Erste Konfiguration des Routers
1) Anschluss der Geräte
- um den Router zu konfigurieren erstmal nur einen Rechner anschliessen, das DSL Modem auch vorerst nicht am Router anschliessen
2) Router Reseten
- mit aufgebogener Büroklammer im eingeschaltetem Zustand den Resetknopf drücken, und für 10 Sekunden gedrückt halten
- das Netzteil aus der Steckdose ziehen, den Resetknopf aber weiter gedrückt halten
- nach 10 Sekunden das Netzteil wieder einstecken und wenn die LEDs 1-4 gleichzeitig Aufleuchten den Resettaster loslassen,
wenn sie hintereinander Aufleucheten beim Aufleuchten der 2 oder 3 LED Resettaster loslassen
3) Aufruf der Router-Weboberfläche
- nach dem Reset den Rechner einschalten
- IE starten,
http://192.168.0.1 eingeben und Return drücken
- es erscheint die Passwortabfrage, Standard ist:
Benutzername: admin
Passwort: (Feld leer lassen, wenn Punkte sind, diese löschen)
- die Weboberfläche des Routers sollte erscheinen
- falls keine Passwortabfrage oder Weboberfläche erscheint, hier lesen:
http://forum.dlink.de/topic.asp?TOPIC_ID=24612
4) Wizzard nicht benutzen
- je nach Firmware, hat der Wizzard Fehler, er stellt den Router ohne nach den Tarif zu fragen auf immer Online ein, eine Einstellung der Zeitzone erfolgt auch nicht
5) WAN Einstellungen (hier als Beispiel: PPPoE)
- auf Home, WAN klicken, dann PPP over Ethernet auswählen
- bei PPPoE Account und PPPoE Password die Zugangsdaten die Euch euer Provider gegeben hat eintragen hier zum Beispiel T-Online:
PPPoE Account = Anschlußkennung & T-Online Nr. & #
[email protected]
PPPoE Account = 111111111111222222222222#
[email protected]
PPPoE Password = persönliches Kennwort
- bei Primary DNS und Secondary DNS sollte 0.0.0.0 stehen, das sollte man nicht verändern, denn so bekommt man automatisch die richtigen Server vom Provider
- bei PPPoE Service Name wird nichts eintragen, es sei denn der Provider fordert es
- bei Assigned IP Address steht 0.0.0.0, wird auch nur geändert wenn vom Provider gefordert
- bei MTU sollte 1492 stehen, sollte auch nicht geändert werden, die Pakete werden zu 95% auf den Rechnern erzeugt, dort wird auch die MTU die der Provider Vorgibt eingestellt
- bei Maximum Idle Time kommt je nach Euren wünschen eine Zeit in Sekunden oder Minuten rein, wann der Router auflegen soll, wenn kein Traffic ist z.B.
Idle Time=0 -> Router geht nicht Offline, Idle Time=300 -> Router geht nach 5 Minuten Leerlauf Offline
- je nach Firmware habt Ihr eine Einstellung auto-reconnect, Ihr solltet das auto-reconnect deaktivieren, warum?, weil die Funktion:
a) nicht immer funktioniert
b) Ihr den Router nicht disconnecten könnt um Ihn zu konfigurieren, siehe Oberste Regel.
- die neuen Firmwares haben bei Home, WAN, eine Einstellung Connect mode select 3 Modi stehen zur Auswahl:
Always-on -> der Router ist immer Online, ist wie auto- reconnect nicht zu empfehlen
Manual -> manuelle Kontrolle über Connecten und Disconnecten, ist bei Zeit und Volumen Tarifen am sichersten, keine Probleme bei der Konfiguration des Routers, weil man den Router disconnecten kann
Connect-on-demand -> Router connectet automatisch wenn ein Programm ins Internet will, ist nicht ungefählich bei Zeit und Volumen Tarif weil auch Spyware und Viren den Router connecten können
Wichtig! mit Always-on seid Ihr nach klicken von Reboot sofort Online !
und Online solltet Ihr den Router nicht konfigurieren (Oberste Regel), weil das zu einer schlechten DSL Verbindung führt !
- Apply klicken und dann auf Reboot klicken
6) DSL Modem anschliessen und einschalten
- warten bis das Modem sich bei der Vermittlungsstelle eingeloggt hat, kann 1-2 Minuten dauern
7) Router Connecten
- auf Register Status klicken
- auf Connect klicken, der Router meldet sich beim Provider an, Ihr bekommt eine WAN IP und über den Connect Button steht PPPoE Connected
8) neue Firmware besorgen
- wenn keine Probleme mit der aktuellen Firmware bestehen, ist ein Upgrade nicht erforderlich
- bei Problemen erstmal im Forum suchen oder posten, dort bekommt Ihr Infos, welche Firmware für Euch am besten ist
9) Router Disconnecten
- auf Register Status klicken
- auf Disconnect klicken
10) neue Firmware flashen
- Router reseten = bei Tools, System, auf Restore To Factory Default Settings, Restore klicken
- falls nur eine bin Datei vorhanden ist muss man über die Weboberfläche des Routers flashen, besser ist aber, IE schliessen, und die neue Firmware mit der exe Datei flashen
- Wichtig!, den Router anschliessend nochmal reseten und dann mal für min. 10 Sekunden vom Strom trennen
- Ihr müsst alle Einstellungen neu und von Hand machen, keine alte Config. laden !
Erneute Konfiguration
1) Home, WAN
- da nun alles gelöscht ist müsst Ihr alle Einstellungen wie unter 3) bei Erste Konfiguration des Routers beschrieben neu machen
2) Home, LAN
- hier nichts ändern, wenn nicht unbedingt nötig
- die Router IP sollte auf 192.168.0.1 bleiben, eine andere IP erhöht die Sicherheit nicht und führt eher zu Problemen
- der DHCP Server sollte auch an bleiben, dann gibt es keine Probleme, falls mal ein Rechner mit automatischer IP Vergabe ins Netz kommt
- wenn Ihr den Rechnern feste IP vergebt, dann Ausserhalb des DHCP Pool Bereich, also 192.168.0.2 - 192.168.0.99
3) Advanced, Virtual Server
- hier werden Ports für auf den Rechner laufende Server freigegeben
- für einen Client braucht man nichts freigeben, das macht die NAT-Firewall automatisch, Clienten sind z.B. der IE, Outlook Express, FlashFXP ...
- Ihr könnt einen Port nur 1x an nur einen Rechner weiterleiten, wenn Ihr mehrere Einträge für einen Port macht, nimmt er den ersten den er findet
- bei mehreren Servern (z.B. FTP) auf mehreren Rechnern, müsst Ihr unterschiedliche Ports benutzen, z.B. für den ersten Port 21 und für den zweiten Port 26
- mit Advanced, Application kann man einen Port auf mehrere Rechner weiterleiten, dies geht aber nur wenn vorher ein Trigger Paket gesendet wurde und gleichzeitig geht es auch nicht
Tip: FTP Server
- seit es Router mit NAT Firewall gibt, gibt es auch Probs mit FTP Servern, der Grund ist einfach, die Rechner hinter der NAT Firewall kennen die WAN IP nicht
- schlimmster Fall Client und Server hinter einer NAT Firewall, beide kennen die WAN IP nicht und dann geht es logischer Weise nicht, man kann aber dem Server die WAN IP bekannt machen, das wird z.B. über ein DDNS Namen gemacht, wenn sich die WAN IP des Servers dynamisch ändert
- auch die Wahl des Clienten spielt eine Rolle, neuere FlashFXP Versionen können Fehler in der Serverkonfiguration erkennen und ermitteln die Server IP dann aus den Verbindungsdaten
- wenn passives FTP nicht geht weil der Server es nicht unterstützt, versucht es mit aktiven FTP
- bei passiven FTP sagt der Client PASV, das kann man mit ich kenne meine WAN IP nicht, sage mir deine (vom Server) übersetzen
- bei aktiven FTP sagt der Client PORT... und dahinter kommt die WAN IP und Port, das geht aber nur gut wenn der Client nicht hinter einer NAT Firewall ist, sonst sendet er die Rechner IP 192.168.0.xx und mit dieser IP kann der Server nix anfangen
- das passive FTP gilt als sicherer gegen Angriffen und funktioniert auch wenn sich der Client hinter einem Router / NAT-Firewall befindet
Für passives FTP folgendes am Router und Server einstellen:
a) im Router: Port 21 zum Server mappen
b) für passives FTP im Router: Port 1051-1055 (bis zu 5 Usern gleichzeitig) zum Server mappen
c) die FTP Server Software muss die WAN IP kennen, das wird z.B. über einen DDNS Namen gemacht
d) in der FTP Server Software muss auch der passiv Port Bereich Port 1051-1055 (bis zu 5 Usern gleichzeitig) eingetragen sein
Beispiel: Im FTP Server Serv-U muss:
- Local Server, Settings, Register Advanced, Pasv Port Range = 1051-1055 (bis zu 5 User gleichzeitig)
- Domains, DeinNet, Register Domain, FTP Port Number = 21, Enable dynamic DNS = aktiviert
- Domains, DeinNet, Register Dynamic DNS, IP Name = DeinHost.dyndns.org
- Domains, DeinNet, Settings, Register Advanced, Allow passive mode data transfers = aktiviert, use IP = leer lassen
Am Clienten den Passiv Mode aktivieren, beim IE in den Internetoptionen, Register Erweitert, passives FTP verwenden aktivieren.
4) Advanced, Application
- hier kann ein Programm Ports oder ganze Portbereiche zu sich weiterleiten, das funktioniert wie eine Weiche, der Rechner der ein Trigger Paket sendet bekommt die Ports weitergeleitet
- macht hier nur Einträge wenn:
a) ein Programm braucht nach einer Anforderung Portbereiche freigeschaltet
b) das Programm läuft nur auf einem Rechner zur gleichen Zeit
Tip: mehrere Rechner mit Win XP und Zeitsync. funktioniert nicht ?
Bei Routern mit HW:Bx folgenden Eintrag machen:
Trigger: 123
Incoming Ports: 123
Enable: aktivieren(Haken)
Apply klicken und dann auf Reboot klicken
5) Advanced, Filter
- der MAC Filter
- der MAC Filter ist eher eine Sicherheitseinrichtung, die MAC Adresse und die IP muss stimmen, sonst gibt es keinen Zugriff auf Router, LAN und WAN.
- die Bindung der IP an die MAC ist für den Outbound-Filter wichtig, damit man die Filterregeln nicht einfach durch ändern der IP unterlaufen kann
- der Outbound Filter, -> Ausgangsfilter, hier kann man bestimmten Rechnern bestimmte Dienste wie z.B. FTP verbieten indem man im Router das anfordernde ausgehende Paket blockt
- Standardmässig lässt der Router alle Pakete raus
So sollte der Eintrag aussehen (Beispiel für HW:Bx Router):
* Outbound IP Filter
nun hat man die Wahl,
* Allow all computers to pass except those listed below
erlaubt erstmal allen Rechnern alles,
die Einträge die folgen geben an was geblockt werden soll:
z.B. Pakete von 192.169.0.xxx an Port 21 blocken,
der Rechner kann dann keinen FTP download.
Source-IP, Port, Dest.-IP, Port, Time
192.168.0.xxx, *, *, 21, always - ( * = Feld leer lassen)
anderes Beispiel: URL für den Rechner 192.168.0.xxx blocken
Source-IP, Port, Dest.-IP, Port, Time
192.168.0.xxx, *, IP der URL, 80, always - ( * = Feld leer lassen)
Die IP der URL bekommt man, wenn man in der Eingabeauffoderung den Ping Befehl benutzt.
Z.B. Ping
www.web.de dann kommt folgendes zurück.
Ping
www.web.de [217.72.195.42] mit 32 Bytes Daten ....
oder
* Deny all computers to pass except those listed below
sperrt erstmal allen Rechnern alles,
die Einträge die folgen geben an was erlaubt werden soll:
z.B. allen Rechnern HTTP (surfen) erlauben.
Source-IP, Port, Dest.-IP, Port, Time
*, *, *, 80, always - ( * = Feld leer lassen)
Was geblockt wurde kann man im Log nachlesen, so sieht ein geblockter FTP Eintrag aus:
Mittwoch, 4. Juni 2003 00:23:32 Unallowed access from 192.168.0.100:2549 to 200.108.225.191:21 protocol=6 rule=-1
Achtung: Der Outbound Filter kann natürlich unterlaufen werden, wenn der Benutzer dem Rechner eine andere IP geben kann.
Deshalb solltet Ihr die IP durch Verwendung des MAC-Filters an die MAC binden, gleichzeitig bekommt Ihr so einen zusätzlichen Schutz vor Eindringlingen.
6) Advanced, Firewall
die Firewall (HW
x Router) ist nur ein besserer IP Filter, damit werden keine Ports durchgeschaltet, man kann aber Regeln erstellen die z.B. nur bestimmten ausgehenden Traffic erlauben, dadurch wird die NAT Firewall eigendlich erst sicher.
Achtung!
Wenn Ihr folgende Regeln definiert, geht auch wirklich nur das was Ihr in der Firewall freigebt.
Es ist nicht so wie bei einer PF, das man gefragt wird ob man z.B. Messenger erlauben will, diese Regeln blocken still, es erscheint nur eine Meldung im Log.
Regeln erstellen:
- alle vordefinierten Firewallregeln löschen (FW 3.06), es sind nur 8 Regeln möglich
- FW 3.09 die Default Regeln können nicht gelöscht werden, es sind nun aber 25 Regeln möglich
Bei Firmware 3.06 in dieser Reihenfolge die Regeln eingeben, die Deny Regel als letztes.
Bei Firmware 3.09 die Deny Regel zuerst eingeben, denn ab dieser Firmware werden die Regel oben drauf gesetzt, und nicht mehr unten dran wie früher.
Beispielregeln:
Erlaube surfen
x | Allow | Surfen | LAN,* | WAN,* | TCP,80
Erlaube surfen SSL
x | Allow | Surfen SSL | LAN,* | WAN,* | TCP,443
Erlaube email abrufen
x | Allow | email abrufen | LAN,* | WAN,* | TCP,110
Erlaube email abrufen IMAP
x | Allow | email abrufen IMAP | LAN,* | WAN,* | TCP,143
Erlaube email abrufen SSL
x | Allow | email abrufen SSL | LAN,* | WAN,* | TCP,995
Erlaube email senden
x | Allow | email senden | LAN,* | WAN,* | TCP,25
Erlaube aktives FTP
x | Allow | FTP aktiv | LAN,* | WAN,* | TCP,20-21
Erlaube Maxi Smilie Time Sync.
x | Allow | Maxi Smilie NTP | LAN,* | WAN,* | TCP,37
Erlaube Time Sync WinXP
x | Allow | Time Sync. XP | LAN,* | WAN,* | UDP,123
Erlaube Ping ins WAN
x | Allow | Ping => WAN | LAN,* | WAN,* | ICMP,8
Verbiete LAN -> WAN
x | Deny | Block all | LAN,* | WAN,* | *,*
Wichtig!
Die Deny Regel Block all muss immer die letzte Regel(ganz unten) mit Mülleimer sein, unter der Deny Regel stehen nur die nicht löschbaren Regeln der Virtual Server.
Mit der obigen Regel für aktives FTP geht erstmal auch nur aktives FTP, im IE muss also unter Extras, Internetoptionen, Register Erweitert, die Option Passives FTP verwenden deaktiviert sein.
Passives FTP würde auch gehen, allerdings bekommt man dann vom Server einen Port zugewiesen, der kann dann im Bereich 1024-65535 liegen.
Kennt man den passiv Port Bereich des Server, z.B. 1051-1055, ist das natürlich von Vorteil, denn dann braucht man ja nur diesen Bereich erlauben.
Wenn Ihr grosse IP Bereiche wie z.B. 1024-65535 erlaubt, solltet Ihr auf jedem Fall die Destination IP (also die IP des Servers) eintragen, und somit die Freigabe auf diesen einen Server beschränken.
Erlaube Passiv Ports
x | Allow | FTP Passiv Ports out| LAN,* | WAN,xxx.xxx.xxx.xxx | TCP,1024-65535
xxx.xxx.xxx.xxx = FTP Server IP
Hier mal ein Bild wie es z.B. aussehen kann:
http://home.tiscali.de/smilie/FW3.09b1.GIF
Achtung!
Wenn es mit den obigen Regeln nicht funktioniert, könntet Ihr auch ein DNS Problem haben.
Es geht mit den Rules und DHCP:
- bei Win98, bei DNS nur die IP des Routers eintragen
- bei Win2000/WinXP wenn nur die IP automatisch, bei DNS aber nur die IP des Routers fest eingetragen ist
Möchte man bei Win2000/WinXP beides (IP und DNS) auf automatisch stellen, oder möchte man einen Sekundären DNS eintragen, braucht man noch eine Rule:
Erlaube DNS
x | Allow | DNS | LAN,* | WAN,* | UDP,53
7) Tools, Admin
Tip: neues Passwort vergeben
- immer die Sternchen bei Old Password löschen
- wenn noch kein Passwort vergeben wurde, muss Old Password leer sein, ansonsten kommt dort das alte Passwort rein
8) Tools, Time
- Enable NTP auswählen
- Default NTP Server: ptbtime1.ptb.de
- für die Sommerzeit, Zeitzone: GMT+02:00 wählen
- Apply klicken
- erst jetzt auf Sync klicken
