höchsten Wert auf die Einhaltung aktueller Sicherheits- und Qualitätsstandards.
Enthält der Router ein Mobilfunk und/oder WLAN Sendemodul, sind zusätzlich folgende Sicherheitshinweise zu beachten.
Hiermit erklärt TDT, dass der Telekommunikationsendeinrichtungstyp G3000 der Richtlinie 2014/35/EU entspricht.
Hiermit erklärt TDT, dass der Funkanlagentyp G3000-L der Richtlinie 2014/53/EU entspricht.
Hiermit erklärt TDT, dass der Funkanlagentyp G3000-W der Richtlinie 2014/53/EU entspricht.
Hiermit erklärt TDT, dass der Funkanlagentyp G3000-LW der Richtlinie 2014/53/EU entspricht.
Hiermit erklärt TDT, dass der Funkanlagentyp G3000-LLW der Richtlinie 2014/53/EU entspricht.
Der vollständige Text der EU-Konformitätserklärungen ist unter der folgenden Internetadresse verfügbar: download.tdt.de
Im Lieferumfang des G3000 sind folgende Zubehörteile enthalten:
Auf der Vorderseite des G3000 befinden sich von links nach rechts:
eth0 für den Linkstatus der WAN-Schnittstelleeth1 für den Linkstatus der LAN-Schnittstelleeth2 für den Linkstatus der eth2-PortsCellular für den Mobilfunk-VerbindungsstatusSignal für den Mobilfunk-SignalpegelAlarm-LED zur Anzeige wichtiger/kritischer EventsPower-LED als Indikator für eine bestehende SpannungsversorgungL1 frei konfigurierbarL2 frei konfigurierbarDer Reset-Taster
SIM1SIM2Warnung!
| LAN | |
|---|---|
| aus | Kein Link an einem der LAN-Ports vorhanden. |
| an | Mindestens ein LAN Port hat einen Link. |
| flackernd | Datentransfer an mindestens einem LAN-Port. |
| WAN | |
|---|---|
| aus | Kein Link am WAN-Ports vorhanden. |
| an | Der LAN Port hat einen aktiven Link. |
| flackernd | Datentransfer am WAN-Port. |
| Cellular | |
|---|---|
| aus | Sind auch die Signal-LEDs aus, ist der Router an keiner Mobilfunk-Zelle registriert. Der Router hat kein Signal im eigenen Netz. Ist mindestens eine der Signal-LEDs an, ist der Router in einem 2G Netz (GPRS/EDGE) registriert. |
| blinkend | Der Router ist im Mobielfunk-Netz registriert und ein 3G Signal (UMTS/HSPA/+) liegt an. |
| an | Die aktuelle Technologie ist 4G (LTE). der Router ist in einer Mobilfunk-Zelle registriert. |
| Signal | blinkend | an |
|---|---|---|
| I | An einer Mobilfunk-Zelle registriert. Der Signalpegel beträgt zwischen 0% und 17%. |
Signalpegel zwischen 17% und 33%. |
| II | Signalpegel zwischen 33% und 50%. | Signalpegel zwischen 50% und 66%. |
| III | Signalpegel zwischen 66% und 83%. | Signalpegel zwischen 83% und 100%. |
| Power | |
|---|---|
| aus | Router nicht mit der Spannungsversorgung verbunden. |
| an | Spannung liegt an. |
| Dauer | Aktion |
|---|---|
| kurz drücken (<1 Sekunde): | Startet den Router neu. |
| lang drücken (>5 Sekunden): | Versetzt das Gerät in den Auslieferungszustand zurück. |
| Anschluss | Beschreibung |
|---|---|
| 1 *) | Anschluss für die primäre Antenne oder des ersten Antennenkabels. Diese muss zwingend verbunden werden. |
| 2 *) | SMA-Buchse für den Anschluss der zweiten Antenne, des zweiten Antennenkabels. |
| 3 *) | Optionaler Anschluss für eine Antenne zur Positionsbestimmung über ein globales Navigationssatellitensystem (GPS/GLONASS). |
| Console | 9-poliger serieller RS-232 Konfigurationsport (Speed: 115200 (8N1)) |
| eth0 - eth2 | 10/100/1000BaseT Schnittstelle RJ45/RJ48s. Diese verfügt über eine automatische Erkennung der Geschwindigkeit, sowie des Kabeltyps (1:1 oder gekreuzt). eth0 wird für die Schnittstelle wan verwendet, eth1 für lan |
| USB (2x) | Per Default deaktiviert. Die USB 3.0 Ports sind für zukünftige Anwendungen vorgesehen (z.B. für externes Logging, USV Verwaltung). |
| Power | Weitbereichsspannungseingang 9V..30V DC mit Hohlstecker. |
| 6 **) | RP-SMA Buchse zum Anschluss der WLAN Antenne an Kanal 0. |
| 7 **) | RP-SMA Buchse zum Anschluss der WLAN Antenne an Kanal 1. |
| 8 **) | RP-SMA Buchse zum Anschluss der WLAN Antenne an Kanal 2. |
Unser Team vom TDT Expert Support unterstützt Sie bei Fragen rund um die Konfiguration Ihres Geräts und hilft Ihnen bei der Analyse und Behebung von Problemen gerne weiter.
Die Support-Hotline erreichen Sie montags bis freitags von 08:00 bis 18:00 Uhr telefonisch* unter
+49 8703 929-112
oder jederzeit per E-Mail an
Um Ihnen optimal helfen zu können, bitten wir Sie, uns bei Supportanfragen immer die über die Seite Hilfe > TDT-Support erstellten Supportinformationen** mitzusenden.
* Ausgenommen bundeseinheitliche Feiertage
** Die Supportdaten enthalten keine vertraulichen Daten wie etwa Passwörter oder PIN-Codes.
Achtung
Achtung
Die Transportverpackung vorsichtig öffnen.
Router entnehmen. Dazu die Kartonlaschen nach oben klappen und das Gerät unter der Folie herausziehen.
Den Router erst jetzt mit der Spannungsversorgung verbinden.
Sobald der Startvorgang vollständig abgeschlossen ist, kann der Router über IP erreicht werden.
Achtung
Der G3000 hat im »Factory-Default« die IP-Adresse 192.168.0.50 inne, der Benutzer ist root. Das Passwort wird im Produktionsprozess für jeden Router individuell generiert und auf das Typenschild aufgedruckt.
Zudem werden in der Standardkonfiguration IP-Adressen über DHCP zur Verfügung gestellt.
Die Range ist hierbei von 192.168.0.100 bis 192.168.0.250 festgelegt.
| Parameter | Wert |
|---|---|
| IP-Adresse: | 192.168.0.50 |
| DNS-Namen: | tdt.router oder G3000.lan |
| Benutzername: | root |
| Passwort: | Wird für jeden Router generiert (siehe Typenschild). Ist kein Passwort aufgedruckt, entspricht es der Seriennummer. |
Achtung
Im Auslieferungszustand hat jeder G3000 ein individuelles Passwort, das auf dem Typenschild zu finden ist.
Es wird trotzdem dringend empfohlen, vor Beginn einer Konfiguration ein individuelles Passwort zu vergeben!
Notieren Sie sich das Passwort vor der Installation, um nach Wiederherstellen der Werkseinstellungen weiter auf das Gerät zugreifen zu können.
Um den Router konfigurieren zu können, steht zum einen das Webinterface – für die einfache Konfiguration im Browser – zur Verfügung. Zum anderen besteht auch die Möglichkeit, sich über SSH oder seriell auf den Router zu verbinden.
Achtung
Hinweis
192.168.0.0/24 benötigt. Zum Beispiel 192.168.0.1 mit der Subnetzmaske 255.255.255.0.Um über einen Browser auf das Webinterface des G3000 zugreifen zu können, gibt man in der Adressleiste die IP-Adresse des Routers ein. Im Auslieferungszustand ist die IP-Adresse von lan auf 192.168.0.50 eingestellt. Der Router hört aber auch auf den Name tdt.router.
Da das Webinterface nur über SSL zu erreichen ist, muss der IP-Adresse https:// vorangestellt werden.
Beispiel:
https://tdt.router oder https://192.168.0.50
Im nun erscheinenden Anmeldefenster authentifiziert man sich mit dem Benutzernamen root und dem zugehörigen Passwort.
Achtung
Es steht auf dem Router auch eine Kommandozeile zur Verfügung. Über diese lassen sich beispielsweise auf einfachem Wege Analysen durchführen.
Der Zugriff auf die Shell kann sowohl über IP als auch seriell über den Micro-USB-Port auf der Vorderseite des G3000 erfolgen. In beiden Fällen lässt sich der Zugriff zum Beispiel über die Open-Source-Software PuTTY realisieren. Empfohlene PuTTY-Einstellungen sind hier zu finden.
Für den SSH Zugriff öffnet man zum Beispiel PuTTY, gibt dort bei Host Name (or IP address) die IP des G3000 ein und klickt auf den Open-Button. Im neu geöffneten Fenster meldet man sich nun mit dem Benutzernamen root und dem zugehörigen Passwort am System an.
In einer Linux-Umgebung kann der Zugriff direkt über das Terminal mit dem Kommando ssh root@192.168.0.50 erfolgen.
Um seriell auf den G3000 zugreifen zu können, wird ein Terminalprogramm benötigt. Die Verbindung lässt sich auch über PuTTY realisieren.
Zuerst verbindet man den Router mit einem Micro-USB-Kabel über den Konsolenport mit dem Computer. Der Treiber für den USB Serial Port sollte danach automatisch installiert werden.
Um herauszufinden, welche COM-Schnittstelle verwendet wird, kann unter Windows der Geräte-Manager verwendet werden. Hier sollte nach erfolgreicher Installation ein USB Serial Port erscheinen.
Die nachfolgende Tabelle gibt die Werte wieder, die neben dem COM-Port für die serielle Schnittstelle im Terminalprogramm konfiguriert werden müssen.
| Parameter | Wert |
|---|---|
| Speed (baud): | 115200 |
| Data bits: | 8 |
| Stop bits: | 1 |
| Parität: | None |
| Flow control: | None |
Um den Login-Prompt zu erhalten, wird einmal die Entertaste ↵ betätigt. Danach kann man sich mit dem Benutzer root und dem entsprechenden Passwort am System anmelden.
Achtung
Im Webinterface erscheint – solange das Passwort nicht geändert wurde – ein Warnhinweis mit einem Link zur Seite System > Administration, auf der ein neues Passwort gesetzt werden kann.
Hier wird das Passwort eingegeben und als Bestätigung wiederholt. Abschließend wird das neue Passwort mit Speichern & Anwenden übernommen.
Über eine SSH-Session oder über den Micro-USB-Konfigport wird eine Passwortänderung durch Aufruf des Kommandos passwd initiiert.
Achtung
Einer der ersten Schritte nach Inbetriebnahme ist in aller Regel das Anpassen der lokalen IP-Adresse an die benötigte Umgebung.
Hierfür wechselt man in das Menü Netzwerk > Schnittstellen, wählt dort die Schnittstelle lan aus und klickt auf die Bearbeiten-Schaltfläche.
In der neuen Maske wird nun die IPv4 Adresse und die für das Netzwerk verwendete IPv4 Netzmaske eingetragen.
Optional kann noch eine eigene, vom Standard abweichende IPv4 Broadcast IP eingetragen werden.
Wird statt IPv4 IPv6 benötigt oder soll eine IPv6-Konfiguration zusätzlich erfolgen, werden die nötigen Einstellungen auch hier ausgeführt.
Am Ende dieser Seite befinden sich Parameter für den DHCP-Server, der an dieser Schnittstelle standardmäßig läuft.
Soll der DHCP-Server für diese Schnittstelle deaktiviert werden, setzt man einfach ein Häkchen bei Schnittstelle ignorieren.
Zum Anpassen der DHCP-Range wird bei Start die kleinste zu vergebende IP-Adresse angegeben. Im Auslieferungszustand ist hier die 100 vergeben.
Hinweis
1 beginnend gezählt. Somit ist in der Standard-Konfiguration 192.168.0.100 die erste für DHCP-Clients verfügbare IP-Adresse.255.255.0.0, wird entsprechend in 256er Schritten weitergezählt.So wäre bei einer angenommenen Router-IP von 10.10.10.254 mit einer Netzmaske 255.255.0.0 und einem Start-Wert von 610 die erste via DHCP vergebene Adresse die 10.10.2.98.
Der Wert Limit gibt an wie viele IP-Adressen von dem DHCP-Server maximal vergeben werden dürfen.
Hinweis
Limit kann nur die Anzahl der DHCP-Hosts angegeben werden.Bleiben wir bei unserem Beispiel, wäre bei einem Limit von 200 DHCP-Adressen die letzte mögliche IP die 10.10.3.41.
Hinweis
Netzwerk > DHCP und DNS konfiguriert.Achtung
Im Auslieferungszustand ist kein WLAN Access Point aktiviert.
Bei Auslieferung hat jeder G3000 einen vorkonfigurierten Pre-Shared Key.
Es wird dringend empfohlen, vor Aktivierung des WLANs einen eigenen, sicheren Pre-Shared Key zu vergeben.
Die Konfiguration erfolgt unter Netzwerk > WLAN im entsprechenden Verbindungsprofil.
Als Access Point ist bereits das Profil TDT-G3000-AP vorhanden. Mit Bearbeiten gelangt man auf die Konfigurationsseite.
Der Pre-Shared Key wird im Bereich Schnittstellenkonfiguration im Tab WLAN-Verschlüsselungbei Schlüssel eingetragen. Wie gewohnt wird die Änderung mit Speichern & Anwenden übernommen.
Zurück auf der Übersicht, wird das WLAN-Profil über den Button Aktivieren eingeschalten.
Hinweis
Aus Sicherheitsgründen sollte ein Pre-Shared Key mindestens 20 Stellen lang sein.
Der vorkonfigurierte Access Point ist mittels Bridge mit der LAN-Schnittstelle verbunden und verwendet daher dieselbe IP-Adresskonfiguration und denselben DHCP Server.
Der G3000 bietet verschiedene Wege, eine Internetverbindung aufzubauen. Einerseits gibt es die Möglichkeit einer DSL Verbindung, weiterhin steht Mobilfunk mit MultiSIM Support zur Verfügung und über den WAN-Port lassen sich verschiedene Gateway-Verbindungen oder eine Anbindung über ein externes Modem realisieren.
Hinweis
Im Auslieferungszustand befinden sich alle WAN-Schnittstellen in der Firewall-Zone wan.
Ein Zugriff von Außen auf den Router ist hier standardmäßig nicht gestattet.
Der Router ist in der Standardkonfiguration mit einem voreingestellten Backup-System versehen.
Dabei ist die Reihenfolge – von der höchsten Priorität zur niedrigsten – wan (Ethernet-Gateway-Verbindung) vor xdsl (DSL-Verbindung) vor wwan (Mobilfunk).
Achtung
Im Default sind die Schnittstellen xdsl (DSL-Verbindung) und wwan (Mobilfunk) nicht gestartet.
Zum Prüfen der einzelnen Verbindungswege werden vom Router aktiv ICMP-Pakete gesendet.
Warnung
Im Auslieferungszustand ist der G3000 so vorbereitet, dass beim Systemstart schnell und einfach eine Mobilfunkverbindung, unter Verwendung der SIM-Karte im Slot SIM1, aufgebaut werden kann. Der APN ist in dem aktiven SIM-Profil auf web.vodafone.de voreingestellt und es ist keine PIN gesetzt.
Wird eine Vodafone-SIM-Karte ohne PIN-Abfrage verwendet, muss die Verbindung nur gestartet werden. Dazu wird unter Netzwerk > Schnittstellen > wwan ein Häckchen bei Während des Bootvorgangs starten gesetzt und der Verbindungsaufbau über die Speichern & Anwenden-Schaltfläche initiiert.
Ansonsten sind nur wenige Schritte erforderlich, um eine Verbindung aufzubauen.
Die Konfiguration der Schnittstelle wird auf der Menüseite Netzwerk > Schnittstellen > wwan durchgeführt.
Auf der wwan-Bearbeiten-Seite werden zuerst das SIM-Profil für die SIM1 oder SIM2, und bei Standard-SIM der verwendete SIM-Karten-Slot ausgewählt.
Durch Betätigen der Speichern & Anwenden-Schaltfläche werden die Änderungen umgehend übernommen und es wird versucht, die Verbindung mit den neuen Parametern aufzubauen.
Sollte der Provider nicht hinterlegt sein, oder eine PIN benötigt werden, wird das unter Netzwerk > Mobilfunk unter dem Tab SIM-Profile konfiguriert. Im Tab SIM-Einstellung kann die PIN und im Fehlerfall auch die PUK verifiziert werden. Zudem kann hier die PIN geändert und die PIN-Abfrage aktiviert oder deaktiviert werden.
Der G3000 bietet für die Schnittstelle wwan die Möglichkeit automatisch zwischen zwei Provider-SIM-Karten umzuschalten.
Um die im Auslieferungszustand deaktivierte Funktion einzuschalten wird auf der Konfigurationsseite Netzwerk > Schnittstellen > wwan das Häckchen bei DualSIM-Unterstützung einschalten gesetzt. Dazu muss die Funktion Verbindung automatisch aufbauen/wiederherstellen aktiviert sein.
Die Erholungszeit spezifiziert, wann automatisch versucht werden soll, von dem Backup- auf den Standard-SIM-Schacht zurück zu schalten. Wird an dieser Stelle nie ausgewählt, bleibt der Router auf der Backup-Verbindung, bis auf dieser ein Fehler festgestellt wird.
Durch Speichern & Anwenden wird diese Änderung übernommen.
Um ein bestehendes SIM-Profil unter Netzwerk > Mobilfunk > SIM-Profile zu ändern, zum Beispiel, wenn die PIN-Überprüfung aktiviert ist, wird die PIN für die SIM-Karte beim entsprechenden Profil eingetragen.
Sind zusätzlich noch Benutzername und Passwort nötig, werden der Typ der Mobilfunkauthentifizierung festgelegt und diese Zugangsdaten unter PAP/CHAP Benutzername und PAP/CHAP Passwort angegeben.
Die Erlaubte Mobilfunktechnik lässt sich hier für jedes SIM-Profil einzelnen definieren. Ebenso lässt sich der PLMN (Public Land Mobile Network Code) einstellen, um zum Beispiel aktiv ein Roaming zu unterbinden.
Durch Speichern & Anwenden wird die Konfiguration gespeichert. Um die Änderungen zu aktivieren muss die wwan-Schnittstelle unter Netzwerk > Schnittstellen neu verbunden werden.
Um eine Internetverbindung über ein Gateway – welches DHCP zur Verfügung stellt – aufzubauen, sind in der Regel keine Änderungen nötig. Es wird lediglich der WAN-Port mit dem entsprechenden Gateway verbunden.
Um die IP-Adresse der WAN-Schnittstelle fest auf eine statische Adresse zu konfigurieren wechselt man in das Menü Netzwerk > Schnittstellen. Durch Drücken auf Bearbeiten bei der wan-Schnittstelle wird der Konfigurationsdialog aufgerufen.
Hier wird zuerst das Protokoll von DHCP Client auf Statische Adresse umgestellt und die Änderung über den Button Wechsele Protokoll bestätigt.
In der neuen Maske wird nun die IPv4 Adresse, die IPv4 Netzmaske und bei IPv4 Gateway die IP des zu verwendenden Gateways eingetragen.
Für die Namensauflösung ist bei Benutze eigene DNS-Server die Angabe eines entsprechenden Servers nötig.
Optional kann noch eine eigene, vom Standard abweichende IPv4 Broadcast IP eingetragen werden.
Wird statt IPv4 IPv6 benötigt oder soll eine IPv6-Konfiguration zusätzlich erfolgen, werden die nötigen Einstellungen auch hier ausgeführt.
Die TDT Router werden standardmäßig mit einer Zonen-basierenden Firewall ausgeliefert.
Achtung
Im Auslieferungszustand befinden sich alle WAN-Schnittstellen in der Firewall-Zone wan.
Ein Zugriff von außen auf den Router ist hier standardmäßig nicht gestattet.
Aus der Zone wan wird der Zugriff auf lokale, hinter dem G3000 befindliche Geräte zurückgewiesen (rejected).
Lokale Schnittstellen befinden sich in der Zone lan der Firewall.
Diese unterliegt keinen Restriktionen.
Auf der Übersichtsseite der Firewall befindet sich zuerst die Einstellungsmöglichkeit für das Verhalten, das für Schnittstellen ohne Zone Anwendung findet.
In der zusammengefassten Ansicht der Firewall-Zonen werden die Zonen mit ihren enthaltenen Schnittstellen angezeigt und welche Forwardings in andere Zonen erlaubt sind. Das heißt, wie das Verhalten ist, wenn ein Datenpaket am Router ankommt das in eine andere Zone geroutet wird. Ein Beispiel hierfür wäre eine Anfrage von einem Client-Computer an einen Webserver. Das Paket kommt an einer Schnittstelle der Zone lan an und wird über einen Routingeintrag an die Zone wan weitergeleitet, »geforwarded«.
Ein Port-Forwarding wäre, wie der Name schon sagt, ein weiteres Beispiel für ein »forwarded Paket«.
Zudem wird hier festgelegt, wie mit Paketen verfahren wird, die eine IP-Adresse des Routers ansprechen (Eingang/Input) oder die vom Router generiert werden (Ausgang/Output).
Ein ausgehendes »Masquerading«, eine Sonderform des Source-NAT, lässt sich hier für die Zone, durch anhaken der Funktion NAT aktivieren anlegen. Dadurch wird die Absender-IP-Adresse durch die Adresse der Schnittstelle ersetzt, über die der Datenstrom Richtung Ziel gesendet wird.
Mit der MSS Korrektur-Funktion wird die »Maximum Segment Size« für Datenpakete zu dem jeweiligen Ziel ermittelt. Das Verfahren ist auch als »Path MTU Discovery« bekannt und wird vor allem bei DSL-Verbindungen benötigt, da hier in der Regel eine Maximum Transmission Unit (MTU) kleiner der in lokalen Netzen üblichen 1500 Verwendung findet.
Achtung
In der Default-Konfiguration werden Forwarding-Pakete zurückgewiesen (Rejected), außer es handelt sich um Port-Forwarding-Pakete (DNAT).
Soll der Zugriff entsprechend eingeschränkt werden, muss das in der Port-Forwarding-Regel berücksichtigt werden.
Port-Forwardings lassen sich schnell und einfach unter Firewall > Portweiterleitungen einrichten.
Dazu wird der Name für das Port-Forwarding angegeben, das Protokoll ausgewählt, unter Externe Zone die Zone, an der die Anfragen auflaufen, und bei Externe Port der Port, der angesprochen wird, angegeben.
Für die lokale Seite wird die Interne Zone, das Ziel, die Interne IP-Adresse und der Interner Port der an dem Ziel-Gerät angesprochen werden soll, angegeben.
Mit Hinzufügen wird die Regel mit den angegebenen Parametern erstellt. Um diese Regel zu aktivieren, wird abschließend noch Speichern & Anwenden gedrückt.
Unter Firewall > Traffic Rules können Port-Freigaben verwaltet werden.
Hier finden sich verschiedene vordefinierte Regeln. Diese sind teilweise nicht aktiviert.
Um eine Regel bei Bedarf zu aktivieren oder deaktivieren, wird entsprechend ein Häkchen in der Spalte Aktivieren in der Übersichtstabelle gesetzt oder entfernt und die Änderung mit Speichern & Anwenden übernommen.
Um den Zugriff auf einen Port des G3000 zuzulassen wird im Bereich Ports auf dem Router öffnen ein Name für die Regel angenommen, das Protokoll und entsprechend Externer Port angegeben und die Regel mit Hinzufügen erstellt.
Nun kann die neu angelegte Regel über Bearbeiten noch weiter eingegrenzt werden, um zum Beispiel den Zugriff nur von einem definierten Absender (Quelladresse) zu erlauben.
Unter anderem können hier auch die Quell-Zone, an der das Paket am Router ankommt (standardmäßig wird hier die Zone wan gesetzt), und die Ziel-Zone angepasst werden. Beim Anlegen der Regel über die Ports auf dem Router öffnen-Routine wird die Ziel-Zone auf den Wert am Gerät (eingehend) gesetzt.
Um eine fälschlicherweise als eingehend (Accept input) angelegte Regel in eine weitergeleitete (Accept forward) zu ändern, wird die Ziel-Zone entsprechend auf die gewünschte Zone angepasst.
Zudem sind hier auch noch einige weitere Filter für die Regel zu setzen.
Speichern & Anwenden setzt die Regel mit der neuen Änderung in Kraft und speichert diese.
Soll trotzdem ein Netzwerkteilnehmer erreicht werden, der sich in einer Zone befindet, in die keine globale Weiterleitung erlaubt ist, muss eine Neue Weiterleitungsregel erstellt werden.
Diese wird auf der Seite Firewall > Traffic Rules unter Angabe eines Regel-Name, der Quell-Zone – im Regelfall wan – und der Ziel-Zone – für die lokalen Geräte entsprechend lan – mittels Hinzufügen und bearbeiten... hinzugefügt und gleich bearbeitend geöffnet. Hier wird abschließend noch der Zielport angegeben.
Weitere Filter sind, wie schon unter Ports für den Zugriff auf den Router öffnen erwähnt, einzustellen.
Mit Speichern & Anwenden wird die neue Regel gespeichert und gleich aktiviert.
Dynamisches DNS erlaubt es, dass der G3000 immer unter dem gleichen Hostnamen erreichbar ist, selbst wenn sich die öffentliche IP-Adresse ändert.
Achtung
wwan auf den Router in der Regel nicht.Um ein dynamisches DNS Update einzurichten, wechselt man in den Bereich Dienste > Dynamisches DNS. Hier hat man die Möglichkeit einen neuen Eintrag hinzuzufügen.
Im ersten Schritt wird auf der Konfigurationsseite der Lookup Hostname eingetragen und ausgewählt, ob eine IPv4- oder eine IPv6-Adresse aktualisiert werden soll.
Nachfolgend wird der DDNS-Diensteanbieter ausgewählt, zum Beispiel dyntdt.de. Ist der verwendete Dienst noch nicht hinterlegt, kann dieser über die Auswahl -- benutzerdefiniert -- selbst angelegt werden.
Dazu wird zum Beispiel https://[USERNAME]:[PASSWORD]@www.dnshome.de/dyndns.php?ip=[IP] bei Eigene Update-URL angegeben, wenn https://www.dnshome.de der Provider ist.
Wie die Update-URL im Speziellen aussehen muss, lässt sich in der Regel den Seiten des Service-Providers entnehmen.
Danach werden noch Rechnername/Domäne, Benutzername und Passwort eingetragen.
Um die Daten sicher zu übertragen, empfiehlt es sich, Verwende sicheres HTTP zu aktivieren und wenn das CA-Zertifikat nicht vorliegt, beim Pfad zum CA-Zertifikat IGNORE anzugeben, ansonsten den Speicherort.
Im Tab Erweiterte Einstellungen wird nun noch die zu updatende IP address source ausgewählt. Standard ist hier Netzwerk und als Netzwerk lan.
Speichern übernimmt die neuen Einstellungen.
Zurück auf der Übersichtsseite wird noch das Häkchen bei Einschalten gesetzt und mit Speichern & Anwenden gespeichert und aktiviert.
Ein VPN dient dazu, ein weiteres Netz über ein bestehendes zu legen. Hierfür stehen viele unterschiedliche Ansätze zur Verfügung. Zumeist wird fälschlicher Weise angenommen, dass ein Virtual Private Network zwangsläufig eine sichere Datenübertragung darstellt und die Übertragung mittels Authentifizierung und Verschlüsselung gesichert ist. Das ist aber nicht zwingend der Fall.
In der heutigen Zeit werden überwiegend zwei unterschiedliche Technologien für die Realisierung eines VPN verwendet:
Diese werden zum Beispiel verwendet um mehrere Unternehmensstandorte miteinander zu verbinden (Site to Site) oder externen/reisenden Mitarbeitern (Roadwarrior) den Zugriff auf (lokale) Unternehmensdienste zu gewähren.
Die beiden Ansätze werden im Folgenden kurz umrissen.
Zudem sei an dieser Stelle erwähnt, dass die Router der G3000-Serie als weitere Option die neue VPN-Lösung WireGuard enthalten. Diese bietet beispielsweise moderne kryptographische Verfahren und eine einfache Konfiguration von plattformübergreifenden Fernzugriffen über verschiedene Endgeräte.
IPsec ist die Abkürzung für Internet Protocol Security. Sie ermöglicht eine gesicherte Kommunikation über potentiell unsichere IP-Netze, wie z.B. dem Internet.
Im Gegensatz zu anderen Verschlüsselungsprotokollen wie z.B. SSL, das auf der Transportschicht aufbaut, arbeitet IPsec direkt auf der Internetschicht (internet layer) des TCP/IP-Protokollstapels. Damit ist es für Anwendungen transparent.
IPsec verwendet zur Verbindungsaushandlung zwei Phasen.
In der ersten Phase erfolgt die Verschlüsselungsvereinbarung und Authentisierung (Internet Key Exchange = IKE). Dabei werden über mehrere Schritte geheime Schlüssel generiert und eine SA (Security-Association) ausgehandelt. Die sogenannte ISAKMP-SA oder kurz IKE-SA, wobei ISAKMP für Internet Security Association and Key Management Protocol steht.
Die Authentifizierung erfolgt dabei zum Beispiel über Pre-Shared Key (psk) oder Zertifikate (RSA oder ECDSA).
In der zweiten Phase der IPsec-Aushandlung wird der Quick Mode verwendet. Die gesamte Kommunikation in dieser Phase erfolgt verschlüsselt (Schutz durch die IKE SA). Dabei werden nochmals SAs erzeugt, die zum eigentlichen Datenaustausch benutzt werden. Um die Sicherheit zu erhöhen, enthält diese »Daten-SA« – meist als IPsec-SA oder CHILD_SA bezeichnet – keine Informationen aus Phase 1.
Für die Übertragung der Daten wird einer der zwei Modi verwendet: Transport- oder Tunnel-Modus. Dazu stehen jeweils die Verfahren Authentication Header (AH) oder Encryption Security Payload (ESP) zur Verfügung, wobei ESP in der Regel bevorzugt verwendet wird.
AH basiert auf einem zusätzlichen Header, der dem normalen IP-Header folgt. Bei ESP enthalten die Nutzdaten ebenfalls einen Header, der den Security Parameters Index (SPI) enthält. Die Existenz dieser Header wird durch die Transport-Protokoll-Nummer im IP-Header angezeigt.
Transport-Modus nur die Paket-Inhalte werden verschlüsselt, der IP-Header bleibt erhalten.
AH basiert auf einem zusätzlichen Header, der dem normalen IP-Header folgt.
ESP verschlüsselt die Daten des Paketes, der IP-Header bleibt erhalten.
Tunnel-Modus verschlüsselt das ursprüngliche Paket und versendet dieses in einem neuen Paket.
AH erzeugt ein neues IP-Paket, das einen Authentication-Header über das ursprüngliche Paket enthält.
ESP verschlüsselt das komplette IP-Paket und kapselt das verschlüsselte Paket in ein neues Paket.
Um eine IPsec-Verbindung erfolgreich aufzubauen, müssen im Vorfeld mehrere Punkte berücksichtigt/geklärt werden.
Mindestens eine Seite muss über eine öffentliche IP erreichbar sein.
Authentifizierungs- und Verschlüsselungsparameter müssen festgelegt werden.
Die zu verbindenden Netze/Hosts müssen bekannt sein.
Auf der Zentralseite sind folgende Ports in der Firewall freizugegeben, beziehungsweise weiterzuleiten:
| Port | Protokoll | Beschreibung |
|---|---|---|
| ESP | Protokoll für ESP (Encapsulated Security Payload) | |
| 500 | UDP | Quell- und Zielport für IKE (Internet Key Exchange) |
| 4500 | UDP | Wird benötigt, wenn sich der IPsec-Server hinter einem NAT-Gateway oder einer Masquerading-Firewall befindet. |
In aktuellen Firmware Versionen wird die IPsec-Implementation strongSwan eingesetzt. Eine ausführliche Dokumentation und Beispielkonfigurationen befinden sich im strongSwan Wiki.
Bei OpenVPN handelt es sich nicht um eine unsichere VPN-Lösung, wie der Name vielleicht vermuten lässt. Dieser bringt lediglich zum Ausdruck, dass der Quellcode kostenlos und frei abrufbar ist. Die Software ist unter der GNU GPL lizenziert und unterstützt eine Vielzahl (moderner) Betriebssysteme.
OpenVPN dient zum Aufbau von Virtuellen Privaten Netzwerken über eine verschlüsselte TLS Verbindung (Transport Layer Security, weitläufiger bekannt unter der Vorgängerbezeichnung SSL = Secure Sockets Layer). Die Authentifizierung kann zum einen über Username / Passwort, Zertifikate oder einen statischen Secret Key erfolgen.
Mit Hilfe von OpenVPN können Routed-VPN (Layer 3) aufgebaut werden. Dabei wird ein verschlüsselter Tunnel zwischen zwei fiktiven IP-Adressen eines Subnetzes, dem sogenanten Transportnetz, aufgebaut. Um einen Tunnel zwischen zwei Gegenstellen herzustellen stellt dies eine einfache Form der sicheren Kommunikation.
Über einen VPN-Tunnel im Routing-Modus werden ausschließlich IP-Pakete geleitet. Layer 2 Daten werden nicht übertragen. Gerade bei Internetanbindungen mit geringer Bandbreite oder sogar Trafficlimitierung ist diese Variante zu bevorzugen, da ohne die Ethernet-Frames erheblich weniger Daten über den Tunnel übertragen werden.
Die Variante des Bridged-VPN bietet den Vorteil des vollständigen Tunnelns von Ethernet-Frames (Layer 2). Ein Client wird völlig transparent integriert und erhält eine IP-Adresse des dortigen Subnetzes. Somit erlaubt dieser Modus auch den Einsatz alternativer Protokolle wie IPX oder unterstützt das Senden von Wake-On-LAN-Paketen.
WireGuard ist eine noch sehr junge Technologie, um sichere und leistungsfähige virtuelle private Netze (VPNs) mit geringem Aufwand zu realisieren. Es handelt sich um ein Open-Source-Protokoll und eine Open-Source-Software, die eine Alternative zu etablierten VPN-Lösungen wie OpenVPN oder IPsec bieten soll.
WireGuard wurde mit dem Ziel entwickelt, VPNs einfacher zu machen und eine Alternative zu bestehenden VPN-Lösungen zu bieten. Die Open-Source-Software und das -Protokoll konkurrieren mit VPN-Technologien wie IPsec oder OpenVPN. Im Vergleich zu existierenden Lösungen soll die Konfiguration von VPN-Verbindungen einfacher und schneller sein.
WireGuard arbeitet mit hoher Performance auf dem Layer 3 des OSI-Schichtenmodells und unterstützt sowohl IPv4 als auch IPv6. Die Software ist bewusst einfach und überschaubar gehalten. Sie besteht lediglich aus circa 4.000 Zeilen Programmiercode. Andere VPN-Lösungen haben teilweise mehrere hunderttausend Zeilen Quelltext. Entwickelt wurde die neue VPN-Alternative von Jason A. Donenfeld. Sie ist für unterschiedliche Plattformen wie verschiedene Linux-Distributionen, macOS, Android oder iOS verfügbar. Auf Linux-Systemen läuft der Code als Modul im Kernel und erzielt eine hohe Performance. Seit 2018 bieten VPN-Provider wie Mullvad and AzireVPN erste Services auf Basis der neuen VPN-Lösung.
Hinweis
Die Entwicklungsphase von WireGuard ist noch nicht abgeschlossen.
Der WireGuard-Support soll in den Linux Kernel 5.6 einfliesen.
Folgende Ziele wurden beim Design der VPN-Alternative verfolgt:
WireGuard zeichnet sich im Vergleich zu den bestehenden meist sehr komplexen VPN-Lösungen durch seine Einfachheit aus. Die Software bietet weniger Konfigurationsmöglichkeiten und beschränkt sich auf das Notwendigste. Dadurch ist die Lösung einfach zu nutzen und ihre Sicherheit leicht zu überprüfen. Mögliche Schwachstellen sind im überschaubaren Code einfach zu finden. Um ein hohes Sicherheitsniveau bei der Verschlüsselung der Daten zu erreichen, nutzt WireGuard moderne kryptographische Verfahren. Identitäten von VPN-Teilnehmern sind mit ihren öffentlichen Schlüsseln verknüpft. Verbindungen werden ähnlich wie bei SSH durch den Austausch der öffentlichen Schlüssel aufgebaut. Die Architektur basiert auf dem Peer-to-Peer-Modell.
Für den Aufbau von VPN-Verbindungen und den Austausch von Daten greift WireGuard auf verschiedene Protokolle zurück. Die wichtigsten Protokolle sind:
Die VPN-Lösung beschränkt sich bewusst auf die drei Grundfunktionen für verschlüsselte Verbindungen. Der Schlüsseltausch erfolgt im Handshake per Curve25519 mit Elliptic Curve Diffie-Hellman (ECDHE). BLAKE2s dient als universelle Hashfunktion und generiert beispielsweise Keyed-Hash Message Authentication Codes (HMAC) oder leitet Schlüssel mit HMAC-based Key Derivation Funciton (HKDF) ab. Für die symmetrische Verschlüsselung der ausgetauschten Daten sind ChaCha20 und Poly1305 zuständig. Neben der nativen Unterstützung von IPv4 und IPv6 ist es möglich, IPv4 in IPv6 zu enkapsulieren und umgekehrt.
Als ein glühender Befürworter der Aufnahme zeigte sich auch Linus Torvalds. Wie der Linux-Vater im Zuge der Aufnahme von Netzwerk-Patches aus dem experimentellen Zweig des Kernels bestätigte, sehe auch er die gängigen Alternativen als zu schwerfällig und zu kompliziert an. Laut Torvalds sei WireGuard im direkten Vergleich mit dem »Horror von OpenVPN und IPsec« ein Kunstwerk. »Er liebe deshalb die Implementierung – auch wenn sie noch nicht perfekt sei – und wünsche sich eine baldige Aufnahme in den Kernel« so Torvalds sinngemäß.
Quelle: Security Insider
Der Router bietet unter System > Backup / Firmware Update verschiedene Möglichkeiten, Konfigurationen zu verwalten.
Zum Erstellen einer Konfigurationssicherung wird auf der Seite bei Backup herunterladen der Button Sicherung erstellen betätigt.
Nun wird die Konfiguration gepackt und zum Download angeboten. Ist der Browser auf »Automatisch im folgenden Ordner abspeichern« eingestellt, wird die Konfiguration im angegebenen Ordner – in den meisten Browsern standardmäßig Downloads – gespeichert.
Dabei wird der Dateiname nach dem Schema YYYY-MM-DD-backup-HOSTNAME.tar.gz erzeugt. Fragt der Browser vor dem Speichern nach, ist der Dateiname beliebig wählbar, die Endung .tar.gz muss aber erhalten bleiben.
Die Konfiguration kann nach dem Herunterladen lokal am PC oder in der Server-Infrastruktur abgelegt werden.
Eine einmal erstellte Sicherung kann jederzeit – auch auf einem anderen, baugleichen Gerät – wieder eingespielt werden.
Dazu wird im Bereich Sicherung wiederherstellen lokal nach der gewünschten Datei gesucht und diese über die Schaltfläche Backup wiederherstellen... eingespielt. Dabei wird die gesicherte Konfiguration geladen und die Änderungen durch einen Reboot aktiviert.
Der Auslieferungszustand lässt sich auf mehreren Wegen wiederherstellen. Einerseits gibt es hier den Weg über das Webinterface, weiterhin besteht die Möglichkeit mittels Kommandozeile und schließlich lässt sich dies über den Reset-Taster auslösen.
Über das Webinterface lässt sich der Factory-Reset auf der Menü-Seite System > Backup / Firmware Update im Bereich Auslieferungszustand wiederherstellen auslösen, indem man den Button Reset durchführen betätigt.
Um den Auslieferungszustand über die Kommandozeile wiederherzustellen wird das Kommando firstboot eingegeben und der Reset mit y (= yes) bestätigt.
Durch das Gedrückt-Halten des Reset-Tasters auf der Vorderseite des G3000 länger als fünf Sekunden, wird beim Loslassen die Werkseinstellung geladen und ein Neustart des Gerätes ausgelöst.
Ein Update der Router-Firmware lässt sich im Webinterface auf unterschiedlichen Wegen durchführen: Einerseits über einen manuellen Upload des Firmware-Images und andererseits online über den TDT-Updateserver.
Im Bereich Neues Firmware Image schreiben auf der Menü-Seite System > Backup / Firmware Update wird bei Image die Datei auf dem lokalen System ausgewählt.
Standardmäßig ist das Häkchen bei Konfiguration beibehalten vorausgewählt. Soll der Router nach dem Update mit Werkseinstellungen starten, muss das Häkchen an dieser Stelle entfernt werden.
Der Update-Prozess wird durch Drücken von Firmware aktualisieren... gestartet.
Im ersten Schritt wird die Checksumme überprüft. Ist diese korrekt, kann mit Fortfahren das Image geflasht werden, es besteht aber auch die Möglichkeit, den Vorgang abzubrechen.
Im Menü unter System > Online Firmware Update kann auf dem TDT-Updateserver nach einer neueren, zur Verfügung stehenden Software-Version gesucht werden.
Dazu klickt man bei Auf Aktualisierungen prüfen auf Prüfen. Daraufhin wird am Server angefragt und das Ergebnis entsprechend ausgegeben.
Steht ein neueres Firmware-Image bereit, kann man dieses direkt von dieser Seite aus einspielen.
Auch hier ist standardmäßig das Häkchen bei Konfiguration beibehalten gesetzt. Um nach dem Update mit Werkseinstellungen zu starten, muss das Häkchen an dieser Stelle entfernt werden.
Bei Update durchführen wird mit Firmware aktualisieren... der Vorgang gestartet. Hier wird zuerst die Signatur und danach die Checksumme überprüft. Sind diese korrekt, wird die neue Firmware, ohne weitere Rückfrage geflasht.
Um in Windows-Umgebungen optimal mit dem Router arbeiten zu können, sind die folgenden PuTTY-Einstellungen zu empfehlen.
Unter Terminal > Features wird bei Disable application keypad mode das Häkchen gesetzt. Hierdurch wird zum Beispiel der Umgang mit VI erleichtert, da so der Nummernblock nutzbar wird.
Im Menü Window wird der Wert bei Lines of scrollback auf 20000-Zeilen gestellt, um weiter zurückscrollen zu können.
Um die Zeichen korrekt darzustellen, sollte der Zeichensatz unter Window > Translation auf UTF-8 gesetzt werden.
Da die Farbe Blau unter PuTTY auf schwarzem Hintergrund nicht optimal lesbar ist, empfiehlt es sich, hier nachzubessern. Dies wird unter Window > Colors bei Select A Color to adjust für die Farbe ANSI Blue eingestellt. Dabei werden die Werte entsprechend Red und Green jeweils auf 54 und Blue auf 216 gestellt.
Um die SSH Session am »Leben« zu erhalten, kann der Parameter Seconds between keepalives unter Connection auf 30 gestellt werden.
Gerade für langsame Verbindungen lässt sich, unter Connection > SSH das Häkchen bei Enable Compression setzen, um die Daten komprimiert zu übertragen.
Als letzte Einstellung lässt sich noch die Serielle-Kommunikation konfigurieren. Über das Menü Connection > Serial werden die Werte entsprechend der folgenden Tabelle festgelegt.
| Parameter | Wert |
|---|---|
| Speed (baud): | 115200 |
| Data bits: | 8 |
| Stop bits: | 1 |
| Parity: | None |
| Flow control: | None |
Abschließend werden die Daten als Standard oder als eigenes Profil unter Session gespeichert. Dazu wird entweder das Profil Default Settings markiert oder im Eingabefeld ein eigener Session-Name angegeben und über den Button Save gespeichert.
| Link | Beschreibung |
|---|---|
| www.tdt.de | Die offizielle Webseite der TDT AG |
| download.tdt.de | Download-Bereich auf der offiziellen TDT Webseite |
| OpenVPN | OpenVPN: Die offizielle Open-Source-Seite |
| PuTTY | PuTTY ein Open-Source-SSH-Client |
| strongSwan | Die offizielle Seite zu strongSwan IPsec |
| strongSwan Wiki | strongSwan IPsec: Dokumentation und Konfigurationsbeispiele |
| WireGuard | WireGuard®: Die offizielle Webseite |
| Security Insider: WireGuard | Security Insider: Definition – Was ist WireGuard® |