Handbuch G4000

Version 2.1.1

Impressum

Haftung

Die Zusammenstellung von Texten und Abbildungen für das Manual erfolgte mit größter Sorgfalt. Dennoch können Fehler nicht vollständig ausgeschlossen werden.

Der Herausgeber übernimmt für fehlerhafte Angaben und deren Folgen keinerlei Haftung.

Änderungen an der Dokumentation und den darin beschriebenen Produkten bleiben jederzeit und ohne vorherige Ankündigung vorbehalten.

Ansprechpartner

Als Ansprechpartner bei Problemen oder Fragen zu dieser Dokumentation steht Ihnen das TDT Expert Support Team gerne zur Verfügung.

Copyright

TDT AG
Siemensstraße 18
84051 Essenbach

Tel.: +49 (8703) 929-00
Fax: +49 (8703) 929-201

Web: www.tdt.de
Email: support@tdt.de

© 2021 TDT AG – Stefan Haunreiter



Viel Spaß und Erfolg wünscht Ihnen
Ihr TDT Team

1 Sicherheitshinweise

Diese Dokumentation enthält Hinweise, die zur persönlichen Sicherheit der Benutzer sowie zur Vermeidung von Schäden des G4000 oder anderweitigen Sachschäden eingehalten werden müssen.

Im Rahmen laufender Sicherheitsprüfungen ist TDT stets bestrebt, seine Produkte so sicher wie möglich zu machen und legt sowohl während der Entwicklung, als auch bei den regelmäßigen Firmware Updates höchsten Wert auf die Einhaltung aktueller Sicherheits- und Qualitätsstandards.

1.1 Allgemeine Sicherheitshinweise

2 Produktinformationen

2.1 EU-Konformitätserklärung

Hiermit erklärt TDT, dass der Telekommunikationsendeinrichtungstyp G4000 der Richtlinie 2014/35/EU entspricht.

Der vollständige Text der EU-Konformitätserklärungen ist unter der folgenden Internetadresse verfügbar: download.tdt.de

2.2 Packungsinhalt

Im Lieferumfang des G4000 sind folgende Zubehörteile enthalten:

2.3 Vorderseite

Auf der Vorderseite des G4000 befinden sich:

Übersicht der Anschlüsse
Anschluss Beschreibung
eth3 SFP Cage mit bis zu 1 Gbit/s.
eth0 - eth2 10/100/1000BaseT Schnittstelle RJ45/RJ48s.
Diese verfügt über eine automatische Erkennung der Geschwindigkeit, sowie des Kabeltyps (1:1 oder gekreuzt).
eth0 wird für die Schnittstelle wan verwendet, eth1 für lan
Console 9-poliger serieller RS-232 Konfigurationsport (Speed: 115200 (8N1))
USB Per Default deaktiviert.
Die USB 3.0 Ports sind für zukünftige Anwendungen vorgesehen (z.B. für externes Logging, USV Verwaltung).
LCD-Display Zur Anzeige von Statusinformationen und zum Durchführen eines Neustarts oder Factory Reset.

2.3.1 LCD-Display

Der G4000 bietet mit dem LCD-Display die Möglichkeit, Statusinformationen auszulesen und einen Neustart durchzuführen oder den Auslieferungszustand durch einen Factory Reset wiederherzustellen.

Die Navigation erfolgt dabei durch die Pfeiltasten rechts des Displays.

  ˆ   Menü-Ebene nach oben
  ˇ   Menü-Ebene nach unten
     Untermenü aufwärts
     Untermenü abwärts

Zum Bestätigen von Aktionen wird die Taste verwendet.

2.3.1.1 Ebenenübersicht

Ebene 1
  1.1   Uptime, Datum und Uhrzeit
  1.2   Software-version
  1.3   Seriennummer

Ebene 2
  2.1   Schnittstelle eth0: IPv4-Adresse und Subnetzmaske
  2.2   Schnittstelle eth1: IPv4-Adresse und Subnetzmaske
  2.3   Schnittstelle eth2: IPv4-Adresse und Subnetzmaske
  2.4   Schnittstelle eth3: IPv4-Adresse und Subnetzmaske

Ebene 3
  3.1   Reboot durchführen
  3.2   Factory Reset

2.4 Rückseite

Übersicht der Anschlüsse
Anschluss Beschreibung
Netzteil Redundant ausgelegtes Netzteil, zwei separate Module.
Taster (rot) Ein Netzteilfehler wird akkustisch signalisiert. Das Signal kann mittels dieses Tasters quitiert/deaktiviert werden.

3 TDT-Support

Unser Team vom TDT Expert Support unterstützt Sie bei Fragen rund um die Konfiguration Ihres Geräts und hilft Ihnen bei der Analyse und Behebung von Problemen gerne weiter.

Die Support-Hotline erreichen Sie montags bis freitags von 08:00 bis 18:00 Uhr telefonisch* unter

+49 8703 929-112

oder jederzeit per E-Mail an

support@tdt.de.

Um Ihnen optimal helfen zu können, bitten wir Sie, uns bei Supportanfragen immer die über die Seite Hilfe > TDT-Support erstellten Supportinformationen** mitzusenden.

* Ausgenommen bundeseinheitliche Feiertage
** Die Supportdaten enthalten keine vertraulichen Daten wie etwa Passwörter oder PIN-Codes.

4 Erste Schritte

4.1 Inbetriebnahme

Achtung

  • Um Schäden durch Kondenswasser auszuschließen, muss der Router – bevor er mit Spannung versorgt wird – auf Raumtemperatur gebracht werden.
    Dazu sollte der Router ca. eine Stunde vor Inbetriebnahme aus der Verpackung genommen werden.
  • Um Beschädigungen an dem Gerät zu vermeiden, sollte auf einen umsichtigen Umgang geachtet werden.
  1. Die Transportverpackung vorsichtig öffnen.

  2. Router entnehmen. Dazu die Kartonlaschen nach oben klappen und das Gerät unter der Folie herausziehen.

  3. Anschließen der nötigen Kabel am Router (siehe Übersicht der Anschlüsse), zum Beispiel:
    • Ethernet-Kabel am LAN-Port.
    • Ethernet-Kabel am WAN-Port.
  4. Den Router erst jetzt mit der Spannungsversorgung verbinden.

Sobald der Startvorgang vollständig abgeschlossen ist, kann der Router über IP erreicht werden.

Achtung

  • Bei ersten Booten kann es bis zu zwei Minuten dauern, bis der Router erreichbar ist.

4.2 Zugangsdaten und IP-Adressen

Der G4000 hat im »Factory-Default« die IP-Adresse 192.168.0.50 inne, der Benutzer ist root. Das Passwort wird im Produktionsprozess für jeden Router individuell generiert und auf das Typenschild aufgedruckt.

Zudem werden in der Standardkonfiguration IP-Adressen über DHCP zur Verfügung gestellt.

Die Range ist hierbei von 192.168.0.100 bis 192.168.0.250 festgelegt.

Zugangsdaten und IP-Adressen im Auslieferungszustand
Parameter Wert
IP-Adresse: 192.168.0.50
DNS-Namen: tdt.router oder G4000.lan
Benutzername: root
Passwort: Wird für jeden Router generiert (siehe Typenschild).
Ist kein Passwort aufgedruckt, entspricht es der Seriennummer.

Achtung

  • Im Auslieferungszustand hat jeder G4000 ein individuelles Passwort, das auf dem Typenschild zu finden ist.

  • Es wird trotzdem dringend empfohlen, vor Beginn einer Konfiguration ein individuelles Passwort zu vergeben!

  • Notieren Sie sich das Passwort vor der Installation, um nach Wiederherstellen der Werkseinstellungen weiter auf das Gerät zugreifen zu können.

4.3 Wie verbinde ich mich auf den Router?

Um den Router konfigurieren zu können, steht zum einen das Webinterface – für die einfache Konfiguration im Browser – zur Verfügung. Zum anderen besteht auch die Möglichkeit, sich über SSH oder seriell auf den Router zu verbinden.

Achtung

  • Um über LAN auf den Router zugreifen zu können, muss sich der PC im selben Netz wie der Router befinden.

Hinweis

  • In der Standard Konfiguration werden IPs über DHCP zur Verfügung gestellt.
  • Sollte die IP-Adresse nicht automatisch bezogen werden, wird eine IP-Adresse aus dem Bereich 192.168.0.0/24 benötigt. Zum Beispiel 192.168.0.1 mit der Subnetzmaske 255.255.255.0.

4.3.1 Webinterface

Um über einen Browser auf das Webinterface des G4000 zugreifen zu können, gibt man in der Adressleiste die IP-Adresse des Routers ein. Im Auslieferungszustand ist die IP-Adresse von lan auf 192.168.0.50 eingestellt. Der Router hört aber auch auf den Name tdt.router.

Da das Webinterface nur über SSL zu erreichen ist, muss der IP-Adresse https:// vorangestellt werden.

Beispiel:

https://tdt.router oder https://192.168.0.50

Im nun erscheinenden Anmeldefenster authentifiziert man sich mit dem Benutzernamen root und dem zugehörigen Passwort.

Achtung

  • Es wird dringend empfohlen, vor Beginn einer Konfiguration ein individuelles Passwort zu setzen!

4.3.2 Kommandozeile

Es steht auf dem Router auch eine Kommandozeile zur Verfügung. Über diese lassen sich beispielsweise auf einfachem Wege Analysen durchführen.

Der Zugriff auf die Shell kann sowohl über IP als auch seriell über den Micro-USB-Port auf der Vorderseite des G4000 erfolgen. In beiden Fällen lässt sich der Zugriff zum Beispiel über die Open-Source-Software PuTTY realisieren. Empfohlene PuTTY-Einstellungen sind hier zu finden.

4.3.2.1 Mit Secure Shell (SSH) über IP

Für den SSH Zugriff öffnet man zum Beispiel PuTTY, gibt dort bei Host Name (or IP address) die IP des G4000 ein und klickt auf den Open-Button. Im neu geöffneten Fenster meldet man sich nun mit dem Benutzernamen root und dem zugehörigen Passwort am System an.

In einer Linux-Umgebung kann der Zugriff direkt über das Terminal mit dem Kommando ssh root@192.168.0.50 erfolgen.

4.3.2.2 Seriell via USB-Konfigurationsport

Um seriell auf den G4000 zugreifen zu können, wird ein Terminalprogramm benötigt. Die Verbindung lässt sich auch über PuTTY realisieren.

Zuerst verbindet man den Router mit einem Micro-USB-Kabel über den Konsolenport mit dem Computer. Der Treiber für den USB Serial Port sollte danach automatisch installiert werden.

Um herauszufinden, welche COM-Schnittstelle verwendet wird, kann unter Windows der Geräte-Manager verwendet werden. Hier sollte nach erfolgreicher Installation ein USB Serial Port erscheinen.

Die nachfolgende Tabelle gibt die Werte wieder, die neben dem COM-Port für die serielle Schnittstelle im Terminalprogramm konfiguriert werden müssen.

Parameter für das Terminal-Programm
Parameter Wert
Speed (baud): 115200
Data bits: 8
Stop bits: 1
Parität: None
Flow control: None

Um den Login-Prompt zu erhalten, wird einmal die Entertaste betätigt. Danach kann man sich mit dem Benutzer root und dem entsprechenden Passwort am System anmelden.

5 Schnellstart

5.1 Passwort setzen/ändern

Achtung

  • Es wird dringend empfohlen, vor Beginn einer Konfiguration ein individuelles Passwort zu setzen!

Im Webinterface erscheint – solange das Passwort nicht geändert wurde – ein Warnhinweis mit einem Link zur Seite System > Administration, auf der ein neues Passwort gesetzt werden kann.

Hier wird das Passwort eingegeben und als Bestätigung wiederholt. Abschließend wird das neue Passwort mit Speichern & Anwenden übernommen.

Über eine SSH-Session oder über den Micro-USB-Konfigport wird eine Passwortänderung durch Aufruf des Kommandos passwd initiiert.

Achtung

  • Zur eigenen Sicherheit sollte ein sicheres Passwort gewählt werden!

5.2 Anpassen der LAN Schnittstelle(n)

Einer der ersten Schritte nach Inbetriebnahme ist in aller Regel das Anpassen der lokalen IP-Adresse an die benötigte Umgebung.

Hierfür wechselt man in das Menü Netzwerk > Schnittstellen, wählt dort die Schnittstelle lan aus und klickt auf die Bearbeiten-Schaltfläche.

In der neuen Maske wird nun die IPv4 Adresse und die für das Netzwerk verwendete IPv4 Netzmaske eingetragen.

Optional kann noch eine eigene, vom Standard abweichende IPv4 Broadcast IP eingetragen werden.

Wird statt IPv4 IPv6 benötigt oder soll eine IPv6-Konfiguration zusätzlich erfolgen, werden die nötigen Einstellungen auch hier ausgeführt.

5.2.1 DHCP-Server anpassen

Am Ende dieser Seite befinden sich Parameter für den DHCP-Server, der an dieser Schnittstelle standardmäßig läuft.

Soll der DHCP-Server für diese Schnittstelle deaktiviert werden, setzt man einfach ein Häkchen bei Schnittstelle ignorieren.

Zum Anpassen der DHCP-Range wird bei Start die kleinste zu vergebende IP-Adresse angegeben. Im Auslieferungszustand ist hier die 100 vergeben.

Hinweis

  • Es wird von 1 beginnend gezählt. Somit ist in der Standard-Konfiguration 192.168.0.100 die erste für DHCP-Clients verfügbare IP-Adresse.
  • Bei größeren Netzen, zum Beispiel mit einer Netzmaske von 255.255.0.0, wird entsprechend in 256er Schritten weitergezählt.
  • Eine Angabe der Start-IP ist in diesem Feld auch möglich, was gerade bei größeren Netzen einfacher ist.

So wäre bei einer angenommenen Router-IP von 10.10.10.254 mit einer Netzmaske 255.255.0.0 und einem Start-Wert von 610 die erste via DHCP vergebene Adresse die 10.10.2.98.

Der Wert Limit gibt an wie viele IP-Adressen von dem DHCP-Server maximal vergeben werden dürfen.

Hinweis

  • Bei dem Parameter Limit kann nur die Anzahl der DHCP-Hosts angegeben werden.

Bleiben wir bei unserem Beispiel, wäre bei einem Limit von 200 DHCP-Adressen die letzte mögliche IP die 10.10.3.41.

Hinweis

  • Eine statische IP-Zuweisung via DHCP wird unter Netzwerk > DHCP und DNS konfiguriert.

5.3 Aufbau einer Internetverbindung

Der G4000 bietet verschiedene Wege, eine Internetverbindung aufzubauen. Einerseits gibt es die Möglichkeit einer DSL Verbindung und über den WAN-Port lassen sich verschiedene Gateway-Verbindungen oder eine Anbindung über ein externes Modem realisieren.

Hinweis

  • Im Auslieferungszustand befinden sich alle WAN-Schnittstellen in der Firewall-Zone wan
    Ein Zugriff von Außen auf den Router ist hier standardmäßig nicht gestattet.

  • Der Router ist in der Standardkonfiguration mit einem voreingestellten Backup-System versehen.
    Dabei ist die Reihenfolge – von der höchsten Priorität zur niedrigsten – wan (Ethernet-Gateway-Verbindung) vor xdsl (DSL-Verbindung) vor wwan (Mobilfunk).

Achtung

  • Im Default sind die Schnittstellen xdsl (DSL-Verbindung) und wwan (Mobilfunk) nicht gestartet.

  • Zum Prüfen der einzelnen Verbindungswege werden vom Router aktiv ICMP-Pakete gesendet.

5.3.1 Konfiguration einer Gateway-Verbindung

5.3.1.1 Verbindungsaufbau via DHCP

Um eine Internetverbindung über ein Gateway – welches DHCP zur Verfügung stellt – aufzubauen, sind in der Regel keine Änderungen nötig. Es wird lediglich der WAN-Port mit dem entsprechenden Gateway verbunden.

5.3.1.2 WAN-IP statisch setzen

Um die IP-Adresse der WAN-Schnittstelle fest auf eine statische Adresse zu konfigurieren wechselt man in das Menü Netzwerk > Schnittstellen. Durch Drücken auf Bearbeiten bei der wan-Schnittstelle wird der Konfigurationsdialog aufgerufen.

Hier wird zuerst das Protokoll von DHCP Client auf Statische Adresse umgestellt und die Änderung über den Button Wechsele Protokoll bestätigt.

In der neuen Maske wird nun die IPv4 Adresse, die IPv4 Netzmaske und bei IPv4 Gateway die IP des zu verwendenden Gateways eingetragen.

Für die Namensauflösung ist bei Benutze eigene DNS-Server die Angabe eines entsprechenden Servers nötig.

Optional kann noch eine eigene, vom Standard abweichende IPv4 Broadcast IP eingetragen werden.

Wird statt IPv4 IPv6 benötigt oder soll eine IPv6-Konfiguration zusätzlich erfolgen, werden die nötigen Einstellungen auch hier ausgeführt.

5.4 Firewall Konfiguration

Die TDT Router werden standardmäßig mit einer Zonen-basierenden Firewall ausgeliefert.

Achtung

  • Im Auslieferungszustand befinden sich alle WAN-Schnittstellen in der Firewall-Zone wan.

    Ein Zugriff von außen auf den Router ist hier standardmäßig nicht gestattet.

    Aus der Zone wan wird der Zugriff auf lokale, hinter dem G4000 befindliche Geräte zurückgewiesen (rejected).

  • Lokale Schnittstellen befinden sich in der Zone lan der Firewall.

    Diese unterliegt keinen Restriktionen.

Auf der Übersichtsseite der Firewall befindet sich zuerst die Einstellungsmöglichkeit für das Verhalten, das für Schnittstellen ohne Zone Anwendung findet.

In der zusammengefassten Ansicht der Firewall-Zonen werden die Zonen mit ihren enthaltenen Schnittstellen angezeigt und welche Forwardings in andere Zonen erlaubt sind. Das heißt, wie das Verhalten ist, wenn ein Datenpaket am Router ankommt das in eine andere Zone geroutet wird. Ein Beispiel hierfür wäre eine Anfrage von einem Client-Computer an einen Webserver. Das Paket kommt an einer Schnittstelle der Zone lan an und wird über einen Routingeintrag an die Zone wan weitergeleitet, »geforwarded«.

Ein Port-Forwarding wäre, wie der Name schon sagt, ein weiteres Beispiel für ein »forwarded Paket«.

Zudem wird hier festgelegt, wie mit Paketen verfahren wird, die eine IP-Adresse des Routers ansprechen (Eingang/Input) oder die vom Router generiert werden (Ausgang/Output).

Ein ausgehendes »Masquerading«, eine Sonderform des Source-NAT, lässt sich hier für die Zone, durch anhaken der Funktion NAT aktivieren anlegen. Dadurch wird die Absender-IP-Adresse durch die Adresse der Schnittstelle ersetzt, über die der Datenstrom Richtung Ziel gesendet wird.

Mit der MSS Korrektur-Funktion wird die »Maximum Segment Size« für Datenpakete zu dem jeweiligen Ziel ermittelt. Das Verfahren ist auch als »Path MTU Discovery« bekannt und wird vor allem bei DSL-Verbindungen benötigt, da hier in der Regel eine Maximum Transmission Unit (MTU) kleiner der in lokalen Netzen üblichen 1500 Verwendung findet.

5.4.1 Port-Forwarding einrichten

Achtung

  • In der Default-Konfiguration werden Forwarding-Pakete zurückgewiesen (Rejected), außer es handelt sich um Port-Forwarding-Pakete (DNAT).

    Soll der Zugriff entsprechend eingeschränkt werden, muss das in der Port-Forwarding-Regel berücksichtigt werden.

Port-Forwardings lassen sich schnell und einfach unter Firewall > Portweiterleitungen einrichten.

Dazu wird der Name für das Port-Forwarding angegeben, das Protokoll ausgewählt, unter Externe Zone die Zone, an der die Anfragen auflaufen, und bei Externe Port der Port, der angesprochen wird, angegeben.

Für die lokale Seite wird die Interne Zone, das Ziel, die Interne IP-Adresse und der Interner Port der an dem Ziel-Gerät angesprochen werden soll, angegeben.

Mit Hinzufügen wird die Regel mit den angegebenen Parametern erstellt. Um diese Regel zu aktivieren, wird abschließend noch Speichern & Anwenden gedrückt.

5.4.2 Zugriff auf definierte Ports zulassen

Unter Firewall > Traffic Rules können Port-Freigaben verwaltet werden.

Hier finden sich verschiedene vordefinierte Regeln. Diese sind teilweise nicht aktiviert.

Um eine Regel bei Bedarf zu aktivieren oder deaktivieren, wird entsprechend ein Häkchen in der Spalte Aktivieren in der Übersichtstabelle gesetzt oder entfernt und die Änderung mit Speichern & Anwenden übernommen.

5.4.2.1 Ports für den Zugriff auf den Router öffnen

Um den Zugriff auf einen Port des G4000 zuzulassen wird im Bereich Ports auf dem Router öffnen ein Name für die Regel angenommen, das Protokoll und entsprechend Externer Port angegeben und die Regel mit Hinzufügen erstellt.

Nun kann die neu angelegte Regel über Bearbeiten noch weiter eingegrenzt werden, um zum Beispiel den Zugriff nur von einem definierten Absender (Quelladresse) zu erlauben.

Unter anderem können hier auch die Quell-Zone, an der das Paket am Router ankommt (standardmäßig wird hier die Zone wan gesetzt), und die Ziel-Zone angepasst werden. Beim Anlegen der Regel über die Ports auf dem Router öffnen-Routine wird die Ziel-Zone auf den Wert am Gerät (eingehend) gesetzt.

Um eine fälschlicherweise als eingehend (Accept input) angelegte Regel in eine weitergeleitete (Accept forward) zu ändern, wird die Ziel-Zone entsprechend auf die gewünschte Zone angepasst.

Zudem sind hier auch noch einige weitere Filter für die Regel zu setzen.

Speichern & Anwenden setzt die Regel mit der neuen Änderung in Kraft und speichert diese.

5.4.2.2 Zugriff auf Geräte hinter dem Router einrichten

Soll trotzdem ein Netzwerkteilnehmer erreicht werden, der sich in einer Zone befindet, in die keine globale Weiterleitung erlaubt ist, muss eine Neue Weiterleitungsregel erstellt werden.

Diese wird auf der Seite Firewall > Traffic Rules unter Angabe eines Regel-Name, der Quell-Zone – im Regelfall wan – und der Ziel-Zone – für die lokalen Geräte entsprechend lan – mittels Hinzufügen und bearbeiten... hinzugefügt und gleich bearbeitend geöffnet. Hier wird abschließend noch der Zielport angegeben.

Weitere Filter sind, wie schon unter Ports für den Zugriff auf den Router öffnen erwähnt, einzustellen.

Mit Speichern & Anwenden wird die neue Regel gespeichert und gleich aktiviert.

5.5 Dynamisches DNS einrichten

Dynamisches DNS erlaubt es, dass der G4000 immer unter dem gleichen Hostnamen erreichbar ist, selbst wenn sich die öffentliche IP-Adresse ändert.

Achtung

  • Da die meisten Mobilfunk-Provider nur private IP-Adressen verteilen, funktioniert der Zugriff über wwan auf den Router in der Regel nicht.

Um ein dynamisches DNS Update einzurichten, wechselt man in den Bereich Dienste > Dynamisches DNS. Hier hat man die Möglichkeit einen neuen Eintrag hinzuzufügen.

Im ersten Schritt wird auf der Konfigurationsseite der Lookup Hostname eingetragen und ausgewählt, ob eine IPv4- oder eine IPv6-Adresse aktualisiert werden soll.

Nachfolgend wird der DDNS-Diensteanbieter ausgewählt, zum Beispiel dyntdt.de. Ist der verwendete Dienst noch nicht hinterlegt, kann dieser über die Auswahl -- benutzerdefiniert -- selbst angelegt werden.

Dazu wird zum Beispiel https://[USERNAME]:[PASSWORD]@www.dnshome.de/dyndns.php?ip=[IP] bei Eigene Update-URL angegeben, wenn https://www.dnshome.de der Provider ist.

Wie die Update-URL im Speziellen aussehen muss, lässt sich in der Regel den Seiten des Service-Providers entnehmen.

Danach werden noch Rechnername/Domäne, Benutzername und Passwort eingetragen.

Um die Daten sicher zu übertragen, empfiehlt es sich, Verwende sicheres HTTP zu aktivieren und wenn das CA-Zertifikat nicht vorliegt, beim Pfad zum CA-Zertifikat IGNORE anzugeben, ansonsten den Speicherort.

Im Tab Erweiterte Einstellungen wird nun noch die zu updatende IP address source ausgewählt. Standard ist hier Netzwerk und als Netzwerk lan.

Speichern übernimmt die neuen Einstellungen.

Zurück auf der Übersichtsseite wird noch das Häkchen bei Einschalten gesetzt und mit Speichern & Anwenden gespeichert und aktiviert.

6 Weiterführende Konfiguration

6.1 Virtual Private Network

Ein VPN dient dazu, ein weiteres Netz über ein bestehendes zu legen. Hierfür stehen viele unterschiedliche Ansätze zur Verfügung. Zumeist wird fälschlicher Weise angenommen, dass ein Virtual Private Network zwangsläufig eine sichere Datenübertragung darstellt und die Übertragung mittels Authentifizierung und Verschlüsselung gesichert ist. Das ist aber nicht zwingend der Fall.

In der heutigen Zeit werden überwiegend zwei unterschiedliche Technologien für die Realisierung eines VPN verwendet:

Diese werden zum Beispiel verwendet um mehrere Unternehmensstandorte miteinander zu verbinden (Site to Site) oder externen/reisenden Mitarbeitern (Roadwarrior) den Zugriff auf (lokale) Unternehmensdienste zu gewähren.

Die beiden Ansätze werden im Folgenden kurz umrissen.

Zudem sei an dieser Stelle erwähnt, dass die Router der G4000-Serie als weitere Option die neue VPN-Lösung WireGuard enthalten. Diese bietet beispielsweise moderne kryptographische Verfahren und eine einfache Konfiguration von plattformübergreifenden Fernzugriffen über verschiedene Endgeräte.

6.1.1 IPsec

IPsec ist die Abkürzung für Internet Protocol Security. Sie ermöglicht eine gesicherte Kommunikation über potentiell unsichere IP-Netze, wie z.B. dem Internet.

Im Gegensatz zu anderen Verschlüsselungsprotokollen wie z.B. SSL, das auf der Transportschicht aufbaut, arbeitet IPsec direkt auf der Internetschicht (internet layer) des TCP/IP-Protokollstapels. Damit ist es für Anwendungen transparent.

IPsec verwendet zur Verbindungsaushandlung zwei Phasen.

6.1.1.1 Phase 1 – Schlüsselaustausch

In der ersten Phase erfolgt die Verschlüsselungsvereinbarung und Authentisierung (Internet Key Exchange = IKE). Dabei werden über mehrere Schritte geheime Schlüssel generiert und eine SA (Security-Association) ausgehandelt. Die sogenannte ISAKMP-SA oder kurz IKE-SA, wobei ISAKMP für Internet Security Association and Key Management Protocol steht.

Die Authentifizierung erfolgt dabei zum Beispiel über Pre-Shared Key (psk) oder Zertifikate (RSA oder ECDSA).

6.1.1.2 Phase 2 – Aushandlung der Datenaustauschparameter

In der zweiten Phase der IPsec-Aushandlung wird der Quick Mode verwendet. Die gesamte Kommunikation in dieser Phase erfolgt verschlüsselt (Schutz durch die IKE SA). Dabei werden nochmals SAs erzeugt, die zum eigentlichen Datenaustausch benutzt werden. Um die Sicherheit zu erhöhen, enthält diese »Daten-SA« – meist als IPsec-SA oder CHILD_SA bezeichnet – keine Informationen aus Phase 1.

Für die Übertragung der Daten wird einer der zwei Modi verwendet: Transport- oder Tunnel-Modus. Dazu stehen jeweils die Verfahren Authentication Header (AH) oder Encryption Security Payload (ESP) zur Verfügung, wobei ESP in der Regel bevorzugt verwendet wird.

AH basiert auf einem zusätzlichen Header, der dem normalen IP-Header folgt. Bei ESP enthalten die Nutzdaten ebenfalls einen Header, der den Security Parameters Index (SPI) enthält. Die Existenz dieser Header wird durch die Transport-Protokoll-Nummer im IP-Header angezeigt.

  • Transport-Modus nur die Paket-Inhalte werden verschlüsselt, der IP-Header bleibt erhalten.

    • AH basiert auf einem zusätzlichen Header, der dem normalen IP-Header folgt.

    • ESP verschlüsselt die Daten des Paketes, der IP-Header bleibt erhalten.

  • Tunnel-Modus verschlüsselt das ursprüngliche Paket und versendet dieses in einem neuen Paket.

    • AH erzeugt ein neues IP-Paket, das einen Authentication-Header über das ursprüngliche Paket enthält.

    • ESP verschlüsselt das komplette IP-Paket und kapselt das verschlüsselte Paket in ein neues Paket.

      • PFS Perfect Forward Secrecy sichert dabei optional die Integrität der Daten.

6.1.1.3 Fazit

  • Große Verbreitung bei Firewalls, Gateways, Servern und Routern, und somit nahezu überall einsetzbar.

6.1.1.4 Voraussetzungen

Um eine IPsec-Verbindung erfolgreich aufzubauen, müssen im Vorfeld mehrere Punkte berücksichtigt/geklärt werden.

  • Mindestens eine Seite muss über eine öffentliche IP erreichbar sein.

  • Authentifizierungs- und Verschlüsselungsparameter müssen festgelegt werden.

  • Die zu verbindenden Netze/Hosts müssen bekannt sein.

  • Auf der Zentralseite sind folgende Ports in der Firewall freizugegeben, beziehungsweise weiterzuleiten:

Port Protokoll Beschreibung
ESP Protokoll für ESP (Encapsulated Security Payload)
500 UDP Quell- und Zielport für IKE (Internet Key Exchange)
4500 UDP Wird benötigt, wenn sich der IPsec-Server hinter einem NAT-Gateway oder einer Masquerading-Firewall befindet.

6.1.1.5 Implementation

In aktuellen Firmware Versionen wird die IPsec-Implementation strongSwan eingesetzt. Eine ausführliche Dokumentation und Beispielkonfigurationen befinden sich im strongSwan Wiki.

6.1.2 OpenVPN

Bei OpenVPN handelt es sich nicht um eine unsichere VPN-Lösung, wie der Name vielleicht vermuten lässt. Dieser bringt lediglich zum Ausdruck, dass der Quellcode kostenlos und frei abrufbar ist. Die Software ist unter der GNU GPL lizenziert und unterstützt eine Vielzahl (moderner) Betriebssysteme.

OpenVPN dient zum Aufbau von Virtuellen Privaten Netzwerken über eine verschlüsselte TLS Verbindung (Transport Layer Security, weitläufiger bekannt unter der Vorgängerbezeichnung SSL = Secure Sockets Layer). Die Authentifizierung kann zum einen über Username / Passwort, Zertifikate oder einen statischen Secret Key erfolgen.

6.1.2.1 Routing-Modus

Mit Hilfe von OpenVPN können Routed-VPN (Layer 3) aufgebaut werden. Dabei wird ein verschlüsselter Tunnel zwischen zwei fiktiven IP-Adressen eines Subnetzes, dem sogenanten Transportnetz, aufgebaut. Um einen Tunnel zwischen zwei Gegenstellen herzustellen stellt dies eine einfache Form der sicheren Kommunikation.

Über einen VPN-Tunnel im Routing-Modus werden ausschließlich IP-Pakete geleitet. Layer 2 Daten werden nicht übertragen. Gerade bei Internetanbindungen mit geringer Bandbreite oder sogar Trafficlimitierung ist diese Variante zu bevorzugen, da ohne die Ethernet-Frames erheblich weniger Daten über den Tunnel übertragen werden.

6.1.2.2 Bridging-Modus

Die Variante des Bridged-VPN bietet den Vorteil des vollständigen Tunnelns von Ethernet-Frames (Layer 2). Ein Client wird völlig transparent integriert und erhält eine IP-Adresse des dortigen Subnetzes. Somit erlaubt dieser Modus auch den Einsatz alternativer Protokolle wie IPX oder unterstützt das Senden von Wake-On-LAN-Paketen.

6.1.2.3 Fazit

  • Nur ein Port nötig, der zudem frei konfigurierbar ist. (Standard: 1194)
  • Protokoll frei wählbar: TCP oder UDP (Standard: UDP)
  • Zwei Betriebsmodi: Routed und Bridged

6.1.3 WireGuard®

WireGuard ist eine noch sehr junge Technologie, um sichere und leistungsfähige virtuelle private Netze (VPNs) mit geringem Aufwand zu realisieren. Es handelt sich um ein Open-Source-Protokoll und eine Open-Source-Software, die eine Alternative zu etablierten VPN-Lösungen wie OpenVPN oder IPsec bieten soll.

WireGuard wurde mit dem Ziel entwickelt, VPNs einfacher zu machen und eine Alternative zu bestehenden VPN-Lösungen zu bieten. Die Open-Source-Software und das -Protokoll konkurrieren mit VPN-Technologien wie IPsec oder OpenVPN. Im Vergleich zu existierenden Lösungen soll die Konfiguration von VPN-Verbindungen einfacher und schneller sein.

WireGuard arbeitet mit hoher Performance auf dem Layer 3 des OSI-Schichtenmodells und unterstützt sowohl IPv4 als auch IPv6. Die Software ist bewusst einfach und überschaubar gehalten. Sie besteht lediglich aus circa 4.000 Zeilen Programmiercode. Andere VPN-Lösungen haben teilweise mehrere hunderttausend Zeilen Quelltext. Entwickelt wurde die neue VPN-Alternative von Jason A. Donenfeld. Sie ist für unterschiedliche Plattformen wie verschiedene Linux-Distributionen, macOS, Android oder iOS verfügbar. Auf Linux-Systemen läuft der Code als Modul im Kernel und erzielt eine hohe Performance. Seit 2018 bieten VPN-Provider wie Mullvad and AzireVPN erste Services auf Basis der neuen VPN-Lösung.

Hinweis

  • Die Entwicklungsphase von WireGuard ist noch nicht abgeschlossen.

  • Der WireGuard-Support soll in den Linux Kernel 5.6 einfliesen.

6.1.3.1 Designprinzipien von WireGuard®

Folgende Ziele wurden beim Design der VPN-Alternative verfolgt:

  • einfache Nutzbarkeit
  • hohe Performance
  • hohe Sicherheit durch Verwendung aktueller kryptographischer Verfahren
  • überschaubarer Code mit minimaler Angriffsfläche
  • sorgfältig durchdachtes Gesamtkonzept

WireGuard zeichnet sich im Vergleich zu den bestehenden meist sehr komplexen VPN-Lösungen durch seine Einfachheit aus. Die Software bietet weniger Konfigurationsmöglichkeiten und beschränkt sich auf das Notwendigste. Dadurch ist die Lösung einfach zu nutzen und ihre Sicherheit leicht zu überprüfen. Mögliche Schwachstellen sind im überschaubaren Code einfach zu finden. Um ein hohes Sicherheitsniveau bei der Verschlüsselung der Daten zu erreichen, nutzt WireGuard moderne kryptographische Verfahren. Identitäten von VPN-Teilnehmern sind mit ihren öffentlichen Schlüsseln verknüpft. Verbindungen werden ähnlich wie bei SSH durch den Austausch der öffentlichen Schlüssel aufgebaut. Die Architektur basiert auf dem Peer-to-Peer-Modell.

6.1.3.2 Verwendete Protokolle

Für den Aufbau von VPN-Verbindungen und den Austausch von Daten greift WireGuard auf verschiedene Protokolle zurück. Die wichtigsten Protokolle sind:

  • Curve25519 (ECDHE) für den Austausch von Schlüsseln
  • ChaCha20 und Poly1305 für den Austausch und die Verschlüsselung der Daten
  • BLAKE2s für das Hashing
  • Ed25519 für das Public-Key-Authentifizierungverfahren

Die VPN-Lösung beschränkt sich bewusst auf die drei Grundfunktionen für verschlüsselte Verbindungen. Der Schlüsseltausch erfolgt im Handshake per Curve25519 mit Elliptic Curve Diffie-Hellman (ECDHE). BLAKE2s dient als universelle Hashfunktion und generiert beispielsweise Keyed-Hash Message Authentication Codes (HMAC) oder leitet Schlüssel mit HMAC-based Key Derivation Funciton (HKDF) ab. Für die symmetrische Verschlüsselung der ausgetauschten Daten sind ChaCha20 und Poly1305 zuständig. Neben der nativen Unterstützung von IPv4 und IPv6 ist es möglich, IPv4 in IPv6 zu enkapsulieren und umgekehrt.

Als ein glühender Befürworter der Aufnahme zeigte sich auch Linus Torvalds. Wie der Linux-Vater im Zuge der Aufnahme von Netzwerk-Patches aus dem experimentellen Zweig des Kernels bestätigte, sehe auch er die gängigen Alternativen als zu schwerfällig und zu kompliziert an. Laut Torvalds sei WireGuard im direkten Vergleich mit dem »Horror von OpenVPN und IPsec« ein Kunstwerk. »Er liebe deshalb die Implementierung – auch wenn sie noch nicht perfekt sei – und wünsche sich eine baldige Aufnahme in den Kernel« so Torvalds sinngemäß.

Quelle: Security Insider

6.1.3.3 Fazit

  • Modernes schlankes VPN-Protokoll.
  • Einfache Konfiguration, weil sich WireGuard bewusst auf die drei Grundfunktionen verschlüsselter Verbindungen beschränkt.
  • Schneller Handover im Backupfall, da nicht Verbindungsorientiert.
  • Verfügbar auf nahezu allen Software-Plattformen.
  • Einfache Überprüfbarkeit durch kurzen Quellcode.
  • Hohe Sicherheit durch State of the Art Kryptographie

7 Anleitungen und HowTos

7.1 Konfiguration sichern und wiederherstellen

Der Router bietet unter System > Backup / Firmware Update verschiedene Möglichkeiten, Konfigurationen zu verwalten.

7.1.1 Sicherung erstellen

Zum Erstellen einer Konfigurationssicherung wird auf der Seite bei Backup herunterladen der Button Sicherung erstellen betätigt.

Nun wird die Konfiguration gepackt und zum Download angeboten. Ist der Browser auf »Automatisch im folgenden Ordner abspeichern« eingestellt, wird die Konfiguration im angegebenen Ordner – in den meisten Browsern standardmäßig Downloads – gespeichert.

Dabei wird der Dateiname nach dem Schema YYYY-MM-DD-backup-HOSTNAME.tar.gz erzeugt. Fragt der Browser vor dem Speichern nach, ist der Dateiname beliebig wählbar, die Endung .tar.gz muss aber erhalten bleiben.

Die Konfiguration kann nach dem Herunterladen lokal am PC oder in der Server-Infrastruktur abgelegt werden.

7.1.2 Backup einspielen

Eine einmal erstellte Sicherung kann jederzeit – auch auf einem anderen, baugleichen Gerät – wieder eingespielt werden.

Dazu wird im Bereich Sicherung wiederherstellen lokal nach der gewünschten Datei gesucht und diese über die Schaltfläche Backup wiederherstellen... eingespielt. Dabei wird die gesicherte Konfiguration geladen und die Änderungen durch einen Reboot aktiviert.

7.1.3 Auslieferungszustand wiederherstellen

Der Auslieferungszustand lässt sich auf mehreren Wegen wiederherstellen. Einerseits gibt es hier den Weg über das Webinterface, weiterhin besteht die Möglichkeit mittels Kommandozeile und schließlich lässt sich dies über den Reset-Taster auslösen.

7.1.3.1 Webinterface

Über das Webinterface lässt sich der Factory-Reset auf der Menü-Seite System > Backup / Firmware Update im Bereich Auslieferungszustand wiederherstellen auslösen, indem man den Button Reset durchführen betätigt.

7.1.3.2 Kommandozeile

Um den Auslieferungszustand über die Kommandozeile wiederherzustellen wird das Kommando firstboot eingegeben und der Reset mit y (= yes) bestätigt.

7.1.3.3 Reset-Taster

Durch das Gedrückt-Halten des Reset-Tasters auf der Vorderseite des G4000 länger als fünf Sekunden, wird beim Loslassen die Werkseinstellung geladen und ein Neustart des Gerätes ausgelöst.

7.2 Firmware-Aktualisierung

Ein Update der Router-Firmware lässt sich im Webinterface auf unterschiedlichen Wegen durchführen: Einerseits über einen manuellen Upload des Firmware-Images und andererseits online über den TDT-Updateserver.

7.2.1 Offline Update

Im Bereich Neues Firmware Image schreiben auf der Menü-Seite System > Backup / Firmware Update wird bei Image die Datei auf dem lokalen System ausgewählt.

Standardmäßig ist das Häkchen bei Konfiguration beibehalten vorausgewählt. Soll der Router nach dem Update mit Werkseinstellungen starten, muss das Häkchen an dieser Stelle entfernt werden.

Der Update-Prozess wird durch Drücken von Firmware aktualisieren... gestartet.

Im ersten Schritt wird die Checksumme überprüft. Ist diese korrekt, kann mit Fortfahren das Image geflasht werden, es besteht aber auch die Möglichkeit, den Vorgang abzubrechen.

7.2.2 Online Update

Im Menü unter System > Online Firmware Update kann auf dem TDT-Updateserver nach einer neueren, zur Verfügung stehenden Software-Version gesucht werden.

Dazu klickt man bei Auf Aktualisierungen prüfen auf Prüfen. Daraufhin wird am Server angefragt und das Ergebnis entsprechend ausgegeben.

Steht ein neueres Firmware-Image bereit, kann man dieses direkt von dieser Seite aus einspielen.

Auch hier ist standardmäßig das Häkchen bei Konfiguration beibehalten gesetzt. Um nach dem Update mit Werkseinstellungen zu starten, muss das Häkchen an dieser Stelle entfernt werden.

Bei Update durchführen wird mit Firmware aktualisieren... der Vorgang gestartet. Hier wird zuerst die Signatur und danach die Checksumme überprüft. Sind diese korrekt, wird die neue Firmware, ohne weitere Rückfrage geflasht.

8 Tipps und Tricks

8.1 Empfohlene PuTTY-Einstellungen

Um in Windows-Umgebungen optimal mit dem Router arbeiten zu können, sind die folgenden PuTTY-Einstellungen zu empfehlen.

Unter Terminal > Features wird bei Disable application keypad mode das Häkchen gesetzt. Hierdurch wird zum Beispiel der Umgang mit VI erleichtert, da so der Nummernblock nutzbar wird.

PuTTY für VI
PuTTY für VI

Im Menü Window wird der Wert bei Lines of scrollback auf 20000-Zeilen gestellt, um weiter zurückscrollen zu können.

PuTTY Anzahl der Zeilen erhöhen
PuTTY Anzahl der Zeilen erhöhen

Um die Zeichen korrekt darzustellen, sollte der Zeichensatz unter Window > Translation auf UTF-8 gesetzt werden.

PuTTY Zeichenkodierung auf UTF-8
PuTTY Zeichenkodierung auf UTF-8

Da die Farbe Blau unter PuTTY auf schwarzem Hintergrund nicht optimal lesbar ist, empfiehlt es sich, hier nachzubessern. Dies wird unter Window > Colors bei Select A Color to adjust für die Farbe ANSI Blue eingestellt. Dabei werden die Werte entsprechend Red und Green jeweils auf 54 und Blue auf 216 gestellt.

PuTTY Blau optimieren
PuTTY Blau optimieren

Um die SSH Session am »Leben« zu erhalten, kann der Parameter Seconds between keepalives unter Connection auf 30 gestellt werden.

PuTTY SSH-Keepalive aktivieren
PuTTY SSH-Keepalive aktivieren

Gerade für langsame Verbindungen lässt sich, unter Connection > SSH das Häkchen bei Enable Compression setzen, um die Daten komprimiert zu übertragen.

PuTTY SSH-Daten komprimieren
PuTTY SSH-Daten komprimieren

Als letzte Einstellung lässt sich noch die Serielle-Kommunikation konfigurieren. Über das Menü Connection > Serial werden die Werte entsprechend der folgenden Tabelle festgelegt.

Parameter Wert
Speed (baud): 115200
Data bits: 8
Stop bits: 1
Parity: None
Flow control: None
PuTTY Parameter für die Serielle-Verbindung
PuTTY Parameter für die Serielle-Verbindung

Abschließend werden die Daten als Standard oder als eigenes Profil unter Session gespeichert. Dazu wird entweder das Profil Default Settings markiert oder im Eingabefeld ein eigener Session-Name angegeben und über den Button Save gespeichert.

PuTTY Session speichern
PuTTY Session speichern

9 Anhänge