Handbuch VR2020-LD

Version 2.1.1

Impressum

Haftung

Die Zusammenstellung von Texten und Abbildungen für das Manual erfolgte mit größter Sorgfalt. Dennoch können Fehler nicht vollständig ausgeschlossen werden.

Der Herausgeber übernimmt für fehlerhafte Angaben und deren Folgen keinerlei Haftung.

Änderungen an der Dokumentation und den darin beschriebenen Produkten bleiben jederzeit und ohne vorherige Ankündigung vorbehalten.

Ansprechpartner

Als Ansprechpartner bei Problemen oder Fragen zu dieser Dokumentation steht Ihnen das TDT Expert Support Team gerne zur Verfügung.

Copyright

TDT AG
Siemensstraße 18
84051 Essenbach

Tel.: +49 (8703) 929-00
Fax: +49 (8703) 929-201

Web: www.tdt.de
Email: support@tdt.de

© 2021 TDT AG – Stefan Haunreiter



Viel Spaß und Erfolg wünscht Ihnen
Ihr TDT Team

1 Sicherheitshinweise

Diese Dokumentation enthält Hinweise, die zur persönlichen Sicherheit der Benutzer sowie zur Vermeidung von Schäden des VR2020-LD oder anderweitigen Sachschäden eingehalten werden müssen.

Im Rahmen laufender Sicherheitsprüfungen ist TDT stets bestrebt, seine Produkte so sicher wie möglich zu machen und legt sowohl während der Entwicklung, als auch bei den regelmäßigen Firmware Updates höchsten Wert auf die Einhaltung aktueller Sicherheits- und Qualitätsstandards.

1.1 Allgemeine Sicherheitshinweise

1.2 Sicherheitshinweise für Geräte mit Funkeinrichtung

Enthält der Router ein Mobilfunk und/oder WLAN Sendemodul, sind zusätzlich folgende Sicherheitshinweise zu beachten.

2 Produktinformationen

2.1 Beschreibung VR2020-LD

Der VPN-Router – VR2020-LD mit VDSL/ADSL und Mobilfunk – wird nach höchsten Qualitätsstandards gefertigt und eignet sich durch seine hohe Flexibilität sowohl hervorragend zum Aufbau sicherer Filialnetze als auch zur Anbindung mobiler Außenstellen.

High-Speed Internetzugang mit extrem hoher Ausfallsicherheit erreicht der VR2020-LD durch das intelligente Backup-Management und den Einsatz von zwei SIM-Karten (Dual-SIM Support).

Damit der Router an allen modernen xDSL-Anschlüssen, einschließlich All-IP betrieben werden kann, besitzt der VR2020-LD ein integriertes DSL-Modem, das die Standards ADSL/2/2+ und VDSL/VDSL2 sowie VDSL2-Vectoring unterstützt.
Die 2G, 3G und 4G (LTE = Long Term Evolution) Funkanbindung erfolgt über ein Multiband-Modem das die Standards LTE, HSPA+, HSDPA/HSUPA, UMTS, EDGE und GPRS beherrscht.
Der Ethernet-WAN-Port erlaubt sowohl die Realisierung beliebiger Gateway-Verbindungen als auch den Anschluss externer Modems (z.B. SDSL, Kabel, FTTH).

Via permanent aufgebautem VPN-Tunnel lässt sich ein VR2020-LD Router problemlos in ein Filialnetz ein-, oder an eine Zentrale anbinden und ist so mittels privater IP-Adressierung direkt erreichbar. DynDNS ist in diesem Fall für den Zugriff nicht erforderlich, lässt sich aber jederzeit einrichten.

Für höchste Sicherheit bei der Datenübertragung sorgen die voll implementierten VPN-Standards IPsec und OpenVPN. Die Authentifizierung erfolgt wahlweise durch hinterlegte Zertifikate oder Pre-Shared Keys. Dabei unterstützt der VPN-Router alle modernen Verschlüsselungsalgorithmen wie AES mit bis zu 256 Bit Schlüssellänge.

In Punkto Sicherheit ist zudem das integrierte Trusted Platform Module (TPM) besonders hervorzuheben, das zum sicheren Speichern von geheimen Schlüsseln verwendet wird. Kryptographische Schlüssel können mit Unterstützung des integrierten und sicheren Zufallsgenerators (RNG) innerhalb des TPM erzeugt, benutzt und sicher abgelegt werden.
Das Trusted Platform Module bietet dabei sowohl Schutz vor Softwareangriffen als auch Hardwaremanipulationen.

Zum Schutz Ihres Netzwerkes vor Angriffen steht Ihnen eine konfigurierbare High-Security Firewall zur Verfügung. Diese lässt sich durch Regeln und Skripte einfach an Ihre individuellen Anforderungen anpassen.

Komfortabel lässt sich der VPN-Router – sowohl lokal als auch aus der Ferne – über das intuitive Webinterface konfigurieren. Experten können den VR2020-LD auch per Command Line (SSH) verwalten.

Für den Einsatz in Filialnetzen bietet sich die automatisierte Fernkonfiguration/-wartung per TDT ACS – einen Auto-Configuration-Server nach dem TR-069-Standard – sowie die Überwachung über ein Netzwerk-Management-System wie zum Beispiel Check_MK an.

2.2 Technische Daten

Hardwarespezifikationen Basissystem

xDSL-Modul

Mobilfunkmodul

Positionsbestimmung (optional)

Technische Daten

Router-Features

Sicherheitsfeatures

High-Availability-Features

Managementfeatures

2.3 EU-Konformitätserklärung

Hiermit erklärt TDT, dass der Funkanlagentyp VR2020-LD der Richtlinie 2014/53/EU entspricht.

Der vollständige Text der EU-Konformitätserklärung ist unter der folgenden Internetadresse verfügbar: download.tdt.de

2.4 Packungsinhalt

Im Lieferumfang des VR2020-LD sind folgende Zubehörteile enthalten:

2.5 Vorderseite

Auf der Vorderseite des VR2020-LD befinden sich von links nach rechts:

Warnung!

  • Um Schäden am Gerät oder der SIM-Karte zu vermeiden darf die SIM-Karte nur im spannungsfreien Zustand eingelegt oder entnommen werden!

2.5.1 LED-Verhalten

LAN
aus Kein Link an einem der LAN-Ports vorhanden.
an Mindestens ein LAN Port hat einen Link.
flackernd Datentransfer an mindestens einem LAN-Port.
WAN
aus Kein Link am WAN-Ports vorhanden.
an Der LAN Port hat einen aktiven Link.
flackernd Datentransfer am WAN-Port.
Cellular
aus Sind auch die Signal-LEDs aus, ist der Router an keiner Mobilfunk-Zelle registriert. Der Router hat kein Signal im eigenen Netz.
Ist mindestens eine der Signal-LEDs an, ist der Router in einem 2G Netz (GPRS/EDGE) registriert.
blinkend Der Router ist im Mobielfunk-Netz registriert und ein 3G Signal (UMTS/HSPA/+) liegt an.
an Die aktuelle Technologie ist 4G (LTE). der Router ist in einer Mobilfunk-Zelle registriert.
Sind alle Signal LEDs aus, ist der Router nicht im Mobilfunk-Netz registriert, oder hat kein Signal.
Signal blinkend an
I An einer Mobilfunk-Zelle registriert.
Der Signalpegel beträgt zwischen 0% und 17%.

Signalpegel zwischen 17% und 33%.
II Signalpegel zwischen 33% und 50%. Signalpegel zwischen 50% und 66%.
III Signalpegel zwischen 66% und 83%. Signalpegel zwischen 83% und 100%.
xDSL
aus Nicht Synchron/keine Pilottöne.
blinkend Synch-Aushandlung/Trainingsphase.
an Die xDSL-Schnittstelle ist erfolgreich synchronisiert.
flackernd Datentransfer über xDSL.
Power
aus Router nicht mit der Spannungsversorgung verbunden.
an Spannung liegt an.

2.5.2 Reset-Taster

Funktionen des Reset-Tasters
Dauer Aktion
kurz drücken (<1 Sekunde): Startet den Router neu.
lang drücken (>5 Sekunden): Versetzt das Gerät in den Auslieferungszustand zurück.

2.6 Rückseite

Übersicht der Anschlüsse
Anschluss Beschreibung
xDSL RJ45/RJ48s Anschluss für die Verbindung zwischen TAE-Dose und Router.
WAN 10/100/1000BaseT Schnittstelle RJ45/RJ48s.
Diese verfügt über eine automatische Erkennung der Geschwindigkeit, sowie des Kabeltyps (1:1 oder gekreuzt).
GPS/GNSS Optionaler Anschluss für eine Antenne zur Positionsbestimmung über ein globales Navigationssatellitensystem (GPS/GLONASS).
Serial Optionale Serielle-Schnittstelle in Form einer Klemmleiste (dreipolig Rx, Tx, GND).
LAN 1-4 10/100BaseT 4-Port Switch.
Die Ports verfügen über eigene MAC-Adressen, sind Auto-Sensing-fähig und können bei Bedarf virtuell separiert werden.
USB (2x) Per Default deaktiviert.
Die USB-Ports sind für zukünftige Anwendungen vorgesehen (z.B. für externes Logging, USV Verwaltung).
Cellular MIMO SMA-Buchse für den Anschluss der zweiten Antenne, des zweiten Antennenkabels.
Cellular MAIN Anschluss für die primäre Antenne oder des ersten Antennenkabels.
Diese muss zwingend verbunden werden.
Power Weitbereichsspannungseingang 9V..30V DC mit Hohlstecker. Optional auch als Klemmleiste bestellbar.

3 TDT-Support

Unser Team vom TDT Expert Support unterstützt Sie bei Fragen rund um die Konfiguration Ihres Geräts und hilft Ihnen bei der Analyse und Behebung von Problemen gerne weiter.

Die Support-Hotline erreichen Sie montags bis freitags von 08:00 bis 18:00 Uhr telefonisch* unter

+49 8703 929-112

oder jederzeit per E-Mail an

support@tdt.de.

Um Ihnen optimal helfen zu können, bitten wir Sie, uns bei Supportanfragen immer die über die Seite Hilfe > TDT-Support erstellten Supportinformationen** mitzusenden.

* Ausgenommen bundeseinheitliche Feiertage
** Die Supportdaten enthalten keine vertraulichen Daten wie etwa Passwörter oder PIN-Codes.

4 Erste Schritte

4.1 Inbetriebnahme

Achtung

  • Um Schäden am Gerät oder der SIM-Karte zu vermeiden darf die SIM-Karte nur im spannungsfreien Zustand eingelegt oder entnommen werden!

Achtung

  • Um Schäden durch Kondenswasser auszuschließen, muss der Router – bevor er mit Spannung versorgt wird – auf Raumtemperatur gebracht werden.
    Dazu sollte der Router ca. eine Stunde vor Inbetriebnahme aus der Verpackung genommen werden.
  • Um Beschädigungen an dem Gerät zu vermeiden, sollte auf einen umsichtigen Umgang geachtet werden.
  1. Die Transportverpackung vorsichtig öffnen.

  2. Router entnehmen. Dazu die Kartonlaschen nach oben klappen und das Gerät unter der Folie herausziehen.

  3. Anschließen der nötigen Kabel am Router (siehe Übersicht der Anschlüsse), zum Beispiel:
    • Ethernet-Kabel am LAN-Port.
    • Ethernet-Kabel am WAN-Port.
    • TAE Kabel an der xDSL-Buchse.
    • Antennenkabel für Mobilfunk an den dafür vorgesehenen Ports.
  4. Den Router erst jetzt mit der Spannungsversorgung verbinden.

Sobald der Startvorgang vollständig abgeschlossen ist, kann der Router über IP erreicht werden.

Achtung

  • Bei ersten Booten kann es bis zu zwei Minuten dauern, bis der Router erreichbar ist.

4.2 Zugangsdaten und IP-Adressen

Der VR2020-LD hat im »Factory-Default« die IP-Adresse 192.168.0.50 inne, der Benutzer ist root. Das Passwort wird im Produktionsprozess für jeden Router individuell generiert und auf das Typenschild aufgedruckt.

Zudem werden in der Standardkonfiguration IP-Adressen über DHCP zur Verfügung gestellt.

Die Range ist hierbei von 192.168.0.100 bis 192.168.0.250 festgelegt.

Zugangsdaten und IP-Adressen im Auslieferungszustand
Parameter Wert
IP-Adresse: 192.168.0.50
DNS-Namen: tdt.router oder VR2020-LD.lan
Benutzername: root
Passwort: Wird für jeden Router generiert (siehe Typenschild).
Ist kein Passwort aufgedruckt, entspricht es der Seriennummer.

Achtung

  • Im Auslieferungszustand hat jeder VR2020-LD ein individuelles Passwort, das auf dem Typenschild zu finden ist.

  • Es wird trotzdem dringend empfohlen, vor Beginn einer Konfiguration ein individuelles Passwort zu vergeben!

  • Notieren Sie sich das Passwort vor der Installation, um nach Wiederherstellen der Werkseinstellungen weiter auf das Gerät zugreifen zu können.

4.3 Wie verbinde ich mich auf den Router?

Um den Router konfigurieren zu können, steht zum einen das Webinterface – für die einfache Konfiguration im Browser – zur Verfügung. Zum anderen besteht auch die Möglichkeit, sich über SSH oder seriell auf den Router zu verbinden.

Achtung

  • Um über LAN auf den Router zugreifen zu können, muss sich der PC im selben Netz wie der Router befinden.

Hinweis

  • In der Standard Konfiguration werden IPs über DHCP zur Verfügung gestellt.
  • Sollte die IP-Adresse nicht automatisch bezogen werden, wird eine IP-Adresse aus dem Bereich 192.168.0.0/24 benötigt. Zum Beispiel 192.168.0.1 mit der Subnetzmaske 255.255.255.0.

4.3.1 Webinterface

Um über einen Browser auf das Webinterface des VR2020-LD zugreifen zu können, gibt man in der Adressleiste die IP-Adresse des Routers ein. Im Auslieferungszustand ist die IP-Adresse von lan auf 192.168.0.50 eingestellt. Der Router hört aber auch auf den Name tdt.router.

Da das Webinterface nur über SSL zu erreichen ist, muss der IP-Adresse https:// vorangestellt werden.

Beispiel:

https://tdt.router oder https://192.168.0.50

Im nun erscheinenden Anmeldefenster authentifiziert man sich mit dem Benutzernamen root und dem zugehörigen Passwort.

Achtung

  • Es wird dringend empfohlen, vor Beginn einer Konfiguration ein individuelles Passwort zu setzen!

4.3.2 Kommandozeile

Es steht auf dem Router auch eine Kommandozeile zur Verfügung. Über diese lassen sich beispielsweise auf einfachem Wege Analysen durchführen.

Der Zugriff auf die Shell kann sowohl über IP als auch seriell über den Micro-USB-Port auf der Vorderseite des VR2020-LD erfolgen. In beiden Fällen lässt sich der Zugriff zum Beispiel über die Open-Source-Software PuTTY realisieren. Empfohlene PuTTY-Einstellungen sind hier zu finden.

4.3.2.1 Mit Secure Shell (SSH) über IP

Für den SSH Zugriff öffnet man zum Beispiel PuTTY, gibt dort bei Host Name (or IP address) die IP des VR2020-LD ein und klickt auf den Open-Button. Im neu geöffneten Fenster meldet man sich nun mit dem Benutzernamen root und dem zugehörigen Passwort am System an.

In einer Linux-Umgebung kann der Zugriff direkt über das Terminal mit dem Kommando ssh root@192.168.0.50 erfolgen.

4.3.2.2 Seriell via USB-Konfigurationsport

Um seriell auf den VR2020-LD zugreifen zu können, wird ein Terminalprogramm benötigt. Die Verbindung lässt sich auch über PuTTY realisieren.

Zuerst verbindet man den Router mit einem Micro-USB-Kabel über den Konsolenport mit dem Computer. Der Treiber für den USB Serial Port sollte danach automatisch installiert werden.

Um herauszufinden, welche COM-Schnittstelle verwendet wird, kann unter Windows der Geräte-Manager verwendet werden. Hier sollte nach erfolgreicher Installation ein USB Serial Port erscheinen.

Die nachfolgende Tabelle gibt die Werte wieder, die neben dem COM-Port für die serielle Schnittstelle im Terminalprogramm konfiguriert werden müssen.

Parameter für das Terminal-Programm
Parameter Wert
Speed (baud): 115200
Data bits: 8
Stop bits: 1
Parität: None
Flow control: None

Um den Login-Prompt zu erhalten, wird einmal die Entertaste betätigt. Danach kann man sich mit dem Benutzer root und dem entsprechenden Passwort am System anmelden.

5 Schnellstart

5.1 Passwort setzen/ändern

Achtung

  • Es wird dringend empfohlen, vor Beginn einer Konfiguration ein individuelles Passwort zu setzen!

Im Webinterface erscheint – solange das Passwort nicht geändert wurde – ein Warnhinweis mit einem Link zur Seite System > Administration, auf der ein neues Passwort gesetzt werden kann.

Hier wird das Passwort eingegeben und als Bestätigung wiederholt. Abschließend wird das neue Passwort mit Speichern & Anwenden übernommen.

Über eine SSH-Session oder über den Micro-USB-Konfigport wird eine Passwortänderung durch Aufruf des Kommandos passwd initiiert.

Achtung

  • Zur eigenen Sicherheit sollte ein sicheres Passwort gewählt werden!

5.2 Anpassen der LAN Schnittstelle(n)

Einer der ersten Schritte nach Inbetriebnahme ist in aller Regel das Anpassen der lokalen IP-Adresse an die benötigte Umgebung.

Hierfür wechselt man in das Menü Netzwerk > Schnittstellen, wählt dort die Schnittstelle lan aus und klickt auf die Bearbeiten-Schaltfläche.

In der neuen Maske wird nun die IPv4 Adresse und die für das Netzwerk verwendete IPv4 Netzmaske eingetragen.

Optional kann noch eine eigene, vom Standard abweichende IPv4 Broadcast IP eingetragen werden.

Wird statt IPv4 IPv6 benötigt oder soll eine IPv6-Konfiguration zusätzlich erfolgen, werden die nötigen Einstellungen auch hier ausgeführt.

5.2.1 DHCP-Server anpassen

Am Ende dieser Seite befinden sich Parameter für den DHCP-Server, der an dieser Schnittstelle standardmäßig läuft.

Soll der DHCP-Server für diese Schnittstelle deaktiviert werden, setzt man einfach ein Häkchen bei Schnittstelle ignorieren.

Zum Anpassen der DHCP-Range wird bei Start die kleinste zu vergebende IP-Adresse angegeben. Im Auslieferungszustand ist hier die 100 vergeben.

Hinweis

  • Es wird von 1 beginnend gezählt. Somit ist in der Standard-Konfiguration 192.168.0.100 die erste für DHCP-Clients verfügbare IP-Adresse.
  • Bei größeren Netzen, zum Beispiel mit einer Netzmaske von 255.255.0.0, wird entsprechend in 256er Schritten weitergezählt.
  • Eine Angabe der Start-IP ist in diesem Feld auch möglich, was gerade bei größeren Netzen einfacher ist.

So wäre bei einer angenommenen Router-IP von 10.10.10.254 mit einer Netzmaske 255.255.0.0 und einem Start-Wert von 610 die erste via DHCP vergebene Adresse die 10.10.2.98.

Der Wert Limit gibt an wie viele IP-Adressen von dem DHCP-Server maximal vergeben werden dürfen.

Hinweis

  • Bei dem Parameter Limit kann nur die Anzahl der DHCP-Hosts angegeben werden.

Bleiben wir bei unserem Beispiel, wäre bei einem Limit von 200 DHCP-Adressen die letzte mögliche IP die 10.10.3.41.

Hinweis

  • Eine statische IP-Zuweisung via DHCP wird unter Netzwerk > DHCP und DNS konfiguriert.

5.2.2 Switch-Ports separieren

Der VR2020-LD bietet die Möglichkeit, die einzelnen Switch-Ports zu separieren. Hierfür werden VLANs verwendet. Die Konfiguration hierfür erfolgt unter dem Menü Netzwerk > Switch.

Im Folgenden wird das Vorgehen beispielhaft dargestellt. Ziel soll es sein, dass der Port LAN 1 als Schnittstelle wan2 und der Port LAN 2 für ein Gästenetzwerk (lan_guest) verwendet wird.

Um die Konfiguration einfacher darzustellen, werden Tabellen verwendet.

Ausgangssituation
VLAN ID CPU (eth1) LAN 1 LAN 2 LAN 3 LAN 4
1 tagged untagged untagged untagged untagged

Über den Button Hinzufügen werden die neuen VLANs eingefügt. Als VLAN ID werden 200 und 300 verwendet.

Achtung

  • Beim internen Port CPU (eth1) muss darauf geachtet werden, dass tagged ausgewählt wird.

  • Jeder LAN-Schnittstelle kann nur einmal das Attribut untagged zugewiesen werden.

  • Der VLAN-ID-Bereich 4020-4030 ist für interne Zwecke reserviert.

Konfiguration nach Hinzufügen der neuen VLANs
VLAN ID CPU (eth1) LAN 1 LAN 2 LAN 3 LAN 4
1 tagged aus aus untagged untagged
200 tagged untagged aus aus aus
300 tagged aus untagged aus aus

Um die Konfiguration zu aktivieren, wird auf Speichern & Anwenden geklickt.

Im Nachgang werden die Ports unter Netzwerk > Schnittstellen konfiguriert. Ein neues Interface wird mit Neue Schnittstelle Hinzufügen... erstellt.

Auf der Konfigurationsseite wird ein Name vergeben und bei Die folgende Schnittstelle abdecken das neu erstellte VLAN-Interface angegeben.

Nach Absenden der Daten wird die Konfiguration wie gewohnt durchgeführt.

5.3 Aufbau einer Internetverbindung

Der VR2020-LD bietet verschiedene Wege, eine Internetverbindung aufzubauen. Einerseits gibt es die Möglichkeit einer DSL Verbindung, weiterhin steht Mobilfunk mit MultiSIM Support zur Verfügung und über den WAN-Port lassen sich verschiedene Gateway-Verbindungen oder eine Anbindung über ein externes Modem realisieren.

Hinweis

  • Im Auslieferungszustand befinden sich alle WAN-Schnittstellen in der Firewall-Zone wan
    Ein Zugriff von Außen auf den Router ist hier standardmäßig nicht gestattet.

  • Der Router ist in der Standardkonfiguration mit einem voreingestellten Backup-System versehen.
    Dabei ist die Reihenfolge – von der höchsten Priorität zur niedrigsten – wan (Ethernet-Gateway-Verbindung) vor xdsl (DSL-Verbindung) vor wwan (Mobilfunk).

Achtung

  • Im Default sind die Schnittstellen xdsl (DSL-Verbindung) und wwan (Mobilfunk) nicht gestartet.

  • Zum Prüfen der einzelnen Verbindungswege werden vom Router aktiv ICMP-Pakete gesendet.

5.3.1 DSL Verbindung konfigurieren

Um eine ADSL oder VDSL Verbindung aufzubauen, müssen in der Regel nur die Provider-Zugangsdaten eingetragen werden.

Dies erfolgt im Menü Netzwerk > Schnittstellen unter Verwendung der standardmäßig angelegten xdsl Schnittstelle. Die Konfigurationsseite wird über den Button Bearbeiten aufgerufen.

Auf der nun erscheinenden Seite werden die Parameter PAP/CHAP Benutzername mit dem Benutzernamen, der vom DSL-Anbieter zur Verfügung gestellt wurde, und das zugehörige Passwort unter PAP/CHAP Passwort eingetragen.

Da die Schnittstelle standardmäßig nicht aktiv ist, wird zusätzlich ein Häckchen bei Während des Bootvorgangs starten gesetzt um die DSL-Verbindung nach einem Systemstart zu etablieren.

Über die Schaltfläche Speichern & Anwenden werden die Änderungen gespeichert und die Verbindung (neu) aufgebaut.

Hinweis

  • Zusammensetzung des Benutzernamens für Telekom-Anschlüsse.
    AnschlusskennungZugangsnummerMitbenutzernummer@t-online.de
  • Sollte eine ältere Zugangsnummer (früher T-Online Nummer) vorliegen, welche keine 12 Stellen lang ist, muss zwischen Zugangsnummer und Mitbenutzernummer eine Raute (#) eingefügt werden.
  • In den meisten Fällen ist die Mitbenutzernummer 0001.

5.3.2 Mobilfunk konfigurieren

Warnung

  • SIM-Karte(n) nur einlegen oder wechseln, wenn der VR2020-LD von der Spannungsversorgung getrennt wurde, um Schäden am Gerät oder der SIM-Karte zu vermeiden.

Im Auslieferungszustand ist der VR2020-LD so vorbereitet, dass beim Systemstart schnell und einfach eine Mobilfunkverbindung, unter Verwendung der SIM-Karte im Slot SIM1, aufgebaut werden kann. Der APN ist in dem aktiven SIM-Profil auf web.vodafone.de voreingestellt und es ist keine PIN gesetzt.

Wird eine Vodafone-SIM-Karte ohne PIN-Abfrage verwendet, muss die Verbindung nur gestartet werden. Dazu wird unter Netzwerk > Schnittstellen > wwan ein Häckchen bei Während des Bootvorgangs starten gesetzt und der Verbindungsaufbau über die Speichern & Anwenden-Schaltfläche initiiert.

Ansonsten sind nur wenige Schritte erforderlich, um eine Verbindung aufzubauen.

Die Konfiguration der Schnittstelle wird auf der Menüseite Netzwerk > Schnittstellen > wwan durchgeführt.

Auf der wwan-Bearbeiten-Seite werden zuerst das SIM-Profil für die SIM1 oder SIM2, und bei Standard-SIM der verwendete SIM-Karten-Slot ausgewählt.

Durch Betätigen der Speichern & Anwenden-Schaltfläche werden die Änderungen umgehend übernommen und es wird versucht, die Verbindung mit den neuen Parametern aufzubauen.

Sollte der Provider nicht hinterlegt sein, oder eine PIN benötigt werden, wird das unter Netzwerk > Mobilfunk unter dem Tab SIM-Profile konfiguriert. Im Tab SIM-Einstellung kann die PIN und im Fehlerfall auch die PUK verifiziert werden. Zudem kann hier die PIN geändert und die PIN-Abfrage aktiviert oder deaktiviert werden.

5.3.2.1 MultiSIM-Unterstützung

Der VR2020-LD bietet für die Schnittstelle wwan die Möglichkeit automatisch zwischen zwei Provider-SIM-Karten umzuschalten.

Um die im Auslieferungszustand deaktivierte Funktion einzuschalten wird auf der Konfigurationsseite Netzwerk > Schnittstellen > wwan das Häckchen bei DualSIM-Unterstützung einschalten gesetzt. Dazu muss die Funktion Verbindung automatisch aufbauen/wiederherstellen aktiviert sein.

Die Erholungszeit spezifiziert, wann automatisch versucht werden soll, von dem Backup- auf den Standard-SIM-Schacht zurück zu schalten. Wird an dieser Stelle nie ausgewählt, bleibt der Router auf der Backup-Verbindung, bis auf dieser ein Fehler festgestellt wird.

Durch Speichern & Anwenden wird diese Änderung übernommen.

5.3.2.2 SIM-Profile ändern/hinzufügen

Um ein bestehendes SIM-Profil unter Netzwerk > Mobilfunk > SIM-Profile zu ändern, zum Beispiel, wenn die PIN-Überprüfung aktiviert ist, wird die PIN für die SIM-Karte beim entsprechenden Profil eingetragen.

Sind zusätzlich noch Benutzername und Passwort nötig, werden der Typ der Mobilfunkauthentifizierung festgelegt und diese Zugangsdaten unter PAP/CHAP Benutzername und PAP/CHAP Passwort angegeben.

Die Erlaubte Mobilfunktechnik lässt sich hier für jedes SIM-Profil einzelnen definieren. Ebenso lässt sich der PLMN (Public Land Mobile Network Code) einstellen, um zum Beispiel aktiv ein Roaming zu unterbinden.

Durch Speichern & Anwenden wird die Konfiguration gespeichert. Um die Änderungen zu aktivieren muss die wwan-Schnittstelle unter Netzwerk > Schnittstellen neu verbunden werden.

5.3.3 Konfiguration einer Gateway-Verbindung

5.3.3.1 Verbindungsaufbau via DHCP

Um eine Internetverbindung über ein Gateway – welches DHCP zur Verfügung stellt – aufzubauen, sind in der Regel keine Änderungen nötig. Es wird lediglich der WAN-Port mit dem entsprechenden Gateway verbunden.

5.3.3.2 WAN-IP statisch setzen

Um die IP-Adresse der WAN-Schnittstelle fest auf eine statische Adresse zu konfigurieren wechselt man in das Menü Netzwerk > Schnittstellen. Durch Drücken auf Bearbeiten bei der wan-Schnittstelle wird der Konfigurationsdialog aufgerufen.

Hier wird zuerst das Protokoll von DHCP Client auf Statische Adresse umgestellt und die Änderung über den Button Wechsele Protokoll bestätigt.

In der neuen Maske wird nun die IPv4 Adresse, die IPv4 Netzmaske und bei IPv4 Gateway die IP des zu verwendenden Gateways eingetragen.

Für die Namensauflösung ist bei Benutze eigene DNS-Server die Angabe eines entsprechenden Servers nötig.

Optional kann noch eine eigene, vom Standard abweichende IPv4 Broadcast IP eingetragen werden.

Wird statt IPv4 IPv6 benötigt oder soll eine IPv6-Konfiguration zusätzlich erfolgen, werden die nötigen Einstellungen auch hier ausgeführt.

5.4 Firewall Konfiguration

Die TDT Router werden standardmäßig mit einer Zonen-basierenden Firewall ausgeliefert.

Achtung

  • Im Auslieferungszustand befinden sich alle WAN-Schnittstellen in der Firewall-Zone wan.

    Ein Zugriff von außen auf den Router ist hier standardmäßig nicht gestattet.

    Aus der Zone wan wird der Zugriff auf lokale, hinter dem VR2020-LD befindliche Geräte zurückgewiesen (rejected).

  • Lokale Schnittstellen befinden sich in der Zone lan der Firewall.

    Diese unterliegt keinen Restriktionen.

Auf der Übersichtsseite der Firewall befindet sich zuerst die Einstellungsmöglichkeit für das Verhalten, das für Schnittstellen ohne Zone Anwendung findet.

In der zusammengefassten Ansicht der Firewall-Zonen werden die Zonen mit ihren enthaltenen Schnittstellen angezeigt und welche Forwardings in andere Zonen erlaubt sind. Das heißt, wie das Verhalten ist, wenn ein Datenpaket am Router ankommt das in eine andere Zone geroutet wird. Ein Beispiel hierfür wäre eine Anfrage von einem Client-Computer an einen Webserver. Das Paket kommt an einer Schnittstelle der Zone lan an und wird über einen Routingeintrag an die Zone wan weitergeleitet, »geforwarded«.

Ein Port-Forwarding wäre, wie der Name schon sagt, ein weiteres Beispiel für ein »forwarded Paket«.

Zudem wird hier festgelegt, wie mit Paketen verfahren wird, die eine IP-Adresse des Routers ansprechen (Eingang/Input) oder die vom Router generiert werden (Ausgang/Output).

Ein ausgehendes »Masquerading«, eine Sonderform des Source-NAT, lässt sich hier für die Zone, durch anhaken der Funktion NAT aktivieren anlegen. Dadurch wird die Absender-IP-Adresse durch die Adresse der Schnittstelle ersetzt, über die der Datenstrom Richtung Ziel gesendet wird.

Mit der MSS Korrektur-Funktion wird die »Maximum Segment Size« für Datenpakete zu dem jeweiligen Ziel ermittelt. Das Verfahren ist auch als »Path MTU Discovery« bekannt und wird vor allem bei DSL-Verbindungen benötigt, da hier in der Regel eine Maximum Transmission Unit (MTU) kleiner der in lokalen Netzen üblichen 1500 Verwendung findet.

5.4.1 Port-Forwarding einrichten

Achtung

  • In der Default-Konfiguration werden Forwarding-Pakete zurückgewiesen (Rejected), außer es handelt sich um Port-Forwarding-Pakete (DNAT).

    Soll der Zugriff entsprechend eingeschränkt werden, muss das in der Port-Forwarding-Regel berücksichtigt werden.

Port-Forwardings lassen sich schnell und einfach unter Firewall > Portweiterleitungen einrichten.

Dazu wird der Name für das Port-Forwarding angegeben, das Protokoll ausgewählt, unter Externe Zone die Zone, an der die Anfragen auflaufen, und bei Externe Port der Port, der angesprochen wird, angegeben.

Für die lokale Seite wird die Interne Zone, das Ziel, die Interne IP-Adresse und der Interner Port der an dem Ziel-Gerät angesprochen werden soll, angegeben.

Mit Hinzufügen wird die Regel mit den angegebenen Parametern erstellt. Um diese Regel zu aktivieren, wird abschließend noch Speichern & Anwenden gedrückt.

5.4.2 Zugriff auf definierte Ports zulassen

Unter Firewall > Traffic Rules können Port-Freigaben verwaltet werden.

Hier finden sich verschiedene vordefinierte Regeln. Diese sind teilweise nicht aktiviert.

Um eine Regel bei Bedarf zu aktivieren oder deaktivieren, wird entsprechend ein Häkchen in der Spalte Aktivieren in der Übersichtstabelle gesetzt oder entfernt und die Änderung mit Speichern & Anwenden übernommen.

5.4.2.1 Ports für den Zugriff auf den Router öffnen

Um den Zugriff auf einen Port des VR2020-LD zuzulassen wird im Bereich Ports auf dem Router öffnen ein Name für die Regel angenommen, das Protokoll und entsprechend Externer Port angegeben und die Regel mit Hinzufügen erstellt.

Nun kann die neu angelegte Regel über Bearbeiten noch weiter eingegrenzt werden, um zum Beispiel den Zugriff nur von einem definierten Absender (Quelladresse) zu erlauben.

Unter anderem können hier auch die Quell-Zone, an der das Paket am Router ankommt (standardmäßig wird hier die Zone wan gesetzt), und die Ziel-Zone angepasst werden. Beim Anlegen der Regel über die Ports auf dem Router öffnen-Routine wird die Ziel-Zone auf den Wert am Gerät (eingehend) gesetzt.

Um eine fälschlicherweise als eingehend (Accept input) angelegte Regel in eine weitergeleitete (Accept forward) zu ändern, wird die Ziel-Zone entsprechend auf die gewünschte Zone angepasst.

Zudem sind hier auch noch einige weitere Filter für die Regel zu setzen.

Speichern & Anwenden setzt die Regel mit der neuen Änderung in Kraft und speichert diese.

5.4.2.2 Zugriff auf Geräte hinter dem Router einrichten

Soll trotzdem ein Netzwerkteilnehmer erreicht werden, der sich in einer Zone befindet, in die keine globale Weiterleitung erlaubt ist, muss eine Neue Weiterleitungsregel erstellt werden.

Diese wird auf der Seite Firewall > Traffic Rules unter Angabe eines Regel-Name, der Quell-Zone – im Regelfall wan – und der Ziel-Zone – für die lokalen Geräte entsprechend lan – mittels Hinzufügen und bearbeiten... hinzugefügt und gleich bearbeitend geöffnet. Hier wird abschließend noch der Zielport angegeben.

Weitere Filter sind, wie schon unter Ports für den Zugriff auf den Router öffnen erwähnt, einzustellen.

Mit Speichern & Anwenden wird die neue Regel gespeichert und gleich aktiviert.

5.5 Dynamisches DNS einrichten

Dynamisches DNS erlaubt es, dass der VR2020-LD immer unter dem gleichen Hostnamen erreichbar ist, selbst wenn sich die öffentliche IP-Adresse ändert.

Achtung

  • Da die meisten Mobilfunk-Provider nur private IP-Adressen verteilen, funktioniert der Zugriff über wwan auf den Router in der Regel nicht.

Um ein dynamisches DNS Update einzurichten, wechselt man in den Bereich Dienste > Dynamisches DNS. Hier hat man die Möglichkeit einen neuen Eintrag hinzuzufügen.

Im ersten Schritt wird auf der Konfigurationsseite der Lookup Hostname eingetragen und ausgewählt, ob eine IPv4- oder eine IPv6-Adresse aktualisiert werden soll.

Nachfolgend wird der DDNS-Diensteanbieter ausgewählt, zum Beispiel dyntdt.de. Ist der verwendete Dienst noch nicht hinterlegt, kann dieser über die Auswahl -- benutzerdefiniert -- selbst angelegt werden.

Dazu wird zum Beispiel https://[USERNAME]:[PASSWORD]@www.dnshome.de/dyndns.php?ip=[IP] bei Eigene Update-URL angegeben, wenn https://www.dnshome.de der Provider ist.

Wie die Update-URL im Speziellen aussehen muss, lässt sich in der Regel den Seiten des Service-Providers entnehmen.

Danach werden noch Rechnername/Domäne, Benutzername und Passwort eingetragen.

Um die Daten sicher zu übertragen, empfiehlt es sich, Verwende sicheres HTTP zu aktivieren und wenn das CA-Zertifikat nicht vorliegt, beim Pfad zum CA-Zertifikat IGNORE anzugeben, ansonsten den Speicherort.

Im Tab Erweiterte Einstellungen wird nun noch die zu updatende IP address source ausgewählt. Standard ist hier Netzwerk und als Netzwerk lan.

Speichern übernimmt die neuen Einstellungen.

Zurück auf der Übersichtsseite wird noch das Häkchen bei Einschalten gesetzt und mit Speichern & Anwenden gespeichert und aktiviert.

6 Weiterführende Konfiguration

6.1 Virtual Private Network

Ein VPN dient dazu, ein weiteres Netz über ein bestehendes zu legen. Hierfür stehen viele unterschiedliche Ansätze zur Verfügung. Zumeist wird fälschlicher Weise angenommen, dass ein Virtual Private Network zwangsläufig eine sichere Datenübertragung darstellt und die Übertragung mittels Authentifizierung und Verschlüsselung gesichert ist. Das ist aber nicht zwingend der Fall.

In der heutigen Zeit werden überwiegend zwei unterschiedliche Technologien für die Realisierung eines VPN verwendet:

Diese werden zum Beispiel verwendet um mehrere Unternehmensstandorte miteinander zu verbinden (Site to Site) oder externen/reisenden Mitarbeitern (Roadwarrior) den Zugriff auf (lokale) Unternehmensdienste zu gewähren.

Die beiden Ansätze werden im Folgenden kurz umrissen.

Zudem sei an dieser Stelle erwähnt, dass die Router der VR2020-Serie als weitere Option die neue VPN-Lösung WireGuard enthalten. Diese bietet beispielsweise moderne kryptographische Verfahren und eine einfache Konfiguration von plattformübergreifenden Fernzugriffen über verschiedene Endgeräte.

6.1.1 IPsec

IPsec ist die Abkürzung für Internet Protocol Security. Sie ermöglicht eine gesicherte Kommunikation über potentiell unsichere IP-Netze, wie z.B. dem Internet.

Im Gegensatz zu anderen Verschlüsselungsprotokollen wie z.B. SSL, das auf der Transportschicht aufbaut, arbeitet IPsec direkt auf der Internetschicht (internet layer) des TCP/IP-Protokollstapels. Damit ist es für Anwendungen transparent.

IPsec verwendet zur Verbindungsaushandlung zwei Phasen.

6.1.1.1 Phase 1 – Schlüsselaustausch

In der ersten Phase erfolgt die Verschlüsselungsvereinbarung und Authentisierung (Internet Key Exchange = IKE). Dabei werden über mehrere Schritte geheime Schlüssel generiert und eine SA (Security-Association) ausgehandelt. Die sogenannte ISAKMP-SA oder kurz IKE-SA, wobei ISAKMP für Internet Security Association and Key Management Protocol steht.

Die Authentifizierung erfolgt dabei zum Beispiel über Pre-Shared Key (psk) oder Zertifikate (RSA oder ECDSA).

6.1.1.2 Phase 2 – Aushandlung der Datenaustauschparameter

In der zweiten Phase der IPsec-Aushandlung wird der Quick Mode verwendet. Die gesamte Kommunikation in dieser Phase erfolgt verschlüsselt (Schutz durch die IKE SA). Dabei werden nochmals SAs erzeugt, die zum eigentlichen Datenaustausch benutzt werden. Um die Sicherheit zu erhöhen, enthält diese »Daten-SA« – meist als IPsec-SA oder CHILD_SA bezeichnet – keine Informationen aus Phase 1.

Für die Übertragung der Daten wird einer der zwei Modi verwendet: Transport- oder Tunnel-Modus. Dazu stehen jeweils die Verfahren Authentication Header (AH) oder Encryption Security Payload (ESP) zur Verfügung, wobei ESP in der Regel bevorzugt verwendet wird.

AH basiert auf einem zusätzlichen Header, der dem normalen IP-Header folgt. Bei ESP enthalten die Nutzdaten ebenfalls einen Header, der den Security Parameters Index (SPI) enthält. Die Existenz dieser Header wird durch die Transport-Protokoll-Nummer im IP-Header angezeigt.

  • Transport-Modus nur die Paket-Inhalte werden verschlüsselt, der IP-Header bleibt erhalten.

    • AH basiert auf einem zusätzlichen Header, der dem normalen IP-Header folgt.

    • ESP verschlüsselt die Daten des Paketes, der IP-Header bleibt erhalten.

  • Tunnel-Modus verschlüsselt das ursprüngliche Paket und versendet dieses in einem neuen Paket.

    • AH erzeugt ein neues IP-Paket, das einen Authentication-Header über das ursprüngliche Paket enthält.

    • ESP verschlüsselt das komplette IP-Paket und kapselt das verschlüsselte Paket in ein neues Paket.

      • PFS Perfect Forward Secrecy sichert dabei optional die Integrität der Daten.

6.1.1.3 Fazit

  • Große Verbreitung bei Firewalls, Gateways, Servern und Routern, und somit nahezu überall einsetzbar.

6.1.1.4 Voraussetzungen

Um eine IPsec-Verbindung erfolgreich aufzubauen, müssen im Vorfeld mehrere Punkte berücksichtigt/geklärt werden.

  • Mindestens eine Seite muss über eine öffentliche IP erreichbar sein.

  • Authentifizierungs- und Verschlüsselungsparameter müssen festgelegt werden.

  • Die zu verbindenden Netze/Hosts müssen bekannt sein.

  • Auf der Zentralseite sind folgende Ports in der Firewall freizugegeben, beziehungsweise weiterzuleiten:

Port Protokoll Beschreibung
ESP Protokoll für ESP (Encapsulated Security Payload)
500 UDP Quell- und Zielport für IKE (Internet Key Exchange)
4500 UDP Wird benötigt, wenn sich der IPsec-Server hinter einem NAT-Gateway oder einer Masquerading-Firewall befindet.

6.1.1.5 Implementation

In aktuellen Firmware Versionen wird die IPsec-Implementation strongSwan eingesetzt. Eine ausführliche Dokumentation und Beispielkonfigurationen befinden sich im strongSwan Wiki.

6.1.2 OpenVPN

Bei OpenVPN handelt es sich nicht um eine unsichere VPN-Lösung, wie der Name vielleicht vermuten lässt. Dieser bringt lediglich zum Ausdruck, dass der Quellcode kostenlos und frei abrufbar ist. Die Software ist unter der GNU GPL lizenziert und unterstützt eine Vielzahl (moderner) Betriebssysteme.

OpenVPN dient zum Aufbau von Virtuellen Privaten Netzwerken über eine verschlüsselte TLS Verbindung (Transport Layer Security, weitläufiger bekannt unter der Vorgängerbezeichnung SSL = Secure Sockets Layer). Die Authentifizierung kann zum einen über Username / Passwort, Zertifikate oder einen statischen Secret Key erfolgen.

6.1.2.1 Routing-Modus

Mit Hilfe von OpenVPN können Routed-VPN (Layer 3) aufgebaut werden. Dabei wird ein verschlüsselter Tunnel zwischen zwei fiktiven IP-Adressen eines Subnetzes, dem sogenanten Transportnetz, aufgebaut. Um einen Tunnel zwischen zwei Gegenstellen herzustellen stellt dies eine einfache Form der sicheren Kommunikation.

Über einen VPN-Tunnel im Routing-Modus werden ausschließlich IP-Pakete geleitet. Layer 2 Daten werden nicht übertragen. Gerade bei Internetanbindungen mit geringer Bandbreite oder sogar Trafficlimitierung ist diese Variante zu bevorzugen, da ohne die Ethernet-Frames erheblich weniger Daten über den Tunnel übertragen werden.

6.1.2.2 Bridging-Modus

Die Variante des Bridged-VPN bietet den Vorteil des vollständigen Tunnelns von Ethernet-Frames (Layer 2). Ein Client wird völlig transparent integriert und erhält eine IP-Adresse des dortigen Subnetzes. Somit erlaubt dieser Modus auch den Einsatz alternativer Protokolle wie IPX oder unterstützt das Senden von Wake-On-LAN-Paketen.

6.1.2.3 Fazit

  • Nur ein Port nötig, der zudem frei konfigurierbar ist. (Standard: 1194)
  • Protokoll frei wählbar: TCP oder UDP (Standard: UDP)
  • Zwei Betriebsmodi: Routed und Bridged

6.1.3 WireGuard®

WireGuard ist eine noch sehr junge Technologie, um sichere und leistungsfähige virtuelle private Netze (VPNs) mit geringem Aufwand zu realisieren. Es handelt sich um ein Open-Source-Protokoll und eine Open-Source-Software, die eine Alternative zu etablierten VPN-Lösungen wie OpenVPN oder IPsec bieten soll.

WireGuard wurde mit dem Ziel entwickelt, VPNs einfacher zu machen und eine Alternative zu bestehenden VPN-Lösungen zu bieten. Die Open-Source-Software und das -Protokoll konkurrieren mit VPN-Technologien wie IPsec oder OpenVPN. Im Vergleich zu existierenden Lösungen soll die Konfiguration von VPN-Verbindungen einfacher und schneller sein.

WireGuard arbeitet mit hoher Performance auf dem Layer 3 des OSI-Schichtenmodells und unterstützt sowohl IPv4 als auch IPv6. Die Software ist bewusst einfach und überschaubar gehalten. Sie besteht lediglich aus circa 4.000 Zeilen Programmiercode. Andere VPN-Lösungen haben teilweise mehrere hunderttausend Zeilen Quelltext. Entwickelt wurde die neue VPN-Alternative von Jason A. Donenfeld. Sie ist für unterschiedliche Plattformen wie verschiedene Linux-Distributionen, macOS, Android oder iOS verfügbar. Auf Linux-Systemen läuft der Code als Modul im Kernel und erzielt eine hohe Performance. Seit 2018 bieten VPN-Provider wie Mullvad and AzireVPN erste Services auf Basis der neuen VPN-Lösung.

Hinweis

  • Die Entwicklungsphase von WireGuard ist noch nicht abgeschlossen.

  • Der WireGuard-Support soll in den Linux Kernel 5.6 einfliesen.

6.1.3.1 Designprinzipien von WireGuard®

Folgende Ziele wurden beim Design der VPN-Alternative verfolgt:

  • einfache Nutzbarkeit
  • hohe Performance
  • hohe Sicherheit durch Verwendung aktueller kryptographischer Verfahren
  • überschaubarer Code mit minimaler Angriffsfläche
  • sorgfältig durchdachtes Gesamtkonzept

WireGuard zeichnet sich im Vergleich zu den bestehenden meist sehr komplexen VPN-Lösungen durch seine Einfachheit aus. Die Software bietet weniger Konfigurationsmöglichkeiten und beschränkt sich auf das Notwendigste. Dadurch ist die Lösung einfach zu nutzen und ihre Sicherheit leicht zu überprüfen. Mögliche Schwachstellen sind im überschaubaren Code einfach zu finden. Um ein hohes Sicherheitsniveau bei der Verschlüsselung der Daten zu erreichen, nutzt WireGuard moderne kryptographische Verfahren. Identitäten von VPN-Teilnehmern sind mit ihren öffentlichen Schlüsseln verknüpft. Verbindungen werden ähnlich wie bei SSH durch den Austausch der öffentlichen Schlüssel aufgebaut. Die Architektur basiert auf dem Peer-to-Peer-Modell.

6.1.3.2 Verwendete Protokolle

Für den Aufbau von VPN-Verbindungen und den Austausch von Daten greift WireGuard auf verschiedene Protokolle zurück. Die wichtigsten Protokolle sind:

  • Curve25519 (ECDHE) für den Austausch von Schlüsseln
  • ChaCha20 und Poly1305 für den Austausch und die Verschlüsselung der Daten
  • BLAKE2s für das Hashing
  • Ed25519 für das Public-Key-Authentifizierungverfahren

Die VPN-Lösung beschränkt sich bewusst auf die drei Grundfunktionen für verschlüsselte Verbindungen. Der Schlüsseltausch erfolgt im Handshake per Curve25519 mit Elliptic Curve Diffie-Hellman (ECDHE). BLAKE2s dient als universelle Hashfunktion und generiert beispielsweise Keyed-Hash Message Authentication Codes (HMAC) oder leitet Schlüssel mit HMAC-based Key Derivation Funciton (HKDF) ab. Für die symmetrische Verschlüsselung der ausgetauschten Daten sind ChaCha20 und Poly1305 zuständig. Neben der nativen Unterstützung von IPv4 und IPv6 ist es möglich, IPv4 in IPv6 zu enkapsulieren und umgekehrt.

Als ein glühender Befürworter der Aufnahme zeigte sich auch Linus Torvalds. Wie der Linux-Vater im Zuge der Aufnahme von Netzwerk-Patches aus dem experimentellen Zweig des Kernels bestätigte, sehe auch er die gängigen Alternativen als zu schwerfällig und zu kompliziert an. Laut Torvalds sei WireGuard im direkten Vergleich mit dem »Horror von OpenVPN und IPsec« ein Kunstwerk. »Er liebe deshalb die Implementierung – auch wenn sie noch nicht perfekt sei – und wünsche sich eine baldige Aufnahme in den Kernel« so Torvalds sinngemäß.

Quelle: Security Insider

6.1.3.3 Fazit

  • Modernes schlankes VPN-Protokoll.
  • Einfache Konfiguration, weil sich WireGuard bewusst auf die drei Grundfunktionen verschlüsselter Verbindungen beschränkt.
  • Schneller Handover im Backupfall, da nicht Verbindungsorientiert.
  • Verfügbar auf nahezu allen Software-Plattformen.
  • Einfache Überprüfbarkeit durch kurzen Quellcode.
  • Hohe Sicherheit durch State of the Art Kryptographie

7 Anleitungen und HowTos

7.1 Konfiguration sichern und wiederherstellen

Der Router bietet unter System > Backup / Firmware Update verschiedene Möglichkeiten, Konfigurationen zu verwalten.

7.1.1 Sicherung erstellen

Zum Erstellen einer Konfigurationssicherung wird auf der Seite bei Backup herunterladen der Button Sicherung erstellen betätigt.

Nun wird die Konfiguration gepackt und zum Download angeboten. Ist der Browser auf »Automatisch im folgenden Ordner abspeichern« eingestellt, wird die Konfiguration im angegebenen Ordner – in den meisten Browsern standardmäßig Downloads – gespeichert.

Dabei wird der Dateiname nach dem Schema YYYY-MM-DD-backup-HOSTNAME.tar.gz erzeugt. Fragt der Browser vor dem Speichern nach, ist der Dateiname beliebig wählbar, die Endung .tar.gz muss aber erhalten bleiben.

Die Konfiguration kann nach dem Herunterladen lokal am PC oder in der Server-Infrastruktur abgelegt werden.

7.1.2 Backup einspielen

Eine einmal erstellte Sicherung kann jederzeit – auch auf einem anderen, baugleichen Gerät – wieder eingespielt werden.

Dazu wird im Bereich Sicherung wiederherstellen lokal nach der gewünschten Datei gesucht und diese über die Schaltfläche Backup wiederherstellen... eingespielt. Dabei wird die gesicherte Konfiguration geladen und die Änderungen durch einen Reboot aktiviert.

7.1.3 Auslieferungszustand wiederherstellen

Der Auslieferungszustand lässt sich auf mehreren Wegen wiederherstellen. Einerseits gibt es hier den Weg über das Webinterface, weiterhin besteht die Möglichkeit mittels Kommandozeile und schließlich lässt sich dies über den Reset-Taster auslösen.

7.1.3.1 Webinterface

Über das Webinterface lässt sich der Factory-Reset auf der Menü-Seite System > Backup / Firmware Update im Bereich Auslieferungszustand wiederherstellen auslösen, indem man den Button Reset durchführen betätigt.

7.1.3.2 Kommandozeile

Um den Auslieferungszustand über die Kommandozeile wiederherzustellen wird das Kommando firstboot eingegeben und der Reset mit y (= yes) bestätigt.

7.1.3.3 Reset-Taster

Durch das Gedrückt-Halten des Reset-Tasters auf der Vorderseite des VR2020-LD länger als fünf Sekunden, wird beim Loslassen die Werkseinstellung geladen und ein Neustart des Gerätes ausgelöst.

7.2 Firmware-Aktualisierung

Ein Update der Router-Firmware lässt sich im Webinterface auf unterschiedlichen Wegen durchführen: Einerseits über einen manuellen Upload des Firmware-Images und andererseits online über den TDT-Updateserver.

7.2.1 Offline Update

Im Bereich Neues Firmware Image schreiben auf der Menü-Seite System > Backup / Firmware Update wird bei Image die Datei auf dem lokalen System ausgewählt.

Standardmäßig ist das Häkchen bei Konfiguration beibehalten vorausgewählt. Soll der Router nach dem Update mit Werkseinstellungen starten, muss das Häkchen an dieser Stelle entfernt werden.

Der Update-Prozess wird durch Drücken von Firmware aktualisieren... gestartet.

Im ersten Schritt wird die Checksumme überprüft. Ist diese korrekt, kann mit Fortfahren das Image geflasht werden, es besteht aber auch die Möglichkeit, den Vorgang abzubrechen.

7.2.2 Online Update

Im Menü unter System > Online Firmware Update kann auf dem TDT-Updateserver nach einer neueren, zur Verfügung stehenden Software-Version gesucht werden.

Dazu klickt man bei Auf Aktualisierungen prüfen auf Prüfen. Daraufhin wird am Server angefragt und das Ergebnis entsprechend ausgegeben.

Steht ein neueres Firmware-Image bereit, kann man dieses direkt von dieser Seite aus einspielen.

Auch hier ist standardmäßig das Häkchen bei Konfiguration beibehalten gesetzt. Um nach dem Update mit Werkseinstellungen zu starten, muss das Häkchen an dieser Stelle entfernt werden.

Bei Update durchführen wird mit Firmware aktualisieren... der Vorgang gestartet. Hier wird zuerst die Signatur und danach die Checksumme überprüft. Sind diese korrekt, wird die neue Firmware, ohne weitere Rückfrage geflasht.

8 Tipps und Tricks

8.1 DSL deaktivieren

Hinweis

  • Um die Leistungsaufnahme des VR2020-LD zu reduzieren, ist das DSL-Frontend deaktivierbar.

Das DSL-Frontend ist unter System > Systemstart zu deaktivieren. Hierfür wird einfach der Prozess dsl_control auf der Seite gesucht und der Button Deaktivieren gedrückt, um diesen bei einem Systemstart nicht zu laden.

Um DSL im laufenden Betrieb zu deaktivieren wird im Nachgang der Prozess dsl_control durch Klicken auf Stoppen angehalten.

8.2 Empfohlene PuTTY-Einstellungen

Um in Windows-Umgebungen optimal mit dem Router arbeiten zu können, sind die folgenden PuTTY-Einstellungen zu empfehlen.

Unter Terminal > Features wird bei Disable application keypad mode das Häkchen gesetzt. Hierdurch wird zum Beispiel der Umgang mit VI erleichtert, da so der Nummernblock nutzbar wird.

PuTTY für VI
PuTTY für VI

Im Menü Window wird der Wert bei Lines of scrollback auf 20000-Zeilen gestellt, um weiter zurückscrollen zu können.

PuTTY Anzahl der Zeilen erhöhen
PuTTY Anzahl der Zeilen erhöhen

Um die Zeichen korrekt darzustellen, sollte der Zeichensatz unter Window > Translation auf UTF-8 gesetzt werden.

PuTTY Zeichenkodierung auf UTF-8
PuTTY Zeichenkodierung auf UTF-8

Da die Farbe Blau unter PuTTY auf schwarzem Hintergrund nicht optimal lesbar ist, empfiehlt es sich, hier nachzubessern. Dies wird unter Window > Colors bei Select A Color to adjust für die Farbe ANSI Blue eingestellt. Dabei werden die Werte entsprechend Red und Green jeweils auf 54 und Blue auf 216 gestellt.

PuTTY Blau optimieren
PuTTY Blau optimieren

Um die SSH Session am »Leben« zu erhalten, kann der Parameter Seconds between keepalives unter Connection auf 30 gestellt werden.

PuTTY SSH-Keepalive aktivieren
PuTTY SSH-Keepalive aktivieren

Gerade für langsame Verbindungen lässt sich, unter Connection > SSH das Häkchen bei Enable Compression setzen, um die Daten komprimiert zu übertragen.

PuTTY SSH-Daten komprimieren
PuTTY SSH-Daten komprimieren

Als letzte Einstellung lässt sich noch die Serielle-Kommunikation konfigurieren. Über das Menü Connection > Serial werden die Werte entsprechend der folgenden Tabelle festgelegt.

Parameter Wert
Speed (baud): 115200
Data bits: 8
Stop bits: 1
Parity: None
Flow control: None
PuTTY Parameter für die Serielle-Verbindung
PuTTY Parameter für die Serielle-Verbindung

Abschließend werden die Daten als Standard oder als eigenes Profil unter Session gespeichert. Dazu wird entweder das Profil Default Settings markiert oder im Eingabefeld ein eigener Session-Name angegeben und über den Button Save gespeichert.

PuTTY Session speichern
PuTTY Session speichern

9 Anhänge