Die Zusammenstellung von Texten und Abbildungen für das Manual erfolgte mit größter Sorgfalt. Dennoch können Fehler nicht vollständig ausgeschlossen werden.
Der Herausgeber übernimmt für fehlerhafte Angaben und deren Folgen keinerlei Haftung.
Änderungen an der Dokumentation und den darin beschriebenen Produkten bleiben jederzeit und ohne vorherige Ankündigung vorbehalten.
Als Ansprechpartner bei Problemen oder Fragen zu dieser Dokumentation steht Ihnen das TDT Expert Support Team gerne zur Verfügung.
TDT AG
Siemensstraße 18
84051 Essenbach
Tel.: +49 (8703) 929-00
Fax: +49 (8703) 929-201
Web: www.tdt.de
Email: support@tdt.de
© 2021 TDT AG – Stefan Haunreiter
Viel Spaß und Erfolg wünscht Ihnen
Ihr TDT Team
Diese Dokumentation enthält Hinweise, die zur persönlichen Sicherheit der Benutzer sowie zur Vermeidung von Schäden des VR2020-LD oder anderweitigen Sachschäden eingehalten werden müssen.
Im Rahmen laufender Sicherheitsprüfungen ist TDT stets bestrebt, seine Produkte so sicher wie möglich zu machen und legt sowohl während der Entwicklung, als auch bei den regelmäßigen Firmware Updates höchsten Wert auf die Einhaltung aktueller Sicherheits- und Qualitätsstandards.
Enthält der Router ein Mobilfunk und/oder WLAN Sendemodul, sind zusätzlich folgende Sicherheitshinweise zu beachten.
Der VPN-Router – VR2020-LD mit VDSL/ADSL und Mobilfunk – wird nach höchsten Qualitätsstandards gefertigt und eignet sich durch seine hohe Flexibilität sowohl hervorragend zum Aufbau sicherer Filialnetze als auch zur Anbindung mobiler Außenstellen.
High-Speed Internetzugang mit extrem hoher Ausfallsicherheit erreicht der VR2020-LD durch das intelligente Backup-Management und den Einsatz von zwei SIM-Karten (Dual-SIM Support).
Damit der Router an allen modernen xDSL-Anschlüssen, einschließlich All-IP betrieben werden kann, besitzt der VR2020-LD ein integriertes DSL-Modem, das die Standards ADSL/2/2+ und VDSL/VDSL2 sowie VDSL2-Vectoring unterstützt.
Die 2G, 3G und 4G (LTE = Long Term Evolution) Funkanbindung erfolgt über ein Multiband-Modem das die Standards LTE, HSPA+, HSDPA/HSUPA, UMTS, EDGE und GPRS beherrscht.
Der Ethernet-WAN-Port erlaubt sowohl die Realisierung beliebiger Gateway-Verbindungen als auch den Anschluss externer Modems (z.B. SDSL, Kabel, FTTH).
Via permanent aufgebautem VPN-Tunnel lässt sich ein VR2020-LD Router problemlos in ein Filialnetz ein-, oder an eine Zentrale anbinden und ist so mittels privater IP-Adressierung direkt erreichbar. DynDNS ist in diesem Fall für den Zugriff nicht erforderlich, lässt sich aber jederzeit einrichten.
Für höchste Sicherheit bei der Datenübertragung sorgen die voll implementierten VPN-Standards IPsec und OpenVPN. Die Authentifizierung erfolgt wahlweise durch hinterlegte Zertifikate oder Pre-Shared Keys. Dabei unterstützt der VPN-Router alle modernen Verschlüsselungsalgorithmen wie AES mit bis zu 256 Bit Schlüssellänge.
In Punkto Sicherheit ist zudem das integrierte Trusted Platform Module (TPM) besonders hervorzuheben, das zum sicheren Speichern von geheimen Schlüsseln verwendet wird. Kryptographische Schlüssel können mit Unterstützung des integrierten und sicheren Zufallsgenerators (RNG) innerhalb des TPM erzeugt, benutzt und sicher abgelegt werden.
Das Trusted Platform Module bietet dabei sowohl Schutz vor Softwareangriffen als auch Hardwaremanipulationen.
Zum Schutz Ihres Netzwerkes vor Angriffen steht Ihnen eine konfigurierbare High-Security Firewall zur Verfügung. Diese lässt sich durch Regeln und Skripte einfach an Ihre individuellen Anforderungen anpassen.
Komfortabel lässt sich der VPN-Router – sowohl lokal als auch aus der Ferne – über das intuitive Webinterface konfigurieren. Experten können den VR2020-LD auch per Command Line (SSH) verwalten.
Für den Einsatz in Filialnetzen bietet sich die automatisierte Fernkonfiguration/-wartung per TDT ACS – einen Auto-Configuration-Server nach dem TR-069-Standard – sowie die Überwachung über ein Netzwerk-Management-System wie zum Beispiel Check_MK an.
Hardwarespezifikationen Basissystem
xDSL-Modul
Mobilfunkmodul
Positionsbestimmung (optional)
Technische Daten
Router-Features
Sicherheitsfeatures
High-Availability-Features
Managementfeatures
Hiermit erklärt TDT, dass der Funkanlagentyp VR2020-LD der Richtlinie 2014/53/EU entspricht.
Der vollständige Text der EU-Konformitätserklärung ist unter der folgenden Internetadresse verfügbar: download.tdt.de
Im Lieferumfang des VR2020-LD sind folgende Zubehörteile enthalten:
Auf der Vorderseite des VR2020-LD befinden sich von links nach rechts:
Der SIM-Karten-Slot SIM1
LAN
für den Linkstatus der LAN-PortsWAN
für den Linkstatus des WAN-PortsVPN
für den Status einer VPN-VerbindungCellular
für den Mobilfunk-VerbindungsstatusSignal
für den Mobilfunk-SignalpegelDer Mikro-USB-Konsolenport mit integriertem USB-to-Serial-Adapter
Eine Alarm
-LED zur Anzeige wichtiger/kritischer Events
xDSL
-LED für den Status der DSL-Verbindung
Die Power
-LED als Indikator für eine bestehende Spannungsversorgung
Und der Reset
-Taster
Warnung!
LAN | |
---|---|
aus | Kein Link an einem der LAN-Ports vorhanden. |
an | Mindestens ein LAN Port hat einen Link. |
flackernd | Datentransfer an mindestens einem LAN-Port. |
WAN | |
---|---|
aus | Kein Link am WAN-Ports vorhanden. |
an | Der LAN Port hat einen aktiven Link. |
flackernd | Datentransfer am WAN-Port. |
Cellular | |
---|---|
aus | Sind auch die Signal-LEDs aus, ist der Router an keiner Mobilfunk-Zelle registriert. Der Router hat kein Signal im eigenen Netz. Ist mindestens eine der Signal-LEDs an, ist der Router in einem 2G Netz (GPRS/EDGE) registriert. |
blinkend | Der Router ist im Mobielfunk-Netz registriert und ein 3G Signal (UMTS/HSPA/+) liegt an. |
an | Die aktuelle Technologie ist 4G (LTE). der Router ist in einer Mobilfunk-Zelle registriert. |
Signal | blinkend | an |
---|---|---|
I | An einer Mobilfunk-Zelle registriert. Der Signalpegel beträgt zwischen 0% und 17%. |
Signalpegel zwischen 17% und 33%. |
II | Signalpegel zwischen 33% und 50%. | Signalpegel zwischen 50% und 66%. |
III | Signalpegel zwischen 66% und 83%. | Signalpegel zwischen 83% und 100%. |
xDSL | |
---|---|
aus | Nicht Synchron/keine Pilottöne. |
blinkend | Synch-Aushandlung/Trainingsphase. |
an | Die xDSL-Schnittstelle ist erfolgreich synchronisiert. |
flackernd | Datentransfer über xDSL. |
Power | |
---|---|
aus | Router nicht mit der Spannungsversorgung verbunden. |
an | Spannung liegt an. |
Dauer | Aktion |
---|---|
kurz drücken (<1 Sekunde): | Startet den Router neu. |
lang drücken (>5 Sekunden): | Versetzt das Gerät in den Auslieferungszustand zurück. |
Anschluss | Beschreibung |
---|---|
xDSL | RJ45/RJ48s Anschluss für die Verbindung zwischen TAE-Dose und Router. |
WAN | 10/100/1000BaseT Schnittstelle RJ45/RJ48s. Diese verfügt über eine automatische Erkennung der Geschwindigkeit, sowie des Kabeltyps (1:1 oder gekreuzt). |
GPS/GNSS | Optionaler Anschluss für eine Antenne zur Positionsbestimmung über ein globales Navigationssatellitensystem (GPS/GLONASS). |
Serial | Optionale Serielle-Schnittstelle in Form einer Klemmleiste (dreipolig Rx, Tx, GND). |
LAN 1-4 | 10/100BaseT 4-Port Switch. Die Ports verfügen über eigene MAC-Adressen, sind Auto-Sensing-fähig und können bei Bedarf virtuell separiert werden. |
USB (2x) | Per Default deaktiviert. Die USB-Ports sind für zukünftige Anwendungen vorgesehen (z.B. für externes Logging, USV Verwaltung). |
Cellular MIMO | SMA-Buchse für den Anschluss der zweiten Antenne, des zweiten Antennenkabels. |
Cellular MAIN | Anschluss für die primäre Antenne oder des ersten Antennenkabels. Diese muss zwingend verbunden werden. |
Power | Weitbereichsspannungseingang 9V..30V DC mit Hohlstecker. Optional auch als Klemmleiste bestellbar. |
Unser Team vom TDT Expert Support unterstützt Sie bei Fragen rund um die Konfiguration Ihres Geräts und hilft Ihnen bei der Analyse und Behebung von Problemen gerne weiter.
Die Support-Hotline erreichen Sie montags bis freitags von 08:00 bis 18:00 Uhr telefonisch* unter
+49 8703 929-112
oder jederzeit per E-Mail an
Um Ihnen optimal helfen zu können, bitten wir Sie, uns bei Supportanfragen immer die über die Seite Hilfe > TDT-Support
erstellten Supportinformationen** mitzusenden.
* Ausgenommen bundeseinheitliche Feiertage
** Die Supportdaten enthalten keine vertraulichen Daten wie etwa Passwörter oder PIN-Codes.
Achtung
Achtung
Die Transportverpackung vorsichtig öffnen.
Router entnehmen. Dazu die Kartonlaschen nach oben klappen und das Gerät unter der Folie herausziehen.
Den Router erst jetzt mit der Spannungsversorgung verbinden.
Sobald der Startvorgang vollständig abgeschlossen ist, kann der Router über IP erreicht werden.
Achtung
Der VR2020-LD hat im »Factory-Default« die IP-Adresse 192.168.0.50
inne, der Benutzer ist root
. Das Passwort wird im Produktionsprozess für jeden Router individuell generiert und auf das Typenschild aufgedruckt.
Zudem werden in der Standardkonfiguration IP-Adressen über DHCP zur Verfügung gestellt.
Die Range ist hierbei von 192.168.0.100
bis 192.168.0.250
festgelegt.
Parameter | Wert |
---|---|
IP-Adresse: | 192.168.0.50 |
DNS-Namen: | tdt.router oder VR2020-LD.lan |
Benutzername: | root |
Passwort: | Wird für jeden Router generiert (siehe Typenschild). Ist kein Passwort aufgedruckt, entspricht es der Seriennummer. |
Achtung
Im Auslieferungszustand hat jeder VR2020-LD ein individuelles Passwort, das auf dem Typenschild zu finden ist.
Es wird trotzdem dringend empfohlen, vor Beginn einer Konfiguration ein individuelles Passwort zu vergeben!
Notieren Sie sich das Passwort vor der Installation, um nach Wiederherstellen der Werkseinstellungen weiter auf das Gerät zugreifen zu können.
Um den Router konfigurieren zu können, steht zum einen das Webinterface – für die einfache Konfiguration im Browser – zur Verfügung. Zum anderen besteht auch die Möglichkeit, sich über SSH oder seriell auf den Router zu verbinden.
Achtung
Hinweis
192.168.0.0/24
benötigt. Zum Beispiel 192.168.0.1
mit der Subnetzmaske 255.255.255.0
.Um über einen Browser auf das Webinterface des VR2020-LD zugreifen zu können, gibt man in der Adressleiste die IP-Adresse des Routers ein. Im Auslieferungszustand ist die IP-Adresse von lan
auf 192.168.0.50
eingestellt. Der Router hört aber auch auf den Name tdt.router
.
Da das Webinterface nur über SSL zu erreichen ist, muss der IP-Adresse https://
vorangestellt werden.
Beispiel:
https://tdt.router
oder https://192.168.0.50
Im nun erscheinenden Anmeldefenster authentifiziert man sich mit dem Benutzernamen root
und dem zugehörigen Passwort.
Achtung
Es steht auf dem Router auch eine Kommandozeile zur Verfügung. Über diese lassen sich beispielsweise auf einfachem Wege Analysen durchführen.
Der Zugriff auf die Shell kann sowohl über IP als auch seriell über den Micro-USB-Port auf der Vorderseite des VR2020-LD erfolgen. In beiden Fällen lässt sich der Zugriff zum Beispiel über die Open-Source-Software PuTTY realisieren. Empfohlene PuTTY-Einstellungen sind hier zu finden.
Für den SSH Zugriff öffnet man zum Beispiel PuTTY, gibt dort bei Host Name (or IP address)
die IP des VR2020-LD ein und klickt auf den Open
-Button. Im neu geöffneten Fenster meldet man sich nun mit dem Benutzernamen root
und dem zugehörigen Passwort am System an.
In einer Linux-Umgebung kann der Zugriff direkt über das Terminal mit dem Kommando ssh root@192.168.0.50
erfolgen.
Um seriell auf den VR2020-LD zugreifen zu können, wird ein Terminalprogramm benötigt. Die Verbindung lässt sich auch über PuTTY realisieren.
Zuerst verbindet man den Router mit einem Micro-USB-Kabel über den Konsolenport mit dem Computer. Der Treiber für den USB Serial Port sollte danach automatisch installiert werden.
Um herauszufinden, welche COM-Schnittstelle verwendet wird, kann unter Windows der Geräte-Manager verwendet werden. Hier sollte nach erfolgreicher Installation ein USB Serial Port erscheinen.
Die nachfolgende Tabelle gibt die Werte wieder, die neben dem COM-Port für die serielle Schnittstelle im Terminalprogramm konfiguriert werden müssen.
Parameter | Wert |
---|---|
Speed (baud): | 115200 |
Data bits: | 8 |
Stop bits: | 1 |
Parität: | None |
Flow control: | None |
Um den Login-Prompt zu erhalten, wird einmal die Entertaste ↵
betätigt. Danach kann man sich mit dem Benutzer root
und dem entsprechenden Passwort am System anmelden.
Achtung
Im Webinterface erscheint – solange das Passwort nicht geändert wurde – ein Warnhinweis mit einem Link zur Seite System > Administration
, auf der ein neues Passwort gesetzt werden kann.
Hier wird das Passwort
eingegeben und als Bestätigung
wiederholt. Abschließend wird das neue Passwort mit Speichern & Anwenden
übernommen.
Über eine SSH-Session oder über den Micro-USB-Konfigport wird eine Passwortänderung durch Aufruf des Kommandos passwd
initiiert.
Achtung
Einer der ersten Schritte nach Inbetriebnahme ist in aller Regel das Anpassen der lokalen IP-Adresse an die benötigte Umgebung.
Hierfür wechselt man in das Menü Netzwerk > Schnittstellen
, wählt dort die Schnittstelle lan
aus und klickt auf die Bearbeiten
-Schaltfläche.
In der neuen Maske wird nun die IPv4 Adresse
und die für das Netzwerk verwendete IPv4 Netzmaske
eingetragen.
Optional kann noch eine eigene, vom Standard abweichende IPv4 Broadcast
IP eingetragen werden.
Wird statt IPv4 IPv6 benötigt oder soll eine IPv6-Konfiguration zusätzlich erfolgen, werden die nötigen Einstellungen auch hier ausgeführt.
Am Ende dieser Seite befinden sich Parameter für den DHCP-Server, der an dieser Schnittstelle standardmäßig läuft.
Soll der DHCP-Server für diese Schnittstelle deaktiviert werden, setzt man einfach ein Häkchen bei Schnittstelle ignorieren
.
Zum Anpassen der DHCP-Range wird bei Start
die kleinste zu vergebende IP-Adresse angegeben. Im Auslieferungszustand ist hier die 100
vergeben.
Hinweis
1
beginnend gezählt. Somit ist in der Standard-Konfiguration 192.168.0.100
die erste für DHCP-Clients verfügbare IP-Adresse.255.255.0.0
, wird entsprechend in 256er Schritten weitergezählt.So wäre bei einer angenommenen Router-IP von 10.10.10.254
mit einer Netzmaske 255.255.0.0
und einem Start-Wert von 610
die erste via DHCP vergebene Adresse die 10.10.2.98
.
Der Wert Limit
gibt an wie viele IP-Adressen von dem DHCP-Server maximal vergeben werden dürfen.
Hinweis
Limit
kann nur die Anzahl der DHCP-Hosts angegeben werden.Bleiben wir bei unserem Beispiel, wäre bei einem Limit von 200
DHCP-Adressen die letzte mögliche IP die 10.10.3.41
.
Hinweis
Netzwerk > DHCP und DNS
konfiguriert.Der VR2020-LD bietet die Möglichkeit, die einzelnen Switch-Ports zu separieren. Hierfür werden VLANs verwendet. Die Konfiguration hierfür erfolgt unter dem Menü Netzwerk > Switch
.
Im Folgenden wird das Vorgehen beispielhaft dargestellt. Ziel soll es sein, dass der Port LAN 1
als Schnittstelle wan2 und der Port LAN 2
für ein Gästenetzwerk (lan_guest
) verwendet wird.
Um die Konfiguration einfacher darzustellen, werden Tabellen verwendet.
VLAN ID | CPU (eth1) | LAN 1 | LAN 2 | LAN 3 | LAN 4 |
---|---|---|---|---|---|
1 | tagged | untagged | untagged | untagged | untagged |
Über den Button Hinzufügen
werden die neuen VLANs eingefügt. Als VLAN ID werden 200
und 300
verwendet.
Achtung
Beim internen Port CPU (eth1)
muss darauf geachtet werden, dass tagged
ausgewählt wird.
Jeder LAN-Schnittstelle kann nur einmal das Attribut untagged
zugewiesen werden.
Der VLAN-ID-Bereich 4020
-4030
ist für interne Zwecke reserviert.
VLAN ID | CPU (eth1) | LAN 1 | LAN 2 | LAN 3 | LAN 4 |
---|---|---|---|---|---|
1 | tagged | aus |
aus |
untagged | untagged |
200 | tagged |
untagged |
aus | aus | aus |
300 | tagged |
aus | untagged |
aus | aus |
Um die Konfiguration zu aktivieren, wird auf Speichern & Anwenden
geklickt.
Im Nachgang werden die Ports unter Netzwerk > Schnittstellen
konfiguriert. Ein neues Interface wird mit Neue Schnittstelle Hinzufügen...
erstellt.
Auf der Konfigurationsseite wird ein Name vergeben und bei Die folgende Schnittstelle abdecken
das neu erstellte VLAN-Interface angegeben.
Nach Absenden
der Daten wird die Konfiguration wie gewohnt durchgeführt.
Der VR2020-LD bietet verschiedene Wege, eine Internetverbindung aufzubauen. Einerseits gibt es die Möglichkeit einer DSL Verbindung, weiterhin steht Mobilfunk mit MultiSIM Support zur Verfügung und über den WAN-Port lassen sich verschiedene Gateway-Verbindungen oder eine Anbindung über ein externes Modem realisieren.
Hinweis
Im Auslieferungszustand befinden sich alle WAN-Schnittstellen in der Firewall-Zone wan
.
Ein Zugriff von Außen auf den Router ist hier standardmäßig nicht gestattet.
Der Router ist in der Standardkonfiguration mit einem voreingestellten Backup-System versehen.
Dabei ist die Reihenfolge – von der höchsten Priorität zur niedrigsten – wan
(Ethernet-Gateway-Verbindung) vor xdsl
(DSL-Verbindung) vor wwan
(Mobilfunk).
Achtung
Im Default sind die Schnittstellen xdsl
(DSL-Verbindung) und wwan
(Mobilfunk) nicht gestartet.
Zum Prüfen der einzelnen Verbindungswege werden vom Router aktiv ICMP-Pakete gesendet.
Um eine ADSL oder VDSL Verbindung aufzubauen, müssen in der Regel nur die Provider-Zugangsdaten eingetragen werden.
Dies erfolgt im Menü Netzwerk > Schnittstellen
unter Verwendung der standardmäßig angelegten xdsl
Schnittstelle. Die Konfigurationsseite wird über den Button Bearbeiten
aufgerufen.
Auf der nun erscheinenden Seite werden die Parameter PAP/CHAP Benutzername
mit dem Benutzernamen, der vom DSL-Anbieter zur Verfügung gestellt wurde, und das zugehörige Passwort unter PAP/CHAP Passwort
eingetragen.
Da die Schnittstelle standardmäßig nicht aktiv ist, wird zusätzlich ein Häckchen bei Während des Bootvorgangs starten
gesetzt um die DSL-Verbindung nach einem Systemstart zu etablieren.
Über die Schaltfläche Speichern & Anwenden
werden die Änderungen gespeichert und die Verbindung (neu) aufgebaut.
Hinweis
Anschlusskennung
Zugangsnummer
Mitbenutzernummer
@t-online.de
#
) eingefügt werden.0001
.Warnung
Im Auslieferungszustand ist der VR2020-LD so vorbereitet, dass beim Systemstart schnell und einfach eine Mobilfunkverbindung, unter Verwendung der SIM-Karte im Slot SIM1
, aufgebaut werden kann. Der APN ist in dem aktiven SIM-Profil auf web.vodafone.de
voreingestellt und es ist keine PIN gesetzt.
Wird eine Vodafone-SIM-Karte ohne PIN-Abfrage verwendet, muss die Verbindung nur gestartet werden. Dazu wird unter Netzwerk > Schnittstellen > wwan
ein Häckchen bei Während des Bootvorgangs starten
gesetzt und der Verbindungsaufbau über die Speichern & Anwenden
-Schaltfläche initiiert.
Ansonsten sind nur wenige Schritte erforderlich, um eine Verbindung aufzubauen.
Die Konfiguration der Schnittstelle wird auf der Menüseite Netzwerk > Schnittstellen > wwan
durchgeführt.
Auf der wwan-Bearbeiten-Seite werden zuerst das SIM-Profil für die SIM1
oder SIM2
, und bei Standard-SIM
der verwendete SIM-Karten-Slot ausgewählt.
Durch Betätigen der Speichern & Anwenden
-Schaltfläche werden die Änderungen umgehend übernommen und es wird versucht, die Verbindung mit den neuen Parametern aufzubauen.
Sollte der Provider nicht hinterlegt sein, oder eine PIN benötigt werden, wird das unter Netzwerk > Mobilfunk
unter dem Tab SIM-Profile
konfiguriert. Im Tab SIM-Einstellung
kann die PIN und im Fehlerfall auch die PUK verifiziert werden. Zudem kann hier die PIN geändert und die PIN-Abfrage aktiviert oder deaktiviert werden.
Der VR2020-LD bietet für die Schnittstelle wwan
die Möglichkeit automatisch zwischen zwei Provider-SIM-Karten umzuschalten.
Um die im Auslieferungszustand deaktivierte Funktion einzuschalten wird auf der Konfigurationsseite Netzwerk > Schnittstellen > wwan
das Häckchen bei DualSIM-Unterstützung einschalten
gesetzt. Dazu muss die Funktion Verbindung automatisch aufbauen/wiederherstellen
aktiviert sein.
Die Erholungszeit
spezifiziert, wann automatisch versucht werden soll, von dem Backup- auf den Standard-SIM-Schacht zurück zu schalten. Wird an dieser Stelle nie
ausgewählt, bleibt der Router auf der Backup-Verbindung, bis auf dieser ein Fehler festgestellt wird.
Durch Speichern & Anwenden
wird diese Änderung übernommen.
Um ein bestehendes SIM-Profil unter Netzwerk > Mobilfunk > SIM-Profile
zu ändern, zum Beispiel, wenn die PIN-Überprüfung aktiviert ist, wird die PIN
für die SIM-Karte beim entsprechenden Profil eingetragen.
Sind zusätzlich noch Benutzername und Passwort nötig, werden der Typ der Mobilfunkauthentifizierung
festgelegt und diese Zugangsdaten unter PAP/CHAP Benutzername
und PAP/CHAP Passwort
angegeben.
Die Erlaubte Mobilfunktechnik
lässt sich hier für jedes SIM-Profil einzelnen definieren. Ebenso lässt sich der PLMN
(Public Land Mobile Network Code) einstellen, um zum Beispiel aktiv ein Roaming zu unterbinden.
Durch Speichern & Anwenden
wird die Konfiguration gespeichert. Um die Änderungen zu aktivieren muss die wwan
-Schnittstelle unter Netzwerk > Schnittstellen
neu verbunden werden.
Um eine Internetverbindung über ein Gateway – welches DHCP zur Verfügung stellt – aufzubauen, sind in der Regel keine Änderungen nötig. Es wird lediglich der WAN-Port mit dem entsprechenden Gateway verbunden.
Um die IP-Adresse der WAN-Schnittstelle fest auf eine statische Adresse zu konfigurieren wechselt man in das Menü Netzwerk > Schnittstellen
. Durch Drücken auf Bearbeiten
bei der wan
-Schnittstelle wird der Konfigurationsdialog aufgerufen.
Hier wird zuerst das Protokoll
von DHCP Client
auf Statische Adresse
umgestellt und die Änderung über den Button Wechsele Protokoll
bestätigt.
In der neuen Maske wird nun die IPv4 Adresse
, die IPv4 Netzmaske
und bei IPv4 Gateway
die IP des zu verwendenden Gateways eingetragen.
Für die Namensauflösung ist bei Benutze eigene DNS-Server
die Angabe eines entsprechenden Servers nötig.
Optional kann noch eine eigene, vom Standard abweichende IPv4 Broadcast
IP eingetragen werden.
Wird statt IPv4 IPv6 benötigt oder soll eine IPv6-Konfiguration zusätzlich erfolgen, werden die nötigen Einstellungen auch hier ausgeführt.
Die TDT Router werden standardmäßig mit einer Zonen-basierenden Firewall ausgeliefert.
Achtung
Im Auslieferungszustand befinden sich alle WAN-Schnittstellen in der Firewall-Zone wan
.
Ein Zugriff von außen auf den Router ist hier standardmäßig nicht gestattet.
Aus der Zone wan
wird der Zugriff auf lokale, hinter dem VR2020-LD befindliche Geräte zurückgewiesen (rejected).
Lokale Schnittstellen befinden sich in der Zone lan
der Firewall.
Diese unterliegt keinen Restriktionen.
Auf der Übersichtsseite der Firewall befindet sich zuerst die Einstellungsmöglichkeit für das Verhalten, das für Schnittstellen ohne Zone Anwendung findet.
In der zusammengefassten Ansicht der Firewall-Zonen werden die Zonen mit ihren enthaltenen Schnittstellen angezeigt und welche Forwardings in andere Zonen erlaubt sind. Das heißt, wie das Verhalten ist, wenn ein Datenpaket am Router ankommt das in eine andere Zone geroutet wird. Ein Beispiel hierfür wäre eine Anfrage von einem Client-Computer an einen Webserver. Das Paket kommt an einer Schnittstelle der Zone lan
an und wird über einen Routingeintrag an die Zone wan
weitergeleitet, »geforwarded«.
Ein Port-Forwarding wäre, wie der Name schon sagt, ein weiteres Beispiel für ein »forwarded Paket«.
Zudem wird hier festgelegt, wie mit Paketen verfahren wird, die eine IP-Adresse des Routers ansprechen (Eingang/Input) oder die vom Router generiert werden (Ausgang/Output).
Ein ausgehendes »Masquerading«, eine Sonderform des Source-NAT, lässt sich hier für die Zone, durch anhaken der Funktion NAT aktivieren
anlegen. Dadurch wird die Absender-IP-Adresse durch die Adresse der Schnittstelle ersetzt, über die der Datenstrom Richtung Ziel gesendet wird.
Mit der MSS Korrektur
-Funktion wird die »Maximum Segment Size« für Datenpakete zu dem jeweiligen Ziel ermittelt. Das Verfahren ist auch als »Path MTU Discovery« bekannt und wird vor allem bei DSL-Verbindungen benötigt, da hier in der Regel eine Maximum Transmission Unit (MTU) kleiner der in lokalen Netzen üblichen 1500 Verwendung findet.
Achtung
In der Default-Konfiguration werden Forwarding-Pakete zurückgewiesen (Rejected), außer es handelt sich um Port-Forwarding-Pakete (DNAT).
Soll der Zugriff entsprechend eingeschränkt werden, muss das in der Port-Forwarding-Regel berücksichtigt werden.
Port-Forwardings lassen sich schnell und einfach unter Firewall > Portweiterleitungen
einrichten.
Dazu wird der Name
für das Port-Forwarding angegeben, das Protokoll
ausgewählt, unter Externe Zone
die Zone, an der die Anfragen auflaufen, und bei Externe Port
der Port, der angesprochen wird, angegeben.
Für die lokale Seite wird die Interne Zone
, das Ziel, die Interne IP-Adresse
und der Interner Port
der an dem Ziel-Gerät angesprochen werden soll, angegeben.
Mit Hinzufügen
wird die Regel mit den angegebenen Parametern erstellt. Um diese Regel zu aktivieren, wird abschließend noch Speichern & Anwenden
gedrückt.
Unter Firewall > Traffic Rules
können Port-Freigaben verwaltet werden.
Hier finden sich verschiedene vordefinierte Regeln. Diese sind teilweise nicht aktiviert.
Um eine Regel bei Bedarf zu aktivieren oder deaktivieren, wird entsprechend ein Häkchen in der Spalte Aktivieren
in der Übersichtstabelle gesetzt oder entfernt und die Änderung mit Speichern & Anwenden
übernommen.
Um den Zugriff auf einen Port des VR2020-LD zuzulassen wird im Bereich Ports auf dem Router öffnen
ein Name
für die Regel angenommen, das Protokoll
und entsprechend Externer Port
angegeben und die Regel mit Hinzufügen
erstellt.
Nun kann die neu angelegte Regel über Bearbeiten
noch weiter eingegrenzt werden, um zum Beispiel den Zugriff nur von einem definierten Absender (Quelladresse
) zu erlauben.
Unter anderem können hier auch die Quell-Zone
, an der das Paket am Router ankommt (standardmäßig wird hier die Zone wan
gesetzt), und die Ziel-Zone
angepasst werden. Beim Anlegen der Regel über die Ports auf dem Router öffnen
-Routine wird die Ziel-Zone
auf den Wert am Gerät (eingehend)
gesetzt.
Um eine fälschlicherweise als eingehend (Accept input
) angelegte Regel in eine weitergeleitete (Accept forward
) zu ändern, wird die Ziel-Zone
entsprechend auf die gewünschte Zone angepasst.
Zudem sind hier auch noch einige weitere Filter für die Regel zu setzen.
Speichern & Anwenden
setzt die Regel mit der neuen Änderung in Kraft und speichert diese.
Soll trotzdem ein Netzwerkteilnehmer erreicht werden, der sich in einer Zone befindet, in die keine globale Weiterleitung erlaubt ist, muss eine Neue Weiterleitungsregel
erstellt werden.
Diese wird auf der Seite Firewall > Traffic Rules
unter Angabe eines Regel-Name
, der Quell-Zone
– im Regelfall wan
– und der Ziel-Zone
– für die lokalen Geräte entsprechend lan
– mittels Hinzufügen und bearbeiten...
hinzugefügt und gleich bearbeitend geöffnet. Hier wird abschließend noch der Zielport
angegeben.
Weitere Filter sind, wie schon unter Ports für den Zugriff auf den Router öffnen erwähnt, einzustellen.
Mit Speichern & Anwenden
wird die neue Regel gespeichert und gleich aktiviert.
Dynamisches DNS erlaubt es, dass der VR2020-LD immer unter dem gleichen Hostnamen erreichbar ist, selbst wenn sich die öffentliche IP-Adresse ändert.
Achtung
wwan
auf den Router in der Regel nicht.Um ein dynamisches DNS Update einzurichten, wechselt man in den Bereich Dienste > Dynamisches DNS
. Hier hat man die Möglichkeit einen neuen Eintrag hinzuzufügen.
Im ersten Schritt wird auf der Konfigurationsseite der Lookup Hostname
eingetragen und ausgewählt, ob eine IPv4- oder eine IPv6-Adresse aktualisiert werden soll.
Nachfolgend wird der DDNS-Diensteanbieter
ausgewählt, zum Beispiel dyntdt.de
. Ist der verwendete Dienst noch nicht hinterlegt, kann dieser über die Auswahl -- benutzerdefiniert --
selbst angelegt werden.
Dazu wird zum Beispiel https://[USERNAME]:[PASSWORD]@www.dnshome.de/dyndns.php?ip=[IP]
bei Eigene Update-URL
angegeben, wenn https://www.dnshome.de der Provider ist.
Wie die Update-URL im Speziellen aussehen muss, lässt sich in der Regel den Seiten des Service-Providers entnehmen.
Danach werden noch Rechnername/Domäne
, Benutzername
und Passwort
eingetragen.
Um die Daten sicher zu übertragen, empfiehlt es sich, Verwende sicheres HTTP
zu aktivieren und wenn das CA-Zertifikat nicht vorliegt, beim Pfad zum CA-Zertifikat
IGNORE
anzugeben, ansonsten den Speicherort.
Im Tab Erweiterte Einstellungen
wird nun noch die zu updatende IP address source
ausgewählt. Standard ist hier Netzwerk
und als Netzwerk
lan
.
Speichern
übernimmt die neuen Einstellungen.
Zurück auf der Übersichtsseite wird noch das Häkchen bei Einschalten
gesetzt und mit Speichern & Anwenden
gespeichert und aktiviert.
Ein VPN dient dazu, ein weiteres Netz über ein bestehendes zu legen. Hierfür stehen viele unterschiedliche Ansätze zur Verfügung. Zumeist wird fälschlicher Weise angenommen, dass ein Virtual Private Network zwangsläufig eine sichere Datenübertragung darstellt und die Übertragung mittels Authentifizierung und Verschlüsselung gesichert ist. Das ist aber nicht zwingend der Fall.
In der heutigen Zeit werden überwiegend zwei unterschiedliche Technologien für die Realisierung eines VPN verwendet:
Diese werden zum Beispiel verwendet um mehrere Unternehmensstandorte miteinander zu verbinden (Site to Site) oder externen/reisenden Mitarbeitern (Roadwarrior) den Zugriff auf (lokale) Unternehmensdienste zu gewähren.
Die beiden Ansätze werden im Folgenden kurz umrissen.
Zudem sei an dieser Stelle erwähnt, dass die Router der VR2020-Serie als weitere Option die neue VPN-Lösung WireGuard enthalten. Diese bietet beispielsweise moderne kryptographische Verfahren und eine einfache Konfiguration von plattformübergreifenden Fernzugriffen über verschiedene Endgeräte.
IPsec ist die Abkürzung für Internet Protocol Security. Sie ermöglicht eine gesicherte Kommunikation über potentiell unsichere IP-Netze, wie z.B. dem Internet.
Im Gegensatz zu anderen Verschlüsselungsprotokollen wie z.B. SSL, das auf der Transportschicht aufbaut, arbeitet IPsec direkt auf der Internetschicht (internet layer) des TCP/IP-Protokollstapels. Damit ist es für Anwendungen transparent.
IPsec verwendet zur Verbindungsaushandlung zwei Phasen.
In der ersten Phase erfolgt die Verschlüsselungsvereinbarung und Authentisierung (Internet Key Exchange = IKE). Dabei werden über mehrere Schritte geheime Schlüssel generiert und eine SA (Security-Association) ausgehandelt. Die sogenannte ISAKMP-SA oder kurz IKE-SA, wobei ISAKMP für Internet Security Association and Key Management Protocol steht.
Die Authentifizierung erfolgt dabei zum Beispiel über Pre-Shared Key (psk) oder Zertifikate (RSA oder ECDSA).
In der zweiten Phase der IPsec-Aushandlung wird der Quick Mode verwendet. Die gesamte Kommunikation in dieser Phase erfolgt verschlüsselt (Schutz durch die IKE SA). Dabei werden nochmals SAs erzeugt, die zum eigentlichen Datenaustausch benutzt werden. Um die Sicherheit zu erhöhen, enthält diese »Daten-SA« – meist als IPsec-SA oder CHILD_SA bezeichnet – keine Informationen aus Phase 1.
Für die Übertragung der Daten wird einer der zwei Modi verwendet: Transport- oder Tunnel-Modus. Dazu stehen jeweils die Verfahren Authentication Header (AH) oder Encryption Security Payload (ESP) zur Verfügung, wobei ESP in der Regel bevorzugt verwendet wird.
AH basiert auf einem zusätzlichen Header, der dem normalen IP-Header folgt. Bei ESP enthalten die Nutzdaten ebenfalls einen Header, der den Security Parameters Index (SPI) enthält. Die Existenz dieser Header wird durch die Transport-Protokoll-Nummer im IP-Header angezeigt.
Transport-Modus nur die Paket-Inhalte werden verschlüsselt, der IP-Header bleibt erhalten.
AH basiert auf einem zusätzlichen Header, der dem normalen IP-Header folgt.
ESP verschlüsselt die Daten des Paketes, der IP-Header bleibt erhalten.
Tunnel-Modus verschlüsselt das ursprüngliche Paket und versendet dieses in einem neuen Paket.
AH erzeugt ein neues IP-Paket, das einen Authentication-Header über das ursprüngliche Paket enthält.
ESP verschlüsselt das komplette IP-Paket und kapselt das verschlüsselte Paket in ein neues Paket.
Um eine IPsec-Verbindung erfolgreich aufzubauen, müssen im Vorfeld mehrere Punkte berücksichtigt/geklärt werden.
Mindestens eine Seite muss über eine öffentliche IP erreichbar sein.
Authentifizierungs- und Verschlüsselungsparameter müssen festgelegt werden.
Die zu verbindenden Netze/Hosts müssen bekannt sein.
Auf der Zentralseite sind folgende Ports in der Firewall freizugegeben, beziehungsweise weiterzuleiten:
Port | Protokoll | Beschreibung |
---|---|---|
ESP | Protokoll für ESP (Encapsulated Security Payload) | |
500 | UDP | Quell- und Zielport für IKE (Internet Key Exchange) |
4500 | UDP | Wird benötigt, wenn sich der IPsec-Server hinter einem NAT-Gateway oder einer Masquerading-Firewall befindet. |
In aktuellen Firmware Versionen wird die IPsec-Implementation strongSwan eingesetzt. Eine ausführliche Dokumentation und Beispielkonfigurationen befinden sich im strongSwan Wiki.
Bei OpenVPN handelt es sich nicht um eine unsichere VPN-Lösung, wie der Name vielleicht vermuten lässt. Dieser bringt lediglich zum Ausdruck, dass der Quellcode kostenlos und frei abrufbar ist. Die Software ist unter der GNU GPL lizenziert und unterstützt eine Vielzahl (moderner) Betriebssysteme.
OpenVPN dient zum Aufbau von Virtuellen Privaten Netzwerken über eine verschlüsselte TLS Verbindung (Transport Layer Security, weitläufiger bekannt unter der Vorgängerbezeichnung SSL = Secure Sockets Layer). Die Authentifizierung kann zum einen über Username / Passwort, Zertifikate oder einen statischen Secret Key erfolgen.
Mit Hilfe von OpenVPN können Routed-VPN (Layer 3) aufgebaut werden. Dabei wird ein verschlüsselter Tunnel zwischen zwei fiktiven IP-Adressen eines Subnetzes, dem sogenanten Transportnetz, aufgebaut. Um einen Tunnel zwischen zwei Gegenstellen herzustellen stellt dies eine einfache Form der sicheren Kommunikation.
Über einen VPN-Tunnel im Routing-Modus werden ausschließlich IP-Pakete geleitet. Layer 2 Daten werden nicht übertragen. Gerade bei Internetanbindungen mit geringer Bandbreite oder sogar Trafficlimitierung ist diese Variante zu bevorzugen, da ohne die Ethernet-Frames erheblich weniger Daten über den Tunnel übertragen werden.
Die Variante des Bridged-VPN bietet den Vorteil des vollständigen Tunnelns von Ethernet-Frames (Layer 2). Ein Client wird völlig transparent integriert und erhält eine IP-Adresse des dortigen Subnetzes. Somit erlaubt dieser Modus auch den Einsatz alternativer Protokolle wie IPX oder unterstützt das Senden von Wake-On-LAN-Paketen.
WireGuard ist eine noch sehr junge Technologie, um sichere und leistungsfähige virtuelle private Netze (VPNs) mit geringem Aufwand zu realisieren. Es handelt sich um ein Open-Source-Protokoll und eine Open-Source-Software, die eine Alternative zu etablierten VPN-Lösungen wie OpenVPN oder IPsec bieten soll.
WireGuard wurde mit dem Ziel entwickelt, VPNs einfacher zu machen und eine Alternative zu bestehenden VPN-Lösungen zu bieten. Die Open-Source-Software und das -Protokoll konkurrieren mit VPN-Technologien wie IPsec oder OpenVPN. Im Vergleich zu existierenden Lösungen soll die Konfiguration von VPN-Verbindungen einfacher und schneller sein.
WireGuard arbeitet mit hoher Performance auf dem Layer 3 des OSI-Schichtenmodells und unterstützt sowohl IPv4 als auch IPv6. Die Software ist bewusst einfach und überschaubar gehalten. Sie besteht lediglich aus circa 4.000 Zeilen Programmiercode. Andere VPN-Lösungen haben teilweise mehrere hunderttausend Zeilen Quelltext. Entwickelt wurde die neue VPN-Alternative von Jason A. Donenfeld. Sie ist für unterschiedliche Plattformen wie verschiedene Linux-Distributionen, macOS, Android oder iOS verfügbar. Auf Linux-Systemen läuft der Code als Modul im Kernel und erzielt eine hohe Performance. Seit 2018 bieten VPN-Provider wie Mullvad and AzireVPN erste Services auf Basis der neuen VPN-Lösung.
Hinweis
Die Entwicklungsphase von WireGuard ist noch nicht abgeschlossen.
Der WireGuard-Support soll in den Linux Kernel 5.6 einfliesen.
Folgende Ziele wurden beim Design der VPN-Alternative verfolgt:
WireGuard zeichnet sich im Vergleich zu den bestehenden meist sehr komplexen VPN-Lösungen durch seine Einfachheit aus. Die Software bietet weniger Konfigurationsmöglichkeiten und beschränkt sich auf das Notwendigste. Dadurch ist die Lösung einfach zu nutzen und ihre Sicherheit leicht zu überprüfen. Mögliche Schwachstellen sind im überschaubaren Code einfach zu finden. Um ein hohes Sicherheitsniveau bei der Verschlüsselung der Daten zu erreichen, nutzt WireGuard moderne kryptographische Verfahren. Identitäten von VPN-Teilnehmern sind mit ihren öffentlichen Schlüsseln verknüpft. Verbindungen werden ähnlich wie bei SSH durch den Austausch der öffentlichen Schlüssel aufgebaut. Die Architektur basiert auf dem Peer-to-Peer-Modell.
Für den Aufbau von VPN-Verbindungen und den Austausch von Daten greift WireGuard auf verschiedene Protokolle zurück. Die wichtigsten Protokolle sind:
Die VPN-Lösung beschränkt sich bewusst auf die drei Grundfunktionen für verschlüsselte Verbindungen. Der Schlüsseltausch erfolgt im Handshake per Curve25519 mit Elliptic Curve Diffie-Hellman (ECDHE). BLAKE2s dient als universelle Hashfunktion und generiert beispielsweise Keyed-Hash Message Authentication Codes (HMAC) oder leitet Schlüssel mit HMAC-based Key Derivation Funciton (HKDF) ab. Für die symmetrische Verschlüsselung der ausgetauschten Daten sind ChaCha20 und Poly1305 zuständig. Neben der nativen Unterstützung von IPv4 und IPv6 ist es möglich, IPv4 in IPv6 zu enkapsulieren und umgekehrt.
Als ein glühender Befürworter der Aufnahme zeigte sich auch Linus Torvalds. Wie der Linux-Vater im Zuge der Aufnahme von Netzwerk-Patches aus dem experimentellen Zweig des Kernels bestätigte, sehe auch er die gängigen Alternativen als zu schwerfällig und zu kompliziert an. Laut Torvalds sei WireGuard im direkten Vergleich mit dem »Horror von OpenVPN und IPsec« ein Kunstwerk. »Er liebe deshalb die Implementierung – auch wenn sie noch nicht perfekt sei – und wünsche sich eine baldige Aufnahme in den Kernel« so Torvalds sinngemäß.
Quelle: Security Insider
Der Router bietet unter System > Backup / Firmware Update
verschiedene Möglichkeiten, Konfigurationen zu verwalten.
Zum Erstellen einer Konfigurationssicherung wird auf der Seite bei Backup herunterladen
der Button Sicherung erstellen
betätigt.
Nun wird die Konfiguration gepackt und zum Download angeboten. Ist der Browser auf »Automatisch im folgenden Ordner abspeichern« eingestellt, wird die Konfiguration im angegebenen Ordner – in den meisten Browsern standardmäßig Downloads – gespeichert.
Dabei wird der Dateiname nach dem Schema YYYY-MM-DD-backup-HOSTNAME.tar.gz
erzeugt. Fragt der Browser vor dem Speichern nach, ist der Dateiname beliebig wählbar, die Endung .tar.gz
muss aber erhalten bleiben.
Die Konfiguration kann nach dem Herunterladen lokal am PC oder in der Server-Infrastruktur abgelegt werden.
Eine einmal erstellte Sicherung kann jederzeit – auch auf einem anderen, baugleichen Gerät – wieder eingespielt werden.
Dazu wird im Bereich Sicherung wiederherstellen
lokal nach der gewünschten Datei gesucht und diese über die Schaltfläche Backup wiederherstellen...
eingespielt. Dabei wird die gesicherte Konfiguration geladen und die Änderungen durch einen Reboot aktiviert.
Der Auslieferungszustand lässt sich auf mehreren Wegen wiederherstellen. Einerseits gibt es hier den Weg über das Webinterface, weiterhin besteht die Möglichkeit mittels Kommandozeile und schließlich lässt sich dies über den Reset-Taster auslösen.
Über das Webinterface lässt sich der Factory-Reset auf der Menü-Seite System > Backup / Firmware Update
im Bereich Auslieferungszustand wiederherstellen
auslösen, indem man den Button Reset durchführen
betätigt.
Um den Auslieferungszustand über die Kommandozeile wiederherzustellen wird das Kommando firstboot
eingegeben und der Reset mit y
(= yes) bestätigt.
Durch das Gedrückt-Halten des Reset
-Tasters auf der Vorderseite des VR2020-LD länger als fünf Sekunden, wird beim Loslassen die Werkseinstellung geladen und ein Neustart des Gerätes ausgelöst.
Ein Update der Router-Firmware lässt sich im Webinterface auf unterschiedlichen Wegen durchführen: Einerseits über einen manuellen Upload des Firmware-Images und andererseits online über den TDT-Updateserver.
Im Bereich Neues Firmware Image schreiben
auf der Menü-Seite System > Backup / Firmware Update
wird bei Image
die Datei auf dem lokalen System ausgewählt.
Standardmäßig ist das Häkchen bei Konfiguration beibehalten
vorausgewählt. Soll der Router nach dem Update mit Werkseinstellungen starten, muss das Häkchen an dieser Stelle entfernt werden.
Der Update-Prozess wird durch Drücken von Firmware aktualisieren...
gestartet.
Im ersten Schritt wird die Checksumme überprüft. Ist diese korrekt, kann mit Fortfahren
das Image geflasht werden, es besteht aber auch die Möglichkeit, den Vorgang abzubrechen.
Im Menü unter System > Online Firmware Update
kann auf dem TDT-Updateserver nach einer neueren, zur Verfügung stehenden Software-Version gesucht werden.
Dazu klickt man bei Auf Aktualisierungen prüfen
auf Prüfen
. Daraufhin wird am Server angefragt und das Ergebnis entsprechend ausgegeben.
Steht ein neueres Firmware-Image bereit, kann man dieses direkt von dieser Seite aus einspielen.
Auch hier ist standardmäßig das Häkchen bei Konfiguration beibehalten
gesetzt. Um nach dem Update mit Werkseinstellungen zu starten, muss das Häkchen an dieser Stelle entfernt werden.
Bei Update durchführen
wird mit Firmware aktualisieren...
der Vorgang gestartet. Hier wird zuerst die Signatur und danach die Checksumme überprüft. Sind diese korrekt, wird die neue Firmware, ohne weitere Rückfrage geflasht.
Hinweis
Das DSL-Frontend ist unter System > Systemstart
zu deaktivieren. Hierfür wird einfach der Prozess dsl_control
auf der Seite gesucht und der Button Deaktivieren
gedrückt, um diesen bei einem Systemstart nicht zu laden.
Um DSL im laufenden Betrieb zu deaktivieren wird im Nachgang der Prozess dsl_control
durch Klicken auf Stoppen
angehalten.
Um in Windows-Umgebungen optimal mit dem Router arbeiten zu können, sind die folgenden PuTTY-Einstellungen zu empfehlen.
Unter Terminal > Features
wird bei Disable application keypad mode
das Häkchen gesetzt. Hierdurch wird zum Beispiel der Umgang mit VI erleichtert, da so der Nummernblock nutzbar wird.
Im Menü Window
wird der Wert bei Lines of scrollback
auf 20000
-Zeilen gestellt, um weiter zurückscrollen zu können.
Um die Zeichen korrekt darzustellen, sollte der Zeichensatz unter Window > Translation
auf UTF-8
gesetzt werden.
Da die Farbe Blau unter PuTTY auf schwarzem Hintergrund nicht optimal lesbar ist, empfiehlt es sich, hier nachzubessern. Dies wird unter Window > Colors
bei Select A Color to adjust
für die Farbe ANSI Blue
eingestellt. Dabei werden die Werte entsprechend Red
und Green
jeweils auf 54
und Blue
auf 216
gestellt.
Um die SSH Session am »Leben« zu erhalten, kann der Parameter Seconds between keepalives
unter Connection
auf 30
gestellt werden.
Gerade für langsame Verbindungen lässt sich, unter Connection > SSH
das Häkchen bei Enable Compression
setzen, um die Daten komprimiert zu übertragen.
Als letzte Einstellung lässt sich noch die Serielle-Kommunikation konfigurieren. Über das Menü Connection > Serial
werden die Werte entsprechend der folgenden Tabelle festgelegt.
Parameter | Wert |
---|---|
Speed (baud): | 115200 |
Data bits: | 8 |
Stop bits: | 1 |
Parity: | None |
Flow control: | None |
Abschließend werden die Daten als Standard oder als eigenes Profil unter Session
gespeichert. Dazu wird entweder das Profil Default Settings
markiert oder im Eingabefeld ein eigener Session-Name angegeben und über den Button Save
gespeichert.
Link | Beschreibung |
---|---|
www.tdt.de | Die offizielle Webseite der TDT AG |
download.tdt.de | Download-Bereich auf der offiziellen TDT Webseite |
OpenVPN | OpenVPN: Die offizielle Open-Source-Seite |
PuTTY | PuTTY ein Open-Source-SSH-Client |
strongSwan | Die offizielle Seite zu strongSwan IPsec |
strongSwan Wiki | strongSwan IPsec: Dokumentation und Konfigurationsbeispiele |
WireGuard | WireGuard®: Die offizielle Webseite |
Security Insider: WireGuard | Security Insider: Definition – Was ist WireGuard® |