22.12.2023

Lancom

LANCOM
MicroTik
Securepoint
Watchguard
ubiquiti
Funkwerk
Cisco
AVM
NetGear
LevelOne
Siemens
Telekom Speedport/Digibox
ZyXEL
PC Engines
sonstiges

Navigation:

Links
Lancom
Lancom Webinar: Einfache Einrichtung einer Netzwerkinfrastruktur
Lancom Forum (privat)
Capture Daten via RPCap erstellen

Downloads
Lancom Script ESET Update Server
LCOS Reference Manual

Lancom KB-Artikel
Konfiguration eines Telekom Entertain-Anschlusses mit der Anschlussart Broadband Network Gateway (BNG)
Konfiguration eines Telekom Entertain-Anschlusses ohne Verwendung der Anschlussart Broadband Network Gateway (BNG)
Manuelle Konfiguration einer SIP Trunk-Leitung zum Provider ecotel

Main Mode - WAN-Port Adresse wird zum Verbindungsaufbau herangezogen, ISAKMP-SA wird ausgehandelt, nicht für dynamischen IP-Adressen, Identity wird bereits verschlüsselt übertragen
Aggressive Mode - GegenstellenIP wird nicht abgefragt, jede Adresse wird akzeptiert. Identity wird im Klartext übertragen.
Voice Call Manager mit Session Border Controller unterstützt Voice over Secure IP (VoSIP).
MCS (Modulation Coding Scheme) dient der automatischen Geschwindigkeitsanpassung

Seitenanfang

Einrichtung RAS Einwahl

- Kommunikation / Allgemein / Router Interface / Rufnummer eintragen
(mehrere MSN durch Simikolon trennen), wenn man die MSN nicht kennt kann man sie herausbekommen mit einer Telnet Sitzung

cd /sta/call-
list

in der angezeigten Tabelle steht die MSN in der Spalte DIAL-CALLER
- Kommunikation /Allgemein / Kommunikation Layer definieren
Layername: RAS
Transparent
PPP
Transparent
Kompression
HDCC (8Bit)
- Kommunikation / Gegenstelle / Namensliste (ISDN)
Name: Test
Rufnummer
Layername:RAS
bei Bedarf Gegenstelle nach Überprüfung des Namens zurückrufen
- Kommunikation / Rufannahme / nach Nummern (Rufnummer mit Vorwahl)
- IP-Router / Routing / Routing Tabelle IP eintragen die die Gegenstelle erhalten soll
- NetBIOS / Allgemein NetBios Routing aktivieren
NetBios über IPRouting Gegenstelle definieren
- Kommunikation / Protokoll / PPP Liste Gegenstelle, Benutzer, Passwort eintragen
wenn Rückruf definiert werden soll, darf kein Eintrag unter /Managment / Interface / Interface-Einstellungen / Anwahl Präfix stehen

Seitenanfang

DSL über internes/externes Modem/Router

1. Internet über eingebautes DSL Modem
Kommunikation | Allgemein | Kommunikations-Layer
Layername: INTERNET
Encapsulation: LLC-MUX
Layer-3: PPP
Layer-2: PPPoE
Optionen: keine
Layer-1: ADSL oder AAL-5 je nach Router

2. Internet über LAN mit externem DSL-Modem
Kommunikation | Allgemein | Kommunikations-Layer
Layername: INTERNET
Encapsulation: Transparent
Layer-3: PPP
Layer-2: PPPoE
Optionen: keine
Layer-1: ETH

3. Internet über LAN mit externen Router
Kommunikation | Allgemein | Kommunikations-Layer
Layername: PLAIN-ETH
Encapsulation: Ethernet
Layer-3: DHCP (bei fester IP Transparent)
Layer-2: Transparent
Optionen: keine
Layer-1: ETH

weitere Einstellungen
Kommunikation | Gegenstellen | Gegenstellen (DSL) (Einstellungen bei Verbindung 1,2,3)
Haltezeit: 9.999
VPI: 1
VCI: 32
DSL-Ports:

VPI und VCI Einstellungen für die Telekom, bei anderen Providern anpassen, VLAN-ID nur bei VDSL Anschlüssen.

Kommunikation | Protokolle | PPP-Liste (Einstellungen bei Verbindung 1,2)
Gegenstelle: INTERNET
Benutzername: <DSL Benutzerdaten>
Passwort: <DSL Passwort>
IP-Routing aktivieren
NetBIOS über IP deaktivieren
Gegenstelle (Anfrage): alle deaktiveren
Gegenstelle (Antwort): alle aktivieren
Zeit: 5
Wiederholung: 5
Conf: 10
Fail: 5
Term: 2

IP-Router | Routing | Routing-Tabelle (Einstellungen bei Verbindung 1,2,3)
IP-Adresse: 255.255.255.255
Netzmaske: 0.0.0.0
Routing-Tag: 1
Route ist aktiviert und wird immer via RIP propagiert aktivieren
Router: INTERNET/PLAIN-ETH
Distanz: 0
Intranet und DMZ maskieren: wählen

Seitenanfang

xDSL Fehlersuche

- Trace über die DSL Einwahlversuche erstellen

trace # ppp

Versuchen, ob eine Änderung des MAC-Typs von Lokal auf Global eine Besserung bringt, wenn die Adresse beim DSLAM auf eine Blacklist steht.

Kommunikation | Gegenstellen | Gegenstellen (DSL)
MAC-Adress-Typ: Global

- zeigt welche VLAN ID für die Verbindung verwendet wird

trace # vdsl-data @ 8.8.8.8
ping 8.8.8.8 [VDSL-DATA] Type : 802.1p/q VLAN -->802.1p/q VLAN Header VLAN Id : 7 VLAN Prio : 0 VLAN CFI : 0 Type : PPPoE Session ...

 

Seitenanfang

VDSL Verbindung

Kommunikation | Allgemein | Kommunikations-Layer
Layername: VDSL
Encapsulation: Transparent
Layer-3: PPP
Layer-2: PPPoE
Optionen: keine
Layer-1: ETH

Kommunikation | Gegenstellen | Gegenstellen (DSL)
Name: Internet
Haltezeit: 9.999
VPI: 0
VCI: 0
Layername: VDSL
MAC-Adress-Typ: Lokal
DSL-Ports:
VLAN-ID: 7

Wenn als Modem z.B. ein Speedport 722V dient die VLAN-ID: 0 setzen, da der Speedport die VLAN-ID 7 selbst setzt.

Schnittstelle an der das VDSL Modem angeschlossen ist, als DSL Interface konfigurieren. Das DSL Modem ist im Beispiel am LAN-Port 4 des Routers angeschlossen.

Schnittstellen | LAN | Ethernet-Ports
Ethernet-Port: ETH 4
Interface-Verwendung: DSL-1
Übertragungsart: Automatisch
MDI-Mode: Automatisch

Schnittstellen | WAN | Interface-Einstellungen | DSL-1
DSL-Interface aktivieren: aktivieren
Downstream-Rate: 51.200 kbit/s
Upstream-Rate: 10.240 kbit/s

- DSL Modem Verbindungs Historie anzeigen

ls /Status/VDSL/Connection-history

- aktuellen Status der DSL Verbindung

repeat 5 list /Status/VDSL/Line-State

- Qualität der DSL Verbindung

ls /Status/VDSL/Advanced
DS-ATM-HEC-Errors                INFO:    0
DS-ATM-Idle-Bit-Errors           INFO:    4935
DS-Attainable-data-rate-kbps     INFO:    4472
DS-CRC-Errors                    INFO:    4294967135
DS-Data-Path-CRCnp-Errors        INFO:    0
DS-Data-Path-CRCp-Errors         INFO:    0
DS-Data-Path-CVnp-Errors         INFO:    0
DS-Data-Path-CVp-Errors          INFO:    0
DS-Data-Rate-kbps                INFO:    4043

CRCp - korrigierte CRC Fehler
CRCnp - nicht korrigierbare erkannte Fehler

 

Seitenanfang

VPN Verbindungen

von VPN werden folgende TCP/IP Ports und Protokolle benutzt:
- PPTP Verhandlung = TCP 1723
- IKE Verhandlung = UDP 500
- GRE General Routing Encapsulation (Protokoll 47)
- ESP Encapsulating Security Payload (Protokoll 50)

LANCOM Router und Sentinel Client
LANCOM Router und Safenet VPN Client
LANCOM Router und Windows Client

VPN-Client Verbindung vom Router manuell deinstallieren

KB Artikel VPN Verbindungsfehler
VPN-Status-Trace aufgeschlüsselt
VPN-Status-Trace aufgeschlüsselt (anderer Link gleiches Dokument)

IPv4-Regeln
/Setup/VPN/Networks/IPv4-Rules

RAS-WITH-NETWORK-SELECTION | 0.0.0.0/0 - 0.0.0.0/0
RAS-WITH-CONFIG-PAYLOAD | 0.0.0.0/0 - 0.0.0.0/32

RAS-WITH-NETWORK-SELECTION - Bidirektional von allen IP-Adressen an alle IP-Adressen durch den VPN-Tunnel durchlassen - Einwahl eines Netzwerkrouters
RAS-WITH-CONFIG-PAYLOAD - Bidirektional alle IP-Pakete durch den VPN-Tunnel durchlassen, welche entweder Quelle oder Ziel den VPN-Client haben - Einwahl eines VPN-Clients

 

Seitenanfang

VPN Fehlersuche

SSH / Telnet auf dem Router oder im Lanmonitor, App Store Programm SSH-Tools

- Trace VPN Verbindungsaufbau, VPN Parameter anzeigen

trace # vpn-status @ <VPN-VerbindungsName>
trace # vpn-status displ
show vpn ?		- Hilfe anzeigen
show vpn		- VPN SPD and IKE configuration (kurz)
show vpn rules		- VPN SPD and IKE configuration (kurz)
show vpn long		- VPN SPD and IKE configuration (lang)
show vpn sadb		- VPN SA Database SA-REPORT (kurz)
show vpn sadb-long	- VPN SA Database SA-REPORT (lang)
show vpn ifc		- VPN Interfaces
show vpn ike-cfg	- VPN IKEv2 - Config Mode Report

Die Fehlermeldung "No proposal chosen" deutet auf einen Fehler in der Konfiguration der Gegenstelle hin.
Die Fehlermeldung "No rule matched" deutet hingegen auf einen Fehler in der Konfiguration des lokalen Gateways hin.

 

Seitenanfang

VPN LAN:LAN Kopplung

Kommunikation zweier Filialen über bestehende VPN-Verbindungen zur Zentrale
Weitere Netze über einen VPN-Tunnel routen
Manuelle Konfiguration einer VPN Site-to-Site Verbindung im Main Mode mit Dynamic VPN
Einrichtung von IKEv2 unter LANconfig

LAN:LAN Verbindung zwischen Außenstelle1 - Zentrale - Außenstelle2, mit Zugriff der Außenstellen untereinander.

Außenstelle1

unter LANconfig | IP-Router | Routing | Routing-Tabelle | Eintrag hinzufügen
IP-Adresse: Netz der Außenstelle2
Netzmaske: 255.255.255.0
Routing-Tag: 0
Route ist aktiviert und wird immer via RIP propagiert aktivieren
Router: VPN-Verbindung-Zentrale
Distanz: 2
IP-Maskierung abgeschaltet aktivieren

Zentrale

unter LANconfig | Firewall/Qos | IPv4-Regeln | Regeln hinzufügen
Name der Regel: VPN-AUSSEN-ZENTRALE-AUSSEN
Diese Regel ist für die Firewall aktiv: deaktivieren
Diese Regel wird zur Erzeugung von VPN-Netzbeziehungen (SAs) verwenden: aktivieren
Weitere Regeln beachten, nachdem diese Regel zutrifft: deaktivieren
Diese Regel hält die Verbindungszustände nach (empfohlen): aktivieren
Routing-Tag: 0
Aktionen: Übertragen
Stationen | Verbindungs-Quelle | Verbindung von folgenden Stationen: beide VPN-Aussenstellen-Verbindungen
Stationen | Verbindungs-Ziel | Verbindungen an folgende Stationen: beide VPN-Aussenstellen-Verbindungen

Außenstelle2

unter LANconfig | IP-Router | Routing | Routing-Tabelle | Eintrag hinzufügen
IP-Adresse: Netz der Außenstelle1
Netzmaske: 255.255.255.0
Routing-Tag: 0
Route ist aktiviert und wird immer via RIP propagiert aktivieren
Router: VPN-Verbindung-Zentrale
Distanz: 2
IP-Maskierung abgeschaltet aktivieren

Beispiel LAN:LAN Kopplung mit nachgeschalteten Routern

LANCOM 1

Intranet-Adresse : 192.168.85.254
Intranet-Netzmaske : 255.255.255.0
Netz 192.168.85.0 / 255.255.255.0
zweites Netz
192.168.80.0 / 255.255.255.0
Router 192.168.85.252

TCP/IP | Allgemein | IP-Netzwerke

IP-Router | Routing | Routing -Tabelle:
IP-Adresse: 192.168.71.0
Netzmaske: 255.255.255.0
Routing-Tag: 0
Route ist aktiviert und wird immer via RIP ... wählen
Router: VPN-Netz2
Distanz: 2
IP-Maskierung abgeschaltet

IP-Router | Routing | Routing -Tabelle:
IP-Adresse: 192.168.80.0
Netzmaske: 255.255.255.0
Routing-Tag: 0
Route ist aktiviert und wird immer via RIP ... wählen
Router: 192.168.85.252
Distanz: 2
IP-Maskierung abgeschaltet

Firewall/QoS | Regeln | Regeln | Hinzufügen
Allgemein
Name der Regel: ALLOW_VPN
Aktionen
Paket-Aktion: Übertragen
Stationen
Verbindungs-Quelle: Verbindung von folgenden Quellen
ein ganzes Netzwerk: 192.168.80.0 / 255.255.255.0
Verbindungs-Ziel: Verbindung an folgende Stationen
Eine bestimmte Gegenstelle: VPN-Netz2

LANCOM 2

Intranet-Adresse : 192.168.75.254
Intranet-Netzmaske : 255.255.255.0
Netz 192.168.75.0 / 255.255.255.0
zweites Netz
192.168.71.0 / 255.255.255.0
Router 192.168.75.1

IP-Router | Routing | Routing -Tabelle:
IP-Adresse: 192.168.80.0
Netzmaske: 255.255.255.0
Routing-Tag: 0
Route ist aktiviert und wird immer via RIP ... wählen
Router: VPN-Netz2
Distanz: 2
IP-Maskierung abgeschaltet

IP-Router | Routing | Routing -Tabelle:
IP-Adresse: 192.168.71.0
Netzmaske: 255.255.255.0
Routing-Tag: 0
Route ist aktiviert und wird immer via RIP ... wählen
Router: 192.168.75.1
Distanz: 2
IP-Maskierung abgeschaltet

Firewall/QoS | Regeln | Regeln | Hinzufügen
Allgemein
Name der Regel: ALLOW_VPN
Aktionen
Paket-Aktion: Übertragen
Stationen
Verbindungs-Quelle: Verbindung von folgenden Quellen
ein ganzes Netzwerk: 192.168.71.0 / 255.255.255.0
Verbindungs-Ziel: Verbindung an folgende Stationen
Eine bestimmte Gegenstelle: VPN-Netz

Fehlermeldung bei VPN LAN-LAN Kopplung

- Meldung Gegenstelle1
Kein übereinstimmendes Prosposal gefunden (Initiator, IPSec) [0x3103]

Meldung Gegenstelle2
Keine Regel für IDs gefunden, unbekannte Verbindung oder fehlerhafte ID (z.B. IP.Netzdefinition) (Responder IPSec) [0x3201]

Verbindung zwischen den Standorten funktionieren soweit, aber obengenannte Fehlermeldung erscheinen im LanMonitor.

Dies kann auftreten wenn falsche Pakete im VPN-Netz landen, z.B. der Router hat zwei IPs
LAN1 192.168.2.254
LAN2 192.168.3.254
auf der Gegenseite ist nur eine Route für das Netz 192.168.2.0/24 eingerichtet, aber ein PC aus dem Netz will eine Verbindung über das VPN herstellen, dabei tritt dann die Meldung auf.

Abhilfe erreicht man durch das einrichten einer zweiten Route für das Netz 192.168.3.0/24

- Kein Eintrag in Pollingtabelle und Keep-Alive ist eingestellt (Intiator)[0x1108]

Lanconfig | Kommunikation | Gegenstellen | Polling-Tabelle
Gegenstelle: <Name der Gegenstelle wählen>
IP-Adresse: <Intranet IP der Gegenstelle>

der Eintrag bewirkt, das bei eingestellter Haltezeit von 9.999 (Lanconfig | VPN | Allgemein | Verbindungs-Liste) ein Ping auf die Gegenstelle abgesetzt wird um die VPN Verbindung wieder aufzubauen.

Seitenanfang

VPN LAN:VPN-Client Kopplung

Manuelle Einrichtung einer IKEv2 Client-To-Site VPN-Verbindung (IPv4) mit dem LANCOM Advanced VPN Client

 

Seitenanfang

VPN LAN:LAN Kopplung LANCOM <-> AVM Fritz!Box

Einstellung für die Fritz!Box

VPN-Verbindung (IKEv1) zwischen einem LANCOM Router und einer FRITZ!Box
Fritz!Box .cfg Parameter

Beispiel .cfg zur VPN Konfiguration, in der Fritz!Box auf Einstellungen | Internet | Freigaben | VPN

/*
 * vpn.cfg
 *
 */
vpncfg {
        connections {
                enabled = yes;
                conn_type = conntype_lan;
                name = "LANCOM-VPN";
                always_renew = no;
                reject_not_encrypted = no;
                dont_filter_netbios = yes;
                localip = 0.0.0.0;
                local_virtualip = 0.0.0.0;
                remoteip = 217.111.222.333;
                remote_virtualip = 0.0.0.0;
                localid {
                        fqdn = "FRITZ!BOX";
                }
                remoteid {
                        fqdn = "LANCOM";
                }
                mode = phase1_mode_idp;
                phase1ss = "dh14/aes/sha";
                keytype = connkeytype_pre_shared;
                key = "PreSharedKey";
                cert_do_server_auth = no;
                use_nat_t = yes;
                use_xauth = no;
                use_cfgmode = no;
                phase2localid {
                        ipnet {
                                ipaddr = 192.168.178.0;
                                mask = 255.255.255.0;
                        }
                }
                phase2remoteid {
                        ipnet {
                                ipaddr = 192.168.20.0;
                                mask = 255.255.255.0;
                        }
                }
                phase2ss = "esp-aes256-3des-sha/ah-no/comp-lzs-no/pfs";
                accesslist = "permit ip any 192.168.20.0 255.255.255.0";
        }
        ike_forward_rules = "udp 0.0.0.0:500 0.0.0.0:500", 
                            "udp 0.0.0.0:4500 0.0.0.0:4500";
}
// EOF

Einstellung für eine Dynamische DNS Adresse der Gegenseite.

remoteip = 0.0.0.0;
remote_virtualip = 0.0.0.0;
remotehostname = "vpn.dyndns.org";
Einstellung für Lancom

als erstes mit dem Assistenten Zwei lokale Netzwerke verbinden (VPN) konfigurieren, mit den Einstellungen:

IKEv1
Name der Gegenstelle: FRITZBOX
Empfohlen (IKE- und PFS-Gruppe 14)

folgende Parameter im Lancom anpassen

VPN | IKE/IPSec | IKE-Proposals | Hinzufügen:
Bezeichnung: FritzBox
Verschlüsselung: AES-CBC
Schlüssel-Länge: 256 Bit
Hash: SHA1 (ab 10.30 SHA-512 einstellen)
Authentifizierung: Preshared Key
Gültigkeitsdauer: 3.600 Sekunden, 0 kByt

Fehlermeldung:
IKE-I-No-proposal-matched (0x2103)
IKE-I-No-proposal-matched (0x2203)

bei der 10.30 gibt es ein IKE Fehler 0x2103 wenn Hash: SHA1 gesetzt ist, oder bei Hash: SHA-256 erscheint der Fehler 0x2203.

VPN | IKE/IPSec | IKE-Param. | IKE-Proposal-Listen | Hinzufügen:
Bezeichnung: IKE-FRITZBOX
1. Proposal: FritzBox

VPN | IKE/IPSec | IPSec-Proposals
Bezeichnung: FRITZBOX
Modus: Tunnel
ESP-Proposal
Verschlüsselung: AES-CBC
Schlüssel-Länge: 256 bit
Authentifizierung: HMAC-SHA1
AH-Proposal Authentifizierung: Kein AH
Kompression: Kein IPCOMP
Gültigkeitsdauer: 3.600 Sekunden, 200.000 kBytes

VPN | IKE/IPSec | IPSec-Proposal-Listen
Bezeichnung: IPS-FRITZBOX
1. Proposal: FRITZBOX

VPN | IKE/IPSec | Verbindungs-Parameter
Bezeichnung: FRITZBOX
PFS-Gruppe: 14 (MODP-2048)
IKE-Gruppe: 14 (MODP-2048)
IKE-Proposals: IKE-FRITZBOX
IKE-Schlüssel: FRITZBOX
IPSec-Proposals: IPS-FRITZBOX

VPN | IKE/IPSec | IKE-Schlüssel und Identitäten
Bezeichnung: FRITZBOX
Preshared-Key: <PreSharedKey>
Lokaler Identität-Typ: Domänen-Name (FQDN)
Lokale Identität: LANCOM
Entfernter Identität-Typ: Domänen-Name (FQDN)
Entfernte Identität: FRITZ!BOX

VPN | IKE/IPSec | Verbindungs-Liste
Name der Verbindung: FRITZBOX
Haltezeit: 0 Sekunden
Dead Peer Detection: 60 Sekunden
Extranet-Adresse: 0.0.0.0
Entferntes Gateway: <Dynamic DNS-Namen oder feste IP-Adresse>
Routing-Tag: 0
Verbindungs-Parameter: FRITZBOX
Kein dynamisches VPN aktivieren
Main Mode aktivieren
IKE-CFG: Aus
XAUTH: Aus
IPSec-over-HTTPS: Aus
Regelerzeugung: Manuell
IPv4-Regeln: WIZ-ANY-TO-ANY

VPN | Allgemein | Netzwerk-Regeln | IPv4-Regeln...
Name: WIZ-ANY-TO-ANY
Lokale Netzwerke: 0.0.0.0/0
Entfernte Netzwerke: 0.0.0.0/0

IP-Router | Routing | IPv4-Routing-Tabelle
IP-Adresse: <FritzBox Netzwerk>
Netzmaske: 255.255.255.255
Routing-Tag: 0
Route ist aktiviert und wird immer via RIP propagiert
Router: FRITZBOX
Distanz: 0
IP-Maskierung abgeschaltet: aktivieren

Firewall/QoS | IPv4-Regeln | Regeln
Name dieser Regel: FRITZBOX
Diese Regel ist für die Firewall aktiv: wählen
Diese Regel hält die Verbindungszustände ...: wählen
Priorität: 0
Routing-Tag: 0
Firewall/QoS | IPv4-Regeln | Regeln | Aktionen
Objekt: ACCEPT
Firewall/QoS | IPv4-Regeln | Regeln | Stationen
Verbindungen von folgenden Stationen: LOCALNET
Verbindungen an folgende Stationen: Gegenstelle FRITZBOX

- wenn unter NetBIOS | NetBIOS über IP Routing-Tabelle für die VPN Gegenstelle aktiviert ist, wird automatisch Dynamic VPN Authentication aktiviert um den DNS und NBNS zu übermitteln. Dadurch wird der Verbindungsaufbau zur Fritz!Box verhindert.

Kommunikation | Protokoll | IP-Parameter
Gegenstelle: <Fritz!Box>
Erster DNS: <Intranet Router IP>
Erster NBNS: <Intranet Router IP>

Fritz!Box mehrere Netze hinter einem VPN Router

accesslist = "permit ip any 192.168.111.0 255.255.255.0",
"permit ip any 10.0.59.0 255.255.255.0",
"permit icmp any any";
Seitenanfang

VPN LAN:LAN Kopplung LANCOM <-> Digitalisierungsbox (Be.IP)

Konfiguration einer VPN-Verbindung (IKEv1) zwischen einem LANCOM Router und einer Telekom Digitalisierungsbox

Wenn die VPN-Verbindung nicht gleich aufgebaut wird, mal ein Ping vom Netz der DigiBox ins Netz des Lancoms absetzen.

/Setup/VPN/Establish-SAs-Collectively yes
Seitenanfang

VPN Verbindung mit Mobile Phone

 

Seitenanfang

VPN Verbindung mit iPhone IKEv1

Lancom KB Artikel 1008.0410.4923.RHOO

Assistent | Einwahl-Zugang bereitstellen

VPN-Verbindung über das Internet
VPN-Client mit benutzerdefinierten Parametern
Name (VPN):VPN-IPHONE
Gemeinsames Passwort:<PreShareKey>
Lokaler Identität-Typ:Key-ID
Lokale Identität:<Phone>
Entfernter Identität-Typ:Key-ID
Entfernte Identität:<Phone>
Das PFS-Verfahren für die aktuelle Verbindung einsetzen deaktivieren.
Welches Verschlüsselungs-Verfahren sollen dem Client erlaubt werden
AES
Blowfish
3DES
HMAC-MD5-96
Authentifizierung:Kein AH
Kompression:Kein IPCOMP
IP-Adresse:WWW.XXX.YYY.ZZZ
Alle IP-Adressen für den VPN-Client erlauben

Anpassungen der automatisch erstellten Konfiguration

Die erstellt Verbindung muß dann noch angepasst werden, unter
Konfiguration | VPN | Allgemein | Verbindungs-Liste:VPN-IPHONE
XAUTH: Server
Konfiguration | Kommunikation | Protokolle | PPP-Liste: Hinzufügen
Gegenstelle:VPN-IPHONE
Benutzer:!leer lassen!
Passwort:<PPP-Passwort>
IP-Routing aktivieren
Konfiguration | Firewall | Regeln | Regeln
prüfen ob die Regel WIZ_VPN-CLIENT_VPN-IPHONE erstellt wurde
Quelle:Beliebig
Quelle-Dienst:Alle
Ziel:VPN-IPHONE
Ziel-Dienst:Alle
Aktion/QoS:übertragen

es sind noch weitere Anpassungen möglich

Konfiguration | VPN | IKE-Param. | IKE-Proposals...
Bezeichnung:IPHONE
Verschlüsselung:AES-CBC
Schlüssel-Länge:128bit
HASH:SHA1
Authentifizierung:Preshared Key
Gültigkeitsdauer:1.800 Sekunden

Konfiguration | VPN | IKE-Param. | IKE-Proposal-Listen
Bezeichnung:IKE-IPHONE
Proposal:IPHONE

Konfiguration | VPN | IPSec-Param. | IPSec-Proposals...
Bezeichnung:IPSEC-IPHONE
Modus:Tunnel
Verschlüsselung:AES-CBC
Schlüssel-Länge:256bit
Authentifizierung:HMAC-SHA1
Authentifizierung:Kein AH
Kompression: Kein IPCOMP
Gültigkeitsdauer:1.800 Sekunden

Konfiguration | VPN | IPSec-Param. | IPSec-Proposal-Listen
Bezeichnung:IPS-VPN-IPHONE
Proposal:IPSEC-IPHONE

Konfiguration | VPN | Allgemein | Verbindungs-Parameter
Bezeichnung:P-VPN-IPHONE
PFS-Gruppe:Kein PFS
IKE-Gruppe:2(MODP-1024)
IKE-Proposals:IKE-IPHONE
IKE-Schlüssel:KEY-VPN-IPHONE
IPSec-Proposals:IPS-VPN-IPHONE

iPhone VPN Einstellungen

IPSec
Server:<IP der Gegenstelle>
Account:VPN-IPHONE
Kennwort:<PPP-Passwort>
Gruppenname:<Phone>
Shared Secret:<PreShareKey>

bei den Gruppenname wird Groß/Kleinschreibung berücksichtigt.

Seitenanfang

VPN Verbindung mit iPhone IKEv2

Lancom VPN zum IKEv2 iPhone
IKEv2 VPN-Verbindung zwischen LANCOM Router und Apple iPhone- oder iPad-Client

Assistent | Einwahl-Zugang bereitstellen

IKEv2+ | Lancom Adv. Client

nach dem erstellen der Konfiguration mit dem Assistenten noch Anpassungen vornehmen.

Konfiguration | VPN | IKEv2/IPSec | Verschlüsselung | Neu
Name: APPLE
Erlaubte DH-Gruppen: DH14 (MODP-2048)
PFS: Nein
IKE-SA: AES-CBC-256, AES-GCM-256
Hash-Liste: SHA-256
Child-SA: AES-CBC-256, AES-GCM-256
Hash-Liste: SHA-256

Konfiguration | VPN | IKEv2/IPSec | Verbindungs-Liste
Erstellte Verbindung wählen
Verschlüsselung: APPLE
IPv4-Regeln: RAS-WITH-CONFIG-PAYLOAD

iPhone VPN Einstellungen

Typ: IKEv2
Beschreibung: ...
Server: <IP der Gegenstelle>
Entfernte ID: <FQUN user@domain.tld>
Lokale ID: <FQUN user@domain.tld>
Benutzerauthentifizierung: keine
Zertifikat verwenden: deaktiv
Shared Secret:<PreShareKey Entferntes Passwort>

Seitenanfang

VPN Verbindung mit Android IKEv2

Lancom VPN zum IKEv2 Android

Assistent | Einwahl-Zugang bereitstellen

IKEv2+ | Lancom Adv. Client

nach dem erstellen der Konfiguration mit dem Assistenten noch Anpassungen vornehmen.

Android bis 11.x

Konfiguration | VPN | IKEv2/IPSec | Authentifizierung
Lokaler Identitätstyp: Key-ID (Gruppenname)
Lokaler Identität: <beliebige Zeichen keine Umlaute/Sonderzeichen>
Entfernter Identitätstyp: Key-ID (Gruppenname)
Entfernte Identität: <beliebige Zeichen keine Umlaute/Sonderzeichen>

Konfiguration | VPN | IKEv2/IPSec | Verbindungs-Liste
Erstellte Verbindung wählen
Verschlüsselung: Default
IPv4-Regeln: RAS-WITH-CONFIG-PAYLOAD

Android VPN Einstellungen

Einstellungen | Weitere Einstellungen | VPN

Name: ...
Typ: IPSec IKEv2 PSK
Server: <IP der Gegenstelle>
IPSec Identifier: <Entfernte Identität Key-ID (Gruppenname)>
IPSec Pre-shareed Key:<PreShareKey Entferntes Passwort>

Android ab 12.x

Konfiguration | VPN | IKEv2/IPSec | Authentifizierung
Lokaler Identitätstyp: IPv4-Adresse
Lokaler Identität: <öffentliche IP des Servers>
Entfernter Identitätstyp: Domänen-Name (FQDN)
Entfernte Identität: <beliebige Zeichen keine Umlaute/Sonderzeichen>

Konfiguration | VPN | IKEv2/IPSec | Verschlüsselung
Kopie von DEFAULT anlegen mit angepassten Einstellungen
Name: Android
Erlaubte DH-Gruppen: DH14, DH19, DH31
PFS: deaktivieren
IKE-SA: AES-CBC-256
Hash-Liste: SHA-256, SHA-512
Child-SA: AES-CBC-256
Hash-Liste: SHA-256, SHA-512

Konfiguration | VPN | IKEv2/IPSec | Verbindungs-Liste
Erstellte Verbindung wählen
Verschlüsselung: Default
IPv4-Regeln: RAS-WITH-CONFIG-PAYLOAD

Android VPN Einstellungen

Einstellungen | Weitere Einstellungen | VPN

Name: ...
Typ: IPSec IKEv2 PSK
Server: <IP der Gegenstelle>
IPSec Identifier: <Entfernte Identität Domänen-Name (FQDN)
IPSec Pre-shareed Key:<PreShareKey Entferntes Passwort>

Seitenanfang

VPN Client

ShrewSoft VPN Client
VPN-Verbindung zwischen LANCOM Router und Windows Phone

- Einstellung, auf dem Lancom Router für einen "VPN-Client mit benutzerdefinierten Parametern"
alle Einstellungen auf Default belassen, bis auf folgende:
Das PFS-Verfahren für die aktuelle Verbindung einsetzen: deaktivieren
Einstellungen für das TCP/IP Protokoll | IP-Adresse: IP die den Client bei der Einwahl zugeteilt wird

Shrew Clients Einstellung in Verbindung mit einem Lancom Router

- Einstellungen, wenn ein VPN-Client mit benutzerdefinierten Parametern erstellt wurde
General | Remote Host | Host Name or IP Adress: IP Adresse
Client | NAT Traversal: disable
Client | IKE Fragmentation: disable
Authentication | Authentication Method: Mutual PSK
Local Identity | Fully Qualified Domain Name: wie unter LANconfig | VPN | IKE-Auth. | IKE-Schlüssel und Identitäten
Remote Identity | Identification Type: IP Address wie unter LANconfig | VPN | IKE-Auth. | IKE-Schlüssel und Identitäten
Credentials | Pre Shared Key: wie unter LANconfig | VPN | IKE-Auth. | IKE-Schlüssel und Identitäten

- abweichende Einstellungen, für ein Lancom Advanced-VPN-Client
Local Identity | User Fully Qualified Domain Name: wie unter LANconfig | VPN | IKE-Auth. | IKE-Schlüssel und Identitäten (eMail Adresse)
Remote Identity | User Fully Qualified Domain Name: wie unter LANconfig | VPN | IKE-Auth. | IKE-Schlüssel und Identitäten (eMail Adresse)
Credentials | Pre Shared Key: wie unter LANconfig | VPN | IKE-Auth. | IKE-Schlüssel und Identitäten
Phase 2 | PFS Exchange: group 2

Lancom mit TheGreenBow Client

TheGreenBow

Lancom Router

Zugang für den Advanced Client mit dem Wizard erstellen
Änderungen unter VPN | IKE-Auth.| <Client_0001>
Lokaler Identiät-Typ: Key-ID (Gruppenname): <eMail-Adresse>
Entfernter Identität-Typ: Key-ID (Gruppenname): <eMail-Adresse>

TheGreenBow Client

Phase 1 hinzufügen
Name: <Beliebig>
Interface: Alle
Remote Gateway: <IP oder DNS Name des Routers>

IKE
Verschlüsselung: AES 128
Authentisierung: MD5
Key Gruppe: DH2 (1024)

P1 Erweitert
Agressive Mode: aktivieren
NAT-T: Disable

Lokale ID: Key ID <eMail-Adresse>
Entfernte ID: Key ID <eMail-Adresse>

Phase 2 hinzufügen
Name: <Beliebig>
VPN Client Adresse: <IP die beim Anlegen der ADV Konfiguration für den Client festgelegt wurde>

Adresstyp: Subnetz-Adresse
Remote LAN Adresse: <IP des Netzes>
Subnetz Maske: <Subnetmask>

Verschlüsselung: AES 128
Authentisierung: MD5
Modus: Tunnel

PFS Gruppe aktivieren: DH2 (1024)

Seitenanfang

VPN Verbindung aktivieren / deaktivieren

- Verbindug permanent deaktivieren

LANconfig | Konfiguration | VPN | Allgemein | Verbindungs-Liste
<Name der Verbindung>
Regelerzeugung: Aus

- Verbindung zeitgesteuertes aktivieren oder deaktivieren

Deaktivieren

LANconfig | Konfiguration | Datum/Zeit | Allgemein | Cron-Tabelle
Hinzufügen
Eintrag aktivieren: aktivieren
Echtzeit: aktivieren
Abweichung: 0
Minuten: 0
Stunden: 18
Befehl: set /Setup/VPN/VPN-Peers/<Name der VPN-Gegenstelle> {Rule-Creation} off
Besitzer: root

Aktivieren mit dem Befehl

set /Setup/VPN/VPN-Peers/<Name der VPN-Gegenstelle> {Rule-Creation} manually

oder

set /Setup/VPN/VPN-Peers/<Name der VPN-Gegenstelle> {Rule-Creation} auto
Seitenanfang

VPN mit Zertifikat

Download XCA Certificate and Key management
Erstellen von X.509-Zertifikaten mit der Anwendung XCA

Zertifikate mit OpenSSL erstellen

an einfachsten die Datei /etc/ssl/openssl.cnf bearbeiten und folgende Einträge entfernen, sonst müssen die Einträge nachher beim zuordnen der Zertifikate im Router mit angegeben werden.

# /etc/ssl/openssl.cnf
countryName_default             =
stateOrProvinceName_default     =
0.organizationName_default      =

- CA Zertifikat erstellen

openssl req -new -x509 -days 3650 -extensions v3_ca -keyout root-cakey.pem -out root-cacert.pem \
 -config /etc/ssl/openssl.cnf -newkey rsa:4096
...
Common Name (e.g. server FQDN or YOUR name) []:LANCOM_CA

- Router und Client Zertifikat erstellen, bei Site to Site für jeden Standort ein Zertifikat erstellen.

openssl req -new -nodes -out router-csr.pem -keyout router-key.pem -newkey rsa:4096

...
Common Name (e.g. server FQDN or YOUR name) []:ROUTER
...
openssl req -new -nodes -out client-csr.pem -keyout client-key.pem -newkey rsa:4096

...
Common Name (e.g. server FQDN or YOUR name) []:CLIENT_1
...

- Zertifikat von CA signieren lassen

openssl x509 -req -days 1825 -CA root-cacert.pem -CAkey root-cakey.pem -CAcreateserial \
 -in router-csr.pem -out router-cert.pem
openssl x509 -req -days 1825 -CA root-cacert.pem -CAkey root-cakey.pem -CAcreateserial \
 -in client-csr.pem -out client-cert.pem

- Zertifikate als P12 exportieren, CA Zertifkat ist im P12 Zertifikat auch enthalten, das abgefragte Passwort, wird für den Import der Zertifikate benötigt, oder beim aufbauen der Client VPN Verbindung.

openssl pkcs12 -export -out router.p12 -inkey router-key.pem -in router-cert.pem -certfile root-cacert.pem
openssl pkcs12 -export -out client.p12 -inkey client-key.pem -in client-cert.pem -certfile root-cacert.pem

...
Enter Export Password:
Verifying - Enter Export Password:

router.p12 - Router Zertifikat
client.p12 - Router Zertifikat
root-cacert.pem - CA Zertifikat

Zertifikate auf dem Router anzeigen / verwalten

- Zertifiakte anzeigen per SSH

list /Status/Certificates/Device-Certificates/

im WebInterface unter LCOS-Menübaum | Status | Zertifikate | Geraetezertifikate

- Zertifikate löschen

del /Status/File-System/Contents/vpn_pkcs12_intX

im WebInterface unter LCOS-Menübaum | Status | Dateisystem

 

Seitenanfang

LANCOM Advanced-VPN-Client mit Zertifikat

LANCOM Smart Certificate: Konfiguration einer zertifikatsbasierten VPN Client-Verbindung mit dem LANCOM Advanced VPN Client

  1. Zertifiakt erstellen laut Anleitung mit XCA, für Router und LANCOM Advanced-VPN-Client
  2. Signierte Zertifikate Exportieren
  3. im XCA das Zertifikat öffnen und unter Inhaber den Eintrag RFC 2253: notieren
  1. LANconfig | Konfigurations-Verwaltung | Zertifikat oder Datei hochladen
    Dateiname: router.p12
    Zertifikattyp: VPN - Container (VPN1) als PKCS#12
    Zert.-Passwort:
    wenn es beim laden des Zertifikates eine Fehlermeldung gibt, dann den nächsten VPN - Container (VPN2) als PKCS#12 oder folgende probieren.
  2. Setup Assistenten des Routers starten, Einwahl-Zugang bereitstellen (RAS, VPN)
  3. VPN-Verbindung über das Internet
  4. LANCOM Advanced-VPN-Client für Windows, Beschleunigen Sie das Konfigurieren mit 1-Click-VPN: deaktivieren
    Name (VPN): CLIENT_ZERT
    Adresse dieses Routers: <WAN-IP oder DynDNS Name>
    Zertifikate (RSA Signature) und Main Mode
    Lokale Identität:/O=LANCOM/CN=ROUTER
    Entfernte Identität:/O=LANCOM/CN=CLIENT_1
    hier werden die vorher notierten Einträge der Zertifikate eingegeben, aus O=LANCOM,CN=ROUTER wird /O=LANCOM/CN=ROUTER
    IP-Adresse: <IP-Adresse die der Client bei der Einwahl bekommen soll>
  1. Konfiguration des LANCOM Advanced-VPN-Client
  2. im Client unter Konfiguration | Zertifikate | Hinzufügen
    Name: Router_Zertifikat
    Zertifikat: aus PKCS#12-Datei
    PKCS#12-Dateiname: Client_1.p12
    Softwarezertifikatsauswahl aktivieren: aktivieren
    PIN-Abfrage bei jedem Verbindungsaufbau: aktivieren
  3. Konfiguration | Profile | Hinzufügen/Import Profildatei importieren
  4. importiertes Profil bearbeiten, unter Identität
    Pre-shared Key verwenden: deaktivieren
    Zertifikats-Konfiguration: Router_Zertifikat wählen
Seitenanfang

Site to Site mit Zertifikat

Umstellen einer LAN-LAN Kopplung auf Zertifikat

LANconfig | Konfigurations-Verwaltung | Zertifikat oder Datei hochladen
Dateiname: zentrale.p12
Zertifikattyp: VPN - Container (VPN1) als PKCS#12
Zert.-Passwort:

LANconfig | Konfiguration | VPN | IKE/IPSec | Verbindungs-Parameter...
Bezeichnung: <VPN-Verbindung>
IKE-Proposals:IKE_RSA_SIG

LANconfig | Konfiguration | VPN | IKE/IPSec | IKE-Schlüssel & Identitäten...
Bezeichnung: <VPN-Verbindung>
Preshared-Key: <Eintrag leeren>
Lokaler Identität-Typ: ASN.1-Distinguished
Lokale Identität: /CN=ZENTRALE
Entfernter Identität-Typ: ASN.1-Distinguished
Entfernte Identität: /CN=AUSSENSTELLE

 

Seitenanfang

DNS-Filter

TCP/IP | DNS-Filter | DNS-Filter ... Domain eintragen die gesperrt werden soll. Als IP und Subnetmask ist 0.0.0.0 anzugeben.

In der Webkonfiguration ist es unter Experten-Konfiguration | Setup | DNS | Filter-Liste zu finden.

HIT Liste aller aufgerufenen DNS Domain und des letzten Zugriffs

im Webinterface unter Experten-Konfiguration | Status | TCP-IP | DNS: Hit-Liste, mit Telnet oder SSH ist folgender Befehl auszuführen.

ls /sta/tcp/dns/hit

- DNS Hit-List und Statistik Werte löschen

do /Status/TCP-IP/DNS/Delete-Values
Seitenanfang

DynDNS Dienst

Konfiguration eines Dynamic DNS-Dienstes IPv4 und IPv6

- DynDNS Einträge anzeigen

Kommunikation | Allgemein | Aktions-Tabelle

list /Setup/WAN/Action-Table

- DynDNS testen

list /Status/WAN/Actions/Action-Table
nslookup <dyndns.domain.tld>

 

Seitenanfang

Portmapping

IP-Router | Maskierung | Port-Forwarding-Tabelle

Anfangs-Port: 85
End-Port: 85
Intranet Adresse: 192.168.1.100
Map-Port: 80
Protokoll: TCP

ein Webserver der auf dem Server 192.168.1.100:80 läuft, ist über Port 85 aus dem Internet erreichbar http://Internet-IP:85/

Anfangs-Port: 85
End-Port: 88
Intranet Adresse: 192.168.1.100
Map-Port: 80
Protokoll: TCP

die Ports 80, 81, 82, 83 des Intranet-Server 192.168.1.100 sind im Internet über die Ports 85 - 88 erreichbar, das bedeutet, das z.B. der IntranetPort 192.168.1.100:81 im Internet über http://Internet-IP:86/ erreichbar ist.

Seitenanfang

PPPoE Server

Konfiguration | Kommunikation | Allgemein | PPPoE-Server aktivieren
Port-Tabelle: wählen auf welchen LAN-Ports der PPPoE Server erreichbar ist. Die LAN-Ports werden unter Konfiguration | Schnittsellen | LAN | Ethernet-Switch-Einstellungen den physikalischen Anschlüssen zugeordnet.
Dienst-Name: PPPoE-Server-Local
Session-Limit: 1
Gegenstellen (PPPoE): Hinzufügen
Gegenstelle: PPPOE-BENUTZER
MAC-Adresse: 000000000000
Haltezeit: 20 Sek

Konfiguration | Kommunikation | Protokolle | PPP-Liste: hinzufügen
Gegenstelle: PPPOE-BENUTZER
Benutzername: leer lassen
Passwort: geheim
IP-Routing: aktivieren
NetBIOS über IP aktivieren: aktivieren

Authentifizierung der Gegenstelle (Anfrage)
alle aktivieren

Authentifizierung durch Gegenstelle (Antwort)
alle deaktivieren

Zeit: 0
Wiederholung: 5
Conf: 10
Fail: 5
Term: 2

Konfiguration | TCP/IP | Adressen
Adressen für Einwahl-Zugänge: IP Adressbereich für die Clienteinwahl

Konfiguration | Firewall | Regeln | Allgemein
PPPOE-EINWAHL
Diese Regel ist für die Firewall aktiv: aktivieren
Diese Regel hält die Verbindungszustände nach (empfohlen): aktivieren

Konfiguration | Firewall | Regeln | Aktion
Accept

Konfiguration | Firewall | Regeln | Stationen
Verbindungs-Quelle: Gegenstelle: PPPOE-BENUTZER
Verbindungs-Ziel: Verbindung an alle Stationen

Konfiguration | Firewall | Regeln | Dienste
Dienste definieren die von der Gegenstelle erreicht werden soll.

Seitenanfang

PPTP Einwahl-Verbindung einrichten

Konfiguration | Kommunikation | Protokolle | PPTP-Liste
Gegenstelle: PPTP
IP-Adresse: leer lassen, da nicht bekannt
Port: 1723
Haltezeit: 300
Routing-Tag: 0

Konfiguration | Kommunikation | Protokolle | PPP-Liste
Gegenstelle: PPTP
Benutzername: leer lassen
Passwort: geheim
IP-Routing: aktivieren
NetBIOS über IP aktivieren: aktivieren

Authentifizierung der Gegenstelle (Anfrage)
alle gewünschten aktivieren

Authentifizierung durch Gegenstelle (Antwort)
alle deaktivieren

Zeit: 0
Wiederholung: 5
Conf: 10
Fail: 5
Term: 2

Konfiguration | TCP/IP | Adressen
Adressen für Einwahl-Zugänge: IP Adressbereich für die Clienteinwahl

oder eine IP-Adresse für den Client fest vorgeben

Konfiguration | IP-Router | Routing | Routing-Tabelle
IP-Adresse: Adresse die dem Client zugewiesen werden soll
Netzmaske: 255.255.255.255
Routing-Tag: 0
Route ist aktiviert und wird immer via RIP propagiert
Router: PPTP
Distanz: 0
IP-Maskierung abgeschaltet aktivieren

Konfiguration | IP-Router | Allgemein
Entfernte Stationen mit Proxy-ARP einbinden: aktivieren

Seitenanfang

LoadBalancer

Load-Balancer mit Policy Based Routing

Mind. zwei InternetVerbindungen müssen einrichtet sein.

z.B. eine Ethernet Verbindung über einen zweiten Router einrichten.

Verbindung zum zweiten Router über Assistent

Setup Assistenten starten | Internet Zugang einrichten | DSL-Interface | ETH4 | Deutschland | Internet-Zugang über Plain Ethernet ... | Name wählen | IP-Adressen des WAN-Zugangs setzen | kein ISDN Backup

Verbindung zum zweiten Router manuell einrichten

Schnittstellen | LAN | Ethernet-Ports
Ethernet-Port: ETH 4
Interface-Verwendung: DSL-1
Übertragungsart: Automatisch
MDI-Mode: Automatisch

Schnittstellen | WAN | Interface-Einstellungen | DSL-1
DSL-Interface aktivieren: aktivieren
Downstream-Rate: <je nach Zugang> kbit/s
Upstream-Rate: <je nach Zugang> kbit/s

Kommunikation | Allgemein | Kommunikations-Layer
Layername: PLAIN-ETH
Encapsulation: Ethernet
Layer-3: DHCP (bei fester IP Transparent)
Layer-2: Transparent
Optionen: keine
Layer-1: ETH

Wenn unter Kommunikation | Allgemein | Kommunikations-Layer | Layer-3: Transparent (mit fester IP eingestellt wurde, wird diese hinterlegt unter:

Kommunikation | Protokolle | IP-Parameter
Gegenstelle: Internet-Plain
IP-Adresse: xxx.xxx.xxx.xxx
usw...

Kommunikation | Gegenstellen | Gegenstellen (DSL)
Name: Internet-Plain
Haltezeit: 9.999
VPI: 0
VCI: 0
Layername: PLAIN-ETH
MAC-Adress-Typ: Lokal
DSL-Ports: 1
VLAN-ID: 0

DSL-Ports - Nummer des Ports der unter Schnittstellen | WAN | Interface-Einstellungen definiert ist. z.B. bei definierten DSL-3 muss auch unter DSL-Ports: 3 eingetragen werden.

IP-Router | Routing | Load-Balancing
Load-Balancing aktiviert: wählen
Name: LOADBALANCER
Gegenstelle-1: INTERNET
Gegenstelle-2: VDSL

IP-Router | Routing | Routing-Tabelle
Default Route wählen
IP-Adresse: 255.255.255.255
Netzmaske: 0.0.0.0
Routing-Tag: 0
Route ist aktiviert und wird immer via RIP propagiert aktivieren
Router: LOADBALANCER
Distanz: 0
Intranet und DMZ maskieren: wählen

Load-Balancer mit Policy Based Routing

VPN über Verbindung INTERNET und Surfen über VDSL
LOADBALANCER wie oben einrichten und dann noch folgende Einstellungen vornehmen.

IP-Router | Routing | Routing-Tabelle
IP-Adresse: 255.255.255.255
Netzmaske: 0.0.0.0
Routing-Tag: 1
Route ist aktiviert und wird immer via RIP propagiert aktivieren
Router: INTERNET
Distanz: 0
Intranet und DMZ maskieren: wählen

IP-Router | Routing | Routing-Tabelle
IP-Adresse: 255.255.255.255
Netzmaske: 0.0.0.0
Routing-Tag: 2
Route ist aktiviert und wird immer via RIP propagiert aktivieren
Router: INTERNET
Distanz: 0
Intranet und DMZ maskieren: wählen

VPN | Allgemein | Verbindungs-Liste
VPN-Verbindung wählen
...
Routing-Tag: 1

Firewall/QoS | Regeln | Regeln | Allgemein
Name dieser Regel: HTTPS->VDSL
Diese Regel ist für die Firewall aktiv: wählen
Diese Regel hält die Verbindungszustände ...: wählen
Priorität: 0
Routing-Tag: 2

Firewall/QoS | Regeln | Regeln | Aktionen
Objekt:ACCEPT

Firewall/QoS | Regeln | Regeln | Stationen
Verbindungen von folgenden Stationen: LOCALNET
Verbindungen an alle Stationen

Firewall/QoS | Regeln | Regeln | Dienste
alle Protokolle/Quell-Dienste
folgende Protokolle/Ziel-Dienste: HTTPS

Testen der Load-Balancer und des Policy Based Routings

trace + IP-Router
trace + Load-Balancer

Seitenanfang

Backup-Verbindung

Backup Verbindung einrichten, wird verwendet, wenn die erste Verbindung ausfällt.

Kommunikation | Ruf-Verwaltung | Backup-Tabelle
Gegenstelle: Internet
Backupliste: Internet2

 

Seitenanfang

Advanced Routing and Forwarding (ARF)

Advanced Routing and Forwarding (ARF)

Seitenanfang

VPN WAN-TAG

- Beispiel für eine VPN Verbindung, wo die Zentrale das gleiche Netzwerk hat wie der WAN Port der Filiale.
Zentrale - 10.10.10.0/24
WAN Anschluss der Filiale - 10.10.10.0/24

Ohne ARF würde der Router die Pakete die für die Zentrale sind zum WAN Anschluss schicken.

Konfiguration | IP-Routing | Routing | IPv4
IP-Adresse (VPN-Zentrale)
Routing-Tag 1

Konfiguration | IPv4 | Allgemein | IP-Netzwerke
Netzwerkname INTRANET
Schnittstellen-Tag: 1

Seitenanfang

Loadbalancer WAN-TAG

- Loadbalancer WAN Verbindungen trennen

Kommunikation | Gegenstellen | WAN-TAG-Tabelle
Gegenstelle: INTERNET1
Schnittstellen-Tag: 1

Gegenstelle: INTERNET2
Schnittstellen-Tag:2

Gegenstelle: LOADBALANCER
Schnittstellen-Tag: 0

WAN-Tag-Erzeugung: Manuell

Seitenanfang

IP-TV Multicast

Anschluß mit externem DSL Modem (VLAN-ID 8 als DHCPoE)

Kommunikation | Allgemein | Kommunikations-Layer
Layername: VLAN8
Encapsulation: Ethernet
Layer-3: DHCP
Layer-2: Transparent
Optionen: keine
Layer-1: ETH

Wenn ein Speedport 722V als VDSL Modem genutzt wird, benutzt der Router schon DHCPoE, das kann im Lancom nicht mehr genutzt werden.

Anschluß mit integriertem DSL Modem (VLAN-ID 8 als DHCPoEoA)

Kommunikation | Allgemein | Kommunikations-Layer
Layername: VLAN8
Encapsulation: LLC-ETH
Layer-3: DHCP
Layer-2: Transparent
Optionen: keine
Layer-1: AAL-5

Kommunikation | Gegenstellen | Gegenstellen (DSL)
Name: VLAN8
Haltezeit: 9.999
VPI: 0
VCI: 0
Layername: VLAN8
VLAN-ID: 8

Multicast Weiterleitung konfigurieren

IP-Router | Routing | Routing-Tabelle
IP-Adresse: 224.0.0.0
Netzmaske: 224.0.0.0
Routing-Tag: 4
Route ist aktiviert und wird immer via RIP propagiert aktivieren
Router: <Intranet IP des LancomRouters>
Distanz: 0
IP-Maskierung abgeschaltet: wählen
Kommentar: Route fuer Multicast

IP-Router | Routing | Routing-Tabelle
IP-Adresse: 224.0.0.0
Netzmaske: 224.0.0.0
Routing-Tag: 3
Route ist aktiviert und wird immer via RIP propagiert aktivieren
Router: VLAN8
Distanz: 0
Intranet und DMZ maskieren: wählen
Kommentar: Multicast VLAN8

IP-Router | Routing | Routing-Tabelle
IP-Adresse: 255.255.255.255
Netzmaske: 0.0.0.0
Routing-Tag: 4
Route ist aktiviert und wird immer via RIP propagiert aktivieren
Router: VLAN8
Distanz: 0
Intranet und DMZ maskieren: wählen
Kommentar: DefaultRoute, Pakete von VLAN8 werden akzeptiert

Firewall Regeln für Multicast

Firewall/QoS | Regeln | Regeln | Allgemein
Name dieser Regel: MULTICAST_SEND
Diese Regel ist für die Firewall aktiv: wählen
Diese Regel hält die Verbindungszustände ...: wählen
Priorität: 0
Routing-Tag: 3
Kommentar: LAN->WAN

Firewall/QoS | Regeln | Regeln | Aktionen
Objekt:ACCEPT

Firewall/QoS | Regeln | Regeln | Stationen
Verbindungen von folgenden Stationen: LOCALNET
Verbindungen an folgende Stationen: Benutzerdefinierte Stationen | Ein ganzes IP-Netzwerk
IP-Adresse: 224.0.0.0
Netzmaske: 224.0.0.0

Firewall/QoS | Regeln | Regeln | Allgemein
Name dieser Regel: MULTICAST_RECEIVE
Diese Regel ist für die Firewall aktiv: wählen
Diese Regel hält die Verbindungszustände ...: wählen
Priorität: 0
Routing-Tag: 4
Kommentar: WAN->LAN

Firewall/QoS | Regeln | Regeln | Aktionen
Objekt:ACCEPT

Firewall/QoS | Regeln | Regeln | Stationen
Verbindungen von folgenden Stationen: LOCALNET
Verbindungen an folgende Stationen: Benutzerdefinierte Stationen | Ein ganzes IP-Netzwerk
IP-Adresse: 224.0.0.0
Netzmaske: 224.0.0.0

Testen der Load-Balancer und des Policy Based Routings

trace + IP-Router
trace + Firewall

Seitenanfang

zweites Intranet Netzwerke erstellen

TCP/IP | Allgemein | IP-Netzwerke
Netzwerkname: LAN2
IP-Adresse: <IP-Adresse des Routers für das LAN2>
Netzmaske: <wie gewünscht>
Netzwerktyp: Intranet
VLAN-ID: 0
Schnittstellen-Zuordnung: LAN-2
Adressprüfung: Flexibel
Schnittstellen-Tag: 0

TCP/IP | DHCP | DHCP-Netzwerkname...
Netzwerkname: LAN-2
DHCP-Server aktiviert: ja
Erste Adresse: <w.x.y.z>
Letzte Adresse: <w.x.y.z>
Netzmaske: <w.x.y.z>
Broadcast: <w.x.y.255>
Standard-Gateway: <beliebig>
Erster DNS: <beliebig>

Schnittstellen | LAN | Ethernet-Ports | ETH 2
Interface-Verwendung: LAN-2
Übertragungsart: Automatisch
MDI-Mode: Automatisch

Verbindung zwischen den beiden LANs verhindern

Firewall/QoS | Regeln | Regeln | Allgemein
Name dieser Regel: LAN1->LAN2
Diese Regel ist für die Firewall aktiv: wählen
Diese Regel hält die Verbindungszustände ...: wählen
Priorität: 1
Routing-Tag: 0
Kommentar: alle Pakete von LAN1 nach LAN2

Firewall/QoS | Regeln | Regeln | Aktionen
Objekt:REJECT

Firewall/QoS | Regeln | Regeln | Stationen
Verbindungen von folgenden Stationen: Benutzerdefinierte Stationen
Alle Stationen im lokalen Netzwerk: aktivieren
Netzwerk-Name: INTRANET
Verbindungen an folgende Stationen: Benutzerdefinierte Stationen
Alle Stationen im lokalen Netzwerk: aktivieren
Netzwerk-Name: LAN2

Firewall/QoS | Regeln | Regeln | Dienste
alle Protokolle/Quell-Dienste
alle Protokolle/Ziel-Dienste

Seitenanfang

zwei Netzwerke, zwei Internetzugänge

1. Konfiguration | TCP/IP | Allgemein | IP-Netzwerke

DMZ  | 0.0.0.0       | 255.255.255.0 | DMZ      | 0 | Beliebig | Flexibel | 0
LAN1 | 192.168.1.254 | 255.255.255.0 | Intranet | 0 | LAN-1    | Flexibel | 1
LAN2 | 192.168.2.254 | 255.255.255.0 | Intranet | 0 | LAN-2    | Flexibel | 2

2. Internetzugang der beiden Netze erstellen
Inet-LAN1
Inet-LAN2

3. Konfiguration | IP-Router | Routing | Routing-Tabelle

255.255.255.255 | 0.0.0.0 | 1 | An | Inet-LAN1 | 0 | An
255.255.255.255 | 0.0.0.0 | 2 | An | Inet-LAN2 | 0 | An

4. Konfiguration | VPN | Allgemein | Verbindungs-Liste

Name		Routing-Tag
VPN-LAN1	1
VPN-LAN2	2

Wenn ein Internetzugang ausfällt, und das LAN dann über den anderen Internetzugang ins Netz kommt, ist es notwendig, das das Routing-Tag geändert wird.

Umtaggen der Verbindung bei Ausfall eines der Internetverbindungen

Eintrag für LAN1

Konfiguration | Firewall | Regeln | Regeln
Name: UMTAGGEN_INET-LAN1->INET-LAN2
Diese Regel ist für die Firewall aktiv: aktivieren
Diese Regel hält die Verbindungszustände nach (empfohlen): aktivieren
Priorität: <beliebig>
Rtg-Tag: <Tag von LAN2>
Aktion: ACCEPT
Stationen
Quelle: Alle Stationen im lokalen Netzwerk "LAN1"
Ziel: Verbindungen an alle Stationen
Dienste
Quelle: alle Protokolle/Quell-Dienste
Ziel: alle Protokolle/Ziel-Dienste

Eintrag für LAN2

Konfiguration | Firewall | Regeln | Regeln
Name: UMTAGGEN_INET-LAN2->INET-LAN1
Diese Regel ist für die Firewall aktiv: aktivieren
Diese Regel hält die Verbindungszustände nach (empfohlen): aktivieren
Priorität: <beliebig>
Rtg-Tag: <Tag von LAN1>
Aktion: ACCEPT
Stationen
Quelle: Alle Stationen im lokalen Netzwerk "LAN2"
Ziel: Verbindungen an alle Stationen
Dienste
Quelle: alle Protokolle/Quell-Dienste
Ziel: alle Protokolle/Ziel-Dienste

- zwei Aktionen erstellen um die Regel zu aktivieren bzw. zu deaktivieren

Konfiguration | Kommunikation | Allgemein | Aktions-Tabelle
Name: Umtaggen.LAN1.aktiv
Gegenstelle: Inet-LAN1
Verbindungs-Ereignis: Abbruch
Aktion:

set /Setup/IP-Router/Firewall/Rules/UMTAGGEN_INET-LAN1->INET-LAN2 * * * * * * yes
oder
set /2/8/10/2/UMTAGGEN_INET-LAN1->INET-LAN2 * * * * * * yes

Name: Umtaggen.LAN1.deaktiv
Gegenstelle: Inet-LAN1
Verbindungs-Ereignis: Aufbau
Aktion:

set /Setup/IP-Router/Firewall/Rules/UMTAGGEN_INET-LAN1->INET-LAN2 * * * * * * no
oder
set /2/8/10/2/UMTAGGEN_INET-LAN1->INET-LAN2 * * * * * * no

Die gleichen Eintrage sind für das LAN2 zu erstellen

set /2/8/10/2/UMTAGGEN_INET-LAN2->INET-LAN1 * * * * * * yes
set /2/8/10/2/UMTAGGEN_INET-LAN2->INET-LAN1 * * * * * * no

!!! Deim "Umtaggen" ist zu beachten, das die Clients aus dem LAN das umgetaggt wird, solange auch die Clients im anderen LAN erreichen können, solange bis der Internetzugang der Firma wieder funktioniert.

Seitenanfang

IAPP (Roaming für Access-Points)

Wireless-LAN | Security
Mobile Stationen können zwischen den Basisstationen im lokalen Netz wechseln: aktivieren
IAPP-Netzwerk: wenn hier ein Netz gewählt wird, ist IAPP nur noch in diesem möglich.

Wireless-LAN | Allgemein | Physikalische WLAN-Einst. | Radio
Background-Scan-Intervall: 260s (bei 2,4GHz), 720s (bei 5GHz)

Web-Management | LCOS-Menübaum | Setup | WLAN

 

Seitenanfang

NAT deaktivieren

LANconfig | IP-Router | Routing | Routing-Tabelle
Default Route bearbeiten
IP-Adresse: 255.255.255.255
Netzmaske: 0.0.0.0
Routing-Tag: 0
Route ist aktiviert und wird immer via RIP propagiert: aktivieren
Router: INTERNET
Distanz: 0
IP-Maskierung abgeschaltet: aktivieren

!!! nach der Deaktivierung der IP-Maskierung den Router neu starten.

Seitenanfang

DMZ aktivieren

Einrichten einer DMZ mit öffentlichen IP-Adressen
Umsetzen privater Adressen aus der DMZ in öffentliche Adressen

Konfiguration | IP-Router | Routing | Routing -Tabelle

255.255.255.255 | 0.0.0.0 | 0 | An | INTERNET | 0 | An (nur Intranet)
Seitenanfang

DHCP

DHCP Parameter
BOOTP / DHCP options
Lancom - Konfiguration der DHCP-Optionen

Konfiguration der DHCP-Optionen

Konfiguration | TCP/IP | DHCP | DHCP-Optionen

DNS Server
Option-Nummer: 6
Networkname:(nach Bedarf)
Type: IP-Address
Wert: 192.168.10.200 - bei einem Server
oder
Wert: 192.168.10.200,217.137.150.33 - Angabe von mehreren Servern

Domain Name
Option-Nummer: 15
Networkname:(nach Bedarf)
Type: Zeichenkette
Wert: domainname.tld

NTP-Server
Option-Nummer: 42
Networkname:(nach Bedarf)
Type: IP-Address
Wert: 192.168.10.200
oder
Type: Zeichenkette
Wert: pool.ntp.org

Seitenanfang

WLAN

Active Radio Control (ARC)

WLAN Band Steering - Minimale Client Signalstärke festlegen (in Prozent 100% = 64dB), kommt der Client mit einer niedrigeren Signalstärke werden die SSID Suchpakete nicht beantwortet.

LANconfig: Wireless-LAN | Allgemein | Logische WLAN-Einstellungen | Netzwerk | Minimale Client-Signal-Stärke
WEBconfig: Setup | Schnittstellen | WLAN | Netzwerk | Minimal-Stations-Staerke

Band Steering - WLAN Clients aktiv auf eine bevorzugtes Frequenzband leiten

LANconfig: Wireless-LAN | Band Steering
Band Steerig aktivieren: aktivieren
Bevorzugtes Frequenzband: 5 GHz
Ablaufzeit für Probe-Requests: 120
Initiale Block-Zeit: 10

Seitenanfang

GastNetz WLAN mit einem Internetzugang

Lancom KB Artikel

in diesem Beispiel sind Router und AccessPoint zwei Geräte

Router 192.168.20.254
WLAN-AP 192.168.20.253
Intranet Netz 192.168.20.0
WLAN-Gast Netz 192.168.21.0

Router

auf dem Router muß eine Route ins Gastnetz gesetzt werden

IP-Router | Routing | Routing-Tabelle
IP-Adresse: 192.168.21.0
Netzmaske: 255.255.255.0
Routing-Tag: 0
Route ist aktiviert und wird immer via RIP propagiert aktivieren
Router: 192.168.20.254
IP-Maskierung abgeschaltet aktivieren
Kommentar: WLAN GastNetz

AccessPoint

TCP-IP | Allgemein | IP- Netzwerke
Intranet
IP-Adresse: 192.168.20.253
Netzmaske: 255.255.255.0
Netzwerktyp: Intranet
VLAN-ID: 0
Schnittstellen-Zuordnung: BRG-1
Adressprüfung: Flexibel
Schnittstellen-Tag: 0

Gast
IP-Adresse: 192.168.21.253
Netzmaske: 255.255.255.0
Netzwerktyp: Intranet
VLAN-ID: 0
Schnittstellen-Zuordnung: BRG-2
Adressprüfung: Flexibel
Schnittstellen-Tag: 0

TCP-IP | DHCP | DHCP-Netzwerke | Hinzufügen
Netzwerkname: Gast
DHCP-Server aktiviert: Automatisch
allen anderen Einstellungen nach belieben, können auch so gelassen werden

TCP-IP | DNS | Weiterleitungen
Domäne: *
Gegenstelle: <IP oder Gegenstellenname>

oder

Domäne: ?*
Gegenstelle: 192.168.20.254

Es können auch zwei IP-Adressen als primärer und sekundärer DNS-Server für die weiterzuleitende Domäne eingegeben werden. Wenn zwei IP-Adressen eingegeben werden, dann müssen sie durch ein Leerzeichen voneinander getrennt sein.

Domäne: *.*
Gegenstelle: 192.168.20.254 8.8.8.8

IP-Router | Routing | Routing-Tabelle | Default-Route
IP-Adresse: 255.255.255.255
Netzmaske: 0.0.0.0
Routing-Tag: 0
Route ist aktiviert und wird immer via RIP propagiert aktivieren
Router: 192.168.20.254
Distanz: 2
IP-Maskierung abgeschaltet aktivieren

Firewall/Qos | Regeln | Regeln hinzufügen
Name der Regel: DENY-GAST-INTRANET
Diese Regel ist für die Firewall aktiv: aktivieren
Routing-Tag: 0
Aktionen: Zurückweisen
Station
Quelle: Gast (Netzwerk 192.168.21.0/24)
Ziel: Intranet (Netzwerk 192.168.20.0/24)

Firewall/Qos | Regeln | Regeln hinzufügen
Name der Regel: ACCEPT-DNS-GAST
Diese Regel ist für die Firewall aktiv: aktivieren
Routing-Tag: 0
Aktionen: Accept
Station
Quelle: Gast (Netzwerk 192.168.21.0/24)
Ziel: Alle
Dienste
Ziel: DNS

Schnittstellen | LAN | Port-Tabelle | WLAN-1: Wireless-LAN 1-Netz 1
Diesen Port aktivieren: aktivieren
Bridge-Gruppe: BRG-1
Point-to-Point Port: Automatisch
DHCP-Begrenzung: 0

Schnittstellen | LAN | Port-Tabelle | WLAN-2: Wireless-LAN 2-Netz 1
Diesen Port aktivieren: aktivieren
Bridge-Gruppe: BRG-1
Point-to-Point Port: Automatisch
DHCP-Begrenzung: 0

Schnittstellen | LAN | Port-Tabelle | WLAN-1-2: Wireless-LAN 1-Netz 2
Diesen Port aktivieren: aktivieren
Bridge-Gruppe: BRG-2
Point-to-Point Port: Automatisch
DHCP-Begrenzung: 0

Schnittstellen | LAN | Port-Tabelle | WLAN-2-2: Wireless-LAN 2-Netz 2
Diesen Port aktivieren: aktivieren
Bridge-Gruppe: BRG-2
Point-to-Point Port: Automatisch
DHCP-Begrenzung: 0

Wireless-LAN | Allgemein | Physikalische WLAN-Einst. | WLAN-Interface 1
Betrieb
WLAN-Betriebsart: Basisstation
Radio
Frequenzband: 2,4 GHz
Client-Modus
Durchsuche Bänder: Nur 2,4 GHz

Wireless-LAN | Allgemein | Physikalische WLAN-Einst. | WLAN-Interface 2
Betrieb
WLAN-Betriebsart: Basisstation
Radio
Frequenzband: 5 GHz
Client-Modus
Durchsuche Bänder: Nur 5 GHz

Wireless-LAN | Allgemein | Logische WLAN-Einstellungen | WLAN-Interface 1 - Netzwerk 1
Netzwerk
SSID: Intern

Wireless-LAN | Allgemein | Logische WLAN-Einstellungen | WLAN-Interface 2 - Netzwerk 1
Netzwerk
SSID: Intern

Wireless-LAN | Allgemein | Logische WLAN-Einstellungen | WLAN-Interface 1 - Netzwerk 2
Netzwerk
SSID: Gast

Wireless-LAN | Allgemein | Logische WLAN-Einstellungen | WLAN-Interface 2 - Netzwerk 2
Netzwerk
SSID: Gast

Wireless-LAN | 802.11i/WEP | WPA- / Einzel-WEP-Einstellungen | Wireless-LAN 1 - Netz 1
Schlüssel 1/Passphrase: <PW-Intern>

Wireless-LAN | 802.11i/WEP | WPA- / Einzel-WEP-Einstellungen | Wireless-LAN 2 - Netz 1
Schlüssel 1/Passphrase: <PW-Intern>

Wireless-LAN | 802.11i/WEP | WPA- / Einzel-WEP-Einstellungen | Wireless-LAN 1 - Netz 2
Schlüssel 1/Passphrase: <PW-Gastnetz>

Wireless-LAN | 802.11i/WEP | WPA- / Einzel-WEP-Einstellungen | Wireless-LAN 2 - Netz 2
Schlüssel 1/Passphrase: <PW-Gastnetz>

Seitenanfang

Gastnetz WLAN und LAN mit getrennten Internetzugang

Lancom KB Artikel

Intranet (Phys. Schnittstelle)
ETH-1
ETH-2
WLAN-1
Internet WAN-Port Internet1
Netz 192.168.20.0/24
Router 192.168.20.254
DHCP 192.168.20.20-30
GastNetz (Phys. Schnittstelle)
ETH-4
WLAN-1-2
Internet ETH-3-Port Internet2
Netz 192.168.25.0/24
Router 192.168.25.254
DHCP 192.168.25.20-30

TCP-IP | Allgemein | IP- Netzwerke
Netzwerkname: Intranet
IP-Adresse: 192.168.20.254
Netzmaske: 255.255.255.0
Netzwerktyp: Intranet
VLAN-ID: 0
Schnittstellen-Zuordnung: BRG-1
Adressprüfung: Flexibel
Schnittstellen-Tag: 0

Netzwerkname: GastLAN
IP-Adresse: 192.168.22.254
Netzmaske: 255.255.255.0
Netzwerktyp: Intranet
VLAN-ID: 0
Schnittstellen-Zuordnung: BRG-2
Adressprüfung: Flexibel
Schnittstellen-Tag: 2

TCP-IP | DHCP | DHCP-Netzwerke
Netzwerkname: Intranet
DHCP-Server aktiviert: Ja
Erste Adresse: 192.168.20.20
Letzte Adresse: 192.168.20.30
Standard-Gateway: 192.168.20.254
Erster DNS: 192.168.20.254

Netzwerkname: GastLAN
DHCP-Server aktiviert: Ja
Erste Adresse: 192.168.25.20
Letzte Adresse: 192.168.25.30
Standard-Gateway: 192.168.25.254
Erster DNS: 192.168.25.254

Schnittstellen | LAN | Ethernet-Ports
Ethernet-Port: ETH 1
Interface-Verwendung: LAN-1
Übertragungsart: Automatisch
MDI-Mode: Automatisch
Ethernet-Port: ETH 2
Interface-Verwendung: LAN-1
Ethernet-Port: ETH 3
Interface-Verwendung: DSL-1
Ethernet-Port: ETH 4
Interface-Verwendung: LAN-2

Schnittstellen | LAN | Port-Tabelle
LAN-1: Lokales Netzwerk 1
Diesen Port aktivieren: aktivieren
Bridge-Gruppe: BRG-1
Point-to-Point Port: Automatisch
DHCP-Begrenzung: 0
WLAN-1: Wireless Netzwerk 1
Diesen Port aktivieren: aktivieren
Bridge-Gruppe: BRG-1

LAN-2: Lokales Netzwerk 2
Diesen Port aktivieren: aktivieren
Bridge-Gruppe: BRG-2
WLAN-1-2: Wireless Netzwerk 2
Diesen Port aktivieren: aktivieren
Bridge-Gruppe: BRG-2

IP-Router | Routing | Routing-Tabelle
Default Route bearbeiten
IP-Adresse: 255.255.255.255
Netzmaske: 0.0.0.0
Routing-Tag: 0
Route ist aktiviert und wird immer via RIP propagiert: aktivieren
Router: INTERNET1
Distanz: 0
Kommentar: Internet für Intranet

Default Route Kopieren
IP-Adresse: 255.255.255.255
Netzmaske: 0.0.0.0
Routing-Tag: 2
Route ist aktiviert und wird immer via RIP propagiert: aktivieren
Router: INTERNET2
Distanz: 0
Kommentar: GastLAN

wenn man nur ein Internetzugang auf den Router hat, muß die DefaultRoute auch kopiert werden, aber der Router ist auf Internet1 zu stellen.

Seitenanfang

Gastnetz WLAN und LAN mit VLAN getrennt

Lancom KB Artikel

Netzwerk Übersicht

  IP-Adresse Router VLAN-ID Schnittstellen TAG Schnittstelle
Intranet 192.168.20.254 1 0 LAN1, WLAN1
Gastnetz 192.168.200.254 10 10 LAN1, WLAN2

TCP-IP | Allgemein | IP- Netzwerke
Intranet
IP-Adresse: 192.168.20.254
Netzmaske: 255.255.255.0
Netzwerktyp: Intranet
VLAN-ID: 1
Schnittstellen-Zuordnung: BRG-1
Adressprüfung: Flexibel
Schnittstellen-Tag: 0

GastNetz
IP-Adresse: 192.168.200.254
Netzmaske: 255.255.255.0
Netzwerktyp: Intranet
VLAN-ID: 10
Schnittstellen-Zuordnung: BRG-1
Adressprüfung: Flexibel
Schnittstellen-Tag: 10

Schnittstellen | VLAN
VLAN-Modul aktivieren: aktivieren

Schnittstellen | VLAN | VLAN-Tabelle
VLAN-Name: Intranet_VLAN1
VLAN-ID: 1
Port-Liste: LAN-1, WLAN-1

VLAN-Name: Gast_VLAN10
VLAN-ID: 10
Port-Liste: LAN-1, WLAN-1-2

Schnittstellen | VLAN | Port-Tabelle
VLAN-Port: LAN-1: Lokales Netzwerk 1
VLAN-Tagging-Modus: Hybrid (Gemischt)
Auf diesem Port Pakete erlauben, die zu anderen VLANs gehören: aktivieren
Port-VLAN-ID: 1

VLAN-Port: WLAN-1-2: Wireless Netzwerk 2
VLAN-Tagging-Modus: Access (Niemals)
Auf diesem Port Pakete erlauben, die zu anderen VLANs gehören: aktivieren
Port-VLAN-ID: 10

Wireless-LAN 1 für Intranet und Wireless-LAN 2 für ds GastNetz definieren wie oben.

unter IP-Router | Routing alle Einstellungen so belassen.

Seitenanfang

VLAN

Schnittstellen | VLAN
VLAN-Modul aktivieren: aktivieren

Schnittstellen | VLAN | VLAN-Tabelle
VLAN-Name: Intranet_VLAN1
VLAN-ID: 1
Port-Liste: *-*

VLAN-Name: Gast_VLAN30
VLAN-ID: 30
Port-Liste: *-*

Konfiguration | IPv4 | Allgemein | IP-Netzwerke
Netzwerkname: INTRANET
IP-Adresse: <IP-Adresse des Routers>
Netzmaske: <wie gewünscht>
Netzwerktyp: Intranet
VLAN-ID: 1
Schnittstellen-Zuordnung: BRG-1
Adressprüfung: Flexibel
Schnittstellen-Tag: 0

Netzwerkname: GAST-VLAN30
IP-Adresse: <IP-Adresse des Gast-Routers>
Netzmaske: <wie gewünscht>
Netzwerktyp: Intranet
VLAN-ID: 30
Schnittstellen-Zuordnung: BRG-1
Adressprüfung: Flexibel
Schnittstellen-Tag: 0

 

Seitenanfang

IPv6

Befehl Beschreibung
show ipv6-interfaces IPv6 Interface anzeigen
show ipv6-addresses IPv6 Addressen anzeigen
show ipv6-route IPv6 Routingtabelle anzeigen
show ipv6-prefixes IPv6 Prefix anzeigen
show ipv6-neighbour-cache IPv6 neighbour cache anzeigen
show dhcpv6-client DHCPv6 Clients Lease anzeigen (WAN Interface)
show dhcpv6-server DHCPv6 Server Client Tabelle (LAN Interface)
show ipv6-filter IPv6 Firewall Forward Regeln (Weiterleiten)
show ipv6-inbound-flt IPv6 Firewall Inbound Regeln (Eingang)

- Trace ausgeben

tr # ipv6-router icmpv6 ipv6-fire

IPv6 Default Route setzen

IP-Router | Routing | IPv6-Routing-Tabelle| Default-Route
Präfix: ::/0
Routing-Tag: 0
Router: INTERNET

Kommunikation | Protokolle | PPP-Liste
Gegenstelle: INTERNET
IPv6-Routing aktivieren: aktivieren

IPv6 Schnittstelle definieren

Lancom Handbuch IPv6

IPv6 | Allgemein | LAN-Schnittstellen
Schnittstelle aktivieren: aktiviert
Interface-Name: INTRANET_V6
Schnittstellen-Zuordnung: BRG-1
VLAN-ID: 0
Schnittstellen-Tag: 0
Autokonfiguration (Stateless Address Autoconfiguration-SLAAC): aktiviert
Router-Advertisements (RA) akzeptieren: aktiviert
Forwarding: aktiviert
MTU: 1500
Firewall für dieses Interface aktivieren: deaktiviert

feste IPv6 Adresse für das LAN Interface setzen

IPv6 | Allgemein | IPv6-Adresse (IP im privaten LAN)
Interface-Name: INTRANET_V6
Adresse/Prafixlänge: fd00:0:0:0::1/64
Adress-Typ: Unicast
Name: LOCALNET

Provider Präfix ins LAN weiterleiten

IPv6 | Allgemein | WAN-Schnittstellen
SChnittstelle aktiv: aktivieren
Interface-Name: leer lassen
Schnittstellen-Tag: 0
Autokonfiguration (Stateless Address Autoconfiguration-SLAAC): aktivieren
Router-Advertisements (RA) akzeptieren: aktivieren
Forwarding: aktivieren
Firewall für dieses Interface aktiv: aktivieren
PD-Quelltype: DHCPv6

IPv6 | Router-Advertisement | Präfix-Liste
Interface-Name: INTRANET_V6
Präfix: ::/64
Subnetz-ID: 20
Präfix beziehen von: INTERNET

Wenn der Provider ein Präfix von 2003:eeee:ffff:1900::/56 verteil, wird diesen die Subnetz-ID angehängt und daraus der Präfix für das LAN 2003:eeee:ffff:1920::/64

::/64 besagt, das der Provider delegiertes Präfix automatisch weiter propagiert wird. Das WAN Interface muss dafür in der Zeile Präfix beziehen von ausgewählt werden.

Provider Präfix delegieren für ein IPv6 Subnet

IPv6 | Allgemein | WAN-Schnittstellen
Schnittstelle aktiv: aktivieren
Interface-Name: leer lassen
Schnittstellen-Tag: 0
Autokonfiguration (Stateless Address Autoconfiguration-SLAAC): aktivieren
Router-Advertisements (RA) akzeptieren: aktivieren
Forwarding: aktivieren
Firewall für dieses Interface aktiv: aktivieren
PD-Quelltype: DHCPv6

IPv6 | DHCPv6 | Präfix-Delegierungs-Pools
PD-Pool-Name: PD-Pool
Erster Präfix: ::
Letzter Präfix: ::
Präfix-Länge: 60
Bevorzugte Gültigkeit: 3600
Gültigkeitsdauer: 86400
Präfix beziehen von: INTERNET

IPv6 | DHCPv6 | DHCPv6-Netzwerke
DHCPv6-Server aktiviert: Ein
Präfix für weitere Router (DHCPv6-PD)
Präfix-Deligierungs-Pool: PD-Pool

Seitenanfang

Firewall

Konfiguration der Filter-Regeln (Firewall/QoS) beim LANCOM Router

!!! Wenn zwischen zwei Stationen eine Verbindung besteht und Firewalleinstellungen geändert werden, wird diese Einstellung erst nach beenden der Verbindung oder Router Neustart wirksam. !!!

Unterschiede in der Firewall Konfiguration zwischen DROP und REJECT
- Beispiel REJECT

ping w.x.y.z
Antwort von w.x.y.z: Zielnetz nicht erreichbar.

- Beispiel DROP

ping w.x.y.z
Zeitüberschreitung der Anforderung.

ICMP Meldungen (PING) auf WAN Port zulassen

LANconfig | Firewall/Qos | Allgemein
Ping blockieren: Nur über Default-Route (Standard) auf Aus setzen.

Script Parameter Beschreibung
   
QOS Einstellungen /Setup/IP-Router/Firewall/Actions
@dEF DiffServ-CP: EF
@v für VPN-Route
%Qctds80 für gesendete Pakete, Mindestbandbreite 80kbit Pro Session
%Qcrds80 für empfangene Pakete, Mindestbandbreite 80kbit Pro Session
%Qcds80 Mindestbandbreite 80kbit Pro Session
%Qutds80 für gesendete Pakete, Mindestbandbreite 80kbit Pro Station
%Qurds80 für empfangene Pakete, Mindestbandbreite 80kbit Pro Station
   

/Setup/IP-Router/Firewall/Actions

add  "VOIP-QOS"                           {Description}  "%F512 @dEF %Fp512 @dEF %Qcfds80 @dEF"

unter Lanconfig Konfiguration | Firewall/Qos | IPv4-Regeln | QoS-Objekte... | Hinzufügen...
Allgemein: VOIP-QOS
Bedingung (Regel für Versand)
bei DiffServ-CP: EF
Aktion
Fragmentierung der übrigen Pakete: 512 Bytes

Bedingung (Regel für Empfang)
bei DiffServ-CP: EF
Aktion
Reduzierung der PMTU einschalten: 512 Bytes

Bedingung (Bandbreite Reservieren)
bei DiffServ-CP: EF
Aktion
Mindestbandbreiten garantieren: 128 kbit
Pro Session: aktivieren
Erzwungen: aktivieren

 

Seitenanfang

QoS

QoS-Einstellungen für VoIP-Verbindungen
AGFEO - Quality of Service mit ISDN over IP
QoS Diffserv TOS bei Lancom

- Geschwindigkeit der Leitung definieren (wenn das interne DSL Modem nicht verwendet wird)
Konfiguration | Schnittsellen | WAN | Interface Einstellungen | DSL
Downstream-Rate: 16000
Upstream-Rate: 1024
Externer Overhead: 0

- QoS Methode festlegen, die unterstützt werden soll "Type-of-Service" oder "DiffServ"
Konfiguration | IP-Router | Allgemein
Type-of-Service-Feld berücksichtigen: aktivieren
oder
DiffServ-Feld beachten: aktivieren

Anzeige der eingestellten Routing-Method (bei neuerer Firmware Default Einstellung)

ls /Setup/IP-Router/Routing-Method/Routing-Method
Routing-Method  VALUE:   DiffServ

DiffServ Tabelle siehe auch Handbuch Abschnitt 9.2.1

Differentiated Services

DSCP PHB-Wert                                      | DiffServ              | default WLAN-Priority
(per-hop behavior)| binär  | dezimal | hexadezimal | dezimal | hexadezimal | (Access Category)
===================================================================================================
CS0/BE            | 000000 |       0 |         0x0 |       0 |         0x0 | Best Effort
---------------------------------------------------------------------------------------------------
CS1               | 001000 |       8 |         0x8 |      32 |        0x20 | Background
---------------------------------------------------------------------------------------------------
CS2               | 010000 |      16 |        0x10 |      64 |        0x40 | Background
---------------------------------------------------------------------------------------------------
CS3               | 011000 |      24 |        0x18 |      96 |        0x60 | Best Effort
---------------------------------------------------------------------------------------------------
CS4               | 100000 |      32 |        0x20 |     128 |        0x80 | Video
---------------------------------------------------------------------------------------------------
CS5               | 101000 |      40 |        0x28 |     160 |        0xA0 | Video
---------------------------------------------------------------------------------------------------
CS6               | 110000 |      48 |        0x30 |     192 |        0xC0 | Voice
---------------------------------------------------------------------------------------------------
CS7               | 111000 |      56 |        0x38 |     224 |        0xE0 | Voice
---------------------------------------------------------------------------------------------------
AF11              | 001010 |      10 |         0xA |      40 |        0x28 | Background
---------------------------------------------------------------------------------------------------
AF12              | 001100 |      12 |         0xC |      48 |        0x30 | Background
---------------------------------------------------------------------------------------------------
AF13              | 001110 |      14 |         0xE |      56 |        0x38 | Background
---------------------------------------------------------------------------------------------------
AF21              | 010010 |      18 |        0x12 |      72 |        0x48 | Background
---------------------------------------------------------------------------------------------------
AF22              | 010100 |      20 |        0x14 |      80 |        0x50 | Background
---------------------------------------------------------------------------------------------------
AF23              | 010110 |      22 |        0x16 |      88 |        0x58 | Background
---------------------------------------------------------------------------------------------------
AF31              | 011010 |      26 |        0x1A |     104 |        0x68 | Best Effort
---------------------------------------------------------------------------------------------------
AF32              | 011100 |      28 |        0x1C |     112 |        0x70 | Best Effort
---------------------------------------------------------------------------------------------------
AF33              | 011110 |      30 |        0x1E |     120 |        0x78 | Best Effort
---------------------------------------------------------------------------------------------------
AF41              | 100010 |      34 |        0x22 |     136 |        0x88 | Video
---------------------------------------------------------------------------------------------------
AF42              | 100100 |      36 |        0x24 |     144 |        0x90 | Video
---------------------------------------------------------------------------------------------------
AF43              | 100110 |      38 |        0x26 |     152 |        0x98 | Video
---------------------------------------------------------------------------------------------------
EF                | 101110 |      46 |        0x2E |     184 |        0xB8 | Voice*) [sonst Video]

*) Voice bei (Default-)Eintrag von 184 -> Voice unter Setup/LAN-Bridge/Priority-Mapping
ls /Setup/LAN-Bridge/Priority-Mapping

Name                  DSCP-Value       Priority
---------------------------------------------------
DEFAULT               0                Best-Effort
VOICE                 184              Voice

 

Beispiel Firewall-Regel QoS für eine Unify TK-Anlage

Konfiguration | Firewall/Qos | Regeln | IPv4-Regeln | Regeln
Allgemein: QOS-HFA
Diese Regel ist für die Firewall aktiv: aktivieren
Diese Regel hält die Verbindungszustände nach: aktivieren
Priorität: 99
Quell-Tag: 0
Routing-Tag: 0

Aktion
Allgemein: QOS-EF
Aktion | Bedingung
bei DiffServ-CP: EF
Aktion | Trigger
Pro Session: aktivieren
Aktion | Paket-Aktion
Übertragen: aktivieren

QoS
Allgemein: QOS-EF-BANDBREITE
Bedingung (Regel für Versand)
bei DiffServ-CP: EF
Aktion
Fragmentierung der übrigen Pakete: 579 Bytes

Bedingung (Regel für Empfang)
bei DiffServ-CP: EF
Aktion
Reduzierung der PMTU einschalten: 579 Bytes

Bedingung (Bandbreite Reservieren)
bei DiffServ-CP: EF
Aktion
Mindestbandbreiten garantieren: 128 kbit
Pro Session: aktivieren
Erzwungen: aktivieren

Stationen
Verbindungen von allen Stationen
Verbindungen an alle Stationen

Die Fragmentierung und Reduzierung der PMTU nur einstellen, bei Verbindungen mit geringer Bandbreite (Upload oder Download Datenrate von weniger als 768 kbit/s).

Beispiel für eine QoS Regel eines VPN Clients, so das dem Client eine bestimmte Bandbreite garantiert wird.

- unter Firewall/Qos | Regeln | Hinzufügen einen Namen für die Regel vergeben
"Diese Regel ist für die Firewall aktiv" und "Diese Regel hält die Verbindungszustände ..." auswählen
- unter Aktionen | Bearbeiten | Paket-Aktion Übertragen wählen.
- unter QoS | Hinzufügen | Mindestbandbreite garantieren denn Wert eintragen und Global wählen.
- unter Stationen | Verbindungs-Quelle | Verbindungen von folgenden Stationen | Alle Stationen im lokalen Netzwerk und unter Verbindungs-Ziel | Verbindungen von folgenden Stationen | die IP des VPN-Clients die ihm für das lokale Netzwerk zugewiesen wurde.

- Station und Port definieren

Konfiguration | Firewall/Qos | Regeln | Stations-Objekte... | Hinzufügen...
Allgemein
Name des Objektes: beliebiger Name
Station | Hinzufügen: IP-Adresse/Name/MAC-Adresse

Konfiguration | Firewall/Qos | Regeln | Dienst-Objekte... | Hinzufügen...
Allgemein
Name des Objektes: beliebiger Name
Dienste | Benutzerdefinierte Protokolle:
Ports: Portnummer1,Portnummer2,usw...

- TAG für Netzwerkpakete erstellen
Konfiguration | Firewall/Qos | Regeln | Aktions-Objekte... | Hinzufügen...
Allgemein
Name des Objektes: beliebiger Name
Aktion (für SIP Pakete)
für gesendete Pakete aktivieren, Logische
Paket-Aktion
Übertragen aktivieren
Markieren mit DiffServ-CP: CS 3 aktivieren

QOS testen

- iperf Server einrichten

iperf -V -s -p 5060

- iperf Client starten

iperf -V -c <Server-IP> -p 5060
Seitenanfang

Voice over IP

Manuelle Einrichtung eines LANCOM VoIP-Routers
Anlegen einer PBX-Line bei LANCOM VoIP-Routern

UDP-Aging Wert setzen

für VoIP das UDP-Timeout angleichen, beide Einstellungen sollten gleich gesetzt sein.

Lanconfig | Voice Call Manager | Leitungen | SIP-Leitungen
Erweitert | Leitungsüberwachung
Überwachungsintervall: 60 Sek. (default)

Das Überwachungsintervall muss mindestens 60 Sekunden betragen und legt fest, nach welcher Zeit die Überwachungsmethode erneut angewendet wird. Wenn die (Re-)Registrierung aktiviert ist, wird das Überwachungsintervall auch als Zeitraum bis zur nächsten Registrierung verwendet.

Setup | IP-Router | 1-N-NAT
Lanconfig | IP-Router | Maskierung
UDP-Aging: 65 Sek. (Default: 20 Sek.)

65 Sek. ist der Wert den Lancom in der NFON Konfiguration setzt. Der Wert sollte nicht zu hoch gesetzt werden, da sonst die Maskierungstabelle z.B. mit DNS Anfragen volllaufen kann, da diese zu lange in der Tabelle gehalten werden. Die Zeit sollte aber größer gesetzt werden, als die Zeit die beim Telefon für eine Neuregistrierung beim SIP-Provider gesetzt ist. Normalerweise liegt diese bei 300 Sek. Die Neuregistrierung der Telefone darf auch nicht zu klein gewählt werden, da dies der Provider ablehnt.
Bei der Telekom liegt der Wert mind. bei 120 Sek., kleinere Werte sind nicht erlaubt.

In der TK-Anlage sollte noch Keepalive für UDP konfiguriert sein, um die Ports in der Firewall offen zu halten für eingehende Gespräche. Dieser Wert sollte kleiner des UDP-Aging sein so zwischen 15-30 Sek.

- Verbindugsliste des Lancoms, Spalte Timeout beachten

repeat 5 list /Status/IP-Router/Connection-List ; # Table
Seitenanfang

SIP-ALG

SIP-ALG - SIP Application-Level Gateway

Wenn SIP-ALG genutzt werden soll, muss STUN in der Anlage oder SIP-Client deaktiviert sein. Rufnummer mit +49VorwahlRufnummer im SIP-Gerät registrieren.

SIP-ALG | SIP-ALG aktivieren: aktivieren

Fehlersuche

SIP-ALG und SIP Trace

trace + SIP-ALG SIP-ALG-Packet SIP-Packet

im LANMonitor muss unter SIP-ALG | Registrierung die Rufnummern aufgelistet werden.

Seitenanfang

All-IP Option

All-IP Überblick, All-IP Datenblatt

Kurzüberblick
Anzahl interner VoIP-Rufnummern 10 (bis zu 40 mit VoIP +10 Option)
Anzahl interner ISDN-Rufnummern max. 10
Anzahl externer VoIP-Rufnummern max. 16
Anzahl gleichzeitiger VoIP-Verbindungen bis zu 20 externe VoIP-Sprachkanäle, je nach Umkodierung, Echo-Unterdrückung und Last

- Übersicht aktuell genutzte Anzahl Benutzer / Leitungen

LCOS-Menü | Status | Voice-Call-Manager
Line_Counter
User_Counter

LCOS-Menübaum | Setup | Voice-Call-Manager | User
CF-Set-Cln-Id: Calling-ID

- Anruferliste zeigen

Webinterface
Status | Voice-Call-Manager | Calls

Lanmonitor | Voice Call Manager | Anrufe | Vollständige Anruftabelle anzeigen

Einstellungen ISDN Schnittstelle

Konfiguration | Schnittsellen | WAN | Interface Einstellungen | ISDN/S0-Bus

DSS1 TE (Euro-ISDN) - externer ISDN-Anschluss PMP (Punkt-zu-Mehrpunkt), ISDN-Bus einer übergeordneten ISDN-TK-Anlage
oder einen ISDN-NTBA
DSS1 NT - interner ISDN-Anschluss, ISDN-TK-Anlagen oder ISDN-Telefone können angeschlossen werden.

"NT revese" - Takt für die nachstehende TK-Anlage auf dem Anschluss deaktivieren.

Fehlersuche ISDN Bus

- D-Channel Trace

trace # D-channel-dump
> ls /Setup/Interfaces/S0

Ifc       Protocol         LL-B-chan.  Dial-prefix     Max-in-calls   Max-out-calls
-----------------------------------------------------------------------------------
S0-1      NT-DSS1          none                        Two            Two
ls /Status/ISDN/Framing/S0

Ifc      State      B1-Frame              B2-Frame
=========-----------------------------------------------------
S0-1     F0         none                  none
S0-2     G3         none                  none

Im NT Modus (internen ISDN S0 Bus)
State G1 = NT-Bus deaktiviert
State G2 = NT-Bus wird aktiviert/wartet auf Aktivierung
State G3 = NT-Bus aktiviert
State G4 = Deaktivierungs Anfrage erhalten

Im TE Modus (ISDN S0 Anschlusses)
State F0 = abgeschaltet, deaktiviert
State F1 = inaktiv, keine Stromversorgung
State F2 = aktiv, wartet auf "INFO 0"
State F3 = deaktiviert
State F4 = wartet auf Signal
State F5 = Signal empfangen, Synchronisierung
State F6 = Synchronisiert und fertig zum Empfang
State F7 = aktiviert
State F8 = Verlust der Frame Synchronisierung

- Benutzerdefinierte Telefoneinstellungen

Konfiguration | Voice Call Manager | Benutzer | Benutzer-Einstellungen
Eintrag aktiv: aktivieren
Interne Rufnummer: <wählen>
Benutzersteuerung über Tastatur oder DTMF erlauben
Zweitanruf unterdrücken (Busy on Busy)
Sofortige Rufweiterschaltung (CFU)
Rufweiterschaltung bei besetzt (CFB)
Verzögerte Rufweiterschaltung (CFNR)

Seitenanfang

DECT Basis anbinden

unterstützt wird zur Zeit nur die DECT-Basis Gigaset N510 IP Pro.

LANCOM DECT 510 IP: Manuelle Anbindung an einen LANCOM Router
LANCOM DECT 510 IP – Firmware update trotz Auto-Provisioning durchführen
Gigaset Wiki

Vor der Konfiguration des Lancoms, die Gigaset DECT Basis auf Werkseinstellung zurücksetzten und vom Netz trennen.

Einstellungen im LANCOM

Konfiguration | Management | Erweitert
Provisioning-Server aktivieren: aktivieren

Konfiguration | Voice Call Manager | Benutzer | DECT-Basisstation
Name: Basis1
MAC-Adresse: 00:00:00:00:00:00
Geräte Netzwerkname: N510IPPRO
Routing-Tag: 0

Konfiguration | Voice Call Manager | Benutzer | DECT-Handsets
Basisstation-Name: Basis1
Index: 0 (die nächste Handteil bekommt als Index: 1 usw.)
SIP-User: <Nummer der Nst.>
Handset-Name: Handteil-1
Display Name: Handteil-1
Voice-Mailbox:

Wenn die Konfiguration des Lancoms abgeschlossen ist, kann die Gigaset DECT Basis mit dem Netz verbunden werden.

Fehlersuche DECT Provisioning

trace + provisioning

Einstellungen Gigaset N510 IP Pro
Einstellungen | Geräte-Management | Firmware-Aktualisierung
Default
Datenserver: profile.gigaset.net/device
ändern in: http://<Lancom RouterIP>:9999/provisioning
Konfigurationsdatei (URL): http://<Lancom RouterIP>:9999/provisioning/xml/7C2F808799E1.xml

Diese Einstellungen werden normalerweise automatisch vorgenommen. Nach dem Einrichten der DECT Basis durch den Lancom, kann man im nachhinein noch die IP der DECT-Basis anpassen.

Seitenanfang

SIP-PBX hinter dem Router einrichten

Variante 1

im Router SIP-ALG aktivieren, Voice Call Manager deaktivieren und auf der PBX den SIP Account direkt einrichten

Variante 2

im Router den Voice Call Manager aktivieren, die SIP-Leitungen im Router registrieren und als SIP-Benutzer an die SIP-PBX weiterreichen

Konfiguration | Voice Call Manager | Leitungen | SIP-Leitungen
Eintrag aktiv: aktivieren
Provider-Name: <Provider-Name frei wählbar>

Anmelde-Daten
(Re-)Registrierung: aktivieren
SIP-ID/Benutzer: +49VorwahlRufnummer
Display-Name (opt.): +49VorwahlRufnummer
Authentifizier.-Name: anonymous@t-online.de

Anruf-Präfix: <leer lassen>
Interne Ziel-Nummer: <MSN der Leitung z.B. 3456>

Konfiguration | Voice Call Manager | Benutzer | SIP-Benutzer
Eintrag aktiv: aktivieren
Interne Rufnummer: <MSN der Leitung z.B. 3456>

Anmelde-Daten
Authentifizier.-Name: <MSN der Leitung z.B. 3456>
Passwort: <setzen>
Zugriff vom WAN: nur über VPN

Gerätetyp: Telefon
Msg. Waiting (MWI) über: <Provider-Name der SIP-Leitungen>

Konfiguration | Voice Call Manager | Call-Router | Call-Routen
Eintrag aktiv/Defaultroute: aktivieren
Priorität: 0
Gerufene Nummer: #

Mapping
Ziel-Nummer: #
Ziel-Leitung: <Provider-Name der SIP-Leitungen>

Filter
Rufende Nummer: <MSN der Leitung z.B. 3456>

- Beispiel Eintrag für eine Zentrale beim SIP-Trunk (Anlagenanschluss)

  1. - Zentrale
    Eintrag aktiv/Defaultroute: aktivieren
    Priorität: 0
    Gerufene Nummer: +49<Vorwahl><Anlagennummer>0
  2. - Eintrag für die Nebenstellen
    Eintrag aktiv/Defaultroute: aktivieren
    Priorität: 0
    Gerufene Nummer: +49<Vorwahl><Anlagennummer>#
    Mapping
    Ziel-Nummer: 1#
    Ziel-Leitung: <Provider-Name der SIP-Leitungen>

Beim ersten Eintrag wird beim Mapping die Nebenstelle zugeordnet, beim zweiten Eintrag werden die Zielnummern 10 - 19 gesetzt.

Konfiguration | Voice Call Manager | Erweitert
Präfixe für Rufnummern-Anzeige bei eingehendem Anruf
Von Intern zum SIP-Benutzer: <leer lassen>
Von Extern zum SIP-Benutzer: <leer lassen>
Von Intern zum ISDN-Benutzer: <leer lassen>
Von Extern zum ISDN-Benutzer: <leer lassen>

- den SIP-Benutzer des Routers auf der SIP-TK-Anlage einrichten

SIP-ID/Benutzer: <MSN der Leitung z.B. 3456>
Authentifizier.-Name: <MSN der Leitung z.B. 3456>
Passwort: <Anmelde-Daten des Lancom SIP-Benutzers>

Seitenanfang

SIP-Trunk Anschluss einrichten

Anschaltemodus SIP-Trunk Static Mode oder Registered Mode

Registered-Mode - ist für den Betrieb hinter einem NAT Router geeignet.
Static Mode - für den direkten Betrieb, der Router ist mit einer Festen IP-Adresse ausgestattet.

- bei aktivieren ClipNoScreening führende 0 entfernen, den Wert für CallingPartyNumber auf national setzen.

Mögliche Werte sind:
subscriber (Standard Wert)
unknown
national

set Setup/Voice-Call-Manager/General/ClnPartyNumType national

Rufnummern von eingehenden Anrufen werden auf einigen Endgeräten mit einer zusätzlich vorangestellten 0 angezeigt

 

Seitenanfang

Voice-Call-Manager

LANCOM All-IP Option: Umwandlung einer eingehenden Rufnummer in ein anderes Format

- Ausgabe der Rufnummer des Anrufers im Format 0049<Vorwahl><Rufnummer>

set /Setup/Voice-Call-Manager/Users/SIP-User/Extern-Cln-Prefix "00"

cd /Setup/Voice-Call-Manager/Call-Router/Call-Routing/
tab Calling-Id
del "0049#"

- Ausgabe der Rufnummer des Anrufers im Format <Vorwahl mit führender 0><Rufnummer>

set /Setup/Voice-Call-Manager/Users/SIP-User/Extern-Cln-Prefix ""

cd /Setup/Voice-Call-Manager/Call-Router/Call-Routing/
tab Called-Id Calling-Id Src-Line Dest-Calling-Id Dest-Id-1 Dest-Line-1 Prio Active Comment
add "#" "0049#" "LINE.#" "0#" "#" "RESTART" 1 Yes "Internationale Vorwahl entfernen"

- Muster-Script Call-Routing Vorlage für 3 MSN bestimmte Felder müssen dem Bedarf angepasst werden
<VW> - OrtsVorwahl ohne führende 0
<MSN1>, <MSN2>, <MSN3> - Rufnummer des Anschlusses ohne OrtsVorwahl

lang English
flash No

cd /Setup/Voice-Call-Manager/Call-Router/Call-Routing/
tab Called-Id Calling-Id  Src-Line Dest-Calling-Id Dest-Id-1 Dest-Line-1 Prio Active Comment
add  "**#"     ""          "USER.#" ""   "#"    "RESTART"    2 Yes "Escape-Zeichen '**' bei lokalem Ruf"
add  "0010#"   ""          "USER.#" ""   "010#" "TCOM-MSN1"  2 Yes "Preselection"
add  "010#"    ""          "USER.#" ""   "010#" "TCOM-MSN1"  2 Yes "Preselection"
add  "011#"    ""          "USER.#" ""   "11#"  "TCOM-MSN1"  2 Yes "Notruf bei Amtsholung"
add  "11#"     ""          "USER.#" ""   "11#"  "TCOM-MSN1"  2 Yes "Notruf"
add  "#"       ""          "USER.#" ""   "0#"   "RESTART"    2 Yes "Benutzer startet normalen externen Ruf"
add  "#"       "0049<VW>#" "LINE.#" "#"  "#"    "RESTART"    1 Yes "Vorwahl entfernen"
add  "#"       "0049#"     "LINE.#" "0#" "#"    "RESTART"    1 Yes "Internationale Vorwahl entfernen"
add  "#"       "0<VW>#"    "LINE.#" "#"  "#"    "RESTART"    1 Yes "Ortsvorwahl entfernen"
add  "00049#"  ""          ""       ""   "00#"  "RESTART"    0 Yes "Eigene Landesvorwahl entfernen"
add  "00<VW>#" ""          ""       ""   "0#"   "RESTART"    0 Yes "Eigene Ortsvorwahl entfernen"
add  "000#"    "<MSN1>"    ""       ""   "00#"  "TCOM-MSN1"  0 Yes "Auslandsgespraech"
add  "000#"    "<MSN2>"    ""       ""   "00#"  "TCOM-MSN2"  0 Yes "Auslandsgespraech"
add  "000#"    "<MSN3>"    ""       ""   "00#"  "TCOM-MSN3"  0 Yes "Auslandsgespraech"
add  "00#"     "<MSN1>"    ""       ""   "0#"   "TCOM-MSN1"  0 Yes "Inlandsgespraech"
add  "00#"     "<MSN2>"    ""       ""   "0#"   "TCOM-MSN2"  0 Yes "Inlandsgespraech"
add  "00#"     "<MSN3>"    ""       ""   "0#"   "TCOM-MSN3"  0 Yes "Inlandsgespraech"
add  "0#"      "<MSN1>"    ""       ""   "#"    "TCOM-MSN1"  0 Yes "Ortsgespraech"
add  "0#"      "<MSN2>"    ""       ""   "#"    "TCOM-MSN2"  0 Yes "Ortsgespraech"
add  "0#"      "<MSN3>"    ""       ""   "#"    "TCOM-MSN3"  0 Yes "Ortsgespraech"
cd /

flash Yes
# done
exit

 

Seitenanfang

VoIP Fehlersuche

Strict-Mode

- Wird der Strict-Mode aktiviert, werden eingehende SIP-Nachrichten nur von der IP-Adresse akzeptiert, bei dem die Leitung registriert wurde.
Hinweis: Beachten Sie, dass nur die Einstellung "Nein" eine hohe Kompatibilität sicherstellt. Sollte der VoIP-Provider Rufe von Servern/IP-Adressen signalisieren, die nicht dem Registrar entsprechen, werden eingehende Rufe nicht an den internen Teilnehmer signalisiert. Wenn der VoIP Provider mehrere SIP Server betreibt, kann es zu Problemen kommen wenn die kommenden Rufe mal von einem, mal von einer anderen IP-Adresse kommen. Bei aktivieren Strict-Mode werden die Rufe nicht angenommen.

set /Setup/Voice-Call-Manager/Lines/SIP-Provider/Line/<Name-der-SIP-Verbindung>/Strict-Mode 0

- "Convenience Feature" automatische Anmeldung von SIP-Benutzern aktivieren (yes) oder deaktivieren (no) Default-Wert: Nein

set /Setup/Voice-Call-Manager/General/VCM-DNS-Resolve No

- ein VDSL Trace zeigt alle Pakete die über die DSL Leitung gehen, als Filter -Telnet/SSL +SIP eintragen. 2te Beispiel bei Telekom Anschlüssen

trace # VDSL-DATA
trace # VDSL-DATA @ 217.0.27.68

- All-IP Option Fehlersuche

trace # Callmanager
trace # dns
trace # sip-packet
trace # d-channel-dump

- Verbindugsliste des Lancoms, Spalte Timeout beachten

repeat 5 list /Status/IP-Router/Connection-List ; # Table

- VoiceCallManager DNS Auflösungen ausgeben

trace # VCM-DNS
show vcm-dns-cache

unter Windows Kommandozeile

# nslookup -type=srv _sip._udp.tel.t-online.de 217.237.151.51
Server:  b-lb-a01.isp.t-ipnet.de
Address:  217.237.151.51
Nicht autorisierende Antwort:

_sip._udp.tel.t-online.de       SRV service location:
          priority       = 1
          weight         = 5
          port           = 5060
          svr hostname   = f-epp-002.isp.t-ipnet.de
_sip._udp.tel.t-online.de       SRV service location:
          priority       = 0
          weight         = 5
          port           = 5060
          svr hostname   = b-epp-002.isp.t-ipnet.de
Seitenanfang

Befehle

Befehle für die Konsole
Befehle für die Kommandozeile

Hilfe kann man sich in der Telnet oder SSH Sitzung mit help anzeigen lassen
ls zeigt "Verzeichnisse" und Listen (Tabellen) an
mit cd wechselt man zwischen den Verzeichnissen.

- Sprache auf Deutsch setzen

la deutsch

- Router neu Booten lassen
Langform

do /other/boot-system

Kurzform

do /o/boo

- Reseten des Routers über Telnet, Einstellungen werden zurückgesetzt auf Werkseinstellung

do /o/res
Befehl Beschreibung
help mögliche Befehle anzeigen
show ? Hilfe zum Befehl show anzeigen
do <Parameter> ausführen
trace +|-|#|? <Parameter> @ -|+ IP|Name|"Port: XX"|Protokoll Trace starten an|aus|umschalten|Status
cd Verzeichniswechsel
list oder ls anzeigen
readscript -i -c Konfigurationsscript erstellen, mit Tabellen-Felder (-i) und Kommentaren (-c)
readconfig Konnfiguration anzeigen
readstatus  
sysinfo Systeminformationen anzeigen
show bootlog Bootlog Protokoll anzeigen
deletebootlog Bootlog Protokoll löschen
ll2mdetect auf Layer2 Ebene, im LAN verfügbare Lancom Geräte anzeigen
ll2mexec -i LAN-1 root:passwort@00:a0:57:xx:yy:zz Verbindung zu einem Gerät aufbauen
who aktive Sitzungen
bootconfig -s [1,2, all] savecurrent - aktuelle Konfiguration im angegebenen Boot-Speicherplatz speichern, mit all wird die Konfiguration auf beiden Boot-Speicherplätzen hinterlegt
bootconfig -r [1,2, all] remove - entsprechenden Ziffer wird zu löschende Boot-Speicherplatz ausgewählt, mit all werden gleichzeitig beide Speicherplätze gelöscht
do /other/boot Router neu starten (/Other/Boot-System - Warmstart)
do /other/cold Router neu starten (/Other/Cold-Boot - Kaltstart)
do /other/m/d INTERNET Internet Verbindung neu starten (/Other/Manual-Dialing/Disconnect ...)
do /other/reset Router auf Werkseinstellung zurücksetzen
flash no Änderungen werden nicht permanent übernommen, sondern nur im RAM vorgehalten. Nach einem Neustart gehen diese verloren.
flash yes Änderungen werden in den Flash-Speicher des Gerätes geschrieben
Netzwerk
show ipv4-route IPv4 Route anzeigen
show ip-addresses IPv4 Adressen
show ip-interfaces IPv4 Interface
show ipv6-route IPv4 Route anzeigen
show ipv6-addresses IPv4 Adressen
show ipv6-interfaces IPv4 Interface
ping xxx.xxx.xxx.xxx  
ping -r xxx.xxx.xxx.xxx Traceroute
   
   
   
SSH KeyManagement
show script Scripte anzeigen
show sshkeys SSH Schlüssel anzeigen
   
   
   
Beispiele
ping [-fnqr] [-s n] [-i n] [-c n] [-a a.b.c.d|INT|DMZ|LBx] Ziel-Host
-a a.b.c.d Setzt die Absenderadresse des Pings (Standard: IP-Adresse des Routers)
-a INT Setzt die Intranet-Adresse des Routers als Absenderadresse
-a DMZ Setzt die DMZ-Adresse des Routers als Absenderadresse
-a LBx Setzt eine der 16 im Lancom Loopback-Adressen als Absenderadresse. Gültige Werte für x sind die Hexadezimalen Werte 0-f
-a Interface Setzt die IP-Adresse des jeweiligen Interfaces als Absenderadresse
-f flood ping Sendet große Anzahl von Ping-Signalen in kurzer Zeit. Kann z.B. zum Testen der Netzwerkbandbreite genutzt werden. ACHTUNG: flood ping kann leicht als DoS Angriff fehlinterpretiert werden.
-n Liefert den Computernamen zu einer eingegebenen IP-Adresse zurück
-q Ping-Kommando liefert keine Ausgaben auf der Konsole
-r Wechselt in Traceroute-Modus: Der Weg der Datenpakete zum Zielcomputer wird mit allen Zwischenstationen angezeigt
-s n Setze Größe der Pakete auf n Byte (max. 1472)
-i n Zeit zwischen den einzelnen Paketen in Sekunden
-c n Sende n Ping-Signale

- individuellen SSHKey erstellen

Script Datei sshkeygen.lcs mit folgenden Inhalt erstellen, unter LANconfig den Router markieren, dann auf Konfigurations-Verwaltung, aus Script-Datei wiederherstellen wählen.

# Script (sshkeygen 9.10)
sshkeygen -q -t rsa -b 2048 -f ssh_rsakey
sshkeygen -q -t dsa -b 1024 -f ssh_dsakey
sshkeygen -q -t ecdsa -b 256 -f ssh_ecdsakey
sshkeygen -q -t rsa -b 2048 -f ssl_privkey
# done
exit

 

Seitenanfang

Aktion ausführen

Firewall Ereignisse /Status/IP-Router/Log-Table
Firewallereignisse löschen

do /st/ip-/del

Accountinformationen löschen

do /setup/accounting/Delete-Accounting-List

mögliche kurzform um Accountinfos zu löschen

do /set/acc/delete

man kann sich die Liste der möglichen Befehle mit ls anzeigen lassen. z.B. ls /set/acc/, wenn dort in der zweiten Spalte ACTION: steht, kann man diese Befehle mit do ausführen.

Seitenanfang

Fehlersuche

Trace Parameter

+ aktivieren
- deaktiveren
# ändern, wenn aktiv wird es deaktiviert
? Hilfe

Die Trace-Filter unterscheiden nicht zwischen Groß- und Kleinschreibung. Zusätzlich zum Leerzeichen, können auch + oder - Operatoren angegeben werden.

Operator Beschreibung
Leerzeichen eines der Kriterien muss erfüllt sein, logische ODER Verknüpfung
+ beide Kriterien müssen erfüllt sein, logische UND Verknüpfung
- Kriterien dürfen nicht erfüllt sein, logische NICHT Verknüpfung
Beispiele
" 192.168.2.5," " 192.168.2.20," der Trace wird über beide IP-Adressen erstellt
-192.168.1.100 die angegebene IP-Adresse wird nicht berücksichtigt
192.168.1.1 +TCP  
   
   

IP-Adresse
DNS Name
Protokoll
Port

KB Trace Filter
Trace - Funktion
VPN-Trace im Detail

Trace Level setzen, (x) Zahl von 1 bis 255

set/setup/lan/trace-level x

Fehlersuche bei Problemen, Packete der IP 192.168.1.1 werden angezeigt und Packete des Server1 werden ausgefiltert, TCP wird angezeigt, HTTP (Port 80) Verkehr nicht.

trace + firewall @ 192.168.1.1 +TCP -"Port: 80"

IP-Router Pakete, keine vom Netzwerk 192.168.20.0/24, keine HTTP Pakete.

trace + ip-router @ -192.168.20 +TCP -"Port: 80"

IP-Router Pakete, SMTP Pakete überwachen, alle TCP Pakete entweder Port 25 oder Port 587.

trace + ip-router @ '+TCP "Port: 25" "Port: 587"'

IP-Router Pakete, Angabe einer Gegenstelle

trace + ip-router @ INTERNET +"echo reply"

Loadbalacer Verbindungen

trace + Load-Balancer

PPP Verbindungsaufbau / abbau, Status KB Artikel dazu.

trace # ppp dis

ADSL Trace

trace # adsl

VPN Verbindungsaufbau testen

trace # vpn-st displ

VPN Verbindungen kontrollieren

trace + vpn-status

VPN Einstellungen anzeigen

show vpn
show VPN rules
show VPN interfaces

Protokollierung stoppen

trace - all

Speicherverbrauch anzeigen

show mem

Speicherinhalt ausgeben, zum umleiten in eine Datei

show heap -v

Verbindungen überwachen

- ICMP Polling aktivieren - angegebene/n IP-Adressen werden von der Internet-Verbindung auf Erreichbarkeit geprüft.

Lanconfig | Kommunikation | Protokolle | Polling-Tabelle
Gegenstelle: <Name der Gegenstelle wählen>
IP-Adresse: <Intranet IP der Gegenstelle>

/Setup/WAN/Polling-Table/

 

Seitenanfang

Infos anzeigen

- aktuellen Bandbreitenverbrauch nach IP-Adressen

ls Status/Accounting/Current-User/

- alle aktuelle Verbindungen des Routers

repeat 5 list /Status/IP-Router/Connection-List ; # Table

- DNS Hitliste anzeigen

repeat 5 list /Status/TCP-IP/DNS/Hit-List

- DNS HitListe löschen

do /Status/TCP-IP/DNS/Delete-Values

- Lancom Benutzung Internet der User anzeigen, als erstes wird das "Accounting" aktiviert.
Konfiguration | Management | Kosten
Accounting-Informationen sammeln

set /Setup/Accounting/operating yes
ls /Status/Accounting/Current-User/

Gesamte Liste anzeigen

ls /Status/Accounting/Accounting-List/

- ARP-Tabelle anzeigen

list /Status/TCP-IP/ARP/Table-ARP

- Verbindungen der Intranet Rechner zum Router

list /Status/IP-Router/Establish-Table

- zeigt die DNS Statistic des Routers an.

repeat 5 list /Status/TCP-IP/DNS/Hit-List

- Aktionstabelle anzeigen, Kommunikation | Allgemein | Aktions-Tabelle

list /Setup/WAN/Action-Table
list /Status/WAN/Actions/Action-Table

- Liste der DHCP Clients des Intranet

ls /Setup/DHCP/DHCP-Table

- ADSL/VDSL Verbindungsstatistik

ls /Status/Adsl/Connection
ls /Status/VDSL/Connection

aktuellen Status der DSL Modem Verbindung

repeat 5 list /Status/VDSL/Line-State

- Syslog, meldungen anzeigen/löschen
WEBconfig | Status | TCP-IP | Syslog | Letzte-Meldungen
WEBconfig | Status | TCP-IP | Syslog | Werte-loeschen

das gleiche per SSH

list /Status/TCP-IP/Syslog/Last-Messages

-Firmware verwalten

WEBconfig | Firmware | Tabelle-Firmsafe

ls /firmware/table-firmsafe
Position   Status             Version            Date       Size     Index
---------------------------------------------------------------------------
1          inactive           9.04.0184RU4       23032015   5900     3
2          active             9.10.0333Rel       14072015   6683     4
3          <loader>           4.06.0001Rel       10032015   185      0

Mit delete 1 kann der Eintrag unter Position 1 gelöscht werden.

IPv4 Verbindungsstatus

- Dynamische öffentliche IP-Adresse des LANCOM Routers auslesen

ls /Status/PPP/Rx-Options/IPCP
Ifc        IP-Address       DNS-Default      DNS-Backup       NBNS-Default     NBNS-Backup
===========-----------------------------------------------------------------------------------
VDSL-1     217.111.222.333  217.237.149.205  217.237.151.51   0.0.0.0          0.0.0.0

- Dynamische öffentliche IP-Adresse des LANCOM Routers hinter einem KabelModem o.ä. auslesen

ls /Status/DHCP-Client/WAN-IP-List
Ifc       IP-Address   IP-Netmask     Gateway     DNS-Default     DNS-Backup      DHCP-server
----------------------------------------------------------------------------------------------
DSL-CH-1  11.22.33.44  255.255.254.0  11.22.33.1  217.68.161.141  217.68.161.171  172.20.3.10

- Anzahl Verbindungen/Verbindungszeit

ls /Status/Connection/

IPv6

ls /Status/IPv6/Prefix/
ls /Status/IPv6/Addresses/

angelegte VPN Verbindungen anzeigen

show vpn

VPN, zeigt die "Security Policy Definitions" an

show vpn spd

VPN, Informationen über die ausgehandelten "Security Associations" (SAs)

show vpn sadb

- Infos zur WLAN Verbindung anzeigen, Sendeleistung, verbundene Clients

show wlan
Seitenanfang

Parameter ändern

Firewall Regel "HTTP-TAG1" aktivieren

set /Setup/IP-Router/Firewall/Rules/HTTP-TAG1 * * * * * * yes
oder
set /Setup/IP-Router/Firewall/Rules/HTTP-TAG1 {firewall-rule} yes
oder Kurzform
set /Setup/IP-Router/Firewall/Rules/HTTP-TAG1 {fire} yes

 

Seitenanfang

sonstiges Befehle

WLAN peer Batch aktivieren/deaktivieren

@echo off
if "%1"=="" goto help

:weiter
tftp <Router-IP> GET %1"set /Setup/Interfaces/WLAN/Operational/WLAN-1 yes"
goto end

:help
echo.
echo		Befehl [Router-Passwort]
echo.
goto end
:end

- zu deaktivieren folgenden Befehl verwenden

tftp <Router-IP> GET %1"set /Setup/Interfaces/WLAN/Operational/WLAN-1 no"

Firewall Regel per Batch aktivieren/deaktivieren

Firewall Regel "HTTP-TAG1" deaktivieren

!!! Unterstriche im Namen der Firewall Regel machen Probleme bei der Übertragung mit TFTP, die Regel wird nicht gefunden, da die Unterstriche nicht mit übertragen werden. !!!

tftp 192.168.20.254 GET %1"set /Setup/IP-Router/Firewall/Rules/HTTP-TAG1 * * * * * * no"
oder
tftp 192.168.20.254 GET %1"set /Setup/IP-Router/Firewall/Rules/HTTP-TAG1 {fire} no"

 

Seitenanfang

eMail Versand von Meldungen

Benachrichtigung bei Verbindungsabbruch

Vorraussetzung für den eMail Versand der Meldungen

- Grundeinstellung eMail Versand
Lanconfig | Meldungen | SMTP-Konto
SMTP-Server: <IP oder Name des Mail-Server>
SMTP-Port: 25
Absende-E-Mail Adresse: <eMail@domain.tld>
Benutzername:
Passwort:

Lanconfig | Meldungen | SMTP-Optionen
POP3-Server:
POP3-Port: 110
Mail-Puffer: 100
Wieder senden nach: 30
Mail-Haltezeit: 72

unter Meldungen | SMTP-Optionen | POP3-Server kein Eintrag vornehmen, sonst wird keine SMTP-Authentifizierung durchgeführt, sondern SMTP-after-POP3.

- Zeitserver aktivieren
Lanconfig | Datum-Zeit | Synchronisierung: Regelmäßig mit einem Zeit-Server (NTP) syncronisieren
Zeit-Server: <festlegen>

Testen des eMail Versands

TESTMAIL-Kommando

- per SSH/Telnet von der Konsole des Routers

testmail <ABSENDER> <EMPFÄNGER> <AbsenderName> <Betreffzeile> <Haupttext>

Aktionen festlegen

- eMailbenachrichtigung bei Verbindungsabbruch

Lanconfig | Kommunikation | Allgemein | Aktions-Tabelle
Name: VPN_DOWN
Gegenstelle: VPN-VERBINDUNG
Sperrzeit: 60
Verbindungs-Ereignis: Abbruch
Aktion: mailto:user@domain.tld?subject=Router %n VPN zur Gegenstelle %c wurde unterbrochen?body=Am %t wurde die VPN Verbindung zur Gegenstelle %c unterbrochen.

- eMailbenachrichtigung bei IP Wechsel

Lanconfig | Kommunikation | Allgemein | Aktions-Tabelle
Name: Verbindungsaufbau
Gegenstelle: <Gegenstelle wählen>
Sperrzeit: 0
Verbindungs-Ereignis: Aufbau
Aktion: mailto:user@domain.tld??subject=Router %n Internet-Verbindung wurde aufgebaut?body=Am %t wurde die Internet-Verbindung aufgebaut. IPv4-Adresse: %a und IPv6-Adresse %z

Benachrichtigung bei Provider 24h Zwangstrennung vermeiden

Lanconfig | Datum-Zeit | Allgemein | Cron-Tabelle

<< Script >>

# Index Active Base Variation Minute Hour DayOfWeek Day Month Command Owner
# -------------------------------------------------------------------------
tab 1 9 8 11 2 3 4 5 6 7 10
add 1 0 0 0 "0" "3" "" "" "" "do /o/m/d internet" "root"
add 2 0 0 0 "57" "2" "" "" "" "set /setup/wan/action-table/5 no" "root"
add 4 0 0 0 "3" "3" "" "" "" "set /setup/wan/action-table/5 yes" "root"

Index 1 um 3 Uhr wird die Verbindung "Internet" getrennt. (do /o/m/d internet)
Index 2 um 2:57 Uhr wird der Eintrag mit dem Index 5 der Action-Table deaktiviert (set /setup/wan/action-table/5 no)
Index 5 um 3:03 Uhr wird der Eintrag mit dem Index 6 der Action-Table wieder auf aktiv gesetzt (set /setup/wan/action-table/6 yes)

Index der Action-Table kann man unter SSH oder Telnet mit ls /setup/wan/action-table abfragen.

Variablen

Variable Bedeutung
%a WAN-IPv4-Adresse
%z WAN-IPv6-Adresse
%x IPv6 delegierte Prefix des LANs (ab 10.12)
%H Hostname der WAN-Verbindung, in deren Kontext diese Aktion erfolgt.
%h wie %H, nur Hostname in Kleinbuchstaben.
%c Verbindungsname, Gegenstellenname
%e Bezeichnung des Fehlers, der bei einem nicht erfolgreichen Verbindungsaufbau gemeldet wurde.
%m MAC-Adresse des Gerätes
%n Name des Gerätes
%s Seriennummer des Gerätes
%t Datum Uhrzeit

WLAN peer CronJob steuern

WLAN von Freitag - Sonntag 15 bis 20 Uhr aktivieren

add 2 0 0 0 "0" "15" "0,5-6" "" "" "set /Setup/Interfaces/WLAN/Operational/WLAN-1 yes" "root"
add 3 0 0 0 "0" "20" "0,5-6" "" "" "set /Setup/Interfaces/WLAN/Operational/WLAN-1 no" "root"

Cron Zeitsteuerung

Seitenanfang

Scripte

Grundgerüst für Lancom .lcs Scripte

lang English
flash No

cd /Setup/<Path zum Eintrag>
del *
....
cd /

flash Yes
# done
exit

Wenn im Scripte kein "flash Yes" gesetzt ist, läuft der Router erst mal im TestModus, die Änderungen gehen nach einem Neustart verloren. Man kann nachträglich auf der Konsole ein "flash yes" ausführen, wenn die Konfiguration in Ordnung ist.

- Anzeige vom TestModus auf der Konsole

[Test]root@routername

- per Script Einträge einer Tabelle hinzufügen: Die Namen der Spalten in denen Einträge hinzugefügt werden sollen, müssen vorher mit dem Befehl tab definiert werden. Mit add werden die Werte in den Spalten der Tabelle gesetzt, die vorher benannt wurden. Auf die Reihenfolge der Werte ist zu achten.

lang English
flash No

cd /Setup/Voice-Call-Manager/Call-Router/Call-Routing/
tab Called-Id Calling-Id Src-Line Dest-Calling-Id Dest-Id-1 Dest-Line-1 Prio Active Comment
add "#" "0049#" "LINE.#" "0#" "#" "RESTART" 1 Yes "Internationale Vorwahl entfernen"
cd /

flash Yes
# done
exit

- per Script Spalte einer Tabelle löschen: mit tab einen eindeutigen Wert der Tabelle wählen, diesen dann mit del löschen, dabei wird die ganze Tabellenspalte gelöscht.

lang English
flash No

cd /Setup/Voice-Call-Manager/Call-Router/Call-Routing/
tab Calling-Id
del "0049#"
cd /

flash Yes
# done
exit

 

 

Seitenanfang

sonstiges / FAQs

- Putty als SSH und Telnet Client in Lanconfig einbinden

"C:\Program Files\PuTTY\PUTTY.EXE" -P %s -ssh root@%a
"C:\Program Files\PuTTY\PUTTY.EXE" -P 6023 -telnet %a

%a - IP-Adresse des Routers
%s - Port der in Lanconfig vorkonfiguriert wurde Router unter Management | Admin | Einstellungen

- automatisches Trennen aktivieren

Lanconfig | Datum/Zeit | Allgemein | Cron-Tabelle einen neuen Job anlegen
Echtzeit wählen
Minuten: 0
Stunden: 23
Wochentage: 0-6
Befehle: do /o/m/d

dieser Cron-Job trennt alle Verbindungen (do /o/m/d) um 23:00Uhr an allen Wochentagen.

Lanconfig | Datum/Zeit | Syncronisierung
Regelmäßig mit den Zeit-Server (NTP) syncronisieren: aktivieren
unter NTP-Einstellungen einen oder mehrere Zeit-Server auswählen.

DNS

Bei Problemen mit der DNS-Auflösung, prüfen ob folgender Eintrag vorhanden ist und gegebenenfalls löschen.

TCP-IP | DNS | Weiterleitungen
Domäne: *
Gegenstelle: <IP oder Gegenstellenname>

oder

Domäne: ?*
Gegenstelle: 192.168.20.254

Es können auch zwei IP-Adressen als primärer und sekundärer DNS-Server für die weiterzuleitende Domäne eingegeben werden. Wenn zwei IP-Adressen eingegeben werden, dann müssen sie durch ein Leerzeichen voneinander getrennt sein.

Domäne: *.*
Gegenstelle: 192.168.20.254 8.8.8.8

iPerf

ab LCOS9.20 - iPerf2 Server aktivieren, dient zur Bandbreitenmessung zwischen Router und Client

Lanconfig | Meldungen | Allgemein | iPerf-Einstellungen
iPerf-Server-Daemon aktivieren: aktivieren

- Messung auf dem Client starten

iperf2 -c <Lancom Router IP> -w256k -t10

- iPerf per SSH auf dem Router temporär aktivieren, im TCP-Modus

/Setup/Iperf/Server-Daemon
iperf -s

iPerf Server im UDP-Modus

iperf -s -u

iPerf Client im UDP-Modus

iperf -u -c <Lancom Router IP>

per SSH iPerf letzte Messung anzeigen

/Status/Iperf/Last-Results

Konfiguration der LEDs anpassen

/Setup/Config/Admin-Gender : unknown (0), male (1), female (2), Geek (3)
Geek - Auslastung des Routers mithilfe der LEDs anzeigen